Adobeがハックされる―290万人のユーザー情報とAcrobatのソースコードが漏洩

これはまずい。Adobeはサーバーのひとつがハッカーに侵入されたことを明かした

内部調査が進行中だというが、Adobeが発表したわずかな情報によっても今回の漏洩は深刻だ。

侵入したハッカーは暗号化されたユーザー情報290万人分にアクセスできたという。Adobeはデータが暗号化されていたので攻撃者はクレジットカード情報を解読できないはずだと強調した。そうであっても、ユーザー情報にアクセスを許したことは大きな失点だ。

それにAdobeは情報がどのように暗号化されていたのか詳細を明らかにしていないので、外部からはその安全性を判断することができない。

一方でハッカーはAdobeの少なくとも3種類の製品のソースコードも盗んだ可能性がある。その製品はAcrobat、ColdFusion、ColdFusion Builderだという。 今朝のBrian Krebsの投稿によれば、ハッカーグループが利用する秘密のサーバーに40GBのAdobeソースコードを発見したという。

ソースコードをネットに公開されるのがビジネス上痛手であるのは言うまでもないが、これは同時に重大なセキュリティー上の危険を意味する。アプリケーションのソースコードが入手できれば、実行コードでは分からない脆弱性を探しだすことができる。世界中で何百、何千万とインストールされているAcrobatを利用したゼロデー攻撃の可能性を大きく高めるもので、憂慮すべき事態だ。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


元ハッカー少年にしてTwitter共同創業者ジャック・ドーシー曰く:ハッキングは犯罪ではない


メディアと金融業界をひっくり返す前、Twitterの共同ファウンダー、Jack Dorseyは誇り高きハッカーだった。テレビ番組60 MinutesでLara Loganのインタビューを受けたDorseyは、彼の職歴においていかにハッキングが役に立ったかを詳しく語った。Dorseyが最初に就職したのは彼がネットワークの脆弱性を暴露したソフトウェア会社だった。

Jack Dorsey:そのウェブサイトに入る方法を見つけました。穴を、セキュリティーホールを見つけたんです。

Lara Logan:そ、それはハッキングと同じですか?

Jack Dorsey:えーまあ、ハッキング、ハッキングといえばハッキングです。

Lara Logan:犯罪ですね。

Jack Dorsey:さあ、違うでしょう。犯罪的ハッキングは犯罪ですが、本来ハッキングは・・

Lara Logan:求人応募のためのハッキングは犯罪じゃないんですか?

Jack Dorseyノー、ノー、ノー、ノー、ノー、 全く犯罪なんかじゃありません。その後会社にメールしてこう書いたんです。「セキュリティーホールがありますよ。こうすれば直りますよ。こんなアプリ作りましたよ」って。

Lara Logan:そうしたら雇われた。

Jack Dorsey:1週間後に雇われました。夢がかないました。子供の夢としてはちょっと変ですけどね。

Dorseyのコメントは、コンピューター詐欺および不正利用防止法案の改革を強力に後押しするものだ。1980年に制定された同法は、インターネット活動家、アーロン・シュワルツの早すぎる自殺を招いたと広く非難された。改革派らは、コンピューターシステムへの侵入、特にそれが市民による反抗もしくは危険なネットワーク脆弱性の顕在化を目的としている場合には、他の連邦犯罪と同じ罰を与えるべきではないと主張している。

今年になって、カナダの大学がネットワークのセキュリティーホールを暴いた学生、Hamed Al-Khabazを退学させたことを機にハッキングの違法性を巡る議論が再燃した。

もちろんDorseyと同じく、Al-Khabazもなんなく窮地を脱するだろう。近代的な政府機関やテク系企業の多くは、公然と若きハッカーたちを受け入れている。米国国家安全保障局(NSA)の求人ページには「もし過去に少々軽率な行動を起こした経歴があったとしても心配無用」と書かれている。おそらくアメリカを象徴するテクノロジーの生みの親が、ハッカーとしてスタートを切っていたことで、為政者たちも法が時代に追い付かなくてはならないことを学ぶだろう。

[原文へ]

(翻訳:Nob Takahashi)