Microsoft、クラウド上でパスワード付きZIPファイルをスキャンか。Googleは公式発表 32
ストーリー by nagazou
リスクのあるものはクラウドに置かない 部門より
リスクのあるものはクラウドに置かない 部門より
OneDriveやSharePointなどのMicrosoft提供のクラウドサービスで、ユーザーがアップロードした、パスワード付きZIPファイルのスキャンが実施されていると海外で報じられているそうだ(Andrew Brandt氏の投稿、gHacks Tech News、INTERNET Watch)。
この件はセキュリティ研究者のAndrew Brandt氏が報告したもので、同氏によればアップロードしたマルウェアサンプルの一部に関して、マルウェアとしてフラグを立て始めたことに気がついたという。このマルウェアサンプルは、同僚と共有するためにSharepoint上にアップしていたものだそう。用いられていたパスワードは「infected」(感染済み)という非常にシンプルなものだったという。同氏はこのような「おせっかい」はマルウェア研究者の仕事にも影響が出ると述べている。
なおクラウドサービスに関するチェックに関してはGoogleも進めている。Googleは10日、Google Driveにおいてスパムフォルダーを追加することを発表。Gmailの迷惑メールに類似した仕組みを用いて自動で不要と疑われるファイルをスパムとして判定し、ドライブ内のスパムフォルダーに移動させる方針。スパムフォルダーに移動されたファイルは、コメントや共有されたことを知らせるモバイルプッシュ機能がブロックされるとしている(Google Workspace Updates、窓の杜)。
この件はセキュリティ研究者のAndrew Brandt氏が報告したもので、同氏によればアップロードしたマルウェアサンプルの一部に関して、マルウェアとしてフラグを立て始めたことに気がついたという。このマルウェアサンプルは、同僚と共有するためにSharepoint上にアップしていたものだそう。用いられていたパスワードは「infected」(感染済み)という非常にシンプルなものだったという。同氏はこのような「おせっかい」はマルウェア研究者の仕事にも影響が出ると述べている。
なおクラウドサービスに関するチェックに関してはGoogleも進めている。Googleは10日、Google Driveにおいてスパムフォルダーを追加することを発表。Gmailの迷惑メールに類似した仕組みを用いて自動で不要と疑われるファイルをスパムとして判定し、ドライブ内のスパムフォルダーに移動させる方針。スパムフォルダーに移動されたファイルは、コメントや共有されたことを知らせるモバイルプッシュ機能がブロックされるとしている(Google Workspace Updates、窓の杜)。
何見てるんだろ? (スコア:1)
パスワードクラックはしてないと思うので(労力に見合わないリスク)、暗号化してても見れるzip内のファイル名とサイズかな。
圧縮率(圧縮前後サイズ)まで考慮すればけっこう特定できそうな気がする。
余計なお世話だけど、PPAP等でパスワード付きzip形態のマルウェアが送られてきてることを考えるとアリかもしれない。
勝手に消したり移動したりされるとさすがに困るが…
でもまぁ、上記判定だとしたらファイル名とか圧縮率とかを可変にする進化がすぐ進むからイタチごっこかな。
でもパスワードクラックしてまで確認はしないと思うんだよなぁ…。
国によっては触法しそうな手法だし、やるかね?
Re: (スコア:0)
CRC32と圧縮前のファイルサイズじゃないですかね
Re: (スコア:0)
後ろにちょっとゴミをくっつけるだけで簡単に回避できるな
Re: (スコア:0)
ZIP Crypto で暗号化していて、パスワードも短く、さくっと復号化できちゃってるだけだったりして。
AESで暗号化してればスキャンできなかったんじゃないかな。
Re: (スコア:0)
そんなガバガバな判定だと誤爆がすごそう
Re: (スコア:0)
書庫の外でもガバガバなシグネチャで判定してるからしょっちゅう誤爆するんだよ
Re: (スコア:0)
ファイル名とサイズでの判定とは比べ物にならんかと。
Re:何見てるんだろ? (スコア:1)
Google Driveは1バイトの「1」テキストファイルを著作権侵害として規約違反メール送ってきた [twitter.com]ガバガバ判定でサイズなんか確認してないだろうな
そりゃすごい話だ (スコア:0)
仮にもセキュリティ専門家がinfectedなんて弱々なパスワードを設定してクラウドにアップロードする事があるのか!
普通、パスワードは virus か infected (スコア:4, 参考になる)
マルウェア検体の扱いとしては普通でしょう。私が以前マルウェア対策を扱っていたときは virus をパスワードにしていました。
https://cybersecurity-jp.com/column/74261 [cybersecurity-jp.com]
ランサムウェアの被害者になった場合の対処方法
分析のために保管しておくべきもう一つの重要なアイテムは、ランサムウェアやマルウェアの検体です。
業界標準では、これらの検体は「virus 」または「infected」というパスワードを付けたアーカイブファイルに追加され、安全な場所に保管されます。
パスワードで保護した .zip は、必要に応じてアナリストに安全に渡すことができます。マルウェアをリバースエンジニアリングして研究することで、攻撃の手口を発見することができ、インシデント対応の担当者や調査員が被害状況を調べる場所を絞り込むのに役立ちます。
Re: (スコア:0)
自分も自作ソフトが誤検知されたときにパス付きzipで自動削除の掛からない検体作って状況確認とかしてたわ。
ただ今回の事例だと、「アーカイバに定型パスワードで突っ込むスクリプト」みたいなのに投げ込むと
マルウェアを生成するデータ列として認識されてた可能性もワンチャンあるね。
そういうのが理由なら定型が広がりすぎた弊害かも。
Re:そりゃすごい話だ (スコア:3, 興味深い)
このパスワードは情報保護を狙った物ではなくフェイルセーフ目的なんだと思う。
誤ってダブルクリックした時、開けない様にPWを設けているだけ。
infectedがウイルス感染zipの目印なんでしょう……
Re:そりゃすごい話だ (スコア:1)
まあ、うっかりスキャンで消される事さえ防げればいいって事だろうし…
Re: (スコア:0)
強いパスワードと弱いパスワードの使い分けが分からないのはセキュリティ専門家じゃないせいかね。
Re: (スコア:0)
仮にもセキュリティ専門家がinfectedなんて弱々なパスワードを設定してクラウドにアップロードする事があるのか!
ガラスの試験管にウイルス入れてコインロッカーに入れてる研究者のようなものだよなぁ
中国あたりでは普通にあるかもしれんが
PPAP対策 (スコア:0)
日本ではPPAP(メールでパスワード付きZIPファイル)を送ることが多いが、
PPAPでマルウェア送られたときの対策に、パスワード付きZIPファイルのパスワード解読して中身スキャンしたほうがいいとおもう
十分な強度のパスワードつけられたらどうにもならないが、たとえはGPGPUで10秒で破られる程度のパスワードなら、
破ってスキャンすればいい
Re:PPAP対策 (スコア:1)
直後に送信された平文の中にpasswdがあると思う
Re: (スコア:0)
うちの会社も、以前はそんな「ソリューション」を採用してた。
Re: (スコア:0)
前後のメールにパスワード書いてあるなら総当たりせんでもええやろ。
Re: (スコア:0)
毎日何億通ものメールを処理しているのにメール1つに10秒も掛けられるわけないだろ(しかもGPU全開で)。お前が個人的に手元でメールスキャンするのとはわけが違うんだぞ
パスワードつきzipの中身も広告に利用される? (スコア:0)
前に何回か「Gmailにメールの内容を広告に利用されないようにする事のみを目的としてPPAPするのって有効なのかな?」って質問のコメントを書いたけど、結局Google DriveでもGmailでもPPAPしても結局中身みられて広告パーソナライズに利用されちゃうのかな?
Re: (スコア:0)
これが嫌だからパスワード100文字以上にしてDMGで圧縮してDriveに入れてるけど、いつか数十年後に破られるんだろうなってずっと思ってる。
いくら暗号化してもその場しのぎだよな。
Re:パスワードつきzipの中身も広告に利用される? (スコア:1)
広告に使うようなあなたの趣味趣向が数十年後に破られて困ることがどこにあるんだろう、
むしろ数十年後に現在の趣味趣向に沿った広告が出てほっこりするほうがありうるんじゃないか?
Re: (スコア:0)
素人質問で恐縮ですが、例えばAES-256を使ってるとしてそれに対して800ビット(1文字1バイトとして100文字分)のキーを与える意味ってあるの?
Re: (スコア:0)
パスフレーズとかは文字列のビット数程の情報量はない。
ランダムな単語列としたら、語彙数を単語数分掛けた数で考えるべき。
ただ語彙の数は攻撃側の辞書によるのでその情報量は評価が出来ない。
使った語彙をカバーしつつも語彙が少ない辞書でアタックされると弱い。
極端な例だと使っている単語しか入ってない辞書なら瞬殺される。
だからまぁ、パスフレーズを長めに取るのはいいことだよ。
マイナーな単語やミススペルが混ざるとなお良し。
Re: (スコア:0)
要するに大した意味ないんだな
パスフレーズとかは文字列のビット数程の情報量はないとは言うが、それでも総当たり攻撃の対策としては大小英数字で16字もあれば十分
そして辞書攻撃の対策で求められるのはその辞書に含まれないことか、または含まれててもそれらの組み合わせから回避できるかどうかであって本質的には長さじゃない
なので、この両方を満たすためにXX万語の辞書から3単語選長さと組み合わせを両立させろって話が出たりする
短いパスワードはダメというのは正しいが、それは長ければいいという話ではない
パスフレーズを*長め*に取るのはいいことだとしても、その長めとは十数文字程度の話であって、100文字は意味がないほど長いだけ
Re: (スコア:0)
16字の根拠は?ちゃんと高校生レベルの対数計算した?
文脈的に鍵導出関数を信用しない場合だよね?
16文字のエントロピー計算してみな?
Re: (スコア:0)
#4463153の素人ですが、私はAES-256に対して800bit与えて鍵生成する意味(意義)を聞いてます
あなたの回答には、アルゴリズムの具体例として挙げたAES-256を踏まえた内容は一切なく、単なるいいパスワードの付け方という低いレイヤーの話だけで成り立っています
そんな素人でも知ってることを答えられても困ります
ついでに言うなら、100文字以上にすることがいいパスワードの付け方だと思ってるど素人からの回答は求めてないです
Re: (スコア:0)
本当に素人質問するやつがあるか、と言おうと思ったがどう考えても理不尽なのでやめた。
# 謙遜のつもりなのかなんなのか知らないが、ああいうのは本当の素人が質問できない雰囲気を作り出すからマジでやめてほしい
Re: (スコア:0)
素人質問にすら答えられないやつが、他の事でつまらないマウント取ろうとしておきながらやっぱやーめたって書いてるのみっともねぇな……
しかも『ああいうのは本当の素人が質問できない雰囲気を作り出すからマジでやめてほしい』とか自分のやってること棚上げして説教がましてるのもポイント高い
Re: (スコア:0)
素人質問が~とか言う質問ってどこまで知ってて言ってるのかわからないから困るんだよな
まあ俺も素人だけど答えるね
最悪のシナリオとして選んだ鍵導出関数が脆弱性だらけで全く用をなさないと仮定する
(AESと鍵導出は全然別物なのは知ってますか?パスワードからAES用に別途PBKDF2とかで所定のビット数の鍵を導出するのです)
となると攻撃者は総当たりする上でAES上の鍵を直接ブルートフォースするか、用をなさない鍵導出関数を経由してパスワード空間上でブルートフォースするかの二択。
普通はパスワード空間上でブルートフォースするから、800ビットとかにしとけば無駄に本来
他のクラウドサービスでも (スコア:0)
記憶違いだったら悪いけどGmailもパスワードinfectedだとマルウェアをメールで送れなかったような気がするなー
もちろんお仕事で取り扱ってたやつね