GPS がオフでもスマートフォンの場所を追跡可能: 実証実験アプリ PinMe とその手法

www.bleepingcomputer.com

• GPS 機能がオフになっていてもユーザーの移動した場所をトラッキングすることは可能という実証実験
• 実証実験アプリ PinMe の仕組み
  • 周囲にある公共 Wifi 電波からおおよその場所を特定
  • スマホに搭載されている速度・傾きなど様々なモーションを検出するセンサを利用し、ユーザーのいる場所の高度、ユーザーの進行方向、速度、停止状態などを割り出す
  • センサから検出された情報をすでに公開されている場所ごとの高度情報などにマッピングして場所を特定

人はモニタに映ったものを信じる: ニセの評価で単なる「小屋」を TripAdvisor のトップレストランにしたてあげた男のニュースからセキュリティ研究家が導く教訓

nakedsecurity.sophos.com

• ある男性が大手旅行ガイドサイト TripAdvisor にニセの評価を登録し、ただの「小屋」をトップレストランのようにみせかけることに成功
• ニセのレストランであれば出向いたところでそれほどひどい被害にはならないがこれがたとえば「信頼のおける水道管修理」などを謳ったものなら被害者は自宅に窃盗犯を招き入れることになりかねない
• 現代の我々は「モニタに映るネット上の情報をなんでも信じる」行動をとりがちであることを証明した形
• 本物のトップレストランなら周囲の誰かしらが情報をもっているはず
  • 古い意味でのネット以外の「友人」から評価を得るか「評価者」や「最後の顧客」にコンタクトして確認するなどの慎重さが必要に

2017 年度版 Cyber Intrusion Services Casebook (CrowdStrike): 侵害発覚までの日数が短縮、セキュリティ製品善戦、マルウェアのファイルレス化さらに進む、初期攻撃ベクターに変化

www.darkreading.com

• CrowdStrike 社、「Cyber Intrusion Services Casebook 2017」で 100 件のインシデント対応について調査した結果を公表
  • 企業がセキュリティ侵害を受けてからインシデント発生を認識するまでの日数は 1 年前と比較して 100 日以上から 86 日へとやや改善が見られた
  • セキュリティ製品が健闘、ネットワーク可視化が進むがまだまだ 86 日では長過ぎるので今後の改善が必要
  • インシデント同士を相関させるツールなどが多数利用できるようになり調査時間の短縮に貢献
  • 外部からの連絡ではなく自分自身でインシデントを発見した件数も 11% 増加し改善が見られる
  • 侵害から発見までの日数の中には 800 日から 1000 日というものもあるがそれらは「例外的な外れ値」
  • ほとんどの攻撃がファイルレスで行われる
    • 66% のケースで被害組織への侵入は正当な Windows サービスを悪用している
      • 窃取した認証情報を利用、メモリ内でのコード実行、リモートデスクトッププロトコル (RDP) /WMI/PowerShell/ の利用、窃取した VPNの認証情報利用、など*1
• 初期攻撃ベクターにも変化が見られる、「偵察」の割合が低下:
  • 37% が Web サーバー、Web アプリケーション、Web シェル、ファイルアップローダに対するエクスプロイト
  • 23% が リモートアクセス (RDP、VPN) の利用によるもの
  • 12% が サプライチェーンの侵害によるもの
  • 11% が ソーシャルエンジニアリング、フィッシング、スピアフィッシング
  • 11% クラウドベースのサービスのエクスプロイト、メールポータルへの攻撃、権限のないアクセスによる
  • 6% 偵察がそのほかによるもの
• WannaCry や NotPetya のような自己拡散ワーム型のマルウェアが今後の対マルウェア局面を変える
  • NSA 職員が漏えいさせた EternalBlue や EternalRommance など Microsoft SMB プロトコルの脆弱性を悪用したワーム型マルウェアが増加
  • 対象ネットワークのどこか 1 台を危殆化できさえすれば後は人手を介さずネットワーク内で自己拡散し、フィッシングにかかる手間が不要になる