DeFi史上最大のハッキング、Axie InfinityのRoninネットワークから約765億円相当のイーサとUSCコイン流出

2021年、a16zから30億ドル(約3688億円)の評価額で資金を調達したブロックチェーンゲーム大手のAxie Infinity(アクシー・インフィニティ)は、壊滅的な1週間を過ごしていた。米国時間3月29日朝までまで、同社がそのことを知らなかっただけで。

人気のPlay to Earn(P2E、プレイトゥアーン=プレイして稼ぐ)タイトルの、イーサリアムのサイドチェーンであるRonin(ロニン、RON)が悪用され、17万3600イーサ、つまり約5億9700万ドル(約733億6000万円)相当と、2550万ドル(約31億3400円)相当のステーブルコインのUSCコイン(USDC)が盗まれたと同社は発表した。奇妙なことに、このエクスプロイトは6日前の米国時間3月23日に発生したが、3月29日まで発見されなかったとRoninのデベロッパーは公式ブログへの投稿で共有した。

今回のハッキングは現在の価値で合計約6億2250万ドル(約765億円)に上り、DeFi詐欺、ハッキング、エクスプロイトを追跡するDeFiYield REKTデータベースによると、史上最大の分散型金融ハッキングとなる。2021年8月にPoly Networkがハッキングされ、当時、暗号資産史上最大だったエクスプロイトで6億200万ドル(約740億円)が流出したが、今回のエクスプロイトはそれを上回った。

Roninは、特にAxie Infinityをサポートするサイドチェーンとして作られた。Axie Infinityは最も有名なイーサリアム対応P2Eの1つで、2021年に急成長を遂げた。当初は2021年末までに25万ユーザーという「アグレッシブな目標」を想定していたが、その目標を1000%上回り、約290万ユーザーのコミュニティが形成された。

Etherscanのオンチェーンデータによると、今回のハッキングは、イーサのトランザクションUSDCトランザクションの2回にわたって発生したという。攻撃者はハッキングした秘密鍵を使って、不正な引き出しを行ったと同社は書いている。「今朝、ブリッジから5k ETHを引き出せなくなったというユーザーからの報告を受けて、この攻撃を発見しました」とのこと。

同社チームは「犯罪者を裁きにかけるために、さまざまな政府機関と連携しています」と述べている。

Ronin上のイーサとUSDCの預金はブリッジコントラクトから流出したが、同ネットワークはAxie Infinityとその親会社Sky Mavisの関係者と協力して、ユーザーの資金が永久に失われないように最善の方法を決定するため働いていると述べた。「Ronin上にあるAXS、RON、SLP(トークン)は今、すべて安全です」とも。

TechCrunchはSky Mavisに追加コメントを求めたが、同社から回答は得られなかった。

画像クレジット:Yield Guild Games

原文へ

(文:Jacquelyn Melinek、翻訳:Den Nakano)

ハッカーLapsus$はOkta侵入前にSitelのパスワード一覧にアクセスしていた

TechCrunchが確認したまだ報じられていないコンピューター侵入の新たな詳細をつづっている文書によると、Lapsus$のハッカーは2022年1月に顧客サービス大手Sitel(サイテル)のネットワークに侵入し、その数日後に認証大手Okta(オクタ)の内部システムにアクセスするのに漏洩した認証情報を使用した。

ハッカー集団Lapsus$が約2カ月前にOktaの内部アプリとシステムにアクセスしていたことを明らかにするスクリーンショットを公開し、顧客は3月22日にOktaの1月のセキュリティ侵害を知った。Oktaはブログ投稿で侵害を認め、その後、同社の法人顧客のうち366社、つまり顧客ベースの約2.5%が侵害の影響を受けていることを認めた。

今回の文書は、Sitelの侵害に関するこれまでで最も詳細な説明で、これによりハッカーは後にOktaのネットワークにアクセスすることができた。

Oktaは、シングルサインオンプロバイダーとして、世界中の数千の組織や政府機関に利用されており、従業員はメールアカウントやアプリケーション、データベースなど、企業の内部システムに安全にアクセスできるようになっている。

独立系セキュリティ研究者のBill Demirkapi(ビル・デマーカピ)氏が入手し、TechCrunchと共有した文書には、ハッカーが最初にSitelのネットワークに侵入してから1週間以上経った1月25日に送られたSitelの顧客とのやり取りや、インシデント対応企業Mandiant(マンディアント)がまとめた3月17日付のSitel侵入に関する詳しいタイムライン(Oktaと共有されたもの)などが含まれている。

文書によると、Sitelは2021年に買収したOktaの顧客サービス会社Sykesが所有する古いネットワーク上のVPNゲートウェイでセキュリティインシデントを発見したという。VPN(仮想プライベートネットワーク)は、企業のネットワークにリモートアクセスするために悪用される可能性があるため、しばしば攻撃者のターゲットとなる。

タイムラインには、攻撃者がリモートアクセスサービスと一般公開されているハッキングツールを使用してSitelのネットワークを侵害して入り込み、Lapsus$がアクセスできた5日間にネットワークへの可視性を深めていった様子が詳細に記されている。Sitelは、自社のAzureクラウドインフラも侵害されたと述べた。

タイムラインによると、ハッカーは1月21日未明にSitelの内部ネットワーク上の「DomAdmins-LastPass.xlsx」と呼ばれるスプレッドシートにアクセスした。このファイル名からして、スプレッドシートにはSitel従業員のLastPassパスワードマネージャーからエクスポートされたドメイン管理者アカウントのパスワードが含まれていることがうかがえる。

約5時間後、ハッカーは新しいSykesユーザーアカウントを作成し、組織への幅広いアクセスを持つ「テナント管理者」と呼ばれるユーザーグループにそのアカウントを追加し、後に発見されてロックアウトされた場合にハッカーが使用できるSitelのネットワークへの「バックドア」アカウントを作成したと思われる。Oktaのタイムラインによると、Lapsus$のハッカーはほぼ同時期にOktaのネットワークに侵入していたようだ。

タイムラインでは、ハッカーが最後にSitelのネットワークにアクセスしたのは1月21日午後2時(協定世界時)で、パスワードのスプレッドシートにアクセスしてから約14時間後だった。Sitelは攻撃者を締め出そうと、全社的にパスワードのリセットを行った。

Oktaは3月17日付のMandiantの報告書を受け取った後、Sitelの侵害についてもっと早く顧客に警告しなかったことで批判にさらされている。同社の最高セキュリティ責任者David Bradbury(デイビッド・ブラッドベリー)氏は、同社が「その意味を理解するためにもっと迅速に行動すべきだった」と述べた。

本稿掲載前に連絡を取った際、Oktaはコメントできなかった。SitelとMandiantは記事の内容に異論はなかったが、コメントを控えた。

Oktaはここ数カ月でLapsus$ハッキング・恐喝グループに狙われたいくつかの有名企業の1社にすぎない。Lapsus$グループは、12月にブラジルの保健省を標的にしたサイバー攻撃で同国民のワクチン接種情報など50テラバイト分のデータを盗み出し、ハッキングシーンに初めて登場した。それ以来、このグループはポルトガル語圏の企業数社Samsung(サムスン)、NVIDIA(エヌビディア)、Microsoft(マイクロソフト)、Oktaなどのテック大手を標的とし、Telegramチャンネルの数万人の購読者にアクセスや盗んだデータを売り込み、一方で被害者の盗んだファイルを公開しない代わりにしばしば変わった要求を突きつけてきた。

英国の警察は先週、事件に関連する7人を逮捕したと発表したが、いずれも16歳から21歳の若者だった。

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

サウジの石油化学工場と米の原発をハックしたロシア人スパイを起訴

合衆国司法省は4人のロシア政府被雇用者を、米国の原子力発電所やサウジの石油化学工場など、重要なインフラストラクチャを狙った数年間に及ぶハッキング作戦で起訴したことを発表した

最初の2021年6月の起訴は、ロシア国防省のプログラマーEvgeny Viktorovich Gladkikh氏(36)と二人の共犯者を、全世界のエネルギー施設の、工場の正常な稼働に欠かせない制御システムのハッキングを計画した、と告発している。Gladkikh氏は悪名高いTritonマルウェアの作者と疑われており、それは2017年のサウジアラビアの石油化学工場に対する攻撃で使われた。ハッカーたちはそのマルウェアを使って、工場の安全システムを不能にしようとした。それは、液漏れや爆発などの危険な状況を防ぐためのシステムだ。Tritonとロシアが初めて結び付けられたのは2018年の10月だ。

司法省によると、サウジの工場を爆破する計画に失敗したハッカーたちは、合衆国の同様に重要なインフラストラクチャを管理している企業のコンピューターをハックしようとした。

2021年8月付の第二の起訴は、Pavel Aleksandrovich Akulov氏とMikhail Mikhailovich Gavrilov氏、およびMarat Valeryevich Tyukov氏を訴えている。全員がロシアの連邦セキュリティビューローFSBの71330部隊のメンバーで、2012年から2017年にかけてエネルギー部門を狙った攻撃を数多く仕掛けている。このハッカーたちはセキュリティ研究者の間では「DragonFly」、「Energetic Bear」、「Crouching Yeti」などの名前で知られ、石油やガス、原子力発電、公益事業、送電企業など、国際的なエネルギーセクターに属する企業のコンピューターネットワークへのアクセスを試みた。

彼らの攻撃の最初のステージは2012年から2014年にかけて行われ、工場用の制御装置のメーカーやソフトウェア提供企業のネットワークを侵犯し、それからHavexマルウェアをソフトウェアアップデートの中に忍ばせた。これと、スピアフィッシングと水飲み場型攻撃を組み合わせた犯行により、ターゲットがよく訪れるWebサイトに感染し、マルウェアをインストールさせる。これまで、合衆国と海外を合わせて17000台以上のユニークなデバイスに感染した、とされている。

二度目の、「DragonFly 2.0」と呼ばれる段階は2014年から2017年にかけて行われ、合衆国およびグローバルの500社あまりの企業の3300名以上のユーザーが狙われた。その中には合衆国政府の原子力規制委員会(Nuclear Regulatory Commission)やWolf Creek原子力発電所も含まれている。

合衆国の副司法長官、Lisa Monaco氏は声明でこう述べている。「ロシアの国が支えているハッカーは合衆国と全世界両方の重要なインフラストラクチャにとって深刻で恒常的な脅威だ。本日の刑事訴追は過去の活動を反映するものであるが、それによって明らかになったのは、米国の企業が防御を強化して警戒を怠らないことの、喫緊かつ継続的な必要性だ」。

Mandiant(マンディアント)の諜報分析担当副社長John Hultquist氏によると、今回の起訴で垣間見えるようになったのは、ロシアの国が支えるハッキング行為における、FSBの役割だ。起訴はまた、こういう破壊的なサイバー攻撃を実行するロシアの侵入グループへの「警報射撃」でもある。「犯行は個人によるものなので、起訴は、これらのプログラムで仕事をしている者全員に、当分ロシアを出るなと告げている」、とHultquist氏は言っている。

しかしHultquist氏は、ハッカーたちはこれらのネットワークへのアクセスを維持するだろう、と警告する。「重要なのは、私たちが、破壊攻撃の現場を目撃していないことだ。将来の不測の事態に備えて、重要な機密情報をほじくり返しているだけだ。最近の事件に関する私たちの懸念は、それがまさに、私たちがずっと待っていた不測の事態かも知れないことだ」。

Dragosの上級索敵員Casey Brooks氏はTritonマルウェアの背後にいるグループを「Xenotime」と呼び、本誌の取材に対して「起訴がハッカーたちを思いとどまらせることはない」、と言っている。

「これらの犯行グループはリソースにも恵まれ、継続的で複雑な仕事を実行できる。今回の起訴でこれらのグループの一部の、侵入行為の詳細は分かるが、彼らの広がりはもっと大きい。たとえば、Xenotimeにとってこれは、彼らの活動全体のごく一部でしかないことを、私たちは知っている。重要なのは、これらのグループが今なお健在であり、訴状はこれら敵対集団の未来の犯行を抑止するために、ほとんど役に立たないと理解することだ」。

訴状が公表されたのはジョー・バイデン大統領が、ロシアのウクライナ侵攻に対して西側が制裁を科したため、対抗して合衆国企業に対するロシアのサイバー攻撃の可能性が増えていることを、警告してから三日後のことだ。また数日前に司法省は、ロシアの軍事諜報サービスGRUで仕事をしていた6名のハッカーを訴追した。そのハッカーグループはSandwormと呼ばれ、5年間の活発な犯行を告発された。それらの中には、2017年に世界中の数百の企業と病院を狙った破壊的なNotPetyaサイバー攻撃や、ウクライナの送電網を破壊したサイバー攻撃がある。

(文:Carly Page、翻訳:Hiroshi Iwatani)
画像クレジット: David McNew/Getty Images

[原文へ]

英国警察が「Lapsus$」のハッキングに関連して16歳から21歳までの容疑者7名を逮捕

英国警察は、Samsung(サムスン)、NVIDIA(エヌビディア)、Microsoft(マイクロソフト)、Okta(オクタ)などのテック大手各社をここ数週間で標的にしたハッカー集団「Lapsus$」との関連が疑われる7名の容疑者を逮捕した。

TechCrunchに寄せられた声明の中で、ロンドン市警のMichael O’Sullivan(マイケル・オサリバン)警部は次のように述べた。「ロンドン市警は、ハッカー集団のメンバーについて、パートナー組織と連携して捜査を進めてきました。この捜査に関連して、16歳から21歳までの7人が逮捕され、全員捜査中は釈放されました。我々の捜査はまだ続いています」。

今回の逮捕のニュースは、Bloombergの報道で、英国のオックスフォードを拠点とする10代の若者が、最近立て続けにハッキングを仕かけたハッカー集団「Lapsus$」の首謀者である疑いがあることが明らかになった数時間後に発表された。このグループの最近のハッキングを調査している4人の研究者が「White」または「Breachbase」というオンライン名を使っている16歳の若者がLapsus$の中心人物であると思うと述べ、Bloombergは、彼の個人情報がライバルハッカーによってオンラインで流出した後に、ハッカー容疑者を突きとめることができた。

セキュリティレポーターのBrian Krebs(ブライアン・クレブス)氏によると、この10代の容疑者は2021年、他人の個人情報を共有したり探したりできるサイト「Doxbin」を購入したが、2022年1月にサイトの管理を放棄し、DoxbinのデータセットをすべてTelegram(テレグラム)に流出させたという。Doxbinコミュニティは、自宅の住所、ソーシャルメディアの写真、両親の詳細など、彼の個人情報を公開することで報復を行った。

TechCrunchは、このハッカー容疑者の流出した個人情報のコピーを確認したが、それは公開しない。だが、Bloombergの報道と一致するとだけ報じておく。

通常は金融犯罪を主に扱うロンドン市警は、逮捕者の中にこの16歳の若者が含まれているかどうかは明言しなかった。

クレブス氏によると、Lapsus$の少なくとも1人のメンバーは、最近Electronic Arts(EA、エレクトロニック・アーツ)で起きたデータ流出事件にも関与していたようで、もう1人はブラジル在住の10代の若者と疑われている。後者はハッキング能力が非常に高く、研究者は最初、目撃している活動は自動化されたものだと考えたという。

研究者がLapsus$のメンバーと思われる容疑者たちを追跡できたのは、このグループがTelegramチャンネルに4万5000人以上の登録者を持ち、頻繁にインサイダーを勧誘して被害者のデータをリークしていたため、よく痕跡を隠せていなかったからかもしれない。Microsoftは3月22日のブログ記事で、このグループは標的の組織に最初にアクセスするために大胆な戦術を使っており、これには公然と会社のインサイダーを勧誘することも含まれていると述べていた。今週Bloombergが報じたように、このグループは、侵入した企業のZoom(ズーム)通話に参加し、ハッキングを一掃しようとする従業員を愚弄することまでしていた。

ハッキンググループLapsus$が最初に明るみに出たのは2021年12月で、同グループは主に英国と南アフリカの組織を標的にしていた。今週初め、最新の被害者はOtkaであることが確認され、Otkaは米国時間3月23日に、約366社の法人顧客が侵害の影響を受けたことを認めた。

画像クレジット:Richard Baker / Getty Images

原文へ

(文:Carly Page、翻訳:Den Nakano)

マイクロソフトにハッカーが不正侵入、BingとCortanaのソースコードを公開

Microsoft(マイクロソフト)は、ハッキンググループLapsus$による不正侵入を明らかにした。

Lapsus$がBing、Bing Maps、Cortanaのソースコードの一部を含むtorrent(トレント)ファイルを投稿した数時間後、Microsoftは米国時間3月22日のブログ投稿で、従業員1人のアカウントがハッキンググループによって侵害され、攻撃者がMicrosoftのシステムに「限定アクセス」して同社のソースコードを盗んだことを発表した。

Microsoftによると、顧客のコードやデータは漏洩していない。

「当社のサイバーセキュリティ対応チームは、侵害されたアカウントを修復し、さらなる不正活動を防止するために迅速に取り組みました」と同社は述べた。「Microsoftはセキュリティ対策としてコードの機密性に依存しておらず、ソースコードの閲覧がリスク上昇につながることはありません。この不正行為者が侵入を公表したとき、当社のチームはすでに脅威情報に基づき、侵入されたアカウントを調査していました。今回の公開により当社の行動はエスカレートし、当社のチームは介入して操作の途中で中断させることができ、より大きな影響を抑えることができました」。

Microsoftは、アカウントがどのように侵害されたのか詳細を共有していないが、同社の脅威インテリジェンスセンター(MSTIC)が複数回の攻撃で確認したLapsus$グループの戦術、テクニック、手順についての概要を提供した。当初、Lapsus$の攻撃は南米と英国の組織を標的としていたが、その後世界の政府機関やテクノロジー、通信、メディア、小売、ヘルスケア分野の企業へとターゲットを拡大した。

Microsoftによると、同社がDEV-0537として追跡しているLapsus$は「純粋な強奪と破壊のモデル」で活動し、他のハッキンググループとは異なり「痕跡を隠さない」という。これは、このグループが標的型攻撃を実行するために、企業の内部関係者を公募しているためのようだ。Lapsus$は組織への最初のアクセスを得るために多くの方法を使用し、通常ユーザーのIDとアカウントを侵害することに重点を置いている。標的とする組織の従業員をリクルートするだけでなく、ダークウェブフォーラムから認証情報を購入したり、公開されている認証情報のリポジトリを検索したり、パスワードを盗み出すRedlineを展開するなどの方法を取っている。

Lapsus$はそうして漏洩した認証情報を使用して、仮想プライベートネットワーク、リモートデスクトップインフラ、Okta(オクタ)のようなID管理サービスなど、標的企業のインターネットに面したデバイスやシステムへアクセスする。このハッキンググループは1月にOktaへの侵入に成功している。Microsoftによると、Lapsus$は少なくとも1件の侵害において、組織へのログインに必要な多要素認証(MFA)コードにアクセスしようと、従業員の電話番号とテキストメッセージを制御するためにSIMスワップ攻撃を行った。

ネットワークにアクセスした後、Lapsus$はより高い権限や幅広いアクセス権を持つ従業員を見つけるために一般公開されているツールを使って組織のユーザーアカウントを探り、Jira、Slack、Microsoft Teamsなどの開発・コラボレーションプラットフォームを標的にし、さらに認証情報を盗み出す。また、ハッキンググループはMicrosoftへの攻撃と同様、GitLab、GitHub、Azure DevOpsのソースコードリポジトリへのアクセスを得るためにこれらの認証情報を使用する。

「DEV-0537が組織のヘルプデスクに電話をかけて、サポート担当者に特権アカウントの認証情報をリセットするよう説得しようとするケースもありました」とMicrosoftは付け加えた。「このグループは、事前に収集した情報(例えばプロフィール写真)を使用し、ネイティブの英語を話す人物にヘルプデスク担当者と会話させ、ソーシャルエンジニアリングの誘惑を強化しました」。

Lapsus$一味は、既知の仮想プライベートサーバ(VPS)プロバイダに専用インフラを設置し、消費者向け仮想プライベートネットワークサービスNordVPNを活用してデータを流出させる。ネットワーク検出ツールの起動を避けるために、ターゲットに地理的に近いローカルのVPNサーバーを使用することさえある。盗まれたデータは、将来の恐喝に使用されるか、一般公開される。

ハッキンググループLapsus$は、NVIDIA(エヌビディア)やSamsung(サムスン)を含む多くの有名企業を危険にさらし、ここ数週間でその名を知られるようになった。今週初めにはOktaの内部システムのスクリーンショットが投稿され、Oktaが最新の被害者であることが明らかになった。OktaはLapsus$がサードパーティのカスタマーサポートエンジニアを危険にさらしての情報漏洩であることを認め、1万5000の顧客の約2.5%に影響を与えたと説明した。

1月の5日間の間に発生したこの侵害について、Oktaが顧客に今まで通知しなかった理由は今のところ不明だ。

画像クレジット:Jaap Arriens / NurPhoto / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

HackerOneがウクライナのハッカーへのバグ報奨金支払いを停止

ウクライナのハッカーやセキュリティ研究者によると、バグ報奨金制度プラットフォームのHackerOne(ハッカーワン)は、場合によっては数千ドル(数十万円)にもなるバグ発見・報告の報酬金を保留し、ハッカーが報酬を引き出せないようにしているという。

HackerOneのアカウントを持つ複数のハッカーや研究者は、2022年2月末のロシアのウクライナ侵攻にともなう経済制裁と輸出規制を理由に、HackerOneが支払いをブロックしているが、自分たちには制裁は適用されないとツイートしている。

HackerOneのサポート担当者がセキュリティ研究者のVladimir Metnew(ウラジミール・メットニュー)氏に送ったメールには「ウクライナ、ロシア、ベラルーシにお住まいの場合、すべての通信と取引(スワッグの発送を含む)は当分の間、一時停止されます」とあり、メットニュー氏はその文面をツイートしている。ウクライナ人だが現在は欧州連合内にいるメットニュー氏はアカウントが凍結されているとTechCrunchに語った。「ウクライナから登録した人全員への支払いをブロックしたのだと思います」と同氏は話した。

バグ報奨金プログラムを展開するHackerOneは、セキュリティバグを発見・報告するハッカーやセキュリティ研究者と、製品やサービスの修正を依頼する企業の仲介を行っている。2020年にHackerOneは1億700万ドル(約126億円)超のバグ発見報酬金を研究者に支払い、彼らの多くはその収益を収入源としている。

ウクライナに残っている他のハッカーや研究者からも「口座が凍結された」「資金を引き出せない」といった同様の状況が報告されている。発見したバグTechCrunch定期的に報じられているウクライナのセキュリティ研究者Bob Diachenko(ボブ・ディアチェンコ)氏は、2月以降の収益3000ドル(約35万円)が現在保留されているとツイートで述べた。

HackerOneからの明白な公式連絡がなく、ウクライナ人全員への支払いを止める動きは怒りと混乱をもって受け止められている。HackerOneがどのような制裁や輸出規制を指しているのかは不明だ。米国、欧州連合、その他いくつかの同盟国は、ロシアとベラルーシに対して厳しい経済制裁を科し、現在分離主義のグループが保持しているウクライナ東部のドンバス地方や、2014年にロシアに併合されたクリミアに対する禁輸措置も行っている。しかし、ウクライナはそうした制裁の対象ではない。

影響を受けているハンドルネームkazan71pのあるウクライナ人ハッカーは「クリミアやドンバス出身ではない【略】あなたはすべてのウクライナ人のアカウントを停止し、国全体を制裁下に置いただけだ」とHackerOneに言及したツイートで述べた。

HackerOneは、ウクライナのハッカーや研究者への支払いをブロックした理由や、適用されると考えている特定の制裁を引用していない。TechCrunchが本稿公開の数時間前にHackerOneに連絡を取ったところ、同社の広報担当者はすぐにコメントしたり質問に答えたりすることはできなかった。詳細が分かり次第、更新する。

アカウント凍結は、HackerOneのCEOであるMarten Mickos(マーチン・ミコス)氏が、制裁対象国、特にロシアやベラルーシに住むハッカーの収益を慈善事業に「再ルート」すると述べたた頃に実施されたようだ。同氏はツイートのスレッドでそのように発言し、そのスレッドはすでに削除されている。

xnwupというハンドルネームのあるハッカーは、HackerOneが2万5000ドル(約295万円)の収益を「私がベラルーシ市民だから」奪っていると述べた。ウクライナへの支持を表明しながらも、ベラルーシ政権に反対する発言で安全が脅かされることを恐れたこのハッカーは、自分たちの収益は「長年の努力の結果」だと語った。

ミコス氏は新しいツイートスレッドで資金のルート変更についてのコメントを撤回し、今度はハッカーの許可を得た場合にのみハッカーの報酬を寄付することを申し出た。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

ポーランドで逮捕されたランサムウェア犯罪グループ「REvil」のメンバー1人が米国に引き渡される

ランサムウェアグループ「REvil(レヴィル)」の主要メンバーの1人とされる人物が逮捕され、米国で裁きを受けるためにテキサス州に引き渡された。この人物は、IT管理ソフトウェアを提供するKaseya(カセヤ)にサイバー攻撃を仕かけ、同社の数千もの顧客のネットワークを暗号化した犯罪の実行犯である疑いがあると、連邦当局は述べている。

この22歳のウクライナ人、Yaroslav Vasinskyi(ヤロスラフ・ヴァシンスキー)容疑者は、現地時間10月8日にポーランドで逮捕された。8月に提出された起訴状によると、同容疑者はコンピュータハッキングと詐欺の疑いで告発されており、今週ダラスの連邦裁判所に喚問され引き渡されるまで拘束されていた。

一時期、別名Sodinokibi(ソディノキビ)とも呼ばれるサイバーギャング組織のREvilは、最も活発で多くの犯罪を行っているランサムウェアグループの1つだった。同グループは、しばしば被害者のコンピューターを暗号化し、高額な身代金を要求することがある。このロシア語を話すランサムウェア・アズ・ア・サービスの手口は、身代金として企業の利益の一部を受け取る代わりに、暗号化を解除するためのインフラへのアクセスを貸し出すというものだ。

このグループは出現以来、食肉加工工場のJBSに攻撃を仕掛けて食糧生産に遅れを生じさせたり、パソコンメーカーのAcer(エイサー)やエネルギー大手のInvenergy(インベナジー)などの企業のデータベースに侵入して個人情報を流出させた。

しかし、最も注目を集めたのは、ITおよびネットワーク管理ソフトウェア会社のKaseyaに対する攻撃だ。REvilのランサムウェアは、同社のソフトウェアを使用する顧客のネットワークで下流に向けて拡散し、数千の企業が影響を受けたとされる。そこで米国政府は、このハッカーを裁くための情報を求めて、1000万ドル(約11億7000万円)の懸賞金を打ち出すことになった。

Kaseyaの攻撃から数週間後、同社は世界共通の復号キーを入手し、顧客が数百万ドル(数億円)相当の身代金を支払わずともシステムのロックを解除できるようにした。The Washington Post(ワシントン・ポスト紙)によると、FBIは密かにキーを入手し、Kaseyaの攻撃で非難された後、しばらくしてインターネットから姿を消したハッカーの取り押さえを計画していたが、それは実現しなかったという。

10月までに米国政府は、この犯罪グループをオフラインに追い込む多国籍の取り組みを行っていたことを明らかにした。その後、ルーマニアとロシアの法執行機関がメンバーを逮捕し、グループはほぼ解体され、数百万ドルの現金と暗号資産が押収された。

「海外からKaseyaへのランサムウェア攻撃を行ったとみられる時からわずか8カ月後、この被告人は裁きを受けるためにダラスの法廷に到着しました」と、米国司法長官代理のLisa Monaco(リサ・モナコ)氏は声明で述べている。「私たちは攻撃されたら、国内外のパートナーと協力し、サイバー犯罪者がどこにいようと追い求めます」。

ヴァシンスキー容疑者は、Kaseyaの攻撃に関連して米国検察当局によって起訴されたREvilのメンバーとされる2人のうちの1人で、もう1人は28歳のロシア人、Yevgeniy Polyanin(エフゲニー・ポリアニン)である。

ヴァシンスキー容疑者は、有罪判決を受けた場合、100年以上の懲役刑が科せられる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

中国が支援するサイバー攻撃グループAPT41、「少なくとも」米国6州のネットワークに侵入

サイバーセキュリティ大手Mandiant(マンディアント)によると、金銭的動機に基づく活動と並行してスパイ活動を行うことで知られる、活発な中国のハッキンググループ「APT41」が、米国の複数の州政府のネットワークに侵入した。

このグループは、2020年にAPT41のメンバー5人が米国で起訴されたことにもめげず、少なくとも米国6州のネットワークを標的にして数カ月にわたる活動を行い、侵入に成功した。これらの州にはMandiantから通知が送られたが、州名は明かされなかった。

2021年5月から2022年2月にかけてこのハッキンググループは、脆弱なインターネット向けウェブアプリケーションを利用して、州ネットワークへの最初の足がかりを得た。これには、18の州が動物の健康管理に使用しているUSAHerdsというソフトウェアアプリケーションのゼロデイ脆弱性や、ユビキタスJavaロギングライブラリであるApache Log4jの、現在有名になっているいわゆるLog4Shellの脆弱性の悪用が含まれていた。

Mandiantによると、APT41は2021年12月にApache Foundationがこの脆弱性について公に警鐘を鳴らしてから数時間でLog4Shellを悪用し始め、2州の政府ネットワークや保険・通信業界の他のターゲットが侵害されるに至った。ネットワークへの足がかりを得たAPT41は「大規模」なクレデンシャル収集を行った。

今回の調査ではまた、APT41が使用するさまざまな新しい技術、回避方法、能力も明らかにされた。ある事例では、APT41が独自ウェブアプリケーションのSQLインジェクションの脆弱性を利用してネットワークにアクセスした後(この活動はMandiantによって阻止された)、2週間後に再び戻ってきて、まったく新しいゼロデイ・エクスプロイトでネットワークを再び侵害した。また、このグループは、マルウェアを被害者の環境に合わせ、特定のフォーラムの投稿で暗号化されたデータを頻繁に更新し、マルウェアが攻撃者のコマンド&コントロールサーバから指示を受けることができるようにしていた。

Mandiantは、ハッカーが個人を特定できる情報を流出させた証拠を確認したと述べたが、これは一般的にスパイ活動によくあることで、活動の目的は依然として不明だ。

Mandiantの主席脅威アナリストであるGeoff Ackerman(ジェフ・アッカーマン)氏は、ウクライナ侵攻を受けて世界がロシアのサイバー脅威の可能性に注目している一方で、今回の調査は、世界中の他の主要な脅威要因が通常通り活動を継続していることを思い出させるものだ、と述べた。

「特に、最も活発な脅威組織の1つであるAPT41の活動が今日まで続いているという我々の調査を踏まえると、他のサイバー活動を見過ごすことはできません」とアッカーマン氏は話した。「APT41はまさに持続的な脅威であり、直近の活動は、米国の州レベルのシステムがロシアだけでなく、中国などの国家支援ハッカーから容赦なく圧力を受けていることを改めて認識させるものです」。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ハッカー集団アノニマス、ロシア国営TVなどの配信チャンネル乗っ取りウクライナでの戦闘映像流す

ハッカー集団アノニマス、ロシア国営TVなどの配信チャンネル乗っ取りウクライナでの戦闘映像流す

ロシアがウクライナへの侵攻を開始した直後、AnonymousやCyber Partisanといった世界的ハッキンググループはロシアの銀行やニュースソース、ロシア軍が移動に利用したとされるベラルーシの鉄道網などにハッキング攻撃を仕掛けています。日本時間3月7日未明には、Anonymousがロシアの動画配信サービス「Wink」および「Ivi」さらにテレビ局の配信チャンネル 「Russia 24」 、「Channel One」、「Moscow 24」を乗っ取り、数十秒間ながらウクライナの現状の映像をロシア国民に向けて流しました。またロシアの通信衛星のハッキングも行い、フランス語圏に向けたRT(Russia Today)のチャンネルも映像を乗っ取られたとのこと。

ハッキング行為は直接的にはウクライナの危機を助けるものではありませんが、ハッキンググループはウクライナへの協力としてロシア政府の関係するサイバー部隊の動きを鈍らせることを意図してこうした攻撃をしていると主張しています。

ドイツ語圏のAnonymous分派グループは「DDoSだけでは体制を崩壊させることはできない」とブログに綴ったとIndependent紙は伝えていますが、それでも「民主主義に対してサイバー攻撃を仕掛けてきたプーチンはいま、しっぺ返しを食らっている」と述べていると伝えています。

なお、Anonymousは2月下旬以降、ロシア国防省やクレムリンなどを含む政府機関のウェブサイトを攻撃し、軍事的な通信内容の傍受などにも成功したと述べています。またテレビ放送の乗っ取りも2月末に一度行っており、やはりロシア以外の国における報道の様子をそのままロシア国民に向けて発信していました。

ただ、これで単純に「Anonymousすげー」と単純に称賛してしまってよいかといえば、そうではないでしょう。彼らは彼らにとっての正義に基づいて行動しているに過ぎません。過去には日本の財務省や最高裁判所といった官公庁のウェブサイトが、当時成立しようとしていた海賊版ダウンロード行為への罰則規定を含む改正著作権法に抗議するAnonymousに改ざんされたり閲覧不能にされる被害を受けています。

(Source:IndependentAnonyumousTV(Twitter)Engadget日本版より転載)

サムスン、ハッカーによる社内ソースコード流出を確認

Samsung(サムスン)は、ハッカーが生体認証のロック解除操作に関するさまざまな技術やアルゴリズムのソースコードを含む約200ギガバイトの機密データを入手し、流出させたことを確認した。

NVIDIA(エヌビディア)に侵入し、その後数千人の従業員の認証情報をオンラインで公開したのと同じハッキンググループ「Lapsus$」が、この情報漏洩に関わっている。Lapsus$は、Telegramチャンネルへの投稿で、Samsungの携帯電話が機密処理を行うために使用するTrustZone環境にインストールされた信頼できるアプレットのソースコード、すべての生体認証ロック解除操作のアルゴリズム、最近のSamsung Galaxyデバイスすべてのブートローダーのソースコードを入手したと主張している。

また、盗まれたデータには、米国で販売されるSamsungのスマートフォンにチップセットを供給している米国のチップメーカーQualcomm(クアルコム)の機密データも含まれているとされている。

ソースコードにアクセスすることでハッカーは、他の方法では容易に発見できないセキュリティ上の脆弱性を見つけることができ、影響を受けるデバイスやシステムが悪用やデータ流出のリスクにさらされる可能性がある。

