イランと中国のハッカー集団がトランプとバイデンの両陣営にサイバー攻撃

Google(グーグル)のセキュリティ研究者は、国家の支援を受けた少なくとも2つのハッカー集団がトランプ氏とバイデン氏の陣営をサイバー攻撃した、と明らかにした。

グーグルeの脅威分析グループのディレクターを務めるShane Huntley(シェーン・ハントリー)氏はツイートの中で、中国とイランが支援するハッカーらが両陣営に対し最近フィッシングメール攻撃を仕掛けた、と述べた。しかしハントリー氏が言うには「被害を受けたという兆候はない」とのことで、両陣営には攻撃を知らせた。

TechCrunchの問い合わせに対し、Googleの広報担当は同社が把握した事実を繰り返した。

「バイデン氏陣営のスタッフの個人電子メールアカウントに中国のハッカーグループがフィッシングを仕掛け、イランのハッカーグループがトランプ陣営スタッフの個人電子メールアカウントを攻撃したことを、脅威分析グループが確認した。こうした攻撃が成功したという証拠は認められなかった。攻撃を受けたユーザーにGoogleは政府支援攻撃の警告(Googleセキュリティブログ記事)を送り、この情報は連邦捜査機関にも報告した。両陣営のスタッフに業務や個人電子メールのさらなる保護強化を推奨するとともに、当社のAdvanced Protection Programのようなセキュリティリソース(Googleブログ記事)と無料のセキュリティキーを提供する」。

バイデン氏陣営の広報担当はTechCrunchへの声明でグーグルの指摘を認めた。「海外のハッカーが陣営スタッフの個人電子メールアカウントにアクセスしようと試みたが失敗に終わったというGoogleからの報告は承知している」と広報担当は述べた。「我々がそうした攻撃の対象となることはキャンペーン当初から認識していて、備えてきた。バイデン氏はサイバーセキュリティを真剣にとらえており、我々はこうした脅威に引き続き用心する。そしてキャンペーンに関するものを安全に保つ」。

トランプ氏の陣営はコメントの求めにすぐには応じなかった。

ハントリー氏はフォローアップのツイートの中で、ハッカーは中国のAPT31と、イランのAPT35と特定され、2つとも政府機関を狙うことで知られている、と述べた。しかし、トランプ氏陣営がイランのハッカーから攻撃を受けるのは今回が初めてではない。Microsoft(マイクロソフト)は昨年、トランプ氏陣営へのものだと後に発覚した攻撃についてAPT35グループを非難した。

昨年の攻撃の試み以来、民主党、共和党ともに選挙戦のサイバーセキュリティを強固にした。民主党は最近、選挙運動員向けのセキュリティ・チェックリストをアップデート(Midium記事)し誤情報対応のための推奨事項(Democratic National Committee記事)を公開した。一方の共和党は選挙担当者にさらに啓発しようとトレーニングセッションを開いた(POLITICO記事)。

画像クレジット: Scott Olson / Getty Images

[原文へ]

(翻訳:Mizoguchi

サンフランシスコ空港のウェブサイトがサイバー攻撃の標的に

サンフランシスコ国際空港は、スタッフや契約労働者のユーザーネームとパスワードを盗もうと同空港のウェブサイト2つが3月にハッキングされたことを明らかにした。

同空港は、2つのウェブサイトSFOConnect.comSFOConstruction.comが「サイバー攻撃の標的となった」と4月7日付の発表で認めた。ハッカーは、ユーザーのログイン情報を盗むために2つのウェブサイトに悪意あるコンピューターコードを仕込んだ。もし盗まれていたら、攻撃者はこれらのログイン情報を使って空港のネットワークにアクセスできていたかもしれない。ネットワーク侵入を防ぐために、多要素認証のような追加の保護策がとられていたのかどうかは明らかではない。

発表では「Windowsベースの個人デバイスや、空港が管理していないデバイスのInternet Explorerを通じた空港のネットワーク外からのウェブサイトへのアクセスを含め、ユーザーが攻撃の影響を受けている可能性がある」と述べられている。

また発表によれば、空港はスタッフ専用のサイトをオフラインにし、3月23日にパスワードリセットを強制したという。いずれのウェブサイトも現在はバックアップで運営されている。

サンフランシスコ国際空港の広報からのコメントはなかった。

攻撃者が、ユーザーネームやパスワード、クレジットカード情報のデータをも盗むために脆弱性を利用性してウェブサイトにコードを仕込むのは珍しいことではない。

2年前、British Airways(ブリティッシュ・エアウェイズ)のウェブサイトとモバイルアプリにハッカーが悪意あるコードを仕込み、顧客38万人のクレジットカード記録が盗まれた。その攻撃により、当時導入されたばかりのGDPR規則に基づき、同社には欧州史上最大となる2億3000万ドル(約248億円)もの罰金が科せられた。

画像クレジット: MediaNews Group/East Bay Times / Getty Images

[原文へ]

(翻訳:Mizoguchi

Equifax情報流出で米司法省が中国軍ハッカー4人を起訴

2017年のEquifax(エクイファックス)サイバー攻撃をめぐり、米司法省は中国軍ハッカー4人を起訴した。サイバー攻撃では1億4700万件超の信用情報が流出した。

9つの罪を記した起訴状はWu Zhiyong、Wang Qian、Xu KeそしてLiu Leiの4人に対するものだ。4人は中国人民解放軍に所属している、と司法省は話している。ハッカーらは、中国政府が後ろ盾となっている悪名高いハッキンググループAPT10のメンバーとされている。このグループは以前にもHPE、IBM、NASAのジェット推進研究所など何十もの米国の主要企業や政府のシステムにハッキングして非難された。William Barr(ウィリアム・バー)司法長官は、Equifaxの件は中国によるいくつものサイバー攻撃の最新事案だと語った。これまであったサイバー攻撃には健康保険大手のAnthem(アンセム)をターゲットにしたものや、Marriott Starwood(マリオット・スターウッド)ホテルの情報流出米国人事管理局へのハッキングなどが含まれる。

「(Equifaxへのサイバー攻撃は)国が支援するハッカーが個人を特定できる重要な情報を盗んだものとして、これまでで最大の窃盗事案だ」とFBIのDavid Bowdich(デイビット・ボウディック)副所長はワシントンD.C.で行われた記者会見で述べた。

「本日、(中国軍の)ハッカーを刑事起訴する。我々が匿名というインターネットの覆いを取り除き、中国が我々に繰り返し仕向けてきたハッカーを見つけることができることを中国政府に思い出させる」とバー司法長官は言う。

2017年にEquifaxにハッキングしたとして起訴された中国軍ハッカー4人(Image: Justice Dept./handout)

Equifaxは、ハッカーたちが自社システムに侵入したことを認識してから数カ月後の2017年9月に情報流出を公表した。

その後の調べで、EquifaxはWebサーバーが攻撃されやすいと数週間もの間認識しておきながらパッチを適用しなかったことが明らかになった。これにより、ハッカーたちはサーバーをクラッシュさせ、膨大な量の個人情報を盗むことができた。名前、住所、社会保障番号そして何百万もの運転免許証やクレジットカードの情報が盗まれた。この情報流出は英国人とカナダ人にも影響を及ぼした。

当時のEquifaxのCEO、Richard Smith(リチャード・スミス)氏は情報流出後に辞任したが、批判から逃れられなかった。上院議員のChuck Schumer(チャック・シューマー)氏は、情報流出とEquifaxの対応を「Enron(エンロン)事件以来、企業による最もひどい不正行為だ」と話した。

Equifaxはのちに、少なくとも5億7500万ドル(約630億円)の罰金を払うことで連邦取引委員会と和解した。

Equifaxの現CEOであるMark Begor(マーク・ベガー)氏は、この起訴を可能にしたFBIと司法省の働きに「感謝する」と述べた。

在ニューヨークの中国領事館の広報は、コメント要求に応じなかった。

画像クレジット: Smith Collection / Getty Images

[原文へ]

(翻訳:Mizoguchi

米国土安全保障省がイランからのサイバー攻撃に備えるよう企業に警告

米国土安全保障省は、イランとの間の緊張の高まりでサイバー攻撃を受ける可能性があるとして、米企業に備えるよう警告を出した。

イランの司令官Qasem Soleimani(ガセム・ソレイマニ)氏殺害から数日たち、政府のサイバー専門諮問機関であるCybersecurity and Infrastructure Security Agency(CISA)が出す初の公式勧告だ。米政府はソレイマニ氏が中東にいる米国の人員をターゲットにして殺害している、と非難していた。

イラン指導部の中でナンバー2的な立場にあった司令官ソレイマニ氏は先週金曜日にトランプ大統領が指示したドローン攻撃で殺害された。このドローン攻撃では、イランが支援するイラクの部隊の副司令官Abu Mahdi al-Muhandis(アブ・マフディ・ムハンディス)氏も死亡した。

1月6日の月曜日に掲示された勧告の中で、CISAは「高まる緊張により、米国はサイバーならびに軍事の攻撃を受ける可能性がある。また米国や米国に関係する国に対してイラン以外のところから破壊的なハイブリッド攻撃があることも考えられる」としている。

イランと同盟国は、電話やエネルギーの企業などを戦略的ターゲットに据えた「破壊的で有害なサイバー部隊」を立ち上げ、米国の外交政策方針をしっかりと把握するためにサイバーによるスパイ活動を実行するかもしれない、と当局は話した。

