タグ: バグ / 脆弱性(用語)

レトロなおもちゃ電話「チャターフォン」がBluetooth対応で大人気、ただし盗聴器になるバグあり

ノスタルジアという面では、Fisher-Price(フィッシャープライス)の「Chatter Telephone」(チャターフォン)は期待を裏切らない。ホリデーシーズンに向けて、子供たちに昔から愛されてきたレトロなおもちゃがモダンに生まれ変わり、大人向けの新製品として発売された。子供向けにデザインされたオリジナルの玩具とは異なり、近くにあるスマートフォンを使ってBluetoothで通話することができるというものだ。

特別版Chatterは、回転式ダイヤルと、車輪が回転すると上下に揺れるトレードマークの目を備えているが、電話というよりは、ハンドセットを持ち上げると起動するマイク付きのBluetoothスピーカーのようなノベルティだ。

このChatterは長くは販売されなかった。キャンセル待ちが殺到し、あっという間に完売してしまったのである。しかし、英国のセキュリティ研究者たちは、すぐに潜在的な問題を発見した。オンラインの取扱説明書だけでは、設計上の欠陥により、Chatterを使った盗聴が可能になるのではないかと考えたのだ。

サイバーセキュリティ企業Pen Test Partnersの創設者であるKen Munro(ケン・マンロー)氏は、TechCrunchの取材に対し、Chatterには、Bluetooth接続されていない携帯電話からの接続を阻止するための安全なペアリングプロセスが備わっていないという懸念があると語った。

マンロー氏は、彼の懸念を裏づけるための一連のテストの概要を説明した。Chatterは米国でしか販売されておらず、売り切れ状態が続いていたため、TechCrunchは再入荷を知らせるページモニターを設定し、1台購入してテストを開始した。

まず、Chatterの電源を入れてBluetooth接続を有効にし、Bluetoothでスマートフォンとペアリングした後、Bluetoothをオフにして、誰かがそのスマートフォンを持ち圏外に歩いて行ってしまったような状況を再現した。その後、別の携帯電話とChatterを支障なくペアリングし、Chatterのオーディオをリモートでコントロールすることができた。

Chatterを製造しているMattel(マテル)によると、このChatterは「接続が行われない場合やペアリングが一度行われるとタイムアウトします。ごくわずかな時間内でしか発見可能ではなく、デバイスに物理的にアクセスする必要があります」とのこと。私たちはChatterの電源を入れたままにしておき、1時間以上経ってもBluetoothのペアリングプロセスがタイムアウトにならないことを確認した。

マンロー氏はその後、Chatterに接続されている携帯電話に電話をかけたらどうなるか尋ねた。試してみると案の定、Chatterは大きな音で鳴った。そして、今度はChatterの受話器をきちんと戻さずに、もう一度Chatterに電話をかけてみた。受話器が外れた状態で、Chatterは自動的に電話に出て、すぐに受話器のマイクを起動したため、周囲の背景音を聞くことができた。

数年前、Pen Test Partnersは「My Friend Cayla」という子供向けの人形で同様のBluetoothの脆弱性を発見した。この人形は、親の携帯電話が圏外になると、別の人の携帯電話とペアリングされてしまうというものだった。このおもちゃは、アプリに接続すると子どもの発言を記録していたことが判明し、最終的に店頭から撤去された。

Mattelによると、Chatterにはアプリはなく、Chatter Phoneは「名作おもちゃに遊び心を加えて大人向けにした、限定的なプロモーションアイテム」として発売されたとのこと。しかしマンロー氏は、Chatterには安全なペアリング機能がないため、近くにいる人や決意を持った攻撃者に悪用される可能性があること、また、Chatterが子供たちにおさがりとして受け継がれ、知らずにバグを引き起こしてしまう可能性があることを懸念している。

「これがオーディオバグになるには、何も子供たちが操作する必要はありません。受話器を外しておくだけで十分です」とマンロー氏は語った。

今回の調査結果についてコメントを求めたところ、Mattelの広報担当者であるKelly Powers(ケリー・パワーズ)氏は、同社は「セキュリティに全力を尽くしており、これらのクレームを調査する予定です」と述べた。

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

人気の家庭用新型コロナテストに検査結果を改竄できるバグ

あるセキュリティ研究者が、人気の家庭用新型コロナウイルステストに、結果を自由に変更できるBluetoothの脆弱性を発見した。

F-Secure(エフセキュア)の研究者Ken Gannon(ケン・ギャノン)氏は、個人がウイルスに感染しているかどうかを確認するために使用できる自己投与型の抗原検査であるEllume (エルム)のCOVID-19 Home Testに、すでに修正された欠陥を発見した。この検査は、検査施設にサンプルを提出するのではなく、Bluetoothアナライザーを使ってサンプルを検査し、その結果をEllumeのモバイルアプリを通じてユーザーと保健当局に報告するというものだ。

しかし、ギャノン氏は、内蔵のBluetoothアナライザーを騙すことで、Ellumeアプリがデータを処理する前に、ユーザーが証明可能な結果を偽造できることを発見した。

ギャノン氏はこのハッキングを実行するために、ルート化したAndroid端末を使い、テストがアプリに送信するデータを分析した。そして、ユーザーが新型コロナの陽性か陰性かをモバイルアプリに伝える役割を担っている可能性が高い2種類のBluetoothトラフィックを特定し、陰性の結果を陽性にうまく変えることができるスクリプトを2つ作成した。

Ellumeの家庭用新型コロナウイルステストの偽造された結果(画像クレジット:F-Secure)

ギャノン氏によると、Ellumeから結果のメールが届いたとき、そこには誤って陽性と表示されていたそうだ。また、F-Secureは概念実証を完了するために、出張や出勤のための在宅新型コロナテストの認証のためにEllumeが提携している遠隔医療プロバイダーのAzova(アゾヴァ)から、偽造された新型コロナ検査結果の認証コピーを入手することに成功した。

ギャノン氏の書き込みには、陰性結果を陽性結果に変えることしか書かれていないが、彼は、このプロセスは「どちらにも有効」だと言っている。また、パッチが適用される前には「適切な動機と技術的スキルを持つ誰かが、これらの欠陥を利用して、自分自身や一緒に働いている人が、検査を受けるたびに陰性になるようにすることができただろう」とも述べている。理論的には、米国への再入国要件を満たすために、偽の証明書を提出することも可能だった。

F-Secureの調査結果を受けて、Ellumeは、偽造された結果の送信を検出・防止するためにシステムを更新したと述べている。

「また、保健所、雇用者、学校、イベント主催者などの当局がEllume COVID-19 Home Testの真正性を確認できるよう、検証ポータルを提供します」と、Ellumeの情報システム責任者のAlan Fox(アラン・フォックス)氏は述べている。「Ellumeは私たちのECHT検査結果の信頼性に自信を持っています。また、この問題を提起し、世界中の消費者、企業、組織を守るために日々活動しているF-Secureに感謝したいと思います」。

画像クレジット:Ellume

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

数百のホテルで提供されるゲスト用Wi-Fiシステムにセキュリティ上の欠陥発見

あるセキュリティ研究者によると、世界の何百ものホテルがゲストにWi-Fiネットワークを提供し、管理するために利用しているインターネットゲートウェイには脆弱性があり、ゲストの個人情報を危険にさらしている。

Etizaz Mohsin(エティザズ・モーシン)氏が語ったところによると、Airangel製のHSMX Gatewayにはプレーンテキストなどハードコードのパスワードがあり、それらは極めて簡単に推測できるものだ。そのパスワードをここでご紹介することはできないが、攻撃者はそれらを使ってゲートウェイの設定と、Wi-Fiを使っているゲストの記録があるデータベースにリモートでアクセスしている。それによりゲストの記録を盗んだり、ゲートウェイのネットワーキングの設定を変えて知らぬ間にゲストを悪質なウェブページへリダイレクトしたりするという。

2018年、モーシン氏は彼が泊まっていたホテルのネットワークが使っているゲートウェイの一部でそれを発見した。そのゲートウェイは、インターネットを介してファイルを別のサーバーと同期するために使われており、モーシン氏によると世界中の有名高級ホテルの一部が数百ものゲートウェイのバックアップファイルをそこに置いていた。またそのサーバーには「数百万」のゲストの名前やメールアドレス、到着と出発の日付が保存されていた。

モーシン氏はそのバグを報告し、サーバーは保護されたが、そこからある考えが浮かぶ「このたまたま1つのゲートウェイに、何百もの他のホテルを危険にさらす、その他の脆弱性はなかったのか?」

そしてそのセキュリティ研究者は、顧客情報の窃盗行為などゲートウェイの侵犯に使われる可能性がある他の5つの脆弱性を見つけた。彼が見せてくれたスクリーンショットでは、あるホテルの脆弱なゲートウェイの管理インターフェースが、ゲストの名前やルームナンバーやメールアドレスを暴露していた。

モーシン氏は新たに発見した欠陥のキャッシュをAirangelに報告したが、それから数カ月が過ぎても英国のネットワーキング機器メーカーはバグを修正していない。同社代表者は、その機種は2018年以降販売しておらず、すでにサポートしていない、とモーシン氏に告げた。

しかしモーシン氏によると、その機器は世界中のホテルやモール、コンベンションセンターなどで今でも広く使われている。インターネットをスキャンしてみると600以上のゲートウェイがインターネットだけからアクセスできる状態だが、本当の脆弱なデバイスの数はもっと多いだろう。被害を受けたホテルの多くが英国、ドイツ、ロシア、そして中東全域にある。

