パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13583488 story
PHP

Drupalの脆弱性「Drupalgeddon2」を狙った攻撃が活発に 10

ストーリー by hylom
お使いの皆様はさっさと対応しましょうね 部門より
あるAnonymous Coward曰く、

オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている(MBSDJPCERT/CC)。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。

Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている(Ars TechnicaNetlab 360Slashdot)。

この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの(knqyf263's blog)。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。

13580413 story
ボットネット

悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール 16

ストーリー by headless
偽物 部門より
人気の広告ブロック拡張機能「Adblock Plus」の偽物がChromeウェブストアで配布されていたことが半年ほど前に話題となったが、現在も状況は改善されていないようだ。AdGuardの調べによれば、合計2,000万人以上がChromeウェブストアから悪意あるコードを含む偽拡張機能をインストールしていたという(AdGuard Blogの記事BetaNewsの記事HackReadの記事)。

ここでいう偽拡張機能は、主に広告ブロック拡張機能など人気の拡張機能をクローンして多少のコードを付け加え、本物と紛らわしい名前を付けたものだ。こういった偽拡張機能に対抗するには商標権侵害でGoogleに削除を求めるしかなく、対応には数日かかるという。しかし、最近では紛らわしい名前を付けるのではなく、拡張機能の説明で検索結果上位になるようなキーワードを含めるものも増えているそうだ。

AdGuardが悪意あるコードを発見した偽拡張機能のうち、「AdRemover for Google Chrome」はAdBlockをクローンしたもので、ユーザー数は1,000万人以上だったという。付け加えられた悪意あるコードは、リモートサーバーから画像に埋め込んだコードを受け取って実行するもので、バックグラウンドページとして任意の操作を実行できる。つまり、偽拡張機能のインストールによりボットネットに組み込まれることになる。

同様のアプローチをとる偽拡張機能は他に4本発見されており、うち2本は広告ブロック、あとの2本はそれ以外の拡張機能だったという。なお、AdGuardは問題をGoogleに報告済みで、5本すべて削除されている。ユーザー数は偽広告ブロック拡張機能3本だけで2,000万人を超えるが、1億人以上が使用しているというAdblock Plusのユーザー数もChromeウェブストアでは1,000万人以上と表示されているので、AdRemoverのユーザー数だけで2,000万人を超える可能性もある。
13349998 story
Twitter

有料サイトへの誘導を行うボットネットがTwitter上で確認される 5

ストーリー by hylom
似たようなものはたくさんありそう 部門より

Twitter上に、有料ポルノサイトや偽の出会い系サイトへの誘導を行うようなボットネットが存在することが確認されたそうだ。このボットネットは約9万のアカウントから構成されており、女性の写真や名前を偽っていたという(ITmediaZeroFOXKrebs on Security)。

これらのアカウントは「思わせぶり」な投稿を行い、こういった投稿にリプライすると有料のポルノサイトや偽出会い系サイトに誘導されてしまうという。このボットネットはギリシャ神話の海の怪物「SIREN(セイレーン)」から、「SIREN」と名付けられている。総投稿数は850万を超えており、また投稿されたリンクのクリック数は3000万以上だったという。

すでにTwitterへの通報が行われており、Twitter運営による対処が行われているとのこと。

13263425 story
インターネット

新たなIoTマルウェア「Hajime」が登場 29

ストーリー by hylom
仁義なき戦い 部門より

さまざまなIoTデバイスを狙うマルウェア「Mirai」についてはたびたび話題になっているが、Miraiと同様にIoTデバイスを狙う新たなマルウェア「Hajime」が登場した(ZDNet JapanITmedia)。

HajimeはMiraiと同様、感染するとポートを開いて外部と通信を行ってボットネットを構築する。Digital Trendsによると、Hajimeによってすでに30万のデバイスで構成されるボットネットが構築されているという。ただしMiraiと異なり、このボットネットはコントロールサーバーと通信を行うのではなく、感染した機器同士が直接通信を行うP2P型のアーキテクチャとなっているのが特徴のようだ。

