Appleのブラウズ履歴保存とSignalのiOS「CallKit」対応

security

Appleが、ブラウズ履歴を(たとえ削除操作を行っていても)少なくとも1年はiCloudサーバに残していた件が、先日話題になってました。

日本語で扱っているのは、iPhone Maniaなど、なぜかごく少数ですね。

iphone-mania.jp

拡散元のForbesの記事は無料では見られないので、おそらくその元であろうプレスリリースにもリンクしておきます。

「Elcomsoft、削除されたSafariの履歴をiCluodから復元」

この話が出て、Appleは急遽2週間以上前の履歴を削除したとされています。

さて、これとは別に、前にも紹介したメッセージングアプリ「Signal」ですが、最近バージョンアップがありました。

「Signal、最新のアップデートでビデオ通話とプライバシー強化を導入」

www.theverge.com

ビデオ通話はいいとして、プライバシーの件は、iOSの「CallKit」対応です。CallKitは、通話アプリの通話を電話と同様に扱える機能で、Signalも対象となりえますが、今回のアップデートで「デフォルトでCallKit非対応、設定により対応可能」となりました。

これは、CallKitに対応すると、誰といつ通話したかといった情報(メタデータ)がiCloudで共有されるからです。Signalの本懐はプライバシーなので、「双方がCallKit対応設定している場合のみ」動作するようになっています。

無防備な人々

misc

「私のおかしなメールアカウントこそ、セーファーインターネットデーが必要な証左だ」

www.theverge.com

著者(Tom Warren氏)のOutlook.comアドレスは、ちょっと変わっているのだそうです。さしずめ、tomあっとoutlookどっとcomなんでしょうか。

とにかく、そこに、おそらくスパムやフィッシングとは別の種類のおかしなメールがたくさん来るのだそうです。

  • 裸の写真
  • パスポートをスキャンした画像
  • 祝日の予定
  • 借金に関する書類
  • 税金還付に関する書類
  • 祝日を過ごす写真多数
  • 離婚訴訟に関する書類
  • 配偶者への怒りのメール(もちろん著者の知らない人から)
  • 死亡通知
  • 会議への招待状

また、著者のアドレスで(おそらくは誤って)飛行機チケットをとる人がいたりもするようです。

さらに、この人はApple機器の利用者らしく、FaceTimeを例のアドレスに結び付けているのですが、多数の誤った呼び出しもあるのだとか。

とりあえず、注意力は人ごとに違いますから、誰かしらこういうことをするかも、という可能性は認めるしかないかも。

なお、記事タイトルの「セーファーインターネットデー」はこちらです。

Safer Internet Day - セーファーインターネットデー | セーファーインターネット協会 Safer Internet Association(SIA)

Miraiを感染させるための「Windows用」マルウェアが登場

security IoT

「新しいWindowsトロイの木馬はMiraiマルウェアを拡散させ、さらなるIoTデバイスをハックする」

thehackernews.com

Windows用のMirai拡散ツールが登場したようです(Dr.Webの命名ではTrojan.Mirai.1)。Miraiは、既に何回も言及していますが、史上最大のDDoS攻撃を行った、IoTデバイスに感染するマルウェアです。

今回のものは、「WindowsでMiraiが動作する」のではありません。あくまでも「WindowsマルウェアがMiraiを拡散させる」ものです。ただし、MSSQLMySQLのサーバが動作している場合は、管理者アカウントを作成し、様々な悪意ある行為を行う可能性があります。また、他のWindows PCに感染する仕組みもあるようです。

米ミルウォーキー郡、ポケモンGO的アプリによる公園利用を許可制に

security

ミルウォーキー郡、ポケモン(GO)等に公園利用許可を要求へ」

www.jsonline.com

米国ウィスコンシン州ミルウォーキー郡(都市として有名ですが、ここでは「郡」です)の行政委員会は、「ポケモンGO」のような「位置情報に基づくARゲーム」に対して、同郡の公園を使う場合に事前許可を必須とする旨を決定しました。これは昨夏のポケモンGOブームで、同郡の公園への損害が出たことによります。

同様の問題は世界中で起こっているはずですが、今後同様の動きが各地の行政から出るかが着目されます。

さらに広がるバグ・バウンティ制度

security

ダークネットもバグ・バウンティ

先日、ダークネットの闇市場脆弱性発見者に金を払ったという話がありました。

mokake.hatenablog.com

これを見て、他のサイトではバグ・バウンティを制度化しつつあるようです。

「ダークネットのマーケット、バグ・バウンティ・プログラムを採用へ」

www.cyberscoop.com

年間売上が300万ドル(3.6億円程度)と推定されているHansaマーケットプレイスは、1月30日に、最大10BTCの報奨金を設定しました。他に、TheRealDealやCatinaといった闇市場でも、制度はありませんが、脆弱性報告者への報奨が出ることもあるようです。

もっとも、ダークネットをスキャンするツール「OnionScan」の開発者であるSarah Jamie Lewis氏は、こういった制度は「所詮はただのパッチ」として、セキュリティやプライバシーを設計の前提にしない限りあまり効果がないと考えているようです。

バグ・バウンティ運営のHackerOne、シリーズCの資金調達に成功

「バグ・バウンティ運営のHackerOne、4000万ドルを調達、企業の脆弱性発見に投入」

venturebeat.com

ペンタゴンのバグ・バウンティ・プログラム("Hack the Pentagon")でも運営を任されていたHackerOneが、新たにシリーズC(シード後の第3回目)の資金調達を行いました。金額は4000万ドル(約50億円)。

これまでHackerOneは2014年にシリーズAで900万ドル2015年にシリーズBで2500万ドルを調達しています。

GoogleによるKrebsOnSecurity保護の背景

security

昨秋(2016年9月)、ブログ「KrebsOnSecurity」がIoTボットネットの非常に強力な攻撃を受け、Akamaiが対応しきれないと判断、その後Googleが「Project Shield」を適用して復活した、という件がありました。

先日、Enigmaセキュリティ会議において、Google側の関係者により、背後の事情が発表されました。

「いかにしてGoogleはIoTボットネットに反撃、勝利したのか」

arstechnica.com

  • 最初に打診を受けた時、Googleのセキュリティ技術者の間では「この影響でgoogle.comが落ちたら大問題だ」というリスクを懸念していたが、その後「もしボットネットで落ちるなら、今回の打診を受けなくても、そのうち落とされる。それなら失うものは何もない」という意見が優勢になり、1時間で打診を受ける決定に至った。
  • 実は、打診の時点で別の問題もあった。Project Shieldでは「申し出る側がサイトのコントロールをもつこと」が前提。にも関わらず、このときサイトは落ちており、DNSも奪取を恐れてロックされていた。しかし最終的にはGoogle側はProject Shieldの適用を決断した。
  • 小さなサイトの防衛は、実は難しい。サイトのサーバの能力が低く、対応可能なリクエスト数の上限が小さいため。Googleはサーバに届く前に攻撃アクセスを全て識別、遮断する必要があった。
  • ただし、小さなサイトでもキャッシュサーバは有効。
  • Akamai(Prolexic)が防御しきれず、Googleが耐えられたのは、Googleの方が元々の防御規模が大きかったため。
  • 今でもKrebsOnSecurityへの攻撃は続いている。

というわけです。

しかし、IoTボットネットが手軽な攻撃手段になった一方で、誰もがProject Shieldの守護を得られるわけではない以上、今後はやはり大変と言わざるを得ませんね。