Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

応仁の乱以来の衝撃

京都の歴史を語られると・・・と思うのがブラックサンダーの新商品。

※本記事はセキュリティとは一切関係ありません。

f:id:foxcafelate:20181209095237j:plain

 

応仁の乱(おうにんのらん)は、室町時代の応仁元年(1467年)に発生し、文明9年(1477年)までの約11年間にわたって継続した内乱。室町幕府管領家の畠山氏、斯波氏の家督争いから、細川勝元山名宗全の勢力争いに発展し、室町幕府8代将軍足利義政の継嗣争いも加わって、ほぼ全国に争いが拡大した。明応2年(1493年)の明応の政変と並んで戦国時代移行の原因とされる。十数年に亘る戦乱は和睦の結果、西軍が解体され収束したが、主要な戦場となった京都全域が壊滅的な被害を受けて荒廃した

(Wikipediaより引用)

 

◆キタきつねの所感

そもそも応仁の乱って何だっけ?と考えてしまうのですが、新たなブラックサンダーは、想像するに、京都市内に壊滅的な(心理的な)被害をもたらす可能性がある菓子兵器なのだと思います。

gigazine.net

こうしたネーミングは、流石関西圏だなと思います。

 

 

 

完全に余談ですが、京都は非常に多くの観光客で賑わっていました。清水の舞台(本堂)は2020年までの工事中に当たり、風情が若干欠けていましたが、紅葉がライトアップされた京都市内の夜景は見るべきものがありました。

f:id:foxcafelate:20181209100310j:plain

 

個人的なお気に入りは、入り口付近の池。逆さ紅葉がライトアップで幻想的な雰囲気がありました。

f:id:foxcafelate:20181209100704j:plain

 

 

更新履歴

  • 2018年12月9日AM(予約投稿)

北朝鮮ハッカーの研究機関への攻撃

日本でも産総研が標的型攻撃を受けてネットワークが止まった事件もありましたが、北朝鮮ハッカーが研究機関への攻撃キャンペーンを仕掛けているという記事が気になりました。

www.securityweek.com

A threat group possibly originating from North Korea has been targeting academic institutions since at least May of this year, NetScout’s security researchers reveal.
The attackers use spear-phishing emails that link to a website where a lure document attempts to trick users into installing a malicious Google Chrome extension. Following initial compromise, off-the-shelf tools are used to ensure persistence. The campaign likely hit other targets as well, though NetScout says that only those domains targeting academia were intended to install a malicious Chrome extension. Many of the intended victims, across multiple universities, had expertise in biomedical engineering
(Security Week記事より引用)

 

◆キタきつねの所感

スピアフィッシングのメールとありますので、最初の攻撃はメールなのは他の攻撃と変わりがないようです。大学や生物工学の専門家が狙われているという対象に関する(北朝鮮ハッカーの)意図はよく分かりませんが、気になるのが、Google Chrome拡張機能をダウンロードさせようとしているという、フィッシングメール以降の攻撃部分。

この攻撃キャンペーン(STOLEんPENCIL)を見つけたNetScoutは、その手口について、フィッシングページでIFRAMEで問題が無いPDFを表示させ、ユーザはChromeの「Font Manager」拡張機能にリダイレクトされ、悪意のある拡張機能をインストールさせようとするようです。この拡張機能は別なサイトからJava Scriptをロードさせ、ブラウザのCookieとパスワードを窃取しようとすると共に、Windows管理者アカウントをシステムに追加し、リモートデスクトップ(RDP)を有効化し、感染した端末への継続的なアクセスを確保する意図があったようです。

NetScoutによると、まだデータ漏洩の実害は無いのでハッカー側の動機は分からないという事ですが、大きな攻撃の前の偵察と考えると、日本も同様な攻撃を受けてる(受けている)と考え、入り口対策であったり、セキュリティ意識が希薄な教職員の啓蒙に勤めるべきだと思います。

 

参考:(標的型攻撃メール<危険回避>対策のしおり

www.ipa.go.jp

 DoS攻撃のイラスト

 

更新履歴

  • 2018年12月9日AM(予約投稿)

FIDOアライアンス東京セミナー

FIDO東京セミナー・・残念ながら今回は所用が重なり、いけませんでした。

internet.watch.impress.co.jp

 2018年におけるFIDOの導入事例に関しては、ソフトバンクでは2月にスマートフォンアプリ「My Softbankプラス」において、FIDO認証によるログインに対応。ヤフーでは10月にYahoo! JAPAN IDでのパスワードレス認証にFIDOを採用した。また、三菱UFJ銀行では11月、インターネットバンキングのスマートフォンアプリにFIDOを採用することで、指紋認証・顔認証によるログインに対応した。

Internet Watch記事より引用)

 

www.sbbit.jp

◆キタきつねの所感

冬場の無料セミナーの中では、ここ3年ほど連続で出席できていたのですが、今回は出れませんでした。

記事から1年間のアップデートを一言で表すと、FIDOの採用例が増えてきました

LINEは去年は導入していきます、だったのが2019年春をめどにサービス利用を検討中というのも利用シーンが増えそうですが、Yahoo! JAPAN IDのFIDOであったり、三菱UFJ銀行のインターネットバンキング、みずほ銀行も既に導入してたかと思いますので、生体を使った本人認証の分野ではISOではないですが、ディファクトとなりつつあると言っても良いかも知れません。

 

Webで使えるFIDO仕様である、FIDO2の辺りの話を会場で詳しく聞きたかったのですが、、また別な機会があればレポートしたいと思います。

 

FIDO Alliance - FIDO Alliance (日本語ページ有)

 

以前は英語しかホームページが無かったのですが、日本語ページ化もされているようですね。ちょっと見やすくなった感があります。

 

二段階認証を使う人のイラスト

 

更新履歴

  • 2018年12月8日PM(予約投稿)

新潟大学は後手にまわっている

大学の教職員が持つ情報はここ数年攻撃対象となっていますが、新潟大学がまた漏洩事件を発表しました。

f:id:foxcafelate:20181208153347j:plain

■公式発表 不審メール被害の報告及び迷惑メール送信に関するお詫び

 

◆キタきつねの所感

学生がフィッシングにひっかかって、メールボックスの個人情報が不正に閲覧された可能性、および29.6万通の迷惑メールの踏み台に使われたという発表です。ここ数年、本当に当たり前の様に出てきている大学関連の事件ですが、新潟大学に関して言えば、9月末にも教職員が同じ様な被害を受けています。

 

www.security-next.com

これは、前の事件への事後対策が遅すぎたので、今回の事件が起きたと見る事もできるかと思います。

時系列で見るとこれがはっきりと分かります。

  • 4/17-5/14 【前回】フィッシングメールが送信、教職員6名がメールを踏む
  • 5/10、5/15 【前回】約36万件の迷惑メールが送信
  • 8/24 【今回】フィッシングメールが送信、学生1名がメールを踏む
  • 8/28 【今回】約29.6万通の迷惑メールが送信
  • 9/27 【前回】事件の公表
  • 12/6 【今回】事件の公表

5月には大学側はフィッシングに気づいていると思いますが、この際に教職員だけでなく、同様に対象となる可能性が高い学生まで含めて対策をすれば、3ヶ月も間があいている訳ですから、事件は防げた可能性はあると思います。

しかし、前回事件の公式発表では・・・

4.今後の対応

全教職員に対し,学内研修会により,個人情報の管理及び情報セキュリティ対策についての指導を徹底するとともに,技術的,システム的な情報セキュリティ対策の更なる強化を図ります
また,本インシデント発生後,個人情報漏洩の有無や個人情報の内容等の特定,特に,不正アクセスを受けた6名の教職員に関しての綿密な調査を行っていたため,時間を要してしまい,ご報告がおくれてしまいましたこと,お詫び申し上げます。今後は迅速な調査に努めます

前回の公式発表より引用)

啓蒙教育と、技術的対策強化は・・・教職員にだけ実施される予定である事が分かります。

新潟大学のメールシステムは、Gmalを使っており、それは教職員と学生共に同じです。

f:id:foxcafelate:20181208155726j:plain

Gmailを使っている事も公開していますし、ID体系なども外部にHPやマニュアル等の形で公開されており、不正アクセスを試みようとする攻撃側にとっては、攻撃に使える情報が豊富と言えるかも知れません。

f:id:foxcafelate:20181208155450j:plain

 

こうした状況では、教職員だけでなく、学生もフィッシング攻撃の対象となる可能性があるとして、対策を考える事が重要だと思うのですが、

4.今後の対応

本学学生に対し、電子メールアカウントの取り扱い及び個人情報の保護について、指導を徹底させていただきます。また、電子メールに関するセキュリティ強化を実施します
なお、本インシデントに関する確認・調査に時間を要し、公表が遅れてしまい申し訳ございません。今後は迅速な調査及び公表に努めさせていただきます

今回の公式発表より引用)

 

2つの公式発表を見ていると、同じ事を書いている様にしか見えません。

対策に網羅性が無くリスクアセスメント不足)、対策実装のスピード感が遅い事を考えると、また似た様な事件が起こる可能性が高いと言えます。

 

明治大学における不正アクセスの記事でも書きましたが、大学の動きは総じて鈍すぎると言えます。短期的であればパスワードを強固にしてしまう様に、教育を急ぐ(パスワードリセットは行き過ぎな気もしますが・・)事が有効だと思います。

中期的には(予算が確保できれば)外部アクセスに対して証明書を使うのも有効かと思います。あるいはFIDO等の生体認証というのも検討の余地があるかも知れません。

そして、私個人が対策を考えるのであれば、インターネットに『Gmail』や『Office365』を使っている事であったり、PDF等のユーザマニュアルを一般公開しておくのは極力避けるかと思います。

 

余談となりますが、新潟大学での”情報セキュリティ事故”の発表は3つありました。1月にHP改ざんが発生し、9月の個人情報漏えい&迷惑メール踏み台、そして今回の個人情報漏えい&迷惑メール踏み台。これだけ事件が続くということは、大学側に問題がある、そうした考えに立ってセキュリティ体制を見直す必要があるのではないでしょうか?

 

医歯学総合病院ホームページの改ざんについて | お知らせ | ニュース - 新潟大学

新潟大学におけるフィッシングメール被害による情報漏洩の可能性及び迷惑メール送信に関するお詫びについて | お知らせ | ニュース - 新潟大学

不審メール被害の報告及び迷惑メール送信に関するお詫び | お知らせ | ニュース - 新潟大学

 

foxsecurity.hatenablog.com

 

「エサをあげないで」のイラスト(魚)

更新履歴

  • 2018年12月8日PM(予約投稿)

ソフトバンクの意図しない障害訓練

ソフトバンクの(意図しない)インシデント訓練すごかったですね。孫さんが狙っていたかは分かりませんが、現代人が抱える弱点を、単純なミスが突き崩すという意味では警鐘を鳴らしたと言えそうです。

toyokeizai.net

障害の原因はエリクソンの“ポカ”

エリクソンによると、MMEを構成するソフトウェアの証明書に齟齬(おそらくは一部の証明書が古く有効期限が切れる寸前だった可能性が高い)があり、グローバルで同じバージョンのMMEが同時に停止した模様だ。MMEが機能しなくなると、LTE基地局および基地局を結ぶ通信網が健全であったとしても、機器同士の通信は行えなくなる。

このため、英国でも同時刻に通信会社O2が同様の障害を引き起こしたほか、世界11カ国で同様のトラブルが同時多発的に発生したとみられている。しかも一部のMMEが障害を起こすといった一般的なITシステムがダウンするケースとは異なり、東京と大阪のデータセンターに配置されているMMEが(おそらくすべて)同時にストップしたという点で、極めて特殊な事例だ。

しかも、こうした“同時かつ広範囲”に通信網がダウンする事例が、電子証明書の齟齬という極めて初歩的と推察されるミスで引き起こされた。この障害事例は複雑ではない。まさに“ポカ”と表現されるような、エリクソンのミスだ。

東洋経済記事から引用)

 

◆キタきつねの所感

東洋経済の記事がよくまとまっていたので引用しますが、原因が証明書の更新ミスと判明しています。ソフトバンクの公式発表では、そこまで踏み込んで書いていません。

f:id:foxcafelate:20181208075023j:plain

そこで、エリクソン側の発表を見てみると「証明書」とはっきり書かれています。

 

f:id:foxcafelate:20181208074549j:plain

※余談ですが、エリクソンのリリース前の日本語チェックはもう少し慎重に行った方が良いかと思います。英語から訳しているだけなのでしょうが、『問題あるソフトウェアは、現在廃棄処理を進めています。』の廃棄処理は誤訳だと思います。英語のリリースを見ると、『The faulty software that has caused these issues is being decommissioned 』とあるので、『当該ソフトウェア(の使用)を廃止(停止)した。』の意味だと思います。日本顧客に対する事件報告なのですから、インシデント対応としてはこの手の文言1つ1つもきちんとチェックしてからリリースすべきだったと思います。

 

ソフトバンクは、この事件は「エリクソン社製の交換機のソフトウエアに異常」の為と発表しています。他国のエリクソンを利用する通信キャリアでも同時期に障害が発生していますので、事実としては正しいのですが、果たしてソフトバンクに責は無かったのか?と考えると、私はそんな脆弱な状態であった事を気づかなかった部分においてソフトバンクの責任は大きかったのではないかと思います。

 

東洋経済の記事をもう1度見てみると、

 エリクソンによると、MMEを構成するソフトウェアの証明書に齟齬(おそらくは一部の証明書が古く有効期限が切れる寸前だった可能性が高い)があり、グローバルで同じバージョンのMMEが同時に停止した模様だ。MMEが機能しなくなると、LTE基地局および基地局を結ぶ通信網が健全であったとしても、機器同士の通信は行えなくなる。
このため、英国でも同時刻に通信会社O2が同様の障害を引き起こしたほか、世界11カ国で同様のトラブルが同時多発的に発生したとみられている。しかも一部のMMEが障害を起こすといった一般的なITシステムがダウンするケースとは異なり、東京と大阪のデータセンターに配置されているMMEが(おそらくすべて)同時にストップしたという点で、極めて特殊な事例だ。
東洋経済記事から引用)

正副のデータセンター運用でも対応できなかった事が推測されます。ソフトバンクとして様々な障害対策、バがあったとは思いますが、心臓部の機器とは言え、1ベンダーの製品の設定(運用)ミスが、ソフトバンクの全通信を止める事を想定してなかったのは、ソフトバンクリスクアセスメント(想定)が甘かったからだと言われても仕方がないのではないでしょうか?

 

また、違うポイントでは、エリクソンのソフトウェアが証明書を使っていた事、つまり更新が定期的に発生する可能性がある事を、ソフトバンク側が知っていたかどうか、も気になります。エリクソンが証明書を使った仕組みであり、更新がある事をソフトバンク側に告知していたのだとすれば、ソフトバンク監督責任も問われるべきかも知れません。

ソフトバンク側が「知らされてなかった」あるいは「知らされていたが、そう重要だと考えていなかった」かは分かりませんが、

12月6日13時39分ごろ、東京センターと大阪センターに配置してあるエリクソン製パケット交換機全台数のソフトウェアに異常が発生した。9カ月前から運用しているという同ソフトウェアの異常は、エリクソンの通信設備を使用する海外11カ国の通信事業者でも、ほぼ同時刻に発生した。ソフトバンクでは、同ソフトウェアを旧バージョンに戻すことで復旧を試みた

IT Media記事より引用)

 

という報道もありましたので、ソフトが疑わしいと考えたにしても、証明書については復旧の際にあまりソフトバンク側は考慮してなかった事が伺えます。旧バージョンで復帰できたのだとすると、旧バージョンでは証明書を使ってなかった、旧バージョンでは証明書が更新さていた/自動更新される仕組みであったので、旧バージョンに戻しても問題なかった、、、と考えるのが普通ですが、仮に証明書が更新がされる仕組みであったのであれば、ソフトバンク側は旧バージョンにおける運用説明で、証明書更新がある事を知らされていた可能性が高い気がします。

その場合は、ソフトバンクの(新バージョンの)受け入れに問題があった可能性がありそうです。

 

いずれにせよ、今回の事件は大きなシステムであっても脆弱点があり、システムや回線を多重化していても、システムが止まってしまうリスクがあるえるのだと言う事を教訓として残した気がします。

 

そうやって考えると、特に基幹システム側で特定の国の製品が意図的な悪さをすると、情報漏えいだけでなく、全体システムを止めてしまう・・・そんな観点で下記の記事も読めてくるかも知れません。

jp.reuters.com

 

犬のレントゲン検査のイラスト

 

更新履歴

  • 2018年12月8日AM(予約投稿)

 

ECサイトの管理画面はパスワードだけで守れない

任天堂キャラクターの公式販売サイトも非保持でのカード情報保護を失敗したようです。

tech.nikkeibp.co.jp

エディットモードは2018年12月7日、同社が運営する通販サイト「エディットモードショッピングサイト」が不正アクセスを受け、クレジットカード情報が漏洩したと発表した。同サイトはマリオやスプラトゥーンといった任天堂のゲームキャラクターのグッズを販売している。

 調査すると、何者かが外部からWebサイトのシステムにアクセスした痕跡を見つけた。原因の一つは、セキュリティー向上を目的に2018年1月にシステムを刷新した際、管理画面に対するセキュリティー対策が不足していたからだ。管理画面はIDとパスワードだけでログインできるようにしており、「社内からだけでなく社外からもアクセスできた」(エディットモードの担当者)という。

 攻撃者は不正アクセス後にシステムを改ざんし、利用者が画面から入力したカード情報をシステム内に残すように設定した。このため、カード番号や有効期限、名前に加えて、セキュリティーコードまで漏洩した可能性があるという。

 漏洩した恐れがあるカード情報は2018年3月7日から7月11日までに同サイトで商品を購入したときに使われたもの。最大で1万4679件としているが、実際に商品の購入に使われたカードは2169件のみである。

 1万件以上の差がある理由について、調査会社は「攻撃者が手元のカード情報が有効かどうかを同サイトの決済システムを使って確かめていた可能性があり、その差分ではないか」とみる。エディットモードの担当者は「利用者のカード情報を保存しないシステムなので、1万4679件のうちどれが利用者の情報か判定できなかった」と話す。

日経BP記事より引用)

 

■公式発表 不正アクセスによる個人情報流出に関しまして

 

◆キタきつねの所感

カード情報非保持(の周辺)がまた破られたようです。今回は任天堂キャラクターの公式販売を行う通販サイト「エディットモード」がクレジットカード情報を最大2,169件漏えいした疑いがあると発表しました。

まず、漏洩したカード情報の中に、加盟店が本来持つべきではない「セキュリティコード」が含まれています。しかし、後半の利用者のカード情報を保存しないシステム」を使っていたとあるので、決済代行会社等のカード情報非保持のサービスを使っていた事が伺えます。

非保持の事業者が、カード情報を漏えいしている事件は増加傾向です。攻撃者がその脆弱点を攻めてきていると言っても過言では無いかもしれません。ですので、同じ手法で他のECサイトも攻撃を受ける可能性を考慮し、少し考えてみます。

 

決済代行会社の非保持サービス・・・と考えて少し疑問が出てきました。今回の情報漏えいの直接の原因は、『管理画面に対するセキュリティ対策不足』と書かれています。この管理画面はどこが提供しているのか?と考えた際に二つの可能性が出てきます。1つが決済代行会社(サービスプロバイダー9、もう1つが自社(委託会社)の別なシステムです。

決済代行会社については・・・可能性はかなり低いかと思います。決済代行会社の管理画面を不正にいじった場合に、利用者が画面から入力したカード情報をシステム内に残す』ように設定できてしまうというのは、明らかに決済代行会社の管理画面の設定に問題があります。ましてや、決済代行会社はPCI DSS準拠が必要な事業者である事から、セキュリティコードを残せる設定があるとすると、そのサービスに対するPCI DSSは非準拠となってしまう可能性が高いと思われるからです。

 

公式発表も改めてみてみると、

f:id:foxcafelate:20181208140503j:plain

『アップデートを依頼した管理会社の不手際により、外部から簡単にアクセスができる仕様になっていた』という部分が目を引きます。

また、4の対策には『今回の情報漏えいの直接的な原因となった管理会社との契約を解消』した事がかかれており、決済代行会社・・ではなく、ECサイト側にある管理画面(それを管理していた管理会社)が攻撃を受けたと考える方がしっくりときます。

 

事件が発覚した7/11以前のサイトの魚拓(7/9)を見てみたのですが・・JavaScriptが多用されていました。それはそれで問題となる脆弱点がありそうでしたが、このページソースを見て、何となく今回の原因が分かりました

f:id:foxcafelate:20181208143606j:plain

 

今回の不正に侵入されたのは・・・どうやらEC-CUBEだったようです。

 

f:id:foxcafelate:20181208143911j:plain

 

EC-CUBEのログイン画面は、こんな感じですが、この管理者画面へのログインページが外部から隠されてなかったが故に、『外部から容易にアクセスが出来る仕様』になっていたのだと思います。

EC-CUBEの標準的な実装だと、https://editmode.jp/admin/ と入れたら下記のページが出てきてしまう設定になっていたのではないでしょうか。)

f:id:foxcafelate:20181208144059j:plain

このページへのアクセスに対して、更にBASIC認証を被せる事も考えられますが、私は今回の当該管理会社がIPアクセス制限を設定しなかった事が事件になった最大の原因だと思います。

 

余談ではありますが、上記推測が正しければ、、、エデットモード社も責任が無いとは言えないかと思います。EC-CUBEのログインを突破されたのだとすれば、その原因は容易に推測できるIDとパスワード(例:Admin/Admin)もしくはパスワードの他サイトとの使いまわしの可能性が高いかと思いますので。

現在の代替サイトは、『カラーミーショップ』を利用していると公式発表に記載がありますが、こちらの標準的なログインも、IDとパスワードとなりますので・・・自社担当の意識が代わってないと、同じような不正アクセスを許してしまう可能性も残していると言えるかも知れません。

f:id:foxcafelate:20181208145448j:plain

 

ゲームに熱中している男の子のイラスト

更新履歴

  • 2018年12月8日PM(予約投稿)

 

師走に想う事

駅のポスターを見てふと気づくのが、ほとんどのイベント事の最後には『平成最後の』が付けられるという事。忙しい年の瀬で、まだ仕事に追われて今年を振り返る余裕も無いのですが、改めていろいろと考えさせられました。

f:id:foxcafelate:20181209072346j:plain

 

◆キタきつねの所感

ただ、このポスターで違和感を感じたのは、『最後の』と『初』が並立している所だったのですが、平成最後のクリスマスもやってくる訳ですし、平成最後の発売り、平成最後の成人式、平成最後の節分、平成最後のひな祭り、そして企業人(社畜)の皆様が最も恐れるのは、平成最後の期末(業績)かも知れません。

セキュリティ関係でも、和暦には関係なく、SplashDataの「最悪のパスワード100」が20日頃に発表されますし、多くの専門家が今年起きた事件のまとめであったり、来年のセキュリティ関連の動向を予想した記事を発表すると想います。時間が取れたら、海外記事をいくつかご紹介できたらと思います。

 

今年を語るには、まだ早い気がしますが、海外のソレに比べて日本国内では、ベネッセ、日本年金機構の様な、その年を代表するようなインシデントは起きなかった、ある意味平和の年と言えるかも知れません。

ではありますが、攻撃の傾向は、防衛側が今まで意識してなかった脆弱点を攻めてきている印象が強いので、オフィス365のクラウドもしかり、ネットワーク閉域網へのランサム攻撃(WannaCry、SamSam等)が成功した事例などもそうですが、複数の事業者を狙う動きというのは、来年も注意が必要かも知れません。

 

 

元号は4月1日発表想定のようですが、

www.nikkei.com

公式発表までのわずかの間にフライングで「西暦」「勝訴」等に決定したというエイプリルフールネタがネット上で出る気がします。

 

更新履歴

  • 2018年12月9日AM(予約投稿)