猛威をふるうガンブラーウイルスの駆除方法

昨年報告したJR東日本ホームページ改ざん被害以降、ガンブラーウイルスによるホームページ改ざん被害が国内で相次いでいる。

そもそもこのガンブラーウイルスは、アプリケーションソフトの脆弱性をついており、また亜種の作成されるスピードが速いため、一般のウイルス対策ソフトでの検出が追いつかない状況だ。

感染経路もウェブサイトの閲覧という、ごく当たり前の行動によって感染するため、防ぎようがない。

基本的な対策は、脆弱性を含むアプリケーションソフトの最新のセキュリティアップデートをあてることだが、これがなかなかできていないのが現状ではないだろうか?

ガンブラーウイルスの駆除方法についての情報を掲載するので、大至急、対策に当たってほしい。特に、FTPソフトにより、ウェブ更新作業を行っている方は必須である。

ガンブラーウイルスの駆除方法:
https://www.ccc.go.jp/detail/web/index.html (サイバークリーンセンター提供)

絶大なFBI犯罪記録データベース

FBIなど米捜査機関が犯罪記録を調査するために使用しているデータベースサーバー National Crime Information Center (NCIC)には、1日に6百万件以上のクエリー(問い合わせ)がなされる。

通常のデータ検索に加え、いわゆるオフライン検索を組み合わせると、その威力は絶大なものとなる。

オフライン検索を利用すると、情報の一部を頼りに検索が実行できるため、例えば、容疑者の車のナンバーの一部しか手掛かりがない場合、身長、性別などの特徴しか手掛かりがない場合などでも調査が行える。(オンラインの場合には、他の識別情報が必要)

さらに他の捜査機関が検索したログからも検索が実行でき、容疑者特定への決定的な糸口になることもある。

例えば、最近のオクラホマシティー爆破事件のケースでは、危険物搬送トラックレンタル者のリストから得た名前を検索した結果、同一の名前をオクラホマ州ハイウェイパトロールが検索していたというログが見つかり、爆破事件から2日後に別の武器携帯違反で、逮捕されていることがわかった例がある。

また、2009年9月26日、ケンタッキー州に住む13歳の少女が性犯罪者に誘拐された事件では、最後に目撃された車のナンバーをオフライン検索したところ、同州の別な郡で、数時間前にそのナンバーがパトカーによって検索されていることを発見し、翌午前4時までに同郡のホテルに容疑者が滞在していることを突き止め、無事に少女を保護したというケースもあった。

このように米国では、犯罪に関するデータを、検索ログであっても、共有して検索できるようになっており、犯罪捜査に絶大な威力を発揮している。

情報ソース:
http://www.fbi.gov/page2/jan10/ncic_010410.html

JR東日本ホームページ改ざん被害

JR東日本によると、12月23日、自社のホームページが不正アクセスにより、改ざんされたと発表した。改ざんされたホームページへのアクセス数は5万件以上に上り、アクセスしたパソコンはウイルスに感染している恐れがあるとのことだ。

調査の結果、海外からの不正アクセスにより、一部のプログラムが書き換えられていたという。
この間に当該ホームページをアクセスした方は、ウイルス感染のチェックを必ず実施してもらいたい。

FBIが語るサイバースペースの安全性と我々の役割

Mr. Schiff: インターネット上には有益なものが多くある反面、落とし穴もあります。しかし、誰か個人が、またはあるグループがインターネットをシャットダウンすることは可能ですか?

Mr. Henry: インターネットをシャットダウンし、使えないようにするのは、難しいですね。

Mr. Schiff: というのは Shawn Henry氏。彼はFBIサイバー部門のアシスタントディレクターだ。

Mr. Henry: インターネットは本当に何百、何千ものネットワークが接続されてできています。

Mr. Schiff: Henry 氏は、サイバースペースは生活、ビジネスに必要な活動がなされるところと述べています。

Mr. Henry: 個人情報、企業機密、企業戦略、政府情報、リサーチ情報、開発情報、これらの重要な情報はみな漏洩の危険性をはらんでいます。

Mr. Schiff: Henry 氏はさらに、すべての人には、インターネットを安全に使う役目があると述べています。

Mr. Henry: 一般ユーザー、政府、警察から、一般企業にいたるまで、すべての人が認識する必要があります。

Mr. Schiff: FBI.gov サイトには子どもがインターネットを安全に使うためのノウハウが掲載されています。私、Neal Schiff 、FBI, This Week のブロードキャスト担当がお伝えしました。

詳細:http://www.fbi.gov/thisweek/archive/thisweek120409.htm

米NIST発行 インシデント対応フォレンジックガイド

IPA(情報処理推進機構)は、米国国立標準技術研究所(NIST)発行の情報セキュリティ関連文書をNRIセキュアと共同で翻訳し、双方のWebサイトで公開している。
NISTの中のCSD(Computer Security Division)によるコンピュータセキュリティガイドライン「SP800シリーズ」と、連邦情報処理規格「FISP」が中心に翻訳されており、セキュリティインシデントへの対応ガイドなど、フォレンジックに関する内容も豊富。この9月も新規文書が追加公開されている。
官民問わず、情報セキュリティ担当者はぜひ参照されたい。

情報処理推進機構(IPA) http://www.ipa.go.jp/ 

NRIセキュア http://www.nri-secure.co.jp/

NIST CSD http://csrc.nist.gov/

FBI 海外との協力体制

FBIは2001年1月11日にヨルダンのアンマンに国際オフィスをオープンした。世界貿易センターへの攻撃のちょうど8ヶ月前だ。

現在、FBIは世界中に60の国際オフィスを所有している。
「我々の使命はFBI対テロリズム、インテリジェンス、犯罪調査の協力体制を得るためによりよい関係性を築くことだ。」
最終目標は米国内におけるテロ活動を防ぐことだ。
-FBIスペシャルエージェント Timothy Kirkham(ヨルダン Legal Attache)

