【日刊】忙しい人のためのセキュリティニュース(2017/10/13) Chrome拡張機能にマルウェア・DNS登録も、iOS11で可能になったQRコードスキャン機能が生むリスク、アメリカ共和党の世論調査会社がハッキング被害 他
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- Chrome拡張機能にマルウェア・DNS登録も
- iOS11で可能になったQRコードスキャン機能が生むリスク
- アメリカ共和党の世論調査会社がハッキング被害
- Equifaxのライバル会社もウェブサイト改ざん被害
それでは早速、参りましょう!
Chrome拡張機能にマルウェア・DNS登録も
この記事では”Ldi”というGoogle Chrome拡張機能に組み込まれた悪意のあるコードについて解説している。
Ldiは、最近流行りのマイニングスクリプトを含むだけでなく、ユーザーのGmailアカウントを使ってドメインネームの登録をしてしまうのだ。
Ldiは、一旦拡張機能としてダウンロードされると、マイニングスクリプトをまず実行してユーザー端末のCPUを最大まで使ってMoneroのマイニングを行う。
ここまでは他のマイニングスクリプト付きのマルウェアと何も変わらない。
だがLdiはここで終わらないのだ。
恐らくChromeを使っている場合、殆ど全ての人がGmailアカウントを作成している事だろう。
実はLdiは、ユーザーのChromeに紐付けられているGmailアカウント情報を使って無料のドメインを取得してしまうのだ。
なかなか悪質な拡張機能ですね。拡張機能として便利な機能を実装しているというわけではなさそうなので「他のPUPと一緒にインストールして、気づいたらChromeに追加されている」なんていうケースが今後は起こるかもしれません。
iOS11で可能になったQRコードスキャン機能が生むリスク
iOS11から、標準搭載のカメラアプリでQRコードのスキャンが出来るようになった。この事で更にQRコードの利用が広まっていく事が予想される。
QRコードは第三者によって書き換えることが出来ないが、ユーザーがスキャンするQRコードが本物かどうか区別できなくなってしまった。
よくフィッシングメールの対策として挙げられるのが、メール本文中に貼られているURLをチェックしてリンク先に本当に飛びたいかチェックする方法だ。
QRコードからでは、どのようなページに飛ぼうとしているのかわからなくなってしまう。
実はQRコードを使ったセキュリティインシデントは既に発生している。
実際の例を挙げると、京都の観光名所などの道路にある標識にQRコードが振られている。
観光客は標識のQRコードをスキャンする事で現在地を知れたり、近くにある観光名所の行き先を調べる事が出来るのだ。
実はそれらのQRコードに第三者が悪意を持って作成したQRコードを上貼りするソーシャルエンジニアリングのケースが海外では多発している。
例えば小売店等でQRコードを使って支払いを行えるようにしている店のQRコードの上にシールを貼ってしまうのだ。
そうする事で小売店に支払われるはずの代金が第三者の口座に振り込まれていく事になる。
ずっとiOS上ではサードパーティアプリを使ってスキャンしてたQRコードをコードがようやく標準搭載。かなり今更感がありますが、標準搭載された事で利用者は増えていく事でしょう。また、ビットコインで等の暗号通貨でも使われるのでインシデントは増えていくと思います。
アメリカ共和党の世論調査会社がハッキング被害
トランプ大統領を擁するアメリカの共和党系の世論調査会社が、2017年1月にサイバー攻撃の被害に遭っていた事が明らかになった。
攻撃の被害に遭ったのはミシガン州のグランドラピッズにあるVictory Phonesという会社だという。
データベース内に保存されていたデータは223GBにものぼり、共和党支持者のEメールアドレスや電話番号等の個人情報だけでなく寄付者や寄付金のデータ等、その種類は多岐にわたる。
Victory Phonesはそれらのデータを使って、アメリカ全土に渡る人々に電話を掛け、寄付金を募ったり投票にいくようリマインドしていたとの事だ。
今回のインシデントの発生原因は、「MongoDBの設定ミス」だと言われている。
うーん、過去記事でもクラウドストレージの設定ミスで情報漏えいの事を取り上げましたが、同様の問題が多発しすぎですよね。この調子だと、まだまだ大企業や社会的に影響力のある組織の管理するクラウドストレージからの情報漏えいが噴出しそう。クラウドストレージに甘んじずに管理者はもっと注意深くデータ保管をしてほしいです。
Equifaxのライバル会社もウェブサイト改ざん被害
Equifaxのライバル会社であるTransUnionのウェブサイトも改ざんの被害にあっているようだ。
昨日起きたEquifaxのWebサイト改ざんと同様の手口で、偽のAdobeFlashアップデートを促すアラートメッセージを表示し、ユーザーにアドウェアをインストールさせる。
アドウェアは世間で出回っているアンチウイルスソフトの65%ほどでしか検知できないタイプのアドウェアらしく、多くのユーザーが被害を受けているようだ。
攻撃者はソーシャルセキュリティーナンバーを知るだけで、ナンバーに紐付いた個人情報を検索できるんですよね。Equifaxと同様で、TransUnionのページからリダイレクトされたユーザー達がソーシャルセキュリティーナンバーを入力してしまわないといいですが、恐らくかなりの数の被害者が出てしまうのではないでしょうか。
【日刊】忙しい人のためのセキュリティニュース(2017/10/12) スバル製の車のドアを開ける方法が公開、MacOS Xマルウェアが年々増加傾向、MozillaがThunderbirdとFirefoxにパッチ脆弱性を修正
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
それでは早速、参りましょう!
スバル製の車のドアを開ける方法が公開
オランダのエレクトロニクスデザイナーのTom Wimmenhove氏が、スバル製の車に使われているキーフォブシステムに脆弱性があり、エクスプロイトする事で車ドアを開閉できる事を発見した。
Wimmenhove氏は、自身の所有するスバル車のキーフォブ(キーフォブとは?)から発する電波に注目し、キーフォブから送信されるパケットを傍受してエクスプロイト方法を発見したようだ。
仕組みは簡単だ。キーフォブから発信されるラジオ電波を傍受し、受信した電波の周波数に合わせて電波を車に向けて発信するだけだ。
必要な道具もシンプルで、Wimmenhove氏はRaspberryPi B+、Wifiアダプタ、TVアダプタ、433MHzアンテナ、MCXーSMAアダプタだけでいい。ちなみにRaspberryPi Zeroシリーズを使えば、Wifiアダプタが内蔵しているのでアダプタは不要となる。
この方法でドアが開閉してしまう可能性があるスバル車種は以下。
- 2006 Subaru Baja
- 2005 - 2010 Subaru Forester
- 2004 - 2011 Subaru Impreza
- 2005 - 2010 Subaru Legacy
- 2005 - 2010 Subaru Outback
尚、Tom Wimmenhove氏のGitHubでスバル車のエクスプロイト方法が詳細に書かれている。
Wimmenhove氏は以上の方法を全てスバルに報告をしたようだが、何も回答を貰っていないという。
免責事項
この記事で以上の方法を紹介する事でスバル社が何かしらの行動を起こす事を期待しています。したがって私は、この方法を悪用して発生した犯罪行為の一切の責任を負いかねます。
MacOS Xマルウェアが年々増加傾向
2017年はMac OS Xをターゲットにしたマルウェアが、例年と比べて一番多かった一年だった。
Macユーザーは年々増えているのにも関わらず、Macユーザーの中では未だに「Mavcはウイルスに感染しない」という誤解がある事で、マルウェア作成者もMacOSXをターゲットにしたマルウェアを作成しているのだ。
2018年の予測は決して楽観的では無い。
OS X向けのマルウェア数は更に増加していく見込みで、これまでとは比べ物にならないスピードで増加していくだろう。
AppleのApp Storeは、Google Play Storeと比べてライセンスが必要で、参入ハードルが高い事からマルウェア・アプリの数が少ないとされてきた。
しかし現在ではPUP(Potentially Unwanted Program)の数も増えている。「Apple製品はウイルスにかからない」等と思わずに、素直にソフトウェア・アップデートをし、必要なさそうなアプリはアンインストールする癖を身に着けよう。
MozillaがThunderbirdとFirefoxにパッチ脆弱性を修正
Mozillaがセキュリティアップデートを行ない、Tunderbird 52.4、Firefox 56、Firefox ESRに対して10個の脆弱性をパッチした。10個の内訳は、2がCritical、5がHigh、3がModerateとランク付けをされていた。
以下、Criticalにランクされた脆弱性についてまとめておく。
2つのCriticalとランク付けされた脆弱性
CVE-2017-7793
CVE-2017-7793はUse-After-Freeバグを突いた脆弱性。Fetch API内で起きるバグで、使用されているはずのウィンドウのリソースが開放された後にクラッシュする。
ちなみにUse-After-Freeバグは、DOMのコンテナ内にあるARIA(Accessible Rich Internet Application)のアレイに細工をすると発生する。
参考URL
CVE-2017-7810
CVE-2017-7810は、Firefox55とFirefox ESR52.3のメモリセーフ機能に存在するバグ。このバグによってメモリーコラプションが発生する可能性があった。
参考URL
その他パッチされた脆弱性について
【日刊】忙しい人のためのセキュリティニュース(2017/10/11) MicrosoftがDNSSEC関連バグをパッチ、350社分漏洩かーー米デロイトの情報漏えい、Google Home Miniに初期不良 他
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- MicrosoftがDNSSEC関連バグをパッチ
- 350社分漏洩かーー米デロイトの情報漏えい
- Google Home Miniに初期不良
- T-Mobileのウェブサイトに脆弱性
- ヘルスケアサービスから150,000件流出
- 北朝鮮ハッカーが米国エネルギー企業ネットワークに侵入
それでは早速、参りましょう!
MicrosoftがDNSSEC関連バグをパッチ
2017/10/11(日本時間)月例パッチでMicrosoftが致命的な脆弱性のパッチを提供。
対象のバージョンは以下。
- Windows 10
- Windows Server 2016
また、対象のプロダクトは以下。
- IE 9-11
- MS Edge
- Office 2010-2016
- Office Services
- Web Apps
- Skype for Business
- Lync
- Chakra Core
パッチされた脆弱性CVE-2017-11779について
今回パッチされた様々な脆弱性の中で、DNSSECに関わるCVE-2017-11779がある。
DNSSECに関わるCVE-2017-11779はBishop Foxというセキュリティ研究グループによって発見された脆弱性で、原因はNSEC3(Next Secure Record version 3)をMicrosoft社が独自に応用した機能が脆弱性の原因のようだ。
この件についてBishop Foxは「何かしらの新しいセキュリティ機能が追加される時は、基本となる技術を独自に応用して作成する事が多く、応用の仕方によっては新たな脆弱性を生みかねない」と指摘する。
つまり「Microsoft以外のベンダでも、DNSSECを応用して追加した機能がある場合、脆弱性が見つかってもおかしくはない」という事になる
攻撃方法について
攻撃者はCVE-2017-11779を利用するには、ターゲットと物理的に同じネットワークにいる必要がある。
つまり攻撃者はターゲットと同じ組織に所属する内通者か、中間者攻撃を使ってターゲット端末のDNS通信をハイジャックする必要がある。
ちなみにここで使われるDNSリクエストはどの通信でも良い(ネットブラウジング、Emailのチェック、ソフトウェアのバックエンド通信、等)。
ターゲットのDNSリクエストを受けた後、攻撃者は悪意のあるコードを注入したレスポンスをする。そのレスポンスの中で脆弱性をつくコードを注入し、DNSクライアントのメモリにダメージを与える。
その後DNS通信をハイジャックし、攻撃者はターゲットのネットワークと通信できるようになる。
防御策
まずは2017/10/11公開されたMicrosoft社のパッチをWindowsマシンに適用する事をお薦めしたい。
そして万が一攻撃を受けた時は、暗号化されていないWifiネットワークの使用を避けるか、VPNを使ってネットワーク接続をするといいだろう。
参考URL
・米Microsoft、10月の月例セキュリティ更新プログラム公開 IEやWindowsなど62件の脆弱性を修正<ITmedia日本語>
350社分漏洩かーー米デロイトの情報漏えい
過去記事でも書いたが、アメリカのデロイトの情報漏えいは、同社より公表されていた情報を遥かに上回り、350社分もの顧客データが流出していたようだ。
情報漏洩が発覚した9月中旬デロイトは6社分のデータしか漏洩しておらず、漏洩したデータもそこまで重要度の高いものではないと公表していた。
しかし最新のレポートによると、漏洩していたのは350企業・団体分のデータで、さらに4つの政府機関のデータも流出している事が明らかになった。
さらにデロイト社はこうも公表している。
我々デロイト社は既に今回の情報漏えいに対して対応している。我々のシステムに対するサイバー攻撃は全て検知しており、どのような情報が標的とされたかも掌握している。セキュリティ調査の結果、攻撃者は既に攻撃を終了しておりこれ以上の攻撃は無いであろう。今回の攻撃は、Eメールプラットフォームから行われ、該当のプラットフォームのセキュリティレビューも終了している。ーーデロイト広報
当初の予想を上回る大規模な情報漏洩だった事もあり、デロイト社は迅速に対応を行なった。ここまで強気に報告出来るのは”さすがデロイト”と言わざるを得ない。
Google Home Miniに初期不良
Google Home Miniの”開発者用レビュー版”に動作不良があった。
動作不良のあった端末は、一日の内に何千回も起動し、スピーカーのある部屋の音声を録音、その後Googleに送信をしていたという。
Amazon EchoやGoogle Homeなどの音声アシスタント端末は常にスピーカーを置いている場所の音声を拾っている為、プライバシーがほぼなくなってしまう。
「それでも構わない」というユーザーや、スマホを操作せずにメッセージを送信したりするアメリカ等の国にいるユーザーにとっては使いやすいのかもしれないが、日本ではまだ普及は時間がかかりそうな気がする。
T-Mobileのウェブサイトに脆弱性
T-Mobileのウェブサイトで、電話番号を入力するだけでT-Moboileユーザーのメールアドレス、アカウント番号、端末のIMSI番号などが参照できるようになっていた事が明らかになった。
以上の情報を使うだけで、第三者が電話番号に紐付けられたユーザーの個人情報を知る事が出来る為、致命的なバグである。
このバグを発見したリサーチャーのSaini氏は以下のように語っている。
「T-Mobileには8千万人程ユーザーがいる。攻撃者はただスクリプトを回すだけでデータをスクレイピングし、全ユーザーの個人情報を載せたデータベースを作成できたはずだ」
Saini氏はバグについて、wsg.t-mobile.com APIの中にあったと公表している。任意の電話番号を含んだクエリを送ると、APIは電話番号に紐付けられたユーザーの個人情報を返してきたという。
ちなみにこの記事の最後に追記がされていた。追記によると、T-Mobileが以上のバグをパッチした後、クラッカーが新たにバグを発見しエクスプロイトしていたという。
T-Mobileは更にバグを修正し、「現段階ではバグは存在しない」と公表している。
ヘルスケアサービスから150,000件流出
アメリカのヘルスケアサービス、Patient Monitoring Corporation(PHM)が保有していたAWSのS3ストレージの設定が”Public”になっており、誰でもデータにアクセス出来るようになっていたようだ。
ストレージには、47.5GB程のデータが保存されており、316,000件ものPDFファイルが保存されていた。
昨日の記事で書いたアクセンチュアの情報漏えいでもそうだが、AWSのS3ストレージの設定ミスによる情報漏えいが多い。
今回の事件もそうだが、定期的に設定ファイルを取得して理想の設定になっているかどうかチェックするバッチを走らせる等、セキュリティ管理者が気付く方法はあったと思う。
自社サーバーを用意せずクラウドストレージに保存する事で負担を減らせるのだが、甘んじずに管理を徹底してもらいたい。
北朝鮮ハッカーが米国エネルギー企業ネットワークに侵入
北朝鮮政府と強い関わりがあるとされるハッカー集団が、アメリカの発電所等の重要インフラを運営する企業のネットワークに侵入した形成がある事が明らかになった。
FireEyeを始めとする企業のセキュリティリサーチャー達は、ネットワーク上に残された侵入の形跡等が過去の北朝鮮ハッカーの攻撃手法と似通っている事から、北朝鮮ハッカーである可能性が極めて高いという決断を下したのだ。
個人的な話となるが、私がセキュリティエンジニアを志しているのも、こういった社会の重要インフラのセキュリティを守りたいからだ。
実際に北朝鮮ハッカー達がアメリカの重要インフラの機能を停止させる事は、よっぽどの事がない限りは起こらないとは思うが、常に警戒は必要である。
このブログでも引き続き、北朝鮮とアメリカの動向をまとめていきたい。
【日刊】忙しい人のためのセキュリティニュース(2017/10/10) 米・アクセンチュアが”うっかりミス”、マイニングスクリプトサービスに新参者、中東・北アフリカのサイバー闇取引WannaCrypto等 他
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- 米・アクセンチュアが”うっかりミス”
- マイニングスクリプトサービスに新参者
- 中東・北アフリカのサイバー闇取引WannaCry等
- 金正恩の暗殺計画データ流出か
- アイルランドのスーパーマーケットチェーンで情報漏えい
- 米・高校で情報漏えい被害
それでは早速、参りましょう!
米・アクセンチュアが”うっかりミス”
9月末に発覚したデロイト社の情報漏えいに始まり、大手コンサルティング会社のインシデントが相次いでいる。
アクセンチュアは、大量の顧客データを安全が保証されていないAWSのクラウドサーバーに放置したままだった事実を公表した。
放置されていたのは、Fortune100リストに入るほどの大企業のデータで、顧客システムの管理者パスワード、暗号鍵データなどが含まれる。
この事態は9月半ばにセキュリティリサーチャーのChris Vickery氏によってアクセンチュアに報告され、報告を受けた次の日にはアクセンチュアはサーバーの設定変更を行なったという。
更にVickery氏は、AWSのKMS(Key Management System)のマスターキーデータも発見したと言われている。
もしマスターキーデータが何者かによって盗み出されていたとすると、アクセンチュアがAWSサーバーに保存していた分のデータは全て盗み出されてしまう可能性がある。そうなればアクセンチュアの信頼は潰えてしまうだろう。
マイニングスクリプトサービスに新参者
Conhiveが提供する暗号通貨をマイニングするスクリプトは、これまでこのブログでも何度か伝えてきた。
だがこの記事によると、同様のサービスを提供し始める”新参者”が現れたという事だ。
その新参者の名はCrypto-Lootという。
Coinhiveと同様、ウェブサイトに組み込めるJavaScriptコードをダウンロードし、サイト訪問者のCPUパワーを使ってマイニングを行う。
Coinhiveと違う点は、マイニングされた暗号通貨のCrypto-Loot取り分がCoinhiveと比べて多いことにある。
ユーザーがマイニングスクリプトを使って採掘した暗号通貨のうち、Coinhiveは30%を受取り、ユーザーに70%を渡す。
その一方、Crypto−Lootは12%を受け取り、ユーザーには88%も報酬を渡してしまうのだ。
Crypto-Lootの方がサイト運営者にとって得と言えるので、マイニングスクリプト導入に興味があるユーザーはCrypto-Lootを使用し始めるだろう。恐らく既存のCoinhiveのユーザーも乗り換えをするかもしれない。
Crypto-Lootのように、これから更に新規サービスが増えて価格競争に入っていく事が予想される。
最後にマイニングスクリプトの是非についてコメントしておきたい。
この記事の筆者・Catalin Cimpauが独自にTwitterで行なったアンケートによれば、77%がマイニングスクリプトの事を「マルウェアだと思う」と解答したようだ。(681人が回答)
What's your opinion on Coinhive's in-browser mining technology?
— Catalin Cimpanu (@campuscodi) 2017年9月25日
私は個人的にマイニングスクリプトに関しては、サイト運営者とユーザーの間でスクリプト開始時に合意がある場合に限って利用しても良いサービスと考える。
なぜならサイト運営者として新たな収入源が増える事は良いことだと思うからだ。そこで得た収入を更にサイトコンテンツのクオリティ向上に使えれば尚更良い。
しかし第三者のサイトに違法に埋め込んだり、ユーザーの合意無しでスクリプトを実行するのはマナー違反であり、CPUリソースの窃盗だと思う。
したがって、WebプラットフォームのGoogleや、レンタルサーバー管理会社、ブログサービス会社等で厳しく取り締るべきではないだろうか。
中東・北アフリカのサイバー闇取引WannaCry等
中東や北アフリカ系のダークウェブサイトで、なんとたったの50米ドル程でWannaCryランサムウェアが手に入るという。
ロシアやアメリカのダークウェブサイトではクラッカー達が利益を得るために値段がもっと高く設定されていたり、サブスクリプション形式にして定期的に代金を支払う必要がある。
元々中東や北アフリカの地域はイスラム信仰が文化に根付いた国である事から、値段が安い理由の1つに”宗教的な繋がり”を元にした”同志愛”があるとセキュリティリサーチャーのFuentes氏は指摘する。
WannaCryを始めとするマルウェア以外にも、クレジットカード情報や、パスポート、居住証明書等も取引されている事が多い。
職業や住居を持たない難民達は、その日暮らすだけのお金をどうにか稼いで生活している。
そういう人達にとって先進国で発行されたIDは非常に価値があり、難民たちが多くいる地域では需要が高いのだ。
明日を生きる生活を賭けている人達に対して「不正をするな」とは言い難い。
情報漏えいをしている一方で、闇マーケットで入手したIDを使って他国に渡り人生を一変させ、幸せになるケースだって少なくないのだ。
この世の中のシステムのセキュリティを強化して、守るべき情報をしっかり守りたいが、その一方で世界の何処かで苦しんでいる人達にも何か出来ないだろうか。
紛失されたパスポート等のIDが、難民の身分にある人達にどれだけ価値のあるものかは、このフランス映画で上手く描かれているので参照してもらいたい。
金正恩の暗殺計画データ流出か
北朝鮮政府直属のクラッカーにより韓国・国防省にサイバー攻撃が行われ、同省が保有していた235GBものデータが盗み出された。
そのデータの中には軍隊の人員リストなど軍略に関わるものが大半で、なんと”金正恩の暗殺計画”まで含まれていたようだ。
韓国はその計画を同盟国のアメリカと企てていたようだが、ほぼ100%アメリカ主導で計画された軍略だと私は思う。
北朝鮮のクラッカー集団は、韓国を始めとする国々の金融機関に繰り返しサイバー攻撃を仕掛けており、彼らのスキルは既に相当なレベルに達している。
今回の情報漏えいで北朝鮮のサイバー攻撃スキルが相当なレベルである事が明らかになっただけでなく、韓国政府のセキュリティ管理に対する信頼が損なわれた。
アイルランドのスーパーマーケットチェーンで情報漏えい
今週火曜、アイルランドのスーパーマーケットチェーン、Musgraveグループがサイバー攻撃の被害に遭った。
アイルランド中のMusgraveが持つネットワークが攻撃の影響を受け、デビット・クレジットカード番号、有効期限、CVV番号が流出した。
Musgraveの広報によると、「顧客に対して、カード使用履歴から不正利用がないかチェックして欲しい」と呼びかけているという。
米・高校で情報漏えい被害
カリフォルニア州パロアルトにあるパロアルトユナイテッド高校が、10月5日に情報漏えい被害に遭った声明を発表。
同高校は、”paly rankcheck”というウェブサイトが存在する事を知らされ、情報漏えい被害に遭った事実を認めた。
paly rankcheckに学生IDとパスワードを入力するだけで、入力したIDに該当する学校成績や学年内での順位等を閲覧する事が出来たという。
また同高校の職員によれば、paly rankcheckで参照できる情報が”本物”であると認め、このインシデントを申告に受け止めている。
ある生徒の学校成績が他の生徒に知れ渡ってしまえば、クラス内でいじめが発生しかねない。生徒たちの学校生活を守るためにも、迅速に今後の情報漏えいを防ぎたいところだ。
【日刊】忙しい人のためのセキュリティニュース(2017/10/09) Pornhubに仕込まれたマルヴァタイジング/Office365ビジネス用アカウントを標的に攻撃/FormBookの蔓延 他
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
それでは早速、参りましょう!
Pornhubに仕込まれたマルヴァタイジング
アダルトビデオ無料配信サイト『PornHub』にマルウェアをインストールさせる広告が仕込まれた。
KobCoreGによってPornHubにマルウェア広告が仕込まれ、以下のように訪問ユーザーが使うブラウザの種類によってアラートメッセージを表示する。ユーザーがアラートメッセージをクリックすると、攻撃者が作成した”本物っぽい”ページに遷移させられる。
・IEやMicrosoft Edgeの場合
Adobe Flash Playerのインストール画面を表示。HTAファイルをダウンロードさせられる。
ChromeやFirefoxのアップデート画面を表示。JavaScriptファイルをダウンロードさせられる。
いずれの場合もダウンロードさせられるのは『Kovter』というトロイの木馬だ。Kovterの挙動について記載しているニュース記事があったので、引用したい。
(Kovter)は、オーソドックスにファイルベースで動作する一方、PowerShellが導入された環境や、ネットワーク経由でPowerShellを追加できる環境では、レジストリへ自身のコードを隠ぺいし、ファイルを持たないメモリ常駐型のマルウェアとして機能する特徴を持っていた。(引用元”マルウェア「Kovter」が進化、コードをレジストリに隠ぺい”)
犯行グループとされるKovCoreGは、ISPから取得できるユーザーの地理情報を元に、アメリカ、イギリス、カナダ、オーストラリアのユーザーを標的とした。
Office365ビジネス用アカウントを標的に攻撃
http://www.securityweek.com/stealthy-attack-could-hit-50-percent-large-office-365-customers-report
本年5月のSkyhigh Networksによる発見以来、Office365のビジネス用アカウントに対する攻撃が未だに継続している。
攻撃者の用いる手法は巧妙で、まずはOffice365のユーザーアカウントデータベース情報を盗み出す。
そして盗み出したアカウントに対してパスワード入力を行う。
本来ならブルートフォース攻撃を仕掛ければアカウントがロックされたり、検知アラートが管理者に飛び、アカウント保有者に通知が行くような対策はしてあるはずだ。
しかし攻撃者からしたらそのような設定は想定内で、検知に引っかからない巧妙な手段を用いている。
攻撃者は取得したデータベースの2%以下の数のアカウントに対して攻撃を実行する。更に、攻撃の際も各アカウントに対して2−3回程しかログイン試行を試みない。
このようにすれば大規模にアカウントが攻撃されているようには見えず、2−3回程度のログインエラーは通常ユーザーでも起こす為、セキュリティ管理者は攻撃に気づきにくい。
FormBookの蔓延
過去記事(2017/10/04)でも紹介したFormBookだが、ThreatPostによってさらに情報が公表された。
FormBookはダークウェブで購入できるマルウェアで、キーロガー、プロセス監視、HTTPセッション情報の盗聴等、多様な方法を使ってユーザー情報を盗み出す。
FireEye社のレポートによれば、このような機能は以前から存在したので特別ではないが、「FormBookの簡単な操作性(GUI)、値段の安さ、どこでも手に入る点等から、クラッカー達のスキルに関わらず扱う事が出来る為、人気が出ている」という事だ(ThreatPost)。
Dnsmasqって何?脆弱性のチェック方法は?
過去記事でも紹介したDnsmasqに関する7つの脆弱性に関する記事だが、Trendmicroによって詳細な情報が書かれていたので改めてダイジェストを書いておきたい。
そもそもDnsmasqとは何か、Wikipediaには以下のように書いてある。
Dnsmasqは軽量で比較的容易に設定できるDNSサーバのフォワーダとDHCPサーバをもつソフトウェアである。ADSL回線などのインターネットサービスプロバイダを利用してインターネットにNATによる接続をしている(最大1000クライアント以下の)小規模ネットワークを対象に設計されている。 Dnsmasqを利用すると、グローバルなDNSには保持されないローカルエリア内の端末にDNSのサービスを提供することができ、(2回目以降のグローバルアドレス参照では対内DNSが応答するので)対外DNSの負荷分散に貢献でき応答性の向上が期待できる。--Wikipedia"Dnsmasq"
簡単に説明すると、Dnsmasqとは小規模ネットワーク用のDNSサーバの事だ。。
LinuxベースのOSを搭載する端末(Android含む)のネットワーク設定に使われる事が多く、ルーターにもDnsmasqが使われている。
さらに最近ではIoTデバイスでもDnsmasqが使われているので、今回の脆弱性が対象となる端末は非常に多く存在している事が推測できる。
脆弱性を発見したGoogleが提供するサービスはパッチが提供されるので、Android端末のユーザーは定期アップデートを適用するだけで脆弱性の心配をする必要はないだろう。
しかしGoogle以外のサービスの場合は、Dnsmasq 2.78にアップデートする必要がある。PackageのDnsmasqを使っていない場合は、ソースコードから新たにビルドするしかない。(ソースコードは開発者のウェブサイトでGitが公開されている)
他にも小規模オフィス等でネットワーク運用をしている場合は、Dnsmasqの設定をオフにしておくといいだろう。
【日刊】忙しい人のためのセキュリティニュース(2017/10/08) ドミノ・ピザの顧客情報流出ーニュージーランド/Webサイトでマイニングスクリプトの是非/BYODほどセキュリティ管理者を悩ませるものはない 他
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- ドミノ・ピザの顧客情報流出ーニュージーランド
- Webサイトでマイニングスクリプトの是非
- BYODほどセキュリティ管理者を悩ませるものはない
- ”マスメディアこそセキュリティ意識を高めるべき”ーCisco
- CaaS被害増加ー零細企業が被害最多
それでは早速、参りましょう!
ドミノ・ピザの顧客情報流出ーニュージーランド
ニュージーランドのドミノ・ピザのシステムから顧客のEメールアドレスや過去の注文履歴等の情報が流出した恐れがある。
攻撃手法等の詳細は明らかにされていないが、顧客の住所などを保管するデータベース等から情報が漏れた形跡などは無く、別ルートから顧客のメールアドレスが漏れたようだ。
ドミノ・ピザは専用のカスタマーサポートを設置して、顧客からの質問や相談に応えている。
Webサイトでマイニングスクリプトの是非
http://www.bbc.com/news/technology-41518351
このブログで何度も紹介してきたマイニングスクリプトに関するニュース。
Coinhiveが公開しているMoneroのマイニングスクリプトが埋め込まれたウェブサイトが増加の一途を辿っている事を述べる。
私はこのマイニングスクリプトに関するニュースが出始めた当初は、悪意のあるコードとして見てきたが最近は「使い方次第」じゃないかと考えている。
サイトやブログを見ていて、自分が見たくない広告を嫌々見せられた経験はインターネットユーザーの誰しもあると思う。
AdBlock等の拡張機能が広まってユーザーとしては広告を非表示に出来るようになったが、今度はサイト運営者の収益源がなくなってしまった。
そうした運営者達に広告を表示せずに利益をもたらすのがマイニングスクリプトとなるのである。
だから、このマイニングスクリプトは、嫌な広告を見たくないユーザーが多く存在するウェブサイト運営者がサイトに埋め込めば良いのでは無いだろうか。
もちろんユーザー端末のリソースを大きく使ってしまうので、ページ遷移時にアラートメッセージを出せる設定になっていればいいと思う。
もう一つ言うと、リソースを提供するユーザーにもインセンティブを与えられると良いと思う。
そうすればサイト運営者も気兼ねなくマイニングスクリプトを組み込んだウェブサイトを運営できるようになるのではないだろうか。
BYODほどセキュリティ管理者を悩ませるものはない
社員が使う端末を会社が提供せずに、各社員が好きな端末を使って業務を行うBYOD(Bring Your Own Device)という言葉が広まってから久しい。
個人的に、BYODのメリットは社員が一番使いやすい端末を使える事と、会社が端末代金を負担しなくて良くなる2つくらいしかないと思う。
BYODをするとハードウェアとOSの両方の違いを考慮せねばならず、更に外部ネットワークに普段接続された端末を会社用イントラに接続する事になるので、社員がどんなウイルスを社用イントラに持ち込むかわからない。
更に、クライアント情報等の持ち出し、PCの紛失、セキュリティパッチ当てや定期的なアップデートの徹底、社用システムとの互換性対応等、挙げたらキリがないほどBYODのデメリットは存在すると思う。
”マスメディアこそセキュリティ意識を高めるべき”ーCisco
一度に大人数の接続が予想されるストリーミング再生サービス等、メディアプラットフォームの提供者がセキュリティの関心を高めるべきだと述べている。
オリンピック等の国際大会は特に世界各国からのアクセスが見込まれることから、攻撃の標的になりやすい。
例えば世界中が見守るマラソンのストリーミング中にDDoS状態に陥ったり、Webサイト改ざんが行われて政治的メッセージにすり替えられたら一度に多くの人々に対して影響を与える事ができるようになってしまうのだ。
CaaS被害増加ー零細企業が被害最多
SaaS(ソフトウェア・アズ・ア・サーヴィス)がIT業界のデフォルトとなっている裏でCaaS(クライム・アズ・ア・サーヴィス)の被害に合う人が増加している。
CaaSは、既に完成したマルウェアや文面まで書かれたフィッシングメールのキット等、購入者に合わせた『サイバー攻撃キット』のことである。そしてそれらは主にダークウェブで売買される。
CaaSの被害に合う多くは個人事業主か小規模企業で、日に日に進歩するサイバー攻撃のレベルに追いつけていない事が原因の1つだ。
セキュリティは最早ビジネスを行う上で必須となるコストなので、個人事業主や小規模企業経営者にはトレンドを押さえて適切なセキュリティ対策を行なって頂きたい。
【日刊】忙しい人のためのセキュリティニュース(2017/10/07) FreeMilkとは?中間者攻撃と標的型メールのハイブリッド/台湾の銀行がサイバー攻撃の被害に/ASUSやLenovoのマザーボードに”致命的な欠陥” 他
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- FreeMilkとは?中間者攻撃と標的型メールのハイブリッド
- 台湾の銀行がサイバー攻撃の被害に
- ASUSやLenovoのマザーボードに”致命的な欠陥”
- アメリカと北朝鮮の”サイバー戦争”
- 暗号通貨で人生が狂った人達
- 追伸1:編集後記ー私が読んでいる本について
- 追伸2:アップデート
追伸1では編集後記と私の呼んでいる本について、追伸2では私の近況報告をお話しています。
それでは早速、参りましょう!
