FBI長官、暗号化処理バックドアを求めるべきと発言
「FBI長官いわく:突破不可能な暗号化は『巨大な、巨大な問題』」
「トランプ政権の司法省、暗号化の弱体化を『責任ある暗号化』と呼ぶイメージ作戦を展開」
FBI長官(最初の記事)と司法省ナンバー2(2つ目の記事)で、それぞれ米国において法律に関して重要な立場にいる人々が暗号化の弱体化を訴える発言をしているようです(英国でもまた類似の発言があったのですが、記事を失念してしまいました……)。
クリッパーチップの頃から繰り返される愚行は繰り返されています。
念のため。こういった措置をとった場合、他国(敵対的国家に限りません)や悪意ある者たちが利益を得る可能性が非常に高く、しかも発覚する保証すらありません。
RSA暗号実装の脆弱性、IDPrime.NETにも存在か
「暗号の脆弱性により数百万のスマートカードがクローンされうる可能性」
下記の件の続きです。
ROCAについて、当初脆弱性が指摘されたInfineonの製品に加えて、蘭GemaltoのIDPrime.NETも脆弱な可能性が高いことが判明しました。AWSなどの計算サービスを使えば、鍵長が1024ビットの場合で数時間、2048ビットでも数日で公開鍵から秘密鍵を算出できてしまいます。
この製品は2004年に登場し、当初マイクロソフト社員がネットワークアクセス認証に使っていたものです。多数の企業でネットワーク利用認証や従業員認証、メール暗号化、リモートアクセスなどに使われています。
IDPrime.NETは今年(2017年)の9月をもって販売を終了しましたが、サポートは最長48ヶ月継続します。また他の販売業者からはこの製品がいまだに販売されています。Gemaltoは同製品の販売数を公表していませんが、研究者は数百万から数億枚と予測しています(幅がありすぎてなんともいえませんが)。
なお、同社の他の製品(IDPrime MDなど)はこの脆弱性はないそうです。
正体不明の新興ボットネット「IoT_reaper」
「巨大IoTボットネット、9月に影の中で成長」
Miraiをベースにしたボットネット「IoT_reaper」が、ネットワーク接続可能なビデオレコーダー類(テレビや監視カメラなどの録画装置)を中心に広がっているという調査結果が発表されました。
記事中には実際に感染が確認されている機器の名前が出ていますが、ビデオレコーダー以外にネットワーク機器やLinuxサーバも感染しているようです。
IoT_reaperはMiraiと違って、空いたTelnetポートのスキャンはせず、既存の脆弱性を攻撃して侵入します。また、Luaエンジンをもち、その上で動作するDNSリゾルバもあります。
現在、IoT_reaperによるボットネットは200万台以上の機器で構成されていますが、これまでDDoSなどに使われた形跡はなく、まだ拡大途上であるとみられます。またその意図についても、DDoSなどを行う悪意(または金銭的利益)を狙ったものか、それとも他のボットネットからの防御を考えているのかも分かっていません。
Web技術情報、Mozillaの一括管理に移行
「Webブラウザメーカー、Web技術文書をMozillaのポータルに移管することで合意」
Microsoft、Google、Samsung、W3CとMozillaは、Web技術文書を全てMDN (Mozilla Developer Network)の下で一括管理することで合意しました(SamsungはTizenですかね)。
これを受けて、MDNは新たに "MDN Web Docs" という名称になりました。URLは従来同様の https://developer.mozilla.org/ です。
(なお、日本語だと「MDNウェブドキュメント」です……。おまけに目立つフレーズ「開発者による開発者のためのリソース。」が明朝体ですね……)
既にMSDNはMDNへのリダイレクトを開始しています。試しに適当に検索したら、本当にMDNにリダイレクトされました。Googleもだそうです。
でも、MDNは標準について書いてますが、特にIEは独自仕様が多いので、MDNでそこがカバーされることは、あまり期待できません。ということは、IEの公式技術情報は無料でネットでは見られないということですかね。IE11は2013年(Win8.1延長サポート終了)まではそれなりに使われると思うのですが。
Microsoft、秘匿データベースに侵入されていたことが発覚
「独占報道:マイクロソフト、2013年に秘密のデータベースがハックされていたことを検知するも秘密裏に対応」
「マイクロソフト、2013年に秘密の脆弱性データベースがハックされたことを決して公開せず」
マイクロソフト社内のバグ管理データベースが外部から侵入されていたことが、5人の元従業員により発覚しました。
侵入者はここからWindowsなどに関する未公開の脆弱性情報を取得していた可能性があるとみられています。登録されている以上、多くは近いうちに対策される可能性が大ですが、それでも時間差を活かしてゼロデイ攻撃による侵入には使えるでしょう。
侵入は2013年のことで、この時期に開発者向けサイトでの通称「水飲み場攻撃」により米国IT企業(Facebook, Apple, Twitter)が次々にマルウェアの実行を許した件に関連するものとみられています。
この時の攻撃の背後にいたとされるグループは「Morpho」「Butterfly」「Wild Nuetron」「jripbot」といったコードネームがセキュリティ業界では設定されています。2011年以前から今まで活動を続けているとみられるグループですが、その正体は不明なままです。攻撃対象は法律事務所やBitcoin関連企業、投資企業、IT企業など様々で、対象がある国も20以上です。
なおデータベースへの侵入が発覚した後にマイクロソフト社内での調査が行われたものの、盗まれた情報が使われた形跡は見つからなかった、とあります。ただし記事では情報提供者5人のうち3人は、この調査について結論するには小規模すぎるとしています。わざわざ同社の秘密データベースに侵入して使わないというのは謎すぎますね。
また、この事件の発覚後に当該データベースは社内ネットワークから隔離され、アクセスには2件の承認(形式は不明)が必要になった、とのこと。承認の形式によっては、実務以上に官僚的になっているかもしれない、と思わなくもありません。
ちなみに2015年にはMozillaがバグ管理データベースに侵入されましたが、この時は詳細な情報を公開しています。
2013年の侵入は、Macを使う開発者を狙った水飲み場攻撃、という点でセキュリティ業界的には結構話題になったと記憶していますが、あの時は各社ともに「被害はわずか」としていたように思います。しかし少なくとも1件は重大な侵入があったわけで、実は(マイクロソフトも、それ以外も)他にも侵入がある(あった)可能性が懸念されるところですし、そこが侵入被害の怖い面でもあると思います。
InfineonのRSAライブラリに脆弱性、スマートカードやGitHubにも影響
「数百万の高セキュリティ暗号鍵、新しく見つかった不具合により弱体化」
・JVNの情報
http://jvn.jp/vu/JVNVU95530052/jvn.jp
・発見者による記述
https://crocs.fi.muni.cz/public/papers/rsa_ccs17crocs.fi.muni.cz
KRACKの話題でもちきりな中、ある意味では同等かそれ以上の効果をもった脆弱性が発見され、話題になっています。
これは独Infineon社のRSAライブラリ実装の脆弱性。このライブラリで生成した暗号鍵は強度が大幅に不足するため、重要な機密を要する目的には不適切です。
脆弱性は、見たところ詳細は直接はかかれていませんが、同ライブラリが鍵ペアを生成する時に十分ランダムに生成されていない点にあるようです(FAQより判断)。この結果、鍵ペアの範囲が限られ、公開鍵から秘密鍵が現実的な時間とコストで計算できてしまう、というものです。秘密鍵を求めるのに必要な情報は公開鍵だけなので、遠隔で処理可能です。
ちなみに、発見者は公式サイトから、チェックツールにリンクを張っています(記事の中ほどにある"Detection tools, mitigation and workarounds")。手軽なオンラインツールも2種類あります(1件目,2件目)。
この脆弱性の影響は、既に色々なところに出つつあります。最も身近なのはGitHubに登録している公開鍵でしょうか。InfineonのRSAで計算されたものがそれなりにあるそうです。また、PGPやTPMでも影響が出ているようです。基本的には、InfineonのRSAライブラリを置き換えるか、それ以外で鍵を生成するのが対策となります(ただし、Infineonの製品は組み込まれることも多いため、一見他の企業のものに見えるケースもあるようです)。ちなみにInfineon社でも楕円暗号なら問題はないそうです。
さらに、Ars Technicaの記事では、エストニアの国民IDがこの影響を受けており、政府はデータベースを一時的に閉鎖し、全ての鍵を再生成すると発表した旨を伝えています。ちなみに、編集者の1人が2015年に取得した電子住民登録カードの鍵も脆弱だったそうです。
豪州でF-35を含んだ軍事情報が盗まれた件について
「オーストラリアの防衛関連企業、ハックされF-35などのデータが盗まれる。米国防総省も窃盗の事実を確認」
「F-35やP-8、C-130などの秘匿データ、オーストラリアの防衛事業契約者へのハッキングにより窃盗される」
オーストラリアの小規模な防衛関連企業に、クラックがあり、中にあった軍事情報が盗まれるという事件がありましたが、これについて続報がシドニーITカンファレンスという場で出ました。
クラックをしたのは、従来からオーストラリアで「APT Alf」と呼ばれていた攻撃者です(ちなみに"Alf"は彼の地で長く続くテレビ番組のキャラクターであり、所ジョージさんが声をあてていた宇宙人ではありません)。
クラックが最初に起きたのは2016年7月のことだとか。発覚は11月です。
クラックの経路ですが、インターネット上に公開されたサーバから侵入し管理者権限を取得、社内ネットワーク内を自由に移動し、各地にWebからアクセス可能な形のシェルの1つ "China Chopper" を配置しました(このシェルは過去に中国人により使われたものの、今回の犯人との関連性は不明です)。
そして、そもそも侵入を許した背景には、侵入された企業でのITシステム管理の軽視があります。
- フルタイムのITシステム管理者は1人
- その1人も勤務9ヶ月目(侵入時点か発覚時点かは不明)
- DMZ領域の設定なし -定期的なパッチ適用はなし
- 全サーバの管理者パスワードは同一
- ネット上に向けて多数のサービスが動作(サービスは極力減らして攻撃対象を限定するのが普通)
- 最初の侵入はヘルプデスクの12ヶ月前の脆弱性経由
- 最初の侵入先がドメイン管理と共通(つまり侵入すればすぐに管理者として色々できる)
- 実はサーバでデフォルトのアカウント&パスワードが有効(侵入者は使ってない模様。ちなみにadmin:adminとguest:guest)
こういう状況は、他でもたくさんあることと思います。そして誰も気づかないうちに侵入されているということも。
