エフセキュアブログ

アップルのセキュリティ質問がいまだに最悪なのはなぜ?

 2週間経ったが、アップルのセキュリティ質問がいまだに最悪なのはなぜか?

 以下は、Apple IDを作成する際に聞かれる質問の例だ。

Apple Security Questions

 そして完全なリストは次のようになる。

Security Question 1(セキュリティ質問1):

  •  What is your favorite children's book?(好きな絵本の題名は?)
  •  What is your dream job?(憧れの職業は?)
  •  What was your childhood nickname?(子供の頃のニックネームは?)
  •  What was the model of your first car?(初めて所有した車の名前は?)
  •  Who was your favorite singer or band in high school?(学生時代に好きだった歌手またはバンドの名前は?)
  •  Who was your favorite film star or character in school?(学生時代に好きだった映画スターや登場人物の名前は?)

Security Question 2(セキュリティ質問2):

  •  What was the first name of your first boss?(初めての職場での上司の名前は?)
  •  In what city did your parents meet?(両親が出会った町の名前は?)
  •  What was the name of your first pet?(初めて飼ったペットの名前は?)
  •  What is the first name of your best friend in high school?(十代の頃の親友の名前は?)
  •  What was the first film you saw in the theater?(初めて映画館で観た映画は?)
  •  What was the first thing you learned to cook?(初めて覚えた料理は?)

Security Question 3(セキュリティ質問3):

  •  What is the last name of your favorite elementary school teacher?(小学生の時に好きだった先生の名前は?)
  •  Where did you go the first time you flew on a plane?(初めて飛行機で行った場所は?)
  •  What is the name of the street where you grew up?(子供時代を過ごした町の名前は?)
  •  What is the name of the first beach you visited?(初めて遊びにいった海の名前は?)
  •  What was the first album that you purchased?(初めて購入したアルバムの題名は?)
  •  What is the name of your favorite sports team?(好きなスポーツチームは?)

 問題点は痛々しいくらいに明らかだ。質問があまりに主観的に過ぎるか、そうでなければ簡単に入手できる情報に基づいているのだ。

 となると何をするようになるか?

 質問が何であれ、無意味な答えを作るようになる。しかしここで別の問題が生じる。必要なったときには、無意味なものを忘れているだろう。

 そこで次は何だ?

 パスワードマネージャの備考フィールドを使う。

Childhood nickname? SvenHjerson

 願わくば、答えを使う必要性が生じないといい。他の誰にもできないことを確認すること。

—————

 関連するアドバイスについては、パスワードの取り扱いに関する当社の記事を参照してほしい。

9.18のサイバー攻撃に関して(追記)

先週末あたりから、毎年恒例の9月18日に関する攻撃を確認しています。
覚えの無いコンテンツなどがアップロードされていませんでしょうか。
#スクリーンショットの記載内容からすると、フライングの気もしますが・・・

918改竄画像


現在のところ、確認されている幾つかのウェブサイトにおいては、Joomla! の既知の脆弱性が悪用されているように見受けられます。
また、攻撃対象に関してですが、特定のウェブサイトというよりは手当たり次第に改竄を行っている模様です。
#DoS攻撃に関しては未確認です。

昨年は国内外において複数のウェブサイトが改竄が確認されましたが、その多くは攻撃対象リストに掲載されたウェブサイトでは無く、不特定多数に対してでした。今年も同様の傾向ではないかと考えています。

なお、攻撃グループにより攻撃手口は異なりますので、ウェブアプリケーションの他にFTPやSSHなども注意が必要です。併せて、自社サイトの検索エンジンによる検索結果に表示されてはマズい情報が無いか、などチェックされることをお勧めします。

ではでは、また何か動きがありましたら補足させて頂こうと思います。

【追記】
18日になりまして、一部の攻撃者グループが日本国内の複数ウェブサイトを改竄したことが確認されています。
現在も攻撃継続中のようですので、引き続きご注意ください。

918_b


918_a


Apple Watchが恐らくマルウェアに感染しない理由

アップルが最新のiPhoneのモデルと、待ち望まれていたウェアラブル技術の新製品を発表しました。Apple Watchです。

TechRadar誌はクパチーノ発の最新のイノベーションを「iPhoneと併せて楽しめるiOS8フレンドリーな時計」と評してします。

最新のエフセキュア・ラボによる「脅威レポート」はiOSのマルウェアに関するひとつの大きな誤解を払拭しています。存在するのです、極めて稀ではありますが。

Screen Shot 2014-09-09 at 4.43.06 PM

2014年の上半期に、295に及ぶモバイルのマルウェアの新しいファミリーや亜種が発見されました。294はAndroid、そしてひとつはiOSを狙ったものです。iPhoneユーザーはフィッシング詐欺やWi-Fi乗っ取りの被害に会う可能性があり、そのためにエフセキュアはFreeDome VPNを開発しましたが、iOSデバイス上の悪意あるアプリの脅威はほとんど存在しません。

「Androidと異なり、iOSでのマルウェアは現在のところ’脱獄’したデバイスに対してのみ有効であり、様々なハッカーによって作成された’脱獄’ツールは(そしてそれらは通常プラットフォーム上の未公開のバグによって作動します)、セキュリティ研究者の関心を引くところになっています」とレポートは解説しています。

Unflod Baby Pandaと呼ばれるiOSの脅威は今年初めに発見されました。これはデバイスのApple IDとパスワードの詳細を詐取するために、SSL接続を盗聴します。Apple IDとパスワードは最近ニュースで取り上げられているように、著名人のiCloudのアカウントを乗っ取る一連の作業の中で一部の役割を担っており、多くのプライベートな写真が公開されてしまう事件に繋がりました。

弊社のミッコ・ヒッポネンは最新のウェビナーにて次のように説明しています。「多くのユーザーは何年もの間これらのアカウントを使用し続けており、それは主にiTunesストアから買い物をするためですが、どれだけのデータが実際に保護されているのか気づいていません。」

しかしUnflod Baby Pandaは著名人のハッキングにはほとんど役割を果たしていません。デバイスの’脱獄’は極めて稀だからです。iOS App Storeの「クローズな空間」の手法による保護がハッキングを防いでいることを認識しているユーザーはほとんどいません。その手法はプラットフォームからマルウェアを排除することに成功しており、特にオープンなAndroidの世界と比較すると顕著です。悪意のあるアプリやアドウェア、スパムウェアが公式のPlayストアに潜入することもありました。一方iOS App Storeではほとんどありません。しかしAndroidの脅威の大多数は非公式のマーケットから感染するため、エフセキュア・ラボは非公式のマーケットを避けるよう勧めています。

iPhoneユーザーの大多数はマルウェアについて心配する必要はありませんでした。そしてApple Watchがアプリに対して厳重な制限をかけるのであれば、デバイスはセキュリティの心配は無用でしょう。
しかしスマートフォンに匹敵する能力をもつWatchを丸一日ほぼ24時間、体に装着するのであれば、従来考慮されていなかったプライバシーに関する問題を引き起こす可能性があります。

>>原文へのリンク

運命の痙攣:ゲーマーは恥も外聞もなく一からやり直した

 Twitch.tvとは、ビデオゲームに焦点を合わせたライブストリーミングプラットフォームである。5000万人超のビューワーを抱えており、8月にAmazon.comが10億ドル近くで買収した

 我々は最近、関係するユーザから、Twitchのチャット機能を通じて宣伝されているマルウェアについての報告を受け取った。あるTwitchボットアカウントがチャネルに攻め入り、見た人に週ごとのクジに参加するように呼びかける。このクジでは「Counter-Strike: Global Offensive」のアイテムといったものを勝ち取るチャンスがある。

items (165k image)

 Twitchボットが提示するリンクはJavaプログラムに通じており、参加者の氏名、メールアドレス、当選者の氏名の公開の可否について尋ねられるが、これをどこにも保存しない。

 この偽の景品に引っかかってしまった被害者が自身の情報を入力した後、以下のメッセージが示される。

congrats (17k image)

 このメッセージの後に、マルウェアはWindowsのバイナリファイルのドロップと、以下のコマンドの実行へと進む。

  •  スクリーンショットを取る
  •  Steam上で新たなフレンドを追加する
  •  Steam上でペンディング中のフレンドリクエストを受け入れる
  •  Steam上で新しいフレンドとの取引を開始する
  •  ユーザが金を持っていたら、アイテムを購入する
  •  取引の申し出を送る
  •  ペンディング中の取引トランザクションを受け入れる
  •  アイテムを値引きしてマーケットで売り出す

 このマルウェアは当社ではEskimoと呼んでいるのだが、あなたのSteamのウォレット、武器庫、インベントリを一掃することができる。Steamコミュニティマーケットで、あなたのアイテムの投げ売りさえ行う。

 以前のバリアントでは12%引きでアイテムを販売していたが、最近のサンプルではこれを35%引きに変更したことが示されている。おそらく、アイテムがより早く売れるようにするためだ。

code_sell_discount (67k image)

 関心のないアイテムを販売できると、攻撃者が関心のあるアイテムを購入するための資金を集められるようになる。関心のあるアイテムは、続いておそらく攻撃者が保持しているアカウントへと取引がなされる。

 被害者たちはforums.steamrep.comに、自分たちのアイテムが何の見返りも無しに以下のSteamアカウントへ渡されたと報告している。

steamaccount (113k image)

 Steamでは新たなマシンからのログインや取引には適切にセキュリティチェックをかけているので、これらはすべて被害者のマシンから行われている。新たに加えられたフレンドへ複数のアイテムを渡す場合や、あるしきい値に基づいて低価格で市場にアイテムを売り出す場合など、Steamが他のセキュリティチェックも追加すると、ユーザに役立つかもしれない。以上は、この種の脅威によってなされる損壊への教訓になるだろう。

ネット上の中傷やヘイトスピーチにどう対処すべきか−アンケート調査



インターネットによって、私たちが現実の世界で慣れ親しんだ議論の文化が全く異なるものに進化したことは、おそらく誰もが認めることでしょう。使用される形容詞は、人を鼓舞するような自由な形式から、常軌を逸した病的かつ不快なものへと変わっています。オンライン上で議論する際の(見かけの)匿名性は、良くも悪くも、よりオープンで率直な意見を引き出します。特にそれが中傷や攻撃的な発言になると、事態は悪い方向に向かいます。
 
みなさんはこの問題についてどうお考えですか。続きを読んで以下のアンケートにお答えください。
 
私たちには、中傷から自分を守ってくれる法律があります。しかし、ネット上の犯罪に対する警察の対応はまちまちで、まだ確立されているとは言えません。また、インターネットのグローバルな性質が、調査を困難にしています。少なくとも米国のサービスに大きく依存しているヨーロッパでは、ほとんどの事例が国際的なものです。
 
この見出しで述べたのは、まさにここフィンランドで最近あった事例です。オリジナルの報道はフィンランド語なので、ここでは短く要約します。ジャーナリストのSari Helin氏は、性的少数者の平等についてブログに書き込みました。例えば、子供たちの友人に二人の母親がいたとしても、自然にふるまい、拒絶するような態度を取らないようにするためにはどうしたらよいかを記しました。これはデリケートな話題で、多くの否定的な意見があったことは驚くべきことではありません。中には明らかに中傷と言えるものもあり、そうした書き込みでは、極めて汚らわしい言葉が彼女に対して使われたりしていました。彼女はしばらく考え、最終的に警察にこの件(主にFacebookのコメント)について届け出ました。
 
ここからが本当に興味深い部分です。先日、検察がこの件に関する決定を発表しました。告訴を取り下げ、調査すらしないことを決定したのです。なぜでしょうか? Facebookは米国にあり、このちょっとした悪事のために米国当局と連絡を取ることが面倒なのでしょう。別件でインタビューを受けた警察官も、外国に送られている捜査依頼については、おそらく同様の理由から多くの場合回答がないままであると述べています。これはフィンランドの事例ですが、他の国々でも同様のことが起こっているのではないかと考えています。
 
これで良いのでしょうか。人員についての主張は理解できるものです。当局には、対処すべきより深刻な犯罪が多くあります。しかし、これを受け入れてしまえば法と現実がさらにかけ離れることになってしまいます。何か不正があっても罰せられずにすむことを誰もが知っているのです。これで良いわけはありません。人員を増やし、国際的な調査をスムーズに行えるよう熱心に取り組むべきではないでしょうか。これこそが、現在の法を執行できる唯一の方法です。
 
もう1つの方法は、ネットに関する議論について私たちの考え方を変えることです。もし私がネット上で性的マイノリティを擁護するようなことを書けば、多くの人が嫌悪感を示し、私のことを悪く考えるでしょう。しかし、この人たちが私の書いた内容に対し自分の考えを書き込み、コメントしたとしたら、何か状況は変わるでしょうか。そんなことはありません。逆にこのような場合、多くの人は侮辱されたと感じるでしょう。私たちは、これまでとは異なるネット上の議論の風潮に、徐々に慣れてきていると思います。ある種の書き込みに対して否定的な意見が寄せられることを私たちは認識しています。こうした否定的な意見に対してどう対応すべきか心得ており、事実無根の誹謗中傷については無視することができます。私たちは信頼できる人物からの意見を重視するため、匿名の投稿は必然的に重要性が低くなります。事実無根で単に感情を吐露したようなものは単に無視すればよく、標的となった人ではなく、書き込んだ人が恥ずべきものです。私たちはこの考え方に向かって進んではいますが、完全にこの考え方が身についているかと言えばまだまだです。
 
しかし、どちらの方向に進むべきでしょうか。現行の法律を執行し、匿名で中傷する人を起訴するために懸命に取り組むべきなのか。それとも、新しい議論の文化に対する私たちの考え方を身につけるべきなのか。この世の中、白黒はっきりさせることは決してできません。これら両面で自然に発展していくものです。しかし、自分で決めることができるとしたら、どちらの方向に舵を取りますか。より重要だと考える方を選ばなくてはなりません。

ネット上の誹謗中傷などにどう対処すべきでしょうか。

・誹謗中傷についての現行の法律は適切であり、新たなテクノロジーが新たな問題をもたらすとしても、それを執行するために懸命に取り組むべきである。
"The current law about defamation is good and we should work hard to enforce it, even when new technologies bring new challenges."

・ネット上の誹謗中傷に関する法律を厳格に執行することは非常に難しく、人員を浪費するだけだ。ネット上の新しい文化に対する考え方を身につけるべきである。
 "Strict enforcement of defamatory laws on the net would be very hard and an unnecessary waste of resources. We have to adopt our mindset to a new culture on the net."

投票と結果表示はこちらから可能です。

 
ご意見お待ちしております。アンケート結果は一定の期間公開され、十分なデータが集まった時点でアンケートを終了します。
 
安全なネットサーフィンを。
Micke

>>原文へのリンク

エフセキュア 法人向け製品でWindows Server 2003のサポートを延長

エフセキュア株式会社は、法人向け製品でWindows Server 2003のサポート終了後も一定期間サポートを継続いたします。

日本マイクロソフト社のオペレーティングシステム Windows Server 2003のサポートが2015年7月14日に終了します。開発元がサポートを終了したオペレーティングシステムを継続して利用することは、セキュリティやコンプライアンスの観点からみて大きな危険性があります。サポート終了後は、新たにオペレーティングシステムの脆弱性が発見されたとしても、セキュリティパッチが提供されることがないため、エクスプロイトを利用したハッカーやマルウェアの侵入、またそれに伴う情報漏えいの危険性がつきまとい、時間と共にそのリスクレベルは大きくなっていきます。しかしながら、Windows Server 2003は多くの企業で業務の基幹システムなどにも採用されており、サポート終了日の2015年7月14日までに全てを最新のオペレーティングシステムに移行させることは困難な状況です。

エフセキュアはこの状況を認識し、日本マイクロソフト社のサポート終了後も、Windows Server 2003にインストールされている法人向け製品に対し、延長サポートを提供することで、Windows Server 2003から最新のオペレーションシステムへのアップグレードの支援をいたします。なおこの延長サポートは、あくまでも上位のオペレーティング・システムへ一刻も早く移行するための経過処置であり、完全にセキュリティのリスクを回避できるものではありません。


Windows Server 2003向け延長サポート対象製品情報



  • サポートが終了したオペレーティングシステムを継続してご利用されることは、セキュリティリスクを抱えることになるため、早めにサポート対象のオペレーティングシステムへ移行されることを推奨致します。
  • セキュリティパッチが提供されず、脆弱性が修正されないままのオペレーティングシステムでは、エンドポイントセキュリティ対策製品でエクスプロイトから保護することが出来ない可能性があります。
  • サポート終了時点で、最新のサービスパックおよびパッチが適用されているオペレーティングシステムがサポート対象となります。
  • オペレーティングシステム自体に起因する不具合に対しては、弊社ではサポート対応できない場合がございます。

フィッシングサイト構築キットの設置者例

9/9付けのトレンドマイクロ社のブログへの投稿でApple ID詐取を目的とした「フィッシングサイト構築キット」について報告されています。ちょうど、私も類似のキットをネットサーフィン中に発見しましたので便乗させて頂きたいと思います。
キットの内容や対策等は、トレンドマイクロ社の報告にお任せするとして、ここでは設置者について触れてみたいと思います。

現在、Apple ID等を狙った類似のキットの悪用は複数サイトで確認されています。その多くは”apple.zip” といったファイル名で設置されており、利用されている言語も様々です。恐らく、世界各国で悪用されているのでしょう。
いずれのキットも、トレンドマイクロ社の報告にあったように、認証なしで上位ディレクトリの情報が閲覧可能な設定となっていたウェブサイトに設置されていました。いくつかのウェブサイトはブラックリストに登録済みのものもあり、恐らく過去にフィッシングサイト等で悪用されていたものと思われます。

apple phishing kit

そんな中、これらのフィッシングサイト構築キットで目を引いたものがありました。
下図の$bilSndの箇所なのですが、情報の送信先のメールアドレスが記載されており、そのアカウント名に違和感を覚えました。というのは、そのスペルに覚えがあったからです。

Phishing Kit ソースコード

どこで目にしたかおぼろげな記憶を頼りに、調べていくと見つかりました!
それは以前に、セキュリティ関連の教育動画のコメント欄で見たものでした。このユーザはクラッキングの動画に興味があるようで、しばしばコメントを残していました。また、あるSNSでも同名のアカウントを利用しており、同様の動画がリンクされていましたので、恐らく同一人物だと思われます。
時々、サイバー攻撃者の過去の戦績等がウェブで見つかることはありますが、このようにプライベートの活動履歴が残っているケースは稀です。(ワザとかもしれませんが・・・)
さらに、関連性のあるハンドルネームによるウェブ改竄のインシデントも報告されており、私見ですがこれも同一ユーザではないかと勘ぐっています。

attacker ??

また、彼は英語、アラビア語を使うことができるようです。どこの国のユーザか不明ですが、興味深い点ではあります。
残念ながら、現時点では彼が構築キットの設置者であるかは断定できません。しかし、少なくともフィッシングサイトから彼のメールアドレスに第三者の機微情報が送信されていた可能性は高いと言えます。そして、恐らく彼はプロのサイバー攻撃者では無く、他の攻撃事案を模倣して構築キットを設置したのだと推測します。理由のひとつとして、ソースコードが非常に単純で他の構築キットと比較すると少々物足りなさがあったためです。
まあ、彼の素性は兎も角とし、世界はiPhone 6 および Apple Watchの発表に喜々としています。この社会的背景を踏まえますと、さらに模倣犯が増大するとの見方が自然です。そういった意味では、Appleに関連付けたサイバー攻撃はこれからが本番かもしれませんので、引き続き注意しておく必要がありそうです。

ちなみに、私はMoto 360に興味津々です。。。

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード