セキュリティウィーク38:Cisco製ルーターを狙った攻撃、AirDropのバグ、暗号屋の逮捕

2015年10月9日

1997829日、30億の人命が失われた。核の戦火を逃れた人々は、この戦争を『審判の日』と呼んだ。しかし、生き残った彼らを待っていたのは新たな悪夢 機械との戦いだった」

security-week-38-terminator

まあ、ちょっと違いますね。1997年は、第1世代のWi-Fi規格(802.11)が標準化され、スティーブ・ジョブズ氏がAppleに戻り、PNG(Portable Network Graphics)形式が発明され、チェスの対局でコンピューターが人間を負かした年です。しかし、審判の日は来ませんでした。この世に終末をもたらすほど、機械は進化しなかったのです。人類を破滅させる本物の人工知能が登場する気配も、まったくありません。だからといって、この18年間で何も変わっていないわけでもありません。

変化は起こっています。ハリウッドによって刷り込まれたイメージを超えて「ロボット」の定義を広げてみると、実に多くのロボットが身の回りにあふれていることがわかります。局地的な「アルマゲドン」はあちこちで絶えず起きていますが、これはロボット自らの意思で行っているのではなく、ロボットを作った人がきちんと仕事をしなかったことが原因です。

今回の週間ニュースダイジェストでは、ロボットをプログラミングするときにプログラマーが犯したミス、このような設計ミスを第三者が悪用する方法、そして悪事の報いという3つのニュースをお届けします。これを世界の終わりと言うつもりはありません。しかし、危険度でいえば赤信号の手前。いいですか、黄色の点滅並みの警戒と注意が必要です!では、毎度おなじみ、このコーナーのご紹介を。毎週、Threatpostチームがトップニュースを3本選び、それに私が機械のごとく情け容赦ないコメントを付けます。バックナンバーはこちらでご覧ください。

以前、パスワードマネージャーがどのように使われているか、簡単な調査を行いました。その結果、回答者の半数以上(62%)が、パスワードマネージャーは一意のパスワードをきちんと管理するためのツールであるという意見に同意しています。2つ目の質問に答えた123人のうち半分は、この手の管理ソフトウェアを使っていました。注目すべきは、その割合がITコミュニティでは極めて高いということです。一般の人たちの間では、この値は7%にとどまりました。

改ざんされたファームウェアでCisco製ルーターに永久的なバックドアが

ニュース(英語)。FireEyeによる調査(英語)

以前も書きましたが、近ごろのルーターは部屋の隅でほこりをかぶって、静かにたたずむ謎の黒い箱です。なので、一顧だにされません。家庭用ルーターも業務用ルーターも、同様です。先日、Cisco製業務用ルーターの少なくとも3機種に、バックドアが仕込まれる可能性があることがわかりました。ルーターが普段どのように扱われているかを考えると、これは非常に長い間、見逃されていたおそれがあります。

攻撃の仕組みは、一見、簡単そうですが、実は複雑です。まず脆弱なルーターに侵入し、改ざんしたファームウェアをアップロードします。このルーターへのリモートアクセスが可能になったところで、さらに侵入を拡大させるためのプラグインをインストールします。

cisco

実際の被害はそれほど大きくありません。FireEyeのリサーチャーが突き止めた脆弱な機種はCisco 1841、2811、3825の3種類だけでした。私の知る限り、これらの機種はそろそろ寿命が来ており、まもなく開発元によるサポートが終了するはずです。最初の攻撃の媒介となるのはルーターの脆弱性ではありません。どうやら、攻撃者がファームウェアを改ざんするには、既定のログイン認証情報をそのまま使っているデバイスか、たまたまパスワードが漏れてしまったデバイスに直接アクセスする以外ないらしいのです。

万が一でも、そんなことになれば大失態で、企業のセキュリティに大きな穴が開きます。ログイン認証情報が盗まれること自体は誰の興味も引かないでしょうが、ファームウェアの改ざんは問題です。これにより、ルーターへ、ひいては企業ネットワークへの永久的なアクセスが可能になってしまいます。ここでの教訓は明らかです。情報セキュリティの世界で生きていくならば、誰も信用してはいけません。ちなみに、(少なくともIPv4の部分が)感染したルーターの総数はせいぜい数十台です(英語記事)。

AirDropデータ交換システムの深刻なバグ

ニュース(英語)

えーと、どこまでお話ししましたっけ…ああ、そうです、機械が台頭してきたところまででしたね。『ターミネーター2』の世界(私は『ターミネーター3』以降は嫌いです)では、人類がまず機械を創造し、その後、機械が主人に背いて蜂起しました。機械を作った当初の目的は、人間(というか軍人)の生活を楽にするためであり、ロボットは、世界地図に示された標的への襲撃やサイバー攻撃との戦いのために作られました。

この架空のモデルはかなり単純化されていますが、今、現実に起きていることです。ガジェットの管理、ネットワークへの接続、情報のやりとりがボタン1つでできるようになってから、ずいぶん時間が経っています。質問と同時に(あるいはその前に)、答えが返ってくるようにプログラムされています。 

security-week-38-kitten

理想的なユーザーエクスペリエンスとは、まさにこんな感じ

まあ、これこそ、実際に私たちが「進歩」と呼んでいるものなのですが、ここには根本的な欠陥が1つあります。デバイスとネットワークとのやりとりを、私たちはまったくコントロールしていないのです。たとえば、AirDropの素晴らしい機能を見てみましょう。AirDropだけで無数の問題を解決できました。ユーザーは「ペアリング」や「アクセスポイントへの接続」や「認証」を考える必要はありません。近くにいる受取人を指定して、データを送信するだけです。このあまりにも完璧な接続モデルの中に脆弱性が発見されるのは時間の問題でした。

オーストラリアのリサーチャー、マイク・ダウド(Mike Dowd)氏は、AirDropを使って、第三者のデバイス上のデータをリモートで上書きする攻撃を実演してみせました。攻撃者は、特別に細工したリンクをモバイルデバイス(Mac OS XコンピューターでもOK)に送信するだけ。標的のデバイスにリンクが到着すると同時に、受取人にデータを受け取るか、拒否するかを尋ねるプロンプトが表示されますが、これはもうどうでもいいことです。エクスプロイトはその時点ですでに任務完了なのです(AndroidのStageFright(英語記事)とそっくりです)。

この攻撃には前提条件があります。AirDropを使っているデバイス付近にいる「すべての人」からデータを受け取るというオプションがオンでなければなりません。しかし、使い勝手(!)を考えて、AirDropはデバイスがロック状態でも利用できます。つまり、攻撃者が数秒間、iPhoneに物理的にアクセスできれば、すべて完了。これで、iPhoneにどんなアプリでもリモートでインストールできるようになります。もちろん、このような不正アプリには基本的な権限は与えられますが、何でもかんでもすぐに盗めるわけではありません。問題になるのは、デバイスの脱獄(ジェイルブレイク)によく使われるエクスプロイトの場合です。

このバグはiOS 9で修正されています。

CoinVaultランサムウェアの作成者逮捕

ニュース(英語)。Kaspersky Labの調査結果(英語)。CoinVaultに関する詳しい調査(身代金を支払わずに復号する仕組みなど)

機械には悪事を働くほどの知能はなく、そちらは人間の得意分野です。残念ながら、「誰かが誰かをハッキングした」事件の後、実際に逮捕者が出たという話はほとんど聞きません。先ほどの話に戻りましょう。改ざんされたバックドア付きファームウェアがルーターで発見された話です。改ざんしたのは誰でしょう?何のために?見当もつきません。

