eggy 曰く、

Tsar Teamを名乗る ハッカーグループが5月30日、リトアニアの美容整形クリニックのサーバーから今年盗み出したという、クリニック利用者のデータを公開した(The Guardianの記事、 Daily Mail Onlineの記事、 15minn.ltの記事)。

公開されたデータには裸の写真を含むクリニック利用者の写真25,000点以上やパスポートのコピー、社会保障番号なども含まれる。当初Tsar Teamは、データを公開しないことと引き換えに300ビットコインを支払うようクリニックを恐喝していたが失敗に終わったため、恐喝相手をクリニック利用者に切り替え、最高2,000ユーロをビットコインで支払うよう要求していたとのこと。

データの一部は3月に公開されており、今回公開されたのはその残りとみられる。被害者の居住国はリトアニアだけでなく、英国やノルウェー、ドイツ、デンマークなど60カ国以上にも及ぶとのことだ。

「Tsar Team」は米民主党全国委員会(DNC)をサイバー攻撃したAPT28またはFancy Bearなどと呼ばれるグループの別名として知られているが、同グループなのか、別のグループなのかは不明だ。

米国土安全保障省(DHS)は5月30日、旅客機の客室内への大型電子機器持ち込み禁止を欧州からの便に当面拡大しないことを明らかにした(DHSのプレスリリース、 欧州委員会のプレスリリース、 Politicoの記事、 Consumeristの記事、 Neowinの記事)。

DHSのケリー長官が航空の安全について欧州委員会のディミトリス・アヴラモプロス委員(移民・内務・市民権担当)およびヴィオレタ・ブルツ委員(運輸担当)と電話で会談した結果だという。

3人は航空の安全を世界的に高める必要があることや、今後も引き続き協力していくことに合意。旅客機客室内への大型電子機器持ち込み禁止についても議論したが結論は出ず、この日の段階では欧州から米国に到着する便への拡大は発表しないことになったようだ。

ただし、持ち込み禁止の拡大は現在も検討中であり、今後脅威のレベルが高まったことが確実になれば、持ち込み禁止を含めてあらゆる安全対策を取るとケリー長官が断言したとのこと。ケリー長官は5月28日、Fox Newsのインタビューで、持ち込み禁止を米国発着の全便に拡大する意向を示していた。

なお、欧州から米国に到着する便で大型電子機器の客室内持ち込みが禁じられた場合、10億ドルのコストを旅行者が負担することになるとの試算も出ている。

headless曰く、

先日、Google Project ZeroがWindowsのマルウェア対策エンジンに「最悪」の脆弱性を発見し、Microsoftが2日で修正したことが話題となったが、報告されていた脆弱性はそれだけではなかったようだ（Issue 1260、Softpedia）。

Issue 1260はマルウェア対策エンジンに搭載されているx86エミュレーターに関するもの。このエミュレーターはPE実行ファイルに見える不審なファイルを実行して確認するために使われるが、NT AUTHORITY\SYSTEMとして実行され、サンドボックス化されていない。Project ZeroのTavis Ormandy氏によれば、このエミュレーターがサポートするWin32 APIのntdll!NtControlChannelを使用すると、ioctlのようにエミュレートされたコードからエミュレーターを制御可能なのだという。

このAPIのコマンド0x0CではMicrosoftの正規表現ライブラリGRETAに攻撃者の制御下にある正規表現をパースさせることが可能だ。GRETAは信頼できない正規表現を安全にパースできないことが知られており、マルウェア対策エンジンをクラッシュさせるPoCが公開されている。また、コマンド0x12では追加のマイクロコードを読み込んで演算コードを置き換えることが可能であり、ほかにもさまざまなコマンドに問題がみられるとのこと。

この問題はMicrosoftが5月25日にリリースしたマルウェア対策エンジンバージョン1.1.13804.0で修正されたそうだ。このほか、バージョン1.1.13804.0ではIssue 1258（CVE-2017-8540）、Issue 1259（タレこみ時点では未公開）、Issue 1261（CVE-2017-8535、8536、8537、8538）なども修正されている。

headless曰く、

米調査会社Morning Consultが実施した調査によると、WannaCryptの問題を受けて米国人の半数以上がMicrosoftのハードウェア製品を使用することに懸念を示す一方、Microsoft製品の購買意思には大きな影響を与えないという結果が出たそうだ（Morning Consult、調査結果: PDF、Neowin、Softpedia）。

