マイニング・マルウェアの標的は2018年からコンテナにも拡大
CoinMiner攻撃キャンペーン、DockerやKubernetes経由でクラウドへ
今やマルウェアの新たなスタンダードになった感のある暗号通貨マイニングですが、その標的はPCやサーバ、スマートフォンに加えて、仮想コンテナに向かっています。
その中には、定番のパスワード攻撃(総当たりや辞書攻撃など)もありますが、中にはKubernetesに対して認証なしにコマンドを送信するというタイプの攻撃も見られるそうです。
もちろん、本来は認証なしにコマンドが通ることはないはずです。しかし、Kubeletがインターネットに露出している場合(Kubeletに含まれるノードへのアクセスが許可されている場合)、そのAPIが認証なしで動くバックドアになってしまうようです。
セキュリティ研究者たちも、とりあえず数十の危険なノードを発見していますが、おそらくは氷山の一角であり、他にも危険なノードが存在すると考えられます。悪意ある者は密かに攻撃を行っているはずですので、Kubernetesで管理をしている人は、ぜひともKubeletがネットに露出していないか、もししていれば、マイニングを含めたマルウェアの侵入がないか、確認した方がよさそうです。
Chrome向けのゼロ幅文字チェッカー拡張が登場
「ゼロ幅文字」による追跡攻撃を検出する、Google Chrome拡張が登場
Marco Chiappetta氏は、Chrome向けに「Replace zero-width characters with emojis」という拡張を公開しました。ゼロ幅文字を絵文字に置き換える機能をもので、セキュリティ研究者Tom Ross氏の記事を読んで思いついたそうです。
ゼロ幅文字(ゼロ幅スペース0x200bなど)は人の目には見えませんが、データとしてはそこに存在します。例えば2種類のゼロ幅文字を0と1とみなして、ユーザ名文字列のビット表現にするとか、もっと単純にIDとすれば、適当な数(IDなら32個(32bit符号なし整数)か、せいぜい64個もあれば通常は十分でしょう)のゼロ幅文字で「見えないユーザ識別子」を表現できます。
たとえば、文章中にこれを入れておけば、「本来秘匿すべき情報を漏らしたのは誰か」が、(コピペした場合は)特定できることになります。簡易型の電子透かしですね。アイデア元の記事では、ゲームに関する隠しておきたい情報が洩れていた時に漏洩元の特定に使われたようです。
なお、ゼロ幅文字は本来はちゃんとした意味(例えばゼロ幅空白なら改行位置の制御)がある文字であり、それを置き換えることで本来の文章が適切に表示されなくなる可能性もありますので、この拡張を使う場合は、そこを意識する必要があります。
チートなど、一部の人が飛びつきそうな情報の肝心な部分(パスコードなど)にゼロ幅文字を入れて公開したら、誰がそれを使ったか一発で分かるかもしれませんね。
Pwn2Ownに表れる新たなリスク
もう1か月ほど前の件ですが、意外に報じられてない感じなので。
FirefoxやEdge、Safariが、有名なPwn2Ownで陥落
Pwn2Ownは毎年恒例のハッキングコンテストで、主催側が定めたターゲットをハックできた人に賞金が支払われます。
しかし、2018年大会では、異変がありました。2億円以上(正しくは200万ドル)用意された賞金のうち、3000万円程度(26万7000ドル)しか支払いがありませんでした。
これは、中国政府が国内のセキュリティ研究者に対してPwn2Ownなどの国外でのセキュリティイベントへの出席を事実上禁止した(らしい)ことが背景にあります。このところ、Pwn2Ownでは大半の受賞者が中国勢だったため、それがごっそり抜けた結果、受賞者そのものが激減したというわけです。
Pwn2Ownはあくまで一例にすぎません。今後、中国国内で発見される脆弱性情報はますます国外に出づらくなり、結果的に対応が遅れる自体が懸念されます。
関連
米国、令状なしでクラウド上のデータを取得可能とするCLOUD法を可決
米連邦議会、予算案に隠してCLOUD法を可決
米連邦議会は、連邦政府のシャットダウン期限が迫る中、ギリギリで予算案を可決しましたが、これにはCLOUD(Clarifying Lawful Overseas Use of Data Act)法という別の法案が組み込まれていました。予算案を急ぐ中、こちらの審議や修正は一切なかったそうです。
この法律は、法執行機関がクラウドサービス提供者から、ほぼ無制限にデータを得られるようにするものです。
CLOUD法では、データ要求に際して令状や相応の理由が不要なのです。対象は米国民のデータで、物理的なサーバの所在地に関わらず適用されます。
また、この法律は大統領に他国との間でデータ共有協定を結ぶ権限を与えています。協定締結国は、米国にある、その国の国民に関するデータを、やはり令状など不要で入手できます。この仕組みにより、締結国と米国が相互に融通する形で、米国政府が他国民のデータを取得(あるいはその逆)できると予想されます。
当然ながらEFFなどは反対しています。
有力IT企業で相次いでセキュリティ担当者が退職へ
Google、Facebook、Twitterのセキュリティ関係役員、退職を発表
- FacebookのCSO、Alex Stamos氏(8月末で退職との報道、今後の予定は不明)
- Googleの情報セキュリティ部門のdirector、Michal Zalewski氏(3月末で退職、今後の予定は不明)
- TwitterのCISO、Michael Coates氏(恐らく近日、次はセキュリティ関連で起業を予定)
中でも、FacebookのStamos氏は、Yahooの元CISOで、米政府(FBIなど)から同社メールをいつでも検索できる機能の追加をめぐって戦った人でもあります(CEOのMarissa Mayer氏が政府に従う判断をして、Stamos氏はYahooを去りました)。
NYTimesの大元の記事によれば、彼はFacebookに対するロシア政府の干渉について、より多くを公開し、今後の改善のため再構築することを主張したものの通らず、配置転換で部下の数も120人から3人まで減ったとのこと。ただし、この減少と退職申し出の前後関係は不明です。
ちなみに、NYTimesの情報源には現在のFacebook従業員も含まれます。同社は社内で非常に多くの情報を共有する割にリークが少ないのですが、今回の件では内部で意見が割れている可能性があるのかもしれません。
インターネットに露出したetcd、ただのHTTPアクセスで膨大なデータを露呈
「etcdの、セキュリティ自爆スイッチ」
CoreOSの分散KVS、etcdは、後方互換性のために管理機能の認証がデフォルト無効です。しかもRESTful APIで利用できます。
この結果、デフォルト設定のetcdがインターネットに露出していると、中のデータは外から丸見えになってしまいます。etcdは公式トップで「分散システムの最重要データのための」と書いてあるわけで、実際冒頭の記事の筆者がShodan検索したところ、2284のetcdデータベースが見つかり、中にはCMSやRDBの認証情報が多数見つかりました。
しかも、これらのデータ収集は1行のHTTP GETでできてしまいます。筆者は750MBのデータをスクリプトで収集したそうです(もちろん、それを使ったアクセスはしてないとのこと)。
さらに、このAPIは書き換えも可能なため、様々な悪意ある攻撃が可能です。
運用中なら、etcdがネットに露出してないか確認しましょう。していたら即封じて、システム全体について、侵入の有無についての(できれば専門家の)調査がされるといいですね。
