月別アーカイブ: 2019年5月

Safariが「ユーザー行動のトラッキングを防ぐ」ようになります | ギズモード・ジャパン

Safariが「ユーザー行動のトラッキングを防ぐ」ようになります | ギズモード・ジャパン

Safariが「ユーザー行動のトラッキングを防ぐ」ようになります | ギズモード・ジャパン

Safariが「ユーザー行動のトラッキングを防ぐ」ようになります2019.05.23 18:30 Victoria Song - Gizmodo US [原文] ( かみやまたくみ ) Image: Nicole Lienemann/Shutterstock.com トラッキングされるの生理的に無理なので期待したいですね。 インターネットの悩みの種、広告。気になるモノをググったら、広告が表示...

はてなブックマーク - Safariが「ユーザー行動のトラッキングを防ぐ」ようになります | ギズモード・ジャパン はてなブックマークに追加

「WannaCry型」悪用コード開発活発化か 対策急ぐようセキュリティ機関が呼び掛け – ITmedia エンタープライズ

「WannaCry型」悪用コード開発活発化か 対策急ぐようセキュリティ機関が呼び掛け - ITmedia エンタープライズ

「WannaCry型」悪用コード開発活発化か 対策急ぐようセキュリティ機関が呼び掛け - ITmedia エンタープライズ

「安定した悪用コードが公開されるまでに、あと数日はかかるだろう。だが1週間以上はもたないと思う」と専門家は予想している。 セキュリティ機関のSANS Internet Storm Center(以下、SANS)は2019年5月22日、Microsoftが同年5月の月例セキュリティ更新プログラムで緊急対処したリモートデスクトップサービスの脆弱(ぜ...

はてなブックマーク - 「WannaCry型」悪用コード開発活発化か 対策急ぐようセキュリティ機関が呼び掛け - ITmedia エンタープライズ はてなブックマークに追加

「Microsoft SharePoint」の脆弱性「CVE-2019-0604」を解説、遠隔からのコード実行が可能に

Microsoftは2019年2月、Webベースのコラボレーションソフトウェア「SharePoint」で遠隔からのコード実行(Remote Code Execution、RCE)が可能になる2つの脆弱性に対処する修正プログラムを公開しました。2つの脆弱性の深刻度は両方とも緊急(Critical)に分類されました。攻撃者は特別に細工したリクエストを送信することでこの脆弱性を突き、SharePointのアプリケーションプールと企業アカウントのSharePointサーバにおいて任意のコードを実行することが可能です。

問題の脆弱性は、Markus Wulftange氏によってトレンドマイクロが運営する脆弱性発見・研究コミュニティ「Zero Day Initiative(ZDI)」に報告されました。Wulftange氏は脆弱性「CVE-2019-0604」の詳細についてMicrosoftに情報提供しています。

この脆弱性を利用する実際の攻撃が、セキュリティ機関「SANS Internet Storm Center」によって2019年5月20日に報告されています。

■「XmlSerializer」の仕組み

新しい脆弱性を見つける1つの方法はボトムアップのアプローチです。このアプローチは、関心を引くデータ出力先(シンク)を探し、制御フローおよびデータフローを逆方向に追跡することで当該シンクに到達できるかどうかを解析する手法です。

見込みのあるシンクの1つに「XmlSerializer」クラスを使用したデシリアライゼーションがあります。「XmlSerializer」は、期待される型と一緒に使用する必要があるため一般的には安全なシリアライザだと考えられています。期待される型のオブジェクトグラフに含まれない任意の型をストリーム内で指定することはできないからです。しかし、リサーチペーパー「Friday the 13th – JSON Attacks by Alvaro Muñoz & Oleksandr Mirosh」に示されているように、期待される型も同時に操作することができれば脆弱性を突くことが可能になります。

SharePoint 2016のアセンブリを解析するために、「.NET」アプリケーションのデコンパイルとデバッグが可能な「dnSpy」は非常に優れたツールです。dnSpyの対象として、SharePoint 2016を実行するWebサーバ「IIS(Internet Information Services)」のワーカープロセス「w3wp.exe」を指定すると、アセンブリを読み込み、コンストラクタ「XmlSerializer(Type)」を解析することができます。ここからは単調な作業が必要になります。「XmlSerializer(Type)」の呼び出しを一つひとつ確認し、期待される型の変更および操作の可否をチェックしなければなりません。なぜなら、「new XmlSerializer(typeof(DummyType)))」のように、型はハードコードされていないためです。

コンストラクタ「XmlSerializer(Type)」を呼び出すメソッドの1つに「Microsoft.SharePoint.dll」の「Microsoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」メソッドがあります。同じ型と機能は「Microsoft.SharePoint.Portal.dll」の名前空間「Microsoft.Office.Server.ApplicationRegistry.Infrastructure」にも存在します。これについては後述しますが、まずは「Microsoft.SharePoint.dll」を見ていきます。

Microsoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder.DecodeEntityInstanceId(string)

図1:「Microsoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」メソッド

ここで、期待する型を指定する変数「typeName」とデシリアライズされるデータの両方は、変数「text」から取得します。この「text」は引数「encodedId」に由来します。

問題のメソッドを実際に呼び出すことが可能で、メソッドに渡すパラメータを操作できるのであれば、脆弱性を突く上で問題は無いように思えます。

■データフローを発生源(ソース)まで追跡

次の手順は、外部からこの呼び出しを開始できるかどうか、そして引数の値を提供できるかどうかを確認することです。

「Microsoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」メソッドに対する呼び出し

図2:「Microsoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」メソッドに対する呼び出し

「ASP.NET」に親しんでいる人であれば、「Page_Load(object, EventArgs)」や「OnLoad(EventArgs)」のようなメソッドに見覚えがあるかもしれません。これらのメソッドはASP.NETにおけるページのライフサイクルの中で呼び出されます。ページの型は、「.aspx」ファイルを表す基底クラス「System.Web.UI.Page」で定義されます。実際、以下の3つのページの型には、それぞれに対応する「.aspx」ファイルがあります。

  • Microsoft.SharePoint.ApplicationPages.ActionRedirectPage:/_layouts/15/ActionRedirect.aspx
  • Microsoft.SharePoint.ApplicationPages.DownloadExternalData:/_layouts/15/downloadexternaldata.aspx
  • Microsoft.SharePoint.Portal.WebControls.ProfileRedirect:/_layouts/15/TenantProfileAdmin/profileredirect.aspx

これら3つの場合、パラメータの値はHTTPリクエストのクエリ文字列に由来します。十六進数のエンコーディングは、文字列の長さを4倍にし、それによってHTTPリクエストの制限文字数を超える場合があるため、問題となり得ます。

さらなる解析の結果、図2の最後のメソッド「ItemPicker.ValidateEntity(PickerEntity)」が適していることが分かりました。

ItemPicker.ValidateEntity(PickerEntity)

図3:「ItemPicker.ValidateEntity(PickerEntity)」メソッド

ここで渡されている「PickerEntity」の「Key」プロパティは「EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」メソッドの呼び出しに使用されます。このメソッドは、「EntityEditor.Entities」プロパティに保持された各エントリを列挙して検証する「EntityEditor.Validate()」メソッドによって呼び出されます。

EntityEditor.Validate()

図4:「EntityEditor.Validate()」メソッド

「EntityEditor.Validate()」メソッドは、「System.Web.UI.IPostBackDataHandler.LoadPostData(string, NameValueCollection)」を実装した「EntityEditor.LoadPostData(string, NameValueCollection)」メソッドによって呼び出されます。

EntityEditor.LoadPostData(string, NameValueCollection)

図5:「EntityEditor.LoadPostData(string, NameValueCollection)」メソッド

これにより、WebControlsクラスの「ItemPicker」に対するポストバックリクエストの際にメソッドが自動的に呼び出されます。メソッドの呼び出しグラフは以下の通りです。

メソッド呼び出しグラフ

図6:メソッド呼び出しグラフ

型の階層は以下の通りです。

型の階層

図7:型の階層

■データフローの検証

以上のように、「ItemPicker」のポストバックリクエストから「EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」に到達する経路がありますが、「PickerEntity」の「Key」プロパティを操作可能かどうかはまだ分かりません。

「EntityEditor.Entities」プロパティは、インスタンス化の際と「EntityEditor.Validate()」メソッド内の2か所でのみで値が代入されるprivateフィールド「m_listOrder」を使用しています。後者の場合、図4の597行目のように、「m_listOrder」フィールドには「m_listOrderTemp」フィールドの値が代入されます。「m_listOrderTemp」フィールドもまた、インスタンス化の際と「EntityEditor.ParseSpanData(string)」メソッド内の2か所でのみ値が代入されます。「EntityEditor.ParseSpanData(string)」メソッドは「EntityEditor.LoadPostData(string, NameValueCollection)」メソッドによって呼び出されます。この時、図5の707行目のように、引数として「HiddenSpanData」プロパティの値(「HtmlInputHidden」クラス)が与えられます。この値はユーザによって操作することが可能です。

後は、「EntityEditor.ParseSpanData(string)」メソッドが与えられたデータをどのように処理するか、そして「PickerEntity」の「Key」プロパティに到達するかどうかを検証すれば終わりです。「EntityEditor.ParseSpanData(string)」メソッドは、ここで紹介するには非常に長いため解説は省略します。データに<SPAN>および<DIV>タグがネストされた特別な構造が含まれていてパースによって除外される場合以外は、「PickerEntity」の「Key」プロパティに、続いて「m_listOrderTemp」リストに代入されます。

以上により、「ItemPicker」のポストバックリクエストから「EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」メソッドに到達する経路と、入力データをユーザが操作可能であることが分かりました。次は、「ItemPicker」のインスタンスについて見ていきましょう。

■エントリポイントの発見

実際は、「ItemPicker」が「.aspx」ページから直接使用されることはありません。しかし、基底クラスである「EntityEditorWithPicker」を調べてみると、「ItemPicker」を使用する「/_layouts/15/Picker.aspx」が見つかります。

この「.aspx」ページは、使用する型がアセンブリ修飾名の形で、URLの「PickerDialogType」パラメータを介して与えられることを期待します。ここで、以下の2つのうちいずれかの「ItemPickerDialog」型が使用されます。

  • 「Microsoft.SharePoint.dll」の「Microsoft.SharePoint.WebControls.ItemPickerDialog」
  • 「Microsoft.SharePoint.Portal.dll」の「Microsoft.SharePoint.Portal.WebControls.ItemPickerDialog」

「Microsoft.SharePoint.WebControls.ItemPickerDialog」を含む「Picker.aspx」ページ

図8:「Microsoft.SharePoint.WebControls.ItemPickerDialog」を含む「Picker.aspx」ページ

図8下部のテキストフィールドが、「ItemPicker」および「ctl00$PlaceHolderDialogBodySection$ctl05$hiddenSpanData」という名前の「HtmlInputHidden」クラスに対応しています。このテキストフィールドが、データの出力先(シンク)「EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」の発生源(ソース)となっています。

■概念実証(Proof of Concept、PoC)

