セキュリティウィーク32:Android Stagefright、新たな自動車ハッキング、Do Not Track 2.0

2015年8月28日

MicrosoftがWindows 3.1 OSをリリースし、Appleが最初のiPhonePDAをお披露目し、リーナス・トーバルズ(Linus Torvalds)氏がGNUのライセンスでLinuxをリリースしたのは、わずか23年前のこと。ユージン・カスペルスキー(Eugene Kaspersky)は-Vというプログラムを使って、当時知られていたウイルスとその駆除方法を解説した本を出版しました。その頃の脅威は大したことがなく、薄い本ですべてのウイルスを説明できました。それでも数年間は十分間に合っていました。

infosec-digest-32-book

ユージン・カスペルスキー著、マルウェアの完全カタログ(1992年)

いい時代でした。今では1日に325,000もの新しいマルウェアが登場しています。あちこちで(自動車やスケートボード、原子力発電所など)ほぼ毎週、システム全体に影響するセキュリティ障害であることを示す新たな証拠が発見されます。これには良い面も悪い面もあります。近ごろはデータやビジネス、人の生活がコンピューター任せになっており、これらのセキュリティを考える人が増えれば、物事がもっと良い方向に向かうようになります。

それでは、ゆったりとくつろいで、さまざまな出来事を見ていきましょう。今後、ThreatpostKaspersky Daily(当ブログ)から重要なニュースを3本厳選し、詳しい解説やコメントとともに随時お届けします。

Stagefright: Androidの欠陥、今も変わらず

Threatpostの記事GoogleのフィードバックCERTの勧告。Kaspersky Dailyでは感染を防ぐ方法を紹介しています。

Wiredは「Androidで最悪の脆弱性が見つかった」と報道していますが、これは間違いです。もっと深刻な脆弱性が見つかる可能性があります。この欠陥がHeartbleedShellshockなどと大きく違うのは、しゃれた名前を付けるまでもないところです。Stagefrightは音声や動画を再生するAndroidエンジンであり、Android Open Source Projectに含まれています。技術面では脆弱性だらけで(今回の欠陥を発見したZimperiumのエキスパートはCVE IDを7個確保しました)、そのほとんどがバッファーオーバーフローに関連しています。

infosec-digest-33-stagefright

このエンジンの役割は、さまざまな音声や動画の再生です。ZDNetに掲載されているように、「利用者が視聴しようとする前」に、動画の再生準備が完了するように設計されています。理由はよくわかりませんが、こうした処理はすべて「神」のアクセスレベルで実行されることがあります。本当は、理由は謎でも何でもなく、その方がコーディングが楽だったからです。とにかく、このようなトリックを防ぐために用意されたAndroidのサンドボックスから逃げ出すのはとても簡単でした。

その結果、「スマートフォンでMMSを受信するだけで感染する」というショッキングな概念実証が得られました。「ロードされた」MMSを開く必要すらありません。スマートフォンが自滅するのです。なぜかと言うと、利用者の使い勝手を考えて、そのように作られているからです。まったく救いがないかというと、そうでもありません。まず、Android 4.1以降はアドレス空間配置をランダム化する技術が組み込まれているため、このトラブルは回避されますし、少なくとも一部の「問題は排除」されています。

また、Zimperiumは脆弱性の「責任ある開示ルール」に従って、エクスプロイトコードを非公開にしていました。もっとも、パッチが公開されたので全容が明らかになりましたが。

この件でGoogleは興味深い反応を示しました。Androidの公式ブログから関連する投稿をまとめると、こうなります。「すべて順調。サンドボックスも問題なし。悪意あるアプリ(注釈付き)にやられているAndroid端末は0.15%に過ぎない。しかし、念のため、Nexus端末向けにセキュリティアップデートを毎月配信する」

ありがたいニュースですが、他のAndroidベースのスマートフォンやタブレットはどうなるのでしょう?Googleのこの取り組みでは、Androidの断片化の問題、最新型デバイスのOSを最新バージョンにアップデートするのが遅れがち、旧型ハードウェアがまるでアップデートされない、といった課題は解決されません。

幸い、HTC、Samsung、ソニー、LGをはじめとする開発企業数社は、今後スマートフォンやタブレットをもっと頻繁にアップデートすると発表しています。それでもまだあいまいな点が多く、わかっているのは、一部の端末はアップデートを受けられるということだけです。いつか。おそらく。いい子にしていれば。

なにはともあれ、これは朗報です。遅かれ早かれ、Microsoftの月例パッチのようなアップデートの仕組みがAndroidにも登場することでしょう。1年ほど前、GoogleのAndroidセキュリティの責任者、エイドリアン・ラドウィッグ(Adrian Ludwig)氏本人は、セキュリティにはまったく問題がなく、Google Playをちょっと修正するだけ、と語っていました。ですから、Stagefrightは本当に価値ある変化をもたらしてくれるはずです。少なくとも、そう願っています。結局のところ、他に何ができるでしょう?

自動車のハッキングは続く

Threatpostの記事以前のThreatpostの記事。Kaspersky DailyのBlack HatレポートDEF CONのレポート

先日、画期的な出来事がありました。自動車に初めて重大なパッチが適用されたのです。もう少し詳しく言うと、フィアットクライスラーが使用しているインフォテインメントシステムUconnectに対して。このシステムでは、a)エンターテインメントとはまったく関係のない機能を制御でき(具体的に言うと、自動車を側溝に突っ込むことができる)、b)セルラーネットワーク経由でインバウンド接続を受信できます。あらためてこのニュースを取り上げたいと思います。

もっとも、これは何週間か前の出来事です。先日、さらにもう1つ欠陥が見つかりました。それほど深刻ではないのですが、非常に興味深い欠陥です。今、陽光の降り注ぐスペインにいるとしましょう。またはブルガリア。それともギリシャ、どこでもいいです。あなたは自動車をレンタルし、ビーチに行って泳ぎ始めました。その隙にレンタカーの鍵を盗まれるかもしれません。そもそも、鍵を盗んだくらいでは泥棒の助けになりません。たくさんの車の中から目的の車を探す必要があります。ですが、レンタカーの場合は鍵にナンバープレートの番号が書いてあります。

つまり、ホテルのプールで泳ぎましょうという話です。フリーのセキュリティリサーチャー、サミー・カムカー(Samy Kamkar)氏は、こういったシナリオが現実にあり得ることを発見しました。OnStar RemoteLinkを使用していると、GM車の所在地を突き止め、離れたところからドアを開くことさえできるのです。カムカー氏は、車の持ち主の隣に立つだけでモバイルアプリと自動車との接続に割り込む、奇跡の装置を開発しました。

とはいえ、事態はそれほど悪くありません。カムカー氏は、問題は自動車ではなくアプリにあり、簡単なアップデートプログラムで解決できると言っています。ここでは、もう1つ、大切なことをお伝えしたいと思います。最新型の自動車に搭載されているマルチメディアシステムは、多くの人が使い慣れています。AndroidやiOSとほぼ同じで、タッチスクリーンを備え、インターネットへのアクセスなどさまざまなマルチメディア機能を搭載しています。問題はその品質がかなり劣っていることです。遅くて、バグだらけで、いまひとつです。ここでもう一度、Wiredを引用しましょう。「Androidと比べて、自動車メーカー独自のマルチメディアシステムは「お粗末」です」

これはなぜでしょう?どちらかといえば保守的な自動車メーカーにとって、こういったインフォテインメント関係の進化は早すぎて、ついていけないのです。ただ、幸いなことに、例外もいくつかあります

自動車産業はセキュリティの面でも遅れています。セキュリティのプロにとって、Unconnectのバグは呆れるしかありません。それに、何か新しいことをするとなると、セキュリティは後回しにされます。「セキュリティを考慮しない」コーディングは安くて簡単だからです。そこが攻撃の入り口となります。これまで自動車技術はコンピューターの世界から隔離されていたので救われてきましたが、やがて最大の弱点になり、ハッキングされるようになることでしょう。誰も予想せず、セキュリティが考慮されていないところなら、好きなようにできますから。

