Top > US

Apple vs. FBI 今週の動き

US Apple Backdoor

先週から始まった(いや実際にはもっと前からだが) Appleと FBIとの仁義なき戦い。なんのことだかわからないという方はまずはこちらの記事をどうぞ。

negi.hatenablog.com


さてこの記事以降に起こった今週の主な動きを時系列で簡単にまとめておく。

2月22日(月)

サンバーナーディーノ銃乱射事件の被害者が、政府の Appleに対する要求を支持する内容の文書を裁判所に提出するとの報道。


FBI長官 James Comey氏が LAWFAREでコメントを発表。


Appleは FAQという形で、政府側が 19日に裁判所に提出した資料の内容に反論。

2月23日(火)

Pew Researchによる最新の調査では 51%が政府側を支持、38%が Appleを支持するとの結果。

2月24日(水)

サンフランシスコにある Apple Store前で政府の対応への抗議デモが行われた。全米各地で同様のデモが実施された。


今回の事件以外に米司法省は 12件の裁判で Appleに同様の要求を行っていることが、Appleが他の事件の裁判で裁判所に提出した資料から明らかに。

以下の表は Appleが裁判所に提出した資料から抜粋。この他にオハイオ州で2件、イリノイ州で 1件ある。全部で 12件。
f:id:ukky3:20160227232520p:plain

2月25日(木)

Appleの CEOである Tim Cook氏が ABC Newsによる独占インタビューに応じる。
abcnews.go.com

2月26日(金)

FBI長官の James Comey氏が米下院の委員会 (Permanent Select Committee on Intelligence) のヒアリングにて証言。
www.youtube.com


Appleが裁判所に対して正式に文書で回答。特に新しい内容はなく*1、これまでの主張通りに裁判所からの命令を拒否するもの。

www.documentcloud.org


次回の公判は 3月22日に予定されているが、その前におそらく議会のヒアリングがある。Appleと FBIとのバトルは舞台を議会に移してしばらく続くことになりそうだ。

*1:政府が要求するソフトウェアを新たに開発するには多大なリソースが求められ、 6〜10人のApple社員で2〜4週間必要との試算を Appleは行っている。

iPhoneの「バックドア」問題について

US Apple Backdoor

今週の 2月16日、カリフォルニア州の連邦裁判所から Apple社に対してある命令が出された。内容は昨年12月に起きたサンバーナーディーノ銃乱射事件の犯人の1人が所持していた iPhoneを FBIが調査するのを手助けするようにというもの。それだけなら特別なことはないのだが、要求している方法がやや特殊だった。iPhoneをロックしているパスコードを FBIが解読できるようにするために、Appleに対して解読の妨げとなるセキュリティ機能を無効にした特別なソフトウェアを開発し、これを対象の iPhoneにロードせよ、というのだ。これに対して Appleの CEOである Tim Cookは顧客への Open Letterという形で声明を発表し、命令を受け入れることはできないと拒否する姿勢を示した。

ここ数日米国を中心に大きな話題となっているこの事件について、現時点でわかっていること、さまざまなニュースを聞いて考えたことなどをまとめてみたいと思う。

背景

まず背景として、ここ数年米国で活発に議論されている暗号規制の話がある。FBIではこれを "Going Dark" 問題と呼んでおり、FBI長官はたびたび議会でも不満の声を挙げている。また過去に行われていた暗号に関する様々な規制の試み ("Crypto Wars" と呼ばれる)と関連づけて "New Crypto War" などと呼ぶ場合もあるようだ。大まかに言うと、テクノロジー業界が強力な暗号機能をサポートすることでプライバシーや安全性は高まっている反面、テロリストや犯罪者の捜査が難しくなっているため、暗号機能を弱くしたり法執行機関向けのバックドアを設けるべきではないかとの主張である。特に AppleGoogleスマートフォンの暗号化機能を強化した 2014年以降、こうした声が強くなってきている。そこへさらに昨年11月のパリ同時多発テロ、12月のサンバーナーディーノ銃乱射事件が発生した。政府機関側が焦るのも無理もないことだろう。

一方のテクノロジー企業側も、はいわかりましたと素直にこのような主張を受け入れるわけにはいかない。2013年に Edward Snowden氏が NSAの機密情報をリークしたが、PRISMなどNSAの監視プログラムに企業側も協力していた(正確に言えば法律に従って顧客のデータを政府に提供していた)実態が明らかとなり、マイナスイメージを払拭するのに躍起となっているからだ。そのため近年 Apple, Google, Facebook, Microsoft, Yahoo! などの大手企業は通信やデータの暗号化をさらに強化し、顧客のプライバシーを保護することに全力で取り組んできた。また政府からのデータ開示の要求についても情報を公開し透明性を高める努力もしてきた。
また Snowden氏のリークからは NSAの暗号解読プロジェクト Bullrunの存在も明らかとなり、その活動の一環として NSAは NISTによる暗号標準の策定にも関与したとされている (DUAL_EC_DRBGのバックドア問題)。
暗号技術はインターネットという社会基盤の根幹を支える重要な技術であり、これを弱めることはわれわれの社会基盤そのものを脆弱にすることにつながるというより重大な懸念もある。


なお米国では州によって法規制の動きも見えている。今年になってニューヨーク州カリフォルニア州ではスマートフォンに暗号解除の機能を義務づける法案が相次いで議会に提出された。これを受けて連邦議会では州レベルのこうした動きを禁止する法案 ENCRYPT Act of 2016 が提出された。州政府などが製造業者や事業者に対して、製品やサービスにユーザを監視するための変更を加えたり、暗号を復号するためのバックドアを要求することを禁止する内容だ。一方でこれとは逆にバックドアを義務付ける法案が連邦議会に提出準備中という話もある。今後しばらくはこうした動きが活発になるとみられる。


こうしたことから法執行機関や情報機関とテクノロジー産業とは利害が衝突しており、表向きは対立関係にあるといえる。技術的かつ政治的に重要なテーマであり、これは冷戦時代から現代まで続く対立の構造と言えるだろう。(こうした最近の背景についてはこちらの記事が詳しい。)

事件の概要

さて今回の事件の焦点は 2015年12月2日にサンバーナーディーノで発生した銃乱射事件の犯人の1人 Syed Rizwan Farookが使用していた iPhone 5c (iOS9) である。Farookは事件発生後の警察との銃撃戦の末に射殺されている。これまでの捜査でわかっていることの要点は以下のとおり。

  • USBメモリ、PCのHDDデータは押収ずみ (どのような結果が得られたのかは不明)
  • Farookが他に所持していた私用の2台の携帯電話は破壊されていた
  • 対象の iPhoneは業務用のもので、所有者は勤務先のサンバーナーディーノ郡
  • 対象の iPhoneとの接続を許可された PCはなかった (つまり iTunesなどでバックアップはとられていなかった)
  • iCloudのバックアップは事件の 約1ヶ月半前 (10/19) が最新で、それ以降は無効にされていた
  • iCloudのバックアップデータは Appleから FBIに提供された
  • iCloudのパスワードは FBIの指示によりサンバーナーディーノ郡の担当者によってリセットされた (これによって新しいバックアップが取得される可能性はなくなった)
  • バックアップデータの調査から、殺害された人物と犯人には接点があったもよう
  • バックアップデータの調査から、端末の auto-eraseの機能が有効になっているもよう

このため、FBIは iPhone本体のデータの解析が犯人の動機の解明などに重要な手掛かりを与えると考えているものの、auto-eraseの機能が有効になっていると思われるため、安易にパスコードを試行してロックの解除を行うことができないでいた。auto-erase機能はパスコードを10回連続して間違えた場合に端末の全てのデータを自動的に消去する機能で、iOSの設定で有効にすることができるが、端末がロックした状態では有効か無効かを知ることはできない。
(2/21 更新:政府側から裁判所に提出された資料からわかった事実などを追記)

FBIの要求内容 (裁判所が命じたこと)

裁判所は次の事項について、Appleに対して FBIへの技術的なサポートを命じている。

  • auto-erase機能をバイパスするか、または無効にすること
  • パスコードを試行できるようにすること (物理的に画面をタップするのではなく電子的な手段で。USB接続、BluetoothWiFiなど)
  • パスコード試行の間に意図的な待ち時間を発生させないようにすること
  • 上記 3点を可能にするソフトウェアを作成して対象の iPhoneにロードすること
  • 上記の手段によって iPhone本体の iOSおよびシステムデータ、ユーザデータを改変しないこと

iPhoneにはブート時のセキュリティチェック機能があるため、実行するソフトウェアには Appleの署名が必要であり、FBIは自分達でやることはできない。またFBIが要求しているソフトウェアはこの対象の iPhone 1台のみに有効なものであり、広くどの端末でも使えるものではない。なお裁判所は Appleがこの命令に対して不当な負担であると信じるに足る場合には、5営業日以内に申し出ることとしている。(後にこの期限は 2月26日までに延長された。)

www.documentcloud.org

技術的な説明

そもそも iOS7まではロックを解除せずとも Apple公式アプリ内のユーザデータ(暗号化されていない) を Appleは取り出すことができた。そのためこれまでも裁判所の正式な令状があれば Appleは当局にデータを提供してきた。昨年10月の別の裁判の記録によると、2008年以降 Appleは少なくともこのような令状を 70件は受理しているようだ。Appleが公開している 米国向けの Legal Process Guidelinesには次のような記述がある。

I. Extracting Data from Passcode Locked iOS Devices

For all devices running iOS 8.0 and later versions, Apple will not perform iOS data extractions as data extraction tools are no longer effective. The files to be extracted are protected by an encryption key that is tied to the user’s passcode, which Apple does not possess.

For iOS devices running iOS versions earlier than iOS 8.0, upon receipt of a valid search warrant issued upon a showing of probable cause, Apple can extract certain categories of active data from passcode locked iOS devices. Specifically, the user generated active files on an iOS device that are contained in Apple’s native apps and for which the data is not encrypted using the passcode (“user generated active files”), can be extracted and provided to law enforcement on external media. Apple can perform this data extraction process on iOS devices running iOS 4 through iOS 7. Please note the only categories of user generated active files that can be provided to law enforcement, pursuant to a valid search warrant, are: SMS, iMessage, MMS, photos, videos, contacts, audio recording, and call history. Apple cannot provide: email, calendar entries, or any third-party app data.


さて iOS8からはこれまで保護されていなかったユーザデータもパスコードによる鍵で保護されるようになった。iOSにおけるファイルの暗号化の仕組みは iOS Security Guideに詳しく説明されている。
f:id:ukky3:20160220143504p:plain

これによると新しくファイルが生成されるとファイル単位の暗号鍵 File Keyが生成され、これは Class Keyで暗号化されてファイルのメタデータに保存される。Class Keyは Hardware Keyと Passcode Keyによって保護される。そのためパスコードなしではファイルを復号することはできない。たとえ Appleでもパスコードロックを解除することはできないため、データを復号して取り出すにはパスコードを解読する以外に手がない。

ちなみに図の File System Keyは何をしているかというと File Keyを含むメタデータを暗号化している。これはファイルの保護には役立っていなくて、データを削除するときに使われる。iOSの設定で全コンテンツを削除する場合やリモートワイプを実行する場合、実際にはこの File System Keyだけが削除されている。これによってメタデータを復号することができなくなり、各ファイルを暗号化している File Keyにもアクセスできなくなるので、ファイルの中身を復号することができなくる仕組みだ。

パスコードからの鍵の生成には端末固有の UIDも必要なため、パスコードの試行はその端末内で実施する必要がある。また鍵の生成には PBKDF2が使われており、処理におよそ80msかかるように Iteration回数が調整されている。そのため、1秒間に 12.5回のパスコード試行が限界で、もし仮に犯人が複雑なパスコードを設定していたら解読は事実上不可能だ。6桁の数字のみのコードであれば原理的には 1日以内で解読できる*1。(1,000,000 / 12.5 = 80,000秒 → 1,333分 → 22時間)

FBIによる解読が可能かどうかは犯人が設定したパスコードに依存するが、裁判所に命じられているようなファームウェアを作成して iPhoneにロードし、FBIがパスコードの解読を行えるようにすること自体は Appleには可能だろう。なお iPhone 5sの A7チップ以降には、さらに Secure Enclaveというコプロセッサによるセキュリティ保護機能が導入されているが、原理的には Secure Enclaveのファームウェアもアップデートしてしまうことによって同様の解読操作は可能になると思われる。
(Appleの Executiveの一人がこれを認めたとの報道がある。)
(2/21 更新:Class Keyに関する記述が不正確だったので訂正しました。ご指摘ありがとうございます。)

Appleの対応

裁判所からの命令が出されるとすぐに、Appleは CEOの Tim Cookの名前で公式声明をだした。
iPhone利用者のデータの保護には暗号化が極めて重要なこと、捜査当局には極力協力をしていることなどを述べつつ、結論としては命令に従うことを拒否する姿勢を示している。その主な理由は以下のとおり。

  • 要求を満たすような特殊な iOSを作ることは、iPhoneバックドアを作ることと同義である
  • 今回のケースだけに利用は制限されるという保証はどこにもない、一度このようなセキュリティ機能をバイパスする技術を作ってしまったら、今後さまざまなケースで利用されることは明白で、すべての鍵を開けることのできるマスターキーを作るようなものである
  • これまで顧客のデータを保護するために行ってきた我々の努力が水の泡になってしまい、顧客の安全を脅かすことになる
  • 今回のケースを先例として認めてしまったら、Appleに対する政府の要求は今後さらにエスカレートする可能性がある

声明の最後は「FBIの意図は善良なものだと信じているが、我々に対して製品にバックドアを作るように要求することは間違っている。このような要求が政府が守るべき自由を脅かすことになるのではないかと我々は危惧している。」と結んでいる。

While we believe the FBI’s intentions are good, it would be wrong for the government to force us to build a backdoor into our products. And ultimately, we fear that this demand would undermine the very freedoms and liberty our government is meant to protect.

ここで注意しなければいけないのは、Appleはあえて「バックドア」という言葉を使っているものの、今回要求されていること自体はバックドアを作ることではない。ブルートフォース攻撃を可能にするだけなので、パスコードが解読できるかどうかはパスコードの複雑さに依存している。しかし Appleがここで言おうとしているのは、今回の要求を認めてしまうことで取り返しのつかない先例を作ってしまい、後戻りできなくなることへの懸念ではないだろうか。Appleに対してだけでなく、同様の要求が他の事業者にも行われることは間違いない。
また Appleは米国市民の自由を守る戦いであるかのように見せてはいるが、iPhoneなどのテクノロジー機器を顧客に売って多大な利益を得ている会社である。顧客のプライバシーやセキュリティを守るために政府と戦う姿勢を見せることはマーケティング戦略上も非常に重要と言えるだろう。米司法省も今回の Appleの対応をマーケティング戦略だとして非難しているようだ。

さまざまな反応

Google, Facebook, Microsoft, Twitterなどの主要なテクノロジー企業はおおむね Appleの対応を支持する姿勢を見せている。まあそれも当然で、彼等だって明日は我が身だし、自分達が政府寄りでユーザのプライバシーやセキュリティを軽視していると見られることは、たとえ事実と異なるとしても得策ではないだろう。またセキュリティの専門家なども当然ながらこの事件には注目している。技術的、政治的なさまざまな観点から米国のメディアの注目度も非常に高い。
しかし Appleの対応を批判する意見がないわけでもない。例えば辛辣なのものでは、Appleの今回の行動を完全な自己満足で無意味だと非難している。

今後の展開

とりあえず Appleは 2月26日までに裁判所に対して正式な回答をするはずで、命令を拒否する姿勢を貫くようであれば、裁判で争うことになる。今回の命令の根拠になっている All Writs Act の適用や、最高裁判例 434 U.S. 159 (1977) などが争点になるのだろうか。Apple側は合衆国憲法修正第一条で保障されている表現の自由を論点にするという話もあり、このあたりは私には正直よくわからない。次回の公判は 3月22日に予定されている。

なお米下院のエネルギー商業委員会がFBI長官と AppleのCEOの両者に対して委員会の場で証言するように要請したようだ。また下院司法委員会も3月にヒアリングを予定しているらしい。もはや今回の事件は iPhone 1台の問題にとどまらず、より大きな暗号規制論の問題の象徴として捉えられている。今後の動きから目が離せない状況がしばらく続くだろう。

(2/21 更新) こちらの平さんのまとめ記事も非常にわかりやすいのでオススメです。
(2/28 更新) その後の1週間の主な動きについては別の記事にまとめました。

*1:米政府が裁判所に提出した資料には "it is locked or secured with a user-determined, numeric passcode." との記述があり、数字のみのパスコードが設定されているようだ。

#セキュリティのアレ (12) 「1月の注目事件」

DDoS Anonymous US Password アレかね Backdoor Email

前々回の記事を書くまで 2年近く更新をさぼっていたわけですが、その間に @ITで動画の連載をはじめました。昨年11月からスタートして毎週更新しています。初めての試みなのでまだまだ試行錯誤しているところなのですが、専門家ではない方にもわかりやすく楽しく、セキュリティ関連の最新の情報をお伝えできればと思っています。ぜひご覧ください。ご意見やご質問などは Twitterハッシュタグ #セキュリティのアレで募集してます。

www.atmarkit.co.jp


さて今日公開された最新の記事では、1月の気になる話題を 3つ取り上げて解説してます。それぞれ少し補足したいと思います。まあ Show Notes 的なアレですね。

続きを読む前に、まずはコーヒーでも飲みながら、のんびりと動画をご覧ください。

www.youtube.com

1. 相次ぐバックドア問題

昨年末から先月にかけて、たまたまですがなぜか立て続けに複数の製品にバックドアが見つかりました。まあベンダー側はバックドアとは認めてなかったりするわけですけど…。利用者が気付けないという点で非常にやっかいで、今回のように一旦広く知れわたると、攻撃者もこのバックドアを狙ってきます。自分達が利用している製品の最新情報をつねに把握して対応することが必要ですね。また不要な管理ポートを閉じたり、アクセス元のネットワークを制限するなどの緩和策も有効な手段です。


ところで Juniper製品には 2つのバックドアが見つかっており、ひとつは管理者権限でリモートからログイン可能なもので (CVE-2015-7755)、Juniperがリリースした ScreenOSの差分を解析することにより、バックドア用のパスワードが判明してしまいました。こちらの方が大きなニュースになっていたのですが、実はより重要なのはもう一つのほうで VPNの暗号トラフィックを第三者が復号できるというものでした (CVE-2015-7756)。先程と同様に専門家が ScreenOSを解析したところ、どうも問題は DUAL_EC_DRBG関連だということで、NSAの関与が疑われることになりました。さきほどのバックドアはパスワードさえわかれば誰でも利用可能であるのに対して、こちらのほうはそうはいきません。Juniperは ScreenOSで DUAL_EC_DRBGは利用しているものの、NIST SP800-90Aで推奨されている値は使ってないから安全であるともともと主張していたのですが、それが何者かによって書き換えられていたのです。つまりこの書き換えを行った者のみがトラフィックを復号できるわけで、これは NSAのいわゆる NOBUS (NObody But US) のポリシーにも合致します。まあ Juniperがこれ以上詳細を説明していないので真相は闇の中なわけですが。
なお TAOに関する記事でも紹介した ANTカタログには Ciscoや Juniper製品に埋め込むマルウェア (implant) が記載されています。またこれとは別に、GCHQと NSAが協力して Juniperの製品に脆弱性を発見して利用していたことを示す機密文書も公開されています。まあ NSAにとっては不利な証拠ばかりと言えるでしょう。

2. 激しさを増す DDoS攻撃

日本を主要なターゲットにした Anonymousによる攻撃キャンペーン #OpKillingBay。2013年にスタートしたものですが、2015年9月頃から攻撃活動が活発化し、現在も続いています。セキュリティのアレの動画では第3回目に取り上げています。最新情報など詳細は辻さんのまとめ記事を参照してください。

www.youtube.com


ちなみに Anonymousはメディアで紹介されるような「国際的ハッカー集団」ではありません。詳しくはこちらの@ITの記事をお読みください。2012年に書いたものですが、今でも十分参考になると思います。またこのブログの2013年の記事もご一緒にどうぞ。

3. ばらまき型メールの最近の傾向

これは第2回目の動画で取り上げたテーマです。最近も依然として続いており、前とは少し傾向が変わったよーということで、今回のトピックとして再度取り上げました。こちらも辻さんがブログにまとめてくれています。

www.youtube.com


というわで、引き続き「セキュリティのアレ」応援よろしくお願いします!!

TAOによるハッキングへの道

US NSA

先月末にサンフランシスコで開催された ENIGMAという USENIXの新しいカンファレンスのクロージングセッションにおいて、アメリカ国家安全保障局 (NSA) の Tailored Access Operations (TAO) という部門のチーフである Rob Joyce氏がプレゼンテーションを行った。これは極めて珍しいことのようで海外のメディアでいくつか話題となっていた。

約35分の講演の様子は YouTubeで公開されている。講演のタイトルは “Dirsrupting Nation State Hackers” で、NSAによる攻撃の手法を解説し、そういった国家レベルの攻撃を防ぐにはどうするか、効果的な対策方法を紹介する、といった内容である。時間も短いので興味のある方はぜひ講演のビデオを見ていただきたい。


USENIX Enigma 2016 - NSA TAO Chief on Disrupting Nation State Hackers

もちろん公の場での講演であるから、NSAの機密に関わる情報などが出るはずはなく、いわゆる標的型攻撃 (Targeted Attack) や APT (Advanced Persistent Threat) などと呼ばれる攻撃、およびその防御策についての一般的な内容だ。


TAOによるターゲットへの侵入は以下の 6つのフェーズで行われているそうだ。これは Cyber Kill Chain (Intrusion Kill Chain, APT Kill Chainなどとも呼ばれる) や APT Attack Lifecycle などのモデルとも類似している。日本語の資料だと IPA「『高度標的型攻撃』対策に向けたシステム設計ガイド」も参考になるだろう。

Intrusion Phases

  1. Reconnaissance
  2. Initial Exploitation
  3. Establish Persistence
  4. Install Tools
  5. Move Laterally
  6. Collect, Exfiltrate and Exploit


これに対する防御策としては、NSAInformation Assurance Directorate (IAD) 部門が公開しているガイダンスを紹介しつつ、各フェーズにおける具体的な対策手法について説明している。(ちなみに TAOは Signals Intelligence Directorate (SID) の中の部門の一つ。Rob Joyce氏は 2013年4月に TAOのチーフになる前は IADの Deputy Directorを務めていた。つまり防御側から攻撃側へと役割を変えたわけだ。なおSIDとIADを一つにする組織再編の話もあるらしい。)

いくつかポイントだけ紹介する。

  • 攻撃する側 (TAO) はターゲットのネットワークについて、それを設計/構築/運用する人よりも詳しく調べあげる。だから侵入に成功する。防御する側は自分達が使っている技術、製品についてすみずみまでよく知り、導入にあたって評価するための手続きを定め、適切な設定を行い、必要のない機能を止めるということが大事。Attack Surfaceを減らすこと。
  • 高度な攻撃者がいつもゼロデイを利用していると考えるのは間違い。大規模なネットワークはもっと簡単に少ないリスクで攻略できる攻撃ベクトルがたくさんあり、そのほうが効率もよく効果的。防御側は継続的に製品やソフトウェアの脆弱性対応などアップデートが必要。攻撃のハードルを上げること。
  • 侵入にもっとも使われる 3つの攻撃ベクトルは、(1) Eメール (2) Webサイト (受動型攻撃) (3) リムーバブルメディア。(3)はエアギャップを越えるのに使われることもある。
  • 人に頼る対策はだめ。いくら不審なメールを開くなと教育したところで開くやつは開く。そうではなくて、組織のポリシーを技術的に強制するための仕組みが必要。人がミスをしても攻撃を防ぐことができるかが大事。例えば Microsoftの EMETなど Anti-Exploitationの機能を使うことを推奨。IADの Host Mitigation Package (HMP) を読め。
  • Application Whitelistingを活用する。大規模なネットワークで一般ユーザに適用するのは難しいが、本当に守るべきネットワークを分離し、その範囲内において適用する。
  • ウイルス対策ではレピュテーションの機能は有効な防御手段。コンピュータ上で実行されるプログラムに関する情報をクラウドに送信して、レピュテーションデータベースとマッチング。また攻撃ツールがアクセスするサイトのドメイン名に関するレピュテーションも有効。
  • 侵入後の Lateral Movementを防ぐには、境界防御に頼っていてはダメで、ネットワークのセグメンテーションやモニタリングが大事。
  • 攻撃者は単に情報を盗むだけでなく破壊工作をすることもある。Saudi AramcoSony Pictures Entertainmentの事例など。オフサイトのバックアップなどの備えをすること。
  • サイバー犯罪者と国家レベルの攻撃者との違いに注意。サイバー犯罪者は日和見主義だが、NSAや APTはそうではない。ターゲットに侵入できるまでしつこく狙ってくるし、侵入後は長くとどまる。したがって防御側は継続的に対策の評価、改善を行わなければいけない。そうでなければ防げない。

どれも特に奇をてらったものではなく、いわゆるベストプラクティスといわれるセキュリティ対策がなぜ有効なのかを攻撃側の手法とあわせて解説している。講演はとても平易でわかりやすく、かつ有用な内容なので、ぜひご覧になることをお奨めする。


ところで TAOと聞いてすぐにピンとくる方ばかりでもないと思うので最後に少し補足すると、まあわかりやすく言えば TAOは世界最強のハッカー集団である。敵対国家あるいは同盟諸国のターゲットに侵入し、国家安全保障上必要な情報の収集などを行うことを目的とした攻撃専門の部隊、それが TAOである。当然ながらこれまでその活動実態はあまり表にはでてこなかったが、2013年の Edward Snowden氏による機密情報のリークにより、さまざまなことがわかってきた。Der Spiegelや The Interceptなど複数のメディアが、Snowden氏のリークしたドキュメントにもとづいて TAOに関する多数の記事を公開している。TAOが関わっているとされる活動としては、例えば以下のようなものがある。

  • 2011年には世界中で 231の攻撃作戦を展開した。2008年には 20,000台以上のコンピュータをマルウェア (implant) に感染させた。

U.S. spy agencies mounted 231 offensive cyber-operations in 2011, documents show - The Washington Post

  • 2012年の内部資料によると、TAOは世界中で 50,000台のコンピュータをマルウェアに感染させた。

NSA infected 50,000 computer networks with malicious software - NRC

  • メキシコの Secretariat of Public Securityへの侵入。メキシコの大統領のメールにもアクセスしていた。

NSA Hacked Email Account of Mexican President - SPIEGEL ONLINE
Inside TAO: Targeting Mexico - SPIEGEL ONLINE

  • QUANTUM, FOXACIDなどのシステムを使いターゲットマシンをマルウェアに感染させる。Tor Browserを攻撃した事例がある。GCHQによる Belgacomへの侵入や、OPECへの侵入、また欧州から中東を経由してアジアとを結ぶ海底ケーブル SEA-ME-WE_4への攻撃でも QUANTUMが使われた。

Attacking Tor: how the NSA targets users' online anonymity | US news | The Guardian
GHCQ Targets Engineers with Fake LinkedIn Pages - SPIEGEL ONLINE
How the NSA and GCHQ Spied on OPEC - SPIEGEL ONLINE
Inside TAO: The NSA's Shadow Network - SPIEGEL ONLINE

  • ANTカタログ。NSAは PC、サーバ、ネットワーク機器、スマートフォンなど様々な機器に監視用のソフトウェア (implant) を埋め込むことができ、その製品カタログが存在する。Advanced Network Technology (ANT) は TAOの中の一部門

Interactive Graphic: The NSA's Spy Catalog - SPIEGEL ONLINE
NSA Secret Toolbox: ANT Unit Offers Spy Gadgets for Every Need - SPIEGEL ONLINE

  • TURBINE, TURMOILなどの攻撃自動化システムにより、大規模なマルウェア感染が可能。

How the NSA Plans to Infect ‘Millions’ of Computers with Malware


世界最高の攻撃能力があるからこそ防御も可能ということだろうか。まあその活動内容の是非はともかく、対策手法など優れた部分は大いに参考にするべきだろう。

Lavabit 事件とその余波、そして Forward Secrecy

US Forward Secrecy NSA
Lavabit事件

Lavabitという名前をみなさんご存知だろうか。NSAの監視活動について内部リークを行った Edward Snowden氏が利用していたメールサービスとして今年の夏に一躍有名になったところだ。Snowden氏は香港に滞在して複数のジャーナリストにNSAの内部情報を提供したあと、現在はロシアに一時亡命しているが、亡命が認められる前にモスクワ空港にしばらく滞在していたことがある。7月12日に空港内でプレスカンファレンスを行ったのだが、その時複数の人権団体に送った招待状が “edsnowden@lavabit.com” というメールアドレスからだった。この事が報道されると、「あの」Snowden氏が使っているメールサービスということで、利用希望者が殺到したらしい。(それまで新規登録は 200人/日だったのが、4,000人/日と20倍になった。)

しかしそんな表の騒動の影で、裏では Lavabitと FBIとの間でバトルが繰り広げられていた。Snowden氏によるリークの報道がはじまったのは 6月だが、実はその前の 5月から FBIは Lavabitのオーナーである Ladar Levison氏に接触していた。そして Snowden氏は内部告発者として 6月9日に名乗り出たが、その翌日の 6月10日には Lavabitに対して Snowden氏のアカウント*1に関する情報 (住所や氏名などの個人情報、IPアドレスやメールの送受信ログなど、ただしメールの中身は含まない) を要求する裁判所命令が出されている。Levison氏は命令に従い、1日1回これらの情報を FBIのサーバにアップロードして対応した。しかし FBIの要求はさらにエスカレートし、Snowden氏のアカウントのメール送受信をリアルタイムに盗聴できるようにすることや、当局が暗号化されたデータを復号するために SSL秘密鍵などの提出を命令してきた。Lavabitのユーザはこの時点で 40万人に増えていたが、Levison氏はこれら全ユーザのプライバシーを危険にさらすことから命令に従うことを拒否。しかし裁判所は Levison氏の主張を聞きいれてはくれなかった。ここで Levison氏は奇策にでる。秘密鍵の提出方法が指定されていなかったことから、複数あるSSL秘密鍵OCRで読み取ることができないように 4ptで印刷した11ページのプリントアウトで提出した (図1)。しかし電子データで提出しないと1日あたり $5,000の罰金を課せられることになり万事休す。Levison氏はやむなく秘密鍵を提出し*2、その2日後の 8月8日にサービスの終了を発表した*3。サービス停止を発表した際の Levison氏のコメント「アメリカ市民への犯罪行為に加担するか、10年も続けてきた Lavabitのサービスを終了するか、非常に難しい決断をせまられた」には、苦悩のあとが伺える。

サービス終了時の Lavabitから顧客へのメッセージ (2013-08-08)

I have been forced to make a difficult decision: to become complicit in crimes against the American people or walk away from nearly ten years of hard work by shutting down Lavabit. After significant soul searching, I have decided to suspend operations. I wish that I could legally share with you the events that led to my decision. I cannot. I feel you deserve to know what’s going on--the first amendment is supposed to guarantee me the freedom to speak out in situations like this. Unfortunately, Congress has passed laws that say otherwise. As things currently stand, I cannot share my experiences over the last six weeks, even though I have twice made the appropriate requests. (下線は筆者による)

(図1) Levison氏が提出した SSL秘密鍵の一部。(注:一度印刷されたものをスキャナーで読み込んでいるので、元の資料よりさらに読みにくくなっている。)
公開された裁判所の資料はココから読める。
f:id:ukky3:20131104223100p:plain


この事件はさまざまな影響を及ぼしたが、一つは Silent Circle*4もメールサービス (Silent Mail) を終了すると8月9日に発表したことだろう。Silent Circleは Lavabitのサービス終了の状況を見て、もし同様のことが自分達に起こった場合、ユーザのプライバシーを保護することができないと判断したようだ (Silent Circleのブログ参照)。

もう一つは SSL秘密鍵に関することだ。Levison氏はその後のインタビュー等で、Lavabitで Diffie-Hellmanをサポートするべきだったと話している。これは何のことを言っているのだろうか? それが次の話題の Forward Secrecyである。

ちなみに Lavabitと Silent Circleは 10月30日に DarkMail Allianceの立ち上げを発表した。来年を目処に現在の古くてセキュアではないメールプロトコルに代わる新しいプロトコルXMPPベースで開発することを目指している(彼らは ‘Email 3.0’と呼んでいる)。こちらの動きにも今後要注目だろう。

Silent Circle and Lavabit launch “DarkMail Alliance” to thwart e-mail spying | Ars Technica (2013-10-30)

“Knowing that they’re coming after SSL keys—for starters I would have made sure that all my systems support Diffie-Hellman,” he said. “The recent addition that provides an extra exchange for a negotiation process that makes it impossible to find out the session key, even if [the authorities] have the private key. It effectively would have forced them to do a man-in-the-middle attack instead of a third-party eavesdropping. It also means that if you’re forced to turn over keys in the future, they wouldn't be able to go back and decipher.” (下線は筆者による)

Announcing The Dark Mail Alliance – Founded by Silent Circle & Lavabit | Silent Circle Blog (2013-10-30)

Silent Circle and Lavabit, as privacy innovators have partnered to lead the charge to replace email as we know it today – fundamentally broken from a privacy perspective – we have collaborated in developing a private, next-generation, end-to-end encrypted alternative.

Forward Secrecy

ブラウザが Webサーバと TLS/SSLで通信を行う場合、セッション毎に異なる暗号鍵が生成されるが、クライアントとサーバが同じ鍵を共有するために最初に鍵交換のプロセスが必要になる。現状最もポピュラーな鍵交換の方法は RSAを利用したものだろう (ここでは RSA鍵交換とよぶことにする)。この場合、クライアントが生成した 48byteの Premaster SecretがサーバのRSA公開鍵 (最初にサーバから送信されるサーバ証明書に含まれる)で暗号化されてサーバに送信される。サーバは自身のRSA秘密鍵でこれを復号し、互いに共通する Premaster Secretが手に入る。これを Master Secretに変換して、暗号鍵の生成に利用する。

RSA鍵交換の問題は何かというと、すべてのセッションにおいて Premaster Secretの暗号化に同じ鍵 (サーバのRSA公開鍵) が利用されるという点である。ここで WebサーバのSSL通信をすべて盗聴できる攻撃者がいたと仮定しよう (NSAがまさにこの攻撃者に該当する)。この攻撃者はサーバの秘密鍵を持っていないので、盗聴した暗号通信を復号することはできない。しかし将来なんらかの手段によって攻撃者がサーバの秘密鍵を入手できた場合、この攻撃者はそれまでに保存したすべての暗号通信を復号して見ることができてしまう。

この問題は20年前からすでに知られており、鍵交換プロトコルが備えるべき性質のひとつとして Forward Secrecy (または Perfect Forward Secrecy、FSや PFSなどと省略する) が挙げられていた。

Authentication and Authenticated Key Exchanges

Perfect Forward Secrecy
An authenticated key exchange protocol provides perfect forward secrecy if disclosure of long-term secret keying material does not compromise the secrecy of the exchanged keys from earlier runs. The property of perfect forward secrecy does not apply to authentication without key exchange.


WebサーバのSSL秘密鍵など比較的長期間にわたって使用される鍵が外部に漏洩したとしても、それ以前のセッションにおいて利用された暗号鍵にはなんの影響も及ぼさない、というのが FSの性質だ。さきほどの RSA鍵交換はこの性質を満たしていない。つまり FSを達成できない。
一方、Ephemeral Diffie-Hellman鍵交換 (EDHまたは DHE) は FSを達成できる。セッション毎に鍵交換に必要なパラメータを生成し、クライアントとサーバがそれぞれ計算した値を交換することにより共通の Premaster Secretを生成する。このときサーバの秘密鍵 (RSAまたはDSA) はサーバから送信されるDHパラメータの署名にのみ使用され、暗号化には使われない*5。また楕円曲線暗号を利用した Diffie-Hellman鍵交換 (ECDHE) も DHEと同様に FSを達成できる*6
(注: サーバ証明書に DH公開鍵が含まれている場合、その固定パラメータを使って鍵交換を行なうことができる。しかしこの場合にはRSA鍵交換と同じで FSは達成できない。またこのタイプの証明書は現在ほとんど使われていない。TLS/SSLでは DH_RSA, DH_DSSによる鍵交換がこれに該当する。また ECDH_RSA, ECDH_ECDSAも同様。)

鍵交換方式 サーバ認証 FS (PFS)
RSA鍵交換 RSA RSA ×
DHE鍵交換 DHE RSA or DSA
ECDHE鍵交換 ECDHE RSA or ECDSA


RSA鍵交換の場合、サーバの秘密鍵が漏洩する (または鍵が解読される) とすべてのセッションが復号できてしまうのに対して、DHE/ECDHE鍵交換であればセッションを復号するためにはそれぞれセッション毎の暗号鍵を解読する必要がある。NSAによる包括的な監視が行われている実態が明らかになったことを考えると、通信データの機密性がサーバの秘密鍵だけに依存するのはなんとも心許ない話だ。もし Lavabitが FSに対応していれば、つまりDHE/ECDHEによる鍵交換をサポートしていれば、たとえサーバの秘密鍵を当局に渡したとしても各ユーザのセッションを復号されることはなかったはずだ。(ただしこの場合、FBIは Lavabitのサーバになりすますことができるので MITMは可能。)

Forward Secrecy への対応状況

Webでの通信においてFSを実現するには、ブラウザ等のクライアントとWebサーバの双方で対応する必要がある。ではこれらのFSへの対応状況はどうなっているのか。2つのデータを紹介しよう。


1つめは Netcraftが今年の 6月に公表した調査データ。約240万の SSLサイトに対して 5種類の主要なブラウザ (Firefox, Chrome, Opera, Safari, IE) でアクセスした結果、およそ 2/3は FS対応の暗号スイートを利用していなかった。ブラウザ別では特に IEの成績が悪くなっているが、これは他のブラウザが FS対応の暗号スイートをFS非対応のものより優先しているのに対し、IEはそうではないためである。また DHE_RSAに対応した暗号スイートを IEはサポートしていない。
一方で Webサーバ側が FSに対応していないのは、DHE鍵交換の処理が重くパフォーマンス的に不利になるためだと考えられる。しかし比較的新しい ECDHEでは処理速度が早くなっており、RSA鍵交換との差は縮まっていると言えるだろう。

Netcraftの発表内容
http://news.netcraft.com/archives/2013/06/25/ssl-intercepted-today-decrypted-tomorrow.html
http://www.netcraft.com/internet-data-mining/ssl-survey/


2つめは Qualysが公開している SSL Pulseの調査データ。直近の 10月のデータによると、約16万サイトを調査した結果、54%のサイトが FSに対応していなかった。しかし FSに対応しているサイトのほとんども対応は不十分で、多くのブラウザとの通信において FS対応の暗号化スイートが使われていない。これはサイト側が ECDHEに対応していないためだと思われる。その結果、全体の 95.8%で FSが使われていないという状況になっている。

Qualysの発表内容
https://community.qualys.com/blogs/securitylabs/2013/10/09/ssl-pulse-now-tracking-forward-secrecy-and-rc4
https://community.qualys.com/blogs/securitylabs/2013/06/25/ssl-labs-deploying-forward-secrecy

主要なサービスの対応状況

こういった取り組みにいつも先行するのはやはり Google。2010年に他のサービスに先駆けて GmailのデフォルトHTTPS対応をはじめたが、2011年には Gmailなどの主要なサービスで FSにも対応している。

Google Online Security Blog: Protecting data for the long term with forward secrecy (2011-11-22)

Last year we introduced HTTPS by default for Gmail and encrypted search. We’re pleased to see that other major communications sites are following suit and deploying HTTPS in one form or another. We are now pushing forward by enabling forward secrecy by default.


Facebook, Twitter, Yahoo!, Apple, Microsoftなどのサービスでは 6月の時点では主要なブラウザにおいて FSは利用されていなかったようだが、その後 FacebookTwitterは対応するようになった。おそらく今後他のサービスでも対応がすすむと考えられる。ちなみに日本の状況はどうかというと、Yahoo! Japan楽天mixiなどはまだどこも FSに対応していない。


(例) Chromeでアクセスした際に使われる鍵交換の方法 *7

Google Facebook Twitter Yahoo! Apple Microsoft Yahoo! Japan Rakuten mixi
ECDHE_RSA ECDHE_RSA ECDHE_RSA RSA RSA RSA RSA RSA RSA


(図2) GoogleChromeでアクセスした場合
f:id:ukky3:20131104225608p:plain


(図3) Yahoo! JapanChromeでアクセスした場合
f:id:ukky3:20131104225619p:plain

まとめ

以上、Lavabit事件とその影響、Forward Secrecyへの対応状況などについて紹介した。今後は主要な Webサイトにおける FS対応がさらに進むことが予想される。なお Forward Secrecyはなにも TLS/SSLに限定した話ではなく、メッセージングの世界でも対応がすすんでいる。次回はこの話題 (OTR: Off-the-Record Messageing) について取り上げる予定。予定は未定。


(参照)
Edward Snowden’s E-Mail Provider Defied FBI Demands to Turn Over Crypto Keys, Documents Show | WIRED
As F.B.I. Pursued Snowden, an E-Mail Service Stood Firm | NYTimes
Edward Snowden has applied for asylum in Russia: Russian media (LIVE BLOG) | GlobalPost
SSL/TLS & Perfect Forward Secrecy | Vincent Bernat
Geekなぺーじ:スノーデン事件の裏で起きていたSSL秘密鍵を巡る戦い

*1:裁判所から公開された資料では個人情報がマスクされているが Snowden氏のアカウントだと考えられている。

*2:Lavabitのサーバ証明書は GoDaddyが発行したものだが、この事件が報道されるとすぐに証明書を無効にしている。https://lavabit.com/ を参照。

*3:この時点では gag orderによりサービス停止の理由について Levison氏は一切しゃべることができなかった。事件の概要がわかったのは 10月になって裁判所が機密指定を解除してから。

*4:PGPの開発者である Phil Zimmermann氏が共同創業者の一人である。

*5:サーバから送信される ServerKeyExchangeメッセージで署名された DHパラメータが送信される。RSA鍵交換では ServerKeyExchangeは送信されない。

*6:TLS/SSLで FSに対応している鍵交換の方式は DHE_DSS (EDH_DSS), DHE_RSA (EDH_RSA), ECDHE_RSA, ECDHE_ECDSA の4つである。

*7:Version 32.0.1685.0 dev版を使用して 11月3日に調査した結果。

NSAの監視プログラムに関する米政府の主張

US NSA

Edward Snowden氏のリークによって大騒動となっている NSAの監視プログラムについて、今週、米国議会の上院や下院において米政府からの情報開示や、NSA長官などの政府高官による証言が相次いで行われました。これらの情報から、現時点でのこの問題に関する米政府側の主張をちょっと整理してみます。


−−−−
上院情報委員会に提出された文書や、PBSのインタビューでのオバマ大統領の説明によると、NSAの監視プログラムは大まかに次の2つがある。これらはその根拠となっている法律の条項から 215 program702 programなどと呼ばれている。

  • Section 215 of the USA PATRIOT Act にもとづくデータ収集 (215 program)
  • Section 702 of the FISA Amendments Act にもとづくデータ収集 (702 program)


これらのプログラムはいずれも

  • 法律によって規定された範囲内である (USA PATRIOT Act of 2001, FISA Amendments Act of 2008)
  • 議会によって許可されている (authorized)
  • 裁判所 (FISC: Foreign Intelligence Surveillance Court) によって承認されている (approved)
  • 司法省 (DOJ)と国家情報長官室 (ODNI)によって定期的にレビューされている

(だから問題ないと米政府は主張している。)


215 program はバルクで電話会社からメタデータ(電話番号ペアや通話時間などの通話記録のこと。通話内容は含まない)を収集しているが、このデータを検索するには対象者が海外のテロリスト組織の活動に関係するという相応の根拠が必要。根拠のないデータ検索は違法となる。実際に2012年の1年間にNSAによって調査が行われたのは300件未満。また記録されたデータは5年以内に破棄される。なお下院情報特別委員会の公聴会でのNSA長官の証言によると、NSA内でこの通話記録データベースにアクセスできる権限をもつのは20人のアナリストと2人の管理者の合計22人のみである。


702 program はバルクではなく、特定のターゲットに関するメールなどのコンテンツデータを都度収集するもの。テクノロジー会社に対して個別にデータ開示の要求を行う。米国外の非米国民の通信だけを対象としたもので、意図せずに収集された米国民のデータは適切に保護される。


215 programと 702 programの2つの監視プログラムによる成果として、2011年9月11日の同時多発テロ事件以降、これまでに20ヶ国で50件以上、米国内だけに限定すれば10件以上のテロ実施計画を未然に防ぐことができたとしている。この中にはニューヨーク市の地下鉄爆破計画、ニューヨーク証券取引所爆破計画などが含まれている。


−−−−
(補足事項)
今回の騒動は、Verizon Business Network Servicesに対して 3ヶ月分(2013年4月25日から7月19日まで)の通話記録をNSAに提出するように求める FISCの命令書 ("Top Secret")が The Guardian紙によってスクープされたことからはじまった。またその後、実は 2006年から 3ヶ月毎にこの裁判所命令が更新され続けていることや、AT&Tなど他の大手電話会社に対しても同様に行われていることなども報道された。(215 program)


続いてリークされた PRISM(US-984XN)に関する "Top Secret"資料によると、このプログラム(702 program) に参加しているのは Microsoft, Yahoo, Google, Facebook, PalTalk, AOL, Skype, YouTube, Appleの 9社*1。このうち Facebook, Microsoft, Apple, Yahoo! の 4社は政府機関へのデータ開示の件数を公表したが、情報開示にあたって政府から求められた条件によって、一般の犯罪捜査に関するものもすべて含めたおおよその件数のみが公開された。そのためこのうち何件が PRISMに関連するものなのかはわからない。一方、Googleは PRISM関連のものだけを個別に開示する許可を求めて FISCに別途申し立てを行っている。


PBSのインタビューにおいて「FISCは NSAからのリクエストを承認せず拒否したことがあるのか?」との質問に対して、オバマ大統領は直接質問に答えなかった*2。FISCの承認という司法によるチェック機能が実際に有効に働いているとは言い難い*3


テロを未然に防止したという成果についても、いくつかのケースではこれらの監視プログラムが決定的な役割を果たした場面もあるだろうが、すべてのケースではないだろう。プライバシーを脅かすような包括的な監視プログラムに頼らなくても、テロに対応できる方法は他にあるのではないだろうか? という当然の疑問が湧く*4。また監視プログラムの対象範囲についてもまだ曖昧ではっきりしない部分が多く、上記 2つのプログラム以外にも監視プログラムが存在する可能性はある。NSAは4つの監視プログラム(MAINWAY, MARINA, NUCLEON, PRISM) を運用しているとの報道もあり、それによると電話とインターネットの通信について、それぞれメタデータとコンテンツデータを取得しているとある。下院の公聴会では、NSAが 215 programで収集しているのは電話の通話記録だけだと NSA長官は証言しているが、一方で他の法執行機関は Section 215によってそれ以外の情報の収集も許可されていると司法副長官が証言している。


今後 Snowden氏からさらに機密資料がリークされたら、より詳しい内容がわかるかもしれない*5

(Snowden氏は香港での最初のインタビューの際に亡命を希望する国としてアイスランドの名前を挙げていたが、Snowden氏がアイスランド政府に対して亡命を希望すると非公式に打診していることが 6/18日にわかった。)

*1:プログラムに参加した順に記載。SkypeMicrosoftが、YouTubeGoogleがそれぞれ買収しているので実際には 7社。

*2:オバマ大統領は「リクエスト件数は驚くほど数が少ないんだ。」と質問をはぐらかした。

*3:Snowden氏は FISCを "rubber stamp"だと形容している。一方、NSA長官は「"rubber stamp"だとは思わない。FISCの連邦判事は素晴らしい仕事をしている。」と反論している。

*4:下院情報特別委員会の公聴会で FBI副長官は具体的に4つのケースを明らかにしたが、すでにこれらのケースにおいて監視プログラムの果たした役割について疑問が提示されている。

*5:NSAによる監視プログラムの全体像を把握することは難しいが、AP通信のこの記事が非常に参考になり必見。http://bigstory.ap.org/article/secret-prism-success-even-bigger-data-seizure

米国の緊急警報システム (EAS: Emergency Alert System)について

US

(2/18 追記あり)
数日前に米国のテレビ放送でゾンビ警報が流れるという事件がありました。何者かによって外部から緊急警報システム EAS (Emergency Alert System)が侵入され、偽のメッセージを流されたことが原因です。その後のいくつかの報道によると、セキュリティ研究者によってこのシステムで利用されている ENDECと呼ばれる機器の脆弱性が複数見つかっており、US-CERTにもすでに連絡済みとのことです。


Flaws in Emergency Alert System Hardware Allow Remote Login, Zombie Alert Insertion | threatpost

The problems that Davis found represent a serious weakness in the EAS system. Some of the ENDECs are networked together in a way that enables them to relay messages to one another, so an attacker who could compromise one could conceivably cause problems on others, as well. Davis reported the vulnerabilities to US-CERT about a month ago and he said that some manufacturers of ENDECs have pulled some of the faulty firmware off the market.


EASは緊急事態が発生した際に、合衆国大統領によるメッセージなどを速やかに米国民に届けるため、2011年から緊急事態管理庁 FEMAなどの政府機関が整備をすすめてきたシステムです*1。上の記事にも説明がありますが、EASでは CAP (Common Alerting Protocol)と呼ばれるプロトコルにもとづいて、CAPサーバが緊急警報のメッセージを送信し、受信側がそれを適切に変換して自動的に放送する仕組みになっています。そのメッセージの受信と変換を行うのが ENDECです。CAPのメッセージはインターネット経由で受信できるらしく、ENDECを販売しているベンダーの説明によると ENDECは 10/100Base-Tの LANポートを装備しています。しかも Webベースで設定や制御が可能という親切設計!


ENDECの説明資料から引用

New Software Features

  • Web-Based control – all settings and functions can be performed from anywhere on the internet, including initiating or forwarding alerts, and changing configuration.


ENDECの外観 その1 (Sage Alerting SystemsのWebから引用)
http://www.sagealertingsystems.com/endecphotos.jpg
ENDECの外観 その2 (Monroe ElectronicsのWebから引用)
http://www.monroe-electronics.com/EAS_pages/product_photos/R189se.jpg
http://www.monroe-electronics.com/EAS_pages/product_photos/r189se_3-nic_backpanel_SM.jpg


ENDECはインターネット経由でメッセージを受信するために外部からアクセス可能になっており、しかもそこに Webベースの管理コンソールが動いているという、なんとも微妙な感じです*2
セキュリティ研究者による指摘では、ENDECにはリモートからログイン可能な深刻な脆弱性があるほか、CAPのメッセージの暗号化の仕組みにも問題があるようです。なお SHODANで検索してみると、Basic認証がかけられているものの数百台の ENDECがインターネットに接続されているようです*3。今回と同様の事件が起きないように早急に対処してほしいですね。


(2/18 追記)
Reutersの記事によると、被害にあった ENDECのうちの少なくとも一つは Monroe Electronics社製のようです。今回の事件を受けて Webのトップページに注意喚起のメッセージをのせています。

Security Reminder:

To improve overall security all One-Net R189 users are urged to:
1. Change the factory default password immediately
2. Make sure all network connections are behind secure firewalls


Security experts say zombie TV warning exposes flaws | Reuters
Brace for MORE ZOMBIE ATTACK ALERT pranks, warns security bod • The Register

*1:Wikipediaの説明によると緊急放送の仕組みとしては第3世代にあたるそうです。

*2:ここで例として挙げているベンダーの ENDECに脆弱性があるのかどうかはわかりません。

*3:当然ですがごく一部を除くとほとんど全て米国にあります。