みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

Instagramのアカウントがハッキングされてしまう脆弱性について

概要

7月14日(現地時間)、任意のインスタアカウントのパスワードをリセットできる脆弱性の記事が公開されました。

https://thezerohack.com/wp-content/uploads/2018/09/hack-instagram.jpg

結果として、遠隔の第三者によりアカウントを乗っ取ることができてしまいます。

この脆弱性は、インドのバクバウンティハンターであるLaxman Muthiyahによって発見されました。

thezerohack.com

上記のサイトでは、報告者による攻撃のでも動画と検証内容に関する記事が公開されています。

本手法はパスワードリセットの仕組みを悪用したもので、リセット時に与えられる6ケタのパスコードを利用することで実現します。

このパスコードは10分間有効で、発行後、当該デバイスにSMSまたはメールで送られます。

つまり、10の6乗=100万通りのパスコードを10分以内に総当たりで確かめれば。というところですが、Ratelimit(一定時間における回数制限)によって制限されていました。

ただし、今回の発見により、そのRatelimitが複数の異なるIPアドレスからのアクセスでは回避されてしまうことが確認されました。

以下のデモ動画では、実際に複数のIPアドレスを起点に20万通りのパスコードでリクエストを送り、有効なパスコードの特定に成功しています。

www.youtube.com

筆者によると、実際の攻撃では5000IPアドレスを使って攻撃を行う必要があると述べています。

そしてそれは、クラウドサ-ビスを踏み台にすれば、150ドル程度(日本円で16,000円ほど)で実現可能だと言っています。

当該脆弱性の修正バージョンはすでに公開されており、報告者は報告の報酬として$30,000(日本円で3,240,000円ほど)を手に入れたとのことでした。

Instagramをご利用の皆さんは、ぜひ早急にバージョンアップしてください。

おそらく、昨日今日でリリースされているバージョンが最新かと思います。

また、Hacker Newsに書かれているとおり、万が一パスワードがリセットされてしまった場合でもアクセスを防ぐため、 に二要素認証を有効にしておくことをお勧めします。

thehackernews.com

ちなみに、今話題の二段階認証と二要素認証は異なるので、ご注意を。

二要素認証は「知識認証」「所有物認証」「生体認証」のうち二つ以上を組み合わせたものです。

そのため、(二要素認証) ⊆ (二段階認証)となります。

感想

Instagram便利ですよね。

私も年明けからストーリーを使ってみてるのですが、1日で消えるのがかえっていい感覚がわかり始めました。

だから、バイト炎上投稿が起きるんだよ。 と思わざるを得ませんが、Facebook社的にはこれで広告収入が入ればいいんでしょうね。

ザッカーバーグの経営方法は絶対に日本にはまねできないと同時に、 対抗するなら、その裏を徹底的につくのがいいんでしょうけど。

まぁ日本には、FacebookやTencentに対抗できるアプリがないですから。 ※LINEは韓国です

今週のIT・サイバーニュースまとめ(20190707-20190713)

今週の総括

  • QNAP製NASを狙うランサムウェアeCh0raix

  • 英当局、マリオットにGDPRの制裁金135億円を課す

  • Torrentサイト経由で韓国のユーザーを狙う攻撃


今週の記事まとめです。

今週は高度なサイバーセキュリティというより、NAS動画共有サイトandroidマルウェアなど、身近な話題が多かった気がします。

最近のIT知識って言うところだと、ITパスポートとか基本情報で出題されてもいいような気もしますが。

IT人材で測りたい能力はそこじゃないんでしょうけど。

そういう意味だと、ドラマの脚本家にはいい素材かもしれないですね(笑)

今週の話題のうち、「ウェブ会議システムZoomの脆弱性」、「ゲームのチート経由で感染するAZORult」については別記事を公開済みなのでそちらをご確認下さい。

micro-keyword.hatenablog.com

micro-keyword.hatenablog.com


感想

QNAP製NASを狙うランサムウェアeCh0raix

7/11(木)、NASのメーカーとしてよく知られているQNAP社よりセキュリティアドバイザリー、事実上の注意喚起が発行されました。

www.qnap.com

本観測は、米国のセキュリティ企業Anomli社が公開した以下の記事と関連するとみられており、設定が甘いQNAP製NASを対象にランサムウェアeCh0raixに感染させるというものでした。

