無防備な人々

misc

「私のおかしなメールアカウントこそ、セーファーインターネットデーが必要な証左だ」

www.theverge.com

著者(Tom Warren氏)のOutlook.comアドレスは、ちょっと変わっているのだそうです。さしずめ、tomあっとoutlookどっとcomなんでしょうか。

とにかく、そこに、おそらくスパムやフィッシングとは別の種類のおかしなメールがたくさん来るのだそうです。

  • 裸の写真
  • パスポートをスキャンした画像
  • 祝日の予定
  • 借金に関する書類
  • 税金還付に関する書類
  • 祝日を過ごす写真多数
  • 離婚訴訟に関する書類
  • 配偶者への怒りのメール(もちろん著者の知らない人から)
  • 死亡通知
  • 会議への招待状

また、著者のアドレスで(おそらくは誤って)飛行機チケットをとる人がいたりもするようです。

さらに、この人はApple機器の利用者らしく、FaceTimeを例のアドレスに結び付けているのですが、多数の誤った呼び出しもあるのだとか。

とりあえず、注意力は人ごとに違いますから、誰かしらこういうことをするかも、という可能性は認めるしかないかも。

なお、記事タイトルの「セーファーインターネットデー」はこちらです。

Safer Internet Day - セーファーインターネットデー | セーファーインターネット協会 Safer Internet Association(SIA)

Miraiを感染させるための「Windows用」マルウェアが登場

security IoT

「新しいWindowsトロイの木馬はMiraiマルウェアを拡散させ、さらなるIoTデバイスをハックする」

thehackernews.com

Windows用のMirai拡散ツールが登場したようです(Dr.Webの命名ではTrojan.Mirai.1)。Miraiは、既に何回も言及していますが、史上最大のDDoS攻撃を行った、IoTデバイスに感染するマルウェアです。

今回のものは、「WindowsでMiraiが動作する」のではありません。あくまでも「WindowsマルウェアがMiraiを拡散させる」ものです。ただし、MSSQLMySQLのサーバが動作している場合は、管理者アカウントを作成し、様々な悪意ある行為を行う可能性があります。また、他のWindows PCに感染する仕組みもあるようです。

米ミルウォーキー郡、ポケモンGO的アプリによる公園利用を許可制に

security

ミルウォーキー郡、ポケモン(GO)等に公園利用許可を要求へ」

www.jsonline.com

米国ウィスコンシン州ミルウォーキー郡(都市として有名ですが、ここでは「郡」です)の行政委員会は、「ポケモンGO」のような「位置情報に基づくARゲーム」に対して、同郡の公園を使う場合に事前許可を必須とする旨を決定しました。これは昨夏のポケモンGOブームで、同郡の公園への損害が出たことによります。

同様の問題は世界中で起こっているはずですが、今後同様の動きが各地の行政から出るかが着目されます。

さらに広がるバグ・バウンティ制度

security

ダークネットもバグ・バウンティ

先日、ダークネットの闇市場脆弱性発見者に金を払ったという話がありました。

mokake.hatenablog.com

これを見て、他のサイトではバグ・バウンティを制度化しつつあるようです。

「ダークネットのマーケット、バグ・バウンティ・プログラムを採用へ」

www.cyberscoop.com

年間売上が300万ドル(3.6億円程度)と推定されているHansaマーケットプレイスは、1月30日に、最大10BTCの報奨金を設定しました。他に、TheRealDealやCatinaといった闇市場でも、制度はありませんが、脆弱性報告者への報奨が出ることもあるようです。

もっとも、ダークネットをスキャンするツール「OnionScan」の開発者であるSarah Jamie Lewis氏は、こういった制度は「所詮はただのパッチ」として、セキュリティやプライバシーを設計の前提にしない限りあまり効果がないと考えているようです。

バグ・バウンティ運営のHackerOne、シリーズCの資金調達に成功

「バグ・バウンティ運営のHackerOne、4000万ドルを調達、企業の脆弱性発見に投入」

venturebeat.com

ペンタゴンのバグ・バウンティ・プログラム("Hack the Pentagon")でも運営を任されていたHackerOneが、新たにシリーズC(シード後の第3回目)の資金調達を行いました。金額は4000万ドル(約50億円)。

これまでHackerOneは2014年にシリーズAで900万ドル2015年にシリーズBで2500万ドルを調達しています。

GoogleによるKrebsOnSecurity保護の背景

security

昨秋(2016年9月)、ブログ「KrebsOnSecurity」がIoTボットネットの非常に強力な攻撃を受け、Akamaiが対応しきれないと判断、その後Googleが「Project Shield」を適用して復活した、という件がありました。

先日、Enigmaセキュリティ会議において、Google側の関係者により、背後の事情が発表されました。

「いかにしてGoogleはIoTボットネットに反撃、勝利したのか」

arstechnica.com

  • 最初に打診を受けた時、Googleのセキュリティ技術者の間では「この影響でgoogle.comが落ちたら大問題だ」というリスクを懸念していたが、その後「もしボットネットで落ちるなら、今回の打診を受けなくても、そのうち落とされる。それなら失うものは何もない」という意見が優勢になり、1時間で打診を受ける決定に至った。
  • 実は、打診の時点で別の問題もあった。Project Shieldでは「申し出る側がサイトのコントロールをもつこと」が前提。にも関わらず、このときサイトは落ちており、DNSも奪取を恐れてロックされていた。しかし最終的にはGoogle側はProject Shieldの適用を決断した。
  • 小さなサイトの防衛は、実は難しい。サイトのサーバの能力が低く、対応可能なリクエスト数の上限が小さいため。Googleはサーバに届く前に攻撃アクセスを全て識別、遮断する必要があった。
  • ただし、小さなサイトでもキャッシュサーバは有効。
  • Akamai(Prolexic)が防御しきれず、Googleが耐えられたのは、Googleの方が元々の防御規模が大きかったため。
  • 今でもKrebsOnSecurityへの攻撃は続いている。

というわけです。

しかし、IoTボットネットが手軽な攻撃手段になった一方で、誰もがProject Shieldの守護を得られるわけではない以上、今後はやはり大変と言わざるを得ませんね。

伊Hacking Teamハッキング事件の容疑者が逮捕

security

「'Hacking Team'をハックしたとされる容疑者が逮捕」

thehackernews.com

イタリアのHacking Teamは、警察など政府機関にクラックツールを販売する企業。2015年に何者かにより侵入され、クラックツールのソースコードや商売上のやり取りなどの内部データが流出しました。androidのStageFright脆弱性もこれで発覚しました。また、販売先には国民に対して抑圧的な国も複数含まれ、道具的な問題が指摘されたり、韓国の諜報機関も顧客に入っていて、同国内で大問題になったりしました。

そして2017年、そもそもHacking Teamをハッキングしたとされる容疑者(自称「Phineas Fisher」)とされる人物が、スペイン当局により逮捕されました(最初に報じたとみられるのが現地紙ARAなので、正確にはカタルーニャ州と思われます)。

また、スペイン当局ではこの人物が英Gamma International(やはり政府当局向けのスパイウェアFinFisherを販売)にもハッキングをしかけたとみています。

ちなみに今回の逮捕は、カタルーニャの警察組織SMESindicat De Mossos d'Esquadra)への侵入事件に関する捜査が元だとか。

しかし、その後、Phineas Fisherがこれまで使ってきたメールアドレスから、逮捕を否定するメールが届いたようです。

「悪名高いハッカー Phineas Fisherより:私は無事だ」

motherboard.vice.com

メールには次のようにあります。

思うに、SMEは、SMEメンバーの個人情報へのリンクをリツイートした連中を逮捕しただけだろう。もしくは、ちゃんと仕事をしてると見せかけるためにアクティヴィストやアナーキストたちを逮捕しただけかもしれない。

これが本人によるものなのか、それとも何らかの代理人が扱っているのかは不明です。