2019年5月29日のtwitterセキュリティクラスタ

アラートループ事件の2人は不起訴になりました。

アラートループ事件で支援していた2名は不起訴になりました!これは、寄付をいただいた皆様と担当して頂いた弁護士の先生達の力による成果です。皆様、本当にありがとうございました!
hacker.or.jp/alertloop/

「被害者は0人だが、サイバー月間だから摘発した」という兵庫県警には驚きを禁じ得ませんが、事件について間違った情報を伝えてしまったメディアも少なくありませんでした。面白おかしく伝えるだけでなく、今回の起訴猶予(不起訴)についてもきちんと報じてほしいです。

nlab.itmedia.co.jp/nl/articles/19…

何が犯罪だったのかわからないまま、「今回は起訴する程度ではなかったわ」とウヤムヤになったのか / 他4件のコメント b.hatena.ne.jp/entry/www.yoko… “アラートループ事件の被疑者2名に対する起訴猶予処分を受けて | 横浜パーク法律事務所” (16 users) htn.to/3QtbLpi6Kh

あくまであれを犯罪と言い張る県警様 → “本件は,捜査機関の現代技術に対する無理解と,無理解から来る根拠のない不安感・危惧感を犯罪として構成するという理不尽な権力の行使”>『アラートループ事件の被疑者2名に対する起訴猶予処分を受けて | 横浜パーク法律事務所』( yokohama-park-law.com/news/20190529.… )

警察が起訴猶予処分で逃げたぞ。起訴猶予処分についてそもそも違法は行われていなかったとの認定と損害賠償を請求する訴訟とか起こせないのか。これだけのことをしでかして警察が誰一人処分されないのは将来に禍根を残すぞ。
twitter.com/JapanhackerA/s…

サイバーセキュリティ月間は冤罪事件を生み出すことがこれではっきり分かりましたので、来年からは、NISCの行うサイバーセキュリティ月間に全力で反対していくことにします。 twitter.com/tiketiketikeke…

まずは起訴されなくて良かった。世論の圧力がなければ普通に起訴していた気がする。 / “神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず – ねとらぼ” htn.to/2A4Z5sia2C

今回の不起訴が「世論の圧力」の影響を受けたものというのは、ちょっと違うかなと思います。そもそも検察官が、技術者中心の反発を「世論」とは受けとらないのではないか。

①適切な弁護活動
②Coinhive地裁無罪判決の影響
③被疑者が略式手続を拒んだこと

以上3つの要因の影響があったと思います。 twitter.com/miraihack/stat…

「被害者は0人だが、サイバー月間だから摘発した」というのが本当だとすると「サイバー月間だから実績として件数稼ぎを行う必要があった」「手っ取り早く稼げれば何でも良かった」という真意を端的に表しているような気がして泣くに泣けないですよね nlab.itmedia.co.jp/nl/articles/19… > Last RT

今日も某重要な偉い人に本件を話したのだが
私「例の件、起訴猶予になりましたよ。かくかくしかじか」
某「でも迷惑なものではあったんでしょ?」
私「実物を見たの?」
某「見てない」
私「ハア?」
某「昔のブラクラとか酷かったじゃん」
私「見てもないのに評価すんなやクソが」
という展開だった

【関西のニュース】パソコンの画面に特定の文字などが表示され続ける不正なプログラムに誘導するリンクを、インターネット上に貼ったとして中学生らが相次いで兵庫県警に摘発された事件で、書類送検された男性2人が起訴… www3.nhk.or.jp/kansai-news/20… #nhk_bknews

【朗報】アホな兵庫県警の尻ぬぐいをさせられた検事、検面調書に反省文言を入れようとして拒否され、起訴猶予で逃げる

神戸地検、「ブラクラ貼った」と書類送検された男性2人を起訴猶予処分に 「ウイルス罪に該当」との認識は変わらず nlab.itmedia.co.jp/nl/articles/19… @itm_nlabさんから

尻拭いさせられたではなく、この検事こそが首謀者であった疑い。一般に警察は検事にこれで行けそうか相談することがある。去年にも同じ事案で2人検挙していたことが判明している。検事は年度末で異動したとされているが、2名いて1名は異動せず今回の処分を担当したと聞いた。
twitter.com/kumaemon9/stat…

LINE and Intertrust Security Summitでした。

Stuart Haber氏の講演。
過去の電子文書の署名のハッシュ関数がヤバくなったと分かったらどう更新する?今できることは?#liss2019 pic.twitter.com/oM6T3vJHu4

台湾のeIDの進化が早くて素晴らしい。カードリーダー持ってなければeKYCでカバーする。
#liss2019 pic.twitter.com/Q4RTHPKqaz

FIDO Authenticatorのレジスト時のKYCにeIDカードを使う。台湾のユースケース #liss2019 pic.twitter.com/2762ByscyS

IntertrustのDave Maher氏の講演。Decentralized Identity managementシステムの要件。#liss2019 pic.twitter.com/sdCpWS2GJh

アカウントのモデルを洗い出すって大切だけど大変
#liss2019

LINEの端末官引き継ぎをみると、UXとセキュリティの両立ってクソ難しいのがわかるな〜… #liss2019

E2Eでのメッセージは暗号化されてるから、その鍵問題から端末変わった時の体験がさがるなどなど #liss2019

43%がフィッシングに弱い。これはテクノロジーに詳しい人も含む。73%の垢が漏洩したパスワードによわい #liss2019

Bluetooth pairing protocolsか。ペンテスターからBLEは狙い目って聞いてるので納得 #liss2019

Device Flow(アプリにログイン通知とばす2FA)は、フィッシングサイトに弱いです #liss2019

SMS認証や電話番号に依存したものは、再利用可能識別子を使った場合の問題を内容しているので注意すべきなんですよね。市原さんの話にあった Sudden Death も実はこの問題に根ざしている。 #liss2019

SMS認証は、コードが送られてくる時間を待つ時間、コード入力の面倒さなどのユーザビリティの問題もある。 #liss2019

これはFIDOで解決できる。パスワードレスになると、ID登録が飛躍的に増える。<これで、LINEの電話番号縛りもなんとかならないかなぁ。 #liss2019

社内では、顔パス認証も実験している。<ユーザビリティは良いけど、一般的にはプライバシーの面からもセキュリティの面からもなかなか難しいと思うなぁ。 #liss2019

ちなみに、Birgissonさんのトークにもあったけれども、SMS認証はフィッシングには弱いので、なるべく FIDOに移行したほうが良いと思う。 #liss2019

2017年6月からは有償で本人確認アシストAPIをパートナーに提供している。OpenID Connectを使ってAPIとして提供している。eKYCの一つ。 #liss2019

2パターン。1)フィルインタイプ、2)マッチングタイプ。 #liss2019 < 署名付きのID Tokenがあったら、フォーム・フィルインにする必要はないと思うのだが、その理由はなんだろうか?同意の一環だろうか?(確かに、ISO/IEC DIS 29184ではそのように値を表示することを推奨しているが。)

さらに、パートナーが個人情報を適切に扱えるかどうかの認証(TRUSTe, Pマーク、ISMS)を確認している。<Data Fiduciary / #情報銀行 的。 #liss2019

お客様情報の適切な利用の例:コールセンターの問い合汗と機器データを機械学習してアプリの使い方ヒントを出している。 #liss2019

d払いの本人確認は、犯罪収益移転防止法、資金決済法を遵守酒た運用が求められる。eKYCを鋭意検討。 #liss2019 @FIDOAlliance でも eKYCの検討で、Identity verification とバインディングのWGの設置が決まった。

Q:Googleがパスワードレスを推進する一方でchromeのパスワードマネージャも存在する。その意図は?
A:ユースケース、ユーザ環境の違いへ対応するには複数のソリューションが必要。 #liss2019

Q:Yahooのパスワードレスにより新規登録ユーザが増えたというのは興味深いが理由は!
A:セキュリティへの取り組みが評価され安心して頂いた。またパスワード登録の段階での離脱が減った #liss2019

Q:崎村さんが注目している動向は?
A:Verifiable Claim。KYCもその一環。そもそもKYCは氏名や住所を確認することではなく、サービスなどを使わせて良いかの判断をすること。そのためには突合するDBが必要 #liss2019

もうひとつ。GoogleやMicrosoftなど大規模だけではなく小さなIdPも使えるようになって欲しい。ただDiscovery問題があるので、ブラウザが進化して欲しい。例えばブラウザに国情報をセットしておくと自動Discoveryしてくれるとか。 #liss2019

Facebookとケンブリッジアナリティカの問題。Facebookにセキュリティ的な落ち度があった訳ではなく、Over Consentの問題。Minimal Collectionを守っているかの検査・審査をすることが必要になってくる。情報銀行はこのあたりの対応をしている #liss2019

確かに同意踏ませればなんでもしていいわけじゃないですからね。

facebookはセキュリティ的に落ち度はない、ユーザーも同意しちゃう。
けど、ユーザーって結構同意しちゃう。
人の同意って本当に有効な同意なの?

#liss2019

もともとiPhoneのTouchIDでは指が追加されたことがアプリ側では検知出来なかったので、寝ている間に他人が解除して新しい指紋を登録されてもわからなかった。これでは本人確認には使えないと判断していたがiOS9で判別出来るようになった #liss2019

これ見ると、機械学習での不正アクセスはやはりフィッシング可能なので、FIDO的アプローチがよりベターな
気持ちになる #liss2019

Membership Inferenceは初めて聞いた。攻撃者の手元にあるデータが、モデルの教師学習に使われたか推測する攻撃手法。この攻撃はプライバシーの侵害につながりうる #liss2019

#liss2019 Model Inversion. モデルからモデルが認識できるデータを構成できるか?例えば顔認識モデルから、持ち主の顔情報を復元するなど。

#liss2019 minimax game between generator and discriminator. 2つのモデル。贋データを作成するモデルと、真贋判定モデルを切磋琢磨させる。そうすると指紋情報や顔データを作成可能

#liss2019 うーん、これみると機械学習を使った防御手法だと、攻撃側の機械学習モデルとバトルことになって、いままで繰り返してたイタチごっこの環から抜けられない気がするな…

でも、業界レギュレーションはこういった技術の進化に対して、それ弱くね?って決まりが多い気がする。本人確認時の身分証明書と顔写真の送付とか… #liss2019

長尾 豊 さんの話は、Deepfake と戦うには、Trusted Chain of Custody を作っていくのが良いというはなし。 #liss2019

金融事業の挑戦、セキュリティの視点から考える信用評価サービス

関水 和則 / LINE Financial 株式会社 マネージャー #liss2019

ユーザーの行動データを元にスコアリングする。例:安全な運転ができる人には高いスコアを与えて、それをサービスの向上へつないでいく。 モデルベース、ルールベース、などが考えられる。使う人はこのプロセスを明確に理解している必要あり。 #liss2019

スコア作成のもととなった「命題」とスコアが保つ特性はどのようなものか?
それが、簡単に理解・説明できるか、楽しいか、公平かが課題。 #liss2019

一つのスコアを作成するのであれば、じっくり取り組めば良いかもしれないが、複数のサービスで複数のスコアを作っていくとなると、ミスマッチが生じる恐れが強い。「説明可能性」「選択可能性」が非常に重要。 #liss2019

単にMLを使うというのではなく、MLという技術をもとに、どうあるべきかを考える、「デジタル変法」が必要 #liss2019

Level 2 Considerations: 1) モデルのもつ説明可能性のバランスをあきらかにしなければならない。2) 独占と支配を自重しなければならないかもしれない。例:LINEを使わないとスコアが下がるなどはNG #liss2019

ディストピアを回避する方法として:
Opt-in/Opt-out for each score to users. 単純な同意と拒否だけなく、ユーザがそのスコアを使いたくないというような場合にrevokeしていくことが可能に、標準プロトコルで実装する。e.g. OpenID Connect #liss2019

標準技術はこうした様々な問題について検討されているので、それを使うのが良い。 #liss2019

生体認証の特徴。
・わたさず(鍵を渡さない)
・もたず(カード等を持たない)
・またず(速い)
・わすれない
#liss2019

LINE Pay の本人確認(顔認証)にはNECの技術が使われてるのか〜 #liss2019

PBIにより生体情報を集中管理することによるリスクから解放され、キャッシュカードレスのATMが実現した #liss2019

Blockchainのアキレス腱、鍵管理もPBIで解決できるかもしれない。 #liss2019

FIDOとPBIは相性が良い。FIDOのAuthenticatorをPBIで作るということもできるだろう。現状だと、TPMやTEEで鍵や生体情報を管理する必要があるが、PBIテンプレートを使えば、アプリ鍵管理でもデータの保護に関しては安全。(L.v.1.5) #liss2019

PKIが普及しなかった理由の一つにIdentity Proofing @ RAが重い。PBIなら、事後的に本人の指紋だなど証明できるので、その負担がないので普及に有利。 #liss2019

関水:LINEでは、法的コンプライアンスは当然のこととして、事業者の立場だけでなく、ユーザの立場も考えてやる。
市原:LINEでは法務がOKでも、プライバシー的にNGにすることはよくある。
#liss2019

PBI人気だけど個人的には反対。

生体情報から鍵ペアを得れる技術的面白味は認めるけど、生体情報との関係性が結局あるのはやはりよろしくない。そのために多様なテンプレートで関係性を出来るだけ断ち切ろうとしていると思うけど特徴点は必ず残る。プライバシーや差別への懸念は消えない #liss2019

その他に気になったことはこのあたり。

#佐川急便#Phishing に使われているMalware #MoqHao の動的解析をやってみました。画像は1st C2への通信ログです。User-Agentに特徴がありますね。FakSpyのUAもTYPOがあり、機能していないというバグがありw
ここから 2nd C2の情報を取得した後、WebSocket風のプロトコルでC2通信をします。 pic.twitter.com/LlQnY28YEb

このWebSocket風の通信はWebSocket、Webviewを使わず独自にSocket通信をするのか?通信経路が異なる動きをしています。この辺は静的解析をしないとですね。

セキュリティネタ5⃣

ヤマダ電機で深刻レベルMaxの流出
yamada-denki.jp/information/19…

流出は
・クレジットカード番号
・有効期限
・セキュリティコード

うん、これさえあればどのサイトでも買い物が出来るよね

原因は侵入され
支払いページを書き換えられ
クレカ情報が外部に漏れるようにしてあった為

『The Emissary Panda threat group loaded the China Chopper webshell onto SharePoint servers at two Government organizations in the Middle East,』

#APT27
Emissary Panda Attacks Middle East Government Sharepoint Servers
unit42.paloaltonetworks.com/emissary-panda… pic.twitter.com/rEOYgsSNdr

このケースで使われていたと言われているSharePointのRCE(CVE-2019-0604)については、2月にパッチが出たあと不十分だったため3月に再リリースされている点が要注意ですね。
twitter.com/autumn_good_35…

ニュージーランドの財務省のシステムにハッキングの試みがあったようで公表前の予算案が漏えいした可能性もあるようです。公表前の一部情報を持っていた野党が疑われている模様。

New Zealand Budget in Disarray as Treasury Systems Hacked
bloomberg.com/news/articles/…

これまでの惰性で何となくセキュリティやってません?目先で自分が何とかできることだけでなく、ちゃんと現実を直視できてますか?先週白浜で行われたサイバー犯罪に関する白浜シンポジウムで講演した内容を共有します 1drv.ms/p/s!As8evh8nGh…

26歳以下でセキュリティに興味がある人へ:以下のURL にある@nostarch の電子書籍フルセットをあげます。(現在2セットあります)面白いリプライ待ってます。(大人の人へ:RTよろしく、もしくは同様にサポートよろ。)

humblebundle.com/books/hacking-… pic.twitter.com/HZzmJPYDdG

ヤマダ電機 クレジットカード番号など最大3万件超の情報が流出した恐れ #ldnews news.livedoor.com/article/detail…

【記事追記】ヤマダ電機広報部より、もともとクレジットカード情報は取得しておらず、カード情報登録・変更ページが改ざんされた結果、情報が不正取得されたと確認できたため、一部追記しました。
japan.cnet.com/article/351376…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>