拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

Chrome ブラウザ、クリプトジャック防止のためストアから暗号通貨マイニングを行うすべての機能拡張を排除すると予告

元記事・一次ソース

blog.chromium.org

概要

現状

  • ここ数ヶ月、表面上は利便性の提供を謳いながらその実暗号通貨マイニング用のスクリプトをユーザの許可なく埋め込むような悪意のある機能拡張が増え続けている
  • こうしたマイニング用スクリプトによりユーザーの CPU リソースが浪費された結果、PC のパフォーマンスや電力消費に深刻な影響を与えている

経緯

  • これまでの Chrome ウェブストアのポリシーでは、暗号通貨マイニング用の機能拡張は以下 2 つの条件が満たされていれば許可していた
    • 暗号通貨マイニング自体を唯一の目的とした機能拡張であること
    • 明示的にユーザーに許可を得ること
  • 暗号通貨マイニング機能をもつ 90% 以上の機能拡張がこの条件を満たしておらず、リジェクトされるか削除されるかしているのが現状

対策

  • 2018-04-02 (米国時間) をもって Chrome ウェブストアは暗号通貨のマイニングを行う機能拡張を受理しない
  • 現在ストア存在する同機能を提供する機能拡張についても Chrome ウェブストアからは 6 月後半には削除する
    • ただしブロックチェーン関連ではあるが、マイニングを目的としていない機能拡張については引き続き許可される

まとめ

  • 機能拡張のプラットフォームは開発者コミュニティに創意に富んだ製品開発を促してきた側面もあるが、同時に悪意のある開発者によりユーザーを犠牲にした形で乱用されるケースが後を絶たない
  • 今回のポリシー変更は、機能拡張による利便性を保ちつつも安全性を担保する試みとなる

2018-04-02 セキュリティニュースまとめ: APNIC が Cloudflare とタッグを組んで 1.1.1.1 でプライベートに配慮したパブリック DNS サービス開始

元記事

www.bleepingcomputer.com

一次ソース

blog.cloudflare.com

概要

  • APNIC が Cloudflare を利用した パブリック DNS サービスを 1.1.1.1 で提供
  • ISPDNS サービス、Google Public DNS (8.8.8.8)、Cisco Open DNS などのパブリック DNS よりも応答が高速 *「一部のパブリック DNS サービスはユーザーのクエリ情報をすべて記録し、ターゲット広告に利用している」という事実を懸念
  • クエリの内容は一切ディスク上に書き込まず、ログは 24 時間で消去することを謳う

利点

  • プライバシーが尊重され、クエリの内容がターゲット広告に悪用されない
  • レスポンスタイムが短いので web ページの表示が早くなる

利用方法

https://1.1.1.1/ja-jp に Web ブラウザでアクセスし、デバイスの種類ごとの指示に従って設定を変更

2018-03-28 セキュリティニュースまとめ: FireFox 用 Add-On 「Facebook Container」がリリースされる

元記事

www.bleepingcomputer.com

概要

Add-On を追加後の挙動

  • Add-On を追加して有効化すると、Facebook ドメインに関連したクッキー情報はすべて削除され、Facebook から一度ログアウトされる
  • ログインすると、アドレスバーに青いアタッシュケースのような形状のアイコンとともに「Facebook」と表示され、分離が有効であることが示される

f:id:ed3159:20180328120316p:plain
Blue Icon

Facebook Container Add-On の説明

Add-On について

Facebook Container は、Facebook での活動とその他サイトでの活動とを分離することで、サードパーティクッキー経由で Facebook 以外の web での活動が同社によりトラッキングされないようにする Add-On

アドオンを有効にすると何が起こるか

Facebook Container は Facebook の ID を独立したコンテナに分離し、Facebook 以外のサイトでのユーザーの活動をサードパーティクッキー経由でトラッキングしにくいようにするもの

