スキミング詐欺を検出する?アプリが登場
「ガソリンスタンドでのクレジットカードスキミング詐欺を検出できるAndroidアプリ」
電子工作では有名なSparkFunのCEOであるNate Seidle氏が、「Skimmer Scanner」というAndroidアプリを公開しました。
こちらはSparkFun公式の記事です。
https://learn.sparkfun.com/tutorials/gas-pump-skimmerslearn.sparkfun.com
公式記事によれば、そもそも今回の話は行政からSparkFunに対してスキミング装置についての調査依頼があり、3台の装置を調べたことが発端です。
このアプリは、(米国の)ガソリンスタンドに設置されるスキミング装置の多くがArduino用BluetoothシールドHC-05(※リンクは最小のURLで、かつ現在品切れでした)を使っていることを利用します。
さらに、HC-05のデフォルトパスワード(1234)と、多くのスキミング装置に共通する「'M'と送ると'P'と返ってくる」挙動を使います(後者は、販売されているスキミング装置の仕様でしょうか)。
「アプリを入れたくない」「そもそもAndroid使ってない」という人は、とりあえずBluetoothを起動して周囲をスキャンし、「HC-05」が見つかったら気をつけるのも一手ですし、もし端末(コンソール)が使えるようなら、HC-05に対して'M'を送ることで、このアプリと同じ判定ができます。
こういうのが出てくると対策がとられるのが常ですが、同時に古い型のものも当面は残るでしょうし、スキミング装置がBluetoothで通信するかも、と思っているだけで役に立つかもしれません(とか言ってるうちにZigbeeなどに移行するかもしれませんが)。
ネットストーカー容疑者、VPNログが決定打となり逮捕
「ネットストーカー容疑者、VPN業者からFBIへのログ供与の後に逮捕される」
ルームシェア先の人々(など)にネット上での膨大なハラスメントを行った容疑で、24歳の男性が逮捕されました(詳細の記述もありますが、身元を偽って犯罪告白をしたり、各種アカウントをクラックして写真や過去の日記などをばらまいたりしています。また過去の同級生も同様の嫌がらせを受けていたと述べているなど、かなり問題の多い人物とみられます)。
この男性は嫌がらせなどをTorやVPN経由で行っており、警察の捜査は難航、FBIに捜査を依頼しました。FBIは男性の以前の勤め先の(一旦初期化した)PCから情報を復元するなどしましたが、さらにVPN業者(PureVPNとWANSecurity)からもログを取得し、逮捕の根拠としました。
WSJ、NSA情報窃取をカスペルスキーに関連付ける報道
「ロシアがNSAの秘密情報をカスペルスキーの協力のもと窃取したと報道、現在わかっていることは何か」
WSJ(ウォールストリートジャーナル)において、NSAの秘密情報をロシアが窃取したとの報道がありました(元記事(有料))。
冒頭のリンクは、このニュースについての分析記事となっています。
WSJの記事で述べられていることを箇条書きで示します。
- 2015年、NSAの業務を請け負った人物が、自宅のPCをクラックされ、そこからNSAの機密情報を含んだファイルをクラッカーに盗まれた。
- この人物の自宅PCには、カルペルスキーのアンチウイルス製品がインストールされていた。
- 機密情報には、NSAが他国のコンピューターネットワークに侵入する方法や使っているツールのソースコード、米国内のネットワーク防御方法が含まれる。
- クラッカーはロシア政府のためにこの窃取を実施した。
- クラッカーはカスペルスキー製品により機密ファイルが当該PCに存在することを確認してから窃取した。
- 米国の調査関係者は、カスペルスキー製品の利用により、ロシアのクラッカーに、NSAのファイルが存在するという警告が発生したと考えている。
本ブログの「Kaspersky」タグを見れば分かるように、米政府はこのところカスペルスキーを排除する姿勢を強く見せていました。今回の記事は、この流れの中のエピソードと言えます(実際、WSJの記事は主に米政府関係者からの情報で構成されているようです)。
ただ、この記事はあまりにも具体的な情報がありません。また、カスペルスキーの位置づけは、記事では明確には示さず、ロシア政府に協力したことを匂わせるに留めています。しかし、明確な証拠のない状態では、積極的あるいは消極的な協力なのか、それとも製品の脆弱性を突いてクラッカーが侵入したのかは不明としかいえません。セキュリティ関係者の見解も(Ars Technicaの記事では)賛否両論といった様子です。
ただ、少なくとも今回の報道により、同社の米国(等)での立場が悪くなったことは間違いないところです。
なお、他社の製品も含めて(マイクロソフトのSecurity Essentials/Defenderも)、現在の多くのアンチウイルス、アンチスパイ製品は、怪しいファイルをサーバに送る機能がついています。機密情報を扱うのであれば、扱う環境はよく考えなければならないでしょう。
また、Ars Technicaの記事で指摘されていますが、NSAの情報はこの数年で少なくとも3回、関係者により持ち出されています(言うまでもなく、そのうち1回はエドワード・スノーデン氏によるものです)。「情報は漏れる」ということを、リスクとして考慮しておくことも必要なのでしょう。
クラックされた米SEC、セキュリティ予算不足の訴えがあったことも判明
