「接触確認アプリ"COCOA"を利用する際に注意するべきこと」
新型コロナウイルスの感染を早期に発見し感染拡大を防ぐことを目的としたスマホアプリ、COCOA(COVID-19 Contact-Confirming Application)。
最新の科学技術を駆使し、数年前には絶対に実現できなかった早期発見への注意喚起を促す、素晴らしいシステムですが、利用するにあたって一定のセキュリティリスクは存在します。リスクについて調査しました。
COCOAのシステムでは、COCOAがインストールされたスマホを持つ人同士が15分間以上、1メートル以内に接近した場合に「接触した」と認識され、記録されます。新型コロナウイルス陽性判定を受けたCOCOAユーザが、COCOAアプリに「私は陽性です」と登録することで、陽性者と過去14日以内に接触したCOCOAユーザに通知が届く仕組みになっています*1 。
さて、COCOAのソースコードに脆弱性があったという情報は今のところ特にありません。多くの人が漠然と感じている「個人情報が漏洩してしまうかも」といった懸念も今のところ問題ありません。接触情報には個人情報が含まれておらず、ランダム生成の符号が手持ちのスマホ側に記録されるだけですし、直近14日間分の情報しか保持しません。海外では偽のアプリが出回っていたりしますが、COCOAに関しては今のところ心配なさそうです(COCOAの普及率が低いだけ??)。
ということで皆さん、バシバシご利用下さい。利用者が多ければ多いほどシステム全体の利用価値が上昇し、感染の早期発見効果も高まります。全スマホユーザの6割以上が利用すれば期待する効果が得られるらしいです。
一方で、1メートル以内に接近したことをスマホで検知するためにBluetoothをOnにしなければCOCOAの機能は一切使用することができません。
しかし、Bluetoothを常時Onにする必要があることには注意が必要であると言えます。ワイヤレスイヤホンなどで利用される機会が多いBluetoothですが、一部危険な脆弱性を孕んでいる場合もあり、使わないときはOffにすることが推奨されています。
例えば"BlueBorne"という脆弱性が有名です*2 。
通常Bluetoothを利用して機器と接続する場合、スマホ側を「接続機器を検出するモード」に切り替えることで機器を検出し、接続します。しかし、"BlueBorne"を悪用することで「接続機器を検出するモード」に切り替えなくても攻撃者の機器とあなたのスマホを接続することができてしまいます。
つまり、Bluetoothが常時Onになっていると、それだけであなたのスマホは攻撃者の機器に接続してしまいます。接続されてしまうと、攻撃者は遠隔操作が可能になり何でもできてしまいます。
ステルスモードでカメラを起動したり、盗聴したり、LINEを覗いたり...。怖いですね。"BlueBorne"は2017年に見つかった脆弱性ですので、スマホのOSアップデートをしっかりと行うことで対処ができます。OSのアップデートは本当に重要ですね。
別の例で"KNOB攻撃"というものもあります*3 。こちらは2019年9月に公開された脆弱性です。データの送信者と受信者の間に割り込み、データの傍受や改ざんをする「中間者攻撃」を可能とする脆弱性です。
「中間者攻撃」をされたターゲットは、例えばスマホでFacebookにアクセスしているつもりでも、実は攻撃者が用意した本物そっくりの偽Facebookにアクセスしてしまい、ログイン時にIDとパスワードを盗まれてしまう、といった被害を受けてしまいます。嫌ですよね、とっても。
どちらの攻撃も実際に悪用された事例はありません。これはBluetoothの特性上ターゲットに接近しなければ攻撃できないこと、パッチ未適用の脆弱性を抱えた端末を持ち、かつBluetoothがOnでなければターゲットにならないという厳しい条件のためと思われます(もしくは攻撃されてもほとんど気づけないため)。
しかし、COCOAのためにBluetoothを常時Onにする人が増え、攻撃対象の母数が増えたとき、状況は一変するかもしれません。お気を付けください。
セキュリティニュース(国内編)「NTTコミュニケーションズへの不正アクセス、BYOD端末からの経路も判明」
日本の大手企業が海外の拠点から侵入され情報を漏洩させてしまうケースが最近目立ちます。
いわゆる「サプライチェーンのセキュリティ確保」や、「テレワーカーが使うPCのセキュリティ確保」が今、求められており、守らなければならない領域が確実に広がっています。
NTTコミュニケーションズへの不正アクセス、BYOD端末からの経路も判明
5月28日に発表されたNTTコミュニケーションズの情報流出事件の続報です。
当初、海外拠点からの侵入が発表されていましたが、VDIサーバに接続するBYOD端末からも侵入されていたようです*4
どのようにしてBYOD端末を攻撃したかについては情報がありませんが、何らかの方法で社員のアカウント情報が盗まれてしまったようです。
テレワークの急激な普及により、ITシステム担当者およびセキュリティ管理者が管理しなければならない端末が急増し、BYOD端末を利用せざる負えない状況になっています。社員の私物であるBYOD端末に対して企業が過剰にセキュリティ対策のソフトを導入することは、利便性の観点から非現実的ですが、「Windowsアップデートを確実に行う」、「アンチウイルスのシグネチャを常に最新にする」などといった最低限の対策、いわゆるサイバーハイジーン(サイバー衛生)は徹底するべきです。
弊社が取り扱うVSO(Virtual Security Officer)は、そういったBYOD端末、特にPC端末におけるサイバーハイジーンを徹底することをサポートするソリューションです。
家庭内で安全快適に在宅勤務を行うための リファレンスガイド
ICT-ISACが、金融ISAC、電力ISAC、交通ISAC、ソフトウェアISAC、J-AUTO-ISAC、貿易会ISACと共同で作成した在宅勤務時の注意点に関するガイドを作成しました。
家庭内で安全快適に在宅勤務を行うためのリファレンスガイドの公開について
リモートワーカーのためのワーク環境におけるポイントについて、かわいいイラストを添えてまとめてくれております。前述のサイバーハイジーンの観点に加え、「WiFi 利用に関する観点」、「パスワード管理に関する観点」、「ネットワーク負荷に関する観点」などにも触れられています。リモートワーク環境構築、またはリモートワークに従事する際のご参考にして下さい。
セキュリティニュース(海外編)「各国で12個の偽物の接触確認アプリを発見!?」
トップ記事にて海外の接触確認アプリの偽物が出回っていることに触れましたので、この海外の偽アプリが具体的にどこの国で発見されているかなどの情報をお伝えいたします。
また、攻撃者がアプリにマルウェアを仕込むのとは反対に、欧州の警察が暗号通信システム「EncroChat」をハッキングすることで1,000人以上の犯罪者を逮捕したという刺激的なニュースをまとめましたので、是非ご覧ください。
各国で12個の偽物の接触確認アプリを確認
コロナが世界的に大流行して以降、攻撃者の攻撃ベクターにも変化が生じています。例えば、保健所を騙ったフィッシングメールやテレワーク用のVPNサーバへの直接攻撃等が代表的ですね。
当然、トップ記事でも紹介したような新型コロナウイルス接触確認アプリも悪用する対象となります。6/10には、アノマリ社の調査により、12個の偽物の接触確認アプリが確認されています*5 。
対象となった国は、アルメリア、インド、ブラジル、コロンビア、インドネシア、イラン、イタリア、キルギス、シンガポールの9か国であり、インドおよびシンガポールではそれぞれ2つの偽アプリが確認されました。
これらのアプリはアノマリ社の調査ではマルウェアとして以下の4つにカテゴライズされています。
| アヌビス | バンキング型トロイの木馬の一種。アンドロイドアプリがターゲット。スクリーンショットやキーロガー、連絡先リストの窃盗のほか、ランサムウェア機能を持つ場合もある。2017年ごろから活発に活動し、日々新しい機能が追加されている。 |
| スパイノート | トロイの木馬の一種。アンドロイドアプリがターゲット。RATと同様の機能を持つマルウェア。 |
| アドウェア | 一般的には広告を表示させることで金銭的な利益をもくろむマルウェアだが、ユーザの何かしらの情報を見知らぬうちに収集している可能性がある。 |
| トロイの木馬 | マルウェアファミリとして登録されていない、無名あるいは一般的なマルウェア。 |
基本的にはアンドロイドスマートフォンを狙う攻撃となっていますが、6/10時点ではGoogle Play上には当アプリは確認されていません。そのため、当アプリがサードパーティストアやウェブサイトなどを通じて配布されている可能性があります。
また、6/24にはカナダの接触確認アプリを偽装したアプリが、webサイト上で配布されていました。興味深いのは、カナダの接触確認アプリが未だにリリースされていないことです。
接触確認アプリをリリースすることを6/18日に発表した数日後に、偽アプリが作られていることが確認されています*6 。この積極性からも、攻撃者にとって接触確認アプリは取り入りやすいツールであると言えます。
コロナが流行して以降、人間の心理を突いたフィッシングメールが横行しており、当アプリをダウンロードさせるために同様の手口が有効であると思われます。
接触確認アプリ関連の別事例ですと、イギリスのワイト島で実施された接触確認アプリの実験時に、ユーザを詐欺サイトへ誘導するSMSメッセージの存在が報告されています*7 。
攻撃者は人間の心理の弱いところ、つまりは人間の脆弱性を突いて攻撃を仕掛けてきます。そのため、連日テレビで報道されるコロナ感染者数の増減から不安な毎日をお過ごしだと思いますが、攻撃者に踊らされることなく、正規の手順で接触確認アプリを入手することが大事です。
犯罪者御用達の暗号化サービス「EncroChat」の傍聴に成功!犯罪者1000人以上を逮捕
欧州を中心に犯罪者に人気のある暗号化された情報交換サービス「EncroChat」の通信の傍聴に、欧州の警察が成功しました*8*9 。
イギリスおよびロンドンの犯罪者を大量に逮捕することに成功し、それぞれ「Operation Venetic」、「Operation Eternal」という作戦のもとの活動であったと報じられています。
EncroChatとは、GPS、カメラ、マイクなどの機能を物理的に排除した「carbon units」と呼ばれる携帯電話に備わっているサービスになります。
carbon unitsは、一般的なAndroid OSモードと暗号化通信できるEncroChat OSモードの2つを切り替えることができ、犯罪者は後者によって利用できる暗号化サービス「EncroChat」を通じて麻薬や武器などの取引を行います。
具体的にどのような手法でEncroChatの通信を解析したかは不明ですが、EncroChatネットワークに侵入・ハッキングを行えるツール(マルウェア)をインストールすることで、何ヶ月もの間ユーザの通信を静観したとされています。これにより、犯罪者らの動向をキャッチすることができたようです。
これまで、EncroChatやWhatsApp、Telegramをはじめとした暗号化通信を前提としたツールに対して各国は、
- 使用そのものを禁止する
- 怪しそうなことをしている人に直接コンタクトを取る
などの対処をしていました。
しかし、本件のように暗号化通信に対処できたという事実は、犯罪者の活動を抑制できるほかに、各国の暗号化通信ツールに対する扱いも変化するかもしれませんね。
■ 関連リンク・引用
*1:新型コロナウイルス接触確認アプリ(COCOA) COVID-19 Contact-Confirming Application, 厚生労働省, 2020/07/16
*2: Bluetoothを利用して乗っ取り?BlueBorneに注意!,CyberSecurity TIMES, 2020/07/16
*3: 全Bluetoothデバイスに盗聴や改ざんのリスクをもたらす「KNOB攻撃」とは?,TechTargetジャパン, 2020/07/16
*4: 当社への不正アクセスによる情報流出の可能性について(第2報),NTTコミュニケーションズ, 2020/07/16
*5: Anomali Threat Research Identifies Fake COVID-19 Contact Tracing Apps Used to Download Malware that Monitors Devices, Steals PersonalData,ANOMALI, 2020/07/16
*6: カナダ政府が新型コロナウイルスの感染拡大防止に役立つ接触追跡アプリCOVID Alertをリリース予定。まずオンタリオ州でベータテスト開始予定,ライフバンクーバー, 2020/07/16
*7: Don't fall for Contact Tracing App scam text message,On The Wight, 2020/07/16
*8: 欧州警察が暗号化チャットアプリ「EncroChat」にマルウェアを仕込み犯罪者1000人以上を逮捕,TechCrnch, 2020/07/16
*9: EncroChat Hacked by Police,schneier.com, 2020/07/16