Add-On の機能

本 Add-On をインストールすると、Facebook 関連のクッキーが削除され、facebook から 1 度ログアウトされる。 ログアウト後に Facebook のサイトにアクセスすると青色のブラウザタブ (これが「コンテナ」と呼ばれる) でコンテンツがロードされる。 この後 Facebook Container 内で Facebook にいつもどおり利用可能。 Facebook 以外のリンクをクリックするか、Facebook 以外のサイトをアドレスバーに入力した場合、それらのサイトは Facebook Container 外でロードされる。ただし、他のブラウザタブの Facebook Share ボタンをクリックした場合は、Facebook Container 内でコンテンツがロードされる。Facebook Share ボタンを利用した場合、どこのサイトから情報を共有したのかという情報は Facebook 側に渡される点に留意すること。

機能しなくなる web サイトはある?

ある。 Facebook サイトに Facebook Container 内でしかログインできないないということは、Facebook Container 外にある外部サイトの埋め込み型の Facebook コメントや Like ボタンは機能しなくなる。これにより、ユーザの他のサイトでの活動内容を当該ユーザーの Facebook ID と紐付けることができなくなる。 また、Facebook の認証情報を利用してログインが可能な web サイトはおそらく正常に機能しなくなる。 ただし、これらの状態は意図された動作の結果である点に留意する必要がある。

Facebook Container が保護しない内容は何?

本 Add-On は Facebook がすでに保持しているユーザーデータの濫用を防ぐものではない。また、第三者がそうした情報を入手できないようにするものでもない。本 Add-On を利用しても、ユーザーが facebook.com ドメインで行った活動内容について、Facebook はすべて把握することが可能。この内容には、コメント、写真のアップロード、いいね、Facebook 関連アプリでで共有したデータなども含まれる。

「Multi-Account Containers」という名前の Add-On を利用すると、さらにトラッキングの制限範囲を広げることができる。 ただし、すでにこのアドオンを利用している場合、Facebook Container は機能しないので注意。 Facebook 側で適切なプライバシー設定を行うことも忘れないこと。

2018-03-27 セキュリティニュースまとめ: ランサムウェア AVCrypt について

一次ソース

www.bleepingcomputer.com

概要

  • インストールされているセキュリティ製品のアンインストールを試行するランサムウェア AVCrypt が発見される
    • Windows Defender、Malwarebytes のアンインストールを試みる
  • 侵入ルートについて記事中に説明はないが、web 閲覧中のドライブバイの可能性
  • 様々な面で動作が不完全で開発途中のランサムウェアなのか、ランサムウェアに見せかけたデータの破壊が目的のマルウェアなのかは不明

IOC

検体のハッシュ

  • 58c7c883785ad27434ca8c9fc20b02885c9c24e884d7f6f1c0cc2908a3e111f2
  • a64dd2f21a42713131f555bea9d0a76918342d696ef6731608a9dbc57b79b32f

VirusTotal 解析

a64dd2f21a42713131f555bea9d0a76918342d696ef6731608a9dbc57b79b32f

www.virustotal.com

58c7c883785ad27434ca8c9fc20b02885c9c24e884d7f6f1c0cc2908a3e111f2

Antivirus scan for 58c7c883785ad27434ca8c9fc20b02885c9c24e884d7f6f1c0cc2908a3e111f2 at 2018-03-27 15:36:20 UTC - VirusTotal

2018-03-23 セキュリティニュースまとめ: MITB(Man-in-the-Browser)攻撃による暗号通貨の中抜き攻撃が増加

元記事

www.darkreading.com

一次ソース

explore.securityscorecard.com

概要

  • MITB (Man-in-the-Browser) 攻撃により暗号通貨の「中抜き」が行われる事例が増加している
    • MITB 攻撃: 2008 年ごろからオンラインバンキングの不正送金に多数利用
  • MITB 攻撃はサービスとして提供されており有料で利用可
  • ボット化した PC に悪意のあるコードを送信しておき、被害端末の利用ユーザーが Coinbase や Bitcoin ウォレットの Blockchain.info などのサイトへ接続した際に中抜きが行われる

