モノを使った2要素認証の研究結果が発表される

「2要素認証コード、モノで置き換え可能との研究」

www.theverge.com

「研究者、普通のモノの写真を使った2要素認証を考案」

www.bleepingcomputer.com

2要素認証(2FA)はかなり広まってきましたが、パスコードをSMSで受信する処理はやや遅く、しかもSMSが(SS7脆弱性により)宛先を書き換えられることが分かっているのもあり、他の手段の模索が行われています。

今回の記事で紹介されている研究「Pixie」は、フロリダ国際大学ブルームバーグの共同で、利用者がもっているモノをスマートフォンのカメラで撮影し、その画像を認証に使うというものです。

これも、SMSやYubikey認証と同様に「あなたが何を持っているか」で認証するものですが、認証に使うモノを自由に選べるところがポイントです。撮影のたびにライティングなどの環境は異なりますが、そこは考慮して判定するとのこと。

認証に使うモノを他人に知られる可能性はありますが、角度や認証に使う部分などの工夫により脆弱になるのは避けられる、としています。

ちなみにPixieアプリのコードはGitHubで公開されています。もちろん現段階で実用はできません。

Kaspersky、NSA機密情報の件の第1次調査結果を公開

「米国メディアが言い立てる件に関する内部調査の第1次報告」

www.kaspersky.com

カスペルスキーNSA機密情報を盗み取った、とする米国での報道への反論です。以下は報告の内容であり、私の意見ではありません。これをどう見るかは各人の判断に任されます(個人的にはCEOの指示でマルウェアを削除するというのは驚きですが)。

報告内容の概要

調査によれば、NSAのものと目される当時未知だった、NSAのものとみられるマルウェアが見つかる、という事象は、(報道された2015年ではなく)2014年に発生したとのこと。当時同社ではEquation Group (NSA)の攻撃についても調査していました。

そんな中、とある米国のユーザのPCから、Officeの製品キー生成ツールの中にバックドアが発見され、ユーザは慌ててスキャンを複数回実施。その際に、Equation Groupの当時未知だったマルウェアが発見されました。このデータは同社に送信され、ソースコードなどを含むものと判明しました(このマルウェアが検出されたのは2014年の10~11月のこと)。

調査に関わったセキュリティエンジニアはCEOに報告、その後CEOの指示により当該マルウェアアーカイブは削除されました。またこのアーカイブは外部との共有はされていません。

その後、2015年2月に、先と同じIPアドレス帯域で、Equation Group関連の様々な(実行不可能かつ比較的普通な)サンプルが入った複数のPCが、カスペルスキー製品入りで検出されました。同社はこれをハニーポットと推定しました。これらに対して同社製品は特別な対応はしていません。

また、同社はTop Secret指定などの「文書」は検出していません。

一部の乱数実装の脆弱性「DUHK」

KRACK(WPA2のプロトコル脆弱性)やROCA(RSA暗号実装の脆弱性)に続いて、またも暗号関連の脆弱性が出てきました。

「暗号鍵を復元できるDUHK暗号攻撃、VPN接続などに脅威か」

www.bleepingcomputer.com

今回の脆弱性ANSI X9.31乱数生成器の実装に関するもので、鍵生成のシードとしてハードコードされた定数を用いていると、外部から通信を傍受するだけで暗号鍵が復元できてしまう、というものです。傍受だけなので、攻撃を検出する手段は事実上ありません(いきなり正しい暗号鍵を使われます)。

そもそも「DUHK」自体が「Don't Use Hard-coded Keys」の略です。

実はANSI X9.31は、2011年には米NISTにより旧式規格に格下げされ、2016年には米FIPS(連邦政府向けIT基準)から除外されましたが、それでも多数の使用例があります。

記事中盤に脆弱な製品リストがありますが、個人的にはルネサスのAE57C1あたりが(更新が難しそうで)気になります。

FBI長官、暗号化処理バックドアを求めるべきと発言

「FBI長官いわく:突破不可能な暗号化は『巨大な、巨大な問題』」

arstechnica.com

「トランプ政権の司法省、暗号化の弱体化を『責任ある暗号化』と呼ぶイメージ作戦を展開」

arstechnica.com

FBI長官(最初の記事)と司法省ナンバー2(2つ目の記事)で、それぞれ米国において法律に関して重要な立場にいる人々が暗号化の弱体化を訴える発言をしているようです(英国でもまた類似の発言があったのですが、記事を失念してしまいました……)。

クリッパーチップの頃から繰り返される愚行は繰り返されています。

念のため。こういった措置をとった場合、他国(敵対的国家に限りません)や悪意ある者たちが利益を得る可能性が非常に高く、しかも発覚する保証すらありません。

RSA暗号実装の脆弱性、IDPrime.NETにも存在か

「暗号の脆弱性により数百万のスマートカードがクローンされうる可能性」

arstechnica.com

下記の件の続きです。

mokake.hatenablog.com

ROCAについて、当初脆弱性が指摘されたInfineonの製品に加えて、蘭GemaltoのIDPrime.NETも脆弱な可能性が高いことが判明しました。AWSなどの計算サービスを使えば、鍵長が1024ビットの場合で数時間、2048ビットでも数日で公開鍵から秘密鍵を算出できてしまいます。

この製品は2004年に登場し、当初マイクロソフト社員がネットワークアクセス認証に使っていたものです。多数の企業でネットワーク利用認証や従業員認証、メール暗号化、リモートアクセスなどに使われています。

IDPrime.NETは今年(2017年)の9月をもって販売を終了しましたが、サポートは最長48ヶ月継続します。また他の販売業者からはこの製品がいまだに販売されています。Gemaltoは同製品の販売数を公表していませんが、研究者は数百万から数億枚と予測しています(幅がありすぎてなんともいえませんが)。

なお、同社の他の製品(IDPrime MDなど)はこの脆弱性はないそうです。

正体不明の新興ボットネット「IoT_reaper」

「巨大IoTボットネット、9月に影の中で成長」

www.bleepingcomputer.com

Miraiをベースにしたボットネット「IoT_reaper」が、ネットワーク接続可能なビデオレコーダー類(テレビや監視カメラなどの録画装置)を中心に広がっているという調査結果が発表されました。

記事中には実際に感染が確認されている機器の名前が出ていますが、ビデオレコーダー以外にネットワーク機器やLinuxサーバも感染しているようです。

IoT_reaperはMiraiと違って、空いたTelnetポートのスキャンはせず、既存の脆弱性を攻撃して侵入します。また、Luaエンジンをもち、その上で動作するDNSゾルバもあります。

現在、IoT_reaperによるボットネットは200万台以上の機器で構成されていますが、これまでDDoSなどに使われた形跡はなく、まだ拡大途上であるとみられます。またその意図についても、DDoSなどを行う悪意(または金銭的利益)を狙ったものか、それとも他のボットネットからの防御を考えているのかも分かっていません。

Web技術情報、Mozillaの一括管理に移行

「Webブラウザメーカー、Web技術文書をMozillaのポータルに移管することで合意」

www.bleepingcomputer.com

MicrosoftGoogleSamsungW3CMozillaは、Web技術文書を全てMDN (Mozilla Developer Network)の下で一括管理することで合意しました(SamsungはTizenですかね)。

これを受けて、MDNは新たに "MDN Web Docs" という名称になりました。URLは従来同様の https://developer.mozilla.org/ です。

(なお、日本語だと「MDNウェブドキュメント」です……。おまけに目立つフレーズ「開発者による開発者のためのリソース。」が明朝体ですね……)

既にMSDNはMDNへのリダイレクトを開始しています。試しに適当に検索したら、本当にMDNにリダイレクトされました。Googleもだそうです。

でも、MDNは標準について書いてますが、特にIEは独自仕様が多いので、MDNでそこがカバーされることは、あまり期待できません。ということは、IEの公式技術情報は無料でネットでは見られないということですかね。IE11は2013年(Win8.1延長サポート終了)まではそれなりに使われると思うのですが。