Instagramのアカウントがハッキングされてしまう脆弱性について
概要
7月14日(現地時間)、任意のインスタアカウントのパスワードをリセットできる脆弱性の記事が公開されました。
結果として、遠隔の第三者によりアカウントを乗っ取ることができてしまいます。
この脆弱性は、インドのバクバウンティハンターであるLaxman Muthiyahによって発見されました。
上記のサイトでは、報告者による攻撃のでも動画と検証内容に関する記事が公開されています。
本手法はパスワードリセットの仕組みを悪用したもので、リセット時に与えられる6ケタのパスコードを利用することで実現します。
このパスコードは10分間有効で、発行後、当該デバイスにSMSまたはメールで送られます。
つまり、10の6乗=100万通りのパスコードを10分以内に総当たりで確かめれば。というところですが、Ratelimit(一定時間における回数制限)によって制限されていました。
ただし、今回の発見により、そのRatelimitが複数の異なるIPアドレスからのアクセスでは回避されてしまうことが確認されました。
以下のデモ動画では、実際に複数のIPアドレスを起点に20万通りのパスコードでリクエストを送り、有効なパスコードの特定に成功しています。
筆者によると、実際の攻撃では5000IPアドレスを使って攻撃を行う必要があると述べています。
そしてそれは、クラウドサ-ビスを踏み台にすれば、150ドル程度(日本円で16,000円ほど)で実現可能だと言っています。
当該脆弱性の修正バージョンはすでに公開されており、報告者は報告の報酬として$30,000(日本円で3,240,000円ほど)を手に入れたとのことでした。
Instagramをご利用の皆さんは、ぜひ早急にバージョンアップしてください。
おそらく、昨日今日でリリースされているバージョンが最新かと思います。
また、Hacker Newsに書かれているとおり、万が一パスワードがリセットされてしまった場合でもアクセスを防ぐため、 に二要素認証を有効にしておくことをお勧めします。
ちなみに、今話題の二段階認証と二要素認証は異なるので、ご注意を。
二要素認証は「知識認証」「所有物認証」「生体認証」のうち二つ以上を組み合わせたものです。
そのため、(二要素認証) ⊆ (二段階認証)となります。
感想
Instagram便利ですよね。
私も年明けからストーリーを使ってみてるのですが、1日で消えるのがかえっていい感覚がわかり始めました。
だから、バイト炎上投稿が起きるんだよ。 と思わざるを得ませんが、Facebook社的にはこれで広告収入が入ればいいんでしょうね。
ザッカーバーグの経営方法は絶対に日本にはまねできないと同時に、 対抗するなら、その裏を徹底的につくのがいいんでしょうけど。
まぁ日本には、FacebookやTencentに対抗できるアプリがないですから。 ※LINEは韓国です
今週のIT・サイバーニュースまとめ(20190707-20190713)
今週の総括
今週の記事まとめです。
今週は高度なサイバーセキュリティというより、NAS、動画共有サイト、androidマルウェアなど、身近な話題が多かった気がします。
最近のIT知識って言うところだと、ITパスポートとか基本情報で出題されてもいいような気もしますが。
IT人材で測りたい能力はそこじゃないんでしょうけど。
そういう意味だと、ドラマの脚本家にはいい素材かもしれないですね(笑)
今週の話題のうち、「ウェブ会議システムZoomの脆弱性」、「ゲームのチート経由で感染するAZORult」については別記事を公開済みなのでそちらをご確認下さい。
感想
QNAP製NASを狙うランサムウェアeCh0raix
7/11(木)、NASのメーカーとしてよく知られているQNAP社よりセキュリティアドバイザリー、事実上の注意喚起が発行されました。
本観測は、米国のセキュリティ企業Anomli社が公開した以下の記事と関連するとみられており、設定が甘いQNAP製NASを対象にランサムウェアeCh0raixに感染させるというものでした。
QNAP製NASが狙われる攻撃は、忘れた頃に観測され、またその情報も信頼できるソースじゃないことも多いため、取り扱いが難しいところです。
今年の2月にもJPCERT/CCから記事が上がっていましたが、その時点ではQNAP社も調査途中だったようで、対象製品未特定のステータスでした。
その後、4月になって、対象の製品と修正バージョンが公表されましたが、およそ2ヶ月間、原因不明の状態が続いていた認識です。
最近になって、日本の企業もPSIRTを立ち上げ、自社製品のセキュリティ体制を強化していますが、この辺りも含めて考えると大変ですよね。
英当局、マリオットにGDPRの制裁金135億円を課す
7月9日(火)に一般データ保護規則(GDPR)違反により米ホテル大手マリオットに罰金が科せられました。
こちらは、日本語でも記事が出ていたので、ご存じの方も多いかもしれません。
この罰金は個人情報保護を監督する英国の独立公益法人ICOによって科せられるものなのですが、適応は英航空大手ブリティッシュ・エアウェイズ(BA)に続き2例目だそうです。
ちなみに、昨年の顧客情報流出の件は以下に記載があります。
こういった記事を見ると、ユーザー企業もますますセキュリティを向上し、こういった法律についても理解しておく必要が出てきそうですね。
内を見るだけでなく外も見る、技だけでなく法を知る、手段だけでなく目的にこだわる。
そんな感覚が大事な気がします。
Torrentサイト経由で韓国のユーザーを狙う攻撃
スロバキアのセキュリティベンダーESET社より、韓国のユーザを狙った攻撃に関する記事が公表されました。
本マルウェアで特徴的なのは、韓国の映画やテレビ番組を装って感染を広げる点です。
Torrentサイトから落とした拡張子torrentのファイルは専用のダウンローダを用いて展開されます。
この方法はデータ転送の効率から、動画など大容量ファイル共有のために使われているようです。
今回の攻撃では以下のファイルがダウンロードおよび展開されます。