CISAはまた、偽情報の活動や爆破を含む軍事攻撃の可能性も警告している。企業はオフラインのバックアップを準備するなど、サイバー攻撃を警戒すべきだと勧告した。

ドローン攻撃を受け、民間部門のセキュリティ専門家が報復の可能性を指摘してすぐにCISAは警告を出した。

「イランの関係者が諜報機関の招集を模索し、大局的に地政学環境を理解しようとしていることから、おそらく主に政府のシステムを標的とするスパイ活動が増える」とサイバーセキュリティ会社FireEyeの情報分析ディレクターJohn Hultquist(ジョン・ハルトクイスト)氏は話した。「また、民間へも破壊的なサイバー攻撃があると予想している」

イランはサイバー領域において世界でも最も力のある難敵の1つだ、と専門家は語る。

イランは、コンピューターに侵入してデータを破壊するマルウェアのワイパーを含む、攻撃的なサイバーツールを持つ。イランにつながるハッカーたちは近年、中東のターゲット施設で活発だった。セキュリティ会社Crowdstrikeの共同設立者Dmitri Alperovitch(ドミトリ・アルペロヴィッチ)氏は、イランがエネルギー網や金融機関など重要なインフラを標的とするかもしれないとツイートした。

直近ではMicrosoftが、イランに関係するハッカーを含めたイランの攻撃ターゲットとなった何千もの顧客にその旨を通知した、と明らかにした。Microsoftは以前、サイバー活動を破壊しようと、イランがコントロールするドメインに対し法的措置をとった。10月には、イラン人ハッカーが2020年大統領選候補を標的にしている、とMicrosoftは述べた。これに関してはのちにロイターがトランプ大統領の再選キャンペーンであることを確認した。

ソレイマニ氏を暗殺するための動きは、トランプ政権内の敵味方が共に計画した。評論家は政府がイランによる軍事的な報復だけでなくサイバー攻撃も受けることを考えなかった、と話す。

上院情報問題特別調査委員会のRon Wyden(ロン・ワイデン)議員は、殺害は「破滅的な戦争へとつながる道へと我々を向かわせる無謀なエスカレーション」だと話した。ブッシュ元大統領に仕えた前CIAアナリストElissa Slotkin(エリッサ・スロットキン)氏もまたツイッターの長いスレッドの中で暗殺を批判した。

画像クレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)

WannaCry 型攻撃は誰にも防げない、米国土安全保障省高官が発言

「次のWannaCry【ワナクライ)型ランサムウェアの世界的攻撃を米国政府は防げないかもしれない」とサイバーセキュリティー担当高官が語った。

米国土安全保障省サイバーセキュリティー・インフラストラクチャー庁(CISA)のアシスタントディレクターであるJeanette Manfra(ジャネット・マンフラ氏)はTechCrunch Disrupt SFの壇上で、2017年に世界で数十万台のコンピューターが感染したランサムウェアであるWannaCry型サイバー攻撃は、伝染速度が非常に速いためいまだに対応が困難であると語った。

「あのようなものを防ぐ方法があるのかどうか、私にはわからない」とマンフラ氏が次に起こりうるWannaCry型攻撃について述べた。「あれはまさしくワームとして振る舞う。犯人たちもあれほどの効果があるとは思っていなかったのではないか」と付け加えた。

WannaCryによるサイバーアタックは、過去数年来で最大の世界的セキュリティー事件だった。 北朝鮮とつながりがあるとされるハッカーらは、その数週間前に国家安全保障局(NSA)から盗まれてネット公開された極めて高度なハッキングツール群を使用していた。そのツールを使うと、バックドアのある脆弱なコンピューター数千台を誰でも感染させることができる。そのバックドアは、ユーザーのファイルをロックし、身代金(ランサム)を払わなければ解除できなくするWannaCryのコードを侵入させるために使われる。

さらに悪いことに、WannaCryはワームの性質も持ち、ネットワークを通じて拡散するため封じ込めることが難しい。

国家安全保障局は問題のハッキングツールが盗まれたことを公に認めていないが、当時国土安全保障省は、ユーザーはWannaCryの脅威に対する「最前線の防御」になっていると語った。Microsoft(マイクロソフト)は事件の数週間前にセキュリティー修正を発行していたが、多くのユーザーがパッチを適用していなかった。

「アップデートを適用していれば、かなりの数の人々が被害にあうのを防ぐことができていた」とマンフラ氏は語った。しかしデータによると、攻撃から2年たった後も、100万台以上のコンピュータが、同じランサムウェアに対して脆弱な状態にある。

マンフラ氏は「悪いことが起ころうとしている」、しかし政府や民間が協力して行動を起こすことで、サイバーアタックとの戦いを手助けできると語った。

「幸いに、ランサムウェアを排除する方法を見つける進取の気性に富む人たちがいたため、米国ではあまり被害がなかった」とマンフラ氏は言った。

マルウェア・リバースエンジニアでセキュリティー研究家のMarcus Hutchins(マルクス・ハッチンズ)氏は、ランサムウェアのコードが発見されたドメイン名を登録することで「キルスイッチ」として働きランサムウェアの伝染を防いだ。ハッチンズ氏は「予期せぬ英雄」としてもてはやされた。同氏と同僚のJamie Hankins(ジェイミー・ハンキンス)氏は、1週間を費やしてキルスイッチを有効に保ち、何百万という感染の防止に役立った。

