タグ: データ漏洩 / データ侵害(用語)

マイクロソフトにハッカーが不正侵入、BingとCortanaのソースコードを公開

Microsoft(マイクロソフト)は、ハッキンググループLapsus$による不正侵入を明らかにした。

Lapsus$がBing、Bing Maps、Cortanaのソースコードの一部を含むtorrent(トレント)ファイルを投稿した数時間後、Microsoftは米国時間3月22日のブログ投稿で、従業員1人のアカウントがハッキンググループによって侵害され、攻撃者がMicrosoftのシステムに「限定アクセス」して同社のソースコードを盗んだことを発表した。

Microsoftによると、顧客のコードやデータは漏洩していない。

「当社のサイバーセキュリティ対応チームは、侵害されたアカウントを修復し、さらなる不正活動を防止するために迅速に取り組みました」と同社は述べた。「Microsoftはセキュリティ対策としてコードの機密性に依存しておらず、ソースコードの閲覧がリスク上昇につながることはありません。この不正行為者が侵入を公表したとき、当社のチームはすでに脅威情報に基づき、侵入されたアカウントを調査していました。今回の公開により当社の行動はエスカレートし、当社のチームは介入して操作の途中で中断させることができ、より大きな影響を抑えることができました」。

Microsoftは、アカウントがどのように侵害されたのか詳細を共有していないが、同社の脅威インテリジェンスセンター(MSTIC)が複数回の攻撃で確認したLapsus$グループの戦術、テクニック、手順についての概要を提供した。当初、Lapsus$の攻撃は南米と英国の組織を標的としていたが、その後世界の政府機関やテクノロジー、通信、メディア、小売、ヘルスケア分野の企業へとターゲットを拡大した。

Microsoftによると、同社がDEV-0537として追跡しているLapsus$は「純粋な強奪と破壊のモデル」で活動し、他のハッキンググループとは異なり「痕跡を隠さない」という。これは、このグループが標的型攻撃を実行するために、企業の内部関係者を公募しているためのようだ。Lapsus$は組織への最初のアクセスを得るために多くの方法を使用し、通常ユーザーのIDとアカウントを侵害することに重点を置いている。標的とする組織の従業員をリクルートするだけでなく、ダークウェブフォーラムから認証情報を購入したり、公開されている認証情報のリポジトリを検索したり、パスワードを盗み出すRedlineを展開するなどの方法を取っている。

Lapsus$はそうして漏洩した認証情報を使用して、仮想プライベートネットワーク、リモートデスクトップインフラ、Okta(オクタ)のようなID管理サービスなど、標的企業のインターネットに面したデバイスやシステムへアクセスする。このハッキンググループは1月にOktaへの侵入に成功している。Microsoftによると、Lapsus$は少なくとも1件の侵害において、組織へのログインに必要な多要素認証(MFA)コードにアクセスしようと、従業員の電話番号とテキストメッセージを制御するためにSIMスワップ攻撃を行った。

ネットワークにアクセスした後、Lapsus$はより高い権限や幅広いアクセス権を持つ従業員を見つけるために一般公開されているツールを使って組織のユーザーアカウントを探り、Jira、Slack、Microsoft Teamsなどの開発・コラボレーションプラットフォームを標的にし、さらに認証情報を盗み出す。また、ハッキンググループはMicrosoftへの攻撃と同様、GitLab、GitHub、Azure DevOpsのソースコードリポジトリへのアクセスを得るためにこれらの認証情報を使用する。

「DEV-0537が組織のヘルプデスクに電話をかけて、サポート担当者に特権アカウントの認証情報をリセットするよう説得しようとするケースもありました」とMicrosoftは付け加えた。「このグループは、事前に収集した情報(例えばプロフィール写真)を使用し、ネイティブの英語を話す人物にヘルプデスク担当者と会話させ、ソーシャルエンジニアリングの誘惑を強化しました」。

Lapsus$一味は、既知の仮想プライベートサーバ(VPS)プロバイダに専用インフラを設置し、消費者向け仮想プライベートネットワークサービスNordVPNを活用してデータを流出させる。ネットワーク検出ツールの起動を避けるために、ターゲットに地理的に近いローカルのVPNサーバーを使用することさえある。盗まれたデータは、将来の恐喝に使用されるか、一般公開される。

ハッキンググループLapsus$は、NVIDIA(エヌビディア)やSamsung(サムスン)を含む多くの有名企業を危険にさらし、ここ数週間でその名を知られるようになった。今週初めにはOktaの内部システムのスクリーンショットが投稿され、Oktaが最新の被害者であることが明らかになった。OktaはLapsus$がサードパーティのカスタマーサポートエンジニアを危険にさらしての情報漏洩であることを認め、1万5000の顧客の約2.5%に影響を与えたと説明した。

1月の5日間の間に発生したこの侵害について、Oktaが顧客に今まで通知しなかった理由は今のところ不明だ。

画像クレジット:Jaap Arriens / NurPhoto / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

セキュリティの不備で、インドのセキュリティ専門組織の人事ファイルと医療記録が流出

インドの中央産業安全部隊(Central Industrial Security Force、CISF)の内部文書と職員の健康記録および個人ファイルが、データに対するセキュリティの過失によりオンラインで漏洩した。

インドのあるセキュリティ研究者が、同国政府からの報復を恐れて匿名で語ったところによると、CISFのネットワークに接続されているセキュリティ装置が生成するネットワークログを収めたデータベースが見つかった。しかしそのデータベースはパスワードで保護されていないため、インターネット上の誰でも自分のウェブブラウザからログにアクセスできた。

ネットワークログには、CISFのネットワークのどのファイルがクセスされたか、あるいはセキュリティのルールによりブロックされたかを詳細に記した記録があった。ログにはCISFのネットワークに保存されている文書の完全なウェブアドレスがあり、インターネット上の誰でもそのログにアクセスでき、それらのファイルをCISFネットワークから直接、これまたパスワード不要で開くことができた。

ログには24万6千以上の、CISFのネットワーク上のPDF文書の完全なウェブアドレスの記録があり、その多くが個人のファイルや健康記録に関連し、また、CISFの職員に関する、個人を同定できる情報があった。ファイルの一部は、日付が2022年という最新のものだった。

CISFは職員数16万以上という世界最大の警察組織であり、政府の施設とインフラおよび全国の空港のセキュリティの保護を任されている。

上記の研究者によると、そのセキュリティ装置はHaltdos製で、同社は企業などにネットワークのセキュリティ技術を提供しているインドのセキュリティ企業だ。データベースの露出が最初に見つかったのは、露出しているデバイスやデータベースを見つけるShodanによると3月6日だった。TechCrunchは、そのデータベースが「haltdos」という名前で構成されていたことを確認した。

HaltdosのCEOであるAnshul Saxena(アンシュル・サクセナ)氏は、何度もコメントを求めたが応じなかった。TechCrunchはまたCISFの広報に対して、メールでそのサーバーに保存されている外部に露出しているファイルのいくつかのウェブアドレスについて尋ねたが、回答は得られていない。善意のセキュリティ研究者から警告されたときは、インドの政府機関は秘かにそのセキュリティの問題を修復し、それが変わることのない周知の知識になったときには、その主張を拒絶または否定することが普通に行われている。

データベースは現在、アクセス不能になっているが、問題のセキュリティ装置はまだオンラインのようだ。

画像クレジット:Sanjeev Verma/Hindustan Times/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

インドのPaytm、同社決済銀行が中国企業とデータ共有しているという報道は「完全な虚偽」と発表

インドのPaytm(ペイティーエム)は、同社の運営する決済銀行「Payments Bank(ペイメンツ・バンク)」のデータが中国企業に流出したと主張する報道は「完全な虚偽であり、センセーショナルに煽り立てているだけ」と述べた。このインドの大手フィンテック企業は、現地時間3月14日に同社の株が14.7%も急落して1株8.6ドル(約1020円)になった後、投資家の懸念を静めるために説明を急いでいる。

