Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

オリンピックも顔が命

東京五輪NECの顔認証システムが大規模運用される事が報じられていました。

japan.zdnet.com

 NECは8月7日、同社の顔認証システムが、東京2020オリンピック・パラリンピック競技大会での関係者の本人確認用システムとして採用されたと発表した。

 人工知能(AI)を用いた顔認証技術「NeoFace」を活用し、選手やスタッフ、ボランティアなどの大会関係者約30万人を対象に、全ての大会会場で顔とIDカードを組み合わせた厳格な本人確認を行う。

 本人確認では、ICチップを搭載したIDカードと事前に撮影・登録した顔画像をシステム上でひも付けし、大会会場の関係者エリアの入場ゲートに設置した顔認証装置を用いて行う。顔認証装置は、IDカードを読み取り機に着券すると即座に顔認証を行うため、スムーズな認証が可能だ。

ZDnet記事より引用)

 

◆キタきつねの所感

NECの顔認証技術と言えば、USJの年間パスポートで使われていたかと思います。とは言え混雑繁忙期には年パス運用も精度が低く運用されているらしきネットの書き込みもあり、スタッフの判断で一般入場させてしまう場合もある・・とあるので、厳格な顔認証(ID証の貸し借りを防止する)運用ではない時もあるようです。

今回のオリンピックの関係者ゲートでは、選手も含まれる訳ですから、双子をご認識させる設定の甘さではなく、全て厳格な運用で対応する事となるのだと思います。

2007年頃のUSJでの顔認証技術の導入開始直後はトラブルも多発していた記事を読んだ記憶があるのですが、外光であったり、認証距離といった課題は、10年以上の運用データによってかなり改善されていると思いますので、入場口の混雑解消(対応人員の削減)やセキュリティ性向上にはかなり効果があると思います。

とは言え、このシステムが止まってしまうと、選手が競技会場に入れなくなってしまう訳であり、バックアップとして、従来型の人による目視チェックで対応に戻すと時間がかかるので競技影響の懸念が出てしまいます。そうした意味では、この顔認証システムは、オリンピックでハッカーに狙われる重要インフラと同義になると言えそうです。

電力供給やウィルスなど・・・防衛側(NEC組織委員会)のセキュリティ体制が問われると言っても過言ではないでしょう。

 

顔認証という意味では、iPhoneのFace IDをマスクが早々に破った件が思い出されますが、

youtu.be

 

東京五輪では、関係者ゲートが無人となる事は流石にないかと思いますので、この手の攻撃は除外できるのだと思います。

一方で、顔認証を阻害する要素として、例えば女性の化粧がありますが・・・これはUSJ運用などを考えると、問題が無いレベルで認識可能だと思います。

だとすると、サングラス、マスク等による顔データの阻害による認証率の低下が次の課題なのだと思いますが、、この辺りが通る設定の運用だと、セキュリティ性はあまり期待できませんので、何かあれば有人係員(警備員)が止める運用、すなわちより厳しいレベルで顔認証の設定をする事になるはずです。

 

懸念点が残るとすれば、やはり、サイバー攻撃(電力供給含)と、集めた30万人の顔データのオリンピック後の取り扱いでしょうか。顔データは、個人情報でもありますので、消去すべきではありますが、諸外国では犯罪抑止用などとして(国家が極秘に)利用するなどの懸念も出てきているのが顔認証のデータです。五輪後の正常消去までがセキュリティ保護(帰るまでが遠足)ですので、ウォッチしていけたらと思います。

 

いずれにせよ、最大30万人の関係者・選手・スタッフをさばくのは大変な事とは思いますが、この大規模な”実証実験”については、是非良い結果が出て欲しいものです。

 

 

 

顔認証のイラスト

 

更新履歴

  • 2018年8月13日AM(予約投稿)

 

PGAもBitPaymer被害を受ける

松山英樹選手の情報も、もしかしたら・・・という事件がAFPの記事に出ていました。日本ではAFP記事の翻訳位しか出ていませんが、米国ではもう少し多くの記事が出ています。PGA(全米プロゴルフ協会)のコンピュータ・サーバが不正アクセス(ランサム攻撃)を受けwww.afpbb.com