上図の通り、Torrentサイト上ではmp4形式の動画ファイルが含まれているように見えます。 ただし、実際にダウンロードすると、mp4ファイルは別のディレクトリに展開され、同名のLNKファイルが表示されているのがわかります。
このLNKファイルのクリックによりGoBot2というバックドアが実行されます。
ESETの記事によると今回確認されている、GoBot2は韓国を標的とするためにカスタマイズされたものであり、2018年の3月頃から確認されているとのことです。
平昌五輪のときもそうだったけど、韓国のサイバー攻撃事例はひくほど多いです(笑)
何でなんでしょうね。
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
16Shop Now Targets Amazon | McAfee Blogs https://t.co/mAKLtMkvXh
The eCh0raix Ransomware | Anomali https://t.co/CXH6V4q5xV
Security Advisory for eCh0raix Ransomware https://t.co/Y44FPXfIlh
Buhtrap group uses zero‑day in latest espionage campaigns https://t.co/lOXkUYksOE
Flirting With IDA and APT28 https://t.co/cQ6aGNwmWN
Trickbot Trojan Gets IcedID Proxy Module to Steal Banking Info https://t.co/HjYgRnthOw
Rig Exploit Kit Pushing Eris Ransomware in Drive-by Downloads https://t.co/wCX7K7NjhK
Windows zero-day CVE-2019-1132 exploited in targeted attacks https://t.co/D5aNi9rooj
Astaroth Trojan Resurfaces, Targets Brazil through Fileless Campaign https://t.co/4KQWRoqLKL
The 2019 Resurgence of Smokeloader - Check Point Research https://t.co/sKbrfnDVbM
Powload Loads Up on Evasion Techniques - https://t.co/h0wqgid9fu
June 2019’s Most Wanted Malware: Emotet Takes a Break, but Possibly Not for Long https://t.co/Aunsq0tv9R
Dridex in the shadows - blacklisting, stealth, and crypto-currency https://t.co/ST7YiBTG0j
Anubis Android Malware Returns with Over 17,000 Samples https://t.co/1x1OmQBjfJ
脆弱性・アップデート関連
JIRA Security Advisory 2019-07-10 - Atlassian Documentation https://t.co/cEtlatVUrU
Jira Server and Data Center Update Patches Critical Vulnerability https://t.co/oVLA0Cc6Zg
Icegram Persistent Cross-Site Scripting https://t.co/2aCQcFi9X0 @sucurisecurityから
Intel Releases Security Updates https://t.co/wXrOCdfI8F
お知らせ:CyberNewsFlash「複数の Adobe 製品のアップデートについて」 https://t.co/8WjIXGC5iI
注意喚起: 2019年 7月マイクロソフトセキュリティ更新プログラムに関する注意喚起 (公開) https://t.co/HUQ9ISgOgB
NSD 4.2.1 がリリースされました。(NLnet Labsのリリース日は7月9日です) https://t.co/q00KH8nhBu
Major Zoom vulnerability hijacks your Mac's webcam - 9to5Mac https://t.co/q4aOB6atx4
Logitech keyboards and mice vulnerable to extensive cyber attacks | c't Magazin https://t.co/K382jvtuzL
インシデント関連
Fake DeepNude Downloads Gives You Malware Instead of Nudes https://t.co/LLZwdDHvwA
Monroe College Hit With Ransomware, $2 Million Demanded https://t.co/bllg6bTEsN
iOS URL Scheme Susceptible to Hijacking - https://t.co/flChhnOTw0
Fake CS: GO, PUBG, Rust Cheats Push Password-Stealing Trojan https://t.co/IjWc3YZzzG
Twitter is down – Twitter’s website & app suffering outage (Updated) https://t.co/c5Ckm0TqjV @hackreadから
東京オリンピックを騙るスミッシングについてまとめてみた https://t.co/sQqIwj5C28
