カテゴリーアーカイブ セキュリティ

takahashi 著者:takahashi

MBaaSのFirebase、脆弱性により情報流出が発覚

Googleが提供しているサービスであるFirebaseから、なんと合計1億件以上の情報流出(Gigazine)が確認されたようです。

合計1億件以上の個人情報がFirebaseの脆弱性によって公開状態に – Gigazine

Firebaseはモバイルアプリのバックエンドに必要な機能(ログイン管理やプッシュ通知など)を一括して提供してくれるmBaaS(mobile Backend as a Service)です。

Firebaseの始め方 – Qiita

Firebaseを使うことで、本来自前でサーバーを用意してアプリのバックエンドを構築しなければいけないところを、Firebaseで対応している機能であればすべてこのサービス上で賄える、というサービスのようです。(恥ずかしながら知りませんでした。)

Gigazineの記事によると、Firebaseとの連携処理がちゃんと行われていないアプリが原因だったとのことです。

この脆弱性はFirebaseデータベースの認証が適切に行われていないときに顕在化するもの。2017年第2四半期に見つかった、アプリ開発者によるデータ格納の保護が不完全なときに情報が露出してしまう「HospitalGown」と呼ばれる脆弱性の変種であると考えられています。

Appthorityのディレクターであるセス・ハーディ氏は「このFirebaseの脆弱性は膨大な量の機密情報を公開してしまうような重大かつ危機的なものです。多くの『脆弱なアプリ』があり、多種多様なデータが公開されてしまっているという事実は、企業がアプリの開発者に頼れず、アプリストアによるチェックや単純な『マルウェアスキャン』でも対策できないということを示します。GDPRやHIPAA、PCIといったデータ保護の規則を守るために、今後はこの種の脆弱性を見つけられるよう、深いアプリ分析に投資する必要があるでしょう」と述べています。

Firebaseのサービスを利用していなければ影響を受けなかったインシデントなので、個人的には”パブリッククラウドの危ない面”が露呈してしまったのかな、という印象です。

対策がされているとはいえ、複数のユーザーで共有している環境である以上、使用する際はこういった危険性も考えて置く必要がありそうですね。

  • この記事いいね! (0)
著者:ym

00000JAPAN Wi-Fi – 災害時公衆無線LAN

家を出ようとしたとき、地震発生。スマホで速報を見るとなんと震度6弱。また大地震です。浜松は土砂降りの雨の中でしたのですが、大阪では雨は降っていない様子。朝の時間帯で火事が怖い時間帯です。

大阪府全域で、携帯キャリア各社を中心に災害時公衆無線LAN 00000JAPAN が発動されました。

SSID は 「00000JAPAN」

日付が変わって 19 日に入り京都や大阪北部でも地震が続いているようですので警戒を。今回の地震では浜松市は震度3で何十年も地震に備えてきてはいますが、再度警戒しなくては。

浜松では HAMAMATSU FREE Wi-Fi が利用できます。こういった災害時にはFacebookなどはほとんど役立ちません。なんだかんだ言って一番役立つのがTwitter。SNSを有効活用してほしいです。

 

  • この記事いいね! (1)
著者:ym

DNS 1.1.1.1 の BGP ハイジャック

先日開始した Cloudflare のパブリック DNS リゾルバサービス 1.1.1.1 ですが。

先日 BGP ハイジャックが発生した、1.1.1.0/24 の経路が中国から AS58879 から広報され、信じてしまった ISP 配下は影響を受けたようです。

  • この記事いいね! (0)
著者:ym

GDPRとクッキー

2018年5月25日にGDPR (EU 一般データ保護規則) が施行されましたが、始まってすぐ Facebook と Google が提訴された様です。

罰金となれば Google 側が 4700億円で、Facebook関連は39億円。

FacebookやGoogleに限りらず、どの企業も罰金となった場合には最低でも 26 億円となるため、果てしない金額です。

今は IP が対象ですが、クッキーも対象になる 「eプライバシー規制」の準備にはっている様です。

  • この記事いいね! (1)
著者:ym

RAID6の復旧

今日はファイルサーバのトラブル。

ここん所 1 週間くらい、なんだかアクセスやファイルを開くのが遅いなとは思っていましたが、今日、仕事にならないレベルに達し、原因調査を行いました。

QNAPの管理画面ではRAID構成も正常で、SMARTチェックをかけても正常。さらに調査していくと、LEDの点滅状態が HDD 一つだけ怪しいのを発見しました。SMARTパラメータを見てみると、やはりディスク1本だけ代替セクタが増えていて、これが原因と断定。

QNAPのホットスワップ対応品なので、電源ON状態で交換開始です。RAIDは正常なのに強制的に引っこ抜きます。

QNAPなのでLinuxのソフトウェアRAID。

バックアップはあるけど、全滅する可能性を秘めているので、ドキドキワクワクです。

RAID6 で HDD は 5 本構成。最大 2 本まで故障できる。高スペックを要求されない部分で、少しでも管理コストを軽減するために選んだ構成。当然予備ディスクも必須で常設。一方バックアップ側は、Windows サーバを使いシャドーコピーを利用できる様にし、共有サーバ側のファイルを右クリックすることで自分でも復旧できるバックアップとして使っています。勿論それは担当者レベルでできる復元機能として用意しているだけで、実際は iSCSI ストーレジを QNAP 側で担当し、ブロックレベルでは無く、ファイル単位ベースで全てのバックアップを取る形。こうやってバックアップをとり、不安材料を減らしています。

とか言って、まだ全壊の可能性は残ってるんですけどね。無事HDD交換を済ませ、只今RAID6 のリビルド中です。

ドキドキ。

  • この記事いいね! (0)
著者:ym

大事なデータやシステムのアウトソースと事業継続計画

大事なデータを、AWS などのクラウドサービスに預ける事が増えて来たので、参考に。

サーバ事業者さん。契約は結んでいませんが、あなたを訴えます (1-3):「訴えてやる!」の前に読む IT訴訟 徹底解説(55) – @IT

この記事では、「顧客」「サービスベンダー」「サーバ事業者」の3社が登場しています。

裁判結果は「顧客の責任」。

訴えた顧客の敗訴となっています。

ただしこの記事では「サーバ事業者」と「顧客」間の契約は無しのパターンの様です。他にも「サーバ事業者」ー「顧客」ー「サービスベンダー」ー「サーバ事業者」 の三角関係で契約しているパターンの場合もありえますし、勿論、契約内容次第でもあります。

大事なデータをアウトソース・預ける場合、逆に事業者やベンダーなどの預かる側も、必ず障害災害に備えて事業継続の計画は必須です。

  • この記事いいね! (0)
著者:ym

オレオレ SAN 対応証明書

最近の SSL 証明書では SAN (Subject Alternative Name) と言われるマルチドメイン対応しています。

例えば企業で以下の Web サイトを運用していた場合は、1 枚の証明書に全て含める事ができる様になっています。

  • www.cpoint-lab.co.jp
  • cpoint-lab.co.jp
  • www.c-point.co.jp
  • www.tida-cloud.co.jp
  • www.tida-square.co.jp
  • www.hamazo.co.jp

SSL 証明書のサービスで 500 ドメインまで対応とかの文字も見かけるので、相当数対応しているのではと思います。

技術的には、格納可能なバイト数として 4096 バイトの様なのでコモンネームの文字長によって変化する様です。

ただし、一度に全ての証明書更新となるため、一つの URL を追加した場合でも、全てのサーバで入れ直しする必要が出てくるので、これをめんどくさいと考えるか、一度で行えて効率化と捉えるかの判断が必要。

そんなマルチドメイン (SANs) の証明書をオレオレで作成したい。でも簡単。

openssl req \
  -newkey rsa:2048 \
  -days 3650 \
  -nodes \
  -x509 \
  -subj "/C=/ST=/L=/O=/OU=/CN=www.cpoint-lab.co.jp" \
  -extensions SAN \
  -config <( cat /etc/ssl/openssl.cnf <(printf "[SAN]\nsubjectAltName=\
   'DNS:www.cpoint-lab.co.jp,\
    DNS:cpoint-lab.co.jp,\
    DNS:www.c-point.co.jp,\
    DNS:www.tida-cloud.co.jp,\
    DNS:www.tida-square.co.jp,\
    DNS:www.hamazo.co.jp,\
    DNS:*.c-point.ne.jp'\
   ")) \
  -keyout server.key \
  -out server.crt

オラオラ~な証明書なので、ワイルドカードも含めたりとなんでもし放題です。自己CA局作ってブラウザにインストールする場合は、CA局を事前に構築する必要がありますが、証明書だけ使えれば良いという事であれば、この 1 行でサクッと作る事ができます。

subjectAltNameに対応した自己署名証明書の作り方 – Qiita

  • この記事いいね! (1)
著者:ym

情報セキュリティ10大脅威 2018

IPA のサイトを見ていた所、「情報セキュリティ10大脅威2018」が出ていました。

情報セキュリティ10大脅威 2018:IPA 独立行政法人 情報処理推進機構

今年は。

個人がクレジットカード情報不正利用で、組織は標的型攻撃の被害。

組織で、知らない間に情報を取られていたりと、騙されて引っかかるパターンが多い様ですね。

新入社員が入社された企業も有ると思いますが。IPAのサイトではわかりやすく動画のコンテンツも提供している様なので、見ておくと良いですね。

映像で知る情報セキュリティ ~映像コンテンツ一覧~

  • この記事いいね! (0)
著者:ym

車内LAN、車載Ethernetが日産リーフに採用

車載 Ethernet の話。

[特報]次世代車載LANが日本車にも、日産が新型リーフで採用 – 日経 xTECH(クロステック)

この車載 Ethernet って、配線はどうなっているのだろうか。CANやLINとは違うのだろうか?リアルタイム性が求められるLANなので有線だろうけど、ボディーアースで1本の+配線で処理できる電源と同じ様な対応でPoE-LANが取り回せるのであれば結構良い感じがします。でも、気軽にアクセサリやリレーを取り付けられなくなると車両としては面白く無いし。

  • この記事いいね! (1)