2018-01-05 セキュリティニュースまとめ
イタリア・コレッジョ市警察の情報システムがハッキング被害、スピードカメラ データベースを全消去、メールや文書の情報も漏えい
- 元記事 Anonymous Italia hacked speed camera database and took over the police systems in CorreggioSecurity Affairs
一次ソース (イタリア語) gazzettadireggio.gelocal.it
イタリア・コレッジョ市の警察署にアノニマスによる攻撃
- スピード違反チケットの記録を含むアーカイブが全て消去される、40GB 相当の違反記録画像が消去の被害
- 内部文書、メールなども漏えい・公開される
- イタリアの新聞社に攻撃の様子を記録したスクリーンショットが送りつけられる
- データベースへのリンクとダウンロード用のパスワードが添付されたもの
- 「通過してもいないコレッジョでなぜかコレッジョ警察に不当に違反チケットを切られた」という不満からの犯行か
- 公開されたメールには違反チケットからの利益について警察署長と政治家の間で議論する内容のが含まれていた
Chromium Blog: ユーザーの保護のため、誤解を招くまたは詐欺的な手法を使う拡張機能のインライン・インストールを一部強制無効化にする処置を導入予定
インラインインストールとは
- 参考: Using Inline Installation - Google Chrome
- 2011 年、Chrome 15 で導入された機能
- 従来の拡張機能の入手経路は Chrome ウェブストアからの検索結果からのみ
- インラインインストールにより、拡張機能の制作者の Web サイトから直接 (=インラインで) 拡張機能をインストールすることが可能になった
インラインインストール導入の弊害とこれまでの対策
- 一部のデベロッパが広告を表示したり、望ましくないプログラムをインストールさせる手段として使うようになった
- ユーザーからの苦情増加を受け、2015 年 9 月から既知の詐欺的拡張機能についてインラインインストールが無効化される措置がとられた
- この措置により、ユーザーからの苦情が 65% 減少した
- しかし 3% 弱の拡張機能デベロッパがいまだにこうした詐欺的手法でインラインインストールを利用しておりユーザーの苦情の 90% をしめている状況
- 参考: Chromium Blog: Protecting users from deceptive inline installation
今後導入されるインラインインストール濫用対策
- 今後数週間以内に、自動的にインラインインストールを濫用するプログラムを検出する仕組みを導入して検出から対応までを迅速化
- 従来の拡張機能ごとの保護に加えて、機械学習によりインラインインストールのリクエスト内容を精査し、誤解を招く、詐欺的な、または悪意のある広告やWebサイトの手法についてその兆候を検出する
インラインインストールについての FAQ
参考: Using Inline Installation - Google Chrome
InfoSec Handers Diary: Meltdown と Spectre について知っておくべきこと
要約
- 元記事 InfoSec Handlers Diary Blog - Internet Storm Center Diary 2018-01-04
- 初期情報が錯綜していたため混乱が見られたが、Meltdown と Spectre については、結局影響を受けないことが確認されているのが iPhone/iPad のみで*1、Intel 以外の他のプロセッサ (AMD, ARM など) を利用するデバイスは、物理環境・クラウドなどの仮想環境上ともにいずれかの脆弱性による影響を受けることがわかっている
- 両脆弱性による根本的な問題は、カレントプロセス「外」にそのメモリの内容がリークすること
- プロセッサのもつ「アウトオブオーダー実行」機能と「投機的実行」機能を悪用するコードによって、別のアプリケーションから返されたデータをプロセッサにリークさせることができる
- 各社からパッチが提供されているが、これらのパッチは今後予想される攻撃手法に対抗するためのさしあたり緩和のために適用すべき内容にとどまる
- 当該パッチによるパフォーマンスへの影響が懸念されること、今回のパッチは完全な緩和手段ではないことからいずれ別のパッチがリリースされるだろう
- とくに Spectre については今後別のパッチが必要になるだろう、Spectre の方はハードウェア的にパッチをしなければ完全に緩和することができないため、ソフトウェアによるパッチ対応は難しい (ただし悪用も難しい)
- FireFox の初期テストの結果によれば、これらの欠陥をリモートの Web コンテンツからトリガすることができるという
- そうした Web サービスを利用しない、または外部からのコンテンツを利用しないケースでは被害対象マシン上でコードを実行する方法を見つける必要がある。しかしパッチを適用するとパフォーマンスが 30% 程度低下するという報告も
- とくに問題となりそうなのが IoT デバイス
さしあたり管理者がすべきこと
- 今回の緩和パッチはパフォーマンス低下問題があっても適用すべきか?
- 適用すべき。数ヶ月後にリリースされると思われる次のパッチも適用すること
- 現時点では本脆弱性を悪用した既知の侵害事件は確認されていないが、おそらく数日中には状況に変化がおこるだろう
*1:2018-01-05 追記 ただし本投稿のあとApple が公開した KBによれば、iOS ふくむ全製品が対象とされているいる