タグ: hacking

Amazonのドアベル「Ring」にWi-Fiのパスワードが盗まれる脆弱性が見つかる

セキュリティの研究者たちが、接続されているWi-Fiネットワークのパスワードを露呈するAmazonのドアベル「Ring」の脆弱性を発見した。

Bitdefenderによると、Amazonのドアベルは、それがローカルネットワークに加わったときにオーナーのWi-Fiパスワードを平文のテキストで送信する。近くにいるハッカーはそのWi-Fiパスワードを横取りしてネットワークにアクセスし、重大な攻撃や盗聴行為などを仕掛けることができるだろう。

Bitdefenderによると「デバイスを最初に構成するとき、スマートフォンのアプリはネットワークの認証情報を必ず送信する。その送信はセキュリティに守られていないし、同じく無保護のアクセスポイントを通る。そのネットワークが動き出したら、アプリはそれに自動的に接続してデバイスを調べ、その認証情報をローカルネットワークに送信する」と説明する。

しかし、これらすべてが暗号化されない接続の上で行われるから、送信されたWi-Fiパスワードはそのまま露呈する。AmazonはRingの脆弱性を9月に直したが、この脆弱性は米国時間11月7日の時点で未公開だ。

このように、スマートホームの技術には相次いでセキュリティの問題が見つかっている。スマートホームデバイスは生活を楽にして家を安全にするために作られているはずだが、研究者たちは、それらが保護するはずのものへのアクセスを許す脆弱性を、次から次と見つけている。

この前は研究者たちが、人気のスマートホームハブにドアの鍵(スマートロック)を開けさせて、その家に侵入できた。

AmazonのRingについては、法執行当局(警察)が厳しい調査を行っている。GizmodoなどのニュースサイトがRingと警察との密接な関係の詳細を、関連のメッセージングも含めて報じている。今週は、ハロウィーンで何百万ものお菓子をねだる子どもたちを追跡したとRingがInstagramで自慢していたそうだ。

関連記事:Security flaws in a popular smart home hub let hackers unlock front doors(人気のスマートホームハブはハッカーがドアの鍵を開けられる、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

ハッキングコンテストにてFacebook Portalがストレステストの対象に

昨年Facebook(フェイスブック)はスマートディスプレイを発表したが、ハッカーたちは毎年恒例のPwn2Ownハッキングコンテストにて、そのFacebook Portalをストレステストできる。

Pwn2Ownは世界最大級のハッキングコンテストで、セキュリティ研究者が家電製品や自動車を含むさまざまな製品の脆弱性を発見し、実証するために集まる。

企業が自社製品をハッカーにテストさせるのは珍しいことではない。Tesla(テスラ)は今年、新型セダン 「Model 3」 をコンテストに出展した。その後、2人の研究者が、車のインフォテインメントシステムのウェブブラウザーに深刻なメモリのランダムバグがあることを発見し、37万5000ドル(約4000万円)を獲得した。

Facebook Portalに、リモートでコードを送信して実行できたハッカーは最大6万ドル(約640万円)を、非侵襲的な物理的攻撃や権限変更に関するバグの場合は4万ドル(約420万円)をそれぞれ得ることができる。

このコンテストを主催しているTrend Micro(トレンドマイクロ)のZero Day Initiativeは、参加する研究者が利用できるホームオートメーション機器の範囲を拡大する取り組みの一環として、Facebook Portalを出展した。Pwn2Ownによると、研究者はAmazon(アマゾン)のEcho Show 5、Google(グーグル)のNest Hub Max、Amazon Cloud Cam、Nest Cam IQ Indoorをハックする機会も得られるという。

Facebookはまた、ハッカーがVRヘッドセットのOculus Questの脆弱性も発見できるようにすると伝えている。Pwn2Own Tokyoは11月6〜7日に開催される予定で、75万ドル以上(約8000万円)の現金と賞品が提供されると予測されている。

[原文へ]

(翻訳:塚本直樹 Twitter

元ハッカーが初めて米大統領になるかもしれない

民主党の大統領候補Beto O’Rourke(ベト・オルーク)氏が、数十年前の悪名高きハッキンググループのメンバーだったことを明かした。

この元下院議員はテキサスのハッカーグループ「Cult of the Dead Cow」のメンバーだった。このグループはインターネット時代の初期のハクティビズム(Hacktivism、政治活動社会活動などを含むハッカー主義)に影響を与えたことで知られ、Windowsをハッキングするコードを作った。1990年代にはインターネットを抗議運動のためのプラットホームとして利用し、人権の重視を訴え検閲を非難した。その多くのリリースの中では、リモートアクセスとアドミニストレーションのツール「Back Orifice」がとくに有名だ。

このハッカーグループの一件を報じたロイターの記事によると、当時のオルークのハンドル名は「Psychedelic Warlord」だった。

彼はその後政治家への道を進み、2005年にエルパソ市の市会議員に当選してからは、ハッカーグループのメンバーだったことが自分の政治家としての成長を傷つけないか心配するようになった、という。グループのメンバーたちはオルークの秘密を護ったが、彼自身はロイターに、グループとの縁を認めた。

ロイターは彼を「米国の政治史における最も傑出した元ハッカー」と記し、その彼は米国時間3月14日に、米大統領に立候補すると発表した。

もしも彼がホワイトハウスを勝ち取ったら、彼は初めてのハッカー大統領になる。

オルークの履歴を見ると、アメリカが現在直面しているテクノロジーの問題にこの候補者がどのようにアプローチし、どのように問題を理解するかわかる気がする。テクノロジーに関して、かなり本格的な知識と理解を持った人が二大政党から大統領選に出馬するのは、これがほとんど初めてだろう。彼なら、テクノロジーが持ち込む良い面と諸問題に、政策のレベルで厳しく配慮し対応できるのではないか。

「インターネットには民主化する力がある、と思っている。私の個人的経験から言っても、インターネットは人の生き方を変える。そしてインターネットの上では、アイデアと技術を分かち合う国中の人びとの途方もない知性を有効に利用できる」。オルークはロイターにこう語っている。

この46歳氏はまだ支持者たちに、この新たな発覚について述べていない。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

Yahooから30億のメールアカウントを盗んだハッカーが5年の懲役と全資産没収

11月に罪を認めたカナダ人ハッカーKarim Baratov(23歳)は、Yahooをハックして最大30億のアカウントを露出した罪の、少なくとも一部に関して有罪が確定し、刑期5年の懲役刑が下(くだ)された。司法省によるとBaratovは、ロシアの諜報機関FSBの二人のエージェントの指示により、それらのアカウントを漏洩した。

二人の職員、Dmitry DokuchaevとIgor Sushchinは、同じくYahooハックに関わったラトビア人のハッカーAlexsey Belanと共にロシアに居住する。その居住地からして、これら三名が関与に関して罪を問われることはないと思われるが、Baratovのカナダ国籍は、彼を訴追可能にした。

司法省によるBaratovの刑の宣告(要約)には、こう書かれている: “この共謀罪におけるBaratovの役割は、FSBで働いていた彼の共謀者にとって関心のある個人のWebメールのアカウントをハックし、それらのアカウントのパスワードを金と引き換えにDokuchaevに渡すことだった”。

カリフォルニア北部地区担当の連邦代理検事Alex G. Tseが、外国政府の不正行為に加担しようとする未来のハッカーに対して、厳しい警告を発している:

“今回の量刑は、人に雇われてハッキング行為をすることの重大な犯罪性を反映している。Baratovのようなハッカーは、彼を雇って金を払う人びとの犯罪目的を考慮することなく、自分の仕事に専心する。これらのハッカーは軽犯罪者ではなく、犯罪者が個人情報を不法に入手して悪用するために使用する、重要な道具である。Baratovに対する5年の懲役刑は、国民国家がスポンサーとなるサイバー攻撃に参加するハッカーに向けて、その重大な結果を知らしめるために法廷が送る、明確なメッセージである。”

Baratovは5年の実刑に加えて、彼の保有資産225万ドルの全額を罰金として支払わなければならない。彼は陳述の中で、2010年から逮捕の2017年までに11000件のメールアカウントをハックしたことを認めた。

Baratovの罪にはほかに、加重的個人情報窃盗と、コンピューター詐欺と悪用法に違反する共謀罪が含まれている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ハッカー攻撃されるリスクが特別高い人たちにGoogleが“最強のセキュリティ”を提供

【抄訳】
Googleが今日(米国時間10/17)、Gmail, Drive, YouTubeなどなどGoogleのアカウントが、尋常でない、きわめて高い攻撃のリスクにさらされている、と信じているユーザーのための、無料でオプトイン(非強制)のプログラムを立ち上げた。

そのAdvanced Protection(高度な保護)と呼ばれるプログラムは現在のところ、三つの主要成分がある:

  1. ハードウェアのセキュリティキー〔U2F〕が生成するトークンを用いる2FA(二要素認証)によりGmailとGoogleのアカウント保有者をフィッシング攻撃から守る。
  2. GmailとDriveへのアクセスをGoogleのアプリ/アプリケーションのみに限定して悪質なアプリケーションによるデータの窃盗を防ぐ。
  3. アカウントのリカバリ処理を複雑にして、なりすましがGmailのアカウントにアクセスすることを防ぐ。

要するにこれは、便利さを犠牲にしてセキュリティを高める措置だ。万人向きではない、とGoogleも言ってるように、たとえば一部のセレブとか、とにかくハッキングされる高いリスクがある、ないし、あると思っている、少数の人びとのためのサービスだ。

Googleが挙げている例は、選挙戦のスタッフや、やばい情報を扱っているジャーナリスト、環境や人権などの活動家、“ネットいじめネットセクハラ”に遭ってる人たち、などだ。この前の大統領選で現にあったように、選挙参謀のメールはハックされやすい。

昨年は民主党の選挙参謀John Podestaのメールがハックされて、メールアカウントの危険性にスポットライトが当たった。メールの内容が世間に公開されたために、選挙戦にかなりの影響を与えただろう。そして今年はフランスの大統領選で現大統領Emmanuel Macronのスタッフのメールアカウントがハックされた。メールがリークされたのは投票日の前夜だった。

【中略】

このプログラムはGoogleのアカウントのある人なら誰でも登録できるが、当面はChromeブラウザーを使う必要がある。Googleによると、ChromeはハードウェアセキュリティキーのスタンダードU2Fをサポートしているからだ。ただし、“ほかのブラウザーもこのスタンダードをなるべく早くサポートしてほしい”、ということだ。