SamsungとQualcommの広報担当者にコメントを求めたがすぐに返事はなかった。しかし、ブルームバーグと共有した声明の中で、Samsungは特定の社内データに関する「セキュリティ侵害」を確認したが、ハッカーによる顧客や従業員の個人データへのアクセスはないと述べた。

「当社の初期分析によると、情報漏えいはGalaxy端末の操作に関連する一部のソースコードに関係していますが、当社の消費者や従業員の個人情報は含まれていません」とSamsungの声明にはある。「現在のところ、当社の事業や顧客への影響はないと考えています。我々は、このようなインシデントを防止するための措置を実施しており、混乱することなく、顧客にサービスを提供し続けます」。

Lapsus$が、NVIDIAに向けて奇妙さを増している要求をしたのと同様に、データを流出させる前にSamsungに身代金を要求したかどうかはまだ明らかではない。このハッカー集団はNVIDIAに対し、物議を醸したLite Hash Rate (LHR)機能を無効にするよう求め、さらにはmacOS、Windows、Linux デバイス用のグラフィックチップドライバのオープンソースを要求した。

この要求の期限は3月4日だったが、ハッカー集団はまだその脅しを実行していない。

画像クレジット:David Paul Morris / Bloomberg

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

NVIDIA社員のパスワード数千件がネットに流出、ハッカー集団から奇妙な要求

半導体製造大手のNVIDIA(エヌビディア)から1テラバイト分のデータを奪ったと主張するランサムウェア集団は、一味のますます奇妙な要求に応じなければ、同社の「最も厳重に守られた秘密」をすぐにでも公開すると脅迫している。

NVIDIAからデータを盗んだことを、2月末に初めて表明したランサムウェア集団「Lapsus$」は、すでにデータの流出を始めている。データ漏洩監視サイト「Have I Been Pwned(ハブ・アイ・ビーン・ポウンド、HIBP)」によると、このハッカーたちは7万1000人以上のNVIDIA従業員の認証情報を盗んだとのこと。TechCrunchが確認したところでは、盗まれたNVIDIAのいくつかのメールアドレスは、すべて流出したようだ。HIBPによると、データにはメールアドレスとWindowsのパスワードハッシュが含まれており「その多くがクラックされ、ハッキングコミュニティ内に流通した」という。

NVIDIAは先日、攻撃を受けて従業員の認証情報が盗まれたことを認めたものの、影響を受けた人々に通知したかどうか、あるいは漏洩したアカウントのパスワードリセットを強制したかどうかについては、明言を避けた。この事件の影響が広がり、ハッカー集団の要求する期限が迫っているにもかかわらず、NVIDIAの事件対応ページは3月1日以降更新されていない

ハッカー集団は現在、NVIDIAがこのグループの奇妙な要求に応じない限り、回路図やソースコード、まだ発表されていない「RTX 3090 Ti」を含む最近のNVIDIAのグラフィックチップに関する情報など、同社の企業機密を公開すると脅している。

同グループはNVIDIAに対し、同社のRTX 30シリーズのグラフィックカード製品に搭載されている、物議を醸したEthereum(イーサリアム)採掘性能を制限する「Lite Hash Rate(LHR)」の削除を要求している。この性能制限は、暗号マイニングコミュニティの買い占めによって製品の在庫が枯渇し、ゲーマーが新しいグラフィックカードを入手できなくなったことを受けて、2021年5月に導入されたものだ。

「我々は、NVIDIAがすべての30シリーズのファームウェアに、すべてのLHR制限を削除するアップデートを配信することを望んでいる。さもなければ我々は(企業機密データが含まれる)フォルダをリークする」と、Lapsus$グループはTelegram(テレグラム)で述べている。「もし彼らがLHRを削除したら、我々はこのフォルダのことを忘れるだろう…。我々はどちらもLHRがマイニングとゲームに影響を与えることを知っている」。

先週初め、Lapsus$は別のおかしな要求を追加した。それは、NVIDIAに対して、macOS、Windows、Linux向けの、すべてのグラフィックチップのドライバをオープンソース化することを望むというものだ。同グループはNVIDIAに対し、3月4日までに応じるよう要求していた。

この日、TechCrunchはNVIDIAに、ハッカーの要求に応じる予定があるかと尋ねたが、同社はコメントを避けた。代わりに同社は、3月1日に発表したとものと同じ声明を我々に提示した。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

NVIDIAを攻撃のハッキンググループLapsus$、「イーサリアムのマイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

NVIDIAを攻撃のハッキンググループLapsus$、「マイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

NVIDIA

大手半導体メーカーのNVIDIAは、ここ数日南米のハッキンググループ「Lapsus$」の攻撃を受けており、企業機密の塊であるソースコードなどを盗み出されたとされています。その中には、任天堂の次期ゲーム機に関する技術情報も漏れているとの推測もありました

この犯罪グループがNVIDIAに対して、盗み出した情報の1つである「RTX3000系GPUに掛けられたイーサリアム(暗号資産)の採掘効率制限を回避するソフトウェアツール」を100万ドル(約1億1600万円)以上で買い取るように持ちかけ、従わない場合は競売に出して最高額入札者に売り払うと脅していることが報じられています。

GeForce RTX 3080や3070、3060 TiなどのNVIDIA製GPUの一部は、出荷時に暗号資産マイニングにおけるハッシュレート(=性能)が制限されています

なぜこのようなリミッターを掛けているのかといえば、暗号資産マイナー達の買い占めと半導体不足によって、GPUを買いたくても買えない人達があふれていたことから、あえて「ゲーマー以外に売れすぎないように」という狙いです。この制限は箱に書かれた文字から「NVIDIA LHR(Lite Hash Rate)」と呼ばれています。

Lapsus$が売りさばこうとしているのは、NVIDIA LHRバイパス(回避)ツールとでも呼ぶべきものです。彼らはRTX 3000シリーズのファームウェアを「フラッシュ」またはアップデートすることなく制限を回避できると主張しているとのこと。

彼らは今週初めにも公開チャットルームで「フラッシュなし=どのマイナーにとっても大金になる」と宣伝したとのスクリーンショットもあります。

NVIDIAを攻撃のハッキンググループLapsus$、「マイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

しかしNVIDIA LHRは、採掘効率を本来の100%から50%に下げるにすぎず、マイナーらのコミュニティは50%から70%に引き上げる方法も考え出したとのこと。

またNVIDIAはLHRを今年(2022年)後半にかけて段階的に廃止する準備中ともいわれており、もしもNVIDIAが脅迫に屈せずツールが競売にかけられたとしても、100万ドルを出してまで飛びつく人がいるとは考えにくそうです。

むしろより大きな問題は、すでに盗み出したデータのうち19GB分を公開しているLapsus$が、さらに250GBが含まれたフォルダを公開すると脅していることです。世界はロシアのウクライナ侵攻で大変な事態となっていますが、こちらでもまだ一波乱あるのかもしれません。

(Source:PC Magazine。Via WccftechEngadget日本版より転載)

NVIDIA、ランサムウェア攻撃で機密データが流出

NVIDIA(エヌビディア)は、先週のサイバー攻撃でハッカーが従業員の認証情報や会社の専有情報などの機密データを同社のネットワークから盗み出し、現在「オンラインでリークしている」ことを確認した。広報担当者が米国時間3月1日、TechCrunchに語った。

NVIDIAは、2月4日に初めて明らかになったこの攻撃で、どのようなデータが盗まれたのかについては言及を避けた。しかし「Lapsus$」と呼ばれるランサムウェアの集団がTelegramチャンネルでこの攻撃を実行したことを明らかにし「機密性の高いデータ」や独自のソースコードなど1テラバイトの情報を盗んだと主張している。同グループの投稿によると、これにはNVIDIAのハッシュレートリミッターのソースコードが含まれていて、同社のRTX 30シリーズグラフィックカードのEthereum(イーサリアム)採掘性能を低下させるという。

Lapsus$は比較的知られていないが、2021年12月にブラジルの保健省を攻撃し、市民のワクチン接種情報など50テラバイトのデータを盗み、初めてランサムウェアのシーンに登場した。以来、ポルトガルのメディアグループImpresaや南米の通信事業者ClaroとEmbratelをターゲットにしてきた。

Emsisoft(エムシソフト)の脅威アナリストBrett Callow(ブレット・キャロウ)氏はTechCrunchに「Lapsus$が南米を拠点としていると考える研究者もいますが、それを示す証拠がどれほど確かなものかはわかりません。今のところ、彼らはやや素人っぽいように見えるので、関与した人物が経験豊富なサイバー犯罪者ではない可能性があります」と語った。

NVIDIAは、この攻撃の犯人と思われる人物についても言及を避けたが、2月23日に悪意のある侵入に気づいたといい、これを受けて同社は法執行機関に通知し、サイバーセキュリティの専門家を雇って攻撃に対応することになった。

この侵入はロシアのウクライナ侵攻の前日に発生したため、ロシアが支援するハッカーと関係があるのではないかとの憶測もあったが、NVIDIAは「ロシア・ウクライナ間の紛争と関係があるという証拠はない」と付け加えた。

同社は現在、盗まれ、その後流出した情報の分析に取り組んでいるが「この事件によって、当社の事業や顧客へのサービス提供能力に支障が生じることは予想していない」と述べている。先週の報道では、このサイバー攻撃により、同社のメールシステムや開発者用ツールが2日間オフラインになったとされていた。

NVIDIAの広報担当者は「セキュリティは、NVIDIAが非常に真剣に取り組んでいる継続的なプロセスであり、我々は日々、コードと製品の保護と品質に投資しています」とも述べた。

画像クレジット:Akos Stiller / Bloomberg / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

反体制派をスパイウェアから守れるのは民主主義国家だ

TechCrunch Global Affairs Projectとは、ますます複雑に絡み合うテクノロジー分野と世界政治の関係性を検証するためのプロジェクトである。

スパイウェアを購入するような政府には「公共の安全を脅かすテロなどの脅威と戦う必要性」という共通の口実がありがちである。しかし、独裁政権が最先端の監視テクノロジーを手に入れるとき、それは活動家、ジャーナリスト、学者など、脅威とみなされる反対派の声に対して使われる場合があるというのも周知の事実である。所有者の知らないうちに携帯電話やその他のハードウェアを感染させ、動きを追跡して情報を盗むために使われるスパイウェアプログラムは、銃と同じように確実に弾圧の道具となるのである。

21世紀に起きているこの現実を無視するには、あまりにも多くの事例が立証されている。しかし企業らは、それが何を意味するのかをあたかも知らないふりをしてスパイウェアを専制君主制の政府に売り続けている。この傾向は、世界中の政治的反体制者コミュニティを揺るがし、彼らを逮捕、さらにはもっと悪い事態に追いやっているのである。

我々はこういったテクノロジーの被害者になったことがあるため、この事実をよく知っている。サウジアラビアから帰化したアメリカ人と、イギリス人の学者として、同記事の共同筆者2人は、多くの同僚とともにこういったテクノロジーの被害にあったのである。

私たちの1人、Ali Al-Ahmed(アリ・アル・アハメッド)は、サウジアラビア政府がTwitter(ツイッター)から個人情報を盗み出し、それを使ってアハメッドのTwitterのフォロワーを追跡し、投獄し、拷問するのを目撃した。

もう1人のMatthew Hedges(マシュー・ヘッジス)は、アラブ首長国連邦に研究に来ていた大学院生で、後に入国前から当局に携帯電話をハッキングされていたことが発覚している。ヘッジスは2018年に逮捕された後にスパイ容疑で起訴され、当初は終身刑の判決を受けている。最終的には6カ月間拘束されたのだが、その間も手錠をかけられ、衰弱させる薬物が投与されていた

こういった痛々しい体験は未だどこかで繰り広げられている。今私たちは米国や英国に住んでいるため比較的安全だが、これらの体験はあまりにも一般的なものなのになっている。権威主義的な政権が国際法や人権のあらゆる原則に反して、日々人々に与えている継続的かつ体系的な虐待を、これらの体験が浮き彫りにしているのである。

独裁政権が市民の行動を逐一追跡できるのは、それを可能にしているスパイウェアベンダーの責任でもある。自社の製品がこのように利用されていることに目をつぶっている企業を民主主義政府が確実に取り締まるまで、世界中の反体制派は背中を狙われることになるだろう。

米国を含む民主主義諸国は今、この乱用を抑制するために断固とした行動をとるべきなのである。西欧の民主主義国の指導者たちはビッグテックを抑制する必要性について議論を続けているが、政府の規制とテック企業の果てしない綱引きの中で「ユーザーが一番の犠牲者になっている」と、監視組織のFreedom House(フリーダムハウス)の新たな報告書は伝えている。いつでも自国の政府の餌食になるのは一般のオンライン市民なのである。

中国やロシアは国家ぐるみのハッキングや弾圧を行い、その規模の大きさから世界的にも注目されている。しかし、サウジアラビアのような米国の同盟国も、しばしば最悪の犯罪者であることが少なくない。

例えばサウジアラビア、アラブ首長国連邦、バーレーンなど、反体制派に対して最も冷酷な扱いをする中東の国々は、イスラエル企業のNSO Group(NSOグループ)からスパイウェアを購入している。これらの政府はNSOのPegasusソフトウェアを使って人権活動家や批評家の電話を次々とハッキングしており、その多くは自国の国境をも越えている。

ドバイの支配者、Sheikh Mohammed bin Rashid Al Maktoum(シェイク・ムハンマド・ビン・ラーシド・アル・マクトゥーム)氏のように、こうした政権を支配する独裁者が純粋に個人的な動機で動いている場合もある。イギリスの裁判所は、同氏がPegasusを使って元妻とその子どもたち数人をスパイしていたことを明らかにした

これは、NSO Groupの関係者がある夜遅くにイギリスの著名な弁護士に電話をして、監視について密告したため世間に知られることになった。首長がPegasusを悪用したこともそうだが、同氏が自分たちの技術を不正に使っていたことをNSO Groupが認知していたというのはそれ以上に穏やかでない。このケースでは、上級管理職の人間も内部告発をするのに十分な露出度を感じていたようだが、同社は顧客による他の不正行為について明かしていない。

人権侵害で有名な警察や諜報機関にスパイウェアを売っているのは何もNSO Groupだけではない。イスラエルのCandiruやCyberbitも同様のビジネスをしているし、ドイツのFinfisherやイタリアのHacking Team(2015年のスキャンダルを経て現在はMemento Labsに改名)の製品も、虐待との関連が指摘されている。

NSOは、サウジアラビアアラブ首長国連邦がPegasusを悪用したとして契約を打ち切ったと報じられているが、企業の自己強化だけでは十分ではない。民主主義国家はこれらの企業に対し、製品が人権侵害に使われれば輸出禁止の制裁が下り、企業幹部も制裁を受けることになるという明確なメッセージを送るべきだ。

もう1つの重要なステップとして、米国商務省と英国や欧州連合(EU)などの民主主義諸国が、乱用を可能にしている企業との取引を制限するためのブラックリストを拡大することが挙げられる。米国商務省はすでに、NSO Group、Candiru、ロシアのPositive Technologies、シンガポールのComputer Security Initiative Consultancyを「Entity List」に登録しており、これらの企業は特別なライセンスなしに米国の販売者から部品を購入することができない。しかし、こういったことを世界規模で行えば、さらなる効果を発揮するはずだ。

また、民主主義国はスパイウェアの使用に関するオープンで統一されたルールを確立すべきである。先週、ホワイトハウスでは、権威主義と戦い、人権を促進することを目的とした、世界のリーダーたちによるバーチャル「Summit for Democracy(民主主義サミット)」が開催された。この連合が活動を開始するにあたり、スパイウェアはその最重要議題となるべきだ。

電子諜報活動とデジタル抑圧の新時代に突入した今、規制や法的保護を強化することによってのみ、民主主義国家はその存続を確保することができ、言論の自由を実現し、市民の福利を守ることができるのである。

編集部注:Ali Al-Ahmed(アリ・アル・アーメド)氏はInstitute for Gulf Affairsの創設者でありディレクター。Matthew Hedges(マシュー・ヘッジ)博士は、エクセター大学の博士研究員として教鞭をとっている。

画像クレジット:filo / Getty Images

原文へ

(文:Ali Al-Ahmed、Matthew Hedges、翻訳:Dragonfly)

NVIDIAがサイバーセキュリティのインシデントを調査中、2日間デベロッパーツールとeメールがダウン

米国の半導体メーカーNVIDIAが、同社のデベロッパーツールとeメールシステムをダウンさせた可能性のあるサイバーインシデントを目下調査中であると認めた。

NVIDIAは声明で、このインシデントの性質と影響範囲を目下調査中だと述べているが、結果的に同社の営業活動には影響が及んでいないと付言している。

つまり「現在、インシデントを調査中である。弊社の事業と営業活動は中断されずに継続している。この事象の性質と範囲を未だ調査中であり、現時点では他に付け加えるべき情報はない」ということだ。

NVIDIAはインシデントの詳細を共有しないが、The Telegraphは「ネットワークへの悪質な侵入」により、これまでの2日間にわたって同社のeメールシステムとデベロッパーツールが停止の被害を被った」と報じている。

その記事は内部者の情報として、同社のシステムが2日間オフラインになったが、eメールシステムの当該部分は米国時間2月25日に稼働を再開したという。

ハッカーがNVIDIAやその顧客に関するデータを入手したかどうか、また、そのパートナーのいずれかが影響を受けたかどうかは、まだ明らかになっていない。The Telegraphの報道によると、NVIDIAはまだ犯人を特定できておらず、顧客はいかなる事件も知らされていなかったという。

NVIDIAのサイバー攻撃の可能性に関するニュースは、サンタクララに本拠を置く同社が、英国のチップ設計企業Armを買収するための400億ドル(約4兆6223億円)の入札を打ち切ったわずか数週間後に飛び込んできたものだ。同社は「当事者による誠実な努力にもかかわらず、取引の完了を妨げる重大な規制上の課題」の結果、相互の決定であったと述べている。

関連記事:NVIDIAがArmの買収を断念、Armはリーダーが交代し株式公開を模索

画像クレジット:Justin Sullivan/Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

ウクライナ、ベラルーシのハッカーが同国防衛軍をターゲットにしていると発表

ウクライナのサイバーセキュリティ当局は、ベラルーシに支援されたハッカーが、ウクライナ軍関係者のプライベートな電子メールアドレスを標的にしていると警告している。

ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、Facebookの投稿でこの活動を発表し、大量のフィッシングキャンペーンが、ウクライナの軍関係者が所有するプライベートのi.uaとmeta.uaのアカウントを標的にしていると述べた。

「アカウントが侵害されると、アタッカーは、IMAPプロトコルによって、すべてのメッセージにアクセスできるようになります」と、CERT-UAは付け加えた。「その後、フィッシングメールを送信するために、アタッカーは被害者のアドレス帳を使用します」。

CERT-UAは、現在進行中のキャンペーンを、Mandiant(マンディアント)が2021年11月にベラルーシ政府と正式に関連付けたUNC1151脅威グループによるものとしている。また、Mandiantは、この国家に支援されたサイバースパイグループを、ヨーロッパ全域で反NATOのレトリックを広め、ハッキング・アンド・リーク作戦に関与してきたGhostwriterディスインフォメーション・キャンペーンに関連付けた。

ミンスクを拠点とするグループ『UNC1151』がこれらの活動の背後にいます。そのメンバーは、ベラルーシ国防省の将校です」と、CERT-UAは書いている。

ウクライナの国家安全保障・防衛評会議のSerhiy Demedyuk(セルヒイ・デメディク)副長官はロイターに対して、キエフ政府は、先週ウクライナ政府のウェブサイトをダウンさせたサイバー攻撃の背後にUNC1151グループがいたと考えていると語った。ウクライナのセキュリティサービスは、その事件の間で70以上の国家ウェブサイトが攻撃され、そのうち10が不正な妨害に遭ったことを明らかにした。

MandiantのBen Read(ベン・リード)氏はTechCrunchに対し、セキュリティ会社は過去2年間にわたりUNC1151がウクライナ軍を広範囲にターゲットにしているのを観測しており「この活動は彼らの過去のパターンに合致します」と述べている。

「ベラルーシ軍と関連があると思われるUNC1151によるこれらの行動は、ウクライナ市民やウクライナ軍の個人データが占領のシナリオで悪用される可能性があり、UNC1151はGhostwriter情報作戦を促進するためにその侵入を使用しているため、懸念されます」リード氏はさらに付け加えた。「ウクライナの団体から取得した誤解を招く、あるいは捏造された文書をリークすることは、ロシアとベラルーシの友好的なシナリオを広めるために利用される可能性があります」。

「Ghostwriterは以前、NATO同盟国を標的とし、この組織への支持を失わせようとしました」と、リード氏は語る。「近い将来、同様の作戦が見られたとしても、私は驚きません」。

画像クレジット:Pavlo Gonchar / SOPA Images / Getty Images

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

Oh、フェイスブックがハックされた、そんなときの対策を知っておこう

今や技術に詳しい友人でもFacebookで「ハックされる」ことがある。どうやってそれを防ぐか。ハックされたアカウントを完全に回復するには何をどうすべきか。今回はそれを考えよう。

通常、アカウントが「ハックされる」のは、だれかがあなたのパスワードを手に入れるからだ。Facebookの場合は、そうなるととても厄介だ。Facebookを使って他のものへログインしている人が多いからだ。だから人のFacebookアカウントを盗んだ者は、大量のいろいろなものにアクセスできる。

もしもアカウントをハックされたら

アカウントをハックされたらどうなるか。結果はさまざまだ。だれかがあなたのふりをしてメッセージを送るかもしれない。投稿とか、何かおかしなことをするかもしれない。

まだログインできるなら、ラッキーだ。以下のことをしよう。今すぐ、パスワードを変更する。それができるなら、第一歩はそれだ。

ログインできなければ、パスワードのリセットをリクエストする。それがダメなら、誰かがそのアカウントのメールアドレスを変えたかもしれない。そんなときは次のようにする

おかしな状態をFacebookに報告しよう。すると彼らは、他の人たちにそれが起きないようにしてくれる。

セキュリティの設定にアクセスし、どこにでもログインできることを確認する。場所やデバイスがわからなければ、3つのドットのメニューを押して「あなたではない?(not you?)」を選ぶ。するとログアウトして、さらにあなたのアカウントのセキュリティを設定できる。

あなたのFacebookアカウントにアクセスできるすべてのアプリやウェブサイトを確認する。この表示内に、身に覚えがないものがあったらそれを削除する。

設定の「一般」でFacebookがあなたのためにリストしたメールアドレスをチェックする。自分のものでないものがあればそれを削除する。

もう一度、自分のパスワードを変更する。すると(理論的には)ハッカーはあなたのアカウントにもうアクセスできない。文字・数字・記号の混じった安全なパスワードにすること。どこかで使ってるパスワードを再利用してはいけない。パスワードマネージャーを使って自分が使ってるすべてのパスワードを調べ、一般的に高品質のパスワードを使おう。

二段階認証を使おう。そうすると、パスワードを盗まれても、あなたの電話番号や認証アプリにはアクセスできないため彼らはログインできない。

そして最後に、あなたのセキュリティやソーシャルメディアに何かおかしなことが起きたら、メールのパスワードを変えるべきだ。ソーシャルのアカウントへのアクセスを失う(盗まれる)のは最悪だが、それ以上にハッカーにとってうれしいのはメールへのアクセスだ。メールのパスワードは、1〜3カ月ごとに変えよう。なにかおかしなことが起きたら、すぐ変えるべきだ。

ハックされるのを防ごう

Facebookのアカウントが盗まれる、最も一般的なケースは、あなたを騙してハッカーにパスワードを渡してしまうやり方だ。Facebookの上でMessengerのメッセージを友だちからもらったけど、そこには「今日亡くなった人知ってる?」なんてメッセージにリンクがある。そのリンクはFacebookのものではないけど、クリックすると「もう一度ログインしてください」などと表示される。あなたは何も考えずにメールとパスワードをタイプする。でもその送り先はFacebookではないため、「彼ら」はあなたのパスワードを知ることになる。

それを防ぐためには、上で述べたように、二段階認証を使うべきだ。そして警戒しよう。Facebookからどこかへログインするときは、URLが「https://www.facebook.com」で始まっているかな?それが「ffacebook.com」や「facebook.this-is-a-security-notification.com」などだったら、自分のパスワードをタイプしてはいけない。最も安全なのはfacebook.comとブラウザー上で自分でタイプすることだ。

Facebookアプリの中にブラウザーがあることを忘れないように。その場合、あなたはアプリ経由で今Facebookの中にいるのだから、そこからさらにパスワード入力を含むFacebookへのログインを求められることはおかしい。Facebookの中からFacebookにログインするなんてありえない。Facebookの中から他のサイトにログインするときは、その認証過程は済んでいるのだ。再度入力の必要はない。おかしなログイン要請はすべて無視。

逆にアプリやウェブサイト内からFacebookのアカウントにアクセスする場合もあるが、そんなアプリは定期的にチェックして、しばらく使ってなかったり、もう不要なアプリなら削除してしまおう。必要なら後でまた入手すればいい。

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(文:Haje Jan Kamps、翻訳:Hiroshi Iwatani)

不正なサードパーティアプリの発見を支援するAstrix Securityがステルスから登場

サードパーティアプリ統合のためのアクセス管理を提供するイスラエルのサイバーセキュリティスタートアップAstrix Security(アストリックス・セキュリティ)が1500万ドル(約17億円)の資金調達によりステルスから姿を現した。

このスタートアップは、イスラエルの有名な諜報部門8200部隊の元メンバーであるAlon Jackson(アロン・ジャクソン)CEOとIdan Gour(アイダン・グール)CTOが2021年に共同で創業した。組織が重要システムに接続されたサードパーティアプリの複雑なウェブを監視・管理できるようにする。

