2010年9月22日水曜日

2011年版セキュリティスイート製品マルチライセンスパック販売開始



7月に新発売を開始したPanda 2011年版製品ですが、1台用、3台用に加え、この度複数台のPCでの使用に特にお得な5台用、10台用ライセンスパックを新価格でダウンロード販売を開始しました。

2011年版の3つのラインナップから、あなたに合った必要な機能の製品を選び、さらにPCの台数、期間(1年間から3年間まで)を選択できます。

Pandaはクラウド型セキュリティの技術開発と基盤の運用において、既に3年の実績を持つクラウドセキュリティのリーダー企業です。
そのおかげで、高速かつ軽量な製品は今年も多くのアワードを受賞し、検出力でもトップのスコアを獲得しています。


あなたがお使いのウイルス対策、見直してみませんか?

==価 格====
Panda Antivirus Pro 2011/5台用 1年間 8,190円
Panda Antivirus Pro 2011/10台用 1年間 12,695円

Panda Internet Security 2011/5台用 1年間 13,105円
Panda Internet Security 2011/10台用 1年間 20,725円

Panda Global Protection 2011/5台用 1年間 14,750円
Panda Global Protection 2011/10台用 1年間 23,025円

2年間、3年間のパックはさらにお得です。
Antivirus Pro 2011 10台用、3年間の場合、1年間1台あたりわずか931円!!


New 2011


4chanユーザーによるアメリカ映画業協会MPAAに対する局部攻撃

Posted by Sean-Paul Correll

Rickroll、LOLCats、新興宗教サイエントロジー教会に対するハッカー集団“Anonymous”の攻撃のようなインターネット上の多くのミームに影響を持つポピュラーな画像掲示板"4chan"。

違法な映画をホスティングしているThe Pirate Bay他のファイル共有サイトに対し、海賊版の問題で類似の攻撃を行ったことのあるインドのソフトウェア会社を映画業界が雇ったことに対する報復として、4chanのユーザー達がThe Motion Picture Association of America(MPAA: アメリカ映画業協会)に対するCoordinated DDoS attack(協調型DDoS攻撃)を公に発表しました。


Update: 9/21-1:00 PM PST-新たなターゲットはACS:LAW(英国の弁護士)と anti-piracy.nlに設定されています。

Update: 9/21-12:00 PM PST-サイバー犯罪者達は Aiplex、DDoS、The Pirate Bay、4chanの検索結果を操作し汚染させることで、このニュースから利益を得ようとしています。以下のリンクは"Aiplex DDoS"での検索結果の上位5件に表示されました。
Blackhat SEO Poisoned Aiplex Search Results
"Aiplex"での検索結果を汚染するBlackhat SEO

リンクをクリックすると、我々はすぐに一般的なRogueware(偽セキュリティプログラム)の感染サイトにリダイレクトされました。

Rogueware Infection Site - Aiplex
Rogueware に感染したサイト - Aiplex

Update: 9/20 7:30 AM PST-MPAAは“COMBATING ONLINE INFRINGEMENT AND COUNTERFEITS ACT(オンライン上の違反や偽造行為との戦い)”をリリースしました。

ドキュメントの要約はこちらからダウンロードできます。(PDF)
"オンライン上の違反や偽造行為との戦い"は、無許可のダウンロードやストリーミング、著作権で保護されたコンテンツや偽造品の犯罪のために捧げられたWebサイトを追跡して閉鎖するためのツールを司法省に提供しています。それは...
  • 違法な商品やサービス専用のWebサイトの取り締まりに役立つ迅速なプロセスを司法省に提供する。
  • ドメイン名に対して民事訴訟を起こす許可を司法省に与え、違法なマテリアルのトラフィックに使われているドメイン名に対して法廷から仮処分を与える。当局は訴訟の後、すぐに行動の通知を発表すべきであり、オンライン上の海賊行為や偽造行為において、そのサイトの実態や繰り返された役割に焦点を当てるはっきりした基準を満たす必要がある。
  • ドメイン名の所有者やサイト管理者の法廷への命令解除の申し立てを許可していることについて保護を提供する。
この攻撃はまだAiplex.comにフォーカスが当てられており、現在198のサービスが中断し、トータルでダウンタイムは25時間17分でした。

