SnapChatの新機能「Snap Map」はプライバシーダダ漏れ?

「SnapChatの最新機能は最大のプライバシー脅威でもある」

www.theverge.com

今週はじめに投入された機能「Snap Map」。「あなたのいる場所を地図上で友人と共有する」というものです(この時点でお察しですが)。

Snap側はこれを「Our Story」上の写真の位置情報を共有する、という文脈で説明しています(Our Story上の写真は公開情報)が、デフォルト設定だと、この機能により「SnapChatを開くたびに位置情報がフレンドリスト上の全員にブロードキャストされる」という状態になるそうです。「写真をOur Story上で共有するたび」ではない点がポイントです。

Snap Mapは有効化のプロセスがあるものの、前述のような説明なので、多くの利用者はそれを意識していないと考えられます。

上記記事中で、この記事の著者は、友人の1人の自宅(もちろん未知)の場所を、Snap Mapの表示からほぼ正確に特定してしまっています(つまり、各人のSnap Map上には友人たちの位置が常に表示され、友人たちがSnapChatを開くたびに位置が更新されるようです)。

では、どうすればいいか。アプリ設定で「ゴーストモード」を有効にすればいいようです。

Windows 10 S、Wordマクロであっさり陥落

mokake.hatenablog.com

なんて話もありますが、実際に試したところ、Windows 10 Sはあっさりと攻略できたそうです。

マイクロソフトいわくWindows 10 S上で『既知のランサムウェアは動かない』―ならばハックしてみよう」

www.zdnet.com

Windows 10 S搭載の新しいSurface LaptopをハックしたのはZDNetの編集部員ではなく、セキュリティ企業Hacker House創立者Matthew Hickey氏。自身もセキュリティ研究者です。

結果として、3時間で攻略できました。

Windows 10 Sはストアアプリ以外動作しないことに加えて、PowerShellも動作しないなどで侵入口をふさいでいますが、まだ穴がありました。それがWordマクロ(Wordはストアから利用可能となっています)。

Matthew氏はマクロからreflective DLL injection攻撃をかけて、管理者権限を取得しました(マクロからタスクマネージャを経由してWordを管理者権限下においた…ように読めます)。

なお、マクロ入り文書は通常「保護されたビュー」で開かれ、マクロは自動では実行されません。今回は対策として共有ネットワークドライブ上から当該文書をダウンロードする形にしていますが、ソーシャルハッキングの手法でマクロを実行させることは十分可能に思えます。また、「目の前のWindows 10 S機で自由にプログラムを動かしたい」場合なら自分でマクロを有効化するかもしれません。

管理者権限を得てしまえば、あとは何でもやりたい放題です。この辺は管理者権限が普通のWindowsだと対策がしづらいかもしれません。

今回のハック結果については、記事の公開前にマイクロソフトにも通知済とのこと。回答はざっくり言うと「6月はじめに述べた『既知のランサムウェアに対して脆弱ではない』は今回の結果に関わらず正しい。また当社は常に脅威の監視を続けており、Windows 10が最もセキュアであり続けるようにしている」という、まあ、そういう回答でした。

こういった攻略経路への攻撃が増えるかどうかは、10 Sがどれだけ普及するかにかかっているので、不評ならずっとセキュアかもしれません。たとえばWindows 10 mobile向けのマルウェアとか聞きませんから、セキュアだろうとは思います。

Android用マルウェア作成チュートリアル、着々と成長中

「最近のPlayストア上のAndroidマルウェアの急増は、こいつに責任がある」

www.bleepingcomputer.com

クラッキングフォーラムにおいて、Maza-inと名乗る者が、Androidマルウェアを作るチュートリアルサンプルソースコードを載せています。

しかもPlayストアで検出されないような難読化処理なども、状況にあわせて改訂が進んでおり、マネするだけであなたも簡単にバンキング・マルウェアが作れます!という状況です。

と、これで手持ちの過去記事を一通り書きました。4月頃からだんだんたまって、やや負担になっていたのですが、とりあえずこれですっきり。

ブラウザのオートフィル機能を悪用して情報収集

「『送信』ボタンを押す前から個人情報を取得する会社があった」

gizmodo.com

オハイオ州のNaviStoneという会社は、「サイト訪問者の氏名や住所を明らかにする」と述べています。

彼らのスクリプトを仕掛けた、(おそらくはNaviStone顧客企業の)オンライン入力フォームは、「送信(Submit)」ボタンを押さなくても、フォーム内容を送信してしまいます。

「え?でも、わざわざフォームに入力したけど止めるってケース、そんなに多くないのでは?」と思う人もいるでしょう。

そこで出てくるのがブラウザのオートフィル機能。フォーム入力欄の名前属性に応じて自動的に内容を埋めてくれる機能ですが、これなら当該フォームを訪問した時点で、フィルされた情報は全部伝わるというわけです。

さて、上記記事でgizmodeはこのフォームを使った各社に使途についての問合せを行っています。返答はごくわずかでしたが「興味を示した訪問者に再活性化してもらうため。メーリングリストにも入れている」といった回答が得られているそうです。

また、NaviStone社にも問い合わせを行っています。その後、同社は「送信」前のデータ収集は止めた、と述べているそうです。

しかし、この手法は比較的簡単に使えるため、他の企業が同様のことを行うのは簡単ですし、そもそもオートフィルを期待するならばフォームが見える必要すらありません。つまり、フォーム要素が見えないページで、オートフィルされたデータが自動送信されている可能性がある、というわけです。

対策としては、やはりオートフィルを止めるのが一番でしょう。各ブラウザの設定画面から止めることができるはずです。

ドローンが電線に衝突、周囲の灯かりが消える

「ドローンが電線に衝突、シリコンバレーの家屋が真っ暗に」

www.bleepingcomputer.com

半月ほど前(6月8日)のこと、米マウンテン・ビュー(Google本社などのある地域)で、ドローンが電線に衝突し、3時間ほど一帯が停電するという事故(事件?)がありました。

影響を受けた住人は1600人ほど。

この件が意図的なものなのか偶発的な事故なのかは不明です。

Intel CPUの特殊機能を活用するマルウェアが登場

マルウェアIntel CPUの機能を使ってファイアウォールを避けつつデータを窃取」

www.bleepingcomputer.com

マイクロソフトのセキュリティチームが、「PLATINUM」グループ(少なくとも2009年以降に活動中)によるマルウェアの挙動を解析し、Intel CPUの一部にだけ搭載された機能を使っていることを突き止めました。

この機能はIntel AMT SOLというもの。略さず書くと、Intel Active Management Technology Serial-over-LANというものです。これはIntel ME(Management Engine)の一部で、大企業などのネットワーク内で管理者の利便性を考慮して作られた機能。

Intel MEはCPUが電源オフの時でも動作します。そしてSOLはLANを経由してTCP上でのシリアル通信ができるというもの。管理者が端末をリモート管理するための機能です。ちなみにIntel MEはメインのCPUとは独立で動作するため、通常OSからは見えません。

なお、AMT SOLはデフォルトが非動作なため、おそらくほとんどの個人ユーザには関係ありません。

PLATINUMのマルウェアは、この機能を悪用して、PC内部のデータを外に送っているそうです。なお、この機能が「ONなら悪用する」なのか「秘密裏に起動する手段をもっている」のかは不明とのこと。

この機能が大きな組織でしか使われないことや、これを経由するというのは(情報の窃取という意味では)非常に洗練されていることなどからみて、PLATINUMは国家の裏打ちのある組織である可能性が高いとみられます。

マイクロソフトでは、AMT SOL機能を起動する、またはアクセスする時に警告することで、この件は検出可能と述べています。

偽ニュースも携帯ハッキングも買える時代に

FaaS?

昨年の米大統領選挙で、偽ニュース(フェイクニュース)の作成と流通についても話題になりましたが、既にこれもサービス化しているようです。FaaS(Fake-news as a Service)ですかね?

「選挙に影響を与えるフェイクニュースを12ヶ月流し続ける費用は40万ドル」

www.bleepingcomputer.com

(元となった調査報告書(PDF):すみませんが未読です)

https://documents.trendmicro.com/assets/white_papers/wp-fake-news-machine-how-propagandists-abuse-the-internet.pdfdocuments.trendmicro.com

トレンドマイクロの調査によれば、偽ニュースの発行を扱う市場が中国語、ロシア語、アラビア語、英語で既に成立しているようです。

たとえば、次のような価格なのだとか。

  • 偽のセレブ(フォロワー30万人)の作成 2600ドル
  • 偽ニュース記事を通じた、街頭抗議の扇動支援 20万ドル
  • ジャーナリストの評判を落とす 5万ドル
    • 当該ジャーナリストを貶める偽ニュース記事を用意し、5万のリツイートorいいねと10万ビューを与える 2700ドル/週
    • 評判を落とすビデオの作成 2500ドル/本
  • 選挙や政治などに影響を与える 40万ドル
    • 5つ以上の偽ニュースサイトで相互参照する偽記事の発行 3000ドル/サイト/週
    • 偽記事が、主流派メディアや他ジャーナリストから参照されるようなプロモーション 3万5000ドル

……といった感じです。もちろん、この手の商売の定番で、実際の効果は怪しい雰囲気を感じますが、かつてならCIAやFSB(旧KGB)がしそうと思われることがネットで注文というカジュアル化はすごいと思います。

携帯乗っ取りが今ならたったの6万円

「500ドルで携帯の追跡やSMS干渉を約束するサイト」

www.theverge.com

以前から知られている電話バックボーンSS7の脆弱性を使って、携帯の場所を追跡したり、ターゲットへの通話やSMSを自由に制御(他へ回す、単純に阻害するなど)ができるサービスの記事です。

これはTor上のサービス"Interconnector"で、既に数年も「サービス」を提供しているとしています。月額500ドル~。

上記記事では、サービス運営者"Interconnect0r"に接触を試み、「技術的には別に難しくなくて、むしろ自分の心を抑えるほうが難しい」といった返答も受け取っています。

なお、こちらについても、The Vergeには「あのサービスを使おうと支払ったが無視された」などの告発があり、本当に使えるのかは不明です。