エフセキュアブログ

ハッキング を含む記事

Sonyハックに関する質疑応答

PlayStation Network is currently undergoing maintenance.

Q:PSNとは何か?
A:オンラインゲームネットワーク「Sony PlayStation Network」のことだ。

Q:PSNにアクセスできるデバイスは?
A:Sony PlayStation 3(PS3)、Sony PlayStation Portable(PSP)だ。SonyディスカッションフォーラムでPSNログインを使用することもできる。

Q:Playstation 3を持っていれば、PSNアカウントも持っているということか?
A:そうとは限らない。PS3とPSPはインターネット接続無しでも充分に使える。しかし、ユーザの大多数はオンラインアクセスも利用しており、したがってアカウントも作成している。

Q:ゲームネットワークがクレジットカード情報を持っているのは何故?
A:PSNはメディア配信ネットワークでもある。ユーザはそこからゲームや映画、音楽などを、クレジットカードを使用して購入する。

Q:PSNはどのくらいダウンしているのか?
A:2011年4月20日からだ。

Q:盗まれたのは何?
A:Sonyによれば、全PSNユーザの氏名、アドレス、メールアドレス、誕生日、パスワードおよびハンドルが、盗まれた情報に含まれている。彼らはまた、クレジットカード番号も盗まれたかもしれないが、セキュリティ(CVV)コードは含まれていないと考えている。

Q:どれくらいのアカウントが盗まれたのか?
A:最大7700万アカウントだ。これは過去最大のデータ漏洩の一つとなる数値だ。

Q:エンドユーザは何をすべきか?
A:どこか他のサービスで、同じユーザ名/メールアドレスを同じパスワードで利用しているなら、パスワードをすぐに変更すること。PSNがオンラインに復帰したら、同サービスでもパスワードを変えることだ。

Q:クレジットカードに関して、エンドユーザは何をすべきか?
A:不正な買い物の兆候がないかどうか、注意深くクレジットカードの明細をチェックすべきだ。詐欺の兆候に気づいたら、クレジットカード会社に報告すること。

Q:オンラインで利用するのに、推奨するクレジットカードは?
A:一般に、利用明細を注意深くチェックしている限り、クレジットカードは他の支払い方法よりも安全だ。我々は特に、Bank of Americaが提供しているようなシステムが気に入っている。オンライン利用のため一時的なクレジットカード番号を生成できるからだ。CitibankやDiscoverが、同様の、あるいは類似のテクノロジを提供している。

Q:誰がPSNをハッキングしたのか?
A:分からない。

Q:「Anonymous」なのか?
A:「Anonymous」は昨今、Sonyの戦略(自作ソフト開発者に対する告訴、AIBOハッカーへの攻撃、エミュレータ企業のシャットダウン、ルートキットの出荷等々を含む)に抗議するため、Sonyに対していくつかの攻撃を仕掛けた。しかし「Anonymous」は、今回の漏洩に関係していないと発表している。

Sony vs Anonymous

Q:「Rebug」との関係は?
A:「Rebug」はPS3用のカスタムファームウェアで、これ以外ではリーチできない多くの機能にアクセスすることができる。特に、最近のバージョンでは、通常のPS3をデベロッパユニットのようにすることができる。場合によっては、これはPSNショップから無料でコンテンツを盗むのに用いることができる。「Rebug」ハックは、それが動作しているPS3ユニットから証明書やクレジットカード番号を盗むのに利用されるが、より大きなスケールで情報を盗み取るのに利用するための明白な方法は存在しない。「Rebug」開発者はどんな形であれ、「Rebug」が今回の漏洩に関係していると考えてはいない

Q:では、XBOXやWiiのゲームネットワークでは、こうしたことは起こりえないんでしょう?
A:それはどうだろう。

Sonyへのリンクはここ:公式Q&A

2011年5月3日に質問事項を追加:

Q:「SOE」とは何か?
A:「Sony Online Entertainment System」のことで、PSNのようなPCゲーム用のオンラインゲームネットワークだ。

Q:「SOE」には、私が耳にしたことがあるようなゲームはあるのか?
A:「EverQuest」がある(これはその中毒性から「EverCrack」としても知られている)。そのほか、「Star Wars Galaxies」「The Matrix Online」「PlanetSide」「DC Universe Online」といったゲームがある。

EverQuest II image from mmofront.com

Q:「SOE」に何が起こったのか?
A:これもハッキングされた。Sonyは5月3日、攻撃者が2460万のSOEアカウントの個人情報を盗んだと発表した。その情報には、氏名、アドレス、電話番号、電子メールアドレス、性別、生年月日、ログインID、およびハッシュ化したパスワードが含まれている。「PSN」および「SOE」を合わせると、トータルで1億以上のアカウントが盗まれたことになり、これはある種の記録と言える。かなり大きなもので、例えば、エフセキュアにも影響を受けた従業員が多くいる。

Q:他に何か盗まれたのか?
A:攻撃者たちは、「2007年来の旧式のデータベース」を盗むことができた。これは、12,700件のクレジットカードもしくはデビットカード番号、ヨーロッパのカスタマのダイレクトデビットカード履歴10,700件を含んでいる。

Q:Sonyは何故「2007年来の旧式のデータベース」をオンラインで使用していたのか?
A:まったく何故だろう。

Q:「2007年来の旧式のデータベース」で、クレジットカード番号は暗号化されていたのか?
A:Sonyは発表していない。

Q:彼らは何と言っているのか?
A:ここに、「SOE」カスタマへの発表がある。

Q:誰がやったと思う?
A:分からない。だが、Sonyのデンバー、シアトルおよびトゥーソン・スタジオで起きたレイオフと関係があるのではないか、という推測は存在する。

Q:Sonyは何故嫌われるのか?
A:「MAKE」誌が、それに関する長文の記事を掲載している。要約すると、Sonyには正当な革新や愛好者、競争を追い込んできた長い歴史があるから、ということだ。たとえば:

  •  隠されたWindowsルートキットを含んだ音楽CDを出荷
  •  SonyのAiboを踊らせることができるソフトウェアを作成したとして愛好者を威嚇
  •  古いPlayStation 1のCDをPCでプレイすることを可能にするエミュレータを作成したいと望んだベンダをシャットダウン
  •  リージョン規制をバイパスするためのシステム構築を行った企業を告訴
  •  PS3でのLinuxサポートを停止
  •  メーカ、Geohotのようなハッカーを告訴
  •  そして現在:ユーザの個人情報、クレジットカード番号、銀行口座の詳細を紛失

ハッカーグループが数百万のパスワードを「password」に変更;気付いたユーザは38パーセントのみ

passwords  300万以上のユーザアカウントのパスワードが、ニュースサイト、リテールサイト、そしてWeb 2.0サイトに影響を与えた広範囲にわたるハッキングにより、昨夜遅く、「password」に変更されたようだ。この影響を受けたユーザのほとんどは、同攻撃に全く気付いていない。

  現在の統計によれば、影響を受けたユーザの62パーセントは、パスワードが元々「password」であったことから、気が付いていない。

  いくつかのサイトが、障害の生じたアカウントを保護するための対策を講じていると報じている。さらに、多くのサイトがパスワードに「password」という言葉を使用することを禁じる、新しいルールを作成している。

  このハッキングに対するユーザの反応は激烈だが、多くのサイトが世界で最もポピュラーなパスワードの一つに対して進めている禁止にも、さらなる反発が生じている。オンライン暴動が予想される。

  昨晩の攻撃を行ったのは自分達だと、「Obvious」という名のハッカーグループが主張している。ハッキングされた数千のTwitterおよびFacebookアカウントは、「We are all Obvious! Don't Expect Us」というメッセージを投稿した。

  300万以上のユーザ名を含む1.9ギガバイトのファイル — そして一つのパスワード — が現在、「The Pirate Bay」を介して共有ファイルとしてダウンロード可能だ。

  将来、このような問題を避けるには、ユーザには自分のパスワードを「password1」に変更するようおすすめしたい。これはObvious(明らか)に、よりセキュアだ。

Amazonのお粗末なパスワードポリシー

親愛なるジェフ・ベゾス殿

  長年のAmazonカスタマとして、非常に期待しながら、Amazon Cloud Driveを利用した新しいAmazon Cloud Playerを試してみました。

  そして正直なところ — かなり良いと思います。

Amazon Cloud Drive

  「全カスタマは、5GBの無料Cloud Driveストレージが利用できる。期間限定で、MP3アルバムの購入により20GBに無料アップデート可能だ。」

  わあ、5GBを20GBに無料アップデート? すごい。

  ただ一つ、大きな問題が…

  Amazonのパスワードポリシーが、大いに不足している点です。

  以下は、誰かが自分のパスワードを「password」あるいは「123456」と設定しようとした時に示されるメッセージです。

Amazon Password

  え、何だって? 「password」と「123456」で、完了…?

  なんて事だ、少なくともAmazonのパスワードポリシーは「1234」を受け入れていないのに。

Amazon Problem

  さて、Amazonには、何者かがアカウントをハッキングし、新たなアドレスに商品を出荷することを防ぐ、優れた備えがあります。そのためには、攻撃者はクレジットカード番号全てと、その他の詳細情報を必要とします。

  ところが、あなた方は製品をクラウドに持ち込みました! 出荷は必要ありません。

  クレジットカードに結びつくギガバイトのオンラインストレージは、ハッカーたちにとって実に魅力的なターゲットとなるでしょう。そしてAmazonアカウントは電子メールに基づいているため、ハッカーは直接Amazonをフィッシングする必要さえないのです。彼らは電子メールアカウントをフィッシングし、「amazon.com」で同じパスワードを試すことができるのですから。

— 別の問題 —

  間違ったパスワードを使用して、10回以上、自分のアカウントにアクセスしてみました!

  ブルートフォースに対する防御はどのタイミングで開始するのでしょう?

  私は12回目(あたり)で正しいパスワードを使いましたが、ダイレクトアクセスできました。

  …

  よろしいでしょうか、私は本当に新しいクラウドドライブを評価しています。

  ですが、保護するための何らかのより良いセーフガードを制定して頂くまでは、このドライブは使用しないと思います。

敬具
ショーン・サリバン

エジプト、FinFisher侵入ツールそして倫理

  エジプト、チュニジア、リビア、バーレーンなど、アラブ世界に不穏な空気がある。

  2日前、エジプト・ナスルの抗議者たちがエジプト国家保安本部を占拠した。

  本部内で、抗議者達は多くの国家機密書類にアクセスした。

binders

  それら書類の中に、コンピュータセキュリティに密接に関連するものがあった。「FinFisher」という製品のオファーが、エジプト国家保安調査局に送られたというのだ。

finfisher

finfisher

finfisher

finfisher

注:我々はこの書類の発信元を確認することはできない。受けとったのはMostafa Husseinからだ。全文書はここからダウンロードできる[pdf、1.3MB]。

  「FinFisher」は、侵入及びスパイソフトウェアフレームワークで、ドイツの企業により開発、販売されているようだ。「感染プロキシ」、様々な侵入ツールなど、複数のコンポーネントを含んでいるようだ。

  エジプト国家保安当局が同ツールを購入したか否か、我々には分からない。また、彼らがそれを国民をスパイするために使用したかどうかも分からない。他に誰が利用し得るかも分からない。

  ここでの明白な疑問は「我々はFinFisherを検出しているか?」ということだ。答えは「分からない」だ。これを確認するために使用できるサンプルを入手していないからだ。

  これに関連する明白な疑問は、誰かが我々にFinFisherの既知のコピーをくれたなら、我々はそれと承知して、検出に追加するか、といことだ。そしてその答えは「そうする」だ。

  我々はプロテクションの販売に従事している。そのソースが何であれ、攻撃プログラムから我々のカスタマを防御する製品を販売しているのだ。

  カスタマがいかなる不正も犯してはいないのに、関与していない犯罪に関して嫌疑をかけられるというケースは、容易に想像できる。このような状況で、カスタマは自分のアンチウイルスが、トロイの木馬から完全に保護されることを期待するはずだ。たとえそれらトロイの木馬が、政府に由来するものであっても。カスタマが全体主義国家に暮らしているなら、これはさらに重要だろう。我々のカスタマの一部がそうしているように。

  我々が既に「FinFisher」のサンプル、あるいは類似するツールのサンプルを、カスタマから受けとっているということは全くあり得ることだ。しかし、そういうことがあっても、「通常の」犯罪的トロイの木馬との区別はついていない。我々は既知のいかなる政府侵入ツールも所持していない。

  我々は世界中のいかなる警察、あるいは諜報組織からも、彼らのトロイの木馬を検出しないようにというリクエストを受けてもいない。彼らがトロイの木馬を使用しているなら、我々にそれを提供していない。

  そして、たとえ当局が我々に接触し、彼らのトロイの木馬を検出しないよう要請したとしても、我々は2001年に発表した我々のガイドラインに従うまでだ。この件に関しては、我々の公式なステートメントをご覧頂きたい。

  政府のトロイの木馬検出を停止するのは、危険な道筋だ。もしも米国政府が我々に何かを検出しないよう依頼し、我々がそれに従った場合、何をすればいいのだろうか? 我々はどの政府が使用しているハッキングソフトウェアの検出を避けるべきなのか…? ドイツ? 英国? イスラエル? エジプト? イラン?

「SHA-1+salt」はパスワードに十分だと思いますか?

  アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析と開発に専心しているオンラインフォーラム「rootkit.com」をハッキングした。「rootkit.com」の全ユーザパスワードに障害が起きている。

  この件に関連して、アプリケーションセキュリティで気に入っているトピック、すなわちパスワードハッシュについて指摘したい。

I've forgotten your password again, could you remind me?

  Web(およびその他の)アプリケーションが、ユーザパスワードのハッシュにMD5、SHA1またはSHA-256を使用しており、先進的なデベロッパさえ、そのパスワードをsaltしている。そして私は長年に渡って、salt値はどのように生成されるべきか、どのくらいの長さであるべきかについて、白熱した議論を目にしてきた。

  残念なことに、ほとんどの場合、MDおよびSHAハッシュファミリーは計算速度のために設計されており、そして「rootkit.com」で起こったように、salt値のクオリティは、攻撃者が完全なコントロールを握ったとき、重要ではないという事実が見逃されている。攻撃者がルートアクセスを有するとき、彼らはあなたのパスワード、saltおよびあなたがパスワードを確認するために使用するコードを獲得する。

  そして、どんなセキュリティ設計でも基づくべき推測は、攻撃者がサーバ上のすべてにアクセス可能である、ということだ。

  saltは主として、レインボーテーブルとしても知られる、事前計算された攻撃を防止することを目的としている。そして事前計算された攻撃が防止される限り、たとえ攻撃者がユーザパスワードと共にsalt値を獲得したとしても、パスワードは比較的安全だと、一般に推測されてきた。

  しかしMDおよびSHAハッシュバリアントは、計算速度のために設計されており、これは、処理用のビデオグラフィックスディスプレイカードを使用すると、攻撃者が1秒に何億ものブルートフォースを容易に試みることができるということを意味する。

  以下を参照:http://www.golubev.com/hashgpu.htm

  すなわち、単一のATI HD 5970でさえ、攻撃者は33日で典型的レインボーテーブル(2^52.5ハッシュ)に相当するパスワードスペースをカバーすることができる、ということを意味している。そしてシリアスな攻撃者が、仕事に複数のカードを使用していることは間違いない。

  攻撃者があなたのsalt値とコードを獲得した場合、ユーザアカウントを保護するものは、使用されているパスワードの強度しかないが、我々はあまり、エントロピーの良いソースであるとは言えない。辞書攻撃とブルートフォースの手法を組み合わせることによって、多くのアカウントを持つ大規模サイトであっても、かなりの量のパスワードを破るのに、それほど長い時間はかからないだろう。

  このような事態を避けるには、どうすべきだろう?

  最初に考えるべきことは、パスワードが現実世界の金庫に非常に似ているということだ。重要なのは、中身を守る金庫を開けるのに必要なコードの長さだけでなく、開けるのにどのくらいの時間が掛かるかということだ。

  これは、SHA1あるいは他のプレーンなハッシュアルゴリズムは明らかに、セキュアなパスワード認証向きではないことを意味している。

  我々が使いたいのは、ブルートフォースに対して無力でないものだ。1秒あたり23億回の試みを行う代わりに、あなたは攻撃者を10,000回あるいは100,000回の試みに制限する何かを望むだろう。

  そしてsalt値の使用は適切なインプリメンテーションに不可欠であるものの、あなたの問題を解決する確実な方法ではないのだ。

  それには、以下のプロパティを満たすパスワードハッシュスキームが必要だ:

