Microsoft、秘匿データベースに侵入されていたことが発覚
「独占報道:マイクロソフト、2013年に秘密のデータベースがハックされていたことを検知するも秘密裏に対応」
「マイクロソフト、2013年に秘密の脆弱性データベースがハックされたことを決して公開せず」
マイクロソフト社内のバグ管理データベースが外部から侵入されていたことが、5人の元従業員により発覚しました。
侵入者はここからWindowsなどに関する未公開の脆弱性情報を取得していた可能性があるとみられています。登録されている以上、多くは近いうちに対策される可能性が大ですが、それでも時間差を活かしてゼロデイ攻撃による侵入には使えるでしょう。
侵入は2013年のことで、この時期に開発者向けサイトでの通称「水飲み場攻撃」により米国IT企業(Facebook, Apple, Twitter)が次々にマルウェアの実行を許した件に関連するものとみられています。
この時の攻撃の背後にいたとされるグループは「Morpho」「Butterfly」「Wild Nuetron」「jripbot」といったコードネームがセキュリティ業界では設定されています。2011年以前から今まで活動を続けているとみられるグループですが、その正体は不明なままです。攻撃対象は法律事務所やBitcoin関連企業、投資企業、IT企業など様々で、対象がある国も20以上です。
なおデータベースへの侵入が発覚した後にマイクロソフト社内での調査が行われたものの、盗まれた情報が使われた形跡は見つからなかった、とあります。ただし記事では情報提供者5人のうち3人は、この調査について結論するには小規模すぎるとしています。わざわざ同社の秘密データベースに侵入して使わないというのは謎すぎますね。
また、この事件の発覚後に当該データベースは社内ネットワークから隔離され、アクセスには2件の承認(形式は不明)が必要になった、とのこと。承認の形式によっては、実務以上に官僚的になっているかもしれない、と思わなくもありません。
ちなみに2015年にはMozillaがバグ管理データベースに侵入されましたが、この時は詳細な情報を公開しています。
2013年の侵入は、Macを使う開発者を狙った水飲み場攻撃、という点でセキュリティ業界的には結構話題になったと記憶していますが、あの時は各社ともに「被害はわずか」としていたように思います。しかし少なくとも1件は重大な侵入があったわけで、実は(マイクロソフトも、それ以外も)他にも侵入がある(あった)可能性が懸念されるところですし、そこが侵入被害の怖い面でもあると思います。
InfineonのRSAライブラリに脆弱性、スマートカードやGitHubにも影響
「数百万の高セキュリティ暗号鍵、新しく見つかった不具合により弱体化」
・JVNの情報
http://jvn.jp/vu/JVNVU95530052/jvn.jp
・発見者による記述
https://crocs.fi.muni.cz/public/papers/rsa_ccs17crocs.fi.muni.cz
KRACKの話題でもちきりな中、ある意味では同等かそれ以上の効果をもった脆弱性が発見され、話題になっています。
これは独Infineon社のRSAライブラリ実装の脆弱性。このライブラリで生成した暗号鍵は強度が大幅に不足するため、重要な機密を要する目的には不適切です。
脆弱性は、見たところ詳細は直接はかかれていませんが、同ライブラリが鍵ペアを生成する時に十分ランダムに生成されていない点にあるようです(FAQより判断)。この結果、鍵ペアの範囲が限られ、公開鍵から秘密鍵が現実的な時間とコストで計算できてしまう、というものです。秘密鍵を求めるのに必要な情報は公開鍵だけなので、遠隔で処理可能です。
ちなみに、発見者は公式サイトから、チェックツールにリンクを張っています(記事の中ほどにある"Detection tools, mitigation and workarounds")。手軽なオンラインツールも2種類あります(1件目,2件目)。
この脆弱性の影響は、既に色々なところに出つつあります。最も身近なのはGitHubに登録している公開鍵でしょうか。InfineonのRSAで計算されたものがそれなりにあるそうです。また、PGPやTPMでも影響が出ているようです。基本的には、InfineonのRSAライブラリを置き換えるか、それ以外で鍵を生成するのが対策となります(ただし、Infineonの製品は組み込まれることも多いため、一見他の企業のものに見えるケースもあるようです)。ちなみにInfineon社でも楕円暗号なら問題はないそうです。
さらに、Ars Technicaの記事では、エストニアの国民IDがこの影響を受けており、政府はデータベースを一時的に閉鎖し、全ての鍵を再生成すると発表した旨を伝えています。ちなみに、編集者の1人が2015年に取得した電子住民登録カードの鍵も脆弱だったそうです。
豪州でF-35を含んだ軍事情報が盗まれた件について
「オーストラリアの防衛関連企業、ハックされF-35などのデータが盗まれる。米国防総省も窃盗の事実を確認」
「F-35やP-8、C-130などの秘匿データ、オーストラリアの防衛事業契約者へのハッキングにより窃盗される」
オーストラリアの小規模な防衛関連企業に、クラックがあり、中にあった軍事情報が盗まれるという事件がありましたが、これについて続報がシドニーITカンファレンスという場で出ました。
クラックをしたのは、従来からオーストラリアで「APT Alf」と呼ばれていた攻撃者です(ちなみに"Alf"は彼の地で長く続くテレビ番組のキャラクターであり、所ジョージさんが声をあてていた宇宙人ではありません)。
クラックが最初に起きたのは2016年7月のことだとか。発覚は11月です。
クラックの経路ですが、インターネット上に公開されたサーバから侵入し管理者権限を取得、社内ネットワーク内を自由に移動し、各地にWebからアクセス可能な形のシェルの1つ "China Chopper" を配置しました(このシェルは過去に中国人により使われたものの、今回の犯人との関連性は不明です)。
そして、そもそも侵入を許した背景には、侵入された企業でのITシステム管理の軽視があります。
- フルタイムのITシステム管理者は1人
- その1人も勤務9ヶ月目(侵入時点か発覚時点かは不明)
- DMZ領域の設定なし -定期的なパッチ適用はなし
- 全サーバの管理者パスワードは同一
- ネット上に向けて多数のサービスが動作(サービスは極力減らして攻撃対象を限定するのが普通)
- 最初の侵入はヘルプデスクの12ヶ月前の脆弱性経由
- 最初の侵入先がドメイン管理と共通(つまり侵入すればすぐに管理者として色々できる)
- 実はサーバでデフォルトのアカウント&パスワードが有効(侵入者は使ってない模様。ちなみにadmin:adminとguest:guest)
こういう状況は、他でもたくさんあることと思います。そして誰も気づかないうちに侵入されているということも。
オランダデータ保護機関、Windows10を違反認定
世の中的にはKRACKが大騒ぎですが、その分、日本語でも情報が比較的あるので、こちらでは割愛します(公式サイトは読みましたが)。
さて、今回の本題。
「オランダデータ保護機関:マイクロソフトはWindows 10においてデータ保護法に違反」←公式(英語)
https://autoriteitpersoonsgegevens.nl/en/news/dutch-dpa-microsoft-breaches-data-protection-law-windows-10autoriteitpersoonsgegevens.nl
「オランダプライバシー規制組織、Windows 10が法に違反と認定」←本件を扱う記事の1つ
フランスなどの調査が終わったWindows 10のプライバシー問題ですが(詳細は「Windows10」タグからどうぞ)、今度はオランダからです。今回は最初から違反認定です。
- 利用者に、取得するデータの種類と目的を明確に示していない。
- デフォルト設定を選んだ場合ん、アプリの利用や、Edgeを通じたWeb利用時の行動履歴について、継続的にデータ取得していることを明確に利用者に伝えていない以上、(法的に有効な)同意は「不可能」。
- Creators Updateへのアップグレード時、それまでのプライバシー設定を尊重せず、デフォルト設定を常に「Full」にしている。
- 今後の対応によっては罰則を適用する。
Basicレベルでのデータ取得は「デバイスの利用に関して限定的なデータが処理される」としており、問題ないとの判断です。
なお、次回(Fall Creator Update)でも様々な変更が起こります。アップグレードする場合はプライバシーを含んだ設定が変わる可能性があるので、ご注意ください(こんなことに注意するなんて、本当におかしな話とは思いますが……)。
そしてWindows Updateの不具合も。10月の不具合は主にWindows 10向けでした。
https://freesoft.tvbok.com/cat97/2017/2017_10_windows_update.htmlfreesoft.tvbok.com
米EquifaxとライバルTransUnion、訪問者を偽Flashに導く
「EquifaxのWebサイト、再びやられる。今回は偽Flash更新ページへリダイレクト」
「EquifaxのライバルTransUnionも、サイト訪問者を悪質なページへ転送」
1.5億人分のSSN(社会保障番号、米国のマイナンバー)等を流出させたEquifax。そのサイトを閲覧すると、今度は偽Flashのインストールを求めてきた、という話題です。訪問者によっては「iPhone Xのテスターに選ばれました!」という悪質な広告に行き着く模様。
ライバルTransUnionも、中央アメリカ向けのサイトを閲覧しようとすると、同様なページにリダイレクトされるとのこと。しかも途中から同じ経路を通っているようです。
2社がほぼ同時に同様の状況になっていることもあり、広告にマルウェアが仕込まれる "Malvertising" が起きている可能性が指摘されています。
スバル車のキーレスエントリーに脆弱性
「スバル車、未パッチの脆弱性利用でキーレスエントリーの複製が可能に」
タイトルの通りなのですが、スバル車の一部のキーレスエントリーは、1回正規リモコン(fob)の電波を受信できれば、複製が可能ということが発覚しました。
