Codecovへの新たなサプライチェーン攻撃

テストのカバレッジを可視化してくれるCodecovサービスのインフラが侵害され、Bash Uploaderに1月下旬から約3か月間バックドアを仕掛けられていた様です。

公式発表

・Bash Uploader Security Update (4/15)

Codecovは、システムとデータのセキュリティを非常に重要視しており、お客様を保護するために多数の保護手段を実装しています。2021年4月1日木曜日に、誰かがBash Uploader スクリプトへの不正アクセスを取得し、許可なく変更したことを知りました。アクターは、CodecovのDockerイメージ作成プロセスでエラーが発生し、Bash アップローダースクリプトの変更に必要なクレデンシャルを抽出できるようになったため、アクセスを取得しました。

（中略）

調査の結果、2021年1月31日以降、サードパーティによるBash Uploaderスクリプトの定期的な不正変更があり、ユーザーの継続的インテグレーション（CI）環境に保存されている情報をエクスポートできる可能性があることが判明しました。次に、この情報はCodecovのインフラストラクチャ外のサードパーティサーバーに送信されました。

（公式発表より引用）※機械翻訳

キタきつねの所感

新たなサプライチェーン攻撃が発覚した様です。

国内でもCodecovを利用されている方の記事が多数見つかりますので、テストで利用していた（又は本番バージョンで利用していた）認証情報が窃取された可能性がありますので留意が必要かと思います。

公式サイトの実績を見ると、Google、P＆G、Grab、Paloalto、RBCといった名だたる企業もCodecovを利用しており、全世界で2.9万以上の組織に利用されていると公表されていますので、国内の開発会社が影響を受けている可能性は十分あるかと思います。

f:id:foxcafelate:20210420050424p:plain

※影響を受けたユーザへはCodecovから4/15に登録メールアドレスに連絡が行っており、Codecovログイン後にも通知バーナーが出る様になっている様です

2021-04-19

■今週のセキュリティ記事（4/11-4/17）

今週のセキュリティ記事

先週読んだセキュリティ関係の記事の中で、気になったものをご紹介します。

※ f:id:foxcafelate:20210110100354p:plain は英語記事

※無印~★★★は主観での推奨レベル（★★★が閲覧推奨記事）／記事を読んだ個人的な感想ベース

■ 今週の三ッ星記事

整理No	日付	推奨	記事タイトル（リンク）
21-1465	4月13日	★★★	退職者による秘密漏洩｢泣き寝入り｣で良いのか
21-1470	4月13日	★★★	Millions of devices impacted by NAME:WRECK flaws NAME：WRECKの欠陥の影響を受ける何百万ものデバイス
21-1478	4月13日	★★★	誘導質問で気づかぬ間に情報漏洩、人間の弱さを突くソーシャルエンジニアリングの怖さ
21-1485	4月13日	★★★	FBI nuked web shells from hacked Exchange Servers without telling owners FBIは、所有者に通知せずに、ハッキングされたExchangeServerからWebシェルを削除しました
21-1512	4月16日	★★★	IPA、欧米中露を中心に暗号に関わるセキュリティ政策をまとめた報告書を公開

※「今週の三ッ星記事」掲載の記事は以下のカテゴリー別の記事と重複しています

①ランサムウェア

整理No	日付	推奨	記事タイトル（リンク）
21-1479	4月14日	★★	Meet the Ransomware Gang Behind One of the Biggest Supply Chain Hacks Ever 史上最大のサプライチェーンハックの背後にあるランサムウェアギャングに会う
21-1480	4月14日	★	カプコン情報流出事件　大阪府警が捜査開始
21-1490	4月13日	★	Ransomware attack causes supermarket cheese shortage in the Netherlands ランサムウェア攻撃により、オランダでスーパーマーケットのチーズが不足する
21-1495	4月15日	★	Larry Magid: Tips for preventing ‘ransomware’ attack Larry Magid：「ランサムウェア」攻撃を防ぐためのヒント
21-1522	4月16日	★	Five signs ransomware is becoming an industry ランサムウェアが業界になりつつある5つの兆候
21-1523	4月17日	★★	Ryuk ransomware operation updates hacking techniques Ryukランサムウェア操作はハッキング技術を更新します

