Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

世界最小の携帯電話「Zanco tiny t1」が出資者募集中(8月出荷予定)

ガジェット通信に13gの世界最小の携帯電話がkickstarterにて出資者を募集している12月20日の記事がありました。

getnews.jp

価格は超早期割引30ポンド(¥4601)~ですが、もう枠が売り切れてそうなので、早期割引35ポンド(¥5368)、または39ポンド(¥5981)辺りの枠が、まだ出資できるようです。(出荷予定8月)

 

非常に小さい筐体(縦46.7mm、横21mm、厚さ12mm、重さ13g)で、

  • 300 Phonebook memory 
  • Stores 50 SMS Messages
  • Stores the last 50 in/out numbers
  • Nano Sim
  • 32RAM + 32ROM
  • 12.5mm OLED screen
  • Micro USB charger
  • 13 Voice changers

300件の電話帳、SMS 50件、電話履歴50件、ボイスチェンジ13種・・と機能は最小限ですが、動画を見ると十分に携帯電話として使えるようです。

The tiny phone operates on the 2G network. The battery has 3 days standby and 180 minutes talk time.

ただ、惜しむべくは3Gではなく、2Gのみにしか対応してないこと。つまり既に2Gを使わなくなっている日本やオーストラリアでは利用できないことでしょうか。

 

www.kickstarter.com

単にガジェットとしては、日本では使えない機器、、、すぐ紛失しそう、、、面白いけど、、、といった感想しか持たない方が多いかと思いますが、小型コンピュータ、Raspberry PiがATMのハッキングで使われる機材となったケースもあります。

 

参考

securityaffairs.co

このZanco tiny t1本来想定される使い方ではない使い方を試す人が出てくるのではないかなと思います。例えば、盗聴用機器として(通話180分しか持ちませんので限定的ではありますが)の用途であったり、USB給電さえ出来れば、データセンターから外部へ重要情報を送信するツールに使うという考え方もあるかも知れません。

攻撃側は様々な事を考えて、防衛側(セキュリティ担当)の弱いところを狙ってくるのですから、こうした斬新な機器が世の中に出回った際にどんなリスクが出るのか、、、そんな視点で考えることも(例え役に立たなくても)良い訓練になるかも知れません。

 

Raspberry Pi 3 MODEL B

Raspberry Pi 3 MODEL B

 

 

 昔の大きな携帯電話を使う人のイラスト

 

更新履歴

  • 2018年1月6日 PM(予約投稿)

九州商船の不正アクセス事件について調べてみた。

1月9日に九州商船がインターネット予約サイトのWEBサーバが不正アクセスを受けたと発表した件について、つぶやいてみます。

this.kiji.is

公式発表

 

インシデントタイムライン

日時 出来事
2017年8月~12月 外部への不正通信が複数回発生
2017年12月25日 ストライキ全日本海員組合)で終日欠航 ※26日に運行再開
2017年12月25日15時29分頃 不正なファイルが設置
(12月25日~1月5日) 外部への不正通信
2018年1月5日 予約サイト会員から「サイトがつながりにくい」などの問い合わせを受ける
インターネット予約が繋がりにくい事態を確認
委託先システム会社に連絡
2018年1月9日 インターネット予約サービスの停止
事件を公表
 
事件の状況 
  • インターネット予約の会員情報(会員と元会員)73,829名の個人情報が外部からの不正アクセスにより流出したおそれ(不正利用等の二次被害が確認されておらず)
  • 流出した可能性のある個人情報
    • 氏名/住所/電話番号/生年月日/性別/メールアドレス/会員ID/パスワード
       (※クレジットカード情報は含まれず)

 

原因

 

再発防止策

  • 不正アクセスが発生したサーバを停止し、代替サーバの運用準備中
  • 会員へのパスワード変更依頼(パスワードを使いまわしている場合)

 

◆キタきつねの所感

偶然かも知れませんが、不正アクセスが発生した日は、ストライキが発生した日であったため、不正検知が遅れた(システム担当が手薄だった)、あるいはストライキを知っていて狙われた可能性もあるかと思います。

 

ogihima.at.webry.info

事件情報を調べていて、上記放浪者の平日」ブログにて、”お客様情報漏えいの恐れ”について九州商船からメール連絡を受けた会員の方の記事があり、気になった点があります。

九州商船は、長崎・佐世保五島列島を結ぶ航路の運営船会社です。
ワタクシが利用したのは、2006年の五島巡り。
その際の高速船の予約の為に登録しまして、
使ったのは、それっきりなんです。
10年以上も前に1回だけ使ったデータが残っていて、良くも悪くも活用されちゃうのですね。。

情報漏えい(の可能性がある)事件において、7万件というのはまずまずの漏えい規模です。10年前の情報がDBに残っていたとすると、九州商船インターネット予約会員として過去に利用した人がすべて残っており、それが全て漏えいした可能性が高いのではないでしょうか。

乱暴な言い方ですが、元会員の個人情報を10年保存しておく必要性があったのでしょうか

恐らくデータ削除ポリシーが無かった、又はそうしたメンテナンス指示が九州商船から委託先システム会社に無かったので、データは永遠と蓄積されたのかと推測しますが、必要が無いデータをDBに置いておくリスクについて、九州商船は考えるべきだったと思います。

 

さらに、今回の事件(の可能性に)気づいたのは、会員(利用者)になりますが、長崎新聞の記事によると、

個人情報を抜き取る目的とみられる不正アクセスが昨年8~12月に複数回あった。

12月25日には予約をできなくするタイプの不正なファイルも設置されていた。

長崎新聞記事より引用)

と、サービス(WEB予約)妨害をする事を目的とした不正ファイルがあったので、事件が発覚しただけであり、8月~12月の不正アクセスは、まったく運営側が気づいていません。事件の詳細が分かってないのでゼロディ攻撃で不可避だった可能性もありますが、個人情報を預かるサービス運営者としては、セキュリティ対策が甘かったのではないかと考えます。

第一報で個人情報漏えいまで把握できてない点、再発防止策にIDS/IPS/WAF等々の機器導入であったり、SOCが入ってませんので、元々狙われたWebサーバの脆弱性(どうやってシステム内部に入りこまれたのか?)次第ではあるのでしょうが、代替WEBサーバを単に立てただけであれば、残念ながらまた攻撃を受ける可能性が高いと思います。

 

水中翼船・ハイドロフォイルのイラスト

 

更新履歴

  • 2018年1月11日 PM(予約投稿)

米国 国土安全保障省も安全ではなかった。

2001年の同時多発テロ事件を受けて設立された、米国の国土安全保障省(United States Department of Homeland Security:DHS)が不正アクセスにより、元職員24.6万人の個人情報を漏えいしたとの1月3日のリリースが出ていました。 

www.dhs.gov

インシデントタイムライン

日時 出来事
2017年5月10日 犯罪捜査の過程で元DHS職員のデータが発見される
2017年5月~11月 プライバシー調査、フォレンジック調査等をDHSが実施
2017年12月 データ漏えい対象者に通知書を送付
2018年1月3日 事件を公表

 

公式発表

事件の状況 

2種の個人情報が漏えい

 ①元職員のデータ(DHS Employee Data)

  • DHSが2014年に雇用していた職員情報24万6167件
  • 流出した可能性のある個人情報

 ②調査データ(Investigative Data:)

  • DHSが2002年~2014年にかけて調査に関連した、調査対象者、証言者、苦情に関する様々なデータ
  • 流出した可能性のある個人情報
    • 名前、社会保障番号(SSN)、外国人登録番号、生年月日、メールアドレス、電話番号、住所、調査にて提供された個人情報

原因

  • 元DHS Ofiice of Inspector Genral(OIG)職員が、犯罪調査の過程で不正なケース管理システムのデータコピーを保有している事が発覚

再発防止策

  • アクセス権限管理
  • 異常なアクセスパターン検知
  • その他、DHS OIGネットワークへの更なる安全のための多くのセキュリティ対策を講じる

 

◆キタきつねの所感

少し不思議なのがデータを不正に保有していた元職員が誰であるか、公表されてないことです。想像でしかありませんが、現政権に影響を与える可能性がある高級官僚(又は政治家)であり、公表できない可能性があるのかも知れません。

 

情報漏えいの詳細情報がリリースの中に無いので、再発防止策から推測すると、

 ・アクセス管理が厳格でなかった(Need to knowでは無い)

 ・不必要な大量のデータの持ち出しを検知/防止する仕組みが無かった

という可能性が高そうです。

 

最終的な漏えいデータを保有していたのが元職員という事ですので、データベースへの正規のアクセス権は持っていて、(例えば退職前に)自分の管轄外のデータまで持ち出しを行った、という様なケースが考えられます。

いずれにせよ、テロリストの攻撃や自然災害などあらゆる脅威から国土の安全を守る(ために設立された)DHSも、内部犯行からは情報を守れなかったようです。

 

 

関連情報

japan.zdnet.com

 

「安心・安全」のマーク

 

更新履歴

  • 2018年1月6日 AM(予約投稿)

ホワイトハウスの情報漏えい対策

1月5日のCNET Japanに面白い記事がありました。つまりトランプ政権におけるホワイトハウス内でのセキュリティ対策が不十分だった事を認めた意味になるのが興味深いところです。

japan.cnet.com

「来週から来客と職員の両方に対し、ウエストウイングにおけるすべての個人端末の使用を禁止する。職員は、政府が発行した端末で業務を遂行し、引き続き米国国民のために職務を全うすることができる」

 

 恐らくこの辺りが一番大きな要因でしょうが、、、

www.asahi.com

この報道以外にも、ホワイトハウスからの情報漏えいについては、(真偽の程はともかく)トランプ大統領が何度も発言しています。大統領の執務室、定例記者会見室、シチュエーションルームや上級職員が勤務する、West Wingの内部から政権情報が外部のニュースソースに何度も流出したために今回の個人携帯端末禁止が導入される、と言われていますが、FBIが内部漏えいの犯人を捕まえられないことに不満を表明したり、その漏えいにはオバマ元大統領が関与している、、といったトランプ大統領の発言は、自身の求心力の低下に対する危機感の表れといえるのかも知れません。

 

2017年2月にも今回の禁止令に通じるトランプ大統領の動きがありました。

www.sankei.com

スパイサー大統領報道官は今月下旬、部下の職員たちを自室に呼び出し、メディアへの情報漏洩(ろうえい)に強い不満を表明。その上で、部下らが携帯電話のテキスト通信や暗号化アプリなどを使って記者らとやり取りしていないかを調べるため、ホワイトハウスの顧問弁護士の立ち会いの下で携帯を提出させた。(産経ニュースより引用)

 

BYODとまでは言いませんが、重要な施設内での私物機器の利用対策については、例えばコールセンター、データセンターなどにおける私物持込禁止策でいち早く導入されています。IDゲート、監視カメラ、私物ロッカー、USB機器接続制限(ディバイスロック)、PC権限管理、不正パケット監視・・・などがよくある対策例ですが、当然のことながら従業員からの不平不満が出てきます。

今回の措置に不満をもらすウエストウイングの職員もいるようだ。Bloombergは匿名の職員の話として、禁止に反対する側近は、職場の電話は、テキストメッセージを送ることができず、個人目的に使用することはできないと述べたと報じている。(CNET Japan記事から引用)

 

コールセンターの従業員ですら、その不便さを享受している訳ですが、ホワイトハウスに勤務する(年収の高い)上級職員が、、、家族との連絡が不便になる事を嘆くのであれば、その責務には向かなかったのではないかなと思います。

 

とは言え、様々な関連ニュースソースを追いかけても、ルールはできても、どうやって実現するのか、という運用部分(作業手順)については明確に出てなさそうです。急に私物携帯の持込みを禁止しても実効性は無いので、手っ取り早く私物ロッカー導入なのかな?と思いますが。。。

 

 宅配ボックスのイラスト

 

更新履歴

  • 2018年1月6日 AM(予約投稿)

ECプラットフォームの拡張機能が狙われている

EC Cubeについて12/1の記事で少しコメントを書きましたが、今度はMagentoのヘルプデスクの拡張機能が狙われたようです。

Magento(マジェント)はECサイト構築向けに開発されたオープンソースソフトウェアで、日本での利用はそう多くない様ですが、世界シェアNo1の利用実績を誇ります。 

 

securityaffairs.co

Megentoでよく使われる拡張ヘルプデスクのMirasvit Helpdeskに対してXSS攻撃を仕掛ける手法で、セキュリティ調査会社のWebShield社が2017年9月に発見した脆弱性が使われていたようです。”Mirasvit Helpdesk extension”のバージョン1.5.2までの全てのバージョンが影響を受ける様ですが、1.5.3修正版がリリースされているようですので、対策としては最新版アップデートが有効のようです。

f:id:foxcafelate:20180104181035p:plain

JVNDB(日本の脆弱性対策情報データベース)にはどうやらMegentoの情報はアップされないようですので、日本のユーザが脆弱性を確認するには開発ベンダーから情報を得るか、海外のサイトを見るしかないようです。(必然的に情報入手が遅くなると思いますので、その間に同じ手口で狙われるリスクは高くなります)

 

海外のサイトでは、例えば、以下のようなサイト(CVE Details)がありますが、

f:id:foxcafelate:20180106073041j:plain

(私の探し方が悪いのかも知れませんが)今回の拡張機能脆弱性情報は見つけられませんでした。

だとすると、ベンダー情報(今回の場合は、Mirasvit)を追いかけて判断するしか無かったかも知れません。そういった点では、EC Cubeの拡張機能を調べた時と同じ傾向があり、拡張機能を使っている人が脆弱性情報を入手するのが遅くなる、あるいは見落とした場合、ソフト本体の脆弱性に比べてパッチを当てるのが遅くなり、そこを狙われる懸念は、特に良く使われるECプラットフォームであればある程、大きくなりつつあります。

特にECサイト構築に利用される、オープンプラットフォームは狙われていると考えるべきかと思われます。見落とされやすい拡張機能も含めて、最新版リリース情報には特に注意した利用が求められているのかも知れません。

 

 

 参考:EC Cubeの脆弱性(後半部分)

foxsecurity.hatenablog.com

 

更新履歴

  • 2018年1月6日 AM(予約投稿)

2017年に感銘を受けたワード「高い壷は買うな」「Take the Red Pill」「Door Stepmile」

2017年を振り返った時、セキュリティ関係だけという訳ではないのですが、心に残ったワードが3つあります。それが標題の3つなのですが、啓蒙的な言葉というのは伝わりにくいものではありますが、年の初めという事もあり、少し書いてみます。

 

まず1つ目ですが、「高い壷は買うな」厳密には「高い壷は買う必要ないですからね」という感じだったかも知れませんが、会社に出させて欲しいとお願いして出席した日本シーサート協議会の10周年カンファレンスで、日本シーサート協議会の山賀さんが言っていた言葉になります。丁度、この裏セッションが偉い大学の先生のセッションだった気がしますが、このセッション聞いて良かったな、と思った去年の(私的)ベスト講演でした。Internet Watchさんが記事を書かれているので、雰囲気はこちらをご覧頂ければと思いますが、

internet.watch.impress.co.jp

 CSIRTという言葉が注目を集める中で、そこに付け入る“怪しい商売”が近年増えている。例えば、CSIRTについて知識の浅い地方企業などに対し、不必要な機器をベンダーやコンサルティング会社が売りつけるケースが横行していると山賀氏は指摘する。

 

 山賀氏も、専門家の言うことは決して間違っていないし、嘘でもないと補足する。ただし、「その発言がすべての企業や組織に当てはまるかは別の話。(専門家の話は)あくまで考えの1つ。あえて極端に言うが『100%正しいセキュリティは存在しない』と考えるべきではないか」と山賀氏は訴えた。法律やガイドラインといったミニマムラインは当然あるが、それを超える部分については各組織がそれぞれの実態に合わせて運用スタイルを策定すべきという。

山賀氏の話を聞いていたときに、セキュリティに関わる仕事をしていると、本来必要ではない機器やソリューション(高い壷)をお客に買わせることの意識が強すぎないか?と問われた気がしました。良い機器やソリューションを導入させる事によって、顧客企業のセキュリティは確かに向上するのでしょうが、これで絶対大丈夫ですとも言うべきではないし(ITベンダーさんの地方営業に多いと講演では指摘されていました)、高い予算をつぎ込んで導入した機器があっても事件が発生した際は、更に良い機器を買いましょう・・・と宗教じみた営業が横行している状況があることに対しては、自分が何が出来るのか、何をすべきなのか、と考えさせられました。

 

2つ目は、Brian Krebs氏のセミナー(実際に参加している訳ではありませんが)での内容。映画マトリックスでの有名な台詞「Take te Red Pill」です。IT mediaさんが記事を書かれている内容(及び11月21日にこのブログでも記事を上げています)になりますが、

 

冒頭でハッカーのモーフィアスが、いま見えている現実は全て虚構で、その真実を知りたいのなら「赤い薬」を飲め、その事実から目をそらし、今の現実を受け入れたいのならば「青い薬」を飲めと判断を迫る。(IT media記事より引用)

 

foxsecurity.hatenablog.com

www.youtube.com

を引用し、

「今のセキュリティも同じこと。侵害されていないと思うということは、その組織が“青い薬”を飲み続けているのだ。『自分のキャリアが失われるから、侵害が起きているという戦略は採りたくない』とトップが考えている。勇気を持って“赤い薬”を飲むべきだ」(クレブス氏)

 同氏は続けて、サイバーセキュリティを理解している企業の考え方として、「そもそも安全であるという状態はない。リスクを許容できるレベルで運用できているという状態にあるということだけ」という発言を引用し、侵害を想定することが重要だと述べた。

IT media記事より引用)

Krebs氏は企業は侵害されている前提でセキュリティを考えるべきだ(Take the red pill)と言っていた点。この前提が違うだけで、予算が無い・・・という問題もクリアになるでしょうし、この記事で多く取り上げるような事件対応でウロウロする(インシデント対応計画の不備)事も少なくなるでしょう。

「セキュリティ(事件)の現実を知れ」という意味では、とても含蓄のある表現だと思います。

 

最後3つ目が、イギリスの冒険家で作家のアラステア・ハンフリーズ(Alastair Humphreys)氏の講演内容(8月に聴講)から、「Door Stepmile」(最初の冒険の第一歩)です。セキュリティに関係したという事ではないのですが、実際に聞く講演は誰よりも言葉に重みがあった気がします。つたないメモが残っていましたので、簡単に記載しておきます。

f:id:foxcafelate:20180104175124j:plain

 

冒険の本を読んでいつか冒険したいと考えていたが、自転車を買って冒険しようと、いざスタートしたら友達にもガールフレンドにも同行を断られた。ちょっと英国を走ってみよう、・・・と気がついたら、世界一周の旅が始まっており、南アフリカに行ったら道が無いので終わり・・・と思ったら、船のヒッチハイクができた・・と4年の大冒険になったいた。お金、才能、スキル、すべて自分には無い、だけど挑戦が好き。

 

f:id:foxcafelate:20180104175127j:plain

f:id:foxcafelate:20180104175130j:plain

f:id:foxcafelate:20180104175133j:plain

f:id:foxcafelate:20180104175136j:plain

たくさんの人が冒険をしたいと言うが、実際にやる人は少ない

やりたい事は難しい、時間がかかる、結局はリスクを取ってやらない。

でも冒険は小さなことからでもできる。

その最初の一歩(Door Stepmile)が出来てしまえば、冒険は簡単な事かも知れない

 

 

 黒服にサングラスの集団のイラスト

 

更新履歴

  • 2018年1月4日 PM(予約投稿)

イタリアのスピードカメラDBがハッキングされた件をつぶやいてみる。

イタリア地域警察CorreggionのスピードカメラのデータベースがAnonymousによってハッキングされ、関連ファイルを消されたと、Gazzetta di Reggioが報じた件について、Security Affairsの1月3日記事があったので、つぶやいてみます。

securityaffairs.co

ハッカーは、Correggionの警察のデータベースとVerbatel社によって開発されたシステムをハッキングしたことをCorreggion警察のメールアカウントを使ってメッセージを送付した。(※記事には日付が無いが、スクリーンショット写真を見ると2017/12/30になっていた)

ハッカーはイタリアの複数の新聞社に対して、スピードカメラチケット情報を含む40ギガバイトの侵害した写真を消したスクリーンショットを送付しており、そのうち1つのスクリーンショットでは、Correggioデータセンタの従業員が送ったメールが含まれており、深刻な問題が発生したので12月5日のバックアップデータでリストアする事が説明されていた。

 

◆キタきつねの所感

警察署のスピードカメラのDBへのハッキングが成功したという事ですが、金銭要求がなかったことから自分の実力を誇示したい若手ハッカー(hacktivists)による犯罪事例だと思われます。とは言え、警察のシステムへの侵入というのはあまり聞いた事がありません。日本の警察でここまで侵入される・・・というイメージは無いのですが、(ハッカーだけでなく、スピードカメラで捕まった人達からも)攻撃対象になりやすい、という点では注意が必要な事件かも知れません。

記事ではあまり詳しい情報もなく、1次ソースを追っかけるにもイタリア語はちょっと・・・という所なので、想像になりますが、重要なシステム(スピードカメラデータベース)に入り込まれてデータを削除された事、内部メールや書類を漏えいさせた事から、警察に対する信用を貶めようというハッカーの強い意志が感じられます。

侵入手口は公表されてませんし、(警察という事もあり)他への影響を考慮して今後も公表されないかも知れませんが、データセンタの内部メールも公表されている事から、データ削除した後も、ハッカーは侵入し続けていた事が推測されます。つまり警察(データセンタ)側の初動として、ネットワーク止めて(フォレンジック)調査をしてなかった可能性が高いのかと思います。つまりハッキングされたという考慮せずに、単なるシステムトラブルとして対応をしていたと思われます。侵入していたハッカーは、この対応を見て、次の手を打つ事も出来たでしょうし、侵入の痕跡をゆっくりと消して事件調査を遅らせることができたかも知れません。

ハッキングに対するインシデント対応手順・・・やはりハッキングがあったときのための備え、というのが重要だったのではないでしょうか。

 

ハッカーのイラスト

 

 

更新履歴

  • 2018年1月4日 AM(予約投稿)