総括これまでお伝えした内容に加えて、コンピューター セキュリティに関するニュースをもう一度簡単に総括します。
米検察、Facebookメッセンジャーの暗号解読を要求
アメリカ政府は、アメリカの諜報員が容疑者を容易に監視できるよう、フェイスブックにメッセンジャーのソフトウェアを変更するよう要求しているという。
Facebookは、チャットソフトウェアの強力な暗号化を意図的に無効化し、捜査官による音声会話の傍受を可能にするという米国政府の要求に抵抗していると言われている。検察は、Facebookがアプリに秘密のバックドアを構築し、それを連邦政府に公開しなかったとして、法廷侮辱罪で訴追しようとしていると伝えられている。
奴らが戻ってきた!米国民主党が「連邦政府専用」の暗号化バックドアを準備
続きを読む
この論争は、ドナルド・トランプ大統領が特に標的としている悪名高い犯罪組織MS-13の構成員と疑われる人物に対するカリフォルニア州での捜査をめぐり、連邦政府は暗号化されたメッセンジャーでの会話を傍受しようとしている。
米国司法省がFacebook社にメッセンジャーに監視用のバックドアを挿入するよう強制することに成功した場合、他のアプリケーション開発者にも、人々のプライベートな暗号化された通信への特別なアクセス権を捜査官や警察に提供するよう圧力をかける道が開かれるのではないかと懸念されている。
これにより、悪意のある人物やハッカーが連邦政府専用のバックドアを見つけ出し、悪用して被害者をスパイするのではないかという懸念が再燃するだろう。Facebookはコメントを控えた。
ビットコイン保釈の困惑
ビデオゲーム大手のエレクトロニック・アーツへのハッキング容疑で告発された男は、裁判官から75万ドルの保釈金を仮想通貨で支払うよう命じられた。
セルビア人とイタリア人の国籍を持ち、イタリア在住のマーティン・マルシッチ容疑者(25)はサンフランシスコに飛行機で到着後、連邦捜査局に逮捕され、今週同市の裁判所に出廷した。
連邦判事のジャクリーン・コーリー氏は、被告に対し、裁判を待つ間、更生施設への入所を許可されるための保釈金を支払うよう命じた。被告は月曜日に再び出廷し、保釈金が支払われたかどうかを確認する予定だ。
Androidに控えめなセキュリティアップデートが配信
Pieファームウェアアップデートと大量のパッチ火曜日の修正に関する話題の中で、Googleからのもう一つのセキュリティバンドルが忘れ去られていました。8月のAndroidセキュリティアップデートには、CVEリストに登録されている43件の脆弱性に対する修正が含まれています。
対処されたバグの中には、Android システム ソフトウェアの 2 つの欠陥と、リモート コード実行の可能性があるメディア フレームワークの 1 つの欠陥が含まれています。
Pixel デバイスをお持ちの方はすでにアップデートが適用されているはずです。それ以外の方は、必要に応じてデバイス ベンダーと携帯通信会社が判断します。
Red Hatからの緊急警報
バグと言えば、Red Hatは今週、Linuxカーネルに存在する重大なセキュリティ欠陥について警告を発しました。CVE-2018-13405というプログラミングミスにより、ファイルのグループ権限設定方法にバグがあり、ローカルユーザーがroot権限に昇格できる可能性があります。
Red Hat の勧告から判断すると、これは本当にすごいことだ。
これは Google の Jann Horn 氏 (Meltdown CPU 設計上の欠陥の発見に貢献した人物と同じ) によって発見されました。概念実証のエクスプロイトはここで見つかります。さらに技術的な情報はここで見つかります。
この欠陥はRed Hatだけに限ったものではないことに留意すべきです。他の多くのLinuxディストリビューションもカーネルの問題に対処せざるを得ませんでした。この問題はカーネルバージョン4.17.4までに影響すると聞いています。
カスペルスキー、米政府の禁止措置解除を要請
苦境に立たされているロシアのウイルス対策企業カスペルスキー研究所は、再び米国政府機関に自社製品を売り込む権利を求めて米国政府と争いを続けている。
今週初め、ユージーン・アンド・コーは国土安全保障省による禁止措置の解除を求めてワシントンDCの米国巡回控訴裁判所に控訴した。
この控訴は、ロシアの連邦保安局(FSB)が連邦のコンピューターネットワークから米国の機密情報を盗むためにカスペルスキー製品を利用しているという懸念から、連邦機関によるカスペルスキー製品の使用を禁止した国土安全保障省の決定を支持した5月の下級裁判所の判決を覆すよう裁判所に求めている。
カスペルスキー社は政府の指示は違憲であると主張している。
たとえカスペルスキー社が勝訴したとしても、両陣営とも最高裁までこの問題を持ち込むつもりのようで、これで訴訟が終わる可能性は低いだろう。
アニモト・ノー!サイトはハッカーによってユーザー情報が盗まれたと主張
動画編集ソフトメーカーのAnimotoは今週、ハッカーが顧客情報の一部を盗んだとユーザーに警告した。同社は、メールアドレス、生年月日、性別、位置情報などの機密性の高いプロフィール情報が先月、ネットワーク侵入者によって盗まれたことを通知するメールを送信した。
アニモトは通知の中で、「2018年7月10日、当社のシステムで異常なアクティビティが発生したという警告を受け取りました。直ちにすべての疑わしいアクティビティを停止し、外部のフォレンジック専門家の支援を受けて調査を開始しました」と述べています。
2018年8月6日に、当該行為が不正であり、ユーザーデータが取得された可能性があることを確認しました。
アニモト社は、ハッキングの調査のため情報セキュリティの専門家と法執行機関を招集したと発表した。同社によると、パスワードは盗まれたが、当時はハッシュ化されソルト化されていたという。
NATO、新たな安全保障対策を大々的に発表
トランプ大統領がこぞってお気に入りの国際軍事組織、NATOは、様々なコンピュータセキュリティプロジェクトを推進している。今月初め、NATOは、NATO初の専用サイバーオペレーションセンターの設立や、加盟国の「あらゆる能力」を駆使してサイバー攻撃に対応するという誓約を含む一連の計画を発表した。
元NATOサイバーセキュリティ責任者兼大使のソリン・ドゥカル氏によれば、この決定はNATOが初めて、加盟国を攻撃しようとする敵対的な国やグループをハッキングで反撃する意思を示したことを示しているという。
「これは、サイバー空間の安全確保を純粋に防御的な手段のみで賄うという考え方からの根本的な転換を反映している。『あらゆる範囲』のサイバー能力とは、NATOがその防衛任務と国際法に基づき、防御能力と攻撃能力の両方を展開できることを意味する」とドゥカル氏は記した。
NATOは組織としていかなる攻撃能力も開発・取得しないため、他の作戦領域と同様に、同盟国による自発的な貢献に依存することになる。そのため、NATO首脳は「強力な政治的監視の枠組みの中で、同盟国が自発的に提供する国家サイバー効果を同盟の作戦・任務に統合する方法についても合意した」。
Twitchの不具合は本当に…面倒だ
アマゾンのライブビデオストリーミング事業であるTwitchは、1日で人間の一生で消費する量よりも多くのデータを処理するが、メッセージングシステムのバグにより一部のユーザーが自分宛ではないメッセージを受信したことで、赤面している。
同サービスは顧客への通知の中で、5月に削除したメッセージ機能のアーカイブ機能にバグがあり、一部のユーザーがメッセージアーカイブをダウンロードした際に、見知らぬ人のプライベートメッセージのコピーを受け取っていたと述べた。
Twitchは、漏洩したメッセージは特にわいせつなものではなく、Twitchのマーケティングパートナーから大量に送信されたプロモーションメッセージであると述べています。ただし、誤ってメッセージが共有されたすべてのユーザーに通知し、問題のメッセージの完全なコピーを提供する予定です。®