お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• MicrosoftがDNSSEC関連バグをパッチ
  • パッチされた脆弱性CVE-2017-11779について
  • 攻撃方法について
  • 防御策
  • 参考URL
• 350社分漏洩かーー米デロイトの情報漏えい
• Google Home Miniに初期不良
• T-Mobileのウェブサイトに脆弱性
• ヘルスケアサービスから150,000件流出
• 北朝鮮ハッカーが米国エネルギー企業ネットワークに侵入

それでは早速、参りましょう！

MicrosoftがDNSSEC関連バグをパッチ

2017/10/11(日本時間)月例パッチでMicrosoftが致命的な脆弱性のパッチを提供。

対象のバージョンは以下。

• Windows 8 

• Windows 10

• Windows Server 2008

• Windows Server 2012

• Windows Server 2016

また、対象のプロダクトは以下。

• IE 9-11

• MS Edge

• Office 2010-2016

• Office Services

• Web Apps

• Skype for Business

• Lync

• Chakra Core

パッチされた脆弱性CVE-2017-11779について

今回パッチされた様々な脆弱性の中で、DNSSECに関わるCVE-2017-11779がある。

DNSSECに関わるCVE-2017-11779はBishop Foxというセキュリティ研究グループによって発見された脆弱性で、原因はNSEC3(Next Secure Record version 3)をMicrosoft社が独自に応用した機能が脆弱性の原因のようだ。

この件についてBishop Foxは「何かしらの新しいセキュリティ機能が追加される時は、基本となる技術を独自に応用して作成する事が多く、応用の仕方によっては新たな脆弱性を生みかねない」と指摘する。

つまり「Microsoft以外のベンダでも、DNSSECを応用して追加した機能がある場合、脆弱性が見つかってもおかしくはない」という事になる

攻撃方法について

攻撃者はCVE-2017-11779を利用するには、ターゲットと物理的に同じネットワークにいる必要がある。

つまり攻撃者はターゲットと同じ組織に所属する内通者か、中間者攻撃を使ってターゲット端末のDNS通信をハイジャックする必要がある。

ちなみにここで使われるDNSリクエストはどの通信でも良い（ネットブラウジング、Emailのチェック、ソフトウェアのバックエンド通信、等）。

ターゲットのDNSリクエストを受けた後、攻撃者は悪意のあるコードを注入したレスポンスをする。そのレスポンスの中で脆弱性をつくコードを注入し、DNSクライアントのメモリにダメージを与える。

その後DNS通信をハイジャックし、攻撃者はターゲットのネットワークと通信できるようになる。

防御策

まずは2017/10/11公開されたMicrosoft社のパッチをWindowsマシンに適用する事をお薦めしたい。

そして万が一攻撃を受けた時は、暗号化されていないWifiネットワークの使用を避けるか、VPNを使ってネットワーク接続をするといいだろう。

参考URL

・CVE-2017-11779

・米Microsoft、10月の月例セキュリティ更新プログラム公開　IEやWindowsなど62件の脆弱性を修正＜ITmedia日本語＞

350社分漏洩かーー米デロイトの情報漏えい

過去記事でも書いたが、アメリカのデロイトの情報漏えいは、同社より公表されていた情報を遥かに上回り、350社分もの顧客データが流出していたようだ。

情報漏洩が発覚した9月中旬デロイトは6社分のデータしか漏洩しておらず、漏洩したデータもそこまで重要度の高いものではないと公表していた。

しかし最新のレポートによると、漏洩していたのは350企業・団体分のデータで、さらに4つの政府機関のデータも流出している事が明らかになった。

さらにデロイト社はこうも公表している。

我々デロイト社は既に今回の情報漏えいに対して対応している。我々のシステムに対するサイバー攻撃は全て検知しており、どのような情報が標的とされたかも掌握している。セキュリティ調査の結果、攻撃者は既に攻撃を終了しておりこれ以上の攻撃は無いであろう。今回の攻撃は、Eメールプラットフォームから行われ、該当のプラットフォームのセキュリティレビューも終了している。ーーデロイト広報

