Macを遠隔ロックし身代金を要求する事件が発生中?
「ハッカー、iCloudの"Find My iPhone"機能を悪用し遠隔でMacをロック、身代金を要求する」
タイトルでだいたい分かる感じですが、iCloudのアカウント名とパスワードが知られた場合(所定の機能が有効であれば)、そこからログインしてMacを遠隔ロックできてしまいます。これは利用者が2段階認証を使っていても有効です。
というのも、"Find My iPhone"機能を使えば、2段階目の認証はパスできるからです(iPhoneをなくした時に使う機能で2段階目は通常は無理ですよね)。
パスワードは、もちろん秘密のはずです。私の知る限り、これまでiCloudのパスワードは(中国での業務委託先がやらかしたような小規模な事例は別として)流出してないはずです。しかし、利用者が他のサービスと同じものを使っていれば、その流出の影響を受けてしまいます。
とにかくパスワードは「使いまわさない」「"password"など頻出するものは避ける」のが肝心です。
ちなみに、[Wikipedia(英語版)に頻出パスワード(https://en.wikipedia.org/wiki/List_of_the_most_common_passwords)がありますね。
iOSでわずかな権限から大量の情報を取得する方法
「iOSアプリの権限に抜け道が発覚、詳細な位置情報を画像のメタデータから取得可能」
Google傘下のFastlane Tools創設者Felix Krause氏によれば、iOSの権限の抜け道を使うことで、位置情報を含む様々な利用者情報を抜き出すことができるとのこと。
これはiOSの権限に含まれる「写真へのアクセス権」を悪用するものです。この権限は、「写真の選択」と「写真の管理や編集」を包括しています。このため、たとえアプリに位置情報への権限がなくても、写真のEXIFデータを抜き出すだけで、(GPSがONなら)GPS位置情報、時刻や地域をはじめ、画像分析により親しい人物の特性など、かなりの情報を取得できます。
ちなみにこの人、この仕組みを使って利用者の位置を割り出し、マップ上にプロットするというデモアプリを作成し、App Storeで公開しています。削除はされていないようです。
itunes.apple.comところで、たぶんですが、この手法、Androidでも比較的緩い権限で通用するんじゃないかと思うのですが……。
Android向け「GO Keyboard」、利用者データを無断で大量に送信
「人気のAndroid用キーボードアプリ、利用者データを収集し外部コードを実行していることが判明」
AdGuardの技術者の調査によれば、GO Keyboardという入力アプリがインストール直後に大量のデータを送信しているとのこと。送信データにはGoogleアカウントのメールも含まれるそうです。
また、外部の広告ネットワークと接続し追跡するコードも実行している模様です。
ちなみにいずれもGoogle Playの規約に抵触しており、AdGuardはGoogleに連絡したものの、何も対策はとられていない模様です。
ちなみにGO Keyboardのインストール数は2種類あわせて2~10億件。中国企業のアプリですが、中国以外でどの程度使われているのかは分かりません(日本語Google Playでも普通に見つかりますね)。
DataContractJsonSerializerのJSON出力を改行・インデントする
Equifaxの大規模漏洩・その後
米国の消費者信用情報企業ビッグ3の1つ(英語版Wikipediaで見る限り、売り上げはExperianより下の2位のようです)であるEquifax社の大規模漏洩は、つい先日CEO辞任となりましたが、件数(1億4000万件以上)だけでなく、色々と他でも注意すべき問題が出ていたように思います。
侵入口
「Equifax、幹部退任とあわせて侵入事件の新情報を公開」
Equifaxへの侵入は、Apache Strutsの脆弱性への攻撃により行われました。侵入者は2017年5月13日~7月30日にかけてアクセスしていたとされています。
この時使われた脆弱性は、つい先日のものではありません。3月に出た「CVE-2017-5638」です。東京都税のクレジットカード支払いサイト(複雑な所有/構築関係で話題になったものですね)や特許情報のPlatPat、科学情報のJ-STAGEなど多数のサイトに影響が出た時のものです。
Equifaxの発表によれば、3月にこの脆弱性情報が公開された後、パッチ適用を進めたものの、2~3のシステムで適用が抜けていたとのこと。
Strutsの脆弱性は攻撃しやすく効果も抜群な傾向があり、過去に何回も攻略されているわけで、「本質的に安全なものに移行する」「WAFやパッチ適用を含めて細やかに運用する」といった対策が不可欠です。少なくとも今回のEquifaxの体制ではだめでした。
漏洩発表前の株式売却
「Equifax侵入事件が歴史上最悪の個人情報漏洩事件になる可能性が非常に高い理由」
この記事などにあるように、Equifaxが情報漏洩の事実を公表する直前に、幹部が2億円相当の株式を市場で売却しています。Equifaxは「売却した幹部には事件のことは知らされていなかった」としていますが、本当に知らないなら極めて重大な事件を適切に扱えていないわけで、どうみても問題でしょう。
公表後の対応
Equifaxは、情報漏洩を公表した後で、「www.equifaxsecurity2017.com」というドメインで「消費者が今回の情報漏洩の被害者かどうかを確認するサイト」を運用し始めました。Equifaxなどの消費者信用情報企業は、消費者と直接契約していないため、消費者側は自分の情報を誰が扱っているのか知らないのです(自分が知らないところで重大な情報が扱われていることも本質的には問題ですが、別の話なので割愛します)。
しかし、そもそもこのサイトがEquifaxの外部に存在する時点で問題があります。いきなり出して信用しろと言われても困ります。さらに悪いことに、Whoisでこのドメインを調べても、どこにもEquifaxの名は出てこないのです。参考のため、ansiでひいた結果を次に示します。
Domain Name: EQUIFAXSECURITY2017.COM Registry Domain ID: 2156034374_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.markmonitor.com Registrar URL: http://www.markmonitor.com Updated Date: 2017-08-25T15:08:31Z Creation Date: 2017-08-22T22:07:28Z Registry Expiry Date: 2019-08-22T22:07:28Z Registrar: MarkMonitor Inc. Registrar IANA ID: 292 Registrar Abuse Contact Email: abusecomplaints@markmonitor.com Registrar Abuse Contact Phone: +1.2083895740 Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited Name Server: BART.NS.CLOUDFLARE.COM Name Server: ETTA.NS.CLOUDFLARE.COM DNSSEC: unsigned URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/
これじゃ詐欺サイトと見られても仕方ありません。
さらに、実際に詐欺サイト作り放題な状況さえありました。Equifaxの公式Twitterアカウントが間違ったサイト(securityequifax2017.com、つまり"security"と"equifax"が逆)を案内していたのです。
「Equifaxカスタマーサービス、個人情報漏洩被害者を数週間ものあいだ偽のフィッシングサイトに案内」
このドメインは幸いにも誰にも確保されていない状態だったので、とある開発者が取得して詐欺に使われるのを防ぎましたが、この開発者からの通報に対してEquifaxは適切に応答しないなど、杜撰としか言いようのない状況です。
他社の例
2015年、Equifaxより大きなExperianも1億5000万件もの情報漏洩をやらかしています。ただ、事後対応はEquifaxのような杜撰なものではなかったように記憶しています(というか、漏洩以外にあまり印象が残っていません……)。
「Expraianによるハッキングにより1億5000万人の個人情報が漏洩」
Eto.Formsプルダウンメニューの翻訳対応
Eto.Formsの記事を書いてきましたが、実はEto、プルダウンメニューに若干の問題があります。それは、「ファイル」メニューと「ヘルプ」メニュー。
プルダウンメニューの項目名を普通に日本語(正しくは英語以外)にすると、思わぬ結果になってしまいます。しかし、MLで簡単な対策が出ていたのでご紹介します。
続きを読むカスペルスキー、米政府組織での利用が禁止に
「米国、政府組織のシステムでのカスペルスキー製品の利用を公式に禁止」
国内でも出てますが、一応。何回も出てくるので、Kasperskyタグも作りました。
米国の国土安全保障省から、政府内でのカスペルスキー製品利用を禁止する指令が出ました。
もちろんカスペルスキー側はこれを不当として批判しています。
http://www.kaspersky.co.jp/about/news/business/2017/bus14092017bwww.kaspersky.co.jp