また、Hajimeには現時点ではDDoS攻撃を行う機能は備えていないほか、感染するとMiraiやその亜種が使用するポートをブロックするとのこと。「システムをセキュアにする」などのメッセージが表示されるため、Miraiに対抗するためのマルウェアとも考えられるが、今後悪意のある攻撃を行うものに豹変する可能性もある。

13149657 story
IT

Merriam-Webster、1,000以上の語句をオンライン英語辞書に追加 7

ストーリー by hylom
一気に増えた 部門より
headless曰く、

Merriam-Websterが新たに1,000以上の語句をオンライン英語辞書へ追加したそうだ(New Dictionary WordsArs Technica)。

追加された語句のリストは公開されていないが、テクノロジー関連では「net neutrality(ネットの中立性)」「botnet」「NSFW(not safe/suitable for work:職場閲覧注意)」「listicle(list+article: [プログラマーが自分につく9つの嘘]のように、テーマに従った小ネタを集めた記事)」 などが紹介されている。以前から有料版のUnabridged Dictionaryに収録されており、新たに無料版でも利用できるようになったものも多いようだ。

一方、「ping」のように既存の見出し語に新たな定義が追加された単語もある。また、「weak sauce(効果のないもの)」「face-palm(失敗したときなど、顔を手で覆う)」「geek out(ギーク好みの話題などで大盛り上がりする)」といったスラング的な熟語や、「グリンチ」などで知られるDr. Seussらしい表現を示す「seussian」、「santoku(三徳ナイフ)」「bokeh(レンズのボケ味)」といった日本語由来の単語も追加されている。

13137558 story
Twitter

35万以上のアカウントから構成されたTwitterボットネットが発見される 15

ストーリー by hylom
なぜわざわざジオタグを付けた 部門より

35万以上のTwitterアカウントから構成された、「Twitterボットネット」が発見された(BBCGIGAZINESlashdotMIT Technology Review)。

このボットネットを発見したのは、University College Londonのサイバーセキュリティ研究者ら。研究者らは自動投稿アカウントに関する調査のため、英語で投稿を行っているアカウントからランダムに選んだ600万アカウントの詳細情報を取得して統計処理を行っていたそうだ。その1つとして投稿者の場所を示すジオタグ付き投稿を調べたところ、砂漠や海上といった人が住んでいないような場所から行われている投稿が異常に多いことに気付いたという。そこでこのような投稿についてより詳しく調べたところ、これらジオタグが指す位置は米国およびヨーロッパの特定エリア内に分散しており、さらにこれらアカウントは11個以上の投稿は行っておらず、フォロワーは10人以下、フレンドは31人以下で、投稿はすべてWindows Phone向けのTwitter公式クライアントから行われていたことが分かったという。

これらアカウントはStar Warsの小説からランダムに引用した文章をランダムなハッシュタグ付きで投稿していたという。そのため、このボットネットは「Star Wars botnet」と名付けられている。さらに、これらアカウントは2013年の6月から7月にかけて作られており、その間に1日あたり15万投稿を行っていたが、2013年7月14日に突然活動を停止したそうだ。

これらアカウントは「偽のフォロワー」を作り出すためのものではないか、などの推測はあるが、誰が何のために作られたかは不明のようだ。

12834779 story
セキュリティ

ネットワーク接続カメラだけを使った大規模DDoS攻撃が確認される 28

ストーリー by hylom
カメラからIoTの未来が見える 部門より

セキュリティ的に不備のある設定がされたまま放置されているインターネット接続カメラは以前から問題となっているが、このようなカメラを乗っ取ってボットネットを構築し攻撃を行う事例が確認されたという(GIGAZINESucuri Blog)。

いわゆるIoTデバイスを使ってサイバー攻撃を行う例は今までもあったそうだが、カメラのみを使用して長期に渡って攻撃を行う例はこれまで観測されていなかったという。攻撃に使われたカメラは台湾や米国、インドネシア、メキシコなどのもので合計で2万5000台以上が使われたと見られている。

