注意喚起されてた模倣サイトは実はただのプロキシでしたよというお話。
総務省ホームページを模倣したウェブサイトの存在が確認されています!模倣サイトにアクセスすると、コンピュータウィルスに感染する等のおそれがありますので、ご注意ください( `へ´)ノ詳細はこちら→http://t.co/OFBKFtmMHm
— 総務省ICTツイート (@MIC_ICT) August 20, 2014
模倣した偽サイトが存在するとして、各所から注意喚起が出されている件について連ツイする。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
模倣サイトとして各所から注意喚起が出されている 〇〇〇.orgのサイト。これは模倣サイトでも何でもなく、Anonymous Proxyサービスと呼ばれるもの。このようなサイトは数多くあり、その中でも老舗の http://t.co/G4A9ABNCD3 は、17年前から存在する。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
Anonymous Proxyサービスは、自分のIPアドレスをWebサイト側に知られたくない場合や、アクセスブロックを回避するために使用され、任意のURLを入力するとProxyとして代理アクセスし、レスポンスを表示する。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
また、JSなどのリソースを外部サイトから読み込む場合や、リンクをクリックした場合でも、IPアドレスが漏れることのないよう、すべてProxy経由となるようにHTML内のリンク先URLが自動的に置換される。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
古くからある他のProxyサービスでは、URLのパス部にアクセス先のドメインが付加されるものが多いが、問題とされているサービスでは、ホスト部にサブドメインとしてアクセス先のドメインが付加される。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
これはスマホのブラウザの様にアドレスバーが狭い場合でも、いまアクセスしているサイトがどこか、すぐ判る様にするためだろうが、これが模倣サイトとして勘違いされやすい一因でもあろう。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
自分が管理するWebサーバに問題とされているProxyサービスを使ってアクセスしてみたが、複数回アクセスしてもIf-Modified-Sinceヘッダがリクエストヘッダに付加されることはないので、Proxyといってもキャッシュは保持せず、毎回その都度アクセスしている。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
よって、模倣サイトとの言葉から想像されるように、コンテンツを勝手にコピーしたWebサイトを立ち上げているわけではないし、これを模倣サイトと呼ぶのなら、全世界のあらゆるサイトを模倣していることになる。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
ロシアのサイトだから怪しいという声もあるようだが、表示言語としてロシア語が使われているものの、サーバはオランダでホスティングされているし、ドメインのWhoisの登録者は米国フロリダ州の個人(東欧系の名前ではある)
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
もちろん将来、ある日突然、不正コードが埋め込まれる可能性はあるが、それを言ったら海外の個人が運営しているWebサービスや情報サイトはすべて同じ可能性があるし、企業サイトだって改ざんされて不正コードが埋め込まれる可能性がある(海外に限らず日本のサイトでも同じ)
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
この様に、模倣サイトでもなんでもなく、単なるAnonymous Proxyサービスだし、言語がロシア語で日本からの利用は限られていると思われるので、無視しておけば良いものを、わざわざプレスリリースまで出して注意喚起なんてするから、ニュースでも取り上げられ、
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
ニュースなどを見た各社が自分のところも模倣されていないかと、URLを自ドメインに置き換えてアクセスすると、自社サイトと全く同じものが表示されるので、これは大変だと横並びでプレスリリースを発表し、それがまたニュースで報道される。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
確かに、Anonymous Proxyサービスに関する事前知識がないと模倣サイトだと誤認してしまうのはしょうがないが、そういった事情に詳しいはずの通信事業者や警察が、初期に「模倣サイト」「ウイルス感染の恐れ」と注意喚起を出し、他社が追随する流れを作ってしまったのは非常に残念。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
この騒動でつくづく思ったのは、根拠もないのに、なんでも危機を煽り立てれば良い訳ではないこと。一度立ち止まって、ちゃんと調査をし、わからない所はしかるべき所に問い合わせ、スルーするところはスルーし、正しく危険を伝えることが必要なんだなと改めて感じた。
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
「模倣サイトとして各所から注意喚起が出されているサイトは、模倣サイトではなくAnonymous Proxyサービスと呼ばれるもの」をトゥギャりました。 http://t.co/MnZ0E4eZ8s
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
Anonymous Proxyサービスの利用例: ブログなどの修正を依頼して、修正しましたので確認して下さいとのリンクが送られてきた時。そのままアクセスするとこちらのIPアドレスが丸わかりなので、Proxyサービスを使ってアクセスしている。TorやVPNを使うまでではないので、
— 北河拓士🔰 (@kitagawa_takuji) August 23, 2014
北河さんが「わからない所はしかるべき所に問い合わせ」よと指摘するところ、毎日新聞は「インターネットセキュリティー大手のトレンドマイクロ社」に問い合わせちゃってて、早速「トレンドマイクロ社のセキュリティーソフトでは(略)アクセスできないようにしている」と自社宣伝に使われちゃってる。
— Hiromitsu Takagi (@HiromitsuTakagi) August 23, 2014
マスコミは昔から、専門家に聞くのに「ウイルス対策ソフト会社に聞けばいい」と思ってる記者が少なくないようだけども、彼らが公益の観点でコメントしてくれるのか、よく考えた方がいい。
— Hiromitsu Takagi (@HiromitsuTakagi) August 23, 2014
コメント欄が……orzhttp://t.co/cYjXDvQIHx
— Hiromitsu Takagi (@HiromitsuTakagi) August 24, 2014
すべてのアノニマスプロクシーサイトがフィッシングサイトでなどに化けておらず「単なるアノニマスプロクシーサイト」であり続けてる事を調査する責任は誰にあるんだろう? http://t.co/ZKPLviJ1sG
— kumakuma1967 (@kumakuma1967_o) August 24, 2014
そうはいってもProxyがMan in the middle攻撃でない保証はどこにもない訳でして / “模倣サイトとして各所から注意喚起が出されているサイトは、模倣サイトではなくAnonymous Proxyサービスと呼ばれるもの…” http://t.co/bQ6ziNQrpw
— Masanori Kusunoki (@masanork) August 24, 2014
まずプロキシーとしての機能を説明してからの話 RT @masanork:…ProxyがMan in the middle攻撃でない保証はどこにもない…/ “…模倣サイトではなくAnonymous Proxyサービスと呼ばれるもの…” http://t.co/VMPs4FWBSZ
— ⛅ ユーロ🇪🇺売り – Social Distancing (@euroseller) August 24, 2014
@kitagawa_takuji こちらのサービスですが勝手にSSLを終端してHTTPに変換するサービスも提供しており、中間者攻撃やフィッシングサイトと区別がつかないので問題ではないでしょうか?単なるプロキシかどうか確認しようがない訳で
— Masanori Kusunoki (@masanork) August 24, 2014
@masanork 例のサイトについて安全だから使用しても問題ないとは思っておりませんので、サイトを特定出来る情報は書いていません。そういうサイトは他にも多々ありますし、個々の企業・組織が個別に注意喚起するものではないと考えます。
— 北河拓士🔰 (@kitagawa_takuji) August 24, 2014
@masanork 例のサイトのSSLを終端する機能ですが、有効期限切れの自己証明書を使用してるのでブラウザで警告が出ます。また、h_t_t_p_sをホスト名の先頭に付けることで警告なしにすることも出来るようですが、いづれも利用者が認識可能です。本気のフィッシングならそんな手口は
— 北河拓士🔰 (@kitagawa_takuji) August 24, 2014
@masanork 本気のフィッシングならそんなバレバレな手口は、丸ごとコンテンツをコピーした本物のフィッシングサイトを立ち上げると思います。
— 北河拓士🔰 (@kitagawa_takuji) August 24, 2014
その他に気になったことはこのあたり。
そういえば、暴露ウイルスで他人に流出させられた写真や映像を、東南アジア拠点で販売してた日本の糞共を、現地警察と連携して摘発したという京都府警の取り組みを先日聴いて感銘したなあ。やれば出来るじゃないかと。
— Hiromitsu Takagi (@HiromitsuTakagi) August 24, 2014
サイバー捜査で官民連携へ 警視庁が10月にも新機関 – 47NEWS(よんななニュース) http://t.co/6cPqrxZc82
— nilnil (@nilnil26) August 23, 2014
よく知られたフリーのブログサイトってどこだろう? > Website Add-on Targets Japanese Users, Leads To Exploit Kit | Security Intelligence Blog http://t.co/GxNZ9fs5mu
— Neutral8✗9eR (@0x009AD6_810) August 22, 2014
須崎さんのUSENIX Sec14の内容に関するツイートです。ありがとうございます。
プログラム解析午後一つ目。カーネル・ユーザ間のメモリセパレーションから起こる脆弱に対するreturn-to-direct-mapped memory (ret2dir)攻撃。これはVirtual address aliases(別名synonyms)による脆弱性。
— suzaki (@KuniSuzaki) August 22, 2014
ret2dirはきちんと論文を読まないと。
— suzaki (@KuniSuzaki) August 22, 2014
プログラム解析午後三つ目。プログラムのresource permissionの意図と管理者の理解不足から起こる設定ミスを解消するJIGSAW。プロセスファイアーウォール https://t.co/ozmwDwnP5p を導入する。
— suzaki (@KuniSuzaki) August 22, 2014
モバイル一つ目。Andoridの全てのAbstraction Layer(ユーザ、Android OS、Linux)にセキュリティモジュールAndroid Security Module (ASM)を導入して、それぞれでポリシー調整ができるようにする提案。
— suzaki (@KuniSuzaki) August 22, 2014
ASM の類似研究はConXSense[AsiaCCS14]。ConXSenseはFlaskDroid[USENIX Sec13]上に作られてDeviceLockを行うアクセス制御。
— suzaki (@KuniSuzaki) August 22, 2014
Android Security Module (ASM)のHP http://t.co/lHyjENWs5j
— suzaki (@KuniSuzaki) August 22, 2014
モバイル二つ目。FacebookなどのThird-Party Componentsは問題を起しやすい。無茶苦茶にイベントを発生させ、問題なく動くかどうかを確認する「モンキーテスト」を洗練したBrahmastra。各種の枝刈りをして高速化している。子供用アプリに問題ないかのテスト。
— suzaki (@KuniSuzaki) August 22, 2014
モバイル三つ目。Androidの入力画面を入れ替えて、パスワードなどを盗むUI State Hijacking。本来はGUIのコンテンツには機密性と完全性が保証しなければならないが、切り替えの脆弱性を活用する。https://t.co/suKZK7b8L0
— suzaki (@KuniSuzaki) August 23, 2014
モバイル四つ目。スマートフォンのジャイロスコープから音声を拾うGyrophone。200Hz以下のサンプル周波数でも、CMUのSpeech Recognition Engineを使って性別、話者識別、単語識別が可能。 http://t.co/rUQcdapkUi
— suzaki (@KuniSuzaki) August 23, 2014
防御方法。Low Path Filterを付けること、アプリのサンプルを0-20Hz以下にすること。
— suzaki (@KuniSuzaki) August 23, 2014