問題のフォームが、「__」から始まる文字列(例:「__dummy」)を値として持つ「ctl00$PlaceHolderDialogBodySection$ctl05$hiddenSpanData」と共にサブミットされた際、「EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」に設置したブレークポイントが示す状態は図9の通りです。

「EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」に設置したブレークポイントが示す状態(「theencodedId」の値は「__dummy」)

図9:「EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」に設置したブレークポイントが示す状態
(「theencodedId」の値は「__dummy」)

この時点のコールスタックは図10のようになります。

コールスタック

図10:コールスタック

もう一方の「ItemPickerDialog」が使用された場合も、図11のように、一番上の2つのエントリが異なるだけです。

もう一方の「ItemPickerDialog」を使用した際のコールスタック

図11:もう一方の「ItemPickerDialog」を使用した際のコールスタック

以上で「ctl00$PlaceHolderDialogBodySection$ctl05$hiddenSpanData」のデータが「EntityInstanceIdEncoder.DecodeEntityInstanceId(string)」に渡されることが実証されました。後は、エンティティのインスタンスIDをエンコードし、適切な「XmlSerializer」のペイロードを見つけることで攻撃が成立します。

■Microsoftによる修正プログラムの公開

修正プログラムが2019年2月に公開された後、Markus氏は修正が不完全であることを通知しました。元の修正プログラムは「Microsoft.SharePoint.dll」の「Microsoft.SharePoint.BusinessData.Infrastructure.EntityInstanceIdEncoder」にのみ対処し、「Microsoft.SharePoint.Portal.dll」の「Microsoft.Office.Server.ApplicationRegistry.Infrastructure.EntityInstanceIdEncoder」には対応していませんでした。つまり、「Picker.aspx」ページで「Microsoft.SharePoint.Portal.dll」から「EntityInstanceIdEncoder」を使用することで、修正プログラムのインストール後にも依然として脆弱性を突くことが可能でした。Microsoftは2019年3月12日に公開した修正プログラムでこの問題に対応しました

■トレンドマイクロの対策

ネットワーク挙動監視ソリューション「Deep Discovery™ Inspector」は、以下の DDIルールによって問題の脆弱性を利用する脅威を検知します。

  • CVE-2019-0604 SharePoint Remote Code Execution Exploit – HTTP (Request)

参考記事:

翻訳: 澤山 高士(Core Technology Marketing, TrendLabs)

クローズアップ現代が警鐘!あなたも #水増しインフルエンサー のフォロワーに『Gramblr』注意!(神田敏晶) – 個人 – Yahoo!ニュース

クローズアップ現代が警鐘!あなたも #水増しインフルエンサー のフォロワーに『Gramblr』注意!(神田敏晶) - 個人 - Yahoo!ニュース

クローズアップ現代が警鐘!あなたも #水増しインフルエンサー のフォロワーに『Gramblr』注意!(神田敏晶) - 個人 - Yahoo!ニュース

KNNポール神田です □今年、テレビを抜いて広告の王者になることが確実なネット広告の闇に迫るシリーズ □「同世代の身近なインフルエンサーの感想の方がリアルで信頼できる」と考える若い消費者を取り込もうと、多くの企業が導入している。 □しかし、そのインフルエンサーの価値基準であるフォロワー数が、水増しされてい...

はてなブックマーク - クローズアップ現代が警鐘!あなたも #水増しインフルエンサー のフォロワーに『Gramblr』注意!(神田敏晶) - 個人 - Yahoo!ニュース はてなブックマークに追加

「入退管理システム」のセキュリティ対策に関するチェックリスト公開|IPA | IoT Security Headlines

「入退管理システム」のセキュリティ対策に関するチェックリスト公開|IPA | IoT Security Headlines

「入退管理システム」のセキュリティ対策に関するチェックリスト公開|IPA | IoT Security Headlines

独立行政法人情報処理推進機構(IPA)は5月20日、「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開しました。 入退管理システムは、ビルや工場の物理的なセキュリティの基本です。近年は、電気錠、センサーやカメラ、ICカード等のIoT機器による連携が発達しており、複数の扉やゲートに設置さ...

はてなブックマーク - 「入退管理システム」のセキュリティ対策に関するチェックリスト公開|IPA | IoT Security Headlines はてなブックマークに追加

空港のUSB充電ポートは極めて危険、セキュリティ専門家が警告 | Forbes JAPAN(フォーブス ジャパン)

空港のUSB充電ポートは極めて危険、セキュリティ専門家が警告 | Forbes JAPAN(フォーブス ジャパン)

空港のUSB充電ポートは極めて危険、セキュリティ専門家が警告 | Forbes JAPAN(フォーブス ジャパン)

空港にある無料のUSB充電ポートには危険が潜んでいる。サイバー犯罪者たちがUSBポートにマルウェアを送り込み、接続されたスマホからデータを盗み取ろうとしているからだ。 「公衆のUSB充電ポートにスマホをつなぐのは、道に落ちている歯ブラシで歯を磨くようなものだ。どんな結果が待っているかは予測不能だ」と、IBMの...

はてなブックマーク - 空港のUSB充電ポートは極めて危険、セキュリティ専門家が警告 | Forbes JAPAN(フォーブス ジャパン) はてなブックマークに追加

「Android」端末や「iOS」端末を追跡する新手法–センサーのキャリブレーション情報を利用 – ZDNet Japan

「Android」端末や「iOS」端末を追跡する新手法--センサーのキャリブレーション情報を利用 - ZDNet Japan

「Android」端末や「iOS」端末を追跡する新手法--センサーのキャリブレーション情報を利用 - ZDNet Japan

端末を識別する新しい手法は、工場で設定されたセンサーのキャリブレーション情報を利用して、インターネットにつながった「Android」および「iOS」端末を追跡可能だ。このキャリブレーション情報は、あらゆるアプリやウェブサイトが特別な許可なしに入手できる。 キャリブレーションフィンガープリンティング攻撃、また...

はてなブックマーク - 「Android」端末や「iOS」端末を追跡する新手法--センサーのキャリブレーション情報を利用 - ZDNet Japan はてなブックマークに追加

「ペイペイ」悪用詐欺を初摘発 容疑の男を逮捕  :日本経済新聞

「ペイペイ」悪用詐欺を初摘発 容疑の男を逮捕  :日本経済新聞

「ペイペイ」悪用詐欺を初摘発 容疑の男を逮捕  :日本経済新聞

他人のクレジットカード情報を悪用し、スマートフォン決済サービス「ペイペイ」で約35万円相当の商品をだまし取ったとして、愛知県警は23日までに、栃木県那須塩原市材木町の無職、平山貴則容疑者(21)を詐欺の疑いで逮捕した。県警によると、ペイペイを不正に使った詐欺事件の摘発は全国で初めて。 県警サイバー犯罪対...

はてなブックマーク - 「ペイペイ」悪用詐欺を初摘発 容疑の男を逮捕  :日本経済新聞 はてなブックマークに追加

Apple、T2セキュリティチップを搭載した15インチMacBook Pro (2018/2019)向けに「MacBook Pro追加アップデート」の提供を開始。 | AAPL Ch.

Apple、T2セキュリティチップを搭載した15インチMacBook Pro (2018/2019)向けに「MacBook Pro追加アップデート」の提供を開始。 | AAPL Ch.

Apple、T2セキュリティチップを搭載した15インチMacBook Pro (2018/2019)向けに「MacBook Pro追加アップデート」の提供を開始。 | AAPL Ch.

AppleがT2セキュリティチップを搭載した15インチMacBook Pro (2018/2019)向けに「MacBook Pro追加アップデート」の提供を開始しています。詳細は以下から。  Appleは現地時間201

はてなブックマーク - Apple、T2セキュリティチップを搭載した15インチMacBook Pro (2018/2019)向けに「MacBook Pro追加アップデート」の提供を開始。 | AAPL Ch. はてなブックマークに追加

AIに期待するセキュリティ担当者が8割超え BlackBerry Cylance調査:技術の成熟不足を懸念する声も – @IT

AIに期待するセキュリティ担当者が8割超え BlackBerry Cylance調査:技術の成熟不足を懸念する声も - @IT

AIに期待するセキュリティ担当者が8割超え BlackBerry Cylance調査:技術の成熟不足を懸念する声も - @IT

BlackBerry Cylanceが全世界で実施した、AIを活用したセキュリティに関する調査によると、AIを活用したセキュリティは今まで以上に効果があると考えているセキュリティ担当者が多いことが分かった。 BlackBerry Cylanceは2019年5月21日、AI(人工知能)を活用したセキュリティに関する調査「Security Gets Smart with AI...

はてなブックマーク - AIに期待するセキュリティ担当者が8割超え BlackBerry Cylance調査:技術の成熟不足を懸念する声も - @IT はてなブックマークに追加

Google Cloud Japan 公式ブログ: G Suite をご利用されているお客様の未ハッシュ化パスワードの保管についてのお知らせ

Google Cloud Japan 公式ブログ: G Suite をご利用されているお客様の未ハッシュ化パスワードの保管についてのお知らせ

Google Cloud Japan 公式ブログ: G Suite をご利用されているお客様の未ハッシュ化パスワードの保管についてのお知らせ

Google の企業向けソリューションに関する公式な情報やユーザーの事例などを、いち早く皆さんにお届けします。

はてなブックマーク - Google Cloud Japan 公式ブログ: G Suite をご利用されているお客様の未ハッシュ化パスワードの保管についてのお知らせ はてなブックマークに追加

Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は? (1/3) – ITmedia NEWS

Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は? (1/3) - ITmedia NEWS

Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は? (1/3) - ITmedia NEWS

ITの過去から紡ぐIoTセキュリティ:Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は? (1/3) Microsoftが5月、サポート期間内のWindows 7とWindows Server 2008だけでなく、サポートが終了しているWindows XP、Windows Server 2003に対しても修正プログラムを用意。サポート切れなのに修正プログラム...

はてなブックマーク - Windows XPへの「例外措置」、サポート終了なのに繰り返される理由は? (1/3) - ITmedia NEWS はてなブックマークに追加

Hyper-Threadingテクノロジーを無効化し、Intel CPUのMDS脆弱性の緩和策を行った前後でのMacのベンチマークスコア。 | AAPL Ch.

Hyper-Threadingテクノロジーを無効化し、Intel CPUのMDS脆弱性の緩和策を行った前後でのMacのベンチマークスコア。 | AAPL Ch.

Hyper-Threadingテクノロジーを無効化し、Intel CPUのMDS脆弱性の緩和策を行った前後でのMacのベンチマークスコア。 | AAPL Ch.

Hyper-Threadingテクノロジーを無効化し、Intel CPUのMDS脆弱性の緩和策を行った前後でのMacのベンチマークスコアを調べてみました。詳細は以下から。  Intelやグラーツ工科大学の研究チームは現

はてなブックマーク - Hyper-Threadingテクノロジーを無効化し、Intel CPUのMDS脆弱性の緩和策を行った前後でのMacのベンチマークスコア。 | AAPL Ch. はてなブックマークに追加

WEB特集 潜入取材!フォロワー3万人買ってみた | NHKニュース

WEB特集 潜入取材!フォロワー3万人買ってみた | NHKニュース

WEB特集 潜入取材!フォロワー3万人買ってみた | NHKニュース

フォロワーの数が仕事や報酬に直結するSNSのインフルエンサーの世界。そのフォロワーを購入して水増しする行為がインスタグラムの一部のインフルエンサーの間で行われている実態を取材した記事を21日に掲載した。NewsUp「私は“水増しインフルエンサー”」 では水増ししたフォロワーはどこからやってくるのか。売...

