secure」カテゴリーアーカイブ

アンダーグラウンド市場で販売される自動車の物理的ハッキング手法

アンダーグラウンド市場の性質を考慮すると、サイバー犯罪者は元より、通常の犯罪者までもがオンライン掲示板で情報を交換し、商品やサービスを販売していることは驚くべきことではありません。本記事では、アンダーグラウンド市場で確認された物理的犯罪に利用可能なツールについて解説します。

■人気商品:自動車改造ツール

アンダーグランドのオンライン掲示板を監視する中で、トレンドマイクロは、自動車に関連したツールを販売する多くの広告を確認しました。その1つに、自動車メーカーによる物理的なセキュリティの仕組みを回避し、センサーの情報に基づいてエンジンの動作を決定する「エンジン制御モジュール(Engine Control Module、ECM)」のファームウェアを更新したり再プログラミングしたりといった管理タスクの実行が可能だとするツールがありました。この広告は、ファームウェアの更新により、専用の鍵以外ではエンジンを始動できないようにする「イモビライザー」の回避を主な機能として宣伝していました。この不正モジュールの販売価格は、約450米ドル(2019年2月18日時点で約49,740円)でした。

図

図1:製品が有効に機能することを証明する動画

他にも、同じスレッド内で「ユニバーサル・イグニッション・キー」を含むいくつかの補助ツールが販売されていました。このユニバーサル・イグニッション・キーの販売価格は約75米ドル(2019年2月18日時点で約8,290円)でした。この補助ツールを使用すると、標準的なセキュリティや警報の仕組みを回避し、約1分で鍵を開けエンジンを始動することが可能です。事実上、自動車を盗難できるということです。販売されている鍵のタイプとして、リモコンタイプの「キーフォブ」と物理キーの両方が確認されています。キーフォブは、正規の信号に偽装することで扉を開錠し、車内に侵入することを可能とします。

これらのツールは、対象となる自動車に物理的に接触する必要がありますが、留意すべき点が2つあります。第一に、侵入経路となる脆弱性が存在する場合、理論上、同様の攻撃を遠隔から実行することが可能だということです。実際に、社内エンターテインメントシステムに脆弱性が存在する場合、車載機器ネットワークの通信規格「Controller Area Network(CAN)」に無線でアクセスできることが実証実験で示されています。第二に、ECMはエンジンを制御する「脳」の役割を担っているため、上述したツールに、2017年8月の記事で解説したようなCAN通信から車載機器を切断するような機能が含まれていた場合、そのような攻撃は人命を脅かすものになりかねません。サイバー犯罪者が、マルウェアを拡散する手段として、違法にコピーまたはクラックした有料ソフトウェアを利用することを踏まえると、彼らが同じような手口で車載ソフトウェアを悪用することも十分可能でしょう。Deere & Company(John Deere)製トラクターのユーザが、自身で修理や機能追加を行うためにウクライナ製の海賊版ファームウェアを利用していることが問題となった事例に見られるように、エンドユーザが自身で入手したバージョンを使って正規ファームウェアを更新したいと考える場合、サイバー犯罪者によって悪用される恐れがあります。

■サイバー犯罪と物理的な犯罪の相乗効果:自動車は理想的な標的?

ここまで見てきたように、サイバー犯罪と物理的な犯罪を組み合わせることでハイブリッド型の犯罪が可能になります。著名人を狙ったサイバー脅迫や、単に人命を脅かすサイバー脅迫のように、さまざまな目的のためのオンデマンド型攻撃サービスがその一例です。トレンドマイクロは、2015年に「Deep Web(ディープWeb)」におけるサイバー犯罪活動を詳しく調査したリサーチペーパーを公開し、暗殺を含むオンデマンド型犯罪サービス事例について解説しています。

自動車はサイバー犯罪と物理的な犯罪を組み合わせたハイブリッド型の犯罪にとって格好の攻撃対象です。製品のライフサイクルが比較的長く、ハードウェアやファームウェアを大規模に遠隔から更新する機能が限られているためです。脆弱性を修正する更新プログラムの配布やインストールがそれほど容易でない場合、脆弱な状態が続き、サイバー犯罪者にとって非常に明確な攻撃対象となります。自動車産業は、インターネットや無線通信ネットワークに接続する自動車「Connected Car(コネクテッドカー)」、さらには自動運転車の実現に向けて取り組んでいます。これを実現するには、より多くのセンサー、車両間の情報交換、「スマート」な道路、そして高度道路交通システム(Intelligent Transportation System、ITS)の全般的なインフラストラクチャが必要となり、それに応じて攻撃経路も拡大します。自動車産業は、「産業用IoT(Industrial Internet of Things、IIoT)」の世界に足を踏み入れています。そのような世界では、自動車に脆弱性が残っていた場合、攻撃者は遠隔からそれを悪用できる可能性があるということです。

図2の書き込みを投稿したユーザは、盗まれたまたは紛失したパスポート、取り付け型の車載警報システム、SIMカードのデータ復旧サービスなど、サイバーおよび物理的な多種多様なサービスを、アンダーグラウンドのさまざまなオンライン掲示板で提供しています。

図

図2:さまざまなサービスをアンダーグラウンドのオンライン掲示板で提供しているユーザの投稿

さらに、このユーザは、警報停止システムやガレージドア開閉装置などの製品やサービスに加えて、警察や緊急サービスの通信を傍受できるように改造した無線機も提供していました。警察無線の傍受自体は違法行為ではありませんが、今日の警察はしばしば無線通信をデジタル化および暗号化して傍受を困難にしています。上述した製品が、暗号化された警察の通信を復号できる可能性はありますが、これは司法管轄区域によっては違法です。このユーザは、「隣人を罰する方法(how to punish a neighbour)」と題したスレッドで、報酬を受け取って車を燃やすというサービスさえ販売していました。

図

図3:販売している製品の詳細について説明した投稿

■「物理的な犯罪」がカテゴリとして成立

今や多くのアンダーグラウンドのオンライン掲示板では、自動車関連の物理的犯罪に関する専用スレッドや独立したサブカテゴリが見られるようになっています。そこでは、偽造文書や、無線通信を解析してコマンドを窃取する「コードグラバー」のようなツールに加えて、信号を傍受して主要自動車メーカーのドアロックを解除する装置などが売買されています。

興味深いことに、このようなオンライン掲示板の販売者は、「自動車」という単語を使うことは稀で、通常、隠語で代替しています。これは警察や法執行機関に対して都合の悪い証拠を提供することを避けるためだと考えられます。使用されている隠語は、それが表す単語とはまったく関係のないものかもしれません。「Siberian Cheese」は、シベリアで盗まれたばかりの車を意味します。何も知らないユーザが読むと、どうしてアンダーグラウンドのオンライン掲示板でチーズが取引されているのか不思議に思うかもしれません。

■まとめ

近い将来、サイバー犯罪と物理的犯罪を組み合わせる方法を探究する攻撃者はさらに増加することでしょう。それに応じて、従来はサイバー犯罪のために利用されてきたアンダーグラウンド市場においても物理的犯罪サービスの増加が見られるはずです。

その理由は2つあります。まず1つは、サイバー犯罪集団は、ますます専門性を高めており、活動範囲と野心の両方で従来の組織的犯罪集団(Organized Crime Groups、OCG)に匹敵するまでになっていることです。多くのサイバー犯罪集団は、さらなる収入源を得るために物理的犯罪に活動範囲を拡大しています。一方で、従来の犯罪集団もサイバー犯罪における利益の可能性を認識しており、サイバー犯罪を扱うために独自の活動を立ち上げ始めています。

2つめは、「モノのインターネット(Internet of Things、IoT)」機器の継続的な増加により、サイバー空間と現実世界の区別が曖昧になり、従来の犯罪とサイバー犯罪の境界が無くなってきていることです。

参考記事:

翻訳: 益見 和宏(Core Technology Marketing, TrendLabs)

メルカリ、LINE、サイバーエージェントが語る。最強のセキュリティ組織 – mercan(メルカン)

メルカリ、LINE、サイバーエージェントが語る。最強のセキュリティ組織 - mercan(メルカン)

メルカリ、LINE、サイバーエージェントが語る。最強のセキュリティ組織 - mercan(メルカン)

お客さまが安心、安全にサービスを使えるようにする。メルカリグループにとって「セキュリティの高さ」は非常に重要なひとつのファクターです。セキュリティを高め、安心、安全を提供できてこそ、私たちもGo Bold(大胆)にアクションを起こせるというもの。 2017年11月、セキュリティチームを本格的に立ち上げ、セキュ...

はてなブックマーク - メルカリ、LINE、サイバーエージェントが語る。最強のセキュリティ組織 - mercan(メルカン) はてなブックマークに追加

コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張(弁護士ドットコム) – Yahoo!ニュース

コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張(弁護士ドットコム) - Yahoo!ニュース

コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張(弁護士ドットコム) - Yahoo!ニュース

自身のウェブサイト上に他人のパソコンのCPU(処理装置)を使って仮想通貨をマイニングする「Coinhive(コインハイブ)」を保管したなどとして、不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性(31)の論告求刑公判が2019年2月18日、横浜地裁(本間敏広裁判長)であった。検察側は罰金10万円を求刑した。 ...

はてなブックマーク - コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張(弁護士ドットコム) - Yahoo!ニュース はてなブックマークに追加

英国、ファーウェイ製品を使ってもリスク制御は可能と判断(FT報道) – Engadget 日本版

英国、ファーウェイ製品を使ってもリスク制御は可能と判断(FT報道) - Engadget 日本版

英国、ファーウェイ製品を使ってもリスク制御は可能と判断(FT報道) - Engadget 日本版

米国を中心に排除の動きが強まっているファーウェイ製品ですが、英国ではこれと真逆の「使用しても問題ない」との判断が下されたと英Finacial Timesが報じています。 米国では中国政府とHUAWEIの結びつきを指摘し、HUAWEIをはじめとする中国企業の製品を使うのは、中国政府の要請に応じて通信内容を傍受するなど、スパイ...

はてなブックマーク - 英国、ファーウェイ製品を使ってもリスク制御は可能と判断(FT報道) - Engadget 日本版 はてなブックマークに追加

コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張 – 弁護士ドットコム

コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張 - 弁護士ドットコム

コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張 - 弁護士ドットコム

自身のウェブサイト上に他人のパソコンのCPU(処理装置)を使って仮想通貨をマイニングする「Coinhive(コインハイブ)」を保管したなどとして、不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性(31)の論告求刑公判が2019年2月18日、横浜地裁(本間敏広裁判長)であった。検察側は罰金10万円を求刑した。 ...

はてなブックマーク - コインハイブ事件、男性に罰金10万円を求刑 弁護側は無罪主張 - 弁護士ドットコム はてなブックマークに追加

「Trickbot」がリモートデスクトップアプリの認証情報を窃取する機能を追加

トレンドマイクロは、2019年1月、「pwgrab」モジュールの追加によりリモートデスクトップアプリの認証情報を窃取する機能を備えた「Trickbot」の新しい亜種(「TrojanSpy.Win32.TRICKBOT.AZ」および「Trojan.Win32.MERETAM.AD」として検出)を確認しました。対象となるリモートデスクトップアプリは、「Virtual Network Computing(VNC)」、「PuTTY」、「Remote Desktop Protocol(RDP)」です。

Trickbotは元はシンプルなバンキングトロジャンでしたが、モジュールの追加により新しい機能を追加することで変化を続けてきたマルウェアです。最近では、2018年11月に、さまざまなアプリケーションやブラウザからパスワードを窃取する亜種が確認されています。

■攻撃の流れ

今回確認された攻撃は、メールに添付された不正なファイルを侵入経路としてPCにTrickbotをダウンロードし、実行します。Trickbotは、感染PCでリモートデスクトップアプリの認証情報を検索および収集し、コマンド&コントロール(C&C)サーバに送信します。

攻撃の流れ

図1:攻撃の流れ

■技術的な解析

メールに添付された不正なEXCELファイルによる拡散

今回確認されたTrickbotの亜種は、大手金融サービス企業から送信された税優遇措置に関する通知に偽装したメールによって拡散します。このメールにはマクロが有効化されたExcelファイル(拡張子:XLSM)(「Trojan.W97M.MERETAM.A」として検出)が添付されています。ユーザがこのファイルを開きマクロが実行されると、Trickbotがダウンロードされ実行されます。

マクロが有効化された不正なファイルが添付されたスパムメール

図2:マクロが有効化された不正なファイルが添付されたスパムメール

不正なマクロを含むEXCELファイル

図3:不正なマクロを含むEXCELファイル

追加された関数

この亜種はおおむね2018年11月に確認された亜種と類似していますが、リモートデスクトップアプリVNC、PuTTY、およびRDPから認証情報を窃取する3つの新しい関数が追加されています。

2018年11月に確認された亜種 2019年1月に確認された亜種

図4:Trickbotの「pwgrab」モジュールの比較
2018年11月に確認された亜種(左)
2019年1月に確認された亜種(右)

これらの新しい関数は、使用する文字列をXORまたは減算を用いて暗号化します。

XOR演算を利用するコード

減算を利用するコード

図5:文字列を暗号化するコード
XOR演算を利用するコード(上)
減算を利用するコード(下)

また、間接的にAPIを呼び出すためにAPI名のハッシュ値を利用します。この部分は明らかに2013年に流出した「Carberp」のソースコードに由来すると考えられます。

Carberpのソースコードに由来する、API名をハッシュ化するコード

図6:Carberpのソースコードに由来する、API名をハッシュ化するコード

「Virtual Network Computing(VNC)」の認証情報を窃取

VNCの認証情報を窃取するために、pwgrabモジュールは、以下のディレクトリから末尾が「.vnc.lnk」のファイルを検索します。窃取する情報には、端末のホスト名、ポート番号、プロキシ設定などが含まれます。

  • %APPDATA%\Microsoft\Windows\Recent
  • %USERPROFILE%\Documents
  • %USERPROFILE%\Downloads

「%USERPROFILE%\Downloads」ディレクトリで「*.vnc.lnk」を検索するコード

図7:「%USERPROFILE%\Downloads」ディレクトリで「*.vnc.lnk」を検索するコード

「PuTTY」の認証情報を窃取

PuTTYの認証情報を窃取するために、pwgrabモジュールは、保存された接続設定を特定するレジストリ値「Software\SimonTatham\Putty\Sessions」を必要とします。次に、このレジストリ値を利用してホスト名、ユーザ名、および認証に使用するプライベート鍵のファイルを窃取します。

レジストリ値を取得するコード

図8:レジストリ値を取得するコード

ホスト名、ユーザ名、およびプライベート鍵のファイルが確認できるコード

図9:ホスト名、ユーザ名、およびプライベート鍵のファイルが確認できるコード

RDPの認証情報を窃取

RDPの認証情報を窃取するために、このモジュールは「CredEnumerateA」関数を利用して認証情報を列挙し「target=TERMSRV」という条件でRDPの認証情報を特定します。これにより、保存されているホスト名、ユーザ名、およびパスワードを窃取します。

RDPの認証情報をC&Cサーバに送信するトラフィック

図10:RDPの認証情報をC&Cサーバに送信するトラフィック

窃取した情報をC&Cサーバに送信

窃取した情報はPOSTメソッドでC&Cサーバに送信します。感染PCから送信された情報を受け取るC&Cサーバの一覧は、「dpost」というファイル名の設定ファイルに含まれています。

窃取した情報はC&Cサーバに送信される

図11:窃取した情報はC&Cサーバに送信される

■被害に遭わないためには

Trickbotは、マルウェアの能力を向上させるためにサイバー犯罪者がとる「段階的な機能追加」という戦略の格好の例だと言えます。今回確認された亜種は機能の面で目新しい点はありませんが、背後にいる攻撃者が現状に満足することなく改良を続けているということを示しています。

ユーザは、メールを利用した脅威に対するベストプラクティスに従うことで、今回の脅威を未然に防ぐことが可能です。不審な送信元アドレスや本文に含まれる文法的な誤りなどがスパムメールの主な特徴です。加えて、信頼できる送信元からのものでない限り添付ファイルは開かないことも重要です。

■トレンドマイクロの対策

クロスジェネレーションで進化を続ける「XGen™ セキュリティ」に支えられた以下のソリューション/セキュリティ対策製品は、不正なドメインにアクセスするスクリプトをブロックすることにより、法人および個人を保護します。

■侵入の痕跡(Indicators of Compromise、IOCs)

Trickbot(「TrojanSpy.Win32.TRICKBOT.AZ」として検出)

  • 374ef83de2b254c4970b830bb93a1dd79955945d24b824a0b35636e14355fe05

Trickbot(「Trojan.Win32.MERETAM.AD」として検出

  • Fcfb911e57e71174a31eae79433f12c73f72b7e6d088f2f35125cfdf10d2e1af

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

PayPayはDarkWebに捕まった – Fox on Security

PayPayはDarkWebに捕まった - Fox on Security

PayPayはDarkWebに捕まった - Fox on Security

PayPayの100億円第2弾キャンペーンが始まっていますが、前回のキャンペーンに関連にて気になる海外記事が出ていました。DeepWeb&DarkWebを調査するGemini Advisoryによると2018年11月~12月にDarkWebに追加された日本のクレジットカード情報がPayPayに関係すると発表しました。 geminiadvisory.io Gemini Advisoryは、2...

はてなブックマーク - PayPayはDarkWebに捕まった - Fox on Security はてなブックマークに追加

顔認識技術が使用禁止に? サンフランシスコでの動きが改めて示す、その潜在的なリスク|WIRED.jp

顔認識技術が使用禁止に? サンフランシスコでの動きが改めて示す、その潜在的なリスク|WIRED.jp

顔認識技術が使用禁止に? サンフランシスコでの動きが改めて示す、その潜在的なリスク|WIRED.jp

PHOTO: BYCZESTUDIO/GETTY IMAGES テクノロジー業界に苦言を呈するひとりの地方議員がいる。もし彼の主張が通れば、サンフランシスコ市は米国の都市として初めて、顔認識技術の使用を禁止することになるかもしれない。 サンフランシスコ市監理委員会のメンバーであるアーロン・ペスキンは、市の監視体制強化に一連の規則...

はてなブックマーク - 顔認識技術が使用禁止に? サンフランシスコでの動きが改めて示す、その潜在的なリスク|WIRED.jp はてなブックマークに追加

GoogleのreCAPTCHAはどうやって人間とボットを見分けているのか? – GIGAZINE

GoogleのreCAPTCHAはどうやって人間とボットを見分けているのか? - GIGAZINE

GoogleのreCAPTCHAはどうやって人間とボットを見分けているのか? - GIGAZINE

Googleが開発を進めるウェブサイトの認証システム「reCAPTCHA」は、人間とボットを区別するためのシステムです。これまでの人間とボットを見分けるシステムの多くは歪んだ文字を読んで手入力したり、条件にふさわしい画像を複数選択したりといった作業で見分けられていましたが、こうしたテストはユーザーにとって非常に...

はてなブックマーク - GoogleのreCAPTCHAはどうやって人間とボットを見分けているのか? - GIGAZINE はてなブックマークに追加

急ごしらえの「サイバーセキュリティ協議会」、形骸化の懸念も | 日経 xTECH(クロステック)

急ごしらえの「サイバーセキュリティ協議会」、形骸化の懸念も | 日経 xTECH(クロステック)

急ごしらえの「サイバーセキュリティ協議会」、形骸化の懸念も | 日経 xTECH(クロステック)

国のサイバーセキュリティーに関する基本施策を定める改正サイバーセキュリティ基本法が2018年末の国会で可決・成立した。2019年4月にも施行される見通しだ。 国会審議の過程で、桜田義孝サイバーセキュリティ担当相が「自分でパソコンを使わない」などと答弁したことが物議を醸したが、内容はあまり話題にならなかった...

はてなブックマーク - 急ごしらえの「サイバーセキュリティ協議会」、形骸化の懸念も | 日経 xTECH(クロステック) はてなブックマークに追加

自衛隊サイバー隊員を急速養成 超一流の民間技術者がOJT – 産経ニュース

自衛隊サイバー隊員を急速養成 超一流の民間技術者がOJT - 産経ニュース

自衛隊サイバー隊員を急速養成 超一流の民間技術者がOJT - 産経ニュース

防衛省=東京都新宿区(川口良介撮影) 防衛省が自衛隊のサイバー防衛隊の隊員を急速に養成するため、民間の超一流技術者の技能を活用したOJT(オン・ザ・ジョブ・トレーニング=職場内訓練)の手法を導入することが17日、分かった。現行で110人態勢のサイバー防衛隊は中朝露の部隊に比べ桁違いで少なく、人材拡...

はてなブックマーク - 自衛隊サイバー隊員を急速養成 超一流の民間技術者がOJT - 産経ニュース はてなブックマークに追加

「クルーズ船で入国し失踪」外国人 初の年間100人超 九州で全体7割 – 毎日新聞

「クルーズ船で入国し失踪」外国人 初の年間100人超 九州で全体7割 - 毎日新聞

「クルーズ船で入国し失踪」外国人 初の年間100人超 九州で全体7割 - 毎日新聞

博多港に入港した大型クルーズ船から上陸する外国人観光客ら。国内で上陸後に姿を消すケースが増えている=福岡市博多区で2019年1月10日午前7時52分、宮原健太撮影(画像の一部を加工しています) 昨年クルーズ船で入国し失踪した外国人が106人に上り、年間の失踪者数が初めて100人を超えたことが、法務省入国管理局への...

はてなブックマーク - 「クルーズ船で入国し失踪」外国人 初の年間100人超 九州で全体7割 - 毎日新聞 はてなブックマークに追加

誰が叱るんですか?(^O^) – アルツハイマーとともに〜おママの貼り絵日記〜

誰が叱るんですか?(^O^) - アルツハイマーとともに〜おママの貼り絵日記〜

誰が叱るんですか?(^O^) - アルツハイマーとともに〜おママの貼り絵日記〜

(2018年12月28日 アルツハイマー型認知症の診断から約11年10ヶ月) *それなりに試みる 大概、昼御飯が出来上がる頃、おママは落ち着きがありません。 おママはダイニングテーブルの上を片付けようと試みたり、 「どのお皿にするのかしら」と食器棚から出してみたりします。 でも、出してくれた皿は小さす...

はてなブックマーク - 誰が叱るんですか?(^O^) - アルツハイマーとともに〜おママの貼り絵日記〜 はてなブックマークに追加

SoftEtherを知る – Qiita

SoftEtherを知る - Qiita

SoftEtherを知る - Qiita

登 大遊が開発したSoftEther ネットワークの利用においてEthernetの拡張は重要な技術課題であった。 SoftEtherが開発された当時、類似の概念をいろいろ検討していて、 ソースコードで出てしまったことに衝撃を覚えた。 日本からこんなすばらしいソフトウェアが発信されたことを誇りに思っている。 自分が先に作れなかっ...

はてなブックマーク - SoftEtherを知る - Qiita はてなブックマークに追加

恋に恋する男子を地獄に突き落とすかのような急転直下の無慈悲すぎるムービーが話題に – GIGAZINE

恋に恋する男子を地獄に突き落とすかのような急転直下の無慈悲すぎるムービーが話題に - GIGAZINE

恋に恋する男子を地獄に突き落とすかのような急転直下の無慈悲すぎるムービーが話題に - GIGAZINE

若い男女のキラキラした恋愛模様を軽快なリズムに乗せてお届け……と思いきや、恋に恋する男性の夢を打ち砕くかのような急転直下の展開に胸を締め付けられるムービーが公開されており、話題となっています。 ヴィッキー・おすし(@osushi_haochi)さん | Twitter https://twitter.com/osushi_haochi 「彼女の存在をそれまで...

はてなブックマーク - 恋に恋する男子を地獄に突き落とすかのような急転直下の無慈悲すぎるムービーが話題に - GIGAZINE はてなブックマークに追加

これからドンドン使われていくSNIについて – catatsuy – Medium

これからドンドン使われていくSNIについて – catatsuy – Medium

これからドンドン使われていくSNIについて – catatsuy – Medium

SNIとは元々SSL通信は1つのIPアドレスに対して、1つの証明書が前提になっていました。というのもSSLでは暗号化されているため、1つのIPアドレスに対して複数の証明書を持っていた場合、リクエストが来たときにどの証明書を使えばいいか判断できないからです。 しかしこれだとどう考えてもつらいことが分かります。昨今の...

はてなブックマーク - これからドンドン使われていくSNIについて – catatsuy – Medium はてなブックマークに追加

政府によるインターネットの検閲とSNIについて – catatsuy – Medium

政府によるインターネットの検閲とSNIについて – catatsuy – Medium

政府によるインターネットの検閲とSNIについて – catatsuy – Medium

韓国政府により韓国国内ではSNIを利用して、政府が有害サイトと認定したサイトへの接続が制限されるようになりました。 私は以前にSNIに関する記事を書いており、普通の人よりはSNIという技術に関して詳しいと思います。Web技術に関する仕事をしている1人の人間として、今回SNIを悪用する形で政府により個人のプライバシ...

はてなブックマーク - 政府によるインターネットの検閲とSNIについて – catatsuy – Medium はてなブックマークに追加

政府によるインターネットの検閲とSNIについて – catatsuy – Medium

政府によるインターネットの検閲とSNIについて – catatsuy – Medium

政府によるインターネットの検閲とSNIについて – catatsuy – Medium

韓国政府により韓国国内ではSNIを利用して、政府が有害サイトと認定したサイトへの接続が制限されるようになりました。 私は以前にSNIに関する記事を書いており、普通の人よりはSNIという技術に関して詳しいと思います。Web技術に関する仕事をしている1人の人間として、今回SNIを悪用する形で政府により個人のプライバシ...

はてなブックマーク - 政府によるインターネットの検閲とSNIについて – catatsuy – Medium はてなブックマークに追加

【悲報】Windows 10ストアアプリの安全神話が崩壊 | ソフトアンテナブログ

【悲報】Windows 10ストアアプリの安全神話が崩壊 | ソフトアンテナブログ

【悲報】Windows 10ストアアプリの安全神話が崩壊 | ソフトアンテナブログ

Symantecは2月15日、「Several Cryptojacking Apps Found on Microsoft Store」と題したブログ記事を公開し、Microsoft Store上で1月に、仮想通貨のマイニングを不正に行う8つのアプリを発見したことを発表しました(MSPoweruser)。 発見されたアプリのタイトルは、「Fast-search Lite」「Battery Optimizer (Tutorials)...

はてなブックマーク - 【悲報】Windows 10ストアアプリの安全神話が崩壊 | ソフトアンテナブログ はてなブックマークに追加

Chromeに保存されたパスワード「****」を確認する2つの方法 – あなたのスイッチを押すブログ

Chromeに保存されたパスワード「****」を確認する2つの方法 – あなたのスイッチを押すブログ

Chromeに保存されたパスワード「****」を確認する2つの方法 – あなたのスイッチを押すブログ

ウェブサービスなどにログインするときに使うパスワード。これは基本的に、他人に見られて流用・悪用されないように「****」と、表示は伏せられる。 しかしときには、この伏せられた「****」の中身を確認したいときもある。そんなときに使える便利なChrome拡張機能「Reveal」と、正規にパスワードを確認する方法をご紹介...

はてなブックマーク - Chromeに保存されたパスワード「****」を確認する2つの方法 – あなたのスイッチを押すブログ はてなブックマークに追加

Google曰く、昨年Google Playで登録申請を却下したアプリは前年比55%増

Googleによれば、昨年Google Playストアへ登録申請があったアプリのうち、却下したアプリの数は前年よりも55%以上多かったそうだ(Android Developers Blogの記事VentureBeatの記事SlashGearの記事Softpediaの記事)。

現在もGoogle Playでのマルウェアを含むアプリの発見はたびたび報じられるが、昨年Googleでは新たな不正の手口からユーザーを守るほか、悪意ある開発者を発見・排除し、ストアで悪意あるアプリの増加を防ぐための新たなポリシーを導入したという。

その結果、却下したアプリが前年比55%以上増加したのに加え、公開停止したアプリも前年比66%以上増加したとのこと。さらに、Google Play Protectが毎日500億本以上のアプリをスキャンしており、Google Playで入手したアプリは他の場所で入手したアプリよりもユーザーを害する可能性が8分の1以下になっているとのこと。

2019年は不正行為で排除された開発者が別アカウントで再参入することを防ぐ技術の強化や、不正アプリを検出する技術の強化などを行うほか、ユーザーのプライバシーを保護するため、新たなポリシーの追加も行っていくとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | ソフトウェア | Android | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
Google Playで発見されるマルウェア、インストール件数は水増しされている? 2018年11月25日
Google、オフラインで共有したAndroidアプリを安全にインストールする機能のベータ提供を開始 2018年10月22日
Google Play、Fortniteの検索結果に警告を表示 2018年08月12日
Google Playで公開されるアプリのAPKファイル、セキュリティ関連メタデータの追加が始まる 2018年06月23日
検出能力の低いセキュリティアプリが多数のマルウェアを検出できる理由とは? 2018年04月01日
Google Playから2017年に削除された不正アプリは70万本以上 2018年02月03日
子供向けアプリを装ってアダルト広告を表示するマルウェア、Google Playで60本以上見つかる 2018年01月14日
Androidのセキュリティ、Google Playプロテクトのマルウェア検出性能は不十分? 2017年10月29日
Google Playでマルウェアが含まれたアプリが多数見つかる、アプリのアップデート時にマルウェアが組み込まれる仕組み 2017年08月16日
Google Playでゲーム攻略アプリに偽装したマルウェアが公開される。200万台以上が被害に? 2017年05月03日
開発に使われたPCがウイルスに感染していたためにウイルスが混入したと見られるAndroidアプリ、多数見つかる 2017年03月08日

SVGファイルでマルウェア感染? – ごった日記

SVGファイルでマルウェア感染? - ごった日記

SVGファイルでマルウェア感染? - ごった日記

「Nemucodダウンローダ、Facebookで拡散中」 https://bartblaze.blogspot.jp/2016/11/nemucod-downloader-spreading-via.html Facebook上でSVGファイルが拡張子フィルタの適用外になっていて、クラッカーたちが特殊なものを送り、うっかりクリックした人をマルウェアの餌食にしていたようです。 SVGはベクタ画像フォーマ...

はてなブックマーク - SVGファイルでマルウェア感染? - ごった日記 はてなブックマークに追加

「****」でマスクされているパスワードの中身を見せてくれるChrome拡張「Reveal」 – GIGAZINE

「****」でマスクされているパスワードの中身を見せてくれるChrome拡張「Reveal」 - GIGAZINE

「****」でマスクされているパスワードの中身を見せてくれるChrome拡張「Reveal」 - GIGAZINE

ネットサービスで使うIDとパスワードをウェブブラウザに記録させておくと、ログイン時に自分で入力しなくても自動補完してくれるので楽ですが、手動で再入力を求められると困ってしまうもの。Chromeであれば設定の中に「パスワード」の項目があって保存しているパスワードを見られますが、保存数が多いとそれを探すのも...

はてなブックマーク - 「****」でマスクされているパスワードの中身を見せてくれるChrome拡張「Reveal」 - GIGAZINE はてなブックマークに追加

アレントが警鐘を鳴らした『人間の条件』の現代的意義を探る旅──『トランスヒューマニズム──人間強化の欲望から不死の夢まで』池田純一書評連載|WIRED.jp

アレントが警鐘を鳴らした『人間の条件』の現代的意義を探る旅──『トランスヒューマニズム──人間強化の欲望から不死の夢まで』池田純一書評連載|WIRED.jp

アレントが警鐘を鳴らした『人間の条件』の現代的意義を探る旅──『トランスヒューマニズム──人間強化の欲望から不死の夢まで』池田純一書評連載|WIRED.jp

第20回 アレントが警鐘を鳴らした 『人間の条件』の現代的意義を探る旅 マーク・オコネル 『トランスヒューマニズム──人間強化の欲望から不死の夢まで』 最先端のテクノロジーを駆使して身体的能力の強化・拡張を行ない、ついには不死の実現を目指すラディカルな思想「トランスヒューマニズム」。その中心地といえるシリ...

はてなブックマーク - アレントが警鐘を鳴らした『人間の条件』の現代的意義を探る旅──『トランスヒューマニズム──人間強化の欲望から不死の夢まで』池田純一書評連載|WIRED.jp はてなブックマークに追加

中小企業狙ったサイバー攻撃深刻化 知らぬ間に情報流出も | NHKニュース

中小企業狙ったサイバー攻撃深刻化 知らぬ間に情報流出も | NHKニュース

中小企業狙ったサイバー攻撃深刻化 知らぬ間に情報流出も | NHKニュース

中小企業を狙ったサイバー攻撃の深刻な実態が明らかになりました。大阪商工会議所と神戸大学などが調べたところ、調査対象のすべての企業が攻撃にさらされ、知らぬ間に情報流出などの被害が出ていたケースもあり、専門家は早急な対応が必要だと指摘しています。 グループでは、大阪府内の製造業や小売業など中小企業30社...

はてなブックマーク - 中小企業狙ったサイバー攻撃深刻化 知らぬ間に情報流出も | NHKニュース はてなブックマークに追加

はてなブックマーク – 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) – ねとらぼ

はてなブックマーク - 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

はてなブックマーク - 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

政治と経済 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

はてなブックマーク - はてなブックマーク - 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) - ねとらぼ はてなブックマークに追加

某難関国立大出身の男性が『インドの貧困が見たい』と言ってインドに入国したら、身を持って『貧困』を体験する事になってしまった話 – Togetter

某難関国立大出身の男性が『インドの貧困が見たい』と言ってインドに入国したら、身を持って『貧困』を体験する事になってしまった話 - Togetter

某難関国立大出身の男性が『インドの貧困が見たい』と言ってインドに入国したら、身を持って『貧困』を体験する事になってしまった話 - Togetter

今アメリカで中学生が1人旅して緊急帰国って話でタイムラインすごいけどわたしの話もさせて。会社で働いていた日本人の男の子(某難関国立大出身)の友達がインドに遊びにきたの。その人はインドの貧困を見たいと言ってデリーから入国してアグラハリドワールコルカタを経由して韓国へ行く予定だった→続

はてなブックマーク - 某難関国立大出身の男性が『インドの貧困が見たい』と言ってインドに入国したら、身を持って『貧困』を体験する事になってしまった話 - Togetter はてなブックマークに追加

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) – ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」――自身のサイトに「Coinhive(コインハイブ)」を設置したとして検挙されたWebデザイナーを、神奈川県警の捜査員がどう喝している取り調べ音声データを入手。当事者とその弁護士に検挙の問題点を聞きました。 事件のあらまし サイト訪問者のPCを使ってWebブラウザ上で...

はてなブックマーク - 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ はてなブックマークに追加

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) – ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」――自身のサイトに「Coinhive(コインハイブ)」を設置したとして検挙されたWebデザイナーを、神奈川県警の捜査員がどう喝している取り調べ音声データを入手。当事者とその弁護士に検挙の問題点を聞きました。 事件のあらまし サイト訪問者のPCを使ってWebブラウザ上で...

はてなブックマーク - 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ はてなブックマークに追加

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) – ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」――自身のサイトに「Coinhive(コインハイブ)」を設置したとして検挙されたWebデザイナーを、神奈川県警の捜査員がどう喝している取り調べ音声データを入手。当事者とその弁護士に検挙の問題点を聞きました。 事件のあらまし サイト訪問者のPCを使ってWebブラウザ上で...

はてなブックマーク - 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ はてなブックマークに追加

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) – ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」――自身のサイトに「Coinhive(コインハイブ)」を設置したとして検挙されたWebデザイナーを、神奈川県警の捜査員がどう喝している取り調べ音声データを入手。当事者とその弁護士に検挙の問題点を聞きました。 事件のあらまし サイト訪問者のPCを使ってWebブラウザ上で...

はてなブックマーク - 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、 #神奈川県警 がすごむ取り調べ音声を入手 (1/3) - ねとらぼ はてなブックマークに追加

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) – ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ

「お前やってることは法律に引っかかってんだよ!」――自身のサイトに「Coinhive(コインハイブ)」を設置したとして検挙されたWebデザイナーを、神奈川県警の捜査員がどう喝している取り調べ音声データを入手。当事者とその弁護士に検挙の問題点を聞きました。 事件のあらまし サイト訪問者のPCを使ってWebブラウザ上で...

はてなブックマーク - 「お前やってることは法律に引っかかってんだよ!」 コインハイブ事件、神奈川県警がすごむ取り調べ音声を入手 (1/3) - ねとらぼ はてなブックマークに追加

究極の迷惑行為?:ブロックチェーン上に消せない児童ポルノ(栗原潔) – 個人 – Yahoo!ニュース

究極の迷惑行為?:ブロックチェーン上に消せない児童ポルノ(栗原潔) - 個人 - Yahoo!ニュース

究極の迷惑行為?:ブロックチェーン上に消せない児童ポルノ(栗原潔) - 個人 - Yahoo!ニュース

(パブリック)ブロックチェーンの特性は、1. 改竄が不可能(著しく困難)な履歴の保存、2.特定の管理者なしに非中央集権型で動く、3. 一度動き出したら止められない、という点にまとめられます。特定の企業や政府機関に依存しないように暗号通貨を運営していくためには、これらの特性はきわめて有用です。 しかし、(...

はてなブックマーク - 究極の迷惑行為?:ブロックチェーン上に消せない児童ポルノ(栗原潔) - 個人 - Yahoo!ニュース はてなブックマークに追加

Trusted Types help prevent Cross-Site Scripting  |  Web  |  Google Developers

Trusted Types help prevent Cross-Site Scripting  |  Web  |  Google Developers

Trusted Types help prevent Cross-Site Scripting  |  Web  |  Google Developers

Missed the action at the 2018 Chrome Dev Summit? Catch up with our playlist on the Google Chrome Developers channel on YouTube. Watch now. Cross-Site Scripting Cross-Site Scripting (XSS) is the most prevalent vulnerability affecting web applications. We see this reflected both in our own data, an...

はてなブックマーク - Trusted Types help prevent Cross-Site Scripting  |  Web  |  Google Developers はてなブックマークに追加

桜ういろうログ: 【杉田水脈】ツイッターで個人情報拡散、削除後も無反省

桜ういろうログ: 【杉田水脈】ツイッターで個人情報拡散、削除後も無反省

桜ういろうログ: 【杉田水脈】ツイッターで個人情報拡散、削除後も無反省

自民党の杉田水脈衆議院議員(比例中国ブロック)が14日夜、一般人の氏名や住所などが記載された署名簿の写真を無断でツイッターに投稿し、これを読んだ人々から批判が殺到する騒動がありました。 杉田氏は15日朝、一連の投稿を削除しましたが、公人として「被害者」に対する謝罪もなく情報漏洩に至った経緯の説明もして...

はてなブックマーク - 桜ういろうログ: 【杉田水脈】ツイッターで個人情報拡散、削除後も無反省 はてなブックマークに追加

8文字のWindowsパスワードはわずか2時間半で突破可能と判明 – GIGAZINE

8文字のWindowsパスワードはわずか2時間半で突破可能と判明 - GIGAZINE

8文字のWindowsパスワードはわずか2時間半で突破可能と判明 - GIGAZINE

by Brian Klug セキュリティに関する研究を行っているハッカーのTinker氏は、NVIDIAの最新GPUであるGeForce RTX 2080 Tiとオープンソースのパスワードクラッキングツールである「hashcat」を組み合わせることで、8文字のWindowsパスワードをわずか2時間半で突破できると報告しています。 Use an 8-char Windows NTLM pas...

はてなブックマーク - 8文字のWindowsパスワードはわずか2時間半で突破可能と判明 - GIGAZINE はてなブックマークに追加

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

権利者の許可なくインターネットに上げられている漫画や論文などのコンテンツのダウンロードを全面的に違法とする著作権法改正で、文化庁は刑事罰の対象範囲を、常習的に行った場合などに絞り込む素案を作った。著作権侵害物ではないと誤って判断した場合は違法でないことも明記している。15日の自民党文部科学部会に...

はてなブックマーク - 海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル はてなブックマークに追加

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

権利者の許可なくインターネットに上げられている漫画や論文などのコンテンツのダウンロードを全面的に違法とする著作権法改正で、文化庁は刑事罰の対象範囲を、常習的に行った場合などに絞り込む素案を作った。著作権侵害物ではないと誤って判断した場合は違法でないことも明記している。15日の自民党文部科学部会に...

はてなブックマーク - 海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル はてなブックマークに追加

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル

権利者の許可なくインターネットに上げられている漫画や論文などのコンテンツのダウンロードを全面的に違法とする著作権法改正で、文化庁は刑事罰の対象範囲を、常習的に行った場合などに絞り込む素案を作った。著作権侵害物ではないと誤って判断した場合は違法でないことも明記している。15日の自民党文部科学部会に...

はてなブックマーク - 海賊版ダウンロードの刑事罰、常習性が要件 文化庁素案:朝日新聞デジタル はてなブックマークに追加

AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead | Amazon Web Services ブログ

AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead | Amazon Web Services ブログ

AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead | Amazon Web Services ブログ

Amazon Web Services ブログ AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead 東京で開催されるイベント Solution Days を後に控え、当イベントに登壇予定の AWS 社員へインタビューを行いました。経歴や現在取り組んでいる事項についてご紹介いたします。 (※取材当時の記事となります。本年度の Solu...

はてなブックマーク - AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead | Amazon Web Services ブログ はてなブックマークに追加

フェイスブック、「脅威」となるユーザーを特定しリスト化 位置情報追跡も(AFP=時事) – Yahoo!ニュース

フェイスブック、「脅威」となるユーザーを特定しリスト化 位置情報追跡も(AFP=時事) - Yahoo!ニュース

フェイスブック、「脅威」となるユーザーを特定しリスト化 位置情報追跡も(AFP=時事) - Yahoo!ニュース

【AFP=時事】米フェイスブック(Facebook)は14日、同社や同社従業員への脅威となるユーザーをフェイスブック上で特定し、個人情報を集めていることを認めた。これに先立ち、米メディアが元従業員の証言として報じていた。 米ニュース専門放送局CNBCは、フェイスブックでセキュリティーを担当していた元従業員十数人を...

はてなブックマーク - フェイスブック、「脅威」となるユーザーを特定しリスト化 位置情報追跡も(AFP=時事) - Yahoo!ニュース はてなブックマークに追加

東海道新幹線などで券売機使えず、前夜のシステム改修が原因か | 日経 xTECH(クロステック)

東海道新幹線などで券売機使えず、前夜のシステム改修が原因か | 日経 xTECH(クロステック)

東海道新幹線などで券売機使えず、前夜のシステム改修が原因か | 日経 xTECH(クロステック)

JR東海によると、マルスにつながる「指定席券売機」の一部で、新幹線の自由席特急券のみを往復で購入しようとすると、処理の途中で券売機が停止したという。「指定席券売機で往復分の購入操作をできないように設定を変更し、券売機の稼働を順次再開している」(JR東海)。JR東海はマルスを管理する鉄道情報システムに原...

はてなブックマーク - 東海道新幹線などで券売機使えず、前夜のシステム改修が原因か | 日経 xTECH(クロステック) はてなブックマークに追加

総務省のIoT機器調査は「監視社会」の始まりか–議論が起きた理由 – ZDNet Japan

総務省のIoT機器調査は「監視社会」の始まりか--議論が起きた理由 - ZDNet Japan

総務省のIoT機器調査は「監視社会」の始まりか--議論が起きた理由 - ZDNet Japan

本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。 政府がサイバー攻撃対策の一環として、国内のIoT機器に対して簡単なパスワード(脆弱なパスワード)が用いられていないかを調査し、ユー...

はてなブックマーク - 総務省のIoT機器調査は「監視社会」の始まりか--議論が起きた理由 - ZDNet Japan はてなブックマークに追加

【セキュリティ ニュース】ウェブで「IPAフォントが見つからない」と偽警告 – マルウェア感染狙う手口(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】ウェブで「IPAフォントが見つからない」と偽警告 - マルウェア感染狙う手口(1ページ目 / 全1ページ):Security NEXT

【セキュリティ ニュース】ウェブで「IPAフォントが見つからない」と偽警告 - マルウェア感染狙う手口(1ページ目 / 全1ページ):Security NEXT

ウェブサイトの表示にあたり、フォントが不足しているなどとだまし、マルウェアを感染させるケースが確認されている。改ざんされた正規サイトで表示されるケースもあり注意が必要だ。 「不足しているフォント」などと偽の警告を発するよう正規サイトが改ざんされる手口を情報処理推進機構(IPA)が確認したもの。 問題の...

はてなブックマーク - 【セキュリティ ニュース】ウェブで「IPAフォントが見つからない」と偽警告 - マルウェア感染狙う手口(1ページ目 / 全1ページ):Security NEXT はてなブックマークに追加

時代を飾った12のパスワード(後) – 時代を飾った12のパスワード:CIO Magazine

時代を飾った12のパスワード(後) - 時代を飾った12のパスワード:CIO Magazine

時代を飾った12のパスワード(後) - 時代を飾った12のパスワード:CIO Magazine

現代人は膨大な数のパスワードを使っている。端末のロック解除、ネットバンキングへのアクセス、Netflixの動画視聴など、日常生活のあらゆる場面で、好むと好まざるとにかかわらず、パスワードの入力を余儀なくされる。パスワードの利用がここまで普及したのは、コンピューターとインターネットによるものだが、合言葉の...

はてなブックマーク - 時代を飾った12のパスワード(後) - 時代を飾った12のパスワード:CIO Magazine はてなブックマークに追加

runc脆弱性でEC2、ECS(EC2/Fargate)の対応をやってみる | DevelopersIO

runc脆弱性でEC2、ECS(EC2/Fargate)の対応をやってみる | DevelopersIO

runc脆弱性でEC2、ECS(EC2/Fargate)の対応をやってみる | DevelopersIO

こんにちわ、札幌のヨシエです。 先日朝起きてからFacebookを見ると、とあるセキュリティ関連を対応している人のPostでRunCの脆弱性を知りました。 既にAWSでは対応が開始されているため、ユーザーが出来る対応方法を纏めます。 どういった脆弱性なのか? Docker内部で利用されているruncにて脆弱性が発見されました。 ...

はてなブックマーク - runc脆弱性でEC2、ECS(EC2/Fargate)の対応をやってみる | DevelopersIO はてなブックマークに追加

「ブルーカード」情報が県警に 令状なしで住所・買い物履歴など | 信濃毎日新聞[信毎web]

「ブルーカード」情報が県警に 令状なしで住所・買い物履歴など | 信濃毎日新聞[信毎web]

「ブルーカード」情報が県警に 令状なしで住所・買い物履歴など | 信濃毎日新聞[信毎web]

約100万人が会員登録し、県内約500の加盟小売店で使える共通ポイントカード「ブルーカード」を運営する信州コミュニケーションズ(長野市)が、会員の住所や電話番号、買い物履歴といった情報を、裁判所の令状なしに長野県警などに提供していることが13日、分かった。捜査当局の内部手続き「捜査関係事項照会」...

はてなブックマーク - 「ブルーカード」情報が県警に 令状なしで住所・買い物履歴など | 信濃毎日新聞[信毎web] はてなブックマークに追加

不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2):「検索コマンドを実行したら約5万回のアラートが流れて大変だった」 – @IT

不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2):「検索コマンドを実行したら約5万回のアラートが流れて大変だった」 - @IT

不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2):「検索コマンドを実行したら約5万回のアラートが流れて大変だった」 - @IT

「検索コマンドを実行したら約5万回のアラートが流れて大変だった」:不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2) ホスティングサービスなどを提供するGMOペパボは、セキュリティインシデントを教訓に、OSSのセキュリティ監査基盤「Wazuh」を...

はてなブックマーク - 不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2):「検索コマンドを実行したら約5万回のアラートが流れて大変だった」 - @IT はてなブックマークに追加

不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2):「検索コマンドを実行したら約5万回のアラートが流れて大変だった」 – @IT

不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2):「検索コマンドを実行したら約5万回のアラートが流れて大変だった」 - @IT

不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2):「検索コマンドを実行したら約5万回のアラートが流れて大変だった」 - @IT

「検索コマンドを実行したら約5万回のアラートが流れて大変だった」:不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2) ホスティングサービスなどを提供するGMOペパボは、セキュリティインシデントを教訓に、OSSのセキュリティ監査基盤「Wazuh」を...

はてなブックマーク - 不正アクセスを教訓に GMOペパボが500台超のサーバに導入したオープンソースのセキュリティ監査基盤「Wazuh」とは (1/2):「検索コマンドを実行したら約5万回のアラートが流れて大変だった」 - @IT はてなブックマークに追加

無料で画像に秘密のメッセージを隠したりテキストやファイルを暗号化可能な「Secret Messager」 – GIGAZINE

無料で画像に秘密のメッセージを隠したりテキストやファイルを暗号化可能な「Secret Messager」 - GIGAZINE

無料で画像に秘密のメッセージを隠したりテキストやファイルを暗号化可能な「Secret Messager」 - GIGAZINE

「Secret Messager」は文章やファイルを暗号化したり元に戻したりするだけではなく、画像に文章を暗号化して隠したり、画像に隠した文章を取り出したりまで可能なフリーソフトです。 Software - Free online tool to encrypt messages with AES 256 http://secretmessages.online/Home/Software Secret Messagerを使うに...

はてなブックマーク - 無料で画像に秘密のメッセージを隠したりテキストやファイルを暗号化可能な「Secret Messager」 - GIGAZINE はてなブックマークに追加

「Google Play」申請却下のアプリは55%増、公開停止は66%増 Googleが対策の成果を説明 – ITmedia エンタープライズ

「Google Play」申請却下のアプリは55%増、公開停止は66%増 Googleが対策の成果を説明 - ITmedia エンタープライズ

「Google Play」申請却下のアプリは55%増、公開停止は66%増 Googleが対策の成果を説明 - ITmedia エンタープライズ

悪質なアプリが審査をすり抜けて紛れ込む事案が後を絶たないGoogleの公式アプリストア「Google Play」。米Googleは2月13日、そうした不正アプリを阻止する対策を強化した結果、Google Playに提出されながら承認されなかったアプリの数は55%増え、公開が停止されたアプリは66%以上増えたと報告した。 GoogleではGoogle ...

はてなブックマーク - 「Google Play」申請却下のアプリは55%増、公開停止は66%増 Googleが対策の成果を説明 - ITmedia エンタープライズ はてなブックマークに追加

JALマイレージ 不正アクセス事案についてまとめてみた – piyolog

JALマイレージ 不正アクセス事案についてまとめてみた - piyolog

JALマイレージ 不正アクセス事案についてまとめてみた - piyolog

2019年2月14日、JALが提供するマイレージサービスで他人のマイルを不正利用し、電気製品をだまし取ったとして男が逮捕されました。マイルはPontaに交換されており、マイレージサイト(JMB)が不正アクセスを受けていたことに起因します。ここでは関連する情報をまとめます。 インシデントタイムライン 日時 出来事 2018...

はてなブックマーク - JALマイレージ 不正アクセス事案についてまとめてみた - piyolog はてなブックマークに追加

Xiaomiの人気電動スクーターに対し、簡単に外部から無線で操作できるとの指摘

taraiok曰く、

米セキュリティ企業Zimperium社は、Xiaomi製の人気電動スクーター「M365」に大きなバグを発見した。このバグを悪用するとスクーターを遠隔操作で乗っ取ることが可能だという。攻撃が成功した場合、スクーターの加速や停止などの制御が外部から行えるとしている(WIREDSlashdot)。

Zimperium社のRani Idan氏によると、M365にはスクーターとスマートフォンアプリ間で通信するためにBluetoothモジュールが搭載されている。しかし、パスワードなどによる認証の仕組みがなく、さらにファームウェアに関してもメーカー公式のものかどうかをチェックする機能が無く、外部製のファームウェアに入れ替えできると説明している。これを悪用すれば意図的に事故を起こしたり、交通渋滞を引き起こすこともできるとしている。

すべて読む | セキュリティセクション | セキュリティ | 交通 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
人気IoT製品の3割以上がコンパニオンアプリとの通信を暗号化していないという調査結果 2019年02月09日
EU当局、位置情報などを暗号化せずにサーバー送信していたとして子供向けスマートウォッチの回収を指示 2019年02月09日
多くのIoT機器はセキュリティ対策が不十分 2019年02月07日
米国でテスト中のインテリジェント信号システム、1台の車が偽造データを送信するだけで渋滞を引き起こせる 2018年03月14日
運転中の自動車をハックするデモ、計器の表示異常やブレーキ、各種設備への介入が可能? 2017年07月11日

2月20日から始まる、総務省とNICTによる大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました – トリコロールな猫/セキュリティ

2月20日から始まる、総務省とNICTによる大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました - トリコロールな猫/セキュリティ

2月20日から始まる、総務省とNICTによる大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました - トリコロールな猫/セキュリティ

2月20日から始まる、総務省と国立研究開発法人情報通信研究機構 (以下 NICT) による大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました。 本件、いろんなところで記事になっていますが、このエントリは公的機関とNICTが公開している情報のみ参照して書いています。 まずはどういった検査を行うのかと...

はてなブックマーク - 2月20日から始まる、総務省とNICTによる大規模なIoT機器調査と注意喚起「NOTICE」について調べて書いてみました - トリコロールな猫/セキュリティ はてなブックマークに追加

Fearless Security: Thread Safety – Mozilla Hacks – the Web developer blog

Fearless Security: Thread Safety - Mozilla Hacks - the Web developer blog

Fearless Security: Thread Safety - Mozilla Hacks - the Web developer blog

In Part 2 of my three-part Fearless Security series, I’ll explore thread safety. Today’s applications are multi-threaded—instead of sequentially completing tasks, a program uses threads to perform multiple tasks simultaneously. We all use concurrency and parallelism every day: Web sites serve mul...

はてなブックマーク - Fearless Security: Thread Safety - Mozilla Hacks - the Web developer blog はてなブックマークに追加

Apple Developer Programが2/27から2ファクタ認証必須になる件 – backyard of 伊勢的新常識

Apple Developer Programが2/27から2ファクタ認証必須になる件 - backyard of 伊勢的新常識

Apple Developer Programが2/27から2ファクタ認証必須になる件 - backyard of 伊勢的新常識

日本時間の2/14の朝、Apple から一つのメールが届いた。 ベッドの中で寝ぼけながら読んでいて、一気に眠気が吹っ飛んだ。2/27 より2ファクタ認証が必須になるという内容が書かれていた。これは大きな問題になるぞ…!と思ってツイートした。 おいおい、Apple Developer Programのログインに「2ファクタ認証」必須化だと?...

はてなブックマーク - Apple Developer Programが2/27から2ファクタ認証必須になる件 - backyard of 伊勢的新常識 はてなブックマークに追加

十ヶ国行って一度もスられたことない人が語る、こういうバッグを持ってるとスリに狙われないらしい – Togetter

十ヶ国行って一度もスられたことない人が語る、こういうバッグを持ってるとスリに狙われないらしい - Togetter

十ヶ国行って一度もスられたことない人が語る、こういうバッグを持ってるとスリに狙われないらしい - Togetter

わたしは10カ国行って一人旅中も一度もすられたことないんですが、ペラペラのエコバック無双だと思ってますね…ペラくて肩下で持ち手がねじれるし体に密着してて手を入れにくくて地元民感が出る。斜め掛けポシェットは貴重品入ってるアピールでしかないのでいちばん狙われる。改札からつけられるよ…

はてなブックマーク - 十ヶ国行って一度もスられたことない人が語る、こういうバッグを持ってるとスリに狙われないらしい - Togetter はてなブックマークに追加

Longhorn PHP 2019 Schedule

The Longhorn PHP Schedule has been announced - we have an amazing list of speakers this year, you won't want to miss it! At Longhorn PHP you'll get to learn from and alongside a diverse group of developers from all over the region, country, and even the globe. The conference will consist of a tutorial day with in-depth workshops, followed by two main conference days with multiple tracks of traditional 1 hour sessions, and new 30 minute sessions! Register now to take the next step toward leveling up your development career! Early Bird Tickets are on sale until March 15, 2019, so get yours now before the price increases! Dates: May 2nd-4th, 2019 Website: https://www.longhornphp.com

IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) | NICT-情報通信研究機構

IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) | NICT-情報通信研究機構

IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) | NICT-情報通信研究機構

総務省及びNICTは、インターネットサービスプロバイダと連携し、サイバー攻撃に悪用されるおそれのあるIoT機器の調査及び当該機器の利用者への注意喚起を行う取組「NOTICE(National Operation Towards IoT Clean Environment)」を平成31年2月20日(水)から実施します。調査では以下に示すIPアドレスを使用します。 ○ ...

はてなブックマーク - IoT機器調査及び利用者への注意喚起の取組「NOTICE」で使用するIPアドレスについて(2月14日更新) | NICT-情報通信研究機構 はてなブックマークに追加

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた – Qiita

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた - Qiita

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた - Qiita

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた TL;DR HTTP でトークンを利用した認証・認可をする手法として RFC 6750 がある OAuth に限らず、トークンを利用して認証・認可する機構の一部として Authorization: Bearer ヘッダを使うことができる 使い方につい...

はてなブックマーク - トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた - Qiita はてなブックマークに追加

Apple、2019年2月27日から、Apple Developerアカウントへの2ファクタ認証を必須化 | NEWS | Macお宝鑑定団 blog(羅針盤)

Apple、2019年2月27日から、Apple Developerアカウントへの2ファクタ認証を必須化 | NEWS | Macお宝鑑定団 blog(羅針盤)

Apple、2019年2月27日から、Apple Developerアカウントへの2ファクタ認証を必須化 | NEWS | Macお宝鑑定団 blog(羅針盤)

Unified Development Teams for Organizations Appleが、2019年2月12日より、Apple Developer Programにおける、Apple Developer WebサイトとApp Store Connectとの統合を開始しています。 Apple Developer Programは、証明書、識別子、プロフィールなど、アプリの開発と配布に関連する会員特典へのアクセスが可能で、Ap...

はてなブックマーク - Apple、2019年2月27日から、Apple Developerアカウントへの2ファクタ認証を必須化 | NEWS | Macお宝鑑定団 blog(羅針盤) はてなブックマークに追加

津田大介氏が語る『ダウンロード違法化議論の経緯』と『ダウンロード違法化の約束と反故の歴史』 – Togetter

津田大介氏が語る『ダウンロード違法化議論の経緯』と『ダウンロード違法化の約束と反故の歴史』 - Togetter

津田大介氏が語る『ダウンロード違法化議論の経緯』と『ダウンロード違法化の約束と反故の歴史』 - Togetter

ジャーナリスト/メディア・アクティビスト/ポリタス編集長/あいちトリエンナーレ2019芸術監督|最新刊『情報戦争を生き抜く』(朝日新書)発売中です。|有料メルマガ(月額648円)→https://t.co/uUfI8bNo0F  仕事依頼はこちらからお願いします→https://t.co/mKwUsA6iCL https://t.co/tThCVbzIDP

はてなブックマーク - 津田大介氏が語る『ダウンロード違法化議論の経緯』と『ダウンロード違法化の約束と反故の歴史』 - Togetter はてなブックマークに追加

Amazon RDS for MySQL のパラメーターを設定するためのベストプラクティス。パート 3: セキュリティ、操作管理性、および接続タイムアウトに関連するパラメーター | Amazon Web Services ブログ

Amazon RDS for MySQL のパラメーターを設定するためのベストプラクティス。パート 3: セキュリティ、操作管理性、および接続タイムアウトに関連するパラメーター | Amazon Web Services ブログ

Amazon RDS for MySQL のパラメーターを設定するためのベストプラクティス。パート 3: セキュリティ、操作管理性、および接続タイムアウトに関連するパラメーター | Amazon Web Services ブログ

Amazon Web Services ブログ Amazon RDS for MySQL のパラメーターを設定するためのベストプラクティス。パート 3: セキュリティ、操作管理性、および接続タイムアウトに関連するパラメーター このシリーズの前回のブログ投稿では、Amazon RDS for MySQL でレプリケーションを最適化するために使用する MySQL パラメータ...

はてなブックマーク - Amazon RDS for MySQL のパラメーターを設定するためのベストプラクティス。パート 3: セキュリティ、操作管理性、および接続タイムアウトに関連するパラメーター | Amazon Web Services ブログ はてなブックマークに追加

macOSのプライバシー保護機能に開発者が問題指摘 Safariの閲覧履歴を見られる恐れ – ITmedia エンタープライズ

macOSのプライバシー保護機能に開発者が問題指摘 Safariの閲覧履歴を見られる恐れ - ITmedia エンタープライズ

macOSのプライバシー保護機能に開発者が問題指摘 Safariの閲覧履歴を見られる恐れ - ITmedia エンタープライズ

macOSとiOSアプリを手掛ける開発者が、不正なアプリを使ってSafariの閲覧履歴を盗み見できてしまう問題を見つけたと伝えた。 macOSとiOSアプリを手掛ける開発者が、macOS Mojave(10.14)のプライバシー保護機能に新たなセキュリティ問題を見つけたと伝えた。不正なアプリを使ってSafariの閲覧履歴を見ることも可能だと...

はてなブックマーク - macOSのプライバシー保護機能に開発者が問題指摘 Safariの閲覧履歴を見られる恐れ - ITmedia エンタープライズ はてなブックマークに追加

「確定申告」偽サイト、ヤフーの検索連動広告に表示 Bingにも配信 ヤフーが対策 – ITmedia NEWS

「確定申告」偽サイト、ヤフーの検索連動広告に表示 Bingにも配信 ヤフーが対策 - ITmedia NEWS

「確定申告」偽サイト、ヤフーの検索連動広告に表示 Bingにも配信 ヤフーが対策 - ITmedia NEWS

「『Yahoo!検索』や『Bing』で『確定申告』と検索すると、確定申告の公式サイトをかたる偽サイトが表示される」――こんな指摘が相次いだ。ヤフーによると、Yahoo!検索やBingの検索結果に表示されるリスティング広告「Yahoo!プロモーション広告」の審査が甘く、不適切なサイトの広告が表示されていたという。 「『Yahoo!検...

はてなブックマーク - 「確定申告」偽サイト、ヤフーの検索連動広告に表示 Bingにも配信 ヤフーが対策 - ITmedia NEWS はてなブックマークに追加

MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード | トレンドマイクロ セキュリティブログ

MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード | トレンドマイクロ セキュリティブログ

MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード | トレンドマイクロ セキュリティブログ

トレンドマイクロは、MacでEXEファイルを実行する攻撃を確認しました。EXEはWindowsで正式に利用されている実行ファイルの形式で、macOSやLinux OSで実行してもエラーが表示されるのみです。そのため、基本的にはEXE形式のマルウェアはその他のOSに感染することはありません。 しかし、今回確認されたマルウェアは、Wind...

はてなブックマーク - MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード | トレンドマイクロ セキュリティブログ はてなブックマークに追加

MacでEXEファイルを実行する攻撃を確認、端末情報を窃取しアドウェアをダウンロード

トレンドマイクロは、MacでEXEファイルを実行する攻撃を確認しました。EXEはWindowsで正式に利用されている実行ファイルの形式で、macOSやLinux OSで実行してもエラーが表示されるのみです。そのため、基本的にはEXE形式のマルウェアはその他のOSに感染することはありません。

しかし、今回確認されたマルウェアは、Windowsのアプリケーション実行環境「.NET Framework」をさまざまなプラットフォームに提供するフレームワーク「Mono」を利用してEXEファイルを実行していました。「Gatekeeper」のようなMacに組み込まれたセキュリティの仕組みはMac用のファイルのみを対象とするため、EXEファイルを利用することによりそのようなセキュリティを回避しデジタル署名のチェックを逃れることが可能です。

特定のパターンは見られていませんが、感染数の多い国は、英国、オーストラリア、アルメニア、ルクセンブルク、南アフリカ、米国となっています。

■攻撃の流れ

EXEファイルの実行

.NETでコンパイルされた問題のマルウェアは、さまざまなTorrentサイトに以下のようなファイル名でホストされていました。今回解析した検体は、MacおよびWindows向けのファイアウォールアプリ「Little Snitch」に偽装していました。

  • Paragon_NTFS_for_Mac_OS_Sierra_Fully_Activated.zip
  • Wondershare_Filmora_924_Patched_Mac_OSX_X.zip
  • LennarDigital_Sylenth1_VSTi_AU_v3_203_MAC_OSX.zip
  • Sylenth1_v331_Purple_Skin__Sound_Radix_32Lives_v109.zip
  • TORRENTINSTANT.COM+-+Traktor_Pro_2_for_MAC_v321.zip
  • Little_Snitch_583_MAC_OS_X.zip

このZIPファイルにはmacOSのディスクイメージファイル(拡張子:DMG)が含まれていました。

ZIPファイルに含まれていたDMGファイル
図1:ZIPファイルに含まれていたDMGファイル

このDMGファイルには、Little Snichに偽装したインストーラが入っていました。

「Little Snitch」に偽装したインストーラ
図2:「Little Snitch」に偽装したインストーラ

このインストーラには、Mac用のソフトウェアには通常含まれないEXEファイルが存在していました。これが不正活動を行う実行ファイルです。

Macアプリのインストーラに含まれていた不審なEXEファイル
図3:Macアプリのインストーラに含まれていた不審なEXEファイル

このインストーラを実行すると、メインのMach-Oファイルが問題のEXEファイルを起動します。インストーラに含まれているMonoフレームワークによってこのEXEファイルの実行が可能になっています。

情報窃取

このマルウェアは以下のシステム情報を収集します。

  • モデル名
  • モデルID
  • プロセッサの速度
  • プロセッサの詳細
  • プロセッサの数
  • コアの数
  • メモリ
  • ブートROMのバージョン
  • SMC(システム管理コントローラ)のバージョン
  • シリアル番号
  • UUID

また、「/Application」ディレクトリにインストールされたアプリの情報も収集します。ただし、以下の基本アプリは対象外となります。

  • App Store.app
  • Automator.app
  • Calculator.app
  • Calendar.app
  • Chess.app
  • Contacts.app
  • DVD Player.app
  • Dashboard.app
  • FaceTime.app
  • Font Book.app
  • Image Capture.app
  • iTunes.app
  • Launchpad.app
  • Mail.app
  • Maps.app
  • Messages.app
  • Mission Control.app
  • Notes.app
  • Photo Booth.app
  • Photos.app
  • Preview.app
  • QuickTime Player.app
  • Reminders.app
  • Safari.app
  • Siri.app
  • Stickies.app
  • System Preferences.app
  • TextEdit.app
  • Time Machine.app
  • UtilitiesiBooks.app

収集した情報はコマンド&コントロール(C&C)サーバに送信されます。

アドウェアのダウンロード

次に、以下のファイルをインターネットからダウンロードし「~/Library/X2441139MAC/Temp/」に保存します。

  • hxxp://install[.]osxappdownload[.]com/download/mcwnet
  • hxxp://reiteration-a[.]akamaihd[.]net/INSREZBHAZUIKGLAASDZFAHUYDWNBYTRWMFSOGZQNJYCAP/FlashPlayer.dmg
  • hxxp://cdn[.]macapproduct[.]com/installer/macsearch.dmg

Tempディレクトリに保存されたファイル
図4:Tempディレクトリに保存されたファイル

ダウンロードされたDMGファイルはアドウェアで、準備ができ次第マウントおよび実行されます。

人気のあるアプリに偽装したアドウェアの例
図5:人気のあるアプリに偽装したアドウェアの例

アドウェアのインストール時にはPUA(Potentially Unwanted Application、迷惑アプリ)を設定するという文言が表示されます。

アドウェアのインストール時に迷惑アプリを表示
図6:アドウェアのインストール時に迷惑アプリを表示

Monoフレームワークを利用したEXEファイルの実行

このマルウェアはMacユーザのみを対象としているようです。Windowsで検体を実行してみたところ以下のようなエラーメッセージが表示されました。

Windowsでインストーラを実行した際のエラーメッセージ
図7:Windowsでインストーラを実行した際のエラーメッセージ

Windows以外のプラットフォームでEXEファイルを実行する手法は、macOSのような非Windowsシステムに対して大きな影響を与えるかもしれません。通常、Windowsの実行ファイルとライブラリをコンパイルまたはロードするにはMonoフレームワークがインストールされている必要があります。しかし今回の事例では、Monoフレームワークのファイルをインストーラに含めることによりそれを回避しています。またEXEファイルがmacOSによって実行ファイルと認識されないことを利用してセキュリティ機能を回避しています。

Monoフレームワークは、WindowsのDLLと対応するMacのライブラリをマッピングすることネイティブライブラリの差に対処しています。

■被害に遭わないためには

設計上MacでサポートされていないEXEファイルを使用することによってデジタル署名のチェックのようなセキュリティの仕組みを回避する手法は、その他の攻撃でも利用される恐れがあると考えられます。もしかすると、この手法についてさらに学習し利用する機会を窺っているサイバー犯罪者がいるかもしれません。トレンドマイクロは、今回利用された機能がサイバー犯罪者によってどのように悪用され得るのか今後も調査を継続していきます。

ユーザは、信頼できる経路やWebサイトからのみファイルやソフトウェアをダウンロードし、多層的なセキュリティ対策製品の導入を検討してください。

■トレンドマイクロの対策

以下のセキュリティ対策製品/ソリューションはこのような脅威からユーザを保護します。

■侵入の痕跡(Indicators of Compromise、IoCs)

メインの実行ファイル

ファイル SHA256値 検出名
setup.dmg c87d858c476f8fa9ac5b5f68c48dff8efe3cee4d24ab11aebeec7066b55cbc53 TrojanSpy.MacOS.Winplyer.A
Installer.exe 932d6adbc6a2d8aa5ead5f7206511789276e24c37100283926bd2ce61e840045 TrojanSpy.Win32.Winplyer.A
OSX64_MACSEARCH.MSGL517 58cba382d3e923e450321704eb9b09f4a6be008189a30c37eca8ed42f2fa77af Adware.MacOS.MacSearch.A
chs2 3cbb3e61bf74726ec4c0d2b972dd063ff126b86d930f90f48f1308736cf4db3e Adware.MacOS.GENIEO.AB
Installer (2) e13c9ab5060061ad2e693f34279c1b1390e6977a404041178025373a7c7ed08a Adware.MacOS.GENIEO.AB
macsearch b31bf0da3ad7cbd92ec3e7cfe6501bea2508c3915827a70b27e9b47ffa89c52e Adware.MacOS.MacSearch.B

C&Cサーバ

  • hxxp://54[.]164[.]144[.]252:10000/loadPE/getOffers[.]php

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

中国の顔認識企業、データベースが公開状態–数百万人の個人情報が流出か – CNET Japan

中国の顔認識企業、データベースが公開状態--数百万人の個人情報が流出か - CNET Japan

中国の顔認識企業、データベースが公開状態--数百万人の個人情報が流出か - CNET Japan

中国の深セン市に拠点を置くSenseNetsは、顔認識技術と群衆分析を提供する企業だ。それらの技術を使用して、人々を都市をまたいで追跡し、大規模な集団の中から抽出することができるとプロモーションビデオで豪語している。 しかし、GDI Foundationに所属するオランダ人セキュリティ研究者のVictor Gevers氏は現地時間2...

はてなブックマーク - 中国の顔認識企業、データベースが公開状態--数百万人の個人情報が流出か - CNET Japan はてなブックマークに追加

4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは (1/3) – ITmedia エンタープライズ

4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは (1/3) - ITmedia エンタープライズ

4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは (1/3) - ITmedia エンタープライズ

「秘密を共有しない」のが鍵:4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは (1/3) 共通ID「Yahoo! JAPAN ID」を使って多数のWebサービスを展開するヤフー。同社では、パスワードを無効にし、代わりにSNSや生体認証を使った新たなログイン形式を推進している。「パス...

はてなブックマーク - 4500万人のユーザーに“パスワード”をやめさせたい――ヤフーが進める「もっと安全で簡単な認証」とは (1/3) - ITmedia エンタープライズ はてなブックマークに追加

Apple、Developer Programメンバーに対し2019年2月27日より開発者向け関連のサインインに2ファクタ認証を必要にすると通知。 | AAPL Ch.

Apple、Developer Programメンバーに対し2019年2月27日より開発者向け関連のサインインに2ファクタ認証を必要にすると通知。 | AAPL Ch.

Apple、Developer Programメンバーに対し2019年2月27日より開発者向け関連のサインインに2ファクタ認証を必要にすると通知。 | AAPL Ch.

AppleはDeveloper Programメンバーに対し2019年2月27日以降、開発者向け関連サイトなどへのサインインに2ファクタ認証が必要になると通知しています。詳細は以下から。  Appleは現地時間2019

はてなブックマーク - Apple、Developer Programメンバーに対し2019年2月27日より開発者向け関連のサインインに2ファクタ認証を必要にすると通知。 | AAPL Ch. はてなブックマークに追加

Weekly Report: OpenAM (オープンソース版) にオープンリダイレクトの脆弱性

OpenAM (オープンソース版) には、オープンリダイレクトの脆弱性があります。結果として、遠隔の第三者が、細工したページにユーザをアクセスさせることで、当該製品が設置されたサーバを経由してユーザをフィッシングサイトなどにリダイレクトさせる可能性があります。続きを読む