WannaCryを阻止した英雄マーカス・ハッチンズ、法廷で無罪を主張、ツイッターに復帰

マルウェアWannaCryの攻撃を独力で無効化したセキュリティ研究者が、DefConカンファレンスの帰路FBIに逮捕されて以来、久々にオンライン復帰した。Marcus Hutchins、別名@malwaretechは、月曜日(米国時間8/14)ウィスコンシン州連邦裁判所に罪状認否のために出廷し、無罪を申し立てインターネットアクセスを許されるべきだと主張した。Hutchinsは、2014年の銀行を狙ったマルウェアKronosに関わったとされる6件の罪に問われている。

当初Hutchinsは逮捕後のインターネット利用を禁止されていた。今日の法廷でHutchinsは、ほぼ自由なインターネットアクセスを許可された。唯一の制約は、彼がWannaCryを阻止するために作った“sinkhole”を触らないことだけ。Hutchinsは、当然逮捕後初となるツイートを発信し、裁判について説明し多くの支持者に感謝の意を表した。

[今も裁判中で、家に帰ることは許されず拘束されているが、オンラインに出ることが許された。もうすぐ自分のパソコンも戻ってくる。]

[DefConですること:パーティーに参加する、レッドロックキャニオンに行く、射撃に行く、FBIに起訴される、スーパーカーをレンタルする]

ひとつ注目すべきこととして、 International Business Timesの報道によると、政府はHutchinsに対するこの裁判を「歴史的」なものと認識しており、最近のマルウェア蔓延を防いだ彼の役割を認め、もはやHutchinsを脅威と捉えていないことを示唆している。この発言は彼にとって吉報と言えそうだ。

英国市民であるHutchinsは、米国内を自由に移動することが許されており、10月23日予定されている裁判までの間、ロサンゼルスに移住する。

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebookのパスワードを盗むソフトウェアで釣るパスワード窃盗マルウェアが拡散中

Facebook上のマルウェアは珍しくないが、今度のやつには何か幻覚剤の症状のようなものを感じてしまう。シドニーのLMNTRIX Labsのセキュリティ研究者たちが見つけたソフトウェアはFacebook Password Stealer(Facebookのパスワード泥棒)と名乗り、ダウンロードすると悪質なコードをバックグラウンドに注入して、ユーザーの認証情報を盗難の危険にさらす。

研究チームはこう述べる: “すでに相当広く拡散しており、まだ拡散は続いている。これは実際に‘Facebook Password Stealer’というソフトウェアの悪意に満ちた広告キャンペーンなのか、あるいは後日、治療ソフト‘Facebook Password Recovery’を売るつもりかもしれない”。

“犯人たちはマーケティングの達人でもあるようで、実際にそういうサービスへの大きな需要があることを知っていて、それをスパムや広告キャンペーンや、ポップアップ、同梱ソフトウェア、ポルノサイトなどを利用して配布しているのかもしれない。ソフトウェア単体として配布することも、あるのだろう”。

LMNTRIXの研究者たちが“Instant Karma”(幻覚剤)というぴったりのあだ名をつけたこのマルウェアは、他人のFacebookアカウントを盗めるソフトを探していた被害者たちにつけ込む。ダウンロードして実行し、”hack”ボタンをクリックすると、バックグラウンドでリモートアクセスのためのトロイの木馬が動き出す。

研究者たちは参考情報としてVirusTotalのデータベースにある“spoolsvfax.exe” を挙げているが、彼らはその中に、新たに仕込まれたトロイの木馬を見つけた。

一見便利そうなサービスに見えるFacebookのマルウェアは、正体がばれて退治されるまでに、Facebookの膨大なユーザー人口の上で大規模に繁茂する。マルウェアはたとえばMessengerの上で、“お友だちになりましょう”というお誘いを仕掛けることもある。そのほかにもさまざまな、無害そうな、あるいはとても魅力的に見える、ダウンロードのお誘いがある。試しに“hack Facebook account”でググると、マルウェアに感染しているソフトウェアへのリンク、と思われる結果が大量に得られる。どれも技術者ではなく、一般ユーザーに語りかけている。

このパスワード泥棒マルウェアは、Windowsのデスクトップに限られているが、モバイルのFacebookをねらうマルウェアも、今ではありふれている。こんな犯行がまんまと成功するのなら、世界最大のソーシャルネットワークはハッカーにとって金鉱だ。

研究者たちは重ねて述べる: “今やターゲットはハッキングに関心のあるユーザーではなくて、他人のFacebookアカウントを覗きたいと思っている一般ユーザーだ。Facebookをハックする方法やアプリケーションは前からいろいろあるが、Facebookのパスワード窃盗を餌(えさ)にする悪質なキャンペーンは、まったく新しい”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

WannaCryのヒーローの支持者グループ、クラウドファンディングで裁判費用を募金

先週末、セキュリティコミュニティーはMarcus Hutchinsの裁判費用を募るファンドを開設した。HutchinsはWannaCryと呼ばれるマルウェアの拡散を防いだことで有名な研究者だ。しかしHutchinsは、マルウェア技術者としても知られており、先週FBIは、2014年に蔓延した銀行システム用トロイの木馬、Kronosの配布に関わったとしてHutchinsを逮捕した

ウィスコンシン州で火曜日(米国時間8/8)に行われる審問を控え、多くのHutchinson支持者たちが彼の裁判費用を賄うための寄付を募った。ファンドはSymantecのサイバーセキュリティ責任者、Tarah WhellerおよびTor Ekeland率いるIT法律事務所が立ち上げた。

「われわれコミュニティーは、罪状の詳細については知らないが(現時点で詳しい発表はない)、米国で犯罪に問われた際、誰もが法的防御と弁護を受ける権利を持つことは認識している、と募金ページに添えられたメッセージにWheelerが書いた。

Ekelandによると、LawPayが運営するこのファンドは、GoFundMeの代替策として作られた。募金ページの人気は非常に高く、ダウンしたこともあったが、Hutchinsの支持者たちは募金趣旨の十分な説明に努めている。

「このファンドはGoFundMeが法的保護ファンドの扱いを拒否した後、急遽われわれが関与して週末に設定した」とEkelandがTechCrunchに語った。「反響は良好で多くの人たちが寄付している。これまでは説明する機会がなかっただけだ」。

TechCrunchはGoFundMeと連絡を取り、Hutchinsの裁判基金を拒否した件についてコメントを求めている。

Hutchinsは様々な罪状で告発されており、Kronosコードを作成し ―― 実際法的に難しい領域 ―― AlphaBayで販売したことがその一つだ。AlphaBayは違法なオンライン市場で、先月大掛かりな手入れがあり閉鎖された。Hutchinsonは、8月4日にラスベガス裁判所で無罪を主張しており、明日ウィスコンシン州(告発のあった場所)で審問を受ける。

[原文へ]

(翻訳:Nob Takahashi / facebook

WannaCryマルウェアでヒーローになったハッカーをFBIは銀行マルウェアKronosへの関与で逮捕

数か月前にはヒーローと讃えられたマルウェアの研究者を、FBIは、銀行をねらうマルウェアKronosの配布に関わったとして逮捕した。Marcus Hutchinsまたの名@malwaretechblogは、ラスベガスで行われたハッカー大会Def Conからの帰路、空港で連邦捜査局に拘留され、その後逮捕された。

Hutchins(22歳)は、WannaCryマルウェアの機能的ドメインキルスイッチを発見して、その拡散を停止するという、重大だが彼らしくない役割を演じた。今回彼は、2014年の初めに銀行やクレジットカードの認証情報を盗んだマルウェアに関わったとして告発されている。CNNが彼の逮捕を初めて報じ、すぐにViceが彼の起訴状を公表して、DocumentCloud上にも公開した。

彼がロンドンへの帰路取り押さえられたという報道が流れると、セキュリティコミュニティの多くがサイバーフォークヒーローでもあるHutchinsを擁護しようと殺到した。彼の容疑には多くの疑問があり、銀行をターゲットとするトロイの木馬Kronosの作成と配布に果たした彼の役割も、現時点では明確でない。彼の罪状認否は、本日(米国時間8/3)太平洋時間午後3時、ラスベガスで行われる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Microsoftがロシアのハッカー集団Fancy Bearとの静かなるサイバーウォーに勝利

ホワイトハウスはサイバーセキュリティでロシアと協力し合おうなんて言ってるが、それはロシアよりもさらにありえない相棒に任せた方がよいだろう。Daily Beastの記事によると、Microsoftはこれまで、Fancy Bearという名前で知られるハッカー集団と静かな戦いを繰り広げてきた。このグループは、ロシア軍部の秘密諜報機関GRUと関係がある、と信じられている。

その記事はなかなか詳しくて、Microsoftの法務の連中が2016年にどうやってFancy Bearを訴訟し、彼らがMicrosoftの商標を侵して使っていたドメイン名を救ったかを描写している。実際には、敵はFancy Bear以外のいろんな名前を使っていたらしい。Microsoftの製品名を詐称するようなドメインを使っていても、やつらはジェネリックなドメインだと主張した。そして、そんなずさんさが、訴訟を招いてしまった。

明確な組織もない、責任者もいない、掴みどころのないハッカー集団を法廷に引っ張りだすのはほぼ不可能だが、訴訟は、MicrosoftがFancy Bearのサーバーの一部をハイジャックするという結果を生んだ。昨年MicrosoftはFancy Bearのさまざまなドメインを着ているサーバー70台以上を乗っ取り、その多くが指揮とコントロールの役だったので、それによりハッカーたちが、彼らがターゲット上にインストールしたマルウェアとコミュニケーションしていることがわかった。

Microsoftは自分の手中に入ったドメインを使ってFancy Bearのサーバーネットワークの全貌をつかみ、それらのサーバーがMicrosoftのドメインと通信できることを見つけた。結果的に同社は、疑わしい外国の諜報機関の一部を、間接的に妨害、そして観察できたことになる。それは、テクノロジー企業が余暇時間にやった仕事にしては、かなり巧妙な戦術だった。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Jayden K. Smithというハッカーはいない

私は公共へのサービスの一環として、ご両親が、「あなたのFacebookアカウントとシステムを接続している」“Jayden K. Smith”というハッカーに関するメッセージを受け取ったとき、あなたが十分に検討されたニュース記事を見せて強く反論できるようにと、この記事を投稿している。

Jayden K. Smithメッセージは悪質なイタズラだ。 あなたのFacebookアカウントに接続した「システムを持っている」ハッカーなど存在しないし、もしこのイタズラの指示に従って連絡先全員にメッセージを送れば犯人のわなにかかってしまう。やってはいけない。今すぐやめること。

繰り返すが、Jayden K. Smithなるハッカーは存在しない。あなたのFacebookに侵入することもない。たとえごくわずかでも危険なJayden Smithがいるとすれば、 それは「インプラクティカル・ジョーカーズ」のサル・ヴァルカーノの臀部に描かれたこのJaden Smithのタトゥーだが、これさえも爽やかに感じる。

Jayden K. Smithメッセージを送ってきた人には、遠慮なくこれを転送されたい。世界中が感謝するだろう。

【日本語版注:Jayden K. Smithメッセージの日本語版はこちら】

[原文へ]

(翻訳:Nob Takahashi / facebook

Petyaの蔓延を受け、下院議員がNSAに要請、「方法を知っているなら攻撃を阻止してほしい」

今日(米国時間6/28)、テッド・リュウ下院議員(カリフォルニア州選出/民主党)はNSAに対して、昨日から世界を襲っているランサムウェア(ランサムウェアを装った別物の可能性もある)の蔓延阻止を要請する書簡を送った。

リュウ氏は、EternalBlueという攻撃ツールをリークさせ有害ソフトの蔓延を助長した責任はNSAにあると主張している。先月、WannaCryというランサムウェアが同じくEternalBlueを用いて、脆弱性を保護するためにMicrosoftが発行したパッチMS17-010)を適用していないコンピューターに侵入した。

「複数の報告によると、2つの世界的ランサムウェア攻撃が発生したのは、NSAのハッキングツールがShadowBrokersという組織によって世間に公開されたためだ」とリュウ氏は書いている。

「私の何よりも緊急な要望は、もしNSAがこの世界的マルウェア攻撃の止め方、あるいは止めるのに役立つ情報を知っているなら、直ちに公開してほしいということだ。もしNSAがこの最新マルウェア攻撃のキルスイッチを持っているなら、今すぐ配備すべきだ」

リュウ氏は、NSAが自分たちのシステム内に発見した脆弱性についてもっと広くテクノロジー企業に伝えるよう要請した。EternalBlueに関して、NSAは何年も前からその存在を知っていたと言われている。NSAがほかにも重要なツールを隠し持っていること、新たなShadow Brokersのリークによって容易にそれが暴露されるあろうことは当然想像できる。

[これについて記事を書くつもりのジャーナリストは、マルウェアの蔓延はNSAが何年もの間放置してきた脆弱性によるものであることを忘れてはならない]

「現在も脅威が進行中であることを踏まえ、NSAはMicrosoftを始めとする各企業と積極的に協力し、同局が認識しているソフトウェア脆弱性について知らせるよう要請する。さらには、NSAが作ったマルウェアによる将来の攻撃を防ぐために、各企業に知っている情報を公開すべきだ」とリュウ氏は言った。

昨日のランサムウェア攻撃には、前回のWannaCry以上に厄介な問題がある。IEEEのシニアメンバーでアルスター大学のサイバーセキュリティ教授のKevin Curranは次のようにTechCrunchに説明した:「WannaCryとの重要な違いの一つは、Petyaがディスク上のファイルをいくつか暗号化するのではなく、ディスク全体をロックして一切プログラムを実行できなくすることだ。ファイルシステムのマスターテーブルを暗号化することによって、オペレーティングシステムがファイルをアクセスできなくしている」。

もう一つの大きな違いは、WannaCryにはキルスイッチがあったことだ。偶然の産物ではあるが

「PetyaはWannaCryと同じ恐ろしい複製能力を持っており、内部ネットワークを通じて直ちに広がってほかのマシンに感染する」とCurranは言った。「感染したコンピュータ上のパスワードも解読し、それを使って感染を広げているらしい。今回キルスイッチはなさそうだ」。

本誌はNSAに連絡を取り、現在のランサムウェアの蔓延を止めることができるのか、今後の責任はNSAにあるのかを質問している。

リュウ議員の書簡全文を以下に埋め込んだ。

( function() {
var func = function() {
var iframe_form = document.getElementById(‘wpcom-iframe-form-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’);
var iframe = document.getElementById(‘wpcom-iframe-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’);
if ( iframe_form && iframe ) {
iframe_form.submit();
iframe.onload = function() {
iframe.contentWindow.postMessage( {
‘msg_type’: ‘poll_size’,
‘frame_id’: ‘wpcom-iframe-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’
}, window.location.protocol + ‘//wpcomwidgets.com’ );
}
}

// Autosize iframe
var funcSizeResponse = function( e ) {
var origin = document.createElement( ‘a’ );
origin.href = e.origin;

// Verify message origin
if ( ‘wpcomwidgets.com’ !== origin.host )
return;

// Verify message is in a format we expect
if ( ‘object’ !== typeof e.data || undefined === e.data.msg_type )
return;

switch ( e.data.msg_type ) {
case ‘poll_size:response’:
var iframe = document.getElementById( e.data._request.frame_id );

if ( iframe && ” === iframe.width )
iframe.width = ‘100%’;
if ( iframe && ” === iframe.height )
iframe.height = parseInt( e.data.height );

return;
default:
return;
}
}

if ( ‘function’ === typeof window.addEventListener ) {
window.addEventListener( ‘message’, funcSizeResponse, false );
} else if ( ‘function’ === typeof window.attachEvent ) {
window.attachEvent( ‘onmessage’, funcSizeResponse );
}
}
if (document.readyState === ‘complete’) { func.apply(); /* compat for infinite scroll */ }
else if ( document.addEventListener ) { document.addEventListener( ‘DOMContentLoaded’, func, false ); }
else if ( document.attachEvent ) { document.attachEvent( ‘onreadystatechange’, func ); }
} )();

[原文へ]

(翻訳:Nob Takahashi / facebook

ザッカーバーグ、卒業祝辞を前にハーバードの学生新聞で荒らしにあう

今日(米国時間5/25)Facebook CEO Mark Zuckerbergが祝辞を述べるハーバード大学卒業式を前に、同大学の名高い学生新聞に…興味深い見出しが掲載された。

「速報:Mork Zinkletink 、インターネット中を攪乱」

Screenshot via Archive.is

このでっち上げ記事を最初に報じたのはBusiness Insiderで、The Harvard Crimson紙のDerek Cho代表は不正侵入者によるものだとTechCrunchに伝えた。

本日、The Harvard Crimsonウェブサイトが不正ユーザーによって改変された。現在復旧に努めている。読者に迷惑をかけたことは遺憾であり、卒業式が無事終了することを願っている。

Zuckerberg自身が残したCrimson紙との過去の軋轢を踏まえると、ふさわしい出来事と言えなくもない。

Screenshot via Archive.is

遡って2004年、学生だったZuckerbergはCrimsonの編集者2人のメールアカウントに侵入した疑いをかけられた。彼の新しいサイトTheFacebookに対する知的財産権侵害の訴えについて書かれた記事を発行前に読むためとされている。Zuckerbergは、編集者らがTheFacebookへのログインに失敗した記録を元にパスワードを推測し、アカウントに侵入したと伝えられた。

現在The Crimsonのサイトは、通常の卒業記念特集に戻っているが、今日の卒業式で祝辞を述べるZuckerbergの写真は再びサイトに戻ってくるはずだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

全世界的なランサム・ウェアの攻撃を偶然の発見で停止できたようだ

昨日(米国時間5/12)からの全世界的なランサム・ウェアの犯行は、いくつかの理由でおそろしいが、でもMalwareTechのセキュリティ研究者による素早い行動が、その拡散を少なくとも一時的に抑止したようだ。研究者自身はそのとき、それを知らなかった。

その詳しい話はここにあるが、要点はこうだ: すでにご存知かもしれないが、そのランサム・ウェアは、先月Shadow BrokersがNSAの記録から見つけたエクスプロイトを利用して拡散した。それは遠くまで迅速に拡散する能力を持ち、そのマルウェアもまさにそのように拡散した。しかしそのために、それを封じ込めて研究しようとするITの人びとの関心を招いた。

これに対する安全対策として、このウィルスのペイロード(payload, 動作コード)には、作者だけが知っているあるドメインが未登録かどうかを調べるコードが含まれていた。それはつまり、一部のネットワーク環境では、相手が悪質なコードを研究しているVMだったりすると、あるドメインに接続を試みるような外行きデータをすべて捕捉し、自分が勝手に選んだトラフィックを返したりするからだ〔一見、未登録でなくなる〕。

そのランサム・ウェアは、そんな環境で自分を起動したくないから、ある種の(適当な)未登録のドメインをpingする。たとえば、afn38sj729.comとか。そしてそれが、DNSエラー以外の何かを返したなら、そのトラフィックは操作されている可能性が高い。ランサム・ウェアは停止し、それ以上の分析をやめる。

ランサム・ウェアが未登録のドメインを呼び出していることを見つけたその研究者は、直ちにそれを登録してトラフィックをモニタできるようにした(そうやって上図のようなマップを作れた)。それにより拡散先を追跡できる、と思ったが、実はドメインを登録したことによって〔DNSエラーが返らなくなり〕攻撃そのものを殺してしまった。そのドメインをpingすると、既登録という結果が返ってくるので、ランサム・ウェアは自分を決して起動しない! 研究者はランサム・ウェアの生命維持装置を外してしまったのだが、自分ではそのことに気づかなかった。あとでそれと類似の動作をテスト中に、そのことが分かった。

偶然とはいえ、未登録ドメインを登録したことは、研究者の正しい行為だった。とにかくそれは結果的にサーバーをコントロールするコマンドであり、あるいはキルスイッチ(kill switch, 緊急停止スイッチ)だった。結果そのものには、異論がない。残念なのは、すでに被害に遭った人を救えないことだ。今後の展開は防げるけど。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ランサム・ウェアWannaCryはまだ急速に拡大中、でも今では‘キルスイッチ’対策が有効だ

世界中に広まったランサム・ウェアWannaCryはまだ勢いが衰えていないが、サイバーセキュリティのプロフェッショナルたちによる素早いアクションが、その被害の一部を食い止めている。

その“キルスイッチ”(kill switch)は、先週末(米国時間-5/13)、偶然見つかった。それは、そのマルウェアの拡散を止めることはできないが、少なくともコードの起動を防ぐことはできるので、ファイルの暗号化や身代金の請求はなくなる。

Check Pointの研究者たちは、別のキルスイッチドメインを使っている新種のWannaCryを見つけた。pingをしてそれが登録されていないことが分かったら、ランサム・ウェアを起動する。詳しくは前の記事をご覧いただきたい。もちろん彼らはそれをただちに登録し、新しいミュータントのマルウェアが起動されることを防いだ。

これにより研究者たちは、そのランサム・ウェアが新たなコンピューターに感染するとつねにpingが来る、という便宜をもらったことになる。彼らのブログ記事には、新たな感染は1秒に1回起きている、と書かれている。

それらのコンピューターはデータを人質に取られないが、でも新しい変種はいくらでも簡単に作れる。それらは、まだ起動されてないキルスイッチを使って、前と同じ速さで感染していくだろう。キルスイッチをそもそも使っているならば。

唯一の本格的な解決方法は、その脆弱性のあるマシンにワクチンを接種することだ。Microsoftは、古くてもはやサポートしていないバージョンのWindowsのためにパッチを発行するという、まれな行動をとった。でもそんなマシン〔XP以前〕はまだ、世界中に大量に野放しになっている。Microsoftとしては当然、それをすべきだったのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

急速に広まったGmail/Google Docsのフィッシング詐欺に対してGoogleが公式声明を発表

今日(米国時間5/3)の午後早い時間に、Google DocsとGmailのユーザーをねらう新種のフィッシング攻撃が現れ、急激に広まった。巧妙に偽装されたGoogleのURLをクリックすると、謎の犯人は被害者のGmailをすべて読めるようになり、そしてそのフィッシング攻撃を、被害者がこれまでメールを送った全員に転送する。

犯行は単純だけど悪質だ。あなたに以前メールを送ってきたことのある人、その人の連絡先リストにあなたも載っている人から、メールが来る。それは、あなたとの“共有ドキュメント”になっている。ボタンをクリックしてそのドキュメントを開くと、一見無害なページが現れる…URLを見るとGoogleがホストしているページだ。パスワードは要求されないが、そこにはすでにあなたのアカウント情報がすべて載っている。そのページは、“Google Docs”アプリケーションにあなたのメールと連絡先を読む許可を与えてください、と求めている。

しかし: その“Google Docs”アプリケーションは実際にはGoogle Docsではなく、そのように見せかけているだけだ。

ほかのチェックボックスはどれも正しいから、疑り深い人でも信じてしまう。でも、“allow”をクリックした途端、万事休す!…謎の犯人はあなたの受信トレイにアクセスして、そのクリックベイトを、あなたの連絡先リストの全員に転送する。

Googleによると、その攻撃はすでに撃退したし、“再犯を防ぐ努力をしている”そうだ。

Google Docsは、こんなツイートをポストした:

[フィッシングメールに関するGoogleの公式声明: Google Docsを偽装するメールからユーザーを保護する措置を講じました。犯人のアカウントを無効にしました。偽装ページを削除し、アップデートをSafe Browsingと弊社の対策チームにプッシュしました。この種のなりすましの再発を防ぐ措置を講じております。Gmailでフィッシングメールを受信された方は、ぜひGoogleにご一報ください。]

今回の特定の攻撃に限っては、Googleの努力で停止した、ということだ。でも、類似犯が今後続発する可能性もある。Googleは今、この犯行のタイプ(コンセプト)そのものをブロックする努力をしている。でも、それが実現するまでは、知らない人や会社などからのGoogle Docsの共有リクエストには、十分に注意しよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

このフィッシングテクニックは危険である以上におもしろい…あなたは‘ピュニコード’をご存知かな?

純真なユーザーに悪質なWebサイトのリンクをクリックさせる犯行手段は、数えきれないほどある。それらの一部は技術的で、ほかは心理作戦的だ。しかしこの記事でご紹介する手口は、ブラウザーの、あまり知られていない機能を利用(悪用)するという意味で、興味深い。

Webサイトの名前に、英語のアルファベット以外の文字が使われていることがある。ロシアのWebサイトならキリル文字を使いたいし、日本のサイトは漢字を使いたいだろう。今は、テキストを表示するための世界的なスタンダードとしてUnicodeがあるから、ほとんどの言語をサポートできる。

でも残念ながらURIは、すべてのUnicode文字を使える、という状況ではない。ASCII文字しか使えないシステムも、まだ世の中にはある〔DNSなど〕。そこで考えられたのが、“punycode”(ピュニコード)と呼ばれる方式だ。これによって、国際的な文字をASCII文字だけで指定できる。URIがピュニコードを使っていることは、その文字列の冒頭に“xn--”があることで分かる。

その処理が、ユーザーに知らされることはない。“JP納豆.例.jp”が“xn--jp-cd2fp15c.xn--fsq.jp”というピュニコードに変換されて送られてきても、ブラウザーはそれらを元の文字に戻してから表示する。だからこれは、ほとんどのユーザーが知らないシステムだ。

ピュニコードのこのような透明性、それを使っていてもユーザーには知らされない、という特性が、フィッシング犯罪に利用される。犯人はピュニコードを使ってURIを作るが、ユーザーは実際にそんな文字のサイトがある、と思う(実は別の文字だ)。Pedro UmbolinoがHackadayで、そのやり方を示しているが、確かにそれは、ぼくでも騙されてしまうだろう。

FirefoxやChromeなどいくつかのブラウザーは、下図の最初のパラグラフのリンクをapple.comのように見えるように、インラインでもリンクのプレビューでも表示する。しかしそれをクリックすると、Appleのサイトapple.comへは行かない。犯人たちが仕掛けた罠へ、行ってしまう。

そのパラグラフの後の方に書いてあるし、ブラウザーの設定を変えても分かるが、apple.comのように見える文字はxn--80ak6aa92eというピュニコードをブラウザーが変換した文字なのだ。

ブラウザーはapple.comに見える文字に変換して表示したが、このURIをモノタイプフォントのどれかで表示すると、小文字の”L”に見える文字が実はキリル語の文字であることが分かる:

やられた、ね。ハッカーがメールなどの中でこんなリンクを使っていると、疑わしいリンクに対して日ごろから用心深い人でも、クリックしてしまうかもしれない。別の問題としては、Umbolinoが示しているように、その偽サイトは本物のサイトのHTTPSステータスを模倣していて、URIの横にグリーンの鍵が表示され、ユーザーを安心させるだろう。

じゃあどうすればよいのか?

今のところFirefoxとChromeだけの問題だから、両ブラウザーがピュニコードのデフォルトの表示方法を変えるべきだ。でも最新のChrome 58は、リンクURLのプレビューでピュニコードそのものを表示する。Firefoxにも、そうさせる設定がある。about:confighへ行って“punycode”で検索し、出てくる設定項目〔network.IDN_show_punycode〕の値をfalseからtrueに変える。そうするとピュニコードそのものが表示されるようになる。でも、そのほとんどはまともなURIだ。ただし、アヤシイと思える状況では、用心しよう。

インターネットは毎日々々が勉強だね。そう、ときにはね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ハッカーグループShadow Brokers、NSAの機密情報を大量に公表

昨年 国家安全保障局(NSA)が使ったとされるハッキング用ツールを暴露したShadow Brokersというグループが、また宝の山を公開した。今日(米国時間4/9)のMediumへの投稿でこのハッカーグループは、以前オークションにかけようとしたファイルを無料でアクセスできるパスワードを公開した。

Shadow Brokersの名前が最初に知れ渡ったのは、昨年8月に、 NSAおよびEquation Groupに関わる侵入事象をリークしたときで、有名ファイアウォール製品の脆弱性を利用していることが指摘された。同グループは後にEquation Groupが悪用したとするIPアドレスのリストを公開した。

Shadow Brokersは追加のファイルをオークションで売ろうとしたが、あまり関心を引くことはなかった。今年1月には「お別れメッセージ」を掲載し、新たにWindows関連脆弱性のリストを公表した。

今回Shadow Brokersは、リーク文書と共に長文のMedium記事を書いており、自分たちはドナルド・トランプ大統領への信頼を失ったために「抗議行動の一つ」としてファイルを公開したと言っている。

セキュリティ研究者らは今もファイルの調査を続けているが、脆弱性の多くは古いシステムやほとんど使われていないシステムへの攻撃に使用されたようだ。そして、少なくとも一人の男が、このリークがハッカーの正体を暴露する結果につながると考えている。

[#ShadowBrokersによるNSAのトップシークレットのツールに関するリーク情報をざっと見たところ、全貌には程遠いものだった。しかしこれだけの情報があればNSAはこのデータの出どころがどこでどうやって漏れたかを直ちに見極められるはずだ。もしできなければ、かなり恥ずかしい。― エドワード・スノーデン]

[原文へ]

(翻訳:Nob Takahashi / facebook

Yahooを襲ったハッカーは‘勃起不全の治療薬’で検索している検索結果を金銭目的で操作した

今日(米国時間3/15)司法省が提出した起訴状によると、5億人のユーザーが被害者になった2014年のYahooハックの犯人とされているハッカーの一人が、金銭目的で検索結果を操作した。

Alexsey Belanはeコマースの詐欺や悪質なハッキングで何度も告発された人物だが、2013年にはロシアに逃げおおせていた…それは彼がヨーロッパで逮捕され本国(アメリカ)へ送還される前のことだった。彼に帰せられている罪は、共犯者たちのそれに比べると、人の弱みにつけ込むような性質が強かったようだ。、

彼の手口のひとつは、Yahooの検索エンジンのサーバーの一部を操作して、“erectile dysfunction medications”(勃起不全の治療薬)で検索した人(もちろんこんな医学専門用語ではない検索もある)をネット上の薬屋さんへ回し、その紹介料金をもらう、というものだった。その犯行を無名のクラウドコンピューティングサービスを利用して行い、その結果そのクラウドサービスは、知らない間に、Yahooとその薬屋さんの間(あいだ)を仲介していたことになる。

これにより犯人たちによるYahooデータへのアクセスは、余録をもたらしたとも言えそうだ。つまりメールやハッシュされているパスワード、そしてごくふつうのデータに紛れ込んでいるセキュリティ関連の質問などが盗まれたことが、明らかになる前に、もっと深いレベルで不法妨害行為が起きていたのだ。もしもBolanが特定の市場を密接にモニタし、そこに検索結果を植え込んだのなら、それこそが、大量のデータをハックしたことから彼や彼のクライアントが得られる最高の利得だっただろう。

二週間前にはYahooのSECへの提出文書が、このハックに関する新事実を明かしている。すなわちそれは、その侵入によって“プロプライエタリなコード”(私権を有するコード)が露出したことだ。何のコードか? どうやって‘盗まれた’のか? Yahooは今、このハックに関するありのままの情報を‘大量出血’しているから、この問への答えもまもなく得られるだろう。

情報開示: VerizonはAolのオーナーであり、AOLは本誌TechCrunchのオーナーである。そのVerizonは、Yahooを買収しようとしている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Netflixの技術者たちがストリーミングの画面を脳波でコントロール(?)

screen-shot-2017-01-30-at-7-11-27-pm

定義するまでもないが、でも、こんなのがときどきあるから、ハッカーたちのカンファレンスは楽しい。Netflixの4人のデザイナーが、下の短いビデオで“MindFlix”と呼んでるものは、Museヘッドバンドをハックして、同社の映画ストリーミングサイトの、おなじみのインタフェイスを操作する。

ビデオはこう言っている: “今日のHack Dayのために、自分たちの脳にチップをインプラントしようかと思ったけど、でも、この脳波を読むヘッドバンドをまず試してみることにした”。

とても短いビデオで、しかも相当編集されている。ぼくなんか、脳波や目の動きでテレビを操作する、という話を聞くたびに、眉に唾をつけてしまう方だ。実際に自分が試してみたものの中にも、近い将来本当に実用化されそうなのは一つもなかった。今実際に売られているものの中の、ややましな製品ですら、その完成度は低い。でもこのビデオと、そこに紹介されているハックは、ストリーミングに対するインタフェイスの未来のバージョンを実際に開発するという真剣なお話よりも、むしろ、一種のお笑いネタだ。

でも、世の中のテクノロジー製品の多くがそうであるように、ここで紹介されている技術も、‘楽をしたい’という怠け者根性から生まれている。このジョークっぽいビデオも、Netflixのユーザーが、紛失したリモコンを探すのが面倒、という話から始まる。ヘッドセットにも、室内での紛失、という問題はあると思うけどね。

Netflix Hack Dayでは、ほかにもいくつかのビデオが紹介された。たとえば、Netflixのアカウントを複数持っている人が一画面で複数のストリーミングを見る方法、社会問題を扱ったビデオに‘寄付機能’がある、NetflixオリジナルのStranger Thingsのゲームバージョン、などだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Miraiボットネットの作者は裏世界に魅せられた(本業は)DDoS保護デベロッパーだった

ddos

数千という大量の、セキュリティの貧弱なIoTデバイスを襲い、彼らにDoS攻撃対策を迫ったボットネットMiraiが、善玉よりも悪玉であることに魅力を感じた、ある若いデベロッパーの作であることが分かった。

最盛期のMiraiに自分のサイトをやられたセキュリティの研究家Brian Krebsによる、この長くておもしろい調査は、ほとんど無限のように長いパン屑の連なりを辿って、Anna-senpaiとして知られるハッカーを見つけた。この大規模なDDoSのようなサイバー攻撃の、犯人を探り当てるまでの過程に関心のある方は、Krebsの調査をぜひ読むべきだ。

この記事では、そんなひまのない方のために、‘上司のためのまとめメモ’(executive summary)を提供しよう。Anna-senpaiは、本名Paras Jhaが使っている何十もの偽名の一つのようだ。彼はDDoS保護サービスProTrafのファウンダーだが、稼げるMinecraftサーバー市場は競争も激しくて、顧客をほかのホストから切るために、不正な手段に頼った。

miraiconnections

Krebsの調査報告文書の一部、いろんな名前が蜘蛛の巣(web)のように絡み合っている。

ProTrafの社員数名、…おそらく全員が、競合サービスに対するDDoS攻撃を実行したようだ。5分間の攻撃に対して、100bitcoinのボーナスをもらった。彼ら同士のさまざまな会話から、このことが分かる。

Jhaは、裏世界の仕事をしているハッカーに特有の、自分のクレジット(「俺がやったんだ!」)を主張したいという衝動に、屈したようだ。Jhaや彼の同僚に結びついているさまざまな人物が、多くの攻撃の実行犯、Miraiのコードの作者、そして世界中のサービスプロバイダに対する金銭強要の犯人だった。

ネット上の二人の人物(名前)のコードの書き方がそっくり、とか、特定の人しか知らないはずのデータを攻撃に利用している、などの手がかりをKrebsはつなぎあわせて、犯人に到達した。彼は9月に自分のサイトがやられたことを、彼自身に対する公然たる侮辱、と感じていた。

今後の調査についてKrebsに問い合わせているので、情報が得られ次第この記事をアップデートしよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ポルノサイト「xHamster」のログイン情報38万人分が流出

password-balloon2x

ポルノサイト xHamsterのメンバーは、今すぐパスワードを変更した方がいい。今日(米国時間11/29)38万人分のユーザー名、メールアドレス、および弱いハッシュのかかったパスワードがネット上に公開された。

有料侵入通知サイトのLeakBaseが一連のログイン情報を公開し、ネット上で取引されているとMotherboardが伝えている。データの入手経路は明らかにされていないが、xHamsterの登録ユーザー1200万人のうち、ごく一部の情報だけを含んでいる。xHamsterは、サイトを見るだけなら登録の必要はないが、コメントを付けたり、プレイリストを作るためには必要になる。

それでも、リークした情報はユーザーを困らせる可能性がある ― アカウントのいくつかは、米国陸軍や政府のメールアドレスにひも付けられていた。また、xHamsterの登録ユーザーが他のサイトでも同じパスワードを使っていれば、そこでも被害にあうリスクがある。

「xHamsterユーザーのパスワードは適切に暗号化されているため、解読はほぼ不可能だ。このためパスワードはすべて安全であり、ユーザーデータは守られている」と、xHamsterの広報担当者はMotherboardに話した。

しかし、LeakBaseの広報は異論を唱え、パスワードはMD5アルゴリズムでハッシュされており、安全ではないと考えられるとTechCrunchに伝えた。「MD5ハッシュは単純で容易に破ることができる。このハッシュを安全だと思っていること自体が、セキュリティーの欠陥を今日まで放置している会社の典型であることを示している」。

LeakBaseは、ハッキングを検証するために60人分のユーザー情報をTechCrunchに提供した。そこにあったメールアドレスはたしかにxHamsterの登録アカウントに対応しているようだった。

[原文へ]

(翻訳:Nob Takahashi / facebook

Operaのブラウザーデータをシンクするサービスからユーザーデータが漏洩、詳細を調査中

screenshot-2016-08-27-13-24-19

Operaは最近、そのブラウザー事業を中国のコンソーシアムに売ることに合意したが、今週はそのサービスの一つが、サーバーをハッカーに侵入されたため、ユーザーのパスワードをリセットした。

同社によると、犯人はOpera Syncへのアクセスを獲得した。これはユーザーがブラウザーのデータや設定を複数のプラットホーム間でシンク(同期化)できるためのサービスだ。現在まだ調査中だが、初期的な結論としては、犯行によりパスワードとログイン名などのユーザーデータが漏洩したようだ。

Operaはその幅広いプロダクト全体で3億5000万のユーザーを抱えているが、その中でSyncサービスのユーザーはごく少数だ。先月の時点でアクティブユーザーが170万だったが、もっと多くのノンアクティブの登録ユーザーも、Operaにパスワード等のデータを提供している。同社はすべてのパスワードをリセットし、Syncの全登録ユーザーにメールで詳細を伝えた。

またブログ記事では次のように説明している: “パスワードはすべて(同期化のためには)暗号化され、(認証のためには)ソルトされハッシュされて保存されていたが、それでもわれわれはOpera Syncのすべてのアカウントのパスワードを、念のためリセットした”。

Dropboxが、パスワードを2012年以降変えていないアカウントのパスワードをリセットすると発表したその翌日に、Operaがやられたというニュースが飛び込んできた。Dropboxの決定は、2012年に起きたLinkedInに対する大規模なハックへの懸念が契機だ。そのときは、1億1700万のアカウントの認証情報がネット上にポストされた。

Operaの事件はそれとは無関係なようだし、ハック攻撃の対象はたった一つのサービスに限定されているようだ。しかし調査がすべて終われば、詳しい実態がさらに明らかになるだろう。

攻撃の噂は1か月前からあった。そのころはOperaが、そのブラウザー事業とプライバシーアプリと中国の合弁事業を、中国のコンソーシアムに6億ドルで売る、と発表した直後だった。そのコンソーシアムのトップQihoo 360は、ウィルス対策の企業だ。最初の合意ではOpera全体を12億ドルで売るとなっていたが、株主たちの承認が期日内に得られなかったため、新たな合意案が作られた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Analogue Nt miniはファミコンの歴史に対する心からのオマージュだ

battletoads

Analogue Nt miniは、NESではない*。よりも、良い。Christopher Taberが作ったこいつは、これだけで立派なアートだ。ケースはアルミニウム剛体の削りだし加工〔鋳造?〕で作られていて、内部にはいっさいの妥協のないゲーム体験が詰まっている。これまで、エミュレーションソフトで我慢してたのとは、大違いだ。〔NES, Nintendo Entertainment System, 初代ファミコン。〕

彼が最初に作ったNTよりは、Nt miniはやや小さい。NTは今年の初めに売り切れてしまったが、大きくてお値段も579ドルと高かった。Nt miniは449ドルだから決してお安くはないが、ビデオ出力が改良され、アドオンがなくても1080pのRGBを出力できる(+HDMI)。コントローラーは、下図でお分かりのようにワイヤレスだ。しかもコントローラーの受信部は、PS4, PS3, Wii, Wii U Proなどのコントローラーも読める。

  1. wireless.jpg

  2. duckhunt.jpg

  3. oldschooltv.jpg

  4. jackal.jpg

  5. craftsmanship.jpg

  6. nt-mini-nes-1.jpg

  7. nt-mini-nes-2.jpg

Analogue Nt miniは2017年1月が発売予定で、初代のNTより20%小さい。コントローラーのデザインは初代ファミコンとまったく同じで、NES Zapper(ファミコン光線銃)もつく。ファミコンおよびファミリーコンピュータディスクシステムのゲームをそのままプレイできる。

任天堂のNES Classic Editionは59ドル99セントとお安く、しかもゲームが30本ついてくる。でもそれは、このAnalogueの力作と比べると、 Bugatti(ブガッティ)の横に置いたHonda Civicだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Analogue Nt miniはファミコンの歴史に対する心からのオマージュだ

battletoads

Analogue Nt miniは、NESではない*。よりも、良い。Christopher Taberが作ったこいつは、これだけで立派なアートだ。ケースはアルミニウム剛体の削りだし加工〔鋳造?〕で作られていて、内部にはいっさいの妥協のないゲーム体験が詰まっている。これまで、エミュレーションソフトで我慢してたのとは、大違いだ。〔NES, Nintendo Entertainment System, 初代ファミコン。〕

彼が最初に作ったNTよりは、Nt miniはやや小さい。NTは今年の初めに売り切れてしまったが、大きくてお値段も579ドルと高かった。Nt miniは449ドルだから決してお安くはないが、ビデオ出力が改良され、アドオンがなくても1080pのRGBを出力できる(+HDMI)。コントローラーは、下図でお分かりのようにワイヤレスだ。しかもコントローラーの受信部は、PS4, PS3, Wii, Wii U Proなどのコントローラーも読める。

  1. wireless.jpg

  2. duckhunt.jpg

  3. oldschooltv.jpg

  4. jackal.jpg

  5. craftsmanship.jpg

  6. nt-mini-nes-1.jpg

  7. nt-mini-nes-2.jpg

Analogue Nt miniは2017年1月が発売予定で、初代のNTより20%小さい。コントローラーのデザインは初代ファミコンとまったく同じで、NES Zapper(ファミコン光線銃)もつく。ファミコンおよびファミリーコンピュータディスクシステムのゲームをそのままプレイできる。

任天堂のNES Classic Editionは59ドル99セントとお安く、しかもゲームが30本ついてくる。でもそれは、このAnalogueの力作と比べると、 Bugatti(ブガッティ)の横に置いたHonda Civicだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))