先週の注目ニュース:Teslaのぜい弱性、Safariの修正、Xboxのバグなど

先週もセキュリティ関連のニュースが数多く報じられました。Teslaの電気自動車のぜい弱性、Mt. Goxをめぐる新たな動き、世界のフィッシング攻撃に関する調査結果など、先週の注目ニュースを紹介します。

先週のニュース

先週の概要をお伝えする前に、今週のできごとに触れたいと思います。Microsoftはついに、Windows XPのサポートを終了しました。かつてあらゆる場所で使用され、常にぜい弱性を抱えてながらも未だに広く利用されているオペレーティングシステムですが、これについては後日詳しくお伝えします。

では、先週起きたことを紹介していきましょう。Bitcoinに関してさらなるニュースが届き、TeslaのモデルSにセキュリティの懸念が浮上したほか、世界のフィッシング攻撃についての分析、AppleのSafariブラウザーの修正、Phillips製スマートテレビのバグといったニュースがありました。

ロイターの報道によると、米国テキサス州の連邦裁判所判事が、Mt. Goxの最高経営責任者(CEO)マーク・カーペレス(Mark Karpeles)氏に対し、米国の裁判所に出頭して同社の破産申請に関する質問に答えるよう命じました。Mt. Goxはかつて、デジタル仮想通貨「Bitcoin」の世界最大の取引所でしたが、4億ドル相当と言われるBitcoinを失い、その後破産を申請して2月に閉鎖されています。カーペレス氏は米国連邦破産法第15章の破産保護を、出頭を命じられたテキサス州の裁判所に申請していますが、それはシカゴで起きた集団訴訟を回避するためだと報じられています。テキサス州の判事は、自分の裁判所で保護を求めたいのであれば、その前にやって来て法廷に立つべきとの考えです。

Threatpostを担当している私の同僚、クリス・ブルック(Chris Brookは、Philipsの人気のインターネット対応スマートテレビの一部のバージョンに、ぜい弱性があると指摘しています。攻撃者にこのぜい弱性を悪用されると、テレビ本体のシステムファイルや設定ファイル、さらにはテレビに接続されるUSBメモリ内のファイルに保存された重要な情報にアクセスされてしまう恐れがあります。これとまったく同じテレビでインターネットを閲覧した場合、攻撃者にCookieを盗まれ、特定のWebサイトやオンラインアカウントへのアクセスに利用されることも考えられます。この問題はMiracastというWi-Fi機能に関係しており、Miracastは、設定済みの固定のパスワードによって規定で有効になっています。このパスワードのために、デバイスのWi-Fiアダプターの電波が届く範囲にいれば、誰でもこのテレビに接続して多くの機能を利用することができます。

同じくThreatpost担当のデニス・フィッシャー(Dennis Fisher)は、人気が高い100%電気自動車の上位車種であるTeslaモデルSのモバイルアプリに、ぜい弱な1要素認証システムが使用されていると報告しました。このモバイルアプリは自動車のドアロックの解除などに使用されます。リサーチャーのニテシュ・ダーンジャニ(Nitesh Dhanjani)氏は、新たにTesla製自動車を購入した人が同社のサイトにアカウントを登録する際、6桁のパスワードを作成しなければならないことを発見しました。このパスワードはiPhoneアプリへのログインに使用され、アプリを使ってドアロック、サスペンションやブレーキシステム、サンルーフを操作することができます。本当の問題は、ログインの試行回数に制限がないことです。つまり、比較的短いパスワードに総当たり攻撃を実行できてしまうのです。ログイン試行回数の制限がないシステムでは、6桁のパスワードなど簡単に破られてしまいます。

iPhoneアプリの話題になったので、Appleユーザーの方にお伝えしておくと、カリフォルニア州クパチーノのコンピューター大手Appleは、Safariブラウザーの25以上のセキュリティぜい弱性に対する修正をリリースしました。一部のバグは極めて深刻であるため、まだの人はいますぐSafariを更新しましょう。

Securelistのリサーチャーは、金融関連のサイバーの脅威という暗黒の世界について、2013年の調査結果の第1弾を発表しました。パート1は世界のフィッシング環境の詳細な分析です。簡単に説明すると、2013年のフィッシング攻撃のうち31%は金融機関を標的としていたことがわかりました。偽の銀行Webサイトが使用された攻撃は全体の約22%で、前年の調査結果から倍増しています。2012年に偽のバンキングサイトが使われた攻撃はわずか11%でした。バンキング関連のフィッシング攻撃の60%弱で利用されたブランドは、国際展開しているわずか25行の銀行で、残りの40%では1,000行以上の銀行のブランドが悪用されていました。

最後に、BBCの報道を紹介しましょう。同局は、カリフォルニア州サンディエゴの5歳の男の子が、人気のオンラインゲームプラットフォームXbox Liveのぜい弱性を発見したと報じました。この男の子は正しいパスワードを入力せずに父親のアカウントにログインできたのです。クリストファー・ヴォン・ハッセル(Kristoffer Von Hassel)君は、父親のXbox LiveのWebアカウントにログインしようとしました。誤ったパスワードを入力したところ、もう一度入力するように促されましたが、スペースバーを押すと、まるで魔法のようにログインできてしまいました。

クリストファー君はローカルテレビ局KGTVに次のように語っています。「僕は不安になった。(お父さんに)ばれてしまうと思ったんだ。誰かがXboxを盗もうとしているのかと思った。」

BBCは、セキュリティ業界で働いているクリストファー君の父親が、このバグの詳細をMicrosoftに報告したと報じています。その後Microsoftはバグを修正し、クリストファー君の手助けに感謝しました。

ヒント