Bloomberg(ブルームバーグ)は米国時間3月14日午後、Paytm Payments Bankの株式を間接的に所有する中国ベースの企業とデータ共有を許可していることがインドの規則に違反しているため、Paytmのデジタルバンクは新規顧客の追加を禁じられたと報じた。

この報道に対し、Paytmの広報担当者は、Paytm Payments Bankは「国産銀行であり、データの局在に関するRBI(インド準備銀行)の指示に完全に準拠している」と述べている。

この広報担当者は「当行のデータはすべて国内に存在します。我々はデジタル・インディア政策の真の信奉者であり、国内の金融包摂を推進することに引き続き尽力していきます」と続けた。

Paytmの創業者で最高経営責任者のVijay Shekhar Sharma(ビジャイ・シェカル・シャルマ)氏はさらに、国営放送でこの報道を断固として否定し、Paytm Payments Bankに対する中央銀行の通知には「いかなるデータアクセスやサーバー、いかなるデータアクセス手段、またインド国外にサーバーがあるということにも、言及している点はまったくない」と、述べた。

インドの中央銀行であるインド準備銀行は、現地時間3月11日、ある種の「重要な監督上の懸念」を理由に、Paytm Payments Bankに新規顧客の受け入れを禁じたが、その概要は明らかにしていない。

「同行はIT監査法人を任命し、ITシステムの包括的なシステム監査を実施するようにも指示されている。新規顧客の受け入れは、IT監査法人の報告書を確認した後、RBIが認める特定の許可に従うことが条件となる」とRBIは付け加えた

3億人以上のユーザーを抱え、複数の事業を展開するPaytmは、RBIの措置が「Paytmの事業全体に重大な影響を与える」とは考えていないと述べている。

Paytmの株価は、月曜日に14.7%も暴落した後、わずかに回復した。記事公開時のPaytmの時価総額は57億2000万ドル(約6766億円)と、2019年後半の資金調達時の160億ドル(約1兆8925億円)から減少している。かつてインドで最も価値が高かったスタートアップは2021年、同国最大のIPOで25億ドル(約2960億円)を調達した

Paytmを最も鋭く批判してきたアナリストたちのいる証券会社Macquarie Capital(マッコーリー・キャピタル)は、今回の事態がPaytmに大きなビジネス上の影響を与える可能性は低いものの、同社が5月に資格を得る小規模金融銀行への「格上げ」の可能性は低くなるだろうと述べている。

画像クレジット:Nasir Kachroo / NurPhoto / Getty Images

原文へ

(文:Manish Singh、翻訳:Hirokazu Kusakabe)

サムスン、ハッカーによる社内ソースコード流出を確認

Samsung(サムスン)は、ハッカーが生体認証のロック解除操作に関するさまざまな技術やアルゴリズムのソースコードを含む約200ギガバイトの機密データを入手し、流出させたことを確認した。

NVIDIA(エヌビディア)に侵入し、その後数千人の従業員の認証情報をオンラインで公開したのと同じハッキンググループ「Lapsus$」が、この情報漏洩に関わっている。Lapsus$は、Telegramチャンネルへの投稿で、Samsungの携帯電話が機密処理を行うために使用するTrustZone環境にインストールされた信頼できるアプレットのソースコード、すべての生体認証ロック解除操作のアルゴリズム、最近のSamsung Galaxyデバイスすべてのブートローダーのソースコードを入手したと主張している。

また、盗まれたデータには、米国で販売されるSamsungのスマートフォンにチップセットを供給している米国のチップメーカーQualcomm(クアルコム)の機密データも含まれているとされている。

ソースコードにアクセスすることでハッカーは、他の方法では容易に発見できないセキュリティ上の脆弱性を見つけることができ、影響を受けるデバイスやシステムが悪用やデータ流出のリスクにさらされる可能性がある。

SamsungとQualcommの広報担当者にコメントを求めたがすぐに返事はなかった。しかし、ブルームバーグと共有した声明の中で、Samsungは特定の社内データに関する「セキュリティ侵害」を確認したが、ハッカーによる顧客や従業員の個人データへのアクセスはないと述べた。

「当社の初期分析によると、情報漏えいはGalaxy端末の操作に関連する一部のソースコードに関係していますが、当社の消費者や従業員の個人情報は含まれていません」とSamsungの声明にはある。「現在のところ、当社の事業や顧客への影響はないと考えています。我々は、このようなインシデントを防止するための措置を実施しており、混乱することなく、顧客にサービスを提供し続けます」。

Lapsus$が、NVIDIAに向けて奇妙さを増している要求をしたのと同様に、データを流出させる前にSamsungに身代金を要求したかどうかはまだ明らかではない。このハッカー集団はNVIDIAに対し、物議を醸したLite Hash Rate (LHR)機能を無効にするよう求め、さらにはmacOS、Windows、Linux デバイス用のグラフィックチップドライバのオープンソースを要求した。

この要求の期限は3月4日だったが、ハッカー集団はまだその脅しを実行していない。

画像クレジット:David Paul Morris / Bloomberg

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

あなたのAndroidスマホがストーカーウェアに感染している可能性、削除方法はこちら

今日最も広く展開されている消費者向けスパイウェアの1つにセキュリティ上の脆弱性があり、約40万人の携帯電話データが危険にさらされており、その数は日々増え続けている。TechCrunchが特定したこのスパイウェアは、ベトナムの少人数の開発者によって運営されているが、セキュリティ上の問題はまだ修正されていない。

今回、問題のあるスパイウェアアプリは1つだけではない。Copy9、MxSpy、TheTruthSpy、iSpyoo、SecondClone、TheSpyApp、ExactSpy、FoneTracker、GuestSpyといった一連のアプリが、同じセキュリティの脆弱性を共有している。

しかし、修正プログラムがなく、TechCrunchはこの脆弱性に関する具体的な詳細を明らかにすることができない。知らないうちに携帯電話が危険にさらされている何十万人もの人々にもたらすリスクのためだ。

この脆弱性がすぐに修正される見込みはないため、このガイドでは、あなたのAndroidスマートフォンからこれらの特定のスパイウェアアプリを削除する方法を説明する。そうすることが安全だとあなたが思えばの話だ。

消費者向けのスパイウェアアプリは、子ども追跡ソフトウェアという名目で販売されることが多いが、同意なしにパートナーや配偶者を追跡・監視できることから「ストーカーウェア」としても知られている。これらのアプリは、Google Playのアプリストア以外のところからダウンロードされ、本人の許可なくスマホに仕込まれ、発見されないようホーム画面から消えるように設計されている。あなたが携帯電話を積極的に使用していないときでも、携帯の動作がいつもと違ったり、動作がいつもより鈍く遅くなったりすることに気づくかもしれない。

これらの一連のストーカーウェアのアプリは、雇用主が従業員の業務用携帯電話を遠隔管理するためによく使用されているAndroid搭載の機能を悪用しているため、Androidスマホが危険にさらされているかどうかのチェックは迅速かつ簡単に行える。

チェックを実行する前に、安全策を準備して欲しい。Coalition Against Stalkerware(ストーカーウェアに対抗するための取り組みを行う企業連合)は、ストーカーウェアの被害者と被害克服者のためのアドバイスとガイダンスを提供している。スパイウェアは秘密になるよう設計されているが、携帯電話からスパイウェアを削除すると、それを仕掛けた人物に警告がいく可能性が高く、安全でない状況を作り出す可能性があることに留意して欲しい。

この操作では、スパイウェアのアプリを削除するだけで、すでに収集されサーバーにアップロードされたデータは削除されないことに注意が必要だ。また、Androidのバージョンによっては、メニューオプションが若干異なる場合がある。自己責任においてこれらの手順に従って欲しい。

Google Playプロテクトの設定を確認する

Android端末のセキュリティ機能Google Playプロテクトが有効になっていることを確認する(画像クレジット:TechCrunch)

Google Playプロテクトは、サードパーティ製のものやアプリストアの悪意のあるAndroidアプリから保護するための最高のセーフガードの1つだ。しかし、スイッチをオフにすると、それらの保護機能が停止し、Google Play外のストーカーウェアやマルウェアが端末にインストールされる可能性がある。そのため、このストーカーウェアネットワークでは、スパイウェアを仕掛ける人に、動作させる前にGoogle Playプロテクトを無効にするよう促している。

