【日刊】忙しい人のためのセキュリティニュース(2017/10/13) Chrome拡張機能にマルウェア・DNS登録も、iOS11で可能になったQRコードスキャン機能が生むリスク、アメリカ共和党の世論調査会社がハッキング被害 他

f:id:nanashi0x:20171014175629p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

Chrome拡張機能マルウェアDNS登録も

この記事では”Ldi”というGoogle Chrome拡張機能に組み込まれた悪意のあるコードについて解説している。

Ldiは、最近流行りのマイニングスクリプトを含むだけでなく、ユーザーのGmailアカウントを使ってドメインネームの登録をしてしまうのだ。

Ldiは、一旦拡張機能としてダウンロードされると、マイニングスクリプトをまず実行してユーザー端末のCPUを最大まで使ってMoneroのマイニングを行う。

ここまでは他のマイニングスクリプト付きのマルウェアと何も変わらない。

だがLdiはここで終わらないのだ。

恐らくChromeを使っている場合、殆ど全ての人がGmailアカウントを作成している事だろう。

実はLdiは、ユーザーのChromeに紐付けられているGmailアカウント情報を使って無料のドメインを取得してしまうのだ。

なかなか悪質な拡張機能ですね。拡張機能として便利な機能を実装しているというわけではなさそうなので「他のPUPと一緒にインストールして、気づいたらChromeに追加されている」なんていうケースが今後は起こるかもしれません。

原文を読む

iOS11で可能になったQRコードスキャン機能が生むリスク

iOS11から、標準搭載のカメラアプリでQRコードのスキャンが出来るようになった。この事で更にQRコードの利用が広まっていく事が予想される。

QRコードは第三者によって書き換えることが出来ないが、ユーザーがスキャンするQRコードが本物かどうか区別できなくなってしまった。

よくフィッシングメールの対策として挙げられるのが、メール本文中に貼られているURLをチェックしてリンク先に本当に飛びたいかチェックする方法だ。

QRコードからでは、どのようなページに飛ぼうとしているのかわからなくなってしまう。

実はQRコードを使ったセキュリティインシデントは既に発生している。

実際の例を挙げると、京都の観光名所などの道路にある標識にQRコードが振られている。

観光客は標識のQRコードをスキャンする事で現在地を知れたり、近くにある観光名所の行き先を調べる事が出来るのだ。

実はそれらのQRコードに第三者が悪意を持って作成したQRコードを上貼りするソーシャルエンジニアリングのケースが海外では多発している。

例えば小売店等でQRコードを使って支払いを行えるようにしている店のQRコードの上にシールを貼ってしまうのだ。

そうする事で小売店に支払われるはずの代金が第三者の口座に振り込まれていく事になる。

ずっとiOS上ではサードパーティアプリを使ってスキャンしてたQRコードをコードがようやく標準搭載。かなり今更感がありますが、標準搭載された事で利用者は増えていく事でしょう。また、ビットコインで等の暗号通貨でも使われるのでインシデントは増えていくと思います。

原文を読む

アメリカ共和党世論調査会社がハッキング被害

トランプ大統領を擁するアメリカの共和党系の世論調査会社が、2017年1月にサイバー攻撃の被害に遭っていた事が明らかになった。

攻撃の被害に遭ったのはミシガン州のグランドラピッズにあるVictory Phonesという会社だという。

データベース内に保存されていたデータは223GBにものぼり、共和党支持者のEメールアドレスや電話番号等の個人情報だけでなく寄付者や寄付金のデータ等、その種類は多岐にわたる。

Victory Phonesはそれらのデータを使って、アメリカ全土に渡る人々に電話を掛け、寄付金を募ったり投票にいくようリマインドしていたとの事だ。

今回のインシデントの発生原因は、「MongoDBの設定ミス」だと言われている。

うーん、過去記事でもクラウドストレージの設定ミスで情報漏えいの事を取り上げましたが、同様の問題が多発しすぎですよね。この調子だと、まだまだ大企業や社会的に影響力のある組織の管理するクラウドストレージからの情報漏えいが噴出しそう。クラウドストレージに甘んじずに管理者はもっと注意深くデータ保管をしてほしいです。

原文を読む

Equifaxのライバル会社もウェブサイト改ざん被害

Equifaxのライバル会社であるTransUnionのウェブサイトも改ざんの被害にあっているようだ。

昨日起きたEquifaxのWebサイト改ざんと同様の手口で、偽のAdobeFlashアップデートを促すアラートメッセージを表示し、ユーザーにアドウェアをインストールさせる。

アドウェアは世間で出回っているアンチウイルスソフトの65%ほどでしか検知できないタイプのアドウェアらしく、多くのユーザーが被害を受けているようだ。

攻撃者はソーシャルセキュリティーナンバーを知るだけで、ナンバーに紐付いた個人情報を検索できるんですよね。Equifaxと同様で、TransUnionのページからリダイレクトされたユーザー達がソーシャルセキュリティーナンバーを入力してしまわないといいですが、恐らくかなりの数の被害者が出てしまうのではないでしょうか。

原文を読む