「Ev4cuati0nSquad」を名乗るグループは先月、英国、米国、オーストラリアなど複数の国の学校に対し、数十件の虚偽の爆破予告を電話で行った。それは学校の閉鎖や、広範囲に渡るパニックを引き起こした。
2016年7月30日以降、AdWordsとDoubleClickはFlashの広告のアップロードを認めないとGoogleは広告主たちに告知した。来たる2017年1月2日にはGoogle Display Networkで、あるいはDoubleClickでディスプレイ広告が動作しなくなる。
「Gophishは、現実社会で行われるフィッシング攻撃を、極めて分かりやすくシミュレーションさせる『フィッシングのフレームワーク』だ」と語る Wright は、このプラットフォームを「誰にでも利用できる、産業グレードのフィッシング訓練」と表現している。
「我々が言えることは、『その攻撃の背後にいた犯罪者は、専門的なハッカーには程遠い存在だった』ということだ。Adwindの顧客の大半は、そのレベルのコンピュータの教養しか身につけていないと我々は考えている。それは気がかりな傾向だ」
「日本では、セキュリティ対策というと、個人情報保護法やJ-SOX法など、どちらかというとコンプライアンス面から考えていた傾向があります。しかし、今やサイバー攻撃は現実的な脅威となり、どんな企業や組織も標的となりうるとの認識が高まっています。」
攻撃者は、そのデバイスを「マルウェアのストア」に変化させる能力を持つことになる。それは、このスマート(と呼ばれている)サーモスタットと同じ無線ネットワークを利用している他のデバイスをマルウェアに感染させるために利用できるだろう。
その悪党は「司法省のメールアカウントが侵害されたおかげで、数百ギガバイトのデータを手に入れた」と主張している。ただし、受信ボックスが乗っ取られたという確かな証拠は何もない。
IoT 製品から得られるデータは非常に貴重なものとなりえる。それらの製品の多くがマイクや動作センサーを搭載している。たとえば新しいスマートテレビや子供の玩具、あるいは Amazon の「Echo」のような音声制御の製品などだ。
そこには「これまでメーカーがあまりにも頻繁に無視してきたこと」のリストが与えられている。良い暗号、API セキュリティモデル、前方秘匿性、アプリケーションのロールバック、署名されたアプリケーションイメージを、GSMA は必要条件として述べている。
ネットワークマッピングツールやファジングツールなど、ハッカーが利用するユーティリティは様々だが、それらはサイバーセキュリティ業界にとっても不可欠だ。先の「調整された提案」の下では、これらを海外へ持ち出すことが禁止されていただろう。
Facebookで何に 「いいね!」 を押したかなどの個人の 「小さな」 データの収集はなぜ問題になるのでしょうか?消費者が、自分自身に関する情報を共有したければ共有でき、自分の情報の利用方法を自分で決定できるためにはどのような枠組みが必要でしょうか?
この失敗は、ニュージャージーに拠点を置く Linux サーバホスティング業者がクリスマス後、データセンターに 10 日間の DDoS 攻撃を受け、ハッキングの恐怖に襲われたことにより、同社のユーザーアカウントのパスワードを 1 月にリセットしたあとに起きたものだ。
たしかに、その表現は少なからず大雑把に見える。NSA の解釈によれば、彼らが大量のオンライン情報を収集し保管することは監視に該当せず、「それを分析者が実際に見た場合」のみが監視行為となるため、この点は明確化する必要がある。
「不正な情報開示」によるデータ侵害事件の大半は、国境と移民に焦点を当てたものだった。そこには事業の提携相手によるミス(約 150 人分の詳細情報が失われた)が含まれているが、それ以上の情報は何も提供されていない。
「それらのイメージを、ほぼリアルタイムで解読するために必要となる演算能力は膨大だったが、それでもイメージの内容を見極めるには、それほど多くの労力を費やさずに個々のフレームを解読することが可能だ」とある。
HTTP のレスポンスヘッダを適切に設定することは、ただ単に「理想とされる任務」ではなく、ウェブのセキュリティに重要な利益をもたらすもので、また独立したセキュリティ専門家によって確認される任務だ、と開発者の Scott Helme は語る。
Network Time Protocol の脆弱性を悪用した反射攻撃(Reflection attack)や増幅攻撃(AMP、Amplification attack)の人気は衰えていない。それらの攻撃に対抗するため、サーバには継続的にパッチが適用されている。
「彼らが Word 文書を利用することは事前に予想していたので、これは我々の疑いを確証するものだった。一般的に言えば、『マクロを含んだ Word 文書』は、APT 攻撃を行う人々の間でますます人気が高くなっている」
情報流出のリスクを抑制し、データに対する適切なレベルの保護を実行するには何が必要でしょうか?組織が保持しているデータを区分し、どのようなデータを誰から守るべきかについて、論理的な境界線を引くことが重要です。
監督委員会は(政府の)各部門に対する ScreenOS の利用の監査を 2月4日 に行うとし、それまでわずかな猶予を与えた──それはちょっと難しい頼みだと我々は考える。連邦政府の一部の IT 担当者は心臓発作を起こすかもしれない。
機密がどこにあるか検知する方法として、データ分類という対策を考えてみましょう。情報を 「社外公開可能」「内部向け」「秘密」「最高機密」 などに分類する方法です。そして、まさにここから、システムが機能しなくなるのです。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)