2021-04-18

ホワイトハッカーは脱帽している

つぶやいてみた。

英語記事を読んでいて気になったのが「ハッカー」の呼び名。「Ethical Hacker」になろうという記事なのですが、そのまま素直に訳すと「倫理的ハッカー」となります。
hackernoon.com

1.ハッカーの考え方を解釈する

倫理的なハッキングを学ぶことの合理的な利点は、企業組織がどのように保護されているかを改善し、助言する能力です。どの組織にとっても、サイバーセキュリティに関して、本質的な危険はダークキャップハッカーです。さらに、それらがどのように機能するかを理解することは、起こりうる脅威を区別して焦点を当てることで予防策を支援することができます。すべての脅威を回避することは不可能です。しかし、これらの能力により、サイバーセキュリティの専門家は起こりうる危険の影響を制限したいと思うでしょう。倫理的なハッキングのトレーニングは、ネットワークセキュリティがこの種の考え方を構築するのに役立ちます。

2.隠されたテクニックを知り、より良い方法を探る

システムを倫理的にハッキングすることで、データビーチをもたらした可能性のある豊富なセキュリティの選択肢を見つけることができます。

正しいアプローチで、従うべき最良のセキュリティ慣行と新しいアイデアについて考えることができます。これらの概念を学ぶことは、専門家の職業だけでなく、プラットフォームを変更することを選択したときにも利用されます。

（Hackernoon記事より引用）※機械翻訳

キタきつねの所感

この記事が気になったのは、Twitterのタイムラインに以下の投稿が流れていた事があったからです。私も普段の記事で無意識に「ホワイトハッカー」という用語を使っていますが、ジャパニーズイングリッシュである事を改めて認識します。

日本の報道及び官公庁におかれましては、速やかにホワイトハッカーなる呼称の利用を止めて欲しい。元はwhite "hat" hackerからきた日本特有の略語だが、意味は白人ハッカーだし、元の意味も使うのやめましょうと言われるぐらいになってきてますよ。

https://t.co/mI1HY9VNjw
— CHUBACHI, Yosuke (@ybachi) 2021年4月14日

あまり意識して考えた事がなかったのですが、英語では「Hacker」という単語には、良い意味でも悪い意味でもハッキングする人という意味が含まれているかと思います。

※辞書によって定義が違っている（ブラックなハッカーを指している記載になっている）ケースもあるので、「元々は」と言った方が良いかも知れません。

例えば、Merriamの辞書（Hacker | Definition of Hacker by Merriam-Webster）では、

1： 1というハック
2：特定の活動に不慣れまたは未熟な人
テニスハッカー
3：コンピューターのプログラミングと問題解決の専門家
4：コンピュータシステム内の情報に不法にアクセスし、場合によっては改ざんする人

３がいわゆる「ホワイト（ハット）ハッカー」、４が「ブラック（ハット）ハッカー」のニュアンスで書かれています。

IT寄りのTechTargetの定義（What is hacker? - Definition from WhatIs.com）では、もう少し詳しく書かれていて、

2021-04-17

厳しい監視がテレワーク社員を危険な行動に追いやる

つぶやいてみた。

コロナ禍を受け、日本企業でも社員の監視ツールを導入している所もあるかと思いますが、気になるデータが出ていました。

www.infosecurity-magazine.com

英国のリモートワーカーのほぼ半数（44％）が雇用主によって監視ソフトウェアをインストールされていますが、その傾向により多くの人がより安全でない慣行に追い込まれているとKasperskyは警告しています。

パンデミックにより英国の従業員の大多数が在宅勤務を余儀なくされてから約1年後、ロシアのAVベンダーは、マネージャーと従業員の間の信頼のレベルを理解するために2000人のフルタイムスタッフを調査しました。

監視ソフトウェアは、特に人為的ミスによって引き起こされるインシデントの割合が高いことを考えると、非準拠でリスクの高いユーザーの行動に対する重要な防波堤になる可能性があります。Kasperskyは、電子メール、インターネット、アプリ、電話の使用状況の監視と、雇用主がリモートエンドポイントに展開することがますます一般的になっている場所の追跡について言及しました。

しかし、調査のために調査した労働者の3分の1（32％）は、監視ツールを使用するとマネージャーやチームリーダーへの信頼が低下すると述べ、同様の数（30％）が彼らのプライバシー。約4分の1（23％）が、このソフトウェアを介した個人情報へのアクセスの可能性について懸念していると述べています。

（Infosecurity Magazine記事より引用）※機械翻訳

キタきつねの所感

元ソースはKasperskyの調査データの様ですが見つけられませんでした。しかし、Infosecの記事が合っているという前提で、記事の内容を考えてみたいと思います。

まず感じたのが、UKでは44％の企業が監視ツール入れているという部分です。正直多いなという印象です。

コロナ禍でテレワークを強いられている従業員は欧州でも多い訳ですが、日本よりはるかに成果主義（Job Description）が進んでいる国々で、”監視ツール”が導入される率が高いというのは、思った以上に、企業側が従業員を信頼してないという事なのかも知れません。

とは言え、2020年以降に発生したインシデントを考えると「人為的ミスによって引き起こされたインシデント」が結構あったのは、まさにその通りであり、企業側がその穴を何とかしよう監視ツールを導入するのは妥当性が無いとは言い切れません。

しかし従業員側の1/3は監視ツールを導入する事によって、会社（チームやマネージャー）に対する信頼が低下すると回答している部分は、企業と従業員との間の大きなギャップを感じます。

2021-04-16

Cl0Pランサムの追跡記事

考えてみた。

REvil、CONTI、Netwalker等のランサムオペレータとは違い、アフェリエイトプログラムを実施していない中で、大きな”成功”を収めているCl0Pについての追跡記事が出ていました。

www.vice.com

キタきつねの所感

この手のハッカー側にコンタクトを取った追跡（分析）記事は、ハッカー側が取材に警戒する事もあるのかと思いますが、個人的にはほとんど見かけた事がありません。※Krebs氏のブログ記事でたまに見かける程度です

ランサムオペレータ側の心理を理解する上では良い記事だと思いますので、本日はこの記事を取り上げます。

Cl0P（FIN11,TA505, UNC2546）について、今更説明するまでも無いかと思いますが、ファイル転送サービスとして多くの企業にサービスを提供していたAccellion FTA（4月末でサービス終了予定）が脆弱性を突かれてハッキングされ、多くのFTA利用企業が被害を受けましたが、その2重脅迫を行い、リーク（暴露）サイトを運営しているランサムオペレータです。

※恐らくCl0PがAccellionを攻撃したと思われますが、記事でもその点は曖昧に書かれています。

4月上旬でのCl0Pリークサイトのトップ（＝被害企業リスト）は以下の様なものでしたが、名前がよく知られている組織も多く含まれており、最近だと米国の名門大学がリストに掲載された事でも話題となりました。

UCLAもAccellion FTA経由でデータを漏えいした（Cl0Pランサム） - Fox on Security

f:id:foxcafelate:20210416060453j:plain

※日本ではまったく話題になっていませんし、記事を書いている4/16時点でニプロのリリースを確認できませんが、このリストの最後に「NIPRO.COM」とあり、ニプロの米国子会社であるニプロメディカルがCl0Pの”被害”を受けた様に思われる掲載があります。

ランサムオペレータの”犠牲者数”を発表しているDarkTracerの最新の投稿（4/15）を見ると、Cl0Pはアクティブなランサムオペレータの中では上位に当たる事がよく分かります。

History of darkweb ransomware gangs's victim disclosure activities

Starting with "Team Snatch" gang in May 2019, a rally began to leak victims' internal data on the DarkWeb. And it became popular by "MAZE" gang around November 2019. There are now nearly 1900 victims. pic.twitter.com/aKgJbXah1k
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) 2021年4月15日

グラフを拡大してみると、以下の様になります。

2021-04-15

FBIが感染したExchangeサーバからWebシェルを削除

つぶやいてみた。海外事件

FBIは、ハッカーが多くの米国組織のMicrosoft Exchangeサーバにインストールしたマルウェアを削除する権限を裁判所に求め、悪意あるスクリプトを削除する特別オペレーションを実施した様です。

www.infosecurity-magazine.com

米国当局は、3月にパッチが適用された脆弱性の大規模な悪用に続いて、数百のMicrosoftExchangeサーバーで実行されているWebシェルを削除する裁判所命令を求めました。

司法省（DoJ）は昨日この動きを発表し、システム所有者は感染したサーバーから何千もの悪意のあるスクリプトを削除できたものの、何百も存続したと説明しました。

攻撃は早くも1月に始まりましたが、バグが数か月後に公開されるとさまざまなグループが山積みになったため、最終的には30,000人ものUS ExchangeServerの顧客が侵害の影響を受けた可能性があるとの報告があります。

