2014年のセキュリティ関連ツイート10選

昨年はITセキュリティの分野で重要な出来事がたくさん起きました。世界中の何百万台というコンピューターに影響する大規模な脆弱性から、限られた地域でのサイバー犯罪者との戦いまで、さまざまなことがありました。こうした出来事は、どれも何らかの形でソーシャルネットワークと結びついています。特に、ニュースサービスという側面もあるTwitterはそうです。ここでは、2014年のＩＴセキュリティに関連するツイートの中から選りすぐりの10選を紹介します。

1. 3月、ハッカー集団「Pump Water Reboot」のメンバーとして活動していたサイバー犯罪者が、人気のあるオンラインコミュニティや銀行など、ロシアの複数のWebサービスに対し、一連のDDoS攻撃を開始しました。この犯罪者は、攻撃を停止する見返りとして、各標的に1,000ドルの支払いを要求しました。

下のツイートは、ロシアの銀行家で、オンライン専門の銀行Tinkoff Credit Systemsの設立者であるオレグ・ティンコフ（Oleg Tinkov）氏を脅したものです。

@olegtinkov На ваш сайт ведется DDoS – атака. Мы предлагаем решение этой проблемы. Атака прекратится если Вы готовы заплатить 1 000$.

— Pump Water (@PumpWaterReboot) March 24, 2014

（訳： あなたのサイトはDDoS攻撃を受けている。この問題の解決方法を提案しよう。1,000ドル払えば攻撃を停止する）

警察は昨年の夏までにこのサイバー犯罪者を逮捕し、2か月後には執行猶予2年6か月、罰金1,200万ルーブル（約40万ドル）という判決が下っています。19歳の少年には、あまりに高額な罰金です。そう、この恐喝事件の犯人は未成年の学生でした。

2. Heartbleedは、インターネット上のＷｅｂサイトの3分の2を脅かした脆弱性です。詳しくは当ブログの記事をご覧ください。何が起きたのか、そしてどのような影響があるのかは、XKCD Comicの著者が最も的確かつ簡単にまとめています。

Heartbleed http://t.co/wxVnw6YK6Q http://t.co/j1iYb4DC7l pic.twitter.com/ekr3nFr1oW

— XKCD Comic (@xkcdComic) April 9, 2014

Heartbleedの影響は長期にわたって続くでしょう。今も何万台という脆弱なサーバーが、更新されることなく稼働しています。その多くは、今後もこの脆弱性が修正されないままと見られています。

3. Kaspersky Labが選ぶ「2014年のベストツイート」の作者は、信じられないかもしれませんが、CIAの人たちです。タフな連中にもユーモアのセンスがあるというのは素敵なことですね。

We can neither confirm nor deny that this is our first tweet.

— CIA (@CIA) June 6, 2014

4. 8月中旬、現代の政治家なら誰にでも起こりうる出来事が、ロシアのドミートリー・メドヴェージェフ（Dmitry Medvedev）首相を襲いました。Twitterアカウントが何者かに乗っ取られ、同首相を笑いものにするようなツイートが多数投稿されました。

（訳： 辞任します。政府の行為を恥ずかしく思っているので。残念です）

メドヴェージェフ首相の他のアカウントも同時にハッキングされました。そのため、メドヴェージェフ首相のモバイルデバイスからプライベートな写真や通信内容が流出しています。しかし、ハッカーが投稿したツイートは後日すべて削除されました。ハッカーの身に何が起きたのか（捕まっているとしたら、ですが）は今も明らかになっていません。

5. その2週間後に別の流出事件が起きましたが、こちらはもっと広い範囲に影響が及びました。ジェニファー・ローレンス（Jennifer Lawrence）さんをはじめ、複数のセレブの裸の写真がインターネットで大量に公開されたのです。

https://twitter.com/YahoodiSaazish/status/506139424426446848

この流出事件はすぐに「The Fappening」という名前が付けられ、世界中に衝撃を与えました。セレブたちは普段よりずっと大きな注目を集めるようになり、写真を掲載したWebサービスは相当な広告収入を得ました。特に、人気WebサイトのRedditは、1か月分のプロジェクト費用をまかなえるだけの金額を、ほんの数日で稼ぎました。

6. 秋には特に多くの出来事がありました。まず、Bashシェルの根本的な脆弱性が9月に発見されました。この脆弱性は現在、BashdoorまたはShellshockと呼ばれています。2014年に何百万台ものコンピューター（ほとんどはサーバー）が侵害されたのは、これで2度目でした。このバグを発見した男性は、最初は自分のTwitterに何も投稿していませんでしたが、後になって貴重なツイートを投稿しています。男性の説明によると、この脆弱性は1989年、つまり25年前から存在していた可能性が高いそうです。

Shellshock was actually introduced in bash-1.03 (1989, 25y ago), not 1.13 as Chet, I and others have said earlier (http://t.co/LC5TEqpqkx)

— Stephane Chazelas (@SChazelas) October 4, 2014

Bushdoorも、先ほど紹介したHeartbleedも、その影響は長期にわたって続くでしょう。

7. その数週間後、また全世界に影響の及ぶ脅威が発見されました。10月上旬、2人のリサーチャーが、地球上のすべてのUSBデバイスが根本的な脆弱性を抱えていると発表しました。リサーチャーらはどういうわけかこの発見についてツイートしませんでしたが、我々が投稿しました。

BadUSB research: "You can’t trust anything you plug into your PC, not even a flash drive" https://t.co/kOkdrw8dEZ pic.twitter.com/ANYpF01EY6

— Eugene Kaspersky (@e_kaspersky) October 3, 2014

このバグに対する対策として世界中で何をすべきなのかは、いまだにはっきりしていません。唯一わかっている保護対策は、怪しいUSBデバイス（キーボードやマウスに限らず、あらゆるUSBデバイス）を使用しない、ということです。

8. また別の流出事件が10月中旬に発生しました。今回被害に遭ったのはDropboxのユーザーです。Dropboxの関係者はすぐに、ハッキングを受けた事実はなく、流出したデータは別の何らかの手段で収集されたものだと発表しました。

Reports claiming we’ve been hacked aren’t true. Your stuff is safe. More info on our blog: http://t.co/vI6sfNjC4Z

— Dropbox Support (@DropboxSupport) October 14, 2014

多くの人はDropboxがハッキングされたと考えていますが、同社は信用をなくすよりも侵入者と内密に「交渉」したいようです。

9. 10月下旬にある出来事があったのですが、あまり注目されませんでした。Twitterが、パスワードに代わる、より高度な認証システムを採用する計画を発表したのです。しかも、Twitterユーザーのアカウントのパスワードだけではありません。Digitsプラットフォームを使用すれば、サードパーティが開発したアプリでもユーザーを認証できます。

https://twitter.com/digits/status/524977241780805632

パスワードに代わるものを生み出すという取り組みは何度も行われてきましたが、ご存じのように今まで誰も成功していません。しかし、Twitterは成功する可能性があり、このパスワードという古い認証手段を使わなくてもよい日が数年以内にやってくるかもしれません。

10. パスワードの話が出ましたが、PC上の暗号化されていないファイルにパスワードを保存しないでください。Sony Picturesと同じ目に遭ってしまいます。同社はハッカー集団GOPの大規模な攻撃を受けました。サイバー犯罪者らは、攻撃を始める前にSony PicturesのTwitterアカウントを盗み、同社の最高経営責任者（CEO）に対し、ハッキングをしかけると脅迫していました。

残念ながら、単なる脅迫で済まなかったため、Sony Picturesは個人情報流出という地獄に苦しむことになりました。Sonyに関する事件の詳細については当ブログの記事をご覧ください。