診察予約アプリZocdocは「プログラミングエラー」で患者データへの不正アクセス可能だった

医療機関オンライン予約サービスのZocdocは、医院や歯科医院の現職および元スタッフのユーザーアカウントが適切に削除されていなかったために、患者データへのアクセスが可能になっていたバグを修正したと発表した。

ニューヨークに本社を置くZocdocは、カリフォルニア州司法長官に宛てた書簡の中でこの問題を明らかにした。企業は500人以上の州民がセキュリティ上の不備や違反の影響を受けた場合、同州の司法長官事務所に通知することが義務づけられている。Zocdocは今回のセキュリティインシデントにより、米国全体で約7千600人のユーザーが影響を受けていることを確認した。

Zocdocは、見込み患者が医師や歯科医師を検索し予約を入れることができるサービスを提供しており、各医療機関や歯科医院のスタッフがZocdocを通じて行われた予約にアクセスするためのユーザー名とパスワードを提供しているが「プログラミングエラー」、つまり基本的にはZocdoc自身のシステムにおけるソフトウェアのバグにより「過去または現在の医療機関のスタッフの一部が、ユーザー名とパスワードを削除、消去、またはその他の方法で制限することを意図した後に、プロバイダーポータルにアクセスすることができた」と述べている。

この書簡では、Zocdocのポータルに保存されている患者データがアクセスされた可能性があることが確認されている。該当データには、患者の氏名、電子メールアドレス、電話番号、予約日時の他、保険の詳細、社会保障番号、患者の病歴の詳細など、診療所と共有されていた可能性のあるデータも含まれている。

しかしZocdocによると、支払いカード番号、X線や診断書、医療記録などは同社は保存しないため、盗まれていないとのこと。

Zocdocの広報担当者であるSandra Glading(サンドラ・グレーディング)氏はメールで、同社は2020年8月にバグを発見したが「コードが複雑なため、どの診療所やユーザーがどのように影響を受けたかを特定するには、相当な調査が必要だった」と述べた。同社は、カリフォルニア州の司法長官事務所に「可能な限り早く」通知したと述べている。

Zocdocは「この脆弱性の悪用の可能性を含む、あらゆるデータの悪用を検出できる詳細なログ」を保有しており、それらのログの確認とその他の調査作業を行った結果「現時点では、個人情報が何らかの形で悪用された形跡はない」と述べた。

同社によれば、月間約600万人のユーザーがZocdocにアクセスしているという。

この事件に何となく聞き覚えがあるとしたら、それは2016年にZocdocが報告したセキュリティ問題と酷似しているからだ。当時提出された書簡には、医療機関のスタッフが患者データに不正にアクセスできる同様の「プログラミングエラー」が挙げられていた。

関連記事
macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)
エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲
婚活アプリ「Omiai」のネットマーケティングがコーポレートサイト「お問い合わせフォーム」で個人情報を閲覧できる状態になっていたと報告
マッチングアプリ「Omiai」が退会会員含め171万件の年齢確認書類への不正アクセス公表、運転免許証・健康保険証・パスポート・マイナンバーカード

カテゴリー:セキュリティ
タグ:Zocdocデータ漏洩個人情報医療バグ

画像クレジット:TechCrunch(スクリーンショット)

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

エア・インディアが乗客情報の流出を発表、サイバー攻撃を受けたSITAのデータ漏洩被害は当初の想定より広範囲

世界的な航空輸送データ企業のSITAが、サイバー攻撃を受けたことによるデータ漏洩を報告してから3カ月が経過したが、いまだに被害状況の全貌は明らかになっていない。

インドのフラッグキャリア航空会社であるAir India(エア・インディア)は、同社のデータを管理していたSITAの事故から約450万人の乗客の個人データが漏洩したことを先週発表した。盗まれた情報には、乗客の氏名、クレジットカード情報、生年月日、連絡先、パスポート情報、航空券情報、Star Alliance(スターアライアンス)およびエア・インディアのマイレージサービス情報などが含まれていると、エアインディアは声明(PDF)で発表している。

クレジットカードのセキュリティコードはSITAのシステムに保存されていなかったとしながらも「個人データの安全性を確保するため、該当する場合は必ずパスワードを変更するように」と、同社は顧客に呼びかけている。

エア・インディアでは、今回のサイバー攻撃により、2011年8月26日から2021年2月3日までの間に、同社に登録された乗客のデータが漏洩したと声明で述べている。

この事実が明らかになったのは、SITAが顧客情報を含むデータ侵害の被害に遭ったことを発表してから3カ月近くも経ってからのことだ。SITAは当時、Malaysia Airlines(マレーシア航空)、Finnair(フィンエアー)、Singapore Airlines(シンガポール航空)、Jeju Air(済州航空)、Cathay Pacific(キャセイパシフィック航空)、Air New Zealand(ニュージーランド航空)、 Lufthansa(ルフトハンザドイツ航空)など複数の航空会社に情報漏洩を通知したと述べていた。

関連記事:全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出

スイスのジュネーブに本社を置くSITAは、世界の航空会社の90%にサービスを提供していると言われる。3月上旬の情報公開時点では、同社は現在も調査中であることを理由に、漏洩した具体的なデータを明らかにしなかった。

エア・インディアは、2021年2月25日にSITAからサイバー攻撃について最初の通知を受けたが、具体的なデータの種類については3月25日と4月5日になってから知らされたという。

多額の赤字を抱え国民の税金で生き延びてきたこのインドの航空会社は、セキュリティ被害の調査、侵害されたサーバーの安全確保、外部専門家(名称は明かされていない)との連携、クレジットカード発行会社への通知、マイレージプログラムのパスワードリセットなどの措置を取ったと主張している。

インドでは最近、他にも企業のデータ漏洩が相次いで報告されている。モバイル決済サービス大手企業のMobiKwik(モビクイック)は2021年3月下旬に、約1億人のユーザーの個人情報が流出したとされるデータ漏洩の調査を行っていると発表した。

また、4月下旬には、インド最大の食料品宅配サービス企業で、現在はTata(タタ)財閥が所有するBigBasket(ビッグバスケット)の顧客2000万人分の記録がサイバー犯罪フォーラム上に流出し、誰でもダウンロードできる状態になっていた。大手通信会社のJio Platforms(ジオ・プラットフォームズ)は、セキュリティの不備により、同社のツールを使ってコロナウイルスの症状をチェックした一部のユーザーの結果を流出させた。同様に、インドの西ベンガル州政府が運営するウェブサイトや、大手血液検査会社のDr Lal PathLabs(ドクター・ラル・パスラボ)でも、検査結果の流出被害に遭った。エア・インディアの同業他社であるSpicejet(スパイスジェット)も2020年、データ流出を確認している。

関連記事
2000万人分のインド食料品配達BigBasketのユーザーデータがオンライン公開か
Facebookも巨額出資するJio、新型コロナ症状チェッカーの結果を漏洩
850万人の大規模検査後、インドの州政府サイトが新型コロナ検査結果を外部閲覧可能な状態に

カテゴリー:セキュリティ
タグ:エア・インディアデータ漏洩個人情報SITAインドサイバー攻撃

画像クレジット:Anindito Mukherjee / Bloomberg / Getty Images

原文へ

(文:Manish Singh、翻訳:Hirokazu Kusakabe)

クラウドインフラプロバイダー大手DigitalOceanが顧客の請求データ流出を発表

DigitalOceanが請求データに関わるデータ侵害の警告メールを顧客に送ったことが、TechCrunchによって明らかになった。

クラウドインフラストラクチャの大手であるDigitalOceanは、TechCrunchが入手した米国時間4月28日の電子メールで「アカウントの請求プロファイルに関連する詳細が不正に公開されたことを確認しました」と顧客に伝えた。同社は4月9日から4月22日までの2週間の間に、不明な人物が「修正済みの欠陥を利用して、お客様の請求アカウントの詳細の一部にアクセスしました」と述べている。

メールによると、アクセスされたのは顧客の請求書の名前や住所のほか、決済カードの下4桁、有効期限、カード発行銀行名などだという。DigitalOceanは顧客のアカウントは「アクセスされていない」としており、パスワードやアカウントトークンは今回の侵害に「関連していない」としている。

「念のため、お客様のアカウントに追加のセキュリティ監視を実装しました。今後このような不具合が発生する可能性を減らすため、セキュリティ対策を強化しています」。とメールには書かれている。

DigitalOceanは、この脆弱性を修正し、データ保護当局に通知したと述べているが、顧客の請求情報を危険にさらす明らかな欠陥が何であったかは不明だ。

DigitalOceanのセキュリティ責任者Tyler Healy(タイラー・ヒーリー)氏は声明の中で、課金プロフィールの1%が今回のセキュリティ侵害の影響を受けたと述べたが、脆弱性がどのように発見されたのか、またどの当局に知らされたのかなど、具体的な質問には答えなかった。

欧州に顧客を持つ同社はGDPRの対象となり、全世界の年間売上高の最大4%の罰金を科せられる可能性がある。

2020年、このクラウド企業は1億ドル(約110億円)の新規資金調達に続き、さらに5000万ドル(約54億円)の資金調達を行い、その数カ月後には財務状況を懸念して数十名のスタッフをレイオフした。同社は2021年3月には株式を公開し、約7億7500万ドル(約840億円)を調達した。

関連記事:クラウドインフラプロバイダーのDigitalOceanが融資で約110億円を調達

カテゴリー:セキュリティ
タグ:DigitalOceanデータ漏洩個人情報

画像クレジット:New York Stock Exchange / file photo / Getty Images

原文へ

(文:Zack Whittaker、翻訳:塚本直樹 / Twitter

2000万人分のインド食料品配達BigBasketのユーザーデータがオンライン公開か

インドの食料品宅配サービス会社であるBigBasketがデータ流出を確認してから数カ月後、、同社のユーザーと推測される約2000万人のデータベースが著名なサイバー犯罪フォーラムに流出した。

このデータベースにはユーザーのメールアドレス、電話番号、住所、スクランブルされたパスワード、生年月日、サービスとのやり取りの記録が含まれる。TechCrunchはこのデータベースに掲載されている一部の顧客の詳細(著者を含む)を確認した。

TechCrunchはBigBasketの共同創設者らにコメントを求めたが、回答は得られなかった。

BigBasketは2020年11月、ハッカーが同プラットフォームから2000万人分の顧客情報を盗み出したとの報告を受け、データ侵害があったことを認めた。

TechCrunchはBigBasketの共同設立者の1人に、このデータ侵害を顧客に開示したかどうかを確認した。

ShinyHuntersと名乗るハッカーは先週末、著名なサイバー犯罪フォーラムでBigBasketのデータベースとされる情報を公開し、誰でもダウンロードできるようにした。

フォーラムの新しい投稿では、少なくとも2人の攻撃者がハッシュ化されたパスワードを解読し、それを売りに出したと主張した。ShinyHuntersにもコメントを求めたが、回答は得られていない。

今回の事件は、インドのコングロマリットであるTata Group(タタ・グループ)がインドの新興企業であるBigBasketを18億ドル(約1900億円)以上の価値で買収することに合意してから数週間後のことだった。この買収案は現在、インドの規制当局の承認を待っている。

