お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• Bad Rabbitは金銭目的ではなくプロファイリング目的
• GoogleがPKPをChromeから実質的に排除へ
• MicrosoftがNTLM認証に関わる脆弱性をパッチ

それでは早速、参りましょう！

Bad Rabbitは金銭目的ではなくプロファイリング目的

FireEyeのセキュリティ研究者は、先日のBadRabbitランサムウェアが「金銭的理由で行われたものではない」と推測している。

＞関連: 【号外】”BadRabbit”（ランサムウェア）がロシア、ウクライナを中心に感染拡大

BadRabbitは、ロシアでもっとも被害が大きく数百の端末に被害を及ぼしたランサムウェアキャンペーンだった。

ユーザーは、まず攻撃者の用意したドメインである1dnscontrol[.]comにリダイレクトされ、Adobe Flash Playerに扮したDropperをダウンロードさせられる。そしてユーザーがファイルを実行するとBadRabbitに感染する。

FireEyeの研究者は、1dnscontrol[.]comにリダイレクトするように設定されたウェブサイトの多くが、BACKSWINGというプロファイリングツールもホストしていた事に気づいたようだ。

BACKSWINGは、以下のユーザーの情報を収集する。

収集する情報

• User-Agent
• HTTPリファラ
• クッキー
• 現在のドメイン

そして、これらの情報をC&Cサーバーに送り返す。

FireEyeの調査によれば、BACKSWINGのバージョンはv1.0とv2.0の2つ存在し、v2.0は攻撃者によって設定されたウェブサイトのJavaScriptリソースに対してインジェクトされていたようだ。

BadRabbitを拡散した攻撃者達が、BACKSWINGを注入した事が100%確実なわけではないが、BACKSWINGを埋め込まれたウェブサイトの全てが1dnscontrol[.]comにリダイレクトされるように設定されていた事から、可能性は充分に高いといえる。

つまり、もしBACKSWINGを入れたのがBadRabbitを拡散したグループと同じだとすると、BadRabbitの拡散は金銭目的ではないという事が言える。

なぜなら、金銭目的でランサムウェアを拡散する攻撃者は、ユーザーのブラウジング情報を収集しようとはしないからだ。

もしそうだとすると、BadRabbitを拡散した攻撃者達は、何かしらの地理的な目的を求めてBad Rabbit拡散を行なった可能性が高い事が言える。

GoogleがPKPをChromeから実質的に排除へ

2017/10/28の午後、GoogleがChromeからPKPのサポートを縮小し、いずれPKP機能ごと排除する方針を発表した。

PKPとは、Public Key Pinningという機能で、HTTPSサイトを運営する人が使用する証明書に関わる機能のことだ。

PKPを使うことにとってサイト運営者は、サイト固有のHTTPヘッダー(PKPヘッダー)を設定する事が出来る。サイトに初めて接続する際に、ユーザーのブラウザの証明書を復号するための公開鍵のリストをダウンロードする。

ユーザーがサイトを再び訪れる時、ブラウザはそのリストの中から公開鍵を選び、その時の証明書を復号しようとする。

もし攻撃者がドメインを偽造し、本物の証明書を使用していたとしても、PKPで配られた公開鍵はマッチしない。その事から、ブラウザはウェブサイトの表示をブロックする。

この攻撃方法は、GitHubで公開されている。

蓋を開けたらPKPは問題だらけだった

PKPが発表された当初は、セキュリティ研究者を始め導入を喜んでいた。レイヤーが増えてセキュリティが高まることは良いことだからだ。

しかし、現実は上手く行かなかった。

PKPの機能を使って、万が一ユーザーが間違った公開鍵をダウンロードしてしまえば、そのサイトを二度と見ることは出来ない。

サイト運営者からしたら、PV数が減少すればそれに伴い広告収入も減少する。PKPによってユーザーがブロックされてしまったとなれば、サイト運営者はPKPの使用を避けてしまう。

更に言えば、攻撃者はウェブサイトのPKPをハイジャックし、攻撃者独自の公開鍵を発行してしまう事が出来る。情報漏えいが発覚した際に失効するようにしておけばいい。

上記で説明したのが、PKPが実装されたのにも関わらず殆どのサイト運営社が使用していない理由だ。２０１６年３月Neustarの行なった調査によれば、PKPを使用しているのは、HTTPSを実装しているウェブサイトのわずか0.09%であると言われている。

GoogleはPKPをChrome 67で排除することを検討

Googleは、２０１８年の５月頃にリリースされるであろうChrome 67において、PKP機能を排除する方針を固めている。既にオープンソースのChromiumでは排除されているので、時間の問題であろう。

MicrosoftがNTLM認証に関わる脆弱性をパッチ

MicrosoftがWindows NTLM認証に関わる脆弱性をパッチした。

Windows NTLM認証用のパスワードを、ユーザーと接する事なく盗み取る方法があった。

攻撃方法は非常に簡単で、高度な技術を必要としない攻撃方法のようだ。

攻撃する際には、細工したコードを組み込んだSCFファイルを、誰でも閲覧する事の出来るWindowsフォルダ内に保存しておけばいい。

SCFファイルとは何か

SCFファイルとは、Shell Command Fileの略で、Windows Explorerに関わるコマンドをファイルフォーマットにしたものである。

そのSCFファイルがフォルダ内に保存されると同時に起動し、ターゲットのNTLM認証用のパスワードハッシュを収集し、攻撃者の用意したサーバーに送信する。

攻撃者は、手に入れたNTLM認証用のパスワードハッシュを、専用のフリーソフトを用いれば復号化する事が出来る。

これでターゲットの端末へのアクセス権を手に入れる事ができ、権限のエスカレーション等を実行できるようになる。

共有フォルダについて

共有フォルダ設定をする全てのコンピュータが脆弱とは限らない。

共有フォルダを設定している場合でも、共有フォルダにパスワードがかかっている場合は安全のようだ。デフォルトではパスワードが設定される事から、殆どのユーザーが脆弱ではないようだ。

しかし、企業や学校、他にもパブリックなネットワークで共有フォルダを使っており、なおかつパスワードを設定していない場合は、気をつけなければならない。

パッチはWindows 10とServer 2016のみ提供

この脆弱性は、今年(2017年)の４月に、コロンビア人のセキュリティ研究者であるJuan Diego氏によって発見s慣れた。

Microsoftは、今月の定例アップデートに、本脆弱性のパッチを組み込んだようだ。ちなみに、10以前のバージョンのWindowsには、パッチが提供されていない。

そもそも何故攻撃が発生するのかは謎

Diego氏は、この脆弱性のエクスプロイトに関して「そもそも何故攻撃が可能なのか謎である」と公表している。

なぜならSCFファイルに含まれるコマンドの種類は非常に数が限られているからだ。実際に、Windowsエクスプローラのウィンドウを表示したり、デスクトップを表示する等のコマンドしか含まれていない。

攻撃者は、細工をしたSCFファイルをパスワード保護されていないフォルダに保存するだけでいいのだ。

Microsoftは、このエクスプロイトが発生している原因については一切公表しておらず、沈黙を貫いているようだ。