インテリジェントウェイブ　メールマガジンVol.13

2021.02.25｜

更新日：2022.01.05

▼本日のトピックス▼（目次）

イメージ

「内にも外にもご注意を。GitHub問題」

個人情報が漏えいした！というセキュリティニュースはよく見かけますが（よく見るのも良くないですが）、2月に入ってソースコードが漏えいした問題が話題になりましたね。

ソースコードが漏えいするまでの経緯も通常とは異なっていたことから、注目度が高かったです。しかし、GitHubの心配事は内部からの情報漏えいだけではありません。最近になり外部攻撃にも使えることが実証されました。

そこで、今月号ではGitHubからの情報漏えいの件と、外部攻撃の件に関するお話をまとめましたので、是非ご覧ください。

ソースコードの漏えい

2021年1月28日、オンラインのソフトウェア開発プラットフォーム「GitHub」に三井住友銀行のシステムのソースコードが一部公開されていたということで、騒ぎが起きました*1*2。

事の発端は、とあるユーザ（S氏）のTwitter上での差別的発言で軽く炎上し、口論が発生したことです。

この口論の中で、S氏自身の発言も面白いということで、口論相手も含めた多数のユーザにより過去のツイートが漁られてしまいました。

過去のツイートからFacebookのアカウントが特定され、本名・年齢・職種・年収などが徐々に明らかになる中、GitHubのアカウントも発見され、さらにアップロードしたソースコードから年収を推定するサービス（Findy）を利用したというツイートも見つかったことから、とあるユーザがそのソースコードを閲覧します。

すると、著作権コード(C)にsmbcの文字があったことから三井住友銀行のソースコードが漏えいしているのではということで、Twitter上でもトレンド入りし、広く注目されることになりました。三井住友銀行はこの漏えいを認め、アップロードされたソースコードがとあるシステムのエラーチェック処理の一部のみであったことから、個人情報漏えいやその他セキュリティ上の懸念はないとしています。

このソースコードの漏えいが発生した要因はさまざまです。例えば、

Twitter上で炎上した
TwitterからFacebookやGitHubのアカウントにたどり着くことができた
GitHub上でソースコードを"公開する"設定となっていた
業務再委託先のSEのため、管理が行き届かない

オープンリポジトリを悪用したサプライチェーン攻撃

ここまでは内部情報漏えいの話でしたが、セキュリティ研究者 Alex Birsan氏によってGitHubをはじめとしたオープンソースリポジトリを悪用することでサプライチェーン攻撃ができる可能性が実証されました*3*4*5。

この攻撃では、「依存関係かく乱攻撃」と呼ばれる手法を用います。

この手法が成立する条件は、アプリケーションをビルドするときに利用する内部パッケージの名前が外部に漏れてしまっていることです。

攻撃者は、この外部に漏れているパッケージ名をnpmやPyPI（Python Package Index）、RubyGemsなどのパブリックリポジトリに同じ名前で登録します。このパッケージには悪意のあるコードを注入しておきます。こうなると、アプリケーションをビルドするときに誤ってパブリックパッケージのライブラリを参照してしまい、悪性なコードを挿入され、攻撃の準備が完了します。

Alex Birsan氏は実証の一環で、DNSクエリを利用することで悪性なパッケージを参照したPCのユーザ名やPCのホスト名、インストールパスなどの取得に成功しています。（実証実験であることと、セキュリティ機能を迂回するために、加工したDNSクエリを利用した最小限の情報取得に留めています。）

この攻撃の肝は、如何にして内部で使用しているパッケージ名を収集できるかです。

Alex Birsan氏が数日かけてパッケージ名を調査したところ、GitHubをはじめ大手のパッケージホスティングサービスやSNSなどのフォーラムにも投稿されていることが分かりました。

特に、javascriptファイルの内部にあるpackage.jsonを参照することが内部パッケージ名を最も探しやすいと考察していました。この調査の結果として、Microsoft、Apple、PayPal、Shopify、Netflix、Tesla、Uberなどの35を超える企業のパッケージ名が見つかったことから、これらの企業に対してサプライチェーン攻撃が可能であると実証されました。

GitHubなどのオープンリポジトリを適切に利用しないと、内部からも外部からもインシデントが発生することが示唆されるニュースが続きました。

開発に携わる企業としては、注視するべき課題と言えますので、皆様ご注意ください。

セキュリティニュース（国内編）「実行役とSNSで知り合い...コンビニ強盗指示か男逮捕」

今年も情報セキュリティ10大脅威が発表されました。私もいつか選考に携われる人間になるべく奮闘中ですが、セキュリティに関わる人も、そうでない人も把握しておいてほしい内容なので記事にしました。（他記事1本）

実行役とSNSで知り合い...コンビニ強盗指示か男逮捕

"小橘容疑者はすでに逮捕された実行役の少年（19）とSNSで知り合ったとみられ、犯行の具体的な指示を出していました。（引用元：*6）"

使われたのはTelegramであると報道されておりました。メッセンジャーアプリとして日本では LINE が最も普及していますが、セキュリティ感度が高めの方はTelegramを使っています。また、 Signal もセキュリティが強固で有名です。まぁ、本当に気にする人はメッセンジャーアプリ自体を使わないのでしょうね。

Telegramはロシア発のSNSで、エンドツーエンド通信（自分と相手のメッセージやり取りを暗号化し傍受をさせないための仕組み）が特徴です。

一時期Zoomで話題になりましたね。傍受できないので知られたくない会話をするときに便利ですが、今回の事件のように犯罪に利用されることもしばしばです。

ロシアではかつて地下鉄爆破テロの際の通信手段として利用され、警察当局から情報開示を求められましたがTelegramがこれを拒否 → ロシア政府がTelegramを使用禁止にしたという話も有名です。

禁止といっても、なんだかんだみんな使っていた様子。そしてわりと最近解禁されたようです*7。

日本においてもサイバー犯罪者たちが情報交換をする場として、ダークウェブのような使われ方をしていたりします。

一方で、政治的なデモや亡命などといったことにも利用される正義の味方的な一面もあるようです。

エンドツーエンドといえば、LINEにも"Letter Sealing"と呼ばれる暗号化機能が搭載されて久しいです。

しかし、メッセージが暗号化されるためにはグループに参加している全員が"Letter Sealing"を有効にしている必要があります。私は未だかつてこの機能が適用されている場面に遭遇したことがありません。友達が少ないからでしょうか？

IPA：「情報セキュリティ10大脅威 2021」を決定

毎年恒例となった「情報セキュリティ10大脅威 2021」が発表されました*8。

イメージ２

（引用元：*8）

今回の目玉はなんといっても3位にランクインした、「テレワーク等のニューノーマルな働き方を狙った攻撃」です。

言わずもがな、テレワークの急激な普及により組織の設備対応が急ピッチで進まざるを得なくなった結果、セキュリティ対策が疎かになってしまい攻撃者が嬉しい、ということですね。

VPNサーバの脆弱性を突かれる攻撃や、BYOD端末を侵入口とした攻撃が増えてきました。そして今年はもっと増えるはずです。昨年急いで立て増したテレワーク用の設備、メンテは万全ですか？

セキュリティニュース（海外編）「フロリダの浄水場に不正アクセス。原因はTeamViewer!?」

情報セキュリティ10大脅威 2021にて3位にランクインしたテレワークなどを狙った攻撃ですが、2月に入って早速アメリカのフロリダ州でリモートワークツールを狙った攻撃が発生しました。

これはインフラが攻撃された事例となりますので、注目してきたいです。（他Wi-Fi脆弱性の記事1本）

浄水場に不正アクセス。原因はTeamViewer!?

2021年2月5日、フロリダ州の地方自治体（オールドスマー）のとある浄水場のSCADAシステムに、2度の不正アクセスが発生しました*9。

攻撃者のSCADAシステムにアクセスすることで、水酸化ナトリウム量を約111倍にまで変更することに成功しました。

浄水場のスタッフはすぐにこの異常に気付き、水酸化ナトリウム量を元に戻したため、事なきを得ました。今回はすぐに対処できたため問題がなかったものの、一歩間違えれば大事件に発展していた可能性のあるインシデントです。

さて、このアクセスが発生した要因ですが、マサチューセッツ州からのレポートでは以下とされています*10。

リモートからの操作のためにTeamViewerが使用されていた
SCADAシステムに接続されているPCはWindows7 x86
職員のPCは全てSCADAに繋がっている
リモートアクセス用のパスワードが使いまわされている
ファイアウォールによる保護がなく、常にインターネットに晒されていた

セキュリティホールのオンパレードですね。

一般的に、小規模な自治体は予算が少なくセキュリティが後回しにされがちですが、最低限のセキュリティ対策もできていないのは問題です。

対策としては、ファイアウォールを適切に運用・ログ監視をする、システムに対してセキュリティパッチを適応する、適切なアクセスコントロール、2要素認証を利用するなど様々です。特に、今回はTeamViewerのパスワードを使いまわしていた、2要素認証を利用していなかったことが致命的ですので、リモートツールの適切な運用が早急に必要かと思われます。

ちなみに、SHODANから見える日本の公開されているTeamViwerの数は147件(2021/2/19 現在)でした。

イメージ３

SHODANのTwitterアカウントでは世界中の公開されているTeamViwerの数が掲載されており（2021/2/11 現在）、総計は7,460件です*11。

数だけを見ると日本は2%程度ですが、攻撃者は総当たり的に攻撃を仕掛けますので、TeamViewerをご利用になられている方がいましたらご注意ください。

今回の事件はセキュリティ対策が極端に不足していたことで発生しましたが、リモートワークツールは日々狙われます。

そのため、リモートワークツールのセキュリティ課題は早急に解決するべきですね。

任意のリモートコードが実行可能となるWiFiチップセットの脆弱性

VDOO社が、Wi-FiチップセットRTL8195Aの6つの脆弱性を発見しました*12。

このRTL8195Aは、コンパクトかつ省電力でもパフォーマンスを発揮することから、IoTによく使用されるWi-Fiチップセットです。

そのため、工場や病院に使用される業務機器や、一般的なものだとスマート機器やゲーム機器などで使用されるケースが多いです。
この6つの脆弱性はVD-1406からVD-1411と連番で識別番号が割り振られており、DOSやリモートコードの実行を可能にします。特に、VDOO社はVD-1406の脆弱性が一番危険であるとしています。

この脆弱性は、WPA2の4-wayハンドシェイク中（暗号化鍵の交換）のとあるフレームを悪用して、スタックオーバーフローを引き起こします。ゆえに、任意のコードが実行可能であり、DOS攻撃を仕掛けることが可能になります。

4-wayハンドシェイクを悪用するのは、数年前に一時騒ぎになったWPA2の脆弱性KRACK攻撃を彷彿とさせますね。

2020年4月1日以降にビルドされたバージョンでは、今回見つかった全ての脆弱性に対して完全にパッチが適用されます。

これよりも以前のバージョンにおいて、被害に遭わないためにまず必要なことは、チップセットが使用する「Ameba SDK」を最新版に更新することです。Realtekのウェブサイトからダウンロードできますので、該当する方はお試しください。

また、VD-1406を悪用する準備として悪魔の双子攻撃を行う必要があるのですが、弊社ではこの悪魔の双子攻撃を検知することができるソリューション「WifiWall」を取り扱っております。ご興味のある方は、お問い合わせください。