タグ: wannacry

ハイテク業界の醜悪な真実を明らかにしたTechCrunch2019年調査レポートトップ10

Facebookがティーンエージャーをスパイしていたこと、Twitterアカウントがテロリストに乗っ取られたこと、そして児童性的虐待の画像がBingとGiphyで発見されたことなどが、2019年のTechCrunchの調査レポートで明らかになったもののなかでも、とりわけ醜悪な真実たちだ。安全性の欠陥や力の濫用が及ぼす影響が、ますます大きくなる中で、ハイテク業界はこれまで以上に多くの監視の目を必要としている。原因が悪意、無知、あるいは貪欲のいずれであろうとも、そこには嗅ぎつけられた数多くの不正行為があった。

TechCrunchは、セキュリティエキスパートであるZack Whittaker(ザック・ウィテカー)記者に率いられて、増大する問題に対処するために、より長期にわたる調査を実施してきた。実際、資金調達、製品発売、そしてすばらしいエグジットなどに関する私たちの記事は、物語の半分しか語っていないのだ。おそらくスタートアップ(と彼らのその後)に特化した、最大かつ最も長期間にわたって運営されているニュースソースである私たちは、そうした企業たちが誠実であり続けることや、技術に対するより倫理的で透明なアプローチを推進していくことに対して責任を負っている。

調査に値する潜在的なヒントがある場合は、TechCrunch(tips@techcrunch.com)に連絡するか、匿名のフォームから教えて欲しい。

画像: Bryce Durbin/TechCrunch

2019年に行われた調査レポートの上位10件と、その影響を紹介しよう。

1. Facebookはティーンエージャーたちのデータを覗き見するために、金を渡している。

Josh Constine(ジョシュ・コンスティン)記者の画期的な調査によって明らかになったことは、Facebookがティーンエージャーや成人に対して月額20ドル(約2200円)のギフトカードを支払い、VPNをインストールさせて、市場調査の名目ですべての機密モバイルデータをFacebookに送信させていたことだ。Facebook Researchが抱えていた問題として挙げられたのは、たとえば18万7000人のユーザーに「Project Atlas」に登録するまでデータがFacebookに送られることを通知しなかったこと、4300人以上の未成年者から適切な保護者の同意を受け取っていなかったこと、同プログラムに関して公言した場合、ユーザーに対して法的措置をとると圧力をかけたことなどだ。また、このプログラムは、App Storeのレビュープロセスを回避するために、企業内で従業員だけを対象にアプリを配布するためにデザインされた、Appleのエンタープライズ証明書プログラムを悪用していた。

影響は甚大だった。議員たちはFacebookに対して怒りの書簡 を送った。ほどなくTechCrunchは、同様の市場調査を行うScreenwise Meterと呼ばれるGoogle製のプログラムを発見した。Googleは直ちに同プログラムを中止した。Appleは、すべての従業員専用アプリを丸1日シャットダウンすることでGoogleとFacebookの双方を罰した。このことで、Facebookの従業員はシャトルスケジュールやランチメニューにアクセスできず、オフィスが混乱した。Facebookは、このプログラムが公明正大なものだと主張しようとしたが、最終的には反発に屈し、Facebook Researchと18歳未満のユーザー向けのすべての有料データ収集プログラムを中止した。最も重要なことは、この調査レポートによって、FacebookがそのOnavoアプリをシャットダウンしたことだ。このアプリはVPNを提供するという触れ込みだったのだが、実際はどのライバルを模倣すればよいかを知るために、大量のモバイル利用データを吸い上げるものだったのだ。Onavoは、FacebookがメッセージングのライバルであるWhatsAppを190億ドル(約2兆1000億円)で買収する必要があることをFacebookに認識させたものであったが、いまや同社に対する反トラスト調査の中心となっている。TechCrunchのレポートは、Facebookの搾取的な市場監視を弱め、技術の巨人同士を競わせ、データ収集に対する透明性と倫理の水準を引き上げた。

記事:若者に金を払い彼らをスパイするアプリをインストールさせるFacebook

2. WannaCryキルスイッチの擁護

急速に広がるWannaCryランサムウェアから、インターネットを保護したヒーローたちのプロフィールを描いたザック・ウィテカー記者の記事は、サイバーセキュリティの不安定な性質を明らかにしている。WannaCryのキルスイッチ(停止スイッチ)を確立したMarcus Hutchins(マーカス・ハッチンズ)氏の善意の仕事を描いた魅力的な記事は、別件のティーンエイジャーでマルウェアを作成したという罪で彼を10年の刑務所送りにするのではなく、わずか1年の保護観察付きで釈放となった判決に、影響を与えた可能性がある。

