Tor上のブラックマーケットAlphaBayの陥落
先日、Torネットワーク上のブラックマーケットの大物、AlphaBayとHansaが相次いで各国当局により接収されました。
Hansaについては1ヶ月ほど前に当局が確保し、そのままおとり捜査として運営を続け、AlphaBayの閉鎖を受けて逃げ出した利用者のデータをとってから閉鎖したそうですが、AlphaBayについては次の記事などに経緯があります。
「AlphaBayの破滅をもたらしたのは、一連の運用上の失敗」
そもそもAlphaBayの運営者を調べるヒントになったのは、2014年12月のメールでした。
このメールはフォーラムの開始を伝えるものでしたが、そのヘッダに管理者メールアドレスが入っていたのです。そこからFBIが調査を進めて、タイに住む20代のカナダ人男性に行き着きました。
ちなみにLinkedInの彼のプロフィールは多彩な技術をもっているというアピールになっており、少なくともある程度はAlphaBayの運営から実証されているとも言えるでしょう。彼は企業のCEOも勤めていましたが、FBIはこの会社をAlphaBayの収益の隠れ蓑と推測しています。
彼の資産は様々な形(不動産、暗号化通貨、車やボートなど)になっていますが、総額では3550万ドル(40億円水準)程度になるようです。
そして7月5日には、タイ警察によりこの男性が逮捕されました。逮捕時に彼が使っていたノートPCは、AlphaBayの管理者アカウント、加えてデータセンター業者にもログインした状態でした。
7月12日、タイ警察はこの男性がタオルで首をつった状態で死んでいるのを発見しました。正確なことは現在調査中です。
Windows10のサポート終了の一例が判明
皆さんはWindowsのサポート終了をどこで調べていますか?
公式は、次のページ群が相当するようです。
Microsoft サポート ライフサイクル - Microsoft Support
Windows ライフサイクルのファクト シート - Windows Help
Microsoft 製品のサポート期限一覧 - Windows - Project Group
ちなみに、これらのページでは、QWindows10の延長サポート終了は2025-10-14とされています。
ところで、上の最初のリンクで、Windows10の備考欄には、次のようにあります。
デバイスのハードウェアに互換性がない場合、最新のドライバーが不足している場合、または、OEM (Original Equipment Manufacturer) のサポート期間が終了している場合、デバイスは更新プログラムを受信できないことがあります。
これ、実はWindows8.1のところにはないんです。そして、これが既に実体化しています。
「マイクロソフト、Clover Trail搭載PCの延長サポートのデッドラインを認める」
Clover Trail(Atom Z2760, Z2580, Z2560, Z2520)はWindows8タブレットが大量に出たときのIntel Atomシリーズのプロセッサです。なのでタブレットや2in1タイプなどで用いられています。そのままWindows10にアップグレードした人もいることと思います。
これらの機種で、Creators Update (Windows 10 1703)を適用しようとすると、「Windows 10はこのPCではサポートされていません」と出ます。
当初、Acerのサイトで「ドライバを準備している」という文言があり、単なる時間の問題と安堵していたところに、マイクロソフトからの回答が来ました。
要点のみ。
- Windows 10ではWaaS (Windows as a Service)モデルを採用し、年2回の機能アップデートを行っている。
- 「良いWindows 10体験」のためにハードウェアやドライバなどのサポートが必要な場合がある。
- 今回のClover Trailのケースはまさにそれで、既にIntelのサポートが終了しており、「潜在的な性能への影響」なしにCreators Updateを適用できない。
- Clover Trailに対しては今後もAnniversary Updateを提供する。またセキュリティ更新を2023年1月(Windows8.1の延長サポート終了タイミング)まで提供する。
というわけです。つまり……。
- 自分が使うPCが、ある時から年2回の機能アップデートを受けられなくなる可能性がある
- 常に最新状態をキープしていても、PCによって、機能アップデートの適用状態が数年レベルで異なる可能性がある(例えば、2022年末でも、最新状態のClover Trail機は1607のまま)
