マイクロソフトが公開した「プレ・ハイジャッキング攻撃」の調査論文を要約
マイクロソフト・セキュリティーレスポンスセンターが「プレハイジャッキング攻撃」と呼ばれる新種の攻撃について2022/05/20調査論文を公開したとのこと。以下、要約。
被害者が登録しそうなウェブサイトに前もって本人のメールアドレスでアカウント登録し、本人が登録してウェブサイトを使い始めた後、アカウントを乗っとるという攻撃。攻撃が成立するのは被害者がまだ登録していないサイトのみ。
被害が起こりうる場面として挙げられているのは以下のような場合。
- 被害者が登録済みのサイトの傾向から、今後登録しそうなサイトを推測できる場合
- 被害者の所属組織がこれから利用する予定のサービスを特定できる場合
- ユーザー数が増加中の人気サービス(ウェブ会議など)
たとえ被害者が登録済みであっても、攻撃者には何のリスクもないのが特徴。
同センターがじっさいに最も人気のある75のウェブサイトで分析した結果、少なくとも35サイトにこの攻撃の脆弱性が見つかった。広く使われているクラウドストレージ、SNS、専門家のネットワーキングサービス、ブログ、ウェブ会議サービスなど。(これらウェブサイトには2021/03~09に脆弱性を報告済み)
この75サイト以外にも脆弱なウェブサイトやサービスが存在する可能性は高い。
根本的な原因として、登録時にメールアドレスの所有確認が完了する前に、サービスの一部が利用できることがある。この時間差が脆弱性になっている。ショートメッセージや自動音声通話などによる登録時確認でも同じ脆弱性が生じうる。
ウェブサイト側の対策として、確認が完了するまで一切サービスが使えないようにすること。
それに加えてウェブサイト側では次のような追加対策が考えられる。
- ユーザーがパスワードリセットをしたとき以下のことを行う。
1) すべてのセッションを強制サインアウトし、認証トークンもすべて無効化する。
2) メールアドレス変更手続き中の場合はすべてキャンセルする。
3) アカウントにひもづく連携先の認証アカウントや、電子メール、電話番号に通知を送信する。
2つのアカウントをマージする際、両方とも本人のものかユーザーに確認する。
電子メールの変更をユーザーにメールで確認する際(認証トークンを埋め込んだURLをクリックしてもらうなど)、確認の制限時間をできるだけ短くする。
本人が確認していないアカウントを監視して定期的に削除する。
ユーザー側の対策としては、多要素認証を有効化することが考えられる。事前にアカウントを登録されていたとしても、自分が登録して以降、攻撃者に悪用されるのを防げるため。(なおユーザーが多要素認証を有効化したとき、ウェブサイト側はそれまでの全セッションを無効化すること)
要約は以上。
*) 2022/05/24 10:42更新
Bleeping Computerに記事が出てましたね。
中国CNCERT/CCの月報を読んでみる
中国CNCERT/CCの週報は以前にご紹介しましたが、月報「インターネットセキュリティ脅威レポート(互联网安全威胁报告)」には何が書いてあるかざっくりまとめてみました。
月報のインデックスはこちら。今回読んでみるのは2022年3月分です。 www.cert.org.cn
以下、数字の増減はすべて前月比です。 (なお「境内」は国内、「境外」は国外の意味ですが香港は中国国内でも「境外」扱い)
ウェブサイト改ざん
- 境内の改ざんサイトは9,080 (+173.2%)
- 境内のバックドアを仕掛けられたサイトは2,524 (+40.5%)
- 境内2,262サイトを境外IPアドレス2,918個が遠隔制御
- それら境外IPの主なものは香港、米国、アルメニア等
- 制御している国内IP数では香港が513で最多。ついで米国453、英国441。
フィッシング
トロイの木馬・ボットネット
脆弱性
- 今月CNCERTが収集整理した脆弱性は2,431件 (+42.7%)。Criticalは781件 (+61.4%)
インシデント報告・対応
- CNCERTが受理したインシデント報告 9,843件 (+16.7%)。うち脆弱性4,444件、マルウェア3,823件
- CNCERTが各省と強調して対応したインシデント9,834件。うち脆弱性4,437件、マルウェア3,821件
モバイル
以上
米国とEUの個人データ移転に関する基本合意についてシュレムズ氏の反応
2022/03/25、バイデン米大統領とフォンデライエン欧州委員長がブリュッセルで米EU間の個人データ移転ルールで基本合意したとのこと。
そもそも米国のSafe Harbor、Privacy Shieldにもとづいて許可されていた欧州から米国への個人データ移転が無効になったのは、個人データ保護に関するNGO「noyb」を主宰するシュレムズ氏の訴えによる欧州司法裁判所の判断だった。
そのシュレムズ氏が「Privacy Shield 2.0?」と題して、今回の基本合意にさっそく反応しているので要約してみる。
このタイトルは「Privacy Shieldの単なる焼き直しなのでは?」という意味だろう。
まずシュレムズ氏の現状認識は以下のとおり。
- 単なる政治的声明であり、分析できる文書になるまで数か月かかるだろう。
- おそらく「原則上の合意」であり、Privacy Shieldに関するこの2年間の議論を完全に解決するものではない。
- noybの知るかぎり米国は個人データ監視に関する法律を変える計画はない。Safe HarborとPrivacy Shieldの両方を無効とした欧州司法裁判所の判断が今回くつがえるかは不透明だ。
- 個人データの商業利用を原則とするPrivacy Shieldは更新されていない(訳注:今回の基本合意はあくまで政治的なものだということ)。
- 今回の合意はまず法的に有効な文書にもとづいてEDPBがレビューする必要がある。実際の個人データ移転の十分性認定はそこからさらに数か月かかるだろう。
- 各企業は正式に承認されるまであと数か月待つ必要がある。
- EDPBが十分性認定をした場合、すぐに欧州司法裁判所の判断を待つ必要がある。
- しっかり文書化されていない政治的な声明であるため、当面は法的に不確実な状況が生じそうだ。
この現状認識をふまえたシュレムズ氏の声明は以下のとおり。
私たちはすでに2015年に法的根拠のない純粋に政治的な合意をしています。今回の声明を聞くかぎりでは、また同じことを三度くり返すかもしれません(訳注:Safe Harbor、Privacy Shieldの無効化につづく三度目の意味)。
今回はフォンデアライエンが望んだ象徴的な合意ですが、ブリュッセルの専門家は支持していません。米国側の動きがないからです。
米国はウクライナでの戦争を利用して、EUとの経済的な問題を推し進めようとしていますが、これにはあきれるばかりです。
最終的な文書化にはもう少し時間がかかるでしょう。文書がとどけば米国法の専門家とじっくり分析するつもりです。もしEU法に沿っていなければ、私たちか別のグループが訴訟を起こすでしょう。最後には欧州司法裁判所が三度目の判決を出すことになります。数か月以内に裁判所で最終判断がされると期待しています。
残念なのは、EUと米国がこの状況を活かして、同じ民主主義をかかげる者としての基礎的な保障の上に「反諜報」合意に至ろうとしないことです。顧客や企業は向こう数年間、法的な不確実性に直面することになります。
以上のように、シュレムズ氏は今回の政治的な合意声明について、当然ながら懐疑的なようだ。
LAPSUS$の攻撃手法についてのMicrosoft社ブログ要約
MicrosoftがLAPSUS$(DEV-0537)という攻撃者の攻撃手法 (Tactics, Techniques and Procedures) について長文ブログを公開したので要約してみます。(以下、呼称はLAPSUS$を使います)
同社自身も従業員1名のアカウントを侵害されたものの、アクセス権が限定的でリスクの上昇にはつながらなかったとのことです。
他にもNVIDIA、OktaなどもLAPSUS$の不正アクセス被害にあっているようです。
なおこの記事を書いている時点でLAPSUS$の首謀者の1人は英国オックスフォード近郊に住む16歳の少年の疑いがあるとの報道もあります。
初期アクセス
最初のユーザーアカウントを乗っ取る手段は以下のとおり。
- Redlineというパスワード窃取型マルウェアでパスワードとセッショントークンを取得する
- 地下掲示板で認証情報やセッショントークンを購入する
- 従業員を買収し (サプライヤーや取引先ふくむ) 認証や多要素認証にアクセスする
- 公開されているコードリポジトリにさらされている認証情報を探す
窃取した認証情報は、インターネットに公開された状態のVPN、RDP、仮想デスクトップ (Citrix、Azure Active Directory、Oktaなど) への不正アクセスに悪用される。
多要素認証の突破方法
- セッショントークンを流用する (リプレイ)
- 盗んだパスワードで多要素認証の承認要求プロンプトを何度も表示させ、本人がクリックするように仕向ける
- 個人アカウントへの不正アクセス。たとえば二要素認証やパスワード再設定に使われているメールアドレスやスマホの電話番号を盗み (SIMスワッピングなど) 、それを悪用してパスワードをリセット、本アカウントに侵入する
従業員の買収に成功した場合の手口
- 認証情報を提供させる
- 多要素認証の承認要求プロンプトを承諾させる
- 社内PCにAnyDeskなど遠隔操作ソフトをインストールさせる
初期アクセス成功後は、自分たちのシステムをVPN経由で被害組織に接続したり、Azure Active Directoryに登録、参加させるなどする。
偵察・特権昇格
- パッチ未適用の脆弱性を探す (JIRA、Gitlab、Confluenceなど)
- 社内のコードリポジトリやコラボレーションプラットフォームでさらされている認証情報やシークレットを探す (SharePoint、Teams、Slackなど)
- AD Explorerなどの公開ツールで全ユーザー、グループを列挙し、特権アカウントを探す
- DCSync、Mimikatzなどのツールで特権昇格する
- ドメイン管理者相当の特権が奪取できたら、ntdsutilコマンドでActive Directoryデータベースを抽出する
ソーシャルエンジニアリングの手法
特権昇格にはソーシャルエンジニアリングの手法も用いられる。
たとえば、事前にプロフィール写真などの情報を収集、英語のネイティブスピーカーに電話をさせ、ヘルプデスク担当をだまして特権アカウントのパスワードをリセットさせる。また、よくある秘密の質問、「生まれて最初に住んだ場所」や「母親の旧姓」などの回答を調べておく。
ヘルプデスクを外部委託している企業で、特権アカウントの管理も任せている場合にこの戦術 (tactics) が有効。
抽出、破壊、脅迫
- 外向けの通信にNordVPNを利用した専用システムを仮想サーバー上に準備する
- アクセス元から足がつかないように、攻撃対象の組織に近い場所のVPNアクセスポイントを使う
- 自分たちのシステムを相手組織のVPNに接続したり、Azure Active Directoryに登録しておく
- 自分たちのシステムに機密データをダウンロード、脅迫のネタにつかう。
- 相手のクラウド環境に仮想マシンを作成し、組織全体への攻撃をつづける足がかりにする
- 相手のクラウドテナント (AWS、Azureなど) の特権獲得に成功すると、全体管理者アカウントを作成する
- Office 365の場合、メール送受信ルール (トランスポートルール) を作成、自分たちのアカウントに転送設定する
- 他の全体管理者アカウントをすべて削除し、クラウド環境の管理者権限を独占する
- データ抽出後、相手の全システム、全リソースをオンプレミスも含めて(VMware vSphere/ESXiなど)削除する
- 組織のインシデント対応プロセスを開始させる
- インシデント対応が開始されると、組織内のコミュニケーションツール(Slack、Teams、電話会議など)に侵入する
- 組織のインシデント対応がどのようなフローになっているかを調べる
- 組織の心理状態や、侵入方法についての理解度を知り、脅迫の内容や方法を決める
- 情報公開をネタに脅迫する場合もあれば、脅迫せずにそのまま公開してしまう場合もある
以上、LAPSUS$(DEV-0537)の攻撃手法についてのMicrosoft社ブログの要約でした。
中国データ域外移転セキュリティ評価規則のパブコメ開始
中国サイバースペース管理局が「データ域外移転セキュリティ評価規則(数据出境安全评估办法)」のパブリックコメントを2021/10/28開始した。「サイバーセキュリティ法(网络安全法)」「データセキュリティ法(数据安全法)」「個人情報保護法」にもとづく新しい規則とのこと。
個人情報、データの域外移転セキュリティ評価については、同局がすでに以下の規則(办法)のパブコメ稿を出しており、事実上施行されているのでややこしい。
2017/04/11「個人情報と重要データ域外移転セキュリティ評価規則(个人信息和重要数据出境安全评估办法)」(根拠法「国家安全法」「サイバーセキュリティ法」)
国家互联网信息办公室关于《个人信息和重要数据出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室
2019/06/13 「個人情報域外移転セキュリティ評価規則(个人信息出境安全评估办法)」(根拠法「サイバーセキュリティ法」)
国家互联网信息办公室关于《个人信息出境安全评估办法(征求意见稿)》公开征求意见的通知-中共中央网络安全和信息化委员会办公室
まず今回の「データ域外移転セキュリティ評価規則」を要約してみる。
例によって筆者は法律の専門家ではないので、この要約をゆめゆめ実務に利用されぬよう。
「データ域外移転セキュリティ評価規則」要約
適用対象
- データ処理者が国内で運営中に収集、生成した重要データと、法に基づいてセキュリティ評価をする必要のある個人情報を、域外に提供する場合
評価が必要になる場合
- 重要情報インフラ施設運営者が収集、生成した個人情報と重要データ
- 域外移転データに含まれる重要データ
- 個人情報処理件数が100万人分以上である個人情報処理者が域外移転する場合
- 域外に提供する個人情報の累計が10万人分以上、または個人のセンシティブ情報の累計が1万人分以上の場合
- 国家通信情報部門が規定するその他の場合
域外移転前の自己評価項目
- データ域外移転と受領者のデータ処理の目的、範囲、方式などの合法性、正当性、必要性
- 域外移転するデータの数量、範囲、種類、機微の程度、データ域外移転が国家安全、公共の利益、個人または組織の合法的権益にもたらすリスク
- データ処理者がデータ移転する際の管理、技術措置、能力などによってデータ漏えい、毀損などのリスクを防止できるか
- 域外の受領者が責任義務を承諾し、責任義務を履行する管理・技術措置、能力などによって域外移転データのセキュリティを保障できるか
- データ域外移転と再移転後の漏えい、毀損、改ざん、濫用などのリスク、個人が個人情報の権益を維持するための連絡経路が円滑か
- 域外の受領者と締結したデータ域外移転に関する契約がデータセキュリティ保護の責任義務を十分規定しているか
自己評価の当局への申請時に提出が必要な資料
- 申請書
- データ域外移転リスク自己評価報告
- データ処理者と域外受領者が締結した契約またはその他法的効力を有する文書など
- セキュリティ評価作業に必要なその他資料
当局が申請を受けて改めて評価する項目
- データ域外移転の目的、範囲、方法などの合法性、正当性、必要性
- 域外受領者が存在する国家・地区のデータセキュリティ保護政策法規とサイバーセキュリティ環境が、域外移転データのセキュリティに影響するか。域外受領者のデータ保護レベルが中国の法律、行政法規の規定と国家標準の強制力のある要求に達しているか
- 域外移転するデータの数量、範囲、種類、機微の程度、域外移転中と域外移転後の漏えい、改ざん、紛失、破壊、移転または不法な取得、不法な利用などのリスク
- データセキュリティと個人情報の権益が十分有効な保障を得られるか
- データ処理者と域外受領者の締結した契約がデータセキュリティ保護責任義務を十分に規定しているか
- 中国の法律、行政法規、部門規章の遵守
- 国家通信情報部門が評価が必要と認めるその他事項
データ処理者と受領者の契約が最低限含むべき内容
- データ域外移転の目的、方法とデータの範囲、域外受領者のデータ処理の用途、方法など
- データの域外保存場所、期限、保存期間の到達、契約目的の完成、契約終了後の、域外移転データ処理措置
- 域外受領者が域外移転データをその他組織、個人へ再移転することを制限する条項
- 受領者の実際の管理権または経営範囲に実質的変化があり、または所在する国家、地区の法環境に変化があり、データセキュリティの保障が困難になった場合に、とるべき安全措置
- データセキュリティ保護義務に違反した場合の違約責任と拘束力をもち執行可能な争議解決条項
- データ漏えいなどリスク発生時の、妥当な応急処置の実施、個人が個人情報の権益を維持するための円滑な連絡経路
処罰
- 「サイバーセキュリティ法」「データセキュリティ法」「個人情報保護法」などの法律に基づく
その他
- 当局は申請書受理後7稼働日以内に、受理するかどうかを書面で通知
- 当局は申請書受理通知後、45稼働日以内、最長でも60稼働日以内にセキュリティ評価を完了
- データ域外移転評価結果は状況に変化がない限り2年間有効
- いかなる組織、個人も本法に基づかないデータ域外移転活動を発見した場合は当局に通報できる
以上が「データ域外移転セキュリティ評価規則」の要約。
ついでに2017年「個人情報と重要データ域外移転セキュリティ評価規則」、2019年「個人情報域外移転セキュリティ評価規則」も要約してみる。
2017年規則は数量基準が今回2021年規則と明らかに異なるが、どこかで廃止されたのかどうかまで調べ切れていない。
2017年「個人情報と重要データ域外移転セキュリティ評価法」
適用対象
- ネットワーク運営者(インフラ事業者だけでなく一般企業も含む)
評価者
- 定期評価:業界の主管組織または監督部門。域外移転前評価:自己評価。
評価項目
- 域外移転の必要性
- 個人情報:数量、範囲、類型、機微の程度、本人からの域外移転同意有無
- 重要データ:数量、範囲、類型、機微の程度
- データ受領者の安全保護措置、能力、レベル、受領者の国家・地区のサイバーセキュリティ環境
- データ域外移転および再移転後の漏えい、毀損、改ざん、濫用などのリスク
- データ域外移転および域外移転データの集約が国家安全、社会公共の利益、個人の合法的利益にもたらすリスク
- その他評価の必要な重要事項
評価が必要な情報
- 合計または累計50万人以上の個人情報
- 1000GBを超えるデータ量
- 核施設、化学生物、国防軍事工場、人口、健康などの領域のデータ、大型プロジェクト活動、海洋環境および機密地理情報データなど
- 重要情報インフラ施設の脆弱性、セキュリティ保護などを含むサイバーセキュリティ情報
- 重要情報インフラ施設運営者が域外に提供する個人情報と重要データ
- その他国家安全、社会公共の利益に影響する可能性があり、業界の主管組織または監督部門が評価すべきと認めたもの
域外移転禁止の場合
- 個人情報を本人の同意を得ずに域外移転する場合、個人の利益を侵害する可能性のある場合
- データ域外移転が国家の政治、経済、科学技術、国防などのセキュリティリスクとなる場合、国家安全に影響し、社会公共の利益を毀損する可能性がある場合
- その他国家通信情報部門、公安部門、安全部門など関連部門が域外移転してはならないと認めた場合
処罰
- 関連する法律に基づいて処罰
2019年「個人情報域外移転セキュリティ評価法」
適用対象
- ネットワーク運営者(インフラ事業者だけでなく一般企業も含む)
評価者
- 自己評価した上で所在地の省クラスの通信情報部門に報告。 (異なる提供先ごとに評価と報告が必要)
評価項目
- 国家の関連する法規と政策規定に適合するか
- 提供先との契約が個人情報主体の合法的権益を十分保障できるか
- 契約が有効に執行されるか
- ネットワーク運営者または受領者が個人情報主体の合法的権益を毀損した履歴がないか、重大なサイバーセキュリティ事故を起こしていないか
- ネットワーク運営者が個人情報を合法、正当に取得したか
- その他評価すべき内容
域外移転禁止の場合
- 個人情報を本人の同意を得ずに域外移転する場合、個人の利益を侵害する可能性のある場合
- データ域外移転が国家の政治、経済、科学技術、国防などのセキュリティリスクとなる場合、国家安全に影響し、社会公共の利益を毀損する可能性がある場合
- その他国家通信情報部門、公安部門、安全部門など関連部門が域外移転してはならないと認めた場合
処罰
- 関連する法律に基づいて処罰