Webシェルは、攻撃者が戻るための永続的なバックドアを実現するために感染したマシンにインストールされ、ランサムウェアやコインマイナーなどの追加のマルウェアを展開するために使用されました。

DoJによると、FBIは、残りの各Webシェルを介して影響を受けるサーバーにコマンドを発行し、固有のファイルパスで識別された問題のあるスクリプトを削除しました。

（Infosecurity Magazine記事より引用）※機械翻訳

キタきつねの所感

FBIが企業にインストールされた悪意あるプログラムを削除するオペレーションを実施した様ですが、過去にこうしたオペレーションが実施されたのを聞いた事がありません。

それだけに、FBIが悪意あるサイバー攻撃者から米国企業（市民）を守り、脅威と戦う事に対する強い意志を感じますが、別な見方をすれば3月10日に出されたExchangeサーバ脆弱性の注意喚起、検出ツール、パッチだけでは最大で3万とも言われるExchangeサーバの侵害組織を「守り切れない」と判断するに足る情報をFBIが入手していたのだと思います。

この記事は、米司法省の4/13リリースが元ソースの様です。

www.justice.gov

司法省の国家安全保障局のジョンC.デマーズ副検事総長は、「起訴だけでなく、すべての法的ツールを使用してハッキング活動を妨害するという司法省の取り組みを示しています」と述べています。「検出ツールやパッチのリリースなど、これまでの民間部門や他の政府機関の取り組みと組み合わせることで、官民パートナーシップが我が国のサイバーセキュリティにもたらす強みを一緒に示しています。まだまだやるべきことが残っていることは間違いありませんが、そのような取り組みにおいて同省が不可欠で必要な役割を果たすことに尽力していることも間違いありません。」

日本ではこうしたオペレーションの実施がほぼ不可能だと感じるのが、善意のFBIオペレーションであり、司法の事前の許可の下で実施しているとはいえ、組織に「事前の告知なく」悪意あるWebシェルを削除している点です。

※FBIはこれからWebシェル削除（サニタイズ）したすべての組織に通知をする様です

2021-04-14

ソーシャルエンジニアリングを学び直す

つぶやいてみた。

情報セキュリティ大学院大学名誉教授の内田先生の記事を読んで、改めてソーシャルエンジニアリングについて勉強しないといけないと思いました。

diamond.jp

キタきつねの所感

近年全世界で猛威を振るっている「ランサムウェア（2重脅迫）」は攻撃対象の選定、あるいは嫌らしい”公開”や”暴露の漏えい”手法など、ソーシャルエンジニアリングのリメイク（焼き直し）とも思える脅迫手口を日々進化させています。

日本で最も成功したソーシャルエンジニアリング手法は、社会現象化まで至った「振り込め詐欺」かと思いますが、古典的ともいえる「人の脆弱性」を狙った攻撃は、形を変えてサイバー攻撃でも応用されています。

ソーシャルエンジニアリングを、内田先生は以下の様に定義しています。

人間の心理的な弱さを利用、また、他人になりすまし、必要な情報を収集（盗み見、盗取、ヒアリング）するもので、いくつかの方法を組み合わせる、また複数の人や方法、場所等で情報収集を行うこともある。ソーシャルエンジニアリングの考えは、犯罪に利用されるだけでなく、医者、弁護士、コンサルタント等、多くの職種の人が利用する。

映画などで出てくる”詐欺師”のイメージを頭の中で思い出してみると上記の定義がぴったりである事が分かるかと思いますが、実際に「振り込め詐欺」でも、犯行グループが老人家庭に現金を取りに行く＝対面型だけでなく、電話でガイドしながら被害者にATMで不正入金をさせる＝非対面型も大きな被害を出しています。

ソーシャルエンジニアリング手法は、必ずしも悪い事ばかりに使われる訳ではなく、優秀な営業には大きな武器となるでしょうし、上記の定義の様に医者や弁護士などが「上手な誘導尋問」として使う際にも有効な手法でもあります。

記事では、いくつかの事件に紐づけてソーシャルエンジニアリング手法が書かれていますが、中でも気になったのがハッカーの誘導尋問事例です。続きを読む