関連記事:インドのTata Groupが食料品宅配BigBasketの過半数株式を取得に合意、アリババは撤退か

カテゴリー:セキュリティ
タグ:インドBigBasketデータ漏洩ハッカー

画像クレジット:Samyukta Lakshmi / Bloomberg / Getty Images

原文へ

(文:Manish Singh、翻訳:塚本直樹 / Twitter

米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

米国でマーケットシェア2位の自動車保険会社Geico(ガイコ)は、同社ウェブサイトから顧客の運転免許証番号を不正取得できるセキュリティバグを修正した。

Geicoは、カリフォルニア州司法長官事務所に提出したデータ漏洩の通知の中で、他の情報源から収集された情報が「当社ウェブサイトのオンライン販売システムを通じて、顧客の運転免許証番号に不正アクセスするために使用された」と述べている。

保険業界の大手である同社はデータ漏洩の影響を受けた顧客の数については明らかにしてないが、不正行為者は2021年1月21日から3月1日の間に顧客の運転免許証番号にアクセスしたという。企業は500人以上の州民がセキュリティインシデントの影響を受けた場合、州の司法長官事務所に通知することが義務付けられている。

Geicoは「この情報が、お客様の名義で不正に失業手当を申請するために使用される可能性があると信じるに足る理由」があったと述べている。

経済的動機に基づく犯罪者の多くは、盗んだアイデンティティやデータを使って政府機関を標的にする。しかし米国の多くの州では、失業手当の受給申請に運転免許証のような政府発行IDが必要となる。運転免許証の番号を取得するために、不正行為者は公開データや過去に侵害されたデータを利用し、自動車保険ウェブサイトの弱点を突いて、顧客の運転免許証番号を取得する。これにより、不正行為者は他人の名前で失業手当を得ることができる。

2021年初め、サンフランシスコに拠点を置く保険スタートアップのMetromile(メトロマイル)は1月にバグが修正されるまでの6カ月間、同社ウェブサイトのバグが運転免許証番号の取得に利用されていたことを認めた

失業手当を申請していないのに州政府から関連の通知を受け取った場合は、個人情報が不正に使用された可能性が高いと考えられる。

Geicoの広報担当者であるChristine Tasher(クリスティン・タッシャー)氏に複数回コメントを求めたが、回答は得られなかった。

関連記事:米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告

カテゴリー:セキュリティ
タグ:Geicoデータ漏洩バグ

画像クレジット:Geico / Business Wire

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

フェイスブックの情報漏洩公表の遅れはGDPR違反の問題を招く

Facebookの2021年4月初旬の大規模な情報漏えいに対し、規制当局が同社に制裁を加えるかどうかは未だ明らかではない。しかし、この事件の時間的経緯が明らかになるにつれ、Facebookの立場は危ういものになりつつある。

Business Insiderが米国時間4月3日発表したこのデータ侵害について、Facebook は当初、ユーザーの生年月日や電話番号などの情報は「古い」ものだと示唆して問題を小さく見せかけようとした。しかし、最終的に同社は、米国時間4月7日遅くに公開されたブログ投稿で、問題のデータが「2019年9月以前に」悪意のある者によってプラットフォームからスクレイピング(ウェブサイトからの情報抽出)されたことを明らかにした。

情報漏えいの時期が新たに公表されたが、それによりこの情報漏えいが2018年5月に発効したEUにおけるGDPR(一般データ保護規則)に抵触するのではないか、という疑問が持ち上がっている。

EUの規制では、データ管理者は情報漏えいの開示を怠った場合、全世界での年間売上高の最大2%、より深刻なコンプライアンス違反の場合は年間売上高の最大4%の罰金を科せられる。

Facebookは過去のプライバシー侵害に対し、2019年7月にFTC(米国連邦取引委員会)と50億ドル(約5400億円)を支払うことで問題を解決したが、2019年6月~9月はこの合意に含まれていない。この点から見ても、EUフレームワークは重要だ。

米国時間4月7日、Facebookの監督機関であるアイルランドデータ保護委員会(DPC)は、今回の情報漏えいに対応する声明を出し、新たに公開されたデータセットの実態は完全には明らかではなく「オリジナルの2018年(GDPR以前)のデータセットから構成されているようだ」として、2017年6月~2018年4月の間に発生したとされる電話番号検索機能の脆弱性に関連する過去のデータ漏えい(2018年に開示済み)に言及した。しかしその中には、新たに公開されたデータセットは「それよりも新しい時点のものかもしれない記録と組み合わされている可能性がある」と書かれている。

関連記事:近頃起こったデータ漏洩についてFacebookからの回答が待たれる

FacebookはDPCの声明を受け、2019年、同年9月までのデータがプラットフォームから抽出されていたことを認めた。

4月7日のFacebookのブログ記事では、ユーザーのデータが、前述の電話番号検索機能の脆弱性ではなく、まったく別の手口でスクレイピングされていたという事実も新たに明らかになった。連絡先インポートツールの脆弱性を突いた手口である。

この手口では、未知数の「攻撃者」は、Facebookのアプリを模倣したソフトウェアを使って、大量の電話番号をアップロードしてプラットフォームのユーザーと一致する電話番号を検出する。

例えばスパム送信者は、大量の電話番号データベースをアップロードして、名前だけでなく、生年月日、メールアドレス、所在地などのデータとリンクさせて、フィッシング攻撃を行う。

今回のデータ侵害に対し、Facebookは即座に、2019年8月にこの脆弱性を修正したと主張したが、8月であればGDPRはすでに発効している。

EUにおけるデータ保護フレームワークにはデータ違反通知制度が組み込まれている。データ管理者は、個人データの漏えいがユーザーの権利と自由に対するリスクとなる可能性が高いと考えられる場合、不当に遅延することなく(理想的には漏えいの認識から72時間以内に)関連する監督機関に通知することが求められる。

しかし、Facebookは未だに今回の事件についてDPCに一切の開示をしていない。これはEUの議会が意図した規制の在り方に反する行為であり、規制当局はBusiness Insiderの報告書を受けて、米国時間4月6日、Facebookに対し情報開示を積極的に求めることを明らかにした。

一方、GDPRではデータ侵害が広く定義されている。データ侵害とは、個人データの紛失や盗難、権限のない第三者によるアクセス、また、データ管理者による意図的または偶発的な行動や不作為による個人データの漏えいを意味する。

Facebookは、5億人以上のユーザーの個人情報がオンラインフォーラムで自由にダウンロードできる状態であったという今回のデータ漏えいについて「違反」と表現することを慎重に避けている。これは、この違反に付随する法的リスクによるものだと考えられる。

ユーザーの個人情報を「古いデータ」と呼んで、ことの重大性を小さく見せかけようとしているのも法的リスクを考慮したうえでのことだろう(携帯電話番号、メールアドレス、氏名、経歴などを定期的に変更する人はほとんどいないし、法的に生年月日が変更されるケースは考えられないのだが)。

一方で、Facebookのブログ投稿はデータがスクレイピングされたことに言及し、スクレイピングとは「自動化されたソフトウェアを使ってインターネット上の公開情報を取り出し、オンラインフォーラムで配布する一般的な手口」であると説明している。つまり、Facebookの連絡先インポートツールを通じて流出した個人情報が何らかの形で公開されていたことを暗に示している。

ブログ投稿でFacebookが展開しているのは、何億人ものユーザーが携帯電話番号などの機密情報をプラットフォームのプロフィールに公開し、アカウントのデフォルト設定を変更しなかったので、これらの個人情報が「スクレイピング可能な状態で公開されている/プライベートではなくなっている/データ保護法でカバーされていない」という論法だ。

これはユーザーの権利やプライバシーを著しく侵害する、明らかにばかげた論法であり、EUのデータ保護規制当局は迅速かつ決定的に拒否しなければならない。さもなければ、Facebookがその市場力を悪用して、規制当局が保護すべき唯一の目的である基本的な権利を侵害することに加担することになる。

今回の情報漏えいの影響を受けた一部のFacebookユーザーは、Facebookのプライバシーを侵害するデフォルト設定を変更していなかったために、連絡先インポートツールを通じて情報が流出したのかもしれない。その場合でも、GPDRの遵守にかかる重要な問題が生じる。なぜなら、GPDRはデータ管理者に対して、個人データを適切に保護し、プライバシーを設計段階からデフォルトで適用することも要求しているからだ。

Facebookは何億件ものアカウント情報が無防備にスパマー(あるいは誰でも)に奪われてしまった。これは優れたセキュリティやプライバシーのデフォルト適用とは言い難い。

Cambridge Analyticaのスキャンダル再び、である。

関連記事:フェイスブックが隠しておきたかった電子メールをひっそり公開

過去にあまりにもプライバシーやデータ保護を疎かにしていたFacebookは、今回も逃げ切ろうとしているようだ。これまでデータスキャンダルの連続であっても、規制当局の制裁を受けることが比較的少なかったため、逃げ続けることに自信を持っているのかもしれない。年間売上高が850億ドル(約9兆3000億円)を超える企業にとって、1回限りの50億ドル(約5400億円)のFTCの罰金は単なるビジネス経費に過ぎない。

Facebookに、ユーザーの情報が再び悪意を持って自社のプラットフォームから抜き取られていることを認識した時点(2019年)でなぜDPCに報告しなかったのか、また、影響を受けた個別のFacebookユーザーになぜ連絡しなかったのかを問い合わせたが、同社はブログ投稿以上のコメントを拒否した。

また、同社と規制当局とのやり取りについてもコメントしないとのことだった。

GDPRは、情報漏えいがユーザーの権利と自由に高いリスクをもたらす場合、データ管理者は影響を受ける個人に通知することを義務付けている。それには、ユーザーに脅威を迅速に知らせることで、詐欺やID盗難など、データが漏えいした場合のリスクから自らを守るための手段を講じることができるという合理的な理由がある。

Facebookのブログ投稿にはユーザーに通知する予定はないとも記されていた。

Facebookの「親指を立てる」というトレードマークは、ユーザーに中指を立てている(ユーザーを侮辱する表現)と見た方が適切かもしれない。

カテゴリー:ネットサービス
タグ:Facebookデータ漏洩プライバシーGDPREU

画像クレジット:JOSH EDELSON / Contributor / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

近頃起こったデータ漏洩についてFacebookからの回答が待たれる

Facebookの欧州連合(EU)のデータ保護規制当局は、2021年4月第1週末に報告された大規模なデータ侵害について、この大手企業に回答を求めている。

この問題は、米国時間4月2日に Business Insiderが報じたもので、5億件以上のFacebookアカウントの個人情報(メールアドレスや携帯電話番号を含む)が低レベルのハッキングフォーラムに投稿され、数億人のFacebookユーザーのアカウントの個人情報が自由に利用できる状態になっていた。

ビジネスインサイダーによると「今回公開されたデータには、106カ国の5億3300万人以上のFacebookユーザーの個人情報が含まれており、その中には、米国のユーザーに関する3200万人以上の記録、英国のユーザーに関する1100万人以上の記録、インドのユーザーに関する600万人以上の記録が含まれる」。さらにその中には、電話番号、FacebookのID、氏名、所在地、生年月日、経歴、一部のメールアドレスなどが含まれていることを明らかにした。

Facebookは、データ漏洩の報告に対して、2019年8月に「発見して修正した」自社プラットフォームの脆弱性に関連するものだとし、その情報を2019年にも報告された「古いデータ」と呼ぶ。しかし、セキュリティ専門家がすぐに指摘したように、ほとんどの人は携帯電話の番号を頻繁に変更することはない。そのため、この侵害をそれほど重大でないものに見せようとするFacebookの反応は、責任逃れのための思慮の浅い試みのように思われる。

また、 Facebookの最初の回答が示しているように、すべてのデータが「古い」ものであるかどうかも明らかではない。

Facebookがまたしても起こったこのデータスキャンダルを、それほど重大でないものに見せようとする理由は山ほどある。欧州連合のデータ保護規則では、重大なデータ漏洩を関連当局に速やかに報告しなかった企業に対して厳しい罰則が設けられていることもその理由の1つだ。また、欧州連合の一般データ保護規則(GDPR)では、設計上およびデフォルトでのセキュリティが期待されているため、違反自体にも厳しい罰則が課せられる。

Facebookは、流出したデータが「古い」という主張を推し進めることで、それがGDPRの適用開始(2018年5月)よりも前であるという考えを宣伝したいのかもしれない。

しかし、欧州連合におけるFacebookの主なデータ監督機関であるアイルランドのデータ保護委員会(DPC)は、TechCrunchに対し、現時点ではそれが本当に古いと言えるのかどうかは十分に明らかではないと述べる。

DPCのGraham Doyle(グラハム・ドイル)副委員長は「新たに公開されたデータセットは、オリジナルの2018年(GDPR以前)のデータセットと、それより後の時期のものと思われるデータ接セットで構成されているようだ」との声明を出している。

ドイル氏はまた「情報が公開されたユーザーの多くはEUユーザーだ。データの多くは、Facebookの公開プロフィールからしばらく前に取得されたデータのようだ」とも述べている。

「以前のデータセットは2019年と2018年に公開されたが、これはFacebookのウェブサイトの大規模なスクレイピングに関連するものだ(当時Facebookは、Facebookが電話検索機能の脆弱性を閉鎖した2017年6月から2018年4月の間にこれが発生したと報告していた)。このスクレイピングはGDPR発効以前に行われたため、FacebookはこれをGDPRに基づく個人データ侵害として通知しないことに決めたのだ」。

ドイル氏によると、規制当局は週末にFacebookから情報漏洩に関する「すべての事実」を取得しようとしており、現在もそれは「続いている」。つまり、Facebookが情報漏洩自体を「古い」と主張しているにもかかわらず、この問題については現在も明らかになっていないということだ。

GDPRでは、重要なデータ保護問題について規制当局に積極的に知らせる義務が企業に課せられているにもかかわらず、この問題についてFacebookから積極的な連絡がなかったことがDPCによって明らかになった。それどころか、規制当局がFacebookに働きかけ、さまざまなチャネルを使って回答を得なければならなかった。

こうした働きかけによりDPCは、Facebookとしては、情報のスクレイピングは、Cambridge Analyticaのデータ不正利用スキャンダルを受けて確認された脆弱性を考慮して2018年と2019年にプラットフォームに加えた変更の前に発生したと考えていることが分かったと述べている。

2019年9月、オンライン上で、Facebookの電話番号の膨大なデータベースが保護されていない状態で発見された。

関連記事:Facebookユーザーの電話番号が掲載された大量データベースが流出

また、Facebookは以前、自社が提供する検索ツールに脆弱性があることを認めていた。2018年4月には、電話番号やメールアドレスを入力することでユーザーを調べられる機能を介して、10億から20億人のFacebookユーザーの公開情報が抽出されていたことを明らかにしているが、これが個人情報の貯蔵庫となっている可能性もある。

Facebookは2020年、国際的なデータスクレイピングに関与したとして、2社を提訴している。

関連記事:Facebookがデータスクレイピングを実行する2社を提訴

しかし、セキュリティ設計の不備による影響は「修正」から数年経った今でもFacebookの悩みの種となっている。

さらに重要なのは、大規模な個人情報の流出による影響は、インターネット上で今や自分の情報が公然とダウンロードにさらされるようになったFacebookユーザーにも及んでおり、スパムやフィッシング攻撃、その他の形態のソーシャルエンジニアリング(個人情報の窃盗を試みるものなど)のリスクにさらされていることだ。

この「古い」Facebookデータが、ハッカーフォーラムで無料で公開されるに至った経緯については、謎に包まれている部分が多い。

DPCは、Facebookから「問題となっているデータは、第三者によって照合されたものであり、複数のソースから得られたものである可能性がある」との説明を受けたと述べている。

Facebookはまた「十分な信頼性をもってその出所を特定し、貴局および当社のユーザーに追加情報を提供するには、広範な調査が必要である」と主張しているが、これは遠回しに、Facebookにも出所の見当がつかないということを示唆している。

「Facebookは、DPCに対し、確実な回答の提供に鋭意努めることを保証している」とドイル氏は述べている。ハッカーサイトで公開された記録の中には、ユーザーの電話番号やメールアドレスが含まれているものもある。

「ユーザーには、マーケティングを目的としたスパムメールが送られてくる可能性がある。また電話番号やメールアドレスを使った認証が必要なサービスを自ら利用している場合も、第三者がアクセスを試みる危険性があるため注意が必要だ」

「DPCは、Facebookから報告を受け次第、さらなる事実を公表する」と彼は付け加えた。

本稿執筆時点で、Facebookにこの違反行為についてのコメントを求めたが、同社はこれに応じなかった。

自分の情報が公表されていないか心配なFacebookユーザーは、データ漏洩について助言を行うサイト「haveibeenpwned」で、自分の電話番号やメールアドレスを検索することができる。

haveibeenpwnedのTroy Hunt(トロイ・ハント)氏によると、今回のFacebookのデータ漏洩には、メールアドレスよりも携帯電話番号の方がはるかに多く含まれている。

彼によると、数週間前にデータが送られてきた。最初に3億7000万件の記録が送られてきたが、その後「現在、非常広く流通しているより大規模なデータ」が送られてきたという。

「多くは同じものですが、同時に多くが異なってもいます」とハント氏は述べ、次のように付け加えた。「このデータには1つとして明確なソースはありません」。

【更新1】Facebookは今回のデータ流出についてブログ記事を公開し、問題のデータは2019年9月以前に「悪意のある者」が連絡先インポート機能を使ってユーザーのFacebookプロフィールからスクレイピングしたものと考えていることを明らかにした。またその際、ツールに修正を行い、大量の電話番号をアップロードしてプロフィールに一致する番号を見つける機能をブロックすることで悪用を防ぐ変更を施している。

「修正前の機能では、(Facebookの連絡先インポートツールのユーザーは)利用者プロフィールを照合し、公開プロフィールに含まれる一定の情報のみは取得することができました」とFacebookは説明し、これらの情報には利用者の金融情報や医療情報、パスワードは含まれていないと付け加えた。

ただし、悪意のある者がツールを転用することでどのようなデータを取得できたかについて、あるいは当該行為者を特定し、訴追しようとしたかどうかという点については明記されていない。

その代わりに同社の広報は、そのような行為は同社の規約に違反しているとし「このデータセットの削除に取り組んでいる」ことを強調した。同社はまた「機能を悪用する人々を可能な限り積極的に追跡していきます」と述べているが、ここでも悪用者を特定して確実に排除した実例は示していない。

(例えば、Facebookが2018年にCambridge Analyticaのスキャンダルを受けて実施すると述べたアプリ内部監査の最終報告書はどこにあるのだろうか。英国のデータ保護規制当局は最近、Facebookとの法的取り決めにより、アプリ監査について公の場で議論することはできないと述べている。つまりFacebookは、自社ツールの不正使用にどう取り組むかについての透明性を回避することに関しては、積極的なアプローチをとっているようだ……)

「過去のデータセットの再流通や新たなデータセットの出現を完全に防ぐことは困難ではありますが、専任チームを設け、今後もこの課題に対して注力してまいります」とFacebookは広報の中で述べており、ユーザーのデータが同社のサービス上で安全であることを一切保証していない。

同社はユーザーに対し、アカウントに提供しているプライバシー設定をチェックすることを推奨している。その設定には、同社のサービス上で他人があなたを検索する方法を制御する機能も含まれている。これではデータセキュリティの責任はFacebook自身ではなくFacebookユーザーの手中にあると言っているようなもので、Facebookデータ漏洩の事実から逸脱し、責任転換をしようとしているだけである。

もちろん、実際はユーザー次第ではない。FacebookユーザーがFacebookから提供されるのはデータの部分的なコントロールだけであり、Facebookの設計と仕組み(プライバシーに配慮したデフォルト設定を含む)が全面的に関与するものだ。

さらに、少なくとも欧州では、製品の設計にセキュリティを組み込む法的責任がある。個人データに対して適切なレベルの保護を提供できない場合、大きな規制上の制裁を受ける可能性があるが、企業は依然としてGDPRの施行上のボトルネックから恩恵を享受している。

Facebookの広報はまた、ユーザーが二段階認証を有効にしてアカウントのセキュリティを向上させることを提案している。

それは確かに名案だが、二段階認証に関しては、Facebookが二段階認証用のセキュリティキーとサードパーティ認証アプリのサポートを提供していることは注目に値する。つまり、Facebookに携帯番号を与えるリスクを冒すことなく、この付加的なセキュリティ層を追加することができる。ユーザーの電話番号を大量にリークしていた過去もあり、ターゲティング広告に二段階認証の数字を使うことも認めているため、Facebookに自分の電話番号を託すべきではないといえるだろう。

【更新2】Facebookは追加の背景説明で、規制当局との通信内容についてはコメントしないことを明らかにした。

同社はまた、侵害についてユーザーに個別に通知する計画はないと述べ、さらに、データが取得された方法(スクレイピング)の性質上、通知が必要なユーザーを完全に特定することはできないとしている。

カテゴリー:ネットサービス
タグ:Facebookデータ漏洩GDPREUヨーロッパプライバシー個人情報

画像クレジット:Jakub Porzycki/NurPhoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

ペースメーカーをハッカーから守るため医療機器MedtronicとサイバーセキュリティのSternumが提携

サイバー攻撃を怖いと思うのであれば、もしその攻撃の矛先が心臓ペースメーカーに向けられていたらどうだろうか?医療機器メーカーのMedtronic(メドトロニック)は、ここ数年、同社のペースメーカーがネット上のソフトウェア更新システムを通じてハッキングされていたことで話題になっていた。しかし、イスラエルに拠点を置くIoTサイバーセキュリティのスタートアップであるSternumとの新たなパートナーシップにより、Medtronicはこの問題の解決に注力している。

問題は医療機器そのものではなく、デバイスのアップデートに使われるリモートシステムにあった。Medtronicの以前の解決策はデバイスをインターネットから切り離すことだったが、それ自体が別の問題を引き起こす可能性がある。

「Medtronicは、将来の開発に役立つ長期的なソリューションを求めていました」と、Sternumの創業者兼CEOであるNatali Tshuva(ナタリー・トゥシュヴァ)氏は語る。同社は、すでに約10万台のMedtronic社製デバイスをセキュリティ保護した。

Sternumのソリューションにより、医療機器はリアルタイムで自らを守れる。

トゥシュヴァ氏はTechCrunchにこう語った。「脆弱性との戦いは終わりがありません。企業は脆弱性を発見したらアップデートを行う必要がありますが、医療分野ではアップデートが非常に難しいことが多く、アップデートが行われるまでデバイスは脆弱な状態にあります。そのため当社は、アップデートや脆弱性へのパッチ適用を必要とせずにデバイスを保護できる、デバイス内から動作する自律的なセキュリティを実現しました」。

しかし新しいデバイスを保護するのは、レガシーデバイスをさかのぼって保護するよりも簡単だ。年々ハッカーの手口がますます巧妙になってきているため、医療機器メーカーは、すでに世の中に出回っている機器をいかにして守るか考えなければならない。

「市場ではすでに何百万、あるいは何十億もの医療機器が(ネットワークに)接続されており、セキュリティや管理の面で悪夢となりかねません」とトゥシュヴァ氏は付け加えた。

個人に被害が及ぶ可能性だけでなく、ハッカーはデバイスの脆弱性を利用して病院のネットワークに侵入し、より多くの人々に影響を与える可能性がある。トゥシュヴァ氏は、病院のネットワークは内側から保護されているが、ネットワークに接続する保護されていないデバイスが侵入経路となる可能性があると説明した。

実際、医療機関はあらゆる分野の中で最も多くのデータ漏洩を経験していることが知られており、2020年に報告された全漏洩件数の79%を占めている。また、Health IT Securityのデータによると、2020年の最初の10カ月間で、医療システムへのサイバー攻撃が45%増加しているという。

SternumはMedtronicとの提携に加えて「インターネットに接続されていなくても、デバイスが自分自身を守ることができる」IoTプラットフォームを今週発表したという。

これまでに約1000万ドル(約10億9000万円)を調達しているSternumは、ヘルスケア以外のIoT機器にもサイバーセキュリティを提供しており、トゥシュヴァ氏によると「ミッションクリティカル」な分野に焦点を当てているとのこと。例えば、鉄道インフラのセンサーや管理システム、電力網などがそれに含まれる。

イスラエルで育ち、コンピューターサイエンスの修士号を取得し、イスラエル国防軍の8200部隊(米国の国家安全保障同盟に似ている)に勤務していたトゥシュヴァ氏は、常に医療分野でインパクトを与えたいと考えていたという。「医療分野と自分の人生を結びつけようと考えたとき、遠隔医療機器に貢献できると気づいたのです」と彼女は語った。

カテゴリー:IoT
タグ:MedtronicSternum心臓心臓ペースメーカー医療データ漏洩

画像クレジット:Sternum

原文へ

(文:Marcella McCarthy、翻訳:Aya Nakazato)

フェイスブックが2019年の個人情報流出で集団訴訟に直面する可能性

Facebook(フェイスブック)は2019年の大規模なユーザーデータ流出をめぐって訴えられることになりそうだ。このデータ流出は最近明らかになったばかりで、5億3300万超のアカウントの情報がハッカーフォーラムで無料でダウンロードできる状態だった。

Digital Rights Ireland(デジタル権利アイルランド、DRI)は現地時間4月16日、欧州連合(EU)の一般データ保護規則(GDPR)にある個人情報流出に対する金銭賠償を求める権利を引用しながら、Facebookを相手取って「集団訴訟」を開始することを発表した。

GDPRの82条では、法律違反によって影響を受けた人に「賠償と責任の権利」を認めている。GDPRが2018年5月に施行されて以来、関連する民事訴訟は欧州で増えている。

アイルランド拠点のデジタル権利のグループは、EUあるいは欧州経済圏に住むFacebookユーザーに、haveibeenpwnedウェブサイト(電子メールアドレスまたは携帯電話番号で確認できる)を通じて自身のデータが流出しなかったかどうかチェックし、もし該当するなら訴訟に加わるよう促している。

流出した情報には、FacebookのID、位置情報、携帯電話番号、電子メールアドレス、交際ステータス、雇用主などが含まれる。

訴訟についてFacebookにコメントを求めたところ、広報担当は以下のように述べた。

当社は人々の懸念を理解しており、引き続き許可なしのFacebookからのスクレイピングを困難なものにすべくシステムを強化し、そうした行為の裏にいる人物を追跡しています。LinkedInとClubhouseが示したように、完全にスクレイピングをなくしたり、スクレイピングによるデータセットの露出を防ぐことができる企業はありません。だからこそ当社はスクレイピングとの戦いにかなりのリソースをあてていて、引き続きこの問題の一歩先を進むよう対応能力を強化します。

Facebookは欧州本部をアイルランドに置いている。今週初め、同国のデータ保護委員会はEUとアイルランドのデータ保護法に基づき調査を開始した

国境をまたぐケースの調査を簡素化するためのGDPRのメカニズムにより、アイルランドのデータ保護委員会(DPC)がFacebookのEUにおける主なデータ規制当局だ。しかしながら、GDPR申し立てと調査の扱いやアプローチをめぐっては、クロスボーダーの主要ケースについて結論を出すまでの所要時間などが批判されてきた。これは特にFacebookの場合にあてはまる。

GDPRによるすばやいアプローチが導入されて3年になるが、DPCはFacebookの事業のさまざまな面に関する複数の調査を行っているものの、いずれもまだ結論が出ていない。

(最も結論に近いものは、FacebookのEUから米国へのデータ移転に関して2020年出した仮停止命令だ。しかし申し立てはGDPR施行のずいぶん前のことで、Facebookはただちにこの停止命令を阻止すべく裁判を起こした。解決は訴訟人がDPCプロセスの司法審査を提出後の2021年後半が見込まれている)。

関連記事:フェイスブックのEU米国間データ転送問題の決着が近い

2018年5月以来、EUのデータ保護規制では、最も深刻な違反をした企業に対し、グローバル売上高の最大4%の罰金を科すことができる。少なくとも書面上はそうだ。

ただし繰り返しになるが、DPCがこれまでにテック企業(Twitter)に対して科したGDPRの罰金は理論上の最大金額には程遠いものだ。2020年12月に規制当局はTwitterに対し、45万ユーロ(約5860万円)の罰金を発表した。この額はTwitterの年間売上高のわずか0.1%ほどにすぎない。

この罰金もまたデータ流出に対するものだった。しかしFacebookの情報流出と異なり、Twitterのものは同社が2019年に問題に気づいたときに公表された。そのため、5億3300万のアカウントの情報流出につながった脆弱性にFacebookが気づいたものの公表せず、2019年9月までに問題を修正したという主張は、Twitterが科されたものよりも高額な罰金に直面すべきと思わせる。

ただ、たとえFacebookが情報流出でかなりのGDPRの罰金を受けることになっても、監視当局の取り扱い案件の未処理分と手続きのペースが緩やかなことからして、始まってまだ数日の調査のすばやい解決は望めない。

過去の案件からするに、DPCがFacebookの2019年の情報流出について結論を出すのに数年はかかりそうだ。これは、DRIが当局の調査と並行して集団での訴訟を重視している理由だろう。

「今回の集団訴訟への参加を意義あるものにしているのは賠償だけではありません。大量のデータを扱う企業に、法律を順守する必要があり、もしそうしなければその代償を払わなければならないというメッセージを送ることが重要なのです」とDRIのウェブサイトにはある。

DRIは2021年4月初め、Facebookの情報流出についてDPCにも苦情を申し立てた。そこには「アイルランドの裁判所での損害賠償のための集団訴訟を含め、他の選択肢についても法律顧問と協議している」と書いている。

GDPR施行までのギャップによって、訴訟資金提供者が欧州に足を踏み入れ、データ関連の損害賠償を求めて一か八かで訴訟を起こすチャンスが増えているのは明らかだ。2020年、多くの集団訴訟が起こされた

関連記事:オラクルとセールスフォースのCookie追跡がGDPR違反の集団訴訟に発展

DRIの場合、どうやらデジタル権利が支持されるようにしようとしている。しかしDRIは、プライバシーの権利が踏みにじられたユーザーに金を支払うようテック大企業に強制する損害賠償を求める主張が法に則った最善の方法だとRTEに語った。

一方、Facebookは2019年に明らかにしなかった情報流出について「古いデータ」だと主張して軽視してきた。これは、人々の出生日は変わらない(そして、多くの人が携帯電話番号や電子メールアドレスを定期的に変えたりもしない)という事実を無視する歪んだ主張だ。

Facebookの直近の大規模な情報リークで流出した多くの「古い」データは、スパマーや詐欺師がFacebookユーザーを標的にするのにかなり使い勝手のいいものになる。そして訴訟の関係者がデータ関連の損害でFacebookをターゲットとするのにも格好の材料となっている。

カテゴリー:ネットサービス
タグ:Facebookデータ漏洩EUヨーロッパGDPR裁判個人情報

画像クレジット:Jakub Porzycki/NurPhoto / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

ゲイ向けデートアプリManhuntがハックされ数千件のアカウント情報が盗まれていた

600万人の男性会員を誇ると主張するゲイ向けのデートアプリManhunt(マンハント)は、2021年2月にアカウント用データベースがハッカーに侵入され、データが漏洩していたことを認めた。

ワシントン州検事当局に報告された内容によると、ハッカーは「Manhuntユーザーのアカウント証明書を保管していたデータベースに侵入した」とManhuntは語っている。さらに「2021年2月初旬に、1つのユーザーサブセットのユーザー名、メールアドレス、パスワードが盗まれた」という。

報告では、人が見たとしてもわからないようにするパスワードのスクランブル方法について、またスクランブルをかけていたかについては触れられていない。弱いアルゴリズムでスクランブルされたパスワードはプレーンテキストに解読される恐れがあり、悪意あるハッカーにそのアカウントへのアクセスを許してしまう。

データ漏洩の後、Manhuntは2021年3月中旬にアカウントのパスワードを強制リセットし、ユーザーに注意を呼びかけた。Manhuntは、データが盗まれたユーザーが全体の何割程度だったか、どのように漏洩したかについては明かしていないが、ワシントン州の住民7700人以上が関連していると話している。

Manhuntを代表する法律事務所ZwillGen(ズウィルジェン)の弁護士Stacey Brandenburg(ステイシー・ブランデンバーグ)氏は、Manhuntのユーザーの11パーセントが影響を受けたとメールで話してくれた。

しかしManhuntの対処には、まだ疑問が残る。同社は2021年3月「現時点では、すべてのManhuntユーザーは新しいパスワード要件に合致するパスワードに更新することが必要です」とツイートしている。ここでは、ユーザーアカウントが盗まれたことは知らせていない。

Manhuntは2001年、Jack’d(ジャックト)というゲイ向けデートアプリを提供していたOnline-Buddies Inc.(オンラインバディーズ)によってローンチされた。Jack’dは2019年にPerry Street(ペリー・ストリート)に、非公開の価格で買収された。この買収のわずか数カ月前、Jack’dはセキュリティ上の欠陥からユーザーのプライベートな写真や位置情報を公開してしまっている。

デートサイトには、極めて個人的なユーザー情報が保管されているため、悪意あるハッカーの標的にされることが多い。2015年、ユーザーの浮気を煽るデートサイトAshley Madison(アシュレイ・マディソン)がハッキングされ、ユーザーの名前、住所、メールアドレスが晒されてしまった。盗まれたデータがオンライン上で公開され、自殺に追い込まれたユーザーが数人いる。1年後、AdultFriendFinder(アダルトフレンドファインダー)がハッキングされ、4億件を超えるユーザーアカウトが晒された。

2018年には、同性デートアプリGrindr(グラインダー)がデータ分析業者2社にユーザーのHIV感染情報を渡して問題になった

この他、セキュリティの甘さから(セキュリティがまったく存在しないこともあるが)、非常に個人的なデータが流出してしまった事件もある。2019年、中国の同姓愛の男女向け人気デートアプリRela(レラ)は、パスワードも設置しない危険な状態でサーバーを放置していたため、性的指向や住所など500万人以上のユーザーの個人情報に、誰もが自由にアクセスできるようになっていた。数カ月後、ユダヤ人向けのデートアプリJCrush(ジェイクラッシュ)は、およそ20万件のユーザー情報を公開してしまっている

関連記事:インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

カテゴリー:セキュリティ
タグ:Manhuntデータ漏洩ハッキングデートアプリジェンダー

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:金井哲夫)

侵害されたネットワークを徹底して厳密な調査するプラットフォーム開発のCado Securityが10.9億円調達

コンピュータシステムがますます大きく、複雑になるにつれて、組織がシステムをより安全に保護するために、フォレンジック(徹底して厳密な調査)が重要な要素となってきている。最近起きたSolarWinds(ソーラーウィンズ)の情報漏洩事件でも明らかになったように、データ流失を特定したり、ハッカーの侵入を防いだりすることだけが大切なのではない。ネットワークがすでに侵害されている場合、何が起こったのか、侵害がまだ続いているのか、悪意のあるハッカーが再び攻撃できるのかなどを特定するためには、徹底した調査を行うことが唯一の方法であることがしばしばだ。

そうした優先順位の高まりを示す兆候として、徹底した調査を行うための、クラウドネイティブなフォレンジック技術を構築してきたスタートアップのCado Security(カド・セキュリティ)が、事業拡大のために1000万ドル(約10億9000万円)の資金調達を発表した。

現在、Cadoのツールは、企業が直接使用するだけでなく、Redacted(リダクテッド)のようなセキュリティ企業にも使用されている。Redactedは、Facebookの元チーフセキュリティオフィサーであるMax Kelly(マックス・ケリー)氏とLookout(ルックアウト)の共同創業者であるJohn Hering(ジョン・ヘリング)氏が一緒に創業したサンフランシスコを拠点とする、まだあまり注目されていないセキュリティスタートアップだ。Redactedはフォレンジックの部分にCadoを採用している。

ロンドンを拠点とするCadoへの今回の資金提供は、Blossom Capitalが主導し、既存の投資家であるTen Eleven Venturesなども参加している。今回のシリーズAは、Cadoがシードラウンドで資金を調達してからわずか6カ月後のことで、このこともこの分野の需要があることを示している。

デジタルネットワーク上のデータを保護する仕事は、年々複雑になってきている。単にデバイスの数やデータの量が増えて、その構成や使用方法が多岐にわたっているだけでなく、ネットワークの内部に侵入して汚れ仕事をする、悪意あるハッカーたちのアプローチもますます巧妙になってきているからだ。

また、クラウドへの移行も複雑さの増加する大きな要因となっている。クラウドの移行によって、多くの組織が次々に事業を拡大し、業務の一環としてより大規模なコンピューティングプロセスを実行できるようになった一方で、いわゆる攻撃界面が拡大し、調査が非常に複雑になっている。特に多くの組織が能力を増減させる弾力的なプロセスを実行していることで、何かがスケールダウンされた際に、それ以前のログが消去されてしまうことが多い。

CadoのプロダクトであるResponse(レスポンス)は、インストールされるとネットワークとそのすべてのアクティビティを積極的に調査するがクラウド、オンプレミス、ハイブリッドなどの環境を問わず動作するようになっている。現在は、AWS EC2、Docker(ドッカー)、Kubernetes(クバネティス)、OpenShift(オープンシフト)、AWS Fargate(AWSファーゲイト)などのコンテナシステムに対応しており、まもなくAzure(アジュール)にも拡大する予定だ(なお、Google Cloud Platform(グーグル・クラウド・プラットフォーム)は、現在の顧客や見込み顧客の間ではほとんど話題に上らないため、現時点では優先度が低いとCEOのJames Campbell(ジェームズ・キャンベル)氏は述べている)。

キャンベル氏は、2020年4月に現CTOのChristopher Doman(クリストファー・ドーマン)氏と共同でCadoを創業した。この会社のコンセプトは、PwCでともにセキュリティサービスに取り組んだ経験から生まれたもので、それぞれ政府機関(オーストラリアのキャンベル地区)とAlienVault(エイリアン・ボルト。AT&Tが買収したセキュリティ会社)のために働いていた。その中で、2人がずっと直面していた問題は、最も複雑な侵害を追跡するために不可欠な、適切なフォレンジックデータの取得だった。

従来のフォレンジックツールの多く、特にクラウド上の大量のデータに対処するものは「オープンソースツールでデータを処理し、スプレッドシート上で分析をまとめていました」とキャンベル氏はいう。「クラウド時代に向けて、この状況を近代化する必要があります」。

一般的な侵害事件では、何が起こっているのかを解明するための徹底的な調査に1カ月ほどかかることがある。これは、ドーマン氏が説明するように、フォレンジックが「ディスクのあらゆる部分、バイナリシステムのファイルを調査する」からだ。ドーマン氏は重ねて「そうしたレベル、そうしたログに行かずに、必要なものを見つけることはできないのです。すべてを精査することになります」という。

しかし、それには大きな問題があった。キャンベル氏は「とはいえ何か手を打てるまでに、ハッカーを1カ月間野放しにしておくことは、到底許されません」と付け加えた。その結果、他のフォレンジックツールでは、組織のデータの5%程度しか調査できないというのが一般的なのだ。

2人によれば、特許出願済のCadoのソリューションは、基本的には、すべての活動ログのバイナリデータの中から、異常に見えるものを見分けて、パターンを見つけるという、非常に手間のかかるプロセスを、自動化して高速化するビッグデータツールの開発を含むという。

キャンベル氏は「これにより、セキュリティチームには、ハッカーが何をしようとしているのかに集中して、修復の側面に注力する余裕が生まれます」と説明する。

おそらくSolarWindsのような事態は、もしより優れていて迅速な追跡・調査技術を持っていたなら、もっと良いレベルで緩和されたはずだ。

今後は、より多くの種類のシステムをカバーするために統合を進め、一般的にIaaS(Infrastructure as a Service)に分類されるようなものへと展開していく予定だ。

Blossom CapitalのパートナーであるImran Ghory(イムラン・ゴリー)氏は次のように語る。「過去1年間に、多くの企業がリモートワークを可能にするアプリケーションを保護しながら、クラウド導入スケジュールを短縮してきました。それでも、SolarWindsのような有名な侵害事件が示すように、一般的にセキュリティアナリストはクラウドの専門家としてのトレーニングを受けていないために、クラウド環境の複雑さが迅速な調査と対応を困難にしているのです。Cado Securityは、セキュリティチームがより速くより効率的に動けるようにするために、フォレンジックのためのクラウドデータの取得などの、時間のかかる作業を自動化するエレガントなソリューションで、この問題を解決します。Blossom Capitalにとって、Cado Securityの迅速な拡大を支援する機会を得られたことはすばらしいことです」。

カテゴリー:セキュリティ
タグ:Cado Security資金調達ロンドンデータ漏洩ハッキング

画像クレジット:MR.Cole_Photographer / Getty Images

原文へ

(文:Ingrid Lunden、翻訳:sako)

リスク管理のスタートアップLogicGateが自らのデータ漏洩を認める

リスクとコンプライアンスのスタートアップであるLogicGate(ロジックゲート)がデータ漏洩を認めた。ただし、顧客でない限り本件について聞いていないだろう。

LogicGateが2021年4月初めに顧客宛に送ったメールによると、2月23日、同社の主要プラットフォームであるRisk Cloudの顧客のバックアップファイルを保存しているAmazon Web Serviceのクラウド・ストレージ・サーバーの認証情報を、権限のない第三者が入手した。Risk Cloudは企業が自社のリスクとコンプライアンスを確認・管理するためにデータ保護とセキュリティ標準を提供するプラットフォームだ。Risk Cloudはセキュリティの脆弱性を悪意のあるハッカーに利用される前に検知するためにも役立つとLogicGateは述べている。

認証情報は「権限のない第三者が、Logic Gate Risk Cloudバックアップ環境のAWS S3バケットに保存されている特定のファイル群を解読するために使われたと見られる」とメールに書かれている。

「2021年2月23日以前にRisk Cloud環境にアップロードされたデータのみが、当該バックアップファイルに含まれています。また、お客様がRisk Cloudに保存したアタッチメントについては、それに関連する解読事象は特定されていません」。

LogiGateはどうやってAWS認証情報が漏洩したかについては明らかにしていない。4月9日にLogiGateが送った追伸メールによると、同社は問題の根本原因を今週中に見つけるつもりだとしている。

しかしLogicGateはデータ侵害について公的発表は一切していない。また、同社が顧客全員に連絡をとったのか、データをアクセスされた顧客だけなのかもはっきりしない。LogicGateはCapco、Sofi、およびBlue Cross Blue Shield of Kansas Cityが顧客であるという。

TechCrunchは同社に質問を送り、影響を受けた顧客の数や、同社が州の情報漏洩通知法に従って米国当局に通知したかどうかを尋ねた。LogicGate CEOのMatt Kunkel(マット・クンケル)氏は情報漏洩については認めたが、進行中の調査についてコメントを拒んだ。「状況を当社顧客に直接伝えるのが最適だと信じています」と同氏は語った。

クンケル氏は質問に対して、アタッカーが解読した顧客データをサーバーから取り出したかどうかについても語らなかった。

情報漏洩通知法は州によって異なるが、セキュリティ事象の報告を怠った企業は高額な罰金を科される。ヨーロッパのGDPR(一般データ保護規則)の下では、違反した企業は年間売上の最大4%を罰金として科されることがある。

2020年12月、LogicGateは875万ドル(約9億5000万円)の資金調達を完了し、2015年の設立以来の累計は4000万ドル(約43億6000万円)を超えた。

関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

もしあなたがLogicgateの顧客だったら、SignalまたはWhatsAppで、+1 646-755-8849まで情報提供して欲しい。本誌のSecureDropを使ってファイルや文書を送ることもできる。詳しくはこちら

カテゴリー:セキュリティ
タグ:LogicGateデータ漏洩AWS

画像クレジット:Jan Willem Kunnen / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

ジャマイカの新型コロナアプリ失敗の経緯、サイバー攻撃ではなく単に安全ではなかった

2020年3月に新型コロナウイルスのパンデミックが宣言され、各国の政府が次々とロックダウンを発令する中、一部の国では国境の再開に向けた計画が進められていた。2020年6月、ジャマイカは国境を開放した最初の国の1つとなった。

ジャマイカ経済の約5分の1を占める観光業。2019年だけでも400万人の旅行者がジャマイカを訪れ、300万人の住民に多大な雇用をもたらしている。しかし夏が近づくにつれ新型コロナウイルスの影響が忍び寄り、ジャマイカは経済の急落に直面する。同国にとっては観光業が復活の道への唯一の希望である。たとえそれが公衆衛生の犠牲を意味したとしてもだ。

ジャマイカ政府は、キングストンに本社を置くテクノロジー企業Amber Groupと契約し、住民や旅行者が島に戻ってこられるような国境通過システムを構築した。アプリとウェブサイトで展開されたこのシステムは「JamCOVID」と名づけられ、到着前に入国者をスクリーニングできるようになっている。旅行者が米国などの高リスク国からのフライトに搭乗する前に、新型コロナウイルス検査の陰性結果をJamCOVIDにアップロードしなければ入国できないというシステムである。

Amber Groupの最高経営責任者Dushyant Savadia(ドゥシャント・サヴァディア)氏は、同社がJamCOVIDをわずか「3日」で開発し、ジャマイカ政府に同システムを事実上寄贈したと誇らしげに語っている(その見返りに政府がAmber Groupに対して追加機能やカスタマイズの費用を支払うという条件だ)。この導入は成功したと見られ、同社はその後少なくとも4つのカリブ海の島々に国境通過システムを導入する契約を獲得している。

ところが2021年3月、過去1年間に島を訪れた50万人近い旅行者(多数の米国人を含む)の入国書類、パスポート番号、新型コロナウイルス検査結果がJamCOVIDから漏洩したという事実をTechCrunchが暴いたのだ。Amber Group はJamCOVIDのクラウドサーバーへのアクセスをパブリックに設定しており、誰もがウェブブラウザーからデータにアクセスできるようになっていたのである。

今回のデータ流出の原因が人為的なものであれ過失によるものであれ、これはテクノロジー企業が、ひいてはジャマイカ政府が犯してしまった恥ずかしい過ちだ。

さらに、この騒動も終わるかというところで、今度はこれに対する政府の対応が新たな騒動となってしまった。

セキュリティ問題3連チャン

接触者追跡アプリがまだ初期段階の、新型コロナウイルスの第1波が終わった頃、国境に到着した旅行者をスクリーニングする計画を立てている政府はほとんど存在せず、ウイルスの広がりを把握するための技術を構築したり、獲得したりするために各国の政府は奔走していた。

関連記事:AppleとGoogleが共同開発する新型コロナ追跡システムは信頼できるのか?

ジャマイカは位置情報を利用して旅行者を監視していた数少ない国の1つで、権利団体からは当時からプライバシーやデータ保護に関する懸念が寄せられていた

こういった新型コロナウイルス関連のアプリやサービスを幅広く調査した結果、TechCrunchはJamCOVIDがパスワードのない露出したサーバーにデータを保存していることを発見した。

TechCrunchが報道を通じてセキュリティ上の欠陥データの流出を発見したのは今回が初めてではなく、またパンデミック関連のセキュリティ脅威もこれが初めてではない。イスラエルのスパイウェアメーカーであるNSO Groupは、新たな接触者追跡システムのデモに使用した保護されていないサーバーに、実際の位置情報を残していた。また、ノルウェーは接触者追跡アプリを最初に導入した国の1つだが、国民の位置情報を継続的に追跡するというのはプライバシー上のリスクになると同国のプライバシー当局が判断したため、アプリの導入は中止されている。

どんな記事の場合でも同様だが、我々はサーバーの所有者と思われる人物に連絡を取り、またジャマイカ保健省には2月13日の週末にデータが流出していることを報告した。しかし保健省の広報担当者であるStephen Davidson(スティーブン・デビッドソン)氏にデータ流出の具体的な内容を伝えたにも関わらず返事が来ない。その上2日後、データは依然として流出されたままだったのである。

このサーバーからデータが流出した2人の米国人旅行者と話した後、サーバーの所有者をAmber Groupに絞り込む事ができた。2月16日、CEOのサヴァディア氏に連絡を取ったところ、同氏はメールの受領は認めたもののコメントはなく、その約1時間後にサーバーのセキュリティが確保された。

その日の午後、 TechCrunchが本件の記事を掲載した後ジャマイカ政府が声明を発表し、この失態は「2月16日に発覚」し「直ちに修正した」という嘘を述べている。

それどころか同政府は 、TechCrunchが最初に書いた記事の発端となった保護されていないデータに「不正な」アクセスがあったかどうかについて刑事捜査を開始した。これは我々に向けられた薄っぺらな脅しである。同政府は海外の法執行機関と連絡を取ったと伝えている。

FBIの広報担当者にジャマイカ政府から連絡があったかどうかについて聞いてみたが、回答は得られなかった。

その後もJamCOVIDが改良されたことはない。最初の記事から数日後、政府はクラウドコンサルタントのEscala 24×7にJamCOVIDのセキュリティ評価を依頼しており、その結果は公表されなかったものの同社はJamCOVIDには「脆弱性がない」と確信していると述べている。またAmber Groupは、今回の失態が「単発的な出来事」であったと結論づけている。

1週間が経過し、TechCrunchはAmber Groupにさらに2つのセキュリティ問題を警告することになる。最初のニュースを見たセキュリティリサーチャーがJamCOVIDのサーバーやデータベースの秘密鍵やパスワードがウェブサイトに隠されているのを発見し、さらに50万人以上の旅行者の検疫命令の流出という3つ目の失態を暴いている。

関連記事
ジャマイカ政府の新型コロナアプリ請負業者Amber Groupが今月2度目のセキュリティ事故
2週間で3回目、旅行者50万人の個人情報が露出しジャマイカの新型コロナ対策アプリ・サイトがオフラインに

Amber Groupと同政府はサイバー攻撃やハッキングに見舞われたと主張しているが、実際は単にこのアプリのセキュリティがなっていないだけである。

政治的に不都合なタイミング

ジャマイカ政府は今回2度目の試みとなる国民識別システム(NIDS)の立ち上げを行おうとしている最中のため、このセキュリティ問題はジャマイカ政府にとって政治的に非常に不都合だ。NIDSにはジャマイカ国民の指紋などの生体情報も保存されることになる。

1度目の試みがジャマイカの高等裁判所で違憲と判断されてから2年、政府は今回2度目の立ち上げを目前にしている。

JamCOVIDのセキュリティ問題を国家データベース案打ち切りの理由として挙げている評論家もいる。プライバシーや権利に関する団体の連合はJamCOVIDを例に挙げ、国家データベースは「ジャマイカ人のプライバシーとセキュリティにとって危険」と主張。ジャマイカの野党の広報担当者は地元メディアに対し「そもそもNIDSはあまり期待されていなかった」と語っている

最初の記事を掲載してから1カ月以上が経過したが、Amber GroupがJamCOVIDの構築や運用の契約をどのようにして獲得したのか、クラウドサーバーがどのようにして公開されたのか、また発売前にセキュリティテストが行われたのかなど、多くの疑問点が残されている。

TechCrunchはジャマイカの首相官邸とジャマイカ国家安全保障省のMatthew Samuda (マシュー・サムダ)大臣にメールを送り、JamCOVIDを運営するために政府がAmber Groupにいくら支払いまたは寄付したのか、またどのようなセキュリティ要件が合意されたのかを尋ねてみたが、回答は得られなかった。

Amber Groupもまた政府との契約でいくらの金を手にしたのか明らかにしていない。同社のサヴァディア氏はある地方紙に対して契約額の開示を拒否しており、また契約に関するTechCrunchの質問メールにも答えていない。

ジャマイカの野党は、政府とAmber Groupとの間で交わされた契約書の公開を首相に要求しているが、Andrew Holness(アンドリュー・ホルネス)首相は記者会見で、政府との契約について国民には「知る権利がある」と述べた上で、国家安全保障上の理由や「機密の貿易および商業情報」が開示される可能性がある場合など「法的なハードル」が開示を妨げることもあると伝えている

地元紙のThe Jamaica Gleanerが国家公務員の給与を示す契約書の入手を要求したところ、法律に守られているため個人のプライバシーを開示することはできないとして政府から拒否された数日後に、首相のこの発言である。評論家らは、政府役人に対して公的資金がいくら支払われているかを知る権利が納税者にはあると主張している。

ジャマイカの野党は、被害者に対してどのように今回の件を通知したのかという質問も投げている。

サムダ大臣は当初セキュリティ問題を軽視し、影響を受けたのはわずか700人だと主張していた。我々は証拠を見つけるためソーシャルメディアを探ったが、何も見つかっていない。これまでのところ、ジャマイカ政府が旅行者にセキュリティ事故について通知したという証拠は一切見つかっていない。情報が流出して被害を受けた数十万人の旅行者にも、政府が通知したと主張しながらも公表されていない700人の旅行者にも同様である。

TechCrunchは政府が被害者に送ったという通知のコピーを要求するため大臣にメールを送ったが、回答は得られなかった。また、Amber Groupとジャマイカの首相官邸にもコメントを求めたが、返事は未だない。

今回のセキュリティ過失の被害者の多くは米国人である。1度目の記事で話を伺った2人の米国人は、いずれも情報漏えいの通知を受けていない。

住民の情報が流出したニューヨーク州とフロリダ州の検事総長の広報担当者は、TechCrunchの取材に対し、州法でデータ流出の開示が義務づけられているにもかかわらず、ジャマイカ政府からもAmber Groupからも連絡がなかったと伝えいてる。

大きな代償を支払うことになったジャマイカの国境解放。ジャマイカではその後1カ月間に100人以上の新規感染者が判明したが、その大部分は米国から到着した人々である。2020年6月から8月にかけてコロナウイルスの新規感染者数は、毎日数十人単位から数百人単位へと推移してしまった。

これまでにジャマイカでは、パンデミックによる3万9500人以上の感染者と600人の死亡者が報告されている。

ホルネス首相は先月、国会で国の年間予算を発表する際に、当時の国境解放に対する決定を振り返りコメントしている。同氏によると2020年度の経済の落ち込みは「観光産業における70%という大規模な縮小によってもたらされた」とのことで、住民と観光客を含む52万5000人以上の旅行者がジャマイカを訪れたというが、この数字は2月に流出したJamCOVIDサーバーで見つかった旅行者の記録の数をわずかに上回っている。

ホルネス首相は、同国の国境解放の決定を擁護している。

「もし国境を開けていなかったら観光収入の落ち込みは75%ではなく100%になり、雇用も回復せず国際収支の赤字も悪化し、政府全体の収入も脅かされ、さらに支出を増やそうという議論にもならなかったでしょう」と同氏。

ジャマイカ政府もAmber Groupも国境を開くことで利益を得た。ジャマイカ政府は落ち込んだ経済を回復させたいと考え、Amber Groupは政府との新たな契約でビジネスを活性化させたわけだ。しかし、どちらもサイバーセキュリティに十分な注意を払っておらず、彼らの過失による被害者には、その理由を知る権利がある。

カテゴリー:セキュリティ
タグ:ジャマイカ新型コロナウイルス旅行データ漏洩プライバシー

画像クレジット:Valery Sharifulin / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Dragonfly)

米政府がShopify顧客データを盗んだ容疑でカリフォルニア州の男性を起訴、賄賂は暗号資産と偽レビュー

米連邦大陪審が100以上のマーチャントのShopify(ショッピファイ)顧客データを盗んだ容疑で、カリフォルニア在住の人物を起訴したことが明らかになった。

起訴状によると、Tassilo Heinrich(タシロ・ハインリッヒ)容疑者は、Shopifyのカスタマーサポートエージェント2人と協力して「それらのマーチャントからビジネスを奪い」競争力を高めるためにShopifyの顧客からマーチャントおよび顧客データを盗んだとされ、加重個人情報窃盗および電信詐欺の共同謀議で起訴されている。また、起訴状では、疑惑のスキームの時点で18歳前後だったとみられるハインリッヒ容疑者が、詐欺行為を行うためにデータを他の共犯者に販売したとしている。

このセキュリティ侵害について直接知っている人物は、起訴状に記載されている被害企業がShopifyであることを認めた。

2020年9月、中小企業向けオンラインeコマースプラットフォームを提供するShopifyは、同社のカスタマーサポートチームに属する「ならず者メンバー」2名が「200未満の加盟店」を対象に犯したデータ侵害を明らかにした。Shopifyは「一部の店舗から顧客の取引記録を取得するスキームに関与していた」として、この2人の契約者を解雇したと述べていた。

関連記事:Shopifyが従業員によるデータの漏洩を発表

Shopifyによると、契約者たちは名前、郵便番号、住所、どの製品やサービスを購入したかなどの注文詳細を含む顧客データを盗んだとのことだった。Shopifyからデータ漏洩の通知を受けたある加盟店は、影響を受けた顧客の支払いカードの下4桁の数字も奪われたと述べており、これは起訴状でも確認されている。

また、BBCが報じたところによると、Kylie Jenner(カイリー・ジェンナー)の化粧品・メイクアップ会社「Kylie Cosmetics」も被害者に含まれていたという。

起訴状によると、ハインリッヒ容疑者はフィリピンにあるサードパーティのカスタマーサポート会社の従業員に報酬を支払い、キックバックと引き換えにスクリーンショットを撮るか、データをGoogleドライブにアップロードすることでShopifyの内部ネットワークの一部にアクセスしたという。ハインリッヒ容疑者はこの従業員に数千ドル相当の暗号資産を支払った他、従業員がカスタマーサービスを提供したがフィードバックを残していなかったマーチャントからのものと称して、偽のポジティブレビューを与えていた。起訴状によると、ハインリッヒ容疑者は一部のマーチャントの1年分のデータを受け取ったとされている。

ハインリッヒ容疑者は少なくとも1年間、Shopifyの内部ネットワークからデータを少しずつ吸い上げ、ある時はカスタマーサポートの従業員が寝ている間に「リモートアクセス」できないかと尋ねたという。

Shopifyの広報担当者であるRebecca Feigelsohn(レベッカ・ファイゲルソン)氏は、短い声明で次のように述べた。「ShopifyはFBIに協力し、2020年9月に起こった少数のマーチャントのデータに関わる事件を調査しました。以前に述べたように、関与した加害者はもはやShopifyで働いていません。犯罪捜査が進行中であるため、現時点ではこれ以上のコメントはできません」。

ハインリッヒ容疑者は2021年2月にロサンゼルス国際空港でFBIに逮捕され、2021年9月7日に開始される裁判に向けて、現在は連邦政府に身柄を拘束されている。彼は無罪を主張しているという。

【更新】本記事はShopifyによるコメントを加え更新された。

カテゴリー:セキュリティ
タグ:Shopifyデータ漏洩逮捕

画像クレジット:SOPA Images / Getty Image

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

衣料大手の英FatFaceが顧客に同社のデータ漏洩を「極秘」にするよう指示

衣料品大手のFatFaceはデータ漏洩を起こしたが、そのことを誰にも話して欲しくないようだ。

今週FatFaceは顧客にメールを送り、1月17日に初めてデータ流出を検出したことを明らかにした。ハッカーは顧客の氏名、電子メール、住所、クレジットカードの下4桁の情報を盗み出している。通知では「決済カードの全情報は流出していない」と繰り返し述べている。

「当社は経験豊富なセキュリティ専門家の協力を得て、直ちに調査を開始しました。専門家による徹底した調査の結果、同月上旬に当社が運用する特定のシステムに不正な第三者がアクセスしたと判断しました」と、メールには書かれている。

しかし何千もの顧客に送られたにもかかわらず、このメールは「このメールとその中に含まれている情報を厳重に秘密にしてください」 と要求している。しかし、これはまったく強制力のない要求だ。

英国のデータ保護法では、企業はインシデントを認識してから72時間以内にデータ漏洩を開示しなければならないが、顧客が情報の機密を保持する法的義務はない。そして、FatFaceが世間の非難に直面するのに長くはかからなかった。同社は「質問があればDMしてください」 と返答するだけで、何も答えることはなかった。

危機管理会社のKekst CNCを通じて送られた声明の中で、FatFaceは次のように述べている。「通知メールは関係する個人を対象とした連絡という性質上、非公開かつ機密扱いとなっています。その内容を考慮し明確にするために、今回のような取り扱いを決定したのです」(なおFatFaceは、この声明が誰のものであるかを明かすことを拒否した)。

TechCrunchは、匿名を希望する元従業員からほぼ同じ内容のメールを受け取った。従業員へのメールは顧客へのメールとほぼ同じ内容だったが、従業員の銀行口座情報と国民保険番号(英国における社会保障に相当)が漏えいした可能性があると警告している。

FatFaceは「一部の従業員、元従業員、顧客」がこの情報流出の影響を受けたことを認めたが、具体的な人数は明らかにしなかった。

関連記事:データ漏洩通知は行間を読め、本当の意味を解読する方法

カテゴリー:セキュリティ
タグ:FatFaceデータ漏洩

画像クレジット:SOPA Images / Getty Image

原文へ

(文:Zack Whittaker、翻訳:塚本直樹 / Twitter

監視カメラのスタートアップ「Verkada」にハッキング、テスラなど顧客15万台以上のカメラ映像が流出

監視カメラのスタートアップ「Verkada」にハッキング、テスラなど顧客15万台以上のカメラ映像が流出

Verkada

クラウドベースの高機能なネットワーク監視カメラを販売するスタートアップVerkadaのセキュリティが侵害され、15万台以上の監視カメラ映像がリークされていました。

Bloombergによると、Tillie Kottmannと名乗るハッカーは、テスラの工場と倉庫にある222台ものカメラや、ネットワークセキュリティ企業のCloudflareをはじめ病院、警察、刑務所、学校などに設置された監視用ネットワークカメラにアクセスできたとのこと。一部のカメラは、顔認識技術が有効なものもあり、またVerkadaのサーバーに保管された膨大な映像も参照できる状態にされていました。またKottmannとの連絡を撮ることに成功したBloombergの記者はこのうち一部のカメラ映像を実際に確認したと伝えています。

Verkadaは「不正アクセスを防ぐため、社内の管理者アカウントをすべて無効化しました。現在は内部のセキュリティチームと外部のセキュリティ会社がこの問題の規模と範囲を調査中で、法執行機関にも通知済み」だと述べています。

侵入の足がかりになったのはインターネット上に公開されていたカメラで、ハッカーは「Super Admin」でのアクセスに成功したのち、カメラの機能を使ってネットワーク管理者権限とリモートアクセス権限を取得したとのこと。

一方、ViceメディアのMotherboardは以前、Verkadaは以前に従業員が自分の会社のオフィスのカメラを使って女性社員の盗撮をしたり、他人に嫌がらせをしていたことを伝えていました。そして今回は実際にハッカーから、Verkadaの監視カメラを使っている可能性のある2万4000の組織を記した表計算ファイルを入手しました。

Verkadaはウェブサイトで自社の監視カメラが安全にリモート操作できる機能や、カメラが備える高度な顔認識/識別による人物の追跡監視や車両の追跡が可能な「ビデオアナリティクス」機能を宣伝しています。Bloombergは侵入したハッカーが今回の侵入の動機として「人々が日頃どれぐらい監視されているかを暴き、そしてその監視ネットワーク/プラットフォームがその安全性に関してどれぐらい注意も払われず利益ばかり追求しているかを知ってもらいたかった」と述べたと伝えています。

ネットワークカメラを購入した顧客が、デフォルト設定のまま設置、運用してインターネット上に映像を公開してしまっている例というのはこれまでに何度もありました。

しかし今回は、それよりも高度な監視カメラプラットフォームを提供する企業の側が、きちんとしたセキュリティ運用ができていないことを世間に晒されてしまったという、情けない例と言えそうです。

(Source:Bloomberg(1)(2)Engadget日本版より転載)

関連記事
iPhone用通話録音アプリのバグで数千件の通話記録が流出
全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出
カリフォルニア州車両管理局がデータ流出を警告、請負業者がランサムウェアに襲われる
クラウド型ビル運用ツールキット開発のVerkadaが新型コロナ対策で環境センサーを追加

カテゴリー:セキュリティ
タグ:データ漏洩(用語)Verkada

iPhone用通話録音アプリのバグで数千件の通話記録が流出

人気のiPhone通話録音アプリのセキュリティ脆弱性により、何千人ものユーザーの会話の録音が流出した。

この脆弱性は、セキュリティ研究者でPingSafe AIの創設者であるAnand Prakash(アナンド・プラカシュ)氏によって発見された。プラカシュ氏はCall Recorderという適当な名前のアプリで、電話番号を知っていれば誰でも他のユーザーの通話記録にアクセスできることを発見した。

Burp Suiteのような簡単に入手できるプロキシツールを使えば、アプリのネットワークトラフィックを見たり変更したりできるので、アプリに登録されている自分の電話番号を別のアプリユーザーの電話番号に置き換えて、自分のスマートフォンでその録音にアクセスすることができたとプラカシュ氏は報告している。

TechCrunchは専用アカウントの予備スマートフォンを使って、プラカシュ氏の発見を検証した。

Call Recorderはユーザーの通話録音をAmazon Web Services上のクラウドストレージのバケットに保存している。これは公開されており、内部のファイルが一覧表示されていたが、ファイルにアクセスしたりダウンロードしたりすることはできなかった。バケットは報道までに閉鎖されていた。

記事執筆時点では、クラウドストレージのバケットには13万件以上に相当する約300GBのオーディオ録音データが入っていた。Call Recorderによると、現在までに100万件以上のアプリのダウンロードがあるという。

TechCrunchはアプリ開発者に連絡を取り、脆弱性が修正されるまでこの記事の公開を保留した。アプリの新バージョンは米国時間3月5日にApp Storeに提出されている。リリースノートによると、アプリのアップデートは「セキュリティレポートの内容にパッチを当てる」ものだという。

セキュリティの問題を通知する米TechCrunchの最初のメールに簡単な回答があったにもかかわらず、アプリ開発者のArun Nair(アルン・ネア)氏は、いくつかのコメント要請に応じていない。

カテゴリー:ソフトウェア
タグ:データ漏洩iOSiPhoneCall Recorder

画像クレジット:Дмитрий Ларичев / Getty Images

原文へ

(文:Zack Whittaker、翻訳:塚本直樹 / Twitter

850万人の大規模検査後、インドの州政府サイトが新型コロナ検査結果を外部閲覧可能な状態に

インドの西ベンガル州政府が運営するウェブサイトのセキュリティ上の欠陥により、新型コロナウイルス感染症検査を受けた少なくとも数十万人の住民の検査結果が誤って公開された。影響を受けた人数はおそらく数百万人にのぼると思われる。

このサイトは、西ベンガル州政府の大規模新型コロナウイルス検査プログラムの一部として運営されていた。新型コロナウイルス感染症の検査結果が出ると、州政府は患者に検査結果が記載された同サイトへのリンクをテキストメッセージで送る。

しかし、セキュリティ研究者のSourajeet Majumder(ソウラジート・マジュムダー)氏は、患者の固有の検査ID番号を含むリンクが、オンラインツールを使って簡単に変換できるbase64エンコード方式でスクランブルされていることを発見した。ID番号は増加していく連続番号だったため、このウェブサイトのバグにより、誰でもブラウザのアドレスバーでその番号を変更して、他の患者の検査結果を閲覧できるようになっていた。

検査結果には患者の名前、性別、年齢、住所、そして患者の新型コロナ検査結果が陽性、陰性、または決定的ではなかったかどうかが含まれている。

マジュムダー氏はTechCrunchに、悪意のある攻撃者がサイトをスクレイピングしてデータを販売することを懸念していると語った。「誰かが私の個人情報にアクセスした場合、これはプライバシーの侵害になります」。

西ベンガル州政府のウェブサイトにセキュリティ上の脆弱性があったことにより、新型コロナ検査の結果が露出された2件の例(スクリーンショット:TechCrunch)

マジュムダー氏がインドのサイバーセキュリティ緊急対応チーム(Indian Computer Emergency Response Team、CERT-In)に脆弱性を報告したところ、CERTはメールで問題を認めたという。同氏は西ベンガル州政府のウェブサイト管理者にも連絡したが、返答は得られなかった。TechCrunchは独自に脆弱性を確認し、ウェブサイトをオフラインにした西ベンガル政府にも連絡を試みたが、同州政府はコメントを差し控えた。

TechCrunchは脆弱性が修正されるか、リスクがなくなるまで報道を控えた。この記事の公開時点では、影響を受けたウェブサイトはオフライン状態が続いている。

このセキュリティ過失により、いったい何人の新型コロナ検査結果が公開されたのか、またマジュムダー氏以外の人物が脆弱性を発見したのかは不明だ。2021年2月末にウェブサイトがオフラインになった時点で、州政府は850万人以上の住民を対象に検査を実施していた。

西ベンガル州はインドで最も人口の多い州の1つで、約9000万人が同州に住んでいる。パンデミックが始まって以来、州政府は1万人以上の新型コロナウイルスによる死者を記録している。

今回のニュースは、ここ数カ月の間にインドと同国政府のパンデミック対策を襲ったいくつかのセキュリティ事件の最新のものだ。

2020年5月、インド最大の携帯電話ネットワークであるJioは、数カ月前に同社が立ち上げた新型コロナウイルス症状チェッカーを含むデータベースをセキュリティ研究者が発見したことを受け、セキュリティ過失を認めた

関連記事:Facebookも巨額出資するJio、新型コロナ症状チェッカーの結果を漏洩

2020年10月には、臨床検査会社のDr Lal PathLabsが、新型コロナウイルス検査を含む数百万件の患者の予約記録を含む数百枚のスプレッドシートを、パスワードで保護されていない公開ストレージサーバーに放置していたことをセキュリティ研究者が発見し、誰でも機密性の高い患者データにアクセスできるようになっていたことが判明した。

カテゴリー:セキュリティ
タグ:インドデータ漏洩コラム

画像クレジット:Diptendu Dutta / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

全世界9割の航空会社が使う旅客システム企業SITAがサイバー攻撃を受けて乗客データ流出

世界的な航空輸送データ企業であるSITA(Société International de Télécommunications Aéronautiques)は、乗客データを含むデータ漏洩が起こったことを認めた。

同社は中央ヨーロッパ時間3月4日、短い声明でSITAが「サイバー攻撃の犠牲者」となり、米国にある同社のサーバーに保存されていた一部の乗客データが流出したと発表した。2月24日にサイバー攻撃が確認された後、同社は影響を受けた航空会社に速やかに連絡したという。

SITAは世界最大級の航空IT企業で、世界の航空会社の約90%にサービスを提供していると言われており、それらの航空会社は同社の旅客サービスシステム「Horizon」を利用して予約、発券、航空機の出発を管理している。

しかし、どのようなデータがアクセスされたりもしくは盗まれたのか、正確には明らかにされていない。

TechCrunchの取材に対し、SITAの広報担当者であるEdna Aime-Yahil(エドナ・エイメ・ヤヒル)氏は、調査が現在進行中であることを理由に、具体的にどのようなデータが流出したかについての発言を控えた。同社は、このインシデントは「米国だけでなく、世界中のさまざまな航空会社に影響を与える」と述べている。

SITAはマレーシア航空、フィンエアー、シンガポール航空、および韓国のチェジュ航空など、すでにデータ漏洩についての声明を出しているいくつかの航空会社に通知したことを確認したが、影響を受けた他の航空会社の名前を挙げることは辞退した。

TechCrunchが入手した、シンガポール航空が影響を受けた顧客に向け送ったメールでは、同社はSITAの運営するHorizon旅客サービスシステムの顧客ではないが、約50万人のマイレージサービス会員に関して、会員番号とステータス情報が不正アクセスを受けたと述べている。同エアラインは、この種のデータの伝達は「会員のティアステータスの確認を可能にし、旅行中にメンバー航空会社の顧客に関連する特典を提供するために必要である」としている。

シンガポール航空は乗客の旅程、予約、発券およびパスポートデータは影響を受けなかったと述べた。

SITAはSabre(セーバー)やAmadeus(アマデウス)と並び、航空市場で乗客の発券および予約システムを航空会社に提供するひと握りの会社の1つだ。

Sabreは2017年半ばに、ハッカーが100万枚以上の顧客クレジットカードをスクレイピングした後、同社のホテル予約システムに影響を与える大規模なデータ流出を報告した。米国を拠点とする同社は漏洩を受けて2020年12月に240万ドル(約2億6000万円)の和解金と、サイバーセキュリティポリシーを変更することに合意した。

2019年には、エールフランスやブリティッシュ・エアウェイズ、カンタスなどが利用しているAmadeusの旅客予約システムに脆弱性があることがセキュリティ研究者によって発見され、旅行者の記録に簡単にアクセスしたり、改ざんすることが可能になっていたと判明した。

関連記事:データ漏洩通知は行間を読め、本当の意味を解読する方法

カテゴリー:セキュリティ
タグ:SITAデータ漏洩

画像クレジット:Matthew Lloyd / Bloomberg / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

2週間で3回目、旅行者50万人の個人情報が露出しジャマイカの新型コロナ対策アプリ・サイトがオフラインに

ジャマイカ政府の新型コロナウイルス水際対策、JamCOVIDアプリおよびウェブサイトは米国時間2月25日遅く、3度目のセキュリティ過失を受けてオフラインとなった。今回のデータ漏洩により、50万人以上の旅行者の検疫命令が第三者により閲覧できる状態になっていた。

JamCOVIDは、島に到着した旅行者の入国手続きを同国政府が行う際支援するために2020年立ち上げられた。検疫命令はジャマイカ保健省によって発令され、新型コロナウイルスの拡散を防ぐために旅行者に2週間宿泊先に滞在するよう指示するものだ。

これらの命令には、旅行者の名前と滞在先の住所が記載されている。

あるセキュリティ研究者がTechCrunchに語ったところによると、検疫命令はJamCOVIDのウェブサイトから公開されているが、パスワードで保護されていなかったという。ファイルは誰でもウェブブラウザからアクセスできるが、同研究者はジャマイカ政府からの法的な影響を恐れて、匿名を要求した。

50万件以上の検疫命令が露出し、その中には2020年3月までさかのぼる情報もあった。

TechCrunchはこれらの詳細を地元新聞のJamaica Gleanerと共有した。同紙は、現地のサイバーセキュリティ専門家とデータ流出を確認した後、セキュリティ事故を最初に報じていた

JamCOVIDの新型コロナウイルスダッシュボードおよび入国管理サービスの構築と維持を請け負っていたAmber Groupは、TechCrunchとJamaica Gleanerが25日夜に同社に連絡した後、しばらくしてサービスをオフラインにした。JamCOVIDのウェブサイトは「メンテナンス中」という告知ページに変更された。この記事の公開時点では、サイトは戻っていた。

Amber GroupのCEOであるDushyant Savadia(ドゥシャント・サヴァディア)氏にコメントを求めたが、返答は得られなかった。

ジャマイカ国家安全保障省のMatthew Samuda(マシュー・サムダ)無任所大臣も同様に、同国政府がAmber Groupとの契約や関係を継続する予定があるかどうかを含め、取材や質問に応じなかった。

JamCOVIDが関与したセキュリティ過失は、ここ2週間で3つ目になる。

先週Amber Groupは、7万件以上の陰性の新型コロナウイルス検査結果と、島への渡航を許可する42万5000件以上の入国記録が含まれているにもかかわらず、無防備に公開されたままになっていたAmazon Web Services(AWS)上でホストされているクラウドストレージサーバーの設定を変更した。サヴァディア氏はこれを受けて、同アプリに「これ以上の脆弱性はない」と述べていた。そのわずか数日後、同社はサービスの秘密鍵とパスワードを含むファイルをJamCOVIDサーバーに残したことが判明し、2回目のセキュリティ過失を修正した。

関連記事:ジャマイカ政府の新型コロナアプリ請負業者Amber Groupが今月2度目のセキュリティ事故

ジャマイカ政府は繰り返しAmber Groupを擁護してきたが、Amber GroupはJamCOVIDの技術を政府に「無償で」提供したと述べている。Amber Groupのサヴァディア氏は以前、同社が「3日で」サービスを構築したと語っていたと報じられている。

ジャマイカのAndrew Holness(アンドリュー・ホルネス)首相は25日の声明の中で、JamCOVIDは国の入国プロセスの「重要な要素であり続ける」と述べ、詳細は明かされなかったが、政府はJamCOVIDデータベースの移行を「加速させている」と語った。

カテゴリー:セキュリティ
タグ:データ漏洩ジャマイカ

画像クレジット:TechCrunch / composite

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)