はてなブックマーク - WEB特集 潜入取材!フォロワー3万人買ってみた | NHKニュース はてなブックマークに追加

Kirinチップにまで暗雲。英ARM、ファーウェイへの供給を停止 – すまほん!!

Kirinチップにまで暗雲。英ARM、ファーウェイへの供給を停止 – すまほん!!

Kirinチップにまで暗雲。英ARM、ファーウェイへの供給を停止 – すまほん!!

英公共放送BBCは、英国を拠点とするARMの内部文書をリーク。Huaweiとの取引を停止、米国の取引制限を遵守するよう車内通達したことがわかりました。 有効な契約、サポート、保留中の契約といったを全て停止するよう従業員に指示したとのことです。 英国を拠点としているARMですが、BBCが伝えるところによれば、設計の多...

はてなブックマーク - Kirinチップにまで暗雲。英ARM、ファーウェイへの供給を停止 – すまほん!! はてなブックマークに追加

Google、「G Suite」の一部パスワードを暗号化せず14年間も保存していたことを報告

Googleが企業・団体向けサービスであるG Suiteにおいて、同社のポリシーに反してハッシュ化せず平文で保存していたことを明らかにした(Google Cloudブログでの発表CNET Japan)。

G Suiteではかつて企業・団体のドメイン管理者に向けたツールを提供しており、そのツールの機能の1つにその組織のユーザーを手動で設定できるというものがあったそうだ。このツールでパスワードをハッシュせずに管理していたという。なお、この機能はすでに廃止されており、またパスワードに対する不正アクセスや、これらを悪用されたも確認はないとのこと。

すべて読む | ITセクション | Google | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
情報漏洩で停止中の「宅ふぁいる便」の退会ができる特設サイト、利用可能時間は9時から17時45分まで 2019年04月10日
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 2019年03月11日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
Instagram、平文パスワードが含まれたURLを生成してしまう不具合 2018年11月21日

ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた – piyolog

ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた - piyolog

ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた - piyolog

2019年5月21日、GoogleはG Suiteに保存されたパスワードの一部に問題(ハッシュ化が行われていなかった)が確認されたとして利用者へ案内を行っています。ここでは関連する情報をまとめます。 Googleの発表 cloud.google.com この問題の影響はビジネス向け利用者(G Suite ユーザー)が対象。 無料のGoogle アカウントへ...

はてなブックマーク - ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた - piyolog はてなブックマークに追加

Google、一部のG Suiteパスワードを内部システムに平文保存。2005年から14年間 – Engadget 日本版

Google、一部のG Suiteパスワードを内部システムに平文保存。2005年から14年間 - Engadget 日本版

Google、一部のG Suiteパスワードを内部システムに平文保存。2005年から14年間 - Engadget 日本版

Googleは5月21日(現地時間)、一部のG Suiteユーザーのパスワードを暗号化せずに平文で保存していたと報告しました。対象は主に企業で利用されるG Suiteのみで、一般のGoogleアカウントには影響しません。なお、具体的にどれだけのユーザーが影響を受けたのかは、明かされていません。 パスワードを暗号化せず、平文の...

はてなブックマーク - Google、一部のG Suiteパスワードを内部システムに平文保存。2005年から14年間 - Engadget 日本版 はてなブックマークに追加

ASUSのPCにプリインストールされているアプリの脆弱性を狙ったマルウェア攻撃が発見される

あるAnonymous Coward曰く、

PCにプリインストールされているソフトウェアの脆弱性問題は以前にも指摘されているが、また新たな問題が発覚した。ESETのセキュリティ研究者らによると、ASUS製PCにインストールされている「ASUS WebStorage」の脆弱性が狙われており、PCに不正なソフトウェアをインストールする攻撃が確認されたという(PC WatchESET)。

ASUS WebStorageはASUSが提供しているオンラインストレージサービスのクライアントソフトウェア。このソフトウェアは自動アップデート機能を備えているが、その際にHTTPでバイナリをダウンロードするうえ、ダウンロードしたバイナリを検証せずに実行してしまうという。問題の攻撃はこれを悪用するもので、アップデートのダウンロード時にネットワークトラフィックの改変などを行った悪意のあるアップデータを送り込むというもの。具体的には、まず脆弱性のあるルーターに侵入し、そこでトラフィックを改変するような処理を行うようにしていたという。

すべて読む | セキュリティセクション | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ファーウェイのノートPC用ドライバに脆弱性、ファーウェイはバックドアではなく単なる欠陥と主張 2019年04月08日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015年12月16日

中国製ドローンに警戒を データが中国政府に流れるおそれ 米 | NHKニュース

中国製ドローンに警戒を データが中国政府に流れるおそれ 米 | NHKニュース

中国製ドローンに警戒を データが中国政府に流れるおそれ 米 | NHKニュース

アメリカ政府は、中国製のドローンについて、飛行で得られたデータなどがインターネットを通じて中国政府に流れるおそれがあるなどとして、ドローンを業務で使用している国内の機関に警戒を求める文書を出しました。 そのうえで「国家の安全や重要な機能に関わる機関は情報を盗まれる危険性に特に警戒しなければならない...

はてなブックマーク - 中国製ドローンに警戒を データが中国政府に流れるおそれ 米 | NHKニュース はてなブックマークに追加

第570回 セキュリティキーを使って,Ubuntuで多要素認証をしてみよう:Ubuntu Weekly Recipe|gihyo.jp … 技術評論社

第570回 セキュリティキーを使って,Ubuntuで多要素認証をしてみよう:Ubuntu Weekly Recipe|gihyo.jp … 技術評論社

第570回 セキュリティキーを使って,Ubuntuで多要素認証をしてみよう:Ubuntu Weekly Recipe|gihyo.jp … 技術評論社

セキュリティキーを利用した多要素認証は,これまでも「利用者本人のみが所有するもの」という側面から,有効な認証の要素の一つとして利用されてきました。Googleでも2017年初頭からセキュリティキーを導入してから,アカウントの乗っ取りは報告されていないとコメントしています(2018年7月の記事です)⁠。 また,2019...

はてなブックマーク - 第570回 セキュリティキーを使って,Ubuntuで多要素認証をしてみよう:Ubuntu Weekly Recipe|gihyo.jp … 技術評論社 はてなブックマークに追加

Notifying Administrators About Unhashed Password Storage | Google Cloud Blog

Notifying Administrators About Unhashed Password Storage | Google Cloud Blog

Notifying Administrators About Unhashed Password Storage | Google Cloud Blog

Inside Google Cloud Notifying administrators about unhashed password storage Google&#8217;s policy is to store your passwords with cryptographic hashes that mask those passwords to ensure their security. However, we recently notified a subset of our enterprise G Suite customers that some password...

はてなブックマーク - Notifying Administrators About Unhashed Password Storage | Google Cloud Blog はてなブックマークに追加

「Docker Hub」ポータル、著名コンテナの20%に設定ミス – ZDNet Japan

「Docker Hub」ポータル、著名コンテナの20%に設定ミス - ZDNet Japan

「Docker Hub」ポータル、著名コンテナの20%に設定ミス - ZDNet Japan

Kenna Securityは米国時間5月20日、「Docker Hub」上で広く利用されている1000の「Docker」コンテナのうち、およそ20%がある種の条件下でユーザーシステムに対する攻撃を許す設定になっていることを明らかにした。 これは、Cisco Talosが8日に明らかにした、公式版の「Alpine Linux Docker」コンテナに存在する脆弱性と...

はてなブックマーク - 「Docker Hub」ポータル、著名コンテナの20%に設定ミス - ZDNet Japan はてなブックマークに追加

Googleが2005年以来G Suiteのパスワードが平文保存されていたことを公表 | TechCrunch Japan

Googleが2005年以来G Suiteのパスワードが平文保存されていたことを公表 | TechCrunch Japan

Googleが2005年以来G Suiteのパスワードが平文保存されていたことを公表 | TechCrunch Japan

Googleは、同社のエンタープライズ顧客の一部システムで、誤ってパスワードが平文で保存されていたことを発表した。 検索の巨人は米国時間5月21日にこの問題を公表したが、正確にどれだけの顧客が影響を受けたのかは語らなかった。「当社のG Suite利用者の一部に対して、パスワードの一部が社内の暗号化システムにハッシ...

はてなブックマーク - Googleが2005年以来G Suiteのパスワードが平文保存されていたことを公表 | TechCrunch Japan はてなブックマークに追加

Google、企業向け「G Suite」の一部ユーザーパスワードを平文保存(対処済み) – ITmedia NEWS

Google、企業向け「G Suite」の一部ユーザーパスワードを平文保存(対処済み) - ITmedia NEWS

Google、企業向け「G Suite」の一部ユーザーパスワードを平文保存(対処済み) - ITmedia NEWS

Googleが、企業向け「G Suite」の一部のユーザーのパスワードを平文で保存していたと発表した。悪用された証拠はなく、影響を受けた企業の管理者には通知済みとしている。 米Googleは5月21日(現地時間)、企業向け「G Suite」の一部のユーザーのパスワードが、平文のままGoogleのクラウドに保存されていたと発表し、謝...

はてなブックマーク - Google、企業向け「G Suite」の一部ユーザーパスワードを平文保存(対処済み) - ITmedia NEWS はてなブックマークに追加

Windowsインストーラを悪用し不正コードを実行する手法を解説

Windowsインストーラは、プログラムをインストールするために、「Microsoft Software Installation(MSI)」パッケージファイルを使用します。各パッケージファイルには、プログラムのインストールまたは削除に必要な指示とデータを格納するリレーショナルタイプのデータベースが含まれています。

トレンドマイクロは、2019年4月、従来のセキュリティソリューションを回避し、他のファイルをダウンロードして実行する不正なMSIファイルを確認しました。攻撃者はこれらのMSIファイルのカスタムアクションを利用して、不正なスクリプトの実行やマルウェアの作成を行います。この手法を利用するマルウェアの1つは、特定のフォルダをチェックすることで対象とする銀行システムの有無を判定し、キー入力のようなイベントを待機して不正活動を行うものでした。また、再起動時に自身を実行し活動を持続する機能も備えていました。

■不正なMSIファイルの解析

トレンドマイクロは、不正なMSIファイル(拡張子:msi)のいくつかの検体の中で「JScript」および「VBScript」のコードを確認しました。スクリプトはその一部が削除されているように見えましたが、断片がファイルのその他の部分に分散していました。そのため、この不正なスクリプトを実行するためにスクリプト実行環境「wscript.exe」が直接実行されることはありません。というのも、通常、「JScript」および「VBScript」を実行する際、スクリプト実行環境「wscript.exe」が使われますが、インストーラ「msiexec.exe」自体がスクリプトを処理するインタプリタを備えているためです。

図1:断片化したJavaScriptのコードを含むMSIファイル
図1:断片化したJavaScriptのコードを含むMSIファイル

トレンドマイクロは、MSIファイルを編集するツール「Orca MSI Editor」を使用し問題のファイルを解析しました。これを使用することで、MSIファイルの情報を確認し、「CustomAction」テーブルを表示して問題のスクリプトを見つけることができます。カスタムアクションテーブルを使用すると、カスタムコードとデータをインストールに統合できます。つまり、インストール時に、カスタムアクションに設定したコードの実行が可能になるということです。実行されるコードのソースには、特定のデータベース内からのストリーム、インストールされたファイル、または既存の実行可能ファイルを指定することが可能です。CustomActionテーブルは、カスタムアクションの詳細情報を定義した「Action」、「Type」、「Source」、「Target」、そして「ExtendedType」という列を持っています。

図2 :「Orca MSI Editor」で表示したJavaScriptのコードを含む「CustomAction」テーブル
図2 :「Orca MSI Editor」で表示したJavaScriptのコードを含む「CustomAction」テーブル

不正なJavaScriptのコード

不正なJavaScriptのコード(「Trojan.JS.MSAIHA.SM」として検出)は、ファイルをダウンロードするためにURL「hxxps[:]//s3-eu-west-1[.]amazonaws[.]com/<ランダムな文字列>/image2[.]png」にアクセスします。ダウンロードしたファイルは、以下のいずれかのフォルダに保存されます。

  • %User Startup%\
  • %User Profile%\Saved Games
  • %User Profile%\Contacts
  • %User Profile%\Links
  • %User Profile%\Music

この「image2.png」はZIPファイルです。含まれている「.exe」、「.msi」、または「.dmp」ファイルには、「jesus」または「dump」というファイル名を使用します。「.txt」ファイルの場合、「desktop.txt」、「desktop」、または「desktop.ini」のいずれかとなります。このマルウェアはシステムをシャットダウンする機能も備えています。

不正なPowerShellのコード

不正なPowerShellのコード(「Trojan.PS1.MASAIHA.SM」として検出)を含む検体も確認されました。トレンドマイクロによる解析の時点では、この不正なPowerShellのコードに関連するURLは稼働中でした。この検体は、ファイル「%Application Data%/<yyyyMM>.ini」が見つかった場合、不正な機能は続行せず、代わりに感染の指標としてファイルを作成することを確認しました。また、XOR方式で暗号化された「.zip」ファイルをダウンロードし、ハードコードされた鍵「0x29」を使用して復号します。

「.zip」ファイルには、以下のファイルが含まれています。

  • 「iLua.inf」
  • 「msvcr120.dll」
  • 「msvcp120.dll」
  • セキュリティ企業「Avira」によってデジタル署名されたファイルなどの通常のファイル
  • 「AutoIt」関連のファイル
  • 暗号化されたダイナミック・リンク・ライブラリ(DLL)

以下の図3は実際の「.zip」ファイルの内容を示しています。

図3: 「Microsoft」フォルダに保存された「.zip」ファイルの内容
図3: 「Microsoft」フォルダに保存された「.zip」ファイルの内容

以下の図4のように、この不正なPowerShellのコードは、Windowsの自動操作のために使用される無料のプログラミング言語「AutoIt」のスクリプトをパラメータを使用して実行し、以下の手順を実行します。

  1. 「Jlib.dll」を読み込む(ただし、復号しないため読み込みには失敗)
  2. 「context_snapshot.exe」を実行(Avira製ソフトウェアのコンポーネント「Avira.SystrayStartTrigger.exe」)

図4:不正なPowerShellのコードが「context_snapshot.exe」を実行
図4:不正なPowerShellのコードが「context_snapshot.exe」を実行

ここで、上の図3において「v8_context_snapshot.src」と示されるAutoItスクリプト(「Trojan.AutoIt.AUTINJECT.AA」として検出)はパスワードで保護されています。そのため、トレンドマイクロは、パスワードを推測したり、パス名やその他の情報を生成したりするためのツールである、修正された「myAut2Exe」を実行しました。

ファイルを復号したところ、オンラインで入手可能なAutoItスクリプトを修正して利用していることが確認されました。このオンラインで入手可能なAutoItスクリプトは、DLLをメモリに読み込むために使用されます。さらに、最終的にメモリに読み込むDLLを追加し、Avira製ソフトウェアのコンポーネント「context_snapshot.exe」を実行するための関数をメモリから呼び出します。これにより、ユーザに、Avira製ソフトウェアのMSIファイルを実行していると思い込ませます。以下の図5、6はその様子を示しています。

図5:「v8_context_snapshot.src」のログ出力
図5:「v8_context_snapshot.src」のログ出力

図6: スクリプトに埋め込まれたDLLによって実行される「Avira」実行ファイル
図6: スクリプトに埋め込まれたDLLによって実行される「Avira」実行ファイル

トレンドマイクロはこの解析結果をAviraに共有し、以下のような回答を受けました。

「マルウェアは、不正なコードを通常のインストールプロセスに読み込むために、Aviraの実行ファイルの1つを利用しています。これは、正規プロセスの中で不正なコードを実行しセキュリティソリューションを回避することを可能にするためです。通常のインストールのシナリオにおいて、もしファイルがデジタル署名されていない場合、Aviraのプロセス保護はサイドローディングを行うサードパーティ製コンポーネントを許可しません。Aviraのプロセスが確実に不正使用されないようにするために、Aviraは解析と必要な対策を講じます。」

■ブラジルとポルトガルの銀行ユーザを狙う検体

「Trojan.PS1.MSAIHA.SM」に関連する他の検体では、前述の「.zip」ファイルをダウンロードするために、対象PCを再起動してオンラインストレージサービス「Dropbox」のリンクを利用することが確認されています。ブラジルの銀行に関連した以下のフォルダ名をチェックする検体も確認されています。パスが存在した場合、マルウェアはその機能を続行します。

  • %Application Data%\Local\Aplicativo Itau(ブラジルの銀行に関連)
  • %Program Files%\AppBrad(ブラジルの銀行および金融サービス企業に関連)
  • %Program Files%\Diebold\Warsaw(金融および小売技術企業に関連)

(注:「%Application Data%」は現在ログオンしているユーザのアプリケーションデータフォルダです。「%Program Files%」はプログラムファイルのフォルダです。)

以下の図7では、この検体が利用するMSIファイルは、正規のPDF閲覧ソフトに偽装していました。

図7:正規PDF閲覧ソフトに偽装したファイルのポップアップウィンドウ
図7:正規PDF閲覧ソフトに偽装したファイルのポップアップウィンドウ

このファイルは、MSIファイルが正規のものと思い込ませるために、ユーザを上記PDF閲覧ソフトのポルトガル語版サイトにリダイレクトさせます。

図8:MSIファイルはユーザをポルトガル語のサイトにリダイレクト
図8:MSIファイルはユーザをポルトガル語のサイトにリダイレクト

また、トレンドマイクロは解析の中、「Trojan.PS1.MSAIHA.SM」に関連した図9で示されているスパムメールを確認しました。

図9:「.zip」ファイルが添付されたスパムメール
図9:「.zip」ファイルが添付されたスパムメール

メールにはポルトガル語で簡潔に書かれたテキストが含まれていて、受信者に対して、添付ファイルを指して緊急にそれを処理するよう求めています。このメールには「Fatur432952-532-674.zip」という名前の「.zip」ファイルが添付されています。この「.zip」ファイルには、MSIファイルが含まれており、実行すると図10のスクリプトによってこの活動の一部であることが確認された不正なURLの1つからファイルをダウンロードします。図10に示されているURLの「image2.png」は、実際は「.zip」ファイルです。

図10:「.zip」ファイルをダウンロードするスクリプト
図10:「.zip」ファイルをダウンロードするスクリプト

この「.zip」ファイルには、以下のものが含まれます。

  • 「dump.msi」(「Trojan.JS.MSAIHA.SM」として検出)
  • 「dump.exe」(「TrojanSpy.Win32.CASBANEIRO.XLB」として検出)
  • 「ssleay64.dll」(「TrojanSpy.Win32.CASBANEIRO.XLB」として検出)

図11:スパムメールに添付されていたMSIの不正活動
図11:スパムメールに添付されていたMSIの不正活動

不正なペイロードは、訪問者の位置情報を提供するAPI「hxxps[:]//www[.]localizaip[.]com[.]br/api/iplocation[.]php」にアクセスし、国コードをチェックすることでブラジルとポルトガルを標的にしています。続いて、オンライン銀行サービスや金融情報、さらにはキー入力のような特定のイベントの発生を待機します。

図12:実行された「dump.exe」の処理の流れ
図12:実行された「dump.exe」の処理の流れ

作成されたウィンドウのコールバック関数に含まれる文字列を復号したところ、ブラジルの金融機関の名称と思われる文字列やパスワードを意味するポルトガル語の単語が確認されました。以下は復号された文字列の一覧です。

  • AMARELO_PASS_6
  • AMARELO_PASS_8
  • AMARELO_PASS_CERT
  • AMARELO_QR
  • AMARELO_CERT_SIMPLES
  • AMARELO_PASS_SIMPLES
  • AMARELO_PASS_QR
  • SICREDI_ASS
  • SICREDO_TOKEN_FISICO
  • SICREDO_TOKEN_MOB
  • SICREDO_PASS_QR
  • SANTA_ASSI_ELECTRO
  • SANTA_TOKEN
  • SANTA_N_SERIE
  • SANTA_PASS_QR
  • SANTA_POS_TABELA
  • CEF_ASS_NUMERO
  • CEF_ASS_NUMER0_LETRAS
  • CEF_PASS_QR
  • NORD_POS_CARTAO
  • NORD_PASS_QR
  • BANESTER_CERTIFICADO
  • BANESTES_COD_ACCESSO
  • BANESTES_PASS_QR
  • BANRI_SENHA
  • BANRI_SENHA_TECLADO
  • SAFRA_TOKEN_MOB
  • SAFRA_TOKEN_DISPLAY
  • SAFRA_SENHA_TECLADO
  • SAFRA_PASS_QR
  • DESCO_POS_TABELA
  • DESCO_CERT
  • DESCO_TOKEN_6
  • DESCO_TOKEN_8
  • DESCO_PASS_QR
  • DESCO_CEL_VISOR
  • DESCO_PISCA
  • BRB_CODIGO
  • BRB_SENHA_TECLADO
  • BRB_PASS_QR
  • ITA_DATA
  • ITA_SENH6
  • ITA_TOKAPP
  • ITA_TOKCELL
  • ITA_QR


■MSIのカスタムアクションを悪用する手法

開発者は、インストールの実行のために、標準的に組み込まれたアクション以外のカスタムアクションを作成する必要がある場合があります。Microsoftはカスタムアクションが必要となる場合として以下のシナリオを挙げています

