Windows 10の脆弱性修正パッチを緊急配布、月例アプデのSMBにバグ

Microsoft(マイクロソフト)がWindowsのセキュリティ脆弱性を修正するパッチを緊急リリースした。これは今週はじめにネット上に公開されてしまった脆弱性を修正するものだ。

問題のバグの深刻度は「critical」で緊急に対応が必要だ。バグは月例アップデート、いわゆる「アップデートの火曜日」に配布されたプログラムのSMB(Windowsのサーバーのメッセージを処理するブロック)に含まれていた。SMBはプリンターやファイルだけでなく、ローカル、さらにはインターネットに接続された他のデバイスとのコミュニケーション全般を処理する。

攻撃者がSMBのバグの利用に成功すれば、悪意あるコードをリモートで実行できる。サイバーセキュリティー企業のKryptos Logicで脅威情報収集および分析チームの責任者を務めるJamie Hankins(ジェイミー・ハンキンズ)氏は「インターネットに接続していれば遠隔実行に対する脆弱性を持つパッチ未適用のサーバーは4万8000台とされる。しかし実数ははるかに大きいだろう。つまり脆弱性があるサーバーに接続している他のデバイスも同様に脆弱性があることになるからだ」と述べた

このバグのニュースは2017年に世界のインターネットに急激に拡散したWannaCryのような「ワーム感染可能」な悪意あるプログロムが出現するかもしれないとテクノロジー・コミュニティーを恐怖させた。2日後、Microsoftは has SMB v3のバグを修正するパッチをリリースした。ターゲットはWindows 10、 Windows Server 2019のv1903とv1909だ。

Windows 10より前のバージョン、Windows 8やWindows 7(こちらはサポートが打ち切られセキュリティ・パッチの提供も終了している)などにこの脆弱性はない。月例アップデートに含まれていたバグがなぜ不適切な方法でネット上に公開されてしまったのか、詳しい事情は不明だ。セキュリティ専門企業、FortinetとCiscoはそれぞれブログ記事でこの脆弱性を公開した後、バグに関連する情報を削除している

パッチの配布は通常の方法による。Windows Updateから適用可能だ。

画像: Bloomberg (opens in a new window)/ Getty Images

原文へ

(翻訳:滑川海彦@Facebook

Androidのバグ発見にGoogleが1.6億円超の賞金

GoogleがAndroidのバグ発見に賞金をかけるプログラムを2015年にスタートさせたとき、得られる最高額は3万8000ドル(約412万円)に過ぎなかった。

しかしAndroidの市場が拡大するにつれ、賞金も上がり、セキュリティ専門家が賞金稼ぎの仲間に加わるにつれて脆弱性の発見も続いた。米国時間11月21日の朝、Googleは賞金最高額を一挙に150万ドル(約1億6300万円)にアップした。といってもどんなバグにも100万ドル(約1億800万円)以上が支払われるわけではない。

最高賞金額の対象となるのは 「リモートから実行してPixelデバイス上のTitan M セキュリティシステムを定常的に迂回できる」ような方法を発見した場合だという。つまり攻撃者がデバイスに物理的に近づくことなく実行でき、かつ実行後にデバイスが再起動されてもPixelのセキュリティチップを無効化できるような方法ということだ。

そのような方法を発見したセキュリティ専門家は100万ドルの賞金を手にすることができる。かつその手法が「Androidの特定のプレビューバージョンでも実行可能」であることを示せれば、さらに50%のボーナスが支払われる。つまりトータルで150万ドルだ。

GoogleはTitan MセキュリティチップをまずPixel 3に導入した。Googleがここで説明しているように、このチップはAndroidのさまざまなクリティカルな作業をモニタして不審な動きがないかチェックする。ブート時にはファームウェアのシグネチャーをチェックし、ロックスクリーンのパスコードを処理する。またマルウェアがOSを古いバージョンにロールバックさせてセキュリティパッチを無効化させようとするのを監視する。Titan MはPixel 4にも用いられている。

たったひとつのバグの発見に150万ドルの賞金というのはすごい額だ。これはGoogleが過去1年間に支払ったバグ発見の賞金総額に等しい。Googleによれば今年のバウンティハンターのトップは16万1337ドル(約1752万円)を獲得したという。これはPixel 3デバイス上で「ワンクリックでリモートコードを実行してデバイスを乗っ取る」テクニックだった。一方賞金額の平均値は1件あたり3800ドル(約41万円)だった。

Titan MはGoogleが独自に開発したチップでAndroidのセキュリティを画期的に強化するとされている。このチップに重大な脆弱性が発見されるなら150万ドルの賞金が出るのは当然かもしれない。

原文へ

(翻訳:滑川海彦@Facebook

新たに発見された5Gの欠陥はスマホの位置の特定や偽の警報の発信を許す

5Gは4Gよりも高速で安全性が高い。しかし、新たな研究により、ユーザーを危険にさらす脆弱性の存在も明らかになった。

パデュー大学とアイオワ大学のセキュリティー研究者たちは、11個の脆弱性を発見した。彼らによると、そのために、被害者の位置をリアルタイムでトラッキングしたり、パニックを引き起こす偽の緊急警報を流したり、5G接続されている電話機を密かにネットワークから丸ごと外してしまうといったことが可能になる。

5Gは、前任の4Gよりも安全性が高く、たとえば“スティングレイ”と呼ばれる携帯電話基地局シミュレーターを使うなどの、2Gや3Gのような旧式の携帯電話ネットワークのプロトコルを使用するユーザーを狙った不正行為に耐えられるとされている。しかし、今回の弱点の発見で、5Gの新しいセキュリティーとプライバシーの保護性能が揺らいでしまった。

さらに悪いことに、そうした新型の攻撃の一部は、既存の4Gネットワークにも被害を与えることができると研究者たちは話している。

研究者たちは、これまでの発見を拡大する形で5GReasoner(5Gリーゾナー)という名の新しいツールを構築し、5Gの新たな脆弱性を11個発見した。犯罪目的の無線基地局を作れば、攻撃者は、接続されている電話機の中から狙った相手に、監視攻撃でも破壊攻撃でも加えることができる。

ある攻撃では、狙った携帯電話の新旧両方の一時的ネットワーク識別子を取得できるという。それにより攻撃者はページングオケージョンを知ることができ、その携帯電話の位置がわかるようになる。または、ページングチャンネルを乗っ取って、偽の緊急警報を流すことさえ可能だ。これは、ハワイに弾道ミサイルが接近していると誤報が流された事件と同じように、米国と北朝鮮との核の緊張感を煽る人工的混乱と研究者たちが呼ぶものを引き起こせるという(コロラド大学ボルダー校の研究者たちは、6月に同様の脆弱性を4Gにも見つけている)。

もうひとつの攻撃は、狙った携帯電話を携帯ネットワークにつながらなくする“長時間の”DoS攻撃だ。

一部の状況では、その欠陥を逆用して、携帯電話の接続性をセキュリティーが低い段階まで低下させれば、専門の“スティングレイ”機材を用いた警察(または有能なハッカー)による狙った相手への監視攻撃が可能になる。

これらすべての新手の攻撃は、4Gと5Gネットワークに関する実践的な知識と安価なソフトウェア無線さえあれば誰にでも行えると、今回の新論文の共同著者の一人Syed Rafiul Hussain(サヤド・ラフィウル・フセイン)氏は話している。

この脆弱性の性質上、概念実証のための悪用コードを公開する予定はないと研究者たちは言っているが、彼らは、世界の携帯通信事業者の業界団体GSMアソシエーション(GSMA)には発見の内容を知らせている。

この研究者たちは、GSMAによってモバイルセキュリティーの“殿堂”と認められているが、広報担当者のClaire Cranton(クレア・クラントン)氏の話では、この脆弱性は「実際上の影響は皆無、または低いと判定された」とのこと。GSMAは、これらの脆弱性を改善するか否かについて言及せず、改善のスケジュールも示していない。だが広報担当者は、今回の研究者たちの発見は、曖昧に記述された基準の「明確化につながるだろう」と話していた。

フセイン氏はTechCrunchに対して、いくつかの欠陥は現状のデザインのまま修正できると述べた。残りの脆弱性については「プロトコルに相当量の変更」が必要になるという。

これは、2週にわたり学会で発表された研究の第2ラウンドにあたる。先週、彼らは、人気のAndroid端末(ファーウェイのNexus 6PやサムスンのGalaxy S8+が含まれる)のベースバンドプロトコルに、いくつかのセキュリティー上の欠陥を発見している。これにより、これらの携帯電話の持ち主が覗き見される危険性がある。

関連記事:Galaxy S8+などAndroid端末にベースバンド脆弱性、通話傍受から個人情報窃取も

[原文へ]
(翻訳:金井哲夫)

インテル最新のCascade LakeチップにZombieload系脆弱性、パッチリリースへ

またもや主要チップメーカーの最新製品に脆弱性が発見された。セキュリティー専門家はIntel(インテル)の最新プロセッサにある種の攻撃に対する脆弱性があることを発見した。 これは今年5月に発見されたZombieloadの変種で、同社のCascade Lakeチップをターゲットにしている。

インテルではこの攻撃をTAA(Transactional Asynchronous Abort) (トランザクション非同期停止)と呼んでいるが、マイクロアーキテクチャ・データ・サンプリング脆弱性を突いた5月の手法に似ている。これはサイドチャンネル攻撃とも呼ばれるが、TAAは最新のインテルチップに対してのみ有効だという。

Zombieload攻撃はCPUが解釈できない命令を読ませることによりCPUコアに不正な命令を実行させ、実行が放棄(アボート)されたときにバッファー内容を読み出すものだという。このデータを取得するために攻撃者はチップに物理的にアクセスできる必要がある。新世代のプロセッサは分岐が生じるまえに先のコマンドを予測して実行することによって処理速度の大幅なアップに成功している。しかしこの機能のために、本来外部からアクセスできないチップ内のバッファにアクセスが可能となることがある。

ZombieloadはMeltdownとSpectreという重大な脆弱性の場合と同じ専門家グループによって発見された。Meltdow/Spectreは先読み並列処理というアーキテクチャの欠陥を利用してCPU中の本来アクセスできないはずの部分に存在するパスワードなどの機密データを読み出してしまう。その後、最新のチップ、Cascade Lakeはこの種の攻撃に対する防御性を高めてあることが判明したし、インテルはソフトウェアパッチをリリースして危険の最小化を図った。

また専門家によればCascade LakeにはZombieload系のマルウェア、特にFalloutとRIDLなどの手法は無効だ。しかし「Cascade Lakeにおけるアーキテクチャの変更はサイドチャンネル攻撃を防ぐために十分ではない」という。

脆弱性を発見した専門家はインテルに4月に連絡していた。このとき同時に警告した他の脆弱性については翌月パッチが発行された。しかし今回の問題に関しては同社は対応に手間取り、今月に入ってようやく対応が始まったという。

インテルは再び脆弱性対策のパッチを発表し、Cascade LakeチップにZombieloadの変種に対する脆弱性があった事実を確認した。また同社は「対策を適用してもサイドチャネル攻撃を完全に防げる保証はない」と認めている。「ただしこの脆弱性を利用した攻撃が現実に行われたという報告は受けていない」と同社では述べている。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook

Galaxy S8+などAndroid端末にベースバンド脆弱性、通話傍受から個人情報窃取も

セキュリティ専門家は人気あるAndroid端末多数に脆弱性を発見した。アクセサリーのアプリが端末のベースバンド情報にアクセスできてしまう脆弱性を利用しており、被害は所有者のプライバシー情報の漏洩から接続の完全なブロックまでさまざまな可能性がある。

攻撃者はアクセサリーのアクセスを利用して、脆弱性のある端末のIMEIやIMSIなどの一意的識別子を知って接続をダウングレードする。これにより通話傍受、別の端末への転送、さらにはすべての通話とインターネットへのアクセスの完全なブロックも可能になる。

TechCrunchの独占取材によれば、影響を受けるAndroid端末は、Samsung(サムスン)のGalaxy S8+、Google(グーグル)のPixel 2、Huawei(ファーウェイ)のNexus 6Pなど少なくとも10種類あるという。

この問題は、端末のモデムをコントロールするベースバンド・ファームウェアへのインターフェイスの脆弱性を突いたものだ。ベースバンドはスマートフォンのモデムが通話の発信、インターネットへ接続など携帯網との通信をコントロールする。その重要性を考慮して、通常、ベースバンドはアプリを含むデバイスの他の部分からのアクセスが禁止されている。また多くの場合、危険なコマンドの実行を防ぐコマンドブラックリストが付属している。

しかし専門家は、多くの多くのAndroid端末でBluetoothやUSBを利用したヘッドフォン、ヘッドセットなどのアクセサリが(おそらくは意図せずに)ベースバンドにアクセスできる仕様になっていることを発見した。こうした脆弱性のあるアクセサリを悪用することにより、攻撃者は接続先のAndroid端末で自由にコマンドを実行できる。

この調査を行った、2人の専門家、Syed Rafiul(サイード・ラフィウル)氏と Hussain Imtiaz Karim(フセイン・イムティアズ・カリム)氏はTechCrunchへのメールで「こうした攻撃の影響は、重要なユーザー情報の漏洩からサービスの完全なブロックまで多様だ」と述べた。

フセイン氏と共同研究者のパデュー大学のImtiaz Karim(イムティアズ・カリム)氏、Fabrizio Cicala(ファブリツィオ・チカラ)氏、Elisa Bertino(エリサ・ベルティーノ)氏、アイオワ大学のOmar Chowdhury(オマール・チョードリー)氏は、来月カンファレンスで詳細を発表する予定だ。

こうした攻撃の影響は、重要なユーザー情報の漏洩からサービスの完全なブロックまで多様だ
Syed Rafiul Hussain, Imtiaz Karim

ベースバンドファームウェアはデバイスのセルラー機能を制御するATコマンドと呼ばれる特殊なコマンドを処理する。このコマンドは、例えば呼先の電話番号をモデムに伝えるための信号を送出する。専門家グループはこATコマンドを不正に操作できることを発見した。そこで危険性のあるATコマンドを発見できるATFuzzerと呼ばれるツールが開発された。

テストを実行したところ、脆弱性のあるAndroid端末から秘密であるべきデータを盗み出し、通話を不正に操作できるATコマンド14種類が発見された。

ただし、すべてのデバイスの脆弱性が同一ではないため、操作できるコマンドの種類、操作方法はデバイスごとに異なっていた。特にGalaxy S8 +端末の場合、特定のコマンドによってIMEI番号を漏洩させ、通話を別の番号にリダイレクトし、接続のセキュリティ自体をダウングレードできた。これは携帯端末を覗き見するハッキング専用ハードウェア「stingrays」とほぼ同様だ。他のデバイスは、通話を不正に操作できる脆弱性はなかったが、インターネット接続と通話をブロックするコマンドが使用できた。脆弱性の利用自体はさほど難しくないが、以下のような条件がすべての満たされている必要がある。

「この攻撃は脆弱性のあるBluetoothコネクタやUSB充電ステーションをセットし、そこに被害者を誘い込むことができれば簡単に実行できる」とフセイン氏らは述べている。別のコンピューターなどからインターネットを介して悪意あるアクセサリにアクセスできるなら、被害者の端末を容易に操作できるわけだ。端末がBluetoothデバイスに接続されている場合、攻撃者は物理的に付近いる必要がある。ちなみに、一部のデバイスではBluetoothを実装する方法自体に脆弱性があるため、そうしたデバイスにBluetooth攻撃を加えることは容易だという。

「スマートフォンがヘッドフォンその他Bluetoothデバイスに接続されている場合、攻撃者はまずBluetooth特有接続の脆弱性を利用し、次に不正なATコマンドを挿入できる」という。

サムスンは、一部のデバイスに脆弱性があることを確認しパッチを公開している。ファーウェイはこの原稿を書いている時点ではコメントしていない。グーグルは、「報告されている脆弱性は準拠しているBluetooth仕様そのものの問題の場合がある。最新のセキュリティパッチを適用したPixelデバイスでは問題は再現しない」とコメントしている。フセイン氏によればiPhoneにはこの脆弱性はないとのこと。

この調査は、ベースバンド・ファームウェアの脆弱性問題の最新の例だ。 以前からベースバンドの脆弱性については記事や論文が発表されている。こうした調査はまだ数少ないが、セキュリティ専門家は「情報機関や悪意あるハッカーがこうした欠陥を使用してユーザーに気づかれない、いわゆるサイレント攻撃を仕掛ける可能性がある」と警告していた。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook

メールシステム「Horde」に第三者が受信箱全体をダウンロードできるバグ

セキュリティ専門家はオープンソースのメールシステムのHorde(ホード)に重大な脆弱性があることを以前から知っていた。悪意あるハッカーは極めて容易にユーザーの受信箱全体をダウンロードすることができる。

Hordeは人気のオープンソースのメールシステムだ。開発とメンテナンスはHordコミュニティのデベロッパーとメンバーが担当している。利用が無料であることもあって、大学、図書館など多くの組織で標準メールシステムとして利用されている。

しかしセキュリティ専門家のNuman Ozdemir(ヌマン・オズデミール)氏はさる5月に深刻な脆弱性がHordeにあることを指摘した。その1つはCSRFR(クロス・サイト・リクエスト・フォージェリー)を利用したもので、悪意あるサイトへのリンクを含むメールを送りつけ、受信者がそのURLをクリックすると、受信者が気づかないうちに受信箱内のコンテンツがすべて悪意あるサイトにコピーされてしまうというものだ。

指摘に対してHorde側からはなんの回答もなかった。セキュリティ専門家は脆弱性を発見した後、修正のために3カ月待ってから、脆弱性情報を公開するのが一般的だ。

米国政府の組織でソフトウェアの脆弱性データベースを運営するNISTはこの脆弱性のリスクを高度と認定している。

オズデミール氏によれば、最新版のHordeウェブメールではいくつかは修正されたが、依然として脆弱性が残っているという。しかし Hordeコミュニティはあいかわらず脆弱性の存在を公に認めていない。そのため旧バージョンを依然として使い続けているユーザーはすべての脆弱性にさらされたままだ。

TechCrunchの取材に対し、オズデミール氏は「Hordeのメールを盗むのはバカバカしいほど簡単だ」と述べた。Horde自身のバグレポートを読むと、Hordeは現在も脆弱性を抱えていることがわかる。TechchCrunchはHordeに数回メールしたが記事公開までに回答がなかった。Hordeのデベロッパーの中心、Jan Schneider(ジャン・シュナイダー)氏は脆弱性について「修正されたものもあり、されていないものもある。記事公開の時点で存在していなかったものもある」と述べた。

画像:Getty Images

【Japan編集部追記】上記Hordeサイトによれば、XSS + CSRF to SQLi、RCE、Stealing Emailsについてのバグレポートが5月17日が報告されており、優先度3のHighに分類されているがパッチは現在のところ提供されていない。CSFRについての解説はこちら

原文へ

(翻訳:滑川海彦@Facebook

マイクロソフトがWindowsの脆弱性パッチを緊急リリース、ユーザーは即刻適用を

Microsoft(マイクロソフト)はWindowsユーザーに対して米国時間9月23日リリースした緊急セキュリティ対策を実行するよう強く要請している。

同社の説明によれば、これは一部のIE(Internet Explorer)でリモートでコード実行が可能になる脆弱性が発見されたことに対処するものだという。攻撃者が作成したウェブベージを訪問したり、悪意あるメールにより攻撃者のサイトへのリンクを開くなどした場合、ユーザーのWindowsはそれと気づかぬまま乗っ取られる可能性がある。

マイクロソフトは「この脆弱性の利用が成功した場合、攻撃者はWindowsの支配権を奪うことができる」と警告している。同社によればこの脆弱性は「現に利用されている」と分類され、被害者も出ているという。ただし詳細は明らかにされていない。

最近のデータによれば、ブラウザユーザーの7%以上が脆弱性のあるIE 9/10/11を利用しているという。IEに脆弱性がある場合、それをサポートするすべてのWindows 7/8.1/10クライアントおよびWindows Serverも被害を受けることになる。

この脆弱性はJScript(マイクロソフト製のスクリプト言語)のリモート実行に関するものであるため、JScript.dllへのアクセスを制限するためマイクロソフトが公開しているコードを書き加えることでも回避できる。

マイクロソフトはWindows標準のマルウェアスキャナー「Windows Defender」もアップデートもした。IEの脆弱性が利用された場合、DoS(サービス拒否)攻撃を受けた状態となりシステム防御が正しく機能しなくなる可能性があったためという。同社ではWindows Defenderの脆弱性は修正済みでありユーザーは特に何もする必要がないとしている。

マイクロソフトが月例のアップデート以外に緊急にパッチをリリースするのは異例だが、前例がないわけではない。同社は毎月第2週の火曜日にセキュリティパッチをリリースしており、「セキュリティ・チューズデイ」と呼ばれていた。しかし重大なセキュリティ上の問題が発見された場合はこれによらず随時、緊急パッチを発行してきた。

米国の国家安全保障省は独自のアドバイザリーで危険を警告している(情報処理推進機構もパッチを適用するよう推奨)。

【Japan編集部追記】このセキュリティパッチは9月の月例Windowsアップデートには含まれておらず、別途マニュアルでダウンロードし、独立のアップデートとしてインストールする必要がある。

Windowsメニューから「システム」を開き、使用OSのバージョンを確認する。次にMicrosoftのセキュリティ・アップデートの当該ページを開き、内容を確認する。下にスクロールして「ソフトウェア更新」の一覧の「ブラットフォーム」欄で先程チェックしたバージョンに相当するパッチを選択する(「Windows 10 Version 1903 for x64-based Systems」などと表示されている)。「ダウンロード」欄をクリックし、「Microsoft Update カタログ」を開く。サーバー/クライアント、64/32で4種類のパッチが表示されるので適切なものを選び、ダウンロードする。

プログラムを開くとアップデートのインストーラーが開くので指示に従ってインストールする。最後にWindows Udateから「更新の履歴」を開き「品質更新プログラム」にさきほどのパッチが「正しくインストールされました」と表示されていることを確認する。

原文へ

(翻訳:滑川海彦@Facebook

アップルがグーグルのiOS脆弱性発表に「ウイグルだけの話」と反論

先週、iOSの脆弱性から数年間もiPhoneが密かにハックされていたという詳細な研究をGoogle(グーグル)が発表したことに対して、Apple(アップル)が不快げな反論を公表した。このiOSの脆弱性はは悪質なサイトを訪問するだけでルート権限を奪われるという深刻なものだった。

Appleは反論の中で「我々はユーザーが事実を把握することを望む」と述べているが、おかしな話だ。もしGoogleの研究チームが詳細な研究結果を発表しなかったら、こうした事実は一切ユーザーの目に触れることはなかったはずだ。

Appleは短い記事で「一部から(iOSのセキュリティがについて)懸念が出ているが、なんら危険はないと知ってもらいたい」と述べている。

Appleによれば「このハッキングはごく狭い範囲の特殊な条件を前提としており、大規模な攻撃には適さない。この攻撃を成功させたのはわずか10件程度で、すべてウイグルの(ムスリム住民)関連サイトだった」という。 一方、AppleはTechCrunchのiPhoneハッキングは中国政府によるウイグルのムスリム攻撃の疑いという記事を事実と認めた。

なるほど、iOSの欠陥を突いた攻撃に成功したのは少数のサイトだけだったかもしれないが、Googleの研究によれば、これらのサイトはそれぞれ毎週何千回も訪問されていた。しかもハッキングは2カ月にわたって続いていた。控えめな計算でも10万台以上のデバイスが侵入を試みられ、脆弱性があればマルウェアを仕込まれていた可能性もある。かりにiPhoneがデバイス100台に1台しかなかったとしても数千人のiPhoneユーザーがルート権限を奪われていたわけだ。これだけの被害が推定できれば十分に「大規模な攻撃」だったと私には思える。

ウイグル住民が主たるターゲットだったら安心せよというのだろうか?中国のある地方全体で宗教や信条を理由として大規模な迫害が行われていることは我々には無関係なのか?

もちろんここで論じられているのはiOSの脆弱性だが、ウイグルのムスリム攻撃ではAndroidデバイスもターゲットとなっていたはずだ。ウイグルのような地域ではiPhoneよりAndroidのほうがはるかにポピュラーなスマートフォンなので、セキュリティ研究者はAndroidに対するハッキングについても調査中のはずだ。

Appleは「(Googleは)当局がスマートフォンを通じて地域の全住民を網羅的にリアルタイムでモニターできるという不安をiPhoneユーザーの間に掻き立てている」と不平を言っている。

しかしこのケースでのGoogleの発表は根拠なく不安を煽っているわけではない。一見正常なウェブサイトを訪問するだけで検知不可能なルート権限奪取が行われるというのはまさに当局によるストーカー行為そのものではないだろうか?ウイグルのiPhoneユーザーが不安を感じても当然だろう。しかもこのような当局によるハッキングの試みがウイグル地域に限定されるという保証は何ひとつない。

Appleは「Googleの通報を受けたときには我々はすでにバグの修正にかかっていた」という。それはそれで大変結構だ。 しかしそれならAppleはそのバグの技術的詳細を他のセキュリティ研究者やユーザーが参考にできるようただちに公表したのだろうか?

Appleは「iOSのセキュリティーは万全」と長年主張してきただけに、ウイグル関連で強力かつ巧妙な攻撃が成功したことについて触れられるのは苦痛だったのだろう。こうした地域全住民をターゲットとするハッキングを行う動機と能力があるのは国家的組織であることはまず間違いない。ウイグル地区で中国政府がイスラム系少数民族に対して厳しい圧迫を加えていることを考えればiPhoneハッキングの背後にそうした背景を考えても不思議ではない。Appleは「セキュリティの追求は終わりなき旅路」だと主張している。しかし知らぬ間にiPhoneを乗っ取られ、行動を逐一モニターされているウイグル住民に対しても「終わりなき旅路」だから気にするなというつもりだろうか?