インターネットの匿名化テクノロジーのせいで警察の任務は退屈で成果の出ないものになった、という見解が散見されます。ランサムウェアは、その最たる例です。C&CサーバーはTorで匿名化され、身代金はBitcoinで支払われる ―できることは何もないような気がします。

coinvault

こうした状況の中、正義の味方がついに勝利したのは実に喜ばしいことです。ランサムウェアCoinVaultを作成した疑いで、2人の男がオランダで逮捕されました。捜査にはKaspersky Labのエキスパートも協力し、攻撃の背後に潜むテクノロジーの調査に貢献しました。

CoinVaultはそれほど広まっていませんが、非常に調査の難しい攻撃の例としてこれ以上のものはありません。昨年のレポート(英語記事)には、このランサムウェアのサンプルがいかに積極的に分析から逃れようとしているかが示されています。WireSharkなどの解析ソフトウェアが稼動している仮想マシンやコンピューター上でCoinVaultを実行すると、ペイロードがブロックされるのです。

11月のレポートの公開後、攻撃の背後にいるサイバー犯罪者がしばらく鳴りを潜めていたところに、Panda Securityのリサーチャーから新しいサンプルが届きました。間接的な「証拠」を十分に集めたKasperskyのスペシャリストは、身代金を支払わずにCoinVaultの犠牲者のデータを復号することができました。

また、この悪意あるコードの徹底的な解析が容疑者の確保につながりました。まず、スペシャリストはこのコードに「完璧なオランダ語」で書かれた行があることを発見しました。マルウェアのコーディングには、お粗末な英語が使われているケースが多く、作成者のいる地域の特定が難しいのです。その後、オランダ警察の国家ハイテク犯罪ユニットの協力によりC&Cサーバーが押収され、サーバーを管理していた人物を突き止めることができました。

この例から、犯罪活動に使われる匿名化の手口で解明できないものはない、と言ってもいいでしょう。まず、どんなに新しいテクノロジーでも、いずれは対抗手段が見つかります。そして、サイバー犯罪者が最終的に逮捕される一番の原因はテクノロジーの欠陥ではなく、人的要因です。人的要因は、どこにでもついて回るものです。

その他のニュース:

PayPalなどのサービスにバグが発見されました(英語記事)。このバグにより、2段階認証を含む認証が回避されます。PayPalのバグの原因は、モバイルAPIのセキュリティが想定よりもやや甘かったためです。

「Let’s encrypt」プロジェクトが開始され(英語記事)ました。WebサイトのHTTPS証明書を比較的簡単に入手する方法がひとつ増えました。

GoogleはAndroidのバグ(英語記事)にパッチを適用しました。文字数の長いパスワードを入力して、ロック画面を回避できるようになります。

懐かしのあれこれ:

「Invader」ファミリーと「Plastique」ファミリー

非常に危険な常駐型ウイルス。「Jerusalem」のアルゴリズムに従ってCOMファイルとEXEファイル(COMMAND.COMを除く)に感染します。また、フロッピーディスクとHDDのブートセクターにも感染します。フロッピーディスク上で新たなトラックをフォーマットし、HDDのMBRの隣にあるセクターに自身を書き込みます。バージョンによって異なりますが、タイマー(インタラプト8)によって中断したときヌルサイクルを実行し、ドライブのデータを消去し、音楽を再生し、次のメッセージを復号化して表示します。

「Invader」の場合 — 「by Invader, Feng Chia U., Warning:Don’t run ACAD.EXE!」

「Plastique」の場合 — 「PLASTIQUE 5.21 (plastic bomb) Copyright 1988-1990 by ABT Group (in association with Hammer LAB.)WARNING:DON’T RUN ACAD.EXE!」

また、「ACAD.EXECOMMAND.COM.COM.EXE」というメッセージも表示されます。これらウイルスはインタラプト8、9、13h、21hを乗っ取ります。

infosec-digest-32-book

1992年、ユージン・カスペルスキー著『Computer viruses in MS-DOS』(MS-DOSのコンピューターウイルス)104ページより引用。

注意:この記事は著者の個人的見解を反映したものです。これはKaspersky Labの見解と一致していることも、一致していないこともあります。運次第です。