Discover Performance

 

 


今すぐ登録する

「HP Software Discover Performance」日本語版

脆弱性発見コンテスト「Mobile Pwn2Own」日本初開催!

ヒューレット・パッカードカンパニー(HP)の脆弱性リサーチ部門DVLabsによるイニシアチブであるZeroDay Initiativeは、11月13日と14日の2日間、賞金付き脆弱性発見コンテスト「Pwn2Own」の一環として、モバイルデバイス脆弱性発見に特化した「Mobile Pwn2Own」を初めて日本(東京)で開催しました。
http://youtu.be/ZEd3hJIgzKw 


ZeroDay Initiative
 

「Mobile Pwn2Own」は、モバイルデバイスにおけるセキュリティ上の課題を発見するコンテストで、数多くの研究と情報公開を通して、モバイルをハードニング(堅牢化)させることを目的としています。なお、今回のコンテストには、Google社とBlackBerry社が賞金提供で協賛しました。


対象デバイスを隔離された箱に入れ鍵を閉めてから、操作開始。

<コンテストの各カテゴリーと賞金>

  • 近距離通信/物理的アクセス     $ 50,000
  • モバイルウェブブラウザー        $ 40,000
  • モバイルアプリ、OS           $ 40,000
  • SMSなどメッセージングサービス  $ 70,000
  • 無線ベースバンド          $ 100,000

<対象となったデバイス>

  • Nokia Lumia 1020 - Windows Phone 使用
  • Microsoft Surface RT - Windows RT 使用
  • Samsung Galaxy S4 - Android 使用
  • Apple iPhone 5 - iOS 使用
  • Apple iPad Mini - iOS 使用
  • Google Nexus 4 - Android 使用
  • Google Nexus 7 - Android 使用
  • Google Nexus 10 - Android 使用
  • BlackBerry Z10 - BlackBerry 10 使用
 

なお、コンテストは、PacSec 2013 セキュリティカンファレンス(主催:ドラゴステック・ドットコム、本社: カナダ、エドモントン)と同時開催されました。3カ国から計2チーム(6名)と個人1名が出場し、合計で117,500ドルの賞金が授与されました。授与された賞金と受賞者は以下の通りです。


エントリー名 所属 獲得賞金(USドル)
KEEN Team Keen Cloud Tech 中国 $ 27,500
TEAM of MBSD  三井物産セキュアディレクション 日本 $ 40,000
Pinkie Pie (個人参加) アメリカ $ 50,000


<コンテスト受賞者と実証されたエクスプロイト>
KEEN Team

 

Keen Cloud Tech社のKEEN Teamは、iPhone 5上のSafariで以下2つのエクスプロイトを実証しました(*)
このことは、オンラインで共有する個人情報について注意すること、クリックは慎重に行うべきということを示唆しました。

  1. iOS version 7.0.3上のFacebookのクレデンシャルを不正入手(アプリケーションエクスプロイト)
    Safariを介してFacebookのcookieを不正入手し、持ち出し、別のマシンから対象のFacebookアカウントへの攻撃に使用しました。このエクスプロイトは、ユーザーがeメール、SMS、またはWebページ内のリンクをクリックすることで作動するため、クレデンシャルを不正に入手するには、ソーシャルエンジニアリングによってユーザーにアクションを促す必要があります。

  2. iOS version 6.1.4上の写真を不正入手(Safariエクスプロイト)
    Safariのパーミッションモデルに問題があり、その脆弱性を利用したエクスプロイトが可能であったため、デバイスに保存されていた写真にアクセスできました。ここでも、エクスプロイトを成功させるためには、ユーザーがリンクをクリックする必要があります。

なお、この脆弱性はAppleに報告済みで、対処が予定されています。

*:使用したデバイスは、ジェイルブレイクされていないもの。
Keen Team Discusses Safari exploits at Mobile Pwn2Own
http://youtu.be/ThKUSs7dIPY 




TEAM of MBSD

 

三井物産セキュアディレクション株式会社のTEAM of MBSDは、Samsung Galaxy S4にデフォルトでインストールされたいくつかのアプリケーションに対するエクスプロイトを実証しました。Samsung Galaxy S4にデフォルトでインストールされている複数のアプリケーションのバグを組み合わせることで、悪意のあるアプリケーションのインストールが可能になり、これにより連絡先、ブックマーク、閲覧履歴、スクリーンショット、SMSメッセージなどの機密データの不正入手を行いました。

エクスプロイトを成功させるためには、攻撃者がコントロールしている悪意のあるWebサイトにユーザーを誘導する必要がありますが、それ以降、ユーザーによる操作は不要で、攻撃者はユーザーのデバイス上におけるシステムレベル権限を使い、自由にアプリケーションをインストールすることが可能になります。

このことは、モバイルプラットフォームにも、デスクトップで頻発しているマルウェア配信方法と同一、または非常に類似の方法に対する脆弱性があるため、注意が必要であることを示唆しました。なお、この脆弱性はSamsungのディスクロージャー委員会に報告済みで、対処が予定されています。





Pinkie Pie

個人参加者であるPinkie Pie は、Nexus 4、Samsung Galaxy S4上のChromeに対するエクスプロイトを実証しました。このエクスプロイトは、Chromeに影響を及ぼす整数オーバーフローと、フルサンドボックスエスケープにつながる2つの脆弱性を利用しました。この脆弱性により、攻撃されたデバイスでのリモートコード実行の可能性が生じます。

デバイスへの攻撃を成功させるためには、悪意のあるWebサイトにユーザーを誘導し、悪意のあるコードにさらす必要があります。この場合の攻撃も、ユーザーにeメール、SMS、または別のWebページ内のリンクをクリックさせるといった何らかのアクションを起こさせ、脆弱性を悪用してデバイスへの攻撃を行います。そして最終的には攻撃者がリモートであらゆるコードを実行できるようになります。

なお、この脆弱性はGoogleに報告済みで、対処が予定されています。



■ZeroDay Initiativeについて



HP買収前のTippingPoint社が保有していたセキュリティリサーチ組織であるDVLabsが2005年8月15日に開始したイニシアチブ。外部のセキュリティ専門家からゼロデイ脆弱性の発見・報告を財政面で支援・促進することにより、ゼロデイアタックの被害を減らすことを目的とする。なお、ZDIのゴールは以下の通りです。


  • 外部の専門家の方法論、専門知識、時間を活用することでDVLabsの調査能力を拡張。
  • セキュリティ専門家を財政面で支援することにより、ゼロデイ脆弱性の影響を受けるベンダーに責任をもって報告するよう促す。
  • 影響を受けるベンダーがパッチを作成している間、TippingPointの侵入検知/防御システム(IDS/IPS )によって顧客を守る。

Zero Day Initiativeのデモは、
http://youtu.be/gutf50VyRVo 



第8回OWASP Chapter を日本ヒューレット・パッカードで開催

第8回「OWASP Night」が、2013年11月14日に日本ヒューレット・パッカード大島本社で開催されました。OWASPとは、Open Web Application Security Projectで、Webアプリケーションの安全性を確保するためのガイドラインを提供している団体です。


タイムテーブル

presenter
contents *1
  Start
Special Speaker: Richie Tan (HP) “PCI DSS – Road To Compliance” *2
はせがわようすけ(OWASP Japan Advisory) 「HTML5 and Security Part 2 : Open redirect and CSRF」
谷口 隼祐 「スマホアプリのSSLサーバ証明書の検証不備について」
徳丸浩(OWASP Japan Advisory) 「ログイン前セッションフィク セイションの脅威と対策」
Special Speaker: Brian Gorenc (HP) “Predicting Java Vulnerability” *2


(HP Speaker)


米Hewlett-Packard社、
Enterprise Security Services、Head of Security Consulting、
AsiaPacific & Japan, Richie Tan

PCI DSSはクレジットカードなどカード支払いに関するセキュリティ標準を定めたもので、ちょうど3.0版が11月13日に公開されたばかり。PCI DSSに準拠することの必要性を訴えた。ただ「PCI DSSは万能ではない。これに準拠したから安全というのは誤解だ。また1つの製品を入れたからPCI DSSに準拠できるわけではない」と語りました。



米Hewlett-Packard社
Vulnerability Research Manager
HP DV Labs, Brian Gorenc氏

米国国土安全保障省が2013年1月に「最新のセキュリティパッチを適用していても、JavaをWebブラウザーで使うべきではない」と警告を発したことを紹介し、実際に2012年後半からJavaの脆弱性を突いた攻撃が増えています。中でも悪用されている脆弱性は、危険なリフレクション機能を使ったものであり、多くの攻撃キットが流通していると語りました。こうした攻撃キットの多くは、2~3個の脆弱性を突く形で作られており、今後はJavaが持つサンドボックス機能を回避する攻撃が増えると見ています。セッションでは、実際にサンドボックスを回避してプログラムを外部から実行させたり、キーストロークを取得するデモを見せました。

HP Security Research Blog

http://h30499.www3.hp.com/t5/HP-Security-Research-Blog/bg-p/off-by-on-software-security-blog

Zero Day Initiative Twitter
https://twitter.com/thezdi