Avast Observes Surge in DNS Hijacking in Brazil | Avast https://t.co/rtFJEhbuVv
"Agent Smith”: The New Virus to Hit Mobile Devices - Check Point Software https://t.co/aKoFB2iVqx
Agent Smith: A New Species of Mobile Malware https://t.co/BblL0mThmb
Over 1,300 Android Apps Caught Collecting Data Even If You Deny Permissions https://t.co/gcikyOlwWF
Magecart Breaches Websites Via Misconfigured Amazon S3 Buckets https://t.co/HfbpEJfDTX
Commonwealth racks up $99m corporate card fraud bill https://t.co/okjx5PYLod
Hackers Infect Pale Moon Archive Server With a Malware Dropper https://t.co/l6lauVI31r
Bad McAfee Exploit Prevention Update Blocked Windows Logins https://t.co/Dackmk4CBa
Report: Detailed personal records of 188 million people found exposed on the web https://t.co/TiHKFaoi8D @comparitechから
Magento Killer https://t.co/ZGip7TMBH5 @sucurisecurityから
New FinSpy iOS and Android implants revealed ITW https://t.co/erBPXYrNE9
Unpatched Prototype Pollution Flaw Affects All Versions of Popular Lodash Library https://t.co/hd85Y4hsel
Sea Turtle keeps on swimming, finds new victims, DNS hijacking techniques https://t.co/eZsRBbdUEz
エポスカードをかたるフィッシングについての注意喚起 https://t.co/nnQQ10CrP1
TwitterのスパムDM「ONLY FOR YOU」についてまとめてみた https://t.co/sFEDKhIfmI
British Airways faces record $329m fine over data breach https://t.co/FiVKH6Lz5W
Over 90 Million Records Leaked by Chinese Public Security Department https://t.co/zLu7oh1vmm
「アイコス」利用者の個人情報、数千人に誤送信 : 国内 : 読売新聞オンライン https://t.co/Q6dBQONMMw
Malicious campaign targets South Korean users with backdoor-laced torrents https://t.co/CHA4pJLhWw
Fake ES File Explorer Makes It to Play Store, Records More than 10K Downloads https://t.co/6Za4WTWsym
Ubuntu-Maker Canonical’s GitHub Account Gets Hacked https://t.co/1AbPMEkcKK
ビジネス・政治・レポート
東京新聞:セブンペイ不正 外部IDからの利用停止 対応後手、続く混乱:経済(TOKYO Web) https://t.co/mx5JiPN5Uw
スマホ画面に通学定期…IC未対応区間でJR東 : 経済 : 読売新聞オンライン https://t.co/sP95ttfBYt
横浜銀と千葉銀 業務提携…地銀首位・3位 遺言信託、スマホ取引など : 経済 : 読売新聞オンライン https://t.co/cJuMvnVvbt
Hackers' Operating System Kali Linux Released for Raspberry Pi 4 https://t.co/E1pu2JdTNk
UK’s data watchdog hands out two mega-fines for breaches https://t.co/higlzJsDh9
Marriott Faces $123 Million GDPR Fine for 2018 Data Breach https://t.co/kK7a04h3QK
「情報銀行」初認定 三井住友信託、イオン・ソニー系に:朝日新聞デジタル https://t.co/UZRdRHNoas
JCB偽造券5000枚超、17都道府県で発見 : 国内 : 読売新聞オンライン https://t.co/VYy7txtI7s
最後に
今年の梅雨はやたら長い気がしていましたが、本当に長いみたいですね。
梅雨が開けて夏になったら、夏空の下で日焼けして、遊びたいななんて思い始めているエンジニアです(笑)
年を取っても心は若い大人になりたいですね。
ゲームのチートツールからマルウェアAZORultに感染させる攻撃の観測
はじめに
最近、オンラインゲーム流行ってますよね。 僕はポケモンgoくらいしかやらないんですが、荒野行動とかはすごい人気みたいですね。
ちなみに、荒野行動は中国発のゲームだそうです。
中国最近すごいな~
この荒野行動みたいな、協力し合いながら楽しむゲームにはチートツールがあるようで、それも流行ってる(!?)ようです。