当初の予想を上回る大規模な情報漏洩だった事もあり、デロイト社は迅速に対応を行なった。ここまで強気に報告出来るのは”さすがデロイト”と言わざるを得ない。

Google Home Miniに初期不良

Google Home Miniの”開発者用レビュー版”に動作不良があった。

動作不良のあった端末は、一日の内に何千回も起動し、スピーカーのある部屋の音声を録音、その後Googleに送信をしていたという。

Amazon EchoやGoogle Homeなどの音声アシスタント端末は常にスピーカーを置いている場所の音声を拾っている為、プライバシーがほぼなくなってしまう。

「それでも構わない」というユーザーや、スマホを操作せずにメッセージを送信したりするアメリカ等の国にいるユーザーにとっては使いやすいのかもしれないが、日本ではまだ普及は時間がかかりそうな気がする。

T-Mobileのウェブサイトに脆弱性

T-Mobileのウェブサイトで、電話番号を入力するだけでT-Moboileユーザーのメールアドレス、アカウント番号、端末のIMSI番号などが参照できるようになっていた事が明らかになった。

以上の情報を使うだけで、第三者が電話番号に紐付けられたユーザーの個人情報を知る事が出来る為、致命的なバグである。

このバグを発見したリサーチャーのSaini氏は以下のように語っている。

「T-Mobileには8千万人程ユーザーがいる。攻撃者はただスクリプトを回すだけでデータをスクレイピングし、全ユーザーの個人情報を載せたデータベースを作成できたはずだ」

Saini氏はバグについて、wsg.t-mobile.com APIの中にあったと公表している。任意の電話番号を含んだクエリを送ると、APIは電話番号に紐付けられたユーザーの個人情報を返してきたという。

ちなみにこの記事の最後に追記がされていた。追記によると、T-Mobileが以上のバグをパッチした後、クラッカーが新たにバグを発見しエクスプロイトしていたという。

T-Mobileは更にバグを修正し、「現段階ではバグは存在しない」と公表している。

ヘルスケアサービスから150,000件流出

アメリカのヘルスケアサービス、Patient Monitoring Corporation（PHM）が保有していたAWSのS3ストレージの設定が”Public”になっており、誰でもデータにアクセス出来るようになっていたようだ。

ストレージには、47.5GB程のデータが保存されており、316,000件ものPDFファイルが保存されていた。

昨日の記事で書いたアクセンチュアの情報漏えいでもそうだが、AWSのS3ストレージの設定ミスによる情報漏えいが多い。

今回の事件もそうだが、定期的に設定ファイルを取得して理想の設定になっているかどうかチェックするバッチを走らせる等、セキュリティ管理者が気付く方法はあったと思う。

自社サーバーを用意せずクラウドストレージに保存する事で負担を減らせるのだが、甘んじずに管理を徹底してもらいたい。

北朝鮮ハッカーが米国エネルギー企業ネットワークに侵入

北朝鮮政府と強い関わりがあるとされるハッカー集団が、アメリカの発電所等の重要インフラを運営する企業のネットワークに侵入した形成がある事が明らかになった。

FireEyeを始めとする企業のセキュリティリサーチャー達は、ネットワーク上に残された侵入の形跡等が過去の北朝鮮ハッカーの攻撃手法と似通っている事から、北朝鮮ハッカーである可能性が極めて高いという決断を下したのだ。

個人的な話となるが、私がセキュリティエンジニアを志しているのも、こういった社会の重要インフラのセキュリティを守りたいからだ。

実際に北朝鮮ハッカー達がアメリカの重要インフラの機能を停止させる事は、よっぽどの事がない限りは起こらないとは思うが、常に警戒は必要である。

このブログでも引き続き、北朝鮮とアメリカの動向をまとめていきたい。