忙しい人のための日刊セキュリティニュース(2017/09/22) ヌード写真で人質解放?/盗聴テディベア/ランサムウェアでひと儲け/Googleでも検知できないマルウェアアプリ 他

f:id:nanashi0x:20170923202441p:plain

1. This Ransomware Demands Nudes Instead of Bitcoin

https://motherboard.vice.com/en_us/article/yw3w47/this-ransomware-demands-nudes-instead-of-bitcoin

普通のランサムウェアは、PCやスマホ内のデータを暗号化して身代金を請求し、支払いが行われた場合に復号化するのが一般的だ。

だが、MalwareHunterTeamのリサーチによって、新種のランサムウェアが明らかになった。

そのランサムウェアは、身代金の代わりに感染PCの持ち主のヌード写真10枚を請求するのだ。

(ヌード写真を10枚を送れば暗号化を解除すると書いてある。)

nRansom.exeというExecutableファイルを誤ってダウンロードしてしまった際にこのランサムウェアが実行される。VirusTotalやHybridAnalysisといったマルウェアデータベースにも登録され、注目を集めている。

2. Leaking Cloud Databases and Servers Expose Over 1 Billion Records

https://securityintelligence.com/leaking-cloud-databases-and-servers-expose-over-1-billion-records/

IBMの民間セキュリティ開発チームのIBM X-Forceが新たに公表した統計によると、2017年の一年間だけでたった24台のクラウドサーバーから13億件もの情報漏えいがあったとされている。

その原因はサーバーの設定ミスによるもので、ファイルアクセス権の設定ミス等によってSQLインジェクションが行われているようだ。

クラウドサーバーの設定ミスによって起きたインシデントの例として、今年5月に起きたテディベアのハッキングについて簡単に話しておく。

ドイツのおもちゃメーカーであるSpiral Toysが製造したCloudPetsというテディベアは、おもちゃを所有する子供の声を継続的に録音して、音声データをクラウドサーバー(MongoDB)に保存していた。

しかし、MongoDBはデフォルト設定では認証不要で公開されている事から、IoTデバイス脆弱性専用検索エンジン”Shodan”に登録された。その結果、テディベアの購入者82万人ものユーザーのデータが閲覧可能な状態で放置されてしまっていたのだ(注1)。

何故この例のように、クラウドサーバー設定ミスが起きてしまっているのだろうか?

この記事では、以下の3点を指摘している。

クラウドサーバーの急激な利用増加

クラウドサーバーを導入すると、簡単にサーバーを立ち上げる事ができ、運用と保守もサーバー管理者に一任出来るのでセットアップが簡単だ。

導入・セットアップの容易さから、初期パラメータ確認漏れ等の設定ミスに繋がっているという。

②古いテストサーバーの初期化忘れ

大規模なサーバーを新たに導入する際は、殆どの場合に検証環境を構築し、想定されるテストケースを用意してテストを行う。

その際に本番環境のユーザーデータを使用してテストを行い、テストが終った後にサーバー内に残されたユーザーをデータやテストログ等を初期化し忘れてしまうのだ。

脆弱性検索サービスの登場

Spiral Toys社のテディベアにまつわる情報漏えいのケースでは、Shodanという脆弱性データベースにインデックスされていた事で脆弱性が公になった。

今回のShodanはデータベースの脆弱性専用検索エンジンだが、他にも初期パスワードにしたまま運用されてる監視カメラの検索エンジン等、攻撃者が標的とするデバイス脆弱性を一覧できるサービス数が増加の一途を辿っている。

そのことから、設定ミスによる脆弱性が攻撃者に知られ、サーバー管理者によって設定変更がされる前にデータを持ち出されてしまうのであろう。

(注1)

クラウドを通じてボイスメッセージを再生するクマのぬいぐるみが数百万件の録音データを漏洩

http://gigazine.net/news/20170228-cloudpets-teddy-bear-leak-millions-of-voice/

3. Mass-Scale Ransomware Attacks Providing Hackers the Ability to Earn Quick Money

http://www.itsecurityguru.org/2017/09/22/mass-scale-ransomware-attacks-providing-hackers-ability-earn-quick-money/

今年の春から夏にかけた大流行したランサムウェアだが、そもそも何故、流行したのだろうか?

その裏には攻撃者達のマネーモチベーションがある。

つまりランサムウェアは儲かるのだ。

ランサムウェアの被害に合う人達は基本的にITリタラシーが低い傾向にあり、ランサムウェアに感染した場合、指示された通りに身代金を支払ってしまう傾向にある。

また、今年の大流行の影にはビットコイン等の暗号通貨の人気や、ランサムウェア・アズ・ア・サービス(RaaS)の参入障壁が低くなった事もあげられる。

4. HOW MALWARE KEEPS SNEAKING PAST GOOGLE PLAY’S DEFENSES

https://www.wired.com/story/google-play-store-malware

Androidスマホ上にマルウェアをダウンロードしないためには、Google Play Storeに登録されているアプリをインストールする事が解決策の1つとなる。

なぜなら、Google Play Store上にはマルウェアランサムウェアが存在しないかをスクリーニングするメカニズムが組み込まれているからだ。

しかしクラッカー達は、そうした仕組みをもかいくぐり、Androidユーザー達にマルウェアをインストールさせている。

その手段とは一体何か。

実はクラッカー達は、何の変哲も無いアプリの中に一定条件が満たされた際に実行されるコードを仕込んでおくのだ。

例えば、ユーザーにインストールされてから数日間経った状態で、クラッカーの用意したサーバーからマルウェアを自動でインストールするようなコードを仕込めば、Google Play Storeのスクリーニングを回避することが出来る。

無論Google Play Storeもそのようなコードでさえも検知できるようにスクリーニングのアルゴリズムを強化している。

しかし、年会費を支払う必要があるApple Storeと比べて、Goole Play Storeは参入障壁が低いため、誰でもディベロッパーとして参加できるのが強みだが、その分アプリ数も多くなり、マルウェアの割合も多くなってしまうのが現状だ。

5. DON'T RELY ON AN UNLOCK PATTERN TO SECURE YOUR ANDROID PHONE

https://www.wired.com/story/android-unlock-pattern-or-pin/

Androidスマホのロック画面で、9個のドットを指でなぞるパターン認証を設定している人は多い。

だがパターン認証は近くにいる人に図形の形を覚えられてしまったり、パターンの総数が少ないことから総当りすれば簡単に破れてしまう可能性がある。

この記事で紹介されているアメリカの海軍大学のセキュリティ専門家によれば、パターン認証は3桁のPINコードと同程度のセキュリティ強度だという。

対処法としては、パターン認証設定を解除して6桁のPINコード入力にするか、最低限パターン認証の際に指でなぞった軌跡を表示しない設定にすべきであろう。