※荒野行動はあくまで例です。本攻撃との関連は指摘されていません。
そういえば、ポケモンのチートツール使った人は逮捕されてましたね。
今回の観測された手法
そんな人気の裏返しで登場するチートツールですが、チートツールを実行するとマルウェアが読み込まれる攻撃に関する記事が出ました。
このAZORultはstealerと呼ばれる情報窃取型マルウェアで感染した機器からパスワードをはじめとした機器情報を盗み出します。
どうやらこのチートツールはPirate Hackというユーチューバーがゲームのチート動画を公開しつつ、動画のリンク経由で提供されているようです。
無料だとのことですが、タダほど怖いものはないですね(笑)
というか、このゲームの運用はどうなってるんだろう(笑)
ツールの実行順序
チートツールはzip形式で落とされ、解答するとチュートリアルも展開されるのですが、そこにはアンチウイルスを無効化するよう指示が書かれています。
その後、ツールが実行されると、一時フォルダに展開された実行ファイルによって、AZORult DLLが読み込まれます。
実行ファイルはsvchost.exeという名で実行されるのですが、この名前はWindowsOSのサービスを実行する時のプロセス名と同じで、偽装を意図しています。
このsvchost.exeが実行され、読み込まれるのはdllファイルなので、まともな挙動っぽく見せてるわけです。
これにより、機器上の様々な情報が攻撃者の元へ送られます。
さらに、次回機器が起動したときに、また実行されるよう最初の実行ファイルのコピーも作成します。
日本におけるAZORultの利用
このAZORultですが、攻撃者の間では有名なツールで、Windows updateを装って落とされてきたり様々な手段で活用されています。
日本では、偽の津波警報に記載された偽の気象庁のサイトからダウンロードされるという観測記事が、Fortinetより発行されていました。
最後に
ブログを始めてから3ヶ月くらい経ち、何だかんだで色々なマルウェアを紹介しています。
あまり、馴染みがないかたも少しずつ覚えて、セキュリティ系のマニアックな知識からも抵抗がなくなってくれると嬉しいです!
これからも、なにとぞ。
ウェブ会議システムZoomで勝手にカメラがオンになって会議が始まる脆弱性
最近は、だいぶWeb会議システムが充実して、採用活動でも使われるケースが増えてきているようです。
そんな中、Mac版のZoomクライアントにおいてウェブ経由で第三者がカメラを有効化できる脆弱性が発見されました。
なお、すでにPoCコード(脆弱性の実証コード)は公開されております。
まぁコードと言えるほど"高度"なものではないんですが。。(笑)
ウェブ会議システムZoomは世界中で広く使われており、750,000社、400万台のWebカメラが影響するとの公式発表があります。
データが2015年なので、今は段違いに多い気がしますが。。
日本時間の7/10(水)7:35に修正版が公開されました。
修正内容は以下です。
従来のバージョンで、再インストール円滑化のために作っていた、ローカルサーバを削除
GUI上でアンインストールボタンの追加
対象のCVEは以下です。
CVE-2019–13449
CVE-2019–13450
本脆弱性による想定シナリオは以下です。
- 悪意のあるWebサイトにアクセスするだけで、ユーザの許可なしにWebカメラがオンになり、強制的にZoomに参加させられる
ただし、macOSで動作する Zoom クライアント限定です。
一方で、一度でもZoom Clientをインストールしたことがある端末は注意が必要です。
実は、アンインストール後も、再インストールが迅速に行えるよう、設定が残っており脆弱性も残ってしまいます。
回避策として、以下2つがあげられています。
ただ、そもそも機能が使えなくなるので、回避策というより、あきらめ(笑)
- 会議参加時、ビデオ機能をオフにする
[Video] → [Meetings]の「ミーティングの参加の際にマイビデオをオフにします」のオプションを有効にすることで、この問題を回避できます。 - Zoomのプロセスを切る
PIDを指定して、port:19421を用いる当該プロセスを切ることで、アプリケーションが動作するためのファイルを消せます。
ZDNetによると、Zoom社は今回の件を受けて、バグバウンティを始めるとのことです。
Wordpressもバグバウンティを始めてから本体の脆弱性が減ってきたと思うので、同じようにうまく機能してくれるといいですね。
今週のIT・サイバーニュースまとめ(20190630-20190706)
今週の総括
今週の記事まとめです。 セブンペイの話は別記事で書いたので、そちらをご参照ください。
平日に書こうかなとも悩んだんですが、正直、サイバーセキュリティに係る脆弱性やハッカーによるものではないので、見送りました。
そんな中で、今週はIoT、ランサムウェア、標的型攻撃を取り上げたわけですが、なんか言葉だけだとメディアウケ良さそう(笑)
ちなみにどの記事も日本ないしアジア諸国に影響がありうるものなので、要チェックだと思っています。
感想
スマート家電メーカーOrviboの情報流出
中国発のスマート家電メーカーOrviboが管理するElasticSearch(ログ管理アプリケーション)がインターネットに公開されており、その影響で世界中で機密情報を含む20億件のユーザログが漏洩したとのことです。
このログには、同社の製品のユーザ情報がのっているとのことです。
ユーザ情報は以下を指すようです。
- メールアドレス
- パスワード
- 位置情報
- ユーザネーム
- IP アドレス
- デバイス名
- スマートカメラの会話履歴
- スケジューラーの内容
そして、記事には「中国、日本、タイ、アメリカ、イギリス、メキシコ、フランス、オーストラリア、ブラジルを含むユーザデータ」 とあります。
僕自身もこれとは違うメーカのスマートリモコンを使っているんですが、その登録情報が漏れているようなイメージですかね。
ちなみに、軽く調べてみたけど安い!
買ってみてもいいんじゃないですかね。(笑)
ここで伝えたいのは、IoT機器自体が危機に晒されているのではなく、IoT機器を使うために登録したデータが漏洩しているという事実です。
このデータがSNSの乗っ取りやそれこそキャッシングアプリの認証に使われないよう、パスワード管理をしっかりしましょう。
sodinokibiがWindowsの脆弱性を使った攻撃でも観測される
ここ最近伝え続けている、sodinokibiですが、また新たな感染方法が見つかりました。
今回はWindowsの脆弱性CVE-2018-8453が使われたとのことです。
カスペルスキーによると、台湾や韓国、香港などのアジアで観測されてるよーって言ってますが、
うん。日本が赤いですね(笑)
なんの忖度か知りませんがそういうことみたいです。
そりゃそうだなーって思いつつ。
通信先をany.runで見てみるとwww.download.windowsupdate[.]comっていう(笑)
ただただ、タチが悪いですね(笑)
名前はsodin
こっちの方が言いやすくていいですね。
サトウキビみたいなのもよかったけど(笑)
そういえば韓国人のダンサーでhozinって人が(ry
OceanLutusの使うRAT、Ratsnifについて
CylanceのブログにてOceanLutusの使うRAT、Ratsnifについての分析記事が出ました。
そういえば、Interop Tokyo 2019 でも見たけど、CylanceってBlackBerryに買収されたんですね。
だから、キーストロークの特徴をAIでとか言っていたんだと、合点がつきました。
Ratsnif自体は2016年頃から見つかっているもので、この記事もRatsnifの2016年から2018年の検体の変遷を追っている位でしょうか。
正直、真新しさというところには欠けるところですが、こうやってまとめの記事を出してくれること自体は情報整理のためにもありがたいなって思ってます。
会社的には単純に技術アピールなんだろうなーなんて思いつつ(笑)
ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。
マルウェア・攻撃キャンペーン
Automated Magecart Campaign Hits Over 960 Breached Stores https://t.co/I9YnHtH6zv
‘Twas the night before https://t.co/x0EZtvZh7w
Latest Spam Campaigns from TA505 Now Using New Malware Tools Gelup and FlowerPippi https://t.co/R1NZEvIUG3
短縮URLからVBScriptをダウンロードさせるショートカットファイルを用いた攻撃 https://t.co/2BNs7vqbfU
An Analysis of Godlua Backdoor https://t.co/WhxqBw5Qdv
Outlook Flaw Exploited by Iranian APT33, US CyberCom Issues Alert https://t.co/T0Vdnvymuq
Sodinokibi is a new ransomware that has infected thousands of clients through managed security service providers (M… https://t.co/HETPGsT81Y
Trickbot Trojan Now Has a Separate Cookie Stealing Module https://t.co/KMxI0UwyEs
A Quick and Efficient Method For Locating the main() function of Linux ELF Malware Variants https://t.co/KHF3t670DP
Threat Spotlight: Ratsnif - New Network Vermin from OceanLotus https://t.co/UBVMB3EzBp
「ワナクリプター」の大流行以来、「エターナルブルー」による攻撃が過去最高に https://t.co/qQjZf7fkEY
RATs and stealers rush through “Heaven’s Gate” with new loader https://t.co/dRU2AsoRzT
An Analysis of Godlua Backdoor https://t.co/WhxqBw5Qdv
Operation Tripoli - Check Point Research https://t.co/W23cF1XfMa
脆弱性・アップデート関連
WordPress Plugin WP Statistics: Unauthenticated Stored XSS Under Certain Configurations https://t.co/XZAX8udP49 @sucurisecurityから
Cisco Releases Security Updates for Multiple Products https://t.co/oanSuKaaBI
Android Security Bulletin—July 2019 | Android Open Source Project https://t.co/OOixyWChSF
インシデント関連
Maryland Govt Agency Breach Exposes Names, SSNs of 78K People https://t.co/BIegDIancp
Over $800,000 Stolen by Scammers in Atlanta Area City BEC Fraud https://t.co/L5tPgu4Ctd
米女性軍人名乗りLINE、340万円詐欺被害 : 国内 : 読売新聞オンライン https://t.co/XJOH1cVv7S
国外遮断せず、2段階認証なし…安全対策後手に : 経済 : 読売新聞オンライン https://t.co/dGG5ufEkMI
「セブンペイ」不正アクセス被害5500万円か、現金チャージも停止 : 経済 : 読売新聞オンライン https://t.co/VHROZCGwhR
7payを使った不正購入事案についてまとめてみた https://t.co/okeSS80DQL
不正アクセス セブンペイ 5500万円被害…「購入役」中国人2人逮捕 : 国内 : 読売新聞オンライン https://t.co/H7Bhmxu1rY
7payの不正利用についてまとめてみた https://t.co/XzT1vjMdLc
7Payの不正対策は不十分 https://t.co/iojQw2HlFi
MYOB in payslip privacy bungle https://t.co/vxdaCFimWq
Silence Group Likely Behind Recent $3M Bangladesh Bank Heist https://t.co/njlqScA9d9
Hacker deletes entire student newspaper website of University of Ottawa https://t.co/Fnd8YMasau
Report: Orvibo Smart Home Devices Leak Billions of User Records https://t.co/vdupXEV79w
WannaLocker targets banks in Brazil – Avast https://t.co/DAIgBXeijl
Adware Campaign Identified From 182 Game and Camera Apps on Google Play and Third-Party Stores Like 9Apps https://t.co/8le5BMuon6
ビジネス・政治・レポート
歩いて通過、危険物感知…関空駅保安ゲート実験 : 国内 : 読売新聞オンライン https://t.co/jR13cDHlzS
FBI Releases Warning on Sextortion Scams Targeting Teenagers https://t.co/s8UlomhxtV
サイバー攻撃 中小も標的…大商調査 全30社で : 地域 : 読売新聞オンライン https://t.co/IZVCsmIFql
Toyota Releases Car Hacking Tool PASTA | Avast https://t.co/x3oCz4Fv9z
Survey: Americans Want to Protect Their Information, But Unsure Where to Start https://t.co/cwFGfnOqmM
Card Enrollment Services: Highly Effective Fraud Methodology Offered in Russian Underground https://t.co/xNv9QcojEq
Over 5,000 Unique Phishing Kits Found In Use in First Half of 2019 https://t.co/q25KxaSAgs
Facebook日本法人、経団連に加盟 GAFAそろう(要約) https://t.co/vu6cY73GDK
最後に
冒頭で「流行りの言葉を~」と書きながら思ったんですが、初対面の人の知識だったり人間性を確かめるために、例えば
「最近はIoT機器を狙った標的型攻撃が流行っていてランサムウェアの被害にあう可能性があるから、これらの巧妙化した攻撃の対策としてAIを活用したセキュリティ対策が欠かせないよね」
とか適当に言葉組み合わせて話してみると面白いかもしれないですね(笑)
こういった文章がドラマとか映画で出るから挙げ句ワイドショーとかメディアにも流用されてとかにならないことを。。。
よーく考える。大事ですね。
7pay事件から読み解く~日本のシステム開発における本当の問題~
早速ですが、話題の7payについて、少し話そうかと思います。
ただ、既にいくつかの記事が出ていますし、なんとなくまとめるだけではなんの面白味もない記事になってしまうので、少し違った角度から。
この記事は、特に同世代の若手エンジニアやIT企業に就職を考えている学生に読んで欲しいです。
今後どう働いていくかを考える意味でも。
ちょっと踏み込んだ記事ですが、暖かく見ていただければと。
※本記事における見解は、個人の見識に基づくものであり、組織や個人の考え方や仕組みを断定するものではないことをあらかじめご了承ください。
目次
7payとは
何が起きたか
セキュリティ上の問題は何か
7payはどうやって出来上がったか
SIerが抱える問題点
IT人材について
まとめ
7payとは
いわゆるQR・バーコード決済の一種で、最近で言うところの paypay や LINEpay などが類似になります。
メディア等では、キャッシュレス決済とひとくくりにされますが、以下もキャッシュレス決済ですね。
どうでしょう。全然違いますよね(笑)
2は絶賛ガラパゴスなので、1が世界中で注目されているところです。
特に、中華系プラットフォーマーのBAT(Baidu、Alibaba、Tencent)に代表されるようなAliPay(Alibaba)、WeChatPay(Tencent)なんかも1のQR・バーコード決済ですからね。
今回の7payもそうですが、こういった決済手段をユーザ企業が導入するメリットは、「ユーザ企業のなかで決済も含めた顧客のデータ収集が可能になる」ところだと考えています。
現金で払うのとは違い、アプリの登録情報が決済情報と結び付くわけです。
ある種すでに多くの顧客を持っている企業にとってはプラットフォーマーに進出するチャンスですからね。
UNIQLOのUniPayとかオリエンタルランドの夢の国ペイとかもできるのかな(笑)
何が起きたか
起きたことに関しては、以下のpiyokangoさんのブログをご参照いただくととても分かりやすいかと思います。
端的にいうと、以下が被害です。
セキュリティ上の問題は何か
では、何が問題でこうなったか。 整理すると以下になります。
2段階認証の問題
パスワード再設定時の問題
- メールアドレス、電話番号、生年月日がわかればパスワード再設定ができる
- つまり、SNSとかで調べりゃ乗っ取れる
メールアドレス確認の問題
- メールアドレスで登録した際に当該アドレスに対し、確認の作業が行われない
- つまり、第三者が勝手に登録しても、登録完了メールだけが一方的にやってきて、利用者自身の登録の意思を示さずに登録される
本件に関しては、中国人2名が逮捕される事件に発展していますが、もちろん、これだけで問題解決とはなりません。
piyokangoさんの引用ばかりで恐縮です。。。
では、ITをやっている人なら大抵知っているような問題だと思われるのに、なぜこれが起きてしまったか。
本質は、次の章にて。
7payはどうやって出来上がったか
ネット上では、 「どこが本アプリないしシステムの開発会社なのか。」 が注目されています。
セブン&アイホールディングスはユーザ企業であり、IT企業ではありません。
そのため、どこかの会社に開発を発注するわけです。
そして、この開発を発注するという文化は日本特有の業界構造で、いわゆるSIerとよばれるシステムインテグレータの人たちが担うわけです。
- 親会社が仕事を受けて
- 子会社に設計を任せ
- さらにその子会社が構築を行って
- さらに派遣の人が運用を行う
超ピラミッド構造を強いてシステム開発を行うそれがSIです。
もちろん、現場に近いほど給料は安く、過酷な労働現場です。
それはさておき、今回の件に関しても、このSIerが担ったわけです。
これほど社会的影響度の大きいシステムを担う会社は、就職人気ランキングでも上位にいるような超大手企業です。
そして、品質は高いはずのものだと考えられています。
なぜなら、品質管理や法務など、間接部門の人材もとても多く、事故を起こさないための大量の事務作業があります。
それらは、経営層や管理職が自信の身を守るために作られた仕組みと言っても過言でなく、万が一にでも問題が起きないように、誰でもできる仕事にまでブレイクダウンされています。
ちなみに、どこの会社かが気になる方は、下の記事を参考にしてみてください。
ただ、次の章で述べる通り、これは業界の問題であり、ここに上がっていない会社だから関係ないということではないということを気に留めておいてください。
SIerが抱える問題点
前の章で紹介した記事にある通り、7payは経営計画に基づき作られた構想の一部です。
そのための、ITシステムではあるものの、小売りが本業であるセブン&アイホールディングスにとっては経営計画の一部な訳です。
となると、IT人材を自社で抱え込まない限り、発注先のベンダーに詳しいことは任せざるを得ません。
ただし、これ程大きなシステムになると、先述の発注先も複数社にまたがり、かつ、その下にも多くの会社がぶら下がります。
今回の事件では、原因が未だ調査中です。
その理由として、先述の通り、関わる人が多すぎてシステムのどこを誰が作ったかわからないこと、知識のあるエンジニアが今回の問題点を事前に指摘できなかったことがあります。
これが、本当の問題点だと思っています。
前者に関しては、もしSIerに関しては丸投げてなく自社開発であれば、意思決定も責任の所在も明確にできるのではと思います。
今回のように記者会見後に叩かれることもなく。。
ただ後者はもう少し踏み込む必要がありそうです、なぜエンジニアがセキュリティ上の懸念を指摘できなかったか。
IT人材について
SIer において、知識のあるエンジニアはだんだん活躍しづらくなっているように思います。
先述の通り、何かあったら困る、管理層の絶対数が増えているため、エンジニアが手を動かす機会は奪われています。
また、働き方改革、予算削減、情報漏洩への懸念から、エンジニアが外に出る機会が奪われていることも事実です。
結果、SIerに属する本当の意味でのエンジニアは言いなりにならざるを得ず、設計の段階で気付きがあっても
