Letzte Woche wurde eine Schwachstelle mit dem Namen „Heartbleed“ in der beliebten Bibliothek mit Kryptografiesoftware OpenSSL entdeckt (http://heartbleed.com). OpenSSL ist weit verbreitet und wird häufig in Verbindung mit Anwendungen und Webservern wie Apache und Nginx verwendet. Die Schwachstelle ist in den OpenSSL-Versionen 1.0.1 bis 1.0.1f enthalten und ermöglicht es Angreifern, den Arbeitsspeicher der betroffenen Systeme auszulesen. Durch den Zugriff auf den Arbeitsspeicher können die Angreifer Zugang zu privaten Schlüsseln erhalten, wodurch es ihnen möglich wird, SSL-verschlüsselte Kommunikation zu entschlüsseln und mitzulesen und sich als Service-Anbieter auszugeben. Die Daten im Arbeitsspeicher können auch andere vertrauliche Daten wie Benutzernamen und Kennwörter umfassen.

Heartbleed ist keine Schwachstelle von SSL/TLS, sondern ein Softwarefehler in der Heartbeat-Implementierung von OpenSSL. SSL/TLS ist nicht defekt, sondern nach wie vor der Goldstandard für die Verschlüsselung von Daten bei der Übertragung über das Internet. Aufgrund der Beliebtheit von OpenSSL verwenden aber laut dem Netcraft-Bericht über Webserver wahrscheinlich ca. 66 % des Internets, also zwei Drittel der Webserver, diese Software. Unternehmen, die OpenSSL verwenden, sollten daher so schnell wie möglich ein Update auf die neueste, korrigierte Version (1.0.1g) durchführen oder OpenSSL ohne die Heartbeat-Erweiterung neu kompilieren.

Als weltweit führende Zertifizierungsstelle hat Symantec bereits Maßnahmen zum Schutz seiner eigenen Systeme ergriffen. Unsere Root-Zertifikate sind nicht gefährdet, aber wir haben gemäß unseren Best Practices sämtliche Zertifikate auf Webservern, die die betroffenen Versionen von OpenSSL verwendet haben, neu verschlüsselt.

Symantec empfiehlt seinen Kunden, nach der Aktualisierung oder Neukompilierung ihrer Systeme unabhängig vom Aussteller alle Zertifikate auf ihren Webservern zu ersetzen, um das Risiko einer Sicherheitsverletzung zu mindern. Symantec stellt allen seinen Kunden kostenlose Ersatzzertifikate bereit.

Darüber hinaus rät Symantec seinen Kunden, die Kennwörter der Verwaltungskonsole für SSL und Code Signing zurückzusetzen. Dies zählt ebenfalls zu den Best Practices und wir empfehlen allen Unternehmen, auch ihre Kunden dazu aufzufordern, nach der Behebung des Problems auf ihren Systemen dieselben Maßnahmen durchzuführen. Wir werden mit unseren Kunden eng zusammenarbeiten, um die Auswirkungen der Sicherheitsrisiken zu minimieren, die sich durch diese Schwachstelle ergeben.

Zur besseren Übersicht fassen wir die Maßnahmen hier noch einmal zusammen:

Unternehmen:

• Alle Unternehmen, die OpenSSL verwenden, sollten ein Update auf die neueste, korrigierte Version der Software (1.0.1g) durchführen oder OpenSSL ohne die Heartbeat-Erweiterung neu kompilieren.
• Ersetzen Sie nach der Umstellung auf eine korrigierte Version von OpenSSL die Zertifikate auf ihren Webservern.
• Gemäß Best Practice sollten abschließend nach Möglichkeit die Benutzerkennwörter zurückgesetzt werden, da diese im Arbeitsspeicher eines gefährdeten Servers sichtbar gewesen sein können.

Verbraucher:

• Machen Sie sich bewusst, dass Ihre Daten von unbefugten Dritten eingesehen worden sein können, wenn Sie einen betroffenen Service-Anbieter verwendet haben.
• Lesen Sie alle Nachrichten der von Ihnen verwendeten Anbieter. Sobald ein betroffener Anbieter seine Kunden dazu auffordert, die Kennwörter zu ändern, sollten Sie dies unverzüglich tun.
• Fallen Sie nicht auf mögliche Phishing-E-Mails herein, in denen Sie zur Aktualisierung Ihres Kennworts aufgefordert werden. Rufen Sie immer nur den offiziellen Domänennamen der Website auf, um nicht auf eine gefälschte Website zu gelangen.

An industry conference is always a good place to learn and get updates on the latest security trends. I recently attended the Symposium on Security for Asia Network (SyScan), an annual conference held in Singapore, which brings together computer security researchers from around the world. This year, security myths were dispelled and several interesting topics were discussed at the conference. The following is a list of some of the topics and demonstrations I found interesting at this year’s conference.

Smart cars at risk
Most cars today contain Engine Control Units (ECUs), computers that enable the engine to communicate with other vehicle components. Researchers at SyScan 2014 explained how they managed to simulate a car environment on their desktop using second-hand ECU devices purchased from online Web stores. The researchers managed to carry out basic automotive actions such as acceleration, braking and steering, as well as gain an understanding of the underlying proprietary protocols of the car. What this means is that once an attacker gains control of the ECU, they can basically control the car.

Being able to control a car’s ECU is far more dangerous than being able to manipulate its automation functions such as opening closing windows and turning lights on and off. It is pretty scary if adequate controls are not put in place to prevent an attacker from gaining control of the ECU. This could become more problematic as more and more cars become part of the Internet of Things (IoT). Microsoft has recently tested the latest version of their Windows in-vehicle infotainment system, while Apple already unveiled CarPlay, an entertainment system that enables users to see their iPhone interface on a car’s built-in display.

Mobile point-of-sale infected with malware
2014 has seen the emergence of several point-of-sale (PoS) malware, some of which were involved in several high-profile attacks against the retail industry. Today, mobile point-of-sale (mPOS) terminals have also become a target. mPOS devices are often used for card payments, especially for small and medium-sized businesses.

Most mPOS devices run on Linux, and researchers at SyScan were able to compromise and take over an mPOS device by using removable drives or Bluetooth. To prove their claims, they installed the game Flappy Bird on the device, and then played it on the device’s LCD screen using the PIN input buttons as the controls.

The researchers highlighted how mPOS devices can be hit by malware that can keep track of payment information and subsequently share the records online, or perform special functions such as making  the device accept payment from cards using any PIN code.

The proliferation of RFID and NFC devices
Today, everyone interacts with radio frequency identification (RFID) and near field communication (NFC) enabled devices. They are present in our door-entry cards, transport cards and contactless credit cards. Radio waves are everywhere!

The “RFIDler”, a low-level RFID communication open-source platform prototype presented during the conference, is used to read and write common types of tags. The platform will soon be available to the general public. It was interesting to see how easily it can be used, as well as the potential damage it can cause. For example, an existing card can be duplicated in a couple of seconds. According to the platform’s author, even if a card format is unknown, the platform is extensible and a new card format can be added in less than a week.

Now that a common extensible reader and writer exist, how long will it be before these devices become targeted by attackers?

Mobile security versus anonymity
Users who cannot live without their smartphones may have already thought about the consequences of losing their devices. To help ease those fears, a researcher at SyScan 2014 presented a hardened Android Read-Only Memory (ROM) solution that he created, dubbed Cryptogenmod. Cryptogenmod is based on Cyanogenmod, an open-source operating system for mobile devices based on Android. The  aim is to provide a minimal ROM with remote and physical access protection. Remote protection is achieved by reducing the attack surface, so there will not be a Web browser or an app store on the smartphone. Physical access protection is more complex and is achieved by using secure application containers, strong encryption, and some indicators of a negative operational environment.

Other safeguards were described including one which detects if a SIM card is removed or a debugger is attached. If one of these actions is detected, the application containers will be unmounted and require a passphrase to be opened again, while the phone will be locked automatically and require the owner to login again. With this solution, should you lose your phone, your data will remain secure. However, I am not sure if users want a device that is connected but does not allow them to surf the Web or even use the camera (which is known to leak the user’s location). That sounds like a not-so-smartphone.

Overall, while smartphones are still a hot topic I expect to see the Internet of Things dominate industry discourse for the foreseeable future as people gradually delegate tasks to smart devices in order to save themselves time and effort.

To find out more, check out the videos and published papers at SyScan’s main website.

今年も、シマンテックの最新の調査結果をお伝えする『インターネットセキュリティ脅威レポート』（ISTR）（英語）をお届けする時期になりました。過去 1 年間のシマンテックの調査と解析に基づいて、脅威を取り巻く世界の現状を考察しています。今年のレポートで取り上げている大きな傾向としては、データ侵害と標的型攻撃の大幅な増加、モバイルマルウェアとランサムウェアの進化、モノのインターネットがもたらす潜在的な脅威といったことが挙げられます。以下、これらのテーマについてそれぞれ詳しく見ていきます。

大規模なデータ侵害の年
2011 年は「データ侵害の年」と呼ばれましたが、2013 年のデータ侵害は前年までの規模をはるかに超えるものでした。2013 年、データ侵害の件数は 2012 年から 62% 増え、さらには漏えいした個人情報の数は 5 億 5,200 万件と、実に 368% も増加しています。また、データ侵害の被害が大きかった上位 8 件すべてにおいて、漏えいした個人情報の数が 1,000 万を超えた初めての年でもあり、まさに「大規模な」データ侵害の年だったと言えます。その前年、2012 年は同様の規模のデータ漏えいは、わずか 1 件にすぎませんでした。

中規模企業に狙いを定める攻撃者
これまでのレポートをお読みであれば、攻撃者の狙う主な標的が中小規模の企業（SMB）であることをご存じでしょう。今年もその傾向は変わっていません。2013 年には、SMB 全体が標的型攻撃の半数を超えて 61%（2012 年は 50%）に達し、なかでも中規模（従業員数 2,500 人以上）企業への攻撃が最も大きく増加しました。

規模を問わず全企業に対する攻撃も、2012 年から 91% とほぼ倍増しています。サイバー犯罪者が、攻撃の成功率を高めようとして水飲み場型攻撃やスピア型フィッシングを仕掛けている点は前年と同様ですが、攻撃活動に電子メールを利用する比率が下がってきたため、スピア型フィッシング攻撃は 23% 減少しました。一方、水飲み場型攻撃によってドライブバイダウンロードを通じた攻撃が増え、標的が頻繁に訪れる Web サイトでユーザーを待ち構えて狙うようになっています。ゼロデイ脆弱性が 61% 増加したことも、攻撃を助長しました。攻撃者は、ゼロデイ脆弱性を悪用することで、適切にパッチが適用されていないサイトに攻撃を仕掛け、余分な手間をほとんど、あるいはまったく掛けずに被害者の環境に感染できるためです。

最も多く狙われた業種は、引き続き政府機関でした（全攻撃の 16%）。今回のレポートでは、攻撃の量だけでなく、誰が好んで標的にされるのか、標的に選ばれる確率はどのくらいなのかも調べています。悪いことに、その確率の点で誰が有利ということはなく、標的型攻撃には全員が備えなければなりません。ただし、その確率を確かめた結果、意外な事実も判明しています。中規模の採掘会社で個人秘書を務めている方には残念なニュースですが、あなたは「最も狙われている」業種です。

消費者のプライバシーを侵害するモバイルマルウェアとマッドウェア
深く考えずに新しいアプリをモバイルデバイスにダウンロードする人は少なくありませんが、悪質なアプリの多くは、きわめて不快な機能や望ましくない機能を備えています。2013 年に作成された新しいマルウェアのうち、33% はユーザーを追跡し、20% は侵入先のデバイスからデータを収集していました。また 2013 年は、Android デバイスに対するリモートアクセスツールキット（RAT）が出現し始めた最初の年でもあります。デバイス上で実行されている RAT は、監視をしたり電話を掛けたりするほか、SMS メッセージを送受信する、デバイスの GPS 座標を取得する、カメラとマイクを有効にして利用する、デバイスに保存されているファイルにアクセスするといったことが可能です。もちろん、被害者はそれを知ることもなければ、同意もしていません。

爆発的に増え、ますます悪質になるランサムウェア
シマンテックが以前に予測したとおり、2013 年にはランサムウェア（コンピュータやファイルをロックする悪質なソフトウェア）が急増しました。過去 1 年間で 500% という爆発的な増加を示したことに加え、身代金の受け取りに成功するたびに 100 ～ 500 ドルの利益があるという、攻撃者にとっては非常に儲かる商売になっています。また、高度な暗号化によってデータを人質に取り、所定の期日までに身代金を支払わなければデータを完全に消去すると脅すなど、攻撃の悪質さも増してきています。

個人情報窃盗の未来を握る「モノのインターネット」
過去 1 年間にハッキングの被害に遭ったのは、冷蔵庫とベビーモニターのどちらでしょうか。お客様にこう質問すると多くの人々は「両方」と答えますが、正解はベビーモニターです。ニュースなどでどう報じられていようと、インターネットに接続された冷蔵庫が実際に攻撃を受けたことは、まだありません。ただし、あくまでも「まだない」だけです。セキュリティ研究者は 2013 年に、自動車、防犯カメラ、テレビ、医療機器に対する攻撃がいずれも可能であることを実証しています。次は冷蔵庫の番かもしれません。モノのインターネット（IoT）は今ちょうど成長過程にあり、関連する脅威が追随するのは間違いありません。今年のレポートで、これまでに判明した点に触れていますが、インターネットに接続されているデバイスのうち攻撃を受けるリスクが最も高いのはホームルーターであるという見解は一致しています。

次に起こるのは何でしょうか。IoT デバイスには個人情報や銀行口座などの情報が保存されているので、実際に冷蔵庫がハッキングされる事案が発生するのも時間の問題でしょう。今のところ、IoT デバイスのメーカーとユーザーのどちらにとってもセキュリティは二の次です。深刻なセキュリティ事案が発生するまでは真剣に考慮されないかもしれませんが、潜在的なセキュリティリスクに備えて今すぐ検討を開始しておけば、いざというときのために万全の準備をすることができます。まずは、今年の ISTR をお読みいただくことから始めてください。

詳しくは、『インターネットセキュリティ脅威レポート』第 19 号（英語）をご覧ください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

SFHA6.0.5 can be download now.

Hello Everyone,

Symantec Endpoint Protection 12.1 Release Update 4 Maintenance Patch 1A (12.1.4104.4130 - 12.1 RU4 MP1a) English has been released and is now available for customers to download on FlexNet. This new SEPM release addresses the OpenSSL “Heart Bleed” vulnerability. Additional language versions will become available throughout the week.

Please refer to the following KB article for additional detail:

Is Symantec Endpoint Protection affected by the Heartbleed OpenSSL vulnerability (CVE-2014-0160)

• The new SEPM build is labeled RU4 MP1a with a version number of 12.1.4104.4130.

• This version of the SEPM is supported for migrations over any version of the SEPM (Customer does not need to update to RU4 prior to applying the MP1a)

• The only change from RU4 MP1 to RU4 MP1a is the updated version of OpenSSL.

• The packages directory of the SEPM will include the RU4 MP1 RTM build of SEP or SNAC depending on the CD Layout 

• The Versions.txt will include the updated version information.  Note:  Due to the way this is generated, it will state the build number correctly, but the build number will also show an updated SEP client, which is not included.

• This is all noted in the KB article.

Once files are live, we will be updating the KB article with the availability information.   

After successful migration to RU4 MP1a it's recommended to change administrator passwords.  While we haven't had any reports of exploitation occurring, as an additional layer of security the customer may want to update the SEPM private key, as described in the KB “Responding to Symantec Endpoint Protection Manager certificate compromises”.

A few weeks ago, the CR in Action blog featured an article on Symantec’s sponsorship of the Dare2BDigital conference. Symantec has sponsored and partnered in the Dare2BDigital conference for four consecutive years, but this year for the first time, Symantec also hosted a student workshop,"Catch the Phish and Digital Drama." Marian Merritt, Director, Cyber Education & Online Safety Programs, developed the workshop materials. I led the sessions, together with twelve other Symantec volunteers.

We had three 75 minute sessions that day, with ten to 30 students attending each session. We had a great mix of participants at each session, with ages ranging from 11 to 18, representing private and public schools all over the Bay Area. All the girls were quite tech savvy. Everyone had an email account, and the majority of them have at least one mobile device, at least one social networking account, and at least one messaging app.

Catching the Phish….

The first half of the workshop was discussing phishing attacks and how to avoid other common Internet problems. Students shared their related experiences. I outlined common characteristics of phishing emails. Then we broke into smaller groups for phishing game competition. Each group collaborated to analyze ten emails to decide whether it was a phish or legitimate. We scored each team and awarded one winning group for each session. But they all did really well, most achieving above 80 percent in accurately identifying the emails.

…and Digital Drama

In the second half of the workshop we discussed “digital drama”. Digital drama is a term often used to describe difficulties arising from online interactions between young people. We played two video clips to discuss the roles gender can play in our online activities. One featured a candid discussion between middle school students about online drama. The other featured clips from The Real Housewives reality TV series. After watching each video clip, students analyzed generalizations about men and women in both videos, and we discussed strategies for critically thinking about the ways that gender stereotypes can play out in mass media, as well as in our own online lives. 

The girls admitted the difference between boys and girls in their online activity. However, they all agree that generalizations are wrong (e.g. boys gossip a lot too), and people’s behavior is influenced by social media (e.g. sensitive boys hide their emotions and pretend to be tough). The students demonstrated their independence, and were loud and firm in their determination to fight against the unfair public portraits of women.

Personal Stories Bring Lessons to Life

Besides sharing their opinions, some students also shared powerful personal stories. For an example, one girl described a situation where her friend was bullied verbally by people around him. The young man heard these mean remarks and began to believe them, internalizing the message that he was meaningless to this world. Tragically, this poor young man committed suicide. Today’s young adults are facing unbelievable stress and challenges that no other generation ever had. Despite these sad stories, it was amazing to see that our workshop participants drew strength from our discussions and found the time worthwhile.

The Symantec workshop was very well received by the students, as 92 percent thought the Catch the Phish and Digital Drama workshop was "great" or "good." Participants said it was "very interesting and interactive" and "the videos were cool and learning about phishing was interesting." They also said it offered "interesting perspectives and valuable tips." 

There were ten student workshops going on in parallel. Other workshops included “Amazing Robots” by IBM; “Battle of the Networking Stars” by Brocade; and “NetUggs Delivery Challenge” by Netapp.

It is extremely encouraging to see that Symantec truly drives towards this cultural shift where we encourage young girls to pursue careers in STEM... or as one of the students corrected us and said STEAM, adding the “A” for the word ‘and” in the phrase “Science, Technology, Engineering and Mathematics."

At the end of the event, all Symantec volunteers felt they had learned more from the students than they had taught them. It was definitely one of the most satisfying and inspiring events we had ever volunteered for.

Shu Zhang is Senior Manager, IT at Symantec.

A Páscoa, como muitas outras datas comemorativas, deveria significar um dia de alegria, o que obviamente remete a presentes, compras e festas. Porém, essa animação não é a única coisa que está sendo espalhada neste feriado. Os Spammers também começaram a difundir seu trabalho vicioso. A poucos dias da Páscoa, o volume de Spams cresceu significativamente.

A cada ano que passa, a Symantec observa certas categorias de Spam utilizando a Páscoa como tema central e este ano não foi diferente. Vamos ver abaixo alguns dos diferentes tipos de Spam que a Symantec coleta ano após ano bem como alguns exemplos coletados este ano.

Spams de Bens de Consumos

Com presentes sendo o item mais importante de qualquer data comemorativa, Spam de produtos (especialmente bens de consumo) é a categoria de Spam que a Symantec mais observa. Nesse tipo de Spam, itens como relógios e joias falsificadas  são promovidos usando slogans e belas imagens de produtos. O cabeçalho do e-mail inclui exemplos como:

De: “WorldOfWatches” <johnwatson@[REMOVED]>

Assunto: Desafio termina no fim de semana de Páscoa

De: “DailyPromos” <aacpu@[REMOVED]>

Assunto: Nossa sugestão hoje para a Páscoa 2014

Imagem 1: Tema de Páscoa replica bom spam

Spams Médicos e Farmacêuticos

Spams de remédios e farmácias são outra categoria de Spam que vemos muito quando chegamos perto das datas comemorativas. Esses Spams normalmente contém algum link para sites de farmácias que fingem vender medicações online sem a necessidade de receitas médicas. Esses sites normalmente exibem banners festivos para criar um clima mais realista.

Imagem 2: Temas médicos de Spam de Páscoa

Spams específicos para quem quer perder peso são uma subcategoria dos Spams médicos que são vistos em muitas línguas diferentes. Medicações para perda de peso exibidas nessas mensagens variam de medicações reconhecidas pelo mercado bem como extratos de ervas e plantas exóticas. O cabeçalho do e-mail inclui exemplos como:

De: “Mackenzie Burns” <monday@REMOVED>

Assunto: Começe a comer essa fruta diariamente e perca gordura antes da páscoa!

Spams de Produtos

Grandes lojas de varejo e marcas oferecem inúmeros descontos e promoções durante as datas comemorativas e os Spammers se aproveitam disso. Spammers geralmente constroem seus E-mails para que pareçam vir de conhecidas marcas e lojas de varejo, mas normalmente eles possuem links redirecionando para sites falsos. Ofertas para cupons de presentes também são muito comuns. Os produtos vistos nesse tipo de Spam variam desde brinquedos até Veículos. O cabeçalho do e-mail inclui exemplos como:

De: Auto-Dealer-Online <williamw@[REMOVED]>

Assunto: Promoção de Outono para todos os carros, Jipes, Caminhonetes e SUVs

Imagem 3: E-mail com banner de spam

Imagem 4: Spam de cupom de presente de Páscoa

Spam de Presentes Personalizados

Presentes e lembranças personalizadas também estão ficando populares este ano e Spams promovendo mensagens personalizadas em ovos de páscoa e coelhinhos da páscoa está se mostrando popular entre os Spammers. A maioria desses Spams possuem links para sites falsos e alguns deles redirecionam o usuário a sites com conteúdo inapropriado.  O cabeçalho do e-mail inclui exemplos como:

De: Easter Bouquets <rebekkahFAjhLg@[REMOVED]>

Assunto: Deixe o coelhinho da Páscoa com inveja! Flores de Páscoa!

Imagem 5: Spam personalizado para crianças

Spam de Cassinos

Jogos online e Spams de cassinos aparecem em grande volume durante a época das datas comemorativas. Spams de cassinos provocam as vítimas com bônus na inscrição, recompensas em pontos e chances de ganharem fortunas. O cabeçalho do E-mail inclui exemplos como:

De: <suzanne122@[REMOVED]>

Assunto: Nessa páscoa, jogue gratuitamente no Cassino Gold Factory

Spam de Fraudes

Spams de fraudes monetárias rotinamente dão as caras durante essa época do ano. A Symantec observou muitos Spams fingindo serem de orfanatos ou instituições de caridade buscando doações para os menos afortunados. E-mails desconhecidos pedindo informações pessoais sempre deveriam ser tratados com cuidado. O cabeçalho do E-mail inclui exemplos como:

Português

De: <suzanne122@[REMOVED]>

Assunto: Feliz páscoa adiantado

Outra coisa que nos chamou a atenção esse ano foi o alto volume de Spams de páscoa em outras línguas. O ataque de Páscoa normalmente contém presentes e brindes, como o Spam de entrega de Cupcakes e Ovos de Páscoa mostrados aqui:

Russo

From: Пасхи<vamdetal@[REMOVED]>                   | From: pasha

Subject: СкороПасха                                                | Subject: Almost Pasha

From: Пряники<sladkie.pashi@[REMOVED]>         | From: Gingerbread

Subject: Кондитерскаямастерская                     | Subject: Confectionery masterskaâ

A Symantec deseja um Feliz Páscoa para todos os seus usuários e também aconselha muito cuidado com essas campanhas de Spams. Sempre tenha atenção com e-mails desconhecidos ou inesperados. Nunca clique em links de e-mails que pareçam suspeitos. Lembre sempre de manter seus softwares de segurança atualizados para lhe proteger e poder lhe fornecer a paz de espírito para comemorar e celebrar uma maravilhosa Páscoa.

A maior parte do foco com o Heartbleed tem sido referente a sites públicos, mas o bug afeta muito mais do que isso. Ainda que os sites mais populares não estejam vulneráveis, isso não significa que o usuário final possa baixar a guarda.

O Heartbleed também afeta softwares das organizações e corrompe sites, e-mail, chats, FTPs, aplicativos móveis, VPN e atualizadores de software. Em suma, qualquer cliente que se comunique através de SSL/TLS, usando uma versão vulnerável de OpenSSL, está sujeito a ataques.

Além disso, o Heartbleed afeta diversos outros aparelhos além de servidores de Web. Entre eles, proxies e servidores de mídia, games, banco de dados, chat e FTP. Por fim, equipamentos de hardware não estão imunes à vulnerabilidade. Ela pode afetar roteadores, PABXs (sistemas telefônicos corporativos) e, provavelmente, uma série de aparelhos que possuem Internet – IoT (Internet da Coisas, em português).

O ataque a estes servidores de software e hardware por meio da vulnerabilidade Heartbleed é feito de forma semelhante a  um ataque a sites vulneráveis. No entanto, golpes a clientes podem acontecer essencialmente da forma reversa.

Normalmente, a exploração do Heartbleed vem sendo descrita como um cliente atacante que envia uma mensagem maliciosa para um servidor vulnerável e este equipamento expõe os dados privados. No entanto, o contrário também acontece. Uma empresa vulnerável pode se conectar a um servidor e ele pode enviar uma mensagem maliciosa de Heartbeat para o cliente – que cliente responderá com dados adicionais encontrados em sua memória, potencialmente expondo credenciais e demais dados privados.

Figura 1. Como um cliente vulnerável é atacado

Felizmente, enquanto os clientes estão vulneráveis, pode ser difícil explorá-los em cenários do mundo real. Os dois principais vetores de ataque são instruir o cliente a visitar um servidor SSL/TLS malicioso ou sequestrar a conexão a partir de fraquezas não relacionadas. Ambos apresentam uma complicação adicional para o atacante.

Direcionar o cliente a um servidor malicioso

Um exemplo simples de como um cliente pode ser explorado é por meio de um navegador Web vulnerável. É preciso simplesmente convencer a vítima a visitar uma URL maliciosa para permitir que o servidor atacante consiga acesso à memória do navegador Web do cliente. Isso coloca em risco conteúdos como cookies de sessões anteriores, sites visitados, dados de formulários e credenciais de autenticação.

Os navegadores mais populares não utilizam OpenSSL, mas as bibliotecas NSS (Network Security Services) são vulneráveis ao Heartbleed. No entanto, muitos clientes Web de linha de comando usam OpenSSL (por exemplo, wget e curl) e estão suscetíveis.

O fato de um atacante precisar enganar o usuário para que visite um site malicioso pode mitigar parte do risco, mas isso nem sempre é necessário. Imagine um serviço online de tradução de idiomas que você fornece uma URL para uma página em francês a um serviço automatizado e o serviço traduzirá o conteúdo para o inglês. Nos bastidores, o serviço está buscando o conteúdo na página em francês usando seu próprio cliente de backend. Se você fornecer a URL de um servidor malicioso, o cliente de backend será explorado e o atacante pode coletar informações sensíveis como códigos ou credenciais do serviço de tradução.

Sequestro de conexão

Direcionar clientes para um servidor malicioso conforme descrito acima exige a instrução das pessoas para que visitem servidores arbitrários. No entanto, muitos clientes podem contatar apenas um domínio pré-definido, hard-coded. Nestes casos, ainda assim a pessoa pode ser explorada. Em redes abertas compartilhadas como algumas redes públicas de Wi-Fi, o tráfego pode ser visível e alterado por outros, permitindo que os atacantes redirecionem clientes vulneráveis. Normalmente, SSL/TLS (por exemplo, HTTPS, navegação Web criptografada) é uma das soluções para este problema, já que a criptografia evita o eavesdropping (espionagem do tráfego da rede) e redirecionamento. Porém, é possível enviar mensagens maliciosas de Heartbeat antes da sessão SSL/TLS estar plenamente estabelecida.

Um atacante pode entrar em uma rede pública e espionar (eavesdrop) vítimas em potencial. Quando uma vítima em potencial utiliza um cliente vulnerável para estabelecer uma conexão SSL/TLS com um servidor legítimo, o atacante redireciona a conexão para o servidor malicioso. Antes que a conexão SSL/TLS esteja plenamente estabelecida e tenha chance de bloquear qualquer redirecionamento, o atacante pode enviar uma mensagem maliciosa de Heartbeat, extraindo os conteúdos da memória do computador da vítima. Isso pode incluir dados privados como credenciais de autenticação.

Figura 2. Como um atacante pode sequestrar e redirecionar um cliente vulnerável em uma rede aberta compartilhada

Além da orientação prévia, nós também recomendamos:

• Evite visitar domínios desconhecidos com qualquer software de cliente, que aceite mensagens Heartbeat usando bibliotecas vulneráveis OpenSSL;
• Não utilize os serviços de proxy que não receberam patches;
• Atualize softwares e hardwares conforme os fornecedores disponibilizarem patches;
• Use um cliente VPN e serviço não vulnerável ao Heartbleed quando estiver em redes públicas.

Questa settimana è stata rilevata nella diffusa libreria software crittografica OpenSSL una vulnerabilità denominata "Heartbleed" (http://heartbleed.com). OpenSSL trova larghissimo impiego, in particolare con applicazioni e server Web quali Apache e Nginx. La presenza della vulnerabilità è stata riscontrata nelle versioni da 1.0.1 a 1.0.1f di OpenSSL, sfruttate dagli hacker per leggere la memoria dei sistemi colpiti. L'accesso alla memoria può portare alla violazione delle chiavi segrete, permettendo di decrittografare e intercettare le comunicazioni crittografate con SLL, nonché di impersonare i fornitori di servizi. I dati in memoria possono anche contenere informazioni sensibili, inclusi nomi utente e password.

Heartbleed non è una vulnerabilità intrinseca di SSL/TLS, ma piuttosto un bug software dell'implementazione Heartbeat di OpenSSL. A essere compromessa non è la funzionalità di SSL/TLS e il protocollo rimane lo standard di riferimento per la crittografia dei dati in transito su Internet. Tuttavia, data l'ampia diffusione di OpenSSL, è possibile che circa il 66% dei sistemi Internet o i due terzi dei server Web (stando alle stime del report Netcraft sui server Web) facciano uso di questa libreria software. È auspicabile che le aziende che utilizzano OpenSSL provvedano quanto prima a effettuare l'aggiornamento del software alla versione corretta più recente (1.0.1g) o a ricompilare OpenSSL senza l'estensione Heartbeat.

Quale principale autorità di certificazione del settore, Symantec ha già adottato misure tese a rafforzare la protezione dei propri sistemi. I certificati radice di Symantec non corrono alcun rischio. Sono state tuttavia implementate tutte le best practice applicabili, tra cui la rigenerazione delle chiavi per tutti i certificati sui server Web contenenti le versioni di OpenSSL interessate dalla vulnerabilità.

Una volta che le aziende avranno aggiornato e ricompilato i relativi sistemi, Symantec suggerisce loro di sostituire tutti i certificati, indipendentemente dalla CA emittente, sui server Web per ridurre il rischio di violazioni. Symantec offrirà certificati sostitutivi gratuiti a tutti i clienti.

Symantec invita infine a reimpostare le password delle console di gestione dei certificati SSL e Code Signing. Anche in questo caso, si tratta di applicare una best practice di riconosciuta efficacia e il consiglio che Symantec dà alle aziende è di estendere tale raccomandazione, una volta che abbiano applicato la correzione, ai propri clienti finali, perché facciano altrettanto sui propri sistemi. Nel frattempo, continueremo a collaborare con i nostri clienti per contenere quanto più possibile l'impatto dei rischi di sicurezza che la vulnerabilità comporta.

Forniamo di seguito, per praticità, un riepilogo dei passi da intraprendere:

Per le aziende:

• Se si utilizzano versioni da 1.0.1 a 1.0.1f di OpenSSL, sarà necessario effettuare l'aggiornamento del software alla versione corretta più recente (1.0.1g) o ricompilare OpenSSL senza l'estensione Heartbeat.
• Una volta implementata una versione corretta di OpenSSL, occorrerà sostituire il certificato sul server Web.
• Infine, come best practice, sarà consigliato reimpostare le password degli utenti finali che potrebbero essere state decodificate nelle memorie dei server compromessi.

Per i consumatori:

• Essere consapevoli del fatto che, se i propri dati si trovavano nei sistemi di un fornitore di servizi vulnerabile, potrebbero essere stati esposti a estranei.
• Monitorare le comunicazioni dei fornitori di cui si utilizzano i servizi. Se il fornitore vulnerabile invita i clienti a sostituire le proprie password, provvedervi senza esitare.
• Fare attenzione a possibili e-mail di phishing inviate da hacker, contenenti la richiesta di aggiornare la password, per evitare di venire indirizzati a un sito Web contraffatto. Fare sempre e solo riferimento al dominio ufficiale del sito.

今週(4/10現在)、広く利用されている暗号ソフトウェアライブラリであるOpenSSL に「Heartbleed」と呼ばれる 脆弱性が見つかりました。(http://heartbleed.com)

OpenSSLは、広く使われるオープンソースの暗号ライブラリで、ApacheやNginxといったウェブサーバやアプリケーションで広く使われています。ウェブサーバで利用中のOpenSSLのバージョンが1.0.1から1.0.1fで脆弱性が含まれており、攻撃者はこの脆弱性を利用してウェブシステムのメモリを覗き見ることができます。このメモリにアクセス出来ることで、SSL暗号通信や個人向けのサービス提供者の通信を復号化し覗き見することができる秘密鍵を攻撃者に渡してしまいます。このメモリにはウェブサイトで利用されているユーザー名やパスワードといった秘匿性の高い情報も含まれます。

「Heartbleed」はSSL/TLS プロトコルに起因する問題ではなく、むしろソフトウェアであるOpenSSLのハートビートの実装バグです。

SSL/TLSプロトコルが破られたわけではありません。インターネット上で暗号通信を行う最高の標準であることに変わりはありません。しかしながら、OpenSSLの利用が幅広いことから、おおよそ66%のインターネットもしくは3分の2のウェブサーバ（参照；Netcraftウェブサーバレポート）がこのソフトウェアを利用しています。OpenSSLを利用している企業は、出来るだけ早くそのバージョンを確認し、影響を受けるバージョンの場合には修正された最新バージョン(1.0.1g)のソフトウェアにアップデートするか、「heartbeat」拡張機能オプションを利用しないで再コンパイルをしないといけません。

世界の認証局のリーダーとしてシマンテックは既に私たちのシステムを更新しました。私たちのルート証明書は危険に直面していません。；しかしながら、基本的なセキュリティ対策（ベストプラクティス）として、問題のバージョンのOpenSSLを利用していたウェブサーバはすべてのSSLサーバ証明書の再発行を行いました。

企業のシステムでOpenSSLを更新するか、再コンパイルをしたら、どのCAが発行したSSLサーバ証明書かに関わらず、サーバからセキュリティの侵害が起こるリスクを軽減するためにすべてのSSLサーバ証明書を入れ替えることをシマンテックは推奨します。

最後に、シマンテックはSSLサーバ証明書とコードサイン証明書の管理画面のパスワードを変更することをお願いしています。改めて、これは基本的なセキュリティ対策（ベストプラクティス）として、システム側の問題を修正したら、ウェブサイトの利用者に対してパスワードの変更を推奨します。この脆弱性による危険を最小化するために、シマンテックはお客様の為に全力を尽くします。

分かりやすくするために、対策として行うべきことを以下にまとめます。

企業向けの注意事項:

•これは OpenSSL ライブラリの脆弱性であり、SSL/TLS プロトコルやシマンテックが発行する「SSL サーバ証明書」の欠陥ではありません。

•OpenSSL 1.0.1 から 1.0.1f を使っている場合には、最新の修正版（1.0.1g）に更新するか、Heartbeat 拡張機能を使わずに OpenSSL を再コンパイルする必要があります。

•修正版の OpenSSL への更新後、脆弱性が悪用されたことで ウェブサーバの「SSL サーバ証明書」が侵害された、または秘密鍵を盗まれたと考えられる場合には、認証局に連絡して「SSL サーバ証明書」の再発行を依頼してください。

•基本的なセキュリティ対策（ベストプラクティス）として、侵入を受けたサーバのメモリから漏えいした可能性を考慮し、エンドユーザのパスワードをリセットすることも検討する必要があります。

消費者向けの注意事項:

• 利用しているサービスプロバイダのサーバが脆弱な場合は、データが第三者に盗み見られた可能性があります。

• 利用しているプロバイダからの通知を見逃さないようにしてください。脆弱性を確認したプロバイダからパスワードを変更するよう連絡があった場合には、指示に従ってパスワードを変更してください。

• たとえパスワードの更新を促す内容であっても、攻撃者からのフィッシングメールである可能性には注意し、公式サイトのドメインを確認したうえで、偽装された ウェブ サイトにアクセスしないように気を付けてください。

以下のページで最新の情報をご確認ください。

http://www.symantec.com/ja/jp/outbreak/?id=heartbleed

自社の管理サーバがHeartbleedの脆弱性を含んでいるかを確認するツールも提供しています。

[Tweet]

Title；ここをクリックしてテキストを入力してください。

Link；ここをクリックしてテキストを入力してください。

Symantec VIP would have dramatically reduced the threat of Heartbleed. If you’re still just relying on passwords, it’s time to wake up.

Symantec released Symantec Endpoint Protection 12.1.4.1a (12.1.4.4130).

This release resolves the Heartbleed OpenSSL vulnerability

http://www.symantec.com/docs/AL1555

Hi,

After configuring the Backup Exec 3600 Appliance we are getting email for every 10 mins stating proxy error not able to communicate to server to upload call home data.

CALLHOME status: Not able to upload callhome data

Error: 500 SSL read timeout:

Please contact Symantec Support to resolve this issue.

CallHome Proxy Show

Proxy Settings

        Server    : https://Ipaddress

        Port      : 8080

This issue resolved after adding "s" to http, since the data is sent through secured http.

Thanks,

I've had over 10 years experience each in Consulting, and in Support, as well as another 2-3 as a local admin.

In nearly every circumstance of using software, you run into a situation where you're faced with the option to make a custom solution. Your initial reaction may be to jump in, but I say "Hold on there! Let's think about this. If you DO, will you still get support?" Technically, once you've customized a solution, support can say something like "You're no longer supported - you modified the product" but, can you get around this?

Almost always - the answer is YES!

Let me share with you a few ideas on how this can be done, from the inside perspective of a former Backline Support engineer at Symantec, and current consultant at XCEND. I hope it helps.

For years people have asked "Why did Symantec destroy DS 6.9 with DS 7.1?  Do I have to upgrade?  Should I?"

Answers: We don't know, No, and Yes!

Finally, with the release of Deployment Solution 7.5, there's a legitimate and good reason to upgrade.  Not only are there new compelling features, but the product is fully and completely securable - something no other solution can offer.

Join with XCEND for a short presentation on why you should upgrade now, and what you stand to gain, including:

• A fully secured deployment environment operating completely over HTTPS.

• New improved features that significantly elevates DS 7.5 over DS 7.1 and DS 6.9!

• More flexibility and control for your Admins to do their jobtheir way.

• Complete re-design of DS's product integration including seamless Site Management integration.

• How to avoid the nightmares of a failed upgrade.

• Advantages XCEND has to offer to make your experience even better than DS 7.5 off the shelf.

Come join us in discovering the best Deployment Solution ever released!

Webcast Details:

Date/Time: Thursday, April 24th 2pm - 3pm ET / 11am - Noon PT
                      (Including Live Q&A)
Presenter: Michael Brummel, Partner, XCEND Group
Co-Presenter: Thomas Baird, XCEND Senior Technical Engineer and formerly Backline Support Engineer at Symantec for Deployment Solution 7.5.

Can't attend the live event? Register to receive a link to the archived 

Register Today »

養子を熱望している夫婦を狙って 419 詐欺のバリエーションを利用する、新手の詐欺が発生しています。その巧妙な手口に騙されて偽の養子縁組み話に乗ってしまうと、被害者は弁護士費用や行政手続き費用を支払うよう求められます。

最近の 419 詐欺のほとんどは、スパマー自身の独創性ではなく被害者の無防備さに頼っていますが、一部の詐欺師は被害者と直接の対話を進めることで信用を勝ち取ろうと考え始めたようです。十分に調査された手口で説得力もあり、ときには話に信憑性を持たせ、詳しく調べられてもボロが出ないように、実話を拝借する場合さえあります。

偽の養子縁組みを利用する詐欺は、古くからあったようですが、今回シマンテックが確認した事例では、実話のような詳しい情報が使われ、詐欺師は長期にわたって徹底的に被害者との対話を続けようとします。

図 1. 養子縁組み話を悪用する詐欺メール

海外の宝くじに当選した、あるいは裕福なアフリカの指導者が死去したなどという筋書きで前渡し金詐欺を仕掛ける典型的な手口の代わりに、今回の詐欺師は、変わったアプローチを取っています。それでも、詐欺を疑わせる兆候は多く見受けられ、たとえばメッセージは匿名の受信者に宛てて送信されています（ハッキングされた Web メールアカウントが利用されており、発信元はハンガリーですがイタリアを経由しています）。また、別の Web メールプロバイダに返信するよう求めてきます。いずれも、前渡し金詐欺によく見られる特徴ですが、詐欺師がどのような方法で金銭を要求してくるのか実際に調べてみることにしました。

この養子縁組み話に少しでも信憑性を持たせようとして、詐欺師は最終的に送金という段になるまでに、いくつもの手続きを用意しています。メールをやり取りするうちに（11 通の返信が必要で、期間は実に 2 カ月にわたりました）、子供の母親についても詳しく語られる一方、公的な斡旋を利用しない私的な養子縁組みに伴う規則についても説明がありました。さらには、偽の養子縁組み書類と新生児の写真まで送ってくるほど用意周到です。

図 2. 419 詐欺で養子縁組みの対象とされた乳児

図 3.被害者の信頼を得るために用意された偽の養子縁組み書類

最終的に金銭を要求できると詐欺師が判断した段階まで進むと、ユーザーは「裁判所命令の作成ならびに文書費用」に充当するとして 2,500 ドルを要求されます。支払いは、金融機関の電信送金を利用して、1,500 ドルと 1,000 ドルの 2 回に分けて行うよう指示されます。このような支払い方を要求してくるのも、正規の取引であるかのように演出し、被害者がこの詐欺を本物と信じ込むようにするためだと考えられます。

図 4.詐欺師が養子縁組みの費用を請求してくる

詐欺師が電子送金を受け取るための名前と住所を公開している場合は、その情報も偽物だと考えるところですが、今回示された住所を調べると、驚くべき事実が判明しました。

記載されている受取人の住所は、養子ならびに家族法を扱う弁護士事務所の住所だったのです（もちろん、この弁護士は詐欺とはまったくの無関係です）。ほとんどの詐欺師は、昔からの偽の名前を使って前渡し金詐欺を実行するものですが、実在の人物の身元を乗っ取って使うほうが、詐欺の説得力は増します。標的が無警戒であれば、受取人の名前を探し出して、その人物が本当に米国内で事務所を構えている正規の弁護士だと信じてしまうかもしれません。こういった要素が重なって、最終的にお金を支払うと、新たな被害者の 1 人となってしまいます。

このように養子縁組み詐欺を使うのは、419 詐欺の手口として新たな傾向ですが、詐欺師の一部はちょうど一周して以前の特徴に戻っただけなのかもしれません。筆者は 2 年前のエコノミスト誌によるインタビューで、前渡し金詐欺の詐欺師から送られてくるメッセージが、いかにも正規で本物らしく見える文面から、現実味に乏しいほどの大金で誘う、およそプロらしくない内容に移り変わった経緯を明らかにしました。自ら引っ掛かってしまうような被害者を狙っているため、どの詐欺メッセージも巧妙とはほど遠いものです。

今回の例は、前渡し金詐欺のすべてが、騙されやすい被害者だけを想定して手を抜いたものとは限らないことを思い出させてくれます。なかには、今回の養子縁組みのような作り話に何カ月も掛けて、説得力のある背景情報やそれらしい書類まで用意する創造的な詐欺師もいるということです。詐欺師の想像力と創造性が、これからも進化を続けることは間違いないでしょう。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

寄稿: Azam Raza

イースターは他の祝祭日と同様に歓喜で迎えるべき日ですが、プレゼントやショッピングを楽しみ、お祭り気分の広がる日でもあります。しかし、この祝日に広がるのはお祭り気分だけではありません。スパマーもその手練手管を駆使し始めており、イースターに向けてスパムの件数も急増しています。

シマンテックは毎年、イースターにちなんでさまざまなカテゴリのスパムを確認していますが、今年も例外ではありません。シマンテックがこれまで何年にもわたって確認してきたスパムと、今年見つかったサンプルから、何種類かご紹介します。

模造品スパム
大きな祝祭日にはプレゼントが付きものとあって、商品紹介スパム、特に模造品スパムはシマンテックが確認しているなかでも最も目立つカテゴリです。模造品スパムでは、偽物の高級腕時計や宝石類が、目を引くような件名や商品写真を使って宣伝されています。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: "WorldOfWatches"<johnwatson@[削除済み]>
件名: Challenge Ends Easter weekend（イースターの週末、今こそチャンス）

差出人: "DailyPromos"<aacpu@[削除済み]>
件名: Our pick today is- easter14（本日の特選品 - Easter14）

図 1.イースターにちなんだ模造品スパム

医薬品スパム
医薬品スパムも、祝祭日が近づくと増えるスパムカテゴリのひとつです。スパムメールには、処方箋不要で医薬品をオンライン購入できると称する医薬品販売サイトへのリンクが掲載されているのが一般的です。リンク先のサイトでは、季節のあいさつ文をバナーに表示して、お祭り気分を煽っています。

図 2.イースターにちなんだ医薬品スパム

医薬品スパムの下位カテゴリとしては、ダイエット薬スパムもお馴染みで、複数の言語で確認されています。スパムメッセージで宣伝されているダイエット薬は、認可されている医薬品から、外来植物の薬用抽出物と称するものまでさまざまです。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: "Mackenzie Burns"<monday@[削除済み]>
件名: Begin eating this fruit and lose the fat before Easter Sunday（このフルーツを食べて、今からイースターサンデーまでに脂肪を落とそう）

商品紹介スパム
大手の小売店やブランドショップは、祝祭日に向けてディスカウントやセールを展開しますが、スパマーもそれに便乗しています。スパマーが有名小売店やブランドから発信されたように電子メールを偽装するのは定番ですが、たいていは偽サイトへのリンクが掲載されています。プレゼントのクーポン券進呈を謳う手口も広く使われています。この手のスパムで紹介されている商品は、子供のおもちゃから SUV まで多種多様です。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

件名: Spring Sale Event on all Cars, Trucks, and SUVs!（乗用車からトラック、SUV まで、春の特別セール中!）

差出人: Auto-Dealer-Online <williamw@[削除済み]>

図 3.イースターのバナーが表示されている商品紹介スパム

図 4. 今年確認されたプレゼントクーポンスパム

名前入りギフト
最近、名前入りギフトが人気を集めており、イースターエッグやイースターバニーに名前とメッセージを入れられると宣伝するスパムがスパマーの間でも流行しています。ほとんどのスパムメールには偽サイトへのリンクが掲載されていますが、なかには不快なコンテンツにリンクされているものもあります。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: Easter Bouquets <rebekkahFAjhLg@[削除済み]>
件名: Make the Easter bunny jealous! Easter flowers（イースターバニーに見せつけちゃおう! イースターに花束を）

図 5. イースターバニーから子供に名前入りの手紙が届くと謳うスパム

カジノスパム
オンラインカジノやギャンブルを扱ったスパムも祝祭日に増加します。カジノスパムは、サインアップ特典、報酬ポイント、当選のチャンスなどを餌にして被害者を誘います。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: AU_AllSlots @ <AllSlots@[削除済み]>
件名: 25-free spins on Gold-Factory this-Easter（今年のイースターに Gold-Factory スロットでコイン 25 枚分を進呈）

419 詐欺スパム
ナイジェリアスパムは、宝くじの当選金や寄付金などを餌にして、どの祝祭日にも決まって登場します。シマンテックは、孤児院や慈善団体を詐称して不幸な子供への寄付金を募る 419 スパムを確認しています。個人情報を求めてくる迷惑メールは、常に慎重に扱う必要があります。この手のスパムメールで使われているヘッダーには、次のようなものがあります。

差出人: suzanne122@[削除済み]
件名: HappyEasterInAdvance,（一足早くハッピーイースター）

その他に今年シマンテックが注目したのは、外国語のイースタースパムの件数です。外国語でイースターにちなんだスパム攻撃は、その多くがプレゼントや商品の紹介であり、カップケーキやジンジャーブレッドの宅配スパムなどが確認されています。

ポルトガル語
差出人: "Cupcake"<contato@[削除済み]>
件名: Páscoa                                                          | 件名: Easter（イースター）

ロシア語
差出人: Пасхи <vamdetal@[削除済み]>                     | 差出人: pasha
件名: Скоро Пасха                                                  | 件名: Almost Pasha（もうすぐイースター）

差出人: Пряники <sladkie.pashi@[削除済み]>           | 差出人: Gingerbread
件名: Кондитерская мастерская                              | 件名: Confectionery masterskaâ（お菓子工房）

シマンテックも、皆さまが素敵なイースターをお過ごしになれるようお祈りしたいと思いますが、こうしたスパム攻撃には十分にご注意ください。祝祭日を悪用した迷惑メールや予期しない電子メールには常に警戒が必要です。疑わしいメールに掲載されているリンクはクリックしないようにしてください。また、スパム対策シグネチャを忘れずに更新して個人情報を保護したうえで、楽しいイースターのひとときを安心してお過ごしください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

業界のカンファレンスは、セキュリティに関する新しい動向を知り、最新の情報を入手するうえで絶好の場所です。私が先日参加した SyScan（Symposium on Security for Asia Network）は、毎年シンガポールで開催されているカンファレンスで、世界中からコンピュータセキュリティの研究者が集います。今年の SyScan では、セキュリティに関する俗説が払拭されたほか、いくつか興味深いトピックについて議論が交わされました。今年の SyScan で私が興味を覚えたテーマとデモを以下に挙げておきます。

スマートカーのリスク
最近の自動車はほとんど、エンジンコントロールユニット（ECU）というコンピュータを装備しており、エンジンと他の構成要素との通信が可能です。SyScan 2014 に参加した研究者は、オンラインストアで購入した中古の ECU デバイスを使って、デスクトップ上で自動車環境のシミュレーションに成功したことを報告しました。この研究者によると、加速やブレーキ、ハンドル操作といった基本的な運転操作を実行できたほか、その基盤となっている自動車専用プロトコルも理解できたと言います。つまり、ひとたび攻撃者が ECU の制御権を握ったら、自動車をひととおり制御できるようになるということです。

自動車の ECU を制御できるというのは、窓の開閉やライトの点消灯といった自動機能を操作できることよりもはるかに危険です。攻撃者に ECU の制御権を奪われないようにする万全な対策が講じられないとしたら、それほど怖いことはありません。モノのインターネット（IoT）の一部になる自動車が増えれば増えるほど、これは深刻な問題になるでしょう。Microsoft 社は最近、Windows 車載情報システムの最新バージョンをテストしており、Apple 社からはすでに CarPlayが発表されています。CarPlay は、車に組み込んだディスプレイに iPhone のインターフェースを表示できるエンターテインメントシステムです。

携帯 POS がマルウェアに感染
2014 年には、店頭レジ端末（POS）を狙うマルウェアがすでに出現しており、その一部は小売業界に対する大規模な攻撃にも利用されていました。最近では、携帯 POS（mPOS）端末も標的になりつつあります。mPOS デバイスは、特に中小規模の企業で、カード決済に多く利用されるようになってきています。

大部分の mPOS デバイスは Linux 上で稼働していますが、SyScan に参加した研究者はリムーバブルドライブや Bluetooth を利用して mPOS デバイスに侵入し乗っ取ることに成功したと言います。その主張を証明するために、この研究者は mPOS デバイスにゲーム「Flappy Bird」をインストールし、暗証番号入力ボタンをコントローラとして使って、そのデバイスの液晶画面で Flappy Bird をプレイしました。

また、支払い情報を追跡できるマルウェアがあれば mPOS デバイスを攻撃できるという可能性についても指摘しています。攻撃に成功すれば、オンラインで記録を共有することも、あるいは任意の暗証番号でカードの決済を受け付けるといった特殊な機能を実行することもできるのです。

RFID デバイスと NFC デバイスの普及
今では誰もが、電波による個体識別（RFID）と近距離無線通信（NFC）に対応したデバイスで通信するようになっています。カード式のドアロック、カード型乗車券、非接触型クレジットカードなどが日常的に使われており、電波は至るところに飛び交っています。

「RFIDler」は、汎用タグの読み書きに使われる、オープンソースの低レベル RFID 通信プラットフォームのプロトタイプとして SyScan で提唱されました。RFIDler は、間もなく一般に利用できるようになる予定です。RFIDler は使い方も簡単ですが、損害を与えるのも同じくらい容易であることに注目が集まりました。たとえば、既存のカードはものの数秒もあれば複製できてしまいます。RFIDler プラットフォームの開発者によると、カードのフォーマットが不明な場合でも、プラットフォームの拡張性ゆえに、1 週間足らずで新しいフォーマットを追加できるということです。

今では拡張性の高いリーダーやライターが存在するので、こういったデバイスが攻撃の標的になるのも時間の問題かもしれません。

モバイルセキュリティと匿名性
スマートフォンなしでは生活できないというほどのユーザーであれば、デバイスをなくした結果の深刻さについても考えたことがあるでしょう。そうした不安を和らげるために、SyScan 2014 に参加したある研究者は Android の強化型 ROM ソリューション、通称「Cryptogenmod」を発表しました。Cryptogenmod のベースになっている Cyanogenmodは、Android をベースにしたモバイルデバイス用のオープンソース OS です。Cryptogenmod の目的は、リモートアクセスと物理アクセスに対する保護機能を最小限の ROM に実装することにあります。リモートアクセスに対する保護は、攻撃対象領域を減らすことによって実現しているので、スマートフォンに Web ブラウザやアプリストアは搭載されません。物理アクセスに対する保護はこれよりも複雑で、セキュアなアプリケーションコンテナ、強力な暗号化、悪影響のある環境に関するいくつかの指標などを利用して実現されます。

その他の安全対策として、SIM カードの取り外しや、デバッガの接続を検出する機能も紹介されました。このような行為が検出された場合には、アプリケーションコンテナのマウントが解除され、再度開くためにはパスコードが必要になります。同時に、スマートフォンは自動的にロックされ、所有者でなければ再ログインできなくなります。このソリューションがあれば、スマートフォンを紛失した場合でもデータの安全は確保されます。とはいえ、インターネットに接続されていながら Web を閲覧することもできず、カメラも使えない（カメラからユーザーの位置情報が漏えいすることが知られています）デバイスを使いたいと思うユーザーがいるかどうかは疑問です。それでは、どう考えても「スマートフォン」ではありません。

総じて言うと、スマートフォンも依然として注目を集めるテーマである一方、今後の見通しとして業界の話題が集中しているのは、やはりモノのインターネットです。それほど人々は、時間と労力を節約するためにスマートデバイスへの依存を徐々に強めているのです。

さらに詳しくは、SyScan の Web サイトで公開されているビデオやホワイトペーパーをご覧ください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/jaにアクセスしてください。

Una variación de la popular estafa cibernética 419 (419 email scam) está siendo usada por defraudadores electrónicos para aprovecharse de parejas desesperadas por adoptar un niño(a). Una vez que los interesados han sido cuidadosamente involucrados en un proceso de adopción falso, se les pide dinero para cubrir los trámites legales y administrativos.

Aunque los más recientes fraudes 419 se basan principalmente en la inocencia de las víctimas (más que en la ingenuidad por parte de los spammers, quienes distribuyen los correos), algunos defraudadores están empezando a hacer mayores esfuerzos por comunicarse directamente con la víctima para ganarse su confianza. La investigación que hizo Symantec sobre este tipo de fraudes electrónicos reveló que están bien preparados, se presentan de forma convincente y pueden tomar hechos de la vida real para hacer que sus historias sean más creíbles y más coherentes ante cualquier sospecha. 

Aunque los fraudes de adopciones falsas ya se habían visto antes, en esta ocasión Symantec observó detalles de antecedentes de la vida real y a defraudadores que hacen un gran esfuerzo por enganchar a sus víctimas.

Figura 1. Correo fraudulento sobre tema de adopción usado para fraude en línea

En lugar de usar historias comunes, donde se ofrece un premio de lotería en el extranjero o se habla de un líder africano que está por morir, este tipo de estafas tiene un enfoque diferente. Por ejemplo, en el correo que Symantec identificó había muchas señales que indicaban que era un fraude, como que, por ejemplo, el mensaje se envió a destinatarios ocultos (a través de cuentas de correo hackeadas, originarias de Hungría pero enrutadas a través de Italia) y el correo requería responder a un proveedor de correo diferente. Estas son características típicas de un fraude donde suele hablarse de una cantidad de dinero inicial, así que decidimos investigar a fondo para averiguar cómo el defraudador pretendía pedir el dinero.

En un intento por hacer que todo pareciera lo más legítimo posible, el estafador cibernético nos hizo pasar por varias etapas antes de finalmente pedir que enviáramos dinero. Durante nuestro intercambio de mensajes –que consistió de 11 correos electrónicos durante dos meses- nos informó con gran detalle sobre la historia de la madre y nos explicó sobre las regulaciones que tienen que ver con una adopción privada e independiente. Incluso nos enviaron un formato falso de adopción, junto con fotos del bebé.

Figura 2. Fotos de bebés ofrecidos en adopción forman parte de esta campaña de estafas 419 

Figura 3. Formato de adopción falso usado para ganarse la confianza de la víctima 

Cuando el defraudador finalmente decidió pedirnos dinero, se nos solicitó que enviáramos $2,500 dólares para cubrir la “Cuota para la Preparación de la Orden del Tribunal y Documentación”. Esto debía realizarse en un primer pago de $1,500 dólares y otro de $1,000 mediante transferencias electrónicas. Es probable que el defraudador pidiera los pagos de esta manera para que la transacción pareciera más legítima y tuviéramos más confianza.

Figura 4. El defraudador solicita el dinero por la adopción del bebé  

Cuando el defraudador proporcionó un nombre y una dirección para recibir el envío del pago, asumimos que esta información era falsa. Sin embargo, buscamos la dirección y esto nos llevó a un descubrimiento sorprendente.

La dirección de la persona a quien deberíamos pagarle era la de un abogado legítimo de Asuntos Familiares y Adopciones (que no tenía nada que ver con este tipo de fraude cibernético). Esto es algo diferente pues generalmente la mayoría de los defraudadores usan un nombre falso, sin embargo, robar la identidad de una persona real puede hacer que el fraude parezca más convincente. La posible víctima, sospeche algo o no, puede buscar el nombre y confirmar que se trata de un abogado legítimo que labora en Estados Unidos. Así que todo parece ser congruente y entonces envían el dinero y con eso se convierten en una víctima consumada del fraude.  

La ejecución de este fraude cibernético relacionado con el tema de una adopción muestra un nuevo enfoque por parte de los estafadores 419, algunos de los cules han regresado al punto de origen en su enfoque. En una entrevista con The Economist hace dos años, revelé como algunos defraudadores de este tipo han pasado de enviar mensajes de fraude que parecen oficiales y legítimos a misivas mucho menos profesionales donde se ofrecen grandes cantidades de dinero en escenarios poco probables. Ninguna de estas estafas son muy sofisticadas porque los defraudadores buscan víctimas que se “auto-eligen”.

Este ejemplo de estafas en línea sirve para recordar a los usuarios que no en todos los fraudes donde se pide dinero por adelantado son intentos por lograr que la víctima más crédula caiga en ellos. Algunos defraudadores usan tácticas creativas (como ésta, que durante meses tuvo detalles de antecedentes convincentes y formatos que parecían oficiales). De esta forma, no hay duda de que la imaginación de los estafadores cibernéticos y su creatividad seguirán evolucionando.

Despite years of unbridled mobile device proliferation, some employers are beginning to question whether or not the financial benefits of implementing a BYOD are sustainable. Additionally, many lawyers fear that allowing employees to use personal devices for business purposes will lead to increased data privacy, ownership and security challenges. Despite these concerns, mobile is here to stay. This blog helps explain how organizations can implement the right technology and process to limit the risks and costs of mobile while maximizing the benefits.