Cyberwarfare | SEO-LPO.net

医療機器セキュリティ向上のCyberMDXが約22億円を調達

ヘルスケアセキュリティのスタートアップであるCyberMDXは、最新の資金調達ラウンドで2000万ドル（約22億円）を調達したことを米国時間4月7日に認めた。

ニューヨークに拠点を置くCyberMDXは、病院のネットワークに接続された資産とデバイスを管理し、リアルタイムで攻撃を監視するサイバーインテリジェンスプラットフォームを通じて、主に医療機器の保護と病院ネットワークのセキュリティ向上に取り組んでいる。

CyberMDXはわずか4年前に設立されたにもかかわらず、医療分野でより存在の知られたサイバーセキュリティスタートアップの1社となった。同社の研究部門はすでに、麻酔器や呼吸器に使用される輸液ポンプやネットワークプロトコルなど、広く使用されている医療機器に複数の脆弱性があることを発見しており、米国土安全保障省を通じて警告を発している。

2000万ドル（約22億円）の資金調達は、Relyens Groupの一部門かつヨーロッパ最大の保険とリスク管理プロバイダーであるShamが主導し、既存投資主であるPitango Venture CapitalとQure Venturesが参加した。

CyberMDXはこの2000万ドル（約22億円）により、新しい地域や市場に向けてプラットフォームを展開していく予定だと述べている。

今回の資金調達は極めて重要な時期に実施された。世界中の何千もの病院や医療施設が新型コロナウイルス（COVID-19）のパンデミックによる重圧の中で、CyberMDXは同社のプラットフォームが彼らの負担を軽減できることを望んでいる。

「今日の新型コロナウイルスや前例のない事案を考慮すると、この困難な時期に医療コミュニティを支援することが我々のミッションの一部であると考えている」と、CyberMDXの共同設立者かつCEOのAmir Magner（アミール・マグナー）氏は述べている。

［原文へ］

（翻訳：塚本直樹 Twitter）

外貨両替大手のTravelexがマルウェアの被害でサービス中断

外貨両替店の大手Travelexが、12月31日にマルウェアの被害に遭い、一部のサービスを停止したことを確認した。ロンドンに本社があり全世界に1500店あまりを持つ同社によると、同社は「データを保護するための予防的措置として」システムをオフラインにし、マルウェアの拡散を防いだ。

同社の英国のサイトでは現在、オフラインで「重大事故」（Server Error）と書かれたページが表示されるだけだ。同社の企業サイトは「システムのアップグレードをしている間オフラインにする」と公表していた。Travelexからのツイートは、「ウェブサイトでもアプリでも通常の取引業務ができない」と説明している。一部の店舗では手作業で顧客の要求に応じている。一部のサービスをTravelexに依存している企業、例えばTesco Bankもこの間、問題を抱えている。

Travelexの英国のウェブサイトは現在オフラインだ（スクリーンショット提供：TechCrunch）

同社によると、「これまでのところ」顧客のデータは侵害されていない、というが、その証拠などは示されていない。同社は「現在捜査中なのでマルウェアの種類などをお教えできない」と説明する。昨年は、著名企業がランサムウェアにやられる事故が増加した。それは、被害者のデータを暗号化して利用不能にし、身代金を払えば元に戻してやると迫るマルウェアだ。アルミニウム製造の大手Norsk Hydroと英国のPolice Federation（警察組合）が3月に、Arizona BeveragesとAebi Schmidtが4月に、宅配のPitney Bowesは10月に被害に遭った。

市や州など一部の地方自治体も、ランサムウェアにやられた。そのため先月ニューオーリンズは非常事態宣言を公布した。Travelexのスポークスパーソンから、声明以外のコメントを得られなかった。

画像クレジット：Bloomberg/Getty Images

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

Microsoft（マイクロソフト）によると、同社はイランと関連のあるハッカーたちが2020年の大統領選の候補者を狙っている証拠を見つけた。

この巨大テクノロジー企業のセキュリティ部門のトップTom Burt（トム・バート）副社長が、ブログでその犯行を確認しているが、候補者の名前は挙げられていない。

マイクロソフトがPhosphorous（燐光）と呼ぶその犯行グループは、APT 35とも呼ばれ、マイクロソフトの特定の顧客のメールアカウントを見つける試みを2700回以上行った。バート氏によると、これらのアカウントは大統領選や、現在および前の米国政府職員、ジャーナリスト、そして国外に住むイラン人の有名人などに結びついている。

バート氏によると「4つのアカウントはこれらの試みにより侵犯されたが、この4つは米国大統領選や現在および過去の米国政府職員に結びついていない。犯行は8月と9月に行われた」と語る。

犯行グループはマイクロソフトのアカウントに結びついている第二のメールアカウントにアクセスし、そこからアカウントに侵入しようとした、と彼は言う。犯人が、ユーザーの電話番号を集めてそれらを攻撃しようとしたこともある。バート氏によると、犯行は「技術的に高度なものではなく」て、とにかく「大量の個人情報を利用して」アカウント見つけ、攻撃しただけだ、という。

8月と9月の犯行では、マイクロソフトを電子メールプロバイダーとして使っていた大統領選候補者はドナルド・トランプ氏とマーク・サンフォード氏だけだった。

マイクロソフトのレーダーがPhosphorousを捉えたのは、これが初めてではない。同社はこの犯行グループをすでに訴えており、バックにテヘラン（イラン政府）がいると信じている。今年初めにマイクロソフトは、ハッカーたちが水飲み場型攻撃のために使っていたいくつかのドメインを捉えた。そのハッカー集団は、元米空軍対敵諜報職員Monica Wittと関係があったとも信じられている。彼女は2013年にテヘランに逃れ、今ではスパイ行為の疑いでFBIが追っている。

この前のハッカーたちの作戦では、YahooやGoogleのログインページに似せた二要素認証を欺くページで、学者やジャーナリストをねらったスピアフィッシング（Spearphishing、特定ターゲットに対するフィッシング）を展開した。

マイクロソフトによると、これまで同社は、国家が背後にいる犯行に関して800件あまりの通知を行った。そのユーザーたちは、政治的キャンペーンを対象とする同社のアカウント監視サービスで保護されていた。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

新手のDDoS攻撃がインターネットを襲った

1.3 TbpsのDDos攻撃 —— 単一の標的を狙って膨大なデータを送り込む悪質な行為 —— が3月1日に発生した。攻撃自体も注目すべきだが、さらに興味深いものが攻撃そのものの中に隠されていた。

攻撃が悪用した”memcached”は多くのサーバーで稼働している真っ当なサービスだ。このサービスはUser Datagramプロトコルを使っており様々な発信元から認証なしでデータを受信するため、その発信元になりすますことができれば容易に標的に侵入できる。Brian Krebsの記事によると、「UDPを悪用するDDoS戦術の中でもっともよく使われるものは、攻撃トラフィックを10～20倍に増幅できる —— すなわち 1 MBのファイル要求に対するレスポンスとして10～20 MBのトラフィックを生成する。

「この攻撃はこれまでAkamaiが見た中でも最大の攻撃であり、2016年9月にMirai botnetを宣言した攻撃の2倍のサイズで、一般に公表されたDDdS攻撃として史上最大かもしれない」とAkamaiは言う。memcachedにはレフレクション機能があるため、この記録がすぐに破られる可能性は高い。

そして、攻撃に使われた1 MBのファイルには身代金要求と仮想通貨のMoneroのアドレスが書かれていた。つまりDDoS攻撃が送りつけた荷物の中に脅迫状が入っていたというわけだ。

要するに、攻撃者はサーバーに膨大な量のデータを送り込んだだけでなく、標的になったサイトは攻撃をやめさせるために法外な金額を要求された。

これはメッセージが攻撃を補助する爆弾になるという狡賢く、新しい戦術だ。下に貼ったビデオはCybereasonのセキュリティー研究者らが作ったもので、memcachedがなりすましサーバーから受け取ったファイルを見ることができる。主要回線のシステム管理者たちは現在この悪質な攻撃の対応に追われている。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

ハードウェアの設計にセキュリティの欠陥を見つけるTortuga Logicが$2Mを調達

システムのセキュリティをチップのレベルで担保することを目指すTortuga Logicが、Eclipse Venturesから200万ドルのシード資金を獲得した。パロアルトに本社を置く同社は、その資金で、コンピューターのハードウェアに人知れず潜む脆弱性を見つける製品を作りたい、と志向している。

ファウンダーのDr. Jason Oberg, Dr. Jonathan Valamehr, UC San Diego教授Ryan Kastner, UC Santa Barbara教授Tim Sherwoodらは全員、システムのセキュリティに関して数十年の経験があり、その知見の商用化（企業化）にあたってはNational Science Foundationから助成金が出ている。

“ソフトウェアによるセキュリティ製品やセキュリティ企業は世界中にたくさんあるが、自動運転車の登場やモバイルデバイスの複雑性の増大、それに、とくに軍用製品におけるサプライチェーンの信頼性の問題などにより、セキュリティ技術の大きな欠陥が拡大しつつある。その大きな欠陥とは、具体的にはハードウェアだ”、とObergは語る。

ソフトウェアによるセキュリティは、高価なDSLRカメラ上のダストセンサーみたいなものだ。しかし同社のシステムは、ハードウェア本体の上の欠陥を感知し、ハードウェアのセキュリティホールをさまざまなソフトウェアが悪用することを防ぐ。

“ハードウェアの脆弱性はこれまでまんまと悪用されて、現代のコンピューターシステムを完全に骨抜きにしてきた”、とObergは語る。“すでに発売され、場合によっては悪用されたこともあるセキュリティの脆弱性を修復しようとすると、とんでもない費用がかかる。ソフトウェアと違ってハードウェアはパッチができないから、リコールのような高価なソリューションしかない場合が多い”。

同社は、そんなセキュリティを“後知恵”（あとぢえ）と見なし、危険性の高いセキュリティホールにあらかじめ（設計段階で）パッチを当てることにより、システムのセキュリティを大幅にアップできる、と主張する。

そのために同社が売っているのが、“半導体の設計のあらゆる部分にセキュリティの脆弱性を見つけるための一連のハードウェア設計ツール”で、すでに航空宇宙や国防の分野に顧客がいる。

“一般的なセキュリティ企業に対する弊社の差別化要因は、弊社はソフトウェアではなく、システムの内部で使われているチップにフォーカスすることだ”、とObergは述べる。“大企業が一時的な社内チームを作って、ハードウェアのセキュリティの問題解決に当たらせると、ほとんど何もかも手作業になるだろう。それに対して弊社は、技術と知識の蓄積を活かして脆弱性発見の過程を自動化できる”。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる

セキュリティ企業のArmisが8つのエクスプロイトを見つけ、まとめてBlueBorneと名付けた。それらを利用すると、スマートフォンの本体に触ることなくアクセスして攻撃できる。スマートフォンだけでなく、Bluetoothを使っているコンピューターやIoTなどにも、同じ弱点がある。

Armisは、Bluetoothを使っているさまざまなプラットホームに、もっと多くの脆弱性がある、と考えている。これらの脆弱性は常時機能しており、したがって攻撃がつねに成功することを、Armisはデモで示した。アタックベクタBlueBorneは、コードのリモート実行や中間者攻撃など、大規模な犯行にも利用できる。

SeguruのCEO Ralph Echemendiaは語る: “BlueBorneはどんなデバイスでも被害者にしてしまう。Bluetoothがブルーでなくブラックになってしまう。この件では、セキュリティのための（システムの）手術が必要だろう”。

このビデオでお分かりのように、これらのエクスプロイトによりハッカーはデバイスを見つけ、Bluetoothで接続し、画面とアプリをコントロールしはじめる。ただしそれは、完全にお忍びではない。エクスプロイトを利用するとき、デバイスを“起こして”しまうからだ。

この複雑なアタックベクタは、ハックするデバイスを見つけることから仕事を開始する。そしてデバイスに自分の情報を開示させ、かつて多くのWebサーバーにパスワードなどをリモートで表示させた“heartbleedにとてもよく似た手口で”、キーとパスワードを盗む。

次は一連のコードを実行してデバイスの完全なコントロールを握る。研究者たちはこう書いている: “この脆弱性はBluetooth Network Encapsulation Protocol(BNEP)にあり、Bluetoothによる接続（テザリング）でインターネットの共有を可能にする。BNEPサービスの欠陥によりハッカーはメモリを破壊し、デバイス上でコードを実行できるようになる。それ以降デバイスは、完全に犯人のコントロール下にある”。

次にハッカーは、デバイス上のデータを“中間者攻撃”でストリーミングできるようになる。

“その脆弱性はBluetoothスタックのPANプロフィールにあり、犯人は被害者のデバイス上に悪質なネットワークインタフェイスを作れるようになり、IPルーティングの構成を変えて、デバイスがすべての通信をその悪質なネットワークインタフェイスから送信するよう強制する。この攻撃には、ユーザーの対話的アクションや認証やペアリングを必要としないので、ユーザーにとっては実質的に不可視である。

WindowsとiOSのスマートフォンは保護されており、Googleのユーザーは今日（米国時間9/12）パッチを受け取る。Androidの古いバージョンやLinuxのユーザーは、安全ではない。

安全を確保するためには、デバイスを定期的にアップデートするとともに、古いIoTデバイスの使用をやめること。大手企業の多くがBlueBorneベクタに関連した問題のほとんどにすでにパッチを当てているから安心だが、マイナーなメーカーが作ったデバイスは危ないかもしれない。

Armisはこう書いている: “ネットワークを利用する新しい犯行には、新しい対策が必要だ。既存の防備が役に立たないこともある。また消費者や企業向けに新しいプロトコルを使うときには、事前に十分な注意と調査が必要だ。デスクトップとモバイルとIoTを合わせたデバイスの総数は増加する一方だから、このようなタイプの脆弱性が悪用されないようにすることが、きわめて重要だ”。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa））

Apple曰く今度のデベロッパーサービスの事件はバグのせい、セキュリティ侵犯ではない

Appleの説明によると、デベロッパーのアカウントに短時間影響を与えた問題はバグが原因で、一部の説のようなセキュリティの侵犯ではない。

今朝（米国時間9/6）、Appleのシステム上にある一部のデベロッパーのアドレスが、ロシアのある場所に書き換えられた、という報告がいくつか入ってきた。ヒラリー・クリントンの選挙参謀のメールアカウントのハッキングをはじめとして、最近はロシアを悪者視する風潮もあるため、今回のその事件も、アクセス権限のない第三者の仕業（しわざ）か、という不安が走った。

All my teams on Developer Member Center at @apple are registered in Russia. Nice. pic.twitter.com/kyYyRyLTR7

— Dal Rupnik (@TheLegoless) September 6, 2017

[ぼくのチームの全員がロシアで登録している。すごいな。]

しかしAppleは、システムは侵犯されていない、と述べた。

同社はデベロッパーたちに次のような注記を送り、まだ特定されていなかったバグが一時的な問題を起こした、と説明した。被害者はデベロッパー全員ではなく、“一部”だそうだ:

アカウント管理アプリケーションのバグにより、あなたのアドレス情報が、Apple Developer Webサイトのアカウント詳細で一時的に不正に表示されました。被害を受けたデベロッパー全員が、同じ不正なアドレスになりました。原因となったコードレベルのバグは直ちに解決され、あなたのアドレス情報は今では正しく表示されています。セキュリティの侵犯はなく、Apple DeveloperのWebサイトやアプリケーション、サービスなどはいっさい毀損されておりません。また、あなたのApple Developer会員の詳細情報は誰からもアクセスや共有、表示をされておりません。

2013年には、AppleのDeveloper Centerがハックされてまる三日間ダウンしたが、今週の事件はそれの繰り返しではない。でも、ロシアとAppleのデベロッパーの二つが並んで登場することは、一部の人にとって、とてもおもしろいかもしれない。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa））

BrickerBotワームは安全でないIoTデバイスを無能化してセキュリティ管理者の自覚を促す

The Janitorと呼ばれるハッカーが作った、バージョンが複数あるプログラムBrickerBotは、安全でないIoTデバイスを見つけて、それを動作不能にする。セキュリティ研究家のPascal Geenensがそのワームを数週間追跡し、感染したWebカメラなどのIoTデバイスを破壊する様子を目撃した。

それらのデバイスはすべてBusyBoxと呼ばれるLinuxパッケージを使っており、telnetインタフェイスをデフォルトのパスワードで露出していた。そのようなデバイスは容易にMiraiボットネットの餌食になり、DoS攻撃の武器にされてしまう。

BrickerBotはこれらのデバイスを見つけて、無能化する。最初のバージョンは約1000のデバイスを攻撃し、次のバージョンは数千かそれ以上を攻撃した。デバイスの内部メモリをフォーマットすることによって、それらを無能にする。

Janitorはこう書いている: “2016年の、IoTボットネットによるDDoS無差別攻撃には、ぼくもびっくりした。大規模な攻撃があれば業界が立ち上がって対策するだろう、と思ったけど、数か月という記録破りの攻撃が続き、あらゆる真剣な対策が講じられたにもかかわらず、通常の方法で問題を迅速に解決することはできなかった。ぼくは自分のプロジェクトを、‘インターネットの化学療法’だと思っている。ぼく自身はまあ、それのお医者さんだ（ジョークだけどね）。化学療法は辛い治療法だから、健康な患者には決して適用しない。でもインターネットは2016年のQ3とQ4に重症の病気になり、穏やかな治療法は効果がなかった”。

こんな、正義の使者を自称する自己正当化は、おもしろいし、しかも巧妙だ。ユーザーが自分のシステムのセキュリティを怠った場合、ちょっと痛い目に遭った方が、彼らの真剣な対応を促すだろう。そして、管理者のパスワードを、デフォルトのままにするようなずさんさから、卒業できるだろう。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa））

強力なDDos攻撃アプリケーションMiraiがGitHub上でオープンソース化、逮捕回避のための煙幕か

KrebsOnSecurityやそのほかのWebサーバーに大きなダメージを与えたボットネットのMiraiは、セキュリティの脆弱なIoTデバイスを利用して、大規模なDoS攻撃を仕掛ける。しかしその作者はこのほど、それのソースコードをGithub上に公開したらしい。

Cで書かれたその短いコードは、IPカメラなどインターネットに接続されたデバイスの上で実行される。rootのパスワードを試行によって探り当て、デバイスに侵入、事前に決めてあったターゲットにトラフィックを送る。試行するパスワードが書かれているコードは、このファイルにある。

screen-shot-2016-10-10-at-10-46-27-am

ハッカーはこのボットネットを使って、620GbpsのDDoSをKrebsOnSecurityへ送った。そこはBrian Krebsのセキュリティに関するブログとして、かねてから人気のサイトだ。そのボットネットは強力ではあるものの、当のIoTデバイスをリブートすれば止まる。また、デバイス側のシステムアップデートにより、被害機は徐々に減っているようだ。コードをHackforumsにポストしたハッカーのAnna-senpaiはこう述べている、“Miraiでは、telnetからだけで最大380k（38万）のボットを取り出していた。でもKrebsをDDoSしてからは、徐々にISPたちがそれらを掃除するようになった。今では最大は300k程度で、しかも減りつつある”。

Krebsはハッカーたちの逮捕を求めており、今回のコード公開は利他的動機によるものではない、と見ている。

彼曰く: “Anna-senpaiがMiraiのソースコードを公開した理由はよく分からないが、利他的な行為ではありえないだろう。悪質なソフトを開発している連中は、警察や警備会社などに居場所を突き止められそうになったら、ソースコードをばらまいて煙幕を張る。公開して誰でもダウンロードできるようにすると、コードの持ち主が即犯人、とは言えなくなるからね”。

そのコードは今Githubにあり、どうやら本物のようだ。ぼくはコンパイルしていないが、ファイルにはおもしろい情報がいろいろある。教材としての利用価値は、十分にあるだろう。もちろん、悪い連中にとっても、利用価値は十分あるけどね。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa））

サイバーセキュリティー対策、鍵は女性にあり

サイバーセキュリティー専門家の需要がかつてなく高い中、最新レポートによるとこの分野で働く女性の数は伸びていない。

女性は、サイバーセキュリティー従事者のわずか10%しかいないことが、今日発表されたレポートで伝えられた。情報技術に特化した非営利団体(ISC)²およびBooz Allen Hamiltonによる。この数字は2年間変わっていない。

この絶望的な数字にも関わらず、同分野における女性の潜在能力は大きいとレポートは言う。女性は政府で働く情報セキュリティー従事者の20%を占め、9/11事件以来急速に増加しているリスク管理・法令順守業務を担っている。調査結果はさらに、女性の方がビジネス目標とリスク管理のバランス感覚に優れると考えられいると書いている。この分野で益々重要視されているスキルだ。

TargetからSonyまで、注目のハッキング事件がサイバーセキュリティーの話題を表舞台に乗せた。しかし、海外政府によるものから身近なハッカーまで脅威が増す中、必要な訓練を受けた人々の数は需要に追いついていない。加えて、モノのインターネットの普及が新たなセキュリティーリスクを招いていることを最近FBIも警告を発している。

「情報セキュリティー分野では、積極的対策を施さない限り2020年までに150万の専門家が不足する」と(ISC)²のCEO David Shearerはニュースリリースに書いている。「これを踏まえると、この業界で働く女性が少ないことは実に残念だ」。

この不足に業界がどう取り組むべきかについての考え方が、調査対象の女性と男性とでは異なる。これまで業界は情報セキュリティー要員を「買う」ことに頼り、サイバーセキュリティー専門家を高給で呼んでいた。しかし、Frost & Sullivanが調査した女性は、この方法では不十分だと答えた。彼女らは他のインセンティブ、例えば柔軟な勤務時間や様々な教育プログラム等を求めている。こうした要望は理にかなっている。最近大手IT企業も育児休業の拡大など同様の制度を試行して、優れたエンジニアの勧誘と維持に務めている。

レポートは、女性に対して早期に、主として学校教育やインターン制度の中で、情報セキュリティー分野におけるキャリアパスを推進していくべきだと強く主張している。

[原文へ]

（翻訳：Nob Takahashi / facebook）