エフセキュアブログ

カメラ を含む記事

ビヘイビアエンジンの現状はどうなってる?

 スキャンエンジンが1980年代の原始的なシグニチャベースの祖先から、どのようにして現在へと進化してきたかについて、つい先日記事を投稿した。マルウェアやエクスプロイトのような脅威からエンドポイントを保護するに至り、ファイルスキャン自体はパズルの小さなピースに過ぎなくなった。当該記事ではその背景に触れた。そして本日、私はビヘイビアエンジン、別名HIPS(host-based intrusion prevention system)に焦点を合わせる。

 平たく言うと、ビヘイビアエンジンは悪意がある可能性を有するアクションについて、システム上のプロセスの実行を監視することで機能する。もし1つまたは一連の、悪意のあるアクションを見つけたら、そのプロセスは停止される。これにより、悪意のあるペイロードが目的を達成することが絶対にないように徹底する。

F-Secure Internet Security 2007
ビヘイビアの監視。おおよそ10年前に導入

 ビヘイビアの監視ではマルウェアの実行ファイルをブロックするのに加えて、Webベースの弱点を突く試みを阻止し、OfficeのマクロやPDFのような非PE(Portable Excutable)形式のマルウェア感染ベクターをブロックするためにも使われ得る。これは、Webブラウザや、文書のビューワやエディタのような一般的なアプリケーションを監視することによって実現される。

 たとえば、もしユーザが悪意のあるサイトに訪れたとき、ビヘイビアの監視によりブラウザのプロセスそのものに弱点を突くような試みがあるという兆候を掴んだら、不正利用が始まる前に当該プロセスを停止する。蓋を開けてみると、これはゼロデイの攻撃を阻止するのにうってつけの方法であった。

 それで、なんでビヘイビアエンジンがこんなに便利なのか、って?真相はこうだ。悪意のあるペイロードの大多数が、システムを感染させるために、数は少ないながら一切合切同じトリック群を使っているのだ。Excelファイルが実行ファイルやシェルコードをディスクに書き込んだり、システム上の実行コードを起動したりしようとしたら、これは悪意があるのにまず間違いない、と考えられる。この種のビヘイビアは正当な文書ではまったくもって聞いたことがない。

 ビヘイビアに応じてブロックするということは、サンプルがどのように「見える」かを意識する必要がない点ですばらしい。シグニチャベースでスキャンするやり方を回避する目的で、新しいマルウェアが次々と公開される。しかし、このようにバージョンが異なる場合でも、依然として同一のアクションを実施する。ビヘイビアに基づき最初の1つを検知したら、以降のものも検知することになる。

 マルウェア作者がビヘイビア上のルールを回避できる手段は、新たなアクション群を携えて登場することだけだ。そして新たな感染ベクターが非常に高い頻度で出現することはない。その理由として、大半の場合、新たなマルウェアやエクスプロイトが表面化したときには、我々はすでに当社のビヘイビアエンジンでそれをカバーしている、ということが挙げられる。マルウェアの作者たちが一定期間使用を続けてきたトリックは、これからも継続して使われる可能性が高い。

 しかしながらクライアントサイドでのビヘイビアの監視は、警告抜きでは実施できない。監視するプロセスはいずれも、パフォーマンスに軽微な影響を与える。この理由により、監視する対象を制限することは重要である。これはいくつかの方法で実現できる。

 ホワイトリストはスキャンをすべてスキップできる簡単かつ迅速な方法である。それゆえにエンドポイント保護ソフトウェアでは、その他の分析ステップに先立って、ホワイトリストの確認を行うことは珍しくない。サンプルの暗号学的ハッシュのようなシンプルなメタデータや、あるいは署名付き証明書のようなより複雑なメタデータを基に、ファイルをホワイトリストに登録できる。

 スキャンエンジンは一般にビヘイビアエンジンよりも高速である。したがって、ファイルが実行される前に(たとえばファイルがディスクに書き込まれるときや、ネットワーク経由で到着したときなどに)悪意があるか否かを判定するためにスキャンエンジンが使えるのであれば、パフォーマンスの小幅な改善が得られる。

 人間に例えて、以上すべてがどのように動作するのかを明らかにしよう。

 ある企業の警備隊には、社屋の物理面での安全を監視する任務がある。大半の時間は、ずらりと並んだ監視カメラからの映像をモニターすることに費やしている。警備員の一部は交替で社屋を見回る。

 一日を通じて、社屋への出入りがある。従業員の大半は見えるようにIDカードを身に付けている。一部の従業員は警備員に知られてさえいる。この例えでは、こうしたIDを身に付けた従業員がホワイトリスト上のサンプルに相当する。警備員はこのような従業員にはたいして注意を払う必要はない。なぜなら「良い人」だと分かっているからだ。

 また訪問者も一日中、出たり入ったりする。新たにやって来る客たちについて、警備員は知らない。訪問者は受付で同伴者を待って、さらに奥へ行く前に一時的なIDカードを保持するように案内される。構内にいる間、訪問者には常に従業員が付き添っている必要がある。記名して一時的なIDを得るという、従業員と会うプロセスは、大まかに言ってスキャンエンジンにかけられるサンプルに例えられる。スキャンエンジンは「良い人」かどうかは判別が付かないが、たぶん悪意がないことは分かる。

 今回の仮定の状況において、午後のある時点で、手続きを踏まなかった人がやって来たとする。従業員が全員忘れずにIDカードを身に付けているとは限らないので、来たのは従業員なのかもしれない。しかし警備員の誰も、彼の顔に見覚えがない。到着後まもなく、この未知の訪問者は受付を通り過ぎ、ある従業員の背後にぴったりとついて本館へと達した。警備員は直ちにこの振る舞い(ビヘイビア)に気付き、監視カメラの映像を通じて彼を監視している。また見回り中の警備員の1人に連絡をして、未知の訪問者のいる場所へ向かわせた。このステップは、ビヘイビアの監視を始めることに例えられる。

 この訪問者の振る舞いを警備員が引き続き厳しく監視している中で、彼が社屋の廊下を歩き、ついに立ち止まってバックパックからバールを取り出し、会社のサーバルームの一室を開けようとしているのを観察した。この時点で、警備員が現場に現れ、サーバルームに接近するのを阻んだ。

 1つの行動によって、ある脅威が実際に悪意のあるものかどうかを判別するのに十分なときばかりではない。一連の行動、今回の場合には同伴者なしで本館へ通り抜け、施錠されている部屋へ押し入ろうとしたことが、最終的に行動を取るように導く、一連の指標となった。

 クライアントサイドでのビヘイビアの監視は、一般的なマルウェアやエクスプロイトからシステムを保護するのにもっとも効率的な方法の1つだが、バックエンドでのビヘイビア分析は、また別の強力なツールをもたらす。

 クラウドコンピューティングのインフラを用いると、計測器付きのサンドボックスを同時に数千起動できる。ファイルやURLがこうしたサンドボックスへ送り込まれて実行される。個々に起動して、実行中に発生したことに基づいてメタデータを生成する。こうしたメタデータには、サンプルが実行されているシステムに対する変更と、サンプルそのものを実行した痕跡の双方が含まれ得る。続いて、この得られたメタデータは、一連のルールエンジンによって疑わしいビヘイビアがないか分析される。サンプルはさらなる分析のためのフラグが立てられ、多くのケースでは、自動的にオンザフライで検知が生成される。

 バックエンドのサンドボックスを活用することで、1日当たり数十万件のファイルやURLを分析できる。手作業で行うのはほぼ不可能な件数だ。このプロセスにより、自動的な静的分析のプロセスと合わせて、サンプルのカテゴリー化やグループ化が容易に行えるようになる。

 クライアント自体あるいはバックエンドのいずれで用いられるにせよ、ビヘイビアの監視は悪意のある脅威からシステムを保護する強力なツールである。ビヘイビアの監視技術はある状況においてエンドポイントで実施されるに至る。この状況とは、システムがどのように脅威と遭遇したのかによる。これまで説明してきたとおりビヘイビアによるブロックは、悪意のあるサイトを訪れ、悪意のあるドキュメントを開いたり、悪意のある実行ファイルを起動したりしたときに(アクション!)始動する。この理由により、VirusTotalのスキャンレポートではこの種の結果を確認できない。ビヘイビアによるブロックが要因となり、当社製品が現実世界の状況下でどれくらいうまくいっているのかを確認したいのであれば、AV-ComparativesAV-Testでのテスト結果をチェックするとよい。

 当社のHIPS技術がどのように動作するかについて、より技術的な解説にご興味がおありなら、ホワイトペーパーを確認してほしい

SLocker v.s. Marshmallow

 AndroidのランサムウェアであるSLockerが最近になり、非常に深刻な(そして下劣な)やり口でAndroid Lollipopの欠陥を悪用し始めた。しかしAndroid Marshmallowに対しては、SLockerはどのように事を運ぶのだろうか?

 手始めに、SLocker v.s. Lollipopを確認してみよう。

 マルバタイジングは一般に人(men)をおびき寄せて、「Porn Droid(ポルノドロイド)」と呼ばれるアプリをダウンロードさせる(まあ、たぶん男性(men)ばかりだが)。

Porn Droid app

 典型的には、よくありがちな過剰なパーミッションが要求される。

PornPro app permissions

 そしてソーシャルエンジニアリングに対する障壁は、良くても以下のようにほんのわずかだ。

PornPro permissions continued

 もし優れたセキュリティアプリをインストールしているのなら、以下のような画面を目にするだろう。

This app contains a virus

 しかしセキュリティアプリ無しにアプリを開いたのなら、次のプロンプトを受け取ることになる。

Disguised request for admin permissions
Update patch installation

 この「Continue」ボタンは?これは、デバイスの管理者権限の要求を分かりにくくしている(もちろん、非常に重大な欠陥だ)。そしてもし「Continue」をクリックしたとすると、SLockerは強奪に乗り出すために、入手したばかりの管理者権限を用いるだろう。

 以下はFBIをテーマにしたランサムウェアだ。

Slocker's FBI Warning

Slocker's FBI Warning

Slocker's FBI Warning

 一見したところでは、FBIが罰金(fine)ゆすりの支払いに「PayPal My Cash」を受け付けているようだ。

PayPal My Cash

 SLockerは被害者に恐れを抱かせようと、正面カメラで写真を撮る。

 以下の例では、Zimryの席の上の天井に向いている。

Slocker tries to take a picture.

