米国、令状なしでクラウド上のデータを取得可能とするCLOUD法を可決
米連邦議会、予算案に隠してCLOUD法を可決
米連邦議会は、連邦政府のシャットダウン期限が迫る中、ギリギリで予算案を可決しましたが、これにはCLOUD(Clarifying Lawful Overseas Use of Data Act)法という別の法案が組み込まれていました。予算案を急ぐ中、こちらの審議や修正は一切なかったそうです。
この法律は、法執行機関がクラウドサービス提供者から、ほぼ無制限にデータを得られるようにするものです。
CLOUD法では、データ要求に際して令状や相応の理由が不要なのです。対象は米国民のデータで、物理的なサーバの所在地に関わらず適用されます。
また、この法律は大統領に他国との間でデータ共有協定を結ぶ権限を与えています。協定締結国は、米国にある、その国の国民に関するデータを、やはり令状など不要で入手できます。この仕組みにより、締結国と米国が相互に融通する形で、米国政府が他国民のデータを取得(あるいはその逆)できると予想されます。
当然ながらEFFなどは反対しています。
有力IT企業で相次いでセキュリティ担当者が退職へ
Google、Facebook、Twitterのセキュリティ関係役員、退職を発表
- FacebookのCSO、Alex Stamos氏(8月末で退職との報道、今後の予定は不明)
- Googleの情報セキュリティ部門のdirector、Michal Zalewski氏(3月末で退職、今後の予定は不明)
- TwitterのCISO、Michael Coates氏(恐らく近日、次はセキュリティ関連で起業を予定)
中でも、FacebookのStamos氏は、Yahooの元CISOで、米政府(FBIなど)から同社メールをいつでも検索できる機能の追加をめぐって戦った人でもあります(CEOのMarissa Mayer氏が政府に従う判断をして、Stamos氏はYahooを去りました)。
NYTimesの大元の記事によれば、彼はFacebookに対するロシア政府の干渉について、より多くを公開し、今後の改善のため再構築することを主張したものの通らず、配置転換で部下の数も120人から3人まで減ったとのこと。ただし、この減少と退職申し出の前後関係は不明です。
ちなみに、NYTimesの情報源には現在のFacebook従業員も含まれます。同社は社内で非常に多くの情報を共有する割にリークが少ないのですが、今回の件では内部で意見が割れている可能性があるのかもしれません。
インターネットに露出したetcd、ただのHTTPアクセスで膨大なデータを露呈
「etcdの、セキュリティ自爆スイッチ」
CoreOSの分散KVS、etcdは、後方互換性のために管理機能の認証がデフォルト無効です。しかもRESTful APIで利用できます。
この結果、デフォルト設定のetcdがインターネットに露出していると、中のデータは外から丸見えになってしまいます。etcdは公式トップで「分散システムの最重要データのための」と書いてあるわけで、実際冒頭の記事の筆者がShodan検索したところ、2284のetcdデータベースが見つかり、中にはCMSやRDBの認証情報が多数見つかりました。
しかも、これらのデータ収集は1行のHTTP GETでできてしまいます。筆者は750MBのデータをスクリプトで収集したそうです(もちろん、それを使ったアクセスはしてないとのこと)。
さらに、このAPIは書き換えも可能なため、様々な悪意ある攻撃が可能です。
運用中なら、etcdがネットに露出してないか確認しましょう。していたら即封じて、システム全体について、侵入の有無についての(できれば専門家の)調査がされるといいですね。
暗号通貨のハードウェアウォレットLedgerの脆弱性
Ledgerのセキュリティモデルを破る
耐タンパ性を謳う暗号通貨ウォレット、15歳のハッカーにより裏口を開けられる
PCに接続して暗号通貨を安全に保管する、と謳うLedgerのハードウェアウォレットの脆弱性についての記事です。冒頭は、発見者本人が書いた記事です。
Ledgerデバイスに関する注意点
基本的には、デバイスが悪意ある者に直接触れられなければ安全ですので、管理が大事です。
経緯
発見者はLedger社に2017年11月に脆弱性について連絡し、攻略用ソースコードも提供しました。
これを受けてLedger社は、先日Nano S製品向けファームウェア1.4.1を公開しました。
しかし、その後Ledger社のCEOがReddit上で行った説明が不正確として、脆弱性の発見者が自ら脆弱性について説明したのが現在です。
Ledger Nano S の構成
Nano Sは、ST社のST31H320「セキュア・エレメント」を基盤としています。しかし、ST31H320はディスプレイもUSBもサポートしません。代わりにNano Sは同じST社の32bitマイコンSTM32F042K6を搭載しています。これが全体のコントローラとなっている、というわけです。
冒頭記事の上から3分の1程度に簡単なブロック図が載っていますが、ここで着目すべきは、(ST31H320の能力から当然ですが)USBもボタンもディスプレイも、あくまでマイコンにつながっており、セキュア・エレメントは、そのマイコンにだけつながっているという点です。
マイコンは特にセキュアなわけではない汎用型で、しかもJTAGピンが背面に見える状況です。
実は、セキュア・エレメントの役割は、マイコン側のプログラムが真正のものかどうか判定することだけなのだそうです。これは「利用者がPCにNano Sを挿した時、マイコンが起動時シーケンスとして書き換え可能領域のバイナリをセキュア・エレメントに送り、真正性を確認する」というプロセスで行われます(詳細は冒頭記事の中央付近にある図を参照)。
脆弱性
さて、セキュア・エレメントで判定する際は、マイコン側からデータを送るわけです。
だから、マイコンのファームウェアを書き換えて、元のファームウェアと同じデータだけ送れば、見破ることは(セキュア・エレメントにも利用者にも)不可能です。
Ledgerは(発見者の推測では)これに対して、マイコンのフラッシュ容量が限られていることから、本来のファームウェアと悪意あるコードの両方は搭載できないだろう、とみなしたようです。ちなみに、このためにフラッシュの空き領域にはランダムデータが書き込まれているそうです。
しかし、この発見者は見事に裏をかきました。
- このマイコンのソフトウェアは、ブートローダーとファームウェアから構成されます。前者が最初に起動し、本来のアプリケーションは後者に書かれています。
- 製品開発時に双方をビルドする時、コンパイラは「初期化」や「大きな数の演算」のような共通する関数をバイナリに組み込んでしまいます(ちなみに、実際はmemcpyとmemsetと除算関数だった模様)。
- つまり、ファームウェア側の被る関数の領域を悪意あるコードに置き換えることができます。
- セキュア・エレメントに対しては、ファームウェアの改造した箇所は、ブートローダーのコードを送れば真正のものと騙せます。
- もちろんファームウェアが改造箇所の関数を必要とした場合は、ファームウェアの該当する関数を呼び出します。
- ブートローダーを温存しているので、専用のハードウェアが必要なJTAGではなく、USB経由で、しかもLedger自身が公開しているファームウェア書き換えツールで簡単かつ安全に書き換えが可能です。
ファームウェア更新版と、発見者の考える対策
※対策は実施されていません。
- 重複する関数を除去し、必要ならブートローダー側の関数を呼ぶように変更した。
- 重複する関数以外にも、コードを埋め込む手段はある。
- セキュア・エレメントでのチェック時に、時間制限を追加した(既存コードを圧縮した場合の展開や、USBからのデータ供給に対応する模様)。
- セキュア・エレメントよりもマイコンの方が高速に動作するので、小規模な処理なら挟めるはず。
発見者は15歳らしい
自称15歳、という情報しかありませんが。
解析やコードの埋め込みに加えて、冒頭の記事の文章も、ちょっと普通の15歳ではありえない水準です。両方というのは、本当なら実にすごいですね。
Slingshot APTに関し「米国の対テロ作戦」との証言
次の件の続報です。
Kasperskyの「Slingshot」報告が、ISISに焦点を当てた諜報活動にダメージ
米関係者「Kasperskyの"Slingshot"報告が反テロ作戦にダメージを与えた」
Slingshotは、Kasperskyが先日報告した、非常に高度なマルウェア群からなるAPTで、この手のものとしては珍しく、活動領域がアフリカ中心でした。
これについて、cyberscoopに、米国の諜報関係者(現任および「元」)が語ったとするところによると、Slingshotは米国がISISやアルカイダの内部情報を得るために進めていた諜報活動の一環だったとか。
Slingshotは、しばしばネットカフェのPCに、地元の米国協力者によりインストールされていたそうです(ISISなどの「標的」もまた、特定を避けるためにこれらのPCを用いていたとか)。
今回の報告により、作戦の一部は抹消せざるを得ないとして、匿名の関係者はKasperskyを強く非難しています。もっとも、セキュリティベンダーとしてのKasperskyがマルウェアの調査や報告を行うのは当然ですし、既に米国市場から事実上追われたKasperskyの立場やロシアの動向などを考えると、どこまで知っていたのか推測するのは困難でしょう。
なお、この記事の情報源は「U.S. intelligent officials」としかなく、クロスチェックもできないため、信頼性の担保は不可能です。
わずか数時間で40万台以上のPCにマルウェアが拡散
「汚染されたP2Pアプリ、Dofoilコインマイナーの急増を起爆」
「トロイの木馬化したBitTorrentソフト更新、先週40万台のPCを乗っ取る」
BitTorrentクライアントツールMediaGetのアップデートに介入して、マルウェアDofoilが挿入される騒ぎが3月6日にありました。わずか数時間で40万台以上に拡散した模様です。
このマルウェアの目的は暗号通貨Electroneumのマイニングです。ただし、C&Cサーバにアクセスすることで、他の機能を入れることも可能だったようです(ただ、Windows Defenderが急激な拡散を検出して食い止めた模様です)。
主な被害者はロシア、トルコ、ウクライナの人々でした。
ちなみに、今回のマルウェア入りアップデータは署名されていたそうです。
アップデータの入れ替えについては、調査にあたったマイクロソフト関係者によれば、2月中旬にMediaGetの配信サーバに侵入があったとのこと。その後、約2週間をかけてマルウェア入りアプリケーションの浸透をはかり、十分とみた時点で発動させたようです。
AMDの多数のCPU、APUに脆弱性。公開方法へは批判多数
「AMDのチップに多数の欠陥、悪意あるハックの影響が格段に悪化」
「13件のクリティカルな欠陥がAMDのRyzen、EPYCプロセッサで見つかる」
AMDのEPYCやRyzenシリーズのプロセッサ(AMD Platform Security Processor)には、x86-64とは別にARMコアが搭載され、独自の処理を実行することができます。
ここに任意のプログラムを送り込むことで、実質排除や検出が不可能なマルウェアを常駐できる一連の脆弱性が発見されました。
- RYZENFALL:Ryzenシリーズの脆弱性で、通常のプロセッサからセキュア領域に任意のコードを送り込み、実行させることが可能
- MASTERKEY:EPYCとRyzen全てで、ブート時に行われるハードウェアによるBIOSなどのチェックを回避できる脆弱性で、他の脆弱性で送り込んだ悪意あるコードを隠蔽し続けることが可能
- FALLOUT:EPYC(サーバ向けプロセッサ)のセキュア・プロセッサのブートローダの脆弱性で、悪用により保護領域のメモリの読み書きが可能
- CHIMERA:RyzenとRyzen ProのPromontoryチップセット(のファームウェアとASIC)にバックドアが存在、任意コードの実行や、各種ネットワークデータの読み書きなどが可能
これらの脆弱性は、攻撃に管理者権限が必要です。一般論として管理者権限が奪われている場合、既に乗っ取られた状態です。
ただし、これらの脆弱性によるマルウェアはプロセッサの奥底に埋め込まれ、OSを入れ直してもBIOSを書き換えても削除ができません。事実上、この攻撃を受けたプロセッサは再利用が困難となります。
もっとも、これまでもOS入れ直しなどを超えて残る攻撃手法はありましたし、そもそも数年間見つかることなく行動できた実績もありますので、今回の件が特別すごい、ということはありません。
一般論としては「そもそも管理者権限をとられるところまで至ってはいけない」という話です。
脆弱性は本物という外部コメントあり
本件は、専用ドメイン(amdflaws.com)までとって公開されていますが、そこには技術的詳細はありません。
しかし、発見者から個別に技術的詳細の説明を受けたセキュリティ研究者Dan Guido氏などは、脆弱性は本物であると述べています。
公開に関する問題
発見者(イスラエルCTS)は、この脆弱性について、「一般公開の前日」にAMDに連絡しています。どう考えても、1日では再現できるかどうかでしょう。
また、CTSの発表PDFには次のように書かれています。
we may have, either directly or indirectly, an economic interest in the performance of the securities of the companies whose products are the subject of our reports
(我々(CTS)は、直接または間接的に、当社のレポートの対象となる企業の株価に対して、金銭的な関心をもつ場合があります)
ちなみに実際の株価は、発表後に下落し、その後反発、再び下がって、今は安定しているようです。
なお、今回の発表に関しては、Viceroy Researchという会社から即座に株価に関連する報告が出ており、これも含めて多数の批判が集まっています。
いずれにせよ、この公開方法は、自ら悪用したりクラッカーなどに販売するといった方法とは違うものの、セキュリティ研究が恫喝と攻撃ということになりかねず、肯定するわけにはいかないでしょう。
なお、AMDのセキュア・プロセッサについては、Wikipedia英語版のページにもあるように、かえって危険になりかねない、という指摘が2013年には既にあったことは付け加えておきたいと思います。