パッチ未適応の新しいバグを利用したWindowsへのハッカーからの攻撃が発生中

Microsoft(マイクロソフト)によると、攻撃者はWindows 10を含むサポート継続中の全バージョンのWindowsに存在するこれまで公表されていなかったセキュリティ上の脆弱性を利用しているという。

米国時間3月23日の月曜日に投稿された勧告によると、マイクロソフトが「重大」と認定したこのセキュリティ上の脆弱性は、Windowsがフォントを処理およびレンダリングする方法に存在するという。このバグは、悪意のある文書を開くようにユーザーを騙すことで悪用される。文書を開いたり、Windowsのプレビューで閲覧したりすると、攻撃者はリモートからランサムウェアなどのマルウェアを、脆弱なデバイス上で実行できるようになる。

また勧告によると、マイクロソフトはハッカーが「限定的な標的型攻撃」を開始したと認識しているが、誰がどのような規模の攻撃を実施したのかについては明言していない。

マイクロソフトはこの問題の修正に取り組んでいるが、パッチがリリースされるまではこの勧告が警告としての役割を果たはずだと述べている。なお、Windows 7もこの脆弱性の影響を受けているが、拡張セキュリティ更新プログラムの対象となるエンタープライズユーザーのみが、パッチを受けることになる。同勧告では、影響を受けるWindowsユーザーに対して一時的な回避策を提供し、修正が提供されるまで脆弱性を緩和させることができる。

マイクロソフトは通常、毎月第2火曜日にセキュリティパッチをリリースするが、深刻な場合にはそれ以外のタイミングでパッチをリリースすることもある。

TechCrunchから質問を受けたマイクロソフトの広報担当者は投稿の内容を繰り返し、4月14日火曜日にリリースされる次の月例パッチで問題が修正されることを示唆した。

[原文へ]
(翻訳:塚本直樹Twitter

ハッキングコンテストにてFacebook Portalがストレステストの対象に

昨年Facebook(フェイスブック)はスマートディスプレイを発表したが、ハッカーたちは毎年恒例のPwn2Ownハッキングコンテストにて、そのFacebook Portalをストレステストできる。

Pwn2Ownは世界最大級のハッキングコンテストで、セキュリティ研究者が家電製品や自動車を含むさまざまな製品の脆弱性を発見し、実証するために集まる。

企業が自社製品をハッカーにテストさせるのは珍しいことではない。Tesla(テスラ)は今年、新型セダン 「Model 3」 をコンテストに出展した。その後、2人の研究者が、車のインフォテインメントシステムのウェブブラウザーに深刻なメモリのランダムバグがあることを発見し、37万5000ドル(約4000万円)を獲得した。

Facebook Portalに、リモートでコードを送信して実行できたハッカーは最大6万ドル(約640万円)を、非侵襲的な物理的攻撃や権限変更に関するバグの場合は4万ドル(約420万円)をそれぞれ得ることができる。

このコンテストを主催しているTrend Micro(トレンドマイクロ)のZero Day Initiativeは、参加する研究者が利用できるホームオートメーション機器の範囲を拡大する取り組みの一環として、Facebook Portalを出展した。Pwn2Ownによると、研究者はAmazon(アマゾン)のEcho Show 5、Google(グーグル)のNest Hub Max、Amazon Cloud Cam、Nest Cam IQ Indoorをハックする機会も得られるという。

Facebookはまた、ハッカーがVRヘッドセットのOculus Questの脆弱性も発見できるようにすると伝えている。Pwn2Own Tokyoは11月6〜7日に開催される予定で、75万ドル以上(約8000万円)の現金と賞品が提供されると予測されている。

[原文へ]

(翻訳:塚本直樹 Twitter

元ハッカーが初めて米大統領になるかもしれない

民主党の大統領候補Beto O’Rourke(ベト・オルーク)氏が、数十年前の悪名高きハッキンググループのメンバーだったことを明かした。

この元下院議員はテキサスのハッカーグループ「Cult of the Dead Cow」のメンバーだった。このグループはインターネット時代の初期のハクティビズム(Hacktivism、政治活動社会活動などを含むハッカー主義)に影響を与えたことで知られ、Windowsをハッキングするコードを作った。1990年代にはインターネットを抗議運動のためのプラットホームとして利用し、人権の重視を訴え検閲を非難した。その多くのリリースの中では、リモートアクセスとアドミニストレーションのツール「Back Orifice」がとくに有名だ。

このハッカーグループの一件を報じたロイターの記事によると、当時のオルークのハンドル名は「Psychedelic Warlord」だった。

彼はその後政治家への道を進み、2005年にエルパソ市の市会議員に当選してからは、ハッカーグループのメンバーだったことが自分の政治家としての成長を傷つけないか心配するようになった、という。グループのメンバーたちはオルークの秘密を護ったが、彼自身はロイターに、グループとの縁を認めた。

ロイターは彼を「米国の政治史における最も傑出した元ハッカー」と記し、その彼は米国時間3月14日に、米大統領に立候補すると発表した。

もしも彼がホワイトハウスを勝ち取ったら、彼は初めてのハッカー大統領になる。

オルークの履歴を見ると、アメリカが現在直面しているテクノロジーの問題にこの候補者がどのようにアプローチし、どのように問題を理解するかわかる気がする。テクノロジーに関して、かなり本格的な知識と理解を持った人が二大政党から大統領選に出馬するのは、これがほとんど初めてだろう。彼なら、テクノロジーが持ち込む良い面と諸問題に、政策のレベルで厳しく配慮し対応できるのではないか。

「インターネットには民主化する力がある、と思っている。私の個人的経験から言っても、インターネットは人の生き方を変える。そしてインターネットの上では、アイデアと技術を分かち合う国中の人びとの途方もない知性を有効に利用できる」。オルークはロイターにこう語っている。

この46歳氏はまだ支持者たちに、この新たな発覚について述べていない。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

マーク・ザッカーバーグのTwitter、Pinterest、LinkedInがハックされる―Facebookアカウントは無事

2016-06-07-zuckerberg-hacker

Facebookのファウンダー、CEOのマーク・ザッカーバーグがハッカーに攻撃され、短時間だがいくつかのアカウントを乗っ取られた。一部のサービスには不愉快な投稿が表示された。

EngadgetよるとザッカーバーグのFacebookアカウントは無事だったが、Pinterest、 Twitter、LinkedIn wereはハックされた。記事にはアカウントが回復される前のハックされた状態のスクリーンショットも何枚が掲載されている。

乗っ取られたPinterestのページによると犯人グループはOurMine Teamと名乗っている。リンクされたTwitterアカウントは現在、停止されている。

ハッカーたちはザッカーバーグのInstagramアカウントの乗っ取りも試みたようだ。攻撃されたアカウントの中でザッカーバーグの企業グループに属する唯一のSNSだが、TechCrunchが知る限りでは、Instagramのセキュリティー・システムが乗っ取りを防止した。

先月はLinkedInがハックされ、大量のメールアドレスとパスワードのデータが漏洩した。ハッキングは2012に遡るもののようだが、当時LinkedInはパスワードとソルトなしのSHA-1ハッシュで保存しており、何十万というパスワードが簡単に解読されてしまったようだ。この大規模なセキュリティー上の失態によりハッカーは生のパスワード情報を入手し、パスワードをハッキングする能力を大きく向上させたと見られている。

今回のザッカーバーグのアカウントのハッキングがLinkedInから流出したメール、パスワードのデータと関連しているかどうかは明らかではない。しかし、タイミングを考えると、またハッカーグループが乗っ取ったザッカーバーグのTwitterアカウントからのメッセージでLinkedInからのリークについて触れているところからも何らかの関係があることは考えられる。メッセージはこうだ。:“Hey @finkd [Zuckerberg’s Twitter account name], you were in Linkedin Database”〔おい、(ザッカーバーグのTwitteアカウント名)〕、お前はLinkedinのデータベースにあったぞ〕

ハッカーはまたザッカーバーグのLinkedInのパスワードだと主張するものも投稿していた。

ザッカーバーグはメールのパスワードと他のいくつかのソーシャル・ネットワークのパスワードを共有していたのかもしれない。複数のアカウントが同時に乗っ取られたのはそのためだととも考えられる。パスワードの使い回しは、新しいSNSに登録を求められる際に平均的なユーザーが陥りがちなセキュリティー上のエラーだが、世界最大のNSNのファウンダー、CEOもこの罠にかかっていたとするなら驚きだ。ただしザッカーバーグがハックされたのは利用頻度の低いアカウントのようだった。

Facebookの広報担当はこの件に関してコメントすることを避けた。

先月末、Twitter最大のフォロワーを誇るケイティー・ペリーのアカウントが乗っ取られてファンに衝撃を与えたばかりだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

San BernardinoのiPhoneはゼロデイエクスプロイトを使ってハックされた

iphone-5c-e1460519446773

昨年の12月に二人のテロリストが、カリフォルニア州San Bernardinoを襲い14人を殺したとき、一台のiPhone 5cが回収され、それはその後、テロ攻撃と同じぐらい、多くのニュースになった。そのiPhoneには、FBIがぜひ入手したい関係情報があると言われ、そしてWashington Postの今日の記事によると、プロのハッカーたちがそれまで知られていなかったiPhoneのセキュリティの欠陥を利用することによって、情報の入手が実際に可能になった。

FBIがその電話機のハックに成功し、それまで延期されていた、Appleに電話機のアンロックを求める法的手続きが取下げられたことは、すでにみんなが知っている。しかし、どうやってハックに成功したのかは、これまでミステリーだった。Washington Postによると、ハッカーたちはゼロデイエクスプロイト(zero-day exploit)と呼ばれるiPhoneの‘新たな’セキュリティの弱点の利用により、電話機上のデータにアクセスできた。このケースでは、エクスプロイトはiPhone 5cに固有のもののようで、電話機からのデータの取得に使われた攻撃ベクトルは、現世代の機種には無効だった

ハッカーたちは、iPhoneが内蔵しているブルートフォースな(brute-force, 力ずくの)保護をかいくぐる方法を見つけることができた、と信じられている。保護は二種類ある: 第一の保護は、PINをトライする時間間隔を徐々に長くする。自分のiPhoneでそれをやってみるには、まず4桁のPINを3回タイプする。すると1分待たされる。またトライしてだめだったら、今度は5分待たされる。第二のセキュリティ手法は、不正なPINを10回入力したら、デフォルトではデバイスが回復不能に消去される。

このことが重要である理由は、4桁のPINは強力な抑止機能にならないからだ。その組み合わせは10000しかない。毎秒入力できたら3時間以下で電話機を開けられるだろう。ハックはこの過程をやや遅らせて、1つのパスワードを30秒かけて入力し、それが間違いだと分かると、セキュリティがリセットされるのでまたトライする。この方法でも、3日と11時間ですべての組み合わせをトライできる。

このハックによりFBIは、特注した特殊なハードウェアを使って4桁のパスワードのすべての可能性を力ずくで試し、最後には正しいPINを見つけ、それからSan BernardinoのiPhone上のコンテンツにアクセスした、と思われる。

FBIは、セキュリティのエクスプロイトに関する情報を教えた匿名のセキュリティ専門家に、一回かぎりの料金を払った、と言われている。それがどうやら、その電話機をこじ開けるために必要なことの、すべてだったようだ。

 

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ホワイトハッカーが脆弱性を検証する「Bug Bounty」が正式サービス開始、バイドゥなどが導入

直近にも仕様変更を実施したLINEだが、2015年3月に脆弱性(現在は修正版を配信済み)についてのアナウンスを出したのを覚えているだろうか? これを発見したのが2012年設立のセキュリティ会社・スプラウトだ。最近では、スマートロック「Akerun」の脆弱性の発見も同社が行ったという。

同社はセキュリティの調査やコンサルティングを行う一方で、世界のホワイトハッカー(善意のハッカー)をネットワーク化。クライアント企業のバグや脆弱性を発見することで報奨金を付与する「THE ZERO/ONE – Bug Bounty」を展開している。2015年11月から試験的に提供してきたサービスだが、3月2日より、正式にサービスを開始した。

Bug Bountyでは現在、ホワイトハッカー約70人をネットワーク化。彼らがクライアント企業の脆弱性について、定められたルールに基づいて調査を実施。問題が見つかった場合は、対価として報奨金を支払う仕組みだ。

企業側の初期費用は0円。サイトに調査を依頼したいプロダクトや調査対象範囲報奨金などを公開すれば良い。募集方法は現行のプロダクトをそのままないし一部URL・ドメインに限定して調査する「オープン型」や「限定型」、調査用の環境を用意する「疑似環境型」から選択できる。報奨金は脆弱性のリスクや難易度に応じて最低5000円から設定する。同社が目安として設定しているのは、SQLインジェクションの発見で20万円〜、クロスサイト・スクリプティングで5万円〜。スプラウトでは報償額の25%の金額を手数料として徴収する(企業側は報償額の125%をスプラウトに支払うことになる)。

スプラウトでは2015年11月から自社サービスについての調査を実施しているが、これまで計26件の報告があり、そのうち12件が有効なもので、約20万円の報奨金をハッカーに支払ったという。「小さなバクだけなので金額的にはまだ少ないが、(件数として)はまあまあの数字」(スプラウト)。

3月からは百度(バイドゥ)のほか、上場企業を含む計4社の導入が決まっているという。バイドゥといえば2015年11月にもAndroidアプリでトラブルを起こしたばかり。果たしてBug Bountyの導入で変化はあるのだろうか。調査の結果が気になるところだ。

ゼロデイ脆弱性の‘発見者’たちを雇ってMacのセキュリティを確保したApple

macbook-pro-2013

Thunderstrike 2を、おぼえておられるだろうか? 昨年の夏にXeno KovahとTrammell Hudsonが発見したOS Xの深刻なゼロデイ脆弱性は、マルウェアの作者がユーザーのMacを完全な煉瓦の塊(ないし‘文鎮’)にしてしまい、工場出荷時の状態にリセットする方法もない。Appleは、その脆弱性をフィックスしただけでなく、この悪行の背後にいた人たちを雇用して、セキュリティ対策に当たらせることにした。

Thunderstrike 2は、Ethernetアダプタや外付けDVDドライブなどのThunderboltデバイスに感染する。感染したThunderboltデバイスを接続したままでMacをリブートすると、MacのファームウェアはそのThunderboltアクセサリ上のオプションROMを実行してからOS Xをブートする。するとMacのファームウェアが煉瓦になり、Macは使用不能になる。

いちばん厄介なのは、アクセサリの感染はずっと残るので、今後、煉瓦状のMacがいくらでも量産されてしまうこと。Appleとしても早急な対策が必要な、強力で悪質なマルウェアだった。

2015年11月にTrammell Hudsonは、Appleが32C3カンファレンスでLegbaCoreを買収したことを公表した。Xeno Kovahも、今Appleで仕事をしていることを確認した:

[Appleは何のためにわれわれを雇ったのか? それは、言えない。“低レベルのセキュリティ”のため、ぐらいは言えるかな(今の自分の肩書を知らないんだ)。]

セキュリティコンサルタント企業のLegbaCoreは、新しい顧客の受け入れを停止した

それが本当の買収だったのか、それともLegbaCoreを支える二人の人物を雇っただけなのか、よく分からない。KovahとHudsonはLegbaCoreの仕事を続けることができず、フルタイムでAppleの仕事をしているようだ。

Appleが、これらのセキュリティエキスパートを雇用したことは、理にかなっている。セキュリティホールを、それが一般的に知られる前にハッカーを雇って直してしまうテク企業は少なくない。製品のセキュリティを確実にするためには、とても良い方法だ。

出典: Mac Rumors

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

電波を使ってSiriに音声コマンドを送り込む方法が発見された

siri-hint

巧妙なハックによってSiriコマンドに望まれないコマンドを送ることができる。方法は、iPhoneのシールドされていないイヤホンに向けて電波を送るだけ。このハックは不必要に複雑だが ― イヤホンのところへ行ってボタンを手で押せばいい ― 興味深い侵入方法だ。

フランスのセキュリティー団体ANSSIの研究者らは、iOSまたはAndroid端末につながれたマイクロホンに電波を送信する方法を発見した。電波は音ボタンを起動して、例えばSiriを立ち上げてボイスコマンドを発行できる。端末が起動すれば、ハッカーはコマンドを送り込んでメッセージを送ったりアプリをアクセスしたりウォレットを開くことができる。

彼らの発見は、電磁両立性に関する論文に掲載されている。

「われわれは電磁妨害を意識的に賢く利用することによって、長年否定されてきた効果ではなく、情報システムに対して好影響を与えることができた。その結果に基づき、最新スマートフォンにおける新しい無声リモート音声コマンド送信方法を紹介する」と研究員のJosé Lopes EstevesとChaouki Kasmiは書いた。

繰り返すが、これは複雑な攻撃方法であり殆どの人にとって心配無用だ。それでも侵入を妨ぎたければ、iOSの設定→Touch IDとパスコード→ロック中にアクセスを許可、でSiriをオフにすればよい。IMG_0096

研究員らは、メーカーがイヤホンをもっと積極的にシールドして電波妨害を防ぐことを推奨している。

[原文へ]

(翻訳:Nob Takahashi / facebook

中国は、サイバーセキュリティー対策に同調するのか

jinping

中国政府は米国政府の要請に応じて複数のハッカーを逮捕した。 中国国家主席習近平が米国を訪問する2週間前のことだ。

逮捕のニュースは金曜日(米国時間10/9)にWashington Postが報じ、中国のサイバーセキュリティがやや進歩した証であると伝えた。それは、オバマ政権が中国に対し、米人事局侵入をはじめとする同国が関与したとされる注目のハッキング事件を受け、厳しい経済制裁を行うと脅して緊張が高まる最中に起きた。

最近中国は、米国に対する攻撃を抑制すると発言していたが、今日の記事は中国が行動を起こしていることを明らかにした。この逮捕は、2週間前に米国が中国と交わしたサイバー協定よりもおそらく意味がある。当時多くの人々が空約束にすぎないと心配していた。

協定は歴史的合意であると言え、それは両国がサイバーセキュリティについて対話可能であることを示したからだった ー この問題は二国間に長年緊張をもたらしてきた。ホワイトハウスは概況報告書にこう書いている:

米国と中国は、両国政府とも企業機密その他の秘密ビジネス情報を含む知的財産権のサイバー犯罪を、企業あるいは商業部門に競合優位性を与える意図を持って、実行あるいは故意に支援しないことに合意する。

しかし、これはすぐにサイバーセキュリティ分野の専門家から批判を受けた。LawfareのPaul Rosenzweigは、協定に対し皮肉をこめてこう見出しを付けた「今の方がずっと安心できる」。協定は曖昧であり両者がどう責任を持つかについてほとんど説明がなされていなかった。

しかしStandord大学のサイバーセキュリティ学者、Herb Linは、このおかげで首脳会談が物別れに終わらなかったとしている。彼は、双方とも行動を起こす必要があった、と言った。

金曜日の報道は、その注意深い楽観論を裏付けた。米国と中国は両国間の協定を支持するために、今後も行動を起こし続ける必要があるのは明らかだが、少なくとも今回の逮捕は、中国が変わるためのドア開いたことを示している。

真のテストは、中国がいつまで協定を守れるかだ。習近平が米国を離れたわずか数日後、 The Daily Beastは、軍の仕事を請け負う米国企業を中国スパイが今もハッキングしていることを報じた。厳密に言えば、国家安全保障を目的としたこうしたハッキングは、必ずしも中国の商業的関心によるものではないが、最近の協定がいかに危ういかを浮き彫りにした。

逮捕も協定も、中国との関係改善に向けて有望な一歩を示すものたが、それは非常に長いであろう道のりのほんの始まりにすぎず、ただ一つの違反によっても脱線しかねない。

原文へ
 
(翻訳:Nob Takahashi / facebook

Adobeがハックされる―290万人のユーザー情報とAcrobatのソースコードが漏洩

これはまずい。Adobeはサーバーのひとつがハッカーに侵入されたことを明かした

内部調査が進行中だというが、Adobeが発表したわずかな情報によっても今回の漏洩は深刻だ。

侵入したハッカーは暗号化されたユーザー情報290万人分にアクセスできたという。Adobeはデータが暗号化されていたので攻撃者はクレジットカード情報を解読できないはずだと強調した。そうであっても、ユーザー情報にアクセスを許したことは大きな失点だ。

それにAdobeは情報がどのように暗号化されていたのか詳細を明らかにしていないので、外部からはその安全性を判断することができない。

一方でハッカーはAdobeの少なくとも3種類の製品のソースコードも盗んだ可能性がある。その製品はAcrobat、ColdFusion、ColdFusion Builderだという。 今朝のBrian Krebsの投稿によれば、ハッカーグループが利用する秘密のサーバーに40GBのAdobeソースコードを発見したという。

ソースコードをネットに公開されるのがビジネス上痛手であるのは言うまでもないが、これは同時に重大なセキュリティー上の危険を意味する。アプリケーションのソースコードが入手できれば、実行コードでは分からない脆弱性を探しだすことができる。世界中で何百、何千万とインストールされているAcrobatを利用したゼロデー攻撃の可能性を大きく高めるもので、憂慮すべき事態だ。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


元ハッカー少年にしてTwitter共同創業者ジャック・ドーシー曰く:ハッキングは犯罪ではない


メディアと金融業界をひっくり返す前、Twitterの共同ファウンダー、Jack Dorseyは誇り高きハッカーだった。テレビ番組60 MinutesでLara Loganのインタビューを受けたDorseyは、彼の職歴においていかにハッキングが役に立ったかを詳しく語った。Dorseyが最初に就職したのは彼がネットワークの脆弱性を暴露したソフトウェア会社だった。

Jack Dorsey:そのウェブサイトに入る方法を見つけました。穴を、セキュリティーホールを見つけたんです。

Lara Logan:そ、それはハッキングと同じですか?

Jack Dorsey:えーまあ、ハッキング、ハッキングといえばハッキングです。

Lara Logan:犯罪ですね。

Jack Dorsey:さあ、違うでしょう。犯罪的ハッキングは犯罪ですが、本来ハッキングは・・

Lara Logan:求人応募のためのハッキングは犯罪じゃないんですか?

Jack Dorseyノー、ノー、ノー、ノー、ノー、 全く犯罪なんかじゃありません。その後会社にメールしてこう書いたんです。「セキュリティーホールがありますよ。こうすれば直りますよ。こんなアプリ作りましたよ」って。

Lara Logan:そうしたら雇われた。

Jack Dorsey:1週間後に雇われました。夢がかないました。子供の夢としてはちょっと変ですけどね。

Dorseyのコメントは、コンピューター詐欺および不正利用防止法案の改革を強力に後押しするものだ。1980年に制定された同法は、インターネット活動家、アーロン・シュワルツの早すぎる自殺を招いたと広く非難された。改革派らは、コンピューターシステムへの侵入、特にそれが市民による反抗もしくは危険なネットワーク脆弱性の顕在化を目的としている場合には、他の連邦犯罪と同じ罰を与えるべきではないと主張している。

今年になって、カナダの大学がネットワークのセキュリティーホールを暴いた学生、Hamed Al-Khabazを退学させたことを機にハッキングの違法性を巡る議論が再燃した。

もちろんDorseyと同じく、Al-Khabazもなんなく窮地を脱するだろう。近代的な政府機関やテク系企業の多くは、公然と若きハッカーたちを受け入れている。米国国家安全保障局(NSA)の求人ページには「もし過去に少々軽率な行動を起こした経歴があったとしても心配無用」と書かれている。おそらくアメリカを象徴するテクノロジーの生みの親が、ハッカーとしてスタートを切っていたことで、為政者たちも法が時代に追い付かなくてはならないことを学ぶだろう。

[原文へ]

(翻訳:Nob Takahashi)