  •  処理パワーが増大した場合、必要とされる計算時間を容易に調節することができる。
  •  各ユーザが反復の固有番号を持つことができる。
  •  各ユーザハッシュがユニークであり、2人のユーザが同じパスワードであるかを、ハッシュを比較して知ることが不可能である。

  以下から、こうしたスキームをいくつか選ぶことができる:

  •  PBKDF2 http://en.wikipedia.org/wiki/PBKDF2
  •  Bcrypt http://www.openwall.com/crypt/
  •  HMAC http://en.wikipedia.org/wiki/HMAC

  各選択肢はそれぞれの強みと弱みがあるが、これらは全てSHA1+saltのような汎用ハッシュのインプリメンテーションより、はるかに強力だ。

  よって、あなたがパスワードを扱っているなら、上記のスキームのうち1つを選び、望ましい時間(10、200msなど)内にサーバがパスワードをチェックする反復の回数を決定し、それを使用する。攻撃者が各反復で全アカウントに対して試せるようにするのではなく、各アカウントに個別にフォーカスさせるよう、各ユーザに対してユニークなsalt値と反復カウントを用意することだ。

Gawkerのデータ開示

  私は旅行中だったのだが、オフィスに戻ると、キャッチアップすべきニュースがたくさんあるのが常だ。今は、Gawker Mediaのセキュリティ侵害に関する詳細を読んでいるところだ。Gawker/Gizmodo/Lifehackerのコメントアカウント100万以上に、先週末障害が起き、50万以上の電子メールアドレスおよび18万5000もの復号されたパスワードがファイル共有サイト「The Pirate Bay」で共有されている。

  月曜日、アサイー ベリーのプロモーションを行うTwitterスパムが発生した。多くの人が、そうするべきではないにも関わらず、複数のサイトで同じパスワードを使用しているため、障害が起きたGawkerアカウントは、Twitterアカウントへのアクセスを可能にしてしまった…

  もしあなたがGawker関連のサイトを使用しているなら、関連パスワードは全て更新する必要がある。

  このことは非常に興味深いが、私が知りたいと思っているのは、Gawkerに関連したもっと別の事柄についてだ。この6月、「Goatse Security」というグループが、AT&Tウェブサーバの脆弱性を悪用し、iPadカスタマー電子メールアドレスおよびネットワークIDを収集した。

  ウォールストリート・ジャーナルによれば、「Goatse Securityの行動を擁護するブログ記事では、Goatse SecurityはGawkerにデータを提供したのみで、データは後で廃棄したと、同グループのメンバーは語っている。」

  同じGoatseブログの記事で、私は次のように語ったと言われている:「この開示はまったく無責任なものだった。」

  私はこの脆弱性の開示が無責任なものと考えたのだろうか?

  いや、違う。

  私は脆弱性の悪用が無責任であると考えたのだろうか?

  まぁ多少は。つまり、彼らはiPadを購入し、自分達自身を悪用することができたのだから、脆弱性を立証するのに何も他の人々の名前を収集する必要は無かったのだ… が、違う、と言うことにしよう。脆弱性の悪用することさえ、「全く」無責任だった。

  では、私が全く無責任だと考えたのは、何だったのだろう?

  それは、「未編集のデータセット」を「Gawker Media」に引き渡したことだ。

  何故か?

  なぜなら、Goatse SecurityがどれほどGawker/ValleywagのRemy SternとRyan Tateを信用しているにしても(私も彼らは信頼できると確信しているが)、Goatse SecurityはAT&Tのカスタマ情報をGawkerのセキュリティインフラに任せるべきではなかった。

  結局のところ、6カ月後にGawkerはハッキングされた:

Was Your Gawker Password Hacked?
画像はSlateの「Gawkerパスワードをハッキングされましたか?」から

  そして現在、これらのiPadアドレスがどこに行き着いたのか、誰が知っているのだろうか?

  できることなら、FBIの調査終了後、データがGawkerのサーバから削除されていると良いのだが。

  私は今年の6月、Ryan Tateにメールを出し、iPadデータセットがどのように送信されたのかを尋ねた。暗号化されていたのか、それとも暗号化されていなかったのだろうか。しかし返事はもらっていない… Ryanはあのとき、忙しかったのに違いないと思う。

  iPadデータセットはどのように、そしてどんなフォーマットで、Gawkerに送られたのだろうか? そしてどのように、そしていつ、削除されたのだろうか?

ショーン

ノーベル賞事件

  1カ月前、ノーベル賞委員会がリュウ・シャオボー(劉暁波)氏にノーベル平和賞を授与した。同委員会の言葉を借りるなら、氏の受賞理由は「中国における基本的人権のため、長年、非暴力的な努力を行ってきた」ことにある。

Nobel

  2週間前、ノーベル賞サイト(nobelpeaceprize.org)が、Firefoxに対するゼロデイ攻撃によりハッキングされた。

  そして今日、「Contagio」ブログに危険なニュースが掲載された。

  昨日、11月7日に、ある標的型攻撃がローンチされた。この攻撃は「oslofreedomforum.com.」から送られたように見せかけた電子メールを利用しているが、実際は異なる。

  なりすましメールは以下のようなものだ:

Nobel

  「invitation.pdf (md5: 29DB2FBA7975A16DBC4F3C9606432AB2)」というファイルが開かれれば、エクスプロイトを使用して「Adobe Reader」がクラッシュし、システムにバックドアがドロップされる。このバックドアは「phile.3322.org」にコールする。

  これらすべてを隠すため、ユーザには以下のようなファイルが表示される:

[影響を受けた当事者からの要請により、画像は削除された。オリジナルの画像には、ノーベル平和賞授賞式への非常に本物らしく見える招待が含まれていた。]

  誰がこの攻撃を仕掛けたのか、また誰が標的だったのか、我々には分からない。

  エフセキュアはこのPDFファイルを「Exploit.PDF-TTF.Gen」として、同バックドアを「Trojan.Generic.4974556」として検出している。

Email image credit: Contagio Malware Dump

Twitter onMouseOverスパム

  昨日のTwitter onMouseOverワームは、Magnus Holmによって始まった。

  彼のバージョンのonMouseOverワームは、拡散はしたものの削除することができた。そしてこれは単に拡散しただけだったので、Holmは自分のワームは無害だったと考えている。昨年登場したインターネットワームの作者の多くも、同じように考えていた。

  残念なことに、「無害な」ワームは遠からず無害なままではなくなる。Matt Gascoigne、別名@matstaによって書かれた、よりアグレッシブなonMouseOverワームがすぐに登場した。

  以下は、現在は停止されている彼のTwitterアカウントのスクリーンショットだ:

Twitter onMouseOver worm

  彼のツイートのフィードに、2つbit.lyリンクがあるのが分かるだろうか?

  これらは数千回クリックされた。

Twitter onMouseOver worm

Twitter onMouseOver worm

  では、これらのリンクはどこに向かうのだろうか? — 調査だ。

  Matstaは「CPAlead.com」アフィリエイトネットワークにトラフィックを誘導するスパマーだ。

  CPAleadアフィリエイトは、「リード」ごとに最高1ドルかそれ以上支払われる。

  以下はiPadオファーだ:

Twitter onMouseOver worm

  そして以下はTwitterのハッキングを解除する方法に関するアドバイスだ:

Twitter onMouseOver worm

  調査に記入し、メールアドレスを書き込むか、ツールバーをダウンロードする、もしくはSMSサービス(ドル/ユーロ)にサインアップすると、「Ask Dave Taylor」に転送される。

  Matstaはオリジナルコンテンツを提供することさえしていない。彼は単なる代理人に過ぎず、調査をプロモートし、その過程で自分が儲けているのだ。

  Matstaのフィード内のツイートにDanielFarleyに言及しているものがある:

Twitter onMouseOver worm

  そしてFarleyのツイートの1つが、最近作成された以下のFacebookページに言及している:

Twitter onMouseOver worm

  「matsta.org」のGascoigneのサイトは昨日、ビジターをリック・ロールした。

  今日は、ブログが掲載されている:

Twitter onMouseOver worm

  Matstaは次のように書いている:

  「今朝、Twitterで何が起こったかについて、詳しい説明を掲載するつもりだ。」

  彼がどう弁明するのか、非常に興味深い。

  できれば、Twitterの弁護士たちが注目していると良いのだが…

ShaqはWack(ひどい)

Shaquille O'Neal NBA
  オンラインゴシップ誌「Radar Online」が、NBAのスター、シャキール・オニールがハッキングし、証拠を隠滅し、児童ポルノをコンピュータに仕掛けることで、従業員に濡れ衣を着せようとしたとして、訴えられていると報じている

  同訴訟によれば、オニールはパソコンを自宅裏の湖に放り込みもしたという。

  オニール(ニックネームの「Shaq(シャック)」で広く知られている)は、世界で最も有名なプロバスケットボール選手であり、最も裕福なスポーツスターの一人でもある。

  オニール氏は、「THE_REAL_SHAQ」というTwitterアカウントで、活発なオンライン活動を行っているが、今のところ彼は、これらの主張に対してコメントしていない。

  コンピュータセキュリティの分野で働く我々にとって、これらの主張をどう判断するかは少々難しい。他の誰かのボイスメールを聞くことはまったく難しくないし、ラップトップを湖に放り込んで証拠を隠そうとすることも難しくない。よって我々はオニール氏をハッカーには分類しない。しかしこの事件が進捗すれば、さらに多くの事実が明らかになるだろう。

Shaquille O'Neal NBA

  Bob McMillanに敬意を表したい。画像クレジット:Keith Allison

Windows XP SP2にLNKアップデート(KB2286198)をインストールする方法

  Microsoftは7月13日、Windows XP Service Pack 2のサポートを終了した。つまり、昨今のLNKショートカット脆弱性(KB2286198)用のSP2アップデートは無いということだ。「SANS Diary」のこの記事のコメントをチェックすれば、Microsoftの「セキュリティ情報(MS10-046)」に誤植があるため、SP2サポートに関して、当初若干の混乱があったことが分かるだろう。情報は現在、修正されている。

  しかし、今日になっても、Windows XP用のダウンロードにはまだ、ファイルプロパティにSP2が含まれている。

KB2286198, Properties

  しかし、SP2システムに同アップデートをインストールしようとしても、以下のようなエラーメッセージが出る:

KB2286198, Setup Error

  「セットアップは、あなたのシステムにインストールされているService Packのバージョンが、このホットフィックスを適用するのに必要なバージョンよりも古いことを検出しました。最低限でも、Service Pack 2をインストールしている必要があります。」

  この最低限の要件は、SP3を必要とする他のソフトウェア、「Grand Theft Auto IV」のことを思い出させる。

GTA IV

  GTA IVは、2008年12月にリリースされた時、SP2システム上にインストールできなかった。

  そして意志の強いゲーマーたちが、レジストリハックを考えついた。

XP SP2 Registry Hack

  これにより、以下のキー「HKLM\System\CurrentControlSet\Control\Windows」を編集し、DWORD値CSDVersionを200から300に編集すると(そして再起動する)、SP2システムはSP3だとみなすことが分かった。

  GTA IVでは上手く行ったので、我々は「KB2286198」でテストしてみることにした。そして我々のテストは上手く行き、レジストリを調整すると、我々のSP2テストシステムに「WindowsXP-KB2286198-x86-ENU.exe」がインストールされた。LNKエクスプロイトのテストも行ったが、パッチを当てると同システムには感染しなかった。

  クールだ。

  とは言え、このアップデートはMicrosoftによりSP2用に公式なテストが行われたわけでもなく、サポートされてもいないことに注意したい。そして我々は誰であれ、いかなる種類の生産ネットワーク上でも、このような調整を行うことを推奨していない。レジストリのハッキングを行い、アップデートを適用することは、そのシステムを不安定にする原因となりやすい。できるなら、Service Pack 3にアップデートすべきだ。

  もし実験してみたいなら、自己責任で行って欲しい。

追記:読者がSecurity Active Blogへのこのリンクを、この記事のコメント欄にペーストしてくれた。

  Windows XP Embedded用のセキュリティアップデートは、Windows Service Pack 2システムにもインストールできるが、レジストリの調整は必要無い。同ファイルは「WindowsXP-KB2286198-x86-custom-ENU.exe」という名だ。

「トルコのハッカーがハッキング」?

  この12時間、1000以上のTwitterアカウントが未知の方法でハッキングされている。

  その症状は常に同じだ。すなわち、そのアカウントは「トルコのハッカーがハッキング(Hacked By Turkish Hackers)」というフレーズを流布するのに用いられているのだ。

Hacked By Turkish Hackers

  以下は、search.twitter.comによるサンプル・サーチだ。

  エクスプロイト・メカニズムは不明だが、障害が起きた大部分のアカウントは、イスラエルのTwitterユーザーのものだ。

Hacked By Turkish Hackers

  ことによると、ヘブライ語でのTwitterフィッシングが進行中なのかも?

XSS

  企業がクロスサイト・スクリプティング(XSS)攻撃を受けた場合、その出来事の重大性を軽視するのは自然な反応だ。

  結局、サイトのXSS脆弱性は、そのサイトがハッキングされるとか、シャットダウンされる可能性があることを意味しないのだから。典型的なXSSデモンストレーションにより、どこかよそのサイトで奇妙なダイアログ・ボックスが表示されているのを見るにつけても、このような攻撃は非常に無害そうな感じがする。

  しかし、XSSは無害ではない。昨夜、我々は攻撃を受けた。そしてそれを軽視したいとは思わない。

  「f-secure.com」の脆弱性は、セキュリティ研究者Xylitolにより発見された。彼は昨夜、それを報告した。Xylitolは、「army.mil」「ibm.com」「nasa.gov」といったサイトのXSS脆弱性の発見で広く知られている。

  問題が発見されたのは、エフセキュアの「Mobile Anti-Theft」製品(anti-theft-download-wizard.html)のダウンロードページだ。巧妙に調整することで、エフセキュア・サイトを指し示しているものの、クリックすると攻撃者によりコントロールされたJavaScriptを実行するWebリンクを作成することが可能だった。

xss
上の画像は、修正以前にwww.f-secure.com/en_EMEA/products/mobile/anti-theft-download/anti-theft-download-wizard.html?hidManufacturer=%27%22%3E%3C/title%3E%3Cscript%3Ealert%28/Mikko%20rulz/%29%3C/script%3Eにアクセスした結果だ。スクリーンショットは「xssed.net」から。

  我々はほぼ、きちんとやっていた。実際、我々のページのスクリプトは、制御文字と他の危険なコンテンツをうまくフィルタリングしている。しかし残念なことに、「ほぼ」は有効ではない。我々はフィルタリングを一度は正しく行い、一度は失敗している。

  明らかに、我々はこのページに後から思いついて機能を追加した。そしてその機能に対して、コード・レビューやテストが行われなかったのだ。

xss

  この問題は、現在フィックスされている。これは我々のスタティックな「Mobile Anti-Theft」ページのみの問題で、我々のシステムにアクセスされることは一切無かった。この問題は、いかなる有害なアクティビティにも用いられていない。

  では、この脆弱性を利用して、どんなことが行われる可能性があったのだろうか? そう、たとえば、「www.f-secure.com」サイトにリンクして、エフセキュアからのものであると主張する、スパム・キャンペーンを何者かが送信することができただろう。そしてそのリンクをクリックすると、(どこか別のサイトから)ユーザのコンピュータ上に、マルウェアがダウンロードされていたかもしれない。XSS脆弱性は、深刻な問題を生じさせるのに利用することができる。幸運にも、今回のケースでは、何事も起こらなかったが。

  以下は、今回の事件のタイムラインだ:

  •  Xylitolが6月17日の夕方、この問題に関する記事を発表した。
  •  我々は6月17日20時51分(東ヨーロッパ夏時間)、同記事に気付いた。
  •  6月18日2時15分(東ヨーロッパ夏時間)、この問題の修正を開始。
  •  6月18日2時45分(東ヨーロッパ時間)、問題の修正と分離のため、「Mobile Anti-Theft」ページを一時的にシャットダウン。
  •  6月18日6時5分(東ヨーロッパ時間)、同ページを再公開。

オンライゲームのアカウントの価値について

下記の記事を読んでコメントします。

ヘルシンキ発  by:ショーン・サリバン
バーチャルなアカウントの価値が法的に認められたという事は、今後もネット上のバーチャルなモノの価格が換算できるようになるという事になります。 現在、日本ではオンラインゲーム会社の資産に、ユーザーのアカウントの価値や、アイテムの価値などは入っていませんが、そのうち資産計上しなければならないかもしれないという可能性があります。

「WoW」は日本ではあまりブームではないのですが、おそらく、世界で最も人気があるオンラインゲームです。日本で盛り上がっていないのは、日本語サイトが無いからです。(言い切って良いのかは分かりませんが。)
 
ところで、このアカウントハッキングですが、昔から良くありました。
WoWのアカウントがお金になると気がついた犯罪者が、ユーザーから不正に取得したアカウントをRMTに販売しています。
問題を複雑にしているのは、RMTサイトで販売したアカウントが、RMTサイトとユーザーは、正規に販売したものか、ユーザーから不正に取得したものか?が分からないというものでした。
今回の法的な判決での金額は、今までのRMTでのアカウント売買実績があったので、金額を算定できたのでは?と思います。
現在でも「RMT WoW」で検索すると、とんでもない数の検索数が表れますので、一度検索してみてください。

Shadows in the Cloud

  一年前にリリースされたGhostnetホワイト・ペーパーについてご記憶だろうか? 我々は、同ペーパーに関して詳細に記事を掲載した。

  同じ研究者たちが、Shadowserver Foundationの協力を得て、新たなホワイト・ペーパ−「Shadows In The Cloud: Investigating Cyber Espionage 2.0」(PDF)を発表した。

  (「Operation Aurora」流の)標的型攻撃に関するこの調査は非常に詳細なもので、読む価値がある。同調査には、攻撃者の活動方法の概要のほか、スパイ行為の技術的分析が含まれている。

Shadows in the Cloud

  同レポートは可能性のある標的にさえ触れている。

Shadows in the Cloud

  同ペーパーの冒頭を引用すれば:

主な調査結果

複雑なサイバー・スパイ行為ネットワーク
  インド、ダライ・ラマのオフィスおよび国連と、政府やビジネス、そしてアカデミックなコンピュータ・システムを危険にさらした、サイバー・スパイ行為のネットワークに関する証拠を文書化。アメリカ合衆国のパキスタン大使館など、他の多くの機関にも障害が起きた。特定できないものも存在するが、こうした機関の一部は、確実に特定することが可能だ。

機密文書の窃盗
  暗号化された外交文書と思われる1つの文書、「機密」という印のある2文書、「部外秘」とされた6文書、および「親展」扱いの5文書などを含む漏洩データの回収と分析。これらの文書はインド政府に属するものであることが確認されている。しかし、我々はそれらがインド政府のコンピュータから盗まれたものであるという直接的な証拠を持っているわけではない。パーソナル・コンピュータにコピーされた結果、漏洩したという可能性もある。回収された文書には、ダライ・ラマのオフィスから2009年1月から11月の間に送られた1500通の手紙も含まれている。これらの文書から、攻撃者が特定のシステムとユーザを標的としたことがうかがえる。

付随的なセキュリティ侵害の証拠
  一部の回収データには、アフガニスタンでインドの外交使節団に提出されたビザの申請が含まれていた。同データは通常のビザ申請プロセスの一部として、13カ国の人々によりインド使節団に自発的に提供されたものだ。アフガニスタンのような状況では、個人(あるいはオペレーショナルなセキュリティ)に対するリスクは、信任されたパートナーにより管理されている、安全なシステム上でのデータのセキュリティ侵害の結果として起きる可能性があるという、情報セキュリティの複雑な性質を示している。

クラウド・ベースのソーシャル・メディア・サービスに影響を及ぼす指揮管理基盤
  持続性を維持することを目的とした、複雑で段階的なコマンドおよびコントロール基盤のドキュメンテーション。同基盤はTwitter、Google Groups、Blogspot、Baiduブログ、blog.com、Yahoo Mailなどの無料ソーシャル・メデイア・システムを利用している。このトップ・レイヤは障害が起きたコンピュータを、無料のWebホスティング・サービス上のアカウントに向かわせ、そしてその無料ホスティング・サービスは機能しないため、中華人民共和国にある指令管制サーバの安定したコアに向かわせた。

中国のハッキング・コミュニティとのつながり
  Shadowネットワークと成都に住む2人の人物が、中華人民共和国の地下ハッキング・コミュニティとつながりがあることの証拠。

Shadows in the Cloud

自信過剰なパスワード

  人気の高いフィンランドのゲーム&クイズ・サイト「Älypää」が昨夜、データベース侵害を発表した。

  12万7000以上のアカウント名とパスワードが流出した。

alypaa.com

  同サイトは現在アクセスを停止しており、個人情報を保持していないが、Älypääユーザはパスワードをどこか別の所でも使っていないか確認すべきだろう。もし他でも使用しているならば、それらのアカウントにはハッキングされるリスクがある。

  CERT-FIガイドラインはここにある

  以下は、リストにあるドメインのトップ20だ:

Älypää e-mail domain list

  そして以下は、使用されているパスワードのトップ20リストだ:

Älypää password list

  一番人気は? 「salasana」だ。これはフィンランド語で「パスワード」という意味だ。

  その他の語の意味は、Google 翻訳で調べてみると良いだろう。

ブランク・プラスチック

  我々はしじゅう、犯罪者たちがキーロガーやスキマー、あるいはオンライン・ハッキングを通じてクレジット・カード番号にアクセスしたケースについて耳にしている。

  クレジット・カード番号を入手すると、彼らがそれらを現金にかえる方法は、基本的に3種類ある:

  • カード番号を売る
  • そのカード番号で不正な買い物をする
  • そのカード番号で本物のクレジットカードを作る

  本物のカードを作るためには、まず始めにブランク・カードが必要だ。これらは地下組織では「ブランク・プラスチック」として知られている。

  そしてブランク・プラスチックを販売するオンライン・ストアが存在する。以下はそうした店の一つの写真だ:

cards

上:「ブランク」なVisaおよびMaster Cardのカード。


cards

上:ゴールドのエンボス加工のデモ。ホログラム・ステッカーはまだ無い。


cards

上:完成品。カード名義人の名前に注目して欲しい…

追記:我々のクレジット・カード・ホログラムに関する記事もご覧頂きたい。

ボットを停止させるもう一つの方法

  先週、Microsoftが277のWaledacドメインに対して取った行動をご記憶だろうか? あれも、ボットネットを追い詰める一つの方法だ…

  ボットネットをシャットダウンする他の方法は? ボットマスターたちを逮捕することだ!

  「Mariposa」ボットネットを使用したかどで、スペイン国籍の3名が逮捕された。この3名は、伝えられるところでは前科は無く、ハッキング技術は限られたものだという。MariposaはButterfly Kitベースのボットネットで、同キットはすでに販売されていない。

  詳細についてはBBCおよびThe Registerを参照のこと。今回の逮捕の関係者に賞賛を送りたい。

Charlie MillerとのPwn2Ownインタビュー

  2年続けてPwn2Ownコンテスト(管理人註:ハッキングを競う形式で脆弱性を探し、システムやOSの安全性向上をはかるのために開催されているコンテスト)の勝者となったCharlie Millerが、インターネット・セキュリティについての見解を語っている。何と、Mac OSはMicrosoft Windowsに劣らず脆弱なのだ。

Windows 7あるいはSnow Leopardという2つの商用OSは、ハックがより難しいでしょうが、それは何故ですか?

Windows 7の方がやや難しいですが、それは完全なASLR(Address Space Layout Randomization:アドレス空間レイアウト・ランダム化)を実装しており、攻撃にさらされる面(たとえばデフォルトのJavaやFlash)がより小さいという理由によります。Windowsはかつて、完全なASLRとDEP(data execution prevention:データ実行防止)を実装していたため、より難しかったものです。しかし最近、Black Hat DCでの講演で、これらのプロテクションをWindowsのブラウザで如何に回避するかが示されました。

  攻撃の影響を受けないオペレーティング・システムやブラウザは存在しないのだ。

OSとブラウザの組み合わせで、より安全なものは何だと思いますか?

良い質問ですね。Windows 7でChromeもしくはIE8を、Flashをインストールせずに使うという組み合わせでしょう。どちらのブラウザにするか、あれこれ考えるほどの違いは、おそらくありません。肝心なのはFlashをインストールしないことです!

  同インタビューは、OneITSecurityのMatteo Campofioritoにより行われた。完全版はここで読むことができる。

Facebook騒動

  Facebookが最近、素晴らしい新機能を発表した:「このステータスについてコメントするため、このメールにリプライする

  皆さんが友達と会話しようとする場合、これは非常に便利な機能に見える。

  しかし、安全だろうか?

  実際のところ、我々がテストした結果、この「Reply To」アドレスは誰でも、どんなメールアカウントからでも利用できる。

  もちろん、通知リンクはアカウント・ホルダーのメインの電子メールアドレスにのみ送信されるが、我々はみな、電子メール・アカウントがいかにフィッシングされ、ハッキングされているかを知っているのではないだろうか?

Matti Meik?l?inen

  ご自身で試してみて欲しい。件名を入れたメールをこのアドレスに送れば、ここでMattiの名前で投稿された結果を見ることができる。

  コメントがまもなく皆さんの近くにやってくる — 電子メール・リプライ・スパムが。

プロ用ツールとしてのTwitter

  私はソーシャル・ネットワークのファンだったことは一度もない。

Twitter Logo  Facebookには参加していない。Myspaceにも。LinkedLnにも。

  しかし昨年、Twitterとかいうものを見てみようと考えた。

  Twitterが有益かどうかを見極めるため、2009年末までの2ヶ月間をお試し期間とした。そしてもし、役に立つとは思わなければ、使用するのはやめようと考えた。

  試用期間中、Twitterは他のソーシャル・ネットワークとはかなり異なることが分かった。これはプロフェッショナル・ツールとして、実際かなり有益だ。

  多くの人々は、Twitterが一体何なのか本当には理解していない。これらの人々は、他の人々に自分たちの日々の雑事(「朝食にコーンフレークを食べた!」)について語ることができるシステムだと考えている。これはTwitterの用途ではない。

  Twitterは専門家が自分自身の分野で、重要な展開に対するメモやリンク、示唆などを共有する時、最高の状態となる。

  データ保護の分野では、新たな脆弱性に関するメモかもしれない。突発的な事件。フィッシングの実行。あるいは他の何かかもしれない。

  そして今日では、それについて最初に耳にする場所はTwitterなのだ。ニュースでもなければ、ブログでもない。Twitterだ。

  私自身、Twitterで5000人のフォロワーを獲得しており(ありがとう!)、続けていこうと考えている。

  そしてTwitterで素晴らしいのは、サインアップする必要がないということだ。すべてパブリックなのである。

  皆さんは単に誰かのつぶやきを閲覧するか、search.twitter.comでグローバル・サーチを行えば良い。

  Twitter以前は、何か重要なことが進行している場合、最初の警告とそれに関する最初の議論は、メールや閉鎖的なメーリングリスト、テキスト・メッセージなどを介してプライベートに行われた。現在、多くはTwitterで、パブリックに起きる。そして、それをフォローするのにTwitterアカウントを持つ必要さえ無いのだ。

  例として。仮にTechCrunchのような主要なWebサイトがハッキングされた場合、Twitterで「TechCrunch hacked」と検索することで、一番最初の警告を見、何が起きているのかを読み、専門家の最初の意見を得ることができるだろう。

TechCrunch hacked

  そして最高の側面は、Twitterにはコンピュータ・セキュリティの分野の興味深い人々が大勢いるということだ。

Tweeters

サインオフ
ミッコ

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード