株取引アプリRobinhoodが数百万人の顧客情報流出、ソーシャルエンジニアリング攻撃で

オンライン株取引プラットフォームのRobinhood(ロビンフッド)は、先週ハッキングされ、500万件以上の顧客のメールアドレスと200万件以上の顧客名、さらにそれよりも少数の一部のユーザーに関してはより詳細な顧客データが盗まれたことを確認した。

同社のブログによると、米国時間11月3日に悪意のあるハッカーが電話で顧客サービス担当者に対しソーシャルエンジニアリングを使い、顧客サポートシステムにアクセスしたとのこと。その結果、ハッカーは数百万人の顧客の名前とメールアドレスに加えて、310人の顧客のフルネーム、生年月日、郵便番号を入手することに成功した。

Robinhoodによると、10人の顧客については「より広範なアカウント詳細が漏洩した」という。社会保障番号、銀行口座番号、デビットカード番号は流出しておらず、それらの顧客に直接的な経済的損失は発生していないが、Robinhoodは具体的にどのような情報だったかは述べていない。

しかし、そうした個人情報は、悪意のあるハッカーが被害者にさらなる攻撃を仕掛けることを容易にする。例えば、名前と生年月日は、しばしばユーザーの身元を確認するために使用することができるため、ターゲティングされたフィッシングメールなどで使われる。

Robinhoodがシステムを保護した後、ハッカーは「身代金の支払いを要求した」と同社は述べている。Robinhoodは代わりに法執行機関とセキュリティ会社のMandiantに通知し、侵害の調査を依頼した。

これは、2020年7月にTwitter(ツイッター)がハッキングされたときと同様の侵害だ。当時10代だったハッカーがソーシャルエンジニアリング技術を使って、Twitterの一部の従業員を騙し、ハッカーを従業員と思わせて、Twitter内部の「管理者」ツールへのアクセスを許し、彼はそのツールを使って知名度の高いアカウントを乗っ取り、暗号資産詐欺を広めた。この攻撃により、ハッカーは10万ドル(約1130万円)強の暗号資産を手に入れた。Twitterはその余波を受けて、スタッフにセキュリティキーを配布し、今後この種の手口が通用しないよう、攻撃に対する防御を強化した。

ハッカーがRobinhoodの顧客サービス担当者を騙して内部システムへのアクセスを許可したセキュリティ管理の不備は、同社の調査の焦点となりそうだ。

画像クレジット:Andrew Harrer/Bloomberg / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

英国労働党、党員データ流出の原因は第三者業者を狙ったサイバー攻撃と発表

英国の労働党は、第三者企業へのサイバー攻撃により、党員のデータが漏洩したことを確認した。

労働党は、全党員に送られ、同党のウェブサイトにも掲載されたEメールの中で、10月29日に名前の明かされていない第三者データ処理業者から「サイバーインシデント」の報告を受けたと述べている。

詳細はまだ不明だが、労働党によると、このインシデントにより「かなりの量の党データがシステム上でアクセス不能になった」という。インシデントに対応した人物がSky Newsに語ったところによると、この事件は労働党のサードパーティサプライヤーに対するランサムウェア攻撃だったとのこと。労働党はまだこれを確認しておらず、TechCrunchはさらなる情報を求めている。

また、侵害の規模も不明で、どのようなデータが流出したかもまだわかっていない。有料メンバーの財務情報を保有している労働党は、影響を受けたデータについて「党員、登録・提携している支援者、その他党に情報を提供した個人を含む」としている。

しかし、元党員や非党員にも多くの影響があったようだ。あるTwitter(ツイッター)ユーザーは、2009年に党を脱退したにもかかわらず、データ漏洩の通知を受け取ったと主張しており、他のユーザーは、党員になったことがないにもかかわらず、メールを受け取ったと述べている。また、労働党員ではないが、労働党系組合の組合員として政治献金を支払ったことでデータ流出の影響を受けたという人もいる。

労働党には約43万人の党員がいる。同党の声明によると、調査は進行中だ。国家犯罪対策庁(NCA)、国家サイバーセキュリティセンターにも報告し、情報コミッショナーオフィス(ICO)にも報告したという。

NCAのスポークスパーソンは次のように述べている。「NCAは、労働党に影響を与えたサイバーインシデントの犯罪捜査を主導しています。我々は、潜在的なリスクを軽減し、この事件の性質を評価するために、パートナーと緊密に協力しています」。最近、英国の各政党にデータ保護の実践を改善するよう促したICOも、今回の事件について積極的に調査を行っていることを確認している。

労働党は、今回の事件の全容、状況、影響を「緊急に調査」するために、攻撃を受けたサードパーティサプライヤーとも緊密に協力していると述べている。なお、今回の攻撃では、党自体のデータシステムには影響がなかったことを強調している。

労働党がランサムウェアの被害に遭ったのは、今回の事件が初めてではない。労働党は2020年、クラウドソフトウェア企業のBlackbaud(ブラックボード)が保管していたデータがランサムウェア攻撃を受けたとして、党員に警告を発した。当時、同党は、数年にわたる寄付者の情報が流出したと考えられると述べていた。

画像クレジット:Oli Scarff / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

【コラム】今現在も「ストーカーウェア」の大流出で数千人の携帯電話データが危険に晒されている

何十万人もの人々の個人的な電話データが危険にさらされている。通話記録、テキストメッセージ、写真、閲覧履歴、正確な位置情報、通話録音など、広く使われている消費者向けスパイウェアにおけるセキュリティ上の問題から、人の電話からすべてのデータが引き出される可能性がある。

しかし、私たちが伝えることができるのはその程度のことなのだ。TechCrunchは、身元が明らかになっていない開発者に、判明しているメールアドレスと非公開のメールアドレスすべてを使って何度もメールを送ったが、この問題を明らかにするための糸口は見えなくなってしまった。メールが読まれたかどうかを確認するために、オープントラッカーを使ってメールを送ったが、これもうまくいかなかった。

この問題が解決されるまでは、何千人もの人々のセキュリティとプライバシーが危険にさらされていることになるため、我々はスパイウェアの開発者へ連絡を試みた。スパイウェアやその開発者の名前を出すと、悪意のある者が安全ではないデータにアクセスしやすくなるため、ここで名前を出すことはできない。

TechCrunchは、消費者向けのスパイウェアに関する広範な調査の一環として、このセキュリティ問題を発見した。これらのアプリは、子どもの追跡や監視のためのソフトウェアとして販売されていることが多いのだが、本人の同意なしに人を追跡したり監視したりすることから「ストーカーウェア」と呼ばれることもある。これらのスパイウェアアプリは、無言で継続的に人の携帯電話のコンテンツを吸い上げ、その運営者が人の居場所や通信相手を追跡できるようにしてしまう。これらのアプリは、発見されたり削除されたりしないように、ホーム画面から消えるように設計されているため、多くの人は自分の携帯電話が危険にさらされていることに気づかない。

関連記事:「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

電子フロンティア財団のサイバーセキュリティ担当ディレクターで、ストーカーウェア反対連合の立ち上げを主導したEva Galperin(エヴァ・ガルペリン)氏は、TechCrunchとの電話で「失望しましたが、少しも驚いていません。このような行為は、怠慢であると考えるのが妥当だと思います。悪用を可能にする製品を作っている企業があるだけでなく、流出した情報を保護するための対策があまりにも不十分なため、悪用された情報をさらに悪用する機会を与えてしまっているのです」と述べている。

TechCrunchは、開発者のスパイウェアのインフラににホスティングを提供しているウェブ企業のCodero(コデロ)にも連絡を取ったが、Coderoはコメント要請に応じなかった。Coderoはストーカーウェアのホスティングに精通している。このウェブホストは2019年にストーカーウェアメーカーの「Mobiispy」に対して、数千枚の写真や電話の記録を流出させていたことが発覚し「行動を起こした」という。

「あるストーカーウェア企業をホストしているウェブホストが、他のストーカーウェア企業をホストするのは当然だと思いますし、以前に反応を示さなかったのであれば、今回も反応を示さないのは当然でしょう」とガルペリン氏は述べている。

このように簡単に手に入るスパイウェアが蔓延していることから、業界全体でこれらのアプリを取り締まる取り組みが行われている。アンチウイルスメーカーは、ストーカーウェアを検出する能力の向上に努めており、また、Google(グーグル)は、スパイウェアメーカーに対して、配偶者の携帯電話を盗み見る方法として製品を宣伝することを禁止しているが、一部の開発者は、Googleの広告禁止を逃れるために新たな戦術を用いている。

関連記事:グーグルがスマホのスパイアプリを宣伝した「ストーカーウェア」広告を停止

モバイルスパイウェアは、セキュリティ上の問題として他人事ではない。ここ数年の間に「mSpy」「Mobistealth」「Flexispy」「Family Orbit」など、10社以上のストーカーウェアメーカーがハッキングされたり、データが流出したり、人々の携帯電話のデータを危険にさらしたりしたことが知られている。別のストーカーウェア「KidsGuard」では、セキュリティの不備により何千人もの人々の電話データが流出し、最近では、配偶者のデバイスをスパイできると宣伝している「pcTattleTale」が、推測されやすいウェブアドレスを使ってスクリーンショットを流出させていた。

連邦規制当局も注目し始めている。2021年9月、米連邦取引委員会は、2000人以上の電話データを流出させたストーカーウェアアプリ「SpyFone」の使用を禁止し、被害者に電話がハッキングされたことを通知するよう命じた。これは、当委員会がスパイウェアメーカーに対して行った2回目の措置で、1回目は、何度もハッキングされ、最終的に閉鎖に追い込まれたRetina-Xだ。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

あなたやあなたの知り合いが助けを必要としている場合、日本の内閣府のDV相談+ (0120-279-889)は、家庭内の虐待や暴力の被害者に対して、24時間365日、無料で秘密厳守のサポートを提供しています。緊急事態の場合は、110に電話してください。

また、ストーカーウェア反対連合では、自分の携帯電話がスパイウェアに感染していると思われる場合に役立つ情報を提供しています。この記者の連絡先は、SignalおよびWhatsAppでは+1 646-755-8849、Eメールではzack.whittaker@techcrunch.com。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、Akihito Mizukoshi)

Evervaultの「サービスとしての暗号化」がオープンアクセスに

ダブリンに拠点を構えるEvervaultは、APIを介する暗号化を販売する開発者向けセキュリティのスタートアップだ。Sequoia、Kleiner Perkins、Index Venturesなどの大手投資家から支援を受けている。同社は2021年8月中旬、クローズドベータを終え、暗号化エンジンへのオープンアクセスを発表した。

