ミーム、メッセンジャー、ミサイル：Twitterからチャットアプリ、武器まで、今年のクリスマスはセキュリティが大混乱

まとめいよいよホリデー シーズンに入り、クリスマス パーティーが始まり、人々は Excel ファイルをエッグノッグなどに交換しています。

それでは、全員が「不在通知」を出す前に、今週のセキュリティの世界を簡単に見てみましょう。

クリスマスの初日に私の愛する人は私にセキュリティのない核兵器をくれました

すぐに、セキュリティの失敗を絶対に見たくない場所を 1 つ考えてみましょう。

「大陸間弾道ミサイル」と答えましたか？残念です…

米国国防総省監察総監室の報告書によると、アメリカのミサイル司令部は弾道ミサイル防衛システム（BMDS）のセキュリティに関して大きく遅れをとっていることが明らかになった。その調査結果の要約は簡潔かつ要点を押さえている。

「当局は、BMDSの技術情報を保護するためのセキュリティ管理とプロセスを一貫して実施していなかったと判断しました。」

報告書で指摘された不備の中には、多要素認証ソフトウェアをインストールしていなかったこと、サーバーラックをロックしなかったこと、機密ネットワークに侵入検知ツールをインストールしていなかったこと、データを送信する前に暗号化していなかったことなどがある。

「さらに、施設のセキュリティ担当者は、BMDS技術情報を管理する施設への不正アクセスを制限するための物理的なセキュリティ管理を一貫して実施していなかった」と12月の報告書は指摘している。

当然のことながら、報告書は国防総省に対し、まずネットワークにこれらの基本的な保護を導入し、次にデータとそれを収容する物理的な施設の両方へのアクセスが確実に遮断され、アクセスが慎重に記録および監視されるように対策を講じるよう勧告している。

私たち3人のミームがあなたのボットをコントロールします

トレンドマイクロの研究者は、マルウェアに感染した PC が中央のコマンド アンド コントロール サーバーと通信するために使用している実に驚くべき仕組みを発見しました。

「TROJAN.MSIL.BERBOMTHUM.AA」というキャッチーな名前が付けられたこの悪質なソフトウェアは、感染したWindowsマシンに特定のTwitterアカウント（既に無効化されている）を探すよう指示します。アカウント自体は目立ったものではなく、ミーム画像が数枚含まれているだけでした。しかし、それらの画像の中には、感染したPCを制御するコードが隠されていました。

マルウェアは画像をダウンロードして開き、そこに隠された命令を探します。この場合、ミームはボットにホストマシンのスクリーンショットをキャプチャし、その画像をサーバーに送信するよう指示しますが、マルウェアに実行中のプロセスをリストアップしたり、クリップボードの内容をコピーしたり、感染したPCからファイル名をリストアップするよう指示することもできます。

「感染したマシン上でマルウェアが実行されると、Twitterアカウントから悪意のあるミームを被害者のマシンにダウンロードできることが判明しました。そして、指定されたコマンドを抽出します」とTrendは説明した。

ミームに隠された「印刷」コマンドの場合、マルウェアは感染したマシンのスクリーンショットを撮影します。次に、Pastebinから制御サーバーの情報を取得します。その後、マルウェアは収集した情報やコマンド出力を特定のURLアドレスにアップロードし、攻撃者に送信します。

幸いなことに、この特定の作戦は中止されたようです。ミームをスパフィングしたTwitterアカウントは停止されました。

アウトバックでシグナルが一時停止、オーストラリアのバックドア条項は廃止

セキュアチャット企業Signalは、最近可決された暗号化通信を対象とするオーストラリアの法律に不満を抱いている。この新しいオーストラリアの法律は、オーストラリアのスパイが通信ソフトウェアやウェブサイトに監視用のバックドアを設置することを要求することを可能にし、政府が暗号化されたメッセージを読み取り、監視することを可能にする。

