トップ > 忙しい人のためのほぼ日刊セキュリティニュース(2017年9月16日分)

忙しい人のためのほぼ日刊セキュリティニュース(2017年9月16日分)

1.Equifaxの事件の前にあった4つの個人情報漏洩インシデント

4 Credit Bureau Data Breaches that Predate the 2017 Equifax Hack http://disq.us/t/2tl6nzu

この記事では、最近起きた大規模な米国民のクレジット情報の流出以前に発生した同様の4つのインシデントに関して述べている。以下その4つのインシデントに関して簡単に説明する。

1. ExperianとUS Info Search(2012年3月)

2012年にクレジット管理機関であるExperianが買収したCourt Venturesという、法的なデータ収拾サービス会社を買収した。しかし子会社となったCourt Venturesが、US Info Searchというデータの逆引きプラットフォームからベトナム国籍であるHieu Minh Ngoという人物にデータを売っていた事が判明。この事件によって、20億件のクレジットデータが流出したと言われている。

②Equifax, Experian, Transunion (2013年3月)

Equifax, Experian, Transunionの3つの会社のシステムに侵入が行われた事を認め、盗み出された芸能人、著名人の個人情報がExposedというウェブサイトに掲載。例を上げれば、ミシェル・オバマパリス・ヒルトンヒラリー・クリントン、前FBI長官のロバート・ミューラー等の極めて個人的な情報が掲載された。ちなみに、犯人の手口は、被害者たちのSNSやメールアカウントにアクセスし、盗み出した個人情報を元に、秘密の質問を通してパスワードを取得したと言われている。

③ExperianとT-Mobile(2013年10月)

Experianが2013年4月に買収したDecisioning SolutionsというSaaS系会社を経由してT-Mobileのサーバーに不正アクセスが行われた。2015年、同じシステムから再度不正アクセスが行われ、15,000万件のソーシャルセキュリティナンバーと個人情報が流出した。

④Equifax

Krogerという食品販売会社の内部で起きた個人情報漏洩事件。EquifaxのW2Expressという米国で確定申告をする際に使うW2フォームをダウンロードできるウェブサイトに不正アクセスを行った攻撃者は、他のソースから取得した情報を基に、Kroger社員の給与と税金に関するデータを公開した。

2.ブラウザ上で暗号通貨マイニングを行う’ マルヴァタイジング’

Malvertising Op Pushes Code that Mines Cryptocurrencies in Browser http://disq.us/t/2tmqq7x

ロシアとウクライナに拠点を持つビデオストリーミング、及びブラウザ上でゲームをプレイできるウェブサイトで、本来は禁止されているじJavaScriptコードが埋め込まれた広告が使われている。このコードは、アクセスしたユーザーのブラウザ上で暗号通貨のマイニングを行っている模様。マイニングはかなりのリソースを使う作業だが、こうしたビデオストリーミングサイトは元々リソースを消費するサイトであるため、ユーザーは気づきにくい。更に、ユーザーは長時間サイトにアクセスしっぱなしなので、時間のかかるマイニングタスクも完了する。

2017年8月時点で、165万ものユーザーが、こうしたマイニングスクリプトや、他のフリーウェアに扮したマイニングソフトウェアの被害に合っていると言われている。対処法としては、アドブロッカーや、JSコードの自動実行を禁止するNoScriptの様なプラグインをインストールし、YouTubeNetflix等の名の知られたビデオストリーミングサイトでビデオを楽しむと良いだろう。

3.1,800件のウェブサイトが改ざんの被害にあったのは氷山の一角?

1,800 website defacements in Singapore in 2016 just tip of the iceberg: CSA http://str.sg/4joL

シンガポールでは、2016年にウェブサイトの改ざん被害件数がおよそ1800に達した。「ウェブサイト改ざんは、コンテンツが変更された事によってサービス提供が行えなくなる被害だけでなく、悪意のあるコンテンツや他の攻撃の踏み台にもされかねない」とFireEyeのアジア太平洋地域のセキュリティオフィサーであるBryce Boland氏は語る。その他、シンガポールに対して、他の国で雇われたサイバー攻撃集団がハッキングを行なっている事が調査によって判明したため、シンガポール政府は対応を急いでいる。既に、政府に努める公務員およそ143,000人全てのコンピュータではネットサーフィンが制限されているという。

4.No More 追跡型広告。Appleが行なう対策とは?

Apple fires back at advertisers complaining about new privacy features coming to Safari browser http://www.firstpost.com/tech/news-analysis/apple-fires-back-at-advertisers-complaining-about-new-privacy-features-coming-to-safari-browser-4050601.html

AppleiOSアプリ、Safariに搭載される新機能のニュース。マルヴァタイジング(Malvertizing)のセキュリティ対策として追跡型広告をブロックする機能が実装される。具体的に言えば、ハードディスクをAmazonで検索した場合に、他のサイトを閲覧した際にハードディスクの広告が表示されていたが、その広告をブロックする機能となる。