お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• Infineon製のRSAライブラリの鍵生成に脆弱性。公開鍵から秘密鍵を生成可能
• 北朝鮮ハッカーが台湾極東銀行へ攻撃か
• ATMクラッキングキットが56万円で販売中
• その他のセキュリティニュース
  • マルウェア・脆弱性に関するニュース
  • 情報漏えい・インシデントに関するニュース
  • 法律・ポリシー・条例に関するニュース

それでは早速、参りましょう！

Infineon製のRSAライブラリの鍵生成に脆弱性。公開鍵から秘密鍵を生成可能

Infineonが提供しているRSAライブラリの実装に問題があり、公開鍵から秘密鍵を生成できてしまう可能性があると指摘している。

このライブラリは、電子証明書として機能するスマートカードのセキュリティチップ、セキュリティトークン等のセキュリティデバイスに搭載されているようだ。

該当ライブラリを用いたスマートカードを使用しているエストニアは、公開鍵データベースを非公開にする処置をとった。

この攻撃は1024bitや2048bitの長さを持つ暗号鍵に対して有効なのだが、攻撃を成功させるために膨大な計算量が必要となる。

CRoCSwikiの記事によると、攻撃者が処理能力の高いCPUを用いた場合、1024bitの鍵は3ヶ月かかり、2048bitの鍵は50年かかると言われている。（ただし、”最悪の場合”の為、これより長い期間を要するだろう。）また、その時にかかる費用は1024bit鍵はおよそUSD76、2048bit鍵はUSD40,000だとされている。

普段ほとんどのエストニア国民は電子証明書を使う時はスマホ等に紐付いたモバイルIDを使うようで、攻撃の対象となりうるスマートカードは”代替”として使っているという。つまり、そこまで利用頻度は高くないといわれている。

北朝鮮ハッカーが台湾極東銀行へ攻撃か

過去記事でも触れましたが、台湾極東銀行がサイバー攻撃にあったインシデントで、北朝鮮政府にスポンサーされているハッカー集団”Lazarus”が関与した可能性が出ている。

LazarusはSWIFTネットワークを攻撃し、同銀行が保有していた約6千万米ドル（注１）を、スリランカやカンボジアにいる共犯者に送金したとされている。

（注１）：１０月３日と４日にセイロン銀行からお金を引き出そうとした共犯者と思われる男が逮捕されている。この二日間に逮捕された男が出金しようとした総額が6千万米ドル相当だった。しかし、Lazarusが台湾極東銀行から盗み出した総額は明らかになっていないとされている。

ATMクラッキングキットが56万円で販売中

Kaspersky Labsの調査によれば、今ダークウェブの闇取引サイト”Alpha Bay”でATMハッキングキットが販売されているという。

その価格は5,000米ドル（≒56万円）だ。

このキットに付属しているのは3つのソフトウェアと、使い方や手順、対応するATMを詳細に示した説明書データとなる。

付属しているソフトウェアを以下に示しておく。

1. ATMにいくらお金が入っているか、どの箱にどれくらいの札束が入っているかチェックするソフトウェア
2. ATMから全てのお金を引き出すソフトウェア
3. 2.のソフトウェアを使用する際にATMに聞かれるコードの答えを生成するソフトウェア

このキットの購入者は、他にもワイヤレスキーボード、USBハブ、USBスティック、ドリルを購入しなくてはならない。

何故ドリルを購入するかというと、ATMのUSBポートが隠されている為、ポートが露出するようにドリルで機器に穴を開けなくてはならないからだ。

そして露見したUSBポートに、WifiアダプタやUSBスティックを予め挿したUSBハブ差し込んで、上記の1と2のソフトウェアをATM上で実行する。

この攻撃の対策方法として、以下の２つの方法があげられる。

1. Default Denyを適用する
2. デバイスコントロール

上記の2つについて簡単に説明することにする。

初めに、1のDefault Deny設定とは、特定の指示がない限りは全ての入力を拒否する設定のことを指す。遠隔操作で管理者権限にエスカレートされたユーザーのみが入力を許可できるようにすれば、ソフトウェアが実行される事はない。

次に2.のデバイスコントロールだが、USBポートに差し込まれて起動するデバイスを予め登録しておく方法だ。登録されていないデバイスに対して接続を許可しなければ、そもそもソフトウェアすら起動する事ができなくなる。

その他のセキュリティニュース

セキュリティ業界では毎日膨大な量のニュースが配信されています。

今回の記事では紹介しきれなかった記事も多くありますので、以下ではニュースのタイトルとリンクを貼っておきます。

マルウェア・脆弱性に関するニュース

• ATM malware has evolved to attack banks' corporate network: Report
• Apple and Google promise security updates to fix Krack Wi-Fi flaw
• The Krack vulnerability is another good reason to ditch public Wi-Fi
• Petya and NotPetya: The basics
• KRACK mass Wi-Fi attack: Who is to blame?
• Chinese-linked trojan found in breach of Western aerospace firm

情報漏えい・インシデントに関するニュース

• Even With The Best Email Spoofing Defences in The World, HMRC is Spoofed
• Exclusive: Microsoft responded quietly after detecting secret database hack in 2013
• Data breach exposes millions of South Africans’ personal records

法律・ポリシー・条例に関するニュース

• Nigeria: Special Report - How a Nigerian Law Is Suppressing Citizens' Freedom On the Internet