インテリジェントウェイブ メールマガジンVol.8

更新日:

▼本日のトピックス▼(目次)

イメージ

「テロ対策まで!? HLS & Cyber 2020のオンライン参加レポート」

9月14日と9月15日の2日間にかけて、イスラエルの大きなセキュリティイベント「HLS & Cyber 2020」*1 が開催されました。

HLS & Cyberは、物理およびサイバーセキュリティに焦点を当てたイスラエル輸出国際協力機構をはじめとした機関が主催する大きなセキュリティイベントです。

これまでは、世界中から招待したセキュリティの専門家による講演や、多くのセキュリティ企業が展示ブースにてB2Bのコミュニケーションを行ってきました。

そして、6回目となる今回はコロナの情勢を考慮した結果、オンラインで開催する運びとなり、講演は動画配信を通じて、展示はバーチャルブースにて行われました。

弊社メンバも講演動画を公聴しましたので、今月号は筆者が印象に残った以下の3つの講演内容を、簡単にご紹介いたします。

  1. アメリカにおけるセキュリティ市場の全体像
  2.  犯罪捜査に活用するデジタルインテリジェンス
  3. 新たな時代の物理セキュリティゲート「Archie barrier」

アメリカにおけるセキュリティ市場の全体像

HLS & Cyberでは各国のセキュリティ事情に詳しい偉い方々がそれぞれの国のセキュリティ事情について熱く語っていました。インドやケニア、オーストラリアなど。その中でもやはりアメリカの事情については興味がありましたので視聴してみました。

イスラエルのスタートアップ企業はアメリカの市場をメインターゲットにセキュリティ製品を開発しているケースが多いです。

一発当てると大きいですからね。まさにアメリカンドリームです。SIA(Security Industry Association)という電子機器系のセキュリティ業界団体が話者で、イスラエルのベンダーに対してアメリカの最近のトレンドを伝えるような内容になっていました。

SIAは規格を制定したりしているのですが、年次で「セキュリティメガトレンド」の発表も行っています*2 。その中で今年は「顔認証技術」が急浮上し3位にランクインしていたのですが、直近のアメリカのトレンドで「顔認証技術の利用と売買の禁止」というビッグウェーブがあるため、その点について解説していました。

「顔認証技術の利用と売買の禁止」の背景には誤認識の多さと、人種差別の助長に対する懸念といった背景があります。非常にデリケートな話題ですが、顔認証の精度は100%ではなく、とりわけ肌の色が濃い人の認証精度が低いという事実があります。

これによって無実の男性が逮捕されるという事態が発生したようです*3 。そのような例もあるため、アメリカ全体が顔認証技術の利用と売買を禁止する方向に動いています。それこそスーパーマーケットやショッピングモールでも禁止です。

顔認証は生体認証の中でも特にユーザにとって利便性の高い優れた技術ではありますが、個人情報保護の観点からも安全に正しく利用するハードルが高い技術と言えます。

話者の主張では「利用禁止の風潮はあるが、ヘルスケアや教育現場の物理セキュリティ保護には重要な技術であり、残念に思う」という言い方をしていました。現状、ヘルスケアの物理セキュリティ市場は11億ドルなのだそうですが、監視カメラによる不正侵入防止や院内システムへのアクセスコントロールに顔認証技術を盛大に活用することで15億ドルの市場になるという予測の話もありました。

メガトレンド予測が外れた言い訳(?) にも聞こえますが、アメリカのトレンドは数年遅れで日本にも入ってきますので、認証要素技術の今後、特に個人情報の取り扱いといった観点では興味深い内容でした。動画はYouTubeに上がっていますので下記リンクをご参照ください。

動画のリンク:
  Overview of the U.S. Security Market, Challenges and Potential opportunities

犯罪捜査に活用するデジタルインテリジェンス

こちらはソリューション紹介プレゼンです。犯罪捜査の証拠をスマホやタブレットといった様々なデバイスから収集し、解析することをサポートするCellebriteという製品です。※弊社としての取り扱いは全くありません。純粋に筆者が興味を持ったのでご紹介いたします。

犯罪捜査という響きに心くすぐられたので見てみました。

なんでも、「人間の痕跡はアナログ世界よりデジタル世界の方が色濃く残るが、デジタル世界の痕跡をうまく活用できていないのが現状。活用されていないデータを上手く活用して証拠として成形する」ソリューションとのことでした。

具体的にはスマホやタブレットから「写真・動画、パスワード、発着信履歴、電話帳、カレンダー、メール」などの情報を無理やり抽出して解析し、裁判所に証拠資料として提出できるレベルのレポートを出力してくれるようです。

世界中のスマホに対応しており、その数6,500種類、データが暗号化されていても問題なし、多種多様なデータソースに対応しており、複数デバイスから得られた解析結果をコンソールからまとめて確認できるというワクワクな製品でした。警察の犯罪捜査や防衛関連、企業ユースとしてもご活用いただけます。 こちらも「Vimeo」というサイトに動画がアップされていますのでリンクを参照ください。

動画のリンク:
  「Digital Intelligence Can you survive without it?」

新たな時代の物理セキュリティゲート「Archie barrier」

HLS & Cyberは、サイバーセキュリティだけでなく、軍事や物理的セキュリティの講演や展示なども取り扱っています。イスラエルは隣国とも紛争をしているため、このような話題も大きく取り上げられます。

今回は、筆者が特に面白かったと話題にした全くサイバーに関係のないセッションがあったため、こちらに関しても少しだけトピックに起こしてみました。こちらは、箸休め程度にご覧いただければと。

面白かったのは、Mifram Security社が発表した物理セキュリティゲート「Archie barrier(アーチバリア)」です。イスラエル国内では、大型のイベントを開催する際にはテロ対策として、車が突撃してくるのを防ぐバリケードを設置します。

従来のバリケードは車の突撃を防ぐことができる反面、イベントの入場者にとっては邪魔だったり、救急車や消防車などの緊急車両の妨げになったり、バリケード自体がとても高価だったりします。そのような問題を解決するのが、「Archie barrier」です。

機能としては、

  • ゲート型のため、イベント参加者の入場を滞りなく行える
  • 時速80km/hの車の突撃を防ぐことが可能
  • ゲートの支柱も稼働するため、緊急車両の入場用に可変可能
  • クラウド管理で、ゲートの電光掲示板の文字を変更可能、ゲート開閉を遠隔で可能と充実しています。
イメージ3
(参照:https://www.youtube.com/watch?v=LMV3G8u5PTc&feature=youtu.be)

今までの殺風景なバリケードと比べ、デザインとしても機能としても新しさを感じる物理セキュリティでしたので、面白く感じました。

セキュリティニュース(国内編)「Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性」

8月から9月にかけては脆弱性やマルウェアの話題が多く、対応に追われたセキュリティ担当の方も多かったのではないでしょうか。

8月の終わりにはVPNの不正アクセス、Emotetの再流行、銀行口座からの不正送金、最近では深刻度が非常に高いWindowsの脆弱性、「Zerologon」の情報が公開されています。いくつか記事をまとめました。

Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性

"Windows ADやドメインコントローラとネットワーク接続が可能な状況であれば、比較的簡単に実行出来るリスクがあり、CVSSスコアも10となっている。" (引用元: *4

Windowsの深刻な脆弱性のパッチが8月の月例パッチで配布されました。配布当初は話題に上がりませんでしたが、後にその脅威度が明らかになりました。ローカルネットワークに侵入できたことを前提としますが、一度入ってしまえば誰でも、認証無しでドメインコントローラーの管理者権限を奪えてしまうというものです。しかも数秒で。

内部犯行であれば一発、ということですね。脅威度10段階評価のレベル10なだけありますね。専用のチェックツールも出ていますが、とにもかくにもWindowsアップデートを実施しましょう。

パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる

こちら少し古いニュースですが、パルスセキュア社のVPN機器に脆弱性があり、多くの日本企業の認証情報がダークウェブ上に流出していたという事件がありました*5 。

この脆弱性は最悪の場合、機器の管理者用ログインパスワードやIDが記載されたキャッシュファイルが流出してしまう可能性もあり、かなり危険な脆弱性でした。ただし、実際にそういった認証情報の流出は確認されていないようです。

この件の"キモ"もパッチの適用であり、アップデートを徹底していれば回避することができました。

しかし、VPN機器をアップデートする際にはVPNの運用が停止してしまうため、現場を重視するあまりになかなかパッチが当てられないというのが実情のようです。本番環境へのパッチ適用の前に検証環境でのお試し時間ありますし、その間にやられてしまうというケースがあるようです。

安全にリソースにアクセスするためにVPNを利用しているのに、VPNが原因で不正アクセスされていてはたまったもんじゃないですよね。セキュリティ重視か、現場重視か。企業のセキュリティに対する認識度が問われる問題です。

セキュリティニュース(海外編)「正規のサードパーティのクラウド監視/運用ツールを悪用したクラウドへの攻撃を観測」

利便性の高さからクラウド利用の需要が高まる一方、責任分界点が不明瞭であることからサイバーインシデントが発生するということを目にすることも増えてきました。

現時点でも対策に課題が残るクラウドセキュリティですが、攻撃者側の新たな動きとしてサードパーティの監視・運用ツールを悪用したクラウドへの攻撃が確認されました。クラウドの設定不備だけではない、今までにはなかった観点の攻撃であるため、本トピックにてご紹介します。

また、バンキング型のトロイの木馬「Qbot」に新たな機能が追加されたとしてニュースになっておりました。こちらの機能も興味深いものであるため、簡単にですが併せてご紹介します。

正規のサードパーティのクラウド監視/運用ツールを悪用したクラウドへの攻撃を観測

イスラエルのセキュリティ会社「Intezer」がクラウド監視の正規ツール「Weave Scope」を用いてマルウェアを注入する攻撃を観測したとして、調査レポートを公開しました*6 。

この攻撃を実行したのはTeamTNTと呼ばれる、DockerやKubernetes(クバネティス)などのコンテナに関するインスタンスを含むクラウド環境をターゲットにするサイバー犯罪グループです。

ターゲットにしたクラウド環境にクリプトマイニングやAWSの認証情報を搾取するワームを注入し、利益を得ることを目的にしています。以前から活動が確認されていたTeamTNTですが、最近になりWeave Scopeをクラウド環境にインストールさせることで、マルウェアを注入するという新たな攻撃が観測されました。

Weave Scopeは、WeaveWorks社が提供するDockerやKubernetes、AWS EC2といったクラウド上で稼働するツールのパフォーマンスを監視したり、コンテナに対してコマンドラインからコマンドを実行したりできる運用の支援ツールです*7 。故に、Weave Scopeを使用すればクラウド環境へのフルアクセスを取得できることになります。

イメージ3
(図:Weave Scopeによるクラウド環境へのコマンド実行*6 )

実際の攻撃の流れは以下になります。

  1. 開されたDocker APIポートを探索
  2. Docker APIポートを通じて、Ubuntuイメージを用いて特権実行可能な新たなコンテナを作成(このとき、ファイルシステム全てにアクセスできるようにコンテナを構成する)
  3. クリプトマイニング用のツールをダウンロード
  4. ホストサーバに「hidle」というローカルの特権ユーザを設定し、ssh経由でサーバへのrootアクセスを行えるようにする。
  5. Weave Scopleをダウンロードおよびインストールする(Githubからのインストールの場合、数行のコマンドで完了する)。この時点で、HTTP(4040ポート)経由でターゲット環境への完全な可視化と制御を実行することが可能になる。つまり、バックドアです。
  6. クリプトマイニング用のツールの注入や実行が可能になる。

このような攻撃を防ぐために、Intezer社は以下の対策を推奨しています

  • Docker APIのポートを閉じる、またはDocker APIのポートを使用できるユーザを制限する
  • 4040ポートをブロックする
  • TeamTNTに関するIOCをブロックする

この攻撃の肝は、Weave Scopeが一般的に信頼されているサードパーティのアプリケーションであることです。

そのため、攻撃者に侵入された後のWeave Scopeのインストールと実行を防止するのは至難の業です。よって、いかにして攻撃者の侵入を防ぐか、あるいは不許可のコンテナやユーザが作られている、アプリケーションが実行されているなどに気付くことが重要となります。

Qbotに厄介な新しいトリックが追加

バンキング型のトロイの木馬「Qbot」に、電子メールをスレッド単位で攻撃者のサーバにアップロードする機能が追加されたとして、Check Point社による解析結果が公表されました*8

これにより、攻撃者はユーザにとって自然な流れのメールを送信することが可能になるため、騙されるユーザが一層増える可能性が示唆されます。もし日本語の電子メールのスレッドが搾取された場合、海外の攻撃者が日本語でのやり取りに便乗した自然なメールを作成できるかは分かりません。

しかし、近年の日本語でのビジネス詐欺メールの精度は向上してきているため、精度の高い日本語の自然なやり取りを装ったメールが攻撃者から送られてくるのも、時間の問題です。

また、この機能アップデートは、7月に流行ったEmotetキャンペーンの中でも行われたみたいです。つまり、7月以降に入ってきたEmotetが動いてしまっていた場合、Emotetの稼働と同時にメールスレッドを搾取する機能を持った最新のQbotがインストールされた可能性があります。

日本でもEmotetが9月に入ってから急拡大した*9 として、JPCERT/CCが注意喚起していることもあるため、QbotおよびEmotetにはより一層注意する必要があります。

「IWI Security YouTube公式チャンネル開設」

この度、株式会社インテリジェントウェイブはIWI Security YouTube公式チャンネルを開設いたしました。

今後は、過去に弊社で開催しましたウェビナー動画、メーカーデモ動画など、皆様のお役に立てるような動画をアップしてまいりますので、是非、チャンネル登録の上、ご活用いただければ幸いです。動画の内容に関する問い合わせは、下記までお願いいたします。追って、セミナー担当よりご連絡させていただきます。

【IWI Security YouTube公式チャンネル】
httIWI Security Youtube公式チャンネル

最新動画はこちら
・Wi-Fiセキュリティについて~その1~ 「Wi-Fi通信の課題・脅威
・Wi-Fiセキュリティについて~その2~ 「WifiWallによる解決策」
・Wi-Fiセキュリティについて~その3~ 「Wi-Fi攻撃 VS WifiWall」
・IT担当者の業務負担増を肩代わりする自動化のススメ

<YouTube公式チャンネルに関するお問い合わせ先>
株式会社インテリジェント ウェイブ
セキュリティソリューション本部
Email:iwi_security@iwi.co.jp
Tel.:03-6222-7300

イメージ2

■ 関連リンク・引用
*01:HLS & Cyber, HLS & Cyber HP, 2020/09/24
*02:SIA Identifies 2020 Security Megatrends, BNP Media, 2020/09/24
*03:顔認識技術のせいで無実なのに間違って逮捕された男性, Gigazine, 2020/09/24
*04:Zerologon攻撃、未認証でDC管理者権限を取得されるリスク。CVSSスコア10の深刻な脆弱性, Yahoo JAPANニュース, 2020/09/24
*05:パッチ未適用のパルスセキュア社VPN、日本企業46社のIPアドレスがさらされる, 日経XTECH, 2020/09/24
*06:Attackers Abusing Legitimate Cloud Monitoring Tools to Conduct Cyber Attacks, Intezer, 2020/09/24
*07:Weave Scope, Weaveworks, 2020/09/24
*08:An Old Bot's Nasty New Tricks: Exploring Qbot's Latest Attack Methods, Check Point Research, 2020/09/24
*09:マルウェア「Emotet」9月に入って急拡大 手口はさらに巧妙に, ITMediaNEWS, 2020/09/24

攻撃を成立させない 新発想のエンドポイントセキュリティMorphisec 資料ダウンロードはこちら