リモートワークへの、転じてクラウドベース環境への移行が広まった結果、組織が使用する統合アプリケーションの数は過去2年間で劇的に増加した。Astrixによると、企業は重要システムへのユーザーアクセスの管理にはほぼ対応しているものの、APIアクセスの管理に関しては大半の企業が不十分であり、サプライチェーン攻撃、データ流出、コンプライアンス侵害などにさらされ、脆弱性は増している。そこで同社は、完全な統合ライフサイクル管理を実現するプラットフォーム、Astrix Security(アストリックス・セキュリティ)を開発した。

「現在のソリューションは、採用したいアプリのセキュリティの状態を評価するセキュリティスコアを提示しています。NoName(ノーネーム)のような他のソリューションは、API セキュリティに着目しています。これは、あなたが開発し、他の人が利用するAPIに焦点を当てています」と、Astrix創業前にArgus(アルゴス)でR&D部門のトップを務めていたジャクソン氏はTechCrunchに述べた。「私たちは、Salesforce(セールスフォース)のCRMやGitHub(ギットハブ)の知的財産など、サードパーティを通じて行われる統合を調査します。これらのシステムはすべて、あなたが開発したわけではありませんが、あなたはそれらに対してAPIアクセスを有効にしているのです」。

Astrix Securityは、エンタープライズアプリケーションに接続するすべてのサードパーティのインベントリを即座に提供する。このような統合やローコード、ノーコードのワークフロー構成における変更や悪意のある異常を自動的に検出し、リアルタイムに修復を行う。

この技術があれば、2021年発生したCodeCovのハッキング事件は未然に防ぐことができたとジャクソン氏は主張する。同事件で攻撃者は、同社のソフトウェア監査ツールに侵入し、数百の顧客ネットワークへのアクセスを得た。

「この出来事は、まさに私たちが開発しているものが目指すところです。この開発者は、GitHubにある自分のコードレポジトリの上に、新しいサードパーティ接続を追加しただけなのです。彼はそれを削除しましたが、アクセスを取り消さなかったため、知的財産全体がダークウェブで販売されることになりました」とジャクソン氏は語った。

Astrix Securityはすでに、テクノロジー、ヘルステック、自動車などの分野にまたがる多くのグローバル企業顧客の手に渡っている。ジャクソン氏によると、Bessemer Venture PartnersとF2 Capitalがリードし、Venrockと20以上のサイバーセキュリティ・エンジェル投資家が参加した1500万ドルのシード投資を、現在20人のチームの拡大と、市場開拓強化に使う予定だという。

画像クレジット:Dmetsov / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

弁護士・ジャーナリストを標的に使われたスパイウェアPegasus、誤動作で残した偽画像ファイルから暴き出される

弁護士・ジャーナリストを標的に使われたスパイウェアPegasus、誤動作でiPhone内に残した偽画像ファイルから暴き出される

Nir Elias / reuters

昨年(2021年)7月、iPhoneやAndroid端末のユーザーを攻撃・監視するスパイウェア「Pegasus」が、世界中の人権活動家や弁護士、ジャーナリストを標的に使われたことが判明しました。その後アップルが本格的な対策に乗り出し、ついにはPegasusを開発・販売したイスラエル企業NSOグループを提訴するに至っています。

本来Pegasusは標的としたユーザーのデータを抜き出して政府などに送信したあと、自らが存在した痕跡をすべて消し去るものです。そのため被害者が監視されていたと気づくことや、スパイウェアがどのような挙動をしているか知ることが困難でした。

では、どうやって手がかりがつかめたのか。それは2021年初め、攻撃対象とされたiPhone内から見つかった偽の画像ファイルがきっかけだったと報じられています。

米Reuters報道によると、2021年2月にサウジアラビアの刑務所から釈放された女性活動家のルージャイ・ハスルール(Loujain al-Hathloul)氏は、Googleから国家支援型のハッカーが彼女のGmailアカウントに侵入しようとしたとの警告メールを受け取ったとのこと。iPhoneもハッキングされたことを恐れたハスルール氏は証拠になりそうなものがないか、カナダのセキュリティ研究機関Citizen Labに調査を頼んだそうです。

その半年後、Pegasusの誤動作により、iPhone内に悪意ある画像ファイル(本体のコードが含まれていた)が残されていたと判明。そのファイルが後に、スパイウェアがNSOグループにより作られたことを示す直接的な証拠となりました。Citizen Labの研究員は「これはゲームチェンジャー(流れを大きく変える出来事)でした」「あの会社が捕まえられないと思っていたものを捕まえたのですから」と語っています。

このファイルがPegasusを使ったハッキングを特定するために使われ、それによりアップルは国家支援型攻撃の標的になったと考えられるユーザーに通知できたとのことです。またアップルがPegasusが利用した脆弱性を修正するためにiOSを更新し、さらにはNSOグループへの訴訟を起こすことにも役立ったそうです。

1月には、イスラエルの警察がPegasusを使って裁判所の令状なしに自国民を監視していたことが明らかとなりました。また米FBIが2019年にPegasusを購入して使用を検討していたとも報じられており、調査が進めば波紋がさらに広がることになりそうです。

(Source:Reuters。Via AppleInsiderEngadget日本版より転載)

サイバー攻撃の被害に遭った赤十字、「国家が支援」するハッカーが未パッチの脆弱性を悪用したと発表

先日、赤十字国際委員会(ICRC)がサイバー攻撃の被害に遭い、51万5000人以上の「非常に弱い立場にある」人々のデータが流出したが、これは国家が支援するハッカーの仕業だった可能性が高いようだ。

ICRCはスイス時間2月16日に公開した最新情報の中で、ハッカーによる最初の侵入は、1月18日に攻撃が明らかになる2カ月前の2021年11月9日にさかのぼることを確認、分析の結果、侵入はICRCのシステムに対する「高度に洗練された」標的型攻撃であり、ICRCが当初の発表で述べたような業務契約している外部企業のシステムに対する攻撃ではないことがわかったと付け加えた。

ICRCは「攻撃者がICRCに関わるサーバー上のみで実行することを目的としたコードを作成していたことから、今回の攻撃がICRCを標的としたものであることがわかった」と述べている。今回更新された情報によると、攻撃者が使用したマルウェアは、ICRCのインフラストラクチャ内の特定のサーバーを標的として設計されたものだったという。

ハッカーは、ウェブベースのオフィスサービスを手がけるZoho(ゾーホー)が開発したシングルサインオンツールに存在する、既知でありながらパッチが適用されていない危険度の高い脆弱性を悪用して、ICRCのネットワークにアクセスする手段を得た。この脆弱性は、9月に米国のCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)から警告を受けており、CVSS(共通脆弱性評価システム)の深刻度スコアは10点満点中9.8点となっている。

ICRCによると、不明な国家支援ハッカーはこの欠陥を悪用し、ウェブシェルを設置して、管理者資格の侵害、ネットワーク内の移動、レジストリファイルやドメインファイルの流出などの侵入後活動を行ったという。

「ネットワークに侵入したハッカーは、攻撃的なセキュリティツールを展開して、正当なユーザーや管理者に偽装することが可能になりました。これにより、データが暗号化されているにもかかわらず、データにアクセスすることができたのです」と、ICRCは述べている。赤十字は、今回の攻撃で盗まれたデータが公開されたり取引されたりしているという決定的な証拠はなく、身代金の要求もなかったと付け加えているが、個人情報が流出した可能性のある人々には連絡を取っていると述べている。

ICRCによると、標的とされたサーバー上のマルウェア対策ツールは攻撃を受けた時に有効であり、攻撃者が使用した悪意のあるファイルの一部をブロックしていたものの、展開されたファイルのほとんどは、マルウェア対策防御を「回避するために特別に作られた」ものであったとのこと。

このようなツールは、通常、APT(Advanced Persistent Threat、高度持続的標的型攻撃)グループや、あるいは国家が支援する攻撃者が使用するものであるとICRCは指摘しているが、赤十字社は、今回の攻撃が特定の組織によるものであると、まだ正式に判断したわけではないと述べている。Palo Alto Networks(パロアルト・ネットワークス)が2021年11月に発表したレポートでは、APT27と呼ばれる中国の国家支援グループに、同じ脆弱性を悪用した関連性が見られると述べている。

今回のサイバー攻撃の結果、赤十字社は、紛争や災害で離ればなれになった家族の再会などの重要な業務を遂行するために、スプレッドシートの使用に頼らなければならなくなったと述べている。

「弱い立場にある人々のデータに対するこの攻撃が、変化を促す要因となることを、私たちは願っています」と、ICRCのRobert Mardini(ロバート・マルディーニ)事務局長は、声明の中で述べている。「赤十字・赤新月運動の人道的使命に対する保護が、データ資産やインフラにまで及ぶことを明確に求めるために、今後は国家および非国家主体との関わりを強化していきます」。

「人道的データは決して攻撃されてはならないという確固たるコンセンサスを、言葉と行動で得ることが重要であると、私たちは信じています」。

画像クレジット:Fabrice Coffrini / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)