年に2回も機能アップデートがあることを考えると、Android以上のフラグメンテーションが起きるかもしれません。重大な機能はそれほど多くはないものの、色々な部分が違うので、ユーザ側としては困惑する場面が今後増えていきそうです。
(重大な追記あり) Windows10の次回大型更新、国により名称が異なることが判明
【重大な追記 (2017-07-20昼)】
「'Autumn Creators Update'は誤訳だった。全世界で'Fall Creators Update'とのこと」
北米以外の英語圏でも「Fall Creators Update」という名前のままだそうです。そもそも9月は南半球では「春」ですよね。季節があまりない地域もありますし。いずれにせよ、現在のネーミングは(半年に1つずつ増えることを考えれば)問題があると思います(例えば個人的にはMacユーザではないので、lionとmountain lionとsnow leopardがどういう順序なのか全く分かりません)。Androidのように頭文字が順番になっているならまだしも、基本的に全部数字が最も明確であることに変わりはありません。
【追記ここまで】
次回のWindows 10の大型更新は「Fall Creators Update」とされていましたが…。
「イギリスでは英語が違うので、マイクロソフトはFall Updateという名を一部地域で改名」
マイクロソフトのen-UK(イギリス英語)ページでは「Autumn Creators Upadte」になってるそうです。確かに秋を'fall'というのは米語ですね。ちなみにAutumnになるのは「北米以外の英語圏」だそうです。
上記記事でも指摘がありますが、そもそも大型更新にいちいち名前をつけておいて、その割にOS内では表示されないのは混乱を招くばかりです。その上、地域によって名前が違うというのは、もはや名前が不具合と言われても仕方ないでしょう。
マイクロソフトさんが羨望し真似してる(この名前をつける件も)とおぼしき会社さんは、以前は大型ネコ科動物名、最近はカリフォルニアの地名なので、出荷先によって名前を変える必要はないようですし、スマートフォン向けでは単に数字しか出してませんね。
記事の主張(「1709」のように年+月の番号にすべき)には、個人的にも同意するところです。winverコマンドで表示できますし。PCのOSではほぼ寡占しているような企業に、これ以上混乱を増やさないでほしいものです。そんなんだとさらに"Fall"しちゃいますよ?
誕生日で認証問題・日米の例
こんな話題が出ているようで。
末尾にあるように、現在は記載が変わっていますが、実際のパスワードがどうなのかは不明ですね。
誕生日は最大でも366通りしかなく、しかも正しい誕生日を入れているなら調査可能な場合が多いので、認証に使うのは論外です。
しかし、米国でも同様の事態があるのでした。
「『Myspace』は『Yourspace』ではない」
かつてSNSの雄として名をはせたMyspaceは、2016年に3億6000万アカウントの詳細を漏洩していたことが判明しました。そんなこともあって、上記記事の筆者は、Myspaceアカウントを解除するために調べていたところ、アカウント・リカバリ機能があることに気づきました。
この機能は「登録したメールアカウントが使えなくなった場合でもMyspaceアカウントにアクセスできるため」のものですが、ここで必須な情報は次のものです。
- フルネーム
- アカウント名
- アカウントに紐付けられたメールアドレス
- 今アクセス可能なメールアドレス
- 誕生日
ただし、今アクセス可能なメールアドレスは実在チェックをしていません。また、アカウントのメールアドレスと名前はprofileページで分かります。アカウント名は自明ですね。
結局、誕生日だけでアカウントが認証されてしまいます。
筆者は4月にこの件についてMyspaceに指摘しましたが、(自動応答以外)何も返ってきませんでした。その結果がこの公開というわけです。
「Myspaceは、誕生日さえ分かればどんなアカウントでも奪取できる」
上記記事のUpdateによれば、(おそらくはこの公開を受けて)Myspaceはアカウント・リカバリのページを削除しました。
暗号弱体化に関する各国の動向(2017年)
暗号規格にバックドアを、というとクリッパー・チップを思い出します。
http://www.jiten.com/dicmi/docs/k8/15681s.htmwww.jiten.com
が、「暗号化された通信の中身を見たい」という気持ちはそう簡単になくなるものではないようです。
