まとめITサポートやネットワークセキュリティなどでオンコール中にこの記事を読んでいるなら、敬意を表します。クリスマスプレゼントのラッピングや気まずい親戚との付き合いなどを避けるためにこれを読んでいるなら、さあ、握手しましょう。
今週を締めくくる情報セキュリティ関連のニュースを、順不同でまとめてご紹介します。
ガトウィック空港でドローン逮捕:今週、10万人以上の航空旅行者が利用したガトウィック空港で「ドローンの犯罪的使用」の疑いで2人が警察の捜査により逮捕された。(追記:2人は不起訴となり、容疑者ではなくなった。一方、警察は当初、そもそもドローンが存在したのかどうか検討していたが、空港付近で損傷したドローンを発見したと発表している。)
ロシアによる投票ハッキングはなし:米国国家情報長官ダン・コーツ氏は金曜日、ロシア、中国、イランが「自国の戦略的利益を促進するために、影響力行使やメッセージキャンペーンを行った」ものの、ハッカーが「投票を妨害したり、投票数を変更したり、開票作業を妨害したりした」ことはないと結論付けた。
Amazon Alexaはボットだらけで迷惑: 2016年以来、Amazonはコンピュータサイエンスを学ぶ学生たちに数十万ドル相当の賞金をちらつかせ、音声操作可能なパーソナルアシスタントAlexaを介してアクセスできる会話型ボットの開発を奨励してきた。これらの実験的なチャットボットと話したい人は、Alexaにソフトウェアと接続するように頼むと、ボットが起動し、Alexaは脇に追いやられ、チャットコードがユーザーと雑談を始める。
ソフトウェアの不具合により、これらのボットが「里親を殺せ」などと人々に発言したり、性行為について議論したりしていたことが明らかになりました。ある時点で、AmazonのCEOであるジェフ・ベゾス氏は、あまりにも恥ずかしい行為だったとして、問題のあるボットの1つを停止するよう命じたとされています。
さらに悪いことに、ロイター通信によると、中国のハッカーは学生のボットの1つに侵入し、ユーザー名を除いた会話の記録を抽出することに成功したという。
アマゾンの広報担当者はチャットの失態について、「何百万人もの顧客がソーシャルボットとやり取りしてきたことを考慮すると、こうした事例は非常にまれだ」と述べた。
Windowsゼロデイ脆弱性:今週、バグハンターが別のWindowsゼロデイ脆弱性の概念実証エクスプロイトをオンラインで公開しました。この脆弱性は、パッチが公開されていないため、システム管理者がアクセスできるファイルの内容を任意のユーザーが読み取ることができるもので、オペレーティングシステムのReadfile API呼び出しのバグを悪用します。これは正当なエクスプロイトであることが確認されています。
FBIもこの研究者を嗅ぎまわっているようで、おそらくは以前のゼロデイ攻撃の暴露に関連して、あるいはおそらくは米国大統領に対する脅迫ツイートが原因と思われる、彼女のGoogleアカウント記録を要求している。
華為、ZTE?チェコの皆さん、中国のハイテク大手、華為とZTEのソフトウェアとハードウェアはセキュリティ上の脅威だとチェコ政府が警告した。「今回の警告の発出をもって、我々と同盟国、そしてセキュリティパートナーの調査は完了した」と、ユーロ圏のサイバー機関は付け加えた。
大規模な電話盗聴 - EFF の地獄:長期にわたる情報公開訴訟の末、EFF はプロジェクト ヘミスフィアの詳細を記した文書の入手に成功した。このシステムは、AT&T の協力を得て、アメリカの麻薬取締局が「何十年も遡る何兆件もの電話記録にアクセス」するために使用していたシステムである。
米国は、北京のためにハイテク、航空宇宙、防衛産業をハッキングしたとして中国人男性2名を指名した。
続きを読む
サービス拒否攻撃(DoS)の依頼を却下:木曜日、米国検察当局は、企業やネットワークに対し、金銭と引き換えに分散型サービス拒否(DDoS)攻撃を仕掛けると申し出ていた15のウェブサイトを押収し、閉鎖した。これらのいわゆる「ブーター・フォー・ハイヤー」サイトは、ゲームプラットフォームやオンラインストアなどのサービスを停止させる目的で、悪意のある人物に利用されていた。これらのブーターを撲滅すれば、クリスマスシーズンに悪意のある人物が悪用して混乱を引き起こす可能性が低くなる。
これに関連して、イリノイ州セントチャールズ在住のマシュー・ガトレル容疑者(30)とカリフォルニア州パサデナ在住のフアン・マルティネス容疑者(25)がコンピューター詐欺および不正使用防止法違反の共謀の疑いで、またペンシルベニア州ハノーバータウンシップ在住のデビッド・ブコスキ容疑者(23)がコンピューター侵入の幇助および教唆の疑いで告訴されている。
Macのスパイウェア、未検知: Objective-Seeのパトリック・ウォードル氏によると、Windshiftと呼ばれるmacOSを標的とした文書窃盗型マルウェアが、ソフトウェアの脆弱性が明らかになってから4ヶ月後に、わずか2つのウイルス対策ソフト(KasperskyとZoneAlarm)によって検知されたという。このスパイウェアは中東の標的に仕掛けられているが、他の地域のAppleファンの皆さん、どうなっているかお気をつけください。
おい、サムおじさん、デバイスのスヌープルールを明かしてくれ。人権活動家であるACLUとPrivacy International、そしてその仲間たちが、標的のコンピューター、電話、その他のデバイスへのハッキングを許可されたエージェントに適用されるルールと手順を明らかにするために米国政府を訴えている。
「訴訟では、各機関に対し、どのようなハッキングツールと手法を使用しているか、どのくらいの頻度で使用しているか、これらの手法を使用する法的根拠、そしてそれらを規定する社内規則があれば開示するよう求めています」と、法学生のアレックス・ベッチェン氏は説明した。「また、これらの使用に関する内部監査や調査の実施も求めています。」
「ホワイトハット」ハッカーのNest侵入:米国アリゾナ州在住の男性が、ハッカーが遠くから自宅のNestセキュリティカメラに侵入し、機器を通して話しかけ、機器が安全ではないと警告したと訴えた。グレッグという名のハッカーは、ハッキングされたり認証情報が漏洩したりした別のウェブサイトやサービスで使い回していたパスワードを使ってNestのセキュリティを強化していたようだ。そのため、ハッカーは漏洩したパスワードを再利用してNestに侵入することができた。
つまり、IoT ギアには固有のパスワードを使用し、可能な場合は 2 段階認証を有効にします。
手を出さないで、セントジュール:英国政府は、ウィキリークスの最高責任者ジュリアン・アサンジ氏を逮捕や身柄引き渡しなしに、ロンドンのエクアドル大使館から釈放すべきだと、国連の人権専門家らは金曜日に強く訴えた。国連は、アサンジ氏が事実上、英国で不法に拘束されているという2016年の宣言を事実上繰り返している。
中国で大問題発生: ThinkPHPをご利用の方はご注意ください。今月、ThinkPHPバージョン5.0.23および5.1.31を標的とした、リモートコード実行の脆弱性を実証する脆弱性が公開され、約5万件の中国ウェブサイトが攻撃を受けました。
最後に…中東および北アフリカのフィッシング攻撃で明らかになったように、多要素認証トークンがフィッシングされる可能性があることに注意してください。protonemail.comのような怪しいサイトではなく、メールプロバイダーや銀行などの正規のウェブサイトにアクセスしていることを確認してください。protonemail.comのようなサイトは正規のサイトを装い、ユーザー名、パスワード、トークンを入力すると自動的に盗み取られます。
Keybaseは、Linuxソフトウェアにおけるローカル権限昇格のバグを修正しました。また、Goプログラミング言語のメンテナーは、複数の脆弱性を修正しましたgo get -u。そのうちの1つは、.
お気をつけて、メリークリスマス。®
