SCAN DISPATCH :クラウドサービスの弱点を国際セキュリティ会議で発表 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

SCAN DISPATCH :クラウドサービスの弱点を国際セキュリティ会議で発表

国際 海外情報

 SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

 「国際セキュリティ会議で発表された AmazonとMobileMeの攻撃手法」に続き、今年のBlackHatUSAにて行われたプレゼン、「Clobbering the Cloud!」から、SalesForce.com と SugarSync の脆弱性の例をみながら、クラウドの弱点を探ってみたい。

SCAN DISPATCH :国際セキュリティ会議で発表された AmazonとMobileMeの攻撃手法(2009年10月27日)
https://www.netsecurity.ne.jp/2_14212.html
Clobbering the Cloud! プレゼン
http://www.blackhat.com/presentations/bh-usa-09/MEER/BHUSA09-Meer-ClobberCloud-SLIDES.pdf
https://media.blackhat.com/bh-usa-09/video/MEER/BHUSA09-Meer-ClobberCloud-VIDEO.zip

 まず最初はSalseForce.com。Software as a Service (SaaS)の元祖で、S&P 500(米スタンダード・アンド・プアーズ社算出の株価指数)にも登場する老舗のクラウド・コンピューティングのサイトだ。

 WebベースのCRMソリューションを提供するのがメインだが、デベロッパはカスタムのアプリを作成してそれをSalseForce.comのプラットフォームで動作させることができる。アプリケーションはSalseForece.comのプラットフォームで作動するSalseForece.com独自のApexを使う。「このプラットフォームは、ビルトインの構文によってデータストアのオペレーションをサポートしており、APIによって、HTTPのコールアウト、ApexのコードをSalseForce.com内部でWSエンドポイントにタイしたり、メールを送信できるだけでなく、メールのエンドポイントにSalseForce.com内部でApexのコードをタイできるようになっている。」(Slaviero氏)。また複数のイベント・ループのイリテーションの関係を保持するのにデータストアは便利なだけでなく、アップデート・トリガーによってメールを無料で送信することができる。

 もちろん、このプラットフォームにアクセスする全てのユーザが、公平にリソースにアクセスできるようにコントロールされている。が、上記の機能と、無料で登録できるアカウントを使用して、この制御機能を回避する方法がプレゼンでは発表された。WebスキャナのNiktoをSalseForce.comにポートするもので、その名はSiftoだ。

 SalesForce.comではさらに、クリックジャッキングの脆弱性も発見された。ユーザがブラウザでCRMのインターフェースのページを開き、もうひとつのタブで「猿をパンチ」のゲームをしたところ、CRMのページからタスクをデリートすることになってしまった様子をデモで紹介している。

 最後は日本でも話題になっているインフラ・アズ・サービス形態の、オンライン・バックアップ、ファイル共有サービスのSugarSync.com。MobileMeと同じようにパスワード・リセットのプロセスをハックしたデモであるが、プロセスは多少違う。まず、ユーザ・ネームを推測する方法であるが、SugarSync.comは親切にも、存在しないユーザネームでログインしようとすると、「ユーザネームが存在しない」と返答してくる。普通、メールアドレスをユーザネームにしている人がほとんどだから、思い当たるメールアドレスを次から次へと試せばいい。

 一度ユーザネームが分かったら、パスワードリセットを行う。パスワードリセットのリンクが、ユーザのメールアカウントに送られてくる。ここまではその他のサイトと同じ。

 3氏がSugarSync.comの弱点として見つけたのは以下の3点。

(1) パスワードリセットのリクエストを何回もかけることができる。スクリプトを書いて行えば、何百万、何千万回の試行が可能である。
(2) リセット用のリンクは、何週間も「Live」つまり、有効期限が無い。
(3) リセット用のリンクにあるsecret identifierは、例えば「for472gtb422」というように、それほど長いものでない。

 このことから、プレゼンではまず…

【執筆:米国 笠原利香】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. SMSによる二要素認証が招くSOS(The Register)

    SMSによる二要素認証が招くSOS(The Register)

  4. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  5. フィッシング詐欺支援サービスの価格表(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Cisco のセキュリティビジネスに市場が多大な関心を寄せる理由(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×