皆さん、良い週末をお過ごしください。もちろん、オンコールの方は別ですが。今週報道された内容以外にも、ITセキュリティに関する最新情報をお伝えします。
ニュージーランドでは、ハリウッドの天敵キム・ドットコムが、2012年に自宅を襲撃されたという衝撃的な事件で、ニュージーランド当局と和解に至った。警察は銃と犬を携えて駆けつけ、ドットコムを逮捕しようとしたが、自宅のパニックルームに隠れていた彼を発見した。
和解条件はまだ発表されていないが、ドットコム氏の弁護士によると、警察は戦術を見直すと約束したという。ドットコム氏はニュージーランドに永住したいと述べている。もしかしたら、ピーター・ティール氏も隣人になるかもしれない。
メールの倦怠感
最近よくあることですが、今週もメールがニュースになりました。まず、ドナルド・トランプ大統領の娘イヴァンカ氏が、米国政府の業務に私用メールを使用していたことが注目を集めました。彼女がこの件で警告を受けたのは今回が初めてではなく、情報公開請求によって、彼女が依然として財務省関係者とのやり取りに私用メールを使用していたことが明らかになりました。
しかし、より大きな見出しを飾ったのはヒラリー・クリントン氏のメールだった。民主党へのハッキングに関する調査で、興味深い断片がいくつか明らかになった。特に注目すべきは、Guccifer 2.0が実際にメールの内容を編集し、WikiLeaksに流布させていたという事実だ。
党のコンピュータシステムへの侵入は昨年3月10日に始まり、当初は標的が明確ではありませんでした。ハッカー(あるいはハッカー集団)はGmailのテクニカルサポート担当者になりすまし、党幹部からアカウントのパスワードを聞き出そうとしました。周知の通り、ハッキング作戦が本格的に展開するには、たった一度の失敗で十分です。
しかし、ハッカーの標的はヒラリー氏と民主党だけではなかった。クレムリンと関係のあるハッカーたちは、外国人ジャーナリスト、米軍請負業者、さらにはローマ教皇のウクライナ特使までも狙っていたと報じられている。
さらにTwitterは、同社のミリブログプラットフォーム上で、ロシアのインターネット調査機関(Internet Research Agency、別名プーチン大統領のトロール拠点)が悪意を持って開設した偽アカウント2,752件[PDF]を特定したと発表した。これらのアカウントの中には数千人のフォロワーを抱えるものもあり、騙されたことに憤慨している人もいるだろう。その中には、ジャーナリストや世界中の人々を騙したトロールの達人、ジェナ・エイブラムスもいた。
致命的な欠陥
脆弱性対策に関しては、日本で開催されているPwn2Ownコンテストのモバイル版のおかげもあり、忙しい一週間でした。世界中からハッカーが集まり、ゼロデイ脆弱性を悪用して機器に侵入し、高額賞金を獲得しようとしています。そして、その期待は裏切られることなく、51万5000ドルものバグ報奨金が支払われました。
過去10年間で最大のTorの改修により、セキュリティ強化の層が追加
続きを読む
コンテストでは、革新的なハッキングがいくつか見られ、その中には大会史上最長の攻撃チェーンも含まれていました。MWR Labsは、6つの異なるアプリに存在する11個のバグを結びつけ、Samsung Galaxy S8からデータを収集しました。また、複数のiPhoneも情報セキュリティの専門家の手に落ちました。幸いなことに、悪用されたバグはすべて、影響を受けるソフトウェアおよびハードウェアメーカーに非公開で報告されているため、これらの脆弱性を悪用した脆弱性に対するパッチが間もなくリリースされる予定です。
これとは別に、Appleは自社製品向けに大規模なセキュリティアップデートをリリースしました。合計7つのパッチがリリースされ、macOS、iOS、Safari、iTunesの複数の問題が修正されました。リスト全体はこちらでご覧いただけます。いつものようにダウンロードしてインストールしてください。
Googleにもソフトウェアの失敗がありました。狡猾なハッカーが、Google社内のバグトラッカーに欠陥を発見しました。このシステムは、膨大なコード帝国における問題や脆弱性を管理するために利用されています。セキュリティ研究者のアレックス・バーサン氏はこのシステムを発見し、徹底的に調査しました。彼は機密データベースへのアクセスを可能にするほどのコーディングエラーを発見しただけでなく、伝統的に報奨金制度に熱心に取り組んできたGoogleから、15,600ドルの報奨金を獲得しました。
(Googleといえば、Pixel 2 XL端末はオペレーティングシステムがインストールされていない状態で出荷されました。おっと!)
OpenSSLにも今週、独自の問題が発生しました。コードの暗号化処理方法に、中程度ではあるものの依然として重大な欠陥が見つかりました。十分な計算能力を持つ攻撃者がこの欠陥を悪用した場合、深刻なハッキングが行われる可能性があります。
家をハッキングする
今週は、FBIが新たなタイプのハッキングについて警告したことで幕を開けました。このハッキングは、犯罪者に巨額の金銭を稼がせ、人々に深刻な損害を与える可能性があります。詐欺師たちは今、住宅購入者を狙っています。
仕組みはこうです。ハッカーは、IT技術がそれほど必要とされない職業である不動産業者のネットワークに侵入します。誰かが家を購入すると、ハッカーは資金の受取口座の情報を自分が管理する口座に変更し、逃走します。誰もが被害に遭うことはありません。
携帯電話で操作するバイブレーション式アナルプラグを製造するラブセンス社は、ハッキングが容易なため、乗っ取られて遠隔操作で作動させられる可能性があるという噂に異議を唱えた。ベルリンでの偵察任務中、ハッカーたちは作動可能な状態のデバイスを発見した。
メーカー側は反論し、自社のデバイスへのハッキングはほぼ不可能だと主張した。同社は、問題はデバイスではなくBluetoothにあり、攻撃者は標的から30メートル以内にいる必要があると指摘し、もしスマートフォンに接続していれば、デバイスが厄介者になる可能性はないと付け加えた。
ハッキング被害に関しては、ヒルトン・ワールドワイドは、1件だけでなく2件ものハッキング攻撃を許したことについて当局との和解に同意しました。同ホテルグループは、顧客のクレジットカードの盗難を許し、かつ適切な時期に報告しなかったことに対し、ニューヨーク州に総額70万ドルを支払うことに同意しました。
ハッカーやハッキング現場で働く人々に愛されるセキュアメッセージングサービス、Signalのファンの皆様に朗報です。先週、このサービスは一時的に停止していましたが、今週、デスクトップアプリがリリースされたことが発表されました。
これは嬉しいニュースですが、ご利用にはモバイルアプリがインストールされている必要があります。とはいえ、これは最も安全なメッセージングアプリであり、あなたを高値で売り渡すようなことはしない人々によって運営されています。®
追伸: Azureに関するIgniteプレゼンテーション中に、RedmondクラウドでEdgeが正常に動作しなかったため、MicrosoftのスタッフがGoogle Chromeをインストールするために立ち止まったシーンをお見逃しなく。おっと。下の動画の37分あたりです…
まだ見ていない方のために: Microsoft の担当者が Azure の講演中に Edge がクラッシュし続けるため Chrome をインストールしました (37 分以降) https://t.co/b2USWlWleY
— The Register (@TheRegister) 2017年10月31日