MITB (Man-in-the-Browser) 攻撃についての参考資料

確認された攻撃内容

目的

  • ボット化した感染済みのホストの正規のユーザーがたまたま暗号通貨取引をしているケースを狙い、送金先を自身の管理するアカウントに密かに変更して暗号通貨を窃取する

攻撃の前提条件

Coinhive での攻撃機

  • ボットの管理者(ボットマスター)は、有料 MITB サービスを購入、支配下にあるホストが正規の暗号通貨取引所である Coinbase ないし Blockchain.info に接続した場合にその通信内容を書き換えるプロキシ型のトロイの木馬に感染させておく
  • ボット化した端末の正規のユーザーが暗号通貨取引を行うためにブラウザで Coinhive ないし Blackchain.info のいずれかのサイトにアクセスしたことをプロキシ型トロイの木馬で検知する
  • トロイの木馬が web サーバーから送られてきた web トラフィックの内容とアカウント設定を書き換えてからブラウザ上に表示する
    • Enter キーの押下を無効化して Submit ボタンを押さないと処理を行えないようにする
    • ニセの送信ボタンを表示してクリックさせることでユーザーの多要素認証情報を窃取し、最終的にその情報を使ってアカウント設定を書き換える
      • 窃取した情報を使って被害ユーザーのアカウント設定にアクセス、認証なしで送金可能な設定に変更
      • ユーザーが設定画面にアクセスして二段階認証を有効化できないようにロック
  • アカウント設定の変更後、認証なしで送金を行う

Blackchain.info での攻撃機

  • 攻撃方法は Coinhive でのものと類似しているが、ビットコインを窃取して攻撃者の保有するアカウントに送信させることが目的
  • 攻撃終了後は発覚を遅らせるため、サイトにアクセスされると「サービス利用停止」のニセ画面を表示する

MITB による大規模攻撃キャンペーンも確認されている

  • セキュリティ調査会社 Minerva による報告「MITB や web インジェクトにより暗号通貨窃取を狙う事例は暗号通貨の高騰にともない増加している」
    • 対象とされる主な暗号通貨: Bitcoin、Monero など
  • 同社が GhostMiner と名付けた攻撃キャンペーンでは、 PowerShell フレームワークを使ったファイルレスな暗号通貨マイニング用マルウェアが利用されており、AV 製品によるマルウェア検出を効果的に回避している
  • 「ほとんどの大手 AV 製品で同脅威のペイロードが検出できなかった」

2018-03-15 セキュリティニュースまとめ: ログイン情報窃取を狙う PowerShell スクリプトについての注意喚起

ログイン情報窃取を狙う PowerShell スクリプトについての注意喚起

元記事

www.bleepingcomputer.com

概要

  • Github に認証情報窃取を狙う PowerShell スクリプトが投稿される*1
  • 実行されるとログイン画面が表示され、うっかりユーザーが認証情報を入力すると、入力した情報でドメインにアクセスできることを確認した上で情報が外部に送信される
  • Get-Credential PowerShell コマンドレット (参考)を悪用したもの
  • スクリプトを拡散することで多数の被害者から認証情報を窃取することができる

対策

  • ログイン ダイアログボックスのタイトル文字列が「Windows PowerShell credential request」だったら当該コマンドレットによる画面なのでタスクマネージャから終了する
    • ただしタイトル文字列は自由に変更可能なので、この文字列ではなくても安全ではない
  • 突然認証ダイアログボックスが表示された場合は、認証情報を入力せず、タスクマネージャから Windows PowerShell プロセスが起動していないかどうかを確認し、プロセスを手動で終了した場合にダイアログボックスも消えるかどうかを確認する

*1:元記事からのリンクなし

2018-03-15 セキュリティニュースまとめ: 個人情報大量漏洩事件の大手消費者信用情報会社 Equifax の前 CIO が事件発覚前のインサイダー取引疑惑で起訴される

膨大な情報漏えい事件を起こした Equifax の前 CIO、事件の公表前に株を売却したインサイダー取引の疑いで証券取引委員会に起訴される

元記事

www.zdnet.com

概要