Mozilla、オランダ政府のCAを登録から外すことを検討
「Mozilla、オランダのHTTPSプロバイダについて、現地のディストピアな法律を考慮して登録解除を検討」
Mozillaは、Firefoxで管理するCA一覧から、オランダ政府直轄のCAを外すことを検討しています。これは同国で可決され、2018年初頭から施行される、情報とセキュリティサービス法を恐れてのものです。
この法律では、当局が暗号化された通信を傍受するために秘密の技術的攻撃手段をとることを認めています。この手段には、例えば「TLS用に偽の鍵を使う」ことなどが含まれます。偽の鍵を使うことで、当局はMitM的に平文を取得できる、というわけです。
このCAを登録解除しておけば、偽の鍵を使った場合、Firefoxは警告を出し、何かが異常である可能性を伝えることができます(利用者がそれを理解するかは別として)。
メッセンジャーアプリSignal、デスクトップ版を公開
Signalのデスクトップ版が出ました。Mac, Windows, Linux(aptパッケージ)に対応しています。なおWindows版は64bitのみなので注意が必要です。
以前はデスクトップOSで使うには、Chromeアプリしかなかったのですが、そもそもChromeアプリ自体が(Chrome OSを除いて)終わっている状態でもあったため、朗報といえます。
ちなみにアカウントはスマートフォン版または旧Chromeアプリ版から取り込むしかない点も注意が必要です。
今回のものはChromeアプリ版とほぼ同様とのことなので、(Chromiumをフロントに使う)Electron(またはNW.js)を使っているようですね。
googleのバグ・トラッカーでも脆弱性が見つかる
「Google Buganizerシステムをいじって15600ドルのバグ報奨金」
「Googleのバグトラッカーに脆弱性データベースの内容が漏洩する不具合」
先日、Microsoftがバグ管理データベースに侵入されていたことが判明しました。
今回はGoogleのバグトラッカーであるBuganizerのバグが発見された、という話です。
ルーマニアのバグハンターであるAlex Birsan氏が、Buganizerに次の3点のバグがあり、本来権限のない者にも同社製品のバグ情報が伝わる可能性があると指摘しました。
- "@google.com"ドメインのアドレスをBuganizerに勝手に登録できてしまう件
- 本来アクセス権限をもたないはずのバグについて通知を受信する設定ができてしまう件(ただし発見者の方法では制約が大)
- BuganizerのAPIを使って、全てのバグ情報にアクセスする権限を取得できてしまう件
最初のものは分かりづらいのですが、Buganizerにバグ報告をすると、その件のための追跡用アドレス「buganizer-system+カテゴリーID+不具合案件ID@google.com」が受信できるようになるらしく、それをBuganizerシステムのユーザとして登録できてしまう、というもののようです。これ自体は、ログインはできないのですが、他のGoogleの社員向けサービスが使える可能性が生じるようです。
Googleは通知を受けてすぐに反応、短時間で修正すると共に、Birsan氏にそれぞれ3133.7 , 5000, 7500ドルの報奨金を出しました(本当にどうでもいいことですが、エリート(eleet)が一番安いんですね)。
WindowsのDDE、マルウェアも活用中
先日、WindowsのDDE(Dynamic Data Exchange)機能を用いてマルウェアを実行させるテクニックが公表されていました。
「MS-Wordでマクロを使わずコード実行」
DDEは古くからWindowsに存在する仕組みですが、そこから各種実行ファイルを起動できてしまいます。しかもその際に出るメッセージは、セキュリティを全く想定させないものです。
この文書には、他のファイルへのリンクが含まれています。リンクされたファイルのデータでこの文書を更新しますか?
マイクロソフトはこの調査結果(公表前)に対して「これは仕様であり対応は行わないが次のバージョン(?)ではバグ候補とする」と返答。これを受けて公表に至っています。
そして、実際にマルウェアにより利用されているのが現状です。
「パッチされないWordのDDE経由の攻略法、広範なマルウェア攻撃で活用進む」
上記記事によれば、DNSMessenger RAT(トロイの木馬)やNecursボットネット(600万台のPCが感染しているとされるもの)、Hancitorマルウェア(各種マルウェアのダウンローダー)などがDDEを利用するようになっているとのこと。
DDEは「仕様」なので、機能を止めづらいのですが、例えばWordなら、ファイルメニューから「オプション」→「詳細設定」→「文書を開いたときにリンクを自動的に更新する」のチェックを解除すると、勝手に実行するのだけは防げます(Excelでも同様の場所にある「リンクの自動更新前にメッセージを表示する」のチェックを「入れる」のようですね)。
ただし、メッセージに対してリンクの更新を許可したら実行されるので、あくまで外からのファイルを開く際には注意が必要です。
モノを使った2要素認証の研究結果が発表される
「2要素認証コード、モノで置き換え可能との研究」
「研究者、普通のモノの写真を使った2要素認証を考案」
2要素認証(2FA)はかなり広まってきましたが、パスコードをSMSで受信する処理はやや遅く、しかもSMSが(SS7脆弱性により)宛先を書き換えられることが分かっているのもあり、他の手段の模索が行われています。
今回の記事で紹介されている研究「Pixie」は、フロリダ国際大学とブルームバーグの共同で、利用者がもっているモノをスマートフォンのカメラで撮影し、その画像を認証に使うというものです。
これも、SMSやYubikey認証と同様に「あなたが何を持っているか」で認証するものですが、認証に使うモノを自由に選べるところがポイントです。撮影のたびにライティングなどの環境は異なりますが、そこは考慮して判定するとのこと。
認証に使うモノを他人に知られる可能性はありますが、角度や認証に使う部分などの工夫により脆弱になるのは避けられる、としています。
ちなみにPixieアプリのコードはGitHubで公開されています。もちろん現段階で実用はできません。
Kaspersky、NSA機密情報の件の第1次調査結果を公開
「米国メディアが言い立てる件に関する内部調査の第1次報告」
カスペルスキーがNSA機密情報を盗み取った、とする米国での報道への反論です。以下は報告の内容であり、私の意見ではありません。これをどう見るかは各人の判断に任されます(個人的にはCEOの指示でマルウェアを削除するというのは驚きですが)。
報告内容の概要
調査によれば、NSAのものと目される当時未知だった、NSAのものとみられるマルウェアが見つかる、という事象は、(報道された2015年ではなく)2014年に発生したとのこと。当時同社ではEquation Group (NSA)の攻撃についても調査していました。
そんな中、とある米国のユーザのPCから、Officeの製品キー生成ツールの中にバックドアが発見され、ユーザは慌ててスキャンを複数回実施。その際に、Equation Groupの当時未知だったマルウェアが発見されました。このデータは同社に送信され、ソースコードなどを含むものと判明しました(このマルウェアが検出されたのは2014年の10~11月のこと)。
調査に関わったセキュリティエンジニアはCEOに報告、その後CEOの指示により当該マルウェアアーカイブは削除されました。またこのアーカイブは外部との共有はされていません。
その後、2015年2月に、先と同じIPアドレス帯域で、Equation Group関連の様々な(実行不可能かつ比較的普通な)サンプルが入った複数のPCが、カスペルスキー製品入りで検出されました。同社はこれをハニーポットと推定しました。これらに対して同社製品は特別な対応はしていません。
また、同社はTop Secret指定などの「文書」は検出していません。
一部の乱数実装の脆弱性「DUHK」
KRACK(WPA2のプロトコル脆弱性)やROCA(RSA暗号実装の脆弱性)に続いて、またも暗号関連の脆弱性が出てきました。
「暗号鍵を復元できるDUHK暗号攻撃、VPN接続などに脅威か」
今回の脆弱性はANSI X9.31乱数生成器の実装に関するもので、鍵生成のシードとしてハードコードされた定数を用いていると、外部から通信を傍受するだけで暗号鍵が復元できてしまう、というものです。傍受だけなので、攻撃を検出する手段は事実上ありません(いきなり正しい暗号鍵を使われます)。
そもそも「DUHK」自体が「Don't Use Hard-coded Keys」の略です。
実はANSI X9.31は、2011年には米NISTにより旧式規格に格下げされ、2016年には米FIPS(連邦政府向けIT基準)から除外されましたが、それでも多数の使用例があります。
記事中盤に脆弱な製品リストがありますが、個人的にはルネサスのAE57C1あたりが(更新が難しそうで)気になります。