Signal開発者のジョシュ・ルンド氏は、自身のプロジェクトは、エンドツーエンドの安全なチャットの復号を求める政府の要請には到底応えられないと述べた。実際、Signalが会話の内容を遠隔で復号できる物理的な手段は存在しないとルンド氏は述べた。

「設計上、Signalはあなたの連絡先、ソーシャルグラフ、会話リスト、位置情報、ユーザーアバター、ユーザープロフィール名、グループメンバーシップ、グループタイトル、グループアバターの記録を保持しません。すべてのメッセージと音声/ビデオ通話のエンドツーエンド暗号化コンテンツは、私たちが全くアクセスできない鍵によって保護されています」とルンド氏は説明した。

「今ではほとんどの場合、誰が誰にメッセージを送っているかさえ把握できません。」

これは、Signalがオーストラリアでデータアクセス法に違反したとして禁止される可能性が非常に高いことを意味します。しかし、もしその場合でも、ルンド氏はオーストラリア政府に対し、おそらくオーストラリア大陸からSignalを排除することはできないだろうと警告しました。

「歴史的に見て、この戦略はあまりうまく機能していません。サービスがブロックされると、ユーザーはすぐにVPNなどのネットワーク難読化技術を使って制限を回避します」と彼は説明した。「もしある国がAppleやGoogleに圧力をかけ、特定のアプリをストアから削除するよう命じたとしても、AndroidでもiOSでも、別の地域に切り替えるのは極めて簡単です。人気アプリはインターネット上に広くミラーリングされているのです。」

言い換えれば、オーストラリア政府はアプリを禁止するモグラ叩きをしているのに、グーグル、マイクロソフト、アップルなどの米国の巨大テクノロジー企業は、施行予定のスパイ法にすっかりうんざりしているということだ。

ただトンボをめぐって争っているだけ

Google の Dragonfly キャンペーンが Choc によってブロックされたようです。

The Intercept の今日の報道によると、北京の検閲要件を満たす中国の検索エンジンを構築するという物議を醸したプロジェクトは、従業員の反乱と米国議会の調査を受けて「事実上終了」したという。

ご存じない方のために説明すると、Dragonfly とは、Google が中国政府と提携して、政府によって禁止された結果を自動的に除外し、人々の検索クエリを追跡する機能を政府当局に提供するウェブ検索エンジンのバージョンを作成するという噂のプロジェクトです。

こうしたプロジェクトがプライバシーや人権に及ぼす影響についての懸念から、Google の貴重なエンジニア層を含むスタッフが公の場で声を上げたが、これは Google の極めて閉鎖的な世界ではめったに見られないことだ。

コメントを求められたグーグルの広報担当者は、サンダー・ピチャイCEOが先週議会で行ったコメントをエル・レグ氏に紹介した。

ジングルベル、ツイッターの匂い、悪質な監視

そして、昨今、政府による不気味な監視が大流行しているため、Twitter は、同社の Web アプリケーションのひとつが一部のツイッターユーザーの位置データを収集するために使用されていたと警告している。

Twitterは月曜日のアラートで、サポートフォーラムのAPIの一つに、他のTwitterユーザーの電話番号の国番号や、Twitterによってアカウントがロックされているかどうかなど、悪意のあるユーザーが情報を検索できる問題があったと警告した。このバグは11月16日に修正された。

これ自体はそれほど大きな問題ではありません。しかし、Twitterは11月の修正前に「中国とサウジアラビアにある個々のIPアドレスからの大量の問い合わせ」を確認しており、この位置情報の収集が国家支援のハッカーやスパイによるものではない可能性も否定できないと述べています。

興味深いことに、このバグは2年前にTwitterに報告されていたようですが、今年初めに大規模に悪用されるまで、セキュリティ上の懸念事項ではないとして無視されていました。

つまり、Twitterには市外局番を漏らしてしまう欠陥があり、地球上で最も抑圧的な二つの政権がそれを悪用してユーザー情報を大量に収集した可能性があるのだ。「ファララララ、ララララァァ！」®