米CISAとFBIが米国の衛星ネットワークへの脅威を警告、Viasatへのサイバー攻撃を受け

ウクライナでの戦争に端を発した欧州の衛星ネットワークへの最近の攻撃が、やがて米国にも波及する恐れがあるとして、米政府は衛星通信ネットワークへの「脅威の可能性」について警告した。

今週発表されたCISA(米サイバーセキュリティ・インフラセキュリティ庁)とFBI(米連邦捜査局)の共同勧告は、衛星通信(SATCOM)ネットワークプロバイダーや衛星ネットワークに依存する主要なインフラ組織に対し、サイバー攻撃の可能性の高まりに備えサイバーセキュリティを強化するよう促すとともに、侵入が成功してしまえば顧客環境にリスクをもたらすと警告した。

この勧告では、脅威を受ける特定のセクターの名前は挙げられていないが、衛星通信の利用は米国全土に広がっている。推定で約800万人の米国人が、インターネットアクセスのためにSATCOMネットワークに依存している。衛星通信システムの分析を専門とするサイバーセキュリティの専門家、Ruben Santamarta(ルーベン・サンタマルタ)氏はTechCrunchに対し、ネットワークは航空、政府、メディア、など幅広い業界で利用されており、遠隔地にあるガス施設や電力サービスステーションなどでも利用されていると述べた。

サンタマルタ氏によれば、特に軍が注意すべきなのは、最近SATCOMプロバイダーのViasat(ヴィアサット)が受けたサイバー攻撃だ。2月に欧州で数万人の顧客が通信不能になった。被害の規模を示す一例だ。

「ウクライナの軍隊はこの種の衛星端末を使っていました」とサンタマルタ氏はTechCrunchに語った。「ウクライナ軍の代表の1人が、通信の面で大きな損失があったことを認めています。ですから、明らかに今、影響を受けている最も重要な分野の1つなのです」。

同氏は、例えば海運業界にとって、攻撃が成功すれば、サイバーセキュリティの問題だけでなく、安全への脅威となる可能性があるという。「船舶は安全運航のために衛星通信を利用しており、遭難信号を送信する必要がある場合、無線周波数またはSATCOMチャネルで送信することができます。もし、そのような救難信号を送れないとしたら、それは問題です」と同氏は述べた。

今回の合同勧告は、欧米の情報機関が先月、ViasatのKA-SATネットワークを襲ったサイバー攻撃の調査を開始し、ロシアの侵攻開始時に欧州全域で大規模な通信障害を引き起こしたと報じられた数日後に発表されたものだ。

この障害はまだ完全に解決していないが、ウクライナや欧州の他の地域で何万人もの顧客の衛星インターネットサービスに影響を与え、ドイツではおよそ5800基の風力タービンを停止させたという。

このサイバー攻撃は当初、分散型サービス妨害(DDoS)攻撃によるものと考えられていたが、その後疑問視されるようになった。Viasatはまだ技術的な詳細を発表していないが、攻撃者が衛星ネットワークの管理セクションの設定ミスを利用してモデムにリモートアクセスしたことを確認している。サンタマルタ氏によると、このことは、攻撃者が悪意のあるファームウェア・アップデートを端末に展開した可能性が高いことを示唆している。

「攻撃者は、正規の制御プロトコルを悪用してコマンドを出すために、地上局を侵害または偽装することに成功し、端末に悪意のあるファームウェア・アップデートを展開した可能性が高い」と同氏はこの攻撃の分析で述べている。

Viasatはウクライナ軍に衛星通信サービスを提供していることから、今回のサイバー攻撃は、ロシアの侵攻初期にウクライナ全域の通信を妨害しようとした可能性があるとみられている。

「私たちは現在、これが意図的で、それ自体独立した、外部要因によるサイバー事案であると考えています」とViasatの広報担当者であるChris Phillips(クリス・フィリップス)氏は話す。「Viasatによる継続的な、そして現在も続く対応により、KA-SATネットワークは安定しました」と同氏は述べ、フランス宇宙司令部のMichel Friedling(ミシェル・フリードリング)司令官が、この事件の結果 Viasatの顧客端末が「永久に使用できない」状態になったとのツイートに反論した。

「Viasatは、この事案で影響を受けた欧州の固定ブロードバンドユーザーへのサービスを再開するために、販売代理店と積極的に協力しています。私たちは重要なインフラと人道支援に重点を置いています」とフィリップス氏は付け加えた。「私たちは大きな前進を続けており、複数の解決作業が完了し、他の作業も進行中です」。

米政府の勧告によると、SATCOMネットワークを標的とした同様の攻撃のリスクが高まっているため、米国の組織は「悪意のあるサイバー活動の兆候を報告し共有するための閾値を大幅に下げる」べきだという。

画像クレジット:Al Drago / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi)a

グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見

Google(グーグル)の脅威分析グループは、ランサムウェア「Conti(コンチ)」を使う犯罪集団などロシアのハッカーの仲介役として働く、金銭的動機を持った脅威アクターの存在を確認したと発表した。

Googleが「EXOTIC LILY(エキゾチック・リリー)」と呼ぶこのグループは、初期アクセス手段のブローカーとして、脆弱な組織を見つけ、そのネットワークへのアクセス情報を、最高額の入札者に販売する。Contiのようなランサムウェア犯罪集団は、被害者となるネットワークへの初期アクセスをこのグループに委託することで、攻撃の実行段階に集中することができるというわけだ。

EXOTIC LILYの場合、この初期アクセスは標的に電子メールを送信する活動から始まる。メールのやり取りの中で、EXOTIC LILYはなりすまし用ドメインや偽のIDを使って、正当な組織や従業員を装う。多くの場合、なりすましドメインは、既存の組織の実際のドメイン名とほぼ同じだが、トップレベルドメインが「.us」「.co」「.biz」に変わっている。EXOTIC LILYは、なりすました組織の正当な従業員に見せかけるため、ソーシャルメディアに偽のプロフィールを作成し、そこにAIで生成された人間の顔の画像を使っていた。

この攻撃グループは、まずビジネス提案を口実に標的型フィッシングメールを送り、最終的にはWeTransfer(ウィートランスファー)やMicrosoft OneDrive(マイクロソフト・ワンドライブ)などの公開ファイル共有サービスにアップロードしたマルウェアをダウンロードさせるという手口を用いる。そのメール送信などの活動時間帯から、グループは中央または東ヨーロッパで活動している可能性が高いと、Googleは考えている。

Googleの研究者であるVlad Stolyarov(ヴラド・ストリャロフ)氏とBenoit Sevens(ブノワ・セブンス)氏は、公開前にTechCrunchに共有したブログ記事で「大規模な作戦に焦点を当てたサイバー犯罪グループにとって、このレベルの人的交流はかなり珍しい」と指摘している。

これらの悪意のあるペイロードは、当初はマイクロソフトのMSHTMLブラウザエンジンに存在するゼロデイ脆弱性(CVE-2021-40444として追跡されている)を悪用した文書の形をとっていたが、最近では攻撃者が「BazarLoader(バザーローダー)」マルウェアを隠したISOディスクイメージの配信に切り替えている。この移行から、Googleの研究者は、EXOTIC LILYが「WIZARD SPIDER(ウィザード・スパイダー)」という名称で追跡されているロシアのサイバー犯罪集団と関係があることが確認されたと述べている。UNC1878としても知られるWIZARD SPIDERは、2018年以降、企業や病院(米国のUniversal Health Services[ユニバーサル・ヘルス・サービス]を含む)、政府機関を標的に使用されてきた悪名高い「Ryuk(リューク)」ランサムウェアを使うサイバー攻撃組織だ。

この関係の性質は依然として不明だが、EXOTIC LILYはメール送信活動による初期アクセスの獲得に重点を置いており、Contiや「Diavol(ディアヴォル)」ランサムウェアの展開を含むその後の活動とは、別の独立した組織として運営されているようだと、Googleは述べている。

Googleによると、2021年9月に初めて観測され、現在も活動を続けているEXOTIC LILYは、活動のピーク時には1日に5000通以上のフィッシングメールを650もの組織に送信していたという。同グループは当初、ITやサイバーセキュリティ、ヘルスケアなど特定の業界をターゲットにしていたようだが、最近では、あまり特定の焦点にこだわらず、さまざまな組織や業界を攻撃し始めている。

Googleは、組織のネットワーク防御に役立てるため、EXOTIC LILYの大規模な電子メール活動から得たIOC(セキュリティ侵害インジケーター)も公開している

画像クレジット:Yasin Ozturk / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

ウクライナの副首相が語る企業制裁と戦時中の政府運営について

ロシア軍がウクライナに侵攻を開始したのは3週間前だ。紛争は初日から多面的な様相を見せている。地上戦に加え、ウクライナ政府はデジタル戦線にもすばやく対応した。国家の代表者が暗号資産の寄付を求め、ハイテク企業にロシアでの販売やサービスを停止するように呼びかけ、デジタルレジスタンスを組織した。

ロシアの侵略に対する政府の反応を体現している公人の1人が、Mykhailo Fedorov(ミハイロ・フェドロフ)氏である。2019年、28歳でウクライナ初のデジタル変革担当大臣に就任した。またウクライナの副首相でもある。Oleksandr (Alex) Bornyakov(オレクサンドル[アレックス]ボルニャコフ)情報変革(Information Transformation)担当副大臣も、ウクライナ政府で重要な役割を果たしている。先週TechCrunchのIngrid Lunden記者は、ボルニャコフ氏にインタビューを行っている

ミハイロ・フェドロフ氏は、米国時間3月15日未明のTechCrunchによるインタビューで「戦争前のことですが、Zelensky(ゼレンスキー)大統領と一緒に考えていたのは、デジタル利用できる公共サービスという点で、世界で最も便利な国作りでした」と述べている。

現在、これらのプロジェクトの多くは保留されているが、ウクライナ政府はデジタル変革の取り組みによる効果をすでに実感しているところだ。フェドロフ氏は、デジタル外交の面でも積極的に活動している。彼は、ビッグテック企業が国際関係においてかなりの力を持つようになったことをよく理解している。だからこそ、彼らにウクライナの味方になってもらうために、あらゆる手を尽くしているのだ。

Zoomを使った幅広いインタビューの中で、フェドロフ氏は通訳の助けを借りながら、戦時中に政府に参加することがどのようなものかについての洞察を語った。なおインタビューの内容は、わかりやすく簡潔にするため、若干の編集が加えてある。

TechCrunch:いまどちらにいらっしゃいますか?現在のご自身の状況について教えてください。

ミハイロ・フェドロフ氏:私は活動のまさに中心にいます。セキュリティの関係上、所在地をお伝えすることはできませんが、すべてのプロジェクトについて、24時間休みなく、大統領のチームと連絡を取り合っていることは断言します。

数カ月前と今とでは、日常生活が大きく変わっていると思います。対ロシア戦争時の、日々の仕事と役割について教えていただけますか?

我々は非常に若い省庁です。ゼレンスキー大統領が当選したときに、彼のプログラムの重要な部分を実行するために設立されました。選挙前、私は大統領のデジタルキャンペーンの責任者でした。彼が当選した後、私たちはデジタル国家という共通のビジョンを実現するために力を合わせたのです。

ゼレンスキー大統領との戦争前のビジョンは、デジタルで利用可能な公共サービスという点で、世界で最も便利な国を作ることでした。私たちが目指したのは、ダブルタップでサービスが受けられるような行政です。お役所の干渉をできるだけ受けないように、半自動化するのです。つまり、みなさんが期待するような政府というよりも、Uberに近い存在になろうとしていたのです。

この危機的状況の中でウクライナの人々を支援するために、そうしたデジタル公共サービスを活用する方法はないのでしょうか?

公共サービスを立ち上げるための工場のようなものを作りました。それを可能にしているのが、1500万人のユーザーを持つ私たちのアプリです。また、この期間を通じて実装することができた、政府が運営するすべてのデータベースの相互運用と、新しいサービスを立ち上げて提供するために微調整された管理組織も、それを可能にしています。

例えば、この戦時中に、戦闘で大きな被害を受けた地域からの移住を余儀なくされた人たちに、現金を支給するなどのサービスを開始することができました。また、無料の公共テレビと無料のラジオを埋め込むこともできました。また、公式なルートで軍への募金を行えるようにしました。

敵の動きも追跡して報告できるサービスもあります。基本的にはクラウドソーシングによる情報提供ですが、戦争が勃発してからわずか数日でそれを開始することができました。

なぜなら、私たちの内部諜報機関は非常に特殊であり、誰もが持っているようなものではないからです。また戦時中に、誰であろうと、どこにいようと、どんな身分であろうと、内部移動と公共サービスを受けるための重要な情報をすべて網羅した追加書類を公開することができました。また、将来の手続きのために、基本的に戦争で損害を受けたり破壊されたりした場合に備える資産目録サービスにも取り組んでいます。

これらのサービスは、今いる場所からインターネットサービスにしっかり接続できることを意味しています。携帯電話、固定電話ともに接続の現状はどうでしょう?

通信産業のおかげで、今のところ非常に安定しているし、自信も持てるのだと言えるでしょう。24時間体制で働く彼らは、真のヒーローです。停電が発生すると、すぐに修理に駆けつけてくれます。

そのため、国土の大部分において安定したインターネット接続を維持することができているのです。また、EU圏内で最も多くのStarlink(スターリング)端末を保有しています。

軍と政府の両方から預かっている機密データについては、どうなさるつもりですか?現在データの拠点はウクライナ国内にあるのでしょうか?また、最悪の事態に備え、データを海外に移動する計画はあるのでしょうか?

デジタル国家を構築すると、露出度や攻撃界面が増えます。つまり、私たちは常にサイバーセキュリティに細心の注意を払い、真剣に取り組んできたのです。また、デジタル国家を構築していく中で、ロシア連邦から常にサイバー攻撃の標的にされてきました。

詳しくいうまでもなく、私たちのデータは安全だと言いたいと思います。バックアップもあります。データの整合性と安全性を確保する手段を備えています。つまり、何が起きようとも、ウクライナ国民のために信頼性の高いサービスを提供し続けることができるのです。

話題を変えて、対ロシアの企業制裁の話をしたいのですが、大臣はTwitter(ツイッター)やメディアで「欧米の企業は今すぐロシアでの販売を停止すべきだ」と企業に呼びかけていますね。このアイデアはどこから来たのでしょう、そして効果的だと思いますか?

私たちはこのプロジェクトをデジタル封鎖と呼んでいます。そして、この戦争に勝つためには、これが非常に重要な要素であると考えています。そして、将来的には、政府は古典的な政府ではなく、ハイテク企業に似てくるだろうと思っています。

デジタルプラットフォームは、複数の重要なサービスを提供しています。社会の仕組みにしっかり組み込まれてしまっているのです。このようなサービスを攻撃者から1つずつ取り除いていけば、彼らの社会構造に実際のダメージを与え、日常生活を送る上で非常に不愉快な思いをすることになるのです。

私たちはこれを、まったく新しい未踏の戦場と考えたいと思っています。そしてこれは、ロシアの発展を何十年も後戻りさせることになると予想される制裁を、補完する措置でもあるのです。

また、ハイテクビジネスは非常に大きな付加価値を生むと思っています。だからこそ、Tesla(テスラ)はGazprom(ガスプロム、世界最大の天然ガス企業)よりも価値があるのです。こうした付加価値を生み出す技術系の人材は、実はとても身軽でノマド的なのです。このような不利な条件をロシア内に生み出してしまえば、技術系の人材は他に移ってしまうことになるでしょう。

これが今回のデジタル封鎖を可能な限り徹底的かつ包括的に行う理由です。ロシアの戦車と兵士がわが国から撤退し、わが国民の殺戮を止める瞬間まで続けます。

副大臣のご意見として、ロシアでの販売停止やビジネス停止などが十分でなく、もっとやるべきことがある企業はあるでしょうか?

特に名前を挙げたいのはSAPですね。銀行や大企業にERPを提供しているドイツの会社です。基本的に、彼らはロシア企業にITインフラを提供し、またロシアで税金を納めることで侵略戦争に貢献しているのです。こうして彼らは、ウクライナ国民や民間人を殺害している軍隊を支持しているのです。

現在のウクライナのハイテク産業、ハイテクコミュニティについて教えてください。私たちは技術コミュニティで起きていることを多く取り上げていますので、ウクライナの技術者たちが今どのように反応しているのかを知りたいのです。

ウクライナには約30万人の技術系人材がいます。国際企業のほとんどは、ウクライナでの事業を安定させ、事業継続を確保することができました。難しいことではありますが、ほとんどの人が何とかやっています。

ブロードバンドインターネット、安全な場所、税制優遇、移動手段などを提供し、技術系企業のニーズに応えようと考えています。つまり基本的に、彼らに何か問題があったときに、ワンストップで対応できるような存在になることを目指しています。

昨日(米国時間3月14日)には、ウクライナ軍がClearview AI(クリアビューAI)の顔認識技術を利用しているという報道がありました。このClearview AIとの提携について、詳しくお話ししていただけますか?

現在、このプロジェクトは非常に初期の段階にあると言えます。進捗状況についてコメントする立場にはありませんが、結果が出れば、喜んで結果をシェアしたいと思っています。

Clearview AIを活用する場合、どのようなユースケースを想定なさっているのでしょうか。

まず最初に、これらのユースケースのほとんどは非公開のもので、公にお知らせできるものではないということをお断りしておきます。

でも、ちょっとだけお話しするなら、総務省との仕事があります。ウクライナ国内で殺害されたり、捕虜になったりしたロシア軍を特定しようとするものです。ご存知のように、ロシア政府は彼らの存在を否定し始め、書類なしで送り込んだりしています。

もう1つは、検問所を通過する人をチェックするユースケースです。もう1つは、行方不明者の捜索です。

関連記事:ウクライナ情報変革副大臣インタビュー「IT軍団と29億円相当の暗号資産による寄付」について語る

暗号資産による寄付についてもお聞きしたいのですが。暗号資産に関する戦略について、最新情報を教えていただけますか?

現時点で、5500万ドル(約65億2000万円)を調達することができました。そして、そのすべてがウクライナ軍へ振り向けられました。

我々は暗号資産にやさしい国家も目指しています。具体的な内容もお伝えできます。国会で仮想資産に関する法律が採択されました。数日のうちに大統領が署名して法制化されると思います。ですから、私たちはできるだけ仮想資産にやさしくするように努めています。そして、戦時中もこの取り組みを続けています。

ウクライナで暗号資産に関する新しい法律が程なく成立するというお話が出ましたね。政府のメンバーとして、現在どれくらい緊密に働いていますか?新しい法律をどのように成立させ、政府の他の部分とどのようにチームとして働いているのでしょう。

それはすばらしい質問です。戦時中は、政府は基本的にオーバードライブモードで動いています。私たちは24時間、土日も関係なく働いています。戦争前は会議は毎週開催でしたが、現在は毎日開催しています。

ちょうど、軍隊の勇敢な軍人たちが、土日祝日もなく昼夜を問わず国を守っているようなものです。私たちも同じようにやっています。

私たちは、軍事面でも、技術面でも取り組みを行っています。また、経済面でも取り組んでいます。わが国の政府は、経済の自由化を進め、経済におけるあらゆるハードル、障害、ボトルネックを取り除くことに特に力を注いできたのです。税制の簡素化も進めています。私たちは税関を開放していて、ああ、戦争にもかかわらず経済的に国を発展させようとさえしています。

現状で知りたかったことは、すべてお尋ねしたつもりです。もしよろしければ、毎週、あるいは2週間おきに定期的にお話しして、近況を共有しましょう。ひとます今回は、ご回答ありがとうございました。

もちろん、フォローアップ会議を企画したいと思います。あと、結論として、以下のことを記事に書いていただければと思います。

技術コミュニティ全体に感謝したいと思います。技術コミュニティが私たちの側、明らかに善い側を選んでくれたと信じているからです。私たちはそれを心で感じ、技術者コミュニティの行動で感じることができています、とても感謝しています。

画像クレジット:Future Publishing / Getty Images

原文へ

(文:Romain Dillet、翻訳:sako)

Ubisoft「サイバーインシデント」後に従業員のパスワードをリセットした理由を明言せず

ゲーム業界大手のUbisoft(ユービーアイソフト)は、会社のパスワードが大量にリセットされたセキュリティインシデントを確認したが、実際の事件の内容については明言を避けた。

Ubisoftは簡単な声明の中でこう述べている。「先週、Ubisoftは当社のゲーム、システム、サービスの一部に一時的な混乱を引き起こすサイバーセキュリティインシデントを経験しました。当社のITチームは、外部の一流専門家と協力して、この問題を調査しています。予防措置として、全社的にパスワードのリセットを開始しました」。

「また、当社のすべてのゲームとサービスは正常に機能しており、現時点では、この事件の副産物としてプレイヤーの個人情報にアクセスまたは暴露された証拠はないことをお知らせします」と声明は述べている。

フランスに本社を置く同ゲーム会社は「Assassin’s Creed (アサシン クリード)」や「Far Cry(ファークライ)」シリーズで知られている。10月に発表された同社の最新の業績報告書によると、Ubisoftのアクティブプレイヤー数は1億1700万人とされる。

ユーザーのパスワードや従業員の認証情報が漏洩した恐れがある場合、企業がパスワードのリセットを開始するのは珍しいことではない。

TechCrunchは、Ubisoftにいくつかの質問を送った。その中で、ネットワークへの侵入かどうかなど、サイバーセキュリティインシデントの性質について説明するよう求め、不正なデータアクセスや流出の証拠を検出するためのログなどの手段を有しているかどうかを尋ねている。ログがあれば、データが流出したかどうかを、ログがなく証拠もない場合よりも高い確度で知ることができる。

Ubisoftの広報担当者は、このインシデントに関して「これ以上共有する情報は何もない」と述べている。

画像クレジット:Frederic J. Brown / Getty Images

[原文へ]

(文:Zack Whittaker、翻訳:Den Nakano)

ポーランドで逮捕されたランサムウェア犯罪グループ「REvil」のメンバー1人が米国に引き渡される

ランサムウェアグループ「REvil(レヴィル)」の主要メンバーの1人とされる人物が逮捕され、米国で裁きを受けるためにテキサス州に引き渡された。この人物は、IT管理ソフトウェアを提供するKaseya(カセヤ)にサイバー攻撃を仕かけ、同社の数千もの顧客のネットワークを暗号化した犯罪の実行犯である疑いがあると、連邦当局は述べている。

この22歳のウクライナ人、Yaroslav Vasinskyi(ヤロスラフ・ヴァシンスキー)容疑者は、現地時間10月8日にポーランドで逮捕された。8月に提出された起訴状によると、同容疑者はコンピュータハッキングと詐欺の疑いで告発されており、今週ダラスの連邦裁判所に喚問され引き渡されるまで拘束されていた。

一時期、別名Sodinokibi(ソディノキビ)とも呼ばれるサイバーギャング組織のREvilは、最も活発で多くの犯罪を行っているランサムウェアグループの1つだった。同グループは、しばしば被害者のコンピューターを暗号化し、高額な身代金を要求することがある。このロシア語を話すランサムウェア・アズ・ア・サービスの手口は、身代金として企業の利益の一部を受け取る代わりに、暗号化を解除するためのインフラへのアクセスを貸し出すというものだ。

このグループは出現以来、食肉加工工場のJBSに攻撃を仕掛けて食糧生産に遅れを生じさせたり、パソコンメーカーのAcer(エイサー)やエネルギー大手のInvenergy(インベナジー)などの企業のデータベースに侵入して個人情報を流出させた。

しかし、最も注目を集めたのは、ITおよびネットワーク管理ソフトウェア会社のKaseyaに対する攻撃だ。REvilのランサムウェアは、同社のソフトウェアを使用する顧客のネットワークで下流に向けて拡散し、数千の企業が影響を受けたとされる。そこで米国政府は、このハッカーを裁くための情報を求めて、1000万ドル(約11億7000万円)の懸賞金を打ち出すことになった。

Kaseyaの攻撃から数週間後、同社は世界共通の復号キーを入手し、顧客が数百万ドル(数億円)相当の身代金を支払わずともシステムのロックを解除できるようにした。The Washington Post(ワシントン・ポスト紙)によると、FBIは密かにキーを入手し、Kaseyaの攻撃で非難された後、しばらくしてインターネットから姿を消したハッカーの取り押さえを計画していたが、それは実現しなかったという。

10月までに米国政府は、この犯罪グループをオフラインに追い込む多国籍の取り組みを行っていたことを明らかにした。その後、ルーマニアとロシアの法執行機関がメンバーを逮捕し、グループはほぼ解体され、数百万ドルの現金と暗号資産が押収された。

「海外からKaseyaへのランサムウェア攻撃を行ったとみられる時からわずか8カ月後、この被告人は裁きを受けるためにダラスの法廷に到着しました」と、米国司法長官代理のLisa Monaco(リサ・モナコ)氏は声明で述べている。「私たちは攻撃されたら、国内外のパートナーと協力し、サイバー犯罪者がどこにいようと追い求めます」。

ヴァシンスキー容疑者は、Kaseyaの攻撃に関連して米国検察当局によって起訴されたREvilのメンバーとされる2人のうちの1人で、もう1人は28歳のロシア人、Yevgeniy Polyanin(エフゲニー・ポリアニン)である。

ヴァシンスキー容疑者は、有罪判決を受けた場合、100年以上の懲役刑が科せられる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

ソフトウェア開発者向けのサイバーセキュリティ事業を展開するFlatt Securityは3月9日、ソフトウェアサプライチェーンのためのセキュリティプラットフォーム「Shisho Cloud」(シショウクラウド)のサービス公開に先立ち、事前登録を同日より開始することを発表した。事前登録したユーザーには、4月上旬より優先的に案内する予定。

Shisho Cloudの事前登録は、公式サイトより行える。3月末日までに登録すると、初期費用が無料になる特典も用意されている(適用条件あり)。

Shisho Cloudは、開発したソフトウェアを顧客に届けるまでの一連の過程(ソフトウェアサプライチェーン)に関連するセキュリティ上の問題発見から修正までを、半自動的に支援するセキュリティプラットフォーム。GitHubなどのソースコード管理システムと連携することで、運用状態やその上で管理されているソフトウェアの依存関係・設定ファイルなどを継続的かつ自動的にレビューする。

これにより、自社組織がソフトウェアサプライチェーンに関するリスクをどの程度抱えているか、どのように改善できるかを、セキュリティフレームワークに沿って評価・モニタリングすることが可能という。Flatt Securityが提供するセキュリティチェックの他にも、自社固有のポリシーを定義・利用することも可能。この際、ポリシー記述言語Rego、WebAssemblyにコンパイル可能な複数のプログラミング言語を利用できる。

また、複数の開発チームが組織内に存在している場合や、複数のソースコード管理システムが利用されている場合など、開発組織全体を横断してリスク管理を行なうユースケースにも対応しており、全チームの状況を俯瞰してリスクを把握することもできる。

サービスの開始にあたり、直近では、ソフトウェアサプライチェーンに存在する重要なリスクの発見と修正の半自動的なサポートを目的とした下記の機能が提供される。Flatt Security、ソフトウェアサプライチェーン向けセキュリティプラットフォームShisho Cloud事前登録を受付開始

  • GitHubなど、各種ソースコード管理システムの安全な運用や監査を補助する機能
  • IaC (Infrastructure as Code) コードを継続的かつ自動的にレビューし、その中の設定不備の検出・具体的な修正方法の提案を行う機能
  • クラウドサービスのAPIキー・アクセスキーなどのシークレットや、個人情報などが、ソースコード内に不適切にハードコードされていないかを継続的に検査する機能
  • ソフトウェアパッケージの依存関係を解析・管理することで、既知の脆弱性が存在する依存先や知らぬ間に変更されうるような依存先、悪意のある依存先を検出し、更新を提案する機能
  • CI/CDワークフローの外部スクリプト・ワークフローへのリスクのある依存や、外部からのスクリプト注入を許すようなワークフローを検出する機能

 

長期的には、SLSAin-totoのようなソフトウェアサプライチェーンに関するフレームワークや、OpenSSFのような同領域に関するコミュニティの各種プロジェクトの展開を踏まえ、開発環境から実際のアプリケーション運用環境まで一貫したサポートの提供を予定しているという。

グーグルがセキュリティインテリジェンスのMandiantを6250億円で買収

サイバーセキュリティが多くの企業にとって最重要課題となっている今、Google(グーグル)はセキュリティインテリジェンス企業Mandiant(マンディアント)を54億ドル(約6250億円)で買収すると発表した。この買収によりセキュリティデータ収集能力と数百人のセキュリティコンサルタントチームを獲得する。Mandiantは買収完了後、Google Cloud(グーグルクラウド)に加わる予定だ。

Google Cloudの責任者Thomas Kurian(トーマス・クリアン)氏は、特にウクライナでの戦争が激化する中で、企業はかつてないほどのセキュリティ脅威に直面しており、MandiantはGoogle Cloudのプラットフォームにセキュリティサービスをもたらす、と指摘した。

「買収はエンド・ツー・エンドのセキュリティ運用を提供し、世界最高のコンサルティング組織の1つを拡張する機会です。力を合わせることで、クラウドの安全性を確保し、クラウドコンピューティングの導入を加速させ、最終的には世界をより安全にすることに大きな影響を与えることができます」とクリアン氏は声明で述べた。

GoogleはMandiantに1株当たり23ドル(約2660円)を支払う予定で、これは10日間の加重平均株価に57%のプレミアムを上乗せした額だ。Mandiantの株価は、この1年間で約18%上昇し、買収に関する噂が浮上し始めたここ数日でかなり急騰した

Moor Insights & Strategyの創業者で主席アナリストのPatrick Moorhead(パトリック・ムーアヘッド)氏は、この買収によってGoogleの既存の強力なセキュリティ姿勢が改善・拡大されるはずだと話す。「Google Cloudは、自社クラウド内のセキュリティ提供において、常に高い評価を得てきました。Mandiantの買収は、あらゆるクラウドやオンプレミス構成への門戸を開くものです」と同氏は筆者に語った。

クラウドセキュリティ分野を注意深く観察しているGartnerのアナリスト、Neil MacDonald(ニール・マクドナルド)氏も、2022年初めのSiemplify(シンプリファイ)買収と合わせて、Googleが強力なセキュリティ事業を構築しつつあると指摘する。「Googleが最近Siemplify を買収してセキュリティ・オーケストレーション・オートメーション&レスポンス(SOAR)を実現したのに続き、Mandiantの買収もGoogleがGoogle Cloud事業の一部であるセキュリティ部門の収益拡大に真剣に取り組んでいるという明確なシグナルです」とマクドナルド氏は説明した。

特に、クラウド上のワークロードを保護することに不安を感じている潜在顧客にとっては、今回の買収によりGoogleのセキュリティに関する主張が強化されるはずだとマクドナルド氏は付け加えた。「セキュリティ・ベンダーとしての能力とブランド認知度を高めることで、Google Cloud Platform(GCP)導入の阻害要因であるセキュリティを取り除くことができるのです」と話した。

Crunchbaseのデータによると、Mandiantは2004年に創業され、これまでに7000万ドル(約81億円)を調達している。同社は2013年に10億ドル(約1156億円)でFireEyeに売却された。合併した会社は2021年に分離し、FireEyeはSymphony Technology Groupが率いるプライベートエクイティコンソーシアムに12億ドル(約1388億円)で売却された

当時、FireEyeのCEOに就任した創業者のKevin Mandiant(ケビン・マンディアント)氏は、この取引はMandiantの独立した事業としての価値を引き出すためのものだと述べていた。確かにFireEyeよりもはるかに高額の買収額だった。

今回買収される側になったMandiantは、買収によってGoogle Cloudの規模とリソースにアクセスできるようになると話す。「Google Cloudセキュリティポートフォリオの一部として、Mandiant Advantage SaaSプラットフォームを介して、大規模に我々の専門知識とインテリジェンスを提供します」と買収を発表した声明の中でマンディアント氏は述べている。

買収完了に向けては規制当局の調査をパスし、Mandiantの株主の承認を得なければならない。両社は、2022年後半に買収が完了すると予想している。

画像クレジット:Sean Gallup / Getty Images

原文へ

(文:Ron Miller、翻訳:Nariko Mizoguchi

中国が支援するサイバー攻撃グループAPT41、「少なくとも」米国6州のネットワークに侵入

サイバーセキュリティ大手Mandiant(マンディアント)によると、金銭的動機に基づく活動と並行してスパイ活動を行うことで知られる、活発な中国のハッキンググループ「APT41」が、米国の複数の州政府のネットワークに侵入した。

このグループは、2020年にAPT41のメンバー5人が米国で起訴されたことにもめげず、少なくとも米国6州のネットワークを標的にして数カ月にわたる活動を行い、侵入に成功した。これらの州にはMandiantから通知が送られたが、州名は明かされなかった。

2021年5月から2022年2月にかけてこのハッキンググループは、脆弱なインターネット向けウェブアプリケーションを利用して、州ネットワークへの最初の足がかりを得た。これには、18の州が動物の健康管理に使用しているUSAHerdsというソフトウェアアプリケーションのゼロデイ脆弱性や、ユビキタスJavaロギングライブラリであるApache Log4jの、現在有名になっているいわゆるLog4Shellの脆弱性の悪用が含まれていた。

Mandiantによると、APT41は2021年12月にApache Foundationがこの脆弱性について公に警鐘を鳴らしてから数時間でLog4Shellを悪用し始め、2州の政府ネットワークや保険・通信業界の他のターゲットが侵害されるに至った。ネットワークへの足がかりを得たAPT41は「大規模」なクレデンシャル収集を行った。

今回の調査ではまた、APT41が使用するさまざまな新しい技術、回避方法、能力も明らかにされた。ある事例では、APT41が独自ウェブアプリケーションのSQLインジェクションの脆弱性を利用してネットワークにアクセスした後(この活動はMandiantによって阻止された)、2週間後に再び戻ってきて、まったく新しいゼロデイ・エクスプロイトでネットワークを再び侵害した。また、このグループは、マルウェアを被害者の環境に合わせ、特定のフォーラムの投稿で暗号化されたデータを頻繁に更新し、マルウェアが攻撃者のコマンド&コントロールサーバから指示を受けることができるようにしていた。

Mandiantは、ハッカーが個人を特定できる情報を流出させた証拠を確認したと述べたが、これは一般的にスパイ活動によくあることで、活動の目的は依然として不明だ。

Mandiantの主席脅威アナリストであるGeoff Ackerman(ジェフ・アッカーマン)氏は、ウクライナ侵攻を受けて世界がロシアのサイバー脅威の可能性に注目している一方で、今回の調査は、世界中の他の主要な脅威要因が通常通り活動を継続していることを思い出させるものだ、と述べた。

「特に、最も活発な脅威組織の1つであるAPT41の活動が今日まで続いているという我々の調査を踏まえると、他のサイバー活動を見過ごすことはできません」とアッカーマン氏は話した。「APT41はまさに持続的な脅威であり、直近の活動は、米国の州レベルのシステムがロシアだけでなく、中国などの国家支援ハッカーから容赦なく圧力を受けていることを改めて認識させるものです」。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ハッカー集団アノニマス、ロシア国営TVなどの配信チャンネル乗っ取りウクライナでの戦闘映像流す

ハッカー集団アノニマス、ロシア国営TVなどの配信チャンネル乗っ取りウクライナでの戦闘映像流す

ロシアがウクライナへの侵攻を開始した直後、AnonymousやCyber Partisanといった世界的ハッキンググループはロシアの銀行やニュースソース、ロシア軍が移動に利用したとされるベラルーシの鉄道網などにハッキング攻撃を仕掛けています。日本時間3月7日未明には、Anonymousがロシアの動画配信サービス「Wink」および「Ivi」さらにテレビ局の配信チャンネル 「Russia 24」 、「Channel One」、「Moscow 24」を乗っ取り、数十秒間ながらウクライナの現状の映像をロシア国民に向けて流しました。またロシアの通信衛星のハッキングも行い、フランス語圏に向けたRT(Russia Today)のチャンネルも映像を乗っ取られたとのこと。

ハッキング行為は直接的にはウクライナの危機を助けるものではありませんが、ハッキンググループはウクライナへの協力としてロシア政府の関係するサイバー部隊の動きを鈍らせることを意図してこうした攻撃をしていると主張しています。

ドイツ語圏のAnonymous分派グループは「DDoSだけでは体制を崩壊させることはできない」とブログに綴ったとIndependent紙は伝えていますが、それでも「民主主義に対してサイバー攻撃を仕掛けてきたプーチンはいま、しっぺ返しを食らっている」と述べていると伝えています。

なお、Anonymousは2月下旬以降、ロシア国防省やクレムリンなどを含む政府機関のウェブサイトを攻撃し、軍事的な通信内容の傍受などにも成功したと述べています。またテレビ放送の乗っ取りも2月末に一度行っており、やはりロシア以外の国における報道の様子をそのままロシア国民に向けて発信していました。

ただ、これで単純に「Anonymousすげー」と単純に称賛してしまってよいかといえば、そうではないでしょう。彼らは彼らにとっての正義に基づいて行動しているに過ぎません。過去には日本の財務省や最高裁判所といった官公庁のウェブサイトが、当時成立しようとしていた海賊版ダウンロード行為への罰則規定を含む改正著作権法に抗議するAnonymousに改ざんされたり閲覧不能にされる被害を受けています。

(Source:IndependentAnonyumousTV(Twitter)Engadget日本版より転載)

NVIDIAを攻撃のハッキンググループLapsus$、「イーサリアムのマイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

NVIDIAを攻撃のハッキンググループLapsus$、「マイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

NVIDIA

大手半導体メーカーのNVIDIAは、ここ数日南米のハッキンググループ「Lapsus$」の攻撃を受けており、企業機密の塊であるソースコードなどを盗み出されたとされています。その中には、任天堂の次期ゲーム機に関する技術情報も漏れているとの推測もありました

この犯罪グループがNVIDIAに対して、盗み出した情報の1つである「RTX3000系GPUに掛けられたイーサリアム(暗号資産)の採掘効率制限を回避するソフトウェアツール」を100万ドル(約1億1600万円)以上で買い取るように持ちかけ、従わない場合は競売に出して最高額入札者に売り払うと脅していることが報じられています。

GeForce RTX 3080や3070、3060 TiなどのNVIDIA製GPUの一部は、出荷時に暗号資産マイニングにおけるハッシュレート(=性能)が制限されています

なぜこのようなリミッターを掛けているのかといえば、暗号資産マイナー達の買い占めと半導体不足によって、GPUを買いたくても買えない人達があふれていたことから、あえて「ゲーマー以外に売れすぎないように」という狙いです。この制限は箱に書かれた文字から「NVIDIA LHR(Lite Hash Rate)」と呼ばれています。

Lapsus$が売りさばこうとしているのは、NVIDIA LHRバイパス(回避)ツールとでも呼ぶべきものです。彼らはRTX 3000シリーズのファームウェアを「フラッシュ」またはアップデートすることなく制限を回避できると主張しているとのこと。

彼らは今週初めにも公開チャットルームで「フラッシュなし=どのマイナーにとっても大金になる」と宣伝したとのスクリーンショットもあります。

NVIDIAを攻撃のハッキンググループLapsus$、「マイニング制限回避ツールを1億円以上で買い取れ」と脅迫か

しかしNVIDIA LHRは、採掘効率を本来の100%から50%に下げるにすぎず、マイナーらのコミュニティは50%から70%に引き上げる方法も考え出したとのこと。

またNVIDIAはLHRを今年(2022年)後半にかけて段階的に廃止する準備中ともいわれており、もしもNVIDIAが脅迫に屈せずツールが競売にかけられたとしても、100万ドルを出してまで飛びつく人がいるとは考えにくそうです。

むしろより大きな問題は、すでに盗み出したデータのうち19GB分を公開しているLapsus$が、さらに250GBが含まれたフォルダを公開すると脅していることです。世界はロシアのウクライナ侵攻で大変な事態となっていますが、こちらでもまだ一波乱あるのかもしれません。

(Source:PC Magazine。Via WccftechEngadget日本版より転載)

NVIDIA、ランサムウェア攻撃で機密データが流出

NVIDIA(エヌビディア)は、先週のサイバー攻撃でハッカーが従業員の認証情報や会社の専有情報などの機密データを同社のネットワークから盗み出し、現在「オンラインでリークしている」ことを確認した。広報担当者が米国時間3月1日、TechCrunchに語った。

NVIDIAは、2月4日に初めて明らかになったこの攻撃で、どのようなデータが盗まれたのかについては言及を避けた。しかし「Lapsus$」と呼ばれるランサムウェアの集団がTelegramチャンネルでこの攻撃を実行したことを明らかにし「機密性の高いデータ」や独自のソースコードなど1テラバイトの情報を盗んだと主張している。同グループの投稿によると、これにはNVIDIAのハッシュレートリミッターのソースコードが含まれていて、同社のRTX 30シリーズグラフィックカードのEthereum(イーサリアム)採掘性能を低下させるという。

Lapsus$は比較的知られていないが、2021年12月にブラジルの保健省を攻撃し、市民のワクチン接種情報など50テラバイトのデータを盗み、初めてランサムウェアのシーンに登場した。以来、ポルトガルのメディアグループImpresaや南米の通信事業者ClaroとEmbratelをターゲットにしてきた。

Emsisoft(エムシソフト)の脅威アナリストBrett Callow(ブレット・キャロウ)氏はTechCrunchに「Lapsus$が南米を拠点としていると考える研究者もいますが、それを示す証拠がどれほど確かなものかはわかりません。今のところ、彼らはやや素人っぽいように見えるので、関与した人物が経験豊富なサイバー犯罪者ではない可能性があります」と語った。

NVIDIAは、この攻撃の犯人と思われる人物についても言及を避けたが、2月23日に悪意のある侵入に気づいたといい、これを受けて同社は法執行機関に通知し、サイバーセキュリティの専門家を雇って攻撃に対応することになった。

この侵入はロシアのウクライナ侵攻の前日に発生したため、ロシアが支援するハッカーと関係があるのではないかとの憶測もあったが、NVIDIAは「ロシア・ウクライナ間の紛争と関係があるという証拠はない」と付け加えた。

同社は現在、盗まれ、その後流出した情報の分析に取り組んでいるが「この事件によって、当社の事業や顧客へのサービス提供能力に支障が生じることは予想していない」と述べている。先週の報道では、このサイバー攻撃により、同社のメールシステムや開発者用ツールが2日間オフラインになったとされていた。

NVIDIAの広報担当者は「セキュリティは、NVIDIAが非常に真剣に取り組んでいる継続的なプロセスであり、我々は日々、コードと製品の保護と品質に投資しています」とも述べた。

画像クレジット:Akos Stiller / Bloomberg / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

反体制派をスパイウェアから守れるのは民主主義国家だ

TechCrunch Global Affairs Projectとは、ますます複雑に絡み合うテクノロジー分野と世界政治の関係性を検証するためのプロジェクトである。

スパイウェアを購入するような政府には「公共の安全を脅かすテロなどの脅威と戦う必要性」という共通の口実がありがちである。しかし、独裁政権が最先端の監視テクノロジーを手に入れるとき、それは活動家、ジャーナリスト、学者など、脅威とみなされる反対派の声に対して使われる場合があるというのも周知の事実である。所有者の知らないうちに携帯電話やその他のハードウェアを感染させ、動きを追跡して情報を盗むために使われるスパイウェアプログラムは、銃と同じように確実に弾圧の道具となるのである。

21世紀に起きているこの現実を無視するには、あまりにも多くの事例が立証されている。しかし企業らは、それが何を意味するのかをあたかも知らないふりをしてスパイウェアを専制君主制の政府に売り続けている。この傾向は、世界中の政治的反体制者コミュニティを揺るがし、彼らを逮捕、さらにはもっと悪い事態に追いやっているのである。

