Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

SMSの2要素認証は脆弱なのか?

海外事件 不正アクセス事件 つぶやいてみた。

米国大手のソーシャルニュースサイトReddit不正アクセスを受け、顧客の情報を漏えいしていたと発表しました。japan.zdnet.com

■公式発表

 We had a security incident. Here's what you need to know.

 f:id:foxcafelate:20180805105437j:plain
 

 Redditは、システムが侵入を受け、ユーザーデータに不正アクセスされたことを明らかにした。被害に遭ったのは、現在も使われているメールアドレスソルト付きのハッシュ化されたパスワードなど、2007年のデータベースバックアップに含まれていたデータだ。

 Redditは米国時間8月1日、ハッカーがSMSの傍受を通じ、6月14日から18日にかけていくつかの従業員アカウントにアクセスしたとユーザーに報告した。Redditが攻撃に気づいたのは6月19日で、その後に脅威を緩和し、再びこうしたことが起こらないようにシステムとプロセスを改善したという。

 Redditでは、コードやインフラへの重要なアクセスポイントの認証に2要素認証を採用しているが、攻撃者の標的になったSMSベースの認証は、同社が考えていたほど「安全ではない」と述べている。

 「そう指摘して、全ユーザーにトークンベースの2要素認証に移行するよう促している」

ZDNet記事より引用)

 

◆キタきつねの所感

いくつか考えるべきポイントがある記事でした。

まず、意外と早くReddit不正アクセスを検知している点です。Redditが意外に早く対応している(6/14から考えても5日間で検知)のは、不正アクセスを自動ブロックするまではいかなくても、怪しげなIPあるいは同じIPから不正アクセスの兆候を掴める能力を持っていたという事なのだと思います。こうした能力があるから、この程度の被害で収まったと言っても良いかも知れません。

2点目は、2007年のデータバックアップが漏えいという所。10年以上前のバックアップデータだけ漏えいしたのは何故かな?と疑問がわきます。このデータの格納場所だけセキュリティが弱かったと言う可能性か、何かデータ分析のために不正に認証情報を窃取された従業員がデータを別で持っていた、、推測の域を出ませんが、少しもやもやするポイントです。

とは言え、ソルト付きハッシュ化パスワードの漏洩となっていますので(良いセキュリティ実装をしていた為に)、他サイトで今回漏洩したRedditのパスワードを使って2次被害が出る可能性は少ないのも記事から気づくべきポイントと言えそうです。

3点目は『SMSインターセプト』の部分です。一般論としてSMSよりトークン、または生体認証の方が安全性が高いと言えそう、とは思っている事が前提ですが、どこを攻撃されて破られたのかによってRedditの言い分、

攻撃者の標的になったSMSベースの認証は、同社が考えていたほど「安全ではない」と述べている。

については、見方が分かれる気がします。

 

SMSの2段階認証は、確かNISTのDraftで安全性に疑問が出されていたかと思います。

japan.zdnet.com

その手法については、SMSの送信側(通信キャリア、元システム)又は、受信側(今回のケースでは元従業員の携帯端末)が侵入されていて、情報の窃取が可能になっているか、通信経路で傍受されているか、クローンSIMカードが存在してしまっている、正規ユーザを偽って携帯を無くしたとして、別SIMに電話番号を移動する等も考えられますが日本での現実性は低い気がします。

 

あるいは、フィッシングサイトに正規ユーザ(従業員)を誘導し、不正窃取したSMSの正規のOTPコードを使って、Redditに正規ユーザを成りすましてログインする方法(いわゆる中間者攻撃)も考えられます。

 

SIMを使った別手法としては、『SIM Swapping』もあり、キャリア移動をする手法を悪用してパスワードをリセットする手法について7月にMotherboardが記事を出していましたので、参考までに添付します。

motherboard.vice.com

フィッシングによる中間者攻撃あるいはマルウェア端末、SIM Swapping辺りが個人的には怪しいと思うのですが、前者であれば従業員の携帯管理体制あるいはフィッシングメールを踏んでしまう部分についても考えるべきだと思います。

後者であるならば、日本の通信キャリアはしっかりしている(と信じている)ので、日本での攻撃の可能性はそんなに無いのではないかな?と思います。とは言え、Reddit等のサービスプロバイダーは、パスワードリセット部分が攻撃される可能性が高いという認識で、システム設計を見直すのも重要かも知れません。

 

最後に、、、FIDOのU2Fの記事が先日も出ていましたが、トークンキーも良い手段ではありますが、中間者攻撃(フィッシング)には弱い部分もあるので、

www.gizmodo.jp

 

FIDOも検討の余地があるのではないでしょうか。

www.sbbit.jp

 

 

凍った階段で転ぶ人のイラスト(男性)

更新履歴

  • 2018年8月5日AM(予約投稿)

ランサム対策にはタイプライター

つぶやいてみた。 海外事件

アラスカ行政区画ではランサムウェアの被害を受けて1週間以上システムが止まっていると報じられていました。

 

www.dailymail.co.uk

 Workers in Matanuska-Susitna found themselves cut off from technology after ransomware known as BitPaymer encrypted the borough's email server, internal systems and disaster recovery servers.

They were forced to use typewriters and handwrite receipts and notes to ensure the borough kept working.

 

◆キタきつねの所感

被害の状況を見ると、どうやら0ディ攻撃のランサムウェア(BitPaymer)を受けたようです。7月24日(火)にランサム感染を検知し、最初にサーバの相互接続、インターネット、電話、電子メールからの分離をしていますが、650台のPCとサーバをクリーニング又は再セットアップが必要となっており、1週間経ってもITシステムが完全には復帰しておらず、多くの端末が一部被害、120台が暗号化されてしまった影響で、業務にはタイプライタと紙を使わなければならなかったようです。

ランサムを払ったかどうかについては、公表されてません(恐らく払ったという事なのだと推測しますが)が、1週間以上後始末にかかっている事については、ランサムウェア被害を受けた時のことを、防衛側は良く考えておく必要がある事を示唆しています。

 

事件の調査レポートが公開されており、BitPaymer系のランサムの亜種のようで、どうやら5月3日から攻撃の痕跡が残っていたようです。

 

The MSB 2018 Virus Situation

 

攻撃手法として推定されるのは、『メールの(不正)リンクを踏ませる』事で不正マクロを読み込ませ、ローカル管理者権限を窃取する手法ではないかとの事です。その後、ハッカーは別なウイルスを送り込み、ユーザのアウトルックの連絡先、及び政府関係と見られるアドレスを使う。(何らかの手法により)ウィルス又はハッカーが内部ネットワークに侵入した後は、ADの管理者権限を窃取するようです。

ウィルスはマイクロソフトVisual Studioを偽装して書かれ、Windowsベースのマシンのみに攻撃するとあります。この辺りは、同じような攻撃を受けないように考える上ではヒントになりそうです。

とは言え、0ディ攻撃だとすると、標的型メール訓練で職員が不正なリンクを踏まない様に教育をする位では、防ぐのは難しいかと思います。一番先に考えられるのは、、、メールと内部システムを分離する事でしょうか。日本でも多くの省庁・自治体・一般企業が取り組んでいるかと思いますが、ランサムウェアを考えると一般的な対策だけでは大きなシステムを抱える組織は防御は厳しいかも知れません。

別な形での対策として有効そうなのが、権限昇格についての監視でしょうか。普通はLocalにしてもADにしても管理者権限変更が行われる事はほとんど無い訳ですから、そこを守る、あるいは監視する事は重要かと思われます。

BitPaymerの被害は、日本ではあまり聞いた事がありませんが、2017年8月にスコットランドの病院がこのランサムに襲われた事件であったり、2017年6月頃から確認されているようです。

Bit Paymer Ransomware Hits Scottish Hospitals

 

 

日本だとタイプライターの代わりにワープロかも知れませんが、、、ネットワークにつながったシステムはランサム被害を受けて止まってしまう可能性がある、そうした心構え(インシデントレスポンス体制)が問われていると言えそうです。

 

タイプライターのイラスト

更新履歴

  • 2018年8月5日AM(予約投稿)

近藤ニットの事件はカード情報非保持の盲点だったかも知れない

PCI DSS クレジットカード情報漏えい事件 考えてみた。

天然素材を使った衣料品の通販サイトがクレジットカード情報漏えいした可能性があるとSecurityNextが報じていました。

www.security-next.com

■公式発表

 evam eva online shopへの不正アクセス発生についてのご報告とお詫び

 

事件の状況 
  • 2018年6月19日にカード会社から決済代行会社を通じて、情報漏えいの懸念がある旨連絡を受け、調査したところ漏えい懸念が判明
  • 2018年3月7日~2018年6月19日にクレジット決済をした顧客が対象
  • 漏えいした可能性があるデータは、カード名義人名、クレジットカード番号、有効期限、セキュリティコード
  • 漏えい件数は最大358件

 

◆キタきつねの所感

「またECサイトが攻撃受けたんだ」程度で、最初は普通に記事を読んでいました。しかし近藤ニットの公式発表と読み比べて、Security Nextの記事には、とても気になる部分がありました。

同サイトを運営する近藤ニットによれば、海外のIPアドレスよりウェブアプリケーション脆弱性を突く不正アクセスがあり、不正なプログラムが設置されたという。3月7日から6月19日にかけてサイトのクレジットカード入力画面から入力された情報が外部へ送信されたと見られる。

(Secuity Next記事より引用)

毎回のように出てくる「Webアプリケーションの脆弱性」なる曖昧な言葉、、他社の、あるいは今後の教訓のために、その脆弱性が何であったのかを知りたいのですが、何も書いてません。一般的には、クレジットカード情報が漏えいした際は、フォレンジック調査会社が詳細調査を実施します。その調査報告書には、推定される「脆弱性」が明示されているはずです。同じような攻撃キャンペーンが他のECサイトに向けられる可能性があるので、攻撃を受けた事業者には脆弱性を開示してもらいたいのですが・・・。

でも今日の本題はここではありません。

 

不正なプログラムが設置」されて、「クレジットカード入力画面から入力された情報が外部へ送信された」という部分。近藤ニットの公式発表にはこの部分の記載はありません

 

3、原因
調査会社の調査により、2018年3月7日から2018年6月19日に外部からのWebアプリケーションの脆弱性を利用した攻撃により、ご利用いただいた際にご登録いただいたクレジットカード会員データ等が抜き取られた可能性があことが判明いたしました。

(公式発表から引用)

 

事件の発生(検知)日は、6月19日。改正割賦販売法が施行された後ですので、おそらく近藤ニットはカード会社や決済代行会社の指導を受けて、「カード情報非保持」のソリューションを導入していたものと推測されます。(JavaScript型の可能性が高い気がします)

この事件はつまり、「カード情報非保持」であったのに、カード情報が漏えいした(ある意味、カード情報非保持が破られたとも言えるかも知れません)可能性があります。

 

Security nextの記事と公式発表からの断片的な情報から推測となりますが、クレジットカード情報を入力するページが不正改ざんされた可能性が考えられます。

この推測が正しければ、2018年3月7日~2018年6月19日にかけてECサイトを利用した顧客が漏えい対象となっていますので、3月6日~7日にかけて決済ページが不正改ざんされた事になります。一方で6月まで漏えいに気づいてませんので、この間のEC決済は正常に完了していると考えるのが自然です。

 

では、「不正なプログラムにより、カード情報を不正に外部に送信する」事は可能なのでしょうか?

例えばJavaScriptの不正コードをページに埋め込むことで可能だと思います。

 

本来は、

 近藤ニット→→(カード情報非保持)→→決済代行会社

となるべきところを、

 近藤ニット→→(カード情報非保持)→→決済代行会社

     ↓

     ↓(不正なプログラム)※Javascript等の不正コード挿入

     →→→(攻撃者管轄のサーバ)

 

とカード入力ページの改ざん(不正プログラム設置)が出来てしまうと、正常に決済代行会社にも決済データが渡っていますので、なかなかこの不正は気づけません。

 

では、この推測が合っていたとして、何が問題なのでしょうか?漏えいした可能性のあるクレジットデータは1000件にも及びません。海外で数百万件のデータ漏えい!と騒がれる事件に比べて影響度があるとは思えない方は多いかも知れません。

 

多くの非対面加盟店(ECサイト)は、改正割賦販売法、そのガイドラインである実行計画2018に書かれている「クレジットカード情報非保持」を導入して割販法を順守しようとしています。乱暴な言い方をすれば、「カード情報非保持ソリューション」を既に導入したから大丈夫という空気が業界の中に蔓延していると言えます。

今回の事件は「カード非保持だから安全」というユーザの過信を攻められた可能性があります。

それは決済ページに対する防御不足であり、決済ページに対する改ざん検知があれば防げたかも知れません。

あるいは(原因が不正プログラム設置であれば)脆弱性スキャンなどのホワイトテストでも、その兆候が掴めたかも知れません。

こうしたEC再度側の過信が続くならば、攻撃者もその点を突いてくる可能性は高く、結果として「カード情報非保持」がガイドライン=実行計画から外れていく、又は追加セキュリティ対策が必須化してしまう事につながってしまうかも知れません。

 

※公式発表や関連記事の断片的な情報からの推測ですので、私の懸念が「間違っている」のであれば、それにこした事はありませんが、「JavaScript型」は、色々な攻め方があると言われていますので、非保持ソリューションを導入済みのユーザであっても、多層防御(その他の対策)を考えておく方が良いかも知れません。

 

 

ニット帽のイラスト

 

更新履歴

  • 2018年8月2日PM(予約投稿)

医療機関はランサムの標的になってきている

海外事件 不正アクセス事件 つぶやいてみた。

米国の血液検査ラボ「LabCorp」がランサムウェア(SamSam)攻撃を受けて大きな被害を受けている件がFobesに出ていました。

forbesjapan.com

■公式発表

 LabCorp IT Security Information

   SECの発表

現状で分かっているのは同社が受けた攻撃が、これまで発生したハッキング攻撃と同様な手法のものだったことだ。FBIの広報担当は7月17日、LabCorpのネットワークがランサムウェアの攻撃を受けた可能性があると述べた。

サイバー犯罪者たちはここ数年、LabCorpのような企業に対しスピアフィッシング(標的型のフィッシング)攻撃をしかけ、身代金ウィルスを送り込もうとしてきた。ターゲットとなる企業は、重要な個人データを大量に保有する企業で、数十億ドルの売上を誇るLabCorpはその典型例といえる。

同社は患者たちの膨大な個人データを貯蔵しており、身代金ウィルスに感染すればそれらのデータがアクセス不可能になっていたかもしれない。また、LabCorpの業績が好調であることから、ハッカーたちは数十万ドル程度の身代金であれば、同社が支払いに応じると考えた可能性もある。

(Fobes記事より引用)

 

◆キタきつねの所感

Forbesに記事が出た事からそうではないかと思いましたが、米国ではかなり多くのマスコミがこの事件を取り上げています。LabCorpの公式発表にはランサム被害としか書いてないのですが、サイバー攻撃がSEC(アメリカ証券取引委員会)にて7/16に発表された事から事件が大きく報道された感があります。

時系列としては、CSOオンラインの 記事に詳しく出ていたので引用すると、

According to sources familiar with the investigation, the Samsam attack at LabCorp started at midnight on July 13.

This is when the Samsam group used brute force against RDP and deployed ransomware by the same name to the LabCorp network. At 6:00 p.m. on Saturday, July 14, the first computer was encrypted.

The LabCorp SOC (Security Operation Center) immediately took action after that first system was encrypted, alerting IR teams and severing various links and connections.

These quick actions ultimately helped the company contain the spread of the infection and neutralize the attack within 50 minutes. However, before the attack was fully contained, 7,000 systems and 1,900 servers were impacted. Of those 1,900 servers, 350 were production servers.

CSOオンライン記事より引用)

 

7/13の深夜にSamSamによる攻撃が発生し、7/14の午後6時には最初のPCが暗号化(ランサム被害)を受けてますが、すぐに(外部の)SOCが検知していています。LabCorpの初動対応としてはかなり早く、警告を受けて50分以内に対応が始まっているのですが、ここがランサムの怖いところ7000台の端末と1900台のサーバ(内350台はビジネスで運用しているサーバ)に影響が出たとあります。

データ漏えいは確認されてないようなのが救いですが、総当たり攻撃(ブルートフォース)でRDP(リモート デスクトップ プロトコル)が狙われた事が、最初の脆弱点となり、ランサムウェアを仕掛けられたようです。つまり、IDとパスワードだけでリモート接続がされていたという事なのでしょう。CSOオンラインの記事も、それを伺いしれる文が書いてありました。

 

One of the key recommendations from security experts dealing with Samsam (including us here at Salted Hash) is to implement two-factor authentication, and limit (or seriously control) access to RDP.

CSOオンライン記事より引用)

 

セキュリティ専門家は、2要素認証の実装を推奨しています。そう考えると、RDPを狙われてランサム(SamSam)という部分では、Hancok病院と同じ攻撃パターンと言えます。

foxsecurity.hatenablog.com

現在はシステムは正常に戻っているようですが、7/20の時点ではまだ完全にシステム復帰ができてなかった様で、別な記事には、大体90%復帰とありましたので、ランサム(バックアップ)からの復帰には相当の労力がいる事をうかがわせます。

LabCorp Still Recovering From Ransomware Attack

 

日本の医療機関ではまだ直接的な攻撃を受けてのランサム被害はあまり無かったかと思いますが、(WannaCryで日立の病院が何か間接的な被害を受けていた気がしますが)、米国での成功事例から考えると日本を含む全世界で攻撃は活発になる気がします。

日本の医療機関で同様な被害をまだ聞きませんから、日本と米国で病院システムの構築の考え方が違うのかも知れません。とは言え閉域網を構築していたとしても、昨今のIT進化により、ネットワークは複雑化しており、外部に意図しない攻撃口(RDP以外でも)がある可能性は否定できないところが多いのではないでしょうか。

 

もしランサムで被害を受けた場合について、Forbes記事にはこう(米国の状況を)書いてました。

 

ランサムウェア攻撃でデータがアクセス不能になった場合、小規模なものでも復旧コストは数百万ドルに及ぶIBMは2017年に、企業がデータ復旧に必要とするコストが平均386万ドルであると試算したが、その金額は今後さらに上昇する見込みだ。

(Fobes記事より引用)

 

想定被害を考えると、日本の医療機関も、ボーダレス化しているハッカーの攻撃を警戒すべき時期に来ていると思います。

 

 

血液パック・輸血パックのイラスト

 

更新履歴

  • 2018年7月28日PM(予約投稿)

空港システムまでお安く買える時代に

つぶやいてみた。

マイナビニュースで、空港セキュリティシステムがDarkWebで販売されている事を報じてました。

news.mynavi.jp

便利なテクノロジーが発達するとそこには必ず人の問題が出てくる。あくまで大半の利用者が善意であることを前提に作られているインターネットに悪意のあるものが介在するととんでもない事故や事件に繋がる可能性がある。セキュリティベンダーの米マカフィーは、公式ブログに主要な国際空港のセキュリティおよびビル自動化システムへのアクセスがわずか10ドルで提供されていたという事例を記載している。

マイナビニュース記事より引用)

 

■元記事(MaAfee)

 Major International Airport’s Security System Found for Sale on Dark Web RDP Shop

 

◆キタきつねの所感

DarkWebで10ドルなら買ってみたいと思う方は多いかも知れません。空港と言えば要人警護やテロ対策などもあり、金属探知機や警察犬、その他液体物の持込み制限、監視カメラ・・・等々、特に物理セキュリティを考える上では様々な対策が取られている重要施設です。

主要空港なるものの中に日本の空港が含まれているかまでは分かりませんが、(元記事を見ても出ていませんでした)10ドルでもし本物の資料が見れるのであれば、見てみたい・・と個人的には思います。

偽物の可能性も否定はできませんが、空港の表示されてない地図(高セキュリティエリア)を見るだけでも、色々と勉強になる気がします。

もっとも、犯罪を考える側の方が、こうした情報を欲しがっているのだとは思いますが、それにしても安すぎる。。。

 

 

余談です。空港とは関係ありませんが、オーシャンズ8が8/10から封切りですね。セキュリティを考える上で、いつもなかなか考えさせる映画シリーズであり、時間取れたら見に行きたいなぁ。

eiga.com

 

 

空港の金属探知機のゲートのイラスト

 

更新履歴

  • 2018年8月2日PM(予約投稿)

アサヒ軽金属のカード情報漏えい事件

PCI DSS クレジットカード情報漏えい事件

またクレジットカード情報漏えい事件がSecurity nextで報じられていました。

www.security-next.com

■公式発表

弊社が運営する「Webショッピングサイト」への不正アクセスによる
個人情報流出に関するお詫びとお知らせ

 

事件の状況 
  • 2018年6月6日にクレジットカード会社からカード情報流出懸念の連絡を受ける
  • 2017年1月14日~2018年5月25日の間にWebショッピングサイトでクレジットカード購入をした最大77,198名の情報が流出した可能性がある
  • 流出した可能性があるのは、カード会員名、クレジットカード番号、有効期限
事件の原因

 

◆キタきつねの所感

7.7万件のカード情報漏えいは、最近のECサイトの漏えい事件としては件数が多い方かも知れません。セキュリティコードは漏えいしてない事と、改正割賦販売法の6/1施行前である事を考えると、カード情報非保持の対応中であった可能性も考えられそうです。

この推測が正しければ、恐らく内部DBにカード情報を保有していたのだと思います。(実行計画上は3月末以降、改正割賦販売法上は6/1以降だとカード情報を内部に保有する場合はPCI DSS準拠が必要)

見方を変えれば、ギリギリまで対応を引っ張った(もっと時間はあったはずなのですが・・・)が故に狙われたのかも知れません。

クレジットカード情報が漏えいした場合、再発行に関しては、漏えいした加盟店側の責任になる事が多いのですが、仮にその対応費用(カード代、郵送費、お詫び印刷物等)が仮に1件当たり1,000円だとして、7.7万件だと、7,700万円の費用となります。更にフォレンジック調査会社の調査費用、セキュリティ追加対策費用などを考えると・・・セキュリティは経営リスクである、は正しいと言えそうです。

 

 

圧力釜・圧力鍋のイラスト

 

更新履歴

  • 2018年8月2日PM(予約投稿)