Google PlayアプリからGoogle Playプロテクトの設定を確認し、有効になっていること、そして最近スキャンが完了したことを確認しよう。

アクセシビリティサービスが不正に細工されていないか確認する

ストーカーウェアは、デバイスとそのデータへの深いアクセスに依存していて、画面読み上げなどのアクセシビリティ機能を動作させるために、設計上、OSとそのデータへの広範なアクセスを必要とするAndroidのアクセシビリティ機能を往々にして悪用する。アクセシビリティのオプションの中にダウンロードした覚えがないサービスがある場合は、削除した方がいいかもしれない。ストーカーウェアのアプリの多くは「アクセシビリティ」や「デバイスヘルス」と呼ばれる、最初から入っているアプリに偽装されている。

Androidのスパイウェアは、ビルトインされたアクセシビリティ機能を悪用することが多い(画像クレジット:TechCrunch)

端末管理アプリがインストールされていないか確認する

端末管理のオプションは、アクセシビリティ機能と似ているが、さらに広範囲にAndroidにアクセスすることができる。これらの端末管理オプションは、企業が従業員の携帯電話をリモートで管理し、機能を無効化し、データ損失を防ぐためにデータを消去するためのものだ。しかし、このオプションによってストーカーウェアのアプリが画面を録画し、デバイスの所有者を盗聴することもできる。

端末管理アプリ設定の覚えのない項目は、端末侵入の一般的な指標だ(画像クレジット:TechCrunch)

ほとんどの人は個人の携帯電話に端末管理アプリを入れていないだろう。そのため「System Service(システムサービス)」「Device Health(デバイスヘルス)」「Device Admin(デバイス管理)」などの名前のついた見慣れないアプリが出てきたら要注意だ。

アンインストールするアプリを確認する

これらのストーカーウェアアプリのホーム画面アイコンは表示されないかもしれないが、Androidスマホのアプリのリストに表示されている可能性がある。Androidの設定画面にいき、アプリを表示して欲しい。そして一般的な外観のアイコンを持つ「デバイスヘルス」「システムサービス」などの無難な名前のアプリを探す。これらのアプリは、カレンダー、通話履歴、カメラ、連絡先、位置情報に広くアクセスできる。

スパイウェアのアプリは、一般的な外観のアイコンであることが多い(画像クレジット:TechCrunch)

覚えのないアプリやインストールしていないアプリがあった場合は「アンインストール」をタップする。この場合、ストーカーウェアを仕掛けた人物に、アプリがもはやインストールされていないことを警告する可能性が高いことに注意して欲しい。

携帯電話を保護する

ストーカーウェアが仕かけられていた場合、携帯電話のロックが解除されていた、無防備になっていた、あるいは画面ロックを推測・学習されていた可能性が高い。より強力なロック画面のパスワードは、未来のストーカーからあなたの携帯電話を保護するのに役立つ。また、電子メールやその他のオンラインアカウントは、可能な限り二要素認証で保護すべきだ。

あなたやあなたの知り合いが助けを必要としている場合、National Domestic Violence Hotline (1-800-799-7233)が家庭内虐待や暴力の被害者に24時間365日無料で極秘のサポートを提供している。緊急事態の場合は911に通報を。また、Coalition Against Stalkerwareは、あなたの携帯電話がスパイウェアによって侵害されていると思われる場合のリソースを提供している。この記事の執筆者には、SignalとWhatsAppの+1 646-755-8849、またはzack.whittaker@techcrunch.comでコンタクトを取れる。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

サイバー攻撃の被害に遭った赤十字、「国家が支援」するハッカーが未パッチの脆弱性を悪用したと発表

先日、赤十字国際委員会(ICRC)がサイバー攻撃の被害に遭い、51万5000人以上の「非常に弱い立場にある」人々のデータが流出したが、これは国家が支援するハッカーの仕業だった可能性が高いようだ。

ICRCはスイス時間2月16日に公開した最新情報の中で、ハッカーによる最初の侵入は、1月18日に攻撃が明らかになる2カ月前の2021年11月9日にさかのぼることを確認、分析の結果、侵入はICRCのシステムに対する「高度に洗練された」標的型攻撃であり、ICRCが当初の発表で述べたような業務契約している外部企業のシステムに対する攻撃ではないことがわかったと付け加えた。

ICRCは「攻撃者がICRCに関わるサーバー上のみで実行することを目的としたコードを作成していたことから、今回の攻撃がICRCを標的としたものであることがわかった」と述べている。今回更新された情報によると、攻撃者が使用したマルウェアは、ICRCのインフラストラクチャ内の特定のサーバーを標的として設計されたものだったという。

ハッカーは、ウェブベースのオフィスサービスを手がけるZoho(ゾーホー)が開発したシングルサインオンツールに存在する、既知でありながらパッチが適用されていない危険度の高い脆弱性を悪用して、ICRCのネットワークにアクセスする手段を得た。この脆弱性は、9月に米国のCISA(サイバーセキュリティ・インフラストラクチャ・セキュリティ庁)から警告を受けており、CVSS(共通脆弱性評価システム)の深刻度スコアは10点満点中9.8点となっている。

ICRCによると、不明な国家支援ハッカーはこの欠陥を悪用し、ウェブシェルを設置して、管理者資格の侵害、ネットワーク内の移動、レジストリファイルやドメインファイルの流出などの侵入後活動を行ったという。

「ネットワークに侵入したハッカーは、攻撃的なセキュリティツールを展開して、正当なユーザーや管理者に偽装することが可能になりました。これにより、データが暗号化されているにもかかわらず、データにアクセスすることができたのです」と、ICRCは述べている。赤十字は、今回の攻撃で盗まれたデータが公開されたり取引されたりしているという決定的な証拠はなく、身代金の要求もなかったと付け加えているが、個人情報が流出した可能性のある人々には連絡を取っていると述べている。

ICRCによると、標的とされたサーバー上のマルウェア対策ツールは攻撃を受けた時に有効であり、攻撃者が使用した悪意のあるファイルの一部をブロックしていたものの、展開されたファイルのほとんどは、マルウェア対策防御を「回避するために特別に作られた」ものであったとのこと。

このようなツールは、通常、APT(Advanced Persistent Threat、高度持続的標的型攻撃)グループや、あるいは国家が支援する攻撃者が使用するものであるとICRCは指摘しているが、赤十字社は、今回の攻撃が特定の組織によるものであると、まだ正式に判断したわけではないと述べている。Palo Alto Networks(パロアルト・ネットワークス)が2021年11月に発表したレポートでは、APT27と呼ばれる中国の国家支援グループに、同じ脆弱性を悪用した関連性が見られると述べている。

今回のサイバー攻撃の結果、赤十字社は、紛争や災害で離ればなれになった家族の再会などの重要な業務を遂行するために、スプレッドシートの使用に頼らなければならなくなったと述べている。

「弱い立場にある人々のデータに対するこの攻撃が、変化を促す要因となることを、私たちは願っています」と、ICRCのRobert Mardini(ロバート・マルディーニ)事務局長は、声明の中で述べている。「赤十字・赤新月運動の人道的使命に対する保護が、データ資産やインフラにまで及ぶことを明確に求めるために、今後は国家および非国家主体との関わりを強化していきます」。

「人道的データは決して攻撃されてはならないという確固たるコンセンサスを、言葉と行動で得ることが重要であると、私たちは信じています」。

画像クレジット:Fabrice Coffrini / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

またカナダの募金サイトに不正アクセス、ハッカーがトラック運転手抗議デモへの寄付者の名前を漏洩

あるリークサイトは、募金サイトGiveSendGoがハッカーに狙われた後、オタワでのトラック運転手による抗議デモ「Freedom Convoy(フリーダムコンボイ)」への寄付者に関する情報のキャッシュを受け取ったという。

GiveSendGoのウェブサイトは現地時間2月14日、サイトが乗っ取られ、ハッカーによってコントロールされていると思われるページにリダイレクトされるようになり、その数時間後に「メンテナンス中」となって、もはや読み込めなくなったと明らかにした。リダイレクトされたページは、新型コロナウイルス感染症のワクチン接種の義務化に反対してカナダの首都を襲い、1週間以上にわたって交通と貿易に広範な混乱を引き起こしたトラック運転手たちを非難した。

このページには、Freedom Convoyに寄付をした人たちの「生の寄付データ」と称される数万件の記録を含むファイルへのリンクも含まれていた。

しばらくして、非営利のリークサイト「Distributed Denial of Secrets」が、GiveSendGoから30MBの寄付者情報を受け取ったと発表した。この中には、同サイトで行なわれた「すべてのキャンペーン」に対する寄付者の自称氏名、電子メールアドレス、郵便番号、IPアドレスが含まれていた。

Distributed Denial of Secretsは、極右グループに関する一連の流出データを保管していることで知られるサイトだが、このデータは研究者やジャーナリストにのみ提供されると述べた。

ジャーナリストのMikael Thalen(ミカエル・タレン)氏によると、今回の情報漏洩は、1000件以上の身分証明書類を保存しているAmazon(アマゾン)がホストするS3バケットをGiveSendGoがインターネットに公開したままにしていた、以前のセキュリティ過失とは別のものだ。タレン氏は2月13日夜に今回のデータ漏洩を最初に指摘した

関連記事:カナダのワクチン義務化に抗議するトラック運転手たちの寄付サイトから個人情報流出

GoFundMeがオタワで発生した暴力の警察報告を理由にクラウドソーシングキャンペーンを停止して数百万ドル(数億円)の寄付を凍結した後、マサチューセッツ州ボストンを拠点とするGiveSendGoは1月にFreedom Convoyの主要寄付サービスになっていた。週末には、カナダの裁判所がGiveSendGoが集めた資金へのアクセスを停止する命令を出したが、同社は命令に従わないと述べた。

抗議者らは2月初め、Freedom Convoのために800万ドル(約9億円)超を集めた。

GiveSendGoの共同設立者、Jacob Wells(ジェイコブ・ウェルズ)氏は、コメントの要請に応じなかった。

画像クレジット:Stephanie Keith / Bloomberg / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

カナダのワクチン義務化に抗議するトラック運転手たちの寄付サイトから個人情報流出

カナダのワクチン義務化に抗議しているオタワのトラック運転手が利用している寄付サイトが、寄付者のパスポートや運転免許証が流出するセキュリティ上の不備を修正した。

マサチューセッツ州ボストンを拠点とする寄付サービスGiveSendGo(ギブセンドゴー)は先週、GoFundMe(ゴーファンドミー)が市内での暴力や嫌がらせに関する警察の報告を理由に数百万ドル(数億円)の寄付を凍結した後、いわゆる「フリーダム・コンボイ」活動の主要寄付サービスとなっていた。

1月に始まったこの抗議運動では、新型コロナワクチン接種の義務化に反対する数千人の抗議者とトラック運転手がカナダの首都に降り立ち、渋滞で通りがマヒするほどだ。GoFundMeの募金ページが約790万ドル(約9億1200万円)の寄付を達成した後、このクラウドソーシングの巨人はキャンペーンを阻止するために介入し、募金活動を、抗議活動への支援を公言するGiveSendGoに移行するよう促した。プレスリリースによると、GiveSendGoは、同社がキャンペーンを主催した初日に、フリーダム・コンボイの抗議者のために450万ドル以上(約5億1900万円)の寄付を処理したと述べている。

TechCrunchは、AmazonがホストするS3バケットに50Gバイトを超えるファイル(パスポートや運転免許証など)が保存されていることがセキュリティ分野の人物によって発見されたことを受けて、このデータ漏えいに関する情報を入手した。

この研究者は、GiveSendGoにあるフリーダム・コンボイのウェブページのソースコードを閲覧することで、公開されたバケットのウェブアドレスを見つけたという。

S3バケットは、ファイルや文書、あるいはウェブサイト全体をAmazonのクラウドに保存するために使用されるが、デフォルトでは非公開に設定されており、バケットの内容を誰でもアクセスできるように公開するには、複数のステップのプロセスが必要だ。

公開されていたバケットには、フリーダム・コンボイのページがGiveSendGoに最初に設置された2月4日から、1000枚以上のパスポートと運転免許証の写真とスキャン画像がアップロードされていた。ファイル名から、一部の金融機関が個人の支払いや寄付を処理する前に必要とする、支払いプロセスで身分証明書がアップロードされていたことが示唆される。

TechCrunchは、GiveSendGoの共同設立者であるJacob Wells(ジェイコブ・ウェルズ)氏に、現地時間2月8日に公開されたバケットの詳細について連絡を取った。しばらくして、バケットの安全は確保されたようだが、ウェルズ氏は、GiveSendGoがセキュリティの欠陥について、情報が流出した人々に知らせる予定があるかどうかなどの質問には答えなかった。

バケットがいつまで晒されたままになっていたかは正確には不明だが、無名のセキュリティ研究者が残した2018年9月付けのテキストファイルには、バケットが「適切に設定されていない」ため「危険なセキュリティ上の影響を及ぼす」と警告されていた。

画像クレジット:Kadri Mohamed / Anadolu Agency / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Akihito Mizukoshi)

【コラム】10代によるテスラ車のハックを教訓にするべきだ

Tesla(テスラ)をハックした19歳のDavid Colombo(デビッド・コロンボ)が騒がれるのは、当然といえば当然の話だ。彼はサードパーティソフトウェアの欠陥を利用して、13カ国にわたる世界的EVメーカーの車両25台にリモートアクセスした。ハッカーは、遠隔操作でドアのロックを解除し、窓を開け、音楽を流し、それぞれの車両を始動させることができたと話している。

関連記事:100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

コロンボ氏が悪用した脆弱性はTeslaのソフトウェアのものではなく、サードパーティのアプリに存在するもので、そのためできることに限界があり、ハンドルやアクセルそして加速も減速もできなかった。しかし彼はドアを開け、クラクションを鳴らし、ライトを制御し、ハッキングした車両から個人情報を収集した。

サイバーセキュリティのプロにとって、このようなリモートでのコードの実行や、アプリキーを盗むのは日常茶飯事だが、私が恐れるのは、情報漏洩の開示に慣れてしまい、今回の件がコネクテッドカーのエコシステム全体の関係者にとって貴重な学習の機会であることが見逃されてしまうことだ。

今回のハッキングは、サイバーセキュリティの初歩的な問題であり、率直にいって起きてはならない過ちだ。コロンボ氏がTwitterのスレッドを投稿して通知した翌日に、Teslaが突然数千の認証トークンを非推奨にしたことから、問題のサードパーティ製ソフトウェアは、セルフホスティングのデータロガーだった可能性があるのだという。一部のTwitterユーザーの中にはこの説を支持する人もおり、アプリの初期設定によって、誰でも車両にリモートアクセスできる可能性が残されていることを指摘している。これは、コロンボ氏による最初のツイートで、脆弱性は「Teslaではなく、所有者の責任」と主張したこととも符合する。

最近の自動車サイバーセキュリティ規格SAE/ISO-21434と国連規則155は、自動車メーカー(通称、OEM)に車両アーキテクチャ全体に対する脅威分析とリスク評価(threat analysis and risk assessment、TARA)の実施を義務化している。これらの規制により、OEMは車両のサイバーリスクと暴露の責任を負う。つまり、そこが最終責任になる。

Teslaのような洗練されたOEM企業が、サードパーティのアプリケーションにAPIを開放するリスクを看過していたのは、少々らしくないような気もする。しかし低品質のアプリは十分に保護されていない可能性があり、今回のケースのように、ハッカーがその弱点を突いてアプリを車内への橋渡しとして使用することが可能になる。サードパーティ製アプリの信頼性は、自動車メーカーに委ねられている。自動車メーカーの責任として、アプリを審査するか、少なくとも認証されていないサードパーティアプリプロバイダーとのAPIのインターフェイスをブロックする必要がある。

