今週気になったIT関連のニュース

2021年5月24日～2021年5月30日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• クラウド環境の設定ミスにより、Androidアプリを使ったサービス利用者の情報が公開された
• オンラインのフラッシュカードサービスを起点とした、米国軍事情報のOSINT事例
• 最後に

クラウド環境の設定ミスにより、Androidアプリを使ったサービス利用者の情報が公開された

What

• クラウド環境利用に関する設定ミスにより、23のandroidアプリで利用者の個人情報にアクセスできる状態になっていた。
• 利用者だけでなく、開発者のも危険に晒されている場合もある。
  • 開発者のリソースやストレージも危険に晒される可能性がある。
• 今回見つかっている問題は、Realtime database、push notification、cloud strage keyの誤った使い方に起因している。
  • 漏洩する可能性がある情報は、電子メール、電話番号、チャットメッセージ、場所、パスワード、バックアップ、ブラウザ履歴、写真の情報
• 例えば、タクシーの配車アプリでは、
  • ドライバーと乗客の間で交換されたメッセージ
  • 氏名
  • 電話番号
  • 目的地とピックアップの場所
  • といった情報を取得することができた。
• 更に、push通知を送信するために必要な認証情報がアプリに埋め込まれている事例もあった。
  • この情報を悪用することで、攻撃者がアプリのpush通知を悪用することができる。
  • アプリの正規の通知に見せかけて、不正なサイトに誘導することができる。
  • アプリ利用者が全体にpush通知する機能がクライアントアプリに存在する例はあまり見ない気がする。スマホアプリの中に管理者用の機能が埋め込まれていたとか？もしくはメッセージ送信系のアプリ。
• クラウドストレージのアクセス制限が不適切な場合、攻撃者がクラウドストレージに保管された全てのデータにアクセスできる可能性がある。
• 重要な情報を端末内で扱う場合は、androidの提供するkeychainや暗号化の機能を使うこと。

関連記事

• 100M Android Users Hit By Rampant Cloud Leaks
• Misconfiguration of third party cloud services exposed data of over 100 million users
• 23 Android Apps Expose Over 100,000,000 Users' Personal Data

オンラインのフラッシュカードサービスを起点とした、米国軍事情報のOSINT事例

What

• 軍事情報に関する暗記フラッシュカードが誤って公開されていた事例。
  • 記事内では、フラッシュカードやGoogle Earth、その他インターネット上の公開されている武器の写真などを組み合わせて、フラッシュカードの情報が本物であるか検証している。
  • OSINTで米国の軍事情報を取得できるという事例。
  • 先日日本でも話題になったtrelloの誤った設定による情報公開と似ているのかも。
• ヨーロッパにある米軍基地の核兵器に関する情報がオンラインのフラッシュカードアプリで誤って公開されてしまっていた。
  • 米軍の兵士が、核兵器を扱う業務で暗記するしなければならない内容を暗記するために使った？
• フラッシュカードの情報を調べると、核兵器が保管されている可能性が高い保管庫のあるシェルターの正確な情報まで得ることができた。
  • カメラの位置、パトロール頻度、警備が脅かされている時に使う秘密の合言葉などなど、セキュリティに関する様々な情報を得ることができた。
  • 核兵器に関する単語をオンラインで検索することで、核兵器を保管しているヨーロッパの6つの軍事基地に勤務していると思われる米兵のフラッシュカードを見つけることができた。
  • これらのフラッシュカードは、記事公開前に全て削除されている。
• 記事内では、見つかったフラッシュカードの例を確認することができる。
• フラッシュカードに登録された保管庫の番号と、Google Earthで確認した基地のシェルター情報を突き合わせることで、フラッシュカードに登録された保管庫が本当に存在するかを確認した。
• フラッシュカードサービスに登録されているユーザ名に個人のフルネームが登録されていたために追跡が可能だった。また、LinkedInに登録しているプロフィール写真と同じ写真を使っていた。
• 米軍関係者がFacebookにアップしたと思われる写真とGoogle Earthを組み合わせて、倉庫の位置を割り出している。
  • 写真に写っている車を拡大して、国旗や旗の内容を解析したり、写真に写っている樹木や建物から、この写真がどの場所で撮影されたのかを特定している。

関連記事

• US Soldiers Expose Nuclear Weapons Secrets Via Flashcard Apps

最後に

クラウド環境の設定ミスに関する事件は最近よく耳にするので、自分も気をつけなければ。

AWS, Azure, GCPのそれぞれで、CIS Benchmarksに対応するような情報やツールを公開しているので、有効活用したい。

AWS

• AWS Security Hub

Azure

• Center for Internet Security (CIS) ベンチマーク
• CIS Microsoft Azure Foundations Benchmark 1.1.0 規制コンプライアンスの組み込みイニシアチブの詳細

GCP

• Security Command Center