
2012年3月版 埋め込みサービスの改変がもたらすリスク
山本洋介山
bogus.jp
2012/4/12
年度末だったからか、忙しくてツイートが滞りがちになる人も多かった3月のセキュリティクラスタですが、事件は年度末などに関係なく起こるものです。特に、今年になって話題になることの多い、スマートフォンやプライバシーに関連した事件がタイムライン(TL)をにぎわせました。自分が使っているサービスから知らないうちに個人情報が送信されるようになっていたり、ある日突然、セキュリティ的に脆弱な事柄が見つかったりします。インターネットって大変ですね。
そして個人的なことですが、この連載の元となるブログのために、「NAVERまとめ」を使い始めました。とても便利です。
はてなが第三者に閲覧履歴を送信していたことが判明
3月になって、「はてなブックマークボタン」(はてブボタン)の仕様が変更され、ユーザーのあずかり知らぬところで、はてブボタンが設置されたサイトを訪れたユーザーの履歴が広告会社(マイクロアド)に送信されるという事実が明らかになりました。
実はこの件、2011年9月の時点で規約が改定され、データの取得が始まっていたようです。ですが、はてブボタンを設置している側への通知も、それによって具体的に何が起こるかについての説明もないまましれっと変更されていたために、しばらくの間、誰も気付きませんでした。同様に、アクセス解析ツールなどを提供している「忍者ツールズ」も同じような仕組みを使って、マイクロアドに履歴を送信していることも明らかになりました。
この変更によって、「はてブボタンは履歴という個人情報を収集して第三者に送信するスパイウェアと化した」と解釈した人もいました。自分のブログからはてブボタンを外す人、「はてなのサービスを使わない」と表明する人が現れただけでなく、ほかのブログやサイトについても同様の情報送信を行っていないか、有志による調査が行われました。
週が明けて、仕様変更が非難を受けていることを知ったはてなは、すぐに第三者への提供を停止しました(同様に忍者ツールズも)。これで騒動は収まるかと思いましたが、情報を第三者に送信する理由をはっきり述べなかったことから、「ただ批判されたから止めただけだ」と思われたり、「すぐ止めるということは、逆に、もともとこれが悪い行為だと分かっていたのだから、余計に悪質だ」という意見が出るなど、はてなの姿勢を批判する多数のツイートがTLを流れました。
この事件によって、外部のJavaScriptを埋め込むサービスには、JavaScriptの動作が改変された場合、 、利用者にとって大きなリスクが生じる可能性があることを、あらためて思い知らされることになりました。
「かんたんログイン」が原因? SNSのアカウント乗っ取り
主に携帯電話の世界で用いられてきた認証方法に、「かんたんログイン」という、端末IDを利用した認証があります。端末IDは固定のものであり、他のユーザーに漏えいすることはなく、他人の携帯IDを設定することによるなりすましもあり得ない、いう環境を前提とした認証方法です。
かんたんログインは手軽に実装できることから、多くの「ケータイサイト」で利用されてきました。ただ、盗聴の危険が極めて少ない携帯電話網での使用ならばともかく、ユーザーとサーバの間がどうなっているか分からないインターネットで使うには危険極まりない認証方法です。
【関連記事】 間違いだらけの「かんたんログイン」実装法(@IT Security&Trust) http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html |
3月には、このかんたんログインを認証に利用していた「スマコム」というSNSでユーザーアカウントが乗っ取られるという事件が起こり、ちょっとした騒ぎになっていました。
このケースでは、誰かが何らかの手段で他人の端末IDを手に入れ、それをWebブラウザにセットすることで、なりすましを行っていたようです。スマコムでは、かんたんログインでは携帯電話からしかアクセスできないよう、IPアドレスの範囲を制限していました。けれど、携帯電話と同じIPアドレスを使用するスマートフォンを使うことでこの制限をかいくぐり、問題なくなりすましログインできてしまったようです。
アカウントを乗っ取られたユーザーはセキュリティに詳しいわけではなく、何が原因か分からず焦っていたようです。その後、TLでのやりとりで分かったこととして、「すべてのユーザーに対して同じ端末IDを設定しているブラウザ」や、「任意の端末IDを設定できるブラウザ」が存在しており、これらと、容易に推測可能な端末IDの組み合わせが悪用されたのではないかということです。
この事件を受けてTLでは、「いいかげん『かんたんログイン』はやめるべきだ」とか、「携帯電話が利用するIPアドレスレンジを公表する行為は、かんたんログインを助長するので止めた方がいい」といった意見がありました。
この件とほぼ同じタイミングでGoogleが、端末IDを利用して認証を行うサービスを5月に取りやめることを発表しました。またApp Storeでも、端末IDを送信するアプリケーションの登録を認めないようになっています。端末固有のIDを使った認証は、徐々に廃止の方向に向かっているようです。
【関連リンク】 認証 Cookie 非対応のモバイル ブラウザのサポートの終了(Google) http://support.google.com/a/bin/answer.py?hl=ja&answer=2473579 「かんたんログイン」機能の制限について(mysns.tv) http://www.mysns.tv/2012/20120321.html |
要注意! WindowsのRDPに危険な脆弱性
Windowsにはリモートデスクトッププロトコル(RDP:Remote Desktop Protocol)という便利な機能があります。自宅や外出先からRDPを使って、会社の自分のマシンに接続して仕事の続きを行うといった、仕事大好きな方も多いと思われます。私も会社員のころはお世話になったものでした。密かに多くの人が使っていると思われるRDPですが、3月13日、言語やバージョンに依存しない危険な脆弱性が発表されました(MS12-020)。
原稿執筆時点では、攻撃者がシェルを奪ってマシンを自由に操作できるようなマルウェアが登場しているわけではありません。けれど、脆弱性を突いてブルースクリーンを発生させる(=DoS状態を引き起こす)実証コードが発表されており、TLでも実際に検証した人が複数いました。とても危険なことが分かります。
前述のブルースクリーンを発生させるコードはMetasploitに移植され、誰でも試せるようになっているほか、ボタン一発でマシンを落としてしまうAndroidのツールまで発表されています。今後、この脆弱性を狙う攻撃が増えていきそうな予感がします。対策はきちんとWindows Updateすることです。必ず更新しておきたいものです。
セキュリティクラスタ、3月の小ネタ
このほかにも、3月のセキュリティクラスタでは以下のようなことが話題となりました。4月はいったいどのようなことがTLをにぎわせるのか楽しみですね。
- アメーバピグの15歳以下の機能制限に怒り狂ったお子様がDDoS攻撃を企てる
- マルウェア満載のAnonymous OSは案の定偽物で、あっという間に消滅
- 「イカタコウイルス」、控訴審でもやっぱり有罪
- ベクターが不正アクセスで最大26万件の個人情報流出! エロゲ買った人の情報も
- 脆弱なeコマースサイトを守る技術を競うイベント、Hardening Zeroが4月に開催決定
- 「詳細不明、危険度最高の脆弱性」って、何それこわい、と話題に
- Windowsのログオンパスワードを抜いてしまうmimikatzというツール
- LulzSecのリーダー、Sabuはすでに逮捕されていて、FBIに協力していた
- 国土地理院への標的型攻撃が行われていたことが判明
- OWASP Japan 1stミーティング開催、Webセキュリティ好きの間で大盛り上がり
Profile |
山本洋介山 bogus.jp 猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。 |
2012年2月版へ |
Twitterセキュリティクラスタ まとめのまとめ 2月版 バックナンバー
- 第1回 セキュリティベンダのクラックがTwitter上の話題に
- 第2回 震災に揺れたタイムライン
- 第3回 PSNが全部話題を持ってった
- 第4回 収束見えないソニー関連の攻撃
- 第5回 “ハッカー集団”は梅雨とともに去りぬ?
- 第6回 定期的に話題になる「パスワードの定期変更」
- 第7回 盛り上がった夏の終わりに現れたのは……
- 第8回 インターネットを支える根幹への指摘相次ぐ
- 第9回 Androidアプリに関する話題から目が離せない!
- 第10回 イベントの秋と盛り上がったプライバシー問題
- 第11回 無料サービスなら通信内容を記録してもいいの?
- 第12回 ユーザーの履歴情報は誰のもの?
- 第13回 「情報セキュリティ月間」はイベント目白押し
- 第14回 埋め込みサービスの改変がもたらすリスク
- 第15回 新入生も新入社員も勉強会に寄っといで!
- 第16回 Twitterパスワード流出騒ぎの顛末
- 第17回 季節外れのサーバ障害台風、来襲?
- 第18回 セキュリティ業界の夏祭り、Black Hat&DEFCON
- 第19回 タダほど高いものはない? ツールバーの履歴収集
- 第20回 ハクティビストに中国……サイバー攻撃再燃の1カ月
- 第21回 遠隔操作ウイルスによる誤認逮捕で百家争鳴
- 第22回 遠隔操作ウイルス騒ぎは鎮静化、一方で……
- 第23回 Gmail乗っ取りでてんやわんやの年の瀬に
- 第24回 新年早々脆弱性と謎解きメールに右往左往
- 第25回 真犯人? それとも誤認逮捕? 渦巻く意見
- 第26回 韓国で発生した大規模なサイバー攻撃が話題に
- 第27回 狙われた「使い回しアカウント」
- 第28回 漏えい多発、多難の1カ月
- 第29回 漏えいの次は改ざん――被害相次ぐ国内サイト
- 第30回 やまぬWeb改ざん、Apache Struts2の被害も拡大
- 第31回 平穏には終わらない夏、2ちゃん情報流出で一騒動
- 第32回 拍子抜け? 台風をよそに比較的平穏な1カ月
- 第33回 さらばXP、されどXP
- 第34回 さよなら、ハッカージャパン
- 第35回 「安全なSQLの呼び出し方」や「定期変更」で盛り上がる
- 第36回 安全なオンラインアップデートってどうすべきだろう?
- 第37回 終わらないパスワード議論と、広告に求められる誠実さと
- 第38回 遠隔操作ウイルス事件でフォレンジックを考えた
- 第39回 HeartbleedにStrutsにIE……脆弱性に振り回された1カ月
- 第40回 急転直下の結末を迎えた遠隔操作ウイルス事件
- 第41回 LINEの盗聴疑惑にセキュリティクラスターはどう反応したか
- 第42回 ベネッセの情報漏えいがあぶり出してしまった、USBメモリ管理の穴
- 第43回 「www.atmarkit.co.jp.3s3s.org」は安全? 危険?
- 第44回 ShellShockに管理者はショック! パスワード定期変更の議論どころではない?
- 第45回 ちっともかわいくなかった、セキュリティ界の「POODLE」
- 第46回 まるでCTFみたい? 鮮やかに暴かれた「自称小学4年生」のサイト
- 第47回 CODE BLUEにSECCONに、リアルが忙しかった12月
- 第48回 「GHOST」の正体見たり枯れ尾花? 名前には踊らされなかったセキュリティクラスター
- 第49回 SSL通信の根本を揺るがす「SuperFish」問題をどう見るべきか
- 第50回 日本のWebサイトがテロリストの攻撃対象になった――わけでもなさそう
- 第51回 名前はなくても危険、IISの脆弱性が注目を集める
- 第52回 脆弱性に名前のあるなし関係なし、連休でも淡々と検証するセキュリティクラスター
- 第53回 日本年金機構が標的型攻撃を受ける――これは対岸の火事ではない?
- 第54回 技術ある17歳が牙をむく――私たちに何ができたのか
- 第55回 成長し続けるセキュリティ人材と悲嘆に暮れる情報流出被害者たち――光と影の8月
- 第56回 サイバー攻撃から日本を守るのは、プロフェッショナルなトップガン
- 第57回 「4万人のボランティアが守る東京オリンピック」――セキュリティクラスターの反応は
- 第58回 「Anonymousがあの組織に攻撃宣言」「俺たちが善玉ハッカーだ」
- 第59回 「vvvウイルス」に「Joomla!」脆弱性、情報が飛び交った12月
- 第60回 「LINE」に「Webカメラ」、のぞき見られた1月
- 第61回 サイバーセキュリティ月間をあざ笑うAnonymous
- 第62回 結局のところ「ホワイトリスト」とは何なのか
- 第63回 セキュリティエンジニアを目指す若者の4月
- 第64回 サイバー空間にゴールデンウイークはなかった?――5月のセキュリティ関連トピックまとめ
- 第65回 初心者でも気軽にWordPressサイト作成! して大丈夫なの?
- 第66回 買いたたかれるセキュリティ人材は本当に不足しているのか?
- 第67回 PCデポよりゴルスタより「アカウントロック」が気になる?
- 第68回 DDoS攻撃が相次いだ2016年9月のセキュリティトピックまとめ
- 第69回 情報処理安全確保支援士、3年維持で15万円の価値はあるの?
- 第70回 「LINE乗っ取り」に「Chrome拡張機能のマルウェア化」――11月のセキュリティ怖い話
- 第71回 米Yahoo! 情報漏えい、メール送信ライブラリに脆弱性――2016年末のセキュリティニュースまとめ
- 第72回 「セキュリティフォント」が一世を風靡した1月
- 第73回 WordPressサイトが書き換えられまくり、SHA-1が衝突した2月
- 第74回 Apache Struts 2の脆弱性がヤバい、外部からサーバコマンドを実行
![]() |
セキュリティクラスタまとめのまとめ 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
![]() |
|
|
|
![]() |
- - PR -