三井物産セキュアディレクション セキュリティ診断なら
feed

MBSD Blog

 先進あるいは新解釈に基づくサイバーセキュリティ動向を当社スペシャリストがわかりやすく解説します。
 MBSD's cyber-experts discuss the latest or a new interpretation of cyber security trends.

title1

file2017.07.11

 6月末にウクライナを中心とし海外で被害を拡大させた「Petya」「GoldenEye」「NotPetya」などと呼ばれるMBR破壊型ワームランサムウェアですが、攻撃発覚後しばらく経過してもこうしてランサムウェアの名前が未だに統一されないのは、複数のランサムウェアやマルウェアに類似する特徴やコードがあるものの、それらが微妙に異なっており、同種と言いきれないような状態にある点がその要因の一つと考えられます。
 弊社マルウェア解析チームでは、継続した調査を実施した結果、このMBR破壊型ワームランサムウェアにさまざまな工夫や独自性があることを確認しており、作成者像としては、近年のマルウェアやランサムウェアの有効な機能をうまく取り入れ効果的に組み合わせられる高度な技術を持った者(または組織)であると想定しています。

file2017.06.27, 2017.07.07

 「レコメンド」と聞くと、オンラインショップで自分の嗜好に合った商品を推薦する仕組みを思い浮かべる方が多いと思います。このレコメンドという手法は様々なシステムに組み込まれており、例えば音楽配信サービスにおける楽曲の推薦、不動産紹介サービスにおける不動産情報の推薦等、広く実用されています。
 今回は、レコメンドの手法をセキュリティ分野に拡張し、Webアプリケーションの脆弱性を精査するための検査文字列を人間にレコメンドする検証システム「PyRecommender」を開発しましたので、そのロジック説明とデモをお見せします。

 When you hear "recommender system", you will imagine a system that recommends items of your choice in an online shop. The recommender system is implemented and widely used in various systems, such as music recommendation in music streaming services, property recommendation in real estate services, etc.
 In order to expand the “recommender system” to the security field, we have developed a system called PyRecommender which recommends injection codes for engineers to test web app vulnerabilities. So, we will explain the mechanism of the system and show the demo.

file2017.06.30

現在、ウクライナを中心に「GoldenEye」「Petya」「PEtrwrap」と呼ばれている新たなMBR破壊型かつワーム型ランサムウェアの脅威が拡大しています。
この記事では弊社マルウェア解析チームが現時点までに調査した調査内容を掲載します。
はじめに脅威の全体像を簡潔に記載した上で、後半ではより細かい分析結果を中心に解説していきます。

file2017.06.29

 WannaCry 2.0の騒動が発生してから一ヶ月半程が経過しました。騒動の発生時からWannaCry 2.0が利用する「EternalBlue」および「DoublePulsar」について繰り返し報道されてきたこともあり、これら2つのキーワードはかなり認知され耳に残る単語になったのではないかと思います。
 他方で、この2つがどのように機能しWannaCry 2.0のワーム活動が構成されているか、すなわちEternalBlueとDoublePulsarの役割や境界線について、詳細な情報はありつつも断片的なものが多く、整理し終えないまま話題として収束しつつあるように感じています。
 本記事では検証と解析を通じて事実を整理するとともに、ワーム活動におけるフローに焦点を当てつつ、WannaCryによって設置されるDoublePulsarが持つリスクについて言及します。

file2017.06.07

弊社では、前回のブログ記事において、一連のWannaCry攻撃の中で利用されたワーム型マルウェアのリソースファイルを改変した亜種の出現可能性について注意喚起を行っていましたが、今回、それに該当する亜種を確認しました。
(WannaCryは前回のブログで言及した通り、ワーム機能とランサムウェアの機能が分離していることから、ワーム機能を持つバイナリをドロッパー①、ランサムウェアの機能を持つバイナリをドロッパー②として以降記載します)

file2017.05.18

ここ連日ランサムウェア「WannaCry」が世間を騒がせています。
弊社では3月時点で「WannaCry 1.0」の検体を入手しており、ランサムウェアとしての「WannaCry」は以前からDropbox等で一般のランサムウェアと同様に拡散されていたことを把握しています。
本記事では、今回の一連の攻撃で利用された「WannaCry 2.0」を構成する複数のファイルおよびその関係性、そして「WannaCry 1.0」との比較分析により見えた「WannaCry 2.0」の特徴について解説します。

file2017.05.16

 機械学習で画像分類と言えばConvolutional Neural Network(以下、CNN)と言われるくらいCNNは物体認識に広く使われており、Googleの画像検索やFacebookの顔認識、また、自動運転自動車などで実用されています。
 本記事では、このCNNへの入力画像を人間の目には分からないくらいに微妙に細工することで、CNNの画像分類を誤らせる攻撃手法を紹介します。

file2017.04.06

世界で多くのランサムウェアが日々出現している中、他のランサムウェアと比較すると突出して洗練されている印象を受けるのが「Cerber」と呼ばれるランサムウェアです。「Cerber」は2016年初頭に出現して以来、音声による脅迫や不正広告を介した拡散など、常に新しい技術を挑戦的に取り入れてきたことで知られています。
今回弊社が調査した最新の「Cerber」では、過去に「Gumblar(ガンブラー)」や「Downadup(ダウンアド)/Conficker(コンフィッカー)」等世界的に感染を拡大させたマルウェアなども利用していた「サーバサイドポリモーフィズム」の手法を利用していることを確認しました。

file2017.03.31

ランサムウェアの新種の出現はもちろんですが、亜種の出現に関しても日々絶えることはありません。ここ最近では、国外で「AngleWare」と呼ばれるランサムウェアが発見されたという情報が流れています。
 弊社のマルウェア解析チームにて「AngleWare」の検体を入手し解析を行った結果、過去にオープンソースとしてgithubに公開されたことで有名な「Hidden Tear」のコードと酷似する点が複数あることを確認しました。

file2017.03.24

 ランサムウェアの脅威は収まる気配なく、日々新たなランサムウェアが増え続けています。
 弊社では、昨年度にランサムウェアの検知および防御に関する国内初の特許を取得しており、その特許技術を搭載したランサムウェア対策専用ソフトウェア「MBSD Ransomware Defender(仮)」を現在開発しており、日々新たに出てくるランサムウェアに対応できていることを確認済みです。

file2017.03.22

 Over the past year, we made an extensive research on the (in)security of embedded devices, such as routers, cameras, and toys. As a result, we identified a bunch of serious vulnerabilities. Interestingly enough, some of these devices were based on non-Linux systems, whereas most of them were embedded Linux systems.

file2017.01.17

 この1~2年の間に機械学習を使用したサービスやプロダクトが数多くリリースされています。それと同時に、機械学習モデルに対する攻撃手法も多く発表されています。
 本ブログでは、EPFLのFlorian氏らが発表した論文「Stealing Machine Learning Models via Prediction APIs」から「Model Extraction Attacks」と呼ばれる機械学習モデルに対する攻撃手法の一例を紹介します。

file2016.12.22

ある会社で開発したSNSのシステムにセキュリティ上の問題があると指摘されました。あなたのチームのミッションは、
  「このシステムに潜む脆弱性を探し出せ!」
――はたして、参加者はこの会社の危機を救えたのでしょうか。

file2016.11.04

 今年3月、Black Hat ASIA Arsenalに診断AI「SAIVS」を出展した際、訪問者から「機械学習を使って自動でWebアプリの脆弱性は検出できないか?」という要望を複数受けました。今回はこのご要望にお応えすべく、SAIVSに「機械学習でWebアプリの脆弱性を見つける」能力を追加しましたので、そのアイデアとデモを紹介したいと思います。

file2016.10.06

 ランサムウェアの急増に関する記事が連日世界中で掲載されています。
 既存のアンチウィルス製品では高度な検知機能により、ある程度ランサムウェアを防ぐことができる場合もありますが、高度化するランサムウェアを完全に防ぎきることはできない状況となっています。
 そのため、ランサムウェア感染に対する有力な対策方法として「事前にバックアップを取得しておく」方法が強く謳われていますが、ランサムウェアによるファイルの「暗号化」自体を防御する方法についてはあまり取り上げられておらず、深く議論されていないように感じます。

file2016.09.27

 IDA Pro has a feature of cooperating with Bochs virtual machine that enables users to analyze code executed before an operating system is booted up. Recently I had an opportunity to test this feature in practice. This post shows how to use this feature in a real-life scenario.

file2016.09.21

URLのハンドリング処理のバグは、しばしばセキュリティ上の問題の原因となってきました。筆者が昨年報告したSafariのXSSもその一つの例です。本日は、この脆弱性の詳細を書きます。

URL handling bugs have sometimes caused security problems. One example is the XSS bug of Safari I reported a year ago. This blog post describes the bug details.

file2016.09.14

Web診断に欠かせないWeb Proxyツールとして、Burp Suite、Fidder、OWASP ZAP等があります。
それぞれのツールには一長一短があり、どのツールがよいかという点については意見が分かれるかとは思いますが、 弊社の診断メンバーは圧倒的にBurp Suiteの利用者が多いといえます。これには診断の教育コストの面もありますが、 それとは別にBurp Suiteにはマニアックな機能が多く、これらの一部の機能が診断にとって欠かせなくなっている面があるかと思います。

file2016.09.05, 2016.09.09

ご存知の方もいるかと思いますが、MySQLはバージョン5.6, 5.7あたりから色々と挙動が変わりました。
この記事では、これらの変更のうちSQLiの検出/攻略方法に影響するものについて書きます。主に取り上げるのは、v5.6においてデフォルトのsql_modeに追加されたSTRICT_TRANS_TABLESモードについてです。

A number of changes were introduced in MySQL v5.6 and 5.7.
In this post, I would like to discuss some of the changes that can affect how we detect and exploit SQLi vulns in MySQL-based web applications. The main topic is STRICT_TRANS_TABLES mode which was added to the default sql_mode in v5.6.

file2016.08.26

 先日アメリカのラスベガスでBlack Hat USAとDefconが開催されました。ご存知の方も多いと思いますが、いずれも20年ほどの歴史を持つ技術志向のセキュリティカンファレンスであり、世界で最も注目を浴びるカンファレンスと言えると思います。例年通りMBSDからも数名のエンジニアやコンサルタントが参加し、筆者2名も初参加組としてラスベガスまで行ってきました。

file2016.08.22

 7月27日(水)19時より弊社オフィスにて「第5回MBSDセキュリティ勉強会」を開催しました。

 弊社は、セキュリティに興味のある学生や社外のエンジニアを主な対象とした勉強会を開催しています。おかげさまで、MBSD勉強会は今回で5回目の開催を迎えることが出来ました。詳しくは後述しますが、以前参加したことのある方にも楽しんでいただけるよう、今回は内容を一新しました。

file2016.07.07

 弊社(以下、MBSD)は2014年より本格的に新卒採用を開始し、私はその3期目です。本記事では、MBSDの新卒新入社員向けに行われる教育プログラム(いわゆる「新人研修」)について、実際に体験した新人(私)の目線からご紹介したいと思います。

file2016.04.14

 3月31日(木)~4月1日(金)にシンガポールのMarina Bay Sandsで開催されたBlack Hat ASIA 2016 & Arsenalに参加してきました。Arsenalは聴講だけではなく、プレゼンターとしても参加しました。本Blogでは、筆者らが初めて参加したArsenalの様子と、Briefingsの中から筆者が特に興味を持った研究発表を紹介します。

file2016.04.07

 Today's topic is attacks against browser's XSS filter. XSS filter is a security function built in browsers. It aims to reduce the actual exploitation risk when web applications are vulnerable to XSS.

 今回はブラウザのXSSフィルタへの攻撃を取り上げます。XSSフィルタはブラウザに内蔵されたセキュリティ機能です。WebアプリケーションにXSS脆弱性がある場合に、それが実際に攻略されるリスクを減らしてくれます。

file2016.03.18

 DVRF is a router firmware for Linksys E1550 designed for learning embedded device security. It contains some simple target binaries vulnerable to common attacks like stack buffer overflow, command injection, etc. What makes exploiting these binaries different is that they are compiled for 32bit little-endian MIPS processors.

file2016.02.02

 1月20日(水)19時より弊社オフィスにて「第2回 MBSDセキュリティ勉強会」を開催しました。弊社は、セキュリティや脆弱性診断に興味を深めていただくことを目的に、学生や社外のエンジニアを主な対象とした勉強会を開催しています。MBSDセキュリティ勉強会は、弊社プロフェッショナルサービス事業部(当部門では主に各種セキュリティ診断やセキュリティ教育サービスを担当)が主催しており、第2回となる今回も第1回勉強会(10月14日に実施)と同じく、以下のような方を想定とした比較的易しい入門的な内容としました。

file2016.01.22

 OverlayFS is a union filesystem for Linux implemented on top of other filesystems. It's often used in conjunction with lightweight virtualization technologies like LXC and Docker. I dug a little bit into the implementation of OverlayFS to understand CVE-2015-8660.

file2016.01.13

 先日、某セキュリティ系の勉強会で「AIにWebアプリケーション診断をさせてみる」と題し、Webアプリケーション診断(以下、Webアプリ診断)を行う人工知能(以下、診断AI)のデモを行ったところ、意外にも好評でしたので、本Blogで少し深堀したいと思います。

 In November I did a demonstration of Artificial Intelligence that detects vulnerability of Web applications in a cyber security workshop. This demonstration was surprisingly well received, so I decided to explain the overview of our AI, Spider AI Vulnerability Scanner or SAIVS, in this blog post.

file2015.12.22

 On December 14, a new version of Joomla! CMS was released. That included a patch on CVE-2015-8562, a serious vulnerability that allows unauthenticated remote attackers to execute arbitrary code via HTTP request headers like User-Agent. This post is just a quick note on the flaw.

file2015.11.12

 XML-RPC is a remote procedure call over HTTP formatted with XML. WordPress exposes XML-RPC APIs via xmlrpc.php. Some of the APIs have been abused in various ways by attackers. This entry is about the security of the implementation of XML-RPC by WordPress.

file2015.11.10

 第 1 回の MBSD セキュリティ勉強会の目的は、セキュリティや脆弱性診断に興味を深めていただくことが目的でした。少人数制として、当日は約 10 名の方にご参加いただきましたが、参加いただいた方の約半数が、開発業務に従事されておりセキュリティの知見を業務に活かしたいとお考えの方で、残りの半数が将来セキュリティの仕事に関心をお持ちの学生の方でした。

file2015.11.04

 先日参加したワーキンググループ(後の懇親会)で、私を含む3人が同じポーズで写真を撮られていたことがわかりました。然その3人が別々のウェブプロキシツールを使っていたため、並べるとプロキシツールのエバンジェリストっぽいと言われました。日々プロキシツールの普及に努めている本物のエバンジェリストさんに失礼なので、ジェリストくらいでいいです…。とはいえ折角の機会なので、私が普段愛用しているプロキシツール「Burp Suite」について紹介したいと思います。

file2015.09.08

 先日、アメリカのラスベガスで開催されたBlack Hat USA 2015 とDEFCON 23に参加してきました。今回のブログでは、筆者らが普段携わっているWebセキュリティに関するセッションの中から興味深かったものを取り上げ、そこからヒントを得て独自に行った検証の結果を紹介していきます。

file2015.07.30

 HTTPヘッダインジェクションは、リクエストパラメータの操作等により、HTTPのレスポンスヘッダに改行文字(CR,LF)を挿入し、ヘッダフィールドを追加したり、ボディを操作したり、新たな偽のHTTPレスポンスを作り出したりする(HTTPレスポンス分割)攻撃、あるいは脆弱性です。

 HTTP Header Injection is a class of vulnerability (or attack), which can allow attackers to add new header fields, manipulate HTTP body data, or smuggle new HTTP response (HTTP response splitting) by injecting line-breaks or newline characters (CR, LF) into HTTP response headers via manipulating request parameters and the like.

ページトップにページトップへ


執筆者一覧 (Authors)


space

執筆者一覧 (Authors)


space

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ

所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-5575-2171