2014年3月12日のtwitterセキュリティクラスタ

yousukezan
2014年3月12日のtwitterセキュリティクラスタです。証拠があってもなくても謎が深まりますね。

遠隔操作ウイルス事件についてのあれこれ

connect24h@connect24h

ユーザ権限でのファイル捜査ならUAC関係なくファイル捜査できると思いますが、UACがあるから本人以外だったらGUI乗っ取られないとVisual C# は勝手にインストールされないですから、相当苦しいですね。RT @harusanda: @keijitakeda
@connect24h @harusanda @keijitakeda 上司から簡単なツールを作る様に言われて、要件に近いものをネットで検索したらソースが公開されているものが C# しかなかったので、それを修正して仕様に合うようにして提出した。ということは本人が認めています。
@connect24h @harusanda @keijitakeda また、警視庁が作成したiesysの動作検証報告書では5台のVMを使って動作再現をしたことが書かれているそうですが、検察の証明予定事実にはK氏のPCからVM環境が見つかったという主張は含まれていないそうです。

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda それ、なにか重要なことのように弁護側は考えているのでしょうか。
被告に限らず、マルウェアって自分のところで試験する必要がない(使い捨てできる環境が被害者→言い方悪いけど客先テスト)と思っちゃうw

connect24h@connect24h

@harusanda 資産管理系ツールのサイレントインストール相当の技術とか、タスクスケジューラつかうとか、まぁ、姑息な手がないわけじゃないです。UACとかが邪魔なWin7でリモートでコマンドからインストール owl.li/uuqt0

山崎はるか@harusanda

@connect24h タスクスケジューラ(schtasks)の方法ってね。ずいぶん前に、やったんですけどね。Windows7の場合「あらかじめ」管理者権限があきらな環境じゃないと仕込めないんです。そうでない環境だとUACが起動しちゃって、こっそりやるには こわくて使えない印象w
@harusanda @connect24h @keijitakeda 検察はiesysを派遣先のPCで1から作成した主張しているのですが、弁護側は試行錯誤するために複数のPCでテストするはずだと主張しています。私も初期段階のテストからいきなり客先テストはないと思いますが

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda そうでしょ? ゆえにね。ウイルス作成ならVMあったほうがいいと思うけど、リモートツールの初期開発って隠す必要あります? サーバー作る人が試行錯誤で複数の環境立てなきゃいかんのかな。1台でよくない?

connect24h@connect24h

あそこまで豪快に遠隔操作されていたという前提なら、元々同僚で管理者権限を知られていたか、Backtrack利用レベルのツールで管理者権限とられたか以外は難しいと考えています。@harusanda: @kitagawa_takuji @keijitakeda
@connect24h @harusanda @keijitakeda 豪快に遠隔操作と思われるのはどの部分ですか?VSのインストールは本人も認めていますが

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda あ、北河さんのTLから外れてたのかも。Windows7に iesysやらcofeeやらが入って、動作して、消えて、それが「犯人が濡れ衣着せるために置いたんだ」っていうのが事実だとしたら、でしょ?
@harusanda @connect24h @keijitakeda シマンテックとトレンドによればiesysは7でも動作することになってます。symantec.com/security_respo… about-threats.trendmicro.com/malware.aspx?l… UAC切っていることが前提かもしれませんが
@harusanda @connect24h @keijitakeda あと、片山氏の会見では「犯人が使ったウイルスはiesys(アイシス)だけとは限らないと思います。」と言っています。blogos.com/article/81701/

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda 起動すると思いますよ。特にWindows7なら親和性が高いと思います。UACは起動から実行に継続するかどうかを いろいろ(ユーザーとか)おうかがいをたてる機能ですからね。

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda UACをかいくぐったのか・そうでなかった(自分でいろいろ押した)のかが重要なポイントだと思うのです。
濡れ衣着せられた立場なら「もしかしてあれが」と思い当たるふしがあるのでは。

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda もっというと、次回反対尋問で証人にUACのことを言わせちまったら、心証にかかわるんじゃないかという気がします。
@harusanda @connect24h @keijitakeda Win7でビルトイン Administratorで作業していた場合は既定でUACの設定が「通知しない」になっていると思います。また、自分で「通知しない」に変更している場合もありますね。開発者だと多いかも

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda 「通知しない」になっていたらそうです。(当時がどうだったかわかりませんが)
ただ僕の経験則ですが、開発環境だと「通知しない」例は、まずもってみたことないです。なにより危ないw

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda あとね、Windowsでのソフト開発ってUAC下げなきゃいけない局面って、まずないんです。
下げるとすれば、納品時なんですけど、まぁ、これもどうかと思うし、イベントログには残ったりするんでねぇ。

connect24h@connect24h

iesys自体は、ツールのふりをしてユーザにインストールさせることでUACを回避しているから、ここもソーシャルエンジニアリング的な手法でUACを回避しているんですよね。@amneris84 @harusanda: @kitagawa_takuji @keijitakeda
@harusanda @connect24h @keijitakeda UAC無効にすることの危険性を理解していない人も多いし、危険性より利便性を重視して無効にしている人は多いと思いますよ。「UAC 無効 windows7」でググると山程出てきますし

connect24h@connect24h

正確にはセキュリティホールを使って管理者権限を奪取して、UACを無効化などして回避していた場合ですね。 RT @r_mizki: それが本当ならセキュリティホール扱いになるんじゃないですかねぇRT @connect24h: 遠隔操作でUAC回避していたら相当なレベルですよね。

山崎はるか@harusanda

@connect24h @amneris84 @kitagawa_takuji @keijitakeda 言っちゃいけなかったかww
あのねー これこんなこと言うと、ほんと当事者の方に失礼かもしれないけどね。
いまいち ちょっと前のアーキテクチャで攻守してるような気がするの>法廷

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda でますそりゃ。XPのソフトを7対応させる最大の課題のひとつなのですから。ホットな話題ですね。
だけどね、VSの開発環境って そのローカルで作られてるソフトはUAC 動作しないようにだいたいなってる
@connect24h @amneris84 @harusanda @keijitakeda UACBypassはMetasploitやSETにもあるし不可能ではないです。汎用ウイルスで操作していたのではというのは片山氏も言っています blogos.com/article/81701/

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda なのでね、よっぽど意識的な理由がない限り、開発環境でUAC下げなきゃいけないことってないんです。
あったとすれば、それがなんだったかいえるはずなんです。

connect24h@connect24h

K氏が犯人の場合と、真犯人がいる場合で、現状のUAC設定の意味が変わってきますけどね。途中、ON、OFFされた可能性も残りますが。 RT @harusanda: @kitagawa_takuji @keijitakeda

山崎はるか@harusanda

@connect24h @kitagawa_takuji @keijitakeda あと 意外に語られなくなったけどそこに「共犯者がいる場合」を加えたいところなの。
@harusanda @connect24h @keijitakeda これも気になるところです。> 同僚のPCからも遠隔操作プログラムを発見 片山被告弁護団が会見 blogos.com/article/69793/

山崎はるか@harusanda

@kitagawa_takuji @connect24h @keijitakeda ひゃー これ弁護団にとって ヤブヘビになりかねなくないですか?
被告が「同僚に濡れ衣着せようとした痕跡」といわれたら どうすんだろ。
検察のワナかもしれないのに 食いつくのは、ちょっとカケだねぇ
@harusanda 真犯人が、身近な人に仕掛けることはあまり考え難いようにも思いますが、何が起こっているのかよくわかりませんね。
@kitagawa_takuji @connect24h @keijitakeda

山崎はるか@harusanda

@kyoshimine @kitagawa_takuji @connect24h @keijitakeda うがった見方なんですが、僕なら身近なところを「実験台」にしてPCの画面がどうなるか見たいですw

山崎はるか@harusanda

@kyoshimine で、ちょっとすみません。できれば教えていただきたいのですが。
僕、被告が真犯人じゃなかったとしたら他に思い当たるフシがあるんです。その人も元被告なんですが、利害関係人でない者が地検で裁判書(判決文)を閲覧するのは現在でも困難ですか?
@harusanda 刑事ですよね。利害関係がないと、閲覧はできませんね。民事であれば、閲覧は可能ですが。

山崎はるか@harusanda

@kyoshimine ありがとうございます! そうなんです 刑事事件です。残念。
@harusanda @kyoshimine @connect24h @keijitakeda 検察はiesysを片山氏が派遣先PCで約2ヶ月掛けて作成したと主張しているのですが、はるかさんはマルウェア作成者の心理としてこれをどう思われますか?
@harusanda @kyoshimine @connect24h @keijitakeda 夜間や休日に自宅のPCで大部分を作成して、早く完成させたいために一部を勤務先で作成したなら分かるのですが、自宅では何もしていないことになっています。ノートPCも持っていないそうです。
@harusanda @kyoshimine @connect24h @keijitakeda 自宅には4台のデスクトップPCがあるそうなので、自宅なら複数PCを使っての実験も容易に出来ると思うのですが、わざわざ危険を犯して職場の同僚で実験しますかね?
@harusanda @kyoshimine @connect24h @keijitakeda 検察はその論拠として2ヶ月の間に業務での成果物を殆ど出していないことをあげていますが、開発現場では少なくとも数週間に1回は進捗チェックがあるはずで、仕事が遅れていることを周りに知られな
@harusanda @kyoshimine @connect24h @keijitakeda 仕事が遅れていることを周りに知られながら、業務で使うEclipseとは見た目が全然違うVisualStudioで開発するなんでことしますかね?
@harusanda @kyoshimine @connect24h @keijitakeda 派遣先では個室などではなく周りから常にPC画面が見られている状況だったようです gohoo.org/alerts/130324/

山崎はるか@harusanda

@kitagawa_takuji @kyoshimine @connect24h @keijitakeda 僕ね。「犯人はどういう理由でこういう行動/手段をとったのか」もっというと「とらざるをえなかったのか?」という見方なんです。僕 ある意味、犯人が好きなんです。共感してる。→

山崎はるか@harusanda

それでね。犯人は、その犯行によって何を変えたかったのか。そこが大切なんです。
故意犯ですから、かならず変えたい何かが前提にあるものなんです。
それが、ウイルスやマルウェアの作り方、投入方法、時期や犯行声明などによって達成されるか、あるいは達成されなくとも意思がそこにでてきます。→

山崎はるか@harusanda

この犯人の場合ね。「過去を変えたかった」と思うんです。
もっとハッキリいうと「自身の過去を改ざんしたかった」と思うんです。
たとえば結婚とか就職とか なんか切迫したエピソードがあって、本当は自分は犯人じゃなかったんですと、そういうことに変えたかったように思うんです。→

山崎はるか@harusanda

でもね。その目的は達成されなかったんです。社会の注目がね、思ったほど持続しなかったんです。なので、手段としては成功したのに、目的は達成されたなかったんです。
だからね、犯行声明をずるずると出し続けるしかなかった。
僕にはそう思えてならないんです。→

山崎はるか@harusanda

僕ね。マルウェアの開発期間なんて「執念」で決まると思うんです。工数とか人月とか、ここにあてはめたってしょうがないんです。ペアプログラミングとか少人数アジャイルとかじゃない限り、隣のソース見ない。→

真犯人が別にいたとして、被告が逮捕されることで、過去の改ざんに成功したのかと。

山崎はるか@harusanda

僕が最初に作ったウイルスはCで2週間で作りました。ハッカージャパンの連載で登場した簡易サーバーってvb.netで1時間ぐらいで書いた気がします。
どれだけがコーディングで、どれだけがテストかわからないですけど、それも含めてそこなの?とは思うのです→

山崎はるか@harusanda

なので、被告が犯人であったとしたら目的が完遂できなかったわけだし、犯人が別にいたとしても、いまの時点では どうも その人の目的が完遂できてるようには思えない。
巻き込まれた人が ただただ 気の毒でならない、というのが僕の思いです。
(この問いのおこたえ おしまい)thx
@harusanda を? はるかちゃん弁護団に関わりたいの? 佐藤先生喜ぶよ。

山崎はるか@harusanda

@ogochan おごちゃんにそう言ってもらえるのって すっげーうれしい。
被告が犯人だと決まったわけじゃないので、被告に共感できるかは 今後の流れによりますね。
@harusanda 私はむしろ共感持てな過ぎて、無実を確信したねw
様子はうかがっておくわ。いろいろNDAの必要な話が聞けるよ。

山崎はるか@harusanda

僕ね。被告がじゃなくて「犯人が」ですよ? オリジナルで iesys.exe 作ったかどうかをまず疑ってるんです。でね。濱さんの直感・というか示唆と たぶん同じところなんですけどね。
警視庁・あるいは検察が類似ソースを、どっかで見つけたのかもしれない、ぐらいに思ってるんです。→

山崎はるか@harusanda

で、そうであったにせよ、そうでなかったにせよ。
そのプログラムがオリジナルかどうかって、犯人の自己申告なんです。
「秘密の暴露」、犯人しかわからないんです。
僕ね、その余地が残ってるのって、貴重なことだなぁと思ってるんです。
共犯者が出てくるシナリオにも耐えられるし。→

山崎はるか@harusanda

宮部みゆきさんの「模倣犯」っていう作品あるじゃないですか。僕ね、今回の事件で、あのラストシーン(おまえは ただの模倣犯にすぎない!)ができるんじゃないかとロマンを感じたんですw
ま、それはないだろうってことで、作成の事実の扱いは今後もちょっと期待してるんです。(おしまい)
週刊朝日の片山祐輔氏インタビュー 1)片山氏が江ノ島で猫の写真を撮ったスマホのマイクロSDカードが検察の証拠リストに入っていない。2)片山氏がポータブルアプリを入れて常に持ち歩いていたUSBメモリが警察の押収物の中に入っておらず、行方不明になっている。

s佐名木’智貴/s@tomoki0sanaki

真・真犯人がいるなら、事前にVisualStudioがインストール済の犠牲者を探して、そこに作成中っぽい痕跡を残せばいいので、真・真犯人が遠隔操作でVisualStudioをインストールする必要もないし、犠牲者のPCで遠隔操作しながら開発(VSを使う)する必要はないと思うぞ。

3月のMSのセキュリティ更新プログラムとCVE-2014-0324のお話

2014年3月のセキュリティ情報を公開しました。詳しくは2014年3月のセキュリティ情報をご覧ください。aka.ms/Cp5hdn #JSECTEAM
「2014 年 3 月のセキュリティ更新プログラムのリスク評価」を公開しました。
セキュリティ情報ごとに最も起こりうる攻撃などを解説しています。適用優先順位の決定にご活用ください。aka.ms/Yvm8qc #JSECTEAM

piyokango@piyokango

IE 0day(CVE-2014-0322)もMS14-012で修正されます。更新しましょう:D / “マイクロソフト セキュリティ情報 – 2014 年 3 月” htn.to/87CmbU

piyokango@piyokango

『CVE-2014-0324:..マイクロソフトは、Internet Explorer 8 でこの脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。』 / “マイクロソフト セキュリティ情報 MS14-012 – 緊急 …” htn.to/LVr3y3

piyokango@piyokango

IE8への攻撃を確認したとMSが報告したCVE-2014-0324はOfficeが入っていないか、ソフトウェアが最新になって(MS13-106が適用されて)いれば影響は受けないという理解でいいのかな

Neutral8x9eR@0x009AD6_810

@piyokango いいと思います。MSの言っているCVE-2014-0324を突く攻撃でexploitが成功してもhxds.dllは既にMS13-106によってASLRedになってるのでROPchainには利用できないという事かと。blogs.technet.com/b/srd/archive/…

piyokango@piyokango

@0x009AD6_810 ありがとうございます。CVE-2014-0502もそうでしたが、既知の脆弱性を組み合わせているのは持ち合わせているストックがないか、手持ちのカードを全て見せる必要すらない対象ということなんですかね。

Neutral8x9eR@0x009AD6_810

@piyokango 攻撃の入口となる脆弱性でみた場合、今回のIE8のCVE-2014-0324もOperation SnowManのCVE-2014-0502も発生段階では0dayでしたね。ただshellcodeを発動させるにはご存知のように障壁(DEP/ASLR…)があり

Neutral8x9eR@0x009AD6_810

@piyokango それら緩和策を回避するためにnonASLRな正規DLLが利用されるのですが、今回のIE8への攻撃では意図的か攻撃者の努力が足りなかったのか分かりませんが既にMS13-106でASLR化されたhxds.dllがたまたま利用されていたため

Neutral8x9eR@0x009AD6_810

@piyokango ターゲットマシンにMS13-106が適用されていた場合は攻撃が途中で失敗していたという理解です。(CVE-2014-0324自体は攻略されていたはず)

その他に気になったことはこのあたり。

【アップデータ公開】Flash Playerの識別番号APSB14-08に関するセキュリティアップデータがUS時間 3月11日、米国サイトに公開されました。後ほど、日本語訳を掲載いたします。adobe.ly/1fSI5We (英語)
【セキュリティNEWS】モバイルの便利さに伴い、それを凌ぐ勢いで進化する犯罪。ここ最近一般的になってきた二要素認証さえも今や脅威の的に!?知らないと危険なネット犯罪の現在。詳細はこちら→bit.ly/1oK8K75 pic.twitter.com/C6HdtmQNvH
[レスポンスブログ] 情報を盗み出すトロイの木馬に狙われたオンラインストア #symantec bit.ly/1oLzfJ7
Weekly Report 2014-03-12を公開しました。^YK #セキュリティ jpcert.or.jp/wr/2014/wr1410…

piyokango@piyokango

CSRF?>『容疑者が男性の掲示板に書き込んだウェブサイトのアドレス(URL)をクリックしただけで、男性のメールアドレスが自動的に変更される仕組みになっていた。』

piyokango@piyokango

『「人のアカウントを取ることが遊びだった。スリルを味わいたかった」と容疑を認めている』 / “他人になりすましてオンラインゲームに不正アクセス 容疑の24歳男を逮捕 神奈川県警 – MSN産経ニュース” htn.to/mgabYH
https://matome.naver.jp/odai/2139457675691662901
2014年03月13日