雑学まとめブログ

カテゴリー: セキュリティ

  • ロシア人ハッカーがカスペルスキーを利用して機密情報を盗んでいた

    ロシア人ハッカーが米国家安全保障局(NSA)の機密情報を盗んだ件で
    カスペルスキーを利用して盗んだと判明したようです。

    ロシアのハッカー、カスペルスキー製ソフトで米NSAの機密情報窃取

    ハッキングがあったのは2015年で、昨年になって発覚した。WSJによると、請負業者の社員がNSAの機密情報の入ったデータファイルを自宅に持ち帰り、カスペルスキー製ソフトウェアを搭載した自分のコンピューターに移したとみられている。

     WSJは匿名の関係筋の話として、ロシアのハッカーはカスペルスキー製ソフトウェアのプログラムを使って機密情報の入ったデータファイルを特定した後、この社員に狙いを定めたとみられると伝えている。

    ハッキングは2015年に発生。
    発覚は2016年とのこと。

    従来からカスペルスキーとロシアの諜報機関との繋がりは疑われていました。

    aspersky Lab Has Been Working With Russian Intelligence

    カスペルスキーはロシアの諜報機関と連携している

    そもそも創設者のユージン・カスペルスキーは元KGB。

    なので、諜報機関と繋がりがないはずがないんです。

    私はその辺が胡散臭く、カスペルスキーがいくらウイルス発見率が高くて優秀でも使う気にはなれませんでした。
    むしろ、自分らでウイルスを作っているからこそ発見率が高いという噂もあるほどなので。

  • GeForceにリモートコントロールの脆弱性

    NVIDIAのGeForceにDoS攻撃の踏み台に利用される可能性のある脆弱性が発覚。

    Security Bulletin: NVIDIA GPU contains multiple vulnerabilities in the kernel mode layer handler

    NVIDIA製GPUのカーネルモードドライバーに複数の脆弱性、修正版が公開

    最新版のドライバーにアップデートすると脆弱性は解消されるとのこと。

  • CCleanerがマルウェアを配布していた

    PCの不要ファイルやレジストリを整理できるフリーウェア「CCleaner」が、
    公式ファイルとしてマルウェアが混入したアップデート版を配信していました。

    CCleanup: A Vast Number of Machines at Risk

    CCleanerの公式ファイルが改ざんされマルウェア入りの状態でダウンロード配布される

    汚染が見つかったのは「CCleaner v5.33.6162」と「CCleaner Cloud version 1.07.3191」。
    2017年8月15日から2017年9月12日まで、更新ファイルが野放しとなってました。
    しかしMorphisec と Cisco の両研究者がほぼ同時に気付いて報告し発覚。

    Ciscoの研究者の言い分としては、マルウェア混入時にはセキュリティソフトでの発見率は極めて低かったとのこと。

    CCleanerの配布元は、更新してしまったユーザーは「CCleaner v5.34」に置き換えるように勧めています。

  • Bluetoothにペアリング無しで乗っ取られる脆弱性があった

    Bluetooth経由でペアリング無しで端末を乗っ取られるという、
    世界中の数十億の端末に影響がある脆弱性だそうで。

    この脆弱性は「Blueborne」と呼ばれ、現在は対策済みとのこと。

    数十億を超えるBluetooth機器に影響、ペアリングなしで乗っ取られる脆弱性“BlueBorne”が明らかに

    Bluetooth の実装における脆弱性 “BlueBorne” に関する注意喚起

    脆弱性のある端末は以下の通り。

    Android:セキュリティ パッチ レベル 2017年 9月を適用していない Android
    Windows:2017年 9月マイクロソフトセキュリティ更新プログラムを適用していない Windows Vista 以降の Windows
    Linux:Kernel 3.3-rc1 以降のバージョン、Bluetoothスタック「BlueZ」のすべてのバージョン
    iOS, tvOS:iOS 9.3.5 およびそれ以前、AppleTV tvOS 7.2.2 およびそれ以前

    上記OS限定なんですかね?
    例えば無線ルーターだとBluetoothで管理画面にアクセス可能だったりします。
    ゲーム機のPS4もBluetoothでコントローラを操作できる訳です。

    Jpcertでも今後影響が拡大する恐れとも訴えてるし……。

    情報発信元のArmisという企業のプレスリリースでは、
    「Every connected devide」という表現なんですよねえ。

    The IoT Attack Vector “BlueBorne” Exposes Almost Every Connected Device

    なので、Bluetoothを利用しているあらゆる端末にも危険性はありそうです。
    今すぐBluetooth機能は停止させておいた方が無難だと思います。

  • パスワードルールは誤りだった

    現在広まっているパスワードの基本ルールを作った「Bill Burr」という人が、
    自分が作ったルールは誤りだったと言い出しているみたいです。

    The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d!

    記事タイトルの「N3v$r M1^d!」はNever Mind!の意味。

    英語圏では、

    パスワードの元になる英単語の文字を類似文字に置き換える

    という慣習があり、このNever Mindも同様の置き換え。
    これを広めたのがBill Burr氏だったようです。

    しかし実際に破られにくいパスワードの要点は、
    とにかく長いパスワードにすることだとわかったそうです。

    英数記号を混ぜた8文字のパスワードよりも、
    4つの英単語の組み合わせの長いパスワードの方が推測しにくいとのこと。

    NIST(National Institute of Standards and Technology)(アメリカ国立標準技術研究所)の新しいガイドラインでは、
    望ましいパスワードは64文字以上で、
    覚えやすい英単語の組み合わせを使った長いフレーズ、とのこと。

    だったら、英数記号を混ぜた64文字以上のパスワードが最も強度が高いんじゃないですかね。
    まあ、とにかく「長い」方がいいんでしょうね。

    定期変更は無意味とも。

    それは多くの人が変更の際に細部を変えているだけだから。
    例えば「Pa55word1」を「Pa55word2」に変更するだけ。

    だったら元のパスワードとは大きく異なる変更なら有意味ですね。

  • Intel製CPUのCore-iシリーズに脆弱性

    Core-iシリーズというIntel製CPUにリモート操作される脆弱性が発見されました。
    Intelがそれを公開したのは2017年5月1日。

    Intel Active Management Technology, Intel Small Business Technology, and Intel Standard Manageability Escalation of Privilege

    ただし、民生用PCには搭載されていないとのこと。
    あくまでもビジネスユースPCの話で「Management Engine」が搭載されているCPUとのこと。

    対象はCore-iシリーズの第1世代から第7世代まで。

    第1世代  Nehalem(識別番号が3桁)
    第2世代  Sandy-bridge(識別番号が2000番台)
    第3世代  Ivy-bridge(識別番号が3000番台)
    第4世代  Haswell(識別番号が4000番台)
    第5世代  Broadwell(識別番号が5000番台)
    第6世代  Skylake(識別番号が6000番台)
    第7世代  Kabylak(識別番号が7000番台)

    最新CPUは第7世代です。

    Intelは対象となるCPUを検出するプログラムを配布しています。

    INTEL-SA-00075 Detection Guide

  • ランサムウェアWanna Cryptorに感染しない為に素人ができること

    今、世界中で新しいランサムウェア「Wanna Cryptor」が大流行。
    幸い、私のPCは問題ありませんが、念の為に感染予防法を調べました。

    ・まずOSを最新版にアップデートしておく
    Windowsの古い脆弱性を利用したものなので最新パッチでは無効。
    サポートを停止したXPですら緊急パッチを配布してます。
    ちなみにWindows10ではプログラムコード自体が無効とのこと。

    アンチウイルスを最新版にアップデートしておく
    この措置は次の項目と関連します。

    ・不用意に電子メールの添付ファイルやウェブサイトのリンクをクリックしない
    アンチウイルスがWanna Cryptorに対応済みなら、
    例え感染の可能性がある添付ファイルやリンクを不用意にクリックしても、
    アンチウイルスが働いて未然に感染を防いでくれるはずです。
    ただしWanna Cryptorの進化は早く、
    アンチウイルスが対応しても次々に亜種が登場してイタチごっこらしいです。
    アンチウイルスのアップデートは、被害が発生してからウイルスを解析し、
    解析内容を最新版に適用するので、どうしても後手後手に回ります。
    結局は余計なファイルを開いたりリンククリックすろのを避けた方がいいわけです。
    「ランサムウェアへの注意喚起を促す業務メール」のフリをするパターンもあるそうです。

  • Firefoxのpunyコードを無効にする

    本物と区別の付かないフィッシングサイトを偽装する
    「ホモグラフ攻撃」という手法があります。

    This Phishing Attack is Almost Impossible to Detect On Chrome, Firefox and Opera

    これはpunyコードを利用して本物のドメインと勘違いさせる手法。

    例えば「https://www.xn--80ak6aa92e.com」というURLにアクセスすると、
    ブラウザのURLフォームには「https://www.apple.com」と表示されてしまいます。

    これはブラウザにpunyコードを自動で変換する機能があるからです。
    この機能を有効にしてるとフィッシングサイトにアクセスしても気付かないままです。

    そこでpunyコード変換を停止します。

    FirefoxのURLフォームに
    about:config
    と入力し、コンフィグページを開きす。

    検索フォームに
    Punycode
    と入力し、当該機能を探します。

    network.IDN_show_punycode
    という機能をダブルクリックし、
    値を「True」にします。

    これでpunyコードが変換されず、そのまま表示されるようになります。

  • adobesystems.comはアドビのドメインか

    アドビのドメインは「adobe.com」。

    アドビからID削除の予告メールが来たんですが、
    その送信元が「adobesystems.com」。

    フィッシングサイトのようでかなり怪しいと思ったら、
    どうやら本物のアドビのドメインの模様。

    公式サポートに同一ドメインの送信元がサンプルとして載ってます。

    長期間ご利用の無いAdobeIDについて

    通知メールサンプル

    送信元:Adobe Systems [mailto:mail@info.adobesystems.com]

    件名:お客様のアドビアカウントが間もなく閉鎖されます

    内容:以下のとおり

  • ヘッドホンは盗聴マイクに利用できる

    イスラエルの研究者がヘッドホンを盗聴マイクとして利用する技術「Speake(a)r」を開発したそうです。

    Your Headphones Can Spy On You — Even If You Have Disabled Microphone

    詳細不明ですが、これはRealtekという音声Codecの機能を利用しているので、
    現状では手持ちのPCの音声CodecがRealtekではないなら、危険は無さそう。

    以下の動画ではヘッドホンが繋がっているパソコンの近くで音楽を再生し、
    その音をヘッドホンが拾っている様子を見せています。

    そのパソコンに入っている音声の波形を表示するアプリを起動させ、
    マイクのスイッチを切り、マイクのプラグを引き抜いても、
    音声の波形が消えない様子がわかります。

    “SPEAKE(a)R: Turn Speakers to Microphones for Fun and Profit”