Apple関連のハッキングには、たくさんの複雑な話が含まれる。タイムラインでおさらいしよう。
2月1日:Twitterの情報セキュリティ部門のディレクターBob Lord氏が、Twitterのブログに「Keeping our users secure」という記事を投稿。金曜日のことである。NFLのスーパーボウルがあった週末だ。Lord氏は同社がハッキングされ、結果的に25万個のアカウントのパスワードをリセットすることになったと説明した。同氏はブラウザのJavaのプラグインを無効にするようにアドバイスした。
2月1日:アメリカ国土安全保障省のUS-CERT(United States Computer Emergency Readiness Team)は、OracleのJavaにある複数の脆弱性について警告するアラート(TA13-032A)を発した。
2月1日:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを公開。
2月4日:月曜日。当社からAppleに次のように連絡。Lord氏の投稿に基づき、Macのペイロードだと推測している。当社と共有できるサンプルをいただけないだろうか。以下はその回答。「Twitterは当社にサンプルを提供していない。」
2月4日:本ブログの「What is Java technology and why do I need it?」という投稿で、Twitterの開発者のMacが、ブラウザのJavaプラグイン経由で侵害されたのではないかと推測。また、AppleのXprotectがJava 7 Update 11(およびそれ以前)をブロックしたのかどうかという関心事とともに触れた。
2月5日:US-CERTが上述のアラートを更新。
2月7日:OracleがJava(JRE 7 Update 11以前)のクリティカル・パッチ・アップデートを予定より前倒しでリリース。対応した脆弱性の1つが「世の中で活発に悪用されている」との理由による。
2月7日:AdobeがAdobe Flash Playerのセキュリティ報告を発行。以下、その報告より。「Webサイトにホストされた悪意のあるFlash(SWF)コンテンツ経由でもたらされる、Macintoshプラットフォーム上のFirefoxまたはSafariのFlash Playerを狙った攻撃の中で、CVE-2013-0634が世間で悪用されているとの報告については、当社も認知している。〜」
ヒント:Mac用のGoogle Chromeはここからダウンロードできる。
2月8日:本ブログの記事「アップデート:MacおよびWindowsを標的にしたFlash Playerエクスプロイト」で、Lockheed MartinのCIRTがAdobeの調査に貢献したことに触れる。
2月8日:AlienVault Labsの人が「Adobe patches two vulnerabilities being exploited in the wild」ファイルというFlash Playerの脆弱性を突くWindowsベースの攻撃について解説している。
2月12日:AdobeがFlash Playerのセキュリティ・アップデートをリリース。
ヒント:自分のFlash Playerのバージョンはここで確認できる。
2月15日:Facebookのセキュリティ・チームが自身のページ上に「Protecting People On Facebook」という記事を投稿。金曜になる。米国で3連休になる直前のことだ。セキュリティ・チームは、Facebookの一部の従業員の「ラップトップ」がJavaエクスプロイト経由でハッキングされたと説明。
2月15日:FacebookのCSO(Chief Security Officer)Joe Sullivan氏がArs TechnicaのSean Gallagher氏によるインタビューを受ける。Sullivan氏は攻撃に関連するC&Cサーバは第三者によってシンクホールと化し、トラフィックによれば他にも数社影響を受けたことが示されている、と述べた。
2月15日:Macのサンプル(bookdoor)がアンチウイルスのメーリングリストで共有される。
2月18日:当社のヘルシンキを拠点とするMacアナリストBrodがbookdoorをテスト。我々はすぐに、関連のあるC&CサーバはすべてThe Shadowserver Foundationによってシンクホール化されていることを確認した。Macにおける最近の他のバックドア、たとえばウイグルの人々を標的にしたようなものは、こうした方法でシンクホール化したりはしていない。これはバックドアが法執行機関の捜査の一端であることを我々に指し示すものだ。CSOのJoe Sullivan氏が元は米国の連邦検事であることを知るに至り、我々はFacebookとのつながりを推測している。
2月18日:本ブログへの投稿「Facebookのハッキングと、モバイル・アプリ開発者への水飲み場型攻撃と、Macのマルウェア」では、いくつかの点がつながった。攻撃源は侵害されたモバイル・アプリケーション開発者のWebサイトだというFacebookの説明について触れた。
2月19日:Javaエクスプロイト経由でAppleの従業員もハッキングされていたと、ロイターが第一報を伝える。ロイターによると「この件について聞き取りを行った人は、防衛事業者を含め数百の企業が、同一の悪意のあるソフトウェアに感染した、と述べた」とのことだ。
2月19日:AllThingsDのMike Isaac氏が侵害されたモバイル・アプリケーション開発者のWebサイトはiPhoneDevSDKだと報告。
2月19日:OracleがJava(JRE 7 Update 13以前)のクリティカル・パッチ・アップデートを「特別に」リリース。これには、2月1日以降のすべての修正に加えて、「以前に配布を計画していた5件の修正」が含まれる。
2月19日:Appleがマルウェアを削除するツールを含め、セキュリティ・アップデートを公開。
2月20日:iPhoneDevSDKの管理者Ian Sefferman氏が先のAllThingsDの記事について、「この侵害について何も知らないし、侵害の可能性についてこれまでにFacebookや他の企業、法執行機関から一切の連絡を受けていない」と記載した。
クリックで画像が拡大。
2月20日:複数の情報源がAppleへの攻撃が東欧から行われたことを示唆したと、ブルームバーグが報告。
公開質問
Q:AdobeはFlashを狙ったWebサイト上の攻撃について世の中に報告した。こうした攻撃は防衛事業者をターゲットにしているように見える。この水飲み場はどこにあるのか?
Q:影響を受けた企業は何社か?
Q:Shadowserverのシンクホールへ張られた、ユニークな接続の本数は?
Q:今回の類いのことが、どのくらいの期間続いていたのか?2012年10月にユーザがOS Xにアップデートした際に、AppleはMacからの、古いバージョンのJavaの削除を始めた。これは、先を見越した決断だったのか、それとも何かに反応したのか…。Macは何回危機にさらされてきたのか?
考察
Macには実世界で15%前後のマーケットシェアがある。このようなマーケットシェアでは、Macを保有する平均的な消費者を狙った、コモディティ化された「Malware as a Service」を悪者が一括で開発するモチベーションは相対的に低くなる。自宅でMacを使う人々は、今日も昨日と同等に相対的にセキュアだ。そしてそのため、おそらくそうした人々としては理にかなったセキュリティ感覚なのだ。
しかし「開発者の世界」では、Macはずっと高いマーケットシェアを持つ。(我々の当てずっぽうでは、シリコンバレーではおそらく85%と、現実世界を逆転しているのではないかと思う。)そのため悪者にとっては、Macベースのペイロードを組み入れた「洗練された」攻撃を行うことに、相対的に高いモチベーションが存在する。仕事にMacを使う人々は、家庭でのユーザと同じセキュリティ感覚を持つのではいけないのだ。明らかに、仕事用のMacはより標的になるのだから、その脅威レベルに見合ったいっそう高度なセキュリティ上の見込みを持たねばならない。
「15%」の攻撃モチベーションと想定される開発者達 - 彼らのパラノイアも不十分だ - も間違ったセキュリティ感覚で作業を行っている。ビジネスごと組織ごとに再評価する時が来た。
最低限、開発者といったプロフェッショナル達は、(生産のバックエンドへのアクセスがある)仕事と遊びを切り離すべきだ。分離したハードウェアがないなら、仮想マシンを分離する。