スノーデン文書、NSAとハッカーグループを結びつける

The National Security Agency (NSA) headquarters at Fort Meade, Maryland, as seen from the air, January 29, 2010.      AFP PHOTO/Saul LOEB (Photo credit should read SAUL LOEB/AFP/Getty Images)

先週末、ShadowBrokersと名乗るグループがネット上でデータを暴露し、NSAとつながりがあると広く信じられているハッカーグループから盗んだものであると宣言した。データには主要ファイアウォール製品の脆弱性に関する情報が含まれていたことから、NSAがハックされた疑いが浮上した。

専門家によるデータ分析結果は、NSAとEquation Groupが同一のものであることを示唆していたが、今日(米国時間8/21)The Interceptは、元NSA契約社員の内部告発者、エドワード・スノーデンから提供された大量文書の中で、今回暴露されたデータを参照しているものがあることを確認した。

The Interceptの記事は次の通り:

ShadowBrokerの暴露データとNSAを結びつける証拠は、マルウェアを仕掛かけるための内部マニュアルの中にあった。スノーデンが提供した同マニュアルは最高機密に属し、これまで公開されたことがなかった。マニュアル原稿では、16文字の特別な文字列、”ace02468bdf13579″ を使っているマルウェアプログラムの使用状況を追跡するよう、NSAオペレーターに対して指示されている。これと全く同じ文字列が同じプログラム、SECONDDATEに関連するコード内で、ShadowBrokersのリーク文書全体を通じて見つかった。

スノーデン文書には、このツールがパキスタンおよびレバノンに対するスパイ活動で使用されたと書かれている。ShadowBrokersが公表したデータは、NSAのハッキングツールが公になった初めての事例であり、同ツールがこれ以外にも使われているのではないかという懸念を生じさせている。

問題のEquation Groupツールに言及している文書は、The Interceptが公開しており、ここで読むことができる。

[原文へ]

(翻訳:Nob Takahashi / facebook

Twitterは個人情報がネットで売られた後、こうしてアカウントを保護した

twitter-140-media

昨日(米国時間6/7)午後、Twitter侵入の噂が流れ始めた。もちろんTwitterで。セキュリティー研究者らは、パスワードを変更し、二要素認証を有効にするようユーザーに警告した。二要素認証とは、信頼できる端末に送られた暗証コードを使ってログインの個人認証を行うものだ。

しかし噂は間違っていた ― 少なくとも部分的に。数百万人分のTwitterハンドルとパスワードが闇サイトで売りに出されたものの、Twitterは侵入被害を受けなかった。データを掲載したLeakedSourceは、ログイン情報はマルウェアを使って収集されたものと推察しており、Twitter自身のセキュリティーチームもこの説を支持している。

「問題のTwitter ユーザー名とパスワードは、他の最近の侵入で得た情報と、あらゆるサイトのパスワードを盗むマルウェアの情報とを組み合わせたものかもしれない」とTwitterの情報セキュリティー責任者、Michael Coatesがこの件に関するブログ記事に書いた。

Twitterは、自社ユーザーのアカウントを保護するために比較的すばやく動いた ― 今日(米国時間6/9)情報が漏洩したユーザー全員に対して強制的にパスワードをリセットした。

Twitterは大量のパスワードをネットでばらまかれたソーシャルメディア会社として最新の被害者だ ― 5月には、Myspaceの個人情報3.6億人分LinkedInの認証情報1億人分が売りに出された。

Wiredのインタビューで、ユーザーのログイン情報を売っているハッカーの一人は、当初は特定個人のアカウントをターゲットにするスパム業者等に直接売り込み、その後公開販売したと話した。その人物はWiredに、LinkedInのデータだけで約2万ドルになったと話した。

Coatesによると、Twitterrは他サイトから盗まれたデータを調ベ、Twitter自身の記録と相互チェックしてどのアカウントが脆弱かを検証し、強制パスワードリセット等の特別な保護対策を実施している。

「犯人は公開されたユーザー名、メールアドレス、パスワードデータ等を探し、自動化システムによってこのログインデータとパスワードをあらゆる有名ウェブサイトでテストしようとした。同じユーザー名とパスワードを複数サイトで使っている人は、アカウントを自動的に乗っ取られた可能性がある」とCoatesは書いている。

Twitterは位置情報、使用端末、ログイン履歴等の不自然な行動を監視することによって、脆弱なユーザーを保護している、とCoatesは言った。

さらにCoatesは、Twitterアカウントのものされているパスワードの一部は正しくないことも指摘した。一部のハッカーは「古い盗難データをまとめたり、複数の侵入データからアカウントを構成して、ウェブサイト Xのログイン情報とパスワードだと称して販売している」と彼は説明した。

Twitterは、二要素認証、強力で他と異なるパスワード、およびパスワードマネージャーを使ってアカウントの安全を保つことを推奨している。

[原文へ]

(翻訳:Nob Takahashi / facebook

3200万のTwitterアカウントのパスワードがハックされてリークした、かもしれない

shutterstock_311499485

困ったことに、大きなソーシャルメディアサイトが、またハックされたようだ。3200万人ぶん以上のTwitterの認証情報がハッカーに盗まれて、今、Webの裏世界(‘dark web’)で売られている。

ハックされた情報の検索エンジンを提供しているLeakedSourceブログ記事によると、同社はユーザー情報のコピーを“Tessa88@exploit.im”から受け取った。それは、ロシアのソーシャルネットワークVKから先週ハックされたデータをくれた者が使っていたのと同じエイリアス(別名)だ。

最近の大規模なセキュリティ事件としては、Myspaceのハックによる3億6000万あまりのアカウント漏洩がある。これは、これまでで最大だ。また2012年にはLinkedInが、1億のパスワードを盗まれた

LeakedSourceによると、今回のTwitterのハックで3288万8300件のメールアドレス、ユーザー名、そしてパスワードが同サイトの検索エンジンに加えられた。そこでリークした情報を見て削除できる。

データ中の情報(多くのユーザーのパスワードがプレーンテキストで表示されることなど)に基づいてLeakedSourceは、ユーザーの認証情報はFirefoxやChromeなどのブラウザーに感染したマルウェアが集めた、と考えている。被害者ユーザーの多くはロシアにいるようだ…データベースに表現されているeメールのドメインの10のうち6つが、mail.ru、yandex.ruなどロシアのドメインだ。

Mark Zuckerbergの、TwitterなどFacebook以外のソーシャルメディアのアカウントがいくつか今週ハックされたが、彼の情報は今回のデータセットにはない。Zuckerbergは複数のサイトで”dadada”というパスワードを使っていて笑いものになったが、LeakedSourceが行ったデータ分析の結果を見ると、彼よりもさらにひどい人は多い。12万417回登場する、最多のパスワードは、“123456”で、“password”は17471回登場する。VKのデータを分析しても、結果はこれと類同だ

TechCrunchは今、Twitterに詳しい情報を問い合わせ中だ。

—–以下、続報—–

Twitterは本誌TechCrunch宛の声明で、Zuckerbergなどのセレブたちのアカウントが最近ハイジャックされたのはパスワードの再利用が原因で、それがLinkedInやMyspaceの侵犯で漏れたのだ、と示唆している。

Twitterのスポークスパーソンは、“過去数週間で複数のオンラインサービスが数百万のパスワードを盗まれている。Twitterのパスワードにはユニークで強いパスワード使うよう、おすすめしたい”、と言っている。アカウントを安全にするためには、同社のヘルプセンターが提供している提案を使え、ということだ。Twitterの@Supportアカウントのポストでは、同社のデータを最近のデータベースダンプと突き合わせて検査している、とも言っている:

LeakedSourceによると、同社は15名のユーザーにパスワードを確認して、リークしたデータが本物であると判断した。それらのパスワードは、データ中のパスワードと同じだったのだ。しかし専門家は、それでもなお、そのデータが本物でないことがありえる、という。

Twitterでセキュリティを担当しているMichael Coatesはツイートで、Twitterのシステムが侵されたのではないことは確実だ、と言っている:

“弊社はすべてのパスワードをbcryptで保存している”、とCoatesはパスワードハッシングファンクションの名を挙げて付言し、それは安全であると見なされる、と述べた。“今LeakedSourceと協働して情報を取得し、ユーザーを保護するためのさらなる措置を講じたい”、と彼は話を続けた。

侵犯をカタログしているサイトhaveibeenpwned.com(“私はボコボコにやられたのか”)の作者Troy Huntも、データの本物性に対する疑念を表明した。彼によると、TwitterとFacebookの侵犯は数週間前から噂になっているが、納得できる証拠は見たことがない。“以前の大きな侵犯でまだ公表されてないやつと合うなら、それは古いリークだ。ちなみに、これまでのアカウント乗っ取りはほとんどどれも、認証情報の再利用がほかのデータ侵犯サイトでも行われていたことの結果だ”、とHuntは言う。

リークしたTwitterの認証情報が本物であろうとなかろうと、パスワードを変えることは誰の害にもならない。同じパスワードを複数のサイトで使っているなら、なおさら、変えた方がよい。二要素認証は、パスワードがリークしたときでも、アカウントの安全を守る。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Twitterのフォロワー数世界最多のKaty Perryのアカウントがハックされ、Taylor Swiftを侮辱する偽ツイートを投稿

shutterstock_322517972

Katy Perryの、世界一多いと言われる、8900万のTwitterフォロワーの多くが、困惑しただろう。このポップスターが今朝(米国時間5/30)、彼女の最大の強敵と思われるTaylor Swiftに、悪口をツイートしたのだ。しかしそれは、ハッカーの仕業だと分かり、すぐに削除された。

これらのツイートは、“haha follow @sw4ylol #hackersgonnahack.”をフォローしている。このアカウントは今でも健在で、当人はルーマニアにおり、5月29日に最初のツイートを送っている。SoundCloud上のKaty Perryのものと思われる曲へのリンクもツイートしたが、それはUniversal Music Groupからの著作権クレームがあり、削除された:

この事件は、どんだけセキュリティを固めてもTwitterのアカウントは、誰のであれ、安全ではない、ということを思い出させる。セレブはとくに、いたずらに遭いやすい。これまで、Justin BieberやLea Michele、Britney Spearsらもやられた。そして、米軍の中東司令部すら、Twitterアカウントをハックされた。本誌TechCrunchは今、Katy Perry側とTwitterにコメントを求めている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

LinkedIn、2012年のハックで漏洩したメールとパスワード1.17億人分がネットに公開

linkedin-logo

2012年のLinkedInのハック事件は、今もユーザーに問題を起こしている。同社は今日(米国時間5/18)、当時奪われた別のデータセットが公表され、そこには1億人分以上のLinkedInメンバーのメールアドレスとパスワードが含まれていると発表した。新たなデータ漏洩を受け、LinkedInはアカウントを検証し、影響を受けたユーザーに連絡を取り、パスワードを変更できるよう作業を進めていると言っている。

かなり時間がたっているので覚えていないかもしれないが、去る2012年にハッカーがLinkedInに侵入し、650万人分の暗号化パスワードを盗み、ロシアのハッカーフォーラムに掲載した。パスワードはソルトなしのSHA-1 hash形式で保存されていたため、数十万件がすぐに破られた。

Motherboardの最新記事によると、現在 “Peace” と名乗るハッカーが、1.17億人分のLinkedInメンバーのメールアドレスとパスワードを、地下市場でbitcoin 2200ドルで売ろうとしている。データセットには全部で1.67億件のアカウントが入っていたが、メールと暗号化パスワードの両方が含まれていたのはそのうち1.17億件だけだった。

このデータセットは2012年のハックで流出したものなので、パスワードは同じ方法 ― 「ソルトなし」 ― で暗号化されており、これは容易に破られることを意味している。事実、Motherboardによると、90%のパスワードが72時間以内に解読されたという。被害者の中には2012年以来同じパスワートを使っている人もいる、と記事は伝えている。

現在のLinkedInユーザーが心配すべきかどうかは、いくつかの要素に絞られる。2012年のハックの時にアカウントを持っていたか?その後パスワードを変更したか? そのパスワードを別のウェブサイトで流用していたか?

もし自信がなければ、とにかくパスワードを変更すること。同じパスワードを使っているかもしれない他の重要なサイトも同様だ。

LinkedInは、侵入事件以来セキュリティー基準を高め、暗号化を強化し、メールによる確認と二要素認証を導入したと言っている。しかし、このハックは新たな保護対策が行われる前に起きたものだ。メールとパスワードを組み合わせをハッカーに知られたユーザーは危険に曝されている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Spotifyのログイン情報数百人分がネットに流れる―Spotifyではハックされていないと主張

2016-04-26-spotify-red

Spotifyのログイン情報数百人分がPastebinというサイトに貼らられ、このサービスのセキュリティーが破られのではないかと疑われている。漏洩した情報にはメールアドレス、ユーザー名、パスワード、アカウントの種類、その他の詳細が含まれている。

TechCrunchではランダムに抽出したアドレスにメールを送って調査した結果、これらのユーザーのSpotifyアカウントは実際に数日前にハックされていることを確認した。ただしSpotify側では「われわれはハックされていない。ユーザーデータは安全に保管されている」としている。

それではこのデータはどこから得られたものかという疑問が出る。データは間違いないくSpotifyへのログインに特有の情報であり、たまたまSpotifyにも関連する一般的なウェブ・データではない。

漏洩したアカウント情報はアメリカ国内のものに限られず、世界中いたるところのユーザーが含まれている。

spotify-pastebin

われわれのメールでの問い合わせに対して5、6通の返信があり「最近アカウント情報がリークした」と確認してきた。乗っ取りに気づいたきっかけはいろいろあったようだ。あるユーザーは「自分で追加した覚えのない曲がプレイリストに追加されていた」と回答した。別のユーザーは身元不明の第三者が自分のアカウントを使っていることに気づいた。

匿名を望むあるユーザーは「アカウントは先週ハックされたのだと思う。『最近再生された曲』に自分で聞いた覚えのない曲が追加されていたのに気づいてパスワードを変えて全部のデバイスで〔Spotifyから〕ログアウトした」と語った。

spotify-overview

別の複数のユーザーは曲を聞いている最中にSpotifyが使えなくなり、再度ログインしてみると、メールが自分のものではない不正なアドレスに書き換えられていることを発見したという。

Spotifyをまた使えるようにするためにはカスタマーサービスに連絡して手続きしなければならなかったそうだ。

いずれの場合もユーザーに対してSpotifyからすぐに通知はなく、Spotify側で積極的にパスワードを変更するなどのセキュリティー保護の措置は取られなかったという。

「Spotifyはハックされていないという」という広報担当者の言葉はこれと矛盾する。

Spotifyはハックされておらず、ユーザーデータは安全だ。われわれはPastebinその他のサイトを定期的にチェックしている。もしSpotifyのログイン情報をそのようなサイトで発見した場合、われわれはただちにその真偽を確認し、正しいログイン情報だと分かった場合は対象ユーザーに直ちに通知し、パスワードを変更することになっている。

Spotifyは依然としてアカウントの真偽を確認しているのかもしれない。これは時間がかかる場合がある。

われわれの取材によると、この問題が発生したのは先週のようだ。ただしPastebinの日付は4月23日になっている)(TechCrunchは被害者のプライバシーを守るためにこのサイトへのURLは掲載しない)。【略】

spotify-email-reset

原因がどこにあるにせよ、漏洩したパスワードを使って身元不明の第三者がなぜ実際にSpotifyにログインしてストリーミング・サービスを利用したのかは不明だ。そんなことをすれば本来のユーザーが漏洩に気づくに決まっている。ハッカーはログインデータを本来のユーザーに気づかれないように入手し、よそで売りさばくのが普通だ。それだけに今回の成り行きは理解しがたい。

この件に関してさらに情報が入手でき次第アップデートする。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

iMessageの写真、ビデオ、ファイルの暗号化が解読されるセキュリティホールが見つかる

encryption

暗号化は猫と鼠のゲームだ。Johns Hopkins University(ジョンズホプキンス大学)の研究者たちが、そのことを証明するすごい方法を見つけた。彼らが Washington Postにシェアした研究によると、iMessageで送った写真やビデオやファイルの中身を見られてしまう、深刻なセキュリティホールが見つかったのだ。

iMessageは最初から、暗号化されたメッセージングプロトコルだ。ユーザーがiMessageを送ると、デバイスはAppleのサーバーとのセキュアな接続を開く。メッセージはユーザーのスマートフォン上で秘密鍵を用いて暗号化され、Appleのサーバーへ送られ、相手に届く。そして彼/彼女のスマートフォン上で、メッセージは解読される。

したがってユーザーのメッセージはAppleのサーバー上では解読不能な寝言の集まりだ。Apple自身は、メッセージを解読するための鍵を持っていない。

しかしJohns Hopkins Universityの研究者たちは、ホールを見つけた。メッセージは解読できないが、写真やビデオやファイルを横取りする方法を見つけたのだ。

ファイルは、64ビットの暗号鍵による弱い暗号化方法を使ってきた。研究者たちは、Appleのサーバーのふりをして暗号化されているファイルを横取りするサーバーを開発した。そしてAppleは失敗回数を制限していないので、彼らは何千もの鍵を試した。この力づくのやり方で研究者たちは、誰にも気づかれずに、Appleのサーバーからのファイルを解読できた。

Washington Postによると、すでにiOS 9以降では、デバイスから来るファイルを解読することは困難になっている。しかしそれでも、NSAなどなら解読できるだろう。政府機関やハッカーが、この方法を実際に使っているかは、不明だ。

幸いにもAppleはすでに対策を開発し、今日(米国時間3/21)リリースされるiOS 9.3にはそれが実装されている。ハッキングのやり方は公表されていないし、Appleがそのセキュリティホールを閉じたら研究チームはホワイトペーパーを共有する予定だ。

このハックは、暗号化が完全ではありえないことを、あらためて証明している。セキュリティホールはつねにあり、ハッカーたちはそれを見つける。そしてAppleのような大きなソフトウェアメーカーは、ホールを塞いでハッカー鼠たちを追い払おうとする。だから、ご自分のデバイスにパッチをインストールすることは、とても重要だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Lytro、VR動画カメラ “Immerge” を発表

screen-shot-2015-11-05-at-10-15-12-am

ピント合わせ不要カメラメーカーのLytroがバーチャルリアリティーに参入する。今日(米国時間11/5)同社は“Immerge” と呼ばれる製品を発表した。これは「世界初の映像VR用プロフェッショナル光照射野システムだ。

それはどういう意味なのか?

つまり、Lytroは動画VRを撮影するためのツールを提供したい。彼らはこの「光照射野(light field)」方式を一から作り上げた。CEOのJason Rosenthalによると、Lytroは旧カメラ製品のサポートと販売は続けるが、今後はバーチャルリアリティーに切り替えていき、それが「会社の未来」であると言っている。

Screen Shot 2015-11-05 at 10.16.08 AM

装置は球体でリング状の光照射野カメラ/センサーを5組備えている。ポイントは、あらゆる地点で全方向から来るデータを収集すること。映像の試聴者は上から下まで、左から右までをシームレスに、まるでVRヘッドセットを着用しているかのように見ることができる。基本的に現在のVR体験では、「動き回る」ことはできず、利用者は定位置にいる。だから倒れることはめったにない。

私はあるが。

今一番話題のVR装備メーカー各社が、Lytro Immergeについて語っている:

“Six degrees of freedom”[6-DoF/6つの自由度]がImmergeのおたけび。

カメラの出力は、Oculus、HTC、Sonyを含めあらゆる主要なプラットフォームと機器に対応している。発売時期は? これからテストをしてフルスペックが明らかになるのは2016年になり、安くはないと思われる。しかし、こういうカメラを使おうという人なら、この手の最新技術を買う予算を持っているに違いない。

同社はこれまでに1.5億ドルの資金を調達しており、バーチャルリアリティーに賭けることは決して悪いアイデアではない。まあ、少なくとも彼らはポラロイド写真か何かを再発明しようとしているのではない。これは「ピボット」だ。しかし、ひどく賢いピボットだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

Apple、iOS 9.1でPanguハッカー集団のJailbreakを締め出す

pangu

それは速い動きだった。初のiOS 9デバイス用公開jailbreakがウェブに現れてからわずか数日後、Appleは中国ハッキングチームPanguが悪用していた2つの脆弱性を締め出した。Panguの紐なし脱獄ツールは、iOS 9.0~9.0.2の走るiPhone、iPadおよびiPod touchのほぼ全機種をjailbreakできる。

Appleのウェブサイトに掲載されたセキュリティー文書で、同社は現在修正済みのiOSオペレーティングシステムにあった2つの脆弱性を発見したPanguの功績を称えている。

脆弱性の一つは、悪質なアプリケーションが権限を上げられるもので、もう一つは、悪質なアプリケーションが任意のコードをカーネル権限で実行できるものだった。

JailbreakコミュニティーはAppleがiOS 9.1でこれらの穴を塞いだことを既に知っている。そもそもこのjailbreakはベータ版のiOS 9.1では動かなかった。おそらくPanguチームがiOS 9 jailbreakをiOS 9.1の公開直前に提供したのはそれが理由だろう ― 遅すぎる前にユーザーの手に届ける唯一の方法だった。

しかし、これはうっかり9.1にアップグレードしてしまった人が二度とjailbreakできない、という意味ではない。Panguチームや他のハッカーが、将来別の弱点を見つける可能性は常にある。

今日午前、このニュースと9.1が公開される直前、Panguチームは新しいバージョンのjailbreakツール(バージョン1.1.0)を公開し、以前より安定性が高く結果も良いと主張した。しかし、これもiOS 9.0.2までが走るデバイスを対象としている。9.1のハックを開発中かどうかについてチームはまだ何も言っていない。

もし、jailbreakを考えていて、今もやりたいなら、ここでの教訓は9.1に近づかないことだ。しかし、jailbreakによって数多くのアプリや小技利用できるようになる一方、同時に自分自身や個人データをセキュリティーの危険に曝していることも認識する必要がある。

[原文へ]

(翻訳:Nob Takahashi / facebook

ハックされた不倫サイト、Ashley Madisonのビジネスは順調

6907410218_54610ba649_k-1

もし「控え目な出会い」サイト、Ashley Madisonで働く人々を気の毒に思っているなら、その必要はない。彼らはとても元気のようだ。この愛すべきプレスリリースによると、Ashley Madisonの運営会社、Avid Life Mediaには、世界を轟かせたハック事件以来、「何十万もの自分の情報を盗まれたがっている能なし人々が新規登録した」。

同サイトを使っていた有名人に関する会話や物語は山ほど出回っているが…いったい誰に裁く資格があるというのか。彼らは順調にやっている!

同社は最近、CEOが辞任し、「双方合意」の上であったと発表した。

今日の発表以前同社は、「われわれは犯罪者による当社およびメンバーのプライバシーに対する攻撃に鋭意対応している」と言っていた。どうやら、いかに会社がすばらしいかを報告するために一息ついたようだ(もう一度ハックして欲しいというサインではもちろんない)。

Ashley Madisonに崩壊が迫っているという最近の報道は、著しく誇張されている。当社はハッカー犯罪者による個人データ盗難に対応しながら日常業務を継続している。当社および顧客が攻撃を受けたにもかかわらず、われわれは成長している。先週だけで、数十万人の新規ユーザーがAshley Madisonプラットフォームに登録した ― うち8万7596人は女性だった。

その通り。サイトには「数十万人」の新規ユーザーが登録しただけでなく、その中には女性もいる。偽女性ではないので念のため。同社は、先週「280万通以上のメッセージを」女性が発信したと言っている。

結構なことだ。今回のハックはサイトにとって最高の出来事だったわけだ。幸い、これで本誌は彼らの無料プロモーションのために記事を書く必要がなくなった。実際私は、あの「シーッ」ホームページを2度と見たくないと真剣に思っている。

Screen Shot 2015-08-31 at 2.28.21 PM

お元気でさようなら、Ashley Madison。

[原文へ]

(翻訳:Nob Takahashi / facebook

TechCrunch Disrupt NYハッカソン:PagerはFacebookページを簡単にウェブサイトに変換する

2015-05-05-pager

現在開催中のTechCrunch Disrupt NYで実施された24時間ハッカソンで3人のデベロッパーのチームが大いに役立ちそうなアプリケーションを開発した。 Pagerはウェブサイトを運営したいスモールビジネスのためにFacebookのページをそのままウェブサイトに変えてくれる。

このチームはこれまでレストランやバー、店舗などのスモールビジネスがWordPressでウェブサイトを構築、運営するのを手助けしてきた。しかし本格的なウェブサイトを運営するのは忙しいスモールビジネスのオーナーにとっては複雑すぎて重荷だった。しかしそうしたスモールビジネスは情報の豊富なFacebookページなら運営していることが多い。そこには店の写真やメニューやイベント情報などがタイムリーに掲載されている。

「このハックのアイディアというのは、つまり、Facebookを使っているスモールビジネスが同じ手間でウェブサイトも運営できるようにするということです。Facebookなら誰でも使い方を知っていますからね」と開発チームのDarrel-Day Guerreroは私に説明した。

設定はごく簡単だ。Pagerをインストールして起動した後、Facebookのアカウントでログインするとユーザーがが管理しているFacebookページの一覧が表示される。必要なページを選び、「保存」するとウェブサイトが自動的に立ち上がる。

ウェブサイトはAbout、ニュース、イベント、ギャラリーの4つのカテゴリーに分類される。Aboutページにはビジネスの内容、住所、電話番号、営業時間などが表示される。ニュースには通常の近況投稿が表示される。イベントとギャラリーは説明の必要はないだろう。

現在、すべての機能が作動するところまでは完成していない。しかし基本的な機能を実現するコードはFacebook APIを利用してすでに実装されている。 「午前2時くらいまでは快調でしたが、それからちょっと苦しくなりました」とチームのAlex Ileaは言う。

Alex Ilea、Anton Shevchenko、Darrel-Day Guerreroの3人はハッカソンに参加する前からのチームなので、ハッカソン終了後もこのプロジェクトを継続していくと思われる。良いアイディアなのでぜひそうして欲しいものだ。 もっともまず必要なのは多少の睡眠かもしれないが。

  1. pager2.jpg

  2. pager.jpg

  3. pager1.jpg

[原文へ]

(翻訳:滑川海彦@Facebook Google+

GoogleがGoogle Mapsのいたずら/悪ふざけ対策に着手…やはり人海作戦か

screen-shot-2015-04-24-at-1-13-46-pm

Googleによると同社は今Google Mapsのスパム検出システムの改良に取り組んでいる。昨日(米国時間4/24)またあった悪質ないたずらは、ユーザがGoogle Mapsにどんな画像でもアップロードできる機能を悪用し、人気漫画Calvin and Hobbesの不運な偽造ステッカーのスタイルを真似て、Androidのマスコット人形がAppleのロゴにおしっこをかけている様子を描いている。Map Makerアプリケーションのユーザプロフィールページによると、昨日ユーザ”nitricboy“が、その画像をアップロードしたようだ。

そのユーザはGoogle Mapsにこっそり落書きをしたことを、楽しんだらしい。Hacker Newsのポスト*:によると、Skypeのロゴやスマイリー(下図)も、いたずらに利用された。〔*: 見つかったすべてのいたずら画像や不正表示項目等は、今では消去されている。〕

Map MakerはユーザがWeb上で、自発的にかつ自由にGoogle Mapsに寄与貢献をするためのツールだ。たとえば地球上の僻地などには、Google Mapsが利用できるような詳細な既存の地図がない。そこで、有志のユーザが道路や施設などを描き加えるのだ。

Screen Shot 2015-04-24 at 1.02.46 PM

今回の‘おしっこハック’では、画像が「公園」として提出された。場所は、イスラマバードの南西10マイルにあるパキスタンの都市ラワルピンディだった。

Map Makerはクラウドソーシングのためのツールなので、誰もが素材の提供や地図のエディットができる。調整や承認はコミュニティが行う。ただし、いたずらの当人が別のアカウントを作って、その悪ふざけを“承認”できるようだ。もちろん、ユーザは他人のジョークを気に入ったら承認できる。

というわけでGoogle Mapsには、問題が起きて当然の性質がある。

Map Makerを使わずにGoogle Mapsにいたずらすることもできる。

たとえば今月はじめには、誰かがホワイトハウスに“Edwards Snow Den”という社名をつけた(このジョーク、お分かり?)。社名などはGoogleが検証することになっているが、このいたずらでは”1600 Pennsylvania Avenue”という新しい住所まで書き加えられた。

Google Mapsは人びとの信頼度が高いから、社名等を書き加えられることは企業にとってありがたい。Googleは今日発表した声明の中で、ユーザコミュニティから寄与貢献されたコンテンツやエディットは一般的に正しいし、その地域や企業にプラスの貢献をしている、と述べている。Googleにかぎらず、地図制作者がすべての社名等をあらかじめ調べあげてそれらを最初から地図に載せることは、不可能である。だから、クラウドソーシングは地図の充実と進化のために不可欠だ。

ではあるけれども同社は、今後は悪質なエディットの検出、防止、そして処理のための方法を改良する必要がある、と認めている。Googleの広報は、“スパム対策は複雑な問題であり、弊社は継続的に、そのためのシステムの改良に努めている。その中には、不正なエディットを防止、検出、そして取り去るための新しい方法も含まれている”、と述べている。今回のいたずらはマスコミも大きく取り上げ、Googleの”Easter Egg”かもしれない、と推理したところもある。

“このたびの不適切なユーザ作成コンテンツに関してお詫び申し上げます。今弊社は、それを速やかに取り除くべく鋭意努力いたしております”、とGoogleの広報は付け加えている。

  1. screen-shot-2015-04-24-at-12-36-34-pm.png

  2. screen-shot-2015-04-24-at-12-56-30-pm.png

  3. screen-shot-2015-04-24-at-12-57-05-pm.png

  4. screen-shot-2015-04-24-at-12-58-39-pm.png

  5. screen-shot-2015-04-24-at-1-13-46-pm.png

  6. screen-shot-2015-04-24-at-1-02-46-pm.png

現在同社は、複数のシステムを組み合わせて地図のスパムの検出と防止を行っている。その中の一つ、コミュニティによる警報は、ユーザが不適切なあるいは不正なコンテンツを報告するシステムだ。それもまた、多くのツールの一つにすぎないが。

しかし既存のそういうシステムの割れ目からこぼれ落ちて、実際に地図上に載ってしまった悪質エディットは、結果的にスパム対策システムの今後の改良に貢献する。

Googleが今後、悪ふざけ対策としてMapsにどんな鍵をかけるつもりか、そのあたりはまだ不明だ。そもそも、クラウドソーシングはこれまでうまくいっていただけに、今後の承認過程をボットにやらせるわけにもいかない。良質なコンテンツは、良質なコミュニティから生まれる。コンピュータのアルゴリズムに、良質なコミュニティを作る能力はない。だから今後もますます、人間による取り組みが必要なのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

自称”ISISのサイバーカリフ国”ハッカー集団のペンタゴン・ハッキングの詳細


ISISテログループと関連があると自称するハッカー集団、「サイバーカリフ国(Cyber Caliphate)」が昨日(米国時間1/12)、 アメリカ中央軍Twitterアカウント、@CENTCOM 及びYouTubeアカウントを乗っ取った。

問題のハッカー集団は、「ペンタゴン・ネットワークはハックされた。アメリカ軍兵士よ、われわれはやって来た。背後に注意しろ。ISIS. #CyberCaliphate」というPastebinへのメッセージを中央軍の「アカウントに投稿した。このツイートには「米軍の極秘情報」と称するファイルへのリンクが埋め込まれていた。

ただしそのうちのいくつかのファイルについては過去に公開済みだったり特に高度な秘密ではないことが確認されている。

もし米中央軍のソーシャル・アカウントのパスワードが盗まれたただけなら、セキュリティー上は遺憾であってもたいした問題ではない。しかしもし本当に機密情報がハックされたのならISISのサイバー脅威度は予想より高いことになる。

Politicoの記者Hadas Goldは、太平洋時間9:46AMに、」ツイートした。「Twitterの広報担当は中央軍に対するハッキングに気づいており、対処中だと語った」。

アップデート10:05AM PST: Twitterはハッカーの投稿したツイートとカバー画像、その他のを@CENTCOから削除した。

アップデート10:10AM PST: Twitterは@CENTCOMアカウントを一時閉鎖した。

アップデート10:15AM PST: 国防省の職員がFusionの記者Brett LoGiuratoにハッキング被害があったことを確認した。
who tweeted “国防省職員:「われわれは米中央軍のTwitterアカウントが今日、何者かによって侵入されたことを確認した」

アップデート10:35AM PST: YouTubeはYouTube CENTCOMアカウントを停止した。

アップデートUpdate 11:55AM PST: Next WebのMatt Navarraは「ペンタゴンはアカウントのセキュリティー保全に関してわれわれの協力を求めてきた。共同で対処中。 @Twitterとツイートした。

シャットダウン前に、@CENTCOMアカウントにはハッカー集団によるものと思われる以下のようなツイートが投稿された。

先週、「サイバーカリフ国」はテネシー州のFoxニュース、CBSニュースの拠点ハックしたと主張している。

ターゲット・サイトに残されたハッカーのメッセージは、
dk

「アラーの名において、ISISの指揮の下、サイバーカリフ国はサイバージハドを実行した。アメリカとその衛星国がシリア、イラク、アフガニスタンにおいてわが兄弟を殺戮したが、われわれはお前たちのネットワークとお前たちの所有する個々の機器に侵入し、お前たちすべてについて隅々まで知った。

お前たち不信心者に一切の慈悲は与えられない。ISISはすでにここに来ている。われわれはお前たちのあらゆる基地のパソコンに潜入した。アラーのお許しを得て、今や中央軍の中心にまで入った。われわれを止めることはできない。われわれはお前ら、お前らの妻や子供について知っている。アメリカ軍の兵士よ! われわれはお前らを見張っている。

ここにわれわれが入手した極秘情報の一部を公開する。

[リンク削除]

アラーの他に神はなく、ムハンマドの他に預言者はない! シャリアの他に法はない!

ここで削除したリンク先には、米陸軍の将校のリストと称するファイルや、アメリカ陸軍の予算、アメリカ陸軍の兵力、などと称するファイルが含まれていた。われわれはそのファイルに実際に未公開の機密情報が含まれている調査している。ファイルの多くはすでに公開された資料だとするレポートが数多くアップされている。Wall Street Journalは「国防省の幹部職員は『公開された資料にはさして重大な秘密情報は含まれていなかった』と確認した』ツイートした

次のスクリーンショットは『2020年の陸軍指導者のための本』というファイルのものだ。

次のファイル向う10年間のアメリカ陸軍の作戦計画と称するもの。

こちらは中国と中東で同時に危機が発生したときにインドを基地としたアメリカの作戦計画と称するもの。しかしこうしたファイルは2004年、2005年、2008年とかなり古い。この戦争シナリオ・フォルダーには「中国、インド、パキスタン、バングラデシュ・シナリオ」「北朝鮮アップデート」、「カスピ海シナリオ」、「特殊作戦軍アフリカシナリオ」、「特殊作戦軍インドネシア・シナリオ」などというファイルが含まれている。

FortinetのFortiGuardラボのセキュリティー・ストラテジスト、Richard HendersonはTechCrunchの取材に対して、「最近相次いだ大規模かつ深刻なメディア・ハッキング事件と同様、今回の件もターゲットを絞り込んだフィッシング欺瞞により、ソーシャルメディアへのログイン情報を盗んだか、リモートアクセスを可能にするマルウェアを送り込んだかだろう」と述べた。

Hendersonによれば、もし本当に機密ファイルが盗み出されたならハッカー集団、シリア電子軍(Syrian Electronic Army)が常套手段としているRAT攻撃手法を用いたのかもしれないという。重要な官庁、企業がソーシャルメディアを運営する場合、必ず2ファクター認証を採用し、かつ他の部内ネットワークから切り離した独自のサーバーによって運用されるべきだという。

いずれにせよ、このISIS系ハッカー集団による攻撃は、北朝鮮のような国家が支援するサイバー攻撃に加えて今回のような独立のサイバーテロリストも存在することが明らかになった。これは今後もますます敵対的になるであろう世界環境の中で、アメリカがサイバーセキュリティーを大きく強化すべきだということを明確に示すものだ。

しかもこの攻撃はオバマ大統領がsame連邦取引委員会に対してサイバーセキュリティーの重要性を説いた 瞬間を狙って実行されたこともアメリカの面目を失わせるものとなった。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


ソニー、「The Interview」の上映中止を決定


Sonyの大規模サーバー侵入と情報リーク事件を起こしたハッカー集団による脅迫を受け、Sony Picturesは映画 “The Interview” の上映中止を正式に決定した。同作品はクリスマス当日に公開予定だった。

事前に用意された声明文(以下に引用)で同社は「作品の配給を抑圧しようとするこの恥知らずな行為を深く悲しんでいる・・・この結果に深く落胆している」と語った。

本日(米国時間12/17)北米5大劇場チェーン(Regal、AMC、Cinemark、Carmike Cinemas、Cineplex Entertainment)は、同作品を上映しないことを発表した。Guardians Of Peaceと名乗るハッカー集団が、The Interview上映会場付近の人々は、「テロに娯楽を求める者に、いかに厳しい不運が見舞うかを」見ることになるだろうと語り、9/11に言及したのを受けてのことだ。

脅迫の重大さと主要映画館の上映中止を踏まえ、Sonyは作品の公開を中止する声明文を発表した。

声明の全文を以下にに引用した。

弊社の主要上映館が映画 “The Interview” の上映中止を決定したことを鑑み、12月25日に予定されていた同作品の劇場公開を取り止めることを決定した。弊社パートナーの決定は尊重かつ理解できるものであり、従業員と映画ファンの安全を最優先する方針は、もちろん弊社も共有している。

Sony Picturesは、弊社従業員、顧客、および事業に対する前例のない犯罪行為の被害に遭っている。弊社を襲った犯人は、われわれの知的財産、プライベートメール、重要機密資料等を盗み、われわれの精神と士気を損った ― すべて彼らの気に入らない映画の公開を阻止する目的で。われわれは作品の配給を抑圧し、その過程で弊社、弊社従業員および全米市民に損害を与えたこの恥知らずな行為を深く悲しんでいる。われわれは弊社の映画制作者およびその表現の自由の権利を支持するものであり、この結果に深く落胆している」

The Interviewは、企業のデータ、メール、今後のプロジェクト、その他繊細な情報を暴露した、この大規模ハッキングの中心的存在だった。ハッカー集団は、セス・ローガンおよびジェームズ・フランコ主演の、北朝鮮のリーダー、キム・ジョンウンの暗殺計画を描いたこの映画の上映を、断固阻止しようとしている。

[原文へ]

(翻訳:Nob Takahashi / facebook


Dropbox、「われわれはハックされていない。漏洩パスワードは他サービスからの使い回し」と発表

先週、Snapchatの写真がハックされたのに続いて、今度はクラウドストレージのDropboxがセキュリティー問題でありがたくない注目を浴びる番となった。コード共有サイトのPastebinに匿名のユーザーが「Dropboxのアカウント情報(メールアドレスとパスワード)700万件近くを入手した」と書き込み、その証拠として最初の400件のデータを貼り付けた。このユーザーはさらなるリークのためにBitcoinによる寄付を求めている。

その後、100件程度のアカウント情報が何回か書き込まれたが、これらの情報は本物ではなかったようだ。今回の攻撃について、Dropboxは公式ブログで「これらのユーザー名とパスワードはをチェックしたが、Dropboxアカウントとは無関係だった」と述べた。

Dropboxは本物とわかった最初の400件のアカウント情報についても、「Dropboxとは無関係なサードパーティーのサービスから漏洩したもので、Dropbox自体から盗まれたものではない」としている。つまりSnapchatの場合のようにDropboxのAPIを利用しているサービスから漏洩したわけではなく、ユーザーがサービス間でパスワードを使い回したことが原因とみられる。

公式ブログ記事は明確に「ドロップボックスはハックされていない」と題されている。DropboxのAnton Mityaginによれば、

最近の「Dropboxがハックされた」というニュースは正しくない。ユーザーのデータは盗まれていない。漏洩したと指摘されたユーザー名とパスワードは、われわれとは無関係なサービスから漏洩したもので、Dropboxからではない。犯人は盗んだユーザー名とパスワードを使ってDropbox他、さまざまなウェブ・サービスへのログインを試みた。しかしDropboxでは不審なログインの試みを検出する手段を用意しており、そのような疑いがある場合は自動的にパスワードをリセットする。

このような攻撃を受ける可能性があるため、われわれはパスワードをサービス間で使いまわさないようユーザーに強く勧めてきた。また、さらにセキュリティーを高めるため、われわれは2段階認証を提供している。

これに先立って、The Next Webの取材に対してDropbox は次のように述べている。

Dropboxはハックされていない。ユーザー名とパスワードは不運にも他のサービスから盗まれたものだ。犯人はこれを利用してDropboxアカウントへのログインを試みた。われわれはこのような攻撃を探知しており、しばらく前から盗まれたパスワードのほとんどは無効にされている。残りのパスワードもその後無効にされた。

Dropboxは漏洩元のサービスが何であるかは明らかにしなかった。しかしDropboxのブログ記事とコメントによって、最初に公開された情報が(すでに無効化されているものの)実際にDropboxのユーザー名とパスワードであったことが確認されたわけだ。盗まれたパスワードを使ってユーザーのアカウントへの侵入が成功した事例があったかどうかは明らかにされていない。

今回の事件がユーザーのパスワード使い回しによるものなら、「Dropboxはハックされていない」という主張は正しい。しかしユーザーにとってみればセキュリティーが破られたという結果は同じだ。しかしユーザーに2段階認証を要求すればセキュリティーは向上するものの、ユーザーの負担は増える。セキュリティーと利便性のバランスは難しい。さらにハッカーがビットコインで手っ取り早く報酬を求めようとする最近の流行も新たな問題だ。

Dropboxについては、今週エドワード・スノーデンが「プライバシーの敵」だと非難した。これはDropbox自体がユーザーデータにアクセスできることを指している。スノーデンは「Dropboxがファイルの暗号化キーを保持しているので政府機関が要求すればユーザーデータが引き渡されてしまう。ユーザーはプロバイダ自身が暗号化キーを保持していないサービス、SpiderOakなどを使うべきだ」と主張している。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


ゲームボーイにRaspberry Piを突っ込んでエミュレーターを載せてみた

DIYが大好きでゲーマーでもあるJohn Hasslがゲームボーイに新たな生命を宿らせた。35ドルの手のひらサイズコンピューターであるRaspberry Piを埋め込んで再利用するのだ。Piをゲームボーイの筐体に埋め込み、そしてクラシックゲームのエミュレーションソフトウェアをのせて、昔なつかしのゲームをプレイできるようにしている。さらにHasslは背面に新たなボタンも配置し、より新しいエミュレーターにも対応できるように工夫してもいる。

このハックを自分で行うには、もちろんかなりの技術的ノウハウを要する。またハンダで手を汚す覚悟も必要だ。しかし手元にとりあえずでも動作するゲームボーイがあるのなら、費用はさほどかからない。またリペアツールやいろいろなパーツも持っているのなら、ACにつなぐのではなくバッテリーで利用するためのパーツなども見つけられるかもしれない(本体にはPiを入れるので、バッテリーは外部バッテリーが必要となる)。

Haasl同様、うちにもオーダーはしたもののとくに使い道のないRaspberry Piが転がっているし、もちろん(?)ゲームボーイもある。そこまでモノの準備が整っているのなら、試してみるべきなのかもしれない。リスク満載でだれも保証などしてくれはしない。しかしハックしたHaaslの幸せそうな様子をみると、ぜひとも手がけてみたくなるのだ。

原文へ

(翻訳:Maeda, H


サーバコードを1行も書かずに静的Webサイトを動的CMSに変身できるCloud Cannon–Dropbox APIの巧妙な作例

Cloud Cannonは、デベロッパというよりむしろ、サーバサイドのコードを1行も書かない、HTMLとJavaScriptとCSSだけで仕事をしているWebページクリエイターのためのCMSだ。その静的でビューティフルなデザインを、サーバが介入する動的なCMSに自分で書き換えなくても、ファイルを単純にDropboxのフォルダに置くだけで、あとの面倒はCloud Cannonがほんの数秒でお世話してくれる。ユーザはブラウザ上でテキストをエディットしたり、そこに画像を挿入したり、ふつうのCMS(ブログソフトなど)と同じ感覚でその静的サイトを利用できる。

これは、Dropbox APIの見事な利用例だ、でこの話は終わってしまう。それぐらいシンプルなサービスだ。静的なコンテンツをDropboxからホストしている人は、すでに多いと思うが、しかしGeorge PhillipsとMike Neumegenはそれをさらに一歩進めて、サイトのアドミニストレータがブラウザ上で直接エディットできるようにした。それはちょうど、Webサイト作成サービスSquarespaceを使ってるときのような感覚で。

そのWYSIWYGのエディタで不満なときは、Web上のテキストエディタやあるいはDropboxの上で、ページのソースファイルをエディットできる。クライアントのいる仕事の場合は、クライアントに対し、ここはエディットしちゃだめ!という部分を指定できる。

そのためには、class=”editable”の<div>で、エディットしてよいコンテンツ領域を指定する。ブログをホストしたいなら、静的なブログエンジンJekyllを使える。

使用するドメインは自分のドメインでもよいし、あるいはCloud Cannonが無料で提供する.cloudvent.netを使ってもよい。ただしサービス本体は有料で、1サイト1か月5ドル、20サイトなら月額49ドルだ。

実際にはCloud Cannonは、Dropboxのサーバインフラを使わない。公開フォルダに関しては帯域制限があるからだ。そこでCloud CannonはDropboxのAPIを利用して、すべてを自己のサーバにシンクする。Marco Armentのブログエンジンがやってるように。ユーザは物理的にはCloud Cannonのサーバを使うのだが、Dropboxがそのためのインタフェイスとなる〔API群が豊富便利優秀なため〕。でも実際にサポートするのは静的なコンテンツだけだから、Varnish的なHTTPアクセラレータで正しく構成されていれば大きなサーバは要らない。

Cloud Cannonの主要なアドバンテージは、ユーザがアドミン役になって自分のホスティングソリューションを管理しなくてもよいところだ。そのぶんもちろん、何でもできるという自由度はないが、このプロダクトはとってもクールだし、一見の価値があると言えるほど、よくできている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Appleデベロッパーセンター、一週間のダウン後に復旧

Appleのデベロッパーセンターがようやく復旧した。休止期間は一週間以上にわたった。同サイトは、先週不正侵入を受けてダウンして以来、一切レスポンスのない状態が数日間続いた。報告によると侵入の影響はデベロッパーアカウントのみだったが、個人情報へもアクセスも試みられていた。

当時Appleは、デベロッパーの名前、住所、およびアドレスがアクセスされた可能性はあるがクレジットカード情報は漏洩していないと言った。Appleは復旧予定時期を示していなかったが、ダウン一週間後にサイトの状態を追跡するシステムを作成した後、徐々にシステムの復旧作業を開始した。

ある人物が、デベロッパーセンターを探索し、同センターおよびiAd Workbenchサイトの脆弱性に関するバグを報告したことがシステム停止を引き起こした可能性を報告しているが、本誌はAppleに復旧とそれに至る事情を確認中であり、回答があり次第本稿をアップデートする予定だ。

アップデート: 今回のダウンに関してAppleからデベロッパーに送られたメールの全文を以下に貼った。(原文ママ)

We appreciate your patience as we work to bring our developers services back online. Certificates, Identifiers & Profiles, software downloads, and other developer services are now available. If you would like to know the availability of a particular system, visit our status page.

If your program membership expired or is set to expire during this downtime, it will be extended and your app will remain on the App Store. If you have any other concerns about your account, please contact us.

Thank you for bearing with us while we bring these important systems back online. We will continue to update you on our progress.

原文へ


緊急速報: Twitterのパスワードを今すぐ変えなさい

3831467723_8150d8b015_z

Twitterがハッカーの攻撃を受け、25万人のユーザに被害が及んだ。その25万名はTwitterから、パスワードを変えよというメールをもらった。こんなことは今回が初めてではないが、今度の被害は本格的だ。前回のような、誤報のメール洪水を伴うハッキングではない。

Twitterはブログでこう書いている:

今週発見した異常なアクセスパターンは、Twitterのユーザデータへの不法アクセスによるものだった。実行中の犯行も一件発見したが、それに関してはしばらくのちに、プロセスを遮断できた。しかし弊社のその後の調査によると、犯人たちは一定数のユーザ情報…ユーザ名、メールアドレス、セッショントークン、暗号化され擬装された状態のパスワード…にアクセスしていた。その数は、およそ25万名である。

これは、どういうこと? われわれにはまだよく分からないが、Twitterは、これが相当“高度な”ハックだと見なしている:

この犯行はアマチュアの仕事ではなかった。また、今回一度かぎりの犯行ではないと思う。犯人たちの手口はきわめて高度であり、弊社以外の企業や団体も最近同様の攻撃を受けたものと思われる。

おかげで、週末にやることができたね、Twitterさん。Twitterからメールが来たことを、まだ知らない人もきっといるよ。ぼくなんか、おかしなメールは全部、迷惑メールフィルタが捨ててしまうからね。

でも、実際に起きたわけだから、困ってしまう。しかし、人の不幸は蜜の味、とも言うよね。自分はハックされなかったから、自分がクールな人間じゃなくて、せっかくのスリルを味わえないのでつまらない、と言った友人もいる。

Twitterは次のような助言をしている。これは、ユーザからの非難を逸らすことが目的かもしれない:

国土安全保障省とセキュリティのエキスパートからの助言に基づき、ユーザにはご自分のコンピュータのブラウザ上でJavaをディスエーブルにすることを推奨する。

それよりも、あるいはそれに加えて、パスワードを変えるのだ。ハッキングされるスリルは、万人のものだからね。

[写真クレジット: Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

緊急速報: Twitterのパスワードを今すぐ変えなさい

3831467723_8150d8b015_z

Twitterがハッカーの攻撃を受け、25万人のユーザに被害が及んだ。その25万名はTwitterから、パスワードを変えよというメールをもらった。こんなことは今回が初めてではないが、今度の被害は本格的だ。前回のような、誤報のメール洪水を伴うハッキングではない。

Twitterはブログでこう書いている〔Twitter日本語ブログ〕:

今週発見した異常なアクセスパターンは、Twitterのユーザデータへの不法アクセスによるものだった。実行中の犯行も一件発見したが、それに関してはしばらくのちに、プロセスを遮断できた。しかし弊社のその後の調査によると、犯人たちは一定数のユーザ情報…ユーザ名、メールアドレス、セッショントークン、暗号化され擬装された状態のパスワード…にアクセスしていた。その数は、およそ25万名である。

これは、どういうこと? われわれにはまだよく分からないが、Twitterは、これが相当“高度な”ハックだと見なしている:

この犯行はアマチュアの仕事ではなかった。また、今回一度かぎりの犯行ではないと思う。犯人たちの手口はきわめて高度であり、弊社以外の企業や団体も最近同様の攻撃を受けたものと思われる。

おかげで、週末にやることができたね、Twitterさん。Twitterからメールが来たことを、まだ知らない人もきっといるよ。ぼくなんか、おかしなメールは全部、迷惑メールフィルタが捨ててしまうからね。

でも、実際に起きたわけだから、困ってしまう。しかし、人の不幸は蜜の味、とも言うよね。自分はハックされなかったから、自分がクールな人間じゃなくて、せっかくのスリルを味わえないのでつまらない、と言った友人もいる。

Twitterは次のような助言をしている。これは、ユーザからの非難を逸らすことが目的かもしれない:

国土安全保障省とセキュリティのエキスパートからの助言に基づき、ユーザにはご自分のコンピュータのブラウザ上でJavaをディスエーブルにすることを推奨する。

それよりも、あるいはそれに加えて、パスワードを変えるのだ。ハッキングされるスリルは、万人のものだからね。

[写真クレジット: Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))