Shutterstock.com

活躍するテンセントの7セキュリティ実験室

牧野武文

January 23, 2018 08:00
by 牧野武文

中国で利用者が多いメッセンジャーソフトQQや世界最大級の売上げ規模を持つゲーム事業などを手がける、中国大手IT企業「テンセント(騰訊/
Tencent)」。同社のセキュリティチームであるテンセント安全玄武実験室は、最新のAndroid 8.1.0上で動作するアプリの多くにきわめて重大な脆弱性があると1月9日に発表した。これは「アプリクローン化」と呼ばれるもので、対象者のスマートフォン内のアプリのクローンを、攻撃者所有のスマホに複製できるというものだ。


1月9日に開催された玄武実験室の成果発表会。ここで、問題のアプリクローン化脆弱性がメディアにも公開された。発表会では、実際にスマホ決済アプリ「アリペイ」を別のスマートフォンにクローン化させ、資金を移動させる操作をデモした(画像はFREEBUFより)


脆弱性のプレゼンを行うテンセント玄武実験室発起人の於暘氏。「主要な200のアプリを精査したところ、約13%のアプリに脆弱性が見つかった。人的リソースの問題で、すべてのアプリを検査することはできない。情報提供はするので、アプリ運営各社は、自社アプリを至急検査してほしい」と述べた(画像はFREEBUFより)

クローンアプリが作成される

このアプリクローン化は、実に簡単に実行でき、攻撃者が悪意のあるリンクを含んだメッセージを送るだけでいい。対象者がうっかりこのリンクをタップしてしまうと、それだけで攻撃者のスマートフォンにクローンアプリが作成される。アカウントデータなどもコピーされてしまうので、ECサイトアプリであれば、買い物がし放題になってしまう。金融系アプリであれば、口座資金を勝手に移動されたり、パスワードなどの情報が盗まれてしまう。

この脆弱性は、アンドロイドアプリのWebView機能に存在する。これはアプリ内に特定のウェブページを表示させる機能だ。アプリ内に作成したファイル(アカウントデータなども含まれている)は、通常、外部からアクセスできないようにサンドボックス化され守られているが、このWebView機能を悪用すると、外部から特定のファイルにアクセスができるようになってしまう。

クローンアプリを作るには、攻撃者のスマートフォンに特定のアプリをダウンロードした後、WebView機能を通じて、対象者のアプリ内ファイルにアクセス、アカウントデータを含め丸ごと、攻撃者のアプリにコピーをしてしまう。

今回、テンセント安全玄武実験室が発見した脆弱性は、setAllowFileAccessFromFileURLs、setAllowUniversalAccessFromFileURLsの2つのAPIをfalseに設定することで対策できる。Android 4.1以前では、この2つのAPIがデフォルトでtrueに設定されるため、当時作成したアプリをそのままアップデートしていない場合は、この脆弱性が残ったままになってしまうというものだ。

200アプリのうち27に問題

この脆弱性を発見したテンセント安全玄武実験室では、中国でよく使われる200のアプリに対して検査をし、そのうち27のアプリにこの脆弱性が存在することを確認した。そして、国家情報安全脆弱性共有プラットフォーム(CNVD:China National Vulnerability Database)に報告をした(CNE201736682)。

CNVDでこの脆弱性を確認し、12月10日に問題のある27のアプリ運営元に警告し、同時に詳細な情報提供を行った。警告を受けたアプリ運営元のうち、アリペイ、百度外売、国美などのアプリはすぐにアップデートを行い、脆弱性を解消した。しかし飢了幺、聚美優品、豆弁、易車、鉄友火車票、微店など10のアプリについては、対策がまだ行われていない。

テンセント安全玄武実験室では、昨年のうちに、国家インターネット緊急対応センター(CNCERT)にも報告をし、CNCERTを通じて、各アプリ運営元に注意喚起を行っている。同時に玄武支援プロジェクトをスタートさせ、各アプリ運営元に情報提供をするだけでなく、人的な支援も行う方針を固めた。

分野毎にわかれるセキュリティチーム実験室

テンセントのセキュリティーチームは7つの実験室に分かれている。キーン実験室(Keen Security Labs)をはじめとして、玄武、湛濾、雲鼎、アンチウイルス、アンチ詐欺、移動安全の7つだ。それぞれの実験室が、特定の領域と目的を持って活動している。この7つの実験室の上位に、連合実験室が設置され、インシデントや活動の内容によって、複数の実験室が連合して活動する仕組みになっている。

キーン実験室は、国際的なインシデント、脆弱性などに対応する。海外のホワイトハッカー集団とも連携し、情報交換をしている。一昨年、テスラモーターズのモデルSのシステムにネットワーク経由で侵入し、ドアの開閉やワイパー、ブレーキの動作をリモートから行い、システムに複数の脆弱性が存在することを公表し、テスラモーターズに対して、技術情報を提供した。テスラモーターズは、この功績に対して表彰を行っている。

アンチ詐欺実験室は、ネットを利用した詐欺事件への対策を研究している。中国公安部と協力し、デジタル詐欺に対抗する「守護者計画」チームを運営している。アンチウイルス実験室は、マルウェアの観測、分析、対策を行っている。昨年のランサムウェアWannaCry事件では、中国国内の多くの企業、個人にセキュリティソフトを提供し、被害の回復に協力をした。

湛濾実験室(湛濾は春秋戦国時代の名剣の名前)は、情報漏洩に対する対策を研究している。雲鼎実験室(雲鼎はクラウドを支える脚の意味)は、クラウド関連のセキュリティを、移動安全実験室は、モバイルセキュリティを研究している。

そして、ウェブ周りのセキュリティを研究している玄武実験室(玄武は、亀と蛇が合体したような姿の獣神。冥界の神託を現世に伝える役割をしている)が、一般消費者に大きく関わるAndroidアプリの脆弱性を公開し、アプリ運営企業、利用者に対して、注意喚起を行った。この脆弱性を利用したインシデントはまだ起きていない。攻撃者が発見するよりも早く、玄武実験室が発見をした。テンセントでは、今後も、このような「ゼロデイ注意喚起」をすることで、デジタル社会に貢献していきたいとしている。

ニュースで学ぶ中国語

 
克隆(kelong):クローン。cloneの音をとった訳語。生物学的なクローンにも、クローン携帯などのデジタル的なクローンにも使われる。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

善意のサイトが犯罪の片棒を担ぐ!? 手軽にサイバー犯罪を行う中国の富豪の子弟

February 19, 2018 10:00

by 牧野武文

中国のサイバー犯罪者というと、地方で工学系の大学を卒業したものの、仕事がなく、生活費に困って、知識を活かした犯罪をするというのが大半だ。しかし金持ちの子弟が、サイバー犯罪に手を染める例も数は多くないもの存在する。本来は、視覚障害者のためのサービスとして始まった「快啊答題」は、運営者がスリルを求めてサ…

「教科書アダルトリンク事件」の犯人が逮捕される

February 13, 2018 08:00

by 牧野武文

中国の中学高校用副教材『中国古代詩歌散文鑑賞』の中に、参考用としてアダルトサイトのURLが掲載されて教育界が大騒ぎになった事件を以前にお伝えした。このアダルトサイトの運営者が逮捕されたことを『騰訊新聞』が報じた。 「あぶれ組」による犯行 中国の人口は約14億人。中国政府は伝統的に教育に力を入れており…

悪いのは誰だ? フィットネストラッキングが「軍の秘密」を暴露する(後編)

February 9, 2018 08:00

by 江添 佳代子

→前編はこちら 人々の「動き」が伝える情報 Global Heatmapによって引き起こされた問題について、英語圏のメディアの多くは「Stravaのマップで世界の軍用基地が発見された」などの見出しをつけて伝えている。しかし、それは誤解を招きやすい表現かもしれない。なぜなら人々が報告した「場所」そのも…