各国政府機関に監視ツールを提供する「Hacking Team」、サイバー攻撃を受けて脆弱性情報などを漏らす 19
サイバー武器商人的なやつか 部門より
米国など各国の政府機関に監視ツールを提供し、国境なき記者団に「インターネットの敵」と認定されているイタリアのセキュリティ企業「Hacking Team」がサイバー攻撃を受けて内部情報を流出させたそうだ(Ars Technica、The Guardian、The Register、VentureBeat)。
流出した内部情報とされるものは約400GBあり、電子メールや顧客リスト、ソースコードなどが含まれる。中には「Torの通信を傍受可能な唯一の方法を同社が提供できる」といった記述を含む文書や、「HTTPS Everywhereのユーザーに対して使用すると偽の証明書を使用していることが明るみに出る可能性がある」といった記述を含む文書、同社が取引を否定していたスーダン政府とのかかわりを示す文書などもあるという。公式Twitterアカウントも乗っ取られ、Torrentファイルのダウンロードリンク公開などに使われたとのこと。
Hacking Teamの技術者は流出したファイルについて「ウイルスが含まれており、攻撃者がHacking Teamに関する嘘を広めようとするものだ」などとTwitterで主張。しかしセキュリティ専門家らは、含まれるマルウェアはHacking Teamが開発したものだと指摘している。その後、Hacking Teamでは顧客に対し、各国の作戦が影響を受けていないかどうか確認されるまで利用を控えるよう通知したとのこと。Hacking TeamのWebサイトも一時オフラインになったという(The Register、BetaNews、Softpedia)。
なお、この流出した情報にはAdobeやMicrosoftも把握していなかった脆弱性情報も含まれていたという。その1つには「Adobe Type Manager(ATMFD.dll)」における未修正の脆弱性があり、注意喚起が行われている(JVNVU#92689788)。
防衛省が接触してデモンストレーションを持ちかけられていた模様 (スコア:5, 興味深い)
2ちゃんねるで、今日(7/10)の昼くらいにスレッド [2ch.net]が上がっていて知りましたが、防衛省の(スレの書き込みによると)技術研究本部の技官の方が、この会社とメールでやりとりしていて、
今年の2月に技術デモンストレーションを持ちかけられていたようです。
以下、https://wikileaks.org/hackingteam/emails/emailid/17057 [wikileaks.org]から。
個人名等はややこしい事になりそうなので、伏せておきますが。
Re: (スコア:0)
The client was further impressed when we spoke about using persistent installation for the agent to be resistant against HDD changes, OS formatting and factory resetting. As a joke, we told the users that the one and only sure way to escape from RCS is to literally destroy the device. They laughed.
エージェントの HDD 変更、 OS フォーマット、ファクトリーリセットに対する永続的なインストールについて話した時、クライアントはより感銘を受けた。冗談で、このリモートコントロールシステム(RCS)から逃れる唯一の方法は、文字通りデバイスを破壊するだけだと言った。彼らは笑った。
楽しそうでなにより^^
ATMFD.dll (スコア:3, 参考になる)
Hacking team は置いといて ATMFD.dll の脆弱性は前にも似たようなものがあったけど、
local攻撃の中では最悪のもの。実質pdfのリンク踏ませるだけで乗っ取りができる。
これって Windows ユーザはバグが更新されるまで、全ての pdf リーダー等を
アンインストールしておくくらしか対応手段がないのだろうか?
何か有効な対策あったりしますかね?
Re:ATMFD.dll (スコア:2)
ATMフォントなんていまどき誰も使わないだろうと思っていたのにPS/OTフォントの解釈で使っててPDF表示で呼び出されるということでしょうか。
#ATMインストールしてたのはPhotoshop 3.0の頃だったのでもう10年以上前か
Re:ATMFD.dll (スコア:1)
WebブラウザのWebフォント機能経由でも叩ける可能性があるからもっとヤバイ。
スタイル指定の埋め込み可能な場所のほぼ全てが攻撃可能箇所になる。
政府関係経由での攻撃も想定するなら無差別なMITMも警戒が必要だね。
SSL/TLS未使用のリソースは全て攻撃経路に「使われていた」可能性すらある。
今まで彼らが行っていた攻撃に関しては手遅れ&(一応政府関係である)攻撃者を信用するとして、
今後の攻撃に対する対策となると……
流出した脆弱性を含む全てのOSでネット作業を止めるか、ネット作業を止めるか、
Webブラウザ含めネット上のリソースを使用する環境を完全に仮想環境に隔離して、
(ブラウザのタブ/ページ並の)作業単位で仮想環境を使い捨てる位しか無いかな?
Re: (スコア:0)
過去の攻撃はとにかくとして、攻撃手段が公開されて多くの攻撃ツールに仕込まれたのが
確認されている以上、web font は切っとくのが正解じゃないかな?
Re: (スコア:0)
ネットにつながない
Re: (スコア:0)
面白いね
Re: (スコア:0)
えっと・・・どうしたの?
Re: (スコア:0)
>メディア経由で感染するかもなので、USB も外付けドライブも禁止な。
普通の企業ならそれぐらいやってるだろ
そもそもハックされちゃ困るようなデータを持ったPCをネットに繋ぐとかという発想自体が信じられない
まさか感染したPCを何週間もネットに繋いでそのまま?それやった年金機構がどういうことになったか知らない?
#なんか無能上司の逆切れみたいw
Re: (スコア:0)
ネットに繋がないイコール引きこもるってどんだけネットに依存した生活送ってるんだ?
USBメモリや外付けドライブどころかUSB経由のスマホ充電だって禁止は当たり前なのに、今更何言ってるんだ?
大事なサーバ群はネットに繋がずスタンドアロンで運用はどこだってやってることなのにねぇ
Re: (スコア:0)
EMETで防げんの?
https://technet.microsoft.com/ja-jp/security/jj653751.aspx [microsoft.com]
Re: (スコア:0)
アプリじゃなくてカーネルドライバーの奥の方で起こるので無理じゃね。
と思ったけど、もし防げるのなら嬉しいね。知っている人がいたら教えて?
Re: (スコア:0)
おじいちゃん、近頃のHTMLにはWebフォントというものがあってね、Webブラウザもすべてアンインストールしなくちゃダメだよ。
Re: (スコア:0)
本気じゃないんだろうけど、誤解するやつもいるかもしれないので。
ブラウザによるかもしれないけど WEBフォントは disable できるので、
アンインストールまでは必要ないよ。
取引先 (スコア:0)
取引先政府に中国政府は含まれてないのでしょうか?
国内政治を見る限りではリアルビックブラザーを目指してるような感じもするんですが…。
Re: (スコア:0)
自前で金盾用意しているから不要なのでは。
全部 (スコア:0)
そらもうサーバーのいっさいがっさいを盗まれてますね。