サンフランシスコ空港のウェブサイトがサイバー攻撃の標的に

サンフランシスコ国際空港は、スタッフや契約労働者のユーザーネームとパスワードを盗もうと同空港のウェブサイト2つが3月にハッキングされたことを明らかにした。

同空港は、2つのウェブサイトSFOConnect.comSFOConstruction.comが「サイバー攻撃の標的となった」と4月7日付の発表で認めた。ハッカーは、ユーザーのログイン情報を盗むために2つのウェブサイトに悪意あるコンピューターコードを仕込んだ。もし盗まれていたら、攻撃者はこれらのログイン情報を使って空港のネットワークにアクセスできていたかもしれない。ネットワーク侵入を防ぐために、多要素認証のような追加の保護策がとられていたのかどうかは明らかではない。

発表では「Windowsベースの個人デバイスや、空港が管理していないデバイスのInternet Explorerを通じた空港のネットワーク外からのウェブサイトへのアクセスを含め、ユーザーが攻撃の影響を受けている可能性がある」と述べられている。

また発表によれば、空港はスタッフ専用のサイトをオフラインにし、3月23日にパスワードリセットを強制したという。いずれのウェブサイトも現在はバックアップで運営されている。

サンフランシスコ国際空港の広報からのコメントはなかった。

攻撃者が、ユーザーネームやパスワード、クレジットカード情報のデータをも盗むために脆弱性を利用性してウェブサイトにコードを仕込むのは珍しいことではない。

2年前、British Airways(ブリティッシュ・エアウェイズ)のウェブサイトとモバイルアプリにハッカーが悪意あるコードを仕込み、顧客38万人のクレジットカード記録が盗まれた。その攻撃により、当時導入されたばかりのGDPR規則に基づき、同社には欧州史上最大となる2億3000万ドル(約248億円)もの罰金が科せられた。

画像クレジット: MediaNews Group/East Bay Times / Getty Images

[原文へ]

(翻訳:Mizoguchi

他のハッカーとその侵入先を狙いツールにトロイの木馬を忍ばせるハッカー

最近発見されたマルウェアは、ハッカーが別のハッカーを攻撃するのに使われ、ターゲットがよく使っているハッキングツールに感染して、それらを改造しているらしい。

CybereasonのAmit Serper(アミット・サーパー)氏の発見によると、ここ数年におよぶマルウェアの攻撃において、犯人は既存のハッキングツールを乗っ取り、強力なリモートアクセス用トロイの木馬を注入しているという。それらのツールを開くと、ハッカーはターゲットとコンピューターのどこにでも自由にアクセスできるようになる。被害に遭うハッキングツールの一部は、データベースからデータを抜き取ってクラックしたり、プロダクトキー生成ツールで、試用段階のソフトウェアのフルバージョンをアンロックしたりする。

サーパー氏によると、犯人たちはマルウェアで改造したツールをハッキングのフォーラムにポストし、他のハッカーを釣ろうとしているという。

しかしサーパー氏がTechCrunchに語ったところによると、それはハッカーが他のハッカーをターゲットするという単純な話ではない。彼らが明らかに犯意を抱いて改造したツールは、ハッカーのシステムにだけバックドアを開いているのではなく、そのハッカーがすでに侵入したすべてのシステムにも侵入している。

「ハッカーが、あなたやあなたの会社をターゲットにしてこれらのトロイの木馬使っているのであれば、そのハッカーをハックしているハッカーがあなたの資産にも今後アクセスできることを意味している」とサーパー氏はいう。

それには、レッドチームへの参加を狙っている悪意あるセキュリティ研究者も含まれる。

サーパー氏の所見では、これら未知の犯人たちは、ハッキングツールに強力なトロイの木馬であるnjRatを注入して改造する。すると、ターゲットのデスクトップやファイル、パスワード、ウェブカメラ、マイクロフォンにまでアクセスできるようになる。そのトロイの木馬は少なくとも2013年までさかのぼることができ、当時は中東のターゲットに対して頻繁に用いられた。njRatはフィッシングを行うメールで拡散することが多く、フラッシュドライブに感染する。しかし最近では、ハッカーたちはマルウェアを休眠サイトや安全でないサイトに潜ませて、発見を逃れようとしている。2017年にはハッカーたちが同様の作戦を使って、いわゆるイスラム国のプロパガンダ部隊のためにウェブサイトでマルウェアをホストしていた。

サーパー氏は、同じウェブサイトハッキングテクニックを使って最近もnjRatをホストしていることを発見している。

彼の発見によると、犯人たちがそうやって乗っ取ったウェブサイトはいくつかあり、いずれもオーナーにはばれていない。そこでは何百ものnjRatマルウェアのサンプルがホストされ、犯人たちが使っているインフラがそのマルウェアをコマンドしコントロールしている。サーパー氏によると、ハッキングツールへのnjRatトロイの木馬の注入は毎日のように起こっており、自動化されていると思われる。つまりこの犯行は、ほとんど人間が介入せずに行われているようだ。

なぜこんなことが行われているのかという理由や、背後の人物や組織についてはわかっていない。

関連記事: Hackers are stealing years of call records from hacked cell networks…ハッカーたちが数年分の通話記録を盗んでセルネットワークをハック(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

ロサンゼルスがジュースジャッキングをするマルウェアを警告したが事例はゼロ

ロサンゼルスの州検察官が「公共のUSB充電ポイントは危険なマルウェアがあることもあるので旅行者は利用を避けるように」と警告している。この忠告を読むと、そこらにあるUSBポートはどれも「ユーザーのデータを盗むために誰かが自分のスマートフォンをつなぐのを待っている」と思うかもしれない。それはジュースジャッキング(Juice Jacking)と呼ばれる攻撃で、警告の声明文によると犯人は充電ステーションやそこに挿入したまま残したケーブルにマルウェアをロードして、何も知らないユーザーのスマートフォンやそのほかの電子機器に感染させる。マルウェアはデバイスをロックしたり、データをエクスポートしたり、パスワードを直接犯人の手に渡したりするのだそうだ。

しかしロサンゼルス郡の主任検察官事務所によると、検察の記録にはジュースジャッキングは1件もないが、イーストコーストには知られている事案があるという。それはどこか、と聞いたら、そのスポークスパーソンは知らなかった。そもそもなぜこんな警報を出したのかと問うと「それは今行っている詐欺教育キャンペーンの一環だ」と応えた。

ますます疑問が深まる。でもなぜ?セキュリティ研究家のKevin Beaumont(ケビン・ボーモント)氏のツイートによると「そんなものがマルウェアの伝播に利用されたという証拠を見たことは一度もない」という。実際、見たと言う人はほとんどいないだろう。私にメッセージをくれた何人かのセキュリティ研究者は「そういう攻撃の概念実証を見たことはあるが、実際に犯行に使われた例は知らない」と言っている。

ジュースジャッキングという脅威は実在するが、もっと容易なやり方がいろいろあるのだから、こんなものすごく複雑で不完全な方法を使って誰かを攻撃するなんてありえないのではないか。また、今ではこのような攻撃を防ぐ機能のあるスマートフォンが多いから、ジュースジャッキング攻撃を仕掛けるなら非常に高度な罠が必要だろう。

でも、スマートフォンをつないだら秘密を盗まれるという話そのものに無理はない。それが可能であるというデモも、これまでにたくさんあった。ZDNetのジュースジャッキング特集記事には、FBIが全国に送った警報の例が載っている。それは、セキュリティ研究家のSamy Kamkar(サミー・カムカー)氏が作ったArduinoベースのインプラントはUSB充電器に似ていて、空気の流れを感知して押されたキーを読み取るというもの。また、この夏あるセキュリティ研究家が作ったiPhoneの充電器のケーブルのクローンは、近くにいるハッカーが脆弱性のあるコンピューターにコマンドを実行させることができた。

ロサンゼルス当局は、充電ステーションを使わずコンセントを使うこと、そして自分のケーブルを持ち歩くことを勧めている。健全なアドバイスだが、でもそれは、あなたのデバイスとデータを安全に保つためにすべき多くのことのひとつにすぎない。

関連記事:Wi-Fiモジュールを埋め込んだiPhoneの充電ケーブルでPCをハッキングできることを証明

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

Microsoft(マイクロソフト)によると、同社はイランと関連のあるハッカーたちが2020年の大統領選の候補者を狙っている証拠を見つけた。

この巨大テクノロジー企業のセキュリティ部門のトップTom Burt(トム・バート)副社長が、ブログでその犯行を確認しているが、候補者の名前は挙げられていない。

マイクロソフトがPhosphorous(燐光)と呼ぶその犯行グループは、APT 35とも呼ばれ、マイクロソフトの特定の顧客のメールアカウントを見つける試みを2700回以上行った。バート氏によると、これらのアカウントは大統領選や、現在および前の米国政府職員、ジャーナリスト、そして国外に住むイラン人の有名人などに結びついている。

バート氏によると「4つのアカウントはこれらの試みにより侵犯されたが、この4つは米国大統領選や現在および過去の米国政府職員に結びついていない。犯行は8月と9月に行われた」と語る。

犯行グループはマイクロソフトのアカウントに結びついている第二のメールアカウントにアクセスし、そこからアカウントに侵入しようとした、と彼は言う。犯人が、ユーザーの電話番号を集めてそれらを攻撃しようとしたこともある。バート氏によると、犯行は「技術的に高度なものではなく」て、とにかく「大量の個人情報を利用して」アカウント見つけ、攻撃しただけだ、という。

8月と9月の犯行では、マイクロソフトを電子メールプロバイダーとして使っていた大統領選候補者はドナルド・トランプ氏とマーク・サンフォード氏だけだった。

マイクロソフトのレーダーがPhosphorousを捉えたのは、これが初めてではない。同社はこの犯行グループをすでに訴えており、バックにテヘラン(イラン政府)がいると信じている。今年初めにマイクロソフトは、ハッカーたちが水飲み場型攻撃のために使っていたいくつかのドメインを捉えた。そのハッカー集団は、元米空軍対敵諜報職員Monica Wittと関係があったとも信じられている。彼女は2013年にテヘランに逃れ、今ではスパイ行為の疑いでFBIが追っている

この前のハッカーたちの作戦では、YahooやGoogleのログインページに似せた二要素認証を欺くページで、学者やジャーナリストをねらったスピアフィッシング(Spearphishing、特定ターゲットに対するフィッシング)を展開した。

マイクロソフトによると、これまで同社は、国家が背後にいる犯行に関して800件あまりの通知を行った。そのユーザーたちは、政治的キャンペーンを対象とする同社のアカウント監視サービスで保護されていた。

関連記事:マイクロソフトがイランのハッカーのドメイン差し止め命令を連邦裁判所からゲット

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Googleの調査データが2段階認証の対ハッカー防御効果を実証

何が最良のセキュリティ対策か、という質問をよく受ける。

長い答は「どんな脅威かによるね」だ。圧倒的多数の人々にとっての最良のセキュリティ対策は、核科学者や政府の諜報部員が必要としているようなレベルのものではない。

短い答は「2段階認証を使いなさい」で足りる。でも、誰も信じようとしない。

でも、サイバーセキュリティのプロなら誰もが、ユニークなパスワードや強力なパスワードを使うよりもそのほうが重要と言うだろう。2段階認証は、通常のログインプロセスよりもやることがひとつ増えて、ユニークなコードをユーザーが持っているデバイスに送ってくる。でもそれは、あなたのアカウントのデータを盗もうとするハッカーに対する最強の防御だ。

ぼくのこんな言葉よりいいものがある。Googleが今週発表したデータは、貧弱でシンプルな2段階認証ですら攻撃に対して強いことを示している。

ニューヨーク大学とカリフォルニア大学サンディエゴ校が協力したその研究によると、テキストメッセージやデバイス上のプロンプトなど、デバイスベースの認証要素(認証コード)は、どんな種類のよくある大規模攻撃に対しても防御力が強いという結果だ。

Googleのデータは、2段階認証のコードとしてスマートフォンに送られてきたテキストメッセージは、盗んだパスワードをログインページで使おうとする自動化ボットを100%防げたことを示している。またパスワードを盗もうとするフィッシング攻撃の96%を防げた。

アカウント乗っ取りの犯行タイプ/対象別防止率(画像提供:Google)

2段階認証には、いろんなやり方がある。前に説明したように、テキストメッセージで送られてくる2段階認証のコードはハッカーが横取りすることもありえるが、2段階認証を使わないよりずっといい。認証アプリ経由で送られてくる2段階認証コードは、さらに安全だ。

機密性の高いアカウントを護るセキュリティキーなら、自動化ボットとフィッシング攻撃の両方を防げるが、国家が犯行に絡んでいるようなターゲットを絞った攻撃には、やられることがある。でもそんな攻撃に遭うのは100万人に一人ぐらいだとGoogleはコメントしている。

それ以外の普通の人なら、アカウントに電話番号を加えておいたら、その電話へのテキストメッセージで簡単な2段階認証コードが送られてくるという方式でも、ないよりはずっとましだ。専用アプリなら、もっといいのだが。

乗っ取られなかったあなたのアカウントは、あなたの苦労に感謝するだろう。

関連記事: Cybersecurity 101: Two-factor authentication can save you from hackers(2段階認証がハッカー被害を防ぐ、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

マルウェア研究家マーカス・ハチンズが有罪を認めた

マルウェア研究家のマーカス・ハチンズ(Marcus Hutchins)が、銀行を狙う強力なマルウェアを作り、そして売ったとされる嫌疑で2つの訴因に有罪を認め、アメリカの検察との長期戦を終わらせた。

英国籍のハチンズはMalwareTechというハンドル名を名乗り、2017年8月に、ラスベガスで行われたセキュリティカンファレンスDef Conから英国へ帰国しようとしたところを逮捕された。検察はハチンズを、さかのぼる2014年に銀行を狙うマルウェアKronosの作成に関与したとして告発した。その後彼は、保釈で出獄した。

司法取引協定がウィスコンシン州東部地裁に提出され、そこでこの訴件は米国時間4月19日に審理された。彼の裁判は今年後半に開始されると決まった。

ハチンズは、Kronosを配布した罪を認めることに同意した。それは銀行のウェブサイトからパスワードとそのほかの認証情報を盗むためのトロイの木馬だ。最近の数年間そのトロイの木馬は拡散を続けた。彼また、第二の訴因である共謀罪でも有罪を認めた。

ハチンズは最大で10年の懲役刑に直面している。検察は、そのほかの訴因を取り下げた。

自分のウェブサイト上の短い声明で、ハチンズはこう言っている。「これらの行為を悔い自分の過ちに関し全面的に責任を取る」。

「大人になってからは自分が数年前に誤用した同じスキルを建設的な目的に使ってきた。今後も自分の時間を、人びとをマルウェアの攻撃から護るために捧げ続けたい」。

彼の弁護士Marcia Hofmann氏はコメントの求めにすぐには応じなかった。

ハチンズは、逮捕の数カ月前の2017年5月にWannaCryランサムウェアの犯行の拡散を止めて有名になった。その犯行は、国家安全保障局(National Security Agency、NSA)が開発し、のちにリークした強力なハッキングツールを使って何千ものWindowsコンピューターにバックドアを作り、ランサムウェアをインストールした。後日それは北朝鮮が支援するハッカーのしわざとされ、イギリスの病院や世界中の大企業のインターネット接続を断ち業務を麻痺させた。

彼はマルウェアのコードの中に見つけたドメインネームを登録することによって、感染の拡大を止め、それによって英雄視された。

保釈の前後にハチンズはセキュリティコミュニティからさらに賞賛され尊敬された。彼はマルウェア分析の分野に寄与貢献し、また自分の発見を公開して、そこから他の人びとが学べるようにしたからだ。

司法省のスポークスパーソンNicole Navas氏は、コメントを断った。

関連記事: WannaCryのヒーローの支持者グループ、クラウドファンディングで裁判費用を募金

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

サイバー犯罪のグループはFacebook上で繁栄を続けている

Facebookで何を買えるかを知ったら、誰もが驚くだろう。場所さえ知っていれば、何でも買える。Ciscoのセキュリティグ研究チームTalosの連中が、フィッシングや盗んだ認証情報、スパムなど、不法もしくはいかがわしい手段でお金を得ているFacebookのグループをたくさん見つけた。研究者たちが見つけた74のグループは、メンバー数の合計が38万5000人にも達する。

意外にも、それらのグループは自分たちの活動を隠そうとしていない。例えばTalosは、クレジットカードの番号を3桁のセキュリティコード(CVVコード)つきで売っている投稿を見つけた。持ち主本人の顔写真つき、というのもある。研究チームによると:

これらのグループの大半は、“Spam Professional”、“Spammer & Hacker Professional”、“Buy Cvv On THIS SHOP PAYMENT BY BTC ”、“Facebook hack (Phishing)”などなど、すぐにそれと分かる名前を使っている。そんな露骨な名前であるにもかかわらず、彼らはFacebook上で最大8年も存続し、その間にメンバーを何万人も獲得している。

盗んだ認証情報だけでなく、政府機関や企業などのシェルアカウントも売られており、彼らは大量のお金を移動する専門的技能を自慢し、偽のパスポートや本人認定文書などの偽造を売り込んでいる。

サイバー犯罪に関わっているFacebookユーザーが暴かれたのは、今回が初めてではない。2018年にBrian Krebs氏が報じた120のグループは計30万名以上のメンバーを抱え、フィッシング、スパミング、ボットネット、オンデマンドのDDoS攻撃などの犯行に手を染めていた。

Talosの研究者たちはブログでこう説明している。「Krebsが見つけたグループは恒久的に無効にされたが、それから数か月後にTalosは、一連の新しいグループを発見した。その一部は驚くべきことに、Krebsが報じているグループと同一または類似の名前だった」。

Talosの研究員のJaeson Schultz氏はこう書いている。「一部のグループは直ちに削除されたが、特定のポストだけを削除されたグループもいる。最終的にはFacebookのセキュリティチームにコンタクトして悪質なグループの大半を即座に取り除いたが、今でも新しいグループが次々と誕生しており、一部は今すでに活発に活動している」。

サイバー犯罪グループはFacebookが毎日のようにやらされているもぐらたたきゲームの、もぐらたちの一部にすぎない。Facebookは規模があまりにも大きく、その大きさに見合うだけの防犯対応能力を確保しないために、ここで述べたような不法かつ有害な活動は、今後も人の目の行き届かないあちこちの隅っこで、栄え続けるだろう。

Facebookのスポークスパーソンは次のように語った。「これらのグループはスパムや金銭的詐欺を禁じている当社のポリシーに違反しているので削除する。もっと警戒を強めねばならないことは分かっており、我々はこのような活動と戦うために分厚い投資を行っている」。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Windows 7セキュリティアップデートの終了期限をマイクロソフトが通達

マイクロソフトがWindows 7のユーザーに、セキュリティアップデートがもうすぐ終わると警告するパッチを発行した。

米国時間3月20日に展開されたそのパッチは、2020年1月14日以降セキュリティの欠陥や脆弱性に対する修復を提供しない、と警告している。その期限はWindows 7が2009年にデビューしてから10年あまりとなり、マイクロソフトの最新のオペレーティングシステムであるWindows 10よりも10年以上前、ということになる。

マイクロソフトはセキュリティアップデートをやめることによってユーザーを、セキュリティが改善されて攻撃されにくくなった最新のソフトウェアに押しこもうとしている。

4月18日からWindows 7のユーザーは、迫り来る切り離しに関する警告を受け取るようになる。

Net Applicationsによると、Windows 7は今でも、デスクトップ市場の40%を支配している。その期限の正確に300日前から、消費者のセキュリティサポートの上では時計が残り時間を数え始める。

エンタープライズの顧客向けには、2023年までセキュリティアップデートを延長するオプションがある。

数年前からマイクロソフトは、Windows 7のユーザーにWindows 10への無料のアップデートを提供してユーザーの成長とアップグレードを奨励してきた。その特待制度がなくなれば、あとはセキュリティアップデートの不在が待ち構えているだけであり、企業のデータとシステムはサイバー攻撃のリスクにさらされることになる。

マイクロソフトが寿命の終わったソフトウェアにパッチを発行することは、きわめて珍しい。2017年には3年前に引退したWindows XPに対して、その珍しいセキュリティパッチがリリースされた。それはランサムウェアWannaCryの拡散を防ぐためであり、国家安全保障局(NSA)が開発したハッキングツールがリークして、ランサムウェアはそれに乗っかる形で広まっていた。

ランサムウェアの大発生により、学校や企業や病院などがオフラインになった。

Windows 7の後継システムWindows 8は、2023年1月10日まで継続的にアップデートを受け取る。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

良いニュースだ!

California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。

その法律によると、ルーターやスマートホーム製品など、同州で生産されるすべての新しいガジェットは、最初から“リーズナブル”なセキュリティ機能を持っていなければならない。とくにパスワードについては、各デバイスが、あらかじめプログラミングされたユニークな(他機と共通でない)パスワードを持っていなければならない。

また、新しいデバイスはどれも、ユーザーがデバイス固有のユニークなパスワードを入力してそれを最初に使用するとき、新しいユーザー固有のパスワードの設定を求め、その設定を終えたあとにのみ、最初のアクセスを認めるものでなければならない。

何年も前から、ボットネットたちが、セキュリティのいい加減なデバイスを利用して、大量のインターネットトラフィックでサイトを襲撃してきた。その大量のトラフィックによる攻撃は、分散型サービス妨害攻撃(distributed denial-of-service, DDoS)と呼ばれている。ボットネットが目をつける‘いい加減なセキュリティ’の典型が、デバイスに最初から設定されている、そしてユーザーがそれを変えることもない、デフォルトパスワードだ。上に例を挙げたような、よく使われるデフォルトパスワードは、そのリストがどこかに公開されているので、マルウェアはそれらを利用してデバイスに侵入し、そのデバイスをハイジャックする。そして、ユーザーの知らないうちにそのデバイスは、サイバー攻撃の道具にされてしまう。

2年前には、Miraiと呼ばれる悪名高きボットネットが、何千台ものデバイスを悪用してDynを攻撃した。Dynは、多くの大型サイトに、ドメインネームサービス(DNS)を提供している。DDoSでDynが麻痺してしまうと、これに依存しているサービスに誰もアクセスできなくなる。被害サイトの中には、TwitterやSpotify, SoundCloudなどもいた。

Miraiは、比較的単純素朴な、しかし強力なボットネットで、デフォルトパスワードを悪用していた。今度の法律でデフォルトパスワードというものがなくなれば、このタイプのボットネットは防げるが、でもセキュリティの問題はほかにもたくさんある。

もっと高度なボットネットは、パスワードには見向きもせず、個々のIoT(物のインターネット)デバイスの脆弱性につけこむ。その典型的なデバイスは、スマート電球、アラーム、家庭用電子製品などだ。

IT評論誌The Registerの指摘によると、今回のカリフォルニア州法は、バグが見つかったときのソフトウェアのアップデートを、デバイスのメーカーに義務付けていない。大手のデバイスメーカー、Amazon、Apple、Googleなどはソフトウェアを常時アップデートしているが、無名に近いブランドの多くはやっていない。

しかし、そんな現状でも、この法律は、何もないよりましである。今後もっともっと、改定していただきたい。

[下の引用記事(未訳)の関連記事]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

今週出たトランプ政権の新しいサイバー戦略は、これまで検討されていた方針の寄せ集めにすぎない。

その40ページの文書で政府は、サイバーセキュリティーの向上、変化の促進、そしてコンピューターのハッキングに関する法改正の計画を述べている。選挙のセキュリティについては、ほぼ1/4ページで、“宇宙のサイバーセキュリティー”の次に短い。

変わったのは語調だ。アメリカを攻撃する人物や国に対する軍事攻勢の言及はないが、その行為に対する結果が課せられる(imposition of consequences)という、反撃を意味する遠回しな言い方が何度も使われている。

国家安全顧問John Boltonは、記者たちにこう述べている: “大統領の指示はこれまでの抑制を逆転して、実質的に、関連部門からの攻撃的なサイバー作戦を可能にするものだ”。

“われわれの手は、オバマ政権のときのように縛られていない”、とBoltonは前政権を暗に批判した。

古い政策や原則の焼き直し以上に大きな変化は、オバマ時代の大統領指令PPD-20の破棄だ。それは、政府のサイバー武装に制約を課していた。それらの機密規則は1か月前に削除された、とWall Street Journalが報じている。そのときの説明では、現政権の方針として、“攻撃の最優先”(offensive step forward)という言葉が使われた。

言い換えるとそれは、サイバー攻撃の実行者とみなされたターゲットに反撃する、より大きな権限を政府に与える。近年、アメリカに対するサイバー攻撃が疑われているのは、ロシア北朝鮮、そしてイランだ。

現実世界であれ、サイバー空間であれ、軍事的アクションの脅威を強調し、力の使用を掲げるレトリックはどれも、緊張を高めるとして批判されてきた。しかし今回は、誰もそれを嫌わない。トランプ政権の熱烈な批判者であるMark Warner上院議員ですら、新しいサイバー戦略には“重要かつ、すでに確立しているサイバーセキュリティの優先事項が含まれている”、と言っている。

北朝鮮によるWannaCryの使用や、ロシアの偽情報キャンペーンなど最近の脅威に対してオバマ政権は、対応が遅くて腰が引けている、と批判されてきた。しかし前政権の職員たちの一部は、外国のサイバー攻撃に対する積極的な対応を阻害してきたものは政策ではなく、各省庁に有効な対応を講じる能力がないことだ、と反論している。

前政権でサイバー政策の長官だったKate Charletは、“彼らの大げさなレトリックも、それが作戦のエスカレーションを意味しているのでないかぎり、許される”、と言う。

彼女は曰く: “私が痛いほど感じるのは、各省庁レベルにたまっているフラストレーションだ。彼らは自分たちが、サイバー空間において自分たちの組織とアメリカを守るためのアクションが取れないことに、苛立っている。そのときから私が心配していたのは、振り子が逆の極端な方向へ振れることだ。そうなると粗雑な作戦のリスクが増え、鋭敏で繊細な感受性どころか、フラストレーションがさらに増すだけだろう”。

トランプの新しいサイバー戦略は、語調が変わったとはいえ、レトリックを積み重ねているだけであり、政府が一夜にして突然、好戦的になったわけではない。より強力な反撃ができるようになったとはいえ、本来の目的である抑止力として十分機能すれば、実際に反撃をする機会もないだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

アメリカ空軍のドローンのドキュメンテーションがダークウェブで200ドルで売られていた

ダークウェブ(dark web, 闇ウェブ)の上には、あなたが想像すらしなかったものがある。6月にはセキュリティ調査企業Recorded Futureの危機情報(threat intelligence)チームInsikt Groupが、ダークウェブのマーケットプレース上の犯罪行為をモニタしているときに、アメリカの機密軍事情報が売られていることを発見した。

Insiktの説明によると、一人の英語を話すハッカーが、無人航空機MQ-9 Reaperのドキュメンテーションがある、とほのめかした。そして驚いたことにそのハッカーは、それを150ドルか200ドルで売る、と言うのだ。

Insikt Groupによると、そのドキュメントは極秘扱いではなかったが、いくつかの機密資料を含んでいた:

  • M1 Abramsメンテナンス・マニュアル
  • 戦車小隊訓練教程
  • 搭乗員生存教程(サバイバルコース)
  • 簡易爆発物対抗戦術

Insiktは、そのほかのドキュメントもアメリカ陸軍の職員やペンタゴンから盗まれたようだ、と言っているが、しかしその情報のソースは確認されていない。

そのハッカーは、フォーラムに参加してこれらのドキュメントをあからさまに売るつもりだったようで、米軍の不注意な職員からそのほかの軍事文書を入手したこともある、と認めた。Insikt Groupが調べていくと、ハッカーはドキュメントを、不正な構成のFTPログイン認証情報を使い、Netgearのルーターにアクセスして入手したことが分かった。ハックしたドローンのドキュメントのソースについて尋ねると、その犯人はMQ-1 Predatorドローンからの撮影記録にもアクセスした、と認めた。

彼の手口はこうだ(出典–Insikt Group):

犯人は、Webサイトだけでなくコンピューター本体を検索できる検索エンジンShodanを使ってインターネットを広範囲にスキャンし、著名なサイトで標準的なポート21(FTP)を使っている構成不良なルーターを見つけ、そこから侵入したマシンから貴重なドキュメントをハイジャックした。

上記の方法でハッカーはまず、ネバダ州クリーチの空軍基地にある第432航空機メンテナンス中隊Reaperドローンメンテナンス担当部隊の大尉のコンピューターに侵入し、機密ドキュメントのキャッシュを盗んだ。その中には、Reaperのメンテナンス教本やReaperメンテナンス部隊に配属された航空兵の名簿もあった。教本のたぐいは極秘文書ではないが、敵対勢力の手に渡ると、そのもっとも技術的に高度な航空機〔Reaperドローン〕の技術的能力や弱点を探る手がかりになりえる。

Insikt Groupによると、ハッカーが軍事機密をオープンなマーケットプレースで売ることは“きわめて稀”である。“平凡な技術的能力しか持たないハッカーが単独でいくつかの脆弱な軍部ターゲットを見つけ、わずか1週間で高度に機密的な情報を気づかれずに取り出せたことは、もっと高度な技術と豊富な財政力を持つ確信犯組織だったら何ができるだろうか、という怖ろしい想定にわれわれを導く”、と同グループは警告している。

画像クレジット: Andrew Lee/アメリカ合衆国空軍

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Yahooから30億のメールアカウントを盗んだハッカーが5年の懲役と全資産没収

11月に罪を認めたカナダ人ハッカーKarim Baratov(23歳)は、Yahooをハックして最大30億のアカウントを露出した罪の、少なくとも一部に関して有罪が確定し、刑期5年の懲役刑が下(くだ)された。司法省によるとBaratovは、ロシアの諜報機関FSBの二人のエージェントの指示により、それらのアカウントを漏洩した。

二人の職員、Dmitry DokuchaevとIgor Sushchinは、同じくYahooハックに関わったラトビア人のハッカーAlexsey Belanと共にロシアに居住する。その居住地からして、これら三名が関与に関して罪を問われることはないと思われるが、Baratovのカナダ国籍は、彼を訴追可能にした。

司法省によるBaratovの刑の宣告(要約)には、こう書かれている: “この共謀罪におけるBaratovの役割は、FSBで働いていた彼の共謀者にとって関心のある個人のWebメールのアカウントをハックし、それらのアカウントのパスワードを金と引き換えにDokuchaevに渡すことだった”。

カリフォルニア北部地区担当の連邦代理検事Alex G. Tseが、外国政府の不正行為に加担しようとする未来のハッカーに対して、厳しい警告を発している:

“今回の量刑は、人に雇われてハッキング行為をすることの重大な犯罪性を反映している。Baratovのようなハッカーは、彼を雇って金を払う人びとの犯罪目的を考慮することなく、自分の仕事に専心する。これらのハッカーは軽犯罪者ではなく、犯罪者が個人情報を不法に入手して悪用するために使用する、重要な道具である。Baratovに対する5年の懲役刑は、国民国家がスポンサーとなるサイバー攻撃に参加するハッカーに向けて、その重大な結果を知らしめるために法廷が送る、明確なメッセージである。”

Baratovは5年の実刑に加えて、彼の保有資産225万ドルの全額を罰金として支払わなければならない。彼は陳述の中で、2010年から逮捕の2017年までに11000件のメールアカウントをハックしたことを認めた。

Baratovの罪にはほかに、加重的個人情報窃盗と、コンピューター詐欺と悪用法に違反する共謀罪が含まれている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

新手のDDoS攻撃がインターネットを襲った

1.3 TbpsのDDos攻撃 —— 単一の標的を狙って膨大なデータを送り込む悪質な行為 —— が3月1日に発生した。攻撃自体も注目すべきだが、さらに興味深いものが攻撃そのものの中に隠されていた。

攻撃が悪用した”memcached”は多くのサーバーで稼働している真っ当なサービスだ。このサービスはUser Datagramプロトコルを使っており様々な発信元から認証なしでデータを受信するため、その発信元になりすますことができれば容易に標的に侵入できる。Brian Krebsの記事によると、「UDPを悪用するDDoS戦術の中でもっともよく使われるものは、攻撃トラフィックを10~20倍に増幅できる —— すなわち 1 MBのファイル要求に対するレスポンスとして10~20 MBのトラフィックを生成する。

「この攻撃はこれまでAkamaiが見た中でも最大の攻撃であり、2016年9月にMirai botnetを宣言した攻撃の2倍のサイズで、一般に公表されたDDdS攻撃として史上最大かもしれない」とAkamaiは言う。memcachedにはレフレクション機能があるため、この記録がすぐに破られる可能性は高い。

そして、攻撃に使われた1 MBのファイルには身代金要求と仮想通貨のMoneroのアドレスが書かれていた。つまりDDoS攻撃が送りつけた荷物の中に脅迫状が入っていたというわけだ。

要するに、攻撃者はサーバーに膨大な量のデータを送り込んだだけでなく、標的になったサイトは攻撃をやめさせるために法外な金額を要求された。

これはメッセージが攻撃を補助する爆弾になるという狡賢く、新しい戦術だ。下に貼ったビデオはCybereasonのセキュリティー研究者らが作ったもので、memcachedがなりすましサーバーから受け取ったファイルを見ることができる。主要回線のシステム管理者たちは現在この悪質な攻撃の対応に追われている。

[原文へ]

(翻訳:Nob Takahashi / facebook

上水道プラントなど重要な公共施設を人質に取るランサムウェアをジョージア工科大の研究者たちがシミュレート

Aerial shot of factory in Houston, Texas

ジョージア工科大学の研究者たちが、私たちにとって非常に重要なものを攻撃するランサムウェアを作った。その重要なものとは、上水道施設だ。彼らのプログラムは、彼らがモデルとして作った上水道プラントに自分で自分をインストールし、‘犯人’である研究者たちは、塩素の量を変える、水の弁を閉じる、モニタリングシステムに嘘の値を送る、などのことができた。

博士課程の学生でこの研究の共同主導者であるDavid Formbyは語る: “データに危害を加えるだけでなく、制御システムも狂わすような、“高度な”ランサムウェアを作った。それがあれば加害者は水道施設や製造工場のような重要なシステムを人質に取ることができる。彼らは、それらのシステムが使っているPLCを狂わすことをねらうだろう。今回のシミュレーションでは、そんな攻撃を想定した”。

それらの施設のシステムには、妨害を防ぐセキュリティ機構は当然あるが、研究者たちの所見では、インターネットに接続されていて、外部からある程度のいたずらのできるPLCが約1400個あった。たった一つのマルウェアが、それらすべてをハックできるだろう、という。

“何がインターネットに接続されているか、に関して、現場は誤解している”、とFormbyは語る。“オペレーターたちは、システムは外部に対して遮断されているから、外部からコントローラにアクセスできない、と信じている。しかし、よく見ると、どこかに、予期せぬ形で接続があるんだ”。

加害者は、フィッシング攻撃でファイヤーウォールをくぐり抜けることさえできれば、施設全体、工場全体のPLCをインターネットに接続させて狂わせることができる。マシンが今たまたま接続していなくても、接続のための能力さえあれば餌食になる。昔は、あらゆるものをリモートでコントロールすることが夢だったから、そんな時代のレガシーのIoTは、わずかなキーボード操作で簡単に殺せる。可能性としての被害の規模は、おそろしく大きい。

“われわれが今回シミュレートしたのは、システムのそういう脆弱な部分にアクセスして水道施設を人質に取り、身代金(ランサム, ransom)を払わないと水に大量の塩素をぶち込むぞ、と脅すようなハッカーだ”、とFormbyは語る。

研究者たちは今日(米国時間2/13)、サンフランシスコで開かれたRSA関連のカンファレンスで、彼らのやったことを説明している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

中国の新サイバーセキュリティー法は企業にとって悪いしらせ

shutterstock_101884576

11月7日中国政府は新しいサイバーセキュリティー法を通過させた。これによって同国内で運用するIT企業に対して新たに厳しい要求が課される。新サイバーセキュリティー法には、データの局所化、監視、実名登録の必須化等が盛り込まれている。

新たな規制によって、インスタントメッセージング・サービスを始めとするインターネット企業は、ユーザーに実名を含む個人情報を登録させ、「禁止」されているコンテンツの検閲を行うことが要求される。実名ポリシーは、匿名性に制限を加え、オンラインコミュニケーションの自己検閲を促進する効果がある。

同法は、データの局所化も要求しており、「重要情報基盤の運営者」はデータを中国国境内に保管することを義務づけられる。規制に反対する弁護団体のHuman Rights Watchによると、同法は基盤運用者の定義を明確にしていないため、多くの企業が一くくりに対象とされる可能性がある。

「この法は実質的に中国のインターネット企業と数億人のインターネットユーザーを、国のより強い管理下に置くものだ」とHuman Right Watchの中国支部長、Sophie Richardsonは言った。新たな規制についてHRWは、ほとんどが新しいものではなく、従来から非公式あるいは低レベルの法で定められていたが、高レベルの法として制定されることで厳格な適用につながる可能性があると言っている。

china-domains

検閲の強化に加えて、同法はその名にふさわしくサイバーセキュリティーに新たな要求を課している。企業は「ネットワークセキュリティー事象」を政府に報告し、侵入について顧客に通知する義務を負うだけでなく、当局による捜査中に「技術支援」を行うよう記されている。「技術支援」もまた明確には定義されておらず、暗号解読のバックドアを含め政府の監視への協力を意味している可能性もある。

このサイバーセキュリティー法によって、いくつかのカテゴリーのコンテンツが犯罪とみなされるようになり、「社会主義体制の崩壊」「虚偽情報の捏造あるいは流布による経済秩序の乱れ」あるいは「分離主義の扇動や国の結束を損う行為」を促すコンテンツ等が対象となっている。

「ネットでの言論の自由とプライバシーが、平和的批判に対する中国の姿勢を示す指標であるなら、全員 ― 中国のネット市民や主要グローバル企業を含む ― が危険に曝されることになる。この法が通過することは、ユーザーが重罪に問われることを防ぐ手段がなくなることを意味している」とRicharsonは語った。

[原文へ]

(翻訳:Nob Takahashi / facebook