なお、攻撃には複数のメーカーのカメラが使われていたようだが、すべてで「Cross Web Server」というWebサーバーが稼動していたという。

12832765 story
英国

英国のEU離脱、国民投票の再実施を求める請願サイトにバチカンから4万件超の署名 65

ストーリー by headless
量産 部門より
英国のEU離脱をめぐる国民投票は離脱派が過半数を占める結果となったが、英国会の請願サイトでは国民投票の再実施を求める署名の受け付けが行われている。署名は400万件を超えているが不正な署名も多いようで、英国会の請願委員会では既に77,000件を削除したという(請願委員会のツイートThe Registerの記事[1][2]VentureBeatの記事)。

請願サイトでは署名の集計をJSON形式で提供しており、国別および英国の選挙区別の署名数を確認することもできる。署名は英国からのものが圧倒的に多く、日本時間6月30日午前1時の時点で387万件を超えている。そのほかの国で1万件を超えているのはフランス(27,303件)、スペイン(17,095件)、オーストラリア(16,737件)、米国(16,475件)、ドイツ(10,840件)の5か国で、次はカナダの6,128件と大幅に少なくなる。

しかし、6月26日12時43分39秒(UTC)にInternet Archiveが保存したスナップショットを見ると、バチカン市国から42,260件、北朝鮮から24,868件の署名が行われている。現在ではいずれも2桁の署名となっており、削除された署名の大半がこれら2か国から行われたようだ。このほか、千件以上削除されているのはサウスジョージアおよびサウスサンドイッチ諸島、英領南極地域、セントビンセントとなっている。

これについてシリアのハッカーがWebサイトをハックして大量に署名したと主張しているようだが、請願委員会ではハッキングの可能性を否定している。このハッカーは通信が遅いとも述べていることから、主張が事実だとしてもボットなどを使用したものとみられる。

なお、この請願は投票率が75%未満で離脱・残留ともに60%以上得票できなかった場合に2度目の国民投票実施を求めるもので、皮肉なことに離脱派が開始したものだという。国民投票の投票率は72.9%、離脱派の得票率は51.9%となっており、いずれも請願の条件を満たす。また、署名が10万件を超えると国会で議論するかどうかを検討することになるとのことだ。
12749249 story
犯罪

Linuxを狙うマルウェア「BillGates」 65

ストーリー by hylom
次はLinusの出番だろうか 部門より
あるAnonymous Coward 曰く、

Akamaiが「BillGates」というトロイの木馬について警告を出したそうだ(ZDNet JapanAkamaiのSecurity/Threat Advisory PDF)。

このマルウェアはLinuxを標的とするもので、SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みるそうだ。このマルウェアに感染すると、ボットネット管理者の指示を受けてDDoS攻撃を行うようになるという。

このボットネットはかなり大きくなっており、100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっているとのこと。

12522292 story
iOS

XcodeGhost、Appleのコードレビューでも発見されないマルウェア感染iOSアプリを生成 67

ストーリー by headless
巧妙 部門より
Appleのコードレビューでも発見されない、マルウェアに感染したiOSアプリを生成するXcodeの改造版が見つかったそうだ(Palo Alto Networksの記事[1][2]Neowinの記事Softpediaの記事)。

「XcodeGhost」と名付けられたXcodeの改造版は中国のiOS開発者によって発見され、Palo Alto Networksが詳細を確認した。XcodeGhostは悪意のあるコードを仕込んだMach-OオブジェクトファイルをXcodeに追加し、XcodeのインストーラーにリパッケージしてBaiduのファイル共有サービスにアップロードされていたという。Palo Alto Networksの報告を受けて、BaiduではXcodeGhostを削除している。Xcodeのインストーラーは3GB近くあり、中国ではAppleのサーバーへの接続速度が遅いため、他のソースからのダウンロードがよく行われているそうだ。

悪意のあるコードが仕込まれているのはCoreServices用のオブジェクトファイル。XcodeGhostでiOSアプリをコンパイルすると、開発者に知られることなく悪意のあるCoreServicesファイルが追加される。悪意のあるコードに感染したiOSアプリは実行時にシステムやアプリの情報を収集してC&Cサーバーに送信する。また、ユーザーの認証情報をだまし取るために偽のアラートダイアログを表示するほか、特定のURLを乗っ取ってiOSやiOSアプリの脆弱性を攻撃したり、クリップボードのデータを読み書きしたりすることも可能だという。

