極楽せきゅあブログ

ときどきセキュリティ

トップ > セキュリティ

温泉地でDoS攻撃を食らってしまった話

その他 セキュリティ

家の用事で急遽ある場所に飛ぶことになり、せっかくなので近場の温泉地を探して宿を取った。他に有名温泉地もあるけどちょっと冒険したくなってしまったので(笑)マイナーなところ。遠隔仕事も抱えているので夜中も風呂に自由に入れるように奮発して風呂付きの部屋にした。
この部屋風呂が大外れだった。
出る湯がぬるいのは源泉の都合もあるから仕方無い。ぬるいときは(高温の湯を供給するパイプが檜の浴槽の下に這わせてあるので、そこにお湯を出す)バルブを回してねとあったので回してみるもお湯は来ない(()内は筆者の情報補完記述)。お湯が来ないのがわかったのはバルブの手前に蛇口が付けてあって供給状況を確認できるようになっていたからだけど、一瞬高温のお湯が来たけど(汲み桶一杯分程度)すぐに切れてしまう。深夜まで様子を見たけど改善されずあきらめてぬるい湯に入って寝た。
翌朝高温湯が出なかったことをフロントに伝えたが「ガスで温めているし止めてもいないので出るはずなんですけどね」という返答。朝食後確認すると高温湯が出てきたので早速入浴した。その後用足しに外出し、昼過ぎに戻ったらまだ出ている様子なので安心して遠隔会議に参加。終わってから確認すると今度は高温湯どころか部屋のどこの湯の蛇口を捻っても一滴も湯が出なくなってしまった。浴槽付近の蛇口、高温湯供給パイプ、別にあるシャワー室のシャワー、洗面台のお湯蛇口、すべて一滴も出ない。フロントにクレーム入れたら確認に来たが、依然として一滴も出ず。のちに電話で「タンクの掃除をしたため、まだ中身が3割程度しかありません。お湯がたまるまで少し時間がかかります」と言うので「いつ頃までかかる?」と聞いたら「夕方くらいまで」とのこと。その時点で15時くらい。バッファを見て19時過ぎに確認するもなお一滴も出ず(笑)。その後は仕事に忙殺され、0時過ぎに確認したが依然として出ない。大浴場は早じまいでもう入れないのでそのまま寝た。
翌朝も同じ。結局チェックアウトまで一滴も出なかった。重要なことなので二度書いておこう。お湯が、一滴も、出なかった(笑)。しかも、すべての、蛇口から。
ここまでの仕打ちに遭うことはそうそう無い。っていうか人生初ってくらい。正直なところげんなり、いや、美味しいって思った(笑)。10年このネタで飲めると思えば(笑)。
チェックアウトのときは前日までとは違うフロントマンなので、お湯が出ない状態であることが引き継がれているかどうか様子を見ていたけど引き継がれていないようだったので「昨日の昼から一滴も出てないんだけど、栓開けた方が良いよ」と言い捨てて去った。感覚としてはまさに、「栓を開けて」。そんな感じだった。それほど容赦なく一滴も出なかった。
これが顛末である。ではなぜ「DoS攻撃」なのかというと、お湯が出ない、お湯出ない、出ない出ない、と脳内でフレーズ繰り返すうちに、出ないアルお湯サービス(Denial of Service)というのを思いついたから(笑)。出ないアルの「アル」は良くあるマンガの中国系登場人物が喋る日本語的な表現だけど、ディナイアル・オブ・サービス=サービス不能or使用不能=出ないアルお湯サービス、ってかなりイカしてると自分では思っている(笑)。そしてその理不尽さから「攻撃」というのも良い感じ(笑)。なんだろうこの何でもネタにする感はw。

なお最後に、かなりのヘビーユーザーである宿泊予約サイトで、自身初めてクレーム文を書いた(笑)。滞在期間の半分以上お湯が一滴も出なかったのだから風呂付き部屋をとった意味ないよね、という趣旨だけど、そのサイトの口コミにはホテルスタッフのレスが一度も付いていないので伝わるかどうかは疑問。そこで、例によって自分の関わる仕事に、クレームを受けることもまーまーある立場として考えてしまうわけですが、やはりマメに書き込みとかには対応するというのが良い、というか必須とすら言えそう。過剰な、言いがかりみたいなクレームに囚われると病むばかりになるけど、そうじゃないものを見つけて、課題として把握して改善していく。クレームを受け付ける口を作っておく。このあたり大事だね。常識だろうけど。
さらに言えばインシデントハンドリング、インシデントレスポンスにおいて初動対応が重要だよな、と再認識した。何でもそこに持っていくな、と言われそうだけどまさにホテルの初動対応はいくつもミスってるもんね。最初のクレーム「ぬるい」への対応は源泉の湯温のことでもあるし良くあるクレームということかも知れないけど、お湯が出ないと言われ、フロントマンが部屋まで来て事象を確認してる。ここまではホテルマンなら当然すべきことでしょうね。実際すぐ来たことは良いと感じた。問題はその後。
お湯系の管理現場に確認はもちろんしたんだろうけど「掃除をしちゃったからいったんからっぽにしてしまい未だ中身は3割。お湯がたまるまでしばらく時間かかる」「たぶん夕方くらいまで」この情報の確認と提示には課題が見える。
まずなぜ掃除をこのタイミングで行ったのか。掃除した結果こうなることを把握できていなかったのか。把握できていなかったから掃除したのだとするとヤバいけど、把握してたとしてもヤバい(笑)。平日だし、変わり者?の客が部屋の良い風呂目当てに泊まりに来たのが珍しい、というのはあるかもしれない。じゃあいつ掃除すれば良いのか、という現場の感覚もあるかもしれない。しかし結果としてお湯が全く出ないというのは、金返せと言われても仕方の無いレベルだからなぁ。
あと引き継ぎ。これは危機認識が希薄だったってことだろう。クレームを受けて現状確認し、夕方までかかると伝え、伝えたのち何も言ってこないから大丈夫だったんだろうなーという思考だったのだろう。大丈夫だったんだろうなーである意味思考停止して客への確認を怠った。客が何らかの事情でクレームを言う暇が無い、あるいは言わないでいつか来るであろう夕方(笑)を待ってる、とは思わなかった。そこがポイントかもしれない。電話一本入れるかどうかで印象は変わっただろうし、その後のホテルとしての対応は大きく変わったはず。結果的にトラブルが解消できなかったとしても、手当はできただろう。
一方美味しいこれ、と思っていた(笑)あっし自身は、どういう対応をとるか待っていたという、美味しさを深めに行っていたフシもあるが(笑)。
それにしても教訓が多い事例だった。まさに美味しい思いをしました。湯は一滴も出なかったけどね。

トランプ大統領は罷免されるのか(タイトルと内容はあんまり関係無いw)

セキュリティ

まぁされてもされなくても良いけど(笑)。
それにしてもトランプという人は変なプライドを持たず、自国の利益をアメリカンなビジネス感覚でずんずん追求する人だったなぁ(過去形(笑))。最後は負けを認めないとか、プライドがあるんだか無いんだかわからなかったけど、国としての動きはブレなかったというか。自国の利というものをシビアに見る感覚、ビジネスマンとしては割と普通の感覚だと思うんだけど最後までそのスタンスは崩さなかったよね。
アメリカという国は民主主義の総本山というか元祖というか、そのプライドがあるから、自国の利だけでなく世界の警察としての目線を持ちながら振る舞ってきたんだよな。逆に言えばそんなプライドという脆弱なものに依存してたってことか。冷や冷やだなぁ。
バイデンに代わってそれがどこまで「元に戻る」のか。プライドの原理主義者が居る党だから戻る力はけっこうあるんだろうけど、4年前は隠れていたけど今や多数がはっきりと表明しているトランプ支持者の数を無視できないんじゃないか。そう考えるのはトランプ支持者に考えが寄りすぎてるかな。議会でも辛うじて多数派となったので当初は「揺り戻し」を多くするんだろうな。しかし、選んでやるんじゃないか。そう思える。
・・・という前提で、戦略「物資」としての情報をどう考えるか。
トランプ政権誕生前夜に火種になりそうだったワッセナーアレンジメント。高間さんがコラム書いてるけど、

www.jnsa.org


結局トランプはこの手札を使わなかった。自国の利に聡いトランプなのに見逃したのか、それ以外のプレッシャー要素と秤に掛けて捨てたのか。とっておいたのか。それはわからないけど手札であることは変わっていない。アメリカはサイバーセキュリティの関連情報を生み出し続けていて、世界の少なくない国はそれに依存している。
そして世界のサイバーセキュリティ事情は、以前より国対国という色合いが濃くなっている。核のときもそうだったように、情報を今更(笑)統制しようと考えるかもしれない。ロシアや北朝鮮、そして中国をこの分野で脅威と考え、脅威の度合いが強くなっていると考えるなら、そういう方針になる可能性もある。そうなると、というか継続して課題であり必要なのは、ソフトウエア、システム、サービスの脆弱性を見つける能力、エクスプロイティング能力だろうなぁ。なかなか研究できていない部分。シンボリック実行以降どうなっているか。セキュリスト(脆弱性診断士)が立ち上がったけれども、それは相変わらず人間頼み、ということでもある。頼める人間を内製化できるほど増やすことは大事だけど、その手間を減らす研究も大事だよなぁ。CTFはそういう形になっていっているのだろうか。自動化は咀嚼されたものの、例えばSECCONを3連覇したCykorの「化け物」のようなノウハウがカジュアルになっているか、ツールに実装されているかというとそうでもない。「まだ」知的ゲームの域を出ていない。だからこそ熱中するのだろうけれども。
さてどうしていくか。

いろいろな告知

キャンプ セキュリティ SECCON SecHack365

今年度もセキュリティ・キャンプ全国大会でプロデューサーとしてバラエティトラックの企画をやってます。あと共通科目の「セキュリティ基礎」と選択科目の「CTF問題作成講座」を担当します。正式な募集開始はもうすぐなのでStay tunedでおなしゃす。 #seccamp #spcamp

NICTのSecHack365の方はもう募集を開始しています。課題フォームの申し込み締め切りが16日(火)17時JST。課題フォームの提出締め切りが19日(金)17時JST。ばしばし応募してくだされ。 #SecHack365

sechack365.nict.go.jpSECCONも2019年度の年間スケジュールを公開しました。 #SECCON

2018.seccon.jp

ぶっちゃけこんだけ重なってると裏の動きは大変なのだーあはははははヽ(´ー`)ノ

CanSecWest

セキュリティ

普通に使われているソフトウエア、システム、OSの脆弱性をガチで探すので有名なPWN2OWNをやってるCanSecWestに初参加。昨年PacSecにも(実は)初参加しましたが、ご本家のCanSecWestは規模もずっと大きく、三日間ものすごく充実したコンテンツを展開していました。今年も華々しい成果を上げたPWN2OWNについては他の記事に譲りますが、講演も、何て言うか攻撃対象が広がったというか、幅広い感じのバリエーションがあって勉強になることも多かったですね。
例によってタイトルを列挙してみましょう。

Day1:

  • InfoSec Frameworks for Misinformation - Sala-Jayne Terp. Bodacea Light Insudtries
  • Attacking .NET through CLR - Zing Shikang
  • vs com.apple.security.sandbox - Patroklos Argyroudis, CENESUS S.A.
  • PAC-Man and Ghosts: A practice and breakthrough of Pointer Authentication on iOS - Xiaolong Bai, Min [Spark] Zheng, and Hunter Qu, Alibaba Inc.
  • Karta - a source code assisted binary matching plugin for IDA - Eyal Itkin, Checkpoint Research
  • Tales from the Bug Mine: Highlights from the 2018 Android Security Bulletin - Lilian young, Google

Day2:

  • Hacking Microcontroller Firmware Through USB - Boris Larin, Kaspersky
  • ZigWasp: Discovery of Secret ZigBee Firmware to Accelerate Analysis - KunZhe Chai and Jie Fu, 360UnicornTeam
  • Pandora, Cassandra and Aristotle: An ancient Greek Perspective on Hardware Trojans - Joeseph FitzPatrick
  • Adversarial Examples: Using AI Cheat Ai - Menayun Tang, Tencent Labs
  • Weponized WPA2 Wifi - Jiaheng Wang and Jun Xie, Alibaba Inc.
  • Attack Infrastruatuce for the Modern Red-Team - Topher Timzen and Michael Leibowitz
  • IR-dventures fron the vendors basements, Circa early 2000s - Luiz Eduardo, Aruba Threat Labs

Day3:

  • Dangers of Using Fully Homomorphic Encryption, a loog at Microsoft SEAL - Zhiniang Peng and Minrui Yan, Qihoo 360
  • Memsad: Why Cleaning Secrets is Hard - Ilja Van Sprundel, IOActive
  • The Dwelling Place of Zero Days (Windows 10 RS4) - Boris Larin and Anton Ivanov, kaspersky
  • Device Driver Debauchery and MSR Madness - Ryan Warns, FireEye FLARE Offensive Task Forcem and Tim Harrison, Independent Security Researcher
  • Dive into Windows Hello: Is it really more secure than a password? - Hyoung-Kee Choi and Ejin kim, HIT Lab, Sungkyunkwan university
  • From SSRF to RCE (and Windows Credentials) - Yonglao Wang and Yang Zhang, Qihoo 360

https://cansecwest.com/agenda.htmlご本家もアジェンダが最新状態になっていたのでリンク。開催当日は最新状態じゃなかったんですよねw。

cansecwest.com全体としてあっしの興味を惹くテーマが多かったし、総花的総括よりは掘り下げる系が好きなんですがそういう講演が多くて楽しめたんですが、一つだけ不満なのはAI系列の話ですかねー。これはCanSecに限ったことでは無いんですが、学術系ではないところのAI系の発表って学術系での議論の周回遅れ的なものが多く、その点は学術系の方がおもしろいものが多い感じ。逆説的ですが、もしかしたらそれは学術の研究成果が実装として活かされてないということかなと思ったりしてます。わたしたちの研究グループでも実は数理モデルに基づいてWAFを作ったりしていますが、ご要望はあるもののまだきちんと公開・宣伝できていませんしね。そもそもコードが使える形になっていない研究とかも多いし。研究者とコード、github的なものとかとの断絶なんですかねーなんかそこが勿体ない気がします。
それはそれとして、CanSecWestそのものはすごく楽しかったし勉強になるところも多かったので(すごく大規模なのに運営や進行がめっちゃ手作りなところとかw)、クロージングで「また秋にPacSecやるから、AVTokyoもCODEBLUEもあるしみんなトーキョー行こうぜ!」と宣伝してくれてとてもありがたかったです。来年もまた行きたいなぁ。

OffensiveCon

セキュリティ ファジング

ベルリンで開催されたOffensive Security Conference(https://www.offensivecon.org/)に参加してきました。このカンファレンスは2018年から始まり、スポンサーも派手に募らず小規模にテッキーなことを追求するカンファレンスです(参加者450人程度とのことで、確かにそれほど大きく無いメイン会場とサテライトしかありません)。その名の通り攻撃をテーマとし、さまざまな手法やアイディアを披露し合う場になっています。

https://www.offensivecon.org/speakers/

講演タイトルを並べてみましたが、これを眺めるだけでもその「攻撃性」が垣間見えるのではないでしょうか。

  • OSX XPC Revisited - 3rd Party Application Flaws
  • Glitch in the Matrix: Exploiting Bitcoin Hardware Wallets
  • Reverse Engineering of Error-Correcting Codes
  • Attacking Edge through the JavaScript Just-In-Time compiler
  • Bypass Windows Exploit Guard ASR
  • Growing Hypervisor 0day with Hyperseed
  • Coverage-guided USB fuzzing with syzkaller
  • 3D Accelerated Exploitation
  • Attacking Hardware Root of Trust from UEFI Firmware
  • macOS: How to gain root with CVE-2018-4193 in < 10s
  • Updated analysis of PatchGuard on Windows RS4: Is the mouse finally caught?
  • Attack surface of a connected vehicle
  • Bugs so nice they patched them twice! A (continuing?) story about failed patches
  • iOS dual booting demystified
  • IPC you outside the sandbox: One bug to rule the Chrome broker
  • Modern Source Fuzzing
  • FuzzIL: Guided Fuzzing for JavaScript Engines
  • Reversing without Reversing

このラインナップは楽しいとしか言い様がありません(笑)。香港VXのアンソニーは「ブラックハットよりおもしろい」って言ってましたが、その意見には完全に同意です(もっとも、わたし自身はブラックハットは通してちゃんと見たこと無いんですが(笑))。どこかテッキーすぎないようにコマーシャルに寄ってる印象がある近年のBlackHatより、突き抜けていておもしろい。さらに言うとDEF CONよりクオリティが揃っていて高い。各講演の前提知識もかなりハードコアで、知らないと楽しめないという側面はあるものの、だからこそ楽しいわけです。さすがにトレーニングまでは受講し得なかったんですがそちらも含めて魅力的なプログラムです。
以前ファジングの本を監訳したこともあり注目していたのですが、ファジングの活用が拡がっているのが興味深いところでした。ファジングの効率化、というアンビバレントなテーマの研究が最近目立っていますが(実はSecHack365でも二年続けてAmelican Fuzzy Lopの改良テーマが出ています(成果ポスターはこちらで見ることができます>https://sechack365.nict.go.jp/))、このカンファレンスでは研究的なアプローチというよりも実装面での応用、活用のアイディアが提示されていました。研究の成果によってドラスティックに効率化が図れたらそれはそれでとても良いことなんですが、コンピューターの性能向上っぷりにベットしつつ、ミニマムな活用で効果を上げるというのも併せ、両面の改良アプローチが必要だと感じさせられました。この分野は引き続き注目していきたいと思っています。

二つの取材の違い

セキュリティ


NHKの衝撃的な「無差別侵入」「プライバシーの侵害」というスーパーネガティブパワーワードな報道からの高橋睦美さんの記事。なんでこんなに差がついてしまうのかなぁ。

政府のIoT機器調査、無差別の「力業」に踏み切った背景は (1/4) - ITmedia NEWS


前例が無いことを国が大胆にやろうとすると、それこそあらゆる批判が巻き起こるのは仕方がないと思うんだけどねー。東洋経済の良い政策を褒めるって記事が好きだったんだけど、短期ですぐ終わっちゃった感。他媒体とかに同じようなの出て来るかというと全然無いし。

地味だけどいい政策を探しにいこう | 東洋経済オンライン | 経済ニュースの新基準


いや、褒めろって強制するとかじゃなくてですね(笑)、なぜそういう差になったのかってことですね。
やっぱあれだな、危機意識が共有できていなかったことが大きいのかなー。つまり、高橋さんの記事にある「なぜそんな力業に踏み切ることになったのか」って部分ですね。IDはよくあるものだけどパスワードがかかっている、という状態で出荷されるIoTなブツは、そのパスワードは一台一台別なものが設定されるのではなく、何百台何千台も同じパスワードが設定される、ということ。さらにそのパスワードは、紙に印刷されたマニュアル、メーカーのWebサイトに行けばPDF形式でダウンロードできる電子データのマニュアルにそのまんまの文字列が記載されていたりする。なので、あまりに公知すぎて不正アクセス禁止法が定義する「識別符号」ですらない(笑)「パスワード」なんだけど、そういう状態のものをあぶり出して「ヤバいですよーあっという間にやられちゃいますよー」というのをプロバイダー(ISP)さんたちにご報告。プロバイダーさんたちはその機器の持ち主に連絡して、パスワード変更等を働きかける、というのがこのNOTICEって事業なんだよね。んで、IDとパスワードを入力し、ログインできてしまうかどうかしか試さない。マニュアルに記載されているIDとパスワードをそのままにしているかどうか、この調査はそこにしか関心が無いし、ログインできたからといって中身を見るコマンドとかは一切叩かず、そのまま静かにログアウトするだけ。前段でポートスキャンはするけど、ザッツオールってヤツですね。
それで警告できてしまうような状態のIoTが世の中とても多いってことなんですよね。これが背景の危機意識。
この辺の理解がねー、NHKさんには足りなかったってことなんでしょうかねえ。
高橋さんの記事ではここまでを咀嚼していただいた上で、「今後NICTが公開する調査結果等の情報を注視し、その結果の対策にも注目しよう」とか「この名前を利用したさまざまな詐欺が出て来る可能性もあるので、それへの対策もお願いしたい」と書いてくれています。いやー建設的ですね。煽るだけ煽ってその姿勢を未だにあんまり変えていないNHKさんとは大きく違うよねー(笑)。「深掘り」って土曜日にやってた番組のために何度も取材に応じていろいろ助言して概念をディスプレイする模型とかの案までチェックしたのに当日出演無しとなった挙げ句クレジットすら皆無だったことなんて別に根に持って無いけど(爆笑)、もうちょっと頑張って欲しいなぁ>NHKさん

NOTICE|サイバー攻撃に悪用されるおそれのあるIoT機器の調査、注意喚起を行うプロジェクト

インターネット安全教室の思い出

セキュリティ

JNSAのインターネット安全教室がもう最後だと聞いて思い出を語りたくなった(笑)。ま、じじいなんで許して。
初期からシナリオやプレゼンテーション資料作りに関わったり、ドラマ仕立て啓発ビデオの撮影にお邪魔してちょこっと出演したり(笑)、このイベントが無ければ行かないようなところに出張って行って旨い酒食事にありついたり、お客さんが少ないところやオープンなところ、いろんなところで開催したり。そのすべてが今の自分に凄く生きてると思いますね。
カメラを向けられても平気になったし、喋りの尺合わせみたいなのもすごくコントロールできるようになった。旅を楽しめるようにもなった。日本各地で啓発などに頑張る人たちにリーチできて、のちのセキュリティミニキャンプやらセキュリティキャンプキャラバンでもそのコネを活用させていただけたし。SECCONとかSecHack365にもいろいろ生きてる。
ぶっちゃけ商売を考えるなら関わってはいけない方のプロジェクトだと思うんだけど(笑)、それは表層的過ぎる見方で、学んだことは本当に多い。各地の現実とか、普通の方々のセキュリティへの関心とか、理解とか、そういう肌感覚も見に着けることができたと思う。
関わったみなさん、お疲れ様でした。(BGM:卒業写真(笑))

※一応追記しておくけど、JNSAが事務局をやめるだけで、インターネット安全教室事業そのものは続くそうです。