先週はたくさんのニュースがありました。注目に値するものもいくつかあります。今回は、セキュリティに関する非常に興味深いニュースをまとめて紹介します。
IT企業を裏切ったNSA
まずは、小さいながらも衝撃的なニュースからです。先週のプライバシー・市民自由監視委員会(PCLOB)の会議で、米国家安全保障局(NSA)によるユーザーデータの大量収集をFacebook、Google、Yahoo!といった業界大手が認識していたことを、NSAの主席顧問ラジェッシュ・デ(Rajesh De)氏が認めました。こうした動きはまったく予想されていなかったわけではありませんが、公式に認められたとなると話が変わってきます。この件に関して不信感が高まっているのは、先述の企業がこれまで、市民のデータを大量に収集する活動への関与を疑われても、真っ向から否定していたためです。一部の企業(Appleファンの感情に配慮して、誰かを公に批判するのはやめておきます)は、「PRISMなど聞いたこともない」とさえ述べています。彼らが今回、「不愉快な告発」をどのような形で終わらせるのか、いずれわかるでしょう。
スマートウォッチに特化したOS
新たに発表されたGoogle開発のオペレーティングシステムは、スマートウォッチをはじめとする人気上昇中の「ウェアラブルデバイス」向けで、Android Wearと呼ばれています。3月18日にGoogleの企業ブログで同OSを発表する記事が公開され、同じ日にMotorolaとLGが新型のスマートウォッチを発表しました。Android WearのベースはもちろんAndroidですが、(Google Glassと同じように)タッチよりも音声による操作を意図している点が、これまでのAndroidと異なります。Bluetooth対応のあらゆる周辺機器を操作することができ、ガレージの扉の開閉まで可能です。ハッカーの前に広がっている可能性は・・・信じられないほど大きいと言えます。
MicrosoftがFBIに請求した料金
「勝てないなら命令しろ」ということわざがあります。Microsoftはこれに「命令できないなら、せめてお金を稼げ」という言葉を付け足すでしょう。シリア電子軍(SEA)によると、有名なグローバル企業であるMicrosoftは、米連邦捜査局(FBI)の要請に応じて個人情報を1件開示するごとに100ドル以上を受け取っていたようです。SEAのハッカーは、FBIが少なくとも2012年9月に、145,000ドル以上をこのような活動に使っていたことを確認しました。ユーザーデータを1件開示する料金は、2012年は100ドルでしたが、2013年には2倍になっています。Microsoftはこうした活動の正当性に関して、情報を開示するという活動の一部についてFBIに料金を請求したのではなく、合法的な要請を実行するためにかかった時間分の料金を請求したと主張しています。「時は金なり」と言いますからね。
Gmailが常時HTTPSに
2014年になってようやく実現したというのもおかしな話ですが、これからはGmailでのすべての活動が安全な「HTTPS」プロトコルによって実行されることになります。Gmailでは当初から暗号化が使用されてきたものの、今までは保護されていないチャネルで実行されていたアクションもありました。しかし今後は、ユーザーに選択の余地はありません。HTTPS接続が規定で有効になっただけでなく、無効にすることもできなくなりました。さらに、メッセージが宛先に送信されるときと、Google内部のサーバーを移動するときに、通信が暗号化されるようになります。これは極めて重要な進歩です。
Electronic ArtsでApple IDが乗っ取られる
著名なゲーム配信プラットフォーム企業Electronic Arts(EA)へのハッキングが最近報じられました。特筆すべきは、同社のデータがこの攻撃の第一の標的ではなかったことです。犯罪者が狙っていたのはユーザーのApple IDの認証情報でした。ハッカーはこの目標を達成するために、非常に的確な戦略をとりました。ea.comをハッキングし、Appleの認証情報リクエストフォームに巧妙に偽装したフィッシングサイトをEAのサブドメイン上に作成したのです。と同時に、このフィッシングサイトでクレジットカード情報を盗むことも可能でした。被害者の数までは報道されていませんが、さらに興味深いことに、EAは自社のサーバーにフィッシングサイトが作成されたことを公式には認めていません。うさんくさい話ですが、フィッシングだけに「なまぐさい」と言うべきでしょうか。