読者です 読者をやめる 読者になる 読者になる

Windows10のDefenderの件、カスペルスキーとマイクロソフトが共同で対応へ

以前、KasperskyなどがWindows10のWindows Defender関連で抗議している話がありました。

mokake.hatenablog.com

その後について久々に(もう1ヶ月近く前ですが)続報がありました。

カスペルスキーマイクロソフト、Windows10のアンチウイルス独占抗議の件で調査」

news.softpedia.com

マイクロソフト側から申し出があり、両社共同で改善に取り組んでいるようです。詳細は不明。

インドの国民データベース、データ漏れが発覚

「インドのAadhaar生体情報データベース、セキュリティ上の悪夢寸前の状態」

www.bleepingcomputer.com

日本では「他人に知られてはいけない」にも関わらず「書かなければならない場面が結構ある」という扱いづらいマイナンバーが施行されてますが、インドでは12桁の国民背番号どころか住所、銀行口座、携帯番号、さらには生体情報(目の色や指紋、身長、虹彩スキャン)まで含む巨大なデータベース「Aadhaar」が稼動しています。

forbesjapan.com

このAadhaar(アドハー)のデータが漏洩していることが、5月頭に発覚しました。これは、Aadhaarのデータを扱う他の政府組織(報道では4組織)の不注意によるもので、1億3500万件が漏れたとされています。データベース本体ではないものの、複数の流出に既存の他のデータを組み合わせることで、実質上同様のデータベースを外部の人間が構築、悪用することが懸念されています。

Aadhaarは、普及を目指す政府により、あらゆる場面(例:学校への入学、携帯のSIMカード購入)で適用されており、一部の空港での搭乗管理にも使われています。このため、極めて多くのデータが登録されているわけです。

インド政府は情報漏洩の事実を認め、調査を開始、Aadhaarのセキュリティポリシーの改訂を検討していますが、既に漏れたデータは取り返せません。

いくら厳格な管理を定めても、実際に運用する人間にはミスや悪意はつきものなので、扱う人間が増えるほどリスクは自動的に高まってしまいます。米国のNSAやCIAでも情報は漏洩します。巨大な組織が大量の個人情報をデータベース化することは、それ自体がセキュリティリスクと考えるのが妥当かなと思います。

北朝鮮「を」狙うマルウェアが見つかる

色々で更新が滞っておりましたが、とりあえず復帰です。

さて、北朝鮮マルウェアというと、「北朝鮮マルウェアを仕掛ける」というイメージがありますが、逆の例もあるそうです。

北朝鮮を(少なくとも1回は)狙ったマルウェア

www.bleepingcomputer.com

これはCiscoのTalosチームが見つけたもので、「KONNI」と名づけられています。少なくとも2014年から活動していたことがわかっており、国連などに出席する北朝鮮の人員を狙っていたようです。

記事中では「ただし、他国によるものとは限らない」と述べています。自国人員の監視用?

Ashley Madisonの流出事件は続く&英でも漏洩事故

不倫用出会い系サイト「Ashley Madison」のデータが流出した事件は有名ですが、実は今でも恐喝が続いているようです。

「アシュレイ・マディソンにまつわる脅迫、再び襲い掛かる」

www.zdnet.com

Ashley Madisonの利用者たちのところに、脅迫メールが届いているようです。

2017年5月1日に新しいサイト「Cheaters Gallery」を開設します。ここでは家族をだまし、崩壊させた者たちを晒しものにします。開設にあたっては、家族をだました者たち(cheater)の友人や家族をFacebookやLinkedInなどのSNSで洗い出し、大規模なメールキャンペーンも行う予定です。あなたの支払いがない場合、ここにはあなたも含まれます。

ちなみにAshley Madisonに書いたプロフィールもついてくるそうです。

この晒しを避けるためのコストは500ドル、支払いはBitCoinだとか。

もちろん、脅迫がこれで終わるというわけでもありません。データが流出した以上、永遠に脅迫の可能性は残ります。

英ガーディアン・ソウルメイツでも流出事件

今度はイギリスの話です。

「ガーディアン・ソウルメイツ利用者、データ漏洩後にスパムに見舞われる」

www.bbc.co.uk

イギリスのデートサイト「Guardian Soulmates」(こちらは不倫専門ではない模様)でも情報漏えいがあったそうです。

運営会社(Guardian News & Media)によれば「外部の技術サービス会社のミスによるもの」だとか。また漏洩した情報はメールアドレスとアカウント名だけ、としています。

利用者のもとには、性的なスパムが来ているようです。少なくともBBCに報告した人の中には、他では使っていないメールアドレスに届いていたり、ここにしか登録していない情報が参照されているようです。

ちなみに、情報漏洩はどうやら2016年4月にあり、スパムなどは同年11月までには届きはじめていたようです。

Shodan検索エンジンにマルウェアC&Cサーバ検索機能が追加

ポートを認証なしで開けっ放しにしているプリンタなどの検索ができるShodanに、新サービス「Malware Hunter(マルウェア・ハンター)」が登場しました。

https://malware-hunter.shodan.io/malware-hunter.shodan.io

これはマルウェア感染済みのクライアントを装って指令(C&C)サーバを見つけるものです。

実際の検索には無料のアカウント作成が必要です。

Unroll.meによるUberへのデータ販売と「商品」

先日、メールを自動的に整理するサービス「Unroll.me」がデータをUberに販売していたことが明るみに出て大騒ぎになりました。

japan.cnet.com

yro.srad.jp

この件で想起するのは「何かにお金を払ってないのなら、あなたはそこの顧客ではない――あなたの方が売り物の商品なのだ」という格言です。

http://www.yamdas.org/column/technique/you-are-not-the-productj.htmlwww.yamdas.org

少なくともUnroll.meは「匿名化されたメールの情報」は売っているわけで、FacebookGoogleとは一線を画するものがあるといえそうです。もちろん人そのものを売っているわけではない以上、「利用者は商品」は(人身売買が依然存在することなどを考慮すれば)言いすぎかなとは思いますが。

自分が利用するサービスの対価を知るための基本は、契約内容を見ることです。もっとも、いつの間にか変えられているようだと困りますが。

togetter.com

一方、サービス提供側が株式を市場に出していれば、投資家報告(IR資料)を見れば、より実際的な「対価」を知ることができるでしょう。

一部ケーブルモデムのSNMP実装に「StringBleed」脆弱性が見つかる

タイトルの通りですが、ケーブルモデムの一部機種におけるネットワーク管理用プロトコルSNMP実装に脆弱性があり、認証なしで任意の処理が可能なことが判明しました。

「ケーブルモデムの一部モデルにSNMP『神モード』を許す不具合が見つかる」

www.bleepingcomputer.com

これは(現象からみると)SNMPのV1,V2の「community string」(送信側が送る認証用文字列)を検証していないものと推測されます。

「community string」を使う認証(?)方式自体がHTTPベーシック認証未満の緩いもの(LAN内でのみ使われる前提だったのでしょう)な上にこの脆弱性なので、厳しいところです。

なお、そもそもcommunity stringはデフォルトのことが多く問題になりやすいようですね。

www.atmarkit.co.jp

影響を受けることが判明しているモデルはCiscoなどの58モデルで、記事末尾についています。