FreeMilkとは?中間者攻撃と標的型メールのハイブリッド
この記事はPaloAlto Networks社が公表したFreeMilkという攻撃手法に関する簡単な説明をする。
Eメールのスレッドでなされる会話の間に入って、送信者になりすましてターゲットにメールを送り、悪意のあるリンクをクリックさせる攻撃手法。
簡単に言えば”中間者攻撃と標的型メールのハイブリッド”と言えるだろう。
攻撃者は脆弱性()を利用して、悪意のあるコードを組み込んだWordファイル等をメールで添付し、ターゲットにクリックをさせる。
これまでメールでやりとりしてきた相手から受け取った文書ファイルに見える為、ターゲットは端末上で添付ファイルをダウンロードし、実行する可能性が非常に高い。
マイクロソフト社は既にパッチを公開しているので、WindowsユーザーはOSを最新の状態にアップデートする事をお薦めしたい。
●参考URL
"Threat Brief: Conversation Hijacking Spear Phishing" -by Christopher Budd
"CVE-2017-0199 - 脆弱性調査レポート" -by Softbank Technology
https://www.softbanktech.jp/information/2017/20170428-01/
台湾の銀行がサイバー攻撃の被害に
http://news.xinhuanet.com/english/2017-10/07/c_136663819.htm
10月初めに台湾にある極東国際銀行が何者かによって自社ネットワーク内に仕込まれたマルウェアに感染し、同行の保有する金融資産が盗み出された事を公表した。
攻撃の影響や被害額等の詳細情報は”調査中”との事だ。
ASUSやLenovoのマザーボードに”致命的な欠陥”
Cylanceのセキュリティリサーチャー、Alexの発表によると、IntelのUEFI BIOS firmwareを搭載しているマザーボードに”致命的が欠陥”がある事が明らかになった。
攻撃者は、この”欠陥”をエクスプロイトする事で、Intel Boot GuardやInterl BIOS Guard等のアクセス制限をバイパスし、UEFIのBIOSファームウェア設定を書き換える事が出来る。
- Lenovo ThinkCentre systems - CVE-2017-3753
- MSI Cubi2 - CVE-2017-11312 and CVE-2017-11316
- Gigabyte BRIX series - CVE-2017-11313 and CVE-2017-11314
●参考URL
”Bypassing Intel Boot Guard” -by embedi.com
https://embedi.com/blog/bypassing-intel-boot-guard
アメリカと北朝鮮の”サイバー戦争”
長距離弾道ミサイルの開発で、アメリカとの緊張が走っている北朝鮮だが、どうやらサイバー空間でも米朝の戦争は激化しているようだ。
この記事ではそんな米朝間のサイバー戦争を2009年から2017年に至るまで時系列にまとめている。
今年の5月に150カ国を襲ったWannaCryptoランサムウェアキャンペーンや、7月頃に行われた韓国の暗号通貨取引所に対するサイバー攻撃も含まれている。
暗号通貨で人生が狂った人達
2011年以降、3つの暗号通貨取引所がハッキング被害で暗号通貨を盗み出され、閉鎖に追い込まれた。
暗号通貨のメリットである”国などの中央管理者がいない”事が裏目となり、暗号通貨で巨額の損失を出しても政府によって救済される仕組みがまだ用意されていない。
つまり第三者に暗号通貨を盗み出されてしまった場合は、泣き寝入りするしか無いのだ。
追伸1:編集後記ー私が読んでいる本について
本日も最後まで読んでくださりありがとうございました。
日本では体育の日が連結した3連休ですが、いかがお過ごしでしょうか?
私は自宅でゆっくり休みながら、新たな技術をキャッチアップするためにセキュリティの本『Security Engineering』を読んでいます。
この本は、Ross Andersonというセキュリティ研究者が書かれた教科書のようなもので、22章に渡ってセキュリティを様々な切り口から学べる名著です。
かなーーーり厚くて非常に時間のかかる本ですが、私の敬愛するセキュリティ研究者・Gary McGraw氏が「この本読んでない人はセキュリティエンジニアを名乗るべきではない」とGaryのポッドキャストで紹介していたので読み始めました。
私は文系のセキュリティエンジニアなので、Anderson氏が極力数式を使わずに言葉でセキュリティの概念をわかりやすく説明しているので面白く読めています。
以下に原著と邦訳版のリンクを貼っておくので興味があればご覧になって下さい。
●Security Engineering by Ross Anderson
http://www.cl.cam.ac.uk/~rja14/book.html
●情報セキュリティ技術大全―信頼できる分散システム構築のために
https://www.amazon.co.jp/exec/obidos/ASIN/4822281426/rossanderssho-21/
追伸2:アップデート
私は現在セキュリティに関してもっと深く学ぶために、コンピュータ・サイエンス理論を深く学べる海外の大学院へ出願しています。
みっちりセキュリティに関して学びながらも、このブログでニュースを読みながらアップデートいくので、更に良質な情報発信をしていけます。
どの国のどんな大学に応募したのかは結果が出てから詳細に報告していくつもりですので、楽しみにしていてください。
それでは今後も何卒よろしくお願いいたします。
Ichi
【日刊】忙しい人のためのセキュリティニュース(2017/10/06) Dnsmasqに7個の脆弱性を発見 by Google/シーメンス製スマートメーターに”致命的欠陥”/Uber iOSアプリにバックエンド”スクリーンを録画”
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- Dnsmasqに7個の脆弱性を発見 by Google
- シーメンス製スマートメーターに”致命的欠陥”
- Uber iOSアプリにバックエンド”スクリーンを録画”
- 中国のハッカー集団の攻撃を分析(ケーススタディ)
- 追伸
それでは早速、参りましょう!
Dnsmasqに7個の脆弱性を発見 by Google
Googleのセキュリティチームの発表によると、Dnsmasqに7個の脆弱性が発見された。
Blog記事によると脆弱性は以下になる。
CVE
|
Impact
|
Notes
|
PoC
|
|
CVE-2017-14491
|
RCE
|
|||
CVE-2017-14492
|
RCE
|
Heap based overflow.
|
||
CVE-2017-14493
|
RCE
|
Stack Based overflow.
|
||
CVE-2017-14494
|
Information Leak
|
Can help bypass ASLR.
|
||
CVE-2017-14495
|
OOM/DoS
|
|||
CVE-2017-14496
|
||||
CVE-2017-13704
|
Bug collision with CVE-2017-13704
|
●参考URL
シーメンス製スマートメーターに”致命的欠陥”
独・シーメンスは、同社製のスマートメーター『7KT PAC1200』に脆弱性を発見しパッチを行なったことを公表。
この脆弱性をエクスプロイトする事で、攻撃者はTCPポート80を認証無しでバイパス出来てしまう。
脆弱性にはCVE-2017-9944 <https://ics-cert.us-cert.gov/advisories/ICSA-17-278-02>がアサインされており、シーメンス社は注意喚起を行っている。
●参考URL
Uber iOSアプリにバックエンド”スクリーンを録画”
iOS Uberアプリに、ユーザーの動作を録画して収集するバックエンドが仕込まれていた事が明らかになった。
Uber社の発表によれば、同機能はApple WatchとiPhoneをシンクさせるユーザー用の機能で、MapデータをApple Watchに送る為だったという。
Uber社のユーザープライバシーポリシーは、以前からユーザーからの反感を買ってきた。
例えば、競合であるLyftを使っているユーザーに対して配車制限をしたり、Lyftの使用状況等の記録までしていた。
Uber社は上記のいずれの機能も削除したと公表したが、ユーザーの指摘がなければ削除しないのには疑問を抱かざるを得ない。
まだユーザーの気づかれない所で、Uberアプリにはバックエンド機能が含まれているかもしれない。
中国のハッカー集団の攻撃を分析(ケーススタディ)
McAfeeの調査によれば2014年で5.7兆円もの大金がハッカー集団によるサイバー攻撃で失われたという。
2015年には中国が発信元のサイバー攻撃による被害が一番多く、アメリカやロシアの企業が被害に遭った。
大量のお金が中国に不正に流れていて、昨今の中国の経済発展の一助となっているのではないだろうか。
追伸
本日もここまで読んでくださりありがとうございます。
このブログでは主にマルウェアや脆弱性、企業の情報漏洩の話をしていますが、ツイートではよりセキュリティを身近に感じてもらえるようなツイートを心がけています。
そしたら今日、嬉しいお話を聞きました。
実は今日は東京駅付近にある韓国料理屋さんに行ってきました。
一緒に御飯を食べた大学時代の後輩が、「Ichiさんのセキュリティに関する一連のツイートをみて、ウイルスバスターをMacにインストールしました!」って話してくれたんです。
セキュリティ強化でいちばん大事なのがユーザー教育なので、一人でもそうやってセキュリティに関心を持って実際に行動に移してくれる人が現れたのは嬉しいです。
これからもますます、セキュリティ文化を広めるために情報発信を行なっていきます!
Ichi
【日刊】忙しい人のためのセキュリティニュース(2017/10/05) VMWare”トロイ”がブラジル金融機関を標的に/SAP脆弱性でサーバーが落ちる/Office365標的に拡散”KnockKnock” 他
今週一週間、本当にお疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- 1. VMWareを装う”トロイの木馬”ブラジル金融機関を標的
- 2. SAPの脆弱性によりサーバーが落ちる可能性
- 3. Office365を標的に拡散する”KnockKnock”攻撃
- 4. Magento脆弱性のPoC公開
- 5. ユーザー行動を盗み出すFormBookが蔓延
- 6. Windows XP&VistaでFirefoxサポート終了へ
- 7. Brotherプリンタに脆弱性。パスワードリセットが可能
- 8. シカゴ・Englewoodでランサムウェア被害・現在は”調査中”
- 8. Flickrの脆弱性”なりすましで卑猥な画像などアップロード可能”
- 追伸
それでは早速、参りましょう!
