iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

広く利用されているJavaログ出力ライブラリで見つかった問題の影響を受け、AppleのiCloud、Twitter、Cloudflare(クラウドフレア)、Minecraft(マインクラフト)、Steam(スチーム)など、数多くの人気サービスが、ゼロデイ脆弱性にさらされていることが報告されている。

膨大な数のアプリ、ウェブサイト、サービスで使用されているオープンソースのログユーティリティ「Apache Log4j」に発見されたこの脆弱性は、Alibaba(アリババ)のChen Zhaojun(チェン・ジャオジュン)氏が報告したもので、LunaSec(ルナセック)の研究者によって「Log4Shell」と名づけられた。Log4Shellが最初に発見されたのは、Microsoft(マイクロソフト)が所有するMinecraftだったが、LunaSecは、主なJavaベースの企業向けアプリやサーバーのほぼすべてにLog4jが「ユビキタス」に存在していることから「非常に多くのサービス」が悪意のある行為に対して脆弱であると警告している。このサイバーセキュリティ会社は、ブログ記事の中で、Apache Struts(アパッチ・ストラッツ)を使用している人は誰もが「おそらく脆弱である」と警告した。

これまでにLog4Shell攻撃に脆弱であることが確認されたサーバーを持つ企業は、Apple(アップル)、Amazon(アマゾン)、Cloudflare、Twitter、Steam、Baidu(百度、バイドゥ)、NetEase(ネットイース)、Tencent(テンセント)、Elastic(エラスティック)などだが、他にも数千とまではいかなくとも数百の組織が影響を受けている可能性がある。Cloudflareは、TechCrunchに寄せた声明で、攻撃を防ぐためにシステムを更新したと述べており、悪用された形跡はないと付け加えている。

NSA(米国家安全保障局)のサイバーセキュリティ担当ディレクターであるRobert Joyce(ロバート・ジョイス)氏は、同局が開発した無償でオープンソースのリバースエンジニアリングツール「GHIDRA」も影響を受けることを確認した。「Log4jの脆弱性は、NSAのGHIDRAも含め、ソフトウェアのフレームワークに広く搭載されているため、悪用される恐れが大きい」と、同氏は述べている。

ニュージーランドのCERT(コンピューター緊急対応チーム)や、ドイツテレコムのCERT、そしてウェブ監視サービスのGreynoise(グレイノイズ)は、攻撃者がLog4Shell攻撃を仕掛けるための脆弱なサーバーを積極的に探していると警告している。Greynoiseによると、約100の異なるホストがインターネット上でLog4jの脆弱性を悪用する場所をスキャンしているとのことだ。

HackerOne(ハッカーワン)のシニアセキュリティテクノロジストであるKayla Underkoffler(カイラ・アンダーコフラー)氏は、今回のゼロデイ脆弱により「世界の重要なサプライチェーンに対する攻撃において、オープンソースソフトウェアがもたらす脅威が増大している」ことが明らかになったと、TechCrunchに語った。

「オープンソースソフトウェアは、現代のデジタルインフラストラクチャのほぼすべてを支えており、平均的なアプリケーションでは528種類のオープンソースコンポーネントが使用されています」と、アンダーコフラー氏は語る。「2020年に発見されたリスクの高いオープンソースの脆弱性の大半は、2年以上前からコード上に存在していますが、ほとんどの組織では、サプライチェーン内のオープンソースソフトウェアを直接制御して、これらの弱点を簡単に修正することができません。しばしば資金が不足するこのソフトウェアを保護することは、それに依存しているあらゆる組織にとって急務です」。

Apache Software Foundation(アパッチ・ソフトウェア財団)は、Log4jのゼロデイ脆弱性を修正するための緊急セキュリティアップデートを米国時間12月10日に公開し、すぐにアップデートできない場合の緩和策も発表している。ゲーム開発会社のMojang Studios(モヤン・スタジオ)も、このバグに対応したMinecraftの緊急セキュリティアップデートを公開した。

画像クレジット:Busà Photography / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

活動家の違法ハッキングで電子フロンティア財団がスパイウェアメーカーDarkMatterを提訴

電子フロンティア財団(EFF)は、サウジアラビアの著名な人権活動家のiPhoneをハッキングした疑いで、スパイウェアメーカーのDarkMatter(ダークマター)と、米国の情報機関や軍事機関の元メンバー3人を提訴した

この訴訟は、Loujain al-Hathloul(ルジャイン・アル・ハズルール)氏の代理で起こされたもので、アル・ハズルール氏は、アラブの春の抗議活動の後、DarkMatterとアラブ首長国連邦(UAE)に雇われた3人の元米国諜報機関員によって組織された違法なハッキング活動の被害者の1人だと主張している。

訴状で名指しされている、ExpressVPNのCIOであるDaniel Gerike(ダニエル・ジェライク)氏、Marc Baier(マーク・ベイヤー)氏、Ryan Adams(ライアン・アダムズ)氏の3人の米国家安全保障局(NSA)元工作員は、アラブの春の抗議活動の際に、政府に反対する人権活動家、政治家、ジャーナリスト、反体制派をスパイするためにUAEが展開したハッキングプログラム「Project Raven」に参加していた。元スパイの3人は9月に米司法省との不起訴合意に基づき、コンピュータ不正使用防止法(CFAA)と機密軍事技術の販売禁止の違反を認め、計170万ドル(約1億9000万円)を支払うことに合意した。また、コンピュータネットワークの不正利用に関わる仕事、UAEの特定の組織での仕事、防衛関連製品の輸出、防衛関連サービスの提供を永久に禁止されている。

サウジアラビアにおける女性の権利向上を訴えてきたことで知られるアル・ハズルール氏は、元スパイたちがiMessageの脆弱性を利用してiPhoneに不正に侵入し、同氏の通信と位置情報を密かに監視していたと主張している。これにより、アル・ハズルール氏は「UAEの治安機関に恣意的に逮捕され、サウジアラビアに連行され、そこで拘束・投獄されて拷問を受けた」と主張している。

訴訟では、ジェライク氏、ベイヤー氏、およびアダムズ氏の3人が、米企業から悪意あるコードを購入し、そのコードを米国内のApple(アップル)のサーバーに意図的に誘導して、CFAAに違反してアル・ハズルール氏のiPhoneに悪意あるソフトウェアを仕込んだと主張している。また、アル・ハズルール氏の携帯電話のハッキングが、UAEによる人権擁護者や活動家に対する広範かつ組織的な攻撃の一環であったことから、人道に対する罪をほう助したとも主張している。

EFFは、法律事務所であるFoley Hoag LLPおよびBoise Matthews LLPとともに訴訟を起こし、この訴訟は「DarkMatterの工作員が、アル・ハズルール氏のiPhoneに彼女の知らないうちに侵入してマルウェアを挿入し、恐ろしい結果をもたらした」という、デバイスハッキングの「明確な」事例であると述べている。

EFFのサイバーセキュリティディレクターであるEva Galperin(エヴァ・ガルペリン)氏は「Project Ravenは、ジャーナリストや活動家、反体制派を監視するためにツールを使用する権威主義政府にソフトウェアを販売していることが何度も明らかになっているNSO Groupの行動をも超えていました。DarkMatterは、単にツールを提供しただけでなく、自ら監視プログラムを監督していたのです」と述べている。

声明でアル・ハズルール氏は次のように述べている。

政府も個人も、人権を抑止し、人間の意識の声を危険にさらすためにスパイマルウェアを悪用することを容認すべきではありません。だからこそ私は、オンライン上で安全を確保するという我々の集団的権利のために立ち上がり、政府に支えられたサイバー権力の乱用を制限することを選んだのです。

私は、自分の信念に基づいて行動することができるという自分の特権を自覚し続けています。この事件が他の人たちに刺激を与え、あらゆる種類のサイバー犯罪に立ち向かい、権力の乱用の脅威にさらされることなく、私たち全員が互いに成長し、共有し、学ぶことができる安全な空間を作り出すことを願っています。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ボルボ、セキュリティ侵害で研究開発データの一部が盗まれる

Volvo Cars(ボルボ・カーズ)は、サイバーセキュリティ侵害と、同社の研究開発データが限定的に盗まれたインシデントを調査している。スウェーデンの自動車メーカーである同社は、このデータ侵害を現地時間12月10日に報告した。

同社によると、同社のファイルリポジトリの1つが第三者によって不正にアクセスされたとのこと。調査の結果「限られた量の会社の研究開発資産が侵入の際に盗まれた」ことが判明したと、同社は金曜日に声明を発表した。

Volvo Carsは、限られた量ではあるものの、同社の運営に影響を及ぼす可能性があると述べている。ただし、侵入の規模や何が盗まれたかについての詳細は明らかにしていない。Volvoの広報担当者も、詳細な情報の提供を控えている。

同社は独立した第三者調査機関と協力し、財産の盗難について調査している。

Volvoは、同社の財産へのさらなるアクセスを防ぐための措置を含むセキュリティ対策を実施し、不正アクセスを検知した後、関連当局に通知したと述べている。

今回の盗難は、顧客情報ではなく、会社の研究開発データをターゲットとしたものだったようだ。同社は「現在わかっている限りでは、顧客の所有する車や個人データの安全性やセキュリティに影響を与えるとは考えていない」と述べている。

侵入を最初に報じたメディア「Inside-it」は、Volvoのデータが「Snatch」というランサムウェアギャングのウェブサイトで公開されたことを示すスクリーンショットをダークウェブで見つけた。

デジタルリスク保護企業のCybelAngelが2021年秋に発表した報告書によると、自動車業界は、オンライン上に何十万もの露出した認証情報が存在するため、ランサムウェア攻撃の深刻なリスクにさらされているという。

CybelAngelが自動車関連企業を対象に行った6カ月間の調査では、企業秘密、個人を特定できる情報、エンジンや生産設備の設計図、機密契約書、人事文書など、非常にセンシティブな情報が流出していることが判明した。同社は、これらの情報漏えいは、自動車のサプライチェーン全体における従業員の内部からの脅威と、外部からのセキュリティ脆弱性が相まって原因となっていると結論づけている。

画像クレジット:Getty/Hector RETAMAL / AFP

原文へ

(文:Kirsten Korosec、翻訳:Aya Nakazato)

IoTやコネクテッドカーのセキュリティを手がけるKaramba Securityにベトナム自動車会社VinFastなどが出資

Karamba Security(カランバ・セキュリティ)は、IoTと自動車業界に特化したセキュリティをてがけるイスラエルのスタートアップ企業だ。同社は現地時間12月2日、2017年に実施した1200万ドル(約13億5000万円)のシリーズBラウンドを延長し、新たに1000万ドル(約11億3000万円)を調達したと発表した。この延長ラウンドは、ベトナムのコングロマリットであるVingroup(ビングループ)に属する新興自動車メーカーのVinFast(ビンファスト)が主導した。なお、Vingroup自身もVinFastのために10億ドル(約1130億円)の資金調達を目指していると報じられている

このラウンドには、既存投資家のYL Ventures(YLベンチャーズ)、Fontinalis Partners(フォンティナリス・パートナーズ)、Liberty Mutual(リバティ・ミューチュアル)、Presidio Ventures(プレシディオ・ベンチャーズ)、Glenrock(グレンロック)、Paladin Group(パラディン・グループ)、Asgen(アスゲン)に加えて、韓国のSamsung Venture Investment(SVIC、サムスン・ベンチャー投資)も参加した。これにより、Karamba社の資金調達総額は2700万ドル(約30億5000万円)となった。

「IoTデバイスやコネクテッドカーへのサイバー攻撃による国家的・個人的なリスクから、強力な規制要件が求められています」と、Karambaの共同設立者兼CEOであるAmi Dotan(アミ・ドタン)氏は語る。「IoTデバイスメーカーや自動車メーカーは、研究開発プロセスを変えたり、市場投入までの時間を遅らせたり、製品の製造コストを増加させることなく、こうした規制に早急に対応する必要に迫られています。Karambaがワンストップで提供する製品とサービスは、こうした自動車メーカーやIoTデバイスメーカーの強い市場牽引力となっています。これらの企業は、Karambaがデバイスのライフサイクルを通してシームレスなセキュリティを提供することに魅力を感じています」と、ドタン氏は続けた。

Karamba Securityの「XGuard」(画像クレジット:Karamba SecurityVinFast)

IoT、特に自動車業界からこのようなニーズがあることを考えれば、VinFastのような企業が同社への投資に興味を持ったのも当然と言えるだろう。Karambaは設立以来、メーカーの研究開発やサプライチェーンのプロセスを妨げることなく、デバイスのライフサイクル全体に渡って保護できるセキュリティソリューションを提供することに力を入れてきた。

最近、クラウドベースのインシデント分析サービスを起ち上げたKarambaは、現在、Fortune 500(フォーチュン500)に入る企業と80件の「成功した契約」を結んでいるという。最近の最大の案件の1つは、100カ国以上の地域で80万台のフリートのセキュリティをてがけるというものだった。

VinFastの副CEOであるPham Thuy Linh(ファム・トゥイ・リン)氏は、次のように述べている。「当社の市場に対する見解と広範な技術評価に基づきながら、Karambaのコア技術を直接目にして、さらに他のメーカーからも学んだ結果、私たちの会社がサイバーセキュリティへの道を飛躍的に進めるためには、Karambaの力を借りるのが、どんなに有利であるかということがわかりました」。

画像クレジット:Karamba Security

原文へ

(文:Frederic Lardinois、翻訳:Hirokazu Kusakabe)

ローコード / ノーコードアプリの安全性確保を支援するZenityが約5.8億円調達

基幹業務のアプリケーションの構築にローコード / ノーコードのツールを採用する企業が増えており、そのエコシステム内にツールのセキュリティにフォーカスした新たなサービスが登場しているのも当然かもしれない。テルアビブのZenityはそんな企業の1つで、同社は現地時間11月23日、ステルスを抜けて500万ドル(約5億8000万円)のシードラウンドを発表している。そのラウンドはVertex VenturesとUpWestがリードし、GoogleのCISOだったGerhard Eschelbeck(ゲルハルト・エッシェルベック)氏や、SuccessFactorsのCIOだったTom Fisher(トム・フィッシャー)氏といった多くのエンジェル投資家が参加している。

Zenityによると、従業員たちが自分でアプリケーションを作るようになり、RPA(ロボットによる業務自動化)などのツールを採用するようになると、新たなアプリが、ハッキング行為やランサムウェアなどに対して、これまでなかったようなドアを開いてしまうこともある。

Zenityの共同創業者でCEOのBen Kliger(ベン・クリガー)氏は、このような状況について「企業は現在、大々的にローコード / ノーコードを採用していますが、そのリスクやリスクに対して自分たちが共有すべき責任について理解していません。弊社はCIOやCISOたちをサポートし、彼らがローコード / ノーコードアプリケーションをシームレスに統括できるようにし、不意のデータ漏洩や事業への妨害、コンプライアンスのリスク、悪質な侵害などを防ぐ」と述べている。

Zenityのプラットフォームは、企業にその組織内のローコード / ノーコードアプリケーションのカタログを作らせ、問題の可能性を減らし、彼らの組織のための自動的に施行できるガバナンスのポリシーをセットアップする。同社によると、従来的なセキュリティサービスの方法はローコード / ノーコードのアプリケーションに適用できないにもかかわらず、そんなツールへのニーズだけが独り歩きで増えている。しかもそれを使っているデベロッパーにセキュリティの経験や知識がない。中にはソフトウェア開発の経験知識のないデベロッパーもローコード / ノーコードの世界にはいるだろうという。

画像クレジット:Zenity

同社はCEOのクリガー氏とCTOのMichael Bargury(マイケル・バーガリー)氏が創業した。2人とも、それまではAzureに在籍し、Microsoftのクラウドセキュリティチームで仕事をしていた。

Zenityのアドバイザーで元OracleとQualcommのCIO、そしてeBayのCTOでもあるTom Fisher(トム・フィッシャー)氏は次のように述べている。「ビジネスを邪魔せずローコード / ノーコードのソリューションにありがちなリスクとセキュリティの脅威を減らすことが難題です。Zenityには、ガバナンスとセキュリティツールの完璧な組み合わせと、ビジネスに対するプロのアプローチが備わっているため、企業のデベロッパーは安心してともにセキュリティを構築できます」。

画像クレジット:Zenity

[原文]

(文:Frederic Lardinois、翻訳:Hiroshi Iwatani)

イスラエル発Cybellum奥田正和氏が語る「コネクテッドカーのセキュリティ」の今

2018年からの1年間でコネクテッドカーに対するサイバー攻撃が倍増した。イスラエル発のサイバーセキュリティ企業、Cybellum(サイべラム)で日本カントリーマネージャーを務める奥田正和氏は「コネクテッドカーのセキュリティは喫緊の課題ですが、対処していくスピードを上げる必要があります」と語る。コネクテッドカーが抱えるリスクとは何か。安全性はどう守られるべきなのか。同氏に詳しく話を聞いた。

コネクテッドカーのサイバーセキュリティとは

コネクテッドカーには数多くのソフトウェアが使用されている。そのため、ソフトウェアのセキュリティを守ることが重要になる。

奥田氏は「ソフトウェアの守り方は色々あります。ファイアウォールなど、防御の壁を増やすようなアプローチもありますが、ソフトウェアそのものにバグや脆弱性があったのでは、壁を足すだけでは守りきれません。そこで当社はコネクテッドカーの中のソフトウェアをスキャンし、脆弱性を見つけるツールを提供しています」と話す。

Cybellum プロダクト・セキュリティ・アセスメントのインターフェース

同氏によると、担当エンジニアは多くの場合「堅牢なソフトウェアはどんなものか」「ハッカーに攻撃される脆弱性はどんなものか」を理解しており、対応方法もわかっているという。問題は、コネクテッドカーに搭載されるソフトウェアの数が多く、すべての脆弱性に対応しきれないことなのだ。

専門家が脆弱性を発見した際、発見した脆弱性を登録するCommon Vulnerabilities and Exposures (CVE)、National Vulnerability Database(NVD)などのデータベースがある。こうした場所には年間2〜3万件の新規脆弱性が報告される。

奥田氏は「このペースで脆弱性が見つかるので、どこかの会社がソフトウェアを出したら、規模にもよりますが数カ月で数十件程度の脆弱性が見つかります。ハッカーたちは公表された脆弱性を使った攻撃も仕かけてきます。一方で、ソフトウェアには『未発見、未公表のすでに存在している脆弱性』もあります。また、1つの脆弱性を直すには数カ月〜数年かかることもあります。新しい脆弱性も後から出てきます。『脆弱性ゼロ』の日はありません。ソフトウェア提供企業は公表された脆弱性に優先的に対応しつつ、未公表の脆弱性にも対応していかなくてはなりません」と話す。

理想的には、開発段階から脆弱性データベースを参考に脆弱性が混入しないよう開発を進め、製品が出荷されてからもデータベースを見続け、公表された脆弱性が製品に該当しないかをチェックし続けることが望ましいという。

自動車サイバーセキュリティ規制

開発段階と自動車のライフタイム(開発以降のあらゆる時期)を通した脆弱性対策は、自動車サイバーセキュリティ規制(UNECE WP.29 R155)でも定められている。これは、国連欧州経済委員会の作業部会である自動車基準調和世界フォーラム(WP29)が策定したものだ。

奥田氏は「この規制で重要なのは、『自動車のサイバーセキュリティを担保する社内プロセスを保持すること』です。これを企業目線で具体的に落とし込むと、サイバーセキュリティの専門チームや専任者を設置する、開発プロセスとレビュープロセスを策定する、出荷後も脆弱性を監視し続ける、ということになります。組織とプロセスが全体的に規制されるのです」と説明。

自動車サイバーセキュリティ規制は、自動車における「安全性」の概念の変化も反映している。自動車はもはや「安全性を担保して出荷すれば良い物」ではない。自動車メーカーは企画・開発・生産から廃棄までセキュリティを監視しなければならないのだ。

さらに、この規制のステークホルダーは最終生産メーカーを筆頭に、部品メーカーやベンダーなど、サプライチェーン全体におよび、規制に対する対応の有無の説明責任は最終生産メーカーが負う。

セキュリティはコストなのか

自動車サイバーセキュリティ規制は、自動車のセキュリティをライフタイム全般にわたり担保するもので、ユーザーの利益になるものだ。だが、自動車メーカー側の負担は大きくないだろうか。

「その側面は否定できません。運転支援機能や自動運転機能のように、先端技術を追加して安全性を高めても、セキュリティ対策に関しては今はそうした付加価値を値段に転嫁しにくい状況です。『最先端のセキュリティに対応しているので、このクルマは10万円高くなります』というのは難しいのではないでしょうか」と奥田氏。

しかし、十分なセキュリティ対策を行わず、自動車がサイバー攻撃に遭い、損失や危険な事象が発生した場合、自動車メーカーの評判は落ちてしまう。

奥田氏は「攻撃が発生すれば『セキュリティをしっかりしておいてよかった』という話になりますが、そうでない時にはセキュリティはコストに見えてしまいます」とセキュリティの重要性を指摘する。

コネクテッドカー向けセキュリティの差別化

では、自動車メーカーはソフトウェアの脆弱性をどう発見すれば良いのか。

「多くの脆弱性はソースコードの中にあるので、エンジニアが集まってコードをレビューすれば、脆弱性を見つけることは可能です。ですが、今日の激増するソフトウェア量を考えるとこのやり方は非現実的です。実際には、当社が提供しているような、製品に組み込まれているソフトウェアコンポーネント群をスキャンし、脆弱性を見つけるサービスを活用して効率化を目指すのが望ましいです」と奥田氏。

しかし、ソフトウェアをスキャンするサービスならなんでもいいというわけではない。

奥田氏は「現在、多くのIT企業がソフトウェアチェッカーを提供しています。ですが、自動車の組み込みソフトウェアに十分に対応しているものはほんの一部です。組み込みソフトウェアは必ずしもサーバやPC上で動くものではないので、自動車用ではないソフトウェアチェッカーは、自動車のソフトウェアチェックに対応できない部分も多いのです」と力説する。

では、こうした企業はどうやって差別化しているのだろうか。

奥田氏によると、現在、自動車向けソフトウェアチェッカーを提供している主要な企業は、基本的に類似した技術を提供しており、差別化要素の1つが対応している半導体の種類、OSなどだそうだ。

また、ソフトウェアは使用される製品によって構造が変わってくる。そのため、ソフトウェアチェッカー提供企業の得手不得手も分野によって現れるという。

自動車業界のソフトウェア活用では、ソースコードとバイナリコードという観点も重要だ。ソースコードは、プログラミング言語で書かれたコンピュータプログラムで「どんな動作をさせたいか」を表現する。機械はソースコードをそのまま実行できないため、ソースコードは機械が読み込むことができるバイナリコードに変換される。

奥田氏は「自動車の最終生産メーカーがすべてのソースコードを保持していることは非常に稀です。自動車はサプライヤーから集めてきた多様なパーツで成り立つため、各部のソースコードが最終メーカーの手元にすべて届くとは限らないのです。むしろソースコードが送られてこない方が普通かもしれません」と話す。

しかし、最終メーカーの手元には、自動車の全体統制のために必要な全体のバイナリコードがある。そのため、実際にスキャンできるのは、バイナリコードになる。自動車のソフトウェアをスキャンするには、バイナリコードのスキャン技術と精度が重要になる。

奥田氏は「当社はバイナリコードのスキャンに対応していますが、ソースコードにしか対応していない企業もあります。バイナリコード対応の有無も差別化のポイントになりますね」と補足した。

対策すべきリスク

Uswitchの調査によると、2018年から2019年にかけてコネクテッドカーに対するサイバー攻撃が99%増加した。奥田氏はこれをどう見るのか。

「コネクテッドカーへの攻撃は、危惧されていたよりは増加していないと考えています。『実現可能な攻撃』に関する議論が活発化していますが、『実現可能な攻撃』と『実際に生じる攻撃』は別物です」と奥田氏。「『実際に生じる攻撃』は金銭的利益が発生するところで起こります。そのため、車載コンテンツ配信システムや、移動情報から得るドライバーの個人情報は狙われやすいでしょう。また、それを使ったランサムウェア攻撃もあり得ます。逆にいうと、コネクテッドカーを攻撃して、ドライバーを殺傷するようなことは金銭的利益があまり見込めないので、起こりにくいと考えられます」と話す。

コネクテッドカーを狙ったランサムウェア攻撃は誰に起こり得るのか。奥田氏はトラック運送会社など、コネクテッドカーを事業で利用している企業や組織が狙われるとみている。会社のコネクテッドカーが攻撃によりロックされてしまうと、一時的に売り上げが立てられなくなる。それなら身代金を払って一刻も早く自社のコネクテッドカーを仕事に回した方が良い、と決断する企業が出てきても不思議ではない。

奥田氏は「損失が身代金より大きいなら、払う方が良い、と考える企業はあるでしょう。今危惧されているのはこういった攻撃です」と話す。

コネクテッドカーは情報の宝庫だ。ドライバーの個人情報、家族の情報、移動情報などが蓄積される。これらの情報はそのまま売ることもできるし、銀行システムの攻撃にも悪用できる。

「自動車メーカーからすると、自社製品のセキュリティが破られたら、自社の評判が落ちます。また、過失が認められれば訴訟にも発展するかもしれません」と奥田氏は補足する。

とはいえ今のところ、コネクテッドカーのセキュリティの重要性の認知は、自動車メーカーやその周辺のエコシステムに限られており、一般の自動車ユーザーの間にはあまり浸透していない。そのため「この車はセキュリティ対策が優れています」というアピールが魅力的に映らない。

奥田氏は「自動車ユーザーのみなさんにセキュリティの大切さをお伝えできれば、車の魅力としてセキュリティをアピールすることもできます。ドライバーのみなさんを守るためにも、セキュリティ理解の促進は重要な課題です」と話した。

米当局が重大なサイバーセキュリティ事案の36時間以内の報告を銀行に義務付け

米国の金融規制当局は、銀行が「重大な」サイバーセキュリティ事案を発見した場合、発見から36時間以内に報告することを義務付ける新ルールを承認した。

この規則では、銀行は業務の実行可能性、商品やサービスを提供する能力、または米国の金融セクターの安定性に重大な影響を与えているか、または与える可能性が高い事案について、連邦監督機関に報告しなければならない。対象には、顧客の銀行サービスへのアクセスを妨害する大規模なDDoS(分散型サービス妨害)攻撃や、銀行業務を長期間不能にするコンピュータハッキング事案などが含まれる。

さらに、銀行(この規則では国立銀行、連邦協会、外国銀行の連邦支店を含む「銀行組織」と定義されている)は、事案が4時間以上にわたって顧客に重大な影響を与えた場合、または与える可能性がある場合には「できるだけ早く」顧客に通知しなければならない。

「コンピュータセキュリティ事案は、破壊的なマルウェアや悪意あるソフトウェア(サイバー攻撃)だけでなく、ハードウェアやソフトウェアの悪意のない故障、人為的なミス、その他の原因によっても発生する可能性があります」と、コンピュータセキュリテインシデント通知最終規則は説明している。「金融サービス業界を標的としたサイバー攻撃は近年、その頻度と深刻さが増しています。これらのサイバー攻撃は、銀行組織のネットワーク、データ、システムに悪影響を及ぼし、最終的には通常の業務を再開する能力にまで影響を及ぼす可能性があります」。

連邦預金保険公社(FDIC)、連邦準備制度理事会(Board)、通貨監督庁(OCC)によって承認されたこの最終規則は2022年4月1日に発効し、2022年5月1日までの完全遵守が求められる。

このルールが、銀行スタートアップやフィンテック企業にも適用されるかどうかは不明だ。TechCrunchはFDICに詳細を問い合わせたが、すぐには返答が得られなかった。

金融規制当局は2020年12月に初めて通知義務を提案したが、業界団体から否定的なフィードバックがあったため、最終規則の一部要素の変更を余儀なくされた。例えば、当初の案では、銀行が重大なサイバー事案に見舞われたと「誠意を持って信じた」場合に事案を報告しなければならないとされていたが、銀行はかなりのサイバー事案に直面してきており、これでは広範な事案が過剰に報告される恐れがあると業界から警告され、ルールは変更された。

「コメントを慎重に検討した結果、当局は『誠意の信念』の基準を銀行組織の判断に置き換えています」と最終規則の概要に記載されている。「提案されていた『誠意をもって信じる』という基準は主観的で不明確すぎると批判したコメントに、当局は同意しています」。

この規制についてコメントしていた業界団体の1つであるBank Policy Institute(BPI、銀行政策研究所)は、最終規則を支持すると声明で述べた

BPIのテクノロジーリスク戦略担当上級副社長であるHeather Hogsett(ヘザー・ホグセット)氏は「BPIはタイムリーな通知の価値を認識しており、重大なインシデントが発生した際に規制当局や関係者に通知するための明確なタイムラインと柔軟なプロセスを確立した最終規則を支持します。この規則はまた、通知と報告を明確に区別している点でも重要です。サイバー事案の通知は、規制当局と銀行の早期の連携を促し、銀行が事案に対応したり調査を行ったりしている間に、規制当局が金融システム全体に広範な影響を及ぼす可能性のある状況を認識できるようにします」と述べた。

画像クレジット:Robert Alexander / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

セキュリティスキルをゲーム化して教える英Immersive Labsが米Snap Labsを買収、気候変動も考慮して

サイバーセキュリティのスタートアップであるImmersive Labs(イマーシブラブズ)は、最近7500万ドル(約85億6000万円)のシリーズCラウンドをクローズして相当な資金を獲得したが、同社は「数百万ドル(数億円)規模」の株式と現金を組み合わせた非公開の取引で、米国のサイバースタートアップSnap Labs(スナップラブズ)を買収するとのこと。Snap Labsは、今回の買収以前にはベンチャー資金を調達していないことがわかっている。

最新のサイバー脅威インテリジェンスを「ゲーム化」して企業の従業員にサイバーセキュリティのスキルを教えるImmersiveは、今回の買収により、組織が社内でサイバー知識を身につけることを支援するための新たな力を得られるとしている。

サイバーセキュリティは技術チームだけの問題ではなく、会社全体のビジネスクリティカルな問題へと変化しているため、Immersiveのアプローチは、国際的にも多くの新規ビジネスを獲得しているようだ。一方のSnap Labsは、現在Accenture(アクセンチュア)、Mandiant(マンディアント)、CrowdStrike(クラウドストライク)と提携しており、米国での実績も十分にあるため、Immersiveのサービスを大幅に強化することになるだろう。

Immersive LabsのJames Hadley(ジェームズ・ハドリー)CEOは次のように述べている。「Snap Labsの買収により、お客様は、直面するリスクにピンポイントで対応した詳細でリアルな体験を通し、より優れたサイバー人材を育成することができます」。

ペンシルバニアを拠点とするSnap Labsは、共同創業者のChris Myers(クリス・マイヤーズ)氏とBarrett Adams(バレット・アダムス)氏によって2016年に設立された。

マイヤーズ氏は「2つのプラットフォームは自然にフィットしており、組み合わせることで、お客様がサイバー脅威に対する耐性をさらに高められるよう支援できると期待しています」と述べている。

また、これには気候変動に関する側面もある。Snap Labsは「エラスティックコンピューティング」を採用している。これは、サーバー上で仮想環境を継続的に稼働させて電力を消費するのではなく、使用するときだけ仮想環境を起動し、使用しないときは直ちにシャットダウンするというものだ。これは、各サイバー攻撃シミュレーションのカーボンフットプリントにプラスの影響を与え、全体としても大きな影響を与える。

ハドリー氏は筆者との通話で次のように語った。「Snap Labsの技術を利用することで、企業が自社のネットワークを仮想的に再現するなど、非常にクールなことが可能になります。お客様は複雑な規模の独自ネットワークを構築し、複製することで、マルウェアやペネトレーションテストに対するチームの戦闘力を試すことができるようになります」。

Immersive Labsは、英国の退役軍人を対象にサイバー職業訓練を行うTechVetsという慈善団体を無料で支援している。

画像クレジット:Chainarong Prasertthai / Getty Images

原文へ

(文:Mike Butcher、翻訳:Aya Nakazato)

Cloudflareが2Tbpsの過去最大級DDoS攻撃をブロック、GitLabはセキュリティパッチ適用を

Cloudflare(クラウドフレア)は、ピーク時に2Tbps弱を記録した分散型サービス拒否(DDoS)攻撃をブロックしたことを明らかにした。これは過去最大級の攻撃だという。

この攻撃は、オリジナルのMiraiコードの亜種を、悪用されたIoTデバイスやパッチが適用されていないGitLabインスタンスで実行する約1万5000のボットから行われたと、同社はブログで述べている

今回のDDoS攻撃は、脆弱性リスク管理のRapid7(ラピッドセブン)が、GitLabの脆弱性(CVSS深刻度スケールで10.0と評価)を警告してからわずか2週間後に発生したもので、この脆弱性が悪用されると、攻撃者は被害サーバー上でボットネットマルウェアのようなコードをリモートで実行することができる。Rapid7は、インターネットに接続している6万のGitLabインスタンスのうち、少なくとも半数にパッチが適用されていないことを確認し、バグの詳細が公表されるにつれて「悪用が増加すると予想される」と警告していた

同社は間違っていなかった。Cloudflareは、そのわずか1週間後に大規模なDDoS攻撃をブロックしたと述べている。Cloudflareは、この攻撃を分析した結果、DNS増幅攻撃とUDPフラッド攻撃の両方を組み合わせたマルチベクトル型攻撃だったと考えている。

Cloudflareによると、この攻撃は1分以下で終了し、これまでに同社が目撃した中で最大規模だったとのこと。Microsoft(マイクロソフト)が、欧州のAzure顧客を標的とした「記録的な」2.4TbpsのDDoS攻撃を緩和したと発表してからわずか1カ月後のことだった。

Cloudflareは今回の攻撃を数秒で緩和したものの、10月にも複数のテラビット級のDDoS攻撃を目撃しており、この傾向がすぐに弱まることはないだろうと警告している。

CloudflareのプロダクトマネージャーであるOmer Yoachimik(オメル・ヨアヒミック)氏は次のように述べている。「第3四半期のDDoSトレンドレポートのもう1つの重要な発見は、ネットワークレイヤーのDDoS攻撃が前四半期比で44%増加したことでした。第4四半期はまだ終わっていませんが、Cloudflareの顧客を標的としたテラビット級の攻撃が複数回発生しています」。

Rapid7はGitLabユーザーに対して、できるだけ早くGitLabの最新バージョンにアップデートするように促している。「さらに、理想的には、GitLabはインターネットに接続されたサービスであるべきではありません」と同社は付け加えている。「インターネットからGitLabにアクセスする必要がある場合は、VPN越しにすることを検討してください」。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

バイデン大統領、ファーウェイやZTEなど国家安全保障上の脅威になりうる通信機器に対する規制強化法案に署名

バイデン米大統領、ファーウェイやZTEなどなど国家安全保障上の脅威になりうる通信機器から政府を保護する規制強化法案に署名

Barcroft Media via Getty Images

バイデン米大統領が、国家安全保障上の脅威になりうる通信機器から政府の「機器認可プログラムおよび競争入札プログラムによる通信サプライチェーン」を保護するための「Secure Equipment Act」に署名しました。この法律によってHuaweiやZTEといった米連邦通信委員会(FCC)の「対象リスト」に掲載されている企業に対してFCCは免許の発行や審査プロセスを実施できなくなります。

FCCコミッショナーのブレンダン・カー氏は「我々はすでにこれらの企業の機器が国家安全保障に受け入れがたいリスクをもたらすと判断しており、これは私が “ファーウェイの抜け穴 “と呼んでいるものを粛々と、適切に塞いでいるということだ」と述べました。

2020年にFCCはHuaweiとZTEを国家安全保障上の脅威とみなし、中国政府(中国共産党)と緊密な関係にあると確認しました。しかし、米国の連邦予算が関与しない部分においては、それら企業は依然として通信機器としてのライセンスを申請できる状態にあり、カー氏はその”抜け穴”をなくすために今回の法制定を呼びかけていました。FCCは2021年より19億ドルの予算を投じて、米国内の通信企業がHuaweiやZTEの機器をリプレースための補助金プログラムを実施しています。

今回のSecure Equipment Actの成立に対し、2社は記事執筆時点でコメントを出していませんが、2020年にはFCCが提出した法改正案に対しHuaweiが「見当違いかつ不当に懲罰的だ」としていました。

FCCは今回成立した法律以外にも、すでに機器に付与されているライセンスを取り消し可能にする新たな法律を提案しています。また先月には、FCCが国家安全保障上の懸念を理由としてチャイナテレコムの米国子会社の米国内事業許可を取り消すことを決議しています。

(Source:ZDNetEngadget日本版より転載)

【コラム】中国の次世代ハッカーは犯罪者ではない、それが問題だ

中国には、犯罪者たちが国家に代わってサイバースパイ活動を行ってきた長い歴史がある。犯罪者から政府のハッカーになった者が、中国の国家安全部(MSS)に所属することで訴追から守られ、中国のスパイ活動の多くを行っている。驚くべきことだが、これは今に始まったことではない。例えば2020年米国司法省が発行した起訴状によると、2人の中国人ハッカーによる同時多発的な犯罪・スパイ活動が、2009年にまで遡ることができるという。また別のケースでは、MSSハッカーの別働隊であるAPT41が、2012年に犯罪組織として始まり、2014年以降は国家スパイ活動を並行して行うように移行したとサイバーセキュリティ企業であるFireEye(ファイアアイ)が主張している。ともあれ、それ以降、中国は変化のための基礎を築いてきたと考えられるのだ。

2015年に始まった相次ぐ政策により、中国は契約を結んだ犯罪者たちを、大学からの新しい血で置き換えるようになった。2015年における中華共産党(CCP)の最初の取り組みは、大学のサイバーセキュリティ学位を標準化することだったが、このとき参考にされたのが米国の人材パイプラインを改善するための国立標準技術研究所(NIST)のフレームワークである「National Initiative for Cybersecurity Education」(NICE、サイバーセキュリティ教育のための国家プログラム)である。その1年後、中国は新たに「National Cybersecurity Talent and Innovation Base」(国家サイバーセキュリティ人材・イノベーション基地)を武漢に建設することを発表した。基地のすべての構成部署を合わせると、年間7万人がサイバーセキュリティのトレーニングと認証を受けることができる。

同様に、2017年には、中国のサイバースペース中央管理局が“World-Class Cybersecurity Schools”(世界レベルのサイバーセキュリティ学校)」という賞を発表した。このプログラムは、米国の一部の政府機関が大学をサイバー防衛や運用における”Centers of Academic Excellence”(優秀アカデミックセンター)として認定しているのと同様に、現在11校を認定している。しかし、犯罪に手を染めていない新たな人材を確保したからといって、中国の作戦が変わる理由にはならない。

国家のハッキングチームを専門化する取り組みは、習近平国家主席の政治的目標である汚職の削減にも直結している。習近平氏が最近行った中国の国家安全保障機関の粛清は、政府の資源を利用して役人が私腹を肥やすことのリスクを示したものだ。契約ハッカーとその指示者との関係そのものがまさに、習近平氏が徹底した反腐敗キャンペーンの対象としてきた私腹を肥やす行為なのだ。

熾烈が増す環境の中で、国際的な反感を買ったり、海外で訴追されるようなオペレーションを行っている役人は、ライバルに寝首をかかれる可能性がある。内部調査員に狙われた職員は「黒監獄」に収監されてしまうかもしれない。中国の国家保安機関は、腐敗官僚を排除し、ハッカーを直接雇用することで、地下のハッカーとの関係を切り捨てていくだろう。

これらの施策の意味するところは、世界の企業や諜報機関が防御を続けてきた中国のハッカーたちが、10年後にははるかにプロフェッショナルな存在になっていることを示唆している。

より有能となった中国は、現在の中国とは異なる行動をとるだろう。中国公安部は、その犯罪行為やスパイ活動を隠すために不正なハッカーに依存していることから、一部のサイバー犯罪者の中国での活動が問題になっているにもかかわらず、それを容認している。犯罪行為が常態ではなくなれば、中国の国家保安機関はこれらの活動を組織内に移すことができるようになる。なぜなら政府のスパイ活動は国際関係上認められた行動だからだ。その結果、中国公安部はサイバー犯罪者に対してより多くの作戦を行うことが可能になる。アナリストは、戦術の変化を示す良い指標となる、内部に焦点を当てたこのような反犯罪活動の強化に注目すべきだろう。

このような中国のサイバー能力の変化は、標的となる国や団体のリストが増えるにつれて、海外でも感じられるようになるだろう。国家ハッカーの数が増えれば、長い間低迷していたスパイ活動が再び注目されることになるだろう。中国のハッキングチームはすでに最高レベルに達しているので、これらの作戦は過去のものよりも「洗練」されたものにはならないだろう。しかし、その頻度は高くなるだろう。

中国の保安機関に支えられたハッキングが着実に犯罪性の皮を脱ぎ捨てていく中で、今後10年間は、契約ハッカーや国家と関係する者が行うサイバー犯罪は減少していくことが予想される。しかし、このような凶悪な行為からの脱却は、スパイ活動や知的財産権の窃盗の増加と対になっている。あとから振り返れば、中国が犯罪者ハッカーに頼っていたことは、腐敗していて素人同然だった古い体質のMSSの名残のように見えるだろう。

この変化は徐々に進むと思われるが、保安機関内での取り締まりの噂や、犯罪グループの消滅や起訴の報告などの、一定の兆候を見ることができるだろう。時間の経過とともに、既存の犯罪者とハッキングスパイチームの間で、技術的な内容が徐々に分離されていくことが予想される。

しかし、スパイ行為そのものはルール違反ではないので、米国の政策立案者は、政府機関、防衛産業基盤、重要インフラ事業者などのサイバーセキュリティに引き続き優先的に取り組む必要がある。ホワイトハウスはすでにこの方向に進んでおり、2021年8月にはサイバー政策についてNATOの同盟国を集め、50万人分のサイバーセキュリティ関連の求人が必要であることを確認した。その一部として、米国国家安全保障局(NSA)が、システム全体のサイバーセキュリティを高めるために、2021年の初めに「Cybersecurity Collaboration Center」(サイバーセキュリティ協力センター)を立ち上げている。米国ではすでに、CyberPatriot(サイバーパトリオット)のようなコンテストを利用して、学生たちをよく整備されたサイバーセキュリティの人材パイプラインに送り込んでいる。サイバーディフェンスの認定を受けたコミュニティカレッジでの、再教育を目的とした新しいプログラムを作ることは、既存のリソースを活用することになるものの、米国内で幼稚園から高校までの教育を受けてこなかった新しい学生も惹きつけることになるだろう。

何よりも、政策立案者は警戒を怠ってはならない。中国が犯罪者を利用しなくなったからといって、その脅威がなくなったわけではない、ただ変化しただけだ。米国政府は、中国の次世代ハッカーに対抗するために、あらゆる選択肢を真剣に検討する準備をしなければならない。

編集部注:著者のDakota Cary (ダコタ・カリー)氏は、ジョージタウン大学のCenter for Security and Emerging Technology(CSET)のリサーチアナリストで、同センターのCyberAI(サイバーAI)プロジェクトに従事している。TechCrunch Global Affairs Projectは、ますます密接になっているハイテク分野と世界の政治との関係を検証している。

画像クレジット:ilkaydede / Getty Images(画像修正済)

原文へ

(文:Dakota Cary、翻訳:sako)

イスラエル国防軍出身CTO開発、企業向け標的型攻撃シミュレーション・訓練プラットフォームのAironWorksが9000万円調達

サイバーセキュリティSaaS「AironWorks」を提供するAironWorksは11月12日、第三者割当増資による約9000万円の資金調達の実施を発表した。引受先は、リード投資家のALL STAR SAAS FUND、また日本ベンチャーキャピタル、京都エンジェルファンド。調達した資金により、AironWorksの特徴である企業分析により高度に最適化された標的型攻撃を生成・実行するAIの開発強化と、日本市場でのデファクトスタンダードとなることを目指して事業成長を加速させるとしている。

AironWorksサービスは、イスラエル国防軍「8200部隊」(Unit 8200)出身のエンジニアが開発した、「企業向け標的型攻撃シミュレーション・訓練プラットフォーム」。従来のような標的型メール訓練ではカバーできないSNSやSMS攻撃などの、多様なベクトルからの攻撃に対する訓練が可能。標的に応じて個別最適化された現在のサイバー攻撃に対応できるよう、継続的でより実践的な訓練を行なえるシステムとなっている。

さらに、イスラエル国防軍の教育メソッド+ゲーミフィケーションを活用した「オリジナル教育プログラム」を実装しており、高い教育効果を実現しているという。

AironWorksは、イスラエルと日本を拠点にイノベーションプラットフォーム・アドバイザリーサービスを提供するAniwoによる支援のもと、2021年8月創業。「働く人々・チームをエンパワーメントすること(Enhancing Teams with AI)」 をミッションに掲げ、イスラエルで開発した先進的な技術をコアに、日本から世界市場を目指している。

なお、共同創業者兼CTOのGonen Krak氏は、イスラエル国防軍のインテリジェンス部隊Unit 8200においてサイバーセキュリティ実務に取り組み、複数の重要プロジェクトのマネジメント、若手ハッカーの育成に従事したという。大学在学中に独自アプリ開発、フルスタックエンジニアとしてのスキルも有する。AironWorksでは、コアとなる技術開発、アルゴリズム設計、AIの開発責任者も兼任している。

イスラエル国防軍出身CTOが開発、企業向け標的型攻撃シミュレーション・訓練プラットフォームのAironWorksが9000万円調達

サイバーセキュリティMcAfeeを投資家コンソーシアムが1.59兆円で買収

サイバーセキュリティソフトウェア会社McAfee(マカフィー)の長く曲がりくねった歴史は、新たに興味深い展開を見せた。米国時間11月8日、6つの投資会社からなる投資家コンソーシアムが140億ドル(約1兆5850億円)で同社を買収すると発表した。

この買収額は、1株あたり26ドル(約2945円)という株価に基づくもので、11月4日の終値に対して22.6%のプレミアムがついているという。なお、11月5日の株価は20%上昇し、同日の取引終了時点での時価総額は110億ドル(約1兆2460億円)をわずかに超えたというのも注目に値する。

このコンソーシアムは、Advent International、Permira Advisers、Crosspoint Capital Partners、カナダ年金制度投資委員会、GIC Private Limited、アブダビ投資庁の完全子会社で構成されている。AdventとPermiraが買収を主導した。

McAfeeは1987年以来、さまざまな形で存在してきた消費者向けセキュリティ企業だ。同社は2021年初め、法人部門をSymphony Technology Groupに40億ドル(約4531億円)で売却した

McAfeeは長い歴史を持っているが、消費者向けセキュリティ事業はまだ成長している。11月8日発表された直近の四半期決算では、売上高は前年同期比24%増の4億9100万ドル(約556億円)、新規加入者数は64万人だった。加入者合計は2000万人を超え、これはものすごい数字であり、投資家グループが注目せずにはいられないものだ。

Permiraのテクノロジー部門共同責任者であるBrian Ruder(ブライアン・ルーダー)氏は、消費者市場においてセキュリティが大きな関心事となっている中で の今回の買収だと指摘した。「パーソナライズされた、革新的で直感的なオンライン保護サービスに対するニーズはかつてないほど高まっています」と声明で述べた。また、PermiraはMcAfeeのブランド認知度、パートナーネットワーク、忠実な顧客基盤にも好感を持ったと付け加えた。ルーダー氏は、PermiraがMcAfeeのような企業と協力してきた経験を活かし、これらのポジティブな特徴を生かして、さらに会社を成長させることができると考えている。

投資家グループの各社は、それぞれ資金と経営資源を提供する予定だ。それがどのように機能するのかは完全には明らかになっていない。McAfeeが多くのボスを持つことになるのは確かだ。McAfeeが今回の契約に「ゴー・ショップ」条項を組み込んだことは注目に値する。これは、より良い価格を模索するために45日間の猶予を与えるという、かなり一般的な慣行だ。そのような結果になる可能性は低いものの、この条項は、会社が株主のために最善の取引をしたことを株主に証明するものだ。

3月の法人部門売却の際にも書いたが、McAfeeには複雑な歴史があり、上場と非上場を行き来し、一時は社名まで変更した。

同社の歴史は複雑で、1980年代にファイアウォールソフトウェアの販売から始まった。最終的には株式を公開したが、2010年にインテルに77億ドル(約8722億円)で買収され、再び非公開になった。2014年にはIntel Securityに社名を変更したが、2017年にIntelが42億ドル(約4757億円)でTPGに株式の過半数を売却し、社名をMcAfeeに戻した。

今回の買収はMcAfeeの株主やさまざまな規制当局の審査を通過しなければならないが、これらのハードルをクリアできれば、2022年前半には買収が完了する見込みだ。買収のニュースを受けて、同社の今朝の株価は0.57%上昇した。

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Ron Miller、翻訳:Nariko Mizoguchi

中国との関係は競争ではない、戦争だ。書評「The Wires of War: Technology and the Global Struggle for Power」

ここしばらく、自由市場経済に取り組んでいるように見えた中国だったが、2021年、その幻想は完全に打ち砕かれた。3年前、憲法から自らの任期の制限を撤廃した習近平(シュウ・キンペイ)国家主席は、自国のハイテク企業の権限を突然奪い、今までよりも厳しいメディア検閲を行うように指示した(任期制限の撤廃については、当時NPR[旧称ナショナル・パブリック・ラジオ]が指摘したように、中国はいずれにせよ「何千年もの間、絶対君主によって支配されてきた」国であり、任期制限は1980年代に初めて導入されたものも、短期間の実験的なものであった)。

ブルッキングス研究所の中国戦略イニシアチブ共同議長であり、スタンフォード大学サイバーポリシーセンターの元シニアアドバイザー、Google(グーグル)の元ニュースポリシーリード、さらには米国大統領選挙運動中に米国運輸長官のPete Buttigieg(ピート・ブティジェッジ)氏の顧問を務めたJacob Helberg(ジェイコブ・ヘルバーグ)氏は、米国、特にシリコンバレーは、習近平国家主席の権力の強化にもっと注意を払う必要があると指摘している。ヘルバーグ氏は「The Wires of War:Technology and the Global Struggle for Power(戦争への引き金:テクノロジーと世界的権力闘争)」と題された新著の中で、中国の「テクノ全体主義」体制が中国国民(本の中では「最初の犠牲者(first victims)」と表現されている)に与える影響、そしてインターネットのソフトウェア / ハードウェアをさらにコントロールしようとしている中国の取り組みが、なぜ米国やその他の民主主義諸国にとって、確かに現存し、急速に拡大する危機なのかを説明している。

ヘルバーグ氏は、米国の民間企業と米国政府が一体となって抜本的な対策を講じなければ、2020年中国政府からサイバー攻撃という脅しを受けたと推測され、2000万人規模の都市で停電が発生したインドと同じことが米国でも起こると話す。現地時間10月13日、TechCrunchはヘルバーグ氏にチャットによる取材を申し込んだ。以下は要約であるが、興味があれば詳細をこちらで確認して欲しい。

TC(TechCrunch):あなたは、2016年の米国大統領選挙の直前に、Googleでグローバルなニュースポリシーを扱う職に就いていますね。当時、ロシアとその疑惑のキャンペーンに注目が集まっていたことを考えると、米露関係についての本ではなかったことに驚きました。

JH(ジェイコブ・ヘルバーグ):この「グレー」の戦争には、実際には2つの戦線があります。まず、人々が見るものをコントロールするというフロントエンドのソフトウェアの戦線です。ここにはさまざまなプレイヤーが存在しますが、ロシアは他国への干渉という領域で最初に動きを見せた国の1つです。そして、物理的なインターネットとその物理的なインフラに焦点を当てたバックエンドのハードウェアの戦線があります。本書が主に中国に焦点を当てることになった理由の1つは、この戦争で最も決定的な要素は、物理的なインターネットインフラをコントロールすることにあるからです。インターネットのインフラを支配すれば、その上で動くあらゆるものをコントロールしたり、危害を加えたりすることができます。バックエンドをコントロールすれば、フロントエンドも併せてコントロールすることが可能です。だからこそ、私たちはバックエンドにもっと注意を払うべきなのです。

バックエンドとは、携帯電話、衛星、光ファイバーケーブル、5Gネットワーク、人工知能などですね?

人工知能もソフトウェアとハードウェアの組み合わせなので興味深いところですが、基本的には光ファイバーケーブル、5G衛星、低軌道衛星などです。

この本では、中国が2020年インドをサイバー攻撃したとされる事件が早速取り上げられています。この事件では、列車や株式市場が停止し、病院は非常用発電機に頼らざるを得なくなりました。米国にも、私たちが中国による攻撃だとは気づかなかったサイバー攻撃があったのでしょうか?

グレーゾーン戦争の特徴、つまり米国政府がこれほどまでに新たなグレーゾーン戦術に力を注いでいる理由の1つは、(攻撃者の)帰属(アトリビューション)を明らかにすることが非常に難しいという点にあります。米国では民間企業がインターネットの多くを運営しています。中国とは異なり、米国の民間企業は政府から完全に分離されています。このような民営化されたシステムにより、民間企業には、市場的にも法的にも、サイバーセキュリティ侵害を過少に報告する一定の動機が存在します。サイバーセキュリティ侵害を受けた企業は、被害者であると同時に、場合によっては過失と見做され責任を問われる可能性もあります。そのため、企業はサイバーセキュリティ侵害の報告に非常に慎重になることがあります。

また、(攻撃者の)帰属を明らかにすることが非常に難しい場合もあります。米国でもインドと同様のサイバー攻撃が行われた可能性がないわけではありません。米国もかなりの規模のサイバー攻撃を受けていることは事実であり、多くの情報機関が米国のエネルギーグリッドが無傷でいられるかどうかを懸念しています。人事管理局がハッキングされたことは明白ですが、これも重要な問題です。というのも、中国は現在、極秘情報にアクセスできる多くの政府職員のリストを持っているということになるからです。サイバー攻撃は数え上げるときりがありません。

あなたはインドのハッキングは米国への警告だったと考えていますね?

インドへのハッキングが歴史的に重要な意味をもつのは、もしこのグレーゾーン戦争が激化すれば、独立戦争以来初めて、米国が他国の攻撃者によって物理的に破壊されるような戦争になる可能性がある、という最初のシグナル(危険信号)だったからです。内戦だった南北戦争や9.11を除けば、外国勢力が実際に米国に上陸して大量破壊を行ったことはありませんでした。しかしながら、今回のインドへのサイバー攻撃を考えると、中国との関係が悪化した場合には(米国内の)原子力発電所の安全性を確認しなければならない、というシナリオも考えられますね。

こういった脅威に私たちはどのように対応すべきですか?米国政府は、米国内にインフラを構築しようとしているHuawei(ファーウェイ)に対し、非常に強い姿勢で臨んでいます。あなたは、Zoom(ズーム)のような企業には多くの中国人従業員が在籍し、中国の諜報機関に(米国の情報が)さらされる可能性があると指摘していますね。どこで線引きをすべきですか?(これらの問題に対応しながら)企業の権利を保護するには、政府はどうすれば良いでしょうか?

特に中国が台湾に侵攻するリスクが迫る中、これは私たちが現在直面している危機的局面における非常に重要な問題です。私は米国政府が対米外国投資委員会(CFIUS)の枠組みを構築することを強く支持しています。現在、米国政府には国家安全保障を理由として外国からのインバウンド投資を審査し、(危機を)阻止することができる枠組みがあります。この考え方の基本に則り、アウトバウンド投資にも同じ枠組みを適用すると良いでしょう。米国政府が国家安全保障に基づき、米国から米国外への投資、特に中国への投資を審査する手段をもつ、ということです。ここまでの話からもわかるように、米国企業が中国に何十億、何千億ドル(日本円では何千億円、何十兆円)もの資金を投入すれば、時として深刻な問題を引き起こす可能性があります。

中国に進出し続ける企業がもつ経済的なインセンティブ(動機)を考慮すると、アウトバウンド投資への枠組みはどの程度現実的だと思われますか?

私の提案に類似した、アウトバウンド投資への枠組みを目指す法案がすでに議会で検討されています。ですから、このアイデアが実現する日もそう遠くはないと思います。この問題が差し迫ったものになり、議会で優先的に審議され、大統領に署名してもらうために必要な支持を得られるのはいつなのか、という点については、実際の危機というきっかけが必要なのかもしれません。(私たちがこれまで観てきたように)残念ながら、ワシントンでは実際に危機が起こって初めて多くのことが決定されるからです。

米国の銃規制のように、イエスでもありノーでもある、ということですね。あなたが、米国vs中国の競争であるというアイデアを捨て、この問題を(戦争として)提起したことは興味深いと思います。(米国、中国間には)これまでルールがあったかのように見えたとしても、実際には相互で守るべきルールが存在しない、ということですね?

競争には負けても良いという意味が内包されます。競争には、勝つか負けるかという余裕があるからです。商業的にはドイツや日本と常に競争していますが、トヨタがゼネラルモーターズよりも多くの車を販売していても、実際にはそれほど大きな問題ではありません。それが市場であり、お互いが守るべきルールに基づいて、同じ土俵で活動しているからです。一方、現在の中国との関係において「戦争」という言葉がはるかに正確で適切な表現である理由は、これが政治的闘争であり、その結果が私たちの社会システムの政治的な存続に関わるからです。また、これは「戦争」なので、これに打ち勝つために優先順位を上げ、十分な決意と緊急性をもって対処する必要がある、ということが理解しやすくなるというのもその理由です。

もう1つの理由は、戦争であれば、結果を出すために短期的なコストを負担することもできるという点にあります。第二次世界大戦では、ゼネラルモーターズが戦車や飛行機を製造し、国中が動員されました。Apple(アップル)に空母を作れとは言いませんが、私たちはサプライチェーンを中国から中国国外に移動する際にかかる短期的コストを真剣に考え始める必要があります。多額の費用がかかり、手間もかかる難しい問題ですが、サプライチェーンが利用できなくなることで生じる潜在的なコストは莫大です。手遅れになる前に労力やエネルギー、時間を費やして移動を実現する価値があります。その方がコストもかかりません。

あなたは本の中で、このように国家安全保障を目的として経済外交を中断すれば、冷戦時代に戻ると指摘したうえで、アウトバウンド投資へのCFIUSプログラムの適用と、すべてのサプライチェーンを中国国外に移すことを提案しています。民間企業が中国を切り捨てるために、あるいは巨大な市場機会としての中国への関心を減らすために、他にどのようなインセンティブが必要だとお考えですか?

過去に成功したプログラムの多くは、要は「アメとムチ」です。私は中国への機密性の高い投資を行う投資家や企業に一定の罰則を適用する一方で、米国や民主主義にリスクを及ぼさない他国との取引などの行動にインセンティブを与えるという組み合わせであれば、おそらく成功し、経済界の共感を得ることができると思います。

米国が戦争をしているのは権威主義的な中国政府であって、中国の人々ではないという違いを指摘していますね。大変残念なことに、この指摘が伝わっていない人もいるようです。

「グレーゾーン戦争」について語るとき、さらに中国との問題について国家的な議論をするときには「これは中国国民や中国文化に対するものではなく、中国の政治体制や中国共産党に対するものだ」と繰り返す価値はあると思います。

中国との関係において、私たちが正しいことをしているとする理由の1つは、最初の犠牲者、つまり中国共産党によって最も苦しんでいる人々が中国国民であるという事実です。三等国民として扱われているウイグル人やチベット人、政治的反体制派の人々も中国国民であることを忘れてはいけません。また、中国国営のニュースメディアは「中国に対して強硬な態度をとることは中国に対する人種差別である」というストーリーを流布しようとすることが多々あります。これも覚えておく必要があります。

画像クレジット:Simon & Schuster

原文へ

(文:Connie Loizos、翻訳:Dragonfly)

英国労働党、党員データ流出の原因は第三者業者を狙ったサイバー攻撃と発表

英国の労働党は、第三者企業へのサイバー攻撃により、党員のデータが漏洩したことを確認した。

労働党は、全党員に送られ、同党のウェブサイトにも掲載されたEメールの中で、10月29日に名前の明かされていない第三者データ処理業者から「サイバーインシデント」の報告を受けたと述べている。

詳細はまだ不明だが、労働党によると、このインシデントにより「かなりの量の党データがシステム上でアクセス不能になった」という。インシデントに対応した人物がSky Newsに語ったところによると、この事件は労働党のサードパーティサプライヤーに対するランサムウェア攻撃だったとのこと。労働党はまだこれを確認しておらず、TechCrunchはさらなる情報を求めている。

また、侵害の規模も不明で、どのようなデータが流出したかもまだわかっていない。有料メンバーの財務情報を保有している労働党は、影響を受けたデータについて「党員、登録・提携している支援者、その他党に情報を提供した個人を含む」としている。

しかし、元党員や非党員にも多くの影響があったようだ。あるTwitter(ツイッター)ユーザーは、2009年に党を脱退したにもかかわらず、データ漏洩の通知を受け取ったと主張しており、他のユーザーは、党員になったことがないにもかかわらず、メールを受け取ったと述べている。また、労働党員ではないが、労働党系組合の組合員として政治献金を支払ったことでデータ流出の影響を受けたという人もいる。

労働党には約43万人の党員がいる。同党の声明によると、調査は進行中だ。国家犯罪対策庁(NCA)、国家サイバーセキュリティセンターにも報告し、情報コミッショナーオフィス(ICO)にも報告したという。

NCAのスポークスパーソンは次のように述べている。「NCAは、労働党に影響を与えたサイバーインシデントの犯罪捜査を主導しています。我々は、潜在的なリスクを軽減し、この事件の性質を評価するために、パートナーと緊密に協力しています」。最近、英国の各政党にデータ保護の実践を改善するよう促したICOも、今回の事件について積極的に調査を行っていることを確認している。

労働党は、今回の事件の全容、状況、影響を「緊急に調査」するために、攻撃を受けたサードパーティサプライヤーとも緊密に協力していると述べている。なお、今回の攻撃では、党自体のデータシステムには影響がなかったことを強調している。

労働党がランサムウェアの被害に遭ったのは、今回の事件が初めてではない。労働党は2020年、クラウドソフトウェア企業のBlackbaud(ブラックボード)が保管していたデータがランサムウェア攻撃を受けたとして、党員に警告を発した。当時、同党は、数年にわたる寄付者の情報が流出したと考えられると述べていた。

画像クレジット:Oli Scarff / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

【コラム】国家による「インターネット遮断」が政治的な武器に、今こそ武装解除すべきだ

21カ国の権威主義的な政府は、2021年に入ってから少なくとも50回は意図的にインターネットサービスを停止しており、この問題はさらに悪化することが予想されている。ベネズエラでは選挙が行われ、キューバでは抗議活動が行われているが、政府にとってデジタルでの自由を制限することで反対意見を封じ込めることが容易になっており、その方法もますます大胆になってきている。

インターネットを遮断することは、スイッチを入れるだけで簡単にできてしまう。2011年にはホスニ・ムバラク政権下のエジプトでこの方法がとられ、その10年後にはミャンマーで毎日のようにインターネットが遮断される状態が数カ月続き、何十万人もの人々からコミュニケーションの手段を奪い、同国のGDPを2.5%減少させたと言われている。今週、スーダンでは、軍事クーデターが続く中、市民がインターネットへのアクセスに支障をきたしている。

しかし、ほとんどの政府が、微妙な姿勢をとっている。

イラン政府は「緑の運動」が起こった2009年にいち早くウェブサイトをブロックした。また、チュニジアのように、2021年の説明責任の強化を求める抗議活動の中で、特定のウェブサイトのみをブロックした国もある。最近では、政府がインターネットサービスプロバイダをコントロールすることで、特定のドメインを使い物にならない速度まで「スロットル」、つまり減速させるケースが増えている。例えば、ロシアでは最近、野党のAlexei Navalny(アレクセイ・ナヴァルニー)氏に関する「好ましくない」コンテンツの削除を拒否したTwitter(ツイッター)に対してスロットルをかけた。

各国政府は、インターネットへのアクセスを制限する理由についていくつか挙げている。国家の安全保障や、デモの際の暴力への懸念などがその理由として多い。しかし、人々の生活の多くがオンラインで行われるようになった今、政府がインターネットへのアクセスを制限することは、安全、自由、幸福に対する重大な脅威となる。

インターネットが国境を越えたグローバルなネットワークとして発展してきたことは、情報を発見する新しい方法や組織化する新しい手段を提供し、人間の自由に貢献してきた。しかし、真にグローバルで開かれたインターネットに対して、驚くほど多くの政府が反対しており、私たちの生活の多くの側面がオンラインに移行するにつれて、自由がますます損なわれていく危険性があるのだ。

意図的な遮断の問題は深刻化している。国連の特別報告者であるClement Voule(クレメント・ブール)氏は最近、遮断がさらに悪化し、広範囲に及んでいると警告している。インターネットの遮断は、政府が国際社会の怒りを買うことなく反対意見を封じ込め、国民を統制するための主要な手段として、ますます利用されるようになっている。

インターネットの遮断は、通信手段の制限にとどまらず、商業や貿易の停止による経済の停滞、学校へのアクセスの妨げ、人命の危険など、さまざまな影響を及ぼす。しかし、スロットリングのような秘密裏に行われる妨害技術が一般的になるにつれ、遮断の検知はより困難になってきている。ただ、インターネットが複雑化しているため、政府が国民のアクセスを制限したときに何が起こっているのかを判断するのは難しい。そもそも目に見えないものを非難することは不可能でもある。

部分的なインターネットの遮断であっても、それを記録することは、この問題を世界的に解決するための重要な第一歩となる。いかなる政府も、国際社会に知られることなくインターネットを遮断することはできないはずだ。Jigsaw(ジグソー)は、Access Now(アクセス・ナウ)、Censored Planet(センサード・プラネット)、ネットワーク干渉公開観測所(OONI)などの研究者と協力して、情報を公開し、理解を深め、遮断の影響を軽減することを目指している。

インターネットの遮断による影響を軽減するためには、さまざまな手段がある。メッシュネットワーク、仮想プライベートネットワーク(VPN)、そして共有プロキシサーバーを使えば、インターネットが停止している間、人々がオープンウェブに接続するための手段を提供してくれる。また、インターネット全体の標準規格を導入することで、ドメインレベルでのスロットルを難しくすることも可能だ。

しかし、技術は解決策の一部に過ぎない。将来的なシャットダウンを防ぐためには、政治的な行動が必要であり、国際社会の監視のもと、そうした行動自体のコストを高める必要がある。

105カ国、240以上の団体で構成される「#KeepItOn」運動のように、インターネットの遮断を強調する草の根活動は、将来の遮断を防ぐための支持活動、技術支援、法的介入などを行っている。

民主主義政府も団結して行動すべきだ。

世界で最も技術的に進んでいる民主主義国が、T-12や日米豪印戦略対話(Quad)といったグループで技術問題に関する多国間の調整を正式に行う際には、インターネットの遮断をその議題の重要な主軸として優先させるべきだ。経済協力開発機構(OECD)を通じ、米国および志を同じくする国々は、オンラインの自由を約束する35の民主主義国で織りなすフリーダム・オンライン連合の活動を基盤とし、脅威の技術的側面の理解や、技術的および政策的対応を構築するための資金調達を強化することができるはずだ。また、将来的な遮断の際には、連合として非難を表明し、国際人権法上の義務に違反している国に制裁を加えるための「レッドライン」を明確にすることもできるはずだ。

このような課題はあるが、自由で開かれたインターネットを求める声を上げるのは、民主主義国にかかっている。そうして初めて、誰もがアクセスできるインターネットという約束が果たされるだろう。

編集部注:本稿の執筆者Scott Carpenter(スコット・カーペンター)氏はJigsawのPolicy and International Engagementのディレクター。Google以前は、Washington Institute for Near East PolicyのKeston Family Fellowや、民主主義・人権局の米国国務副次官補を務めていた。

画像クレジット:Jonathan Kantor / Getty Images

原文へ

(文:Scott Carpenter、翻訳:Akihito Mizukoshi)

ユーロポールが2019年のランサムウェア攻撃を実行したサイバー犯罪者たちを拘束

Europol(ユーロポール、欧州刑事警察機構)とそのパートナーである各国の法執行機関は、2019年以降、71カ国で1800以上の被害を出した一連のランサムウェア攻撃の背後にある組織的なサイバー犯罪者のネットワークを壊滅させた。

ユーロポールは2年間の調査を経て、12人の個人を「ターゲットとした」家宅捜索を、先週ウクライナとスイスで行ったと、10月29日に発表した。同機関は、これらの個人が逮捕または起訴されたかどうかについては言及しておらず、我々の詳細な情報提供の要請にもまだ応じていない。

名前が明かされていないこれらの個人は「大企業を特に標的にして、そのビジネスを事実上停止させることで知られている」と、ユーロポールは述べている。この組織が使用したランサムウェアの1つは「LockerGoga(ロッカーゴーガ)」で、2019年3月にノルウェーのアルミニウム生産企業であるNorsk Hydro(ノルスク・ハイドロ)への攻撃で使用されたものと同じ種類だ。このサイバー攻撃により、2大陸にまたがる同社の工場は約1週間の生産停止を余儀なくされ、5000万ドル(約57億円)以上の損害を被った。

ノルウェーの国家犯罪捜査機関Kripos(クリポ)は別のプレスリリースで、今回の捜査対象となった個人がNorsk Hydroへの攻撃に責任があることを確認したと述べている。

ユーロポールによると、このサイバー犯罪者たちは、ランサムウェア「MegaCortex(メガコーテックス)」や「Dharma(ダルマ)」の他「TrickBot(トリックボット)」などのマルウェアや「Cobalt Strike(コバルトストライク)」や「PowerShell Empire(パワーシェルエンパイア)」などの侵入後ツールを使って、検知されないようにさらなるアクセスを得ようとしていたという。「犯罪者たちは、侵入したシステムに気づかれないよう潜伏し、時には数カ月間かけてITネットワークのさらなる弱点を探り、それからランサムウェアを展開して感染を収益化する」と、ユーロポールは述べている。

ユーロポールは、今回の捜索で5万2000ドル(約600万円)の現金と5台の高級車を押収したと述べているが、この犯罪組織が犯行によってどのくらいの金額を得たのかは不明だ。

「これらの容疑者のほとんどは、異なる管轄区域で注目を集めている複数の事件で捜査されているため、価値の高いターゲットと考えられている」と、ユーロポールは述べている。「ターゲットとなった容疑者たちは、これらの専門的で高度に組織化された犯罪組織で、それぞれ異なる役割を担っていた」とのことだ。

ユーロポールは、支払われた身代金をロンダリング(資金洗浄)していた疑いのある人物が多数いると付け加えた。「彼らは、Bitcoin(ビットコイン)で支払われた身代金をミキシングサービスを通じて洗浄し、それから不正に得た利益を現金化していた」と、ユーロポールは述べている。

ユーロポールによると、今回の作戦にはノルウェー、フランス、英国、スイス、ドイツ、ウクライナ、オランダ、米国の法執行機関が参加し、10月26日には50人以上の外国人捜査官が、サイバー犯罪者を目標としてウクライナに派遣されていた。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

グーグルがAndroid Enterpriseの「バグ報奨金」プログラムを実施

Android 12はGoogle(グーグル)のPixel端末向けに正式公開され、他機種にも徐々に展開される予定だ。Androidは消費者プロダクトだと思っている人が多いかもしれないが、ここ数年Googleは、これをエンタープライズツールにもするべく力を注いでいる。Android 12にはすでに多くの企業向け機能が標準搭載されているが、GoogleがAndroid Enterpriseに関連して、セキュリティに焦点を当てた新たな取り組みを複数発表したことに驚きはない。

その中には、新たなバグ発見懸賞プログラム、その名も「Android Enterprise Vulnerability Program」(Android Enterprise脆弱性プログラム)があり、Android Enterpriseが動作しているPixel端末の重大なバグを発見した場合に最大25万ドルの報奨金が支払われる。

またGoogleは、広くパートナー・エコシステムと協力してAndroidのZero Trust(ゼロトラスト)セキュリティ・モデルのサポートを拡張する取り組みも行っている。これは、たとえばOkta、Ping、ForgeRockなどのパートナーと組むことで、Android上の認証ワークフローを、WebViewからChromeのCustom Tabsに移行することを意味している。以前からGoogleは、デベロッパーは自社ドメイン以外のコンテンツをレンダリングする際には必ずCustom Tabsを使うべきであると主張してきた。これは性能面だけでなく、Chromeのセーフブラウジング機能がセキュリティを強化するためだ。

「WebViewはウェブコンテンツのレンダリングにおける柔軟で強力なツールですが、Custom Tabsは最新のフル機能を備えているので、アイデンティティープロバイダーは端末のトラストシグナルを集め、従業員の安全を改善し、複数のアプリとウェブを通じてシングルサインオンを行うことが可能になります」、とGoogleのシニアプロダクトマネージャーであるRajeev Pathak(ラジーブ・パサック)氏が米国時間10月21日の発表で説明した。

さらにGoogleは、Android Management APIを拡張して、Microsoft、Citrix、あるいはGoogle自身の提供するEnterprise Mobility Solutionsを使っている企業が「すべてのエンタープライズ機能を、ベストプラクティスとAndroid Enterprise Recommendedの必要要件とともに、いちはやく利用できる」ようにする。

画像クレジット:Steven Puetzer / Getty Images

原文へ

(文:Frederic Lardinois、翻訳:Nob Takahashi / facebook

米オリンパスへのサイバー攻撃は米制裁対象のロシア製ランサムウェアグループと関連か

日本の大手企業Olympus(オリンパス)に対する「進行中」のサイバー攻撃は、米国政府による制裁対象となったロシアのランサムウェアグループによって引き起こされたと、この事件を知る2人の人物が語った。

10月10日に始まったこの攻撃では、「Macaw」と呼ばれる新しいマルウェアの亜種が使用され、米国、カナダ、ラテンアメリカにあるオリンパスのシステムが暗号化されている。Macawは、マルウェア「WastedLocker」の亜種で、いずれも2019年に米財務省の制裁を受けたロシアを拠点とする犯罪グループ「Evil Corp」が作成したものだ。

関連記事
オリンパスが米国での新たなサイバー攻撃を認める、ランサムウェア「BlackMatter」がEMEA地域のシステムを攻撃した数週間後に
Garminがサービスダウンはランサムウェアによるものと認める(一部機能は未復旧)

オリンパスにとってこの数カ月で2度目のランサムウェア攻撃となった。9月にも、ランサムウェアグループ「BlackMatter」によって欧州、中東、アフリカのネットワークがオフラインになっていた(BlackMatterとEvil Corp.の関連性は不明)。

「オリンパスは先月BlackMatterの攻撃を受け、1週間ほど前にもMacawの攻撃を受けました」とセキュリティ会社Recorded Futureのシニア脅威アナリストであるAllan Liska(アラン・リスカ)氏はTechCrunchに話した。リスカ氏によると、Macawは、ハッキングされたコンピューターに、被害者からデータを盗んだと表明する身代金請求書を残すという。

オリンパスは10月19日の声明で「データ流出の可能性」を調査しているとした。これは「二重恐喝」と呼ばれるランサムウェア・グループの一般的な手法で、ハッカーは被害者のネットワークを暗号化する前にファイルを盗み、ファイルを復号するために身代金を支払わなければ、ファイルをオンラインで公開すると脅す。

オリンパスの広報担当者Jennifer Bannan(ジェニファー・バナン)氏は、TechCrunchが10月20日に問い合わせた際、質問には答えず、同社が身代金を支払ったかどうかについても言及しなかった。

同社は「当社のシステム、顧客、その患者の安全のため、犯罪者とその行動についてはコメントしません。当社は、影響を受ける関係者に適切な通知を行うことを約束します」との声明を発表した。

財務省の制裁措置により、米国を拠点とする企業はファイルを取り戻すために身代金を支払うことが難しくなっている。これは、米国人が制裁対象の企業と取引することは「一般的に禁止」されているためだ。Evil Corpは、米国の制裁措置を回避するために、これまでに何度もマルウェアの名前を変えたり、修正したりしてきた。

ブルームバーグが10月20日に報じたところによると、先週、80以上の市場で185のテレビ局を所有または運営しているSinclair Broadcast Group(シンクレア・ブロードキャスト・グループ)に対してもMacawが使われ、広い範囲で混乱を引き起こした。Sinclairは10月18日の声明で、同社のネットワークからデータが盗まれたものの、どのような情報が盗まれたのか正確にはわからないと述べた。

Evil Corpは、2020年にランサムウェア攻撃を受けて約1週間サービスを停止したGarmin(ガーミン)や、保険大手のCNAにも攻撃を仕掛けた。

関連記事:ランサムウェア攻撃によってGarminのサービスが世界的に停止

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker, Carly Page、翻訳:Nariko Mizoguchi

【コラム】今現在も「ストーカーウェア」の大流出で数千人の携帯電話データが危険に晒されている

何十万人もの人々の個人的な電話データが危険にさらされている。通話記録、テキストメッセージ、写真、閲覧履歴、正確な位置情報、通話録音など、広く使われている消費者向けスパイウェアにおけるセキュリティ上の問題から、人の電話からすべてのデータが引き出される可能性がある。

しかし、私たちが伝えることができるのはその程度のことなのだ。TechCrunchは、身元が明らかになっていない開発者に、判明しているメールアドレスと非公開のメールアドレスすべてを使って何度もメールを送ったが、この問題を明らかにするための糸口は見えなくなってしまった。メールが読まれたかどうかを確認するために、オープントラッカーを使ってメールを送ったが、これもうまくいかなかった。

この問題が解決されるまでは、何千人もの人々のセキュリティとプライバシーが危険にさらされていることになるため、我々はスパイウェアの開発者へ連絡を試みた。スパイウェアやその開発者の名前を出すと、悪意のある者が安全ではないデータにアクセスしやすくなるため、ここで名前を出すことはできない。

TechCrunchは、消費者向けのスパイウェアに関する広範な調査の一環として、このセキュリティ問題を発見した。これらのアプリは、子どもの追跡や監視のためのソフトウェアとして販売されていることが多いのだが、本人の同意なしに人を追跡したり監視したりすることから「ストーカーウェア」と呼ばれることもある。これらのスパイウェアアプリは、無言で継続的に人の携帯電話のコンテンツを吸い上げ、その運営者が人の居場所や通信相手を追跡できるようにしてしまう。これらのアプリは、発見されたり削除されたりしないように、ホーム画面から消えるように設計されているため、多くの人は自分の携帯電話が危険にさらされていることに気づかない。

関連記事:「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

電子フロンティア財団のサイバーセキュリティ担当ディレクターで、ストーカーウェア反対連合の立ち上げを主導したEva Galperin(エヴァ・ガルペリン)氏は、TechCrunchとの電話で「失望しましたが、少しも驚いていません。このような行為は、怠慢であると考えるのが妥当だと思います。悪用を可能にする製品を作っている企業があるだけでなく、流出した情報を保護するための対策があまりにも不十分なため、悪用された情報をさらに悪用する機会を与えてしまっているのです」と述べている。

TechCrunchは、開発者のスパイウェアのインフラににホスティングを提供しているウェブ企業のCodero(コデロ)にも連絡を取ったが、Coderoはコメント要請に応じなかった。Coderoはストーカーウェアのホスティングに精通している。このウェブホストは2019年にストーカーウェアメーカーの「Mobiispy」に対して、数千枚の写真や電話の記録を流出させていたことが発覚し「行動を起こした」という。

「あるストーカーウェア企業をホストしているウェブホストが、他のストーカーウェア企業をホストするのは当然だと思いますし、以前に反応を示さなかったのであれば、今回も反応を示さないのは当然でしょう」とガルペリン氏は述べている。

このように簡単に手に入るスパイウェアが蔓延していることから、業界全体でこれらのアプリを取り締まる取り組みが行われている。アンチウイルスメーカーは、ストーカーウェアを検出する能力の向上に努めており、また、Google(グーグル)は、スパイウェアメーカーに対して、配偶者の携帯電話を盗み見る方法として製品を宣伝することを禁止しているが、一部の開発者は、Googleの広告禁止を逃れるために新たな戦術を用いている。

関連記事:グーグルがスマホのスパイアプリを宣伝した「ストーカーウェア」広告を停止

モバイルスパイウェアは、セキュリティ上の問題として他人事ではない。ここ数年の間に「mSpy」「Mobistealth」「Flexispy」「Family Orbit」など、10社以上のストーカーウェアメーカーがハッキングされたり、データが流出したり、人々の携帯電話のデータを危険にさらしたりしたことが知られている。別のストーカーウェア「KidsGuard」では、セキュリティの不備により何千人もの人々の電話データが流出し、最近では、配偶者のデバイスをスパイできると宣伝している「pcTattleTale」が、推測されやすいウェブアドレスを使ってスクリーンショットを流出させていた。

連邦規制当局も注目し始めている。2021年9月、米連邦取引委員会は、2000人以上の電話データを流出させたストーカーウェアアプリ「SpyFone」の使用を禁止し、被害者に電話がハッキングされたことを通知するよう命じた。これは、当委員会がスパイウェアメーカーに対して行った2回目の措置で、1回目は、何度もハッキングされ、最終的に閉鎖に追い込まれたRetina-Xだ。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

あなたやあなたの知り合いが助けを必要としている場合、日本の内閣府のDV相談+ (0120-279-889)は、家庭内の虐待や暴力の被害者に対して、24時間365日、無料で秘密厳守のサポートを提供しています。緊急事態の場合は、110に電話してください。

また、ストーカーウェア反対連合では、自分の携帯電話がスパイウェアに感染していると思われる場合に役立つ情報を提供しています。この記者の連絡先は、SignalおよびWhatsAppでは+1 646-755-8849、Eメールではzack.whittaker@techcrunch.com。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、Akihito Mizukoshi)