記事:インターネットを救った罠(未訳)

3. イーロン・マスク氏のトンネルの危険性

TechCrunchの寄稿者であるMark Harris(マーク・ハリス)記者の調査レポートは、ワシントンDCからボルチモアへのトンネルを掘るという Elon Musk(イーロン・マスク)氏のBoring Companyの計画の中に、不適切な非常口やその他の問題があることを明らかにした。火災安全およびトンネルエンジニアリングの専門家たちに相談し、ハリス記者は、州および地方政府に対して、公共インフラに近道を導入しようとする破壊的テクノロジーに対して懐疑的であるべきだという強い証拠を提示した。

記事:イーロン・マスク氏のDCからボルチモアへの「ループ」システムのレビューで安全性の懸念が明らかに(未訳)

4. Bingの画像検索は児童虐待で溢れている

ジョシュ・コンスティン記者の調査は、Bingの画像検索結果が、子供の性的虐待画像がどのように表示されているかを示すと同時に、何も意識していないユーザーが、そうした違法コンテンツを呼び出しかねない検索ワードも示唆した。コンスティン記者の示したヒントは、反児童虐待スタートアップAntiToxin(現在はL1ght)によるレポートへと繋がり、Microsoftは英国の規制当局に対してこれを防ぐための大幅な変更の約束を強いられた。だが、TechCrunchのレポートを引用したNew York Timesによる追跡レポートによれば、Bingがほとんど改善されていないことが明らかになった。

記事:MicrosoftのBingは児童の性的虐待画像を見せるだけでなく、ヒントさえ提供する(未訳)

5. 無実のデータがあるにもかかわらず追放された

ザック・ウィテカー記者の調査が、その追放に疑問があったタフツ大学の学生、Tiffany Filler(ティファニー・フィラー)氏による、成績改ざん疑惑の中にある矛盾した証拠を明らかにした。記事は告発そのものに大きな疑念を投げかけ、学生自身が将来の学術的または専門的努力を狙う際の、助けになる可能性がある。

記事:タフツ大学が成績ハッキングを理由に学生を追放、学生は無罪を主張(未訳)

6. 教育用ノートPCの発火

Natasha Lomas(ナターシャ・ロマス)記者は教育用コンピューターハードウェアスタートアップであるpi-topのトラブル報告を行った。記事には米国のある生徒を負傷させたデバイスの誤動作が含まれていた。分解できるように設計されたpi-top 3ノートPCによって、その生徒が「非常に厄介な指の火傷」を負っていたことを内部電子メールは明らかにした。信頼性が大きく問われ、レイオフが続いた。このレポートは、生徒のような特に傷つきやすい者たちを中心に置き物理的な世界で事業を展開するスタートアップたちは、いかに安全を最優先にしなければならないかということを強調している。

記事:pi-topのSTEMノートPCに安全性の懸念が浮上(未訳)

7.Giphyは児童虐待画像をブロックできない

Sarah Perez(サラ・ペレス)記者とザック・ウィテカー記者は、児童保護のスタートアップL1ghtと協力して、性的虐待画像のブロックに対するGiphyの怠慢を暴露した。このレポートは、犯罪者たちが違法な画像を共有するためにサイトをどのように使用し、それが検索エンジンによって、誤ってインデックスされたかを明らかにした。TechCrunchの調査が明らかにしたのは、自らのコンテンツに対してもっと警戒する必要があるのは、公的な技術の巨人たちだけではないということだ。

記事:Giphyには禁止されている自傷やヘイト、児童性虐待のコンテンツがある

8.Airbnbの反差別に対する弱み

Megan Rose Dickey(ミーガン・ローズ・ディッキー)記者は、盲目で耳が不自由な旅行者の予約が盲導犬を連れていたためにキャンセルされた際の、Airbnbによる差別的ポリシーが現れたケースを調査した。ディッキー記者のレポートが1カ月の営業停止のきっかけになるまで、Airbnb は差別行為によって告発されたホストを単に「教育」しようとしただけだった。調査は、Airbnbが収益を生み出すホストを保護するためにどんなこと、そしてポリシーの問題によりIPOを損なう可能性があることを明らかにした。

記事:Airbnbが差別に対するクレームを扱った方法(未訳)

9.期限切れのメールがテロリストたちにプロパガンダをツイートさせる

ザック・ウィテカー記者は、乗っ取られたTwitterアカウントを通じて過激派組織IS(イスラミック・ステート)のプロパガンダが拡散されていることを発見した。彼の調査により、Twitterアカウントに関連付けられたメールアドレスの有効期限が切れると、攻撃者はそれを再登録してアクセスし、Twitterから送信されたパスワードリセットを受信できることが明らかになった。記事は、ビッグテクノロジーのセキュリティ上の欠点を悪用する、巧妙だが決して高度ではないテロリストグループの手段を明らかにしただけでなく、すべてのサイトがふさぐべき危険な抜け穴を特定した。

記事:ハッカーたちは休止状態のTwitterアカウントを乗っ取ることで過激派組織、ISのプロパガンダを広めている(未訳)

10.ポルノとギャンブルのアプリがAppleを出し抜く

ジョシュ・コンスティン記者は、数十におよぶポルノおよびリアルマネーのギャンブルアプリが、Appleのルールを破りながらエンタープライズ証明書プログラムを悪用することでApp Storeのレビューを回避していることを発見した。それらのアプリの多くが中国を拠点にしたものだ。このレポートは、企業証明書が脆弱で簡単に詐取される要件を明らかにした。7カ月後、Apple は中国からのポルノおよびギャンブルアプリの削除リクエストが急増していることを明らかにした。この調査は、Appleが企業証明書ポリシーを厳しくする後押しをすることになり、さらにCEOのティム・クック氏が日頃他の技術大手のポリシーに対して頻繁にジャブを繰り出しているにもかかわらず、同社自身にも対処すべき問題がたくさんあることを証明した。

記事:Appleはポルノとギャンブルの「エンタープライズ」アプリをブロックできていない(未訳)

ボーナス:HQ Triviaの従業員たちがCEOを解任しようとして解雇された

『ゲーム・オブ・スローンズ』にも負けない物語は、その影響がすべてのスタートアップエグゼクティブへの警告であるにしても、除外するには興味深いものだった。ジョシュ・コンスティン記者は、ゲームスタートアップ、HQ Triviaの業績が急降下した際に、CEOの無能さと不作為に対して従業員たちが起こした反乱の物語を明らかにした。CEOを解任するために、取締役会への請願を組織した従業員は解雇され、さらなる人材の離職と停滞につながった。調査レポートは、スタートアップの幹部たちに、(団結したり離職することで力を発揮する)従業員たちに対する責任があることを思い出させるのに役立った。

記事:HQTrivaの乱はCEOを追い出すことに失敗(未訳)

ジョシュ・コンスティン記者へのタレコミ情報がある場合には、暗号化されたSignalアプリ、米国(585)750-5674へのSMS、joshc at TechCrunch dot com、あるいはTwitter DMを介して連絡することができる。

原文へ
(翻訳:sako)

ランサムウェアWannaCryの猛威から2年、まだ100万台以上のコンピュータが危険な状態

ちょうど2年前の5月12日、強力なランサムウェアWannaCryが世界中に拡散し始めた。

それは山火事のように広がり、たった数時間で150以上の国々の、何十万台ものコンピュータを暗号化してしまった。これは、ユーザーのファイルを勝手に暗号化し、解除するために仮想通貨の身代金を要求するというマルウェア、つまりランサムウェアが組織的なサイバー攻撃として世界中に拡まった最初の例だった。

イギリスでは、このマルウェアのせいで、あちこちの病院がオフラインとなり、「重大事件」と宣言された。政府のシステム、鉄道網、民間企業も大きな被害を受けた。

セキュリティ研究者は、このマルウェアがWindowsのSMBプロトコルを利用し、コンピュータワームのように、ネットワークを介してコンピュータからコンピュータへと拡散していることをすぐに突き止めた。疑惑の目は、間もなくNSA(米国家安全保障局)によって開発された一連の極秘のハッキングツールに向けられた。というのも、それらのツールは、その数週間前に盗み出され、だれでもアクセスできる状態でネット上に公開されていたからだ。

「これはマジだ」と、イギリスを拠点とするセキュリティ研究者、Kevin Beaumont氏は、当時こう語っていた。「まったく、とんでもないことになってしまった」。

WannaCryは、NSAが開発し、その後盗まれたツール、DoublePulsarとEternalBlueを利用してWindows PCに侵入し、ネットワークを介して拡散する

未知のハッカーグループは、後に北朝鮮に雇われていたと信じられるようになったが、公開されてしまったNSAのサイバー兵器を使って攻撃を仕掛けた。おそらく、世界の隅々に、そこまで拡がるものとは思っていなかっただろう。ハッカーは、まずNSAのバックドアDoublePulsarを使って永続的なバックドアを作成し、さらにそれを使ってランサムウェアWannaCryを流布させた。また、EternalBlueツール利用して、ネットワーク上にあるパッチが未適用 のコンピュータに、片っぱしからランサムウェアをばらまいたのだ。

