Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

バイパスがありますか?

Twitterのフォロー先を少し変えた事によって、面白い情報もたまにひっかかある様になりました。例えば、指紋認証センサーが付いた物理鍵。

 

www.youtube.com

日本ではお見かけする事のなさそうな鍵ですが・・・この鍵の攻略法(脆弱性)は思いもしない所からでした。詳しくはYouTube動画を見て貰った方が早いのですが、

f:id:foxcafelate:20180617174841j:plain

確かに・・・ここを特殊ドライバーで攻めれば、、、まぁそうなりますよね。USB充電口があったので、てっきり論理的にそこを攻撃するものと思ったのですが、生体認証をバイパスする手段があるとは設計時に考えなかったのでしょうか?

 

動画を見ていて、気になったのが・・・自転車のこうした鍵。鎖自体は強度があるので、私もこんな以前チェーン鍵を使っていたのですが・・・。

www.youtube.com

特殊工具を使うと・・・意味の無いセキュリティ手段になってしまう事がよく分かります。攻撃を受ける前提でセキュリティ設計をする。シフトレフトはソフトウェアだけでなく、物理面でも重要なようです。

 

一休さんの似顔絵イラスト

 

 

更新履歴

  • 2018年6月17日PM(予約投稿)

黒塗り文章の漏えいは機能の誤用

Blogosに最近黒塗りデータが漏えいしている件についての解説が書かれていました。

blogos.com

ミスのほとんどは注釈ツール「長方形」の誤用

「黒塗りが外せる!」と大騒ぎになる時は、本来使うべきツールではなく、無料で入手可能なPDF閲覧ソフト「Acrobat Reader」の注釈ツールに含まれる「長方形ツール」を誤って使っているパターンがほとんどです。

 この「長方形ツール」は、もともと文書の一部分を四角く囲って強調するためのツールですが、枠および内側の色を黒に指定すれば、墨ベタのような外観になります。これを隠したい箇所に貼り付けていけば、下の文字が読めなくなるというわけです。

 しかしこの方法は、いわば紙に付箋を貼り付けているようなものですので、「Acrobat Reader」上でマウスを使ってドラッグすれば簡単に外せてしまいます。

(Blogos記事より引用)

 

◆キタきつねの所感

上記Blogos(文春オンライン)森友学園等の極秘文書の黒塗り部分の解読法について図解解説されていました。

私は黒塗り部分のコントラストを使った解読だろうと勘違いしていました。これは昔からある手法ですが、黒塗り部分と下に隠した文字が微妙に文字の濃淡がある場合、画像加工ソフト(Photoshop等)でコントラストをいじると文字が浮かんでくるのですが、これだろうな・・と勝手に思っていました。

ある意味古典的な解読手法なので、少し薄いマジックで塗りつぶしてたのかな・・・と想像していたのですが、なる程、ソフトの黒塗り方法の勘違いであるならば、簡単に元の文章にたどり着けますね。

 

とは言え、このBlogosの記事で取り上げられた黒塗り解除方法(PDFファイルからの黒塗り情報の解読)についても、2007年頃から指摘されている機能の誤用と言えそうです。

www.j-cast.com

www.security-next.com

 

ではどう対処すれば良いのか・・・ですが、Blogos記事では

正しいソフトおよびツールを使う方法をマスターしたい

 黒塗りを行うことの是非はさておき、今回のような意図しない流出事故をなくすには、正しいソフト(Acrobat Pro)を用い、正しいツール(墨消しツール)を用いて処理を行うことがまず重要です。注釈ツールを使うのはまったくの論外です。

(Blogos記事より引用)

という事を推奨しています。これは妥当だと思います。

しかし・・Acrobat Readerの注釈機能が原因だったとすると、有償版のAcrobat Proを持っていない事が漏えいの遠因となっていると考えられるので、紙にプリントアウトし、該当箇所をマジックで塗りつぶした上で、PDF化するのが最も基本的な対処だと思います。

しかし、それでも私が当初勘違いした、黒塗りのコントラスト差分で解読される危険性があります。そこまで防ぐなら、ケシポン等で一度スタンプした上でマジックを使うと、かなり解読リスクは減ると思います。

個人情報保護スタンプ ローラーケシポン ブルー ISー500C

個人情報保護スタンプ ローラーケシポン ブルー ISー500C

 

電子データからPDF化する方が手間を考えると望ましいという事ならば、もう1つ奥の手が考えられます(邪道ですが)。

それは、元の文章ファイル(Wordや一太郎)で、黒塗りしたい文章を一度、ブランクに置き換えます(消してしまう)その上で黒塗りの長方形を被せてPDF化すれば・・・あら不思議。Blogosの手法で黒塗りが移動されたとしても・・・元の文章は見えません(元の文章が削除されている訳ですから当然ですが)。

そもそも、黒塗り=見せたくない部分である訳ですから、黒塗り自体が実は意味が無い事にしてしまう。森友学園の交渉文章等の資料でこんな事をしていいのかについては議論の余地がありそうですが、少なくても漏えいするリスクについては極小化できる事は間違いありません。

 

驚いて目が飛び出る人のイラスト(男性)

 

更新履歴

  • 2018年6月16日PM(予約投稿)

シェアバイク(Bycyklen )システムへの攻撃

コペンハーゲンのシェアバイクネットワークがハッカーに襲われ、公共交通(バイク利用)1860台が5/4-5/5まで止まってしまったようです。

www.bleepingcomputer.com

 Bycyklen said on Facebook that fixing the problem required a manual update of all bikes. Employees restored 200 bikes on Saturday after tracking down bicycles and rebooting the attached Android tablet.

The company said restoring all bikes to working order would "take some time."

(Beeping Computer記事より引用)

 

◆キタきつねの所感

デンマークコペンハーゲンはシェア・バイクの先進国である事を下記の記事を読むまで知りませんでした。

criticalcycling.com

影響を受けたシステムはBycykelとありますので、この記事で取り上げられているシステムと同じです。記事では、

An unidentified hacker has breached Bycyklen —Copenhagen's city bikes network— and deleted the organization's entire database, disabling the public's access to bicycles over the weekend.

(Beeping Computer記事より引用)

ハッカーの攻撃によって、組織の全てのデータベースが消去された・・・とありますので、ワイパー型のマルウェアによる侵害だと思われます。

バックアップから復旧をかけたようですが、残念な事に、自転車に搭載されたアインドロイド端末をすべて手動で更新・再起動しなければならない羽目に陥ったとの事。幸い、個人情報が漏えいした証拠は出てこなかったという事ですが、

  • マルウェア侵害をどこが穴で受けてしまったのか?
  • データベースのワイプ(消去)を検知できなかったのか?
  • (今後同様な事件があった際に)マニュアルでの端末更新をしないでも良い方法は無いのか?

とったことが気になってしまいます。シェアバイクといえば、中国でも爆発的に拡大していますが、日本でも色々な試みが進んでいます。その基幹となる所は、ネットワークとデータベースであり、欧州で大きな実績を持つBycyklen(当然セキュリティ対策も一般的な事はしていたと思います)と同じ様に一度侵入されてしまうとネットワーク全体が影響を受ける環境なのは同じだと思いますので、セキュリティ対策(あるいはこうした事件情報の分析)もビジネス拡大だけでなく、真剣に考えていくべきだと言えそうです。

 

レンタサイクルのイラスト

 

 

更新履歴

  • 2018年6月16日PM(予約投稿)

性善説思想では、もはや秘密は守れない

日産自動車の発売前のリーフ写真のリークした元取引先従業員が逮捕されていました。

www.sankei.com

(EV)「リーフ」の新型モデルの写真をインターネットに投稿したとして、神奈川県警は15日、不正競争防止法違反(営業秘密侵害)と偽計業務妨害の疑いで、取引先の自動車部品メーカーに勤務していた30代の元社員を書類送検した。捜査関係者への取材で分かった。

 県警は、発表前の車の画像は企業秘密に当たると判断した。

 捜査関係者によると、書類送検容疑は、新型モデル発表前の昨年8月、仕事で訪れた神奈川県横須賀市の工場で写真撮影してツイッターに投稿し、業務を妨害したとしている。

産経新聞記事より引用)

 

◆キタきつねの所感

日産自動車も、ある意味災難であるのかも知れません。発表1ヶ月前の2017年8月5日に身内に近しい取引先(少なくても製造ラインに入れる程に信用されている取引先企業)の従業員が新車情報Twitterに漏えいしたのですから。

Twitterの画像魚拓を見ると、個別のTwitterアカウントに対してのメッセージにも見えます。土曜日でしたので、仕事からの開放感・・という部分もあるのでしょうが、発売前の新車情報(しかも発表前)というのがどれだけ秘匿性が高いものであるのが、言葉では分かっていても頭では理解してなかったのかも知れません。

f:id:foxcafelate:20180616150742j:plain

調べていくと、8月には、おそらく事件化される事を予感させるようなネットでの取り上げ方をされていましたし、情報を漏えいした元従業員本人の写真まで出ていました(色々なところで書き込みをしていたのが追跡されたようです)。

普通は身分を隠して投稿するようなリーク情報ですが、おそらく新車の写真を(日産の許可を得ずに)撮る事、及びそれを外部漏えいする(SNSも含む)事がいけない事である、会社間の秘密保持に抵触する可能性がある、そういった事が分からなかったのだと思います。

日産も、不正検査問題に引き続き、こうした内部からの情報漏えいの問題まで出てきてしまったのですから、内部の引き締め(新車情報は・・・再教育でしょうか。サプライチェーンまで含めて)が必要な時期と言えそうです。

とは言え、素朴な疑問としては、工場工程に作業ではいる取引先のスマホ(携帯)は持込みされても日産としては問題なかったのでしょうか。おそらくルールでは持込みを禁止していたのだと思うのですが、実効性が無かったのかも知れません。

 

リークがあった8月には、ネット上はお祭り騒ぎだったようですが、いくつかの記事を見ていると、やはり自動車工場のラインにおいて、私物スマホの持ち込み禁止は難しそうなコメントがあちこちに載っていました。

kagepon.com

それが現実だとしても、テストコースで車の形状を必死に隠しても、工場ラインに潜り込めると写真が撮り放題というのであれば情報管理って何だろう?と思いますし、そもそも新車が発表される時の期待感がまったく違うかと思います。それは新型iPhoneの発表前リークが続いているアップルと同じかも知れません。

時に株価にまで影響する重大なイベント。それが新車発表なのですから、秘密情報は、従業員(あるいは協力会社の社員)の性善説に基づく管理だけでは限界なのだと思います。工場工程への完全持込み禁止が難しいのだとしても、せめて休憩室の中だけでスマホ利用させる(私物ロッカーを休憩室に置いたら?と思うのですが)ような運用から始めても良いのではないでしょうか。

併せて、気軽に撮った新車写真が引き起こす社会的な影響についても徹底的に教育することも早急の課題と言えそうです。

 

新車をリーフ・・ぢじゃなかった、ークさせている場合ではなく、”スマホ禁止もやっちゃえ”る事を期待しています。

www.youtube.com

 電気自動車のイラスト

 

更新履歴

  • 2018年6月16日PM(予約投稿)

財布管理はセキュリティと同じ?

とある所で同僚とお酒を飲んでいたのですが、SNSで別な同僚が財布を無くしたと・・・悲壮なつぶやきがされている事に気づきました。今や高性能スマホがあればほとんど財布が要らない生活も送れる訳ですが、財布を無くした際の考え方は・・・実はインシデント対応と相通じる事があるのに気づかされます。

www.lifehacker.jp

SNSで同僚に助言(だったかどうか分かりませんが)したのは、まずは無くした際にどこで財布を(最後に使ったのか)思い出そうという事でした。

 無くしたと思ったけれど、実は家に置いてきていた。

机の上やカバンに実は入っていました・・・という状況以上にありえる事かも知れません。

その次に考えるべき事は、1日の行動。会社内の行動を振り返ってみて、特に財布を落しそうな状況を重点的に思い出してみます。通勤中の鉄道経路、コンビニでの買い物、自販機のジュース、自席、会議室・・・見落としやすい場所としては食堂とトイレが考えられます。場所を思いついたら、警備室・関係部署に落し物を確認すると良い事があるかもしれません。

警察や鉄道会社等も含めて連絡しても、思いつく場合を一通り当たっても手がかりが無い場合・・・残念ながら移動中にスリに財布を盗られたという可能性もあるかも知れません。

 

すぐに財布は出てこないと判断した場合は、次は影響範囲を極小化することになります。財布に入っているものにどんなものがあるか・・・と考えると、こんな感じでしょうか。

  1. 現金
  2. 運転免許証
  3. 社員証
  4. クレジットカード
  5. キャッシュカード
  6. 各種会員証(ポイントカード)
  7. 診察券
  8. 保険証
  9. 定期券
  10. レシート

1の現金については、落し物を善意の第三者が拾ってくれたとしても・・・出てきたらラッキー程度に考えるべきかも知れません。6 会員証  7 診察券は他のカード類に比べて影響も小さいことが多く、再発行も容易だと思いますので割愛します。

無くなった影響で考えると、まず4 クレジットカードを止める事が最優先になります。各カード会社に言って止める訳ですが・・カードの裏面にある問い合わせ電話番号を調べる(スマホがあれば大丈夫でしょうが)事から始めなければなりません。

 

 ■紛失・盗難連絡先|お問い合わせ|クレジットカードは永久不滅ポイントのセゾンカード

 ■三井住友カードを紛失・盗難の際は|クレジットカードの三井住友VISAカード

 ■MUFGカード カード盗難・紛失のご連絡|クレジットカードなら三菱UFJニコス

 ■紛失・盗難のご連絡|クレジットカードなら、JCBカード

 

次に5 キャッシュカードの不正利用が懸念されるのですが、暗証番号が実は生年月日だった(保険証に生年月日記載有)・・・とか、自宅の住所の一部を使っていた(運転免許証に住所記載有)という、脆弱なパスワード問題にひっかかかっていなければ、すぐには不正引き出しをされる可能性は少ないかも知れません。とは言え、キャッシュカード取引を止めるのにも、口座番号が分からないと時間がかかりそうですが、自宅に保管している通帳を探さないと、という方が多いかもしれません。止めるのも一苦労です。

 

その他の影響を考えると次に考えなければならないのは、2 運転免許証 3 社員証 8 保険証といったIDカードです。運転をされる方でしたら、免許が無いと免許不携帯でつかまる可能性も出てきますので運転免許が優先されるでしょう。また身分証としても対外的に使えますので運転免許の再発行を次に考える方は多いでしょう。ですが、運転免許証の再交付は本人が運転免許センターに行くしかありません。

 ※東京都の場合は土・日はやっておらず、平日8:30-16:00に行く事になります。

 ■遺失、盗難、汚損、破損による再交付 警視庁

申請写真は良いとして、再交付の際にも本人確認資料として、社員証・健康保険証・住民票・マイナンバーカード等が必要となります。

ここで最初のトラップに巻き込まれます。社員証や健康保険証が一緒に紛失している場合にはかなり面倒になります。社員証や保険証は会社(組織)側の対応が早ければ、もしかすると運転免許証より早く入手が可能かもしれませんが、普通はそれなりの再発行時間がかかることが多いかと思います。(1-2週間)

マイナンバーカードは・・・普及率が20%には届いてないと思いますので、住民票が一番楽そうに思えますが、住民票を入手するにも本人確認書類が必要となりますので、、、ここで手続きが滞る可能性もあります。とは言え、同居のご家族がいらっしゃれば、ご家族の方の身分証提示で住民票が取れますし、あるいは親族の方などに委任状を書いて入手してもらう手もあるかと思います。

 

そう考えると、

【捜索】     身近で探す > 心当たりの所に電話する

【不正利用防止】 クレジットカードを止める > キャッシュカードを止める 

【再発行】    会社にて臨時社員証(一時利用)を発行してもらう > 社員証・保険証の再発行依頼

         住民票(家族の協力)を入手する > 運転免許証を再交付する(平日) 

         クレジットカードの再発行手続き(コールセンター)

         キャッシュカードの再発行手続き(店頭・本人確認書類要)

 ※因みに、上記がセキュリティ対策でいう「インシデント対応計画」と言えそうです

という感じで進めるのが良い気がします。

再発行に関しては並行処理で動ける部分がありそうですが、本人確認書類(ID証)の入手や各々違う会社に電話する必要があったり、とにかく手間がかかるのは間違いありません。

 

では、こんな面倒な事に巻き込まれない為には?と考えると・・・実は財布の中に普段使わないカード類をたくさん入れている事が、いざ事故が発生した際の影響範囲を大きくしている事に気づかされます。

  • 普段使わないクレジットカードは持ち歩かない
  • キャッシュカードも普段使う銀行の1枚だけ持つ
  • 保険証は病院に行く時以外は家においておく

普段財布に入れて持ち歩かないカードを安全な所に保管(貸金庫は・・普通は使わないでしょうから、家に手提げ金庫設置するか、普段使わないスーツケースに入れるのもお勧めです)しておく事が前提とはなりますが、一気に全てを紛失した際の影響というものは、かなり軽減されるのではないでしょうか。

こうした手法、私は海外に行く時に実践しています。資産をホテルのセーフティボックス、スーツケース、財布と分散管理しています。

 

併せて、各カード毎の紛失時連絡先をメモ(棚卸し)しておくのも手続きの煩雑さから逃れる良い手かも知れません。あるいは、、、カードの表面(番号)と裏面(連絡先)の写真をスマホアプリで管理するのも万が一を考えると良い手法です。

 

 

 

因みに、冒頭の同僚の方・・幸運にも店舗で財布が見つかったと後日分かりました。。良かったです。

 

 

財布を無くした人のイラスト(落し物)

 

更新履歴

  • 2018年6月16日PM(予約投稿)

AWS設定ミスで5万人のホンダ顧客情報が公開状態

またAWS設定ミスが発見されていました。ホンダのインド法人が影響を受けたようです。

gigazine.net

閲覧できる状態だったデータは、アプリに登録した名前・電話番号・パスワード・性別・メールアドレス・連絡先。また、車に関する情報の車両識別番号・アクセスIDなども含まれていました。

Kromtechの専門家が顧客情報のデータベースを見つけた場所は、ウェブストレージサービスAmazon AWS S3上。データが流出したのはAmazon側の問題ではなく、Honda Cars Indiaがデータを保存するディレクト「Buckets(バケット)」の設定を誰でも閲覧できる「公開状態」にしていたのが原因。公開状態の2つのバケットの中には、Honda Connectのユーザーデータが合計で5万人分以上が含まれていました。

Gigazine記事より引用)

 

f:id:foxcafelate:20180610173850j:plain

 

◆キタきつねの所感

今回もAWS設定のミスを見つけたのはKromtech。ホワイトなセキュリティ企業の善意ある警告ではあるのですが、調査結果がBlogに発表されてしまうので、漏えいの事実がすぐ知れ渡ってしまいます。(おそらく事件を隠蔽しずらいはずです)

とは言え、AWS脆弱性については、私も以下の記事を書いていますが、名だたる企業がずーっとミスを続けて発表していますので、既知の脆弱性と考えても良いのではないかと思います。これだけ事件が報じられても、設定ミスが無いかを確認しない企業側が悪いのではないでしょうか。

 

foxsecurity.hatenablog.com

上記記事にも書きましたが、Amazon側も設定ミスが分かりやすいように管理コンソールのインターフェイスも変更してますし、警告のメールも各ユーザに出しています。今回のホンダだけでなく、Amazon AWS S3を利用しているユーザは、『自社、自部門のサービス状態がどうなっているのか』今一度、再確認すべきだと思います。

AWSだけでなく、Cloudを利用しているユーザは、自社で決めるべきセキュリティ設定の不備についてCloudサービス事業者が責任を負わない事を改めて認識した方が良いのではないでしょうか。(AWS以外のCloudサービスでも似た様なリスクは存在していると思います)

 

 

レーサーのイラスト(女性)

更新履歴

  • 2018年6月10日PM(予約投稿)

大学もビジネスメール詐欺に要注意

米国ワシントン州カークランドにある、Northwest Universityがビジネスメール詐欺の被害を受けたとKIRO7が報じていました。

www.kiro7.com

KIRO 7 has uncovered documents detailing the Kirkland Police Department's ongoing investigation into how a suspect, or ring of suspects, was able to hijack the school email account of Northwest University's chief financial officer.

The hacking of CFO John Jordan's email account has the Kirkland college out nearly $60,000.

According to detectives, the thieves secretly monitored Jordan's emails and, when a legitimate payment was due to a school vendor, the hackers re-routed the money.

(KIRO7記事より引用)

 

◆キタきつねの所感

大学の公式発表が無いか探してみたのですがヒットせず。警察側の発表も見てみたのですが、特に発表らしきものは見つけられず。とはいえKIRO7(テレビ局)の発表記事なので、この内容が正しいとして考えて見ます。

日本でも昨年末にJALがひっかかった事で注目されているビジネスメール詐欺(BEC)。今回の事件でもCFOのメールの乗っ取りですので、ほとんど手口は一緒だと思われます。

 

 ①CFOのメールハッキング

 CFOのメールアドレスから経理担当に送金先の変更を指示

 経理担当が送金先を変更

 

順に見ていくと①はどうやってハッキングされたのか、記事からは不明です。考えられる攻撃手法としては、

 

 A) 別なサービスでIDとパスワードが漏えい(パスワードの使いまわし)したものが不正利用

 B) CFOマルウェア付きのスパムメールを踏んだ(APT攻撃含む)

 C) CFOスパムメールからリンクを踏んでマルウェアに感染した(APT攻撃含む)

 D) CFOがゼロディ攻撃を受けてしまった(その他諸々)

 

辺りだと思いますが、D)は確率が低そうなので除外した場合・・・特によく出来た標的型攻撃メールが出回る時代ですので、人の脆弱性を突いた高度な標的型攻撃を受けたとする、B), C)辺りは可能性が高いかも知れません。

JALのケースと今回のケースが似ていると思う点が、ベンダーへの正当な支払いがある時期に、偽CFO経理担当に送金先変更の指示を送っている(であろう)部分です。

この仮定が正しければ、ハッカーCFOのアカウントをハッキングした後に、支払いが発生する時期まで待っていたのだと推測されます。偶然支払いが発生していた時期にハッキングが成立した可能性もありますが、変更指示を自然に行うためには、じっと侵害したメールアカウントを監視(又は転送)している方が効率的です。

 

こうしたビジネスメール詐欺(BEC)対策として考えられるのが、例えばGmailのようにメールアカウントのログイン監視を行い(リスクベース認証)アラートを出すやり方があるかと思います。

もっと言えば、外部からのメール(リモート)アクセス(IDとパスワード)に関して、パスワードの限界を考慮するならば、多要素認証が、特に機微な情報を扱う経営層の方々にこそ必要だと思います。

 

ビジネスメール詐欺の場合、最終的には『送金先変更』がハッカーの目的な訳ですが、ここがCFOとは言え、メールだけで許可されてしまう(成立してしまう)事も大きな問題です。

変更指示には、電話で送金先(ベンダー)に確認を取る。(メールが例え不正侵害されていたとしても、電話は別経路)こうした運用ルールを徹底するだけでも、イレギュラー処理対策としては、かなり効果があると思います。

 

その他、、、もっと良い対策情報ソースは下記を参照ください。

www.ipa.go.jp

japan.zdnet.com

 

 

募金詐欺のイラスト

 

更新履歴

  • 2018年6月10日PM(予約投稿)