この過去ログの記事一覧(このページのみ)です。

インテルCPU、リモート操作される脆弱性

GIGAZINEの記事

  • Intelのここ10年内に登場したCPUに潜むリモート操作される脆弱性。
  • この脆弱性はIntel Coreプロセッサーの第1世代から第7世代までで、Intel Active Management Technology(AMT)、Intel Standard Manageability(ISM)、Small Business TechnologyでIntel manageability firmwareのバージョンが6からの11.6のマシンに含まれており、権限を持たない攻撃者によるローカルやネットワーク経由の攻撃を許すものだ。
  • 脆弱性はコンシューマー向けPCでは存在しない。

(ttp://gigazine.net/news/20170502-intel-code-execution-bug/ Intelのここ10年内に登場したCPUに潜むリモート操作される脆弱性に緊急パッチがリリースされる - GIGAZINE)

 

上記の脆弱性の1つであるAMTは、システム管理者が組織および従業員が使用するマシンをリモートで制御するための管理機能です。AMTは多くのIntelチップに搭載されている「Management Engine(ME)」にインストールされた状態で出荷されますが、MEはユーザー側で管理することができないそうです。(←ビジネス向けPCに、ユーザー側で管理できない管理機能をCPUに載せるってw 従業員の情報が経営者に駄々漏れだw

(ttp://gigazine.net/news/20170515-intel-management-engine-security-hazard/ IntelのCPUのセキュリティ問題について電子フロンティア財団が指摘 - GIGAZINE)

 

AMDの廉価版CPUで良かった。ざまぁwww

数日前の記事でインテルのCPUでないためにエルモを動かせないことを明らかにした。これはまさにイソップ童話のすっぱい葡萄。

posted at 2017年05月15日 21:27 | Comment(0) | パソコン | このブログの読者になる | 更新情報をチェックする

WannaCry 大規模サイバー攻撃

事件概要

  • 全世界で12日、主にマイクロソフトの「ウィンドウズXP(Windows XP)」の脆弱性に付け込んだサイバー攻撃が相次いで発生。「WannaCry」や「WCry」と呼ばれるランサムウェアが攻撃に用いられた。
  • その手口は、利用者がデータにアクセスすることを一時的に不可能にし、その解除と引き換えに仮想通貨「ビットコイン(Bitcoin)」での身代金支払いを要求するもの。
  • 今回のサイバー攻撃による被害は世界150か国以上に及び、被害件数は20万件以上に上っている。
  • 露モスクワのITセキュリティー大手カスペルスキーの研究チームは、米国家安全保障局(NSA)が開発したコードが使用された点を指摘し、これが被害の急速な拡散につながったとしている。このデジタルコードは、NSAから流出したドキュメントに含まれていたものだという。
  • 犯人像については、個人とは考えにくく、サイバー犯罪を専門とする地下組織がかかわっている。
  • 感染すると、300ドルを仮想通過ビットコインで支払うよう要求するメッセージがスクリーンに表示される。メッセージは、支払いが3日以内に履行されない場合には金額が2倍となり、7日以内に支払いがなければデータファイルは消去されるとする警告文だ。

(ttp://www.afpbb.com/articles/-/3128245?act=all 大規模サイバー攻撃、これまでにわかったこと 写真1枚 国際ニュース:AFPBB News 2017年05月15日)

 

被害がどのように世界に広がったか

  • Windowsの脆弱性「EternalBlue」を突くランサムウェア「WannaCry」の亜種「WanaCrypt0r」が150カ国を襲い、中国の大学、イギリスの20以上の国立病院、ドイツの駅、フランスの日産ルノー自動車工場、スペインの通信最大手Telefonica本社、アメリカのFedExなどに被害が広まっています。
  • Kaspersky Labが「74ヶ国で45,000件」と発表した6時間後の段階では被害の7割がロシアに集中していました
  • 日本語脅迫文は誤訳でおかしい。「お支払いを送信するのに3日しかかかりません」が特におかしい。
  • ランサムウェアの無料ファイル復号ツール を多数提供してるセキュリティ会社 Emsisoft によると、現時点では復号ツールを提供できる可能性は低いとしてます。

(ttp://www.gizmodo.jp/2017/05/wanacrypt0r-20-attack.html 世界パニックのランサムウェア「WannaCry」被害&対処まとめ(日本語脅迫文は誤訳でおかしなことに)|ギズモード・ジャパン 2017.05.15
ttps://blogs.yahoo.co.jp/fireflyframer/34623621.html WannaCrypt/WannaCryランサムウェアウイルス .wncry拡張子ファイル変更 対策は? ( Windows ) - 無題な濃いログ - Yahoo!ブログ 2017/5/13)

 

日立に被害が!