 そして、おまけにPRISM(訳注:NSAの通信監視プログラム)のロゴが付いている。

FBI Mission: PRISM

 この時点で、Androidアプリが管理者権限を得ることが驚くほど簡単にみえることを言及すべきだろう。AppleのiOSでは、VPNのような基本項目を設定する際にはパスコードが要求される。しかしAndroidでは、管理者権限の要求に必要なのは単純な「はい」だけなのだ。

 コンピュータセキュリティのプラクティスとして最良のものは、インストールを限定する制限されたプロファイルの「ユーザ」として実行することだ。そして管理者権限を求めるアプリケーションは「管理者」プロファイルでインストールし、パスコードを要求する必要がある。そのため当社では、通常ユーザ用の制限付きプロファイルを構成しようとしたが、管理が難しいことがわかった。Androidの制限付きプロファイルはペアレンタルコントロールとタブレットのために設計され、またそれに焦点が合わせられている。当社のテスト用スマートフォンに追加のプロファイルを設定したが、我々が望むようなデバイス管理の類は実際には得られなかった。追加プロファイルを作成できるだけで、制限をかけることはできない。

 比較すると、AppleのiOSの機能制限は、iOSを主に使う人でさえはるかに役立つものだ。

 しかし、現在は…。

 Android MarshmallowはSLockerに対し、どのように事を運ぶのだろうか?

 良いニュースがある!SLockerの「Continue」を使った分かりにくさは、Marshmallowを実行しているスマートフォン上では失敗する。そして、管理者権限を与えることが何を引き起こすかについて表示されるだけだ。これはヒドい。全データの消去、スクリーンロックの変更、ストレージの暗号化をする権限だ。言い換えると、SLockerに管理者権限を与えたら…、おしまいだ。スマートフォンのデータがバックアップされていなければ、強奪者に屈する以外に取り戻す方法は無い。

Activate Device Administrator

 しかし次は悪いニュースだ。Android Marshmallowは10月5日リリースされたが、まだ普及していない。そのため、これからかなりの期間SLockerは攻撃を持続しそうだ。

 ハッシュ:

0f25cefa85a0822a08ad23caca24a622fbf4aef0
12dc90592c1945fe647d04902b2707e756e88037
25311dfbc4961a661494a2767d2fb74c532539cc
68e7879074b9e2635d895616d4862383fe5960db
84b541957d7e42b4b7d95763fb48d03fcca21ffd
c0784e974da5b7e82e9921763f957e1f3ec024e7

 

 Trojan:Android/Slocker.BJの分析はZimry Ongから提供を受けた。

昨年スマートテレビを購入した消費者の割合は、デスクトップPC購入者の割合に匹敵

エフセキュアが今回実施した調査では、過去一年以内にスマートテレビを購入したと答えた回答者が23% に上り、デスクトップPCを購入したと答えた人の割合とほぼ同一でした。8,800人の消費者を対象に行われた今回の調査からは、「モノのインターネット(IoT)」が消費者の間で徐々に受け入れられつつある一方で、プライバシーやセキュリティ対策がきちんと取られているか、不安を抱く人の割合が非常に高いことがうかがわれます*。

本調査から、スマートテレビ以外のIoT製品カテゴリであるウェアラブル機器やネット家電についても普及が進みつつあることが明らかになっています。その一方で、今回調査の対象となった消費者の70%がこれらの機器のハッカー被害が心配であると答え、69%がこれらの機器を通じた第三者による追跡を懸念していると回答しました。

エフセキュアの戦略的脅威研究担当ディレクター、ミカ・スタルバーグは、普及が進んでいるIoT機器のタイプを考慮すると、上記に挙げた消費者の懸念は当然であると考え、次のように述べています。「モノのインターネット(IoT)の普及は、娯楽の次に、生活の質を高める製品に特化しています。監視カメラやスマートキー、スマートカーのような製品はすべて物理的なセキュリティに重要な役割を果たします。これらIoT機器の普及が進めばオンライン上の脅威がより身近なものになるわけですから、この点に関して消費者が懸念を抱くのは当然のことなのです」

さらにスタルバーグは、家庭用ルーターがハッキング被害に遭うケースがここ数年増加している点を指摘し、この傾向はセキュリティ対策の不十分な機器が犯罪者のビジネスチャンスとして狙われていることを示すものだと述べています。「IoT機器への攻撃は今後高まることが予想されますが、その原因はIoT機器のセキュリティ対策が充分でないためです。家庭用ルーターへのハッカー攻撃は、IoT機器が危険にさらされる可能性を顕著に示しています。ハッカーが家庭用ルーターを悪用してネットワークトラフィックを監視し操作する恐れがあります。『Lizard Squad(リザードスクワッド)』のようなハッカー集団はすでに脆弱性を悪用して、市場性の高いボットネットサービスを生み出しているのです」

IoT機器の普及が進むにつれて高まるセキュリティリスク

今回の調査結果をエフセキュアが昨年行った同様の調査結果と比較したところ、セキュリティやプライバシーに対する消費者の懸念にもかかわらず、モノのインターネットの普及が進んでいることが明らかになりました**。 より多くの消費者がより広範な製品カテゴリからIoT機器を購入しており、IoT機器の市場が順調に成長すると見込んだ、市場調査会社の予測を裏付けています*** 。最も成長が著しい製品カテゴリは次の通りです。

  • フィットネス・生活用追跡機器の普及が3%から5%に増加
  • インターネット接続型の家庭用モニタリング機器の普及が1%から4%に増加
  • TVストリーミング機器の普及が4%から6%に増加

スタルバーグは、これら製品カテゴリの大半が比較的新しく、従来IT製品の製造を手掛けてこなかったメーカーによる機器が多数を占めている点を指摘しています。新しいタイプのIoT機器が加わることでネットワークの規模が拡大し、プライバシーやセキュリティに関する従来からの問題が深刻化する可能性があります。

「メーカーは使いやすさにばかり力を入れ市場投入を急ぐあまりに、限られた機能しか持たないIoT機器が大量に出回っていますが、これらのIoT機器はセキュリティ上の脆弱性を抱えています。セキュリティ問題に関してIoT機器と従来のIT製品とで大きな違いは見られませんが、IoT機器がネットワークに加わることでネットワーク規模が拡大し、セキュリティに関する従来からの問題が深刻化する恐れがあります。対応不可能な状況になる前に、消費者とメーカーの双方が管理可能なネットワークの確保について考えるべきです」

*出典:「エフセキュア消費者価値観調査 2015」 本調査は11カ国(米国、英国、フランス、ドイツ、ブラジル、アルゼンチン、コロンビア、メキシコ、イタリア、スウェーデン、インド)で実施されたオンライン調査です。調査は1カ国につき800人、合計8,800人の、各年代、収入層の男女がバランスよく含まれた回答者を対象に実施されました。 調査データは2015年7月にToluna Analytics社が収集しました。 なお、2014年の調査データとの比較は、2014年と2015年の両方で調査を実施した国に限定して行っています。

**出典:「エフセキュア消費者価値観調査 2014」 本調査は6カ国(米国、英国、フランス、ドイツ、ブラジル、フィリピン)で実施されたオンライン調査です。調査は1カ国につき 800人、合計4,800人の、各年代、収入層の男女がバランスよく含まれた回答者を対象に実施されました。調査はInformed Intuitions社とエフセキュアが共同作成し、調査データは2014年7月にToluna Analytics社が収集しました。

***出典:https://www.idc.com/getdoc.jsp?containerId=prUS25633215

詳細情報:  
F-Secure Internet of Things https://iot.f-secure.com/

信頼できるインターネット:監視ソフトウェア企業からスパイウェアを買う人を誰が統制するのか?

 秘密が暴露されるのは、ハッカーがハッキングされたときだ。イタリアを拠点とする監視技術の企業Hacking Team社が、7月5日にハッキングされた。ハッカーたちは内部資料、ソースコード、メールを含む400GBのtorrentファイルを一般に公開した。これには顧客のリストも60件近く含まれている。

 同社は圧政国家との取引を公式には否定しているが、このリストにはスーダン、カザフスタン、サウジアラビアといった国家も載っている。また漏えいした資料からは、東南アジア地域のシンガポール、タイ、マレーシアの政府当局が、RCS(Remote Control System)いう名前の最先端のスパイウェアを購入していたことが強く示唆された。

 Citizen Lab(訳注:カナダ、トロント大学内の研究所)の研究者によると、このスパイウェアは並外れて深く侵入する。モバイル端末上のマイクやカメラを起動し、Skypeやインスタントメッセージを傍受し、収集した情報からC&Cサーバへと追跡されるのを回避するために、プロキシサーバによる匿名化ネットワークを使用するのだ。

 Pastebinに投稿された顧客リストの画像に基づくと、このソフトウェアはマレーシアではマレーシア汚職防止委員会、MI(Malaysia Intelligence)、首相官邸で購入された。

hacking_team_client_list (86k image)

 medium.comに投稿された、漏えいした請求書の追加画像では、このスパイウェアがMiliserv Technologies (M) Sdb Bhdという社名の、現地のマレーシア企業(マレーシア財務省に登録)を通じて販売されたことが示されている。同社はデジタルフォレンジック、インテリジェントな収集、公安サービスの提供に特化している。

hacking_team_hack_1 (95k image)

hacking_team_hack_2 (72k image)

 首相官邸が監視ソフトウェアを必要とする理由は、謎のままだ。よく聞いてほしい。プロ仕様のスパイウェアは安くはない。ライセンスのアップグレードには40万マレーシア・リンギット(約1,300万円)かかるし、保守の更新には約16万マレーシア・リンギット(約500万円)を要する。

