カテゴリーアーカイブ 情報セキュリティ

著者:杉浦

OWASPの紹介

 

OWASP – Open Web Application Security Project とは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。

 Japan – OWASPより引用
 OWASPは上記にある通りセキュリティ関係の技術を公開しているコミュニティです。コミュニティとありますがOWASPのページ、プログラムは特別な会員にならなくとも閲覧、ダウンロードできます。wikiみたいなものです。
 最近よくお世話になっているのがOWASP Cheat Sheet Series – OWASPです。webを介した攻撃は無数にありますが、パターン化されたありがちな攻撃というのもあります。パターン化されたといえども、それらは多彩で、自分だけの考えによって全て予防するのは困難です。チートシートは60種類以上あり、その内容はSQLインジェクション、XSSなどの予防、攻撃例など様々です。

  • この記事いいね! (0)
takahashi 著者:takahashi

SIMハイジャック犯、ついに逮捕される。

以前こちらでも紹介したSIMハイジャック事件ですが、ついに犯人が逮捕されたようです。

携帯電話番号を何十件も乗っ取って総額5億円以上を盗んだ疑いで大学生ハッカーが逮捕される – Gigazine

気になるのはどうやって犯人を特定したか、というところですが、Gigazineによると乗っ取られたSIMカードを使っていた端末から、持ち主が所持していない不審な端末を割り出し、さらにその不審な端末のIMEI(端末の個体識別のようなもの)と紐づいているアカウントをGoogleに照会したことで、そのアカウントの持ち主=犯人 の特定ができたようです。
カリフォルニア州警察、なかなかやります。

そして、今回少し驚いたことは、Googleなどの企業がちゃんとIMEIをアカウントとセットで管理していたという点。
被害者にとってみれば、とても貴重で強力な情報となります。今後何らかの事件で調査が必要になった際も助けになるかもしれませんね。

  • この記事いいね! (0)
takahashi 著者:takahashi

恐ろしすぎる”SIMハイジャック”の恐怖

ネットニュースの記事で、こんなニュースが流れてきました。

電話番号が奪われてしまうSIMハイジャックの脅威とは? – Gigazine

によると、アメリカではある日突然、SIMカードが”乗っ取られて”しまう”SIMハイジャック”なるサイバー攻撃が増加しているようです。

上記の記事によると、アメリカのMNOであるT-Mobile社を利用するユーザーの端末のもとに、ある日突然SIMカードが更新されたというメッセージが届き、それ以降その端末がモバイルネットワークへ接続不可能となってしまったとのこと。
ユーザーの家族がユーザーの番号へ電話をかけたところ、全く知らない人物が電話に出て、SIMをハイジャックしたことを暴露した…という流れ。

被害にあったユーザーは電話番号で認証情報を連携していたSNSや各Webサービスのアカウントをごっそり乗っ取られてしまったそうです。

そしてこの原因が驚くことにキャリアの本人確認不足。
その気になればだれでも手に入ってしまう情報のみで本人を断定し、まったくの第三者に対して、SIMを再発行して渡してしまったようです。

こちらの記事も、同様の被害にあい、仮想通貨を奪われてしまったユーザーのケースです。

ハッキングで仮想通貨を盗まれた海外の投資家がTモバイルを告訴!なぜ仮想通貨取引所ではなく携帯電話会社を訴えたのか、詳細まとめ! – やさしいビットコイン入門講座

こちらの記事では何故か訴訟した側を叩くような流れになっていますが、本人確認を怠った時点で明らかにT-Mobile側の落ち度であり、多数の被害者がいるにも関わらず今のところ対策が注意喚起のみという、通信事業者としてあり得ない事態となっています。

最近のサイバー攻撃は、システムからそれを管理する”人”を対象としたものにシフトしています。システムの技術的な”あら”を探すより、それを管理する管理者を騙した方がはるかに簡単だからです。
管理者が”クラッキング”されている現状が続く以上、どんなに堅牢なシステムを築いたところで全くの無意味となってしまうでしょう。

ちなみに、日本国内では法律で厳密な本人確認が義務付けられており、手続きを行う際は必ず身分証の原本が求められるようになっているなど、しっかりとした個人認証が行われています。

携帯電話の犯罪利用の防止 – 総務省

失敗を犯した存在に後ろ指を指すのは簡単です。
モバイルネットワーク事業者に限らず、何らかのサービスを提供している立場に自分自身がいる場合は、本人確認は厳密に行うように心がけていきたいですね。

  • この記事いいね! (0)
takahashi 著者:takahashi

クラックされてしまったWPA2の改良版、WPA3策定が完了

Wi-Fiは物理的な接続である有線LANと違い、電波が届く範囲内であればどこにいても接続が可能です。
そのため、物理的なケーブルであれば、不正につないでいる人を見つけることは大抵は難しいことではありませんが、無線であるWi-Fiの場合は電波が届けば接続出来てしまうので、誰かが不正に接続していても気づかないことがあります。

そういった場合を防ぐために、Wi-Fiには”パスワードがわかる人しか繋げられない”ようにする機能があります。
この機能、つまりWi-Fiの認証と暗号化の機能はいくつか規格があるのですが、いままで破られにくいとされていた”WPA2″が主流として使われていました。

ところがこのWPA2の認証を突破できてしまう”KRACKs”という攻撃方法が発見され、その堅牢性は崩れることになりました。

WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解 – ITMedia

WPA2は業界共通の”標準規格”のため、簡単にアップデートすることは難しく、当面はパッチで対応する形でしのいていました。

そして今回、WPA2のアップデート版であるWPA3がついに策定されました。

新しいWi-Fiセキュリティ規格「WPA3」登場 – ITMedia

WPA3は、WPA2との互換性を維持しつつもKRACKsなどへの対策もされているとのこと。

 WPA3では、WPA2デバイスとの相互運用性を維持しながらPMF(Protected Management Frames:管理フレーム保護)を必須とした。また鍵確立手法を従来のPSK(Pre-Shared Key:事前共有鍵)から新しいSAE(Simultaneous Authentication of Equals:同等性同時認証)に変更。ハンドシェイクの手順や認証の再試行回数を変更して各種攻撃への耐性を上げた。

今後発売される機器にはWPA3が搭載されることになりそうです。
また、ファームウェアアップデートが可能な機種でも、もしかすると利用可能になるかもしれません。

今後の動きに注目していきたいですね。

  • この記事いいね! (0)
著者:ym

Twitter Yubikey security

Twitter がログイン時の認証として、物理的な USB キーの認証に対応をしたようです。

Twitter Safety(@TwitterSafety)さん – Twitter

Google 認証アプリはやめて、最近は IIJ ワンタイム生成アプリを使うようにしているので、機種変更したときでも以外とスムーズに移行はできているけど、そろそろ、指なUSBキー、YubiKeyも使い始めようかな。

USBだけじゃなくてNFC 対応品が良いとか考えると、結構高いんですよね。

  • この記事いいね! (0)
著者:ym

00000JAPAN Wi-Fi – 災害時公衆無線LAN

家を出ようとしたとき、地震発生。スマホで速報を見るとなんと震度6弱。また大地震です。浜松は土砂降りの雨の中でしたのですが、大阪では雨は降っていない様子。朝の時間帯で火事が怖い時間帯です。

大阪府全域で、携帯キャリア各社を中心に災害時公衆無線LAN 00000JAPAN が発動されました。

SSID は 「00000JAPAN」

日付が変わって 19 日に入り京都や大阪北部でも地震が続いているようですので警戒を。今回の地震では浜松市は震度3で何十年も地震に備えてきてはいますが、再度警戒しなくては。

浜松では HAMAMATSU FREE Wi-Fi が利用できます。こういった災害時にはFacebookなどはほとんど役立ちません。なんだかんだ言って一番役立つのがTwitter。SNSを有効活用してほしいです。

 

  • この記事いいね! (1)
著者:ym

DNS 1.1.1.1 の BGP ハイジャック

先日開始した Cloudflare のパブリック DNS リゾルバサービス 1.1.1.1 ですが。

先日 BGP ハイジャックが発生した、1.1.1.0/24 の経路が中国から AS58879 から広報され、信じてしまった ISP 配下は影響を受けたようです。

  • この記事いいね! (0)
著者:ym

GDPRとクッキー

2018年5月25日にGDPR (EU 一般データ保護規則) が施行されましたが、始まってすぐ Facebook と Google が提訴された様です。

罰金となれば Google 側が 4700億円で、Facebook関連は39億円。

FacebookやGoogleに限りらず、どの企業も罰金となった場合には最低でも 26 億円となるため、果てしない金額です。

今は IP が対象ですが、クッキーも対象になる 「eプライバシー規制」の準備にはっている様です。

  • この記事いいね! (1)
著者:ym

RAID6の復旧

今日はファイルサーバのトラブル。

ここん所 1 週間くらい、なんだかアクセスやファイルを開くのが遅いなとは思っていましたが、今日、仕事にならないレベルに達し、原因調査を行いました。

QNAPの管理画面ではRAID構成も正常で、SMARTチェックをかけても正常。さらに調査していくと、LEDの点滅状態が HDD 一つだけ怪しいのを発見しました。SMARTパラメータを見てみると、やはりディスク1本だけ代替セクタが増えていて、これが原因と断定。

QNAPのホットスワップ対応品なので、電源ON状態で交換開始です。RAIDは正常なのに強制的に引っこ抜きます。

QNAPなのでLinuxのソフトウェアRAID。

バックアップはあるけど、全滅する可能性を秘めているので、ドキドキワクワクです。

RAID6 で HDD は 5 本構成。最大 2 本まで故障できる。高スペックを要求されない部分で、少しでも管理コストを軽減するために選んだ構成。当然予備ディスクも必須で常設。一方バックアップ側は、Windows サーバを使いシャドーコピーを利用できる様にし、共有サーバ側のファイルを右クリックすることで自分でも復旧できるバックアップとして使っています。勿論それは担当者レベルでできる復元機能として用意しているだけで、実際は iSCSI ストーレジを QNAP 側で担当し、ブロックレベルでは無く、ファイル単位ベースで全てのバックアップを取る形。こうやってバックアップをとり、不安材料を減らしています。

とか言って、まだ全壊の可能性は残ってるんですけどね。無事HDD交換を済ませ、只今RAID6 のリビルド中です。

ドキドキ。

  • この記事いいね! (0)