ソニーへのサイバーアタックにつき、FBIの名指しをうけた北朝鮮は一切の関与を否定

TechCrunchでも「ザ・インタビュー」絡みの話題をいろいろと取り上げている。FBIは犯行の背後には北朝鮮がいると主張しているが、北朝鮮側は一切の関与を否定しているようだ。BBCの記事によれば北朝鮮外務省は、FBIの決めつけは「重大な結末」を招く可能性があるとし、共同調査を提案してもいるようだ。

当初は、実際のところは他国からの攻撃であり、北朝鮮からのものに見せかけたものなのではないかという疑いももたれていた。しかし現在ではセキュリティ専門家の多くが、ソニーに対するサイバーアタックやその後の情報流出の背後には北朝鮮がいたものだと考えている。セキュリティの専門家であるBrian Krebsは、「Guardians of Peace」を名乗る集団からの攻撃の多くは北朝鮮からのものであり、また在日施設からのものも見られると述べている。

ソニーに対するサイバーアタック(最新技術を用いたというわけでもないらしい)は当初、いち映画会社の問題であったわけだが、それがいまや国家間の騒動へと発展したわけだ。北朝鮮は自らの関与を全く否定している。現時点ではわからないことも多く、事実が明らかになるのは(明らかにされない場合もあり得るだろう)しばらく後のこととなるだろう。アメリカと北朝鮮の関係を考えれば、北朝鮮の提案している共同調査などというのはあり得ない話だろう。もちろんデニス・ロッドマンが動き始めれば、話はまた別なのかもしれない。

原文へ

(翻訳:Maeda, H


Pinterestの複数のアカウントがハックされてお尻の写真だらけに

Pinterestにログインしたら、お友だちが突然、下の図のように、痩身プログラムの広告やお尻の写真にはまってしまっていた。そんなときは、これらのピン(投稿)たちをクリックしてはいけない。

1時間前ぐらいから複数のアカウントがハックされ、スパムで埋め尽くされた。本誌の副編集長のアカウントもだ*。今、Pinterestにこの件でコメントを求めている。〔*: 今は、アカウント本人がスパムを掃除してしまったみたい。〕

Pinterestの人気が上がるにつれて、そのアカウントにいたずらをする悪いやつも増えている。最近Better Business Bureauが発行した警告は、いつもと違うな、変だな、と感じる友だちのピンを見たら、クリックしないように、と言っている。

ハッカーがアカウントにアクセスする方法はいろいろあり、セキュリティホールのあるサードパーティのアプリケーションを利用したり、ほかのサイトの“Pin This”ウィジェットに悪質なコードを潜ませるなどが典型的、とBBBは言っている。

あなたのアカウントを、求めてもいないお尻などから守るためには、怪しいピンを報告すること。サードパーティのアプリケーションに用心すること。コンテンツをリピンする前に行き先のリンクをチェックすることだ。

[副編集長の被害状況]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


大手量販店のTargetで史上最大級のハッキング被害―4000万人分のクレジットカード情報がまるごと流出

今日、アメリカ最大のチェーン店の一つ、Targetは「POSシステムに記録された約4000万人分のクレジットカードおよびデビットカードの情報が11月27日から12月15日の間に侵入者によって盗まれた」と発表した。

Targetの発表によれば、同社は不法アクセスに気づくと同時に捜査当局と金融機関に通報し、「適切な対処の準備を整えている」という。また外部の専門家に依頼して攻撃相手、侵入の範囲を調査しているということだ。

顧客の氏名、カード番号、有効期限、3桁のCVVセキュリティー・コードのすべてが盗まれた。被害に遭ったのはTargetの店舗でショッピングをした顧客に限られる。

Targetの反応は非常に遅かった。12月12日にBrian Krebsが漏洩の噂を最初に報じ、Krebsは「顧客のトラックデータのすべてが漏洩したらしい」と書いている。トラックデータというのはクレジットカードの裏面の磁気ストライプに記録されている情報だ。

Targetの広報担当、Katie Boylanは「当社はできるかぎりの資源を対策に注いでおり、捜査当局およびトップクラスの情報犯罪対策企業と共同で事態の解明に取り組んでいる。[そのため] 現在これ以上のコメントはできない」と述べた。

ハッキング被害そのものは珍しいものではないが、これほどの規模の信用情報流出となると非常に稀だ。2009年に支払サービスのプロバイダーが1億3000万人分のカード番号を流出させたことがあった。しかし想定される実害の程度を考えると今回のTargetの事件はは間違いなく史上最大級の漏洩だ。

