Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Happy 8th Birthday to Krebs On Security !

定期的に巡回しているKrebs on Securtyが昨末(12/29)に8周年を迎えていた事に気づきましたので、つぶやいてみます。Congrats to Krebs !!

Happy 8th Birthday, KrebsOnSecurity! — Krebs on Security

f:id:foxcafelate:20180108070921j:plain

 

ブライアン・クレブズ氏を知らない方もいらっしゃるかも知れませんので・・・

ブライアン・クレブス(Krebs On Security Investigative Reporter 調査報告者)

クレブスは、コンピュータセキュリティおよびサイバー犯罪に関するブログであるKrebs On Securityの著者。1995年から2009年までワシントンポストの記者であり、技術方針、プライバシー、コンピュータのセキュリティをカバーし、セキュリティ修正ブログを運営してました。彼はハッカー0x80にインタビューすることでも知られています。2013年3月14日、彼はスワッティング被害を受けた最初のジャーナリストとなりました。

RSA Conference 講演者紹介より翻訳引用)

※注:スワッティングとは、緊急通報用電話番号を悪用し、何らかの大事件が起こっているとする虚偽の通報によって対象の元に警察官などを派遣させるという悪戯 (wikipediaより引用)

 

彼がスクープした事件は米小売大手のTarget社の事件だけでなく、それこそ無数にあり、米国だけでなく世界を代表するセキュリティ専門家と言っても過言ではないかと思います。

 

クレブス氏の影響力を語る上で、上記RSAコンフェレンスの紹介文にはありませんが、2016年9月には当時最大規模のDDoS攻撃(665Gbps)を、”個人サイト”として受け、セキュリティをサポートしていたAkami社がギブアップしたという逸話まで持っています。

www.itmedia.co.jp

余談が過ぎましたが、8周年の記事には、彼が過去に160の記事を書き、読者からのコメントが11000を超えたという実績が出されていました。2017年の発表記事は少なかったのですが、それについてもコメントがあり、

I have been trying to focus on quality over quantity, and many of these stories took weeks or months to report and write.

しっかりした記事を書くためである(量よりも質にフォーカスしている)としています。これからも是非、ファンが唸る(スクープ)記事を連発して欲しいと共に、Blognoコメント欄で、その豊富なる知識、知見をもって、セキュリティ業界をリードしていってもらいたいと思います。

 

本業の傍らにブログを書いている私には非常に質が高い調査記事を書かれるクレブス氏は、はるか高みにあって追いつけないのですが、少しでも近づけるようになっていきたいものです。

 

ふと思って、Krebs on Securityの初投稿記事を見てみたのですが、こちらの方が、今の私にはセキュリティ関連ブログの目指す方向として、参考になりました。

Welcome to Krebsonsecurity.com — Krebs on Security

f:id:foxcafelate:20180108071513j:plain

My focus will remain on publishing information and reporting that you won’t find anywhere else

読者がどこでも見つけられない情報やレポートを発表していく。。。

是非目指していきたいものです。

 

 

 

更新履歴

  • 2018年1月8日 AM(予約投稿)

セキュリティ関係のお勧め本をつぶやいてみた。

年末の大掃除で本を整理していて、古い本を捨てたりしていたのですが、セキュリティ関係の本を久々に手に取る機会がありました。徳丸先生や辻さんの本もお勧めすべきところなのですが、今回は日本の本ではなく、海外(米国)の作者の本で、面白かった(捨てられなかった)ものを5冊ご紹介してみます。

 

セキュリティはなぜやぶられたのか

セキュリティはなぜやぶられたのか

 

この本は良書だと思います。まず最初に「トレードオフのないセキュリティはない」という考え方の元に、5ステップでセキュリティを評価する手法が豊富な事例と共に書かれているのっですが、有効なリスクアセスメントを考える上で、非常に参考になりました。

  • Step1 守るべき資産は何か
  • Step2 その資産はどのようなリスクにさらされているのか
  • Step3 セキュリティ対策によって、リスクはどれだけ低下するのか
  • Step4 セキュリティ対策によって、どのようなリスクがもたらされるか
  • Step5 対策にはどれほどのコストとどのようなトレードオフが付随するか

5つのステップのうち、日本的なリスクアセスメントの視点と違うのは、後半の4-5です。高い壷(セキュリティ機器やサービス)を導入すれば、100%安全ですというセキュリティは存在しない訳ですから、対策導入のデメリットあるいは効果が及ばない所について、目を逸らさずに評価する事は非常に重要です。2007年の本ではありますが、セキュリティをどう考えるのか、基本的なところが多くの方に参考になるのではないでしょうか。

 

アイスマン

アイスマン

 

サイバー犯罪、ブラックマーケット・・・米国を中心に数百億円のクレジットカード偽造被害がどうして発生していたのか、金融業界に携わってはいましたが、当時何が起きているのかまったく分からなかったのですが、FBIが苦労して捕まえるところも含めて、日本だと公開されないであろう、犯罪の裏側が垣間見えます。

私の専門としているPCI DSSというカード業界のセキュリティ基準は、おそらくこの事件を受けて改訂(強化)されています。何故規定が作られたのか?そうした疑問も推測できる内容となっていました。また、初期のブラックマーケットの動きや、金融セクターがハッカーに狙われている事、脆弱性のコントロールが難しい事、ハッカー側の心理など併せて、面白い読み物と言えるかも知れません。

色々な方とお話していて、この内容を把握してない日本のクレジットカード会社、カード業界に携わる方が多い印象です。特にカード業界のセキュリティ担当の方は、お時間あれば一読されることをお勧めします。

 

 

Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door

Spam Nation: The Inside Story of Organized Cybercrime-from Global Epidemic to Your Front Door

 

尊敬するセキュリティ専門家(ジャーナリストといった方が合っている気もしますが)、ブライアン・クレブス氏の著書です。英語版しかありませんので、英語を読める方・・・にしかお勧めはできませんが、今や犯罪の第一段階の主流手段となりつつある、スパムメールについて、その歴史、誰が送っているのか、誰が読んでいて(ブラックマーケットでバイアグラなどを)実際に購入しているのか、スパム業界といっても良いのかも知れませんが、クレブス氏が実際にインタビュー、調査した内容を基にした良書です。セキュリティ担当の方以外は、そう面白みを感じないかも知れませんが、Krebs on Security(クレブス氏のBlog)を定期的に見てる暇が無い方には、米国、いや世界トップクラスのセキュリティ専門家がどんな活動をしているのかを垣間見れますので、流し読みもちょっと大変ではありますが、新しい何かが発見できるのではないかと思います。

 

ソーシャル・エンジニアリング

ソーシャル・エンジニアリング

 

 古い本ですが、何度も読み返したくなる本です。「人は最良でかつ最悪のセキュリティ」になると言われています。いくら高いセキュリティ機器を入れても運用する人が無能な場合、犯罪者に襲われてしまうケースもあるでしょうし、従業員が高いセキュリティ意識を持ち運用をしている場合、犯罪被害を未然に防いだり、最小限に抑えることが出来るケースもあります。そうした意味では、古くからのセキュリティ課題ではありますが、ソーシャルエンジニアリング手法を知ることは、お金をあまりかけずにセキュリティを高められるチャンスともなります。日本航空のビジネスメール詐欺(BEC)被害の様に、ソーシャルエンジニアリングと技術的な脆弱性を突いた攻撃も出てきていますが、そのソーシャルエンジニアリングの手法は、本書にある様な手法の変形である気がします。米国の事例が多いのと事例が少し古いのはありますが、一読する価値のある本でないかと思います。

 

超監視社会: 私たちのデータはどこまで見られているのか?

超監視社会: 私たちのデータはどこまで見られているのか?

 

NSA/CIAのエドワード・スノーデン氏が国家による監視体制を暴露したこともありますが、ビックデータがどういう形で調べられるのか、個人のプライバシー保護はどれだけ危ないのか、勝手に進んでいくビックデータ収集とそれに伴う監視社会に啓蒙を鳴らす本といえるかも知れません。セキュリティとプライバシー保護は大きな課題と言えますので、セキュリティに携わる方は、特に米国で何が行われているのか、そうした把握のためにこの本を一読されると良いかと思います。

 

 

 

 

 やっぱり、辻さんと徳丸先生の本もリンク貼っておきます。

あなたの知らないセキュリティの非常識

あなたの知らないセキュリティの非常識

 
徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

徳丸浩のWebセキュリティ教室(日経BP Next ICT選書)

 

 

更新履歴

  • 2018年1月7日 PM(予約投稿)

ロック機能付きクレジットカード

三井住友カードが米Dynamics社と共同発表を1月9日にした「ロック機能付きクレジットカード」がなかなかユニークな機能を搭載しそうでしたので、つぶやいてみます。

 

f:id:foxcafelate:20180111170035j:plain

三井住友カードニュースリリースよりカード画像引用)

 

パスコードを入れないとカード番号(真ん中8桁)が表示されない機能になっているところが非常にユニークです。パスコードが分からないとクレジットカードとしての機能(磁気・IC)が全てONにならないので、安全性が高いカード(他人に不正利用されにくい)事が売りのようです。

Dynamics社の技術は複数のカードを取り込めるようなコンセプトなのですが、リリース記事から見る限り、1枚のカードとしてリリースする(複数カードの取り込みは出来ない)様です。

 

公式リリース

 

YoutubeにDynamicsのCES2018の映像がありましたが、この8分~14分辺りが今回発表のあったカードの様です。2月に4種類のカードデザインで出るみたいですね。

youtu.be

確かDynamicsはMastercardが出資してたな・・・と思い、過去の関連記事を探していると、CES2015で良く似た(ロック機能が無い)カードが出展されていました。

ggsoku.com

プロトタイプとはありますが、上記記事中では、PINを入れないとカード機能が使えない(非アクティベート状態)とありますので、、、三井住友カードが言う、”世界初”の部分は商用カードとして・・・という意味合いなのかも知れません。

 

セキュリティ面で考えると、裏面(Amexは表面)のセキュリティコードが動的で変わる方が、一番被害を受ける率が高い非対面取引では有利ですし、カード番号もスマホの”○○Pay”で実装されているような、カード番号が動的に変わる、いわゆる使い捨てカード番号の方が安全性が高い気がしますが、これはこれで需要がある(便利そうな)気がします。

 

使いたい時だけクレジットカードをオンに出来るのは、面白い機能だな・・とは思いつつ、手持ちの三井住友カードは提携カードなので、暫く搭載されない可能性が高く、たぶん切り替え(入手)は当分先になりそうです。それと、新しい技術の対価はそれなりにするはずなので、会費がいくら位UPで設定されるかが鍵となりそうです。

 

 

更新履歴

  • 2018年1月11日 PM(予約投稿)

東京五輪で狙われそうな脆弱点を少し考えてみた。

平昌冬季五輪に対するマカフィーの発表がAFPの1月7日記事に載っていましたので、つぶやいてみます。

www.afpbb.com

ハッカーウイルスメールを使ってパスワードやお金に関する情報を盗もうとしていると報告している。

 報告書の中では平昌五輪に関わる複数の組織、主にアイスホッケー関連の団体に対して悪意のあるメールが送られたと指摘されており、マカフィーは「(標的にされた)組織の大半は、インフラ提供や支援業務など五輪に関連があった。攻撃側は、五輪に大きな網を張っているようだ」と述べている。(AFP記事より引用)

 

色々なところで警鐘が鳴らされていますが、やはり2020年の東京五輪は相当外部から攻撃を受けそうです。記事では標的型メール(APT)によるID情報を狙っている攻撃が平昌五輪関係で出てきていることを示唆していますが、これも次の攻撃に備えての第一段階にしか過ぎないと考えるのが妥当でしょう。

こうした関係者へのAPT攻撃以外では、五輪公式サイトはDDoS攻撃で確実に狙われるでしょう。(政府や五輪側も当然想定済ですが)一番危なそうなのは、スポンサー企業経由で、五輪サイトや関係者が狙われるケースな気がします。(スポンサー企業のセキュリティ対策を信じたいところですが、人の脆弱性はここが一番怪しいかも知れません)

次に考えられるのは、チケットと宿泊先関係。多くの外国人が来訪するとすればチケット詐欺(偽造)、予約詐欺、といった原始的な所もあるでしょうが、それ以上に怖いのがWi-FI問題でしょう。対策も考えられ始めていますが、

foxsecurity.hatenablog.com

正直なところ、フリーWi-FIに見せかけたアクセスポイント経由での個人情報漏えい、金銭情報盗難といった被害は軽減は図れても、防ぎきれないかも知れません。

 

物理的な攻撃では爆発物(化学兵器)・銃乱射でしょうか。五輪関係施設だけでなく、東京タワー、スカイツリー浅草寺靖国神社、皇居、東京駅、羽田空港、そして新幹線。日本のイメージを貶めるのであれば、こうした日本的な施設のどこが狙われてもおかしくありません。

銃乱射はなかなか持込が難しいかと思いますが、日本、東京、五輪を象徴する施設のどこが狙われてもおかしくないと考えると、警察の方々、場合によっては自衛隊の方々まで警備に当たることになるかも知れませんが、爆発物(テロ的行為)はどこまで対策をしていくのかが難しそうです。

 

トランプ大統領が来日した際の見せる警備ゴミ箱封鎖などは当然として、東京マラソンで登場した「ランニングポリス」ウェアラブルカメラ搭載の自転車部隊「BEEMS」ドローン(迎撃)警備警察犬、、、こうした多層防御で守りきって欲しいものです。

foxsecurity.hatenablog.com

www.sankei.com

ロンドン五輪では1日1700人がスリ被害を受けたとの記事もあります。

www.dailymail.co.uk

物理的な攻撃という意味では、スリ(痴漢)は確実に増えるでしょうね。。。東京五輪7月24日~8月9日が開催日程となりますが、観客が乗る交通機関(電車・バス)が混雑してしまうのは防げないと思います。通勤時間帯は・・・学生が夏休み期間という事を差し引いても、通勤+五輪観光客の乗る電車は、それ自体が想像したくもない混雑度になるでしょう。そこを狙う犯罪は確実に増しそうです。

 

人が集まる世界的なイベントでは、サイバー攻撃のみならず、犯罪者は、今までにない多くのチャレンジ(攻撃)をしてくると言われています。1個人としてではありますが、これからも五輪開催リスクを想像し、脆弱点への多層防御(対策)を考えてみたいなと思います。

 

 

 東京オリンピックのイラスト文字「TOKYO OLYMPIC 2020」

 

 

更新履歴

  • 2018年1月7日 PM(予約投稿)

SAMURAI&J PARTNERS(UML教育研究所)の不正アクセス事件を考えてみた。

ソフトウェア開発を行うSAMURAI&J PARTNERSのWEBサーバが不正アクセスを受け個人情報31件を流出したと共に、「@sajp.co.jp」ドメインが不正利用され、迷惑メールが大量に送信された可能性がある事を発表しました。この件について考えてみます。

www.sajp.co.jp

公式発表

 

インシデントタイムライン

日時 出来事
2018年1月8日 サーバの警告
サーバー監視会社にて外部より不正アクセスの形跡があったと報告を受ける
2018年1月9日 サーバーへの強固な認証システム導入および不正アクセスの監視強化対策対応完了
サーバーの再稼動
2018年1月11日 事件を公表

 

事件の状況 
  • メールアドレスのドメイン「@sajp.co.jp」にて短時間に大量のメールを発送
  • UML教育研究所の顧客情報への不正アクセスにより、2017年5月以降に問い合わせを実施した、又は受験のためにバウチャー等の購入を行った31名の個人情報が流出した可能性
  • 流出した可能性のある個人情報
    • 氏名/会社名/部署/役職/住所/電話番号及びメールアドレス

原因

  • WEBサーバへの外部からの不正アクセス(侵入経路及び影響範囲は調査中)

 

再発防止策

 

◆キタきつねの所感

SOCで外部監視をしていたから、非常に早く検知が出来たということでしょうか。

個人情報の閲覧(漏えい)も問い合わせフォームのものに限られているようなので、攻撃者が不正にシステムに侵入後に、様子見でシステム内を価値ある情報(例:クレジット情報や管理者権限が分かるような資料)がないか探していた際の閲覧ではないかと推測します。結果として、あまり良い情報が無さそうだったので、迷惑メールの踏み台を選択した、という可能性が考えられます。

攻撃としては迷惑メールの踏み台として大量のメール送信には成功していますが、すぐに止められています。これは通信量(メール)が急激に増えたので自社検知できた可能性が高く、個人情報の閲覧程度であれば気づかなかったのかも知れません。

 

リリース内容の、再発防止策(対策)の部分を見て、ちょっと気になる所がありました。

サーバーに対しより強固な認証システムの導入及び、不正アクセスの監視強化といった対策を依頼しており、1月9日(火)10時に対応完了した旨の連絡を受け、サーバーを再稼働しております。

まず最初に突っ込むところは、「サーバー」に依頼すると対策してくれるのか?・・・という部分ですが、人工知能が搭載されたWEBサーバなるものは、まだ無いと思いますので、恐らく『サーバ運営委託先会社』という意味になるのだと思います。(正式リリース文はよく文言を推敲する必要があるのでは・・・)

だとするとSOCと運営会社は同じ会社なのかな、、と推測されるのですが、私が気になったのが『強固な認証システムの導入』なるものが、ほぼ1日で導入完了しています。そんな簡単に導入できるとすると、Cloudでシステム構築をしていて、オプションの認証強化を追加した・・位しか、そのスピード感が出ない気がします。

パスワードを長くて複雑なものに変えた・・・だと認証システムの導入とは言えないと思いますので、新しい認証機能(FIDO等の生体認証だったり、ICカードだったり、SSL証明書辺りでしょうか)が有効な対策であるのかが気になるところです。

 

いずれにせよ、脆弱性を突かれたのは(パッチ当てのミスがあれば)責められるべきですが、防御フェイズ以降の、検知/対応/復旧フェイズが早かった(個社としてはかなり良い事故対応をした)のではないでしょうか。

 

 

ハッカー・ネットワーク犯罪のイラスト(セキュリティー)

 

 

更新履歴

  • 2018年1月13日 AM(予約投稿)

Jason's Deli のPOS侵害事件によるクレジットカード情報200万件流出

米国テキサス州が本部で、全米28州に266店舗を展開するカジュアルレストランチェーンのJason's DeliがPOSへのマルウェア侵害により、Dark Webにカード情報200万件が流出した可能性があることを1月11日に発表しました。この件についてまとめてみます。

 

f:id:foxcafelate:20180114085313j:plain

公式発表

 

インシデントタイムライン

日時 出来事
2017年6月8日~ 多くの店舗POS端末にRASスクレイピングを行うマルウェアが仕掛けられる
2017年12月22日 payment processors(Mastercard security)から顧客のクレジットカード情報がDark Web上で発見されたとの連絡を受ける
  Jason's Deliの経営陣は、大手の脅威対応チーム(leading threat response team)とForensic専門家、法的機関と対応プランを即時に開始
※調査継続中
2017年12月28日 事件の第一報
2018年1月11日 事件の第二報(リリース)

 

事件の状況 
  • 2017年6月8日以降にJason's Deliの店舗160店舗以上でPOS上にRASスクレイピングを行うマルウェアを仕掛けられ、最大2百万件のクレジットカード情報が漏えいしたおそれ
  • 流出した可能性のある情報
    • 磁気のフルトラックデータ(カード保有者名/有効期限/カード認証値/サービスコード) ※セキュリティコードは漏えいしておらず

原因

  • POS端末への侵入経路については情報開示なし(調査中と考えられます)

 

◆キタきつねの所感

POSへの侵害事件といえば、2017年にはForever21、Sonic Drive-In、Brooks Brothersなどがデータ侵害を発表していますが、古い手法となりつつあるとはいえ、今回も最大で2百万件のクレジットカード情報を取れており、実際にDark Webでの販売まで繋がっていますので、攻撃者側から見るとまだまだ”POS侵害はオイシイ”(金銭的なメリットのある)犯罪なのだと思います。一方で、POSから盗まれたのは(発表によれば)磁気カード情報だけである事から、ICカードへの切り替えが急速に進みつつある米国では、今年もチェーン展開している店舗のPOSが狙われる可能性は高いかと思いますが、ICカード対応が進む来年までには急速に減少傾向にある事は疑いようもありません。

こうしたPOS侵害を生業としていたハッカーは、米国市場で大きな利益を上げてきたわけですが、来年以降収益が上がらなくなると、他の攻撃手法(ランサムウェア等)での犯罪に移動していくか、POS攻撃の手法が使える『他国』に攻撃対象を変えていくと推測されます。

 

POS対応に関して言えば、日本の対応は世界(の先進国よりも)遅れているといわれています。この辺りはVisaが少し古いデータですが、その懸念(米国→日本へハッカーの攻撃対象がシフトしてくる)について発表しています。

www.paymentnavi.com

加盟店としても、偽造被害の温床であった米国でEMV化が進むと、そのドアが閉められるにしたがって、シンジケートが移り、日本に被害がシフトする可能性もあります。

 

現在の米国でのICカード切り替えと、日本のICカード化切り替え(POS対応)を考えると、このVisaの予想は現実のものとなる可能性が高くなってきています。また日本でもForever21(下記参照)の様に、セキュリティ対策をとっていた『はず』なのに実際は対策をオフにしていたため、被害を受ける企業も出てくる気がします。

ですので、大規模チェーン展開している対面取引店舗(を抱える企業)は、米国でのPOS侵害事件について他人事とは思わずに、侵入経路や手口についてよく情報を分析しておく事が必要と言えるでしょう。

 

 

参考

foxsecurity.hatenablog.com

 

 

f:id:foxcafelate:20180113092158p:plain

 

更新履歴

  • 2018年1月14日 AM(予約投稿)

ATMがシフトキー5回で操作できる?

Security Affairsのロシアの銀行SberbankのATM(WindowsXP)に対するハッキング脆弱性12月26日の記事が衝撃的でしたので、少しつぶやいてみます。

securityaffairs.co

記事にリンクがあったYoutube映像を見た方が分かりやすいかと思いますので、リンクを貼っておきます。

youtu.be

そもそもキーボードをつけたATMというのがアレですが、映像ではシフトキーを5回たたくと全面スクリーンロックが外れWindowsXP設定(タスクバーやスタートメニューに)にタッチスクリーン経由でアクセス可能になっており、この脆弱性を使いATMにマルウェアを仕掛ける可能性が指摘されています。

WindowsXPは(延長契約を締結してなければ)既にサポート切れのOSであり、多くの脆弱性を抱えている可能性があります。日本のATMで同じような脆弱性を抱えていることはないと思いますが(そもそもキーボードが無いので)、汎用OSは色々な形で犯罪者が狙っており、ATMはその中でも特に成功すればすぐに現金を引き出せることから、特にセキュリティ対策が重要となっています。(XPを使わないのが最良対策とは思いますが)

海外のATMが狙われた事件では、この様な分かりやすいシステム脆弱性を狙ったものだけではなく、磁気カードのデータを不正に盗んで偽造カードを作るためのスキマーや、暗証番号を盗むために不正にカメラを仕掛ける事件(日本でも過去に発生してます)や、もっと原始的にドリルの様なものでATMを壊して現金を盗むような事件も起きています。

模倣犯罪防止の観点からか、あまりそうした犯行(詳細)については、国内では公開されませんが、海外の事例ではセキュリティ専門家の啓蒙的な情報を含めて、Youtubeを見るだけでも、色々なケースが出ています。興味のある方は、「ATM hacking」辺りのキーワードでYoutubeを検索してみても面白いかも知れません(古い事例が多いですが)

 

 

ATM・キャッシュディスペンサーのイラスト

 

 

更新履歴

  • 2018年1月6日 PM(予約投稿)