「オーストラリア、次回の『Five Eyes』会合で暗号規格の弱体化を推進する考え」
オーストラリアの提案内容は記事中ではあまり明確には出ていませんが、「弱体化」と「キーエスクロー(クリッパーの仕組み)」を考えているようです。
また、Five Eyes(UKUSA協定)の構成メンバーでもあるイギリスも同様のことを(以前からですが)述べています。
「英政府は暗号バックドアをほしがっているが、その実、自らのメールサーバをブルートフォース攻撃から守ることすらできていない」
一方、そのイギリスが抜けようとしているEUは……。
「EU、新しいデータプライバシー規則案で(暗号通信への)バックドア設置の禁止を検討」
ちなみに、暗号とは関係ありませんが、こんな話も。
「EU、短すぎる製品寿命に対抗して『修理する権利』の法制化を準備」
このごろ流行りのスキャナはカチューシャ
「Telegramを使ったSQLインジェクション・スキャナ、ハッキングフォーラムで$500」
(本来のソース)
「ポケットに入るサイバー兵器」
最近ハッキングフォーラムで人気の品が「カチューシャ・スキャナ」。SQLインジェクションと、オープンソースのペネトレーション・テスト用ツールAnarchi Scannerをあわせて、使いやすいWebインタフェースを備えたというものです。
加えて、Telegramメッセンジャーの通信プロトコルをもっており、ユーザ(これを購入して他サイトへの侵入を試みるクラッカー)はスマートフォンのTelegramアプリから簡単に指示を出せる、というわけです(Telegramへの攻撃などはなく、純粋に通信経路として使っている模様)。
現在はこのツールは半額($250)の機能限定バージョンや、$200/月の月額ホストレンタルも選べるようになっています。
このツールの人気の理由の1つはサポートがしっかりしていることだそうですが、機能面でも大半の処理が自動化されており、脆弱性を自動で調べて、発見次第Webシェルの設置や各種ファイルのアップロード、データベースのダンプ、ログインに必要な情報の収集などもやってくれます(高額なPro版の場合)。また、スキャンの完了時には、ユーザに対して脆弱なサイトの名前やAlexaのWebサイトレーティングなどの情報も送ってくれます。
宝くじシステムをハッキングして大儲け!(※犯罪です)
「宝くじをハッキングで操作したとして男性が有罪に」
米国の33の州、およびプエルトリコ、米ヴァージン諸島で開催される宝くじは、MUSL(※記事中ではMSLAとあるが誤記と思われる)という非営利団体が運営しています。
そして宝くじの当選番号は、MUSLの「ドロー・ルーム(くじをひく部屋)」にある、厳重に管理されたコンピュータで決まります。監視カメラも当然ついています。
そんな宝くじで、米国史上最大の宝くじ詐欺があり、その被告人が有罪判決を受けました。
詐欺の手法
詐欺の手法は、くじをひくコンピュータへのハッキング。不正なDLLを仕込んで(Windows機なんですね)、乱数生成ロジックを置き換えたのです。といっても、置き換えかたも凝っており、「1年間のうち3日(5/27. 11/22, 12/29)、2つの曜日(水、土曜日)、午後8時以降」という条件(記事では不明瞭なものの、おそらく全ての条件を満たす場合でしょう)で、仕込みの値が出るというもの。
さらに、ある程度時間が経ったらファイルを自ら削除する仕組みもついており、インストールもUSBメモリを挿すと自動的に進むという、実に周到に準備されたものでした。
ハッキング経路
しかし、犯人はどうやってこの不正なDLLをインストールしたのでしょうか。
実は犯人はMUSLのサイバーセキュリティ部長であり、くじをひくコンピュータへの物理的アクセスが可能な5人の中の1人でした。さらに、監視システムの設定を書き換えて、監視カメラの記録を「1分間に1秒だけ」に減らしたのです。USBメモリを挿して、すぐ外すだけなら、1分でできるというわけです。まるでお話みたいですね。
詐欺の実際
この詐欺の中枢は、先ほどの部長と、その兄、元同僚の3人です。他に宝くじを買ってくる者を臨時で雇っていたようです。
詐欺は2005年に始まりましたが、2011年にしくじりました。当選金の受け取りを複数回やってしまったのです。宝くじの当選者は記録、公開されるため、同一人物が複数回当たったことを受けて調査が行われ、詐欺が発覚しました。
詐欺の報酬
判明している範囲で、この詐欺による儲けは200万ドルを超えています。
- 2005年11月 568,990ドル
- 2007年12月 783,257ドル
- 2011年11月 120万ドル
でも3人で分けたら70万ドル(8000万円強)なんですね。