トラッキングをストップさせて、人生を楽しむには

Threatpostの記事EFFの記事

Do Not Track(トラッキング拒否)の仕組みは、メジャーなブラウザーに搭載されていますが、残念ながら役に立ちません。アイデアは申し分ありません。バナーやSNS、インターネットリサーチャーやカウンター、Googleなどに追跡されたくなければ、このボックスを選択するだけで誰にも干渉されずに済みます。

infosec-digest-32-privacy-1

しかし、この機能が推奨されるようになってから10年ほど経ちますが、あまり浸透していません。すでに購入済みの商品の広告が、購入店舗のサイトにいつまでも表示されていることからもわかります。問題はDo Not Trackの対応に業界が合意せず、追跡を希望しない利用者の意思が尊重されていない点です。

電子フロンティア財団(EFF)は、新基準の中で、Webサイト向けのDo Not Track要件を厳しくしたことが解決策になると見ています。たとえば、新基準に従っていることを公表した場合は、違反しているSNSのボタンを追加してはなりません。技術的な理由で利用者の行動(何かを購入する、認証するなど)を追跡する必要がある場合は、利用者の許可が要ります。

ただし、新しい要件はあくまでも任意なので、管理や強制はできません。電子フロンティア財団が頼りにしているのは、(一部の国では)自らの意思で負った義務に違反すれば、訴訟を起こせる点です。もっとも、新しいポリシーは義務ではないので、発表記事では、「ターゲット広告に対して効果があるが、本当に匿名でWebサーフィンできるのはVPNとTORだけ」と正直に記載されています。

infosec-digest-32-privacy-2

問題をさらに悪化させているのは、ほとんどの人は監視されていようがいまいが気にしない、という事実です。Do Not Track規則は少人数の活動家集団の間で議論されていますが、それ以外の人は、設定にあるもう1つのボックスを選択しようともしません。これでは、いけません。なお、ここで言っているのは、利用者をまとめて追跡しようとしている邪悪な巨大企業のことではありません。

Microsoftの音声アシスタントCortanaやGoogle Now、AppleのSiriなどの新しいテクノロジーの実用性を上げるには、デバイスを使用する人に関するデータを大量に収集し、処理しなければなりません。それが必要だからです。このため、被害妄想気味の方はWindows 10の利用規約を読まない方がいいでしょう。そこには、こういった細かなニュアンスがすべて厳密な法律用語で記載されています。当然のことですが、使い勝手を良くするには、デバイスに自分のことをよく知ってもらわなければなりません。

[twetter_pullquote]セキュリティウィーク32: #Android #Stagefright 新たな #自動車 の #ハッキング Do No Track 2.0 #プライバシー の取り組み[/twetter_pullquote]

とはいえ、企業が収集するデータ量が増えれば、データ収集を必要最低限に抑えたいと真剣かつ淡々と願う小数派の人々の役割は重要性を増します。

その他のニュース

MacのBIOSがハッキングされました。ただし、これが初めてではありません。

悪い輩がWindows 10更新プログラムの代わりにランサムウェアを配信しました。

あるVPNサービスが中国で発見されました。自社サーバーとは別に、ハッキングしたPCを使ってコスト削減犯罪活動を行っています。

懐かしのあれこれ

「Protect」マルウェアファミリー

危険な常駐ウイルスです。実行時に.comファイルと.exeファイルをターゲットにします。バージョンに応じて、int 21h、int 1Ch、int 33hを傍受します。「File protection」という文字列を含みます。「Protect-1157」はファイル属性を削除し、マウスを使用不能にします。「Protect-1355」はEGAかVGAのディスプレイでかなり目障りな光を点滅させます。

1992年、ユージン・カスペルスキー著『Computer viruses in MS-DOS』(MS-DOSのコンピュータウイルス)より引用。

注意:この記事は著者の個人的見解を反映したものです。これはKaspersky Labの見解と一致していることも、一致していないこともあります。運次第です。