タグ: バックドア(用語)

2021年に知ることになったサイバーセキュリティの6つのポイント

この12カ月間におけるサイバーセキュリティは、暴れ馬のようだった。サイバーセキュリティで何もかもが壊れ、あとはそのことを認めるだけとなり、そして今年、2021年は、特に年末にかけて何もかもが一度に壊れた。しかし、何はともあれ、私たちはこれまで以上に多くのことを知り、この年を終えることになる。

この1年で、私たちは何を学んだのだろうか。

1.ランサムウェアの被害で大きいのはダウンタイムであり身代金ではない

ファイルを暗号化するマルウェアの被害が続いている。2021年だけでもランサムウェアは町全体にオフラインを強いることになり、給与の支払いをブロックし、燃料不足を招いた。企業のネットワークの全体が、数百万ドル(数億円)の暗号資産と引き換えに人質に取られたからだ。米財務省の推計では、ランサムウェアの2021年の被害額は、これまでの10年を合わせた金額よりも多い。しかし研究者たちによると、企業の被害の大半は、生産性の落ち込みと被害後の困難な後始末作業によるものだ。後者には、インシデント対応や法的サポートも含まれる。

関連記事:ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

2.FTCはモバイルのスパイウェアメーカーに被害者の通知を命じることができる

SpyFoneは、2021年9月の連邦取引委員会(FTC)からの命令により米国で禁止される初めてのスパイウェアになった。FTCはこの「ストーカーウェア」アプリのメーカーを、人目につかない秘かなマルウェアを開発し、ストーカーや米国ないの悪意を持つ者が、被害者のスマートフォンのメッセージや位置情報の履歴などを知られることなくリアルタイムでアクセスできるようにしたと訴えた。さらにFTCはSpyFoneに、同社が不法に集めたデータをすべて削除し、同社のソフトウェアによってスマートフォンをハックされた人たちに通知することを命じている。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

3.サイバーセキュリティへのVCの投資は2020年に比べて倍増

2021年はサイバーセキュリティへのVCの投資が、記録破りの年だった。8月には、投資家たちが2021年の前半に115億ドル(約1兆3242億円)のベンチャー資金を投じたことが明らかとなっている。これは2020年の同時期に投じられた47億ドル(約5412億円)の倍以上の額となる。最大の調達はTransmit Securityの5億4300万ドル(約625億円)のシリーズAと、Laceworkの5億2500万ドル(約605億円)のシリーズDだった。投資家たちは、クラウドコンピューティングとセキュリティのコンサルティング、およびリスクとコンプライアンス方面の好調が投資に火をつけたという。

関連記事
パスワードのない世界を目指すTransmit Securityがサイバーセキュリティ史上最大のシリーズAで約601億円調達
クラウドセキュリティのLaceworkが2年連続収益300%増で約545.7億円のシリーズD投資調達

ハイテク企業がユーザーデータの最大の保有者であることは周知の事実であり、意外にも、犯罪捜査のための情報を求める政府のデータ要求の頻繁な対象になっている。しかし、Microsoftは2021年、政府が検索令状に秘密命令を添付する傾向が強まっていることを警告し、ユーザーのデータが調査の対象となる時期をユーザーに通知しないようにしている。

関連記事:米政府による顧客データ要求の3分の1が秘密保持命令をともなう、マイクロソフト幹部が乱用に警鐘

Microsoftによると、法的命令の3分の1は秘密保持条項付きで、その多くは「意味のある法的分析や事実分析に裏づけられていない」と、同社の顧客セキュリティー・トラストの責任者Tom Burt(トム・バート)氏はいう。Microsoftは、秘密保持命令は技術産業全体に蔓延していると述べている。

5.FBIはサイバー攻撃の後処理の一環として、プライベートネットワークへのハッキングを許される

2021年4月にFBIは、この種の操作としては初めてハッカーが数週間前に放置した米国の数百に及ぶ企業のメールサーバーにあるバックドアの削除を開始した。MicrosoftのメールソフトウェアであるExchangeの脆弱性を大規模に悪用して、ハッカーが米国全域の何千ものメールサーバーを攻撃し、連絡先リストと受信箱を盗んだ。非難されているのは中国だ。その犯行により数千のサーバーが脆弱性を抱えたままであり、企業は緊急に欠陥を修復すべきだが、しかしパッチは残されたバックドアを削除しないので、ハッカーが戻ってきて容易にアクセスを取得できる。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

テキサス州の連邦裁判所が操作を許可し、FBIはハッカーが使ったのと同じ脆弱性を利用してバックドアを削除した。裁判所による操作許可の根拠は、今後の再犯への恐れだ。それにより、悪人たちによる今後の悪用を防いだ。同様の「ハックとパッチ」操作でボットネットを駆除した国は他にもあるが、サイバー攻撃の後でFBIがプライベートネットワークを効果的に掃除したのは、知られているかぎり、これが初めてだ。

6.詐欺師たちが自動車保険のサイトを襲って失業手当を詐取

2021年は複数の保険企業が、ありえないがますます普通になってきた詐欺のターゲットになった。Metromileによると、保険の見積もりを保存する同社のウェブサイトにバグがあり、運転免許証の番号が盗まれた。そして数カ月後には、Geicoもターゲットになり、同じく運転免許証の番号を盗み取られている。

関連記事
米自動車保険スタートアップMetromileがウェブサイトに侵入者が運転免許証番号を取得できるバグがあったと報告
米国2位の自動車保険大手Geicoが数カ月にわたりウェブサイトから運転免許証番号を盗まれていたと認める

Geicoのデータ侵犯報告は、盗んだ免許証番号を使って、ユーザーの名前で「失業手当を申請した」詐欺師たちを非難した。米国の多くの州では、州の失業手当を申請する前に運転免許証を必要となる。自動車保険会社ならその番号がわかるので、ターゲットにされたのだ。

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

電子フロンティア財団が「アップルの大規模な監視計画に反対」と声明発表、請願書への署名を呼びかけ

電子フロンティア財団が「アップルの大規模な監視計画に反対」との声明を発表、請願書への署名を呼びかけ

EFF

アップルは今月初め、児童虐待対策をiPhoneやMacに導入するとして、2つのしくみを発表しました。ひとつは「子供がメッセージアプリで性的な写真を受信したり送ろうとすると、本人に警告しつつ親に通報する」、もうひとつは「iCloudに保存されるCSAM(子供を巻き込んだ性的に露骨な活動を描くコンテンツ)画像を検出し、当局に通報することもある」といったものです。

これに対してEFF(電子フロンティア財団)が「アップルの大規模な監視計画に反対する」との声明を発表し、iPhoneユーザーらに請願書への署名を呼びかけています。

EFFとは米国に拠点を置く非営利組織であり、デジタル世界での市民の自由を擁護することを目的とする団体です。先日もiOS 14でのアプリトラッキング制限については支持を表明しており、特に反アップルの色合いはありませんが、アップルが上記のCSAM対策を発表した直後に「私生活にバックドアを開く」として反対を表明していました

EFFは今回の声明で「大量の監視は、それがどんなに善意のものであっても、犯罪撲滅のための戦略として容認できるものではありません」と主張。その上でアップルの新方針を「次のバージョンのiOSがすべてのiPhoneに監視ソフトウェアをインストールする」とみなし、憤慨している人々に声を上げるよう訴えかけています。

この声明によれば「昨年EFFの支援者たちは、オンライン上のすべてのメッセージのスキャンを可能にする可能性があった政府の計画であるEARN IT法案を阻止しました」とのこと。ここでいうEARN IT法案とは、2020年3月に米上院議員らが提出したものであり、法執行機関が令状を取得した場合に、テクノロジー企業が暗号化データの解除を支援するよう義務づける内容でした。要は暗号解読バックドア法案ということで、否決に追い込まれています。

そしてEFFはアップルの計画を「すべてのiPhoneで写真のスキャンを可能にする」と定義し、EARN IT法案と同じように受け入れられないことを表明すべきだとの趣旨を述べています。

EFFいわく、アップルがiPhoneに導入しようとしている「スキャンシステム」は2つ。ひとつは「iCloudにアップロードされた写真をスキャンし、法執行機関が子どもに対する犯罪を調査する」ために準政府機関である全米行方不明・被搾取児童センター(NCMEC)を初めとした団体が持つCSAMデータベースと比較するシステムです。

もう1つは、保護者(iCloudファミリー共有が設定されている場合)が選んだ場合に作動するもので、未成年者が送信したiMessagesを調査し、あらゆる種類の「性的に露骨な」素材を探すアルゴリズムと照合するもの。その類の画像が検出された場合、iPhoneは本人、場合によっては親に年齢に応じた通知を行うーーといったEFFの解釈は、アップルの説明とも一致しています。

ちなみにアップル幹部はCSAM対策に批判が湧き起こった直後、この2つの施策を一度に発表したことで「アップルがメッセージアプリを検閲している」との誤解を招いてしまったと認め、もう少し違いをハッキリさせれば良かったと反省を述べていました

さてEFFの声明に戻ると「これらのシステムは、私たちのプライバシーとセキュリティを脅かすもの」であり、iCloud画像のスキャンについては「すべてのiCloud写真ユーザーのプライバシーを侵害」し、「政府が作成したCSAMの秘密データベースと照合する」と批判。かたやメッセージアプリでの保護者通知スキャンには「エンドツーエンドの暗号化の約束を破るもの」との見解を述べています。

締めくくりにEFFは、アップルの施策を「虐待する親のことを考慮していない」と分析し、ひいては「権威主義的な政府がその拡大(画像スキャンやメッセージの検閲など)を推し進めようとする」危険があると指摘しています。

これまでの批判に対してアップルは、iCloud写真スキャンは動画には適用されず、政府による利用もあり得ないと反論しています。しかし、一度そうしたしくみを作ってしまえばバックドアに転用される可能性を完全には否定しがたく、また一企業に過ぎないアップルが現地の法律に従わざるを得ないことはすでに証明済みです

そもそも一連の批判や混乱は、アップルが外部の児童虐待対策団体などに(少なくともNCMECや一部組織以外は)相談せず、すでに世界的なプラットフォームになったiPhoneについて、一方的にプライバシーに踏み込む施策を打ち出したことが大きな原因とも思われます。今後アップルはさらなる説明を追加するか、譲歩を迫られるのかもしれません。

(Source:EFF(1)(2)Engadget日本版より転載)

米IT企業がファーウェイによるパキスタン政府機関へのバックドア設置を告発、ただし決定的な証拠は出ず

米IT企業がファーウェイによるパキスタン政府機関へのバックドア設置を告発、ただし決定的な証拠は出ず

Wolfgang Rattay / Reuters

ファーウェイに新たなバックドア設置の疑惑が持ち上がっています。カリフォルニアを拠点とするIT企業Business Efficiency Solutions(BES)は、2016年にファーウェイとの提携でパキスタン政府とのプロジェクトで現地警察向けのソフトウェアを開発した際、ファーウェイがソフトウェアにバックドアを仕掛けたと主張しています。

問題のソフトウェアは2016年にHuawei Technologiesが主体となってパキスタン・パンジャブ州の州都ラホールのパンジャブ警察統合通信センター(PPIC3)向けの1億5000万ドル(約164億円)のプロジェクトで開発したもので、政府機関からのデータ収集、建物へのアクセス制御、ソーシャルメディアの監視、ドローンの管理といった8つの主な機能を備えています。

しかし、BESは8月11日、Huawei Technologiesがソフトウェアに「パキスタンの国家安全保障上重要とされる」機密情報を得るためのバックドアを仕掛けたとカリフォルニア州の連邦裁判所に訴え出ました。BESの主張によれば、当初ファーウェイはパキスタン政府のRFP(Request for Proposal:提案依頼書)に含まれる仕様を満たす技術を持たなかったためBESに協力を求め、パキスタン側もこれを評価していたとのこと。

BESは自社の企業秘密となる独自のコードや設計、図面などの情報を含めたベースとなるソフトウェアを開発したところ、ファーウェイはそのソフトウェアをテストするため中国側へ引き渡すよう要求しました。

証拠として提出された資料の中には、BESの創業者でCEOのJaved Nawaz氏が2017年3月28日にファーウェイに対し、機密データを中国に送ることへの承認を書面でPPIC3から得るよう求めたメールが含まれています。しかしファーウェイからはパキスタン政府から承認は得たが書面は「必要ない」との返答メールが来たのみ。その上で要求に応じなければ契約を解除しすべての支払いも行わないと脅迫じみた要求をされた結果、BESはやむなく中国国内へのシステムの設置を認めたとのことです。

しかし、The Registerが伝えるところでは、ファーウェイは中国国内へのシステム設置の後もBESへの支払いを行わないばかりか、BES抜きでカタールやドバイ、アラブ首長国連邦、サウジアラビアでパキスタンと同様のソフトウェア開発契約をまとめようとしたとされます。さらにBESのソフトウェアの一部を改変して中国からパキスタンのソフトウェアへのバックドアを加え、そこから中国へ国家安全保障に関わる重要なデータやパキスタン国民の個人情報を収集。閲覧可能にしたとBESは主張しています。

BESの訴訟では、2019年4月8日にBBCが報じた過去の事例として、パンジャブ州の政府機関PSCAがパキスタンのCCTVシステムからWiFiカードを取り除くようファーウェイに指示した理由は、それが「パキスタン市民を監視する秘密のバックドア」として遠隔から情報を収集できるように設定されていたからだと述べています。当時のファーウェイの担当者はこれを “誤解 “と主張していました。ほかにもBESは提出した書類で2019年と2020年に米国司法省がファーウェイに対して行った企業秘密窃盗の訴訟を指摘し、その主張を補強しています。

一方、Wall Street Journalに対してファーウェイは、いかなる製品にもバックドアを設置した「証拠はない」と述べています。BESのシステムを中国国内に設置させたことは認めたものの、それは他のネットワークからは「物理的に隔離」された試験用であり顧客からデータを入手することはできないと主張しています。またラホールのプロジェクト担当者は「現在のところ」データが盗まれたという証拠はないと述べています。

火のないところに煙は立たぬと言うように、何らかの争いが起こるところには必ずその原因となる問題が潜んでいるはずです。だれが事実と異なる主張をしているのかはわかりませんが、今回の問題もファーウェイが中国の情報収集に協力しているのではないかと継続的に懸念が持たれていることを浮き彫りにする事例のひとつであることは間違いありません。ただ、決定的な証拠も、まだひとつも出ていません。

(Source:The RegisterWall Street Journal。Via ReutersEngadget日本版より転載)

関連記事
ファーウェイがAndroidに代わるスマホ向けHarmonyOSを正式発表
スマホ事業不振のHuaweiはIoTに活路を見出そうとしている
ファーウェイが米商務省による「安全保障上の脅威」指定をめぐり提訴
バイデン政権のジーナ・ライモンド商務長官にはファーウェイをエンティティリストから外す理由がない
英国がファーウェイの5G機器設置禁止を2021年9月発効に前倒しへ
英政府が2027年までファーウェイ5G製品の排除を決定
FCCがファーウェイとZTEを「安全保障上の脅威」に指定した背景
いまさら聞けないバックドア入門

カテゴリー:セキュリティ
タグ:安全保障(用語)中国(国・地域)Huawei / ファーウェイ(企業)バックドア(用語)パキスタン(国・地域)