あうとぷっと

Security, Research, CTF, SOC, Incident, Malware, Analysis, OSINT

Today's security summary(2017/6/2)

この記事は、なにをまとめているの?

2017/6/2に目に留まった記事(主に海外)と、1日1個何かに注目して情報を深堀分析してみます。
主に、注目すべきと感じたものを対象にピックアップしますが、日本語訳や理解がおかしい点があるかもしれないため、詳細はリンク先まで目を通すことをおススメします。

日本語で流れてこない情報を中心に、概要を書いて興味を持ってもらえるようにまとめたいと思います。


目次


1日のまとめ / Summary

[Google/NCC Group] SHA-3に関する議論

概要 : GoogleのエンジニアであるAdam Langleyさんが、5/31にSHA-3に関する疑問を投げかけたことがきっかけ。
 SHA-2で十分なのに、SHA-3が必要あるのか?
 将来的にSHA-2に置き換わる何かがあったとしても、SHA-3ではないんじゃないか、と。

 この意見に対して、NCC GroupのDavid WongさんがTwitterでSHA-3を使うべきだと意義を唱え、
 反論記事を出しました。
 SHA-3は速度が遅い点はあるけど、遅いから使わないと妥協しているように見える、とのこと。

 暗号に詳しくない人がこの記事を見て、「SHA-2でも良いのか。」と思うよりは、「SHA-3を使おう。」と思って貰うべきだ、と反論しています。

 さらに詳しくSHA-3の議論を知りたい方は、以下の情報源から辿ってみてください。  今後もSHA-3の動向には注意してみたいと思います。

一次情報源

ImperialViolet - Maybe Skip SHA-3

一次情報に対する記事

www.cryptologie.net


[ISC] 最近のフィッシングキャンペーンについて

概要 : 最近は、Apple IDやPayPal、DHL等の様々なサービスに偽装してフィッシング詐欺を狙う事象が増えていますが、
 Bitcoinの支払いを偽装するフィッシングページが確認されたということです。

 ここで挙がっている事例では、ウクライナのWebサイトが改ざんされPHPのWebShell(oRb)が配置されていたようです。

 フィッシングサイトとして悪用されてしまう原因は、利用するCMSの脆弱性やアプリケーションの脆弱性が悪用されている事例が見受けられます。
 悪用されWebサイトの改ざん被害に遭ってしまうと、フィッシングサイトとして稼働してしまい被害者を増やしてしまうことにもなりかません。

 対策として、利用するCMSやアプリケーションの脆弱性情報には意識して利用することを推奨します。

情報源

Phishing Campaigns Follow Trends - SANS Internet Storm Center


[Google] Trust ZoneやVerified Bootに関する脆弱性を報告したエンジニアに最大20万ドルの報酬

概要 : Googleによると、Android Security Rewardsの一環で行っている報酬を発表したとのこと。
 過去2年間で450件以上の脆弱性が報告されている。
 総支払額は、110万ドル(1ドル110円で約1200万円)で、1人当たりの報酬額は52.3%増加した。

 さらに脆弱性の発見に興味を持ってもらうため、
 Trust ZoneとVerified Bootに関する脆弱性は5万ドルから20万ドルへ、
 リモートカーネルエクスプロイトの脆弱性は3万ドルから15万ドルへ価格が引き上げられた。

 これらの発見された脆弱性は、Xperiaをはじめ、100を超えるデバイスモデルがセキュリティアップデートされていて、活かされているとのこと。

情報源

Google Offers $200,000 for TrustZone, Verified Boot Exploits | SecurityWeek.Com

一次情報源

android-developers.googleblog.com

参考情報

Trust Zoneについて
qiita.com

Verified Bootについて
www.atmarkit.co.jp