インド、エジプト、アフリカのハッカーたちがグーグル社のバグ発見報奨金の支払いで貧困から脱出している。ムンバイの親たちは息子が弁護士になることを夢見てきたが、経済的解放がバグハンターとしての成功によってもたらされることに気付いた。
保育士夫婦の息子Wakelamがハイスクールから脱出したのは、3年生の終わりだった。両親は、将来を見据えた決断だとして支持した。バグ発見報奨金は儲かる仕事として、また履歴書の穴を埋めるものとして、中退したWakelamに最適だった。
世界最大手のテクノロジー企業や家電メーカーのセキュリティホールを見つけ出して報告するという、バグ発見報奨ブームに乗った世界中に数百人ほどいる有能なハッカーのうちの1人が彼だ。
多くのWebサイトではTorネットワークからのアクセスをブロックしているが、その理由は意図的な場合と、Torネットワークからの不正なトラフィックに警戒している場合が挙げられる。
ハッカー集団がASUSルータのIPアドレスを走査する無料のツールを用いて、脆弱なキットの一部として12,937件を見つけ、3,131件のAiCloudのアカウントのログイン情報を盗み出してから、これをネット上に投稿した。
Operation Blockbusterは、Lazarus Groupから自衛できるよう、複数のセキュリティベンダーが各社のインテリジェンスやリソースを共有する。共同オペレーションはセキュリティ業界では珍しくもないが、特定グループをターゲットとしたコラボレーションは非常にまれと言える。
ドメイン名システムのための複雑なセキュリティプロトコル、DNSSECが分散型サービス攻撃に利用できるという汚点が新たに指摘された。
「この点において、当社は法律の認める範囲内で、当社の総力を挙げて対応を行った。しかしながらここで、作成するには危険すぎると当社が考えるものを米国政府が我々に求めている。政府はiPhoneにバックドアを設けるように当社に依頼してきた。」
カリフォルニア州の中央地方裁判所が Apple に対して「暗号解読」を命じなかった──そのかわりにロック解除のメカニズムを効果的に迂回できるツールを提供することを Apple に求めた──のは、注目すべき重要な点だ。
「Ev4cuati0nSquad」を名乗るグループは先月、英国、米国、オーストラリアなど複数の国の学校に対し、数十件の虚偽の爆破予告を電話で行った。それは学校の閉鎖や、広範囲に渡るパニックを引き起こした。
2016年7月30日以降、AdWordsとDoubleClickはFlashの広告のアップロードを認めないとGoogleは広告主たちに告知した。来たる2017年1月2日にはGoogle Display Networkで、あるいはDoubleClickでディスプレイ広告が動作しなくなる。
「Gophishは、現実社会で行われるフィッシング攻撃を、極めて分かりやすくシミュレーションさせる『フィッシングのフレームワーク』だ」と語る Wright は、このプラットフォームを「誰にでも利用できる、産業グレードのフィッシング訓練」と表現している。
「我々が言えることは、『その攻撃の背後にいた犯罪者は、専門的なハッカーには程遠い存在だった』ということだ。Adwindの顧客の大半は、そのレベルのコンピュータの教養しか身につけていないと我々は考えている。それは気がかりな傾向だ」
攻撃者は、そのデバイスを「マルウェアのストア」に変化させる能力を持つことになる。それは、このスマート(と呼ばれている)サーモスタットと同じ無線ネットワークを利用している他のデバイスをマルウェアに感染させるために利用できるだろう。
その悪党は「司法省のメールアカウントが侵害されたおかげで、数百ギガバイトのデータを手に入れた」と主張している。ただし、受信ボックスが乗っ取られたという確かな証拠は何もない。
IoT 製品から得られるデータは非常に貴重なものとなりえる。それらの製品の多くがマイクや動作センサーを搭載している。たとえば新しいスマートテレビや子供の玩具、あるいは Amazon の「Echo」のような音声制御の製品などだ。
そこには「これまでメーカーがあまりにも頻繁に無視してきたこと」のリストが与えられている。良い暗号、API セキュリティモデル、前方秘匿性、アプリケーションのロールバック、署名されたアプリケーションイメージを、GSMA は必要条件として述べている。
ネットワークマッピングツールやファジングツールなど、ハッカーが利用するユーティリティは様々だが、それらはサイバーセキュリティ業界にとっても不可欠だ。先の「調整された提案」の下では、これらを海外へ持ち出すことが禁止されていただろう。
この失敗は、ニュージャージーに拠点を置く Linux サーバホスティング業者がクリスマス後、データセンターに 10 日間の DDoS 攻撃を受け、ハッキングの恐怖に襲われたことにより、同社のユーザーアカウントのパスワードを 1 月にリセットしたあとに起きたものだ。
たしかに、その表現は少なからず大雑把に見える。NSA の解釈によれば、彼らが大量のオンライン情報を収集し保管することは監視に該当せず、「それを分析者が実際に見た場合」のみが監視行為となるため、この点は明確化する必要がある。
「不正な情報開示」によるデータ侵害事件の大半は、国境と移民に焦点を当てたものだった。そこには事業の提携相手によるミス(約 150 人分の詳細情報が失われた)が含まれているが、それ以上の情報は何も提供されていない。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)