読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

2014年5月 世界の動き

月間まとめ

2014年5月のまとめから、日本・アメリカ以外の世界に関する記事を抜粋してみました。日付はまとめた日で、実際にその記事が公開された日とはずれている可能性があります。

日本のまとめはこちら
アメリカのまとめはこちら

[続報] Internet Explorer 0-day exploit(5月1日)

「とくダネ!」の冒頭で流れるくらい、世間一般で騒ぎが拡大しているようで。これを狙ったスパムとかもあるんだろうなー。「これをダウンロードして実行すれば安全にインターネットが見られます!」みたいな。

ワームライクなAndroidマルウェア「Samsapo」(5月1日)

when running on an Android device, it will send an SMS message with text “Это твои фото?” (which is Russian for “Is this your photo?”) and a link to the malicious APK package to all of the user’s contacts.

自ら拡散していくAndroidマルウェア登場。悪意あるパッケージをダウンロードしたり、デバイス上の個人情報を送信したりする。
Androidのセキュリティは喫緊の課題って感じですね。最近Androidを狙った話ばかり。

Kali Linux、ML用のサイトを改ざんされる(5月1日)

"Looks like our inactive, 3rd party, 0 volume mailing list was hacked. DNS entry removed - back to sleep, problem solved." Kali Team's response to the breach.

4ちゃんに不正アクセス(5月1日)

After careful review, we believe the intrusion was limited to imageboard moderation panels, our reports queue, and some tables in our backend database.

嫌いなユーザが何を投稿しているのかを見たくてやったらしいとのこと。支払いに関する情報は別会社が管理しており、そちらは盗まれた形跡なし。

SMSを悪用したマルウェアで10万ドル以上稼いだベトナムハッカー逮捕(5月2日)

Once the malicious application infects a smart phone, the app will automatically send SMS messages to premium rate numbers. Premium rate numbers allows the owner to earn money from incoming calls and SMS.

むかーしアジアパシフィックの人たち向けにセキュリティセミナーをやった時、ベトナム人の成績が断トツで一番でした。

ロシア、アメリカとウクライナに対するサイバー攻撃を画策?(5月2日)

Former U.S. security officials including Richard Clarke issued warnings that Russia may use cyber warfare tactics against the in retaliation for sanctions levied in response to their aggressions against Ukraine.

ポケットサイズのペネトレーションテストツール「Pwn Phone」(5月12日)

Pwn Phone's custom Android front-end and ‘one-click’ pentesting applications and software updates make it suitable for pentesters who are on the road or conducting a company or agency walk through.

お値段1,295ドルなり。

「Operation Saffron Rose」イランのハッカー集団Ajax Security Teamについてのレポート(5月15日)

This group, which has its roots in popular Iranian hacker forums such as Ashiyane and Shabgard, has engaged in website defacements since 2010. However, by 2014, this group had transitioned to malware-based espionage, using a methodology consistent with other advanced persistent threats in this region.

カスペルスキーアンチウイルスソフトに似せたマルウェアGoogle PlayWindows Phone Storeに登場(5月16日)

有料にしてお金を稼いでるだけで特に悪さはしないらしい。同じ開発者が偽のFirefoxChromeの有償版を売っているらしい。これくらいはベンダー側で弾くようにして欲しいなー。

[続報] LibreSSL(5月19日)

プロジェクト開始から30日が経ち、現在の状況や既存のOpenSSLの問題点などを公開しています。OpenSSL、ボロクソに言われております。とにかくソースコードが汚いらしい。

マルウェアウイルス対策ソフトのイタチごっこ(5月19日)

内容を約めすぎたタイトルなので分かりづらいのだけど、

PC上のプログラムに悪意あるコードを追加(コードインジェクション)した後自身を削除するマルウェアが存在し、それを確認するためにサンドボックス上でマルウェアを動かすわけだけど、例えば作成者が用意したサーバにアクセスできるか確認するとか、「自分が実行されているのはサンドボックスなのかどうか」を確認するようなマルウェアもあって、ほんとイタチごっこですよね。

という話のようです。

Dropboxの共有リンクが、意図しない相手に漏れる可能性(5月19日)

ちょっと古め。

これもITMediaの記事を読んだ時一瞬「は?」と思いましたが、シナリオとしては

  1. Dropbox上にある文書をAさんと共有したいので、Aさんに共有用のリンクを教える
  2. Aさん、[Dropboxの共有用のURL]をクリック
  3. Aさん、表示された文書に含まれるリンク(どっかのWebサイトのURL)をクリック
  4. 接続先のWebサーバのログにリファラが残る
  5. そのリファラが1.の[Dropboxの共有用のURL]である
  6. サーバ管理者がログを見て[Dropboxの共有用のURL]を発見、アクセスする

ということのようです。これは脆弱性なのか?まあリファラを残すのはよくないということか。
記事では「Webサイトに公開される」とあるけど、「Webサーバにログが残る」ってことじゃないのかな。だいぶ大きな違いだと思うけど。

本件とは直接関係ないけど、この「共有リンク」ってリンクさえ知ってりゃ誰でも見られるので、この方法で機密性の高い文書はやりとりしないほうがいいと思います。仲間内で写真を共有するとか、それくらいがいいのではと。

マルウェア「iBanking」の手口(5月21日)

マルウェアに感染しているPCから銀行などのサイトにアクセスすると、Androidにセキュリティ向上のためのアプリをインストールするよう促す画面が表示される→画面の指示に従って個人情報を入力→AndroidにiBankingのインストール方法が書かれたメッセージが届く→iBankingをインストールして感染完了。凝ってんなー。オレオレ詐欺みたい。

Googleドライブの偽のログイン画面に注意(5月26日)

偽のログイン画面は本物ののGoogleドライブ上においてあるHTMLファイルなので、ドメイン名を見てもフィッシングページとは気づきにくい。いやほんとよく考えるね。

台湾の政府機関を狙った標的型攻撃(5月28日)

右から左に向かって文字を書く言語のためのユニコードの制御記号を使うと、本来は「tpp.scr」というスクリーンセーバーのファイル名を「rcs.ppt」と表示することができ、PowerPointのファイルに見せかけることができると。この手の攻撃手法を「Right-to-Left Override(RLO)」というそうです。あったまいーw

ちなみにRLO制御文字を無効にする方法がIPAから公開されています。2011年10月公開ということは、すでに知られた手法なのですね。

レジストリを変更してWindows XPのセキュリティアップデートを適用する方法が公開される(5月28日)

この設定によってWindows EmbeddedWindows Server 2003のためのパッチが適用される可能性があり、Windows XP脆弱性が修正されないどころか正しく動作しないようになる可能性もあるとMicrosoftは警告しています。

Spotify不正アクセス、更新版のAndroidアプリを公開(5月28日)

パスワードや決済の情報は無事とのこと。たった一人だけが被害にあっているところが想像をかきたてますね。にしてもサーバに不正アクセスされたこととアプリを更新することの関連がよく分からない。単にユーザ名とパスワードの再入力をさせたいだけならサーバ側で対応できるのでは?

iPhoneをリモートからロックし、アンロックに100ドル払うよう要求する事件がオーストラリアで多発(5月28日)

iPhoneiPadが突然ロックされ、画面に「アンロックして欲しければ100ドル払え」というメッセージが表示される事件が、オーストラリアやニュージーランド、イギリスで起きているそうです。マルウェア感染ではなく「iPhoneを探す」機能を使ってロックしているのではないかということで、ランサムウェアならぬランサム攻撃?Appleのアカウントを奪取できればできそうな攻撃ですが、原因や被害が特定の地域に集中している理由は不明。

中国、IBM製サーバの使用中止を示唆(5月28日)

激化する米中サイバー攻防。中国国内の銀行がアメリカの企業であるIBM製のサーバを使うのはいかがなものかという問題提起。地元産のサーバに置き換えるのがよろしいという話ですが、それやっちゃうと大混乱が起きそうですね。

パキスタンハッカー、タージマハルの公式サイト改ざん(5月28日)

インド・パキスタンは日常的にサイバー攻撃をやりあってますね。

TrueCrypt、開発終了?(5月30日)

2014年5月29日18時現在、http://truecrypt.sourceforge.net/は以下の様なページになっています。

f:id:nekotricolor:20140530222440p:plain

最後にTrueCryptのパッケージへのリンクがあるのですが・・・。

f:id:nekotricolor:20140530222452p:plain

TheRegisterによると、このパッケージにはこのページのソースが含まれていて怪しさ全開。でも正規の署名付きだそうで、完全にmalだとは言えない状況なようです。Webサイトが改ざんされ、マルウェア入りのパッケージが公開されている、という話だと思ったのですが、本当に開発をやめてしまったのでしょうか?

つい最近、SourceForgeはパスワードのリセットを呼びかけていましたが、それとの関連も不明。とにかく公式なアナウンス(まぁ公式サイトにガッツリ載ってるのが公式アナウンスのつもりなのかもしれないけどw)を待っておいたほうがよさそうです。

TrueCryptはNSA絡みでバックドアが仕込まれていないかコードのチェックをしていて、4月に「そういう証拠はなかった」という記事が出ていたのですが、「second phase」ですごいの見つけちゃったとか?開発終了の理由はWindows XPがサポート終了したから、とか書かれてますけど、なんだか想像をかきたてますね。

と、ここまで29日に書いたのですが、どうやらこれは正規の対応らしく、本当に開発終了のようです(GRC's | TrueCrypt, the final release, archive  )。

にしても、

やっぱりなんかヤバいものを(ry

[続報] iPhoneをリモートからロックし、アンロックに100ドル払うよう要求する事件がオーストラリアで多発(5月30日)

iCloudが攻撃されたわけではなく、フィッシングサイトに引っかかった人が被害にあっているということです。

ロシアとウクライナマルウェアの活動が活発に(5月30日)

インド・パキスタンといい、国際問題と直結してますね。

感想

ソースは基本的に日本とアメリカのメディアが中心で、The Registerとか若干イギリスのニュースも読んでます、という感じなのでよっぽど目立つ事件じゃないと入ってこない。インド、パキスタンウクライナ、ロシアあたりのサイバー攻撃が盛んなところはもうちょっと追いたい気もする。