海外における個人情報流出事件とその対応第215回 今年も懸念されるサイバースパイ活動(2) 国家と企業を悩ますサイバースパイ
●国家と企業を悩ますサイバースパイ
1月18日付けの、米軍から業務を請け負っている企業への攻撃を伝えた『The Register』は、「サイバースパイ攻撃は継続的な問題だ」と指摘している。Googleが1月12日に中国撤廃を示唆したことで注目されているが、これはGoogleおよび少
国際
海外情報
1月18日付けの、米軍から業務を請け負っている企業への攻撃を伝えた『The Register』は、「サイバースパイ攻撃は継続的な問題だ」と指摘している。Googleが1月12日に中国撤廃を示唆したことで注目されているが、これはGoogleおよび少なくとも20社に対して、“極めて高度で、かつターゲットをしぼった攻撃”が12月中旬に中国から行われたためだ。
Googleの企業開発担当副社長で最高法務責任者のDavid Drummondは、その声明で「これまでの調査によると、攻撃は目的を達成していない」という。ただし、攻撃の結果、「Googleサイトの検閲を容認していく意思はない」と強い姿勢を示した上で、中国でのサイトや事務所の閉鎖の可能性も挙げた。
さらに、攻撃の詳細も発表。中国からの企業のインフラへの攻撃により、知的財産の盗難の被害に遭ったことを明らかにしている。
また、攻撃はGoogleに対してだけではなく、インターネット、金融、テクノロジー、メディア、化学セクターなど様々な事業が、同様に被害に遭っていると明らかにしている。攻撃を受けた企業の多くはFortune 500にリストされているというが、Googleでは社名は発表してはいなかった。
しかし、『Washington Post』によれば、Yahoo!、シマンテック、アドビ、ノースロップ・グラマン、ダウ・ケミカルといった大企業だ。被害を受けた会社数はGoogleは20社ほどとしているが、VeriSignのiDefenseのセキュリティ研究所では、30を超えるという。攻撃では、反体制派についての情報を集めようとしていたらしい。
攻撃側の主要目標は、中国の人権擁護活動家のGmailアカウントにアクセスすることだったようだと、Googleでは述べている。ただし、12日時点での調査の結果では、攻撃者は2つのアカウントへのみアクセスに成功していて、かつ入手したのはアカウント作成日などのアカウント情報に限られている。Googleが攻撃側では目的を達成していないと考えるのはそのためだ。
さらに中国での人権擁護について活動を展開するユーザのGmailアカウントへも何者かが定期的にアクセスしていたことを発見した。中国だけでなく、米国やヨーロッパのユーザも攻撃されていた。これらのアカウントについては、Googleにおけるセキュリティ事件ではなく、ユーザがフィッシングメールなどを受信したことで、ユーザのコンピュータからの情報漏洩だ。
Googleでは中国からの攻撃というだけで、政府の関与を名指してはいないが、iDefenseではこの攻撃の背後には中国政府があるとはっきりと指摘している。攻撃のIPとドロップサーバのソースは、中国政府職員もしくはそのプロキシと一致しているという。
●インドも中国からの攻撃を主張
中国はインドも攻撃したようだ。英国の高級紙『タイムズ』では、インドの国家安全保障に関わるNational Security Adviserと他の部門が12月15日にサイバー攻撃を受けたと、1月まで国家安全の責任者を務めた、M. K. Narayananから聞いている。同じ日に米国の企業も中国から攻撃されているという。
さらに『タイムズ』のインタビューに対して、Narayananは、「我々のコンピュータにハッキングしようとしたのは、これが初めてのことではない」として、
※本記事は有料購読会員に全文を配信しました
(バンクーバー新報 西川桂子)
Scan PREMIUM 会員限定記事
もっと見る-
-
OWASP データブリーチ
幸いなことに、これらの履歴書の情報はほとんどの場合少なくとも 10 年前のものだが、それでも個人情報が多く含まれていることには変わりない。
-
悪夢の検証 大英図書館ランサムウェア ~ 過ちが語る普遍的な物語
大英図書館には多くの個性がある。独特の複雑な役割分担があり、それは法律で独自に規制されている。別の見方をすれば、ITインフラストラクチャは古くから確立されたコアサービスとの間でリソースを奪い合い、しばしば失敗するという点で、国やその他の大規模な組織の典型である。大英図書館の状況も、うまくいかないことの壮大な例にすぎない。
-
AI アプリ標的 ゼロクリックワーム開発/北 韓国半導体企業へ攻撃/米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]
興味深い研究発表として、イスラエル工科大学やコーネル工科大学などの研究者は、OpenAI の ChatGPT や Google の Gemini など、生成 AI を活用する AI アプリケーションを標的としたゼロクリックワーム「Morris II」を開発し、ユーザーの個人情報の窃取に成功したことを発表しました。