海の向こうの“セキュリティ”
第86回
Torユーザーに対するNSAの攻撃手法 ほか
(2013/11/7 06:00)
Windows 8.1やOS X Mavericksがリリースされる中、10月の国内のセキュリティ関連の話題としては、9月に公になったIEのゼロデイ脆弱性を使った「水飲み場型攻撃」が、8月に日本の中央省庁や重要インフラなどを対象にすでに行われていたことが明らかになったほか、Androidアプリの96%に何らかの脆弱性があるとのレポートが公開されました。
一方、国際的には、Adobe Systemsへのサイバー攻撃で3800万人(当初は290万人と報道)分の顧客情報やAcrobat/Adobe Reader/Photoshopなどのソースコードが盗まれたとの報道や、Googleが表現の自由のためのツールを3種類発表したことなどが注目を集めました。GoogleはほかにもGoogleのものではないオープンソースのソフトウェアの脆弱性についても発見者に報奨金を与えるとの方針を発表しています。また、米NSAの盗聴問題に関連した話題も引き続き数多く報道されました。
URL
- INTERNET Watch(2013年10月10日付記事)
日本の省庁などへ“水飲み場型攻撃”、IEのゼロデイを突き、8月に起きていた - http://internet.watch.impress.co.jp/docs/news/20131010_618941.html
- INTERNET Watch(2013年10月31日付記事)
96%のアプリに何らかの脆弱性、SDNA「Androidアプリ脆弱性調査レポート」 - http://internet.watch.impress.co.jp/docs/news/20131031_621598.html
- INTERNET Watch(2013年10月4日付記事)
Adobeにサイバー攻撃、顧客情報290万人分抜き取り、製品のソースコードも - http://internet.watch.impress.co.jp/docs/news/20131004_618168.html
- ITmedia(2013年10月30日付記事)
Adobeへのサイバー攻撃、不正アクセスの影響は3800万人に - http://www.itmedia.co.jp/news/articles/1310/30/news044.html
- INTERNET Watch(2013年10月22日付記事)
米Google、表現の自由のためのツール3種発表、検閲回避のブラウザー拡張など - http://internet.watch.impress.co.jp/docs/news/20131022_620364.html
- ITpro(2013年10月11日付記事)
Google、オープンソースソフトの脆弱性パッチに報奨金を支払うプログラム - http://itpro.nikkeibp.co.jp/article/NEWS/20131011/510462/
- ウォール・ストリート・ジャーナル(2013年10月22日付記事)
仏、NSAの盗聴問題で米大使に説明要求 - http://jp.wsj.com/article/SB10001424052702304856504579150242914549758.html
- CNET Japan(2013年10月22日付記事)
NSA、フランス市民に対しても諜報活動を実施か - http://japan.cnet.com/news/business/35038819/
- AFP BBNews(2013年10月22日付記事)
独誌「米NSAがメキシコ大統領府のメール傍受」 前大統領、米を非難 - http://www.afpbb.com/articles/3001873
- ハフィントンポスト(2013年10月24日付記事)
ドイツのメルケル首相、アメリカ情報機関が通話を盗聴か 「安倍首相は問題ない」菅官房長官 - http://www.huffingtonpost.jp/2013/10/24/merkel-usa-wire-tapping_n_4154890.html
Torユーザーに対するNSAの攻撃手法
米NSAや英GCHQ(Government Communications Headquarters)が匿名ネットワークTorのユーザーの身元(接続元)を特定する方法を調査していたとの報道に関連して、米国の著名なセキュリティ専門家であるBruce Schneier氏が具体的な手法を解説しています。
日本でも「遠隔操作ウイルス」事件の犯人が身元を隠すために使ったことで一躍知名度を上げたTorですが、NSAをはじめとする諜報機関はもちろん、司法機関などがそのユーザーの身元を探ることに関心を持つのは当然と言えば当然。Torを簡単に利用できるソフトウェアパッケージ「TorBrowser」のベースとなっている「Firefox 17 ESR」の既知の脆弱性を使ってFBIがユーザーの身元を特定しようとしていたことについては今年8月にもすでに報道されています。
Schneier氏によれば、FBIについては何も言及していないものの、NSAも同じくFirefoxの脆弱性を使っており、さらに米国内の通信事業者による「強力な協力」があることを明言しています。具体的な攻撃の流れは次のようになります。
まず、Torネットワークから特定のサーバーへのHTTPリクエストを検知し、Torユーザーを識別する「指紋 (fingerprint)」を生成してデータベースに登録しておきます。
次に、インターネットのバックボーンのキーとなる場所にQUANTUMと呼ばれる秘密のサーバーを設置し、攻撃対象の(身元を暴きたい)Torユーザーがアクセスしようとしている正規のウェブサイトが応答する前に、そのサイトになりすましてFOXACIDと呼ばれるサーバーに誘導します。つまり、いわゆる「man-in-the-middle」攻撃を行なっているわけです。
FOXACIDサーバーは通常のアクセスでは何もしないのですが、FOXACIDタグと呼ばれる特別なURLでアクセスすると、ブラウザーの脆弱性を使ってマルウェアを感染させます。なお、このFOXACIDタグの見た目は普通のURLなので疑われることはないとしています。例えば、
http://baseball2.2ndhalfplays.com/nested/attribs/bins/1/define/forms9952_z1zzz.html
のようなものと紹介されています(このURLは単なるサンプルで実在しません)。
仕組みを知ってしまえば、驚くほど高度な技術が使われているわけではないですが、通信事業者の協力を前提にしている上、実際に協力している事業者が存在している点は見逃すことのできないところです。
URL
- ITmedia(2013年8月6日付記事)
