IT小僧の時事放談

ほぼ毎日 ヤバいセキュリティ情報 2021年に出荷されたAndroidスマホの3分の2に外部から音声にアクセスできる脆弱性

ホワイトハッカー入門

世界中のデジタルデバイスには、セキュリティの問題が毎日のようにやばい情報が公開されている。

IT小僧の時事放題では、
ほぼ毎日 ヤバいセキュリティ情報
と題して いろいろなメディアからの情報を報告します。

ほぼ毎日なので 毎日ではありません。

スポンサーリンク

目次

2021年に出荷されたAndroidスマホの3分の2に外部から音声にアクセスできる脆弱性があったことが明らかに

2022年4月25日

Androidスマートフォンに組み込まれたオーディオコーデックのApple Lossless Audio Codec(ALAC)に脆弱(ぜいじゃく)性が存在し、2021年に出荷されたスマートフォンのほぼ3分の2にリモートでコードを実行される危険性があったことが明らかになりました。報道時点で問題はすでに修正済みとのことです。

Largest Mobile Chipset Manufacturers used Vulnerable Audio Decoder, 2/3 of Android users’ Privacy around the World were at Risk - Check Point Software
https://blog.checkpoint.com/2022/04/21/largest-mobile-chipset-manufacturers-used-vulnerable-audio-decoder-2-3-of-android-users-privacy-around-the-world-were-at-risk/

iTunesなどで用いられているALACはもともとAppleにより開発されたオーディオコーディング形式で、2011年にオープンソース化されています。それ以来ALACはAndroidスマートフォンやLinuxおよびWindows向けメディアプレイヤーやコンバーターなど、Apple以外の多くのオーディオ再生デバイスやプログラムに組み込まれています。

Appleは独自バージョンのデコーダーを複数回更新し、セキュリティの問題を修正してパッチを適用していますが、共有コードには2011年以降パッチが適用されていません。このパッチが適用されていない脆弱性のあるALACコードが、世界最大のモバイルチップセットメーカーの2つであるQualcommとMediaTekにより、スマートフォンのオーディオデコーダーに移植されていることが今回明らかになりました。

サイバーセキュリティ企業のCheck Point Researchの調べによると、問題のALACのコードには攻撃者が不正な形式のオーディオファイルを介し、モバイルデバイス上でリモートコード実行攻撃を行える脆弱性があったとのこと。これにより攻撃者がコンピュータ上で悪意のあるコードをリモートで実行してマルウェアの実行からカメラへのアクセスなどを行えたほか、特権のないAndroidアプリを使用してメディアデータやユーザーの会話にアクセスする可能性もあったとのことです。

MediaTekとQualcommのチップセットは2021年第2四半期に合計67%のシェアを獲得しており、そのすべてに脆弱性があったものとみられています。Check Point Researchはすでに両社に情報を開示しており、MediaTekは今回の報告に対応する脆弱性であるCVE-2021-0674およびCVE-2021-0675の修正パッチを2021年12月にリリースし、Qualcommも対応する脆弱性のCVE-2021-30351の修正パッチを2021年12月にリリースしています。

2021年に出荷されたAndroidスマホの3分の2に外部から音声にアクセスできる脆弱性があったことが明らかに - GIGAZINE
https://gigazine.net/news/20220425-mediatek-qualcomm-alac-vulnerabilities/

Googleがこれに対応するという

Android通話録音アプリが使用不能に。抜け道に使われていたAPIが5月11日から規制対象に
デベロッパー プログラム ポリシー: 2022 年 4 月 6 日のお知らせ
https://support.google.com/googleplay/android-developer/answer/11899428#accessibility_preview

通販装う「攻撃用USBメモリー」が届く、ランサムウエアの脅威に備えよ

2022年4月25日

 企業が事業を止めざるを得なくなるようなサイバー攻撃の被害が相次いでいます。原因はランサムウエア(身代金要求型ウイルス)。データを暗号化してその復旧に身代金を要求するマルウエアで、ここ2年ほどの間に被害が急増しています。

日経クロステックでここ1年の間に読まれたセキュリティー分野の記事もランサムウエア関連が多く、特にオンライン通販などを装ってランサムウエアを仕込んだUSBメモリーを送付する攻撃事例が注目を集めました。攻撃側の手口が巧妙化するなかで、どんな対策を講じるべきなのでしょう。過去の被害や先進的なセキュリティー対策を講じる企業の事例から、ランサムウエアによる被害を防ぐヒントとなる記事をまとめました。

また、組織のセキュリティーは各エンドユーザーのパソコン、メールからコツコツ強化する必要があります。メールに潜む脅威とその対策、Windows 11で採用された最新セキュリティー対策を理解できる記事も併せてご覧ください。

通販装う「攻撃用USBメモリー」が届く、ランサムウエアの脅威に備えよ

USBメモリーって 「つい 差してしまう」なんてことありまっすよね

くれぐれも見知らぬUSBメモリーをパソコンに差すのは止めましょう

iPhoneの新たなゼロクリック脆弱性が発見される、NSOのスパイウェア「Pegasus」にも利用されていた

2022年04月19日 11時00分

iPhoneの新たなゼロクリック脆弱性が発見される、NSOのスパイウェア「Pegasus」にも利用されていた - GIGAZINE

カナダ・トロント大学を拠点とするセキュリティ研究機関・Citizen Labが2022年4月18日に、iOSで新たなゼロクリックのエクスプロイトが見つかったと発表しました。

CatalanGate: Extensive Mercenary Spyware Operation against Catalans Using Pegasus and Candiru - The Citizen Lab
https://citizenlab.ca/2022/04/catalangate-extensive-mercenary-spyware-operation-against-catalans-using-pegasus-candiru/

Newly found zero-click iPhone exploit used in NSO spyware attacks
https://www.bleepingcomputer.com/news/security/newly-found-zero-click-iphone-exploit-used-in-nso-spyware-attacks/

Citizen Labが今回発表したのは、スパイウェア「Pegasus」で知られるイスラエル企業・NSO Groupが使っていたiMessageのエクスプロイトです。

「HOMAGE」と名付けられたこのゼロクリックのエクスプロイトは、スペインの自治州であるカタルーニャ州の政治家やジャーナリストなどを主な標的としたもので、「Kismet」と呼ばれるiMessageの脆弱(ぜいじゃく)性やWhatsAppの脆弱性と組み合わせて使用されました。

Citizen Labは、2017年~2020年の間に「HOMAGE」による攻撃を受けたカタルーニャの活動家は65人に上ると推測しており、その中には2010年以降に就任した全てのカタルーニャ州政府首相も含まれているとのこと。具体的には、2010年~2016年まで首相を務め、退任後にPegasusに感染したアルトゥール・マス氏、2016年~2017年まで在任したカルレス・プッチモン氏、2018年~2020年まで在任したキム・トーラ氏、そして2021年から現職のペレ・アラゴネス州首相の4人です。

このエクスプロイトを用いた攻撃の出どころは不明ですが、Citizen LabはPegasusが政府にのみ販売されていることを指摘した上で、「犠牲者やターゲットの性質・攻撃の時期・スペイン政府がNSO Groupのクライアントの1つだと報告されているといった状況証拠から、スペイン政府との強い結びつきが示唆されています」と述べて、カタルーニャ州の独立を巡り同州と対立しているスペイン中央政府の関与が強く疑われるとの見方を示しました。

Citizen Labによると、カタルーニャ州のターゲットのうち、iOSのバージョンが13.1.3より新しいデバイスでこのエクスプロイトが使われた例は確認されていないため、エクスプロイトはiOS 13.2で修正された可能性が高いとのこと。

Citizen Labは、既にエクスプロイトに関する詳細な情報をAppleに提供しており、記事作成時点で最新のバージョンのiOSが搭載されているiPhoneユーザーが「HOMAGE」での攻撃にさらされているとのエビデンスはないとしています。

これまでも何度は、取り上げてきましたが、

iPhoneは、絶対に安全であるという神話に騙されないで

と考えてほしいと思います。

AndroidとiPhone(iOS)でiPhoneが安全というのは、Appleが、やばそうなソフトウェア(Appleの意思にそぐわない)ものを排除しているからであって、OSが絶対的に安全ということでは、ないのです。

ソフトウェアは、人間が、構築し、検査しているものですから、100%安全なものなどなく、もし安全というのならば、インターネットを断絶し、Bluetooth、GPS、お財布ケータなど電波を使うものをすべて断つしかありません。

また、ブラウザで詐欺サイトに引っかかることに関しては、iPhoneといえども防ぐことは完全にできません。
自ら進んでパスワードを悪人に送るようなものですから、防ぐことなど不可能です。

SNS上で好き好んでバカをさらけ出して身バレしている人も減ることもないでしょう。

それが嫌だったら、スマホは常に危険であるというリスクを覚悟で使うということです。

 

「シン・ウルトラマン」の偽Twitterアカウントに注意 「DM開封しないで」 公式が呼び掛け

2022年04月18日 20時56分 

 5月13日公開予定の映画「シン・ウルトラマン」の公式Twitterアカウントは4月18日、本物をかたる偽アカウントを確認したとして注意喚起した。不審なダイレクトメッセージも送信しているといい「メッセージの開封、添付ファイルの参照、本文中のURLのクリック等を行わないよう注意してほしい」(公式Twitterアカウント)

同アカウントは公式マークの有無で真偽を見分けるよう呼び掛けている。一方で、15日公開の予告編に、原作で偽物のウルトラマンに変身する宇宙人「ザラブ星人」が登場したことから、ファンからは「ザラブ星人の仕業なのでは?」とする声も出ている。

photo
予告編に登場したザラブ星人

宇宙からの侵略者もネット攻撃する時代となったのだろうか????

GitHubで「npm」を含む数十のプライベートリポジトリに対する不正アクセスが発生、被害状況や対策方法は?

2022年04月18日 11時37分

GitHubで「npm」を含む数十のプライベートリポジトリに対する不正アクセスが発生、被害状況や対策方法は? - GIGAZINE

GitHubと連携して用いられる開発者向けサービス「Heroku」と「Travis CI」からOAuthのアクセストークンが流出したことが明らかとなりました。GitHubはアクセストークンの流出によってNode.jsのパッケージ管理システム「npm」を含む数十のプライベートリポジトリが不正アクセスを受けたと発表しています。

Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators | The GitHub Blog
https://github.blog/2022-04-15-security-alert-stolen-oauth-user-tokens/

Incident 2413 | Heroku Status
https://status.heroku.com/incidents/2413

GitHubのセキュリティチームは、2022年4月12日にnpmのプライベートリポジトリへの不正アクセスを発見しました。不正アクセスの原因を調査した結果、アプリ開発用クラウドプラットフォーム「Heroku」と自動テスト実行サービス「Travis CI」からGitHub上のプライベートリポジトリへのアクセストークンが流出しており、数十の組織のプライベートリポジトリが不正アクセスの被害に遭っていることが判明しました。GitHubによると、npmプロジェクトの主な被害は「npmのプライベートリポジトリへの不正アクセスおよびダウンロード」「ストレージサービス『Amazon S3』上に存在するnpmパッケージへのアクセス」の2点で、パッケージの変更やユーザーアカウントへのアクセスは確認されていないとのこと。GitHubは被害への対応として流出したと考えられるアクセストークンを失効させ、HerokuおよびTravis CIと連携しながら調査を進めています。

また、Herokuが発表した声明によると、Herokuで管理されているGitHubプライベートリポジトリの不正ダウンロードは2022年4月9日に発生したとのこと。Herokuは2022年4月17日までに既存の全てのアクセストークンを失効させ、アクセストークンの新規発行を停止しました。

Herokuによるアクセストークンの失効&新規発行停止によって、記事作成時点ではHerokuとGitHubの連携が不可能となっています。Herokuは問題が解決されるまではGitHub以外のサービスを利用するかGitを用いてデプロイすることをユーザーに求めています。HerokuとGitHubの連携解除方法は、以下のページの「Disconnecting from GitHub」の項目を参考にしてください。

GitHub Integration (Heroku GitHub Deploys) | Heroku Dev Center
https://devcenter.heroku.com/articles/github-integration


加えて、GitHubとHerokuはユーザーに対してセキュリティログを確認して不正アクセスの被害に遭っていないか確認することを推奨しています。個人ユーザーの場合、以下のドキュメントを参考にセキュリティログを確認できます。

Reviewing your security log - GitHub Docs
https://docs.github.com/en/authentication/keeping-your-account-and-data-secure/reviewing-your-security-log


GitHubを組織で利用している場合は、以下のドキュメントを参考にログを確認可能です。

Reviewing the audit log for your organization - GitHub Docs
https://docs.github.com/en/organizations/keeping-your-organization-secure/managing-security-settings-for-your-organization/reviewing-the-audit-log-for-your-organization

先のGitに続いて 今度は、GitHubです。

GitHubと連携して用いられる開発者向けサービス「Heroku」と「Travis CI」からOAuthのアクセストークンが流出したことが明らかとなりました。GitHubはアクセストークンの流出によってNode.jsのパッケージ管理システム「npm」を含む数十のプライベートリポジトリが不正アクセスを受けたと発表しています。

ただし、迅速な対応が取られたようです。

バージョン管理システム「Git」にセキュリティ上の脆弱性、Git for Windowsユーザーやマルチユーザー環境利用者が取るべき対処法は?

2022年03月22日 15時00分

バージョン管理システム「Git」にセキュリティ上の脆弱性、Git for Windowsユーザーやマルチユーザー環境利用者が取るべき対処法は? - GIGAZINE

プログラムのソースコードなどの変更履歴を記録・追跡するための分散型バージョン管理システムの「Git」に、セキュリティ上の脆弱性があると指摘されています。すでにこの脆弱性に対応した最新バージョンとなる「Git 2.35.2」が公開されており、Git for Windowsユーザーやマルチユーザー環境でGitを使用しているユーザーには、Gitのアップグレードが推奨されています。

Git for Windows' uninstaller vulnerable to DLL hijacking when run under the SYSTEM user account · Advisory · git-for-windows/git · GitHub
https://github.com/git-for-windows/git/security/advisories/GHSA-gf48-x3vr-j5c3

Git security vulnerability announced | The GitHub Blog
https://github.blog/2022-04-12-git-security-vulnerability-announced/

問題となっている脆弱性のひとつが「CVE-2022-24765」で、悪意のある攻撃者が作業ディレクトリ上の共有スペースに「.gitディレクトリ」を作成できてしまうというもの。例えば、攻撃者が「C:\.git」というディレクトリに「config」というファイルを配置したとすると、リポジトリの外部で発生するすべてのGitコマンド呼び出しにその設定値を読み込ませることが可能となります。「core.fsmonitor」などの一部の設定変数は、Gitに任意のコマンドを実行させることができるため、脆弱性を悪用して任意のコマンドを実行させることも可能です。

Gitを利用するサービスの中でも最も著名なGitHubは、今回の脆弱性の影響を受けません。しかし、Git for Windowsユーザーやマルチユーザー環境でGitを使用しているユーザーは影響を受けるため、Gitを最新バージョンの「Git 2.35.2」にアップグレードすることが推奨されています。Git 2.35.2では、ディレクトリトラバーサルが現在のユーザーから所有権を変更した時に停止するトップレベルディレクトリを探す際のGitの動作を変更することで脆弱性に対処しており、この動作に例外を設けるための新しい複数値「safe.directory」も用意されています。

さらに、すぐにGitのアップグレードができないというユーザーのために、リスクを軽減するための最も効果的な方法も紹介されています。方法は以下の通り。

・ユーザープロファイルの親ディレクトリを含むように環境変数の「GIT_CEILING_DIRECTORIES」を定義(macOSなら「/Users」、Linuxなら「/home」、Windowsなら「C:\Users」)
・作業ディレクトリが信頼できるリポジトリ内にない場合、マルチユーザー環境でGitを実行しない

また、Git Bash、posh-git、VisualStudioのGit for Windowsといったツールでは、内部でGitコマンドを実行することに注意するよう指摘されており、マルチユーザー環境では最新バージョンへアップグレードするまでこれらのツールの使用を避けることが推奨されています。

もうひとつ問題となっている脆弱性が、ユーザーの一時ディレクトリで実行されるGit for Windowsのアンインストーラーに影響をおよぼす「CVE-2022-24767」です。Git for Windowsのアンインストーラーは一時フォルダにコピーされてから実行されますが、この一時フォルダは既定で誰でも書き込み可能となっているため、ここに悪意のあるファイルを配置することでアンインストーラー実行時に悪意のあるファイルを読み込んでしまう可能性があります。

この脆弱性からマシンを保護するための最も効果的な方法は、Git for Windowsをバージョン2.35.2にアップグレードすることです。すぐにアップグレードできない場合は、以下の方法でリスクを軽減することが推奨されています。

・アップグレードするまでGit for Windowsのアンインストーラーを実行しない
・ユーザーアカウントの権限をユーザーのみが書き込み可能となるように変更
・アンインストーラーを実行する前に不明なファイルを削除
・ユーザーアカウントとしてではなく管理者アカウントとしてアンインストーラーを実行

普段使うものですから Git for Windowsをバージョン2.35.2をしてください。

スポンサーリンク

AndroidスマホにプリインストールされているGoogle製アプリはユーザーの同意なしにGoogleへデータを送信している

2022年03月22日 15時00分

多くのAndroidスマートフォンにデフォルトで搭載されているGoogle製メッセージングアプリ「Google Messages(メッセージ)」と、Google製通話アプリの「Google Dialer(Googleの電話アプリ)」について、「ユーザーへの通知や特定の同意なしにGoogleへデータを収集・送信している」と研究者が報告しています。収集・送信されるデータについてユーザーの制御が不十分な点から、EU一般データ保護規則(GDPR)に違反している可能性もあるとのことです。

What Data Do The Google Dialer and Messages Apps On Android Send to Google?
(PDFファイル)https://www.scss.tcd.ie/doug.leith/privacyofdialerandsmsapps.pdf

Messages, Dialer apps sent text, call info to Google • The Register
https://www.theregister.com/2022/03/21/google_messages_gdpr/

アイルランドのトリニティ・カレッジ・ダブリンでコンピューターサイエンスの教授を務めるダグラス・リース氏が発表した論文では、Google製のテキストメッセージングアプリ「メッセージ」と通話アプリ「Googleの電話アプリ」が、AndroidのシステムアプリであるGoogle Play Servicesのデータ収集サービスやFirebase Analyticsサービスに送信されていることが指摘されています。

リース氏は論文の中で、「『メッセージ』によって送信されるデータには、メッセージングテキストのハッシュが含まれており、メッセージのやり取りにおける送信者と受信者をリンクすることができます」「『Googleの電話アプリ』によって送信されるデータには、通話を始めた時刻と通話全体の時間が含まれており、通話を行う2台のデバイスのリンクが可能です。また、電話番号もGoogleに送信されます」と記しています。

「メッセージ」アプリが送信するハッシュは復元が困難なように設計されているものの、短いメッセージであればメッセージ内容の一部を復元することも不可能ではないとのこと。

「メッセージ」と「Googleの電話アプリ」はGoogle製アプリであるため、世界中で販売されている10億台以上ものAndroidスマートフォンにプリインストールされています。リース氏は、これらのプリインストールされたアプリにおいては、Googleがサードパーティーの開発者に要求している「データ収集内容を説明するアプリ固有のプライバシーポリシー」が欠如していると指摘。また、Google Takeoutを通じてテストに使用したGoogleアカウントに関連するデータを要求しても、Googleが提供したデータには収集しているはずのデータが含まれていなかったとのこと。

Androidにプリインストールされたアプリを最新バージョンに保つシステムアプリであるGoogle Play Servicesは、セキュリティ対策や詐欺の防止、Google Play ServicesのAPIとコアサービスの維持、ブックマークや連絡先の同期といったサービス提供のため、Google製アプリが一部のデータを収集することを説明しています。しかし、メッセージの内容や送受信者、通話時間や発信者および着信者といったデータまで収集することについては説明されておらず、ユーザーがデータ収集を拒否する方法も存在しないそうです。リース氏は、「このデータがこれらのGoogle製アプリによって収集されているのを見て驚きました」と述べています。

リース氏は2021年11月にこの調査結果をGoogleに開示し、「メッセージ」アプリを担当するエンジニアリングディレクターと何度か協議した結果、Googleは以下の変更に同意したそうです。

・アプリの導入フローを改善し、Google製アプリであることや消費者向けプライバシーポリシーへのリンクを通知する。
・「Googleの電話アプリ」における発信者の電話番号や「メッセージ」におけるテキストのハッシュといったデータの収集を停止する。
・Firebase Analyticsによる通話関連イベントの記録を「Googleの電話アプリ」と「メッセージ」の両方で停止する。
・テレメトリデータの収集において、Android端末固有の永続的な識別子であるAndroid IDとのリンクをやめ、可能な限り有効期間が短い識別子に切り替える。
・発信者IDやスパム保護がいつ有効になっているのか、またどうやって無効にできるのかを明確にし、ユーザーの安全性を高める上でより匿名性の高いデータを使う方法を検討する。

Googleの広報担当者はThe Registerに対し、リース氏とのやり取りは論文に記載されている通りであることを確認しました。「私たちはトリニティ・カレッジの学者や研究者とのパートナーシップやフィードバックを歓迎します。私たちはリース氏のチームと建設的に協力して彼らのコメントに対処してきましたし、今後もそうしていきます」と、広報担当者は述べています。

論文の中では、一連のデータ収集がGDPRに違反している可能性も指摘していますが、法的結論は分析の対象外だと記されています。また、Googleはユーザーがデータ収集をオプトアウトできる方法を導入するとしているものの、このオプトアウトはGoogleが「不可欠」と考えるデータ収集はオフにしないため、一部のデータはオプトアウトを選択した後も収集され続ける可能性があるそうです。

リース氏はGoogle Play Servicesの問題として、「Google Play Servicesに送信されるログデータには、多くの場合個人の身元にリンクされているAndroid IDが含まれているため、データが匿名だとはいえない」「Google Play Servicesによってどのようなデータが、どのような目的で送信されているのかほとんどわかっていない」という2点を挙げました。

AndroidスマホにプリインストールされているGoogle製アプリはユーザーの同意なしにGoogleへデータを送信している - GIGAZINE
https://gigazine.net/news/20220322-androids-google-apps-sending-data/

まぁ そりゃそうだろう
アプリ単体ではなくOSが、Googleのものですから 当然です。
なにをいまさらですが、これは、サービスを瑠葉するためには必要なことでAppleもおなじこと
個人情報を渡す代わりに無料でサービスを受けていると思えば、騒ぐことではない。
また、個人情報がなければ サービスが成り立たないという面もあります。

いやだったら、スマートフォンをすべて捨てることです。

携帯電話だって携帯電話会社が個人を掴んでいるわけですから、携帯電話(ガラ携)も捨てよう。

ハッカーがiPhoneユーザーに悪意あるアプリをインストールさせる手口とは?

2022年03月18日 07時00分

App Storeで配信されるアプリはすべてAppleの厳しい審査を受けており、一般のiPhoneユーザーは基本的にマルウェアアプリから保護されているといえます。昨今、このApp Store以外からユーザーにアプリをダウンロードさせ、iPhoneをマルウェアに感染させる手口が増加しています。

Scammers have 2 clever new ways to install malicious apps on iOS devices | Ars Technica
https://arstechnica.com/information-technology/2022/03/scammers-have-2-clever-new-ways-to-install-malicious-apps-on-ios-devices/

CryptoRom Bitcoin swindlers continue to target vulnerable iPhone and Android users – Sophos News
https://news.sophos.com/en-us/2022/03/16/cryptorom-bitcoin-swindlers-continue-to-target-vulnerable-iphone-and-android-users/

セキュリティ企業のSophosによると、悪意のある攻撃者はアプリのベータ版を配布できるAppleのプラットフォーム「TestFlight」を利用しているとのこと。TestFlightからは未審査のアプリもダウンロードできるため、一般のユーザーにマルウェアアプリなどをダウンロードさせることができます。

ユーザーにアプリをダウンロードさせる手口として増加しているのが、マッチングアプリを利用した「ロマンス詐欺」というもの。マッチングした相手から「仮想通貨の取引を行える」などと呼びかけられ、知らずにマルウェアアプリをダウンロードしてしまうという被害が増えているとのこと。

Sophosは「マルウェアアプリだけでなく、それを本物のように見せるためのウェブサイトも存在することがあります」と警告しています。悪意のある攻撃者は、実在する仮想通貨取引所のBTCBOXに見せかけた以下のようなアプリを作成し、マルウェアを配布したという事例も確認されています。


またSophosによると、ホーム画面に追加したアイコンのデザインを定義するWebクリップを利用し、フィッシングサイトのショートカットアイコンを実際のアプリのアイコンのように見せるという手口も行われているとのこと。

テクノロジー系メディアのArs Technicaは「TestFlightもWebクリップも、知識のあるユーザーは見分けられても、知識の浅いユーザーはだまされる可能性があります。App Store以外からアプリをダウンロードするように促すサイトやメッセージには注意する必要があります」と述べました。

ハッカーがiPhoneユーザーに悪意あるアプリをインストールさせる手口とは? - GIGAZINE
https://gigazine.net/news/20220318-install-malicious-apps-on-ios/

iPhoneユーザーの多くの人は、「iPhoneは安全」という神話を信じていますが、絶対な安全なんてことはありません。
そもそもアプリではなく、自分からやばいサイトや

「ロシアのアンチウイルスソフト・カスペルスキーをインストールしないように」とドイツのサイバーセキュリティ機関が警告

2022年3月3日

ドイツの連邦サイバーセキュリティ機関である連邦情報技術安全局(BSI)は、「メーカーの信頼性に疑問がある」として、ロシア資本のアンチウイルスソフト「カスペルスキー」をインストールしないように警告を発しました。

BSI - Presse - BSI warnt vor dem Einsatz von Kaspersky-Virenschutzprodukten
https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2022/220315_Kaspersky-Warnung.html

Kaspersky Anti-Virus Software Risks Being Exploited by Russia, Germany Warns - Bloomberg
https://www.bloomberg.com/news/articles/2022-03-15/germany-warns-kaspersky-software-risks-being-exploited-by-russia

中略

2017年にはアメリカの国土安全保障省が、BSIと同様の理由で政府機関でのカスペルスキー製品の使用中止命令を出しています。

情報元

「ロシアのアンチウイルスソフト・カスペルスキーをインストールしないように」とドイツのサイバーセキュリティ機関が警告 - GIGAZINE
https://gigazine.net/news/20220316-germany-bsi-warning-kaspersky/

企業とすれば、仮想敵国になりつつあるロシア企業のセキュリティソフトウェアなど使えないのは当たり前

と言っても、日本では、嘘つき企業のLINEを未だに公共機関で使っているぐらいですから、有事には、やられ放題だろう。

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出

2022年3月3日

ロシアを拠点とするランサムウェア攻撃グループ「Conti」の親ロシアな方針を受けて憤った親ウクライナ派のセキュリティ研究者が内部チャットのログ1年分を入手し、「ウクライナに栄光あれ」というメッセージとともにジャーナリストやサイバーセキュリティ研究者に送りつけました。

Conti ransomware gang chats leaked by pro-Ukraine member - The Record by Recorded Future
https://therecord.media/conti-ransomware-gang-chats-leaked-by-pro-ukraine-member/

Conti ransomware's internal chats leaked after siding with Russia
https://www.bleepingcomputer.com/news/security/conti-ransomwares-internal-chats-leaked-after-siding-with-russia/

Ukrainian Researcher Leaks Conti Ransomware Gang Data
https://www.databreachtoday.com/ukrainian-researcher-leaks-conti-ransomware-gang-data-a-18620

Pro-Russia Conti Ransomware Gang Targeted, Internal Chats Leaked
https://www.vice.com/en/article/z3ng84/pro-russia-conti-ransomware-messages-leaked

ランサムウェア攻撃グループのContiが内部チャットのログを盗み出されたのは、今回のウクライナ侵攻に際してリーダーが「ロシア政府を正式にサポートする」という方針を定めたことがきっかけ。当時の発表では、ウクライナに対するサイバー攻撃を支援するほか、ロシアに対するサイバー攻撃を行った組織が現れた場合には、この組織の重要インフラストラクチャに対して反撃を行うという宣言が行われました。

しかし、親ウクライナ派の何者かが上記の宣言を「いかなる政府とも手を組まない」「現在進行中の戦争を非難する」と書き換え……

さらに2021年1月29日~2022年2月27日の全チャットログをジャーナリストやサイバーセキュリティ研究者に送りつけました。このチャットログが届いたというマルウェア研究グループのvx-undergroundによると、送付されたログには「ウクライナに栄光あれ!」というメッセージが同封されていたとのこと。この流出者については報道によって「Contiのウクライナ部署」「ウクライナのセキュリティ研究者」と割れていますが、真相は不明。いずれにせよ「Contiの内部情報にアクセスできる何者か」とされています。

 

このチャットログはContiが用いていたXMPPサーバーのデータベースから抜き出されたもので、セキュリティ企業いわく「本物」とのこと。Contiは2020年7月に操業を開始したため、流出したチャットログが全てではありませんが、20カ月にわたる活動のうち13カ月を網羅しています。

チャットログの内容は多岐にわたるもので、被害者とのやりとりや運営に関する議論、特定のエクスプロイトに関する話題にくわえて、ボットネット「TrickBot」やサイバー犯罪者グループ「Emotet」とのやりとりや、ビットコインウォレットのアドレス、CarbonBlackやSophosなどのセキュリティ企業のツールを突破しようと模索する会話などが含まれており、各国の法執行機関に大きく利するものだと報じられています。

「親ロシアの方針」を掲げたランサムウェア攻撃グループがウクライナ寄りのハッカーの攻撃を食らって内部チャットのログ1年分が流出 - GIGAZINE
https://gigazine.net/news/20220301-conti-ransomware-internal-chats-leaked/

殺傷兵器を持たない武器(ハッキング)が一番ヤバいわけです。
毎日 個人情報を垂れ流しているサイトや、古いバージョンのシステムを放置していたらなんの苦労もなく やられるというわけです。

中国と密接につながったバックドア「Daxin」は「インターネットに直接接続していないデバイス」を乗っ取れることが判明

2022年3月2日

サイバーセキュリティ企業・ノートンライフロックのThreatHunterチームが、アメリカのサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と協力して、インターネットに直接接続されていないセキュリティで保護されたデバイスにリモートアクセスできるようになるマルウェア「Daxin」に関する情報を開示しました。

Broadcom Software Discloses APT Actors Deploying Daxin Malware in Global Espionage Campaign | CISA
https://www.cisa.gov/uscert/ncas/current-activity/2022/02/28/broadcom-software-discloses-apt-actors-deploying-daxin-malware

Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks | Symantec Blogs
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/daxin-backdoor-espionage

Chinese cyberspies target govts with their ‘most advanced’ backdoor
https://www.bleepingcomputer.com/news/security/chinese-cyberspies-target-govts-with-their-most-advanced-backdoor/

New Chinese hacking tool found, spurring U.S. warning to allies | Reuters
https://www.reuters.com/technology/new-chinese-hacking-tool-found-spurring-us-warning-allies-2022-02-28/

CISAによると、「Daxin」はインターネットに直接接続されていないセキュリティ的に保護された状態にあるはずの端末に、リモートでアクセスできるようにするための複雑で検知することが難しいコマンド&コントロール機能を有した高度なルートキットバックドアです。Daxinを利用することで、攻撃者はターゲットネットワークに深く潜り込み、データを盗み出すことが可能となります。なお、ThreatHunterチームによると、Daxinは中国の攻撃者により展開された「最も先進的なバックドアのひとつ」だそうです。

Daxinの特徴のひとつは、マルウェアの世界ではあまり典型的ではない「Windowsカーネルドライバーをターゲットとしたマルウェアである」という点。Daxinは高いステルス性を有しており、それはデータ交換と通常のインターネットトラフィックを組み合わせた高度な通信機能に由来します。

Daxinは攻撃者に侵害されたコンピューターシステムへのリモートアクセスを提供するマルウェアというだけでなく、感染端末からデータを盗んだり、遠隔からコマンドを実行したり、別のマルウェアをインストールしたりすることも可能です。Daxinのようなマルウェアは通常、保護されたネットワークから情報を盗んだり、デバイスをさらに侵害したりするために使用されるため、ネットワークトラフィック監視ツールに検出されることを回避するため、データ転送に暗号化または難読化を施します。一方Daxinの場合、端末上のネットワークトラフィックを監視し、特定のパターンを検出してこれを真似ることでネットワーク監視から逃れるよう設計されているとのこと。そして、ネットワークトラフィックの特定パターンを検出したのち、正当なTCPコネクションをハイジャックすることで、攻撃者はコマンド&コントロールサーバーと通信することが可能となります。DaxinがTCPコネクションをハイジャックすることで、攻撃者は悪意のある通信データを正当なトラフィックに偽装可能となるわけです。

ThreatHunterチームは「DaxinがTCPコネクションをハイジャックすることで、通信のステルス性が高まり、厳格なファイアウォールを使用してネットワーク上に接続を確立することが可能になります。これにより、セキュリティオペレーションセンター(SOC)アナリストがネットワーク上の異常を検出することが難しくなります」と記しています。

また、DaxinはTCPコネクションをハイジャックすることで感染デバイスを増やしていくため、感染源となる端末さえインターネットに接続されていれば、その他の端末がインターネットに接続されていなくても感染を広めることが可能です。他にも、Daxinの内蔵機能は感染した端末に追加のコンポーネントを配置することで拡張できます。この追加コンポーネントは32ビットのサービス識別子を特定ハンドルに関連付けるため、攻撃者はリモートから特定のメッセージを送信することで、このコンポーネントと通信することも可能となります。そのため、Daxinに感染した端末ネットワークの中で複雑な通信経路を確立することもでき、これにより悪意のあるトラフィックの検出が難しく、攻撃者が検知される可能性が「最小限に抑えられてしまう」というわけです。


ThreatHunterチームは、Daxinを用いる攻撃者が中国政府を後ろ盾とするハッキンググループ「Slug(別名:Owlproxy)」と関連することを発見しています。なお、Daxinは2013年に初めて検出されており、その時点で現在と同等の機能を有していたそうですが、しばらくの間はサイバー攻撃に使用された形跡はなかった模様。Daxinが関与する最新のサイバー攻撃は2021年11月に観測されたもので、電気通信・運輸・製造業関連の企業をターゲットとしたものだったそうです。

中国と密接につながったバックドア「Daxin」は「インターネットに直接接続していないデバイス」を乗っ取れることが判明 - GIGAZINE
https://gigazine.net/news/20220302-china-malware-daxin/

もう ここまでくると ネットに繋がっているものは、すべて NGというわけで スマートフォンのセキュリティなんてiPhoneもふくめてざるレベル

狙われないことが一番重要となってくるわけです。

ロシアのウクライナ侵攻でセキュリティ最強の暗号化メッセンジャーアプリ「Signal」の需要が急増

2022年2月26日

ロシア軍によるウクライナ侵攻が始まったことで、高い秘匿性により電子フロンティア財団から「最も秘匿性が高く安全なメッセンジャーアプリ」と評価されたメッセンジャーアプリ・Signalの需要が急増していることが明らかになっています。

Encrypted messaging app Signal saw a spike in Ukraine as Russia invaded
https://mashable.com/article/ukraine-spike-signal-encrypted-messaging-app

Cloudflareの共同創設者兼CEOのMatthew Prince氏が公式Twitterアカウントに投稿した内容によると、「過去24時間でウクライナでのSignalの使用数が急増した」とのこと。

Prince氏がツイートと一緒に公開したのが以下のグラフ。グラフは横軸が時間、縦軸が利用者数を表しています。グラフは2022年2月21日からのメッセンジャーアプリの使用数を示しており、最も人気なのはTelegram(青線)です。しかし、2月24日の0時過ぎからウクライナでのSignal(緑線)の使用数が急増していることがわかります。ロシア軍によるウクライナへの複数拠点への侵攻は2022年2月24日にスタートしているため、このタイミングで多くのウクライナ国民がSignalの利用を開始したということになります。

24日にロシアによるウクライナへの本格的な侵攻がスタートしたと同時に、ウクライナ政府が運営するウェブサイトへの大規模なサイバー攻撃が検知されているため、海外メディアのMashableは「ウクライナへのサイバー攻撃が報告されているため、国民な最も安全なメッセンジャーアプリと考えられているSignalを利用しようとすることは理解できます」と記しています。

ウクライナ政府サイトにDDoS攻撃、さらに数百台のウクライナのマシンにデータ削除を行う新しいマルウェアを発見 - GIGAZINE

Mashableがその後のウクライナでのSignalの使用数についてCloudflareに問い合わせたところ、広報担当者から「Cloudflareが保有しているメッセージングアプリに関するデータは公開している分のみです」と回答があったそうです。それでもCloudflareはウクライナのインターネット状況を監視し続けているそうで、「協定世界時の2月25日6時以降、ウクライナのウェブサイトに対するサイバー攻撃のピークは短くなっており、攻撃件数も大幅に減少しています」とコメントしています。

なお、インターネット通信を傍受されないようにするためにユーザーが取るべき手段は「Signalを利用する」だけではありません。現地時間の2022年2月25日には、匿名通信ツールのTorがウクライナとロシアのインターネットユーザーに向けて、インターネット検閲を回避するための詳細な方法をTwitterで共有しています。

Torは「新たな戦争が進展するにつれ、ウクライナとロシアのジャーナリスト・活動家・人権擁護家は、Torを使用することでオンライン上の監視と検閲から身を守ることができます」とツイートしています。

ロシアのウクライナ侵攻でセキュリティ最強の暗号化メッセンジャーアプリ「Signal」の需要が急増 - GIGAZINE
https://gigazine.net/news/20220226-signal-spike-ukraine-russia-invaded/

 

金融庁 金融機関に対してサイバー攻撃に警戒 ロシア軍事行動

2022年2月24日

昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について

金融庁では、令和4年2月23日、昨今の情勢を踏まえ、下記のサイバーセキュリティ対策の強化について、金融機関への周知を徹底するため、業界団体等を通じて広く金融機関に注意喚起するとともに、仮にサイバー攻撃を受けた場合は速やかに当庁・財務局に報告するよう周知しました。


昨今の情勢を踏まえたサイバーセキュリティ対策の強化について
(注意喚起)

昨今の情勢を踏まえるとサイバー攻撃事案の潜在的なリスクは高まっていると考えられます。
各金融機関等においては、経営者のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、以下に掲げる対策を講じることにより、対策の強化に努めていただきますようお願いいたします。
また、国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。
不審な動きを把握した場合は、速やかに金融庁・財務(支)局の担当部署にご報告ください。続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。

3.インシデント発生時の適切な対処・回復
〇データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。

詳しくは、金融庁のホームページ

金融庁の対応は、素早い それに比べて 他の省庁は、平和ボケ日本そのものである。

現在、軍事行動で他国に侵攻して「核があるぞと脅している」国が、隣にあるというのに平和ボケそのものである。

スパイウェアPegasus、サウジアラビアの女性のiPhoneから手がかりが見つかった

2022年2月15日

サウジアラビアの女性のiPhoneが世界中でハッキングを明らかにした方法

-単一の活動家が、ソフトウェアが政府をハッキングするために使用されたという新たな申し立てに損害を与えたとして、ワシントンで法的措置と精査の連鎖に直面している世界で最も洗練されたスパイウェア企業の1つであるNSOグループに対する流れを変えるのを助けました世界中の役人と反体制派。

それはすべて、彼女のiPhoneのソフトウェアの不具合から始まりました。

事件に関与した6人によると、NSOのスパイウェアの異常なエラーにより、サウジアラビアの女性の権利活動家であるルジャインハズルールとプライバシー研究者は、イスラエルのスパイウェアメーカーが彼女のiPhoneのハッキングを支援したことを示唆する証拠の山を発見しました。彼女の携帯電話内にある不思議な偽の画像ファイルは、スパイウェアによって誤って置き去りにされ、セキュリティ研究者に情報を提供しました。

昨年のアルハズルールの電話での発見は、NSOを守勢に置く法的および政府の行動の嵐に火をつけました。ハッキングが最初に発見された方法は、ここで初めて報告されます。

サウジアラビアで最も著名な活動家の1人であるAl-Hathloulは、サウジアラビアでの女性ドライバーの禁止を終わらせるキャンペーンを主導するのを支援したことで知られています。彼女は国家安全保障を害した罪で2021年2月に刑務所から釈放された。続きを読む

彼女が刑務所から釈放された直後、活動家はGoogleから、州の支援を受けたハッカーが彼女のGmailアカウントに侵入しようとしたことを警告するメールを受け取りました。彼女のiPhoneもハッキングされたのではないかと恐れ、アルハズルールはカナダのプライバシー権グループであるシチズンラボに連絡し、証拠を求めて彼女のデバイスを調査するように依頼したと、アルハズロールに近い3人がロイターに語った。

シチズンラボの研究者であるビルマルザックは、iPhoneの記録を6か月間掘り下げた後、前例のない発見をしました。彼女の電話に埋め込まれた監視ソフトウェアの誤動作により、悪意のある画像ファイル自体が削除されるのではなく、コピーが残ったのです。ターゲットのメッセージを盗む。

彼は、この発見、攻撃によって残されたコンピューターコードは、NSOがスパイツールを構築したという直接的な証拠を提供したと述べた。

翻訳:Google

reuters.com

サウジアラビアの女性の権利活動家のiPhoneからスパイウェア Pegasusの証拠が見つかったためAppleはすぐに対応とおなじくこの開発した企業(イスラエル企業NSOグループを提訴)を訴えました。

噂されてきたことが実証され 裁判へと発展所ていったわけですが、こんなものは、氷山の一角で実は、iPhoneやAndroid、ネットに繋がっているあらゆる機器は、すでに情報を抑えwられているのではないでしょうか?

つながっているということは、入り込まれると同義語で どんなに鉄壁だと思っている対策も使用者の使い方や警戒心のスキをついて入り込んでしまいます。

すでに、守るのではなく、やられたらどう対処すべきかを考えるほうがよいとIT小僧は思っています。

プッシュ通知を出しまくってユーザーのうっかりミスを待つ多要素認証攻撃が続発中

常のID+パスワードの認証にくわえて、SMSやワンタイムパスワード、プッシュ通知など別個の認証をさらに要求する「多要素認証(2段階認証とも)」は、パスワードの盗難などによるアカウント詐取を未然に防いでくれるため、金融機関をはじめとするさまざまなITサービスで急速に普及が進んでいます。そんな多要素認証について、「プッシュ通知を出しまくってユーザーのうっかりミスを待つ」という新たな攻撃手法が「Microsoft Office 365」で続発していると報告されています。

Current MFA Fatigue Attack Campaign Targeting Microsoft Office 365 Users - GoSecure
https://www.gosecure.net/blog/2022/02/14/current-mfa-fatigue-attack-campaign-targeting-microsoft-office-365-users/

プッシュ通知を出しまくってユーザーのうっかりミスを待つ「MFA Fatigue Attack(多要素認証疲労攻撃)」を実演しているムービーが以下。

MFA Attacks: Push Notification Fatigue Demonstration - YouTube

この攻撃は多要素認証における「二段階目」に焦点を当てたもので、一段階目にあたるIDとパスワードは盗み出しているというのが前提。まず攻撃者は、盗み出した攻撃対象のIDとパスワードを使ってMicrosoft Office 365にログインを試みます。

Microsoftのスマートフォン認証アプリ「Microsoft Authenticator」で二段階目の認証を行ってくださいと表示され、スマートフォン側に認証を求めるプッシュ通知が表示されます。

ここでは攻撃者が無断でMicrosoft Office 365のアカウントにログインしようとしているという設定なので、スマートフォン側は「DENY」をタップして、不審なログインを拒否します。

ところがMicrosoft Office 365では何度も何度も二段階目の認証を行うように求めることができるため、繰り返しスマートフォン側に「Microsoft Office 365のサインインを許可してください」という通知を送ることが可能に。後はユーザー側の押し間違いなどのうっかりミスを待つだけです。この攻撃はユーザーを疲労させてミスを誘発させることから、「多要素認証疲労攻撃」と名付けられています。

この攻撃手法について報告したIT系セキュリティ企業のGo Secureによると、多要素認証疲労攻撃の事例は大幅に増加しているとのこと。この攻撃はセキュリティ上の欠陥というよりもヒューマンエラーを突いた攻撃手法ですが、Go Secureは「たいていのユーザーはこのタイプの攻撃に不慣れなので、攻撃であると理解しないまま承認するか、単に邪魔な通知が出てきたという理由で流れ作業的に認証を許可する可能性があります」と述べ、ヒューマンエラーを突く類いの攻撃を「特に有効」と評価しています。

Go SecureはMicrosoft Office 365の管理者に対して、多要素認証の繰り返し試行に制限を設けたり、プッシュ通知による認証自体を制限したりするといった対策を行うように推奨しています。

プッシュ通知を出しまくってユーザーのうっかりミスを待つ多要素認証攻撃が続発中 - GIGAZINE
https://gigazine.net/news/20220217-fatigue-attack-campaign-microsoft-office-365/

これは、えげつない手法だな

スポンサーリンク

ドコモ「迷惑メール展」開催 怪しいメール24点を対処法とともに公開

2022年2月15日

NTTドコモは2月15日、迷惑メールの実例を展示するWebサイト「迷惑メール展」を公開した。「通販」「クレジットカード・銀行」「携帯キャリア」といったジャンルごとに、迷惑メールの文面と手口、対処法を公開している。期間は3月18日まで。

迷惑メールの実例を展示

 

迷惑メール展 presented by docomo
https://www.nttdocomo.co.jp/special_contents/meiwakumailten/

Emotetが再流行 感染していないか「EmoCheck」で確認しよう

2022年2月14日

 2021年1月にユーロポール(欧州刑事警察機構)によって制圧されたマルウェア「Emotet」が再流行しているとして、JPCERT/CCが2月10日に注意喚起した。Emotetに感染していないか不安な人は、JPCERT/CCが公開しているツール「EmoCheck」で感染の有無を確認しよう。

photo
「EmoCheck」のダウンロードページ 「emocheck_v2.0」が本体
EmoCheckはJPCERT/CCが2020年2月にGitHubで公開した、Emotetの感染有無を確認できるシンプルなツール。GitHubの配布ページから「emocheck_x86.exe」か「emocheck_x64.exe」をダウンロードし、調べたい端末上でファイルを実行するだけで「Emotetのプロセスが見つかりました」「Emotetは検知されませんでした」と結果を表示する。

感染を確認した場合は、EmoCheckの画面上に「プロセス名:certreq.exe」「イメージパス:(フォルダの場所)」などと表示。ユーザーは、タスクマネージャーを開いて「certreq.exe」などEmoCheckで表示されたプロセスを強制終了し、イメージパスで提示された場所にある実行ファイルを削除することでEmotetを端末から駆逐できるという。

photo
EmoCheckの出力画面 プロセス名が実行ファイルの名前、イメージパスが実行ファイルの保存場所
Emotetはメールを介して感染を広げるマルウェア。2月10日までにクラシエグループやライオン、積水ハウスグループ、リコーグループのリコーリースなどで感染が確認され、JPCERT/CCが注意喚起している。

ITmedia
https://www.itmedia.co.jp/news/articles/2202/14/news084.html

 

Zoomで「マイクが自動的にオンになって勝手に録音が始まる」

2022年2月10日

オンラインビデオ会議ツール「Zoom」を使用しているMacユーザーから「マイクが自動的にオンになって勝手に録音が始まっている」という報告が相次いでいます。第一報がもたらされたのは2021年12月ですが、同様の報告は2022年2月まで続いています。

Why is the Zoom app listening on my microphone whe... - Zoom Community
https://community.zoom.com/t5/Meetings/Why-is-the-Zoom-app-listening-on-my-microphone-when-not-in-a/td-p/29019

Zoomの公式フォーラムに投稿された、この問題の第一報が以下。内容は「macOS MontereyでZoomを使っているのですが、マイクがアプリによって使用されていることを示すアイコンが点灯し、コントロールセンターで調べてみるとZoomが原因だったと判明するという流れがここ数週間で複数回続いています。この問題が生じた時はZoomでミーティングをしているというわけではなく、単にZoomアプリを開いているだけです。なぜミーティング中でないにもかかわらず、Zoomがマイクにアクセスするのでしょうか?」というもの。

報告によると、この問題はアプリの再起動で直るとのこと。Zoomがリリースノートで主張しているように単にアイコンが勝手に点灯しているだけなのか、実際にマイクに対して何らかのアクセスが行われているのかは不明です。

Zoomで「マイクが自動的にオンになって勝手に録音が始まる」という事例が公式フォーラムに多数投稿される - GIGAZINE
https://gigazine.net/news/20220210-zoom-app-listening-microphone-mac/

macOSを使っている人は、すぐアップデートしましょう。
Release notes for macOS
https://support.zoom.us/hc/en-us/articles/201361963

「Photoshop」、「Illustrator」、「After Effects」などに致命的な脆弱性

2022年2月8日

 米Adobeは2月8日(現地時間)、同社製品に関するセキュリティ情報を発表した。今回は「Photoshop」や「Illustrator」、「After Effects」など5製品が対象となっている(括弧内はCVEベースでの脆弱性の件数と最大深刻度)。

APSB22-06:Adobe Premiere Rush(1件、Moderate)
APSB22-07:Adobe Illustrator(13件、Critical)
APSB22-08:Adobe Photoshop(1件、Critical)
APSB22-09:Adobe After Effects(1件、Critical)
APSB22-11:Adobe Creative Cloud Desktop(1件、Critical)
パッチの適用優先度はすべて「3」(各自の裁量で適用を推奨)。同社の公開したセキュリティアドバイザリを参照しながら、できるだけ早めに修正版へのアップデートを実施したい。

Impress Watch 2022年2月9日

FBIがGoogleに「特定地域を通過した全Androidデバイスの情報提供」を求めたことが発覚

2022年2月7日

スマートフォンの位置情報はさまざまなアプリやサービスを使用する上で役に立ちますが、一方で位置情報の取り扱いがプライバシーを脅かしているという指摘も存在します。新たに、ブラック・ライヴズ・マター運動に関連する捜査において、アメリカ連邦捜査局(FBI)が「特定地域を通過した全Androidデバイスの情報」をGoogleに求めたことが報じられました。

Seattle-FBI-geofence-warrant-Oct-2020 - DocumentCloud
https://www.documentcloud.org/documents/21197805-seattle-fbi-geofence-warrant-oct-2020

FBI used geofence warrant in Seattle after BLM protest attack, new documents show - The Verge
https://www.theverge.com/2022/2/5/22918487/fbi-geofence-seattle-blm-protest-police-guild-attack

2020年8月23日、アメリカ・ウィスコンシン州で黒人男性のジェイコブ・ブレーク氏が警察官による背後からの銃撃を受け、内臓や脊髄を損傷する重傷を負いました。事件発生直後からアメリカ各地で抗議デモが行われ、翌日にはワシントン州シアトルの警察官組合本部に火炎瓶が投げ込まれる事件が発生。幸いにも本格的な火災には至りませんでしたが、シアトル警察は放火未遂事件として捜査を開始しました。

何者かが建物に火炎瓶を投げつける様子は、以下のムービーで確認できます。


2022年2月3日に公開された文書からは、「火炎瓶が投げ込まれた前後の時間帯に周辺地域を通過した全Androidデバイスの情報」の開示を求め、FBIがGoogleに対して「ジオフェンス令状」を使用したことが明らかになっています。ジオフェンスとは仮想的な境界で囲まれたエリアを指す言葉で、スマートフォンなどの位置情報を使えば一定のジオフェンス内に立ち入った人物を特定することができます。

FBI捜査官は宣誓供述書の中で、「2020年8月24日の午後11時頃、未特定の容疑者2人が即席の発火装置とみられる物体を用いて、シアトル警察官組合の建物を故意に損害を与えました」「上記に基づいて、Googleが現在保有している情報や、対象地域内にあると報告された端末に関連した情報を検索する、正当な理由があると主張します」と述べました。

FBIのジオフェンス令状はGoogleに宛てられたものであり、GPSや可視化されたWi-Fi接続ポイント、Bluetoothビーコンを含む位置情報に基づいたデータ提供を求めています。FBIが指定したジオフェンスは緯度や軽度に基づく座標・日付・時刻によって定義されており、地理的範囲は警察官組合の建物を含むブロックやその周囲に位置する4つの交差点を含んでいて、期間は2020年8月24日22時~23時15分となっていました。


Googleは一般的に、ジオフェンス令状において指定された範囲内を通過したAndroidデバイスについて、匿名化された状態のリストを法執行機関に提供しており、これらのデバイスのいずれかが事件に関係している可能性が高まった場合、法執行機関はさらに詳細な情報を引き出すことができるそうです。裁判所記録によると、シアトル警察官組合本部の放火未遂事件に関する捜査でも、Googleは令状が出た翌日にリストを提供したとのこと。

海外メディアのThe Vergeは、FBIはジオフェンス令状を出してから数カ月後の2021年4月に事件の情報を求めて2万ドル(約230万円)の報奨金を出したことを指摘し、令状に基づいて提供されたAndroidデバイスの情報は犯人逮捕につながらなかったと述べています。

Googleの広報担当者はThe Vergeに対し、「私たちは法執行機関の重要な仕事をサポートしながら、ユーザープライバシーを保護するように設計された厳格なプロセスを持っています」とコメント。一方、FBIやシアトル警察の広報担当者は、The Vergeのコメント要請に応じませんでした。

ジオフェンス令状の使用は近年急速に増加しており、Googleが2018年に受け取ったジオフェンス令状はわずか982件だったのに対し、2020年は1万1554件と10倍以上に増加しているとのことです。

FBIがGoogleに「特定地域を通過した全Androidデバイスの情報提供」を求めたことが発覚 - GIGAZINE

これは、いくらなんでも やるすぎだろ

じゃ iPhoneなら安全だ

と思いのあなた

スパイウェア「Pegasus」と同様のiPhone向けゼロクリックエクスプロイトが別のイスラエル企業にも使われていた

北京オリンピックのアプリじゃなんだから・・・
すでに社会主義とか共産主義とか独裁政権とか 全く関係無しで当局に監視される時代になっているのである。

メタップスペイメント クレジットカード決済システムが不正アクセスを受け、情報が流出した可能性があると発表

2022年2月1日

メタップスペイメントは2022年1月25日、クレジットカード決済システムが不正アクセスを受け、情報が流出した可能性があると発表した。

不正アクセスに関するおわび

 

同社は2021年12月14日、クレジットカード会社からイベントペイにおいて不正利用の懸念があると連絡を受けた。社内調査ではシステムの問題を発見できなかったが、12月16日にイベントペイの決済を停止し、12月17日に第三者機関によるフォレンジック調査を始めた。

さらに12月28日から2022年1月5日にかけて会費ペイなどイベントペイ以外の3つの決済サービスも停止した。会費ペイなどの決済サービスを利用する企業は2021年の年末から2022年の年始にかけて、クレジットカード決済を一時中止すると相次いで発表した。

日経XTECH

決済システムの「トークン方式」が狙われたためデータベースに格納した一部の情報にアクセスされ、情報が流出した可能性が高い
とコメントされています。

キャリアインキュベーション ソフトウエアの脆弱性からサーバーを改ざん

2022年2月1日

 キャリアインキュベーションは2022年1月13日、2021年11月26日に公表した不正アクセス被害の最終報告を発表した。サーバー内に保管されていた個人情報流出の可能性を否定できないが、その可能性は極めて低いと結論付けた。

転職サイトへの不正アクセス被害について
(出所:キャリアインキュベーション)
流出した可能性があるのは、同社が運営する転職求人サイトにおいて、2016年10月2日から2021年11月24日までに応募フォームで登録した人と、2014年5月から7月の商社相談会に申し込んだ人の合計6074人の個人情報。名前や勤務先、年収、生年月日、卒業大学/大学院、住所、メールアドレス、電話番号、希望する職種などが含まれる。

日経XTECH

原因は、Webサイトで利用するソフトウエアの脆弱性によるものでサーバーが改ざん、個人情報にアクセスできる状態になっていた。

銀行預金を全て奪った後にスマホをリセットしてくるマルウェアが登場

2022年1月31日

Androidで3年近く猛威を振るってきたリモートアクセス型トロイの木馬「BRATA」がパワーアップしました。新たに登場したBRATAの亜種は、銀行預金を全て奪い去った上にスマートフォンを工場出荷時の状態に戻す機能が確認されています。

How BRATA is monitoring your bank account | Cleafy Labs
https://www.cleafy.com/cleafy-labs/how-brata-is-monitoring-your-bank-account

Android malware can factory-reset phones after draining bank accounts | Ars Technica
https://arstechnica.com/information-technology/2022/01/android-malware-can-factory-reset-phones-after-draining-bank-accounts/

BRATAは2019年1月にセキュリティ大手のKasperskyが最初に報告したAndroid向けマルウェア。当時確認されていた機能は、スクリーンショットの撮影やロック解除、デバイス情報の窃取、アプリケーションの起動/アンインストール、テキストの送信などで、主にブラジルを中心で拡大したことから「Brazilian Remote Administration Tool Android(ブラジルのAndroid向け遠隔操作ウイルス)」の頭文字を取って「BRATA」と命名されました。

そんなBRATAに関する最新の報告で、「銀行アプリから預金を盗み出す」「スマートフォン自体を工場出荷時の状態に戻して証拠を全て抹消する」という機能が追加されていることが明らかになりました。セキュリティ企業のCleafyは2021年12月に「BRATA.A」「BRATA.B」「BRATA.C」という3種類の亜種を検出しており、BRATA.AはGPS追跡機能とスマートフォンを工場出荷時にリセットする機能を、BRATA.Bは前述の機能に加えて銀行のログイン情報をキャプチャして窃取する機能を、BRATA.Cは悪意のあるマルウェアを後にインストールさせる踏み台として機能する機能が備わっていることが確認されています。

最も脅威度が高いとされるBRATA.Bにおいては、感染したスマートフォンで銀行アプリを操作するとキー入力が全て送信されてしまうことが確認されており、盗み出した情報を使って銀行預金の無断送金が完了した際にはファクトリーリセットを作動させる仕組みまで仕組まれているとのこと。なお、BRATA.AとBRATA.Bに搭載されているGPS追跡機能は発表時点では「どのような意図があるかは不透明」とのことで、Cleafyは「後にGPS追跡機能を活用した悪意のある機能が追加されるのでは」と予想しています。

2019年に確認された元祖BRATAはGoogle Playやサードパーティのアプリストアで拡散していましたが、新型BRATAはこうしたアプリストアではなく銀行からの警告を装ったフィッシングメッセージを介して拡散しているとのこと。前述のように元祖BRATAはブラジルで広まったマルウェアでしたが、BRATA.Bはイギリス・ポーランド・イタリア・ラテンアメリカの銀行や金融機関で作動するようになっていることから、対応地域を増やしつつあると示唆されています。

銀行預金を全て奪った後にスマホをリセットしてくるマルウェアが登場 - GIGAZINE
https://gigazine.net/news/20220131-android-malware-factory-reset-bank-accounts/

これは、かなりヤバい

新型BRATAはこうしたアプリストアではなく銀行からの警告を装ったフィッシングメッセージを介して拡散

メールを開くときは、送信元を必ず確認しよう

「北京オリンピック公式アプリはアスリートの音声データなどを収集する」と研究者が指摘

2022年1月28日

2022年2月に開催される北京冬季オリンピックでは、新型コロナウイルス感染症(COVID-19)のワクチン接種や健康状態を把握するため、専用の健康管理アプリ「MY2022」のインストールが参加者全員に義務づけられています。ところが、MY2022をリバースエンジニアリングしたセキュリティ研究者が、「My2022は音声データを含むさまざまなデータを収集し、中国のサーバーに送信する」と報告しています。

GitHub - jonathandata1/2022_beijing: Decompiled 2022 Beijing iOS & Android Apps
https://github.com/jonathandata1/2022_beijing

Mandatory Olympics iOS and Android apps are spying on athletes for China | AppleInsider
https://appleinsider.com/articles/22/01/28/mandatory-olympics-ios-and-android-apps-are-spying-on-athletes-for-china

Beijing spy games: watch out for the application of the Olympics! - The Switzerland Times
https://www.theswitzerlandtimes.com/beijing-spy-games-watch-out-for-the-application-of-the-olympics/

北京冬季オリンピックに出場する選手や出席者は中国へ入国する14日前に、MY2022という公式アプリをスマートフォンにインストールすることが義務づけられています。MY2022はワクチン接種状況や健康状態をモニタリングしてCOVID-19の広がりを抑制するという目的に加えて、現地のイベントや天気、関心のある物事に関する情報を提供するハブとして機能するように設計されているとのこと。

MY2022について分析したトロント大学の学際的研究機関「Citizen Lab」は、MY2022にはセキュリティ上の欠陥があり、ユーザーの音声や転送ファイルを保護する暗号化が簡単に回避されてしまうと報告しました。また、Android版のMY2022には新疆ウイグル自治区やチベット、政治、犯罪、ポルノ、宗教などに関する2422語の「検閲用のワードリスト」が含まれていたこともわかっています。なお、調査時点では検閲用キーワードリストは利用されていなかったそうです。

2022年北京五輪の選手用アプリには重大なセキュリティの欠陥があることが判明、キーワード検閲リストも発見される - GIGAZINE

 

そんな中、アメリカのセキュリティ研究者であるジョナサン・スコット氏は、MY2022をリバースエンジニアリングして分析した結果をTwitterやGitHubで報告しています。スコット氏は、「逆コンパイルされた2022年オリンピック用のiOSおよびAndroidアプリがGitHubで利用可能になりました。AppleのApp Storeでは『データ収集なし』と主張しているにもかかわらず、中国によるデータ漏えいの証拠があります。このリポジトリは、私がリリースする完全なレポートと直接関係しています」と、#spyware(スパイウェア)というタグ付きでツイートしました。

スコット氏によると、2022年1月22日の時点ではApp StoreのMY2022ページにおいて「Data Not Collected(データ収集なし)」と記されていたものの、1月24日には連絡先情報を収集するという表記に変わっていたとのこと。

MY2022を分析したスコット氏は、「全てのオリンピック選手の音声が収集され、分析され、中国のサーバーに保存されていると断言できます」と主張しています。このプロセスには中国の国営音声認識AI企業・iFlytekの技術が使われているとのことですが、iFlytekは中国国内のイスラム教徒弾圧に関与しているとして、アメリカ政府によってブラックリストに登録されています。

アプリユーザーが同意するプライバシーポリシーにも、音声情報やスマートフォンにインストールされたアプリの情報が、iFlytekによって収集されると記されています。しかし、App Storeのページではこれが明記されていないとのこと。

MY2022はスマートフォンの脆弱性などを突いてバックグラウンドで動作するのではなく、マイクにアクセスするためにフォアグラウンドの状態を維持する仕組みになっているとのこと。

また、Android版のMY2022では、カレンダー・カメラ・連絡先・マイク・ストレージなどへのアクセス許可のほか……

ファイルのダウンロードやスクリーンロックの解除についての許可を求める可能性があるとのことで、マックス氏は「残念ながらGoogleは、あなたのデバイスに永続的なバックドアを作ることをMY2022アプリに許可しました」と述べました。

中国によるスパイ活動への懸念から、以前からオランダはスマートフォンやPCを中国へ持ち込まないよう選手に要請していたほか、アメリカやカナダも自前のスマートフォンを使うのではなく、プリペイド式や使い捨てのデバイスを使うように推奨しています。

「北京オリンピック公式アプリはアスリートの音声データなどを収集する」と研究者が指摘 - GIGAZINE
https://gigazine.net/news/20220128-my2022-beijing-olympics-apps-spying-athletes/

ホテルでも選手村でも 監視されるのが当たり前の中国ですから、アプリぐらい当たり前といえば当たり前

App StoreのMY2022ページにおいて「Data Not Collected(データ収集なし)」

そんなわけ無いでしょう。

Linuxでルート権限を自由に取得できる脆弱性が発覚

2022年1月27日

Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家

Linuxに12年前から存在する脆弱性「PwnKit」が新たに明らかになり、主要なLinuxディストリビューションのほとんどに影響が及ぶことがわかりました。エクスプロイトは概念実証の段階ですが、「悪用されるのは時間の問題」とみられています。

PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog
https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-403

A bug lurking for 12 years gives attackers root on most major Linux distros | Ars Technica
https://arstechnica.com/information-technology/2022/01/a-bug-lurking-for-12-years-gives-attackers-root-on-every-major-linux-distro/

このエクスプロイトはLinuxの特権管理ツールキット「Polkit(PolicyKit)」を利用するもの。特権管理プログラムとしてはsudoも広く使われていますが、全てのプロセスにルート権限を与えるsudoとは異なり、Polkitはより細かいレベルでシステムのポリシーを制御できることを特徴としています。

セキュリティ企業のQualysは新たな調査により、悪意ある攻撃者がPolkitを使用し、pkexecコマンドを実行することでルート権限を自由に取得きることを発表しました。問題となる脆弱性「CVE-2021-4034」は2009年5月以降にリリースされた全てのバージョンのpkexecに含まれているとのこと。研究チームは、脆弱性について独自に検証しエクスプロイトを開発することにより、Ubuntu、Debian、Fedora、CentOSの全てで完全なルート権限の取得に成功しており、「他のLinuxディストリビューションにもおそらく脆弱性がありエクスプロイトが実行可能」と述べています。

PwnKitと呼ばれるこの脆弱性の詳細は、以下のムービーから確認できます。

Qualysの脆弱性脅威調査ディレクターであるBharat Jogi氏は、エクスプロイトは脆弱性があるマシンでのローカル認証アクセスが必要であり、リモートでは実行できないと述べています。

研究チームは脆弱性を確認後すぐに、オープンソースのディストリビューション開発元やベンダーに連絡したとのこと。一方で、Qualysはユーザーへの悪影響を鑑み、概念実証されたエクスプロイトのコードを公開していません。ただし、研究者はPwnKitが悪用されるのは時間の問題だと考えています。

Linuxでルート権限を自由に取得できる脆弱性が発覚、「悪用されるのは時間の問題」と専門家 - GIGAZINE
https://gigazine.net/news/20220127-linux-polkit-bug-gives-attackers-root/

どんなシステムでも脆弱性は、絶対にあります。
しかし、Linuxの場合だとすると非常にやばいことになる。

北朝鮮のインターネットがDDoS攻撃でダウン

2022年1月27日

2022年1月26日、北朝鮮のインターネットがおよそ6時間にわたって遮断されていたことが明らかになりました。調査によりDDoS攻撃が行われた可能性が指摘されています。

さまざまな北朝鮮のサーバーを監視しているセキュリティ専門家のJunade Ali氏によると、2022年1月25日に北朝鮮が飛翔体を発射したあと、北朝鮮との間のすべてのトラフィックが遮断されたとのこと。およそ6時間後にメールサーバーに再接続できたものの、北朝鮮の外務省や、公式ポータルサイトのNaenaraといったウェブサイトは、しばらくのあいだダウンし続けていました。

北朝鮮についてのニュースを掲載するNK Proも、「北朝鮮のDNSがデータパケットがたどるルートの通信を停止したことにより、北朝鮮のほとんどのウェブサイトにアクセスできない」と報告していました。

Ali氏は「複数のサーバーが同時に停止していたことから、大量のデータトラフィックでサーバーに負荷をかけるDDoS攻撃が行われた可能性があります」と指摘。「1台のサーバーが一定期間オフラインになることはよくありますが、サーバーすべてがダウンしてネットワークが遮断されることはまれです」と述べました。

北朝鮮のインターネットがDDoS攻撃でダウン - GIGAZINE
https://gigazine.net/news/20220127-north-korea-internet-downed/

あれ? これって いつも彼らがやっていることじゃないの?

冗談はともかく、北朝鮮のインターネットなんて市民が使えないわけですから、社会的には影響なし

ということでしょうか?

データを盗んでスマホを初期化、Android向けウイルス「BRATA」にご注意

2022年1月27日

データを盗んでスマホを初期化、Android向けウイルス「BRATA」新種がGPS追跡やスクショ盗撮など凶悪すぎる進化を遂げてしまう

世界で最も利用者の多いOSとなったAndroidに凶悪すぎるウイルスの新種が現れました。

安心できるアプリ以外はダウンロードしない方が良さそうです。詳細は以下から。

海外メディアの報道によると、かつてAndroid向けに猛威を振るったリモートアクセス型トロイの木馬「BRATA」の新種が登場したそうです。

新種の1つ「BRATA.A」はGPS追跡機能やスマホを工場出荷時にリセットする機能を追加したほか、「BRATA.B」は同じ機能に加えて銀行のオンラインサービスへのログイン情報をキャプチャすることが可能に。

さらにユーザー補助機能を悪用して画面に表示されている情報をスクリーンショットできるため、『情報を盗み取った挙げ句にスマホが初期化される』という、身も凍るような事態を招いています。

なお、新種の恐ろしいポイントがアンチウイルスサービスなどを回避してしまうところ。

最も有効な対策として「アプリにユーザー補助や管理者権限を与えない」「ある程度信頼できるアプリ配信プラットフォーム(Playストアなど)を使い、不審なアプリはダウンロードしない」などが挙げられます。

イギリス、ポーランド、イタリア、スペイン、中国、ラテンアメリカなどで流行中のBRATA新種。万が一、日本向けの亜種が出てしまった時のことを考えて用心しておくに越したことはありません。

データを盗んでスマホを初期化、Android向けウイルス「BRATA」新種がGPS追跡やスクショ盗撮など凶悪すぎる進化を遂げてしまう

 

このような状況にならないためには、GooglePlayとかdocomoが運営しているスゴ得のような、公的なアプリ以外をダウンロードしてはならない。
ということになります。

AirTag絡みの問題が増えている

2022年1月25日

AirTag Apple社が販売している忘れ物タグのことです。
スマートタグとも呼ばれるこの種類のものは、Appleより以前に多数出ているので 今更感がありますが、AirTag絡みの事件が多くなってきました。

勝手にコートに入れられ…「AirTag」による犯罪被害に女性が注意喚起

デジタル化が進み、便利なアイテムが続々と発売される昨今。2021年4月には、Apple社が鍵や財布などの持ち物を追跡できる「AirTag」を発売し話題に。一見便利に思えるガジェットだけれど、今この紛失防止タグを使った被害が多く報告されています――。

鍵や財布、カバンなどの持ち物を追跡できる「AirTag」。幅わずか1.26インチ(約3.2センチ)の小さなサイズで、iPhoneの「探す」機能と同期して使うことができ、持ち物を探し出してくれるという便利なアイテムの一つとして注目されています。

そんな便利に思えるAirTagですが、実は欧米では、ストーカー行為や盗難、さらには誘拐未遂などの犯罪目的で使用されているとの報告が相次いでいるんだそう。「コートのポケットや車の中に、身に覚えのないAirTagを発見した」という声が多数寄せられているといいます。

Getty Images

今年1月6日(現地時間)、モデルのブルックス・ネイダーさん(25歳)は自身のInstagramストーリーズで、「AirTag追跡の標的にされた」という経験をシェア。

0時を迎える前に、ニューヨーク市のトライベッカ地区のレストランから一人で帰宅していたブルックスさんは、自身のスマホから「誰かがあなたを追跡しています」との通知を受け取ったそう。彼女がいたレストランは混雑しており、椅子の後ろにコートをかけていたため、その際に見知らぬ人にAirTagを入れられたのではと推測しているとのこと。

「自分の身に降りかかるまで、AirTagにこんな使い方があることを知りませんでした。だから私は、自分の持ち物から目を離さないでほしい、通知をしっかり確認してほしいと女性たちに注意を促しているのです」

「唯一の救いだったのは、誰かが私を追跡しているという通知が来たことです」
また昨年12月には、メリーランド州に住む女性が、「車の助手席側のホイールの下にAirTagが取り付けられていた」と自身のTwitterでシェアしたことも。

「夜中の2時で、周りに車がいない状態で運転していたら、この通知が30分くらいで続けていたんです」

<The New York Post>によると、上記の通知には「AirTagがあなたと一緒に移動していることが見つかりました。このAirTagの場所は、デバイスの所有者によって発見することができます」との記載があったといいます。

Apple社のホームページによると、ブルックスさんとジーナさんのときにも見られたように、AirTagにはプライバシー機能が組み込まれているとのこと。

「見知らぬ人からの追跡を防ぐために、iPhoneの『探す』機能は見知らぬAirTag、または他の『探す』ネットワーク対応アクセサリーが時間の経過と共に移動していることが発見された場合、通知するようになっています」

この通知を受け取った場合、通知をタップして[続行]を選択。これにより「サウンド再生」のオプションが表示され、音が鳴るとAirTagが設置されている場所を特定するのに役立つそう。

また同じように、長時間持ち主が不明なAirTagは、勝手に音が鳴るようになっているんだとか。Androidユーザーの場合、「Tracker Detect」というアプリをインストールすれば、AirTagまたは近くの他の追跡デバイスを感知することができるとのこと。

AirTagの所有者まで遡ることは可能?
各AirTagにはシリアル番号があり、これを使用してApple社と法執行機関は、登録ユーザーを特定することができます。

シリアル番号が確認できる3つの方法
1.iPhoneの「探す」アプリを開き、感知されたAirTagの名前をタップするとシリアル番号が表示される。

2.AirTagの白い面をスマートフォンの近くに持っていくと通知が届き、タップするとシリアル番号が表示される。

3.AirTagのステンレス面を指で押し込みながら、ロックが外れるまで反時計回りにまわして、バッテリーカバーを取り外す。取り外したバッテリーには、シリアル番号が印字されている。

日頃から自分の持ち物に身に覚えのないものが入っていないか確認し、万が一通知を受け取った場合は、冷静に対応しましょう。
YAHOO!ニュース 1/20(木) 20:08配信

ちょっと考えれば 犯罪に使われることは、容易にわかります。
住所の特定などに使われことは、わかりきっていること
とくに日本では、iPhoneのシェアが50%程度あるのですから

もっとバカな仕様は、Apple(iPhone専用)なので、iPhoneを持っていない人は気が付かないということ
(音を出すなら 爆音にしないと クルマに仕掛けられたら絶対にわからない)

悪用されることがおおくなってきたApple社は、あわててこんなツールをAndroidユーザー向けに提供

Tracker Detect

しかし

AirTagの機能を使えないのに バッテリーを消費するだけのアプリなど好き好んでインストールするバカはいない。

こんな意見がアプリのコメント欄に記載されていた。

「 自社でストーキングツールを売って、そのストーキングツールから逃れたかったらアプリをインストールしろとかありえない。」

「アプリが英語対応」

米国の訴訟逃れ対応ツールということが想像できるだろう。

こちらは、事件ではありませんが、今後多くなると思われます。

信頼の置けない引っ越し業者を追跡するためにAirTagを家財に忍ばせるという行為が話題に

Appleの落とし物トラッカー「AirTag」は、シンプルな操作で手軽に大事な物の位置情報を追跡できる小型デバイスです。そんなAirTagを「信頼の置けない引っ越し業者を追跡する」ために用いる手法がアメリカで広がりを見せています。

Army wife uses AirTag hack to track her movers while PCSing
https://www.militarytimes.com/the-home-front/2022/01/12/army-wife-uses-airtag-hack-to-track-her-movers-while-pcsing/

Army spouse uses Apple AirTag to track down shady moving truck driver
https://taskandpurpose.com/news/army-airtag-moving-company/

AirTagで引っ越し業者を監視する手法について報じたのは、アメリカ軍関係者向けの報道組織のMilitary Timesです。Military Timesによると、アメリカ軍に所属する軍人につきものなのが「大がかりなのに雑な引っ越し」で、配属先によっては国境どころか大陸をまたがる形で移動しなければならないにもかかわらず、送った荷物の一部が別の場所に運ばれることがしょっちゅう発生するとのこと。

そんな雑な引っ越しを4度も経験したヴァレリー・マクナルティ氏が考案したのが「AirTagを活用する」という方法です。マクナルティ氏はアメリカ中西部に位置するコロラド州から東部に位置するニューヨーク州に異動を命じられた際、AirTagを子どものオモチャを収めた段ボールに忍ばせ、引っ越し業者に託しました。

引っ越し業者は金曜日に配送を完了する予定でしたが、当日になってからマクナルティ氏に「お届けは日曜日になります」と伝えてきただけでなく、さらにその数時間後には「コロラド州で荷物を受け取ったばかりで、お届けは最短でも月曜になるとドライバーから連絡がありました」と通達してきたとのこと。

しかし、この通達は事実と反するものでした、マクナルティ氏が荷物に仕込んだAirTagから得られた情報によると、問題の荷物はコロラド州ではなく、「ニュージャージー州」に届けられていました。引っ越し業者が伝達したコロラド州はマクナルティ氏が荷物を送った州ですが、ニュージャージー州は目的のニューヨーク州の南隣の州。つまり、引っ越し業者は荷物の現在地についてかなり適当なことを伝えてきたわけです。

この件についてマクナルティ氏が電話で指摘したところ、引っ越し業者はいったん電話を切り、数分後に「お届けは最短で日曜日になると思います」とかけ直してきたとのこと。

その後の調査によって、引っ越し業者のコーディネーターもドライバーの現在地をつかめていなかったばかりか、ドライバーが目的地のはるか南にいたのも何かのトラブルなどではなく「単に妻に会いに行った」だけだったと発覚。マクナルティ氏は「AirTagがなければもっと待たされるところでした」と振り返っています。

こうしたトラブルを経つつマクナルティ氏の荷物の大部分は無事到着したそうですが、まだ高額品を収めた段ボール数点が届いていないとのことで、マクナルティ氏は「虚偽の申告をして荷物を盗む人がいます」と、軍の引っ越しプロセスを改善するように求めています。

なお、以上の事例のようにAirTagを盗難防止に使うという事例は他にも報告されていますが、近年はAirTagを悪用してストーキングに使うという手口も増加の一途をたどっています。身の回りの不審なAirTagを見つける方法についてはAppleが公式ガイドラインを公開し、iPhoneの「探す」を使った検出方法を解説しています。

AirTag や「探す」ネットワーク対応アクセサリを所持しているという通知が表示された場合の対処法 - Apple サポート (日本)

https://support.apple.com/ja-jp/HT212227

Apple社は、こういう状況になることは、想像できなかったのだろうか?
性善説では、ネット社会では、生きられない。

90以上のWordPressのテーマとプラグインにウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていた

2022年1月24日

ネット上に存在する全ウェブサイトのうち43.3%で利用されているというブログソフトウェア・WordPressにおいて、合計90以上のテーマやプラグインに、ウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていたことがわかりました。

Backdoor Found in Themes and Plugins from AccessPress Themes
https://jetpack.com/2022/01/18/backdoor-found-in-themes-and-plugins-from-accesspress-themes/

AccessPress Themes Hit With Targeted Supply Chain Attack
https://blog.sucuri.net/2022/01/accesspress-themes-hit-with-targeted-supply-chain-attack.html

Over 90 WordPress themes, plugins backdoored in supply chain attack
https://www.bleepingcomputer.com/news/security/over-90-wordpress-themes-plugins-backdoored-in-supply-chain-attack/

Supply chain attack used legitimate WordPress add-ons to backdoor sites | Ars Technica
https://arstechnica.com/information-technology/2022/01/supply-chain-attack-used-legitimate-wordpress-add-ons-to-backdoor-sites/

WordPressではウェブサイトの見た目を変えるテーマや拡張機能を提供するプラグインをインストールして、自身のウェブサイトを自由にカスタマイズすることができます。WordPressを使うウェブサイトのセキュリティおよび最適化ツールを開発するJetpackの研究者らは、AccessPressという企業が提供するWordPressのテーマやプラグインに、ウェブサイトへのアクセス権を不正に取得できるバックドアが仕込まれていたと発表しました。

今回バックドアが見つかったのはAccessPressが配布する40のテーマと53のプラグインであり、これらは36万以上のアクティブなウェブサイトで使用されているとのこと。Jetpackの研究者は、攻撃者が2021年9月前半にAccessPressのウェブサイトを侵害してバックドアを仕込んだと考えており、AccessPressの公式ウェブサイトやミラーリングサイトから、バックドアを含むテーマやプラグインがインストール可能だったと述べています。

悪意のあるPHPコードが含まれたテーマやプラグインがインストールされると、メインテーマディレクトリに「initial.php」ファイルを追加し、これをメインの「functions.php」ファイルに含めるとのこと。「initial.php」ファイルはバックドアをエンコーディングする機能を持っており、「wp-includes/vars.php」にバックドアのコードを書き込むと、あらかじめ仕込まれていた自己破壊関数によって自動で消滅する仕組みです。

自動消滅機能によってこのマルウェアは検出されにくくなっていますが、ウェブサイトがコアファイルの整合性を監視するセキュリティプラグインを使用している場合は、「vars.php」ファイルが変更されたことがわかるため検出できるとのこと。

AccessPressで見つかったバックドアを調査したセキュリティ企業・Sucuriによると、今回のバックドアに関連して見つかったマルウェアはスパムや詐欺サイトへのリダイレクトを提供する程度であり、それほど洗練された攻撃は行われていなかった模様。しかし、バックドアを仕込んだ犯罪者がダークウェブ上で「バックドアでアクセスできるウェブサイトのリスト」を販売した可能性も指摘されています。

当初、JetpackはなかなかAccessPressと連絡が取れなかったそうですが、コミュニケーションチャネルを確立して詳細情報を提供した後は、すぐに問題のある拡張機能が削除されたとのこと。しかし、すでに侵害されたテーマやプラグインをインストールしている場合、単にテーマやプラグインを削除・置換・更新しても、植え付けられたウェブシェルを根こそぎ排除することはできないとIT関連サイトのBleeping Computerは指摘しています。

Bleeping Computerは影響を受けた可能性のあるウェブサイトの管理者に対し、以下の操作を行うように推奨しています。

1:「wp-includes/vars.php」ファイルの146~158行目に「wp_is_mobile_fix」という関数があるかどうかを確認し、関数が見つかった場合はウェブサイトが侵害されている。
2:ファイルシステムに対して「wp_is_mobile_fix」または「wp-theme-connect」を照会して、影響を受けるファイルがあるかどうかを確認する。
3:コアのWordPressファイルを新しいコピーに置き換える。
4:影響を受けたプラグインをアップグレードし、別のテーマに切り替える。
5:wp-adminとデータベースのパスワードを変更する。

90以上のWordPressのテーマとプラグインにウェブサイトへの不正アクセスを可能にするバックドアが仕込まれていた - GIGAZINE
https://gigazine.net/news/20220124-wordpress-themes-plugins-backdoored/

このブログもWordPress AccessPress関連は導入していないから大丈夫・・・

なんて言えないよね。

オープンソースのやばい面が出てきています。

初戦、性悪説で渡るしか無いネット社会なのだろうか?