1. VMWareを装う”トロイの木馬”ブラジル金融機関を標的
正式なVMwareバイナリを装い、ウイルスチェックの目をかい潜るトロイの木馬が、ブラジルの金融機関を標的に流行している。
トロイの木馬として、本物で証明書付きのDLLファイルが使用されており、標的である金融機関のシステムに侵入後は顧客の口座番号などの機密情報を盗み取る。
ポルトガル語で書かれたスパムメールによって感染拡大している。
主にスパムメールには、Boleto(ブラジルでよく使われるペイメントサービス)の支払請求書メールに書かれるURLをクリックさせる文言が書かれているという。
その後、表示されるページに置かれているJARファイルをダブルクリックすると、Javaで書かれたコードを実行し、バンキングトロイを端末にダウンロードする。
2. SAPの脆弱性によりサーバーが落ちる可能性
SAPの商品に8個もの脆弱性が発見された。
その中で最も深刻な脆弱性はWeb Dynpro Flash Islandに含まれる脆弱性で、XMLの認証が欠けてしまっている事が脆弱性とされている。
攻撃者は、この脆弱性をエクスプロイトしてXML External Entitity(XXE)を実行できる。
XXEはリクエストフォージェリの一種で、簡単に説明すると「第三者がプロキシの権限を使って攻撃コマンドを挿入する攻撃」である。
つまりSAPの脆弱性を悪用する事で、SAP製品が入っている端末から暗号鍵等の機密情報をサーバーから盗み出す事ができるようになる。
●参考URL
・Web Dynproとは?
https://help.sap.com/saphelp_nw70/helpdata/ja/15/0d4f21c17c8044af4868130e9fea07/frameset.htm
・リクエストフォージェリとは?
https://blog.ohgaki.net/reconsidering-request-forgery
3. Office365を標的に拡散する”KnockKnock”攻撃
MS社のクラウドサービスOffice 365ユーザーを標的にするKnockKnock攻撃が16カ国で流行している。
標的とされた業界はメーカー、金融、ヘルスケア、コンシューマーメーカーで、各企業が所有する自動メール送信用アカウントを狙っている。
一般的に、マーケティングやセールスを自動で行うソフトウェアは、2段階認証等を使用している事が少ない事から、KnockKnockの標的にされているようだ。
最初の攻撃は2017年の五月に確認され、6月〜8月の間大規模な拡散が行われた。
Skyhighネットワーク社の調査によって明らかになっているのは以下。
- 63ものネットワークを使用し、83のIPアドレスを使用して攻撃を実施した。
- 90%の攻撃発信元は中国、その他はロシア、アメリカ、ブラジル、アルゼンチン
- ほぼ全ての標的は人間が介さない”自動メール配信用アカウント”
4. Magento脆弱性のPoC公開
Magentoに脆弱性があることが判明し、リサーチャーによってPoCが公開された。
ちなみにMagentoはEコマースサイトを手軽に起ち上げられるサービスだ。
攻撃者は脆弱性をエクスプロイトすることで、CSRFやXSSを実行する事が出来る。
影響があるMagentoバージョンは以下。
- Magento CE 1 prior to 1.9.3.6
- Magento Commerce prior to 1.14.3.6
- Magento 2.0 prior to 2.0.16
- Magento 2.1. prior to 2.1.9
該当ユーザーは、Magentoを最新バージョンにアップデートする事で対処できる。
●参考URL
Magentoとは
http://www.cagolab.jp/blog/?p=28
5. ユーザー行動を盗み出すFormBookが蔓延
FormBookというマルウェアがアメリカと韓国で流行している。
FormBookはPDF,Word,zip等のドキュメントファイルに含まれるマルウェアで、感染したユーザーのあらゆる情報を盗み取ってしまう。
FormBookの広告を見ると、その恐ろしさがわかるので以下の画像を見てもらいたい。
(引用:FireEyeブログ)
広告を見る限り、キーロガー、プロセス監視、クリップボード情報の盗み出し、HTTP/HTTPS通信の監視等、多岐にわたって感染端末の情報を盗み出してしまう。
6. Windows XP&VistaでFirefoxサポート終了へ
Mozilla社は、Windows XPとVistaにおけるWebブラウザ「Firefox」のサポートを終了することを発表した。
同社は昨年12月時点で既にFirefoxのサポートをESR(Extended Support Release)状態にしていた。つまり、遅かれ早かれ古いバージョンでのFirefoxに対するサポートを打ち切る予定であったという事になる。
尚Mozilla社はユーザー達に対してWindows 8.1以降のバージョンにアップデートする事を推奨している。
7. Brotherプリンタに脆弱性。パスワードリセットが可能
インターネットに接続されたBrotherのプリンタに脆弱性があることが明らかになった。
脆弱性をエクスプロイトすることで、攻撃者はプリンターの管理者パネルにログインする事が出来、パスワードを変更できる。
それによって攻撃者はプリンターをダウンさせることで組織の生産性を落とす事が出来るようになる。
対象機種の例はDCP-9020CDW, MFC-9340CDW, MFC-L2700DW, MFC-J2510。
8. シカゴ・Englewoodでランサムウェア被害・現在は”調査中”
10月4日(現地時間)、アメリカ・イリノイ州のシカゴにあるEnglewoodという町で使われているコンピュータがランサムウェアの被害にあった。
Englewood市が公表した情報によると、「個人を特定出来るような情報の流出はしていない」という事だ。
このブログでもランサムウェアの被害を多く取り上げているが、公共機関におけるランサムウェアの被害のニュースを紹介したのは初めてだと思う。
被害状況はまだ調査中という事なので、ニュースが入り次第紹介していきたい。
8. Flickrの脆弱性”なりすましで卑猥な画像などアップロード可能”
”高校生セキュリティ・リサーチャー”のJazzyによってFlickrに脆弱性が発見された。
Flickrは各ユーザーにEメールアドレスをアサインし、ユーザーはEメールに画像添付して、認証なしで写真を投稿できる機能を備えている。
認証不要という事は、あるユーザーのEメールアドレスを知っていれば、第三者が写真をアップロード出来てしまうという事だ。
この事に気づいたJazzyは、FlickrによってアサインされるEメールアドレスに以下の様なパターンがある事を発見。パターンを元にスクリプトを書いてEメールのリストを作成した。
[Random dictionary word][Random number 0-100][Random Dictionary word]@photos.flickr.com
Flickrのユーザー総数は5千万程なのに対して、考えうるEメールアドレスのパターンは8千万パターンとなった。
単純計算でJazzyが作成したリストの50%以上は、実際にユーザーにアサインされている事になる。
Jazzyは既にFlickr社に報告し脆弱性は修正され、賞金を手にしたという。
追伸
本日も最後まで読んでくださり、本当にありがとうございます。
東京は9月に入ってもしばらく夏のように暖かい日々が続いていたのですが、夜はすっかり寒くなってきました。
私は日中の暑さに甘えて薄いタオルケットを掛けて寝てたんですが、あまりにも朝寒すぎて起きられないので、慌てて押し入れから毛布を取り出しました笑
週末もお仕事がある方はどうかお身体に気をつけて頑張ってくださいね。
陰ながら応援しております。
それではまた明日。
いち
【日刊】忙しい人のためのセキュリティニュース(2017/10/04) 中国ベースのボットネットがマルウェア拡散/RowhammerアタックでメモリとCPUをエクスプロイトする手法/ドライブインレストランSONICの株価ダウン
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- 1. 中国ベースのボットネットがマルウェア拡散
- 2. RowhammerアタックでメモリとCPUをエクスプロイトする手法
- 3. ドライブインレストランSONICの株価ダウン
- 4. POSシステム・マルウェア感染でクレカ情報漏えい
- 5. 顧客の63%「サイバー攻撃不安」アクセンチュア
それでは参りましょう!
1. 中国ベースのボットネットがマルウェア拡散
2015年はDDoS攻撃が900回も行われ、最大通信容量は45Gbpsにまで達したという。
Arbor Networksの調査によれば、Windows端末に感染してボットネットを形成するマルウェア”Flushihoc”は既に500種類も作成されていて、オリジナルは”中国に住む誰か”によって作成された。
中国は、中国本土ベースにしたDDos-for-hireサービス(※必要に応じてボットネットを提供するサービス)も提供されており、闇マーケットを通じて取引を行っているという。
既にFlushihocは、本年6月から今まで900件ものDDos攻撃を行っており、最大通信速度は45.05Gbpsで、平均でも603.24Mbpsのようだ。
こんな容量でアクセスをされたらよっぽど広い帯域を確保したサーバーでないとすぐにダウンするのは目に見えている。個人がターゲットにされたらひとたまりもない。
DDos攻撃が簡単に利用できるなら、今後行われる重要なイベント等でも警戒が必要となる。
例えばアメリカ大統領選挙期間中にウェブサイトをダウンさせて情報に偏りを生むことが出来、とある候補者にだけ有利な状況を作り上げる事が出来る。
(ちなみにDDos攻撃とは人気アーティストのチケット販売時や、人気品薄商品の予約で大量の人がウェブサイトにアクセスしてサーバーが機能しなくなるのを故意的に行う様な状態と言えます。)
2. RowhammerアタックでメモリとCPUをエクスプロイトする手法
Rowhammer攻撃は、昨今のハードウェアベンダがPCの性能を挙げるためにRAMのメモリセルを大量に積んでいる事を逆手にとる攻撃だ。
攻撃を簡単に説明すると、Read(読み)とWrite(書き)の命令を繰り返し行い続け、電子負荷を繰り返しRAMの同じ場所に与え続ける方法だ。
この攻撃が成功すれば、攻撃者はアクセス権限を昇格できたり、アンチウイルスソフトの電源をOFFにする等の変更を加える事ができる。
記事にはRowhammer攻撃を発表した研究論文も掲載されているので、個人的にはすごい興奮している。興味があれば読んでもらいたい。
3. ドライブインレストランSONICの株価ダウン
先日の記事で紹介したSONICのインシデントによって、SONICの株価が2%ダウンし、$24.73にまで下げた。
サイバー攻撃への企業の対策が経済的なインパクトをもたらす、いい例だと思う。
4. POSシステム・マルウェア感染でクレカ情報漏えい
先週、リテール業界の2ブランドで使われるPOSシステムがマルウェアに感染し情報漏えいが発生した事が明らかになった。
5. 顧客の63%「サイバー攻撃不安」アクセンチュア
米・アクセンチュアのレポートによると、ここ5年以内に発電所のシステムがサイバー攻撃にあう可能性があるという。
調査は同社の20カ国からなる、発電所を管理する1000社の役員が解答したもので、その63%がサイバー攻撃の不安を感じているという事だ。
【日刊】忙しい人のためのセキュリティニュース(2017/10/03) AppleがiOS 11.0.2をリリース/フォントインストールを迫るソーシャルエンジニアリング/カンガルー・ランサムウェアはRDPで接続
お疲れ様です。いちです。
本日は以下のセキュリティニュースのダイジェストをお送りします。
- 1. AppleがiOS 11.0.2をリリース
- 2. フォントインストールを迫るソーシャルエンジニアリング
- 3. カンガルー・ランサムウェアはRDPで接続
- 4. ワードプレスの”セキュリティあるある”
- 5. インドで6000もの政府機関、民間企業、ISPで情報漏えい
- 追伸
それでは参りましょう!
1. AppleがiOS 11.0.2をリリース
このリリースには、「iPhone8のオーディオが割れて聞こえた」「写真が隠しファイルになった」「S/MIMEで暗号化されたメールが開けない」等のバグが修正された。
2. フォントインストールを迫るソーシャルエンジニアリング
ウェブサイトを正常に表示する為にRoboto Condensed Font Packをインストールする事を迫られるソーシャルエンジニアリング方法が攻撃として認知されている。
ユーザーが指示に従ってフォントパックをダウンロードすると、Ursnif keylogger、暗号通貨マイナー、又はトロイの木画をダウンロードさせられるという。
3. カンガルー・ランサムウェアはRDPで接続
2016年の11月に流行した”カンガルー・ランサムウェア”は、一般的なランサムウェアとは違う手法でネットユーザーに被害を加える事で認知されていた。
具体的に言えば、カンガルー・ランサムウェアは、一般的なランサムウェアと違って、ユーザーがPCを使えない状態に追い込んだりはせず、ただデータを暗号化するだけに留まるのだ。
だが最近の研究で明らかになったのは、攻撃者はカンガルー・ランサムウェアに感染したPCに対してRDP接続を行い、悪意のあるコードを実行する。すると自動的に3種類のAPIにアクセスをし、端末情報やOSのバージョンを盗み取るという。
対策法は、RDP接続をOFFにするか、RDPを使用する際には2段階認証を設定するのがいいだろう。
4. ワードプレスの”セキュリティあるある”
ワードプレス運営者が気をつけるべき、ワードプレスに関連する脆弱性を4つ挙げている。
任意のファイル閲覧
wp-config.php等の設定ファイルを盗み見られてしまう事。ファイルの閲覧者を制限することで対処できる。
任意のファイルアップロード
攻撃者によって悪意のあるコンテンツやマルウェアを含んだファイルアップロードをされてしまう事。対策としては、ファイルタイプのフィルタリング機能をしようする事が言える。
権限昇格
攻撃者が閲覧者ユーザーのアカウントを管理者ユーザーに昇格し、ワードプレスサイトのコントロール権を取得してしまう事だ。ECサイトやメディアサイトを運営している場合、複数のユーザーが存在することがあるが、不必要なユーザーを削除したり、閲覧ユーザーに必要以上の権限を与えないようにすべきだろう。
SQLインジェクション
Webセキュリティで一番発生件数の多い攻撃となる。SQLインジェクションを防ぐプラグインも開発されているので、ワードプレスサイトに導入すべきだろう。
5. インドで6000もの政府機関、民間企業、ISPで情報漏えい
Seqrite Cyber Intelligence Labsの発表によれば、6000以上もの政府機関、民間企業、ISP等が保有するサーバーやデータベースの機密情報が漏洩した可能性があるとされている。
Seqriteはダークウェブでこの情報を入手し、クラッカー達は入手したデータを公開する代わりに15BTC(約700万円)もの金額を請求しているという。
クラッカー達が取得した情報は、被害者の所有するサーバーのIPアドレスリスト等、管理者しか知り得ない情報だ。
追伸
本日も、この記事を最後まで読んで下さりありがとうございました。
東京ではすっかり秋となり、日中ですらも肌寒く感じられるようになってきました。
ゼロデイ脆弱性の公表や、インシデントがいつ起きるかわからないセキュリティ業界だけあって常に緊張を強いられますが、どうかお身体を大切にして下さいね。
それではまた明日。
いち
【日刊】忙しい人のためのセキュリティニュース(2017/10/02) CCleanerマルウェアの犯人は・・・『中国人ハッカー』?/OpenText Document Sciences xPressionが脆弱性だらけ/Moneroマイニングスクリプトを埋め込む脆弱性の一例 他
お疲れ様です。
本日も以下のセキュリティニュースのダイジェストをお送りします!
- 1. 米デロイトのサイバー攻撃被害は『当初の報告以上』
- 2. CCleanerマルウェアの犯人は・・・『中国人ハッカー』?
- 3. OpenText Document Sciences xPressionが脆弱性だらけ
- 4. Moneroマイニングスクリプトを埋め込む脆弱性の一例
- 5. 独・シーメンスの機器の影響について
- 6. Macマルウェアのタイムライン
1. 米デロイトのサイバー攻撃被害は『当初の報告以上』
9/25に明らかにされた米デロイトのサイバー攻撃について。
最初は6顧客しか影響がないと発表されていたものの、内通者の情報によると全顧客の管理者アカウントに影響があるとされている。
まだ大々的に情報が公表されていないので詳細は不明のままだが、今回の情報漏洩で浮き彫りにされているのは「デロイト社のパスワードポリシーの甘さ」だと指摘されている。
2. CCleanerマルウェアの犯人は・・・『中国人ハッカー』?
セキュリティリサーチグループのIntezer Labsによると、CCleanerにマルウェアを仕込んだのは中国人ハッカー集団である可能性があるとされている。(断定ではない)
Intezerは”プログラマーはコードを書く時に、既存のコードをコピペする事から、それが指紋のように本人の特定に繋がることがある”とし、”その文脈においては、CCleanerに組み込まれた悪意のあるコードは、APT17攻撃で使われたコードに酷似している”と指摘する。
3. OpenText Document Sciences xPressionが脆弱性だらけ
OpenText Document Sciences xPressionにクロスサイト・スクリプティング(XSS)、SQLインジェクション、ディレクトリトラバーサルを行える脆弱性があることが明らかになった。
セキュアなソフトウェアをする為にはマネジメント層が、スケジュール管理、安全管理を行う必要がある。セキュリティの優先度を下げず、必須コストとして予算を割ける企業が今後は生き残っていくと思う。
4. Moneroマイニングスクリプトを埋め込む脆弱性の一例
攻撃者は脆弱性スキャンをかけて、 CVE-2017-7269の脆弱性を持つサーバーに対してバッファ・オーバーフロー攻撃を仕掛ける。Microsoft IISのバージョン6.0と、Windows Server 2003 R2に使われるWebDAVサービスに対して有効となる。
MicrosoftはISSのサポートは2015年に打ち切ったが、本年のWannaCryの蔓延によって緊急のパッチを公開した。
しかし全てのサーバーが自動アップデートでパッチを適用したとは言い切れず、CVE-2017-7269を突かれてマイニングスクリプトを埋め込まれているようだ。
●このニュースの過去記事
http://nanashi0x.hatenablog.com/entry/2017/09/20/205608
http://nanashi0x.hatenablog.com/entry/2017/09/30/205146
5. 独・シーメンスの機器の影響について
シーメンス独自の調査で、同社の製品に脆弱性があることが明らかになった。
影響のあるデバイスは、①SCALANCE X industrial ethernet switches、②Ruggedcom switches、及び③Rugged Operating System (ROS)を搭載したデバイスの3つ。
調査レポートによると、RCDP(Ruggedcom Discovery Protocol)に脆弱性があったとされている。ちなみに、RCDPとは、Ruggedcomのエクスプローラ管理ツールでROSベースの端末をIP無しで参照できるプロトコルである。
Ruggedcomは、信号などの交通管理装置、送電線コントロールシステム等、重要インフラに使われる。
一方、SCALANCE XはPLC(Programmable logic controllers)、HMI(Human-machine interfaces)等、産業用途の装置の制御に使われているデバイスだ。
Ruggedcom RSL910のROS 5.0.1バージョン、及びROSベース端末のversion 4.3.4が脆弱性の対象とされ、
SCALANCEは XB-200, XC-200, XP-200, XR300-WG, XR-500 and XM-400が対象。
SCALANCE Xにパッチは用意されていないが、RCDPをOFFにすれば攻撃を回避できる。
6. Macマルウェアのタイムライン
Macユーザーは、Windowsユーザー程マルウェアに感染することは無いが、それでも決して少なくない数程のマルウェアが存在するので、有料のアンチウイルスを導入すべきだと私は思う。
追伸
10月になって3日間経ちましたが、いかがお過ごしでしょうか。
セキュリティ業界は相変わらずニュースの絶えない業界でして、今月に入っても引き続き新しい情報漏えいが出てきています。
最近ですと、Equifaxのニュースが出尽くした感があって、米デロイト社の情報漏えいに関するニュースが出てきています。
デロイトは「調査中」として被害規模を公表していませんが、結構な規模のインシデントだと私は個人的に思っています。
世界有数のコンサルティングファームなので、影響大とされると様々な業界のクライアントの信用問題に発展し兼ねない程、注目度が高いニュースです。
引き続き注目し、このブログでも触れていきたいと思います。
【日刊】忙しい人のためのセキュリティニュース(2017/10/01) PS4ゲームサービスに攻撃 / Equifaxの犯人は・・・『中国政府』?
こんにちは。いちです。
今日もセキュリティニュースのまとめをします!
時差の関係でニュース自体が少ないので、今日は以下の2つです。
- ネトゲサービスに攻撃。DB削除→ランサム要求
- Equifaxの情報漏えいの犯人は・・・『中国』?
1. ネットゲームサービスに攻撃。DB削除→ランサム要求
Rainbow Six Siegeの対戦成績等の統計を表示するサービス”R6DB”が9月30日に攻撃を受けた。
原因は「R6DBの開発段階でエンジニアがリモートアクセスを許可した設定のままテストを終えた為」だという。
R6DBはPostgreSQLのインスタンスを使っており、9月にサーバー移転を行ったが、過密スケジュールであった事から設定漏れが生じたという。
2. Equifaxの情報漏えいの犯人は・・・『中国』?
Equifaxの情報漏えいの犯人として中国の名前が上がっている。
調査によるとEquifaxの攻撃は二段階によって行われ、最初はStruts2のゼロデイが明らかにされた3月に行われた。
次に本格的な攻撃が5月に開始され、その際使われたツールが中国製のツールであった事から、犯人は中国政府なのではないかと疑いがかかっている。
攻撃元については定かではないが、Struts2の脆弱性が明らかにされてから、2ヶ月間もパッチを放置したEquifaxのずさんなセキュリティ意識には疑問を感ぜざるを得ない。
【日刊】忙しい人のためのセキュリティニュース(2017/09/30) シーメンス製品にバグ/Equifaxに内通者がいた可能性を示唆/ロンドンにとるUber全面禁止によりマルウェア増加か? 他
こんにちは。 いちです。 本日もニュースをまとめていきます!
- シーメンス製品にバグ
- Equifaxに内通者がいた可能性
- ロンドンにとるUber全面禁止によりマルウェア増加か?
- スキルを持った人材確保の為にはどうしたらいいか?
- 大多数がMacのファームウェア更新をしていないと公表
- セキュリティ業界の”自然淘汰”
- 韓国がICOを全面禁止へ
1. シーメンス製品にバグ
ドイツ系のメーカー・シーメンスがRCDP(Ruggiedcom Discovery Protocol)を搭載した製品を使っているユーザーにファームウェアアップデートを呼びかけている。
攻撃者はこのバグを持つ製品が接続するネットワークを使って他の製品にアクセスし、リモート操作をする事が出来るようになる。
まだこのバグを使ったPoCは公開されていないが、被害を受ける前にアップデートをするべきだ。
2. Equifaxに内通者がいた可能性
Equifaxが大規模な情報漏えいをした事件について、アメリカ政府機関の調査によると内通者がいた可能性がある事を公表した。
しかし証拠が見つかっていないので、あくまで”可能性がある”ということである。
3. ロンドンのUber全面禁止検討によりマルウェア増加か?
ロンドンの公共交通局によって、Uber等のシェアリングサービスが禁止にされるかもしれない。
サービスの利用者は署名活動を開始し、既に820,000人の署名が集まっているという。
この流れを受けて、ロンドンでのラクシー手配用アプリのダウンロード数が急増しているが注意が必要だ。 なぜならブラックハットハッカーたちがこの状況を悪用して作成したアプリを誤ってダウンロードしてしまう可能性があるからだ。
研究者たちのレポートによると、既にそういったアプリは存在しており、タクシー配車アプリがパーミッションを求める必要性がない機能(Bluetooth等)までパーミッションを求めるアプリが存在しているという。
4. スキルを持った人材確保の為にはどうしたらいいか?
セキュリティ業界はとにかく人材不足だ。
履歴書だけではセキュリティエンジニアのスキルを証明する方法がない為、嘘つき放題なのが実状。
企業としても大学や研修期間と連携して、適切なトレーニングを受けた人を人材として評価する仕組みを導入したい所。
5. 大多数がMacのファームウェア更新をしていないと公表
Duo Securityが73000台のMacを対象にして独自に行なった調査によると、4%のMacデバイスのファームウェアは古いバージョンを使用していたという。
6. セキュリティ業界の”自然淘汰”
ダーウィンの代表作「種の起源」で説かれる”自然淘汰”のセオリーをサイバーセキュリティ業界にも応用できるか?という問題に基いて書かれたコラム。
業界で生き残る企業は、最新の脅威に常に対応し続けるリソースをもつ企業だとし、大企業が中小企業を淘汰していく可能性が高いと予想する。
7. 韓国がICOを全面禁止へ
中国に続いて、韓国もICOによる資金調達を禁止した。
日本は禁止するどころか、COMSAというサービスを起ち上げて合法化していく姿勢をとっているので、日本に投資が集まる可能性が高まった。
【日刊】忙しい人のためのセキュリティニュース(2017/09/29) サイレント・マイニング「あなたも被害者かも?」/ 被害者の9割は「日本」
こんにちは。いちです。
今日もセキュリティニュースで溢れているんですが、ちょっとテイストを変えて1トピックのセキュリティニュースに絞って記事を書いていきたいと思います。
そのトピックは、最近取り上げる事の多い、ユーザーのリソースを勝手に使って暗号通貨のマイニングを行うスクリプトに関連したニュースです。
目次は以下。
- サイレント・マイニング
- ”リソース不正利用被害者”の9割は「日本」
それでは始めましょう!
1. サイレント・マイニング
これは9/15と9/17で取り上げた埋込み型マイニングスクリプトの関連記事。
CVE-2017-7296の脆弱性を使って構築したボットネットに所属するユーザー端末にxmrigというオープンソースソフトウェアをインジェクトする手法だ。
ネットワークは既に今年の5月から存在しており、USD63,000相当のMoneroをマイニングした。
悪意を持ってスクリプトをウェブサイトに埋め込むクラッカーの他に、無料アプリを広告を使わずに開発している人にしても”儲かる美味い話”となるようだ。
しかし、ユーザーの同意無しで勝手にスクリプトを実行し、ユーザー端末のリソースをフルに使う事は、窃盗と同じなのでは無いかと指摘する人もいる。
また、マイニングは非常に複雑な計算処理を必要とし、コードが第三者に拠って実行されリソースを使われている事は管理者からすれば簡単に見つけることが出来るため、効率的なマイニング方法とは言えない。
今後はCPUだけじゃなく、ユーザーのGPUに不正アクセスしてマイニングが行われるようになるだろう。
CVE-2017-7296
2. ”リソース不正利用被害者”の9割は「日本」
EITestキャンペーンとは、2014年10月に何千ものウェブサイトを拠点として、Anglerエクスプロイトキットへの感染連鎖が始まったマルウェアキャンペーンの事。
マルウェアのスクリプトの中にEITestという変数が規則的に登場する事からその名が付けられた。
その後2年間、ランサムウェア拡散の手口として使われたりしてきたが、今のトレンドは、Javascriptで書かれたマイニングスクリプトをウェブサイトに埋め込み、ユーザー端末のリソース不正利用したマイニングである。
そしてこの記事で紹介されているのは、本物を装った技術サポートサイトで、”マルウェア感染”といった文言を表示し、ユーザーからサービス利用医療や金融情報を搾取するソーシャルエンジニアリングだ。
更に驚くべきは、この攻撃の被害者数は、アメリカやオーストラリア等の英語圏の諸国を差し置いて、日本が約9割を占めている事である。
私の意見では、日本では高齢化が進んでおりコンピュータの操作になれないユーザーが他の国々に比べ圧倒的に多いことが理由の1つであると思う。