「あの人も読んでる」略して「も読」。さまざまな寄稿者が最近気になった情報や話題をシェアする企画です。他のテックな人たちがどんな情報を追っているのか、ちょっと覗いてみませんか?
こんにちは。東内(@yousukezan)です。
相変わらず引きこもってAIとセキュリティの記事を中心に読んでいます。また新しい手法の攻撃が行われており自衛が大変だなあと思っています。
それでは、最近読んで良かったコンテンツの一部を紹介します。
PayPayで一瞬にして73万円を騙し取られた話(1万円しかチャージしてなかったのに)【追記あり】
電子マネーの利用が一般的になった今、便利さの裏に潜むリスクも見過ごせません。この記事ではPayPayを通じてわずか1万円しかチャージしていなかったにもかかわらず、最終的に73万円を騙し取られた体験が紹介されています。
問題となったのは、QRコードを読み取るだけで他サービスと連携できてしまうという仕様(現在は停止中)です。この仕組みを悪用し、PayPayと連携している銀行口座から第三者のサービスに資金を送る設定が行われ、そこから口座の残高が引き出されてしまいました。通常、こうした操作には本人確認や複数の認証が必要なはずですが、QRコードの読み取りだけで完結してしまっていたため、巧妙な手口により一瞬で多額のお金を失う結果になってしまったということです。
私たち利用者が気をつけることも重要ですが、それだけでは防げないケースもあります。サービス提供者側にも攻撃者が機能を悪用することを考えた設計を行ってもらいたいと思いました。
関連リンク
Claude Codeにセキュリティ診断をさせてみた
最近は「バイブコーディング(vibe coding)」と呼ばれるような、ほとんどコードを書かずにAIに指示するだけでアプリを作るスタイルが注目されています。これにより、プログラミングの知識がなくてもアプリ開発に挑戦できる環境が広がっています。
本記事では、そのようにAIが生成したコードを、同じくAIにセキュリティ診断を行ってもらった例が紹介されています。すると、いつくかの重大な脆弱性が見つかっています。気をつけてないと作り込んでしまいがちな脆弱性もありますが、SQLインジェクションのような少し注意してプラットフォームを選んでおけばそれだけで避けられるような深刻な脆弱性まで見つかっています。
見つかった脆弱性は最終的にAIによって修正され、安全な状態に改善されたそうです。しかし、仮に検出・修正されないまま運用されていたとしたら、と考えると、やはり生成AIが作成したコードはセキュリティ的にはまだまだ完璧ではないと実感させられます。
ペネトレーションテストから見えた(内部)Webアプリケーションに潜むリスク
次はWebアプリケーションに見つかった脆弱性を使い実際に攻撃を行う内容の記事になります。ペンテスターの講演まとめだそうですが、普段あまり表に出てこない実際のペネトレーションテストでの攻撃手法が書かれています。実際に社内ネットワークに侵入されてからはこのように攻撃されてしまうのかと学びになります。
シナリオはいずれも社内ネットワークに侵入して社内環境のWebアプリケーションなどの脆弱性を使ってどのように管理者権限を奪取するかということです。自宅だと自分が管理者ですが、社内ネットワークだと一般ユーザーと管理者など権限が分かれていることがほとんどで、権限を上げることでできることを増やしていくことになります。
筆者は普段Webアプリケーションの脆弱性診断に携わっているのですが、実際に攻撃を行うことはありません。ゴールが違う異なる視点でWebアプリケーションの脆弱性を見ている点が興味深かったです。特に社内ネットワークで一般的に使われているActiveDirectory環境のことについては、一般的なWebサイトの脆弱性診断では全く考慮していないので新鮮でした。
Exploiting the Tesla Wall connector from its charge port connector
最後に紹介するのは、テスラの家庭用充電ソリューション「Teslaウォールコネクター」をハッキングしたという記事です。テスラの車両では、充電ケーブルを通じてファームウェアの書き換えが可能となっており、これを利用して機器に侵入、任意のコマンド実行に成功したとのことです。物理的に接続しなければならないため一見安全そうに見える機器でも、実は攻撃のリスクがあることが明らかになりました。
攻撃の手法としては、まず充電ケーブルを接続した状態で、古いファームウェアバージョン(TCPデバッグシェルが含まれる)へ書き換えます。次に「UDS」と呼ばれる車載ネットワークプロトコルを使って、機器が接続しているWi-Fi情報を取得。その後、Wi-Fi経由でウォールコネクターにアクセスし、TCPデバッグシェルを用いてバッファオーバーフロー脆弱性を突き、内部コマンドの実行に成功。最終的には、LEDを点滅させ続けることに成功したとのことです。こうして文章で読むと簡単そうに思えるかもしれませんが、実際には極めて高度な技術と広範な知識が要求される攻撃で驚かされます。
このようなウォールコネクターのようにネットワーク経由で操作可能な機器は、家庭や企業のLANに接続されていることが一般的です。したがって、こうした機器が足がかりとなり、プライベートネットワークに侵入されたり、内部の他の機器に対して横展開攻撃が行われたりする可能性も十分に考えられます。こうしたケースを見るにつけ、インターネット経由でない物理的な接続やローカルネットワーク内での攻撃にも、今後より一層の警戒が求められるでしょう。
また、他のローカルネットワーク内での脆弱性として三菱電機のビル空調システムに脆弱性が発見され、エアコンが勝手に操作される危険性が話題となっていました。この猛暑の中では、まさに笑えない深刻なリスクです。