Tor匿名化サーバに不正コード混入、捜査当局が容疑者割り出しに利用か - http://www.itmedia.co.jp/enterprise/articles/1308/06/news035.html
- The Guardian(2013年10月4日付記事)
Attacking Tor: how the NSA targets users' online anonymity - http://www.theguardian.com/world/2013/oct/04/tor-attacks-nsa-users-online-anonymity
- Schneier on Security(2013年10月7日付記事)
How the NSA Attacks Tor/Firefox Users With QUANTUM and FOXACID - https://www.schneier.com/blog/archives/2013/10/how_the_nsa_att.html
- ITpro(2013年10月7日付記事)
NSAは匿名通信システム「Tor」の情報収集も行っていた---英報道 - http://itpro.nikkeibp.co.jp/article/NEWS/20131007/509343/
- The Guardian(2013年10月4日付記事)
NSA and GCHQ target Tor network that protects anonymity of web users - http://www.theguardian.com/world/2013/oct/04/nsa-gchq-attack-tor-network-encryption
- The Washington Post(2013年10月4日付記事)
Secret NSA documents show campaign against Tor encrypted network - http://www.washingtonpost.com/world/national-security/secret-nsa-documents-show-campaign-against-tor-encrypted-network/2013/10/04/610f08b6-2d05-11e3-8ade-a1f23cda135e_story.html
- 読売新聞(2013年10月8日付記事)
高2、県警HPに化学テロ予告…匿名化ソフトで - http://www.yomiuri.co.jp/kyoiku/news/20131008-OYT8T00781.htm
韓国、住民登録番号の利用不可を定めた「改正個人情報保護法」
韓国では昨年からオンラインでの本人確認などの目的で住民登録番号を収集することが原則禁止となり、流出させた場合の罰則規定もありますが、これをさらに押し進めた「改正個人情報保護法」が来年8月に施行されることになりました。
来年8月7日までに事業者は住民登録番号を収集しないようにシステムを変更しなければならなくなり、またすでに収集済みの住民登録番号は2016年8月6日までにすべて破棄しなければなりません。これに違反した場合、情報保護担当者だけでなく、当該企業や組織の代表者、CTOなどの役員クラスに対しても最大5億ウォンの罰金が科せられることになります。
今回の法律では、住民登録番号の一部を活用する代替策が認められており、住民登録番号12桁のうち、生年月日を示す先頭の6桁、その次の性別を示す1桁はそのまま使うことができ、それに続く出生届を受け付けた役場の住所を示す4桁は郵便番号などに代えることができます。しかし、このような代替策を採用したとしても、現状の住民登録番号を使っているシステムがその番号をどのように使っているのか、100%理解していなければ改修は難しく、これが事業者にとって大きな負担となっているようです。
すでに韓国では10年以上も前からユーザー登録の際に住民登録番号を使うことが当たり前だったわけですから、古いシステムや大規模なシステムであれば、完全に理解している人などいないという状況は当然のようにあるでしょう。果たして来年の8月までにどれだけの事業者が間に合うのか、また、間に合わない事業者が少なくないことが容易に想像できることから、当局がどのような対応をとるのか、興味深く見守りたいと思います。
URL
- Wikipedia「住民登録番号」
- https://ja.wikipedia.org/wiki/%E4%BD%8F%E6%B0%91%E7%99%BB%E9%8C%B2%E7%95%AA%E5%8F%B7
- INTERNET Watch(2012年5月7日付記事)
第68回:韓国、住民登録番号の収集が原則禁止に ほか - http://internet.watch.impress.co.jp/docs/column/security/20120507_530953.html
- ZDNet Korea(2013年10月24日付記事、韓国語)
個人情報保護法A to Z、何を守らなければならないのか - http://www.zdnet.co.kr/news/news_view.asp?artice_id=20131024084245
重大ニュース便乗マルウェアの出現は平均22時間後
世間の注目を集めている大きなニュースに便乗した偽メールでマルウェアに感染させる手法は以前からよくあります。これに関して、米Commtouchは同社のブログを通じて、CNNなどのメジャーなメディアが報道した重大ニュースに便乗したマルウェアが登場するまでの平均時間が22時間であるとの調査結果を発表しました。
個々の事例については、今年3月の新しいローマ法王の選出に関連したものは55時間後、4月のボストンマラソンの爆弾テロ事件については27時間後との数字が紹介されています。
ブログでの紹介で、かなりあっさりとしているので、個々のデータについて調べた結果を公開してもらいたいところです。
URL
- Commtouch Security Blog(2013年9月26日付記事)
22 Hours: Average Time to Exploit News Events for Malware Distribution - https://blog.commtouch.com/cafe/malware/number-of-the-month-september-2013/
- Help Net Security(2013年9月27日付記事)
Cybercriminals exploit most news within 22 hours - http://www.net-security.org/malware_news.php?id=2602
山賀 正人
CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。