この話、2015年に出た話題に似ているかのような印象を受けます。
この例では、持ち主のリモコンの電波を妨害する一方でクラック用装置内に保持し、以後はコードを1回ずつシフトした形で使うというものでした。
しかし、今回の方法では、傍受できれば次の乱数が予測可能となる点で、大きく異なっています(詳細は割愛しますが、元記事を読んでgoogleを使えば分かる通り、乱数になっていないのです)。電波を妨害する必要がないので、(いやな言い方ですが)実用的です。さすがにネット経由での攻撃はできないものの、わかっている人間が装置を作っておけば、該当するスバル車からオーナーが離れるところに出くわしたが最後、簡単に鍵を解除できるものと思われます。
この件を発見した研究者はスバルに問い合わせたものの、まともな応答を受けていません。また上記記事元(bleepingcomputer)も問い合わせを出していますが、返答は来ていないそうです。
なお、この脆弱性が日本国内のスバル車にもあるかは不明です。
カスペルスキーの件の続報と国家の監視
「いかにしてイスラエルはロシアのハッカー達が全世界から米国の機密情報を漁っていたことを知ったのか」←今回の元記事
「イスラエル、カスペルスキーをハックし、NSAにツールの流出を伝える」
「カスペルスキーのアンチウイルス製品がいかにしてロシアのハッカー達がNSAの機密窃取を支援したか(報道)」←上記2記事の紹介、解説
先日の件の続報です。
今回は登場人物が多いので、本件での箇条書きで位置づけを書いておきます。
- 米(NSA):機密情報を盗まれた(とされている)
- ロシア:NSA機密情報を盗んだ(とされている)
- カスペルスキー:ロシアの窃取を支援した(とされている)
- イスラエル:何らかの事情でカスペルスキーの社内ネットワークに侵入した(とされている)
今回の話は、2015年から始まります。カスペルスキーの社内ネットワークにマルウェアが侵入していた、という発表がありました。このマルウェア「Duqu 2.0」は、かつてイランの核開発を遅らせようとして米国とイスラエルが共同で開発、送り込んだとされる「Stuxnet」の後継的なものといわれています。
今回のNYT(New York Times)の(匿名情報源による)報道によれば、この時の侵入者はイスラエルで、彼らは侵入先(カスペルスキー)の状況をリアルタイムで把握できていた、とのこと。この時、侵入者側が調査していたのは、国家によるサイバー攻撃(Equation Group(NSA)やRegin(英GCHQ)など)についての調査状況だったようです。
そしてこの時、イスラエル側はロシア政府がカスペルスキー製品を通じて、それをインストールした先のPC内にある機密情報を漁っていたことをつきとめ、スクリーンショットなどをNSAに提供したとのこと。
また、ワシントンポストの記事では、カスペルスキーのアンチウイルス製品は、マルウェアと無関係なファイルについても「サイレント・シグネチャ(silent signatures)」をとり、「機密情報のキーワードなどを含むファイル」を検出していた、としています。さらに、この手法が「誤検出を防ぐためにサイバーセキュリティ業界で広範に使われている」とも書かれています。
同記事では、CIAの対ロシア業務経験者など(これらの部分は実名)の、カスペルスキーがロシア政府やFSB(旧KGB)の要望をはねのけることは事実上不可能だろうとするコメントも紹介しています。
さらに、silent signatresについて、WSJからさらなる続報が出ました。下記はそれを紹介するArsの記事です。
「カスペルスキー、アンチウイルス製品をロシアがNSAの機密を盗むのに役立つよう修正したと報じられる」
こちらも例によって匿名の米政府関係者がソースです。また、silent signaturesが導入された時期や対象範囲などの肝心な部分は記載がありません。
なお、ドイツは現状では事態を見守っているようです。
「ドイツ:カスペルスキー製品がロシアによるハッキングに使われたという話は根拠なし」
ちなみに、諜報組織による侵入も複雑になっています。ある組織が侵入したところに、さらに別の組織が入る事態が既に発生しているといわれています。これは、例えば技術力が低い組織でも、高い組織の侵入を利用してカバー範囲を広げられるなどのメリットがあります。
「スパイはハッキングする。しかし最高のスパイは他のスパイのこともハッキングする」
ところで、アンチウイルスソフトがある意味で優秀な侵入経路になる、というのは以前からセキュリティ界隈では言われてきていることですが、その意味では、OSやファームウェアは、さらに優秀な経路になる可能性があります。例えば一部のAndroidスマートフォンに搭載されるADUPS (Shanghai Adups Technology)社のソフトが個人情報を外部に流しているという話が去年話題になりました。
また、Windows10のデータ収集も(一応範囲は公開されたものの)かなり項目が多い状態です。
さらにサービスについても、スノーデン氏がNSAの活動を明らかにしていますし、米Yahooメールは、米政府が全ての内容を検索するバックドアを設けさせられています。