マンフラ氏の発言は、国土安全保障省が数週間前に、Windows 7以前の脆弱性が引き起こすBlueKeepという脅威について警告したのに続くものだ。Bluekeepは、感染したシステムでマルウェアやランサムウェアのような悪意あるコードを実行するために使われるもので、WannaCry攻撃に似た世界的事件を起こす可能性のある

WannaCry同様、BlueKeepにもワーム的性質があり、同じネットワーク内の脆弱性のあるコンピューターに伝染する。

現在インターネットに繋がっているコンピューター百万台がBlueKeepに対して脆弱であると推定されている。セキュリティー研究者によると、悪意ある者たちがBlueKeepを使ってWannaCry型サイバーアタックを仕掛けてくるのは時間の問題だと言っている。

関連記事:The sinkhole that saved the internet

[原文へ]

(翻訳:Nob Takahashi / facebook

サイバーセキュリティのプロ不足が今年大問題になる

【編集部注】筆者Robert Ackerman Jr.は、アーリーステージのサイバーセキュリティベンチャーAllegisCyberの創業者であり、最高業務責任者を務める。また、ワシントンD.C.拠点のサイバーセキュリティスタートアップDataTribeの創業者でもある。

新年が始まり、表面上はサイバーに関して平穏が続いている。ここ数カ月、大きなサイバー攻撃はなく、現在もなさそうだ。

しかし、良い時というのは長くは続かない。サイバー攻撃というのは概して波となってやってくるものだ。次のサイバー攻撃はやがて起こる。そして2019年というのは最悪の年となるだろう。というのも、企業は効率を高めるためにデジタル化を急速に進めていて、と同時にサーバー攻撃の“ターゲットゾーン”に足を踏み入れつつあるというのが現実だからだ。

さらに具合の悪いことに、そうした脅威に適切に対応するサイバーセキュリティのプロが十分にいないという厳しい現実もある。

テクノロジー産業はこれまではそうではなかった。経験を積んだサイバーセキュリティのプロは通常、年間9万5000ドル、もしくはかなりの割合でこれよりも多い額を稼ぐ。にもかかわらず、この職の募集は絶えずある。これまでになく不足しているサイバーセキュリティの雇用状況により、企業が必死に助けを求める事態となっている。

2017年9月から2018年8月にかけて、米国の雇用主はサイバーセキュリティ専門家の求人を31万4000件近く出した。NICE(サイバーセキュリティ教育イニシアティブ)によると、こうした求人が全て満たされていれば、現在のサイバー労働人口は40%増の71万4000人になっていたはずだった。需要の観点から言うと、それでもこの数では絶対的に足りない。

世界で300万人のサイバーセキュリティプロ不足

世界最大の公認サイバーセキュリティプロの非営利団体(ISC)2は最近の調査で、世界中で現在サイバーセキュリティの人材300万人が足りていないと指摘している。

企業は積極的に人工知能と機械学習を採用するなどしてこの問題に部分的に対処しようとしているが、この取り組みはまだ比較的初期の段階であり、問題を若干減らす以上のことはできない。大企業は手いっぱいで、中小企業よりも状況は悪い。大企業は防御体制が弱いために、そしてさらに大きなパートナー企業への“通路”として利用できることから、中小企業よりも攻撃されやすい。

では、どのような才能を持つサイバーのプロを、企業や政府は求めているのだろうか。

なるべくなら、プログラミング、コンピューターサイエンス、またはコンピューターエンジニアリングで学士号を持っている人を彼らは求めている。また、統計や数学のコースを専修した人にも熱い視線を注いでいる。加えてサイバーセキュリティの資格や、そして当然のことながら侵入検知や安全なソフトウェア開発、ネットワーク監視といった人が足りていない分野の専門家としての経験も求めている。

そうした要件を満たす人が理想だが、現実には社会に出たばかりのサイバープロの経歴はそれほど良いものではない。

きちんとしたトレーニングがあったのは過去のこと

サイバーセキュリティというのは、非伝統的なバックグラウンドを持つ人々を抱えてきた分野だった。30才以上のサイバーセキュリティのプロたちはほとんどサイバーセキュリティの学位を持っておらず、多くがコンピューターサイエンスの学位すらも持っていない。プロになるには、特定のツールやテクノロジーに通じるためのトレーニングを要する。通常は専門学校やブートキャンプで行われるトレーニングだ。しかし、さらには探究心や現在の危機をめぐる知識、学習や研究に対する情熱も持っていなければならない。中でも有望となるのが、プログラマー、システムアドミニストレーター、ネットワークエンジニアとしての経歴がある人だ。

雇おうとしているプロに多くを求めるのは、何もサイバー関連の人材不足だけが理由ではない。一般的に、企業はサイバー関連の従業員が最新の技術を維持できるようなサポートをほとんど行っておらず、ITスタッフに関してはさらにひどい。

(ISC)2は3300人のITプロを対象とした調査を18カ月ほど前に実施した。そこでは、教育やセキュリティ技術の履修を推進するための自由裁量権といったもので組織がITスタッフを十分にサポートしていないことが明らかになった。

不十分な企業のサイバートレーニング

また重要な新事実としては、調査対象となった人の43%が、所属する組織が十分なセキュリティトレーニングのリソースを提供しておらず、これによりデータ漏洩の可能性が高まっている、と回答したことが挙げられる。

大学もまた難題を抱えている。調査に回答した85の大学がサイバーセキュリティの学士課程と修士課程を展開している。しかし、ここに大きな落とし穴がある。コンピューターサイエンスプログラムは多様で、常に多くの学生を惹きつけているが、サイバーセキュリティのコースは1つも義務付けられていない。

幸いにも、この点では改善姿勢が見られつつある。いくつかの州が、組織や個人が抱える人材不足の解決を図ろうと、地元の事業所や行政、教育機関のための情報共有ハブを構築する取り組みを進めている。

たとえばジョージア州は最近、新しいサイバーセキュリティセンターに1億ドル以上を投資した。コロラド州にある似たような施設は、次世代テクノロジーを使うための教育プログラムでその分野の専門学校や大学と連携している。他の州でも同様の取り組みが始まっている。

一方で、サイバーセキュリティ和平部隊についての議論もある。基本的にこのモデルは元々の和平部隊と同じようなものになるが、サイバーセキュリティの仕事に特化している。議会による条例が必要で、このプログラムはまだ存在していないが、非営利で働いている人や、自ら人件費やトレーニング費用を賄うことができない組織の興味をひくことになりそうだ。

サイバーブートキャンプとコミュニティカレッジプログラム

サイバーブートキャンプとコミュニティカレッジでは、さらに先を行く取り組みが展開されている。ブートキャンプはプログラマーではない人も受け入れ、主要なスキルのトレーニングを提供して就職を手伝っている。プログラム修了者をサイバー関係の職場に送り出したブートキャンプにはデンバーのSecurest Academy、サンアントニオのOpen Cloud Academy、シカゴのEvolve Security Academyがある。

また、サイバーセキュリティプログラムを提供する2年コースの専門学校12校以上が全米に散らばっている。ブートキャンプとコミュニティカレッジプログラムを組み合わせたものとしては、City Colleges of Chicagoがある。ここは国防省と提携して、現在軍隊に所属している人向けに無料のサイバーセキュリティトレーニングプログラムを提供している。

数はかなり限られているが、テック大企業の中にも踏み込んだ取り組みを展開しているところがある。たとえばIBMは、従来のホワイトカラー、ブルーカラーとは異なる“ニューカラー”と呼ばれる職をつくった。この職ではスキルや知識を重視している。労働者は職場内教育、業界検定、コミュニティカレッジコースを通じてスキルを選ぶようになっている。2015年以来、同社のサイバーセキュリティ部門の20%がニューカラーだ。

それでもテクノロジー企業は、可能性のある候補者を増やし、またスマートな方法でそうした候補者を探し出し、将来チームメートとなるかもしれない人に動機を与えて専念させることにこれまで以上に真剣に取り組まなければならない。そうした人たちは学位や課程修了証明書を持っていなくても仕事をしながら学ぶことができ、ゆくゆくは適応する。それは時間とエネルギーを要することだ、と難癖をつけることはできる。しかし、真に実行可能な手段がほかにないことは明らかだ。

イメージクレジット: Hero Images / Getty Images

原文へ 翻訳:Mizoguchi)

Petyaはデータ破壊が目的――ランサムウェアではないと専門家が指摘

世界で猛威をふるったマルウェア、Petyaを「ランサムウェア」に分類するの間違っていたかもしれないと専門家が指摘している。Petyaのコードそのものおよび感染が拡大した経緯などの分析によると、Petyaの目的は利益を得ることではなかった可能性があるという。実際にはウクライナのコンピューター・ネットワークをターゲットにしたサイバー攻撃の一種だったらしい。

ランサムウェアは「被害者が身代金を払えばデータを回復できる」という仕組みで成り立つ。もし攻撃者が金を受け取ったのにデータを返さなければ、その情報はたちまち広まり、誰も金を払わなくなる。攻撃側としてこれでは利益を得られない。

ではそもそも「データを回復することが不可能」な攻撃だったらそれをランサムウェアと言えるだろうか?

もちろん答えはノーだ。では身代金を得るのが目的でないとしたらPetyaの目的は何だったのか? Petyaが最初に確認されたのがウクライナのネットワーク上だったことを考えると、ウクライナのコンピューター・ネットワークに打撃を与えることが目的だったとしてもおかしくない。

Petyaに関するデータが明らかになるにつれてセキュリティー専門家の間でもこの考え方を取るものが出てきた。ComaeのMatt Suiche他のアナリストはPetyaのコードを昨年の同種の攻撃のコードと比較している。 2017年のPetyaはマスター・ブート情報を上書きして破壊し、ユーザー情報が回復不能となるるよう改造されているという。攻撃者のメール・アドレスも実際は無効にされており、身代金を振り込むこと自体不可能だった。

Brian Krebsのブログによれば、バークレーのInternational Computer Science InstituteのNicholas WeaverはPetyaは「意図的にデータ破壊を目的とした攻撃であり、ランサムウェアに偽装した何らかのテストだろう」と考えている。WiredはキエフのInformation Security Systems Partnersを引用して「このマルウェアはウクライナのネットワークに数ヶ月前から存在していたが、感染したコンピューターのデータが破壊されてしまうため同定が困難だった」としている。

マルウェアの拡散過程を正確に予測するのは不可能に近い(もちろんサーバーのファームウェアに焼きこむような場合は別だが)。そのためドイツが攻撃のターゲットの場合にフランスでマルウェアを拡散しても効率的ではない。逆にターゲット地域で拡散をスタートさせるのは効果的だ。しかも有名になったランサムウェア、WannaCryに表面的に似せて煙幕を張ったのであればきわめて巧妙だ。

もちろん部分的な情報しか利用できないため、こうした分析はすべて暫定的なもので、断定は困難だ。しかし「WannaCryタイプのランサムウェアで世界的に利得を得ようとした」というこれまでの報道は不正確かもしれない。

画像: Bryce Durbin

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Dyn DNSに対するDDoS攻撃はスクリプトキディによる犯行か

troll-2

経営リスクを分析するFlashPointは、先週発生したDynのDNSへのサイバー攻撃に関する予備調査結果を公表した。ロシア政府などに支援されたプロのハッカーによる攻撃ではないかとも噂されていたなかで、彼らが下した結論とは、今回の攻撃はアマチュアのハッカーによるものだった可能が高いというものだった。

先週の金曜日に起きたDynのドメインネームシステムに対するDDoS攻撃は、様々なWebサービスに大きな影響を与える結果となった。PayPal、Twitter、Reddit、GitHub、Amazon、Netflix、Spotify、RuneScapeなどのWebサービスでアクセス障害が発生したのだ。

ロシア政府の関与が噂されたのに加え、ハッカー集団のNew World Hackersをはじめとする様々な組織が、自分たちがこのサイバー攻撃の首謀者であると主張した。おかしなことに、あのWikiLeaksも同組織のサポーターが関与した可能性があるとツイートしている(おそらくジョークだろう)。

FlashPointはこれらの主張について「疑わしい」、「嘘である可能性が高い」とコメントし、その代わりにスクリプトキディ(他人が製作したスクリプトを悪用して興味本位で第三者に被害を与えるハッカー)たちによる犯行だったという説を主張しているのだ。

彼らがこの結果にたどり着く根拠となったのは、今回の調査で新たに分かった証拠の数々だ。今回の攻撃に使われたインフラストラクチャーは、Dynだけでなく有名なビデオゲーム企業にも攻撃を加えていたのだ。

「同社のサービスにはなんら影響がなかったとは言え、ビデオゲーム企業が標的にされたという事実はプロのハクティビスト、政府主導のハッカー、または社会的正義を掲げるコミュニティが関与していたという可能性を低め、オンラインのハッキング・フォーラムに現れるようなアマチュアによる犯行だった可能性を高めています」とFlashPointのAllison Nixon、John Costello、Zach Wikholmは分析資料のなかで語る。

Dyn DNSへの攻撃は、Miraiと呼ばれるマルウェアに感染したデジタルビデオレコーダーとWebカメラによって構成されたボットネットが引き起こしたものだ。このボットネットをコントロールするマルウェアのソースコードは今月初めにGitHubで公開されている。また、Miraiをリリースしたのはhackforums[.]netというハッキング・フォーラムに頻繁に現れるハッカーだったとFlashPointは主張している。

このような状況証拠は、英語で書かれたハッカー・フォーラムの読者と今回のサイバー攻撃とのつながりを示している。また、このhackforums[.]netはビデオゲーム会社を標的にしていることで有名なフォーラムであることをFlashPointは指摘している。

同社は「ある程度の自信をもって」この結論にたどり着いたと話す。

このコミュニティは「booters」や「stressers」と呼ばれる商業用DDoSツールの開発方法及びその使用方法を掲載していることで知られています。ハッカーたちはその「貸しDDoSサービス」とも言える有料サービスをオンラインで提供しており、マルウェアのMiraiやボットネットに関与しているハッカーの1人はこのフォーラムに頻繁に出入りしていることが知られています。「Anna-Senpai」というハンドルネームで活動するハッカーが10月初旬にMiraiのソースコードを公開しており、この人物こそが今月初めに「Krebs on Security 」とホスティングサービスプロバイダーのOVHを攻撃した人物だと考えられています。このフォーラムに頻繁に現れるハッカーたちはこれまでにも同様のサイバー攻撃を仕掛けていたことが知られていますが、それらの攻撃は今回よりもはるかに規模の小さなものでした。

FlashPointはさらに、ターゲットとなった企業が広範囲に及んでいること、そして金銭的な要求がなかったことから、今回の攻撃に金銭的または政治的なモチベーションがあったとは思えないと主張している。つまり、自分の能力を誇示したり何かを破壊することをモチベーションとするハッカーによる犯行だった可能性が高いということだ。そのようなハッカーたちは俗にスクリプトキディと呼ばれている。

セキュリティ企業のF-SecureでCHief Research Officerを務めるMikko Hypponenは、このFlashPointの分析に賛同している。「彼らは正しいと思います」と彼はTechCrunchとのインタビューで語る。「金曜日に起きたサイバー攻撃に、金銭的あるいは政治的なモチベーションがあったとは思いません。あの攻撃にはハッキリとした標的がなく、明確なモチベーションを見つけるのは難しい。なので、愉快犯による犯行だったのでしょう」。

サイバー攻撃に利用されたWebカメラがリコールされる一方で、IoTの安全性に関する問題は企業が単体で解決できる問題ではない。また、高いスキルを持つプロのハッカーでなくても、簡単に入手できるソフトウェアでボットネットをコントロールすれば、社会に大きな影響を与えるようなサイバー攻撃を仕掛けることができるかもしれないのだ。プロのサイバー攻撃の標的はもっとハッキリしており、公衆からの注目を得ることを避けようとしている。彼らのモチベーションは世界が焼け落ちるところを見ることではなく、もっと経済的なものだ。

今年の夏にIoTセキュリティのDojo-Labsを買収したセキュリティ企業のBullGuradは、ユーザーの個人ネットワークに接続されたIoTデバイスがShodanのサーチエンジンに掲載されているかどうかチェックできる無料のIoTスキャナー・ツールを提供している。Shodanのサーチエンジンは外部からアクセス可能なIoTデバイスをリストアップしており、そこに掲載されているデバイスはハッキングの対象になる可能性がある。

同社によれば、これまでに同社のツールによってスキャンされたユニークIPアドレスの数は10万以上にもおよび、そのうち4.6%のデバイスに脆弱性があることを発見したという。世界中に約40億台ものIoTデバイスが存在することから推定すれば、脆弱性のあるIoTデバイスは世界全体で1億8500万台も存在することになるとBullGuardは話す。

「IoTの脆弱性に対する本当の解決策はまだありません」とF-SecureのHypponenは話す。「IoTリスクに対応できる新しいセキュリティが必要ですが、消費者からデバイスの安全性を求める声はありません」。

IoTのセキュリティ強化を求める消費者は少ないものの、F-SecureはF-Secure Senseと呼ばれるセキュリティ製品の開発に取り組んでいる。だが、現状はまだそのツールに対する需要をテストしている段階だとHypponenは話す。彼によれば、IoTデバイスのセキュリティを強化するという動きは消費者からではなく、ネットワークからデータが流出することを恐れる企業から生まれるだろうと考えている。

「この状況に変化が起きるのは、IoTデバイスを標的としたサイバー攻撃ではなく、その背後にあるネットワークを標的とする大規模なサーバー攻撃が起きたときでしょう。人々のホームネットワークがランサムウェアに感染し、休暇中の写真が人質に取られ、しかもその攻撃がIoT洗濯機から侵入してきた時です。すると彼らは”対策するべきかも”ということに気付くのです」と話し、「これは今にも起きつつあることだ」と付け加えた。

「なので、ハッカーの攻撃対象はIoTデバイスではありません。IoTデバイスはベクトルです。彼らはそれをネットワークに侵入するための入口として利用しているのです。そして大半の場合、ネットワークをつなぐ鎖の弱点となるのが、IoTデバイスなのです」。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter

インターネットを蝕む大規模DDoS攻撃

cyber-security-data-phone1

編集部注: 本稿はForeScoutのCEOであるMichael DeCesareによって執筆された。

 

金曜日の朝に目が覚めると、私たちの会社で全社的に利用しているシングル・サインオンとクラウドストレージが機能しなくなっていることに気がついた。ドメインホストであるDynに対する分散型サービス妨害(DDos)攻撃が原因だ。

この攻撃はとても大規模だった。SpotifyやNetflixなどの消費者向けサービスだけでなく、HerokuやZendeskなどの企業向けプロバイダーが提供するサービスも機能しなくなっていた。騒動はひとまず一段落したが、こうしたサイバー攻撃はこれからもっと大勢の人々に、そしてこれまでにない程の影響を与える可能性がある。

DoS攻撃とは、ネットワーク上のサービスを機能停止の状態に追い込むことを目的としたサイバー攻撃だ。そのような攻撃が複数のIPアドレスやマシンによって行われることを分散型サービス妨害(DDoS)と呼ぶ。標的となったコンピューターは大量の処理負荷に耐え切れずに機能が停止してしまうのだ。

ここ数週間のあいだ、ハッカーたちはこのDDoS攻撃を大規模に行ってきた。KrebsonSecurity.comへの攻撃から始まった一連の騒動はその深刻さを増していき、何千ものデバイスによってDDoS攻撃が行われるようになった。サイバー攻撃の規模は回を重ねるごとに大きくなっていったのだ。

これはまだ確実ではないが、私が金曜日の朝に経験したサイバー攻撃もこの一連のDDoS攻撃の一部であった可能性が高く、しかもその攻撃に利用されたのはコンピューターやサーバーではなく、IoTデバイスだったのだ。

実際、Dynへの攻撃には多数の監視カメラが利用された可能性が高い。なぜ監視カメラなのか?なぜなら、世界中の家庭や企業で使われている監視カメラの多くは、数社の企業によって開発された同じファームウェア、またはそれによく似たファームウェアが組み込まれているからだ。

Courtesy of Getty Images/Frank Graessel / EyeEm

Courtesy of Getty Images/Frank Graessel / EyeEm

今ではこのファームウェアに深刻な脆弱性が存在することが知られており、その脆弱性を利用することで監視カメラのようなデバイスがDynのような標的に銃口を向けることになる。さらに、そのような監視カメラの多くではデフォルトの認証設定がそのまま使用されており、ハッカーたちにとっては恰好の餌食となる。

なぜこれが重大な問題なのだろうか?今回のサイバー攻撃のように、ビデオカメラを利用すればこれまでとは比較にならないほど簡単に、そして安価に大規模なボットネットを構築することができる。もはや、DDoS攻撃を開始するためにボットネットを調達する必要すらない。数週間前にインターネット上にアップされたプログラムを使えば、ハッカーたちはボットネットを自分たちで構築することができてしまうのだ。

また、IoTデバイスの脆弱性が引き起こす問題はDDoS攻撃だけではない。ハッカーがIoTデバイスを利用すれば、企業のファイアーウォールを攻略することも可能になってしまう。

これが重大な問題だと言われる理由はもう1つある。大方の推測によれば、現存するIoTデバイスでは今回のようなサイバー攻撃から身を守る体制がまったくとれていない。政府や企業がIoTデバイスのセキュリティー強化に取り組んではいるものの、それにはいくつかの課題がある。その中でも特に大きな課題なのが、従来のサイバーセキュリティソフトをIoTデバイスに搭載することができないという問題だ。

結果として、IoTデバイスを保護するセキュリティソフトの数は従来のOSを搭載するコンピューター向けのものと比べても少ない。パッチをあててプログラムを修正できるIoTデバイスもあるが、それができないものもある。パッチをあてることができないデバイスの場合には手動でセキュリティ対策をする必要があるが、通常それが行われることはない。

この問題に対する解決策とはなにか?この問題もサイバーセキュリティに関する問題である以上、それに対する単純な解決策など存在しない。たとえIoTデバイスであっても、サイバーセキュリティに関する基本的な教えを適応する必要がある。つまり、多重防護だ。IoTデバイスにもパッチをあてられるようにするなど、現時点で認識されている課題を解決するだけでは不十分だ。それだけでなく、はたしてそのデバイスは厳重なセキュリティソフトによって守られているのか、そして不穏な動きを常にモニタリングする体制は整っているのかということを常に問い続けていかなければならない。

それぞれのアプローチがもつメリットやデメリットについて議論をすることはできる。しかし、本当に重要なのは、ある1つのアプローチだけを考えて視野を狭めるのではなく、考え得るかぎりのアプローチやセキュリティ方法を検討するということなのだ。

IoTのネットワークを保護するために、わざわざ一から技術を開発し直す必要はない。しかし、IoTデバイスを利用した大規模なDDoS攻撃がインターネットの信頼性とそれがもつ機能を少しずつ傷つけていることは認識しなければならない。経済全体がインターネットに依存している今、ハッカーに対する防衛策について真剣に話し合うべき時が来ている。そのためには、IoTデバイスがハッカーたちの銃弾として利用されることを防ぐ方法をまず考えなければならないのだ。

[原文]

(翻訳: 木村 拓哉 /Website /Facebook /Twitter