  • 日立製作所の社内システムに障害が発生したことが分かった。
  • 警察庁が14日までに確認した国内の被害は病院と個人の2件。

(ttp://www.nikkei.com/article/DGXLASDZ15H76_V10C17A5MM0000/ サイバー攻撃、日立でシステム障害 企業・官公庁が警戒 (写真=AP) :日本経済新聞 2017/5/15)

 

JR東日本に被害?

JR東日本は5月15日、同社のPC1台がサイバー攻撃を受けたことを明らかにした。世界各地で猛威をふるうランサムウェア「WannaCry」の可能性があり、「原因を調査中」という。電車の運行システムへの影響はないとしている。(←なぜビットコイン送金の画面が出てくるかどうかを調べない? こういう中途半端なニュースが怠慢だ

(ttp://www.itmedia.co.jp/news/articles/1705/15/news108.html JR東、PC1台がサイバー攻撃被害 ランサムウェア「WannaCry」に感染か - ITmedia NEWS 2017年05月15日)

 

TOPVALUに被害が!

ケーキ屋ケソちゃん「近所のスーパーの商品PR用画面がこうなってた」

(画像ソース ttps://twitter.com/coltssr/status/863705211696668672
ttp://asahi.2ch.net/test/read.cgi/newsplus/1494826575/97
ttp://hitomi.2ch.net/test/read.cgi/poverty/1494821620/1)

2ちゃんねるソース。IT後進国の日本に広がらないはずがない。

このツイートにテレビ朝日報道局の報道ステーション、フジテレビ報道局、毎日放送報道局、フジテレビとくダネ!、テレビ朝日「羽鳥慎一モーニングショー」から取材依頼が行っているw

 

ロシア、ウクライナ、インドの被害が特に多い

  • 攻撃の多くはロシアで起きていますが、ウクライナ、インド、台湾でもWannaCryによる被害が出ています。当社では74か国でWannaCryを発見しましたが、これは攻撃発生初日のみのデータです。(←ソース元に世界地図の色分け画像がある。アメリカに広がっていないのが意外だ
  • WannaCryには、他の暗号化型ランサムウェアとは異なる特徴があります。一般的な暗号化型ランサムウェアがコンピューターに感染するには、コンピューターを使う利用者の側で何らかのアクションが必要です。たとえば、不審なリンクをクリックする、Wordファイルを開いて悪意あるマクロを実行させる、メールに添付された添付ファイルをダウンロードする、などです。しかしWannaCryの場合、一切の操作を必要としません。(←やはりリモートから感染させられる
  • リモートから感染させられる脆弱性は、3月15日のセキュリティ更新プログラムで修正された。しかし、リンクのクリック、マクロの実行、添付ファイルのダウンロードなどによる感染はこのセキュリティ更新プログラムでも防げない。

(ttps://blog.kaspersky.co.jp/wannacry-ransomware/15524/ WannaCryから身を守る方法 – カスペルスキー公式ブログ  2017年5月15日 )

 

マイクロソフトがNSAとCIAを批判

  • マイクロソフト社長ブラッド・スミス氏が、米国の諜報機関であるNSAやCIAを激しく批判しています。理由は、NSAからリークした情報の中に、マイクロソフトに報告せず諜報活動に利用していたWindowsの脆弱性があったため。
  • この2月、マイクロソフトはサイバー攻撃から民間人を守るため、企業や政府などが発見した脆弱性を報告することを要求する「デジタル・ジュネーブ条約」の必要性を訴えていました。

(ttp://japanese.engadget.com/2017/05/14/wannacry-nsa/ マイクロソフト、WannaCry被害でNSA批判。「トマホークミサイルを盗まれたのと同じようなもの」 - Engadget 日本版 2017.05.15)

 

5/13 Windows XPなどに異例のセキュリティパッチ公開

マイクロソフトは5月13日、Windows XP/XP Embedded/8やWindows Server 2003向けにも、MS17-010のパッチを提供開始した。これらのOSはすでにサポート終了となっているが、この脆弱性を突くWannaCryランサムウェアが5月12日ごろから世界的に感染を拡大させているため、「highly unusual step(極めて異例の手段)」を取ると、MSRC公式ブログでは説明している。

(ttp://ascii.jp/elem/000/001/482/1482839/ ASCII.jp:WannaCry対策、MSがWindows XPやServer 2003にも異例のパッチ提供)

 

Windows7や8が主な標的

  • なぜかWindows 10への感染はほとんどなく、Windows 8や7が主な標的になっているとのこと。

(ttp://japanese.engadget.com/2017/05/13/windows-xp/ マイクロソフト、サポート切れのWindows XP他に「異例のセキュリティパッチ」公開。世界的にランサムウェア被害拡大中 - Engadget 日本版)

 

脆弱性を悪用するコードを開発して、諜報活動していたNSAは何なんだ? 3月15日のセキュリティ更新プログラムが提供されるまで、Windows 10以外のすべてのWindowsに対してNSAが外部ネットワークからこっそりと諜報活動をしていたということになる。Windows XPなど古いWindowsに対してはWannaCryの被害が広がった後の5月13日になってようやくマイクロソフトがセキュリティ更新プログラムを提供するまで、NSAが外部ネットワークからこっそりと諜報活動をしていたということになる。

また、マイクロソフトのOSには誰にも知られていない脆弱性があって、いずれかの組織がその脆弱性をこっそりと悪用しているということになる。

世界的に主要なIT企業をアメリカが独占しているが、そのアメリカの政府機関がITの脆弱性を悪用して諜報活動をしていたことは重大なことだ。アメリカへの信頼性が大きく損なわれた。ただでさえ最新のWindows 10は個人情報を積極的に収集してマイクロソフトに送信するOSだというのに。

また、最新のセキュリティを更新し続けるだけではセキュリティを保つことにならないことになる。コンピューターをネットワークにつなぐこと自体が非常に危険である。

と、危険を煽るばかりだとあれなので、少し安心させると筆者のパソコンはファイアーウォールでSMBプロトコルを遮断していた。というか外部からの接続要求はICMPを含めてすべて遮断している。セキュリティ対策を公開することはサイバー攻撃から弱くするので言いたくないが。

Windowsの脆弱性「EternalBlue」がSMBプロトコルの脆弱性を悪用していることが恐ろしく、外部ネットワークからの攻撃でコンピューターが乗っ取られることを示している。SMBはウィンドウズの基本的なプロトコルなので、セキュリティ更新プログラムを適用していなければウィンドウズのネットワークを構築するだけで感染させられる。

復号ツールを提供できないというのもすごいことだ。ビットコインで支払ったら復号できるというランサムウェアがパソコン内に存在しているというのに、全世界の技術者が束になっても復号できないという技術力の高さ。ビットコインを受け取った人を特定できないというのもすごい。いったいどういう仕組みなのか。

もし本当にビットコインを受け取った人が特定できないのであれば、犯罪に利用されるという一点でビットコインを日本で流通させないという合意が取れそうだ。

WannaCryが世界中に与えた損害の金額が大きい。マイクロソフトとNSAがWannaCryによる損害賠償を求められたらきつそうだ。

 

ドイツ政府「Windows8はNSAにバックドアを利用される」

ドイツの経済省によって2012年の初め頃から作られてきた公文書から、「連邦政府や重大なインフラのオペレーターにとっては、Trusted Computing技術の使用は承諾しがたい」という結論を政府が下したことをZEIT ONLINEが発見。さらに、Trusted Computing技術を使用したMicrosoftのOS、Windows 8を利用することはNSAなどの諜報機関に、コンピュータのバックドアをいつでも自由に利用される危険性があると報じています。

(ttp://gigazine.net/news/20130903-warns-on-security-dangers-of-windows-8/ ドイツ政府がWindows 8のセキュリティに重大な危険性アリと警告 - GIGAZINE 2013年09月03日)

 

NSA、日本に監視システムを提供していた

  • 2013年の文書では、「XKEYSCORE」と呼ばれるネット上の電子情報を幅広く収集・検索できるシステムを日本側に提供したとしている。

(ttp://www.asahi.com/articles/ASK4S6QZGK4SUHBI035.html 米NSA、日本にメール監視システム提供か 米報道:朝日新聞デジタル 2017年4月24日)

このシステムを通してNSAは間違いなく日本の諜報活動をしている。日本人の隣人にプライバシーを覗かれるのは嫌だが、遠くの外人に監視されるのは気にならないという意見もあるだろう。しかし、共産党に自主独立の精神があって、自民党に従属の精神しかないことが嘆かわしい。監視されることで国家の自由な活動が制限されるとなればBREXITのように国家の自己決定権を持ちたいという意見が出てくるはずだ。

 

北朝鮮が疑われた

  • アメリカやロシアの情報セキュリティー会社によりますと、今回のサイバー攻撃に使われた、「ランサムウエア」と呼ばれる「身代金要求型」の有害なソフトウエアを構成するソースコードと、北朝鮮のハッカー集団「ラザルス」が、かつて使用したと見られている有害なソフトウエアのソースコードに類似点があるということです。

(ttp://www3.nhk.or.jp/news/html/20170516/k10010983511000.html 大規模サイバー攻撃 北朝鮮ハッカー集団使用のソフトと類似 | NHKニュース 2017/5/16)

2ちゃんねるで何の根拠もなく北朝鮮だというレスを見て「ないない」と思っていたのがNHKのニュースになるとはw 言われてみると、北朝鮮は国際秩序に挑戦するという意味で反社会的(反国際的)だ。何も反論しないとスケープゴートにされるだけの北朝鮮がこれに反論してくるかどうかに注目。

 

5/19 北朝鮮「北朝鮮と結びつけるのはばかげている」

  • これは北朝鮮のキム・インリョン国連次席大使が19日昼前、国連本部で記者会見を開いて述べたものです。
  • 一連のサイバー攻撃への関与について、「北朝鮮と結びつけるのはばかげている。奇妙なことが起きると、いつもアメリカと北朝鮮の敵対勢力が意図的に騒ぎたてる」と述べて関与を否定しました。

(ttp://www3.nhk.or.jp/news/html/20170520/k10010988521000.html 北朝鮮 米の空母展開を批判 サイバー攻撃への関与否定 | NHKニュース 2017年5月20日)

 

FBIがAppleにiPhoneのロックの解除を要求

  • FBIは容疑者のiPhoneのロックの解除をAppleに要請。しかしAppleはユーザーのプライバシー保護を理由に一貫して抵抗。
  • FBIは、ファルク容疑者のiPhoneのパスコードをクラッキングするため、アップルが協力するようカリフォルニア地方裁判所から命令を取り付けた。
  • iPhoneのロック解除をしたのはイスラエルの企業Cellebrite。
  • アンケートでは「ロック解除容認派」が多かった。

(ttp://www.gizmodo.jp/2017/05/fbi-paid-100million-yen-to-unlock-the-iphone.html 2015年のアメリカ銃乱射事件、容疑者のiPhoneのロック解除のためにFBIがかけた金額は約1億円|ギズモード・ジャパン 2017.05.12
ttp://gigazine.net/news/20161125-cellebrite/
ttp://business.nikkeibp.co.jp/atcl/report/15/061700004/022600085/)

Appleはプライバシー保護のために国家と戦ったが、グーグル、フェイスブック、マイクロソフトに裁判所から命令が下った場合、抵抗しないのではないかという疑惑。

 

Windows XP限定、メモリが上書きされるまで限定で、復号ツール

  • Wannakeyはフランス在中のセキュリティ研究者を名乗るAdrien Guinet氏が製作したもので、無償で入手可能。
  • (Windows XPでは)メモリ領域を解放する前に、Windows APIのCryptDestroyKeyとCryptReleaseContextがRSA秘密鍵の素数を消去しない。メモリ領域に残されたRSA秘密鍵の素数を入手できているようだ。

(ttp://pc.watch.impress.co.jp/docs/news/1060497.html ランサムウェアWannaCryの暗号化を解除する「Wannakey」がGitHubに公開 〜対応OSはXPのみで動作条件は限定的 - PC Watch)

1時間もパソコンを使ったらメモリが上書きされるだろうw 復号の成功率が低いとみる。

 

WannaCryの動作中という限定で、復号ツール

(ttp://forest.watch.impress.co.jp/docs/news/1061129.html 「WannaCry」に対応したトレンドマイクロ製の無償ツール「ランサムウェア ファイル復号ツール」 - 窓の杜 2017年5月23日)

WannaCryがファイルを暗号化してるときでないと動作しないという不思議ツール。この復号ツールが複合キーを取得した後でWannaCryのプロセスを停止していいのか? 窓の杜の記事が中途半端だ。

 

中国語に堪能な人物が関わった可能性が高い

民間のITセキュリティ会社、「デロイト トーマツ リスクサービス」は、これらの脅迫文を分析したところ、唯一、中国語のものだけが文法の誤りや不自然な言い回しがなかったことから、ウイルスの開発に中国語が堪能な人物が関わった可能性が高いとしています。

(ttp://news.tbs.co.jp/newseye/tbs_newseye3072262.html 身代金要求型ウイルス、中国語堪能な人物 関与か TBS NEWS 2017/06/06)

posted at 2017年05月15日 20:11 | Comment(0) | IT | このブログの読者になる | 更新情報をチェックする