それを理解できる上がいないから伝わらない
伝えるための資料作りが必要
実績を伝えるためのエビデンスも必要
仮にそれらが揃っても、上の意思で決まった決定がすべて
こんな感じになってしまうのが関の山。
エンジニアにもプライベートがありますし、人間です。
知識のある管理職さえいれば、数秒で済む説明に対し、本来の何倍のも時間をかけて社内を説得するのに骨が折れてしまうのは当たり前ではないでしょうか。
優秀な人からインターネット系のベンチャーやユーザー企業に転職するケースも多いのはこんな背景もあるかと思います。
まとめ
僕自身、今回の事件をあまりネガティブに捉えないで欲しいと思っています。
最悪なのは、「キャッシュレス決済は怖いから使わない。」「新しいシステム開発はリスクだからもっと手順を複雑化しよう」などと後ろ向きに動くことです。
他国に目を向けると、あのFacebookですらバンバン個人情報を流出させますが、知らん顔ですぐに改善します。
そして、今では法定通貨建ての安全資産保有を裏付けできる暗号資産リブラも開発中です。
同じアジアでも、中国のBAT、マレーシアのGrabなんかはどんどん手を動かして技術を社会で実装し、改良を加えています。
時代は明らかに変化を求めており、たくさんの実証が行われています。
みんな世の中を良くしようと動いているからこそ、保身のためではなく、将来のためにみんなが動ける。 そういう日本の社会を作っていきたいですね。
APT10 の関与が疑われる電気通信事業者に対する諜報活動
今週の水曜日(現地時間の火曜日)に イスラエルのセキュリティベンダー CyberReason より日本を標的とした攻撃でもよく知られている APT10 に関する記事を公開しました。
※本記事は、当該記事に関して簡単にまとめたものです。詳細は元記事をご確認下さい。
APT10 の概要は以下をご確認下さい。
https://www.fireeye.jp/current-threats/apt-groups.html#apt10
昨年 2018 年の末に、APT10 に関連する攻撃者2名が起訴されたことも話題になりました。
本件に関しては、外務省および NISC(内閣サイバーセキュリティセンター)も注意喚起を出しています。
https://www.nisc.go.jp/active/kokusai/pdf/press-1221.pdf
今月頭のブログ記事でも少々、APT10について触れましたが、それはアジアの国を標的としたものでした。
それでは、今回の記事の要点を以下に記載します。
要点
2019年の始め頃、数年間にわたり電気通信事業者を狙っている APT 攻撃がCyberreason により発見された
CyberReason の調査データに基づくと本攻撃は少なくとも2012年頃から確認されているとのこと
攻撃の目的は、CDR(Call Detail Record)の情報を電気通信事業者から窃取すること
攻撃グループによって、様々な個人情報を組み合わせて ID やパスワードを推測し、ADに侵入しようとする試みが観測されている
攻撃に使われるツールや手法は中華系の攻撃グループによって過去に利用が確認されているもの
一連の攻撃活動の中で攻撃が検知や防御されるとその手法は放置されるが、その後ツールや手法を変えて再度攻撃が行われていることを確認しているとのこと
最悪のシナリオとしては、ネットワークへの侵入を達成しシステムの破壊行為を行うことで、電気通信インフラが全面停止してしまうことだと述べている
攻撃手法の遷移は以下の図に示されています。
攻撃に使われるツール
Web Shells
- China Chopper と呼ばれる Web Shell の改編版が攻撃の初期段階で使われた
- 本ツールは後のフェーズでも用いられていることが確認されている
- 参考記事 https://www.cyber.nj.gov/threat-profiles/trojan-variants/china-chopper
偵察用ツール
- Nbtscan が有効な NetBIOS のネームサーバを特定するのに使われている
- Windows 標準の whoami や ipconfig、netstat なども利用されている
- 同様にして、WMI や Powershell の利用も確認されているとのことです
RAT
- PoisonIvy の利用
- PlugX の利用
これらは APT10 で利用されるツールとして有名です。
https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-poison-ivy.pdf
- 認証情報の抽出ツール
- Mimikatz の改編版
- Mimikatz の詳細は以下のリンクをご参照ください
- Mimikatz の改編版
感染活動の拡大ツール
- WMI
- PsExec
プロキシツール
- hTran の改編版
- hTran の詳細はこちら
- ファイル圧縮ツール(情報の持ち出し時に利用)
- Winrar
まとめ
APT10 による諜報活動は長年にわたっており、日本にも大きな影響を与えています。
セキュリティ製品の売り文句にも使われやすいため、宣伝の記事が出ることも多いです。
ただ、確かに攻撃は続いているように見えますし、顕在化していない活動も多々あるように思います、
情報の真意はしっかり確認する必要がありますが、今後もおっていくべき標的がた攻撃グループだと思います。