Shadow Brokers、元NSAのハッカー(?)を脅迫
「Shadow Brokers、元NSAのハッカーに対して身元を暴露すると脅迫」
Shadow Brokersは、自分たちの脆弱性提供サービスについて「たくさんのたくさんの購読者がついた」と延べ、7月からは購読料金を200 Zcash(400万円弱)から倍額400 Zcashに値上げすると発表しました(本当に売れてるのかすごく怪しい…)。
また、別途立ち上げた「VIPサービス」のアナウンスもありました。「400Zcashで、The Shadow Brokersに質問する権利をやろう」ということだそうです。
それとあわせて、とあるTwitter利用者に対する文句を延々と書いています。その人物は(Shadow Brokersが言うには)Equation Group(NSAの別名ともされる)の元メンバーだとして、7月の脆弱性情報提供を申し込まなければ身元情報を公開(dox)するぞと脅迫しました。
ちなみに脅迫されたらしきアカウントは、返答として(自分以外の人の身元が不必要に暴露されるのを避けるため)自らの身元を明かしています(アイコンと名前、bioが記事時点から改訂されています)。
https://mobile.twitter.com/drwolfffmobile.twitter.com
UAEのITセキュリティ企業Darkmatterの所属だとか。幹部チームのリストには名前がありませんね。
記事は、個人情報暴露は危険な方向だ、という話で終わるのですが、Shadow Brokersについては、最初から脆弱性をまとめて売るのに失敗したりクラウドファンディングもどきをやって失敗したりと、何かいつもずれた感じなのが気になります。まるで情報だけ仕入れたコドモのようなキャラ付けというか。
NotPetya、当初と大幅に異なる「兵器」像が次第に明らかに
今週のセキュリティの話題をさらった印象があるNotPetyaですが、新情報とともに像が次々と変化しました。このため報道も新旧の情報の混在により混乱しています。
感染元はウクライナの会計ソフトの更新か
当初、そもそもPetyaランサムウェア(あるいはその直接の後継)と混同されたNotPetyaは、最初にM.E.Doc(MeDoc)というウクライナ企業による会計ソフトの更新として広まったとみられています(M.E.Doc側は最初認めたものの後に否定、ただし外部からの推定ではここが元)。
「Petyaランサムウェアの急激な感染拡大、元は汚染されたウクライナの会計ソフト」
M.E.Docは5月にもXDataランサムウェアをアップデートを通じて広めてしまったという経緯があります。
そもそもPetyaではないという話
NotPetyaは、Petyaと呼ばれるランサムウェアと共通のコードを含んでおり、そのため当初はPetyaかその亜種とみられていました。ちなみにPetyaの作者はMischaやGoldenEyeといったランサムウェアも作っています。
しかし、その後の調査もあり、「Petyaとは作者も別」という見解が広まりました。その結果、その名前はPetna、ExPetr、Nyetyaなど様々になっています。ここでは、自分がよく見る場所での主要な名前である「NotPetya」を採用しています。
また、Petyaの作者も出てきました。
「オリジナルのPetya作者がネットに復帰、NotPetya犠牲者への支援を申し出る」
Janusと名乗るオリジナルPetyaの作者は、「自分がもってるprivkeyが有効か調べてみる」とTwitter上で発言しました。privkeyはおそらく、Petyaのプライベートなマスターキーと考えられます。
ちなみにPetyaはRaaS(Ransomware-as-a-Service)として2016年3月ごろ販売されていたので、他人がPetyaのカスタマイズ版を作るのは普通にありうることだったようです(ただしソースは非公開)。
そもそもランサムウェアでもなかった件
しかし、オリジナルの作者のマスターキーがあっても、解決にはなりません。なぜなら、そもそもNotPetyaはランサムウェアではなかったのです。
「驚愕!NotPetyaはサイバー兵器であり、ランサムウェアではなかった」
「Petya.2017はランサムウェアではなくディスクワイパー」
- カスペルスキーのAnton Ivanov氏いわく「暗号化処理と共に生成するIDが、ただの乱数で、復号には使えない」
- Comae TechnologiesのMatt Suiche氏いわく「NotPetyaはディスク上の冒頭の24セクタをバックアップなしに上書きするため、復号は無理」
「さらに多くのセキュリティ企業が、NotPetyaの卑劣なコードにより、ファイルの復号ができなくなっていることを確認」
- Malwarebytes「NotPetyaは改悪されててキーがあってもファイルは戻らない。そのくせ身代金支払いの誘惑はある」
- Cisco Talos「Nyetya(NotPetya)は、ほぼ確実に、金銭ではなく破壊が目的」
- F-Secure「LANで他の端末に感染する機能だけはしっかり作られており、作者の主眼はここにあると考えられる。一方、ファイルやMFTの暗号化、MBRの上書きなどの部分の品質は劣る」
これら全てのセキュリティ企業/部門の見解はファイルの復号が不可能である点で一致しています。
Petyaが(他のクラッカーにRaaS形式で販売するなどで)明らかに金銭を目的としているのとは、極めて対照的といえるでしょう。
ちなみに、6月28日あたりを最後に身代金の支払いはなくなった模様です(BTCは全てのやり取りが追跡可能なので外部から確認可能)。
NotPetyaだけではなかった件
NotPetyaを最初に広めたのはM.E.Docの会計ソフトのアップデートサーバとみられていますが、先述のようにここは前にも別のマルウェアXDataを5月に広めています。
そのXDataは、既存のAES-NIランサムウェアの派生とされています。しかし、その作者はBleepingComputer(今回の大半のソース)に「XDataは自分とは無関係、何らかの方法でソースを盗んだらしい」と連絡してきています。
また、NotPetyaより数日前に、やはりウクライナで、セキュアじゃないRDPを使って侵入するランサムウェアPSCryptの感染が報告されています。
「NotPetyaより前となる先週、ウクライナを狙う別のランサムウェアがあったことが判明」
このPSCryptはGlobeImposter 2.0というランサムウェアが元です。元の作者は「Globe」シリーズのランサムウェアを作り、RaaSモデルで全世界に広めてきました。しかし今回のPSCryptは感染の78%がウクライナのIPアドレスと、全く違っています。
さらに、PSCryptは脅迫状もウクライナ語のみ(英語版はソースには残っているものの感染先では表示されない)、しかも身代金の支払い方法はウクライナにしかない「iBox」というATM的な装置を使います。
さらに、先日世界的ニュースになったWannaCry (WCry)に見かけを似せた別のマルウェアが、NotPetyaの前日にM.E.Docのサーバから拡散されていることが判明しました。
「ウクライナへのランサムウェアの攻撃続く。今度は不可思議なWannaCryクローン」
ちなみに、他の3つは元となるランサムウェアとコードが共有されていたりしましたが、今回のものはWannaCryとは全く違います(WannaCryはC言語、こちらは.NETで書かれているとのこと)。あくまで見た目だけを近づけて、WannaCryと「思わせる」ことを狙っているようです。
NotPetyaの真相
ここまでの情報から、NotPetyaは「ウクライナに対するサイバー攻撃の1つ」とみなすのが妥当でしょう。
既にウクライナ政府のサイバー防衛センター(特殊通信および情報防衛部門所属)のトップは「これはウクライナに対する攻撃と考えている。そしてロシア以外がこのような攻撃を仕掛けてくることは想像しがたい」といった旨の発言をしています。
「ウクライナのアナリストたち曰く『Petyaランサムウェアは国家の支援を受けた攻撃を隠蔽するものだ』」
ちなみにNotPetyaやWannaCryモドキ、PSCryptの攻撃タイミングは、ウクライナの(ソ連からの独立による)建国記念日の直前にあたります。
最後に英語版Wikipediaの「2014年以降のウクライナに対するロシアの軍事介入」へのリンクを載せておきます(日本語版はない模様)。
https://en.wikipedia.org/wiki/Russian_military_intervention_in_Ukraine_(2014%E2%80%93present)
SnapChatの新機能「Snap Map」はプライバシーダダ漏れ?
「SnapChatの最新機能は最大のプライバシー脅威でもある」
今週はじめに投入された機能「Snap Map」。「あなたのいる場所を地図上で友人と共有する」というものです(この時点でお察しですが)。
Snap側はこれを「Our Story」上の写真の位置情報を共有する、という文脈で説明しています(Our Story上の写真は公開情報)が、デフォルト設定だと、この機能により「SnapChatを開くたびに位置情報がフレンドリスト上の全員にブロードキャストされる」という状態になるそうです。「写真をOur Story上で共有するたび」ではない点がポイントです。
Snap Mapは有効化のプロセスがあるものの、前述のような説明なので、多くの利用者はそれを意識していないと考えられます。
上記記事中で、この記事の著者は、友人の1人の自宅(もちろん未知)の場所を、Snap Mapの表示からほぼ正確に特定してしまっています(つまり、各人のSnap Map上には友人たちの位置が常に表示され、友人たちがSnapChatを開くたびに位置が更新されるようです)。
では、どうすればいいか。アプリ設定で「ゴーストモード」を有効にすればいいようです。
Windows 10 S、Wordマクロであっさり陥落
なんて話もありますが、実際に試したところ、Windows 10 Sはあっさりと攻略できたそうです。
「マイクロソフトいわくWindows 10 S上で『既知のランサムウェアは動かない』―ならばハックしてみよう」
Windows 10 S搭載の新しいSurface LaptopをハックしたのはZDNetの編集部員ではなく、セキュリティ企業Hacker House創立者Matthew Hickey氏。自身もセキュリティ研究者です。
結果として、3時間で攻略できました。
Windows 10 Sはストアアプリ以外動作しないことに加えて、PowerShellも動作しないなどで侵入口をふさいでいますが、まだ穴がありました。それがWordマクロ(Wordはストアから利用可能となっています)。
Matthew氏はマクロからreflective DLL injection攻撃をかけて、管理者権限を取得しました(マクロからタスクマネージャを経由してWordを管理者権限下においた…ように読めます)。
なお、マクロ入り文書は通常「保護されたビュー」で開かれ、マクロは自動では実行されません。今回は対策として共有ネットワークドライブ上から当該文書をダウンロードする形にしていますが、ソーシャルハッキングの手法でマクロを実行させることは十分可能に思えます。また、「目の前のWindows 10 S機で自由にプログラムを動かしたい」場合なら自分でマクロを有効化するかもしれません。
管理者権限を得てしまえば、あとは何でもやりたい放題です。この辺は管理者権限が普通のWindowsだと対策がしづらいかもしれません。
今回のハック結果については、記事の公開前にマイクロソフトにも通知済とのこと。回答はざっくり言うと「6月はじめに述べた『既知のランサムウェアに対して脆弱ではない』は今回の結果に関わらず正しい。また当社は常に脅威の監視を続けており、Windows 10が最もセキュアであり続けるようにしている」という、まあ、そういう回答でした。
こういった攻略経路への攻撃が増えるかどうかは、10 Sがどれだけ普及するかにかかっているので、不評ならずっとセキュアかもしれません。たとえばWindows 10 mobile向けのマルウェアとか聞きませんから、セキュアだろうとは思います。
ブラウザのオートフィル機能を悪用して情報収集
「『送信』ボタンを押す前から個人情報を取得する会社があった」
米オハイオ州のNaviStoneという会社は、「サイト訪問者の氏名や住所を明らかにする」と述べています。
彼らのスクリプトを仕掛けた、(おそらくはNaviStone顧客企業の)オンライン入力フォームは、「送信(Submit)」ボタンを押さなくても、フォーム内容を送信してしまいます。
「え?でも、わざわざフォームに入力したけど止めるってケース、そんなに多くないのでは?」と思う人もいるでしょう。
そこで出てくるのがブラウザのオートフィル機能。フォーム入力欄の名前属性に応じて自動的に内容を埋めてくれる機能ですが、これなら当該フォームを訪問した時点で、フィルされた情報は全部伝わるというわけです。
さて、上記記事でgizmodeはこのフォームを使った各社に使途についての問合せを行っています。返答はごくわずかでしたが「興味を示した訪問者に再活性化してもらうため。メーリングリストにも入れている」といった回答が得られているそうです。
また、NaviStone社にも問い合わせを行っています。その後、同社は「送信」前のデータ収集は止めた、と述べているそうです。
しかし、この手法は比較的簡単に使えるため、他の企業が同様のことを行うのは簡単ですし、そもそもオートフィルを期待するならばフォームが見える必要すらありません。つまり、フォーム要素が見えないページで、オートフィルされたデータが自動送信されている可能性がある、というわけです。
対策としては、やはりオートフィルを止めるのが一番でしょう。各ブラウザの設定画面から止めることができるはずです。
