2要素認証 / 多要素認証（用語）

Google Playで発見されたデータ窃盗アプリ、数千回ダウンロードされる

パスワードやテキストメッセージなどのユーザーデータを盗むよう設計された悪名高いAndroidバンキングトロージャンがGoogle Playで発見され、すでに数千回ダウンロードされた。

AnatsaやToddlerとしても知られるTeaBotバンキングトロージャンは、2021年5月に初めて発見され、テキストメッセージで送られた2要素認証コードを盗み出すことで欧州の銀行をターゲットにしている。オンライン詐欺の管理および防止ソリューションを提供するCleafyの新しいレポートによると、現在、このマルウェアは第2段階の悪意のあるペイロードを介して配布されるように進化しており、ロシア、香港、米国のユーザーを標的にしているとのことだ。

Cleafyによると、以前はTeaTV、VLC Media Player、DHLやUPSといった配送アプリなど、一般的なアプリを餌にしたSMSベースのフィッシングでマルウェアが配布されていたが、アプリ内の偽アップデートという方法でTeaBotを配布するためにGoogle Playの不正アプリが「ドロッパー」として機能していた、と同社の研究者は指摘する。ドロッパーは、正規のアプリに見えるが、実際には第2段階の悪意のあるペイロードを配信するアプリだ。

アプリ「QR Code & Barcode – Scanner」は削除されたが、発見されるまでに1万回超ダウンロードされた。しかし、このアプリは約束された機能を提供しているため、アプリのほぼすべてのレビューが肯定的な評価だ。

このアプリは正規のものに見えるが、すぐに2つ目のアプリ「QR Code Scanner: Add-On」のダウンロード許可を要求してくる。アドオンは、複数のTeaBotのサンプルを含んでいる。インストールされると、TeaBotはログイン情報、SMSメッセージ、2要素コードなどの機密情報を取得するために、デバイスの画面を表示し、制御する許可を求める。また、他の悪意のあるAndroidアプリと同様、Androidのアクセシビリティサービスを悪用して、マルウェアがキーボード入力を記録できるよう権限を要求する。

「公式Google Playストアで配布されるドロッパーアプリは、いくつかの許可を要求するだけで、悪意のあるアプリは後からダウンロードされるため正規のアプリに紛れてしまい、一般のウイルス対策ソリューションではほとんど検出できません」とCleafyは警告している。

TechCrunchはGoogleにコメントを求めたが回答は得られなかった。しかし、このアプリはGoogle Playから削除されたようだ。

Cleafyによると、TeaBotは現在、ホームバンキングアプリ、保険アプリ、暗号資産ウォレット、暗号資産取引所など400以上のアプリを標的にしていて、1年未満で500％以上増加している。

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Carly Page、翻訳：Nariko Mizoguchi）

二要素認証の危殆化でハッキングされた暗号資産取引所Crypto.com、被害は約38.7億円以上に

Crypto.com（クリプト・ドットコム）は、先週末に同社のプラットフォームで発生した最近のハッキングについて、米国時間1月20日ウェブサイト上の声明で新しい詳細を共有し、483人のユーザーが影響を受け、1500万ドル（約17億円）相当以上のETH（イーサリアム）、1900万ドル（約21億6400万円）相当のBTC（ビットコイン）「その他の通貨」6万6200ドル（約750万円）相当の不正な引き出しが発生したと発表した。現在の暗号資産価値で3400万ドル（約38億7300万円）以上の価値がある総損失は、Crypto.comが声明を発表する前にアナリストが予測したものよりもさらに高いものだ。

同社の事後報告は、CEOのKris Marszalek（クリス・マルザレック）氏がBloomberg TVとのインタビューで侵害を認めたわずか1日後に行われた。彼の確認は、資金を盗まれたと訴える複数のCrypto.comユーザーから苦情が寄せられた後に行われた。それまで同社は「インシデント」としか言及せず、曖昧な対応に終始していたのだ。マルザレック氏はインタビューの中で、侵害がどのように発生したかについての詳細を共有していなかったが、彼はCrypto.comが影響を受けたすべてのアカウントに払い戻したことを認めていた。

