タグ: セキュリティ

2017年の最悪なパスワードは? あの大ヒット映画もランクイン

パスワード管理用サービスなどを提供するSplashData社が、毎年恒例の「最悪のパスワード100」を発表した。TIMEなどが報じた。

アメリカ・ヨーロッパのユーザーから漏洩した500万件のパスワードデータを元に作成されたランキング。

1位は「123456」でした。逆に、そんなパスワードでエラーにならないのか、という気もしますが、去年も堂々の?1位。

2位の「password」も去年も同順位。アルファベットと数字を組み合わせたワードが要求される時に多用されると見られる「passw0rd」が19位にランクインしました。

数字の羅列や、キーボードの左上から順に打った「qwerty」、簡単な単語やフレーズで「letmein」「iloveyou」「hello」などに加え、今年の特徴として、16位に「starwars」がランクイン。映画「スターウォーズ」シリーズの最新作「スター・ウォーズ/最後のジェダイ」が公開となった影響もありそうです。

以下がランキングTOP25。

1位:123456

2位:password

3位:12345678

4位:qwerty

5位:12345

6位:123456789

7位:letmein

8位:1234567

9位:football

10位:iloveyou

11位:admin

12位:welcome

13位:monkey

14位:login

15位:abc123

16位:starwars

17位:123123

18位:dragon

19位:passw0rd

20位:master

21位:hello

22位:freedom

23位:whatever

24位:qazwsx

25位:trustno1

パスワードについては、これまでも色々な議論がなされてきました。

数字や大文字小文字のまぜこぜを要求されたり、一定期間ごとに変更を要求されたりといった各サービス提供者側のセキュリティ強化対策が、逆にユーザーにパスワードを忘れさせたり、使い回しさせたりといった点も指摘されています。

パスワード、どんな風に決めて、管理していますか。年末に見直してみてもいいかも…。

HuffPost Japanからの転載。

米政府、WannaCry に北朝鮮が関与との見解。北のハッカー集団Lazarusの犯行を「確信」

eng-logo-2015米国政府が、今年春頃に猛威を振るったランサムウェア「WannaCry」に北朝鮮が関与していたとの見解を示しました。

米国土安全保障省のアドバイザーを務めるトム・ボサート氏は「慎重な調査の結果」として、WannaCryによるサイバー攻撃を北朝鮮によるものと判断、英国およびマイクロソフトの調査結果に同意するとしています。

ランサムウェアとはPCに感染するマルウェアの一種で、発動するとPCのストレージを勝手に暗号化してしまい、解除するために金銭を要求します。支払いには期限が設けられており、それをすぎるとPCのデータがすべて消去されてしまうため、たとえば企業組織のPC等の場合はデータ保全と要求額を天秤にかけたIT管理者がけっきょく金銭を支払ってしまうこともありえます。

2017年5月にの感染拡大が大きな話題となったWannaCryには、米国家安全保障局(NSA)から流出した情報に含まれていた未報告のWindows脆弱性が使われています。またその初期バージョンにおいては2015年にソニー・ピクチャーズのハッキングに用いられたコードとの類似性があることがGoogleのセキュリティ研究者によって示されました。そして、そのハッキングには北朝鮮のサイバー攻撃グループ「Lazarus」の関与が取り沙汰されています。

ボサート氏はWannaCryによる「攻撃は広範囲にわたり、多くの金銭的損害を発生させた。これらは北朝鮮に責任がある」として、国際的な不正行為を繰り返してきた北朝鮮の「悪意ある行動」を批判しました。また別の当局者は、WannaCry騒動を分析した結果Lazarusによる攻撃だと「確信した」と述べました。

これに対する北朝鮮当局からの声明は記事執筆時点で出ていないものの、北朝鮮はこれまでWannaCryへの関与を否定しています。

ちなみに、WannaCryをめぐっては、国内外の自動車工場が一時停止に追い込まれるなど被害発生が続いていました。また初期にその動作を停止させる”キルスイッチ”を発見したとして称賛されたセキュリティ研究者が別のマルウェア開発関与で逮捕されたりといった事例も発生しています。

Engadget 日本版からの転載。

マルウェア「Triton」で工場制御システムが乗っ取られる事例が発生。安全装置作動し操業が一時停止

eng-logo-2015情報セキュリティ製品を取り扱うFireEyeが、自社のセキュリティサービスを提供している中東の企業に対して外部からのハッキングがあり、コンピューター制御の工場操業システムが停止させられたと報告しました。

ハッキングに使用されたのはTritonと呼ばれるマルウェアで、一般に発電所や自家発設備で使用されるSchneider ElectricのTriconexセーフティテクノロジーが稼働するワークステーションを遠隔操作可能状態に陥れました。
ハッカーグループはこの操業システムに安全上の問題を引き起こそうと操作を加えましたが、システムのインターロックが機能したためフェイルセーフモードとなり、結果として工場全体を一時停止。この間にオペレーターは速やかにマルウェアの侵入を特定しました。

Tritonはかなり洗練されたマルウェアで、この操業システムの非公開プロトコルを使用してシステムを操作、アラートの発報を避けるため障害を発生させたコントローラを正常に見せかけたり、痕跡を隠すためにジャンクデータを書き込んだりしていたとのこと。FireEyeは、正確な攻撃元は把握できないものの、国家がらみの可能性を示唆しています。

ハッカーは、今後は発電所などのインフラを担うプラントを攻撃するだけでなく、プラント設備に物理的損害を発生させるような操業上の操作、インターロックの解除など致命的な変更を加えてくる可能性が考えられます。もし、長期間の機能停止や環境災害につながる事態に追い込まれたならば、それはその地域の生活や経済に大きな打撃を与えるかもしれません。

日本では今年、ランサムウェアの侵入によって工場が停止した事例がありました。しかし金銭目的以外の悪意あるハッカーグループに狙われる可能性もあるならば、もはや企業や政府は事務用コンピューターだけでなく原子力発電所など重要施設のセキュリティ対策も優先的に実施しなければならないのかもしれません。なお外国ではTriton以外にも、これまでにプラント制御システムを狙ったマルウェアの侵入事例が複数発生しています。

Engadget 日本版からの転載。

#NoHacked 3.0: 一般的なハッキングのケースを修正する

これまで #NoHacked では、ハッキングの検出と防止に関するヒントをご紹介してきました。ハッキング攻撃を検出できるようになったところで、今度は、一般的なハッキング手法とその修正方法をご紹介いたします。

  • キーワードとリンクのクローキングによるハッキングを解決する
    キーワードやリンクのクローキングによるハッキングでは、意味不明な文、リンク、画像を含む大量のページが自動的に生成されます。これらのページには元のサイトのテンプレート要素が使用されていることがあるため、一目見ただけではターゲット サイトと区別がつきにくく、コンテンツをよく読むまで気付かないこともあります。通常このタイプのハッキングでは、クローキング手法を用いて悪意のあるコンテンツを隠し、挿入したページを元のサイトの一部として表示するか、404 エラーページを返します。
  • 意味不明な内容によるハッキングを解決する
    意味不明な内容によるハッキングでは、キーワードが埋め込まれた意味不明なページがターゲット サイト内に大量に自動生成されます。このハッキングの目的は、ハッキングしたページを Google 検索結果に表示し、訪れた人を無関係なページ(たとえばアダルトサイト)にリダイレクトすることです。
  • 日本語キーワードによるハッキングを解決する
    一般に、日本語キーワードによるハッキングでは、ランダムに生成されたディレクトリ名で、ターゲット サイト上に日本語テキストを含む新しいページが作成されます。こうしたページは、偽ブランド品を販売するストアへのアフィリエイト リンクを収益源としているのが特徴です。また、Google 検索への表示も目的としています。ハッカーのアカウントがサイト所有者として Search Console に登録されているケースもあります。

最後に、サイトをクリーンアップして問題を修正したら、Google チームがサイトを審査できるように、再審査リクエストを送信してください。

ご不明な点などありましたら、ウェブマスター ヘルプ フォーラムでお気軽にご投稿ください。それでは、また来週お会いしましょう。

Posted by Takeaki Kanaya (Senior Search Evangelist) and Anna Ogawa (Technical Specialist)

Canaryの防犯カメラがやっと人を識別する、ネコやウサギのいる部屋に置いても大丈夫

家庭用セキュリティカメラCanaryの全機種に、やっと待望の、人を識別する機能がついた。しばらくベータでテストしていたその機能は、今後6週間かけて既存の顧客全員に行き渡る。

AIと機械学習を組み合わせたその機能、“Canary Vision”は、人をそのほかの動くものから区別する。ぼくはこれまで、標準のCanaryオールインワンと、ポータブルなFlexの両方を試したことがあるが、対象を区別する能力が皆無なので、相当苛立たしい製品と感じられた。それは、この‘家庭用防犯カメラ’の最大の欠点だ。

Canaryを部屋に置くと、ぼくの部屋にはウサギがいる。10分ぐらいの間隔で彼女が体を動かすたびに、カメラから警報が来る。そう、生き物のいる部屋にCanaryを置いたぼくが悪いのだ。窓から日が射し込んで壁に影ができると、やはり警報が来る。Flexを外に置いた人は、もっとたくさんの誤認警報を受け取ったことだろう。結局ぼくは通知機能をoffにしたが、それではもちろん、防犯カメラを導入した意味がない。

人の識別は当然のようにとても重要な機能だから、早く試してみたい。使われている機械学習のシステムが訓練不足で未熟だったら、この機能によってかえってひどい目に遭うユーザーもいるだろう。早めの成熟を、ぜひお願いしたい。同社は、1月のCESでより詳しい情報を提供する、そして来年はもっと多くのAI機能を搭載する、と約束している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

マルウェア入りコンテンツをユーザーに絶対渡さないMenlo SecurityがシリーズCで$40Mを調達

Menlo Securityは、独特のやり方で企業をマルウェアやフィッシング詐欺から護る。その同社がこのほど、4000万ドルのシリーズCラウンドを発表した。

Menloは、社員たちがマルウェアのあるWebサイトやメールの本物にアクセスさせないようにして、顧客企業を護る。オリジナルは別途保存し、クリーンな写像をブラウザーに表示するから、悪いものはすべて剥げ落ちている。つまり、マルウェアがあなたに届かなければ、あなたに危害を加えることはない、という理屈だ。

CEOで協同ファウンダーのAmir Ben-Efraimは、2015年の2500万ドルのシリーズBのとき、こう説明した: “Webページやメールはすべてクラウド(パブリックまたはプライベート)に隔離する。コンテンツを隔離すれば、それは絶対にエンドポイントに到達しない。これによってマルウェアを、アーキテクチャのレベルで排除する”。

それはとても効果的なやり方なので、Ben-Efraimによると、今では数百社の顧客企業に計100万人以上のユーザーがおり、全員が今日まで無感染だ。

このような結果に、顧客も投資家も前向きに反応している、と彼は語る: “現時点で数百社の顧客がおり、その多くはGlobal 2000社だ。これまで、非常に高い増加率だった。われわれのプロダクトのねらいが、的を得ていたということだろう。過去二年間の大きな被害例を見ると、エンドユーザーがマルウェアの餌食になるケースが多かった”。

今回のラウンドには、American Express Ventures, Ericsson Ventures, HSBCなどからの戦略的投資が目立つ。また、既存の投資家も参加している: JPMorgan Chase, General Catalyst, Sutter Hill Ventures, Osage University Partners, Engineering Capitalなどだ。同社の累計調達額は、8500万ドルになる。

HSBCのサイバーテクノロジー担当Tim Dawsonによると、同社はつねにセキュリティの革新的なソリューションを捜している。彼は声明文でこう述べている: “サイバーセキュリティはわれわれの最上位のプライオリティである。脅威はたえず進化しているのでわれわれは継続的に時間とリソースをそのチャレンジにつぎ込み、クライアントとスタッフを護る革新的な方法を探求している。今回の投資も、その取り組みの一環である”。

同社の社員は今125名だが、来年中には200近くにまで増やしたい、とBen-Efraimは言う。“シリーズCは市場拡大の資金になることが一般的に多い”、と彼は語る。彼は来年以降、全世界的な営業とマーケティングチームの構築に注力していく意向だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

サイバーセキュリティクラウドがAWSに対応したウェブセキュリティ新製品「WafCharm」発表

最近でも顧客情報の漏洩にまつわる大きな事件がいくつかあったが、サイバーセキュリティへの注目は高まるばかりだ。そんな中、ウェブセキュリティサービス「攻撃遮断くん」を提供するサイバーセキュリティクラウドが12月12日、新サービスの「WafCharm」を発表した。第1弾としてAmazon Web Service(AWS)が提供するAWS WAFへサービスの提供を開始した。

サイバーセキュリティクラウドが提供するWAF(Web Application Firewall)とは、ウェブサイトやウェブアプリケーションを対象にした攻撃を防御するセキュリティ製品のこと。一例を挙げれば、ウェブサイトの脆弱性を突くことで、フォーム上に本来想定しない文字列を入れて、その結果としてデータベース内の情報を表示させるといったような攻撃があった場合、そのシグネチャー(攻撃のパターン)を把握し、攻撃を防ぐといったことができる。

WAFには、アプライアンス(専用ハード)型のもののほか、サーバ上で稼働するソフトウェア型、クラウド型といった種類があるが、攻撃遮断くんはクラウド型(厳密にはサーバ上にエージェントを導入して、ログをWAFセンターに送信するクラウド連動型WAFと、DNSをWAFセンターに切り換えることでユーザーと顧客間にWAFセンターを入れるSaaS型WAFの2種類)に特化したサービスを提供している。

サイバーセキュリティクラウドは2010年8月の設立で、攻撃遮断くんのサービスは2013年12月にスタート。1サイトあたり月額4万円(初期費用1万円)からの定額制という価格設定や、毎月のレポート提供、損保ジャパンと組んだ最大1000万円の補償(まだ適用された事例はないそうだ)などの機能が評価され、最後発のWAF製品ながらNTTドコモや全日空など4000サイトへの導入事例があるという。

今回発表したWafCharmは、攻撃遮断くんでのノウハウをもとにした、シグネチャーの自動運用サービス。

AWSは2015年からWAFを提供しており、SQLインジェクションやクロスサイトスクリプティング(XSS)をはじめとした脅威には対応しているものの、ユーザーが自ら運用ルールを設定するため、セキュリティに対する知識が必須となっていた。そこで11月30日にセキュリティ専門ベンダー作成したルールをAWS WAFに設定できるマネージドルールセットを発表している。ただそれでも、ユーザーごとの個別チューニングやカスタマイズ、誤検知などの対応は課題となっているという。WafCharmを導入することで、個別チューニングやカスタイズ対応をサイバーセキュリティクラウドが対応し、最新の脆弱性に対応できる体制を作るという。

価格は初期費用無料で月額5000円(国外は50ドル)。まずは国内を中心にユーザーを集め、春以降には米国を中心に海外へのサービス展開を進めていく。同社では2018年中に全世界で1万ユーザーの利用を目標とする。

一部のHPラップトップにキイロガー(ただしデフォルトでは動作していない)が潜んでいることが発覚

研究者のMichael Myngが、一部の460HPラップトップモデルのソフトウェアの中に、眠っているキイロガー(タイプされた文字を攻撃者に対して送信してしまうソフトウェア)があることを発見した。影響を受けるラップトップの全リストはここにある。キーロガーはデフォルトでは無効になっていいるものの、攻撃者がコンピュータに物理的にアクセスした場合には、プライバシーに関する懸念が表面化する可能性がある。

「少し前のことですが、HPのラップトップのキーボードのバックライトを制御する方法がわかるかどうかの質問を受けたのです」とMyngは書いている。「キーボードドライバSynTP.sysを解析ツールのIDAで開き、ブラウジングしていくうちに、興味深い文字列があることに気が付きました」。

文字列が示していたのは、Synaptics製のデバイスドライバーに隠されたキイロガーだったのだ。コードを逆コンパイルし、匿名の相手先に押されたキーが送信されることを確認して、Myngはとても興味深いものが手に入ったことを確信した。

幸いにも、HPは迅速に対応した。

「私はHPラップトップを借用しようと思い、いくつかのコミュニティに問いかけましたが、ほぼ反応はありませんでした」と彼は言う。「ある人物などは、私を誰かのものを盗もうとしている泥棒だと考えました。そこで、私はこの発見についてHPにメッセージを送ったのです。彼らの反応は恐ろしく素早いものでした。キイロガーの存在を確認し(実際にはそれはデバッグトレースの1つでした)、そのトレースを削除するアップデートをリリースしたのです」。

結論は?できるだけ早くHPラップトップを更新しよう。もし読者のPCがHPによる影響を受けるラップトップのHPリストに載っている場合は、ここから修正プログラムをダウンロードすることができる。

[原文へ]
(翻訳:sako)

#NoHacked 3.0: ハッキング防止のヒント

#NoHacked(英語) では先週、ハッキングの検出と、サイトがハッキングされる原因について解説しました。今週はハッキングの防止に焦点を当て、ヒントをいくつかご紹介します。