「この脆弱性の連鎖が攻撃者に提供するアクセスのレベルを見るかぎり、彼らにできることの限界はないようです」とモーシン氏はいう。

モーシン氏は彼の発見を、2021年11月にサウジアラビアで行われた@Hackカンファレンスで提示した。Airangelにコメントを求めているが応じていない。

画像クレジット:Jeff Greenberg/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている

世界中のセキュリティチームが、Apache Log4jで発見された重大なセキュリティ上の欠陥である「Log4Shell」の修正に追われている。Log4jは、オンラインゲームから企業のソフトウェア、クラウドのデータセンターに至るまで、あらゆる場所で利用されているオープンソースのログ出力ライブラリだ。そのユビキタス(遍在)は、インターネットを厳戒態勢に入らせ、攻撃者は脆弱なシステムを狙う企みを増加させている。

関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

Log4Shellはゼロデイ脆弱性(影響を受けた組織がシステムにパッチを適用する対処期間がゼロデイであることから、このように名づけられた)と呼ばれるもので、この脆弱性は、開発者がアプリケーションの実行中に内部で何が起こっているかを記録するために使うLog4jを実行している脆弱なサーバー上で、攻撃者はリモートでコードを実行することができるというものだ。

この脆弱性は、CVE-2021-44228として追跡されており、深刻度は最大の10.0とされている。これは、攻撃者がインターネットを介して脆弱なシステムを、被害者とのやり取りも一切なしに、リモートで完全に制御できることを意味しており、しかも、その実行にはそれほどスキルを必要としないということだ。

当初の報告によると、Log4Shellの悪用は米国時間12月9日に始まったといわれており、Minecraft(マインクラフト)がLog4Shellの最初の有名な被害者として公表された。しかし、Cisco Talos(シスコ・タロス)とCloudflare(クラウドフレア)のセキュリティ研究者によると、Log4Shellが最初に悪用されたのは2週間前だという証拠が見つかったそうだ。Talosはこの欠陥に関連する攻撃者の活動を12月2日に初めて確認したというが、Cloudflareによると、その1日前の12月1日に悪用の成功を観測したとのこと。

「Log4jの悪用で、これまでに我々が見つけた最も早い証拠は、協定世界時2021年12月1日4時36分50秒です」と、Cloudflareの共同創業者兼CEOであるMatthew Prince(マシュー・プリンス)氏はツイートし「これは、少なくとも一般に公開される9日前には自然界に存在していたことを示唆しています。しかし、大規模な悪用の証拠は、一般に公開された後まで見られません」と、述べている。

誰が影響を受けているのか?

Log4Shellのニュースが最初に報じられて以来、被害者の数が増え続けていることから、数千もの有名企業やサービスがこの欠陥の影響を受けている可能性がある。GitHub(ギットハブ)で定期的に更新されているリストによると、Apple(アップル)、Amazon(アマゾン)、Baidu(バイドゥ)、Google(グーグル)、IBM、Tesla(テスラ)、Twitter(ツイッター)、Steam(スチーム)などが影響を受けた組織として挙げられている。これとは別に、VMware(ヴイエムウェア)は自社製品の多くが影響を受けることを顧客に警告する注意書を発表し、Cisco(シスコ)は自社製品の一部がこの欠陥の影響を受けることを確認している

これらの企業の多くは、すぐに行動を起こしている。Cloudflareは攻撃を防ぐためにシステムを更新したが、悪用された形跡は見られなかったとTechCrunchに述べており、Microsoft(マイクロソフト)はMinecraftユーザー向けにソフトウェアアップデートを発行したとコメント。Valve Corporation(バルブ・コーポレーション)は自社のサービスを「直ちに見直し」、Steamに関連するリスクはないとの結論に達したことを確認している。

iCloud(アイクラウド)サービスに脆弱性があったアップルは、同社のクラウドサービスにパッチを適用したと報じられているが、TechCrunchのコメント要求には応じていない。研究者たちは12月9日と12月10日にiCloudのウェブ・インターフェースが脆弱であることを発見したが、12月11日にはそのエクスプロイトが機能しなくなっていたという。

Log4jソフトウェアを管理しているApache Software Foundation(アパッチ ソフトウェア財団)は、緊急のセキュリティパッチを公開するとともに、すぐにアップデートできない場合の緩和策も発表した。サードパーティによる緩和策も多数用意されている。Huntress Labs(ハントレス・ラブズ)は、企業が自社のシステムを評価するために使用できる無料のLog4Shellスキャナーを作成し、Cybereason(サイバーリーズン)は、無料で利用できるLog4Shellの「ワクチン」をGitHubで提供している

脆弱性の深刻度は?

Log4Shellの影響を受ける企業やサービスの数が増えるとともに、この脆弱性を悪用した攻撃の数も増えている。マイクロソフトは週末のブログ記事で「暗号資産マイナーやCobalt Strike(コバルト・ストライク)をインストールして、クレデンシャル情報の盗用やラテラルムーブメントを可能にし、侵害されたシステムからデータを流出させるなどの行為が確認された」と述べている。

セキュリティ企業のKryptos Logic(クリプトス・ロジック)も米国時間12月12日に、インターネット上でプロービング(探査)を行っている1万以上の異なるIPアドレスを検出したと発表した。これは10日にLog4Shellをプロービングしていたシステムの数の100倍になる。

また、Cado Security(カドー・セキュリティ)では、積極的な悪用の増加を確認しているという。同社がTechCrunchに語ったところによると、12月11日にはLog4Shellを悪用したMirai(ミライ)ボットネットの活動や、多くのIPにわたるMushtik(ムシュティック)の活動が見られたとのこと。同社は、典型的なエクスプロイトの一連の流れに基づき「Log4Shellを原因とする標的型ランサムウェア攻撃の可能性が非常に高い」と考えているという。

広範に使用されているLog4Shellの性質と、それに続くランサムウェアの可能性を考えると、これは嵐の前の静けさと言えそうだ。脆弱性の修正または緩和は、すべてのセキュリティチームの最優先事項であるべきだ。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

イスラエル発Cybellum奥田正和氏が語る「コネクテッドカーのセキュリティ」の今

2018年からの1年間でコネクテッドカーに対するサイバー攻撃が倍増した。イスラエル発のサイバーセキュリティ企業、Cybellum(サイべラム)で日本カントリーマネージャーを務める奥田正和氏は「コネクテッドカーのセキュリティは喫緊の課題ですが、対処していくスピードを上げる必要があります」と語る。コネクテッドカーが抱えるリスクとは何か。安全性はどう守られるべきなのか。同氏に詳しく話を聞いた。

コネクテッドカーのサイバーセキュリティとは

コネクテッドカーには数多くのソフトウェアが使用されている。そのため、ソフトウェアのセキュリティを守ることが重要になる。

奥田氏は「ソフトウェアの守り方は色々あります。ファイアウォールなど、防御の壁を増やすようなアプローチもありますが、ソフトウェアそのものにバグや脆弱性があったのでは、壁を足すだけでは守りきれません。そこで当社はコネクテッドカーの中のソフトウェアをスキャンし、脆弱性を見つけるツールを提供しています」と話す。

Cybellum プロダクト・セキュリティ・アセスメントのインターフェース

同氏によると、担当エンジニアは多くの場合「堅牢なソフトウェアはどんなものか」「ハッカーに攻撃される脆弱性はどんなものか」を理解しており、対応方法もわかっているという。問題は、コネクテッドカーに搭載されるソフトウェアの数が多く、すべての脆弱性に対応しきれないことなのだ。

専門家が脆弱性を発見した際、発見した脆弱性を登録するCommon Vulnerabilities and Exposures (CVE)、National Vulnerability Database(NVD)などのデータベースがある。こうした場所には年間2〜3万件の新規脆弱性が報告される。

奥田氏は「このペースで脆弱性が見つかるので、どこかの会社がソフトウェアを出したら、規模にもよりますが数カ月で数十件程度の脆弱性が見つかります。ハッカーたちは公表された脆弱性を使った攻撃も仕かけてきます。一方で、ソフトウェアには『未発見、未公表のすでに存在している脆弱性』もあります。また、1つの脆弱性を直すには数カ月〜数年かかることもあります。新しい脆弱性も後から出てきます。『脆弱性ゼロ』の日はありません。ソフトウェア提供企業は公表された脆弱性に優先的に対応しつつ、未公表の脆弱性にも対応していかなくてはなりません」と話す。

理想的には、開発段階から脆弱性データベースを参考に脆弱性が混入しないよう開発を進め、製品が出荷されてからもデータベースを見続け、公表された脆弱性が製品に該当しないかをチェックし続けることが望ましいという。

自動車サイバーセキュリティ規制

開発段階と自動車のライフタイム(開発以降のあらゆる時期)を通した脆弱性対策は、自動車サイバーセキュリティ規制(UNECE WP.29 R155)でも定められている。これは、国連欧州経済委員会の作業部会である自動車基準調和世界フォーラム(WP29)が策定したものだ。

奥田氏は「この規制で重要なのは、『自動車のサイバーセキュリティを担保する社内プロセスを保持すること』です。これを企業目線で具体的に落とし込むと、サイバーセキュリティの専門チームや専任者を設置する、開発プロセスとレビュープロセスを策定する、出荷後も脆弱性を監視し続ける、ということになります。組織とプロセスが全体的に規制されるのです」と説明。

