Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

学生時代の悪さでは済まされない

気になる記事がありました。

www.asahi.com

 

小学館スマートフォン向け漫画アプリ「マンガワン」を不正に改変したなどとして、警視庁は12日、ヤフーの男性社員(25)を私電磁的記録不正作出・同供用の疑いで書類送検した。容疑を認めているという。

 渋谷署によると、送検容疑は2016年3月10日、マンガワンシステムデータを改変してサーバーに虚偽の情報を送信し、閲覧可能時間を約6億秒(約16万6666時間)に不正に延ばしたというもの。男は当時大学院生で、改変の手口を自身のブログで公開していたという。マンガワンは漫画をスマホで読めるアプリで、当時は閲覧できる時間を購入する仕組みだった。小学館が不正が疑われる接続などを調査し、同年7月、警視庁に相談していた。

朝日新聞記事より引用)

 

 ◆キタきつねの所感

せっかくヤフーに入社したのに、おそらく非常に厳しい処分が下されるのは間違いない事でしょう。

売り切りのゲームデータの改ざんに関してはグレーゾーンがある場合もあるかと思いますが、有償サービスの課金モデルでその課金モデルを壊す様な事をすれば、警察が調査し、自身の匿名性が崩れるという事を、大学院まで進んだ人が理解できなかったのだとすれば、残念な事です。

おそらく、手口をブログで公開しなければ(1人の悪さでしかなく、匿名性があれば)、警察が出てくるまでは至らなかったのかなと思います。

 

学生時代の”オイタ”については、自身を振り返るとアレコレあったなと思いますが、ギリギリの領域は弁えて行動していた気がします。

 

セキュリティ業界では元伝説のハッカー・・・といった経歴の方も非常に多いので、もしかすると、今後視野を広げて、業界で活躍される方になるかもしれませんが、少なくても「想像力」についてはもう少し鍛えた方が良いかなと思います。

 

 

ããã¡ãå主ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年4月15日AM(予約投稿)

パッチ管理は重要

またカード情報の漏えいが報じられていました。

www.security-next.com

 

同サイトを運営するレジナによると、5月16日にウェブサイトが改ざんされたもの。販売管理システムの脆弱性を突かれたものと見られ、同日から12月11日にかけて同サイトの入力フォームに入力されたクレジットカード情報が本来の処理とは異なる外部サイトへ送信されていた。

クレジットカードの名義、番号、有効期限、セキュリティコードなど、クレジットカード決済が成立した247件が流出した可能性があるほか、決済まで至らなかった場合もクレジットカードを入力した場合は流出した可能性があるという。

(Security Next記事より引用)

 

■公式発表 「エコレオンラインショップ」に対する不正アクセスによる情報流出懸念のお知らせ

 

◆キタきつねの所感

記事を書いてる時点で、まだ記事にできていないJR九州ななつ星」のカード情報漏えい事件が報じられています。そう考えると調査中の事件も含めて、相当数のEC(カード情報非保持)サイトがWeb脆弱性を突かれた攻撃を受けている可能性があるのかもしれません。

 

式発表を見ると、あまり普段見ない表現が書かれています。

2.第三者調査機関による調査結果

2018 年5 月16 日に攻撃者が、データベースへ不正な仕掛けをページ内に埋め込んだとみられます。

その仕掛けは、ページ内の入力フォームに入力されたカード会員情報を正規の処理とは別に外部サイトへ転送する機能を持っていた為、2018年5月16日以降当該サイトのカード利用者のカード会員情報が搾取されていたと考えられる、との事でした。

攻撃者によって販売管理システムの脆弱性を突かれた事による不正アクセスの可能性が高い為、2018年12月26日にバージョンアップを図り、OS最新化とセキュリティチェック結果に対する修正を行った結果、サイトの脆弱性は認められませんでした。

(公式発表より引用)

この表現から推測できるのは、販売管理システム(ECサイト用のプラットフォーム)のパッチ当てが出来てなかった事でないかと思います。パッチ当て(バージョンアップ)の後に、OS最新化とありますので、古いOSを使ったシステムを構築していて、(最新パッチを当てられずに)既知の脆弱性を突かれたと考えられそうです。

OS、あるいはソフトウェアの重要ファイル更新については、例えばPCI DSSでは1か月以内のインストールを要求しています。これは販売管理システムでも同様です。

6.2 すべてのシステムコンポーネントとソフトウェアに、ベンダ提供のセキュリティパッチがインストールされ、既知の脆弱性から保護されている。重要なセキュリティパッチは、リリース後 1 カ月以内にインストールする

 

ECサイト構築・販売支援のパッケージを使うのは今や当たり前ではあります。しかし、こうした基幹システムを改ざん、あるいは管理者権限を奪取されてしまうと大きな事故につながる可能性がある訳ですから、パッケージソフト脆弱性(最新パッチ)については、細心の注意を払い、早期にパッチを当てていく体制を強化すべきなのではないでしょうか。併せて、定期的な脆弱性診断の実施も、カード情報非保持のWebサイトであっても考えるべきかと思います。

 

公式発表を見ると、不正なコードを仕掛けられたのは去年の5月16日、委託先のシステム運営会社が事件に気づいたのは12月11日、つまり7か月弱の間、ハッカーを検知できてなかった事になります。カード情報非保持だから追加対策はしなくても良い・・ではなく、PCI準拠で重要と定義されている定期的なシステムチェック(一般的なセキュリティ対策)を行う事が重要なのかと思います。

 

今回の事件でのカード情報漏えい件数は(現在までの所)247件と7か月の侵害があった割には、比較的小規模と言えるかもしれません。しかし、フォレンジック調査やその後の対策などを考えると数百万では済まない費用を払う事となる可能性が高いかと思います。インシデントが発生した際の高い授業料、社会的評判を考えれば、定期的なシステムチェックの費用などは安いものだと思うのですが・・・。

 

é«ãå¤æ­ãè¦ã人ã®ã¤ã©ã¹ã

 

 

更新履歴

  • 2019年4月15日AM(予約投稿)

破られない盾はない

指紋認証は古くから使われている生体技術が故に、安価で利便性の高い認証手段となりつつありますが、一方でその安全性を破る試みも長く続いていると言えるかも知れません。最新の超音波指紋リーダも脆弱性が報告されました。

pc.watch.impress.co.jp

 

画像投稿サイトimgurにとある投稿者が、ものの15分で指紋を複製し、スマートフォン指紋認証でログインできたという実証結果を投稿し、その脆弱性に警鐘を鳴らしている。

今回、セキュリティリスクがあるとしてハッキングの対象になったのはSamsungのGalaxy S10。同製品は超音波を使った指紋認証センサーを搭載している。この指紋認証センサーでは、3Dプリンタで複製した指紋を、本物の指と区別できず、模造指紋でも認証を通してしまうのだという。

(やじうまPC Watch記事より引用)

 

◆キタきつねの所感

自分の指紋を使ったテスト結果という事なのですが、3Dプリンタで通ってしまうか・・・と少し驚きました。

 

光学式の指紋リーダは、インクジェットプリンタや樹脂などで破られた報告事例がありますが、

gigazine.net

超音波式は2月発売の「Galaxy S10」で初めて搭載された技術だったかと思います。まさに最新の技術と言えるかと思うのですが、

 

クアルコムの記事を読む限り、3Dプリンタを使った攻撃にも耐えられるのではないか?と思う部分もあります。

japan.cnet.com

 

何年にもわたる試作と改良を経て、Qualcommは米国時間12月4日、音を使ってスマートフォンのロックを解除する指紋リーダーをついに発表した。「3D Sonic Sensor」と呼ばれるこの技術は、音波を皮膚に当てて跳ね返らせるもので、Qualcommはこのアプローチを安全で便利だと主張している。

(中略)

 Qualcommの技術は音波を作り出し、ユーザーの皮膚から跳ね返る音波の圧力値に基づいて、指紋をマッピングする。濡れた手や汚れた手で使用しても正常に機能し、金属とガラスを介しても指紋を読み取ることができる。音波は血流を検知することも可能で、切断された指の指紋は受け付けられないようになっている。

CNET Japan記事より引用)

3Dプリンタで破ったテスト映像を見てみたのですが、音波センサーをだましている部分の映像を見ると、「血流検知」があれば、防げそうな気がします。Qualcommのセンター機能としては血流検知まで出来るのだと思いますが、もしかするとGalaxy搭載の段階で、その機能は捨てられているという事も考えられるかも知れません。

 

端末のレビュー記事を見ると、Galaxy S10の指紋認証のスピードはかなり速い事が分かります。

www.businessinsider.jp

超音波式指紋認証センサーの特徴としてサムスンは、「認証速度の速さ」や、立体的に指紋を読み取ることによる「認証精度の高さ」などを挙げている。

発表会の実機ハンズオンでも、認証速度については、同社が主張しているとおりの速さを体感できた。光学式では、指が触れてから光を当てて光学センサーで読み取るという流れで認証までに1秒ほどかかる場合もあるが、それと比べると快適さは段違いだ。

(Business Insider記事より引用)

血流検知まで含めると、スピードを犠牲にするというのであれば、もしかすると機能が制限されているのかも知れません。そうだとすれば、ソフトバージョンアップで(多少スピードを犠牲にして)3Dプリンタへの攻撃対策を考えた仕組みに切り替える事も容易だと思います。

 

セキュリティ機器に絶対(安全)はない訳ですから、外的要因(攻撃の脆弱性)に対して、ソフトバージョンアップで対抗していく、そうした製品設計思想も重要ではないでしょうか?

 

çç¾ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年4月10日PM(予約投稿)

やはり漏えい対象でした。

やっと退会できました。私の様に宅ふぁいる便を過去に利用した事あるけど・・・という方は、登録メールアドレスを確認(退会)されては如何でしょうか?

www.itmedia.co.jp

 

 大容量ファイル送信サービス「宅ふぁいる便」で、ユーザーのパスワードなど481万件が流出する問題が起き、サービスを休止している問題で、運営元のオージス総研(大阪ガス子会社)は4月8日、既存ユーザーがパスワードを確認したり、サービスを退会できる特設サイトをオープンした。データ暗号化などを行ってセキュリティを確保した上で、毎日午前9時~午後5時45分の時間限定で提供する。

ITmedia記事より引用)

 

Web特設サイト

 

◆キタきつねの所感

宅ふぁいる便を利用していた頃、本当に良いサービスが無料で・・・と思っていたのですが、使わなくなったサービスは早めに退会してしまうべきなのだと改めて感じました。

 

宅ふぁいる便の特設サイトですが、(登録しているであろう)メールアドレスを入れて、そのアドレス宛に認証コード(8桁/英大小・数混在)が飛んできて、それを入力すると、パスワード確認、あるいは退会手続きが出来るという機能を提供しています。

f:id:foxcafelate:20190409145522p:plain

退会するにしても、パスワードの使いまわしをしているかが不明な場合も多いかと思いますので、パスワード確認をすると良いかと思います。

 

パスワード確認で教えてくれるのは、パスワードの頭と末の1桁づつのみです。私はこのヒントで何をパスワードにセットしていたのか分かりました。。。

f:id:foxcafelate:20190409150252p:plain

 

その後、無事に?退会手続きまで行きつきました。「退会する」ボタンを押すと、もうこのサイトにも入れなくなる様です。数枚スクリーンショットを取り忘れましたが、まぁ良しとします。

f:id:foxcafelate:20190409145450p:plain


特設サイトのドメイン(『ogis-support.jp』、宅ふぁいる便を運営しているオージス総研が新たに取ったドメインの様ですね。被害を受けた宅ファイル便のドメインhttps://www.filesend.to/とは違うドメインを使うのは被害を受けたドメインだと、同様な脆弱性を突かれて2次被害が起きる(Equifaxがそんな事をやらかしたかと思いますが・・・)可能性があるので、当然な事なのですが、サービス名に似たドメインを使った偽サイトが立ち上がる事もあるので、会社名に近いドメインというのは良い選択だった気がします。

 

 

無事に退会処理がされた事をメールで確認しました。1ユーザとしてお世話になりました。

 

[宅ふぁいる便Web特設サイト]
~退会申請受付のお知らせ~ 
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
●● さま

お客さまのお申し入れにより、退会のお申込みを受付いたしました。
永らくのご利用、まことにありがとうございました。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

 

f:id:foxcafelate:20190409145055p:plain

更新履歴

  • 2019年4月9日PM(予約投稿)

中華風 エイプリルフール?

トランプ大統領の別荘に中国のスパイと見なされる女性が不法侵入した件で続報が出ていました。

www.cnn.co.jp

 

米連邦検察当局は1日、トランプ米大統領の別荘「マール・ア・ラーゴ」(米フロリダ州)に不法侵入したとして2冊の中国旅券を所持していた女を訴追した。CNNなど複数の米メディアが2日報じた。女はコンピューターの不正動作を起こすプログラム「マルウエア」が入ったUSBメモリーや4台の携帯電話なども持っていた

女の名は「ユージン・チャン」と報じられている。3月30日に身柄を拘束された。トランプ氏はこの日、マール・ア・ラーゴに滞在していたが、侵入時には不在だった。

訴追理由は、制限区域への侵入と警察官に対する虚偽証言の罪。マール・ア・ラーゴは会員制の高級リゾートホテルでもある。女は受付に訪問目的として、国連の中国系米国人の団体が主催するイベントに出席するためだと説明した。だが、こうした予定はなかった。

日経新聞記事より引用)

 

 

◆キタきつねの所感

本当にスパイが狙ったのだとすれば、シュウキンペイ国家主席は中々大胆な攻撃を指示したなと思いますが、個人的には、警備体制を図る目的、あるいはトランプ大統領への(いつでも攻撃できるのだという)脅しという考え方も出来る気がしました。

 

まず考えたのが、4月1日の犯行です。質の悪いエイプリルフールネタと考える事もできそうな気がします。

 

もう1つ、日経記事にもありましたが、複数の旅券保有という情報・・・

米連邦検察当局は1日、トランプ米大統領の別荘「マール・ア・ラーゴ」(米フロリダ州)に不法侵入したとして2冊の中国旅券を所持していた女を訴追した。

日経新聞記事より引用)

 

どこかで聞いた記憶が・・・

米国内で、中国IT企業への警戒感が高まっている。中国通信機器大手「華為技術(ファーウェイ)」の副会長兼最高財務責任者(CFO)、孟晩舟容疑者がカナダで逮捕されたが、何と7通のパスポート(旅券)の発行を受けていたというのだ。

ZakZak記事より引用)

ファーウェイの副会長と同じパターンですね。だからこそFBIは国家スパイだと見なしている証拠でもあるのでしょうが、警備が厳しい大統領の別荘で、物理的侵入というのは元々成功率が高いとは思えない事は中国側も十分に理解していると思いますので、だからこそ、本気の(スパイによる)攻撃では無かったのではないかなと推測します。

 

だからこそトランプ大統領は、スパイという可能性について、

トランプ氏は3日、中国のスパイ活動の可能性について問われ、私はまったく懸念していない」と否定「場当たり的」な犯行だったとして、大統領警護隊(シークレットサービス)と侵入を阻止した受付担当者を称賛した。

CNN記事より引用)

あまり心配してないとコメントしたのかも知れません。4月1日のジョークであったとすれば、ファーウェー問題を含めて、米中の貿易摩擦にどういった影響を与えていくのか、今後の動きをよく見ていくべきかも知れません。(次の大きな報復事件が起きそうな・・・)

 

 

余談ですが、米フロリダ州にあるトランプ大統領の別荘「マール・ア・ラーゴ」をGoogleMap(ストリートビュー)で見ると、施設周りに高い塀がある訳ではないので、物理侵入は容易そうに見えます。ですが、建物まではかなり距離があるので、諸々のセキュリティにひっかかりそうな気がします。(大統領の泊まる施設で物理的な大きな脆弱性が在るとは思いませんが・・・)

f:id:foxcafelate:20190407185638j:plain

 

ã©ã·ã¥ã¢ã¢å±±ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年4月7日PM(予約投稿)

サーカスのカード情報漏えい

子供服のECサイトもカード情報を漏えいしていた様です。

scan.netsecurity.ne.jp

 

公式発表 不正アクセスによるお客様情報流出に関するお詫びとお知らせ

 

2月25日に完了した調査機関による調査結果によると、同社オンラインショップのシステムの一部の脆弱性をついた第三者による不正アクセスによりカード入力フォームを改ざんされ、2018年10月1日から2019年1月18日の期間に「子供服サーカス」を利用した一部の顧客、および「子供服ミリバール」を利用した一部の顧客のカード情報が流出し不正利用された可能性を確認した。

流出の対象となるのは、2018年10月1日から2019年1月18日の期間に「子供服サーカス」、「子供服ミリバール」でクレジット決済を利用した顧客のカード情報(名義人名、番号、有効期限、セキュリティコード)2,200件。

(ScannetSecurity記事より引用)

 

◆キタきつねの所感

データ侵害を詳細手口について、フォレンジック調査会社は報告しているのだと思いますが、今回の公式発表でも『システムの一部の脆弱性をついたことによる第三者による不正アクセス』としか書かれていません。とは言え、再発防止策の部分を見ると、恐らく最近事件が多発している「決済ページからの情報不正転送」である事が伺えます。

5.再発防止策ならびにクレジットカード決済の再開について

  • 弊社ではこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、 今後二度と同様の事態を発生させることがないよう、再発防止策の構築並びにお客様情報保護体制の一層の強化に取り組んでまいります。
    再発防止策としまして、2019年4月2日現在までに、以下の対策を行っております。
    • ウェブサイトの改竄を防ぐため、Webサーバー内の適正なアクセス権限の設定
    • 不正アクセスを防ぐため、WAF(※)の導入
(公式発表より引用)

つまり、決済ページ(あるいは決済ページ前のページ)が改ざんされ、不正なコード(javascript)を、顧客がクレジットカード情報を入力するページに仕掛けられたのだと思います。一般的にはWeb改ざん検知のサービス/ソリューションを導入する事が多いのですが、今回は、『適切なアクセス権限の設定』をする、という改善策になっています。

ここを読み解くと、「Webサーバ内のアクセス権限に問題があり、Web改ざんされてしまった、という事が推測できます。

 

例えば、Read権限のみ開放すべきところをRead/Write(実行)権限を意図せずに付与した状態になっていた、そんなミスが原因となってた事が考えられる訳ですが、権限設定を含め、人が設定する事にはミスが起こるのは致し方ない事です。そこを補うのが例えば2名(チェック)体制であり、ツールチェックなのだと思います。そうした心の隙を突かれると、カード情報まで漏えいしてしまう、そんな風に私はこの事件を捉えました。

 

繰り返し書いている気がしますが、「カード情報非保持」という国策ガイドラインだけ守っていれば安全という事はありません。Web管理の単純な部分まで含めて、定期的にセキュリティ状態を確認する、そうした事がECサイトには必要な時期に来ているのではないでしょうか。

 

 

çç£ä½¿ãã®ã¤ã©ã¹ãï¼ç·æ§ï¼

 

 

更新履歴

  • 2019年4月7日PM(予約投稿)

ハッシュはクラックされているかもしれない。

日経BPの記事が良記事でした。セキュリティに足を踏み入れている(一部の)IT部門の方々が、ハッシュ化=安全という認識であるのは残念ですが、この記事を読んで認識を変える事ができるかも知れません。

tech.nikkeibp.co.jp

 

 ライフベアは、漏洩したパスワードは「不可逆な暗号化された状態」であり、「それらの情報を使って三者にログインされることはありません」と断言した。不可逆な暗号化は、ハッシュ化を指すとみられる。

 クービックは、パスワードはハッシュ化した状態で漏洩したと説明した。さらにハッシュについて「規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です」と付け加える。

 両社の主張はどちらも、パスワードをハッシュ化していたので不正ログインの可能性はない、安全である、と読める。しかし実際どうなのか。重要な情報を漏洩させた組織が、ハッシュ化を根拠して安全だと言ってよいのだろうか

(中略)

 ライフベアやクービックから漏洩したと思われるアカウント情報は2019年3月中旬に、インターネット上で発売されたとみられる。

 その販売情報によれば、ライフベアのパスワードはMD5で、クービックのパスワードはSHA-1と呼ぶ方式でハッシュ化されていると書かれている。両社が安全の根拠とするハッシュ化が施されているのは事実のようだ。

(中略)

 ハッシュから元のデータを求めるサービスも登場している。逆引き表を用意できない人でも、こういったサービスでハッシュから元のパスワードを入手できる可能性がある。

 パスワードを漏洩させてしまったら、その組織はいち早く漏洩の事実を伝えて注意喚起を実施すべきだ。こうしてパスワードの使い回しによる二次被害を防ぐ。

 ハッシュ化していれば、その事実とソルトやストレッチングを適用していたかどうかも明らかにする。ユーザーの不安を無駄にあおらないようにするためだ。ただソルトの内容やストレッチングの回数は、攻撃者による解析の助けになるので公表しなくてもよい。

 ただし、ハッシュ化を根拠に安全だと主張すべきではない。その主張によって、安全だと誤解したユーザーが対処を後回しにすれば、被害が拡大する恐れがあるからだ。

日経BP記事より引用)

 

◆キタきつねの所感

この記事を読んでいる最中に、下記の徳丸さんの資料を思い出しました。2013年に書かれたこの資料は、いまだに”現役”であって、上記記事にあるMD5】【SHA-1】でも解読される可能性がある事について、P20以降に書かれています。

www.slideshare.net

 

怖いのが、自社のIT担当(セキュリティコンサル)の助言を受けて出されたであろう、事件についてのニュースリリースで、MD5SHA-1を使っていて)ハッシュは安全であると読み取れる記述がある事な訳ですが、

 

Lifebear サーバーへの不正アクセスに関するお詫びとご報告 ライフベア

■【重要】不正アクセスに関するお詫びとご報告 クービック

 

MD5SHA-1脆弱性については、いろいろな所で指摘されています。

例えば、

 ■MD5 の安全性の限界に関する調査研究報告書IPA/2008年)

 

 ■Googleがハッシュ関数「SHA-1」を破ることに成功、90日後に手法を公開予定 - GIGAZINE

 ■CRYPTREC が「SHA-1 の安全性低下について」を公開

辺りが参考になるかと思います。

 

しかしそれ以上に問題なのが、「海外サイト」です。セキュリティ研究者(ハッカー)がテストに使える「レインボーテーブル」といったものは、MD5SHA-1に留まらず、無料で公開されている所はたくさんあります

 

  ■Free Rainbow Tables

 

更に言うならば、オンラインで調べたいハッシュを入れると「元の値を推測して出してくれる」無料サイトも、簡単に見つかります。※流石にこちらはリンクは載せない方が良いと思うので割愛しますが、ググればすぐ出てきます。

 

※因みに、私がググった所は、MD5SHA-1に留まらず、SHA-2ですら『載っている』様でした。

サポート: LM、NTLM、md2、md4、md5md5md5_hex)、md5-half、sha1、sha224、sha256、sha384、sha512、ripeMD160、ワールプール、MySQL 4.1以降(sha1sha1_bin))、QubesV3.1BackupDefaults 

 

こうした現状があるとした前提の上で、冒頭の日経BPの記事を読んでいただくと、良記事であるなという事がご理解頂けるのではないでしょうか。

 

 ãã¸ã¿ã«ãã¼ã¿é¢¨ã®èæ¯ç´ æï¼ç·ï¼

 

更新履歴

  • 2019年4月4日AM(予約投稿)