2012年3月版　埋め込みサービスの改変がもたらすリスク

山本洋介山
bogus.jp

2012/4/12

　年度末だったからか、忙しくてツイートが滞りがちになる人も多かった3月のセキュリティクラスタですが、事件は年度末などに関係なく起こるものです。特に、今年になって話題になることの多い、スマートフォンやプライバシーに関連した事件がタイムライン（TL）をにぎわせました。自分が使っているサービスから知らないうちに個人情報が送信されるようになっていたり、ある日突然、セキュリティ的に脆弱な事柄が見つかったりします。インターネットって大変ですね。

　そして個人的なことですが、この連載の元となるブログのために、「NAVERまとめ」を使い始めました。とても便利です。

はてなが第三者に閲覧履歴を送信していたことが判明

　3月になって、「はてなブックマークボタン」（はてブボタン）の仕様が変更され、ユーザーのあずかり知らぬところで、はてブボタンが設置されたサイトを訪れたユーザーの履歴が広告会社（マイクロアド）に送信されるという事実が明らかになりました。

　実はこの件、2011年9月の時点で規約が改定され、データの取得が始まっていたようです。ですが、はてブボタンを設置している側への通知も、それによって具体的に何が起こるかについての説明もないまましれっと変更されていたために、しばらくの間、誰も気付きませんでした。同様に、アクセス解析ツールなどを提供している「忍者ツールズ」も同じような仕組みを使って、マイクロアドに履歴を送信していることも明らかになりました。

　この変更によって、「はてブボタンは履歴という個人情報を収集して第三者に送信するスパイウェアと化した」と解釈した人もいました。自分のブログからはてブボタンを外す人、「はてなのサービスを使わない」と表明する人が現れただけでなく、ほかのブログやサイトについても同様の情報送信を行っていないか、有志による調査が行われました。

@bulkneets
mala はてなにだけ渡るはずだった情報がマイクロアドにも送られるように変更され、設置者はマイクロアドを信用するかどうか追加で判断しなければならないのに、告知されなかった。はてながIPアドレスや訪問先URLを個人情報でない、保護すべき情報でないと考えていても、設置してる側がそうとは限らない
Mar 10 via web Favorite Retweet Reply

@ockeghem
徳丸　浩はてなブックマークボタン撤去の報告 / はてブの更新を（少なくとも当面は）やめます #BOYCOTTHATEBU / “徳丸浩の日記: はてなブックマークボタンを外しました” http://t.co/XmTmxkBG
Mar 11 via Hatena Favorite Retweet Reply

　週が明けて、仕様変更が非難を受けていることを知ったはてなは、すぐに第三者への提供を停止しました（同様に忍者ツールズも）。これで騒動は収まるかと思いましたが、情報を第三者に送信する理由をはっきり述べなかったことから、「ただ批判されたから止めただけだ」と思われたり、「すぐ止めるということは、逆に、もともとこれが悪い行為だと分かっていたのだから、余計に悪質だ」という意見が出るなど、はてなの姿勢を批判する多数のツイートがTLを流れました。

@jkondo
近藤淳也ブックマークボタンの方針を決めました / “はてなブックマークボタンから収集した行動情報の第三者提供をやめます - はてなの日記 - 機能変更、お知らせなど” http://t.co/GiF1PzI8
Mar 13 via Hatena Favorite Retweet Reply

@takerunba
Lord TAKERUNBA はてなブックマークは戻したとはいえ、勝手に行動履歴を手に入れる仕様にし、それを販売した事実は残るわけで、そういうはてな自体の行動履歴が問題なんでねーの。
Mar 13 via Movatter Favorite Retweet Reply

　この事件によって、外部のJavaScriptを埋め込むサービスには、JavaScriptの動作が改変された場合、、利用者にとって大きなリスクが生じる可能性があることを、あらためて思い知らされることになりました。

「かんたんログイン」が原因？ SNSのアカウント乗っ取り

　主に携帯電話の世界で用いられてきた認証方法に、「かんたんログイン」という、端末IDを利用した認証があります。端末IDは固定のものであり、他のユーザーに漏えいすることはなく、他人の携帯IDを設定することによるなりすましもあり得ない、いう環境を前提とした認証方法です。

　かんたんログインは手軽に実装できることから、多くの「ケータイサイト」で利用されてきました。ただ、盗聴の危険が極めて少ない携帯電話網での使用ならばともかく、ユーザーとサーバの間がどうなっているか分からないインターネットで使うには危険極まりない認証方法です。

【関連記事】
間違いだらけの「かんたんログイン」実装法（＠IT Security&Trust）
http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html

　3月には、このかんたんログインを認証に利用していた「スマコム」というSNSでユーザーアカウントが乗っ取られるという事件が起こり、ちょっとした騒ぎになっていました。

　このケースでは、誰かが何らかの手段で他人の端末IDを手に入れ、それをWebブラウザにセットすることで、なりすましを行っていたようです。スマコムでは、かんたんログインでは携帯電話からしかアクセスできないよう、IPアドレスの範囲を制限していました。けれど、携帯電話と同じIPアドレスを使用するスマートフォンを使うことでこの制限をかいくぐり、問題なくなりすましログインできてしまったようです。

@Biriridamarth
ダメタマゴなんでアカウント乗っ取られたんだろ・・・　乗っ取られる要素が思いつかなすぎて犯人天才としか・・・　いや絶対許せんけど
Mar 19 via web Favorite Retweet Reply

　アカウントを乗っ取られたユーザーはセキュリティに詳しいわけではなく、何が原因か分からず焦っていたようです。その後、TLでのやりとりで分かったこととして、「すべてのユーザーに対して同じ端末IDを設定しているブラウザ」や、「任意の端末IDを設定できるブラウザ」が存在しており、これらと、容易に推測可能な端末IDの組み合わせが悪用されたのではないかということです。

　この事件を受けてTLでは、「いいかげん『かんたんログイン』はやめるべきだ」とか、「携帯電話が利用するIPアドレスレンジを公表する行為は、かんたんログインを助長するので止めた方がいい」といった意見がありました。

　この件とほぼ同じタイミングでGoogleが、端末IDを利用して認証を行うサービスを5月に取りやめることを発表しました。またApp Storeでも、端末IDを送信するアプリケーションの登録を認めないようになっています。端末固有のIDを使った認証は、徐々に廃止の方向に向かっているようです。

@MAROCKs
MARO of Bubble No.7 「Google かんたんログイン廃止　スマコムでのっとり発生」をトゥギャりました。 http://t.co/QOpDH3TU
Mar 21 via Togetter Favorite Retweet Reply

【関連リンク】
認証 Cookie 非対応のモバイルブラウザのサポートの終了（Google）
http://support.google.com/a/bin/answer.py?hl=ja&answer=2473579
「かんたんログイン」機能の制限について（mysns.tv）
http://www.mysns.tv/2012/20120321.html

要注意！ WindowsのRDPに危険な脆弱性

　Windowsにはリモートデスクトッププロトコル（RDP：Remote Desktop Protocol）という便利な機能があります。自宅や外出先からRDPを使って、会社の自分のマシンに接続して仕事の続きを行うといった、仕事大好きな方も多いと思われます。私も会社員のころはお世話になったものでした。密かに多くの人が使っていると思われるRDPですが、3月13日、言語やバージョンに依存しない危険な脆弱性が発表されました（MS12-020）。

@JSECTEAM
マイクロソフトセキュリティチームブログをポストしました。「MS12-020 「リモートデスクトッププロトコルの脆弱性」の Q&A」 http://t.co/TqyX89HK #JSECTEAM
Mar 16 via SocialEngage Favorite Retweet Reply

@kaito834
かいと（kaito834）インターネット上に公開されているRDPポートは500万ノードあったよという話。ただし、それらのうち、パッチが当たってるものもあれば、MS Terminal Serviceでないものもあったという。 http://t.co/nxv1wdce
Mar 18 via twicca Favorite Retweet Reply

　原稿執筆時点では、攻撃者がシェルを奪ってマシンを自由に操作できるようなマルウェアが登場しているわけではありません。けれど、脆弱性を突いてブルースクリーンを発生させる（＝DoS状態を引き起こす）実証コードが発表されており、TLでも実際に検証した人が複数いました。とても危険なことが分かります。

@ntsuji
辻伸弘 (nobuhiro tsuji) 観測範囲では任意のコードを実行するものはパブリックリリースされていませんが、今のうちに対策を行っておきましょう。 / リモートデスクトップにおける解放済みメモリを使用する脆弱性に関する検証レポート - http://t.co/GvIjP2Pj
Mar 23 via TweetDeck Favorite Retweet Reply

　前述のブルースクリーンを発生させるコードはMetasploitに移植され、誰でも試せるようになっているほか、ボタン一発でマシンを落としてしまうAndroidのツールまで発表されています。今後、この脆弱性を狙う攻撃が増えていきそうな予感がします。対策はきちんとWindows Updateすることです。必ず更新しておきたいものです。

セキュリティクラスタ、3月の小ネタ

　このほかにも、3月のセキュリティクラスタでは以下のようなことが話題となりました。4月はいったいどのようなことがTLをにぎわせるのか楽しみですね。

アメーバピグの15歳以下の機能制限に怒り狂ったお子様がDDoS攻撃を企てる
マルウェア満載のAnonymous OSは案の定偽物で、あっという間に消滅
「イカタコウイルス」、控訴審でもやっぱり有罪
ベクターが不正アクセスで最大26万件の個人情報流出！エロゲ買った人の情報も
脆弱なeコマースサイトを守る技術を競うイベント、Hardening Zeroが4月に開催決定
「詳細不明、危険度最高の脆弱性」って、何それこわい、と話題に
Windowsのログオンパスワードを抜いてしまうmimikatzというツール
LulzSecのリーダー、Sabuはすでに逮捕されていて、FBIに協力していた
国土地理院への標的型攻撃が行われていたことが判明
OWASP Japan 1stミーティング開催、Webセキュリティ好きの間で大盛り上がり

Profile

山本洋介山
bogus.jp

猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いてます。

2012年2月版へ

セキュリティクラスタまとめのまとめ連載インデックス

Security&Trust フォーラム新着記事

Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ （2017/7/24）
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。
WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に （2017/7/11）
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。
Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは （2017/7/10）
　代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する
侵入されることを前提に考える――内部対策はログ管理から （2017/7/5）
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃（APT：Advanced Persistent Threat）対策の観点から考える。