Wikileaks、Vault7詳細情報について、開発元への開示条件を指定
Wikileaksによる「CIAの内部情報」とされるVault7ですが、そこに含まれる脆弱性関連情報について、開発元(Microsoft, Google, Apple,……)との共有に関して条件を指定している、という記事をMotherBoardが公開しています。
「Wikileaks、要求が受け入れられない限りテック企業に対してCIAゼロデイ攻撃情報を提供しない方針」
条件の内容は、「90日で開示する」という項目が含まれるとされる以外は不明です。
Wikileaks側の要求を受けている開発元の態度は、全体的に保留。その理由の1つは、今回の情報がおそらく違法な手段で入手されたものであることからくる法務上の懸念。
また、この情報はロシア政府を経由していると推測されており、それに関わる懸念もあるようです(softpediaの記事では、ロシア政府が途中で内容を書き換えて、脆弱性を直すはずがかえって作りこむようになっているかも、としています)。
ちなみにVault7の情報は、CyberScoopの記事によれば、Kasperskyの分析では「(今回、一部情報の公開を控えるための)検閲作業は、サイバースパイや運用セキュリティ、ITセキュリティ、妥協水準の策定といった分野の高度な知識をもつチーム(または個人)によって行われたものと判明した」とのこと。もっとも、それでも一部の重要な情報は漏れていたようですが。
いずれにせよ、Vault7の件が今後どのように進むかは、まだ予測が難しい状態のようです。
Intel SGXからのデータ奪取手法が開発
Intel SGX(ソフトウェア保護拡張)は、つい最近までは知名度が低かった技術だろうと思いますが、UHD BD再生をPioneerのドライブで行うために必須な要求になったことで知られつつあります。
http://pc.watch.impress.co.jp/docs/column/4kshugyousou/1048284.htmlpc.watch.impress.co.jp
SGXはOSを介さず、しかも暗号化した状態でデータを保存できるもので、上記例だとUDH BD再生に必要な鍵の保存に用いられています。
しかし、このSGXに格納されたデータを窃取する手法が、オーストリアのグラーツ工科大学の研究者達により開発されました。
「『スーパーマルウェア』はIntel SGXの独立区画から暗号鍵を盗み出す」
- 論文PDF(Arxiv) → マルウェア保護拡張:キャッシュ攻撃の隠蔽へのSGXの利用
この攻撃はキャッシュへのアクセスパターンを分析することで元のデータを推定するというもの。この研究で作成されたPoCは、RSA鍵を1回で96%、11回(5分)で全て抽出したとか。
さらにSGX領域をマルウェアが「自らを隠すため」に使うことも可能で、この場合セキュリティソフトによる検出はさらに困難になるとしています。
NSA版twitter、利用者は6万人超(2013年末)
米国の諜報関係者向けには、よく見るWebアプリケーションのそっくりさんがあるそうです。
まあ、Wikipediaについては、そもそもアプリケーション(MediaWiki)自体が公開されているので、適当にロゴなどを用意すれば済む話です。他も、似たような動作をするものを作ること自体は問題はないだろうと思います。
タイトルにある「利用者数6万人」は、上記記事元(MotherBoard)が情報公開法を用いて入手したデータからのもの。データにはユーザ数やツイートもとい投稿数などが記載されていますが、「極秘」区分の利用者が2013年末で60,593人いたそうです。その他「秘密」「公開」区分もあるのですが、それらの人数が加算されていないのは、重複が不明だからでしょうか。
ちなみにeChirp、本家Twitterと同じようにリアルタイムに近い情報のやり取りを意図しているようですが、投稿文字数も140文字だそうです。日本語ならともかく英語で140文字はかなり少ないと思うのですが、大丈夫なんですかね……。
女性芸能人の自撮り画像流出「Fappening」、再び
2014年に、ジェニファー・ローレンス氏など多数の女性芸能人の裸の自撮り(など)が流出した事件「The Fappening」を覚えていますか?(ちなみに犯人は逮捕されています)
この数日、あの事件が再び「The Fappening 2.0」として発生しています。
「『Fappening』再び!エマ・ワトソンなどのプライベート写真がネットに流出」
写真の真正性はかなり確実とみられています。記事中には、前回の被害者の1人であるジェニファー・ローレンス氏の名前も出ていますね。流出側は、まだ未公開の分があるとも述べているようです。
ちなみに、前回の流出は、iCloudアカウントを狙ったもので、Appleを装ったメールを送ることでパスワードを聞き出したものです。今回の窃取手段は不明です。
いまさらですがVault7について
WikileaksがCIAの秘密情報「Vault7」を発表して1週間以上が経過しました。
Wikileaks側が結構煽るスタイルをとっていることもあり、それをそのまま報じるところも多い印象ですが、実態としては「こんなもの?」というのが率直なところです。
Vault7で暴露された情報の中には、(日本製が多いとおぼしき)顔文字だとか、なぜか「トライガン」なども含めた画像・GIFアニメ、そしてマルウェアを作る上での実践的な注意点などもあるものの、本筋は各種のコンピュータへの侵入や組織構造です。
いくつかの記事では明確に指摘されている通り、これらの情報はいずれも「Mass surveillance(一般的には監視社会)」には関係がありません。あくまで個別の端末に対するハッキングが基本です。
もちろん資金や人材がある分、時には出回っている既存マルウェアをパクったり(侵入者を誤解させる効果もある)、ゼロデイを自ら見つけたり購入したりできますが、あくまで個別の話です。地引網のように一括大量 監視という手法ではありません。その点で、エドワード・スノーデン氏の暴露と比べると、かなりマイルドな内容という印象を受けます。
「ゼロデイをくらったら侵入されてしまうのでは?」というのは正しいのですが、たとえゼロデイを使っても、限界はあります。今回出ている内容を見る限り、(自動車への干渉などは別として)CIAも一般のクラッカーも、基本的なところは同様という印象です。
という手順になるでしょう。
それぞれで「確率を下げる」対応をとることで被害を軽減できるはずですし、それはCIAに限らず一般的な攻撃に対して有効なので、まじめに取り組む価値があるといえると思います。
また、個人レベルでも、暗号化メッセージアプリ(Signalなど)には侵入できてないとみていいでしょう。Vault7で出ていたのはOSレベルで侵入しているので、メッセージアプリレベルの話ではありません。
Vault7の情報はやや古いことなども含めて、他の様々な脅威もありうるので、油断はできませんが。
デジタル・セキュリティが実際に問題になる時
先日、JavaによるWebアプリケーション・プラットフォームApache Struts 2の脆弱性に対する修正があり、あわせて実際の攻撃が多数観測されました。
おそらく、この問題によると思われる事象が、国内でも多数発生しており、しかも明らかに実害が出ています。
そもそも、Strutsは動的にコードを生成、実行する機能(OGNL等)があり、本質的に「不正な文字列の侵入」が「任意のコード実行」に直結しやすいという問題点が指摘されています。
確かに動的なコード生成は強力で柔軟です。その場で任意の動作ができるので、(特に組織でありがちな)面倒を極力回避しつつ更新や変更、追加が可能なのは魅力的です。
ただ、その分だけ危険性は高まります。特にサーバ技術は(インターネット直結なので)何かあれば即座に攻撃を受けますし、特にJavaは基幹的なシステムで多く使われるため、「狙い目」です。
- 開発や修正は手間取るが、脆弱性の影響を抑え込みやすい技術を使う
- 運用(情報収集やバックアップ、パッチ適用)を緊密にして弱点を緩和
- 事故ったら止めて後で対応、ただし背後への侵入は徹底防御
サイトの目的にあった対応をとってほしいと思わずにはいられません。
米でサイバー攻撃への反撃を認める法案が提出
「サイバー攻撃の被害者に、攻撃側への攻撃を止めるためのハッキングを認める法案が提案される」
米国のコンピューター詐欺ならびに悪用対策法(CFAA)に対する改正案が提出されました。修正案はACDCといいます。ACDCはActive Cyber Defense Certainty Actの略で、積極的サイバー防衛保証法といったところでしょうか(Certaintyが扱いづらいのですが)。
この法案は、サイバー攻撃の被害者に対して反撃を認めるものですが、制限もあります。
- 攻撃側に蓄積されたデータの破壊は認められない
- 他人への物理的なダメージは禁止
- 公共の健康や安全への脅威の発生は禁止
- ハッキングは、「偵察」または「非侵襲的な手段による現在の攻撃の停止」の目的のみに限定
法案では、「ボットネットからの攻撃に対して侵入して、攻撃行為をやめさせる」といったケースが想定されています。ボットネットを構成する端末の管理者は、多くの場合は悪意がないため、それ以上の攻撃は禁止というわけです。
ちなみに2016年5月には、この法案の元ともいえる「ボットネット防止法」という法案が提出されました。この時は、法執行機関がハッキングするという内容になっており、反対が多く廃案となっています。
もっともこの法案でも、「被害」の実際的な認め方や攻撃者の確定を含めて色々と問題点があるような気がします。