 マレーシアの非主流派のメディアによるこの事件の報道によれば、2013年の総選挙へ向けて(検出数が)急増する中でマルウェアFinFisherが検知されたが、マレーシアの政府機関はおそらくこの発見の前から当該スパイウェアを使っていたということだ。

 偶然にも、マレーシアは年次のISS World Asiaという見本市の開催地に頻繁になっている。ここでは、法執行機関や、通信会社、政府の担当者に対して、企業が「合法的な」監視ソフトウェアという武器をプロモーションしている。2014年の同イベントにHacking Team社は参加しており、共同で最大のスポンサーとなっていた。

 MiliServ Technologiesは現在のところ、クアラルンプールで次に開催される2015 ISS World Asiaに関与している。同イベントに参加するには招待が必要だ。Hacking Team社が今年も参加しているかを確認したいかもしれないが。


Post by – Su Gim

スマートホームの安全を保つ方法

 IoT(Internet of Things:モノのインターネット)デバイスは、時間や手間の節約に役立ち、QoL(quality of life)を向上させる。一例を挙げると、スーパーにいるときに自宅の冷蔵庫の中身を確認したり、オーブンを温め始めたりできる。このようにしてお金の節約、不確かさの排除、家族の夕食を準備する時間の節約ができる。このことはすばらしいし、数多くの人々がこうした機能の恩恵を受けるだろう。しかしながら、あらゆる変化がそうであるように、チャンスにはリスクが伴う。特にオンラインセキュリティやプライバシー上のリスクがあるが、こうしたリスクの一部は同時に現実世界にも拡大する。たとえば配管工事のために表玄関のロックを遠隔から解除できるということは、かなりの時間の節約にはなる。しかしクラウドのアカウントをハッキングすれば、ハッカーもまた玄関を開けられるし、おそらく自宅へのアクセス方法を闇市場で売却できるということも意味している。そして、これはなにもハッキングだけに留まらない。こうしたガジェットは家庭や生活で起きていることについてのデータを収集するため、ガジェットそのものがプライバシーに対するリスクを脅かす。

Example of a smart home set up

 上図は一般的なスマートホームの構成と、直面するであろう攻撃の種類を示している。スマートホームは導入が低調で、散在しているため、現時点では標的となっていないものの、既存の技術でどのレイヤーでも攻撃し得る。

 プライバシーやセキュリティについて、非常に心配に思うのであれば、こうしたガジェットを買ったり使ったりしないことが、安全にいるための唯一の方法である。ただ多くの人にとっては、IoTやスマートホームの、時間を省ける利便性というメリットのほうが、プライバシーやセキュリティについて予期される大半のことを凌駕するのだろう。また現時点では、IoTデバイスは広く標的にはなっていないし、標的になる場合でも攻撃者はデバイスの計算能力を狙うだけで、まだデータや家庭は対象になっていない。実際の現在最大のリスクは、こうしたデバイスの製造業者が個人データをどのように扱うかという点にある。結局のところ、盲目的に飛び込むべきではないということだ。リスクを低減するためにできることを以下に挙げる。


・パブリックIPアドレスと、こうしたデバイスとを直接的に接続しない。デバイスのフロントに、ファイアウォールか最低でもNAT(Network Address Translation)ルータを置いて、インターネットからデバイスが発見できないことを確認する。パブリックIPアドレスに対し、デバイスがポートを絶対にオープンできないようにしたいなら、ルータ上のUPnP(Universal Plug and Play)は無効にすること。

・デバイスやサービスのプライバシーおよびセキュリティの設定項目をくまなく見て、不要な設定をすべて削除する。ただ、数多くのデバイスで設定項目が極めて少ないのが現状だ。何かプライバシーに影響することがデバイスにあると考えるなら、不必要な機能は停止しよう。たとえば、スマートテレビやゲーム機で、実際に音声コマンドを使うだろうか?今まで使ったことがないなら、すぐに無効にするといい。後々その機能を試してみたくなったら、いつでも有効に戻せる。

・IoTデバイスのクラウドサービスに登録する際には、強力かつ固有のパスワードを使用し、さらにパスワードを安全に保つ。何者かがどうにかしてパスワードを盗み出したリスクがあると考えるなら、パスワードを変更すること。また、こうしたデバイスはすべて、メールアカウントを通じてパスワードをリセットできるようにしているので、当該メールアカウントに本当に強力なパスワードが付与されて、パスワードが安全に保たれていることを確認するとよい。また使えるところでは2FA(2要素認証)を用いる。今日ではたいていの一般的なメールサービスで提供されている。

・PCやタブレット、携帯電話からマルウェアを取り除いておくこと。マルウェアは頻繁にパスワードを盗む。そのため、スマートホームサービスやそれに結び付いているメールアカウントのパスワードも盗む可能性がある。そうしたパスワードを使うデバイスにはセキュリティソフトウェアをインストールし、最新のセキュリティ修正でソフトウェアを更新する。さらに、これは一例だが、変なスパムメール内のリンクや添付ファイルを絶対にクリックしてはならない。

・自宅玄関にリモートからアクセスできるスマートロックをどうしても用いたいのであれば、注意深く検討しよう。とはいえ、玄関マットや植木鉢の下に鍵を置いておく類の人間だったら、スマートロックのほうがたぶん安全だろう。

・セキュリティカメラや隠しカメラを導入するなら、不要なときはネットワークから切り離す。自宅からクラウドへ定常的に音声を送信するデバイスについても、実際に四六時中使うのでなければ、同様にすることを検討するとよい。大半のIoTデバイスの計算能力はそれほど高くはなく、そのため動画・音声の処理はクラウド上のサーバで行われる傾向にある。このことを思い出そう。

・自宅のWi-Fiで暗号化(できればWPA2)を用いること。強力なWi-Fiパスフレーズを使い、またそのパスフレーズを安全に保つようにする。パスフレーズが無かったり弱かった場合、あるいはWEPのような廃止されたプロトコルを使用している場合、セキュリティの観点からは自宅のWi-Fiはオープンなネットワークとなる。

・喫茶店やショッピングモールやホテルのネットワークなど、オープンなWi-Fiネットワークを使用する際には注意が必要だ。あなたや使用中のアプリケーションが平文でパスワードを送信すると、それが盗まれて中間者攻撃の被害者となり得る。オープンなWi-Fiを使用する際には常にVPNアプリケーションも使うこと。繰り返しになるが、あなたのパスワードが、あなたの身元やあなたのIoTへの鍵となる。

・攻撃ポイントを限定すること。必要になることがないと分かっているデバイスは、導入しない。もはや必要がなく使わないデバイスは、すべてシャットダウンして撤去するとよい。最上位機種の洗濯機を購入したところ、Wi-Fi経由で接続可能なことに気付いたのなら、接続する前に本当にその必要性があるのかを検討する。実際にはオンライン機能をまったく使わないことに気付いたのなら、デバイスをネットワークから切り離すること。

・どのメーカーからデバイスを買うか選定する際に、セキュリティやプライバシーについてメーカーが説明している内容や、プライバシー原則について確認すること。性急に製品を市場に投入して、セキュリティ面でなにか手抜きをしていないだろうか?製造業者があなたのデータを処理する動機としては何があるだろうか?広告主にデータを売っていないか?データの一部でも格納していないか?そして、どこに格納するのか?

・今日のうちにホームルータの設定を確認すること。インターネットに、つまりWANインターフェイスにさらされているサービスについては、無効になっている必要がある。管理者用パスワードは強力で固有なものに変更しなければならない。ルータのDNSの設定が、ISPのDNSサーバか、OpenDNSやGoogle DNSのようなオープンなサービスに向いており、改ざんがされていないことを確認する。

・ルータのファームウェアを最新に保つ。特に製造業者がもはやセキュリティ更新を行わないのであれば、ルータを新しいものに置き換えることを検討する。セキュリティアップデートを行わなかったり、2年後にアップデートをやめるような製造業者からは手を引くことを考える。ホームネットワークのセキュリティはルータから始まり、ルータはインターネットに晒されているのだ。


 上記の行動リストは広範囲に及んでおり、少々偏執的かもしれない。「Webカメラ(のレンズ)に絆創膏を貼る」ように。しかし、IoTへと飛躍を遂げた場合に、どういった類のことを行えば、自分のセキュリティとプライバシーの制御を保てるかというアイデアが得られるはずだ。IoT世界のセキュリティはそれより前の時代と変わらない。セキュリティパッチを適用し不要なサービスを停止することと同様、パスワードはIoTでもやはりとても重要である。

エフセキュアのミッコ・ヒッポネン、インターネットの現状を分析

2月10日はインターネットの安全を考えるセイファー・インターネット・デー(Safer Internet Day)です。しかし、マルウェアによる攻撃やプライバシーの侵害といったニュースが絶えず報道されており、インターネットの安全性はかつてないほど脅かされているようにも感じられます。エフセキュアの主席研究員を務めるミッコ・ヒッポネンは、このセイファー・インターネット・デーに、インターネットの現状を分析し、より良いインターネットをともに創造するためのアイデアを公開します。

エフセキュアが行った最近の調査では、インターネットのセキュリティとプライバシーに関して、対策を講じている場合でも、ある程度信用できると回答した人は46%、あまり信用できないと回答した人は39%、まったく信用できないと回答した人は11%に上りました。インターネットを信用しており、セキュリティやプライバシーについてあまり心配していないと回答した人はわずか4%に過ぎませんでした。しかし、これも当然のことでしょう。エフセキュアでは毎日、平均25万を超えるデスクトップにおけるマルウェアのサンプル(多くはWindows)と、9,000を超えるAndroidでのマルウェアのサンプルを受け取っているからです。こうしたマルウェアは、私たちの金銭やコンテンツ、個人情報を盗もうとしています。

インターネットは、様々な面においてこの世界を変革し、便利にしてきましたが、ヒッポネンは、「私たちはモンスターを創ったのではないかという思いにとらわれるときがある」と話しています。どのようなイノベーションにも負の側面はつきものです。ヒッポネンが挙げた例を、ここでいくつか見ていきましょう。

