読者です 読者をやめる 読者になる 読者になる

米ミネソタ州の地裁、Googleに「ある名前を検索した全員」の氏名などを要求

security

ミネソタ州の判事、『とある人物の名前を検索した全員の個人情報』をGoogleに要求する令状に署名」

tonywebster.com

米のミネソタ銀行で、送金詐欺事件が発生しました。被害額は2万8500ドル。

地元警察が調べたところ、この詐欺事件で使われたパスポート(他人のもののコピー)の画像は「Googleでは見つかるがYahooやBingでは見つからない」という状況だったそうです。

そこで警察はGoogleに対して、使われた名前を検索した全員の個人情報(氏名、メールアドレス、アカウント情報など)を提出するよう求め、地元のヘネピン(Hennepin)郡地裁が令状に署名したそうです。

名前を検索しただけで、同名の他人も含めて、全ての情報を出せというのは過剰な要求と感じられます。

この件について、The Register紙が追加調査も含めて報じています。

「判事、被害者の名前を検索した全員についての捜査令状に署名」

www.theregister.co.uk

同紙の電話インタビューに対して、警察側は「著しく不正確だ」と言ってます。令状に「Edina町および周辺区画」とあるから、とのことで、確かに記載はあるのですが、文面から見て、この要求が地域を限定しているとはみなせませんね……。

また、こちらの記事では、Googleが要求を棄却したとも書かれています(Google広報はノーコメント)。

ところで、Googleはどこまでアクセスする者の情報を把握しているのでしょう。少なくとも「実名Googleアカウントにログインした状態」で検索した場合は、確実に分かると思いますが、ログインしていない状態のことは、ちょっと気になります(過去にログインした経歴があれば、その際のブラウザ情報から高い確率で特定できるかもしれません)。

Wikileaks、Vault7詳細情報について、開発元への開示条件を指定

security

Wikileaksによる「CIAの内部情報」とされるVault7ですが、そこに含まれる脆弱性関連情報について、開発元(Microsoft, Google, Apple,……)との共有に関して条件を指定している、という記事をMotherBoardが公開しています。

Wikileaks、要求が受け入れられない限りテック企業に対してCIAゼロデイ攻撃情報を提供しない方針」

motherboard.vice.com

条件の内容は、「90日で開示する」という項目が含まれるとされる以外は不明です。

Wikileaks側の要求を受けている開発元の態度は、全体的に保留。その理由の1つは、今回の情報がおそらく違法な手段で入手されたものであることからくる法務上の懸念。

また、この情報はロシア政府を経由していると推測されており、それに関わる懸念もあるようです(softpediaの記事では、ロシア政府が途中で内容を書き換えて、脆弱性を直すはずがかえって作りこむようになっているかも、としています)。

ちなみにVault7の情報は、CyberScoopの記事によれば、Kasperskyの分析では「(今回、一部情報の公開を控えるための)検閲作業は、サイバースパイや運用セキュリティ、ITセキュリティ、妥協水準の策定といった分野の高度な知識をもつチーム(または個人)によって行われたものと判明した」とのこと。もっとも、それでも一部の重要な情報は漏れていたようですが。

いずれにせよ、Vault7の件が今後どのように進むかは、まだ予測が難しい状態のようです。

Intel SGXからのデータ奪取手法が開発

security

Intel SGX(ソフトウェア保護拡張)は、つい最近までは知名度が低かった技術だろうと思いますが、UHD BD再生をPioneerのドライブで行うために必須な要求になったことで知られつつあります。

http://pc.watch.impress.co.jp/docs/column/4kshugyousou/1048284.htmlpc.watch.impress.co.jp

SGXはOSを介さず、しかも暗号化した状態でデータを保存できるもので、上記例だとUDH BD再生に必要な鍵の保存に用いられています。

しかし、このSGXに格納されたデータを窃取する手法が、オーストリアグラーツ工科大学の研究者達により開発されました。

「『スーパーマルウェア』はIntel SGXの独立区画から暗号鍵を盗み出す」

www.bleepingcomputer.com

この攻撃はキャッシュへのアクセスパターンを分析することで元のデータを推定するというもの。この研究で作成されたPoCは、RSA鍵を1回で96%、11回(5分)で全て抽出したとか。

さらにSGX領域をマルウェアが「自らを隠すため」に使うことも可能で、この場合セキュリティソフトによる検出はさらに困難になるとしています。

NSA版twitter、利用者は6万人超(2013年末)

misc

NSAの『スパイ向けtwitter』、6万以上の利用者」

motherboard.vice.com

米国の諜報関係者向けには、よく見るWebアプリケーションのそっくりさんがあるそうです。

  • Intellipedia:「スパイのためのWikipedia
  • eChirp:「スパイのためのTwitter
  • A-Space (Analytic Space):「スパイのためのFacebook

まあ、Wikipediaについては、そもそもアプリケーション(MediaWiki)自体が公開されているので、適当にロゴなどを用意すれば済む話です。他も、似たような動作をするものを作ること自体は問題はないだろうと思います。

タイトルにある「利用者数6万人」は、上記記事元(MotherBoard)が情報公開法を用いて入手したデータからのもの。データにはユーザ数やツイートもとい投稿数などが記載されていますが、「極秘」区分の利用者が2013年末で60,593人いたそうです。その他「秘密」「公開」区分もあるのですが、それらの人数が加算されていないのは、重複が不明だからでしょうか。

ちなみにeChirp、本家Twitterと同じようにリアルタイムに近い情報のやり取りを意図しているようですが、投稿文字数も140文字だそうです。日本語ならともかく英語で140文字はかなり少ないと思うのですが、大丈夫なんですかね……。

女性芸能人の自撮り画像流出「Fappening」、再び

security

2014年に、ジェニファー・ローレンス氏など多数の女性芸能人の裸の自撮り(など)が流出した事件「The Fappening」を覚えていますか?(ちなみに犯人は逮捕されています)

この数日、あの事件が再び「The Fappening 2.0」として発生しています。

「『Fappening』再び!エマ・ワトソンなどのプライベート写真がネットに流出」

thehackernews.com

写真の真正性はかなり確実とみられています。記事中には、前回の被害者の1人であるジェニファー・ローレンス氏の名前も出ていますね。流出側は、まだ未公開の分があるとも述べているようです。

ちなみに、前回の流出は、iCloudアカウントを狙ったもので、Appleを装ったメールを送ることでパスワードを聞き出したものです。今回の窃取手段は不明です。

いまさらですがVault7について

security

WikileaksがCIAの秘密情報「Vault7」を発表して1週間以上が経過しました。

Wikileaks側が結構煽るスタイルをとっていることもあり、それをそのまま報じるところも多い印象ですが、実態としては「こんなもの?」というのが率直なところです。

Vault7で暴露された情報の中には、(日本製が多いとおぼしき)顔文字だとか、なぜか「トライガン」なども含めた画像・GIFアニメ、そしてマルウェアを作る上での実践的な注意点などもあるものの、本筋は各種のコンピュータへの侵入や組織構造です。

いくつかの記事では明確に指摘されている通り、これらの情報はいずれも「Mass surveillance(一般的には監視社会)」には関係がありません。あくまで個別の端末に対するハッキングが基本です。

もちろん資金や人材がある分、時には出回っている既存マルウェアをパクったり(侵入者を誤解させる効果もある)、ゼロデイを自ら見つけたり購入したりできますが、あくまで個別の話です。地引網のように一括大量 監視という手法ではありません。その点で、エドワード・スノーデン氏の暴露と比べると、かなりマイルドな内容という印象を受けます。

「ゼロデイをくらったら侵入されてしまうのでは?」というのは正しいのですが、たとえゼロデイを使っても、限界はあります。今回出ている内容を見る限り、(自動車への干渉などは別として)CIAも一般のクラッカーも、基本的なところは同様という印象です。

という手順になるでしょう。

それぞれで「確率を下げる」対応をとることで被害を軽減できるはずですし、それはCIAに限らず一般的な攻撃に対して有効なので、まじめに取り組む価値があるといえると思います。

また、個人レベルでも、暗号化メッセージアプリ(Signalなど)には侵入できてないとみていいでしょう。Vault7で出ていたのはOSレベルで侵入しているので、メッセージアプリレベルの話ではありません。

Vault7の情報はやや古いことなども含めて、他の様々な脅威もありうるので、油断はできませんが。

デジタル・セキュリティが実際に問題になる時

security

先日、JavaによるWebアプリケーション・プラットフォームApache Struts 2の脆弱性に対する修正があり、あわせて実際の攻撃が多数観測されました。

www.ipa.go.jp

おそらく、この問題によると思われる事象が、国内でも多数発生しており、しかも明らかに実害が出ています。

togetter.com

iptops.com

nlab.itmedia.co.jp

Strutsは、過去にも脆弱性が何回も発見されています。

blog.trendmicro.co.jp

そもそも、Strutsは動的にコードを生成、実行する機能(OGNL等)があり、本質的に「不正な文字列の侵入」が「任意のコード実行」に直結しやすいという問題点が指摘されています。

www.scutum.jp

確かに動的なコード生成は強力で柔軟です。その場で任意の動作ができるので、(特に組織でありがちな)面倒を極力回避しつつ更新や変更、追加が可能なのは魅力的です。

ただ、その分だけ危険性は高まります。特にサーバ技術は(インターネット直結なので)何かあれば即座に攻撃を受けますし、特にJavaは基幹的なシステムで多く使われるため、「狙い目」です。

  • 開発や修正は手間取るが、脆弱性の影響を抑え込みやすい技術を使う
  • 運用(情報収集やバックアップ、パッチ適用)を緊密にして弱点を緩和
  • 事故ったら止めて後で対応、ただし背後への侵入は徹底防御

サイトの目的にあった対応をとってほしいと思わずにはいられません。