#セキュリティのアレ (16) 「2月の注目事件」

さてさて今週も公開されています「セキュリティのアレ」。遅くなりましたがいつもの Show Notes 的な「アレかね」です。

www.atmarkit.co.jp

www.youtube.com

今回は 2016年 2月の注目事件として 2つの話題を取り上げました。以下、それぞれの参考リンクをのせておきます。

#セキュリティのアレ (15) CMSのセキュリティ

さて今週も公開されましたよ「セキュリティのアレ」。

www.atmarkit.co.jp

www.youtube.com


今回は CMSのセキュリティがテーマです。先に結論を言ってますが、これですね。

WordPressのセキュリティ対策に関しては徳丸さんの記事がとても参考になると思うので一読をおすすめします。


あと動画の中では具体的な事例に触れなかったので、最近目に留まった CMS関連の話題をいくつか紹介しておきます。


また来週もお楽しみに〜。そういえば2月の雑談編はまだ公開されていませんね。収録が終わった後にだらだらとしゃべる雑談編でも意外と真面目な話もしています。通勤、通学のお供にぜひどうぞ!

www.youtube.com

www.youtube.com

Apple vs. FBI 今週の動き

先週から始まった(いや実際にはもっと前からだが) Appleと FBIとの仁義なき戦い。なんのことだかわからないという方はまずはこちらの記事をどうぞ。

negi.hatenablog.com


さてこの記事以降に起こった今週の主な動きを時系列で簡単にまとめておく。

2月22日(月)

サンバーナーディーノ銃乱射事件の被害者が、政府の Appleに対する要求を支持する内容の文書を裁判所に提出するとの報道。


FBI長官 James Comey氏が LAWFAREでコメントを発表。


Appleは FAQという形で、政府側が 19日に裁判所に提出した資料の内容に反論。

2月23日(火)

Pew Researchによる最新の調査では 51%が政府側を支持、38%が Appleを支持するとの結果。

2月24日(水)

サンフランシスコにある Apple Store前で政府の対応への抗議デモが行われた。全米各地で同様のデモが実施された。


今回の事件以外に米司法省は 12件の裁判で Appleに同様の要求を行っていることが、Appleが他の事件の裁判で裁判所に提出した資料から明らかに。

以下の表は Appleが裁判所に提出した資料から抜粋。この他にオハイオ州で2件、イリノイ州で 1件ある。全部で 12件。
f:id:ukky3:20160227232520p:plain

2月25日(木)

Appleの CEOである Tim Cook氏が ABC Newsによる独占インタビューに応じる。
abcnews.go.com

2月26日(金)

FBI長官の James Comey氏が米下院の委員会 (Permanent Select Committee on Intelligence) のヒアリングにて証言。
www.youtube.com


Appleが裁判所に対して正式に文書で回答。特に新しい内容はなく*1、これまでの主張通りに裁判所からの命令を拒否するもの。

www.documentcloud.org


次回の公判は 3月22日に予定されているが、その前におそらく議会のヒアリングがある。Appleと FBIとのバトルは舞台を議会に移してしばらく続くことになりそうだ。

*1:政府が要求するソフトウェアを新たに開発するには多大なリソースが求められ、 6〜10人のApple社員で2〜4週間必要との試算を Appleは行っている。

#セキュリティのアレ (14) ネットワーク対応機器のセキュリティ

今週も公開されましたー。
www.atmarkit.co.jp

www.youtube.com

今週のテーマは IoT機器のセキュリティ。ホームルータ、HDDレコーダー、複合機Webカメラなど、さまざまな機器がネットワークにつながるようになり、関連する事件も増えてきてます。どんなことに注意して対策すればよいのか話してみました。ぜひ動画をご覧ください。


以下、動画で紹介したネタのURLです。(一部紹介していないものも含まれています。)

警察庁、JPCERT/CC等の観測結果

あとたまたま昨日NHKのニュースでも紹介されていましたが、横浜国立大学大学院の吉岡先生の研究グループによる IoTPOTにおいても、IoT機器が大量にマルウェアに感染し攻撃活動を行っている様子が観測されているようです。

ニュースの元になったサイト
その他

自分で管理している機器がインターネット側からどう見えるか、どのポートにアクセスできるのか確認したい場合、外部からポートスキャンをしてくれるサイトもあります。ただしくれぐれも自分が所有している機器を対象に行ってください。


という感じで、来週もお楽しみに!

#セキュリティのアレ (13) 紙でもできるよパスワード管理

毎回書こうとか考えると途端に面倒に感じるわけですが。(´Д` )
まあそれはともかく今週も公開されてます。

www.atmarkit.co.jp


まずはゆるりと動画をご覧ください。
www.youtube.com


今週のテーマは「パスワード管理」。パスワードと言えば基本となるのが、以下の 2点でしょう。

  • 他人から容易に推測されない、ツールに簡単に突破されない、強固なパスワードをつける (→ できるだけ長くてランダムなものがベスト)
  • 同じパスワードを複数の場所で使いまわさない (→ 仮にある場所からパスワードが漏洩しても他に影響がおよばない)

しかしこれらを守ろうとすると、記憶に頼って覚えることはフツーの人にはほぼ不可能です。1つ覚えるだけならまだしも、10や20のパスワードを使いこなすなんていまどき誰でもやっているでしょう。そうするとパスワード管理の問題は、「パスワードをどこに、どうやって覚えさせるか?」という問題に帰着します。

ここでは4つの方法を紹介しています。

  1. パスワード管理ツールを使う
  2. ブラウザの機能を使う
  3. Excelやテキストファイルに書く
  4. 紙に書く

そして今回の動画では他ではあまり取り上げられていない、「紙に書く」パスワード管理の方法について考えてみました。辻さんが教えてくれた「おかんでもできるセキュリティ」の話はなかなか興味深いです。「記憶より記録」か「記録より記憶」か。詳しくはぜひ動画でご覧ください。パスワード管理ツールについては回を改めてまた取り上げてみたいですね。ご意見やご質問などは Twitterハッシュタグ #セキュリティのアレでいつでもお待ちしてます。


さて他に動画で紹介したネタについて最後にリンクを紹介しておきます。


ところで来週の 2/26 (金) に @ITセキュリティセミナーに登壇します。いつもの 3人によるパネルディスカッション。お時間のある方はぜひいらしてください。どんな話が飛び出すか、お楽しみに!
itmedia.smartseminar.jp

iPhoneの「バックドア」問題について

今週の 2月16日、カリフォルニア州の連邦裁判所から Apple社に対してある命令が出された。内容は昨年12月に起きたサンバーナーディーノ銃乱射事件の犯人の1人が所持していた iPhoneを FBIが調査するのを手助けするようにというもの。それだけなら特別なことはないのだが、要求している方法がやや特殊だった。iPhoneをロックしているパスコードを FBIが解読できるようにするために、Appleに対して解読の妨げとなるセキュリティ機能を無効にした特別なソフトウェアを開発し、これを対象の iPhoneにロードせよ、というのだ。これに対して Appleの CEOである Tim Cookは顧客への Open Letterという形で声明を発表し、命令を受け入れることはできないと拒否する姿勢を示した。

ここ数日米国を中心に大きな話題となっているこの事件について、現時点でわかっていること、さまざまなニュースを聞いて考えたことなどをまとめてみたいと思う。

背景

まず背景として、ここ数年米国で活発に議論されている暗号規制の話がある。FBIではこれを "Going Dark" 問題と呼んでおり、FBI長官はたびたび議会でも不満の声を挙げている。また過去に行われていた暗号に関する様々な規制の試み ("Crypto Wars" と呼ばれる)と関連づけて "New Crypto War" などと呼ぶ場合もあるようだ。大まかに言うと、テクノロジー業界が強力な暗号機能をサポートすることでプライバシーや安全性は高まっている反面、テロリストや犯罪者の捜査が難しくなっているため、暗号機能を弱くしたり法執行機関向けのバックドアを設けるべきではないかとの主張である。特に AppleGoogleスマートフォンの暗号化機能を強化した 2014年以降、こうした声が強くなってきている。そこへさらに昨年11月のパリ同時多発テロ、12月のサンバーナーディーノ銃乱射事件が発生した。政府機関側が焦るのも無理もないことだろう。

一方のテクノロジー企業側も、はいわかりましたと素直にこのような主張を受け入れるわけにはいかない。2013年に Edward Snowden氏が NSAの機密情報をリークしたが、PRISMなどNSAの監視プログラムに企業側も協力していた(正確に言えば法律に従って顧客のデータを政府に提供していた)実態が明らかとなり、マイナスイメージを払拭するのに躍起となっているからだ。そのため近年 Apple, Google, Facebook, Microsoft, Yahoo! などの大手企業は通信やデータの暗号化をさらに強化し、顧客のプライバシーを保護することに全力で取り組んできた。また政府からのデータ開示の要求についても情報を公開し透明性を高める努力もしてきた。
また Snowden氏のリークからは NSAの暗号解読プロジェクト Bullrunの存在も明らかとなり、その活動の一環として NSAは NISTによる暗号標準の策定にも関与したとされている (DUAL_EC_DRBGのバックドア問題)。
暗号技術はインターネットという社会基盤の根幹を支える重要な技術であり、これを弱めることはわれわれの社会基盤そのものを脆弱にすることにつながるというより重大な懸念もある。


なお米国では州によって法規制の動きも見えている。今年になってニューヨーク州カリフォルニア州ではスマートフォンに暗号解除の機能を義務づける法案が相次いで議会に提出された。これを受けて連邦議会では州レベルのこうした動きを禁止する法案 ENCRYPT Act of 2016 が提出された。州政府などが製造業者や事業者に対して、製品やサービスにユーザを監視するための変更を加えたり、暗号を復号するためのバックドアを要求することを禁止する内容だ。一方でこれとは逆にバックドアを義務付ける法案が連邦議会に提出準備中という話もある。今後しばらくはこうした動きが活発になるとみられる。


こうしたことから法執行機関や情報機関とテクノロジー産業とは利害が衝突しており、表向きは対立関係にあるといえる。技術的かつ政治的に重要なテーマであり、これは冷戦時代から現代まで続く対立の構造と言えるだろう。(こうした最近の背景についてはこちらの記事が詳しい。)

事件の概要

さて今回の事件の焦点は 2015年12月2日にサンバーナーディーノで発生した銃乱射事件の犯人の1人 Syed Rizwan Farookが使用していた iPhone 5c (iOS9) である。Farookは事件発生後の警察との銃撃戦の末に射殺されている。これまでの捜査でわかっていることの要点は以下のとおり。

  • USBメモリ、PCのHDDデータは押収ずみ (どのような結果が得られたのかは不明)
  • Farookが他に所持していた私用の2台の携帯電話は破壊されていた
  • 対象の iPhoneは業務用のもので、所有者は勤務先のサンバーナーディーノ郡
  • 対象の iPhoneとの接続を許可された PCはなかった (つまり iTunesなどでバックアップはとられていなかった)
  • iCloudのバックアップは事件の 約1ヶ月半前 (10/19) が最新で、それ以降は無効にされていた
  • iCloudのバックアップデータは Appleから FBIに提供された
  • iCloudのパスワードは FBIの指示によりサンバーナーディーノ郡の担当者によってリセットされた (これによって新しいバックアップが取得される可能性はなくなった)
  • バックアップデータの調査から、殺害された人物と犯人には接点があったもよう
  • バックアップデータの調査から、端末の auto-eraseの機能が有効になっているもよう

このため、FBIは iPhone本体のデータの解析が犯人の動機の解明などに重要な手掛かりを与えると考えているものの、auto-eraseの機能が有効になっていると思われるため、安易にパスコードを試行してロックの解除を行うことができないでいた。auto-erase機能はパスコードを10回連続して間違えた場合に端末の全てのデータを自動的に消去する機能で、iOSの設定で有効にすることができるが、端末がロックした状態では有効か無効かを知ることはできない。
(2/21 更新:政府側から裁判所に提出された資料からわかった事実などを追記)

FBIの要求内容 (裁判所が命じたこと)

裁判所は次の事項について、Appleに対して FBIへの技術的なサポートを命じている。

  • auto-erase機能をバイパスするか、または無効にすること
  • パスコードを試行できるようにすること (物理的に画面をタップするのではなく電子的な手段で。USB接続、BluetoothWiFiなど)
  • パスコード試行の間に意図的な待ち時間を発生させないようにすること
  • 上記 3点を可能にするソフトウェアを作成して対象の iPhoneにロードすること
  • 上記の手段によって iPhone本体の iOSおよびシステムデータ、ユーザデータを改変しないこと

iPhoneにはブート時のセキュリティチェック機能があるため、実行するソフトウェアには Appleの署名が必要であり、FBIは自分達でやることはできない。またFBIが要求しているソフトウェアはこの対象の iPhone 1台のみに有効なものであり、広くどの端末でも使えるものではない。なお裁判所は Appleがこの命令に対して不当な負担であると信じるに足る場合には、5営業日以内に申し出ることとしている。(後にこの期限は 2月26日までに延長された。)

www.documentcloud.org

技術的な説明

そもそも iOS7まではロックを解除せずとも Apple公式アプリ内のユーザデータ(暗号化されていない) を Appleは取り出すことができた。そのためこれまでも裁判所の正式な令状があれば Appleは当局にデータを提供してきた。昨年10月の別の裁判の記録によると、2008年以降 Appleは少なくともこのような令状を 70件は受理しているようだ。Appleが公開している 米国向けの Legal Process Guidelinesには次のような記述がある。

I. Extracting Data from Passcode Locked iOS Devices

For all devices running iOS 8.0 and later versions, Apple will not perform iOS data extractions as data extraction tools are no longer effective. The files to be extracted are protected by an encryption key that is tied to the user’s passcode, which Apple does not possess.

For iOS devices running iOS versions earlier than iOS 8.0, upon receipt of a valid search warrant issued upon a showing of probable cause, Apple can extract certain categories of active data from passcode locked iOS devices. Specifically, the user generated active files on an iOS device that are contained in Apple’s native apps and for which the data is not encrypted using the passcode (“user generated active files”), can be extracted and provided to law enforcement on external media. Apple can perform this data extraction process on iOS devices running iOS 4 through iOS 7. Please note the only categories of user generated active files that can be provided to law enforcement, pursuant to a valid search warrant, are: SMS, iMessage, MMS, photos, videos, contacts, audio recording, and call history. Apple cannot provide: email, calendar entries, or any third-party app data.


さて iOS8からはこれまで保護されていなかったユーザデータもパスコードによる鍵で保護されるようになった。iOSにおけるファイルの暗号化の仕組みは iOS Security Guideに詳しく説明されている。
f:id:ukky3:20160220143504p:plain

これによると新しくファイルが生成されるとファイル単位の暗号鍵 File Keyが生成され、これは Class Keyで暗号化されてファイルのメタデータに保存される。Class Keyは Hardware Keyと Passcode Keyによって保護される。そのためパスコードなしではファイルを復号することはできない。たとえ Appleでもパスコードロックを解除することはできないため、データを復号して取り出すにはパスコードを解読する以外に手がない。

ちなみに図の File System Keyは何をしているかというと File Keyを含むメタデータを暗号化している。これはファイルの保護には役立っていなくて、データを削除するときに使われる。iOSの設定で全コンテンツを削除する場合やリモートワイプを実行する場合、実際にはこの File System Keyだけが削除されている。これによってメタデータを復号することができなくなり、各ファイルを暗号化している File Keyにもアクセスできなくなるので、ファイルの中身を復号することができなくる仕組みだ。

パスコードからの鍵の生成には端末固有の UIDも必要なため、パスコードの試行はその端末内で実施する必要がある。また鍵の生成には PBKDF2が使われており、処理におよそ80msかかるように Iteration回数が調整されている。そのため、1秒間に 12.5回のパスコード試行が限界で、もし仮に犯人が複雑なパスコードを設定していたら解読は事実上不可能だ。6桁の数字のみのコードであれば原理的には 1日以内で解読できる*1。(1,000,000 / 12.5 = 80,000秒 → 1,333分 → 22時間)

FBIによる解読が可能かどうかは犯人が設定したパスコードに依存するが、裁判所に命じられているようなファームウェアを作成して iPhoneにロードし、FBIがパスコードの解読を行えるようにすること自体は Appleには可能だろう。なお iPhone 5sの A7チップ以降には、さらに Secure Enclaveというコプロセッサによるセキュリティ保護機能が導入されているが、原理的には Secure Enclaveのファームウェアもアップデートしてしまうことによって同様の解読操作は可能になると思われる。
(Appleの Executiveの一人がこれを認めたとの報道がある。)
(2/21 更新:Class Keyに関する記述が不正確だったので訂正しました。ご指摘ありがとうございます。)

Appleの対応

裁判所からの命令が出されるとすぐに、Appleは CEOの Tim Cookの名前で公式声明をだした。
iPhone利用者のデータの保護には暗号化が極めて重要なこと、捜査当局には極力協力をしていることなどを述べつつ、結論としては命令に従うことを拒否する姿勢を示している。その主な理由は以下のとおり。

  • 要求を満たすような特殊な iOSを作ることは、iPhoneバックドアを作ることと同義である
  • 今回のケースだけに利用は制限されるという保証はどこにもない、一度このようなセキュリティ機能をバイパスする技術を作ってしまったら、今後さまざまなケースで利用されることは明白で、すべての鍵を開けることのできるマスターキーを作るようなものである
  • これまで顧客のデータを保護するために行ってきた我々の努力が水の泡になってしまい、顧客の安全を脅かすことになる
  • 今回のケースを先例として認めてしまったら、Appleに対する政府の要求は今後さらにエスカレートする可能性がある

声明の最後は「FBIの意図は善良なものだと信じているが、我々に対して製品にバックドアを作るように要求することは間違っている。このような要求が政府が守るべき自由を脅かすことになるのではないかと我々は危惧している。」と結んでいる。

While we believe the FBI’s intentions are good, it would be wrong for the government to force us to build a backdoor into our products. And ultimately, we fear that this demand would undermine the very freedoms and liberty our government is meant to protect.

ここで注意しなければいけないのは、Appleはあえて「バックドア」という言葉を使っているものの、今回要求されていること自体はバックドアを作ることではない。ブルートフォース攻撃を可能にするだけなので、パスコードが解読できるかどうかはパスコードの複雑さに依存している。しかし Appleがここで言おうとしているのは、今回の要求を認めてしまうことで取り返しのつかない先例を作ってしまい、後戻りできなくなることへの懸念ではないだろうか。Appleに対してだけでなく、同様の要求が他の事業者にも行われることは間違いない。
また Appleは米国市民の自由を守る戦いであるかのように見せてはいるが、iPhoneなどのテクノロジー機器を顧客に売って多大な利益を得ている会社である。顧客のプライバシーやセキュリティを守るために政府と戦う姿勢を見せることはマーケティング戦略上も非常に重要と言えるだろう。米司法省も今回の Appleの対応をマーケティング戦略だとして非難しているようだ。

さまざまな反応

Google, Facebook, Microsoft, Twitterなどの主要なテクノロジー企業はおおむね Appleの対応を支持する姿勢を見せている。まあそれも当然で、彼等だって明日は我が身だし、自分達が政府寄りでユーザのプライバシーやセキュリティを軽視していると見られることは、たとえ事実と異なるとしても得策ではないだろう。またセキュリティの専門家なども当然ながらこの事件には注目している。技術的、政治的なさまざまな観点から米国のメディアの注目度も非常に高い。
しかし Appleの対応を批判する意見がないわけでもない。例えば辛辣なのものでは、Appleの今回の行動を完全な自己満足で無意味だと非難している。

今後の展開

とりあえず Appleは 2月26日までに裁判所に対して正式な回答をするはずで、命令を拒否する姿勢を貫くようであれば、裁判で争うことになる。今回の命令の根拠になっている All Writs Act の適用や、最高裁判例 434 U.S. 159 (1977) などが争点になるのだろうか。Apple側は合衆国憲法修正第一条で保障されている表現の自由を論点にするという話もあり、このあたりは私には正直よくわからない。次回の公判は 3月22日に予定されている。

なお米下院のエネルギー商業委員会がFBI長官と AppleのCEOの両者に対して委員会の場で証言するように要請したようだ。また下院司法委員会も3月にヒアリングを予定しているらしい。もはや今回の事件は iPhone 1台の問題にとどまらず、より大きな暗号規制論の問題の象徴として捉えられている。今後の動きから目が離せない状況がしばらく続くだろう。

(2/21 更新) こちらの平さんのまとめ記事も非常にわかりやすいのでオススメです。
(2/28 更新) その後の1週間の主な動きについては別の記事にまとめました。

*1:米政府が裁判所に提出した資料には "it is locked or secured with a user-determined, numeric passcode." との記述があり、数字のみのパスコードが設定されているようだ。

#セキュリティのアレ (12) 「1月の注目事件」

前々回の記事を書くまで 2年近く更新をさぼっていたわけですが、その間に @ITで動画の連載をはじめました。昨年11月からスタートして毎週更新しています。初めての試みなのでまだまだ試行錯誤しているところなのですが、専門家ではない方にもわかりやすく楽しく、セキュリティ関連の最新の情報をお伝えできればと思っています。ぜひご覧ください。ご意見やご質問などは Twitterハッシュタグ #セキュリティのアレで募集してます。

www.atmarkit.co.jp


さて今日公開された最新の記事では、1月の気になる話題を 3つ取り上げて解説してます。それぞれ少し補足したいと思います。まあ Show Notes 的なアレですね。

続きを読む前に、まずはコーヒーでも飲みながら、のんびりと動画をご覧ください。

www.youtube.com

1. 相次ぐバックドア問題

昨年末から先月にかけて、たまたまですがなぜか立て続けに複数の製品にバックドアが見つかりました。まあベンダー側はバックドアとは認めてなかったりするわけですけど…。利用者が気付けないという点で非常にやっかいで、今回のように一旦広く知れわたると、攻撃者もこのバックドアを狙ってきます。自分達が利用している製品の最新情報をつねに把握して対応することが必要ですね。また不要な管理ポートを閉じたり、アクセス元のネットワークを制限するなどの緩和策も有効な手段です。


ところで Juniper製品には 2つのバックドアが見つかっており、ひとつは管理者権限でリモートからログイン可能なもので (CVE-2015-7755)、Juniperがリリースした ScreenOSの差分を解析することにより、バックドア用のパスワードが判明してしまいました。こちらの方が大きなニュースになっていたのですが、実はより重要なのはもう一つのほうで VPNの暗号トラフィックを第三者が復号できるというものでした (CVE-2015-7756)。先程と同様に専門家が ScreenOSを解析したところ、どうも問題は DUAL_EC_DRBG関連だということで、NSAの関与が疑われることになりました。さきほどのバックドアはパスワードさえわかれば誰でも利用可能であるのに対して、こちらのほうはそうはいきません。Juniperは ScreenOSで DUAL_EC_DRBGは利用しているものの、NIST SP800-90Aで推奨されている値は使ってないから安全であるともともと主張していたのですが、それが何者かによって書き換えられていたのです。つまりこの書き換えを行った者のみがトラフィックを復号できるわけで、これは NSAのいわゆる NOBUS (NObody But US) のポリシーにも合致します。まあ Juniperがこれ以上詳細を説明していないので真相は闇の中なわけですが。
なお TAOに関する記事でも紹介した ANTカタログには Ciscoや Juniper製品に埋め込むマルウェア (implant) が記載されています。またこれとは別に、GCHQと NSAが協力して Juniperの製品に脆弱性を発見して利用していたことを示す機密文書も公開されています。まあ NSAにとっては不利な証拠ばかりと言えるでしょう。

2. 激しさを増す DDoS攻撃

日本を主要なターゲットにした Anonymousによる攻撃キャンペーン #OpKillingBay。2013年にスタートしたものですが、2015年9月頃から攻撃活動が活発化し、現在も続いています。セキュリティのアレの動画では第3回目に取り上げています。最新情報など詳細は辻さんのまとめ記事を参照してください。

www.youtube.com


ちなみに Anonymousはメディアで紹介されるような「国際的ハッカー集団」ではありません。詳しくはこちらの@ITの記事をお読みください。2012年に書いたものですが、今でも十分参考になると思います。またこのブログの2013年の記事もご一緒にどうぞ。

3. ばらまき型メールの最近の傾向

これは第2回目の動画で取り上げたテーマです。最近も依然として続いており、前とは少し傾向が変わったよーということで、今回のトピックとして再度取り上げました。こちらも辻さんがブログにまとめてくれています。

www.youtube.com


というわで、引き続き「セキュリティのアレ」応援よろしくお願いします!!