タイの通信大手AISで80億件ものネット利用記録のデータベースが流出

タイの通信ネットワーク最大手AISは、何百万人ものインターネットユーザーの何十億というリアルタイムインターネットの利用記録を流出させていたデータベースをオフラインにした。

セキュリティ研究者のJustin Paine(ジャスティン・ペイン)氏は、DNSクエリやNetflowデータを含むデータベースがパスワードなしでインターネット上にあることに気づいた、とブログに書いた。このデータベースにアクセスすると、インターネットユーザー(あるいは世帯)が今、何をしているのか誰でも「すぐに見当をつけられる」とペイン氏は話している。

ペイン氏は米国時間5月13日にAISにデータベースがオープンになっていることを警告した。しかし1週間経ってもAISからの反応がなく、ペイン氏は明らかなセキュリティ上の過失を通称ThaiCERTというタイの国家コンピューター緊急対応チームに報告した。そしてThaiCERTがAISに連絡を取った。

しばらくしてデータベースはアクセスできなくなった。

データベースを誰が所有しているのかは明らかではない。ペイン氏は、データベースで見られた記録の種類は、ネットワーク内を飛び交うインターネットトラフィックを監視できる人からのものだとTechCrunchに語った。ただ、データベースがインターネットプロバイダーに属するものなのか、あるいは子会社の1社のものなのか、はたまたAISネットワークの大企業顧客のものなのか識別するのは難しい。AISの広報担当は、電子メールによるTechCrunchからのコメントの求めに応じなかった。

DNSクエリはインターネット使用に伴う一般的な副作用だ。ウェブサイトを訪れるたびにブラウザはウェブアドレスをIPアドレスに変換する。IPアドレスはブラウザに、ウェブページがインターネット上のどこにあるのかを伝える。DNSクエリはプライベートのメッセージや電子メール、パスワードなど取り扱いに注意を要する情報を運ばないが、ユーザーがどのウェブサイトにアクセスし、どんなアプリを使うのかを特定できる。

これはジャーナリストや活動家のような、インターネット利用の記録が情報ソースの特定に使われ得るという、大きなリスクを背負っている個人にとっては深刻な問題となる。

タイのインターネット監視法では、当局のインターネットユーザーデータへの広範なアクセスを認めている。タイにはまた、アジアで最も厳しい検閲法があり、タイ王室や国家セキュリティ、特定の政治問題に対する批判を禁じている。2015年のクーデターで登場したタイの軍事政権は、ソーシャルネットワーク大企業のFacebook(フェイスブック)が一部のユーザーの投稿への検閲を拒否したためにフェイスブックを国中で禁止していたが、2017年にこれを撤回した。

DNSクエリデータは個人のインターネット活動についての知見を得るのにも使われる。

ペイン氏は、データベースにアクセスできる人がインターネットにつながっている家庭からいかに大くの情報を得ることができるのか、データを使って示した。例えば、所有しているデバイスの種類、使用しているコンピューターウイルス対策ソフト、使うブラウザ、頻繁に利用するソーシャルメディアアプリやウェブサイトなどについてだ。家庭やオフィスでは、多くの人が1つのインターネット接続を共有するため、インターネット活動から特定の人へと追跡していくのはかなり困難だ。

広告主もまたターゲット広告のためにDNSデータを重宝している。

2017年の法律で米国のインターネットプロバイダーはユーザーのDNSクエリや閲覧履歴といったインターネット利用記録の販売が認められ、ブラウザメーカーはインターネットやネットワークのプロバイダーが覗いて回ることがしにくくなるよう、プライバシーを高めるテクノロジーを展開することで抵抗した。

DNS over HTTPSやDoHのようなDNSリクエストを暗号化するテクノロジーは、ユーザーが訪れているウェブサイトや使用しているアプリをインターネットやネットワークのプロバイダーが把握することをかなり難しくする。

画像クレジット: Nicolas Asfouri / AFP / Getty Images

[原文へ]

(翻訳:Mizoguchi

プロバイダーの業界団体がMozillaをインターネットの悪党と非難

インターネットサービスプロバイダーの業界団体がFirefoxブラウザーの開発元であるMozillaを、DNSのセキュリティ規格をサポートしているために「インターネットの悪党だ」と決めつけた。

イギリスのインターネットサービスプロバイダーの業者団体であるInternet Services Providers’ Association(ISPA)が名指ししたのは、Mozillaがブラウザーへの実装を計画しているセキュリティ機能だ。彼らによるとそれは、ユーザーに「英国のフィルタリング義務やペアレンタルコントロールをバイパスすることを許し、英国におけるインターネットの安全性基準を毀損する」からだ。

Mozillaは昨年に「少数のユーザーを対象にDNS-over-HTTPS日本語解説)をテストする」と発表した。ウェブサイトを訪ねるときは常に、それがHTTPSのサイトであってもウェブのアドレスをコンピューターが理解できるIPアドレスに変換する。DNSのクエリは通常暗号化されていない。しかしその問題のセキュリティ規格はアプリケーションのレベルで実装され、MozillaはDNS-over-HTTPSを使用する初のブラウザーメーカーになる。

それはDNSのクエリを暗号化することによってDNSリクエストを中間者攻撃から護り、リクエストをハイジャックして被害者を悪質なページに誘うことができないようにする。DNS-over-HTTPSには、パフォーマンスを上げる効果もあり、DNSクエリや全体的なブラウジング体験を高速化する。

しかしISPAは、DNS-over-HTTPSが英国の現在のウェブサイトブロック体制に即していない、と見ている。英国の法律では、著作権や商標権を侵害していたり、テロリストの素材や児童虐待の画像を含むウェブサイトはブロックされるとしている。ISPAの主張では、DNSクエリを暗号化するとインターネットプロバイダーが利用者のインターネットアクセスをフィルターすることがより困難になる。

ISPAだけでなく英国の諜報機関GCHQや、英国のインターネットブロックリストを管理しているInternet Watch Foundationも、ブラウザーがDNSの暗号化を実装することを批判している。

ISPAがMozillaを名指ししたことはたちまち、セキュリティコミュニティからの怒りに火をつけた。しかしソーシャルメディア上の反発の嵐の中でISPAは、その立場に強く固執した。同団体は「DNS-over-HTTPSをデフォルトにすることはオンラインの安全性とサイバーセキュリティと消費者の選択にとって有害である」と主張する一方で「さらなる議論を歓迎する」とも言った。

Mozillaには味方もいる。インターネットプロバイダーのAndrews & Arnoldは、非営利事業/団体支援の一環としてMozillaに2940ポンド(約40万円)寄付し、こうツイートした。「この金額は、弊社がISPAの会員だったら払うであろう会費と同額である」。

MozillaのスポークスパーソンであるJustin O’Kelly(ジャスティン・オーケリー)氏はTechCrunchに対し「 ISPの業界団体が、インターネットのインフラストラクチャの古くからの欠陥に対する改善措置を誤解していることは意外でもあり、失望している」とコメントした。

「彼らの主張とは逆に、DNSをよりプライベートにすることはコンテンツのフィルタリングやペアレンタルコントロールを妨害しない。DNS-over-HTTPS(DoH)は英国市民に真のセキュリティを提供する。私たちの目標はより安全なインターネットを構築することであり、私たちは今後もそのやり方に関して、イギリスの信頼性ある利害関係者らとの真剣で建設的な会話を継続していく」とオーケリー氏。

彼は「当面英国でDNS-over-HTTPSをデフォルトにする計画はないが、ヨーロッパにおけるDNS-over-HTTPSのパートナーを探して、この重要なセキュリティ機能をそのほかのヨーロッパの人びとに幅広く提供していきたい」とも語る。

DNS-over-HTTPSの展開はMozillaが初めてではない。昨年、CDNなど各種インターネットインフラサービスを提供しているCloudflareが、プライバシーにフォーカスしたDNSサービス1.1.1.1のモバイルバージョンをリリースし、そこにDNS-over-HTTPSを含めた。それより前にはGoogle傘下のJigsawが検閲撃退アプリInfraをリリースし、DNSの外部からの操作を防ごうとしている。

Mozillaは、FirefoxにおけるDNS-over-HTTPSの全面展開の日程をまだ決めていない。

関連記事:CloudflareのプライバシーとスピードをアップしたDNSサービス1.1.1.1がモバイルアプリに

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Googleの新アプリ、Jigsaw IntraはDNS攻撃を防止する――検閲排除にも効果的

Googleの親会社Alphabetの事業部、Jigsawから新しいセキュリティー・アプリが発表された。IntraはDNS攻撃を防ぐことを目的としており、国家による検閲からユーザーを守るにも効果的だ。

Intraが監視するのはDNS操作による攻撃だ。インターネット利用者がウェブサイトを訪問するとき、ドメイン・サーバーにリクエストを送り、人間が覚えやすいURL文字列をIPアドレスをに変換する必要がある。このDNS接続が暗号化されていない場合、脆弱性となる。ハッカーやトルコのような抑圧的な政府はこれまでも頻繁にDNS攻撃を用いてきた。ウェブサイトのアドレス要求を傍受し、通信を切断してサイトが読み込まれるのを防いだり、偽サイトに転送したりするわけだ。

Intraはウェブサイトのアドレスを要求する通信をすべて暗号化し、信頼されたDNSに送ることで第三者による通信の傍受や妨害を防ぐ。

Jigsawによれば「Intraの使い方はこれ以上ないほど簡単だ。アプリをダウンロードして起動する。それだけでいい」という。

Jigsawはインターネットへのアクセスが制限されたり監視されたりしている国々ですでに成果を挙げている。ベネズエラの政府も市民がニュースサイトやSNSにアクセスすることを妨害するためにDNS攻撃を行っているという。

IntraアプリはデフォールトでGoogleが運営するDNSサーバーに接続するが、ユーザーは接続要求を公開鍵暗号で接続を保護するDNSサーバーを運営するCloudflareに転送することも可能だ。他の信頼できるサーバーを利用することもできる。

たしかにこのアプリのセキュリティーはGoogleやCloudflare、その他DNSが信頼できるという条件の下で成立している。Jigsawの広報担当者はTechCrunchの取材に対して「IntraのGoogle
DNSの利用情報はわれわれのプライバシー約款で保護されており、Cloudflareも独自の約款を持っている」と答えた。

Jigsawによれば、IntraはAndroid Pieに標準で実装されるという。Pieはすでに暗号化DNS接続をサポートしている。しかし事情から最新のAndroid
OSへのアップグレードが困難な地域のユーザーの便宜を図るため、JigsawはIntraを独立のアプリとしてりりーする。特に経済的に恵まれない地域ではOSのアップグレードは不可能に近い。こうしたユーザーもIntraによってセキィリティーを確保することが可能となる。

Alphabet 傘下の事業部の中でもJigsawの知名度は高くないが、セキュリティーとプライバシーに関する困難なパズルを解いてきた。ことに検閲、オンラインでのハラスメント、脅迫を防ぎ、暴力的過激主義に対抗することに力を入れている。このインキュベーターは言論の自由、表現の自由を守り、オンラインユーザーのリスクを軽減することを目的としている。

JigsawではIntraの他にも検閲に対抗するアプリを発表している。Project ShieldはサイトをDDoS(分散型サービス妨害)攻撃から守ることが目的で、Outlineは調査報道ジャーナリストや運動家が安全にデータを交換、共有できるプライベート・ネットワークを提供する。

原文へ

滑川海彦@Facebook Google+