世界のセキュリティ関連ブログで最近公開された記事のうち、ちょっと気になる話題を取り上げる。

 まずは、スマートフォン関連の話題だ。米マカフィーによると、携帯電話機やスマートフォンなどのモバイル機器でボットネット的な分散型コンピュータネットワークを作る場合、通信手段としてSMSやHTTP、PtoPといった方法が考えられる(iBots? Mobile phone network 0wnage)。こうしたボットネットが動く環境は、プロセッサおよびメモリーの制約が大きいためパソコンベースのボットネットと違って処理能力が低く、ネットワーク接続の安定性が低い。

 モバイル機器向けスパイウエアやボットネットがマルウエア制御コマンドをやり取りする際に使う通信手段は、テキストメッセージを送るSMSが多いという。特に、高度なマルウエアはコマンドSMSメッセージを途中で奪い取ってしまうので、ユーザーは感染したことに気付かない。単純なテキスト形式でなく、バイナリー形式のSMSメッセージでコマンドをやり取りするボットネット/マルウエアも存在する。バイナリーコマンドはサイズが小さいので、発見されにくい。さらに、PtoPとHTTPを併用するとより強固なボットネットを構築できる。しかもバイナリー形式のSMSメッセージを使うので、コマンドは単純なテキスト通信プロトコルより解読しにくい。

 このような技術で作られた耐障害性の高い安定したボットネットに対し、通信事業者は監視体制を強化する必要があるだろう。そして個人ユーザーは攻撃される隙をなくすために、モバイル機器のOS/ファームウエアに最新の公式修正パッチを適用し、海賊版ソフトの使用や信頼できないところからのソフトウエア入手を避けるべきである。

「Flash Player」に対するゼロデイ攻撃

 米アドビシステムズは2010年10月28日(米国時間)、「Flash Player」に存在する緊急性の高いセキュリティホールの情報を公開した。既に悪用されており、「CVE-2010-3654」というCVE番号が割り当てられている。

 ロシアのカスペルスキーによると、このセキュリティホールを突くマルウエアは動き出すと最初にコマンドラインのオプションを確認する(Sykipot exploits an Adobe Flash Zero-Day)。興味深いことに、自らを感染パソコンから消去するアンインストール用オプション「-removekys」が用意されている。オプションなしで起動されると活動を始め、マルウエア本体に相当するDLLをダウンロードする。そして「Outlook」「Internet Explorer」「Firefox」が動いている場合は、該当プロセスに同DLLを挿入して新たなスレッドを実行する。

 挿入されたDLLは5分おきに「news.mysundayparty.com」へHTTPリクエストを送信し、暗号化された設定ファイルをダウンロードする。このファイルには感染パソコンから情報を集めるためのコマンド群が入っており、盗まれた情報は暗号化されてサーバーに送り返される。以下に解読済み設定ファイルの一例を示す。

 設定ファイル内の文字列をWeb検索したところ、2010年の初めに広まり始めたあるマルウエアとの関連が明らかになった。いずれもゼロデイ攻撃を仕掛け、感染パソコンから情報を不正に取得してサーバーに送信する。

 対抗する側にとってありがたいのは、ネットワーク内で感染パソコンを追跡する際に必要な情報が、設定ファイルのダウンロード用リクエストの中にすべて含まれていることだ。例えばWindowsのホスト名とIPアドレス、「-nsunday」という文字列を組み合わせたパラメーターが存在する。これは、そのネットワーク内にあるパソコンを識別できる情報だ。

 なお、カスペルスキーは同DLLとそのインストーラーを「Backdoor.Win32.Sykipot.an」、エクスプロイトを「Exploit.Script.Generic」として検出する。

オープンなWi-Fiアクセスポイントのセキュリティ確保

 無線LAN(Wi-Fi)アクセスポイントを設置する際、ユーザーは、セキュリティ設定を施さず誰でもアクセスできるオープンなアクセスポイントにするか、パスワードや事前の認証を要求する暗号化アクセスポイントにするか選ばなければならない。いずれにしろ、Wi-Fi環境の安全確保は当たり前のことだ。オープンなアクセスポイントを安全に開設する方法は今のところ存在しないが、米IBMインターネット・セキュリティ・システムズ(ISS)によると「Secure Open Wireless Access」と呼ぶ方法で実現可能だという(A new solution to wireless security issues)。

 安全なWebアクセスを実現するためのHTTPSは暗号を使うが、ユーザーがあらかじめ暗号化通信用のパスワードを設定する必要がない。ISSは、Wi-Fiでもこれと同じ仕組みを利用すればよいとし、アクセスポイントとクライアント間の暗号化通信をデジタル証明書で確立する方法を提案した。この証明書は、アクセスポイントの運営者が該当アクセスポイントのWi-Fiネットワーク識別用ID(SSID)の正当な持ち主であることを示す。SSIDとしてドメイン名を使うこともできる。

 例えば、IBMがオープンなWi-FiネットワークのSSIDを「ibm.com」にしたとしよう。ユーザーが接続しようとすると、クライアントは同ネットワークのアクセスポイントから「ibm.com」用のデジタル証明書を受け取って暗号化通信路を確立する。これは、デジタル証明書の名前とSSIDが一致し、接続先ネットワークの運営者がIBMであると確認できるからだ。

 ISSは様々な面からSecure Open Wireless Accessを検討した結果、現在のWi-Fiネットワークで問題なく機能すると結論付けた。このアイデアを実用化するために、ISSは既に特許申請を済ませ、数カ月以内に公開する方向で技術文書の作成を進めている。