www.anomali.com

QNAP製NASが狙われる攻撃は、忘れた頃に観測され、またその情報も信頼できるソースじゃないことも多いため、取り扱いが難しいところです。

今年の2月にもJPCERT/CCから記事が上がっていましたが、その時点ではQNAP社も調査途中だったようで、対象製品未特定のステータスでした。

www.jpcert.or.jp

その後、4月になって、対象の製品と修正バージョンが公表されましたが、およそ2ヶ月間、原因不明の状態が続いていた認識です。

www.qnap.com

最近になって、日本の企業もPSIRTを立ち上げ、自社製品のセキュリティ体制を強化していますが、この辺りも含めて考えると大変ですよね。


英当局、マリオットにGDPRの制裁金135億円を課す

7月9日(火)に一般データ保護規則(GDPR)違反により米ホテル大手マリオットに罰金が科せられました。

こちらは、日本語でも記事が出ていたので、ご存じの方も多いかもしれません。

headlines.yahoo.co.jp

この罰金は個人情報保護を監督する英国の独立公益法人ICOによって科せられるものなのですが、適応は英航空大手ブリティッシュ・エアウェイズ(BA)に続き2例目だそうです。

ちなみに、昨年の顧客情報流出の件は以下に記載があります。

jp.reuters.com

こういった記事を見ると、ユーザー企業もますますセキュリティを向上し、こういった法律についても理解しておく必要が出てきそうですね。

内を見るだけでなく外も見る、技だけでなく法を知る、手段だけでなく目的にこだわる。

そんな感覚が大事な気がします。


Torrentサイト経由で韓国のユーザーを狙う攻撃

スロバキアのセキュリティベンダーESET社より、韓国のユーザを狙った攻撃に関する記事が公表されました。

www.welivesecurity.com

マルウェアで特徴的なのは、韓国の映画やテレビ番組を装って感染を広げる点です。

Torrentサイトから落とした拡張子torrentのファイルは専用のダウンローダを用いて展開されます。

この方法はデータ転送の効率から、動画など大容量ファイル共有のために使われているようです。

今回の攻撃では以下のファイルがダウンロードおよび展開されます。

https://www.welivesecurity.com/wp-content/uploads/2019/07/Figure1.png

上図の通り、Torrentサイト上ではmp4形式の動画ファイルが含まれているように見えます。 ただし、実際にダウンロードすると、mp4ファイルは別のディレクトリに展開され、同名のLNKファイルが表示されているのがわかります。

このLNKファイルのクリックによりGoBot2というバックドアが実行されます。

ESETの記事によると今回確認されている、GoBot2は韓国を標的とするためにカスタマイズされたものであり、2018年の3月頃から確認されているとのことです。

平昌五輪のときもそうだったけど、韓国のサイバー攻撃事例はひくほど多いです(笑)

何でなんでしょうね。


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

今年の梅雨はやたら長い気がしていましたが、本当に長いみたいですね。

tenki.jp

梅雨が開けて夏になったら、夏空の下で日焼けして、遊びたいななんて思い始めているエンジニアです(笑)

年を取っても心は若い大人になりたいですね。

ゲームのチートツールからマルウェアAZORultに感染させる攻撃の観測

はじめに

最近、オンラインゲーム流行ってますよね。 僕はポケモンgoくらいしかやらないんですが、荒野行動とかはすごい人気みたいですね。

ちなみに、荒野行動は中国発のゲームだそうです。

中国最近すごいな~

この荒野行動みたいな、協力し合いながら楽しむゲームにはチートツールがあるようで、それも流行ってる(!?)ようです。

※荒野行動はあくまで例です。本攻撃との関連は指摘されていません。

そういえば、ポケモンのチートツール使った人は逮捕されてましたね。

www.sankei.com


今回の観測された手法

そんな人気の裏返しで登場するチートツールですが、チートツールを実行するとマルウェアが読み込まれる攻撃に関する記事が出ました。

www.bleepingcomputer.com

このAZORultはstealerと呼ばれる情報窃取型マルウェアで感染した機器からパスワードをはじめとした機器情報を盗み出します。

https://images.squarespace-cdn.com/content/v1/555b2d4ee4b011aa38092227/1519828007204-2NNWW23LW936JDMWQDOM/ke17ZwdGBToddI8pDm48kNBqCkxdZwmq9-uXZT4asMEUqsxRUqqbr1mOJYKfIPR7LoDQ9mXPOjoJoqy81S2I8N_N4V1vUb5AoIIIbLZhVYxCRW4BPu10St3TBAUQYVKcwi07mDi_0nsNuVmgMB-zffwlTBvHun3_k7g_cp4UJK4dOqkJOhIdbje8uWglSZsL/azorult.png

どうやらこのチートツールはPirate Hackというユーチューバーがゲームのチート動画を公開しつつ、動画のリンク経由で提供されているようです。

https://www.bleepstatic.com/images/news/security/a/azorult/fake-game-hacks/youtube-video.jpg

無料だとのことですが、タダほど怖いものはないですね(笑)

というか、このゲームの運用はどうなってるんだろう(笑)


ツールの実行順序

チートツールはzip形式で落とされ、解答するとチュートリアルも展開されるのですが、そこにはアンチウイルスを無効化するよう指示が書かれています。

https://www.bleepstatic.com/images/news/security/a/azorult/fake-game-hacks/instructions.jpg

その後、ツールが実行されると、一時フォルダに展開された実行ファイルによって、AZORult DLLが読み込まれます。

実行ファイルはsvchost.exeという名で実行されるのですが、この名前はWindowsOSのサービスを実行する時のプロセス名と同じで、偽装を意図しています。

このsvchost.exeが実行され、読み込まれるのはdllファイルなので、まともな挙動っぽく見せてるわけです。

これにより、機器上の様々な情報が攻撃者の元へ送られます。

https://www.bleepstatic.com/images/news/security/a/azorult/fake-game-hacks/network-connection.jpg

さらに、次回機器が起動したときに、また実行されるよう最初の実行ファイルのコピーも作成します。


日本におけるAZORultの利用

このAZORultですが、攻撃者の間では有名なツールで、Windows updateを装って落とされてきたり様々な手段で活用されています。

日本では、偽の津波警報に記載された偽の気象庁のサイトからダウンロードされるという観測記事が、Fortinetより発行されていました。

www.fortinet.co.jp


最後に

ブログを始めてから3ヶ月くらい経ち、何だかんだで色々なマルウェアを紹介しています。

あまり、馴染みがないかたも少しずつ覚えて、セキュリティ系のマニアックな知識からも抵抗がなくなってくれると嬉しいです!

これからも、なにとぞ。

ウェブ会議システムZoomで勝手にカメラがオンになって会議が始まる脆弱性

最近は、だいぶWeb会議システムが充実して、採用活動でも使われるケースが増えてきているようです。

そんな中、Mac版のZoomクライアントにおいてウェブ経由で第三者がカメラを有効化できる脆弱性が発見されました。

https://miro.medium.com/max/2100/1*H5TvwgtzyNBvszjq2HG5mQ.png

medium.com

なお、すでにPoCコード(脆弱性の実証コード)は公開されております。

まぁコードと言えるほど"高度"なものではないんですが。。(笑)

ウェブ会議システムZoomは世界中で広く使われており、750,000社、400万台のWebカメラが影響するとの公式発表があります。

データが2015年なので、今は段違いに多い気がしますが。。


日本時間の7/10(水)7:35に修正版が公開されました。

blog.zoom.us

修正内容は以下です。

  • 従来のバージョンで、再インストール円滑化のために作っていた、ローカルサーバを削除

  • GUI上でアンインストールボタンの追加


対象のCVEは以下です。

  • CVE-2019–13449

  • CVE-2019–13450

    • 情報漏えいの脆弱性(Webカメラがオンになる)
    • 未修整(7/10に修正されました)
    • 問題はこっち!

脆弱性による想定シナリオは以下です。

  • 悪意のあるWebサイトにアクセスするだけで、ユーザの許可なしにWebカメラがオンになり、強制的にZoomに参加させられる

ただし、macOSで動作する Zoom クライアント限定です。

一方で、一度でもZoom Clientをインストールしたことがある端末は注意が必要です。

実は、アンインストール後も、再インストールが迅速に行えるよう、設定が残っており脆弱性も残ってしまいます。

回避策として、以下2つがあげられています。

ただ、そもそも機能が使えなくなるので、回避策というより、あきらめ(笑)

  1. 会議参加時、ビデオ機能をオフにする
    [Video] → [Meetings]の「ミーティングの参加の際にマイビデオをオフにします」のオプションを有効にすることで、この問題を回避できます。 https://miro.medium.com/max/700/1*mRgy9JoJKkjSRp-xjSYomw.png
  2. Zoomのプロセスを切る
    PIDを指定して、port:19421を用いる当該プロセスを切ることで、アプリケーションが動作するためのファイルを消せます。

ZDNetによると、Zoom社は今回の件を受けて、バグバウンティを始めるとのことです。

www.zdnet.com

Wordpressもバグバウンティを始めてから本体の脆弱性が減ってきたと思うので、同じようにうまく機能してくれるといいですね。

今週のIT・サイバーニュースまとめ(20190630-20190706)

今週の総括

  • スマート家電メーカーOrviboの情報流出

  • sodinokibiがWindows脆弱性を使った攻撃でも観測される

  • OceanLutusの使うRAT、Ratsnifについて


今週の記事まとめです。 セブンペイの話は別記事で書いたので、そちらをご参照ください。

micro-keyword.hatenablog.com

平日に書こうかなとも悩んだんですが、正直、サイバーセキュリティに係る脆弱性ハッカーによるものではないので、見送りました。

そんな中で、今週はIoT、ランサムウェア、標的型攻撃を取り上げたわけですが、なんか言葉だけだとメディアウケ良さそう(笑)

ちなみにどの記事も日本ないしアジア諸国に影響がありうるものなので、要チェックだと思っています。


感想

スマート家電メーカーOrviboの情報流出

中国発のスマート家電メーカーOrviboが管理するElasticSearch(ログ管理アプリケーション)がインターネットに公開されており、その影響で世界中で機密情報を含む20億件のユーザログが漏洩したとのことです。

www.vpnmentor.com

このログには、同社の製品のユーザ情報がのっているとのことです。

ユーザ情報は以下を指すようです。

  • メールアドレス
  • パスワード
  • 位置情報
  • ユーザネーム
  • IP アドレス
  • バイス
  • スマートカメラの会話履歴
  • スケジューラーの内容

そして、記事には「中国、日本、タイ、アメリカ、イギリス、メキシコ、フランス、オーストラリア、ブラジルを含むユーザデータ」 とあります。

僕自身もこれとは違うメーカのスマートリモコンを使っているんですが、その登録情報が漏れているようなイメージですかね。

ちなみに、軽く調べてみたけど安い!

買ってみてもいいんじゃないですかね。(笑)

ここで伝えたいのは、IoT機器自体が危機に晒されているのではなく、IoT機器を使うために登録したデータが漏洩しているという事実です。

このデータがSNSの乗っ取りやそれこそキャッシングアプリの認証に使われないよう、パスワード管理をしっかりしましょう。


sodinokibiがWindows脆弱性を使った攻撃でも観測される

ここ最近伝え続けている、sodinokibiですが、また新たな感染方法が見つかりました。

securelist.com

今回はWindows脆弱性CVE-2018-8453が使われたとのことです。

カスペルスキーによると、台湾や韓国、香港などのアジアで観測されてるよーって言ってますが、

https://encrypted-tbn0.gstatic.com/images?q=tbn%3AANd9GcQTIE0aB2Kl2XU9zOIzOxiqHRCa7z1iJ7VNzlLe4QI-BGSBZcDb

うん。日本が赤いですね(笑)

なんの忖度か知りませんがそういうことみたいです。

そりゃそうだなーって思いつつ。

app.any.run

通信先をany.runで見てみるとwww.download.windowsupdate[.]comっていう(笑)

ただただ、タチが悪いですね(笑)

名前はsodin

こっちの方が言いやすくていいですね。

サトウキビみたいなのもよかったけど(笑)

そういえば韓国人のダンサーでhozinって人が(ry


OceanLutusの使うRAT、Ratsnifについて

CylanceのブログにてOceanLutusの使うRAT、Ratsnifについての分析記事が出ました。

threatvector.cylance.com

そういえば、Interop Tokyo 2019 でも見たけど、CylanceってBlackBerryに買収されたんですね。

だから、キーストロークの特徴をAIでとか言っていたんだと、合点がつきました。

Ratsnif自体は2016年頃から見つかっているもので、この記事もRatsnifの2016年から2018年の検体の変遷を追っている位でしょうか。

正直、真新しさというところには欠けるところですが、こうやってまとめの記事を出してくれること自体は情報整理のためにもありがたいなって思ってます。

会社的には単純に技術アピールなんだろうなーなんて思いつつ(笑)


ここからは、一週間のまとめなので、ざっと流し読みしていただければと。 量が多くて僕自身もしんどいので、タイトルの流し読み→気になるところは、あとで見ることをおすすめします。

マルウェア・攻撃キャンペーン


脆弱性・アップデート関連


インシデント関連


ビジネス・政治・レポート


最後に

冒頭で「流行りの言葉を~」と書きながら思ったんですが、初対面の人の知識だったり人間性を確かめるために、例えば

「最近はIoT機器を狙った標的型攻撃が流行っていてランサムウェアの被害にあう可能性があるから、これらの巧妙化した攻撃の対策としてAIを活用したセキュリティ対策が欠かせないよね」

とか適当に言葉組み合わせて話してみると面白いかもしれないですね(笑)

こういった文章がドラマとか映画で出るから挙げ句ワイドショーとかメディアにも流用されてとかにならないことを。。。

よーく考える。大事ですね。

7pay事件から読み解く~日本のシステム開発における本当の問題~

早速ですが、話題の7payについて、少し話そうかと思います。

ただ、既にいくつかの記事が出ていますし、なんとなくまとめるだけではなんの面白味もない記事になってしまうので、少し違った角度から。

この記事は、特に同世代の若手エンジニアやIT企業に就職を考えている学生に読んで欲しいです。

今後どう働いていくかを考える意味でも。

ちょっと踏み込んだ記事ですが、暖かく見ていただければと。

※本記事における見解は、個人の見識に基づくものであり、組織や個人の考え方や仕組みを断定するものではないことをあらかじめご了承ください。

目次

  • 7payとは

  • 何が起きたか

  • セキュリティ上の問題は何か

  • 7payはどうやって出来上がったか

  • SIerが抱える問題点

  • IT人材について

  • まとめ


7payとは

https://www.7pay.co.jp/assets/img//top/mainvisual_01_20190703_sp.jpg

www.7pay.co.jp

いわゆるQR・バーコード決済の一種で、最近で言うところの paypay や LINEpay などが類似になります。

メディア等では、キャッシュレス決済とひとくくりにされますが、以下もキャッシュレス決済ですね。

  1. paypayやLINEpayなどのQR・バーコード決済

  2. suicananacoなどはFeliCa技術を使った電子マネー

  3. VISA、JCB、MCなどの一般的なクレジットカード

どうでしょう。全然違いますよね(笑)

2は絶賛ガラパゴスなので、1が世界中で注目されているところです。

特に、中華系プラットフォーマーのBAT(Baidu、Alibaba、Tencent)に代表されるようなAliPay(Alibaba)、WeChatPay(Tencent)なんかも1のQR・バーコード決済ですからね。

今回の7payもそうですが、こういった決済手段をユーザ企業が導入するメリットは、「ユーザ企業のなかで決済も含めた顧客のデータ収集が可能になる」ところだと考えています。

現金で払うのとは違い、アプリの登録情報が決済情報と結び付くわけです。

ある種すでに多くの顧客を持っている企業にとってはプラットフォーマーに進出するチャンスですからね。

UNIQLOのUniPayとかオリエンタルランドの夢の国ペイとかもできるのかな(笑)


何が起きたか

起きたことに関しては、以下のpiyokangoさんのブログをご参照いただくととても分かりやすいかと思います。

piyolog.hatenadiary.jp

端的にいうと、以下が被害です。

  • 三者によるアプリへの不正ログイン

  • 三者による連携クレジットカードからの不正チャージ

  • 三者による入金額の不正利用


セキュリティ上の問題は何か

では、何が問題でこうなったか。 整理すると以下になります。

  • 2段階認証の問題

    • ログイン時に、SMSなどでセキュリティーコードなどが送られるなどの仕組みがない
    • 仮に、ID・パスワードが漏れた場合、それだけで乗っ取られる
    • 個人情報を含むSNSでは基本的には導入されている、決済手段を備えるアプリは尚更
  • パスワード再設定時の問題

    • メールアドレス、電話番号、生年月日がわかればパスワード再設定ができる
    • つまり、SNSとかで調べりゃ乗っ取れる
  • メールアドレス確認の問題

    • メールアドレスで登録した際に当該アドレスに対し、確認の作業が行われない
    • つまり、第三者が勝手に登録しても、登録完了メールだけが一方的にやってきて、利用者自身の登録の意思を示さずに登録される

本件に関しては、中国人2名が逮捕される事件に発展していますが、もちろん、これだけで問題解決とはなりません。

piyolog.hatenadiary.jp

piyokangoさんの引用ばかりで恐縮です。。。

では、ITをやっている人なら大抵知っているような問題だと思われるのに、なぜこれが起きてしまったか。

本質は、次の章にて。


7payはどうやって出来上がったか

ネット上では、 「どこが本アプリないしシステムの開発会社なのか。」 が注目されています。

セブン&アイホールディングスはユーザ企業であり、IT企業ではありません。

そのため、どこかの会社に開発を発注するわけです。

そして、この開発を発注するという文化は日本特有の業界構造で、いわゆるSIerとよばれるシステムインテグレータの人たちが担うわけです。

  • 親会社が仕事を受けて
  • 子会社に設計を任せ
  • さらにその子会社が構築を行って
  • さらに派遣の人が運用を行う

超ピラミッド構造を強いてシステム開発を行うそれがSIです。

もちろん、現場に近いほど給料は安く、過酷な労働現場です。

それはさておき、今回の件に関しても、このSIerが担ったわけです。

これほど社会的影響度の大きいシステムを担う会社は、就職人気ランキングでも上位にいるような超大手企業です。

そして、品質は高いはずのものだと考えられています。

なぜなら、品質管理や法務など、間接部門の人材もとても多く、事故を起こさないための大量の事務作業があります。

それらは、経営層や管理職が自信の身を守るために作られた仕組みと言っても過言でなく、万が一にでも問題が起きないように、誰でもできる仕事にまでブレイクダウンされています。

ちなみに、どこの会社かが気になる方は、下の記事を参考にしてみてください。

news.mynavi.jp

ただ、次の章で述べる通り、これは業界の問題であり、ここに上がっていない会社だから関係ないということではないということを気に留めておいてください。


SIerが抱える問題点

前の章で紹介した記事にある通り、7payは経営計画に基づき作られた構想の一部です。

そのための、ITシステムではあるものの、小売りが本業であるセブン&アイホールディングスにとっては経営計画の一部な訳です。

となると、IT人材を自社で抱え込まない限り、発注先のベンダーに詳しいことは任せざるを得ません。

ただし、これ程大きなシステムになると、先述の発注先も複数社にまたがり、かつ、その下にも多くの会社がぶら下がります。

今回の事件では、原因が未だ調査中です。

www.asahi.com

その理由として、先述の通り、関わる人が多すぎてシステムのどこを誰が作ったかわからないこと、知識のあるエンジニアが今回の問題点を事前に指摘できなかったことがあります。

これが、本当の問題点だと思っています。

前者に関しては、もしSIerに関しては丸投げてなく自社開発であれば、意思決定も責任の所在も明確にできるのではと思います。

今回のように記者会見後に叩かれることもなく。。

ただ後者はもう少し踏み込む必要がありそうです、なぜエンジニアがセキュリティ上の懸念を指摘できなかったか。


IT人材について

SIer において、知識のあるエンジニアはだんだん活躍しづらくなっているように思います。

先述の通り、何かあったら困る、管理層の絶対数が増えているため、エンジニアが手を動かす機会は奪われています。

また、働き方改革、予算削減、情報漏洩への懸念から、エンジニアが外に出る機会が奪われていることも事実です。

結果、SIerに属する本当の意味でのエンジニアは言いなりにならざるを得ず、設計の段階で気付きがあっても

  • それを理解できる上がいないから伝わらない

  • 伝えるための資料作りが必要

  • 実績を伝えるためのエビデンスも必要

  • 仮にそれらが揃っても、上の意思で決まった決定がすべて

こんな感じになってしまうのが関の山。

エンジニアにもプライベートがありますし、人間です。

知識のある管理職さえいれば、数秒で済む説明に対し、本来の何倍のも時間をかけて社内を説得するのに骨が折れてしまうのは当たり前ではないでしょうか。

優秀な人からインターネット系のベンチャーやユーザー企業に転職するケースも多いのはこんな背景もあるかと思います。


まとめ

僕自身、今回の事件をあまりネガティブに捉えないで欲しいと思っています。

最悪なのは、「キャッシュレス決済は怖いから使わない。」「新しいシステム開発はリスクだからもっと手順を複雑化しよう」などと後ろ向きに動くことです。

他国に目を向けると、あのFacebookですらバンバン個人情報を流出させますが、知らん顔ですぐに改善します。

そして、今では法定通貨建ての安全資産保有を裏付けできる暗号資産リブラも開発中です。

同じアジアでも、中国のBAT、マレーシアのGrabなんかはどんどん手を動かして技術を社会で実装し、改良を加えています。

時代は明らかに変化を求めており、たくさんの実証が行われています。

みんな世の中を良くしようと動いているからこそ、保身のためではなく、将来のためにみんなが動ける。 そういう日本の社会を作っていきたいですね。

APT10 の関与が疑われる電気通信事業者に対する諜報活動

今週の水曜日(現地時間の火曜日)に イスラエルのセキュリティベンダー CyberReason より日本を標的とした攻撃でもよく知られている APT10 に関する記事を公開しました。

※本記事は、当該記事に関して簡単にまとめたものです。詳細は元記事をご確認下さい。

www.cybereason.com

APT10 の概要は以下をご確認下さい。

https://www.fireeye.jp/current-threats/apt-groups.html#apt10

昨年 2018 年の末に、APT10 に関連する攻撃者2名が起訴されたことも話題になりました。

www.bloomberg.co.jp

本件に関しては、外務省および NISC(内閣サイバーセキュリティセンター)も注意喚起を出しています。

www.mofa.go.jp

https://www.nisc.go.jp/active/kokusai/pdf/press-1221.pdf

今月頭のブログ記事でも少々、APT10について触れましたが、それはアジアの国を標的としたものでした。

micro-keyword.hatenablog.com

それでは、今回の記事の要点を以下に記載します。

要点

  • 2019年の始め頃、数年間にわたり電気通信事業者を狙っている APT 攻撃がCyberreason により発見された

  • CyberReason の調査データに基づくと本攻撃は少なくとも2012年頃から確認されているとのこと

  • 攻撃の目的は、CDR(Call Detail Record)の情報を電気通信事業者から窃取すること

  • 攻撃グループによって、様々な個人情報を組み合わせて ID やパスワードを推測し、ADに侵入しようとする試みが観測されている

  • 攻撃に使われるツールや手法は中華系の攻撃グループによって過去に利用が確認されているもの

  • 一連の攻撃活動の中で攻撃が検知や防御されるとその手法は放置されるが、その後ツールや手法を変えて再度攻撃が行われていることを確認しているとのこと

  • 最悪のシナリオとしては、ネットワークへの侵入を達成しシステムの破壊行為を行うことで、電気通信インフラが全面停止してしまうことだと述べている

攻撃手法の遷移は以下の図に示されています。

https://lh3.googleusercontent.com/P_Ol4-OLtClbFoXdAMvFfm12T6QlHyye3_gBk0tmKTOFmzoWvrt7M4Sv0fR9ipE8O5ES0LVqNvJMCBfFXO-PE5rQDBESlUoCXnp1QpY_Y-53byhmil5O_-n2koYLvnNgYz4pKEJQ

  • 被害組織の特定に繋がり兼ねないためIoC 情報は公開されていない

  • 一方で、CyberReason は、世界中に存在している 25 の巨大電気通信事業者に攻撃の詳細情報を提供しているとのこと

攻撃に使われるツール

  • Web Shells

  • 偵察用ツール

    • Nbtscan が有効な NetBIOS のネームサーバを特定するのに使われている
    • Windows 標準の whoami や ipconfig、netstat なども利用されている
    • 同様にして、WMI や Powershell の利用も確認されているとのことです
  • RAT

    • PoisonIvy の利用
    • PlugX の利用

    これらは APT10 で利用されるツールとして有名です。

https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-poison-ivy.pdf

www.lac.co.jp

  • 認証情報の抽出ツール
    • Mimikatz の改編版
      • Mimikatz の詳細は以下のリンクをご参照ください

project.nikkeibp.co.jp

  • 感染活動の拡大ツール

    • WMI
    • PsExec
  • プロキシツール

    • hTran の改編版
    • hTran の詳細はこちら

jpcertcc.github.io

  • ファイル圧縮ツール(情報の持ち出し時に利用)
    • Winrar

まとめ

APT10 による諜報活動は長年にわたっており、日本にも大きな影響を与えています。

セキュリティ製品の売り文句にも使われやすいため、宣伝の記事が出ることも多いです。

ただ、確かに攻撃は続いているように見えますし、顕在化していない活動も多々あるように思います、

情報の真意はしっかり確認する必要がありますが、今後もおっていくべき標的がた攻撃グループだと思います。