「SECハッキング、セキュリティチームの予算懇願の中で発生していたことが判明」
先月(2017年9月)に米SEC(証券取引委員会)にクラッキングがあり、EDGARシステムを通じて、(株式のインサイダー的取引につながりうる)企業の重要情報に非公開時点でアクセスされていた可能性があるとみられています。
今回明らかになったのは、SEC内部では、クラックが発覚する数ヶ月前から、セキュリティ部門が予算の不足を訴えていたということ。機材も他部門のお下がりを使っていたようです。ちなみに2017年度の予算申請額は50万ドルだったのに対して実際に配分されたのは10万ドル。
この部門(デジタルフォレンジックならびにセキュリティ部門)は2015年に創設され、SECが企業などのセキュリティ事件を捜査する際の実働部隊としての役割も期待されていました。しかし実際には、内部メモによればビジョンも明確な目的もなく、SECのIT部門とのコミュニケーションすら欠けていたそうです。
2つの国でISPが政府のスパイウェア配布に関与か
「FinFisherスパイウェアの配布について、ISP関与の疑い」
少なくとも2つの国で、プロバイダ(ISP)が、FinFisher(FinSpy)と呼ばれるスパイウェアの配布に関与していた可能性がある、という指摘が、ESETにより行われました。
FinFisherはGamma Group製の有名な政府(法執行機関や各種省庁)向けスパイウェアで、圧政的な政府が都合の悪い相手(反対派やジャーナリストなど)に感染させるために使われているという証拠も過去に出ています。また、FinFisherには一般的なスパイウェアに含まれうる機能(会話の記録、スクリーンショット取得、ビデオ録画、ファイル窃盗など)を有することから、セキュリティ関係者からはマルウェアとして扱われています。
今回の指摘は、一部のISPで、よくダウンロードされるソフト(WhatsAppやSkype、VLCなど)を利用者がダウンロードする際に、経路を切り替えて、FinFisherを感染させたものをダウンロードさせていた、というものです。簡単に言えば、ISPによるMitM攻撃です。
ESETでは、誰も危険に晒さないために、として該当する国を非公開としています。ただ、該当する国では、広範囲に多くのFinFisher感染が観測されているとのこと。
なお、ESETでは、今回の件について、ISPが自ら従ったのか、それとも内部者などによる隠れた行為かは不明としています。
CCleanerマルウェア混入事件、詳細が予備サーバから判明
少し前の話ですが。
「Avast、CCleaner事件の第2段階マルウェアの影響を受けた企業の完全リストを公開」
有名ユーティリティCCleanerにマルウェアが仕込まれた(しかもセキュリティソフトAvastの傘下になっていた)件で大いに騒がれましたが、このマルウェアは早い段階で2段階方式であることがわかっていました。特定のターゲットだけが、2段階目のマルウェアの攻撃を受けていました。
ターゲットについては、サーバにデータが残っていたものの、ストレージが小さく、最後の5日間程度の分しかログが残っていないことが判明していました。
しかし、その後の調査で、他のサーバにもログが残っていたことがわかりました。こちらは空き容量も十分で、ほぼ全てのログ(サーバが落ちていた40時間は除くとのこと)が取得できました。
その結果は、次のようなものです。
つまり、本当の狙いはこの40台だったというわけです。それらのPCの所在は、次の通りです。
- 中華電信(台湾最大の通信事業者、元国営)
- NEC
- サムスン
- ASUS
- 富士通
- ソニー
- Dyn)(DDNSやドメイン管理事業を実施。オラクル傘下)
- O2)(英携帯会社)
- Gauselman(独ギャンブル関連企業)
- Singtel(シンガポール通信事業者)
- Intel
- VMWare
- HTC
- LinkSys
- エプソン
- Vodafone
- Microsoft
- D-Link
- Google (GMail)
- Akamai
- MSI
- Cisco
- サイバーダイン
- TTI(カナダの軍事関連企業。おそらくTTI, Inc.)
- GoDaddy
日本や台湾の企業が心なしか多い印象ですね。
Macを遠隔ロックし身代金を要求する事件が発生中?
「ハッカー、iCloudの"Find My iPhone"機能を悪用し遠隔でMacをロック、身代金を要求する」
タイトルでだいたい分かる感じですが、iCloudのアカウント名とパスワードが知られた場合(所定の機能が有効であれば)、そこからログインしてMacを遠隔ロックできてしまいます。これは利用者が2段階認証を使っていても有効です。
というのも、"Find My iPhone"機能を使えば、2段階目の認証はパスできるからです(iPhoneをなくした時に使う機能で2段階目は通常は無理ですよね)。
パスワードは、もちろん秘密のはずです。私の知る限り、これまでiCloudのパスワードは(中国での業務委託先がやらかしたような小規模な事例は別として)流出してないはずです。しかし、利用者が他のサービスと同じものを使っていれば、その流出の影響を受けてしまいます。
とにかくパスワードは「使いまわさない」「"password"など頻出するものは避ける」のが肝心です。
ちなみに、[Wikipedia(英語版)に頻出パスワード(https://en.wikipedia.org/wiki/List_of_the_most_common_passwords)がありますね。