GoogleのProject Zeroの研究者がハッキングに関する詳細な文書を公表しなければ、我々はこの問題についてまったく知らずに過ぎてしまったことは間違いない。AppleはiOSのマイナーアップデートの無数の「セキュリティの改良」の中にこの問題も埋め込んでしまったはずだ。

iPhoneに対する攻撃は現実に成功し多数の被害者が出ていることが強く推定される。「終わりなき旅路」なのかどうかはともかく、これは深刻なセキュリティ上の問題だった。Appleが防御的になるのは理解できるが、「酸っぱいブドウ」的な負け惜しみを言う前にまず失敗を認めたほうがいい。

原文へ

(翻訳:滑川海彦@Facebook

病院の麻酔器と人工呼吸器に遠隔操作可能な脆弱性

多くの病院で利用されている麻酔器と人工呼吸器で使われているネットワーキングプロトコルに脆弱性があることをセキュリティー研究者らが見つけた。悪用されると医療機器の誤動作につながる可能性もある。

医療セキュリティー会社のCyberMDXの研究者らによると、医療機器のGE AestivaおよびGE Aespireは、病院のターミナルサーバーに接続されていると、コマンド送信に利用される可能性がある。それらのコマンドは、アラームの停止や記録の改変などができるほか、悪用されると人工呼吸器や麻酔器で使用する麻酔ガスの組成を変えることもできる、と研究者らは言っている。

国土安全保障省は火曜日(米国時間7/9)に勧告を発表し、この脆弱性の悪用に必要な「スキルは低い」と語った。

「問題の機器は独自プロトコルを使用している」とCyberMDXの研究責任者、Elad Luz氏は言った。「コマンドを推測するのはごく簡単だった」

解読されたコマンドの一つは、装置が旧バージョンのプロトコルを使用するよう強制できる(旧プロトコルは互換のために今も装置内にある)とLuz氏は言う。さらに悪いことに、どのコマンドにも認証は必要ない。

「どのバージョンでも、まず一番古いプロトコルに変えるよう要求するコマンドを送り、そのあとガス組成を変える要求を送信することができる」とLuz氏は言った。

「装置がターミナルサーバー経由でネットワークに接続されている限り、通信プロトコルに詳しい者ならだれでも、さまざまなコマンドを悪用することができる」

言い換えると、装置がネットワークに接続されていなければずっと安全だ。

CyberMDXは、2018年10月にこの脆弱性をGEに知らせた。GEによると、AestivaおよびAespireの7100型と7900型が影響を受ける。いずれも、全米の病院および医療施設で使われている装置だ。

GEの広報担当者、Amy Sarosiek氏はTechCrunchに対して、「正式なリスク調査を行った結果、想定されているシナリオによって、臨床上の問題や患者への直接的リスクが発生することはなく、麻酔装置自身には脆弱性はないと結論づけた」と語った。

GEは、調査の結果、国際的な医療安全基準によっても、指摘されている装置パラメータの改変が最大量で行われた場合のテストにおいても、患者治療上のリスクはなかったしている。「当社の調査によると、患者の安全に関する問題が起きたと考えられる事象は起きていない」。

同社は影響を受けた装置の台数を公表しなかったが、ガス組成を変更する機能は、2009年以降に販売されたシステムではすでに利用できないと言った。

これはこれまでにCyberMDXが発表した2番目の脆弱性だ。去る6月には、広く使用されていた医療用輸液ポンプの脆弱性を発見した。

[原文へ]

(翻訳:Nob Takahashi / facebook

米政府がBlueKeep脆弱性を利用したハッキングを実証、Windows 7以前へのパッチ導入待ったなし

米国土安全保障省のサイバーセキュティー部門であるCISAは、BlueKeep脆弱性を利用したハッキングの実験を行い、対象となるデバイスでリモートコード実行ができることを確認した。BlueKeepは旧版WindowsのRemote Desktop Protocol(RDP)のバグを利用した極めて危険な脆弱性だ。

現在、民間機関での研究ではBlueKeepを利用してDoS攻撃ができることが実証されている。つまり狙ったコンピュータをクラッシュさせてしまうわけだ。しかしBlueKeepはそれよりはるかに悪質なリモートコード実行に利用できることが確実だった。そうなれば2017年に世界を大混乱に陥れたWannaCryランサムウェアの再来となる。

CISA(Cybersecurity and Infrastructure Security Agency)は6月17日に発した警告で、BlueKeepを利用してWindows 2000を搭載したコンピュータ上のコードを遠隔で実行できることを確認した。

Windows 2000はMicrosoft(マイクロソフト)が発表した脆弱性対策には含まれていないが、CISAの広報担当者によれば「我々は外部の関係者と協力してこの脆弱性を調査している」ということだ。TechCrunchはマイクロソフトにコメントを求めている。

リモートコード実行が可能なマルウェアはまだ現実には使われていない。しかしCISAがアラートを出した以上、同じ効果をもつマルウェアをハッカーが近く作り出せることが確実だ。

マイクロソフトと米政府機関は先月末からBlueKeep脆弱性へのパッチ適用を強く勧告してきた。

BlueKeep(CVE-2019-0708)はWindows 7およびそれ以前のWindowsコンピュータのリモートデスクトップサービスのクリティカル評価のバグで、パソコンだけでなくサーバーにも影響する。ユーザー認証以前に実行可能なので攻撃者はログインの必要がない。攻撃が成功すればデータを盗み出すだけでなく、システム管理者の特権を得ることも可能だ。またワーム化できるので、1台が乗っ取られば同一のネットワークに接続しているすべてのコンピュータに伝染する。

Microsoftは先月末、サポート終了のOSに対してパッチを発行するという異例の措置を取った。しかし100万台ものコンピュータが無防備な状態におかれているという。英国のセキュリティ専門家であるKevin Beaumont氏のツイートによれば 「マルウェアがひとたび組織のファイアウォール内のパソコンに入り込むことに成功すれば被害規模は桁違いに拡大する」という。

NSAは秘密主義で知られるこの組織としては異例の警告を公表し、「脅威が著しく増大している」と述べ、ユーザーにパッチの適用を強く勧告していた。

万一パッチしていないなら今こそすべきだ。

【Japan編集部追記】CISAによれば、影響を受けるシステムは次のとおり。PC向けOSは、Windows 2000、Windows、Vista、Windows XP、Windows 7。サーバー向けOSは、Windows Server 2003、Windows Server 2003 R2、Windows Server 2008、Windows Server 2008 R2。

原文へ

滑川海彦@Facebook

インテルCPUに重大バグZombieLoad発見、各社がパッチを相次いでリリース

2011年以降に製造されたほとんどすべてのIntel(インテル)チップに重大な脆弱性がまた発見された。これを受けてMicrosoft(マイクロソフト)やApple(アップル)をはじめテクノロジー大企業は対応パッチを緊急リリースした。

火曜日に専門家グループは、ZombieLoadと呼ばれれる脆弱性に関する詳細なレポートを発表した。このバグはMDS(マイクロアーキテクチャ・データ・サンプリング)と呼ばれるテクノロジーを利用したもので、パスワード、暗号鍵、各種のトークンなどの秘密情報を、CPUから盗み出すことができる。

バグの詳細については先ほど公開したこちらの記事を参照していただきたい。結論からいえば、ユーザーはパニックを起こすべきではないが、速やかにシステムをアップデートして修正パッチを適用する必要がある。

専門家によるバグの動作実証画面

AppleはmacOS対応済み

Appleは2011年以後に出荷されたすべてのMacとMacBookにパッチをリリースした。

同社のセキュリティーアドバイスによれば、 macOS Mojave 10.14.5が作動するすべてのデバイス向けのパッチが月曜にリリースずみだという。このパッチはSafariその他のアプリを経由するZombieLoad攻撃を防ぐことができる。ほとんどのユーザーは、パッチの適用によるパフォーマンス低下などの影響を受けない。ハイパースレディングを完全に無効化するなどの防止策にオプトインした場合、最大40%のパフォーマンス低下が起きる可能性があるという。

セキュリティーパッチは今後Sierra、High Sierra版もリリースされる予定だ。 iPhones、iPad、Apple Watchは今回のバグでは影響を受けない。

MicrosoftはWindowsをアップデートずみ

MicrosoftもOS、クラウドの双方に対するパッチをリリースした。

Microsoftのシニアディレクターを務めるJeff Jones氏は「我々はインテルや他の関連メーカーと密接に協力して対策を開発、テストした」と述べた。

TechNetの報道によれば、Microsoftは「一部のユーザーはチップ・メーカーから直接マイクロコードを入手する必要があるかもしれない」と述べたという。Microsoft自身もWindowsアップデートでできるかぎり多種類のチップ向けマイクロコードのアップデートを発表している。また同社のウェブサイトからも入手できる。

OS自身のアップデートはWindowsアップデートとして本日にリリースされる予定だ。MicrosoftはZombieLoad攻撃を防ぐための方法を説明する専用ページを開設している。

Microsoft Azureのユーザーについては対策済みだという。

GoogleはAndroid対応済み、今後Chromeも

Googleも対策を取ったことを確認した。 同社によれば、「ほとんどのAndroidデバイスは影響を受けない」としている。ただしインテルチップ専用機に関してはチップメーカーがアップデートを発行したらインストールしておく必要がある。

ChromebooksなどChrome OSデバイスの最新版はパッチ済み。次のバージョンでさらに根本的な修正が行われる。

GoogleのChromeチームはアドバイザリーページでパッチについて「OSベンダーはこのバグを隔離し、システムを攻撃から防御するためのアップデートを発行するだろう。ユーザーはベンダーのガイダンスに従ってこれらのアップデートを速やかにインストールすべきだ」と述べている。つまりWindowsやmacOSのパッチを一刻も早く適用せよということだ。

Googleっはデータセンターのサーバーにパッチを適用済みだ。つまりGoogleクラウドのユーザーはすでに保護されているが、Googleのセキュリティー情報には今後も充分注意を払うこと。

AmazonはAWSを修正済み

Amazonの広報担当者はAmazon Web Servicesはインテルチップの脆弱性を利用した攻撃を防ぐためのアップデートを実施ずみだとして次のように述べた。

「AWSは従来からこの種のバグによる攻撃を防ぐための措置を取っている。MDS(データベース移行サービス)にはさらに付加的予防措置が取られている。すべてのEC2インフラはこうした新たな保護を適用されており、顧客側で必要とされる措置は特にない」。

MozillaはFirefoxに本体アップデートを来週リリース

Firefoxブラウザに関してMozillaは「長期的解決を準備している」と述べた。

Firefoxは、AppleがmacOSに関して推奨した防御措置を適用ずみだ。5月21日に予定されているmacOS版Firefox(v67)およびExtended Support Release(v60.7)へのアップデートにはこのパッチが含まれる。FirefoxベータおよびFirefox Nightly版にはこの修正が適用されている。

広報担当者によれば、Windows版、Linux版には特に対策は必要ないという。

アップデート:当初の記事を各社からのコメントによって記事を更新した。

【Japan編集部追記】今回のバグは昨年1月に発見されたMeltdownSpectreと同様にCPUデザインの欠陥を利用したものでIntelチップを利用したデバイスすべてに影響が及ぶ。ただし手法はまったく異なり、「CPUが解釈できない命令を読ませることによりCPUコアに不正な命令を実行させ」バッファー内容を読み出すものだという。

原文へ

(翻訳:滑川海彦@Facebook

Google 、大規模アプリのバグテストのClusterFuzzをオープンソース化

Googleは今日(米国時間2/8)、ClusterFuzzをオープンソース化したと発表した。 ファジングはプログラムのバグ発見の有力な手法だが、このツールは2万5000台以上のコンピューターを結合した大規模クラスターでも作動する。

Googleのファジングに対する取り組みに注意を払っていたなら(読者がエンジニアならそうすべきだ!)、よく知っているとおり、同社はすでに長期間このツールを社内で使用してきた。Googleは数年前にOSS-Fuzzサービスを開始したが、これがClusterFuzzを使用していた。OSS-Fuzzはオープンソース・プロジェクトでしか利用できなかったが、今回のオープンソース化でどんなプログラムでもClusterFuzzを利用できるようになった。

ファジングはコンセプトとしてはシンプルだ。プログラムに大量のデータ(ランダムなデータを含む)をインプットして反応をチェックするというバグ発見の手法だ。プログラムはクラッシュしたり、メモリーリークを起こしたりする。さらに予期せぬ脆弱性が発見されることがある。しかし複数のマシンで作動するプログラムをこの手法でテストしようとすると事態は急速に複雑化する。大規模なデータセンターで作動させることを前提にしたプログラムにはClusterFuzzのような専用ツールが必須となる理由だ。

ClusterFuzzは、バグ検出からレポート作成までの一連のプロセスを自動化し、バグが修正されたら再テストを実行する。ClusterFuzz自身がファジング・エンジンやツールのテストケースを生成するコアファジング機能にオープンソースのlibFuzzerAFL fuzzerなどを利用している。

Googleは、「Chromeブラウザの開発ではこのツールを利用し1万6000以上のバグを発見した。またOSS-Fuzzでは160件以上のオープンソース・プロジェクトで1万10​​00のバグを発見した」としている。ソフトウェアのテストや導入のためのプロセスの多くの部分で自動化が進んでいるため、当然ファジングもホットな話題になってきた。最近ではインハウスで常時ファジングを行う、continuous fuzzingについての記事をたびたび目にする。

画像:Thanit Weerawan / Getty Images

(日本版)色とりどりのポンポンがカット写真に使われているのはfuzzには「毛糸などのケバ、毛玉」などの意味があるため。

原文へ

滑川海彦@Facebook Google+

インターネット最悪の道具箱、Shodan Safariを使えばどんなデバイスにも侵入できる

何であれインターネットに長くつないでおけば、いずれ誰かにハックされる。

メーカーは相変わらずわかりきったパスワードを設定してデバイスを出荷しているのが現実だ。 デフォールト・パスワードの情報は簡単に手に入るので無数のデバイスに誰でも簡単にadminとしてログインできる。それどころかパスワードが設定されていないシステムも多い。

Shodan Safariをご存知だろうか? ゲーム半分、社会への鬱憤晴らし半分といったサイトだ。ハッカーはここにShodan検索エンジンで発見した最悪の情報を投稿して拡散しようとする。Shodanはインターネットに接続されているシステムをすべて検索するデータベースで、これ自体はセキュリティー専門家にも便利なツールだ。Shodanの巨大な検索エンジンはIoTデバイスであれサーバーであれ、インターネットを通じて接続可能なシステムを片っ端からクロールしてタグづけする。

Shodanが収集する情報には開いているポート番号も含まれる。このポートがオープンしているなら多分ウェブカメラだ。このヘッダーが返ってくればバックエンドはブラウザで閲覧可能だ。Shodanはこれらの情報によってデバイスの種類や機能を推定する。

Shodanで発見した報を交換するShodan Safariはインターネット版のゴミ捨て場漁りだ。

ここにカメラからルーターまで、病院のCTスキャナーから空港の危険物探知機まであらゆるシステムの情報がある。驚くと同時に憂鬱になる。こうしたシステムには悪意あるハッカーが自由に侵入できるのだ。

プールと付属トイレからマリファナの鉢、はてはヤギ小屋まである。

Shodanの情報を見れば恐怖を感じるだろう。インターネット上のあらゆる危険への窓だ。このフォーラムを通じて拡散されているのはデバイスのパスワードだけではない。2段階認証コードから有権者の投票履歴誰かが今晩ジムに行く予定までアップされている。もちろんデバイス関連がメインだ。上でも触れたようにCCTVカメラの情報は非常に多い。自動車のナンバープレート、スマートホーム・デバイス、大人のおもちゃ、等々。何かをインターネットに接続すれば、必ずShodanに捕捉されると思ってよい。

デバイスのメーカーに覚えておいてもらいたいのは、どうしても必要があるのでなければ、インターネット接続機能を付加するなということだ。

以下にいくつか最悪のリークの例を挙げておく。読者が興味ある発見をした場合は、zack.whittaker@techcrunch.comまでメールされたい。

エアコン. (スクリーンショット: Shodan)

 

アラバマの空港の気象カメラ (スクリーンショット: Shodan)

 

インドの銀行ウェブシステム (スクリーンショット: Shodan)

 

牛肉処理工場 (スクリーンショット: Shodan)

 

セントルイスの教会の鐘楼の鐘をコントロールするシステム (スクリーンショット: Shodan)

 

イタリアのバイオガス生産、処理プラント (スクリーンショット: Shodan)

 

トリ。ただトリを写すだけにカメラらしい。 スクリーンショット: Shodan via @Joshbal4)

 

ロサンゼルスの醸造工場 (スクリーンショット: Shodan)

 

劇場の映画のプロジェクターを動かすWindowsアプリ スクリーンショット: Shodan via @tacticalmaid)

 

オランダの漁船の機関室 (スクリーンショット: Shodan)

 

ロンドンのヒースロー空港ターミナル3の爆発物探知装置 (スクリーンショット: TechCrunch)

 

魚の水槽のコントロール・システム (スクリーンショット: Shodan)

 

コロラド州コロラド・スプリングスの花屋の環境システム (スクリーンショット: Shodan)

 

Tesla PowerPackのウェブUI (スクリーンショット: Shodan via @xd4rker)

 

Instagramの自動フォロー・ボット.(スクリーンショット: Shodan)

 

薬剤師のターミナル (スクリーンショット: Shodan)

 

テキサス州のPhil’s BBQレストランのビデオ・コントロール (スクリーンショット: Shodan)

 

Kodak Lotemプリンター (スクリーンショット: Shodan)

 

すでにハックずみ(リックロールされている)芝のスプリンクラー (スクリーンショット: Shodan)

 

亜硫酸ガス探知機 (スクリーンショット: Shodan)

 

膝関節リハビリ機. (スクリーンショット: Shodan)

 

サポートが終了しているのに今だに存在を続けるWindows XP (スクリーンショット: Shodan)

 

家庭用エクササイズ・マシン (スクリーンショット: Shodan)

原文へ

滑川海彦@Facebook Google+

中規模クラウドベンダーたちは協力してスペクターとメルトダウンに立ち向かう

先週の半ばに、SpecterとMeltdownと呼ばれる、2つの巨大な、チップ脆弱性のニュースが登場した(概要説明についてはこの記事を参照 )。Amazon、Google、Microsoftなどの大規模クラウドベンダーたちは、チップベンダーたちと接触しており、脆弱性を緩和するために舞台裏で取り組んでいたことがわかった

しかしそうした内輪には入っていない、LinodeOVHPacketといった、より小さなクラウドホスティングベンダーたちはどうだろうか?どのように対処しているのだろう?

徐々に詳細が伝えられ始めたようだ。こうした取り残された企業たちは、その数10万におよぶ顧客のために迅速に回答を見出し、巨大な脅威から顧客を守る手段を講じる強い必要性に迫られている。この「中規模ベンダー」の経営層たちは、脅威のニュースが公開された水曜日以降、非公式に連絡を取り合い始めている。

レオ・レオニのスイミーという子供向けの本のように、それらの企業は集まって、あたかも大きな魚のように振る舞う必要性があることを認識した。

そしてスイミーは叫びました。「いい考えがある!皆で集まって、大きな魚のようになって泳くんだ!」

– レオ・レオニ(スイミー)

これらの企業によって提供された情報によれば、この接触はまずフランスのホスティングプロバイダーであるScalewayのマーケティング戦略担当副社長のEdouard Bonlieuが、PacketのCEOZac Smithに、情報共有のために連絡したことから始まったということだ。またBonlieuは同時に、仲間であるフランスのプロバイダOVHにも連絡していた。

最終的に6社のクラウドプロバイダーたちが、協力し情報共有するするためのコンソーシアムのようなものを立ち上げた。その6社とは、Scaleway、DigitalOcean 、Packet、Vultr、Linode、OVHである。プロセスをより効率的にするために、各企業のCEO、CTO、エンジニアたちが参加するSlackチャネルが設定され、情報や修正などが共有されている。

アップデート#7 – ハードウェアメーカーから提供される情報が不完全であるため、私たちは@linode@packethost、そして@ovhなどを含む、影響のあるクラウドプロバイダーたちで集まり協力し、情報の共有を行うことにしました。 https://t.co/iVHi72nmFJ

— scaleway (@scaleway) January 4, 2018

このアプローチのおかげで、Slackのようなエンタープライズコミュニケーションツールを活用して、彼らは情報をより迅速に入手することができた。「一部のグループのように、MeltdownとSpectreについて事前の通知を受けることができなかった私たちは、追いつくために頑張っています。Scaleway、OVHといったベンダーたちと一緒になることで、電話による遅々とした連絡をショートカットし、システムのどこがどのように脆弱なのかを知りたがる顧客たちに対して、最大限に詳細な情報を提供できるようになりました」。こう説明するのはPacketの技術担当上級副社長のNathan Gouldingである。

Scalewayの上級副社長であるYannLégerは次のように付け加えた。「私たちは完全な開示が行われる前に、これらの脆弱性を報道で知らされたのです。完全な事態把握を迅速に行うことができるように、メーカーたちに対して圧力をかけ始めたところです。他のクラウドプレイヤーたちと協力することは、問題を最も的確に軽減するために行ってきた、最善の意志決定の1つです」。

同社はまた、顧客たちに彼らの持つ最新情報を伝えるために、ツイートを行い、ブログ投稿を行っている。

これはクラウドコンピューティングの真の協力精神を発揮するために 、通常は互いに激しく競争しているクラウド企業たちが、協力せざるを得なくなったケースだった。大規模ベンダーたちは、パッチ、修正、そして詳細情報を提供してくれる、様々な関係機関への直接のパイプラインを持っている。中規模ベンダーたちには、そのような贅沢は許されておらず、このレベルの協力は彼らにとって、真に困難な状況に対処するための役に立っているようだ。

注:この記事を最初にリリースした後、Nexcessprgmr.comExoscaleの3社も、上の6社に加えてSlackチャンネルに加わったことが分かった。

[原文へ]
(翻訳:sako)

FEATURED IMAGE: JOHANNA PARKIN/GETTY IMAGES

速報:High Sierra Macに重大バグ――当面Macを放置してはいけない

非常にまずいことになっている。最新版のHigh Sierra — 10.13.1 (17B48)を搭載したMacに誰でもログインできる。ユーザー名のフィールドに“root”と打ち込むだけでいい。これは大問題だ。Appleは数時間のうちにもバグを修正するはずだが…よく聞いていただきたい。このバグが修正されるまでは絶対にMacを放置しておいてはいけない

このバグは設定から簡単にアクセスできる。ユーザーがセキュリティーとプライバシーなど設定の重要な部分を変更しようとしたときに開いてユーザー名とパスワードを打ち込む場所だ。

ハッキングもなにもない。ユーザー名の代わりに “root”とタイプするだけでいい。 パスワードには何も入れる必要はない。ログインボタンを何度かクリックするでログインできる。ただしMacのユーザーはこれを自分のマシンで実験してはいけない。“root”アカウントを作成することになり、その後すぐに削除するのでなければ、悪意ある第三者を利することになる

このバグを発見したのは Software Craftsman Turkeyのファウンダー、Lemi Orhan Erginのようで、Twitterでこのことを警告した。

繰り返す必要もないだろうが、これは最悪のバグだ。ログインに成功してしまえば後はマシンのオーナーとして何でもできる。管理者を追加する、セキュリティーの設定を変える、本来のオーナーを締め出す、とやりたい放題だ。バグが修正されるまでMacを目の届かないところに置いてはならない

われわれが実験したところではどのパネルからでもユーザー名を入力する窓であれば“root”と打ち込みさえすればMacは即座に新しいシステム管理者アカウントを作成するようだ。ただし10.13(17A365)マシンでは動作しない。しかしこちらには各種のつまらぬプレインストールソフトが入っていて悪さをする可能性がある。

当面の対策としては“root”でログインし、なんでもいいからパスワードを設定しておくのがよいだろう。しかしやはり安全なのは誰が触るかわからないような環境にデバイスを放置しないことだ。

われわれはAppleにコメントを求めているが、向こうでも大忙しだろうと思う。進展があればすぐにフォローする。ともあれMacを放置しないよう

[原文へ]

(翻訳:滑川海彦@Facebook Google+

WPA2のWiFi脆弱性から身を守る方法――KRACK攻撃の内容と対策

今日(米国時間10/16 )、セキュリティー専門家のMathy VanhoefはWPA2暗号化プロトコルにおける深刻な脆弱性を公表した。現在利用されているほとんどのルーターその他のデバイスはWiFi接続を保護するためにWPA2暗号化を用いている。つまりきわめて多くのユーザーがこの問題の影響を受ける。

このKRACK〔Key Reinstallation AttaCKs=キー再インストール攻撃〕脆弱性を利用してハッカーができること、できないことをはっきりさせておこう。攻撃者はユーザーのコンピューターとルーターの間のWiFi通信の一部に割り込むことが可能だ。ただしそのトラフィックがHTTPSを用いて適切に暗号化されている場合、攻撃者は内容を知ることはできない。また攻撃者はKRACK脆弱性を用いてWi-Fiパスワードを盗むことはできない。しかし〔再インストールしたWPA2キーを用いて〕トラフィックを復号化して読むことができる。

一部のデバイスの場合、攻撃者はパケット・インジェクション攻撃が可能で、この場合は深刻な結果をもたらす。空港はカフェのWiFiなどのルーターもこの脆弱性を持つ可能性が高い。

次に攻撃者はWiFiネットワークに接続できる場所にいる必要がある。何キロも遠く離れた場所からこの脆弱性を利用した攻撃をしかけることはできない。しかし攻撃者はユーザーの近くですでにゾンビー・コンピューターとなっているデバイスを利用する可能もある。しかしコンピューターをゾンビー化するのはKRACK攻撃にくらべてさらに高度なテクニックが必要だろう。ほとんどの攻撃者は今日初めてこの脆弱性について知ったはずだから、ルーターなどデバイスのメーカーは一刻も早く修正パッチを発表すべきだ。

理論的にいえば、攻撃者は将来この脆弱性をさらに拡大する可能性がある。たとえばこの脆弱性を利用してデバイスを乗っ取るワームを開発し、無防備なIoTデバイスなどに次々に拡散させ、ゾンビー・ボットネットを構築するなどだ。しかしこれはあくまで可能性であり、現在はそういうことはできない。

そこでWPA2プロトコルの脆弱性に対する現在の対策はこうだ。

ワイヤレス関連のデバイスをすべてアップデートする

グッドニュースはKRACK攻撃を防げるアップデートが比較的容易に開発できるということだ。パッチは後方互換性があるので、同じネットワークにアップデート版のデバイスとアップデートされていないデバイスが併存しても差し支えない。

なんにせよWi-Fi機能を持つすべてのデバイス(ノートパソコン、スマートフォン、タブレット等)をアップデートしてセキュリティー・パッチをインストールする。この種の脆弱性の発見はこれが最後ではないはずだから、まだそのように設定していないなら自動アップデートを選択することを考えるべきだ。最新のOSは自動アップデートを非常に手際よく実行できる。一部のデバイス(というのは一部メーカーのAndroidだが)は頻繁にアップデートが行われず、これらは引き続きリスクとなる。

KRACK攻撃にはさまざまな手法が想定されるので、WiFiルーターそのものとクライアント・デバイス双方のセキュリティー・アップデートが必要だという点が重要な点はだ。

ルーターに注目

すべてのルーターのファームウェアはアップデートが必要だ。使用しているルーターがキャリヤが設置したキット製品であれば、キャリヤにいつパッチが出るのか問い合わせるべきだた。分からないというなら繰り返し問い合わせる。ルーターの管理ダッシュボードを開き最新の状態であるかチェックする。キャリヤ・ブランドのルーターであればユーザーガイドを探し、管理者ページへのアクセス方法を調べる。

キャリヤがいつまでもKRACK対策のファームウェアのアップデートを出さないようならキャリヤを乗り換えることを検討すべきだろう。それほどドラスティックな手段を取りたくない場合は、信頼できるメーカーからすでにKRACK対策ずみのWiFiルーターを購入する。購入したWiFiルーターをキャリヤのルーターに接続し、キャリヤのWiFiを無効にしておく。

一部のルーター・メーカー(Ubiquiti、Microtik、Meraki、Aruba、FortiNet等)はすでにパッチを公開している。ここからリストを確認できる

有線接続に切り替える

KRACK脆弱性にキャリヤが対応せず、対応済みWiFiルーターも入手できない状況の場合、ユーザーはデバイスをルーターにEthernetケーブルで接続し、WiFi機能を無効にする(そうできる場合)という方法が考えられる。デバイス側のWiFi機能も無効にしておく必要がある。トラフィックがEthernetケーブル内を流れていれば安心だ。

仮にすべてのデバイスについて上記のような対策を取れない場合でも主要なデバイスは有線接続に切り替えるべきだ。読者が毎日パソコンを長時間使い、インターネットと大量のデータをやり取りしているならこのコンピューターだけでも有線接続にする。Ethernetケーブルを持っていないなら買ってくること。

モバイルデバイスのWiFi機能を無効にする

スマートフォンやタブレットには通常Ethernetポートがない。データを盗み見されたくない場合、 デバイスのWiFi機能を無効にし、セルラー網だけを利用して接続するという方法がある。これはセルラー網のスピードが遅かったり、データ通信プランが高額だったりする場合、理想的な方法とはいえない。またモバイル・キャリヤの信頼性が低い場合もある。

Android 6.0以降を利用するデバイスは特に脆弱性が深刻だ。AndroidデバイスではWiFi利用時のハンドシェイク・メカニズムに欠陥があるためキー再インストール攻撃はきわめて容易だ。つまりAndroidユーザーはいっそうの注意が必要だ。

IoT(Internet-of-Things)デバイスへの影響は?

IoTデバイスを数多く所有している場合、トラフィックの内容が盗まれた場合のダメージが大きいデバイスはどれかを考えてみる必要がある。たとえば室内監視用にセキュリティー・カメラを設置しているが、このカメラのビデオデータが暗号化されていなかったとしよう。WiFiネットワークに攻撃者がアクセスできるなら室内の様子を撮影したビデオが丸見えになってしまう。えらいことだ。

想定されるダメージによって対応を考えるのがいいだろう。つまりハッキングによるダメージの大きいデバイスから順にWiFiネットワークから外す。メーカーがセキュリティーパッチを発行するのを待って接続を戻す。また家庭のネットワークにどんな機器が接続されているのかチェックしておくことをお勧めする。

もちろんスマート照明の電球とルーターの間のトラフィックが攻撃者の手にわたってもさして実害はない。そんな情報は通常の場合役に立たない。エドワード・スノーデンなら自分の照明の点灯状況が外部に漏れることを嫌うだろう。しかしほとんどユーザーはそこまで高度なセキュリティーを必要としていない。リスクはユーザーが個々に判断すべきだ。

ただしIoTデバイスはことセキュリティーに関してこれまでもホラー・ストーリーを何度も提供してきた。これを機会にIoTを始めとするデバイスのセキュリティーを見直し、パッチを出すのが遅いメーカーのデバイスは捨てることを考えるべきだ。パッチ対応が遅いメーカーのデバイスは今後もセキュリティー上の懸念となる可能性が高い。

HTTPS Everywhere拡張機能を利用する

上述のようにインターネットとやり取りするデータそのものを暗号化すればセキュリティーは大きく高まる。EFF(電子フロンティア財団)はHTTPS Everywhereというブラウザー拡張機能(extension)を提供している。ユーザーがGoogle Chrome、Firefox、 Operaを利用しているのであればこの拡張機能をインストールすることを考えてもよい。ユーザー側での設定変更等は不要で、他の拡張機能同様、単にインストールボタンを押すだけでよい。

この拡張機能はサイトがHTTPSとHTTPの双方のプロトコルを利用している場合、自動的にHTTPSでブラウザーを接続させる。しかしHTTPSを使っておらずHTTP接続しか利用できないサイトの場合はHTTPS Everywhereは役に立たない。またサイトのHTTPSの実装に欠陥がある場合も補完してはくれない。そうではあってもHTTPS Everywhereはないよりは増しだ。

VPNは解決法ではない

理論上はVPNサーバーを利用するのは有効に思える。しかしわれわれはこの点についてはすでに調査ずみだ。VPNサービスについては最大限の注意を払う必要がある。無条件に信頼できるサービスではない。

VPNサービスを利用した場合、ユーザーのすべてのインターネット・トラフィックはどこかのデータセンターにあるVPNサーバーに向かう。 この場合KRACK攻撃者はトラフィックの内容を見ることはできない。しかしVPNサービスはトラフィックをログに取っている可能性があり、このログにアクセスできるものはこれをユーザーの不利益になるように利用できる。

たとえば、先週のThe Registerが報じたFBI捜査官の宣誓証言の文書によれば、PureVPNは容疑者を逮捕するために重要な情報を当局に引き渡したという。しかしPureVPNのウェブサイトには「われわれは一切ログを記録しない」と書かれていた。VPN企業を信頼するのは考えものだ。自分で独自のVPNサーバーを開発するのであれば別だが、VPNサービスは解決法ではない。

最大限のWiFiセキュリティーが欲しければ僻地に引っ越す

ユーザーが種々の事情でWiFi接続を止めるわけにいかないが、トラフィックの内容を絶対に人に知られたくないというパラノイドの場合、人跡稀な山の奥深くの小屋に引っ越すのがいい。実際、マーク・ザッカーバーグはセキュリティーを強化するために近所の家を買って取り壊したが、こういう戦略は非常に金がかかるのが難点だ。

画像: wackystuff/Flickr UNDER A CC BY-SA 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+

DNAに書き込まれた悪意あるコードがそれを読み込んだコンピューターに感染した

驚くべきことに、生物学者とセキュリティ研究者のチームが、DNA鎖上にコード化された悪意のあるプログラムを、コンピューターに感染させることに成功した。

まるでサイエンスフィクションのように聞こえるかもしれないが、これは本当の話だ。とはいえこの特定の脅威にすぐに怯えなければならないというわけではない。ともあれ、このプロジェクトが示唆する可能性は、魅力的でありまた同時に恐ろしいものでもある。

ワシントン大学の学際チームは、目立つニュースを目指していたわけではないが、結果としてそれを成し遂げた。彼らは世界中の研究室で使用されているオープンソースソフトウェアの基本的な脆弱性を発見し、DNA転写と解析に関するセキュリティ基盤が不適切であることを懸念していた。通常扱われているデータの性質を考えると、これは今後深刻な問題になる可能性がある。

確かに、彼らは通常のマルウェアやリモートアクセスツールを使ってシステムの弱点を提示することができた。それは有能な攻撃者たちがシステムへ対してとる方法だ。しかし、違いの分かるセキュリティ専門家は、そうしたゲームに対して常に先手を打っておくことを好む。

「コンピュータセキュリティコミュニティで我々がしようとしている大きなことの1つは、『どうしよう、敵が私たちのドアをノックしているのに準備ができていない』という状況を避けることです」と河野忠義(Tadayoshi Kohno)教授は語る。彼はこれまで、ペースメーカーのような埋め込み型でニッチな電気製品のための、不測の攻撃ベクターに関する追求を行ってきた人物だ。

左から:ワシントン大学の分子情報システム研究所の、Lee Organick、Karl Koscher、そしてPeter Ney。セキュリティとプライバシー研究室では、DNAシーケンシングへの脅威に対する研究をしている

「このように分子と電子の世界が近づくにつれて、私たちがこれまで考慮する必要のなかった潜在的な相互作用が生み出されています」と、同研究の共著者の1人であるLuis Cezeは付け加えた。

その結果、彼らは過去に多くのSF作家たちが書いてきたような飛躍を経験しているところだ。そして私たちは現在CRISPRのようなツールを用いて探究している最中でもある:DNAは基本的に生命のファイルシステムなのだ。解析プログラムは、DNA鎖の塩基(シトシン、チミンなど、我々がA、T、G、そしてCなどとして知っているもの)を読み取り、バイナリデータに変換している。もしそれらのヌクレオチドが元々別のバイナリデータをコード化していたものだとしたらどうだろう?実のところ、それは既に行われているのだ ― すぐそこで

マッドサイエンス登場

彼らのとった方法は次のようなものだ。転写アプリケーションについて本当に知る必要があることは、それが転写プロセスから生データを読み込み、整列させ、パターンを探し、見つかった塩基配列をバイナリコードに変換するということだ。

「ASCIIによるA、T、G、Cそれぞれの文字からからビットストリームへの変換は、妥当と思われる最大読取り長を前提とした固定サイズのバッファーの中で行われます」と説明するのは、より多くの技術情報を求めた私に答えてくれた共同著者のKarl Koscherだ。

これにより、プログラムが任意のコードを実行することができる基本的なバッファオーバーフロー攻撃のチャンスが生まれる。なぜなら想定外の事態が引き起こされるからだ。(彼らはデモをわかりやすくするために、特定の脆弱性をわざとソフトウェア自身の中に仕込んでいたが、こうした脆弱性は実際にはデモ向きの分かりやすい形ではなく、色々な場所に埋め込まれていることも指摘した)。

実行可能なコードを基本シーケンスに含める方法を開発した後、彼らはそれを使った攻撃コードを研究した。皮肉なことに、これをウイルスと呼ぶのは間違いだが、今までに書かれたどんな悪質なコードよりも「本当の」ウイルスに近いものだ。

「この攻撃コードの長さは176塩基長でした」とKoscherは言った。「圧縮プログラムが、各塩基を2ビット長に変換します。これらは共にパックされ変換の結果44バイト長の攻撃コードとなりました」。

塩基が4種類あることから、それぞれを2つのビットで表現することは理に適っている。Koscherはこれが実際に行われたことであると答えた(もし私のように興味があるのなら、それらは具体的には、A = 00、C = 01、G = 10、T = 11だ)。

「これらのバイトのほとんどは、ASCIIコードで書かれたシェルコマンドをエンコードするために使用されます」と彼は続けた。「4バイトが、シェルコマンドを実行するC標準ライブラリのsystem()関数を呼び出すための変換関数に使われ、更に4バイトが、その実行するコマンドがメモリ内のどこにあるかを指定します」。

本質的に、DNA内のコードは、ACGT群から00011011群に変換されるとすぐに、プログラムとして機能し、システム内でいくつかのコマンドを実行する(system()を介してDNA内に書き込まれた任意のOSコマンドが実行されることになる)。脅威ベクトルの存在を証明するには十分だ。また、アプリケーションを分離する以上のことをしたい場合でも、十分にコードできる余地が残されている。

この攻撃コードを含むDNA鎖の176塩基という長さは「ほとんどの生物学的標準から見て、とても小さいものです」と、このプロジェクトに取り組んでいる研究者のLee Organickは述べている。

バイオパンクの未来がやってくる

興味深いニュースを人類への現実的な脅威と捉える、全ての科学ジャーナリストを駆り立てる性根を発揮して、私はチームに対してより多くの質問を行った。

「ひょっとして」私はこれはあくまでも仮定の話だがと断りながら尋ねた「そうした攻撃コードを、改竄された血液サンプルや、場合によっては誰かの体から直接配布することも可能なのでしょうか?本質的にセキュリティに弱点を抱えるコンピュータに致命的であるようなDNAを持つ人物を想像することができますが」。

困ったことに、Organickは私の恐怖心を煽った。

「シーケンシングのあと、処理をさせて悪意あるコードの実行をさせるために、改竄された生物学的試料を悪意あるDNAのベクターとして利用することは可能です」と彼女は言う。

「とは言え、改竄されたサンプルから悪意のあるDNA鎖をシーケンサーに送り込むためには多くの技術的困難が待ち構えています」と彼女は続けた。「たとえシーケンシングのためにシーケンサにうまく送り込めたとしても、利用可能な形になっていないかもしれません(例えば役に立つ形で読み込むためには細かく断片化されすぎているかも)」。

それは私が想像したバイオパンク黙示録の世界ではないが、研究者たちは少なくとも皆に、潜在的な攻撃パスとしてこのようなものがあることを考えて欲しいと思っている。

「科学者たちがこのことを考慮して、彼らの書くDNA解析ソフトウェアに適切なセキュリティ標準を適用して、潜在的な最初の攻撃ベクターになることが決してないようにして欲しいと思います」とOrganickは語る。

「私はどのような入力も、信用できずアプリケーションに害を与える可能性のあるものとして扱っています」とKoscherは付け加えた。「攻撃コードによってもたらされる可能性のある被害を抑えるために、こうしたアプリケーションは何らかの隔離環境(コンテナ、VMなど)の中で実行することが賢明でしょう。これらのアプリケーションの多くは、公開されたクラウドサービスとしても動作しますが、私はこれらのインスタンスを積極的に分離します」。

このような攻撃のが実際に起きる可能性はほんの僅かだが、デジタルと生物学の重なりが増えたことを示す象徴的なマイルストーンだ。

研究者たちは来週、バンクーバーで開催されるUSENIXセキュリティカンファレンスで、研究結果とプロセス(PDF)を発表する。

[ 原文へ ]
(翻訳:Sako)

腕に覚えのある者は集まれ:クライスラーがバグ発見に報奨金

fiat-124

もしあなたがあれこれつつき回して大企業の間違いを証明することが好きなら、米国FCA(Fiat Crysler Automobile)社は格好の挑戦を提供している。米国FCAはフィアット、クライスラー、ジープ、ダッジ、そしてラムの統括会社であるが、彼らが製造する車両のサイバーセキュリティシステムの潜在的な脆弱性を見つけて欲しいと思っているのだ。発見者には報酬が用意されている。

米国FCAはその報奨金プログラムを、サイバーセキュリティ研究者のコミュニティであるBugcrowd 上に開設した。バグ賞金稼ぎたちには、発見された脆弱性を再現し検証するのに必要な情報を米国FCAに提供することを含む、幾つかのルールが課される。同社はまた賞金稼ぎたちに、データを破壊しないこと、米国FCAのサービスを中断しないこと、そして「自分に帰属しないデータを変更、参照、あるいは保存しないこと」を要請している。

こうした基本的なガイドラインに従って、あなたが得るものは何か?まず第一に、その深刻度に応じて、バグ1件につき150から1500ドルの現金を得る。またあなたがルールに従う限り、米国FCAはプログラムに参加する研究者たちに対して法的行動を起こさず、当局への強制捜査も依頼しないことを約束する。

米国FCAが探しているのは、UConnectシステムの特にiOSとAndroidアプリのバグである。彼らはまた、彼らが所有するタイヤ空気圧センサーやリモートキーレスエントリーシステムといったハードウェアのバグをテストすることや、テストのためにそれらにアクセスすることを求めている。要するに、もしあなたが米国FCAの車両に侵入し、そのサイバーセキュリティを打ち負かすことができると思うなら、数100ドルを手中にできそうだということだ。

ディーラーのウェブサイトやDDOS攻撃のようないくつかの立ち入り禁止領域もある。正確な参加条件を知るためにはBugcrowdのFCA US Project のページをチェックすること。

昨年の夏の悪名高いジープハックを思い出しただろうか。あの時米国FCAは優雅とは言えないが迅速には対応した。同社は明らかに、どうせハッカーがハックするならば、彼らのオタクパワーを活用し、コードの欠陥の発見に対して報酬を払った方が良さそうだという決意をしたようである。

[ 原文へ ]
(翻訳:Sako)