2020.06.29

アナリスト・チョイス 2020年6月

Analyst's-Choice

 

Analyst’s Choice

 

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

アナリスト:Rory Morrissey (Intelligence Architect@Machina Record)

 

Articles

ノルウェーのコロナウイルス接触追跡アプリ、プライバシーをめぐる懸念の中で利用停止
パキスタン政府のコロナウイルス追跡アプリは安全ではないと研究者が主張
何十億ものデバイスに影響を与えるUPnPの欠陥:「CallStranger 」
期限切れのルート証明書が、今後数年のうちにセキュリティ上の問題を引き起こす可能性

 

 

ノルウェーのコロナウイルス接触追跡アプリ、プライバシーをめぐる懸念の中で利用停止

・ノルウェーは、国家データ保護機関「Datatilsynet」の警告を受け、同国のコロナウイルス追跡アプリ「Smittestopp」の使用を一時停止しました。同機関は、コロナウイルスの感染拡大が限定的であることと、ユーザー数が少ないためにアプリの効果が限定的であることが、プライバシーの不当な侵害につながると主張しました。

・アムネスティ・インターナショナルもまた、ノルウェーの追跡アプリやクウェート、バーレーンのアプリが、ユーザーのプライバシーとセキュリティを危険にさらしていると批判しました。アムネスティは、これらのアプリがユーザーの位置情報を示すGPS座標を利用してリアルタイム、あるいはそれに近い状態で追跡を行い、中央データベースに送信していることを発見しました。

 

出典:https://www.securityweek.com/norway-suspends-virus-tracing-app-after-privacy-concerns?utm_campaign=Feed%3A%20Securityweek%20%28SecurityWeek%20RSS%20Feed%29&utm_medium=feed&_hsmi=89612529&_hsenc=p2ANqtz-9gmsBOnrbideK82NBmiX0gALN8zUydkzKhoFDpHZZCKB_WE9L10gnIjLBQXsUA-UN7CLiTODr0XVvGRK8JvbQYpDRvOA&utm_source=feedburner

 

パキスタン政府のコロナウイルス追跡アプリは安全ではないと研究者が主張

・Elliot Andersonというエイリアスで活動するセキュリティ研究者は、アプリ「COVID-19 Gov PK」にパスワードを流出し得るセキュリティ上の欠陥が含まれているとツイートしました。この研究者は、同アプリがHTTPSではなくHTTPを使用していると述べ、パスワードなどのユーザーデータは暗号化されていないと断言しています。

 

出典:https://thedigitalhacker.com/pakistans-covid19-app-is-weaker-in-security-leaks-password-in-http-request/?_hsmi=89355607&_hsenc=p2ANqtz-8hbshe88Ux6dbbdytsiUsdqGgb8stnKZCqWBF6_wjJQ6usxgm3OW0e7oNauz076BudZ8Vq5xCexhHHa_a48xjpuIXnDg

 

Analyst’s Comments:

コロナウイルスの脅威が続く中、世界中の政府や組織が独自のコロナウイルス追跡アプリを展開しています。残念ながら、こうしたアプリの多くはセキュリティ上の問題を含んでいることが判明しています。なぜこのような記事を私が選んだかというと、次のようなことを思い起こして頂きたいからです。つまり、これらのアプリは個人ユーザーのデバイスを対象としているかもしれませんが、こうしたユーザーが今オフィスに戻り、持ってきたデバイスをオフィスのネットワークに接続しているということです。セキュリティチームは、これらのアプリが攻撃の道を開いた場合に備えて、予防策を実施しておくとよいでしょう。

例えば、ユーザーのデバイスに関するポリシーや制限、重要な業務とそうでない業務におけるネットワークの使い分け、侵害が発生した場合の適切な緩和ツールなどが挙げられますが、この他にも様々な選択肢が考えられるでしょう。

 

原文:With the ongoing Coronavirus threat, governments and entities around the world are rolling out their own coronavirus tracing apps. Unfortunately many of these apps are being found to contain security issues. I’ve singled out these articles to serve as a reminder that while these apps may be targeting individual user’s devices, those users are now returning to their offices bringing their devices with them and connecting them to their office networks. Security teams would do well to implement precautionary measures in the event that these apps open up an avenue for attack.

Measures such as but not limited to; Policies regarding and restricting user devices, separation of networks for critical and non critical business operations, and appropriate mitigation tools in the event of a successful breach.

 

何十億ものデバイスに影響を与えるUPnPの欠陥:「CallStranger 」

・EY TurkeyのYunus Çadırcı氏は、「CallStranger」と名付けられ、CVE-2020-12695として追跡された欠陥を特定しました。何十億ものUPnPデバイスに存在するこの欠陥は、「UPnP の SUBSCRIBE 関数の Callback ヘッダの値が原因で発生するもので、(これは)攻撃者によって制御され、SSRF のような脆弱性を発生させる可能性」があります。

・この欠陥を悪用すれば、DLPやネットワークセキュリティが整っていてもデータを流出させることができます。また、インターネットに接続したUPnPデバイスを使用して反射的なTCP DDoS攻撃を行ったり、インターネット接続済みのUPnPデバイスの内部ポートをスキャンしたりすることもできます。

・認証なしでリモートから悪用される可能性があるこの問題は、ルーター、ゲーム機、カメラ、テレビ、Windows 10のすべてのバージョン、および2020年4月17日よりも前のバージョンのUPnPを実行する他のデバイスに影響を与えます。

 

出典:https://callstranger.com/?_hsmi=89201238&_hsenc=p2ANqtz-_PKTQOZKYZsMH5-tYuLp1vrEap8QKkQVgijP7f8p60DVN6D2fTR3kuzwi0_mawcHAITFhYsiC31fsBZrpnCN4Ti_t1tw

 

Analyst’s Comments:

この脆弱性は、その影響範囲の広さから、6月中は他の脆弱性の中でも際立っていました。この脆弱性は、Windows 10マシンだけでなく、他のIoTデバイスにも影響を与えます。Windowsマシンは簡単にアップデートできるため、必ずしもここでのリスクはそれほど大きくありません。しかし、いくつかのスマートデバイスは手動アップデートに頼っていたり、ソフトウェアとファームウェアをまとめてアップデートする機能を持っていなかったりします。これは、そうしたデバイスが永久的なセキュリティ上の欠陥をネットワークに残していることを意味します。さらに、DLPやネットワークセキュリティ対策が施されているにもかかわらず、データを盗み出す能力があることが、この脅威をさらに悪化させています。

幸いなことに、インターネットに接続したUPnPポートを無効にし、SUBSCRIBE と NOTIFY HTTP パケットをブロックすることで、この脆弱性の主な脅威を軽減することができます。

 

原文:This vulnerability stands out among the rest over the course of June due to its wide range of impact. Not only does it impact Windows 10 machines, but also a host of other Internet of Things devices. Windows machines are not necessarily as big of a risk here because they can be easily updated, but several smart devices either rely on manual updates or lack the ability to update software and firmware all together. This means that this device remains a permanent security flaw to your network. Furthermore the ability to exfiltrate data despite DLP and network security measures being inplace makes this threat that much worse. 

Fortunately disabling internet facing Upnp ports as well as blocking SUBSCRIBE and NOTIFY HTTP packets can mitigate the main threat of this vulnerability.

 

期限切れのルート証明書が、今後数年のうちにセキュリティ上の問題を引き起こす可能性

・セキュリティ研究者のScott Helme氏は、ルート証明書の有効期限が切れる問題と、それがスマートテレビや冷蔵庫などのデバイスに与えうる影響を強調しました。ルート証明書の中には25年の有効期限を持つものもあるが、有効期限が切れるものもあると、この研究者は述べています。この問題は、Roku、Stripe、Spreedlyが経験した事案を通じて、最近注目されています。

 

出典:https://scotthelme.co.uk/impending-doom-root-ca-expiring-legacy-clients/?_hsmi=89355607&_hsenc=p2ANqtz–g2TqJi_1EPvFNVVBu6yVpWD40exRA5OEp7ky5Y9RJniF3zGRsY-Qf17ukJmklAcLE0W1i1MCyr_D8fuJb6J5UdjRuYQ

 

Analyst’s Comments:

この記事は、他の記事のようにすぐに影響を与えるものではありませんが、他の記事と同じくらい重要な潜在的脅威と言えます。「ルート証明書」は、特にスマートデバイスに関して言えば、おそらく皆さんの頭をよぎることがほとんどない用語でしょう。だからこそ、このセキュリティリスクは重要なのです。前回の記事のコメントで、スマートデバイス、特に安価なものは、適切な自動更新の方法がない代わりに、手動での更新に頼っていることが多いことに触れました。つまり、様々なIoTデバイスがあるオフィスには、潜在的なセキュリティリスクもあり、常に追跡する必要があるということです。

証明書が有効期限切れのデバイスが業務に不可欠な場合、予期せぬインフラのダウンタイムから、中間者攻撃といった脅威アクターによる悪用に至るまで、あらゆるリスクが発生します。

 

原文:This article does not have the immediate impact that the others do, but it is just as significant a potential threat as the others. “Root certificates”, especially on smart devices, is probably a term that rarely crosses your mind and it is for that reason that this security risk is as critical as it is. In my comments for the previous article I mentioned how smart devices, especially the cheaper kind, often lack appropriate methods to update themselves, relying instead on manual means. This means that if you have an office with various IoT devices, you also have an office full of potential security risks that need to be constantly kept track of.

If those expired certificate devices are business critical you risk anything from unexpected  infrastructure downtime to threat actor abuse such as man in the middle attacks.

 

 

 

CONTACT

お問い合わせ

サイバーインテリジェンスに関する詳細等、
お気軽に お問い合わせください。