TT Malware Log

マルウェア / サイバー攻撃 / 解析技術 / 攻撃組織 に関する「個人」の調査・研究・参照ログ

Tor security advisory: exit relays running sslstrip in May and June 2020

【ブログ,】

◆Tor security advisory: exit relays running sslstrip in May and June 2020 (Tor, 2020/08/14)
[Torセキュリティ勧告:2020年5月と6月にsslstripを実行するリレーを終了する]
https://blog.torproject.org/bad-exit-relays-may-june-2020


【詳細】

2020年5月、私たちは出口トラフィックに手を出していたTorの出口リ
レーのグループを発見しました。具体的には、ほとんどすべての出口
トラフィックを放置し、少数の暗号通貨交換サイトへの接続を傍受し
ていました。ユーザーがこれらのサイトの HTTP バージョン(暗号化
されていない、認証されていないバージョン)を訪れた場合、そのサ
イトがユーザーを HTTPS バージョン(暗号化された、認証されたバ
ージョン)にリダイレクトするのを阻止した。ユーザーが HTTPS バ
ージョンのサイトにたどり着いていないことに気づかず(ブラウザに
錠前のアイコンがない)、機密情報の送受信を進めた場合、その情報
は攻撃者に傍受される可能性がある。


我々は2020年5月にこれらの攻撃リレーをTorネットワークから削除し
た。2020年6月には、同様の攻撃を行っている別のリレーのグループ
を発見し、これらのリレーも削除しました。攻撃に成功したユーザー
がいたかどうかはわかりませんが、関係するリレーの規模や、攻撃者
が再挑戦したこと(最初のグループは総出口容量の約23%を提供して
おり、代わりのグループは約19%を提供していました)から、攻撃者
は攻撃を継続することがリソースの有効活用になると考えたと考える
のが妥当です。


この状況は、HTTP リクエストは暗号化されておらず、認証もされて
いないため、やはり攻撃を受けやすいということを思い出させてくれ
ます。Tor Browser には、そのリスクを軽減するために HTTPS-Every
where が搭載されているが、インターネット上のすべての Web サイ
トをリストアップしているわけではないため、部分的にしか成功して
いない。あるサイトの HTTP バージョンを訪れたユーザーは、常に高
いリスクにさらされることになる。


【関連情報】

◆ハッカーが匿名通信「Tor」に悪意のあるノードを追加し通信を傍受 (Gigazine, 2021/05/11 14:00)
https://gigazine.net/news/20210511-tor-exit-relay-tracking/
https://malware-log.hatenablog.com/entry/2021/05/11/000000_7


Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 1997 - 2023