感染したiOSアプリはAppleのコードレビューでも発見されず、少なくとも39本がApp Storeで公開されていたという。多くは中国向けのアプリだが、インスタントメッセンジャー「WeChat」のように中国以外でも使われているアプリも含まれる。このほか、「Mercury」「WinZip」「Musical.ly」といったアプリもリストアップされている。なお、WeChatに関しては、既に悪意のあるコードを除去した更新版に差し替えられているとのことだ。

なお、XcodeGhostは正規のXcodeに悪意のあるオブジェクトファイルを追加しただけのものだ。そのため、マルウェアが直接Xcodeのディレクトリーにオブジェクトファイルをドロップする可能性もある。悪意のあるコードはAppleのコードレビューを通るほど深く隠されているため、ユーザーや開発者が感染したアプリを識別することは困難だ。アプリ開発者は常にAppleから直接入手したXcodeを使用するだけでなく、怪しいファイルが追加されていないか定期的に確認する必要があるとのことだ。
12006373 story
ボットネット

警視庁、ボットネットによる不正送金被害を防ぐ「ネットバンキングウイルス無力化作戦」を実施 26

ストーリー by headless
作戦 部門より
あるAnonymous Coward 曰く、

最近のサイバー犯罪ではマルウェアを使って乗っ取ったパソコンを遠隔操作して攻撃に使用する、いわゆる「ボットネット」が使われるケースが多い。こういったボットネットによる不正送金被害を防ぐため、警視庁が「ネットバンキングウイルス無力化作戦」を開始した(警視庁 - ネットバンキングウイルス無力化作戦の実施についてITmediaニュースの記事毎日新聞の記事セキュアブレインのプレスリリース)。

詳細については明らかになっていないが、毎日新聞の記事ではボットネットをコントロールするコマンド&コントロールサーバー(C&Cサーバー)に対し「警視庁側から指令を出せる状態におくことに成功」し、マルウェアが組み込まれたパソコンを特定したという。また、プロバイダーを通じて感染パソコン利用者に対し、マルウェアの駆除を依頼しているとのことだ。

11601307 story
ボットネット

bashのShellshock脆弱性を利用するボットネットが出現 69

ストーリー by headless
出現 部門より
先日発見されたbashの脆弱性「Shellshock」を利用するボットネットが出現したそうだ(iTnewsの記事本家/.)。

イタリアのセキュリティ企業Tiger SecurityのCEO、Emanuele Gentili氏によれば、このボットネットはLinuxサーバー上で動作する「wopbot」というもの。wopbotはインターネット上をスキャンしてShellshock脆弱性のあるシステムを探し出し、感染を広げていく。Gentili氏が入手したマルウェアのサンプルをサンドボックス内で解析したところ、米国防総省のIPアドレス範囲に対する大量のスキャンが行われることが判明したという。また、Akamaiのホストするサーバーに対するDDoS攻撃も行われていたとのこと。その後、Tiger Securityでは英国と米国のISPに連絡し、wopbotのC&Cサーバーとマルウェアをホストするサーバーをネットワークから切り離すことに成功している。

現在のところwopbotの感染台数は不明だが、Shellshock脆弱性による影響はOpenSSLのHeartbleed脆弱性以上のものになる可能性もあるとのことだ。
11543650 story
セキュリティ

LinuxサーバにDDoS攻撃を行うボットネットが確認される 17

ストーリー by hylom
管理者の皆様ご注意を 部門より
taraiok 曰く、

9月3日、オンライン・コンテンツ向けのクラウドサービスを展開しているAkamai Technologiesは、新たなサイバーセキュリティ脅威に対するリリースを出した。それによると、ElasticSearchやStruts、Tomcatに存在する脆弱性を悪用し、Linuxサーバーに侵入してマルウェアを設置するという攻撃が確認されているという( HELP NET SECURITYSlashdotCodeZine)。

問題のマルウェアは「IptabLes」と「IptabLex」というもので、これに感染すると、エンターテイメント関連業界に対してDDoS攻撃を仕掛けるという。攻撃者は適切にメンテナンスされていないサーバーに対し脆弱性を悪用してアクセス権を入手し、悪質なコードをシステムに潜伏させるという。このコードが仕込まれたマシンはDDoSを行うボットネットの一部としてコントロールされてしまうそうだ。詳細についてはAkamai TechnologiesのPLXsertでも公開(登録制)されている模様。

11230945 story
検閲

全国の警察がISP各社に対しロシア(ru)ドメインへの接続遮断を要請 59

ストーリー by hylom
ただしソースは 部門より
Feuerbach 曰く、

FACTAによると、国際的に被害の相次ぐネットバンキングによる不正送金被害を阻止するため、2014年5月下旬に、全国の警察より各地のプロバイダに対して、ロシア(ru)ドメインに対する通信遮断の要請が行われていたという。

本作戦はFBI主導の下で、米国、欧州(欧州刑事警察機構)、カナダ、オーストラリア、ウクライナなどと連携して実施された国際作戦で、ロシア国内に設置されている攻撃者のサーバからのアクセスを遮断することで、感染端末群(ボットネット)の情報をFBIがインターネット上に設置する作戦実行用のハニーポットに効率的に集約し、最終的に攻撃者のサーバを特定することが目的だった。

5月30日より各国で一斉に実施された本作戦は成功し、6月2日に米司法省とFBIは、ボットネットの停止と、攻撃用サーバの管理者であったロシア人、エフゲニー・ボガチェフの起訴に至っている。

さて、ここで問題となったが日本の警察のプロバイダーに対する「要請」である。警察は、犯罪に関係していると疑われる3万8千件のロシア(ru)国内のIPリストをCD-Rに入れて、担当者が各プロバイダーを一軒一軒直接訪問し「お願い」をしたそうだ。また、指定された3万8千件のIPアドレスの遮断を、コスト・手間・技術上の観点より困難と伝えたプロバイダに対しては、ロシアドメイン(ru)をすべて遮断するように「お願い」したケースもあったとのこと。

さらに、法的根拠に基づかない通信の遮断は、日本国憲法の定める「通信の秘密」との関係上、違法性の疑いの濃い措置であっため、本作戦について総務省は「事業者の判断に任せる」という立場を取っていたにも関わらず、担当官が口頭で「総務省の了解を得ている」と伝えて「お願い」した例もあり、それを信じて遮断に応じてしまったプロバイダーやCATV事業者もあったそうだ。

なお大手プロバイダー各社は、弁護士・法務担当者が協議し、早々と「遮断しないことを決定した」とのことである。

記事内で出ている「FBIの作戦」は「GameOver Zeus」というマルウェアに対する摘発作戦だと思われるが、FBIなどがロシアドメインに対する接続遮断を要請したという話は出ていない(日経ITproMicrosoftマイナビニュースINTERNET Watch)。

10934549 story
インターネット

国内のC&Cサーバーにインターネットバンキングの口座情報13,000件が蓄積されていた 30

ストーリー by headless
収集 部門より
国内のレンタルサーバー業者が提供するサーバーで、不正に取得されたとみられるインターネットバンキングのパスワードやIDを含む口座情報およそ13,000件が見つかったそうだ(MSN産経ニュースの記事日本経済新聞の記事NHKニュースの記事)。

警視庁サイバー犯罪対策課は昨年10月、インターネットバンキングの口座情報を受信している国内のC&Cサーバーが存在するとの情報提供をトレンドマイクロから受け、3月にサーバーが停止するまで監視を続けていた。13,000件の口座はみずほ銀行や三菱東京UFJ銀行など16の銀行の預金者のもので、うち250件が不正送金に使われていたことが判明。監視を始めてからは口座情報が送信されるたびに各行に通知していたため、追加の被害は確認されていないという。警視庁ではサーバーの利用者を不正アクセス禁止法違反などの容疑で捜査しているとのことだ。
typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...