  • スパマーがウェブサイトのハッキングでよく利用する手段:
    攻撃からサイトを守るためには、サイトへの不正アクセスがどのように発生したかを把握することが重要です。ここでは、スパマーが主にどのような方法でサイトに不正アクセスするかを説明します。
  • 提供元に注意を払い、無料提供の有料テーマやプラグインに十分気をつける
    有料のプラグインが無料で提供されているサイトを見かけたことがある方もいらっしゃるかと思います。通常は購入しなければならないプラグインを無料で提供しているサイトに遭遇した場合は、十分にご注意ください。多くのハッカーは、人気のプラグインをコピーしておとりに使い、「バックドア」(マルウェア)を設置して対象のサイトに侵入できるようにします。同様のケースについて詳しくは、Sucuri 社のブログ(英語)をご覧ください。
    また、質の高い正規のプラグインやテーマであっても、次のような場合は危険なものとなる可能性があります。
  • 新しいバージョンが入手可能となったときにすぐに更新しない
  • テーマやプラグインのデベロッパーが更新を行わないので、時間の経過とともに古くなる

どのような場合でも、サイトのソフトウェアをすべて常に最新の状態にしておくことは、ウェブサイトをハッカーから守るうえで不可欠です。

  • WordPress のボットネット
    ボットネット(英語)とは、第三者の管理下にあるマシンやデバイス、ウェブサイトの集まりで、多くの場合、悪意のある行為(ウェブスパムのキャンペーン、クリックボット、DDoS など)を働くのに利用されるものです。サイトがボットネットに乗っ取られていても、サイトには明確な変化が生じることがほとんどないため、見つけるのは困難です。しかし、サイトがボットネットに取り込まれると、サイトの評判、リソース、データが危険にさらされることになります。ボットネットの詳細や、ボットネットの検出方法、ボットネットがサイトに及ぼす影響について詳しくは、WordPress や Joomla! のボットネットに関する記事(英語)をご覧ください。

    • ご不明な点などありましたら、ウェブマスター ヘルプ フォーラムでお気軽にご投稿ください。それでは、また来週お会いしましょう。


    アイデンティティサービスのOkta好調な2017Q3、スタートアップ向け無料サービスを開始

    オンラインのアイデンティティ管理サービスOktaにとって、大きな一日だった。

    アナリストたちの予想を凌(しの)ぐ第三四半期の決算報告のその日(米国時間12/6)、同社はさまざまな発表を行った。

    Oktaは今や、高級百貨店Nordstromや合衆国司法省などのビッグネームも利用している著名なブランドだが、このたびそのサービスを無料でスタートアップが利用できることになった。社員数25名以下の若い*企業は1年間、同社のOkta Identity Cloudを無料で利用できる。〔*: 社歴年数の制限は見当たらない。APIも利用できる。〕

    CEOのTodd McKinnonは、“次の偉大な企業を今から顧客としてつかまえたいし、Oktaの価値を提供したい”、と言っている。つまり無料ユーザーのスタートアップは今後成長したら同社の企業顧客になったもらいたいし、同社が提供する安全なサインオンサービスに満足するだろう、と踏んでいるのだ。

    Oktaの発表の中には、本社の引っ越しもあった。サンフランシスコの100 First Streetのビルの10年間のリースにサインした

    決算の内容は、まず売上が6820万ドル。アナリスト予想は6284万ドルだった。調整後の一株当たり損失は19セントで、これもウォール街の予想24セントより良かった。

    安全なサインインという、いわゆるアイデンティティ管理サービスは、競合他社が多い。Duoや、最近上場したSailPointなどについてMcKinnonは、“彼らにはうちが提供しているものの一部しかない。うちのサービスは、もっと幅広い”、と言った。

    彼によると、Oktaの本当のコンペティターは、既存勢力のIBM, Oracle, Computer Associatesなどだ。“うちは、ああゆうレガシーをリプレースしてるんだ”、とMcKinnonは力説する。

    4月に上場したときの同社の株価は17ドルだった。水曜日(米国時間12/6)の終値は28ドル46セントで、時間外の始値はそれより5%上がった。

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa

    暗号化メールサービスのProtonMailがApple Mail, Outlook, Thunderbirdをサポート

    Mr. Robotのお気に入りのメールサービスがこのたび、従来からあるメジャーなメールソフトをいくつかサポートすることになった。そのProtonMailがこのほど新たに発表したツールProtonMail Bridgeは、長年使い慣れているメールソフトを手放したくない人たちに、同社の比較的ニッチな魅力を提供する。

    ProtonMailは、標準的な暗号化方式PGP(Pretty Good Privacy)がその核にある。それは従来なら、ユーザーが独自のアプリケーションやWebメールを使わないと、利用できなかった。しかしこれからは、Apple MailやThunderbird、OutlookなどIMAPとSMTPをサポートしているふつうのメールソフトも、バックグラウンドでProtonMail Bridgeを動かせば、ProtonMailのアカウントが有効になり、それにApple Mail等からアクセスできる。

    それにより、ProtonMailの基本機能であるエンドツーエンドの暗号化が維持される。したがって、そのメールは、送信者と受信者しか読めない。またいわゆる“ゼロアクセス暗号化”により、メールサービスのプロバイダも、あなたのメールを(いくら読みたくても)読めない。

    同社の発表声明は、こう書いている: “なによりも便利なのは、従来からのメールソフトを使ってるユーザーが、何もしなくてもよいことだ。今日ProtonMail Bridgeを動かすようになっても、メールの読み書きは昨日までとまったく同じで、変えなければならないことは一つもない。暗号化とその解読は、Bridgeがバックグラウンドでやるだけだ”。

    なお、Bridgeにはちょっとした便利機能もある。メール本文の検索ができるし、複数のアカウントの管理もできる。ProtonMail自身は、便利だがやや不完全な暗号化メールソフトであり、同社がこれまで、何度も何度も言ってきたように、誰かがあなたのデバイスにアクセスできる状態では、暗号化は安全に寄与しない〔解読後のメールを読めちゃうから〕。

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa

    IntelとHyperがOpenStack Foundationとパートナーしてコンテナのセキュリティで独自技術

    【抄訳】
    すでに周知のように、OpenStack Foundationは今後、その名前が示すような単一のビッグプロジェクトだけでなく、もっと多様なオープンソースプロジェクトのホームになる、と宣言している。そこで今日、同Foundationが発表したのが、Kata Containersプロジェクトのローンチだ。

    Kata Containersは、実行環境の仮想化/隔離化に関してコンテナと仮想マシンの良いとこ取りをするようなオープンソースプロジェクト(GitHub上)だ。コンテナからはそのスピードと柔軟性と管理性を、そして仮想マシンからはとくにそのセキュリティをいただく。この技術のベースは、IntelのClear Containersと、Hyperのハイパーバイザーランタイム(仮想マシン環境)runVだ。

    OpenStack Foundationの事務局長Jonathan Bryceによると、彼のこの組織は、クラウド上の本格的なワークロードの実行を容易にするような、別のプロジェクトを求めていた。“OpenStack Foundationではユーザーコミュニティにフォーカスし、そのニーズに応えるものを作っている。それが、OpenStackの本来のサービスより大きいことも、ありえる”、と彼は語る。

    では一体、Kata Containersプロジェクトとは何なのか? その基本的な着眼は、確かに優れた技術であるコンテナにも、長年手付かずのセキュリティの問題がいくつかあることだ。とくに複数のコンテナが仮想マシンを共有して動いていくときには、それぞれを完全に隔離孤立することが難しい。Kata Containersはこの問題を、それぞれのコンテナにきわめて軽量な仮想マシンとカーネルを与え、各コンテナないしコンテナポッドが自分だけの隔離された環境で動き、ネットワーキングもI/Oもメモリそれぞれ独自に割り当てられるようにすることで、解決しようとする。またIntelがプロセッサーに組み込んでいる仮想化技術により、ハードウェアレベルでの隔離孤立も利用する。

    Kata Containersは現在、Kubernetes, Docker, およびOpenStackを統合し、x86アーキテクチャのプロセッサーでのみ動く。サポートしているハイパーバイザーは、KVMのみである。今後、他のアーキテクチャやハイパーバイザーにも拡張していくプランはある。

    HyperとIntelとの技術融合には約1年を要しているが、この技術は多方面から期待されていて、すでにCanonical, China Mobile, CoreOS, Dell/EMC, Google, Huawei, JD.com, Mirantis, Suse, Tencent, ZTEなどがこれをサポートしている。

    【後略】

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa

    #NoHacked 3.0: サイトがハッキングされているかどうかを確認する方法

    先週、#NoHacked が Google+Twitter に帰ってきました!#NoHacked とは、ハッキング攻撃に対する認識を高め たり、サイトをハッカーから守るためのおすすめの方法をお知らせしたりすることを目的とした、Google のソーシャル キャンペーンです。今回はこのブログで、#NoHacked キャンペーンの内容についてご紹介します。

    サイトがハッキングされる原因とは何でしょうか。ハッカーがウェブサイトに不正アクセスする目的はさまざまであり、ハッキング攻撃はそれぞれまったく異なるため、いつも簡単に見つかるとは限りません。ハッキングされたサイトを見つけるのに役立つヒントをいくつかご紹介します。

    • はじめに:
      Google や他のサービスからセキュリティに関する通知を受け取った場合は、まず、「サイトがハッキングされているかどうかを確認する方法」のガイドをご覧ください。このガイドでは、サイトに不正アクセスの形跡がないかチェックするための基本的な手順をご案内しています。
    • Google 検索で表示されるアラートについて:
      Google は様々な方法でマルウェアや不正なハッキングを検出しています。マルウェアの検出ツールでは、不正なハッキングは検出されません。つまり、セーフ ブラウジングのサイト ステータスで問題がなくても、それはあなたのサイトがハッキングされていないとは限りません。
    • 「アクセス先のサイトで不正なソフトウェアを検出しました」と表示された場合、サイトがマルウェアの配布に利用されていることが Google で検出されています。
    • 「アクセス先のサイトには有害なプログラムがあります」と表示された場合、サイトで望ましくないソフトウェアが配布されていると見なされています。
    • 「偽のサイトにアクセスしようとしています」という警告は、サイトでフィッシングやソーシャル エンジニアリングが行われている可能性があることを示しています。サイトがハッキングされ、このような行為に利用されているおそれがあります。
  • マルバタイジングとハッキングの違い:
    マルバタイジング(悪意ある広告)による悪質なサイトへのリダイレクトは、あなたのサイトに掲載している悪質な広告によって引き起こされます。サイトの閲覧者を他のサイトにリダイレクトしてしまうため、あなたのサイトがハッキングされたと感じるかもしれませんが、実際には悪質な広告による仕業です。
  • オープン リダイレクト: サイトでオープン リダイレクトが有効になっていないかどうかを確認する
    ハッカーは、自身の URL を隠すために正規のサイトを悪用する場合があります。その方法の 1 つに、オープン リダイレクトを利用して、サイトにアクセスしたユーザーをハッカーの選んだ URL にリダイレクトさせるという手法があります。こちら(英語)で詳細をご覧いただけます。
  • モバイル チェック: 必ずモバイル ブラウザからシークレット モードでサイトを表示してみましょう。不正なモバイル広告ネットワークがないかチェックしてください。
    広告や他のサードパーティ要素などの不正なコンテンツによって、知らないうちにモバイル ユーザーがリダイレクトされることがあります。こうした行為は、特定のブラウザからしか見えないため、検出されにくいものです。必ず、サイトのモバイル端末向けバージョンとデスクトップ向けバージョンで同じコンテンツが表示されることをご確認ください。
  • Search Console を利用して通知を受け取る:
    Search Console は、Google がウェブサイトについてウェブマスターと連絡をとるための手段となります。また、Search Console には他にも、ウェブサイトの改善や管理に役立つさまざまなツールが含まれています。サイトの主要な開発者でない場合でも、必ず Search Console でサイトの確認手続きを済ませてください。Search Console のアラートやメッセージは、サイトで重要なエラーが検出された場合にウェブマスターに知らせるためのものです。

    • 上記の方法をお試しになってもハッキングの形跡を見つけられない場合は、セキュリティ担当者にお問い合わせいただくか、ウェブマスター ヘルプ フォーラムに投稿していただき、再確認してください。


    #NoHacked キャンペーンは、今後 3 週間にわたって実施されます。毎週初めにここで 1 週間のまとめを掲載しますので、Google+Twitter で Google をフォローしていただくか、このブログの内容をチェックしてください。今後ともよろしくお願いいたします。

    Posted by Takeaki Kanaya (Senior Search Evangelist) and Anna Ogawa (Technical Specialist)

    Amazon AWSがIoTデバイスのセキュリティモニタリングをサービスとして提供

    新しいツールや機能がぎっしり詰まった一日〔AWS re:Inventカンファレンス三日目〕の終わりに、Amazonは物のインターネット(internet of things, IoT)のための新しいセキュリティサービスをプレビューした。

    IOT Device Defenderと呼ばれるそのサービスは、IoTデバイスのポリシーをモニタし、デバイスの異常動作を見つけ、顧客がそのデバイスに盛りたいと願っている独自のルールや監査のポリシーをサポートする。

    顧客がルールを定義しておくと、正常値に対する変動がルールが定める大きさを超えた場合にそれをリアルタイムで検出してアラートする。

    またこのサービスは顧客にコンテキスト情報を提供できるので、ダメージが起きた場所や状況を知ることもできる。

    デバイスの情報やログ統計などは、それらの異状をアラートで知ることができる。そしてユーザーは、Amazonのこのサービスを通じて、リモートでデバイスをリブートしたり、そのパーミッションを取り消し〜リセットしたり、セキュリティフィックス(応急措置)を行ったりできる。

    Featured Image: NicoElNino/Getty Images


    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa

    アメリカYahooデータ漏えいで起訴されたカナダのハッカーが有罪を認める

    2014年に起きた大規模なアメリカYahooのデータ漏えい事件に関与したとして起訴されていたカナダ国籍のハッカーが有罪答弁を行ったことが明らかになった。このハッカーはロシア情報機関の職員に雇われてYahooのデータベースに侵入し、5億件のアカウント情報を不法に得ていた。被告人は22歳のカザフスタン生まれのカナダ人で、Karim Baratovといい、アメリカYahooへのハッキングで逮捕された唯一の人物だ。関与が明らかとされる他の3人はロシアにおり、アメリカの連邦裁判所に姿を現すつもりはまったくないようだ。

    検察側発表によれば、関与している他の3人のうち2人はFSB〔ロシア連邦保安庁〕に勤務するロシアのスパイだったとされる。もう1人は、ロシア人ハッカーのAlexsey Belanだ。検察側はFSB職員のDmitry DokuchaevとIgor Sushchinがハッキングを画策し、 Baratovを雇ったとしている。カリフォルニア州北部地区連邦検事局が発表した資料によれば、事件はこのようなものだったようだ。

    共謀容疑に対する Baratovの有罪答弁から判断すると、同人の役割はFSBが関心を抱く人物のウェブメール・アカウントのハッキングにあった。Baratovはアカウントのパスワードを取得して金銭と引き換えにDokuchaevに引き渡した。〔カナダで逮捕された〕Dokuchaevの合衆国への引き渡し請求においても明らかにされているとおり、SushchinとBelanの2人もYahooのネットワークへの侵入に関与し、Yahooアカウントへのアクセスを得ていた。〔ロシア情報機関は〕Google、Yandex(ロシアのサービス)など多数のウェブメール・アカウントへのアクセスも必要と考えており、 Dokuchaevはこうした任務もBaratovに与えていた。

    Baratovの証言によれば、彼はロシア語のウェブサイトにハッキングの求職広告を掲載していたという。連邦保安庁からの契約を得るとBaratovは正当なメールサービス管理者になりすまして被害者にメールを送りつける「スピア・フィッシング」の手法で騙し、パスワードを入手していた。

    Baratovは コンピューター不正行為防止法違反共謀容疑1件および加重個人情報窃盗容疑8件について有罪を認めている。

    画像: Justin Sullivan/Getty Images

    [原文へ]

    (翻訳:滑川海彦@Facebook Google+

    Uberは2016年にデータ漏洩事件を起こし、5700万人の乗客とドライバーが影響を受けていた

    Uberは2016年にデータ漏洩を引き起こし、乗客とドライバーの両方を含む5700万人に影響を与えていた。漏洩したのは名前、電子メールアドレス、そして電話番号だ。その影響を受けたグループには、5000万人の乗客と700万人のドライバーが含まれていたが、ブルームバーグからの新しいレポートによれば、およそ60万人分の米国人ドライバーのライセンス番号も含まれていたということだ。

    Uberはこの事件を規制当局や影響を受けた顧客たちに報告しておらず、その代わりに、レポートによれば、漏洩の事実を口外せずデータを削除することと引き換えに「ハッカーたち」に対して10万ドルを支払ったということだ。さらに、セキュリティに影響を及ぼす可能性のある番号や、顧客の移動履歴情報などは攻撃によって奪われておらす、漏洩した情報もこれまでに利用されたとは考えられていないとレポートには書かれている。しかしどこに責任があるのかは書かれていない。

    Uberの新CEOであるDara Khosrowshahiは、ブルームバーグに対して電子メールで、事件の「言い訳はしない」が、「これは起こってはならないことだった」と考えていると語っている。共同創業者のTravis Kalanickが同社を去ったあと、その後任として8月にこの配車サービス会社のCEOとして着任したKhosrowshahiは、その攻撃以降、Uberは脆弱性を取り除き、セキュリティ指標を引き上げたが、報告の義務を果たしていなかったと語った。

    ブルームバーグによれば、Kalanickは事件の起きた1ヶ月後の2016年11月には、早くもハックの事実を知っていた。Uberのセキュリティ担当役員(CSO)であるJoe Sullivanと、CSOの主席代理人の2人もまた今週会社を去った。サイバー攻撃の事実の秘匿に中心的役割を果たしていたためだ。

    レポートによれば、攻撃者は、Uberエンジニアたちが使っていたプライベートのGitHubサイト用の、Uber Amazon Web Servicesアカウントのログイン認証情報を得ることによって、攻撃が可能になったということだ。

    漏洩について書かれたブログ記事では、Khosrowshahiはどのように同社が事故の影響に対処するかについての計画を述べている。たとえば、元NSAの担当弁護士を招聘し、Uberのセキュリティ規約を作成し、ライセンス番号が漏洩したドライバーたちに対しては通知を行なう。Uberは、ドライバーたちに対して通知を行なうだけでなく、クレジット調査やID盗難防止サービスも同時に提供している、とはいえプログポストの中には「事件と関連すると思われる詐欺や不正使用の兆候は見つかっていない」と書かれている。

    私たちはUberにさらなるコメントを求めている。もし回答を受け取った場合には記事を更新する。

    [原文へ]
    (翻訳:Sako)

    FEATURED IMAGE: DAVID PAUL MORRIS/BLOOMBERG VIA GETTY IMAGES

    DJIに脆弱性報告のハッカー、報奨金3万ドルを突き返す。実績公表禁じる契約、法的措置ちらつかされ反発

    eng-logo-2015Phantomシリーズを始めとしたセミプロ~プロ向けドローンで知られるDJIは、この8月からバグ報奨金プログラムを開始しました。ところが、重大なシステム上の問題と欠陥を発見し、報告したとあるハッカーは、DJIの姿勢に疑問を感じてプログラムから離脱、賞金の受け取りを辞退したことを明らかにしました。

    ハッカーが発見したバグを公表前に報告してもらい、かわりに報奨金を出す取り組みは、Googleやマイクロソフトアップルなどをはじめとして、いまや多くの企業が取り入れ、製品やサービスのセキュリティ向上に役立てています。

    Kevin Finisterre氏は、DJIがGitHubに誤って公開していたSSL証明書の秘密鍵を入手し、その鍵を使ってDJIのサーバーに保存される機密情報にアクセスできることを発見しました。そしてDJIに対しこの発見がバグ報奨金プログラムの対象かどうかを尋ねたところ、報告書と引き換えにプログラムの最高額となる3万ドルを支給するとの返答を得ました。

    ところが、31ページにもわたる詳細な報告書を作って提出したFinisterre氏を待ち受けていたのは、DJIとのセキュリティ改善に向けた協力ではなく、脆弱性に関する内容を公にしないよう求める契約でした。

    Finisterre氏のようなホワイトハッカーにとって、自身が発見した脆弱性を活動実績として公表することが重要です。しかし、契約に関して交渉を試みたFinisterre氏をDJIの法律チームは脅威と認識し、脆弱性の発見は不正アクセス行為に該当するとしてコンピュータ犯罪取締法をちらつかせたとされます。

    Finisterre氏は、この契約が不誠実であり、どう見ても不利だとする弁護士の指摘を受け、結局3万ドルを放棄してプログラムから離脱する道を選択、その経験を公開するにいたりました。

    通常、バグ報奨金プログラムの多くは協力者がやって良いことと悪いことに関する取り決めや条件があらかじめ公開されているものです。しかしDJIの場合はプログラム開始当初、情報受付のためのページを公開してはいたものの、そこに諸条件など細かい取り決めを記載していませんでした。このため、Finisterre氏との間の条件の詰めに齟齬が生じた可能性は否定できません。

    Finisterre氏が手記を公開したあと、DJIはバグ報奨金プログラムの公式サイトを立ち上げ、条件も明確化しています。そして声明において「我々は脆弱性の公開前に機密データの保護および脆弱性の分析と解決を実施するバグ報奨金プログラムの基準に従うよう報告者に求めている。しかし問題のハッカーは、DJIの条件に関する交渉を拒否して、自身の要求を満足させるよう我々を脅した」としました。

    どちらが脅しているのかはさておき、発見した脆弱性を悪用せずに報告したホワイトハッカーを脅威とみなしていたのでは、本来の目的はどこへやらです。より多くの問題報告を得るためにも、バグ懸賞金プログラムで報告者たちと良好な関係を築くことのほうが、本来優先すべき事のはず。そういう意味では、DJIはもう少しじっくりと準備してからバグ報奨金プログラムを開始すべきだったかもしれません。

    Engadget 日本版からの転載。

    AWSが政府諜報機関用の秘密のリージョンを立ち上げ、インターネット接続なし

    Amazonが今日、同社のクラウドコンピューティングサービスAWSに、アメリカ政府の諜報部門のワークロード向けに特別に設計された新しいリージョンが加わる、と発表した。そのリージョンはAWS Secret Regionとずばり名付けられ、政府のセキュリティの分類で“secret”レベルまでのワークロードを動かすことができる。AWSはすでに6億ドルの契約でCIAなどの政府省庁のトップシークレットのワークロードを動かしているが、これはそれをさらに補完するものだ。

    AWSのこの発表のほぼ1か月前には、Microsoftがやはり同様の発表を行った。MicrosoftのGovernment Cloud上のAzure Government Secretにより、政府省庁およびそのパートナーの“secret”と分類されたデータを扱うワークロードがサポートされる。

    Amazon Web Services Worldwide Public SectorのVP Teresa Carlsonはこう述べている: “アメリカ政府の諜報部門は今後、共通のツールセットと、最新技術の定常的な導入、および迅速なスケーリングを可能とする柔軟性により、自らのミッションを遂行できる。AWSのTop Secret Regionは三年前に導入され、最初の密封された*商用クラウドとしてアメリカの諜報部門の顧客たちはそれをきわめて成功裡に利用している。今回の新しいリージョンにより、省庁間のコラボレーションがさらに拡大され、意思決定者に重要な情報をより迅速に届け、国の安全がさらに増強されるであろう”。〔*: air-gapped, まわりに空隙がある==インターネットに接続されていない〕

    最初の密封型クラウドTop Secretは、利用が諜報機関に限られていた。今度の新しいSecret Regionは全省庁が利用でき、既存のAmazon GovCloudなど、これまでのAWSとCIA等との関係内容とは無関係だ。

    Googleもかなり前からG Suiteを政府系の顧客に提供しているが、同社はエンタープライズ顧客の獲得に熱心で、政府省庁やそのクラウドコンピューティングニーズはあまり視野にないようだ。しかし今後Googleも、政府からお墨付きをもらうことに励んで、そのサーバー上で政府の機密データを扱うようになるかもしれない。

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa

    ハードウェアの設計にセキュリティの欠陥を見つけるTortuga Logicが$2Mを調達

    システムのセキュリティをチップのレベルで担保することを目指すTortuga Logicが、Eclipse Venturesから200万ドルのシード資金を獲得した。パロアルトに本社を置く同社は、その資金で、コンピューターのハードウェアに人知れず潜む脆弱性を見つける製品を作りたい、と志向している。

    ファウンダーのDr. Jason Oberg, Dr. Jonathan Valamehr, UC San Diego教授Ryan Kastner, UC Santa Barbara教授Tim Sherwoodらは全員、システムのセキュリティに関して数十年の経験があり、その知見の商用化(企業化)にあたってはNational Science Foundationから助成金が出ている。

    “ソフトウェアによるセキュリティ製品やセキュリティ企業は世界中にたくさんあるが、自動運転車の登場やモバイルデバイスの複雑性の増大、それに、とくに軍用製品におけるサプライチェーンの信頼性の問題などにより、セキュリティ技術の大きな欠陥が拡大しつつある。その大きな欠陥とは、具体的にはハードウェアだ”、とObergは語る。

    ソフトウェアによるセキュリティは、高価なDSLRカメラ上のダストセンサーみたいなものだ。しかし同社のシステムは、ハードウェア本体の上の欠陥を感知し、ハードウェアのセキュリティホールをさまざまなソフトウェアが悪用することを防ぐ。

    “ハードウェアの脆弱性はこれまでまんまと悪用されて、現代のコンピューターシステムを完全に骨抜きにしてきた”、とObergは語る。“すでに発売され、場合によっては悪用されたこともあるセキュリティの脆弱性を修復しようとすると、とんでもない費用がかかる。ソフトウェアと違ってハードウェアはパッチができないから、リコールのような高価なソリューションしかない場合が多い”。

    同社は、そんなセキュリティを“後知恵”(あとぢえ)と見なし、危険性の高いセキュリティホールにあらかじめ(設計段階で)パッチを当てることにより、システムのセキュリティを大幅にアップできる、と主張する。

    そのために同社が売っているのが、“半導体の設計のあらゆる部分にセキュリティの脆弱性を見つけるための一連のハードウェア設計ツール”で、すでに航空宇宙や国防の分野に顧客がいる。

    “一般的なセキュリティ企業に対する弊社の差別化要因は、弊社はソフトウェアではなく、システムの内部で使われているチップにフォーカスすることだ”、とObergは述べる。“大企業が一時的な社内チームを作って、ハードウェアのセキュリティの問題解決に当たらせると、ほとんど何もかも手作業になるだろう。それに対して弊社は、技術と知識の蓄積を活かして脆弱性発見の過程を自動化できる”。

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa

    ドイツが子ども用スマートウォッチを禁止、盗聴などハッキングの餌食になることを懸念

    ドイツの連邦ネットワーク庁(Federal Network Agency, FNA, Bundesnetzagentur)が今週、子ども用のスマートウォッチを全面的に禁ずる禁令を発布した。さらに、そのようなデバイスをすでに買い与えていた親は、それを破壊しなければならない。この強権的な動きは、未成年をねらったデバイスをめぐるプライバシーの懸念が高まっていることに対する、政府としての対応だ。

    “アプリを使って親は、子どもたちに気づかれずに彼らのウォッチを盗聴できるが、それらは無認可の送信システムとみなされる”、同庁の長官Jochen Homannが、BBCが入手した声明文でこう述べている。FNAはさらに、教育者が児童生徒のウォッチを注意してよく見るよう促している。なぜなら、“調査によれば、教室で教師を盗聴するために親のウォッチが使われていることもあるからだ”。

    近年、大人だけでなく子どもをターゲットとするウェアラブルが広く普及するに伴い、このような懸念が広まっている。つい先月は、ヨーロッパの監視グループNorwegian Consumer Council, NCCが強い語調の報告書を発表して、GPSを搭載したデバイスの安全性に関する懸念を表明した。その報告書は、親による追跡だけでなく、外部からのハッキングの可能性についても触れている。

    “子どもの安全を願う者なら誰もが、この報告書が述べている欠陥が修復されないかぎり、スマートウォッチを買い与えることには二の足を踏むであろう”、とNCCは書いている。

    その報告書は、子ども用スマートウォッチのブランドを具体的に挙げている…Gator 2, Tinitell, Viksfjord, そしてXploraだ。一方FNAの禁令は、一般的に子ども用スマートウォッチ全般を禁じている。先週同庁は、人形玩具My Friend Caylaの禁止と破壊を発令した。そのマイクロフォンとBluetooth機能に対する懸念が、高まっていたからだ。

    その人形と同じくスマートウォッチも、同庁は違法盗聴デバイスとみなしている。

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa