Shutterstock.com

活躍するテンセントの7セキュリティ実験室

牧野武文

January 23, 2018 08:00
by 牧野武文

中国で利用者が多いメッセンジャーソフトQQや世界最大級の売上げ規模を持つゲーム事業などを手がける、中国大手IT企業「テンセント(騰訊/
Tencent)」。同社のセキュリティチームであるテンセント安全玄武実験室は、最新のAndroid 8.1.0上で動作するアプリの多くにきわめて重大な脆弱性があると1月9日に発表した。これは「アプリクローン化」と呼ばれるもので、対象者のスマートフォン内のアプリのクローンを、攻撃者所有のスマホに複製できるというものだ。


1月9日に開催された玄武実験室の成果発表会。ここで、問題のアプリクローン化脆弱性がメディアにも公開された。発表会では、実際にスマホ決済アプリ「アリペイ」を別のスマートフォンにクローン化させ、資金を移動させる操作をデモした(画像はFREEBUFより)


脆弱性のプレゼンを行うテンセント玄武実験室発起人の於暘氏。「主要な200のアプリを精査したところ、約13%のアプリに脆弱性が見つかった。人的リソースの問題で、すべてのアプリを検査することはできない。情報提供はするので、アプリ運営各社は、自社アプリを至急検査してほしい」と述べた(画像はFREEBUFより)

クローンアプリが作成される

このアプリクローン化は、実に簡単に実行でき、攻撃者が悪意のあるリンクを含んだメッセージを送るだけでいい。対象者がうっかりこのリンクをタップしてしまうと、それだけで攻撃者のスマートフォンにクローンアプリが作成される。アカウントデータなどもコピーされてしまうので、ECサイトアプリであれば、買い物がし放題になってしまう。金融系アプリであれば、口座資金を勝手に移動されたり、パスワードなどの情報が盗まれてしまう。

この脆弱性は、アンドロイドアプリのWebView機能に存在する。これはアプリ内に特定のウェブページを表示させる機能だ。アプリ内に作成したファイル(アカウントデータなども含まれている)は、通常、外部からアクセスできないようにサンドボックス化され守られているが、このWebView機能を悪用すると、外部から特定のファイルにアクセスができるようになってしまう。

クローンアプリを作るには、攻撃者のスマートフォンに特定のアプリをダウンロードした後、WebView機能を通じて、対象者のアプリ内ファイルにアクセス、アカウントデータを含め丸ごと、攻撃者のアプリにコピーをしてしまう。

今回、テンセント安全玄武実験室が発見した脆弱性は、setAllowFileAccessFromFileURLs、setAllowUniversalAccessFromFileURLsの2つのAPIをfalseに設定することで対策できる。Android 4.1以前では、この2つのAPIがデフォルトでtrueに設定されるため、当時作成したアプリをそのままアップデートしていない場合は、この脆弱性が残ったままになってしまうというものだ。

200アプリのうち27に問題

この脆弱性を発見したテンセント安全玄武実験室では、中国でよく使われる200のアプリに対して検査をし、そのうち27のアプリにこの脆弱性が存在することを確認した。そして、国家情報安全脆弱性共有プラットフォーム(CNVD:China National Vulnerability Database)に報告をした(CNE201736682)。

CNVDでこの脆弱性を確認し、12月10日に問題のある27のアプリ運営元に警告し、同時に詳細な情報提供を行った。警告を受けたアプリ運営元のうち、アリペイ、百度外売、国美などのアプリはすぐにアップデートを行い、脆弱性を解消した。しかし飢了幺、聚美優品、豆弁、易車、鉄友火車票、微店など10のアプリについては、対策がまだ行われていない。

テンセント安全玄武実験室では、昨年のうちに、国家インターネット緊急対応センター(CNCERT)にも報告をし、CNCERTを通じて、各アプリ運営元に注意喚起を行っている。同時に玄武支援プロジェクトをスタートさせ、各アプリ運営元に情報提供をするだけでなく、人的な支援も行う方針を固めた。

分野毎にわかれるセキュリティチーム実験室

テンセントのセキュリティーチームは7つの実験室に分かれている。キーン実験室(Keen Security Labs)をはじめとして、玄武、湛濾、雲鼎、アンチウイルス、アンチ詐欺、移動安全の7つだ。それぞれの実験室が、特定の領域と目的を持って活動している。この7つの実験室の上位に、連合実験室が設置され、インシデントや活動の内容によって、複数の実験室が連合して活動する仕組みになっている。

キーン実験室は、国際的なインシデント、脆弱性などに対応する。海外のホワイトハッカー集団とも連携し、情報交換をしている。一昨年、テスラモーターズのモデルSのシステムにネットワーク経由で侵入し、ドアの開閉やワイパー、ブレーキの動作をリモートから行い、システムに複数の脆弱性が存在することを公表し、テスラモーターズに対して、技術情報を提供した。テスラモーターズは、この功績に対して表彰を行っている。

アンチ詐欺実験室は、ネットを利用した詐欺事件への対策を研究している。中国公安部と協力し、デジタル詐欺に対抗する「守護者計画」チームを運営している。アンチウイルス実験室は、マルウェアの観測、分析、対策を行っている。昨年のランサムウェアWannaCry事件では、中国国内の多くの企業、個人にセキュリティソフトを提供し、被害の回復に協力をした。

湛濾実験室(湛濾は春秋戦国時代の名剣の名前)は、情報漏洩に対する対策を研究している。雲鼎実験室(雲鼎はクラウドを支える脚の意味)は、クラウド関連のセキュリティを、移動安全実験室は、モバイルセキュリティを研究している。

そして、ウェブ周りのセキュリティを研究している玄武実験室(玄武は、亀と蛇が合体したような姿の獣神。冥界の神託を現世に伝える役割をしている)が、一般消費者に大きく関わるAndroidアプリの脆弱性を公開し、アプリ運営企業、利用者に対して、注意喚起を行った。この脆弱性を利用したインシデントはまだ起きていない。攻撃者が発見するよりも早く、玄武実験室が発見をした。テンセントでは、今後も、このような「ゼロデイ注意喚起」をすることで、デジタル社会に貢献していきたいとしている。

ニュースで学ぶ中国語

 
克隆(kelong):クローン。cloneの音をとった訳語。生物学的なクローンにも、クローン携帯などのデジタル的なクローンにも使われる。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

アリペイの盲点を突いた男に懲役5年

May 15, 2018 08:00

by 牧野武文

アリババが運営するQRコードスマホ決済「アリペイ(支付宝)」のシステムは、かなり堅牢だ。 アリババは、どのようなセキュリティ対策をしているかは一切公表していない。ただ、ネットではよく「10段構えの防御システムになっている」と言われる。最も外の防御システムが突破されるとアラートが発せられて、緊急チーム…

刑務所をハッキングして友人の刑期を書き換えた男

May 11, 2018 08:00

by 江添 佳代子

2018年4月26日、刑務所のシステムをハッキングした罪で逮捕されていた米国人男性、Konrads Voits(27歳)に7年3ヵ月の禁固刑が下った。彼がミシガン州ウォッシュトノー郡のコンピューターシステムに侵入しようとした動機は、服役中の友人の刑期を短くするためだった。この「受刑者記録を改ざんすれ…

「事故前提の中国無人運転車」の公道走行試験

May 8, 2018 08:00

by 牧野武文

中国工信部、公安部、交通運輸部は連合して、「スマートネット自動車公道試験管理規範(試行)」を発表したと『中間村在線』が報じた。いわゆる無人運転車の公道走行試験の方法を国として定めたもので、中国はドライバレースカーの実用開発で他国を一歩リードすることになる。 無人運転の6要件 このガイドラインは、国と…