安全なオンラインアップデートってどうすべきだろう？：セキュリティクラスター まとめのまとめ 2014年1月版

　2014年正月のセキュリティクラスターは、大きなサイバー攻撃や脆弱性の公開もなく、無事に正月を過ごせた人が多かったようでした。ですが、何事もなく1月が終わりを告げるということはもちろんありませんでした。

　1月ではバリューサーバーを共用している全員のファイルが一斉に書き換えられたことや、「もんじゅ」のPCも感染を疑われた「GOM Player」のアップデートによるウイルス感染、標的型攻撃のことが話題となりました。そして書籍に掲載されたスクリプトに対しHTML5を使う新たな攻撃手法が紹介され、これに興味を持った人が多かったようです。

バリューサーバーが攻撃を受けてindexと名の付くファイルが軒並み書き換えられる

　2013年9月の「ロリポップ」のサーバーが改ざんされていた事件が記憶に新しいGMOグループ。2014年1月は、グループ会社の「バリュードメ イン」や、安価な共用レンタルサーバー「XREA」でおなじみのGMOデジロック株式会社が運営する「バリューサーバー」が攻撃を受けて、1つのサーバーに収容されたユーザーが丸ごとファイルを書き換えられてしまったことが話題となりました。

　この書き換え事件ですが、バリューサーバーのs1というサーバーを利用している130ユーザー全員の、indexという名前を持つファイルが「Hacked by Jacko Nexus」という怪しいものに書き換えられていました。書き換えたのはインドネシアのハッキンググループのようです。

　当初、カーネルに脆弱性があるということでサーバーの修正が行われましたが、修正しても再度書き換えが行われ、2日のうちに4度書き換えの被害に遭ったようです。

　書き換えが行われた原因は、ユーザーが置いていたWordPressの脆弱なプラグインで、そこを突かれて侵入されていたようです。修正されてもバックドアから再度ファイルの書き換えが行われていたようでした。

　この件においてはバリューサーバーの対応が悪く、ユーザーがアップロードし直したファイルを勝手に削除されたり、攻撃を受けている旨の連絡がユーザーに届いていなかったりと、対応に不満に思っている人も多いようでした。

　1月はこの他にも、出版大手のKADOKAWAのWebサイトが書き換えられたことが話題となっていました。

「GOM Player」のアップデート機能を悪用する標的型攻撃

　1月23日にはラックから「GOM Player」のアップデート機能を悪用する標的型攻撃に関しての注意喚起が行われました。正規のアップデート手段を悪用して異なるアップデートファイルが配布されるという、これまでにあまりない攻撃ということもあり、その手法に興味を持った人が多かったようです。

　不正なアップデーターが配布されたやり方ですが、「GOM Player」のサーバーが乗っ取られてファイルが置き換えられたということではなく、別の偽アップデート配布サーバーにユーザーが誘導されて、偽のアップデートファイルをダウンロードして更新してしまうということでした。

　最初はどのように偽アップデートファイルが配布されたのかが分からない状態でした。DNSサーバが汚染されて、GOM Playerは直接的には悪くなかったのかもしれないという可能性や、サーバ自体が攻撃されてファイルを置き換えられた可能性も考えられました。そのため、あらゆる攻撃の可能性を考えた上で、安全なソフトウェアのアップデートについてさまざまな意見がでました。

　アップデートファイルが正当かを検証する仕組みがないことが悪いのではないか、アップデート機能での証明書による確認はどのように行えばいいのか、バイナリの証明書を検証すればいいのではないか、そもそもフリーソフトではアップデート時にバイナリの証明書検証が一般的には行われているのか、正規サイトが改ざんされていたのなら証明書も改ざんされるから無駄ではないか、でもその場合だと責任の所在が明らかになるからいいのではないか……などの議論が行われました。署名の検証については、ソフトウェアオンラインアップデート用の証明書は他のCAによる署名より自己認証局の方がいいのではないかという意見もありました。

　また「GOM Player」のアップデートについてすでに言及していたサイトもありました。それによると、ダウンロード先ドメインの検証や、ダウンロードしてきたアップデートファイルの署名検証などもせず、ファイルが実行されるということで、アップデート方法自体にも問題があったのではないかという意見も出ていました。

　このようにさまざまな意見が出た後、1月24日のリリースにより、GOM Playerのアップデートサーバーに対して不正アクセスがあったとが発表されました。これによりGOM Playerのアップデートの際、本来のアップデートサーバーから意図しない外部の第三者サイトに誘導され、GOM Player日本語版のインストールプログラムを装ったマルウェアがダウンロード、実行される可能性があったことが明らかになりました。

　結局のところ、GOM Playerのアップデートサーバーのセキュリティが甘かったようです。

書籍に書かれたスクリプトの脆弱性とHTML5を利用した新たな攻撃手法

　これまでさまざまな書籍に書かれたスクリプトに含まれる脆弱性を指摘していたHASHコンサルティングの徳丸浩氏（@ockeghem）ですが、ショッピングカート作りからPHPを学ぶ「気づけばプロ並みPHP」という書籍に書かれたスクリプトに任意のファイルを任意のファイル名で、Web公開ディレクトリにアップロードできるという脆弱性がありました。

　これまでの指摘での内容は、著者のセキュリティに対する考えが甘かったり、知識不足だったりで脆弱なソースコードが掲載されているケースがほとんどだったのですが、それに加え「新しい機能を利用することで実現する脆弱性」という新しさもあり、この指摘をきっかけにセキュリティクラスターは盛り上がりを見せました。

　この無理矢理ファイルアップロードなのですが、HTML5で新たに使えるようになったXHR Level2の機能を利用することで実行できるということで、脆弱性を残念がる声とともに、作者は新しい機能も知っておいた方がいいという意見や、こういうことができてしまうブラウザーの方にも問題があるのではないのかという意見も出ていました。

　この他にも1月のセキュリティクラスターはこのような話題で盛り上がっていました。2月はどのようなことが起きるのでしょうね。

• 50000ドルの価値があるらしいtwitterのユーザー名が盗まれた
• epgrecが狙われる
• もんじゅでPCがウイルス感染
• Android版Avast!が誤検出で大変
• Unicodeを使った「LINEウイルス」が問題に
• 電子書籍リーダーのコピー防止技術が他に迷惑かける
• Windows XPがサポートと提供期間を延長する？
• インターネットは危険だけどイントラネットは安全！？