WhatsAppハッキング技術やスパイウェアの販売業者が罪を認める

メキシコ人実業家が2月15日、イタリアとイスラエルから米国とメキシコの顧客にスパイウェアとハッキングのツールを販売したことを米連邦裁判所で認めた。

米司法省によると、米国とメキシコで複数の企業を経営するCarlos Guerrero(カルロス・ゲレロ)容疑者は、シグナルジャマー(妨害電波発生装置)、Wi-Fi傍受ツール、IMSIキャッチャー(「スティングレイ」と呼ばれ、人の電話を追跡できるる)、「WhatsAppメッセージをハッキングする能力」を持つツールを両国の見込み客に販売した容疑の罪を認めた。

検察は、ゲレロ容疑者がメキシコ政府の顧客と、商用および個人的な目的でツールを使用する個人客の両方に対して、傍受・監視ツールの販売を仲介していたと告発した。検察は、メキシコの市長が政敵の電子メールやソーシャルアカウントに不正にアクセスできるよう、ゲレロ容疑者が「承知の上で手配した」と述べた。また、ゲレロ容疑者は、当時南カリフォルニアとメキシコにいた米国のライバルの電話を傍受するために、自ら機器を使用した。

2014年から2015年にかけて、ゲレロ容疑者は訴状ではA社としか言及されていないイタリア企業の販売業者として働き、検察はハッキング装置と位置情報取得ツールを販売していたと述べている。この会社は、攻撃的な侵入ツールを製造していたミラノ拠点のいまはなきHacking Teamであると考えられている。同社は2015年にハッキングされ、ゲレロ容疑者に言及する大量のメッセージを含む内部メールがオンラインで公開された。

ゲレロ容疑者は、自身の会社Elite by Cargaを使って、名前は伏せられているイスラエルなどの企業が開発したハッキングツールを輸入していたことでも起訴されている。起訴状には、WhatsAppのメッセージをハッキングできる会社を含め、他のハッキングツールメーカーの名前はなかった。

メキシコで最も頻繁に使用され、支持されているハッキングツールの1つは、イスラエルのNSO Groupが開発した強力なモバイルスパイウェア「Pegasus」で、標的とするデバイスのデータにほぼ完全にアクセスすることができる。メキシコは過去20年間、約6100万ドル(約70億円)を投じて契約し、しばしばジャーナリスト、活動家、人権擁護者をターゲットにしてきた。NSOが繰り返し否定している、NSOの監視対象とみられる電話番号の流出リストによると、メキシコはリストの中で最も多くの電話番号(約700台)を標的にしているという。

NSOは、WhatsAppを使って個人の電話をハッキングできるとされる複数のイスラエル企業の1社だ。現在、WhatsAppの以前公開されたエクスプロイトを使って市民社会のメンバーが所有する電話1400台をハッキングしたとしてFacebookとの法廷闘争に巻き込まれている。NSOはかねてより、スパイウェアの販売先は法執行機関や諜報機関に限られるとし、Pegasusは米国の電話番号を標的とできないと繰り返し主張してきたが、米国内で外国の電話番号を標的にできることは知られている。NSOは、米国に拠点を置くWestbridge Technologiesという子会社を通じて、Phantomという米国の法執行機関向けのほぼ同一のスパイウェアも提供している。

NSOに、同社の技術がゲレロ容疑者によって販売または取り扱われたかどうかを尋ねる電子メールを送ったが、返事はなかった。

「今日の罪を認める答弁は、抑圧に使われるデジタルツールの拡散を食い止め、米国とメキシコの両市民のデジタルセキュリティを向上させるものです」と、米連邦検事Randy Grossman(ランディ・グロスマン)氏は述べた。「我々は、悪意のあるサイバー活動を阻止し、違法な監視を抑制するために尽力しています」

サンディエゴ・ユニオン・トリビューン紙によると、ゲレロ容疑者の会社の技術部長Daniel Moreno(ダニエル・モレノ)容疑者もHacking Teamの電子メールで言及されており、来週、同様の答弁をする見込みだ。

画像クレジット: Getty Images

[原文へ]

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

またカナダの募金サイトに不正アクセス、ハッカーがトラック運転手抗議デモへの寄付者の名前を漏洩

あるリークサイトは、募金サイトGiveSendGoがハッカーに狙われた後、オタワでのトラック運転手による抗議デモ「Freedom Convoy(フリーダムコンボイ)」への寄付者に関する情報のキャッシュを受け取ったという。

GiveSendGoのウェブサイトは現地時間2月14日、サイトが乗っ取られ、ハッカーによってコントロールされていると思われるページにリダイレクトされるようになり、その数時間後に「メンテナンス中」となって、もはや読み込めなくなったと明らかにした。リダイレクトされたページは、新型コロナウイルス感染症のワクチン接種の義務化に反対してカナダの首都を襲い、1週間以上にわたって交通と貿易に広範な混乱を引き起こしたトラック運転手たちを非難した。

このページには、Freedom Convoyに寄付をした人たちの「生の寄付データ」と称される数万件の記録を含むファイルへのリンクも含まれていた。

しばらくして、非営利のリークサイト「Distributed Denial of Secrets」が、GiveSendGoから30MBの寄付者情報を受け取ったと発表した。この中には、同サイトで行なわれた「すべてのキャンペーン」に対する寄付者の自称氏名、電子メールアドレス、郵便番号、IPアドレスが含まれていた。

Distributed Denial of Secretsは、極右グループに関する一連の流出データを保管していることで知られるサイトだが、このデータは研究者やジャーナリストにのみ提供されると述べた。

ジャーナリストのMikael Thalen(ミカエル・タレン)氏によると、今回の情報漏洩は、1000件以上の身分証明書類を保存しているAmazon(アマゾン)がホストするS3バケットをGiveSendGoがインターネットに公開したままにしていた、以前のセキュリティ過失とは別のものだ。タレン氏は2月13日夜に今回のデータ漏洩を最初に指摘した

関連記事:カナダのワクチン義務化に抗議するトラック運転手たちの寄付サイトから個人情報流出

GoFundMeがオタワで発生した暴力の警察報告を理由にクラウドソーシングキャンペーンを停止して数百万ドル(数億円)の寄付を凍結した後、マサチューセッツ州ボストンを拠点とするGiveSendGoは1月にFreedom Convoyの主要寄付サービスになっていた。週末には、カナダの裁判所がGiveSendGoが集めた資金へのアクセスを停止する命令を出したが、同社は命令に従わないと述べた。

抗議者らは2月初め、Freedom Convoのために800万ドル(約9億円)超を集めた。

GiveSendGoの共同設立者、Jacob Wells(ジェイコブ・ウェルズ)氏は、コメントの要請に応じなかった。

画像クレジット:Stephanie Keith / Bloomberg / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

キャノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される

Maze、Egregor、Sekhmetランサムウェアファミリーのデクリプターが公開された。これはサイバー犯罪者が最近の法執行機関の動きに脅かされていることを示している。

関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

Mazeは、かつて最も活発で悪名高いデータ窃盗ランサムウェアグループの1つとされていた。2019年5月に活動を開始したこのギャングは、ハッカーがまず被害者のデータを抽出し、身代金を支払わなければ盗んだファイルを公開すると脅すという、二重恐喝モデルを導入したことで悪名を馳せた。典型的なランサムウェアグループは、ファイルを暗号化するマルウェアを被害者に感染させ、ファイルを人質にして暗号資産を要求する。

2020年11月に閉鎖を発表したこのグループは、Cognizant(コグニザント)、Xerox(ゼロックス)、LG、Canon(キャノン)など、数多くの著名企業を被害者にした。

関連記事
悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言
IT最大手のCognizantがランサムウェア攻撃を受けたことが判明

Egregorは2020年9月、Mazeの活動が停止し始めた頃に現れ、前身と同じ二重恐喝の手法を採用した。Ubisoft(ユービーアイソフト)、Barnes & Noble(バーンズ・アンド・ノーブル)、Kmar(Kマート)、バンクーバーの地下鉄システムなど、多くの被害者を出したものの、2021年2月にEgregorのメンバー数名がウクライナで逮捕されたため、活動は短命に終わった。

2020年3月に活動を開始したSekhmetは、MazeやEgregorと多くの類似点を持っている。後者よりも先に登場しているが、サイバーセキュリティ研究者は、類似した戦術、難読化、APIコール、身代金要求メッセージを観察している。

米国時間2月9日、これら3つのオペレーションの開発者を名乗る「Topleak」と名乗る人物が、Bleeping Computerフォーラムへの投稿で、3つすべてのランサムウェアファミリーの復号鍵を公開した。

Topleak は「多くの疑惑を招くことになり、そのほとんどが虚偽となるため、強調しておく必要がありますが、これは計画的なリークであり、最近の逮捕やテイクダウンとは何の関係もありません」と述べ、チームメンバーの誰もランサムウェアに戻ることはなく、ランサムウェアのソースコードはすべて破棄したと付け加えた。

復号鍵が正規のものであることを確認したEmsisoft(エムシソフト)は、Maze、Egregor、Sekhmetの被害者が無料でファイルを復元できるようにデクリプターをリリースした。

Emsisoftのランサムウェア専門家であり、脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、復号鍵の公開は、サイバー犯罪者が動揺していることを示す1つの兆候であるとTechCrunchに語っている。

「復号鍵を公開したことは、最近のREvilの逮捕とは何の関係もないとギャングは主張していますが、そんなわけありません。現実には、彼らのコストとリスクがともに増加しているのです」とキャロウ氏はいう。「ランサムウェアがこれほど大きな問題になったのは、サイバー犯罪者がほとんど完全に無罪放免で活動できたからです。しかし、もはやそれは通用しません。問題が解決されたわけではありませんが、リスクとリターンの比率において、(犯罪者にとって)より多くの『リスク』が存在するようになりました」。

関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

米司法省がハッキングで盗まれた約4160億円相当のビットコインを押収、ロンダリングの疑いで技術系スタートアップ関係者夫婦を逮捕

米司法省は、2016年に暗号資産取引所のBitfinex(ビットフィネックス)がハッキングされて盗まれたと見られる9万4000以上のBitcoin(ビットコイン)を押収し、その盗み出した資金をロンダリングした疑いのある夫婦を逮捕したと発表した。この夫婦、Ilya Lichtenstein(イリヤ・リヒテンシュタイン、34歳)とHeather Morgan(ヘザー・モーガン、31歳)の両容疑者は、資金洗浄と米国政府への詐欺を共謀した罪に問われており、有罪判決を受けた場合、最高25年の懲役刑が科せられる。2人は米国時間2月8日の午後、マンハッタンの連邦裁判所に出廷を命じられていた。

今回押収された資産は、同日のビットコイン価格で36億ドル(約4160億円)相当となり、暗号資産では米司法省の歴史上で最大の金額にのぼると、同省は述べている。しかし、2016年のハッキングで奪われた資金の全額を回収したわけではない。盗まれたとされる11万9754枚のビットコインは、現在45億ドル(約5200億円)の価値がある。

モーガン容疑者とリヒテンシュタイン容疑者は、ハッキングの実行犯としては正式に起訴されていないが、検察はビットコインがリヒテンシュタイン容疑者の管理するデジタルウォレットに送られていたことから、容疑者を発見したと述べている。司法省は、ハッカーがBitfinexのシステムに侵入し、2000件以上の違法取引に着手した後、夫妻はコインを入手したと述べている。

リヒテンシュタイン容疑者とモーガン容疑者は、LinkedIn(リンクトイン)のプロフィールによると、ともに技術系スタートアップのエコシステムに深く関わっている。米国とロシアの二重国籍で「Dutch(ダッチ)」というニックネームで呼ばれるリヒテンシュタイン容疑者は、Y Combinator(Yコンビネーター)が支援するセールスソフトウェア企業のMixRank(ミックスランク)を設立した。Crunchbase(クランチベース)のデータとLinkedInによると、モーガン容疑者はB2Bセールスのスタートアップ企業であるSalesFolk(セールスフォーク)の創業者兼CEOであり、リヒテンシュタイン容疑者は2014年から同社のアドバイザーを務めている。また、プロフィールによると、リヒテンシュタイン容疑者は、ベンチャーキャピタルである500 Startups(ファイブハンドレッドスタートアップス)のメンターや、Ethereum(イーサリアム)ウォレットを提供するEndpass(エンドパス)のアドバイザーも務めており、モーガン容疑者はForbes(フォーブズ)やInc(インク)にコラムを執筆している。

盗まれたビットコインの3分の1以上は、リヒテンシュタイン容疑者のウォレットから「複雑なマネーロンダリングの過程を経て」送金された。その過程には、偽名のアカウントを作り、ビットコインをMonero(モネロ)などのより匿名性が高いデジタル通貨に変換する「チェーンホッピング」と呼ばれる手法が含まれていた。マネーロンダリングされなかった9万4000のビットコインは、ハッキングで得た収益を保管していたウォレットに残っていたため、捜査官は裁判所の許可を得た令状を使って広範囲なオンライン検索を行った結果、回収することができたという。

Bitfinexは2月8日の声明で、米国当局と協力して盗まれた資金を正当な所有者に返還することを試みると述べている。

司法省刑事局のKenneth A. Polite Jr.(ケネス・A・ポライト・ジュニア)司法次官補は、司法省の声明の中で、次のように述べている。「連邦法執行機関は本日、ブロックチェーンを通じて資金を追跡することが可能であること、そして、暗号資産がマネーロンダリングの安全な隠れ場や、金融システム内の無法地帯となることを決して許さないということを、改めて証明しました」。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Anita Ramaswamy、翻訳:Hirokazu Kusakabe)

初代ゲームボーイでビットコイン採掘に挑んだハッカー、人気の単語当てゲームWordleを初代に移植

初代ゲームボーイでビットコイン採掘のハッカー、人気の単語当てゲームWordleを初代に移植

Stacksmashing, Twitter

人気の英単語当てゲーム「Wordle」を、初代ゲームボーイ上で遊べるように移植した人物が現われました。ゲームボーイ本体は無改造で動作し、互換機のAnalogue Pocketでも遊べるとのことです。

Wordleとは、2021年10月にJosh Wardle氏が公開したブラウザゲーム。1日1回のみプレイでき、6回の試行で5文字の英単語を当てるというもの。その成績をネタバレせずにSNSに投稿できる仕組みもあって大きな反響を呼び、先月末にはThe New York Timesが買収することになりました。

このゲームボーイ版Wordleは、ITセキュリティ研究者でハードウェアハッカーのStacksmashing氏が移植したとして、Twitter上で公開したものです。

同氏は初代ゲームボーイのハッキングにこだわりがあることで知られており、以前もビットコインを採掘(1コイン当たり数兆年)させたり、本体は無改造のままテトリスをオンライン対戦可能にしていました

今回のWordle移植は、フラッシュROMがあれば誰でもGitHubからダウンロードしてプレイできます。ただしゲームボーイが扱えるROMサイズが限られていることから、本家ほど巨大な単語リストは収録できず、最も一般的な8000の英単語に絞られているそうです。

またStacksmashing氏は互換機Analogue Pocketで遊べるバージョンも公開しています。初代ゲームボーイが手元にない方は、そちらで試してみてもよさそうです(入手難度はかなり高そうですが)。

(Source:Stacksmashing(Twiitter)。Via KotakuEngadget日本版より転載)

トークンブリッジのWormhole、ハッカーが約370億円相当の暗号資産を盗んだことを確認

複数のブロックチェーン間のブリッジを提供する人気の暗号資産プラットフォームであるWormholeは、エクスプロイトが発見されたことをTwitter(ツイッター)で発表した。ハッカーは、Ethereum(イーサリアム)とSolana(ソラナ)ブロックチェーンをつなぐブリッジを悪用したようだ。これにより、約3億2000万ドル(約370億円)相当のETHが、Wormholeチームに属さない暗号資産ウォレットにリダイレクトされた。

ブリッジとは、異なるブロックチェーン間の相互運用性と取引を促進するスマートコントラクトの組み合わせのことだ。ユーザーは通常、ブリッジを利用するためにウェブアプリを使用する。ユーザーは自分のウォレットをウェブアプリに接続し、取引を開始する。

取引が発信元のブロックチェーンで確認されると、暗号資産が宛先のブロックチェーンで解放され、ユーザーのウォレットに転送される。たとえば、ETHを送信して、交換にSOLを受け取ることができる。

米国時間2月2日、Wormholeはウェブサイトを停止した。「Wormholeネットワークはメンテナンスのためダウンしており、エクスプロイトの可能性を調査しています」と同社チームはツイートしていた。

暗号アナリストたちは、すぐに2つの疑わしい取引に気づいた。ハッカーは脆弱性を見つけたようで、Wormholeの「ラップされた(wrapped)」ETHのように見える12万wETHをSolanaブロックチェーン上に鋳造した。

その2分後、ハッカーは1万ETHをEthereumブロックチェーンにブリッジした。さらに22分後、Ethereumブロックチェーン上で別の8万ETHの取引が発生した。その際も、ハッカーが資産の一部をEthereumのウォレットに移動させたようだ。

Wormholeの視点からすると、新しく鋳造されたwETHは通常のwETHとして現れた。WormholeはそれらのwETHに基づいてEthereumウォレットにETHをリリースしたので、ハッカーは実質的にWormholeの準備金からETHを盗んだことになる。

くだいていうと、取引当時、1ETHは2681ドルの価値があったため、12万ETHは約3億2000万ドル(約370億円)の価値があった。ETHはこの記事の執筆時には2622ドルで取引されており、エクスプロイト以降2.%下落している。

Wormholeチームは、このエクスプロイトを認めた。「Wormholeネットワークが侵害され、12万wETHの被害を受けました」と同社チームはTwitterに書いている。

Wormholeは別のツイートで「脆弱性にはパッチが適用されました」と述べている。筆者がこれを書いている今も、ブリッジはダウンしている。

この資産が今後どうなるのか、Wormholeの準備金のwETHがまだETHで裏付けられているのかは不明だ。Wormholeは、ハッカーに宛てたメッセージで取引を試みている。同社チームは、資産と引き換えに1000万ドル(約11億5000万円)を提供するという。これは異様な決断になるだろう。

Wormholeが書いた内容は以下の通り。

こちらはWormholeデプロイメント担当者です。

私たちは、あなたがSolana VAA検証を悪用してトークンを鋳造することができたことに気づきました。あなたとホワイトハット契約を結び、エクスプロイトの詳細と、あなたが鋳造したwETHを返還することで、1000万ドル(約11億5000万円)のバグバウンティを提示したいと思います。contact@certus.one までご連絡お願いいたします。

画像クレジット:Kevin Ku / Unsplash

原文へ

(文:Romain Dillet、翻訳:Aya Nakazato)

ウクライナ紛争が米国のサイバーセキュリティを脅かす理由

TechCrunch Global Affairs Project(テッククランチ・グローバル・アフェアーズ・プロジェクト)は、ますます関係が深まるテック業界と国際政治との関係を検証する。

ロシア軍が再びウクライナ侵攻の構えを見せる中、ここ数日どうすれば紛争の拡大を避けられるかに注目が集まっている。最近の(おそらく今後も)ウクライナにおけるサイバー攻撃の激化は、残念ながら最終的にこの衝突がデジタル領域に深刻な影響を与えることを示唆している。そして地上侵攻と異なり、デジタル紛争地域は米国まで拡大する可能性がある、と米国政府は警告した。長年にわたるロシアによるサイバー監視と「環境の準備」は、今後数週間数カ月のうちに、米国民間セクターに対する重大かつ破壊的ともいえる攻撃に発展するおそれがある。

このレベルの脆弱性を容認できないと感じるなら、それは正しい。しかし、どうしてこうなってしまったのか? また、大惨事を回避するために必要な行動は何なのか?まず、ウラジミール・プーチン大統領が、彼の長年にわたるロシアのビジョン達成のために、21世紀の技術的手法をどのように実験してきたかを理解することが重要だ。

サイバープロローグとしての過去

ロシアの動機は実に平凡だ。2005年4月、プーチン氏はソビエト連邦の崩壊を「世紀最大の地政学的大惨事」であり「ロシア国民にとって【略】紛れもない悲劇」であると評した。以来、この核となる信念が多くのロシアの行動の指針となった。残念なことに、現在。ヨーロッパでは戦場の太鼓が高らかに鳴り響き、プーチン氏はロシアの周辺地域を正式な支配下へと力で取り戻し、想定する西側の侵攻に対抗しようとしている。

ロシアがウクライナに対する攻撃を強め(ヨーロッパにおける存在感を高める)時期に今を選んだ理由はいくつも考えられるが、サイバーのような分野における能力の非対称性が、自分たちに有利な結果をもたらすさまざまな手段を彼らに与えることは間違いない。

ロシアの地政学的位置は、人口基盤の弱体化と悲惨な経済的状況と相まって、国際舞台で再び存在を示す方法を探そうとする彼らの統率力を後押しする。ロシアの指導者たちは、まともな方法で競争できないことを知っている。そのため、より容易な手段に目を向け、その結果、恐ろしく強力で効果的な非対称的ツールを手に入れた。彼らの誤情報作戦は、ここ米国で以前から存在していた社会的亀裂を大いに助長し、ロシアの通常の諜報活動への対応におけるこの国の政治分断を悪化させた。実際、ロシア政府は、新型コロナウイルス感染症(COVID-19)パンデミックとときとしてそれにともなう内乱に気をそらされている西側に、つけ入る機会を見出している可能性が高い。

しかしプーチン氏の長年にわたる非対称的手段の採用は、ロシアが何年にもわたりこの瞬間のために準備してきたことを意味している。こうした行動には馴染みがある。ソビエト時代の古い手段と道具は、21世紀のデジタル・ツールと脆弱性の操作によって新たな姿へと変わった。そして近年、この国はウクライナ、リビア、中央アフリカ共和国、シリア、その他の紛争地域を、自らの情報活動とサイバー機能破壊の実験台として利用している。

神経質になったロシア

今日ロシア当局は、さまざまな技術を駆使した「積極的対策」を施して、基本的民主主義機構を混乱させ、デマを流布し、非合法化しようとしている。ロシアがウクライナに送り込んでいる傭兵や秘密諜報員は、海外のハイブリッド戦場で技を磨き、否定可能な誘導工作と攻撃的サイバー活動を巧みにおりまぜた策略と物理的行動の組み合わせを用いている。

サイバースペースにおいて、ロシアは当時前例のなかった2007年のエストニアに対するサイバー攻撃や、その後のウクライナのライフラインや官庁、銀行、ジャーナリストらを標的とし、今も市場最も犠牲の大きいサーバー攻撃へと発展した、 NotPetya(ノットペトヤ)型サイバー攻撃を実行してきた。ロシアの諜報機関が米国の重要インフラストラクチャーシステムをハッキングした事例もこれまでに何度かあるが、これまでのところ重大な物理的あるい有害な影響や行動は見られていない(ウクライナやAndy Greenberg[アンディ・グリーンバーグ]氏の著書「Sandworm」に出てくるような事例とは異なる)。彼らは米国と同盟国の反応を試し、逃げ切れることを確認したのち、ウクライナをどうするかを議論するNATO諸国に対してさらに圧をかけている。

要するに、ロシアは偵察を終え、いざというとき米国などの国々に対して使いたくなるツール群を事前配備した可能性が高い。その日は近々やってくるかもしれない

ヨーロッパの戦争が米国ネットワークに命中するとき

ロシアがウクライナ侵攻を強めるにつれ、米国は「壊滅的」経済報復を行うと脅している。これは、ますます危険で暴力的になる解決方法に対する「escalatory ladder(エスカレーションラダー、国が敵国を抑制するために系統的に体制を強化する方法)」の一環だ。あまり口にされないことだが、ロシアのサイバー能力は、彼らなりの抑止政策の試みだとも言える。ロシアがここ数年行っているこうした予備的活動は、さまざまなサイバーエッグが孵化し、ここ米国で親鳥になることを可能にする。

米国政府は、ロシアが米国による厳格になりうる制裁措置に対抗して、この国の民間産業を攻撃する可能性があることを、明確かつ広く警告している。ロシア当事者のこの分野における巧妙さを踏まえると、そうした大胆な攻撃をすぐに実行する可能性は極めて低い。ときとしてずさんで不正確(NotPetyaのように)であるにせよ、彼らの能力をもってすれば、サプライチェーン攻撃やその他の間接的で追究困難な方法によってこの国の重要インフラストラクチャーや民間産業に介入することは十分考えられる。それまでの間にも、企業やサービス提供者は、深刻な被害やシステムダウンに直面する恐れがある。過去の事例は厄介な程度だったかもしれないが、プーチン氏と彼のとりまきが長年の計画を追求し続ければ、近いうちに経済にずっと大きな悪影響を及ぼす可能性がある。

ロシアが侵攻の強化を続けるのをやめ、出口を見つけて一連のシナリオが回避される、という希望も残っている。我々はどの事象も決して起きないことを望むべきだ。ただし、実際これは現時点ですでに期限を過ぎていることだが、産業界は自らを守るための適切な手順を踏み、今まさに起きるであろう攻撃に備える、多要素認証、ネットワークのセグメント化、バックアップの維持、危機対応計画、そして真に必要とする人々以外によるアクセスの拒否をさらに強化すべきだ。

編集部注:本稿の執筆者Philip Reiner(フィリップ・レイナー)氏は、技術者と国家安全保障立法者の橋渡しを担う国際的非営利団体、Institute for Security and Technology(IST)の共同ファウンダー。同氏は以前、国家安全保障会議でオバマ大統領政権に従事し、国防総省の政策担当国防次官室の文官を務めた。

画像クレジット:Mikhail Metzel / Getty Images

原文へ

(文:Philip Reiner、翻訳:Nob Takahashi / facebook

バグバウンティ大手HackerOneが約56.6億円調達、在宅勤務によるクラウド利用増加が後押しに

バグ懸賞と侵入テストのスタートアップ、HakerOne(ハッカーワン)が4900万ドル(約56億6000万円)のシリーズEラウンドを完了した。この1年、在宅勤務の増加によってクラウド利用が急増した結果だ。

セキュリティ問題を探すハッカーと、問題を解決したい企業の間を取り持つ同社は、最近の成長について、12月のホリデーシーズンを前にインターネットを駆け巡った広く普及しているオープンソースロギングプラットフォーム、Log4j(ログフォージェイ)の欠陥をはじめすとる「ゼロデイ脆弱性」のまん延によって加速されたものだと語った。

同社は、この1年間に侵入につながっていた可能性のある重大、深刻な脆弱性を1万7000件以上発見しており、12月にLog4jバグが発見された後だけでも2000件以上の脆弱性が報告されたと語った。

HackerOneのCEOであるMarten Mickos(マーテン・ミコス)氏は、発見された攻撃の増加について、企業や政府が「これほど脅威にさらされたことはありません」と語った。

調達した資金は、研究開発および市場開拓業務の拡大に使用するつもりだと同社は言っている。

シリーズEの4900万ドルを加えて、HakcerOneの2021年設立以来の総調達額は1億6000万ドル(約184億7000万円)近くになった。ラウンドをリードしたのはGP Bullhound(GPブルハウンド)で、他に既存出資者のBenchmark(ベンチマーク)、NEA、Dragoneer Investment Group(ドラゴニア・インベストメント・グループ)、およびValor Equity Partner(ベイラー・イクイティー・パートナー)が参加した。

2012の開業以来、HackerOneは同社のバグ懸賞プログラムをさまざまな顧客に提供しており、リストには米国防省、Google(グーグル)、Dropbox(ドロップボックス)、Microsoft(マイクロソフト)、Twitter(ツイッター)の名前もある。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

【コラム】10代によるテスラ車のハックを教訓にするべきだ

Tesla(テスラ)をハックした19歳のDavid Colombo(デビッド・コロンボ)が騒がれるのは、当然といえば当然の話だ。彼はサードパーティソフトウェアの欠陥を利用して、13カ国にわたる世界的EVメーカーの車両25台にリモートアクセスした。ハッカーは、遠隔操作でドアのロックを解除し、窓を開け、音楽を流し、それぞれの車両を始動させることができたと話している。

関連記事:100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

コロンボ氏が悪用した脆弱性はTeslaのソフトウェアのものではなく、サードパーティのアプリに存在するもので、そのためできることに限界があり、ハンドルやアクセルそして加速も減速もできなかった。しかし彼はドアを開け、クラクションを鳴らし、ライトを制御し、ハッキングした車両から個人情報を収集した。

サイバーセキュリティのプロにとって、このようなリモートでのコードの実行や、アプリキーを盗むのは日常茶飯事だが、私が恐れるのは、情報漏洩の開示に慣れてしまい、今回の件がコネクテッドカーのエコシステム全体の関係者にとって貴重な学習の機会であることが見逃されてしまうことだ。

今回のハッキングは、サイバーセキュリティの初歩的な問題であり、率直にいって起きてはならない過ちだ。コロンボ氏がTwitterのスレッドを投稿して通知した翌日に、Teslaが突然数千の認証トークンを非推奨にしたことから、問題のサードパーティ製ソフトウェアは、セルフホスティングのデータロガーだった可能性があるのだという。一部のTwitterユーザーの中にはこの説を支持する人もおり、アプリの初期設定によって、誰でも車両にリモートアクセスできる可能性が残されていることを指摘している。これは、コロンボ氏による最初のツイートで、脆弱性は「Teslaではなく、所有者の責任」と主張したこととも符合する。

最近の自動車サイバーセキュリティ規格SAE/ISO-21434と国連規則155は、自動車メーカー(通称、OEM)に車両アーキテクチャ全体に対する脅威分析とリスク評価(threat analysis and risk assessment、TARA)の実施を義務化している。これらの規制により、OEMは車両のサイバーリスクと暴露の責任を負う。つまり、そこが最終責任になる。

Teslaのような洗練されたOEM企業が、サードパーティのアプリケーションにAPIを開放するリスクを看過していたのは、少々らしくないような気もする。しかし低品質のアプリは十分に保護されていない可能性があり、今回のケースのように、ハッカーがその弱点を突いてアプリを車内への橋渡しとして使用することが可能になる。サードパーティ製アプリの信頼性は、自動車メーカーに委ねられている。自動車メーカーの責任として、アプリを審査するか、少なくとも認証されていないサードパーティアプリプロバイダーとのAPIのインターフェイスをブロックする必要がある。

たしかに、OEMが検査し承認したアプリストアからアプリをダウンロードし、アップデートすることは消費者の責任でもある。しかしOEMの責任の一部は、そのTARAプロセスでそうしたリスクを特定し、未承認アプリの車両へのアクセスをブロックすることにある。

私たちKaramba Securityは、2021年に数十件のTARAプロジェクトを実施したが、OEMのセキュリティ対策には大きなばらつきが散見された。しかながらOEMは、顧客の安全性を維持し、新しい規格や規制に対応するためにできるだけ多くのリスクを特定し、生産前に対処することを最重要視している点で共通している。

ここでは、私たちが推奨するOEMメーカーが採用すべきベストプラクティスを紹介する。

  1. 秘密と証明書を保護する – 広義のなりすましや身分詐称を確実に失敗させる(ファームウェアを置き換える、認証情報を詐称するなど)
  2. アクセスや機能をセグメント化する(ユーザーに対して透過的な方法で) – たとえ1つのポイントが失敗しても、被害は限定的になる
  3. 自分自身で継続的にテストする(あるいは他の人にやってもらうために報奨金プログラムを立ち上げる) – 見つけたものはすぐに修正する
  4. インフォテインメント、テレマティクス、車載充電器などの外部接続システムを堅牢化し、リモートコード実行攻撃から保護する
  5. APIをクローズアップする。未許可の第三者には使用させないこと。このような習慣があれば、今回の攻撃は免れたはずだ

消費者に対しては、OEMのストア以外からアプリを絶対にダウンロードしないことをアドバイスしている。どんなに魅力的に見えても、非公認アプリは運転者や乗客のプライバシーを危険にさらしていることがある。

EVは楽しいものだ。高度な接続性を有し、常に更新されすばらしいユーザー体験を提供しれくれる。しかし、EVは自動車であり、スマートフォンではない。自動車がハッキングされると、ドライバーの安全とプライバシーを危険にさらすことになる。

編集部注:本稿の執筆者Assaf Harel(アサフ・アレル)氏は、Karamba Securityで研究とイノベーション活動を指揮し、革新的な製品とサービスの広範なIPポートフォリオを監督している。

画像クレジット:SOPA Images/Getty Images

原文へ

(文:Assaf Harel、翻訳:Hiroshi Iwatani)

100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

Tesla(テスラ)車のオーナーに人気の高いオープンソースのログ記録ツールに、セキュリティバグが見つかった。これにより、セキュリティ研究者は世界中の数十台のテスラ車にリモートアクセスできたと述べている。

この脆弱性に関するニュースは2021年1月初め、ドイツのセキュリティ研究者であるDavid Colombo(デヴィッド・コロンボ)氏のツイートで初めて明らかになった。コロンボ氏は、25台以上のテスラを「完全に遠隔操作」できるようになったが、その詳細を公表せずに、悪意のあるハッカーに警告を与えず、影響を受けたテスラ車のオーナーに問題を開示することに苦労していたと述べている。

現在、このバグは修正されていることをコロンボ氏は確認している。TechCrunchはこの記事を、脆弱性が悪用される可能性がなくなるまで掲載を保留していた。コロンボ氏はブログで調査結果を発表した。

コロンボ氏がTechCrunchに語ったところによると、この脆弱性は「TeslaMate(テスラメイト)」というツールで見つかった。これはテスラ車のオーナーが自分の車両に接続して、車両のエネルギー消費量、位置情報の履歴、走行統計などの隠されたデータにアクセスし、問題のトラブルシューティングや診断を行うために使用する無料でダウンロードできるロギングソフトウェアだ。TeslaMateは、テスラ車マニアたちが家庭用コンピューターで実行していることも多いセルフホスト型のウェブダッシュボードで、テスラのAPIにアクセスすることで、クルマの所有者のアカウントに紐付けられている車両のデータに触れることができる。

しかし、匿名でのアクセスを許可したり、デフォルトのパスワードを変更せずに使用しているユーザーがいたりといったウェブダッシュボードのセキュリティ上の欠陥が、一部のテスラ車オーナーによる設定ミスと相まって、100台分を超えるTeslaMateのダッシュボードが、テスラ車を遠隔操作するために使用する車両オーナーのAPIキーを含めて、直接インターネットに漏洩するという事態を引き起こした。

コロンボ氏はTechCrunchに電話で、影響を受けたテスラ車の数はもっと多いだろうと語っている。

漏洩したTeslaMateのダッシュボードの1つには、あるテスラ車がカリフォルニア州を横断している最近の移動ルートが表示されていた。TeslaMateはその後、脆弱性を修正し、テスラは数千のAPIキーを失効させた(画像クレジット:David Colombo)

コロンボ氏によると、TeslaMateのダッシュボードがデフォルトでは保護されていないことを発見したのは、2021年、漏洩したダッシュボードを偶然見つけたことがきっかけだったという。インターネットで他のダッシュボードを検索した結果、同氏は英国、欧州、カナダ、中国、米国でダッシュボードが露呈されたテスラ車を発見した。

しかし、ダッシュボードが露呈しているテスラ車のオーナーに個別に連絡を取ることは非常に困難であり、多くの場合、影響を受けたテスラの顧客に連絡できる方法を正確に知ることはできないと、コロンボ氏は説明する。

さらに悪いことに、露呈したダッシュボードからテスラ車ユーザーのAPIキーを抽出することが可能だったため、悪意のあるハッカーが、ドライバーに気づかれず、テスラ車に長期的なアクセスを続けることができてしまったのだ(APIは、インターネット上で2つのソフトウェアが相互にやり取りすることを可能にする。この場合、テスラの車両と同社のサーバー、Teslaアプリ、またはTeslaMateダッシュボード)。テスラのAPIへのアクセスは、所有者のアカウントに紐付けされたプライベートAPIキーによって、テスラ車の所有者に制限されている。

コロンボ氏は、流出したAPIキーを利用することによって、ドアや窓のロック解除、クラクションの吹鳴、キーレス運転の開始など、車両の一部機能に遠隔操作でアクセスできることを、アイルランドのあるテスラ車オーナーに確認したという。また、車両の位置情報、最近の走行ルート、駐車場の場所など、車両内部のデータにもアクセスできたとのこと。ただし、APIへのアクセスを利用してインターネットから遠隔的に車両を動かすことができるとは思えないと、コロンボ氏はいう。

今回のセキュリティ問題は、テスラのインフラにあったわけではないものの、業界標準の措置であるパスワードが変更された時に顧客のAPIキーを失効させるなど、テスラはセキュリティを向上させるためにもっとできることがあると、コロンボ氏は述べている。

TeslaMateは内密に脆弱性を報告した後、アクセスを防ぐためにユーザーが手動でインストールしなければならないソフトウェア修正を配信した。

TeslaMateプロジェクトの保守管理者であるAdrian Kumpf(エイドリアン・クンプフ)氏は、コロンボ氏のメールを受け取ってから数時間以内に更新プログラムを配信したと、TechCrunchに語っている。このソフトウェアはセルフホスト型であるため、ユーザーが誤って自分のシステムをインターネットに露呈させてしまうことを防ぐことはできないと、クンプフ氏はメールで語っており、TeslaMateの説明書では以前から、ソフトウェアを「ホームネットワーク上にインストールするように。さもなければ、あなたのテスラAPIトークンが危険にさらされる可能性があります」と警告していると付け加えた。また、クンプフ氏は、高度なインストールオプションを選択したユーザーは影響を受けないはずだ、とも述べている。

テスラが数千人のドライバーのAPIキーを失効させたことから、この問題は当初考えられていたよりも広範囲に渡っていた可能性があると、コロンボ氏はTechCrunchに語った。なお、テスラには本記事掲載前にコメントを求めたが、回答は得られなかった(テスラは2020年に広報チームを廃止している)。

画像クレジット:Patricia de Melo Moreira / AFP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

GMOインターネットがサイバーセキュリティ事業に本格参入、イエラエセキュリティを子会社化

GMOインターネットがサイバーセキュリティ事業参入、82名のホワイトハッカー組織を有するイエラエセキュリティがグループ参画

GMOインターネットは1月24日、同日開催の取締役会において、サイバーセキュリティ事業を展開するイエラエセキュリティの株式を取得し、子会社化することを決議したと発表した。これにより同グループは、電子認証サービスを中核としたセキュリティ事業に加え、サイバーセキュリティ事業にも本格参入する。

今回のグループジョインに伴い、イエラエセキュリティは2022年3月の定時株主総会における議案承認を前提として、「GMOサイバーセキュリティ byイエラエ株式会社」に商号を変更する予定。

また新拠点「GMOタワー」内に、国内最大規模の「GMOサイバーセキュリティセンター」を設置。グループ内の専門人財の交流・育成を行うことで、次世代を担うトップエンジニアやホワイトハッカーの育成、技術力のさらなる向上に向けた取り組みを加速する。

イエラエセキュリティは、セキュリティ技術を競う国内外のハッキングコンテストで高い実績を誇るホワイトハッカーが中心となり2013年2月に設立。82名(2021年12月時点)のホワイトハッカーが所属する、国内最大規模のホワイトハッカー組織を有している。

また、同社は「誰もが犠牲にならない社会」をミッションに掲げており、ウェブアプリケーションやスマホアプリ、企業の基幹システムなどに対するサイバー攻撃に対する高度なセキュリティ対策を提供し、持続可能な事業継続をサポートしている。

主力のサイバーセキュリティ事業の中でも、高い技術力と「攻撃者の視点」を有するホワイトハッカーが行う「セキュリティ脆弱性診断」は国内外の幅広い業界・業種の企業での実施実績があり、特に技術的に難易度が高いとされる電子決済などの金融システム、コネクテッドカーや5G対応のIoTシステムなどを有する企業においても多数のリピート実績を有しているという。

次のランサムウェアのターゲットは組み込み機器か?

2021年は、ランサムウェアギャングが重要インフラに目を向け、製造業、エネルギー流通、食品生産を中心とした企業をターゲットにした年として記憶されるだろう。

Colonial Pipeline(コロニアル・パイプライン)のランサムウェア攻撃は、ITネットワークへのランサムウェア攻撃が燃料を分配するパイプラインを制御する運用ネットワークへ広がる懸念から、結果として5500マイル(約8850km)のパイプラインを停止させる事態となった。

運用・制御技術(OT)ネットワークは、生産ライン、発電所、エネルギー供給を継続的に行うために重要な機器を制御するもので、重要なハードウェアをサイバー攻撃からより適切に隔離することができるよう、通常、企業のインターネット向けITネットワークからセグメント化されている。OTネットワークに対する攻撃が成功することはだが、Colonialへのランサムウェア攻撃をきっかけに、CISA(米国土安全保障省サイバーセキュリティー・インフラセキュリティー庁)は重要インフラ所有者にとって脅威が増大していると警告している。

セキュリティ研究者は現在、これらのOTネットワーク上にある組み込み機器がもたらすリスクについて警鐘を鳴らしている。組み込み機器向けのセキュリティプロバイダーRed Balloon Security(レッドバルーンセキュリティ)は、実際のネットワークで使用されている組み込みシステムでランサムウェアを展開することが可能であることを、新たな調査で明らかにした。

同社によると、Schneider Electric(シュナイダーエレクトリック)のEasergy P5保護リレーに脆弱性が発見された。この装置は、障害が発見されるとサーキットブレーカーを作動させ、現代の電力網の運用と安定性に重要な役割を果たすものだ。

この脆弱性を悪用してランサムウェアのペイロードを展開することが可能で、Red Balloonはこのプロセスを「高度だが再現可能」だと述べている。Schneider Electricの広報担当者はTechCrunchに対し「サイバー脅威には非常に警戒している」とし「Schneider ElectricのEasergy P5保護リレーの脆弱性を知り、直ちにその解決に取り組みました」と述べた。

Red Balloonの創業者で共同CEOのAng Cui(アング・ツイ)氏は、ランサムウェア攻撃は重要インフラプロバイダーのITネットワークを攻撃しているが、OT組み込み機器の攻撃に成功した場合は「はるかに大きな損害」になるとTechCrunchに語った。

「企業は、組み込み機器そのものへの攻撃から回復することに慣れていませんし、経験もありません」とツイ氏は話す。「デバイスが破壊されたり、回復不可能になった場合、代替デバイスを調達する必要がありますが、供給量に限りがあるため、数週間かかることもあります」。

2021年にIoTメーカーがソフトウェアアップデートを確実かつ安全にデバイスに配信できるようサポートするスタートアップを立ち上げたセキュリティのベテランであるWindow Snyder(ウィンドウ・スナイダー)氏は、特に他の侵入ポイントがより回復力を持つようになると、組み込み機器は簡単にターゲットになる可能性があると話す。

組込み機器に関して、スナイダー氏はTechCrunchに対し「その多くは特権分離がなされておらず、コードとデータの分離もなされておらず、多くはエアギャップ・ネットワーク上に置かれることを想定して開発されたもので、それでは不十分です」と述べた。

Red Balloonの調査によれば、数十年前に製造されたものが多いこれらの機器に組み込まれているセキュリティは改善される必要があり、政府や商業部門のエンドユーザーに対して、これらの機器を製造しているベンダーに対してより高い基準を求めるよう呼びかけている。

「ファームウェアの修正版を発行することは、最もミッションクリティカルな産業やサービスにおける全体的なセキュリティの低さに対処できない、消極的で非効率的なアプローチです」とツイ氏は指摘する。「ベンダーは、組み込み機器のレベルまでセキュリティを高める必要があります」。同氏はまた、米政府が規制レベルでより多くの取り組みを行う必要があり、現在、デバイスレベルでより多くのセキュリティを組み込むインセンティブがないデバイスメーカーに、さらなる圧力をかける必要があると考えている。

しかし、スナイダー氏は、規制主導のアプローチは役に立たないと考えている。「最も有効なのは、攻撃対象領域を減らし、区画化を進めることだと思います。より安全なデバイスを作るために規制をかけることはできないでしょう。誰かが、デバイスに回復力を持たせなければならないのです」と述べた。

画像クレジット:Sean Gallup / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

二要素認証の危殆化でハッキングされた暗号資産取引所Crypto.com、被害は約38.7億円以上に

Crypto.com(クリプト・ドットコム)は、先週末に同社のプラットフォームで発生した最近のハッキングについて、米国時間1月20日ウェブサイト上の声明で新しい詳細を共有し、483人のユーザーが影響を受け、1500万ドル(約17億円)相当以上のETH(イーサリアム)、1900万ドル(約21億6400万円)相当のBTC(ビットコイン)「その他の通貨」6万6200ドル(約750万円)相当の不正な引き出しが発生したと発表した。現在の暗号資産価値で3400万ドル(約38億7300万円)以上の価値がある総損失は、Crypto.comが声明を発表する前にアナリストが予測したものよりもさらに高いものだ。

同社の事後報告は、CEOのKris Marszalek(クリス・マルザレック)氏がBloomberg TVとのインタビューで侵害を認めたわずか1日後に行われた。彼の確認は、資金を盗まれたと訴える複数のCrypto.comユーザーから苦情が寄せられた後に行われた。それまで同社は「インシデント」としか言及せず、曖昧な対応に終始していたのだ。マルザレック氏はインタビューの中で、侵害がどのように発生したかについての詳細を共有していなかったが、彼はCrypto.comが影響を受けたすべてのアカウントに払い戻したことを認めていた。

本日の声明によると、Crypto.comは米国時間1月17日に「2FA(二要素)認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出したとのことだ。サイトは問題を調査するために14時間すべての引き出しを停止した。

Crypto.comは、攻撃者がすべてのユーザーに義務づけられている二要素認証を呼び起こさずに取引を承認することができた方法については述べていない。TechCrunchが詳細を問い合わせたところ、同社は今日発表された声明以外には、この侵害についてコメントすることを拒否した。

同社は「すべての顧客の2FAトークンを失効させ、追加のセキュリティ強化策を追加した」後、顧客にプラットフォームにログインして2FAトークンを再度設定するよう求めたと述べている。追加措置には、新しい引き出し用住所の登録と最初の引き出しの間に24時間の遅延が義務づけられているため、ユーザーは通知を受け、引き出しが不正と思われる場合はCrypto.comチームに連絡して「反応し、対処する十分な時間」を確保することになる。

同社は侵入後、内部監査を実施し、第三者のセキュリティ会社と契約してプラットフォームのチェックを行ったという。セキュリティ強化のため、2FAから「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していない。

Crypto.comはまた、2月1日から「一部の市場でWorldwide Account Protection Program(WAPP)」を導入すると発表した。これは、不正引き出しが発生した場合「認定ユーザー」に対して最大25万ドル(約2800万円)まで資金を回復するプログラムである。このプログラムの適用を受けるには、ユーザーは、多要素認証が利用可能なすべての取引タイプで多要素認証を有効にしなければならない。また、報告された不正取引の少なくとも21日前にアンチフィッシングコードを設定し、警察に被害届を提出し、それをCrypto.comにも提供し、鑑識調査に協力するための質問事項に答えなければならない。さらに、ジェイルブレイク(脱獄)デバイスを使用していないことが必要だと同社は述べている。

Crypto.comは世界第4位の暗号取引所だが、ここ数カ月は米国市場に強くアプローチしており、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリッパーズアリーナの命名権7億ドル(約797億円)の購入などのスタントを行っている。自社のことを「最も急成長している」暗号取引所と呼び、今週初めにはこの分野のアーリーステージのスタートアップを支援するために、ベンチャーキャピタル部門を5億ドル(約569億円)に拡大しました。今週の侵害事件と同社の対応の遅れによって、米国内での成長が停滞する恐れがある。

関連記事:Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

画像クレジット:Seb Daly / RISE via Sportsfile Flickr under a CC BY 2.0 license.

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

Crypto.com(クリプト・ドットコム)のCEOであるKris Marszalek(クリス・マルザレック)氏は、米国時間1月19日に行われたBloomberg TVのインタビューで、約400の顧客口座がハッキングによって侵害されたと述べた。複数のCrypto.comユーザーが資金を盗まれたと主張してきたものの、これまで会社からの回答が曖昧だったへの苦情を受けて、侵害を認めるかたちとなった。

マルザレック氏は、ハッキングがどのように発生したかについての詳細は明らかにしなかったが、事件後「約13~14時間」で取引所がオンラインに戻り、影響を受けたアカウントはすべて払い戻されたとBloomberg TVに語った。

マルザレック氏の声明は、Crypto.comがハッキングが実際に発生したことを初めて公式に認めたことを意味する。同社は、米国時間1月16日にTwitterで「少数のユーザーが自分のアカウントで疑わしい行動を報告している」と指摘した後、同プラットフォームでの引き出しをまず一時停止した。また「用心のために」2要素認証を再設定するよう顧客に求めた。

同社はその後、顧客の資金が安全であるというやりとりの中で、発生した顧客の損失は同社がカバーするとの憶測を引き出し、何度もユーザーを安心させた。

損失額は1500万ドル(約17億1600万円)相当のETH(イーサリアム)に達する可能性があると、ブロックチェーンセキュリティプロバイダーのPeckShield(ペックシールド)は1月16日にツイートしている。PeckShieldはこのツイートで、資金の約半分がTornado Cash(トルネード・キャッシュ)に送られて「洗浄」されていると主張している。Tornado Cashは、イーサリアムのブロックチェーン上で「非保護の匿名取引」を提供しているとのこと。つまり、暗号がどこに送られたかを隠すことができるということだ。ブロックチェーンデータ会社OXT Research(OXTリサーチ)の別のアナリストは、このハッキングによって実際に取引所に3300万ドル(約37億7600万円)の損害が発生したのではないかと推測している。

損失の範囲について尋ねられたとき、マルザレック氏はBloomberg TVに、Crypto.comはまだ事件の事後分析に取り組んでおり、それは同社のブログに「数日中に」掲載されるだろうと述べた。

Crypto.comは世界第4位の暗号資産取引所だが、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリプト・ドットコム・アリーナの命名権7億ドル(約801億円)の購入などのスタントで、ここ数カ月、米国市場に強くその名を押し出してきた。自らを「最も急成長している」暗号取引所と呼び、今週初めには、この分野の初期段階のスタートアップを支援するためにベンチャーキャピタル部門を5億ドル(約572億円)に拡大した。今週のハッキングに関する影響は、米国での成長を一部停滞させる恐れがあるだろう。

画像クレジット:Crypto.com

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

ロシア当局が悪名高いランサムウェア集団「REvil」を摘発、活動停止に

ロシア連邦保安庁(FSB)は現地時間1月14日、悪名高いランサムウェア集団「REvil」を摘発し、その活動を停止させたと発表した

この前例のない動きは、ロシア国外で活動する他のランサムウェア集団に対するメッセージとなることは間違いなく、ロシア当局はモスクワ、サンクトペテルブルク、リペツクの各地域で、REvilのメンバーとみられる14人が所有する25の建物を家宅捜索した。

2021年7月に活動を停止し、その後、9月に復活に失敗したREvilは、Colonial Pipeline(コロニアル・パイプライン)、JBS Foods(JBSフーズ)、米国のテクノロジー企業Kaseya(カセヤ)を標的とした攻撃など、過去12カ月間で最も被害が大きかった攻撃のいくつかを指揮したとみられている。

関連記事:ランサムウェア犯罪組織「REvil」、そのデータリークブログが乗っ取られて再び姿を消す

FSBは、4億2600万ルーブル(約6億4000万円)超と50万ユーロ(約6500万円)、60万ドル(約6800万円)の現金、暗号資産ウォレット、コンピューター、高級車20台を押収したと発表した。

FSBは声明で、米当局の要請を受けて捜査を行い、その結果は通知された、と述べている。

拘束されたランサムウェアのメンバーは「支払手段の違法な流通」の疑いでロシアの法律に基づいて起訴された。ロシア当局は、容疑者の名前を公表していない。

「FSBとロシア内務省による共同捜査の結果、組織的な犯罪コミュニティは存在しなくなり、犯罪目的に使用されていた情報インフラは無力化された」とFSBは声明で説明している。

今回のサプライズの摘発のニュースは、7月の米国のテクノロジー企業Kaseyaに対するランサムウェア攻撃を指揮したとして、米司法省がランサムウェア集団REvilにつながる22歳のウクライナ人を起訴してからちょうど2カ月後に発表された。また、欧州警察機構(Europol)が調整役を担った作戦により、2021年には他に7人のREvilメンバーも逮捕された。7月にはバイデン大統領がロシアに追従するよう促し、ロシアのVladimir Putin(ウラジーミル・プーチン)大統領にこれらの犯罪組織を崩壊させるための行動をとるよう圧力をかけた。

FSBがとった行動は、1月14日にウクライナの外務省、国家安全保障・防衛評議会、政府閣僚のウェブサイトを含む政府ウェブサイトが大規模なサイバー攻撃でダウンしたわずか数時間後に行われたものでもある。当局者は、結論を出すのは時期尚早だとしながらも、ロシアによるウクライナに対するサイバー攻撃の「長い記録」を指摘した。

画像クレジット:FSB / public

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

北朝鮮が2021年にハッキングした暗号資産は約455億円相当(大量破壊兵器にも利用の疑い)

ブロックチェーン分析会社Chainalysisの報告書によると、北朝鮮のハッカーたちは2021年、暗号資産プラットフォームに少なくとも7件の攻撃を仕掛け、約4億ドル(約455億円)相当のデジタル資産を盗み取っていたという。

「2020年から2021年にかけ、北朝鮮が関係したハッキングは4件から7件に急増し、抜き取った総額は40%増えた」と報告書は述べている。

これらの攻撃は、主に投資会社や集中型取引所を標的にしていた。

報告書によると、ハッカーたちは、フィッシング詐欺、脆弱性をつくコード、マルウェア、高度なソーシャルエンジニアリングなどの複雑な手法を駆使して、インターネットに接続された標的組織の「ホットウォレット」から資産を抜き出し、北朝鮮が管理するアドレスに移していた。

「北朝鮮はいったん資産を握ると、それを隠ぺいして現金化するための慎重なロンダリング(資金洗浄)プロセスを開始した」と報告書は説明している。

2021年に標的となった資金は、イーサリアムが58%、ビットコインが20%を占め、残りの22%はERC-20トークンやアルトコインからだった。

また同報告書は、国連安保理の報告を引用して、北朝鮮はハッキングにより盗み出した資金を使い大量破壊兵器(WMD)や弾道ミサイル関連の開発計画を進めているとしている。

分析レポートによると「Lazarus Group(ラザラス・グループ)」と呼ばれるハッカー集団による攻撃だった可能性が高いとのこと。同グループは、北朝鮮の主要な情報機関、朝鮮人民軍偵察総局(RGB)に所属するとみられている。Lazarus Groupは、これまでにもランサムウェア「WannaCry(ワナクライ)」を使った攻撃や、Sony Pictures Entertainment (ソニー・ピクチャーズエンタテインメント)へのサイバー攻撃に関わった疑いがもたれている。

北朝鮮が盗んだ資金の65%以上は、ミキサー(何千ものアドレスからデジタル資産をプールしてスクランブルをかけるソフトウェアツール)を使ってロンダリングされたという。

また、北朝鮮は、2017年から2021年までの49件のハッキングで得た、1億7000万ドル(約194億円)相当とみられるロンダリングされていない暗号資産も保有している。

「ハッカーたちがなぜこれらの資金を放置しているのかは不明ですが、事件に対する法執行機関の関心が薄れ、監視されずに現金化できるようになることを期待しているのかもしれません。理由が何であれ、北朝鮮がこれらの資金を保有している期間の長さは興味深い点です。自暴自棄で性急な行動ではなく、慎重な計画であることを示唆しているからです」と報告書は述べている。

画像クレジット:RobertAx / Getty Images

原文へ

(文:Kate Park、翻訳:Aya Nakazato)

パナソニック、昨年11月のサイバー攻撃でハッカーが求職者とインターンの個人情報にアクセスと発表

日本のテック大企業Panasonic(パナソニック)は、2021年11月のサイバー攻撃で、ハッカーが求職者とインターンの個人情報にアクセスしたことを明らかにした。

同社は2021年11月26日にデータ流出を認め、その時点ではハッカーが機密情報にアクセスしたかどうかについてわかっていなかった。しかし、1月7日に発表された最新情報の中で、同社の特定部門の採用に応募したりインターンシップに参加した人の一部の個人情報にアクセスがあった、と明らかにした。影響を受けた人には通知していると述べた。

パナソニックの広報担当者Dannea DeLisser(ダニア・デリッサー)氏は、影響を受けた人の数やアクセスされた情報の内容については言及を避けた。

同社のアップデートでは、6月22日に始まって11月3日に終了し、そして11月11日に検出されたこのデータ流出では、まだ名前はわかっていないハッカーが、ビジネスパートナーから提供された不特定の「ビジネス関連情報」と、ビジネスパートナーの人材に関する情報を含むファイルを入手したことも明らかになった。

外部のセキュリティアドバイザーの協力を得て実施した社内調査の結果、第三者が海外子会社のサーバーを経由して日本国内のファイルサーバーに不正にアクセスしたことが確認された。パナソニックは、不正アクセス発見後、海外拠点からのアクセス制御の強化、関連するパスワードの再設定、サーバーへのアクセス監視の強化など「直ちにセキュリティ対策を追加で実施した」としている。

パナソニックは、再発防止に向けてセキュリティ対策を強化すると述べた。

同社を襲った11月のデータ流出は、インド子会社がランサムウェア攻撃の被害に遭い、ハッカーが財務情報や電子メールアドレスを含む4ギガバイトのデータを流出させてからわずか数カ月後に発生した。

画像クレジット:Kazuhiro Nogi / AFP / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

2021年はランサムウェアが蔓延した。2021年には、ITソフトウェア企業Kaseyaへの攻撃で1500社がオフラインにされ、CD Projekt Redのハックでは、Cyberpunk 2077やThe Witcher 3などのゲームのソースコードがやられた。大手有名企業も被害を受け、その中にはオリンパス富士フイルム、そしてパナソニックが含まれている。

また2021年は、ハッカーが重要なインフラストラクチャを攻撃して世界的な注目を集め、被害者の中には米国の石油パイプラインColonial Pipelineや、食肉加工大手JBS、農家がコーンや大豆などを売るための協同組合Iowa New Cooperativeなども含まれる。

これらの犯行でプラットフォームの閉鎖が長引き、石油価格が高騰し、食糧不足の危険も生じたため、数年間何もしなかった米国政府もやっと腰を上げ、かつては勝てないと思われていたランサムウェアという疫病に対する戦いで、わずかながらも勝利を収めた。

最初は4月に米司法省が、Ransomware and Digital Extortion Task Force(ランサムウェアとデジタル強奪対策本部)を立ち上げた。司法省によると、ランサムウェア犯行の最悪の年と呼ぶ事態に同省が対応した動きで「ランサムウェアとデジタル強盗の壊滅と捜査と訴追」を最大の目的としている。そしてそれから2カ月後に司法省は、ラトビア国籍で55歳のAlla Witte(アラ・ウィッテ)を逮捕し、国際的サイバー犯罪組織で演じた役割で彼女を告訴した。銀行を狙った、よく知られ広く使われているトロイの木馬とランサムウェアツールTrickBotの背後にいるのが、その犯罪組織だ。

その数日後にはもっと大きな勝利がやってきて、司法省は、Colonial PipelineがランサムウェアギャングのDarkSideにビットコインで払った230万ドル(約2億7000万円)を押収し、データを取り戻したと発表した。その後、米国政府はその悪名高いランサムウェアグループのリーダーたちの発見や追跡の役に立つ情報の提供者に対する、最大で1000万ドル(約11億5000万円)の賞金を提示した。

同じころ米財務省は、暗号資産の取引所Chatexに対し、身代金の取引に便宜を図ったとして制裁を発表した。その数週間前にも財務省は、暗号資産取引所Suexに対して同様の措置を講じている。

司法省対策本部の最大の勝利は10月に訪れ、悪名高いランサムウェアギャングREvilを壊滅させた。検察の発表では、22歳のウクライナ人が、7月にKaseyaに対するランサムウェア攻撃を仕かけたギャングと関係があるとして訴追されている。司法省は、その悪名高いランサムウェアグループのもう1人のメンバーに結びついている600万ドル(約6億9000万円)の身代金を押収したという。

ランサムウェアグループを追う米国政府の2021年の取り組みは、多方面から称賛されている。特に評価が高いのは、金の行方を追うというその戦術だ。ブロックチェーンの取引を分析するソフトウェアを提供しているChainalysisは、司法省の対Suex作戦を、ランサムウェアの犯人たちに対する「大きな勝利」と称賛し、TechCrunchの取材に対して、ランサムウェアのグループが彼らの暗号資産を現金化する仕組みを解明して無効化すれば、彼らを弱体化する特効薬になるという。SentinelOneのチーフセキュリティアドバイザーであるMorgan Wright(モーガン・ライト)氏は、金という彼らのメインの動機がなくならないかぎり、ランサムウェアギャングたちの犯行と拡大は続くと述べている。

「規則や法律に従わないため、犯人たちの方は常に有利な状況にあります。しかし、現金を手に入れるという最終的な目標を達成する前にランサムウェアギャングの力を削ぐ、強力なアプローチが2つあります。身代金として暗号資産を使う能力を奪い、マシンスピードの犯行に対してはマシンスピードで応ずることだ」とライト氏はいう。

米国政府はまた、DarkSideの1000万ドルの賞金やREvilに関する情報への賞金にも見られたように、ランサムウェアの犯行手口に関する情報に報奨金を提供している。BreachQuestのCTOであるJake Williams(ジェイク・ウィリアムズ)氏は「賞金額がこれだけ大きければ、犯人たちの寝返りが続くことも考えられます。ランサムウェア・アズ・ア・サービス(RaaS)のアフィリエイトモデルへの信頼が損なわれる」と述べている。

しかし一部の人たちは、政府の行動で弱気になる者もいるかもしれないが、相変わらず金銭的な利益を追い続けているランサムウェアギャングたちのやる気を抑えることはできないと信じている。

ITセキュリティ企業QualysのJonathan Trull(ジョナサン・トラル)氏は「ランサムウェアの犯人たちに正義の鉄槌を下そうとする司法省の努力は称賛するが、逮捕拘禁されない可能性と、これらの犯行グループが作り出す巨額の金を比べると、断然後者は魅力的なものだ。残念ながらランサムウェアに対する戦いは非対称であり、膨大で複雑な捜査を扱うためにグローバルに必要となるリソースの量に、法執行機関の現状はまだ達していない」という。

ライト氏は同意し、これまでの米国政府の活動にあまり満足していないのは、次のような点となる。「これまで2人を逮捕して数百万ドル(数億円)を取り戻したが、それはランサムウェアに対する勝利ではない。それはむしろ、ランサムウェアに対して何かやったぞと誇示するための、政治的な声明だ。すでに失われた数十億ドル(数千億円)に対して、230万ドルは誤差にもならない」。

同様に、多くの人が、これらの戦術は新年以降におけるランサムウェアの脅威の成長を抑えるほど強力ではない思っている。特に悪者たちは、適応力がある。エキスパートたちによると、ランサムウェア・アズ・ア・サービスのモデルは、首謀者が自分のランサムウェアのインフラストラクチャを他人に貸して、得られた身代金の分け前をもらう。このモデルは2022年にも盛り上がり、法執行機関が首謀者を追うのもより困難になる。

何段階にも及ぶ犯行連鎖を予想する人たちもいる。フィッシングからスタートしたデータ侵犯がデータ窃盗になり、最後にランサムウェアになる。並行してそれは、ますます多くの犯人が手がける、流行のようなものになる。それによって、防護の厳しいネットワークインフラストラクチャでも、ハッカーは侵入できるようになる。

上記の後者の問題により、米国政府は2022年に民間部門との協力を密接にせざるをえなくなる、とトラル氏はいう。「法執行機関だけでは、潮流を逆転するのは無理だろうと私は思います。必要なのは法執行の複数のアクションがセットになって専門家と協力し、システムを強化し、重要なデータとシステムのバックアップを開発してその運用可能状態を常時維持し、さらにまた民間部門からの有効な反応も得られるようにしておくことです」とトラル氏はいう。

もっと多くのアクションが必要なことは明らかだが、米国政府は進歩している。ほんのひと握りの立件を軽視する人たちもいるが、しかしそれはインパクトを与えた。特に、ランサムウェアのグループがパートナーを獲得するための広告活動が被害を受けた。いろいろなところが注意するようになったため、一部の人気の高いハッキングのフォーラムではランサムウェアが禁じられ、あるハッキンググループは偽の会社を作って何も知らないITスペシャリストたちに訴求し、お金になる産業であるランサムウェア産業の継続的拡大に寄与させようとしている。

ランサムウェアのエキスパートでEmsisoftの脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は「一部のサイバー犯罪フォーラムではランサムウェアグループが以前ほど歓迎されなくなっている」という。

関連記事:2021年に知ることになったサイバーセキュリティの6つのポイント

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

2021年に知ることになったサイバーセキュリティの6つのポイント

この12カ月間におけるサイバーセキュリティは、暴れ馬のようだった。サイバーセキュリティで何もかもが壊れ、あとはそのことを認めるだけとなり、そして今年、2021年は、特に年末にかけて何もかもが一度に壊れた。しかし、何はともあれ、私たちはこれまで以上に多くのことを知り、この年を終えることになる。

この1年で、私たちは何を学んだのだろうか。

1.ランサムウェアの被害で大きいのはダウンタイムであり身代金ではない

ファイルを暗号化するマルウェアの被害が続いている。2021年だけでもランサムウェアは町全体にオフラインを強いることになり、給与の支払いをブロックし、燃料不足を招いた。企業のネットワークの全体が、数百万ドル(数億円)の暗号資産と引き換えに人質に取られたからだ。米財務省の推計では、ランサムウェアの2021年の被害額は、これまでの10年を合わせた金額よりも多い。しかし研究者たちによると、企業の被害の大半は、生産性の落ち込みと被害後の困難な後始末作業によるものだ。後者には、インシデント対応や法的サポートも含まれる。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

2.FTCはモバイルのスパイウェアメーカーに被害者の通知を命じることができる

SpyFoneは、2021年9月の連邦取引委員会(FTC)からの命令により米国で禁止される初めてのスパイウェアになった。FTCはこの「ストーカーウェア」アプリのメーカーを、人目につかない秘かなマルウェアを開発し、ストーカーや米国ないの悪意を持つ者が、被害者のスマートフォンのメッセージや位置情報の履歴などを知られることなくリアルタイムでアクセスできるようにしたと訴えた。さらにFTCはSpyFoneに、同社が不法に集めたデータをすべて削除し、同社のソフトウェアによってスマートフォンをハックされた人たちに通知することを命じている。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

3.サイバーセキュリティへのVCの投資は2020年に比べて倍増

2021年はサイバーセキュリティへのVCの投資が、記録破りの年だった。8月には、投資家たちが2021年の前半に115億ドル(約1兆3242億円)のベンチャー資金を投じたことが明らかとなっている。これは2020年の同時期に投じられた47億ドル(約5412億円)の倍以上の額となる。最大の調達はTransmit Securityの5億4300万ドル(約625億円)のシリーズAと、Laceworkの5億2500万ドル(約605億円)のシリーズDだった。投資家たちは、クラウドコンピューティングとセキュリティのコンサルティング、およびリスクとコンプライアンス方面の好調が投資に火をつけたという。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
クラウドセキュリティのLaceworkが2年連続収益300%増で約545.7億円のシリーズD投資調達

ハイテク企業がユーザーデータの最大の保有者であることは周知の事実であり、意外にも、犯罪捜査のための情報を求める政府のデータ要求の頻繁な対象になっている。しかし、Microsoftは2021年、政府が検索令状に秘密命令を添付する傾向が強まっていることを警告し、ユーザーのデータが調査の対象となる時期をユーザーに通知しないようにしている。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

Microsoftによると、法的命令の3分の1は秘密保持条項付きで、その多くは「意味のある法的分析や事実分析に裏づけられていない」と、同社の顧客セキュリティー・トラストの責任者Tom Burt(トム・バート)氏はいう。Microsoftは、秘密保持命令は技術産業全体に蔓延していると述べている。

5.FBIはサイバー攻撃の後処理の一環として、プライベートネットワークへのハッキングを許される

2021年4月にFBIは、この種の操作としては初めてハッカーが数週間前に放置した米国の数百に及ぶ企業のメールサーバーにあるバックドアの削除を開始した。MicrosoftのメールソフトウェアであるExchangeの脆弱性を大規模に悪用して、ハッカーが米国全域の何千ものメールサーバーを攻撃し、連絡先リストと受信箱を盗んだ。非難されているのは中国だ。その犯行により数千のサーバーが脆弱性を抱えたままであり、企業は緊急に欠陥を修復すべきだが、しかしパッチは残されたバックドアを削除しないので、ハッカーが戻ってきて容易にアクセスを取得できる。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

テキサス州の連邦裁判所が操作を許可し、FBIはハッカーが使ったのと同じ脆弱性を利用してバックドアを削除した。裁判所による操作許可の根拠は、今後の再犯への恐れだ。それにより、悪人たちによる今後の悪用を防いだ。同様の「ハックとパッチ」操作でボットネットを駆除した国は他にもあるが、サイバー攻撃の後でFBIがプライベートネットワークを効果的に掃除したのは、知られているかぎり、これが初めてだ。

6.詐欺師たちが自動車保険のサイトを襲って失業手当を詐取

2021年は複数の保険企業が、ありえないがますます普通になってきた詐欺のターゲットになった。Metromileによると、保険の見積もりを保存する同社のウェブサイトにバグがあり、運転免許証の番号が盗まれた。そして数カ月後には、Geicoもターゲットになり、同じく運転免許証の番号を盗み取られている。

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

Geicoのデータ侵犯報告は、盗んだ免許証番号を使って、ユーザーの名前で「失業手当を申請した」詐欺師たちを非難した。米国の多くの州では、州の失業手当を申請する前に運転免許証を必要となる。自動車保険会社ならその番号がわかるので、ターゲットにされたのだ。

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

【コラム】2人のFBI捜査官が私の家にきた、米国における法的要求と報道の自由について

2020年8月、予告なしに2人のFBI捜査官が私の家の玄関先にやってきて、前年に掲載したTechCrunchの記事について質問したいと言ってきた。

記事の内容は、あるハッカーがグアテマラのメキシコ大使館のサーバーから、ビザや外交官パスポートを含む数千件の書類を持ち出したというものだった。そのハッカーによると、脆弱なサーバーについてメキシコ当局に連絡したが無視されたため、大使館のファイルへのリンクをツイートしたという。「返事がない場合は公開する」とハッカーは言っていた。

関連記事:ハッカーがメキシコ大使館の文書を大量にネット公開

私は取材時の常套手段として、ニューヨークのメキシコ領事館にコメントを求めた。広報担当者によると、メキシコ政府はこの問題を「非常に深刻」に受け止めているとのことだった。私たちは記事を公開し、それで終わったように思えた。

1年後、FBIが私の家のドアをノックしてきた。終わったというのは間違いだったようだ。私は捜査官との会話を断り、ドアを閉めた。

私たちが記事を発表した後、メキシコ政府は外交ルートを通じて米国司法省にハッキングの調査あるいはハッカーの特定への協力を依頼した。私がそのハッカーと接触したことで、メキシコ政府は私を関係者としたに違いない。それで1年後に訪問してきたのだろう。

訪問の1カ月後、メキシコ政府はFBIに対し書面による質問リストを提出し、私たちに回答を求めてきたが、その多くはすでに記事の中で回答されているものだった。私たちの司法省への回答は、すでに発表した内容以上のものではなかった。

報道者に対する法的要求は珍しいことではない。メディア業界で働く上での職業病と考える人もいる。要求は脅しの形で行われることも多く、ほとんどの場合、ジャーナリストや報道機関に記事の撤回を迫り、場合によっては記事の公開前に中止させる。特にサイバーセキュリティを扱うジャーナリストは明るく元気な見出しではあまり知られておらず、企業や政府は自らのセキュリティ対策の不備を恥ずかしい見出しで報じられるのを避けようとするため、法的な脅迫を受ける傾向がある。

例えば、米国ミズーリ州のMike Parson(マイク・パーソン)知事とSt. Louis Post-Dispatch(セントルイス・ポスト・ディスパッチ)紙との間で最近起きた対立を見て欲しい。知事は、この新聞社の記者が州の教育局のウェブサイトに何千もの社会保障番号が掲載されているのを発見した後、違法なハッキングを行ったと訴えた。この記者は、社会保障番号が流出した3人に確認を取った上で、州にセキュリティの不備を速やかに報告し、データが削除されるまで記事の公開を保留していた。

パーソン知事は、この報道が州のハッキング法に違反しているとし、法執行機関と州検察官に同紙の調査を命じ「州に恥をかかせようとしている」と主張した。これに対し法律家や議員、さらにはパーソンの所属する政党のメンバーまでもが、倫理的にまったく問題のない行為であると認められた新聞社を非難した知事を嘲笑した。パーソンは、自身の政治活動委員会が費用を負担した動画の中でまたもや非難し、いくつかの誤った主張をした他、新聞社を「フェイクニュース」呼ばわりした。2021年11月初め、教育局は、最終的に62万人以上の州の教育者に影響を与えた過失について謝罪した。

違法性や不適切性の主張は、悪意のあるハッカーに悪用される前に流出した個人情報やセキュリティ上の欠陥を発見して公開するセキュリティ研究者に対して広く用いられる戦術だ。独立系ジャーナリストと同様に、セキュリティ研究者も単独で活動していることが多く、たとえ彼らの活動が完全に合法的であり、将来起こりうる最悪のセキュリティ事故を防ぐのに役立ったとしても、彼らは裁判の高額な訴訟費用を恐れて法的な脅しに応じるしかない。彼らに経験豊富で意欲的なメディア法務チームがついているとは限らない。

関連記事:オープンソース版の登場に対してWhat3Wordsがセキュリティ研究者に法的警告を送付

これまでにも不当な法的要求を断ったことはあったが、仕事をしているだけで連邦捜査官が玄関先にやってくるというのは、私にとっては初めての経験だ。違法行為があったとは聞いていないが、もし私がメキシコの地を踏んだ場合、メキシコがどのような見解を示すかわからないのは不安だ。

しかし、最もダメージが大きいのは、紙面に載らない法的な脅しや要求だ。法的な要求には本来、口封じの効果がある。時には成功することもある。ジャーナリズムにはリスクがつきものであり、報道局が常に勝つとは限らない。法的な脅しは、放置すると仕事をすることが法的に有害となるため、セキュリティ研究とジャーナリズムの両方に対する萎縮効果がある。これは、世界の情報量の減少、そして時には安全性の低下にもつながる。

原文へ

(文:Zack Whittaker、翻訳:Dragonfly)