セキュリティ問題に対するソリューションとしてのオープンソース?:いいえ、おそらくそうではありません。オープンソースのソフトウェアは、誰でも閲覧できるソースコードによって理論上はより広範囲な精査を受けるため、安全性が高いとよく言われます。しかし、ヒッポネンは2014年における最大のセキュリティ脅威を2件(HeartbleedとShellshock)指摘しています。どちらもオープンソースシステム内で発見された主要な脆弱性であり、誰も気付かないまま長期間存在していたものでした。

デジタル通貨は金融システムを救う?:暗号化をベースにしたビットコインなどのデジタル支払いシステムは、金融制度の根本的な問題を解決することが可能とされました。しかし、ハッカーがマルウェアを作成してビットコインシステムを悪用するなど、新たな問題も生まれています。さらに、ビットコイン・マイニングのためのスーパー・コンピューティング・パワーを巡る競争は、ビットコインの価値が低下したため、数百万ドル規模のデータセンターが運用できない状態になり、焼け散る(あるデータセンターではまさに文字どおりに)結果となりました。

モノのインターネット:トースターや洗濯機、車といったあらゆるモノがインターネットに接続されれば、様々な機会が生まれます。しかし、ヒッポネンは、「スマートデバイスとは、単に悪用可能なデバイスのことだ」と述べています。すでに、スマートセキュリティカメラをビットコイン・マイニング用デバイスに変えるマルウェアが発見されています。声または顔認証といった技術を利用したスマートデバイスによるプライバシー侵害の可能性は言うまでもありません。

「無料の」インターネットサービス:「サービスに金銭を払っていないからといって、それが無料ということにはならない」とヒッポネンは指摘しています。常に、代価として何かを提供しているのです。金銭ではないとすれば、それは、あなたの個人情報ということになります。時間をかけて利用条件を精読しない限り(ほとんどの人がこれを行っていませんが)、こうしたサービスが皆さんの個人情報をどのように利用しているか、本当のところは分からないのです。

監視社会:政府は新しいマルウェアの主要なソースのひとつとなっています。ほかの政府を監視できるばかりでなく、国民を監視することも可能です。ヒッポネンは、「インターネットの構築により、監視社会に最適なツールが構築された」と述べています。私たちがどこで何をし、誰と連絡を取り合い、何を考えているのかを、政府は監視することができるのです。

ヒッポネンは次のように述べています。「私たちは素晴らしいインターネット革命の時代を生きています。しかし、現在起きている問題に対処しないままでいると、自由に使えるオープンなインターネットを子供たちに残すことができなくなるかもしれません。」

私たちにできることは?

セイファー・インターネット・デーのテーマは、「より良いインターネットをともにつくる」ことです。このテーマを踏まえて、一般市民にできることは何でしょうか。ヒッポネンは、一般の人でも影響を及ぼすことのできるシンプルな方法をいくつか提案しています。

  • 質問する:新しいデバイスを購入する際は、店頭で店員に質問しましょう。「そのデバイスはオンライン上にあるのか? それはなぜなのか?」「そのデバイスは、ユーザの個人情報を収集するのか? そうだとすればそれはどのような情報か?」 質問して、答えを求めましょう。デバイスメーカーや小売店に、人々がプライバシーについて懸念していることを伝えましょう。
  • 大手インターネットサービスに多くを知られないようにする:ブラウジングしながらGoogleやFacebookにログインしたままでいると、これらのサービスはウェブ上で皆さんを追跡することができます。すでにこうした大手インターネットサービスに情報を与えすぎてしまっていると思う場合は、そのサービスを利用するときは別のブラウザを利用して、普段使っているメインのブラウザからはログインしないようにしましょう。
  • 簡潔な使用条件や使用許諾契約を要求する:使用条件や使用許諾契約はあまりにも長く、普通の人には理解できないような専門用語が多く含まれています。法律の学位がなくても、数時間も時間をかけなくても理解できるような簡潔なものを要求しましょう。
  • クラウドの力を利用する:クラウドベースのセキュリティでユーザを保護するインターネットセキュリティソリューションの活用を検討してみましょう。クラウドの下では、ユーザ基盤は動物の群れのようになっています。たとえば、群れの一員が病気になると、群れ全体がその病気に対する予防接種を受けることになります。クラウドベースのセキュリティは、我々ユーザ全体を保護する情報を共有しています。
  • 透明性を求める:AVセキュリティのベンダーに、ユーザのプライバシー保護に関して、透明性を確保するよう要求しましょう。ユーザまたはユーザのコンピュータからどのようなデータを収集しているのか、説明を求めましょう。個人情報の収集に関する方針を一般に公開しているセキュリティベンダーは世界に1社しかありません。

詳細情報
Safe & Savvyでのヒッポネンのインタビューの詳細はこちらをご覧ください。

フロンティア・コミュニケーションズが、エフセキュアのパーソナルクラウドサービスでサービスを拡大

地方および中規模自治体にコミュニケーションサービスを提供する米国大手サービスプロバイダのフロンティア・コミュニケーションズは、顧客のデジタルコンテンツニーズに応えるために、エフセキュアのパーソナルクラウドサービスを選択しました。同社がContent Anywhereと呼ぶ新たなクラウドサービスは、エフセキュアの以前のオンラインバックアップサービスからの機能拡張となります。

コンシューマは、スマートフォン、カメラ、タブレットなどを使用して、デジタルコンテンツを驚くべきペースで作成しています。ほとんどの場合、このコンテンツは多数のデバイスやオンラインサービスに分散しています。パーソナルクラウドにより、フロンティアの加入者は、安全と安心が確保されている一つの場所に写真やビデオ、音楽などを保存することができます。エフセキュアクラウドの独自の機能により、顧客はFacebookやDropboxなど、ほかのオンラインサービスからコンテンツを一つの場所に融合することができます。これらのコンテンツは、スマートフォンやタブレット、ノートパソコン、デスクトップパソコンからアクセス、ストリーム、および共有することができます。エフセキュアのクラウドサービスの基盤となっているのはプライバシーであるため、フロンティアセキュアの顧客は、自分たちのコンテンツが安全であることに確信を持つことができます。

Frontier Secureのプログラムオフィスディレクター、Brent Heilman氏は次のように述べています。「当社のFrontier Secureスイートを通じて提供されているエフセキュアのオンラインバックアップサービスは、大きな成功を収めています。当社は、他社のサービスに勝る、このすばらしい新パーソナルクラウドサービスをお客様に提供できることをうれしく思います。当社は、あらゆる顧客体験を特別なものにするために努力しており、その中には、お客様の生活を豊かでシンプルにする付加価値サービスを提供することが含まれます。Content Anywhereのグループスペース、コレクション、クラウド集約など、個人のコンテンツを最大限に活用できるよう設計されたこれらの魅力的な新しい機能は、当社のお客様に気に入っていただけるものと確信しております。」

エフセキュアの製品管理およびビジネス開発部門の責任者であるJyrki Tulokasは次のように述べています。「バックアップサービスは、デジタルコンシューマに大きな安心感を提供します。しかし、ユーザのニーズはこの3、4年でさらに大きなものになっています。フロンティアの新たなパーソナルクラウドサービスは、どんなデバイスからでも簡単かつ直感的に使用することができます。人生を豊かにする新しい機能とともにサービスが常に進化していくことは、ユーザの皆様にも喜んでいただけることでしょう。また、デジタルセキュリティとプライバシーが絶えず脅威にさらされている今日、エフセキュアのセキュリティ分野における専門知識が、当社のクラウドを際立たせる理由の一つであり、Frontier Secureの製品を特別なものにしているのです。」

世界中の通信事業者のナンバーワン・セキュリティーパートナーとして、エフセキュアは世界各国で100以上の通信事業者を通じて安全なクラウドサービスを提供しています。エフセキュアは、数百万のエンドユーザの数十億もの写真、動画、文書などのファイルを安全に保存しています。増加を続けるエフセキュアのクラウドコンテンツのデータは、現在数十ペタバイトに上っています。

フロンティアのContent Anywhereは、Android、iOS、Windows Phone 8スマートフォン、タブレットのほか、PCおよびMacコンピュータに対応しており、フロンティアのすべての契約者にご利用いただけます。



Dragonflyが日本を飛び回る?

制御システムを狙ったマルウェアとしてはStuxnetが有名ですが、第二のStuxnetとして騒がれているHavex(別名Dragonfly)の記事「HavexがICS/SCADAシステムを探し回る」はご覧になったでしょうか。

ブログ記事からもリンクが貼られていますが、CrowdStrikeの調査によると感染端末の数が多いのはアメリカ、スペインに次いで、なんと3番目に日本が位置しています。(シマンテックの統計だと日本は出てこないのですが。)

CrowdStrike Report
引用元:CrowdStrike_Global_Threat_Report_2013

日本の感染端末はおそらく流れ弾に当たったのでしょうが、元々の標的ではなかったとしても、スパイ活動をするマルウェアなのでついでに情報を抜かれているかもしれません。

感染手段の一つとしてトロイの木馬化されたソフトウェアが使われましたが、現在明らかになっているのはドイツ、スイス、ベルギーにある3社のソフトウェアのインストーラに細工がされたということです。
細工の方法は極めて単純で、正規のインストーラにマルウェアDLLをくっつけて再パッケージして配布します。

7z
setup.exeの中に隠された正規のsetup.exeとマルウェアDLLであるtmp687.dll

その後、再パッケージしたインストーラが実行されたタイミングで、正規のインストーラを起動しつつ、その裏でrundll32コマンドを使いマルウェアDLLを起動するというものです。

winrar
マルウェアDLLを実行するためのコード

感染後はスタートアップにrundll32が登録されるので、感染確認は容易です。

ドイツ、ベルギーの制御システム用VPN、スイスの監視カメラ用ソフトウェアに心当たりがある方は念のため確認してみてください。

germany
ドイツ企業のVPNソフトウェアに仕込まれたトロイの木馬

belgium
ベルギー企業のVPNソフトウェアに仕込まれたトロイの木馬

switzerland
スイス企業の監視カメラ用ソフトウェアに仕込まれたトロイの木馬

HavexがICS/SCADAシステムを探し回る

 昨年の間中、当社はマルウェアファミリーHavexとその背後にいるグループに目を光らせていた。Havexはさまざまな業界に対する標的型攻撃に用いられていることが知られており、またそれ以前にはエネルギー業界に特別な関心を持っていることが報告されていた。

 Havexの主要なコンポーネントは、汎用のRAT(Remote Access Trojan)とPHPで書かれたサーバである。「Havex」という名前は、サーバのソースコード中にはっきりと認められる。

Havex server source code

 2014年の春には、HavexがICS(Industrial Control System、産業制御システム)に特別な関心を抱き、その背後にいるグループが餌食を侵害するために革新的なトロイの木馬型のアプローチを用いていることに、我々は気付いていた。攻撃者はICS/SCADAの開発元のWebサイトから、トロイの木馬に仕立てたソフトウェアをダウンロードできるようにし、そのソフトウェアがインストールされたコンピュータを感染させるよう試みた。

 我々は88件のHavex RATのバリアントを収集して分析を行った。それらは関心のあるネットワークやマシンに侵入してデータを獲得するために使用されたものだ。この分析には、これらバリアントによって接続された146台のC&Cサーバ(command and controlサーバ)の調査が含まれる。また、被害者を特定する際に、約1500個のIPアドレスの追跡も伴った。

 攻撃者はC&Cサーバとして、主に侵害されたWebサイト、中でもブログサイトを使用した。悪用されたC&Cサーバの例の一部を以下に挙げる。

Havex C2 servers

 我々はまた、攻撃者が使用する追加コンポーネントを特定した。このコンポーネントには、ICS/SCADAシステムが使用する感染済みのマシンから、データを取得するためのコードが含まれている。これは、攻撃者が関心のある企業のネットワークを侵害することに興味を見出しているのみならず、こうした組織のICS/SCADAシステムの制御を得る動機も持っていることを示唆している。この動機の源は、我々には分からない。

感染の媒介者としての、トロイの木馬化されたソフトウェア

 Havex RATは少なくとも以下のチャネルを通じて拡散されている。
  • スパムメール
  • エクスプロイトキット
  • 侵害された媒介サイトに埋め込まれた、トロイの木馬にされたインストーラ
 スパムとエクスプロイトキットというチャネルはかなり直接的な拡散メカニズムであり、ここで詳細に分析を行うのは控える。

 もっとも興味深いのは3つ目のチャネルで、「水飲み場型攻撃」の一形態と考えられる。なぜなら攻撃者は実際の標的へのアクセスを得るために、媒介させる標的、つまりICSベンダーのサイトを侵害することを選択するからだ。

 攻撃者はWebサイトを稼働しているソフトウェアの脆弱性を侵害して侵入し、顧客がダウンロードするための正当なソフトウェアインストーラを置き換えるように見受けられる。

 我々の調査にて、このやり口で侵害されたソフトウェアベンダーのサイトが3つ明るみになった。これらのサイトで提供されていたソフトウェアインストーラはトロイの木馬化され、Havex RATを含んでいた。同様のケースはさらに存在すると我々は疑っているが、まだ確認はされていない。

 当該サイトのコンテンツによれば、この3社はすべて産業アプリケーションで用いられているアプリケーションやアプライアンスの開発に携わっている。3社はドイツ、スイス、ベルギーに本拠を構えている。そのうち2社はICSシステム用のリモート管理ソフトウェアの提供をしており、もう1社は高精細の産業用カメラと関連ソフトウェアを開発している。

 一例として、トロイの木馬化されたインストーラの1つに対する動的分析の結果を一部取り上げる。

Trojanized installer

 正常な、つまりクリーンなインストーラは「mbcheck.dll」というファイルのインクルードは行わない。実際のところ、このファイルはHavexマルウェアである。トロイの木馬化されたソフトウェアインストーラは、通常のインストールの一部としてこのファイルをドロップして実行する。ユーザに動作するシステムが残されたまま、攻撃者は当該コンピュータにアクセスして制御するためのバックドアを手に入れる。

標的となる組織

 我々はこのレポートで分析したサンプルに感染したシステムの一部について場所を特定し、影響を受けた組織を確認した。それには、Havax RATを用いてC&Cサーバへの通信を行っていたIPアドレスを辿った。

 こうした組織はすべて、なんらかの形で産業アプリケーションまたは産業機械の開発あるいは使用に関わっている。被害者の大多数はヨーロッパに位置しているが、本レポートを記述している時点で、少なくとも1社のカリフォルニアの企業がC&Cサーバへデータを送信していることが観測されている。ヨーロッパに拠点を置く組織のうち、2つの組織は技術関連の研究で有名なフランスの主要な教育機関である。別の2つの組織はドイツで産業アプリケーションや産業機器を、もう1つの組織はフランスで産業機器を生産している。さらにもう1つの組織はロシアの建設会社で、構造工学を専門にしているようである。

ICS/SCADAスニファ

 Havexのサンプルコードに対する我々の分析では、その「ICS/SCADAスニフィング」的な振る舞いについても明らかにしている。C&Cサーバは感染したコンピュータに対し、さらにコンポーネントをダウンロードして実行するように指示する。そうしたコンポーネントの1つが、非常に興味深い。そのコンポーネントはLANを1つずつ調べて接続済みのリソースやサーバを探し出すことに、分析中に気付いた。

Havex scans LAN

 さらにそれがマイクロソフトのCOM(Component Object Model)インターフェイス(CoInitializeEx、CoCreateInstanceEx)を用いて、特定のサーバに接続することも分かった。

Havex calls COM

 どのサービスにサンプルが関心を抱いているのかを特定するには、単に上に挙げられているIDを検索すればよい。それで、どんな種類のインターフェイスが用いられているのかが分かる。ちょっとググると、以下の名前が挙がった。

  • 9DD0B56C-AD9E-43EE-8305-487F3188BF7A = IID_IOPCServerList2
  • 13486D51-4821-11D2-A494-3CB306C10000 = CLSID_OPCServerList

 名前に「OPCServer」と含まれていることに注意してほしい。同じ方向を指し示すヒントはまだある。実行ファイルに含まれる文字列でも、何件かは「OPC」を参照している。

Havex OPC strings

 結局OPCとはOLE for Process Controlの略語であり、Windowsアプリケーションがプロセス制御のハードウェアとやり取りをする標準的な方法のことだと分かる。マルウェアの当該コンポーネントはOPCを用いて接続されたデバイスについて任意の情報を収集してC&Cサーバへ返送し、攻撃者が分析を行う。このコンポーネントは機密情報を収集するためのツールとして用いられているように見受けられる。これまでのところ、接続されたハードウェアを制御しようと試みるペイロードは目にしてはいない。

要約

 Havexの背後の攻撃者たちは、巧妙な方法を用いて産業の諜報活動を実施している。ICS/SCADAのソフトウェアインストーラをトロイの木馬にすることは、標的のシステムへのアクセスを得る効果的な方法である。潜在的には、こうしたシステムとして重要なインフラストラクチャも含む。

 侵害されたサーバをC&Cサーバとして使用するやり口は、このグループに特徴的だ。このグループはC&Cサーバを常にプロフェッショナルなやり方で運用しているわけではなく、運用経験の不足を露呈している。これらサーバに接続した、感染しているコンピュータをやっとの思いで監視し、複数の業種から被害者を特定した。

 感染したデバイスに接続しているICS/SCADAハードウェアについての詳細情報を収集するために使われる追加ペイロードがあり、これにより攻撃者がそうした環境を制御することに関心を抱いていることが示唆される。これは今日一般的に観測されているようなパターンではない。

 ここで述べたサンプルについてのSHA-1のハッシュ値は次のとおり。

7f249736efc0c31c44e96fb72c1efcc028857ac7
1c90ecf995a70af8f1d15e9c355b075b4800b4de
db8ed2922ba5f81a4d25edb7331ea8c0f0f349ae
efe9462bfa3564fe031b5ff0f2e4f8db8ef22882

 エフセキュアはこの脅威をBackdoor:W32/Havex.Aとして検知する。

-- Post by Daavid and Antti

AndroidのランサムウェアSLockerは、TORやSMS経由で通信する

 2週間と少し前、Androidの新たなランサムウェアのファミリーである、SLockerを我々は発見した。

 直近に発見されたAndroidマルウェアのKolerと、SLockerが関連しているという証拠は得ていない。しかしながら、Kolerのもたらした脅威をSLockerも成し遂げている。Kolerは実際にはファイルを暗号化しないが、そのように装う。それと異なり、SLockerは端末のSDカードに対して次のような特定のファイルタイプを実際にスキャンする。

slocker (3k image)

 SLockerアプリが起動されると、これらのファイルを暗号化した後、身代金を求めるメッセージを表示する。

Ukraine ransom

 メッセージには、ファイルを復元するためにはオンライン送金サービスにより送金する必要があることが示されている。このメッセージに挙げられている電話番号は、ウクライナのものだ。

 現在のところ、SLockerのファミリーには2つのバージョンがある。1つ目のバージョンではTORを用いて、感染した電話機とマルウェアのC&Cサーバ間の通信用のネットワークを匿名化している。このバージョンではデバッグ情報がすべて有効になっているので、テスト用のバージョンではないかと弊社では推測している。

 SLockerの2つ目のバージョンは、TORが有効になったバージョンと同時期に出現したが、簡素化されている。こちらのバージョンでは(暗号化やハードコーディングされた同一の復号キーを含め)同じコードを共有しているが、デバッグ部分はもはや存在しない。最大の違いは、このバージョンではTORを使用していない点だ。その代わりSMSメッセージ経由で指令を行う。

SLocker permission

 また特筆すべきは、TORを有効にしたバージョンと違い、こちらのバージョンは身代金メッセージの中でロシアの電話番号を掲載し、ロシア通貨を要求しているところだ。

Russia ransom

 我々はさらに深く掘り下げてC&Cサーバを辿り、そのIPアドレスがさかのぼること2005年に、ある個人に登録されていたことを突き止めた。現在は、そこでロシアに拠点を置くWebホスティングサービスが提供されている。

 2つ目のバージョンのSLockerはC&C通信にTORを用いない点において洗練度合が下がるが、依然として活発に開発が行われているように見受けられる。なぜなら、我々が入手した当該バージョンの最新のサンプルには、いまや端末のカメラを用いて写真を撮る機能が搭載されているためだ。今後に渡って、SLockerの作者(達)が開発を続けていく可能性は高い。

—————

Post by — Mikko Hyykoski

スノーデン事件から1年、「さらなるスノーデン氏を期待する」

スノーデン氏による告発が世界に衝撃を与えてから、ちょうど1年。セキュリティ専門家でエフセキュアの主席研究員であるミッコ・ヒッポネンは、エドワード・スノーデン氏の行為により状況は改善されていると語ります。企業と消費者は、プライバシーにさらに敏感になり、自分のデータがどのように処理されているかを気にかけるようになりました。さらに、技術、セキュリティ、プライバシーといった複雑な問題について、世界規模で議論が行われています。ヒッポネンが、セキュリティ業界への影響、企業と消費者の行動の変化、この1年で最も重大なリークについて質問に答えました。

あなたから見て、スノーデン氏のリークのうち最も重要な出来事は何でしたか?

最初のリークだったPRISMは極めて重要なものでした。GoogleやAppleのような、誰もが知っていて、利用しているサービスが監視されているとは寝耳に水でした。アンゲラ・メルケル首相のような外国の指導者の電話が盗聴されていたことが暴露されたことは重要でしたが、必ずしも驚くことではありませんでした。12月にNSA ANTカタログがリークされたことで、NSAがどれだけ高度な技術を使用していたかが明らかになりました。このカタログには、5年前にNSAがすでに所有していた監視装置のタイプに関する技術的な詳細が記載されていました。Quantumリークでは、米国がターゲットに対してウェブ・エクスプロイト・キットを積極的に使用していることが明らかになりました。最後に、最近出版されたグレン・グリーンウォルド氏の書籍では、NSAがMicrosoft SkyDrive、つまりOneDriveへのアクセス権を持っていることが暴露されています。私たちは今まで、NSAがSkyDriveにアクセスできることを知りませんでした。

どの告発に一番驚きましたか?

英国の諜報機関であるGCHQが、人々のウェブカメラでのチャットを傍受していたという告発です。GCHQは一体何を考えていたのでしょうか?

スノーデン氏のリークは、セキュリティベンダーの事業運営に影響を与えましたか?

それは間違いありません。特に米国外の企業には影響がありました。当社は、米国以外の企業との取引を望む世界中のお客様にサービスを提供する責任があると感じています。会社的には、私がエフセキュアに入社してから23年間、この1年ほどエフセキュアが大きく変化した年はありませんでした。デザイン、スローガン、ミッションを刷新し、新規事業を立ち上げ、プライバシー関連製品を中心に、1年あたりで過去最高となる数の新製品をリリースしました。

顧客データの取り扱い方法についてはどうですか?

当社は今までもプライバシーを非常に重視してきたため、告発事件は、エフセキュアがお客様のデータを処理する方法にあまり影響しませんでした。しかし、この事件は、当社がインターネットセキュリティ製品のデータの収集について詳細を記したホワイトペーパーを発行したことの大きな理由となりました。この1年、人々は自分のデータがどう扱われているのかますます懸念を持つようになっています。セキュリティソフトは極めて低いレイヤーに位置するソフトウェアであり、システムに広くアクセスできます。このため、セキュリティベンダーとして当社は、正直に情報を公開したいと考えました。当社は、エンドユーザのシステム上でどのようなデータを収集して、どのように匿名化しているかを文書化した初めての、そして現時点では唯一のセキュリティベンダーとなりました。他のセキュリティベンダーにも同じことをしてもらいたいと思います。

人々は本当に米国のインターネットサービスの利用を止めているのでしょうか?

告発の内容を知ったとき、多くの人はもう米国の大手サービスにはデータを保存したくないと言いました。しかし実際には、消費者に大きな動きは見られません。旧サービスを解約して新しいサービスに移行するには時間と労力が必要です。一方、企業は、アメリカのクラウドから一気にデータを移動させています。企業は、米国内のクラウドにデータを保存していれば、米国政府にそのデータを見る権利があることを知っているため、事態を重く受け止める必要があったのです。

まだ米国サービスに代わるサービスがないのはどこですか?

ヨーロッパで主流となっている検索エンジンはどこでしょうか?ウェブメールは?クラウドストレージサービスは?これらの質問が、エフセキュアがクラウドストレージ分野への参入を決めた理由の一つです。つまり、ヨーロッパに代替サービスがなかったため、それを提供することが私たちの責任だと考えたのです。

米国政府の対応についてどのような意見を持っていますか? 何らかの改善が見られますか?

米国政府の対応にはすでに改善が見られます。ただ実際には、これまで見られた変化はすべて米国市民のプライバシー保護を強化するもので、外国人は対象になっていません。政治家は有権者を満足させる必要があり、我々外国人は、米国の政治家を投票で落選させることができないのです。

希望を与えてくれるものは何でしょうか?

エドワード・スノーデン氏が希望を与えてくれます。彼は、私たちを救うためにすべてを犠牲にした男であり、世界市民である私たちは感謝するべきです。厳密に言えば彼の行為のすべてが正しかったわけではありません。彼は雇用主を裏切り、守秘義務契約に違反しました。それでもやはり、正しいことをしたのです。そのおかげで、ファイブアイズの国々が行っている情報監視活動に関して多くのことを知ることができました。他の国も諜報活動を行っていますが、その国にスノーデン氏のような人がいないため、具体的な証拠がないのです。他の大国からも、スノーデン氏のような人がもっと出てくることを期待します。

世界の指導者達に何を期待しますか?

指導者たちに何を期待するかというよりは、「普通の人々ならどうするべきか?」という質問に答えるほうがいいかもしれません。一般の人々は心配するのではなく、憤るべきです。何かを変えるには、政治的な手続きを踏む必要があります。投票し、議員に働きかけ、自分の意見を政治に反映させ、私たちの運動に参加してください。

デジタル・フリーダム運動にご参加ください

スパイ活動にはうんざりしていませんか?同意なく個人情報を収集されることに耐えかねていませんか?#digitalfreedom宣言の作成に協力することで、あなたの声を反映させてください。この宣言は、世界でデジタル・フリーダムを促進するために使用されるクラウドソーシングによる文書です。デジタル・フリーダムとプライバシーに関心がある方なら誰でも意見を寄せることができます。たった1行でもかまいません。この宣言は、クリエイティブコモンズのライセンスが付与されており、皆様の意見は6月30日まで募集しています。f-secure.com/digitalfreedomからご参加ください。

詳細情報http://safeandsavvy.f-secure.com/2014/06/04/why-edward-snowden-gives-me-hope/

smart_cityで生活する準備はいいかい?

 今日ではあらゆる種類の「スマートシティ」データがオンライン上に用意されている。

 たとえば以下は、ヘルシンキの公共交通機関のリアルタイムの情報で、HSL Live経由で提供される。

HSL Live

 そして、これは始まりに過ぎないのだ。どうしてこれで終わりということがあろうか?

 WeareDataはUbisoft社から近々リリースされるゲームWATCH_DOGSのマーケティング・キャンペーンだ。

We Are Data
画像:wearedata.watchdogs.com

 異なる3つの都市ベルリン、ロンドン、パリについて表示するが、WeareDataの可視化は非常に巧みだ。

We Are Data, Berlin

 ホットスポット、ATM、監視カメラ、そしてつぶやき。すべてが1つのマップ上にレイアウトされる。

We Are Data, Types

 未来へようこそ。ここに住みたいかい?

Wi-FiのハニーポットとMacアドレスの監視

 ロンドンのシティにてリサイクル用ゴミ箱を活用して、通りすがりの電話機のMacアドレスが収集されていた、というレポートが、8月8日、Quartz誌で報じられた。このスキームは8月12日に中止された。13日には、私はデンマークのレポーターJakob Mollerhoj氏に対し、同国で行われた同様のBluetoothおよびWi-Fiの追跡について語った。道路上の交通の流れや、空港での人の流れを予測するためのものだった。

 こうした交通の流れの分析はプランナーにとっては非常に価値あるものだが、「PRISM」の視点からみると、この種のメタデータの収集は大変懸念すべき傾向だ。

 数年前、当社にてBluetoothハニーポットプロジェクトがあった。

Bluetooth Honeypot

 我々がこれを押し進めていたら、Macアドレスを匿名で格納する方法を見つける必要に迫られていただろう。なぜなら今日では、第三者が関連のある「ビジネスの記録」を探して売ることは、まったくもって簡単すぎるのだ。あなたの街の個々のCCTV(訳注:監視カメラとして使われることが多い)が、あなたの電話機のWi-Fi用のMacアドレスも記録しているか、想像できるだろうか。

 実験の実施に関心のある方は、Linux Journalの3月号「Wi-Fi Mini Honeypot」を確認するとよい。

 しかし何を、そしてどのように収集するかには、本当に注意が必要だ。危険なまでに無法な景色が広がる。

 では。
 @Sean

BlackHat 2013 - セキュリティカメラのハッキング

今年もBlackHatに行って参りました。今回は、前職のeEye時代に住んでいたカリフォルニアのオレンジカウンティから車でラスベガスまで移動しました。オレンジカウンティに居た頃は友人と何度かラスベガスまで車に遊びに行きましたが、道中は相変わらずの風景でとても懐かしかったです。

BlackHatは年々規模が拡大傾向にあり、今年も去年に増して参加人数が増えていました。これ自体は大変喜ばしい事なのですが、反面、参加人数が増えたため交流がやや大変だという声もちらほら聞かれました。時代と共にカンファレンスのスタイルも変わってきますので、それに合わせて参加者の方も意識を変えていく必要があるのかもしれません。

今回もさまざまなトピックで研究成果が報告されていました。今回私からは一つだけ、「Exploiting Surveillance Cameras - Like a Hollywood Hacker」と題された発表を簡単にご紹介します。なお、FFRIではBlackHatのペーパーサーベイも行っていますので、いくつかその内容が近くWebで公開されるかもしれません。成果などはFacebookで随時アナウンス致しますので、もしよろしければ、FFRIのFacebookページも今後チェック頂ければと思います(https://www.facebook.com/FFRI.1440)

本発表では、複数のネットワーク対応セキュリティカメラを調査した結果が報告されています。脆弱性を悪用する事で、外部からカメラを自由自在に制御したり、あるいは、映像の不正閲覧や映像の差し替えなどが可能になるというものです。副題にもあるとおり、まさに"Like a Hollywood Hacker"です。

資料はこちらから入手できます。

基本的に、脆弱性は非常に古典的かつ簡単に攻略できるものばかりであり、また、Googleやshodan等で直接インターネットに接続しているものの一部は簡単に検索できてしまうようです。発表者は、製品ベンダーが公開しているアップデート用のファームウェアを解析して調査を行ったそうです。

攻略例では、カメラに実装されているWebサーバ上で動作するCGIのバッファオーバーフロー脆弱性や、あるいは、ハードコードされているバックドアアカウントを攻略する、といったものが紹介されています。また、それら脆弱性を攻略し、ストリーミング配信を実現しているデーモンを停止して「最後に映った映像」を流し続け、物理的な人の侵入を分からなくさせてしまうといった例も紹介されています。

今回発表された脆弱性は非常に古典的なものですので、簡単なトレーニングや簡単な検査で製品出荷前に対策できる可能性は十分にあると思います。IPAでも、製品出荷前に機械的に脆弱性をみつけるための手法としてファジングが紹介(http://www.ipa.go.jp/security/vuln/fuzzing.html)されていますので、組み込み機器などを開発されている方は是非一度確認頂ければと思います。

Webカメラ、覆い隠してる?

 (Web)カメラジャックがニュースになっている。

 今朝のBBC Newsより。「Webcams taken over by hackers, charity warns(Webカメラがハッカーに乗っ取られる。非営利団体が警告)」

 この報告の一部として、BBC Radio 5 liveではフィンランド人のハッカーにインタビューを行った。彼は「女性の尻」を売っていたと考えられている。

bbc_uk-22967622
関連音声

 そして先週の金曜日のForbes誌から。「Two-Year-Old Flash Bug Still Allows Webcam Spying On Chrome Users(2年前のFlashのバグにより、依然としてWebカメラでChromeユーザを覗き見ることが可能)」

 Chromeは最新版に更新するべきだ。でないと、Flashを通じてカメラジャックできるようにするバグに対して、脆弱ということになる。

 研究者Egor Homakov氏の概念実証はこちら。「Click and say Cheese(クリックして、はいチーズ)」

homakov_github_io

 ソフトウェアは常に最新にすべきだ。しかし、おそらく最良のアドバイスは、カメラを覆い隠してしまうことだ!

 Sydney Morning Herald紙より。「Taping over prying eyes of web spies(Webからの覗き見をテープで隠す)」

camjacking_postit

 以下はミッコのやり方だ。

mikko_webcam

標的型攻撃が私生活を狙うとき

  現在のところ標的型サイバー攻撃は企業や政府機関に対するものが多数ニュースになっています。しかし、もし私生活も狙われるとしたらどうなるでしょうか? 企業や政府ならば内部ネットワークにそれなりのセキュリティ対策が施されていたとしても、自宅ネット接続ではインターネットルーターのファイアーウォールとマシンに入れたウィルス対策ソフトくらいしか防御手段がないのではないでしょうか。そして最近話題の出口対策はほとんど初めから考慮されていません。企業や政府の中でターゲットにされた個人の私生活から収集した情報を基にして、さらに組織への標的型攻撃を仕掛ける事は十分ありうるでしょう。

  標的型攻撃の初期段階でFacebookやLinkedInなどのソーシャルネットワークで事前情報の収集が行われていることは指摘されています。その次の段階になると、ソーシャルネットワークの情報を基にターゲットの私生活を狙った盗聴・盗撮などでの情報収集が行われる可能性があるでしょう。そして現在のPC・携帯電話・スマートフォンなどにはほぼすべてカメラとマイクロフォンが搭載されていますが、これらは監視カメラにもなりえるわけです。実際にPC内蔵カメラを外部から制御して画像を送信させるスパイウェアがあり、アメリカでこれを悪用したコンピューター修理ショップの技術者が逮捕された例が最近ありました。

  この犯人の21歳の技術者は、ショッフにPCを持ち込んで来た特に女性客を狙ってCamCaptureというスパイウェアを仕込んで修理し、外部からインターネット経由で覗きをしていました。また、被害者の女性数人にはカメラの前で服を脱ぐように指示する脅迫メールを送りつけていたそうです。しかし、その店舗に修理を依頼した姉妹が、修理後からカメラ動作ランプが不可解な点灯をするようになったのに気がついて他の修理ショップに持ち込んだことから、スパイウェアが仕込まれた事が判明して逮捕に至ったということです。この犯人の場合は被害者のコンピューターを直接触って仕込んでいましたが、このようなスパイウェアを感染させるように設定したウェブサイトにフィッシングで被害者を誘導する手段もありうるので、大量のPCを監視カメラ化することが可能になります。

  これと同様の発想のスパイウェアはスマートフォン向けに登場してくるでしょう。実際スパイウェア以前に、Lady Gagaやスカーレット・ヨハンソンの携帯電話から自写ヌード画像などがハッキングで流出する事件が既に起き、日本でもユーザーの意図しない内に個人情報をマーケティング目的で収集する機能を持ったアプリが出回った例がいくつもあるわけです。特にAndroidスマートフォンの場合はユーザーによるアプリ購入は基本的に自己責任方式であり、Google以外が提供するアプリマーケットからもダウンロードできるため、マルウェア混入のアプリがすでに何度も登場しています。その中で、外部からコントロールしてスマートフォンを監視盗聴デバイス化するマルウェアが出てくる可能性がありうるわけです。高性能のCPUを搭載してGPSや様々なセンサーを持つスマートフォンは、ターゲットした相手が常に持ち歩くわけで、標的型スパイ攻撃にとって理想的なデバイスです。と、書いていた間にAndroidのリモートアクセス・トロージャンと思われるマルウェアが中国で登場の話題が出ていました。
  さらに中国のNetQinの調査によると今年前半でのスマートフォンのマルウェア感染は1280万台(Android 78%、Symbian 19%、17,676種のマルウェア)という推計も出ています。
  PCのウィルス対策ソフトはかなり普及して現在はスマートフォン向けの普及の必要性が叫ばれていますが、ここでも外部へ出て行く情報の制御など、ウィルス対策ソフト・レベルでの対策の組込みは急ぐべき課題ではないでしょうか。

Flameは不十分

  Flameマルウェアが2週間前に発見された時、「非常に先進的」「スーパーマルウェア」「史上最大のマルウェア」と呼ばれた。

  これらのコメントはすぐに、Flameには特に新しい点も興味深い点も無いと指摘した専門家たちによる嘲笑を受けた。

  実際、Flameで唯一ユニークなのは、そのサイズでしかないようだ。それとても、それほど刺激的ではなかった。アナリストはもっと大きなマルウェアの事例を探してきたし、実際、発見してもいる(マルウェアの中にはビデオファイルのように見せかけようとするため、本体にノーカット版の映画を含むものもある)。

  FlameがStuxnetやDuquのように、政府によって作成されたもので、国民国家が作成したものだという示唆も、嘲笑を受けている。

  しかし、この2週間で我々がFlameについて知ったことを見てみよう。

1. Flameはキーロガーとスクリーングラバーを持つ

  否定派は感銘を受けていない。「以前、見たことがある。Flameは不十分だ。」

2. FlameはビルトインのSSH、SSLおよびLUAライブラリを持つ

  「肥大化している。遅い。Flameはやはり不十分だ。」

3. Flameはローカルドライブおよびネットワークドライブで、すべてのOffice書類、PDFファイル、Autodeskファイル、テキストファイルを探す。盗み出せる情報が多すぎるため、IFilterを使用して書類からテキストの引用を抜粋する。これらはローカルのSQLLiteデータベースに保存され、マルウェアのオペレータに送信される。このようにして、彼らはマルウェアに指示し、本当に興味深い資料に焦点を合わせる。

  「Flameは不十分だ。」

4. Flameは感染したコンピュータのマイクをオンにし、マシンの近くで話される会話を録音できる。これらの会話はオーディオファイルとして保存され、マルウェアのオペレータに送信される。

  「Flameは不十分だ。lol」

5. Flameは感染したコンピュータとネットワークで、デジタルカメラで撮影された画像ファイルを検索する。これらの画像からGPS情報を抽出し、それをマルウェアのオペレータに送信する。

  「Flameはやはり不十分だ。」

6. FlameはBluetoothを介して、感染したコンピュータに接続している携帯電話があるかどうかをチェックする。もしあれば、その端末(iPhone、Android、Nokiaなど)に接続し、アドレス帳の情報を収集して、マルウェアのオペレータに送信する。

  「Flameはやはり、ちょっと不十分だ。」

7. 盗まれた情報は、感染したマシンで使用されているUSBスティックを感染させ、このスティックに暗号化されたSQLLiteデータベースをコピーすることにより、それが閉環境の外側で使用された時に送信される。このようにしてデータは、ネットワーク接続の無い安全性の高い環境からも盗み出されることになる。

  「Agent.BTZが2008年、既に似たようなことをしている。Flameは不十分だ。」

8. Flameは現在、とうとう捉えられたが、攻撃者はすべての証拠を破壊し、影響を受けたマシンから感染を取り除こうと活動している。

  「何も証明されていない。不十分。」

9. 最新の調査で、Flameが実際、Stuxnetと関係していることが分かっている。そしてFlameが発見されたちょうど1週間後、イスラエルの軍隊とともにStuxnetを開発したことを米国政府が認めた

  「大げさにしようとしているに過ぎない。やはり不十分。」

10. FlameはMicrosoft Updateへのトラフィックを傍受するのに使用する、ローカルプロキシを作成する。これはFlameをLANで他のマシンに広めるのに使用される。

  「不十分。他のコンピュータがそうした偽のアップデートを受けとったにしても、Microsoftによって署名されていないのだから、受け入れるはずがない。」

  攻撃者がMicrosoft Terminal Serverライセンス証明書を再利用する方法を見つけたため、偽のアップデートはMicrosoftのルートと結びつく証明書で署名されている。これだけではWindowsのより新しいバージョンになりすますことはできないとしても、最先端の暗号の調査が行われ、証明書のスプーフィングを可能にするハッシュ衝突を生み出す、完全に新しい方法が考え出されている。しかし、彼らはさらにスーパーコンピュータを必要とした。

  「…」

  そして突然、何の前触れもなく、Flameが不十分か否かに関する議論は…消えてしまった。


中国政府がオンライン攻撃をローンチ

中国はオンライン攻撃のローンチでしばしば非難されるが、大抵、状況証拠にとどまる。標的型のスパイ活動Trojanの多くは中国からのもののようだが、実際にそれを証明することはできないのだ。

  しかし、新たな証拠が表面化した。

  7月17日、ミリタリードキュメント番組「ミリタリーテクノロジ:インターネットの嵐がやって来る」が、政府運営のTVチャネル「CCTV 7, Millitary and Agriculture」(military.cntv.cn)で公開された。

  この番組は、サイバー戦争の可能性とリスクに関する、かなり標準的な20分のドキュメンタリー番組のようだ。しかし、理論について話している間にも、カメラの映像では、米国の標的に対して攻撃をローンチしている中国政府のシステムが示されている。これは非常に珍しいことだ。最も可能性の高い説明は、編集者がその重要性を理解していなかったために、この映像が最終編集版に含まれたというものだ。

  以下は同番組の重要な部分だ:

China's slip up...

  ダイアログに示されているテキストをざっと翻訳すると:

   中国人民解放軍情報工学大学
   
   攻撃対象を選択
   
   ターゲットIP
   
   法輪功サイトのリスト
   
   北米の法輪大法
   法輪大法サイト
   Meng Huiサイト
   法輪功サイト1の証言
   法輪功サイト2の証言
   
   攻撃  キャンセル


  同ツール内にリストされた標的は、中国で禁止されている宗教団体、法輪功もしくは法輪大法に関連している。特に、攻撃はIPアドレス「138.26.72.17」に対して行われており、これは米国の大学に属するものだ。どのような攻撃が行われているかははっきりしない。しかし、このような標的を持つ、このようなソフトウェアの存在は初のニュースだ。

  同ソフトウェアは、中国人民解放軍の情報工学大学で書かれたものと信じられている。

Information Engineering University of China's People's Liberation Army

  http://military.cntv.cn/program/jskj/20110717/100139.shtmlにアクセスし、ビデオを13分辺りまで早送りすることで、この部分を見る事ができる。しかし、我々は同番組がそれほど長くオンラインにとどまるとは思っていない。

  詳細は「Epoch Times」で読むことができる。「Epoch Times」はニューヨークの新聞で、中国語と英語で発行されており、中国政府に対して批判的だ。

携帯電話から写真を盗むモバイルマルウェア

  今年のモバイルマルウェアの多くは、中国で開発されている。そして中国のモバイルマルウェアは、バックドア、パスワード解読プログラム、スパイツールなどを含む傾向がある。

  中国のマルウェアはスパイするのを好むため、我々はフォトスクレイピングなど、さまざまな機能を警戒してきた。携帯電話から写真を盗めば、いやがらせや恐喝のために利用することが可能だ。

  探すのに時間はかからなかった。エフセキュアのThreat Responseチームのメンバーが、Symbianのマルウェアサンプルで興味深いものを発見した。

Photo

  以下がアナリストのメモだ:

  「Trojan:SymbOS/Spinilog.A」のコードには、Symbianクラス「MCameraObserver」を引き継いで実行する、「CMyCameraEngine」という名のクラスが含まれている。これにより、カメラで画像がキャプチャされた際、トロイの木馬がコントロールを受けることを可能にする。「Spinilog.A」は次に、rawビットマップをJPGにエンコードし、電話のメモリに保存される。「CMyCameraEngine」クラスのコンストラクタがコード内でコールされていないため、この機能はまだ使用されておらず、おそらくは未完成のようだ。トロイの木馬が盗む他のデータは、SMSやメールの内容、通話の詳細、カレンダー、連絡先情報の詳細など、よりトラディショナルなものだ。

  よってこのバックドアが、まだ写真を盗んでいなくても、我々がどの方向に向かっているのかは明らかだ。

  以下は同ファイルのmd5だ:b346043b4efb1e9834a87dce44d6d433

ドイツのデータ保護法は顔認識に対処できるのか?

  顔認識技術はホットな話題だが、私は最近、ドイツ当局がFacebookの「顔認識」機能は違法であると示唆したことを知った。「Deutsche Welle」によれば:

  ハンブルグのデータ保護局員Johannes Casparは、同ソフトウェアがドイツおよび欧州連合データ保護法の双方に違反しており、Facebookユーザは同サービスが集めたデータを削除する方法を知らないと主張する。「データが悪の手に渡れば、携帯電話で撮った写真を持つ者は、バイオメトリクスを利用して写真を比較し、身元を探すことができる。」と、Casparは「Hamburger Abendblatt」に語った。「匿名に対する権利は危機に瀕しているのです。」

  法的なキーワードは「バイオメトリクス」のようだ。

  Casparによれば:

  「通常のユーザはバイオメトリックデータを削除する方法を知りません。さらに我々はバイオメトリックデータが、本人の明らかな同意のもとに保存されるよう要求しています。」

  もう一つのキーワードは「保存される」のようだ。(「Deutsche Welle」の記事は、同意無しにいかなるデータも「収集」されるべきではないことも述べている…) 収集されたバイオメトリックデータか、保存されたバイオメトリックデータか、どちらだろう?

  使用された後でデータが保持されないか、保存されない場合、オンザフライの顔認識分析は合法だろうか?

  どの場合でも、ウォールにタグを付けた写真がある場合、私は自分自身のFacebookアカウントで、この機能をテストすることに決めた。(ユーザがオプトアウトしていなくても、タグを付けた写真があることが前提条件だ。タグを付けた写真が無ければ、バイオメトリックデータも存在しない。)

Sean Sullivan

  最初、私はFacebookのプライバシー設定で、「Suggest photos of me to friends(写っている写真のタグ付けを提案)」オプションを再度使用可能にした。

  そして写真をアップロードした:

Faces

  Facebookの写真アップロードサービスが、2つの顔を「検出」したが、どちらも「認識」されず、タグの提案は行われなかった。よって、Facebookのデータベースには、隠された私のバイオメトリック「フェイスプリント」は存在しないようだ。この機能が提供された時から私がオプトアウトするまでに何も収集されなかったか、私が同機能を停止した後、保存されていたデータをFacebookが削除したかのどちらかだろう。

  私は自問自答した。Facebookのバイオメトリックデータは、本当にそれほど大きな問題なのだろうか?

  Google Imagesは最近、リバース画像検索をリリースした。この機能は「悪の手に渡る」いかなるFacebookデータよりも、将来写真の比較で利用される可能性が高い。iPhone/Android端末を持っているなら、Google Gogglesを試し、Google+の可能性について想像して欲しい。

  次に、現行のカメラ技術について考える必要がある。私の「Canon S90」は、非常にうまく顔の検出を行う。顔が検出されると、その写真のEXIFメタデータに「SceneCaptureType - Portrait」が含められ、その顔はタグ付けされる。

Canon S90 Portait
Face Face

  そしてそれはほんの始まりにすぎない。Samsungなど一部のベンダは、このビデオで2009年4月から紹介してきたように、「Smart Face Recognition」を有している。遠からず、写真が撮られる瞬間に、我々のカメラが写真の中の顔を検出し、認識し、タグ付けするようになるだろう。そしてそれはカメラ付き携帯電話も含まれる:伝えられるところによれば、AppleはiOS 5に顔認識機能を搭載することを予定しているという。

  確かに、Caspar氏がFacebookの現行のバイオメトリック問題について懸念するのはもっともだが、もはや分析の問題ではなくなった場合(時)どうなるだろう? 消費者がフェイシャルタグを含む写真をアップロードすれば、Facebookは提案ができるのだろうか。

  Facebookは現在、アップロードされた画像からEXIFメタデータを削除していることは注目に値する。(素晴らしい。)

  ドイツ(およびEU)には、優れたデータ保護法がある。しかし法律そのものが顔の認識問題について永遠に対処することは不可能だ。テクノロジは存在し、政策立案者は問題に立ち向かい、バイオメトリックデータが既に自由に入手できるかのように、ソリューションを探す必要がある。

  たとえ合法的な企業が、このタイプのデータを保存することを規制されたとしても、犯罪者たちを抑止することはできない。コンピューティング・パワーは安価であり、より安価になっている。最悪のシナリオは、規制を受けていないブラックマーケットの、顔認識をサービスとして提供するサーチエンジンだろう。

  このようなビジネスモデルが生まれるのは初めてではない。

では
ショーン

  以下も参照して欲しい:

Kashmir HillIf Everyone’s A Celebrity In The Internet Age, Shouldn’t We Expect To Be Recognized By Face?
Alessandro AcquistiFaces Of Facebook-Or, How The Largest Real ID Database In The World Came To Be

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード