自称”ISISのサイバーカリフ国”ハッカー集団のペンタゴン・ハッキングの詳細


ISISテログループと関連があると自称するハッカー集団、「サイバーカリフ国(Cyber Caliphate)」が昨日(米国時間1/12)、 アメリカ中央軍Twitterアカウント、@CENTCOM 及びYouTubeアカウントを乗っ取った。

問題のハッカー集団は、「ペンタゴン・ネットワークはハックされた。アメリカ軍兵士よ、われわれはやって来た。背後に注意しろ。ISIS. #CyberCaliphate」というPastebinへのメッセージを中央軍の「アカウントに投稿した。このツイートには「米軍の極秘情報」と称するファイルへのリンクが埋め込まれていた。

ただしそのうちのいくつかのファイルについては過去に公開済みだったり特に高度な秘密ではないことが確認されている。

もし米中央軍のソーシャル・アカウントのパスワードが盗まれたただけなら、セキュリティー上は遺憾であってもたいした問題ではない。しかしもし本当に機密情報がハックされたのならISISのサイバー脅威度は予想より高いことになる。

Politicoの記者Hadas Goldは、太平洋時間9:46AMに、」ツイートした。「Twitterの広報担当は中央軍に対するハッキングに気づいており、対処中だと語った」。

アップデート10:05AM PST: Twitterはハッカーの投稿したツイートとカバー画像、その他のを@CENTCOから削除した。

アップデート10:10AM PST: Twitterは@CENTCOMアカウントを一時閉鎖した。

アップデート10:15AM PST: 国防省の職員がFusionの記者Brett LoGiuratoにハッキング被害があったことを確認した。
who tweeted “国防省職員:「われわれは米中央軍のTwitterアカウントが今日、何者かによって侵入されたことを確認した」

アップデート10:35AM PST: YouTubeはYouTube CENTCOMアカウントを停止した。

アップデートUpdate 11:55AM PST: Next WebのMatt Navarraは「ペンタゴンはアカウントのセキュリティー保全に関してわれわれの協力を求めてきた。共同で対処中。 @Twitterとツイートした。

シャットダウン前に、@CENTCOMアカウントにはハッカー集団によるものと思われる以下のようなツイートが投稿された。

先週、「サイバーカリフ国」はテネシー州のFoxニュース、CBSニュースの拠点ハックしたと主張している。

ターゲット・サイトに残されたハッカーのメッセージは、
dk

「アラーの名において、ISISの指揮の下、サイバーカリフ国はサイバージハドを実行した。アメリカとその衛星国がシリア、イラク、アフガニスタンにおいてわが兄弟を殺戮したが、われわれはお前たちのネットワークとお前たちの所有する個々の機器に侵入し、お前たちすべてについて隅々まで知った。

お前たち不信心者に一切の慈悲は与えられない。ISISはすでにここに来ている。われわれはお前たちのあらゆる基地のパソコンに潜入した。アラーのお許しを得て、今や中央軍の中心にまで入った。われわれを止めることはできない。われわれはお前ら、お前らの妻や子供について知っている。アメリカ軍の兵士よ! われわれはお前らを見張っている。

ここにわれわれが入手した極秘情報の一部を公開する。

[リンク削除]

アラーの他に神はなく、ムハンマドの他に預言者はない! シャリアの他に法はない!

ここで削除したリンク先には、米陸軍の将校のリストと称するファイルや、アメリカ陸軍の予算、アメリカ陸軍の兵力、などと称するファイルが含まれていた。われわれはそのファイルに実際に未公開の機密情報が含まれている調査している。ファイルの多くはすでに公開された資料だとするレポートが数多くアップされている。Wall Street Journalは「国防省の幹部職員は『公開された資料にはさして重大な秘密情報は含まれていなかった』と確認した』ツイートした

次のスクリーンショットは『2020年の陸軍指導者のための本』というファイルのものだ。

次のファイル向う10年間のアメリカ陸軍の作戦計画と称するもの。

こちらは中国と中東で同時に危機が発生したときにインドを基地としたアメリカの作戦計画と称するもの。しかしこうしたファイルは2004年、2005年、2008年とかなり古い。この戦争シナリオ・フォルダーには「中国、インド、パキスタン、バングラデシュ・シナリオ」「北朝鮮アップデート」、「カスピ海シナリオ」、「特殊作戦軍アフリカシナリオ」、「特殊作戦軍インドネシア・シナリオ」などというファイルが含まれている。

FortinetのFortiGuardラボのセキュリティー・ストラテジスト、Richard HendersonはTechCrunchの取材に対して、「最近相次いだ大規模かつ深刻なメディア・ハッキング事件と同様、今回の件もターゲットを絞り込んだフィッシング欺瞞により、ソーシャルメディアへのログイン情報を盗んだか、リモートアクセスを可能にするマルウェアを送り込んだかだろう」と述べた。

Hendersonによれば、もし本当に機密ファイルが盗み出されたならハッカー集団、シリア電子軍(Syrian Electronic Army)が常套手段としているRAT攻撃手法を用いたのかもしれないという。重要な官庁、企業がソーシャルメディアを運営する場合、必ず2ファクター認証を採用し、かつ他の部内ネットワークから切り離した独自のサーバーによって運用されるべきだという。

いずれにせよ、このISIS系ハッカー集団による攻撃は、北朝鮮のような国家が支援するサイバー攻撃に加えて今回のような独立のサイバーテロリストも存在することが明らかになった。これは今後もますます敵対的になるであろう世界環境の中で、アメリカがサイバーセキュリティーを大きく強化すべきだということを明確に示すものだ。

しかもこの攻撃はオバマ大統領がsame連邦取引委員会に対してサイバーセキュリティーの重要性を説いた 瞬間を狙って実行されたこともアメリカの面目を失わせるものとなった。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


ソニー、「The Interview」の上映中止を決定


Sonyの大規模サーバー侵入と情報リーク事件を起こしたハッカー集団による脅迫を受け、Sony Picturesは映画 “The Interview” の上映中止を正式に決定した。同作品はクリスマス当日に公開予定だった。

事前に用意された声明文(以下に引用)で同社は「作品の配給を抑圧しようとするこの恥知らずな行為を深く悲しんでいる・・・この結果に深く落胆している」と語った。

本日(米国時間12/17)北米5大劇場チェーン(Regal、AMC、Cinemark、Carmike Cinemas、Cineplex Entertainment)は、同作品を上映しないことを発表した。Guardians Of Peaceと名乗るハッカー集団が、The Interview上映会場付近の人々は、「テロに娯楽を求める者に、いかに厳しい不運が見舞うかを」見ることになるだろうと語り、9/11に言及したのを受けてのことだ。

脅迫の重大さと主要映画館の上映中止を踏まえ、Sonyは作品の公開を中止する声明文を発表した。

声明の全文を以下にに引用した。

弊社の主要上映館が映画 “The Interview” の上映中止を決定したことを鑑み、12月25日に予定されていた同作品の劇場公開を取り止めることを決定した。弊社パートナーの決定は尊重かつ理解できるものであり、従業員と映画ファンの安全を最優先する方針は、もちろん弊社も共有している。

Sony Picturesは、弊社従業員、顧客、および事業に対する前例のない犯罪行為の被害に遭っている。弊社を襲った犯人は、われわれの知的財産、プライベートメール、重要機密資料等を盗み、われわれの精神と士気を損った ― すべて彼らの気に入らない映画の公開を阻止する目的で。われわれは作品の配給を抑圧し、その過程で弊社、弊社従業員および全米市民に損害を与えたこの恥知らずな行為を深く悲しんでいる。われわれは弊社の映画制作者およびその表現の自由の権利を支持するものであり、この結果に深く落胆している」

The Interviewは、企業のデータ、メール、今後のプロジェクト、その他繊細な情報を暴露した、この大規模ハッキングの中心的存在だった。ハッカー集団は、セス・ローガンおよびジェームズ・フランコ主演の、北朝鮮のリーダー、キム・ジョンウンの暗殺計画を描いたこの映画の上映を、断固阻止しようとしている。

[原文へ]

(翻訳:Nob Takahashi / facebook


Dropbox、「われわれはハックされていない。漏洩パスワードは他サービスからの使い回し」と発表

先週、Snapchatの写真がハックされたのに続いて、今度はクラウドストレージのDropboxがセキュリティー問題でありがたくない注目を浴びる番となった。コード共有サイトのPastebinに匿名のユーザーが「Dropboxのアカウント情報(メールアドレスとパスワード)700万件近くを入手した」と書き込み、その証拠として最初の400件のデータを貼り付けた。このユーザーはさらなるリークのためにBitcoinによる寄付を求めている。

その後、100件程度のアカウント情報が何回か書き込まれたが、これらの情報は本物ではなかったようだ。今回の攻撃について、Dropboxは公式ブログで「これらのユーザー名とパスワードはをチェックしたが、Dropboxアカウントとは無関係だった」と述べた。

Dropboxは本物とわかった最初の400件のアカウント情報についても、「Dropboxとは無関係なサードパーティーのサービスから漏洩したもので、Dropbox自体から盗まれたものではない」としている。つまりSnapchatの場合のようにDropboxのAPIを利用しているサービスから漏洩したわけではなく、ユーザーがサービス間でパスワードを使い回したことが原因とみられる。

公式ブログ記事は明確に「ドロップボックスはハックされていない」と題されている。DropboxのAnton Mityaginによれば、

最近の「Dropboxがハックされた」というニュースは正しくない。ユーザーのデータは盗まれていない。漏洩したと指摘されたユーザー名とパスワードは、われわれとは無関係なサービスから漏洩したもので、Dropboxからではない。犯人は盗んだユーザー名とパスワードを使ってDropbox他、さまざまなウェブ・サービスへのログインを試みた。しかしDropboxでは不審なログインの試みを検出する手段を用意しており、そのような疑いがある場合は自動的にパスワードをリセットする。

このような攻撃を受ける可能性があるため、われわれはパスワードをサービス間で使いまわさないようユーザーに強く勧めてきた。また、さらにセキュリティーを高めるため、われわれは2段階認証を提供している。

これに先立って、The Next Webの取材に対してDropbox は次のように述べている。

Dropboxはハックされていない。ユーザー名とパスワードは不運にも他のサービスから盗まれたものだ。犯人はこれを利用してDropboxアカウントへのログインを試みた。われわれはこのような攻撃を探知しており、しばらく前から盗まれたパスワードのほとんどは無効にされている。残りのパスワードもその後無効にされた。

Dropboxは漏洩元のサービスが何であるかは明らかにしなかった。しかしDropboxのブログ記事とコメントによって、最初に公開された情報が(すでに無効化されているものの)実際にDropboxのユーザー名とパスワードであったことが確認されたわけだ。盗まれたパスワードを使ってユーザーのアカウントへの侵入が成功した事例があったかどうかは明らかにされていない。

今回の事件がユーザーのパスワード使い回しによるものなら、「Dropboxはハックされていない」という主張は正しい。しかしユーザーにとってみればセキュリティーが破られたという結果は同じだ。しかしユーザーに2段階認証を要求すればセキュリティーは向上するものの、ユーザーの負担は増える。セキュリティーと利便性のバランスは難しい。さらにハッカーがビットコインで手っ取り早く報酬を求めようとする最近の流行も新たな問題だ。

Dropboxについては、今週エドワード・スノーデンが「プライバシーの敵」だと非難した。これはDropbox自体がユーザーデータにアクセスできることを指している。スノーデンは「Dropboxがファイルの暗号化キーを保持しているので政府機関が要求すればユーザーデータが引き渡されてしまう。ユーザーはプロバイダ自身が暗号化キーを保持していないサービス、SpiderOakなどを使うべきだ」と主張している。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


ゲームボーイにRaspberry Piを突っ込んでエミュレーターを載せてみた

DIYが大好きでゲーマーでもあるJohn Hasslがゲームボーイに新たな生命を宿らせた。35ドルの手のひらサイズコンピューターであるRaspberry Piを埋め込んで再利用するのだ。Piをゲームボーイの筐体に埋め込み、そしてクラシックゲームのエミュレーションソフトウェアをのせて、昔なつかしのゲームをプレイできるようにしている。さらにHasslは背面に新たなボタンも配置し、より新しいエミュレーターにも対応できるように工夫してもいる。

このハックを自分で行うには、もちろんかなりの技術的ノウハウを要する。またハンダで手を汚す覚悟も必要だ。しかし手元にとりあえずでも動作するゲームボーイがあるのなら、費用はさほどかからない。またリペアツールやいろいろなパーツも持っているのなら、ACにつなぐのではなくバッテリーで利用するためのパーツなども見つけられるかもしれない(本体にはPiを入れるので、バッテリーは外部バッテリーが必要となる)。

Haasl同様、うちにもオーダーはしたもののとくに使い道のないRaspberry Piが転がっているし、もちろん(?)ゲームボーイもある。そこまでモノの準備が整っているのなら、試してみるべきなのかもしれない。リスク満載でだれも保証などしてくれはしない。しかしハックしたHaaslの幸せそうな様子をみると、ぜひとも手がけてみたくなるのだ。

原文へ

(翻訳:Maeda, H


サーバコードを1行も書かずに静的Webサイトを動的CMSに変身できるCloud Cannon–Dropbox APIの巧妙な作例

Cloud Cannonは、デベロッパというよりむしろ、サーバサイドのコードを1行も書かない、HTMLとJavaScriptとCSSだけで仕事をしているWebページクリエイターのためのCMSだ。その静的でビューティフルなデザインを、サーバが介入する動的なCMSに自分で書き換えなくても、ファイルを単純にDropboxのフォルダに置くだけで、あとの面倒はCloud Cannonがほんの数秒でお世話してくれる。ユーザはブラウザ上でテキストをエディットしたり、そこに画像を挿入したり、ふつうのCMS(ブログソフトなど)と同じ感覚でその静的サイトを利用できる。

これは、Dropbox APIの見事な利用例だ、でこの話は終わってしまう。それぐらいシンプルなサービスだ。静的なコンテンツをDropboxからホストしている人は、すでに多いと思うが、しかしGeorge PhillipsとMike Neumegenはそれをさらに一歩進めて、サイトのアドミニストレータがブラウザ上で直接エディットできるようにした。それはちょうど、Webサイト作成サービスSquarespaceを使ってるときのような感覚で。

そのWYSIWYGのエディタで不満なときは、Web上のテキストエディタやあるいはDropboxの上で、ページのソースファイルをエディットできる。クライアントのいる仕事の場合は、クライアントに対し、ここはエディットしちゃだめ!という部分を指定できる。

そのためには、class=”editable”の<div>で、エディットしてよいコンテンツ領域を指定する。ブログをホストしたいなら、静的なブログエンジンJekyllを使える。

使用するドメインは自分のドメインでもよいし、あるいはCloud Cannonが無料で提供する.cloudvent.netを使ってもよい。ただしサービス本体は有料で、1サイト1か月5ドル、20サイトなら月額49ドルだ。

実際にはCloud Cannonは、Dropboxのサーバインフラを使わない。公開フォルダに関しては帯域制限があるからだ。そこでCloud CannonはDropboxのAPIを利用して、すべてを自己のサーバにシンクする。Marco Armentのブログエンジンがやってるように。ユーザは物理的にはCloud Cannonのサーバを使うのだが、Dropboxがそのためのインタフェイスとなる〔API群が豊富便利優秀なため〕。でも実際にサポートするのは静的なコンテンツだけだから、Varnish的なHTTPアクセラレータで正しく構成されていれば大きなサーバは要らない。

Cloud Cannonの主要なアドバンテージは、ユーザがアドミン役になって自分のホスティングソリューションを管理しなくてもよいところだ。そのぶんもちろん、何でもできるという自由度はないが、このプロダクトはとってもクールだし、一見の価値があると言えるほど、よくできている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Appleデベロッパーセンター、一週間のダウン後に復旧

Appleのデベロッパーセンターがようやく復旧した。休止期間は一週間以上にわたった。同サイトは、先週不正侵入を受けてダウンして以来、一切レスポンスのない状態が数日間続いた。報告によると侵入の影響はデベロッパーアカウントのみだったが、個人情報へもアクセスも試みられていた。

当時Appleは、デベロッパーの名前、住所、およびアドレスがアクセスされた可能性はあるがクレジットカード情報は漏洩していないと言った。Appleは復旧予定時期を示していなかったが、ダウン一週間後にサイトの状態を追跡するシステムを作成した後、徐々にシステムの復旧作業を開始した。

ある人物が、デベロッパーセンターを探索し、同センターおよびiAd Workbenchサイトの脆弱性に関するバグを報告したことがシステム停止を引き起こした可能性を報告しているが、本誌はAppleに復旧とそれに至る事情を確認中であり、回答があり次第本稿をアップデートする予定だ。

アップデート: 今回のダウンに関してAppleからデベロッパーに送られたメールの全文を以下に貼った。(原文ママ)

We appreciate your patience as we work to bring our developers services back online. Certificates, Identifiers & Profiles, software downloads, and other developer services are now available. If you would like to know the availability of a particular system, visit our status page.

If your program membership expired or is set to expire during this downtime, it will be extended and your app will remain on the App Store. If you have any other concerns about your account, please contact us.

Thank you for bearing with us while we bring these important systems back online. We will continue to update you on our progress.

原文へ


緊急速報: Twitterのパスワードを今すぐ変えなさい

3831467723_8150d8b015_z

Twitterがハッカーの攻撃を受け、25万人のユーザに被害が及んだ。その25万名はTwitterから、パスワードを変えよというメールをもらった。こんなことは今回が初めてではないが、今度の被害は本格的だ。前回のような、誤報のメール洪水を伴うハッキングではない。

Twitterはブログでこう書いている:

今週発見した異常なアクセスパターンは、Twitterのユーザデータへの不法アクセスによるものだった。実行中の犯行も一件発見したが、それに関してはしばらくのちに、プロセスを遮断できた。しかし弊社のその後の調査によると、犯人たちは一定数のユーザ情報…ユーザ名、メールアドレス、セッショントークン、暗号化され擬装された状態のパスワード…にアクセスしていた。その数は、およそ25万名である。

これは、どういうこと? われわれにはまだよく分からないが、Twitterは、これが相当“高度な”ハックだと見なしている:

この犯行はアマチュアの仕事ではなかった。また、今回一度かぎりの犯行ではないと思う。犯人たちの手口はきわめて高度であり、弊社以外の企業や団体も最近同様の攻撃を受けたものと思われる。

おかげで、週末にやることができたね、Twitterさん。Twitterからメールが来たことを、まだ知らない人もきっといるよ。ぼくなんか、おかしなメールは全部、迷惑メールフィルタが捨ててしまうからね。

でも、実際に起きたわけだから、困ってしまう。しかし、人の不幸は蜜の味、とも言うよね。自分はハックされなかったから、自分がクールな人間じゃなくて、せっかくのスリルを味わえないのでつまらない、と言った友人もいる。

Twitterは次のような助言をしている。これは、ユーザからの非難を逸らすことが目的かもしれない:

国土安全保障省とセキュリティのエキスパートからの助言に基づき、ユーザにはご自分のコンピュータのブラウザ上でJavaをディスエーブルにすることを推奨する。

それよりも、あるいはそれに加えて、パスワードを変えるのだ。ハッキングされるスリルは、万人のものだからね。

[写真クレジット: Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

緊急速報: Twitterのパスワードを今すぐ変えなさい

3831467723_8150d8b015_z

Twitterがハッカーの攻撃を受け、25万人のユーザに被害が及んだ。その25万名はTwitterから、パスワードを変えよというメールをもらった。こんなことは今回が初めてではないが、今度の被害は本格的だ。前回のような、誤報のメール洪水を伴うハッキングではない。

Twitterはブログでこう書いている〔Twitter日本語ブログ〕:

今週発見した異常なアクセスパターンは、Twitterのユーザデータへの不法アクセスによるものだった。実行中の犯行も一件発見したが、それに関してはしばらくのちに、プロセスを遮断できた。しかし弊社のその後の調査によると、犯人たちは一定数のユーザ情報…ユーザ名、メールアドレス、セッショントークン、暗号化され擬装された状態のパスワード…にアクセスしていた。その数は、およそ25万名である。

これは、どういうこと? われわれにはまだよく分からないが、Twitterは、これが相当“高度な”ハックだと見なしている:

この犯行はアマチュアの仕事ではなかった。また、今回一度かぎりの犯行ではないと思う。犯人たちの手口はきわめて高度であり、弊社以外の企業や団体も最近同様の攻撃を受けたものと思われる。

おかげで、週末にやることができたね、Twitterさん。Twitterからメールが来たことを、まだ知らない人もきっといるよ。ぼくなんか、おかしなメールは全部、迷惑メールフィルタが捨ててしまうからね。

でも、実際に起きたわけだから、困ってしまう。しかし、人の不幸は蜜の味、とも言うよね。自分はハックされなかったから、自分がクールな人間じゃなくて、せっかくのスリルを味わえないのでつまらない、と言った友人もいる。

Twitterは次のような助言をしている。これは、ユーザからの非難を逸らすことが目的かもしれない:

国土安全保障省とセキュリティのエキスパートからの助言に基づき、ユーザにはご自分のコンピュータのブラウザ上でJavaをディスエーブルにすることを推奨する。

それよりも、あるいはそれに加えて、パスワードを変えるのだ。ハッキングされるスリルは、万人のものだからね。

[写真クレジット: Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))