それは売名行為として面白いアイディアだ。だが The Register としては一つ 指摘したい。もしもあなたが暗号化の解読に成功したなら、それを販売しよう としている会社の株を持ちたいと願うだろうか?
「この脆弱性がどのような影響を与えるのか気がかりだ。あなたは注意深くリンクをクリックしているかもしれない。しかしモバイル機器を利用する際、デスクトップで行うのと同じぐらいの慎重さでリスクを判断し、用心するとは考え難い」
彼は、そのクラウドが海外のスパイへの懸念を減らすのでなく、むしろ速く安全なローカルサービスを提供するものだと強調している。だがスイスの厳しいプライバシーポリシーは、データの安全性を不安視する人々を惹きつけるだろう。
今年シンガポール政府が発表した新しい Licensing Regime は、同国の情報を報道するオンラインのニュースサイトに対し、契約履行保証金を要求すると共に、「内容が規則違反だと判断された場合、削除の指示に24 時間以内に応じること」を要求している。
2010 年のオバマによる訪豪後、同国が Huawei の製品を禁じたことはよく知られている。米国諜報部の当局者たちから「なぜ『自由の国』が Huawei に興味を持たないのか」を学んだオーストラリアはすぐさま、NBN への入札を試みていた Huawei を乱暴に締め出した。
「Art の見解は、プライバシーに対する米国と欧州の姿勢の違いをも強調している。EUは市民の権利を土台としており、オンラインでプライバシーの権利が行使されることを望んでいる。だが米国は、すでにプライバシーをめぐる戦いに敗れたと考えている」
「広告のブロックを提供するブラウザは一つもない。それはビジネスモデルを壊すことになるからだ。現在ユーザーとベンダーのインセンティブには『ずれ』が生じている。ベンダーが広告で利益を得る以上、そのユーザーはオンライン環境において安全ではない」
ほぼ 3 分の 2 の回答者は、過去 12 か月の間にモバイルでのサイバー犯罪にあったと答えており、それは世界平均の 38 %を大きく上回っている。また、およそ半分の回答者は、スマートフォンやタブレット用のセキュリティ製品の存在を認識していなかった。
同社はおそらく、着信するトラフィックの洪水のために、世界中の数千のエッジサーバを「スケーラブルで柔軟なフロントエンド」として機能するよう利用するのだろうと我々は推測することができる。
この業種の企業にとってのベストプラクティスは『こういったデータが悪者の手に渡るリスクを軽減するため、常にできるかぎり少ない顧客情報を収集して保存せよ』とアドバイスされている。セキュリティ違反の恐怖は、そのアドバイスの理由を再び例証するものだ。
主に、子供たちはソーシャルネットワークの利用、ビデオ鑑賞、ゲームのためにウェブを使用していた。そのゲームには Call of Duty Black Ops や Modern Warfare のような、18 才以上のみを対象としたゲームが含まれている。
シグネチャベースのスキャニングで有利な産業を構築してきた大企業にとって、この発表は前途多難の警告だ。この業界の誰よりもはるかに早く欠陥を検出し、それを修正できるシステムが構築された場合、この業界には悲しい運命が待ち受けている。
それはゾンビ化された PC のドローンでなく、侵害されたサーバのネットワークの動力を得た攻撃と考えるのが最も有力だろうと彼は語った。不安定なサーバ装置を「徴用」して DDoS 攻撃のリソースとする行為は、ここ数か月間、ハッカーの戦術として広く利用されてきた。
「多くの政府機関が足並みを揃え、すべてのベンダーに対して一定のセキュリティ標準を要求すれば、その新しい標準へと産業全体が切り替わるようになる。また、いったん政府がそれを行えば、大手企業も彼らに続いて同じことをするようになる」
もう我々は何を信じるべきなのか分からない。NSA が暗号化のソフトウェア、ハードウェアに手を加えようとしているという確かな証拠が我々には与えられており、また常識的に考えるなら、おそらく(それを行っているのは)NSA だけではないだろう。
その機関は、データが主要な「インターネットの通過ポイント」を通過する際、そのデータを捕らえる。したがって彼らは、Google や Yahoo! のサーバ内部からデータを吸い上げる必要がない。そのため、欲しい情報を公式に要求する必要もない。
この詐欺は「カード利用者の詳細情報や、より複雑な他の情報を盗み出すスキマー」を必要としない ATM 詐欺だ。SafenSoft によると、Ploutus ベースの攻撃は、これまでのところ店外設置の ATM を標的としているという。
「これは NSA が検知を回避する方法であり、そして中流レベルのオペレータを、いわゆる『サイバー戦士』に変えている方法でもある。彼らが熟練したハッカーであるというわけではなく、その手順が彼らのために仕事をしているということだ」
その狙いは、ただ単に人数を増やすだけでなく、「顕著な能力を持った人材」を見出すことにあるようだ――それを口にすることは実現することより容易い。予算が厳しく、さらに卒業生たちが他の職業を選択したいと望みつづけている場合は尚更のことだ。
「我々が Operation DeputyDog に関する最初の報告をしてから、少なくとも他に 3 つの APT 攻撃(Web2Crew、Taidoor、th3bug と呼ばれている)の活動が、それぞれの目標に対して独自のペイロードを送り込むために、同じエクスプロイトを利用してきた」
詳細は記事の中でリスト化されているが、それが目指すところは、バグの報告を容易に行えるようにし、評価および応答処理を迅速に実施し、問題点を迅速に修正し、そしてバグを発見した研究者には適切な敬意を送るという約束だ。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)