サイバー情報漏洩は2019年に多発する

この著者による他の記事:

注目を集めるようなサイバー情報漏洩のニュースは、珍しいことにここ数ヶ月数が減っている。しかし最近では、Marriott International/Starwoodが長年にわたり、最大5億人に達する個人情報を盗まれていたことが発覚した。これに匹敵するのはYahooに対して行われた2013年と2014年の攻撃ぐらいである。

これは2019年のハッキング状況が悪化する前兆なのだろうか。

その答えは間違いないイエスだ。疑いようもなく、サイバー情報漏洩は、長年にわたり世界経済の巨大な悩みのタネだった。しかし、継続的に改良され続けるマルウェアが、より多くの分野でより積極的に展開されるために、新しい年にはそれらがさらに蔓延することが予想される。

さらに、各企業が、効率性を高め、コストを削減し、データ駆動型ビジネスを構築するために、デジタル化を追求するにつれて、結果としてサイバー攻撃の「標的」として浮上することになる。デジタルエコノミーが拡大するにつれて、自然と脅威の可能性も広がることになる。そして状況を悪化させているのは、ハッカーや他の悪者たちが自分たちの邪悪な行いを拡大しようとするときに、機械学習とAIを使用していることだ。

悪用されるAI駆動チャットボット、サービスとしての犯罪ソフトウェア(crimeware-as-a-service:CaaS)の大幅な増加、データの武器化の加速、ランサムウェアの再増殖、および国家規模のサイバー攻撃の大幅な増加などに注目して欲しい。また、いわゆるクリプトジャックと呼ばれる攻撃も増加している。これは目立たずより狡猾に利益を上げる手段である。疑うことを知らない犠牲者からウエブサイト上のスクリプトを使って計算リソースを奪う侵襲的な手法なのだ。

それから、特定の開発者たちを狙ったソフトウェア破壊行為や、ソフトウェアアップデートサプライチェーンへの攻撃なども大幅に増加するだろう。

以下に、最も心配される脅威をいくつか挙げることにしよう:

AI駆動チャットボットの出現。新年には、サイバー犯罪者やブラックハットハッカーたちが、ソーシャルエンジニアリングを用いて被害者たちを、リンクのクリック、ファイルのダウンロード、あるいは個人情報のシェアに導く、悪意のあるチャットボットを作成してくるだろう。ハイジャックされたチャットボットは、被害者を正当なリンクではなく、不正なリンクへと容易に導くことだろう。攻撃者はまた、正当なWebサイトのWebアプリケーションの欠陥を悪用して、悪質なチャットボットを無害だったサイトに挿入する可能性がある。

地下経済の新たな要素であるCaaS(サービスとしての犯罪ソフトウェア)による、都市への攻撃。敵は、とりわけデータの整合性を攻撃する新しいツールを利用して、強制的にハードウェア交換をせざる得なくなるようにして、コンピュータを使い物にならなくする。テロリスト関連のグループが主犯となる可能性が高い。

国家による攻撃の大幅な増加。ロシアは、より大きな目的の一環として標的型サイバーアクションを利用する、リーダーであり続けてきた。例えば、今年の初めにFBIは、ロシアの継続的攻撃者であるSofacyグループが、世界中のホームオフィスルーターやストレージに接続されたネットワークを遠隔操作するために、ウィルス感染を行ったことを暴露した。セキュリティの貧弱な何十億ものIoTデバイスに助けられて、同様のシナリオの遂行を狙う他の国家にも注目して欲しい。

データの武器化が増大。すでに大きな問題だが、技術大手によるユーザーのセキュリティとプライバシー強化にもかかわらず、それらがさらに悪化することは確実だ。マイナス面とプラス面のバランスを考えることで、何千万人ものWebユーザーたちが、果たしてインターネットからどれほどの利益を得ているのかと真剣に疑問視し始めている。

たとえば、個人データと「プライベートな」通信を利用して、毎年数十億ドルの利益を生み出していることを隠さないFacebookのことを考えてみよう。ユーザーは、興味あるものやブランドに対して積極的に「いいね!」を行い、個人情報を差し出している。このことによって、Facebookはユーザーベースのより完全なイメージ ―― 広告主にとっての金脈 ―― を提供することが可能になる。

さらに悪いことに、今年初めにFacebookは「感情的な伝染」実験を通して、ユーザーの気分を操作しようとした。これはユーザーたちに、その仲間たちに向かってその感情に影響を与えさせた。すなわちデータの武器化である。

ランサムウェアの再燃。WannaCryの流行と、それに続いた何件かの、知名度の高い被害者をターゲットとした攻撃によって、ランサムウェアは2017年のシーンに爆発的に広がった。FBIによると、米国でのランサムウェアに対するトータルの支払い額はここ数年で10億ドルを超えている。ここ数ヶ月は、ランサムウェアの有名な犠牲者はほとんどいなかったが、2019年にはこの問題の激しい揺り戻しが起きる可能性が高い。ランサムウェアは波状攻撃であり、次の攻撃も必須だ。

ソフトウェア開発プロセスの破壊とソフトウェアアップデートサプライチェーンへの攻撃の増加。ソフトウェア開発に関して言えば、マルウェアはすでに一部のオープンソースソフトウェアライブラリで見つかっている。一方、ソフトウェアアップデートサプライチェーンへの攻撃は、ソフトウェアベンダーのアップデートパッケージを侵害する。顧客がアップデートをダウンロードしてインストールすると、知らないうちにシステムにマルウェアを導入してしまう。Symantecによると、2016年には実質的な攻撃がなかったにも関わらず、2017年には毎月平均1回の攻撃があった。この傾向は2018年も続き、来年はさらに悪化するだろう。

衛星へのより多くのサイバー攻撃。6月にSymantecは、地理マッピングとイメージングに携わる東南アジアの通信会社の衛星通信を、無名のグループがターゲットにすることに成功したと発表した。Symantecはまた、防衛関連契約業者の衛星に対する、中国国内からの攻撃も報告している。

それとは別に、8月に開催されたブラックハットの情報セキュリティ会議では、インターネットに接続するために、船舶、飛行機、そして軍隊によって使われている衛星通信は、ハッカーによる攻撃に対して脆弱であることが示された。最悪のシナリオでは、ハッカーが衛星アンテナをいわば電子レンジのように動作する武器に変えることができる「サイバーフィジカル攻撃」を実行する可能性があると、その研究は述べている。

幸いなことに、2019年のサイバー概況は完全に厳しいばかりのものでもない。

サイバーセキュリティの側面では、パスワードのみのアクセスは放棄されて、多要素認証がすべてのオンラインビジネスの標準になると信じている専門家の数が増えている。さらに、多くの州では、欧州の厳格な「一般データ保護規則」(GDPR:General Data Protection Legislation)に準拠した規則の適用が予定されている。そのうちの1つ、カリフォルニア州では、2020年以降、データ漏洩が起きた際に消費者が会社を訴訟するのを容易にする法律を、すでに可決している。

結局のところ、個人、企業、政府機関は、サイバーセキュリティの状態を改善するために、できることは全て行う必要がある。そのことによって情報漏洩を根絶することはできないが、ある程度の回避を行ったり、被害を軽減する可能性を高めたりすることはできるのだ。

画像クレジット: vertigo3d

[原文へ]
(翻訳:sako)

サンフランシスコ市が、情報漏洩の影響を受けた1500万人のカリフォルニア州住民を代表して、Equifaxを提訴

Equifaxは、1億4300万人の米国市民の社会保障番号漏洩に対する集団訴訟と、ニューク市からの出頭命令の渦中にあるだけではなく、新たにサンフランシスコ市からも訴訟を起こされた。

声明によれば、サンフランシスコ市検察官のDennis Herreraが、サンフランシスコ高等裁判所に対して、この信用情報機関を「1500万人以上のカリフォルニア住民の個人情報保護に失敗した」という名目で提訴したのだ。

この訴訟は、Equifaxがカリフォルニアの州法に違反したこと、情報漏洩により影響を受けるカリフォルニア州の住民たちに速やかな通知を行えなかったこと、そして完全で、平易で、明瞭な情報を提供できなかったことを告発するものだ。

Herreraはその声明の中で「Equifaxの無能さは、主題がそれほど深刻でない場合には、喜劇とでも呼べるものでしょう」と述べている。「この会社が不注意だったために、数百万の人々の生活が脅かされることになりました。Equifaxが保護できなかった情報は、人びとが銀行口座を開設したり、家を購入したり、アパートを借りするために必要な情報なのです。今やカリフォルニアの住民は、この先何年もの間、個人情報が奪われる危険に晒されることになったのです」。

この訴訟は、2017年9月7日に情報漏洩が明らかになる前にクレジット・モニタリング・サービスを購入した、カリフォルニア住民に対する損害賠償を、Equifaxに請求することが目的だ。

Equifaxは、今回の情報漏洩が公になるよりも遥か前、今年の3月頃にはシステムで大規模な情報漏洩が起こったことに気がついていた。同社は今月初めにやっとこの漏洩のニュースを公開し、消費者自身がハックの影響を受ける1億4300万人のうちの1人であるかどうかを確認できるウェブサイトを提供した。

しかし、このサイトの情報は錯綜していて、誰が影響を受けたのかに関する混乱が生じた。そして、アクセスした人が影響を受けたのか受けていないのかに関わらず、彼らの有償プロダクトであるTrustIDへの加入を勧める有様だった。

さらに問題を混乱させたのは、その利用規約(ToS)の文言には、加入した人びとが会社を訴えられないようにする規約が含まれていたということだ。Equifaxはその後、今回の情報漏洩に関してはToSは適用されない、という声明を発表した。

明らかに、情報漏洩の開示やその余波の中で多くの間違いが発生した。人びとがEquifaxが事態を収拾するやり方に動揺したのも無理はない。

混乱の真っ最中である昨日(米国時間9月26日)、EquifaxのCEOであるRichard Smithが「引退」した。これは同社の最高セキュリティ責任者(CSO)と最高情報責任者(CIO)の引退に続くもので、全てが奇妙なタイミングで重なった。

[ 原文へ ]
(翻訳:Sako)

FEATURED IMAGE: TECHCRUNCH

Yahoo、新たに10億アカウントがハックされていたことを公表

yahoo-mail-dead

Yahooは、またハッキングに苦しめられている。

Yahooは本日、2013年8月に10億人以上のユーザーアカウントの情報漏洩が起きていたことを公表した。この情報漏洩は、Yahooが9月に報告した5億アカウントの情報が盗まれた件とはまた別のものという。

Yahooの情報セキュリティーを担当する役員Bob Lordは、どのように10億アカウントの情報が盗まれたか特定できていないという。「情報の盗難の経路を特定できていません」とLordはハックを公表した投稿に書いている。

「盗まれたユーザーアカウントの情報には名前、メールアドレス、電話番号、誕生日、MD5によりハッシュ化したパスワード、場合によっては暗号化、もしくは暗号化されていないセキュリティー質問と回答が含まれている可能性があります」とLordは書いている。

Yahooは警察から大規模な情報漏洩の報せを受け、外部の専門捜査官の助けを借りて、データを確認していた。データには決済情報やプレインテキストのパウワードは含まれていないようだが、それでもYahooのアカウントを持っている人には悪い報せだ。ハッシュ化アルゴリズムMD5はすでに安全ではないとされている。MD5によるハッシュ化はオンラインで少し探せば、それが隠しているパスワードを探り当てることが可能だ。

Yahooはこの情報漏洩で影響を受けるアカウント所有者に通知しているという。影響のあるユーザーはパスワードを変更する必要がある。

また、Yahooは本日、Yahooの占有コードにハッカーがアクセスし、そのコードを使って、パスワードを使用せずともアカウントにアクセスができるクッキーを偽造していたと発表した。「外部の専門捜査官は、偽造クッキーが盗られた、あるいは使用されたアカウントユーザーを特定しました。影響を受けたアカウントの所有者に通知し、偽造クッキーは無効化しました」とLordは言う。今回の攻撃は国の支援を受ける者の仕業と考えているとLordは付け足している。

今日の発表は、Yahooのセキュリティー問題がまだ続いていることを示す。Yahooの従業員は、5億人の情報が盗まれたことを示す形跡を早ければ2014年の段階で知っていたという。だがYahooがその情報漏洩について発表したのは今年の9月のことだ。Yahooの役員が情報漏洩について知っていたか、知っていたのならいつ知ったのか。この質問への回答は、現在進行中のVerizonのYahoo買収にとって重要なものになる。Yahooは売却を発表してから数ヶ月経って初めて情報漏洩を公表したのだ。

Verizonは7月に48億3000万ドルでYahooの買収に合意したが、Yahooの一連のセキュリティー問題を受け、買収額を10億ドル減額するかもしれないと考えられている。「これまでお伝えしているように、Yahooが調査を継続する中で、状況を見極めていきます」と本日Verizonのスポークスマンは答えた。「最終的な結論を出す前に、今回の件がもたらす影響について検証します」。
(開示情報:VerizonはTechCrunchの親会社であるAOLを所有している)

Yahooは10月にもセキュリティー対策について厳しい目で見られることになった。Yahooがアメリカの諜報機関の命令により、2015年の初頭、全てのユーザーのアカウントをスキャンしたとロイターが報じた。Yahooの法務責任者Ron Bellは、アメリカ合衆国国家情報長官のJames Clapperに対し、メールのスキャンプログラムの内容について明確な情報を公に開示することを依頼したという。

 

[原文へ]

(翻訳:Nozomi Okuma /Website