【中略】

Advanced Protectionの登録申し込みはここで受け付けている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる

セキュリティ企業のArmisが8つのエクスプロイトを見つけ、まとめてBlueBorneと名付けた。それらを利用すると、スマートフォンの本体に触ることなくアクセスして攻撃できる。スマートフォンだけでなく、Bluetoothを使っているコンピューターやIoTなどにも、同じ弱点がある。

Armisは、Bluetoothを使っているさまざまなプラットホームに、もっと多くの脆弱性がある、と考えている。これらの脆弱性は常時機能しており、したがって攻撃がつねに成功することを、Armisはデモで示した。アタックベクタBlueBorneは、コードのリモート実行や中間者攻撃など、大規模な犯行にも利用できる。

SeguruのCEO Ralph Echemendiaは語る: “BlueBorneはどんなデバイスでも被害者にしてしまう。Bluetoothがブルーでなくブラックになってしまう。この件では、セキュリティのための(システムの)手術が必要だろう”。

このビデオでお分かりのように、これらのエクスプロイトによりハッカーはデバイスを見つけ、Bluetoothで接続し、画面とアプリをコントロールしはじめる。ただしそれは、完全にお忍びではない。エクスプロイトを利用するとき、デバイスを“起こして”しまうからだ。

この複雑なアタックベクタは、ハックするデバイスを見つけることから仕事を開始する。そしてデバイスに自分の情報を開示させ、かつて多くのWebサーバーにパスワードなどをリモートで表示させた“heartbleedにとてもよく似た手口で”、キーとパスワードを盗む。

次は一連のコードを実行してデバイスの完全なコントロールを握る。研究者たちはこう書いている: “この脆弱性はBluetooth Network Encapsulation Protocol(BNEP)にあり、Bluetoothによる接続(テザリング)でインターネットの共有を可能にする。BNEPサービスの欠陥によりハッカーはメモリを破壊し、デバイス上でコードを実行できるようになる。それ以降デバイスは、完全に犯人のコントロール下にある”。

次にハッカーは、デバイス上のデータを“中間者攻撃”でストリーミングできるようになる。

“その脆弱性はBluetoothスタックのPANプロフィールにあり、犯人は被害者のデバイス上に悪質なネットワークインタフェイスを作れるようになり、IPルーティングの構成を変えて、デバイスがすべての通信をその悪質なネットワークインタフェイスから送信するよう強制する。この攻撃には、ユーザーの対話的アクションや認証やペアリングを必要としないので、ユーザーにとっては実質的に不可視である。

WindowsとiOSのスマートフォンは保護されており、Googleのユーザーは今日(米国時間9/12)パッチを受け取る。Androidの古いバージョンやLinuxのユーザーは、安全ではない。

安全を確保するためには、デバイスを定期的にアップデートするとともに、古いIoTデバイスの使用をやめること。大手企業の多くがBlueBorneベクタに関連した問題のほとんどにすでにパッチを当てているから安心だが、マイナーなメーカーが作ったデバイスは危ないかもしれない。

Armisはこう書いている: “ネットワークを利用する新しい犯行には、新しい対策が必要だ。既存の防備が役に立たないこともある。また消費者や企業向けに新しいプロトコルを使うときには、事前に十分な注意と調査が必要だ。デスクトップとモバイルとIoTを合わせたデバイスの総数は増加する一方だから、このようなタイプの脆弱性が悪用されないようにすることが、きわめて重要だ”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Microsoftがロシアのハッカー集団Fancy Bearとの静かなるサイバーウォーに勝利

ホワイトハウスはサイバーセキュリティでロシアと協力し合おうなんて言ってるが、それはロシアよりもさらにありえない相棒に任せた方がよいだろう。Daily Beastの記事によると、Microsoftはこれまで、Fancy Bearという名前で知られるハッカー集団と静かな戦いを繰り広げてきた。このグループは、ロシア軍部の秘密諜報機関GRUと関係がある、と信じられている。

その記事はなかなか詳しくて、Microsoftの法務の連中が2016年にどうやってFancy Bearを訴訟し、彼らがMicrosoftの商標を侵して使っていたドメイン名を救ったかを描写している。実際には、敵はFancy Bear以外のいろんな名前を使っていたらしい。Microsoftの製品名を詐称するようなドメインを使っていても、やつらはジェネリックなドメインだと主張した。そして、そんなずさんさが、訴訟を招いてしまった。

明確な組織もない、責任者もいない、掴みどころのないハッカー集団を法廷に引っ張りだすのはほぼ不可能だが、訴訟は、MicrosoftがFancy Bearのサーバーの一部をハイジャックするという結果を生んだ。昨年MicrosoftはFancy Bearのさまざまなドメインを着ているサーバー70台以上を乗っ取り、その多くが指揮とコントロールの役だったので、それによりハッカーたちが、彼らがターゲット上にインストールしたマルウェアとコミュニケーションしていることがわかった。

Microsoftは自分の手中に入ったドメインを使ってFancy Bearのサーバーネットワークの全貌をつかみ、それらのサーバーがMicrosoftのドメインと通信できることを見つけた。結果的に同社は、疑わしい外国の諜報機関の一部を、間接的に妨害、そして観察できたことになる。それは、テクノロジー企業が余暇時間にやった仕事にしては、かなり巧妙な戦術だった。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

あなたの車をハックできる小さなArduinoボードMacchinaがKickstarterで資金募集中

IKEAの家具も、ユーザーがハックして改造できる。ビデオゲームも、ハックして友だちに自慢できる。そして今Kickstarterに出ているMacchinaを使えば、自分の車にいろんなトリックを教えられる。たぶん、法に触れない範囲でね。

大きさが分かるためにバナナを置いた

Macchinaは、車に挿入する小さなデバイスだ。そのこと自体は、別に新しくもない。Automaticが、前からやっている。でも、Macchinaが産んだちっちゃな神童は、車のECUの読み書きができる。だから、ボンネットの下の暗い神秘の空間で起きていることが分かるだけでなく、何かを変えることもできる。ただし、車に関して無知な人が数値をいじることだけは、絶対におすすめできないけど。

MacchinaはArduino Dueを使っている。だからコードのサンプルはたくさんある。

関連記事

(日本語)Laying a trap for self-driving cars
(日本語)Leaked internal Uber documents show rocky self-driving car progress
(日本語)BMW's self-driving car will aim for full Level 5 autonomy by 2021
(日本語)Intel buys Mobileye in $15.3B deal, moves its automotive unit to Israel
(日本語)Toyota's new autonomous test car 2.0 is a tricked out Lexus

“これは初心者とプロフェッショナルの両方にとって、すばらしい開発プラットホームだ”、とMacchinaは言っているけど、上で述べたように、何かを大きく変えるためには、事前に十分な知識が必要だ。なお、ハードウェアもソフトウェアもオープンソースで提供されている。

このデバイスは総合的なプラットホームとして設計されており、いろんなペリフェラルに接続できる。ブレークアウト基板を使ってBluetoothやWi-Fi、Ethernet、セルネットワークなどにも対応できる。

車の周辺装置を完全にカスタマイズできるという点では、これはとってもエキサイティングなプロジェクトだ。お値段もそんなに高くはない。Kickstarterではすでに、目標額25000ドルの5倍近く集まっている。だから、きっとうまくいくだろう。Kickstarterのハードウェアプロジェクトは当たり外れがあるけど、でもこれは気になるプロジェクトだよね。

〔訳注: 日本の道交法等では問題になる可能性もありえます。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Miraiボットネットの作者は裏世界に魅せられた(本業は)DDoS保護デベロッパーだった

ddos

数千という大量の、セキュリティの貧弱なIoTデバイスを襲い、彼らにDoS攻撃対策を迫ったボットネットMiraiが、善玉よりも悪玉であることに魅力を感じた、ある若いデベロッパーの作であることが分かった。

最盛期のMiraiに自分のサイトをやられたセキュリティの研究家Brian Krebsによる、この長くておもしろい調査は、ほとんど無限のように長いパン屑の連なりを辿って、Anna-senpaiとして知られるハッカーを見つけた。この大規模なDDoSのようなサイバー攻撃の、犯人を探り当てるまでの過程に関心のある方は、Krebsの調査をぜひ読むべきだ。

この記事では、そんなひまのない方のために、‘上司のためのまとめメモ’(executive summary)を提供しよう。Anna-senpaiは、本名Paras Jhaが使っている何十もの偽名の一つのようだ。彼はDDoS保護サービスProTrafのファウンダーだが、稼げるMinecraftサーバー市場は競争も激しくて、顧客をほかのホストから切るために、不正な手段に頼った。

miraiconnections

Krebsの調査報告文書の一部、いろんな名前が蜘蛛の巣(web)のように絡み合っている。

ProTrafの社員数名、…おそらく全員が、競合サービスに対するDDoS攻撃を実行したようだ。5分間の攻撃に対して、100bitcoinのボーナスをもらった。彼ら同士のさまざまな会話から、このことが分かる。

関連記事

The Mirai botnet’s internet takedown opens up a new market for attackers and defenders
Hackers release source code for a powerful DDoS app called Mirai
This security camera was infected by malware 98 seconds after it was plugged in

Jhaは、裏世界の仕事をしているハッカーに特有の、自分のクレジット(「俺がやったんだ!」)を主張したいという衝動に、屈したようだ。Jhaや彼の同僚に結びついているさまざまな人物が、多くの攻撃の実行犯、Miraiのコードの作者、そして世界中のサービスプロバイダに対する金銭強要の犯人だった。

ネット上の二人の人物(名前)のコードの書き方がそっくり、とか、特定の人しか知らないはずのデータを攻撃に利用している、などの手がかりをKrebsはつなぎあわせて、犯人に到達した。彼は9月に自分のサイトがやられたことを、彼自身に対する公然たる侮辱、と感じていた。

今後の調査についてKrebsに問い合わせているので、情報が得られ次第この記事をアップデートしよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ロシアによる選挙のハッキングを調べるようオバマ大統領が命令

US President Barack Obama speaks at the White House Frontiers Conference at Carnegie Mellon University in Pittsburg, Pennsylvania, on October 13, 2016. / AFP / JIM WATSON (Photo credit should read JIM WATSON/AFP/Getty Images)

ホワイトハウスの国土安全保障とテロ対策アドバイザーLisa Monacoによるとオバマ大統領は、この前の大統領選挙を誘導し、結果に影響を与えたかもしれないハッカー行為や情報リークを徹底的に調べるよう、政府の諜報部門に命じた。

Monacoはこう言った: “大統領は、CIAや国防総省など諜報活動を行う複数の政府機関を全体的に統括する国家情報長官に、2016年の選挙の過程で何が起きたのかを徹底的に調べるよう、指示した”。

民主党全国大会とHillary Clintonの選挙参謀John Podestaに対するサイバー攻撃により、一連の有害なリークが生じ、選挙期間全体を通じて、Clintonの選挙活動の足を引っ張った。彼女の対立候補Donald Trumpはそのハック説と、それをロシアのせいにすることを、冷笑した。

政府の諜報部局は、攻撃はロシアの工作員たちによるもの、と明言しているが、TrumpはTIME誌の最近号で、“彼らが選挙を妨害したとは思わない。それは笑い話であり、まともな話題ではない。あくまでもお笑いネタだ。私が何かするたびに彼らは、‘おぉ、ロシアの妨害だ’と言う。このワンパターンなロシアネタは、いいかげんにしたらどうだ”、と語っている。

Monacoによると、調査は1月のTrumpの就任式までに完了する。

しかしながら、その調査結果が公開されないこともありえる。最近、上院諜報委員会の8名の民主党議員が、ロシアのハッキングに関する情報をもっと公表しろ、とオバマに迫ったにもかかわらず、だ。

“ソースや犯行方法の公表によって今後の加害者特定努力が損なわれることがないよう、細心の注意が必要である”、とMonacoは説明している。

ロシアのサイバー侵害に関しては、共和党の上院議員たちも調査を要求している。彼らは次期大統領の、ロシア笑い話説と対立することになる。

“できるかぎりの方法を尽くしてロシアを追及したい”、と今週初めにLindsey Graham上院議員(共和党:サウスカロライナ州第三区)がCNNに語っている。“彼らは今日の世界の最大の不安定化要因の一つだ、と私は思う。彼らは、われわれの選挙も妨害したと、私は考えている。その科料(かりょう)を払うべきは、Putin個人だ”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Twitterは個人情報がネットで売られた後、こうしてアカウントを保護した

twitter-140-media

昨日(米国時間6/7)午後、Twitter侵入の噂が流れ始めた。もちろんTwitterで。セキュリティー研究者らは、パスワードを変更し、二要素認証を有効にするようユーザーに警告した。二要素認証とは、信頼できる端末に送られた暗証コードを使ってログインの個人認証を行うものだ。

しかし噂は間違っていた ― 少なくとも部分的に。数百万人分のTwitterハンドルとパスワードが闇サイトで売りに出されたものの、Twitterは侵入被害を受けなかった。データを掲載したLeakedSourceは、ログイン情報はマルウェアを使って収集されたものと推察しており、Twitter自身のセキュリティーチームもこの説を支持している。

「問題のTwitter ユーザー名とパスワードは、他の最近の侵入で得た情報と、あらゆるサイトのパスワードを盗むマルウェアの情報とを組み合わせたものかもしれない」とTwitterの情報セキュリティー責任者、Michael Coatesがこの件に関するブログ記事に書いた。

Twitterは、自社ユーザーのアカウントを保護するために比較的すばやく動いた ― 今日(米国時間6/9)情報が漏洩したユーザー全員に対して強制的にパスワードをリセットした。

Twitterは大量のパスワードをネットでばらまかれたソーシャルメディア会社として最新の被害者だ ― 5月には、Myspaceの個人情報3.6億人分LinkedInの認証情報1億人分が売りに出された。

Wiredのインタビューで、ユーザーのログイン情報を売っているハッカーの一人は、当初は特定個人のアカウントをターゲットにするスパム業者等に直接売り込み、その後公開販売したと話した。その人物はWiredに、LinkedInのデータだけで約2万ドルになったと話した。

Coatesによると、Twitterrは他サイトから盗まれたデータを調ベ、Twitter自身の記録と相互チェックしてどのアカウントが脆弱かを検証し、強制パスワードリセット等の特別な保護対策を実施している。

「犯人は公開されたユーザー名、メールアドレス、パスワードデータ等を探し、自動化システムによってこのログインデータとパスワードをあらゆる有名ウェブサイトでテストしようとした。同じユーザー名とパスワードを複数サイトで使っている人は、アカウントを自動的に乗っ取られた可能性がある」とCoatesは書いている。

Twitterは位置情報、使用端末、ログイン履歴等の不自然な行動を監視することによって、脆弱なユーザーを保護している、とCoatesは言った。

さらにCoatesは、Twitterアカウントのものされているパスワードの一部は正しくないことも指摘した。一部のハッカーは「古い盗難データをまとめたり、複数の侵入データからアカウントを構成して、ウェブサイト Xのログイン情報とパスワードだと称して販売している」と彼は説明した。

Twitterは、二要素認証、強力で他と異なるパスワード、およびパスワードマネージャーを使ってアカウントの安全を保つことを推奨している。

[原文へ]

(翻訳:Nob Takahashi / facebook

ハックされた不倫サイト、Ashley Madisonのビジネスは順調

6907410218_54610ba649_k-1

もし「控え目な出会い」サイト、Ashley Madisonで働く人々を気の毒に思っているなら、その必要はない。彼らはとても元気のようだ。この愛すべきプレスリリースによると、Ashley Madisonの運営会社、Avid Life Mediaには、世界を轟かせたハック事件以来、「何十万もの自分の情報を盗まれたがっている能なし人々が新規登録した」。

同サイトを使っていた有名人に関する会話や物語は山ほど出回っているが…いったい誰に裁く資格があるというのか。彼らは順調にやっている!

