2019年7月13〜15日のtwitterセキュリティクラスタ

7payの続き

検証に必要な情報は出揃ってるので、脆弱性の詳細は三上洋さんが解説してくれます。我々はそれを待っていれば良いんです。

ちゃんと取材してたり事実に基づいた推定なんかも妥当で、各メディアまともな記事もまああるじゃんと思ったら書いてるの全部同じ人だったっていう

japanese.engadget.com/2019/07/03/3-7…
watch.impress.co.jp/docs/series/su…
businessinsider.jp/post-194412

セブンペイ関連でまともなのは鈴木淳也さんという人の記事で、浅川直輝の株は大暴落していて、三上洋はいつもどおりです。

登録から1時間も経たずに乗っ取られてる人もいるようで、リスト型攻撃やセッション乗っ取りで説明しづらいのは確か。Struts 1だしDB丸ごと抜かれているリスクは私も議論してるけど確証もなくテレビで語る勇気はないな / “7pay「組織的攻撃の可能性」専用パスワードでも…” htn.to/2AH54nBL29

「登録から1時間も経たずに乗っ取られてる人」が存在すること自体からリスト型攻撃が否定されるとは思えない。リスト型攻撃なら事前にログインできるアカウントを把握済みで、ずっと自動的に監視していたことも考えられる。
twitter.com/masanork/statu…

「自動的な監視」は、例えば、例のAPIで落ちてくるレコードをウォッチしていたら、7payの利用開始登録、カードの登録の状況pを把握できたのではないか。今も7pay使えてる人は例のAPIで何が落ちてくるか確かめてほしいな。

報道では痒いところに手が届いていないので、今日のNHKニュースに出られた被害者の方に追加インタビューしたところ、新情報として以下のことが確認できました。
・パスワードはキーボード配列ではない。
・メールアドレスはspamの来ない非公知のものだった。
・気づいてアプリで確認に行った際には…

…再ログインが必要となっていた。
・そのタイミングは出し子が利用した後だった。
・アカウントにはomni7のアカウントが元々あったのを用いた。
・アカウントパスワードはセブン-イレブンアプリを使用していた頃に変更して使用していたもので、7pay登録後に変更したものではない。

なお、既知の情報として以下。
・パスワードは16文字で、チャージパスワードは別のもの。
・パスワードリセットの通知メールは来なかった。

7pay「組織的サイバー攻撃の可能性」専用パスでも被害 #nhk_news www3.nhk.or.jp/news/html/2019…

7payからのPINコードとか二段階認証とかの話

「パスワードは対称鍵暗号である」というのは変じゃないか?
gigazine.net/news/20190712-…
「「なぜパスワードよりも単純なPINコードがパスワードよりも安全なのか、疑問に思うかもしれません」その答えは、「パスワードは対称鍵暗号(共通鍵暗号)である一方、PINコードはそうでないため」とのこと。」

@HiromitsuTakagi パスワードを使うかFIDO 2.0かという話ですね。バックエンドプロトコルの話であって、PINでアンロックするのを安全というのはミスリーディングな気もしますが

@masanork いやいやそうじゃないですよ。「FIDOだから」じゃ理由になってないし、ローカル認証はパスワードでもいいところなぜパスワードでなくてPINで足りるのかの説明が求められているわけで、Microsoftが言おうとしていることは正しい。
で、私がおかしいと言ったのは「共通鍵暗号」と説明された点のみ。

@masanork いや、「ローカル認証はパスワードでもいいところなぜパスワードでなくてPINで足りるのか」は、Microsoftも説明してないか。

@HiromitsuTakagi モバイルで端末を本人が占有している場合、デバイスを適切に管理できていればPINで足りる場合もありそうですが、共用端末でショルダーアタックなんかを受ける環境でPINを使うのは不適切で、生体認証なりでアンロックした方がいい気がしますね

@masanork そういう話をしているわけではなくて、PIN(数字4〜6桁)でOKということ(なぜパスワードのように長くしなくていいのか)が世間には理解されていないから、Microsoftが説明しているという話。

この点の理解が進まないと、7pay事件を契機に「PIN(4〜6桁数字)はケシカラン」という誤ったガイドラインみたいなものができてしまいかねない。

今思えば、マイナンバーカードの「パスワード」もあんなんじゃなくて、6桁PINにしておけばよかった。

マイナンバーカードというか、公的個人認証の署名用パスワードのこと。

@HiromitsuTakagi @masanork (2019年2月に鳥井信一さんがITmediaで書かれていた記事の参考画像が、今般のディスカッションで高木先生が想定されている「PINの概念」を直感的にイメージ伝達しやすい画像のような気がしました。)
itmedia.co.jp/news/articles/… pic.twitter.com/ya0nAKSIKY

LINE Pay
・LINEからの認証連携。結果、電話番号に紐づく。連携時にパスワードと称するPIN6桁を設定。
・ログアウト後のログインでPIN6桁が必要。これはリモート認証なのかローカル認証なのか?(リモートなら数字PINはよくない。が、そもそも必要なの?)
・起動時にPINを利用するように設定可能。

@ken_sugar @masanork いいんだけど、PINで足りる理由が理由になってないよなあ。

「この認証情報の取り出しには、PINの「知識」と、PIN情報が格納されている端末もしくはICカードの「所有」が必要なので、二要素認証になります。ですので、4桁の数字だけであってもセキュリティが高いといえるのです。」

@HiromitsuTakagi @masanork なるほど、確かに理由付けの面での説明はまだ弱いかもですね…。
(「所有物認証」の概念をうまく分解言語化できれば解に近づきそう)

「ログアウト後のログインでPIN6桁」と書いていたが改めて確認すると、LINE本体からの認証連携後のPINなので、強固なリモート認証が済んだ中に当たる。 pic.twitter.com/V0keHG1O2P

これら↑が(パスワードではなく)PINで許されている理由は、ロックアウトできている(LINEは未確認)からだが、MicrosoftがWindows HelloでPINでOKとしている理由は、それだけでなく、サーバに保管しないからどこかで漏えいが起きても大丈夫ということのようだ。
twitter.com/HiromitsuTakag…

パスワードはsymmetric keyだからサーバにも置かれていて漏洩する(その結果、他の被害につながる)が、PINはサーバに置かれないから漏洩しないし、クライアントにコピーを置くこともなくTPMでハードウェア的に処理するから安全と説明している。
youtube.com/watch?v=cC24rP…

その点、上で検証したアプリは、サーバにPINを置いているようなので、こうした作り方が広まるといずれ将来的にあちこちで漏洩するようになって、PINも台無しになる。この機構は、自前で実装せず、端末の機能に任せるように実装するべきではないか。

4年前のコラムではその想定で書いていた。
takagi-hiromitsu.jp/diary/20190708…
「将来、人が覚えて使うパスワード…は、端末上の認証(ローカル認証)に限って使うものとなり、サイトのログイン認証(リモート認証)には使わない…原点に立ち返り、体が覚え、愛着のある、自分の分身のようなものにできるはず 」

昨日書いた、ドイツの銀行がSMS OTP認証をやめつつある話ですが、zdnetが紹介する移行先は「以前からあるワンタイムパスワード生成器」「認証アプリ」「QRコードなど画像を利用」だとか。

いずれも「持っている」要素です。

Microsoft Authenticatorのような認証アプリが良さそうに思います。

「Microsoft Authenticatorのような認証アプリ」を使え話は、Webのログイン(や何かしらの操作の実行)をスマホ(あるいは携帯電話)で許可する話であり、今問題になっているスマホ単体で動くアプリの話とは分けて整理しないといけない。
twitter.com/SakasitaHirosi…

これはPCのWebのログインをスマホと同期を取る仕組みであって、結局はAuthenticatorアプリがずっとスマホで「ログイン」状態だから働くのであり、スマホの端末が変更されるとき、Authenticatorも再設定が必要になる問題は、結局、アプリ単体の場合の端末変更と変わらない。
https://t.co/zgNZBM40BM

インタビューが記事になりました / “7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点 (1/2) – ITmedia NEWS” htn.to/3Dt95xFmCA

いやいや、あの記事は素人丸出しだよ。
gendai.ismedia.jp/articles/-/658…
「セキュリティ分野を中心とした「7Pay」の欠陥は、突っ込みどころが満載だ。…の有地浩が日本有数の専門家であるので、「7Pay」そのものについては、研究レポート「7pay騒動から学ぶべきはIDの大切さだ」などを参照いただきたい。」

7Pay問題は「人災」である。それ以上に大きな問題が、セブン&アイ・グループの「劣化」である…
gendai.ismedia.jp/articles/-/658… #マネー現代

電子メールやSMSといった信頼できない経路でOTPを配送するよりは、安全な経路でシークレットを共有したOTP生成器を使うのがいいってみんな分かってるんだけど、なかなか登録してもらえない&機種変更時の操作が煩雑なんだよね。どうすればOTPアプリの利用率を上げられるだろうか

結局、アカウントリカバリー問題に帰着するんだよな。一言でいうとメンドイのと、人によっては時既に遅しみたいな状況になる。 twitter.com/masanork/statu…

結局OTPの入力を自動化してくれる1PasswordにOTP鍵管理もパスワード管理もまかせてしまい、OTPの意味とは…ってなってるなう。 https://t.co/66QDiEX0HC

MFAを義務化する場合OTPだとドロップ率が高いので、デフォルトで電子メールなりSMSでのOTP配送を提供する事業者も多い。ところが電子メールだとメールボックス自体がリスト型攻撃で抜かれていてOTPを抜かれてMFAとしてリスク軽減にならない事例もあったり面倒でもアプリ型が安全

7pay騒動を受けてお偉いさんから「当社のアプリはちゃんと二段階認証を入れてるのか」とか御下問されて慌てている開発者の皆様、まずはNIST SP800-63Bで体系的に理解することが急がば回れでお薦め / “NIST Special Publication 800-63B” htn.to/xP8eKMY69Q

これには反対。NIST SP 800-63Bは、FIDO的なリモート認証×ローカル認証の分離アプローチに対応していない旧式の発想のままではないか。Memorized Secretsは、PINで足りるローカル認証と、そうでないリモート認証を区別できていないのではないか。
twitter.com/masanork/statu…

7pay関係から、ふと思って使っている銀行系のワンタイムパスワードアプリの再登録について調べて居たら、三井住友銀行のアプリがゴミofゴミだった。
銀行にこんなことされたら、GmailとかのOTPな認証アプリとかも警戒されて導入されなくなってしまうのでは無いのだろうか。

play.google.com/store/apps/det…

銀行系のワンタイムパスワードで、銀行毎にアプリを入れさせられるのは正直嫌い。

そもそも、スマホのインターネットバンキングアプリに、同じスマホにワンタイムパスワードトークンアプリを入れて使うなんて意味不明じゃない?
twitter.com/hkse2000/statu…

Chatworkもさあ、二段階認証推奨するのはいいけど、「ログイン状態を保持する」を選択しても1か月でログアウトしてしまうのやめてくれないかなあ。二段階認証が面倒になるだけだし無意味でしょ? Webは恒久的にセッション維持しちゃダメなものという10年前までの発想に囚われてるでしょこれ。 pic.twitter.com/YhTVeV3JtE

大事なことを言うけど、政府がキャッシュレス社会の到来を望むなら、被害補償が当然の社会に誘導していかないと(結果的に不正検知を行うようになる)無理だと思うよ。日本は、2004年の「キャッシュカードがあぶない」(柳田邦男)にある経緯があって(預金者保護法につながったが)不信感が根強い。

外国赴任帰りの人からあっちではデビットカードが普通で普通に不正検知で向こうから補償されてくるという話を聞かされたけど、日本のデビットカード事情はこんな↓らしい。日本のデビットは普及率低いよね。諸外国の事情はどうなんだろう。
lifehacker.jp/2019/05/190183…

その他に気になったことはこのあたり。

リミポの凄いところは会議中にじゃんじゃん盗まれてるところなんだよな。こんなん普通できんて pic.twitter.com/2zdtgCnkxB

暗号資産 12時間にわたり流出か「被害拡大防げた可能性」 #nhk_news www3.nhk.or.jp/news/html/2019…

わかりやすい解説。ウクライナにサーバを置いてたみたいだけど、日本国内で漫画データをアップロードしていた証拠を押収とか。/「漫画村」関係者逮捕が意味すること 中島博之弁護士の解説 bit.ly/30AsOD8

Electron、ipcRenderer.send(…arbitrary_args) みたいな指定を攻撃者ができるとき、前は内部で使われるchannelにメッセージ送ってRCEできたんだけど今内部とipcRendererからのメッセージのリスナが分離されてるぽい

この変更がそれ

“internal implementation details (like the remote module) are no longer using the public ipcRenderer / ipcMain modules”
github.com/electron/elect…

前まではcontextIsolation:true、nodeIntegration:falseでも任意のipcRenderer.send/sendSyncができたらXSSでRCEが起こり得たけど、もうそうでもなくなったということでよさそうかな

世界10万個の最悪パスワードから垣間見れる日本のイメージ(森井昌克) – Y!ニュース news.yahoo.co.jp/byline/moriima…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>