調査は5月18日～22日にオンラインで米国の成人2,148名を対象に実施されたもので、年齢や人種/民族、性別、学歴、地域について人口比に近づくよう重み付けがされている。

MicrosoftのOSを狙った世界規模のサイバー攻撃についてどれぐらい見聞きしたかという設問では、多数見聞き（28%）、いくらか見聞き（40%）の合計は68%。あまり見聞きしなかった人は18%、まったく見聞きしなかった人も15%いるようだ。

サイバー攻撃により、古いWindowsを実行する20万台のコンピューターがランサムウェアの被害を受けたことを踏まえ、将来Microsoftのハードウェア製品を使用することに懸念を感じるかという設問では、非常に懸念（24%）、いくらか懸念（33%）と懸念している人が57%を占める。あまり懸念しない（22%）と全く懸念しない（8%）の合計は30%。わからない/意見なしが13%となっている。

一方、今回の事件が将来のMicrosoft製品の購買意思に変化をもたらしたかどうかという設問では、変化なしという回答が39%を占める。これに対し、購買意思が増したという回答は19%（非常に: 8%、いくらか: 11%）、購買意思が減ったという回答は25%（いくらか: 16%、非常に: 9%）となり、わからない/意見なしも17%を占める。なぜ懸念に関する設問がハードウェア限定になっているのかについては説明されていない。

なお、今回の調査でセキュリティソフトウェアをインストールしている人は68%、更新プログラムが提供され次第適用する人は54%、ユニークなパスワードを5個以上使っているという人は36%だったとのことだ。

ちなみに、セキュリティ企業Carbon Blackが米国の成人5,000名を対象に実施した調査によれば、57%がWannaCryptで初めてランサムウェアというものを知り、およそ70%がランサムウェアの被害を受けた金融・医療・小売店の利用をやめることを考えると回答している。

headless曰く、

IETFのNetwork Working GroupがNTPクライアントのフィンガープリンティングや偽の応答パケットを使った攻撃を防ぐため、NTPクライアントからNTPサーバーに送られる要求パケットに含めるデータを最小限にすることを提案している（ドラフト、Register）。

RFC5905で規定されているNTPパケットは、ヘッダーのフィールドがすべてのモードで共通となっている。サーバーからクライアントへの応答パケット（モード4）などでは正確で信頼性の高い時刻同期を行うために欠かせないが、クライアントからの要求パケット（モード3）では多くのフィールドが不要なのだという。サーバー側の実装でも、こういった要求パケットの不要なフィールドの確認が必須とされたことはないとのこと。

ドラフトではヘッダー先頭の「leap（LI）」「version（VN）」「mode」を含むオクテットを0x23とし、「xmt（transmit timestamp）」にランダムな値のセットを推奨する。「poll」にセットする値は実際のポーリング間隔または0のいずれかで、「precision」には0x20をセットすることが推奨される。このほかのフィールドについては、0をセットするよう推奨している。

0をセットすることが推奨されるフィールドのうち、「org（origin timestamp）と「rec（receive timestamp）」は特に情報漏洩の可能性があるものだという。これらのフィールドはそれぞれ、直近のサーバーの応答からxmtと「dst（destination timestamp）」をコピーするよう指定されている。そのため、クライアントが別のネットワークに移動した場合、両方のネットワークを観察すると古いIPアドレスと新しいIPアドレスが同じシステムで使われていることがわかってしまう。「poll」の値がオプションになっているのは、ポーリング間隔を観察することで確認可能なためだとしている。

xmtのランダム化が推奨される理由としては、クライアントの要求パケットのxmtをサーバー側で応答パケットのorgにセットして確認に使用しているため、実際のタイムスタンプをセットすると偽の応答パケットにだまされる可能性があるからだという。現在もxmtの下位ビットではランダム化が行われているが、これらのビットをランダム化した偽パケットを大量に送ることで攻撃が成立する可能性もある。

nemui4 曰く、

今日5月30日より、改正個人情報保護法が施行される（NHK、産経新聞、日経新聞）。

情報管理部門の人はどっと疲れそうな気配。提供されるデータに個人情報が削除されているか確認したり、ビッグデータを解析したり、データ保護のためのシステムやデータマイニング系の案件とかの仕事も増えると良さげ。

改正個人情報保護法では、企業などが持つ個人情報に付いて、個人を特定できない形に加工することでその個人の同意無しで第三者への提供が可能になる。また、個人情報の漏えいといった不適切な取り扱いが発生した場合に対応を行う窓口が個人情報保護委員会に統一されたほか、今まで個人情報保護法の対象外であった中小企業や団体に対しても情報管理の徹底が義務付けられるようになるといった変更もある。

改正個人情報保護法については、企業の対応が進んでいないという話もあった（日経ITpro）。

あるAnonymous Coward曰く、

英マンチェスターの爆弾テロ事件で、現場で回収された証拠品（爆発物の現場写真）のものとされる写真が24日、米紙ニューヨーク・タイムズに掲載された。これに対し英政府が捜査を困難にするとして激怒しているという。さらに、実行犯とされるサルマン・アベディ容疑者（22）の名前が、攻撃の数時間後に米メディアにリークされたことも明らかになった。

英政府はこうした情報を米当局が情報をリークしたとみており、英警察は、米当局との情報交換を停止したという。メイ首相は25日、「英米の情報共有関係は厳重でなければならない」と話し、同日開催のNATO首脳会議でトランプ米大統領に再発防止を強く申し入れた。

この問題に関してトランプ大統領は声明を出した。「政府機関から漏れた疑いが高い。この問題を徹底的に再調査するよう、司法省や他の関連機関に要請しており、適切なら犯人を法の許す限り最大限の範囲で訴追すべきだ」と述べている（BBC、日経新聞、TPM、ロイター、Slashdot）。

taraiok 曰く、

7月末に開催されるハッキングカンファレンスであるDEFCONで、アメリカの投票機のハッキング大会が企画されている。ロシアのハッキング事件以降や大統領選への介入などの噂が出てきて以降、投票機のセキュリティは注目度が高まっている。主催者はハッカーたちによって、投票機がいかに脆弱であるかを証明させるつもりのようだ（POLITICO、Slashdot）。

現在は計画の初期段階にあり、主催者らはeBayなどで実物の投票機を探し出してきているという。アメリカの選挙で使用されている投票機には、湿度や耐衝撃性など基準はあってもセキュリティに関しては基準が存在していない。しかし、製造メーカーは投票機はすべての点で安全だと主張しているという。

あるAnonymous Coward 曰く、

人気のパスワード管理ツール「1Password」に、「トラベルモード」が実装された(AgileBits Blogの記事)。

1Passwordではパスワードを区分別に格納する「Vault」と呼ばれる機能が備わっており、Travel Mode用のオプションとして「Safe for Travel」が追加された。Travel Modeを有効にすると、Safe for TravelとマークされていないVaultがすべての端末から削除される。これにより、移動中に空港などで端末が検査を受けた際、機密情報などへにアクセスされることを避けられるというものだ。目的地に到着後、Travel Modeを無効にすれば、すべての端末にすべてのVaultが復元される。1Password Teamsでは、管理者がTravel Modeをオン/オフしたり、Vaultに対するSafe for Travel設定を行ったりすることも可能だ(Travel Mode使用方法)。

Samsungの新フラッグシップスマートフォン、Galaxy S8には虹彩認証機能が搭載されているのだが、Chaos Computer Club(CCC)のstarbug氏が写真を使って突破することに成功したそうだ(CCCのニュース記事、 デモ動画ページ)。

虹彩認証を突破する手法としては、虹彩の写った目の写真をレーザープリンターで実寸印刷し、眼球のカーブを真似るために普通のコンタクトレンズを載せるというものだ。コンタクトレンズにより、虹彩認証システムに本物の目と認識させることができたとのこと。レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ。

必要な写真はデジタルカメラの夜間撮影モードを有効にするか、赤外線フィルターを除去すれば簡単に撮影できるという。デモでは200mmのレンズを搭載したデジタルカメラを用い、5mほどの距離から撮影した写真を使用している。

高解像度の顔写真がインターネットで公開されていれば使用できることもあるが、瞳の色が濃い場合は虹彩の詳細な画像が得られないこともある。デジタルカメラで赤外線領域をキャプチャーできるようにすることで、こういった瞳でも虹彩認証突破に使用可能な写真が撮影できるとのこと。

starbug氏はiPhone 5sの発売直後にTouch IDの指紋認証を突破している。指紋の写真と比べて虹彩の写真は入手しやすいため、認証が突破されるリスクは高い。今回の手法は指紋認証突破よりも簡単だ。スマートフォンに保存されているデータや支払い機能を保護したいなら、指紋認証や虹彩認証といった生体認証ではなく、PINコードを使用するようCCCのDirk Engling氏は推奨している。

これについてSamsungでは、デモ動画では簡単に見えるが、現実的なシナリオではないと述べているとのことだ(The Korea Heraldの記事)

headless曰く、

VLC media playerなど、動画再生ソフトウェアのオンライン字幕読み込み機能の脆弱性を悪用した攻撃の可能性をセキュリティ企業Check Pointが指摘し、注意を促している（Check Pointブログ、TorrentFreak、Register）。

攻撃の詳細は明らかにされていないが、攻撃用に細工した字幕ファイルを読み込ませることで、任意コード実行が可能になるのだという。字幕ファイルには25種類以上の形式があり、それぞれ独自の機能を提供する。さまざまな字幕ファイル読み込みに対応するため、脆弱性が混入しやすいようだ。

オンライン字幕読み込み機能を搭載したメディアプレイヤーにはオンライン字幕リポジトリがプリセットされており、基本的には信頼できるソースとして扱う。また、字幕ファイルはテキストファイルであり、セキュリティソフトウェアも安全なファイルと判定してしまうとのこと。

攻撃者は細工した字幕ファイルを字幕リポジトリにアップロードし、ランキングを操作してユーザーに選択されやすいようにする。自動で字幕を検索して読み込むメディアプレイヤーの場合、ユーザーが何も操作をしなくても攻撃が成立することもある。PCだけでなく、スマートTVやモバイルデバイスでも脆弱性の影響を受けるそうだ。

Check Pointが脆弱性を確認したのはVLCのほか、Kodi（XBMC）、Popcorn Time、Streamioの4本だが、その他のメディアプレイヤーにも脆弱性が存在する可能性もある。Check Pointは脆弱性の存在を各開発元に連絡しており、VLCとStreamioは最新版で修正済みだという。Kodiも21日に修正版の公開を発表している。Popcorn Timeの公式サイトではまだ修正版が公開されていないようだ。

あるAnonymous Coward曰く、

世界中で「サイバー銀行強盗」活動を行っていたハッカーグループに対し、ロシア当局が摘発を行ったという（CNET Japan、Reuters、Slashdot）。

このハッカーグループは使用するマルウェアにちなんで「Cron」と呼ばれている。Cronのメンバーの大半は2016年11月22日に逮捕されたほか、それ以外のメンバーも4月までに逮捕されたそうだ。

CronはAndroid向けのトロイの木馬型マルウェアで、感染すると銀行にテキストメッセージを送信して送金を依頼するという。これにより、5000万ロシアルーブル（約89万2000ドル）以上を盗んでいたという。2016年初めの時点では対象はロシアの銀行だけだったが、ロシア外の銀行を狙う計画もあったという。

WannaCryptの問題を受け、英政府通信本部元本部長のデビッド・オマンド氏がサポート期間終了後のシステムであってもMicrosoftのようなベンダーはセキュリティに責任を持つべきだと主張する一方、米国では上院議員2名が政府機関の発見した脆弱性の開示などに関する法案を提出している(The Registerの記事[1]、 [2]、 米上院国土安全保障・政府問題委員会のメディアリリース、 法案: PDF)。

オマンド氏はWindows XPが数多く使われていた2014年の段階でMicrosoftがサポートを終了したのは早すぎたと考えているようだ。また、MicrosoftではWindows XPなどサポート期間が終了したOSについて、WannaCryptが悪用した脆弱性を修正する更新プログラムをカスタムサポート契約者以外にも提供しているが、1か月前に提供していればよかったとも述べているとのこと。

米上院国土安全保障・政府問題委員会委員長のロン・ジョンソン上院議員(共和党)とブライアン・シャッツ上院議員(民主党)が提案したのは、「Protecting Our Ability to Counter Hacking(PATCH) Act of 2017」というもの。法案では脆弱性の開示等について判断する委員会の設置が主題となっている。委員会は国土安全保障省(DHS)長官または長官が指名した人物が委員長を務め、捜査機関や諜報機関などの責任者が常任メンバーとなり、脆弱性を開示するかどうかに関するポリシーを確立することが義務付けられる。

開示のタイミングや開示先などについては、捜査・諜報活動で脆弱性を使用する必要性や、米政府機関以外に脆弱性が発見される可能性、悪用された場合の危険性などを考慮して判断することになるとのこと。今回、WannaCryptが使用したとされるエクスプロイトを流出させた米国家安全保障局(NSA)では、発見した脆弱性の中には公表せず情報収集に使用するものもあることを2014年に明らかにしている。

Windowsのシェルコマンドファイル(.scf、SCFファイル)とGoogle Chromeの組み合わせにより、SMB認証情報を取得する攻撃手法をセキュリティ企業のDefenseCodeが公開している(DefenseCodeの記事、 Threatpostの記事、 The Registerの記事、 Softpediaの記事)。

SCFファイルはWindows 98で導入され、主にクイック起動ツールバーの「デスクトップの表示」で使われていた。SCFファイルの内容はINIファイルと同様のテキストファイルで、セクションごとに値の名前と値のデータの組み合わせが記述されている。ファイルのアイコンは「Shell」セクションの「IconFile」で指定するのだが、アイコンをUNCパスで指定した場合、アイコンの保存されたフォルダーをエクスプローラーで開く際に、指定されたリモートサーバーへSMB認証情報が送られる。そのため、攻撃者が自分の支配下にあるサーバーのIPアドレスを指定すれば、ターゲットのユーザー名とNTLMv2パスワードハッシュを取得することが可能となる。パスワードハッシュはオフラインでクラックするほか、SMBリレー攻撃に使用することも可能だ。

一方、Google Chrome側の問題は、デフォルトでファイルのダウンロード先を確認せずにダウンロードが実行される点だ。そのため、攻撃用に細工したSCFファイルのリンクをChrome上でクリックさせれば、ファイルがユーザーの「ダウンロード」フォルダーに保存される。このフォルダーをユーザーが開いた時点で、攻撃者はSMB認証情報を取得できることになる。Windowsのショートカットファイル(.lnk、LNKファイル)もSCFファイルと同様の動作をするが、ChromeではStuxnetの感染が問題になった際にLNKファイルをサニタイズする仕組みが導入されているとのこと。

MicrosoftがAzureユーザーに対し、WannaCrypt対策ガイダンスを公開している(Microsoft Azureブログの記事、 The Registerの記事、 On MSFTの記事)。

Microsoftが推奨する対策は以下の8点。WannaCryptの影響を受けていない場合でも、同様の攻撃から保護するために対策の実施が推奨されている。

1. MS17-010をインストールする
2. すべてのAzureサブスクリプションでSMB関連のポートがインターネットに開いていないか確認し、必要のないポートを閉じる
3. SMBv1を無効化する
4. Windows UpdateでWindowsを最新の状態に保つ
5. Azure Security Centerを使用して脅威を継続的に監視する
6. Network Security Groups(NSG)を使用してネットワークアクセスを制限する
7. マルウェア対策ソフトウェアが最新の状態に保たれていることを確認する
8. Azure Backupを使用している場合、多要素認証を有効にする

Azure向けのマルウェア対策とWindows Defenderでは、先週リリースされたアップデートでWannaCryptを「Ransom:Win32/WannaCrypt」として検出できるようになっているとのこと。他社のセキュリティソフトウェアを使用している場合、WannaCryptへの対策がされているかどうか確認する必要がある。