機械学習にバックドアを埋め込む研究が発表
少し古い話ですが。
「AI学習アルゴリズムにバックドアや処理改変をしかけられる可能性が指摘される」
ニューヨーク大学の研究者達が、ディープラーニングにバックドア等をしかける研究について発表しました。
論文は次のURLからダウンロードできます。
https://arxiv.org/pdf/1708.06733v1.pdf
現在、いわゆる「AI」の中心といえるのがディープラーニングですが、計算量が多いこともあり、しばしば他社の機械学習サービス(MLasS)を利用します。その処理の複雑さを利用することで、バックドアとなるような因子を埋め込むことができる、というのが今回の研究。
具体的な攻撃モデルとして、「攻撃者が学習過程(データや学習アルゴリズム)に介入する場合」と「攻撃者が介入して生成した学習後データをダウンロードさせる場合」が挙げられています。
今回は、例として、手書きの数字の認識と、交通標識(停止など)を別のものと認識させています。
研究者達によれば、もしこのバックドアを埋め込まれた場合、再学習をしても、誤認識の精度は下がるものの除去には至らないとのこと。論文では、予防と検出の研究を進める必要があるとしています。
「クラウドでチェック」なセキュリティツール、データ漏洩を指摘される
「次世代セキュリティシステムのトップメーカー、テラバイト級の顧客データを漏洩していると批判を受ける」
Carbon Black EDR (Endpoint Detection and Response)というセキュリティ製品は、ホワイトリストをもっており、それに該当しないファイルはいったんサーバにアップして調査する、という触れ込みです。
これに対して、DirectDefense社は、顧客データが漏洩していると指摘、批判しています(DirectDefenseは顧客企業から「うちのデータが漏洩しているみたいなんだが」と相談され調査した結果、この問題を見つけたそうです)。
サーバにアップした後、このサービスでは「マルチスキャナ」(VirusTotalのようなもの)にかけるのですが、その際にファイルのコピーが残ってしまうのです。このマルチスキャナサービスは、どうやら他の会社が提供しているらしく、そこはお金を払えばスキャンしたファイルを(他人のものであるにも関わらず)ダウンロードまでできてしまうそうです。
アップされたファイルは数十万件、容量にして数テラバイトとのこと。ファイル名は変更してあるそうですが、中身がそのまま出てしまっては、企業ユースの製品としては大問題です。
Carbon Black側は、CEOがこれに対して「マルチスキャナにアップするのはデフォルト動作ではなく、また警告も出している」と延べ、別の創業メンバーは「VirusTotalでのスキャンは多くの顧客から求められたものだ」と述べています。
顧客企業が、ファイルを誰しもがダウンロードできる形でアップされることを理解していたのかは分かりません。VirusTotalのようなものを別途セキュアな形で用意することが期待されていたのかもしれません(もっとも、これをやると利用されたセキュリティ製品のメーカーから「ただ乗りか」とどつかれそうですが)。
ペッパーなどに対するハッキングデモが公開
「家庭用ロボットは簡単にハックされ持ち主を監視、あるいは攻撃できる―研究者が指摘」
もう半月ほど前の記事ですが。
IOActiveの研究者達がペッパーや中国UBTechのAlpha 2などのロボットをクラックするデモを発表しました。クラックに成功すれば、搭載するセンサー類(カメラやマイクなど)の情報を盗み出したり、場合によっては行動を制御できてしまいます。また、産業用ロボット(記事中ではUniversal Robotics社のロボットアームが挙げられています)も侵入可能としています。
今のところ、これらのクラックにはロボットと同一のLAN、または物理的な実体にアクセスできることが必要です(つまりインターネット経由の攻撃は不可能)。このため多くのケースではそれほど実害はないだろうと思います。どちらにせよ、現状ではそれほどこの攻撃にメリットもありませんし。
今年もFappeningは開催中
(たぶん、英語圏の)女優さんたちの裸の写真をリークする「Fappening」、今年も開催されているようです。私は出てくる名前のほとんどが分からないので、名前はリンク先をご覧ください。
「Fappening 2017:今週のヌード写真リークリスト」
「Fappening 2017:さらなる多数のセレブのヌード写真、ハックされネットにリーク」
流出経路などは不明です。しかし、毎回「なんで裸を撮影するのかな」とは思います。ただし、あくまで悪いのはクラックや放出をしている側ですが……。
なお、いうまでもありませんが、変に探そうとするとマルウェアの餌食になりますから、うかつに手を出すのはやめましょう。
また、ジャスティン・ビーバーさん(この名前は聞いたことある)の裸写真も流出しているそうです。男性だからFappeningとは別ですかね…?
「何者かがSelena Gomezのインスタグラムアカウントをハック、ジャスティン・ビーバーのヌード写真をばらまく」
脆弱性買い上げ企業、スマートフォン重視で価格改定
「電話機への実攻撃可能なコード求む。最高額を用意して待つ」
未公開(「ゼロデイ」)の脆弱性を買い上げるZerodiumが、買い上げ価格を改定しました。従来よりもスマートフォン関連の価格が上がっています。
| 買い上げ最高金額 | 項目 |
|---|---|
| 150万ドル | クリック不要なiPhone遠隔脱獄 |
| 100万ドル | iPhone遠隔脱獄 |
| 50万ドル | メッセンジャーやメール、SMSアプリの遠隔コード実行&権限上昇 |
| 30万ドル | クリック不要なWindows遠隔コード実行 |
| 15万ドル | ベースバンドや主要ブラウザ、サーバ、スマートフォン上のメディア、文書ファイルを通じた遠隔コード実行など |
……といった感じで、iOS > Android > Windows > その他、という優先順位が感じられます(Zerodiumのサイトでは、まず「Mobile」の表、続いて「Desktops/Servers」の表があり、順序からも優先度は明らかでしょう)。今回は以前よりもメッセンジャーアプリの価格が上がり、ベースバンドやスマートフォン上での各種ファイルが追加されたのが目立ちます。
なお、この金額は「最高額」であり、実際はもっと低くなることが予想されます。また、Zerodiumは「完成品」のみを受け付けます。不安定だったり、部分的なコードでは買い上げません。
ちなみに最大50万ドル枠の「メッセンジャーアプリ」に含まれるのは、WeChat、Viber、Facebook messanger、Signal、Telegram、WhatsApp、iMessageです。類似アプリであるLINEは表の最後まで見ても出てきません。需要がないのでしょうが、なぜでしょうね。
また、最大15万ドル枠のブラウザはChromeとSafariです。サーバはApacheとIIS。
と言いつつ、10万ドルには「Linux上のFirefox+Torに対する遠隔コード実行&権限上昇」が入っています(Linuxクライアントではこれが最高額)。TorアクセスはWindowsよりもLinuxからというパターンが多いのでしょうね(Windowsだと最高額が8万ドルに下がります)。
Zerodiumは、買い上げた脆弱性について、限定された数の、主にヨーロッパや北米にある組織だけに販売している、と述べています(実際の取引先は非公開)。一方、同社に対しては、ゼロデイ脆弱性が反体制派やジャーナリストなどへの攻撃に無制限に使われているのではないか、との批判もあります。
Apple、イランのアプリを削除
「Apple、イランで人気のアプリを、米国の制裁に基づき削除」
Appleは、ストアからイランで人気のアプリを削除しました。ライド・シェアリングのSnappや、食事配達のDelionFoodsなどが含まれます。これは米国の現政権によるイランに対する制裁にあわせたものとみられています(詳細は不明)。イランの開発者や通信相はこれを批判しています。
ちなみにイランではiPhoneの販売が禁止されているのですが、実際には密輸されているそうです。スマートフォン全体の利用者数は推定で4800万人(イランの人口はWikipedia日本語版で7900万人)、SNS利用者は4700万人にのぼるとのこと。また、イラン通信相のツイートによれば、iPhoneのシェアは11%なのだそうです(ペルシャ語なので読めませんが「11%」は読めます)。なお、通信相は最近就任した若い人で、イラン政府のTwitterアクセス規制を解除させようとがんばっているそうです。
twitter.com۱۱% سهم بازار گوشی ایران متعلق به اپل است. احترام به حقوق مصرف کننده امروزه یک اصل است که اپل رعایت نکرده. حذف اپها را پیگیری حقوقی میکنیم.
— MJ Azari Jahromi (@azarijahromi) 2017年8月24日
ちなみに、Googleは同様の削除は行っていません。ただしイランでの有料アプリは(Googleにより)禁止されているそうです。
DDoSボット化したAndroidが増加中
「最もよく知られたAndroid DDoSマルウェアの1つ、100カ国以上で感染」
「WireX」というマルウェアは、Google Play上の300以上のアプリに含まれたこともあり、DDoS攻撃をかけることが可能です。調査によれば、このWireXは最大で12万以上のIPアドレスで動作し、その分布は100カ国以上にわたるとのこと。トラフィックは正しい形のHTTP通信であり、発信元の分布の広さもあって、遮断しづらいものといえます。
WireXによる攻撃は、(HTTPで)2万リクエスト/秒程度です。「少ない」と考える人もいるかもしれませんが、HTTP通信で、内容も自在なので、DB負荷など様々な形の攻撃が可能であり、かなり厳しいものといえます。
セキュリティ研究者などの努力により、WireXはとりあえず無効化された模様です(Googleが対象を削除した模様)。しかし、この攻撃はかなり有効であり、今後同様のものが増える可能性も予想しなければならないでしょう。
