2012年3月版　埋め込みサービスの改変がもたらすリスク

山本洋介山
bogus.jp

2012/4/12

　年度末だったからか、忙しくてツイートが滞りがちになる人も多かった3月のセキュリティクラスタですが、事件は年度末などに関係なく起こるものです。特に、今年になって話題になることの多い、スマートフォンやプライバシーに関連した事件がタイムライン（TL）をにぎわせました。自分が使っているサービスから知らないうちに個人情報が送信されるようになっていたり、ある日突然、セキュリティ的に脆弱な事柄が見つかったりします。インターネットって大変ですね。

　そして個人的なことですが、この連載の元となるブログのために、「NAVERまとめ」を使い始めました。とても便利です。

はてなが第三者に閲覧履歴を送信していたことが判明

　3月になって、「はてなブックマークボタン」（はてブボタン）の仕様が変更され、ユーザーのあずかり知らぬところで、はてブボタンが設置されたサイトを訪れたユーザーの履歴が広告会社（マイクロアド）に送信されるという事実が明らかになりました。

　実はこの件、2011年9月の時点で規約が改定され、データの取得が始まっていたようです。ですが、はてブボタンを設置している側への通知も、それによって具体的に何が起こるかについての説明もないまましれっと変更されていたために、しばらくの間、誰も気付きませんでした。同様に、アクセス解析ツールなどを提供している「忍者ツールズ」も同じような仕組みを使って、マイクロアドに履歴を送信していることも明らかになりました。

　この変更によって、「はてブボタンは履歴という個人情報を収集して第三者に送信するスパイウェアと化した」と解釈した人もいました。自分のブログからはてブボタンを外す人、「はてなのサービスを使わない」と表明する人が現れただけでなく、ほかのブログやサイトについても同様の情報送信を行っていないか、有志による調査が行われました。

　週が明けて、仕様変更が非難を受けていることを知ったはてなは、すぐに第三者への提供を停止しました（同様に忍者ツールズも）。これで騒動は収まるかと思いましたが、情報を第三者に送信する理由をはっきり述べなかったことから、「ただ批判されたから止めただけだ」と思われたり、「すぐ止めるということは、逆に、もともとこれが悪い行為だと分かっていたのだから、余計に悪質だ」という意見が出るなど、はてなの姿勢を批判する多数のツイートがTLを流れました。

　この事件によって、外部のJavaScriptを埋め込むサービスには、JavaScriptの動作が改変された場合、 、利用者にとって大きなリスクが生じる可能性があることを、あらためて思い知らされることになりました。

「かんたんログイン」が原因？ SNSのアカウント乗っ取り

　主に携帯電話の世界で用いられてきた認証方法に、「かんたんログイン」という、端末IDを利用した認証があります。端末IDは固定のものであり、他のユーザーに漏えいすることはなく、他人の携帯IDを設定することによるなりすましもあり得ない、いう環境を前提とした認証方法です。

　かんたんログインは手軽に実装できることから、多くの「ケータイサイト」で利用されてきました。ただ、盗聴の危険が極めて少ない携帯電話網での使用ならばともかく、ユーザーとサーバの間がどうなっているか分からないインターネットで使うには危険極まりない認証方法です。

【関連記事】 間違いだらけの「かんたんログイン」実装法（＠IT Security&Trust） http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html

　3月には、このかんたんログインを認証に利用していた「スマコム」というSNSでユーザーアカウントが乗っ取られるという事件が起こり、ちょっとした騒ぎになっていました。

　このケースでは、誰かが何らかの手段で他人の端末IDを手に入れ、それをWebブラウザにセットすることで、なりすましを行っていたようです。スマコムでは、かんたんログインでは携帯電話からしかアクセスできないよう、IPアドレスの範囲を制限していました。けれど、携帯電話と同じIPアドレスを使用するスマートフォンを使うことでこの制限をかいくぐり、問題なくなりすましログインできてしまったようです。

　アカウントを乗っ取られたユーザーはセキュリティに詳しいわけではなく、何が原因か分からず焦っていたようです。その後、TLでのやりとりで分かったこととして、「すべてのユーザーに対して同じ端末IDを設定しているブラウザ」や、「任意の端末IDを設定できるブラウザ」が存在しており、これらと、容易に推測可能な端末IDの組み合わせが悪用されたのではないかということです。

　この事件を受けてTLでは、「いいかげん『かんたんログイン』はやめるべきだ」とか、「携帯電話が利用するIPアドレスレンジを公表する行為は、かんたんログインを助長するので止めた方がいい」といった意見がありました。

　この件とほぼ同じタイミングでGoogleが、端末IDを利用して認証を行うサービスを5月に取りやめることを発表しました。またApp Storeでも、端末IDを送信するアプリケーションの登録を認めないようになっています。端末固有のIDを使った認証は、徐々に廃止の方向に向かっているようです。

【関連リンク】 認証 Cookie 非対応のモバイル ブラウザのサポートの終了（Google） http://support.google.com/a/bin/answer.py?hl=ja&answer=2473579 「かんたんログイン」機能の制限について（mysns.tv） http://www.mysns.tv/2012/20120321.html

要注意！ WindowsのRDPに危険な脆弱性

　Windowsにはリモートデスクトッププロトコル（RDP：Remote Desktop Protocol）という便利な機能があります。自宅や外出先からRDPを使って、会社の自分のマシンに接続して仕事の続きを行うといった、仕事大好きな方も多いと思われます。私も会社員のころはお世話になったものでした。密かに多くの人が使っていると思われるRDPですが、3月13日、言語やバージョンに依存しない危険な脆弱性が発表されました（MS12-020）。

　原稿執筆時点では、攻撃者がシェルを奪ってマシンを自由に操作できるようなマルウェアが登場しているわけではありません。けれど、脆弱性を突いてブルースクリーンを発生させる（＝DoS状態を引き起こす）実証コードが発表されており、TLでも実際に検証した人が複数いました。とても危険なことが分かります。

　前述のブルースクリーンを発生させるコードはMetasploitに移植され、誰でも試せるようになっているほか、ボタン一発でマシンを落としてしまうAndroidのツールまで発表されています。今後、この脆弱性を狙う攻撃が増えていきそうな予感がします。対策はきちんとWindows Updateすることです。必ず更新しておきたいものです。

セキュリティクラスタ、3月の小ネタ

　このほかにも、3月のセキュリティクラスタでは以下のようなことが話題となりました。4月はいったいどのようなことがTLをにぎわせるのか楽しみですね。

• アメーバピグの15歳以下の機能制限に怒り狂ったお子様がDDoS攻撃を企てる
• マルウェア満載のAnonymous OSは案の定偽物で、あっという間に消滅
• 「イカタコウイルス」、控訴審でもやっぱり有罪
• ベクターが不正アクセスで最大26万件の個人情報流出！ エロゲ買った人の情報も
• 脆弱なeコマースサイトを守る技術を競うイベント、Hardening Zeroが4月に開催決定
• 「詳細不明、危険度最高の脆弱性」って、何それこわい、と話題に
• Windowsのログオンパスワードを抜いてしまうmimikatzというツール
• LulzSecのリーダー、Sabuはすでに逮捕されていて、FBIに協力していた
• 国土地理院への標的型攻撃が行われていたことが判明
• OWASP Japan 1stミーティング開催、Webセキュリティ好きの間で大盛り上がり

Profile

山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年2月版へ

セキュリティクラスタまとめのまとめ 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）