他のハッカーとその侵入先を狙いツールにトロイの木馬を忍ばせるハッカー

最近発見されたマルウェアは、ハッカーが別のハッカーを攻撃するのに使われ、ターゲットがよく使っているハッキングツールに感染して、それらを改造しているらしい。

CybereasonのAmit Serper(アミット・サーパー)氏の発見によると、ここ数年におよぶマルウェアの攻撃において、犯人は既存のハッキングツールを乗っ取り、強力なリモートアクセス用トロイの木馬を注入しているという。それらのツールを開くと、ハッカーはターゲットとコンピューターのどこにでも自由にアクセスできるようになる。被害に遭うハッキングツールの一部は、データベースからデータを抜き取ってクラックしたり、プロダクトキー生成ツールで、試用段階のソフトウェアのフルバージョンをアンロックしたりする。

サーパー氏によると、犯人たちはマルウェアで改造したツールをハッキングのフォーラムにポストし、他のハッカーを釣ろうとしているという。

しかしサーパー氏がTechCrunchに語ったところによると、それはハッカーが他のハッカーをターゲットするという単純な話ではない。彼らが明らかに犯意を抱いて改造したツールは、ハッカーのシステムにだけバックドアを開いているのではなく、そのハッカーがすでに侵入したすべてのシステムにも侵入している。

「ハッカーが、あなたやあなたの会社をターゲットにしてこれらのトロイの木馬使っているのであれば、そのハッカーをハックしているハッカーがあなたの資産にも今後アクセスできることを意味している」とサーパー氏はいう。

それには、レッドチームへの参加を狙っている悪意あるセキュリティ研究者も含まれる。

サーパー氏の所見では、これら未知の犯人たちは、ハッキングツールに強力なトロイの木馬であるnjRatを注入して改造する。すると、ターゲットのデスクトップやファイル、パスワード、ウェブカメラ、マイクロフォンにまでアクセスできるようになる。そのトロイの木馬は少なくとも2013年までさかのぼることができ、当時は中東のターゲットに対して頻繁に用いられた。njRatはフィッシングを行うメールで拡散することが多く、フラッシュドライブに感染する。しかし最近では、ハッカーたちはマルウェアを休眠サイトや安全でないサイトに潜ませて、発見を逃れようとしている。2017年にはハッカーたちが同様の作戦を使って、いわゆるイスラム国のプロパガンダ部隊のためにウェブサイトでマルウェアをホストしていた。

サーパー氏は、同じウェブサイトハッキングテクニックを使って最近もnjRatをホストしていることを発見している。

彼の発見によると、犯人たちがそうやって乗っ取ったウェブサイトはいくつかあり、いずれもオーナーにはばれていない。そこでは何百ものnjRatマルウェアのサンプルがホストされ、犯人たちが使っているインフラがそのマルウェアをコマンドしコントロールしている。サーパー氏によると、ハッキングツールへのnjRatトロイの木馬の注入は毎日のように起こっており、自動化されていると思われる。つまりこの犯行は、ほとんど人間が介入せずに行われているようだ。

なぜこんなことが行われているのかという理由や、背後の人物や組織についてはわかっていない。

関連記事: Hackers are stealing years of call records from hacked cell networks…ハッカーたちが数年分の通話記録を盗んでセルネットワークをハック(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

アップルがClearview AIのiPhoneアプリをルール違反でブロック

論争の渦中にある顔認識技術のスタートアップClearview AIが作ったiPhoneアプリをApple(アップル)がブロックし、そのアプリの利用を実質的に禁じた。

AppleはTechCrunchに、そのスタートアップがAppleのディベロッパーエンタープライズプログラムの規約に違反していたことを確認した。

そのアプリは同社(Clearview AI)が、法執行機関の職員だけに提供していると主張しているものだが、iPhoneのユーザーなら誰でも、iPhoneのカメラや画像から写真をアップロードして、同社の30億の写真を収めたデータベースを検索できる。しかしBuzzFeed Newsの記事によると、同社が法執行機関のユーザーだけに提供していると主張するそのアプリのユーザーには、、Macy’sやWalmart、Wells Fargoなど、多くの民間企業が含まれている。

Clearview AIは1月に、The New York Timesの記事で一般に知られるようになって以来、メディアと法廷の嵐に巻き込まれた。同社はソーシャルメディアのサイトから写真をかき集めていたので、大手テクノロジー企業の怒りを買った。そしてハッカーの注目されるようになり、米国時間2月26日に同社は、データ侵害により顧客リストを盗まれたと認めた。

Amazon S3の公開ページにそのiPhoneアプリがある(画像提供:TechCrunch)

TechCrunchは、Clearview AIのiPhoneアプリがAmazon S3の公開ストレージ上にあることを米国時間2月27日に発見した。ただしそのページには「一般人と共有してはならない」という警告があった。

さらにそのページには「このページはiPhoneで開いて」インストールし、同社のエンタープライズ証明を許可した上でアプリの実行を許されると書いてある。

しかしAppleのポリシーでは、アプリのユーザーがClearview AIという組織すなわちエンタープライズの外にいる場合、それは許されない。

Clearview AIはiPhone上でエンタープライズ証明を使っている(画像提供:TechCrunch)

Appleが発行するエンタープライズ証明は、企業が社内でのみ使うiPhoneやiPadアプリをAppleが認可した証明になる。たとえばアプリをアプリストアで公開する前に、社内でテスト的に使う場合によく使われる証明だ。Appleはエンタープライズ証明の使用について厳しい規則を定めており、一般ユーザーがそれを使うことはできない。今回のように一般ユーザーにも使わせれば、それは乱用であり誤用だ。

2019年、TechCrunchはその独占記事で、FacebookGoogleの両社が、消費者向けアプリに彼らのエンタープライズ証明を使って、Appleのアプリストアをバイパスしていることを報じた。Appleはこれらテクノロジー大手のエンタープライズ証明を取り消して、違反アプリを無効にした。そしてケータリングやランチメニューアプリなど、その証明に依存しているそのほかのアプリも無効にされた。

Clearview AIのアプリは、リリース前やテストバージョンでよく使われるように、「ベータ」のラベルが付いていた。しかしそんなラベルは、アプリをClearview AIの顧客が使っていないことの証拠にはならない。

Clearview AIのCEO Hoan Ton-That(ホアン・トンタート)氏はTechCrunchに対して「現在、利用規約のコンプライアンスに関してAppleと折衝中だ」と語った。

そのアプリは、ネットワークトラフィックツールと逆アセンブラでざっと分析してみると、米国時間2月27日にGizmodoが見つけたClearview AIのAndroidアプリの動作と同じようだ。

Androidアプリと同じく、使用するにはClearview AIが認めたユーザー名とパスワードが必要だ。

関連記事: 米移民局や検察局などが採用中の顔認識技術が一般企業にも売られていた

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

FacebookのTwitterアカウントが乗っ取られてハッカー集団が犯行声明

金曜日になって、書くべきものはすべて書いたという気分になれたら、レポーターという仕事も快適だ。月曜日のための準備を始めてもよいし、仕事のリストを整理するのもよい。やっとメールを読める時間があるかもしれない。

しかし、今日のような金曜日(米国時間2月7日)は人目を引くようなことが起きてしまい、コンテンツの神様が犠牲者を要求する。では、その犠牲者になってやろうじゃないか。

FacebookのTwitterやそのメッセンジャーは、ときどきOurMineと名乗るハッカー集団に攻撃される。この1月にスポーツ関連のTwitterアカウントを大量にハックした連中だから、おなじみと言えるかもしれない。

TechCrunchのバックナンバーを漁ってみると、OurMineという名前は意外に多い。たとえば2016年には、OurMineはNiantic(ナイアンティック)のCEOのTwitterアカウントをハックした。その年の終わりごろには、OurMindは複数のメディア関連のTwitterアカウントもハックしている。なんと、OurMineはTechCrunchをハックしたこともある。今、それを思い出した。

TechCrunchはFacebookに、同社Twitterへの侵害についてコメントを求めた。中身のあるコメントが得られるとは思わないが、何かあったらこの記事をアップデートしよう。Twitterは、このハックに関してごく一般的なコメントをくれた。この事変に気づいてから以降、「侵害されたアカウントをロックし、Facebookのパートナーと緊密に協力して復旧に努めている」そうだ。

では、何がポストされていたのか? TechCrunchのセキュリティの鉄人Zack Whittaker(ザック・ウィテカー)が、スクリーンショットを残していた。

上のスクリーンショットを見ると、ツイートはKhorosからポストされたようだ。Khorosは、企業がソーシャルメディアを使って顧客やユーザーと対話するためのソフトを販売している。だからおそらくKhorosも、このヒマ人たちにやられたのだ。投稿はすぐに削除された。Crunchbaseによると、Khorosはオースチンにあるが、資金調達の履歴は載ってない。

というわけで、すてきな金曜日でした。

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

HPEがクラウドネイティブのセキュリティを追究するScytaleを買収

HPEが、クラウドネイティブのセキュリティサービスScytaleを買収した。そのサービスは、オープンソースのセキュリティプロトコルSecure Production Identity Framework for Everyone(SPIFFE)をベースにしている。両社は買収の価額を公表していない。

Scytaleは、複数のアプリケーションにまたがってアイデンティティ、すなわち認証とアクセスを管理する。最近では人間が介入しなくても勝手に複数のアプリケーション間で行われるトランザクションが多くなっているので、このようなサービスはますます重要だ。特に重要なのが、情報が他のアプリケーションと共有されてもいいと、当のアプリケーションが認知・許可していることだ。

これはHPEにとっても、今後広げたい分野だ。HPEのフェローでクラウドレスコンピューティングのゼネラルマネージャーであるDave Husak(デイブ・フサック)氏が、買収を発表するブログ記事に「HPEが次の章に進み、弊社独自のエッジツークラウドのPaaSをお届けしていくためには、セキュリティが一貫して重要な役割を担い続ける。ハイブリッドでマルチクラウドな環境で操業している企業ならどこでも、データとアプリケーションのアイデンティティをリアルタイムで動的に識別し認証する、完全に安全でゼロトラストなシステムが必要だ」と書いている。

彼は、HPEがSPIFFEとSPIRE(SPIFFE Runtime Environment)プロジェクトの支持者であり続けることも、書き忘れていない。どちらも、Cloud Native Computing Foundationの傘下にあるシステムだ。

Scytaleの共同創業者Sunil James(サニル・ジェームス)氏も別のブログ記事で「この買収はScytaleのルーツがオープンソースであることをHPEが尊敬していることが鍵だ」と語る。同氏によると「ScytaleのDNAはセキュリティと分散システムとオープンソースだ。HPEにおいてもScytaleはSPIFFEのサポートを継続する。弊社の絶えず成長している、発言力の強いコミュニティが、われわれをリードするだろう。今後も、この透明でベンダーニュートラルなプロジェクトのメンテナンスにしっかりと取り組んでいきたい。そのことは、動的でオープンで安全なエッジツークラウドのプラットホームを提供していくHPEにとっても、同じく重要だ」とのこと。

PitchBookのデータによると、Scytaleは2017年に創業し、これまでに800万ドル(約8億7000万円)を調達している。その中では、昨年3月のBessemerがリードしたシリーズAの500万ドルが大きい。なお、この買収は米国時間2月3日に完了した。

関連記事:Scytale grabs $5M Series A for application-to-application identity management(複数のアプリケーションにまたがってIDを管理できるScytale、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

マイクロソフトはXbox Liveのセキュリティバグ発見者に賞金200万円超を提供

Xbox Liveにすごいセキュリティホールを見つけた人はいるだろうか?Microsoft(マイクロソフト)が、それを知りたがっている。

同社は米国時間1月30日、Xbox Liveのネットワークとサービスに特化したバグ報告褒賞金制度(Bug Bounty)を発表した。そのバグが最高に深刻で、レポートが最高に良く書けていたら最高額の2万ドル(約217万円)をもらえる。

多くのバグ褒賞金制度がそうだが、同社が求めているのも具体的で深刻なセキュリティの欠陥だ。同社のサーバー上で権限のないコードを実行できてしまう方法を見つけたりしたら当然褒賞金が出る。バトルロワイヤルゲームのApexで特定のレジェンドとしてプレイすると、いつもLiveの接続を切られるというのはマイクロソフトが求めているものではない。

また、今回同社が褒賞金の対象としない脆弱性のタイプもある。それらは、DDoS攻撃、同社社員やXboxの顧客を詐称するフィッシング、あるいはサーバーにサーバー名や内部IPなどの基本的な情報を言わせるものなどだ。

もちろん、マイクロソフトバグ報告褒賞金はこれが初めてでなない。同様の褒賞制度が、Microsoft Edgeブラウザーや、Windows 10の「Windows Insider」ビルド、Office 365などいろいろある。

褒賞金の額が最大なのは、同社のクラウドコンピューティングサービスAzureだ。Azure Security Labのアカウントに管理者アクセスするなど超特別のバグでは30万ドル(約3265万円)にもなる。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

アマゾンが最新の透明性レポートを黙って発表

絶好調の決算報告でご機嫌のAmazon(アマゾン)が、いつものように無言で最新の透明性レポートを発表し、ユーザーデータに関する政府の要求がわずかに減ったことを明かしている。

同じ時期に透明性レポートは、FacebookやGoogle、Microsoft、Twitterなどのテクノロジー大手にも届き、そしてそのほとんどすべてが政府からの要求の増加を示していた。 減っていたのは、Appleだけだった。

アマゾンの場合は、1841通の召喚状と、440通の捜索礼状、ユーザーデータを求めるそのほかの裁判所命令114を2019年の後半6か月に受け取った。それらの対象デバイスはEchoやFireなどだ。以上は、前年同期に比べて4%の減少だった。

また、同社のクラウドサービスAmazon Web Servicesも、顧客が保存しているデータへの要求は約10%減少した。アマゾンの消費者サービスとクラウドサービス両方が受け取った国家安全リクエストの数は0から249の間だった。これは司法省の規則により具体的な値でなく値域しか開示できない。

この記事を書いている時点では、アマゾンは法執行要求ページを今度の透明性レポートでアップデートしていない。

年に2回来る透明性レポートは、テクノロジー業界全体の中でアマゾンのものがいちばん軽い。前にTechCrunchdでも報じたように、アマゾンの透明性レポートは長年、意図的に曖昧にされ、業界のトレンドである明晰に反していた。同社はわずか3ページの報告で、それぞれの法的要求にどう応えたかを述べ、その数字は明かしていない。

法執行当局とのなれ合い的関係お粗末なセキュリテと批判を浴びたスマートカメラのRingも、データ要求の数を明かしていない

関連記事:スマート家電メーカーは見聞きした情報を政府に開示するのか?

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

暗号の専門家27人がインドの仲介者責任法改定を考え直すよう警告

世界中のセキュリティと暗号化の専門家が、さまざまな団体に集結し、インド政府に対して、同国の仲介者責任法の改正を思い留まるよう呼びかけている。

1月9日、インドのIT大臣Ravi Shankar Prasad(ラビ・シャンカール・プラサッド)氏に送られた公開書簡で、27人のセキュリティおよび暗号化の専門家が、現在、まとめられている改正法案をそのまま可決すれば、インターネットのセキュリティが弱体化し、強力な暗号化が制限されるとインド政府に警告した

インド政府は、2018年12月末、仲介者責任法の一連の改正法案(PDF)を提出した。もしこれが施行されたなら、中小からFacebookやGoogleといった最大手に至るすべての企業が運営する無数のサービスは、大幅な変更が求められることになる。

元の改正案は、仲介者(インド政府の定義では、2人以上のユーザーがコミュニケーションを取り合うための便宜を提供し、インドには500万人以上のユーザーがいるサービス)は、ユーザーのコンテンツを積極的に監視し選別して、疑わしいコンテンツの最初の発信者を特定可能にすることで、ユーザーの行動に対する全責任を負わずに済むようになるという内容だ。

「仲介者の保護に、責任からそのプラットフォームやシステムで交わされるコミュニケーションを監視する能力までを結びつけるこの改正案は、終端間の暗号化を制限し、他者による既存のセキュリティ対策の弱体化を助長してしまう」と専門家たちは、インターネット協会が取りまとめた書簡に記している。

終端間の暗号化に関しては、サービス提供者が解読したユーザーのコンテンツにアクセスする手段が提供されていないと彼らは言う。これに加わった専門家にはGoogle、Twitter、人権擁護団体Access Now、Torプロジェクト、ワールド・ワイド・ウェブ・コンソーシアムで働く個人も含まれている。

「これは、終端間の暗号化を適用するサービスは、改正案で要求されるレベルの監視は行えないということ意味しています。暗号化プロトコルのバックドアを使うか、エスクローに暗号化キーを保管するか、グループメッセンジャーにサイレントユーザーを忍ばせるか、といった方法を使うことになり、システムのセキュリティを弱体化せずに例外的アクセスを可能にする方法はない」と彼らは言い加えている。

巨大ハイテク企業はこれまで、いわゆる「セーフハーバー」法を享受してきた。現在、アメリカの通信品位法やインドの2000年情報技術法の下で適用されている法律では、プラットフォームは、そこでユーザーがやりとりする内容に関しては責任を負わないことになっている。

このところ多くの団体が、この法律の改正に懸念を表明している。今週のはじめには、Mozilla、GitHubCloudflareはインド政府に対して、彼らが作成した仲介者責任法の改正案を透明化するよう要求した。最新の改正草案の内容を知る人間は、インド政府の他には存在しない。1月15日に、インドの最高裁判所の承認を得るために提出される予定だ。

人々が訴える数々の懸念のなかに、「仲介者」そのものの曖昧な定義がある。最後に公表された草案では、「仲介者」の定義は非常に漠然としていた。人気のインスタント・メッセージ・クライアントから、インターネットISP、サイバーカフェ果てはウィキペディアまで、幅広いサービス提供者が含まれてしまう。

ウィキメディア財団の法務顧問Amanda Keton(アマンダ・キートン)氏は、2019年12月末、インターネット上のコミュニケーションの「追跡可能性」を要求しないよう、インド政府に訴えた。それが通ってしまえば、ウィキペディアの協力者たちが自由にプロジェクトに参加できる機会が制限されてしまうと警告している。

あるアメリカの技術系企業の幹部は、1月8日、匿名を条件に、仲介者のガイドラインに関する改正法案によって大きな変更が要求されるとしても、インド政府はここで立ち止まって考える時期に来ているとTechCrunchに話した。

「ソーシャルメディア・プラットフォームとインスタント・コミュニケーション・サービスに対して行動を起こせば、現実世界は大きなダメージを受ける。偽情報の拡散によって、私たちは少なくとも30人の命が失われるという損害を被った。もし明日、他人に見られたくない写真やメッセージがインターネット上で漏洩するとしても、現在のサービス提供者には手も足も出ません。私たちに必要なのは、今のインターネットの課題に対処する法律です」と彼は語っていた。

画像クレジット:PRAKASH SINGH / AFP / Getty Images

[原文へ]
(翻訳:金井哲夫)

アマゾンが顧客のメールアドレスなどを漏らした社員を解雇

Amazon(アマゾン)は、顧客のメールアドレスと電話番号をサードパーティと共有した数名の社員を「弊社のポリシーに違反した」として解雇した。

2020年1月10日に顧客に送られたメールによると、社員はデータを共有したため解雇され、同社は司法による彼らの訴追に協力しているという。

アマゾンはこの事件を、TechCrunch宛のメールで確認した。スポークスパーソンによると、数名の社員が解雇されたという。しかしながら、該当社員らに関する情報は何も得られず、また、情報がいつ誰と共有され、何名の顧客が被害に遭ったのかも不明だ。

顧客に送られたメールには、「お客様のアカウントに関連するその他の情報は共有されていません。これは、お客様が何かをされたことの結果ではありません。また、お客様が、何か対応をする必要もありません」と書かれている。

Amazonの顧客宛のメールには、社員は解雇されたと書かれてある。複数の社員が解雇された、とAmazonは言っている。

これは、初めて起こったことではない。Amazonは2019年に起きた同様のメールアドレス侵害についての明言も、コメントも避けている。

Amazonによると、また別の件で同社は今週、スマートカメラとドアベルの子会社Ringの社員4名を解雇した。Ringによると、解雇した社員らは、顧客のカメラにある映像を視るという不正を犯した。

アップデート: 記事のタイトルにおける社員(employee)を単数形から複数形に変更した。

関連記事: Amazon admits it exposed customer email addresses, but refuses to give details…Amazonが顧客のメールアドレスの露出を認める(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

Cloudflareがブラウザー隔離技術のS2 Systemsを買収

Webサイトのセキュリティと高効率稼働サービスを提供するCloudflare(クラウドフレア)が、元Microsoft(マイクロソフト)の役員たちが作ったブラウザー隔離サービスのS2 Systemsを買収したことを発表した。買収の価額などは、どちらからも公表されていない。

Cloudflareの共同創業者でCEOのMatthew Prince(マシュー・プリンス)氏によると、この買収でS2 Systemsのソフトウェアが同社の新しいプロダクトCloudflare for Teamsの一部になり、インターネット上の脅威から企業を保護する。特にS2 Systemsは、ブラウザーベースのコード攻撃を防止するソリューションを開発した。

プリンス氏によると、同社は以前からこのような技術をCloudflareのプロダクトに搭載することを検討していた。多くの企業と同様にCloudflareも、他社をパートナーとするか、自ら開発するか、買収するかを迷っていた。たまたまプリンス氏がS2 Systemsの創立メンバーに会って技術を試す機会があり、そのスピードと能力に感心した。

両社の相性も良いと思われたためCloudflareは買収を提案した。他にもS2 Systems買収に名乗りを上げている企業が数社あったが、最終的にS2 SystemsはCloudflareを選んだ。彼らはCloudflareのサービスが、世界中のインターネットユーザーの役に立つと感じていた。

プリンス氏は「彼らが来てくれたことはとてもうれしい。彼らの優れたブラウザー隔離技術と私たちのユビキタスなネットワークが一緒になれば、企業の社員保護のやり方が完全に一新され、長期的にはインターネットの閲覧の仕方が変わる。ローエンドのスマートフォンでもiPhoneの最新機種と同じようなインターネット体験ができるようになるだろう」と語る。

プリンス氏の発言は、Cloudflareは世界中の200都市をネットワークして、日々膨大な量の最適化とセキュリティのための処理を行なっているため、ネットワークの末端であるスマートフォンといったデバイスの処理負担が非常に軽くなる、という意味だ。

この買収は、それだけが独立したものではない。買収は同社の新プロダクト、Cloudflare for Teams発表の一環でもあり、その中でS2 Systemsによるブラウザー隔離やVPN、アイデンティティ保護などの総合的なセキュリティが提供される。

Cloudflare for TeamsのメインピースはCloudflare AccessとCloudflare Gatewayの2つだ。Cloudflare Accessはゼロトラストのアイデンティティおよびアクセス管理ツールで、全社員が自分のデバイス上でソフトウェアの最新アップデートを使っていることを確認し確実化する。

Cloudflare Gatewayはインターネットの脅威から企業や個人を護り、ここがS2 Systemsの出番でもある。3つのバージョンがあり、プレーンな「Gateway」にはDNSベースのフィルタリングと監査ログがある。「Gateway Pro」はインターネット上のすべてのトラフィックを保護する。そして「Gateway Enterprise」はデータの喪失を防ぎ、さらにS2 Systemsのブラウザー隔離機能がある。

S2 Systemsの買収は2019年12月31日に完了した。同社の社員10名はCloudflareのチームに加わり、ワシントン州カークランドに留まる(Cloudflareのオフィスになる)。買収前のS2 Systemsは、ステルスだった。

関連記事: 有力クラウドサービス「Cloudflare」が株式上場を申請

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

外貨両替大手のTravelexがマルウェアの被害でサービス中断

外貨両替店の大手Travelexが、12月31日にマルウェアの被害に遭い、一部のサービスを停止したことを確認した。ロンドンに本社があり全世界に1500店あまりを持つ同社によると、同社は「データを保護するための予防的措置として」システムをオフラインにし、マルウェアの拡散を防いだ。

同社の英国のサイトでは現在、オフラインで「重大事故」(Server Error)と書かれたページが表示されるだけだ。同社の企業サイトは「システムのアップグレードをしている間オフラインにする」と公表していた。Travelexからのツイートは、「ウェブサイトでもアプリでも通常の取引業務ができない」と説明している。一部の店舗では手作業で顧客の要求に応じている。一部のサービスをTravelexに依存している企業、例えばTesco Bankもこの間、問題を抱えている

Travelexの英国のウェブサイトは現在オフラインだ(スクリーンショット提供:TechCrunch)

同社によると、「これまでのところ」顧客のデータは侵害されていない、というが、その証拠などは示されていない。同社は「現在捜査中なのでマルウェアの種類などをお教えできない」と説明する。昨年は、著名企業がランサムウェアにやられる事故が増加した。それは、被害者のデータを暗号化して利用不能にし、身代金を払えば元に戻してやると迫るマルウェアだ。アルミニウム製造の大手Norsk Hydroと英国のPolice Federation(警察組合)が3月に、Arizona BeveragesAebi Schmidtが4月に、宅配のPitney Bowesは10月に被害に遭った。

市や州など一部の地方自治体も、ランサムウェアにやられた。そのため先月ニューオーリンズは非常事態宣言を公布した。Travelexのスポークスパーソンから、声明以外のコメントを得られなかった。

画像クレジット:Bloomberg/Getty Images

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

マスターカードがセキュリティ評価のスタートアップ、RiskReconを買収

画像クレジット: Roberto Machado Noa / Getty Images

米国時間12月23日、マスターカード は公開データを利用して組織のセキュリティに関する評価を行う、ソルトレイクシティのスタートアップ、RiskRecon(リスクリコン)の買収を発表した。両社は買収価格を公表していない。

マスターカードのような金融サービス企業にとって、顧客のサイバーセキュリティを対策における支援は、徐々に重要性を増している。さらにRiskReconは、顧客が関心を寄せる企業のリスクプロファイルの客観的スコアを提供する。

「AIとデータドリブンの高度な技術の強力な組み合わせによって、RiskReconは既存の戦略と技術を補完してサイバー空間を保護するエキサイティングな機会を提供します」と声明の中で述べているのは、マスターカードのサイバー&インテリジェンス担当役員のAjay Bhalla(アジェイ・バラ)氏だ。

RiskReconのCEOであるKelly White(ケリー・ホワイト)氏は、300万ドルのシードラウンド直後に行われた2016年のインタビューの中で、TechCrunchに対して、同社はインターネット上で容易に利用可能な情報を使い、それらを組み合わせることで企業の全体的なセキュリティリスクを計測するのだと語っている:

RiskReconは、ビジネスの一部をウェブ上で行っている企業に関する情報をウェブ上で入手して活用している。「ウェブサーバーやDNSサーバーを立ち上げた場合、それらはインターネット上でサービスを提供しているので、特に発見しやすい。私たちのシステムは、セキュリテ性能を判断できるように、対象の上で実行されているソフトウェアとバージョン情報を明らかにします」

ホワイト氏は、マスターカードと一緒になることは、より大きな組織の一員になれるということだと考えている。「チームの一員になることで、ソリューションを拡張し、新しい業界や地域の企業が、サイバーセキュリティリスクをより適切に管理するための手段を高じる機会を得ることができます」と今回の声明で述べている。

Crunchbaseのデータによれば、RiskReconは2015年に創業され、これまでに4000万ドル(約44億円)を調達している。投資家にはAccel、Dell Technologies Capital、General Catalyst、そしてF-Prime Capitalが名前を連ねている。

なお同社はこの分野における唯一の企業ではない、2013年に創業し、Crunchbaseのデータでは1億1200万ドル(約123億円)以上を調達している、ニューヨークに本社を置くSecurityScoreCardと競合していることには、注意が必要だ。同社における最後の調達は、6月に行われた5000万ドル(約55億円)だ。

本日の取引は、規制当局の標準的な承認が必要となるものとなるが、手続きは2020年の第1四半期に完了する予定だ。

Spotifyは謎のUSBメモリを報道陣に送るべきではなかった

先週Spotifyは、報道関係者に大量のUSBメモリを送りつけ、そこには 「Play me.(再生してください)」と書かれていた。

記者がUSBメモリを受け取るのは珍しいことではない。テック系カンファレンスなどでビデオなど配布が困難な大きいファイルを配布するために、企業がUSBメモリを配ることはよくある。

しかし、基礎的なセキュリティー訓練(TechCrunchでも行っている)を受けた人なら、十分な注意を払わずに、USBメモリを差し込んではいけないことを知っている。
心配しながらもひるむことなく、われわれは予備のコンピューターで動く使い捨てバージョンのUbuntu Linux(CDから起動)でUSBメモリの内容を安全に検査した。調べた結果そのUSBに問題はなかった。

USBメモリの中にはオーディオファイルが1つだけあり、再生すると 「This is Alex Goldman, and you’ve just been hacked(私はアレックス・ゴールドマン、あなたはたった今ハックされた)」という音声が流れた。

そのUSBは、単なるSpotifyポッドキャストのプロモーションだった。もちろん、そのために送られたものだったためだ。

Spotifyが記者団に送付したUSBメモリ(画像:TechCrunch)

元NSAハッカーでRendition Infosecのファウンダー、Jake Williams(ジェイク・ウィリアムズ)氏は、記者たちにUSBメモリを挿させようとしたことを「驚くべき鈍感」な行為であると指摘した。

USBメモリは本質的に悪質のあるものではないが、発電所核濃縮施設などのインターネット接続のない場所でのハッキングに使われることでも知られている。USBメモリに入れられたマルウェアが標的のパソコンにバックドアをインストールすることがある、とウィリアムズ氏は言う。

「USBメモリ内のファイルが攻撃性のあるコンテンツを含む」場合もあり、開くとパソコン上のバグを悪用する恐れがあると同氏は言った。

Spotifyの広報担当者から返答はなかった。代わりに、本誌の質問をSpotifyと契約している広報会社であるSunshine Sachs(サンシャインサックス)に転送し、同社からは「記者は全員このUSBメモリが送られることを予告するメールを受け取っている」という以上のコメントはなかった。

正体不明のUSBメモリを挿入することは、みんなが想像している以上に大きい問題だ。Googleのセキュリティー研究者、Elie Bursztein(エリー・ブルステイン)氏は自身で行った調査の結果、およそ半数の人々が不明のUSBメモリを自分のパソコンに差し込むことを発見した。

今年、農業機械メーカー最大手のJohn Deere(ディア・アンド・カンパニー)は、配布したプロモーション用USBメモリがパソコンのキーボードをハイジャックしたことで大騒動を起こした。USBメモリが挿入された時に自動的に実行されるコードが仕込まれていて、ブラウザーを起動し自動的に会社のウェブサイトのURLをタイプした。本質的に悪質なものではなかったものの、多くのマルウェアが同様の方法を用いていたことから、同社のやり方は厳しく批判された。

USBメモリが起こす可能性のある脅威を踏まえ、国土安全保障省のサイバーセキュリティー部門であるCISAは先月、USBメモリのセキュリティーに関する指針を改定した。記者は一部の国々の政府の標的になることが頻繁にあり、 標的型サイバーアタックもそのひとつだ。

警告:USBメモリの扱いには十分な注意を怠らないこと。信用できる時以外、決して挿入しないこと。

関連記事:シークレットサービスであってもUSBメモリをやみくもにコンピュータに接続してはいけない

[原文へ]

(翻訳:Nob Takahashi / facebook

企業をDDoS攻撃から守るフランス拠点のEfficientIP、CiscoやVMwareもパートナーに

フランスのEfficientIPはネットワークのセキュリティとオートメーションが専門で、このほどパリのJolt CapitalからシリーズBで1100万ドル(約12億円)を調達した。この投資は主に同社の国際進出のために使われる。

EfficientIPのソフトウェアはDNSの問題を見つけるが、それらはDDoS攻撃の原因になることが多い。DDoS攻撃は、ネットワーク上の攻撃の中でも最大のものだ。同社のプラットホームは、IPのインフラストラクチャの基礎的部分の信頼性を高め、よりアジャイルに、そしてよりセキュアにする。

EfficientIPのCEOであるDavid Williamson(デビッド・ウィリアムソン)氏は「今日得た資金で、グローバルな拡張を加速できる。DDIソリューションの市場機会は成長しており、うちは営業力を強化してその機会に乗じて需要に応えたい。また未来の顧客ニーズを満たすためにはさらなるイノベーションが必要だ。テクノロジー企業の成長を支えてきた強力な実績のあるJolt Capitalの支援を得たことは、今のような成長段階にとって理想的なパートナーシップだ」と語る。

EfficientIPのエコシステム形作っているパートナーシップには最近、CiscoやVMware、ServiceNowが加わった。競合する北米企業としては、評価額7億4000万ドル(約810億円)で1億2000万ドル(約131億円)を調達したInfobloxや、シリーズBラウンドで1680万ドル(約18億3800万円)を調達したBlueCat、シリーズCで7800万ドル(85億3600万円)を調達した新人のNS1などだ。

Jolt CapitalのパートナーであるGuillaume Girard(ギヨーム・ジラール)氏は「EfficientIPにはかねてから目をつけていたが、常に意欲的な成長プランを達成していく能力には感心していた。EfficientIPは我々の投資ターゲットとしても完璧であり、最先端のソリューションを可能にするディープテックの強力な能力と、モチベーションの高いトップレベルのチームが、急速に拡大中の市場で結びついている。Fortune 500社を顧客の軸として市場における存在感を増しているから、EfficientIPは今後も強力に成長していくだろう」とコメントしている。

画像クレジット: Bryce Durbin

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

英国のオーディオストリーミングプラットホームのMixcloudが不正アクセスにより2000万のユーザーアカウントを流出させ、データが闇サイトで売りに出された。闇サイトの売り手はデータの一部をTechCrunchに見せ「本物であることを確認しろ」と伝えてきた。事件が起きたのは11月の初めだ。

データにはユーザー名とメールアドレスとパスワードが含まれていたが、パスワードはSHA-2のアルゴリズムで暗号化されていて解読はほとんど不可能だ。データにはそのほか、ユーザーの登録日付時刻と最前のログイン日付時刻、登録した場所の国名、IPアドレス、プロフィールの写真のリンクが含まれていた。

TechCrunchでは、データの一部のメールアドレスを同サイトのユーザー登録機能を使って調べた結果、本物であることを確認した。盗まれたデータの総量はわかっていない。その売り手によると2000万件というが、闇サイト上では2100万と書かれている。しかしTechCrunchが調べたデータからは、2200万に達するとも思われる。データは4000ドルないし約0.5ビットコインで売られている。その闇サイトのリンクをここに載せるのは控える。

Mixcloudは昨年、メディアを対象する投資企業であるWndrCoから1150万ドルを調達した。その投資ラウンドはハリウッドのメディア事業者であるJeffrey Katzenberg(ジェフリー・カッツェンバーグ)氏がリードした。

このところ著名企業の不正アクセスが相次いでいるが、これはその中でも最新の事件だ。盗んだデータを売っているのは同じ闇サイトで、スニーカーや衣料品のオンラインストアであるStockXへの不正アクセスについてもTechCrunchに警告してきた。StockXは当初、システムアップデートのための全顧客のパスワードリセットしたと表明していたが、その後ハッキングされたことを認めて400万件あまりのデータが流出したことを明らかにした。TechCrunchは盗まれたデータの一部を入手した

Mixcloudのプレス用メールアドレスへ問い合わせたが、メールは宛先不明で戻ってきた。同社のPR代理店に問い合わせたところ、すでにMixcloudとは契約していないとのことだった。MixcloudのスポークスパーソンであるLisa Roolant(リサ・ルーラント)氏はコメントを差し控えた。

ロンドンの企業なので、Mixcloudは英国とヨーロッパのデータ保護規則に従う。ヨーロッパのGDPRの規則に違反すると、年商の最大4%を罰金として払わなければならない。

関連記事
フードデリバリーのDoorDashが490万人の個人情報流出を確認
常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
米百貨店大手Macy’sが昨年に続きデータ漏洩

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

ボット退治のKasadaがCIAのベンチャー部門から7.6億円超を調達

今年初めにTechCrunchでも紹介したボット退治のスタートアップであるKasadaが、CIAなど諜報機関のコミュニティによる非営利のベンチャー事業のIn-Q-Telらから、シリーズAラウンドで700万ドル(約7億6300万円)を調達した。In-Q-TelによるKasadaへの投資は、今回が初めてとなる。

シドニーとシカゴにオフィスを置く同社は、独自のボット退治プラットホームPolyformでネット上のボットたちと戦う。ボットはゴミの山ようなトラフィックでウェブサイトを麻痺させ接続不能にしてしまうだけでなく、買った覚えのないものを買ったことにしてしまったり、また航空会社やエンターテインメント企業のコンテンツを偽造して代金を下げたりする。ボットは企業に使った覚えのないウェブサーバーや通信帯域の費用を発生させる。

同社のボット撃退プラットホームは、顧客のウェブサイトの外縁に難攻不落の暗号の壁を作る。また、同プラットホームは、フィンガープリント技術を利用してビジターが人間であるか確認する。そしてボットを見つけたら、解のない数学パズルを解かせたりしてボットのオペレーターのサーバーやメモリなどクラウドリソースを酷使し、費用を発生させる。

KasadaのCEOで共同創業者のSam Crowther(サム・クロウザー)氏は「In-Q-Telからの支援は自分たちの技術とチームに対する『強力なお墨付き』だ」とコメントしている。

2015年にローンチした同社は、昨年の1年間で技術と営業の両方の人員を倍増し、現場担当の役員だったPascal Podvin(パスカル・ポドビン)氏を営業のトップに据えて売上増を狙っている。In-Q-TelのPeter Tague(ピーター・タグ)氏によると、彼はKasadaの技術に感銘を受けたと言う。

同社がシドニーにオフィスを開いたのは昨年の後期だったが、オーストラリアで初めての投資が今回のKasadaだ。これまでのIn-Q-Telの投資先は、エンタープライズデータのクラウドプラットホームClouderaやサイバーセキュリティの大手FireEye、オープンソースのデータベースMongoDB、監視用ソフトウェアのPalantirなどだ。

今回の700万ドルのラウンドでKasadaは、顧客ベースを拡大して、最近いよいよ厳しい競争に抜きん出たいと考えている。この資金調達の直前には、ネットワーキングとコンテンツデリバリーの大手Cloudflareが、ボット対策のための戦闘モードと呼ばれる機能を導入した。それは、Cloudflareの顧客が無料で使えるオプトインの機能だ。同社はその機能について、ボットが顧客を攻撃できないようにして欲求不満に陥れる、と言っている。

KasadaのCrowther(クラウザー)氏によると、Cloudflareのそのような自助努力を見ても、ボット対策サービスの重要性が分かる。でもKasadaは、他社が手を付けていない部分をやっている、という。

【編集部注】In-Q-TelはKasadaの最新の投資家だが、ラウンドをリードしてはいない。

関連記事:Bots are cheap and effective. One startup trolls them into going away(ボットを苦しめて退散させるKasadaの反撃技術、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

セキュリティ侵犯でTモバイルの顧客情報が100万件以上流出

T-Mobile(Tモバイル)が、データ侵犯により100万人あまりの顧客に影響が及び、財務情報やパスワードを除く個人情報が悪意のある者に露出したことを認めた。同社は影響を受けた顧客に警告したが、そのハッキングの詳細な公式説明はない。

同社は被害者ユーザーへの公開情報で、同社のセキュリティチームが、プリペイドデータの顧客への「悪意ある不正なアクセス」を遮断した、と述べている。露出したと思われるデータは、以下のものだ:

  • 氏名
  • 請求アドレス
  • 電話番号
  • アカウント番号
  • 料金区分、プラン、起呼機能(国際通話ありなど)

最後のデータは「顧客に権限のあるネットワーク情報」と見なされ、通信企業に対する規制では、リークしたときには顧客に通知することが必要だ。つまり、その規制がなければ通知はしないということか。しかしそれでも、史上最大のハッキングが開示されなかったことが過去に何度もある。

しかし今回は、かなり素早くTモバイルはハッキングを開示したようだ。問い合わせに対しTモバイルの社員は顧客の1.5%未満が被害を受け、同社のユーザー総数は約7500万人だから、被害者数はおよそ100万人強になると言った。

同社は開示声明の中で、「弊社はみなさまの情報の安全を極めて重視している」と言っているが、それはTechCrunchがかつてこんな状況で言うなと求めた、しらじらしい決まり文句だ。

関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

そのTモバイルの社員によると犯行が発見されたのは11月の初めで「ただちに」シャットダウンしたそうだ。データがあった場所や、露出していた期間、会社が講じた対策などについても聞いたが、答はなかった。

上記のデータは、露出してもそれ自身では必ずしも有害ではないが、アカウントを盗もうとする者の足がかりになることはある。アカウントのハイジャックは最近のサイバー犯罪の、かなりよくある手口であり、料金プランや自宅住所などの情報が、犯行の役に立つこともある。あなたがTモバイルの顧客なら、パスワードを変えて、自分のアカウントの詳細をチェックしよう。

関連記事:サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

ロサンゼルスがジュースジャッキングをするマルウェアを警告したが事例はゼロ

ロサンゼルスの州検察官が「公共のUSB充電ポイントは危険なマルウェアがあることもあるので旅行者は利用を避けるように」と警告している。この忠告を読むと、そこらにあるUSBポートはどれも「ユーザーのデータを盗むために誰かが自分のスマートフォンをつなぐのを待っている」と思うかもしれない。それはジュースジャッキング(Juice Jacking)と呼ばれる攻撃で、警告の声明文によると犯人は充電ステーションやそこに挿入したまま残したケーブルにマルウェアをロードして、何も知らないユーザーのスマートフォンやそのほかの電子機器に感染させる。マルウェアはデバイスをロックしたり、データをエクスポートしたり、パスワードを直接犯人の手に渡したりするのだそうだ。

しかしロサンゼルス郡の主任検察官事務所によると、検察の記録にはジュースジャッキングは1件もないが、イーストコーストには知られている事案があるという。それはどこか、と聞いたら、そのスポークスパーソンは知らなかった。そもそもなぜこんな警報を出したのかと問うと「それは今行っている詐欺教育キャンペーンの一環だ」と応えた。

ますます疑問が深まる。でもなぜ?セキュリティ研究家のKevin Beaumont(ケビン・ボーモント)氏のツイートによると「そんなものがマルウェアの伝播に利用されたという証拠を見たことは一度もない」という。実際、見たと言う人はほとんどいないだろう。私にメッセージをくれた何人かのセキュリティ研究者は「そういう攻撃の概念実証を見たことはあるが、実際に犯行に使われた例は知らない」と言っている。

ジュースジャッキングという脅威は実在するが、もっと容易なやり方がいろいろあるのだから、こんなものすごく複雑で不完全な方法を使って誰かを攻撃するなんてありえないのではないか。また、今ではこのような攻撃を防ぐ機能のあるスマートフォンが多いから、ジュースジャッキング攻撃を仕掛けるなら非常に高度な罠が必要だろう。

でも、スマートフォンをつないだら秘密を盗まれるという話そのものに無理はない。それが可能であるというデモも、これまでにたくさんあった。ZDNetのジュースジャッキング特集記事には、FBIが全国に送った警報の例が載っている。それは、セキュリティ研究家のSamy Kamkar(サミー・カムカー)氏が作ったArduinoベースのインプラントはUSB充電器に似ていて、空気の流れを感知して押されたキーを読み取るというもの。また、この夏あるセキュリティ研究家が作ったiPhoneの充電器のケーブルのクローンは、近くにいるハッカーが脆弱性のあるコンピューターにコマンドを実行させることができた。

ロサンゼルス当局は、充電ステーションを使わずコンセントを使うこと、そして自分のケーブルを持ち歩くことを勧めている。健全なアドバイスだが、でもそれは、あなたのデバイスとデータを安全に保つためにすべき多くのことのひとつにすぎない。

関連記事:Wi-Fiモジュールを埋め込んだiPhoneの充電ケーブルでPCをハッキングできることを証明

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Android端末にプリインストールされているアプリはセキュリティホールだらけ

Androidのスマートフォンを買ったことのある人は、立ち上げた途端に、頼んだ覚えのないごみがすでにロードされているのを、きっと見つけたことがあるだろう。これらの、最初からインストールされているアプリは、おおむね不細工で削除も面倒で、めったにアップデートされず、しかもセキュリティホールだらけのことが多い。

セキュリティ企業のKryptowire(クリプトワイヤー)は、大量のAndroidデバイスを自動的にスキャンしてセキュリティの欠陥の兆候を見つけるツールを作り、国土安全保障省の助成事業で29社のスマートフォンを調べた。多くの人が名前すら知らなかったメーカーがほとんどだが、中にはAsus(エイスース)、Samsung(サムスン)、 ソニーなどの有名ブランドもある。

Kryptowireは、ありとあらゆる種類の脆弱性を見つけた。ほかのアプリのインストールを強制するアプリもあれば、ユーザーを騙してオーディオを録音したり、システムの設定を黙って変えるのもある。事前にインストールされているアプリがないと動かない悪者アプリなどは、いわば特定のサプライチェーンを悪用しているアプリだ。また、ユーザーが何かのアプリをインストールした途端に悪事を働く悪者アプリもある。

Kryptowireが見つけたすべての脆弱性のリストがここにある。タイプ別メーカー別に分類されている。同社は全部で146の脆弱性を見つけた。

Wired誌の指摘によると、この最初からロード/インストールされているアプリの悪質性を、Googleもよく知っている。2018年に同社が立ち上げたBuild Test Suite(BTS)という一連のテストは、パートナーのOEMが必ずそれに合格しなければならない。BTSはデバイスのファームウェアをスキャンして、予めインストールされているアプリに隠れているセキュリティの問題を探す。そして悪者アプリにはPotentially Harmful Applications(PHA、有害の可能性のあるアプリケーション)の烙印を押す。Googleは2018年のAndroidセキュリティレポートにこう書いている:

OEMは彼らの新しい、またはアップデートしたビルドイメージをBTSにアップロードする。するとBTSは一連のテストを行なって、そのシステムイメージにセキュリティの問題を探す。これらのセキュリティテストの一つは、システムイメージに最初からインストールされるPHAがないかスキャンする。ビルドにPHAを見つけたら、OEMと協働して矯正を行い、PHAをビルドから削除してユーザーの手に渡るようにする。

最初の1年でBTSは、242のビルドから、エコシステムへのPHAの侵入を阻止した。

BTSが問題を見つけたときにはいつでも、OEMパートナーと協働して矯正行為を行い、そのアプリケーションがいかにしてビルドに含まれたのかを探る。このチームワークにより、エコシステムに対する意図的な脅威を見つけて抑止することが可能になっている。

でも、たった1つの自動化システムがすべてを捕らえることはできない。問題がこっそり忍び込んできたときには対応するフィックスやパッチはまだないことが多い。長期的なサポートがおろそかになりがちな、ローエンドのマシンでは特にそうだ。上記のレポートに対するGoogleのコメントを求めたら、こんな談話をくれた:

弊社と協力して責任ある態度でこのような問題の修復と公開を行っている研究者たちの仕事に感謝する。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

ハッキングコンテスト優勝者はAmazon Echo Showを攻撃して650万円超の褒賞金を獲得

今年のPwn2Ownハッキングコンテストでは、これまですでに高度なハッキングテクニックをいくつも開拓してきた二人のセキュリティ研究家が優勝した。それらの中には、Amazon Echoに対する攻撃もある。

Amat Cama(アマト・カマ)氏とRichard Zhu(リチャード・チュー)氏の2人から成るTeam Fluoroacetateは、Alexa対応のスマートディスプレーであるAmazon Echo Show 5の最新機種に対する整数オーバフロー攻撃で、6万ドル(約650万円)のバグ褒賞金を獲得した。

Pwn2Ownコンテストを主催したTrend MicroのZero Day InitiativeのディレクターであるBrian Gorenc(ブライアン・ゴレンク)氏によると「彼らは、そのデバイスがGoogleのオープンソースブラウザーであるChromiumの古いバージョンを使っていることを見つけた。それは、開発のある時点でフォークされたコードだった。しかしそのバグにより、悪質なWi-Fiホットスポットに接続するとデバイスを完全にコントロールすることができた」と語っている。

研究者たちは彼らのエクスプロイト(コンピュータやスマートフォンのOSの脆弱性を悪用して攻撃を仕掛けるプログラム)を、外部の妨害を防ぐために高周波遮断容器の中でテストした。「コンテストの間に侵害されたIoTデバイスの多くに、このパッチのバグがあった」と。ゴレンク氏。

Amat Cama(左)とRichard Zhu(右)の2人がTeam Fluoroacetate(画像提供: ZDI)

整数オーバーフローバグは、整数演算が数を作ろうとしたとき十分な大きさのメモリーがないと起きる。その数は、割り当てられたメモリーの外へオーバーフローする。そして、デバイスのセキュリティが壊される。

問い合わせに対してAmazonは「この研究を調査中であり、調査の結果に基づいて、弊社のデバイスを保護するための適切な処置を取る」と言った。それがどんな処置でいつ行われるのかについては、無言だった。

コンテストには、Echo以外にもインターネットに接続されるデバイスがいろいろ登場した。この前コンテストの主催者は、Facebook Portalをハックする機会があるだろうと述べた。それは、そのソーシャルメディア大手が提供するビデオ通話が可能なスマートディスプレイだ。しかし今回、Portalを攻撃したハッカーはいなかった。

関連記事:Security flaws in a popular smart home hub let hackers unlock front doors(人気のスマートホームハブはハッカーがドアの鍵を開けられる、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Amazonのドアベル「Ring」にWi-Fiのパスワードが盗まれる脆弱性が見つかる

セキュリティの研究者たちが、接続されているWi-Fiネットワークのパスワードを露呈するAmazonのドアベル「Ring」の脆弱性を発見した。

Bitdefenderによると、Amazonのドアベルは、それがローカルネットワークに加わったときにオーナーのWi-Fiパスワードを平文のテキストで送信する。近くにいるハッカーはそのWi-Fiパスワードを横取りしてネットワークにアクセスし、重大な攻撃や盗聴行為などを仕掛けることができるだろう。

Bitdefenderによると「デバイスを最初に構成するとき、スマートフォンのアプリはネットワークの認証情報を必ず送信する。その送信はセキュリティに守られていないし、同じく無保護のアクセスポイントを通る。そのネットワークが動き出したら、アプリはそれに自動的に接続してデバイスを調べ、その認証情報をローカルネットワークに送信する」と説明する。

しかし、これらすべてが暗号化されない接続の上で行われるから、送信されたWi-Fiパスワードはそのまま露呈する。AmazonはRingの脆弱性を9月に直したが、この脆弱性は米国時間11月7日の時点で未公開だ。

このように、スマートホームの技術には相次いでセキュリティの問題が見つかっている。スマートホームデバイスは生活を楽にして家を安全にするために作られているはずだが、研究者たちは、それらが保護するはずのものへのアクセスを許す脆弱性を、次から次と見つけている。

この前は研究者たちが、人気のスマートホームハブにドアの鍵(スマートロック)を開けさせて、その家に侵入できた。

AmazonのRingについては、法執行当局(警察)が厳しい調査を行っている。GizmodoなどのニュースサイトがRingと警察との密接な関係の詳細を、関連のメッセージングも含めて報じている。今週は、ハロウィーンで何百万ものお菓子をねだる子どもたちを追跡したとRingがInstagramで自慢していたそうだ。

関連記事:Security flaws in a popular smart home hub let hackers unlock front doors(人気のスマートホームハブはハッカーがドアの鍵を開けられる、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa