パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

13723945 story
ボットネット

他のボットネットを攻撃するボットネット「Fbot」 8

ストーリー by headless
妨害 部門より
他のボットネットを攻撃することが目的とみられるボットネット「Fbot」について、360 Netlabが報告している(360 Netlab Blogの記事The Next Webの記事)。

Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。

侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイルとして実行されている特定のプロセスを強制終了する。このマルウェアはMiraiの亜種であり、Miraiから継承したDDoSモジュールが含まれているが、これまでにC&CサーバーからDDoSコマンドが発行された形跡はないとのこと。

FbotのC&Cサーバー「musl.lib」は通常のDNSではなくブロックチェーン技術を使用したEmerDNSを使用して名前解決する。これにより、セキュリティリサーチャーがボットネットを検出・追跡することや、ドメインの無効化による拡散防止などが困難になる。また、Fbotが使用するIPアドレスによれば、同じくMiraiの亜種であるSatoriとも強い関連があるとみられるとのことだ。
13677803 story
バイオテック

カイコの遺伝子を置き換え、クモ糸タンパク質を高い割合で含むシルク繊維の大規模生産を可能にする研究成果 47

ストーリー by headless
繊維 部門より
ゲノム編集したカイコガを用いることで、高い割合でクモ糸タンパク質を含むシルク繊維を得ることに中国の研究グループが成功したそうだ(論文Ars Technicaの記事)。

クモ糸は高い強度や伸展性など優れた特性を持ち、バイオ素材として注目を集めている。しかし、クモの生態上、飼育による大規模なクモ糸繊維の生産は困難だ。他の生物にクモの遺伝子を挿入してクモ糸タンパク質を生成させる場合、多くは繊維を作る工程が必要になる。カイコガを使用すれば直接繊維を採取可能となるが、トランスポゾンを用いてクモの遺伝子を挿入する従来の方法ではクモ糸タンパク質を効率よく得られなかったという。

研究グループではヌクレアーゼを用いた相同性依存的な修復(HDR)により、カイコガのフィブロインH鎖遺伝子をアメリカジョロウグモ(Nephila clavipes)の牽引糸タンパク質(MaSp1)遺伝子で置き換えた。その結果、遺伝子組み換えカイコガの繭では最大35.2%をMaSp1が占めたという。繭から得られるシルク繊維を通常のカイコガのものと比較したところ、直径が15.8%小さく、強度が17.4%低下する一方、破断ひずみは22.5%から32.2%に増加し、破壊エネルギーも22.5%増加したとのこと。

異種発現系による大規模なクモ糸生産の可能性を示す今回の研究成果は、将来のクモ糸を含む新たなバイオ素材の開発に役立つとのことだ。
13583488 story
PHP

Drupalの脆弱性「Drupalgeddon2」を狙った攻撃が活発に 10

ストーリー by hylom
お使いの皆様はさっさと対応しましょうね 部門より
あるAnonymous Coward曰く、

オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている(MBSDJPCERT/CC)。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。

Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている(Ars TechnicaNetlab 360Slashdot)。

この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの(knqyf263's blog)。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。

13580413 story
ボットネット

悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール 16

ストーリー by headless
偽物 部門より
人気の広告ブロック拡張機能「Adblock Plus」の偽物がChromeウェブストアで配布されていたことが半年ほど前に話題となったが、現在も状況は改善されていないようだ。AdGuardの調べによれば、合計2,000万人以上がChromeウェブストアから悪意あるコードを含む偽拡張機能をインストールしていたという(AdGuard Blogの記事BetaNewsの記事HackReadの記事)。

ここでいう偽拡張機能は、主に広告ブロック拡張機能など人気の拡張機能をクローンして多少のコードを付け加え、本物と紛らわしい名前を付けたものだ。こういった偽拡張機能に対抗するには商標権侵害でGoogleに削除を求めるしかなく、対応には数日かかるという。しかし、最近では紛らわしい名前を付けるのではなく、拡張機能の説明で検索結果上位になるようなキーワードを含めるものも増えているそうだ。

AdGuardが悪意あるコードを発見した偽拡張機能のうち、「AdRemover for Google Chrome」はAdBlockをクローンしたもので、ユーザー数は1,000万人以上だったという。付け加えられた悪意あるコードは、リモートサーバーから画像に埋め込んだコードを受け取って実行するもので、バックグラウンドページとして任意の操作を実行できる。つまり、偽拡張機能のインストールによりボットネットに組み込まれることになる。

同様のアプローチをとる偽拡張機能は他に4本発見されており、うち2本は広告ブロック、あとの2本はそれ以外の拡張機能だったという。なお、AdGuardは問題をGoogleに報告済みで、5本すべて削除されている。ユーザー数は偽広告ブロック拡張機能3本だけで2,000万人を超えるが、1億人以上が使用しているというAdblock Plusのユーザー数もChromeウェブストアでは1,000万人以上と表示されているので、AdRemoverのユーザー数だけで2,000万人を超える可能性もある。
13349998 story
Twitter

有料サイトへの誘導を行うボットネットがTwitter上で確認される 5

ストーリー by hylom
似たようなものはたくさんありそう 部門より

Twitter上に、有料ポルノサイトや偽の出会い系サイトへの誘導を行うようなボットネットが存在することが確認されたそうだ。このボットネットは約9万のアカウントから構成されており、女性の写真や名前を偽っていたという(ITmediaZeroFOXKrebs on Security)。

これらのアカウントは「思わせぶり」な投稿を行い、こういった投稿にリプライすると有料のポルノサイトや偽出会い系サイトに誘導されてしまうという。このボットネットはギリシャ神話の海の怪物「SIREN(セイレーン)」から、「SIREN」と名付けられている。総投稿数は850万を超えており、また投稿されたリンクのクリック数は3000万以上だったという。

すでにTwitterへの通報が行われており、Twitter運営による対処が行われているとのこと。

13263425 story
インターネット

新たなIoTマルウェア「Hajime」が登場 29

ストーリー by hylom
仁義なき戦い 部門より

さまざまなIoTデバイスを狙うマルウェア「Mirai」についてはたびたび話題になっているが、Miraiと同様にIoTデバイスを狙う新たなマルウェア「Hajime」が登場した(ZDNet JapanITmedia)。

HajimeはMiraiと同様、感染するとポートを開いて外部と通信を行ってボットネットを構築する。Digital Trendsによると、Hajimeによってすでに30万のデバイスで構成されるボットネットが構築されているという。ただしMiraiと異なり、このボットネットはコントロールサーバーと通信を行うのではなく、感染した機器同士が直接通信を行うP2P型のアーキテクチャとなっているのが特徴のようだ。

また、Hajimeには現時点ではDDoS攻撃を行う機能は備えていないほか、感染するとMiraiやその亜種が使用するポートをブロックするとのこと。「システムをセキュアにする」などのメッセージが表示されるため、Miraiに対抗するためのマルウェアとも考えられるが、今後悪意のある攻撃を行うものに豹変する可能性もある。

13149657 story
IT

Merriam-Webster、1,000以上の語句をオンライン英語辞書に追加 7

ストーリー by hylom
一気に増えた 部門より
headless曰く、

Merriam-Websterが新たに1,000以上の語句をオンライン英語辞書へ追加したそうだ(New Dictionary WordsArs Technica)。

追加された語句のリストは公開されていないが、テクノロジー関連では「net neutrality(ネットの中立性)」「botnet」「NSFW(not safe/suitable for work:職場閲覧注意)」「listicle(list+article: [プログラマーが自分につく9つの嘘]のように、テーマに従った小ネタを集めた記事)」 などが紹介されている。以前から有料版のUnabridged Dictionaryに収録されており、新たに無料版でも利用できるようになったものも多いようだ。

一方、「ping」のように既存の見出し語に新たな定義が追加された単語もある。また、「weak sauce(効果のないもの)」「face-palm(失敗したときなど、顔を手で覆う)」「geek out(ギーク好みの話題などで大盛り上がりする)」といったスラング的な熟語や、「グリンチ」などで知られるDr. Seussらしい表現を示す「seussian」、「santoku(三徳ナイフ)」「bokeh(レンズのボケ味)」といった日本語由来の単語も追加されている。

13137558 story
Twitter

35万以上のアカウントから構成されたTwitterボットネットが発見される 15

ストーリー by hylom
なぜわざわざジオタグを付けた 部門より

35万以上のTwitterアカウントから構成された、「Twitterボットネット」が発見された(BBCGIGAZINESlashdotMIT Technology Review)。

このボットネットを発見したのは、University College Londonのサイバーセキュリティ研究者ら。研究者らは自動投稿アカウントに関する調査のため、英語で投稿を行っているアカウントからランダムに選んだ600万アカウントの詳細情報を取得して統計処理を行っていたそうだ。その1つとして投稿者の場所を示すジオタグ付き投稿を調べたところ、砂漠や海上といった人が住んでいないような場所から行われている投稿が異常に多いことに気付いたという。そこでこのような投稿についてより詳しく調べたところ、これらジオタグが指す位置は米国およびヨーロッパの特定エリア内に分散しており、さらにこれらアカウントは11個以上の投稿は行っておらず、フォロワーは10人以下、フレンドは31人以下で、投稿はすべてWindows Phone向けのTwitter公式クライアントから行われていたことが分かったという。

これらアカウントはStar Warsの小説からランダムに引用した文章をランダムなハッシュタグ付きで投稿していたという。そのため、このボットネットは「Star Wars botnet」と名付けられている。さらに、これらアカウントは2013年の6月から7月にかけて作られており、その間に1日あたり15万投稿を行っていたが、2013年7月14日に突然活動を停止したそうだ。

これらアカウントは「偽のフォロワー」を作り出すためのものではないか、などの推測はあるが、誰が何のために作られたかは不明のようだ。

12834779 story
セキュリティ

ネットワーク接続カメラだけを使った大規模DDoS攻撃が確認される 28

ストーリー by hylom
カメラからIoTの未来が見える 部門より

セキュリティ的に不備のある設定がされたまま放置されているインターネット接続カメラは以前から問題となっているが、このようなカメラを乗っ取ってボットネットを構築し攻撃を行う事例が確認されたという(GIGAZINESucuri Blog)。

いわゆるIoTデバイスを使ってサイバー攻撃を行う例は今までもあったそうだが、カメラのみを使用して長期に渡って攻撃を行う例はこれまで観測されていなかったという。攻撃に使われたカメラは台湾や米国、インドネシア、メキシコなどのもので合計で2万5000台以上が使われたと見られている。

なお、攻撃には複数のメーカーのカメラが使われていたようだが、すべてで「Cross Web Server」というWebサーバーが稼動していたという。

12832765 story
英国

英国のEU離脱、国民投票の再実施を求める請願サイトにバチカンから4万件超の署名 65

ストーリー by headless
量産 部門より
英国のEU離脱をめぐる国民投票は離脱派が過半数を占める結果となったが、英国会の請願サイトでは国民投票の再実施を求める署名の受け付けが行われている。署名は400万件を超えているが不正な署名も多いようで、英国会の請願委員会では既に77,000件を削除したという(請願委員会のツイートThe Registerの記事[1][2]VentureBeatの記事)。

請願サイトでは署名の集計をJSON形式で提供しており、国別および英国の選挙区別の署名数を確認することもできる。署名は英国からのものが圧倒的に多く、日本時間6月30日午前1時の時点で387万件を超えている。そのほかの国で1万件を超えているのはフランス(27,303件)、スペイン(17,095件)、オーストラリア(16,737件)、米国(16,475件)、ドイツ(10,840件)の5か国で、次はカナダの6,128件と大幅に少なくなる。

しかし、6月26日12時43分39秒(UTC)にInternet Archiveが保存したスナップショットを見ると、バチカン市国から42,260件、北朝鮮から24,868件の署名が行われている。現在ではいずれも2桁の署名となっており、削除された署名の大半がこれら2か国から行われたようだ。このほか、千件以上削除されているのはサウスジョージアおよびサウスサンドイッチ諸島、英領南極地域、セントビンセントとなっている。

これについてシリアのハッカーがWebサイトをハックして大量に署名したと主張しているようだが、請願委員会ではハッキングの可能性を否定している。このハッカーは通信が遅いとも述べていることから、主張が事実だとしてもボットなどを使用したものとみられる。

なお、この請願は投票率が75%未満で離脱・残留ともに60%以上得票できなかった場合に2度目の国民投票実施を求めるもので、皮肉なことに離脱派が開始したものだという。国民投票の投票率は72.9%、離脱派の得票率は51.9%となっており、いずれも請願の条件を満たす。また、署名が10万件を超えると国会で議論するかどうかを検討することになるとのことだ。
12749249 story
犯罪

Linuxを狙うマルウェア「BillGates」 65

ストーリー by hylom
次はLinusの出番だろうか 部門より
あるAnonymous Coward 曰く、

Akamaiが「BillGates」というトロイの木馬について警告を出したそうだ(ZDNet JapanAkamaiのSecurity/Threat Advisory PDF)。

このマルウェアはLinuxを標的とするもので、SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みるそうだ。このマルウェアに感染すると、ボットネット管理者の指示を受けてDDoS攻撃を行うようになるという。

このボットネットはかなり大きくなっており、100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっているとのこと。

12522292 story
iOS

XcodeGhost、Appleのコードレビューでも発見されないマルウェア感染iOSアプリを生成 67

ストーリー by headless
巧妙 部門より
Appleのコードレビューでも発見されない、マルウェアに感染したiOSアプリを生成するXcodeの改造版が見つかったそうだ(Palo Alto Networksの記事[1][2]Neowinの記事Softpediaの記事)。

「XcodeGhost」と名付けられたXcodeの改造版は中国のiOS開発者によって発見され、Palo Alto Networksが詳細を確認した。XcodeGhostは悪意のあるコードを仕込んだMach-OオブジェクトファイルをXcodeに追加し、XcodeのインストーラーにリパッケージしてBaiduのファイル共有サービスにアップロードされていたという。Palo Alto Networksの報告を受けて、BaiduではXcodeGhostを削除している。Xcodeのインストーラーは3GB近くあり、中国ではAppleのサーバーへの接続速度が遅いため、他のソースからのダウンロードがよく行われているそうだ。

悪意のあるコードが仕込まれているのはCoreServices用のオブジェクトファイル。XcodeGhostでiOSアプリをコンパイルすると、開発者に知られることなく悪意のあるCoreServicesファイルが追加される。悪意のあるコードに感染したiOSアプリは実行時にシステムやアプリの情報を収集してC&Cサーバーに送信する。また、ユーザーの認証情報をだまし取るために偽のアラートダイアログを表示するほか、特定のURLを乗っ取ってiOSやiOSアプリの脆弱性を攻撃したり、クリップボードのデータを読み書きしたりすることも可能だという。

感染したiOSアプリはAppleのコードレビューでも発見されず、少なくとも39本がApp Storeで公開されていたという。多くは中国向けのアプリだが、インスタントメッセンジャー「WeChat」のように中国以外でも使われているアプリも含まれる。このほか、「Mercury」「WinZip」「Musical.ly」といったアプリもリストアップされている。なお、WeChatに関しては、既に悪意のあるコードを除去した更新版に差し替えられているとのことだ。

なお、XcodeGhostは正規のXcodeに悪意のあるオブジェクトファイルを追加しただけのものだ。そのため、マルウェアが直接Xcodeのディレクトリーにオブジェクトファイルをドロップする可能性もある。悪意のあるコードはAppleのコードレビューを通るほど深く隠されているため、ユーザーや開発者が感染したアプリを識別することは困難だ。アプリ開発者は常にAppleから直接入手したXcodeを使用するだけでなく、怪しいファイルが追加されていないか定期的に確認する必要があるとのことだ。
12006373 story
ボットネット

警視庁、ボットネットによる不正送金被害を防ぐ「ネットバンキングウイルス無力化作戦」を実施 26

ストーリー by headless
作戦 部門より
あるAnonymous Coward 曰く、

最近のサイバー犯罪ではマルウェアを使って乗っ取ったパソコンを遠隔操作して攻撃に使用する、いわゆる「ボットネット」が使われるケースが多い。こういったボットネットによる不正送金被害を防ぐため、警視庁が「ネットバンキングウイルス無力化作戦」を開始した(警視庁 - ネットバンキングウイルス無力化作戦の実施についてITmediaニュースの記事毎日新聞の記事セキュアブレインのプレスリリース)。

詳細については明らかになっていないが、毎日新聞の記事ではボットネットをコントロールするコマンド&コントロールサーバー(C&Cサーバー)に対し「警視庁側から指令を出せる状態におくことに成功」し、マルウェアが組み込まれたパソコンを特定したという。また、プロバイダーを通じて感染パソコン利用者に対し、マルウェアの駆除を依頼しているとのことだ。

11601307 story
ボットネット

bashのShellshock脆弱性を利用するボットネットが出現 69

ストーリー by headless
出現 部門より
先日発見されたbashの脆弱性「Shellshock」を利用するボットネットが出現したそうだ(iTnewsの記事本家/.)。

イタリアのセキュリティ企業Tiger SecurityのCEO、Emanuele Gentili氏によれば、このボットネットはLinuxサーバー上で動作する「wopbot」というもの。wopbotはインターネット上をスキャンしてShellshock脆弱性のあるシステムを探し出し、感染を広げていく。Gentili氏が入手したマルウェアのサンプルをサンドボックス内で解析したところ、米国防総省のIPアドレス範囲に対する大量のスキャンが行われることが判明したという。また、Akamaiのホストするサーバーに対するDDoS攻撃も行われていたとのこと。その後、Tiger Securityでは英国と米国のISPに連絡し、wopbotのC&Cサーバーとマルウェアをホストするサーバーをネットワークから切り離すことに成功している。

現在のところwopbotの感染台数は不明だが、Shellshock脆弱性による影響はOpenSSLのHeartbleed脆弱性以上のものになる可能性もあるとのことだ。
11543650 story
セキュリティ

LinuxサーバにDDoS攻撃を行うボットネットが確認される 17

ストーリー by hylom
管理者の皆様ご注意を 部門より
taraiok 曰く、

9月3日、オンライン・コンテンツ向けのクラウドサービスを展開しているAkamai Technologiesは、新たなサイバーセキュリティ脅威に対するリリースを出した。それによると、ElasticSearchやStruts、Tomcatに存在する脆弱性を悪用し、Linuxサーバーに侵入してマルウェアを設置するという攻撃が確認されているという( HELP NET SECURITYSlashdotCodeZine)。

問題のマルウェアは「IptabLes」と「IptabLex」というもので、これに感染すると、エンターテイメント関連業界に対してDDoS攻撃を仕掛けるという。攻撃者は適切にメンテナンスされていないサーバーに対し脆弱性を悪用してアクセス権を入手し、悪質なコードをシステムに潜伏させるという。このコードが仕込まれたマシンはDDoSを行うボットネットの一部としてコントロールされてしまうそうだ。詳細についてはAkamai TechnologiesのPLXsertでも公開(登録制)されている模様。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...