Intel CPUの特殊機能を活用するマルウェアが登場
「マルウェア、Intel CPUの機能を使ってファイアウォールを避けつつデータを窃取」
マイクロソフトのセキュリティチームが、「PLATINUM」グループ(少なくとも2009年以降に活動中)によるマルウェアの挙動を解析し、Intel CPUの一部にだけ搭載された機能を使っていることを突き止めました。
この機能はIntel AMT SOLというもの。略さず書くと、Intel Active Management Technology Serial-over-LANというものです。これはIntel ME(Management Engine)の一部で、大企業などのネットワーク内で管理者の利便性を考慮して作られた機能。
Intel MEはCPUが電源オフの時でも動作します。そしてSOLはLANを経由してTCP上でのシリアル通信ができるというもの。管理者が端末をリモート管理するための機能です。ちなみにIntel MEはメインのCPUとは独立で動作するため、通常OSからは見えません。
なお、AMT SOLはデフォルトが非動作なため、おそらくほとんどの個人ユーザには関係ありません。
PLATINUMのマルウェアは、この機能を悪用して、PC内部のデータを外に送っているそうです。なお、この機能が「ONなら悪用する」なのか「秘密裏に起動する手段をもっている」のかは不明とのこと。
この機能が大きな組織でしか使われないことや、これを経由するというのは(情報の窃取という意味では)非常に洗練されていることなどからみて、PLATINUMは国家の裏打ちのある組織である可能性が高いとみられます。
マイクロソフトでは、AMT SOL機能を起動する、またはアクセスする時に警告することで、この件は検出可能と述べています。
偽ニュースも携帯ハッキングも買える時代に
FaaS?
昨年の米大統領選挙で、偽ニュース(フェイクニュース)の作成と流通についても話題になりましたが、既にこれもサービス化しているようです。FaaS(Fake-news as a Service)ですかね?
「選挙に影響を与えるフェイクニュースを12ヶ月流し続ける費用は40万ドル」
(元となった調査報告書(PDF):すみませんが未読です)
https://documents.trendmicro.com/assets/white_papers/wp-fake-news-machine-how-propagandists-abuse-the-internet.pdfdocuments.trendmicro.com
トレンドマイクロの調査によれば、偽ニュースの発行を扱う市場が中国語、ロシア語、アラビア語、英語で既に成立しているようです。
たとえば、次のような価格なのだとか。
- 偽のセレブ(フォロワー30万人)の作成 2600ドル
- 偽ニュース記事を通じた、街頭抗議の扇動支援 20万ドル
- ジャーナリストの評判を落とす 5万ドル
- 当該ジャーナリストを貶める偽ニュース記事を用意し、5万のリツイートorいいねと10万ビューを与える 2700ドル/週
- 評判を落とすビデオの作成 2500ドル/本
- 選挙や政治などに影響を与える 40万ドル
- 5つ以上の偽ニュースサイトで相互参照する偽記事の発行 3000ドル/サイト/週
- 偽記事が、主流派メディアや他ジャーナリストから参照されるようなプロモーション 3万5000ドル
……といった感じです。もちろん、この手の商売の定番で、実際の効果は怪しい雰囲気を感じますが、かつてならCIAやFSB(旧KGB)がしそうと思われることがネットで注文というカジュアル化はすごいと思います。
携帯乗っ取りが今ならたったの6万円
「500ドルで携帯の追跡やSMS干渉を約束するサイト」
以前から知られている電話バックボーンSS7の脆弱性を使って、携帯の場所を追跡したり、ターゲットへの通話やSMSを自由に制御(他へ回す、単純に阻害するなど)ができるサービスの記事です。
これはTor上のサービス"Interconnector"で、既に数年も「サービス」を提供しているとしています。月額500ドル~。
上記記事では、サービス運営者"Interconnect0r"に接触を試み、「技術的には別に難しくなくて、むしろ自分の心を抑えるほうが難しい」といった返答も受け取っています。
なお、こちらについても、The Vergeには「あのサービスを使おうと支払ったが無視された」などの告発があり、本当に使えるのかは不明です。
KasperskyによるWindows10批判の件、まだ続きがあった模様
過去の記事
の続きです。
共同で…と言っていたはずですが、Kasperskyがヨーロッパ(EC(欧州委員会)とドイツのカルテル局)で提訴しました。
「カスペルスキー、マイクロソフトがアンチウイルスソフトを停止させたとして反トラスト提訴」
これに対してマイクロソフトは反論。
「マイクロソフトからカスペルスキーへ:Windows 10のアンチウイルス関連の挙動は競争法に違反していない」
また、つい最近、マイクロソフト側で出たこの記事も、本件に関するものと考えられそうです。
「Windows 10の顧客を守るため、アンチウイルスの関係者一同と協力しています」
https://blogs.technet.microsoft.com/mmpc/2017/06/20/partnering-with-the-av-ecosystem-to-protect-our-windows-10-customers/blogs.technet.microsoft.com
中身は別段目新しくないのですが「顧客を常時保護する(always on customer protection)」ことを重視している、というのが基本的な主張となります。
Kasperskyの主張のうち「他社のアンチウイルスが期限切れになると、すぐにWindows Defenderが代わる」ことについては、個人的には、莫大なWindows利用者を保護する価値が優先されるべきではないか、と感じます。
多数のアプリでサーバ側から莫大なデータが漏洩中
アプリのセキュリティというと「マルウェアが(意図するかに関わらず)組み込まれるか」あたりが問題になりがちですが、実際には、多くのアプリが背後でサーバと通信している以上、サーバ側も問題となります。
しかし、一般にアプリサーバはブラウザでアクセスしないためか、その辺をちゃんと考えてないところも多いようです。
モバイル・エンタープライズ系のセキュリティ企業Appthorityの報告書では、このサーバ問題を扱っています。
「1000のアプリのバックエンドサーバ、ユーザのデータをテラバイト単位で漏洩」
(ネタ元)
「2017年第2四半期 モバイル脅威レポートのダウンロード 「HospitalGown」脆弱性:バックエンドからの漏洩によりエンタープライズ級企業のデータは危険な状態」
同社は当初、MongoDBやRedis、MySQLなど多数のサービスを調査する予定でしたが、あまりの膨大さに調査範囲をElasticsearchに限定しました。それでも21000のサーバが何らの認証も設定しないまま放置されていることが判明しました。
これらのサーバで公開されてしまっているデータの総量は43TBにも達し、その中には個人を特定可能な情報も含まれます。
さらに詳細調査として39個のアプリに限定したところ、これらだけで163.53GBものデータが(Elasticsearchに限らず)漏洩していることが分かりました。ユーザ数としては2億8000万件です。
Appthorityでは調査結果を受けて、大半のデータは既に悪意ある者により盗まれ、販売されている可能性が高いと結論しています。
同社はエンタープライズ級の企業を想定していますが、この調査結果にあるサーバの危うさは他の分野でも共通する可能性が高いでしょう。APIをJSONのみに限定したところで問題があることを考慮するべきでしょう。
マツダ車をUSBメモリ1個でハック。スバル車も脆弱性。
車内エンターテイメントシステム「MZD」を搭載した車が、(必要なファイルを書き込んだ)USBメモリをさしこむだけでハックできることが解析され、お手軽一発スクリプト集もgithub上におかれています。
これは、MZD自体を改造して自分の好きなアプリケーションを入れることなどを目的としたエンスージアスト達の解析結果によります。
MZDはUnix系のシステムを使っており、しかもさしこんだUSBメモリに対してAutoRun的な自動実行機能をもっているために可能なこと。
なお、このハックは車のエンジンが動作している間しか実行できないため、窃盗犯による悪用はしづらくなっています。また、このハックはMZDが対象なので、基本的な車の動作には関連しないはずですが、セキュリティ研究者Aris Adamantiadis氏は「WiFiに接続できれば、DBUSを通じてCANバスにアクセスできてしまう」と述べているのは少し気になるところです。
また、この問題は既にMZD Connectファームウェアの「59.00.502」で対策済みです。対象車種はリンク先へどうぞ。
ちなみに、スバルの車も(スマートフォンからの接続を前提とした)Starlinkサーバに脆弱性があり、ドアロックやクラクションをいじったり、走行履歴などを窃取できるようです(ブレーキやアクセル、ハンドルは操作不可能)。
「スバルの新車に脆弱性、ドアロックが解除可能だった」
こちらは、最初に車の正規の持ち主に対して(リンクをクリックするなどの)操作をさせる必要もあり、危険性は比較的低いと考えられます。また、現状ではほとんどの問題は解決しているとのこと。
問題は、スバルの前年の車種でも似たような脆弱性があり、指摘を受けて修正したこと。新モデル開発チームは、この問題を共有できていなかった可能性があります。
1000万台の車の識別情報が漏洩、車の盗難が捗る可能性
「1000万台の車両識別番号が漏洩!」
https://mackeepersecurity.com/post/10-million-vin-numbers-exposedmackeepersecurity.com
「1000万台の車の識別情報を含むデータベースが保護なしで放置、全米の車泥棒大喜び」
Kromtech Securityのセキュリティ研究者達が、認証などで保護されていないデータベースを発見しました。そこには米国での車の販売に関するデータが入っていました。
この結果、1000万台の車について、購入者の詳細(氏名、住所、電話番号、12歳以上の子供の一覧など)だけでなく、VIN(Vehicle Identification Number:車両識別番号)が漏洩していたようです。
VINが漏洩することで、泥棒たちはその車両を正規品として転売することも可能となるため、問題とみられているようです。
ちなみにVINそのものは、比較的シンプルな形式ではあります。ただ特定の車両のVINを推測するのは厄介でしょう。
車両識別番号 - Wikipedia
https://ja.wikipedia.org/wiki/%E8%BB%8A%E4%B8%A1%E8%AD%98%E5%88%A5%E7%95%AA%E5%8F%B7
米FCCのネット中立性破棄案、その後
米FCC(連邦通信委員会)のトップがAjit Pai氏に代わって、ネット中立性を破棄する案が出たところまでは書きましたが、その後5月中に色々とありました。かなり遅くなってますが、概略をご紹介。
パブリックコメント募集するもサーバダウン
「FCCによる『ネット中立性コメントシステムがDDoS攻撃を受けた』という主張に対する検討」
今回の提案についてパブリックコメントの募集が行われましたが、受付中にFCCのサーバはDDoSによりダウン、それ以上のコメントができなくなりました(その後復帰。コメントは8月16日まで受付が続きます)。
実は、コメント受付開始に伴って、コメディアンのJohn Oliver氏がコメントを呼びかけ、コメントを送るFCCのページにリダイレクトするだけのドメインまでとっていたのですが、それ以外のアクセスも想定されます。
FCCはこの件について、「複数のDDoS攻撃を受けた」「FCCの外部から大規模な攻撃が、商用のクラウドホストから来た」とは言うものの、詳細が出てこないことから、「フェイクDDoSではないのか」という憶測も呼んでいました(もっとも、FCCでもシステム管理関係者は党派性はなく、現在の人々はオバマ政権から継続して勤めているので、あまり積極的に疑えるかは疑問とのこと)。
ちなみに、FCCのCIOがZDNetのインタビューを受けた、というのが次の記事。
「CIO日記:FCCへのボット軍団による攻撃の教訓」
ただし、詳細はありません。FCCが公的機関である以上、「プロトコルなどをクローズにする」「CAPTCHAなどを使う」といった方法は端から採用不可能だった、という苦労話です。
大量のスパムコメント。その身元は流出データに基づく偽装だった。
「反ネット中立のスパマー、実在の人物になりすましてFCCに怒涛のコメント」
「FCCにスパム攻撃をした反ネット中立ボットは、氏名を漏洩したデータベースから引き出していた」
FCCには、大量の同一文言のコメントも届いていました(5月10日の上記記事時点で58000件)。それらは今回の案に対する賛成意見ですが、送り主はそれぞれ異なる実在の人物でした。
問題は、それらの人物は、少なくとも送られたようなコメントはしていないこと。
2つ目の記事によれば(根拠のリンクがずれているような気がしますが)、これらの送り主情報は、巨大スパム業者RCM(River City Media)が漏洩していた14億もの個人情報に含まれるものとのこと。
本当なら、個人情報の流出による問題が出る実例の1つとなります。
ブラウズ履歴の保護をむしろ強化する「BROWSER」法案も登場
「新しい『ブラウザ』法案、ブラウズ履歴共有の制約を目指す」
今回のFCCのネット中立性破棄案を推進した議員の一部から、今度はブラウズ履歴の保護を強化する法案が登場しました。
BROWSER (Balancing the Rights of Web Surfers Equally and Responsibly)と名づけられたこの法案は、ブラウズ履歴を含む利用者の機微情報の共有に、オプトイン承認を求めるものです。
これだと現状(ネット中立性が生きている状態)と同じように見えますが、この法案はプロバイダだけでなくウェブ企業も対象である点が違います。要するにGoogleやFacebookにも規制をかけるという案です。提起者のMartha Blackburn議員によれば「ウェブ企業にも通信企業と同じルールを適用するために提案した」とのこと。
同時にこの法案は、州以下のレベルでの追加規制を禁じるという側面もあるとのこと。
ターゲットとなるGoogleやFacebookが見過ごすはずもなく…。
「GoogleとFacebookのロビイスト、新たなオンラインプライバシー保護案の阻止を目指す」
というわけで、さっそくBROWSER法案の阻止に動いているようです。
また、7月12日には、各種のサイト上で「day of action」が展開されます。現在は参加者を増やすための呼びかけ中。
「Amazon、Reddit、ACLU等、ネット中立性のための『アクションの日(day of action)』を設定」
「『ネット中立性のためのDay of Action(7月12日)へのご参加を」