2月1日金曜日。Twitterがハッキングされたとアナウンス。情報セキュリティ部門のディレクターBob Lord氏によるブログへの投稿(Keeping our users secure
)では詳細不明だったが、ブラウザのJavaプラグインを無効にするように推奨。

 そして同氏によると、攻撃者は「非常に精通しており、
他の企業や組織も最近同様の攻撃を受けたことを確信している」とのことだ。

And we believe other companies and organizations have also been recently similarly attacked

 2月15日金曜日。Facebookがハッキングされたとアナウンス。セキュリティ・チームのノート(Protecting People On Facebook)によれば、ほんの一握りの従業員が、「ラップトップマルウェアをインストールするエクスプロイト」のあるJavaをホストしている、侵害されたWebサイトを訪れたとのことだ。

Allowed malware on laptops

 したがって、デフォルトではブラウザのJavaプラグインを無効にし、実際に必要なときにのみ有効にするといい。しかし、我々はとっくにそんなことは知っていたよね?

 そして他のみんながOracleをバッシングしている間に、我々はもっと興味深い疑問を抱く。どういった種類のラップトップに、どんなマルウェアが

 なぜかって?それは、Facebookの従業員の写真の中で、我々がほぼ常に目にするラップトップの種類がMacだからだ。

 以下は、Facebookのセキュリティ・チームのカバー写真だ。

Own Your Space
画像Facebook Security:「Own Your Space

 我々は2月4日の時点で既に、エクスプロイトがドアを開けることを推測していたが、そのドアをくぐって、シリコンバレーの若いお利口な開発者のMacBookまでやってきたのは何だったのだろうか?

 さて、実に興味深いことに、先週の金曜日の夜、(メーリング・リスト経由で)分析用に新しいMacのマルウェアのサンプルをいくつか受け取った。1月31日、つまりTwitterのアナウンスの1日前に、VirusTotalにアップロードされたサンプルだ。

 サンプルのうちの1種類はカスタム・コンパイルされたSSHデーモンで、我々はエクスプロイトがこれを入れた可能性が非常に高いと疑っている。その他のものはバイナリではないので、実際には「サンプル」ではない。1行プログラム(Perl)で、スタートアップ時に実行してリバース・シェルを開くものだ。

 使用されているURLには「Apple Corp」のスペル間違いが含まれ、デジタル・コンサルティング企業のようにも見えるし、クラウド・ストレージ・サービスを装っているようにも見える。

 オーケー、つまり今そこにMacの脅威があり、大半のMacユーザはまったくそれに気づいていない。ユーザ達は間違ったセキュリティ感覚を持っている。それは良くない、だよね?しかし、実際にあらゆる点を考察すると、これは最悪なことでもない。このJavaエクスプロイトが置かれていた、セキュリティ侵害されたWebサイトはどこだったのか?Facebookのノートによれば、それはモバイル・アプリケーションの開発者のWebサイトだった!

Visited a mobile developer website that was compromised

 理解した?モバイル・アプリケーション開発者を狙った
、「水飲み場」型攻撃("watering hole" attack)なのだ。


 たとえば…、モバイル機器をハッキングできないかな?オーケー、それなら、
上流に行って、モバイル・アプリケーション開発者をハッキングしよう。開発者のソース・コードに何でも好きなものを差し挟めるところだ。

 TwitterとFacebookにはもちろん、トラブルを警戒する専属のセキュリティ・チームがあるだろう(両社は大きな標的だ)。残念なことに、両社より小規模な他の(大きなユーザ基盤を持つ)シリコンバレーのスタートアップには、同様のリソースはない。この時点で、誰かがWhatsAppの人に連絡したことを切に願っている。Google Playによれば、WhatsAppは少なくとも1億本はインストールされている

 この世には数百万まではいかなくとも数十万のモバイル・アプリケーションがある。モバイル・アプリケーションの開発企業のWebサイトに、最近、どれくらいのアプリケーション開発者がアクセスしていたと思う? Macで…、そして非常に間違ったセキュリティ感覚で。

 もしこの水飲み場型攻撃が、実際にはTwitterやFacebookのような大規模プレイヤーだけを狙っているなら、非常に幸運というものだ。反対に、このキャンペーンに可能な限り多くの開発者をハッキングするというような、もっと広範な目標があったのなら?自分自身のデバイスのポリシーに疑問を投げかけよう。BYOD=Bring Your Own Destruction(訳注:破滅)?
 
アドバイス

 SSHデーモンを侵害されたシステムには、以下のうち1つのファイルがあるだろう。

  •  com.apple.cupsd.plist
  •  com.apple.cups.plist

 Perlを侵害されたシステムには、以下のうち1つのファイルがあるだろう。

  •  com.apple.cocoa.plist
  •  com.apple.env.plist

 ブラウザでJavaを有効にしていて、ここ2ヶ月の間にモバイル・アプリ開発者のWebサイトにアクセスし、自身のコンピュータに証拠が残っているなら、侵害されている。ソース・コードのバージョン管理システムを用いて、最近コミットしたものを確認すべきだ。

 そしてもし(SVNGitといった)バージョン管理システムを使っていないのなら、コード全体を読む時間を楽しむといい。

追記:Windowsを利用する開発者についてはほとんど言及せずにきたが、同様の用心を行うべきだ。