みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitter(https://mobile.twitter.com/microkeyword)で配信中の情報まとめなどを公開します

今週のIT・サイバーニュースまとめ(20190811-20190817)

今週の総括


マイクロソフトの月次アップデートに関する話題を始め、今週は脆弱性に関する話題がとても多かったです。

Bluekeepの類似脆弱性に関しては、簡単な記事を書いたので、以下をご参照ください。

micro-keyword.hatenablog.com

DEFCONで展示があった、iphoneのケーブルに小さなWi-Fiモジュールを埋め込みハッキングを行える、以下の記事なんかも面白かったですが、感想を書くのは保留にしました。

www.hackread.com

jp.techcrunch.com

ちょうど私自身風邪を引いてしまったようで、現在ダウン中です。。

風邪はストレスなどの免疫力の低下で起きるものらしいです。

私自身社会人になる前まではほとんど風邪引かなかったので、とりあえず日本の社会のせいにしておきます(笑)

風邪引く人が少ない職場がいい職場?

まぁそんなこともないですかね(笑)


感想

XP時代から存在する20年ものの脆弱性が公表される


  • 脆弱性は「Text Service Framework(TSF)」内にある「MSCTF」というモジュールに関するもの
  • 権限昇格の脆弱性

現地時間の2019年8月13日に、googleのセキュリティチーム、Project Zeroによって本脆弱性は発見されました。

https://bugs.chromium.org/p/project-zero/issues/detail?id=1859

影響を受けるOSは、Windows XP以降すべてのバージョンを含む(もちろんWindows10も)。

脆弱性の修正バージョンおよびパッチは8月の月次アップデートで公開されています。

ただし、公式のアドバイザリーを見る限り、サポート対象になっているOSのみが対応されており、XPなど、サポート切れのOSの修正パッチはリリースされていないようです。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1162

今回脆弱性が確認された、MSCTFはWindowsOSのText Services Framework (TSF)に存在するものです。

MSCTFによって、キーボードの入力情報やレイアウト、テキストの生成や文字の認識などを行うTSFにおける制御を行うことができます。

MSCTFは、Windowsにログインすると自動的にctfmon.exeというサービスを開始し、アプリケーションとカーネルとを繋ぐ動作をします。

ただし、認証や認可の機能が実装されていないため、脆弱であるというのが今回の発表でした。

脆弱性の悪用により、UIPIという権限分離の機構を回避できてしまうため、結果として、以下のような権限を無視した行為が行えてしまいます。

  • 他のアプリケーションが動作する別のウィンドウから機微な情報(パスワードなど)が読み込めてしまう
  • システム権限が奪取できる
  • UACのダイアログのコントロールを得ることで、管理者コンソールへコマンドを送りつけたりサンドボックスを回避できる

以下にシステム権限取得のデモ動画が公開されているので、ご参考までに。

youtu.be


ランサムウェア感染を可能にするCanonデジタルカメラ脆弱性について



2019年8月11日、CheckPoint社よりCanon製カメラにランサムウェアを感染されることが可能な実証記事を公開しました。

research.checkpoint.com

本記事では、画像転送プロトコル(PTP)経由でCanonデジタルカメラランサムウェア攻撃が可能な脆弱性があることを言及しています。

本記事が公開される1週間ほど前に、Canonからも脆弱性に関する情報とファームウェアのアップデートに関する情報が公開されています。

global.canon

cweb.canon.jp

なお、上記に関して対象となる国内製品は以下です。

脆弱性は、EOSシリーズ(デジタル一眼レフカメラ/ミラーレスカメラ)および、一部のコンパクトデジタルカメラが対象となります。 ※一部のコンパクトデジタルカメラとは、PowerShot G5 X MarkII、PowerShot SX70 HS、PowerShot SX740 HS となります。

CheckPoint社より脆弱性の実証動画が公開されているので、ご参考までにご覧下さい。

youtu.be


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、「タイトルの流し読み」→「気になるところは、あとで見る」をおすすめします。

マルウェア・攻撃キャンペーン


製品・脆弱性・アップデート関連


インシデント関連


最後に

先週、映画が~みたいな話をしてたかと思いますが、結局、3本ほど映画見ました。

トイ・ストーリーと天気の子とONE PIECE

ONE PIECEが一番面白かったかなー(笑)

