設立|中国サイバーセキュリティ協会

2016年3月25日日付で「中国サイバーセキュリティ協会」が設立されました。

f:id:alienware:20160329232216j:plain

・中国网络空间安全协会(Cyber Security Association of China,CSAC)

f:id:alienware:20160329230954j:plain

 

私が設立準備中だ、と書いてから実に1年以上経ってようやく正式にできました。

------------- 2014/12 -----
そして対内的には「网络空间安全协会」(サイバー空間セキュリティ協会)を設置し、(形式的に)国内有識者専門家の意見を吸い上げ、政策に反映しております。この有識者というのが大変広い範囲で専門家を網羅しております。

thalys.hatenablog.com

 

※2016/04/16: 事情により内容を削除

遠隔操作|台湾ワクチン貯蔵庫

中国の脆弱性公開サイト/ポータルにWOOYUN(烏雲)という、ホワイトハッカー・コミュニティが運営している有名なサイトがありますが、その他にベンダが運営しているものもあり、例えばセキュリティ会社360のBUTIAN(補天)があります。

 

そこで昨日、台湾衛生署(省庁再編後の衛生福利部だとおもわれます)所管である、ワクチン貯蔵庫管理システムのUIが外部からアクセス・操作可能という脆弱性が届け出られました。

f:id:alienware:20160325144335p:plain


詳細情報はまだ360社しか持ってない模様ですが、もし本当だとしたら当事者である管理部局は速やかかつ確実に情報を入手し、システムを修正されたほうがいいでしょう。

 

特にここ数日では、
・中国で大がかりなワクチン違法販売が発覚し、ワクチンの保管規定などを全く無視した状態で流通使用され大きな社会不安に

 

に加え、
・台湾でまもなく政権交代になるが、野党国会議員がセキュリティ担当機関行政法人設立正当性を問責

とこの問題は社会・政治にも衝撃を与えてしまうでしょう。

 

たかが脆弱性、されど脆弱性。システム設計に利便性を求めるのは結構なことですが、侵入探索者ありきの前提、でしっかりつくりましょう。

 

※追記

「脆弱性公開サイト」と書くと悪いイメージを持たれそうですが、「善意のもと」の脆弱性届出告知だと私は考えます。日本のように不正アクセス禁止法などの法律が完備され、ベンダー方々が脆弱性に対しての意識も高い環境と違い、中国ではまだまだ 情報化>セキュリティ のところが多く、既に流通しているベンダーの脆弱な製品・システムを直すにはこのような、ハッカーコミュニテイなどの「圧力団体」による、公開プレッシャーを与える必要があるのではないかと思います。

もしこれら圧力団体から「貴社のシステム/製品の脆弱性見つけたよ」と連絡を受けましたら、彼らの活動を理解し、これを機に脆弱性を修正し・より良いシステム/製品に仕上げるといいのではないでしょうか。

 

ハッカー VS 詐欺集団

ニセ基地局はこれまで主に、粋なスパムSMSメッセージ送信用に使われてましたが、最近フィッシングURLも多く送信されるようになりました。

今回の事例では、フィッシングサイトで個人銀行口座を窃取し、更に被害者にapk をダウンロードさせることで、SMSメッセージをインターセプト(窃取)するマルウェアを仕込ませるということがわかりました。

 あるフリーランスのハッカーが、あまりにしつこい SMS スパムにイライラし、フィッシングサイトをハッキングし、更に落ちてきた apk を解析することによって、全貌を明らかにしてます。

 

f:id:alienware:20151026150149p:plain

 

※ニセ基地局とは:詐欺集団が車のトランク等に強力な携帯電話電波発射器をセットアップし、人流が多いところに設置し、電波カバー範囲内のユーザに強制送信をすることで、無差別SMSスパムを送信する仕組み。

thalys.hatenablog.com

 

※サイト SSSフォーラム より転載引用  ----------------- ここから

 

0x01フィッシングSMS受信

 あるハッカーが街の中を歩いていたら、あるsms メッセージを受信:

f:id:alienware:20151026152246j:plain

【内容】あなたのモバイルポイントは182.5元に現金化することができます!直ちに サイト www.10086xx.com にアクセスして手続きを行ってください!

【発信番号】10086 (チャイナモバイルの総合サポート番号。ソフトバンクにおける 157 と同義)

 

発信者番号は 純正な 10086 なので、チャイナ・モバイルの真正性は問題ないはずですが、www.10086xx.com は明らかに怪しい URL 。この矛盾でニセ基地局が発信したものだと確信。

 

0x02 フィッシング・サイト探索

ハッカーは改めてPC 上にて、サイトwww.10086xx.com にアクセス。

f:id:alienware:20151026153818p:plain

携帯電話番号を入力し、現金化可能なポイントを表示するページが現れる。

ここで任意(デタラメ)な11桁番号を入力するも、 「182.5 元現金化」可能と表示された。そしてその他業務のリンクは全部本物の 10086.com サイトへと飛ぶように設定されていた。明らかにフィッシングサイトの特徴である。

 

0x03 フィッシングサイト侵入

まず入力フィールドに、手当たり次第文字列を入力し、送信ボタンを押す。すると、名前フィールドがなにやら制限に引っかかってエラーメッセージが表示された。

f:id:alienware:20151026155112p:plain

 

JS 要素で day.js における該当事項を確認。

f:id:alienware:20151026155454p:plain

 「名前は4桁以上、30桁以内」という制限のみで、使用文字に関する制限は特になかった。

ここでクッキー窃取を行える XSS (セッション・ハイジャック)コードをわざと入力し、送信してみる。あとはフィッシングサイトの管理者がクリックしてくるのを待つ。

 

f:id:alienware:20151026161239p:plain

 クッキーを受信、盗むことに成功。

URLにディレクトリ名 /admin/ を追加したところコントロール・パネルが表示され、そのままセッション・ハイジャックを行う。

f:id:alienware:20151026161307j:plain

コントロール・パネルにて被害者の銀行口座一覧を確認。

 

0x04 apk 分析

さて詐欺集団は被害者の口座情報のみだけでは満足せず、フィッシングサイトURLにアクセスし、口座情報を送信した被害者に引き続き「apk をダウンロードしてインストールしないと入金手続きは完了しない」と、マルウェアのインストールを催す。

f:id:alienware:20151026161714p:plain

詳細は割愛しますが、ハッカーは apk 分析により、このマルウェアはSMSにて受信した認証情報コード等を窃取し、更にこれら情報を受信する電子メールボックス(詐欺集団)のアドレスをも割り出した。

サイト SSSフォーラム より転載引用  ----------------- ここまで

 

 あとがき

中国では詐欺集団がITを駆使しながら詐欺を深めていきながらも、正義心のあるホワイト・ハッカー達のボランティア活動によって少しづつ打撃を受けてもいます。社会の自浄効果と言ってもいいでしょうか。

これは今週 28日に来日し、CODEBLUEにて講演を行うWOOYUN(乌云,脆弱性ポータル)が広めようとしている、「IT ユーザ一人ひとり、個人レベルでセキュリティ能力・意識を上げなければ、真のセキュリティ向上への道のりは遠い」発想と異曲同工なものを感じました。

 

 

 

ハッキング| IoT

8月に北京で開催された 2015 HackPWN カンファランスで、IoT デバイスのハッキング・コンテスト、デモンストレーションが行われました。

そこで「スマート・豆乳メーカー」に遠隔制御可能な脆弱性が存在することが発表 され、遠隔から操作するデモがありました

f:id:alienware:20151002135616j:plain

 

該当するスマート・豆乳メーカーは<九陽DJ08B-D667SG>という型番のもので、スマートフォンなどモバイル・デバイスに専用アプリをインストールすることにより、リモートで操作できることが売りです。

f:id:alienware:20151002135252p:plain

 

仕組みとしてはクラウド経由でスマートフォンと豆乳メーカー(無線LAN接続機能内蔵)が接続され、ユーザが操作するスマートフォンの操作コマンドが送信されるようになってます。

 

※サイト myhackxx より転載引用  ----------------- ここから

f:id:alienware:20151002140954p:plain

 

0x01 事前分析

今回の脆弱性はスマートフォンとクラウド間のトラフィック・ハイジャックにより実現されたと見れる。

 

0x02 脆弱性発掘

まずスマートフォン上で電源投入コマンドを発行し、Wireshark でスマートフォンから送出されたパケットに対し、トラフィック・キャプチャを行ったところ、パケット中身は平文で送信されているものだと分かった。また、同じコマンドパケットをリピートし再送信したとこ ろ、豆乳メーカーは同じレスポンスを返し電源が再度入ったので、豆乳メーカにはパケット・リピート受信防止機能もついていないことが分かった。

f:id:alienware:20151002141618p:plain

比較による分析を行うため、同モデルの豆乳メーカーをもう一台用意し、双方の電源投入コマンドをキャプチャしたところ、それぞれのパケット(16進数)は次の通り:

 

[1]
bb00000100078bdcbfc30e4d47822cd7086159df8a0037010001eea00030078bdcbfc30e4d47822cd7086159df8a974d13172a5b4e6e9bf8da0c13a7cae900000000000000000000000000000000
cc00000100000b00000100b0000400020000
cc00000100000700000100b20000
[2]
bb000001001e386b143bcc45738d782eededcf0bcb0027010002ee0000201e386b143bcc45738d782eededcf0bcbb724f10d9b99490a927031b41aac4de100000000000000000000000000000000
cc00000100000b00000100b0000400020000
cc00000100000700000100b20000

 すると一箇所(32ビット)のみ異なることがわかった。

次にスマートフォン上で専用アプリを起動した際に、クラウドサーバに送信されるHTTPリクエストのパケットをキャプチャを行った所、"did" パラメータで同文字列が見つかった。"did"はおそらく DeviceID を指すものであり、これよりデバイス(豆乳メーカー)認証が行われていないことがわかり、 DeviceIDがわかればデバイス(豆乳メーカー)を直接操作できることが分かった。
また、HTTP リクエストを分析することにより、 "did" はセッションキー "sessionkey"より生成されることがわかった。生成のためのリクエストは次の通り:

http://xxx.joyoung.com/ia/appapi/userdev?param={"sessionkey":"bcaaef7a1b554039b741391946xxxxxx","op_action":"query"}


セッションキーはユーザ認証情報でもあり、一度生成された後はずっとユーザに紐付けられた情報として使用される。

セッションキーの生成方法は次の通り:

f:id:alienware:20151002142650p:plain


http://xxx.joyoung.com/ia/appapi/user?param={"op_action":"regTempUser","mob_data":{"mobile_id":"866251020xxxxxx"}}
ここの mobile_id は IMEI 番号であることが分かった。 

f:id:alienware:20151002143250p:plain

 

0x03 脆弱性の応用
IMEI番号でセッションキー ⇒ デバイスIDを取得できれば、直接デバイス(豆乳メーカー)をコントロールできることになる。

デバイス ID一覧を自動生成するスクリプトの一例はこの通り:

f:id:alienware:20151002143423p:plain

 

このように "デバイス ID" を大量に自動生成し、当てていけば稼働中のデバイスに当たるし、 IMEI 番号をすでに知っていれば狙いのデバイスを即に操作できる。

f:id:alienware:20151002143456p:plain

0x04 まとめ
今回の豆乳メーカー機の問題は、多くの既存スマートデバイスに存在する問題でもあり、以下の様な課題がある:
1. 通信データを暗号化せず、重要な情報がクリアテキスト状態で伝送されている
2. デバイスの身分認証が的確に行われていない
3. クラウドプラットフォームに一般的なウェブアプリ脆弱性が存在し、ユーザ情報が抜き取られる可能性がある

4. ハッキングされた家庭内 IoT デバイスがジャンプ台にされ、他の家庭内部スマートデバイスやコンピュータに対し攻撃や侵入を行われる可能性がある

※サイト myhackxx より転載引用  ----------------- ここまで

 

たかが豆乳メーカー、されど豆乳メーカー。。。

習近平総書記は「情報化」と「サイバーセキュリティ」を、国家発展の2つの車輪と喩え、イケイケドンドンで推し進めてます。ですがどうもサイバーセキュリティは国家安全保障に関する部分のみ注力し、社会民生の部分は疎かになっているのではないか感が払拭できません。

また、目先の情報化を急ぐあまり、セキュリティが後回しにされるという通病にならないよう願いたいですね。

ハクティビズム|ステータス(9/18)

脅威ステータス(9/18)★★★

 

【エグゼクティブ・サマリ】

午前に攻撃発起し程なくして閉鎖に追いやられたグループ F、再度招集をかける。集まったのは30人ほど。ツールを条件付きで配布しているところをみると、やはり知名度を上げるためのハッカーグループPR活動一環だとみれる。

 

※部屋を通報(もちろん中国側に)してみました  21:00

→ 取り締まられました         22:20

空気を抜かれた風船の如く、一気に部屋の人気がなくなりました。

 

まとめとして、次の三点。

・大いなる意思(=当局統制)が働き、昨年より更に統制がとれていた
・ハクティビズム基盤であるSNSの、サービス業者にも統制通達が行き届いてた
・今回のハクティビズムにとっても反日は手段であり、目的ではない

 

脅威度=反日情報操作✕ハクティビズム活動

f:id:alienware:20150918170854p:plain

 

※ちなみに9月18日では中国各地で9時~10時の間に防空警報が鳴らされ、満州事変を記念しています。

f:id:alienware:20150918105606p:plain

 

ハクティビズム:攻撃喚起

・2015-09-18 グループU:反日具合  

零細な関連発言現れ始める。突拍子もなく、標的(**神*)とDoS(Loic)ツールのリンクが記載されたアタック喚起が流れる。 10:00

f:id:alienware:20150918101638p:plain

 せっかくなので・・・この発言者を「通報機能」で通報しました。

理由:社会反動活動に従事

もう少し通報者を集めれば、この発言者のアカウント閉鎖させることができると思いますが。。どなたか通報を手伝って頂けるかたはいませんか?

f:id:alienware:20150918101759p:plain

 スマホDoSアプリとみられるものも。効果はいかに?

f:id:alienware:20150918103455p:plain

 

・2015-09-18 グループ U:反日具合  

 今晩やるか、の発言

f:id:alienware:20150918105648p:plain

 

・2015-09-18 グループF:反日具合  11:40

予告宣言していたグループF、11:40にパーティ部屋にて攻撃開始、人数は40人前後。

パーティ部屋にはお雇い女性が入り、司会進行を任される。標的リストは一部学術機関のサイト。女性はハクティビズム攻撃の司会を初めてするのか、かなり不慣れ。

f:id:alienware:20150918142403p:plain

 

そうこうバタバタしてるうちに、部屋が強制閉鎖されました。。。。

(独り言:通報が功を奏したのでしょうか?)

f:id:alienware:20150918142629p:plain

 

他のグループでは、公安が取り締まっているぞとの噂がながれる。

f:id:alienware:20150918142846p:plain

 

 連年引用された攻撃リストも流される。

よもや、大きな流れ(統制)に影響を与えることはないと思いますが。

f:id:alienware:20150918143252p:plain

 

-一瞬、発言禁止が解かれるも再度禁止状態に。(**神*)を目標にする模様? 11:00

-メンバ発言禁止中。「だれか司会してくれるひといませんか?」09:00

f:id:alienware:20150918090549p:plain

 

ーパーティ部屋:8人に11:00

ーパーティ部屋:未だ開放せず、入室者5人.09:00

f:id:alienware:20150918094939p:plain

 

 

 ・2015-09-17 グループ中*网*公盟:反日具合

9月18日行動に対する宣言 09:00

「技量を持たない烏合の衆の集まりはもはや意味が無い、我々のグループは一切関知しない」

f:id:alienware:20150918091053p:plain

 

 

 

 

 

 

時事:反日情報操作

・2015-09-18 中央テレビ:反日具合 ★★★

1. 九一八事変記念行事

f:id:alienware:20150918091913p:plain

f:id:alienware:20150918091935p:plain

f:id:alienware:20150918092004p:plain

瀋陽市の九一八事変記念行事

f:id:alienware:20150918170609p:plain

f:id:alienware:20150918170625p:plain

 

参議院特別委員会で安全保障関連法案が可決されたことに対し、中国外務省のコメント

f:id:alienware:20150918173423p:plain

f:id:alienware:20150918173446p:plain

ハクティビズム|ステータス(9/17)

脅威ステータス(9/17)★★★

 

【エグゼクティブ・サマリ】

ネトウヨはほぼ完全に地下・ゲリラ化。1グープは北京時間明日09:00に発起とメンバに通達、別の数個のグループでは零細の燻りあり。表の統制は依然と敷かれたままですので、燎原の火状態にはならないと思います。

 

脅威度=反日情報操作✕ハクティビズム活動

f:id:alienware:20150917161842p:plain

 

時事:反日情報操作

・2015-09-17 中央テレビ:反日具合

1. 中国侵略日本戦犯口述集の出版公表

f:id:alienware:20150917150528p:plain

 