本日の声明によると、Crypto.comは米国時間1月17日に「2FA（二要素）認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出したとのことだ。サイトは問題を調査するために14時間すべての引き出しを停止した。

Crypto.comは、攻撃者がすべてのユーザーに義務づけられている二要素認証を呼び起こさずに取引を承認することができた方法については述べていない。TechCrunchが詳細を問い合わせたところ、同社は今日発表された声明以外には、この侵害についてコメントすることを拒否した。

同社は「すべての顧客の2FAトークンを失効させ、追加のセキュリティ強化策を追加した」後、顧客にプラットフォームにログインして2FAトークンを再度設定するよう求めたと述べている。追加措置には、新しい引き出し用住所の登録と最初の引き出しの間に24時間の遅延が義務づけられているため、ユーザーは通知を受け、引き出しが不正と思われる場合はCrypto.comチームに連絡して「反応し、対処する十分な時間」を確保することになる。

同社は侵入後、内部監査を実施し、第三者のセキュリティ会社と契約してプラットフォームのチェックを行ったという。セキュリティ強化のため、2FAから「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していない。

Crypto.comはまた、2月1日から「一部の市場でWorldwide Account Protection Program（WAPP）」を導入すると発表した。これは、不正引き出しが発生した場合「認定ユーザー」に対して最大25万ドル（約2800万円）まで資金を回復するプログラムである。このプログラムの適用を受けるには、ユーザーは、多要素認証が利用可能なすべての取引タイプで多要素認証を有効にしなければならない。また、報告された不正取引の少なくとも21日前にアンチフィッシングコードを設定し、警察に被害届を提出し、それをCrypto.comにも提供し、鑑識調査に協力するための質問事項に答えなければならない。さらに、ジェイルブレイク（脱獄）デバイスを使用していないことが必要だと同社は述べている。

Crypto.comは世界第4位の暗号取引所だが、ここ数カ月は米国市場に強くアプローチしており、俳優のMatt Damon（マット・デイモン）を起用したバイラル広告や、ロサンゼルス・レイカーズとクリッパーズアリーナの命名権7億ドル（約797億円）の購入などのスタントを行っている。自社のことを「最も急成長している」暗号取引所と呼び、今週初めにはこの分野のアーリーステージのスタートアップを支援するために、ベンチャーキャピタル部門を5億ドル（約569億円）に拡大しました。今週の侵害事件と同社の対応の遅れによって、米国内での成長が停滞する恐れがある。

画像クレジット：Seb Daly / RISE via Sportsfile / Flickr under a CC BY 2.0 license.

［原文へ］

（文：Anita Ramaswamy、翻訳：Akihito Mizukoshi）

数十億円規模の暗号資産を盗難、SIMハイジャック事件に関与した米国ハッカーが投獄される

米国司法省は現地時間11月30日、「The Community」として知られる国際的なハッキンググループの最後のメンバーが、数千万ドル（数十億円）規模のSIMハイジャック事件に関与したとして判決を受けたことを発表した。

ミズーリ州在住のGarrett Endicott（ギャレット・エンディコット）被告（22歳）は、ハッキンググループの6人目のメンバーとして判決を受けた。同被告は、複数の被害者から数千万ドル（数十億円）相当の暗号資産を奪ったこのハッキング活動に参加したことにより、10カ月の懲役刑を受け、12万1549ドル（約1370万円）の賠償金の支払いを命じられた。

SIMハイジャックは、SIMスワップ詐欺とも呼ばれ、攻撃者がターゲットの電話番号を乗っ取ることで、テキストメッセージやその他の形式の2要素認証（2FA）コードを受信できるようにし、被害者のEメールやクラウドストレージ、最終的には暗号資産取引所のアカウントにログインできるようにする手法だ。

The CommunityのSIMハイジャックは「携帯電話会社の従業員を買収することで可能になったケースが多かった」と検察官は述べている。「他にも、SIMハイジャックは、The Communityのメンバーが被害者を装って携帯電話会社のカスタマーサービスに連絡し、被害者の電話番号をThe Communityが管理するSIMカード（ひいてはモバイル機器）に交換するように要求することで達成されました」とも。

今回の事件では、数千万ドル（数十億円）相当の暗号資産が盗まれた。カリフォルニア州、ミズーリ州、ミシガン州、ユタ州、テキサス州、ニューヨーク州、イリノイ州など、米国中の被害者が、（盗難時）2000ドル（約22万5000円）以下から500万ドル（約5億6500万円）以上の価値のある暗号資産を失ったとのこと。

司法省によると、判決を受けた被告らは、それぞれ合計約5万ドル（約565万円）から900万ドル（約10億1700万円）以上の窃盗に関与していたという。

エンディコット被告は「The Community」の他のメンバーよりも軽い刑罰を受けた。フロリダ州在住のRicky Handschumacher（リッキー・ハンシュマッカー）被告は4年の懲役と760万ドル（約8億6000万円）超の罰金、アイオワ州在住のColton Jurisic（コルトン・ジュリシック）被告は42カ月の懲役と950万ドル（約10億7300万円）超の支払いを命じられ、サウスカロライナ州在住のReyad Gafar Abbas（レイアド・ガファール・アッバス）被告は2年の懲役と31万ドル（約3500万円）超の罰金を言い渡された。

アイルランド在住のConor Freedman（コナー・フリードマン）被告は以前アイルランドの裁判所から3年の懲役刑を言い渡されており、コネチカット州在住のRyan Stevenson（ライアン・スティーブンソン）被告は執行猶予を言い渡された。両者とも、何らかの形での賠償を命じられている。

エンディコット被告の判決は、FCC（連邦通信委員会）がSIMハイジャック詐欺に対抗するための新ルールを提案してから数週間後に下されたものだ。FCCは、新しい携帯電話や他の通信事業者へのサービスの移行に同意する前に、プロバイダがより安全な方法で本人確認を行うことを求めている。また、SIMの切り替えやポートアウトの要求があった場合には、プロバイダは顧客に通知することを義務付ける規則も提案している。

関連記事：米連邦通信委員会がSIMスワップ詐欺に対抗する新規則を提案

画像クレジット：Samuel Corum / Getty Images

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）

フェイスブック、高リスクなアカウントの2要素認証を義務づけ

最近Meta（メタ）の子会社となったFacebook（フェイスブック）が、悪意のあるハッカーの標的となる可能性がある高リスクのアカウントを2要素認証（2FA）必須にする予定だと発表した。

この動きは、ソーシャルネットワーキングの巨人が、人権擁護家、ジャーナリスト、政府関係者など、特定のリスクにさらされる可能性のある人びとのアカウントを保護することを目的として行う、強化されたセキュリティプログラムFacebook Protect（フェイスブックプロテクト）の大幅な拡張の一部だ。この動きは、2FAを含むセキュリティ機能を使いやすくし、アカウントとページに潜在的なハッキングの脅威への監視を含む追加のセキュリティ保護を提供することによって、対象となるアカウントがより強力なセキュリティ保護を採用できるようにする。

このプログラムは2018年に試験運用され、2020年の米国大統領選挙に先立って拡大されて、不正行為や選挙の干渉がプラットフォームに広がるのを阻止しようとした。Facebookによると、現在150万を超えるアカウントで有効になっており、年末までに米国、インド、ポルトガルを含む50カ国以上に拡大する。同社は2022年にさらなる拡張を計画している。

Facebook Protectにすでに登録されている150万のアカウントのうち、約95万が2FAを有効にしているが、これはFacebookによれば「インターネット全体でも歴史的に十分に活用されてこなかった」機能だ。Facebookは、この機能がすべての高リスクアカウントで使用されることを望んでおり、さらに強制的にしようとしているという。

これは、Facebookによって高リスクアカウントとして識別されたユーザーが、設定された期間が経過するまでに2FAを有効にしない場合、そのユーザーは自分のアカウントにアクセスできなくなることを意味する。同社によれば、ユーザーはアカウントへのアクセスを永久に失うことはないものの、アクセスを回復するには2FAを有効にする必要があるという。

Facebookのセキュリティポリシー責任者であるNathaniel Gleicher（ナサニエル・グレイシャー）氏は「2FAは、あらゆるユーザーのオンライン防御のコアコンポーネントですので、これを可能な限り簡単にしたいと考えています」という。「2FAへの登録を拡大するには、認知度を高めたり、登録を奨励したりするだけでは不十分です。ここは、みなさんにとって、公開討論のとても重要な場所を占め、非常に狙われやすいコミュニティです。したがって、みなさんの自身の保護のために、できれば2FAを有効にしていただく必要があるのです」。

グレイシャー氏は、初期のテストで、Facebook Protectを義務づけることで、高リスクのユーザーの90％以上が2FAに登録したと付け加えた。

ツールが提供する保護と、アカウントから重要な声がロックアウトされるなどの潜在的な可能性とのバランスをとるために、2FA義務化はまず、フィリピンやトルコなどの「Facebookが円滑に拡大を行えるリソースを持つ」場所から開始される。同社はまた、次の選挙が重要な市民活動と重なる可能性のある地域にも焦点を当てる予定だ。

なお現段階ではすべてのアカウントに2FAを義務づける「計画はない」という。

画像クレジット：TechCrunch

［原文へ］

（文： Carly Page、翻訳：sako）

Verizon傘下の格安携帯キャリアVisible、ハッカーがアカウント乗っ取り・複数iPhone購入も

Verizon（ベライゾン）傘下の格安携帯通信キャリアであるVisibleは、一部のユーザーアカウントがハッカーにアクセスされ、不正に請求されたことを確認した。

The Vergeが最初に報じたこの事件は、今週初め、Visibleの顧客がソーシャルメディアで彼らのアカウントが乗っ取られたと報告したことで明らかになった。Eメールアドレスとパスワードが何者かに変更されたという報告や、Visibleのアカウントから不要な請求が行われたという報告が多数寄せられた。

ある顧客は、自分のアカウントがハッキングされ、そのユーザーが接続しているPayPal（ペイパル）アカウントでiPhoneが購入されたとVisibleのsubredditに書き込んでいた。また、24時間以内に3台のiPhoneが自分の名前で注文されたというユーザーもいた。「毎回、異なる配送先 / 請求先住所だった」とのこと。

Visibleは当初この問題について沈黙を守っていたが、同社は米国時間10月13日にTwitter（ツイッター）で「脅威アクターが外部からユーザー名やパスワードにアクセスし、その情報を利用してVisibleアカウントにログインしていました」と確認した。これに加えて、複数のアカウントでパスワードを再利用しないようにというフォローアップのツイートがあったことから、影響を受けたユーザーは大規模なクレデンシャルスタッフィング攻撃（パスワードリスト型攻撃）の被害者である可能性が高いと考えられる。そうした攻撃では一般的に、ユーザー名やEメールアドレス、対応するパスワードのリストからなる盗まれたアカウント認証情報が、自動化されたログインリクエストを通じてアカウントへの不正アクセスに使用される。

これはVisible自体が侵害されていないことを示唆しているが、多くの顧客は、同社が2ファクタ認証（2FA）に対応していないことを強調している。これにより、アカウントの乗っ取りを防ぐことができたかもしれない。

TechCrunchは、Visibleに2FAを有効にする計画があるかどうか尋ねたが、今のところ回答は得られていない。同キャリアは、影響を受けたユーザーの数をまだ明らかにしていない。

We're aware of an issue in which some member accounts were accessed and/or charged without their authorization. As soon as we were made aware of the issue, we initiated a review & deployed tools to mitigate the issue, enabling additional controls to further protect our members.

— Visible (@Visible) October 13, 2021

The Vergeに寄せられた声明の中で、同社は次のように述べている。「Visibleは、一部のメンバーアカウントが不正にアクセスされ、請求されていた問題を認識しています。問題が判明したあとすぐに調査を開始し、問題を軽減するためのツールの導入し始め、お客様をさらに保護するための追加管理を可能にしました」。

「お客様のアカウントの安全性を含め、お客様の情報を保護することは、当社およびお客様にとって非常に重要なことです。なお、当社が電話でお客様のパスワード、秘密の質問、アカウント暗証番号をお尋ねすることはありません。お客様のアカウントが侵害されたと思われる場合は、visible.comのチャットでご連絡ください」とも。

Visibleのsubredditによると、同社は今後「商品を購入する際には、追加のセキュリティ対策として、支払い情報の再確認が必要となります」と顧客に伝えているという。また、同社はユーザーに対し、特に複数のサービスで使い回されているパスワードを再設定するよう勧めている。

関連記事：米T-Mobileで顧客データ漏洩、犯罪者フォーラムで販売

画像クレジット：Visible

［原文へ］

（文：Carly Page、翻訳：Aya Nakazato）

パスワード不要のログインを実現するYubicoのハードウェアキーが指紋認証に対応

ハードウェアによるセキュリティキーを開発するYubicoが、YubiKey Bioを発売した。本製品は同社初のバイオメトリックを利用した認証キーで、パスワード不要のログインや多要素認証を実現する。

YubiKey Bioが発売されたこのタイミングは、テクノロジー大手が、サイバー攻撃の主要なターゲットである従来のパスワードを使ったログインから変わろうとしている時期と重なる。Microsoftは最近、すべての消費者アカウントに対しパスワード不要のサインインオプションを展開した。Googleは2021年、最終的にパスワードを排除する計画を発表した。

YubiKey Bioが発表されたのはほぼ2年前、2019年11月のMicrosoft Igniteイベントだったが、本製品はキーに指紋リーダーを組み込んで、パスワード不要の時流に乗り遅れまいとしている。Yubicoの説明によると、これは同社にとって「次の論理的ステップ」だという。特に現在、新型ノートパソコンの多くが生体認証によるセキュリティを実装していない。

指紋がデバイスに登録されるとデータは安全な場所に保存され、生体認証を担うサブシステムはキーの中核的なセキュリティ機能とは独立している。データが安全に保存される部分とキーのその他の部分との通信はすべて暗号化され、リプレイ攻撃を阻止する。

YubicoのCEOで共同創業者のStina Ehrensvärd（スティーナ・エーレンスヴァード）氏は「YubiKey Bio Seriesの立ち上げにより、生体認証を使ったセキュリティキーの基準を上げ、私たちのエンタープライズ顧客と日常的なYubiKeyのユーザーにシンプルで強力なパスワードレス認証を提供できることを誇りに思います」と述べている。

YubiKey Bio（画像クレジット：Yubico）

同社によると、完璧なセキュリティシステムはありえないにしても、偽造プリントを利用しようとするハッカーは、そのプリントを利用するためにはユーザーの物理デバイスに触れなければならない。このことがYubiKeyの平均的な顧客の脅威を大幅に減らす。ただし湿度や気温などの影響で皮膚に異変があり、生体認証が利用できないときには、各人のPINを使う認証も可能だ。

YubiKey 5C NFCなど、Yubicoのその他のハードウェアセキュリティキーと同じく、YubiKey Bioはプラグアンドプレイのデバイスで、バッテリーもドライバーもその他のソフトウェアも何も不要だ。macOSとWindowsとLinuxマシンで使える。YubiKeysはまた、セキュリティと認証のオープン・スタンダードであるFIDO U2F、FIDO2、WebAuthnプロトコルなどをサポートし、それらはMacとiPhoneとWindows PCとAndroidデバイスで機能する。最初からFIDOプロトコルをサポートしているアプリやサービスでもよい。

YubiKey BioはUSB-A対応が80ドル（約8940円）、USB-C対応が85ドル（約9500円）。いずれも発売中だ。

画像クレジット：Yubico

［原文へ］

（文：Carly Page、翻訳：Hiroshi Iwatani）