Ubisoft「サイバーインシデント」後に従業員のパスワードをリセットした理由を明言せず

ゲーム業界大手のUbisoft(ユービーアイソフト)は、会社のパスワードが大量にリセットされたセキュリティインシデントを確認したが、実際の事件の内容については明言を避けた。

Ubisoftは簡単な声明の中でこう述べている。「先週、Ubisoftは当社のゲーム、システム、サービスの一部に一時的な混乱を引き起こすサイバーセキュリティインシデントを経験しました。当社のITチームは、外部の一流専門家と協力して、この問題を調査しています。予防措置として、全社的にパスワードのリセットを開始しました」。

「また、当社のすべてのゲームとサービスは正常に機能しており、現時点では、この事件の副産物としてプレイヤーの個人情報にアクセスまたは暴露された証拠はないことをお知らせします」と声明は述べている。

フランスに本社を置く同ゲーム会社は「Assassin’s Creed (アサシン クリード)」や「Far Cry(ファークライ)」シリーズで知られている。10月に発表された同社の最新の業績報告書によると、Ubisoftのアクティブプレイヤー数は1億1700万人とされる。

ユーザーのパスワードや従業員の認証情報が漏洩した恐れがある場合、企業がパスワードのリセットを開始するのは珍しいことではない。

TechCrunchは、Ubisoftにいくつかの質問を送った。その中で、ネットワークへの侵入かどうかなど、サイバーセキュリティインシデントの性質について説明するよう求め、不正なデータアクセスや流出の証拠を検出するためのログなどの手段を有しているかどうかを尋ねている。ログがあれば、データが流出したかどうかを、ログがなく証拠もない場合よりも高い確度で知ることができる。

Ubisoftの広報担当者は、このインシデントに関して「これ以上共有する情報は何もない」と述べている。

画像クレジット:Frederic J. Brown / Getty Images

[原文へ]

(文:Zack Whittaker、翻訳:Den Nakano)

「NetWalker」ランサムウェア攻撃関与の元カナダ政府職員が米国に送還、約32億円超相当のビットコイン押収

数十のランサムウェア攻撃を行ったとして起訴されたカナダの元政府職員が米国に送還され、この事件に関連して2800万ドル(約32億8500万円)以上のビットコインが押収された。

LinkedInのプロフィールによるとカナダ公共事業・政府業務省(PWGSC)でITコンサルタントとして働いていたSebastien Vachon-Desjardins(セバスチャン・ヴァション=デジャルダン)容疑者は、米国時間3月9日に米国に身柄を引き渡され、NetWalkerランサムウェアグループに参加した疑いで複数の罪に問われると、米国司法省(DOJ)は3月10日に発表した

NetWalkerは「Mailto」としても知られるRaaS(ランサムウェア・アズ・ア・サービス)で、ランサムウェアを展開するアフィリエイトを募り、身代金の一部を分配することで事業を展開している。このグループは2019年に初めて表面化し、その後、いくつかのハイプロファイルのサイバー攻撃と関連している。2020年6月にはカリフォルニア大学サンフランシスコ校を標的にし、その際に同校は100万ドル(約1億1700万円)以上の身代金を支払った。その3カ月後、NetWalkerはサイバー脅威スタートアップのCygilant(サイジアント)を襲った

このRaaS運営グループは、アルゼンチンの移民局、パキスタン最大の民間電力会社、そして新型コロナウイルスのパンデミック中には、多くの病院や法執行機関も標的にしていた。暗号資産分析会社Chainalysisによると、2019年8月から2021年1月の間に、NetWalkerが関与するランサムウェア攻撃は、4600万ドル(約53億円)にのぼる身代金を引き出しているという。

ヴァション=デジャルダン容疑者は、NetWalkerランサムウェアグループを標的とした国際法執行キャンペーンの一環として、2021年1月にカナダの警察に逮捕された。ケベック州にある彼の自宅を捜索した際、警察官は執筆時点で約2810万ドル(約33億円)相当の719ビットコインと、79万ドル(約7280万円)のカナダ通貨を発見した。米国とベルギーの当局は、NetWalkerが被害者から盗んだデータを公開するために使用していたダークウェブのサイトも差し押さえている

当時、ヴァション=デジャルダン容疑者は、カナダの裁判所で、コンピュータデータの窃盗、恐喝、暗号資産の身代金の支払い、犯罪組織の活動への参加に関する5つの罪を認め、7年の禁固刑を言い渡された。

ヴァション=デジャルダン容疑者は現在米国にいるため、コンピュータ詐欺と電信詐欺の共謀、保護されたコンピュータへの故意の損害、保護されたコンピュータへの損害に関連した要求の送信で告発され、さらなる罪に問われている。

有罪判決を受けた場合、NetWalkerランサムウェア一味との関わりにより、2700万ドル(約31億6800万円)以上の没収を求められる可能性がある。

ケネス・ポリテ・ジュニア司法次官補はこう述べている。「カナダのパートナーによる暗号資産の押収に代表されるように、我々は、国内外を問わず、ランサムウェアの収益とされるものの押収・没収を法的に可能なあらゆる手段を用いて追求します。当省は暗号資産だからといって身代金の追求と押収をやめることはなく、これにより、暗号資産を使って法執行から逃れようとするランサムウェア犯の企みを阻止します」。

ヴァション=デジャルダン容疑者の送還のニュースは、REvilランサムウェアグループのメンバーがKaseyaハッキングへの関与の疑いで逮捕され、米国で告発を受けるためにテキサス州に送還されたわずか数日後に発表された。

画像クレジット:TechCrunch(スクリーンショット)

原文へ

(文:Carly Page、翻訳:Den Nakano)

欧州議会、EU加盟国によるスパイウェア「Pegasus」の使用について調査を開始

欧州議会は11日、欧州加盟国が強力なモバイルスパイウェア「Pegasus(ペガサス)」を入手・使用した疑惑を調査するため、新たに「調査委員会」を設置することを決議した。

EU加盟27カ国におけるPegasusやその他の監視スパイウェアの使用を調査する委員会の設置について、議員たちは概ね賛成票を投じた。調査委員会は、議員が欧州法違反の可能性を調査することを可能にする。

欧州議会は声明の中で、同委員会は「監視を規制する既存の国内法を調査し、Pegasusスパイウェアが、例えばジャーナリスト、政治家、弁護士などに対して政治目的で使用されたかどうかを調査する予定である」と述べている。

Pegasusは、イスラエルのNSO Group(NSOグループ)によって開発された強力なモバイルスパイウェアで、ターゲットの端末内のデータにほぼ完全にアクセスすることができる。NSOは、より広範な監視シーンで有名なスパイウェアメーカーの1つで、デバイスのソフトウェアのセキュリティ上の欠陥や弱点を突くことで、政府や警察によるデバイスデータへのアクセスを可能にしている。だが研究者たちは、重大な犯罪者やテロリストのみが標的になっているという保証にもかかわらず、市民社会のメンバーであるジャーナリスト、活動家、人権擁護者などが、Pegasusスパイウェアを使用する政府によってターゲットにされていることを一貫して発見している。

この委員会の設立は、欧州データ保護監察機関(EDPS)が、ハンガリーとポーランドの2つのEU加盟国でこのスパイウェアが導入されたという報告を引用して「前代未聞のレベルの立ち入り」を恐れ、Pegasusとその他のモバイルスパイウェアの使用をEU全域で禁止するよう求めてから1カ月も経たないうちに行われた。

1月、Citizen Labの研究者は、野党議員のKrzysztof Brejza(クシシュトフ・ブレジザ)氏を含むポーランド与党の批判者が、このスパイウェアの標的になっていた証拠を発見した。ブレジザ氏の携帯電話から盗まれたテキストメッセージはその後流出し、改ざんされて国営テレビで放送され、その後彼は僅差で選挙に敗れた。ブレジザ氏はその後、ポーランド政府が選挙に介入したと非難している。

研究者たちは、フランス、ドイツ、スペインでもPegasus感染を報告している。

欧州の規則により、欧州議会のPegasus委員会は1年間運営されるが、最大で6カ月間延長が可能だ。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Den Nakano)

ツイッター、被害者の妊婦を「とてもリアルなメイクをした役者」と主張するロシア大使館のツイートを削除

隣国ウクライナへのおそろしい侵攻が拡大するのにともない、ロシア大使館に関する一連のTwitterアカウントは誤情報をばらまいているが、長くは続かないだろう。

というのも米国時間3月10日、Twitterはマリウポリの病院爆撃の現場から避難しようとする被害者の妊婦を「とてもリアルなメイクをした役者」だと主張する、特にひどいツイートに対して行動を起こしたからだ。そのアカウントはロンドンにあるロシア大使館のもので、現在行われているウクライナでのロシアに侵略行為に関する嘘の情報を熱心に撒き散らしていた。

爆撃の後の妊婦の写真へのレスとして@RussianEmbassyは次のようにツイートした。

彼女のメイクはとてもリアルだ。美容に関する彼女のブログも良くできている。しかも彼女は爆撃のとき、その産院にいたはずがない。あそこはかなり前からネオナチのアゾフ連隊が占拠し、スタッフ全員がそこを退去するよういわれていた。

このデマは、ロシア語のTelegramチャンネルから発信されたようで、病院にいたウクライナ人ブロガーが、爆破現場で2人の異なる妊婦の役を演じていたと非難している。

ロシアはウクライナへの軍事侵攻を否定し、歪曲し続けている。それらには、簡単にばれる嘘がくっついていることが多い。しかし、その情報は現在でも誤報のエコシステムの中で跳ね回っている。そしてますます活発になり、次のもっと奇怪な主張を煽っている。

Twitterはこの24時間で、ロンドンのロシア大使館による少なくとも3件のツイートをルール違反で削除している。それでも、大使館のフィードのトップに固定されたツイートは、ウクライナが、地元の指導者がロシア政権に支援されている同国東部の2地域の人々を「絶滅」させようとしていると非難している。

「絶滅」という言葉は、ウクライナへの宣戦布告を正当しようとするロシアの大統領ウラジミール・プーチンの、誤解を招く表現に呼応している。プーチンは2022年2月、「本日、ドンバスで起きていることはジェノサイドだ」と宣言し、侵攻のための偽りの基礎を築いた。侵攻に関するロシアの偽情報に対して、Twitterはどのような線引きをしているのかに関しては問い合わせをしている。

ロシアが「バーチャル」な大使館の存在を利用して自分たちだけの説をばらまくのは、これが初めてではない。Atlantic CouncilのDigital Forensic Research Lab(デジタル犯罪捜査研究所)は、ロシア政府が公式と非公式のアカウントのありとあらゆるかたちで組み合わせて、その歪曲されたメッセージをオンラインで増幅している方法を調査研究している。

上級研究員のBen Nimmo(ベン・ニモ)氏は「使用するチャネルの一部は明白かつ公式で、その他は内密で独立と称しています。すべてが協働して複数の声と視点を装い、組織化されていることを隠蔽します」と述べている。

米国時間3月10日、Twitterは、少なくとも1つの、顕著な偽情報ソースsuspending @asbmilitaryに対するより決定的アクションを行った。このアカウントは、ウクライナに米国の生物兵器研究所があるという、偽りの陰謀理論の拡散で活動的な役割を演じた。バイデン政権は、生物兵器関連の誤報の殺到が、ロシアの化学兵器攻撃の前触れなのかもしれないと懸念している

関連記事
Reddit、誤報の「大量」発生を理由にr/Russiaを隔離
TikTokがロシアの「フェイクニュース」法を受け同国内での投稿を停止

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(文:Taylor Hatmaker、翻訳:Hiroshi Iwatani)

ポーランドで逮捕されたランサムウェア犯罪グループ「REvil」のメンバー1人が米国に引き渡される

ランサムウェアグループ「REvil(レヴィル)」の主要メンバーの1人とされる人物が逮捕され、米国で裁きを受けるためにテキサス州に引き渡された。この人物は、IT管理ソフトウェアを提供するKaseya(カセヤ)にサイバー攻撃を仕かけ、同社の数千もの顧客のネットワークを暗号化した犯罪の実行犯である疑いがあると、連邦当局は述べている。

この22歳のウクライナ人、Yaroslav Vasinskyi(ヤロスラフ・ヴァシンスキー)容疑者は、現地時間10月8日にポーランドで逮捕された。8月に提出された起訴状によると、同容疑者はコンピュータハッキングと詐欺の疑いで告発されており、今週ダラスの連邦裁判所に喚問され引き渡されるまで拘束されていた。

一時期、別名Sodinokibi(ソディノキビ)とも呼ばれるサイバーギャング組織のREvilは、最も活発で多くの犯罪を行っているランサムウェアグループの1つだった。同グループは、しばしば被害者のコンピューターを暗号化し、高額な身代金を要求することがある。このロシア語を話すランサムウェア・アズ・ア・サービスの手口は、身代金として企業の利益の一部を受け取る代わりに、暗号化を解除するためのインフラへのアクセスを貸し出すというものだ。

このグループは出現以来、食肉加工工場のJBSに攻撃を仕掛けて食糧生産に遅れを生じさせたり、パソコンメーカーのAcer(エイサー)やエネルギー大手のInvenergy(インベナジー)などの企業のデータベースに侵入して個人情報を流出させた。

しかし、最も注目を集めたのは、ITおよびネットワーク管理ソフトウェア会社のKaseyaに対する攻撃だ。REvilのランサムウェアは、同社のソフトウェアを使用する顧客のネットワークで下流に向けて拡散し、数千の企業が影響を受けたとされる。そこで米国政府は、このハッカーを裁くための情報を求めて、1000万ドル(約11億7000万円)の懸賞金を打ち出すことになった。

Kaseyaの攻撃から数週間後、同社は世界共通の復号キーを入手し、顧客が数百万ドル(数億円)相当の身代金を支払わずともシステムのロックを解除できるようにした。The Washington Post(ワシントン・ポスト紙)によると、FBIは密かにキーを入手し、Kaseyaの攻撃で非難された後、しばらくしてインターネットから姿を消したハッカーの取り押さえを計画していたが、それは実現しなかったという。

10月までに米国政府は、この犯罪グループをオフラインに追い込む多国籍の取り組みを行っていたことを明らかにした。その後、ルーマニアとロシアの法執行機関がメンバーを逮捕し、グループはほぼ解体され、数百万ドルの現金と暗号資産が押収された。

「海外からKaseyaへのランサムウェア攻撃を行ったとみられる時からわずか8カ月後、この被告人は裁きを受けるためにダラスの法廷に到着しました」と、米国司法長官代理のLisa Monaco(リサ・モナコ)氏は声明で述べている。「私たちは攻撃されたら、国内外のパートナーと協力し、サイバー犯罪者がどこにいようと追い求めます」。

ヴァシンスキー容疑者は、Kaseyaの攻撃に関連して米国検察当局によって起訴されたREvilのメンバーとされる2人のうちの1人で、もう1人は28歳のロシア人、Yevgeniy Polyanin(エフゲニー・ポリアニン)である。

ヴァシンスキー容疑者は、有罪判決を受けた場合、100年以上の懲役刑が科せられる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

ライフログアプリSilentLogを提供するレイ・フロンティアが個人ユーザー・自治体・企業に向け防災機能をリリース

ライフログアプリSilentLogを提供するレイ・フロンティアが個人ユーザー・自治体・企業に向け防災機能をリリース

レイ・フロンティアは3月11日、インストールしておくだけで歩数と道のりを自動で記録するライフログアプリ「SilentLog」(サイレントログ。Android版iOS版)において、防災機能をリリースした。「災害に備えて、水や食料などと同様に、日々の行動データを備蓄しましょう」をコンセプトとした防災機能で、SilentLogの標準機能として無料で提供する。

また同機能では、ニーズに合わせて「SilentLogユーザー向け防災情報プッシュ配信」「自治体など防災情報発信者向け」「新規防災アプリを構築したい企業向け」の3つのサービスを提供している。

SilentLogユーザー向け防災情報プッシュ配信

ライフログアプリSilentLogを提供するレイ・フロンティアが個人ユーザー・自治体・企業に向け防災機能をリリースLアラートから防災情報を受信し、SilentLogアプリにプッシュ配信する。平時からアプリに保存された日々の行動情報を分析し、アプリユーザーごとの「よく行く地域」を集計。防災情報が発令された有事の際には、個別にそれら地域の防災情報を即座に自動配信する。平時の集計結果により防災情報を配信するため、あらかじめ防災情報の受信地域の設定が必要がないという。

また、防災情報が発令された後の行動情報も集計して効果測定を行い、防災情報の配信方法を改善していく。配信は2022年4月1日からとし、2022年3月22日から3月25日にかけてテスト配信を実施。

自治体など防災情報発信者向け

ライフログアプリSilentLogを提供するレイ・フロンティアが個人ユーザー・自治体・企業に向け防災機能をリリースレイ・フロンティアでは、同社環境内のSilentLog以外のアプリユーザーに対しても、防災情報受信後のユーザー行動を集計しているという。SiletLog SDKを使用して同社環境でアプリを構築すると、防災情報受信後のユーザー行動を集計。この集計結果により、防災情報発信の効果測定ができるようになる。構築するアプリは、防災系に限らず健康系など特にジャンルに制限はない。アプリ導入事例については同社に事例集がある。

新規防災アプリを構築したい企業向け

ライフログアプリSilentLogを提供するレイ・フロンティアが個人ユーザー・自治体・企業に向け防災機能をリリース今回SilentLog用に構築した環境を利用することにより、企業向けにも防災アプリの構築が可能。Lアラートへの利用申請と審査が必要となる。お問合せはこちら

イタリア、Clearview AIに罰金約25億円とデータ削除を命令

欧州のプライバシー監視機関がまたもや、物議を醸している顔認識企業Clearview AI(クリアビューAI)に制裁を科した。同社はインターネットから自撮り写真を収集し、約100億の顔データベースを構築して、法執行機関に身元確認サービスを販売している。

イタリアのデータ保護当局は現地時間3月9日、EU法に違反したとして同社に2000万ユーロ(約25億円)の罰金を科すと発表した。また、同社が保有するイタリア国民に関するあらゆるデータの削除を命令し、市民の顔の生体情報を今後処理することを一切禁止した。

当局の調査は「苦情と報告」を受けて開始されたもので、個人情報保護法違反に加えて、同社がイタリア国民とイタリアに住む人々を追跡していたことが判明した、と述べている。

「調査によって、生体認証データや位置情報データを含め、同社が保有する個人データが、適切な法的根拠なく違法に処理されていることが明らかになり、これはClearview AIの正当な利益とはなり得ない」と、イタリアのデータ保護機関Garanteはプレスリリースで述べている。

その他のGaranteが欧州一般データ保護規則(GDPR)違反と認めたものには、透明性義務違反(Clearview AIがユーザーの自撮り写真で何をしているかを十分に伝えていない)、目的制限違反、ユーザーデータをオンラインで公開した目的以外に使用したこと、さらに保存に制限がないデータ保持規則違反が指摘されている。

「したがって、Clearview AIの活動は、機密の保護や差別されない権利など、データ主体の自由を侵害している」とも当局は述べている。

今回のGDPR制裁について、Clearview AIにコメントを求めている。

イタリア当局の対応は欧州のプライバシー監視機関としてはこれまでで最も強いものだ。英国のデータ保護機関ICOは2021年11月に同社に罰金の可能性を警告し、またデータ処理の停止を命じた。

同年12月にはフランスのデータ保護機関CNILも同社に市民のデータ処理の停止を命じ、保有しているデータの削除に2カ月の猶予を与えたが、金銭的制裁については言及しなかった。

しかし、イタリアが米国に本社を置く同社から2000万ユーロの罰金を徴収できるかどうかは、かなり大きな疑問だ。

制裁を発表したプレスリリースでGaranteは「データ主体の権利行使を容易にするため」、Clearview AIにEU域内の代表者を指名するよう命じたことも記されている(EU法での法的要件を同社が満たしていなかったと判断された)。しかし、EUに拠点を置く同社の事業体がないため、イタリアが罰金を徴収することはかなり難しい。

EUのGDPRは、書類上では域外適用となり、EU域内の人々のデータを処理するすべての人に適用されるが、制裁を加えるべき現地法人や役員を持たない外国企業に対して制裁を加えることは、法律の適用範囲を現実的に制限することになる。

とはいえ、DPAは制裁対象企業の顧客となった愚かな現地企業を常に追及することができる。スウェーデンの監視機関が2021年、Clearview AIの顔認識ソフトウェアを違法に使用したとされる地元警察に罰金を科したのはいい例だ。

同社がEU市場で禁止行為を行うたびに、潜在的な顧客基盤は縮小していく。確かに公共部門においては、法執行機関がIDマッチング技術の主要なターゲットであることに変わりはない(だが、最近のワシントンポスト紙の報道によると、金融サービスやギグエコノミープラットフォームをターゲットとした民間セクターへのID照合サービスの販売を含む、同社のビジネスの大規模な拡大を投資家に売り込んでいるようだ)。

国際的な事業拡大について、Clearview AIは自社の投資家に対して強気の発言をしていると伝えられているが、物議を醸している同社はカナダからオーストラリアまで、世界中でプライバシーに関する制裁を受けている。

そのため、米国に拠点を置く法執行機関が利用し続けるとしても、国際的に拡大する同社の能力の制限は広がり続けている。当の米国でも、いくつかの州が生体認証の使用を制限する法律を可決した。これは、同社が自国においてさえ、その反プライバシー技術の使用拡大で法的問題に直面していることを意味する。

画像クレジット:John M Lund Photography Inc / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

ソフトウェア開発者向けのサイバーセキュリティ事業を展開するFlatt Securityは3月9日、ソフトウェアサプライチェーンのためのセキュリティプラットフォーム「Shisho Cloud」(シショウクラウド)のサービス公開に先立ち、事前登録を同日より開始することを発表した。事前登録したユーザーには、4月上旬より優先的に案内する予定。

Shisho Cloudの事前登録は、公式サイトより行える。3月末日までに登録すると、初期費用が無料になる特典も用意されている(適用条件あり)。

Shisho Cloudは、開発したソフトウェアを顧客に届けるまでの一連の過程(ソフトウェアサプライチェーン)に関連するセキュリティ上の問題発見から修正までを、半自動的に支援するセキュリティプラットフォーム。GitHubなどのソースコード管理システムと連携することで、運用状態やその上で管理されているソフトウェアの依存関係・設定ファイルなどを継続的かつ自動的にレビューする。

これにより、自社組織がソフトウェアサプライチェーンに関するリスクをどの程度抱えているか、どのように改善できるかを、セキュリティフレームワークに沿って評価・モニタリングすることが可能という。Flatt Securityが提供するセキュリティチェックの他にも、自社固有のポリシーを定義・利用することも可能。この際、ポリシー記述言語Rego、WebAssemblyにコンパイル可能な複数のプログラミング言語を利用できる。

また、複数の開発チームが組織内に存在している場合や、複数のソースコード管理システムが利用されている場合など、開発組織全体を横断してリスク管理を行なうユースケースにも対応しており、全チームの状況を俯瞰してリスクを把握することもできる。

サービスの開始にあたり、直近では、ソフトウェアサプライチェーンに存在する重要なリスクの発見と修正の半自動的なサポートを目的とした下記の機能が提供される。Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

  • GitHubなど、各種ソースコード管理システムの安全な運用や監査を補助する機能
  • IaC (Infrastructure as Code) コードを継続的かつ自動的にレビューし、その中の設定不備の検出・具体的な修正方法の提案を行う機能
  • クラウドサービスのAPIキー・アクセスキーなどのシークレットや、個人情報などが、ソースコード内に不適切にハードコードされていないかを継続的に検査する機能
  • ソフトウェアパッケージの依存関係を解析・管理することで、既知の脆弱性が存在する依存先や知らぬ間に変更されうるような依存先、悪意のある依存先を検出し、更新を提案する機能
  • CI/CDワークフローの外部スクリプト・ワークフローへのリスクのある依存や、外部からのスクリプト注入を許すようなワークフローを検出する機能

 

長期的には、SLSAin-totoのようなソフトウェアサプライチェーンに関するフレームワークや、OpenSSFのような同領域に関するコミュニティの各種プロジェクトの展開を踏まえ、開発環境から実際のアプリケーション運用環境まで一貫したサポートの提供を予定しているという。

ツイッターがTor経由で匿名アクセスできる公式サイトを開設、ロシア当局による検閲回避のため

ツイッターがTor経由で匿名アクセスできる公式サイトを開設、ロシア当局による検閲回避のため

Jakub Porzycki/NurPhoto via Getty Images)

ロシア政府は今月初め、ウクライナ侵攻に伴い国内でTwitterをブロックしました。これを受けてTwitterがTor(The Onion Router)匿名化ネットワークを経由してアクセスできるWebサイトを開設したことが明らかとなりました。

これは元Facebookのセキュリティインフラストラクチャ担当者で、Tor Onionサービスの展開を容易にするEnterprise Onion Toolkitを開発したAlec Muffett氏がTwitterで表明したことです。「おそらく、私がこれまで作成した中で最も重要かつ待望のツイートだ」「Twitterを代表して、彼らの新しいTorプロジェクトのOnionサービスを発表できることを嬉しく思います」と述べられています。

Torとはデータを匿名で送信する技術のこと。The Onion Router、すなわち玉ねぎルーターと呼ばれるのは、わざと通信経路に多段プロキシおよびルーターを設定し、中継のたびに玉ねぎの皮のように暗号化を重ねることで送信元(IPアドレス)の特定を困難にする技術であるためです。

TwitterのTor版のアドレスは、https://twitter3e4tixl4xyajtrzo62zg5vztmjuricljdp2c5kshju4avyoid.onion。このURLにアクセスするためにはTor対応ブラウザをインストールする必要があり、Tor非対応のブラウザでは開けません。

このTor版Twitterサイトは、ウクライナ侵攻とロシア当局によるSNSや独立系メディアへのアクセスに対する締め付けが激しさを増す中で登場した文脈を考えると、史上最も重要なTor onionサービスの1つになると思われます。

米Motherboardに対して、Twitterの広報担当者は「わが社のサービスをよりアクセスしやすくすることは、優先すべきことであり続けています」とメールで語り、上記のTor版サイトのURLが含まれているサポートページに言及したとのことです。

Tor Project(Tor匿名ネットワークのソフトウェアの保守を担当している非営利団体)が管理しているデータによると、3月までにはTorリレーユーザーの12.77%がもともとロシアから接続していたそうです。またFacebookはすでに2014年にTor版を立ち上げており、1ヶ月で接続ユーザーが100万人を突破したと発表していました

いま現在のロシア国内では、ウクライナの現状の映像を流したり、ウクライナ侵攻を批判することが厳しく取り締まられています。それを受けてAnonymousがロシア国営TVなどの配信チャンネル乗っ取った一件もありましたが、独自の「正義」を持つ人々に任せきりにしていいとも思われません。TwitterやFacebookなど一応のフェイクニュースチェック機構を備えたSNS等を通じて、ロシアの人々が正しい情報に触れることを祈りたいところです。

(Source:Alec Muffett(Twitter)MotherboardEngadget日本版より転載)

セーフィーのウェアラブルカメラSafie Pocket2を千葉県八千代市消防本部が試験導入、訓練形式の人命救助実証試験

セーフィーのウェアラブルカメラ「Safie Pocket2」を千葉県八千代市の消防本部が試験導入、訓練形式の人命救助実証試験

クラウド録画サービスを展開するセーフィーは3月8日、ウェアラブル・クラウドカメラ「Safie Pocket2」(セーフィー ポケット ツー)が千葉県八千代市の消防本部に試験導入され、訓練形式の人命救助実証試験を実施したことを発表した。千葉県は近年、豪雨による甚大な被害を受けたことから、その経験を教訓として活かし「災害に強いまちづくり政策パッケージ」を策定、最新テクノロジーを積極的に採り入れている。

Safie Pocket2は、バッテリーとSIMを搭載し、電源を入れるだけで現場と本部とを映像と音声で結ぶことができる小型カメラ。2021年3月にも、キヤノンマーケティングジャパン、シーデーシー情報システムと連携して行われた千葉市の災害対策実証試験において採用された。これまで数回にわたる実証試験を通してSafie Pocket2の仕様と機能は最適化され、災害現場の状況を正確に迅速に把握できるようになっている。

この実証試験で検証できた内容は、以下の4つ。

要救助者の重症度などの状況を現場と本部とでリアルタイムに共有

隊員のカメラとドローンの映像を組み合わせて本部が状況確認・情報共有し、活動方針を判断。担架で運び出される救助者の様子を接写映像で把握。他機関とも映像をリアルタイム共有して連携した。

要救助者を遠隔からフォロー可能に

要救助者が閉じ込められた狭い空間に隊員が入り、内部の詳細な状況を収集・伝達。音声だけでは伝わりにくい状況を映像で共有。救助されるまでの間、要救助者とカメラを通して声かけし、監視した。

カメラの位置情報を確認し、各活動場所にいる隊員に的確な指示出し

災害現場に投入した消防力を確認しつつ、隊員を適正に配置した。

隊員による消防活動の行動の振り返りに利用

事後検証、隊員の教育にカメラの映像を利用した。

また、火災現場では無線機やマイクが水滴や粉塵で使えなくなってしまうことがあるが、Safie Pocket2なら現場の状況を「映像と音声の二軸で判断」でき、通常業務に支障をきたすことがなかったとのことだ。セーフィーのウェアラブルカメラ「Safie Pocket2」を千葉県八千代市の消防本部が試験導入、訓練形式の人命救助実証試験

グーグルがセキュリティインテリジェンスのMandiantを6250億円で買収

サイバーセキュリティが多くの企業にとって最重要課題となっている今、Google(グーグル)はセキュリティインテリジェンス企業Mandiant(マンディアント)を54億ドル(約6250億円)で買収すると発表した。この買収によりセキュリティデータ収集能力と数百人のセキュリティコンサルタントチームを獲得する。Mandiantは買収完了後、Google Cloud(グーグルクラウド)に加わる予定だ。

Google Cloudの責任者Thomas Kurian(トーマス・クリアン)氏は、特にウクライナでの戦争が激化する中で、企業はかつてないほどのセキュリティ脅威に直面しており、MandiantはGoogle Cloudのプラットフォームにセキュリティサービスをもたらす、と指摘した。

「買収はエンド・ツー・エンドのセキュリティ運用を提供し、世界最高のコンサルティング組織の1つを拡張する機会です。力を合わせることで、クラウドの安全性を確保し、クラウドコンピューティングの導入を加速させ、最終的には世界をより安全にすることに大きな影響を与えることができます」とクリアン氏は声明で述べた。

GoogleはMandiantに1株当たり23ドル(約2660円)を支払う予定で、これは10日間の加重平均株価に57%のプレミアムを上乗せした額だ。Mandiantの株価は、この1年間で約18%上昇し、買収に関する噂が浮上し始めたここ数日でかなり急騰した

Moor Insights & Strategyの創業者で主席アナリストのPatrick Moorhead(パトリック・ムーアヘッド)氏は、この買収によってGoogleの既存の強力なセキュリティ姿勢が改善・拡大されるはずだと話す。「Google Cloudは、自社クラウド内のセキュリティ提供において、常に高い評価を得てきました。Mandiantの買収は、あらゆるクラウドやオンプレミス構成への門戸を開くものです」と同氏は筆者に語った。

クラウドセキュリティ分野を注意深く観察しているGartnerのアナリスト、Neil MacDonald(ニール・マクドナルド)氏も、2022年初めのSiemplify(シンプリファイ)買収と合わせて、Googleが強力なセキュリティ事業を構築しつつあると指摘する。「Googleが最近Siemplify を買収してセキュリティ・オーケストレーション・オートメーション&レスポンス(SOAR)を実現したのに続き、Mandiantの買収もGoogleがGoogle Cloud事業の一部であるセキュリティ部門の収益拡大に真剣に取り組んでいるという明確なシグナルです」とマクドナルド氏は説明した。

特に、クラウド上のワークロードを保護することに不安を感じている潜在顧客にとっては、今回の買収によりGoogleのセキュリティに関する主張が強化されるはずだとマクドナルド氏は付け加えた。「セキュリティ・ベンダーとしての能力とブランド認知度を高めることで、Google Cloud Platform(GCP)導入の阻害要因であるセキュリティを取り除くことができるのです」と話した。

Crunchbaseのデータによると、Mandiantは2004年に創業され、これまでに7000万ドル(約81億円)を調達している。同社は2013年に10億ドル(約1156億円)でFireEyeに売却された。合併した会社は2021年に分離し、FireEyeはSymphony Technology Groupが率いるプライベートエクイティコンソーシアムに12億ドル(約1388億円)で売却された

当時、FireEyeのCEOに就任した創業者のKevin Mandiant(ケビン・マンディアント)氏は、この取引はMandiantの独立した事業としての価値を引き出すためのものだと述べていた。確かにFireEyeよりもはるかに高額の買収額だった。

今回買収される側になったMandiantは、買収によってGoogle Cloudの規模とリソースにアクセスできるようになると話す。「Google Cloudセキュリティポートフォリオの一部として、Mandiant Advantage SaaSプラットフォームを介して、大規模に我々の専門知識とインテリジェンスを提供します」と買収を発表した声明の中でマンディアント氏は述べている。

買収完了に向けては規制当局の調査をパスし、Mandiantの株主の承認を得なければならない。両社は、2022年後半に買収が完了すると予想している。

画像クレジット:Sean Gallup / Getty Images

原文へ

(文:Ron Miller、翻訳:Nariko Mizoguchi

身元確認、マネーロンダリング、詐欺の検知ツールを開発する英ThirdFortが22.7億円調達

英国では最近、マネーロンダリング(資金洗浄)が話題だ。同国は圧力に直面している。国内の一等地の不動産のような、巨額の資産に費やされた資金の出所を追跡するために規則を厳格にするだけでなく、ここ数週間のロシアへの制裁を受け、そうした規則を実際に適用すべきだという圧力だ。この国の首都は一部で「ロンドンの洗濯屋」と呼ばれている。

ロンドンのスタートアップThirdfort(サードフォート)が現地時間3月7日、1500万ポンド(約22億7000万円)の資金調達を発表した。同社は、プロフェッショナルサービス企業がより徹底したデューデリジェンスを行い、不審な点があれば警告できるようなプラットフォームを開発している。

今回の資金調達はシリーズAでBreegaがリードし、B2Bフィンテックに特化したElement Venturesの他、ComplyAdvantage、Tessian、Fenergo、R3、Funding Circle、Fidelの創業者らも出資した。

社長のOlly Thornton-Berry(オリー・ソーントン・ベリー)氏によると、同氏とJack Bidgood(ジャック・ビッドグッド)氏がThirdfortのアイデアを思いついたのは、友人がロンドンでアパートを購入する際にフィッシング攻撃を受けて2万5000ポンド(約380万円)を失ったことがきっかけだった。詐欺師が取引に関するデータを入手し、友人が購入手続きに使っていた法律事務所と似たようなドメインを作成し、友人の弁護士になりすまし、リンクを介して金額を送金するよう求めるメールを送ってきた。数週間後、その友人は同じ金額を、今度は本物の弁護士から要求されたため、皆は不正を疑い始めた。その友人がお金を取り戻すことはなかった。

ソーントン・ベリー氏は、この事件が、顧客が取引に入る前に専門サービス企業が要求する情報がいかに少なく、より巧妙な詐欺の試みに対して顧客がいかに保護されていないかを浮き彫りにしたと話す。

これがThirdfortという姿で結実した。同社は、LexisNexis、ComplyAdvantage、Companies Houseなど複数のリソースのビッグデータツールキットを提供する。ツールキットによって、複数のリソースを比べ(顧客が選び)、個人とその資金源に関するさまざまなデータポイントを提供できる。同社は、法律と不動産市場の企業のニーズに対応するツールをまず開発した。

現在の製品は2つの部分がある。まず、法人顧客向けに開発された「リスクエンジン」があり、これはKYC(know your customer)チェックだけでなく、企業がマネーロンダリング防止規制に準拠するためにも使用することができる。法律事務所のDAC Beachcroft、Penningtons Manches Cooper、Mishcon de Reya、不動産業のKnight Frank、Strutt & Parker、Winkworthなど、すでに約700社がこのプラットフォームを利用している。

第2に、そうした企業の消費者顧客向けに作られたアプリがある。このアプリは、オープンバンキングのインフラを利用して作られており、銀行自身の銀行アプリを経由して、企業と顧客の銀行を接続し、安全な方法で取引の決済を行うことができる。このアプリは、これまで約50万回ダウンロードされた。

米国のAlloy(この会社とThirdfortのどちらかが、もう片方の市場に参入すると、AlloyはThirdfortの競争相手となる)と同様、Thirdfortの売り文句はこうだ。しっかりやろうとすれば、本人確認や資金源調査にはもっと時間がかかり、多くは手作業になり、金もかかるというものだ。というのも、残念なことに、企業にとっては多くの場合、できるだけ早く取引を成立させることだけが利益となるからだ。そのため、資金が実際に届いたかどうかを確認する以上の徹底したデリジェンスを実行する意欲が失われてしまう。これが、決められたプロセスをきちんと実行させるための規制が重要となる理由の1つだ。

英国では長年にわたり規制強化が検討され、何度も押し戻されてきたが、世界情勢や世間の監視の目が厳しくなり、時代は変化しつつあるようだ。つまり、企業はより多くの業務をこなさなければならなくなり、Thirdfortのような企業にはチャンスとなる。

以前は、身元(ID)チェックは、大規模なIDデータベースのうちの1つを選択し、そのデータと一致することを確認していたが、ごまかすことは可能だった。また、銀行取引明細書が必要な場合、専門サービス会社にはファックスやPDFで送れば済んだが、偽物はオンラインで簡単に入手することができる(ここにサイトのリンクを貼ることはしない)。

「今、求められているのは、もっと多くのことです」とソーントン・ベリー氏は話す。「銀行から入手した明細で入出金の動きを見たり、顧客に具体的な質問をしたり、贈与された金額が明記されている場合には、それを精査をしたりと、徹底したデューデリジェンスを行う必要があるのです。AML(マネーロンダリング対策)の要求水準が高くなり、まったく新しい種類のワークフローが誕生しつつあります」。

Thirdfortは現在、主に詐欺の発見に焦点を当てているが(顧客の関わる約12件の疑わしい取引を止めることができたとソーントン・バリー氏はいう)、それはまた、AMLディリジェンスとコンプライアンス規制のために開発されたものでもある。もっと広く利用されれば、特に国際的な資金が絡む大きな取引で本領発揮する可能性がある。

「消費者とプロフェッショナルサービス双方にとって、詐欺のリスクとコンプライアンスの必要性は大きな負担となっています」とBreegaのプリンシパルであるMaxence Drummond(マクセンス・ドラモンド)氏はいう。「消費者は取引のたびに認証を受ける必要があり、規制を順守するプロフェッショナルらは顧客の確認とコンプライアンスに貴重な時間を費やしすぎているからです」。

原文へ

(文:Ingrid Lunden、翻訳:Nariko Mizoguchi

中国が支援するサイバー攻撃グループAPT41、「少なくとも」米国6州のネットワークに侵入

サイバーセキュリティ大手Mandiant(マンディアント)によると、金銭的動機に基づく活動と並行してスパイ活動を行うことで知られる、活発な中国のハッキンググループ「APT41」が、米国の複数の州政府のネットワークに侵入した。

このグループは、2020年にAPT41のメンバー5人が米国で起訴されたことにもめげず、少なくとも米国6州のネットワークを標的にして数カ月にわたる活動を行い、侵入に成功した。これらの州にはMandiantから通知が送られたが、州名は明かされなかった。

2021年5月から2022年2月にかけてこのハッキンググループは、脆弱なインターネット向けウェブアプリケーションを利用して、州ネットワークへの最初の足がかりを得た。これには、18の州が動物の健康管理に使用しているUSAHerdsというソフトウェアアプリケーションのゼロデイ脆弱性や、ユビキタスJavaロギングライブラリであるApache Log4jの、現在有名になっているいわゆるLog4Shellの脆弱性の悪用が含まれていた。

Mandiantによると、APT41は2021年12月にApache Foundationがこの脆弱性について公に警鐘を鳴らしてから数時間でLog4Shellを悪用し始め、2州の政府ネットワークや保険・通信業界の他のターゲットが侵害されるに至った。ネットワークへの足がかりを得たAPT41は「大規模」なクレデンシャル収集を行った。

今回の調査ではまた、APT41が使用するさまざまな新しい技術、回避方法、能力も明らかにされた。ある事例では、APT41が独自ウェブアプリケーションのSQLインジェクションの脆弱性を利用してネットワークにアクセスした後(この活動はMandiantによって阻止された)、2週間後に再び戻ってきて、まったく新しいゼロデイ・エクスプロイトでネットワークを再び侵害した。また、このグループは、マルウェアを被害者の環境に合わせ、特定のフォーラムの投稿で暗号化されたデータを頻繁に更新し、マルウェアが攻撃者のコマンド&コントロールサーバから指示を受けることができるようにしていた。

Mandiantは、ハッカーが個人を特定できる情報を流出させた証拠を確認したと述べたが、これは一般的にスパイ活動によくあることで、活動の目的は依然として不明だ。

Mandiantの主席脅威アナリストであるGeoff Ackerman(ジェフ・アッカーマン)氏は、ウクライナ侵攻を受けて世界がロシアのサイバー脅威の可能性に注目している一方で、今回の調査は、世界中の他の主要な脅威要因が通常通り活動を継続していることを思い出させるものだ、と述べた。

「特に、最も活発な脅威組織の1つであるAPT41の活動が今日まで続いているという我々の調査を踏まえると、他のサイバー活動を見過ごすことはできません」とアッカーマン氏は話した。「APT41はまさに持続的な脅威であり、直近の活動は、米国の州レベルのシステムがロシアだけでなく、中国などの国家支援ハッカーから容赦なく圧力を受けていることを改めて認識させるものです」。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ハッカー集団アノニマス、ロシア国営TVなどの配信チャンネル乗っ取りウクライナでの戦闘映像流す

ハッカー集団アノニマス、ロシア国営TVなどの配信チャンネル乗っ取りウクライナでの戦闘映像流す

ロシアがウクライナへの侵攻を開始した直後、AnonymousやCyber Partisanといった世界的ハッキンググループはロシアの銀行やニュースソース、ロシア軍が移動に利用したとされるベラルーシの鉄道網などにハッキング攻撃を仕掛けています。日本時間3月7日未明には、Anonymousがロシアの動画配信サービス「Wink」および「Ivi」さらにテレビ局の配信チャンネル 「Russia 24」 、「Channel One」、「Moscow 24」を乗っ取り、数十秒間ながらウクライナの現状の映像をロシア国民に向けて流しました。またロシアの通信衛星のハッキングも行い、フランス語圏に向けたRT(Russia Today)のチャンネルも映像を乗っ取られたとのこと。

ハッキング行為は直接的にはウクライナの危機を助けるものではありませんが、ハッキンググループはウクライナへの協力としてロシア政府の関係するサイバー部隊の動きを鈍らせることを意図してこうした攻撃をしていると主張しています。

ドイツ語圏のAnonymous分派グループは「DDoSだけでは体制を崩壊させることはできない」とブログに綴ったとIndependent紙は伝えていますが、それでも「民主主義に対してサイバー攻撃を仕掛けてきたプーチンはいま、しっぺ返しを食らっている」と述べていると伝えています。

なお、Anonymousは2月下旬以降、ロシア国防省やクレムリンなどを含む政府機関のウェブサイトを攻撃し、軍事的な通信内容の傍受などにも成功したと述べています。またテレビ放送の乗っ取りも2月末に一度行っており、やはりロシア以外の国における報道の様子をそのままロシア国民に向けて発信していました。

ただ、これで単純に「Anonymousすげー」と単純に称賛してしまってよいかといえば、そうではないでしょう。彼らは彼らにとっての正義に基づいて行動しているに過ぎません。過去には日本の財務省や最高裁判所といった官公庁のウェブサイトが、当時成立しようとしていた海賊版ダウンロード行為への罰則規定を含む改正著作権法に抗議するAnonymousに改ざんされたり閲覧不能にされる被害を受けています。

(Source:IndependentAnonyumousTV(Twitter)Engadget日本版より転載)

Alexa機器に不正コマンドをしゃべらせてドア解錠や不正注文させる攻撃「Alexa vs Alexa」が報告される―すでに対応済み

Alexa機器に不正コマンドをしゃべらせてドア解錠や不正注文させる攻撃「Alexa vs Alexa」が報告される―すでに対応済み

Engadget

Amazon Echo製品自らに音声コマンドをしゃべらせることで、ハッカーがドアの解錠や電話を掛けさせたり、意に沿わない発注や電子レンジなどスマート家電を乗っ取れる新たな攻撃方法が発見されたと報告されています。

この攻撃を報告したのは、ロンドン大学ロイヤル・ホロウェイ校とイタリア・カタニーナ大学の研究者らです。ざっくり言えば、Alexaの音声コマンドを含む音声ファイルをEcho機器のスピーカーで再生させるというもの。それにより近くに不審なスピーカーを置かなくとも、長時間にわたってEcho機器の制御を奪えるわけです。「Alexa vs Alexa」(AlexaによりAlexaを攻撃)ということで、「AVA」と名付けられています。

「AvA」は、攻撃者のデバイスが脆弱なEchoデバイスと接続されるところから始まります。それ以降、攻撃者は音声合成アプリなどを使ってEcho製品側のスピーカーにしゃべらせることで、任意の音声コマンドを実行できるとのこと。音声にウェイクワード(「アレクサ」など)が含まれ、その後に実行可能なコマンドが続くと実行され、口頭での確認を要求する場合でも、コマンドを発行してから約6秒後に「はい」という言葉を追加すれば、この措置をかんたんに回避できるそうです。Alexa機器に不正コマンドをしゃべらせてドア解錠や不正注文させる攻撃「Alexa vs Alexa」が報告される―すでに対応済み

次にあるのは、AvAが実際に動作している動画です。1:40~2:14の間にあるものを除き、あらゆるコマンドが実行できていることが確認できます。

また「FVV」(フルボイス脆弱性)と呼ばれる脆弱性を使うことで、自己発行コマンドの認識率を倍にして、追加のコマンドも実行しやすくなるとのこと。これはEcho機器がコマンドを聴き取るときの「デバイスの音量を一時的に下げる」動作をなくすと説明されています。

もっとも、この研究を受けてアマゾン側がセキュリティパッチを公開したため、論文で示された攻撃はできなくなっているそうです。研究者らは、この攻撃が第3世代および第4世代のEcho Dotデバイスに対して有効だったことを確認しています。

不正な買い物であればメールが送られてきますが、パスワードや個人情報を抜き取ったり、被害者が発言した内容をすべて傍受してデータベースに保存できる「マスク攻撃」という手口は気づくのが困難と思われます。

スマートライトは93%の成功率で制御でき、アマゾンへの不正注文は100%、リンクされたカレンダーは88%の確率で改ざんできたとのことです。実際に被害があったのかどうかは不明ですが、アマゾンが速やかに対応したのは不幸中の幸いと言えそうです。

(Source:Cornell University。Via Ars TechnicaEngadget日本版より転載)

サムスン、ハッカーによる社内ソースコード流出を確認

Samsung(サムスン)は、ハッカーが生体認証のロック解除操作に関するさまざまな技術やアルゴリズムのソースコードを含む約200ギガバイトの機密データを入手し、流出させたことを確認した。

NVIDIA(エヌビディア)に侵入し、その後数千人の従業員の認証情報をオンラインで公開したのと同じハッキンググループ「Lapsus$」が、この情報漏洩に関わっている。Lapsus$は、Telegramチャンネルへの投稿で、Samsungの携帯電話が機密処理を行うために使用するTrustZone環境にインストールされた信頼できるアプレットのソースコード、すべての生体認証ロック解除操作のアルゴリズム、最近のSamsung Galaxyデバイスすべてのブートローダーのソースコードを入手したと主張している。

また、盗まれたデータには、米国で販売されるSamsungのスマートフォンにチップセットを供給している米国のチップメーカーQualcomm(クアルコム)の機密データも含まれているとされている。

ソースコードにアクセスすることでハッカーは、他の方法では容易に発見できないセキュリティ上の脆弱性を見つけることができ、影響を受けるデバイスやシステムが悪用やデータ流出のリスクにさらされる可能性がある。

SamsungとQualcommの広報担当者にコメントを求めたがすぐに返事はなかった。しかし、ブルームバーグと共有した声明の中で、Samsungは特定の社内データに関する「セキュリティ侵害」を確認したが、ハッカーによる顧客や従業員の個人データへのアクセスはないと述べた。

「当社の初期分析によると、情報漏えいはGalaxy端末の操作に関連する一部のソースコードに関係していますが、当社の消費者や従業員の個人情報は含まれていません」とSamsungの声明にはある。「現在のところ、当社の事業や顧客への影響はないと考えています。我々は、このようなインシデントを防止するための措置を実施しており、混乱することなく、顧客にサービスを提供し続けます」。

Lapsus$が、NVIDIAに向けて奇妙さを増している要求をしたのと同様に、データを流出させる前にSamsungに身代金を要求したかどうかはまだ明らかではない。このハッカー集団はNVIDIAに対し、物議を醸したLite Hash Rate (LHR)機能を無効にするよう求め、さらにはmacOS、Windows、Linux デバイス用のグラフィックチップドライバのオープンソースを要求した。

この要求の期限は3月4日だったが、ハッカー集団はまだその脅しを実行していない。

画像クレジット:David Paul Morris / Bloomberg

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

NVIDIA社員のパスワード数千件がネットに流出、ハッカー集団から奇妙な要求

半導体製造大手のNVIDIA(エヌビディア)から1テラバイト分のデータを奪ったと主張するランサムウェア集団は、一味のますます奇妙な要求に応じなければ、同社の「最も厳重に守られた秘密」をすぐにでも公開すると脅迫している。

NVIDIAからデータを盗んだことを、2月末に初めて表明したランサムウェア集団「Lapsus$」は、すでにデータの流出を始めている。データ漏洩監視サイト「Have I Been Pwned(ハブ・アイ・ビーン・ポウンド、HIBP)」によると、このハッカーたちは7万1000人以上のNVIDIA従業員の認証情報を盗んだとのこと。TechCrunchが確認したところでは、盗まれたNVIDIAのいくつかのメールアドレスは、すべて流出したようだ。HIBPによると、データにはメールアドレスとWindowsのパスワードハッシュが含まれており「その多くがクラックされ、ハッキングコミュニティ内に流通した」という。

NVIDIAは先日、攻撃を受けて従業員の認証情報が盗まれたことを認めたものの、影響を受けた人々に通知したかどうか、あるいは漏洩したアカウントのパスワードリセットを強制したかどうかについては、明言を避けた。この事件の影響が広がり、ハッカー集団の要求する期限が迫っているにもかかわらず、NVIDIAの事件対応ページは3月1日以降更新されていない

ハッカー集団は現在、NVIDIAがこのグループの奇妙な要求に応じない限り、回路図やソースコード、まだ発表されていない「RTX 3090 Ti」を含む最近のNVIDIAのグラフィックチップに関する情報など、同社の企業機密を公開すると脅している。

同グループはNVIDIAに対し、同社のRTX 30シリーズのグラフィックカード製品に搭載されている、物議を醸したEthereum(イーサリアム)採掘性能を制限する「Lite Hash Rate(LHR)」の削除を要求している。この性能制限は、暗号マイニングコミュニティの買い占めによって製品の在庫が枯渇し、ゲーマーが新しいグラフィックカードを入手できなくなったことを受けて、2021年5月に導入されたものだ。

「我々は、NVIDIAがすべての30シリーズのファームウェアに、すべてのLHR制限を削除するアップデートを配信することを望んでいる。さもなければ我々は(企業機密データが含まれる)フォルダをリークする」と、Lapsus$グループはTelegram(テレグラム)で述べている。「もし彼らがLHRを削除したら、我々はこのフォルダのことを忘れるだろう…。我々はどちらもLHRがマイニングとゲームに影響を与えることを知っている」。

先週初め、Lapsus$は別のおかしな要求を追加した。それは、NVIDIAに対して、macOS、Windows、Linux向けの、すべてのグラフィックチップのドライバをオープンソース化することを望むというものだ。同グループはNVIDIAに対し、3月4日までに応じるよう要求していた。

この日、TechCrunchはNVIDIAに、ハッカーの要求に応じる予定があるかと尋ねたが、同社はコメントを避けた。代わりに同社は、3月1日に発表したとものと同じ声明を我々に提示した。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

単純なセキュリティバグが大学キャンパスの「マスターキー」になっている

Erik Johnson(エリック・ジョンソン)氏は、大学のモバイル学生IDアプリがまともに使えなかったとき、何か回避方法はないかと探した。

そのアプリはかなり重要で、彼の通っている大学の学生は、これを使って食事代を払ったり、イベントに参加したり、さらには寮の部屋や研究室を始めキャンパスのさまざまな施設の鍵を開けることもできる。GET Mobile(ゲット・モービル)と呼ばれるそのアプリを作ったのはCBORD(シーボード)というテクノロジー企業で、病院や大学にアクセス制御や決済のシステムを提供している。しかしジョンソン氏(およびアプリのレビューに不満の星1つをつけた多くの人たち)は、アプリは動きが遅くロードに時間がかかりすぎると言っていた。もっといい方法があるはずだ。

そして彼は、寮室の鍵を開けた瞬間のアプリのネットワークデータを解析することで、ネットワークリクエストを再現することに成功し、iPhoneのショートカットボタンを1タップするだけでドアを解錠できるようになった。ただしこのショートカットが動作するためには、自分の正確な位置情報をアンロックリクエストと一緒に送る必要があり、それがないと鍵は開かない。ジョンソン氏は、セキュリティの観点からこのアプリを使ってドアを解錠する際に学生は物理的にドアの近くにいなくてはならないようになっていると語った。キャンパス内のあちこちで誤ってドアが開いてしまうことを防ぐための措置だ。

まずはうまくいったが、ここでやめる必要はある?アプリを使わずにドアをアンロックできるとしたら、他にどんな動作を再現できるだろうか?

ジョンソン氏は広く助けを求める必要がなかった。CBORDは、APIを通じて使えるコマンドの一覧表を公開しており、APIは学生の識別情報(例えば彼自身の)を使って制御することができた(各APIでは、インターネットを通じて2つの実体がやり取りすることが可能で、この場合はモバイルアプリと大学の学生データが保存されているサーバー)。

しかし、すぐに彼はある問題を見つけた。APIは学生の識別情報が有効であるかどうかをチェックしていなかった。つまりこれはジョンソン氏、あるいはインターネット上の誰でもが、このAPIを使って他のあらゆる学生のアカウントを、パスワードを知る必要なく乗っとることができるを意味している。ジョンソン氏によると、APIは学生のユニークIDだけをチェックしていたが、ときとしてそのIDは大学が発行した学生のユーザー名あるいは学生ID番号であり、大学によってはオンライン学生名簿で公開しているため秘密とはいえないと同氏は警告した。

ジョンソン氏はこのパスワードバグを、大学の「マスターキー」と評した、少なくともCBORDで制御されているドアに対しての。解錠するためにドアの近くにいなくてはならないという要件についても、バグのおかげで物理的にそこにいるとAPIを思い込ませることができたとジョンソン氏は言った。鍵そのもののおおよその座標を送るだけでよかった。

バグはAPI自身にあることから、他の大学にも影響を与えている可能性があるとジョンソン氏はいうが、アカウントのアクセス境界を超えることを恐れて、チェックはしていない。代わりに彼は、バグをCBORDに報告する手段を探したが、同社のウェブサイトで安全な専用メール窓口を見つけることはできなかった。彼は電話サポートにつないで脆弱性を報告したが、サポート担当者は、会社にセキュリティ窓口はないと答え、バグは大学を通じて報告するように言われた。

このバグは容易に悪用が可能(すでに実行されているかもしれない)であることを踏まえ、ジョンソン氏はTechCrunchに、脆弱性の詳細をCBORDに伝えるよう依頼した。

脆弱性はTechCrunchが2月12日に会社に連絡を取ってからまもなく解決した。CBORDの最高情報責任者、Josh Elder(ジョシュ・エルダー)氏はメールで、問題の脆弱性は解決済みであり、セッションキーは無効化されため、残存していた可能性のあるAPIへの不正アクセスも遮断されたことを確認した。エルダー氏は、CBORDの顧客に通知を送ったと言ったが、メール内容をTechCrunchに知らせることは拒んだ。CBORDを使用している別の組織のセキュリティ担当幹部は、CBORDからその脆弱性に関する通知を受けていない、とTechCrunchに話した。果たしてCBORDが、ユーザーやアカウント保有者、例えばジョンソン氏のような学生に通知するつもりがあるのかどうか、わかっていない。

エルダー氏はジョンソン氏の発見に異議を唱えなかったが、会社がログを保存しているか、あるいはAPIの悪用を検知する仕組みがあるのかという質問に対してそれ以上の回答を拒んだ。TechCrunchは同社広報担当者に追加質問への回答を要求したが、その後連絡を受けていない。

遠隔からドアを解錠できる脆弱性をCBORDが修正しなくてはならなかったのはこれが初めてではない。Wiredは2009年に、ドアの解錠コマンドを傍聴することで次のシーケンス番号を予測し、IDカードの要求を回避できることを報じた。

画像クレジット:Olena Ruban / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

ウクライナ情報変革副大臣インタビュー「IT軍団と29億円相当の暗号資産による寄付」について語る

事態が憂慮すべき展開を続ける中、ウクライナは地上戦の枠を超えてロシアへの抵抗を強めている。インターネットを活用してロシアの攻撃に対抗し、ロシアの権力の中枢を積極的に攻撃し、何か支援をしたいと考える人たちからの(資金援助を含む)支援を集め、デジタル戦線で戦っているのだ。ロシアが常時警戒態勢から全面攻撃態勢に移行したことに驚いた人もいるかもしれないが、早期警戒の兆候をすでに認識していた人たちにとってはそのようなことはない。

ウクライナ時間3月1日のインタビューで、Oleksandr (Alex) Bornyakov(オレクサンドル[アレックス]ボルニャコフ)情報変革(Information Transformation)担当副大臣は「戦争は4日前に始まったわけではありません」と語った。「8年間続いているのです。ロシアはずっと攻撃していました」。

ウクライナの積極的なデジタルキャンペーンは、すでに大きな成果をあげ始めている。ボルニャコフ氏によると、2月28日の時点で、世界中からさまざまなオンライン寄付によって1億ドル(約115億6000万円)が集まったという。このうち2500万ドル(約28億9000万円)は、ウクライナ当局が共同管理しているアカウントや、官民パートナーシップでネットワークを運用しているアカウントへの暗号資産寄付によるものだ。その半分以上は、ウクライナのレジスタンスを支援するための物資にすでに費やされているという。

ウクライナ情報変革担当ボルニャコフ副大臣

ボルニャコフ氏は、以前から国のデジタル戦略の最前線に携わってきた。

先週まではそれが意味していたものは、同国のDiia City(ウクライナのITセクター向け仮想組織)イニシアチブの運営だった。それは、より多くの外国のテック企業がウクライナに進出して事業を展開することを奨励する大規模な計画、大きな優遇税制やその他の優遇措置で取引を有利なものとすることで、ウクライナのエコシステムでより多くのスタートアップが成長することを奨励することなどだった。

だが今週の時点でのボルコニャフ氏の仕事は、レジスタンス活動を支援するために暗号資産で資金を調達するという同国の大きな動きを管理すること、他のデジタル活動家の草の根活動を管理して連携させること、そして戦闘が激化する中で、コミュニケーションのための不測事態対応計画を考えることだ。

それぞれの領域で開発がどんどん進んでいる。彼にインタビューしたときには、ロシアがテレビ塔を爆破したというニュースが流れていた。ハイテク企業は、コンテンツやサービスの遮断を発表し続け、より多くの人々が逃げ惑い、戦い、銃撃戦に巻き込まれていたのだ。

ボルニャコフ氏本人は、いまでもウクライナに安全にとどまっていることは認めたが、正確な居場所は明かさず、取材に協力したアシスタントもまた別の場所にある防空壕からその作業を行った。またうまくいくコミュニケーションチャンネルを見つけるまでには、複数の経路を試す必要があった。これらがいつまで続くのかはわからない。私たちはみんな、この事態に終止符が打たれ、ウクライナが自立して強くなることを望んでいる。

物事が急速に進展している中で、私たちはボルニャコフ氏に話を聞き、いわゆるIT軍団の台頭、ウクライナのサイバーセキュリティ、ウクライナが取っている暗号資産への賭けなど、より大きなデジタル化の動きの中で、現在どのような状況にあるかを聞き出すことができた。その内容は、大局的に見れば、これから起こることに備えるだけでなく、冷静さを保ち、前進し、プレッシャーの中で繁栄さえできるかもしれないものだ。以下、そのインタビューと対談の内容を、長過ぎる部分を割愛し簡単に編集したものを掲載する。

TechCrunch:お時間をいただき、ありがとうございました。いま現地は極めて混沌とした状況だと思います。まず、どちらから通話をなさっているのでしょうか?まだキエフですか、それともどこか別の場所でしょうか?

オレクサンドル・ボルニャコフ氏:ウクライナにいますが、キエフではありません。大変なできごとですが、今のところ無事です。しかし多くのウクライナ人は無事ではありません。

了解しました。質問に入ります。魅力的なのはレジスタンス活動のデジタル化ですね。まず、IT軍団について質問させてください。IT軍団は、草の根のクラウドソース型ハッカー集団で、ロシアの多くのサイトをダウンさせ、大混乱を引き起こしている団体ですね。副首相でデジタルトランスフォーメーション担当大臣のFederov(フョードロフ)氏がそれを支持してTwitterで宣伝しました。Telegram(テレグラム)内のグループには、現在約27万人以上のメンバーがいます。これは政府とどんな関係があるのでしょうか?

彼らは副首相の呼びかけに応じただけのボランティアです。彼らのことはよく知りません。そして、個人レベルで調整を行うリーダーみたいな人もいません。とにかく大きなグループなのです。そして、そこには個人だけでない関係者が含まれていると思っています。組織も参加しているのです。ロシアですら「(IT軍団)が持っている力は、この世界でアメリカ、中国、ロシアの3カ国しか持っていないものに匹敵する」と言ったそうです。つまり、彼らの力を合わせれば、最大の国家的サイバー防衛グループに匹敵するのです。

相手を倒した数ではという意味ですよね?

ええ、どれだけの被害を及ぼせるかという意味ですね。

彼らがどこにエネルギーを注ぎ込むのかに対して、何らかの調整は行っているのでしょうか?

特定の人やグループと1対1のレベルでコミュニケーションをとっているわけではなく、グループ内にタスクを投入すれば、彼らがそれを実行するという流れです。その数分後には、いくつかのインフラがダウンします。私たちが依頼したら、どんなインフラでも破壊してしまうのです。

ロシアが、ウクライナと利害関係のあるものを地上とサイバースペース両方で最大限激烈な方法で攻撃しようとしていことを考えると、IT軍団は対象を攻撃する活動以外にも何か関与しているのでしょうか。

戦争は4日前に始まったわけではありません。8年間続いているのです。ロシアはその間、ずっと攻撃を続けていました。つまり、インターネット上のサイバーセキュリティレベルでということですが。そのような中で、私たちは非常に高度なサイバー防衛システムを開発してきました。だから、もしかしたら……そうですね、ロシアは私たちを攻撃しようとしていたのかもしれません。しかし、成功はできませんでした。サイバーディフェンスは、まったく別の人たちが担当しています。防衛のためには、制限されたシステムにアクセスできるようにする必要がありますが、誰にでもアクセスさせるわけにはいきませんし、IT軍団は公開グループですので誰が参加しているのかはわかりません。なので、守備側は完全に別の人たちの肩にかかっているのです。

IT軍団に関するより大きな戦略をお持ちですか?

まあ、このインタビューは公開されるものですから、戦略についてはあまり話せません。でも、ヒントのようなものはお答えできます。私たちは何年もの間、ずっとネットで攻撃を受けていました。それでも決して反撃はしませんでした。私たちは自分たちを守るだけだったのです。なので、インフラが攻撃され、カードや行政サービスが使えなくなったときに、私たちがどのような気持ちになったのかを、今回初めて伝えることができたわけです。ということで、これが答です。

IT軍団とその連携について、もう1つお聞きします。私にとって興味深いのは、彼らの規模と影響を示すことで、公に知られることが彼らにとって有利に働くという点です。しかし、Telegramはそれほど安全ではないという主張や、検閲される可能性があるという主張、そしてロシアがそれをコントロールしているという主張など、他の側面も考慮する必要があります。これらはどの程度、気になさっていますか?

まあ、実際にはメッセンジャーを使い分けています。でも、Telegramは……(笑)、Telegramとしての利用は多いですね。でも同時に、実のところほとんど全部のメッセージングアプリを使っています。個人的な好みはありません。私たちのチームの他のメンバーも、さまざまなメッセージングアプリを使ってコミュニケーションをとっています。この観点で私たちを打ち負かすのは本当に難しいでしょう。

他のコミュニケーションチャネルはどうでしょう。持ちこたえられていますか?

接続は維持できています。影響を受けた電子機器はまだありません。基地の1つが攻撃されましたが、大都市の中の1つに過ぎません。まだ他にたくさんありますので。おそらく、彼らはこの先接続を撹乱しようとすると思います。彼らが最初にそれをしなかったのは、事態を簡単なものだと思っていたからでしょう。単に街に侵入して、中央広場に集って、祝杯をあげるだけだと思っていたのです。だから、そもそもインフラには一切手をつけていなかったのです。しかし、やっとロシア人は自分たちがここでは歓迎されていないことに気づいたのです。彼らは領土を占領しつつあります。そしてほぼ1週間経って、彼らは我々のインフラを破壊し始め、民間の施設を攻撃し、民間人を殺し始めました。

イーロン・マスク氏のStarlink(スターリンク)の拡張は、通信計画にどのように関わってくるのでしょうか?

いいですか、そうした計画についてはお話できません。でもまあ、バックアップには何段階もあって……もちろんまだ計画だけですが。とはいえ、もし不測の事態に備えていなければ、私たちはとっくの昔にやられていたはずです。彼らがサイバー空間でどれだけ攻撃を仕掛けてきたか、ご存知ないでしょう。ということで、私たちのインフラは動いているし大丈夫です。サーバーを叩けば落ちるというものではありません。

発信なさっている国際的なメッセージの中には、他の人たちに自分たちでできることをして欲しいと訴えるという点で、とても効果的で直接的なものがあります。最近の例では、ICANNにロシアのトップレベル国別ドメイン名を「永久的または一時的に取り消す」こと、DNSを停止させること、そしてTLS証明書を失効させることなど、あらゆることを要請しています。これらの妥当性についてはどのようにお考えでしょうか。そして彼らから返事はあったでしょうか?

ICANNからの返事はありません。彼らがどのようなアクションを起こすのか、起こすべきなのかはよくわかりません。しかし、組織、あるいは人々が共通の人道的価値観を共有しているならば、ここで立ち上がらなければ、影響を受けるのは世界であることは間違いないでしょう。事態はこのまま終息しません。プーチンは完全にいかれていますし、さらなる追い打ちをかけてくるでしょう。彼のこの10年間の活動を見れば、限界に挑戦していることがわかります。そして、彼は「力による会話」を理解していると思います。ですから私の立場は、とにかく全力で反撃することです。そうでなければ、考えたくはありませんが、もしかしたら最終的には核兵器まで行ってしまうかもしれません。しかし、彼の国は、問題を解決するには戦争以外の方法があることを感じなければなりません。

そこで一部の団体や草の根レベルで国際協力を呼びかけているわけですね。サイバー防衛に関しても、米国や他の国々と連携しているのでしょうか?

たくさんの連携が取れていると思います。

(彼は他国の支援を高く評価し、特に米国と英国に感謝を述べたが、具体的な内容には触れようとしなかった)

暗号資産について少しお話させてください。ウクライナはこの週末、ウォレットのアドレスをツイートし、さまざまな暗号資産が莫大に流れ込んでいるようです。そのウォレットをウクライナ政府のために、あるいはウクライナ政府に代わって実際に運用しているのは誰なのでしょうか。

そうですね、私たちが運用しているファンドは、ウクライナの暗号資産取引所が運営しているものです。つまり、これは官民合同のパートナーシップのようなものです。より迅速な対応を行えるように、このたび、ある取引所と提携したところです。誰も手を出せないように、資産がしっかり確保できるようにする必要があります。もちろん、高速交換、高速送金も必要です。政府だけが関わっているわけではないのですが、私たちがアカウントを管理してます。そのほとんどがマルチ署名のアカウントです。つまり、それを使おうと思ったら、少なくとも3人くらいの署名をもらわなければなりません。

(ボルニャコフ氏はそのうちの1人だが、すべての口座の署名者ではない)

Kuna(クナ)はあなたが取引をしている取引所です。これが、暗号資産取引所との間の提携で、暗号資産を実際の通貨に交換するのを支援しているということですか。

はい。ほぼ、その通りです。

了解です。また、みなさんはどの暗号資産を扱い、どの通貨に交換しているのでしょうか?

主にBitcoin(ビットコイン)、Ethereum(イーサリアム)、Tether(テザー)を扱っていますが、Polkadot(ポルカドット)で500万ドル(約5億8000万円)という巨額の寄付をいただきました。他の暗号資産での寄付を希望される方も多いので、暗号ウォレットを追加中です。交換先の通貨としては、米ドルとユーロが多いと思います。

Airdrop(エアドロップ)が承認されました。寄付権利確定は明日3月3日、キエフ時間(UTC/GMT+2)の午後6時に行われる予定です。(日本時間では3月4日午前1時)
報酬は追って配布!

ウクライナの暗号資産寄付キャンペーンに関する続報は、@FedorovMykhailoをフォローして下さい。

(訳注:Airdropとは暗号資産の無償配布のこと。暗号資産による寄付に対してウクライナが WORLD という暗号資産を無償配布することを事前に表明していた)

【編集部注】日本時間3月3日の夜、上記のAirDropが中止されたことをフョードロフ氏自身が発表した。

検討の結果、airdropを中止することにしました。ウクライナの反撃に協力を申し出る人は日々増えています。その代わり、ウクライナ軍を支援するためのNFTをまもなく発表する予定です。私たちは、FT(代替可能なトークン。ex.普通の暗号資産トークンなど)を発行する予定はありません。

もう寄付金は使われているのでしょうか?それとも、まだ使わずに待っているのでしょうか?

半分はすでに何かの機材に使われています。具体的に何をとは言えませんが、今日も大きな買い物が行われました。活用しています。防衛省とも連携しているので、Kunaと私たちだけでなく、防衛省も巻き込んでの活動です。ですから、基本的には私たちがニーズを理解して、彼らがロジスティクスを助けてくれるのです。これが終わったら、みなさんに完全な透明性のある報告をするつもりです(別途Kunaから聞いたところでは、機材の購入にはドローンやその他の補助的な機材も含まれているとのことである)。

関連記事:ウクライナへの暗号資産による寄付金、政府基金の使われ方

これまでにどれだけの資金が使われたのでしょうか。また、これまでにどれくらいの寄付金が集まったのでしょうか。

これまでに約2500万ドル(約29億円)の資金が集まり、1400万ドル(約16億2000万円)ほど使ったと思います。

なぜ、暗号資産を使わないルートではなく、暗号資産による寄付を選んだのでしょうか?資金調達のルートはたくさんあります。

さて、みなさんはご存じないかもしれませんが、ウクライナ国立銀行は、これに先立って、最初に大規模な国家的キャンペーンを行っています、こちらは、ほとんど通常の通貨とカードで資金調達をしています。ということで作業は並行しています。暗号資産だけではありません。ファンドは沢山あるのです。人道支援に重点を置いているものもあれば、軍事だけに重点を置いているものもあります。政府業務をサポートするために存在するものもあります。つまり、正確には知りませんが、さまざまな機関の力を合わせると、1億ドル(約115億7000万円)ほど調達できたと思います。

余談になりますが、副大臣が担当されたテックシティプロジェクト「Diia City」についてお聞きしたいのですが。今は少し後回しになっているようですね。

この時点では、そう、後回しになっています。このプロジェクトに関しては比較的すばらしいスタートを切ることができました。巨大企業や国際的な企業など、何百もの企業が参入していましたが、残念ながらロシアの侵攻によって、これがご破算になってしまいました。延期ということにしておきたいと思います。しかし現在は、企業はほとんどの人員を避難させているところです。

ウクライナに残って仕事を続けている人もいますが、多くの人が去ってしまいました。とても残念なことです。

私もそう思います。本当に、信じられないようなことが起きてしまったんです。私たちの領土でこのような悲劇が起こるとは、想像もしていませんでした。でも、いずれは再建します。そしてもちろん、現状を打開できると思っています。しかしその道のりはとても険しいものでしょう。

画像クレジット:Pierre Crom/Getty Images

原文へ

(文:Ingrid Lunden、翻訳:sako)

Google Playで発見されたデータ窃盗アプリ、数千回ダウンロードされる

パスワードやテキストメッセージなどのユーザーデータを盗むよう設計された悪名高いAndroidバンキングトロージャンがGoogle Playで発見され、すでに数千回ダウンロードされた。

AnatsaやToddlerとしても知られるTeaBotバンキングトロージャンは、2021年5月に初めて発見され、テキストメッセージで送られた2要素認証コードを盗み出すことで欧州の銀行をターゲットにしている。オンライン詐欺の管理および防止ソリューションを提供するCleafyの新しいレポートによると、現在、このマルウェアは第2段階の悪意のあるペイロードを介して配布されるように進化しており、ロシア、香港、米国のユーザーを標的にしているとのことだ。

Cleafyによると、以前はTeaTV、VLC Media Player、DHLやUPSといった配送アプリなど、一般的なアプリを餌にしたSMSベースのフィッシングでマルウェアが配布されていたが、アプリ内の偽アップデートという方法でTeaBotを配布するためにGoogle Playの不正アプリが「ドロッパー」として機能していた、と同社の研究者は指摘する。ドロッパーは、正規のアプリに見えるが、実際には第2段階の悪意のあるペイロードを配信するアプリだ。

アプリ「QR Code & Barcode – Scanner」は削除されたが、発見されるまでに1万回超ダウンロードされた。しかし、このアプリは約束された機能を提供しているため、アプリのほぼすべてのレビューが肯定的な評価だ。

このアプリは正規のものに見えるが、すぐに2つ目のアプリ「QR Code Scanner: Add-On」のダウンロード許可を要求してくる。アドオンは、複数のTeaBotのサンプルを含んでいる。インストールされると、TeaBotはログイン情報、SMSメッセージ、2要素コードなどの機密情報を取得するために、デバイスの画面を表示し、制御する許可を求める。また、他の悪意のあるAndroidアプリと同様、Androidのアクセシビリティサービスを悪用して、マルウェアがキーボード入力を記録できるよう権限を要求する。

「公式Google Playストアで配布されるドロッパーアプリは、いくつかの許可を要求するだけで、悪意のあるアプリは後からダウンロードされるため正規のアプリに紛れてしまい、一般のウイルス対策ソリューションではほとんど検出できません」とCleafyは警告している。

TechCrunchはGoogleにコメントを求めたが回答は得られなかった。しかし、このアプリはGoogle Playから削除されたようだ。

Cleafyによると、TeaBotは現在、ホームバンキングアプリ、保険アプリ、暗号資産ウォレット、暗号資産取引所など400以上のアプリを標的にしていて、1年未満で500%以上増加している。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi