セキュリティ侵犯でTモバイルの顧客情報が100万件以上流出

T-Mobile(Tモバイル)が、データ侵犯により100万人あまりの顧客に影響が及び、財務情報やパスワードを除く個人情報が悪意のある者に露出したことを認めた。同社は影響を受けた顧客に警告したが、そのハッキングの詳細な公式説明はない。

同社は被害者ユーザーへの公開情報で、同社のセキュリティチームが、プリペイドデータの顧客への「悪意ある不正なアクセス」を遮断した、と述べている。露出したと思われるデータは、以下のものだ:

  • 氏名
  • 請求アドレス
  • 電話番号
  • アカウント番号
  • 料金区分、プラン、起呼機能(国際通話ありなど)

最後のデータは「顧客に権限のあるネットワーク情報」と見なされ、通信企業に対する規制では、リークしたときには顧客に通知することが必要だ。つまり、その規制がなければ通知はしないということか。しかしそれでも、史上最大のハッキングが開示されなかったことが過去に何度もある。

しかし今回は、かなり素早くTモバイルはハッキングを開示したようだ。問い合わせに対しTモバイルの社員は顧客の1.5%未満が被害を受け、同社のユーザー総数は約7500万人だから、被害者数はおよそ100万人強になると言った。

同社は開示声明の中で、「弊社はみなさまの情報の安全を極めて重視している」と言っているが、それはTechCrunchがかつてこんな状況で言うなと求めた、しらじらしい決まり文句だ。

関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

そのTモバイルの社員によると犯行が発見されたのは11月の初めで「ただちに」シャットダウンしたそうだ。データがあった場所や、露出していた期間、会社が講じた対策などについても聞いたが、答はなかった。

上記のデータは、露出してもそれ自身では必ずしも有害ではないが、アカウントを盗もうとする者の足がかりになることはある。アカウントのハイジャックは最近のサイバー犯罪の、かなりよくある手口であり、料金プランや自宅住所などの情報が、犯行の役に立つこともある。あなたがTモバイルの顧客なら、パスワードを変えて、自分のアカウントの詳細をチェックしよう。

関連記事:サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

ロサンゼルスがジュースジャッキングをするマルウェアを警告したが事例はゼロ

ロサンゼルスの州検察官が「公共のUSB充電ポイントは危険なマルウェアがあることもあるので旅行者は利用を避けるように」と警告している。この忠告を読むと、そこらにあるUSBポートはどれも「ユーザーのデータを盗むために誰かが自分のスマートフォンをつなぐのを待っている」と思うかもしれない。それはジュースジャッキング(Juice Jacking)と呼ばれる攻撃で、警告の声明文によると犯人は充電ステーションやそこに挿入したまま残したケーブルにマルウェアをロードして、何も知らないユーザーのスマートフォンやそのほかの電子機器に感染させる。マルウェアはデバイスをロックしたり、データをエクスポートしたり、パスワードを直接犯人の手に渡したりするのだそうだ。

しかしロサンゼルス郡の主任検察官事務所によると、検察の記録にはジュースジャッキングは1件もないが、イーストコーストには知られている事案があるという。それはどこか、と聞いたら、そのスポークスパーソンは知らなかった。そもそもなぜこんな警報を出したのかと問うと「それは今行っている詐欺教育キャンペーンの一環だ」と応えた。

ますます疑問が深まる。でもなぜ?セキュリティ研究家のKevin Beaumont(ケビン・ボーモント)氏のツイートによると「そんなものがマルウェアの伝播に利用されたという証拠を見たことは一度もない」という。実際、見たと言う人はほとんどいないだろう。私にメッセージをくれた何人かのセキュリティ研究者は「そういう攻撃の概念実証を見たことはあるが、実際に犯行に使われた例は知らない」と言っている。

ジュースジャッキングという脅威は実在するが、もっと容易なやり方がいろいろあるのだから、こんなものすごく複雑で不完全な方法を使って誰かを攻撃するなんてありえないのではないか。また、今ではこのような攻撃を防ぐ機能のあるスマートフォンが多いから、ジュースジャッキング攻撃を仕掛けるなら非常に高度な罠が必要だろう。

でも、スマートフォンをつないだら秘密を盗まれるという話そのものに無理はない。それが可能であるというデモも、これまでにたくさんあった。ZDNetのジュースジャッキング特集記事には、FBIが全国に送った警報の例が載っている。それは、セキュリティ研究家のSamy Kamkar(サミー・カムカー)氏が作ったArduinoベースのインプラントはUSB充電器に似ていて、空気の流れを感知して押されたキーを読み取るというもの。また、この夏あるセキュリティ研究家が作ったiPhoneの充電器のケーブルのクローンは、近くにいるハッカーが脆弱性のあるコンピューターにコマンドを実行させることができた。

ロサンゼルス当局は、充電ステーションを使わずコンセントを使うこと、そして自分のケーブルを持ち歩くことを勧めている。健全なアドバイスだが、でもそれは、あなたのデバイスとデータを安全に保つためにすべき多くのことのひとつにすぎない。

関連記事:Wi-Fiモジュールを埋め込んだiPhoneの充電ケーブルでPCをハッキングできることを証明

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Twitterのジャック・ドーシーCEOのTwitterアカウントが乗っ取られる

ハッカーがTwitterの共同創業者で現在のCEOであるJack Dorsey(ジャック・ドーシー)氏のアカウントを乗っ取った。

人種差別なども含む一連の悪質なツイートが、8月31日東部時間午後3時30分(9月1日日本時間午前4時30分)よりTwitterのCEOのTwitterアカウントへ彼からのツイートとしてポストされた。それらのツイートのひとつには、アカウント乗っ取り犯と称する者のTwitterハンドルがあった。そのアカウントは、即座に停止された。

ドーシー氏にはフォロワーが421万人いる。

TwitterのスポークスパーソンEbony Turner(エボニー・チューナー)氏によると、同社は目下調査中である同社は事件に関して、こんなツイートをポストした。

アカウントがどうやって乗っ取られたのか、まだわかっていない。しかし悪質なツイートはCloudhopperから送られた。Twitterが2010年に同社のSMSサービスを改良するために買収したこのサービスが使われたということは、誰かがドーシー氏のアカウントのパスワードを入手したのではなく、認証されているサードパーティのアプリが彼のアカウントを乗っ取った可能性を示唆している。

著名なアカウントをハックされてTwitterの大掃除が必要になったことは、これが初めてではない。FacebookのボスであるMark Zuckerberg(マーク・ザッカーバーグ)氏も、二段階認証を使わなかったためにTwitterのアカウントをハックされたことがある。また、そのときの彼のパスワードは、知らない人が当てやすい笑えるほどシンプルなものだった。

その後Twitterは、ドーシー氏のアカウントを保護したと公表した。

Twitterのその後「アカウントに結びついている電話番号が、モバイルプロバイダーのセキュリティの欠陥により乗っ取られた。これによって、権限のない者がその電話番号からテキストメッセージでツイートを作って送ることができた」とコメントした。

つまり、ドーシー氏はSIMスワッピング(SIM交換を悪用する詐欺)の被害者になったようだ。Twitterは、そのモバイルプロバイダーの名を挙げていない。

Twitterからの声明でこの記事をアップデートした。

関連記事:マーク・ザッカーバーグのTwitter、Pinterest、LinkedInがハックされる、Facebookアカウントは無事

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明

Googleのセキュリティ研究者たちは、ユーザーが訪問すると、これまで公表されていなかったソフトウェアの欠陥を悪用してユーザーのiPhoneをこっそりハックする悪質なウェブサイトを複数見つけた。

GoogleのProject Zeroが米国時間8月29日の午後発表したブログ記事によると、それらのウェブサイトはこれまで何も知らぬ被害者たちが毎週何千人も訪れて「無差別攻撃」にやられている。

Project Zeroのセキュリティ研究家Ian Beer(イアン・ビア)氏は「ただそのサイトを訪れるだけで、悪者サーバーが訪問者のデバイスを攻撃し、攻撃に成功したらモニタリングを行うプログラム片を埋め込む」とコメントしている。

彼によると、それらのウェブサイトはこれまで「少なくとも2年以上」iPhoneをハッキングしていた。

研究者たちが見つけた悪行の連鎖は5種類あり、それらは12のセキュリティ欠陥を利用していた。そのうち7つは、iPhone内蔵のウェブブラウザーであるSafariと関係があった。その5種類の攻撃連鎖により犯人は、最高のアクセスと特権のレベルである「root」アクセスを入手した。そうすると犯人は、一般ユーザーには近づけない特殊な機能にもすべてアクセスできるようになり、悪質なアプリをインストールして、所有者への通知も同意もないままiPhoneを制御できた。

Googleの分析によると、アプリのセキュリティ欠陥、いわゆる脆弱性を利用して犯人は、ユーザーの写真やメッセージを盗み、ユーザーの位置をほぼリアルタイムで追跡できた。その埋め込まれた悪質なプログラムは、デバイス上にユーザーが保存しているパスワードのリストにもアクセスできた。

実害があったのはiOS 10から現在のiOS 12までのバージョンだ。

Googleは2月にAppleにこの脆弱性を教え、被害がひどく、しかも長期にわたっているから、できるだけ短期間で修復しユーザーにアップデートを提供すべきだと推奨した。通常この種の被害ではソフトウェアデベロッパーに90日間の猶予が与えられるが、Appleは事態が深刻なため1週間という期限を設けた。

そしてAppleは6日後に、iPhone 5sとiPad Air以降のiOS 12.1.4のアップデートを発行した。

ビア氏によると、今現在、別のハッキング作戦が展開されていることもありえる。

iPhoneとiPadのメーカーは、セキュリティとプライバシーに関してきれいな話ばかりしてきた。最近ではiPhoneのroot特権を密かに奪うようなバグの発見者への報奨金を100万ドルに増額した。年内に発効するこの新しい報奨金ルールによると、Googleはさしずめ数百万ドルぐらいもらえるかもしれない。

Appleのスポークスパーソンはまだコメントをくれない。

関連記事:アップルがバグ報奨金プログラムを拡大し最大1億円に

[原文へ]

(翻訳:iwatani(a.k.a. hiwa

エネルギーと通信企業を狙う新しいハッキンググループ

アフリカと中東の通信企業と石油やガスの企業を狙う、新たなハッキンググループが登場したようだ。

産業セキュリティの専門企業Dragosは、同社が見つけたそのグループを「Hexane」(ヘキサン)と呼んでいるが、その活動についてはまだほとんど口をつぐんでいる。しかし米国時間8月1日の同社の発表によると、そのグループの活動は最近の数か月で活発化し、それはこのグループが初めて登場した1年前以後激化した同地域の緊張と時期が一致している。

HexaneはDragosが今追跡している9つのハッキンググループの中で最新だが、通信企業をターゲットにしていることが観察された。それは、石油やガス企業のネットワークにアクセスするための踏石としての攻撃と考えられるとDragosはコメントしている。

Dragosの上級索敵官であるCasey Brooks(ケーシー・ブルックス)氏は「通信企業をターゲットにすれば、下流の石油ガス精製企業や上流のプロダクションのオペレーションにセルネットワーク(携帯電話のネットワーク)からアクセスできるようになる可能性がある」と語る。

Dragosの話は具体的ではないが、このグループは被害者のネットワークを内部から侵犯するために利用できるサプライチェーンの中の「デバイスやファームウェアや通信ネットワーク」をターゲットにするという。

彼らDragosの研究者たちは、Hexaneがまだ発電所やエネルギーのサプライヤーなど重要なインフラストラクチャの運転の継続に必要な産業制御ネットワークを破壊するほどの攻撃能力を持っていないと「ほぼ確信している」が、しかし通信企業のネットワークに対する攻撃をそのためのテコのような前段として利用するかもしれないと考えている。Dragosの予想では、中東アフリカ地域の石油およびガス企業がターゲットになる機会が増えるそうだ。

Dragosの専門は社会のインフラストラクチャに対する脅威の発見や理解だが、Hexaneが最初に観察されたのは2018年の半ばだった。グループの動き方は、やはり産業制御システムを狙う他の同様のグループと同じだった。しかしサードパーティの企業を狙う脅威グループはHexaneだけではない。Dragosによると、同社が追跡している他のグループは、産業制御ネットワークが使っているハードウェアやソフトウェアのサプライヤーをターゲットにしている。

Hexaneの動きは、前に報じた、イランとの結びつきが疑われる脅威グループのOilRigと似ている。しかしこれまで観察した他のグループと比較すると、Hexaneのやり方やツールや狙う被害者が異なるので、他に類似例のない「ユニークな実体だ」という。

Dragosによると、一般的にハッキンググループにとって石油やガスは、「社会的に重要な工程や設備機器の破壊、または生命の喪失」を惹き起こすための格好のターゲットだそうだ。

関連記事:Why ICS security startup Dragos’ CEO puts a premium on people not profits(産業制御システムのセキュリティスタートアップDragosは利益よりも人命を重視、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

データを暗号化するフラッシュドライブeyeDiskは簡単にハックできた

セキュリティの世界に「ハックできないもの」はない。むしろ、そう主張されるものはすべて研究者たちにとって、じゃあハックしてやろうというチャレンジだ。

英国のサイバーセキュリティ企業Pen Test Partnersの最新のプロジェクトは、自称アンハッカブル(unhackable、ハックできない)USBフラッシュドライブと言われているeyeDiskを丸裸にすることだった。そのデバイスは、目の虹彩を認識してアンロックし、デバイスの暗号を解く。

昨年のKickstarterキャンペーンで2万1000ドルあまりを集めたeyeDiskは、3月にそのデバイスを発売した。

しかし1つだけ問題があった。それが、アンハッカブルでないことだけは確かだった。

Pen Test Partnersの研究員David Lodge氏は、そのデバイスのバックアップパスワードを見つけた。デバイスのエラーや、目を怪我したときなどにデータにアクセスできるためだが、あるソフトウェアツールを使ってUSBデバイスのトラフィックをダンプすれば、そのパスワードは簡単に見つかった。

秘密のパスワード「SecretPass」がプレーンテキストで見える(画像提供:Pen Test Partners)

彼は、自分の発見を詳細に述べているブログ記事でこう言っている。「上の図の中で、赤で囲った部分が、ぼくがデバイスにセットしたパスワードだ。誰でもできる盗視だね」。

さらにまずいのは、正しくないパスワードを入力してもデバイスの本当のパスワードが分かることだ。彼の説明によると、デバイスは自分のパスワードを見せてから、ユーザーが入力したものと対比し、それからアンロック用パスワードを送る。だから、でたらめを入力しても本物のパスワードがわかる。

Lodge氏によると、このようなデバイスを使うときは、暗号化を自分でもう一度することが必要だ。

欠陥をeyeDiskに教えたら、直すと約束したが、それはまだリリースされない。この問題にコメントを求めたが、eyeDiskからの返事はない。

関連記事: 常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

画像クレジット: eyeDisk

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

フランス外務省、緊急連絡先データベースに侵入される

フランスの外務・国際開発省は声明で、データ侵害によって個人情報が盗まれたと発表した。約54万件の記録が盗まれ、その中には氏名、電話番号、およびメールアドレスが含まれていた。

去る2010年、同省はArianeという緊急サービスを構築した。安全でない国に旅行する際、Arianeに登録して行き先を同省に伝えることができる。

登録すると安全に関する説明を受け、危機が起きた時に連絡が来るほか、あなたに何かが起きた時のために政府が緊急連絡先を保管する。

今日のデータ侵害は緊急連絡情報に関するものだった。12月5日、全員の緊急連絡先の入っているデータベースに不正アクセスがあった。同省によると、脆弱性はすでに修正されている。さらに、フランスのデータ監視機関であるCNILにも72時間以内に連絡をとったと同省は言っている。

問題のデータベースには姓名、電話番号、およびメールアドレスが入っていた。Arianeのユーザーデータは流出していない——すなわちパスワードや旅行情報はアクセスされていない。緊急連絡先とArianeユーザーとの関係もアクセスされていない。

緊急連絡先として情報を登録している人には、同省がメールを送り侵害の影響をうけていることを知らせている。また、あなたの名前とすでに使っていない電話番号やメールアドレスを誰かが入力していた場合、データ侵害が起きていてもわからない可能性がある。

パスワードの変更などは必要ないため、基本的に何もしなくてよい。ただし、盗まれたデータがスパムやフィッシング目的で利用される可能性があることには注意されたい。

[原文へ]

(翻訳:Nob Takahashi / facebook

カナダの1-800-FLOWERSサイト、クレジットカード盗難マルウェアの存在に4年間気づかず

この後始末は大量の花だけでは済まなそうだ。。

1-800-FLOWERSのカナダ支店はカリフォルニア州検事総長宛ての報告書で、同社のウェブサイト上のマルウェアが顧客のクレジットカード情報を4年間にわたって流出させていたことを明らかにした。

4年間だ。考えてみて欲しい。

同社によると、マルウェアは2014年8月15日から2018年9月15日までの間、クレジットカード情報を取り出していた。しかし同社の主要ウェブサイトである1-800-FLOWERS.comは影響をうけなかった。

「調査結果によると、収集された情報には、氏名、支払い用カード番号、有効日付、およびセキュリティーコードが含まれている」と提出資料に書かれている。

つまりこれは、悪者があなたのクレジットカードを空っぽにするために必要な情報すべてということだ。

報告書には何人の顧客がデータを盗まれたのかは書かれていないが、 カリフォルニア州法によると、カリフォルニア州民500人以上が影響を受けた場合、会社はハッキングについて顧客に通知しなければならない。

4年間にわたる侵入はひどいだけではなく、なんとも絶妙のタイミングでもあった。奇妙なことに、2014年にさかのぼってセキュリティー問題を認めた会社はこれが2番目だ。木曜日(米国時間11/30)にMarriottは、5億人分の顧客予約記録が、4年間にわたり正体不明のハッカーによって盗まれていたことを発表した。

ことわざをご存じだろう:二度あることは三度ある。さて次は誰だろう?

[原文へ]

(翻訳:Nob Takahashi / facebook

サウジアラビアの‘砂漠のダボス’のWebサイトがハックされ皇太子を非難する合成画像で汚損された

サウジ政府が近く開催するFuture Investment InitiativeカンファレンスのWebサイトがハックされ、殺されたサウジのジャーナリストJamal Khashoggiの画像が‘落書き’された。

汚損後のサイトのスクリーンショットがいくつもツイートされ、そこには王国の実質的な支配者であるMohammed bin Salman皇太子が剣を振りかざしている合成写真が載っている。サイトのテキスト部分は、王国の“野蛮で非人間的な行為”に対する非難に置き換えられている。それはKhashoggiの死だけではなく、イエメンで今行われている攻撃への、政府の関与にも言及している。

サイトのホームページには、何人かのサウジの個人の名前と電話番号も載っている。それらは、政府の職員や政府系企業の役員たちだ。

サイトは、汚損されたあと、月曜日(米国時間10/22)にオフラインになった。

汚損の犯人は、名乗りを上げていない。それが現れたのは、サウジの政権が、Khashoggiがイスタンブールの同国領事館で“殺された”ことを認めてから数日後で、そのときはすでに、そのThe Washington Postのコラムニストが婚姻届の用紙を得るために入館してから2週間以上経っていた。サウジの政府職員たちは、彼は“殴り合い”の後で死んだと主張したが、西側諸国はそれをナンセンスと非難した。トルコ政府がリークしたと思われる録音は、ジャーナリストが殴られ、殺され、そして切断されたと主張している。

イギリスとフランスとドイツは、声明で、彼のまだ行方不明の遺体に関する明確な説明を求めている。トルコは火曜日(米国時間10/23)に、この殺人に関する詳細を発表すると予想されている。

Future Investment Initiativeは“Davos in the Desert”(砂漠のダボス)とも呼ばれ、スイスで行われる投資カンファレンスに擬している。開催は、今週後半の予定だ。サウジアラビアはアメリカのテクノロジー企業に数十億ドルを投資しているが、しかしこのカンファレンスは、ジャーナリストの殺人のあと、数十名もの著名な投資家やテクノロジー企業、そしてビジネスリーダーたちが不参加を表明している。

・関連記事: カショーギ事件はシリコンバレーの一つの時代の終焉か–SoftBank新ファンドの行方も不透明

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

米国政府監視機関、武器システムに大量の脆弱性を発見。国防省の対応に遅れ

米国政府監視機関は、国防省が重要武器システムをサイバーアタックから守る対策が十分ではないことを指摘した。

政府説明責任局(GAO)は火曜日に発行した最新レポートで、国防省は「武器セキュリティーを優先課題としていない」と言った。ここ数年で改善がみられるものの、武器システムの保安に対する「当初の理解のなさ」ゆえに、今も国防省は「武器システムサイバーセキュリティーへの取り組み」に苦闘している。

GAOは国防省の武器システムセキュリティーの見直しを依頼され、大量の脆弱性を発見した(機密情報であるために内容は公開されなかった)。しかし国防省は「問題の全貌を理解していない可能性が高い」。

武器が依存するシステムに対する攻撃が成功すると、武器の効力に影響を与え、ミッション実行の妨げや、物理的ダメージ、さらには人命の喪失につながる可能性がある。。

報告書によると、監視機関のテスト担当者は、比較的単純なツールと技法を使って、ほぼ気づかれることなくシステムの制御を握り、操作する事ができた——貧弱なパスワード管理と暗号化されていない通信が原因だ。

「テスト担当者は、オペレーターの見ている画面をリアルタイムで見て、システムを操作することができた」。オペレーターがリクエストに答えた内容も監視することができた、と報告書に書かれている。

「別のテストチームは、ユーザーの端末に、操作を継続するためには25セント硬貨を2枚入れるようにと指示するメッセージをポップアップ表示させた」とも書かれている。

あるケースでは、テスト担当者がサーバーから100 GB以上のデータを気づかれることなくダウンロードすることに成功した。

“Here’s my password.” (Photo credit: EMMANUEL DUNAND/AFP/Getty Images)

利用された欠陥の多くは、システムが商用あるいはオープンソースソフトウェアを「デフォルトのパスワードを変更せずにインストール」し、テストチームはインターネットでパスワードを探してそのソフトウェアの管理者権限を得ることができた」ためだった。

ほかにも、既知の脆弱性の悪用方法が開発されネットで公開されていたにもかかわらず、ソフトウェアをパッチしていなかったケースも報告されている。

しかしこれらは、GAOが限られたテストの中で発見した、低スキルのハッカーでも損害を与えられる基本的な問題に過ぎない——海外の敵や国が支援するグループに雇われているかもしれない、よりスキルの高い数多くのアタッカーについては考慮されていない。

過去4年間、国防省は10件以上の省内メモとポリシーを発行して全体的サイバーセキュリティーの改善に努めてきた。GAOによると、同省が新たなサイバーセキュリティー対策の取り組みを立ち上げ、実施することが「緊急」課題であると語った。

国防省の報道官は本誌のコメント要求に対して即答しなかった。

[原文へ]

(翻訳:Nob Takahashi / facebook

カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

良いニュースだ!

California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。

その法律によると、ルーターやスマートホーム製品など、同州で生産されるすべての新しいガジェットは、最初から“リーズナブル”なセキュリティ機能を持っていなければならない。とくにパスワードについては、各デバイスが、あらかじめプログラミングされたユニークな(他機と共通でない)パスワードを持っていなければならない。

また、新しいデバイスはどれも、ユーザーがデバイス固有のユニークなパスワードを入力してそれを最初に使用するとき、新しいユーザー固有のパスワードの設定を求め、その設定を終えたあとにのみ、最初のアクセスを認めるものでなければならない。

何年も前から、ボットネットたちが、セキュリティのいい加減なデバイスを利用して、大量のインターネットトラフィックでサイトを襲撃してきた。その大量のトラフィックによる攻撃は、分散型サービス妨害攻撃(distributed denial-of-service, DDoS)と呼ばれている。ボットネットが目をつける‘いい加減なセキュリティ’の典型が、デバイスに最初から設定されている、そしてユーザーがそれを変えることもない、デフォルトパスワードだ。上に例を挙げたような、よく使われるデフォルトパスワードは、そのリストがどこかに公開されているので、マルウェアはそれらを利用してデバイスに侵入し、そのデバイスをハイジャックする。そして、ユーザーの知らないうちにそのデバイスは、サイバー攻撃の道具にされてしまう。

2年前には、Miraiと呼ばれる悪名高きボットネットが、何千台ものデバイスを悪用してDynを攻撃した。Dynは、多くの大型サイトに、ドメインネームサービス(DNS)を提供している。DDoSでDynが麻痺してしまうと、これに依存しているサービスに誰もアクセスできなくなる。被害サイトの中には、TwitterやSpotify, SoundCloudなどもいた。

Miraiは、比較的単純素朴な、しかし強力なボットネットで、デフォルトパスワードを悪用していた。今度の法律でデフォルトパスワードというものがなくなれば、このタイプのボットネットは防げるが、でもセキュリティの問題はほかにもたくさんある。

もっと高度なボットネットは、パスワードには見向きもせず、個々のIoT(物のインターネット)デバイスの脆弱性につけこむ。その典型的なデバイスは、スマート電球、アラーム、家庭用電子製品などだ。

IT評論誌The Registerの指摘によると、今回のカリフォルニア州法は、バグが見つかったときのソフトウェアのアップデートを、デバイスのメーカーに義務付けていない。大手のデバイスメーカー、Amazon、Apple、Googleなどはソフトウェアを常時アップデートしているが、無名に近いブランドの多くはやっていない。

しかし、そんな現状でも、この法律は、何もないよりましである。今後もっともっと、改定していただきたい。

[下の引用記事(未訳)の関連記事]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

このCSSベースのWeb攻撃は、iPhoneをクラッシュ&リスタートさせる

一人のセキュリティー研究者が、あらゆるiPhoneをクラッシュしてリスタートさせる方法を発見した——必要なのはわずかなコードだけだ。

Sabri Haddoucheがツイートしたわずか15行のコードからなる概念実証ウェブページは、そこを訪れたiPhoneまたはiPadをクラッシュして再起動させる。macOSの利用者も、このリンクを開くとSafariがフリーズする。

このコードは、iOSのWebレンダリングエンジンであるWebKitの脆弱性を利用したもので、Apple はこのWebKitをあらゆるアプリやブラウザーで使うことを義務付けている、とHaddoucheはTechCrunchに言った。同氏によると、CSSのbackdrop-filterプロパティーに<div>のようなタグを大量にネスティングすることで、端末のリソースを食い尽くしてカーネルパニックを引き起こすことが可能で、システムはダメージを防ぐために自らシャットダウンして再起動する。

「iOSでHTMLをレンダリングするものは何であれ影響を受ける」と彼は言う。つまり、誰かがFacebookやTwitterにリンクを送ったり、訪れたページにこのコードが入っていたり、誰かがリンクをメールで送ってくれば、被害に遭う可能性があると彼は警告する。

TechCrunchは、最新のiOS 11.4.1でこのコードを試し、iPhoneがクラッシュして再起動することを確認した。セキュリティー会社、MalwarebytesのMacおよびモバイル担当ディレクター、Thomas Reedは、最新のiOS 12ベータでも同じ現象が起きることを確認した。

運がよければ、クラッシュせずにホーム画面がリスタート(リフレッシュ)されるだけのこともある。

興味のある人は、実際にクラッシュを起こすコードを実行することなく、ここでしくみを理解できる。

幸いなことに、このアタックは厄介ではあるものの、悪意あるコードを実行するために利用することはできない。つまり、このアタックを利用してマルウェアが動いたりデータが盗まれることはない。しかし、このアタックを防ぐ簡単な方法は存在しない。罠の仕掛けられたリンクをクリックしたり、そのコードをレンダリングするHTMLメールを開いただけで、あなたのデバイスは即座にクラッシュするかもしれない。

Haddoucheは金曜日(米国時間9/14)にAppleと接触し、現在同社が調査中であると言われた。本誌は広報担当者にコメントを求めたが、すぐに回答はなかった。

[原文へ]

(翻訳:Nob Takahashi / facebook

アイダホ州の囚人たちが刑務所支給のタブレットで20万ドルあまりのクレジットを偽造

アイダホ州の囚人たちが、刑務所が支給したタブレットのソフトウェアを使い、外界との唯一のつながりである同機の上で25万ドル近いクレジットを偽造した。そのタブレットは刑務所向けに各種サービスや物品を提供している大手事業者JPayが作ったもので、囚人たちはそれを使って、メール、音楽を聴く、送金するなどのタスクができる。一部のサービスは、有料だ。

Associated Pressの記事によると、364名の囚人がソフトウェアの脆弱性を利用して、JPay上の自分の口座の残高を増加させたことに、アイダホ州の刑務所の職員が気づいた。アイダホ州では、JPayはCenturyLinkとパートナーしている。後者はソフトウェアの脆弱性を認めたが、詳細は何も語らず、その後問題は解決した、とだけ述べた。

JPayを悪用した364名のうち、50名の囚人は自分自身に1000ドル以上のクレジットを発行することができた。1万ドル近い者もいる。合計22万5000ドルの被害額の約1/4はJPayが回収できたが、盗まれたクレジットの全額が返済されるまで一部のサービスは中断される。

アイダホ州の矯正局は次のように声明している: “この行為は不慮の事故ではなく意図的である。それはJPayのシステムに関する知識を必要とし、システムの脆弱性を悪用した囚人たちは、各人が複数回のアクションにより自分の口座に不正に与信した”。

JPayのシステムを悪用した者たちは、アイダホ州の複数の刑務所に分散して収監されている。それらは、Idaho State Correctional Institution, Idaho State Correctional Center, South Idaho Correctional Institution, Idaho Correctional Institution-Orofino, そして民営のCorrectional Alternative Placement Planの建物だ。

JPayは同社のWebサイトでこう述べている: “弊社は矯正行政において信頼性の高い名前として知られている。なぜならば弊社は、高速で安全な送金方法を提供しているからである”。…今度の事件で、この‘安全’の部分にクェスチョンマークが付くだろう。同社は、35の州の刑務所にサービスを提供している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Gentoo LinuxのGitHubリポジトリにハッカーが侵入、無傷なコードをバックアップから復元

セキュリティ企業Sophosの研究者たちによると、人気のLinuxディストリビューションGentooが“完全にやられて”、現在そこにあるコードはどれも信頼できない、という。そして彼らは直後にアップデートをポストし、コードはすべて無事だった、と述べた。ただし彼らはGitHubのリポジトリをpullし、彼らが完全無欠なコードのフレッシュコピーをアップロードするまでは現状を維持する、と言っている。

Gentooの管理者たちは、次のように書いている: “本日6月28日のほぼ20:20 UTCに、未知の個人〔複数形〕がGitHub Gentooのコントロールを取得し、リポジトリのコンテンツと、そこにあるページを改変した。被害の範囲を目下調査中であり、コード編成とリポジトリのコントロールを取り戻すべく、努力している。現時点では、github上でホストされているすべてのコードが侵害された、と見なすべきである。ただし、Gentoo自身のインフラストラクチャの上でホストされているコードには、被害が及んでいない。そしてGithubはそのミラーにすぎないので、gentoo.orgからrsyncまたはwebrsyncするかぎり、何も問題はない”。

Gentooのアドミンたちがコードの自分たち用のコピーを保存しているので、回復不可能なまでに破壊されたコードは存在しない。Gentooによると、被害を受けたコードにはマルウェアやバグが潜んでいる可能性があるので、復旧するまではGitHubバージョンは避けるように、ということだ。

“Gentoo Infrastructureのチームが侵入箇所を同定し、悪用されたアカウントをロックした”、とアドミンたちは書いている。“GentooのコードとMuslおよびsystemdは、GitHubの三つのリポジトリにある。これらのリポジトリのすべてが、既知の良好な状態へリセットされた”、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

韓国の暗号通貨取引サービスBithumbがハッカーに$30Mを盗まれたと言っている

数週間前にも韓国の暗号通貨取引サービスCoinrailが、ハッカーによるとされる被害で4000万ドルを失ったが、この暗号通貨狂の国でまたひとつ、今度はBithumbが、3000万ドルあまりの暗号通貨をハッカーに持ち逃げされた、と申し立てている。

Coinrailは韓国では比較的小さい方の取引所だが、しかしBithumbはずっと大きい。この取引所は、EthereumとBitcoin Cashの取引では世界のトップテンに入り、新しいEOSではトップだ、とCoinmarketcap.comのデータが言っている。

そのツイートはすでに削除されているが、Bithumbは今日(米国時間6/19)、350億ウォンのトークン…ほぼ3100万ドル…が盗まれた、と言った。攻撃の詳細は明かさなかったが、同社によると、ユーザーの損失はすべて償うという。この事件により“ウォレットシステムを変えなければならない”ので、その間一時的に同社は預り金と取引を凍結するそうだ。

このハックの数日前にBithumbはTwitter上で、セキュリティシステムを構築し同社のデータベースをアップグレードするために全資産をコールドウォレットへ転送している、と言った。その動きが攻撃のせいかどうかは分からないが、もしそうなら何日も前に起きていたことになる。あるいは逆に、それが攻撃を可能にしたひとつの要素だったかもしれない。

[6月16日/サービス再開に関する注記–われわれはセキュリティシステムを構築しDBをアップグレードするために全資産をコールドウォレットに転送中である。本日午後3時(韓国標準時間)より、われわれはわれわれのサービスをリスタートし、可及的速やかに再び通知する。諸兄のご支持を感謝申し上げる。]

Bithumbは数日前のツイートでハックされたと言った

そのいわゆるハックが何なのか、分からない場合が多いが、暗号通貨コミュニティの一部の説では、ほとんどの事件が内部者の犯行だという。今回の場合は、今月初めに報じられたBithumbに対する300億ウォンの政府徴税令状の件が、疑念を呼ぶ。しかし、この事件を独立機関あるいはサードパーティが調べて報告しないかぎり、そもそも何が起きたのかを知ることすら難しい。

でも、ここにはまたまた大きな教訓がある。暗号通貨を買う者は自らのトークンを自分のプライベートなウォレット(できれがアクセスにハードウェアキーを要するもの)に保存すべきであり、犯罪被害に遭いがちな取引所は避けるべきである。今回Bithumbは十分に大きいから損失を補填できると思われるが、そうでない場合もあるから、トークンを安全に保存することがトラブルを防ぐ、と言える。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Instagram上の仮想セレブ‘Lil Miquela’のアカウントが‘政敵’にハックされた

Instagram上の仮想セレブLil Miquelaアカウントが、ハックされた。

多民族混血のファッション仕掛け人で、つねに多文化主義を主張している‘彼女’のアカウントには100万近いフォロワーがいたが、そのアカウントが、同じくInstagram上の動画アカウント“Bermuda”によってハックされた。

さあ!、戦闘開始だ!

@Lilmiquelaアカウントのハックは今朝(米国時間4/7)始まったが、しかしBermudaアバターは前からMiquelaを敵視していて、これまで、SpotifyなどMiquelaのそのほかのソーシャルアカウントをハックしてきた。

時はまさに21世紀、政治的風土が多極化している今では、文化の上でも、、そしてアバターたちのあいだでも、多元主義の支持者たちとMake America Great Again(アメリカを再び偉大に)の運動が戦いを繰り広げても意外ではない。

[画像だけを表示するとメッセージも読めます]

Lil Maquelaのアカウントの上でBermudaは、自分の人工的な人格を誇示し、トランプ派としての強力なメッセージを述べている。

Miquelaの場合は仮想アバターに対して本人がいる、という前提だが、Bermudaはきわめて露骨にシミュレーションだ。そしてその政治的見解は、Miquelaのそれと真っ向から対立している。そしてMiquelaのフォロワーたちと一連のファッション系カルチャー系マガジンは、そのオープン性と人種的平等性の訴えに賛同している。

カリフォルニア州ダウニーのブラジル系アメリカ人Miquela Sousaは彼女のInstagramアカウントを2016年に立ち上げ、それ以来、そのアカウントの外見であるMiquelaは、ネット上でもマスコミの上でもその本人性の推測(どこの誰だろう?)があちこちに登場してきた。

雑誌の表紙になったり、いろんなインタビューにも応じてきたMiquelaは、Facebookが買収した人気最大のソーシャルメディア(Instagram)の上で、セレブ、インフルエンサー、そしてカルチャーの新しい形を一貫して探求してきた。

Lil Miquelaのアカウントに近い人物によると、Instagramは正常に戻っており、コントロールも取り戻している、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

見捨てられるPenryn世代: Intelは古いチップのSpectre対策を中止

チップの欠陥MeltdownとSpectreに対して、引き続き行われているパッチ努力の一環としてIntelは先月、2005年までさかのぼって開発コードYorkfield以降のプロセッサーにも修復を適用する、と示唆した。しかし最近のガイダンス文書によると、これらの古いプラットホームの多くは結局、修復を受けないことになった。

具体的には、Spectre Variant 2(変種2)のための対策は、チップの世代で言ってBloomfield, Clarksfield, Gulftown, Harpertown, Jasper Forest, Penryn, SoFIA 3GR, Wolfdale, Yorkfieldに対しては行われない。(IntelのコードネームのリストはWikipediaにある。)

変種2はブロックや回避がいちばん困難な欠陥なので、対策も難しい。マイクロコードのアップデートで何かをコピペして終わり、という仕事ではない。

そのガイダンス文書(PDF)には、修復対応をやめる理由が書かれている:

  • マイクロアーキテクチャの性格により、変種2を緩和する機能の実効的な実装ができない
  • システムソフトウェアの商用サポートが不十分
  • 顧客からの入力によると、これらの製品の多くが“クローズド・システム”として実装されているので、これらの脆弱性への露出の可能性が低い。

言い換えると: それは超難しい、サポートが薄い、そしてバグが悪用されるような使い方をしている人がとても少ない。

そもそもそれら古い機種は、リストが膨大であるだけに、Intelとしてもリーズナブルな後退をした、と言えるだろう。しかしそれでも、システムの管理者は、これらの世代のチップが自分たちのシステムの中で外部者に対してむき出しになっていないか(悪用の可能性がないか)、チェックしたいだろう。

そしてユーザーに関しては、Core 2 Duoに代表されるPenryns世代は、まだ古いラップトップを使っている人が少なくないだろう。2008年には、それがIntelのすべてだった。ぼくみたいに、古い機種に愛着があって捨てられない人は、重要な仕事をその上でやらないようにしよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

SonosとBoseのコネクテッドスピーカーはハッカーにアクセスされて勝手に曲が鳴る

Trend Microの研究員たちが、SonosとBoseのスピーカーに、リモートアクセスされてしまう脆弱性を見つけた。それを最初に報じたWired誌の記事によると、Sonos Play:1, Sonos One, Bose SoundTouchの3機種には、ハッカーにアクセスされ、音楽を再生されてしまう危険性がある。

今のところ、悪ふざけのようなアクセスがほとんどだが、研究員たちはもちろんその脆弱性を利用して彼らの好きなRick Astleyの曲を鳴らし、近くにあるAlexa対応デバイスに命令していたずらをした…South Parkのように。またSonosのフォーラムには、ドアが軋る音や赤ん坊の泣き声やガラスの割れる音が大音量で鳴った、というユーザーのおそろしい報告が載っている。

しかしその脆弱性のあるシステムの数は、比較的限られている。被害の生じた機種のスピーカーの数はSonosが2000から5000、Boseは500足らずだ。Sonosのスポークスパーソンはこう語った: “今詳しく調べているが、被害に遭ったのはユーザーが構成を間違えたネットワークで、そういうごく少数の顧客のデバイスが、一般的に公開されているネットワーク上に露出したのだろう。そんなセットアップを、弊社が顧客に勧めているわけではない。とりあえず、心配なお客さんは、Sonosのシステムが確実に、安全な内部ネットワーク(LAN)上にセットアップされているように、していただきたい”。

Sonosは、この穴を塞ぐパッチも発行した。Boseからはまだ、公式の応答はない。

Trend Microのコメントも、やはりネットワークへの接続を、スピーカーのデフォルトの設定とともに問題視しているようだ。同社の調査部長は曰く、“不運なのは、これらのデバイスが接続されるネットワークが、根拠もなく信頼されていることだ。ネットワークの状況を、もっと詳しく知る必要があるね。現状では、デバイスをハックしたり、ネットワークの構成が不注意だったら、誰もがスピーカーにアクセスして、音をコントロールできる”。

単なる悪ふざけで終わってしまう可能性もあるが、でもこれを機に、あなたの家のインターネットに接続されたすべてのデバイス(“コネクテッドデバイス”)が安全であることをチェックしてみたらどうか。今はとくに、誰もが、いわば自分のプライバシーを犠牲にして、家庭内のスマートデバイスを次々と増やしている状況だからね。その中には当然、カメラや常時onのマイクロフォンがついたのも、あるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Google、Androidの人気アプリのバグ発見者に1000ドルを進呈

詳細はまだ不明だが、GoogleのPlaytimeデベロッパーイベントで今日午前に流れたニュースによると、GoogleはGoogle Playバグ発見懸賞プログラムを実施し、Androidの人気アプリ(Google製もサードパーティー製もある)をいじって脆弱性を見つけるよう研究者たちを誘っている。

“Google Play Security Reward” と呼ばれるこのプログラムは、研究者がAndroidアプリ開発者と直接協力して脆弱性を見つけることを目的としている。開発者のバグ潰しに協力すればGoogleが1000ドル支払う(ほかにサードパーティー開発者自身が支払う場合もある)。

現在までに分かっている内容は以下の通り:

  • 対象は一部のAndroidアプリのみで、〈全〉アプリではない。現在リストに挙がっているのはAlibana、Dropbox、Duolingo、Headspace、LINE、Snapshot、Tinder、およびGoogle PlayにあるGoogle製Androidアプリの全部。
  • 現在プログラムの対象アプリは招待制だが、将来は門戸を広げる予定。Google広報によるとオプトイン方式になる。
  • 研究者はアプリ開発者と直接連絡を取って脆弱性の確認/解消に努める。バグが修正されたら研究者がGoogleに通知すると、バグを確認のうえ1000ドルの報奨金が支払われる。Googleは修正前のバグは知りたくない。「プログラムはアプリ開発者と協力して脆弱性が解決したときにボーナスを要求するためだけに存在している」と説明書に書かれている。
  • ほとんどのバグ懸賞プログラムと同じく、Googleは具体的にいくつかの厄介なタイプの問題に絞って見付けようとしている。「このアイコンはおかしい」的なものではない。現在の調査対象は、任意のコードを強制的にダウンロード/実行させるアプリ、アプリのUIを操作して取引を行わせたり(例えば銀行アプリがユーザーの許可なく送金する)アプリにフィッシングサイトを開かせるアプリなど。

Googleはこのプログラムのバックエンドの大半をHackerOneに依頼しており、レポートの発行から善意のハッカーの招待まで受け持つ。詳細はこちらで読める。

Googleは、ChromeとAndroidを含めたバグ懸賞プログラム全体で、2017年1月までに900万ドル支払っている。

[原文へ]

(翻訳:Nob Takahashi / facebook

500ドルのパスワード盗み機がiPhoneをこじ開けられるバグはiOS 11でパッチされました

昨日(米国時間8/17)YouTubeにユーザーEverythingAppleProが投稿したビデオは、短いパスコードでロックされているiPhone 7をアンロックする500ドルの小さなボックスを紹介している。それができるのはiPhone 7とiPhone 7+、そしてiPhone 6と6Sの一部だが、それができてしまう特定の状況になるまで、あなたは無限に待たなければならないかもしれない。

ぼくもちょっと調べてみたが、Appleによると、そのボックスに仕事をさせてしまうバグ的状況は、iOS 11の最終バージョンではパッチされており、秋にはリリースされるそうだ。なお、iOS 11のbeta 4でもすでにパッチされてるそうだ。

つまりこのボックスは、iOS 11に対しては何もできない。まず下のビデオを見て、それからこの記事の説明をお読みいただきたい。

このようなボックスは、何年も前から警察や、一部のサプライヤー(部品製造企業)が使っている。こいつはまず、正しいパスコードを見つけるまでさまざまなコードを次から次とトライする。iPhoneは、何度か続けざまに試されると自動的に自分をロックしてしまうが、iOS 10では、“バグ”以外に適切な呼び名のない、ある性質のために、1分以内なら高速の連続的パスコード試行が可能だ。このボックスも、仕事ができるのは1分以内だ。また、パスコードを変えてから10分後以降など、特定の状況では、この高速試行が拒否される。また、ある1分と次の(次に試行が可能な)1分とのあいだの待ち時間がとても長いので、人間が実際にやるには無理な方法だ。

以上をまとめると、このボックスが犯行に成功する条件はこうだ:

  • iPhone 7またはiPhone 7 Plus(そしてiPhone 6/6sの一部)
  • 今から10分以内の近過去にパスコードを変えた
  • パスコードを変えてから本機をまだ10分以上は使っていない
  • パスコードは4桁である

つまり、あなたのiPhone(上記機種)に侵入したい誰かが、このボックスを持っていて、しかもあなたのデバイスになんぼでも長時間アクセスできる、と仮定しよう。後者の条件はすでに非現実的だが、政府職員なら可能かもしれない。

あなたのパスワードが6桁で(それが今のデフォルト)、パスワードを変えてからまだ1分以内ならば、最大173日でそれを見破れる。

それが6桁で最近変えてないなら、9年6か月を要す。

iOS 11では、これらの日数や年数がもっと長くなる。自分の指紋を他人に使われたくないならTouchIDを無効にできる、という話が最近あったが、本誌のライターTaylor Hatmakerがそれについて、“企業がOSの上でやることの中では、今までで最高に知能犯的”、と言った。

警察とAppleのセキュリティの追いかけっこは、テレビ番組にしたらおもしろいだろうね。

iPhone 6/6sの件はあとから追記した。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))