インターネットに接続されたシステムに、たった1つの脆弱性があるだけで、存分に荒らし回ることができた。

Microsoftは、Windowsをターゲットにしたハッキングツールが盗まれたことは認識していて、すぐにパッチをリリースした。しかし、一般のユーザーも、そして企業でも、システムにパッチを適用するまでに時間がかかっていた。

わずか数時間で、このランサムウェアは数十億ドル(数千億円)の損害をもたらした。WannaCryに関係するBitcoinのウォレットは、自分のファイルを取り戻そうとする被害者からの入金でいっぱいになっていった。たいてい、その出費は無駄になったのだが。

マルウェアをリバースエンジニアリングするセキュリティ研究者のMarcus Hutchins氏は、その攻撃が世界を襲ったとき、ちょうど休暇を取っていた。「私は、まったくクソのようなとんでもないタイミングで1週間仕事を離れていた」と、ツイートしている。彼はすぐに休暇を切り上げて、コンピューターと向かい合った。マルウェア追跡システムからのデータを使用して、彼はWannaCryのキルスイッチとして使える方法を発見した。コードに埋め込まれたドメイン名を登録したとたん、感染は急激に治まった。Hutchins氏は、先月、これとは無関係なコンピュータ犯罪の罪を認めた人物だが、WannaCryの攻撃の拡散を食い止めたヒーローだと称賛された。彼の功績を考慮して、完全な大統領恩赦というわけにはいかないとしても、寛大な措置を求めている人が多い。

情報サービスに対する信頼は一夜にして崩壊した。多くの議員は、NSAが引き起こした災害の後始末をどうつけるつもりなのか、説明を要求した。また、脆弱性を発見したときに政府機関として取るべき態度についての激しい議論を巻き起こした。それを秘匿したまま、監視やスパイ活動を実行するための攻撃的な武器として利用するのか、あるいは、その脆弱性を引き起こすバグをベンダーに報告して修正させるべきなのか、ということだ。

それから1ヵ月後、世界はサイバー攻撃の第2ラウンドに見舞われることになる。もはや、それが特別なことではなくなってしまうのではないかと感じさせるような出来事だった。

新たなランサムウェアNotPetyaは、同じDoublePulsarとEternalBlueを利用したものだった。後に研究者はキルスイッチを発見することができたのだが、輸送関連の大企業、スーパーマーケット、広告代理店などを攻撃し、混乱の渦に巻き込んだ。

それから2年が経ったが、漏洩したNSAのツールによってもたらされる脅威は依然として懸念すべき問題だ。

最新のデータによると、インターネットに接続された170万ものパソコンが、依然としてこの脆弱性を抱えている。無防備なデータベースやデバイスを検索するShodanによって生成されたデータは、100万台を超える数字を示している。中でも脆弱なデバイスが最も多かったのは米国だ。ただし、これはインターネットに直接接続されたデバイスしかカウントしてない。実際には、もしあちこちのサーバーが感染すれば、それらに接続された何百万台ものパソコンが危険にさらされる可能性がある。というわけで、脆弱なデバイスの数は、このデータが示すよりもかなり多いものと考えられる。

NSAの盗まれたハッキングツールに対して無防備なシステムは、米国内だけで40万以上もある。(画像クレジット:Shodan)

WannaCryは今でも拡がり続けていて、時々感染が報告されている。Beaumont氏は、米国時間5月12日のツイートで、WannaCryはほとんど無害化された状態になっていて、活動を開始してデータを暗号化する能力は持っていないという。ただし、その理由は謎のままだという。

しかし、公開されたまま野放しになっているNSAのツールは、脆弱なコンピュータに感染することが可能であり、今でもあらゆる種類のマルウェアを流布させるのに使われている。それによる被害者も後を絶たない。

アトランタ市がランサムウェアに攻撃された数週間前に、サイバーセキュリティの専門家Jake Williams氏は、同市のネットワークがNSAのツールに感染していることを発見していた。さらに最近では、仮想通貨のマイニングを実行するコードをネットワークに感染させるために、NSAのツールが流用された例もある。それによって、膨大な処理能力を持ったシステムにお金を生み出させようというわけだ。さらに、これらのツールを使って、何千台ものコンピュータを密かに罠にかけ、バンド幅を専有して分散型のサービス妨害攻撃を仕掛ける例もあった。圧倒的なインターネットトラフィックによって他のシステムに打撃を与えようというのだ。

WannaCryは確かにパニックを引き起こした。システムはダウンし、データは失われ、お金も費やされなければならなかった。それは、基本的なサイバーセキュリティについて、社会はもっとうまく対処する必要があることを気付かせる警鐘だったのだ。

しかし、今でも100万台以上の未パッチのデバイスが危険な状態のままになっているわけで、今後も悪用される可能性は十分にある。この2年の間に忘れてはならなかったのは、過去の失敗から学ぶためには、明らかにもっと多くのことができたはずだということだろう。

関連記事

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)

iPhone用チップメーカー、身代金ウィルス感染で工場停止。1年以上パッチ未適用だった

eng-logo-2015次世代iPhone用のチップを製造していると報道された台湾企業TSMCは、先週末にWannaCryランサムウェアの亜種により複数の工場が停止に追い込まれた件につき、セキュリティパッチを適用していないWindows 7を運用していたことを発表したと伝えられています。

米テック系メディアV3によると、TSMCは記者会見にてパッチを当てていないWindows 7が工場施設の重要プロセスを管理しており、この部分にウィルス被害が及んだと認めたとのこと。

もっとも、生産現場で使うPCとプロセス制御は一般に、個人ユーザーの使用環境とは違う特別な事情もあり(後述)、そのギャップゆえに生じた事故の可能性もあります。

WannaCryランサムウェアは、2017年春頃に全世界のWindowsマシンで猛威を奮ったコンピュータウィルスです。この件に関するマイクロソフトの対応は迅速かつ徹底しており、Windows Vista、7、8.1、10に対しては同年3月15日に、Windows XPなどサポート終了済みのOSでも「異例の措置」として5月にセキュリティパッチを配布していました。

アメリカのFedEXや仏自動車大手のルノーなど、世界の大企業を襲った脅威から、すでに1年以上が経過しています。これほどの期間、世界最大の半導体製造ファウンダリであるTSMCが、セキュリティパッチを当てていないシステムを放置していたのは驚くべきとの見方もあります。

もっとも、生産現場で使うPCとプロセス制御ソフトは外部のインターネット接続を想定せず、しかもアップデートパッチ適用後の動作が保証されていないケースも多々あること(日本でも未だにPC-9801シリーズが現役で運用されている例もあり)。

そうした運用ゆえにパッチを怠ったというより当てられず、「現場担当者が物理的なディスクなどで持ち込んだ」想定外のウィルスの侵入を許してしまったかもしれません。

同社は「生産情報や顧客情報は感染被害を受けていません。TSMCはこのセキュリティギャップを埋める行動をすでに起こしており、さらにセキュリティ対策を強化するよう努めます」と述べています。

ウィルス被害が新型iPhoneの生産に及ぼす影響について、複数のアナリストは限定的だと分析しています。その理由は「アップルがTSMCにとって最大の顧客である(ゆえに他のクライアントよりも優先する)」ことや、「上流のサプライチェーンはこうした事態に備えて余分にチップセットを製造している」といったもの。

しかし、TSMCとアップルの今後の関係に与える影響は定かではありません。今のところ事故を起こしていない他のサプライヤーも、セキュリティ体制の大幅な見直しを迫られる可能性がありそうです。

Engadget 日本版からの転載。

米政府、WannaCry に北朝鮮が関与との見解。北のハッカー集団Lazarusの犯行を「確信」

eng-logo-2015米国政府が、今年春頃に猛威を振るったランサムウェア「WannaCry」に北朝鮮が関与していたとの見解を示しました。

米国土安全保障省のアドバイザーを務めるトム・ボサート氏は「慎重な調査の結果」として、WannaCryによるサイバー攻撃を北朝鮮によるものと判断、英国およびマイクロソフトの調査結果に同意するとしています。

ランサムウェアとはPCに感染するマルウェアの一種で、発動するとPCのストレージを勝手に暗号化してしまい、解除するために金銭を要求します。支払いには期限が設けられており、それをすぎるとPCのデータがすべて消去されてしまうため、たとえば企業組織のPC等の場合はデータ保全と要求額を天秤にかけたIT管理者がけっきょく金銭を支払ってしまうこともありえます。

2017年5月にの感染拡大が大きな話題となったWannaCryには、米国家安全保障局(NSA)から流出した情報に含まれていた未報告のWindows脆弱性が使われています。またその初期バージョンにおいては2015年にソニー・ピクチャーズのハッキングに用いられたコードとの類似性があることがGoogleのセキュリティ研究者によって示されました。そして、そのハッキングには北朝鮮のサイバー攻撃グループ「Lazarus」の関与が取り沙汰されています。

ボサート氏はWannaCryによる「攻撃は広範囲にわたり、多くの金銭的損害を発生させた。これらは北朝鮮に責任がある」として、国際的な不正行為を繰り返してきた北朝鮮の「悪意ある行動」を批判しました。また別の当局者は、WannaCry騒動を分析した結果Lazarusによる攻撃だと「確信した」と述べました。

これに対する北朝鮮当局からの声明は記事執筆時点で出ていないものの、北朝鮮はこれまでWannaCryへの関与を否定しています。

ちなみに、WannaCryをめぐっては、国内外の自動車工場が一時停止に追い込まれるなど被害発生が続いていました。また初期にその動作を停止させる”キルスイッチ”を発見したとして称賛されたセキュリティ研究者が別のマルウェア開発関与で逮捕されたりといった事例も発生しています。

Engadget 日本版からの転載。

WannaCryを阻止した英雄マーカス・ハッチンズ、法廷で無罪を主張、ツイッターに復帰

マルウェアWannaCryの攻撃を独力で無効化したセキュリティ研究者が、DefConカンファレンスの帰路FBIに逮捕されて以来、久々にオンライン復帰した。Marcus Hutchins、別名@malwaretechは、月曜日(米国時間8/14)ウィスコンシン州連邦裁判所に罪状認否のために出廷し、無罪を申し立てインターネットアクセスを許されるべきだと主張した。Hutchinsは、2014年の銀行を狙ったマルウェアKronosに関わったとされる6件の罪に問われている。

当初Hutchinsは逮捕後のインターネット利用を禁止されていた。今日の法廷でHutchinsは、ほぼ自由なインターネットアクセスを許可された。唯一の制約は、彼がWannaCryを阻止するために作った“sinkhole”を触らないことだけ。Hutchinsは、当然逮捕後初となるツイートを発信し、裁判について説明し多くの支持者に感謝の意を表した。

[今も裁判中で、家に帰ることは許されず拘束されているが、オンラインに出ることが許された。もうすぐ自分のパソコンも戻ってくる。]

[DefConですること:パーティーに参加する、レッドロックキャニオンに行く、射撃に行く、FBIに起訴される、スーパーカーをレンタルする]

ひとつ注目すべきこととして、 International Business Timesの報道によると、政府はHutchinsに対するこの裁判を「歴史的」なものと認識しており、最近のマルウェア蔓延を防いだ彼の役割を認め、もはやHutchinsを脅威と捉えていないことを示唆している。この発言は彼にとって吉報と言えそうだ。

英国市民であるHutchinsは、米国内を自由に移動することが許されており、10月23日予定されている裁判までの間、ロサンゼルスに移住する。

[原文へ]

(翻訳:Nob Takahashi / facebook

WannaCryのヒーローの支持者グループ、クラウドファンディングで裁判費用を募金

先週末、セキュリティコミュニティーはMarcus Hutchinsの裁判費用を募るファンドを開設した。HutchinsはWannaCryと呼ばれるマルウェアの拡散を防いだことで有名な研究者だ。しかしHutchinsは、マルウェア技術者としても知られており、先週FBIは、2014年に蔓延した銀行システム用トロイの木馬、Kronosの配布に関わったとしてHutchinsを逮捕した

ウィスコンシン州で火曜日(米国時間8/8)に行われる審問を控え、多くのHutchinson支持者たちが彼の裁判費用を賄うための寄付を募った。ファンドはSymantecのサイバーセキュリティ責任者、Tarah WhellerおよびTor Ekeland率いるIT法律事務所が立ち上げた。

「われわれコミュニティーは、罪状の詳細については知らないが(現時点で詳しい発表はない)、米国で犯罪に問われた際、誰もが法的防御と弁護を受ける権利を持つことは認識している、と募金ページに添えられたメッセージにWheelerが書いた。

Ekelandによると、LawPayが運営するこのファンドは、GoFundMeの代替策として作られた。募金ページの人気は非常に高く、ダウンしたこともあったが、Hutchinsの支持者たちは募金趣旨の十分な説明に努めている。

「このファンドはGoFundMeが法的保護ファンドの扱いを拒否した後、急遽われわれが関与して週末に設定した」とEkelandがTechCrunchに語った。「反響は良好で多くの人たちが寄付している。これまでは説明する機会がなかっただけだ」。

TechCrunchはGoFundMeと連絡を取り、Hutchinsの裁判基金を拒否した件についてコメントを求めている。

Hutchinsは様々な罪状で告発されており、Kronosコードを作成し ―― 実際法的に難しい領域 ―― AlphaBayで販売したことがその一つだ。AlphaBayは違法なオンライン市場で、先月大掛かりな手入れがあり閉鎖された。Hutchinsonは、8月4日にラスベガス裁判所で無罪を主張しており、明日ウィスコンシン州(告発のあった場所)で審問を受ける。

[原文へ]

(翻訳:Nob Takahashi / facebook

WannaCryマルウェアでヒーローになったハッカーをFBIは銀行マルウェアKronosへの関与で逮捕

数か月前にはヒーローと讃えられたマルウェアの研究者を、FBIは、銀行をねらうマルウェアKronosの配布に関わったとして逮捕した。Marcus Hutchinsまたの名@malwaretechblogは、ラスベガスで行われたハッカー大会Def Conからの帰路、空港で連邦捜査局に拘留され、その後逮捕された。

Hutchins(22歳)は、WannaCryマルウェアの機能的ドメインキルスイッチを発見して、その拡散を停止するという、重大だが彼らしくない役割を演じた。今回彼は、2014年の初めに銀行やクレジットカードの認証情報を盗んだマルウェアに関わったとして告発されている。CNNが彼の逮捕を初めて報じ、すぐにViceが彼の起訴状を公表して、DocumentCloud上にも公開した。

彼がロンドンへの帰路取り押さえられたという報道が流れると、セキュリティコミュニティの多くがサイバーフォークヒーローでもあるHutchinsを擁護しようと殺到した。彼の容疑には多くの疑問があり、銀行をターゲットとするトロイの木馬Kronosの作成と配布に果たした彼の役割も、現時点では明確でない。彼の罪状認否は、本日(米国時間8/3)太平洋時間午後3時、ラスベガスで行われる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

今回のマルウェア攻撃の標的は半数以上が工業分野

今週の大規模マルウェア攻撃の標的 ―― および意図した効果 ―― を調査しているサイバーセキュリティ会社、Kaspersky Labsの最新レポートが、いくつか興味深い洞察を与えている。

当初Petyaという名前で知られる商用マルウェアの変種と考えられていたその攻撃は、大規模なランサムウェアスキームの一つとみられた。しかし事態が進むにつれ、攻撃は金目当てより破壊目的であることが明らかになってきた。身代金を支払っても影響を受けたシステムのロックを解除すの復号キーが手に入らなかったからだ。,

しかも、本稿執筆時点でこの攻撃が 生み出したのはわずか3.99 BTC(約1万ドル)にすぎない。一方、大規模なシステム麻痺によって主要空港、銀行、さらには チェルノブイリの放射能監視システムまでもが運用を停止した。一見ランサムウェアに見えるこの攻撃の影響を受けたシステムは、60%以上がウクライナに存在している。

Kaspersky Labsの報告によると、金融分野の被害が最も大きいものの、ほかの標的の50%以上が製造、石油、およびガスの分野に分類される。

「これはこのマルウェア作戦が経済的利益を目的としたランサムウェアではないという説を支持している」とKaspersky Labsがブログで分析している」。これはランサムウェアを装った「ワイパー」(データ破壊プログラム)と見られている。

Kasperskyはブログでこう説明している:

ExPetr(Petya)のような脅威は、重要なインフラストラクチャーや工業部門にとって著しく危険であり、攻撃の標的になったオートメーションや制御システムなどの技術プロセスが影響を受ける可能性がある。その種の攻撃は企業の生産や金融だけでなく人間の安全にも影響を与えかねない。

分析によると、多くの製造業がExPetr(Petya)マルウェアの攻撃を受けている。工場制御システムが影響を受けた事例もあるが、ほとんどのケースは企業のネットワークのみが被害を受けている。

このマルウェアをどう呼ぶかについては数多くの議論がなされているが、Kasperskyらは“ExPetr”と呼び、良く知られているランサムウェアのPetyaの変種であるPetrWrapと区別している。McAfeeの研究者らもマルウェアがPetyaに関係しているという説に懐疑的だ。「たしかにPetyaに似ているが、逸脱している部分もある」とMcAfeeのチーフサイエンティスト、Raj Samaniが今週TechCrunchに伝えた。

かつてPetyaと呼ばれたこのランサムウェアの分析に結論を出すにはまだ早いが、事態が複雑化していることは間違いない。

[原文へ]

(翻訳:Nob Takahashi / facebook

Petyaの蔓延を受け、下院議員がNSAに要請、「方法を知っているなら攻撃を阻止してほしい」

今日(米国時間6/28)、テッド・リュウ下院議員(カリフォルニア州選出/民主党)はNSAに対して、昨日から世界を襲っているランサムウェア(ランサムウェアを装った別物の可能性もある)の蔓延阻止を要請する書簡を送った。

リュウ氏は、EternalBlueという攻撃ツールをリークさせ有害ソフトの蔓延を助長した責任はNSAにあると主張している。先月、WannaCryというランサムウェアが同じくEternalBlueを用いて、脆弱性を保護するためにMicrosoftが発行したパッチMS17-010)を適用していないコンピューターに侵入した。

「複数の報告によると、2つの世界的ランサムウェア攻撃が発生したのは、NSAのハッキングツールがShadowBrokersという組織によって世間に公開されたためだ」とリュウ氏は書いている。

「私の何よりも緊急な要望は、もしNSAがこの世界的マルウェア攻撃の止め方、あるいは止めるのに役立つ情報を知っているなら、直ちに公開してほしいということだ。もしNSAがこの最新マルウェア攻撃のキルスイッチを持っているなら、今すぐ配備すべきだ」

リュウ氏は、NSAが自分たちのシステム内に発見した脆弱性についてもっと広くテクノロジー企業に伝えるよう要請した。EternalBlueに関して、NSAは何年も前からその存在を知っていたと言われている。NSAがほかにも重要なツールを隠し持っていること、新たなShadow Brokersのリークによって容易にそれが暴露されるあろうことは当然想像できる。

[これについて記事を書くつもりのジャーナリストは、マルウェアの蔓延はNSAが何年もの間放置してきた脆弱性によるものであることを忘れてはならない]

「現在も脅威が進行中であることを踏まえ、NSAはMicrosoftを始めとする各企業と積極的に協力し、同局が認識しているソフトウェア脆弱性について知らせるよう要請する。さらには、NSAが作ったマルウェアによる将来の攻撃を防ぐために、各企業に知っている情報を公開すべきだ」とリュウ氏は言った。

昨日のランサムウェア攻撃には、前回のWannaCry以上に厄介な問題がある。IEEEのシニアメンバーでアルスター大学のサイバーセキュリティ教授のKevin Curranは次のようにTechCrunchに説明した:「WannaCryとの重要な違いの一つは、Petyaがディスク上のファイルをいくつか暗号化するのではなく、ディスク全体をロックして一切プログラムを実行できなくすることだ。ファイルシステムのマスターテーブルを暗号化することによって、オペレーティングシステムがファイルをアクセスできなくしている」。

もう一つの大きな違いは、WannaCryにはキルスイッチがあったことだ。偶然の産物ではあるが

「PetyaはWannaCryと同じ恐ろしい複製能力を持っており、内部ネットワークを通じて直ちに広がってほかのマシンに感染する」とCurranは言った。「感染したコンピュータ上のパスワードも解読し、それを使って感染を広げているらしい。今回キルスイッチはなさそうだ」。

本誌はNSAに連絡を取り、現在のランサムウェアの蔓延を止めることができるのか、今後の責任はNSAにあるのかを質問している。

リュウ議員の書簡全文を以下に埋め込んだ。

( function() {
var func = function() {
var iframe_form = document.getElementById(‘wpcom-iframe-form-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’);
var iframe = document.getElementById(‘wpcom-iframe-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’);
if ( iframe_form && iframe ) {
iframe_form.submit();
iframe.onload = function() {
iframe.contentWindow.postMessage( {
‘msg_type’: ‘poll_size’,
‘frame_id’: ‘wpcom-iframe-82ed389bbd1284535660dc8d1b3a6bdb-595465cfcdac1’
}, window.location.protocol + ‘//wpcomwidgets.com’ );
}
}

// Autosize iframe
var funcSizeResponse = function( e ) {
var origin = document.createElement( ‘a’ );
origin.href = e.origin;

// Verify message origin
if ( ‘wpcomwidgets.com’ !== origin.host )
return;

// Verify message is in a format we expect
if ( ‘object’ !== typeof e.data || undefined === e.data.msg_type )
return;

switch ( e.data.msg_type ) {
case ‘poll_size:response’:
var iframe = document.getElementById( e.data._request.frame_id );

if ( iframe && ” === iframe.width )
iframe.width = ‘100%’;
if ( iframe && ” === iframe.height )
iframe.height = parseInt( e.data.height );

return;
default:
return;
}
}

if ( ‘function’ === typeof window.addEventListener ) {
window.addEventListener( ‘message’, funcSizeResponse, false );
} else if ( ‘function’ === typeof window.attachEvent ) {
window.attachEvent( ‘onmessage’, funcSizeResponse );
}
}
if (document.readyState === ‘complete’) { func.apply(); /* compat for infinite scroll */ }
else if ( document.addEventListener ) { document.addEventListener( ‘DOMContentLoaded’, func, false ); }
else if ( document.attachEvent ) { document.attachEvent( ‘onreadystatechange’, func ); }
} )();

[原文へ]

(翻訳:Nob Takahashi / facebook