500pxユーザにSecurity issue [Action required]という件名のメールが届いていました。以下は一次情報から要所を日本語にしたものです。

フォトグラファー向けSNSである500pxで、2月8日にユーザデータへの不正なアクセスが確認されました。不正なアクセスは2018年7月5日頃に行われ、同日2018年7月5日以前からユーザだった場合には影響を受けます。500pxではアカウントのパスワードをリセットするために、すべてのユーザへ通知を送信しています。

影響を受けるデータは以下の通りです。

• 姓名
• ユーザー名
• ログインに使用するメールアドレス
• パスワードのハッシュ(MD5と表記があるがソルト付きかは不明)
• 生年月日
• 国、州/県、市
• 性別

SNSアカウント(Facebook、Google)でログインしているユーザは、サーバ上にはパスワードの代わりにセッショントークンが保存されていますが、有効期限が切れると新しいトークンのためにSNSアカウントでログインを求められます。

その他のデータは影響を受けておらず、クレジットカード情報も500pxのサーバーには保存されていないため本件の影響は受けません。また、現時点ではユーザアカウントへの不正アクセスの兆候もありません。

一次情報：Security Issue February 2019: FAQ

はじめに

日本時間2018年2月7日に、私の買い物専用のメールアドレスの1つへ、不審なメールが届いている事を確認しています。本文には本名も含まれています。得られた情報から全体の流れが推測できましたのでまとめました（会社名やショップ名等敬称略ですのでご了承ください）。

注意：本記事の情報は得られた情報から推測したものであり、未確定の情報が含まれています。情報の伝達や拡散、問い合わせの際にはその点に注意した上で行ってください。新しい情報がわかり次第、適宜記事を更新します。

2018/2/7 23:25 追記あり

2018/2/8 0:48 追記・訂正あり

HTMLを勉強する際に最初に覚えるものの1つにa要素(タグ)があります。HTMLのアイデンティティと言っても過言ではない、ハイパーリンクを実現する大事な要素です。

href属性に設定されたリンク先のURLをどのウィンドウ等に表示するかを決めるtarget属性というものがあります。任意の値を設定してウィンドウに名前を付ける事で、複数のa要素から同じウィンドウへリンク先URLを表示する事もできますし、常に新しいウィンドウを開く_blankのような、あらかじめ挙動が設定されている値もあります。

target="_blank" のセキュリティリスク

リンクの開き方を決定するtarget要素ですが、この挙動を利用してリンク先からリンク元のウィンドウを操作できるというセキュリティリスクが公開されています。

• Target="_blank" - the most underestimated vulnerability ever

なお、リンク先では脆弱性(vulnerability)となっていますが、脆弱性の定義や見方によっては微妙なところです。個人的にはリンク元Webサイトの機密性/完全性/可用性を損なわないため、HTML/JavaScript/DOMの仕様上のセキュリティリスクであると認識しています。

CMSの脆弱性の統計を取りはじめてみたので資料にしました。もっと深く調べてみたいので続く予定です。

スライド中の「CMS四天王」のチョイスは徳丸さんのものをいただきました:-D

昨年10月にKickstarterでスタートした、Torでの通信が可能になるルータ「Anonabox」は開始直後に目標額を大幅に上回った事でも注目されましたが、事前に生産された製品を使用している等の理由からKickstarterよりキャンペーンが停止されました。

• Kickstarter Shuts Down Anonabox Amid Controversy

その後にIndiegogoで再開し、最終的に目標額の409%に達したようです。

Kickstarterのページ「anonabox : a Tor hardware router (Suspended)」より

この製品の写真を見て、秋葉原で見た記憶があるのでちょっと調べたら販売されている事を確認しました。もしかして、これを使えばAnonaboxと同じ物を自作できるのでは？

先に書いた通り、攻撃3は市販されているモバイルWi-Fiルータで条件の合うものがあれば行える事がわかりましたが、攻撃2はどうでしょうという話です。

日本への観光客の増加や、2020年に開催される東京オリンピック・パラリンピックに合わせて、全国で公衆Wi-Fiサービスが広がっています。最近は首都圏ではJR東日本や東京メトロ・都営地下鉄でサービスが開始されました。無料で誰もがインターネットに接続できる公衆Wi-Fiサービスですが、広がりと共にセキュリティに関する話題も目にするようになりました。

• 公衆Ｗｉ－Ｆｉの危険性とセキュリティー : ＩＴ＆メディア : 読売新聞（YOMIURI ONLINE）
• 京都市の公衆ＷｉＦｉ「危険」　府警「犯罪インフラに」警告 : 京都新聞

読売新聞の記事では「公衆Wi-Fiのセキュリティー上の問題点」として、以下の4点を挙げています。

• Wi-Fiのパスワードなし=暗号化なしでは盗聴される
• 暗号化ありでも、パスワードが公開されているため盗聴の危険性あり
• 読み取られる危険性の低い暗号化もあるが、訪日外国人の利用は難しい
• なりすましアクセスポイントの問題（中間者攻撃）

いずれもサービスを使用するユーザが抱えるリスクですが、改めて攻撃の構成を図にして公衆Wi-Fiサービスのセキュリティについて整理してみました。

はてなブックマークを見てたら人気エントリでこの話題が流れてきました。

• 無料でSSL使える時代きてた！CloudFlare最高！！！（？） - uzullaがブログ
• CloudFlareがUniversal SSLで無償のWebセキュリティを提供へ

パッと見てセキュリティ的に良くない点があるため、簡単に整理します。

昨日にいい感じのExcel方眼紙を見つけてしまい、実際に見てみようと思ってググったのがはじまりでした。

官公庁製のすごいExcel方眼紙だ　 http://t.co/N5pEWrYyu9 pic.twitter.com/QR2cgz0h8d

— シンプルは爆発だ (@hidesys) 2015, 3月 7

上記ツイートのExcelブックは、学生の留学を支援する官民協働の制度である、トビタテ！留学ＪＡＰＡＮ日本代表プログラムの留学願書です。Webサイトからダウンロードして開いてみたところ、ものすごい方眼紙っぷりにPCではなく私が固まりました。

そういえば、お役所のExcelシートから内部の情報が漏えいした事例があったなぁ（実践ワークシート協会）とセキュリティ的な頭に切り替えて、まずはExcelのドキュメント検査機能を使おうとしたのですが、そっけないダイアログが表示されました。

BadUSBが話題だったのでちょいと書いてみましたよ。ちなみにUSBメモリをいくつか入手してPoCを試してみましたがうまくいきませんでした…。