2018-01-17 セキュリティニュースまとめ: カナダ人男性30億人分のアカウント情報を不正販売したとして告訴、Skygofree スパイウェアの特徴的な機能、50万人のユーザに影響を与えたChromeの不正機能拡張が4つ確認される
カナダ・トロント在住の男性、漏えいした情報から不正に取得した 30 億人分のアカウント情報をインターネット上で不正に販売したなど 4 つの刑法犯罪で告訴される
元記事
概要
- カナダ在住の 27 歳の男性が、自身のサイト LeakedSource[.]com でおよそ 30 億人分の個人情報、アカウント情報等を不正に取得・販売していたなど 4 つの罪で告発され、2018-01-15 に出廷
- 個人情報の売買
- コンピュータの不正使用 (刑法 s.342.1)
- データへの損害
- 犯罪により取得した資産の所有
- 同サイトは警察により 2017 年 1 月にシャットダウン済
- シャットダウンされる前に同サイトでは以下のような世界中の情報漏えいインシデント被害を受けたサイトからのアカウント情報をあつめ販売していた
- Dropbox
- Weebly
- Foursquare
- Tumblr
- Rambler[.]ru
- MySpace
- AdultFriendFinder
- 同サイトでは、漏えいした情報を復号して整理した上でキーワード検索を可能にして有料で情報提供していた
- 「同サイトはダークウェブとインターネットの間の中間者のような役割を果たしていたサイト」と警察のコメント
- 「(2017年1月のシャットダウン時点では)おそらく世界最大のアカウント情報販売サイトだっただろう」
- 犯人の男性は同Webサイトの管理者としておよそ 24.7万 ドル (日本円でおよそ2700万) を荒稼ぎしていたという
Android を狙う「映画のような」スパイウェア Skygofree が見つかる
元記事
特徴・機能
- Android のトロイの木馬型スパイウェア「Skygofree」
- 他では見かけないような特徴をもつ
- アクセシビリティ サービスを悪用し、WhatsApp などから画面に表示された情報を窃取
- フロントカメラでスマートフォンがアンロックされたさいに写真を撮影
- 入電した電話、SMS、カレンダーの内容、ユーザーデータ等も窃取
活動期間
- Skygofree が確認されたのは 2017 年の後半だが、少なくとも 2014 年頃から存在し、定期的に更新されつづけていた様子
感染経路
- 偽のモバイルオペレーター Web サイト経由でモバイル機器のインターネット接続速度を向上させるアプリに偽装して拡散
- ダウンロードされるとセットアップが進行中であるという通知を表示し、その裏で C&C サーバに接続、応答内容によって様々なペイロードをダウンロードする
- これまで確認された感染端末のロケーションはすべてイタリア
対策
- 正規のストア (Google Play ストア) からのみアプリを取得すること
- 内容と不釣り合いなパーミッションを要求してこないか、アプリの名前や開発者名にスペルミスがないか、ダウンロード数が少なすぎないかなどをチェックする。一つでも当てはまればダウンロードしない
- モバイル向けのセキュリティ対策を導入する
悪意のある Chrome 用機能拡張が 50 万人以上のユーザーとビジネスに影響
元記事
便利かつ危険な Web ブラウザの機能拡張
- ほとんどの Web ブラウザには機能拡張を提供し、ブラウザの機能を拡充できるようにしているが、これが任意のコードを挿入される脅威の入り口になる
- 簡単にインストールすることができ、見逃されやすく、ビジネス環境を脆弱にしてしまう
- こうした機能拡張を悪用するとクリック詐欺などを使って端末を制御下におき、組織内ネットワークへの侵入口として利用することができるようになる
悪意のある 4 つの機能拡張が確認される
- ある組織のアウトバウンド トラフィックが急増したことを受け調査を開始
- 悪意のある 4 つの機能拡張により 50 万人のユーザが影響を受けていたことが判明、この中には世界中の企業ユーザが含まれる
- これら 4 つの機能拡張は、クリック詐欺と SEO 詐欺のいずれかあるいは両方の目的で使われていた可能性が高いが、それ以外の攻撃を仕掛けることも可能で、企業ネットワーク侵入の足がかりにもなりうる
- 今回の 4 つの機能拡張についてどれほどの収益があったかは確認されていないが、似たようなボットネットのケースでは 2013 年時点でオペレーションがテイクダウンされる前に月に 600 万ドル (日本円で6.6億円) 程度の利益があったことがわかっている
- 今回確認された 4 つの機能拡張はすでに Web ストアからは削除されている
4 つの機能拡張を検出した過程
- ヨーロッパの某 VPS プロバイダで急にアウトバウンドのトラフィック量が跳ね上がる
- パケットを取得して解析、外部 IP アドレス 109.206.161[.]14 への通信が増えていること、change-request[.]info というドメイン宛の HTTP トラフィックが「ppmibgfeefcglejjlpeihfdimbkfbbnm」という ID をもつ Chrome 機能拡張から発信されていることがトラフィック急増の原因と判明
- 当該 ID と紐づく機能拡張名は「Change HTTP Request Header available via Google’s Chrome Web Store」
同様の手法で他に発見された 3 つの機能拡張
名称 | 機能拡張 ID | ユーザー数 | 関連ドメイン |
---|---|---|---|
Nyoogle - Custom Logo for Google | ginfoagmgomhccdaclfbbbhfjgmphkph | ~509,736 | *.nyoogle[.]info |
Lite Bookmarks** | mpneoicaochhlckfkackiigepakdgapj | 不明 | lite-bookmarks[.]info |
Stickies - Chrome's Post-it Notes | djffibmpaakodnbmcdemmmjmeolcmbae | ~21,600 | stickies[.]pro |
技術的背景
Chrome 機能拡張について
- Chrome の JavaScript エンジンは JSON 内の JavaScript コードを評価して実行するが、セキュリティ上の理由から Chrome 側は機能拡張が外部サイトから JSON を取得させないようにしている。機能拡張で JSON を取得したい場合、明示的に CSP Content Security Policy 経由で使用リクエストを出す必要がある。ただし機能拡張が unsafe-eval パーミッションを有効にすれば、外部サイトから取得した JSON (とその中の任意の JavaScript) を実行することができるので、この機能を利用すれば更新サーバーがリクエストを受け取ったタイミングで外部から取得した任意の JavaScript を実行可能になる
4 つの機能拡張について
- いずれの機能拡張も被害端末を強制的にクリック型広告のあるサイトにアクセスさせることで、クリックごとに収益を支払うタイプの広告費をだまし取ろうとするマルウェア
- 外部サイトから難読化した JavaScript を取得して解析をしにくくしている
- 機能拡張のデバッグツールが有効になっている場合は実行しないことで気づかれにくくしている
IOC
- 一連の機能拡張によりアクセスされるドメインおよび IP アドレスの一覧については元記事の資料 B を参照
- 難読化を解除した JavaScript についても元記事の資料 C を参照