我々はこういったテクノロジーの被害者になったことがあるため、この事実をよく知っている。サウジアラビアから帰化したアメリカ人と、イギリス人の学者として、同記事の共同筆者2人は、多くの同僚とともにこういったテクノロジーの被害にあったのである。

私たちの1人、Ali Al-Ahmed(アリ・アル・アハメッド)は、サウジアラビア政府がTwitter(ツイッター)から個人情報を盗み出し、それを使ってアハメッドのTwitterのフォロワーを追跡し、投獄し、拷問するのを目撃した。

もう1人のMatthew Hedges(マシュー・ヘッジス)は、アラブ首長国連邦に研究に来ていた大学院生で、後に入国前から当局に携帯電話をハッキングされていたことが発覚している。ヘッジスは2018年に逮捕された後にスパイ容疑で起訴され、当初は終身刑の判決を受けている。最終的には6カ月間拘束されたのだが、その間も手錠をかけられ、衰弱させる薬物が投与されていた

こういった痛々しい体験は未だどこかで繰り広げられている。今私たちは米国や英国に住んでいるため比較的安全だが、これらの体験はあまりにも一般的なものなのになっている。権威主義的な政権が国際法や人権のあらゆる原則に反して、日々人々に与えている継続的かつ体系的な虐待を、これらの体験が浮き彫りにしているのである。

独裁政権が市民の行動を逐一追跡できるのは、それを可能にしているスパイウェアベンダーの責任でもある。自社の製品がこのように利用されていることに目をつぶっている企業を民主主義政府が確実に取り締まるまで、世界中の反体制派は背中を狙われることになるだろう。

米国を含む民主主義諸国は今、この乱用を抑制するために断固とした行動をとるべきなのである。西欧の民主主義国の指導者たちはビッグテックを抑制する必要性について議論を続けているが、政府の規制とテック企業の果てしない綱引きの中で「ユーザーが一番の犠牲者になっている」と、監視組織のFreedom House(フリーダムハウス)の新たな報告書は伝えている。いつでも自国の政府の餌食になるのは一般のオンライン市民なのである。

中国やロシアは国家ぐるみのハッキングや弾圧を行い、その規模の大きさから世界的にも注目されている。しかし、サウジアラビアのような米国の同盟国も、しばしば最悪の犯罪者であることが少なくない。

例えばサウジアラビア、アラブ首長国連邦、バーレーンなど、反体制派に対して最も冷酷な扱いをする中東の国々は、イスラエル企業のNSO Group(NSOグループ)からスパイウェアを購入している。これらの政府はNSOのPegasusソフトウェアを使って人権活動家や批評家の電話を次々とハッキングしており、その多くは自国の国境をも越えている。

ドバイの支配者、Sheikh Mohammed bin Rashid Al Maktoum(シェイク・ムハンマド・ビン・ラーシド・アル・マクトゥーム)氏のように、こうした政権を支配する独裁者が純粋に個人的な動機で動いている場合もある。イギリスの裁判所は、同氏がPegasusを使って元妻とその子どもたち数人をスパイしていたことを明らかにした

これは、NSO Groupの関係者がある夜遅くにイギリスの著名な弁護士に電話をして、監視について密告したため世間に知られることになった。首長がPegasusを悪用したこともそうだが、同氏が自分たちの技術を不正に使っていたことをNSO Groupが認知していたというのはそれ以上に穏やかでない。このケースでは、上級管理職の人間も内部告発をするのに十分な露出度を感じていたようだが、同社は顧客による他の不正行為について明かしていない。

人権侵害で有名な警察や諜報機関にスパイウェアを売っているのは何もNSO Groupだけではない。イスラエルのCandiruやCyberbitも同様のビジネスをしているし、ドイツのFinfisherやイタリアのHacking Team(2015年のスキャンダルを経て現在はMemento Labsに改名)の製品も、虐待との関連が指摘されている。

NSOは、サウジアラビアアラブ首長国連邦がPegasusを悪用したとして契約を打ち切ったと報じられているが、企業の自己強化だけでは十分ではない。民主主義国家はこれらの企業に対し、製品が人権侵害に使われれば輸出禁止の制裁が下り、企業幹部も制裁を受けることになるという明確なメッセージを送るべきだ。

もう1つの重要なステップとして、米国商務省と英国や欧州連合(EU)などの民主主義諸国が、乱用を可能にしている企業との取引を制限するためのブラックリストを拡大することが挙げられる。米国商務省はすでに、NSO Group、Candiru、ロシアのPositive Technologies、シンガポールのComputer Security Initiative Consultancyを「Entity List」に登録しており、これらの企業は特別なライセンスなしに米国の販売者から部品を購入することができない。しかし、こういったことを世界規模で行えば、さらなる効果を発揮するはずだ。

また、民主主義国はスパイウェアの使用に関するオープンで統一されたルールを確立すべきである。先週、ホワイトハウスでは、権威主義と戦い、人権を促進することを目的とした、世界のリーダーたちによるバーチャル「Summit for Democracy(民主主義サミット)」が開催された。この連合が活動を開始するにあたり、スパイウェアはその最重要議題となるべきだ。

電子諜報活動とデジタル抑圧の新時代に突入した今、規制や法的保護を強化することによってのみ、民主主義国家はその存続を確保することができ、言論の自由を実現し、市民の福利を守ることができるのである。

編集部注:Ali Al-Ahmed(アリ・アル・アーメド)氏はInstitute for Gulf Affairsの創設者でありディレクター。Matthew Hedges(マシュー・ヘッジ)博士は、エクセター大学の博士研究員として教鞭をとっている。

画像クレジット:filo / Getty Images

原文へ

(文:Ali Al-Ahmed、Matthew Hedges、翻訳:Dragonfly)

脅威ではなく機会、すべてに対して安全なネットを構築するためのサイバーセキュリティ再構成

TechCrunch Global Affairs Projectとは、ますます複雑に絡み合うテクノロジー分野と世界政治の関係性を検証するためのプロジェクトである。

2021年を通して、新型コロナウイルスの新たな反復の急速なまん延とサイバー犯罪との間で、世界的なニュースが飛び交ったように思われる。いずれも、生き残りをかけた戦いの中で変化するにつれて、ますます創造的かつ破壊的になっている。新型コロナウイルスのロックダウンによる急激なデジタル化からサイバー犯罪者は利益を享受しており、両者は相互に関連し合っている。サイバーセキュリティ業界のある著名な幹部は最近のインタビューで、出生、死、税金と並び、私たちの現在の生活においてもう1つの確実なものは、デジタル脅威の指数関数的な増加であると指摘した。

それにもかかわらず、サイバーセキュリティについての誤解、特にそれが複雑で費用がかかり、面倒かつ無益でさえあるという誤った認識により、多くの新興経済国が第四次産業革命への参加を模索する中でサイバーセキュリティを置き去りにした。だが、成熟したサイバーセキュリティ政策の存在なくしては、デジタルエコノミーのポテンシャルを十分に実現することが困難な状態に各国は陥るであろう。

イノベーションエコシステムの開発における機会と競争優位への道筋としてサイバーセキュリティを再構成することは、個々の国家のサイバーレジリエンスを向上させると同時に、すべてに向けた世界的なデジタルエコシステムを強化する鍵となる可能性を秘めている。

イノベーションかセキュリティか?

2025年までに100億台ものデバイスがモノのインターネット(IoT)に加わることが予想される中、新興のデジタルエコノミーはこの革命の中心になろうと競い合っている。2020年には、約24億ドル(約2775億円)相当の投資がアフリカのスタートアップへと展開され、アフリカのeコマース売上は2025年までに750億ドル(約8兆6713億円)に達すると予測されている。同地域は、急速に成長している新興国・発展途上国40カ国の半分を擁し、現在最も起業家精神に富んだ大陸である。この傾向は、2030年までにデジタルディバイドをなくすことを目指す取り組みにより、人口の残りの78%がインターネットに接続されることで加速するであろう。

しかし、インターネットアクセスの拡大に伴い、世界的なサイバー犯罪も増加することになる。専門家は、サイバー犯罪が2025年までに世界経済に年間10兆5000億ドル(約1214兆円)の損失を与えると推定している。デジタル先進国はサイバー防衛を強化することで対応してきたが、アフリカのイノベーションエコシステムは依然として世界で最も保護されていない状況にある。

アフリカ55カ国のうち、データ保護とサイバーセキュリティに関するアフリカ連合条約(通称:マラボ条約)を批准しているのは10カ国のみであり、アフリカは国際電気通信連合(ITU)のグローバルサイバーセキュリティインデックスで最も低いスコアを記録している大陸であり続けている。ITUと世界銀行のイニシアティブにもかかわらず、アフリカにおいてサイバーセキュリティに関する何らかの法律を設けている国は29カ国に過ぎず、サイバーインシデントと緊急対応チームを置いているのはわずか19カ国である。このため、アフリカの経済は危険にさらされており、アフリカの指導者たちは世界的なサイバーセキュリティ政策を形作る組織体の枠外に取り残されている。

世界的に見ると、セキュリティへの同時投資を伴わないイノベーションシステムへの急速な投資は、デジタル成熟のセキュリティにおけるパラドックスを生み出す。このパラドックスでは、攻撃者が成熟度の2つのレベルの間のギャップを悪用し得る。そして、国家間のこうしたエンティティと各国家自体が二重の形で無防備かつ脆弱性を放置された状態となり、機会主義的で悪意のあるサイバー犯罪者の攻撃を受けやすくなる。

画像クレジット:Garson

ワクチンの地政学を連想させるような動態の中で、このことは、まだ黎明期にあり脆弱なイノベーションシステムを抱える国家を無防備にするリスクを冒すことになる。

サイバーセキュリティの争いか、それとも飛躍か?

サイバーインシデントの増加とそれに付随する衝撃的に高い代償が、サイバーセキュリティの強化を導くと考えるのは理に適っている。しかし、直感に反して、西側諸国における行動を促すサイバーセキュリティのナラティヴは、政策の麻痺や制限的な反射的反応にもつながっている。

ゲーム理論家でノーベル賞受賞者のThomas C. Schelling(トーマス・C・シェリング)氏は次のように指摘している。「私たちは計画を立てるとき、馴染みのないことを起こりそうにないことと混同する傾向がある【略】起こりそうにないことを真剣に検討する必要はないと判断する」。多くのデジタル発展途上国は、悪意のあるサイバー活動の基盤となっている大国政治の枠外にあると考えている。ロシアと米国のサイバースペースでの対立、デジタル覇権をめぐる中国と米国の競争、あるいはイランとイスラエルのデジタル消耗戦で見られたような、大規模な行動の犠牲者になることは、そうした国々には起こりそうにないことのように感じられる。その政策上の必須事項のリストにおいて、このようなサイバー攻撃からの保護は低い位置に置かれている。

デジタル先進国は、サイバー脅威の急速な拡大に対応するために、サイバーセキュリティの機構を導入している。サイバーインシデントやランサムウェアの支払いを報告しなかった場合に厳しい罰則を科す新たな法律の制定、REvilのようなランサムウェア集団を麻痺させるための国際的なイニシアティブの調整などがその例である。一方、デジタル発展途上国では、こうした脅威に対処するために必要とされるサイバーセキュリティ対策の複雑さを理解する上でのインセンティブや能力が不十分であることが多い。

これは、多くが潜在的な技術的新植民地主義の一形態として見ている、欧米のサイバーセキュリティパラダイムへの警戒感によって悪化している。欧米のサイバーセキュリティ技術の規制遵守、規範の採用、購入に対する要求は、これらの国家の成長機会を抑圧していると受け止められることが多い。また、国家をサイバーセキュリティコンプライアンスの対象に加えようとする試みは、国家の主権に対する攻撃と受け取られる場合もある。それは裏目に出ることになり、自由でオープンかつ相互運用可能なインターネットの利益へのアクセスを最終的に脅かすかもしれない、インターネットのシャットダウンのような代替パラダイムを求めるように国家を駆り立てる可能性がある。

しかし、それよりも頻度が高いのは、圧倒的な脅威に対して麻痺状態で反応し、行動を起こすことがまったくできないことであろう。

サイバーセキュリティはチームスポーツ、というのがCISO(最高情報セキュリティ責任者)のモットーである。グローバルなコンテキストでは、これは発展途上のデジタルエコノミーがチームの一員に加わる意思を確実に持つことを意味する。そのためには抜本的な改革が必要となる。

サイバーセキュリティの抜本的再構成

サイバーセキュリティの支持者たちは、サイバーセキュリティを、負担や制約というものではなく、活力に満ちたレジリエンスの高いイノベーションエコシステムを構築する機会として捉え直すことから始めることができる。サイバーセキュリティの魅力と価値を際立たせる新たなナラティブが、イノベーションを抑圧する不合理な基準の認識を払拭するために必要である。

例えば、サイバーセキュリティとデータプライバシーは小売業者の競争力の主要な源であり、価格の敏感性さえも上回ることが調査で示されている。時を同じくして、新設の米国務省サイバー局や英国の国家サイバー戦略2022のような米国と英国における最近のイニシアティブは、強固なサイバーエコシステムを戦略的優位性として強調している。

成熟したデジタルエコノミー、多国間機関、サイバーテックプロバイダーを持つ政府は、自らを守ることができる国家がデジタル革命において最も求められるパートナーであることを、強く主張すべきである。また、サイバーセキュリティに関する世界的な対話を形作ることもできよう。

すべてに対してより安全なネットという価値

すべてに繁栄をもたらす活発で競争力のあるデジタルエコノミーには、信頼でき、安全かつセキュアな、オープンで相互運用可能なネットワークが必要である。ベストプラクティスを活用して自らのイノベーションエコシステムを確保できる国家は、ディスラプションをもたらす開発を先導することになるであろう。ただし、国家や中小企業、個人がサイバーセキュリティを真剣に捉えるように導くためには、脅威から構築された政策を支持するのではなく、サイバーセキュリティの楽観的な論拠に基づいた政策にシフトする必要がある。

ナラティブを変えるには、デジタル的に成熟した国家が、より脆弱な国家に継続的な支援を提供する必要もある。これは、デジタル技術の輸出や、サイバーセキュリティ戦略の青写真のための単なる市場としてのデジタル発展途上国家という枠を超えて、サイバーセキュリティの恩恵を地域的にも世界的にも解き放つインフラの開発を支援するコミットメントを示すものである。サイバーセキュリティを機会として抜本的に再構成することを通じて、安全なデジタルインクルージョンの上に構築されたイノベーションシステムによる、すべてに対してより安全なネットの創出を、国家と社会が協働して確保することができる。善に向けた原動力としてのインターネットのポテンシャルが実現に向かうであろう。

編集部注:執筆者のMelanie Garson(メラニー・ガーソン)博士はTony Blair Institute for Global ChangeのInternet Policy Unitでヨーロッパ、イスラエル、中東の政策責任者。また、University College Londonの政治学部で国際紛争解決と国際安全保障の講師を務め、サイバー戦争とデジタル時代の紛争の未来、および国際交渉について教えている。

画像クレジット:LeoWolfert / Getty Images

原文へ

(文:Melanie Garson、翻訳:Dragonfly)

ウクライナがロシアにハッキングで対抗する「IT部隊」を募集し反撃、テックリーダーにも参加を呼びかけ

ウクライナがロシアの一方的な侵攻に対抗するために現地の一般市民を動員し武器を与える中、ウクライナ国外で力になりたい人々は、バーチャルワールドでの戦いに参加するよう要請されている。G7(米国時間2月27日に日本も参加)が結集して国際銀行システムのSWIFTからロシアの銀行を締め出そうとしている一方で、ウクライナ政府はデベロッパーたちに向けて、具体的なサイバー攻撃の任務を負ったIT部隊への参加を募るキャンペーンを行っている。政府はテック企業のリーダーにも、それぞれの役割を果たすよう名指しで呼びかけている。

IT Army of Ukraine(ウクライナIT部隊)」は26日に発表され、すでに同部隊のメインTelegram(テレグラム)チャンネルに集まった18万4000近いユーザーは(人数は伸び続けており、本稿執筆時点で1万人近く増えている)、アカウントを使って特定目的のプロジェクトを複数立ち上げ、ロシアのサイト、ロシアのスパイ、ロシアと共謀して行動する人々を封鎖し、ウクライナに住む人たちを動員して自分たちにできる行動をするよう呼びかけている。(Telegramを使っていない人たちのためのGmailアドレス、itarmyura@gmail.com も用意されている。TechCrunchはこのアドレスに連絡を取り、主催者がプロジェクトの詳細について話してくれるよう尋ねている)。

そしてその効果は現れているようだ。ロシア最大級の銀行であるSberbank(ズベルバンク)のAPIを封鎖するためのチャンネルの呼びかけがすでに実行に移されたようで、サイトは現在オフラインになっている。同様に、ベラルーシの公式情報ポリシーサイトも、対応するチャンネルで呼びかけがあったあと、オフラインになったと報告されている。彼らのとっている単純なアプローチは、Anonymous(アノニマス)をはじめとする活動家ハッカーグループが特定のターゲットを攻撃する際に用いているものと類似している。

「信じられないサイバー攻撃がロシアの政府サービス・ポータル、官邸、議会、チャンネル1、航空宇宙、鉄道などのサイトを襲った」と、ロシアメディアを引用して同部隊は指摘した。「『50を超えるDDosアタックが1テラバイト以上の容量を飲み込んだ』誰のしわざ:)?なんと悲しい事故でしょう」。

この取り組みは口コミで広がっているだけでなく、政府担当者もリンクをツイートして支援している。(ただし、政府が実際に背後にいるかどうかはわからない)。

「私たちはIT部隊を作っています。私たちはデジタル人材を必要としています」とウクライナの副首相兼デジタル変革相、Mykhailo Fedorov(ミハイロ・フェドロフ)氏がTwitterで呼びかけた。「誰にでも任務があります。私たちはサイパー前線で戦い続けます。最初の任務はサイバー専門家のためのチャンネルに書いてあります」。

フェドロフ氏はTwitterで言葉を無駄にしていない。同氏はMark Zuckerberg(マーク・ザッカーバーグ)氏とElon Musk(イーロン・マスク)氏も指名して、それぞれのプラットフォームと既存の製品を使ってプロジェクトを支援するべく、ロシアでのFacebookへのアクセスを禁止し、ユーザーがデータをバックアップできるようにStarlink(スターリング)のアクセスをウクライナに拡大するよう呼びかけた。しかし、Facebookの行動は少々遅れているようだ(広告は禁止されたが、今のところアクセスは禁止されていない)。

フェドロフ氏は、NFT(非代替性トークン)などのバーチャル商品の取引に使われているDMarket(ディーマーケット)が、ロシアとベラルーシのユーザーのアカウントを凍結したこともとり上げて称賛した。それらのアカウントの資金は対ウクライナ攻撃に使われる可能性があったからだ。

この国の暗号資産プラットフォームに対する立ち位置は概してかなり積極的であり、ウクライナ公式Twitterアカウントは26日、Bitcoin(ビットコイン)、Ethereum(イーサリアム)、およびTether (テザー、USDT)による寄付を受け付けるためのアドレスを公表した。多くの人々はアカウントがハックされたものだと思ったが、現在このツイートはピン留めされており、真剣であると思われる。しかし、寄付された資金がどのように集められ、どのように使われるのかは明確にされていない。

一連の出来事は、テクノロジーの動きの速さと、そこへの依存性の高さを物語っている。これを銀行間ネットワークSWIFTの閉鎖と対比すると興味深い。「swift(迅速)」の名前とは裏腹に、この制裁の動きはあまり速くない。なぜなら効果を得るためには各国が名乗りを上げるだけでなく、メンバーの金融機関(SWIFTには200カ国にわたる1万1000社の銀行その他の金融機関が加入している)もスイッチを切る必要があるからだ。

「SWIFTは中立的国際協力機構であり、200か国、1万1000以上の機関からなる共同体の総合的利益のために運営されています。国や個人を制裁するあらゆる決定は、適格な政府機関および適用される立法機関に委ねられています。ベルギー法の下に法人化されている私たちの義務は、EUおよびベルギーの関連規則を遵守することです」とSWIFTがTechCrunchに提供した声明で述べた。「私たちは欧州委員会、フランス、ドイツ、イタリア、英国、カナダ、米国の指導者による、ロシアの銀行に対して近々新たな規制実施を言明した共同声明を認識しています。私たちは欧州当局と協力して、新たな規制の対象となる実体の詳細を理解し、法律を遵守する準備を進めています」。

誤解のないようにいっておくが、SWIFTのアクセスを失うことは一大事であり、ロシアとロシア企業から商品売買のための取引機会を奪うものだ。しかし、この種の封鎖が最後に実施されたのはイランに対するもので、最大の効果を得るまで数年を要した。

「SWIFTを禁止されたりそこから排除されることは確実な影響があります、なぜならポイント・ツー・ポイント・ネットワークに関して、代替手段は多くないからです」とフィンテックコンサルタント会社、Firebrand Research(ファイアブランド・リサーチ)のアナリストファウンダー、Virginie O’Shea(バージニー・ オーシェイ)氏がTechCrunchに語った。彼女は、ロシアはかつてロシア国内銀行ネットワークを独自に構築しようとしたが、現時点で海外へは拡大していないことを指摘した。「SWIFTのような仕組みを作るには多くの時間と手続きが必要です」。

イランのときと同様、他国にも莫大な影響がありガスなどのエネルギー製品をロシアに依存している国々は特にそうだ。SWIFT決議の実施に時間がかかる理由の1つがそれだ。「石油とガスの視点で考えれば、これらのサービスへの支払いを妨げているのであり、ロシアだけでなく取引国にも影響を与えることになるのです」。

画像クレジット:Anadolu Agency / Getty Images

原文へ

(文:Ingrid Lunden、翻訳:Nob Takahashi / facebook

NVIDIAがサイバーセキュリティのインシデントを調査中、2日間デベロッパーツールとeメールがダウン

米国の半導体メーカーNVIDIAが、同社のデベロッパーツールとeメールシステムをダウンさせた可能性のあるサイバーインシデントを目下調査中であると認めた。

NVIDIAは声明で、このインシデントの性質と影響範囲を目下調査中だと述べているが、結果的に同社の営業活動には影響が及んでいないと付言している。

つまり「現在、インシデントを調査中である。弊社の事業と営業活動は中断されずに継続している。この事象の性質と範囲を未だ調査中であり、現時点では他に付け加えるべき情報はない」ということだ。

NVIDIAはインシデントの詳細を共有しないが、The Telegraphは「ネットワークへの悪質な侵入」により、これまでの2日間にわたって同社のeメールシステムとデベロッパーツールが停止の被害を被った」と報じている。

その記事は内部者の情報として、同社のシステムが2日間オフラインになったが、eメールシステムの当該部分は米国時間2月25日に稼働を再開したという。

ハッカーがNVIDIAやその顧客に関するデータを入手したかどうか、また、そのパートナーのいずれかが影響を受けたかどうかは、まだ明らかになっていない。The Telegraphの報道によると、NVIDIAはまだ犯人を特定できておらず、顧客はいかなる事件も知らされていなかったという。

NVIDIAのサイバー攻撃の可能性に関するニュースは、サンタクララに本拠を置く同社が、英国のチップ設計企業Armを買収するための400億ドル(約4兆6223億円)の入札を打ち切ったわずか数週間後に飛び込んできたものだ。同社は「当事者による誠実な努力にもかかわらず、取引の完了を妨げる重大な規制上の課題」の結果、相互の決定であったと述べている。

関連記事:NVIDIAがArmの買収を断念、Armはリーダーが交代し株式公開を模索

画像クレジット:Justin Sullivan/Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

ウクライナ、ベラルーシのハッカーが同国防衛軍をターゲットにしていると発表

ウクライナのサイバーセキュリティ当局は、ベラルーシに支援されたハッカーが、ウクライナ軍関係者のプライベートな電子メールアドレスを標的にしていると警告している。

ウクライナのコンピュータ緊急対応チーム(CERT-UA)は、Facebookの投稿でこの活動を発表し、大量のフィッシングキャンペーンが、ウクライナの軍関係者が所有するプライベートのi.uaとmeta.uaのアカウントを標的にしていると述べた。

「アカウントが侵害されると、アタッカーは、IMAPプロトコルによって、すべてのメッセージにアクセスできるようになります」と、CERT-UAは付け加えた。「その後、フィッシングメールを送信するために、アタッカーは被害者のアドレス帳を使用します」。

CERT-UAは、現在進行中のキャンペーンを、Mandiant(マンディアント)が2021年11月にベラルーシ政府と正式に関連付けたUNC1151脅威グループによるものとしている。また、Mandiantは、この国家に支援されたサイバースパイグループを、ヨーロッパ全域で反NATOのレトリックを広め、ハッキング・アンド・リーク作戦に関与してきたGhostwriterディスインフォメーション・キャンペーンに関連付けた。

ミンスクを拠点とするグループ『UNC1151』がこれらの活動の背後にいます。そのメンバーは、ベラルーシ国防省の将校です」と、CERT-UAは書いている。

ウクライナの国家安全保障・防衛評会議のSerhiy Demedyuk(セルヒイ・デメディク)副長官はロイターに対して、キエフ政府は、先週ウクライナ政府のウェブサイトをダウンさせたサイバー攻撃の背後にUNC1151グループがいたと考えていると語った。ウクライナのセキュリティサービスは、その事件の間で70以上の国家ウェブサイトが攻撃され、そのうち10が不正な妨害に遭ったことを明らかにした。

MandiantのBen Read(ベン・リード)氏はTechCrunchに対し、セキュリティ会社は過去2年間にわたりUNC1151がウクライナ軍を広範囲にターゲットにしているのを観測しており「この活動は彼らの過去のパターンに合致します」と述べている。

「ベラルーシ軍と関連があると思われるUNC1151によるこれらの行動は、ウクライナ市民やウクライナ軍の個人データが占領のシナリオで悪用される可能性があり、UNC1151はGhostwriter情報作戦を促進するためにその侵入を使用しているため、懸念されます」リード氏はさらに付け加えた。「ウクライナの団体から取得した誤解を招く、あるいは捏造された文書をリークすることは、ロシアとベラルーシの友好的なシナリオを広めるために利用される可能性があります」。

「Ghostwriterは以前、NATO同盟国を標的とし、この組織への支持を失わせようとしました」と、リード氏は語る。「近い将来、同様の作戦が見られたとしても、私は驚きません」。

画像クレジット:Pavlo Gonchar / SOPA Images / Getty Images

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

ロシアのウクライナ侵攻へのテック業界各社の対応

2月24日、ロシアは数カ月におよぶ国境での軍備増強を経て、隣国ウクライナへの侵攻を開始した。

インターネットトラフィックの氾濫とデータ消去マルウェアによる、ウクライナ政府機関を標的としたサイバー攻撃に始まり、その後、地上、海上、空からの侵攻を開始した。ウクライナの報道機関もサイバー攻撃による障害を報告しており、ウクライナ政府はこのサイバー攻撃はモスクワと「明確な関連」があると指摘している

米国、欧州連合、NATOの同盟国は侵攻を激しく非難し、ロシアに広範で前例のない金融・外交制裁を科そうとしている。この制裁は地域全体のビジネス、貿易、金融に影響を及ぼすと思われる。

侵攻の影響は、ウクライナのテックエコシステム全体にも及んでいることは間違いない。ウクライナには、何百ものスタートアップやテック大企業だけでなく、世界最大のテクノロジーブランドの研究開発オフィスもある。

今後数時間、数日の間に現地の状況が急速に変化する中、TechCrunchはこの紛争がテックやスタートアップのコミュニティにどう及ぶのか、ニュースや分析を提供し続ける予定だ。

ある大手テック企業の役員は、従業員の安全のために社名を伏せるよう要請しつつ、ウクライナにいる全スタッフを避難させる方法を検討している最中であることをTechCrunchに認めた。現在、全空域が立ち入り禁止になっており、公共交通機関もほとんど機能していないことが事態を困難にしている。現在の計画では、ハンガリーかポーランドのどちらかに国境を越えてスタッフを移動させる方法を考えている。

こうした状況は、ウクライナのスタートアップにも大きな経済的影響を与えそうだ。

PDFや電子メール、その他の生産性ツールを手がけているReaddleは、ウクライナで最も有名な自己資金で起業したスタートアップの1社だ。南部の都市オデッサを拠点とする同社の広報兼マネージングディレクターのDenys Zhadanov(デニス・ジャダノフ)氏は、現在処理しなければならない緊急事態が多すぎると述べ、この記事のための電話インタビューをキャンセルした。しかし、ジャダノフ氏はテキストメッセージでTechCrunchに語った。

「我々は少し前に事業継続計画を立て、今それを実行しています。Readdleのすべての製品とサービスは稼働しており、現時点ではチームの避難は行われていません」。

ジャダノフ氏は、Readdleが11カ国で従業員を抱える国際的な企業に成長したことを指摘した。チームの「大部分」は、今もウクライナを拠点にしているという。

「ウクライナには、優秀なエンジニアやデザイナーなど、技術系のプロフェッショナルが集まっています」とも付け加えた。「多くのテック企業のCEOが、ウクライナに留まることを意図的に選択しました。彼らの多くは、この国とその人々を助けるために、援助や寄付をしています」。

ウクライナでは、さらに多くの国産スタートアップが、その影響を感じている。家庭用無線セキュリティのAjax、AIベースの文法・文章作成エンジンGrammarly、顔交換アプリのReface、ペットカメラシステムのPetcube、販売・マーケティングインテリジェンスのスタートアップPeople AI、語学個別指導マーケットプレイスのPreplyなどだ。これらの企業は、世界最大級のVCのいくつかから資金を調達しており、今回の事態でそうした関係にどのような影響が出るのか、また出るのかが1つの疑問点だ。

Macのソフトウェアやユーティリティを開発するソフトウェア会社のMacPawは、本社はキエフにあるものの、インフラはAmazon Web Servicesでホストされており、物理的にはウクライナ国外にあるとブログへの投稿で明らかにした。同社の決済処理会社Paddleは英国に拠点を置いており、ユーザーにとって「何も変化はない」見込みだ。「現時点で、我々は強く、団結し、ウクライナの主権と領土保全を守る準備ができています」とMacPawはTechCrunchへの電子メールで述べた。

ウクライナに進出しているある企業は、現地の状況が急速に変化していることを理由に、TechCrunchとの会話を報道されることを拒否した。

スタートアップだけでなく、研究開発部門を国外に置いているテック大企業や、コンテンツから広告販売まで、より地域に密着したサービスを提供しているチームもある。

GoogleのYouTubeやByteDanceのTikTokのような消費者向けのプラットフォームを持つ企業にとっては、偽情報や、逆の検閲にどのように利用されているか、あるいは誤用されているか、またその種のトラフィックをどう処理しているかが問われることになる。その上で、サービス全体がどのように維持されているのか、制裁やインターネットサービスの中断によって停止するリスクはないのかも問われる。TechCrunchはAmazon、Apple、ByteDance、Facebook、Google、Meta、Snapにコメントを求めた。詳細が分かり次第、更新する。なお、Microsoftはコメントを却下した。

その他、伝える点がいくつかある。

Googleでは、その様子からして、グローバルサービスの研究開発と現地でのオペレーションを担当する約200人がウクライナで働いているようだ。同社は長年にわたり、ロシアにおけるYouTubeをめぐる検閲で多くの問題に直面してきたが、今のところウクライナではそのようなことはない。

2016年からウクライナで事業を展開し、9都市に進出しているUberは、同国内での事業を一時停止した。Uberはキエフ在住の従業員とその近親者に、ウクライナの他の地域や他国への一時的かつ自主的な移転を提案した。ギグワーキングのドライバーと彼らがサービスを提供するライダーにとって、Uberのアドバイスは家にいることだ。

「私たちは、Uberの乗客、ドライバー、従業員の安全を守るためにできる限りのことをすることに引き続き注力しています。「部門横断的なチームが状況を注意深く監視しており、安全が確認され次第、サービスを再開する予定です」とUberはTechCrunchに述べた。

Lyftもウクライナを拠点とする従業員に対して予防策を講じている。ロイター通信によると、Lyftは緊急物資や避難のための金銭的支援に加え、休暇も提供する予定だという。Lyftはウクライナに約60人の従業員を抱えているとされ、2021年12月のブログでは、同年4月に開設したキエフオフィスを拡張する計画があると書いている。Lyftの広報担当者はすぐにはコメントしなかった。

TikTokとその親会社のByteDanceは通常、国別の従業員数を公表していないため、ウクライナに何人いるかは不明だ。しかし、彼らは非常に人気のあるアプリを持っている。同国では2021年に30%のリーチがあったと推定され、前年の2倍となった。TechCrunchは2021年、TikTokがアレクセイ・ナワリヌイ氏を中心とした反プーチン活動をめぐる重要な戦場となった様子を紹介した

関連記事:ナワリヌイ氏が混ぜっ返すロシアの政治戦争にTikTokも台頭

TikTokの広報担当者は、TechCrunchに提供した声明の中で「当社のコミュニティと従業員の安全は最優先事項です」と述べた。「当社は、有害な誤情報を含むコンテンツを削除するなど、当社のプラットフォームの安全を脅かすコンテンツや動きに対して行動を起こし、状況が進展するなかで監視を続け、リソースを投入していきます」。

Facebookの安全保障ポリシー責任者Nathaniel Gleicher(ナサニエル・グレイチャー)氏は、ロシアのウクライナ侵攻に対応してプラットフォームが取る行動についてツイートした。グレイチャー氏によると、Facebookはネイティブスピーカーによる特別作戦センターを設置し「状況を注意深く監視し、可能な限り迅速に行動する」ことにしているという。また、同プラットフォームは、ユーザーが自分のアカウントをロックできる機能をウクライナに展開し、ユーザーの友人でない人は、プロフィール写真のダウンロードや共有、タイムライン上の投稿の閲覧ができないようにした。これは、Facebookが8月にアフガニスタンでユーザーを保護しようとしたときに使ったのと同じ戦略だ。Metaはまた、アフガニスタンのユーザーの「友達」リストの表示と検索機能を一時的に削除し、アカウント保護に関する指示を表示するポップアップの警告をInstagramで展開した。今のところ、この2つの措置はウクライナのアカウントには採用されていない。

Twitterはウクライナのユーザーに対し、多要素認証の使用やツイートの位置情報の無効化など、オンラインアカウントを保護するよう警告している。24時間前にTwitterが、侵攻前のロシアの軍事活動に関する詳細を共有しているアカウントを誤って停止したことを認めた時とは打って変わった事態になっている。

関連記事:ツイッター、ロシアの軍事的脅威に関するオープンソース情報を共有するアカウントを復活

また、インターネット大手CloudflareのCEO、Matthew Prince(マシュー・プリンス)氏は、データセンターが侵害された場合に顧客のデータと通信を保護する取り組みの一環として、侵攻開始の数時間後に「ウクライナのサーバーからすべてのCloudflare顧客の暗号資料を削除した」と述べた。同社は2016年にキエフのデータセンターを開設しており、同社のステータスページによると、現在も稼働している。Cloudflareは、組織や政府機関にコンテンツ配信とネットワークセキュリティを提供している。

画像クレジット:Daniel Leal / Getty Images

原文へ

(文:Zack Whittaker、Ingrid Lunden、Carly Page、Amanda Silberling、翻訳:Nariko Mizoguchi

不正なサードパーティアプリの発見を支援するAstrix Securityがステルスから登場

サードパーティアプリ統合のためのアクセス管理を提供するイスラエルのサイバーセキュリティスタートアップAstrix Security(アストリックス・セキュリティ)が1500万ドル(約17億円)の資金調達によりステルスから姿を現した。

このスタートアップは、イスラエルの有名な諜報部門8200部隊の元メンバーであるAlon Jackson(アロン・ジャクソン)CEOとIdan Gour(アイダン・グール)CTOが2021年に共同で創業した。組織が重要システムに接続されたサードパーティアプリの複雑なウェブを監視・管理できるようにする。

リモートワークへの、転じてクラウドベース環境への移行が広まった結果、組織が使用する統合アプリケーションの数は過去2年間で劇的に増加した。Astrixによると、企業は重要システムへのユーザーアクセスの管理にはほぼ対応しているものの、APIアクセスの管理に関しては大半の企業が不十分であり、サプライチェーン攻撃、データ流出、コンプライアンス侵害などにさらされ、脆弱性は増している。そこで同社は、完全な統合ライフサイクル管理を実現するプラットフォーム、Astrix Security(アストリックス・セキュリティ)を開発した。

「現在のソリューションは、採用したいアプリのセキュリティの状態を評価するセキュリティスコアを提示しています。NoName(ノーネーム)のような他のソリューションは、API セキュリティに着目しています。これは、あなたが開発し、他の人が利用するAPIに焦点を当てています」と、Astrix創業前にArgus(アルゴス)でR&D部門のトップを務めていたジャクソン氏はTechCrunchに述べた。「私たちは、Salesforce(セールスフォース)のCRMやGitHub(ギットハブ)の知的財産など、サードパーティを通じて行われる統合を調査します。これらのシステムはすべて、あなたが開発したわけではありませんが、あなたはそれらに対してAPIアクセスを有効にしているのです」。

Astrix Securityは、エンタープライズアプリケーションに接続するすべてのサードパーティのインベントリを即座に提供する。このような統合やローコード、ノーコードのワークフロー構成における変更や悪意のある異常を自動的に検出し、リアルタイムに修復を行う。

この技術があれば、2021年発生したCodeCovのハッキング事件は未然に防ぐことができたとジャクソン氏は主張する。同事件で攻撃者は、同社のソフトウェア監査ツールに侵入し、数百の顧客ネットワークへのアクセスを得た。

「この出来事は、まさに私たちが開発しているものが目指すところです。この開発者は、GitHubにある自分のコードレポジトリの上に、新しいサードパーティ接続を追加しただけなのです。彼はそれを削除しましたが、アクセスを取り消さなかったため、知的財産全体がダークウェブで販売されることになりました」とジャクソン氏は語った。

Astrix Securityはすでに、テクノロジー、ヘルステック、自動車などの分野にまたがる多くのグローバル企業顧客の手に渡っている。ジャクソン氏によると、Bessemer Venture PartnersとF2 Capitalがリードし、Venrockと20以上のサイバーセキュリティ・エンジェル投資家が参加した1500万ドルのシード投資を、現在20人のチームの拡大と、市場開拓強化に使う予定だという。

画像クレジット:Dmetsov / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

サイバー攻撃の被害に遭った赤十字、「国家が支援」するハッカーが未パッチの脆弱性を悪用したと発表

先日、赤十字国際委員会(ICRC)がサイバー攻撃の被害に遭い、51万5000人以上の「非常に弱い立場にある」人々のデータが流出したが、これは国家が支援するハッカーの仕業だった可能性が高いようだ。

ICRCはスイス時間2月16日に公開した最新情報の中で、ハッカーによる最初の侵入は、1月18日に攻撃が明らかになる2カ月前の2021年11月9日にさかのぼることを確認、分析の結果、侵入はICRCのシステムに対する「高度に洗練された」標的型攻撃であり、ICRCが当初の発表で述べたような業務契約している外部企業のシステムに対する攻撃ではないことがわかったと付け加えた。

ICRCは「攻撃者がICRCに関わるサーバー上のみで実行することを目的としたコードを作成していたことから、今回の攻撃がICRCを標的としたものであることがわかった」と述べている。今回更新された情報によると、攻撃者が使用したマルウェアは、ICRCのインフラストラクチャ内の特定のサーバーを標的として設計されたものだったという。

ハッカーは、ウェブベースのオフィスサービスを手がけるZoho(ゾーホー)が開発したシングルサインオンツールに存在する、既知でありながらパッチが適用されていない危険度の高い脆弱性を悪用して、ICRCのネットワークにアクセスする手段を得た。この脆弱性は、9月に米国のCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)から警告を受けており、CVSS(共通脆弱性評価システム)の深刻度スコアは10点満点中9.8点となっている。

ICRCによると、不明な国家支援ハッカーはこの欠陥を悪用し、ウェブシェルを設置して、管理者資格の侵害、ネットワーク内の移動、レジストリファイルやドメインファイルの流出などの侵入後活動を行ったという。

「ネットワークに侵入したハッカーは、攻撃的なセキュリティツールを展開して、正当なユーザーや管理者に偽装することが可能になりました。これにより、データが暗号化されているにもかかわらず、データにアクセスすることができたのです」と、ICRCは述べている。赤十字は、今回の攻撃で盗まれたデータが公開されたり取引されたりしているという決定的な証拠はなく、身代金の要求もなかったと付け加えているが、個人情報が流出した可能性のある人々には連絡を取っていると述べている。

ICRCによると、標的とされたサーバー上のマルウェア対策ツールは攻撃を受けた時に有効であり、攻撃者が使用した悪意のあるファイルの一部をブロックしていたものの、展開されたファイルのほとんどは、マルウェア対策防御を「回避するために特別に作られた」ものであったとのこと。

このようなツールは、通常、APT(Advanced Persistent Threat、高度持続的標的型攻撃)グループや、あるいは国家が支援する攻撃者が使用するものであるとICRCは指摘しているが、赤十字社は、今回の攻撃が特定の組織によるものであると、まだ正式に判断したわけではないと述べている。Palo Alto Networks(パロアルト・ネットワークス)が2021年11月に発表したレポートでは、APT27と呼ばれる中国の国家支援グループに、同じ脆弱性を悪用した関連性が見られると述べている。

今回のサイバー攻撃の結果、赤十字社は、紛争や災害で離ればなれになった家族の再会などの重要な業務を遂行するために、スプレッドシートの使用に頼らなければならなくなったと述べている。

「弱い立場にある人々のデータに対するこの攻撃が、変化を促す要因となることを、私たちは願っています」と、ICRCのRobert Mardini(ロバート・マルディーニ)事務局長は、声明の中で述べている。「赤十字・赤新月運動の人道的使命に対する保護が、データ資産やインフラにまで及ぶことを明確に求めるために、今後は国家および非国家主体との関わりを強化していきます」。

「人道的データは決して攻撃されてはならないという確固たるコンセンサスを、言葉と行動で得ることが重要であると、私たちは信じています」。

画像クレジット:Fabrice Coffrini / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

ウクライナの国防省・銀行・軍施設にDoS攻撃発生、ロシアは関与を否定

ウクライナの国防省・銀行・軍施設にDoS攻撃発生、ロシアは関与を否定

Valentyn Ogirenko / Reuters

平和の祭典オリンピックの裏で緊迫した情勢が続くウクライナに対し、サイバー攻撃が増加しています。サイバーセキュリティ企業Netblocksなどの報告によると、2月15日にはウクライナの国防省や2つの銀行、郡のウェブサイトなどに対してロシアが関与するとみられるDoS攻撃が発生しました。

DoS攻撃とは、特定のサーバーやネットワーク上のサービスに対して過剰な負荷がかかるように仕向けてサービス停止状態に追い込む攻撃手法のこと。

また。BuzzFeedのクリストファー・ミラー氏は、ウクライナ現地の一部ATMや銀行サービスが利用しにくくなると行った問題が攻撃の影響で発生し、人々に影響を及ぼしていると述べています。

攻撃そのものはロシアが直接行ったものではない模様ですが、CNNはセキュリティ専門家の見立てとして、ウクライナ国民への嫌がらせ行為や士気を削ぐための広範かつ組織的活動の一環ではないかと伝えました。ただ、それは一部メディアが警告するような、ウクライナ侵攻の直接的な前触れとしての軍事的または物理的被害をもたらすためのサイバー攻撃とは趣が明確に異なると指摘もしています。

むしろ、このサイバー攻撃にロシアが積極的に関与しているとすれば、それはウクライナに対してNATOへの加盟を見送るなどの譲歩を引き出すための圧力をかけるのが目的ではないかとの考えが有力とのことです。なお、ロシア側は当然、サイバー攻撃など実施してはいないと否定しています。

(Source:Netblocks。Via GizmodoEngadget日本版より転載)