Facebookが米議会に747ページにのぼる文書を提出。個人情報取扱方法の公開はSNSとしては異例。
Facebookは、747ページにのぼる文書を先週金曜日(6/29)未明に議会に提出した。
Facebookは、数十人のハイテク企業やアプリ開発者に、2015年にそのようなデータにアクセスすることを外部の企業に制限していたと公表していたにも関わらず、ユーザーのデータに特別なアクセスを与えていたことを認めている。
この記事では、Facebook社が文書で米議会に報告した事実に関して簡単に述べていく。
議会に報告書を提出することになった背景
文書が提出される経緯としては、本年3月に問題に鳴ったCambirdge Analyticaスキャンダルを受けて、2018年4月11日に米議会がCEOのマーク・ザッカーバーグ氏を証人喚問した事に起因している。
その際、2000以上もの質問がザッカーバーグ氏を窓口として口頭・書面で投げかけられたのだ。
今回Facebook社から米議会に提出された文書は、そういった質問に対するFacebook社としての回答となる。
文書の一枚目には、このように記載されている。
2018年4月11日の聴聞会『Facebook:ユーザーデータの透明性と利用』の場でご質問いただきありがとうございます。 議会にご質問頂いた内容に対する回答が添付されています。
弊社は2018年4月10日と11日に(米議会で)証言を行い、上・下両院の委員会から2,000件以上の質問を受けました。これらの質問に対する回答を準備する為の時間を与えて下さり、誠に感謝しています。与られた時間を最大限使用して、頂いた質問に対して回答する為の全力を尽くしました。必要に応じて、弊社が出した回答を補完したり修正したりする事がありますが、何卒ご理解頂きたく思います。
明らかになったFacebook社の矛盾
FacebookのようなSNSが、ユーザーの個人情報をどのように管理しているか赤裸々に公表することは非常に珍しい事だ。
今年3月に明るみに出たCambirdge Analyticaスキャンダルでは、Facebookはすでに2015年5月にユーザーのデータとその友人への第三者のアクセスを遮断したと述べていた。
しかし今回、米議会に提出された回答書では、2015年以降に61のハードウェアとソフトウェアメーカー、そしてアプリケーション開発者とのデータ共有を続けている事実が記載されていたのである。
この文書に記載されていた事実を以下にピックアップする。
- AOL、Nike、United Percel Services、Hinge等の企業に対して、新しいプライバシーポリシーを遵守する期間として6カ月間「ワンタイム」延長を認めていることが明らかになった。
- フェイスブックのベータテストの一環として許可されたAPIアクセスが原因で理論上、限られた友人のデータにアクセスしている可能性がある企業が少なくとも5社ある。
- FacebookがApple、Microsoft、Spotify、Amazon、Sony、Acer、中国のHuaweiとAlibaba、デバイスメーカーのSamsungやBlackBerryを含む52社の国内外の企業と提携している。
今数多くあるパートナーシップを見直し・解消予定
Facebookは、上記に述べたような企業とのユーザーに関する情報を共有して、Facebookユーザービリティ向上に取り組んできた。
Facebookは文書で以下のように述べている。
さまざまなデバイス、オペレーティングシステム、およびFacebookやFacebookの経験を人々に提供する方法を提供したいと考えていた他の製品との統合を構築するために企業に従事してきました。
これらの統合は、私たちのパートナーが主導でユーザーのために構築されて来ましたが、(最終的には)Facebookによって承認された事でもあります。
同社はすでにこの52のパートナーシップのうち38件を中止し、今年の7月末までに7つのパートナーシップを終了し、今年の10月末までにもう1つのパートナーシップを終了する予定だという。
一方、ALSの人々がFacebookにアクセスできるようにするアクセシビリティアプリであるApple、Amazon、Tobiiを含む3社との提携は継続され、2018年10月以降の契約も継続するようだ。
LTEネットワークプロトコルに対する新たな攻撃を発見
Design Credits: Vecteezy!
LTEネットワークプロトコルに対する新たな攻撃が発見されました。
この攻撃手法を利用することで、携帯電話のネットワーク通信を盗聴したり、通信内容の改変、悪意のあるWebサイトへのリダイレクトが可能になるようです。
この記事では、今回発見されたLTEネットワークプロトコルへの攻撃手法を説明します。
4G LTEネットワークの脆弱性
ルール大学ポーフムとニューヨーク大学アブダビ校の研究者は、LTEに対する3つの新しい攻撃を開発しました。彼らのサイトで説明されている3つの攻撃は、すべてデータリンク層を悪用した攻撃です。
3つのうち、「識別情報の窃取」と「Webサイト閲覧履歴の窃取」の2つは受動的な攻撃であり、攻撃者は標的の携帯電話と基地局との通信を盗聴します。
しかし、「aLTEr」と呼ばれる3つ目のDNSスプーフィングは能動的な攻撃です。攻撃者が中間者攻撃を行うことにより通信を傍受し、DNSスプーフィングを使用して悪意のあるサイトへリダイレクトさせます。
aLTEr攻撃とは?
(aLTEr:DNSリダイレクション攻撃の概要。Breaking LTE on Layer Twoより)
LTEネットワークはAES-CTRで暗号化されていますが、完全性は保証されていません。
そのため、暗号化されたパケット内のビットを変更でき、後で平文に暗号化することもできます。
研究者は、以下のように述べています。
aLTEr攻撃は、LTEユーザデータがカウンターモード(AES-CTR)で暗号化されているが、完全性が保護されていないという事実を利用しているため、メッセージのペイロードを変更できる。暗号アルゴリズムには柔軟性があり、元の暗号文から他の暗号文に変更が出来て、解読して平文に出来る。
どのようにaLTEr攻撃が行われるのか?
動画では、攻撃者が標的デバイスのDNSリクエストをリダイレクトさせ、DNSスプーフィングによりHotmailのフィッシングサイトへアクセス出来ることを説明しています。
研究者は、ラボ環境内で商用ネットワークと商用電話を使用してaLTEr攻撃を行ったのです。
また、実際のネットワークとの意図しない通信を避けるため、通信を遮断するボックスを使用して通信を安定させました。
aLTEr攻撃自体は危険ではありますが、現実のシナリオでは実行するのは困難です。また、IMSI catchers, StingrayまたはDRTboxなどの攻撃者の半径1マイル(1.6km)以内で動作する約4,000ドル(44万円)の機器が必要になります。
ただし、これらの条件は諜報機関や資金力のある組織などにとっては些細なことではないでしょう。
LTEの脆弱性は今後の5G標準にも影響
5Gでは、今後様々な機器がIoT化されることを見据えた仕様になっています。
そのため、認証自体はサポートしていますが必須ではなく、ほとんどの通信事業者が実装するつもりがないため潜在的な脆弱性になる可能性があります。
LTEネットワークの欠陥は直接修正出来ない
aLTEr攻撃は、LTEネットワーク固有の設計上の欠陥を悪用しているため、パッチ適用をすることが出来ません。
研究者は、この攻撃を自身のサイトで公表する前にGSM Associationと3GPP (3rd Generation Partnership Projectに加え、他の電話会社にも通知しました。
電気通信業界の標準を開発している3GPPグループは、VerizonやAT&Tなどはすでに5Gプロトコルの実装を始めているため、アップデートが困難であると述べています。
どのようにaLTEr攻撃から守るのか?
aLTEr攻撃から守る簡単な方法は、アドレスバーに表示されるドメインがHTTPSドメインか常に確認することです。
研究者は、すべての通信事業者に対して2つの提案をしています。
- 仕様の変更
全ての通信事業が、AES-GCMや ChaCha20-Poly1305などの暗号化プロトコルを認証で使用するように仕様を更新し、この問題を解決する必要があります。しかし、この方法はすべてのデバイスの実装を変更しなければならないため現実的ではありません。 - HTTPS設定の修正
別の方法は、すべてのwebサイトがHTTP Strict Transport Security (HSTS) を採用することです。この方法は、ユーザが悪意のあるサイトへリダイレクトされることを防ぎます。
専用のwebサイト以外に、研究者はaLTEr攻撃に関する技術的な詳細をすべて網羅した研究論文を発表しています。全ての攻撃に関する技術的詳細は、来月5月に開催される2019 IEEE Symposium on Security and Privacyで発表される予定です。
[原文へ]
Thanatosランサムウェアの復号プログラムが公開。
・コンピュータがThanatos Ransomwareに感染した?
・身代金を支払ってもデータが復号化されない?
・ファイルをロック解除または復号化ツールを探している?
この記事では、Thanatosランサムウェアの対処法を説明していく。
Thanatosランサムウェアについて
Cisco Talosのセキュリティ研究者は、Thanatosのトランスクリプトコードに弱点があることを発見。
これにより、被害者が暗号化されたファイルを無料で解読できるようになった。
Thanatosランサムウェアについて
Thanatosランサムウェアは、他のランサムウェアと同様にファイルを暗号化する。
犠牲者にBitcoin Cashなどの複数の暗号化方式で身代金を支払うように要求し、ファイルを復号化するのだ。
Ciscoの研究者は以下のように語る。
Thanatosは既に複数のバージョンが誕生しており、攻撃者によって活用されている。つまり、積極的に継続開発され成長していく脅威であり、既に数多くのバージョンが世界各地に分散している。
Thanatosは、Bitcoin Cash(BCH)、Zcash(ZEC)、Ethereum(ETH)における身代金支払いをサポートしている。
感染すると、影響を受けるコンピュータ上のすべての暗号化されたファイル名の拡張子が.THANATOSに変更され、ユーザーがシステムにログオンしようとするたびに端末を人質に取り、返還のために身代金を支払わねければならない旨を示す画面がポップアップ表示される。
Thanatosの厄介な点は、各ファイルで別々の暗号鍵を使用している事だ。
つまり、たとえ犠牲者が身代金を支払っても、暗号化されたファイルが復号化される事はないのである。
無料のThanatos Ransomware解読ツールが公開
そこで、Cisco Talosのセキュリティ研究者はマルウェアコードを分析。
Thanatosが使用するファイル暗号化手法の設計に抜け穴を見つけ、犠牲者がファイルを解読するのに役立つ無料のトランザム解読ツールを開発した。
オープンソースの無料のransomware解読ツール、“ThanatosDecryptor”は、GitHubからダウンロードでき、Thanatosのバージョン1および1.1に対して正常に動作する。
Thanatosが使用した暗号化キーは、システムが最後に起動してからの経過時間(ミリ秒)に基づいて導出されているため、CiscoTalosのセキュリティ研究者はそのロジックをリバースエンジニアリングし、WindowsEventLogとブルートフォース攻撃を使用し同じ32ビット暗号化鍵を生成するプログラムを開発したのだ。
Cisco Talosの研究者は以下のように語る。
Thanatosは暗号化されたファイルのファイル作成日を変更しないため、感染までの主要な検索スペースを24時間以内に約ミリ秒にさらに短縮できる。
テストに使用される仮想マシンのベースラインであった1秒間に平均100,000回のブルートフォース試行で、これらの条件で暗号化キーを正常に回復するには、およそ14分かかる。
Thanatosに関する詳細については、Cisco Talosが公開した詳細なブログ記事を参照してもらいたい。
Ransomware攻撃から身を守る方法
ランサムウェアの主な拡散方法は、以下となる。
他の有名なランサムウェアである、Locky、CoinVault、Thanatos、TeslaCryptと同様である。
ランサムウェアの脅威から身を護るためには、電子メールで送られてきた文書ファイルを警戒し、発信元が確認できない限りその文書を開かないようにすべきである。
また、MS Officeアプリケーションでマクロが無効になっているかどうかを確認しよう。
もし有効になっている場合は、実行を無効化する。
また、感染した場合に有効なのは、データのバックアップである。
常にPCに接続されていない外部ストレージデバイスに重要な文書だけでも良いのでバックアップをとっておこう。
さらに、システムにアクティブな行動ベースのウイルス対策セキュリティソフトをインストールする。
Thanatosランサムウェアのようなマルウェアを検出してブロックしてからデバイスに感染させることができるようにし、常に最新の状態に保とう。
This article is originally titiled as "Free Thanatos Ransomware Decryption Tool Released" from The Hacker News, and translated by Yukio Ichinose (@0x31_nose)
18歳イギリス人少年に2年の懲役判決。米国政府要人を機密情報への不正アクセスや被害者、家族へ脅迫。
- Gamble(18歳)という少年がアメリカの政府要人のアカウントを不正入手
- 被害者、及び家族に対して脅迫を行なった
- Gamble氏に対して少年院における2年の懲役判決
イギリスの少年が、数名の米国政府職員のオンラインアカウントを乗っ取るなどした罪で、先週金曜日に2年間懲役刑を言い渡された。
少年の名は、Kane Gamble氏(18歳)という。
Gamble氏について
Gamble氏は、レスターシャー州に両親と暮らしており、前CIA局長のJohn Brennan(ジョン・ブレナン)、James Clapper(ジェームス・クラッパー)元国防長官、Mark Giuliano(マーク・ジュリアーノ)元FBI副長官をはじめ、その他上級FBI職員の電子メールアカウントをハッキングしたとされる。
Gamble氏は、”Cracka”というハンドルネームで、わずか15歳ながら”Crackas With Attitude(以下、CWA)”という、”パレスチナ擁護派”のクラッカーグループを起ち上げた。
CWAは、米国情報当局に対する一連のサイバー攻撃を行い、約20,000人のFBIエージェント、アメリカ国土安全保障省に勤める9,000人の職員、更には、2015年にはアメリカ司法省職員の個人情報の漏洩も行なった。
Gamble氏の起訴内容
2016年2月、イギリス・Coalvilleの自宅にて逮捕され、昨年10月に以下の罪状で起訴された。
- 「無許可アクセスを維持する活動を行なった」
- 「コンピュータに関わる情報を不正に変更しようとした」
本年1月の時点で、Gamble氏に対する判決は延期されていた。
しかし先週金曜日の午後、ロンドンのオールド・ベイルリー中央刑事裁判所は、Gamble氏に対して、青少年拘置所で2年間の労働を課したとBBCは報じている。
裁判所の聴聞会中、Gamble氏の弁護士は「Gambleは”ナイーブ”、個人に対して危害を加えるつもりはなかった」と主張。
しかし、裁判官は「Gamble氏が行なった事は、政治的に動機付けされた非常に許しがたいキャンペーンである」とした。
Gamble氏が行なった事とは
Gamble氏は数々の犯行を犯したようだが、その具体例を挙げていく。
インテリジェンス文書へのアクセス
2015年6月〜2016年2月の間、前CIA局長Brennan氏を装い、コールセンターやヘルパーのスタッフに対してソーシャルエンジニアリングを行なった。
その際Gamble氏は、ブロードバンドとケーブルのパスワードを盗み、CWAのクルー達に共有。
アメリカの、アフガニスタンとイランにおけるインテリジェンス活動が記載された機密文書へアクセスを行なった。
被害者家族への脅迫・嫌がらせ
Gamble氏は、被害者の家族に対する脅迫電話、膨大な件数にのぼるメール送信を行なった。
更に、被害者及びその家族の個人情報を公開したり、ポルノ動画のダウンロードを行なったり、iPadやTVの遠隔操作も行なったようだ。
前CIA局長のBrennan氏に対しては、自宅に脅迫電話をかけ、夫人のiPadへのアクセス権限を取得。
アメリカ合衆国国土安全保障省の秘書・ジョンソン氏には、同氏の娘の写真と共に、「彼女に対して危害を加える」という内容の脅迫メールを送信。
Gamble氏は、ジョンソン氏の妻に電話をかけ、「やあ君達、怖がっているかい?」という留守番電話メッセージを残した。
更に、「I own you」というメッセージをジョンソン氏の自宅のテレビに表示した。
Gamble氏の動機とは
Gamble氏は、一連の犯行を行なった事に対して、以下の様に述べている。
「米国政府の腐敗と冷徹さに対して嫌気が刺しており、自分から行動を起こすことに決めた」
また、過去の報告によれば、Gamble氏は自閉症スペクトラム障害を患い、12歳または13歳相当の精神発達状態だったとされる。
Gamble氏の弁護側は金曜日、執行猶予を求め、「6月にGCSEテストを受け、大学でコンピュータサイエンスの研究に取り組み、「有用な」キャリアを追求することができる」と主張。
尚、CWAのメンバーであったAndrew Otto Boggs氏と、Justin Gray Liverman氏は、2016年9月にFBIに逮捕され、すでに連邦刑務所でそれぞれ2年、5年の懲役判決を受け、服役している。
-
15-Year-Old Schoolboy Posed as CIA Chief to Hack Highly Sensitive Information
-
Two years for teen 'cyber terrorist' who targeted US officials - BBC News
-
UK teen Kane Gamble gets two years for hacking CIA ex-chief John Brennan | News | DW | 20.04.2018
-
Kane Gamble, teenager who hacked CIA chief, is detained | News | The Times
-
British Schoolboy Who Hacked CIA Director Gets 2-Year Prison Term
LinkedIn AutoFillを悪用してユーザーデータを収集。LinkedIn社は直ちに修正済み。
シカゴの18歳のバグハンターは、LinkedInのソーシャルボタンに脆弱性があることを報告した。
この脆弱性は「LinkedIn AutoFill」に存在した。
LinkedInプラットフォームの機能で、一部の公的求人ポータルまたは私的な求人アプリケーションページにある「LinkedInでオートフィルする」ボタンに機能する。
このボタンは、求人申込書に追加するためのもので、押されると、LinkedInウェブサイトへのクエリを作成し、ユーザーのデータを取得し、ジョブ・アプリケーション・フォームに埋め込む。
ボタンを拡大したページ全体を覆う
このボタンは便利で便利だが、先週、セキュリティ研究者のJack Cable氏は、どのWebサイトでも秘密のユーザーデータ収集操作を悪用する可能性があることを発見。
同氏は、本日発表されたレポートでは、どのWebサイトでもこのボタンを秘密裏に埋め込み、いくつかのCSS設定を調整してボタンのサイズを変更し、画面全体をカバーするのである。
このタイプの悪質なウェブサイトを訪れるどのユーザも、ページ上のどこかを最初にクリックしたときに、無関係にLinkedIn情報を、攻撃者に送信する事になるのだ。
この仕組みを悪用すれば、先日、Facebookを使ったケンブリッジアナリティカのように大規模なデータ収集が行われる可能性がある。
この脆弱性のProof of Concept
エクスプロイト手順
Cable氏自身が公開しているブログに掲載されているPoC手順は以下。
- ユーザーが悪意のあるサイトにアクセスすると、LinkedInのオートフィルボタンiframeが読み込まれる。
- ユーザーには見えないようスタイルで、iframeはページ全体を占有する。
- ユーザーはページ上の任意の場所をクリック。すると、LinkedInはこれをAutoFillボタンが押されたと解釈し、postMessage経由で悪質なサイトに情報を送信する。
- サイトは、次のコードを使用してユーザーの情報を収集する。
また、Cable氏は、本脆弱性のPoCとしてデモサイトを公開している。
デモサイトは、一見すると何の変哲も無い静的なHTMLサイトである。
実はLinkedIn Autofillボタンをがされており、ページをクリックするとアラートメッセージが表示される。
LinkedInは直ちに修正
Cable氏は4月9日にLinkedInのセキュリティチームに通知。
暫定処置としてLinkedInセキュリティチームは、「Autofill with LinkedIn」ボタンを押す事によってユーザー情報が送信される先を、信頼できるドメインに限るホワイトリスト方式に変更した。
Cable氏は、今日(米国時間5/15)LinkedInは、この報告書を発表した直後に、根本的な修正をリリースしたと語った。
リリースされた修正は、自分の情報の共有を承認するよう警告する”アラートメッセージ”である。
>こちらのページで試行可能(LinkedInのコンタクトセールスの公式ページ)
LinkedInの公式回答
LinkedInは、公式回答をTech Crunchに対して行なった。
以下に、公式回答のエッセンスだけ抜粋して翻訳・引用する。
私たちはすぐにこの問題を認識し、同機能の不正使用を直ちに防止する対策を講じました。 更に、他にも潜在的なセキュリティインシデントに繋がる脆弱性に対する別の修正を進めており、間もなく適用される予定です。 本件に関してエクスプロイト兆候は見られませんでしたが、メンバーのデータが確実に保護されるように常に努めています。今回は、リサーチ担当者に責任感を持って報告していただきありがとうございます。セキュリティチームは今後も引き続き連絡を取り合っていきます。
本件に対する対策を簡潔に申し上げると、LinkedInオートフィルを全ドメインに開放するのではなく、承認された広告主を登録したホワイトリスト・ドメインでのみ動作します。該当ドメインに対しては、引き続きAutofillボタンを使って、LinkedInプロフィール欄に記載されているプロフィールを入力する事が出来ます。
Cable氏について
Cable氏は、今回のLinkedInの問題を発見する以前、17歳の時にHack the Air Forceバグバウンティプログラムに参加した経験を持つ。
その際、彼は40個ものバグを発見し、同プログラムにおいて一位に輝いた。
以下はその時のニュース記事。
「マーケット感覚を身につけよう---「これから何が売れるのか?」わかる人になる5つの方法(by ちきりん)」を読んだら、私の現況と目標を省みるいい機会になった。
ちきりんさんの『「マーケット感覚を身につけよう---「これから何が売れるのか?」わかる人になる5つの方法』という本を読んだ。
感想を1言にすると、「本書を通読して、自分の状況を省みる良い機会になった。」
同書の内容については本書を買って読めばいいし、恐らく他のブログでも多くの人が文章を引用しながらレビュー(というかコメント)していると思う。
そこで、この記事では、私が本書を読みながら頭に浮かんだ事、そうした項目について一歩踏み込んで考えた事を綴っていく事にする。
本書を手に取った背景
最近、大学院進学のためにサイバー戦争に関する書籍を読む機会が多かった。
当ブログでも2冊、「第五の戦場」サイバー戦の脅威や、サイバーインテリジェンスなどブックレビュー記事を書いた。
「全く研究分野に関係のない小説でも読もうか」と思って、なんとなくブックオフに入ってみたら、単行本半額セールの棚に本書が置いてあった。
ちきりんさんは結構前からTwitterでフォローしていて、ちきりんさんのブログ記事も少なからず読んでいたし、ちきりんさんの「中の人(らしき人)」が書いた本も過去に読んだ事があった。
なので、「この本が480円なんだ・・・!お買い得!」と思って手に取った。
本書を通読しながら考えた事
私が受け取ったメッセージ
題名からもある通り、読者にマーケット感覚を身に着ける事を一貫して促している。
ざっくり言えば、以下の様なメッセージを受け取った。
- これまで価値があると思っていた事が急速に価値がなくなり、反対にこれまで無価値と思われていた事に価値が生まれる
- 「論理的思考」だけじゃ捉えきれない価値があり、自分のアタマを使って想像力を働かせ「モノやコトの価値」を見出そう。
このブログの価値について考えた
会社という組織に属する傍ら、自分自身をマーケットに晒して市場からフィードバックを得る手段として私はブログとTwitterを使っている。
このセクションでは、当ブログがアプローチする問題と、提供する価値に関して考えていく。
当ブログがアプローチする問題とは
ブログを起ち上げる前には、以下の問題意識があった。
- 「英語で書かれたリソースが多く、それらを直接自分で読んだ方が効率が良い」
- 「翻訳のクオリティが低くて内容が全く頭に入ってこない」
- 「ニュースが翻訳されるまでのスピードが遅くて実務に活きない」
- 現場で働くセキュリティプロフェッショナルは非常に忙しく、辞書を引きながら英語ニュースを読んでる時間はない。
当ブログが提供する価値とは
これら問題に対して私が何が出来るのか考えた時に、以下の事を思った。
- 日本語メディアの「どこよりも早く」セキュリティニュースを「分りやすく」翻訳するメディアがあれば、何らかの価値があるはずだ
- 悲しいかな、日系企業の職場で全く活かされない私の英語力は、自分がメディアを作って事で活かせばいい
そうした背景から、私は当ブログ「忙しい人のためのサイバーセキュリティニュース」を2017年10月頃に起ち上げた。
それ以来、海外セキュリティニュースの要約・翻訳をしつつ、自分の意見を記事の中に自然に織り交ぜて情報発信している。
実際にセキュリティの現場で働く人達もTwitterでフォローしてくれたり、ブログを読んで仕事の役に立つ事がある旨をコメント、TwitterでのDMやリプで伝えてくれる。
今後私が目指すこと
「どっちもやればいい」
ちきりんさんは本書の中で学校で学ぶよりも、マーケットに身を置いてフィードバックを得ながら学んだ方が効率が良いと言っているが、自分は「どっちもやれば良い」と思っている。
更に、自分の目標として掲げるリサーチャーとしての仕事はもとより、海外移住する際のビザ取得の為には、(無論、今後変わっていく事を願いつつも)現状では修士、更には博士といった称号があれば移住ビザ取得が有利になる事が多い。
したがって私は、ちきりんさんの言葉でいう「マーケット感覚」を、このブログやブログを通して繋がるセキュリティプロフェッショナルとのやり取りを通して培っていきたい。
その傍ら、アメリカの大学院に進学したいと思っている。
(「アメリカの大学院進学という目標」へのアプローチに関しては水面下で着々と進めているので、一段落したら情報共有の意味で記事にする。)
「研究者バックグラウンドのエントレプレナー」は1つの目標
プロフィールでも書いているが、セキュリティ分野におけるリサーチャー(研究者)になりたいと思っている。
この分野で活躍しているセキュリティリサーチャーは沢山いるのだが、目標の1つはGary McGrawだ。
GaryのPodCast「Silver Bullet Podcast」で、「セキュリティ業界には現場で頑張っている人は沢山いるが、もう少しアカデミックなアプローチを取る研究者もいていいと思う」という1言で「俺にはこの道だ!」と直感した。ただそれだけだ。
Gary凄いところは、Computer Scienceで博士号を取った後、アカデミアに留まらずにセキュリティコンサルタントとして数多くのIT企業のセキュリティ診断&コンサルをしてきた事。
アカデミアで研究される事をマーケットに対して貢献し、市場のフィードバックを受け、更に研究に活かしていくサイクルを築きあげたいと思っている。
「Cybersecurity Tech Accord」。Microsoft社のC.L.O「デジタル・ジュネーブ合意」。
今週火曜日(2018/04/17、アメリカ西海岸時間)に、RSAカンファレンスにおいてCybersecurity Tech Accord(サイバーセキュリティ・テック・合意)に32社ものITに企業がサインした。
Cybersecurity Tech Accordは、IT企業がいかなる理由や動機を背景に行われるサイバー攻撃の幇助をしない事を合意する為にMicrosoft社のC.L.O(最高法務責任者)であるBrad Smith氏を中心に作成されたとされる。
合意に記載されているサイバーセキュリティに関わる原則事項は、IT業界内で共有されてきた事項ではあるが、明文化し、合意を行うことでより実効性を持たせるものとなった。
(尚、翻訳版を作成したのでコチラからご覧ください。)
”デジタル版”ジュネーブ合意
Smith氏は、この合意を「デジタル・ジュネーブ合意」と捉えているようだ。
ジュネーブ合意とは過去に「アメリカと北朝鮮の間における非核化」や、「イスラエルとパレスチナにおける平和の樹立」等を定めたジュネーブで行われた合意を意味する。
何故ジュネーブという名前がつくのかというと、中立国であるスイスが調停者となって進めてきたからだ。
今回はスイスが調停者として間に入った事実はないが、Smith氏は「それほど意義のある合意」として捉えているのだろう。
サインしたIT企業のリスト(アルファベット順)
- ABB
- ARM
- AVAST
- BITDEFENDER
- BT
- CA TECHNOLOGIES
- CISCO
- CLOUDFLARE
- DATASTAX
- DELL
- DOCUSIGN
- FASTLY
- FIREEYE
- F-SECURE
- GITHUB
- GUARDTIME
- HP INC
- HPE
- INTUIT
- JUNIPER NETWORKS
- MICROSOFT
- NIELSEN
- NOKIA
- ORACLE
- RSA
- SAP
- STRIPE
- SYMANTEC
- TELEFONICA
- TENABLE
- TRENDMICRO
- VMWARE
Apple, Amazon, Googleは不在
巨大IT企業として知られるApple, Amazon, Googleは今回の合意にサインしていない。
今後この3社が参加するのか、注目していきたい。
Cybersecurity Tech Accord(サイバーセキュリティ・テック合意)全文翻訳版
Cybersecurity Tech Accord(サイバーセキュリティ・テック合意)は、インターネット市民の保護・エンパワーメントを行い、サイバー空間におけるセキュリティ、安定性、レジリエンスを向上させる目的を持つ34のグローバル企業の間で行われた合意です。
あらゆるユーザーと顧客の保護
オンライン世界は、グローバル社会にとって不可欠なものとなり、公共インフラだけでなく私達の生活のあらゆる場面で重要なものとなりました。
将来的にも、新しいオンライン技術が創出され、教育現場や医療現場の改善、農業、ビジネスの成長、雇用の創出、環境の持続可能性への取り組みに至るまで、現代社会における様々な重要課題にアプローチしていくでしょう。
しかし、近年発生した数々の事件がオンラインセキュリティを危険にさらしています。
犯罪から地政学的なモチベーションに突き動かされた、悪意ある攻撃者達は、経済的損害を与えたり人命を危険にさらす等の行為によって、オープンで自由かつ安全なインターネットの信頼を損なっています。
そのようなデータ、プロダクト、サービス、及びネットワークの可用性、機密性、完全性を損なう攻撃に対して、我々はこれまでの姿勢を改め、手を取り、継続的に警戒し、サイバーセキュリティに対する新たな取り組みを始めなければなりません。
オンライン環境を保護することは、誰にとっても重要なことです。
したがって我々は、オンライン技術を開発し運用する企業として、オンライン技術がもたらす社会的利益を守り、成長させていくことを約束します。
さらに、我々は責任を持ってユーザーと顧客の保護と、エンパワーメントに取り組み、サイバース空間におけるセキュリティ、安定性、およびレジリエンスを向上させることを約束します。
これらの目的を達成するために、我々は以下の協定を採択しました。
1. あらゆるユーザーと顧客の保護
- 我々は、個人、組織、政府関係者が行うサイバー攻撃から、すべてのユーザーと顧客を保護するよう努めます。それは犯罪目的や地政学的動機、更に攻撃者のバックグラウンド等を起因とした攻撃であっても関係ありません。
- 我々は、セキュリティ、プライバシー、完全性、信頼性の向上を最重要視して製品とサービスの設計、開発、提供します。それと同時に、我々の製品やサービスにおける脆弱性の発生頻度、影響度、悪用可能性を減らします。
2. 無実のユーザーや企業に対するあらゆるサイバー攻撃への反対
- 我々は、プロダクトやサービスの開発、設計、配布、使用のあらゆるプロセスにおける改ざん、データのエクスプロイトからユーザーを保護します。
- 我々は、政府が無実のユーザーや企業に対してサイバー攻撃を引き起こす際の幇助を致しません。
3. ユーザー、顧客および開発者のサイバーセキュリティ保護・強化を奨励
- 我々は、ユーザー、顧客、及びより広い開発者のエコシステムに対して、現在や将来に起こる脅威の理解を促し、脅威から身を守るための適切な情報とツールを提供します。
- 私たちは、サイバー空間における安全保障を推進し、先進国や新興国におけるサイバーセキュリティ能力を構築しようとする市民社会、政府、国際機関のサポートを行います。
4. サイバーセキュリティを強化する為に互いに協力する
