プライバシーが守られない2022北京オリンピックアプリ / Beijing 2022 Winter Olympics app bursting with privacy risks


Beijing 2022 Winter Olympics app bursting with privacy risks:

2022年北京冬季オリンピックの公式アプリ「My 2022」が、ユーザーの機密データ保護に関して安全でないことが判明しました。

最も重要なのは、このアプリの暗号化システムに重大な欠陥があり、中間搾取者が平文で文書、音声、ファイルにアクセスできるようになっていることです。

「My 2022」はまた、キーワードのリストに基づく検閲の対象であり、ユーザーがアップロードしなければならないすべての機密データを誰が正確に受け取り、処理するのかを決定していない不明瞭なプライバシーポリシーを持っています。

そのため、GoogleのソフトウェアポリシーとAppleのApp Storeのガイドラインに違反しているにもかかわらず、両方のストアで入手可能です。最後に、このアプリは、プライバシー保護に関する中国自身の法律に違反しています。

すべてを要求する

Citizen Labによる詳細なレポートでは、研究者が「My 2022」アプリの潜在的なプライバシーとセキュリティの問題を分析し、アプリが以下の機密情報を収集していることが判明しています。

  • デバイスの識別子とモデル
  • 携帯電話サービスプロバイダー情報
  • 端末にインストールされているアプリ
  • 無線LANの状態
  • リアルタイムの位置情報
  • オーディオ情報
  • 端末ストレージへのアクセス
  • 位置情報アクセス

このデータ収集はプライバシーポリシーで開示されており、武漢ウイルスの保護制御、翻訳サービス、Weiboの統合、観光の推奨とナビゲーションに必要なものである。

ただし、「My 2022」の利用は任意ではありません。選手、報道関係者、観客は全員、アプリをインストールし、個人情報を追加しなければならない。

中国国内のユーザーの場合、「My 2022」は名前、国民ID番号、電話番号、メールアドレス、プロフィール写真、雇用情報を収集し、2022年北京オリンピック組織委員会と共有します。

中国国民以外場合、「My 2022」は完全なパスポート情報、日々の健康状態、武漢ウイルスのワクチン接種状況、人口統計データ、どの組織で働くかなどを収集する。

安全性の低い通信

さらに懸念されるのは、アプリのSSLベースの暗号化に欠陥があり、認証検証の問題から不正な接続を許してしまうことです。

Citizen Labの調査結果によると、攻撃者は少なくとも5つのサーバになりすまし、アプリから送信されるデータを傍受し、悪意のあるホストを信頼できると見なすよう仕向けることができます。

そのため、前項で説明したすべての機密データは、中国政府の管理下にない第三者によって収集される可能性があります。

サーバ詐称の問題に加え、アナリストは、送信データが常に暗号化されているとは限らないため、単純なネットワークパケットの盗聴によって、機密メタデータを含む一部の送信を傍受し、平文で読み取ることが可能であることを発見しました。

外部からの不正アクセスで嵐電オフィシャルサイトが閲覧不能に


外部からの不正アクセスで嵐電オフィシャルサイトが閲覧不能に:

京福電気鉄道株式会社は2022年2月1日、同社が運営する嵐電オフィシャルサイトに外部から不正アクセスがあり、閲覧不能な状態になったと発表した。

同社によると、当該サイトにアクセスした顧客への影響はなく、顧客の個人情報の取扱いは行っていないため情報漏えい等の懸念はない。

同社では当面、嵐電オフィシャルサイトは仮設サイトでの運営となるが、必要なコンテンツは順次補強するなどの対応を行う。

プレスリリースアーカイブ

2022年1月1日~15日のサイバー攻撃タイムライン / 1-15 January 2022 Cyber Attacks Timeline


1-15 January 2022 Cyber Attacks Timeline:

2022年は、収集した事象の数が顕著に減少することから始まります。この数(84件)は、前の月よりも少ないものの、2021年1月前半の値(88件)とほぼ一致しています。脅威者はクリスマス休暇を利用して休息をとっているようです。

しかし、休みにもかかわらず、ランサムウェアは84件中26件(30.9%に相当)と、引き続き脅威の状況を特徴づけており、12月の第2タイムラインの23.6%と比較して重要な伸びを示しています。一方、脆弱性を悪用した攻撃は、前回の16.5%から7.1%(84件中6件)に減少しています。

2022年初頭には、医療やエンターテインメントなど複数の組織から100万件の記録が吸い上げられるなど、メガブリーチが懸念される傾向にあるようです。これが短期間で終わる現象なのか、それとも本当に今年全体を特徴づけるものになるのか、興味が尽きない。

さらに、NFTの分野で事業を展開するフィンテック企業が、攻撃者によって大量の資金を奪われたハッキングされた新興企業のリストに加わりました。

世界中の組織を狙う複数の脅威が存在し、サイバー諜報戦線に新しい動きはない。このリストには、APT32 (AKA OceanLotus), APT35 (AKA Charming Kittens), APT37, Patchworkなどの有名な脅威主体や、米国の地方自治体を標的とする複数のロシアの脅威主体が含まれています。

最後になりましたが、ウクライナは、現実の世界だけでなく、戦争のホットフロントであり続けています。この2週間で、ウクライナでは少なくとも2つの被害がありました。さまざまな公共機関に属する複数のサイトが大規模に改ざんされ(ロシアを後ろ盾とするGhostWriterが実行したとされる同様の作戦はポーランドでも発生)、さらに悪いことに、WhisperGateと呼ばれる破壊的なデータ消去マルウェアが発生したのです。

日本関連は1件でした。



TryHackMe契約とVPN接続メモ


 2021年末、log4jの脆弱性が公表され、いろいろ調べているうちに、TryHackMeというサイトに出会った。

このサイトでは、実際にサイト運営側で用意したやられサイトを用いて、脆弱性の概要から実際のハッキングまで学ぶことができる

https://tryhackme.com/room/solar

こういうのはまさに仮想化の恩恵である。

サイト上でボタンをクリックするだけで、制限時間付きのやられサイトが立ち上げってきて、有料会員であれば自環境からVPN接続してアタックすることができるし、運営側で用意してくれる仮想環境を使ってアタックすることもできる。

ちなみにこのようなペネトレーショントレーニングのサービスプロバイダは日本には存在しないが、海外にはいくつか存在しているらしい。

その一つが、今回自分が契約した、TryHackMe

もう一つがHack The Box

Hack The Boxは期限がない、もしくはすごく長いCTFみたいな感じ。上級者向けで、NTTセキュリティでも採用されている模様。

TryHackMeはチュートリアル付きで、初級・中級者向けと言われている。

課金は月額10USDか、年間契約で7.5USD/月(確か)があり、いきなり年間契約はちょっと怖いので、月額で課金してみることにした。

課金すると自環境からVPN接続できるようになるため、手元のkali linuxから接続できるようにVPN接続のメモを残しておく。

まず、OpenVPNの構成ファイルをダウンロードするページに移動します。

https://tryhackme.com/access

緑色の「Download My Configuration File」をクリック


<自分のユーザー名>.ovpnという接続設定のファイルがダウンロードできるので、接続するLinux環境にダウンロードします。

その後、Linux環境にてOpenVPNのインストールを行い、VPN接続を行います。

# OpenVPNをインストール(入ってないとき)
sudo apt install openvpn 

# 接続用のファイル置き場をつくる
mkdir tryhackme  

# ダウンロードしてきたovpnファイルを移動させる
mv ~/Downloads/<username>.ovpn tryhackme/

# OpenVPNコマンド実行して接続 
sudo openvpn tryhackme/<username>.ovpn  

<username>のところは自分のユーザ名に読み替えてください。


Initialization Sequence Completedで終わったら完了。

時々失敗することもあるので、うまくいかなかったらctrl+cを押して中断して最後のコマンドを打ち直すとよいです。

ブラウザに戻り、Connectedにチェックが入ってIPアドレスがなんかしら表示されることを確認します。


【参考】

山梨県の小学校教諭が金に目が眩んで児童の個人情報流出


教諭が児童の個人情報流出 県教委 再発防止を緊急要請|NHK 山梨県のニュース 
www3.nhk.or.jp/lnews/kofu/202…

山梨県市川三郷町は2022年1月29日、町内の小学校に勤務する20歳代の男性教諭が、ツイッター上で知り合った人物に児童29人分の個人情報を流出させたと発表した。現時点で児童への被害は確認されていないが、県警にパトロールの強化などを依頼しているという。

町教育委員会によると、相手は「個人間融資」をうたうツイッター上のアカウントで、教諭からダイレクトメッセージで連絡を取った。両者に面識はないという。2022年1月24日に「児童の個人情報を買う」と持ちかけられ、応じた教諭はパソコンからダウンロードした児童名簿を印刷してスマートフォンで撮影、相手に送信した。名簿は教諭が勤める学校の3、4年生のもので、氏名、性別、住所、保護者名、自宅電話番号、緊急連絡先が記載されていた。

しかし金銭は支払われず、2022年1月27日には相手のアカウントがツイッターの投稿で「個人情報を金で売る教諭がいる」などと公開。教諭が送った名簿の写真も、個人情報を黒塗りにした状態で添付されていた。

2022年1月28日朝、町職員が投稿に気付いて問題が発覚した。アカウントは既に削除され、投稿も閲覧できない状態となっている。聞き取りに対し教諭は「金に困っていた」と話しているといい、町教委が処分を検討している。

2022年1月29日の記者会見で、渡井渡教育長は「あってはならないことで、誠に遺憾。心からおわび申し上げる」と謝罪した。

WSL1/WSL2 上で稼働するOSを再起動する方法


WSL1/WSL2 を再起動する方法

WSL1/WSL2 でLinux環境を稼働している場合、shutdown や reboot コマンドが実行できません。

$ sudo shutdown
System has not been booted with systemd as init system (PID 1). Can't operate.
Failed to connect to bus: ホストが落ちています
$ sudo reboot
System has not been booted with systemd as init system (PID 1). Can't operate.
Failed to connect to bus: ホストが落ちています
Failed to talk to init daemon.

WSL1/WSL2では、Powershellから実施します。


①WSLごとすべて再起動するケース

Powershellで下記コマンドを実行することで、wsl自体が再起動されます。

wsl.exe --shutdown


②ディストリビューションを選んで再起動するケース

まず、インストール済みの Linux ディストリビューション名を表示します。

PS C:\Users\cyber> wsl -l
Linux 用 Windows サブシステム ディストリビューション:
kali-linux (既定)

下記コマンドでディストリビューションを終了させます。

wsl -t kali-linux

Wireshark によるパケット解析講座 1: Wiresharkの表示列をカスタマイズする / Wireshark Tutorial01: Changing Your Column Display


 Wireshark Tutorial: Changing Your Column Display

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。ITの専門職についているかたがたの中には、このツールを使って日々ネットワークのさまざまな問題を解決しておられる方も多いでしょう。

そこで、今回は Wireshark の便利な機能のひとつである表示列のカスタマイズをご紹介したいと思います。Wireshark はデフォルトでは、非常にたくさんの情報を列表示してしまうので、これをカスタマイズすることで皆さん自身の用途に使いやすいようにしたいのです。本稿はとくにセキュリティをご専門にされているかたが、マルウェアが生成するネットワーク トラフィックを解析する場合に役に立つカスタマイズのオプションについてご説明するつもりです。

本稿のチュートリアルに利用する pcap ファイルはこちらから取得してください。なお本稿では、みなさんが Wireshark を活用するうえで必要となる基本的なネットワーク トラフィックの知識を有しているものとして解説をしています。この点はご承知おきください。また本チュートリアルでは、 Wireshark のバージョン 2.6 を利用し、次の内容を説明していきます。

  • Web トラフィックとデフォルトの Wireshark 列表示設定

  • 列を非表示にする

  • 列を削除する

  • 列を追加する

  • 列の時刻設定を UTC に変更する

  • カスタム列を設定する

Web トラフィックとデフォルトの Wireshark 列表示設定

マルウェアはよく web トラフィックを通じて配信されます。このほか web トラフィックはデータの漏出や C2 活動に使われることもあります。マルウェアに感染した web トラフィックを解析するにあたり、Wireshark のデフォルトの列表示は理想的とはいえませんが、表示をカスタマイズすれば、こうした活動内容を捕捉しやすくなります。


Wireshark のデフォルト列は次のようになっています。

  • No. -pcap の最初から数えたフレーム番号。最初のフレームは常に1

  • Time – pcap の最初のフレームからカウントを開始したナノセカンド単位の経過秒数。最初のフレームは常に 0.000000

  • Source – ソース (接続元) アドレス。一般には IPv4、IPv6、またはイーサネット アドレス

  • Destination – デスティネーション (接続先) アドレス。一般には IPv4、IPv6、またはイーサネット アドレス

  • Protocol – イーサネット フレーム、IP パケット、TCP セグメント (ARP、DNS、TCP、HTTP など) で利用されているプロトコル

  • Length – フレーム長 (バイト単位)

解析業務で使っているWiresharkの列は次のものです。

  • Date と Time (UTC 表示)

  • Source IP と Source Port

  • Destination IP と Destination Port

  • HTTP host

  • HTTPS server

  • Info

ではさっそくこの列設定にする方法を見ていきましょう。まずは不要な列を非表示ないし削除するところからはじめます。

列を非表示にする

後で必要になるかもしれない列は、簡単な操作で非表示にしておくことができます。まず、Packet List ペインにある列ヘッダ (No.、Time などの見出し行) のどこでもよいので右クリックしてコンテキスト メニューを表示します。列の一覧が表示されますので、左クリックをして、不要な列のチェックを外します。次の図 2 では No.、Protocol、Length の列のチェックを外して非表示にしています。


列を削除する

No.、Protocol、Length の列は一切利用しないので、これらは完全に削除しています。列を削除するには、削除したい列ヘッダ(見出し行)の上で右クリックし、コンテキスト メニューから [Remove this Column…(この列を削除)] を選択します。


列を追加する

Wireshark で列を追加するのは [Column Preferences] メニューから行います。ここでも列ヘッダ (見出し行) のどこでもよいので右クリックし、[Column Preferences…] を選択します。


[Column Preferences] メニューにはその表示・非表示の状態にかかわらず、すべての列が一覧表示されます。 [Column Preferences] メニューの一番下の左の方にボタンが 2 つありますが、うち [+] というボタンが列を追加するボタン、[-] は列を削除するボタンです。ここでは、[+] をクリックして追加してください。[+]をクリックすると「New Column」という題名 (Title) の項目が一覧の一番下に表示されます。


[New Column] をダブルクリックして、「Source Port」という題名 (Title) に変更します。なお、新規に追加された列の種別 (Type) は常に「Number」と表示されます。 [Number] をダブルクリックしてメニューを表示し、「Src port (unresolved)」という項目が表示されるまでスクロールし、これを種別として設定します。


新しい列の題名(Title)が「Source Port」に、列の種別(Type)が「Src port (unresolved)」になったことを確認したら、今追加した項目を左クリックしてドラッグして [Source address] の直下に移動します。


「Source port」を追加し終わったら、もうひとつ別の列を追加します。次に追加する列は、題名 (Title) を「Destination Port」に、列の種別 (Type) は「Dest port (unresolved)」とします。


「Source Port」の列のときと同様に、今回追加した「Destination Port 」もドラッグして「Destination address」の直下に移動します。  移動し終えた後、列表示は、下図と似た状態になっているはずです。


「Source Port」と「Destination Port」の列を追加が修了したら、[OK] をクリックして変更内容を反映します。なお、新しく追加した列の文字列は自動的に右寄せで表示されるので、各列ヘッダ (見出し行) の項目を右クリックしてほかの列と同じ左寄せに設定しなおすとよいでしょう。


日常業務で「Source address」と「Source Port」の列は後で必要になるまで非表示にすることが多いです。

列の時刻設定を UTC に変更する

時刻表示形式を変更するには、[View (表示)] メニューを開いて[Time Display Format (時刻表示形式)] を選択して [Seconds Since Beginning of Capture (キャプチャ開始からの秒数)] を [UTC Date and Time of Day (UTC 日時)] に変更します。つづけて同じメニューで時間の分割単位を [Automatic (自動)] から [Seconds (秒)] に変更します。下図はこのメニューでこれらのオプションを表示したところです。


カスタム列を設定する

残念ながら、[Column Preferences] メニューからは直接追加できない種類の列もあります。その場合に使えるのが Wireshark のカスタム列追加機能です。

カスタム列には、Wireshark画面の各フレームに含まれるほぼどんな値でも利用できます。ここでは HTTP および HTTPS のトラフィックに含まれるドメイン名を元にして Wireshark の列ヘッダに表示するカスタム列を追加してみることにします。

HTTP トラフィックに含まれているドメイン名をすばやく探すため、まずは Wireshark の [Filter] ツールバーに「http.request」という文字列を指定し、続いて [Packet List] ペインの下部に表示されている [Packet Details] ペインを確認していきます。

まず、[Packet Details] ペインに表示されている [Hypertext Transfer Protocol] 行の左端にある「大なり記号(>)」を左クリックしてこの行を展開します (訳注: Wireshark のバージョンや実行環境によっては「大なり記号」ではなく「右向きの三角形」の場合があります)。

これにより複数の行が追加表示されます。[Host:] で始まる行までスクロールして HTTP ホスト名を確認します。この行を左クリックして選択します。続いてこの行を右クリックしてコンテキスト メニューを表示します。メニューの上の方に [Apply as Column (列として適用)] という項目があるので、 これを選択します。これにより HTTP ホスト名の新しい列が作成されます。


同様にして暗号化されている HTTPS トラフィックからドメイン名を見つけるには、Wireshark の [Filter] ツールバーに「ssl.handshake.type == 1」を指定します。

さらに [Packet Details] ペインで「Secure Sockets Layer」行、「TLS(バージョン) Record Layer」行、「Handshake Protocol: Client Hello」行をこの順にクリックして展開します。


続いて「Handshake Protocol: Client Hello」行、「Extension: server_name」行、 「Server Name Indication extension」行をこの順に展開します。ここで「Server Name」で始まる複数種類の値をふくむ行が確認できるので、この中から「Server Name:」で始まる行を選択し、右クリックします。表示されるコンテキスト メニューから [Apply it as a column (列として適用)] をクリックします。下図がこの例です。


カスタマイズが終わったら、「http.request or ssl.handshake.type == 1」を [Filter] ツールバーに指定します。この結果を下図に示します。こうしてカスタマイズしておけば、デフォルトの列表示設定のままの Wireshark を眺めるよりずっとどのような web トラフィックが流れているのかを把握しやすくなります。

ランサムウェアギャングが発表した被害者リスト(2022年1月版)BY DARKTRACER


 Dark Tracerによると、1月は日本企業1社がランサムウェアの被害にあっている模様。 

東京コンピュータサービス株式会社

プレスリリースアーカイブ