パスワードを忘れた? アカウント作成
12710122 story
セキュリティ

セキュリティソフト「SaAT Netizen」には中間者攻撃などとの組み合わせで任意のプログラムを送り込んで実行される可能性がある 20

ストーリー by hylom
IPAに届け出が必要になるレベルの案件でした 部門より

金融機関などでの導入実績があるというセキュリティソフト「SaAT Netizen」にて、中間者攻撃やDNSハイジャック攻撃などを行うことで任意のプログラムを外部から送り込んで実行できる脆弱性があるという話が出ている(多くの都市銀行で採用されている韓国製SaAT Netizenをハッキングできるか実験してみた日本の 都市・地方銀行で採用されている韓国製SaAT NetizenにSwiftKeyと同じ脆弱性韓国製SaAT Netizenの3年前からある脆弱性、導入済み全ユーザにもサイバーテロ可能な事が判明BlackWingCatの日記)。

SaAT Netizenではインストール時に定義ファイルなどをダウンロードする仕組みになっているが、ダウンロードしたファイルのCRCによる整合性チェックや署名チェックで使われている暗号の強度が低く、容易にCRCを偽造できるという。さらに同梱されているDLLファイルを利用することで、容易に任意のファイルのCRCを作成したり改ざんした定義ファイルを作成できるそうだ。

SaAT Netizenは定期的にSaATのサーバーにアクセスして更新ファイルや定義ファイルをダウンロードする仕組みになっているため、中間者攻撃やDNSハイジャック攻撃などを行って偽のデータをダウンロードさせることで、任意のプログラムを管理者権限で実行させることができるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年03月07日 15時51分 (#2976119)

    日本の銀行が素人判断にこだわって迷惑をかけるのは今に始まったことじゃないからな

    • by Anonymous Coward

      未だワンタイムパスワードや2要素認証すら導入できていなかったりする銀行が大半だからなあ。
      メール通知するだけで課金するとかふざけた銀行もあったりする、三井住友銀行、おまえのことだ。

  • https://jvn.jp/vu/JVNVU97339542/index.html [jvn.jp] [jvn.jp]
    JVNVU#97339542 SaAT Netizen にダウンロードファイル検証不備の脆弱性

    http://www.saat.jp/information/netizen/2016/0426_security_update_info.php [www.saat.jp] [www.saat.jp]
    SaAT Netizen セキュリティアップデートのお知らせ

  • by Anonymous Coward on 2016年03月07日 16時19分 (#2976137)

    オンラインゲームとかで悪名高いnProtectのシリーズ製品の後継品 [www.saat.jp]だしなぁ
    こんなもんに期待するだけ無駄だし、信用するのは馬鹿のやること

  • by Anonymous Coward on 2016年03月07日 17時20分 (#2976197)

    SaAT Netizenを銀行に薦めた人物やコンサルや企業があるはず。

    • by Anonymous Coward on 2016年03月07日 19時57分 (#2976284)

      朴さん、金さんかな?

      親コメント
    • by Anonymous Coward

      実際の業務に使うPCにこのソフトを入れておかなくても、何本かライセンスを買うだけで株主総会が平穏になるという、他のセキュリティソフトには無い特長があるのかも。

  • by Anonymous Coward on 2016年03月07日 15時13分 (#2976103)

    SHA-256では駄目なのかなぁ?

    • by Anonymous Coward

      32bitで、しかもファイルサイズをチェックしていないとなれば
      古いPCでも動作サクサク(笑)ですね。
      いくらでも偽造できちゃうじゃないですか。これはひどい

      • |。・ω・)。o (うわ酷い!と思ったら、同梱のDLLを使ったら、
        CRC成してファイルに埋め込んでくれるところまでやって
        くれることが判明したので、それ以前の問題だったと
        いうお話っす)

        怖いのは、例えば特定の企業のProxyサーバーやDNSサーバー
        乗っ取れば、インストールされてる全 PCに任意のファイルを
        ダウンロードさせて管理者権限で実行させることが可能なんで、
        セキュリティソフト20年も作ってる企業が把握してないのは
        考えにくく、韓国によるバックドアにしか見えないってことです。

        親コメント
        • by Anonymous Coward

          批判するべきは SaAT Netizen と 採用している銀行であって、
          目的はろくでもないソフトウェアを採用している銀行を一般に知らしめて
          そういったものの採用を撤回させることであるべきです。

          そうしたときに、

          >韓国によるバックドアにしか見えないってことです。

          といった特定国批判を書くと「また嫌韓厨が騒いでるのか」で片付けられてしまい
          本当に伝えたい問題が伝わらなくなります。

          • http://blog.livedoor.jp/blackwingcat/archives/1924193.html [livedoor.jp]
            追加検証をしました。

            海外で広く販売している自社製のセキュリティソフトはほぼ同じ更新システムを採用しているにもかかわらず、SHA-256 証明書による保護機能もあり、セキュリティが担保されていることが分かりました。

            少なくとも技術力がなかったわけではなく、意図的な脆弱性があるようです、わざわざ日本の金融機関・利用者向けに無料で押し売りしているあたり、バックドアを仕込んだと考えた方が自然ではないでしょうか?

            親コメント
            • by Anonymous Coward

              もしかしたら仰る通り意図的にバックドアを仕込んでいるのかもしれませんし
              そうだとしたらもちろん大きな問題です。

              ですが、もし意図的でなかったとしてもこれは重大な問題です。
              広く世間の話題として銀行が採用を撤回せざるを得なくしなければなりません。

              残念ながら世間では非常に低レベルな韓国叩きが横行しているため、
              タイトルに韓国という文字が入っているだけでしょうもない叩き記事だと思われて
              スルーされてしまいやすくなります。

              韓国企業と韓国を批判したいだけでしたらこれ以上何も言うことはないのですが
              そうでないのであれば、まず第一段階としては
              「銀行が推奨しているソフトウェアに問題があること」
              だけを前面に押し出していくべきです。
              銀行のセキュリティ問題であればたいていの人が食いつきます。

              そうして十分に話題になったのち、あの問題は韓国企業のソフトウェアが原因で、
              状況的には意図的なバックドアである可能性すらある、と展開していけば、
              より多くの人に問題意識を持ってもらうことが出来るでしょう。

              • 技術力がないわけではないのでバックドアを意図的に仕込んだのでは?
                と思ったのですが、その後、暗号化されたログファイルのデコーダーなどを作って解析してみた結果、アップデート自体はV3インターネットセキュリティ同様、SHA-256での定義ファイルの検証の仕組みがあるところまでは分かりました。(インストール時のダウンロード定義ファイルではノーチェック)

                なので、『意図的なバックドアであると考えるのが自然』というのは撤回します。本当に単なる実装脆弱性なのかもしれません。

                http://blog.livedoor.jp/blackwingcat/archives/1924212.html [livedoor.jp]
                調査についてはこれが最終のまとめになると思います。

                かつて JustSystems が中国製セキュリティ商品をOEM元明らかに
                せずに日本製かのように扱って売ったのと同じで、韓国製なのを
                隠して製品のコピーライトまで、日本企業名で置き換えて責任の
                所在が分からなくしたいい加減なものを『無料のセキュリティソフト』
                というエサで、銀行決済という重要なものに紐づけて宣伝してる
                NetMoveが批判されるべきなんじゃないかなって思ってます

                http://pbs.twimg.com/media/CdCJfTiUMAAqB34.jpg [twimg.com]

                親コメント
  • by Anonymous Coward on 2016年03月08日 17時20分 (#2976980)

    こないだDROWNチェッカーで危ないって言われてた銀行が
    多いように感じました

    やっぱセキュリティ意識が貧弱なのかなぁ
    IT部門が仕事してないのか

typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...