Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Flightradar24のデータ流出

フライトレーダー24というソフトをご存知でしょうか?このサーバの1つが攻撃を受け、情報流出した可能性があると報じられていました。

www.itnews.com.au

このソフトは、北欧の航空機ファンによって作られたリアルタイムで航空機追跡ができるソフトで、航空機が管制官などに自機の位置を伝えるADS-Bを受信する受信機をボランティア(航空ファン)が設置した事で、民間ソフトでも追跡が出来るようになっています。

 

itnewsの記事によれば一部のサーバが攻撃を受け、メールアドレスとハッシュ化されたパスワードが一部外部に漏えいし、後にソフト提供会社が確認したところ、複数のフォーラムのメールアドレスは真正であったと漏えいした可能性があるユーザが受領したメールには記載があったとの事。

 

※参考までこんなソフトです。上図はApp Storeから、下図はWikiより引用

 

f:id:foxcafelate:20180630070114j:plain

f:id:foxcafelate:20180630070121j:plain

◆キタきつねの所感

なんでこの記事が気になったかと言えば、そう、私もインストール(無料版)しているソフトだからです。漏えいしたデータは・・・有償版の登録ユーザのようです。一番上のライセンスで年間500ドル程度、逆に言えば5.5万円以上の価値があるとコアなファンからは判断されるソフトであると言えます。

Flightradar24 offers premium subscription packages from US$10 ($13.54) to US$500 ($677) a year. It uses payment services such as Paypal.

(itnews記事より引用)

 

個人情報の漏えいとしては、そんなに大きな事件ではありません。では何故気になったのかと言えば、このソフトが場合によってはデリケートな情報が分かってしまう可能性があるからです。少し前まではアメリカ大統領専用機「エア・フォース・ワン」もこのソフトで見れたと言われています。

しかし流石に政府専用機が映ってしまうと国防上で問題となる(例えばミサイルで打ち落とされてしまう)可能性もあるので、2014年から非表示になったようです。

flyteam.jp

 ※私も昔このソフトで日本政府専用機の航跡を見つけた事があります。

 

最近このソフトが話題に登ったのはトランプ大統領と金委員長のシンガポールでの2国間会議の際。

www.asahi.com

正恩氏が乗ったのは、中国国際航空ボーイング747型機。航空機の航路を追跡するウェブサイト「フライトレーダー24」によると、同機は10日早朝に北京を出発して平壌へ。平壌を午前8時半に出発し、中国上空を南下してシンガポールに向かった。

朝日新聞記事より引用)

色々なソースを持っている事が良い記事を書くために必要な事ではありますが、こうした取材の仕方があるのか、、と思った記事でもあります。

 

余談が過ぎました。メールアドレスが漏れたのがそんなに問題?コアな航空機ファンにフィッシングでも懸念している?・・・そんな声も聞こえてきそうですが、政府専用機などがソフトで閲覧禁止になった訳ですが、当然の事ながらフライトレーダー24運営会社側は非表示になった情報も含めて、今も常にトレースしています。今回は一部のサーバが侵害を受けただけですが、秘匿にすべき情報までハッカーはたどり着ける可能性がある、そうした事をこの侵害事件では示唆していると思うのです。

 

今回の事件を受けて、Flightradar24側はこうコメントしています。

“Our team will continue our thorough internal security review of our system and processes to see what more we can do to ensure that this never happens again.

(itnews記事より引用)

 

システムとプロセスの内部セキュリティレビューを徹底し、事件をもう二度と起こさないために、私たちが出来る事が何があるのか継続的に調べたいと思います。

 

この姿勢こそ、事件を起こした、事件を起こしてはないけれどもセキュリティが甘い日本企業は見習うべきではないでしょうか。

 

 

 

飛行機雲のイラスト

更新履歴

  • 2018年6月30日AM(予約投稿)

大学のクラウドサービス利用

文部科学省が大学がフィッシングメールにひっかかっている旨の注意喚起を出している件が報じられていました。

www.sankei.com

 サイバー犯罪者は盗んだID、パスワードで不正ログインし、教職員や学生のメールを勝手に外部転送するよう設定を変更していたとみられる。文科省によると、6大学では、転送メールに含まれていた合計約1万2千人分の個人情報が漏えいしていた。

 被害が判明しているのは弘前大のほか、横浜市立大、富山県立大、立命館大、島根大、沖縄県立看護大。全てマイクロソフトの「オフィス365」というシステムを利用していた。

 各大学によると、フィッシングメール英文でメールが送れなかった」などと送信障害を装う内容。本文中のURLをクリックすると、本物そっくりの偽サイトに誘導され、IDやパスワードの入力を求められる。誤って入力すると、犯罪者に情報が渡る仕組み。偽サイトは本物を丸ごとコピーしているとみられる。

(産経ニュースより引用)

 

◆キタきつねの所感

6つの国公私立大からフィッシング被害を受け約12,000件の個人情報が漏えいした可能性があると内容ですが、まず全般的に言える事として、「セキュリティ教育」が適当であったとしか思えません。知見の少ない学生はいざ知らず、教職員がフィッシング被害を受けている所、象牙の塔に篭っているご老体の教授であろうと、ネットサービスを使う以上は、フィッシングにひっかからない様に努力すべきではないでしょうか。

 

英文のメール・・・という所でそもそも気づけるチャンスがあると思うのですが、誘導された偽サイトは本物そっくりである事が多く、次にフィッシングに気づける可能性がある、証明書やURLアドレス・・の部分は画面が小さい、スマートフォンで操作していたとしたら、気づけなかったかも知れません。

 

ではどうやったら防げたのか?文部科学省はそこまで指導したのか・・・少し疑問です。

全国の大学に対して対策を強化するよう注意喚起を行った。

 

注意喚起した、対策強化の中身が気になるところ。文字だけで「対策しろ!」であれば、おそらく次の被害も(ほとぼりが冷めた頃に)発生すると思います。

不審なメールが来たら大学のCSIRT(IT)チームに相談(報告)して下さい、、的な運用であれば、既に告知済みという所が多いでしょう。その運用が廻ってないから不審なメール先に飛んでしまうのではないでしょうか。

 

オフィス365を使うのに、IDとパスだけでやっているから不正ログインまで辿りつかれている文部科学省ももう1段階突っ込んだ注意喚起を出せば良いのに・・・と思います。例えば外部アクセスに対しては多段階認証や多要素認証を必須としていれば、今回の攻撃は成立しなかったと思います。

 

こうした攻撃手法、今回初めてではないと思います。3月に記事を書いているのですが、全世界の大学教授(職員)が不正にIDとパスワードを窃取された事件なのですが脆弱点は同じだと思います。(オフィス365ではありませんが、フィッシングにひっかかったのは同じ脆弱点だったと思われます)

foxsecurity.hatenablog.com

そして・・・この手の事件が発生した後に起こりやすいのが、2次攻撃です。(往々にして別なハッカーがしかけてきますが)

文科省を偽ったメールで添付ファイルを開いて内容を確認して下さい・・といったマルウェア付メール、あるいはURLをクリックさせ、偽サイト経由でマルウェア感染させる・・といった便乗攻撃が懸念されます。

 

この事件を調べていたら、文科省を偽る(事件には関係が無い)フィッシングメールは既に今年1月に出てきているようです。様々な組み合わせで攻撃者は大学を騙そうとする・・・やはり大学は狙われている、その認識を強く持ち、人の教育だけで防げないところは、技術的対策をしっかり考えるべきではないでしょうか。

 

参考:首都大学東京の(内部向け)注意喚起

【注意喚起】文部科学省を騙った不審メールについて - TMUNER

文部科学省からの文書を装った不審メールについての注意喚起です。

この不審メール本文中のURLリンクへのアクセスを実行した場合に、マルウェア感染等の被害を受ける可能性があります。

 

 

 

大学芋のイラスト

 

更新履歴

  • 2018年6月30日AM(予約投稿)

Dixon Carphoneのカード情報漏えい事件

イギリスで家電販売店(Currys PC World等)を展開するDixon Carphoneが最大600万件のカード情報を漏えいした可能性があると報じられていました。

www.bloomberg.com

  • サイバー攻撃は6月(※初旬)に始まり、先週気づいた(※6月10日頃)
  • Currys PC World とDixion Travel Storesのプロセシングシステムに対してサイバー攻撃を受けた
  • 漏えいした可能性があるのは、600万件のクレジット/デビットカード情報と、120万件の個人情報(氏名、住所、メールアドレス)
  • 漏えいした可能性がある600万件のカード情報の内、580万件はチップ&PIN保護対象(ICカード10.5万件についてはEU圏外で発行されたカードであり、チップ&PIN保護対象外(磁気カード)であった。

 

◆キタきつねの所感

今の所、カードが不正利用されている形跡は無いということですが、漏えいしたクレジットカード情報のほとんどがICカードであった事もあり、偽造カードを作るといった攻撃は非常に難しい事が影響しているのかと思います。とは言え、セキュリティコードすら要らないECサイトというのは、残念ながらまだ日本にもありますので、対応済みの主要EC加盟店では無いと思いますが、漏えいしたカードを使った中小ECサイト経由での不正試行はこれから出てくるかも知れません。

 

事件の直接的な影響としては軽微なようですが、2つの点でこの事件報道が気になりました。1つが時期的な問題。5月25日に施行されたGDPRの巨額な罰金対象なのかどうか。時系列的にはハッカーの侵入が6月ですので対象内ではないかと思われますが、、、だとするとGDPR(英国?)初案件となったかも知れません。

www.thetimes.co.uk

“We will look at when the incident happened and when it was discovered as part of our work, and this will inform whether it is dealt with under the 1998 or 2018 data-protection acts,” the information commissioner said in a statement.

Bloomberg記事より引用)

 

Dixon側もとても気にしている事がよく分かるコメントが声明文に出ています。GDPR前と後で罰金額がまったく違いますので詳細調査の結果を注目したいなと思います(もっと前にハッカーに侵害を受けていた可能性もあるかも知れません)。

その結果、もしGDPR対象事件だったとするならば、どの位の罰金を課される判断が出るのか、日本企業はその経緯を良く見くべきかも知れません。

 

GDPRに比べるとインパクトがあまり無いのですが、もう1点気になった所は、プロセッサー(決済処理・決済代行等々)のサーバが襲われてデータが漏えいしている部分です。データを集中処理するサーバが多いのでハッカーから狙われやすい訳ですが、セキュリティ対策が相当打たれているはずなのにどうして漏えいまで行き着いてしまったのか、、、複数の事件記事を見てみましたが、ハッカーの侵害を受けた原因部分(脆弱性)はまだ書かれていませんでした。追加情報が出てきたら考えてみたいと思います。

 

Bluetoothヘッドセットのイラスト

 

更新履歴

  • 2018年6月30日AM(予約投稿)

アディダスのデータ侵害事件

6月28日にアディダスは米国のWebサイトでデータ漏えい事件が発生した可能性があると発表しました。

www.cbsnews.com

 

  • 米国のWebサイトが6月26日に侵害を受けた(※事件発表は28日)
  • 漏えいした可能性があるデータは、名前と暗号化されたパスワード
  • クレジットカードやフィットネス情報が漏えいした痕跡はない
  • 現在法的機関とデータセキュリティ専門家と問題に取り組んでいる
  • 数百万の顧客情報が漏えいした可能性がある(※スポークスマンのコメント)

 

◆キタきつねの所感

調査中だからかと思いますが、漏えいしたという第一報だけで、公式リリースを見ても、あまり事件の中身は分かりません。

f:id:foxcafelate:20180630082935j:plain

アディダスと言えば、最近ではユーザのフィットネス情報や位置情報を使ったトラッキングサービスも展開しており、大型(個人)情報DBを抱えています。(下記例示)

 

adidas miCoach(アディダス マイコーチ) | 【公式】アディダスオンラインショップ -adidas-

 

f:id:foxcafelate:20180630084139j:plain

f:id:foxcafelate:20180630084142j:plain

 

将来の日本代表の活躍に役立つであろうサッカーボールを使ったサービスもあったのですが・・・マイコーチサービスは、今年の12月で終了してしまうようですね。(知りませんでした)

f:id:foxcafelate:20180630084144j:plain

 

とは言え、まだフィットネス分野ではサービス提供を続けていくのであり、ビックデータ分析が進めば、センシティブになりかねない個人情報を抱えるアディダスとして、言い方を変えれば、アディダス程の大きな会社でも侵害を受けてしまった事は(1ユーザとして)少しショックでした。

 

事件について色々なソースを追いかけてみたのですが、各社同じような情報しか載っていません。しかし数百万件のデータが影響を受けた可能性がある(アディダスの米国ユーザから見ればごく一部でしょうが)事から考えると、よくありがちなパスワードリスト攻撃ではなく、Webの脆弱性を突かて内部システムに侵入されている可能性が高いかと思います。

 

Cnetの記事に事件の経緯部分が少しだけ載っていました。

www.cnet.com

The famed sportswear company said Thursday that on June 26 it learned about an unauthorized party claiming to have acquired "limited data associated with certain Adidas consumers."

(Cnet記事より引用)

 

外部の不明なパーティ(第三者)がアディダス顧客のデータを入手したと言っている。事件の発端はダークウェブのような所に、個人情報ファイルが掲載(販売)されていて、調べてみたら本物の顧客データでした、という可能性が高い気がします。

最近のデータ侵害事件で、ダークウェブ等に情報が掲載される際には、まず一部をテスト販売して、その後に全件を販売するような手法もとられていますので、(勝手な推測ですが)アディダス側が漏えい件数(影響範囲)を断定できてないのは、詳細調査中であるからだけでなく、不明なパーティが入手したデータ以上に会員情報、あるいはその他の秘匿情報が漏えいしている可能性を否定できない為なのかも知れません。

 

追加情報が出たら追加記事を書ければと思います。

 

 

スニーカーのイラスト(靴)

 

更新履歴

  • 2018年6月30日AM(予約投稿)

iPhone認証のバイパス

ZdnetiPhoneの認証を間違えてもデータ削除までされないケースについての興味深い記事がありました。

www.zdnet.com

記事を見ると、TwitterでPINが無制限に試行できるかも知れない事がTwitterで動画URL付きでつぶやかれているようでした。myhackerhouseというサイバーセキュリティの会社創業者が発信元のようです。

 

f:id:foxcafelate:20180624163658j:plain

動画はこんな感じです。

vimeo.com

◆キタきつねの所感

手法としては、iPhoneに接続されたキーボード入力の方が、PINを間違ってデータを削除するモードより優先される脆弱性を突いて、例えばPIN試行をひたすら繰り返す入力をiPhoneに渡した際に、iPhoneの試行制限回数を超えてもPIN入力が出来るというもの。これを総当り攻撃(ブルートフォースアタック)で使えば、認証が意味無くなる。その様な脆弱性があるのではないかとの指摘ですが、

アップルのスポークスマンは、指摘は間違いで、テスト手法が間違っているのではないか?というコメントを出しています。

Despite several requests for comment, Apple spokesperson Michele Wyman said Saturday: "The recent report about a passcode bypass on iPhone was in error, and a result of incorrect testing."

 

その後のTwitterのコメントを読んでみると、総当り攻撃防止などのために、一見PIN試行がされているように見えても、実際は試行されてない(SEPに行ってない)ケースがあるようです。なので、おそらくこのテスト手法が間違っている・・・という方が正しいのかと思われます。

 

iOS12では機器接続の厳格化モードがあるので、この様な試行はより難しくなるようではありますが、

もしかしたら・・・FBIがロック解除で苦労したこの件や、

the01.jp

 

こんな問題も考えなくても良くなった?と一瞬思ったのですが。。。。そう現実は甘くないようです。

foxsecurity.hatenablog.com

 

青りんごのイラスト

 

 

更新履歴

  • 2018年6月24日PM(予約投稿)

SNSは知人限定でも拡散される

巨人だから大きく問題となったのでしょうか。紳士が裸の動画を上げるのは気をつけるべきと言えるのかも知れません。

www.nikkan-gendai.com

 巨人は20日、二軍施設でSNSの勉強会を開いた。高橋監督ら首脳陣に加え、一、二軍選手が約1時間、リスクマネジメントの専門家から過去の実例をもとにSNSの使い方などを学んだ。

 知人の男女らと訪れた飲食店の個室で、裸になった篠原慎平(28)を河野元貴(27)が動画撮影してSNSに投稿し、謹慎処分となったことを受けてのものだ。

日刊ゲンダイ記事より引用)

 

◆キタきつねの所感

SNSは怖い。いろいろな炎上騒ぎで言われてきていますが、また実例が1つ積みあがってしまった感があります。とは言え・・「巨人軍は紳士たれ」は読売新聞の経営者として名をはせた正力松太郎氏の遺訓といわれています。

  • 巨人軍は常に紳士たれ
  • 巨人軍は常に強くあれ
  • 巨人軍はアメリカ野球に追いつき、そして追い越せ

   (wikiより引用

 

下2つは正直最近は微妙ではありますが、紳士も・・・今回の事件を見る限り、あまり選手に浸透しているとは言えないかも知れません。

 

もっとも、今回注目したのは、当該巨人選手がSNS(インスタグラム)に投稿した裸(に近い)動画は知人限定公開であったにも関わらず拡散されてしまった事。

数時間の限定公開でも拡散される可能性がある。これがSNSの怖さと言えるのではないでしょうか。

また、拡散した知人(フォロワー)も、「イイネ!」が欲しいがための行動だと思いますが、自分の行動がどういった影響を与えるかを考えない方が多数いる、そうしたSNSコミュニティの特性と言えるかも知れません。

 

余談にはなりますが、記事にある「リスクマネジメントの専門家」は何をコーチングできたのかも、個人的には気になります。

一番のリスク管理は、SNSを使わない事だと思いますが、そうも言えないでしょうし、野球選手がSNSを使うという事であればTwitterのように匿名登録も難しいかと思います。

だとすれば、有名人、野球選手?は常に狙われているという事をを伝えて、知人管理(本当の友達以外も混じってませんか?)を気をつけろ!といった事を教え込んだ感じでしょうか。

更に関連する部分でh言えば、SNSの危険ポイントだけでなく、併せてその記録が残ってしまう可能性がある例えばiCloudのパスワード設定(ハリウッドセレブがここをやられた事件が数年前に多数起きています)であったり、SNSアカウント乗っ取り(これもパスワードが容易に推測できる誕生日やプロフィールに掲載されている情報から類推できるケースで、1-2年前に結構出ていました)なども教える必要がありそうです。

 

SNSという観点では、日産の関連会社経由でのTwitter新車情報リークがつい先日も記事になっていました。気が緩む頃に出てくる話題でもありますので、定期的な従業員(選手)教育を繰り返す事が必要なのかも知れません。

foxsecurity.hatenablog.com

 

ネット炎上のイラスト

更新履歴

  • 2018年6月24日PM(予約投稿)

 

テスラも内部からの攻撃には弱かった

人が組織に不満を持つ時は、インシデントが発生した際の影響範囲が大きいと言われますが、テスラのCEOイーロン・マスク氏は改めてそう感じたに違いありません。

japan.cnet.com

米電気自動車メーカー、テスラのイーロン・マスク最高経営責任者(CEO)はこのほど従業員に宛てた電子メールで、1人の従業員がカリフォルニア州フリーモントの工場で操業妨害行為を行ったことを認めたと発表した。

 

マスク氏は17日夜に従業員に送信したメールの中で、問題の従業員が「大規模かつ破壊的な妨害行為」を告白したと説明。この従業員が製造運用システムのコンピューターコードを改ざんしたほか、大量の社外秘情報を第三者に引き渡したとしている。

(CNN記事より引用)

 

◆キタきつねの所感

Cnetジャパンの記事や、CNNの記事がよくまとまっていますが、内部不正が起こる時はこんな感じであろう、という最悪な事態がまさに出ている気がします。

テスラは元従業員のMartin Tripp氏をネバダ州で訴えており、そちらの訴状を読むと(記事通りですが)事件の背景が透けて見えてきます。

  • 2017/10 Tripp元従業員がテスラに入社プロセス技術者としての採用) 

    ※重要な職でなかったので不満有(潜在不満

    ※高機密情報(バッテリーモジュールの製造プロセス)へ業務上アクセス可能(管理者権限付与

  • 数ヶ月後

    マネージャーはTripp元従業員が仕事のパフォーマンスが悪く、乱暴であり、同僚ともよく喧嘩

    していると認識

  • 2018/5/17 Tripp元従業員は新しい仕事を割り当てられた

    ※元の仕事をやめされされた事にTripp元従業員は怒った直接的な犯行動機

  • 自ら作成したソフトウェアでテスラのシステムに侵入し、極秘の製造ラインの写真や動画を含む数ギガバイトの極秘資料を外部に漏えいし、製造業務システム(MOS)ハッキングソフト作成、自分が解雇された場合も外部にデータ流出が続くように、ハッキングソフトを他の従業員のコンピュータにインストール
  • 2018/6/14-15 テスラはインタビューにて証拠を突きつけられハッキング行為を認めた
  • 2018/6/17 CEOイーロン・マスク氏が従業員に経緯をメール

 

新しい仕事の割り当てというのが、詳細には書かれてないのですが、前後の経緯から降格的な内容であった事は想像できます。その事を不満に思ったTripp元従業員による内部犯行であったとすると、前後の経緯から考えるとテスラにとって不幸であったかなと思いますが、1つの疑問は何故5月の時点で解雇でなかったのかという事です。日本企業ならいざ知らず、米国企業であれば解雇まで達していても不思議では無い内容が書かれていますので、、、権限を残してしまった点については、テスラの事情は分かりませんが少し不思議に思えました。

 

訴状では、その影響範囲について以下の様な記載がありました。

The improper means used by Tripp to acquire and disclose Tesla’s trade secrets include:
a.Breaching specific provisions of the Proprietary Information Agreement;
b.Writing software to hack Tesla’s MOS;
c.Exfiltrating confidential and proprietary data from Tesla’s MOS for the purpose of sharing the data with persons outside the company;
d.Sending third parties a confidential code or “query”;
e.Taking and sharing with third parties dozens of photographs of Tesla’s manufacturing systems;
f.Taking and sharing with third parties a video of Tesla’s manufacturing systems; and
g.Attempting to conceal electronic evidence of his misappropriation and disclosure of trade secrets.

こうした情報から読み取れるのは、テスラは社内からの攻撃を受けた際に、

・秘密の製造工程内で写真やビデオが不正に撮られても気づけてない

・社内の機密データ(数ギガバイト)も不正に持ち出されても気づけてない

・不正プログラムを仕掛けられても検知できてない

という状態であったという事です。

元従業員が生産工程に関わる仕事をしていたとしても、自作ソフトでのハッキング(もしくは不正プログラムを仕掛けた)であったり、内部機密情報の漏えいであったり、不正検知システムが内部に対してうまく機能してなかった様にしか思えません。

最終的には自社内で事件を検知している訳ですが、内部攻撃に対して脇が甘かったといわれても仕方がないのではないでしょうか。

漏えいした情報はCNN記事によると、既に外部の第三者に漏えいしているとかかれていますので、将来にわたって事件の影響を受けてしまう可能性も指摘されています。

 

生産数量が計画通りに上がってない事を攻められる事が多いテスラではありますが、いくら斬新なコンセプト・技術があったとしても、足元(セキュリティ)がしっかりしてないと、投資家だけでなく一般ユーザも離れていってしまうかも知れません。

 

f:id:foxcafelate:20180624163051j:plain

株価推移を見ると、事件が発覚した後に最大で7%位株価を下げているようです。

 

赤いスポーツカーのイラスト

更新履歴

  • 2018年6月24日PM(予約投稿)