トイ・ストーリーと天気の子は作者のこだわりは感じた一方で、どうも個人的には前作を引きずってしまっていました。

最近動画見ながら「どうやって編集してるんだろう」とか「このアングルはどうやって思い付いてるんだろう」とかを考えるのも楽しいです。

映像編集って趣味も面白そうだなと思う、今日この頃でした。

【速報】Bluekeepの再来~Microsoft RDP 脆弱性に関するアップデートに関して~

世間は夏休みですね~

なんてことを言いつつ割りと出勤している方は多く、自分の周りも割りと昨日から仕事ですね。

ただ、お盆は日本人古来から存在するひとつの行事なので、海外のイースターやクリスマス同様、しっかり休むことも大事だと思います。

休むことが"決まり"みたいになってしまうと、ちょっと違う気がしており、あくまでお盆という行事に対する、休みという手段ですからね。

手段の目的化。最近、これを見つける度に残念な気持ちになります。

そんな中、8月の月次定例 Microsoft アップデートが、発信されましたが、この中にまた、影響度の高い脆弱性が含まれていました。

国内ではそれほど取り上げられていませんが、盛り上がりを見せているので、内容を記載します。

  • Microsoft 公式ブログ Patch new wormable vulnerabilities in Remote Desktop Services (CVE-2019-1181/1182)

msrc-blog.microsoft.com

なお、前回のCVE-2019-0708で対象となっていたWindows XPWindows Server 2003Windows Server 2008は今回対象外だとのことです。

  • 脆弱性の概要
    • WindowsのRDPサービスに存在する脆弱性
    • 攻撃者は細工したリクエストを送ることで、RDPを利用する対象の機器に接続を試みることができる
    • 前回同様、事前認証の問題であるため、認証されていない攻撃者でも実行可能
    • ユーザによる操作は不要(攻撃者の行為のみで成立する)
    • 攻撃に成功すると、機器上で、任意のコードが実行可能になる
      • プログラムのインストール、データの閲覧・変更・書き込み、特権アカウントの作成など

前回の脆弱性 CVE-2019-0708の時は、MS公式から 「Wannacryと同様に、世界中に被害が及ぶ攻撃に使われる可能性がある」 と言及されており、今回も同様の警戒が必要だと想定されます。

なお、公式によると今回の脆弱性は、サービス向上のための取り組みで、Microsoft自身が発見したものだと言及されています。

原文 These vulnerabilities were discovered by Microsoft during hardening of Remote Desktop Services as part of our continual focus on strengthening the security of our products.

今回も影響度を考えると、おそらく夕方以降順次、各専門機関から注意喚起等が出ると思います。

これを書いている間に、早速JPCERT/CCから出ました。

www.jpcert.or.jp

なお、脆弱性に関するアドバイザリーは以下になります。

休み期間中にこういった情報が出ると現場は混乱かもしれません。

ただ、今回の場合は、Microsoftの月次アップデートを知っていれば多少の備えができることなので、寝耳に水ではないと思います。

いずれにしろ冷静にご対応いただければと思います。

ではでは。

今週のIT・サイバーニュースまとめ(20190804-20190810)

今週の総括


HUAWEIがついに独自OSを公開しましたね。

www.gizmodo.jp

私の記憶が正しければ「自分達はハードウェアメーカーだからOSは作らん!」みたいなことを言っていた気がしますが。

マイクロカーネルの利点を活かしたカスタマイズ性の高いOSになるとのことです。

対比されるモノリックカーネルとは違って、カーネル空間には最小限の機能しか残さないため、プログラム間の通信が多く必要になるなど、オーバーヘッドが懸念されます。

その点を考慮してか、HUAWEIのHarmonyOSは他のマイクロカーネルOSよりはるかに高速だと謳っています。

この後の展開が楽しみですね。


感想

Linux用デスクトップ環境KDEにおけるゼロデイ脆弱性

  • 脆弱性の悪用により遠隔の第三者から任意のコードが実行できる
  • ファイルをダウンロードし、閲覧するだけで攻撃が成立する
  • KDELinux用のデスクトップで広く使われている

2019年7月28日にLinux用デスクトップ環境KDEにおけるコマンドインジェクションの脆弱性に関する情報が公開されました。

https://gist.githubusercontent.com/zeropwn/630832df151029cb8f22d5b6b9efaefb/raw/64aa3d30279acb207f787ce9c135eefd5e52643b/kde-kdesktopfile-command-injection.txt

私自身が気づいたのも、以下の記事を見てからでした。

www.bleepingcomputer.com

対象となるのは、KDEバージョン4および5です。

加工した「.desktop」「.directory」ファイルを開くもしくは展開することでコードが実行されます。

でも動画がyoutubeで公開されているので、見てみてください。

youtu.be

一応補足しておくと、ここで登場するncコマンドはnetcatと呼ばれるツールで、サーバクライアント間の通信を手軽に行うことができます。

ここでは、-lp のオプションを指定し、攻撃端末側で、listen(待ち受け)モードで、port(31337)で待ち受けています。

31337は攻撃側がバックドアからの通信を待ち受ける際に用いるポート番号で、31337からポートフォワードされ80や443などに転送できます。

なお、KaliLinuxはペネトレーションテストなどで用いられる、攻撃ツールを多く備えたDebianベースのディストリビューションです。

https://www.kali.org/

話は長くなりましたが、でも動画ではファイルを攻撃者が用意したサイトからコピーした結果、攻撃者端末側で操作が可能になっています。

最終的にtouchコマンドによって、ファイル作成が出来てしまっています。

現在、修正バージョンである5.61.0が公開されており、別途、本脆弱性の修正パッチも公開されています。


IEにおけるVBScriptがデフォルトで無効に

  • 2019年8月の月次アップデートでMSより配布される
  • Windows10向けには7月の月次アップデートで対応済み
  • VBScriptレジストリの変更などを行えるスクリプト言語だが、その柔軟性ゆえに悪用されることも多かった

こちら、書いてみたら三行でまとまってしまった感ですが、8月13日のPatchTuesdayで、Internet Explorerにおいて、VBScriptをデフォルトで無効にするとのことです。

とはいってもこの発表自体は2017年時点ですでにされており、実質の猶予期間である2年を過ぎてしまったというところです。

blogs.windows.com

VBScriptマイクロソフトの独自言語で汎用性に欠けますが、未だに企業システムで使われているケースが多いようです。

というか使われています!(笑) (何かをお察しください)

デフォルトでは無効になりましたが、クループポリシーで有効にすることはできるようです。

色々制約はあるにせよ、本家ですら諦めているものを大事にする根性はいかがなものかと考えてしまいます。

それこそシステムを運用する組織のためになっているのでしょうか。

「手段の目的化」

成熟した組織が陥りがちな思考だと、何かの本で読んだ気がします。


日本を狙うAndroidマルウェア

  • 偽のセキュリティアプリを装っている
  • バイスの識別番号、電話番号、SMSメッセージの盗聴などの機能がある
  • さらに多機能な韓国向けの類似マルウェアも確認されている

MoqHao という日本を標的としたフィッシング攻撃のキャンペーンがMcAfeeの記事より明らかになりました。

securingtomorrow.mcafee.com

同攻撃はXLoader(TrendMicro)としてやRoaming Mantis(Kaspersky) としても知られています。

blog.trendmicro.com

securelist.com

今回の観測では以下のようなセキュリティアプリを装って端末への感染を狙ったようです。

https://securingtomorrow.mcafee.com/wp-content/uploads/2019/08/fake-security-apps.png

引用元:McAfee

当該マルウェアは、フィッシングサイト経由でダウンロードされるものであると確認されています。

真新しさこそありませんが、思い当たる節があれば対策をとるに越したことはないですね。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


製品・脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

全くIT関係ないんですが、今年の夏は面白そうな映画がたくさんですね!

そういえば、トイ・ストーリーの制作会社ピクサーは、Appleの創業者ジョブズによって独立した会社なんですよね。

先日ピクサーのひみつ展に行った際、クリエイターたちの話を聞いてみて、その技術力の高さに感銘を受けました。

他の映画で言うと、チャイルドプレイのチャッキーは、AIロボットみたいな感じだそうで、技術の倫理的活用について考えさせられる部分もあるのかと思ってます。

他にも、アラジン、ライオンキング、スパイダーマン、ワンピース、天気の子、ミュウツーと色々見てみたい映画はあり。。

興味が子供っぽいような気もしますが、感覚の問題ですからね、こればかりは(笑)

遠出も難しそうなので、お盆休みを有効活用しようと思います。

今週のIT・サイバーニュースまとめ(20190728-20190803)

今週の総括

  • iOSの重大な脆弱性について
  • Siriがプライベートな会話を盗聴

今週はBlackHat前夜といったところで、来週からはBlackHat、DEFCONネタが豊富になるんですかね。

BlackHatについては、感想のところでも述べているのでご参考まで。

結果的にAppleネタを集中的に扱うことになってしまった今週ですが、ご容赦ください。


感想

iOSの重大な脆弱性について

Googleのセキュリティチーム「Project Zero」の研究者2人によって、「iOS」に関する重大な脆弱性が発見されました。

当該脆弱性は、2019年5月にはすでに発見者によってAppleに報告されているとのことです。

報告された脆弱性は、全部で6件です。

うち4件「CVE-2019-8641」「CVE-2019-8647」「CVE-2019-8660」「CVE-2019-8662」は、攻撃者が遠隔から特定のメッセージを送るだけでよく、結果として被害端末の操作なしに任意のコードが実行できてしまいます。

かつ、この4つの脆弱性を悪用するPoC(脆弱性の検証コード)が公開されているため、すぐにでも悪用が可能です。

残り2つの脆弱性についても、被害端末をユーザが操作せずに、メモリ上のデータやデバイス上のファイルが読み取れてしまうものになります。

脆弱性の対象となるのは、iOS12.4より前のバージョンです。

そのため、2019年7月22日に公開されたアップデートを適応していない端末は早急な対応が推奨されます。

support.apple.com

発見者がアップデートの公開ではなく、一週間後のこのタイミングでツイートしたのは、おそらく来週のBlackHatに向けた宣伝もあるかと思います。

www.blackhat.com

BlackHat行ってみたいなーいいなー

念のため説明しておくと、BlackHatというのは国際的なセキュリティカンファレンスです。

そのうち今回の発表があるBlackHat USAは、年に一回ラスベガスで開かれるとても大きな会だと聞いています。

https://encrypted-tbn0.gstatic.com/images?q=tbn%3AANd9GcSZ9FwoSXMKIWvhusOJyWavG8mgGoL_59b4bpIC2pfT31hHoVL2

出典:BlackHat

私自身まだ足を運んだことがないので、行きたいな~と思ってます。


Siriがプライベートな会話を盗聴

タイトルの通りではあるのですが、イギリスの大手新聞社であるガーディアンが、Appleの契約業者からの内部告発を報じました。

内容としては、AppleAIアシスタントSiriが、会話を盗聴してるとのことです。

www.theguardian.com

リード文からもわかる通り、非合法なやり取りや極めてプライベートなやり取りまで、色々聞けてしまいますよね。。

There have been countless instances of recordings featuring private discussions between doctors and patients, business deals, seemingly criminal dealings, sexual encounters and so on. These recordings are accompanied by user data showing location, contact details, and app data.

AIアシスタントが、すべての音声を取得しているかと言うとそうではなく、Siriの場合「Hey,siri」を契機に一定の時間のみ音声が取得される設計です。

ただ、何かの聞き間違えで、音声の取得が始まり、結果として、さまざまな内容が記録されてしまうことがあるのも事実です。

今回の告発では、gradingと呼ばれるSiriの品質向上のためAppleから提供される生の音声データの取り扱いに対し、業者が疑問を感じた結果だそうです。

問題なのは、ユーザの許可なしにこういったgradingが行われていることで、見直しが求められています。

これらを受け、apple社は現在、このgradingを停止しています。

jp.techcrunch.com

個人的には、やむを得ない気もしていますが、GDPRをはじめとした個人情報管理の法整備も加速化していることを踏まえると、いささかお粗末な気がしています。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


製品・脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

昨日の夜はイベントが相当集中したようで新宿駅がカオスでした(笑) - 花火大会(板橋&江戸川) - Jリーグ1位のFC東京vsC大阪 - 神宮の東京燕プロジェクト - ももクロのライブ

経済効果半端ないなーと思いつつ、色々な趣味の人たちが同じ時間にいろいろな意味で感動してるんだと思うと、混雑も致し方ないと思いました。

いい世の中だな~

なにしろすべてのイベントの前提として

晴れてよかった。

そんなリア充な人たちを横目に、 お盆前なので、もうひとつ言わせてください。

もっと遊びたい(笑)

今週のIT・サイバーニュースまとめ(20190721-20190727)

今週の総括


今週は、脆弱性回りのネタが少々目立ちましたね。

後述しますが、うちひとつは誤報だったことが発覚しました。

ただ、かえって脆弱性のCVE番号がどのように与えられるかを知る、いいきっかけになったかもしれません。

運用という観点では、脆弱性への対応も大きな課題のひとつだと思うので、情報共有含めより良い方法を考えていきたいですね。

ちなみに、今回から少し記載方法を見直しています。

また、戻すかもしれませんが、読者の方からの意見はなるべく反映できればと思うので、これからもよろしくお願いします。


感想

VLC media player脆弱性に関する誤報道について


  • VLC media player脆弱性が公表されるが後日VideoLAN Projectより誤報であることが指摘される

  • MITREが採番したのはCVE-2019-13615

  • 同プロジェクトはCVEの採番に関して、確認の甘さをSNSで指摘している


以下の記事でも公表されている通り、VLC media player脆弱性が誤った形で報道されたことが話題になりました。

forest.watch.impress.co.jp

当該脆弱性の採番は以下のリンクにて行われています。

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-13615

これに対して、VLC media playerを提供するVideoLAN Projectは以下のコメントを出しました。

ここでは、CVE採番機関(CNA(CVE Numbering Authority))であるMITRE社が十分に確認をしないまま、採番したことに対して、非難しています。 問題点は以下の通りです。

脆弱性も人が判断するものなので、こういったことは起こります。

個人的な意見としては、スピード感ももちろん重要であり、ミス防止のために手続きが煩雑化することには反対です。

そのため、誤りであったことにも気づけるよう、丁寧かつ迅速な情報収集を心掛けたいですね。


ProFTPD脆弱性CVE-2019-12815について


  • 当該脆弱性によりユーザ権限で任意のファイルを配置することができ、結果として外部の第三者から任意のコード実行が可能

  • mod_copyが有効であることや、webサーバからFTP用のディレクトリにアクセス可能なことなど、前提条件がいくつかある

  • 日本では47,048のIPアドレスProFTPDが有効かつインターネットからアクセス可能で、その数は世界で6番目に多い


ProFTPDというUNIX系でよく用いられるファイル転送用のFTPデーモンに脆弱性が発見されました。

www.bleepingcomputer.com

当該脆弱性により、外部の第三者が任意のファイルを配置でき、結果として、任意のコードが実行できてしまうというものです。

脆弱性はmod_copyというモジュールに起因するもので、anonymousユーザを含め、認証を通過できるアカウントであれば、いかなる権限のユーザでも再現するとのことです。

ただし、攻撃の実現には、脆弱性に係る部分にくわえ、Webサーバ経由でPHPファイルを実行するためのいくつかの前提条件があるので、それらを達成する必要があります。

詳しくは、上記のリンクをご参照ください。

また、今回の脆弱性は、最新版の1.3.6を使っていてもパッケージが7/19以前にコンパイルされたものであれば影響を受けます。

その場合には再度パッケージをダウンロードし、コンパイルし直す必要があります。

なお、Shodanによると、インターネット上に公開され、外部からアクセス可能な機器のうち、ProFTPDが有効な日本のIPアドレスは47,048あり、その数は世界で6番手だと観測されています。

https://www.bleepstatic.com/images/news/u/1109292/July%202019/Vulnerable%20ProFTPD%20servers.png

現状大きな被害は観測されていませんが、まずは自社の機器のサービスおよびデーモンを棚卸しすること。

そして、意図せずインターネットに公開されている機器が存在しないかを確認することが重要ですね。


No More Ransomプロジェクトが3周年


  • Europolによると、これまでに20万の被害者が同プロジェクトによりランサムウェアから復旧し、1億800万ドル相当の被害を回避したとのこと

  • 同プロジェクトでは109種類のランサムウェア複合ツールを公開している

  • 昨年度、流行したGandCrabにおいても40,000件の復号を実現し、5,000万ドル相当の被害を回避させているとのこと


読者の皆様は、No More Ransomというプロジェクトをご存じですか?

本プロジェクトでは、ランサムウェアの被害にあった方のデータを取り戻すための支援を目的としており、世界中のセキュリティベンダや司法当局が協力し合っています。

その協力機関のひとつであるEuropol(欧州サイバー犯罪センター)がプロジェクトの3周年を記念して、その実績を公表しました。

www.europol.europa.eu

https://www.europol.europa.eu/sites/default/files/images/editor/infographic_3anniversary.jpg

実績は冒頭のサマリに記載した通りなのですが、多数の復旧に貢献しています。

ただ、おそらくこの何倍もの被害があると考えられるため、ランサムウェアによる被害が尋常ではないことが想像できます。

ただ、このプロジェクトが存在することを知っておくことで、もし万が一、知り合いが被害にあった場合に復旧の手助けができるかもしれません。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

昨日は隅田川の花火大会でしたね。

行ったことはないですが、毎年ニュースになってるのでとっても混むんだなーと思ってます(笑)

日本語だと"花火"、英語だと"fireworks"。

火(fire)は共通ですが、日本では"花"と表現し、英語では"作品"と表現するのが面白いですね。

製品やサービスにももう少し感性のある名前がついた方がいい気がします。

例えば。。。

令和は素敵な元号ですよね!

では、また次週!

JANOG44に行ってきた話

7/24(水)~7/26(金)の3日間でJANOG Meeting 44 に参加してきました。

f:id:micro_keyword:20190727011354j:plain

東京に帰って来てから、エスカレーターの右で立ち止まった自分は、意外と染まりやすいんだなと自覚しました(笑)

ボリューム大きめになったので、以下の目次でご紹介です。


目次

  • JANOGとは
  • セキュリティエンジニアが参加することになった理由
  • JANOG本会のプログラムを聞いて
    • 中国のサイバーセキュリティ法について
    • ネットワークCIパイプラインの構築
    • 5G for Enterprise/Industry Wi-Fi6と5Gの共存に向けて
  • 参加者との交流
  • 全体の感想

JANOGとは

JANOGはJApan Network Operators' Groupの略で、今回参加してきた、JANOG Meetingは1997年から開催されている集まりです。

昔のことはよく分からないのですが、地域振興もひとつの目的としているようで、基本的に日本全国の都道府県を巡るような形で開催されています。

本グループについては、公式HPより以下のように紹介されています。

www.janog.gr.jp

インターネットに於ける技術的事項、および、それにまつわるオペレーションに関する事項を議論、検討、紹介することにより日本のインターネット技術者、および、利用者に貢献することを目的としたグループです。

詳しいことが気になる方は、次回のJANOG45に参加しましょう。

ちなみに、次回は冬の北海道というチャレンジングな開催だと聞いています(笑)


セキュリティエンジニアが参加することになった理由

では、なぜセキュリティエンジニアの僕が本会に参加することになったのか。

簡単に言うと、JANOGBoFというコンテンツのひとつ、サイバーセキュリティBoFに、少し関わらせていただいているからです。

www.janog.gr.jp

といっても、ほとんどガヤ担当でたいしたことはしていないのですが(笑)

BoFはBirds of a Featherの略で「ある特定のトピックに興味を持つ有志やユーザーグループによる集会のこと」だと言われています。

あくまで業界用語な気がしますが。

このBoFではクラウドホスティング事業者のabuse担当者を中心に、運用上の課題について、参加者とざっくばらんに話し合っています。

abuseというのはab+useの略で、要はサービスの不正利用のことですね。

ここでは、クラウドサービスを踏み台にして攻撃に使ったり、フィッシングサイトを立ち上げたり、その後のインシデントに発展しうる種について、運用担当者の目線で赤裸々に語られています。

サイバーセキュリティというと、

  • ハッカーが圧倒的な技術をもって国家の重要機密を盗んだり

  • ハッカーが国家の重要インフラを一斉に停止させたり

  • ハッカーが国家の政府機関のシステムに侵入してwebサイトを乗っ取ったり

というイメージが一般的(!?)でこれらを守るスペシャリストが防御している様に思われがちです。

ただ実態は、本BoFを開いてくれている事業者をはじめとした運用担当者の方々が、地道な取り組みをすることで、健全さが保たれているんです!

そんな皆さんを応援することが第一のモチベーションです。


JANOG本会のプログラムを聞いて

第二のモチベーションは、本会のプログラムにあります。

運用者の目線で語られる講演はリアリティがあって、とても楽しいです。

新しい技術とそれをどうやってビジネスにするかも技術者目線で語ってくれるので、説得力がありますし。

おそらく別の誰かが作ったであろうスライドの代読や、ニュースでも書いてありそうな一般論を述べるイベントは最近多いですからね。

また、質問や意見などを参加者が積極的に行うところが特徴的です。

いい意味で、あまり重鎮の小言を気にしない風土があるのかなと個人的には思っています。

プログラムは同時並行で開催されるため、全部を聞くのは難しいのですが、いくつか興味深かったものの感想を書いてみます。


中国のサイバーセキュリティ法について

本プログラムでは、2017年6月から施行されている中国のサイバーセキュリティの概要と運用者に求められることをお話ししていました。

適応範囲や考え方はGDPRに近いような印象を受けましたが、「デバイス情報」「位置・行動情報」が対象になるのは少し驚きでした。

GDPRで対象となるオンライン識別子は、IPアドレスとクッキーだけだった気がするので。

あと、サイバーセキュリティ法では、情報の重要度やそのデータサイズも考慮されるようで、その点も勉強になりました。

日本は個人情報保護法でしたっけ?

法律のせいか知りませんが、日本は個人の権限が弱いですからね。

こんな記事を日経ビジネスが書いていたのが少し懐かしいですが、少しは改善されたのかな。。

business.nikkei.com


ネットワークCIパイプラインの構築

まず、CIというのは、Continuous Integrationの略で、アプリケーション開発で自動化を取り入れて、顧客にアプリケーションを提供する頻度を高める手法だとのことです。

僕もこの言葉は知らなかったのですが、要は自動化なのかなと。

内容はとても面白くて実際のデモを交えつつ色々お話ししてくれていました。

質問では、実際ハードに適応させる際の難しさやオープンソースの危殆化、顧客カスタマイズなど、課題を指摘されていました。

ただ、やっぱりこういった取り組みは企業として進めるべきだし、積極的に投資すべきだと思っています。

お客さんも徐々に自社エンジニアを抱え始めていることを考えると、事業者側は標準機能を提供し、事業者側でチューニング、汎用的なものはプラグインとして提供みたいな感じでいいと思うんですよね。

ちなみに、そのあとのKDDIさんのお話ししていた、Kubernetesのお話も脱ベンダ依存を掲げた取り組みで、面白かったです。

流行りに乗っかって、Kubernetesも使ってみたいけど。。。

まず運用する対象を僕個人で持ってないですね(笑)


5G for Enterprise/Industry Wi-Fi6と5Gの共存に向けて

2日目の午後にはシスコシステムズさんのセッションが連続であり、5GおよびWi-Fi6に関するプログラムがありました。

近い将来必ず一般化するであろう二つの無線技術を分かりやすく説明してくれていました。

5Gは無線の免許が必要で、Wi-Fiは不要。

これに関しては、前の世代の無線の技術から変わらないものですが、実用を考えた際にどう使い分けるかということを考えると、とても重要なことに気づかされました。

例えば、無免許で設置されたドローンが上空を飛んでて急に落っこちてきたら。。。という話は妙に納得感がありました。

そして、ユーザにとっては、そのとき繋がっている無線が、5GなのかWi-Fiなのかを気にしない将来が来るというのもなるほどなーと。

この辺りの要素技術を組み合わせて、次のサービスやソリューションを実現するのは、面白そうだなーと思います。


参加者との交流

これまでは、どちらかというと通常のカンファレンスの特徴を紹介しましたが、もうひとつ大きな魅力があります。

それは、参加者同士の交流です。

今回のJANOGも大盛況で、本会議の参加者が1,602名、懇親会の参加が939名とのことでした。

これだけ多くの人が集まるってすごいですよね?(笑)

ちなみに懇親会の様子はこんなです(笑)

f:id:micro_keyword:20190727011609j:plain

一瞬だけ話逸れますが、ダンサーの大型イベントが開かれるClub CITTAのキャパが1,300人なのでそれを越えて、Studio COAST並みのキャパですよね(笑)

通常の展示会だったり、勉強会だと、関われる人の数も限界がありますが、これだけ多くの人がいると、色んな人とお話ができて、楽しいです。

懇親会の費用は少々高い気もしますが、参加する価値は十分にあると思います。

ちなみに神戸牛おいしかったです。とっても。

f:id:micro_keyword:20190727012935j:plain


全体の感想

参加者に20代の若手が割りとたくさんいるので、その辺りの繋がりも作っておきたいなーなんてことを個人的には思っています。

かく言う私も、今回たまたま参加できましたが、次回以降どうなるかはわかりません。

参加経験ある人は新たな若手を連れ出してほしいし、若手はちょっとでも興味があれば積極的に上申してみて欲しいなと思います。

もちろんJANOGに限らず。

長い目で考えたら、横の繋がりないとビジネスやっていけないですからね。

「○○さん知り合いだよ!お酒の席でしか話したことないけど、たぶんいい人!(笑)」

こんなルーズなやり取りがもっともっと増えていいかと思います。

今週のIT・サイバーニュースまとめ(20190714-20190720)

今週の総括

  • Office365の偽サイト経由でTrickbotに感染させる攻撃の観測

  • Telegramの偽アプリ(マルウェア)の観測

  • 2019年はじめ、Turlaの攻撃


今週の記事まとめです。

早速ですが、皆さん、選挙には行きましたか?

僕は期日前投票でちょうど昨日行ってきたのですが、投票用紙に名前を書くときの鉛筆の質感がなんともいいですよね(笑)

それはそうと、いつになったらオンライン投票できるようになるのでしょうか。

いくらでもやり方はある気がしますが、まぁ「セキュリティが…」みたいな感じでごねてるんでしょうね。

若者の投票率をあげるのもそうですが、投票所に肩を支えられながら投票に向かうお年寄りの姿を見ていると、なんだか可愛そうな気がします。

「テクノロジーで社会を豊かにする」こんなことをよく耳にしますが、なんとも。

とりあえず、始めることが大事だと、個人的には思います。

そんな中、総務省から実証実験のニュースがリリースされていきました。

www.sankei.com

遅いようにも感じますが、まずは一歩目。

早め早めの施行を期待したいですね。

冒頭から暑苦しくてすみませんが、今週のまとめです(笑)

今回は特段、日本特有であったり、ユーザの影響範囲が広いような記事はなかったためボリュームは少な目です。


感想

Office365の偽サイト経由でTrickbotに感染させる攻撃の観測

https://www.bleepstatic.com/images/news/security/t/trickbot/fake-office-365-browser-update/fake-office-365-page.jpg

Office365の偽サイトのリンクをクリックするとChromeFirefoxのアップデートを誘導され、アップデートリンクにアクセスすると、upd365_58v01.exeがダウンロードされます。

これがマルウェアTrickbotです。

www.bleepingcomputer.com

Trickbotは金銭の窃取を目的として使われることで知られており、これまでも膨大な数のメールアカウントが乗っ取られているとされています。

forbesjapan.com

マルウェアの拡散方法として、Wannacry騒ぎで有名になったSMBを悪用しているケースも確認されています。

ただし、Wannacryの時に使われたエクスプロイトキットEternalBlueを用いたものではないとPaloAltoの記事では述べられています。

www.paloaltonetworks.jp

日本国内においても、Invoiceなどのメールタイトルでマルウェア付きメールが送信されていることが確認されています。

以下のLAC社のレポートやセキュリティリサーチャーのブログやTwitterで多数報告されているので、ご確認いただくとよいと思います。

www.lac.co.jp


Telegramの非公式アプリ(マルウェア)の観測

MobonoGramという名のTelegramの非公式アプリから、バックグラウンドで悪性サイトにアクセスしていることが確認されました。

www.symantec.com

なぜ非公式アプリを?と思うところかと思います。

実はTelegramの利用が禁止されているロシアやイランなどの地域では、今回の件のように非公式アプリが存在することがあります。

今回の件は、非公式アプリに存在するセキュリティ上のリスクを改めて認識せざるを得ない、よい例だったと感じています。


トランプ大統領や金委員長を揶揄するTurlaの攻撃

国際的なサイバースパイグループTurlaによる2019年の攻撃観測記事が公開されました。

securelist.com

Turlaは別名Venomous Bear と言われているくらいなので、ロシアの攻撃グループだと思われています。

ただし、あくまで攻撃グループがロシア語を使っているというだけなので、断言はできません。

現に、本記事も、ロシア発のセキュリティベンダーKasperskyから出ています。

少なくともAPT28、通称Sofacyのような、ロシア政府の支援を受けているとされている攻撃グループとは一線を画すものだと個人的には推測しています。

https://www.fireeye.jp/current-threats/apt-groups/rpt-apt28.html

筆者の知る限りでは、これまでにTurlaによる日本への攻撃は観測されていない認識です。

今回の観測では、通信の暗号鍵にTrumpTowerという言葉を使用したり、 RocketMan!という言葉をC2サーバの疎通確認用に使っていることが確認されています。

これは明らかにトランプ大統領や金委員長をおちょくったメッセージだと思われます。

当該攻撃キャンペーンは2019年の始めに観測されたとのことなので、この時期だと初の会談を行った2018年6月からは離れています。

個人的には、攻撃者の遊び心やテスト程度にみていますが、こういった断片情報も標的型攻撃では重要になってくるので、今後も要注意ですね。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

今週は、京都アニメーションの放火事件がとても衝撃的でした。

業界は違いますが、何人もの優秀なクリエイターの命が一瞬にして奪われてしまったことに対して、とても心が痛みます。

同社の作品を見たことはないのですが、自分自身、芸術にはとても憧れがあり、映像や音楽などを通して世界中の人々を感動させている方々を尊敬しています。

そんな稀有な才能を持った方々への敬意を示しつつ、心からご冥福をお祈りします。