自動車サイバーセキュリティ規制は、自動車における「安全性」の概念の変化も反映している。自動車はもはや「安全性を担保して出荷すれば良い物」ではない。自動車メーカーは企画・開発・生産から廃棄までセキュリティを監視しなければならないのだ。

さらに、この規制のステークホルダーは最終生産メーカーを筆頭に、部品メーカーやベンダーなど、サプライチェーン全体におよび、規制に対する対応の有無の説明責任は最終生産メーカーが負う。

セキュリティはコストなのか

自動車サイバーセキュリティ規制は、自動車のセキュリティをライフタイム全般にわたり担保するもので、ユーザーの利益になるものだ。だが、自動車メーカー側の負担は大きくないだろうか。

「その側面は否定できません。運転支援機能や自動運転機能のように、先端技術を追加して安全性を高めても、セキュリティ対策に関しては今はそうした付加価値を値段に転嫁しにくい状況です。『最先端のセキュリティに対応しているので、このクルマは10万円高くなります』というのは難しいのではないでしょうか」と奥田氏。

しかし、十分なセキュリティ対策を行わず、自動車がサイバー攻撃に遭い、損失や危険な事象が発生した場合、自動車メーカーの評判は落ちてしまう。

奥田氏は「攻撃が発生すれば『セキュリティをしっかりしておいてよかった』という話になりますが、そうでない時にはセキュリティはコストに見えてしまいます」とセキュリティの重要性を指摘する。

コネクテッドカー向けセキュリティの差別化

では、自動車メーカーはソフトウェアの脆弱性をどう発見すれば良いのか。

「多くの脆弱性はソースコードの中にあるので、エンジニアが集まってコードをレビューすれば、脆弱性を見つけることは可能です。ですが、今日の激増するソフトウェア量を考えるとこのやり方は非現実的です。実際には、当社が提供しているような、製品に組み込まれているソフトウェアコンポーネント群をスキャンし、脆弱性を見つけるサービスを活用して効率化を目指すのが望ましいです」と奥田氏。

しかし、ソフトウェアをスキャンするサービスならなんでもいいというわけではない。

奥田氏は「現在、多くのIT企業がソフトウェアチェッカーを提供しています。ですが、自動車の組み込みソフトウェアに十分に対応しているものはほんの一部です。組み込みソフトウェアは必ずしもサーバやPC上で動くものではないので、自動車用ではないソフトウェアチェッカーは、自動車のソフトウェアチェックに対応できない部分も多いのです」と力説する。

では、こうした企業はどうやって差別化しているのだろうか。

奥田氏によると、現在、自動車向けソフトウェアチェッカーを提供している主要な企業は、基本的に類似した技術を提供しており、差別化要素の1つが対応している半導体の種類、OSなどだそうだ。

また、ソフトウェアは使用される製品によって構造が変わってくる。そのため、ソフトウェアチェッカー提供企業の得手不得手も分野によって現れるという。

自動車業界のソフトウェア活用では、ソースコードとバイナリコードという観点も重要だ。ソースコードは、プログラミング言語で書かれたコンピュータプログラムで「どんな動作をさせたいか」を表現する。機械はソースコードをそのまま実行できないため、ソースコードは機械が読み込むことができるバイナリコードに変換される。

奥田氏は「自動車の最終生産メーカーがすべてのソースコードを保持していることは非常に稀です。自動車はサプライヤーから集めてきた多様なパーツで成り立つため、各部のソースコードが最終メーカーの手元にすべて届くとは限らないのです。むしろソースコードが送られてこない方が普通かもしれません」と話す。

しかし、最終メーカーの手元には、自動車の全体統制のために必要な全体のバイナリコードがある。そのため、実際にスキャンできるのは、バイナリコードになる。自動車のソフトウェアをスキャンするには、バイナリコードのスキャン技術と精度が重要になる。

奥田氏は「当社はバイナリコードのスキャンに対応していますが、ソースコードにしか対応していない企業もあります。バイナリコード対応の有無も差別化のポイントになりますね」と補足した。

対策すべきリスク

Uswitchの調査によると、2018年から2019年にかけてコネクテッドカーに対するサイバー攻撃が99%増加した。奥田氏はこれをどう見るのか。

「コネクテッドカーへの攻撃は、危惧されていたよりは増加していないと考えています。『実現可能な攻撃』に関する議論が活発化していますが、『実現可能な攻撃』と『実際に生じる攻撃』は別物です」と奥田氏。「『実際に生じる攻撃』は金銭的利益が発生するところで起こります。そのため、車載コンテンツ配信システムや、移動情報から得るドライバーの個人情報は狙われやすいでしょう。また、それを使ったランサムウェア攻撃もあり得ます。逆にいうと、コネクテッドカーを攻撃して、ドライバーを殺傷するようなことは金銭的利益があまり見込めないので、起こりにくいと考えられます」と話す。

コネクテッドカーを狙ったランサムウェア攻撃は誰に起こり得るのか。奥田氏はトラック運送会社など、コネクテッドカーを事業で利用している企業や組織が狙われるとみている。会社のコネクテッドカーが攻撃によりロックされてしまうと、一時的に売り上げが立てられなくなる。それなら身代金を払って一刻も早く自社のコネクテッドカーを仕事に回した方が良い、と決断する企業が出てきても不思議ではない。

奥田氏は「損失が身代金より大きいなら、払う方が良い、と考える企業はあるでしょう。今危惧されているのはこういった攻撃です」と話す。

コネクテッドカーは情報の宝庫だ。ドライバーの個人情報、家族の情報、移動情報などが蓄積される。これらの情報はそのまま売ることもできるし、銀行システムの攻撃にも悪用できる。

「自動車メーカーからすると、自社製品のセキュリティが破られたら、自社の評判が落ちます。また、過失が認められれば訴訟にも発展するかもしれません」と奥田氏は補足する。

とはいえ今のところ、コネクテッドカーのセキュリティの重要性の認知は、自動車メーカーやその周辺のエコシステムに限られており、一般の自動車ユーザーの間にはあまり浸透していない。そのため「この車はセキュリティ対策が優れています」というアピールが魅力的に映らない。

奥田氏は「自動車ユーザーのみなさんにセキュリティの大切さをお伝えできれば、車の魅力としてセキュリティをアピールすることもできます。ドライバーのみなさんを守るためにも、セキュリティ理解の促進は重要な課題です」と話した。

アップルがiPhoneの脆弱性を悪用するスパイウェア「Pegasus」のNSO Groupを提訴

Apple(アップル)は、国家レベルのスパイウェア「Pegasus」のメーカーであるNSO Group(エヌエスオー・グループ)がAppleの製品やサービスを使用できないようにするための恒久的差し止め命令を求め、このスパイウェアメーカーを相手取って訴訟を起こした。

Appleは声明の中で「さらなる悪用とユーザー被害を防ぐため」に差し止め命令を求めている、としている。

イスラエルに拠点を置くNSO Groupは、顧客である政府がターゲットとするデバイスにある個人データ、写真、メッセージ、正確な位置情報などにほぼ完全にアクセスできるスパイウェアPegasusを開発している。このスパイウェアは、以前は知られていなかったiPhoneソフトウェアの脆弱性を悪用して動作する。ジャーナリスト、活動家、人権擁護者などの対象者の多くは、テキストメッセージで悪意のあるリンクを受け取っていたが、Pegasusはつい最近、ユーザーの操作を一切必要とせずにiPhoneを静かにハッキングすることができるようになった。

関連記事:自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

バーレーン、サウジアラビア、ルワンダ、アラブ首長国連邦、メキシコなど、いくつかの権威主義的な政府がPegasusを使用していることが知られているが、NSOは機密保持契約を理由に、数十の顧客名を公表したり認めたりすることを繰り返し拒否してきた。

米国時間11月23日に起こされたAppleの訴訟は、NSOがiPhoneソフトウェアの脆弱性を発見し、それを利用してターゲットをハッキングすることをはるかに困難にすることを目的としている。

2021年初め、Citizen Lab(シチズン・ラボ)の研究者は、NSO GroupがiPhoneソフトウェアに組み込まれた新しい保護機能を回避できる新規のエクスプロイトを開発した証拠を発見した。BlastDoorとして知られるこの保護機能は、デバイスを危険にさらすのに使われるかもしれない悪意あるペイロードをフィルタリングすることで、NSOスタイルの攻撃を防ごうとAppleが設計したものだ。いわゆるゼロクリック脆弱性は、被害者がリンクをクリックしなくても感染することからこのように呼ばれているが、AppleのBlastDoorの保護機能を回避できるため、Citizen Labは「ForcedEntry」と命名した。この脆弱性は、iPhoneだけでなくすべてのAppleデバイスに影響することが判明したため、Appleは9月にパッチを配布した

関連記事
iPhoneのセキュリティ対策もすり抜けるスパイウェア「Pegasus」のNSOによる新たなゼロクリック攻撃
アップルがiPhone、Macなど全端末でセキュリティアップデート、政府機関も利用するというNSOのゼロデイ脆弱性を修正

Appleによると、NSOはスパイウェアの配信にApple独自のサービスを利用しているとのことだ。Appleは、恒久的差し止め命令を求めることで、NSOが自社のサービスを利用して、顧客である政府機関がターゲットとしている人々に対して攻撃を仕掛けることを禁止したいと考えている。

