カテゴリー
セキュリティ

ICカードリーダーにマルウェアが入っていたら

セキュリティジャーナリストのブライアン・クレブスさんが、Amazon で購入した ICカードリーダーの問題点を見つけた人の事例を紹介しています。

Amazon で買ったこのICカードリーダーを Windows 10 につなげたところ、初期のドライバが古くてだめなのでベンダーのサイトへ行ってくれと出たそう。

それで、指定されたサイトから最新ドライバーの入ったzipをダウンロードし、念のため Virustotal というサイトでzipファイルにチェックを掛けると、39個の異なる判定ツールが、情報を漏洩させるマルウェア Ramnit.a がこの zip ファイルに含まれると検出したそうです。

問い合わせに対し、商品を販売している米Amazon はこのICカードリーダーの問題を認識し、セキュリティチームが調査中ということですが、

製造元の方は「あなたの使ってるアンチウイルスの誤動作」であり「ウイルスなど入ってないし無視して進めて」と返答が有ったそう。

# ドライバダウンロードのページでダウンロードができなくなっていて、自分で確認できていないのですが。今は問題を認識したということなのかな。ウェブ検索でこの会社のサイト自体が出にくいようになっていますね。

政府や企業の仕事でリモートアクセスしないといけない状況などで、ICカードリーダーを出先で適当に調達する、なんていうのもリスクを増やしていそうです。

今回Virustotal で警告されたのはICカードリーダーに固有のマルウェアではないみたいで、なんとなくですが故意というよりベンダーのサイトの管理がまずくて起こった事件のようにも思います。

しかし、ベンダーがカードリーダーの本体機能に対して悪意のある動作を意図的に組み込んできたらもっと大変ですね。元の報告者もクレブス氏も「アメリカ国内で作ってるICカードリーダーはあるのだろうか? 自分は見つけられなかった」と言っています。

クレブスさんが自ら一連のツイートとその反応をまとめたブログ記事では、アメリカ政府の推薦する読み取りハードウェアのリストが紹介されていて、確かにこのリストに今回問題とされたブランドは含まれていません。

そしてこのICカードリーダー、日本でもネットで普通に買えるようです。日本もマイナンバーカードのサイトにICカードリーダライタの一覧というリストがありました。仕事で使うならリストにあるICカードリーダーを使うのが無難なんでしょう。

カテゴリー
fun

とあるマルウェアのディスアセンブル避けの工夫

A Silly Anti-Disassembly Trick (くだらないディスアセンブル対策)で紹介されている体験談。

筆者は、MacOS 用の怪しいマルウェアを解析中に以下のようなツールと無関係な謎の Copyright 表記を発見したと

(c) 2014 - Cryptic Apps SARL - Disassembling not allowed

Cryptic Apps は、ディスアセンブラ・ツールHopperを作っている会社のようです。

そして、この Hopper のデモ版で Hopper 自身を解析しようとすると、「このプログラムはディスアセンブルできません」という警告が出て先へ進めないと。

もうおわかりかと思いますが、どうもこの Hopper、自身の Copyright 表記がバイナリに入っているとこのエラーを出してディスアセンブルさせないようなのですね。

このとあるマルウェアも、Hopper で解析されては企みがバレてしまうと思い、自身の中にこの Copyright を埋め込んだということでしょう。この部分を手で書き換えることで、Hopper でディスアセンブルできるようになったそうです。(そしてたぶん Hopper 自身も)

カテゴリー
ネットの事件

Googleがロシアのスパマーからɢoogle.comドメインを奪取

昨年末に話題になっていた、google.com の先頭の “g” が小さいけど大文字の “ɢ” に置き換えられたニセドメインに関する係争が解決しました

ICANNに委託された仲裁機関 Forumに掲載された採決は、この ɢoogle.com ドメインを使って世界中のサーバのログにURLを残し、アクセスを通じてマルウェアを配布しようとしていたロシア人 Popov Vitaly 氏から、Google 社がドメインを取得できる、という結論になっています。

採決はおりたものの、当該のドメインはまだ旧所有者の手にあり、アクセスするとGoogle社を批難するロシア語の主張が掲載されたページに遷移しますのでご注意を。

今回の場合、Chromeブラウザでは ɢoogle.com は怪しいドメイン名と判定されて、そのままではなく Punycode 形式で表示される仕様になっていたようです。他のブラウザでも同様の機構はあり、ブラウザで見ている分には騙されることもなかったのだろうとは思います。

しかし、今回仕掛けが見つかったサーバログの閲覧ツールとかアプリ内でドメイン名だけを切り出して表示するなど、そこまで親切なフィルタが無かったり効かない場合もあるので、この良く似た字を使ってなりすます行為も簡単には無くならないでしょう。

via Mareeg