E3と称される同社の暗号化エンジンを試す待機リストには、約3000人の開発者が登録していると同社は述べている。

クローズドプレビューに参加している「数十の」企業には、ドローン配送会社のManna、フィンテックスタートアップのOkra、ヘルステック企業のVitalなどが名を連ねている。Evervaultによると、同社のツールは4種のデータ(アイデンティティおよび連絡先データ、財務および取引データ、健康および医療データ、知的財産)の収集や処理を必要とするコアビジネスを持つ企業の開発者をターゲットにしているという。

E3で提供する最初のプロダクトスイートはRelayとCagesだ。Relayは、開発者がアプリの入出力時にデータを暗号化および復号化するための新しい方法を提供する。Cagesは、AWS上で実行される信頼性の高い実行環境を使用して、プレーンテキストデータを処理するコードを開発者スタックの残りの部分から分離することで、暗号化されたデータを処理する安全な方法を提供する。

創業者のShane Curran(シェーン・カラン)氏によると、EvervaultはAmazon Web ServicesのNitro Enclavesにプロダクトをデプロイした最初の企業になるという。

「Nitro Enclavesは基本的に、コードを実行でき、データ自体の中で実行されるコードが本来実行されるべきコードであることを証明できる環境です」と同氏はTechCrunchに語っている。「AWS Nitro Enclavesに関するプロダクトのプロダクションデプロイメントを行ったのは当社が最初です。そのアプローチを実際的に遂行する当事者という意味では、私たちが唯一の存在だと言えるでしょう」。

データ侵害がオンラインで深刻な問題であり続けていることは、もはや周知の事実であろう。そして残念なことに、アプリメーカーによる杜撰なセキュリティ対策、さらにはユーザーデータの安全性に対する配慮の全面的な欠如について、プレーンテキストのデータが漏洩したり不正にアクセスされたりした場合に責任を問われる頻度が高くなっている。

アプリエコシステムのこの不幸な「特性」に対するEvervaultの解決策は、開発者がAPIを介する暗号化を極めてシンプルに行えるようにすることであり、暗号化キーの管理などの負担を軽減するものである。(「DNSレコードを変更して当社のSDKを含めることで、5分でEvervaultを統合」というのが、同社のウェブサイト上の開発者を惹きつけるピッチだ)。

「私たちが行っている高いレベルの取り組みにおいて【略】私たちが真に注力しているのは、どのような観点からもセキュリティとプライバシーにまったくアプローチしていない(という状況にある)企業を、暗号化で稼働状態にし、少なくとも、制御機能を実際に実装できるようにすることです」とカラン氏は語る。

「最近の企業が抱える最大の問題の1つとして、企業がデータを収集した後、そのデータは実装とテストセットの両方に散らばっているような状態になっていることが挙げられます。暗号化の利点は、データがいつアクセスされ、どのようにアクセスされたかを正確に把握できることにあります。ですから、データに何が起こっているのかを確認し、それらの制御を自分たちで実装するためのプラットフォームが提供されるだけでいいのです」。

何年にもわたって発生してきたおぞましいデータ漏洩スキャンダル(そしてデータ漏洩デジャヴ)、さらには欧州の一般データ保護規則(GDPR)をはじめとするデータ保護法の改正により脆弱なセキュリティやデータの悪用に対する罰則が強化されたこともあり、企業幹部はデータを適切に保護する必要性に一層の注意を払うようになっている。こうした中「データのプライバシー」を提供することを約束するサービスをアピールし、データを保護しつつ開発者が有用な情報を抽出できると主張するツールを売り込むスタートアップが増えている。

関連記事
米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売
EUがAmazonに過去最大約971億円の罰金、ターゲット広告目的で顧客データを使用

Evervaultのウェブサイトはまた「データのプライバシー」という用語を次のような意味の定義として展開している。「プレーンテキストのユーザー / 顧客データにアクセスできる権限のない当事者はいない、ユーザー / 顧客および権限のある開発者は誰がいつどの目的でデータにアクセスできるかを完全に制御できる、プレーンテキストのデータ侵害を終結する」(つまり、暗号化されたデータは理論上はまだ漏洩する可能性があるが、重要なのは、情報が強固に暗号化されている結果、保護されたままになるということだ)。

この分野のスタートアップが商用化しているテクニックの中に、準同型暗号がある。準同型暗号とは、暗号化されたデータを復号することなく分析できるプロセスだ。

Evervaultの最初のオファリングはそこまで踏み込んでいない。ただし同社の「暗号化マニフェスト」には、この技術を注視していると書かれている。そしてカラン氏は、このアプローチをいずれは取り入れる可能性が高いことを認めている。しかし、同社の最初の焦点は、E3を稼働させ、幅広い開発者を支援できるオファリングを提供することにあると同氏はいう。

「完全な準同型(暗号化)はすばらしいことです。通常のサービスを構築しているソフトウェア開発者をターゲットにする場合、最大の課題は、その上に汎用アプリケーションを構築することが非常に難しいことにあります。そこで私たちは別のアプローチを採用しました。そのアプローチとは基本的に、信頼できる実行環境を使用することです。そして私たちはAmazon Web Servicesチームと協力して、Nitro Enclavesと呼ばれる彼らの新しいプロダクトの最初のプロダクションデプロイメントを行いました」とカラン氏はTechCrunchに語った。

「私たちがより重視しているのは、基盤となる技術そのものではなく、すでにこの分野に多額の投資をしている企業のために最善のセキュリティプラクティスを採用し、暗号化がどのように機能するかについて知識を持たないような平均的な開発者でも利用できるようにすることです」と同氏は説明する。「Evervaultが他のプライバシーやセキュリティ企業と違う最大のニュアンスはそこにあります。私たちが開発を進めるのは、何かを構築するときに通常はセキュリティについて考えることなく、それを中心にすばらしいエクスペリエンスを築こうとしている開発者のためです。それはまさに、『アートの始まり』の間にあるギャップを埋め、それを平均的な開発者にもたらすことに他なりません」。

「時間の経過とともに、完全な準同型暗号化はおそらく私たちにとって簡単なものになりつつあるのですが、平均的な開発者が立ち上げて実行するためのパフォーマンスと柔軟性という点では、現在の形式をベースにして構築することはあまり意味がありませんでした。しかし、そこに私たちは注目しています。私たちは学究的環境から生まれてくるものを実際的に精査しています。現実の環境に適合させることができるかどうかを検討しているのです。しかし当面は、今てがけているような信頼できる実行環境がすべてです」とカラン氏は続けた。

カラン氏によると、Evervaultの主な競合相手はオープンソースの暗号化ライブラリであり、開発者は基本的に自分で暗号化作業を行うことを選択している。そのため、同社はオファリングのサービス面に照準を合わせている。開発者が暗号化管理タスクを実行しなくて済むようにすると同時に、データに明確に触れる必要がないようにすることで、セキュリティリスクを軽減する。

「この種の開発者たち、つまりすでに自分たちで暗号化を行うことを考え始めている開発者たちを考慮すると、Evervaultの最大の差別化要因としてまず統合のスピードが挙げられますが、さらに重要な点は暗号化されたデータの管理そのものにあります」とカラン氏。「Evervaultではキーを管理していますが、データは保持しておらず、お客様は暗号化されたデータを保持していますが、キーは保持していません。つまり、Evervaultで何かを暗号化したいと思っても、すべてのデータについて、プレーンテキストで保有することは決してありません。一方、オープンソースの暗号化では、暗号化を行う前のある時点でプレーンテキストデータを保有する必要があります。これが私たちが見ている基本の競合他社です」。

「もちろん、Tim Berners-Lee(ティム・バーナーズ-リー)氏のSolidプロジェクトのような他のプロジェクトもいくつかあります。ですが、暗号化に対して開発者エクスペリエンスに焦点を当てたアプローチに特化しているところが他にあるかどうかは明確とは言えません。APIセキュリティ企業は明らかに数多く存在します【略】しかし、APIを介する暗号化は、私たちが過去に顧客との間で出会ったことのないものです」と同氏は付け加えた。

関連記事:WWWの父ティム・バーナーズ=リー氏のInruptがプライバシープラットフォームSolidのエンタープライズ版をリリース

Evervaultの現在のアプローチでは、アプリメーカーのデータはAWS上の専用の信頼できる実行環境でホストされていると見ているが、情報は今のところプレーンテキストとして存在している。しかし、暗号化が進化するにつれ、アプリがデフォルトで暗号化されるのではなく(Evervaultの使命は「ウェブを暗号化する」ことだとされている)、ユーザーデータがいったん取り込まれてから暗号化されれば、すべての処理が暗号化されたテキスト上で実行されるため、ユーザーデータを復号する必要がなくなる未来を想像することも可能になる。

準同型暗号は当然のことながらセキュリティとプライバシーの「聖杯」と呼ばれており、Dualityのようなスタートアップはそれを追い求めて奔走している。しかし、現場、オンライン、そしてアプリストアでの現実は、はるかに初歩的なままだ。そこでEvervaultは、暗号化のレベルをより一般的なものにしようとすることには大きな価値があると考えている。

カラン氏はまた、多くの開発者は収集したデータを実際にはあまり処理していないと指摘し、そのため、信頼できる実行環境内でプレーンテキストデータをケージングすることで、いずれにしてもこうした種類のデータフローに関連するリスクの大部分を取り除くことができると主張している。「現実には、最近のソフトウェア開発者の多くは、必ずしも自分でデータを処理しているわけではありません。彼らはユーザーから集めてサードパーティのAPIと共有しているだけなのです」。

「Stripeを利用して何かを構築しているスタートアップを見てみると、クレジットカードはシステム内を流れていますが、最終的には必ず別の場所に渡されることになります。これは、最近のスタートアップのほとんどが行っている傾向だと思います。ですから、Amazonのデータセンターのシリコンのセキュリティに依存して実行を信頼することができるのは、ある意味最も理に適っていることです」。

規制面では、このデータ保護のストーリーは、通常のセキュリティスタートアップの展開よりも少し微妙なところがある。

欧州のGDPRは確かにセキュリティ要件を法制化しているが、旗艦的なデータ保護レジームは、個人データに付随する一連のアクセス権も市民に提供している。これは「データプライバシー」に関する開発者ファーストの議論では見落とされがちな重要な要素だ。

Evervaultは、チームの初期の焦点は暗号化であり、データアクセス権は今のところ意識の中心にはなっていないことを認めている。しかしカラン氏は「時間をかけて」「アクセス権もシンプル化する」プロダクトを展開する計画だと語ってくれた。

「今後、Evervaultは次の機能を提供していく予定です。暗号化されたデータのタグ付け(例えばタイムロックデータの利用)、プログラム的な役割ベースのアクセス(例えば従業員がUIでプレーンテキストのデータを見れないようにする)、そしてプログラム的なコンプライアンス(例えばデータのローカリゼーション)です」と同氏はさらに説明した。

画像クレジット:Janet Kimber / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

ミズーリ州知事が州のデータ漏えいを報じた地元ジャーナリストを告訴すると脅迫

米国ミズーリ州のMike Parson(マイク・パーソン)知事は、州ウェブサイトの深刻なセキュリティ障害を報道したジャーナリストを告訴すると脅したことで前代未聞の非難を浴びている。

先にSt. Louis Post-Dispatch(セントルイス・ポスト・ディスパッチ)紙のJosh Renaud(ジョシュ・ルノー)記者は、 州の初等中等教育局(DESE)のウェブサイトが、10万人を超える教員の社会保障番号(SSN)を露出したことを報じた。問題のSSNは同サイトのウェブページのHTMLソースコード経由で発見が可能で、インターネット接続のある人なら誰でも、ページで右クリックして「ページのソースを表示」を選ぶだけで個人情報を見ることができる。多くの人にとって、ページのソースコードはキーボードの「F12」キーを押すだけで見える。

Post-Dispatch紙はウェブサイトを修正するよう州当局に脆弱性を通知し、州に修正する時間を十分与えるために記事の公開を遅らせた。その後教育局は「教員検索機能は直ちに無効化」され、脆弱性はすでに修正されたことを正式発表した

それで終わるはずだった。当局責任者であれば、不具合を発見して公表前に警告してくれたことについて同紙に感謝するのが一般的だが、ミズーリ州の共和党州知事マイク・パーソン氏は、脆弱性を発見したジャーナリストを「ハッカー」呼ばわりし、新聞社が欠陥を発見したのは「州当局を辱める」ためだったと語った。

「ハッカーとは情報やコンテンツを不正にアクセスする連中です。この人物は自分のやったことの許可を得ていません」と米国時間10月14日の記者会見で知事は語った。「この人物は被害者ではありません。新聞社は州当局に逆らい、教員たち個人情報を漏洩させることで州をはずかしめ自分たちの報道機関の見出しを飾ろうとしたのです」。

関連記事:オープンソース版の登場に対してWhat3Wordsがセキュリティ研究者に法的警告を送付

「私たちのシステムをハッキングする者やそれを幇助する者に対して州は断固として法的措置をとります」と、パーソン氏は言った。さらに知事は本件を郡検察庁に送致した。

当然のことながら、Post-Dispatch紙の記事に対する知事の反応(および「ハッカー」という用語に対する明らかに誤解)は批判を噴出させ、彼自身の党内からも避難を浴びた。共和党のTony Lovasco(トニー・ロバスコ)議員はTwitter(ツイッター)に「知事室がウェブテクノロジーおよびセキュリティ脆弱性の報告に関する業界標準手続きを根本的に理解していないことは明らかです」と指摘し「ジャーナリストがデータ・プライバシーに関して責任を持って警告を発することは犯罪的ハッキングではありません」と付け加えた。

Ron Wyden(ロン・ワイデン)上院議員もパーソン氏の発言を非難するツイートをした。「ジャーナリズムは犯罪ではありません。サイバーセキュリティ研究も同様です。真のリーダーは報道が政府の失敗を暴露したときに攻撃犬を放ったりせず、真摯に問題を修正するものです」。

サイバーセキュリティ業界も直ちにパーソン氏の発言に介入した。ハッカーでSocialProof Security(ソーシャルプルーフ・セキュリティ)CEOのRachel Tobac(ラチェル・トバック)氏は次のようにツイートした。「公共機関の提供するツールで誰でもキーボードのF12を押すだけで個人情報が漏洩されるようなら、そこにあるのはハッキング状態ではなく、重大なデータ漏えい問題です」。

Post-Dispatch紙はパーソン氏の発言を真に受けることもなく、ルノー記者を支持する立場をとっている。同紙は、自社の記者は「自らの発見を教育局に報告することで、州当局が露見や悪用を防げるようする責任ある行動をとったのです」と語った。

「ハッカーとは、悪意や犯罪の意図をもってコンピューターセキュリティを破る人々のことです。今回の行動に、ファイアーウォールやセキュリティの侵害も、悪意も一切ありません」と同紙が声明で語った。「教育局がこれを『ハッキング』と称することで自らの失敗への批判をかわそうとすることに根拠はありません」。

もちろん、パーソン知事は、州がセキュリティ脆弱性を発見、修正するのを手助けしたその犯罪とされる行為の「責任」がPost-Dispatch紙にあると主張しているものの、米国最高裁判所が最近のVan Buren(ヴァン・ビューレン)事件の判決で、本来見ることのできないファイルや情報をアクセスした者は法に違反していると裁定したことを踏まえると、ルノー氏が最終的に有罪判決を受ける可能性は低い。

しかし、もし州当局が法的措置に出れば、訴えがジャーナリズムやセキュリティ研究を萎縮させ、セキュリティ欠陥を発見して当事者に報告したセキュリティ研究者が法的脅威や攻撃に直面する問題がさらに拡大しかねない。

関連記事:オープンソース版の登場に対してWhat3Wordsがセキュリティ研究者に法的警告を送付

画像クレジット:Evgenii Bobrov / Getty Images

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook

Verizon傘下の格安携帯キャリアVisible、ハッカーがアカウント乗っ取り・複数iPhone購入も

Verizon(ベライゾン)傘下の格安携帯通信キャリアであるVisibleは、一部のユーザーアカウントがハッカーにアクセスされ、不正に請求されたことを確認した。

The Vergeが最初に報じたこの事件は、今週初め、Visibleの顧客がソーシャルメディアで彼らのアカウントが乗っ取られたと報告したことで明らかになった。Eメールアドレスとパスワードが何者かに変更されたという報告や、Visibleのアカウントから不要な請求が行われたという報告が多数寄せられた。

ある顧客は、自分のアカウントがハッキングされ、そのユーザーが接続しているPayPal(ペイパル)アカウントでiPhoneが購入されたとVisibleのsubredditに書き込んでいた。また、24時間以内に3台のiPhoneが自分の名前で注文されたというユーザーもいた。「毎回、異なる配送先 / 請求先住所だった」とのこと。

Visibleは当初この問題について沈黙を守っていたが、同社は米国時間10月13日にTwitter(ツイッター)で「脅威アクターが外部からユーザー名やパスワードにアクセスし、その情報を利用してVisibleアカウントにログインしていました」と確認した。これに加えて、複数のアカウントでパスワードを再利用しないようにというフォローアップのツイートがあったことから、影響を受けたユーザーは大規模なクレデンシャルスタッフィング攻撃(パスワードリスト型攻撃)の被害者である可能性が高いと考えられる。そうした攻撃では一般的に、ユーザー名やEメールアドレス、対応するパスワードのリストからなる盗まれたアカウント認証情報が、自動化されたログインリクエストを通じてアカウントへの不正アクセスに使用される。

これはVisible自体が侵害されていないことを示唆しているが、多くの顧客は、同社が2ファクタ認証(2FA)に対応していないことを強調している。これにより、アカウントの乗っ取りを防ぐことができたかもしれない。

TechCrunchは、Visibleに2FAを有効にする計画があるかどうか尋ねたが、今のところ回答は得られていない。同キャリアは、影響を受けたユーザーの数をまだ明らかにしていない。

The Vergeに寄せられた声明の中で、同社は次のように述べている。「Visibleは、一部のメンバーアカウントが不正にアクセスされ、請求されていた問題を認識しています。問題が判明したあとすぐに調査を開始し、問題を軽減するためのツールの導入し始め、お客様をさらに保護するための追加管理を可能にしました」。

「お客様のアカウントの安全性を含め、お客様の情報を保護することは、当社およびお客様にとって非常に重要なことです。なお、当社が電話でお客様のパスワード、秘密の質問、アカウント暗証番号をお尋ねすることはありません。お客様のアカウントが侵害されたと思われる場合は、visible.comのチャットでご連絡ください」とも。

Visibleのsubredditによると、同社は今後「商品を購入する際には、追加のセキュリティ対策として、支払い情報の再確認が必要となります」と顧客に伝えているという。また、同社はユーザーに対し、特に複数のサービスで使い回されているパスワードを再設定するよう勧めている。

関連記事:米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売

画像クレジット:Visible

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

クリエイターの報酬データが大量流出、Twitchのストリーマーの反応は

ストリーミングプラットフォームのTwitchは米国時間10月6日、クリエイターの報酬を含む膨大な内部データが流出し、オンラインで公開されてしまったことを認めた。同社はブログ記事で、流出の原因はTwitchのサーバー構成を変更した際のエラーであり、悪意のある第三者がそのデータにアクセスしたと述べた。今回の漏洩は、多くのストリーマーにとって、ストリーミングにおける給与の透明性とTwitchにおける安全性を巡るこれまでの緊張を悪化させるものだ。

今回の漏洩は、この数カ月間に起こった。TwitchはAmazon傘下のプラットフォームだ。2021年初めの時点で、ゲームのライブストリーミング視聴者数の72.3%を占め、Facebook GamingやYouTube Gamingなどのプラットフォームに比べ、圧倒的な強さを誇る。疎外されたクリエイターが憎しみに満ちたボット攻撃の標的にされたことから、一部のストリーマーは9月1日「#ADayOffTwitch」と称してプラットフォームをボイコットした。その結果、ピーク時の同時視聴者数は平均を100万人下回った。その後、Twitchは新たな安全機能を追加したが、コミュニティの緊張感は依然として高いままだ。

「このようなことが起こるのは時間の問題だったと思います」と、#ADayOffTwitchのボイコット主催者の1人であるトランスジェンダーのストリーマー、Lucia Everblack(ルシア・エバーブラック)氏は話す。「Twitchの活動において、そもそも安全性やセキュリティが最優先されていなかったことが明らかになりました」。

流出したのは、ソースコード、独自のソフトウェア開発キット(SDK)、Amazon Game Studiosが準備中のSteamと競合するサービスなどの未発表データだった。日中はソフトウェアエンジニアとして働くエバーブラック氏にとって、今回のクリエイターへの支払いデータの流出は、同氏が感じていることを裏付けたにすぎない。それはTwitchが、最も金を引き寄せられるストリーマーに報いることを優先しているということだ。Reddit(レディット)の投稿によると、今回流出した2019年から現在までのストリーマーのデータを分析したところ、Twitchの上位1万人のストリーマーのうち10%が、ストリーマー全体の収益の49%を占めているという。約2000人のストリーマーが、同期間にTwitchで10万ドル(約1100万円)以上稼いだ。

「Twitchのあらゆる機能がこの仕組みの上に成り立っていますが、これではプラットフォームの他の部分が成長できません」と同氏はTechCrunchに話した。「このことが他の人すべてにとって大きなブレーキになっています。特にBIPOC、LGBTQI+、障害者にとってです」。

Twitchパートナーであり、9年以上にわたってtehMoragの名で配信しているScott Hellyer(スコット・ヘリヤー)氏も、Twitchが稼げるユーザーを優先していると感じている。

「Twitch全体では、ディスカバリーが常に問題となってきました」とヘリヤー氏はTechCrunchに話した。「YouTubeにはとてもクールなアルゴリズムがあり、コンテンツを見たいと思う人と繋がる方法をコンテンツの作者が探すのを手伝ってくれます。Twitchも同じことを試みていますが、十分に努力しているとは思えません。今、人々は『ああ、ディスカバリー機能を高めようとしないのは当然だ、Twitchは人々を上位のストリームに押し込むだけだ。彼らはすでにTwitchにとって必要なお金を稼いでいるのだから』と言っています。その方が投資効果は高いし、それは理解できます」。

4chanのスクリーンショット

漏洩した情報によると、トップストリーマーの大半は白人男性で、ゲーム業界の多様性の欠如を大きく反映している。リストの中で最も高い報酬を得ている女性ストリーマーであるPokimane39位にすぎない。しかし、探索しやすい機能があれば、Twitchはより多様なクリエーターを増やすことができるだろう。エバーブラック氏をはじめとする社会から疎外されたストリーマーらはTwitchに対し、アイデンティティベースのタグをストリームに追加するよう働きかけた。そうすればユーザーは、支持したい多様なクリエイターを見つけることができる。Twitchは5月にこのタグを追加したが、エバーブラック氏はその前にPeer2Peer.liveを立ち上げた。これは、疎外されたストリーマーと視聴者がお互いを見つけるためのオプトインの探索ツールだ。ユーザーの中には、このタグが悪意ある人たちによるヘイト・レイド(差別的コメントによる荒らし)のためのターゲット探しを助長するのではないかと心配する人もいるが、エバーブラック氏は、このタグによって大きな成長が見られたと語る。一方、Twitchは、これらのユーザーを攻撃の標的となる危険性から守るため、電話による認証が必要なチャット機能を追加した。

関連記事:Twitchが電話認証付きチャット機能の追加とメール認証設定を拡大、ハラスメント抑制のため

しかし、ストリーマーがいったん視聴者を獲得したとしても、Twitchでそれなりの収入を得ることは難しい。収入上位者が稼ぎ得る金額にもかかわらずだ。ストリーマーが十分な人気を得ると、Twitchパートナープログラムへの参加を申請することができる。プログラムからクリエイターに多くのツールや収益化の選択肢が提供される。だが、TechCrunchが話を聞いた複数のストリーマーは、すべてのTwitchパートナーが同じ給与体系ではないことは公然の秘密だとした。2017年にInsiderは「パートナーは人気に応じて、サブスクリプション収入の2〜6割を受け取る」と報じた。サブスクリプション収入は、TwitchパートナーとTwitchが折半するのが標準だが、一部のストリーマーが主張するところでは、クリエイターらが最近、より有利な6〜7割の受け取りの交渉に成功し、勢いを増すYouTube Gamingの標準的な支払いと肩を並べた。CouRage、DrLupo、Valkyraeなどの人気ストリーマーの中には、YouTubeとの独占契約のためにTwitchを離れた人もいる。

JessGOATの名でストリーミング配信を行っているJess Bolden(ジェス・ボールデン)氏はInputに対し「Twitchと50対50の割合で契約しているLGBTQIAや女性のストリーマーの数と、広告契約でおそらく75対25の割合で契約している男性(私は違うが)の数を比較したら、とてつもなく大きな問題に発展しそうです」と語った。

Twitchは、一部のパートナーの契約条件が他のパートナーよりも良いという主張について、コメントを控えた。

ヘリヤー氏は、情報漏洩後にTwitterで、Twitchでの報酬についてもっと話したいとずっと思っていたが、パートナー契約によってそれができなかったと投稿した。

「情報漏洩があるまで、Twitchは契約の種類ごとの分け前について決して明らかにしませんでした。ですが、生の数字が出てきたことで、本当に頭のいい人たちは、そうしたストリーマーのCPM(cost-per-mile、広告視聴1000回あたりの支払金額)がいくらなのか、Bitsをどれだけ稼いでいるのか、サブスクリプション収入はどうなのか、といったことを把握できます。こうした情報を追跡するサイトはありますが、いったいストリーマーはどれだけ稼いでいるのかという部分は除外されています」とヘリヤー氏はTechCrunchに話した。「実際に稼いでいるお金について話すことはできませんが、購読者数のような代替値を示すことはできます。しかし、そこには透明性がありません。私の購読者は、私が50対50で分け前をもらっているかどうか知りません」。

テクノロジー業界では、給与の透明性を高めるための大きな動きがある。これは、例えば、同じ仕事を担当する2人のエンジニアの給与が大きく異なっていないことに関する説明責任を企業に負わせるものだ。

「Twitchは社会を反映しています」とRekItRavenはTechCruchに語った。Ravenは、#ADayOffTwitchのボイコットを主導し、#TwitchDoBetterのハッシュタグを始めた。「給料やお金の話をしてはいけないことになっていますが、それを正当化できる理由はまったくありません」。

ただし、Twitchからの支払い額は、テック企業がエンジニア1人1人に支払う金額より複雑だ。Twitchはパートナーの契約条件を設定しているが、すべてのチャンネルが同じように作られているわけではない。

Critical Roleは2019年8月以降、962万6712ドル(約10億6000万円)を稼いだとされ、高額所得ストリーマーの中でトップに立った。2位はxQcOWで、845万4427ドル(約9億3000万円)を稼いだ。しかし、ダンジョンズ&ドラゴンズのショーを31人のチームメンバーで制作するCritical Roleの費用は、eSportsのストリーマーであるxQcOWよりも多いだろう。さらに、すべてのストリーマーがTwitchの総収入から同じ割合を得ているわけではない。多くのクリエイターは、スポンサー契約やPatreonページ、直接の寄付、その他のプロジェクトなどのために、それぞれ収入源が異なる。

「Twitchは私の実際の収入の40%にすぎません」とヘリヤー氏はいう。「今回のようなことが起こっても大丈夫なように、収入源を多様化しなければなりませんでした」。

エバーブラック氏は、数百万ドル(数億円)を稼ぐクリエイターよりも、小規模なクリエイターの方が、流出した報酬額について非難されやすいのではないかと心配する。同氏は、小規模なストリーマーが安心してチャンネルを成長させられるようなコミュニティ主導の機能をTwitchが実装すれば、情報が流出したかどうかにかかわらず、疎外されたクリエイターにとってTwitchがより良いものになると考えている。同氏が提案する追加機能は、コミュニティの優れたメンバーとなっている視聴者にストリーマーが報いる手段や、大規模なストリーマーが1人の無防備なストリーマーに何千人もの人々を送り込むのではなく、複数のストリームに小規模なレイドを送り込むツールだ。

「Twitchコミュニティにおいて、マージナライズド・ボイス(阻害された人々の声)は非常に重要です。もしTwitchが彼らを正直に招き入れ、彼らの声に耳を傾けるならば、彼らが遭遇し続けている多くの状況を回避することができると思いますし、実際に人々のためになる機能を積極的に追加することもできるでしょう」とエバーブラックは語る。「Twitchは、一部の大規模なクリエイターに光を当てすぎて、プラットフォームに参加していない巨大なネットワークを間違いなく見逃していると思います。プラットフォームが本当に気にかけているのはゲームをする白人の男性だからです」。

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(文:Amanda Silberling、翻訳:Nariko Mizoguchi

電子メールソフトの「自動検出」機能がパスワード漏洩の原因に

運送会社、発電所、投資銀行といった業種に共通点はそれほど見られない。だが、新たな調査によると、これらの企業が自社の従業員の数千件もの電子メールのパスワードを不注意で漏洩させていることがわかった。これは広く使われている電子メールプロトコルの設計上の欠陥によるものだ。

企業が自社の電子メールサーバーをホストするために広く使われている電子メールソフトウェア「Microsoft Exchang」には、Autodiscoverと呼ばれる自動検出機能が搭載されており、従業員の電子メールアドレスとパスワードを入力するだけで、携帯電話やパソコン上のアプリの初期設定を行うことができる。これは、例えば、電子メールやカレンダーのアプリを設定する際に、手動で設定するのではなく、面倒な作業をサーバーに肩代わりさせることで、より簡単に設定できるようにするためのものだ。

そうすると、ほとんどのアプリは、会社のドメイン上の既知の場所にある設定ファイルを探そうとする。ある場所を探して見つからないと、アプリは「失敗した」として同じドメインの別の場所を探す。それでもファイルが見つからなければ、ユーザーは不便な思いをすることになる。

しかし、一部のアプリは、壁にぶつかる前に、うっかり一歩進んで「失敗」してしまう場合がある。これは問題だ。そのようなアプリは、ユーザーから見えないところで、会社の管理外だが同じトップレベルドメイン内にあるドメイン名と通信しようとするからだ。例えばcompany.comは、autodiscover.comで設定ファイルを探すことになる。すると、そのドメイン名を所有している人物は、インターネット上から送信されてくる電子メールアドレスやパスワードを「聞く」ことができるのだ。

研究者たちは何年も前から、電子メールソフトウェアはこの種のデータ漏洩に弱く、企業の認証情報を危険にさらす可能性があると警告してきた。当時、いくつかのソフトウェアは修正されたが、今でも問題が解消されていないことは明らかだ。

2021年4月、サイバーセキュリティ企業のGuardicore Labsは、autodiscover.uk、autodiscover.frなど、最も一般的なトップレベルドメインのautodiscoverドメインを取得し、漏洩してきたリクエストが届いたら「聞く」ように設定した。

Guardicoreによると、それから4カ月の間に、これらのドメインにアクセスしてくる34万件のExchangeメールボックスの認証情報を確認したとのこと。企業によっては、これらの資格情報を使ってそのドメインにログインすることを許可しているところもあり、もし悪意のあるハッカーに悪用されたらというリスクがある。また、これらの認証情報はプレーンテキストでインターネット上に送信されるので、相手側で読み取ることができるという。

他の9万6000件のExchange認証情報は、はるかに強力で復号化できないプロトコルを使用して送信されていたが、同じ認証情報を暗号化されていない平文で送信するように仕向けられる可能性があった。

Guardicoreの北米担当セキュリティ研究責任者であり、今回の調査の著者であるAmit Serper(アミット・サーパー)氏は、暗号化された認証情報を、より弱いセキュリティレベルを使用してメールアドレスとパスワードを再度送信するようアプリに要求して跳ね返し、アプリが認証情報を平文で再送信するように促す攻撃方法を開発した。

サーパー氏は、この攻撃を「The ol’ switcheroo(懐かしのどんでん返し)」と名付けた。

サーパー氏によると、このドメインでは、不動産会社、食品メーカー、中国の上場企業の認証情報も漏洩されていたという。

一般的なユーザーにとって、この漏洩は事実上目には見えないものだ。Guardicoreは、アプリメーカーの多くがまだ修正プログラムを提供していないため、流出した認証情報の最大の原因となったアプリの名前を直ちに挙げることはしていない。アプリの修正が完了したら、これらのドメインはシンクホール化されるが、悪意のあるアクターの手に渡らないように、Guardicoreの管理下に置かれたままにしておくと、サーパー氏はTechCrunchに語った。

Guardicoreの管理下にあるドメインだけで完全というわけではないが、企業やユーザーは、トップレベルにおける自動検出ドメインをブロックすることで、独自の予防策を講じることができると、サーパー氏は述べている。また、アプリメーカーも、自社のアプリを企業のドメイン外で上位に向かって「失敗」させないようにすることで対策できる。

関連記事
あるセキュリティ研究者がハッカーからの略奪を防ぐためにある国の期限切れトップレベルドメインを入手した
FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行

画像クレジット:Kittiphat Abhiratvorakul

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

ウェブホストEpikはハッキング数週間前に重大なセキュリティ上の欠陥を警告されていた

ハクティビスト集団「アノニマス」に関連するハッカーたちは、ウェブホストおよびドメインレジストラであるEpik(エピック)から、ギガバイト単位のデータをリークしたと発表した。Epikは、主流のプラットフォームから追い出されたGabParler8chanなどの極右サイトの避難先となっている。

このグループは、先に公開されたデータのトレントファイルに添付された声明の中で、180ギガバイトは、Epikの「実際の所有者と管理者を追跡するために必要なすべて」を含む「10年分」の企業データに相当すると述べている。グループは、顧客の支払い履歴、ドメインの購入と譲渡、そしてパスワード、認証情報、従業員のメールボックスを手に入れたと主張した。盗まれたデータのキャッシュには、同社の内部ウェブサーバーのファイルや、エピックに登録されているドメインの顧客記録を含むデータベースも含まれている。
関連記事
極右ソーシャルネットワークGab、GoDaddyにドメイン登録を抹消されサービス停止
極右お気に入りのレジストラが「検閲に強い」サーバーを構築中

ハッカーたちは、どのようにしてデータを入手したのか、いつハッキングが行われたのかについては言及していないが、最新のファイルのタイムスタンプによると、ハッキングが行われたのは2月下旬のようだ。

Epikは当初、情報漏洩の事実を知らないと記者に述べていたが、創業者であり最高経営責任者であるRobert Monster(ロバート・モンスター)氏が9月15日の水曜日に送信したメールは、「疑惑のセキュリティ事件」 についてユーザーに警告していた。

TechCrunchはその後、Epikが情報漏洩の数週間前に重大なセキュリティ上の欠陥を警告されていたことを知った。

セキュリティ研究者のCorben Leo(コーベン・レオ)氏は、1月にLinkedInを通してEpikの最高経営責任者であるモンスター氏に、ウェブサイトのセキュリティ的脆弱性について連絡していた。レオ氏は、同社が脆弱性の報告に対して報奨金を払うバグバウンティや、他の脆弱性の報告の方法を用意しているかどうかを尋ねた。LinkedInのメッセージは既読になったが、返事はなかった。

レオ氏がTechCrunchに語ったところによると、EpikのWHOISページでパブリックドメインの記録のPDFレポートを生成するために使われているライブラリには、10年来の脆弱性があり、会社のパスワードなどの認証なしに、誰でもリモートで内部サーバー上で直接コードを実行することができたという。

「このコードを貼り付けるだけで、そのサーバー上であらゆるコマンドを実行することができる」とレオ氏はTechCrunchに語った。

レオ氏は、公開されているWHOISページから、サーバーにユーザー名を表示するよう求める概念実証用(PoC)のコマンドを実行し、Epikの内部サーバー上でコードが実行できることを確認した。しかし、違法になるため、サーバーがどのようなアクセス権を持っているかについてはテストしなかったという。

アノニマス・ハクティビストが、レオ氏が発見したのと同じ脆弱性を利用したかどうかは不明だ(盗まれたキャッシュの一部には、EpikのWHOISシステムに関連するフォルダも含まれているが、ハクティビストたちは連絡先を残さず、コメントを得ることができなかった)。しかし、レオ氏は、ハッカーが同じ脆弱性を利用し、そのサーバーがネットワーク上の他のサーバー、データベース、システムにアクセスできた場合、そのアクセスによって、2月にエピックの内部ネットワークから盗まれた種類のデータにアクセスできた可能性があると主張している。

レオ氏は、TechCrunchに対し「ハッカーは私が見つけた脆弱性を利用したと思っている」と述べ、その欠陥が修正されたことを確認した。

モンスター氏は、LinkedInでレオ氏のメッセージを受け取ったことを確認したが、情報漏洩についての質問には答えず、脆弱性がいつ修正されたかについても言及しなかった。「賞金稼ぎが自分たちのサービスを売り込んでくる。私は、そのうちの1人だと思ったんだ」とモンスター氏はいう。「私がそれに対応したかどうかわからない。あなたはすべてのLinkedInのスパムメールに答えていますか?」。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Yuta Kaminishi)

米連邦取引委員会が健康アプリはデータ漏洩の消費者への通知を求める、従わない場合は罰金

米連邦取引委員会(FTC)は、個人の健康情報を収集しているアプリやデバイスは、そのデータを漏洩させたり許可なくサードパーティと共有した場合は、消費者にその旨を通知しなければならないと警告した。

米国時間9月15日の 3-2採決で、FTCは施行されて10年になる「2009 Health Breach Notification Rule」を明確にするために新規則方針を採択した。このルールは、健康記録を扱う企業に対し、たとえば情報漏洩の結果として起こった場合などに、データが許可なくアクセスできるかどうかを消費者に通知することを求めている。健康アプリやデバイスへと適用が拡大されてきて、特に排卵日データ、フィットネス、血糖値を追跡するアプリを名指ししている。FTCの委員長、Lina Khan(リナ・カーン)氏によると、これらのアプリは「プライバシーとデータセキュリティに十分に投資していないことが往々にしてある」ためだ。

カーン氏は医学誌British Medical Journal(ブリティッシュ・メディカル・ジャーナル)に発表された、安全でないユーザーデータの送信から広告業者との無許可のデータシェアに至るまで健康アプリが「深刻な問題」を抱えている、という研究結果を指摘しながら「デジタルアプリは、ユーザーのセンシティブな健康情報をハッキングや漏洩にさらされやすい状態のままにし、ユーザーデータに対していい加減な傾向にあります」と声明で述べた。

また近年は、健康アプリを含め、世間の耳目を集めた情報漏洩が数多くあった。英国のAIチャットボットと遠隔診療スタートアップのBabylon Healthは2020年、ユーザーが他の患者のビデオコンサルテーションにアクセスできるという「ソフトウェアエラー」の後にデータ漏洩に直面した。また、月経周期追跡アプリのFloがユーザーの健康データをサードパーティの分析、販促サービスと共有していることも最近明らかになった

新しいルールのもとでは、健康アプリや個人の健康データを収集しているコネクテッドフィットネスデバイスを提供している企業は、その消費者のデータが損なわれている場合は消費者に通知しなければならない。しかしルールは「データ漏洩」を単なるサイバーセキュリティ侵入として定義してはいない。許可のない情報共有を含む、個人データへの不正アクセスでも通知する義務が発生する。

「このルールは、我々の個人情報を損なうテック企業に説明責任を課しますが、より根本的な問題は、企業がこうしたデータを行動ターゲティング広告とユーザー分析を行うために使うことができる、センシティブな健康情報の商品化にあります」とカーン氏は述べた。

企業がルールに従わなければ、1日あたりの罰金4万3792ドル(約480万円)を「精力的に」科す、とFTCは述べた。

FTCはここ数週間、プライバシー違反を取り締まっている。9月初めにはスパイウェアメーカーのSpyFoneを禁止し、多くの人のモバイルデータを収集してインターネット上に放置していたとしてSpyFoneのCEOであるScott Zuckerman(スコット・ズッカーマン)氏を監視産業から追放することを全会一致で決めた

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

画像クレジット:P. Wei / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

テキサス州「密告サイト」の運営元、中絶反対団体Texas Right to Lifeが求職者の履歴書を流出

妊娠中絶反対団体「Texas Right to Life」は、同団体ウェブサイトのバグにより、サイト上の保護されていないディレクトリに保存されていた履歴書に誰でもアクセスできるようになっていたことで、数百人の求職者の個人情報が流出した。

セキュリティ研究者がTechCrunchに語ったところによると、主にWordPressで構築されている同団体のメインウェブサイトでは、ウェブサイト上のファイルストレージが適切に保護されておらず、300人以上の就職希望者の履歴書や、ウェブサイトにアップロードされたその他のファイルの保存に使用されていたとのこと。それらの履歴書には氏名、電話番号、住所、各個人の職歴の詳細などが含まれていた。

このウェブサイトのバグは、流出の詳細がTwitter(ツイッター)に投稿されてからしばらく後の先週末に修正された。同団体のウェブサイトには、流出したファイルは現在掲載されていない。

Texas Right to Lifeの広報担当者であるKimberlyn Schwartz(キンバリー・シュワルツ)氏は、TechCrunchの取材に対し「情報を探し出して広めた」人々(行為者)について「関係者を保護するために行動を起こしている」と述べた。

シュワルツ氏は、セキュリティの不備によって個人情報が流出した人々に組織がその事実を通知する予定があるかどうかについては言及しなかった。

Texas Right to Lifeは先週、テキサス州の住民に、同州の新しい中絶禁止法に違反して中絶を求めている人がいたら報告するよう促す「内部告発」サイトを公開し、怒りを買っていた。この新法では、中絶を希望する人や、受胎後6週間以降の中絶を「ほう助」した人を誰でも訴えることができる。この条項は、中絶手術を行う医師だけでなく、中絶費用を支援する人、友人をクリニックに連れて行ったりするような関係者も対象になると広く解釈されている。

抗議の声が上がるのに長くはかからず、この「内部告発」サイトには、偽の情報やミーム、シュレックのポルノなどが殺到した。9月2日にサイトは一時的に停止したが、これはある活動家が同ウェブサイトのフォームに偽の情報を事前入力してあるiOSショートカットを公開したのと同じ日だった。

しかしその週末、ウェブサイトをホスティングしていたGoDaddyはTexas Right to Lifeに対して、このサイトが利用規約に違反していると指摘し、24時間以内に別のホストを探すようにと指示した。その結果、極右ソーシャルネットワーク「Gab」などの物議を醸したサイトを支援しているウェブホストEpikを介して、同団体は一時的にサイトを復旧させることができた。しかし、それも長くは続かなかった。

米国時間9月6日の時点で「内部告発者(whistleblower)」ウェブサイトは、Texas Right to Lifeのメインサイトに転送されるようになっている。

関連記事
極右お気に入りのレジストラが「検閲に強い」サーバーを構築中
極右ソーシャルネットワークGab、GoDaddyにドメイン登録を抹消されサービス停止

画像クレジット:Sergio Flores / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

米SECが証券3社に制裁金、社員クラウドメールのハッキングで顧客情報が流出した疑いで

米国証券取引委員会(SEC)は複数の証券会社に対し、ハッカーがそれら企業の従業員の電子メールアカウントを乗っ取った後、数千人の顧客や取引先の個人を特定できる機密情報を漏洩させたとして、合計75万ドル(約8230万円)の制裁金を科した。

SECから制裁を受けたのは、3社に属する計8事業体。Cetera Financial Group(Advisor Networks、Investment Services、Financial Specialists、Advisors、Investment Advisers部門)、Cambridge Investment Research(Investment Research、Investment Research Advisors部門)、そしてKMS Financial Servicesがこれに含まれる。

SECはプレスリリースの中で、サイバーセキュリティポリシーおよび対策の不備により、クラウドベースの電子メールアカウントへのハッカーによる不正アクセスを許し、各企業の数千人の顧客および取引先の個人情報を流出させたとして、これらの企業に制裁を科したことを発表した。

SECによるとCetera(セテラ)の場合、60人以上の従業員のクラウドベースの電子メールアカウントが3年以上にわたり不正な第三者によってアクセスされ、少なくとも4388人の顧客の個人情報が流出したという。

この命令では、そのうちどのアカウントもCeteraのポリシーで定められた保護対策を備えていなかったとしている。またSECは、Ceteraの2つの事業体が「事件発覚後、実際よりもはるかに早く通知が出されたかのような誤解を招く表現」を含む情報漏洩通知を顧客に送付したとして、Ceteraを非難した。

SECのCambridge(ケンブリッジ)に対する命令では、少なくとも2177人の同社の顧客や取引先の個人情報が流出したのは、同社のサイバーセキュリティ対策が甘かった結果であると結論づけている。

「Cambridgeは2018年1月に最初のメールアカウント乗っ取りを発見したものの、2021年まで販売担当者たちのクラウドベースメールアカウントに対する会社全体の強化されたセキュリティ対策を採用して実装することができず、その結果、さらなる顧客やクライアントの記録や情報が露出され、潜在的に漏洩されることになった」とSECは述べている。

KMSに対する命令も同様で、SECの命令によると、同社が会社全体でセキュリティ対策強化を要求する書面による方針・対策を2020年5月まで採用しなかった結果、約5000人の顧客とクライアントのデータが流出したとしている。

SEC執行部サイバーユニットのチーフであるKristina Littman(クリスティーナ・リトマ)氏は次のように述べた。「投資アドバイザーおよびブローカーディーラーは、顧客情報の保護に関する義務を果たさなければなりません。強化されたセキュリティ対策を要求するポリシーを書いても、その要件が実装されなかったり、部分的にしか実装されていなかったら、特に既知の攻撃に直面した場合には十分ではありません」。

​​すべての当事者は、制裁金の支払いに同意するとともに、SEC調査結果の認否をせずに行政命令を受け入れた。この和解の一環として、Ceteraは30万ドル(約3300万円)、Cambridgeは25万ドル(約2740万円)、KMSは20万ドル(約2200万円)の制裁金を支払う。

CambridgeはTechCrunchに対し、規制上の問題に関するコメントはしないが、顧客の口座が完全に保護されていることを保証するために、包括的な情報セキュリティグループと対策を保って維持していると述べている。CeteraとKMSからは回答を得られていない。

今回のSECによる措置は、ロンドンに本社を置く出版・教育大手のPearson(ピアソン・エデュケーション)に対し、2018年に発生した同社のデータ漏洩について投資家に誤解を与えたとして、SECが100万ドル(約1億1000万円)の制裁金支払いを命じたわずか数週間後に行われた。

画像クレジット:BRENDAN SMIALOWSKI/AFP / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

T-Mobileがハッキングで少なくとも4700万人の現・元顧客が影響を受けたと発表

先にハッキングが報じられたT-Mobile(ティー・モバイル)は、現在および過去の膨大な顧客の情報が、データ流出により盗まれたことを認めた。

その声明の中で、1億人以上の顧客を擁するT-Mobileは、予備的な分析の結果、現在のT-Mobileの顧客のうち780万人が、データ流出で情報を持ち出されたことがわかったと述べている。このデータには、現在および過去のT-Mobileの顧客ならびに見込み顧客の「一部」の顧客名、生年月日、社会保障番号、運転免許証の情報が含まれていると同社は発表している。

また同社は、過去および見込み顧客に関する4000万件の記録が盗まれたものの「電話番号、口座番号、暗証番号(PIN)、パスワード、財務情報は漏洩していない」と発表している。

しかし同社は、約85万人分のT-Mobileのアクティブな顧客の名前、電話番号、および口座の暗証番号は実際に流出したと警告した。T-Mobileはそうした顧客の暗証番号をリセットしたことを発表した。T-Mobileは「すべてのお客様に、SIMスワッピング攻撃から口座を保護している暗証番号を積極的に変更することを推奨しています」と述べている。

関連記事:Twitterのジャック・ドーシーCEOのTwitterアカウントが乗っ取られる

先週末にVice(バイス)は、有名な犯罪フォーラム内である販売者が多数の記録を保有していると主張したため、T-Mobileはハッキングの可能性を調査してると報じていた。この販売者はViceに対し、T-Mobileの顧客に関する1億件の記録を持っていて、その中には顧客の名前、社会保障番号、住所、携帯電話のIMEI番号、運転免許証情報が含まれていると話している。

T-Mobileはさらに影響が続く可能性があることを警告している。同社は「プリペイド請求書ファイルを介して、現在は使用されていないプリペイドアカウントがアクセスされたことを確認した」としながらも、何の情報かは明らかにせず、ただ財務情報ではないということだけを述べた。

T-Mobileがハッキングされたのは、最近では1月に起きた事件や、2018年にさかのぼる複数の事案などを含めて、近年では5度目となる。

関連記事:米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売

カテゴリー:セキュリティ
タグ:T-Mobileデータ漏洩個人情報サイバー犯罪

画像クレジット:Ullstein Bild/Getty Images

原文へ

(文:Zack Whittaker、翻訳:sako)

米医療系スタートアップがウェブサイト閉鎖、脆弱性で約6万件のコロナ検査結果が漏えいリスクに

カリフォルニア州を拠点とし、ロサンゼルス全域で新型コロナウイルス検査を提供している医療系スタートアップが、顧客が検査結果にアクセスするために使用していたウェブサイトに他人の個人情報にアクセスできる脆弱性が見つかったため、ウェブサイトを閉鎖した。

Total Testing Solutions(TTS)は、ロサンゼルス市内に10カ所の新型コロナウイルス検査施設を持ち、毎週、職場やスポーツ会場、学校などで「数千件」の新型コロナ(COVID-19)検査を処理している。検査結果通知の準備が整うと、顧客は結果を受け取るためのウェブサイトへのリンクが記載されたメールを受け取るようになっている。

しかし、同社のある顧客によると、ウェブサイトのアドレスに含まれる数字を一桁増減させることで、他の顧客の情報にアクセスできる脆弱性を発見したとのこと。それにより、その顧客は他の顧客の名前やテストの日付を見ることができた。また、新型コロナウイルスの検査結果にアクセスするためには生年月日が必要だが、この脆弱性を発見した顧客は、推測もしくはブルートフォース攻撃を行うのに「時間はかからない」と語った(30歳以下の人であれば、最大で誕生日を約1万1000回推測するだけだ)。

検査結果のウェブサイトは、顧客に電子メールアドレスとパスワードの入力を促すログインページで保護されているが、ウェブアドレスの変更や他の顧客の情報へのアクセスを可能にする脆弱な部分は、ログインプロンプトを完全に回避してウェブから直接アクセスすることができた。

その顧客は、誰かが発見したり悪用する前に(すでに悪用されていた可能性もあるが)Total Testing Solutionsが脆弱性を修正できるよう、脆弱性の詳細をTechCrunchに伝えた。

TechCrunchは顧客の調査結果を検証し、各結果コードを列挙することはしなかったものの、限定的なテストにより、この脆弱性によって約6万件の検査結果が危険にさらされている可能性があることがわかった。TechCrunchは、TTSのチーフメディカルオフィサーであるGeoffrey Trenkle(ジェフリー・トレンクル)氏にこの脆弱性を報告した。同氏は、発見された検査の数には異議を唱えなかったが、脆弱性は、検査結果を提供するために以前使用されていたオンプレミスのレガシーサーバーに限定されており、そのサーバーはその後シャットダウンされ、新しいクラウドベースのシステムに置き換えられたと述べた。

トレンクル氏は声明で次のように述べた。「当社は最近、以前のオンプレミスサーバーに潜在的なセキュリティ脆弱性があり、URL操作と生年月日のプログラミングコードを組み合わせて、特定の患者の名前と検査結果にアクセスできる可能性があることを認識しました。この脆弱性は、クラウドベースのサーバーが構築される前に公共の検査施設で得られた患者情報に限られていました。この潜在的な脅威に対応するため、当社は直ちにオンプレミスのソフトウェアを停止し、そのデータを安全なクラウドベースのシステムに移行する作業を開始して、将来のデータ漏洩のリスクを防ぎました。また、サーバーのアクセスログを確認し、認識されていないネットワーク活動や異常な認証失敗を検出するなど、脆弱性の評価を開始しました」。

同氏は、クラウドサーバーがいつから利用可能になったのか、また、レガシーとされるサーバーに2021年7月の時点でテスト結果が存在した理由については言及を避けた。

「現在TTSでは、以前のサーバーの問題により、保護されていない医療情報が漏洩した事実を認識していません。当社の知る限り、実際に患者の医療情報が漏洩したことはなく、今後のリスクはすべて抑制されています」とトレンクル氏は述べている。

トレンクル氏は、同社は州法に基づく法的義務を遵守すると述べたが、脆弱性について顧客に通知する予定があるかどうかについては明確にしなかった。企業は州の司法長官や顧客に脆弱性を報告する義務はないが、不正アクセスがあったかどうか判断しにくい場合もあることから、多くの企業が念のため報告している。

TTSのLauren Trenkle(ローレン・トレンクル)CEOは、一連の電子メールでコピーされていたが、コメントしなかった。

関連記事
米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売
保険テック系スタートアップBackNineの過失で米大手保険会社の数十万件の申込書が流出
PR TIMESが会員企業の発表前情報に対する不正アクセス公表

カテゴリー:セキュリティ
タグ:ロサンゼルスバグ / 脆弱性新型コロナウイルスデータ漏洩

画像クレジット:Allen J. Schaben / Los Angeles Times / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売

T-Mobile(ティー・モバイル)は同社システムに「不正アクセス」があったことを認めた。よく知られているサイバー犯罪者フォーラムで同社顧客データの一部が売りに出されてから数日後のことだ。

米携帯通信の巨人で2020年Sprintと260億ドル(約2兆8435億円)の合併を完了した同社は、漏洩の事実を認めたが「顧客の個人データが含まれていたかどうかは未確認」としている。調査には「しばらく時間がかかる」と同社は話し、具体的な日程は示さなかった。

関連記事:T-MobileとSprintの合併が正式完了、新会社はT-MobileでCEOは交代

「侵入された入り口はすでに閉鎖されていることを確認しています。現在当社システム全体の状態を詳細に見直し、不法にアクセスされたデータの形跡を突き止めているところです」と同社は言った。

先にViceは、売り手が数百万件の記録を持っていると称した後、T-Mobileが侵入の可能性を調査していたと報じた。売り手は、T-Mobile顧客のデータ1億人分を保有しており、そこには顧客のアカウント名、電話番号、携帯電話の製造番号(IMEI)、社会保障番号および運転免許証情報など、同社が顧客の本人確認を行うためにしばしば収集しているデータが入っている、とViceに伝えた。

Viceが売り手から入手したサンプルを検証したところ、データは少なくとも部分的には正しいことを示唆していた。

TechCrunchが見たフォーラム投稿は、顧客データ3000万レコードと引き換えに、6ビットコイン、約27万5000ドル(約3010万円)相当を要求していた。データはT-Mobileが運営するインターネットに接続されたデータベースサーバーから入手された可能性があることをBleeping Computerが投稿したスクリーンショットが示している。同誌はその売り手が「2004年に遡る」IMEIデータベースも持っているとも報じている。IMEIおよびISMIは携帯電話ユーザーの特定と位置情報入手に使用される。

関連記事:45カ国と契約を結ぶNSOのスパイウェアによるハッキングと現実世界における暴力の関連性がマッピングで明らかに

TechCrunchが以前に見た同じ売り手による同じサンプルデータを使用した投稿には、1億2400万レコードあると書かれていたが、データソースがT-Mobileであるとは言っていなかった。投稿は過去数日の間に削除された。

これはTechCrunchが知る限り、ここ数年の間にT-Mobileがハックされた5回目の事例だ。

2021年1月にT-Mobileは、サイバー犯罪者が通話記録とその他の契約者データ約20万件を盗んだとされるデータ漏洩を報告した。2020年T-Mobileでは2件の事象が起きた。同社のEメールシステムにハッカーが侵入して複数のT-Mobile社員のメールアカウントをアクセスし、顧客データをアクセスしたデータ漏洩事件を認めた数カ月後には、プリペイド利用者100万人の個人情報と請求書情報が漏洩した。2018年にT-Mobileは、顧客200万人分の個人情報がスクレイピングされた可能性があると発表した。

関連記事:セキュリティ侵犯でTモバイルの顧客情報が100万件以上流出

カテゴリー:セキュリティ
タグ:T-Mobileデータ漏洩個人情報サイバー犯罪

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

保険テック系スタートアップBackNineの過失で米大手保険会社の数十万件の申込書が流出

保険テクノロジーのスタートアップ企業であるBackNine(バックナイン)のセキュリティ上の過失により、同社のクラウドサーバーがインターネット上に無防備に放置され、数十万件の保険申込書が流出した。

BackNineという社名に聞き覚えはないかもしれないが、過去数年の間に保険を申し込んだことがあるなら、あなたの個人情報も処理していたかもしれない。カリフォルニアを拠点とする同社は、大手保険会社が生命保険や障害保険を販売・維持するためのバックオフィスソフトウェアを構築している。また、中小企業や独立系のファイナンシャルプランナーがウェブサイトで保険プランを販売する場合には、ホワイトレーベルの見積もりウェブフォームを提供している。

しかし、Amazon(アマゾン)のクラウド上でホストされていた同社のストレージサーバーの1つが、誤って設定されていたため、そこに保存されていた71万1000件のファイルに誰でもアクセスできる状態になっていた。その中には、本人とその家族の非常に機密性の高い個人情報や医療情報が含まれている作成済みの保険申込書もあった。さらに個人の署名の画像や、その他BackNineの社内ファイルも含まれていた。

TechCrunchは、調査した書類の中に、氏名、住所、電話番号などの連絡先情報の他、社会保障番号、医療診断、服用している薬、申込者の過去と現在の健康状態に関する詳細な記入済みアンケートなどがあることを発見した。血液検査や心電図などの検査結果も含まれていた。運転免許証の番号が記載されている申込書もあった。

無防備に放置されていた書類は、2015年にまで遡り、最近では今月に入ってから作成されたものもある。

バケットと呼ばれるアマゾンのストレージサーバーは、デフォルトでは非公開に設定されているので、バケットを管理している誰かがその権限を公開に変更したのだろう。データはいずれも暗号化されていなかった。

セキュリティ研究者のBob Diachenko(ボブ・ディアチェンコ)氏は、公開状態となっていたストレージバケットを発見し、2021年6月初旬に同社にメールでこの過失の詳細を伝えていたが、最初の返事を受け取った後、返信はなく、バケットは公開されたままだった。

TechCrunchは、ディアチェンコ氏が連絡して無視されたBackNineのバイスプレジデントであるReid Tattersall(レイド・タッターソル)氏と連絡を取ろうとしたが、TechCrunchも無視された。しかし、タッターソル氏に(同氏のみに)公開状態になっていたバケットの名前を伝えてから数分後に、それらのデータはロックされた。TechCrunchは、タッターソル氏からも、同氏の父親でBackNineの最高経営責任者であるMark(マーク)氏からも、まだ返事をもらっていない。

TechCrunchはタッターソル氏に、同社が州のデータ漏洩通知法に基づいて地元当局に通報したかどうか、データ漏洩の影響を受ける個人に通知する計画があるかどうかを尋ねたが、回答は得られなかった。サイバーセキュリティ事件の開示を怠った企業は、厳しい財政的・民事的な罰則を受ける可能性がある。

BackNineは、いくつかの米国の大手保険会社と取引をしている。今回公開されてしまったバケットには、AIG、TransAmerica(トランスアメリカ)、John Hancock(ジョン・ハンコック)、Lincoln Financial Group(リンカーン・フィナンシャル・グループ)、Prudential(プルデンシャル)の保険申込書が多く含まれていた。本記事掲載前に連絡を取ったこれらの保険会社の広報担当者はコメントを控えた。

関連記事
PR TIMESが会員企業の発表前情報に対する不正アクセス公表
ニューヨーク州ITサービス局のコードリポジトリがインターネット上に公開されていた
北米フォルクスワーゲンの販売業者から330万人分の個人データ流出

カテゴリー:セキュリティ
タグ:データ漏洩個人情報保険アメリカAWS

画像クレジット:TechCrunch (composite) / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

PR TIMESが会員企業の発表前情報に対する不正アクセス公表

PR TIMESが会員企業13社14アカウントの発表前情報に対する不正アクセス公表

PR TIMESは7月9日、プレスリリース配信サービス「PR TIMES」において、会員企業発表前(当時)の段階にある画像ファイルとドキュメントファイル(PDF)について、外部の特定IPアドレスから不正に取得されていたことを確認したと発表した(PDF)。期間は2021年5月4日~7月6日。金融商品取引法上の重要事実に該当するものは現在まで確認されていないとしている。これらの不正取得については、該当する会員企業に個別にお詫びと経過報告を行っている。

画像データについては、会員企業13社14アカウントのプレスリリース230件に紐づく画像のzipファイル230点の不正取得をアクセスログにおいて確認した。またドキュメントファイルについては、前述13社に含まれる会員企業4社のプレスリリース28件に紐づくドキュメントのPDFファイル28点の不正取得を確認した。

・会員企業13社14アカウントのプレスリリース230件に紐づく画像(JPG/PNG/GIF)を内包したzipファイル230点
・前述13社に含まれる会員企業4社のプレスリリース28件に紐づくドキュメントのPDFファイル28点

また現在、前述特定IPアドレスによる不正取得以外にも不正取得が行われていたかの調査を進めているという。画像ファイルとドキュメントファイルの取得アクセスログは特定できているものの、その中には正規の取得ログも多く存在するため、不正取得にあたるログが他にもあるか否かについて精査を続けている。現時点までに判明した事実について報告するとともに、今後新たな事実が判明した場合には速やかに公開するとしている。

今回の不正取得は、発表前情報の取り扱いにおける機能面でのセキュリティホールにより許してしまったものしている。今回の対応に関しては、原因箇所である画像一括ダウンロード機能とドキュメントファイル(PDF)ダウンロード機能について、公開時のみダウンロードできるように変更したことで、下書きおよび非公開時にはアクセスができない状態へ変更した。なお同対応は一時的な対応であり、今後はセキュリティ強化した上で利便性も高める機能へ刷新する。

システム開発段階では想定しなかった画像一括ダウンロード機能とドキュメントファイル(PDF)ダウ
ンロード機能の不正利用により、発表前情報の取得が行われたものであり、今後は、一連の開発体制に
おいて人員を増強し、仕様設計およびコードレビュー、QA等を漏れなく実行し、セキュリティホールの存在を迅速に発見できる体制へと強化する。開発管理のログ強化も行い、機能実装から時間経過している機能についても定期的に見直しをして、さらなるセキュリティ強化を行う体制へ変更するという。

また、特定IPアドレスの不正行為についてプロバイダーにへ申告。もし今後の継続調査により新たに過去の不正取得が判明した場合には、申告とともに不正行為について会員企業と連携して断固たる措置をとるとしている。

PR TIMESが会員企業13社14アカウントの発表前情報に対する不正アクセス公表

関連記事
マッチングアプリ「Omiai」が退会会員含め171万件の年齢確認書類への不正アクセス公表、運転免許証・健康保険証・パスポート・マイナンバーカード
個人情報最大677万件が漏洩、イベント管理・チケット販売の「Peatix」が不正アクセス受ける
富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
「バイオハザード」のカプコンがランサムウェア感染し、データ漏洩

カテゴリー:セキュリティ
タグ:データ漏洩(用語)PR TIMES不正アクセス日本(国・地域)

ニューヨーク州ITサービス局のコードリポジトリがインターネット上に公開されていた

ニューヨーク州政府IT部門が使っているコードリポジトリがインターネット上に公開され、州政府システムに関連する秘密鍵とパスワードを含む内部プロジェクトデータが誰にでもアクセスできる状態になっていた。

露出したGitLab(ギットラブ)サーバーは、米国時間6月26日にドバイ拠点のサイバーセキュリティ会社SpiderSilk(スパイダーシルク)が発見した。Samsung(サムスン)やClearview AI(クリアビューAI)、MoviePass(ムービーパス)のデータ漏洩を発見したことで知られる会社だ。

関連記事:セキュリティーの欠如で顔認識スタートアップClearviewのソースコードがすべて漏洩

州当局はGitLabを、自らが管理するサーバー上で共同開発しているソースコード(およびプロジェクトに必要な秘密鍵、トークン、パスワード)の格納に使用していた。しかし、露出したサーバーはインターネットからアクセス可能であり、部外者の誰でもがユーザーアカウントを作成し、自由にログインできる構成になっていた、とSpiderSilkの最高セキュリティ責任者であるMossab Hussein(モサブ・フセイン)氏がTechCrunchに語った。

TechCrunchが問題のGitLabサーバーを訪れたところ、ログインページが表示され、新規ユーザーアカウントを受け付けていた。どれほどの時間GitLabサーバーがこの状態になっていたか正確にはわかっていないが、露出されたデバイスやデータベースの検索エンジンであるShodan(ショーダン)の履歴データによると、当該GitLabサーバーがインターネットで最初に発見されたのは3月18日だった。

SpiderSilkは、ニューヨーク州情報テクノロジーサービス局配下のサーバーとデータベースに関連する秘密鍵とパスワードを含むGitLabサーバーのスクリーンショットを何枚か共有した。露出したサーバーが不正アクセスあるいは破壊されることを恐れた同社は、このセキュリティ欠陥の公開について州に助言を求めた。

TechCrunchは、サーバーが発見された直後ニューヨーク州政府に注意を促した。当局に宛てた露出したGitLabサーバーに関する何通かのメールは開封されたが返信はなかった。当該サーバーは6月21日午後に閉鎖オフラインになった。

ニューヨーク州ITサービス局のScot Reif(スコット・リーフ)報道官は、サーバーは「ベンダーが設置したテストボックスであり、データは含まれておらず、すでに本局によって削除されています」と語った(リーフ氏は自分の回答は「オン・バックグラウンド」で、州当局者に帰属するものであり、(公表には)条件に関する両社の事前合意が必要だと語ったが、TechCrunchは条件を拒否する機会を与えられなかったため回答を報道した)。

質問に対しリーフ氏は、ベンダーの名前、あるいはサーバーのパスワードが変更されたかどうかを答えなかった。サーバー上のプロジェクトのいくつかには「prod」のマークが付けられており、これはサーバーが利用中であることを示す「production」の一般的略称である。リーフ氏は、本事象が検事総長事務局に報告されたかどうかも明らかにしなかった。検事総長広報官に質問したところ、本稿公開時までに回答はなかった。

TechCrunchは、ベンダーがIndotronix-Avani(インドトロニクス・アバニ)であると認識している。ニューヨーク拠点の企業でインドに支社があり、ベンチャーキャピタル会社のNigama Venturesが所有している。何枚かのスクリーンショットが、GitLabプロジェクトの一部がIndotronix-Avaniのプロジェクト・マネージャーによって変更されたことを示している。同社のウェブサイトにはニューヨーク州政府の名前が米国国務省や防衛省などの政府顧客とともに誇示されている。

Indotronix-Avaniの広報担当者、Mark Edmonds(マーク・エドモンズ)氏はコメント要求に答えなかった。

関連記事
北米フォルクスワーゲンの販売業者から330万人分の個人データ流出
PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた
診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった
アマゾン傘下Ringの近隣住民監視アプリ「Neighbors」にバグ、投稿者の位置情報や住所に流出の可能性
ジャマイカの新型コロナアプリ失敗の経緯、サイバー攻撃ではなく単に安全ではなかった

カテゴリー:セキュリティ
タグ:ニューヨークデータ漏洩

画像クレジット:Matthew Cavanaugh / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

北米フォルクスワーゲンの販売業者から330万人分の個人データ流出

Volkswagen(フォルクスワーゲン)によると、北米のある販売業者が顧客データのキャッシュをインターネット上に保護されていない状態のまま放置していたことで、330万人以上の顧客の情報が流出したという。

同社の北米事業本部であるVolkswagen Group of America(フォルクスワーゲン・グループ・オブ・アメリカ)は書簡の中で、フォルクスワーゲンおよびその傘下のAudi(アウディ)の米国とカナダの正規ディーラーが提携している販売業者が、2014年から2019年の間に収集された顧客データを、2019年8月から2021年5月までの2年間にわたり、保護されていない状態のまま放置していたと述べている。

販売やマーケティングのために収集されたというこれらのデータには、氏名、郵便番号、メールアドレス、電話番号など、顧客や購入希望者の個人情報が含まれていた。

さらに約9万人のアウディの顧客および購入希望者においては、ローンやリースの審査に関する情報など、よりセンシティブなデータも流出したという。フォルクスワーゲンの書簡によると、流出した詳細な個人データのほとんどは運転免許証番号などだが「少数の」データには生年月日や社会保障番号も含まれていたとのこと。

フォルクスワーゲンは、データを漏えいさせた販売業者の名前を明らかにしていない。同社の広報担当者は「法執行機関や規制当局を含む適切な当局に通知し、外部のサイバーセキュリティ専門家と当該販売業者とともに状況の判断と対応にあたっています」と、危機管理会社を通して述べている。

運転免許証番号に関するセキュリティ事件は、他にもこの数カ月の間に何度か起きている。保険大手のMetromile(メトロマイル)とGeico(ガイコ)は2021年前半に、運転免許証番号を入手しようとする詐欺行為に見積もりフォームが悪用されたことを認めた。他のいくつかの自動車保険会社も、運転免許証番号の盗難に関わる同様の事件を報告している。これらの犯罪者は他人の名前で不正な失業手当を申請し、現金を得ようとしたのではないかと、Geicoは述べている。

だが、フォルクスワーゲンの書簡には、流出したデータが悪用されたという証拠があるかどうかについては書かれていなかった。

  1. volkswagen-vendor-exposure-p1-xlarge

  2. volkswagen-vendor-exposure-p2-xlarge

  3. volkswagen-vendor-exposure-p3-xlarge

  4. volkswagen-vendor-exposure-p4-xlarge

  5. volkswagen-vendor-exposure-p5-xlarge

  6. volkswagen-vendor-exposure-p6-xlarge

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

カテゴリー:モビリティ
タグ:Volkswagenアウディ個人情報データ漏洩アメリカカナダ

画像クレジット:Jens Schlueter / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

PelotonとEchelon両社のプロフィール写真メタデータはユーザーの位置情報を流出していた

セキュリティ研究者らによると、ホームエクササイズ大手のPeloton(ペロトン)とその最も近いライバルであるEchelon(エシュロン)は、ユーザーがアップロードしたプロフィール写真からメタデータを除去しておらず、場合によってはユーザーの実世界の位置データを流出していたという。

ほぼすべてのファイル、写真、ドキュメントにはメタデータが含まれている。メタデータとは、ファイルのサイズ、作成日、作成者など、ファイルそのものに関するデータだ。また、写真やビデオには、それらが撮影された場所が含まれていることがよくある。こうした位置データは、オンラインサービスが写真やビデオに「このレストランに行った」「このランドマークに行った」というタグを付けるのに役立つ。

だがこれらのオンラインサービス、特に人々のプロフィール写真を見ることができるソーシャルプラットフォームでは、ファイルのメタデータから位置データを削除するのが通例になっている。位置データはあなたがどこに住んで、どこで働き、どこに行って、誰と会っているか明らかにすることがあるので、他のユーザーがあなたの居場所を盗み見できないようにするためだ。

Pen Test Partnersのセキュリティ研究者Jan Masters(ヤン・マスターズ)氏は、Pelotonの漏洩したAPIの調査の一環として、このメタデータの漏洩を発見した。TechCrunchは、ニューヨークオフィスのGPS座標が入ったプロフィール写真をアップロードし、サーバー上にあるファイルのメタデータをチェックすることでバグを確認した。

関連記事:PelotonのAPIは脆弱で誰でもアカウントデータを取得できる、不正利用の有無は不明

このバグは、PelotonとEchelon両社に非公開で報告された。

Pelotonは2021年5月初めにAPIの問題を修正したが、メタデータのバグを修正し、既存のプロフィール写真から位置データを取り除くためには、さらに時間が必要だと述べていた。Pelotonの広報担当者は、これらのバグが先週修正されたことを確認した。Echelonは、5月初めにバグを修正した。(TechCrunchは両社がバグを修正し、古いプロフィール写真からメタデータが削除されたことを確認するまで報道を控えていた)。

関連記事:PelotonのライバルEchelonもAPI漏洩、誰でも会員アカウントデータを取得できる状態に

このバグがいつから存在していたのか、また誰かが悪意を持ってユーザーの個人情報をスクレイピングするために利用したかは不明だ。キャッシュされたものであれスクレイピングされたものであれ、位置データのコピーが存在すれば、自宅の住所や職場、その他のプライベートな場所が特定されてしまうユーザーにとって重大なプライバシーリスクとなる可能性がある。

Parler(パーラー)はユーザーがアップロードした写真からメタデータを削除しなかったため、アーキビストが同プラットフォームのAPIの弱点を突いて全コンテンツをダウンロードした際に、何百万人ものユーザーの位置データが流出したことで有名だ。また、最終的にはそこにたどり着いたものの、Slack(スラック)のようにメタデータの削除を採用するのが遅かった企業もある。

関連記事:Slackがアップロードされた画像のEXIF情報削除を開始

カテゴリー:セキュリティ
タグ:PelotonEchelonデータ漏洩位置情報エクササイズ個人情報

画像クレジット:Ezra Shaw / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)