タグ : 「セキュリティ」 アーカイブ

Skype をピンポイントで狙った malware の脅威が、久しぶりに高まっているようです。
しかも、その潜在的危険性は、今までにないほど厄介なモノのようですね。

clip IT!
from Skypeを盗聴するトロイの木馬、ソースコードがネットに公開 – ITmedia エンタープライズ
「Skypeを盗聴するトロイの木馬、ソースコードがネットに公開」

例によって、
「狙われはしたモノの Skype 自体の脆弱性を突かれた問題ではない」
という状況のようです。
しかし、そんなコト関係無しに、実に凶悪で危険なモノのようです。
つまり、「音声入出力を乗っ取れるので、 Skype の起動とかに関係なく、常に盗聴しまくられる」てコトです。

仕組み的に、先ず、音声を制御する API を汚染する、と。
次いで、 Skype 対して、音声入出力デバイスに偽装した盗聴プログラムを使用させる、と。
(多分、多くの環境で「標準デバイス」設定のままであることを利用しているのではないかな?)
で、盗聴プログラムで取得した音声をちゃんと Skype に供しつつも、実際には録音して圧縮して外部に勝手に送信している、ワケです。

更に、そのプログラムのソースコードも公開されているッてコトは、簡単に派生版や拡張版が作れると云うコトです。
実際のプログラムは書けないまでも、
「Skype 以外にも、他の VoIP を乗っ取れる版を作れそう、てか、既に適用できてるハズ」
「出力を横取りできるし、ビデオの再生やゲームプレイの音も盗聴しまくれる」
「マイクは常に音を拾うのだから、何も起動してない状態でも独り言や生活音を常に盗聴しまくれる」
「 web カメラでも同じ様な横取りは可能だし、ビデオで盗撮される可能性だってある」
くらいはすぐに思いつきます。

対策?
基本通り、「セキュリティソフトを導入し、常に最新版に更新し続ける」「怪しいモノに手は出さない」、ですね。
Skype は業務にも利用できますので、しっかり気をつけましょう。

私の参加しているいくつかの Skype Public Chat (オープンチャット) でも被害が見られるのでご案内。
当方 pub 等での報告では、他にも面倒に思っている方も出てきているようです。
【追記】対応策をまとめられたページを見つけましたので、リンクを追加しておきます。

• スカイプ メッセンジャーのURL評価 未テスト うぜー
• スカイプのチャットで「メッセンジャーのURL評価」とかいうのが出てうっとおしい
• 本当ですねｗスークもそれで困ってた。
• 確かにあれは、困りますよねえ。本人が気づいてなかったりするし

具体的には
XXXXの発言:
メッセンジャーのURL評価
:x [未テスト]_URL
の様な形式で、「とあるメンバーの発言」の形式として顕在化します。
パッと見、まるでなんらかの Malware に感染して Phishing site への誘導を行っているかにも思えます。

実はコレ、ウイルスバスター2009に新規に導入された一機能(メッセンジャー/WebメールのURL評価)が発する警告のようなのです。
更に信じ難いコトに、これだけ異様な文言がなぜかチャットに対する警告として行われ、そのような警告を発したことは実際の利用者には掲示されないようなのです。
この結果、当の「発言者」がそのような「発言をしたコトになっている」のに気付かず、そのままチャットログが流れていけば当人はいつまで経っても状況を認識できないまま放置される、と云う事態に。

実際にトレンドマイクロのサポートに問い合わせた方の言によると、「仕様」だとの回答だったらしく。
明らかに私用自体がバグってると云うか、腐ってると云うか…
悪いのはスカイプ側ではなくウイルスバスター側なのですが、そのうち両社からなんらかの通達が出るとは思います。が、それまでの間が混乱しッ放しと云うワケにもいきませんので、ネタにしておきます。

…以前やらかした時のトレンドマイクロのエライさんの「責任の取り方」もなんだか妙でしたが、ひょっとしたら、彼らは自社内ではウイルスバスターを使ってないのかも知れませんねぇ…

追記(2010/01/21 11:59)

clip IT!
from WADA-blog
「「ウイルスバスター」が深夜に勝手にSkype投稿（「ウイルスバスター2009のURL評価」機能）」

Skype Extras に勝手に突っ込んでいるのでしょうかね?
ともかく、このような危険極まりない機能はサクッと外しておきましょう。

以前から「中国版」の「テキストチャット」については仕込みがあるとされておりますが、今度は「音声通話」についての仕込み疑惑が持ち上がっているようです。

clip IT!
from Speculation over back door in Skype – News – heise Security UK
「Speculation over back door in Skype」
via ITmedia エンタープライズ
「オーストリア閣僚の発言で波紋：Skypeに盗聴用の「裏口」が存在？」

…正直、モノを知らん閣僚(?)の妄言だと思いたいワケですが、セキュリティ調査会社(?)からのツッコミに対しては Skype も黙りのようで、余計に拍車がかかっている状況のようですね。
それにしても、 Skype の通話の仕組み自体を考えれば、スーパーノード経由の通話でもない限りはそもそも盗聴の余地がないわけであり…
あー、 ISP に「リレー0」接続を許さないように強制し、国内の通話の全てを政府監視下のスーパーノードに接続するように義務付けるなどすれば、可能ではあるか(笑)

ともあれ、続報/詳報/釈明を待ちましょう。

半ば「ネタ」ではあるのですが、十分危険性があるよねということで。
他の Windows Mobile (WM)機であるとか、或いは iPhone 等がどうなのかは把握しておりませんが、少なくとも WM 6.1 である WILLCOM 03 にては、セキュリティのヒトツとしてとして「一定時間後自動的にパスワードロックをかける」機能があります。そして、この機能を常用しようとするとどうしても「簡易式の暗証番号」にしたくなります。

簡易パスワードである以上多くを求めてはいけないかもしれませんが、このときの暗証番号入力画面の「数字の配列が固定(例示1)」されているのです。
通常ならそれでも問題にはならないかもしれませんが、「タッチパネル」であるためにどうしても「指紋」がついてしまい、つまりは「暗証番号の組み合わせ」までは露呈してしまうわけです。

そこで、一部の銀行 ATM などでも提供されている「数字のランダム配置機能(例示2)」を要望します。
併せて、どうにも押し辛い「ロック解除」ボタンの代わりをする「OK」ボタンの新設も提案いたします。

具体的には、
特段の設定をしない場合(デフォルト設定時)は毎回ランダム配置となり、数字キーと同じ位置にある大きめな「OK」キーを押すことで「ロック解除」を実行する、
という感じです。

追記(2008/07/23 17:57)

残念ながら「タイミング良く」ではないようですが、修正パッチも上がっているようです。
シャープは伝統的に「最新機種以外については修正パッチを提供しない」という最低最悪な態度となっておりますので、本エントリにある「脆弱性」についてもなるべく早く是正されることを期待します。

clip IT!
from シャープ スマートフォン
「本体アプリケーションの修正パッチ」
via WILLCOM
「バージョンアップ情報」

• W+infoの動作の安定性を向上しました。
• ヘッドフォンで音楽を聴いている場合、時計のアラーム音がスピーカーから鳴っていましたが、ヘッドホンで鳴る様に仕様変更いたしました。

追記(2008/07/23 23:59)

釣り気味のタイトルにした所為で、はてなブックマークで突っ込まれてる orz
暗証番号用の数字をランダム配置にして欲しいというのは本気ですが、ソレを指して脆弱性だというのはネタなんで、ヨロシクです(笑)

日本では影響度が低いと見積もってますので特に取り上げてませんでしたが、本家で blog エントリが上がってますのでご紹介。

clip IT!
from Skype 日本語ブログ
「Skype脆弱性で動画共有機能を一時停止」
Dailymotion内の特別に作成されたタイトルの付いたビデオへアクセスしたWindows版のSkype 3.5と3.6ユーザが、このぜい弱性の対象となる可能性がありました

…んー、以前から主張してはいる訳ですが、この辺はやはり悪しき eBay effect ってコトなんでしょうかね?
Skype としての本来機能以外の機能を標準で組み込むことにより、潜在的リスクが増してしまうとか、他のツールの脆弱性の影響を被るとか、ツール間の連絡が穴になってしまうとか。
ココは改めて、「音声通話」「ビデオ通話」「会議通話」「一対一チャット」「グループチャット」「オープンチャット」という本来機能にのみ Skype を限定化/軽量化した「Tiny Skype」と、その他の付加機能を Extra かして追い出し、追い出した Extra 分も同梱した「Skype Deluxe」を用意する方向でお願いしたいですね。
もちろん、 Tiny からもいつでも Extra を読み込んで Deluxe 化できるようなおまとめパッケージを作っておけばより良し。

あと、追加の要望として、 IE コンポーネント部の言語設定を lang ファイルに明示した言語種宣言から読み取るようにしてもらえると助かります(笑)

業務用などでは広汎に普及し始めるも、一部では恨み節も聞こえてくる生体認証のヒトツ「指紋認証」ユニットですが、コレを通すのにはちょっとしたコツがあります。
私も以前はよく失敗していたのですが、その仕組みをよく考えた上で正しく読み取らせる方法が理解できれば、大抵は一発で通るようになります。
と云うコトで、その方法などを以下に。
(ちなみに、一番確実なのは、各機材についてる取説/マニュアルとかチュートリアルとかヘルプとかをよく読んでその通りに操作すること、だったりしますが(爆))

まず、基本。
面読み取り式とライン読み取り(スライド読み取り)式のいずれであっても、ある程度の湿気があった方が良いです。
まあ、さすがに、ずぶ濡れは論外ですが、これからの冬場に向けて、特に屋外で操作する場合、カサカサに乾いた状態よりは指に「はぁーっ」と息を吹きかけた程度に潤いがある方が成功率は上がります。

もう一つの肝。
当たり前ではありますが、指紋を読み取らせる範囲はできるだけ広くした方が良いです。
なので、「指紋」認証という名前ではありますが、指紋読み取り部を指先で押す感じではなく、むしろ指の第一関節の腹側から指先までをベタッと押し付ける感じで読み取らせます。
特にライン読み取り式の場合、読み取らせる始点としては第一関節直下より更に第二関節寄りの指の腹部から読み取り部に擦りつける感じでスライドさせると良いです。また、滑らせる速度もなるべく一定になるように注意したいですね。

以上二点に気をつけ、実際には次の手順でいきましょう。

1. 認証前に指先をうっすらと湿らせる(「はぁーっ」と呼気で潤いを与える)
2. 指先の力は抜き、第一関節に意識を向けて読み取り部に指の腹を押し当てる
3. ライン読み取り式の場合はそのまま第一関節から擦りつける感じで指先までを一定速度で滑らせる
4. 読み取り成功! 認証通過!

ちなみに、広く採用されているのは静電容量方式と電界強度測定方式であり、またその他の方式であっても指紋を画像そのものとして読み取っているのではなく特徴点抽出などを組み合わせていますので、指先だけでは検出範囲が狭くなるので精度が下がり、強く押し付けると指紋が潰れたり変形するのでこれまた精度が下がる、と云う事情があります。詳しくは、日経BPの ITpro にて特集記事が出ていますので、ご参考まで。
『指紋認証の実際：ITpro http://itpro.nikkeibp.co.jp/article/COLUMN/20070227/263426/ 』
…どうしてもウマくいかないなら、コピーしたグミ指を使うという手も(笑)

追記(2007/10/17 20:06)

本家の日本語ブログに公式訳が出ていますので、リンクしておきます。
Skype 日本語ブログ 「Skypeになりすますマルウェア」

Skype 本家からの警告が出ていますのでご紹介。
「Skype」もしくは「Skype 関連ツール」に偽装しているようです。

clip IT!
from Skype Security Blog
「Skype Defender malware alert」

…だけではよく分からないかもなので、簡単に訳してみます。

ファイル名「65404-SkypeDefenderSetup.exe」という実行ファイルを起動すると、実際には情報窃盗型トロイの木馬(トロヤンホース)である悪意のあるソフトウェア(マルウェア)を、あたかも Skype 純正のセキュリティツールであるかの様に見せかけてインストールさせる。
更に Skype に見せかけたウィンドウを開いて Skype Name と Password を入力させ、「情報が間違っています」という警告を出しつつ入力された Skype Name と Password を盗む。
更に更に、入力ミスの画面を返すことにより、再度 ID とパスワードの入力を求め、その課程で色々と入力試行されるであろう Skype のみに限らない諸々のユーザ名やパスワードの組み合わせをガンガンに盗みまくる。
という挙動の情報窃盗ツールによる実害が発生しています。

“F-Secure, TrendMicro, Symantec, WebSense, FaceTime Security Labs” 等のセキュリティツールで検知可能ですので、セキュリティツールについては最新版となるよう更新を行ってください。

てな感じで、コレまでにあったような不正なプラグインをインストールさせるモノとはちょっと違いますね。
「入れさせた不正プラグインから API 経由で Skype に接続して」、ではなく、「Skype に見せかけたインターフェイスから直接情報を盗み出す」と云うコトで、他のローカルインストールタイプな IM でも類型が出てきそうですね。
…えーと、私が知らなかっただけで、実はよくある手口だったりします??

つい先日の Skype 網全体障害も記憶に新しいところではありますが、このほど Skype 社がそのセキュリティ対策等についてのフォーラムを開催するとのこと。
開催日時や場所等については、下記リンクから詳細を確認してください。

clip IT!
from Skype 日本語ブログ
「9月4日Skypeセキュリティフォーラム開催」
9月3日月曜日、午後5時までにご応募ください
開催日時：2007年9月4 日（火） 午後3時～午後5時

…ちょっ!? いくら何でも急すぎるでしょ(笑)
いやまあ、多分もっと以前から必要なところには情報が出ていたのでしょうけども、それにしてももっと早めに告知しないと…
とはいえ、私は業務として Skype と関わっている訳ではありませんから、残念ながら参加できませんけどね。
(有給休暇取って冷やかしに行くってのも、さすがにアレだし(爆))

んー、せっかくのことですから、できれば字幕付きで講演内容をどこかのビデオ共有サイトに上げたりしてもらえませんかねぇ? いくつか提携してるところもある訳ですし。