著者:ym
情報セキュリティ10大脅威 2018
IPA のサイトを見ていた所、「情報セキュリティ10大脅威2018」が出ていました。
情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構
今年は。
個人がクレジットカード情報不正利用で、組織は標的型攻撃の被害。
組織で、知らない間に情報を取られていたりと、騙されて引っかかるパターンが多い様ですね。
新入社員が入社された企業も有ると思いますが。IPAのサイトではわかりやすく動画のコンテンツも提供している様なので、見ておくと良いですね。
著者:ym
車内LAN、車載Ethernetが日産リーフに採用
車載 Ethernet の話。
[特報]次世代車載LANが日本車にも、日産が新型リーフで採用 – 日経 xTECH(クロステック)
この車載 Ethernet って、配線はどうなっているのだろうか。CANやLINとは違うのだろうか?リアルタイム性が求められるLANなので有線だろうけど、ボディーアースで1本の+配線で処理できる電源と同じ様な対応でPoE-LANが取り回せるのであれば結構良い感じがします。でも、気軽にアクセサリやリレーを取り付けられなくなると車両としては面白く無いし。
著者:ym
異なるメーカー&複数ルータ機種でDNS不正書き換え被害
ルータの DNS 設定が書き換えられる件、結構な被害へ広がっている様ですね。
異なるメーカー Logitec、Buffalo、NTT東西、異なる複数の機種でも症状が有るらしい。
しかもゼロデイ状態。まだ原因が突き止められていない様子。
DNS 設定が書き換えられ、偽装された Facebook サーバや、Google サーバへ接続してしまう症状。
ISP側で今回の不正サイトへのトラヒックを制御して防ぐとかしないとやばいような気もする。
結構怖い。
著者:ym
SEP から Norton Security by Symantec
Symantec Endpoint Protection (SEP) から「ノートンセキュリティ by Symantec」へ。
スタッフが沢山いる会社では SEP の方が、管理面や統合ポリシー管理・配布など、多くの管理面からよいですが、小さな企業では逆に出費が増えてしまいます。
そのため、社内のウィルス対策ソフトは、今までと同じく「シマンテック」なウィルススキャンエンジンの「ノートンセキュリティ」へ変更することにしました。
ブラウザは Google Chrome や Firefox 側にまかせて、機能については必要最低限に絞っていくかな。
Norton Security by Symantec
著者:takahashi
Torの仕組み
よくハッカーが出てくる映画で、「クソッ、複数の海外サーバーを経由されていてアクセス元が特定できない!!!」なんて展開がよく出てくるかと思います。
実際のところ、現実でそんなことが可能なのかと思ってしまいますが、実際に複数のノードを経由することで自分のアクセス元情報を隠して相手サーバーに接続することができる仕組みが存在します。
しかも、それを利用するのに映画に出てくるハッカーのような特別な知識は必要ありません。誰でも利用できます。
この仕組みは”Tor”とよばれています。
名前を聞いたことがある方は多いのではないでしょうか。
Torの仕組みはちょっと面白いです。
まず、Torを使ったネットワークでは、デフォルトで必ず3つのノードを経由するようになっています。
匿名通信「Tor」はどういう仕組みなのか分かりやすく解説 – Gigazine
◆リレーのタイプ
デフォルトではTorは3つのリレーを経由することになっています。この3つのリレーはそれぞれ特定の役割を担っています。・ガードリレー(Guard Relay)
Torネットワークの入り口部分にあるリレーが「エントリー/ガード リレー」です。安定して高帯域を持つと示されたリレーがガードリレーに選ばれます。・中間リレー(Middle Relay)
「中間リレー」はガードリレーから出口リレーへトラフィックを中継するリレーです。このリレーを配置することで、ガードリレーと出口リレーがお互いの情報を得られないようにしています。・出口リレー(Exit Relay)
「出口リレー」はTorネットワークの終端にあるもので、その名の通り通信の出口となる部分です。出口リレーが最終的な目的地にトラフィックを送ることになります。以下の図はTorネットワークでの経路を簡単に示したもの。ユーザー(Client)はTorネットワークの入り口となるガードリレーから中間リレーを経由し出口リレーに到着し、最終的な目的地となるウェブサイトなどに到着するというわけ。もちろんこの経路は複数あるリレーの組合わせなので、一定時間ごとに変更されるようになっています。
ただ、これだけではまだ完全に安全とは言えません。
各ノードに、どのIPのユーザーのデータがどこへルーティングされたかが各ノードに記録される可能性があるためです。
そこで、TorはTorネットワークへ情報を送信する前にデータを暗号化し、さらにノードを経由するごとに多重に暗号化をかけていくことで、どのネットワークからアクセスされたのかを、最終的に把握できないようにしています。
これにより、Torネットワークでは、提供される各中継ノードが信頼できなくてもセキュア性を保てる設計になっています。
Gigazineより引用
一見するとただのアンダーグランドなツールに見えてしまいますが、なぜこんな仕組みが存在しているのでしょうか。
そこには社会的な理由があります。
それは、インターネット上の自由な表現を政治的な検閲や弾圧から守る必要があるからです。
日本に住んでいるとピンとこないですが、国によっては、インターネット上での情報取得や、発言を検閲し、意図的に制限、場合によっては懲罰を行う国があります。
しかし、インターネットは本来的に自由な空間です。誰でも自分の好きな意見を発信し、好きなように表現をすることができます。
そのインターネットに対して、言論の統制を目的とした介入を行う国が、残念ながら出てきてしまいました。
自由な表現を保護するため。自由な発言しても迫害を受けないように保護するため。
Torは自由な思想が認められない国々にいる人々の人権保護に、一役買っているというわけです。
どんな技術も、使い方次第では薬にもなるし、毒にもなります。そしてそれは強力であればあるほど影響力も大きくなります。
Torが強力なのは必然でした。”権力”という、強力な圧力に勝てるだけの物が必要だったからです。
願わくば、Torのような仕組みに頼らなくてもインターネットを安心して自由に楽しめるような世の中になってほしいものですが、現状を見るとその日が来るのはまだまだ先のことなのかもしれません。
著者:takahashi
世界中のサイバー攻撃を地図上に可視化しているサイト
サイバー攻撃という、かつては映画にしか出てこなかったようなワードが当たり前のように聞こえてくるようになってしまった昨今。
そんなサイバー攻撃の状況を、地図上にわかりやすく可視化するサービスを提供しているところがあります。
今回は、個人的に分かりやすいと思ったサイトをいつくか紹介します。
NORSEは運営元のNORSE社が世界各地に設置したハニーポット(一見脆弱性対策されていない、攻撃者が攻撃しやすいように見せかけわざと攻撃させることでその攻撃手法を解析する目的で設置されるホスト)から受け取ったデータを解析し、発信元と発信先、使用プロトコルを地図上に可視化してリアルタイムに表示しているサイトです。
プロトコルごとに色分けされており、視覚効果もビームを打った/打たれたような表現になっていて非常に分かりやすいです。
見ていると常に何かしらドンパチやっている様子がうかがえますが、まれに大量のトラフィックが見えることがあり、”あっ、集中攻撃されているな…”というのがよくわかるときもあります。
〇CYBERTHREAT REAL-TIME MAP(カスペルスキー)
有名なセキュリティソフトベンダーであるカスペルスキーが運営しているサイバー攻撃可視化サイトです。
こちらはカスペルスキー社製の各製品から報告された脅威の統計をリアルタイムで表示しているようです。
セキュリティソフトが検知する情報なので、ネットワーク経由の攻撃だけでなく、ウイルスやスパイウェア、脆弱性の検出なども表示されます。
こちらはGoogle Ideas提供の攻撃可視化サイト。
内容としてはDDoS攻撃元の発信元と発信先を可視化しています。
自分が確認した時点でも、常時攻撃のトラフィックが表示されていて、ちょっと衝撃的です。
ただ、どういった仕組みで取得されているのかがよくわからかったので、何を基準にしてDDoSと普通の通信を見分けているのかは不明です。
もしかすると、一部通常の通信も混じっているかもしれませんね。
ちなみに、UI的にはちょっと見づらいですが、日本でもNICTという団体が可視化サービスを公開しているようです。
NICTERWEB – NICT
見ていると世界中のサイバー攻撃の規模の大きさにただただ驚くばかりです。
もし自分がこれらの攻撃の対象になってしまったら…そんな最悪な事態を想定しながら、できるところから対策していきたいですね。
著者:ym
memcachedで秒間1TBデータが押し寄せる
先日、公表 memcached のぜい弱性を利用し、GitHub にたいして DDoS 攻撃が行われていましたが、なんとデータ量 1TBps 長の攻撃の様です。
1 に 1TB のデータが押し寄せてくるのです。
GitHub に 1 TBps 超の攻撃、「memcached」を利用する新たな DDoS 手法を解説 – トレンドマイクロ セキュリティブログ
こういった攻撃に対して以下のような対策が可能な様です。
- memcached 攻撃を理解すること
- 送信受信、共にトラヒックを関しすること
- 複数のISP回線を契約すること
- ISP側の対策を理解すること
- ホスト側ではアクセス制御を実施すること
というか、そもそも 11211/udp を許可しているという事自体が運営体制的に不思議ではあるけど。
著者:takahashi
[あなたのVPNは大丈夫?]VPNサービス利用の注意点
最近大幅に普及してきた公衆無線LAN。
ものによってはパスワードを入れなくても接続が行える無線LANもあり非常に便利ではあるのですが、これらの無線LANは無線で送受信されるデータが暗号化されておらず、だれでも簡単に傍受可能であることは有名な話です。
最近では対策としてVPNサービスを利用して通信経路を暗号化するユーザーも多くなっているようです。
VPNとは簡単に言うと、暗号化技術を使ってインターネット上に「仮想的に自分専用の通信線を引く」ことができる技術です。
VPNを使えば、例えば遠隔地からインターネット経由で自宅のLANや会社のLANに直接接続しているのと同じ状態を実現することができます。
つまり、一度VPNのコネクションさえ確立してしまえば、たとえどんな経路を使っていたとしても自宅や職場の拠点のLANに安全に接続できる…!
…なんて思っている方が多いのではないでしょうか?
確かに、VPNを利用すれば、自分のPCからVPNサーバー(ゲートウェイ)までの通信の安全性は(暗号が解読されない限り)担保されます。
しかし、その先の経路についてはVPNの保護のはんいがいであり、第三者の目にさらされる可能性があります。
なぜなら、VPNは飽くまで遠隔地のLANに接続する機能であり、そこから目的地までのアクセスはVPNでつないだ接続先のネットワークが担当することになります。
そこにながれるデータはVPNによる暗号化はされていないので、同じ接続先のLANに接続する人や、そのLANの管理者、さらにその上位のネットワークの管理者に傍受される可能性も考えなければいけません。
アクセス先が自宅のLANや社内LANであれば、同じLANに接続するのは身内の人間のはずなので、たとえ見られたとしても問題はさほどないでしょう。
ただし、もし接続先がVPNサービス業者が提供するような、公衆VPNのようなものの場合、場合によっては同じLANに接続する別の利用者や管理者によって自分の通信がのぞき見される可能性があることを頭の片隅に置いておく必要があります。
つまり、VPNサービス提供業者が確実に信頼できるところであればいいのですが、もしあまり信頼できない、ということであれば、安全性のレベルとしては公衆無線LANに直接接続するのとさほど変わらなくなってしまう、ということになります。
Android5.0以降でVPNに接続すると、こんな警告が通知領域に表示されます。
上記のようなことがあるので、注意してくださいね。という警告です。
ただ、ここまではっきりと警告が出てしまうとちょっとびっくりしてしまいそうな人も出てきそうですね。
ちなみに、VPNサーバーは必ず業者のサービスを利用する必要はなく、ある程度の知識とVPN接続先にするネットワークに十分な帯域があれば、だれでも自分のネットワークに設置することができます。
自分の場合は、Raspberry Pi 3 にSoftEther VPNというフリーのVPNサーバーソフトをインストールして利用しています。
自分の自宅のネットワークを経由してインターネットへ接続するので、どこかのVPNを借りるよりも個人的には安心できるかなと思います。
普通のPCにもインストール可能なので、是非検討してみてはいかがでしょうか?
インターネット上ではあらゆる仕組みが動いていますが、その基本的な動作を理解していないと落とし穴にはまってしまうことも少なくありません。
ざっくりとでも仕組みを理解して、インターネットをより便利に使いこなしていきたいですね。
著者:takahashi
memcachedにDDoS攻撃の踏み台にされる脆弱性が発覚。利用している方はすぐに確認を。
先日、メールでさくらインターネットから注意喚起の記事が届きました。
【重要】memcachedのアクセス制御に関する注意喚起 – さくらインターネット
WebサーバーなどでWebページ表示の高速化を行う目的で、memcachedというプログラムを利用することがあります。
このmemcachedですが、実はローカルにある必要はなく、例えばWebサーバーが動作している環境とは別のマシンにmemcachedをインストールし、Webサーバーから参照する…ということも可能になっています。
このmemcachedの機能を悪用して踏み台とし、特定のホストに対してDDoS攻撃を仕掛けることができてしまうようです。
memcachedを悪用する攻撃は国内でも多数観測–IIJ – ZDNet
memcachedが初期設定ではホスト上の全てのネットワークインターフェースでTCPやUDPの11211ポートに対する着信を受け付けるため、インターネット上の不特定多数のホストからの通信を受け付けてしまう可能性があると解説。リクエストに対してレスポンスにおけるメッセージサイズが大きくなるため、これを悪用して通信量を増幅させることでDDoS攻撃を仕掛けることが可能になる。
対策前のmemcachedはデフォルトで外部からの通信を受け付ける設定になっていたとのことで、入れっぱなしでアクセス制限などを設けていないと、DDoS攻撃に悪用されてしまう可能性があるとのこと。
ごくごく一般的に使われているものなので、最近のディストリビュージョンではパッケージマネージャーなどでサクッとインストールできるようになっているものが多いです。
使っていなくても、何かの機会にインストールしている可能性もありうるので、サーバー管理者の方は一度確認をされた方がいいかもしれません。
著者:takahashi
その”Prime”はいらなかった。新たな脆弱性 Meltdown Prime/Spectre Prime が発見される。
先日発覚してから大騒ぎになっているCPU脆弱性Meltdown/Spectre ですが、最近別の方法で同様の脆弱性をつくことができる攻撃手法が見つかったそうです。
CPU脆弱性「Meltdown/Spectre」を悪用した新たな攻撃手法–研究者らが発見 – ZDNet
その名前も「Meltdown Prime」「Spectre Prime」。
Primeってぱっと聞くと、高級なイメージが浮かんできますが、実際に調べてみると
1主要な,主な,最も重要な.
2優良の,最良の,第一等の; すばらしい,極上の.
3根本的な,基礎的な,本質的な.
という意味なのだそう。
恐らく1か3の意味で使われているのでしょうが、個人的には2のイメージが強いので、なんだか皮肉に聞こえてしまいます(苦笑
現時点では攻撃に使ったソースも未公開らしく、詳しい内容については不明です。
参照元の記事では
MeltdownとSpectreを悪用した新種の攻撃には、既存のソフトウェアによる緩和策で十分に対応できる見通しだ。しかし、IntelやAMDなどのチップメーカーは、ハードウェアによる緩和策を開発する必要があると、研究者らは指摘している。
と書かれており、ユーザーにとっては特に影響がないようですが、対応に追われているIntelをはじめとするCPUメーカーにとっては”死体蹴り”な出来事になったかもしれません。
各CPUメーカーが何とか根本的な解決にたどり着くことを祈ります。