同社は最近、CEOが辞任し、「双方合意」の上であったと発表した。

今日の発表以前同社は、「われわれは犯罪者による当社およびメンバーのプライバシーに対する攻撃に鋭意対応している」と言っていた。どうやら、いかに会社がすばらしいかを報告するために一息ついたようだ(もう一度ハックして欲しいというサインではもちろんない)。

Ashley Madisonに崩壊が迫っているという最近の報道は、著しく誇張されている。当社はハッカー犯罪者による個人データ盗難に対応しながら日常業務を継続している。当社および顧客が攻撃を受けたにもかかわらず、われわれは成長している。先週だけで、数十万人の新規ユーザーがAshley Madisonプラットフォームに登録した ― うち8万7596人は女性だった。

その通り。サイトには「数十万人」の新規ユーザーが登録しただけでなく、その中には女性もいる。偽女性ではないので念のため。同社は、先週「280万通以上のメッセージを」女性が発信したと言っている。

結構なことだ。今回のハックはサイトにとって最高の出来事だったわけだ。幸い、これで本誌は彼らの無料プロモーションのために記事を書く必要がなくなった。実際私は、あの「シーッ」ホームページを2度と見たくないと真剣に思っている。

Screen Shot 2015-08-31 at 2.28.21 PM

お元気でさようなら、Ashley Madison。

[原文へ]

(翻訳:Nob Takahashi / facebook

コンピュータを乗っ取る悪魔のUSBを作ったSamyがコンビネーション錠を数秒で開くロボットを開発

2015-05-15-samycombolock

文房具店で数ドルで変えるようなコンビネーションロックは難攻不落のセキュリティー手段というのにはほど遠い。しかしそれにしてもこれは驚きだ。このツールを作ったのは、その昔MySpaceに壊滅的打撃を与えたSamyウィルスの作者で、60秒でコンピュータを完全に乗っ取る悪魔のUSBネックレスその他の危ないガジェットを多数開発しているSamy Kamkarだ。

Samyは最近、コンビネーション・ロックを最大8回の試行で解錠する方法を編み出したが、このロボット解錠ツールはその応用だという。ロボットがロックを自動的に解錠するようすはビデオの27秒あたり。その後、メカの詳しい説明が続く。

〔日本版〕こちらは作動原理。このタイプの安価なコンボ・ロックがわずか8回の試行で開く理由を後カバーを切り取って解説。たいへん巧妙なメカニカル・ハッキングだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

ソニーへのサイバーアタックにつき、FBIの名指しをうけた北朝鮮は一切の関与を否定

TechCrunchでも「ザ・インタビュー」絡みの話題をいろいろと取り上げている。FBIは犯行の背後には北朝鮮がいると主張しているが、北朝鮮側は一切の関与を否定しているようだ。BBCの記事によれば北朝鮮外務省は、FBIの決めつけは「重大な結末」を招く可能性があるとし、共同調査を提案してもいるようだ。

当初は、実際のところは他国からの攻撃であり、北朝鮮からのものに見せかけたものなのではないかという疑いももたれていた。しかし現在ではセキュリティ専門家の多くが、ソニーに対するサイバーアタックやその後の情報流出の背後には北朝鮮がいたものだと考えている。セキュリティの専門家であるBrian Krebsは、「Guardians of Peace」を名乗る集団からの攻撃の多くは北朝鮮からのものであり、また在日施設からのものも見られると述べている。

ソニーに対するサイバーアタック(最新技術を用いたというわけでもないらしい)は当初、いち映画会社の問題であったわけだが、それがいまや国家間の騒動へと発展したわけだ。北朝鮮は自らの関与を全く否定している。現時点ではわからないことも多く、事実が明らかになるのは(明らかにされない場合もあり得るだろう)しばらく後のこととなるだろう。アメリカと北朝鮮の関係を考えれば、北朝鮮の提案している共同調査などというのはあり得ない話だろう。もちろんデニス・ロッドマンが動き始めれば、話はまた別なのかもしれない。

原文へ

(翻訳:Maeda, H


Pinterestの複数のアカウントがハックされてお尻の写真だらけに

Pinterestにログインしたら、お友だちが突然、下の図のように、痩身プログラムの広告やお尻の写真にはまってしまっていた。そんなときは、これらのピン(投稿)たちをクリックしてはいけない。

1時間前ぐらいから複数のアカウントがハックされ、スパムで埋め尽くされた。本誌の副編集長のアカウントもだ*。今、Pinterestにこの件でコメントを求めている。〔*: 今は、アカウント本人がスパムを掃除してしまったみたい。〕

Pinterestの人気が上がるにつれて、そのアカウントにいたずらをする悪いやつも増えている。最近Better Business Bureauが発行した警告は、いつもと違うな、変だな、と感じる友だちのピンを見たら、クリックしないように、と言っている。

ハッカーがアカウントにアクセスする方法はいろいろあり、セキュリティホールのあるサードパーティのアプリケーションを利用したり、ほかのサイトの“Pin This”ウィジェットに悪質なコードを潜ませるなどが典型的、とBBBは言っている。

あなたのアカウントを、求めてもいないお尻などから守るためには、怪しいピンを報告すること。サードパーティのアプリケーションに用心すること。コンテンツをリピンする前に行き先のリンクをチェックすることだ。

[副編集長の被害状況]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


大手量販店のTargetで史上最大級のハッキング被害―4000万人分のクレジットカード情報がまるごと流出

今日、アメリカ最大のチェーン店の一つ、Targetは「POSシステムに記録された約4000万人分のクレジットカードおよびデビットカードの情報が11月27日から12月15日の間に侵入者によって盗まれた」と発表した。

Targetの発表によれば、同社は不法アクセスに気づくと同時に捜査当局と金融機関に通報し、「適切な対処の準備を整えている」という。また外部の専門家に依頼して攻撃相手、侵入の範囲を調査しているということだ。

顧客の氏名、カード番号、有効期限、3桁のCVVセキュリティー・コードのすべてが盗まれた。被害に遭ったのはTargetの店舗でショッピングをした顧客に限られる。

Targetの反応は非常に遅かった。12月12日にBrian Krebsが漏洩の噂を最初に報じ、Krebsは「顧客のトラックデータのすべてが漏洩したらしい」と書いている。トラックデータというのはクレジットカードの裏面の磁気ストライプに記録されている情報だ。

Targetの広報担当、Katie Boylanは「当社はできるかぎりの資源を対策に注いでおり、捜査当局およびトップクラスの情報犯罪対策企業と共同で事態の解明に取り組んでいる。[そのため] 現在これ以上のコメントはできない」と述べた。

ハッキング被害そのものは珍しいものではないが、これほどの規模の信用情報流出となると非常に稀だ。2009年に支払サービスのプロバイダーが1億3000万人分のカード番号を流出させたことがあった。しかし想定される実害の程度を考えると今回のTargetの事件はは間違いなく史上最大級の漏洩だ。

磁気ストライプの全記録データの盗難が最悪なのは、これによって本物とまったく同一の偽造カードが作成できるからだ。カード番号、名義、有効期限、セキュリティー・コードがあればオンラインで不正注文がいくらでもできるのは言うまでもない。「クリスマスを控えたこの時期、最悪のタイミングで漏洩が起きた」とSophosのセキュリティー調査部門の責任者、James Lyneは語った。

Targetは顧客に対して、頻繁に利用状況をチェックするなどカードの不正使用に対して警戒するよう呼びかけている。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


ハッカー集団アノニマスのハクティビスト、ジェレミー・ハモンドに最大10年の禁固刑

ハッカー集団Anonymousのハクティビスト(政治的ハッカー)、Jeremy Hammondは、セキュリティー会社、Stratforのメール数百万通をリークした罪で、最大10年の禁固刑に処せられた。Hammondはこの厳しい裁定を、見せしめ目的の「復讐的で悪意ある行動」だと主張している。

2012年、数百万通のメールがStrategic ForecastingからWikileaksに渡った。そこには、複数の政府高官、利益目的の軍事請負企業、および諜報機関らの秘密の関係が多数暴露されていた。さらには、チェコ共和国による対ロシア防衛のためのF-16ジェット戦闘機購入の意志や、イスラエルのベンヤミン・ネタニヤフ首相による、オバマ大統領に関する疑念を含め、外交政策戦略についても書かれていた(注:上記のF-16関連記事は音声付ビデオが自動再生される)。

同裁定は、ハッキング犯罪の刑罰を定めるコンピューター不正行為防止法の改訂要求に火をつけた。去る1月、Zoe Lofgren下院議員は、ハッカー犯罪に対する厳罰を受けた後自殺したAaron Swartzに因み「アーロン法」と呼ばれる改訂法案を提出した

27歳のHammondは、FBIの囮捜査によって、自身の処罰後当局に協力していた友人ハッカー、Sabuを通じて間接的に罠にかけられたと主張している。

「Stratforをハッキングしたことで私を罪に問う一方で、私はFBIの情報提供者から外国人ターゲットを狙うよう助言されていたのだから何とも奇妙なことだ。彼らはウェブサイトのセキュリティーを保護することをどこまで真剣に考えているのだろうか」とHammondはThe Guardianに語った。

コンピューター不正行為防止法の改訂に関していくつかの要望があるが、議会が医療制度と移民問題を解決できない今、われわれは待つしかなさそうだ。

[写真提供:Jim Newberry

[原文へ]

(翻訳:Nob Takahashi)


「シリア電子軍」が今度はオバマ大統領のTwitterのURL短縮アプリをハック―急遽Google2段階認証採用へ

「オバマ大統領のTwitterのアカウント自体は乗っ取られていない。乗っ取られたのはツイート中の一部のリンクだけだ」とオバマ大統領の支援政治キャンペーン組織、Organizngfor Action(OFA)の幹部が認めた

OFAも他の大きな組織と同様、Twiterの提供するものではなく独自のURL短縮アプリを使っていた(ユーザーのモニタがしやすいため)。このリンク短縮アプリがハックされたものとみられる。 Quartzの記事によれば、OFAはこの攻撃の後、急遽Googleの2段階認証を導入したという。

上のスクリーンショットに示した乗っ取られたリンクは修正されている。

SEA(シリア電子軍)がオバマ大統領を狙って攻撃を仕掛けたのはこれが最初ではない。この春、SEAはAP通信のTwitterアカウントをハックして、「ホワイトハウスで爆弾が爆発した」というデマを流し、株式市場を一瞬ではあるが混乱に陥れた。

今日(米国時間10/28)の攻撃は巧みだった。しかし、なぜOFAがGoogleの2段階認証のような基本的なセキュリティー策を当初から取っていなかったのかという疑問は残る。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


NSAのX-Keyscoreプロジェクトはインターネット上の誰のトラフィックでも収集できる

最新のリーク情報によると、NSAにはX-Keyscoreと呼ばれるプロジェクトがあり、わずかなキー操作でユーザがインターネット上で行うことのすべてが分かる。チャットの内容も、メールも、Webの閲覧先も。

そのシステムは、ユーザを特定するための情報としてメールアドレスを利用する。NSAが集めたネット上のトラフィックやメタデータのデータベースは、メールアドレスのユーザ名やドメインで検索される。

Snowdenは6月10日のGuardian紙に、“その人の個人的なメールアドレスが分かれば、誰でも、あなたでもあなたの会社の経理の人でも、連邦裁判所の判事でも、それに大統領でさえも、ネット上のトラフィックを盗聴できる”、と語っている。それは、このX-Keyscoreのことだったのだ。

そのシステムはNSAのアナリストたちが無許可で自由に利用できる*。2010年に作られた教育訓練マニュアルによると、システムに特定個人のデータをリクエストできるのは、アナリストだけである。そしてそのシステムは、起点または終点が合衆国であるトラフィックを、各種のキーワードで検索する。Facebookのコメントをはじめ、ソーシャルメディアのデータも検索できる。〔*: NSAは否定。〕

データは恒久保存されない。一日に何十億レコードものデータを集めるから、データベースにはほんの数日分しか保存できない。NSAによると、その検索によって特定の人びとのあいだの、インターネットや電話による通信を見つけて拾い上げたり、ブログ記事やメールやそのほかの共有コンテンツ中に特定の言葉や名前を見つけることができる。その結果は完全に監査されるが、海外のターゲットに限定されている。ただし、そういった諜報情報の中にアメリカ国籍の者が紛れ込むこともある。

NSAはGuardian紙の取材に対して、“XKeyscoreはNSAの合法的な海外諜報システムの一部として利用されている。NSAが集めるデータにアナリストが無許可で自由にアクセスできるという申し立ては、まったく真実ではない”。

出典: The Guardian

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


企業がTwitterで恥をかかないために

数週間前、AP通信のTwitterアカウントがにハッキングに遭い株価を大きく下げた時、私はショックを受けた。APという、頭のいい人たちを擁し新しいメディアへの対応にも長い歴史を持つニュース組織が、フィッシングによってハックされるという事実を私は受け入れられなかった。それはまるでバンク・オブ・アメリカが幼稚なクラッカーにハックされるようなものだ。

悲しいことに、それは繰り返し起きた。なぜか? 有難いことに、Onionの人たちが先見の明をもって、”Syrian Electronic Army” [SEA、シリア電子軍]がAPのTwitterストリームを「ハックした」時、正確に何が起きていたのかを説明してくれた。

企業のソーシャルメディアのアカウントを管理している人は必読だ。要点は以下の通り。

担当者たちには、あらゆるログインを促すリンクは送信者にかかわらず疑ってかかるよう教育を徹底すること。Twitterアカウントの登録メールアドレスは、会社の通常メールとは隔離されたシステムに置くこと。こうすることで会社のTwitterアカウントは事実上フィッシングに耐性を持つ(ただし全アカウントに強力なパスワードを設定することが前提)。あらゆるTwitter活動は、HootSuiteなどのアプリを経由して行うべきである。Twitterパスワードによるアカウントへのアクセスを制限することで、復旧に長時間を要するハッカーによる全面支配を防げる。

可能であれば、担当者全員に会社のメールシステム以外で連絡を取る方法を用意すること。Guardinのハック事件で、SEAは複数の内部メールのスクリーンショットを掲示していたが、恐らく見過ごされていたメールアドレスに侵入したものと思われる。

私は3番目の助言が最も重要だと思う。Twitterのパスワードは定期的に変更し、さらに重要なのは、決して、絶対に、ブラウザー経由でTwitterパスワードを変更するよう促すリンクをクリックしないことだ。Twitterパスワードを変更する必要のある時は、直接Twitter.comで行うか、あるいはTwitterにメールしよう。もしあなたの組織がAPかACLU(アメリカ自由人権協会)かBoston Pony And Terrier Lovers Of America Clubなら、きっと協力してくれるはずだ。

Twitter自身も、2段階認証か少なくとも誰かがパスワードを変更したらメールを送るべきだ。これは義務だ。いまやTwitterは企業コミュニケーションのためのツールであり、どこかのウェブフォーラム程度のセキュリティーでは論外だ。会社のTwitter責任者も企業ドメインから完全に独立したメールアドレスを持ち、その人物はパスワード変更ページのURLをチェックする手順を決め、すべてが適正である場合に限りパスワードを変更すべきだ。幼稚なクラッカーの目を覚ますことになるかもしれないが、殆どの「ハッカー」は、自分の技術手腕ではなく標的の愚行に頼っている。

愚かなまねはしないように。

[原文へ]

(翻訳:Nob Takahashi)