磁気ストライプの全記録データの盗難が最悪なのは、これによって本物とまったく同一の偽造カードが作成できるからだ。カード番号、名義、有効期限、セキュリティー・コードがあればオンラインで不正注文がいくらでもできるのは言うまでもない。「クリスマスを控えたこの時期、最悪のタイミングで漏洩が起きた」とSophosのセキュリティー調査部門の責任者、James Lyneは語った。

Targetは顧客に対して、頻繁に利用状況をチェックするなどカードの不正使用に対して警戒するよう呼びかけている。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


ハッカー集団アノニマスのハクティビスト、ジェレミー・ハモンドに最大10年の禁固刑

ハッカー集団Anonymousのハクティビスト(政治的ハッカー)、Jeremy Hammondは、セキュリティー会社、Stratforのメール数百万通をリークした罪で、最大10年の禁固刑に処せられた。Hammondはこの厳しい裁定を、見せしめ目的の「復讐的で悪意ある行動」だと主張している。

2012年、数百万通のメールがStrategic ForecastingからWikileaksに渡った。そこには、複数の政府高官、利益目的の軍事請負企業、および諜報機関らの秘密の関係が多数暴露されていた。さらには、チェコ共和国による対ロシア防衛のためのF-16ジェット戦闘機購入の意志や、イスラエルのベンヤミン・ネタニヤフ首相による、オバマ大統領に関する疑念を含め、外交政策戦略についても書かれていた(注:上記のF-16関連記事は音声付ビデオが自動再生される)。

同裁定は、ハッキング犯罪の刑罰を定めるコンピューター不正行為防止法の改訂要求に火をつけた。去る1月、Zoe Lofgren下院議員は、ハッカー犯罪に対する厳罰を受けた後自殺したAaron Swartzに因み「アーロン法」と呼ばれる改訂法案を提出した

27歳のHammondは、FBIの囮捜査によって、自身の処罰後当局に協力していた友人ハッカー、Sabuを通じて間接的に罠にかけられたと主張している。

「Stratforをハッキングしたことで私を罪に問う一方で、私はFBIの情報提供者から外国人ターゲットを狙うよう助言されていたのだから何とも奇妙なことだ。彼らはウェブサイトのセキュリティーを保護することをどこまで真剣に考えているのだろうか」とHammondはThe Guardianに語った。

コンピューター不正行為防止法の改訂に関していくつかの要望があるが、議会が医療制度と移民問題を解決できない今、われわれは待つしかなさそうだ。

[写真提供:Jim Newberry

[原文へ]

(翻訳:Nob Takahashi)


「シリア電子軍」が今度はオバマ大統領のTwitterのURL短縮アプリをハック―急遽Google2段階認証採用へ

「オバマ大統領のTwitterのアカウント自体は乗っ取られていない。乗っ取られたのはツイート中の一部のリンクだけだ」とオバマ大統領の支援政治キャンペーン組織、Organizngfor Action(OFA)の幹部が認めた

OFAも他の大きな組織と同様、Twiterの提供するものではなく独自のURL短縮アプリを使っていた(ユーザーのモニタがしやすいため)。このリンク短縮アプリがハックされたものとみられる。 Quartzの記事によれば、OFAはこの攻撃の後、急遽Googleの2段階認証を導入したという。

上のスクリーンショットに示した乗っ取られたリンクは修正されている。

SEA(シリア電子軍)がオバマ大統領を狙って攻撃を仕掛けたのはこれが最初ではない。この春、SEAはAP通信のTwitterアカウントをハックして、「ホワイトハウスで爆弾が爆発した」というデマを流し、株式市場を一瞬ではあるが混乱に陥れた。

今日(米国時間10/28)の攻撃は巧みだった。しかし、なぜOFAがGoogleの2段階認証のような基本的なセキュリティー策を当初から取っていなかったのかという疑問は残る。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


NSAのX-Keyscoreプロジェクトはインターネット上の誰のトラフィックでも収集できる

最新のリーク情報によると、NSAにはX-Keyscoreと呼ばれるプロジェクトがあり、わずかなキー操作でユーザがインターネット上で行うことのすべてが分かる。チャットの内容も、メールも、Webの閲覧先も。

そのシステムは、ユーザを特定するための情報としてメールアドレスを利用する。NSAが集めたネット上のトラフィックやメタデータのデータベースは、メールアドレスのユーザ名やドメインで検索される。

Snowdenは6月10日のGuardian紙に、“その人の個人的なメールアドレスが分かれば、誰でも、あなたでもあなたの会社の経理の人でも、連邦裁判所の判事でも、それに大統領でさえも、ネット上のトラフィックを盗聴できる”、と語っている。それは、このX-Keyscoreのことだったのだ。

そのシステムはNSAのアナリストたちが無許可で自由に利用できる*。2010年に作られた教育訓練マニュアルによると、システムに特定個人のデータをリクエストできるのは、アナリストだけである。そしてそのシステムは、起点または終点が合衆国であるトラフィックを、各種のキーワードで検索する。Facebookのコメントをはじめ、ソーシャルメディアのデータも検索できる。〔*: NSAは否定。〕

データは恒久保存されない。一日に何十億レコードものデータを集めるから、データベースにはほんの数日分しか保存できない。NSAによると、その検索によって特定の人びとのあいだの、インターネットや電話による通信を見つけて拾い上げたり、ブログ記事やメールやそのほかの共有コンテンツ中に特定の言葉や名前を見つけることができる。その結果は完全に監査されるが、海外のターゲットに限定されている。ただし、そういった諜報情報の中にアメリカ国籍の者が紛れ込むこともある。

NSAはGuardian紙の取材に対して、“XKeyscoreはNSAの合法的な海外諜報システムの一部として利用されている。NSAが集めるデータにアナリストが無許可で自由にアクセスできるという申し立ては、まったく真実ではない”。

出典: The Guardian

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


企業がTwitterで恥をかかないために

数週間前、AP通信のTwitterアカウントがにハッキングに遭い株価を大きく下げた時、私はショックを受けた。APという、頭のいい人たちを擁し新しいメディアへの対応にも長い歴史を持つニュース組織が、フィッシングによってハックされるという事実を私は受け入れられなかった。それはまるでバンク・オブ・アメリカが幼稚なクラッカーにハックされるようなものだ。

悲しいことに、それは繰り返し起きた。なぜか? 有難いことに、Onionの人たちが先見の明をもって、”Syrian Electronic Army” [SEA、シリア電子軍]がAPのTwitterストリームを「ハックした」時、正確に何が起きていたのかを説明してくれた。

企業のソーシャルメディアのアカウントを管理している人は必読だ。要点は以下の通り。

担当者たちには、あらゆるログインを促すリンクは送信者にかかわらず疑ってかかるよう教育を徹底すること。Twitterアカウントの登録メールアドレスは、会社の通常メールとは隔離されたシステムに置くこと。こうすることで会社のTwitterアカウントは事実上フィッシングに耐性を持つ(ただし全アカウントに強力なパスワードを設定することが前提)。あらゆるTwitter活動は、HootSuiteなどのアプリを経由して行うべきである。Twitterパスワードによるアカウントへのアクセスを制限することで、復旧に長時間を要するハッカーによる全面支配を防げる。

可能であれば、担当者全員に会社のメールシステム以外で連絡を取る方法を用意すること。Guardinのハック事件で、SEAは複数の内部メールのスクリーンショットを掲示していたが、恐らく見過ごされていたメールアドレスに侵入したものと思われる。

私は3番目の助言が最も重要だと思う。Twitterのパスワードは定期的に変更し、さらに重要なのは、決して、絶対に、ブラウザー経由でTwitterパスワードを変更するよう促すリンクをクリックしないことだ。Twitterパスワードを変更する必要のある時は、直接Twitter.comで行うか、あるいはTwitterにメールしよう。もしあなたの組織がAPかACLU(アメリカ自由人権協会)かBoston Pony And Terrier Lovers Of America Clubなら、きっと協力してくれるはずだ。

Twitter自身も、2段階認証か少なくとも誰かがパスワードを変更したらメールを送るべきだ。これは義務だ。いまやTwitterは企業コミュニケーションのためのツールであり、どこかのウェブフォーラム程度のセキュリティーでは論外だ。会社のTwitter責任者も企業ドメインから完全に独立したメールアドレスを持ち、その人物はパスワード変更ページのURLをチェックする手順を決め、すべてが適正である場合に限りパスワードを変更すべきだ。幼稚なクラッカーの目を覚ますことになるかもしれないが、殆どの「ハッカー」は、自分の技術手腕ではなく標的の愚行に頼っている。

愚かなまねはしないように。

[原文へ]

(翻訳:Nob Takahashi)


Javaアプレットによる犯行がBitcoinの口座から大金を盗む–Mt.Goxをフィッシング

自由は絶え間ない警戒によってのみ確保される、という。Bitcoin Forumsのbitbullyと名乗るユーザが、あるチャットサービスを訪れたら自分のBitcoinを34失った、と述べている。そのサービスは、多くの人が利用しているBitcoin交換サイトMt.Goxに接続している。そのサイトは、ユーザがサービスを訪れるとすぐに、Javaアプレットを使って彼/彼女のコンピュータに送金命令を送るらしい。そしてそのトランザクションは取り消しできないし、フィッシングの犯人は匿名なので、被害者は泣き寝入りとなる。

この被害者は、自分の口座の半分を一瞬にして失った。Mt.Goxには、二要素認証がある。それは不正なログインを防ぐ良い方法だ。このユーザはそれをonにしてなかった。この詐欺事件を取りあげているRedditのスレッドもある。

そのフィッシングサイトは、今ダウンしているらしい。

フィッシングのメッセージは、こんなやつだ: “Mtgoxが4〜5時間以内に入金を要求している。Mtgox上のライブチャットでは全員がLTCで支払わなければならない。送金先はhxxp://bit.ly/xxxだ”。このbit.lyリンクが、フィッシングサイトだ。

被害者は自分がやった調査をこう説明している:

ぼくも技術者なので、調べてみた。このサイトが合衆国国内でホストされていることが分かった。ぼくはmtgoxにペンシルヴェニアからアクセスしていたのに、その引き出し指示はロサンゼルスのIPから送られていた。そしてそのサイトはTeleport Proで取ってきたbitcoincharts.comで、mtgoxのロゴもあった。それは、5日前にもまだNamecheapに登録されていた! ドメインネームが、そのIPへ解決(リゾルブ)されるのだ。

Bitcoinのフィッシングは前からあるが、人気が増すにつれて、より大きな問題になるだろう。TwitterのノベルティアカウントBitcoin.txtが言ってるように、この市場は一種のバブルのようで、初心者がとても多い。想像上のデジタル通貨は、本当に未来の経済の一部になるのか? それとも、bit.lyのリンクをクリックする者に破滅をもたらすのか?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Evernoteが全ユーザにパスワード変更を要請: 大規模ハッキング行為で個人情報が漏出

evernote

人気のパーソナルノートサービスEvernoteが、その5000万近いユーザに、パスワードの変更を要請している。同社は一両日前に、最近大きく報道されている大規模なハッキング行為の、最新の犠牲者になった。これまでの数週間で、TwitterFacebookなどなども、同種の被害に遭っている。

EvernoteのファウンダでCEOのPhil Libinによると、サイトは全体的に順調に稼働しているが、現状ではユーザに対し、パスワードの変更を求めるフォームが表示される。“この異常事態のため、サーバが混雑し、アクセスが不調になることもある。しかし問題はそれだけであり、知りうるかぎり、ユーザデータへの脅威は存在しない”。

同社のブログ記事によると、“犯人たちはEvernoteのユーザ情報へのアクセスを取得した。それらの情報は、Evernoteのアカウントに結びついているユーザ名とメールアドレスと暗号化されたパスワードであり”、支払決済関連の情報はアクセスされていない。

Libinによると、“ユーザの支払決済情報はサーバ上に保存していないから、被害に遭うことはない”。この前Zendeskを襲い、そのほかのサイトにも被害が及んだ犯行との関連については、現状では何も分かっていない。“Zendeskの件については詳細を知らないので、コメントを申し上げる段階ではない”。

同社広報によると、異状に最初に気づいたのは、(米国時間3/2から)二日前の米国時間2月28日だ:

2月28日に、Evernoteの運用とセキュリティを担当する部門が、異常でしかも悪意あると思われる活動がEvernoteのサービスの上で行われていることに気づき、調査を開始した。その結果判明したのは、一人または複数の個人が、ユーザのユーザ名とメールアドレスと暗号化されたパスワードへのアクセスを取得したことだ。現在行っている分析によれば、ユーザアカウントのそのほかの内容や、Evernote PremiumおよびEvernote Businessの顧客の決済情報への、不法アクセスは生じていない、と判明した。

同社はブログ記事以外に、ユーザへのメールとソーシャルメディアへの投稿で通知を行っている。

“質問や心配事のある方はEvernoteのサポートまで直接申し出ていただきたい”、とその広報担当は言った。

パスワードの変更は、Evernote Food、Evernote Business、Evernote Helloなどなど、そのユーザが使う可能性のあるすべてのEvernoteアプリケーションで行う必要がある。

データ侵犯のニュースが、このところ毎週のようにある。ネガティブなニュースの頻発が、これらのサイトに対するユーザの信頼をどれぐらい損なっているか、そこが問題だ。ユーザは、慣れて不感症になっているのか、それとも、もっと安全そうなサイトへ引っ越そうと考えているのか。大規模ハッキング行為の日常的な横行は、ネットワーク社会をめぐるさまざまな楽観論や理想論に、水を差すことにもなりかねない。

evernote password change

この記事は、引き続きアップデートしていきたい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))