【日刊】Androidのパスコードを変更するランサムウェア、SlackがSAMLに関するバグをパッチ、GoogleがChromeの深刻な脆弱性をパッチーー忙しい人のためのセキュリティニュース(2017/10/27)

f:id:nanashi0x:20171028110157p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

Androidのパスコードを変更するランサムウェア

一般的にランサムウェアといえば、端末内のデータを暗号化して身代金を請求するマルウェアとして認識されている。

しかし、この記事で紹介されているDoubleLockerは、Android端末内のデータを暗号化するのに加えて、画面ロック時のパスコードも変更してしまう。

暗号化した後は、身代金請求画面が表示され、24時間以内に身代金を支払うことを要求してくる。

DoubleLcokerを発見したESETはこう語る。

DoubleLockerがバンキングマルウェアという原型を持っていることから、ランサムバンカーと呼べるだろう。...実はワタチ達はこのランサムウェアの試作品を2017年の5月に確認していた。(原文記事より引用)

感染経路は、Adobe Flash Playerのプラグインだ。

ユーザーがプラグインをインストールすると、DoubleLockerはデフォルのホームボタン設定を変更する。ユーザーがホームボタンを押すとDoubleLockerが起動する仕組みとなっている。

また、DoubleLockerが変更するパスコードはランダムに生成されるもので、別のサーバーに送信されたり保存される事はないようだ。

つまり、ユーザーやセキュリティ研究者であってもPINコードの復元をすることが出来ない。(尚、攻撃者は遠隔からパスコードをリセットする事は出来るようだ。)

端末内のファイルは、AES暗号アルゴリズムを使って暗号化される。

復号化するためには、24時間以内に身代金を支払って攻撃者から復号キーを貰うしか無い。24時間以内復号化されないと、データは永遠に暗号化されることになるようだ。

SlackがSAMLに関するバグをパッチ

今週木曜日、Slackが”Severe”にランク付けされたSAML(Security Assertion Markup Language)に関する脆弱性をパッチした。

SAMLとは、複数のWebサービス毎にアカウントを作成してパスワードを管理する煩わしさを減らすための規格である。SAMLを使うことで、例えば航空会社で作成した認証情報を、レンタカー会社のウェブサイトでも使えるようにする事が出来る。

ひとつのアカウントで複数のサービスにサインイン出来る仕組みをシングルサインオン(SSO)というが、SAMLはSSOを簡単に実現するための手段であると言える。

話を戻そう。

Adobeのシニア・セキュリティ研究者のAntonio Sanso氏は、SlackのSAMLに関する脆弱性を2017年2月に発見した。Slackはバグを認め、Sanso氏に3000米ドル支払ったようだ。

Sanso氏は、今回のバグを"Confused Deputy Problem”と自身のブログで名付けている。

Confused Deputy Problemとは、権限エスカレーションにまつわる脆弱性である。

一般的に、コンピュータのソフトウェアにおける権限を与えられる場合は、特定のソフトウェアに限った権限を与えられるものだが、Confused Deputy Problemは一つのソフトウェアで与えられた権限を他の目的にも使用する事が出来るのだ。

Sansoが指摘したSlackのバグは、GitHubにログインするために使用した、既に失効したはずのSAMLを使って、Slackチャンネルにログインする事が出来るバグであったようだ。

GoogleChromeの深刻な脆弱性をパッチ

今週木曜日にGoogleがデスクトップ向けのChromeブラウザにパッチを提供した。

攻撃者は、パッチされた”High-Severity"にランク付けされたバグをエクスプロイトすると 、スタックオーバーフロー攻撃をする事が出来る。

Windows7以降とMacOS10.5以降、32bitのLinuxディストリビューション等で使われる”V8オープンソースJavaScriptエンジン”に関連したバグのようだ。

Googleは、サードパーティ製の製品等にバグを発見する場合は公表しないポリシーがある為、今回のバグに関して詳細な情報を公表していない。