人気中国語入力サービスの脆弱性により、4億人以上が入力情報盗聴のリスクに晒される | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 人気中国語入力サービスの脆弱性により、4億人以上が入力情報盗聴のリスクに晒される

Threat Report

Silobreaker-CyberAlert

人気中国語入力サービスの脆弱性により、4億人以上が入力情報盗聴のリスクに晒される

山口 Tacos

山口 Tacos

2023.08.10

人気中国語入力サービスの脆弱性により、4億人以上が入力情報盗聴のリスクに晒される

中国語話者4億5,500万人以上が使用する中国語入力ソフトウェア「Sogou Input Method(搜狗输入法)」の暗号化システムに「厄介な脆弱性」が存在し、キーボードで入力される内容がリアルタイムで盗聴されてしまう恐れがあったことを、Citizen Labが新たなレポートの中で明らかにした。この脆弱性により、中国のユーザーのみならず、少数ではあるが米国、台湾、日本の利用者にも影響が及んだ可能性があるという。

中国語入力ソフトウェア:Sogou Input Method(搜狗输入法)

Sogou Input Method(搜狗输入法)は、コンピューターやモバイル端末上で中国語の文字をタイピングするためのソフトウェア。中国語での文字入力を行うユーザーの7割が利用する人気ソフトで、月間アクティブユーザー数は4億5,500万人を超えるとされる。中国国内だけでなく、米国(全体の3%)、台湾(全体の1.8%)、日本(1.5%以上)にも利用者がいるという。

暗号化システム「EncryptWall」の脆弱性により盗聴が可能だった恐れ

Citizen Labは、Sogou Input MethodのWindows版、Android版、iOS版を分析。その結果、同ソフトウェアの暗号化システム「EncryptWall」と、EncryptWallによる機微データの暗号化方法に「厄介な脆弱性」があるのを発見したという。この脆弱性により、もしネットワークの盗聴を試みる者がいた場合、その人物によってユーザーのキーストロークなどの情報を含むネットワーク通信が解読できてしまう状態になっていた。通信が解読できれば、ユーザーが打ち込んだ情報が暴き出されてしまうことになる。

中国のソフトウェア開発者にとって重要なのは、暗号化システムを独自に設計するのは避けて、TLSのようなテスト済みの暗号化プロトコルを利用することであるという事実が今回の発見により浮き彫りになったと、Citizen Labは述べている。

脆弱性は解消も、情報漏洩の懸念は残る

脆弱性はすでにCitizen LabによってSogouの開発者へ報告され、2023年7月20日までに修正版ソフト(Windows 13.7、Android 11.26、iOS 11.25)がリリースされている。ただ、脆弱性が解消されたからといって同ソフトの利用による情報漏洩の危険がゼロになったわけではない。というのも、Sogou Input Methodを使って打鍵された内容は、一度Sogou社のサーバーへ転送されてから端末上で入力として反映される仕組みとなっているためだ。つまり、Sogou社のオペレーターらは、同ソフトを使って打ち込まれたデータへアクセスできる状態であり、また同社から当該データの共有を受ければ、誰もがこのデータへアクセスできるということになる。これを踏まえてThe Record紙は報道記事の中で、中国政府がこうしたデータへアクセスすることも可能かもしれないことを仄めかすような記述をしている。

中国開発のアプリには過去にも同様の問題が

Citizen Labは過去にもSogouのものと似たタイプの問題をソフト開発者側と協力して解消してきた。しかし今回再び大人気の中国アプリに「転送する機微なデータを保護するためのシンプルなベストプラクティス」さえ採用されていなかった事実が判明したことで、中国アプリのエコシステムには未だ同様の懸念が残存していることが改めて浮き彫りになっているようだ。

 

(情報源:The Record “Popular Chinese-language service Sogou exposed to ‘eavesdropper,’ report says”、Citizen Lab ”“Please do not make it public” Vulnerabilities in Sogou Keyboard encryption expose keypresses to network eavesdropping“)

8月10日:その他の注目ニュース

米内国歳入庁、防弾ホスティングサービスプロバイダーLolekのテイクダウンについて認める

The Record – August 10th, 2023

人気の防弾ホスティングサービスプラットフォーム<Lolek> Hostedが今週、米国とポーランドの当局によってテイクダウンされた。これは、サイバー犯罪者による重要なツールへの匿名アクセス権を制限するための最新の取り組みだという。

Hostedは英国を拠点とし、広く利用されている防弾ホスティングプロバイダーで、2009年からヨーロッパのデータセンターを使って運営されている。同サイトは、匿名ホスティングプラットフォームに関する情報記事で大きく取り上げられている。防弾ホスティングサービスは、顧客が投稿するコンテンツを黙認し、顧客の身元を保護することを約束するもの。こうしたサービスを提供する事業者はマルウェアの拡散、ボットネット軍団の形成、詐欺やサイバー攻撃に関連するその他の作業の実行のためにIPアドレス、サーバー、ドメインを犯罪者に貸し出すことで知られている。

火曜日(8日)の時点で、<Lolek>HostedのWebサイトには、米連邦捜査局および内国歳入庁によって差し押さえがなされた旨を示すバナーが表示されており、内国歳入庁はこれが正式なものであることを認めたという。

この作戦には他に、U.S. Attorney’s Office for the Middle District of Floridaや、司法省のComputer Crime and Intellectual Property Sectionも参加しており、ポーランドの当局であるRegional Prosecutor’s Office in KatowiceやクラクフのCentral Bureau for Combating Cybercrimeも「実質的な支援」を行った模様。

近年、米国当局は防弾ホスティングサービスの背後にいる人物を追及し、関係者の身柄を引き受けたり、長期の刑を科したりすることに注力している。

Vice SocietyによるRhysidaランサムウェアとの連携が新たなレポートで明らかに

The Hacker News – Aug 09, 2023

Rhysidaとして知られる二重恐喝ランサムウェアグループとVice Societyの間に、教育や医療分野をターゲットにしている点を含め、戦術的に類似点があることが発見された。Check Pointは新たなレポートで、両者の関連性からは、Vice Societyのオペレーターが現在Rhysidaランサムウェアを使用していることが、少なくとも中程度の確度で示されていると述べた。

マイクロソフトがStorm-0832という名前で追跡しているVice Societyは、犯罪フォーラムで販売されている既存のランサムウェアバイナリを使用して攻撃を行うというパターンを持っている。この金銭的な動機を持つグループは、データを暗号化することなく抽出し、単に恐喝のみを実施する攻撃に頼ることも観測されている。

一方で、2023年5月に初めて確認されたRhysidaは、フィッシング攻撃とCobalt Strikeを利用して標的のネットワークを侵害し、ペイロードを展開することが知られており、被害者の大半は米国、英国、イタリア、スペイン、オーストリアを拠点としている。また、Rhisydaは主に教育、政府、製造、テクノロジー、マネージド・サービス・プロバイダー部門を攻撃しているものの、最近では医療・公衆衛生(HPH)部門に対しても攻撃を仕掛けることが分かっている。Rhisydaランサムウェアの攻撃チェーンは、痕跡を消すためにログやフォレンジック・アーティファクトを常に消去し、修復作業を阻害するためにドメイン全体のパスワード変更を開始することが特徴的である。

関連記事:Rhysidaランサムウェア:頭角を現し始めた新参RaaSの概要

Check Pointは、Rhysidaの登場とVice Societyが姿を現さなくなったこととの間に相関関係があることも見出しており、Rhysidaの登場以来、Vice Societyが公表した被害者は2組織のみ(いずれもRhysida登場以前に実行され、6月に公表されたものである可能性が高い)であること、Vice Societyのアクターは2023年6月21日以降自身のリークサイトへの投稿を停止していることを明らかにした。また同時に、活発なランサムウェアアクターらのTTPはほとんど変わっていないという厳しい事実も判明している。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