2018年1月6日土曜日

「脆弱性」という弱点への対処 ~進化するサイバーセキュリティ~

【PC】

CPUにハッカー攻撃への脆弱性 

テクノロジー各社が対応急ぐ

BBC News



米インテルやアドバンスト・マイクロ・デバイセズ、英ARMなどが製造するCPU(中央演算処理装置)にハッカー攻撃への脆弱(ぜいじゃく)性があると指摘されたことを受け、テクロノジー各社は対応を急いでいる。
グーグルの研究者たちは2018年1月33社のCPUなどに「安全面で深刻な問題」があり、CPUが搭載された装置に影響が及んでいると明らかにした。
業界内では数カ月前から問題が認識されており、詳細公表前に解決しようとしていた。
英国家サイバーセキュリティーセンター(NCSC)によると、脆弱性が悪用された事例は現時点で確認されていない。
インテルによると、ソフトウエアのアップデートなど一部の修正は、すでに提供されたか数日中に可能になる見通し。インテルの半導体チップは、世界のデスクトップパソコンの約8割、ラップトップパソコンの約9割にそれぞれ搭載されている。
今回の問題は当初、インテル製品のみだとされたが、同社は指摘が「誤っている」と反論。「多くのさまざまな会社が提供するプロセッサーやオペレーティングシステム(OS)が搭載された多くの種類のデバイスに攻撃への脆弱性がある」と説明している。
多くのスマートフォン製造会社を顧客に持つARMは、すでに修正が提供されていると明らかにした。AMDは「現時点でAMD製品にリスクはほぼ全くない」とみているという。
投資家たちと電話会議を実施したインテルは、ハッカーが脆弱性を悪用してメモリーの内容を閲覧し、パスワードや暗号キーに入手できる可能性があると、研究者たちの説明を受けたと明らかにした。
インテルの半導体チップを自社製品で使用するマイクロソフトとアップルは、近く修正ソフトを提供する予定。
グーグルはブログで、顧客向けに今回の問題への対処方法を紹介している。
NCSCは、不具合の可能性についての報道を認識しているとし、事業者や団体、消費者に対し、「修正ソフトが提供され次第、アップデートを行って脅威からの防御を続ける」よう呼び掛けた。
英サリー大学のアラン・ウッドワード教授が「大きな問題だが、(脆弱性の)悪用が幅広く起きるかどうかは別だ」と語るなど、専門家らは慎重に対応すべきだとしている。


<解説>クリス・フォックス・テクノロジー担当記者
研究者たちがセキュリティー上の問題を見つけた時は、対象企業に通報し対応策が取られるようにすることが多い。
多くの場合は、脆弱性が悪用されないよう修正が実施できるようになるまで公表を避けることで双方が合意する。
今回は、修正ソフト提供の準備が整う前にフライングして、情報を漏らしてしまった人物がいたようだ。
インテルは、脆弱性について来週発表する予定だったと述べている。セキュリティー専門家の数人はすぐには情報公開しないことで同社と合意していたと、ツイッターでコメントしている。
修正の準備が整う前に脆弱性が広く知られてしまったため、インテルはばつの悪い立場に置かれている。




【半導体】


【ルータ】

ファーウェイ製ルータの脆弱性を狙うコードが公開

Satori」ボットネットも悪用


Charlie Osborne Special to ZDNet.com 翻訳校正: 編集部 

20180104 1054https://japan.zdnet.com/article/35112718/

 Huawei(ファーウェイ)のルータを標的として実行可能なエクスプロイトコードが、あるハッカーによってホリデーシーズン中に公開された。このコードは、同ルータを標的にしたい、あるいはボットのネットワークを増強したいと考えているサイバー攻撃者に対して無償で公開された。同コードは「Satori」ボットネットによって実際に利用されている。
 NewSky SecurityのプリンシパルリサーチャーであるAnkit Anubhav氏によると、このエクスプロイトコードはホリデーシーズン中にPastebinに投稿されたという。
 日本語の「悟り」に由来する名前を持つSatoriはまったく新しいマルウェアというわけではなく、 IoT機器などに感染する、より悪名高い「Mirai」ボットネットの亜種だ。しかし最近、複数の強大なボットネットワークを作成するために用いられたことで、ニュースの見出しを飾った
Miraiの一般的な亜種は、IoT機器の脆弱性をスキャンし、デフォルトの認証情報を用いる一方、SatoriHuaweiの機器に存在する「CVE-2017-17215」を含む既知の脆弱性を悪用する。
 NewSky Securityによると、同マルウェアコードはSatoriボットネットだけではなく、「Brickerbot」ボットネットでも用いられているという。Satoriが使用する実行可能コードが公開されたことで、コピー&ペーストでボットネットを作成する人々や、スクリプトキディがそれを利用するようになるとしている。
 CVE-2017-17215は、Huaweiの家庭用ルータ「HG532」に存在する脆弱性であり、ローカルネットワーク設定の貧弱な実装によって作り込まれたものだ。攻撃者はこの脆弱性を悪用することで、Satoriマルウェアをペイロードとして送り込むなどの行為を含む、同機器に対する攻撃や遠隔地からのコード実行が可能になる。
 この脆弱性はCheck Pointのリサーチャーらによって米国時間20171127日にHuaweiに直接連絡された。なお、Huaweiはその後、同脆弱性への対策を公開している。
 こうした対策を適用していない製品は、依然としてこの攻撃に対する脆弱性を抱えており、新たなボットネットワークに同化される可能性がある。
 Anubhav氏は、「IoT攻撃は日々、モジュール化の一途をたどっている。IoTエクスプロイトが自由に利用できるようになってしまえば、攻撃者がそのエクスプロイトを自らのボットネットコード内の攻撃ベクタの1つとして準備、実装するまでにさほど時間はかからない」と述べている。
 Check Pointのリサーチャーらは、このコードの背後には「Nexus Zeta」と呼ばれるハッカーがいると確信している。このハッカーはHack Forumsへの最近の投稿で、Miraiボットネットのコンパイル方法に興味を示していた。ただ現在のところ、同コードのリリースとの直接的な関係は確認されていない。
 Miraiボットネットは、ウェブサイトやソーシャルメディアプラットフォーム、金融機関のネットワークなどに対する破壊的な分散型サービス妨害(DDoS)攻撃を引き起こしている。この史上まれに見るボットネットによって、ボットネットがいかに強大な力を持ち得るのかが示された。


【Miraiウイルスの復習】

世間を騒がせているIoT向けウイルス「Mirai」とは?
その仕組みや大規模流行した理由、対策などを紹介する
20170123 17:55  http://blogos.com/article/206969/

 2016年後半から猛威を振るい始めたIoTInternet of Things)機器をターゲットにしたウイルス(マルウェア)「Mirai(ミライ)」。最近ではニュースでもちらほらと聞くようになったと感じる人もいるのではないでしょうか。
 本記事では、今世間を騒がせているウイルスのMiraiについて、その仕組みや拡大した理由などを詳しく紹介していきたいと思います。
■かつてない大規模DDoS攻撃で発覚
2015年、2016年にセキュリティージャーナリストのBrian Krebs(ブライアン・クレブス)氏や仏・ホスティングサービス会社のOVHDNSサーバープロバイダーのDynを標的としたかつてないほどの大規模なDDoS攻撃が発生しました。
 その攻撃に使われたのが、Miraiと呼ばれるIoT向けウイルスでした。
IoT向けウイルス「Mirai」とは?
MiraiIoTデバイス向けのウイルスで、感染したデバイス同士で攻撃用のネットワークである「ボットネット」を構築します。
 通常、大規模なサービスやシステムに攻撃する際、攻撃用の機器が1台しかなければビクともしませんが、攻撃用の機器が多数になるとどうでしょうか。
 まさに「塵も積もれば山となる」で大量の機器から一斉に攻撃がしかけられると大規模なサービスやシステムであってもひとたまりもありません。
Miraiが大規模流行した理由
20161001日に「Hack Forums」にanna-senpaiと名乗るユーザーが、Miraiのソースコードをアップしたことで、爆発的に広まったと推測されています。
もともと、Mirai自体は20168月末頃にセキュリティー関係サイト「Malware Must Die!」で取り上げられており、国外では話題になっていました。
 しかし、その頃はまだソースコード自体が公開されていなかったため、ここまで大規模な攻撃に発展することはありませんでした。
 しかし、Hack Forumsでソースコードが公開されたことにより、他の攻撃者も手軽に利用できるようになり、結果、大規模な攻撃に発展したのです。
Miraiの感染の仕組みは……
Miraiはネットワークに接続されているIoT機器を片っ端からスキャン(探)し、telnetとよばれる機器同士で通信を行うプロトコル(仕組み)で感染させるターゲットの機器(被感染端末)にログインして、Miraiを感染させます。
 telnetで被感染端末にログインするにはIDとパスワードが必要ですが、大多数のIoT機器には、メーカーごとに共通の管理者IDとパスワードがはじめから設定されています。
 みなさんが家で利用する無線LANルーターも初期設定を行うための、ログインIDとパスワードが説明書に書かれていたなんて経験ありますよね。
 Miraiの開発者は、このメーカーが初期出荷時に設定する管理者IDとパスワードをリストアップし、Miraiへ組み込んでいます。
 そして、被感染端末へこのリストに載っているIDとパスワードを使ってしらみつぶしにログインしようと試みます。
 被感染端末を所有している人が、この管理者IDとパスワードを初期設定時から変更していなければ、Miraiが不正ログインを試行し、感染してしまうのです。
■気がつけばあなたも攻撃者に荷担している
さてお気づきの方もいるかも知れませんが、Miraiがもしあなたが所有しているIoT機器へ感染するとどうなるでしょうか。
 攻撃者は、あなたが所有しているデバイスを使用して、個人や企業が運営しているサービスやシステムへ攻撃し始めます。
 そうです、あなたも知らないうちに攻撃者の一員に組み込まれてしまうのです!
 Miraiは幸い、ストレージの上で動作するのではなく、メモリー上で動作しますので、IoT機器の電源を切って、再度立ち上げればMiraiIoT機器から取り除くことができます。しかし、対策をしなければまたすぐにMiraiに感染してしまうのです。
■企業とユーザー双方で対策を行う必要がある
IoT機器を製造している企業ももちろん対策を行う必要がありますが、どうしても利便性などを考えると、企業だけではどうしても対策ができません。
 であれば、IoTデバイスを利用するユーザーもセキュリティー意識を高めて、対策を取る必要があります。
 今回のMiraiの件であれば、不用意にIoT機器をインターネットに接続しない、管理者IDとパスワードを変更する、安易なパスワードは設定しない、セキュリティー対策機器を導入するなどが挙げられます。
 例えば、セキュリティー対策機器では、トレンドマイクロが昨年125日にスマート家電をはじめとするIoT機器向け「ウイルスバスター for Home Network」を発売しています。
■まとめ
これから先IoTデバイスはどんどんと普及していき、日常生活とは切っても切り離せないような物になることが容易に予測できます。
 利便性が向上する一方で、犯罪に利用されてしまう危険性も格段に向上してしまいます。利便性をただ享受するだけではなく、きちんと意識してセキュリティ対策を行っていきたいところです。


ルーターの脆弱性を探してハッキングして侵入



【人の心の「脆弱性」を狙うサイバー攻撃】
ついに高額被害 ビジネスメール詐欺の手口

岡礼子
毎日新聞20171223https://mainichi.jp/articles/20171223/k00/00m/040/083000c

 取引先を装って送られてきたメールで、日本航空(JAL)やスカイマークが航空機のリース料などを詐取された事件が発覚した。JALがだまし取られたのは約3億8000万円と高額だ。企業が業務で送受信するメールを不正に入手して、送金や支払いを指示する偽メールを送りつける手口とみられる。サイバーセキュリティーの専門家らは「ビジネスメール詐欺」などと呼び、「一見して見分けがつかないほど巧妙で、検知は難しい」として、注意を呼びかけている。

サイバーセキュリティー企業のトレンドマイクロによると、ビジネスメール詐欺は、企業の業務メールを不正に入手し、業務の流れに合わせた時期と文面で取引先のメールを装い、金を支払わせる手口だ。

 業務メールを入手する方法は、狙った企業の社員に、

(1)業務を装ったフィッシングメールを送り、偽のログイン画面を表示させ、メールの認証情報を詐取する。
(2)キーボードで入力する情報を詐取する不正プログラムの「キーロガー」を添付したメールを送りつけ、感染させて認証情報を詐取するーーという手口が典型例という。

 狙われるのは財務や会計の担当者が多く、一定の権限をもった経営幹部の名前をかたる。同社は、CEO(最高経営責任者)をかたった詐欺メールを、17年1月から11月までに国内外で約8600件確認しており、このうち日本の企業・団体を対象に送られたものは11件あった。メールによく使われている単語は、「買収」「契約」「指示」「請求書」「要対応」「大至急」などだった。
 こうしたメールにだまされないようにするには、
(1)ドメイン(メールアドレスの「@」から後ろの部分)をよく確認する。
(2)至急、緊急の対応を求めている場合に特に注意する。
(3)一定の決定権を持つ役員からのメールに注意する--の3点がポイントになる。

ただメールアカウントそのものが乗っ取られている場合はドメインからは判別できないので、(1)だけでは不十分だ。同社は「メールが送りつけられるのは、一般社員のことも多い。指示系統を飛ばしたり、普段とは違う作業を求められたりした時は要注意だ」と指摘している。

まだ少ない? 国内の高額被害

 ビジネスメール詐欺については、IPA(情報処理推進機構)も今年4月、サイバー攻撃の情報を共有する「J-CSIP(サイバー情報共有イニシアティブ)」の一部の参加企業で被害があったとして、注意喚起レポートを公表している。
 レポートでは、メールアドレスやドメインのアルファベットを1文字変えたり、空白を入れるといった偽アドレスのパターンを公表したほか、通常の業務メールのように同報者(CC)がいるようにみせかけたり、偽ドメインも取得してメールの送受信ができるようにしたりしているなどの気づきにくい点などを挙げて、警鐘を鳴らしている。
 情報セキュリティー会社「S&J」の三輪信雄社長は「同種の攻撃は、国内でも数年前から確認されているものの、これだけの高額な被害事例は珍しい。業務メールが大量に盗まれたかもしれず、関係会社も含めた経緯の調査が必要だ」と指摘した。


iPhoneXに意外な脆弱性!?



0 件のコメント:

コメントを投稿