EV証明書の真似が可能なことが実証される
「いやいや、これはHTTPS確認済みの印はついてるけど、あなたの考えてるサイトじゃないよ」
Webサイトで使われるEV証明書は安全の印のように扱われたりしますが、有名サイトと似た名前の企業を作り証明書をとることで、なりすましが可能になることを研究者が確認しました。
これが研究者(Ian Carrol氏)の作ったサイトですが、オンライン決済を扱うstripeとEV証明書の見た目が同じです(州が異なるため同一の社名が可能)。特にAppleのSafariだと、デスクトップ版でも、EV証明書があるサイトのアドレスバーはそれだけになってしまい、見分けることが不可能となります。
ちなみにEV証明書については、3ヶ月前にも「Identity Verified」という名前の企業を登録することで、「公式確認済み」っぽい雰囲気を出すというアイデアも示されています。
URLやドメインでも、IDNを使うことで見た目がほぼ同様のサイトは作れるため、EV証明書だけが悪いというわけではないと思います。ただ、「EV証明書があるから安心」「アドレスバーは真実」と思い込まない注意深さが必要、ということでしょう。
Google等大手サイトの経路が一時変化、ロシアを経由
「『疑わしい』事象により大手サイトへのトラフィックがロシアを通るように変更される」
12月13日の4:43と7:07(いずれもUTC)頃、合計6分間(2時間続いたという説も)、BGPに変更が発生し、GoogleやFacebook、Apple、Microsoft、Twitch、NTTコミュニケーションズ、Riot Gamesのような大手サイトに関連するトラフィックがロシアを経由しました。従来知られていなかったロシアのプロバイダによる影響で、研究者たちはこれを意図的なものではないかと怪しんでいます。
なお、4月終わりにもロシアの通信事業者により、VisaやMasterCard、Symantecなどのトラフィックがロシアを通過するように変更されたことがあります(継続時間は数分間)。
「ロシア政府の管轄化による通信事業者、金融サービスに関するネットのトラフィックをハイジャック」
今回の件については、トラフィックがリルートされた対象のIPアドレスブロックが個々には小さく、多数に分かれて大手サイトだけに影響していることや、本来アナウンスされていないIPアドレスも対象になっていることから、「意図的なもの」とみられています。
BGPは本質的に善意で成り立っているため、このようなハイジャックが可能で、今回取り上げたもの以外でも(また、ロシアとの関係の有無も別として)多数の事象が過去に起こってきました(ただし、多くは運用ミス)。少し検索した範囲では、根本的な対策はまだ見えていないようですね……。
ちなみに、これとは少し違いますが、ロシアは独自のDNSを2018年8月に始めるとしています。BRICs諸国が使うことを想定しているのだそうです。
「ロシア、バックアップDNSを2018年8月1日に開始する意向」
エチオピア政府、スパイ行為の情報を公開サーバに配置
「エチオピアのサイバースパイ、スパイウェアのログを公開Webサーバに残してしまう」
エチオピア政府が行っていた、国内外の標的に対してマルウェアを使ったサイバースパイ行為が明らかになりました。
これはエチオピア当局側によるマルウェアのC&Cサーバの設定が「不適切」で、各種のデータを配置したディレクトリが公開設定になっていたことによります。
元々、どうもこの当局はあまりスマートではなかったようで、フィッシングメールが標的から怪しまれ、セキュリティ企業Citizen Labに相談された経緯があります。さらにこの当局は、Citizen Labにもフィッシングメールを送りつけてしまいます。これにより調査がさらに進み、前述の公開領域の存在が判明しました。ちなみにフィッシングメールは動画やPDFをだしに、マルウェア入りのFlashの更新やPdfWriterに誘導するものでした。
さて、公開領域のデータから、攻撃者のIPアドレスや標的の詳細が判明しました。標的は国内的にはジャーナリストや活動家、エチオピアのオロミア州での2016年の抵抗運動の関係者などですが、国外でも多数の国にいるエチオピアから離散した人々も含まれます。対象のいる国は元記事の地図に載ってますが、米独豪印といった国と並んで日本も含まれるようです。
(なおオロミア州は先住民がオロモ族に追い落とされ過去があったり、周辺の州との間でいざこざがあったり、オロモ族へのエチオピア中央政府からの弾圧があったりするようです)
なお、このサイバースパイで使われたツールは、イスラエルCyberbit社(Elbit社の子会社)のPSS (PC Surveillance System)というもの。いわゆる(政府向けなので)合法扱いされているマルウェアです。同じカテゴリの製品として、かつてクラックされ、ゼロデイ脆弱性をばらまく結果になった伊Hacking TeamのRCSや独英のGamma GroupのFinSpy、イスラエルNSO Groupの各種製品が元記事では挙げられています。また、エチオピア政府はこれまでにHacking TeamやGamma Groupの顧客でもあったとされています。
Windows10が勝手に入れるパスワードマネージャに脆弱性
「パスワードマネージャ入りのWindows10、脆弱性入りのパスワードマネージャ」
Windows 10を使っている人なら知っていると思いますが、標準設定の場合、このOSは勝手にアプリをインストールしてきます。しかもアンインストールしてもいつの間にか入っていたりします。半分以上はゲームだと思うのですが、職場のPCにゲームが勝手に入ってきたら問題ですね(ドメイン管理してWSUSなどを運用してたら入らないのでは、と言われそうですが、中小企業ではそこまで手が回らないところも多いでしょう)。
そんな形で勝手に入ってくるアプリたち。その1つがパスワードマネージャのKeeperでした。GoogleのProject ZeroメンバーであるTavis Ormandy氏は、勝手に入ってくるこのアプリを調査、脆弱性を発見しました。任意のサイトが任意のデータを読み出すことが可能という重篤なものです。ちなみにこの問題、Ormandy氏が16ヶ月近く前に指摘したものの、今回改めて見たらまだ使えたそうです。
騒ぎはあっという間に大きくなり、Keeper側は脆弱性を修正しました。
なお、Windows 10が勝手にアプリを入れてくる挙動が気に入らない人は、「ストア」の設定から「アプリを自動的に更新する」を解除するか、レジストリHKEY_LOCAL_MACHINE\DefaultUser\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManagerを0(DWORD)にすればいいようです。
※ストアから入れるアプリを使っていて、自動更新を切った場合、定期的に手動で更新してくださいね。特に「メール」などネットを使うアプリは、脆弱性の修正も含みますので。
下のリンクには、このレジストリ設定を行うためのregedit用ファイルの中身があります。
イスラエルの入力アプリAI.type、膨大な利用者情報を漏洩
「入力アプリ、3100万人の利用者の個人情報を漏洩させる」
イスラエルの入力アプリAI.typeが、(例によって)MongoDBをネット上に野ざらしで配置し、3100万人の利用者の577GiBのデータを漏洩していることが判明しました。
単純に割り算すると、18.6KiB/人という結構なデータ量になるのですが、実際、これには理由があります。
漏洩したデータには利用者の名前やメールアドレス、使用機種情報といったものに加えてGPS位置情報、SNSプロフィールに関連した情報(誕生日、写真など)、連絡先、google検索ワードなどといったものが含まれていました。データ項目が非常に多いためデータ量も大きいというわけです。
とりあえず、入力関連に限らず、あまりに多くの権限を要求するアプリは、本当に必要なのか考えた方がいいんじゃないかと思います(使用中に権限許可を与えない方法もある程度はとれますが、入力アプリでの入力内容などはどうにもならないでしょう)。
クラックされたアカウントの情報を販売するleakbase、サイトを閉鎖
「クラックされたパスワードを提供するLeakbase.pw、閉鎖」
クラックされたアカウント名とパスワードの情報を販売するサービスLeakbase.pwが閉鎖されました。現在はHave i pwned?にリダイレクトされます(記事作成時点に改めて確認)。なお、Hava I pwned?は無料でメールアドレスまたはアカウント名を入れるとクラックされたかを教えてくれるサービスです。
ちなみにLeakbase.pwは定期購読型のサービスですが、残った期間については返金するとしています。
閉鎖の理由については、Brian Krebs氏は「運営者がHansaダークネット市場で販売を行っており、オランダでの警察の捜査のために全て手を引いたのでは」と推測しています。一方、上記記事の発行元Bleeping Computerからの質問に対して、Leakbase.pw側はこれを否定、「あまりにも競争上優位になりすぎたため、魅力が失われた」という、よくわからない理由を示しています(少なくとも、メールでの返信ができる状況にはあるようですね)。
米でKaspersky製品を禁じる法案が成立、Kaspersky側はDHSを提訴
「カスペルスキー 対 米国」の件も扱い続けていたので、こちらも。こちらは割と新しいニュースです(古いニュースって語義矛盾ですけど……)。
「トランプ、Kaspersky製品の連邦政府内での使用を禁じる法案に署名」
これまでのものは「勧告」「指令」「命令」だったのですが、今回は毎年更新するタイプとはいえ、法律(2018年度国防権限法、NDAA)です(第1634条)。条文に企業名が明記されているのが、実に単年度法案らしい印象ですが。
一方のKaspersky側は、国土安全保障省(DHS)を提訴しました。
「Kaspersky、国土安全保障省をソフト利用禁止の件で提訴」
Kaspersky側も、ワシントンD.C.の地裁において、DHSの指令に対して不服として提訴しました。
ちなみに、同社の米国連邦政府向けの売り上げは、全体の0.03%(5万4000ドル)に過ぎないそうです。しかし、同社の売り上げの約4分の1(6500万ドル以上)は米国の個人や企業からのもので、そこへの打撃が非常に大きいとしています。
