2012年3月版 埋め込みサービスの改変がもたらすリスク


山本洋介山
bogus.jp

2012/4/12

 年度末だったからか、忙しくてツイートが滞りがちになる人も多かった3月のセキュリティクラスタですが、事件は年度末などに関係なく起こるものです。特に、今年になって話題になることの多い、スマートフォンやプライバシーに関連した事件がタイムライン(TL)をにぎわせました。自分が使っているサービスから知らないうちに個人情報が送信されるようになっていたり、ある日突然、セキュリティ的に脆弱な事柄が見つかったりします。インターネットって大変ですね。

 そして個人的なことですが、この連載の元となるブログのために、「NAVERまとめ」を使い始めました。とても便利です。

はてなが第三者に閲覧履歴を送信していたことが判明

 3月になって、「はてなブックマークボタン」(はてブボタン)の仕様が変更され、ユーザーのあずかり知らぬところで、はてブボタンが設置されたサイトを訪れたユーザーの履歴が広告会社(マイクロアド)に送信されるという事実が明らかになりました。

 実はこの件、2011年9月の時点で規約が改定され、データの取得が始まっていたようです。ですが、はてブボタンを設置している側への通知も、それによって具体的に何が起こるかについての説明もないまましれっと変更されていたために、しばらくの間、誰も気付きませんでした。同様に、アクセス解析ツールなどを提供している「忍者ツールズ」も同じような仕組みを使って、マイクロアドに履歴を送信していることも明らかになりました。

 この変更によって、「はてブボタンは履歴という個人情報を収集して第三者に送信するスパイウェアと化した」と解釈した人もいました。自分のブログからはてブボタンを外す人、「はてなのサービスを使わない」と表明する人が現れただけでなく、ほかのブログやサイトについても同様の情報送信を行っていないか、有志による調査が行われました。

はてなにだけ渡るはずだった情報がマイクロアドにも送られるように変更され、設置者はマイクロアドを信用するかどうか追加で判断しなければならないのに、告知されなかった。はてながIPアドレスや訪問先URLを個人情報でない、保護すべき情報でないと考えていても、設置してる側がそうとは限らない
Mar 10 via web Favorite Retweet Reply


はてなブックマークボタン撤去の報告 / はてブの更新を(少なくとも当面は)やめます #BOYCOTTHATEBU / “徳丸浩の日記: はてなブックマークボタンを外しました” http://t.co/XmTmxkBG
Mar 11 via Hatena Favorite Retweet Reply

 週が明けて、仕様変更が非難を受けていることを知ったはてなは、すぐに第三者への提供を停止しました(同様に忍者ツールズも)。これで騒動は収まるかと思いましたが、情報を第三者に送信する理由をはっきり述べなかったことから、「ただ批判されたから止めただけだ」と思われたり、「すぐ止めるということは、逆に、もともとこれが悪い行為だと分かっていたのだから、余計に悪質だ」という意見が出るなど、はてなの姿勢を批判する多数のツイートがTLを流れました。

ブックマークボタンの方針を決めました / “はてなブックマークボタンから収集した行動情報の第三者提供をやめます - はてなの日記 - 機能変更、お知らせなど” http://t.co/GiF1PzI8
Mar 13 via Hatena Favorite Retweet Reply


はてなブックマークは戻したとはいえ、勝手に行動履歴を手に入れる仕様にし、それを販売した事実は残るわけで、そういうはてな自体の行動履歴が問題なんでねーの。
Mar 13 via Movatter Favorite Retweet Reply

 この事件によって、外部のJavaScriptを埋め込むサービスには、JavaScriptの動作が改変された場合、 、利用者にとって大きなリスクが生じる可能性があることを、あらためて思い知らされることになりました。

「かんたんログイン」が原因? SNSのアカウント乗っ取り

 主に携帯電話の世界で用いられてきた認証方法に、「かんたんログイン」という、端末IDを利用した認証があります。端末IDは固定のものであり、他のユーザーに漏えいすることはなく、他人の携帯IDを設定することによるなりすましもあり得ない、いう環境を前提とした認証方法です。

 かんたんログインは手軽に実装できることから、多くの「ケータイサイト」で利用されてきました。ただ、盗聴の危険が極めて少ない携帯電話網での使用ならばともかく、ユーザーとサーバの間がどうなっているか分からないインターネットで使うには危険極まりない認証方法です。

【関連記事】
間違いだらけの「かんたんログイン」実装法(@IT Security&Trust)

http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html

 3月には、このかんたんログインを認証に利用していた「スマコム」というSNSでユーザーアカウントが乗っ取られるという事件が起こり、ちょっとした騒ぎになっていました。

 このケースでは、誰かが何らかの手段で他人の端末IDを手に入れ、それをWebブラウザにセットすることで、なりすましを行っていたようです。スマコムでは、かんたんログインでは携帯電話からしかアクセスできないよう、IPアドレスの範囲を制限していました。けれど、携帯電話と同じIPアドレスを使用するスマートフォンを使うことでこの制限をかいくぐり、問題なくなりすましログインできてしまったようです。

なんでアカウント乗っ取られたんだろ・・・ 乗っ取られる要素が思いつかなすぎて犯人天才としか・・・ いや絶対許せんけど
Mar 19 via web Favorite Retweet Reply

 アカウントを乗っ取られたユーザーはセキュリティに詳しいわけではなく、何が原因か分からず焦っていたようです。その後、TLでのやりとりで分かったこととして、「すべてのユーザーに対して同じ端末IDを設定しているブラウザ」や、「任意の端末IDを設定できるブラウザ」が存在しており、これらと、容易に推測可能な端末IDの組み合わせが悪用されたのではないかということです。

 この事件を受けてTLでは、「いいかげん『かんたんログイン』はやめるべきだ」とか、「携帯電話が利用するIPアドレスレンジを公表する行為は、かんたんログインを助長するので止めた方がいい」といった意見がありました。

 この件とほぼ同じタイミングでGoogleが、端末IDを利用して認証を行うサービスを5月に取りやめることを発表しました。またApp Storeでも、端末IDを送信するアプリケーションの登録を認めないようになっています。端末固有のIDを使った認証は、徐々に廃止の方向に向かっているようです。

「Google かんたんログイン廃止 スマコムでのっとり発生」をトゥギャりました。 http://t.co/QOpDH3TU
Mar 21 via Togetter Favorite Retweet Reply


【関連リンク】
認証 Cookie 非対応のモバイル ブラウザのサポートの終了(Google)

http://support.google.com/a/bin/answer.py?hl=ja&answer=2473579
「かんたんログイン」機能の制限について(mysns.tv)
http://www.mysns.tv/2012/20120321.html

要注意! WindowsのRDPに危険な脆弱性

 Windowsにはリモートデスクトッププロトコル(RDP:Remote Desktop Protocol)という便利な機能があります。自宅や外出先からRDPを使って、会社の自分のマシンに接続して仕事の続きを行うといった、仕事大好きな方も多いと思われます。私も会社員のころはお世話になったものでした。密かに多くの人が使っていると思われるRDPですが、3月13日、言語やバージョンに依存しない危険な脆弱性が発表されました(MS12-020)。

ブログをポストしました。「MS12-020 「リモート デスクトップ プロトコルの脆弱性」の Q&A」 http://t.co/TqyX89HK #JSECTEAM
Mar 16 via SocialEngage Favorite Retweet Reply


インターネット上に公開されているRDPポートは500万ノードあったよという話。ただし、それらのうち、パッチが当たってるものもあれば、MS Terminal Serviceでないものもあったという。 http://t.co/nxv1wdce
Mar 18 via twicca Favorite Retweet Reply

 原稿執筆時点では、攻撃者がシェルを奪ってマシンを自由に操作できるようなマルウェアが登場しているわけではありません。けれど、脆弱性を突いてブルースクリーンを発生させる(=DoS状態を引き起こす)実証コードが発表されており、TLでも実際に検証した人が複数いました。とても危険なことが分かります。

観測範囲では任意のコードを実行するものはパブリックリリースされていませんが、今のうちに対策を行っておきましょう。 / リモートデスクトップにおける解放済みメモリを使用する脆弱性に関する検証レポート - http://t.co/GvIjP2Pj
Mar 23 via TweetDeck Favorite Retweet Reply

 前述のブルースクリーンを発生させるコードはMetasploitに移植され、誰でも試せるようになっているほか、ボタン一発でマシンを落としてしまうAndroidのツールまで発表されています。今後、この脆弱性を狙う攻撃が増えていきそうな予感がします。対策はきちんとWindows Updateすることです。必ず更新しておきたいものです。

セキュリティクラスタ、3月の小ネタ

 このほかにも、3月のセキュリティクラスタでは以下のようなことが話題となりました。4月はいったいどのようなことがTLをにぎわせるのか楽しみですね。

  • アメーバピグの15歳以下の機能制限に怒り狂ったお子様がDDoS攻撃を企てる
  • マルウェア満載のAnonymous OSは案の定偽物で、あっという間に消滅
  • 「イカタコウイルス」、控訴審でもやっぱり有罪
  • ベクターが不正アクセスで最大26万件の個人情報流出! エロゲ買った人の情報も
  • 脆弱なeコマースサイトを守る技術を競うイベント、Hardening Zeroが4月に開催決定
  • 「詳細不明、危険度最高の脆弱性」って、何それこわい、と話題に
  • Windowsのログオンパスワードを抜いてしまうmimikatzというツール
  • LulzSecのリーダー、Sabuはすでに逮捕されていて、FBIに協力していた
  • 国土地理院への標的型攻撃が行われていたことが判明
  • OWASP Japan 1stミーティング開催、Webセキュリティ好きの間で大盛り上がり
Profile
山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年2月版へ    


セキュリティクラスタまとめのまとめ 連載インデックス


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間