問題のファイルには、今大会が行われるベルーフ・カントリークラブ(Bellerive Country Club)周辺で使用されるデジタルの宣伝バナーやロゴのほか、来月フランスで開催される第42回ライダーカップ(The 42nd Ryder Cup)の関係資料などが含まれていると報じられている。さらに、今後の全米プロゴルフ選手権用に開発中のロゴやシンボルなども入っており、そのほとんどは簡単に代えが利かないものだとされている。

(AFP記事より引用)

 

◆キタきつねの所感

PGAは火曜朝(8/7)にランサム被害を検知し、水曜(8/8)時点でサーバへのアクセス権が掌握できていないとも書かれており、相当な被害を受けている事が予想されますが、PGAとしては身代金(ランサム)を払わない方針のようです。被害内容は関係者資料の他、未発表のロゴやシンボル等の知財権も含まれているようですが、(デザイナーの所にはデータがありそうな気もしますが)そうした重要情報が暗号化されている中での、ランサムに屈しない姿勢は評価されるものだと思います。

 

詳細を調べてみると、Bleeping Computerの記事によれば、ランサムのタイプは「BitPaymer」の様です。あまり日本では被害が出てないタイプのものですが・・・聞いた事があるなと思ったら、アラスカ行政区画の事件で先日記事を書いたばかりのものでした。

foxsecurity.hatenablog.com

Bleeping ComputerにこのBitPaymerの亜種(ランサムが)ファイル暗号化を行う際のファイル拡張子【.locked】(.lock)であると書いています。防衛側が検知を考える場合には参考になりそうです。

※WannaCryの時の暗号化拡張子は【.WNCRY】(.WNCRYT)

Recent variants have been appending the .locked extension to encrypted files and dropping ransom notes of the same name as the encrypted files but with ".readme_txt" appended to it.

(Bleeping Computer記事より引用)

 

併せて、【.readme_txt】の注意文が添付されているとの事で、文面例を見ると・・・ITシステム担当者はシステムを落して良いかどうか判断に迷わせる(不安を煽る)内容となっていて、バックアップファイルをきちんと持っているとの確証がない場合は・・・身代金(ランサム)を払う方向に企業判断が行きやすくなるような注意文となっている気がします。

f:id:foxcafelate:20180813095009j:plain

(Bleeping Computer記事より引用)

 

<注意文の概要>

バックアップファイルは、暗号化されたか、消されたか、ディスクがフォーマットされた

・リセットやシャットダウンするとファイルが壊れる、解除キーを入手しても復号できなくなる可能性有(ファイル名変更や移動も同様)

・2ファイルまで暗号化されたファイル(.lock)無料で解除できるかを確認できる。

 

PGAはランサム攻撃を受けた程度(PGAツアーには影響が無い)にしか情報開示をしてない為(公式発表はまだ無いと思います)、どんな侵入経路だったのか分かりませんが、先日のアラスカの攻撃例で言えば、誰か怪しげなリンクを踏んだかマルウェアファイルを開いてしまった事、つまりメールルートが起因なのかと推測します。

「BitPaymer」亜種を使った攻撃は、今後も増えそうです。日本も攻撃パターンがある程度海外で確立したら怪しい気がします。

そうした攻撃を見据えて、例えばバックアップファイルの持ち方(先にそこから狙われる可能性も・・・)も含め、ランサム攻撃を受けた場合の対処法を各企業は考えておくべきでしょう。

 

 

ゴルフ肘のイラスト

更新履歴

  • 2018年8月13日AM(予約投稿)

パスワードリスト攻撃へは遅延が有効か?

Security Nextでアンケートサイト「アンとケイト」サイトへのリスト攻撃(防衛)の記事が出ていました。

www.security-next.com

みんなのアンケートコミュニティ アンとケイト

f:id:foxcafelate:20180811120646j:plain

 

同社は、同社経由の情報流出について否定。8月に入り、海外のIPアドレスを発信元としたログインの失敗回数が増加していることを検知し、メールアドレスが特定のドメインに限られていたことから、他所で流出したリストを用いて、ログインの試行が行われた可能性が高いと見ている。

同社は不正ログインによる被害を防止するため、利用者に対してパスワードの使い回しを避けるよう8月6日に注意喚起を実施。

(Security Next記事より引用)

 

◆キタきつねの所感

パスワードリスト攻撃に対して「防衛が成功」した内容ではありますが、

特定ドメインのリスト攻撃という部分が気になります。恐らくどこかのDarkWeb等々に、まだ事件が公表されてない事業者の漏洩情報が載っているのだと思います。

攻撃の動機部分に関しては、今回攻撃を受けたのは、アンケートサイトの「アンとケイト」であり、アンケート回答の謝礼の不正現金、あるいは他ポイントとの不正交換を狙ったのだと思われます。

 

こうした攻撃記事を読んだ時によく思うのですが、

 

海外のIPアドレスを発信元としたログインの失敗回数が増加している

 

サービス提供側は、海外のIPアドレスからのログイン試行をキックする事は、何か問題があるのでしょうか?勿論正規ユーザが海外旅行中にアンケートに、といった利用シーンもあるかと思いますが、海外IPからのアクセスを最初から弾く事で、かなりリスクは減る気がするのですが。。。

 

それをやると、IPアドレス偽装(日本からのアクセスと偽装する)攻撃が増えるだけだと言われる方もいらっしゃいそうですが、アクセスする際の遅延対策(ログイン失敗すると再ログイン試行が出来るまでに時間がかかる仕様)等を併せて実装すれば、攻撃者は他のセキュリティ対策が緩いサイトに対象を移す可能性が高くなるのではないかと思います。

 

不正ログインが発生した場合についても、個人情報を閲覧できるページへアクセスされた場合に、不正と疑われるユーザーを検知するしくみを導入していると同社は説明。

また不正なポイント交換を防ぐため、登録情報の変更直後におけるポイント交換については、確認のため時間を要する場合があるとしている。

(Security Next記事より引用)

 

記事を見ると、アンとケイトは不正検知(リスクベースでしょうか?)に成功しており、パスワードリスト攻撃を(潜在的に)受ける可能性があるサービス事業者は、やはり不正検知の仕組みを作る事を見習うべきだと思います。

それ以外にもポイント交換に時間をかける、というのも立派な遅延対策で有効な対策と言え、各サービス提供者の参考になりそうです。

 

 

ブラックリストのイラスト

 

 

更新履歴

  • 2018年8月11日PM(予約投稿)

地方自治体のアンテナ感度

西日本新聞が公衆無線LANに関する調査記事を出していました。とても気になったのが・・この調査データの表です

www.nishinippon.co.jp

 

◆キタきつねの所感

公衆無線LANが暗号かされてないのは、それはそれで問題ではあります。

個人情報が漏洩されるかも知れないという利用者の意識が強くない場合は、下記のリスク懸念ですね。

自治体が通信内容を暗号化しておらず、クレジットカード情報やメールを他人に盗み見される恐れがあることが、総務省や各県市への取材で分かった。

西日本新聞記事より引用)

また、アクセス者(利用者)を確認してないのも、これもこれで問題があると思います。

 不正アクセスを防ぐため、会員制交流サイト(SNS)のアカウントやメールアドレスを登録してもらって利用者を認証する方式もあるが、全国173、九州31自治体が利用者の確認をしていなかった。

西日本新聞記事より引用)

海外の空港などで良くアドレス聞かれますが、フリーで使えてしまうのは、犯罪に使われるリスクが怖いなという印象もあります。おそらく・・・残念ながら・・・適切な期間ログを自治体は残して・・・ないと思うので、何か犯罪があった際にはログを追跡できず、「初歩的な事が分かってなくてごめんなさい」をする自治体幹部の方の姿が思い浮かびます。

 

とは言え、この課題も今回は置いておきます。私が今回の記事を見て問題だと思ったのは・・・

(表は記事より引用)

f:id:foxcafelate:20180811110436j:plain

機器のパッチを当てておらず、機器が初期パスワードである自治体が、公衆無線LAN提供を行っている自治体(約570)の内、2割以上を占めるのは心配です。

 

無線でネットワークに接続するためのアクセスポイント(AP)など、公衆無線LAN機器のIDやパスワードを初期設定のまま利用しているのは全国114、九州10自治体に上った。

 APが乗っ取られ、迷惑メールの送信や掲示板への書き込みに悪用される恐れもある。安全対策プログラムなど機器の基本ソフトを随時更新して最新版に保つことも重要だが、全国179、九州22自治体が一度も更新していなかった

西日本新聞記事より引用)

 

このデータを攻撃者側が見れば、まず単純に「アクセスポイント」自体を攻撃しようと考えるのではないでしょうか。

アクセスポイントの機器のプログラム更新がされていなければ、その脆弱性をついた攻撃も考えられますが、一番危なそうなのが機器の初期設定です。機器ベンダーのマニュアルを調べて初期設定を確認し、アクセスポイントを乗っ取って、通信を傍受したり、別な所にデータを転送してしまった後に、ログを消して、管理者パスワードを変えてしまう。夏休み中の学生でも実現できそうな攻撃シナリオです。

 

調査データを元にすると、もっと違った攻撃シナリオも考えられます。

例えば、公衆無線LANが暗号化されている通信もアクセスポイントが初期設定のIDとパスワードで攻撃できてしまう可能性です。利用者側は・・・いくら注意しても自治体が提供する公衆無線LANが暗号化されていた場合・・・信じてしまうのではないでしょうか。結果としてクレジットカードデータや個人情報が漏洩した場合、自治体に責任が無いとは言い切れないかも知れません。

 

ここで更に恐ろしい事も考えられてしまいます。

無線LANの(常識的な)セキュリティ設定が出来ない自治体が、20%存在していたというデータから導き出せる推論は、

 

自治体が役所(公共施設)の中で使っている業務用の無線LANがある場合は・・・セキュリティレベルは同じではないか

 

そちらは、セキュリティベンダーがちゃんと設定しているはず?)とは思いますので初期設定という事はないっだろうと思うのですが、ソフトウェアは脆弱性が出ても更新してない・・・この辺りは微妙かも知れません。見に覚えのある関係者の方々は、少し調べてみる事をお勧めします。

 

ここまで書いてきましたが、2020年に向けての公衆無線LANというテーマは、過去記事を見てみると3本書いていました。今回の調査データも、2017年10月~11月現在という事ですので、既にこのセキュリティ脆弱点は、修正済である、と信じたいと思います。

 

 

 

総務省でも、「公衆無線LANセキュリティ分科会」を中心に課題整理・検討が進んでいるようで、

 

総務省|サイバーセキュリティタスクフォース|サイバーセキュリティタスクフォース

 

今年3月には報告書も出されています。時期的にこの分科会の活動を受けての自治体調査(初期)が記事の元データであったと思います。(※今回の記事は、その地区別内訳についての取材だったのだと推測します)

www.soumu.go.jp

 

課題・懸念点、対策案などもまとめられていますので、各自治体は、感度良く対応いただき、よりよい公衆無線LANサービスを提供してくれている事を期待したいですね。

 

 

 

参考

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

携帯の電波のマーク 0本

 

更新履歴

  • 2018年8月11日AM(予約投稿)

ラッキーピエロ

ラッキーピエロ・・・懐かしい名前を見たので書いてみます。

www.jprime.jp

函館に行かれた方であれば、恐らく行かれた、あるいは見かけた方が多いのではないかと思いますが、函館で大人気ファーストフードチェーンであるにも関わらず、札幌にも、そして東京を含めた大都市にも展開してない地域に根ざしているのがラッキーピエロです。函館に17店舗、函館の人口26万人に対すれば、かなり地元に愛された店である事が分かるかも知れません。

 

(もっとも、私も函館に出張に行くまで知りませんでしたが・・・)

 

店内遊園地のようなハンバーガーチェーン・・・という感もありますが、店舗ごとに内装が違っていて、ついでに言えばメニューも違います。そして何故かカレー、ピザ、オムライス、焼きそばといったハンバーガーチェーンには有り得ない?メニューも店舗によっては扱っています。

 

f:id:foxcafelate:20180811100222j:plain

 

2店舗位しか行った事はないのですが、店によって個性が違うのもリピーターの心を掴んでいる所なのかも知れません。(下記写真はいずれもホームページより引用)

f:id:foxcafelate:20180811100544p:plain mori

juji4 ekimae3

マリーナ末広店2 bay4

 

10年以上前に行った際に、食べたのがこちら。ある意味、高級グルメバーガーのハシリと言うべき逸品でしたが、、、1人で食べきれず2人で食べた記憶があります。元祖でぶやで「まいう~」されてた写真・・・今でもあるか知りませんが、見かけた記憶があります。

f:id:foxcafelate:20180811101534j:plain

 

 最大の特徴は生産者の顔が見える安心・安全を徹底追求したおいしさ。

「冷凍ものは使わず、注文を受けてから手作りしています。地産地消を昔から推進していて、食材の85%は北海道産です」

 スタッフの8割が地元の主婦。なんと、最高齢は76歳だ。

プロのコックさんの次に料理上手なのはお母さんだと思うんです。家族に作るのと同じ。愛情を込めているのもおいしさの秘密です

 王社長は強調する。

「ウチは、函館と運命共同体。地元の発展なくして、ラッピの発展もありませんから」

(週間女性の記事より引用)

 

無理やりセキュリティに絡めるのもどうかと思いますが、マカフィーのゲーマーをセキュリティ人材へ活用提言と、ちょっと似ている気がしました。

internet.watch.impress.co.jp

 

・・・ではありますが、ラッキーピエロは、地元愛(=忠誠心)がベースですが、企業がゲーマーを雇う場合には、そのモチベーションをどう維持するかが問題かも知れません。

 

 

ピエロのイラスト「エイプリルフール」

 

更新履歴

  • 2018年8月11日AM(予約投稿)

隅田区は路上喫煙推進?

海の日には関係なく、隅田川の花火を7/28に見に行って来ました時に気づいたことを少し。(セキュリティネタではありません)

 

気づいたのはこちら。墨田区の禁煙ゾーンの表記ですが、、

f:id:foxcafelate:20180805174821j:plain

路上喫煙禁止推進地区」の禁煙ゾーンの表記ですが、、喫煙禁止なんだか、喫煙推進なんだか分からないな・・と思う次第。

 

同じように思った方も多そうです。(下記参考まで)

blogs.yahoo.co.jp

 

東京23区で同じ表記?と言えば、どうもそうでもなさそうです。市役所のHPで拾えた画像を見る限りでは・・・「推進地区」なるものはあまり一般的ではない気がします。

 

路面標示シート

世田谷区HPより引用)

荒川区HPより引用)

 

新しい路上啓発シール写真

豊島区HPより引用)

街路灯ステッカー

千代田区HPより引用)

 

 

同じ推進地区でも・・・品川区の方がスマートな気がします。

「路上喫煙禁止・地域美化推進地区

 

 

分かりやすい表示というのは、セキュリティ啓蒙でも重要と言われており、間違えさせない為のセキュリティ標語(赤信号みんなで渡れば怖くない・・は違いましたね)なども良く出てきますが、これらの推進表記を元に、路上喫煙を正当化する人は居ないのかも知れませんが、花火の帰りがけに落ちていた多数の吸殻を見てると・・・花火観覧ほどには綺麗な感情にはなれませんでした。

 

f:id:foxcafelate:20180805174818j:plain

隅田川の花火、今年は雨にも祟られず、綺麗でした。

 

花火を見ている家族のイラスト(背景あり)

 

更新履歴

  • 2018年8月5日PM(予約投稿)

乗客検査の集中と選択は・・・

米国が中小空港での乗客検査の廃止を検討中との記事が出ていました。

www.afpbb.com

米CNNは1日、米運輸保安局(TSA)が中小規模の空港での搭乗客に対する検査の廃止を検討していると報じた。テロ対策の専門家からは懸念の声が上がっている。

 TSAは2001年9月11日に発生した米同時多発テロを受けて創設された組織だが、CNNが当局関係者の話や内部文書を引用して伝えた内容によると、TSAは60席以下の旅客機が就航する150以上の空港における乗客検査の廃止について検討しているという。

 ただ、大きな空港へ向かう便を利用する乗客には手荷物の検査などが行われるという。

 

 CNNが報じた内部文書の内容によると、中小空港での乗客検査を廃止することで毎年1億1500万ドル(約128億円)を削減できリスクがはるかに高いと考えられる大規模な空港の保安強化に充てられるという。

(AFP記事より引用)

 

◆キタきつねの所感

投資効果の集中と選択、その波は空港のセキュリティまで来るのでしょうか。まだ検討中という事ではありますが、この考え方には既に多くの専門家が懸念の声を上げています。米国の空港は、、日本以上に厳しい乗客(持ち物)検査があります。それは911で米国の誇りを傷つけられたという部分もあるのかも知れませんが、私の体感では、日本ではひっかかからない様な、ベルトや靴も米国の空港では(ほぼ)ひっかかります。そのため、空港の手荷物検査を通過するには時間がかかるのが普通であり、ビジネスや旅行客もそれを見据えた時間計算が必要です。ビジネス思考が強い、トランプ大統領ですので、米運輸保安局(TSA)は「まだ乗客検査を廃止するという決定はなされてない」と否定していますが、検討の背景には・・・大統領の意向もありそうかなと思います。

とは言え、この検査緩和で「コスト削減」は図れたとしても、セキュリティリスクは「高まるだけ」だと思います。仮に中小空港で乗客検査が廃止され、大空港での乗客検査が強化されたと仮定した場合、その体制変更は攻撃者側がすぐ知る事ができます。

だとすれば、攻撃者側は、監視の眼が緩い地方空港から爆発物を持込む事を当然考えると思います。そのままだと、小型旅客機しか攻撃できませんが、LA等の大空港で『乗り換え』をする場合はどうでしょうか?

 ただ、大きな空港へ向かう便を利用する乗客には手荷物の検査などが行われるという。

(AFP記事より引用)

 

とあるので、一見そこは対処されている様に見えますが、中小空港向けの乗客(手荷物検査なし)が爆発物を、あるいは一定量以上の危険物(液体等)を持ち込んだ場合、安全とされている空港の内部エリアが危なくなる可能性があります。また、飛行機に乗る前に手荷物検査をするのであれば別かもしれませんが、ロサンジェルス国際空港(LAX)の様に、中に入ると比較的緩いセキュリティの空港では、現状のままだと、乗り換える日本行きの国際便に対しても攻撃が出来てしまう可能性があります。

結果として、予算を削った効果は、大きな事件・事故(リターン)となって帰ってきてしまう気がします。

 

 CNNのテロ対策専門家であるポール・クルックシャンク(Paul Cruikshank)氏によると、イスラム過激派組織「イスラム国(IS)」や国際テロ組織アルカイダ(Al-Qaeda)のような武装勢力は、現在も小型の旅客機を含む航空業界を重要な標的とみなしているという。

(AFP記事より引用)

 

CNNは専門家の声として、こうまとめてますが、少し手間をかければ(何らかの手段でセキュリティホールを突いて中小空港から大空港に危険物を移動できた場合)、もっと標的は大きくなり、国際便ですら脅威対象に入ってしまう・・・こちらの方がテロ組織としてはインパクトがあると考えるのではないでしょうか。

 

(本日の)余談です。

米国の空港での金属探知機、ビジネスシューズの靴(鉄の釘等が底にある)は『脱ぐ』のが基本です。ズボンのベルトも当然外せと言われ、目の前では太った米国男性の方が落ちるスラックスからパンツを出しながら金属探知機に入ってました。注意不足でジャケットのポケットの中のガムの包み紙(アルミ)が引っかかったこともありますが、カメラの予備バッテリーをカバンの中に入れていた(充電池系はすべて出して検査を受けないといけないようです)所がひっかかったのも、日本の空港ではあまり経験が無く、米国の検査体制を感じたシーンでした。

今回のTSAの検討話も、すべての乗客検査を省略する訳ではなく、おそらくランダム抽出された乗客が検査される(怪しい人は検査対象)のだろうと思いますが、それにしても穴が多すぎる気がしました。

 

 

 

 

ボディチェックのイラスト(男性)

 

更新履歴

  • 2018年8月5日PM(予約投稿)