注目ニュース:Black HatとDEF CON、Facebookのトラブルなど

2014年8月7日

今月は、世界有数のセキュリティとハッキングのカンファレンスである「Black Hat」と「DEF CON」が、ネバダ州のラスベガスで開催されます。今回は両イベントに触れつつ、先週のニュースも振り返ります。

hat.min_

ハッカーのカンファレンス

まずは、今週開催のセキュリティカンファレンス、Black HatとDEF CONから見ていきましょう。

注目のセッションはいくつもありますが、Kaspersky Labのセキュリティエキスパート、ヴィタリー・カムリュク(Vitaly Kamluk)による講演もその1つです。カムリュクは、2月のSecurity Analysts Summit開催時に紹介したAbsolute Computraceのぜい弱性を再度取り上げます。

セキュリティリサーチャーのジョシュア・ドレイク(Joshua Drake)氏は、Androidのセキュリティの研究に革命を起こすという自作のツールを披露します。これは基本的に、ドレイク氏が見つけられた限りのAndroidデバイス(その1つ1つが微妙に異なる商用オペレーティングシステムを搭載)をひとまとめにするというツールです。同氏の考えでは、このツールによって、セキュリティリサーチャーが多種多様なAndroidオペレーティングシステムの全体像をより正確に把握できるとのこと。Bluebox Securityのジェフ・フォリスタル(Jeff Forristal)氏によるAndroidのセッションも興味深い内容です。同氏の研究は、膨大な数のAndroidデバイスに深刻なぜい弱性が存在することを示しており、悪意あるアプリが信頼できるアプリになりすまして、悪質なコードを正規アプリに挿入し、場合によっては影響を受けたデバイスを乗っ取る可能性があるとしています。

一方DEF CONでは、今年はルーターのハッキングコンテストが開催されます。ハッキングの対象はSOHO向けのWi-Fiルーターで、ルールはSOHOpelessly BrokenのWebサイトに掲載されています。出場者は、DEF CON開催中に自分のゼロデイエクスプロイトについての情報を提出し、エクスプロイトのデモを行います。賞品が授与される予定ですが、その内容はまだ発表されていません。

世界最大SNSのトラブル

ここからはすでに起きたことに関する話題です。先週のFacebookには良いニュースと悪いニュースがありました。

まず、7月29日(日本時間)に、米国とヨーロッパのプライバシー擁護団体が、新しいターゲット型広告のポリシーの適用を先送りするようFacebookに要求しました。以前のFacebookの広告は、ユーザーが「いいね!」を押したページを基に表示される場合がほとんどでした。しかし先月、Facebookは不可解な発表を行います。表示される広告をユーザーが今までよりコントロールできるようにすると言いつつ、ユーザーのWebサーフィンでのふるまいについて、より広い範囲で情報を収集し始めました。

プラバシー団体は米連邦取引委員会(FTC)に不服申し立てを行い、Facebookの外でユーザーの情報を集めようとする同社の動きを遅らせるか、完全に阻止することを目指しています。これらの団体は、Facebookのプログラムがプライバシーとユーザー追跡に関する「前回の声明にあからさまに矛盾している」と述べており、表示される広告をユーザーがコントロールできるようになるという先月の発表は、ユーザーに誤解を与えたとしています。

あまりにも深刻な攻撃だったため、システム全体を再構築しなければならなかった

その翌日、ThreatpostはFacebookが同社Androidアプリのぜい弱性を修正したと報じました。このぜい弱性を悪用されると、デバイス上でサービス停止の状態が発生するか、大量のデータが送受信されることによりユーザーが高額の料金を請求される恐れがありました。FacebookのAndroidアプリを使っていて、最新の更新をまだインストールしていない人は、いますぐインストールしましょう。

また、Facebookの人気の写真共有サービスInstagramが、モバイルアプリに全面的な暗号化を実装していないことが明らかになりました。ユーザーが閲覧した写真についての情報が漏えいするリスクや、セッションCookieを盗まれてしまうリスクがあり、これが最終的に、AndroidとiOSの両方でアカウントの乗っ取りにつながる可能性があります。FacebookとInstagramはこの問題を認識しており、修正する予定だと述べていますが、修正の時期については明らかにしていません。詳しくはThreatpostKaspersky Daily(当ブログ)の記事をご覧ください。

APT攻撃

先週は、イスラエルの有名なミサイル防衛システム「Iron Dome」の開発に関わった軍需企業に、中国のAPT(Advanced Persistent Threat)ハッカーが目をつけたというニュースもありました。報道によると、このハッカーらは2011年から2012年にかけて、ある対弾道ミサイルの詳細な設計図や、ロケットに関する情報、膨大な量の機械関係の書類を、イスラエルの軍需企業3社から盗んだとされています。

同じく中国人とされるAPTグループが、カナダの著名な研究技術機関をハッキングし、システムをダウンさせました。Threatpostのクリス・ブルック(Chris Brook)は、攻撃の被害があまりにも深刻だったため、この研究機関はシステム全体を再構築しなければならなくなった、と書いています。攻撃があった時期や漏えいした情報について、カナダはまだ発表していません。

その他のニュース

パトリック・リーヒ(Patrick Leahy)上院議員(民主党、バーモント州選出)は、米国家安全保障局(NSA)の諜報活動の権限を縮小するために、メタデータの大量収集を終了し、米外国情報活動監視裁判所(FISC)での監督を強化する法案を提出しました。WhisperSystemsは、無料で通話を暗号化できるiPhoneアプリSignalをリリースしました。最後に大事なニュースを。Torネットワーク上で約6か月間にわたり、Torの秘密のサービスを匿名で運用していたユーザーや利用していたユーザーの身元が暴かれていました。