  |
はてなキーワード:ゼロデイ攻撃とは
結論から言うと、「Macはウイルスが少ない」という認識は現在も“相対的には”正しいですが、状況は年々変化しています。
主な理由は以下の通りです:
Windowsは圧倒的なシェアを持つため、攻撃者にとって「効率の良い標的」でした。Macは長年シェアが少なかったため、ウイルス作者から狙われにくかったのです。
macOSはUNIXベースで、アクセス権限管理が厳格。さらに「Gatekeeper」や「XProtect」など、標準で強力なセキュリティ機能が搭載されています。これにより、不正なソフトの実行や既知のマルウェアの侵入を自動的に防ぐことができます。
App Storeで配布されるアプリはAppleの厳格な審査を経ているため、マルウェアが混入しにくい仕組みとなっています。
シェア拡大やサイバー攻撃の巧妙化により、Macを狙う攻撃も増えています。OSやアプリの脆弱性を突いた攻撃、Web経由やメール経由のマルウェア感染も確認されています。
標準のセキュリティ機能(Gatekeeper、XProtectなど)は強力ですが、未知のマルウェアやゼロデイ攻撃には対応しきれない場合もあります。実際に、Apple自身も定期的にセキュリティアップデートや脆弱性修正を行っています。
セキュリティソフトの導入やOS・アプリの最新化、怪しいサイトやメールのリンクを開かないなど、ユーザー自身の対策も重要です。
先ほど、NHKで損保ジャパンの情報漏洩事故について報道が出た。
1750万件というのは、国内の漏洩事例のなかでは5指に入るくらい、かなり大きい規模だ。
もっとも、マイナンバーやクレカ・口座情報は漏洩しなかったようなので、影響度で考えるとそこまで大きくないと見ることもできる。
この事例を眺めていて面白いと感じたポイントが2つあったのでずらずらと書いた。
不正アクセス自体は4/17~4/21にかけて発生したようだ。その後、4/25に損保ジャパンが第一報を出している。
(https://www.sompo-japan.co.jp/-/media/SJNK/files/news/2025/20250425_1.pdf)
おそらく、第一報の後に調査やら金融庁への報告を行い、再発防止をとりまとめ、金融庁に再度報告、それから今回のリリースといった流れだろう。
流出情報の特定に時間がかかりそうなことを踏まえると、大企業にしてはそれなりにスピード感のある対応のように思える。
※筆者は損保での経験はないが、銀行や生保のシステムに携わった経験があり、金融システムの複雑性についてある程度勘所がある。そのため、今回のような事例で被害件数や他システムへの影響などを調べるのにかなり手間がかかりそうで、1か月ちょっとで正式発表まで持って行けたのはかなり汗をかいただろうと想像している。
気になったのはこのポイント。「指標管理を主としたサブシステム」とは、データ分析やBIを行うためのシステムのように見える。
こんなシステムに生の個人情報を大量に入れるわけはないので、おそらくこのサブシステムへの侵入を土台に、他システムやDBへアクセスされた(水平移動)と見るのが妥当ではないか。
「損保ジャパン 指標管理 システム」でGoogle検索するとそれらしきシステムの紹介が2つ出てくる。
こちらは今年3月に日経に載った、営業社員の活動管理システムだ。システムの内容はよくある行動管理系のもので目新しさはない。
営業管理系のシステムというのは基本的に社内で完結するため、情報漏洩のリスクは低い。社内NWからしかアクセスできないよう設計するのが一般的だからだ。
今回のケースはこちらのシステムではないか。ページ右下に「「SOMPO Report」の提供開始」とあり、”保険代理店自身が指標やアンケート結果を管理・確認できるツール「SOMPO Report」の提供を開始しました。複数の指標の総合的な分析に加え、お客さまアンケート結果をタイムリーに確認できることで、お客さまの声に基づく保険代理店の業務改善・品質向上を支援しています。”と書かれている。
SOMPO reportで検索すると代理店が画面をアップロードしてくれている。俺が心配することじゃないけどこれってWebにアップして大丈夫なのか?
https://lifesupport.agency/download/kpi-kanri.pdf
これを見るに、お客様アンケートの結果を集計して代理店活動にフィードバックするようなシステムに見える。
生の個人情報をこのシステムに保管しているかは不明だが、アンケートの集計に当たり契約者情報を参照しているのだろう。今回は、このシステムへの不正アクセスが行われ、その後にこのシステム自体の参照権限を用いるなどして個人情報が抜かれたのではないだろうか(現時点で公表されている情報は何もないため、これは妄想だ。不正アクセスの手段というのは非常に多岐にわたるので、これ以外の手法である可能性も全然ある)。
保険になじみのない人向けに説明すると、日本の大手損害保険は代理店方式で商売をしている。保険の提供や保険金の支払元は保険会社だが、保険を消費者(業界では契約者と呼ぶ)に販売するのは代理店だ。
損害保険と言えば自動車保険が最も有名だが、自賠責でも任意でも、保険の加入はディーラーや中古車販売業者で行う人がほとんどだろう。この場合、ディーラーや中古車業者が「保険代理店」として保険を売る資格を有しており、販売を代行しているという図式だ。
保険会社と代理店は全く別の会社なので、上記のSOMPO Reportのようなシステムを保険会社から代理店に提供する場合、インターネット経由でアクセスさせることが多い。このとき、セキュリティ対策をきちんとしないと不正アクセスされてしまうリスクが多いというわけだ。
余談だが、普通は代理店向けに保険会社が総合窓口的なシステムを提供し、その中の1メニューとして各システムが存在するという方式が一般的だ。ただし、保険というのは非常に情報システムが多く、1人のユーザーに対していくつもの異なるWebページを異なるユーザー情報で利用させるような仕組みがまだまだ残っている。SSOは一部分だけ導入済みというのが実情だ。更に脱線するが、保険代理店というのは複数の保険を扱うことが一般的だ。東京海上、損保ジャパン、三井住友海上、あいおい同和の大手4社に加えていくつか扱っているというケースが多い。それぞれの保険会社が複数のシステムに個別のIDを設定するため、代理店が業務全体で管理するユーザー情報が膨大になって業務を圧迫している。早く何とかしてほしい。
2024年10月に金融庁が「金融分野におけるサイバーセキュリティに関するガイドライン」(https://www.fsa.go.jp/news/r6/sonota/20241004/18.pdf)をリリースしたのは業界関係者なら記憶に新しいだろう。保険業界を含む金融分野の情報システムについて、実施するべきサイバーセキュリティ対策や管理方針をまとめたものだ。
メガバンクや証券会社、カード会社、保険会社はこのガイドラインへの対応でそれなりに手間をかけている。今回のインシデントを受け、ガイドラインが更新・加筆されるようなら追加の作業が発生して現場としてはかなり面倒なことになりそうだ。ベンダの立場からすると追加の発注をもらえるのでありがたいところだが……
個社の事故を受けてガイドラインに手を加えるようなことを金融庁がするか?と言われるとそんなことはなさそうな気もする。ただ、今回は件数が大きく、事故の詳細な内容によっては監督官庁として手綱を強める必要を感じるかもしれない。面倒なことにならないといいのだが……
損保ジャパンをはじめとするSOMPOグループの中には、セキュリティベンダも存在する。
「SOMPOリスクマネジメント株式会社」という名前で、脆弱性診断からセミナー、各種セキュリティ製品導入まで手広くやっているようだ。
従業員数は560名。セキュリティ会社としては大きめだろう。参考までに、ラックが2,295名、エムオーテックスが472名、GMOイエラエが302名。
外販事業で知名度が高い印象はないのでグループ会社向けにもセキュリティ診断等を提供しているものだと思うが、今回のシステムの診断とかはやっていたんだろうか。
正直なところAIの登場でマルウェア製作とかゼロデイ攻撃とかが簡単になってるし、侵入されてない/侵入され得ない大企業ってほとんど存在しないのでは?
