拡張頭蓋 | Extended Cranium

もしかすると誰かの役に立つかもしれないことを書き留めておく

2018-01-05 セキュリティニュースまとめ

イタリア・コレッジョ市警察の情報システムがハッキング被害、スピードカメラ データベースを全消去、メールや文書の情報も漏えい

  • 元記事 Anonymous Italia hacked speed camera database and took over the police systems in CorreggioSecurity Affairs
  • 一次ソース (イタリア語) gazzettadireggio.gelocal.it

  • イタリア・コレッジョ市の警察署にアノニマスによる攻撃

    • スピード違反チケットの記録を含むアーカイブが全て消去される、40GB 相当の違反記録画像が消去の被害
    • 内部文書、メールなども漏えい・公開される
  • イタリアの新聞社に攻撃の様子を記録したスクリーンショットが送りつけられる
    • データベースへのリンクとダウンロード用のパスワードが添付されたもの
  • 「通過してもいないコレッジョでなぜかコレッジョ警察に不当に違反チケットを切られた」という不満からの犯行か
    • 公開されたメールには違反チケットからの利益について警察署長と政治家の間で議論する内容のが含まれていた

Chromium Blog: ユーザーの保護のため、誤解を招くまたは詐欺的な手法を使う拡張機能のインライン・インストールを一部強制無効化にする処置を導入予定

インラインインストールとは

インラインインストール導入の弊害とこれまでの対策

  • 一部のデベロッパが広告を表示したり、望ましくないプログラムをインストールさせる手段として使うようになった
  • ユーザーからの苦情増加を受け、2015 年 9 月から既知の詐欺的拡張機能についてインラインインストールが無効化される措置がとられた
  • この措置により、ユーザーからの苦情が 65% 減少した
  • しかし 3% 弱の拡張機能デベロッパがいまだにこうした詐欺的手法でインラインインストールを利用しておりユーザーの苦情の 90% をしめている状況
  • 参考: Chromium Blog: Protecting users from deceptive inline installation

今後導入されるインラインインストール濫用対策

  • 今後数週間以内に、自動的にインラインインストールを濫用するプログラムを検出する仕組みを導入して検出から対応までを迅速化
  • 従来の拡張機能ごとの保護に加えて、機械学習によりインラインインストールのリクエスト内容を精査し、誤解を招く、詐欺的な、または悪意のある広告やWebサイトの手法についてその兆候を検出する
    • 基準に該当する場合、インラインインストールのリクエストは選択的に無効化される
    • ユーザーが当該拡張機能を制作者のWebからインラインでインストールしようとした場合、インラインインストールが開始されるかわりに Chrome ウェブストアにリダイレクトされるようになる

インラインインストールについての FAQ

参考: Using Inline Installation - Google Chrome

InfoSec Handers Diary: Meltdown と Spectre について知っておくべきこと

要約

  • 元記事 InfoSec Handlers Diary Blog - Internet Storm Center Diary 2018-01-04
  • 初期情報が錯綜していたため混乱が見られたが、Meltdown と Spectre については、結局影響を受けないことが確認されているのが iPhone/iPad のみで*1Intel 以外の他のプロセッサ (AMD, ARM など) を利用するデバイスは、物理環境・クラウドなどの仮想環境上ともにいずれかの脆弱性による影響を受けることがわかっている
  • 脆弱性による根本的な問題は、カレントプロセス「外」にそのメモリの内容がリークすること
    • システムが秘匿すべき認証情報や秘密鍵などがそのときメモリ内にあればリークする
    • confidentiality の侵害ではあるが integrity の侵害はない、メモリの内容が改変されることはない
  • プロセッサのもつ「アウトオブオーダー実行」機能と「投機的実行」機能を悪用するコードによって、別のアプリケーションから返されたデータをプロセッサにリークさせることができる
  • 各社からパッチが提供されているが、これらのパッチは今後予想される攻撃手法に対抗するためのさしあたり緩和のために適用すべき内容にとどまる
    • 当該パッチによるパフォーマンスへの影響が懸念されること、今回のパッチは完全な緩和手段ではないことからいずれ別のパッチがリリースされるだろう
    • とくに Spectre については今後別のパッチが必要になるだろう、Spectre の方はハードウェア的にパッチをしなければ完全に緩和することができないため、ソフトウェアによるパッチ対応は難しい (ただし悪用も難しい)
  • FireFox の初期テストの結果によれば、これらの欠陥をリモートの Web コンテンツからトリガすることができるという
    • つまり Web コンテンツをブラウズする、または外部コンテンツを実行するようなデバイスは特に脆弱となる (とくにマルウェアサンドボックスなど、パッチを適用しない状態を前提とした OS では問題になると懸念される)
  • そうした Web サービスを利用しない、または外部からのコンテンツを利用しないケースでは被害対象マシン上でコードを実行する方法を見つける必要がある。しかしパッチを適用するとパフォーマンスが 30% 程度低下するという報告も
  • とくに問題となりそうなのが IoT デバイス
    • 消費者が脆弱性に対応することを知らないケースがほとんどで、今回のケースでは 2 度以上にわたってパッチを適用する必要がある
    • 次の Mirai ボットネットを生み出す要因になりかねない

さしあたり管理者がすべきこと

  • 今回の緩和パッチはパフォーマンス低下問題があっても適用すべきか?
    • 適用すべき。数ヶ月後にリリースされると思われる次のパッチも適用すること
  • 現時点では本脆弱性を悪用した既知の侵害事件は確認されていないが、おそらく数日中には状況に変化がおこるだろう

*1:2018-01-05 追記 ただし本投稿のあとApple が公開した KBによれば、iOS ふくむ全製品が対象とされているいる