悪霊にさいなまれる世界 -The Demon-Haunted World

30代独身機械系技術者が雑記/セキュリティ/資産運用なんかを書きます/PGP・GPG Key:BC884A1C8202081B19A7A9B8AB8B419682B02FF8

トルコとエジプトのネットワークで、DPIを用いスパイウェアやアドウェアへリダイレクトさせるミドルボックスが発見された

元記事:THECITIZEENLABより

BAD TRAFFIC Sandvine’s PacketLogic Devices Used to Deploy Government Spyware in Turkey and Redirect Egyptian Users to Affiliate Ads?

citizenlab.ca

 クッソ長いのですが基本的に論文はSummaryとConclusionを読めば良いのです。

要約すると、

  1. 研究者たちはトルコのTürkTelekomとエジプトのTelecom Egyptのネットワークにミドルボックスが存在することを発見した
  2. このミドルボックスはトルコにおいてはAvast Antivirus、CCleaner、Opera7-ZipなどのWindowsアプリケーションを公式サイトからDLする時にスパイウェアの入ったバージョンに自動的にリダイレクトさせていた。これは公式サイトがHTTPS接続だったとしても、ダウンロード経路がHTTPSではないことがあるため可能だった。
  3. エジプトにおいては、暗号化されてない通信を丸ごとハイジャックしてアフィリエイト広告や暗号通貨採掘スクリプトなど、収益を生み出すコンテンツにリダイレクトさせていた。
  4. 調査の結果、Procera/Sandvine社のPacketLogicによるディープパケットインスペクション(DPI)がこのミドルボックスに使用されていることが分かった。
  5. また、両国において政治や人権に関するサイトをブロックするのにもPacletLogicを使用していることも分かった。

と言うわけです。あとは発見に至った経緯や詳細な技術情報は自力で読んでください。

 

考察

内容に関してはそこまで驚きではないです。「行われているだろうと思われていたことが、実際に行われていた」というレベル。

ただ、実際に通信経路が国家レベルで乗っ取られて、DLしたアプリケーションがスパイウェア入り、と言うのは予想はされてたけれども本当にやるのか…と言う意味では驚き。しかし、トルコの方はシリア関連も含めたスパイ活動だろうと予想できるけど、エジプトの方は収益狙いというのが謎。国家ぐるみと言うより、機関の一部の人間が小遣い稼ぎを狙っているのかな、と言う印象。

 

対策としては

  • 公式サイトだけでなく、ダウンロード経路もHTTPSであることを確認する。
  • インストールの時に署名を確認する
  • 出来ればPGP/GnuPGによる署名も確認する

という、まぁ基本と言えば基本的なことを守るしかないのかな、という感じです。いくらOSSだからといってソースコードをDLして自分でビルドするというのはさすがにね…