2.習近平総書記訪米

f:id:alienware:20150917150617p:plain

いまや92歳の高齢となった、毛沢東時代からの「中国の友人」であるヘンリー・キッシンジャー元国務長官へのインタビューも交え、中米関係を強調。

f:id:alienware:20150917150630p:plain

f:id:alienware:20150917150649p:plain

f:id:alienware:20150917150656p:plain

2.徐州会戦の壮絶の記述

f:id:alienware:20150917152344p:plain

f:id:alienware:20150917152630p:plain

 

ハクティビズム:攻撃喚起 

・2015-09-17 グループF:反日具合  ★★

明日の早朝09時スタート、と正式にグループオーナーより宣言。

 また、グループ内の統率向上ため、自動応答ロボットが導入されました。

f:id:alienware:20150917163411p:plain

 

さらに、別攻撃会場(私はパーティ部屋と呼んでます)も用意完了し、一応の形は整えました。やる気ですね。アタック・ ツールは何故かRATを配布してますが。。。

f:id:alienware:20150917163506p:plain

 

このグループオーナー(組織者)や参加者数名の方々へ声をかけてみました。詳細はまたいずれ書いてみようと思います。

 

現在、約360名のメンバですので、明日にはこの人数内に収まるか収まらないと予想します。

 

 

ハクティビズム|ステータス(9/16)

脅威ステータス(9/16)★★

 

【エグゼクティブ・サマリ】

 SNS上での統制が続き、相変わらず習近平総書記の22日訪米が最重要事項。気になるネット右翼は変わらず水面下で一グループが黙々と増員中。

 

脅威度=反日情報操作✕ハクティビズム活動

f:id:alienware:20150916171735p:plain

 

時事:反日情報操作

・2015-09-16 中央テレビ:反日具合

1. やはり22日の習総書記訪米が最重要事項、国連設立70週年記念行事にも出席するとされてます。

f:id:alienware:20150916112945p:plain

f:id:alienware:20150916112956p:plain

中米経済協力も力説。

中国軌道交通車両製造会社(CRRC Corp.)はボストン地下鉄車両の製造を受注、CRRCはスプリングフィールド市で6千万ドルを投じし工場を設立、必要な284車両を製造する。

※CRRCはグループ企業合わせて17万人超の大企業

f:id:alienware:20150916113013p:plain

 

中華人民共和国公安部孟建柱部長が先行訪米し、「サイバーセキュリティ」を中心に事前ネゴを行ったことも。

f:id:alienware:20150916113018p:plain

 

2.抗日戦争の英雄「谢晋元」

f:id:alienware:20150916172747p:plain

f:id:alienware:20150916172818p:plain

 

3.日本国民の安保反対(朝日新聞のデータを引用)

f:id:alienware:20150916172830p:plain

f:id:alienware:20150916172838p:plain

 

4.習近平総書記の30万人軍縮に呼応し、退役軍人の起業を支援。

f:id:alienware:20150916173358p:plain

f:id:alienware:20150916172905p:plain

 

・2015-09-16 WEIBO:反日具合

全体的なツイート具合をみるべく、関連キーワードを検索するとこのように。全体的に関連キーワードへの関心度が低いこともさることながら、いくつかのキーワードは根本的に検索が禁止されているところもあります。

大いなる意思は、総書記がお留守になる期間中に、特定の話題で人が集まり盛り上がるのを嫌っておられるのがわかります。

f:id:alienware:20150916173636p:plain

 

ハクティビズム:攻撃喚起 

・2015-09-16 グループF:反日具合  

昨日同様、一グループが粛々と人員をかき集めています。相変わらずグループ内参加者の発言を全部禁止した状態、グループが荒れて炎上する可能性を防ぐことと、サービスベンダーからの検知を避けるためですが、実に賢いやり方です。掲示は相変わらず18日早朝9時ー20時に発起と記載。

人員は3百人を超えましたが、改めてメンバ一覧をじっくり見てみると。。おや?かの中国アノニマスを組織し、グッズを販売までしてたヘ*ン氏もいるではないですか!!!

※経緯は ↓ をご参照

中国黑客(ハッカー)紀行|中国アノニマス - サイバー中国

f:id:alienware:20150916175129p:plain

しばらく見かけませんでしたがどうしたのでしょう?ビジネスに勤しんるのではないでしょうか。。。。改めて彼個人のページなどを閲覧してみたところ、すでにアクセス不可状態に。

様子を見るとあまりうまく行ってないらいしいですね。一時は一世を風靡した方だけに、なんとか立ち直って欲しいと、切に願います。

 

ー続く