今週末までお休みします。

しばらく更新が滞っておりましたが、その原因がまだ一部継続しております。本当は書きたいネタはぽろぽろ出ているのですが……。

そういうわけで、今週いっぱいは更新はできません。ご容赦くださいませ。

エストニア、ROCA脆弱性により76万枚のIDカードを更新

https://arstechnica.com/information-technology/2017/11/flaw-crippling-millions-of-crypto-keys-is-worse-than-first-disclosed/

エストニア、76万の電子IDカードを、暗号のバグにより破棄」

www.bleepingcomputer.com

次の件の続きです。

mokake.hatenablog.com

mokake.hatenablog.com

エストニア政府は、11月3日をもって、脆弱と判明した76万の国民電子IDカードを全て使用不能としました(これはIDカード全体の58%に相当します)。このカードは同国では民間も含めて広い領域で使われています。

今週から、同国では役所などでIDカードの署名の変更が始まっています。

ROCAはエストニアでは8月に知らされたとのことですが、3ヶ月以内に完全な対策を打ち出すのは、(人口規模が小さいとはいえ)かなり素早いなあというのが個人的な印象です。

Windows証明書、予想以上に偽造されていたと発覚

「Stuxnet的なコード署名、予想外の拡散」

arstechnica.com

イラン核開発に遅れをもたらしたStuxnetは、感染をスムーズに進めるため、正規のWindowsのコード署名がなされていました(コード署名されていないプログラムやドライバはインストールがしづらくなっています)。この方法は2010年の発見当時としては画期的な方法とされていました。

しかし、先日発表された研究によれば、この手法は遅くとも2003年には使われており、今ではかなり使われる手法になっていることが分かりました。しかも悪いことに、多くのアンチウイルスプログラムは、コード署名があるだけで見過ごす傾向があることもわかりました。

これは米メリーランド大のTudor Dumitra教授などがACMのコンピュータと通信セキュリティ学会で発表したものです。

論文PDF

  • マルウェアへのコード署名は2003年から始まり、2010年までにその利用が激増した。
  • マルウェアへのコード署名は過去、2006年、2008年、2010年、2013年に激増した(論文Figure 3)。
  • 筆者たちが調査した325の署名つきマルウェアの場合、4割強は署名自体がエラーだった(ハッシュが実際のバイナリと一致しないなど。署名領域をそのまま既存マルウェアにつなげていると考えられる)(論文7)。
  • マルウェアの署名の由来は、今回調査された111個のハッシュが整合するもの(前述のエラーを除外する)の場合、次の通り(論文7)。
  • 34種類のアンチウイルスプログラムに対して、一般的に検出可能なランサムウェア5種に、期限切れかつマルウェア利用実績がある署名を、単純につけた(ハッシュは当然不整合)結果、検出率が平均で2割、製品によっては8割落ちた(論文4.3)。

筆者たちが挙げる対策は次のようなものです(論文5)。

  • 署名時に、書名ツールが、明らかな発行元に対して、署名発行のタイミングや対象などを通知するようにする。
  • 署名時に、ログを取得し、それを第三者が検証できるようにする。

Mozilla、オランダ政府のCAを登録から外すことを検討

Mozilla、オランダのHTTPSプロバイダについて、現地のディストピアな法律を考慮して登録解除を検討」

www.bleepingcomputer.com

Mozillaは、Firefoxで管理するCA一覧から、オランダ政府直轄のCAを外すことを検討しています。これは同国で可決され、2018年初頭から施行される、情報とセキュリティサービス法を恐れてのものです。

この法律では、当局が暗号化された通信を傍受するために秘密の技術的攻撃手段をとることを認めています。この手段には、例えば「TLS用に偽の鍵を使う」ことなどが含まれます。偽の鍵を使うことで、当局はMitM的に平文を取得できる、というわけです。

このCAを登録解除しておけば、偽の鍵を使った場合、Firefoxは警告を出し、何かが異常である可能性を伝えることができます(利用者がそれを理解するかは別として)。

メッセンジャーアプリSignal、デスクトップ版を公開

Signalのデスクトップ版が出ました。Mac, Windows, Linux(aptパッケージ)に対応しています。なおWindows版は64bitのみなので注意が必要です。

https://signal.org/download/

mokake.hatenablog.com

以前はデスクトップOSで使うには、Chromeアプリしかなかったのですが、そもそもChromeアプリ自体が(Chrome OSを除いて)終わっている状態でもあったため、朗報といえます。

ちなみにアカウントはスマートフォン版または旧Chromeアプリ版から取り込むしかない点も注意が必要です。

今回のものはChromeアプリ版とほぼ同様とのことなので、(Chromiumをフロントに使う)Electron(またはNW.js)を使っているようですね。

googleのバグ・トラッカーでも脆弱性が見つかる

Google Buganizerシステムをいじって15600ドルのバグ報奨金」

medium.freecodecamp.org

Googleのバグトラッカーに脆弱性データベースの内容が漏洩する不具合」

www.bleepingcomputer.com

先日、Microsoftがバグ管理データベースに侵入されていたことが判明しました。

mokake.hatenablog.com

今回はGoogleのバグトラッカーであるBuganizerのバグが発見された、という話です。

ルーマニアのバグハンターであるAlex Birsan氏が、Buganizerに次の3点のバグがあり、本来権限のない者にも同社製品のバグ情報が伝わる可能性があると指摘しました。

  • "@google.com"ドメインのアドレスをBuganizerに勝手に登録できてしまう件
  • 本来アクセス権限をもたないはずのバグについて通知を受信する設定ができてしまう件(ただし発見者の方法では制約が大)
  • BuganizerのAPIを使って、全てのバグ情報にアクセスする権限を取得できてしまう件

最初のものは分かりづらいのですが、Buganizerにバグ報告をすると、その件のための追跡用アドレス「buganizer-system+カテゴリーID+不具合案件ID@google.com」が受信できるようになるらしく、それをBuganizerシステムのユーザとして登録できてしまう、というもののようです。これ自体は、ログインはできないのですが、他のGoogleの社員向けサービスが使える可能性が生じるようです。

Googleは通知を受けてすぐに反応、短時間で修正すると共に、Birsan氏にそれぞれ3133.7 , 5000, 7500ドルの報奨金を出しました(本当にどうでもいいことですが、エリート(eleet)が一番安いんですね)。

WindowsのDDE、マルウェアも活用中

先日、WindowsのDDE(Dynamic Data Exchange)機能を用いてマルウェアを実行させるテクニックが公表されていました。

MS-Wordでマクロを使わずコード実行」

sensepost.com

DDEは古くからWindowsに存在する仕組みですが、そこから各種実行ファイルを起動できてしまいます。しかもその際に出るメッセージは、セキュリティを全く想定させないものです。

この文書には、他のファイルへのリンクが含まれています。リンクされたファイルのデータでこの文書を更新しますか?

マイクロソフトはこの調査結果(公表前)に対して「これは仕様であり対応は行わないが次のバージョン(?)ではバグ候補とする」と返答。これを受けて公表に至っています。

そして、実際にマルウェアにより利用されているのが現状です。

「パッチされないWordのDDE経由の攻略法、広範なマルウェア攻撃で活用進む」

thehackernews.com

上記記事によれば、DNSMessenger RAT(トロイの木馬)やNecursボットネット(600万台のPCが感染しているとされるもの)、Hancitorマルウェア(各種マルウェアダウンローダー)などがDDEを利用するようになっているとのこと。

DDEは「仕様」なので、機能を止めづらいのですが、例えばWordなら、ファイルメニューから「オプション」→「詳細設定」→「文書を開いたときにリンクを自動的に更新する」のチェックを解除すると、勝手に実行するのだけは防げます(Excelでも同様の場所にある「リンクの自動更新前にメッセージを表示する」のチェックを「入れる」のようですね)。

ただし、メッセージに対してリンクの更新を許可したら実行されるので、あくまで外からのファイルを開く際には注意が必要です。