  • ユーザーのマシンにインストールされた、またはアプリケーションと一緒にインストールする実行可能ファイルをインストールプロセス中に起動する必要がある場合。
  • DLLで定義された特別な関数をインストールプロセスの間に呼び出す必要がある場合
  • インストールプロセスの間に、プログラミング言語「Microsoft Visual Basic Scripting Edition」または「Microsoft Jscript」で記述された関数を使用する必要がある場合
  • いくつかのアクションをインストールスクリプトの実行まで延期する必要がある場合
  • 「ProgressBar」や「TimeRemaining Text」を制御することにより時間と進行状況の情報を追加したい場合

しかしながら、これらの状況の結果として、1番目と2番目のシナリオでの悪用も、巧妙なマルウェアでは起こりそうにありません。

下の図13のVBScriptを含む別の検体を解析した結果、マルウェアの作成者はWindowsのインストールパッケージを作成するアプリケーション「Advanced Installer」を使用してサンプルを作成したとトレンドマイクロは推測しています。なぜなら、ログやプロセスを閲覧する目的でPowerShellスクリプトを実行するためには「powershellscriptlauncher.dll 」のようなサードパーティのライブラリが必要であるからです。

図13:CustomActionにVBScriptが含まれる検体(Orca MSI Editorの表示)
図13:CustomActionにVBScriptが含まれる検体(Orca MSI Editorの表示)

トレンドマイクロは、Advanced Installerを使用して、JavaScript、VBS、およびPowerShellスクリプトの実行やライブラリの読み込みなどの、検体のカスタムアクションを追加または変更することができました。これは、通常のMSIパッケージを簡単に修正して不正なプログラムを挿入することができるように、機能を悪用しようとしている攻撃者にとって、都合よく利用される可能性があります。以下の図14~16はその様子を示しています。

図14:「Advanced Installer」のカスタムアクション追加画面
図14:「Advanced Installer」のカスタムアクション追加画面

図15:既存のおよび新規に作成されたPowerShellスクリプトを示すカスタムアクション
図15:既存のおよび新規に作成されたPowerShellスクリプトを示すカスタムアクション

図16: PowerShellスクリプトを実行するための新しいカスタムアクションの追加
図16: PowerShellスクリプトを実行するための新しいカスタムアクションの追加

このマルウェアは、「DLLサイドローディング」によって複数のコンポーネントを利用するマルチコンポーネント(DLLサイドローディング)構造のマルウェアを含む圧縮ファイルをダウンロードします。

■被害に遭わないためには

トレンドマイクロは以前にもMSIを悪用してマルウェアをインストールする攻撃について報告していますが、そのような手口は通常、ユーザが望まないアプリケーション「PUA(Potentially Unwanted Application)」のインストールに利用されており、必ずしもマルウェアの作成が目的というわけではありません。しかし、本記事で解説したような手口と合わせて、注意が必要な仕組みだと言えます。なぜなら従来のMSIパッケージとカスタムアクションを利用したマルウェアのインストールは、注意が必要な仕組みです。従来のインストール方法しか検出しないセキュリティソフトウェアを回避する目的で、攻撃者がMSIパッケージとカスタムアクションを利用する可能性があるためです。

本記事で紹介したマルウェアの作成者は、マルウェアを拡散させるさまざまな手法をテストしていたと考えられます。さらに、スパムメール本文の言語、リダイレクトさせるサイト、存在を確認するフォルダなどからブラジルとポルトガルにいるユーザに狙いを絞っていたと考えられる検体も確認されました。脅威を防ぐための最初のステップとして、以下のベストプラクティスを講じることを推奨します。

  • 未知のファイルをインストールすることを避けること
  • 不正なファイルをダウンロードさせるサイトへとリダイレクトされる可能性のあるURLをクリックしないこと
  • 最新のセキュリティパッチを適用してシステムを更新すること
  • セキュリティ対策製品を採用し脆弱性などを利用する攻撃を防ぐこと

■トレンドマイクロの対策

クロスジェネレーションで進化を続ける「XGen™セキュリティ」は、AI 技術をはじめとする先進技術と実績の高いスレットインテリジェンスを融合した防御アプローチにより、データを保管するサーバ、データを交換するネットワーク、データを利用するユーザの各レイヤーで最適化されたセキュリティを提供します。Web/URLフィルタリング、挙動解析、カスタムサンドボックスのような機能を備えたクロスジェネレーション(XGen)セキュリティアプローチは、既知または未知/未公開の脆弱性を狙い、個人情報の窃取や暗号化、不正な仮想通貨マイニング活動を実行する脅威をブロックします。XGen は「Hybrid Cloud Security」、「User Protection」、そして「Network Defense」へのソリューションを提供するトレンドマイクロ製品に組み込まれています。

この脅威に関連する侵入の痕跡(IoC)の一覧は、こちらを参照してください。

参考記事:

調査協力: Henry Alarcon Jr., John Rey Cañon, and Jay Nebre
翻訳: 下舘 紗耶加(Core Technology Marketing, TrendLabs)

グーグル、「G Suite」の一部パスワードを暗号化せず14年間も保存していた – CNET Japan

グーグル、「G Suite」の一部パスワードを暗号化せず14年間も保存していた - CNET Japan

グーグル、「G Suite」の一部パスワードを暗号化せず14年間も保存していた - CNET Japan

Googleは米国時間5月21日のブログ記事で、「G Suite」の顧客に対し、一部のパスワードを暗号化せず社内サーバーに保存していたと通知した。これはつまり、これらのパスワードを見つけた人は誰もがそのパスワードを平文で読めたということだ。Google Cloud Trustのエンジニアリング担当バイスプレジデント、Suzanne Frey...

はてなブックマーク - グーグル、「G Suite」の一部パスワードを暗号化せず14年間も保存していた - CNET Japan はてなブックマークに追加

3分でわかる ダークウェブ | 日経 xTECH(クロステック)

3分でわかる ダークウェブ | 日経 xTECH(クロステック)

3分でわかる ダークウェブ | 日経 xTECH(クロステック)

登録会員限定記事 現在はどなたでも閲覧可能です 特別なツールを使わないとアクセスできないWebサイトやWebサービスの総称。銃や危険ドラッグ、マルウエア、不正に取得されたクレジットカード情報など違法な品や情報の取引に使われることが多く、インターネットのヤミ市とも称される。 Google ChromeやMicrosoft Edgeと...

はてなブックマーク - 3分でわかる ダークウェブ | 日経 xTECH(クロステック) はてなブックマークに追加

高木浩光@自宅の日記 – 電気通信事業法における検閲の禁止とは何か

高木浩光@自宅の日記 - 電気通信事業法における検閲の禁止とは何か

高木浩光@自宅の日記 - 電気通信事業法における検閲の禁止とは何か

■ 電気通信事業法における検閲の禁止とは何か 目次 通信の秘密に検閲は関係しないの? 昨年のブロッキングを巡る議論のズレっぷり 検閲の禁止と通信の秘密との関係 戦後初期ではどう整理されていたか カワンゴ的な検閲厨の到来は昭和27年の国会で予見され論破されていた インターネット時代における検閲の禁止・通信の秘...

はてなブックマーク - 高木浩光@自宅の日記 - 電気通信事業法における検閲の禁止とは何か はてなブックマークに追加

中継サーバー無届け設置か女逮捕|NHK 茨城県のニュース

中継サーバー無届け設置か女逮捕|NHK 茨城県のニュース

中継サーバー無届け設置か女逮捕|NHK 茨城県のニュース

海外から日本へのインターネットへの接続を中継するサーバーを無届けで設置したとして、27歳の中国人の女が電気通信事業法違反の疑いで警察に逮捕されました。 警察は、このサーバーが金融機関への不正アクセスや海外への不正な送金に使われていた疑いがあるとみて調べています。 逮捕されたのは、中国人で、さいたま...

はてなブックマーク - 中継サーバー無届け設置か女逮捕|NHK 茨城県のニュース はてなブックマークに追加

時代遅れの「パスワード定期変更」  :日本経済新聞

時代遅れの「パスワード定期変更」  :日本経済新聞

時代遅れの「パスワード定期変更」  :日本経済新聞

米マイクロソフトは、パソコン用基本ソフト「ウィンドウズ10」の最新版で「定期的なパスワード無効化ポリシー」を廃止する方針を明らかにした。同社のブログでプリンシパルコンサルタントのアーロン・マーガシス氏は「定期的なパスワードの変更は、古くさくて時代遅れで価値が低い」と理由を述べる。 パスワードを定期的...

はてなブックマーク - 時代遅れの「パスワード定期変更」  :日本経済新聞 はてなブックマークに追加

CPUの脆弱性問題への修正パッチが実質的なCPUパフォーマンスに与える影響とは? – GIGAZINE

CPUの脆弱性問題への修正パッチが実質的なCPUパフォーマンスに与える影響とは? - GIGAZINE

CPUの脆弱性問題への修正パッチが実質的なCPUパフォーマンスに与える影響とは? - GIGAZINE

by Nikolay Dik 2018年1月、Intel製CPUに設計上の欠陥として存在する脆弱性「メルトダウン」と、全てのCPUに影響を及ぼす可能性がある脆弱性「スペクター」が発見され、大きな騒動となりました。Microsoftをはじめとする各社が修正パッチを当てることで対応していますが、このパッチがIntelおよびAMD製CPUの性能にどれほ...

はてなブックマーク - CPUの脆弱性問題への修正パッチが実質的なCPUパフォーマンスに与える影響とは? - GIGAZINE はてなブックマークに追加

痛いニュース(ノ∀`) : Huawei「安心してください。Android更新はないけどセキュリティーアップデートはあります」 – ライブドアブログ

痛いニュース(ノ∀`) : Huawei「安心してください。Android更新はないけどセキュリティーアップデートはあります」 - ライブドアブログ

痛いニュース(ノ∀`) : Huawei「安心してください。Android更新はないけどセキュリティーアップデートはあります」 - ライブドアブログ

Huawei「安心してください。Android更新はないけどセキュリティーアップデートはあります」 1 名前:サーバル ★:2019/05/21(火) 16:37:17.06 ID:MZO5eH0o9 「安心して」Huaweiが声明発表 Googleの取引一部停止 Googleが取引を一部停止したことについて、Huaweiは声明を発表した スマホなどの既存製品すべてにアフターサ...

はてなブックマーク - 痛いニュース(ノ∀`) : Huawei「安心してください。Android更新はないけどセキュリティーアップデートはあります」 - ライブドアブログ はてなブックマークに追加

正規ソフトを隠れ蓑にしてランサムウェアをインストールさせる事例を確認 | トレンドマイクロ is702

正規ソフトを隠れ蓑にしてランサムウェアをインストールさせる事例を確認 | トレンドマイクロ is702

正規ソフトを隠れ蓑にしてランサムウェアをインストールさせる事例を確認 | トレンドマイクロ is702

トレンドマイクロは5月20日、公式ブログで「ランサムウェア『Dharma』、不正活動を隠ぺいするために正規ソフトウェアを利用」と題する記事を公開しました。 「Dharma」は、2016年に登場した暗号化型ランサムウェア(身代金要求型ウイルス)で、現在も引き続き被害を与えています。トレンドマイクロは今回、ソフトウェア...

はてなブックマーク - 正規ソフトを隠れ蓑にしてランサムウェアをインストールさせる事例を確認 | トレンドマイクロ is702 はてなブックマークに追加

Googleの調査データが2段階認証の対ハッカー防御効果を実証 | TechCrunch Japan

Googleの調査データが2段階認証の対ハッカー防御効果を実証 | TechCrunch Japan

Googleの調査データが2段階認証の対ハッカー防御効果を実証 | TechCrunch Japan

何が最良のセキュリティ対策か、という質問をよく受ける。 長い答は「どんな脅威かによるね」だ。圧倒的多数の人々にとっての最良のセキュリティ対策は、核科学者や政府の諜報部員が必要としているようなレベルのものではない。 短い答は「2段階認証を使いなさい」で足りる。でも、誰も信じようとしない。 でも、サイバ...

はてなブックマーク - Googleの調査データが2段階認証の対ハッカー防御効果を実証 | TechCrunch Japan はてなブックマークに追加

どのくらいの確率でクレジットカードは不正利用される?興味があったので、悪用されたことがある人の比率をアンケート調査してみた。 – クレジットカードの読みもの

どのくらいの確率でクレジットカードは不正利用される?興味があったので、悪用されたことがある人の比率をアンケート調査してみた。 - クレジットカードの読みもの

どのくらいの確率でクレジットカードは不正利用される?興味があったので、悪用されたことがある人の比率をアンケート調査してみた。 - クレジットカードの読みもの

2018年にクレジットカードが不正利用された総額は235.4億円。 これだけを見ると『クレジットカードってなんて怖いんだ!やっぱり持つべきじゃない!』なんて感じる方も多いと思いますが、過去、20年間にわたり10枚以上のクレジットカードを活用してきた私は…というと、未だに不正利用というものをされたことがないんです...

はてなブックマーク - どのくらいの確率でクレジットカードは不正利用される?興味があったので、悪用されたことがある人の比率をアンケート調査してみた。 - クレジットカードの読みもの はてなブックマークに追加

「日本の消費者はご安心を」「セキュリティ更新に影響なし」──ファーウェイ P30発表で声明 – Engadget 日本版

「日本の消費者はご安心を」「セキュリティ更新に影響なし」──ファーウェイ P30発表で声明 - Engadget 日本版

「日本の消費者はご安心を」「セキュリティ更新に影響なし」──ファーウェイ P30発表で声明 - Engadget 日本版

米企業の取引停止に揺れるファーウェイは本日(5月21日)、最新SIMフリースマートフォン「HUAWEI P30」シリーズを国内発表。登壇した呉波氏(デバイス部門 日本・韓国担当プレジデント)は『日本の消費者の皆様は安心してご購入・ご使用ください』とコメントしました。 <呉波氏の米制裁に関する発言は下記の通り> 「米...

はてなブックマーク - 「日本の消費者はご安心を」「セキュリティ更新に影響なし」──ファーウェイ P30発表で声明 - Engadget 日本版 はてなブックマークに追加

済南、インターネット検閲の新しき都(翻訳) – 辺境通信

済南、インターネット検閲の新しき都(翻訳) – 辺境通信

済南、インターネット検閲の新しき都(翻訳) – 辺境通信

先日、敬愛する水彩画さんに教えていただいたこの件。 【济南要建互联网审核之都 消息被删】https://t.co/rXlT96VhhP 済南にネット審査の大規模なセンターがでけた、という報道が削除されたとのこと — 水彩画 (@suisaigagaga) 2019年4月22日 非常に興味深いながらにちょっと時間の関係もあり、触れられずにいた(いる)...

はてなブックマーク - 済南、インターネット検閲の新しき都(翻訳) – 辺境通信 はてなブックマークに追加

ユニクロやGUに不正ログイン46万件、住所など流出の可能性

やや旧聞となるが、衣料品店「ユニクロ」や「GU」を手がけるファーストリテイリングが、同社の通販サイトに不正アクセスがあったことを明らかにした毎日新聞INTERNET Watch日経xTECH)。

他のサービスなどから流出したID・パスワードのリストを使ってログインを試みる、いわゆる「リスト型攻撃」によって不正ログインを試みるという手法で、攻撃は4月23日から5月10日にかけて行われたという。顧客からの問い合わせで発覚した。不正ログインによって氏名や住所、クレジットカード番号の一部といった登録情報が閲覧された可能性があるという。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
半田ごてメーカー白光のECサイトで個人情報漏洩、個人情報が含まれたファイルが外部から見える状態だった? 2019年04月01日
意図的に間違ったID/パスワードを入力し、他のユーザーがログインできなくなるようにする嫌がらせ 2019年02月06日
宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 2019年01月26日
仮想通貨取引所Zaif、不正アクセスで約67億円相当の仮想通貨を流出させる 2018年09月21日
産総研が不正アクセス被害の調査報告書を公開、2要素認証はやはり効果的 2018年08月03日

Fedora、rootユーザーによるsshパスワードログインのデフォルト無効化を検討開始

headless曰く、

Fedoraは今秋リリースのFedora 31に向け、rootユーザーによるsshパスワードログインをデフォルトで無効化すべく検討を開始したようだ(PhoronixFedora Wikidevelメーリングリストのスレッド)。

OpenSSHでは2015年からrootユーザーのパスワードログインをデフォルトで無効化しているが、Fedoraはデフォルト設定を変更してパスワードログインを許可し続けていた。しかし、Linuxのrootログインは攻撃者に狙われやすい部分であり、パスワードはその弱点となっている。Fedoraがパスワードログインを許可し続けてきたのにはさまざまな実用的な理由があるものの、OpenSSHのデフォルトとの違いが許容できない段階に達しており、ユーザーの期待するデフォルト設定にも反するため変更が必要になったとのこと。変更後も公開鍵認証やGSS-API認証は影響を受けない。

一方、この設定に依存するものも多く存在するため、対策の検討も必要となる。最終的にはFedora Engineering Steering Committee(FESCo)での採決が必要になるが、develメーリングリストで強い反対意見は出ておらず、Fedora 31ではrootユーザーのsshパスワードログインがデフォルト無効になる可能性が高いとみられている。

すべて読む | Linuxセクション | Linux | セキュリティ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
脆弱性公表をきっかけにbeepパッケージの不要論が出る 2018年04月13日
ついにWindowsにMicrosoft公式SSHクライアントがやってくる 2015年06月04日
500万個のSSH公開鍵を解析する実験 2015年01月27日

CNN.co.jp : 「中国製ドローンが情報を窃盗」、米政府が警戒呼びかけ

CNN.co.jp : 「中国製ドローンが情報を窃盗」、米政府が警戒呼びかけ

CNN.co.jp : 「中国製ドローンが情報を窃盗」、米政府が警戒呼びかけ

中国DJI社製のドローン「インスパイア」/Jonathan Gibbons/Getty Images Europe/Getty Images ワシントン(CNN) 米国土安全保障省は20日、中国製のドローンについて、飛行情報が中国のメーカーに送信されている可能性があり、その情報は中国政府がアクセスできる状態にあるとして、そうしたドローンを使う米国...

はてなブックマーク - CNN.co.jp : 「中国製ドローンが情報を窃盗」、米政府が警戒呼びかけ はてなブックマークに追加

サーバ改ざんが可能な状態に――SharePoint Serverの脆弱性、悪用する攻撃が発生 – ITmedia エンタープライズ

サーバ改ざんが可能な状態に――SharePoint Serverの脆弱性、悪用する攻撃が発生 - ITmedia エンタープライズ

サーバ改ざんが可能な状態に――SharePoint Serverの脆弱性、悪用する攻撃が発生 - ITmedia エンタープライズ

この脆弱性は、セキュリティ企業Trend Micro傘下のZero Day Initiative(ZDI)が発見し、Microsoftが2019年2月の月例セキュリティ更新プログラムで修正していた。ZDIはこの時点で、悪用されることで細工を施したSharePointアプリケーションパッケージをアップロードされ、任意のコードを実行される可能性を指摘していた...

はてなブックマーク - サーバ改ざんが可能な状態に――SharePoint Serverの脆弱性、悪用する攻撃が発生 - ITmedia エンタープライズ はてなブックマークに追加

ハッキング依頼サービスの多くは詐欺?–グーグルら調査 – ZDNet Japan

ハッキング依頼サービスの多くは詐欺?--グーグルら調査 - ZDNet Japan

ハッキング依頼サービスの多くは詐欺?--グーグルら調査 - ZDNet Japan

オンラインで利用可能なハッキング依頼サービスは、われわれが思っていたとおり詐欺であり、効果がない場合が多いことが、Googleとカリフォルニア大学サンディエゴ校の学者らによる新しい調査で先週明らかになった。 研究者らは、「ユニークなネット上の架空の人格を使用して、27のそうしたアカウントハッキングサービス...

はてなブックマーク - ハッキング依頼サービスの多くは詐欺?--グーグルら調査 - ZDNet Japan はてなブックマークに追加

Instagramインフルエンサーらの個人情報、4900万件が流出か – CNET Japan

Instagramインフルエンサーらの個人情報、4900万件が流出か - CNET Japan

Instagramインフルエンサーらの個人情報、4900万件が流出か - CNET Japan

Instagramのインフルエンサーは、普段から自分たちの生活を人々に公開している。だが、データベースの漏えいにより、彼らについて知ることのできる情報がさらに公開されてしまったようだ。 TechCrunchの報道によると、インフルエンサーやブランドのアカウントを含むInstagramユーザーのアカウント情報4900万件以上がオン...

はてなブックマーク - Instagramインフルエンサーらの個人情報、4900万件が流出か - CNET Japan はてなブックマークに追加

【悲報】トレンドマイクロ さん、ウイルスバスター が中国製であることをうっかり公式アナウンスで拡散してしまう – Windows 2000 Blog

【悲報】トレンドマイクロ さん、ウイルスバスター が中国製であることをうっかり公式アナウンスで拡散してしまう - Windows 2000 Blog

【悲報】トレンドマイクロ さん、ウイルスバスター が中国製であることをうっかり公式アナウンスで拡散してしまう - Windows 2000 Blog

一部SNSや報道に関して | トレンドマイクロ 中国・南京の開発拠点が攻撃されたという報道もありますが事実とは異なります今まで、トレンドマイクロの開発拠点は台湾だと思ってた方も多いと思いますが、中国・南京だったようです。 そういえば、うちのブログ見て、中国製品じゃなく台湾製品だって主張してた人もいました...

はてなブックマーク - 【悲報】トレンドマイクロ さん、ウイルスバスター が中国製であることをうっかり公式アナウンスで拡散してしまう - Windows 2000 Blog はてなブックマークに追加

なぜMicroservicesか? | SOTA

なぜMicroservicesか? | SOTA

なぜMicroservicesか? | SOTA

なぜMicroservicesか? 現職においてMonolithアーキテクチャからMicroservicesアーキテクチャへの移行とその基盤の構築に関わって2年近くが経った.未だ道半ばであるがこれまでの経験や日々のインプットをもとにいろいろ書いておこうという気持ちになった.本記事ではそもそもMicroservicesアーキテクチャとは何かを整理...

はてなブックマーク - なぜMicroservicesか? | SOTA はてなブックマークに追加

「パブリックDNSサービス」ってなんだ?IIJが日本初公開した狙い | 日経 xTECH(クロステック)

「パブリックDNSサービス」ってなんだ?IIJが日本初公開した狙い | 日経 xTECH(クロステック)

「パブリックDNSサービス」ってなんだ?IIJが日本初公開した狙い | 日経 xTECH(クロステック)

有料会員限定記事 現在は登録会員(無料)の方も閲覧可能です インターネットイニシアティブ(IIJ)は2019年5月上旬、パブリックDNSサービス「IIJ Public DNSサービス(ベータ版)」を公開した。パブリックDNSサービスは複数あるが、国内では初めてとなる。そのサービスの特徴とIIJの狙いを解説する。 誰でも利用できる...

はてなブックマーク - 「パブリックDNSサービス」ってなんだ?IIJが日本初公開した狙い | 日経 xTECH(クロステック) はてなブックマークに追加

あのマルウェアの悪夢が再び? Windows XPに3回目のセキュリティパッチが緊急公開:山市良のうぃんどうず日記(153) – @IT

あのマルウェアの悪夢が再び? Windows XPに3回目のセキュリティパッチが緊急公開:山市良のうぃんどうず日記(153) - @IT

あのマルウェアの悪夢が再び? Windows XPに3回目のセキュリティパッチが緊急公開:山市良のうぃんどうず日記(153) - @IT

山市良のうぃんどうず日記(153):あのマルウェアの悪夢が再び? Windows XPに3回目のセキュリティパッチが緊急公開 既にサポートが終了したWindows XPとWindows Server 2003/2003 R2に対し、異例のセキュリティパッチが提供されました。古いバージョンの「リモートデスクトップサービス」に存在するリモートコード実...

はてなブックマーク - あのマルウェアの悪夢が再び? Windows XPに3回目のセキュリティパッチが緊急公開:山市良のうぃんどうず日記(153) - @IT はてなブックマークに追加

MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは (1/3) – ITmedia エンタープライズ

MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは (1/3) - ITmedia エンタープライズ

MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは (1/3) - ITmedia エンタープライズ

Microsoftはこのほど、早急な対策が必要な脆弱性情報「CVE-2019-0708」と対応パッチを公開しました。同社が採った「例外的な対応」からは、今回の脆弱性の深刻度がうかがえます。 サイバー空間の脅威の多くは、メールもしくはWebからやってきます。皆さんもご存じのように、そうした攻撃の大部分は、「クリックしてファ...

はてなブックマーク - MSが“おきて破り”の緊急対応 今さらXPのパッチを出した深刻な脆弱性とは (1/3) - ITmedia エンタープライズ はてなブックマークに追加

東京都保健医療公社 多摩北部医療センターの不正アクセスについてまとめてみた – piyolog

東京都保健医療公社 多摩北部医療センターの不正アクセスについてまとめてみた - piyolog

東京都保健医療公社 多摩北部医療センターの不正アクセスについてまとめてみた - piyolog

2019年5月20日、東京都保健医療公社は多摩北部医療センターの職員端末が不正アクセスを受け、端末内の情報が流出した可能性があると発表しました。また職員関係者に対してスパムメールが送出される事案がその後発生し、これは端末内に保存された情報が流用されたとみられます。ここでは関連する情報をまとめます。 公式...

はてなブックマーク - 東京都保健医療公社 多摩北部医療センターの不正アクセスについてまとめてみた - piyolog はてなブックマークに追加

患者情報など3700人流出疑い 多摩北部医療センター 医師に不正アクセス – 産経ニュース

患者情報など3700人流出疑い 多摩北部医療センター 医師に不正アクセス - 産経ニュース

患者情報など3700人流出疑い 多摩北部医療センター 医師に不正アクセス - 産経ニュース

東京都保健医療公社は20日、運営する多摩北部医療センター(東村山市)の男性医師のメールアカウントに不正アクセスがあり、患者や医療関係者など計約3700人分の個人情報が流出した疑いがあると発表した。患者の氏名や住所、病名などが流出した可能性もある。男性医師のパソコンがウイルスに感染し、この医師をか...

はてなブックマーク - 患者情報など3700人流出疑い 多摩北部医療センター 医師に不正アクセス - 産経ニュース はてなブックマークに追加

ファーウェイ、トランプ政権から中国国外での死亡宣告 : 市況かぶ全力2階建

ファーウェイ、トランプ政権から中国国外での死亡宣告 : 市況かぶ全力2階建

ファーウェイ、トランプ政権から中国国外での死亡宣告 : 市況かぶ全力2階建

ファーwwwウェーイwww(死亡) — 甘音ユカさんと他114514人 (@Yuka_amane26) 2019年5月20日 5/18 ファーウェイ「アメリカが半導体売ってくれへんのやったらそれでええわ。ZTEみたいに米の前に膝はつかんで。半導体の独自開発の準備はできとるんや。多少は影響あるやろけど負けへんで」 — ○イジー (@daisycutter7) 2019年5...

はてなブックマーク - ファーウェイ、トランプ政権から中国国外での死亡宣告 : 市況かぶ全力2階建 はてなブックマークに追加

パスワードってどこにあるの?その2 | MBSD Blog

パスワードってどこにあるの?その2 | MBSD Blog

パスワードってどこにあるの?その2 | MBSD Blog

前回はWindowsの認証の仕組みやSAM(Security Account Manager)に関してご紹介しました(URL)。今回は、Active Directoryについて取り上げたいと思います。 まずは、Active Directoryのおさらいですが、アカウント、グループやコンピュータなどのリソースをドメインで一元管理できるディレクトリサービスを提供しており、...

はてなブックマーク - パスワードってどこにあるの?その2 | MBSD Blog はてなブックマークに追加

トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定(要約) – ITmedia NEWS

トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定(要約) - ITmedia NEWS

トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定(要約) - ITmedia NEWS

トレンドマイクロがハッカーによる攻撃を受けてウイルス対策ソフトのソースコードなどが流出したと報じられたトレンドマイクロは、「不正アクセスを受けてデバック用ファイルが流出した」ことは認めたただ、同社が保有するソースコードや顧客情報の漏洩は「確認していない」としている

はてなブックマーク - トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定(要約) - ITmedia NEWS はてなブックマークに追加

トレンドマイクロ、サイバー攻撃を受け情報漏洩を起こしていたことを認める。ソースコード漏洩は否定

5月9日、大手ウイルス対策ソフトベンダー3社がハッカー集団「Fxmsp」からサイバー攻撃を受けて製品ソースコードや機密情報などの流出が起きていたと米セキュリティ企業のAdvanced Intelligenceが伝えたpiyolog過去記事)。その後この3社がTrendMicro、Symantec、McAfeeだったことが明らかになったが、これに対しトレンドマイクロは実際にサイバー攻撃を受けたことを認めたものの、ソースコードの流出は否定している(朝日新聞トレンドマイクロの発表)。

トレンドマイクロは、「流出したものはデバック目的で利用される情報の一部」と述べている。これに対しFxmspとコンタクトを取ったAdvanced IntelligenceのYelisey Boguslavskiy氏はトレンドマイクロの発表について正しくないと主張、ハッカー集団がソースコードにアクセスした証拠があると述べている(Bleeping Computer

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
ハッキング集団、米大手アンチウィルス企業3社からソースコードなどを入手したと主張 2019年05月12日
トレンドマイクロがCoinhiveの実演時に細工をして意図的にCPU負荷を上げていた疑惑が出る 2019年03月06日
トレンドマイクロ、無断での個人情報収集について「必要なもの」と主張し批判を浴びる 2018年11月02日
九州大学、セキュリティ対策ソフトの不具合により約500件のトラブル発生 2018年06月18日
Kaspersky Internet Security のソースコードの一部がインターネットに流出 2011年02月03日

アカウント保護には電話番号を登録するだけも有効。Googleが1年間の調査結果を発表 – Engadget 日本版

アカウント保護には電話番号を登録するだけも有効。Googleが1年間の調査結果を発表 - Engadget 日本版

アカウント保護には電話番号を登録するだけも有効。Googleが1年間の調査結果を発表 - Engadget 日本版

Googleは5月17日(現地時間)、5月13日~17日にサンフランシスコで開催されたWEBに関する有識者会議The Web Conferenceで発表した、アカウント保護に関する調査結果を公開しました。それによると、アカウントに再設定用の電話番号を追加するだけ、ボットによる自動攻撃を100%、不特定多数を狙ったフィッシング攻撃を99%...

はてなブックマーク - アカウント保護には電話番号を登録するだけも有効。Googleが1年間の調査結果を発表 - Engadget 日本版 はてなブックマークに追加

ファイル共有ソフトの開発者はなぜ逮捕された?三浦貴大主演「Winny」製作決定 – 映画ナタリー

ファイル共有ソフトの開発者はなぜ逮捕された?三浦貴大主演「Winny」製作決定 - 映画ナタリー

ファイル共有ソフトの開発者はなぜ逮捕された?三浦貴大主演「Winny」製作決定 - 映画ナタリー

2018年に開催されたホリエモン万博CAMPFIRE映画祭内の「映画企画クラファン大会」でグランプリを獲った企画「Winny」の製作が決定した。 本作は、実在のエンジニア・金子勇が開発したP2Pファイル共有ソフト“Winny”をテーマにした作品。優れたソフトにもかかわらず、違法ファイル媒介の温床になってしまったため金子は逮...

はてなブックマーク - ファイル共有ソフトの開発者はなぜ逮捕された?三浦貴大主演「Winny」製作決定 - 映画ナタリー はてなブックマークに追加

ランサムウェア「Dharma」、不正活動を隠ぺいするために正規ソフトウェアを利用

暗号化型ランサムウェア「Dharma」は2016年に登場していますが、世界中のユーザや法人を標的にしてその被害を拡大させ続けています。有名な攻撃として、2018年11月に「Dharma」が米国テキサス州の病院システムに感染した事例があげられます。保存されていた記録の多くが暗号化されましたが、 幸いなことに、病院は身代金を支払うことなくこの攻撃による被害から復旧することができました。トレンドマイクロは、2019年4月、検出回避のためにソフトウェアのインストールを利用してその活動を隠ぺいしようとするDharmaの新しい検体を確認しました。

■ランサムウェア「Dharma」を使用する攻撃者が正規ソフトウェアを悪用

Dharmaの新しい検体は、このランサムウェアがいまだにスパムメールを介して配布されていることを示しています。典型的なスパムメールと同様に、Dharmaを拡散するメールは、ファイルをダウンロードするようにユーザを誘導します。 ユーザがダウンロードリンクをクリックすると、ファイルを入手する前にパスワードの入力を求められます。このパスワードは、図1に示されているように、電子メールのメッセージで提供されます。

図1: ランサムウェア「Dharma」を送りつけるスパムメール
図1: ランサムウェア「Dharma」を送りつけるスパムメール

下の図はDharmaの感染の流れです。

図2:ランサムウェア「Dharma」の感染の流れ
図2:ランサムウェア「Dharma」の感染の流れ

このダウンロードされたファイルは、「Defender.exe」という名前の自己解凍型アーカイブです。このファイルは、不正なファイル「taskhost.exe」(「RANSOM.WIN32.DHARMA.THDAAAI」として検出)、さらに「Defender_nt32_enu.exe」という名前に変更された旧バージョンのウイルス対策ソフトを削除するソフトウェア「ESET AV Remover」のインストーラを作成します。

図3:.自己解凍型アーカイブ「Defender.exe」の実行
図3:.自己解凍型アーカイブ「Defender.exe」の実行

このランサムウェアは、古いESET AV Removerのインストーラを使用します。初期調査ではこのインストーラは正規のものから変更されていないように見え、実際に正規のインストーラでした。このようにして、標的となったデバイス上のファイルを暗号化する際にユーザの注意をそらします。自己解凍型アーカイブが実行されると、Dharmaはバックグラウンドでファイルの暗号化を開始し、ESET AV Removerのインストールが始まります。 スクリーン画面にはESET AV Removerの画面が表示されますが、これはDharmaによる不正な活動をユーザに気づかれないように隠そうとするものです。以下の図4はその様子です。

図4:ソフトウェアのインストールがランサムウェアの活動を隠ぺい
図4:ソフトウェアのインストールがランサムウェアの活動を隠ぺい

図5:ソフトウェアのインストールは暗号化を行うマルウェアとは異なるインスタンスとして実行される
図5:ソフトウェアのインストールは暗号化を行うマルウェアとは異なるインスタンスとして実行される

このESET AV Removerは、通常の手順を通してインストールされ、実際に動作します。ただし、インストールが開始されていなくても問題のDharmaはファイルを暗号化をしてしまいます。DharmaはAV Removerのインストールとは異なるインスタンスとして実行されるため、それぞれの挙動の間に関連はありません。

Dharmaに付属したAV Removerはは正規のソフトウェアであるため、完全にインストールした状態にするにはユーザの操作が必要になります。しかし、AV Removerのインストールが開始されたかどうかに関係なくランサムウェアは実行されてしまいます。また、ランサムウェアが実行されなかったとしてもツールはインストールされます。このことから、このインストールプロセスは、不正な活動が行われていないとユーザに思い込ませるためのカモフラージュであると言えます。

図6: 有効なデジタル署名を含むESETのインストーラファイル
図6: 有効なデジタル署名を含むESETのインストーラファイル

サイバー犯罪者はこれまで巧みに正規ツールを悪用してきた歴史があります。本記事の事例のように、正規ソフトウェアのインストーラを隠れ蓑にしてユーザの注意をそらす手口も、そのような例の1つだと言えます。今回はESET社製正規ツールが悪用されましたが、他のどのようなソフトウェアもサイバー犯罪者に悪用される可能性があります。この新しいバージョンのDharmaでは、ユーザをだましてランサムウェアがバックグラウンドで密かに動作できるように設計されています。マルウェアの作成者が複数の回避策と不正な手法を講じ続けるたびに、ユーザもまた、自身の資産を保護するためにより強力でスマートなセキュリティソリューションを採用する必要があります。

トレンドマイクロは、この調査結果を公開する前にESETに共有しました。これを受けESETは以下の回答を発表しました。

「この記事は、マルウェアが正規のアプリケーションにバンドルされるという、よく知られている方法について説明しています。トレンドマイクロが解説しているこの事例では、修正されていない正規のESET AV Removerが利用されました。しかし、他のどのようなアプリケーションもこのような方法で使用される可能性があります。ESET AV Removerは、ユーザの気を逸らすことを主目的におとりとして利用されました。ESETの脅威検出エンジニアは、最近、ランサムウェアがいくつかの正常なファイルやハッキング/プロダクトキー生成/クラッキングに関連したファイルと共に、自己解凍型パッケージに格納されていた事例を複数確認しています。そのため、この事例はまったく新しい種類のものではありません。トレンドマイクロが解説したこの事例では、問題のランサムウェアがESETのAV Removerの実行直後に実行されますが、AV Removerはダイアログボックスを表示してユーザの操作を待つため、ランサムウェアが完全に実行されてしまう前にアンチウイルスソフトウェアが削除されることはありません。」

■被害に遭わないためには

ランサムウェアについての対策意識の高まりと、法人と一般利用者向けのソリューションの進歩により、ランサムウェアの脅威は継続的に減少しています。しかし、Dharmaの新しい検体で示されているように、多くの攻撃者は依然として既存の脅威をアップグレードし、新しい技術を利用した攻撃を続けています。検出数の減少にもかかわらず、ランサムウェアは依然として被害が大きな脅威であり、さまざまな機能を備えた検体が確認されています。利用される脅威です。そのような例として、2019年5月の初め、Sambaサーバの脆弱性を狙うランサムウェアファミリが確認されました。 登場当初、このランサムウェアは、利用者のネットワーク接続ストレージデバイスを狙う活動が確認され、その後に他のデバイスも標的とするように変化しました。一般利用者においても法人利用者においても、適切なサイバーセキュリティ対策を導入し、Dharmaのようなランサムウェア脅威に備える必要があります。従うべきベストプラクティスには以下のようなものがあります。

  • メール経由の攻撃を防ぐため、電子メール対策を行う。不審なメールや心当たりのない内容のメールは開かないようにする心がけも重要です。
  • ファイルを定期的にバックアップする。
  • システムとアプリケーションを常に最新の状態に保つ。レガシーシステムまたはすぐにアップデートできないシステムとソフトウェアには仮想パッチを適用する。
  • 最小権限の原則の適用:攻撃者が悪用する可能性のあるシステム管理ツールの保護。 ミッションクリティカルで機密性の高いデータのさらなる露出を最小限に抑えるために、ネットワークのセグメンテーションおよびデータの分類を実装する。 また、侵入経路として使用される可能性のあるサードパーティ製または古いコンポーネントを無効にする。
  • 徹底した防御の実装:アプリケーションコントロール挙動監視などといった追加のセキュリティレイヤーにより、システムに対する望ましくない変更や異常なファイルの実行を防止する。
  • 従業員のセキュリティ意識の向上のための教育や情報共有の実施

■侵入の痕跡 (Indicators of Compromise)

この脅威に関連する侵入の痕跡(IoC)の一覧は、こちらを参照してください。

参考記事:

翻訳: 下舘 紗耶加(Core Technology Marketing, TrendLabs)

トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定 – ITmedia NEWS

トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定 - ITmedia NEWS

トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定 - ITmedia NEWS

トレンドマイクロは、同社のテストラボ環境がハッカーによる攻撃を受けてウイルス対策ソフトのソースコードなどが流出したと報じられた問題で、「不正アクセスを受けてデバック用ファイルが流出した」と認めた。ただ、同社が保有するソースコードや顧客情報の漏洩は「確認していない」としている。 トレンドマイクロは5...

はてなブックマーク - トレンドマイクロ、不正アクセスによる情報流出認める ソースコード流出は否定 - ITmedia NEWS はてなブックマークに追加

米サンフランシスコ市、警察など公的機関での顔認証技術の使用を禁止

米サンフランシスコ市で、警察など公共機関に対し顔認証技術の使用を禁じる条例案が可決された(BBC朝日新聞ウォール・ストリート・ジャーナル)。

米国ではすでに法執行機関が顔認識を活用しているほか(過去記事)、コンサート会場においてストーカーを検出するために顔認識技術が使われていた事例もある(過去記事)。

サンフランシスコ市が顔認証技術を禁じた理由として、「恩恵よりも市民の権利や自由を侵すおそれのほうが大きい」ことが挙げられている。企業や連邦政府は対象外。

すべて読む | セキュリティセクション | セキュリティ | アメリカ合衆国 | プライバシ | この記事をTwitterでつぶやく この記事をFacebookで共有 この記事をGoogle Plusで共有 このエントリーをはてなブックマークに追加

関連ストーリー:
大阪メトロ、顔認証で改札を通れるシステムを導入へ 2019年04月24日
中国の汚職撲滅AIシステム、取り締り能力が高すぎてお蔵入りか 2019年02月19日
米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 2018年12月21日
Amazonのリアルタイム顔認識システムを米警察が利用。Amazonが積極的に営業か 2018年05月26日

GoogleのHuawei向けサポートが停止すると何が変わるのか? 発売済み端末への影響は?(本田雅一) – Engadget 日本版

GoogleのHuawei向けサポートが停止すると何が変わるのか? 発売済み端末への影響は?(本田雅一) - Engadget 日本版

GoogleのHuawei向けサポートが停止すると何が変わるのか? 発売済み端末への影響は?(本田雅一) - Engadget 日本版

米中貿易摩擦の影響や、米トランプ政権の保護主義的方針などもあり、国家安全保障を脅かす存在として名指しされてきたHuawei。先週、米政府は事実上、Huaweiを標的とした大統領令に署名し、米国籍の企業に取引を禁ずる企業のリストへHuaweiを入れました。 この行政命令を元に、米ロイターが5月19日、GoogleはHuawei向け...

はてなブックマーク - GoogleのHuawei向けサポートが停止すると何が変わるのか? 発売済み端末への影響は?(本田雅一) - Engadget 日本版 はてなブックマークに追加

校内「たばこ部屋」を内部通報した女性のその後――公務員の世界で見た“組織の掟” – Yahoo!ニュース

校内「たばこ部屋」を内部通報した女性のその後――公務員の世界で見た“組織の掟” - Yahoo!ニュース

校内「たばこ部屋」を内部通報した女性のその後――公務員の世界で見た“組織の掟” - Yahoo!ニュース

中央官庁や自治体で「不祥事」が相次いでいる。しかし、組織内での自浄を促す「内部通報制度」はほとんど機能していないという。財務省の「森友」文書改ざんや自衛隊のイラク派遣日報の隠蔽(いんぺい)問題なども、マスコミ報道がきっかけだった。公益通報者保護法に基づくこの制度は、なぜ、公的機関ではほとんど役に...

はてなブックマーク - 校内「たばこ部屋」を内部通報した女性のその後――公務員の世界で見た“組織の掟” - Yahoo!ニュース はてなブックマークに追加

オランダでファーウェイ製品の「バックドア」発見、政府が調査 | Forbes JAPAN(フォーブス ジャパン)

オランダでファーウェイ製品の「バックドア」発見、政府が調査 | Forbes JAPAN(フォーブス ジャパン)

オランダでファーウェイ製品の「バックドア」発見、政府が調査 | Forbes JAPAN(フォーブス ジャパン)

米ドナルド・トランプ大統領は5月15日、米国企業に対し、安全保障上の脅威となる外国企業の通信機器の調達を禁止する大統領令に署名した。ここで述べられた「外国企業」が中国のファーウェイを指していることは明白だ。 それから24時間も経たないうちに、オランダの諜報機関AIVDが、ファーウェイに対する調査を開始した...

はてなブックマーク - オランダでファーウェイ製品の「バックドア」発見、政府が調査 | Forbes JAPAN(フォーブス ジャパン) はてなブックマークに追加