先週の注目ニュース:PayPalの深刻なぜい弱性、Heartbleedのパッチ適用状況など

2014年7月4日

先週の主なニュースです。OpenSSL Heartbleedのパッチ適用のペースが減速し、Kaspersky LabのGlobal Research and Analysis Team(GReAT)のエキスパートから何週間分もの調査結果が報告され、PayPalの2段階認証に大きなぜい弱性が発見されました。

paypal.min

Heartbleedの調査

HeartbleedはOpenSSLの危険なバグであり、インターネット全体に影響し、エクスプロイトによって重要な情報が盗まれる恐れがあります。決して解決したわけではありませんが、このところ話題に上がっていないことも事実です。とはいえ、新しいレポートや勧告書が毎週発表され、ベンダーからOpenSSLのパッチが提供されたシステムやソフトウェアを更新するようユーザーに注意を促しています。しかし、新たな調査結果を見てみると、暗号鍵が盗まれるバグをインターネットから排除しよういう動きに、かげりが見え始めているようです。

しかし、今から10年後でさえ、基幹システムを含む膨大な数のシステムがぜい弱なままであると予測しています

Errata Securityのロブ・グラハム(Rob Graham)氏は、インターネット上の暗号トラフィックの主要な経路の1つをスキャンして、OpenSSLのぜい弱なバージョンを使い続けているシステムの数を計測してきました。このバグが公になった数日後に同氏が初めてスキャンしたとき、ぜい弱なシステムの数は約600,000でした。同氏の2回目のスキャン結果は期待が持てる内容で、300,000のシステムにパッチが適用されていました。つまり、最初のスキャンでぜい弱性が発見されたシステムの半分が、1か月以内に修正されたということです。しかし、バグの発見から約3か月後に実施された3回目のスキャンは、前回よりはるかに厳しい結果となりました。300,000のシステムがぜい弱性を抱えたままだったのです。

グラハム氏は自身のブログに次のように書いています。「この結果が示唆しているのは、パッチの適用すら行われなくなったということです。今後10年で古いシステムが徐々に交換されていくなか、(ぜい弱なシステムも)少しずつ減っていくでしょう。しかし、今から10年後でさえ、基幹システムを含む膨大な数のシステムがぜい弱なままであると予測しています。」

監視ツールと組織的詐欺

Kaspersky Labと、トロント大学ムンク国際研究所Citizen Labのリサーチャーチームが、議論を呼んでいるイタリアのHackingTeamに関するレポートを発表しました。Hacking Teamは、監視用のツールを世界中の政府機関や警察機関に販売していると言われています。Citizen LabとKaspersky LabはしばらくHacking Teamを調査していましたが、先週、Hacking Teamのモバイルスパイツールを検証した新しい調査結果が公開されました。

政府機関や警察機関の職員はこのグループの新しいモバイルツールを使うことで、標的の位置を監視し、デバイスからデータを盗むことができるほか、デバイスのマイクをリアルタイムで使用し、さらにSkype、WhatsApp、Viberといったアプリから送られる音声メッセージやSMSメッセージを傍受することも可能になります。

Kaspersky Labのリサーチャーは先週、Luuukという興味深い組織的な詐欺についても報告しています。今年Luuukによって、ヨーロッパのある銀行から1週間で50万ユーロ(約70万ドル)以上が盗まれました。詐欺師はカスタムバージョンのZeusを使い、一連のマン・イン・ザ・ブラウザー(Man in the Browser:MITB)攻撃によって200人の顧客を騙しています。

PayPalの深刻なセキュリティぜい弱性

6月26日(日本時間)にPayPalのぜい弱性が明らかになりました。PayPalが処理するモバイルクライアントからの特定のリクエストによって、同サービスの2段階認証のメカニズムが迂回され、ユーザーの口座から別の口座にお金が移される恐れがあります。

このぜい弱性は、PayPalがiOSアプリとAndroidアプリの認証を処理する方法に関連しています。Duo Securityのリサーチャーが報告したこの問題を、PayPalは3月から把握しており、回避策をとっていましたが、本格的な修正は7月末まで予定されていません。PayPalのセキュリティぜい弱性は非常に深刻なので、修正されるまでは自分のPayPalアカウントを注意して見ていく必要があります。

Androidのセキュリティバグが修正

Android 4.3以前のバージョンでコードの実行が可能になる深刻なぜい弱性は、Androidの最新バージョンKitKatで修正されました。残念ながら、このバグはほぼすべてのAndroidユーザーに影響していた可能性があります。さらに残念なことに、Androidへのパッチ適用は、携帯電話会社がGoogleのパッチを顧客に提供する意思があるかどうかにかかっていると言えるため、ぜい弱性なデバイスを使っていたAndroidユーザーの大半は、今後もぜい弱性を抱え続けることになります。