Microsoft Defender、今後はAndroidやMacにも対応か

2022年1月17日

今回は、やばくない 前向きなセキュリティの話です。

2022/01/17Mark Hachman PCWorld

もともとWindowsの標準のマルウエア対策ツールとして登場したWindows Defenderは、最初は可も不可もないセキュリティーツールだったが、その後は優れたソリューションへと進化を遂げ、名前もMicrosoft Defenderに変わった。Microsoftとしては、このツールのクロスプラットフォーム化をさらに進めたいと考えているようだ。

実のところ、このプレビュー版がMicrosoft Storeに掲載されたのは、しばらく前だったようだ。しかし最近になって、このアプリの動作イメージと見られる画像も出てきている。TwitterユーザーのAggiornamenti Lumia氏が投稿した画像によると、新版のMicrosoft Defenderでは、MacやAndroidのファイルやアプリもスキャンできるほか、「Webプロテクション」という機能もあり、リンクの危険性を把握できるようだ。

Microsoftのアプリやサービスには、Windows以外のプラットフォームに対応しているものも多い。Edge、Office、Teamsといったアプリは、それぞれAndroid版やMac版がある。Microsoft Defenderがクロスプラットフォームのセキュリティー製品として登場するとしたら、年99.99ドルで最大6人が利用可能な「Microsoft 365 Family」に加わる可能性も考えられる。だが現時点では、Microsoftの計画は定かではない。

(了)

翻訳:内山卓則=ニューズフロント
記事原文(英語)はこちら

最近のWindows Defenderは、かなり優秀なセキュリティツールです。
企業で指定されていなければ、わざわざ高価なセキュリティツールはいらないのではないかとIT小僧jは思っています。

そのWindows Defenderが、AndroidやMacにも対応となると結構期待してしまうわけです。
Android端末は、セキュリティアップデートがあるうちは、それほど心配していません。

よく、ウィルスがぁとか騒いでいる人のどれぐらいの人が被害にあっているのでしょうか?
IT小僧も何年か前は、Android端末にESETをインストールしていましたが、一度も警告もなく履歴にも残っていませんでした。
この使い方なら 必要ないと思い すえう年前からセキュリティアプリを外して Google Playのセキュリティに任せています。

自宅でのPCは、Windows Defenderだけで対応しています。

「Safari 15」にWeb履歴やGoogleアカウント情報がリークする可能性のあるバグ 修正はまだ

 ネットの不正検出APIを提供する米FingerprintJSは1月15日(現地時間)、米AppleのWebブラウザ「Safari 15」に、任意のWebサイトでユーザーのアクティビティを追跡し、IDを確認できてしまうバグがあると発表した。WebKit Bugzillaに2021年11月28日に報告した。

同社は17日に公式ブログを更新し、Appleが16日にBugzillaでこの問題を解決済みとしたが、Safariのアップデートが公開されるまではユーザーにとっての危険は解消されないと警告した。

FingerprintJSは、アップデートが公開されるまで、macOSユーザーは別のWebブラウザを使うことを勧めている。iOSおよびiPadOSの場合は、AppleがサードパーティにもWebブラウザでWebKitを使うことを要求しているため、別のWebブラウザを使っても問題を回避できない。

fingerprint
このバグは、クライアント側ストレージに大量のデータを保持するためのAPI「IndexedDB」に関連するもの。このAPIは、あるWebサイトで集めたユーザーデータは他のWebサイトからはアクセスできないようにするというWebKitのポリシーに準拠しているはずだが、Safari 15では違反しており、「同じブラウザセッション内の他のすべてのアクティブなフレーム、タブ、ウィンドウに同じ名前のデータベースが作成される」ため、他のWebサイトがそのWebサイトのデータベース名を見ることができてしまうという。

indexed
(FingerpringJSのデモ動画より)
FingerprintJSは、Googleアカウントを使うWebサイトはデータベース名をGoogleユーザーIDを使って生成するので、Safariのバグによって他のWebサイトからプロフィール画像などのユーザー情報にアクセスできてしまうとしている。同社は、Googleカレンダー、YouTube、Twitter、Bloombergをバグの影響を受けるWebサイトとして紹介した。

同社は公式ブログでこの問題を説明するデモも公開している。

2022年1月19日 追記
FingerprintJSはこの問題を2021年11月にApple(アップル)に報告していますが、現時点ではまだ問題の修正は行なわれていません。

2021年、上場企業が漏えいした個人情報は574万人分 事故件数や社数は過去最多に 2022年01月17日

 「2021年に上場企業が漏えいした個人情報は574万人分に達した」──東京商工リサーチは1月17日、そんな調査結果を発表した。個人情報の漏えいや紛失事故を公表した上場企業(子会社を含む)は120社(前年比36.3%増)、事故件数は137件(同33.0%増)となり、2012年の調査開始以来、過去最多となった。

漏えい・紛失事故の年次推移(左)と、事故件数の内訳(右)
漏えい・紛失事故の年次推移(左)と、事故件数の内訳(右)
2021年に発生した事故で、漏えい・紛失件数が最多となったのは、ネットマーケティングが手掛ける、婚活マッチングサービス「Omiai」の不正アクセス事件で、171万1756件。次いでスイスの国際航空情報通信機構(SITA)への不正アクセスによるANAホールディングスのマイレージ情報流出で100万件、日本航空で92万件と、それぞれ続いた。

2021年、情報漏えい・紛失件数上位
137件の事故のうち、最も多かった原因は「ウイルス感染・不正アクセス」が68件(構成比49.6%)という結果に。68件の事故で漏えい・紛失した個人情報は454万554件で、全体の78.9%を占めた。次点で多かった原因は「誤表示・誤送信」が43件(同31.3%)で、メールの送信間違いなどの人為的なミスによるものだった。

2021年、情報漏えい・紛失件数上位
漏えい・紛失した事故の原因
事故原因となった媒体別では「社内システム・サーバ」が81件(構成比59.1%)が最多となった。次に「PC」が30件(同21.9%)、「書類」が15件(同10.9%)、「その他・不明」が8件(同5.8%)の順となった。

漏えい・紛失した事故の原因

事故原因となった媒体
上場市場別で見ると、最多は東証1部の97社(構成比80.8%)が全体の8割を占め、大手企業がサイバー犯罪のターゲットとされやすい傾向が明らかになった。一方で「ガバナンスが徹底し、情報開示フローが充実していることも公表数が多い背景になっている」と、東京商工リサーチは指摘する。

事故原因となった媒体

事故を起こした市場の構成比
事故件数の増加には「国外から狙われるケースも多く、ネット社会を巧みに突いた犯罪の巧妙化やグローバル化がある」(同)と説明。顧客からの信用の毀損(きそん)や、膨大な損害賠償などのリスクもあるため、企業はこれまで以上に情報セキュリティへの意識を高め、対応策として人的・物的投資を進める必要があるとした。

事故を起こした市場の構成比

Itmedia News 2022年01月17日

漏れる前に漏れているので すでにもうどうでもよくなってきました。
直接被害がなければ問題ない。

そろそろ 個人情報の価値が下がっているので 価値が下がれば 漏洩した情報も使わなくなるだろう

ウクライナ政府に破壊的なサイバー攻撃 Microsoftが報告 2022年1月15日

 米Microsoftは1月15日(現地時間)、ウクライナ政府の複数の機関に対する破壊的なマルウェア攻撃を確認したと発表した。感染したシステムは動作不能になる。攻撃者については調査中としている。

ウクライナ保安庁は14日、13日から多数の政府公式Webサイトが攻撃されたと発表した。同庁は、「ロシアの秘密警察に関連するハッカーグループが事件に関与している兆候がいくつかあると言える」としている。

ウクライナ保安庁の発表
米連邦政府は14日、ロシアがウクライナ侵攻の口実を作る目的で、様々な工作を行っていると発表した。

Microsoftは、攻撃がウクライナ以外の範囲に広がっているかどうかはまだ特定しておらず、「既知の犯罪グループとの間に顕著な関連を発見していない」と語った。

 ウクライナ保安庁の発表

ウクライナに対しては、2016年末にも大規模なサイバー攻撃があった。この攻撃では、マルウェア「NotPetya」が使われた。米司法省は2020年、この攻撃を含む複数の攻撃の犯人として、ロシア連邦軍参謀本部情報総局(GRU)の諜報員を起訴した。

Microsoftによると、今回の攻撃は、PCの起動時に読み込まれるMBR(マスターブートレコード)を上書きして正常に動作できなくさせ、起動画面に身代金要求メモを表示するというもの。身代金はビットコインで1万ドル相当となっている。

ukra
身代金要求メモの文面

 身代金要求メモの文面
Microsoftは、指定されているウォレットは未知のものという。同社はこの攻撃はランサムウェアのように見えるが、身代金回収メカニズムがないことを理由に、攻撃の目的は身代金獲得ではなく、対象システムの動作不能だとみている。

同社は、多くの組織がこのマルウェアに感染しており、影響を受ける組織が増える可能性があるとしている。「今後もサイバーセキュリティコミュニティと協力し、標的と被害者を特定して被害者を支援していく」。

Itmedia News 2022年01月15日

ネットだけではなく

 

退職者がHDD売却 フリマで流出 2022年01月14日

 情報セキュリティ企業のラックは1月14日、同社の社内ビジネス文書が保存されたHDDがフリーマーケットに出品され、購入者に情報が流出したと発表した。HDDは回収済みで、情報の拡散はないという。

Itmedia News 2022年01月14日

完全な人災です。
今回は、ハードディスクですが、USBメモリーも危険です。

今回は表面化しましたが、表に出てこないものも多いんだろうなぁ

5億8500万件以上のパスワードをイギリス国家犯罪対策庁が個人情報流出確認サイト「Have I Been Pwned?」と共有

個人情報の流出を確認できるウェブサイト「Have I Been Pwned?(HIBP)」の開発者であるトロイ・ハント氏が、「イギリスの国家犯罪対策庁(NCA)が、調査中に発見した5億8500万件以上のパスワードをHIBPと共有した」と報告しました。

Troy Hunt: Open Source Pwned Passwords with FBI Feed and 225M New NCA Passwords is Now Live!

UK govt shares 585 million passwords with Have I Been Pwned
https://www.bleepingcomputer.com/news/security/uk-govt-shares-585-million-passwords-with-have-i-been-pwned/

The NCA shares 585 million passwords with Have I Been Pwned - The Record by Recorded Future
https://therecord.media/the-nca-shares-585-million-passwords-with-have-i-been-pwned/

HIBPは自分のパスワードやメールアドレス、電話番号を使用して、ネットサービスのアカウント情報が流出しているかどうかをチェックできるウェブサイトです。最初はメールアドレスやIDによる検索にのみ対応していましたが、2018年からはパスワードを過去の漏えいデータと照合できるサービス「Pwned Passwords」も展開しています。企業やシステム管理者はPwned Passwordsを使い、パスワードがハッキングなどで侵害されているかどうかを確認し、ブルートフォース攻撃(総当たり攻撃)パスワードスプレー攻撃に使用される危険があるかどうか調べることが可能です。

近年のHIBPは、法執行機関からの情報提供に基づいて「侵害されているパスワードのリスト」をアップデートする取り組みを進めており、2021年5月にはアメリカ連邦捜査局(FBI)が保有している流出パスワードデータが追加されました

そしてハント氏は12月20日のブログ記事で、FBIに続いてイギリスのNCAが合計5億8500万件以上の「何者かによって侵害されたパスワード」をHIBPと共有したと発表しました。ハント氏がNCAによって共有されたパスワードデータをインポートして解析したところ、約5億8500万件のうち2億2500万件以上はこれまでのリストにないものだったことが判明したそうです。

記事作成時点におけるPwned Passwordsの最新のリリースでは、リストに含まれている「侵害されたパスワード」の合計数は約55億8000万件であり、そのうちユニークなパスワードは8億4700万件だとのこと。

NCAがハント氏に寄せたコメントによると、今回共有された「侵害された可能性がある資格情報(メールアドレスとパスワード)」は、イギリスのクラウドストレージ施設から発見されたものだそうです。分析の結果、これらの資格情報が既知および未知の侵害されたデータセットであることが判明したとのこと。

「これらのデータが未知の犯罪アクターによってイギリスのビジネス向けクラウドストレージ施設に置かれたという事実は、資格情報が現時点でパブリックドメインに存在することを意味し、このデータがさらなる詐欺やサイバー犯罪のために第三者によって侵害される可能性があります。特定された資格情報は、1つの会社やプラットフォームに帰属させることができなかったため、NCAの国家サイバー犯罪ユニット(NCCU)は『Have I Been Pwned(HIBP)』の開発者兼CEOであるトロイ・ハント氏と手を組みました」と、NCAは述べました。

以上 記事は、gigazineより抜粋

英国の警察組織が、個人情報流出確認サイトと情報共有ということになるわけですが、一番情報があつまるところなので別に問題にはならないと思いますが、この情報をつかって犯罪組織ならともかく、別なことに利用しそうな気もします。

 NCAとは
国家犯罪対策庁(英語: National Crime Agency, NCA)は、イギリスの警察組織の一つ。主として組織犯罪を取り締まる捜査機関であり、2013年に既存の重大組織犯罪局(SOCA)を発展的に改編するかたちで、内務省所管の非内閣構成省庁(英語版)[1]として設置された

自分のパスワードが心配さったら以下のサイトに行って調べるといいでしょう。

Have I been pwned? Pwned Passwords
https://haveibeenpwned.com/Passwords

Pwned Passwords」は自分が使っているパスワードが過去のデータ侵害で悪用されたものと同一かどうかを判別してくれます。

2021年12月19日 ヤバいセキュリティ情報

数百のホテルで提供されるゲスト用Wi-Fiシステムにセキュリティ上の欠陥発見

あるセキュリティ研究者によると、世界の何百ものホテ

ルがゲストにWi-Fiネットワークを提供し、管理するために利用しているインターネットゲートウェイには脆弱性があり、ゲストの個人情報を危険にさらしている。

Etizaz Mohsin(エティザズ・モーシン)氏が語ったところによると、Airangel製のHSMX Gatewayにはプレーンテキストなどハードコードのパスワードがあり、それらは極めて簡単に推測できるものだ。そのパスワードをここでご紹介することはできないが、攻撃者はそれらを使ってゲートウェイの設定と、Wi-Fiを使っているゲストの記録があるデータベースにリモートでアクセスしている。それによりゲストの記録を盗んだり、ゲートウェイのネットワーキングの設定を変えて知らぬ間にゲストを悪質なウェブページへリダイレクトしたりするという。

2018年、モーシン氏は彼が泊まっていたホテルのネットワークが使っているゲートウェイの一部でそれを発見した。そのゲートウェイは、インターネットを介してファイルを別のサーバーと同期するために使われており、モーシン氏によると世界中の有名高級ホテルの一部が数百ものゲートウェイのバックアップファイルをそこに置いていた。またそのサーバーには「数百万」のゲストの名前やメールアドレス、到着と出発の日付が保存されていた。

モーシン氏はそのバグを報告し、サーバーは保護されたが、そこからある考えが浮かぶ「このたまたま1つのゲートウェイに、何百もの他のホテルを危険にさらす、その他の脆弱性はなかったのか?」

そしてそのセキュリティ研究者は、顧客情報の窃盗行為などゲートウェイの侵犯に使われる可能性がある他の5つの脆弱性を見つけた。彼が見せてくれたスクリーンショットでは、あるホテルの脆弱なゲートウェイの管理インターフェースが、ゲストの名前やルームナンバーやメールアドレスを暴露していた。

モーシン氏は新たに発見した欠陥のキャッシュをAirangelに報告したが、それから数カ月が過ぎても英国のネットワーキング機器メーカーはバグを修正していない。同社代表者は、その機種は2018年以降販売しておらず、すでにサポートしていない、とモーシン氏に告げた。

しかしモーシン氏によると、その機器は世界中のホテルやモール、コンベンションセンターなどで今でも広く使われている。インターネットをスキャンしてみると600以上のゲートウェイがインターネットだけからアクセスできる状態だが、本当の脆弱なデバイスの数はもっと多いだろう。被害を受けたホテルの多くが英国、ドイツ、ロシア、そして中東全域にある。

「この脆弱性の連鎖が攻撃者に提供するアクセスのレベルを見るかぎり、彼らにできることの限界はないようです」とモーシン氏はいう。

モーシン氏は彼の発見を、2021年11月にサウジアラビアで行われた@Hackカンファレンスで提示した。Airangelにコメントを求めているが応じていない。

画像クレジット:JEFF GREENBERG/GETTY IMAGES

原文へ

接続できるということは、侵入される可能性があることを意味している。

Windowsユーザーは注意 セキュリティソフトウェアの検出を回避する新種のマルウェアが見つかる

 セキュリティ企業のPrevailionは2021年12月14日(現地時間)、同社のブログでファイルレス技術といった最新の手法を駆使するリモートアクセス型のトロイの木馬「DarkWatchman」を特定したと報じた。

Prevailionは、DarkWatchmanについてセキュリティソフトウェアによる検出が困難だとし、注意を喚起している。

Prevailionは、DarkWatchmanの活動について報じた(出典:PrevailionのWebサイト)
Windowsユーザーは要注意 新種のマルウェア「DarkWatchman」の感染手法とは?
Prevailionによれば、マルウェアにとってファイル利用とはセキュリティソフトウェアから検出されるリスクを高める行為だ。そのため多くのマルウェアはなるべくファイル書き込みをせずに動作しようと試みる。一方でファイルを利用しなければマルウェアの持続性を高められないため、マルウェア開発者はセキュリティソフトウェアの検出を回避してファイルに書き込む方法を模索しているという。

DarkWatchmanは、ファイルレスでの動作を実現するため「レジストリ」を利用するという特徴がある。一時保存や永続保存の多くでレジストリを使用しており、その他のファイルには一切書き込まない。このためほとんどのセキュリティソフトウェアは同マルウェアを検出できない。

このマルウェアはレジストリを使ったファイルレスという特徴以外にも、セルフアップデートや再コンパイルといった動的ランタイムに関する新たな手法を取り入れている。Prevailionは、今後これらの手口を模倣したマルウェアが発生する可能性があると見ている。

DarkWatchmanの感染経路としては電子メールが確認されている。一度感染すると現時点では検出が困難なため、メール添付のファイルやリンクに注意するという基本的なマルウェア対策を徹底してほしい。

Copyright © ITmedia, Inc. All Rights Reserved.

守る側と攻撃する側の戦いは永遠に続く

メッセージ受信だけでiPhoneが乗っ取られる被害、その手法が明らかに――現在は修正済み

 グーグル(Google)のセキュリティチーム「Google Project Zero」は、iPhoneのiMessageを経由し、悪意あるGIF画像を受信するだけで、標的となったユーザーのiPhoneをハッキングする攻撃について、公式ブログでその詳細を明らかにした。

この手法により、ニューヨークタイムス紙のジャーナリストや、人権活動家団体のスタッフなどに対する攻撃が確認されているという。

なお、この脆弱性(CVE-2021-30860)は、2019年9月に公開されたiOS 14.8へのアップデートによって修正済みである。

悪意あるメッセージを受信するだけで乗っ取り可能に
Project Zeroの公式ブログによると、iMessageに含まれる脆弱性を悪用し、攻撃者が悪意あるメッセージを標的となるユーザーのiPhone宛に送信し、そのメッセージを受信しただけで、iPhoneがハッキングされる被害が発生していたという。

これまで、類似の攻撃手法としてSMSでフィッシング用のURLなどを送信し、ターゲットがそのリンクを誤ってクリックする、いわゆるワンクリック攻撃が行われていることが知られていた。

今回「Google Project Zero」が明らかにした手法では、攻撃の標的となるターゲットは悪意のあるメッセージを受信するだけで、URLなどを一切クリックしなくても、iPhone上で任意のコードを実行される乗っ取り被害にあうため、ソフトウェアアップデートにより脆弱性が修正されるまで、その被害を防ぐ方法は存在しなかったという。

iMessageには、チャット内にアニメーションGIFを送受信する機能がある。この機能は、実際にチャット画面でアニメーションGIFを表示させる前に処理が行われていた。

攻撃者はアニメーションGIFになりすました悪意あるPDFを送りつけ、PDFの構文解析プログラムに含まれる脆弱性を悪用して任意のコードを実行することで、iMessage経由で標的となるiPhoneのハッキングに成功していたという。

アップルでは、関連する脆弱性を修正した際の情報として「この脆弱性が悪用された可能性があるという報告について把握しています。」と、脆弱性が修正される前に、既に攻撃が行われている可能性があることを明かしていた。

セキュリティで強固だと言われているiPhoneでも自社のシステムだけでは、ないので そこに漬け込むスキはあるので要注意です。

2021年12月17日 ヤバいセキュリティ情報

Adobe Photoshopなど複数の製品に「緊急」の脆弱性 アップデートを

 Adobeは2021年12月15日(現地時間)、セキュリティアップデートを公開し、複数のAdobe製品に脆弱(ぜいじゃく)性が存在すると伝えた。脆弱性の幾つかは深刻度が「緊急」(Critical)や「重要」(Important)に分類されており対応が必要だ。

公式HPによる最新セキュリティアップデート情報(出典:AdobeのWebサイト)
脆弱性が存在する製品とバージョンは
脆弱性が存在する製品は以下の通りだ。それぞれの製品に存在する脆弱性については次のページを確認してほしい。

Adobe Premiere Rush 1.5.16およびこれよりも前のバージョン(Windows版)
Adobe Experience Manager(AEM) AEM Cloud Service(CS)
Adobe Experience Manager(AEM) 6.5.10.0およびこれよりも前のバージョン
Adobe Connect 11.3およびこれよりも前のバージョン
Photoshop 2021 22.5.3およびこれよりも前のバージョン(Windows版、macOS版)
Photoshop 2022 23.0.2およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Prelude 22.0およびこれよりも前のバージョン(Windows版)
Adobe After Effects 22.0 and?earlier versions(Windows版、macOS版)
Adobe After Effects 18.4.2 and?earlier versions?(Windows版、macOS版)
Adobe Dimension 3.4.3およびこれよりも前のバージョン?(Windows版、macOS版)
Adobe Premiere Pro 22.0およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Premiere Pro 15.4.2およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Media Encoder 22.0およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Media Encoder 15.4.2およびこれよりも前のバージョン(Windows版、macOS版)
Lightroom 4.4 and earlier versions Windows
Adobe Audition 22.0およびこれよりも前のバージョン(Windows版、macOS版)
Adobe Audition 14.4およびこれよりも前のバージョン(Windows版、macOS版)
脆弱性が修正されたプロダクトおよびバージョンは次の通りだ。

Adobe Premiere Rush 2.0(Windows版、macOS版)
Adobe Experience Manager(AEM) AEM Cloud Service(CS)
Adobe Experience Manager(AEM) 6.5.11.0
Adobe Connect 11.4
Photoshop 2021 22.5.4(Windows版、macOS版)
Photoshop 2022 23.1(Windows版、macOS版)
Adobe Prelude 22.1.1(Windows版、macOS版)
Adobe After Effects 22.1.1(Windows版、macOS版)
Adobe After Effects 18.4.3(Windows版、macOS版)
Adobe Dimension 3.4.4(Windows版、macOS版)
Adobe Premiere Pro 22.1.1(Windows版、macOS版)
Adobe Premiere Pro 15.4.3(Windows版、macOS版)
Adobe Media Encoder 22.1.1(Windows版、macOS版)
Adobe Media Encoder 15.4.3(Windows版、macOS版)
Lightroom 5.1(Windows版、macOS版)
Adobe Audition 22.1.1(Windows版、macOS版)
Adobe Audition 14.4.3(Windows版、macOS版)
該当プロダクトを使用している場合には直ちにアップデートの適用が求められる。

Copyright © ITmedia, Inc. All Rights Reserved.

ThinkPadおよびYogaモデルを含むLenovoラップトップは、ImControllerSeervicサービスの特権昇格バグに対して脆弱

ThinkPadおよびYogaモデルを含むLenovoラップトップは、ImControllerServiceサービスの特権昇格バグに対して脆弱であり、攻撃者が管理者特権でコマンドを実行できるようにします。

欠陥はCVE-2021-3922およびCVE-2021-3969として追跡され、1.1.20.3より前のすべてのLenovo System InterfaceFoundationバージョンのImControllerServiceコンポーネントに影響します。Windowsサービス画面を表示すると、このサービスの表示名は「System InterfaceFoundationService」になります。

特定のサービスは、Lenovo System Interface Foundationのコンポーネントであり、LenovoデバイスがLenovo Companion、Lenovo Settings、LenovoIDなどのユニバーサルアプリと通信するのに役立ちます。このサービスは、YogaやThinkPadデバイスを含む多くのLenovoモデルにデフォルトでプレインストールされています。

BleepingComputer.com

Lenovoは、 中国メーカー

というわけでもないけどThinkPadまで影響があるのは、厳しいなぁ

「LenovoSystemInterface Foundation Service」は、システムの電源管理、システム最適化、ドライバとアプリケーションの更新、Lenovo Companion、Lenovo Settings、LenovoIDなどのLenovoアプリケーションへのシステム設定などの主要機能のインターフェイスを提供するものだという。このサービスを無効にすると、Lenovoのアプリケーションが正常に動作しなくなる可能性がある。

対策としては、ImControllerServiceコンポーネントのバージョンアップが唯一の解決法としている。

2021年12月17日 15:38
PC Watch
https://pc.watch.impress.co.jp/docs/news/1375191.html

2021年12月15日 ヤバいセキュリティ情報

「Apache Log4j 2.15.0」のLog4Shell脆弱性対策は不完全、v2.16.0への更新を ~Java 7ユーザーにはv2.12.2を提供

 The Apache Software Foundation(ASF)は12月14日、ロギングライブラリ「Apache Log4j 2.15.0」で実施された「Log4Shell」脆弱性(CVE-2021-44228)への対策が不完全であったことを明らかにした。

開発チームによると、「Log4j 2.15.0」では任意コード実行につながるJNDI LDAPルックアップ機能をlocalhostに限定する対策が導入されているが、これは不十分であったという。JNDIルックアップパターンを用いて悪意のある入力データを作成することで、特定のデフォルト設定以外ではサービス拒否攻撃(DoS)を許す問題(CVE-2021-45046)が残されていた。

「CVE-2021-45046」は、13日付けでリースされた「Log4j 2.16.0」で対処されている。システムプロパティ「log4j2.noFormatMsgLookup」を「true」に変更するといった以前に案内されていた緩和策は、このDoS脆弱性には効果がないようなので注意したい。

また、「Log4j」の「Java 7」対応は「Log4j 2.12.1」が最終のはずであったが、脆弱性の影響を鑑み「Log4j 2.12.2」がリリースされた。「Log4j 2.16.0」へすぐにアップグレードできない「Java 7」ユーザーは、「Log4j 2.12.2」の利用を推奨する。

https://forest.watch.impress.co.jp/docs/news/1374274.html

カスペルスキー、マルウェア「LODEINFO」の亜種が観測されたと発表

■ 日本企業を標的としたファイルレスバックドア「LODEINFO」

株式会社カスペルスキーは12月9日、日本の組織を標的としたファイルレス型マルウェア「LODEINFO」とそこから派生したと考えられる2つのマルウェアに関するプレスセミナーを開催した。発表はカスペルスキーの解析チームのカスペルスキーグローバル調査分析チーム(GReAT)アジア太平洋地域に所属するマルウェアリサーチャーの石丸傑氏が行った。

冒頭、石丸氏はLODEINFOについて紹介した。LODEINFOは、2019年12月ごろからバージョンアップを繰り返しながら日本国内の組織に対して攻撃が続いている。

LODEINFOは主に不正なOfficeドキュメント(Word/Excel)が添付されたメールを使用して送り付ける。受信者が「コンテンツの有効化」を行うとVBAによってマルウェア本体がメモリ内に復号化して実行される。

最終的に内部情報を窃取することを目的としており「過去3カ月(2021年8月27日~11月26日)に900件近い検知があり、現在も継続した攻撃が行われている」という。カスペルスキーのアンチウイルス製品は2019年の初観測以降、継続的なLODEINFOのシグネチャ対応を行っている。

LODEINFOという名前は初期検体にLOADPNGという文字列が初期検体にあったことと「png_info.pdb」というプログラムデータベースパスがある事から名付けられている。また、バージョン番号が内部に記載されているという特徴がある。2019年12月に発見されたLODEINFOはバージョン0.1.2だったが継続的にアップデートされており、最新の検体は2021年11月に発見されたバージョン0.5.6で、キーロガーやファイル暗号化機能の機能拡張が行われている。

■ LODEINFOの亜種としてDOWNJPIT、オープンソースを改造したLILIMRATを観測

石丸氏がLODEINFOの解析を進めている過程で亜種が見つかった。これはペイロードを「JustPaste.it」というコンテンツサイトからダウンロードするため「JustPast.ITからDOWNload」から「DOWNJPIT」と命名された。

DOWNJPITはLODEINFOの特徴を多く備えている一方、バックドア機構を持たない。メール以外にPowershellと.NETを利用し、OSを起動するたびにメモリ内に含める永続化の手法も観測された。

さらに調査を進めたところ、ダウンロード元にPastebin.comを利用する亜種も発見された。ダウンロード型のファイルレスマルウェアは特定のウェブコンテンツからダウンロードするため、URL先のファイルを入れ替えるだけで他のリモートアクセスツール(RAT)に変更できる。そこで見つかったのがオープンソースの「LilithRAT」を改変してコマンドを拡張したRATを実装した亜種「LILIMRAT」だ。これもDOWNJPIT同様にコンテンツサイトに同じデータ構造で埋め込まれており、独自のバックドアコマンドを追加している。

■ APT10が過去に使用したマルウェアとの類似点が多い。基本的な「コンテンツの有効化」を行わないところから対処したい

石丸氏は今回観測されたマルウェアの製作は「APT10」として知られる中国の攻撃グループとの関連性が高いと指摘した。APT10は2015年に日本年金機構から大量の個人情報を漏えいさせる事件を起こし、Pivy、PlugX、Emdivi、RedLeaves、ANELなど複数種のRATを過去に使用してきたことで知られている。

LODEINFO、DOWNJPIT、LILIMRATがAPT10が関与しているという理由について、石丸氏は過去にAPT10が使用したとみられる検体を比較すると、バージョン情報をハードコートする、C2サーバーに端末情報を送信する、パスワード保護されたドキュメントを攻撃メールの添付ファイルに使用するなど共通の手口が多く、類似点が多いと説明した。

このようにドキュメントファイルを添付したメールを送りつける標的型攻撃は現在も継続して行われている。組織は「メール添付のオフィスドキュメントで『コンテンツの有効化』は行わない」、アンチウイルスソフトやソフトの最新版を利用する基本的な対策を徹底し、さらに可能ならばEDRやSOCの導入、従業員へのセキュリティ教育等の高度な対策を行う事を推奨している。

また、今回紹介したLODEINFOは「見えない化」が進んでいるため、セキュリティコミュニティとしても引き続き調査が必要だとまとめた。

INTERNET Watch,小林 哲雄

Internet Watch

詳しい情報は、Internet Watchで確認をお願いいたします。



Javaライブラリ「Apache Log4j」の脆弱性(CVE-2021-44228)を標的とした攻撃の観測について

警察庁がRealtime攻撃の観測状況をリアルタイムで通知が行われています。

「Apache Log4j」の脆弱性に対する攻撃の観測状況(グラフ)が表示されています。

詳しくは、警察庁のページで確認することができます。

 

2021年12月14日 ヤバいセキュリティ情報

新たに発覚したソフトウェアの脆弱性、世界で数億台の機器にリスク 米政府が警告

 ワシントン(CNN) 世界で何億台もの機器が危険にさらされかねないソフトウェアの脆弱(ぜいじゃく)性が新たに発覚し、バイデン米政権のサイバーセキュリティー機関が13日、主要業界に対して必要な対策を講じるよう呼びかけた。

主要IT企業が影響の封じ込めに苦慮する中、米国土安全保障省サイバー・インフラ安全局(CISA)のジェン・イースタリー局長は業界幹部との電話会談で、ハッカー集団がこの脆弱性を活発に悪用していると警告した。

(以下略、続きはソースでご確認ください)

CNN 2021.12.14 Tue posted at 13:30 JST

何十億台のスマートフォンに危険 Wi-FiチップやBluetoothチップに気をつけろ

何十億台のスマートフォンに搭載されるWi-FiチップやBluetoothチップをとっかかりにしてパスワードやデータを盗み出す攻撃手法が開発される

デバイスのBluetoothコンポーネントに攻撃を仕掛けることでパスワードの抽出やWi-Fiチップ上のトラフィック操作を可能にする手法をドイツのダルムシュタット大学やイタリアのブレシア大学の研究チームが公開しました。

Attacks on Wireless Coexistence: Exploiting Cross-Technology Performance Features for Inter-Chip Privilege Escalation
(PDFファイル)https://arxiv.org/pdf/2112.05719.pdf

Bugs in billions of WiFi, Bluetooth chips allow password, data theft
https://www.bleepingcomputer.com/news/security/bugs-in-billions-of-wifi-bluetooth-chips-allow-password-data-theft/

スマートフォンに代表される最新の電子機器は、SoC内にBluetoothやWiFi、LTEをサポートするコンポーネントを別個に備えており、これらのコンポーネントは専用のセキュリティ機能を搭載していますが、こうしたコンポーネントはエネルギー効率やスループット向上などの理由からアンテナなどを共有しています。

今回ダルムシュット大学やブレシア大学の研究チームが公開した論文は、Wi-FiないしはBluetoothチップに内在するリモートコード実行の脆弱性を突き、これらのチップが共有しているリソースを橋渡しにする形でデバイス内の各チップに攻撃対象を広げていくという手法に関するもの。研究チームはBroadcom、Cypress、SiliconLabsによって製造されたSoCに対して、任意コード実行やメモリの読み出し、DoS攻撃を実際に実行しています。

 

Gigazine 2021年12月14日 19時00分

なにがヤバいって「何十億台のスマートフォンに搭載されるWi-FiチップやBluetoothチップ」ということで

今回ダルムシュット大学やブレシア大学の研究チームが公開した論文は、Wi-FiないしはBluetoothチップに内在するリモートコード実行の脆弱性を突き、これらのチップが共有しているリソースを橋渡しにする形でデバイス内の各チップに攻撃対象を広げていくという手法に関するもの。研究チームはBroadcom、Cypress、SiliconLabsによって製造されたSoCに対して、任意コード実行やメモリの読み出し、DoS攻撃を実際に実行しています。

iPhoneも含まれています。

研究チームはBroadcom、Cypress、SiliconLabsに対して当該欠陥を報告しましたが、サポートが終了したSoCやファームウェアが適用不可能なSoCが存在しており、大半の場合は修正不可能だそうです。

今回の脆弱性に割り当てられた共通脆弱性識別子は、「CVE-2020-10368」「CVE-2020-10367」「CVE-2019-15063」「CVE-2020-10370「CVE-2020-10369」「CVE-2020-29531」「CVE-2020-29533」「CVE-2020-29532」「CVE-2020-29530」の9種類で、これらの脆弱性には、ハードウェア的な修正を要するものや、修正によってパフォーマンスが大幅に低下するものが存在するとのことです

2021年12月13日 ヤバいセキュリティ情報

Log4jのゼロデイ脆弱性 中国政府の関与も疑われる

Javaのログ出力ライブラリであるApache Log4jで発見されたリモートコード実行のゼロデイ脆弱性「Log4Shell」を用いた攻撃が急激に増加しており、攻撃者の中には「中国政府が関連するハッカーの存在も確認された」というレポートをセキュリティ企業のCheck Point Softwareが公開しています。

The numbers behind a cyber pandemic – detailed dive - Check Point Software
https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-pandemic-detailed-dive/

Log4j vulnerability: Companies scramble to gird against hackers : NPR
https://www.npr.org/2021/12/14/1064123144/companies-scramble-to-defend-against-newly-discovered-log4j-digital-flaw

Hackers launch over 840,000 attacks through Log4J flaw | Ars Technica
https://arstechnica.com/information-technology/2021/12/hackers-launch-over-840000-attacks-through-log4j-flaw/

世界中で広く活用されているJavaのログ出力ライブラリであるLog4jに、リモートでコードを実行されてしまうゼロデイ脆弱性「Log4Shell」が存在することが明らかになっています。このゼロデイ脆弱性に対する修正パッチはすでに公開されているのですが、Log4jの利用範囲の広さからインターネット史上最も深刻な脆弱性のひとつである可能性も指摘されていました。

gigazine

被害というか、調べたら かなり被害が増えていたという状況になっています。

Log4Shellの存在が明らかになった2021年12月10日(金)以降、世界中の企業に対してLog4Shellを用いたサイバー攻撃が84万件以上発生していることが明らかになっています。Check Point Softwareによると、Log4Shellに関連する攻撃は10日から72時間で急増中で、あるタイミングでは1分間に100回以上の攻撃が検知されたそうです。Check Point Softwareによると、Log4Shellを用いたサイバー攻撃のほとんどが「コンピューターをリモートで制御して暗号資産をマイニングしたり、ボットネットの一部として利用したり、特定のウェブサイトに過剰なトラフィックを発生させたり、スパムを送信したり、その他の目的に使用できるコンピューターネットワークの一部として使用しています」とのこと。

また、Log4Shellを用いたサイバー攻撃を仕掛けている攻撃者のほぼ半分が既知の攻撃者であるとのこと。「既知の攻撃者」の中にはリモート制御したコンピューターをボットネットに変えるマルウェアの使用者や、サービス拒否攻撃などのリモート制御されたコンピューターを使用したネットワークである「Tsunami」や「Mirai」を利用するサイバー攻撃グループも含まれます。このほか、追跡が困難なデジタル通貨・Moneroをマイニングするソフトウェア「XMRig」を使用するグループも検知されました。

サイバーセキュリティ企業のMandiantで最高技術責任者を務めるCharles Carmakal氏によると、攻撃者の中には「中国政府が支援するハッカー」が含まれているとのこと。Carmakal氏はこれ以上の詳細を共有することを拒否していますが、サイバーセキュリティスタートアップ・SentinelOneの研究者も「中国のハッカーがLog4Shellを利用しているのを検知した」と語っています。

アメリカ国土安全保障省のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)のディレクターであるJen Easterly氏は、Log4Shellについて「私がキャリアの中で見てきたものの中で最も深刻な脆弱性のひとつ」とコメントしました。なお、Log4Shellに対しては、CISAとイギリスの国家サイバーセキュリティ・センターの両方が企業に向けて修正パッチの適用を促す警告を発しています。実際、AppleやAmazon、IBM、Microsoft、Ciscoといった大企業がLog4Shellの修正に対応しており、記事作成時点では主要企業から重大なセキュリティ侵害が生じたという報告はありません。

脆弱性診断ツールを開発するAcunetixのエンジニアリング責任者であるNicholas Sciberras氏は、「Log4Shellにより、攻撃者はほぼ無限の力を得ることができます。攻撃者は機密データの抽出、サーバーへのファイルアップロード、データの削除、ランサムウェアのインストール、他のサーバーへのピボットなどを実行可能です」と語り、攻撃を仕掛けることは「驚くほど簡単でしょう」「今後数カ月Log4Shellを悪用した攻撃は続くでしょう」とも述べています。

gigazine

インターネット史上最も深刻な脆弱性のひとつということで おそらく世界中のエンジニアは、動いているでしょう。

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

 JPCERT/CCは11日までに、この脆弱性を悪用するコードが公開されていることを発見。悪用を試みる通信も確認したとして注意喚起している。

対策方法は、修正バージョンへの更新、Lookup機能をオフにするなど。バージョン2.15.0以降であればLookup機能が標準でオフになっている。この他、Log4jを使っているiCloudなどのサービスやアプリの更新状況をチェックすること、通信ログなどを見て攻撃がないか確認すること、アクセス制限を掛けることなどを推奨している。

世界のWebサーバの3分の1に影響? Javaライブラリ「Log4j」の脆弱性、JPCERTらが仕組みと対策を解説

以下 JPCERT/CCより抜粋

Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

I. 概要

JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三者が本脆弱性を悪用する細工したデータを送信することで、任意のコードを実行する可能性があります。

Apache Log4j Security Vulnerabilities
Fixed in Log4j 2.15.0
https://logging.apache.org/log4j/2.x/security.html

II. 対象

- Apache Log4j-core 2.15.0より前の2系のバージョン

III. 対策

The Apache Software Foundationから本脆弱性を修正したバージョンが公開されています。速やかな対策の適用実施をご検討ください。次のバージョン以降では、Lookup機能がデフォルトでは無効になりました。

- Apache Log4j 2.15.0

使用するアプリケーションやソフトウェアなどについて関連情報を注視し、本脆弱性の影響を受けることが判明した場合も、速やかにアップデートなどの対応を行うことを推奨します。

また、すでに本脆弱性の悪用を試みる通信が確認されていることから、対策の適用実施とあわせて、不審なファイル及びプロセスの有無や、通信ログ等を確認し、攻撃の有無を確認することを推奨します。

IV. 回避策

The Apache Software Foundationから、Log4jのバージョンに応じた回避策に関する情報が公開されています。

Log4jバージョン2.10及びそれ以降
- 次のいずれかを実施する
(1)Log4jを実行するJava仮想マシンを起動時に「log4j2.formatMsgNoLookups」というJVMフラグオプションを「true」に指定する 例: -Dlog4j2.formatMsgNoLookups=true
(2)環境変数「LOG4J_FORMAT_MSG_NO_LOOKUPS」を「true」に設定する

Log4jバージョン2.10より前
- JndiLookupクラスをクラスパスから削除する

また、本脆弱性を悪用する攻撃の影響を軽減するため、システムから外部への接続を制限するための可能な限りのアクセス制御の見直しや強化もご検討ください。

2021年12月11日 ヤバいセキュリティ情報

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation

マイクロソフト者から Log4jの問題で
「欠陥を利用して脆弱なシステムにクリプトマイナー(仮想通貨を勝手にマイニングするマルウェア)を仕込んだり、システムの証明書を盗んだりする攻撃」
が実際に行われていると表明

Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j 2 exploitation

 

2021年12月10日 ヤバいセキュリティ情報

Javaライブラリ「Log4j」にゼロデイ攻撃の脆弱性がみつかる。

トレンドマイクロ社の公開文書に掲載されています。

SECURITY ALERT: Apache Log4j "Log4Shell" Remote Code Execution 0-Day Vulnerability (CVE-2021-44228)
Updated: 14 Dec 2021 Product/Version: Cloud One - Application Security 1.0 Platform:
SUMMARY
Updated on 12/14/2021 @ 2:30AM GMT with Log4j Vulnerability Testing Site, demo protection video, Trend Micro Cloud - Conformity information, updated VSAPI pattern detections and updated information on Trend Micro affected/not affected products.

On December 9, 2021, a new critical 0-day vulnerability impacting multiple versions of the popular Apache Log4j 2 logging library was publicly disclosed that, if exploited, could result in Remote Code Execution (RCE) by logging a certain string on affected installations.

This specific vulnerability has been assigned CVE-2021-44228 and is also being commonly referred to as "Log4Shell" in various blogs and reports. Versions of the library said to be affected are versions 2.0-beta 9 to 2.14.1.https://repo1.maven.org/maven2/org/apache/logging/log4j/log4j-core/2.15.0/.

https://success.trendmicro.com/solution/000289940

Googleでざっくり訳すと こんな漢字

2021年12月9日、人気のあるApache Log4j 2 ログライブラリの複数のバージョンに影響を与える新しい重大なゼロデイ脆弱性が公開されました。これは、悪用された場合、影響を受けるインストールで特定の文字列をログに記録することにより、リモートコード実行(RCE)を引き起こす可能性があります。

この特定の脆弱性にはCVE-2021-44228が割り当てられており、さまざまなブログやレポートで一般的に「Log4Shell」と呼ばれています。影響を受けると言われているライブラリのバージョンは、バージョン2.0-beta9から2.14.1です。

日本語訳:Google

SECURITY ALERT: Apache Log4j "Log4Shell" Remote Code Execution 0-Day Vulnerability (CVE-2021-44228)

日本のITmediaでも報道されています。

Javaで使われるログ出力ライブラリ「Apache Log4j」に悪意のある文字列を記録させることで、任意のリモートコードを実行できるようになる(Remote Code Execution, RCE)、ゼロデイ脆弱性があることが12月10日に分かった。広範囲に影響が及ぶ可能性があることから、ITエンジニアを中心に議論の的になっている。

例えばMinecraftでは、チャットに悪意のある文字列を書き込んだりすることでログに記録させるだけで任意のリモートコードを実行できてまうことが報告されている。すでに、Minecraftの一部サーバでは閉鎖やパッチの適用などの対応を進めている。

「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か

LINE、指針改定でも情報漏洩 揺らぐ信頼

 スマートフォン決済大手の「LINE Pay」は12月7日までに、国内外の約13万件の決済金額などの情報が漏えいし、インターネット上で一時閲覧できる状態になっていたと発表した。親会社の通信アプリ大手のLINEで2021年3月に中国の関連会社から利用者の情報が閲覧可能になっていたことが発覚し、データの運用指針を改定したばかり。見直したはずの新体制での流出に個人情報保護の信頼が揺らいでおり、改めて経営管理の在り方が問われる。

閲覧可能だった個人情報は、LINEが利用者を判別するために社内で使用していた識別データ。国内利用者は約5万件に上る。氏名や住所、クレジットカード番号は含まれないが、特殊な解析をすると個人を特定できる可能性があるという。

20年12月から21年4月までに利用促進キャンペーンで決済された金額や日時などが21年9月12日から11月24日までの間、ネット上で情報を共有するサービスで外部から見られる状態になっていた。委託先の韓国企業の従業員が法人用のアカウントを利用せず、個人としてデータを送信したのが原因で、LINE Payが詳細を調査している。部外者からのアクセスを11件確認しており、情報が悪用されて不審なメッセージが届く可能性があるとしている。

3月に発覚したデータ管理の不備では、LINEでは、中国の関連会社を通じて中国当局が利用者情報を収集する可能性があった他、画像や動画ファイルを韓国で保管しながらも、中央省庁などに「日本の利用者のデータは国内で保管してある」と虚偽の説明をするなどしていた。LINE Payでも取引情報を韓国で保管していた。

LINEはグループ全体で情報管理体制を見直し、LINE Payも9月末までにデータの国内移管を終え、システム開発で一時的にデータを移転する先として韓国などの国名を明示した指針に改定した。

ただ、今回の流出は指針に沿った運用の中で従業員のミスで発生した。LINEの出沢剛社長はデータ管理の姿勢について「本来は(ミスも想定し)先回りすべきだ」と述べている。

通信アプリの「LINE」は、東京都がスマートフォンによる新型コロナウイルスのワクチン接種証明の確認に活用するなど公的なサービスにも利用されているだけに、LINEグループには人為的なミスや悪意のあるサイバー攻撃なども想定した徹底した個人情報の保護が求められる。(高木克聡)

copyright (c) Sankei Digital All rights reserved.

ITmedia

これほどまで いい加減で嘘を言ってきたLINEを未だに使用して市民の個人情報を取り扱う 地方自治体のシステム関係者は、反省すべきか 無知としか言えない。
マスコミもいろいろな圧力があると思うけど、まっとうな技術者ならLINEを公共ツールとして使ってはいけない。
※これはIT小僧の個人的見解です。

まとめ

どんなに注意をして設計されたシステムでもセキュリティの穴は、絶対にあります。
みつけたら穴を塞ぐという手法でしかありません。

また、システム設計で問題がなくてもプラットフォーム、OS、デバイス そしてそれらを使う人間にセキュリティの欠落があったらやられます。

このブログでは、ほぼ毎日 気がついたセキュリティの問題を取り上げます。

 

-IT小僧の時事放談
-

Copyright© IT小僧の時事放談 , 2022 All Rights Reserved Powered by AFFINGER5.