[続報] Internet Explorer 0-day exploit（5月1日）

• マイクロソフト「IE」の脆弱性に世界震撼 （東洋経済オンライン） - Yahoo!ニュース BUSINESS
• IEを使わずにリモートのファイルをダウンロードする方法 - 葉っぱ日記

「とくダネ！」の冒頭で流れるくらい、世間一般で騒ぎが拡大しているようで。これを狙ったスパムとかもあるんだろうなー。「これをダウンロードして実行すれば安全にインターネットが見られます！」みたいな。

ワームライクなAndroidのマルウェア「Samsapo」（5月1日）

• Android malware worm catches unwary users
• New Android Trojan spreads like a worm

when running on an Android device, it will send an SMS message with text “Это твои фото?” (which is Russian for “Is this your photo?”) and a link to the malicious APK package to all of the user’s contacts.

自ら拡散していくAndroidマルウェア登場。悪意あるパッケージをダウンロードしたり、デバイス上の個人情報を送信したりする。
Androidのセキュリティは喫緊の課題って感じですね。最近Androidを狙った話ばかり。

Kali Linux、ML用のサイトを改ざんされる（5月1日）

• Kali Linux website hacked by The GreaT Team - E Hacker News

"Looks like our inactive, 3rd party, 0 volume mailing list was hacked. DNS entry removed - back to sleep, problem solved." Kali Team's response to the breach.

4ちゃんに不正アクセス（5月1日）

• 4chan Blog
• Popular Image Board 4chan hacked, moderator accounts targeted - E Hacker News

After careful review, we believe the intrusion was limited to imageboard moderation panels, our reports queue, and some tables in our backend database.

嫌いなユーザが何を投稿しているのかを見たくてやったらしいとのこと。支払いに関する情報は別会社が管理しており、そちらは盗まれた形跡なし。

SMSを悪用したマルウェアで10万ドル以上稼いだベトナム人ハッカー逮捕（5月2日）

• Vietnam police seize 4 for stealing ,000 via cellphone spyware
• 4 Cybercriminals from Vietnam arrested for using SMS malware to earn $100,000 - E Hacker News

Once the malicious application infects a smart phone, the app will automatically send SMS messages to premium rate numbers. Premium rate numbers allows the owner to earn money from incoming calls and SMS.

むかーしアジアパシフィックの人たち向けにセキュリティセミナーをやった時、ベトナム人の成績が断トツで一番でした。

ロシア、アメリカとウクライナに対するサイバー攻撃を画策？（5月2日）

• Security Experts Warn Of Possible Russian Cyberattack Against The U.S., Ukraine
• Russia May Retaliate With Cyber Attacks Over Sanctions - The State of Security

Former U.S. security officials including Richard Clarke issued warnings that Russia may use cyber warfare tactics against the in retaliation for sanctions levied in response to their aggressions against Ukraine.

ポケットサイズのペネトレーションテストツール「Pwn Phone」（5月12日）

• Pwn Phone 2014 - Penetration Testing Phone - Pwnie Express
• Penetration testing device that fits in your pocket

Pwn Phone's custom Android front-end and ‘one-click’ pentesting applications and software updates make it suitable for pentesters who are on the road or conducting a company or agency walk through.

お値段1,295ドルなり。

「Operation Saffron Rose」イランのハッカー集団Ajax Security Teamについてのレポート（5月15日）

• Operation Saffron Rose | FireEye Blog
• The evolution of an Iranian hacker group

This group, which has its roots in popular Iranian hacker forums such as Ashiyane and Shabgard, has engaged in website defacements since 2010. However, by 2014, this group had transitioned to malware-based espionage, using a methodology consistent with other advanced persistent threats in this region.

スノーデンの暴露本「No Place To Hide」（5月15日）

著書販売記念？にいろいろリークしているようです。

• エフセキュアブログ : #Snowden のNSA暴露1周年を前に発売されたグレン・グリーンウォルド著「No Place To Hide」と #FiveEyes の歴史
• 『暴露 スノーデンが私に託したファイル』世界24カ国同時発売−世界最速レビュー - HONZ
• スノーデンの最新文書、Facebookの脆弱性を暴露 | TechCrunch Japan
• NSA allegedly puts backdoors on American-made network devices

台湾の機関を狙う標的型攻撃（5月15日）

• 台湾の機関を狙う標的型攻撃を確認。Microsoft Wordに存在したゼロデイ脆弱性「CVE-2014-1761」を利用 | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）
• Targeted Attack Against Taiwanese Agencies Used Recent Microsoft Word Zero-Day | Security Intelligence Blog | Trend Micro
• Microsoft Word に存在するゼロデイ脆弱性「CVE-2014-1761」が確認される | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

カスペルスキーのアンチウイルスソフトに似せたマルウェアがGoogle PlayとWindows Phone Storeに登場（5月16日）

• Fake Kaspersky Antivirus app found on Google Play, Windows Phone Store - E Hacker News
• Fake antivirus – attack of the clones - Securelist

有料にしてお金を稼いでるだけで特に悪さはしないらしい。同じ開発者が偽のFirefoxやChromeの有償版を売っているらしい。これくらいはベンダー側で弾くようにして欲しいなー。

[続報] LibreSSL（5月19日）

• BSDCan2014: LibreSSL
• 30-Day Status Update On LibreSSL - Slashdot
• OpenSSLにはこんなに問題が! LibreSSL開発者が発表 - BSDCan2014 | マイナビニュース

プロジェクト開始から30日が経ち、現在の状況や既存のOpenSSLの問題点などを公開しています。OpenSSL、ボロクソに言われております。とにかくソースコードが汚いらしい。

マルウェアとウイルス対策ソフトのイタチごっこ（5月19日）

• 長期潜伏、自らを削除--サンドボックスを回避する未知のマルウェア - ZDNet Japan

内容を約めすぎたタイトルなので分かりづらいのだけど、

PC上のプログラムに悪意あるコードを追加（コードインジェクション）した後自身を削除するマルウェアが存在し、それを確認するためにサンドボックス上でマルウェアを動かすわけだけど、例えば作成者が用意したサーバにアクセスできるか確認するとか、「自分が実行されているのはサンドボックスなのかどうか」を確認するようなマルウェアもあって、ほんとイタチごっこですよね。

という話のようです。

Dropboxの共有リンクが、意図しない相手に漏れる可能性（5月19日）

• The Dropbox Blog » Blog Archive » Web vulnerability affecting shared links
• Dropboxの共有リンク、外部のWebサイトへ筒抜け - ITmedia ニュース

ちょっと古め。

これもITMediaの記事を読んだ時一瞬「は？」と思いましたが、シナリオとしては

1. Dropbox上にある文書をAさんと共有したいので、Aさんに共有用のリンクを教える
2. Aさん、[Dropboxの共有用のURL]をクリック
3. Aさん、表示された文書に含まれるリンク（どっかのWebサイトのURL）をクリック
4. 接続先のWebサーバのログにリファラが残る
5. そのリファラが1.の[Dropboxの共有用のURL]である
6. サーバ管理者がログを見て[Dropboxの共有用のURL]を発見、アクセスする

ということのようです。これは脆弱性なのか？まあリファラを残すのはよくないということか。
記事では「Webサイトに公開される」とあるけど、「Webサーバにログが残る」ってことじゃないのかな。だいぶ大きな違いだと思うけど。

本件とは直接関係ないけど、この「共有リンク」ってリンクさえ知ってりゃ誰でも見られるので、この方法で機密性の高い文書はやりとりしないほうがいいと思います。仲間内で写真を共有するとか、それくらいがいいのではと。

マルウェア「iBanking」の手口（5月21日）

• iBanking: Exploiting the Full Potential of Android Malware | Symantec Connect Community
• Android向けマルウェアとして恐るべき仕組みとビジネスモデルを備える「iBanking」とは？ - GIGAZINE

マルウェアに感染しているPCから銀行などのサイトにアクセスすると、Androidにセキュリティ向上のためのアプリをインストールするよう促す画面が表示される→画面の指示に従って個人情報を入力→AndroidにiBankingのインストール方法が書かれたメッセージが届く→iBankingをインストールして感染完了。凝ってんなー。オレオレ詐欺みたい。

Googleドライブの偽のログイン画面に注意（5月26日）

• Sophisticated Google Drive phishing campaign persists
• 巧妙なのであらためて注意、Google ドライブ上の偽Googleログインページ再び -INTERNET Watch

偽のログイン画面は本物ののGoogleドライブ上においてあるHTMLファイルなので、ドメイン名を見てもフィッシングページとは気づきにくい。いやほんとよく考えるね。

Microsoft、顧客情報提供要請に異議申立（5月26日）

• ニュース - Microsoft、顧客情報提供要請に異議申立をしていた：ITpro
• Microsoft successfully fights off FBI gag order, but agency still got its way | PCWorld
• Microsoft Stands Up To FBI Over Customer Data - Forbes

エライ。

台湾の政府機関を狙った標的型攻撃（5月28日）

• 台湾の政府機関を狙った標的型攻撃キャンペーン「PLEAD」を確認 | トレンドマイクロ セキュリティ ブログ （ウイルス解析担当者による Trend Micro Security Blog）

右から左に向かって文字を書く言語のためのユニコードの制御記号を使うと、本来は「tpp.scr」というスクリーンセーバーのファイル名を「rcs.ppt」と表示することができ、PowerPointのファイルに見せかけることができると。この手の攻撃手法を「Right-to-Left Override（RLO）」というそうです。あったまいーｗ

ちなみにRLO制御文字を無効にする方法がIPAから公開されています。2011年10月公開ということは、すでに知られた手法なのですね。

• IPA 独立行政法人 情報処理推進機構：コンピュータウイルス・不正アクセスの届出状況[2011年10月分]について

レジストリを変更してWindows XPのセキュリティアップデートを適用する方法が公開される（5月28日）

• Microsoft warns against Windows XP security update hack | Technology | theguardian.com
• レジストリをハックしてWindows XPにセキュリティアップデートを適用する方法が開発される | スラッシュドット・ジャパン セキュリティ

この設定によってWindows EmbeddedやWindows Server 2003のためのパッチが適用される可能性があり、Windows XPの脆弱性が修正されないどころか正しく動作しないようになる可能性もあるとMicrosoftは警告しています。

Spotifyに不正アクセス、更新版のAndroidアプリを公開（5月28日）

• Important Notice to Our Users | Spotify Blog
• BREACH! Spotify flings new app at all Android users • The Register
• Spotifyに不正アクセス、Androidユーザーにアプリ更新促す - ITmedia エンタープライズ

パスワードや決済の情報は無事とのこと。たった一人だけが被害にあっているところが想像をかきたてますね。にしてもサーバに不正アクセスされたこととアプリを更新することの関連がよく分からない。単にユーザ名とパスワードの再入力をさせたいだけならサーバ側で対応できるのでは？

iPhoneをリモートからロックし、アンロックに100ドル払うよう要求する事件がオーストラリアで多発（5月28日）

• iPadやiPhoneの乗っ取り被害多発、ロック解除に「身代金払え！」 - ITmedia エンタープライズ
• ハッカーが iPhoneを遠隔ロック、解除に『身代金』を要求する事件多発。Find My iPhoneを悪用 - Engadget Japanese
• Hackers lock iPhones remotely and demanding $100 to unlock it - E Hacker News
• My devices have been hacked. What do I...: Apple Support Communities

iPhoneやiPadが突然ロックされ、画面に「アンロックして欲しければ100ドル払え」というメッセージが表示される事件が、オーストラリアやニュージーランド、イギリスで起きているそうです。マルウェア感染ではなく「iPhoneを探す」機能を使ってロックしているのではないかということで、ランサムウェアならぬランサム攻撃？Appleのアカウントを奪取できればできそうな攻撃ですが、原因や被害が特定の地域に集中している理由は不明。

中国、IBM製サーバの使用中止を示唆（5月28日）

• China Said to Study IBM Servers for Bank Security Risks - Bloomberg
• China ponders ban on IBM servers • The Register

激化する米中サイバー攻防。中国国内の銀行がアメリカの企業であるIBM製のサーバを使うのはいかがなものかという問題提起。地元産のサーバに置き換えるのがよろしいという話ですが、それやっちゃうと大混乱が起きそうですね。

パキスタンのハッカー、タージマハルの公式サイト改ざん（5月28日）

• Official websites of Taj Mahal and Agra Fort hacked by Pakistani hackers - E Hacker News

インド・パキスタンは日常的にサイバー攻撃をやりあってますね。

TrueCrypt、開発終了？（5月30日）

• "Using TrueCrypt is not secure" , End of TrueCrypt Development - E Hacker News
• TrueCrypt considered HARMFUL – downloads, website meddled to warn: 'It's not secure' • The Register
• True mystery of the disappearing TrueCrypt disk encryption software | Naked Security
• TrueCrypt Warns Software 'Not Secure,' Development Shut Down | Threatpost | The first stop for security news
• “TrueCrypt is not secure,” official SourceForge page abruptly warns | Ars Technica
• Bombshell TrueCrypt advisory: Backdoor? Hack? Hoax? None of the above? | Ars Technica
• TrueCrypt turmoil latest: Bruce Schneier reveals what he'll use instead • The Register
• 暗号化ソフトTrueCryptは「安全ではない」 -INTERNET Watch

2014年5月29日18時現在、http://truecrypt.sourceforge.net/は以下の様なページになっています。

最後にTrueCryptのパッケージへのリンクがあるのですが・・・。

TheRegisterによると、このパッケージにはこのページのソースが含まれていて怪しさ全開。でも正規の署名付きだそうで、完全にmalだとは言えない状況なようです。Webサイトが改ざんされ、マルウェア入りのパッケージが公開されている、という話だと思ったのですが、本当に開発をやめてしまったのでしょうか？

つい最近、SourceForgeはパスワードのリセットを呼びかけていましたが、それとの関連も不明。とにかく公式なアナウンス（まぁ公式サイトにガッツリ載ってるのが公式アナウンスのつもりなのかもしれないけどｗ）を待っておいたほうがよさそうです。

TrueCryptはNSA絡みでバックドアが仕込まれていないかコードのチェックをしていて、4月に「そういう証拠はなかった」という記事が出ていたのですが、「second phase」ですごいの見つけちゃったとか？開発終了の理由はWindows XPがサポート終了したから、とか書かれてますけど、なんだか想像をかきたてますね。

と、ここまで29日に書いたのですが、どうやらこれは正規の対応らしく、本当に開発終了のようです（GRC's | TrueCrypt, the final release, archive  ）。

にしても、

Last I heard from Truecrypt: "We are looking forward to results of phase 2 of your audit. Thank you very much for all your efforts again!"

— Matthew Green (@matthew_d_green) 2014, 5月 29

やっぱりなんかヤバいものを（ry

[続報] iPhoneをリモートからロックし、アンロックに100ドル払うよう要求する事件がオーストラリアで多発（5月30日）

• iPhone and iPad 'ransom' attack was not caused by iCloud hack, says Apple | Technology | theguardian.com
• iPhoneロック被害にAppleがコメント、「iCloudは破られていない」 - ITmedia エンタープライズ

iCloudが攻撃されたわけではなく、フィッシングサイトに引っかかった人が被害にあっているということです。

ロシアとウクライナ、マルウェアの活動が活発に（5月30日）

• Strategic Analysis: As Russia-Ukraine Conflict Continues, Malware Activity Rises | FireEye Blog

インド・パキスタンといい、国際問題と直結してますね。

感想

ソースは基本的に日本とアメリカのメディアが中心で、The Registerとか若干イギリスのニュースも読んでます、という感じなのでよっぽど目立つ事件じゃないと入ってこない。インド、パキスタン、ウクライナ、ロシアあたりのサイバー攻撃が盛んなところはもうちょっと追いたい気もする。