期限切れのSSL証明書:ウェブセキュリティの時限爆弾
のんびりパンダです。
今日はウェブページの安定性にあたって必須であるSSL証明書についてです。
前よりは簡潔できれいに書きたいけど、どうかな。 ~( ̄▽ ̄;)~
1. SSL証明書とは
SSLはSecure Sockets Layerの略語で、
サーバーとブラウザーがお互いやりとりするデータを暗号化し、
そのデータが安全に届くようにしてくれるプロトコルのことです。
そしてそのプロトコルを用いるセキュリティ通信を可能にするのが
SSL証明書です。
証明書ごとにはそれぞれの更新期限が与えられているんですが、
2020年の9月から、証明書は最大1年までしか発給できないし、
さらに自動で更新される機能もないので、
必ず更新日に合わせて証明書を再発給・設置しなければなりません。
2. SSL証明書、期限切れになると?
それにもかかわらず、
世界中にはSSL証明書が期限切れになったまま
漏えいされているウェブページがまだ多くあるそうです!
その場合、脆弱なセキュリティ設定のためユーザーの信頼度が低下したり、
ブラウザーの入力情報が漏えいされ被害を受ける可能性もあります。
そうならないためにはまず、期限切れの可否をチェックしないとですね!
証明書ごとに違う更新期限をいちいち確認する代わりに
OSINT検索エンジンを使えば、簡単に探したい情報が取れるそうです!
今度も便利で使いやすいCriminal IPを使ってさっそく探していきます。
3. SSL証明書の期限が切れたページを探す方法
# 検索キーワード: "ssl_expired: true"
(タイトルをクリックすると、検索結果ページに移動します)
まず、世界中に期限内に更新されなかった証明書をもっているページがどのぐらいあるのか把握してみます。
キーワードをかけて検索してみると、1,500万個を超えるウェブページの証明書が既に更新期限が切れたまま置かれていることが分かります。
# 検索キーワード: "as_name: 会社名 ssl_expired: true"
(タイトルをクリックすると、検索結果ページに移動します)
「ssl_expired: true」フィルターの前に「as_name: 会社名」フィルターを加えてかけると、
その会社・サービス別に絞って検索をすることができます。
例として楽天のケースを検索してみたら、
総計805個の証明書期限切れのページが出てきました。
ページを管理する運営者にも、気になる利用者にも
これは役に立ちますよね。
# 検索キーワード: "html_meta_title: login ssl_expired: true"
(タイトルをクリックすると、検索結果ページに移動します)
最後には、ログイン機能でユーザーの情報を収集するウェブブラウザーの証明書が
期限切れになった場合を検索してみました。
その結果、約290件に至るログインページの証明書が期限切れの状態でした。
ログインページがハッキング攻撃のターゲットになると、
ユーザーの個人情報が奪われる恐れもあります。
それは運営側からも、利用者からも
避けたい最悪な状況でしょう。
4. おわりに
放置すると深刻なセキュリティ問題をもたらせるけど、
期限内にちゃんと更新するだけで
安定性や信頼度を同時にアップさせることができるSSL証明書。
これからはOSINT検索エンジンで簡単に潜在的脅威を検知し、
安全安心のウェブサイト使用環境を作っていくのはどうでしょうか。
年末年始ハッキング注意報:IPカメラをはじめとするIoT製品
こんにちは、1年ぶりに戻ってきました笑
新年の挨拶、だいぶ遅くなっちゃったんですけど、明けましておめでとうございます。
今年もみんな元気で幸せたっぷりな一年になりますようにー ♪(´▽`)
この頃は時期が時期なんで、あちこちで年賀状やプレゼントが届いてきます。
たくさんのプレゼント商品があるだろうが、
その中でもIPカメラが目立ち、人から好まれているそうです。
IPカメラは一人暮らしの部屋に防犯用で置く人もいれば、
また「家にいる赤ちゃんやペットの姿を見て声を聞けるので安心だな~」
っていう人もけっこういるらしい。
IPカメラはIoT(Internet of Things, モノのインターネット)技術を活用している装置の一種で、カメラでなくてもAIスピーカー、コードレスの掃除機などのように、IoTを活かして人生に利便性を与えてくれる製品の形はたくさんあります。
それらの製品は共通的にインターネットの網を使って作動します。
だったらもし、
それらネットを通じてハッキングが行われたら、どうなるんでしょうか。
1. ハッキングされたらどうなるの?
1) (家の中を)撮影した画像・動画をダークウェブなどに不法流布
2) 特定の脆弱性を通じて悪性コードを感染させてDDoS攻撃に使用する「ゾンビ―デバイス」化させる
2. 実例
公開情報であるOSINTの検索エンジンのCriminal IPに関連キーワード(IP Camera)をかけて検索してみると、実際にどんなデバイスがどんな脆弱性を持っているか把握することができます。
検索結果の1つを無作為で選択してみたら、なんのログイン認証もしなくても撮影中の画面をそのままみられる場合もありました。
実際に「Wireless IP Camera(P2P)WIFICAM」という製品に認証バイパスの脆弱性(CVE-2017-8225)があることが後で判明され、販売された数多い製品がボットネットに感染する事例もありました。
3. 被害の防ぎ方
セキュリティに脆弱なところがあるIoT製品は普段、信じられないくらい安い値段を全面に出して消費者らを誘惑します。特に、ちょうど今時期はおトクの値段で販売してもおかしくない名分があるので、時期的にも危険だと言えるでしょう。
そのようなハッキングの被害を予防するためには、
次のことを守らなければならないです。
1) 検証済の製品を使う
セキュリティ安定性が検証された製品を使うこと
2) ログイン設定の変更
デバイスにログイン認証を設定して、複雑なパスワードに、周期的に変更すること
3) アップデートはその場ですぐ!
ソフトウェアはいつも最新バージョンにアップデートすること
4) 振り返りは何度やっても足りない
OSINTを使って使用中のデバイスがインターネットに漏えいされているのではないか、または脆弱性をもっているのではないか確認すること
ランサムウェア(Ransomware)について
こんにちは、のんびりパンダです。
のんびりしてたら、あっという間に時間経って最後の更新から1週間も超えました。
今日はランサムウェアについて自分なりにつぶやきたいと思います。
最近ニュースを見てたら病院へのランサムウェアが話題になってるらしいですよね。
電子データとして保存中のカルテなどが見れなくなっちゃって
新規診療ができなくなるなど、あっちこっちでいろいろ被害が出ています。
例えば、大阪急性期・総合医療センターの場合は10月末に攻撃を受けたが、
1ヶ月ほど過ぎた12月12日になってようやく一部のデータが復旧されました。
ランサムウェアは種類も多くて、病院だけでなく、
大学、企業、政府機関などなど、いろんなところに攻撃を行い、被害を与えます。
政府サイトを攻撃したキルネットの場合がそうだったんですね。
ネットで探してみたら、ランサムウェアも「マルウェア」の一種なので、
そうしたら、「アンチウイルスソフトで検知して簡単に解決できるのでは?」
とも考えられるでしょう。
中に「ランサム(Ransom、身代金)」の概念が存在するということです。
つまりお金を払わないと、データはなくなっちゃう!ってことなんです。
さらにランサム、結構高い!
攻撃者らは「身代金を払えば、復号化とデータ復旧を支援する」と言うが、
払ったとしても100%復旧される保証もないのが事実です。
セキュリティ会社や専門家側の基本方針は、
「身代金を払うのは反社会的行為なので、絶対払ってはいけない」だそうですが、
攻撃を受けた側からみるとマジでジレンマですよねきっと…
Wedge Onlineによると、
さいば犯罪の96%がフィッシングメールを通じて行われているそうです。
一般的に対策としたら、不審なメールは開かない、程度になるんですが、
前の投稿でもそうだったように、不審だと考えられないくらい
今頃のフィッシングはますます巧妙化されているので、
以前より何倍、気を付ける必要があります。
一方で、「そんなのもう知ってるよ」という方もいらっしゃるかもしれない。
経験がないと、あまり危機感を感じるのは難しいのは当然です。
ネットで探してみたら、
ランサムウェアの代表例の1つであるLockBitに感染した実際の事例をもとに
臨場感のあるレポートを書いた投稿があったので、ここに共有しときますね。
興味ある方は読んでみるのもいいかも。
めちゃくちゃになったが、
今日のつぶやきはこれで終了。
検索は楽しいけど、文章にするのは難しいな。
フィッシングメール、どう対処してますか。
こんにちは、のんびりパンダといいます。🐼
昨日、私に1通のメールが届きました。
「駐車禁止のところに駐車をしたから罰金を払え」 という内容でした。
私…まだ車買ってないのに…笑
そして、その下にはご参照くださいといってファイルが添えてありました。
開くとハッキング脅威にさらされるという、フィッシングメールの典型的な手法です。
自分の場合は「車をもってない」という根拠をもって
「あれはフィッシングメールだな」とすぐ気づけました。
でも、もし私が車を持っていて、偶然にどこかに駐車しておいたところなら、
あれが不審だと感じる前に一応ファイルを開くことしかないかもしれません。
このようなメールインシデントに特に脆弱なのは、企業メールです。
何年前か、半沢直樹にも似たようなもん扱ったエピソードあったんですね。
どんな用件であっても、仕事のことか、と思ったら納得ができるからです。
なので、企業の方なら、不審なメールに対し十分注意しなければなりません。
それでインターネットを調べてみたところ、
メールに悪意の有無を判断し対処できる事例や方法を扱った投稿を見つけ、
皆さんと共有したいと思います。
まずメールをもらって不審だと感じられば、ヘッダーを分析すれば良いそうです。
Google, Yahooで「email header analyzer」などで検索すると、
別に関連知識がなくてもすぐ見つけられるはずです。
その中でmxtoolboxというサイトで検索したヘッダーの内容は、次のようでした。
そこで 「X-Originating-IP」 というところは、発信元のIPを指します。
そのIPはどこから来たのでしょうか。
OSINT検索エンジンの 「Criminal IP」 というサービスを使ってIPアドレスを検索。
その結果、該当IPは台湾からのVPNを使っているIPに確認されました。
何で台湾から韓国語で就活メールを…?
そしてもう1つ怪しいのは、
TCP/443ポートでOpenVPNが稼働されていたのです。
普段なら443ポートではHTTPSが稼働されてるはずで、
さらにOpenVPNは一般的にUDP/1194ポートを使います。
つまり、
IPをバイパスするために一般的ではないポートを通じ、VPNを使ったということ!
それに加えて当投稿は、VPN以外にもTor IPアドレス、HostingのIPアドレス、評判が悪いIPアドレスかも一緒に検知してみた方がいいと言っています。
Criminal IP(http://criminalip.io/ja) というのは、Twitterで知ったOSINTサービスだけど、
IPの不審さ検知以外にもセキュリティ的にできることがいろいろあるようです。
何か面白そう。
完全対処までは専門知識が必要になるだろうけど、
脅威の有無を検知し、対処すべきだ!という状態まで、
親切に私のような初心者を導いてくれるサービスだな、っていう印象です。
まぁ、不審なメールは開かない方が一番いいんだけど!