- 我々は、相互に協力し合い、技術協力、脆弱性情報の公開、脅威の共有を改善するために、エンタープライズやオープンソースに関わらず、あらゆる業界、市民社会、セキュリティ研究者と公式、又は非公式にパートナーシップを築きます。その目的は、技術協力を促進し、脆弱性情報の公開と脅威情報の共有を促し、サイバー空間で悪意のあるコードを減らす為に行われます。
- 我々は、サイバー攻撃の特定、防止、検出、対応、復旧のために、世界規模で情報共有と民間の取り組みを促進し、グローバル規模のテクノロジーエコシステムにおけるセキュリティを高めるために柔軟な対応を行います。
この技術協定の実施を通じて、有意義なパートナーシップが確立されるように、我々は、この協定をさらに推進するための活動を続けていきます。また、この取組みにおける進捗状況について公表を行います。
>Cybersecurity Tech Accord原文はこちら
”Roaming Mantis”。Wifiルーターをハッキング、Android端末にChromeを装うトロイの木馬を入れさせるマルウェア。
カスペルスキーのセキュリティ研究者は、ユーザーの機密情報、ログイン資格情報、二要素認証の秘密コードを盗むAndroidバンキングマルウェアを配布するマルウェアキャンペーンに関する注意喚起を行っている。
このマルウェアは、インターネットルーターをハイジャックしてターゲットに被害を及ぼす。
この記事では、以下のポイントでこのマルウェアに関して解説していく。
- マルウェアの概要
- 被害状況など
マルウェアの概要
このマルウェアは、”Roaming Mantis”と呼ばれる。
悪意のある攻撃者は、脆弱で安全性の低いルータでDNS設定を乗っ取り、Androidユーザーを騙してマルウェアをインストールさせる。
このDNSハイジャック攻撃により、ハッカーはトラフィックを傍受し、Webページに不正な広告を送り、ログイン資格情報、銀行口座の詳細などの機密情報を共有するように欺くように設計されたフィッシングページにユーザーをリダイレクト出来るのだ。
以前にも存在したDNSハイジャック攻撃
悪意のある目的のためにルータのDNSをハイジャックすることは何も今に始まったことではない。
例えば、以前はDNSChangerとSwitcherが存在した。
これらのマルウェアは、ワイヤレスルーターのDNS設定を変更して、攻撃者によって制御される悪意のあるWebサイトにトラフィックをリダイレクトした。
Roaming Mantisの手口とは
カスペルスキーのセキュリティ研究者によって発見された”Roaming Mantis”を配布するキャンペーンの手口に関して述べる。
悪意のある攻撃者によって不当に設定されたDNSは、犠牲者を訪問しようとする正当なウェブサイトの偽のバージョンにリダイレクトさせる。
その際、以下のようなポップアップアラートメッセージを表示する。
"To better experience the browsing, update to the latest chrome version."
”閲覧効果を良く体験するために、最新chromeバージョンへ更新して下さい。”
尚、このマルウェアキャンペーンは、以下のアジア諸国のユーザーを対象に拡散しているようだ。
- 韓国
- 中国
- バングラデシュ
- 日本
その根拠は、以下のアラートメッセージに関するソースコードである。
見たところ、OSの言語設定を読み取るコマンドが記述されており、ハングル、簡易中国語、日本語、英語に対応している事が見て取れる。
ポップアップメッセージを表示した後、Chromeブラウザを装ったRoaming Mantisをインストールする。
この時にダウンロードされるのは、Android Trojan-Bankerを含む以下の2つのトロイの木馬である。
ユーザーがRoaming Mantisを起動すると、以下のパーミッションを求めてくるようだ。
このウィンドウで「NEXT」を押下すると、"Account No.exists risks, use after certification."というメッセージを表示する。
Googleの公式アプリであれば、ここまで文法がメチャクチャで意味の伝わらない英文を表示する事はないだろう。
このアラートメッセージにある「ENTER」を押下すると、Google Chromeに似せたウインドウが表示され、ターゲットのGoogleアカウント情報の入力を要求する。
前段階でユーザーの端末情報にアクセスする許可を与えているので、ユーザーのGmailアカウント情報を取得、表示している事が分かる。
これは言うまでもなく、ユーザーを信じ込ませる為の1つのトリックであろう。
尚、ユーザーの入力を要求するページのアドレスは、”http://127.0.01:${ランダムなポート番号}/submit”である。
ユーザーからパーミッションを得た際にSMSを閲覧する許可をRoaming Mantisは受けている。
このページで名前と生年月日を入力すれば、攻撃者はユーザーアカウントのパスワードを公式ページでリセット出来るのである。
つまり、二段階認証を突破できるのだ。
その他被害状況について
このマルウェアの興味深い点は、主要な中国ソーシャルメディアのWebサイト(my.tv.sohu.com)をC2サーバーとして使用する点と、攻撃者が制御するユーザープロファイルを更新するだけで、感染したデバイスにコマンドを送信する点だ。
また、以下の表を見ればわかるように、改良されたバージョンも既に確認されており、改良版ではbaidu[.]comをC2サーバーとして使い、Base64のエンコードに加えてzlibによる圧縮を行っているようだ。
カスペルスキーが公開したデータによれば、Roaming Mantisのマルウェアは6,000回以上検出されたが、感染被害はわずか150人のユニークユーザーに留まった。
対策方法
感染の被害を防ぐためには、端末で接続するルーターが最新バージョンのファームウェアを実行していて、強力なパスワードで保護されていることを確認するといいだろう。
またルーターの管理者は、ルーターにあるリモート管理機能を無効にし、信頼できるDNSサーバーをオペレーティングシステムのネットワーク設定にハードコードすべきである。
”Drupalgeddon2”ーーエクスプロイトすればサイト乗っ取りも可能な脆弱性。
2週間前に、Drupalのセキュリティチームは、悪用すると攻撃者が脆弱なWebサイトを乗っ取る脆弱性を発見した。
その名も、Drupalgeddon2である。
Drupalgeddon2をエクスプロイトするPoCコードも公開されており、影響を受ける人はDrupalから公開されているパッチ当てを急ぎたい。
今回のニュースを読んで、私は恥ずかしながらDrupalすら知らなかったので、それらを調べつつ今回の脆弱性に関して後学の為にまとめた。
最下部に参考URLをまとめているので、更に詳細を知りたい人はリンクを辿って欲しい。
尚、本記事では以下のポイントに絞って解説していく。
それでは参りましょう!
そもそもDrupalとは
DrupalはContents Management System(CMS)の一種だ。
簡単に言えば、Wordpress、Movable Type、Joomla!のようにウェブサイトを運営する際に使用するオープンソースのソフトウェアである。
インターネット上にサイトを設置したい企業や個人がDrupalを使用して、ホームページやブログなどのウェブコンテンツを公開する事が出来るのだ。
Weebly等のWebコンテンツ公開サービスを使わずとも、各々の状況に合わせて拡張機能などを追加する事したり、各々の状況に合わせてデザインをカスタマイズ出来る事から海外を中心に人気を博しているようだ。
個人的な実感では、日本ではWordpressやMovable Type等のユーザー数の方が多く、Drupalでサイト運営をしている人はあまりいないと思う。
”Drupalgeddon2”というコードネームについて
今回公表された脆弱性には、”Drupalgeddon2”というコードネームが付けられている。
Drupalgeddonというコードネームは、「Drulpal」と「Armageddon(アルマゲドン)」をくっつけた造語である。
アルマゲドンが、”最終戦争”や”世界の破滅”という状態を意味する言葉である事から、Drupalにとって、この脆弱性が悪用される事で、「非常に壊滅的な状態に陥ってしまう」事を示している。
Drupalgeddonを発音する際には、Drupalの”L”の発音を省略して、「ド(ゥ)ルーパゲドン」と読めばいい。
尚、今回の脆弱性が”Drupalgeddon2”、つまり「Drupalgeddonの2番目」と呼ばれているのは、一番目となる”Drupalgeddon”が存在したからである。
一番目としてのDrupalgeddonは、2014年10月に発見された脆弱性(CVE-2014-3704)である。
攻撃者はDrupalgeddonを悪用してSQLインジェクションを行い、ターゲットシステムにおいて権限昇格を行う事が出来た。
脆弱性の概要
Drupalの公式ホームページに掲載されているセキュリティ・アドバイザリ(sa-core-2018-002)にはDrupalgeddon2に関する概要が記載されている。
以下は、その概要の翻訳版である。
説明
Drupal 7には、データベース抽象化API(Database Abstraction API)が含まれている。
SQLインジェクション攻撃を防ぐためにデータベースに対して実行されたクエリをサニタイジングする為だ。
このAPIに脆弱性が存在し、攻撃者は細工されたリクエストを送信し、任意のSQLコマンドが実行されてしまうのだ。
リクエストの内容によっては、権限昇格、任意のPHP実行、またはその他の攻撃を引き起こす可能性がある。
また、この脆弱性は、匿名ユーザーによって悪用される可能性がある。
UPDATE:このセキュリティ勧告のリリースに伴い、複数の不正利用が報告されており、アドバイザリがリリースされた直後に更新されなかったDrupal 7サイトが侵害される可能性がある。
影響範囲は、Drupalの全バージョン(6〜8)に対して影響がある。
CheckPointが公開した情報によれば、フォームAPI(FAPI)AJAXリクエストを介して渡されたInputのサニタイジングが不十分な事が原因のようだ。
攻撃者はエクスプロイトに成功すると、ユーザー認証なしで悪意のあるペイロードを内部フォーム構造に注入、実行出来る。
この脆弱性を利用することで、攻撃者はDrupalを利用するユーザーのウェブサイトにおける全権限を取得できる。
現在の状況
Drupalの対応
この脆弱性に対処するために、Drupalは直ちにDrupal CMSのアップデート版をリリースした。
また技術的詳細を公開するにあたって、攻撃が頻発する前に同社のCMSプラットフォームを使用する100万以上のサイトでパッチあてが行われるよう時間を稼いだ。
CVE番号付与&PoCコードの公開
2018年4月11日、Check PointとDofinityのセキュリティ研究者は、この脆弱性に関する技術的詳細(CVE-2018-7600)を公開。
更に、ロシアのセキュリティ研究者がGitHubのDrupalgeddon2のPoC(proof-of-concept)コードを公開した。
PoCコードは、以下にあるSANS ISCのページから閲覧できる。
>>Drupal CVE-2018-7600 PoC is Public - SANS Internet Storm Center
攻撃の状況
日本
JPCERTによれば、日本における攻撃は未だ確認されていないが、探索行動はハニーポットで確認されている。
海外
Sucuri、Imperva、SANS Internet Storm Centerの研究者らは、PoC攻撃が公開された直後に、Drupalgeddon2を悪用した攻撃の試みを観測した。
We are seeing attempts for the Drupal RCE (CVE-2018-7600) in the wild now: https://t.co/1tfpH08Ohb
— Daniel Cid (@danielcid) 2018年4月12日
Expect that to grow with the new exploits being shared publicly:https://t.co/V1C0E5hi4W
Also, good read from from CheckPoint explaining it:https://t.co/iD44ZRjOtG
Patch now!
だが、実際にウェブサイトがハッキングされたという報告はまだ出ていない。
対策
脆弱性のあるバージョンのDrupalを実行しているサイト管理者は、悪用を防ぐために、CMSをDrupal 7.58またはDrupal 8.5.1にできるだけ早く更新するべきである。
また、この脆弱性は2016年2月以来Drupalによるサポートは終了したDurupal 6にもパッチが提供されている。
- Database abstraction layer - Wikipedia
- Drupalgeddon | Drupal.org
- SA-CORE-2014-005 - Drupal core - SQL injection | Drupal.org
- Drupal core - Highly critical - Remote Code Execution - SA-CORE-2018-002 | Drupal.org
- FAQ about SA-CORE-2018-002 | Drupal Groups
- Database abstraction layer - Wikipedia
- Drupal の脆弱性 (CVE-2018-7600) に関する注意喚起(JPCERT)
追記:
以下、初稿投稿後に出てきた情報を追記していきます。時間の都合上、一旦ツイート貼り付けておいて、記事に説明文入力していきます。ご了承下さい。
カスタムシグネチャ
Drupalの脆弱性、CVE-2018-7600/SA-CORE-2018-002についてですが、Drupal7を狙った攻撃についてもこれだと検知できるのでは?というSignatureを作成(更新)しました。NSP向けです。
— hiro_ (@papa_anniekey) 2018年4月18日
Drupal core Remote Code Execution Vulnerability(CVE-2018-7600SA-CORE-2018-002).ziphttps://t.co/IXKOGiAt1R
マイニングスクリプトの埋め込みが発生
Drupalgeddon2
— Yukio “Ichi” Ichinose (@0x31_nose) April 18, 2018
・割合→ 90%: IP scan、3%: バックドア感染試行、2%: クリプトマイナー
・Drupalの脆弱性を突いてMoneroマイナーを埋め込んだ。
・minexmr[.]comのプールを使用。
・544.74 XMR($105,567)を稼いだグループもいる。 https://t.co/AJBrLvkSAO
攻撃が多発してメンテ中に陥るサイトもちらほら
urlを踏んでみた結果
— 箱入り (@maple1st) April 19, 2018
もしこれがdrupalgedon2によるものなら
分かりやすいフェイクアラートだけではなく
サーバにバックドアが置かれてる可能性もあるので
運営には入念にチェックして欲しいですね pic.twitter.com/WPGKt2biSK
三井物産セキュアディレクションによるレポート
(もはやこれだけ読めば全てわかるってレベル。いつか自分もこんな風に脆弱性をまとめられるようになりたいです。)
"Protonmail" ーーMr. Robotでエリオットが使用する完全暗号化電子メールサービス。
この記事では、世界中の多くのハッカーが愛してやまないアメリカドラマ『Mr. Robot』の中で使われる手法に関して解説していく。
ドラマの中で、エリオットが完全に暗号化されてプライバシー保護されたEメールを送信するシーンがある。
エリオットは、経験豊富で技術に精通したハッカーとして、決してGmail、Hotmail、Yahoo!メールを使用しない。
代わりに、彼は最も安全な電子メールシステムを使用している。
ProtonMailだ。
GoogleとNSAがすべての電子メールを傍聴できる現代社会で、真に安全な電子メールサービスは絶対に必要だ。
フリーメールを提供する各社は、自社のサービスの安全性を宣伝している。
しかし、ハッカー達がサーバーを検査した結果、実は欠陥が存在し、セキュリティ侵害を受ける可能性があることが判明している。
ProtonMailについて
ProtonMailは、NSAのワールドワイド・サーベイランス(WWS)プログラムに関するエドワード・スノーデン(Edward Snowden)の協力を受けて、2013年に生まれた。
CERNとは、世界最大の原子核研究施設であり、とりわけWorld Wide Webの開発に多大な貢献した経歴がある。
ProtonMailがスイスに拠点を置くのは、いくつかメリットがある。
第一に、EUは米国よりも厳格なプライバシー基準を持つ点だ。
スイスはEUのメンバーではないが、ヨーロッパは、現在米国で批准されているプライバシーポリシーよりも、遥かに尊重している。
第二に、スイスはおそらくヨーロッパ全土で最も厳格なプライバシー基準を持つ点だ。
スイスは、その中立性から、銀行口座の逃避先として知られており、個人のプライバシーを保護する法律が定められている。
第三に、スイスは米国およびEUの法的管轄外にある点だ。
これにより、プライベート電子メールサーバーのほぼ完全な物理的な場所になるのである。
ProtonMailは電子メールユーザーに完全な匿名性を与えるように設計されている。
この匿名性を達成するために、以下の機能が備わっている。
- エンドツーエンドの暗号化
- 電子メールはブラウザで復号化される。アカウントを開くために電話番号や別のメールアドレス(あなたの身元を追跡するために使用される可能性のあるアカウント)は必要ない。
- 有効期限の設定
- 数日後(数時間後)にメールの有効期限が切れるように設定出来る。
- ログの不保持
- ProtonMailの管理者でさえあなたの電子メールを読むことは出来ない。プライバシー尊重をする中立国に位置している為、あらゆるユーザー情報を第三者に提供することはない。
ProtonMailは、以上に挙げたセキュリティ機能を持つ事から、世界中の人たちから非常に人気がある。
現在、全世界で25万人を超えるユーザーを抱えており、今後も成長していくだろう。
この急速な成長のために、アカウントを取得するためにしばらく時間がかかるかもしれない。
なぜなら、最初にアカウントを作成する意思を告げる”リクエスト”を行う必要があるからだ。
もしProtonmail側でリクエストが承認されれば、アカウント開設許可メールがリンクとともに送られてくる。
もともとはクラウドファンディングで資金提供を受けたProtonMailは、最近になって事業拡大を図るためにベンチャーキャピタルから事業投資を受け取った。
Protonmailのアカウントを取得する
追記(2018/04/16):
※尚、今回のチュートリアルでは、一般ブラウザでアクセス出来るprotonmail.comでのアカウント登録方法を示す。
Protonmailは、匿名ブラウザ”Tor”での運用も対応しているので、より匿名性を高めたい場合はTorブラウザをインストールして、以下のページにアクセスし、ページ内に記載されているURLからonionサイトにアクセスし、アカウント登録を行なって貰いたい。
(Neutral8✗9eR[@0x009AD6_810]さん、ご指摘ありがとうございましたm(__)m)
>>ProtonMail - Tor Hidden Service
それでは、実際にProtonmailのアカウントを取得してみよう。
ステップ1:Protonmailにアクセスする
まずはProtonmailのトップページにアクセスし、「暗号化された電子メールアカウントを取得」をクリックする。
ステップ2:アカウントを作成
Protonmailには以下の4つのプランがある。
- 無料・・・機能限定の基本アカウント
- PLUS・・・高度な機能とセキュリティで保護された電子メール
- VISIONARY・・・サポーターのための特別のアカウント
- BUSINESS・・・企業用の暗号化メールサービス
この記事では「無料」アカウントの設定を行なっていく。
尚、有料プランを使う場合は、USD(米ドル)、EUR(ユーロ)、CHF(スイスフラン)での支払いに対応している。
上記の画面で”SELECT FREE PLAN”をクリックすると、ロード画面を表示した後、以下の画面に遷移する。
「任意のユーザーアカウント」、「パスワード」、「リカバリー用Eメール」を入力して、「CREATE ACCOUNT」をクリックする。
尚、メールアカウントのドメインは以下の2つから選択できる。
- "@protonmail.com"
- "@protonmail.ch"
ステップ3: アカウント登録を完了する
以上のページで「CREATE ACCOUNT」をクリックすると作成したアカウントに特有の暗号化鍵が生成されているページが表示される。
その後、人間である事の認証を行うページに遷移する。
以上のページで「COMPLETE SETUP」をクリックすると、以下のようにアカウント設定プロセスが完了する。
すると、たった今作成したアカウントのメールボックスが表示される。
ステップ4:セキュリティ設定
一番上のバーの「SETTINGS」をクリックする。
以下のダッシュボード画面が表示されるので、左メニューから「KEYS」をクリックする。
すると、以下のようなページが表示され、Protonmailで使用されている公開鍵をダウンロードすることが出来る。
補足:メールの有効期限
ProtonMailの機能の1つとして、電子メールの有効期限機能設定をすることが出来る。
電子メールを作成するときに、「期限切れ」の前にサーバー上に存在する期間を選択できるのだ。
これを行うには、メール作成ウィンドウの下部にある「砂時計」アイコンをクリックする。
すると、以下のページに遷移するので、送信するメールの有効期限を設定する事ができる。
「SET」をクリックすると、時計が点滅し始め、時間が経過すると電子メールは期限切れになり、誰にも利用できなくなる。
Mr. RobotはAmazonプライムで無料視聴可能
(Image retrieved from: https://imgur.com/gallery/olfyX)
Mr. Robotは、他のサイバーセキュリティ関連の映像作品と比較しても類を見ないほど、技術的に正確な描写がなされている。
なので、エンジニアが観ても楽しめる作品だと思う。
他にも、サイバーセキュリティ技術を悪用して野望を成し遂げようとする政治家と狙われる財界人、更に大企業の不当なビジネスに犠牲になる一般市民の心の機微を非常に巧妙に描いているドラマだ。
そんなMr. Robotを、Amazon Primeビデオでは日本語字幕版、又は吹替版の両方で観ることが出来る。
Mr. RobotはNetflixやHulu等では配信しておらず、Amazon Primeビデオが独占して配信している。
プライムビデオ会員登録すると30日間無料で観る事ができ、しかも30日以内に解約すれば一円も取られない。
世界中のハッカーが見ているこのドラマを、是非観てみよう。
>>Amazon PrimeでMr. Robotを無料で観る<<
(This tutorial is a Japanese translation of the article, How to Hide Data in Audio Files by OTW.)
更新履歴:
- 2018/03/25 初版作成
- 2018/04/15 公開
- 2018/04/16 アカウント作成チュートリアルを最新バージョンに更新。
『サイバー・インテリジェンス(by 伊藤寛)』を読んでのレビュー。日本のインテリジェンスのあり方を問う。
今回は、伊東寛氏の『サイバー・インテリジェンス』を読んだ。
伊東氏の本では、前回読んだ『「第五の戦場」サイバー戦の脅威』に続く、二冊目の読了である。
この記事では、以下のポイントに絞ってこの本に関する所感をまとめていきたい。
- 本書『サイバー・インテリジェンス』に書かれている事
- 対象となる読者
- 本書を読んで印象に残ったこと
本書に書かれている内容も引用やパラフレーズという形で紹介しているが、できる限り本の内容を漏らさないように、私の言葉を使って本書から受け取ったメッセージを記述した。
なので、記事の最後にAmazon&楽天用リンクを貼っておくので、本レビューを読んで興味が湧いた方は、実際に手にとって読んでもらいたい。
非常に面白いと感じたので、読んで後悔はしないと思う。
(尚、執筆時点で、格安中古の在庫もあるようです。)
それでは、始めよう。
『サイバー・インテリジェンス』に書かれている事
インテリジェンスとは
この本は題名からも分かる通り、「サイバーインテリジェンス」に関する本である。
念のため補足だが、インテリジェンス(Intelligence)とは英語で、日本語に直訳すると”知性”である。広義では”情報”となるかもしれない。
更に具体的に説明しよう。
政治や外交関係での文脈における用語としての「インテリジェンス」とは、諜報活動をさす。
他にも広義として、自国や相手国の運営に関わるあらゆる情報を収集する人、あるいは、情報収集作業を意味する事が多い。
本の概要
この本では、インターネット技術の進化とともにサイバー空間が拡大してきた現代社会において、以下の視点でインテリジェンスに関して解説している。
- その過程においてインテリジェンスがどのように変化、進化してきたか
- 現代ではインテリジェンスが”どのようにして”使われているのか
- 日本におけるインテリジェンスの課題とは
インテリジェンスを行う事で、相手よりも優位に立てる作戦を計画できる為、これまで戦争という文脈でインテリジェンスという言葉が使われて来た。
20世紀は2つの世界大戦が勃発し、その後には冷戦が続いた為、「武力戦争への手段として」インテリジェンスが使用されてきた。
ソビエト連邦の崩壊に伴う冷戦の終焉から、21世紀初頭に発生した9.11同時多発テロ、その後のリーマンショックにおける経済不況まで、アメリカを筆頭に経済戦争が巻き起こっていた。
その経済戦争の手段としても、インテリジェンスは使われてきたのである。
そしてインターネット技術の発達に伴い、現在は「情報戦争」が起きていると筆者である伊東氏は主張する。
もうお分かりだろうが、「情報戦争」においてもインテリジェンスは行われている。
伊東氏は、本書を通じて「インテリジェンスの歴史」、「時代に即したインテリジェンスの使われ方」を説明しているのだ。
それを基に、現在も行われている「情報戦争」における文脈で、サイバー空間におけるインテリジェンス、即ち「サイバーインテリジェンス」に関する解説をしている。
本を書いた人
日本のセキュリティ企業であるラックの執行役員、伊東寛氏が執筆した。
彼は元陸上自衛隊の自衛官という肩書もあり、軍事に携わった人が持てる視点を得られたので、個人的には非常に参考になった。
伊東氏に関する簡単なプロフィールは以下の前回執筆したブックレビュー記事で紹介しているので、参照してもらいたい。
前作との相違点
また、伊東氏の前作である『「第五の戦場」サイバー戦の脅威』では、サイバー技術が戦争に利用される事が漠然と書かれていた印象を受けた。
アメリカがサイバー空間を「第五の戦場」として定め、サイバー空間における戦争が繰り広げられる現在、私たち一般人が知るべき事を述べていた。
一方、今作では「インテリジェンス」に話題を絞っているので、サイバー技術がどのようにして軍事・外交関係に影響を与えているのか学ぶことが出来た。
対象となる読者
私の意見では、この本が想定している読者層は以下の人たちだ。
- セキュリティ技術がどのように政治・外交の分野で利用されているのか興味がある人
- 政治、外交、軍事に関わる仕事や勉強をしており、サイバー技術を駆使したインテリジェンスに関する歴史に興味がある人
- インテリジェンスに興味がある人、OSINTに携わる人
本書を読んで印象に残ったこと
このセクションでは、私が本書を読んだ際に印象に残った点を述べていく。
目次として、以下の4点が印象に残った。
-
電力網に存在するアメリカの弱点 & 優れた日本の電力網
-
政府関係者がマスコミを使って行う”情報操作”
-
変化する戦争の「かたち」
-
日本にサイバー・インテリジェンス部隊の設置は急務
①電力網に存在するアメリカの弱点 & 優れた日本の電力網
アメリカの電力網に存在する弱点とは
伊東氏は、アメリカの電力網に関する脆弱性として、本書で以下の点を指摘する。
ライフラインの重要な基盤(電力網)がインターネットに依存していて、それが、ダイヤルサインアップという古い技術から最新技術まで、各社バラバラという状況だから、攻撃者から見れば一番弱いところを狙って落とせばいい。(P58)
アメリカでは、早い段階でインターネットが導入された事で、社会インフラ1つとっても、色々なシステムが混在している。
そもそも、電力網は、発電所側の発電量と、私たち消費者の電力消費量のバランスが常に保たれている。
このバランスが崩れれば、発電所のタービンが爆発したり、送電線が燃えてしまう等の事態が発生する。
だが、発電会社と送電会社が別々で、あちこちで古いシステムがそのまま使われているようだ。
ほんの数年前までダイヤルサインアップだった電力網があったくらいだと言われている。
そうした状況下で、攻撃者が全米に張り巡らされた発電網に致命的なダメージを与える為には、混在するシステムの一番脆弱な部分を狙えばいいだけである。
そうする事で、電力網全体のバランスが崩れ、後は将棋倒しに電力網が危機に陥っていくからだ。
アメリカ政府は既に自国のこのような脆弱性を認識しており「自国に対してサイバー攻撃を行なった場合、サイバー攻撃による報復ではなく、武力的報復を行う」と明言している。
ある国が他国から攻撃を受ける際、受けた被害相応の報復を行うのが一般的だ。
ところが、アメリカは「サイバー攻撃に対する報復手段としてアメリカの軍隊を出動させる」と言っているのである。
筆者である伊東氏は、アメリカのそうした発言の裏にある心理として、以下のように指摘している。
アメリカはここまで言うほど自国のインフラを制御ネットワークに自信を持っていないのだろう。
日本の電力網の優れている点・将来的な懸念事項とは
さて、アメリカの電力網に関する話はここまでにして、本題はここからである。
日本にも電力網が存在する。
関東の電力網は、東京電力が管理しているのだが、都・県に関わらず一括で管理している。
自前で発電所や送電線を持ち、コントロールシステムも自前の専用線で、電線を張る時に一緒に引いたようだ。
そのため電力網の管理ネットワークは、NTTの一般公衆回線につながっていない。
これは攻撃者からすると、アメリカと違って日本の電力網は明確な入り口が存在しないという事になる。
伊東氏はこのことに関して、「日本のインフラ自体は現在の所アメリカほど脆弱ではない」と指摘している。
ところが伊東氏は、とある”懸念事項”を抱えている。
それは、2020年4月に発送電分離が実施になるという事だ。
電力会社の送配電部門が独立し、発電を小売が完全に自由競争の状態に陥ることになる。
消費者からしたら競争に晒される事で電気代が下がるメリットがあるが、事業者が乱立する事は、万が一電力網に対してサイバー攻撃が発生した際の連携・統制が難しくなる事を意味する。
②政府関係者がマスコミを使って行う”情報操作”
続いて、マスコミの情報操作に関して述べる。
以下は、本書における伊東氏のマスコミに関する言及だ。
マスコミなどによって流布された情報を「本当だろうか」と疑うのがインテリジェンスである。サイバー攻撃が行われた直後は、さまざまな説があったがオバマ大統領やFBIのコミー長官らが北朝鮮が犯人だと主張すると、他の説はいつのまにか消えてしまう。(P35)
マスメディアが報道しているのは、政府関係者がマスコミに対してタレコミされたソースを元に報道を行っている。
政府関係者がマスコミに対して、偽の情報を掴ませたり、意図的に操作させる事を依頼すれば、嘘のニュースも本当になる。
Mr.Robotでもこの様なシーンがあった。
中華人民共和国国家安全部の大臣であるZhi Zhangが、Frank Codyに対して、「fsocietyがイランと関連している説を流せ」と依頼したシーンである。
念のため補足だが、fsocietyとはドラマ内に登場するハッキンググループの名称だ。
ちなみに、Codyは、アメリカのトークショー”Let's be Franck with Cody”のホストで、ニュースに流れるイベントに対して”(政府などの)陰謀説”を主張する”conspiracy theorists(陰謀論者)”という設定の登場人物だ。
(Zhi ZhangがfsocietyのルーツをイランにするようCodyに指示するシーン①。)
(Zhi ZhangがfsocietyのルーツをイランにするようCodyに指示するシーン②。)
(指示を引き受けるFrank Cody。字幕はCodyのセリフ。)
このシーンで印象的なのは、中国人がアメリカのメディア操作を行なった点である。
自国の政府が、自国民に知られたくない情報を隠すためにメディアを操作する事は、これまで散々繰り返されてきた。
しかしZhi Zhang大臣は、”とある野望”を成し遂げる為にアメリカのメディアを通して情報操作を行なったのである。
この後のシーンの後で、fsocietyと、イランが強く結びついている事を更に強調する事件が発生する。
その事件を通して、Zhi Zhang大臣がFrank Cobyにfsocietyがイランと結びついている情報を流せと命じた伏線が回収される。
それが一体どのような事件なのか説明したいところだが、Mr. Robotの物語の構成上、とても大事なプロットなので本記事ではここで留める。
③変化する戦争の「かたち」
本書の中で、伊東氏はアメリカの未来学者、アルビン・トフラーの『第三の波』で唱えられている、「人類史における3つの革命」という説を引用する。
3つの波は、人類史に大きな影響を与えた3つの技術革新を意味する。
その波は、以下の3つである。
それぞれの「波」において、以下のように、「力」の概念も変わる。
- 農業革命時の力:暴力
- 産業革命時の力:お金
- 情報革命時の力:知恵
伊東氏は、以上に述べたアルビン・トフラーの唱えた説を拡張して、それぞれの「波」における「力」を以下のように定義する。
- 暴力 = 軍事力
- お金 = 経済力
- 知恵 = 情報力
最後に、以上の「3つの力」を行使した人間同士の争いが、以下のように戦争として行われるのである。
- 「軍事力」を争う手段:「軍事」戦争
- 「経済力」を争う手段:「経済」戦争
- 「情報力」を争う手段:「情報」戦争
ここから伊東氏は、現代社会ではサイバー空間において「情報戦争」が行われている事を指摘する。
伊東氏の言葉を借りれば、「情報」という「見えない武器」によって戦争が行われているのだ。
そこで、「情報戦争」が今まさに繰り広げられているこの時代に必要なのが、本書のメインテーマでもある「サイバーインテリジェンス」なのだ。
(尚、伊東氏は本書の中でそれぞれの戦争が「どのように行われてきたか」、そして「どのように変化してきたか」を簡単にまとめているが、ここでは省略する。)
④サイバー・インテリジェンス部隊の設置は急務
伊東氏は、本書の最終章で「日本のサイバーインテリジェンスのあり方」について問う。
前セクションで述べたように、世界的に情報戦争が繰り広げられているこの状況下で、日本のサイバー・インテリジェンスの”貧弱さ”を指摘する。
「情報戦争」の真っ最中である事を理解しているアメリカ、中国、ロシアはサイバーインテリジェンスに力を注いでいる。
一方、日本は、インテリジェンスの要である「防諜」と「収集」ともに不十分なのだ。
2015年に発生した年金機構における情報漏えい等、政府機関や民間企業から大量の顧客データが漏洩するインシデントが多発している。
こうした情報漏えいを、海外のインテリジェンス部隊の仕業とする見方もあるのだ。
伊東氏は、そうした時代の趨勢に沿って「日本も統一されたインテリジェンス部隊を持つべきである」と指摘している。
人による情報収集に頼るヒューミント(HUMINT)の専門家を育成するのは10年、20年と訓練期間が必要だが、サイバー・インテリジェンスの専門家を育成するにはもっと短い時間で出来るからだ。
伊東氏の提案に対する私の意見
私自身、この伊東氏の提案を読んだ時「CheenaさんやSh1ttyKidsさんが個人で活動するに留まっている事への勿体なさ」を感じた。
「インテリジェンスの力」が軽視されている日本において、二人は率先してOSINTをしているのである。
政府はまず、この二人を優遇する事から始めた方が良いと思う。
念のため、このブログを読む人で最早知らない人はいないと思うが、以下に両者のプロフィールを簡単に紹介する。
Cheenaさんについて
Cheena(@CheenaBlog)さんとは、Webデザイナー兼、OSINTで情報収集するセキュリティ専門家である。
コインチェックから540億円相当のNEMが盗まれ、一時はテレビニュースでも取り上げられていたが、徐々にメディアの関心も薄れ始めた 。
だが、Cheenaさんは引き続き追跡調査を行ない、調査報告をされていた。
また、違法で漫画を無料公開するサイト”漫画村”を一年以上も追跡、綿密な調査を行い、運営者とみられる人物の情報まで突き止めた。
以下は、Cheenaさんのホームページである。
Sh1ttyKidsさんについて
Sh1ttyKids(@Sh1ttyKids)さんは、ダークウェブに存在するベンダーショップ運営者の特定、法執行機関への報告等、ダークウェブにおけるリサーチを中心に活動しているOSINT専門家である。
Sh1ttyKidsさんは昨年11月にセキュリティニュースサイト”Bleeping Computer”にも紹介された。
その際に当ブログでも記事にして紹介させて頂いた。
以下の記事でSh1ttyKidsさんがダークウェブをリサーチする方法を公開している。
繰り返すが、「インテリジェンスの力」が軽視されている日本において、二人は率先してOSINT活動をしている。
日本はサイバー・インテリジェンス部隊を作るにあたって、この二人を優遇する事から始めた方が良いと思う。
日本の未来を担うのは、分かりやすい学歴を持つエリートや、華々しくメディアに取り上げられる起業家に加えて、彼ら2人のように賞賛を浴びなくてもひたすら自らの使命を果たせる人だと信じている。
ステガノグラフィのやり方。Mr. Robotでエリオットがファイルをオーディオに隠す方法。
Mr. Robotの主人公・エリオットは身の回りの人々に関する情報を、いかなる手段を使ってでも調べあげる。
そして、彼は見つけた情報を彼自身”墓場”と呼んでいるCDに保存する。
「一体なぜ、彼はこのような古典的な方法でデータを保存するのだろうか。」
「万が一CDが盗まれたら、問題にはならないのだろうか。」
・・・エリオットが何を意図しているのか知らないあなたは、そうした疑問が頭に浮かんだのではないだろうか。
実は、EliotはCDに保存されている音楽データに暗号化された個人情報を隠しているのだ。
個人情報を閲覧する際には、独自の暗号鍵を使って情報を復号化する必要がある。
したがって第三者がCDを見つけても音声データを再生するのみで、隠れた情報を発見することは出来ないのだ。
エリオットの友人や知人に関するデータは、法執行機関の詮索の目を逃れる可能性が高い。
エリオットがやっているのは、ステガノグラフィーという手法である。
それは、別のデジタルメディア(オーディオ、ビデオ、またはグラフィックファイル)内に情報を隠す手法として知られている。
たとえば、他の人に秘密のメッセージを送る場合は、画像、オーディオ、ビデオファイル内にメッセージを配置し、電子メールで送信するか、自分のWebサイトからファイルをダウンロードできるようにする。
受け取った相手は、適切な鍵と暗号アルゴリズムを使用すると、秘密のメッセージを読むことが出来るのだ。
第三者の目からは二人の間でオーディオファイルのやり取りをしているようにしか見えない。
つまり、傍聴されても無害の画像を見るか、オーディオファイルを聞くだけなのだ。
諜報機関やテロ組織は、長年にわたりこれらの技術を使用してきた(伝えられるところによれば、アルカイダは1990年代と2000年代にこれらの手法を使用してウェブサイト上のメッセージを信者に隠していたようだ)。
Mr. Robotのこれらのエピソードでは、エリオットは彼のオーディオファイル内の情報を隠すために "DeepSound"というソフトウェアパッケージを使用している。
エリオットが使用するこのソフト以外にも、ステガノグラフィ用途で使えるソフトウェアパッケージが多数あるので紹介する。
一般的に、多くのハッカーはLinuxを使用している為、上記したソフトウェアは、Linux向けのソフトウェアである事が多いが、DeepSoundはWindows用に開発されている。
そこで今回はDeepSoundのチュートリアルを行う。
以下に簡単に使い方を示していく。(この例ではWindows 7システムで使用するが、どのWindows OSでも使用できる。)
ステップ1:DeepSoundをインストールする
まず、DeepSoundのWebサイトにアクセスし、インストーラーをダウンロードする。
インストーラーを起動したら、自身のシステムにインストールする。
AVソフトウェアは、それをウィルスとして識別する可能性があるので、アラートメッセージが上がったらインストールを許可するようにして欲しい。
ステップ2:ディープサウンドのインターフェイス
インストールが完了したら、以下のような画面が表示される。
画面の左側に、私のC:ドライブのディレクトリ構造が表示されていることに注目して欲しい。
ディレクトリ構造の上にあるC:ドライブの横にある下矢印をクリックすると、システム上の他のドライブまたはUSBデバイスを参照出来る。
左側のファイルは私の "キャリア"オーディオファイルになる。
言い換えれば、これらは私のデータを隠すために使用するファイルだ
ステップ3:セッティング
トップバーの設定アイコンをクリックすると、以下のようなウィンドウが表示される。
デフォルト言語(英語以外の選択肢はスロバキア語)、出力ディレクトリ、および出力フォーマットを設定する。
なお、例で使用しているソフトウェアパッケージは、.flacまたは.wavファイルのみ対応している。つまり、.mp3ファイルは使用できない。
おそらく.mp3は既に圧縮されているファイルであり、以上の2つの形式(.flacと.wav)が圧縮されていないからだ。
選択が済んだら、[Encrypto Files:]チェックボックスをオンにしよう。
チェックすれば、オーディオファイルに隠されるファイルが、現存する暗号化アルゴリズムの中で一番強力な256ビットAESで暗号化される。
最後に、相手(ファイルの受け取り人)がファイルを復号化する際にロックを解除する際に使用するパスワードを入力する。言うまでもないが、パスワードが長ければ長いほど、暗号化は強くなる。
ステップ4:オーディオファイルを選択する
次に、データを隠すオーディオファイルを選択する。
最近の音楽ファイルのほとんどは.mp3形式のため、このソフトでは動作しない。
この例では、.flac形式のNora Jonesの曲を用意した。
(最近は音質が優れている.flacを使用する人が増えているが、圧縮されてない為ファイルサイズが大きくなる。その為、携帯オーディオ端末では.mp3が使用されている事が多い。)
オーディオファイルをダブルクリックし、ファイルを隠す準備をする。
次に、上のバーにある[Add Files]アイコンをクリックする。
そこでオーディオファイル内に隠すファイルを追加出来る。
ここでは、Nora Jonesのオーディオファイル隠すファイルとしてShayla.docという文書ファイルを指定する。
ステップ5:エンコードする
Shayla.docをクリックすると、右のウィンドウに追加される。
今、トップアイコンバーの "エンコード"アイコンをクリックする。
My Shayla.docファイルが暗号化され、オーディオファイルに隠された。
このファイルの外観とサウンドだけで判断すると、通常のオーディオファイルと何ら変わりはない。
誰かがその情報を隠したいのであれば、誰にも知られないパスワードで暗号化する。
Mr. Robotのエリオットの場合、別ファイルを隠したオーディオファイルをCDに焼いてしまう。
彼は、万が一コンピュータが警察に没収され、調査された場合に備えて、より安全な方法でデータを保護しているのだ。
どんな調査官も、よっぽどでない限り彼の音楽CDを聞くことはまず無いとみていいだろう。
ステップ6:デコードする
最後に、エリオット自身、あるいはエリオットがデータを共有したい誰かがオーディオファイルに隠されたデータを復号する必要がある。
そんな時は、オーディオファイルをクリックし、「Extract secret files」と書かれたアイコンをクリックする。
すると、パスワードの入力を求められる。
ステップ3で作成したパスワードを入力して「OK」を押すと、右のウィンドウに隠しファイルが表示される。
これで、メッセージが作成された適切なソフトウェアを使用して、隠された秘密のメッセージを読むことが出来る。
この場合、Microsoft Wordまたは.docファイルを開くことができる他のソフトウェアになる。
エリオットがオーディオファイル内に個人情報データを隠す方法のチュートリアルは以上だ。
Mr. RobotはAmazonプライムで無料視聴可能
(Image retrieved from: https://imgur.com/gallery/olfyX)
Mr. Robotは、他のサイバーセキュリティ関連の映像作品と比較しても類を見ないほど、技術的に正確な描写がなされている。
なので、技術者が観ても楽しめる作品だと私は思う。
他にも、サイバーセキュリティ技術を悪用して野望を成し遂げようとする政治家と狙われる財界人、更に大企業の不当なビジネスに犠牲になる一般市民の心の機微を非常に巧妙に描いているドラマだ。
そんなMr. Robotを、Amazon Primeビデオでは日本語字幕版、又は吹替版の両方で観ることが出来る。
Mr. RobotはNetflixやHulu等では配信しておらず、Amazon Primeビデオが独占して配信している。
プライムビデオ会員登録すると30日間無料で観る事ができ、しかも30日以内に解約すれば一円も取られない。
無料でMr. Robotを観て、サイバーセキュリティへの関心を更に高めていこう。
>>Amazon PrimeでMr. Robotを無料で観る<<
(This tutorial is a Japanese translation of the article, How to Hide Data in Audio Files by OTW.)
あるサイトにアクセスすると乗っ取られるWindows PC。Microsoftの月例パッチで修正。
突然だが、悪質なリンクをクリックするかウェブサイトを開くだけでハッキングすることは出来るのか。
ーー答えはYesだ。
Happy Patch Tuesday
マイクロソフトは、月例パッチ(通称、Patch Tuesday)で、Windowsオペレーティングシステムや、その他のMS社製品の重大な脆弱性に対処するセキュリティ更新プログラムを4月にリリースした。
そのうちの5つは、攻撃者が攻撃者の用意したウェブサイトを訪問するだけでコンピュータに侵入する可能性があったようだ。
これらの脆弱性は、Flexera Softwareのセキュリティ研究者であるHossein Lotfiによって発見され、Microsoft社に公開されたようだ。
脆弱性の対象となるのは、サポートされているWindowsOSの全てとなる。
- Windows 10 / 8.1 / RT 8.1 / 7
- Windows Server 2008 / 2012/ 2016
修正されたのは、Windows Graphics Componentに存在する5つの脆弱性。
Windows font libraryによって埋め込まれるフォントの処理方法に問題があったとされている。
Microsoft社は、この”Critical”レベルに分類される5つの脆弱性にパッチを提供した。
この脆弱性を悪用すると、攻撃者は、疑わしいユーザーに悪意のあるファイルや特別に細工されたWebサイトを悪意のあるフォントを使用して開かせ、ユーザーシステムの制御を奪う事が出来た。
以下は、修正された脆弱性に割り振られたCVE番号である。
- CVE-2018-1010
- CVE-2018-1012
- CVE-2018-1013
- CVE-2018-1015
- CVE-2018-1016
Windows Microsoft Graphicsは、サービス拒否の脆弱性の影響を受け、攻撃者がターゲットシステムの応答を停止させる可能性があります。
この欠陥は、Windowsがメモリ内のオブジェクトを処理する方法に存在します。
今回修正された他の脆弱性
マイクロソフトはWindows VBScript Engineに存在し、Windowsのすべてのバージョンに影響する”Critical”に分類されるRCEの脆弱性(CVE-2018-1004)の詳細を公開。
この脆弱性の悪用方法について、Microsoft社は以下のようにコメントしている。
Webベースの攻撃シナリオでは、攻撃者はこの脆弱性を悪用するように細工を施したWebサイトをホストし、ユーザーにInternet Explorerを介してWebサイトを表示させる。
攻撃者は、”Safe for initialization”とマークされたActiveXコントロールを、IEレンダリングエンジンをホストするアプリケーションまたはMicrosoft Officeドキュメントに埋め込む。
この他に、マイクロソフトでは、Microsoft OfficeとMicrosoft Excelで複数のリモートでコードが実行される脆弱性も修正。
この脆弱性を修正しなければ、攻撃者はシステムをリモートで制御できたようだ。
更に、セキュリティアップデートには、Adobe Flash Playerの6つの脆弱性に関するパッチも含まれていた。
そのうちの3つは"Critical"と評価されている。
他にも、Windows、Microsoft Office、Internet Explorer、Microsoft Edge、ChakraCore、Malware Protection Engine、Microsoft Visual Studio、Microsoft Azure IoT SDK、Adobe Flash Playerにそれぞれ潜んでいたバグも修正された。
結論:とにかくアップデートしよう
ユーザーは、ハッカーやサイバー犯罪者がコンピュータを制御できないようにできるだけ早くセキュリティパッチを適用することを強く推奨する。
セキュリティアップデートをインストールするには、以下の手順で行って貰いたい。
- 「設定」
- 「アップデートとセキュリティ」
- 「Windows Update」
- 「アップデートを確認」
アメリカの街中に設置された警報サイレンを鳴らす脆弱性が公開。ATI Systems社は修正を公開。
ボストンに本社を置くATI Systems社が製造した警告サイレン深刻な脆弱性が存在する事が明らかになった。
脆弱性を悪用すると、無線周波数を介してリモートから悪用され、すべてのサイレンを有効にし、ハッカーが”偽”アラームを発する。
この記事では、以下のポイントに絞って解説していく。
コロラド州・ダラスで発生した”偽”アラーム騒動
緊急警報のサイレンは、自然災害、人工災害、危険な天候、深刻な暴風雨、竜巻、テロなどの緊急事態について市民に警告するために世界中で使用されている。
緊急警報用に配備されているスピーカーをクラッキングして、アラームを鳴らす事で、その地域にパニックと混乱を招く事は想像に難くない。
2017年末に、アメリカ・コロラド州のダラスでは、156機の緊急サイレンが約2時間オンになって住民を混乱させた事件が発生している。
ダラスの街中に設置された緊急サイレンが鳴り出したのは、なんと金曜日の夜遅くである。
週末が始まった住民たちが寝静まった頃に二時間にも渡ってサイレンが鳴り続けたのだ。
ダラスで使用されていた緊急用サイレン制御システムは10年前以上に導入されて以来、全くアップデートされていなかった。
クラッカーによって誤警報が鳴らされた直前に10万ドルの費用を費やしてシステムの一新が決められたばかりだった。
SirenJackに関する概要と影響
バスティーユ警備会社の研究者が発見した脆弱性は、「SirenJack Attack」というコードネームが付けられている。
SirenJackが影響を受けるのは、ボストンに本社を置くATI Systems社が製造した警告サイレンだ。
ATI Systems社のサイレンは、アメリカの大都市や大学、軍施設、産業施設で使用されているようだ。
影響を受けるサイレンを制御するために使用される無線プロトコルがいかなる種類の暗号化も使用していない。
バスティーユ社のセキュリティ研究所ディレクターであるBalint Seeber氏は、解説動画を公開し、動画内で以下のように語る。
攻撃者は悪意のあるアクティベーションメッセージを送信してこの弱点を単純に悪用できる。必要なのは、30ドルのハンドヘルドラジオとコンピュータだけだ。
(SirenJackの脆弱性を解説する動画)
攻撃者がSirenJack攻撃を実行するには、ターゲットとなるサイレン の無線が届く範囲内に存在し、かつ、サイレンが使用する無線周波数を知っている必要がある。
動画内で、Seeber氏は、以下の様に語る。
「周波数を突き止め、無線プロトコルを分析した所、コマンドは暗号化されていなかった。つまり、簡単に警報用サイレンに送信されるコマンドは攻撃者によって偽造される。」
以下の動画では、Seeber氏自身が屋外に実際に設置されているサイレンをクラッキングして、Seeber氏が用意した音源を再生している。
(Seeber氏自身がサイレンをクラッキングするPoC動画)
動画内でSeeber氏が脆弱性を指摘した屋外用警報システムは、カリフォルニア州サンフランシスコ市に100基以上設置されているようだ。
もし、攻撃者がそれらの警報サイレンをクラッキングしてアラームを鳴らしていた場合、ダラスの二の舞いになってしまう。
Seeber氏は、今回のSirenJackに関する情報を公開する90日前にATI Systemsにこの問題を報告した(1月8日)。
ATI Systemsは、指摘された脆弱性の修正を行い、まもなくサンフランシスコ市で実装されたシステムに対するパッチが利用可能になると公表。
しかし、ATI Systemsは、同社が製造した多くのサイレンが、各顧客の特定のニーズに応じて設計されているため、修正パッチのインストールは容易ではないとも語った。
そのため、ATI Systemsに連絡して、システムの脆弱な構成や欠陥のあるバージョンがあるかどうかを確認し、問題を解決するための適切な手順を実行することをお勧めしている。
Seeber氏は、他のサイレンメーカーが、この種の脆弱性をパッチして修正するために自社のシステムを調査し、必要な場合はパッチ当てする事を奨励している。