米原発へのサイバー予備攻撃で使われた「無害なWord文書」
先週明らかにされた、米国の原発へのサイバー攻撃については、日本でもある程度報じられました。
この攻撃の起点は、よくあるものと同様にフィッシングメールです。しかし、このメールに添付されたファイルは、全く無害なものだったという調査結果が、調査にあたったCISCOのTalosチームから出ています。
「重要インフラへの攻撃で活用されたテンプレート・インジェクション」
フィッシングメールに添付されていたのは、Word文書。ただ、この文書には攻撃コードは一切含まれていませんでした。しかし、この文書を開くと、攻撃を受けてしまうのです。
その仕組みは、上述の記事タイトルからも想像できる通り、テンプレートです。
Wordのテンプレートは、実はリモートマシンやリモートドライブにあっても動作します。そこで、攻撃者は、自分の管理下にあるサーバをSMBアクセス可能な状態において、そこに攻撃コードを含んだテンプレートを配置します。あとは、このテンプレートを呼び出すWord文書を送りつけるだけ、というわけです。
ちなみに、この攻撃手法は(記事の中ほどにあるように)Githubにホストされていたものと同じIDを使っていますが、同一のものが攻撃に使われたのかは不明です(この手の攻撃では自らの所属を偽るために既存の他のシグネチャを入れるのは定番手法ですから)。
AV-TEST報告書:ランサムウェアはマイナー、macOSマルウェアが激増
「新しい報告書によれば、ランサムウェアは『瑣末な現象』」
「マイクロソフトがWindowsのセキュリティを強化するのにあわせて、マルウェアの矛先がAppleユーザに向かう」
AV-TESTの報告書が出たそうです(あいにくこちらは未読です)。
https://www.av-test.org/fileadmin/pdf/security_report/AV-TEST_Security_Report_2016-2017.pdf
これによれば、ランサムウェアは2016年に出たマルウェアのうち、わずか0.94%を占めるにすぎないそうです。
ランサムウェアは感染すればほぼ確実に分かることもあり、数以上に印象が強くなるとしています。
ちなみにマルウェア全体の数は、前年(2015年)と比べて15%減っているとか。特に「Windows専用」のマルウェアは13%減少しています。
一方で急増しているのがmacOS向けで、370%も増加しています。特にsoftpediaの記事で引用されているグラフを見る限り、2016年12月~2017年2月の数が非常に多いようです。
ちなみにこれらとは別に、iPhoneについて独特な傾向がある模様です。
「iPhoneのバグは、Appleに報告するには価値が高すぎる」
iPhoneの脆弱性に関して、Appleも(2016年後半と他社より大幅に出遅れたものの)報奨金制度(バグ・バウンティ)を設けてはいますが、分類によってはあまり報奨金が出ません。
一方、Zerodiumなどの企業は、脆弱性情報を高額で買い取ってくれます。例えば脱獄が可能な脆弱性を同社は150万ドル(1.8億円程度)で、同業のExodus Intelligenceは同様の脆弱性に50万ドル(6000万円程度)を出します。Appleの報奨金は最大でも20万ドルで、脱獄程度だと格段に下がるため、多くの場合はグレーマーケットに流れるようです。
ニュージーランドでも、入国時に機器のパスワードを要求が発生
「ニュージーランドの空港で『デジタル強奪捜索』、年間数百人のニュージーランド人がスマホやPCのパスワードの開示を強制されている」
米国への入国時にPCなどのパスワードを求められる事案は既に色々と出ていますが、ニュージーランドでも同様のことが行われている模様です。2015年から今まで、少なくとも1300人以上がこの強制を受けているとか。
密輸入者を探すため、としていますが、中のデータをコピーし(警察などの)省庁に引き渡すこともしていると認めています。
対象者のうち、ニュージーランド人が最も多く(1300人強のうち296人)、中国人(269人)、台湾人(91人)が続きます。
ちなみに現在、これを拒んだ場合に最大で5000NZDの罰金を課する法案が検討中です。
米国でもそうですが、この手の措置がとられた場合、拒否しつつの入国はかなり難しく、可能としても長期間の闘争が必要となります。残念ながら、国内外を越える際、デジタルデータの管理について慎重に考える必要が生じてきているようです。
NotPetya続報(作者が動きを見せる/当局がM.E.Doc機材を押収)
作者メッセージが登場
「NotPetya作成グループ、全ビットコインを移動し、ダークウェブ上で取引を提案」
NotPetyaの「身代金」振込先ビットコイン口座で、数回の移動があり、口座の全コイン(1万ドル強に相当)は他に移動しました。ロンダリングサービスに流す可能性が推測されています。
また、ダークウェブ上のPasteBinとDeepPostの2箇所でメッセージを発表しました。
「100BTCでマスタープライベートキーを売ってやる」
これを裏付けるように、Motherboardからの、NotPetyaに暗号化されたファイルを復元しました。
「NotPetyaランサムウェアに関わるハッカー、我々のファイルを復元」
このことから、NotPetyaは(以前にカスペルスキーの研究者が指摘したように)でたらめなIDを示していても、内部的には復号が可能な設計になっていることが推測されます。ただし、身代金を(初期に)支払ったとして復号可能になる可能性は少ないと思いますが。
なお、誰かが100BTCを支払うかは大いに疑問と元記事では述べています。
ウクライナ当局、M.E.Docのサーバを押収
「M.E.Docはサーバを2013年以来更新せず、3回バックドアを設置されていた」
見出しの通りですが、ウクライナ当局がM.E.Docのサーバを押収しました。実はNotPetya等に続く攻撃も予定されていたらしいのですが、この押収などもあって今回は防がれた、とウクライナ当局では発表しています。
また、CiscoやESETの調査により、M.E.Docサーバへのバックドア設置は4/14, 5,15, 6.22の3回に分割して行われたことも明らかになりました。1回目やテスト、2回目がXDataランサムウェアの配布、3回目がNotPetyaというわけです。
さらに、バックドア設置の際にM.E.Docの会計ソフトそれぞれのユニークなIDを収集する仕掛けも設置されたそうです。これにより利用企業の状況もつぶさに分かるというわけです。まさに1粒で何回もおいしいやり方です。
M.E.Docの会計ソフトは非常に重要な位置を占めているらしく、現在、ウクライナの多数の企業が古いバージョンのM.E.DocのソフトをGoogleドライブなどで共有して使っているそうです(サーバがないと動かないタイプ?)。これもまた結構危険な状況ですね…。
オリジナルのPetya作者がマスターキーを公開、NotPetyaには無力
「オリジナルPetyaランサムウェアの作者、マスター復号キーを公開」
これはPetyaシリーズ(MischaやGoldenEyeを含む)の全てに有効です。MalwarebytesやKasperskyで真正性が確認されました。
これらが活動していた時期は古く、そのときに暗号化されたデータを今もそのまま残しているケースは少ないため、あまり有効ではないだろうとみられています。
なお、言うまでもないことですが、このキーはNotPetyaによる暗号化には無力です。
NATO防衛センター、WannaCryやNotPetyaに言及
「NATO、WannaCryやPetyaの攻撃に対して第5条発動の可能性を警告」
「第5条」とは、これ。
http://worldjpn.grips.ac.jp/documents/texts/docs/19490404.T1J.html
締約国は、ヨーロッパ又は北アメリカにおける一又は二以上の締約国に対する武力攻撃を全締約国に対する攻撃とみなすことに同意する。したがつて、締約国は、(中略)自衛権を行使して(中略)必要と認める行動(兵力の使用を含む。)を(中略)直ちに執ることにより、(以下略)
要するに集団安全保障の根幹です。
ちなみに調べてみたところ、元ネタは下記ですね。
「NotPetyaおよびWannaCryに対する国際社会からの共同的対応の必要性について」
CCD COEはNATOのCooperative Cyber Defence Centre of Excellence(中核サイバー共同防衛センター)のこと。本部はエストニアに設置されています。
上記はそのセンターからのもの。
個人的に重要と感じる部分を箇条書きにしてみます。
- 本記事ではNotPetyaについてロシアの関与の可能性を明記している(もちろん断定はしていない)
- 第5条の発動対象は「武力攻撃と十分比較できる水準のもの」であり、今回はそれには該当しない("NATO’s Secretary General reaffirmed …“のパラグラフより)
- 本記事ではNotPetyaを「力の誇示」と位置づけている
- WannaCryとNotPetyaにより、改めて国際社会の対応の選択肢が課題となった
- 本記事では、被害国が共同で特別捜査(反撃ではなく)を開始する好機かも、と述べている
フランス当局、Windows 10のプライバシー問題を解決と発表
これらの続きです。
フランスのCNIL(Commission Nationale de l'Informatique et des Libertés:情報と自由に関する国家委員会)によるWindows 10のプライバシー問題追求が「Creators UpdateでOK」という結論で終了しました。
「Windows 10:マイクロソフト社への正規通知手順の終了」
(情報ソース)
「フランスのプライバシー監視部門、現在のWindows 10は利用者データを適切に扱うようになったと表明」
- 「基本レベル」でのデータ取得量を、動作やセキュリティ維持に必要と考えられるレベル(半分近く)まで減らした
- 利用者に対して、「広告ID」が「Webブラウザを追跡し、個人にあわせた広告を示すため」に使われることを、明確かつ詳細に示し、その使用を明確に設定するまで使えないようにした
以上のこと(およびPINコード認証の強化)から、CNILとしてはWindows 10は問題なしという扱いになったそうです。