たしかに、OEMが検査し承認したアプリストアからアプリをダウンロードし、アップデートすることは消費者の責任でもある。しかしOEMの責任の一部は、そのTARAプロセスでそうしたリスクを特定し、未承認アプリの車両へのアクセスをブロックすることにある。

私たちKaramba Securityは、2021年に数十件のTARAプロジェクトを実施したが、OEMのセキュリティ対策には大きなばらつきが散見された。しかながらOEMは、顧客の安全性を維持し、新しい規格や規制に対応するためにできるだけ多くのリスクを特定し、生産前に対処することを最重要視している点で共通している。

ここでは、私たちが推奨するOEMメーカーが採用すべきベストプラクティスを紹介する。

  1. 秘密と証明書を保護する – 広義のなりすましや身分詐称を確実に失敗させる(ファームウェアを置き換える、認証情報を詐称するなど)
  2. アクセスや機能をセグメント化する(ユーザーに対して透過的な方法で) – たとえ1つのポイントが失敗しても、被害は限定的になる
  3. 自分自身で継続的にテストする(あるいは他の人にやってもらうために報奨金プログラムを立ち上げる) – 見つけたものはすぐに修正する
  4. インフォテインメント、テレマティクス、車載充電器などの外部接続システムを堅牢化し、リモートコード実行攻撃から保護する
  5. APIをクローズアップする。未許可の第三者には使用させないこと。このような習慣があれば、今回の攻撃は免れたはずだ

消費者に対しては、OEMのストア以外からアプリを絶対にダウンロードしないことをアドバイスしている。どんなに魅力的に見えても、非公認アプリは運転者や乗客のプライバシーを危険にさらしていることがある。

EVは楽しいものだ。高度な接続性を有し、常に更新されすばらしいユーザー体験を提供しれくれる。しかし、EVは自動車であり、スマートフォンではない。自動車がハッキングされると、ドライバーの安全とプライバシーを危険にさらすことになる。

編集部注:本稿の執筆者Assaf Harel(アサフ・アレル)氏は、Karamba Securityで研究とイノベーション活動を指揮し、革新的な製品とサービスの広範なIPポートフォリオを監督している。

画像クレジット:SOPA Images/Getty Images

原文へ

(文:Assaf Harel、翻訳:Hiroshi Iwatani)

100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

Tesla(テスラ)車のオーナーに人気の高いオープンソースのログ記録ツールに、セキュリティバグが見つかった。これにより、セキュリティ研究者は世界中の数十台のテスラ車にリモートアクセスできたと述べている。

この脆弱性に関するニュースは2021年1月初め、ドイツのセキュリティ研究者であるDavid Colombo(デヴィッド・コロンボ)氏のツイートで初めて明らかになった。コロンボ氏は、25台以上のテスラを「完全に遠隔操作」できるようになったが、その詳細を公表せずに、悪意のあるハッカーに警告を与えず、影響を受けたテスラ車のオーナーに問題を開示することに苦労していたと述べている。

現在、このバグは修正されていることをコロンボ氏は確認している。TechCrunchはこの記事を、脆弱性が悪用される可能性がなくなるまで掲載を保留していた。コロンボ氏はブログで調査結果を発表した。

コロンボ氏がTechCrunchに語ったところによると、この脆弱性は「TeslaMate(テスラメイト)」というツールで見つかった。これはテスラ車のオーナーが自分の車両に接続して、車両のエネルギー消費量、位置情報の履歴、走行統計などの隠されたデータにアクセスし、問題のトラブルシューティングや診断を行うために使用する無料でダウンロードできるロギングソフトウェアだ。TeslaMateは、テスラ車マニアたちが家庭用コンピューターで実行していることも多いセルフホスト型のウェブダッシュボードで、テスラのAPIにアクセスすることで、クルマの所有者のアカウントに紐付けられている車両のデータに触れることができる。

しかし、匿名でのアクセスを許可したり、デフォルトのパスワードを変更せずに使用しているユーザーがいたりといったウェブダッシュボードのセキュリティ上の欠陥が、一部のテスラ車オーナーによる設定ミスと相まって、100台分を超えるTeslaMateのダッシュボードが、テスラ車を遠隔操作するために使用する車両オーナーのAPIキーを含めて、直接インターネットに漏洩するという事態を引き起こした。

コロンボ氏はTechCrunchに電話で、影響を受けたテスラ車の数はもっと多いだろうと語っている。

漏洩したTeslaMateのダッシュボードの1つには、あるテスラ車がカリフォルニア州を横断している最近の移動ルートが表示されていた。TeslaMateはその後、脆弱性を修正し、テスラは数千のAPIキーを失効させた(画像クレジット:David Colombo)

コロンボ氏によると、TeslaMateのダッシュボードがデフォルトでは保護されていないことを発見したのは、2021年、漏洩したダッシュボードを偶然見つけたことがきっかけだったという。インターネットで他のダッシュボードを検索した結果、同氏は英国、欧州、カナダ、中国、米国でダッシュボードが露呈されたテスラ車を発見した。

しかし、ダッシュボードが露呈しているテスラ車のオーナーに個別に連絡を取ることは非常に困難であり、多くの場合、影響を受けたテスラの顧客に連絡できる方法を正確に知ることはできないと、コロンボ氏は説明する。

さらに悪いことに、露呈したダッシュボードからテスラ車ユーザーのAPIキーを抽出することが可能だったため、悪意のあるハッカーが、ドライバーに気づかれず、テスラ車に長期的なアクセスを続けることができてしまったのだ(APIは、インターネット上で2つのソフトウェアが相互にやり取りすることを可能にする。この場合、テスラの車両と同社のサーバー、Teslaアプリ、またはTeslaMateダッシュボード)。テスラのAPIへのアクセスは、所有者のアカウントに紐付けされたプライベートAPIキーによって、テスラ車の所有者に制限されている。

コロンボ氏は、流出したAPIキーを利用することによって、ドアや窓のロック解除、クラクションの吹鳴、キーレス運転の開始など、車両の一部機能に遠隔操作でアクセスできることを、アイルランドのあるテスラ車オーナーに確認したという。また、車両の位置情報、最近の走行ルート、駐車場の場所など、車両内部のデータにもアクセスできたとのこと。ただし、APIへのアクセスを利用してインターネットから遠隔的に車両を動かすことができるとは思えないと、コロンボ氏はいう。

今回のセキュリティ問題は、テスラのインフラにあったわけではないものの、業界標準の措置であるパスワードが変更された時に顧客のAPIキーを失効させるなど、テスラはセキュリティを向上させるためにもっとできることがあると、コロンボ氏は述べている。

TeslaMateは内密に脆弱性を報告した後、アクセスを防ぐためにユーザーが手動でインストールしなければならないソフトウェア修正を配信した。

TeslaMateプロジェクトの保守管理者であるAdrian Kumpf(エイドリアン・クンプフ)氏は、コロンボ氏のメールを受け取ってから数時間以内に更新プログラムを配信したと、TechCrunchに語っている。このソフトウェアはセルフホスト型であるため、ユーザーが誤って自分のシステムをインターネットに露呈させてしまうことを防ぐことはできないと、クンプフ氏はメールで語っており、TeslaMateの説明書では以前から、ソフトウェアを「ホームネットワーク上にインストールするように。さもなければ、あなたのテスラAPIトークンが危険にさらされる可能性があります」と警告していると付け加えた。また、クンプフ氏は、高度なインストールオプションを選択したユーザーは影響を受けないはずだ、とも述べている。

テスラが数千人のドライバーのAPIキーを失効させたことから、この問題は当初考えられていたよりも広範囲に渡っていた可能性があると、コロンボ氏はTechCrunchに語った。なお、テスラには本記事掲載前にコメントを求めたが、回答は得られなかった(テスラは2020年に広報チームを廃止している)。

画像クレジット:Patricia de Melo Moreira / AFP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

二要素認証の危殆化でハッキングされた暗号資産取引所Crypto.com、被害は約38.7億円以上に

Crypto.com(クリプト・ドットコム)は、先週末に同社のプラットフォームで発生した最近のハッキングについて、米国時間1月20日ウェブサイト上の声明で新しい詳細を共有し、483人のユーザーが影響を受け、1500万ドル(約17億円)相当以上のETH(イーサリアム)、1900万ドル(約21億6400万円)相当のBTC(ビットコイン)「その他の通貨」6万6200ドル(約750万円)相当の不正な引き出しが発生したと発表した。現在の暗号資産価値で3400万ドル(約38億7300万円)以上の価値がある総損失は、Crypto.comが声明を発表する前にアナリストが予測したものよりもさらに高いものだ。

同社の事後報告は、CEOのKris Marszalek(クリス・マルザレック)氏がBloomberg TVとのインタビューで侵害を認めたわずか1日後に行われた。彼の確認は、資金を盗まれたと訴える複数のCrypto.comユーザーから苦情が寄せられた後に行われた。それまで同社は「インシデント」としか言及せず、曖昧な対応に終始していたのだ。マルザレック氏はインタビューの中で、侵害がどのように発生したかについての詳細を共有していなかったが、彼はCrypto.comが影響を受けたすべてのアカウントに払い戻したことを認めていた。

本日の声明によると、Crypto.comは米国時間1月17日に「2FA(二要素)認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出したとのことだ。サイトは問題を調査するために14時間すべての引き出しを停止した。

Crypto.comは、攻撃者がすべてのユーザーに義務づけられている二要素認証を呼び起こさずに取引を承認することができた方法については述べていない。TechCrunchが詳細を問い合わせたところ、同社は今日発表された声明以外には、この侵害についてコメントすることを拒否した。

同社は「すべての顧客の2FAトークンを失効させ、追加のセキュリティ強化策を追加した」後、顧客にプラットフォームにログインして2FAトークンを再度設定するよう求めたと述べている。追加措置には、新しい引き出し用住所の登録と最初の引き出しの間に24時間の遅延が義務づけられているため、ユーザーは通知を受け、引き出しが不正と思われる場合はCrypto.comチームに連絡して「反応し、対処する十分な時間」を確保することになる。

同社は侵入後、内部監査を実施し、第三者のセキュリティ会社と契約してプラットフォームのチェックを行ったという。セキュリティ強化のため、2FAから「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していない。

Crypto.comはまた、2月1日から「一部の市場でWorldwide Account Protection Program(WAPP)」を導入すると発表した。これは、不正引き出しが発生した場合「認定ユーザー」に対して最大25万ドル(約2800万円)まで資金を回復するプログラムである。このプログラムの適用を受けるには、ユーザーは、多要素認証が利用可能なすべての取引タイプで多要素認証を有効にしなければならない。また、報告された不正取引の少なくとも21日前にアンチフィッシングコードを設定し、警察に被害届を提出し、それをCrypto.comにも提供し、鑑識調査に協力するための質問事項に答えなければならない。さらに、ジェイルブレイク(脱獄)デバイスを使用していないことが必要だと同社は述べている。

Crypto.comは世界第4位の暗号取引所だが、ここ数カ月は米国市場に強くアプローチしており、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリッパーズアリーナの命名権7億ドル(約797億円)の購入などのスタントを行っている。自社のことを「最も急成長している」暗号取引所と呼び、今週初めにはこの分野のアーリーステージのスタートアップを支援するために、ベンチャーキャピタル部門を5億ドル(約569億円)に拡大しました。今週の侵害事件と同社の対応の遅れによって、米国内での成長が停滞する恐れがある。

関連記事:Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

画像クレジット:Seb Daly / RISE via Sportsfile Flickr under a CC BY 2.0 license.

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

赤十字国際委員会のデータが流出、「弱い立場にある」51万5千人の個人情報が盗まれる

赤十字国際委員会(ICRC)の業務委託先がサイバー攻撃を受け、紛争や移住、災害などで家族と離ればなれになった「非常に弱い立場にある」51万5000人以上の個人データが流出していることが明らかになった。

赤十字国際委員会は、データの保存に使用しているスイスの業者の名前や、セキュリティ事故の原因については明らかにしていないものの、これらのデータは60以上の赤十字社および赤新月社のナショナルソサエティから提供されたものだと述べている。

声明の中で、赤十字国際委員会は攻撃者に対し、データの保護必要度を考慮して、情報を公に共有したり漏洩させたりしないようにと訴えている。

「あなた方の行為は、すでに計り知れない苦しみに耐えている人々に、さらに多くの傷と痛みを与える可能性があります。今、あなた方が手にしている情報の背後にいる実在の人物、実在の家族は、世界で最も無力な人々です。どうか正しいことをしてください。このデータを共有したり、売ったり、漏洩させたり、悪用したりしないでください」と、声明には書かれている。

この情報漏洩を受けて、同団体は紛争や災害で離ればなれになった家族を再会させることを目的とした「Restoring Family Links(家族のつながりの回復)」プログラムを停止した。

赤十字社の広報担当者がTechCrunchに語ったところによると、盗まれた情報には、氏名、所在地、連絡先の他、同組織のプログラムの一部にアクセスするための認証情報も含まれていたとのこと。

今回のサイバー攻撃によって、51万5000人以上の氏名、所在地、連絡先などの個人情報が侵害された。被害を受けた人々の中には、行方不明者とその家族、親のいない子どもや親と離ればなれになった子ども、拘留者、その他の武力紛争や自然災害、移住により国際赤十字・赤新月社運動から支援を受けている人々が含まれる。また、これらのプログラムに従事する約2000人の赤十字社・赤新月社のスタッフおよびボランティアのログイン情報も流出した。赤十字の広報担当者であるCrystal Ashley Wells(クリスタル・アシュリー・ウェルズ)氏によれば、システムが細分化されているため、ICRCの他の情報が漏洩することはないという。

国際的な人権団体や災害救援機関がハッカーの標的となることは増えている。2021年、国連は正体不明のサイバー攻撃者にネットワークを侵害された。また、5月にMicrosoft(マイクロソフト)は、米国国際開発庁のメールアカウントがハッカー集団に乗っ取られ、数千人に悪意のあるメールが送信されたことを明らかにした。

画像クレジット:Alex Wong / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

Crypto.com(クリプト・ドットコム)のCEOであるKris Marszalek(クリス・マルザレック)氏は、米国時間1月19日に行われたBloomberg TVのインタビューで、約400の顧客口座がハッキングによって侵害されたと述べた。複数のCrypto.comユーザーが資金を盗まれたと主張してきたものの、これまで会社からの回答が曖昧だったへの苦情を受けて、侵害を認めるかたちとなった。

マルザレック氏は、ハッキングがどのように発生したかについての詳細は明らかにしなかったが、事件後「約13~14時間」で取引所がオンラインに戻り、影響を受けたアカウントはすべて払い戻されたとBloomberg TVに語った。

マルザレック氏の声明は、Crypto.comがハッキングが実際に発生したことを初めて公式に認めたことを意味する。同社は、米国時間1月16日にTwitterで「少数のユーザーが自分のアカウントで疑わしい行動を報告している」と指摘した後、同プラットフォームでの引き出しをまず一時停止した。また「用心のために」2要素認証を再設定するよう顧客に求めた。

同社はその後、顧客の資金が安全であるというやりとりの中で、発生した顧客の損失は同社がカバーするとの憶測を引き出し、何度もユーザーを安心させた。

損失額は1500万ドル(約17億1600万円)相当のETH(イーサリアム)に達する可能性があると、ブロックチェーンセキュリティプロバイダーのPeckShield(ペックシールド)は1月16日にツイートしている。PeckShieldはこのツイートで、資金の約半分がTornado Cash(トルネード・キャッシュ)に送られて「洗浄」されていると主張している。Tornado Cashは、イーサリアムのブロックチェーン上で「非保護の匿名取引」を提供しているとのこと。つまり、暗号がどこに送られたかを隠すことができるということだ。ブロックチェーンデータ会社OXT Research(OXTリサーチ)の別のアナリストは、このハッキングによって実際に取引所に3300万ドル(約37億7600万円)の損害が発生したのではないかと推測している。

損失の範囲について尋ねられたとき、マルザレック氏はBloomberg TVに、Crypto.comはまだ事件の事後分析に取り組んでおり、それは同社のブログに「数日中に」掲載されるだろうと述べた。

Crypto.comは世界第4位の暗号資産取引所だが、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリプト・ドットコム・アリーナの命名権7億ドル(約801億円)の購入などのスタントで、ここ数カ月、米国市場に強くその名を押し出してきた。自らを「最も急成長している」暗号取引所と呼び、今週初めには、この分野の初期段階のスタートアップを支援するためにベンチャーキャピタル部門を5億ドル(約572億円)に拡大した。今週のハッキングに関する影響は、米国での成長を一部停滞させる恐れがあるだろう。

画像クレジット:Crypto.com

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

米連邦通信委員会がデータ漏洩に関する企業の報告義務を厳格化する規制改正案を発表

米連邦通信委員会(Federal Communications Commission、FCC)は、データ漏洩に対する企業の責任を強化しようとする次の米国の規制当局となった。Jessica Rosenworcel(ジェシカ・ローゼンウォーセル)委員長は米国時間1月12日、データ漏洩の報告に関するより厳しい要件を導入するための規制改正案を発表した。最も注目すべきことは、新規制では「不注意による」データ漏洩が生じた場合も、影響を受ける顧客へ通知することが義務づけられるという点だ。データの漏洩を放置していた企業は、サイバー攻撃の被害者と同様に、顧客に伝達しなければならない。

また、データ漏洩の発覚から顧客へ通知するまでに現在設けられている1週間の待機期間も廃止される。一方、通信事業者は、FBIやシークレットサービスに加えて、FCCにもデータ漏洩に関する報告すべき情報を開示しなければならない。

ローゼンウォーセル委員長は、情報漏洩の「進化する性質」と被害者にもたらすリスクを考慮すると、より厳しい規則が必要だと主張。より大規模で頻繁に発生する事態から、人々を守るべきだと述べている。つまり、規制は現実に追いつく必要があるということだ。

FCCは、この改正案がいつ投票にかけられるかについては言及していないが、FCCの次回の公開会議は1月27日に予定されている。FCCがこの新しい改正案を承認するという保証はない。しかし、このような規則改定が進められることになっても、まったく不思議ではない。現在、企業は情報漏洩を開示する傾向にあるものの、顧客への通知に時間がかかったり、まったく通知されなかったりする事件が何度か発生して注目を集めている。この新たな規制が採択されれば、顧客に通知されるまでの時間が短縮され、人々がデータ保護や不正行為防止の対策を講じられる可能性が高まるはずだ。

編集部注:本記事の初出はEngadget。執筆者のJon FingasはEngadgetの寄稿ライター、

画像クレジット:JuSun / Getty Images

原文へ

(文:Jon Fingas、翻訳:Hirokazu Kusakabe)

パナソニック、昨年11月のサイバー攻撃でハッカーが求職者とインターンの個人情報にアクセスと発表

日本のテック大企業Panasonic(パナソニック)は、2021年11月のサイバー攻撃で、ハッカーが求職者とインターンの個人情報にアクセスしたことを明らかにした。

同社は2021年11月26日にデータ流出を認め、その時点ではハッカーが機密情報にアクセスしたかどうかについてわかっていなかった。しかし、1月7日に発表された最新情報の中で、同社の特定部門の採用に応募したりインターンシップに参加した人の一部の個人情報にアクセスがあった、と明らかにした。影響を受けた人には通知していると述べた。

パナソニックの広報担当者Dannea DeLisser(ダニア・デリッサー)氏は、影響を受けた人の数やアクセスされた情報の内容については言及を避けた。

同社のアップデートでは、6月22日に始まって11月3日に終了し、そして11月11日に検出されたこのデータ流出では、まだ名前はわかっていないハッカーが、ビジネスパートナーから提供された不特定の「ビジネス関連情報」と、ビジネスパートナーの人材に関する情報を含むファイルを入手したことも明らかになった。

外部のセキュリティアドバイザーの協力を得て実施した社内調査の結果、第三者が海外子会社のサーバーを経由して日本国内のファイルサーバーに不正にアクセスしたことが確認された。パナソニックは、不正アクセス発見後、海外拠点からのアクセス制御の強化、関連するパスワードの再設定、サーバーへのアクセス監視の強化など「直ちにセキュリティ対策を追加で実施した」としている。

パナソニックは、再発防止に向けてセキュリティ対策を強化すると述べた。

同社を襲った11月のデータ流出は、インド子会社がランサムウェア攻撃の被害に遭い、ハッカーが財務情報や電子メールアドレスを含む4ギガバイトのデータを流出させてからわずか数カ月後に発生した。

画像クレジット:Kazuhiro Nogi / AFP / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

Javaで書かれた広く使われているログ記録ライブラリApache Log4jには、Log4Shellと通称されるゼロデイ脆弱性がある。連邦取引委員会(FTC)はこのほど、Log4Shellに対して顧客データのセキュリティを確保していない米国企業に対しては法的措置をとると警告した。

2021年12月に初めて発見されたこの「深刻な」脆弱性は、ますます多くの攻撃者によって悪用されており、何百万もの消費者製品に「深刻なリスク」をもたらすと、FTCは警告している。この公開書簡は、消費者に被害が及ぶ可能性を低減し、法的措置の可能性を回避するために、組織に対して脆弱性を緩和(ソフトウェアの最新バージョンへのアップデート)するよう組織に要請しています。

関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

「脆弱性が発見され悪用された場合、個人情報の紛失・漏洩、金銭的損失、その他取り返しのつかない損害を被る危険性がある。既知のソフトウェアの脆弱性を軽減するために合理的な措置を講じる義務は、特に連邦取引委員会法およびグラム・リーチ・ブライリー法を含む法律に関係するものである。 Log4jに依存している企業やそのベンダーが、消費者に被害を与える可能性を減らし、FTCの法的措置を回避するために、今すぐ行動することが重要だ」とFTCは述べている。

FTCは、2017年にApache Strutsの既知の欠陥のパッチを怠り、消費者1億4700人の機密情報の侵害が起こったEquifaxの例を挙げている。その信用報告機関はその後、FTCとそれぞれの州に7億ドル(約810億円)を払う示談に合意した

さらにFTCは「Log4jや同様の既知の脆弱性の結果として、消費者データを露出から保護するための合理的な措置を講じていない企業を追及するために、完全な法的権限を行使する意向だ」と述べ、「今後同様の既知の脆弱性」が発生した場合に消費者を保護するために法的権限を適用する計画だと付け加えた。

FTCは、数百万ドル(数億円)規模の罰金を回避したい企業に対して、米国のサイバーセキュリティー・インフラセキュリティー庁(CISA)が発行したガイダンスに従うよう促している。これにより、企業はLog4jソフトウェアパッケージを最新バージョンにアップデートし、脆弱性を緩和するための対策を講じ、脆弱性の可能性があるサードパーティーやコンシューマーに脆弱性に関する情報を配布する必要がある。

このFTCによる警告射撃は、Microsoftが今週、Log4Shellの脆弱性が依然として企業にとって「複雑で高リスク」の状況にあると警告し、「12月最後の数週間、悪用の試みとテストは高いままであり、低スキルの攻撃者と国民国家の行為者が同様にこの欠陥を利用している」と述べたことを受けてのものだ。

関連記事:インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている

「現時点では、悪用コードやスキャン機能が広く出回っていることが、顧客の環境にとって現実的な危険であると考えるべきでしょう。影響を受けるソフトウェアやサービスが多く、更新のペースも速いため、修復には長い時間がかかると予想され、継続的な警戒が必要です」とMicrosoftとは述べている。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

サイバーセキュリティのスタートアップZeroFoxが約1590億円のSPAC取引で株式公開へ

ソーシャルメディア上で発見されたリスクの検出を支援する企業向け脅威情報サイバーセキュリティのスタートアップ企業ZeroFox(ゼロフォックス)は、白紙委任会社L&F Acquisition(L&Fアクイジション)との合併を通して株式公開企業となる計画を発表した。

この取引の一環として、2013年の創業以来1億5400万ドル(約175億円)以上の資金を調達してきたメリーランド州のZeroFoxは、米国最大のデータ漏洩対応サービスのプロバイダーであると主張する消費者プライバシープラットフォームであるIDXを買収する予定だ。

同社の技術は、詐欺や悪意のあるリンク、アカウントの乗っ取りといった脅威から組織を守ることを目的としたAI搭載サービスの「ZeroFox」プラットフォームと融合し「顧客の外部サイバー脅威とリスクのライフサイクル全般」に対応するサイバーセキュリティプロバイダーとなる予定だ。

「ZeroFoxは2013年の設立以来、『デジタル・エブリシング』の世界への変革によって引き起こされる新たなセキュリティの課題に取り組む企業を支援してきました。この急速なデジタル変革により、企業は攻撃者に狙われやすくなり、業界史上最高の侵害率を記録する結果となりました。境界ファイアウォールと内部エンドポイントエージェントだけでは企業の資産と顧客を守ることができないため、外部サイバーセキュリティは最高情報セキュリティ責任者にとってトップ3の優先事項であり、重要なセキュリティ技術スタックの一部でなければならないと考えています」と、同社の最高経営責任者であるJames Foster(ジェームズ・フォスター)氏は述べている。

買収完了後、統合会社はZeroFox Holdings(ゼロフォックス・ホールディングス)と改名され、650人以上の従業員と約2000人の顧客を持つことになる。同社はティッカーシンボル「ZFOX」で上場され、統合企業の予想株式価値は約14億ドル(約1590億円)となる見込みだ。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Akihito Mizukoshi)

ボルボ、セキュリティ侵害で研究開発データの一部が盗まれる

Volvo Cars(ボルボ・カーズ)は、サイバーセキュリティ侵害と、同社の研究開発データが限定的に盗まれたインシデントを調査している。スウェーデンの自動車メーカーである同社は、このデータ侵害を現地時間12月10日に報告した。

同社によると、同社のファイルリポジトリの1つが第三者によって不正にアクセスされたとのこと。調査の結果「限られた量の会社の研究開発資産が侵入の際に盗まれた」ことが判明したと、同社は金曜日に声明を発表した。

Volvo Carsは、限られた量ではあるものの、同社の運営に影響を及ぼす可能性があると述べている。ただし、侵入の規模や何が盗まれたかについての詳細は明らかにしていない。Volvoの広報担当者も、詳細な情報の提供を控えている。

同社は独立した第三者調査機関と協力し、財産の盗難について調査している。

Volvoは、同社の財産へのさらなるアクセスを防ぐための措置を含むセキュリティ対策を実施し、不正アクセスを検知した後、関連当局に通知したと述べている。

今回の盗難は、顧客情報ではなく、会社の研究開発データをターゲットとしたものだったようだ。同社は「現在わかっている限りでは、顧客の所有する車や個人データの安全性やセキュリティに影響を与えるとは考えていない」と述べている。

侵入を最初に報じたメディア「Inside-it」は、Volvoのデータが「Snatch」というランサムウェアギャングのウェブサイトで公開されたことを示すスクリーンショットをダークウェブで見つけた。

デジタルリスク保護企業のCybelAngelが2021年秋に発表した報告書によると、自動車業界は、オンライン上に何十万もの露出した認証情報が存在するため、ランサムウェア攻撃の深刻なリスクにさらされているという。

CybelAngelが自動車関連企業を対象に行った6カ月間の調査では、企業秘密、個人を特定できる情報、エンジンや生産設備の設計図、機密契約書、人事文書など、非常にセンシティブな情報が流出していることが判明した。同社は、これらの情報漏えいは、自動車のサプライチェーン全体における従業員の内部からの脅威と、外部からのセキュリティ脆弱性が相まって原因となっていると結論づけている。

画像クレジット:Getty/Hector RETAMAL / AFP

原文へ

(文:Kirsten Korosec、翻訳:Aya Nakazato)

LINE Pay、13万人超の一部ユーザー情報が2カ月間GitHub上で閲覧可能だったとして謝罪

LINE Pay、13万人超の一部ユーザー情報が2カ月間GitHub上で閲覧可能だったとして謝罪

LINE Payは、一部ユーザーのキャンペーン参加に関する情報が、ソフトウェア開発のプラットフォーム「GitHub」上で閲覧できる状態になっていたとして謝罪しました。

閲覧可能となっていた情報に、氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれておらず、現時点でユーザーへの影響は確認されていないということです。

閲覧可能だった情報は、対象ユーザーの識別子(LINE IDとは異なる)、加盟店管理番号(加盟店IDとは異なる)、キャンペーン情報(キャンペーンコード等)です。このうち、キャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれる場合があります。

閲覧できる状態にあった期間は9月12日15時13分頃~11月24日18時45分。ユーザー情報は2020年12月26日から2021年4月2日までのものでした。

漏洩対象のアカウント数は、日本国内のLINE Payユーザーだけで5万1543アカウント、海外のグループ会社で展開しているLINE Payユーザーを含めると13万3484アカウントです。

当該情報に対する部外者のアクセス件数は11件だったということです。

発生原因に関してはLINE Pay側は次のように説明しています。

『当社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行いました。その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロードしてしまい、それが閲覧できる状態になっていました』

該当ユーザーには「LINE ウォレット」の公式アカウントから個別に案内を行っているほか、問い合わせ窓口(https://contact-cc.line.me/detailId/14554)も設置しています。

LINE Pay側は「今後、情報取り扱いの社員教育をさらに徹底し、その他の対応策も検討を進め、再発防止につとめてまいります」とコメントしています。

  1. LINE Pay、13万人超の一部ユーザー情報が2カ月間GitHub上で閲覧可能だったとして謝罪

 View Slideshow
Exit

(Source:LINE PayEngadget日本版より転載)

パナソニックがハッカーによる社内ネットワークへのアクセスでデータ流出を確認

日本のテック大手Panasonic(パナソニック)は、社内ネットワークへのハッカーのアクセスによるデータ流出を確認した。

パナソニックは11月26日付のプレスリリースで、11月11日に同社のネットワークが「第三者によって不正にアクセス」され「侵入時にファイルサーバー上の一部のデータにアクセスされた」と発表した。しかし、パナソニックの広報担当者Dannea DeLisser(ダンネア・デリサー)氏は、この侵入が6月22日に始まり、11月3日に終了したこと、そして不正アクセスが最初に検出されたのは11月11日であったことを認めた。

大阪に本社を置くパナソニックは、データ流出についてその他の情報をほとんど提供していない。同社のプレスリリースによると、同社は独自の調査に加えて「現在、専門の第三者機関と協力して、漏洩に顧客の個人情報および(あるいは)社会インフラに関連する機密情報が含まれているかどうかを確認中」だ。

「当社は、不正アクセスを発見した後、直ちに関係当局に報告するとともに、ネットワークへの外部からのアクセスを防止するなどのセキュリティ対策を実施しました。今回の事件によりご心配とご迷惑をおかけしたことを心よりお詫び申し上げます」。

今回のデータ流出のニュースは、パナソニックインドがランサムウェアの攻撃を受け、ハッカーが財務情報や電子メールアドレスを含む4ギガバイトのデータを流出させてから1年も経っていない中でのものだ。また、日本のテクノロジー企業を狙ったサイバー攻撃が相次いでいる中でのものでもある。NECと三菱電機は2020年にハッキングに遭い、オリンパスは最近、ランサムウェアBlackMatterの攻撃を受け、欧州・中東・アフリカ地域での事業停止を余儀なくされた

関連記事:オリンパスがランサムウェア「BlackMatter」の攻撃を受ける

画像クレジット: Sean Gallup / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi