KasperskyによるWindows10批判の件、まだ続きがあった模様
過去の記事
の続きです。
共同で…と言っていたはずですが、Kasperskyがヨーロッパ(EC(欧州委員会)とドイツのカルテル局)で提訴しました。
「カスペルスキー、マイクロソフトがアンチウイルスソフトを停止させたとして反トラスト提訴」
これに対してマイクロソフトは反論。
「マイクロソフトからカスペルスキーへ:Windows 10のアンチウイルス関連の挙動は競争法に違反していない」
また、つい最近、マイクロソフト側で出たこの記事も、本件に関するものと考えられそうです。
「Windows 10の顧客を守るため、アンチウイルスの関係者一同と協力しています」
https://blogs.technet.microsoft.com/mmpc/2017/06/20/partnering-with-the-av-ecosystem-to-protect-our-windows-10-customers/blogs.technet.microsoft.com
中身は別段目新しくないのですが「顧客を常時保護する(always on customer protection)」ことを重視している、というのが基本的な主張となります。
Kasperskyの主張のうち「他社のアンチウイルスが期限切れになると、すぐにWindows Defenderが代わる」ことについては、個人的には、莫大なWindows利用者を保護する価値が優先されるべきではないか、と感じます。
多数のアプリでサーバ側から莫大なデータが漏洩中
アプリのセキュリティというと「マルウェアが(意図するかに関わらず)組み込まれるか」あたりが問題になりがちですが、実際には、多くのアプリが背後でサーバと通信している以上、サーバ側も問題となります。
しかし、一般にアプリサーバはブラウザでアクセスしないためか、その辺をちゃんと考えてないところも多いようです。
モバイル・エンタープライズ系のセキュリティ企業Appthorityの報告書では、このサーバ問題を扱っています。
「1000のアプリのバックエンドサーバ、ユーザのデータをテラバイト単位で漏洩」
(ネタ元)
「2017年第2四半期 モバイル脅威レポートのダウンロード 「HospitalGown」脆弱性:バックエンドからの漏洩によりエンタープライズ級企業のデータは危険な状態」
同社は当初、MongoDBやRedis、MySQLなど多数のサービスを調査する予定でしたが、あまりの膨大さに調査範囲をElasticsearchに限定しました。それでも21000のサーバが何らの認証も設定しないまま放置されていることが判明しました。
これらのサーバで公開されてしまっているデータの総量は43TBにも達し、その中には個人を特定可能な情報も含まれます。
さらに詳細調査として39個のアプリに限定したところ、これらだけで163.53GBものデータが(Elasticsearchに限らず)漏洩していることが分かりました。ユーザ数としては2億8000万件です。
Appthorityでは調査結果を受けて、大半のデータは既に悪意ある者により盗まれ、販売されている可能性が高いと結論しています。
同社はエンタープライズ級の企業を想定していますが、この調査結果にあるサーバの危うさは他の分野でも共通する可能性が高いでしょう。APIをJSONのみに限定したところで問題があることを考慮するべきでしょう。
マツダ車をUSBメモリ1個でハック。スバル車も脆弱性。
車内エンターテイメントシステム「MZD」を搭載した車が、(必要なファイルを書き込んだ)USBメモリをさしこむだけでハックできることが解析され、お手軽一発スクリプト集もgithub上におかれています。
これは、MZD自体を改造して自分の好きなアプリケーションを入れることなどを目的としたエンスージアスト達の解析結果によります。
MZDはUnix系のシステムを使っており、しかもさしこんだUSBメモリに対してAutoRun的な自動実行機能をもっているために可能なこと。
なお、このハックは車のエンジンが動作している間しか実行できないため、窃盗犯による悪用はしづらくなっています。また、このハックはMZDが対象なので、基本的な車の動作には関連しないはずですが、セキュリティ研究者Aris Adamantiadis氏は「WiFiに接続できれば、DBUSを通じてCANバスにアクセスできてしまう」と述べているのは少し気になるところです。
また、この問題は既にMZD Connectファームウェアの「59.00.502」で対策済みです。対象車種はリンク先へどうぞ。
ちなみに、スバルの車も(スマートフォンからの接続を前提とした)Starlinkサーバに脆弱性があり、ドアロックやクラクションをいじったり、走行履歴などを窃取できるようです(ブレーキやアクセル、ハンドルは操作不可能)。
「スバルの新車に脆弱性、ドアロックが解除可能だった」
こちらは、最初に車の正規の持ち主に対して(リンクをクリックするなどの)操作をさせる必要もあり、危険性は比較的低いと考えられます。また、現状ではほとんどの問題は解決しているとのこと。
問題は、スバルの前年の車種でも似たような脆弱性があり、指摘を受けて修正したこと。新モデル開発チームは、この問題を共有できていなかった可能性があります。
1000万台の車の識別情報が漏洩、車の盗難が捗る可能性
「1000万台の車両識別番号が漏洩!」
https://mackeepersecurity.com/post/10-million-vin-numbers-exposedmackeepersecurity.com
「1000万台の車の識別情報を含むデータベースが保護なしで放置、全米の車泥棒大喜び」
Kromtech Securityのセキュリティ研究者達が、認証などで保護されていないデータベースを発見しました。そこには米国での車の販売に関するデータが入っていました。
この結果、1000万台の車について、購入者の詳細(氏名、住所、電話番号、12歳以上の子供の一覧など)だけでなく、VIN(Vehicle Identification Number:車両識別番号)が漏洩していたようです。
VINが漏洩することで、泥棒たちはその車両を正規品として転売することも可能となるため、問題とみられているようです。
ちなみにVINそのものは、比較的シンプルな形式ではあります。ただ特定の車両のVINを推測するのは厄介でしょう。
車両識別番号 - Wikipedia
https://ja.wikipedia.org/wiki/%E8%BB%8A%E4%B8%A1%E8%AD%98%E5%88%A5%E7%95%AA%E5%8F%B7
米FCCのネット中立性破棄案、その後
米FCC(連邦通信委員会)のトップがAjit Pai氏に代わって、ネット中立性を破棄する案が出たところまでは書きましたが、その後5月中に色々とありました。かなり遅くなってますが、概略をご紹介。
パブリックコメント募集するもサーバダウン
「FCCによる『ネット中立性コメントシステムがDDoS攻撃を受けた』という主張に対する検討」
今回の提案についてパブリックコメントの募集が行われましたが、受付中にFCCのサーバはDDoSによりダウン、それ以上のコメントができなくなりました(その後復帰。コメントは8月16日まで受付が続きます)。
実は、コメント受付開始に伴って、コメディアンのJohn Oliver氏がコメントを呼びかけ、コメントを送るFCCのページにリダイレクトするだけのドメインまでとっていたのですが、それ以外のアクセスも想定されます。
FCCはこの件について、「複数のDDoS攻撃を受けた」「FCCの外部から大規模な攻撃が、商用のクラウドホストから来た」とは言うものの、詳細が出てこないことから、「フェイクDDoSではないのか」という憶測も呼んでいました(もっとも、FCCでもシステム管理関係者は党派性はなく、現在の人々はオバマ政権から継続して勤めているので、あまり積極的に疑えるかは疑問とのこと)。
ちなみに、FCCのCIOがZDNetのインタビューを受けた、というのが次の記事。
「CIO日記:FCCへのボット軍団による攻撃の教訓」
ただし、詳細はありません。FCCが公的機関である以上、「プロトコルなどをクローズにする」「CAPTCHAなどを使う」といった方法は端から採用不可能だった、という苦労話です。
大量のスパムコメント。その身元は流出データに基づく偽装だった。
「反ネット中立のスパマー、実在の人物になりすましてFCCに怒涛のコメント」
「FCCにスパム攻撃をした反ネット中立ボットは、氏名を漏洩したデータベースから引き出していた」
FCCには、大量の同一文言のコメントも届いていました(5月10日の上記記事時点で58000件)。それらは今回の案に対する賛成意見ですが、送り主はそれぞれ異なる実在の人物でした。
問題は、それらの人物は、少なくとも送られたようなコメントはしていないこと。
2つ目の記事によれば(根拠のリンクがずれているような気がしますが)、これらの送り主情報は、巨大スパム業者RCM(River City Media)が漏洩していた14億もの個人情報に含まれるものとのこと。
本当なら、個人情報の流出による問題が出る実例の1つとなります。
ブラウズ履歴の保護をむしろ強化する「BROWSER」法案も登場
「新しい『ブラウザ』法案、ブラウズ履歴共有の制約を目指す」
今回のFCCのネット中立性破棄案を推進した議員の一部から、今度はブラウズ履歴の保護を強化する法案が登場しました。
BROWSER (Balancing the Rights of Web Surfers Equally and Responsibly)と名づけられたこの法案は、ブラウズ履歴を含む利用者の機微情報の共有に、オプトイン承認を求めるものです。
これだと現状(ネット中立性が生きている状態)と同じように見えますが、この法案はプロバイダだけでなくウェブ企業も対象である点が違います。要するにGoogleやFacebookにも規制をかけるという案です。提起者のMartha Blackburn議員によれば「ウェブ企業にも通信企業と同じルールを適用するために提案した」とのこと。
同時にこの法案は、州以下のレベルでの追加規制を禁じるという側面もあるとのこと。
ターゲットとなるGoogleやFacebookが見過ごすはずもなく…。
「GoogleとFacebookのロビイスト、新たなオンラインプライバシー保護案の阻止を目指す」
というわけで、さっそくBROWSER法案の阻止に動いているようです。
また、7月12日には、各種のサイト上で「day of action」が展開されます。現在は参加者を増やすための呼びかけ中。
「Amazon、Reddit、ACLU等、ネット中立性のための『アクションの日(day of action)』を設定」
「『ネット中立性のためのDay of Action(7月12日)へのご参加を」
マイクロソフト、現行ランサムウェアはWindows 10「S」では無効と発表
「既存のランサムウェアはWindows 10 Sでは動かない」
表題の通りですが、マイクロソフトが(Chrome OS対抗で)準備しているWindows 10 Sでは既存の(Windows向け)ランサムウェアは動作しないと述べています。
まあ、当たり前ですよね。「S」はストアアプリ以外は動作できないバージョンですから。
それを言うなら、iOSはもとより、脆弱性が放置された機種が多数存在するAndroidでも、現状、デフォルト状態では、「ストアから自ら入れる」以外にマルウェアへの感染経路は、事実上ありません。
一方、ストアアプリだけに限定されたWindowsは、Windowsである強みが(サポート期間の長さ以外)ほとんどなく、単にアプリが極端に欠如したOSでしかありません。教育用(あるいは大企業のダム端末)などの特殊な目的ならいいと思いますが、それ以外なら……他のOSを選ぶのではないでしょうか。
プリンタの黄色いドットへの対抗策
に関連して。
「研究者、内部告発者を隠れたプリンタのドットから守る提案」
CryptoAUSTRALIA社のセキュリティ研究者Gabor Szathmari氏が、今回の件を受けて1つのプルリクエストを送りました。
送り先はPDF Redact Toolという、PDFのメタデータ等を削除(必要ならばいったん全体を画像化し、編集後再度PDF化)するツールで、皮肉にも今回の元となった記事が掲載されたThe Intercept紙の発行元First Look Media社によるものです。
プルリクエストの中身は、「画像を白黒化するオプションの追加」で、これにより黄色のドットは白になり消え去るというもの。github上の議論を見ても、メイン開発者の発言がないので、取り込まれるかはよく分かりません(ツールの目的と違うのでは、という指摘も出てます)。
もっとも、今回の場合、(逮捕された人物が本当に告発者だとしたら)職場のPCで連絡をとっているなど、ちょっと迂闊すぎるので、どちらにせよバレてしまいそうですが……。
なお、プリンタの見えづらいメタデータ印刷(Yellow Dots)については、以前から、EFF(電子フロンティア財団)が反対してます。
また、メーカーへの働きかけを促すサイトもあります。