「Appleは、最も複雑なサイバー攻撃からもユーザーを守るために常に努力しています。自由な社会において、世界をより良い場所にしようとしている人々に対して、国家が支援する強力なスパイウェアを武器にすることは容認できない、という明確なメッセージを伝えるために、本日このような措置を取りました」とAppleのセキュリティチーフであるIvan Krstić(イヴァン・クルスティチ)氏は述べた。「当社の脅威インテリジェンスとエンジニアリングのチームは、24時間体制で新たな脅威を分析し、脆弱性に迅速にパッチを当て、ソフトウェアとシリコンにおいて業界最先端の新たな保護機能を開発しています。Appleは世界で最も洗練されたセキュリティエンジニアリング業務を行っており、今後もNSO Groupのような悪質な国家支援企業からユーザーを守るために、たゆまぬ努力を続けていきます」。

Appleは、ForcedEntryエクスプロイトの標的となった既知の被害者に通知しており、国家が支援するスパイウェアの標的となったことが判明した被害者にも通知していると述べた。

NSO Groupのメディア担当電子メールアドレスに送ったメールは届かなかった。

画像クレジット:Amir Levy / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

バイデン政権が米連邦政府機関に数百のセキュリティバグ修正を指示

米国のBiden(バイデン)政権は、ほぼすべての連邦政府機関に対し、数百におよぶセキュリティバグを修正するよう命じた。それらの中には、10年ほど前に発見されたものも含まれている。

関連記事

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から米国時間11月3日に発令された新たな拘束力のある運用指令では、連邦政府の各機関に対し、ネットワークに「重大な危険」をもたらすと認定された300以上のセキュリティ脆弱性を、6カ月間で修正するよう求めている。ただし、2021年に入ってから見つかったより新しいバグについては、わずか2週間しか修正するための期間が与えられていない。

CISAによると、これらのセキュリティバグは、2014年や2015年にさかのぼるものもあり、連邦機関を狙うサイバー犯罪者にとって「頻繁に攻撃のベクトル」になっているという。

The Wall Street Journal(ウォール・ストリート・ジャーナル紙)が最初に報じたこの指令は、ほとんどの連邦民間機関に適用されるが、軍が運営するネットワークや、国防総省や情報機関の下で運営されるネットワークについては、例外として別個に管理されることになっている。

連邦政府機関は、セキュリティパッチの展開など、サイバーセキュリティへの取り組みの主な管理を任されている。2015年以降、連邦政府機関はまず「重要な」セキュリティバグを公開後1カ月以内に修正することが義務付けられていた。2019年にはそれが拡大され、深刻度の高いバグの修正も含まれるようになった。

しかし、米政府の監視機関は、一部の連邦政府機関がいまだにサイバーセキュリティの基本的な知識を身につけていないと述べている。The Wall Street Journalによると、今回の指令に含まれるバグの多くは、これまで対象となっていなかったもので、一見影響が少ないように見えるバグでも、悪用されれば大きな損害や混乱を引き起こす可能性があることを暗に示している。

「この指令は、連邦民間機関が脆弱性管理を改善し、サイバー攻撃に対するリスクを劇的に減らすために、ただちに行動を起こすべき明確な要件を示しています」と、CISAディレクターのJen Easterly(ジェン・イースタリー)氏は述べている。

「この指令は各連邦民間機関に適用されますが、重要インフラ事業者を含む全国の組織が、同じ脆弱性を利用した攻撃の標的とされていることがわかっています。したがって、すべての組織がこの指令を適用し、CISAの公開目録に挙げられている脆弱性を優先的に緩和することが重要です」と、イースタリー氏はいう。

国家軍事委員会のサイバー小委員会のメンバーであるJim Langevin(ジム・ランゲヴィン)下院議員は、今回のCISAの指令について「ネットワークセキュリティの強化と連邦政府のサイバー衛生の向上に大きく貢献するだろう」と述べている。

画像クレジット:Busà Photography / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

Robloxがハロウィーン期間中3日間ダウンした後に復旧、無料ブリトー原因説を否定

若い世代に絶大な人気を誇るゲームプラットフォームRoblox(ロブロックス)は、米国時間10月31日夜にTwitter(ツイッター)で、全世界でオンラインに戻ったと発表した。

この復旧は、3日間続いたシステム障害の後でのことだった。これは、Robloxのような巨大な規模のテック企業にとっては、やや珍しい連続したブラックアウトだった。同社は先に、原因は「内部システムの問題」であると述べていた。

Robloxの創業者兼CEOであるDavid Baszucki(デイビット・バシュッキ)氏は、業務復旧後の投稿で、「高負荷時にバックエンドサービスの通信に微妙なバグが発生したことが原因で、インフラの中核システムが過負荷状態になった」と説明している。

「これは、外部トラフィックのピークや特定のエクスペリエンスによるものではありません。むしろ、データセンター内のサーバーの数が増えたことが原因で障害が発生しました。その結果、Robloxのほとんどのサービスは、効果的なコミュニケーションと展開ができませんでした」とも。

「実際のバグの診断が困難だった」ため、特定・復旧に「予想以上の時間がかかった」とバシュッキ氏は述べている。

噂では、同ゲームプラットフォームとメキシカンファストフードチェーンChipotle(チポトレ)との間のプロモーションパートナーシップが、ハロウィーンの時期にRobloxプレイヤーに100万ドル(約1億1400万円)相当のブリトーを無料で配布することを計画していたことが、このクラッシュにつながったとされていた。Robloxは、今回の混乱はプラットフォーム上の「体験やパートナーシップ」によって引き起こされたものではないとツイートで否定している。

おりしも、Robloxのクラッシュは、Facebook(フェイスブック)がMeta(メタ)になるというリブランディング発表の直後に起こった。ユーザーがゲームを作ってプレイできるRobloxは、しばしばメタバースの象徴とみなされている。

今回の障害は、ハロウィーンの週末に若いユーザーにいら立ちを与えただけでなく、子供や10代の若者にゲームを売り込んで収入を得ているRobloxの数百万人のデベロッパーにも影響を与えた。Robloxは、8月時点で4300万人以上のデイリーアクティブユーザー(DAU)を抱えている。

この3日間の混乱が、月曜日に市場が開いたときに、Robloxの技術力に対する投資家の信頼を損ねるかどうかはまだわからない。

画像クレジット:Roblox

原文へ

(文:Rita Liao、翻訳:Aya Nakazato)

グーグルがAndroid Enterpriseの「バグ報奨金」プログラムを実施

Android 12はGoogle(グーグル)のPixel端末向けに正式公開され、他機種にも徐々に展開される予定だ。Androidは消費者プロダクトだと思っている人が多いかもしれないが、ここ数年Googleは、これをエンタープライズツールにもするべく力を注いでいる。Android 12にはすでに多くの企業向け機能が標準搭載されているが、GoogleがAndroid Enterpriseに関連して、セキュリティに焦点を当てた新たな取り組みを複数発表したことに驚きはない。

その中には、新たなバグ発見懸賞プログラム、その名も「Android Enterprise Vulnerability Program」(Android Enterprise脆弱性プログラム)があり、Android Enterpriseが動作しているPixel端末の重大なバグを発見した場合に最大25万ドルの報奨金が支払われる。

またGoogleは、広くパートナー・エコシステムと協力してAndroidのZero Trust(ゼロトラスト)セキュリティ・モデルのサポートを拡張する取り組みも行っている。これは、たとえばOkta、Ping、ForgeRockなどのパートナーと組むことで、Android上の認証ワークフローを、WebViewからChromeのCustom Tabsに移行することを意味している。以前からGoogleは、デベロッパーは自社ドメイン以外のコンテンツをレンダリングする際には必ずCustom Tabsを使うべきであると主張してきた。これは性能面だけでなく、Chromeのセーフブラウジング機能がセキュリティを強化するためだ。

「WebViewはウェブコンテンツのレンダリングにおける柔軟で強力なツールですが、Custom Tabsは最新のフル機能を備えているので、アイデンティティープロバイダーは端末のトラストシグナルを集め、従業員の安全を改善し、複数のアプリとウェブを通じてシングルサインオンを行うことが可能になります」、とGoogleのシニアプロダクトマネージャーであるRajeev Pathak(ラジーブ・パサック)氏が米国時間10月21日の発表で説明した。

さらにGoogleは、Android Management APIを拡張して、Microsoft、Citrix、あるいはGoogle自身の提供するEnterprise Mobility Solutionsを使っている企業が「すべてのエンタープライズ機能を、ベストプラクティスとAndroid Enterprise Recommendedの必要要件とともに、いちはやく利用できる」ようにする。

画像クレジット:Steven Puetzer / Getty Images

原文へ

(文:Frederic Lardinois、翻訳:Nob Takahashi / facebook

サイバーセキュリティのFlatt Securityが2億円調達、海外市場ターゲットのプロダクト「Shisho」開発を加速

サイバーセキュリティ事業やウェブエンジニアのための学習プラットフォーム「KENRO」(ケンロー)を提供するFlatt Securityは10月18日、第三者割当増資による約2億円の資金調達(一部借入を含む)を発表した。引受先はB Dash Ventures、フィンテック グローバル、事業会社1社。既存事業の収益と調達した資金により、海外市場を念頭に置いたセキュリティプロダクト「Shisho」(製品のβ版を提供中)の開発速度の向上を目指す。累計調達額は約4億5000万円となった。

Shishoは、グローバルで「組織内のプロダクト開発・運用業務とセキュリティ業務との分断の解消」を実現すべく開発されたプロダクト。技術的な核となる脆弱性の感知・修正エンジンをオープンソースソフトウェア(OSS)としてGitHub上で公開しており、製品のβ版の提供を10月6日より行なっている。

2017年5月設立のFlatt Securityは、サイバーセキュリティ領域を手がける東京大学発のスタートアップ。「セキュリティの力で信頼をつなげ、クリエイティブな世界を実現する」をミッションに掲げており、ユーザーのシステムに情報漏洩やデータ改ざんにつながる脆弱性がないかを調査する「セキュリティ診断」(脆弱性診断)やKENROを提供している。また、インターネット上で利用可能なソフトウェア・ハードウェアの脆弱性を調査する「脆弱性リサーチプロジェクト」を実施している。

ミズーリ州知事が州のデータ漏えいを報じた地元ジャーナリストを告訴すると脅迫

米国ミズーリ州のMike Parson(マイク・パーソン)知事は、州ウェブサイトの深刻なセキュリティ障害を報道したジャーナリストを告訴すると脅したことで前代未聞の非難を浴びている。

先にSt. Louis Post-Dispatch(セントルイス・ポスト・ディスパッチ)紙のJosh Renaud(ジョシュ・ルノー)記者は、 州の初等中等教育局(DESE)のウェブサイトが、10万人を超える教員の社会保障番号(SSN)を露出したことを報じた。問題のSSNは同サイトのウェブページのHTMLソースコード経由で発見が可能で、インターネット接続のある人なら誰でも、ページで右クリックして「ページのソースを表示」を選ぶだけで個人情報を見ることができる。多くの人にとって、ページのソースコードはキーボードの「F12」キーを押すだけで見える。

Post-Dispatch紙はウェブサイトを修正するよう州当局に脆弱性を通知し、州に修正する時間を十分与えるために記事の公開を遅らせた。その後教育局は「教員検索機能は直ちに無効化」され、脆弱性はすでに修正されたことを正式発表した

それで終わるはずだった。当局責任者であれば、不具合を発見して公表前に警告してくれたことについて同紙に感謝するのが一般的だが、ミズーリ州の共和党州知事マイク・パーソン氏は、脆弱性を発見したジャーナリストを「ハッカー」呼ばわりし、新聞社が欠陥を発見したのは「州当局を辱める」ためだったと語った。

「ハッカーとは情報やコンテンツを不正にアクセスする連中です。この人物は自分のやったことの許可を得ていません」と米国時間10月14日の記者会見で知事は語った。「この人物は被害者ではありません。新聞社は州当局に逆らい、教員たち個人情報を漏洩させることで州をはずかしめ自分たちの報道機関の見出しを飾ろうとしたのです」。

関連記事:オープンソース版の登場に対してWhat3Wordsがセキュリティ研究者に法的警告を送付

「私たちのシステムをハッキングする者やそれを幇助する者に対して州は断固として法的措置をとります」と、パーソン氏は言った。さらに知事は本件を郡検察庁に送致した。

当然のことながら、Post-Dispatch紙の記事に対する知事の反応(および「ハッカー」という用語に対する明らかに誤解)は批判を噴出させ、彼自身の党内からも避難を浴びた。共和党のTony Lovasco(トニー・ロバスコ)議員はTwitter(ツイッター)に「知事室がウェブテクノロジーおよびセキュリティ脆弱性の報告に関する業界標準手続きを根本的に理解していないことは明らかです」と指摘し「ジャーナリストがデータ・プライバシーに関して責任を持って警告を発することは犯罪的ハッキングではありません」と付け加えた。

Ron Wyden(ロン・ワイデン)上院議員もパーソン氏の発言を非難するツイートをした。「ジャーナリズムは犯罪ではありません。サイバーセキュリティ研究も同様です。真のリーダーは報道が政府の失敗を暴露したときに攻撃犬を放ったりせず、真摯に問題を修正するものです」。

サイバーセキュリティ業界も直ちにパーソン氏の発言に介入した。ハッカーでSocialProof Security(ソーシャルプルーフ・セキュリティ)CEOのRachel Tobac(ラチェル・トバック)氏は次のようにツイートした。「公共機関の提供するツールで誰でもキーボードのF12を押すだけで個人情報が漏洩されるようなら、そこにあるのはハッキング状態ではなく、重大なデータ漏えい問題です」。

Post-Dispatch紙はパーソン氏の発言を真に受けることもなく、ルノー記者を支持する立場をとっている。同紙は、自社の記者は「自らの発見を教育局に報告することで、州当局が露見や悪用を防げるようする責任ある行動をとったのです」と語った。

「ハッカーとは、悪意や犯罪の意図をもってコンピューターセキュリティを破る人々のことです。今回の行動に、ファイアーウォールやセキュリティの侵害も、悪意も一切ありません」と同紙が声明で語った。「教育局がこれを『ハッキング』と称することで自らの失敗への批判をかわそうとすることに根拠はありません」。

もちろん、パーソン知事は、州がセキュリティ脆弱性を発見、修正するのを手助けしたその犯罪とされる行為の「責任」がPost-Dispatch紙にあると主張しているものの、米国最高裁判所が最近のVan Buren(ヴァン・ビューレン)事件の判決で、本来見ることのできないファイルや情報をアクセスした者は法に違反していると裁定したことを踏まえると、ルノー氏が最終的に有罪判決を受ける可能性は低い。

しかし、もし州当局が法的措置に出れば、訴えがジャーナリズムやセキュリティ研究を萎縮させ、セキュリティ欠陥を発見して当事者に報告したセキュリティ研究者が法的脅威や攻撃に直面する問題がさらに拡大しかねない。

関連記事:オープンソース版の登場に対してWhat3Wordsがセキュリティ研究者に法的警告を送付

画像クレジット:Evgenii Bobrov / Getty Images

原文へ

(文:Carly Page、翻訳:Nob Takahashi / facebook

暗号化チャットアプリSignal開発者がNFTの潜在的な脆弱性にスポットライト、購入すると「ウ〇コ絵文字」に変わるNFT公開

暗号化チャットアプリSignal開発者がNFTの潜在的な脆弱性にスポットライト、購入すると「ウ〇コ絵文字」に変わるNFT公開

TBA via Getty Images

セキュアなメッセージングアプリ「Signal」の創業者で暗号化技術のエキスパート、モクシー・マーリンスパイク氏が、表示するプラットフォームによって紐付けられた画像データの見え方が変わってしまうNFTをリリースしました。また、そのNFTは購入したのウォレットにウ〇コの絵文字( )を表示するとのこと。

NFTは、アート作品や貴重なメディアデータのオリジナル性と所有権を証明するためにブロックチェーン上に保存されるトークンのこと。デジタル鑑定書とでも言えばわかりやすいかもしれません。

しかし、マーリンスパイク氏がリリースしたNFT「At my whim, #1」は、他の誰かがそれを購入した際にデジタルウォレット内にウ〇コの絵文字が表示されます。さらにNFTプラットフォームのOpenSeaと、NFT販売所のRaribleそれぞれで、紐付けられたはずの画像の見え方が異なるとのこと。

マーリンスパイク氏はこのNFTを使った悪戯について、紐付けられたものの所有権を証明するはずのNFTが持つ脆弱性にスポットライトを当てることが目的だとしています。

NFTは技術的にはブロックチェーン上に保存されるユニークなデジタルトークンです。しかしほとんどの場合、実際にそこに保存されるのは記録だけで、アート作品などのデータは別のどこかに保管されることになります。

つまり、NFTに高額の代金を支払ってオリジナルデータとされる画像を購入したつもりでも、肝心のオリジナルデータはブロックチェーンとは異なるところにあり、保存先のなすがままに「いつでもNFTの画像を別のものに差し替えられる」可能性があるということです。

マーリンスパイク氏はOpenSeaおよびRaribleの説明書きに「あなたはこのファンクションコール」を所有しているかもしれませんが、私はファンクションそのものを所有しています」と記しています。

(Source:Moxie Marlinspike(Twitter)Engadget日本版より転載)

アップルがiOS 15.0.2リリース、「活発に悪用されている」バグのセキュリティを修正

Apple(アップル)は米国時間10月11日、活発に悪用されているゼロデイバグに対する「重要なセキュリティアップデート」を含む、iOS 15およびiPadOS 15の2回目のマイナーアップデートを公開した。

現在、サポート対象デバイスでダウンロード可能なiOS 15.0.2およびiPadOS 15.0.2には、アプリケーションがデバイスの最高レベルのアクセス権を持って任意のコードを実行できるメモリ破壊の脆弱性に対する修正が含まれていると、Appleはセキュリティサポートページで述べている。

関連記事:【インタビュー】アップル幹部が語る次期iPad OSのメンタルモデルとマルチタスクの強化

この脆弱性の詳細は今のところ明らかにされていないが、Appleは「活発に悪用されている可能性がある」と警告している。したがって、すぐにでもデバイスをアップデートすることをお勧めする。

今回のアップデートでは、MagSafe対応のiPhoneレザーウォレットが「探す(Find My)」サービスに接続できない問題「持ち物を探す(Find My‌ Items)」タブにAirTagsが表示されないことがあるバグ、CarPlay(カープレイ)でオーディオアプリが開けなかったり、再生中に接続が切断される問題など、iOS 15およびiPadOS 15の他の多くの不具合にも対応している。また、メッセージアプリからライブラリに保存した画像が、関連するスレッドやメッセージを削除すると削除されてしまう不具合も修正された。

Appleは現在、最初のメジャーアップデートとなるiOS 15.1のテストを行っている。このアップデートでは、FaceTime(フェイスタイム)のSharePlayが再び有効になり、iPhone 13 ProおよびPro Maxのカメラの新機能が追加され、Apple Walletに新型コロナウイルスの予防接種証明カードを追加できるようになる。おそらく、いくつかのバグ修正も含まれるだろう。

関連記事
アップルがFaceTimeのアップデートを発表、Androidユーザーも利用可能に
アップルがiPhone、Macなど全端末でセキュリティアップデート、政府機関も利用するというNSOのゼロデイ脆弱性を修正

画像クレジット:Apple

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

Apple Watchのロック解除バグを修正するiOS 15アップデート提供開始

Apple Watchでロックを解除するようにiPhoneを設定し、最近iPhone 13にアップグレードした人は、ソフトウェアのバグで、この機能を継続して使用することができないかもしれない。ただし、すでにありがたいことに修正プログラムが登場しているので、それをインストールすれば「Face ID」に頼る必要はない(もちろんパスコード入力の必要もない)。最新のiOS15アップデート(iOS 15.0.1)が登場している。変更履歴によると「iPhone 13モデルで『Apple WatchでiPhoneのロック解除』が機能しなかったことがある問題」のバグ修正が行われている。

Appleは2021年初めにwatchOS 7.4でApple Watchでのロック解除機能を追加し、外出中にマスクをしていてもiPhoneに簡単にアクセスできるようにした。この機能は、その後のiOSとアップデートで壊れ、修正するために別の無線パッケージが必要だった。Appleは最近、iPhone 13の一部のモデルでこの機能が動作しないことを認め、近日中に解決策を提供すると述べていた。iPhone 13は9月24日に販売が開始されたばかりであり、少なくともこの問題は早期に発見されたといえるだろう。アップデートが数日後に行われたのは良いことだが、ここ数カ月の間に同社がこの機能に関して抱えていた問題を見るのは興味深いことだ。

編集部注:本稿の初出はEngadget。執筆者のCherylnn LowはEngadgetのレビューエディター。

画像クレジット:AleksandarGeorgiev / Getty Images

原文へ

(文:Cherylnn Low、翻訳:Katsuyuki Yasui)

Twitterがモバイルアプリで発生する「TL上で読んでいるツイートが突如消える不具合」を2か月以内に修正と発表

Twitterがモバイルアプリで発生する「TL上で読んでいるツイートが突如消える不具合」を2か月以内に修正と発表

OPA Images via Getty Images

Twitterの米国サポートアカウントが、モバイルアプリで発生している「タイムライン上で読んでいるツイートが突然消えてしまう」不具合について、今後2か月以内にアップデートを行うと発表しました。

この不具合は、タイムラインに表示されているツイートを読んでいる最中に突然画面が更新され、そのツイートが消える(見失ってしまう)というもの。この原因は、読んでいる対象のツイートに誰かが返信したり、スレッド化された場合に自動更新が発生するためとのこと。

発表のツイートでは、この現象がイライラさせられるものであることは分かっているので、改善に取り組んでいる、としています。

タイムライン関連の不具合としては、9月初めにも、iOSアプリで勝手に先頭にスクロールしてしまうという不具合を修正したばかり。昨今のTwitterは積極的に新機能のテストも行っていますが、地道に不具合対応もしている印象です。

また、タイムライン関連ではありませんが、音声チャットのスペースで、ホストがクラッシュした場合に2分以内なら視聴者がルームに残ったまま再接続できるようになりました。そもそもクラッシュしないようにはできないのかとも思いますが、暫定対応としては助かる人も多そうです。

(Source:TwitterEngadget日本版より転載)

ウェブホストEpikはハッキング数週間前に重大なセキュリティ上の欠陥を警告されていた

ハクティビスト集団「アノニマス」に関連するハッカーたちは、ウェブホストおよびドメインレジストラであるEpik(エピック)から、ギガバイト単位のデータをリークしたと発表した。Epikは、主流のプラットフォームから追い出されたGabParler8chanなどの極右サイトの避難先となっている。

このグループは、先に公開されたデータのトレントファイルに添付された声明の中で、180ギガバイトは、Epikの「実際の所有者と管理者を追跡するために必要なすべて」を含む「10年分」の企業データに相当すると述べている。グループは、顧客の支払い履歴、ドメインの購入と譲渡、そしてパスワード、認証情報、従業員のメールボックスを手に入れたと主張した。盗まれたデータのキャッシュには、同社の内部ウェブサーバーのファイルや、エピックに登録されているドメインの顧客記録を含むデータベースも含まれている。
関連記事
極右ソーシャルネットワークGab、GoDaddyにドメイン登録を抹消されサービス停止
極右お気に入りのレジストラが「検閲に強い」サーバーを構築中

ハッカーたちは、どのようにしてデータを入手したのか、いつハッキングが行われたのかについては言及していないが、最新のファイルのタイムスタンプによると、ハッキングが行われたのは2月下旬のようだ。

Epikは当初、情報漏洩の事実を知らないと記者に述べていたが、創業者であり最高経営責任者であるRobert Monster(ロバート・モンスター)氏が9月15日の水曜日に送信したメールは、「疑惑のセキュリティ事件」 についてユーザーに警告していた。

TechCrunchはその後、Epikが情報漏洩の数週間前に重大なセキュリティ上の欠陥を警告されていたことを知った。

セキュリティ研究者のCorben Leo(コーベン・レオ)氏は、1月にLinkedInを通してEpikの最高経営責任者であるモンスター氏に、ウェブサイトのセキュリティ的脆弱性について連絡していた。レオ氏は、同社が脆弱性の報告に対して報奨金を払うバグバウンティや、他の脆弱性の報告の方法を用意しているかどうかを尋ねた。LinkedInのメッセージは既読になったが、返事はなかった。

レオ氏がTechCrunchに語ったところによると、EpikのWHOISページでパブリックドメインの記録のPDFレポートを生成するために使われているライブラリには、10年来の脆弱性があり、会社のパスワードなどの認証なしに、誰でもリモートで内部サーバー上で直接コードを実行することができたという。

「このコードを貼り付けるだけで、そのサーバー上であらゆるコマンドを実行することができる」とレオ氏はTechCrunchに語った。

レオ氏は、公開されているWHOISページから、サーバーにユーザー名を表示するよう求める概念実証用(PoC)のコマンドを実行し、Epikの内部サーバー上でコードが実行できることを確認した。しかし、違法になるため、サーバーがどのようなアクセス権を持っているかについてはテストしなかったという。

アノニマス・ハクティビストが、レオ氏が発見したのと同じ脆弱性を利用したかどうかは不明だ(盗まれたキャッシュの一部には、EpikのWHOISシステムに関連するフォルダも含まれているが、ハクティビストたちは連絡先を残さず、コメントを得ることができなかった)。しかし、レオ氏は、ハッカーが同じ脆弱性を利用し、そのサーバーがネットワーク上の他のサーバー、データベース、システムにアクセスできた場合、そのアクセスによって、2月にエピックの内部ネットワークから盗まれた種類のデータにアクセスできた可能性があると主張している。

レオ氏は、TechCrunchに対し「ハッカーは私が見つけた脆弱性を利用したと思っている」と述べ、その欠陥が修正されたことを確認した。

モンスター氏は、LinkedInでレオ氏のメッセージを受け取ったことを確認したが、情報漏洩についての質問には答えず、脆弱性がいつ修正されたかについても言及しなかった。「賞金稼ぎが自分たちのサービスを売り込んでくる。私は、そのうちの1人だと思ったんだ」とモンスター氏はいう。「私がそれに対応したかどうかわからない。あなたはすべてのLinkedInのスパムメールに答えていますか?」。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Yuta Kaminishi)

人気スマートホームセキュリティ製品の遠隔操作で解除できる欠陥を研究者が発表

あるサイバーセキュリティ企業によると、人気の高いスマートホームセキュリティシステムに、セキュリティを完全に解除できる脆弱性があることがわかったという。

サイバーセキュリティ企業Rapid7(ラピッドセブン)は、Fortress Security Stor(フォートレス・セキュリティ・ストア)の「S03」に脆弱性を発見した。Fortress S03は、Wi-Fiを利用してカメラ、モーションセンサー、サイレンをインターネットに接続し、モバイルアプリを使ってどこからでも自宅をリモート監視できるホームセキュリティシステムだ。

また、このセキュリティシステムは、無線制御のキーフォブを使って、玄関の外から家の防犯装置を作動 / 解除することもできる。

しかし、Rapid7によると、このシステムには認証されないAPIと、簡単に傍受できる暗号化されていない無線信号を使用しているという脆弱性があったという。

Rapid7は、セキュリティ研究者がバグを修正するために企業に与える標準的な期間である3カ月間を経てもFortressら連絡がなかったため、米国時間8月31日にこれら2つの脆弱性の詳細を公にした。Rapid7によれば、Fortressにeメールで知らせてから1週間後、同社がコメントを出さずにサポートチケットを閉じたことからのみ、Fortressが認識したことを確認できたとのこと。

FortressのオーナーであるMichael Hofeditz(マイケル・ホフェディッツ)氏は、TechCrunchが送った数通のメールに、開封はしたものの、返信はしなかった(メール開封確認機能からそれがわかった)。Fortressの代理としてマサチューセッツ州の法律事務所であるBottone Reiling(ボットーネ・レイリング)から送られてきたメールでは、この主張を「虚偽で、意図的に誤解を招き、名誉を毀損するもの」としているが、虚偽であると主張する具体的な内容やFortressが脆弱性を改善したかどうかについては言及していない。

Rapid7によると、Fortressの認証されないAPIは、サーバーがリクエストが正当であるかどうかをチェックすることなく、インターネットを介してリモートで問い合わせることが可能だという。住宅所有者の電子メールアドレスを知ることができれば、サーバーはデバイスに固有のIMEIを返し、そのIMEIを使ってシステムをリモートで解除することができると、セキュリティ研究者は述べている。

もう1つの欠陥は、セキュリティシステムと住宅所有者のキーフォブの間で送信される暗号化されていない無線信号だ。電波が適切に暗号化されていないため、Rapid7が試したところ、これを利用して「arm(防犯作動)」と「disarm(防犯解除)」の信号を捕捉し、それらの信号を再生して送信することができたという。

Rapid7のArvind Vishwakarma(アルヴィンド・ヴィシュワカルマ)氏によれば、住宅所有者はパスワードの代用として、長くてユニークな文字列を持つ+タグ付きの電子メールアドレスを追加することができるとのこと。しかし、無線信号のバグについては、Fortressが対処するまで、住宅所有者ができることはほとんどない。

Fortressは、この脆弱性を修正したのか、もしくは修正する計画があるのかを明らかにしていない。Fortressがハードウェアを交換することなく、脆弱性を修正できるかどうかも不明だ。Fortressが自社でデバイスを製造しているのか、それとも他のメーカーからハードウェアを購入しているのかということもわかっていない。

関連記事
グーグルがホームセキュリティ製品「Nest」カメラとドアベルを刷新、日本でも発売
スマート配電盤のSpanがAmazon Alexaと統合、家庭内の電気系統が音声操作で制御・監視可能に
価格を大幅に抑えた家庭用スマート分電盤の新製品をSpanが発表
画像クレジット:D. Babbage / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

解散かリブランド?カプコンも襲ったランサムウェア「ラグナロッカー」の攻撃者集団が復号キーを公開

2019年から活動していたランサムウェアギャングで、パッチが適用されていないCitrix ADCサーバーに対し攻撃を仕かけたことで有名になったRagnarok(ラグナロク)が、活動を停止するとともに被害者のために無料で復号キーを公開した。

Asnarok(アスナロク)と呼ばれることもあるこの集団は、先週、ダークウェブポータルにリストアップされていた12の被害者組織をすべて、ファイルを復元する方法についての短い説明に置き換えた。これにともない、Emsisoftの専門家がマスター復号鍵が含まれていることを確認した復号プログラムも公開された。ランサムウェア被害者のデータ復号化を支援するセキュリティ企業として知られるEmsisoftは、Ragnarokランサムウェア用のユニバーサルデクリプターもリリースしている。

Ragnarokは、ランサムウェア「Ragnar Locker(ラグナロッカー)」を使ってITネットワークを狙うことでよく知られている。このランサムウェアは、Citrix ADCの脆弱性を悪用して、(今や悪名高いWannaCry攻撃の背後にあるのと同じ脆弱性である)EternalBlueに脆弱なWindowsコンピュータを検索して数十の犠牲者を出し、Ransomwhe.reの支払いトラッカーによると、450万ドル(約4億9500万円)以上の身代金支払いを受けている。

関連記事:ランサムウェアWannaCryの猛威から2年、まだ100万台以上のコンピュータが危険な状態

2020年4月、このサイバー犯罪者集団はポルトガルの大手エネルギー企業EDPから10テラバイトのデータを盗み、1090万ドル(約12億円)の身代金を支払わなければデータを流出させると脅迫した。さらに同グループは、イタリアの大手酒類メーカーCampari Group(カンパリ・グループ)のサーバーから、銀行取引明細書、従業員記録、著名人との契約書など、最大2テラバイトのデータを盗み出し、1500万ドル(約16億5000万円)の身代金の引き渡しを要求した。

また、2020年11月には「ストリートファイター」「バイオハザード」「デビル メイ クライ」などのタイトルで知られる日本の大手ゲーム会社カプコンも、この短命に終わったランサムウェアギャングの標的となった。この集団は、カプコンのシステムから39万人の顧客、ビジネスパートナー、その他の外部関係者の個人情報を盗んだとされている。

関連記事:「バイオハザード」のカプコンがランサムウェア感染し、データ漏洩

今回の活動停止のニュースは、Bleeping Computerが米国時間8月26日に最初に報じた

正式な解散声明は出ていないため、Ragnarokがなぜ活動を終了すると決めたように見えるのかは不明だ。しかし、他のランサムウェアギャングも、2021年初めにランサムウェアを国家安全保障上の脅威とした米国政府からの圧力の高まりに直面して、同様の自滅戦術を取っている。JBS攻撃の背後にあったギャングであるREvilはインターネット上からミステリアスに消え、Colonial Pipeline(コロニアル・パイプライン)事件の攻撃者グループDarkSideも引退を発表している。

Ziggy Avaddon、SynAck、Fonixなどの他のランサムウェアギャングも、2021年に入ってハッキングから引退し、被害者がサイバー攻撃から立ち直るための復号鍵をそれぞれ手放している。

もちろん、Ragnarokの消滅が永久的なものなのか、それとも単にリブランドするだけなのかは今のところ不明だ。悪名高いランサムウェアギャングのDoppelPaymentは、数カ月間活動を停止した後、最近「Grief Ransomware」として再び姿を現した。

Recorded Futureのコンピュータセキュリティインシデント対応チームのAllan Liska(アラン・リスカ)氏は「一時的なものだとは思いますが、新たな勝利を目にするのはうれしいです」とツイートしている。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない
画像クレジット:Bryce Durbin / TechCrunch / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

米医療系スタートアップがウェブサイト閉鎖、脆弱性で約6万件のコロナ検査結果が漏えいリスクに

カリフォルニア州を拠点とし、ロサンゼルス全域で新型コロナウイルス検査を提供している医療系スタートアップが、顧客が検査結果にアクセスするために使用していたウェブサイトに他人の個人情報にアクセスできる脆弱性が見つかったため、ウェブサイトを閉鎖した。

Total Testing Solutions(TTS)は、ロサンゼルス市内に10カ所の新型コロナウイルス検査施設を持ち、毎週、職場やスポーツ会場、学校などで「数千件」の新型コロナ(COVID-19)検査を処理している。検査結果通知の準備が整うと、顧客は結果を受け取るためのウェブサイトへのリンクが記載されたメールを受け取るようになっている。

しかし、同社のある顧客によると、ウェブサイトのアドレスに含まれる数字を一桁増減させることで、他の顧客の情報にアクセスできる脆弱性を発見したとのこと。それにより、その顧客は他の顧客の名前やテストの日付を見ることができた。また、新型コロナウイルスの検査結果にアクセスするためには生年月日が必要だが、この脆弱性を発見した顧客は、推測もしくはブルートフォース攻撃を行うのに「時間はかからない」と語った(30歳以下の人であれば、最大で誕生日を約1万1000回推測するだけだ)。

検査結果のウェブサイトは、顧客に電子メールアドレスとパスワードの入力を促すログインページで保護されているが、ウェブアドレスの変更や他の顧客の情報へのアクセスを可能にする脆弱な部分は、ログインプロンプトを完全に回避してウェブから直接アクセスすることができた。

その顧客は、誰かが発見したり悪用する前に(すでに悪用されていた可能性もあるが)Total Testing Solutionsが脆弱性を修正できるよう、脆弱性の詳細をTechCrunchに伝えた。

TechCrunchは顧客の調査結果を検証し、各結果コードを列挙することはしなかったものの、限定的なテストにより、この脆弱性によって約6万件の検査結果が危険にさらされている可能性があることがわかった。TechCrunchは、TTSのチーフメディカルオフィサーであるGeoffrey Trenkle(ジェフリー・トレンクル)氏にこの脆弱性を報告した。同氏は、発見された検査の数には異議を唱えなかったが、脆弱性は、検査結果を提供するために以前使用されていたオンプレミスのレガシーサーバーに限定されており、そのサーバーはその後シャットダウンされ、新しいクラウドベースのシステムに置き換えられたと述べた。

トレンクル氏は声明で次のように述べた。「当社は最近、以前のオンプレミスサーバーに潜在的なセキュリティ脆弱性があり、URL操作と生年月日のプログラミングコードを組み合わせて、特定の患者の名前と検査結果にアクセスできる可能性があることを認識しました。この脆弱性は、クラウドベースのサーバーが構築される前に公共の検査施設で得られた患者情報に限られていました。この潜在的な脅威に対応するため、当社は直ちにオンプレミスのソフトウェアを停止し、そのデータを安全なクラウドベースのシステムに移行する作業を開始して、将来のデータ漏洩のリスクを防ぎました。また、サーバーのアクセスログを確認し、認識されていないネットワーク活動や異常な認証失敗を検出するなど、脆弱性の評価を開始しました」。

同氏は、クラウドサーバーがいつから利用可能になったのか、また、レガシーとされるサーバーに2021年7月の時点でテスト結果が存在した理由については言及を避けた。

「現在TTSでは、以前のサーバーの問題により、保護されていない医療情報が漏洩した事実を認識していません。当社の知る限り、実際に患者の医療情報が漏洩したことはなく、今後のリスクはすべて抑制されています」とトレンクル氏は述べている。

トレンクル氏は、同社は州法に基づく法的義務を遵守すると述べたが、脆弱性について顧客に通知する予定があるかどうかについては明確にしなかった。企業は州の司法長官や顧客に脆弱性を報告する義務はないが、不正アクセスがあったかどうか判断しにくい場合もあることから、多くの企業が念のため報告している。

TTSのLauren Trenkle(ローレン・トレンクル)CEOは、一連の電子メールでコピーされていたが、コメントしなかった。

関連記事
米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売
保険テック系スタートアップBackNineの過失で米大手保険会社の数十万件の申込書が流出
PR TIMESが会員企業の発表前情報に対する不正アクセス公表

カテゴリー:セキュリティ
タグ:ロサンゼルスバグ / 脆弱性新型コロナウイルスデータ漏洩

画像クレジット:Allen J. Schaben / Los Angeles Times / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

企業はバグバウンティを導入すべき!「最も安全な暗号資産取引所」を目指すクラーケンがハッカーに協力を要請するワケ

企業はバグバウンティを導入すべき!「最も安全な暗号資産取引所」を目指すクラーケンがハッカーに協力を要請するワケ

編集部注:この原稿は千野剛司氏による寄稿である。千野氏は、暗号資産交換業者(取引所)Kraken(クラーケン)の日本法人クラーケン・ジャパン(関東財務局長第00022号)の代表を務めている。Krakenは、米国において2011年に設立された老舗にあたり、Bitcoin(ビットコイン)を対象とした信用取引(レバレッジ取引)を提供した最初の取引所のひとつとしても知られる。

暗号資産取引所クラーケンは、取引所によるセキュリティ対策の一環としてバグバウンティ・プログラム(bug-bounty program)を実施しています。バグバウンティとは、報奨金制度の一種です。企業が自社の製品・サービスに対する調査を公開で依頼し、世界中のホワイトハッカーから製品やサービスの脆弱性(バグ)の発見・報告を受け、ハッカーに対して報奨金を支払う仕組みを指します。本稿では、なぜクラーケンがバグバウンティを採用しているか、そして、企業だけでなくコミュニティ全体でセキュリティ対策をすることが重要である理由について、解説します。

暗号資産業界全体への貢献も目指す、社内特別チーム「セキュリティ・ラボ」を構築

クラーケンにとってセキュリティは最も重要な事項です。社内には世界最高クラスのセキュリティ専門家やエンジニアが多数在籍しており、常に我々のプロダクト・サービスが正常に機能しているか監視しています。

我々は、セキュリティの専門家集団が在籍する特別チームを「セキュリティ・ラボ」と呼んでいます。

セキュリティ・ラボは、クラーケンのセキュリティがいくら強化されても、暗号資産業界全体のセキュリティ向上がなければ意味がないと考えています。このため、クラーケンの顧客を含めて業界で広く使われている第三者企業開発のプロダクト・サービスをテストし、脆弱性を公開したりセキュリティに対する知識を深めるための教育コンテンツを展開したりしています。

セキュリティコミュニティの力を借りる「バグバウンティ・プログラム」

このようにクラーケンは、自社のセキュリティ・ラボの活動を中心に業界全体でシステム上の欠陥をなくす活動を行う一方で、バグバウンティ・プログラムとして業界全体もしくはセキュリティコミュニティのサポートを得ることで、クラーケンのセキュリティを改善するための取り組みも実施しているのです。

具体的には、顧客や第三者の企業、ホワイトハッカーなどにバグを発見してもらった場合、その対価として謝礼をお支払いするとともに、ウェブサイトの「ウォール・オブ・フェーム」に氏名を記載させていただいています。

企業はバグバウンティを導入すべき!「最も安全な暗号資産取引所」を目指すクラーケンがハッカーに協力を要請するワケ

クラーケンの「ウォール・オブ・フェイム」(抜粋)

謝礼に関しては、クラーケンでは、バグを報告いただいた方に対して、最低500ドル(約5万5000円)相当のビットコインを差し上げています。特に深刻なバグの場合は、報告いただいたバグの重要度に応じて、500ドル以上の謝礼をお支払いしています。

なお、バグ報告は、bugbounty@kraken.com宛てにお送りいただいています。

脆弱性のレベル

クラーケンでは、脆弱性のレベルを「重大」「高い」「中程度」「低い」に分類しています。

「重大」は、クラーケンやクラーケンの顧客の多くに直接的かつ即時的にリスクがあるケースです。例えば、クラーケンのサインインやパスワード、2FA(2要素認証)を迂回するケースや顧客情報、内部のプロダクションシステムへのアクセスが該当します。

「高い」は、アクセス権限がない機密情報を読み込んだり修正したりする攻撃です。コンテンツセキュリティポリシー(CSP)を迂回するクロスサイトスクリプティング(XSS)や、公開情報から重要な顧客データを発見されることなどが含まれます。

「中程度」は、限定的ではあるものの、アクセス権限がない情報を読み込んだり修正したりする攻撃です。リスクの低い行為に対するクロスサイトリクエストフォージェリ(CSRF)や、アクセス権限がないにもかかわらず、内部のプロダクションシステムの機密ではない情報を公開することなどが含まれます。

「低い」は、機密情報などへの入手にはつながらない、かなり限定的な範囲でのデータへのアクセスを想定しています。

実は費用対効果が抜群、バグバウンティ・プログラムのススメ

クラーケンは、暗号資産関連企業を含むすべての企業がバグバウンティ・プログラムを導入すべきだと考えます。

なぜなら、バグバウンティ・プログラムの費用対効果は「抜群」といえるからです。

実は、データ流出による被害コストが1件あたり400万ドル(約4億4000万円)であることを考えると、バグバウンティ・プログラムの導入費用はかなりお手頃です。もちろんバグバウンティ・プログラム導入前には多く事項を検討しなくてはなりませんが、外見的には「研究者が脆弱性を報告するためのメールアドレスの設定」、「ふるい分けをするため専門知識のある社員を配属」、そして「報酬体系の確立」を行うだけでプログラムの体制は整います。

ハッカーや優秀なセキュリティ研究者と協力し、コミュニティとしてセキュリティを高めることの重要性

クラーケンは、取引所だけがセキュリティ対策を万全にすれば良いと考えておらず、コミュニティ全体の協力の下でセキュリティレベルの底上げを図ることが重要だと考えます。クラーケンの最高セキュリティ責任者(CSO)のニック・ペルコッコは、クラーケンの強固なセキュリティに自信と信頼を持っているものの、「1つの企業だけで常に100%の安全性を保てる企業は存在しない」と細心の注意を払っています。

では、コミュニティのどんな人々が協力をしてくれるのでしょうか?バグバウンティ・プログラムに関してよく耳にするのは「ハッカー」です。

日本においては、「ハッカー」と聞くと不正にアクセスして重要な情報や資金を盗む集団というネガティブな印象を持つ人が少なくないかもしれません。しかし、ニック・ペルコッコは「我々も含む多くのホワイトハッカーは、より安全な世界を見たいと思っているのが本音だ」と指摘し、次のように述べています。

「我々は、セキュリティのコミュニティがシステムやプロダクトの脆弱性を発見することで企業やプロジェクトに多大な恩恵をもたらすと信じているし、我々はそのことを会社をあげて大いに歓迎したい」

バグバウンティ・プログラムとは、こうした善意あるハッカーが脆弱性を報告し、報酬を得るための安全なプラットフォームといえます。

コミュニティから協力を募り、脆弱性に関してある意味で「オープン」な姿勢を持つクラーケンは、セキュリティの脆弱性に関する情報を隠したり曖昧にしたりする企業と対照的です。クラーケンは「透明性こそセキュリティと暗号資産の核心的な要素」であり、「(オープンな姿勢こそ)我々を強くし、我々の競争力を高める」(ニック・ペルコッコ)と考えます。

実際、クラーケンはバグバウンティに参加する世界屈指の優秀なセキュリティ研究者によっていくつかのアプリのテストを実施してもらいました。彼らの一部は小さな脆弱性を発見し、クラーケンは本物の攻撃者が悪事を働く前にその脆弱性への対応に成功しました。

2020年は、クラーケンで報酬の支払い対象となったバグ・バウンティは29件あり、平均の報酬額は775ドル(約8万5000円)でした。

クラーケンは、1つの取引所としてのセキュリティ対策に加えて、コミュニティ全体からのサポートによって、外部評価機関から安全面で一流の取引所であるという評価を得られたのです。

関連記事
Twitterが「業界初」機械学習アルゴリズムの「バイアス」を対象とする報奨金コンテスト実施
フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加
曖昧だから良い? 米国の暗号資産規制がイノベーションを取りこぼさないワケ
米サイバーセキュリティ庁CISAがハッカー向けにセキュリティバグ報告用プラットフォーム開設
今さら聞けないNFT:「コンテンツ大国」日本のクリエイターが真剣になる理由
NFTアート:何が価値の源泉なのか? 新たな投資スタイルへの道を歩むNFT
ソニーがPS4のバグ発見に500万円超の賞金を出すと発表

カテゴリー:寄稿
タグ:暗号資産 / 仮想通貨(用語)クラーケン / Kraken(企業・サービス)ハッカー / ハッキング(用語)バグ / 脆弱性(用語)バグバウンティ / バグ報奨金制度(用語)ブロックチェーン(用語)

画像クレジット:Ewan Kennedy on Unsplash