昔マイクロソフトがひどい目にあったというconconアタックについて説明してください。と質問。
「Conconアタック」というのは、1990年代後半から2000年代初頭にかけて話題になった「SYN flood攻撃」と呼ばれるDDoS攻撃(分散型サービス妨害攻撃)の一種です。~
(以下ずっと長い説明が続くが全部嘘だった。タダで使えるやつだからこんなもんか)
昔マイクロソフトがひどい目にあったというconconアタックについて説明してください。と質問。結構よさそうだったんで下の方の設定から専門的な観点で書けというのをクリック
## ConCon攻撃に関するより専門的な解説ConCon攻撃は、1990年代後半に顕著に見られた、MicrosoftWindows 95/98のファイルシステムにおける脆弱性を悪用した攻撃手法です。本攻撃は、特定の予約語である「CON」を繰り返し使用することで、オペレーティングシステムの挙動を意図せず変更し、結果としてシステムクラッシュやデータ損失を引き起こすというものでした。###攻撃原理** **予約語の濫用:** 「CON」は、DOS時代からデバイス名として予約されていた文字列です。Windowsにおいても、この予約語は特別な意味を持つファイル名として扱われます。** **ファイルシステムの誤動作:**複数の「CON」を含むパス名を指定することで、ファイルシステムが正常に動作せず、無限ループやメモリリークといった異常な状態に陥ります。** **システムの不安定化:**上記の異常状態が深刻化すると、システム全体が不安定になり、最終的にはブルースクリーンエラーが発生し、コンピュータが使用不能となるケースも少なくありませんでした。### 影響と対策ConCon攻撃は、そのシンプルさ故に、悪意のあるユーザーだけでなく、誤って特殊な文字列を含むファイルを作成してしまったユーザーにとっても、深刻な問題となりました。この問題を受けて、MicrosoftはWindowsのセキュリティ対策を強化し、以降のバージョンでは同様の攻撃を受けにくくなりました。** **パッチの提供:**Microsoftは、ConCon攻撃に対応するため、Windowsのセキュリティパッチを随時提供しました。** **ファイルシステムの改善:**ファイルシステムのロジックを見直し、予約語の扱いをより厳密にすることで、同様の攻撃を防ぐ対策が講じられました。** **ユーザー教育:**ユーザーに対して、安全なコンピュータ利用に関する教育が強化されました。### まとめConCon攻撃は、OSのセキュリティ脆弱性がいかに深刻な問題を引き起こすかを示す典型的な事例です。この事件は、IT業界全体にセキュリティ対策の重要性を再認識させ、より安全なソフトウェア開発へとつながる契機となりました。***技術的な視点から見た特徴**** **バッファオーバーフローとは異なる:** ConCon攻撃は、一般的なバッファオーバーフロー攻撃とは異なり、特定の予約語を悪用することで、意図しない動作を引き起こす点が特徴です。** **ファイルシステムレベルの攻撃:**攻撃対象がファイルシステムであるため、OSの根本的な機能に影響を与える可能性があります。** **単純だが効果的な攻撃:** 複雑な技術を必要とせず、誰でも簡単に実行できる点が特徴です。***現代における教訓**** **ゼロデイ攻撃の脅威:** 未知の脆弱性を突くゼロデイ攻撃の危険性は、いまだに高い。** **継続的なセキュリティ対策:**OSやアプリケーションのアップデートは、セキュリティ対策の基本。** **ユーザーのセキュリティ意識向上:**パスワード管理やフィッシング対策など、ユーザー自身がセキュリティ対策を意識することが重要。***キーワード:** ConCon攻撃,Windows 95/98,ファイルシステム,予約語,ブルースクリーン,セキュリティパッチ,バッファオーバーフロー,ゼロデイ攻撃この説明は、より専門的な用語を用い、技術的な背景についても言及することで、ConCon攻撃の性質をより深く理解できるように記述しました。
(何も指定しなかった場合フツーに当時の攻撃コードみたいなサンプルを出したのですげーなお前と思った)
昔マイクロソフトがひどい目にあったというconconアタックについて説明してみてほしい と質問
「Conconアタック」というのは、実際には存在しないもので、インターネット上での都市伝説やジョークの一種です。マイクロソフトが「ひどい目にあった」という話は、フィクションであり、実際には起こっていません。このようなジョークは、インターネット上で広まりやすく、時には誤解を招くことがありますが、基本的にはユーモアを提供するためのものです。もし他に興味がある話題や質問があれば、ぜひ教えてください!
(なかったことにしやがった。お前最高だよ)
私はプロではないのでわからないので、間違っているのは当たり前だと思って読んでください。
個々人のエンジニアの能力がとかクレジットカードがとかは基本関係ないという話です。
(関係なくてもパスワードを使い回している場合は、同じパスワードを使っているサービスのパスワードはすぐ変えるの推奨)
私は長年社内システムの奴隷をやって参りました。現在のクラウドになる前のサーバも触って参りましたので、その辺りからお話しをさせてください。
サーバーというのは、簡単に言うとシステムを提供しているコンピュータです。
貴方が触っているコンピュータシステムのネットワークの向こう側にいます。この増田も増田のサーバーというのがいて、私たちにサービスを提供してくれています。
しかし、このサーバ、どんなイメージを持っていますか? でっかい黒い冷蔵庫?ちかちか光るロッカー? それともバーチャルのネットワークで画面上に写されるものでしょうか。
サーバーといっても、実4形態ぐらいあるのです。私もチョットワカルぐらいなので間違っていると思いますが、まずは理解する為に簡単に説明させてください。
と言う段階があります。
ニコニコ動画のサービスはどうかというと、色々な情報を得ると、④を使いながら③にする途中で、まだ②が残っている、ということのようですね。
これらの使い分けについてですが、最近は自社でサーバを持っていると自分たちで管理しなければならなかったりして大変なので、できるだけ②から③、できたら④に持っていきたいと言うのが世の中の流れです。それでも②はのこりますが、最小限にしていく方向。
現在は、②のシステムがだけがやられたように、セキュリティ的にも預けた方が望ましいと言われています。
今回も、自社で管理している部分が攻撃されました。特にクレジットカード情報が漏れていないと何度も言われているのは、そこを自社で管理せずに専門業者に任せていたことが大きいわけです。
この流れをまずは頭に入れましょう。
さて、メールを扱ってるサーバーと、売れた商品をバーコードでピッとして管理するシステムは全く別でどちらかがハッキングされたからといってもう一つもされるこことはありません。これは何故かと言うと、それぞれを細かくたくさんのシステムや仮想サーバに別けた独立なシステムになっているからです。
さらにKADOKAWAのようにサービスを外部に展開してる会社の場合、外部向けのシステムと内部向けのもの(バックオフィス)で必要な機能が異なるので、部署が異なるのと同じように違う仕組みになっているはずです。ただし、物理的にどこにサーバがあるかなどはあまり関係がありません。
しかし、こうなると小さなサーバがたくさんたくさんあると言う状態になって管理が大変です。
利用者の視点にしても、システムごとにログインするための情報が別々だと非常に使いづらいですよね。会社で部屋ごとに別々の鍵がついていて、じゃらじゃら鍵束を持って歩くような状態は面倒です。
すると、どうするかというと、これらをまとめて管理するシステムというものが作られます。
これを「システム管理ソフト」と「認証システム」といいます。これらが全体に対してユーザ認証や、サーバが正常に動いているかどうかの管理を提供する事で、たくさんのシステムの管理を効率化するのです。
企業の警備室に機能を集約するようなものです。ですが、ここが要になっていて、破られると全ての鍵が流出してしまうということになるわけです。
出てきた情報から見ると、この管理するシステムと認証するシステムがやられたと思われます。
また、その前の前段はVPNと言う仕組み(ネットワークを暗号化して安全に隔離するもの)が攻撃されて破られたのではないかと推測しています。
これは近頃猛威を振るっている攻撃で、業務用で多く使われているVPN装置の脆弱性(弱点)が狙われて、多数の問題が起きています。当然脆弱性を修正したプログラムは適用されていると思いますが、次から次へと新たなセキュリティホールが見つかる状況であり、匿名のアングラネットでは脆弱性情報が取引されているため、訂正版のプログラムが出る前の攻撃情報が用いられた可能性があります。(これをゼロデイ攻撃といいます) あくまでも推測ではありますが。
個々のシステムは独立しています。ですが、こうなってくると、今回はシステム全体が影響を受け、さらにどこまで影響が及んでいるかの分析が困難なレベルだと言われています。
ここまで広範囲に影響するとすると、管理と認証とVPNが攻撃を受けてやられたとみるべきでしょう。
また、ここが破られていると、クラウドシステムにも影響が及ぶケースがあります。
一時期「クラウド」というとストレージの事を言うぐらい、クラウドストレージが当たり前になって、自社運用ファイルサーバは減りました。これは今では危険と認識されているほかに、こちらの方が安く利便性も高いからです。
それ故に、クラウドストレージ、たとえばSharePoint OnlineやGoogleDrive、Boxなど外部のシステムに置くようになっています。
オンプレミスの認証サーバが破られているので、その認証情報を利用してクラウドにアクセスできてしまったものだと思われます。言わば、鍵を集めて保管してあった金庫がやぶられるようなもの。
通常、クラウドシステムはそんなに甘い認証にはなっていません。例えば多要素認証といってスマホなどから追加で認証すると言うような仕組みがあります。貸金庫に入るとき、自称するだけでは入れず、身分証明書とパスワードの両方が必要なうなものです。
また、日本企業なのに突然ロシアからアクセスされたりすると警報をだして遮断する仕組みがあります。
とはいえ、いちいちクラウドにアクセスする度に追加認証をしていると大変で、面倒クサいと言う声が上がりがちです。
そんなときに行われてしまうのは、自社のネットワークからアクセスするときは、認証を甘くすると言う仕組みです。
つまり、ネットワークは安全だという仮定の下においてしまうわけですね。自社の作業着を着ている人なら合い言葉だけで、本人確認なしで出入り自由としてしまうようなものです。
ところが今回は、ここが破られてしまって被害を受けている可能性があります。自社の作業着が盗まれているので、それを着られてしまったので簡単に入れてしまったようなもの。
また、社内システムからデータを窃盗するには、どのシステムが重要かを判断しなければなりませんが、クラウドサービスだと世界共通であるため、一度入られてしまうと慣れ親しんだ様子で好きなようにデータを窃盗されてしまうわけです。
上記のことを踏まえて、KADOKAWAの展開してるサービス自体や、そこに登録しているクレジットカードは「おそらく」大丈夫です。パスワードも「ハッシュ化」という処置を経て通常は記録されていません。
ただ、パスワードを使い回している方は、その事実とは別にそもそも危険です。パスワード変更をおすすめします。さらに、ハッシュ化をされていても、時間をかければ色々な方法でパスワードを抜き出す事も不可能では無いことも忘れずに覚えておきましょう。
しかし、単なるユーザー、お客さんではなく、KADOKAWAと会社として関わってる人や従業員、取引先で色々な書類等出した人は、既に情報が窃盗されていて、そこから今後も追加で情報が出回る可能性があります。
一方で、分かりやすい場所に保存されていたわけではない情報(システムのデータベース上にだけ入っていたものなど)は、センセーショナルな形で流出したりはしないのではないかと予想しています。
犯人が本当に金が理由だとするならば、データを分析するような無駄な事に労力を割かないためです。
腹いせで全てのデータを流して、暇人が解析する可能性はあります。
ありますが、犯人はコストを回収しようとするので、これらの情報を販売しようとします。売り物になる可能性のものをただ単に流したりもしづらいのではないかと思っています。
もちろん、油断はするべきではありませんし、購入者が現れるとすると購入者は具体的な利用目的で購入するため、より深刻な被害に繋がる可能性も残されています。
犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
また、周到にソーシャルハッキング(オレオレ詐欺のようになりすまして情報を搾取するなどの方法)や、このために温存したゼロデイ攻撃(まだ誰も報告していない不具合を利用した攻撃)を駆使され、標的型攻撃(不特定多数ではなく、名指して攻撃すること)をされると、全くの無傷でいられる企業や団体は、恐らく世界中どこにも存在しません。
それは大前提とした上で、敢えて言うならば、どちらかというと、経営判断が大きいと思われます。
ニコニコ系のサービスと、KADOKAWAの業務システムと2つに別けて話しをしましょう。
ニコニコ系のサービスは、現在、クラウドにシステムをリフトアップしている最中だったと思われます。先日のAWS(クラウドサービスの大手企業)の講演会で発表があったようにです。
ですが、この動きは、ニコニコのようにITサービスを専門にする企業としては少し遅めであると言わざるを得ません。
これは何故かと言うと、ニコニコ動画というサービスが、日本国内でも有数の巨大なサービスだったからだと思われます。特殊すぎてそれを受け入れられるクラウドサービスが育つまで待つ必要があったと思われます。
それが可能になったのはようやく最近で、動画配信系はクラウドに揚げて、残りを開発している最中だったわですが、そこを狙われたという状態ですね。
ただ、厳しい見方をするのであれば、その前に、クラウドに移行する前に自社オンプレのセキュリティ対策を行っておくべきだったと思います。結果論ですが。
それをせずに一足飛びでクラウドに移行しようとしたというのだとは思います。確かに一気に行けてしまえば、自社オンプレに施した対策は無駄になります。コストを考えると、私が経営者でもそう言う判断をしたかも知れません。
KADOKAWAの業務システムですが、これはITを専門としない企業であれば、オンプレミス運用(②番)が多く残るのは普通です。
何故かと言うとシステムとは投資と費用なので、一度購入したら4年間は使わないといけないからです。そして自社向けであればそれぐらいのサイクルで動かしても問題はありません。
しかし、それ故に内部的なセキュリテ対策の投資はしておくべきだったと思います。
以上の様にエンジニアのレベルととかは関係ありません。基本的には経営者の経営判断の問題です。エンジニアに責任があるとすれば、経営者に対して問題点を説明し、セキュリティを確保させる事ができなかったと言う所にあるでしょう。
ですが、パソコンのことチョットワカル私として、想像するのです。彼らの立場だったら…自社グループに経験豊富なエンジニアがいて、一足飛びにクラウドへリフトアップができそうなら、既存の自社サービスのセキュリティ変更に投資はしないと思います。
逆に、パソコンに詳しくなく、自社部門だけでは対応が難しく、SIerの支援を受けつつやらなければならないと言うのならば、SIerは固いセキュリティの仕組みを付けるでしょうし、システムごとにSIerが異なることから自然とシステムは分離されていたでしょう。
そして減価償却が終わった者から徐々にになるので時間がかかることから、昨今の事情により、セキュリティ変更に投資をしてからスタートしたかも知れません。
ただし、繰り返しになりますが、犯人が悪いからやられたのです。レベルが低いからとか関係ありません。
(おそらくは)社内のシステム管理を、自社でできるからと言って一本化して弱点を作ってしまったのは不味かったと思います。
先ほど述べたように、高度化していく手口でシステムへの侵入は防ぐことが出来ません。
なので、システムは必ず破られると考えて、それ以上被害を広げないこと、一つのシステムが破られたからと言って他のシステムに波及しないようにすることなどを意識する必要がありました。
これは物理的な話しではなくて、論理的な話です。例えば物理的に集約されていてもちゃんと別けていれば問題ないし、物理的に分散していても理論的に繋がっていたら同じです。
すごく簡単に言えば、管理するグループを何個かに分けておけば、どれか一つが破られても残りは無事だった可能性があります。
とりあえず今まで出てきた内容からするとニコニコとかその他のKADOKAWAの外部的なサービスは人員的にも予算的にも全然関係ない感じ
結局社内のITシステムに十分な投資(経営陣のトレーニングまでを含めた)をしなかったという月並みの話なんですかね
Permalink |記事への反応(12) | 21:43
VDI(仮想デスクトップ)代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説する本連
載「テレワーク時代のWeb 分離入門」。 第1 回、第2 回でテレワークとWeb 分離の方式の特徴を解説しました。
今回のゴール
用途の観点で各方式を分類すると下図のようになりますが、どんな組織にも共通する「おススメの方式」はあ
りません。
(出典:ネットワンシステムズ)
今回は、読者の皆さんが自組織にマッチする方式を選定できる状態をゴールとして、「結局、 どれを選べばいい
のか」という疑問に回答します。
フローチャートで分かる、
VDI代替ソリューションの分類や、それぞれの仕組み、検討ポイントなどを解説する連載。最
終回は、VDI代替ソリューションの方式選定における 4つのポイントを解説して、各方式を比
較します。
(2021 年03 月04 日)
26 →目次に戻る
これまで多くのユーザーと会話してきた経験から、おおよそのケースで次の4つのポイントに論点が集約されます。
これらを基に、方式選定に使えるフローチャートを作ってみました。
(出典:ネットワンシステムズ)
「ブラウジングだけを安全に実行できればよいのか、それともブラウザ以外のアプリも安全に利用させたいのか」
テレワーク用途では、前者でよければセキュアブラウザ方式に、後者でよければそれ以外の方式にふるい分け
できます。Web 分離用途では、前者が仮想ブラウザ方式、後者がそれ以外の方式となります。
27 →目次に戻る
【ポイント 2】データを処理するマシンがローカルマシンで大丈夫かどうか
次に、「情報漏えい対策をどこまで強固なものにしたいか」という観点での要件です。
プログラムの実行環境が手元のPC となる場合、データも手元のPC に保存されます。つまり、手元のPC を
「ディスクを暗号化している、生体認証を有効にしている、だから大丈夫」と言い切れるならいいかもしれません
が、「技術の進歩によって将来的に突破されるかもしれない」といった懸念を払拭(ふっしょく)できない場合、仮
想デスクトップ方式やリモートデスクトップ方式のように、遠隔にあるマシン上で作業できる仕組みを導入する必
要があります。
その一方、将来の懸念よりも、例えばコストなど別の部分を重視したい場合は、会社PC 持ち帰り方式(VPN
なお一般的に、リモートデスクトップ方式とVPN方式はテレワーク用途のみで導入されますが、仮想デスクトッ
プ方式とアプリラッピング方式は、テレワークとWeb 分離、どちらの用途にも利用できます。
【ポイント 3】データを処理するマシンが物理PC で大丈夫かどうか
【ポイント 2】で「遠隔にあるマシン上で作業させたい」となった場合は、3 番目の検討事項として、業務継続
性を考えるとよいでしょう。
リモートデスクトップ方式の場合、社内の自席にPC が物理的に存在することが前提です。そのため、自席PC
一方、仮想デスクトップ方式の場合、マシンが仮想化されており、多くの環境において仮想マシンが動作してい
るサーバ群はn+1 などの方式で冗長化されています。そのため、非常に強い障害耐性があります。
障害耐性を高めたい場合は、仮想デスクトップ方式がベストです。業務が停止するなどのリスクを運用でカバー
できる場合は、リモートデスクトップ方式を選ぶことになるでしょう。
28 →目次に戻る
【ポイント 2】で「手元のマシン上で作業させてもOK」となった場合、3 番目の検討事項として、再度情報漏
えい対策について考えます。【ポイント 2】では、PC ごとデータが盗まれてしまった場合を想定しましたが、ここ
手元のPC でプログラムを実行するということは、つまり「端末の脆弱(ぜいじゃく)性を突いたゼロデイ攻撃
を受けるリスクが存在する」ことです。脆弱性を突いた攻撃を受けると、多くの場合、情報を抜き取られてしまい
ます。
従って、例えばVPN方式を導入する場合、「EDR(Endpoint Detection andResponse)で脆弱性攻撃対
策を実装する」「端末のロックダウン化によってデータを保存させない」「実行できるプログラムを制限する」「屋
外の公衆Wi-Fi を利用できないように制限する」「多要素認証を導入する」などの対策を併せて導入する必要が
あります。
このような徹底した対策を継続して運用できる組織に限ってはVPN方式も有効な選択肢ですが、筆者としては
VPN方式は安価かつ容易に導入できるので、昨今のテレワーク需要が高まる状況では、多くの組織で上記のよ
うな徹底した対策を取らずに導入してしまったと思います。取 り急ぎの暫定処置としてVPN方式を導入してしまっ
た場合は、これを機に腰を据えて見直してみてはいかがでしょうか。
• 参考リンク:日本経済新聞「在宅時代の落とし穴国内38 社がVPN で不正接続被害」
また、国内に限った話ではありませんが、Verizon Communications のレポートによると、やはりVPN トラ
フィックが増加傾向にあるようです。VPN方式の普及に伴って、悪意ある攻撃者による被害数も増加すると思い
ます。
• 参考リンク:Verizon Communications「VerizonNetwork Report」
29 →目次に戻る
ここまで、要件をベースとした考え方を記載しました。選定すべき方式が大まかに見えてきたところで、ここか
らはそれぞれの方式を横に並べて、共通の項目に沿って比較します。
この比較によって、方式選定の次のステップとなる製品選定において「見落としがちな落とし穴を見つけて対策
を考える」といった検討を具体的に進めることができると思います。
以降の表の見方を説明しておきます。緑塗りのセルがポジティブな内容、赤塗りのセルがネガティブな内容、黄
塗りのセルはどちらともいえない内容です。また、それぞれの表の下部には、主に赤塗りのセルに関する特記事項
なお単純に、緑塗りセルの多い方式が優れているわけではありません。対象業務の内容やコスト、運用体制、セ
キュリティ、業務継続性など、いろいろな観点からトレードオフで方式を選定することになります。
できる作業
(出典:ネットワンシステムズ)
仮想ブラウザ方式とセキュアブラウザ方式では、例えばファイルサーバの操作といった、ブラウザ以外のアプリ
は使えません。多くの場合、Windows の統合認証などWindows に依存する機能も利用でません。
また、印刷に関しても確認が必要です。製品ごとにサポート内容に差が出るポイントなので、方式選定の次の
30 →目次に戻る
(出典:ネットワンシステムズ)
会社PC 持ち帰り方式(VPN方式)とリモートデスクトップ方式は、端末のアップデート、故障時の交換など、
端末台数が増えるに従って、それに対応できる人員数を確保する必要があるので、運用コストが増大する傾向に
あります。
その半面、仮想デスクトップ方式は初期コストが高額ですが、メンテナンス対象はマスターOS のみであり、仮
VDI の運用ナレッジが豊富なSIer に依頼することで、作業内容の質を落とさずにコストを圧縮できる効果が期
待されます。
(出典:ネットワンシステムズ)
仮想ブラウザ方式やアプリラッピング方式、セキュアブラウザ方式は、「Web ページが正常に表示されるかどう
か」などの動作確認を、あらかじめ実環境で実施しておく必要があります。この動作確認は、運用フェーズにおい
また、特に仮想ブラウザ方式は、「ブラウザタブを開き過ぎるとサーバ基盤の負荷が高騰してWeb ページの閲
覧速度が急激に低下する」といったサイジング関連のトラブルが発生しやすくなります。
31 →目次に戻る
(出典:ネットワンシステムズ)
マルウェア対策については、会社PC 持ち帰り方式(VPN方式)やリモートデスクトップ方式、仮想デスクトッ
プ方式は、EDR やアンチウイルスソフトの導入などが別途必要です。一方、仮想ブラウザ方式やアプリラッピン
グ方式、セキュアブラウザ方式は、「 利用終了後に環境ごとデータを削除する」「exe形式のファイルの実行を禁
重要情報の盗聴については、リモートデスクトップ方式や仮想デスクトップ方式、仮想ブラウザ方式(画面転送
型)は、画面転送型なので、暗号化通信が仮に復号されたとしても、実データが盗聴されることはないという強
みがあります。
最後に、不正アクセスについては、多要素認証システムと組み合わせるなどの対策がどの方式でも必要です。
ログインに関わる操作が増えることで利便性は低下しますが、昨今の状況を鑑みると、多要素認証の導入は必須
といえます。
おわりに
これで 3 回にわたる連載は終了です。いかがだったでしょうか。
セキュリティと利便性はトレードオフの関係にありますが、筆者は「仮想デスクトップ方式」と「仮想ブラウザ
仮想デスクトップ方式と仮想ブラウザ方式は、「 導入によってセキュリティレベルを大きく低下させることはな
い」という点が最大のポイントです。その上で、仮想デスクトップ方式には「従来のクライアントOS と同じよう
に利用できる」という汎用(はんよう)性の高さがあり、これが他の方式より優位な点となっています。一方、仮
想ブラウザ方式は、用途が限定されるものの、ユーザーにとっては利便性が高く、初期コストの観点では仮想デス
はてなブックマーク - Twtterに「1ツイート3万5000字」可能なバグ。発見者はフォロワーのTL崩壊招いたとしてアカウント停止 - Engadget 日本版
ゼロデイ攻撃でそれをやられてお気に入りページがクソ重くなって開かなくなったりしたとするじゃん。スクロールバーが米粒になる系の。
で該当アカウント一時停止復旧の流れ。
そしたら
なんてとりあえずの解決に小一時間かかるだろって感想じゃなくて
OAuth ディスの記事を酒の勢いで訳してみたゾ。前半はつまらないから、「章のまとめ」か、それ以降だけ読むといいゾ。なぜか後半が切れてた。こっちだけでいいゾanond:20160426145507anond:20160426150324
http://insanecoding.blogspot.com/2016/04/oauth-why-it-doesnt-work-and-how-to-zero-day-attack.html
認証 (authentication:本人確認) と承認 (authorization: 権限付与) のシステムを設計し、API を規定し、複数の異なるシステムを統合するために用いられる提案をまとめたものです。
OAuth には色々な種類があり、version 1.1a や 2、その各部の上に他の規格を乗せたものなどが存在します。世の中に出回っている数々の実装によって、具体的な利用状況は大きく異なります。
前にもOAuth について書いたことがあり、たくさんの反響をいただきました。前回の記事に対する批判の一部を避けるため、今回の記事について先に断っておきたいのですが、この記事はOAuth の使われる典型的な場面に焦点を当てており、論じられる点のほとんどは、何らかの方法でOAuth を利用する大手サービスのほとんどすべてに当てはまるということです。
言いかえると、OAuth を用いているあらゆるプラットフォームが壊れているとは限りません。OAuth にはバリエーションが多いうえに、2.0 だけに限っても 76 ページに渡るパターンがありますので、OAuth に基づいた何かに適合していながらもセキュアであり、使っても問題ないものは存在しうると言えます。ですから、あなたのお気に入りのOAuth 実装や設計が、ここで論じられる問題の一部または全部を免れていることもありえます。確率は低いですが。
また、OAuth を使っているものの中には規格を誤用しているものがあるとか、OAuth はその使い方を強制しているわけではないとか言う人もいるかもしれません。どちらにせよ、ここでは特定のOAuthベースの規格について述べるのではなく、現状で大手がOAuth をどう利用しているかについてを、それが規格に適っているかどうかに関わりなく論じるつもりです。こうすることで、多くの読者に影響を与えることになるでしょう。危険な方法でOAuth を使っているサービスの利用者であっても、また自らOAuthベースのサービスを管理していて、他のみんなが作っているのを真似てプラットフォームを作ろうと思っている人だとしても関係があるのです。
この記事は長くなりますし、言ってみればほとんどの章はそれ自体でひとつの記事として十分なほどの話題を扱いますので、大まかな流れをご説明しておきましょう。
この記事は、現在OAuth 業界でおこなわれていることを調査した結果のまとめです。OAuth を使う製品のすべてにこの記事のあらゆる点が当てはまるというのではなく、危険だったり無価値だったりするサービスの背後に見つかった慣例や根本原因を紹介する記事です。
この前書きのあとは、まずOAuth のセキュリティ欠陥を分析することから始めるつもりです。こうした欠陥の中には、セキュリティのコミュニティでよく知られていて、書籍などですでに分析されている一般原則が当てはまるものもあります。しかしこの記事では書籍化されていないケースも扱いますし、有名な欠陥についても、平均的な開発者および責任者に理解しやすく、対策の必要性がはっきりするように工夫するつもりです。
その後は、OAuth の主要素が一般的に言ってどのように実装されており、そうした普通の実装がどのようにサービスを使いものにならなくするのか、すなわちそのサービスで達成できることを極度に、不適切に、かつ意図に反して低下させてしまうのかを分析します。ごく一部のケースでは回避策の足がかりになるかもしれないテクニックについて論じますが、そういうのを実装する馬鹿らしさにも注目します。こうした記述の中では繰り返し何度も、OAuth を使う人たちがどれほど自分と自分のビジネスにとって損なことをしているのかが説明されます。
