今週気になったIT関連のニュース

2021年9月27日～2021年10月3日に読んだ中で気になったニュースとメモ書きです。
気になったニュースをまとめている目的はこちら

目次

• スマートフォンの位置情報はアプリ利用者の意図した目的で利用されているのか？
• QRコードを悪用した攻撃手法
• NSAとCISAがVPN保護についてのガイドを公開した
• 電源をOFFしていても動作するiPhoneのFind My機能
• 最後に

スマートフォンの位置情報はアプリ利用者の意図した目的で利用されているのか？

What

• スマホアプリの取得した位置情報が回り回って犯罪捜査や特定人物のトラッキングに利用されている可能性がある、という内容。
• 位置情報を集めている各企業は「プライバシーは厳正に守られており、利用者個人を特定することはできない」と宣言しているが、研究者側からすると「どれだけ信頼できるのか怪しい」とのこと。
• 「位置情報が不正に使われたのでは？」と疑われる事例。
  • イスラム教徒が祈りに利用するアプリから位置情報を収集し、軍の請負業者や他国の情報機関に販売されていたとする報告があった
    • More Muslim Apps Worked with X-Mode, Which Sold Data to Military Contractors
  • 位置情報を利用してゲイバーに通うカトリックの司祭を追い出した。
    • Top U.S. Catholic Church official resigns after cellphone data used to track him on Grindr and to gay bars
  • 移民法の執行に位置情報を利用した
    • Federal Agencies Use Cellphone Location Data for Immigration Enforcement
• アプリは正当な目的のためにスマートフォンの位置情報を収集しているが、その他にもデータ分析にも利用している場合がある。データ分析企業は複数の企業から分析用のデータを買い取り、分析結果を販売している。
• 最近は移動することでポイントがもらえるというスマホアプリ・サービスもあるが、そのようなサービスも注意したほうがいいのだろうか？
  • アプリのマネタイズの内容をみると、データを販売しなくても健全にマネタイズできているように感じるが、データを販売することで、更なる売上増加を狙う可能性も考えられる。

関連記事

• There’s a multibillion-dollar market for your phone’s location data
• More Muslim Apps Worked with X-Mode, Which Sold Data to Military Contractors
• Top U.S. Catholic Church official resigns after cellphone data used to track him on Grindr and to gay bars
• Federal Agencies Use Cellphone Location Data for Immigration Enforcement

QRコードを悪用した攻撃手法

What

• Covid-19の影響で、非接触で機能提供する手段としてQRコードが使われる機会が増えた。
• QRコードの利用シーンが増えたことにより、攻撃者がQRコードに注目し始めている。
• QRコードを利用して攻撃するツールの存在も確認されている。
• 記事内で挙げられているQRコードの悪用シナリオ
  • 企業のWebサイトを攻撃し、QRコードを悪意のあるものに入れ替える
    • QRコードを読み取って遷移した先のURLでフィッシング攻撃を仕掛けたりマルウェアをインストールさせたりする。
    • QRコードであれば、サイト閲覧者が改ざんされていることに気づくのは難しい。
  • QRコードでアクセスできる無料のインターネット接続ネットワークを提供する。
    • 通信内容を盗聴して接続者の情報を盗む

関連記事

• QR codes could be the next target for cybercriminals — here’s how to protect yourself

NSAとCISAがVPN保護についてのガイドを公開した

What

• National Security Agency（NSA）とCybersecurity and Infrastructure Security Agency（CISA）がVPNを適切に保護して利用するためのガイダンスを発表した。
• VPN機器のセキュリティについて聞かれたときに参考になりそう。
• Kubernetesの情報も公開していたので、こちらも同じく参考になりそう。
  • NSA & CISA Kubernetes Security Guidance – A Critical Review

関連記事

• NSA, CISA publish guide for securing VPN servers - The Record by Recorded Future
• NSA & CISA Kubernetes Security Guidance – A Critical Review

電源をOFFしていても動作するiPhoneのFind My機能

What

• iOS15からの機能で、FindMyがiPhoneの電源がOFFIの状態でも動作するようになったらしい。
• そのためにはBLEのチップが自律動作し、iPhoneの電源がOFFであったとしても動作する必要がある。
• この仕組はリバースエンジニアリング済みで、記事内に仕様が記載されている。
• 自分のプライバシーを守りたい人や、特定のスパイから身を守る必要がある人は正しい手順でiPhoneのFind機能をオフにする必要がありそう。

関連記事

• Always-on Processor magic: How Find My works while iPhone is powered off

最後に

生活様式の変更で利用が増えてきたQRコードも攻撃の道具に利用するとは、さすが攻撃者がとても頭がいい。

守る側も負けないようにしなければ。