Aiplex Uptime Graph
AiplexのUptime(連続稼動時間)グラフ

Update: 9/20 1:40 PM PST-攻撃は現在Aiplex.comに集中しています。Aiplex は、117のサービスの中断と9/18日から20日4:20PM (PST)迄に14時間58分のダウンタイムを経験しています。さらに、Anonymousは声明を発表しています。こちら http://www.scribd.com/doc/37746686/An-Open-Letter-from-Anonymous

Aiplex.com downtime
Aiplex.comのダウンタイム

Update: 9/20 10:30 AM PST
-the British Phonographic Industryへの攻撃は、発生しなかったか又は不成功でした。BPIのWebサイトは、私達が監視を始めてから100%の連続稼働を維持していま す。彼ら(Anonymous)のコミュニケーション経路がBPIへの攻撃が始まると思われる直前に非公開のハッカーによって中断させられたため、攻撃が行われなかったように思います。
次のターゲットはMPAAに戻され、21日の12:00PM (PST)に設定されています。

Update: 9/19 8:30 PM PST-RIAA(アメリカレコード協会:Recording Industry Association of America)サーバーは、37のサービスが中断し1時間37分のダウンタイムの後、復旧しました。Anonymousは、現在British Phonographic Industry に焦点を置いています。攻撃は9/20 4:00 PM (GMT)に設定されています。

Anonymous against BPI

BPIに対するAnonymous

Update: 9/19 3:30 PM PST-この攻撃者の背後にいるチームは、9/12 PM (PST)にRIAAを攻撃することに切り替え、RIAAのWebサイトは攻撃開始から24回のダウンタイムを記録しました。RIAAのWebサイトへの 攻撃に加えて4chanのAnonymousメンバーは、“ROBERT PISANO MPAA CEO ARRESTED FOR CHILD MOLESTATION!(MPAAのCEOであるRobert Pisanoは、児童虐待で逮捕された)”というフレーズのGoogle爆弾も試みました。

RIAA Downtime Graph
RIAA ダウンタイムグラフ

Update: 9/18 4:00 PM PST-MPAA.orgは21時間49分のダウンタイムの後、復旧しました。攻撃は現在、インドのソフトウェアファームAiplex.comに焦点が切り替えら れています。一方RIAAへの攻撃は19時間後に開始される予定です。http://bit.ly/aSVEKG

Total MPAA Dowtime
MPAA のトータルダウンタイム

Update: 9/18 9:25 AM PSTMPAA他に対する攻撃はまだ進行中です。 MPAAのトータルダウンタイム: 16時間11分。ifpi.orgのダウンタイム: 14時間20分。

Update: MPAA.org に対する攻撃は8:00 PM (EST)直後に始まり、サイト全体を急停止させるまでにわずか8分かかっただけでした。

MPAA DDoS Attack

MPAA DDoS 攻撃

以下のイメージはインターネット上に公開されたもので、9/17の9:00 PM (EST) に攻撃を行うために何が必要かをユーザーに指示しています。

4chan DDoS against MPAA

MPAAに対する4chanの DDoS攻撃

Aiplexよ、こんな短時間になんという速さだ! 奴らが雇った「銃」、は既にTPB (The Pirate Bay)をDDoS攻撃でダウンさせている! Rejoiceや/b/rothers、また一人のanonymous(匿名)の手によるものだったとしても予定より前倒しで実行されたのだ。一方、今や我々は最高のレーザー銃を持っているが、どこをターゲットにすべきだろうか? 我々はThe Pirate Bayをはじめとする我々のWebサイトに対する攻撃をここまで行ってきたあのいまいましいグループをターゲットとする。MPAA.ORGをターゲットに!。IP は"216.20.162.10″とする。攻撃開始時間は同じままだ。全詳細は前と同じだが、このより大きなターゲットに照準を合わせた。 我々はマンパワーを持っているし、ボットネットをもっている。彼らが我々に行い続けていることを我々が行う時間だ。

REPEAT: Aiplexは一人のannonymousのおかげで既にダウンした、我々はターゲットを変更する

彼らは集めたマンパワーで行うだけでなく、このイメージによるとMPAAに対する攻撃を補助するためにさらにボットネットも使っています。

インターネットコミュニティ全体のマンパワーの収集をどのようにしたら止められるでしょう?あなたは機器を押収することや、攻撃の発信者を突き止めることができますが、グループは自分達が匿名のままでいられることに誇りを持っており、インターネットのパワーを使って非常にうまく行われます。

これはサイバー抗議活動の将来像です。


2010年9月16日木曜日

“Here you have”ワーム攻撃、スペインから発信されていた可能性

Posted on 09/13/10 by Luis Corrons


先日、Sean-Paulは24時間という短期間に配布されていたワームについて記事を書きました。
“Here you have”というこのワームは、一ヶ月以上前に出現したワームの二番目の亜種で、その特徴のひとつは、メッセージのfromアドレスが、“Brigades of Tariq ibn Ziyad”と呼ばれるテロリストグループに関連している“iraq_resistance”であるということでした。

Tariq ibn Ziyad al-Layti (720年没)は、8世紀にイベリア半島のVisigothic Hispania(西ゴート王国ヒスパニア)を征服しイスラム支配に導いたベルベル人の将軍でした。

数時間前、自身をこのワームの作者であるとした人は、“IRAQ Resistance - Leader of Tarek Bin Ziad Group”と署名されたビデオを発表しました。ビデオを発表したユーザーの別名は、作者がYoutubeに追加した彼のプロフィールによると、“iqziad”26歳、スペイン出身。

ビデオによると、このワームは主に米国をターゲットに作られており、それは2つの理由において正当であるとしています。
9.11攻撃の記念と、先週公の場でコーランを焼却しようとしたTerry Jones牧師の問題についてイスラムへの敬意を要求するということ。

ビデオでは南スペインのアンダルシア地方の写真をみせています。私達は既に全ての情報をスペイン軍警察へ送っており、これについてさらに調査を進めています。近い将来おそらく詳しい情報を発表できるでしょう。

ビデオはこちら


私達はさらにできるかぎりビデオの内容を書き取ろうとしてみました。

Hello, My nickname is Iraq Resistance. Listen to me about the reasons behind 9/September virus that affected NASA, Coca-Cola, Google, and most American ???. What I wanted to say is that the United States doesn't have the right to invade our people and steal the oil under the name of nuclear weapons. Have you seen any there? No evidence about any project. How easy you kill and destroy. Second, that the Christian, Terry Jones. What he tried to do the same day this worm spread is not even fair. I know that not all Christians are similar and some news papers wrote that I am a terrorist hacker because a computer virus and Mr. Terry Jones is not. And he is not terrorist because he affected all muslims behavior? I think, America, come on, be fair. Where is your freedom, which must end when you ???. As you say you modern educated people. I don't know that there is another one and really I don't like “smashing” and even there were no computers “smashed” as you know from the analysis report. I can “smash” all of those infected, but I wouldn’t and don’t use the word terrorist please. I hope all people understand that I'm not negative person. Thank you for publishing.

ハロー。私のニックネームはIraq Resistance。NASA、コカコーラ、Googleなど多くのアメリカの??に影響を与えた9月9日のウイルスの背後にある理由について聞くように。
私は、米国が我々の身内に侵入して核兵器(の存在?)という名目の元に石油を盗む権利は無いと言いたい。何かが見つかったただろうか?いかなる計画に関する証拠もない。にもかかわらず、あなた達はなんと簡単に殺し破壊することだろう。
第二に、キリスト教徒のTerry Jones氏。このワームの拡散と同じ日に彼が行おうとしたことはフェアではない。私は全てのキリスト教徒が同じようではないことを知っている。いくつかの新聞が、コンピュータウイルスを理由に私をテロリストでハッカーであると書き、Terry Jones氏はそうは書かれていない。そして彼は全てのイスラム教徒の振る舞いに影響を及ぼしたけれどもテロリストではないのか?
私は思う。アメリカよ、公平であれ。あなた達の???で終わってしまった自由はどこに。そしてあなた達が自分を教養ある現代人だと言うように。私は別のものがあることを知らないし、私は本当に"破壊する"のは好きではなく、分析レポートからわかるように実際に"破壊された"コンピュータは無い。
私は感染した全てのコンピュータを"破壊する"ことができるが、そうしてはいない。テロリストという言葉を使わないでほしい。私がネガティブな人間ではないと全ての人が理解してくれることを望む。公開してくれたことに感謝する。

2010年9月15日水曜日

“Here you have”ワームはサイバー・ジハード(聖戦)に関与していた

Posted on 09/10/10 by Sean-Paul Correll


セキュリティ業界で総称“Here you have ワーム”と呼ばれているワームは、過去24時間以上、企業ネットワークなどに侵入しようとしていました。このワームは、PDFファイルに偽装した実行ファイルと共に、“Here you have” または“Just For you“という件名を使ってemail経由で届きます。
Panda Securityは、W32/Visal.A.wormとして分類しており、先月に初めてiraq_resistance@yahoo.com からのスパム送信が見られました。

このワームは次のファイルを作ります。(フルレポートはPandaのサンドボックスを見て下さい -> http://x.maldb.com/?p=44309#more-44309

  • /WINDOWS/autorun.inf
  • /WINDOWS/autorun2.inf
  • /WINDOWS/csrss.exe
  • /WINDOWS/ff.exe
  • /WINDOWS/gc.exe
  • /WINDOWS/hst.iq
  • /WINDOWS/ie.exe
  • /WINDOWS/im.exe
  • /WINDOWS/op.exe
  • /WINDOWS/pspv.exe
  • /WINDOWS/rd.exe
  • /WINDOWS/re.exe
  • /WINDOWS/re.iq
  • /WINDOWS/system/Administrator CV 2010.exe
  • /WINDOWS/system/updates.exe
  • /WINDOWS/system32/SendEmail.dll
  • /WINDOWS/system32/wbem/Logs/wbemcore.lo_
  • /WINDOWS/system32/wbem/Logs/wbemprox.log
  • /WINDOWS/tryme1.exe
  • /WINDOWS/vb.vbs
  • /autorun.inf
  • /open.exe

以下に接続:
  • members.multimania.co.uk/yahoophoto/tryme.iq
  • members.multimania.co.uk/yahoophoto/ff.iq
  • members.multimania.co.uk/yahoophoto/gc.iq
  • members.multimania.co.uk/yahoophoto/ie.iq
  • members.multimania.co.uk/yahoophoto/im.iq
  • members.multimania.co.uk/yahoophoto/m.iq
  • members.multimania.co.uk/yahoophoto/op.iq
  • members.multimania.co.uk/yahoophoto/pspv.iq
  • members.multimania.co.uk/yahoophoto/rd.iq
  • members.multimania.co.uk/yahoophoto/w.iq
  • members.multimania.co.uk/yahoophoto/SendEmail.iq
  • members.multimania.co.uk/yahoophoto/hst.iq
  • members.multimania.co.uk/yahoophoto/re.iq
  • members.multimania.co.uk/yahoophoto/tryme.iq

さらなる調査で、“iraq_resistance”は、少なくとも8月中旬に発見されたワームの最初のバージョンに関与していると我々が信じて いるリビアのハッカー/テロリストとして知られたハンドル名であるとわかりました。

“iraq_resistance”に、テロ組織(エレクトロニック・ジハード《電子聖戦》)“Brigades of Tariq ibn Ziyad”と同時にこのマルウェアの件がリンクされていました。

これはiraq_resistanceの書き込みのコピーで、グループの一番の優先事項をはっきりと述べています。
Prompt Required young people to participate in the campaign of the electronic jihad اجهزة امريكية تابعة للجيش الامريكي Group was established as the Brigades of Tariq ibn Ziyad and goal of this group to penetrate U.S. agencies belonging to the U.S. Army
“エレクトロニック・ジハードの活動への若者の参加が必要である。グループはBrigades of Tariq ibn Ziyadとして作られ、米陸軍所属のエージェンシー(諜報機関)に侵入することがグループの目的である)” - Google Translate リンク
Brigades of Tariq ibn Ziyad
テロリストのリンクのほかに、xp10.comのようなその他のアンダーグラウンドのハッキングフォーラムでいくつかのポストが書き込まれています。
Forum Communication by Iraq_Resistance

グループも個人も関与を主張していないので、このワームのセカンドバージョンが、“iraq_resistance” または “Brigades of Tariq ibn Ziyad”に関連するかどうかはまだ不明ですが、このグループの性質上十分あり得ることです。

2010年9月10日金曜日

Google Instantにおける、悪意ある検索候補予測

Posted by Sean-Paul Correll

Googleは“Google Instant”という新しいサーチテクノロジーをリリースしました。
あなたがGoogleの検索窓に入力すると、ダイナミックで高速化された検索結果が表示されます。Google Instantは、基本的に、ユーザーが何を入力するかを予測して、リアルタイムに入力されている言葉に最も関連性が高いと思われる検索ワードを即座に提示します。


それがなにかって? はい、私たちは少し心配です・・・。
もしあなたが私達の過去のブログ記事を見たら、GoogleがBlackhat SEO攻撃を軽減するための良い仕事をしていないということがわかります。それは長い間検索結果に害を与えてきました。

試しにテストとして、私は"antivirus"を検索してどんな入力候補が出るか見ようと思いました。するとなんと、有名なRoguware(偽アンチウイルスプログラム)のAntivir Solution Proが検索の入力候補の中にありました。
Google Instant Malicious Search Suggestion

悪意ある検索予測候補の問題に続いて、ここでさっそく本当の問題に入ります。
私は、この新しいテクノロジーが既存のBlackhat SEO活動をもしかすると改善できるかどうかをより懸念しています。ほとんどのBlackhat SEO活動が自動的にGoogleのトレンドトピック結果を呼び出すことがわかっています。また現在Google Instantはトレンドのフレーズを(一語一句そのまま)提案し、潜在的に数百万の犠牲者を直接サイバー犯罪の攻撃対象にしていまう可能性があります。

Google InstantがBlackhat SEO活動の手助けになるのを本当にもうすぐ見ることができるかどうか、時が経てばわかるでしょう。
気をつけて下さい。

2010年9月2日木曜日

Mariposaストーリー、スロベニア編


Posted on 09/1/10 by Luis Corrons

数週間前、スロベニア警察はMariposaボットネットの構築に使われたボットを販売していた数名を逮捕したと発表しました。その作者達は今年3月にスペインで逮捕されています。この時点から多くの錯綜したニュースがありましたが、真に力になってくれたPeter Lovsin氏のおかげで、私達はこの混乱に再度少し光を当てることが出来ました。

スロベニアにおける逮捕の後、警察は記者会見を行い情報を一部公開しました。
彼らは7軒の家を捜索し、そこで75台のコンピュータ機器(コンピュータ、ハードディスクなど)を押収し、2人の容疑者(23歳と24歳)を拘留したことを認めています。(スロベニアにおける警察の拘留期間は最大48時間)。その後彼らは釈放されましたが調査はまだ進行中です。逮捕者のうちの一人について、警察は彼がMariposaボットネットの構築に用いられた悪意あるソフトウェア(ButterflyBot)の作成者であるという容疑であるとしています。そして二件の重罪を調査していることを明らかにしました。
  • サイバー犯罪を可能にするツールの作成
  • マネーロンダリング
さらに詳しいいくつかの情報があります。スロベニア警察によって確認されてはいませんがメディアによって知られた情報によると、23歳の男性は主犯格のIserdoであると思われ、実生活ではスロベニアのマリボール出身のMatjaz Skorjancとして知られています。彼は落第した医学生で、父はマリボールの近くに電子機器の開発と販売を行う小さな会社を所有しています。彼の別名"Isardo"のスペルを逆さまにすると"Odresi"、これはスロベニア語で「取り戻す、救う」という意味です。

24歳のほうは女性と思われ、同じくマリボール出身のNusa Coh、IRCニックネームは"L0La"です。Isardoがボットの販売によって稼いだ金の少なくともいくらかはNusa Cohに払われていたようです。彼女はIsardoがどのように金を稼いでいるか知らなかったかもしれませんが。彼女はWestern Unionの送金で、MariposaのオーナーであるNetkairoをはじめとする別の人間からも金を受け取っていました。

(犯罪者達がなぜいつもWestern Unionを使うのかを知りたければ、数ヶ月前に書いたこちらの記事を読んで下さい)

調査の間、もうひとつの名前が挙がりました。Dejan Janzekovic、24歳です。彼もマリボール出身で、スロベニアのデータ通信およびISP(インターネットサービスプロバイダ)事業者"Amis" のシステムアドミニストレーターとして働いています。彼はいくつかのメディアによってIsardoと間違って取り上げられたので
あり、逮捕はされていません。彼はメディアに連絡を取り自分についての話を明かしました。警察は彼の家にも来ましたが、彼は逮捕もされていないため、どちらかというと被害者と言えそうです。彼は高校(2nd gymnasium Maribor)でNusa Coh (L0La)と同じクラスだったため、調査側はこの話を彼に結びつけたようです。Dejanは長い間彼女とは連絡を取っておらず、本物のIserdoが個人証明のために時々自分の写真を使っていたのだと話しました。

IserdoとL0Laが逮捕された週に、Butterflyボットの広告及び販売サイトはシャットダウンしました。覚えているでしょうか、数ヶ月前に私は そのサイトのスクリーンショットをいくつか紹介しました。しかし一週間後オンラインに復活したので、私はスクリーンショットをアップデートすることができました。
Butterfly Network Solutions
Butterfly Network Solutions 3

その数日後、スロベニアのCERT(SI-CERT: コンピュータ緊急対応チーム)は、このページのホスティング業者(West Hosting corp)に連絡を取りました。このページがそれ以来シャットダウンされていることからみると、彼らはその時点から協力的であったようです。

ただし良いニュースばかりではありません。私が知る限り、Mariposaの背後にいるNetkairoとOstiatorの2人共まだ何の刑罰も課せられておらず、鳥のように自由です。

もしあなたがNetkairoのルックスがどのようだか知りたければ、私は彼の公開されているFacebookアカウントを見つけたので、こちらで写真をチェックすることができます。これはスロベニアでの逮捕が行われた時に彼が書いたコメントです。

Netkairo

これはスペイン語の慣用表現で、考えが似た人達が集まることを意味する”Dios los cria y ellos se juntan”をもじったものですが、彼は最後のフレーズを"警察はそれを積み上げる"に変えています。(神は一緒に育て彼らは集まる --> 神は一緒に育て...警察はそれを積み上げる)

とにかく、私はもっと良いニュースが近い将来発表されることを期待しています。Iserdoが売った数百のボットが作った数百のボットネットをダウンさせることができるからです。哀れむことなく最後まで彼らにつきまとうこと、これこそがサイバー犯罪を終わらせる方法です。