WannaCryの被害を一部食い止めた研究者、FBIに逮捕される

「WannaCryランサムウェアを止めた研究者、Def Conの後で米国により拘束」

motherboard.vice.com

「MalwareTech氏、Kronosバンキング・マルウェア作成容疑でFBIにより逮捕」

www.bleepingcomputer.com

WannaCryが流行した時、これを解析して「特定のURLからの応答があればファイルの暗号化を行わない」ことを発見し、その「キル・スイッチ」を作動させて被害を一部抑えたセキュリティ研究者「MalwareTech」氏(英国人)が、米国で開かれていたBlackHatおよびDef Conへの出席後にFBIにより逮捕されました。

容疑は「Kronosマルウェアの開発と更新」です。

FBIや英サイバーセキュリティーセンターなどからは、現在の彼の所在などは一切明かされていません。

Kronosはネット・バンキングを利用したマルウェアで、少なくとも2014年7月には存在し、2000~7000ドルで販売されていました。これが販売されていた場所の1つは、先日米国が押収したAlphaBayです。

mokake.hatenablog.com

セキュリティ関係者の間では、彼がKronosを作ったという容疑への疑いや、正当な法的保護が得られるかへの懸念などの声が出ています。

「ルンバが家の中の情報を売る」話、広がりを受けて開発元が発言

「『ルンバはスパイではない』:iRobotのCEO、顧客データを販売しないと発言」

www.zdnet.com

いまさらですが、iRobot(ルンバ開発元)が顧客の家の中のデータを販売すると述べて大騒ぎになった件の続きです(元の件を書いたので)。

iRobot CEOからのメッセージはやや長いので肝心な部分のみ。

  • 当社は顧客データを販売しない。
  • 顧客の家の中にある他のネットワーク機器との協調を望むのであれば、顧客が許可することでデータを共有する。
  • 販売するという報道は「誤解」。
  • ルンバ900シリーズは家の中のマッピングデータを本体内に保持する。
  • WiFi搭載ルンバは使用データ(掃除で移動した総延長や発生したエラーなど)をサーバに送信する。顧客はこれを自分で参照できる。移動で用いた画像は送信されない。
  • 顧客が家の中のマップをスマートフォンなどで見られるようにする設定を有効にすると、サーバにデータを送信する。

この回答をどう見るかは見る人次第、ということで。

Torでデータを交換するメッセンジャーBriar、セキュリティ監査を通過

「TorベースのメッセンジャーBriar、セキュリティ監査を通過。ベータ段階へ」

www.bleepingcomputer.com

プライバシーを重視したメッセンジャーといえばSignalですが、データをTorネットワークで中継することで、匿名性をさらに高めたBriarの開発が進んでいます。

先日、セキュリティ監査がCure53(SecureDropやDovecotも調査した組織)により行われ、適切との結論が下されました。

もちろんEnd-to-end暗号化、Forward secrecy。メタデータをやり取りしないようになっています。また、状況によってはWiFiネットワーク内部やbluetoothメッシュで通信することも可能です。

とりあえず現状ではAndroidアプリのみですが、iOS版も検討はされています。

なお、Torを介するメッセンジャーとしてはTor本家によるTor MessengerがデスクトップOS(Linux, macOS, Windows)で使えます。BriarはTor本家とも協力関係にあるとのことです(が、おそらくプロトコルが違うので相互通信は現状では無理でしょう)。

ランサムウェアの被害の実例

ランサムウェアの被害は個人や病院(英NHSとか)など、色々と出ていますが、先日2件の具体例が出ていたので、簡単にご紹介。

米公共放送KQED

「ラジオ局やテレビ局、ランサムウェア感染後1ヶ月たっても復帰作業が続く」

www.bleepingcomputer.com

NPR(米公共放送)ネットワークの1つであるKQEDは、6月15日にランサムウェアの攻撃に遭い、その後1ヶ月以上、重要な機材を全てオフラインにしています。

KQEDを襲ったランサムウェアは異常に身代金が高く(感染PCの1台あたり1.7BTC。これを書いている時点では4600米ドル、50万円強)、KQEDは支払うより設備を初期化して立て直す道を選びました。

  • 感染当日の夜から翌朝まで、12時間の放送停止
  • メールサーバ復旧に2週間
  • 感染後2週間、録音は別スタジオで
  • 記事時点(7月19日)でも、テレビ放送のタイミング調整はストップウォッチを使用(通常は専用ソフトで行っている)
  • アクセス・カード(入館カード?)が発行できないため、新しい従業員が働けない

FedEx

FedEx、NotPetyaによるダメージが恒久的に影響する可能性を示唆」

www.bleepingcomputer.com

FedExの年次報告書(10-K)で、NotPetyaの影響について記載があります。

特に大きな影響を受けたのは、ウクライナの部門(特に2016年に買収したウクライナの物流業者TNT Express B.V.)。しかしそこから他の国にあるシステムにも影響が出たようです。

「システムおよび重要な業務データについて、TNTが全てを復旧できない可能性がある」とされており、当面の損失や将来的なコスト増も発生するとみられています。

ちなみにFedExの発表と同じ日に英ロイズは今後のサイバー攻撃で発生しうる損失額を最大で1200億ドル強と推定し(もちろん、こういった推定は自社の宣伝を考慮していますが)、保険に入ることを推奨しています。

中国、新疆ウイグル自治区の住民にスパイウェア導入を指示

「中国、ムスリムスマートフォンへのスパイアプリのインストールを強制」

news.softpedia.com

中国西部の新疆ウイグル自治区は、以前から当局による弾圧が多い地域です。この地域の住民に対して、WeChat(中国で人気のメッセンジャーアプリ)を通じて、Jingwang(英語で"Clear Internet"という意味だそうなので、中国語の「清網」でしょうか)アプリをインストールせよとの指示が出ています。

これはインストールした人の行動をスパイするためのもので、メッセンジャーでのやり取りや無線接続、SIMカード、保存されたメディアファイルなどの情報を取得します。

さらに、警察がランダムにインストール状況をチェックする予定ともされています。インストールしていない場合、拘留される可能性があります。

ルンバはホームスパイ?

「ルンバはせっせと家の中をマッピング。そして今やそのデータが売られる可能性も」

www.theverge.com

2015年に出たWiFi接続機能のついたルンバは家の中の形をセンサなどで調べていますが、そのデータはメーカ(iRobot社)のサーバにも送信されており、販売される可能性がある模様。

利用者の同意は必要なものの、色々な機能の利用とデータ販売がバーターなので同意する利用者は多そうです。

どの程度のデータが収集、販売されるのかぐらいは明示されるべきだと思うのですけどね。

Tor上のブラックマーケットAlphaBayの陥落

先日、Torネットワーク上のブラックマーケットの大物、AlphaBayとHansaが相次いで各国当局により接収されました。

Hansaについては1ヶ月ほど前に当局が確保し、そのままおとり捜査として運営を続け、AlphaBayの閉鎖を受けて逃げ出した利用者のデータをとってから閉鎖したそうですが、AlphaBayについては次の記事などに経緯があります。

「AlphaBayの破滅をもたらしたのは、一連の運用上の失敗」

www.bleepingcomputer.com

そもそもAlphaBayの運営者を調べるヒントになったのは、2014年12月のメールでした。

このメールはフォーラムの開始を伝えるものでしたが、そのヘッダに管理者メールアドレスが入っていたのです。そこからFBIが調査を進めて、タイに住む20代のカナダ人男性に行き着きました。

ちなみにLinkedInの彼のプロフィールは多彩な技術をもっているというアピールになっており、少なくともある程度はAlphaBayの運営から実証されているとも言えるでしょう。彼は企業のCEOも勤めていましたが、FBIはこの会社をAlphaBayの収益の隠れ蓑と推測しています。

彼の資産は様々な形(不動産、暗号化通貨、車やボートなど)になっていますが、総額では3550万ドル(40億円水準)程度になるようです。

そして7月5日には、タイ警察によりこの男性が逮捕されました。逮捕時に彼が使っていたノートPCは、AlphaBayの管理者アカウント、加えてデータセンター業者にもログインした状態でした。

7月12日、タイ警察はこの男性がタオルで首をつった状態で死んでいるのを発見しました。正確なことは現在調査中です。