米政府サイトにサイバー攻撃

2009年7月4日の米国独立記念日以降、米政府主要サイトにサイバー攻撃が加えられている。攻撃の対象となっているのは、ホワイトハウス、米国防総省、国土安全保障局、他要衝サイトである。

同時に韓国大統領府サイトへもサイバー攻撃が加えられており、組織的なサイバー犯罪集団による同時多発テロの様相を呈してきた。

米国では、NY証券取引所をはじめ、ファイナンス情報サイトへの攻撃も確認されており、当局が直ちに調査を開始した模様である。

なお、サイバー攻撃の状況から判断して、ボットネットによる攻撃の可能性が非常に高い。

ネットワーク・フォレンジック調査の進展がわかり次第、続報としてお伝えしたい。

情報ソース:
http://edition.cnn.com/2009/TECH/07/08/government.hacking/index.html

Web2.0で進化するFBI

fbiweb2.jpgFBIのウェブを利用した様々な情報配信の試みがスタートした。

その1つがFacebookであり、またTwitterであり、YouTubeである。Web2.0コミュニティを徹底的に活用して、犯罪抑止効果を狙う。

面白いのは、重大指名手配者を瞬時に閲覧できる iPhoneアプリ「Most Wanted」だ。これはフリーのiPhoneアプリで誰でも自分のiPhoneにダウンロードして、表示することができる。

FBIのスタートしたウェブサイト:
http://www.facebook.com/FBI
http://www.youtube.com/fbidotgov
http://twitter.com/FBIPressOffice

情報ソース:
http://www.fbi.gov/page2/may09/socialmedia_051509.html

ボットネット──今そこにある危機

botnet.jpgボットネットの危険度がますます高まっている。

米クリック・フォレンジックス社によると、ウェブ広告のクリック数の30%以上がボットネットによる不正クリックであることが判明。ボットネットの存在の深刻さを浮き彫りにした。

ボットネットとは、目に見えないスパイウェアのようなプログラムで、ウェブサイトの閲覧、添付メールの実行など、様々な経路でPCに感染する。亜種がとても多く、最新のウイルス定義ファイルでも検出できない場合が多い。

このような特徴から、現在世界中にボットネットに感染したPCが存在し、その割合は5%~9%に達すると推定されている。

ボットネットに感染したPCは外部からリモート操作が可能となり、感染したPCのスクリーンショットの取得、ウェブサイトで入力したパスワード、クレジットカード番号の取得、外部サイトの攻撃など様々な制御が可能となる。

ボットネットは非常に巧妙に仕組まれており、自分のPCが感染していることすら、まったくわからないように作られている。

英BBC放送が最近放映した、ボットネットのデモが参考になるので、是非ご覧いただきたい。22,000台のボットネット感染PCをコマンド1つで自由にリモート操作している。

情報ソース:
http://news.bbc.co.uk/2/hi/programmes/click_online/7940485.stm
http://news.bbc.co.uk/2/hi/technology/7938949.stm

FBI、7大児童ポルノ犯罪組織を解体──ジョイントハンマー作戦

fbi020909.jpg2009年2月9日付FBI発表資料によると、7大児童ポルノ犯罪組織を解体に至らせたとのこと。

作戦のコードネームは「OPERATION JOINT HAMMER」(ジョイントハンマー作戦)。最終的に14人の児童ポルノ被害者女性が救出され(最低年齢は3歳児)、約170人が逮捕された。児童ポルノ犯罪では過去最悪で、7大児童ポルノ犯罪組織の解体に至るも、捜査は今もなお継続中の模様。

今回の国際捜査にあたり、米国で主要な役割を果たしたのが、FBIと警察ユニットで構成された「Innocent Images National Initiative」、および「Department of Justice (DOJ)」、「the United States Postal Inspection
Service (USPIS)」、「U.S. Immigration and Customs Enforcement (ICE)」である。

ことの次第は以下の通りである。

オーストラリアのクイーンズランド当局が児童ポルノを撮影した動画をオンライン上で検出。この犠牲者はフラマン語アクセントのあるオランダ人であると断定。ベルギー当局に連絡した結果、ヨーロッパで捜査が開始される。このときの作戦のコードネームは「OPERATION KOALA」(コアラ作戦)。

ベルギー警察は犯人を逮捕し、児童ポルノの製作者とウェブサイト運営者であるイタリア人の情報を入手した。この情報を基にイタリア警察は動画の製作者を逮捕し、ウェブサイトを閉鎖。そのポルノサイトから5万通のEメールを捕獲した。この捕獲したEメールの情報から「ジョイントハンマー作戦」が敢行され、欧州警察組織の指揮下、28ヶ国に渡る捜査が行われたのである。

捜査は依然継続中であるが、危険人物はすでに逮捕されている。
・9歳の娘のポルノ画像を撮影したとしてニュージャージー在住の男性を逮捕。家宅捜索の結果、13万枚の児童ポルノ画像を検出、懲役20年の実刑判決。
・イタリアのポルノサイトのユーザーであったアリゾナ在住の小学5年生を教える教師を逮捕。家宅捜索の結果、女生徒との性的関係の証拠を検出、児童の性的搾取罪に問われる。

情報ソース:
http://www.fbi.gov/page2/feb09/jointhammer_020909.html