最後に、OAuth が適切に使われうる数少ない場面と、すでに利用されているOAuth の代替品を簡単に取り上げます。代替技術に関する調査の結果を提供するつもりですが、その中にはAmazon のような大企業がセキュアで使いやすく信頼性の高い API を実現するために何をしているかの報告も含まれるでしょう。
いま普通に使われているかたちにおけるOAuth の欠陥の幾つかを悪用すれば、大手サービスに対して強力な攻撃を仕掛けることができます。OAuth に対する攻撃は何も新しいものではありません。IBM やOracle を含め、懸念した IETFメンバーがOAuthベースのサービスに対する攻撃を 50クラスも記述した 71 ページもの文書を 3 年以上前に出したように、また筆者も前回の記事でこうした点のいくつかを議論したようにです。それにも関わらず、OAuthベースのシステムの主要なセキュリティ欠陥は非常に蔓延しています。
筆者は、いくつかの大手企業の役員や開発者に、そこのOAuthベースシステムが抱えるセキュリティ欠陥を指摘したことがあります (そのうちのひとつは 4 年前のことです) が、全員、自社システムを修正するために一切何もしませんでした。まるで、OAuth の人気度からして、他の現実的な解決策をひとつも聞いたことがなく、それゆえにOAuth が最もセキュアな選択肢に違いないと決めてかかっているようです。どうも、OAuth のコア原則に対する攻撃のデモを文書化した情報も、聞いたことがないか、肩をすくめて無視するかしているようです。そこで、この情報をもっと広く拡散することによって、影響のある人たちの尻を蹴りとばしてあげたい、そしてサービスを設計あるいは管理している人たちにモーニングコールの役割を果たしてあげたいと願っています。
というわけで、OAuthベースの何かを提供あるいは利用するご自分のサービスを調べて、こうした欠陥の一部あるいは全部が存在することに気づいたなら、どうぞ責任をもってこの情報を取り扱ってください。ご自分のサービスを適切にアップデートしたり、関係する問題に対応するようビジネスパートナーに適切な圧力をかけたりしてください。
ここで言及されている情報やリンクされている情報は今のところ既存のサービスに悪用できるかもしれませんが、どうぞ責任ある行動をとり、他人のものを破壊するのではなく改善することを目指してください。この記事は、自社サービスを不適切に実装している人たちへのモーニングコールのつもりで、その改善を促すために書いているのであり、悪用したがっているハッカーたちのハウツーもののつもりではないのです。
この記事では、ふたつのシナリオに注目して、その場面でどのようにOAuth が組み合わされているのか、そしてなぜうまくいかないのかを検討します。記事を通して何度もこれらのシナリオに戻ってきますので、頭に入れておくことは大事です。
まず、Exciting Video Service (略して EVS) というサービスを思い描いてみましょう。ユーザが動画をアップロードしたり友人と共有したりできて、完全公開にしたりアクセス制限を設定したりできるようになっています。また EVS は動画のアップロードや削除、およびだれが視聴できるかの権限管理にOAuthベースの API を提供しています。
ただ、例としてこの想像上のサービスに焦点をあてますが、論じられる問題はあらゆるサービスにも当てはまります。ファイルであろうと文書ストレージであろうと、カレンダー管理やオンライン会議、ディスカッション・グループ、はたまたリソース管理であろうとOAuthベース API を提供する他のいかなるものであろうとです。また、筆者は本当にどの特定の動画サービスのことも言っていないということを覚えておいてください。問題点の一部あるいは全部は、OAuth を使っている既存の動画サービスに当てはまるかもしれませんが、EVS がそのサービスのことを指すわけではありません。どれが当てはまるかは読者への練習問題ということにしてもいいですね。
ひとつめのシナリオとして、ビデオカメラの製造会社を想定しましょう。そのビデオカメラには、録画した内容を EVS にアップロードする機能のあるソフトウェアを付属させたいと思っています。つまり、ユーザがビデオカメラを自分のコンピュータに接続して、その独自ソフトウェアを開き、ビデオカメラからアップロードしたい動画を選んでしばらくすると、それが EVS にアップロードされているというものです。
ふたつめのシナリオとしては、ある中小企業が職員用に EVS で 50アカウントを購入し、全職員が動画をアップロードして同じ部門の職員と共有できるようにする、ということにしましょう。この会社は A Friendly Custom Platform (AFCP) というソフトウェアで職員と所属部門の管理をしており、この AFCPサービスを EVS に統合したいと考えています。望んでいるのは、管理者が AFCP を使ってだれかを営業部門に配置したら、その職員が自動的に営業部門のメンバー所有の動画すべてに対するアクセス権を取得するということです。営業部門からいなくなった人には逆のことが起こるようにもしてほしいと思うはずです。
トークンベースの認証システム (OAuth のコア) が現在よく利用されている最大の理由のひとつには、「適切に実装されれば」サードパーティのアプリやサービスに各ユーザの認証情報 (パスワード等) を提供しなくて済むという点があります。サードパーティに個人ユーザの認証情報を渡すのは、以下の理由から望ましくありません:
上記の問題点は、OAuth だけでなくあらゆるトークンベースの認証システムでも回避できます。よくOAuth の強みとして挙げられていますが、独自というわけでは全然なくて、他にも同じ強みを実現しつつOAuth の弱点のない選択肢はあるのです。
さて、確固とした土台に基づいてはいるものの、「普通の実装における」OAuth は、上記の問題を回避しようとして以下のような手順に沿ってシステムに情報を提供します:
このトークンはユーザの認証情報ではありませんから、そしてひとりのユーザとひとつのアプリの組み合わせだけに有効で、指定された権限しか持たず、あとから破棄されるようになっていますから、きちんと前述の問題点を回避しているように思えます。しかし実際には、ちゃんとした土台を核として持っているにも関わらず、OAuth の普通の実装で使われているこのフローは、上に挙げた問題すべてに対処しているとは言えません。
この設計はそもそも危険なスタート地点から始まっています。セキュアなプラットフォーム設計の第一原則は、危険な地点から始まったものは既にダメ、逆転不可能、ということです。手順 1 のせいで、EVS 自体ではなく EVS を利用するサービスから始まっているので、ユーザは最初の一歩からして中間者攻撃を受けたような状態にあります。これは、かかってきた電話に個人情報や口座番号などを教えるようなもので、自分の使っているサービスの者だと名乗っていますが、番号が本物かどうか分からなかったり非通知だったり、という場面のコンピュータ版だと言えます。最近はこういう詐欺がたくさんありますから具体例を挙げる必要はありませんね。要点は、接続を開始する相手が信用できなければ、その接続は一切信用できないということです。EVS 自体の側から手順を始めるのでない限り、上に挙げた目標をすべて実現する API 利用のためのセキュアな認証システムは設計不可能です。
(略: 手順 2 で、それっぽいページに誘導すれば認証情報を盗める)
(略: そうした詐欺を企業自体が後押ししているような風潮もある)
(略:スタンドアロンのアプリなら、ログインを詐称する必要すらない)
この種の攻撃は前述のセキュリティ文書で「4.1.4.脆弱性を突かれたブラウザや組み込みブラウザを使ったエンドユーザ認証情報のフィッシング脅威」として分類されています。提案されている解決策は?
クライアントアプリがユーザに直接認証情報を求めることは避けるべきだ。加えて、エンドユーザはフィッシングや良い習慣について教育を受けることもできる。良い習慣は、たとえば信用できるクライアントにしかアクセスしないことだ。OAuth は悪意あるアプリに対していかなる防御策も提供していないので、エンドユーザはインストールするネイティブアプリすべての信頼性に自分で責任を負う。
さらに
クライアント開発者は、ユーザから直接に認証情報を集めるようなクライアントアプリを書くべきではなく、システムブラウザのような信用できるシステムコンポーネントにこの役目を移譲すべきだ。
基本的に言って、OAuth のセキュリティガイドラインは、OAuth を利用する開発者がユーザを攻撃しようとすべきではないとか、悪いことをしてはならないと言っています。外部の開発者が悪いことをしないことに頼るというのは、正気のサービス設計者が依拠するセキュリティモデルではありません。
私の知る主要なOAuthベースのサービスはほぼすべて、ここに概説した手法で攻撃可能です。
OAuth こそセキュリティの新たな金字塔だとお考えの皆さん、目を覚ましてください! 「普通の実装における」OAuth は、始まる前から負けていますよ。OAuth が存在するよりずっと前に実装された数多くのシステムはセキュアで、この問題を効率的に回避しています。残念なことに、あまりに多くのサービスが、せっかくセキュアだったのにインセキュアなOAuthモデルに移行してきました。だれかが開発者や管理者に「OAuth はもっとセキュア」「先取り思考」「将来への投資」とか何とか素敵な (しかし具体性の皆無な)バズワードを並べたてたからでしょう。ほとんどの場合、こうした変更は本当に既存の問題に対応しているのか、あるいは以前のシステムより幾らかでも良くしてくれるのかどうかをレビューすることさえなく実装されています。
OAuthベースのサービス設計でよく見かける間違いは、ブラウザ用に、パラメータのひとつとして client_secret (あるいは同様のもの) を受け取るエンドポイントを提供することです。OAuth の client_id と client_secretパラメータは、基本的に言ってサードパーティのプラットフォーム固有の APIユーザ名とパスワードと等価ですから、EVS の API を利用する開発者だけにしか知られるべきではありません。パスワード同然のものなのですから、client_secretパラメータは「絶対に」ユーザのブラウザを通して送信すべきではありません (ヒント:パラメータ名の中にsecret という言葉が入っているよ)。アプリやサービスのユーザがその client_id と client_secret を見つけることができる場合、そのユーザはそのサービスのふりをすることができ、潜在的には何かイケナイことができてしまうということになります。さらに注意すべき点として、client_secretパラメータを別の名前にするサービスもありますから、ご自分の関係するサービスをよくチェックして、他のパラメータも秘密にする必要があるのかどうかを調べてください。残念ながら、重要な変数が自分の素性をいつも表に出しているとは限らないため、この問題は意外と多く存在しています。加えて、client_id だけ使う認証フローをOAuth の上に乗せるサービスも出てくるでしょう。これには用心してください。特定の状況では、そういう client_id はまさしく client_secret 同然の働きをするのですから。
「普通の実装における」OAuth は、ウェブブラウザを使ってユーザを複数のウェブサイトに移動させるわけで、ひとつのサイトから別のサイトに client_id と client_secret (あるいは同様のもの) を送ってもらう必要があります。そうやって、たとえば AFCP と EVS の間でこれらをやりとりするわけですから、ユーザがブラウザの HTTP ログをモニタリングすれば、本当に見えてしまいます。これはアプリに組み込まれた独自ブラウザ各種でも、単に右クリックすれば何らかのネットワーク・ログ機能を持つ何らかの inspector にアクセスできてしまう場合などには可能です。
EVS と連携した AFCP にこの欠陥があると、AFCP に少しでもアクセス権限のある職員に本来の権限より多い権限を取得させてしまい、本来アクセスできないはずのところに許可が下りてしまう危険があります。別の例では、仮にFacebook がGMail 用のOAuth エンドポイントを利用しているとして、client_id と client_secret の両方がブラウザを通して送信される場合、Facebook のユーザは全員GMail に対してFacebook そのもののふりをすることができてしまうということです。
この問題は、OAuth エンドポイントがユーザのウェブブラウザから平文で client_secret を送ってくることを期待するときにはいつも存在します。あるいはそうする必要があると誤解した API利用者が、埋め込むべきでないところにsecret を埋め込むときもです。この脆弱性が存在している可能性が高いのは、エンドポイントが client_secret (または同等品) と redirect_uri の両方を期待する (あるいはオプションとしてでも受け付ける) 場合です。redirect_uriパラメータは、今回のケースで言うと EVS がユーザをログインさせたあとでそのブラウザをどこに送るべきか指示するために使うよう設計されています。そうやって redirect_uri がエンドポイントへの転送に使われている場合、その処理はユーザのブラウザで実行されることが期待されているわけです。主要なOAuth 文書はどちらも、client_secret と redirect_uri の両方をこうした用途に使うようなケースを指示したり求めたりはしていません。
ざっと検索してみたところ、残念なことに、潜在的に違反の可能性があるそういったOAuthベース API がたくさん見つかります。Google はOAuth の色々な利用方法を提案していますが、その中に、両方を一緒に使うことを広めるフローがひとつあります:
client_secret:開発者コンソールで取得したクライアントパスワード (Android, iOS,Chromeアプリとして登録した場合のオプション)
Citrix もこんな間違いをしています:
(略: 以下、実際に脆弱だと確認したわけではないが、secret と redirect を併記しているサイトが列挙されている。)
Google で 2 分検索しただけでこのリストができました。皆様がもうちょっと労力をかければ、ずっと多く見つかることでしょう。ただし、上記リストは、こうしたサービスのどれかが脆弱だとか、誤用しやすすぎるということを直接に示すものではありません。色々な要素があり、たとえば Zendesk は特にこのケースでは redirect_uriパラメータをリダイレクトに使わないと明言していますし、アプリからエンドポイントを呼ぶときはフル機能版ブラウザではなく curl を使うべきだとさえ書いて、開発者が危険なことをするような誤解を極力避けようとしています。それでも、経験の浅い開発者はこうしたエンドポイントを独自ブラウザで読もうとするかもしれません。さらに、この組み合わせが世に出回っているというだけで開発者の警戒心が下がっていき、経験を積んだOAuthベースのサービス開発者でさえも似たような状況で潜在的にヤバイ誤用を気にせず適用するようになってきています。特に client_secret が別の名前になって、「秘密を守る」という概念が失われている場合はそうです。
サービスがこの点に関して壊れている指標となるのは、人気のある複数のOAuthライブラリがこのサービスでうまく動かないときです。そういうサービスは一般的にいって独自の「SDK」を提供しており、サードパーティの開発者が選んだライブラリではこのフランケンシュタイン的なOAuth が使えないと苦情が来たときにはその SDK を使うよう指示します。こうしたカスタマイズは気付かれないまま進行することも多くあります。開発者の大多数は、SDK が提供されているなら、わざわざ手元のソフトで頑張らずに済ませたいと思うものですから。
この種の攻撃は前述のセキュリティ文書で「4.1.1.クライアントの機密情報を取得する脅威」に分類されています。しかしサーバがウェブブラウザを使用を要求し client_id と client_secret (または似た用途のもの) を同時に渡させるという具体的な攻撃パターンには一言も言及がありません。おそらく、その文書の執筆陣の予想では、こんな馬鹿げたサービスはだれも設計しないだろうし、その API を使う開発者もそれを独自のウェブブラウザや SDK で使ったりはしないだろうと思っていたのでしょう。こうした開発者はOAuth の規格からバラバラに取り出した要素をグチャグチャに混ぜて接着しておいて、自分のプラットフォームがOAuth 本来のセキュリティを保持していると思っています。そのツギハギのせいでどんな新しい問題が入り込むかもしれないのに、そこは一顧だにしません。残念ながら、これが近年のOAuth 業界によくあるやり方で、この既に猛威をふるっている問題は、パレードの参加者がどんどん増えて、人が使っている手法や、使っている「と思う」手法をコピーしていくことで、とどまるところを知らない連鎖になっています。
おそらく、上記のサービスを使っているシステムのうち、この問題のせいで悪用可能なものは多数あることと思います。特にデスクトップアプリでは、コンパイルされたアプリのバイナリから秘密情報がそのまま取り出せることは、サービス側で何も危険なことを要求していなくてもよくあります。Google がOAuth の使い方を多数提供しているうちで、client_secret と redirect_uri を両方受け取るエンドポイントのことが書いてあるのはたったひとつだけだというのは重要な点です。少なくともGoogle の場合、redirect_uri があっても、このエンドポイントをウェブブラウザベースのアプリには推奨していません。しかし、だからといって実際に独自ブラウザでそれを使う人や、このフローを標準的なブラウザ用のエンドポイントにコピーする人が一切いなくなるはずがありません。それに加え、Google は例外なのであって、世の中にはセキュアなOAuthフローを受け入れず client_secret (や同等品) を常に渡すよう要求する愚かなサービスが今も満ちあふれており、そのフローがウェブブラウザを通るときでさえも要求しているのです。さらに悪いことに、こうしたサービスの多くはユーザのウェブブラウザを通して「しか」利用できないのですが、これは後ほど詳述します。
ガンブラー(GENOウイルス、8080)がさらに進化しとる・・・
「スクリプトを無効にしても防げない」、新たな「ガンブラー」出現
セキュリティ企業のラックは2010年3月3日、新たな「ガンブラー」攻撃を確認したとして注意を呼びかけた。正規サイトのWebページにスクリプトを埋め込む代わりに、悪質な設定ファイル(.htaccess)をアップロードすることで、同サイトにアクセスしたユーザーを、ウイルスが置かれたサイトへ誘導する。
.htaccessを書き換えられて、悪質サイトにオートリダイレクト。
悪質サイトを訪問しただけで、WindowsやFlash,Adobe Reader、Quicktimeの穴を突かれて、ウィルスに感染。
しかも未公表の脆弱性を突いたゼロデイ攻撃も普通にあるので、最新のパッチを当ててても、死亡する確率大。
JavaScriptを切ったくらいじゃ、どうにもならん・・・もう勘弁してくれよ・・・
感染された時点でなにされてもおかしくないのにFFFTPがどうのとか・・・小一時間
などと罵倒しつつ、俺は書くの面倒だから2chからコピペですます。亜種でたら対策も変わるので注意ね。
【Gumblar/GENO】Web改竄ウイルス総合スレ3【8080】http://pc11.2ch.net/test/read.cgi/sec/1263865118/
現時点でGumblar(GENO)、8080(『/*LGPL*/』『/*GNUGPL*/』『/*CODE1*/』)JustExploitなどのインジェクションが流行しています基本的な対策としてセキュリティ・アップデートを欠かさないようにしましょう
【脆弱性を利用されやすいソフトウェア】下記については必ずアップデートしてください使用していないものはアンインストール推奨です■Windows Update /Microsoft Updateを更新・XP以下は念のためMicrosoft Updateに変更してアップデートする■Adobe Reader(Acrobat,Acrobat Reader)を更新 (使っていないならアンインストール)http://get.adobe.com/jp/reader/・インストール後本体をアップデート ヘルプ →アップデートの有無をチェック・AcrobatJavascriptをオフにする 編集 →環境設定 →Javascript → 「AcrobatJavascriptを使用」のチェックを外す■AdobeFlash Playerを更新 (動画サイト見てるなら絶対入ってる。IE版、Firefox等の非IE版に注意!)http://get.adobe.com/jp/flashplayer/http://www.adobe.com/jp/shockwave/download/alternates/#fp・Flash Playerのバージョン確認http://www.adobe.com/jp/software/flash/about/http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm■AdobeShockwave Playerを更新 (最近は使わないはずなのでアンインストール)http://www.adobe.com/jp/shockwave/download/alternates/#sp■Java Runtime Environmentを更新 (Javascriptとは違うので注意)http://www.java.com/ja/・Javaのバージョン確認http://www.java.com/ja/download/installed.jsp■QuickTimeを更新 (メールアドレスの入力は不要。使っていないならアンインストール)http://www.apple.com/jp/quicktime/download/■RealPlayerを更新 (使っていないならアンインストール)http://jp.real.com/?mode=basic
【アップデート支援ツール】■アプリケーションの脆弱性確認ツール・MyJVNバージョンチェッカhttp://jvndb.jvn.jp/apis/myjvn/・Secunia PersonalSoftware Inspector (PSI)http://secunia.com/vulnerability_scanning/personal/■Adobeの“Flash”と“Reader”のアップデートを半自動化「Flash_Reader_Update」http://www.forest.impress.co.jp/docs/review/20091020_323014.htmlhttp://hide9999.web.fc2.com/
【Gumblar.x / Daonol(新GENO)ウイルスについて】■Gumblar被害拡大中(1)(2)(3)http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2092http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2093http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2094■Windowsが起動しないときの復旧方法の一例黒い画面にマウスカーソル (Win32/Daonol)http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspxWin32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには?http://itpro.nikkeibp.co.jp/article/COLUMN/20091028/339633/?ST=security&P=1レジストリの修復Windowsを使わずに修復してみるhttp://pctrouble.lessismore.cc/boot/recover_registry.html■感染確認・駆除ツールアンラボ(v3daonol.exe)http://www.ahnlab.co.jp/download/vdn_list.aspマカフィー(stinger.exe)http://www.mcafee.com/japan/mcafee/support/announcement20091127.aspKaspersky(KatesKiller.exe)http://support.kaspersky.com/faq/?qid=208280701【旧Gumblar(GENO)ウイルスのまとめなど】*** 【注意!】2009年10月からのGumblar.x / Daonol(新GENO)には無効な情報があります ***■Anubisレポートhttp://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html■GENOウイルスまとめhttp://www29.atwiki.jp/geno/
【8080系ウイルスについて】メディアなどでは「ガンブラー(の亜種)」と紹介されていますがGumblar系とは別種のウイルスで、最近のものはページソースの最後あたりに<script>/*LGPL*/<script>/*GNUGPL*/<script>/*CODE1*/などから始まる難読化したスクリプトが埋め込まれています2009年12月現在、最新版のAdobe Readerおよびそれ以前の脆弱性を利用しているため回避策としてAcrobatJavascriptのチェックを外してください修正版の配布は2010年1月13日の予定です他にもMicrosoftとJRE(Java Runtime Environment)の脆弱性を利用していますがこちらはアップデートで対処できます感染すると他のウイルスなどを呼び込むため非常に危険です■ 新手の正規サイト改ざんでAdobe Readerのゼロデイ攻撃~今すぐ対策をhttp://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2106■感染確認(2000,XP)あくまで現時点での確認方法であることに注意してくださいセーフモードから起動してレジストリエディタでRunエントリ[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]から"sysgif32"="C:\\WINDOWS\\TEMP\\~TMD.tmp""~TM6.tmp"="C:\\WINDOWS\\TEMP\\~TM6.tmp"等の登録があれば感染済上記の登録情報を削除した上でC:\Documents and Settings\ユーザー名\スタート メニュー\プログラム\siszyd32.exeのファイルを削除すれば復旧しますが、亜種等で違うこともあるので可能な限りクリーンインストール&サイト持ちは安全なPCからのパスワードの変更を推奨します
GENO(Gumblar)ウイルス対処法。行っておくべき事項を箇条書きにしました。細かなことは他にもいろいろありますが、とりあえず以下を実施して下さい。(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする(2)Adobe Readerを最新版に更新する(3)Adobe ReaderのAcrobatJavaScriptを無効に設定(4)JRE(Java Runtime Environment)を最新版に更新する(5)Flash Playerを最新版に更新する(6)QuickTimeを最新版に更新する(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。Adobe Readerなどのアップデート方法については下記のトピックスを参照のこと。AcrobatJavaScriptを無効にする方法は以下の通り。(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択(2)「分類」の中の「JavaScript」を選択(3)「AcrobatJavaScriptを使用」のチェックをクリア(4)「OK」ボタンを押す※サイトを運営されている方は、さらに次のことも実施していただきたい。(1)管理サイトのページなどに意味不明な文字列が埋め込まれていないか確認する(2)改ざんされていたり、サイト管理に使うパソコンからウイルスが見つかった場合には、ウイルスに感染していないパソコンを使用して管理サイトのパスワードを変更する
