まとめ今週はセキュリティ関連のニュースが目白押しでした。新たな海運大手がランサムウェアに侵入されたこと、ロシアのハッカーが米国の電力網を完全に乗っ取ったことが明らかになったこと、そしてワイデン上院議員(オレゴン州民主党)が米国政府にFlashの廃止を求めるなど、実に理にかなった要請が行われました。しかし、他にも水面下で沸き起こっているニュースがありました。
無駄な行動をとってくれ!ワイデン氏は自分が何を言っているのか分かっているかもしれないが、同僚たちは無駄なポーズに固執しているようだ。
パット・トゥーミー上院議員(共和党、ペンシルベニア州選出)とクリス・ヴァン・ホーレン上院議員(民主党、メリーランド州選出)は火曜日、スティーブン・ムニューシン財務長官に書簡[PDF]を送り、民主党のサーバーへのハッキング容疑で告発されている12人のロシア人に対し、金融制裁を発動するよう要請した。大統領のロシアに対する混乱した姿勢を考えると、両議員は期待を抱くべきではないだろう。
二人は具体的に何を望んでいるのか、残念ながら曖昧な発言をしているが、被告人たちがアフールの靴を履いて震えているなど想像もできない。しかし、上院議員たちは多少の宣伝効果を得た。おそらくそれがこの取り組みの目的なのだろう。
FBI、暗号化で顔面を手で覆う:FBI長官クリス・レイが、暗号化のバックドア化について技術専門家の意見に耳を傾け始める兆しはあった。ところが、彼はまたしても馬鹿げた発言をしてしまった。
アスペン・セキュリティ・カンファレンスで講演したレイ氏は、暗号化によって犯罪者が「闇に消える」ようになり、政府はアクセスを必要としているという、使い古されたテーマに立ち返った。誰にも見つけられないバックドアを導入することは数学的に不可能であるにもかかわらず、レイ氏はカメラの前でこう説明した。「必ず方法はあるはずです」
「我が国は信じられないほどのイノベーションを誇る国です」と彼は言った。「人類を月に送り込み、空を飛ぶ力を持ち、自律走行車も持っています。社会全体でこの問題を解決できないという考えは、到底受け入れられません」
これは以前にも使われてきた議論であり、実際、あまりにも頻繁に使われてきたため、ペンシルバニア大学のコンピューターおよび情報科学教授であり、Torプロジェクトの役員でもあるマット・ブレイズ氏が、この簡潔な反論を思いついた。
「『人類を月に送れるなら、これもできる』という言葉を聞くと、まるで『人類を月に送れるなら、太陽に人類を送ることもできるはずだ』と言っているようなものだ」と同氏は語った。
サムスンのクソなインターネット: モノのインターネット (IoT) デバイスの度重なる失敗に少々うんざりしてきている。そしてサムスンは、デジタル面で失敗を露呈した最新のメーカーだ。
シスコのTalosセキュリティチームの研究者がSamsung SmartThings Hubを調査し、驚くべきことに20件もの悪用可能な脆弱性を発見しました。このデバイスは家庭内のあらゆるガジェットの中央制御ユニットとして機能し、防犯カメラ、ドアロック、空調などを制御する可能性があることを考えると、これは朗報とは言えません。
幸いなことに、Talosは責任ある情報開示に力を入れており、ファームウェアの修正版がリリースされました。SmartThings Hubをお持ちの方は、デバイスの最新アップデートをダウンロードしてインストールすることをお勧めします。しかし、疑問に思うことがあります。Samsungのような大手メーカーでさえセキュリティ対策を徹底できないのであれば、Kickstarterで資金を集めたあなたのデバイスがセキュリティ対策を万全にできる可能性はどれほどあるのでしょうか?
ライフロックの皮肉な真実:ライフロックは自らをオンラインIDの守護者と表現したが、同社は自社のデータさえ保護できないことを示した。
同社のウェブサイトは設計が不十分で、訪問者は誰でもライフロックの450万人の顧客のメールアドレスにアクセスできてしまう状態だった。フリーランスのセキュリティ研究者ネイサン・リース氏が発見したこの欠陥により、簡単なスクリプトでこれらのメールアドレスをスクレイピングすることが可能だった。
バグとしてはもっとひどいものだったかもしれない。パスワード、ID情報、クレジットカード情報が盗まれる可能性はなかった。しかし、Lifelockとその所有者であるSymantecは、実に愚か者に見えることになった。
Dropbox – これはバグではなく、機能です: クラウド データ ダンプ サイト Dropbox は、Facebook に倣って顧客の個人データを許可なく共有した可能性があるとしてパニックに陥った恐ろしい 1 週間を過ごしました。
ノースウェスタン複雑系研究所がハーバード・ビジネス・レビューに発表した論文では、Dropbox の利用状況を調査して、1,000 の大学学部に所属する 40 万人の研究者がどのように共同作業を行っているかを詳しく説明しています。
重要なのは、この論文が、Dropboxのユーザー記録が適切に匿名化されることなく、研究所の研究者に研究のために引き渡されたことを示唆している点だ。例えば、研究者はDropboxアカウント内の個々のファイルやフォルダ名を調べることができたと主張されている。
当然のことながら、排泄物はエアコンに当たり、人々は疑問を抱き始めました。Dropboxは声明を発表し、データは研究所に渡される前に完全に匿名化されていたと主張しました。Dropboxは技術的な不正行為を一切行っていない可能性が高く、すべてクラウドアカウントの利用規約に則っていたようです。
要するに、あなたが頼りにしているオンライン サービスの細則を確認してください。また、インターネット上で人々のファイルをホストしている場合は、匿名かどうかにかかわらず、外部の知識人に顧客の行動を精査させるのは見栄えがよくありません。
Big Star Labs アプリにご用心: データ収集の話が出たところで、Big Star Labs と名乗るグループが大量のユーザーデータを収集するモバイル アプリやブラウザー拡張機能を次々とリリースしているようです。
AdGuard Researchの調査によると、Big Star Labsのソフトウェアによって最大1,100万人の個人情報が盗まれた可能性があることが明らかになりました。Big Star Labsは匿名化されたデータのみを取得すると主張していますが、その厳格さはそれほど高くないようです。
このコードを回避したい場合は、AdGuard に Big Star Labs が作成したものの完全なリストがあります。
Microsoft のバグがマルウェア拡散に悪用される: Microsoft Office の脆弱性が、以前ウクライナの銀行顧客を狙ったマルウェアの一種である Felixroot バックドアの配布に使用されました。
環境保護セミナーの資料とされていたものには、実際にはMicrosoft Officeの脆弱性(CVE-2017-0199)および(CVE-2017-11882)を狙ったエクスプロイトが仕込まれており、Felixrootバックドアを仕掛ける仕掛けとなっていました。セキュリティ企業FireEyeによると、昨年9月にはウクライナの銀行文書を悪用した攻撃で、同じバックドアが悪用されたとのことです。
![Flexiroot バックドア攻撃 [出典: FireEye ブログ投稿]](https://image.brawte.com/anejbkmn/71/fa/flexiroot_backdoor.webp)
Flexirootバックドア攻撃の概要 [出典: FireEyeブログ投稿]
最近の環境問題を懸念する報道によると、このマルウェアはロシア語の文書を通じて配布されている。
FireEye は、ハッカーらは流行の攻撃ターゲット 2 つを狙っていると結論付けている。
FireEyeの脅威に関するブログ記事によると、「CVE-2017-0199とCVE-2017-11882は、現在最も頻繁に悪用されている脆弱性の2つです。脅威アクターは、これらの脆弱性を攻撃にますます悪用し、最終的には成功しなくなるでしょう。そのため、組織はこれらの脆弱性を確実に保護する必要があります。」
レバントの Leafminer : シマンテックは中東のコンピューター ユーザーに対し、新たなハッキング グループが出現したと警告を発しました。
Leafminer 攻撃グループは、水飲み場型 Web サイト、インターネット上のネットワーク サービスの脆弱性スキャン、ブルート フォース/辞書ログイン試行を組み合わせて使用しており、主に電子メールとデータベース ログインを狙っているようです。
研究者たちは標的となった809の組織のリストを発見した。その3分の2はサウジアラビアにあり、レバノン、イスラエル、クウェートも標的となった。オッカムの剃刀の原理に従えば、イランのハッカー集団は新たなサブグループを結成し、それが機能している可能性が示唆される。
セックス脅迫の卑劣漢たちに金を払うのはやめよう: 数週間前、私たちは、ポルノで自慰行為をしているビデオを持っていると主張するセックス脅迫メールを受け取ったReg読者の話を取り上げました。
もちろん、これは馬鹿げた話ですが、ソーシャルエンジニアリングはかなり巧妙で、盗んだパスワードを使って受信者に脅迫が本物だと信じ込ませていました。調査によると、この詐欺に騙された人はかなり多いようです。
一部のメールに使用されていたビットコインウォレットを分析したところ、この悪党たちは少なくとも25万ドル、おそらくは100万ドル以上の仮想通貨を盗んだことが示唆されています。こうした悪党たちに接触された経験を持つ者として、私のアドバイスは変わりません。彼らに脅迫の要求を突きつけるべきです。®
