【日刊】忙しい人のためのセキュリティニュース(2017/09/28) IEにバグ/CiscoがIOSの致命的な脆弱性をパッチ/Windows デフェンダーをバイパスするエクスプロイト/
いちです。
今日も海外のセキュリティニュースをまとめていきます
- 1. IEのアドレスバーにバグ
- 3. ランサムウェアの被害を受けない為のポイント
- 5. ブロックチェーンがどうセキュリティを高めるか
1. IEのアドレスバーにバグ
IE10に発生するバグが発見された。
このバグをエクスプロイトすると、IEのアドレスバーに入力した値がウェブサイトに知られてしまうようだ。
Proof of Conceptは既に公開されている。
実際に以下の動画を見ていただきたい。
動画で示されている通り、IEのアドレスバーに入力された値はウェブサイトに知られてしまうのです。
例えば攻撃者はウェブサイトを用意して、訪問したユーザーが検索クエリ情報を取得することが出来ますよね。
ですのでIEを使っているユーザーはChromeやMicrosoft Edge等、IE以外のブラウザに変更する事をお薦めします。
2. Windows デフェンダーをバイパスするエクスプロイト
セキュリティ研究者グループCyberArkは、Windows DefenderをSMBサーバーをのリクエストをエクスプロイトしてバイパスする方法を発表し、llusion Gapというコードネームを付けた。
しかしMicrosoftはIllusion Gapを脅威としては認めないと公式に回答したようだ。
・SMBとは
3. ランサムウェアの被害を受けない為のポイント
これはランサムウェアの対処法についてまとめた読み物的記事となる。
ランサムウェアの感染を防ぐために心がけるべきステップは以下。
1. パスワードはウェブサイトごとに違うパスワードを使う。
2. アップデートされていないソフトウェアは全てアンインストールする
3. 利用出来る際は二段階認証を導入する。
4. データのバックアップを行い、バックアップデータを常に確認する。
5. Shadow Copy作成ソフトを使用する(Windowsユーザーのみ)
6. もし重要なファイルが保存されたPCをランサムウェアによって暗号化された場合
残念ながら、身代金を支払う事が取り戻す唯一の手段となる。
4. CiscoがIOSの致命的な脆弱性をパッチ
パッチされた脆弱性は以下。
・CVE-2017-12229
この脆弱性をエクスプロイトすると、攻撃者はREST APIを使用して、CiscoデバイスのUIにWebベースでアクセスする事が出来る。
・CVE-2017-12230
IOSソフトウェアで新しいユーザーアカウントを作成すると、デフォルトで多くの権限を有する状態で作成される。
攻撃者がデバイス内への侵入を成功させた場合、攻撃者は新しいユーザーアカウントを作成して、多くの権限を持つアカウントを使ってデバイスのコントロールを奪取できる。
・CVE-2017-12240
IOSに含まれるDHCPリレーというシステムに関わる脆弱性。攻撃者はこの脆弱性をエクスプロイトする事でDHCPv4パケットを使ってバッファーオーバーフローを引き起こせる。
5. ブロックチェーンがどうセキュリティを高めるか
ブロックチェーンの可能性について。ブロックチェーンについて知りたい人は見て欲しい。
追伸:私がセキュリティニュースの情報発信をする理由とは
最近ライアーゲームにハマっています。
5年前くらいのドラマですけど、まだまだ楽しいんですよね。
なぜならサイバーセキュリティの勉強に必要な犯罪心理学、とりわけ金銭的モチベーションから人間同士がどうやって騙し合うのか勉強になるからです。
サイバーセキュリティって、ズルをする人がいなければ、人を騙す人さえいなければ存在する必要のない分野だと思います。
なぜなら平文でテキストを送っても覗き見る人がいなければ何も問題は起きませんし、脆弱性があってもそれを突いてお金や情報を盗み取る人がいなければ困る人もいなくなるのです。
しかしそんな正論を言ったとしても現実は甘くなく、セキュリティの必要性は日に日に高まっていくばかり。
だからこそ私は、人々が安全暮らせる社会を作っていきたいですし、その為にセキュリティに関心を持つ人を一人でも増やす為にブログで情報発信をしていきます。
ここまで読んでくださりありがとうございました。
これからも精進していきますのでよろしくお願いいたします。
【日刊】忙しい人のためのセキュリティニュース(2017/09/27) iPhoneユーザーは直ちにiOS11にアップデートすべし/Go Keyboardがユーザーデータを吸い出す/ファストフードSonicのドライブスルーでカード情報漏えい
いちです。
本日もセキュリティニュースをまとめていきます。
- iPhoneユーザーは直ちにiOS11にアップデートすべし
- Go Keyboardがユーザーデータを吸い出す
- ファストフードSonicのドライブスルーでカード情報漏えい
1. iPhoneユーザーは直ちにiOS11にアップデートすべし
Google Project ZeroのGal Beniamini氏が、AppleのiPhoneに致命的な脆弱性を発見した(CVE-2017-11120)。PoCも公開されている。
攻撃対象となるのはiOS10を使用しているユーザーで、攻撃者はiPhoneのMACアドレスとネットワークのポートIDさえあればiPhoneを遠隔操作できるようになる。
ちなみにネットワークの傍受をすれば、ネットワークに接続された端末のMACアドレスは容易に確認できる。
したがってターゲットのiPhone が接続しているネットワークのトラフィックを傍受すれば、この脆弱性をエクスプロイトするのに必要なMACアドレスを特定できる。
また、デバイスがネットワーク通信をする際に使うプロトコルはTCPかUDPの2種類しかなく、iPhoneが通信を行う時にどのポートIDを使用するかはAppleによって定められている。(→Apple ソフトウェア製品で使われている TCP および UDP ポート)
つまりBeniamini氏が発見して脆弱性をエクスプロイトするのに必要な2種類の情報は簡単に手に入る事になる。
したがって、まだiOS10を使っている人はiOS11にすぐアップデートするべきであろう。
2. Go Keyboardがユーザーデータを吸い出す
Android用アプリのGo Keyboardが、Google Play Storeのポリシーに反してユーザーデータを収集している事がAdguardのセキュリティ研究者によって明らかにされた。
Go Keyboardは中国のGOMOという会社が開発したアプリで、Go Keyboardは1億以上ダウンロードされている。
ユーザーがアプリをダウンロードすると、アプリはユーザーの知らない所でインターネット上の”あるサーバー”から悪意のあるコードをダウンロードしスマホ上で実行する。
またダウンロードされた中にはAndroid上で動くプラグインも含まれており、それらはアドウェアやPUP(=potentially unwanted program)として分類されるという。
勿論、この一連の挙動はGoogle Play Storeで開発者に対して課されている規則に反している。
更にAdguardの研究者の指摘によると「Go Keyboardがキーボードである性質が更にこの問題の危険性を増している」という。
なぜならキーボードアプリはその性質上、他のアプリに対してもアクセス権を持つからだ。例えば、FacebookやInstagram等のSNSを始め、電話、メッセージアプリ等に対してもアクセス権を持つことになる。
このように大きな権限を与えられたアプリがユーザーの情報を収集しているとなると非常に危険であるので、使用している人はすぐにアンインストールすべきであろう。
3. ファストフード店でクレジットカードのスキミング被害
アメリカのファストフード店のSONICを使用した客がクレジットカードのスキミング被害に合っている可能性がある事が明らかになった。
このニュース記事を書いたセキュリティ研究者Krebs氏は、金融機関が発行するクレジットカード不正利用レポートを見た際、不正利用されたカードの全てがSONICで使われたものである事に気づいた。
Krebs氏はそれらの金融機関に、クレジットカード闇取り引きサイト”JOKER’s STASH”で9月18日に新たに扱われ始めたクレジットカード番号を照合するよう指示。
すると2つの金融機関がJOKER’s STASHでやり取りされているクレジットカードが、SONICで使用された履歴がある事が明らかになった。
【日刊】忙しい人のためのセキュリティニュース(2017/09/26) iTerm2にバグ”DNS Lookup”でパスワード流出/CCleanerのインシデントは”APT攻撃”だった/21もの株式トレードアプリが脆弱性を放置 他
こんにちは。いちです。
今日もセキュリティニュースのまとめを書いていきます。
以下、今日のまとめの目次です。
- iTerm2にバグ”DNS Lookup”でパスワード流出
- CCleanerのインシデントは”APT攻撃”だった
- 21もの株式トレードアプリが脆弱性を放置
- Androidの脆弱性”Dirty COW”がお金を盗み取る
- 追伸①:最近の政治ニュースを見て思うこと
- 追伸②:個人的なアップデート
1. iTerm2にバグ”DNS Lookup”でパスワード流出
The software flaw that could beam out passwords by DNS
Mac OS Xにデフォルトで付いてくる”ターミナル”ソフトウェアの代替として人気なiTerm2が、アップデートバージョンを公開した。
2016年7月に公開されたiTerm2 v3.0.0には、Macのコマンドキーを押すとコンソール内のURLがクリック出来る仕様になっていた。
実はその仕様にはバグがあり、コマンドキーを押下すると、ターミナル内に表示された文字列を使ってDNS Lookupを裏で行っていたのだ。
このバグが深刻な理由は、例えばSSH等でとあるサーバーにログインしてパスワードを入力する際、他のドキュメントにテキストとして保存されたパスワードを手打ちせずにコピペする人はいると思う。(正確さを重視する人ならやるだろう)
Macでは、コマンドキー+Cを押すことでコピペ出来るが、そのパスワードの文字列を使ってDNS Lookupを行なってしまうのだ。
つまりホストコンピューターに何らかのバックドアが仕込まれていたり、ネットワークが監視されている際にパスワードを第三者に知られてしまう可能性があるという事になる。
この問題に気づいたiTerm2はv3.1.1にアップデートされ、DNS Lookup機能が行われないように設定された。
2. CCleanerのインシデントは”APT攻撃”だった
Additional information regarding the recent CCleaner APT security incident
Avastは、最近起きたCCleanerに悪意のあるコードが埋め込まれていたインシデントに関して更なる分析を行なった結果、APT攻撃の可能性がある事を明らかにした。→APT攻撃とは?
このインシデントに関して復習すると、CCleanerの公式バージョンが何者かによって書き換えられており、改ざんされたCCleanerに埋め込まれたコードは、複数の有名企業のホストと通信を行ない、更にCCleanerが送出するペイロードに第二ステージがあった事が明らかになったインシデントである。
3. 21もの株式トレードアプリが脆弱性を放置
Mobile stock trading apps ignore critical flaw warnings
MOBILE STOCK TRADING APP PROVIDERS UNRESPONSIVE TO GLARING VULNERABILITIES
IOActiveのセキュリティ研究者がレポートを発表。そこには、とんでもないことが書かれていた。
それは、株式トレードアプリのほぼ全てに脆弱性が存在するという事だった。
脆弱性が存在するのはある意味仕方ないことだが、ここで問題なのは、アプリ開発者が研究者たちの報告に対して何も対処を行なっていないということだ。
脆弱性は数多く発見されたが、代表例はユーザーが売買しようとしている株式のリストを保存する機能がアプリにはある。(Amazonでいうウォッチリストのようなもの)
そのリストが暗号化されずにアプリ管理者の所有するサーバーに送信されているというのだ。
IOActiveの研究者達は、開発者達に対応を急ぐようにリクエストを行っているが、未だに返信すら無いという。
追伸①:最近の政治ニュースを見て思うこと
本日も最後まで読んでくださりありがとうございました。
今日から追伸欄を新たに追加して、アップデート等、個人的な話をしていきたいと思います。
テレビやネットのニュースを見ていると、衆議院解散にともなって衆議院選挙が始まるので、政治のニュースに触れることが多くなりますね。
「あれ、この人ちょっと前まで違うこと言ってたのになあ」と感じられる場面が多くて、いかに政治家達の言ってることが信用出来ないか改めて感じました。
それと同時に「自分は自分のコントロール出来る事だけ集中していこう」とも思いました。
このブログの記事更新、筋トレ、勉強、情報収集等、自分を磨いていく為に出来る限り時間を使っていきたいです。
追伸②:個人的なアップデート
私は海外の大学でコンピューターサイエンスの修士を取りたいと思っています。
なので最近は大学院に入るための必要書類を取り寄せたり、Statement of Purpose(就活で言う志望動機)等の書類を準備しています。
先月8月にカナダの大学院に出願して、今月はスイスの大学院に出願する予定です。
どちらに行くとかは蓋を開けて見ないと分かりませんが、将来的に博士課程にいきたいと思っている為、修士をどの大学院で取ると言うのはそこまで重要ではないと思っています。
その為、勉強するのにかかるコストが安い方で決めていくと思うのですが、そうなれば断然スイスの大学院になると思います。
また全て終わったら海外大学院のリサーチ方法、必要書類、大学院の結果、等といった情報は、このブログで報告していきたいと思います。
【日刊】忙しい人のためのセキュリティニュース(2017/09/25) ランサムウェアが”煙幕”として使われる?/ 米デロイトがサイバー攻撃の被害に4ヶ月も気づかず / ISISのハッキング技術は「そこそこ」
お疲れ様です。いちです。
本日もサイバーセキュリティニュースのまとめを書いていきます。
ここ2日間、時差の関係で海外のニュースはそこまで多くなかったのですが、あちらも平日となったので多くの新しいニュースが出ていました。
私の関心が高い分野がランサムウェアなので、ランサムウェア関連のニュースについてまとめることがこれから多くなっていくと思います。
なぜ数多くあるセキュリティトピックの中でもランサムウェアの関心が高いかというと、1つのインシデントでも技術面、心理面、犯罪面、経済面等、1つの問題でも様々な面から切り分ける事が出来るからです。これについては、今後どこかで記事にして共有していきたいと思いますので楽しみにしてて下さい。
それでは本日も始めましょう!
ランサムウェアが”煙幕”として使われる?
1. Ransomware: Where It's Been and Where It's Going
先週木曜日に発表された統計によると、2016年〜2017年の一年間、ランサムウェアの被害者が暗号化されたデータを復号化するために支払った”身代金”は、およそ3億円であったという(注1)。
ランサムウェアの対処法として、①感染経路のセキュリティを向上する予防策と、②被害にあった際に最新のバックアップ地点まで戻す、2種類の方法が一般的だ。
だが最近のトレンドとしては、②最新のバックアップ地点まで戻す処置が取られているという。つまり、ランサムウェアに感染してファイルを暗号化された時の為に、常にデータのバックアップをとっておくという事だ。
バックアップを取るためには各クライアントのデータを保存する容量を持たなくてはならないし、安全に管理するファイルが増えてしまう面でコストが増してしまうデメリットがある。
ランサムウェアに感染しなければいいといった意見が聞こえて来そうだが、なかなか簡単ではない。
なぜならランサムウェアの感染は、スパムメール・フィッシングメール等に記載されたURLをクリックしたり、添付されているドキュメントを開いてしまう等のシステムではコントロールしづらい「人的な要因」によって引き起こされるからだ。
更に、ランサムウェアの設計手法がファイルレスであるケースが増加している為、クライアント端末にインストールされている、エンドポイントセキュリティのスキャンを通過してしまう可能性があるのだ。
更に、セキュリティ専門家のBaskinとSinghは、今後はランサムウェアが”煙幕”のように使われる可能性があると予測している。
煙幕とは、戦国時代中の戦場でよく使われた、煙を焚いて相手の目をくらませる戦法を意味する。
つまり、ランサムウェア感染をカモフラージュにより大きな攻撃を仕掛けるのだ。
言い換えれば、表向きはランサムウェアでクライントPCをロックしたように見せかけて、感染したクライアントPC内部の情報を抜き出したりバックドアを仕込んで、他のサービスにDDoS攻撃を仕掛けるボットネットとして使われる可能性があるという事になる。
(注1):この統計は、Datto’s State of the Channelによって発表された。同社は、世界中の100,000社以上もの小規模〜中規模程度の企業を対象とし、1700社以上の企業のManaged Serviceから提供されたデータを解析して算出した。ちなみに、統計の対象となった企業の96%はバックアップ等のリカバリ処置によってランサムウェア被害から回復している。
米デロイトがサイバー攻撃の被害に4ヶ月も気づかず
Deloitte was breached last year, but investigators didn't find out until March
昨年末、アメリカのコンサルティングファームのデロイトがサイバー攻撃を受け、顧客情報などの機密情報が流出していた事が判明した。しかし、デロイトは本年3月になるまで攻撃を受けた事に気が付かなかったという。
攻撃手法、流出の規模は明らかにされていないが、デロイトの広報によると「攻撃によって流出した情報量は少なく、被害を受けたクライアントの数も少ない」という。
ISISのハッキング技術は「そこそこ」
Researcher: ISIS hackers not 'as capable as most cybercriminal groups'
セキュリティ研究者のKyle Wilhoitは、ISISが過去2年間行なったサイバー攻撃を分析し、最近研究結果を発表した。
彼の発表によると、ISISとして活動しているクラッカー達の技術は「そこまで洗練されていない」という。また「世界中に無数に存在する他のクラッカー集団の方が優れている技術を持つ」と述べた。
ISISのクラッカー集団が行なったサイバー攻撃のケース数で最も多いのは、Webサイトの改ざんである。Webサイトの改ざんは、インシデント以降に情報漏洩を伴わず、高度なクラッキング技術も必要としない事からも、「そこまで洗練されていない」という研究結果には頷ける。
しかし同時にWilhoit氏は「ISISの技術は向上してきている」とも述べており、今後も注意が必要なのは変わらない。
【日刊】忙しい人のためのセキュリティニュース(2017/09/24) ロシアのハッカーがAMPを使って不正に情報収集 / スピアフィッシング攻撃”FreakyShelly”注意喚起 / 昨年の大統領選挙の際にロシア人クラッカーが選挙用ウェブサイトを攻撃した恐れ
こんにちは。いちです。
今日も海外セキュリティニュースのまとめを書いていきます。
本日は月曜日ですが、時差の関係でアメリカやイギリス等の日付は日曜日のままなので、そこまで大きなニュースはないように思えます。
ですが、個人的に気になるニュースがありましたのでピックアップしてみました。
- 2. スピアフィッシング攻撃”FreakyShelly”について
- 3. 昨年の大統領選挙の際にロシア人クラッカーが選挙用ウェブサイトを攻撃した恐れ
1. Russian hackers exploited a Google flaw the company has refused to fix
http://www.salon.com/2017/09/24/russian-hackers-exploited-a-google-flaw-and-google-wont-fix-it/
Googleが2015年から実装したAMPの機能はモバイルでAMP対応ページを表示する際に、ウェブサイトのテキスト等、軽いデータのみを抽出して表示する。
そのため、非力なCPUやメモリを搭載したスマートフォンでウェブサイトを表示する時に便利な機能である。
しかし、AMPはGoogle上がウェブサイトのデータを保持している為、そのサイトのコンテンツを表示してもブラウザのURL欄にはGoogleドメインしか表示されない。
この仕様をエクスプロイトして、ロシアのクラッカー達はインターネットユーザー達からアカウント情報を盗み取っているという。
2. Cybercriminals abusing document-creation software to attack victims: Kaspersky
この記事では、フィッシング攻撃の一種として、FreakyShellyというスピアフィッシング攻撃に分類されるクラッキング手法を紹介する。
一般的に、ワードやエクセルのマクロを使ったエクスプロイトは、仕事内容に関連した内容のメールに記載されたリンクをクリックしたり、添付されているドキュメントを開いた際にユーザー操作無しで不正な働きをする事が多い。
しかしFreakyShellyは、OLE2フォーマットのドキュメントを開いた際に、ユーザーの操作無しでGETリクエストが攻撃者の用意したウェブサイトに飛んでいくようだ。
GETリクエストの中身は、被害者のデバイス情報、ブラウザのバージョン、デバイスにインストールされたアプリに関する情報など、更なるクラッキングに有用な情報が含まれているという。
FreakyShelly自体でユーザーはマルウェアに感染する事は無いが、ユーザーのデバイスに関する情報が漏れてしまう事は立派な情報漏えいである。
対処法としては、見知らぬ差出人のメールに含まれるリンクを安易にクリックせず、添付ドキュメントを開かない事だ。
3. US Department of Homeland Security believes Russian hackers tried to access California's election website
去年末に行われた大統領選挙の際、ロシアのクラッカーがカリフォルニア州の選挙用ウェブサイトをクラッキングした可能性があるとアメリカの国土安全保障省が発表したというニュース。
日本でも最近は衆議院選挙ムードですが、国政選挙がある度に、政治家のウェブサイトやスマホのセキュリティに気をつけなければならない。
国民からの信用に関わる問題が起きてしまった際に、選挙結果を左右してしまうからだ。
これはアメリカの大統領選挙でも起きた事例ですが、とある政治家のウェブサイトがクラッカーによって改ざんされ、選挙で勝つために好ましくないコンテンツがウェブサイトに表示されてしまうことがあった。
他にも政治家のメールアカウント情報が流出し、政治家のイメージを下げてしまう内容がインターネット上にばらまかれてしまい、実際に風評被害に苦しみ票数を落とした政治家もいた。
日本ではこのようなニュースはあまり耳にしないが、恐らく攻撃は受けており、公表していないだけなのではないかと思う。
【日刊】忙しい人のためのセキュリティニュース(2017/09/23) iPhoneX顔認証(FaceID)のセキュリティあれこれ / シリア人青年がビットコインで新たな経済圏を作り出す
こんにちは。いちです。
週末はいかがでしたしょうか。私の住んでいる東京では秋晴れで、優しくてうららかな陽気を感じた日曜日でした。
コーヒーとドーナツを食べにミスドに入ったのですが、店内の装飾がハロウィン仕様になっていて、売られているドーナツのテイストもかぼちゃ風味や栗風味とあって、食欲の秋が本格的に始まりました。
セキュリティ業界では週末という事もあってそこまで大きなニュースはないようです。(サイバー攻撃というのは、金曜日の夕方17時に発生するものなので、まだ記事にされていないだけかもしれませんが笑)
なので、毎日マルウェア・脆弱性のニュースを取り上げていますが、今週末はそこまで脆弱性に関するニュースがありませんでした。
ですので今日は脆弱性以外のセキュリティニュースに目を通してみました。
今日取り上げるニュースは以下の二つです。
- iPhoneX顔認証(FaceID)のセキュリティあれこれ
- シリア人青年がビットコインで新たな経済圏を作り出す
それでは参りましょう!
1. How Apple Will Stop Companies Abusing Facial Recognition on New iPhone X
http://fortune.com/2017/09/23/face-id-privacy-iphone-x/
先日AppleのフラッグシップモデルとなるiPhoneXが発表された。
2017年にSteveJobsによって始めてiPhoneが発表されて以来、毎年9月にアップデートされ、その度に新機能を搭載してきたiPhoneだが、今回はOLED液晶画面、ワイヤレス充電、FaceIDが目新しい機能といえるだろう。
iPhoneXの発表に合わせて紹介されたiOS11も、iOS10で発見された8個の脆弱性を全てパッチ当てした事もあり、Appleのセキュリティに対する意識の強さが伺える。
そのことから、FaceIDの安全性はどれ程のものか、Appleファンの間でも関心が集まっている。
既にSamsungスマホに搭載されている顔認証機能だと、携帯の持ち主の写真のみで携帯がアンロックされてしまう程のセキュリティの甘さだった。
Twitterを見ていると、「果たしてAppleは顔認証のセキュリティをどのように向上させるのか?」というのが、iPhoneXの発売を待ち遠しく思っている人達が思っている事のように私は感じている。
報道によると、Samsungに搭載された顔認証みたいに携帯の持ち主の写真でアンロックできる程の陳腐な技術を使っていないという事だ。
iPhoneXに搭載されるFace IDは、顔認証をする時に、フロントカメラの’TrueDepth’という設定を使って3万ものドットを持ち主の顔画像に照射し、一瞬でカメラの被写体となる物体が持ち主の顔であるか否かを判断するという。
またセキュリティ界隈では「Face IDでスキャンされた顔のデータを収集してAppleは一体何をする気なのか」といった声もあがった。
そのような声に対して、Appleは正式に「Face IDで認証する顔データはAppleに送信される事は無く、iPhoneXの中に留まる」と解答している。
つまりiPhoneXのユーザーは、FaceIDに自分の顔を登録した際のデータはオフラインで保存されるということになる。
言い換えれば、Appleはユーザーの顔データを収集している事もないし、Appleのサーバーに顔データが送信される電波を傍受されて顔データが第三者の手に渡る事もなくなるという事だ。
2. This Hacker Wants To Create A Bitcoin Economy In Syria
http://www.ibtimes.com/hacker-wants-create-bitcoin-economy-syria-2593142
イギリス系シリア人の青年・Amir Taaki氏が、ビットコインで新たな経済圏を創り上げようとしている。
Taaki氏は、ビットコインの力を大きく信じている。
彼のビットコインへの信頼は、ダークウェブに社会では違法とされている商品を扱うマーケットを構築し、やり取りされる通貨をビットコインに限定する程だ。
そして彼はまた、ビットコインを使って新たな事をしようとしている。
それは新たな経済圏の創造だ。
Taaki氏は、イスラム国と戦うためにシリアのクルド人が住んでいるシリアの北部・Rojavaで、ビットコインを主要通貨とした経済圏を作り上げようとしているという。
何故、彼がRojavaを選んだかと言うと、この地域はイスラム国の影響下にあり、他国からの経済制裁によって経済的に困窮しているからだ。
一般的に、経済制裁を受けると、他国からお金が流入する機会が劇的に減ってしまう。
そこで、国家や政府という枠組に縛られずに自由に経済活動・金銭授受等を行うことが出来るビットコインが役に立つのだ。
ビットコインがRojavaで使われるようになれば、Rojavaに住んでいる人達は外国からお金を受け取ることが出来るようになり、その地域で新たなビジネスを始めることも出来るようになるだろう。
そのような輝かしい未来は確かに存在するが、現実はそこまで甘くないだろう。
ビットコインには中央銀行のようにお金の流通をコントロールする組織が存在せず、まだ投機の対象とされている事から値段の上下が激しい。
また、テクノロジーに詳しくない人達が暗号通貨を簡単に使いこなせる仕組みも未だ存在しない為、IT化が進んだ日本でも一部の人しか所有していない。
貧困に喘ぐRojavaでビットコインを導入するのは遥か遠い道のりとなるだろう。
そこで彼は既にヨーロッパの各地を周り、暗号通貨に関するカンファレンスでビットコインをRojavaの通貨にする為のビジョンを説いて回っているという。
そうする事で、共感の輪を広げ、彼のプロジェクトを後押ししてくれるスポンサーを募っていくようだ。
過去にダークウェブで違法商品を扱うマーケットを創設したことで彼に対する社会的な信用は低いが、私は個人的にTaaki氏の取り組みには注目していきたい。
彼のプロジェクトがもし成功すれば、ビットコインが社会貢献するユースケースが作られ、より多くの人にビットコインの良さを認知してもらえるからだ。
・・・勿論、そこには暗号通貨が認知される事で価値が上がり、私の保有するコインの価値もあがるという自己中心的な願いもあるのだが(笑)。
だが、多くの人達に知られる事でより一層、ビットコインを始めとするイノベーションが進んで行き、新たな世界を作っていくことが出来ると私は確信している。
忙しい人のための日刊セキュリティニュース(2017/09/22) ヌード写真で人質解放?/盗聴テディベア/ランサムウェアでひと儲け/Googleでも検知できないマルウェアアプリ 他
1. This Ransomware Demands Nudes Instead of Bitcoin
https://motherboard.vice.com/en_us/article/yw3w47/this-ransomware-demands-nudes-instead-of-bitcoin
普通のランサムウェアは、PCやスマホ内のデータを暗号化して身代金を請求し、支払いが行われた場合に復号化するのが一般的だ。
だが、MalwareHunterTeamのリサーチによって、新種のランサムウェアが明らかになった。
そのランサムウェアは、身代金の代わりに感染PCの持ち主のヌード写真10枚を請求するのだ。
(ヌード写真を10枚を送れば暗号化を解除すると書いてある。)
nRansom.exeというExecutableファイルを誤ってダウンロードしてしまった際にこのランサムウェアが実行される。VirusTotalやHybridAnalysisといったマルウェアデータベースにも登録され、注目を集めている。
2. Leaking Cloud Databases and Servers Expose Over 1 Billion Records
https://securityintelligence.com/leaking-cloud-databases-and-servers-expose-over-1-billion-records/
IBMの民間セキュリティ開発チームのIBM X-Forceが新たに公表した統計によると、2017年の一年間だけでたった24台のクラウドサーバーから13億件もの情報漏えいがあったとされている。
その原因はサーバーの設定ミスによるもので、ファイルアクセス権の設定ミス等によってSQLインジェクションが行われているようだ。
クラウドサーバーの設定ミスによって起きたインシデントの例として、今年5月に起きたテディベアのハッキングについて簡単に話しておく。
ドイツのおもちゃメーカーであるSpiral Toysが製造したCloudPetsというテディベアは、おもちゃを所有する子供の声を継続的に録音して、音声データをクラウドサーバー(MongoDB)に保存していた。
しかし、MongoDBはデフォルト設定では認証不要で公開されている事から、IoTデバイスの脆弱性専用検索エンジン”Shodan”に登録された。その結果、テディベアの購入者82万人ものユーザーのデータが閲覧可能な状態で放置されてしまっていたのだ(注1)。
何故この例のように、クラウドサーバー設定ミスが起きてしまっているのだろうか?
この記事では、以下の3点を指摘している。
①クラウドサーバーの急激な利用増加
クラウドサーバーを導入すると、簡単にサーバーを立ち上げる事ができ、運用と保守もサーバー管理者に一任出来るのでセットアップが簡単だ。
導入・セットアップの容易さから、初期パラメータ確認漏れ等の設定ミスに繋がっているという。
②古いテストサーバーの初期化忘れ
大規模なサーバーを新たに導入する際は、殆どの場合に検証環境を構築し、想定されるテストケースを用意してテストを行う。
その際に本番環境のユーザーデータを使用してテストを行い、テストが終った後にサーバー内に残されたユーザーをデータやテストログ等を初期化し忘れてしまうのだ。
③脆弱性検索サービスの登場
Spiral Toys社のテディベアにまつわる情報漏えいのケースでは、Shodanという脆弱性データベースにインデックスされていた事で脆弱性が公になった。
今回のShodanはデータベースの脆弱性専用検索エンジンだが、他にも初期パスワードにしたまま運用されてる監視カメラの検索エンジン等、攻撃者が標的とするデバイスの脆弱性を一覧できるサービス数が増加の一途を辿っている。
そのことから、設定ミスによる脆弱性が攻撃者に知られ、サーバー管理者によって設定変更がされる前にデータを持ち出されてしまうのであろう。
(注1)
クラウドを通じてボイスメッセージを再生するクマのぬいぐるみが数百万件の録音データを漏洩
http://gigazine.net/news/20170228-cloudpets-teddy-bear-leak-millions-of-voice/
3. Mass-Scale Ransomware Attacks Providing Hackers the Ability to Earn Quick Money
今年の春から夏にかけた大流行したランサムウェアだが、そもそも何故、流行したのだろうか?
その裏には攻撃者達のマネーモチベーションがある。
つまりランサムウェアは儲かるのだ。
ランサムウェアの被害に合う人達は基本的にITリタラシーが低い傾向にあり、ランサムウェアに感染した場合、指示された通りに身代金を支払ってしまう傾向にある。
また、今年の大流行の影にはビットコイン等の暗号通貨の人気や、ランサムウェア・アズ・ア・サービス(RaaS)の参入障壁が低くなった事もあげられる。
4. HOW MALWARE KEEPS SNEAKING PAST GOOGLE PLAY’S DEFENSES
https://www.wired.com/story/google-play-store-malware
Androidスマホ上にマルウェアをダウンロードしないためには、Google Play Storeに登録されているアプリをインストールする事が解決策の1つとなる。
なぜなら、Google Play Store上にはマルウェア、ランサムウェアが存在しないかをスクリーニングするメカニズムが組み込まれているからだ。
しかしクラッカー達は、そうした仕組みをもかいくぐり、Androidユーザー達にマルウェアをインストールさせている。
その手段とは一体何か。
実はクラッカー達は、何の変哲も無いアプリの中に一定条件が満たされた際に実行されるコードを仕込んでおくのだ。
例えば、ユーザーにインストールされてから数日間経った状態で、クラッカーの用意したサーバーからマルウェアを自動でインストールするようなコードを仕込めば、Google Play Storeのスクリーニングを回避することが出来る。
無論Google Play Storeもそのようなコードでさえも検知できるようにスクリーニングのアルゴリズムを強化している。
しかし、年会費を支払う必要があるApple Storeと比べて、Goole Play Storeは参入障壁が低いため、誰でもディベロッパーとして参加できるのが強みだが、その分アプリ数も多くなり、マルウェアの割合も多くなってしまうのが現状だ。
5. DON'T RELY ON AN UNLOCK PATTERN TO SECURE YOUR ANDROID PHONE
https://www.wired.com/story/android-unlock-pattern-or-pin/
Androidスマホのロック画面で、9個のドットを指でなぞるパターン認証を設定している人は多い。
だがパターン認証は近くにいる人に図形の形を覚えられてしまったり、パターンの総数が少ないことから総当りすれば簡単に破れてしまう可能性がある。
この記事で紹介されているアメリカの海軍大学のセキュリティ専門家によれば、パターン認証は3桁のPINコードと同程度のセキュリティ強度だという。
対処法としては、パターン認証設定を解除して6桁のPINコード入力にするか、最低限パターン認証の際に指でなぞった軌跡を表示しない設定にすべきであろう。
忙しい人のためのセキュリティニュース(2017/09/21) マイクロソフトがOffice2016脆弱性をパッチ、小学校生徒の情報を人質に身代金要求、サイバーセキュリティカルチャーの作り方、iPhoneのセキュリティ向上化の為のヒント
1. Microsoft Kills Potential Remote Code Execution Vulnerability in Office (CVE-2017-8630)
McAfeeの報告によって明らかになったMSOffice2016の脆弱性のパッチが発表された。対象は32bit、64bitのOffice2016となる。脆弱性が浮き出るコンディションを作るには、特定のオプションを選択する必要があるのでエクスプロイトは起きにくい。
・CVE-2017-8630
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8630
2. The Dark Overlord cybergang threatens kids in its latest attack
ハッカー集団のThe Dark Overlord Solution(以下、TDO)が、モンタナ州のコロンビアフォールズ地区にある小学校生徒、両親、教員達の個人情報を人質にして、身代金を請求している事が明らかになった。
手紙によると、TDOは地区で働く役所員に長文の手紙を送付し、150,000アメリカドル(≒1680万円)もの金額を請求し、生徒数名に関する個人情報を開示している。専門家によれば、そうする事で実際にハッキングに成功していることをアピールする狙いだ。
この手紙を受け取ったCurry氏は、脅迫文の全文をインターネットに公開した。目的は、対象となる自治体の住民たちに注意喚起を促しつつ、自治体外の人達にも犯行グループの手口を知ってもらう為だ。
TDOはコロンビアフォールズ地区に限らず、セキュリティホールをパッチしていない他の自治体に対しても同様の手口を行っている模様。そのことから、脅迫されているコロンビアフォールズ地区は、身代金の支払いは行わないとしている。
・実際にTDOから送られてきた脅迫文のリンクはこちら
3. What It Means To Have A Culture Of Cybersecurity
今、40秒に一回、ランサムウェア攻撃の被害が発生していると言われている。年商10億以上もの企業がその標的にされており、ランサムウェア攻撃の発生増加率は毎年350%超。つまり2021年までにはサイバー犯罪による被害総額は60兆円にもなる見込みだ(Cyber Ventures)。
ランサムウェアの主な発生原因は、ヒューマンエラーである。
つまりスパムメールのリンク先を確認せずにクリックしてしまったり、いかがわしいサイトにアクセスしたり、信用できないソースからソフトウェアをダウンロードするような事だ。
それではヒューマンエラーを防ぐためにどうしたらいいだろうか?
この記事では、従業員に対してのセキュリティ教育が一番効果的であるとしている。攻撃の防衛最前線に立っているため、一番標的にされやすいからだ。
トップダウンで、従業員のセキュリティ教育を行えば、従業員の勤務態度は少しでもいい方向に変えることが出来る。
他には、ヒューマンエラーが起きた時のリスクを減らす構造を作り上げる事が良いだろう。
例えば、安全性の検証されたソフトウェアしかダウンロードできない仕組みの構築、スパムメールフィルターの導入、社内PCから業務に関係ないウェブサイトにアクセスすることが出来ないようフィルタリングする等の処置が行える。
4. Adjust these iOS 11 settings to make your iPhone as secure as possible
https://finance.yahoo.com/news/adjust-ios-11-settings-iphone-secure-possible-152329009.html
先日iOS11が発表されたが、多くの脆弱性がパッチされるなど、Appleのセキュリティ意識の強さが伺えるアップデートだと私は考えている。
ここで質問したいのだが、あなたはどのようにしてiPhoneのセキュリティを保っているだろうか。
この記事では、iPhoneのセキュリティを向上させる為に幾つかのヒントを提案している。
①画面アンロック時のパスコードを、”カスタムの英数字コード”に設定する
ロック画面をアンロックする時のパスコードを、数字だけのパスコードにせず、カスタムの英数字パスコードに変更しよう。
”カスタム英数字のパスコード”の設定方法は以下に示す。
1. [設定]画面を開き、”Touch IDとパスコード”画面にいく。
2.”パスコードを変更”をタップする
3.”カスタムの英数字コード”をタップする。
以上のステップを踏むと、数字だけじゃなく、大文字・小文字のアルファベットもパスコードとして使えるようになり、iPhoneのロックが破られる可能性を劇的に下げることが出来る。
②TouchIDを無効化する
TouchIDでロック画面を解除出来るのは非常に便利だが、実は指紋登録しておく事はiPhoneの安全性を下げてしまった。なぜなら、寝ている時や、意識を失っている時に指を当ててアンロックしたり、更には警察等の権力を持った人があなたに対して命令してアンロックする事が出来るからだ。
③ロックスクリーンに通知を表示させない
ロックスクリーンに、LINEやMessangerアプリのダイジェストメッセージを表示させている人はいるだろうが、第三者がメッセージを盗み見ることが出来てしまうという事になる。
④ウィジェットを無効化する
通知を表示させない理由と同じで、ウィジェットの設定も解除しよう。
⑤iCloudの2段階認証を設定する
iCloudアカウントに第三者がログインしようとすると、あなたに認証コードが書かれたSMSが送られて来ることになる。携帯電話が盗まれている状態だと意味をなさないが、そうでない場合は、iCloudアカウントがハッキングされた恐れがあることがわかるので効果的だ。
忙しい人のためのセキュリティニュース(2017/09/20) CCleanerに隠されたあるコード、Eメールの脆弱性”ROPEMAKER”、赤外線カメラに隠された脆弱性、SEC(アメリカ)がハッキング被害を公表
1. CCleaner Command and Control Causes Concern
http://blog.talosintelligence.com/2017/09/ccleaner-c2-concern.html
CCleanerに関わる記事で、20もの有名ドメインがStage2のペイロードの標的にされていた事がCiscoのリサーチャーによって明らかになった。
そのドメインには、”cisco.com”を始め、”jp.sony.com”、”samsung.sk” など各国の大手企業のドメインも含まれていた。
2. ROPEMAKER email security weakness – Vulnerability or application misuse?
ROPEMAKERという脆弱性は、「Inbox内の既読状態とされるEメールは、セキュリティ対策の必要ない」という常識を打ち砕いた。
Invbox内のメールのシンプルテキストやBodyを、任意の悪意のあるURLに変換してしまうのだ。SMIMEやPGPで電子署名されているものでも関係なく変換できてしまう。
この現象はHTMLと一緒に使われたCSSの脆弱性を突いたものだ。攻撃が成功すると、攻撃者はターゲットを遠隔操作し、任意の悪意のあるウェブサイトに誘導することが出来るとの事だ。
3. Using malware and infrared light, hackers can turn a security camera into a business spy
赤外線とマルウェアを使って、監視カメラを操作する攻撃手法。
監視カメラには、夜間用に赤外線LEDランプが搭載されている。
監視カメラが繋がれているネットワーク上にある情報のアウトプットと、外部からの情報のインプットの両方が出来る。
アウトプットーネットワークにマルウェアを感染させ、ネットワーク上にある機密情報を監視カメラに送る。赤外線LEDから赤外線を出し、攻撃者はその赤外線経由で送られてきた信号を解読する。
インプットー攻撃者は監視カメラの設置された公共の場所に立つ。赤外線のペイロードにバイナリデータ(コマンド&コントロール文)をエンコードし、監視カメラに向かって赤外線を照射。
マルウェアを使って、監視カメラのLEDランプを操作する。そのLEDランプの点滅を別のカメラで録画し、その点滅の意味を解読する。
リサーチペーパーはこちら
https://arxiv.org/abs/1709.05742
4. S.E.C. Says It Was a Victim of Computer Hacking Last Year
https://www.nytimes.com/2017/09/20/business/sec-hacking-attack.html
SEC(米国証券取引委員会)が昨年ハッキング被害にあっていた事を公表。証券のトレードに有利な情報が攻撃者に漏れ、攻撃者はその情報を使ってトレードをした可能性があることを明らかにした。
SECが管理している情報は、投資家達に公表すらされていない情報を含むので、攻撃者は漏洩した機密情報を基に投資を行い、莫大な利益をもたらした可能性があると公表している。
最近のセキュリティ業界で話題のクレジット情報を管理するEquifaxの個人情報漏洩に続いた金融業界のニュースである。情報漏えいのリスクが非常に高い業界である為、インフラのセキュリティ高度化が必要となってくる。
忙しい人のためのセキュリティニュース(2017/09/19) ボットネットの裏側/EUの新条約/ByLockエクステンションが裏でマイニング/Viacom情報漏洩/Apache脆弱性 他
1. Behind the Modern Botnet
https://umbrella.cisco.com/blog/2017/09/19/behind-modern-botnet/
ボットネットのライフサイクルについてまとめられている。
①感染・拡大フェーズ・・・攻撃者がシステムに潜入する段階。Eメールボックスやウェブサイトに侵入する。既に感染しているボットは、他の攻撃者に対してお金と引き換えにレンタルで貸し出す。
②コマンド&コントロールフェーズ・・・ホストIPアドレス、通信のTTLを頻繁に変更し、攻撃者が管理するボットネットに加わる。
③レポート&コマンド待機・・・メールホストとして機能出来るならスパムメールを送り、他にはProxyサーバーとして他の通信の踏み台となる。DDoS攻撃もこのフェーズで行われる。
④管理・検知回避フェーズ・・・引き続きボットネットの一員として利用するために、本来の所有者の目を盗んでコントロール権を確保し続ける。
2. EU Commission just presented its cybersecurity strategy — here are 10 things they missed
EUがサイバーセキュリティに関する条約を発表した。
恐らく、今年の春から夏にかけてヨーロッパ各国で甚大な被害があったWannaCryに対抗するEUとしての姿勢を表明した形だろう。
この記事の筆者は、EUが発表した条約にある10個の欠点をあげている。
例を挙げると、DRM(デジタル著作権管理)の廃止、アップデートの定期的な実施、脆弱性の公表とパッチの実施、監視を目的としたバックドア埋め込みの禁止、といった点を指摘する。
3. Erdogan arrests 75,000 people for using ByLock messaging app
秘匿性の高いメッセージ・電話アプリであるByLockをダウンロードしたとして、75000人のトルコ市民が先日トルコ警察によって逮捕、又は勤めていた会社から解雇された。ByLockは、2016年にトルコの政治クーデターが起きて以来、違法とされていた。
4. Viacom Leak May Have Exposed Hundreds of Digital Properties—Paramount Pictures, Comedy Central, MTV, and More
https://gizmodo.com/viacom-leak-may-have-exposed-hundreds-of-digital-proper-1818504796
セキュリティ会社UpGurardによれば、アメリカのエンタメ業界の頂点に君臨するViacomのサーバーから情報漏えいしている事が判明した。
Viacomとはパラマウント・ピクチャーズ、MTV等と行った会社を有し、他にもデジタル著作権を多数保有している企業だ。
サーバーには社員・顧客情報は保存されていなかったものの、サーバーをホストしているAWSのサーバー管理者用アカウントIDやパスワードが流出した模様。
これだけでも、攻撃者がその先にある情報を掴みにいったと危惧されている。過去にサイバー攻撃を受けたエンタメ企業の例として、ソニーイラストレーションとHBOが挙げられる。
どちらの企業も顧客情報や機密情報を漏洩し、何週間もニュースに取り上げられ、甚大な被害を受けた為、Viacomは慎重にならざるを得ない。
5. Apache “Optionsbleed” vulnerability – what you need to know
Apache Web Serverの脆弱性”OptionsBleed”に関する簡潔な説明をする記事。httpdに起きたバグで、OPTIONSリクエストによって情報を引き出せるので、2013年に発生したHeartBleedにちなんで”OptionsBleed”と名付けられた。
OPTIONSリクエストを送ると、本来はサーバーが受けるリクエストの種類を返してくるはずなのだが、このバグは、HTTP Replyのボディとして帰ってくる情報が帰ってきてしまうのだ。
記事によれば、100万件のサーバーに対して行なったOPTIONSリクエストのうち、バグの発生したサーバーは466件だったという。つまり、発生確率は0.12%ということだ。
しかし万が一の自体に備えて、Webサーバーの管理者はApacheソースコードデータベースから公開されているパッチ(https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/server/core.c?r1=1805223&r2=1807754&pathrev=1807754&view=patch)を当てたほうがいいだろう。
6. Chrome Extension Embeds In-Browser Monero Miner That Drains Your CPU
The Pirate Bayのページでも同様のコードが埋め込まれていたのは記憶に新しいが、同様の手口がGoogle Chromeのとあるエクステンションでも行われていた。
SafeBrowseというGoogle Chromeのエクステンション(拡張機能)のコードの中に、ユーザーPCのCPUにアクセスして暗号通貨Moneroをマイニングするコマンドが入っている事が判明したのだ。
コードはバックグランドで実行され、採掘されたMoneroはSafeBrowseの作成者のアドレスに送信されるよう実装される仕組みとなっていた。
エクステンションをインストールすると、直ちにCPUを60%程使用するので、インストールしている人は直ちにアンイストールすべきだ。
7 Here’s what your identity sells for on the dark web
http://mashable.com/2017/09/19/how-much-personal-info-sells-for-on-dark-web/
不正に入手された日本人のクレジットカード情報は、裏インターネット(ダークウェブ)ではUSD10〜20の値段で取引されている。
クレジットカードを使う時、使用する店とカード会社の間にいくつもの仲介業者がいる。
という事は、どんなにクレジットカード番号が流出しないように個人とカード会社が気をつけても、仲介業者のサーバーが攻撃を受けて流出させれば無意味なのだ。
「そうなった場合には、残された手段はカードの停止だけ」とセキュリティ専門家は言う。カード明細はこまめにチェックし、不正利用があった場合にはすぐに連絡し、止めることで被害は防げるので気をつけよう。
8. IOS 11 UPDATE INCLUDES PATCHES FOR EIGHT VULNERABILITIES
https://threatpost.com/ios-11-update-includes-patches-for-eight-vulnerabilities/128036/
今日(2017/09/20)付けで、日本でもiOS11へのアップデートが始まった。iOS11では、以下の8個のバグへのパッチが当てられている。
CVE-2017-7106(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7106)
・悪意のウェブコンテンツ処理をするWebkitを使ったXSSの脆弱性
CVE-2017-7089(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7089)
・アドレス・スプーフィングの脆弱性
CVE-2017-7106(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7106)(Webkit)
CVE-2017-7085(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7085) (Safari)
・Exchange ActiveSyncの脆弱性
CVE-2017-7088(https://cve.mitre.org/cgi-bin/cvename.cgi?name=2017-7088)
・Mail Message UIのメモリ破損の脆弱性
CVE-2017-7097(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7097)
・Messagesのアドレス検証の脆弱性
CVE-2017-7118(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7118)
CVE-2017-7072(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7072)
9. BlueBorne Vulnerability Is Patched in All Supported Ubuntu Releases, Update Now
Ubuntuの全バージョンを対象にした脆弱性(CVE-2017-1000251)のパッチが発表。
この脆弱性を使うと、攻撃者はLinuxカーネルのBluetoothのスタックを悪用したバッファオーバーフローを仕掛ける事が出来た。Ubuntuユーザーは一刻も早くアップデートを行いたい。
CVE-2017-1000251(https://oss.sios.com/security/kernel-security-vulnerability-20170912)
忙しい人のためのセキュリティニュース(2017/09/18)
1. 世界初のブロックチェーン技術搭載型スマートフォン
BitVault®, World's First Blockchain Phone to Start Shipping in November https://finance.yahoo.com/news/bitvault-worlds-first-blockchain-phone-201600279.html
分散型台帳技術であるブロックチェーンを応用して、モバイルネットワークをセキュアにしてしまおうという試み。ハードウェアスペックは中華系Androidスマートフォンと何ら変わらず、目新しい事はない。馴染みのiOSやAndroidとは別の独自OSを使っている為、まだアプリの種類は少ないだろう。これまで中央にサーバーを構えるネットワークでは常に誰かに監視されている可能性が捨てきれなかったが、この携帯のウリは監視されている事が無い事だ。
しかし、ビットコインやEthereumの様なパブリックブロックチェーンではなく、BitVault独自のプライベートブロックチェーンを使う為、ネットワークに参加しているフルノード数がどの程度かによってセキュリティレベルは変わってくるので、正直セキュリティの高さも霞んでしまう。よっぽどブロックチェーンを信じているか、プライバシーにかなりの重きを置いているか、新しいもの好きな人しか購入しないだろう。
2. シンガポール政府が5億ドルを使って政府ウェブサイトを守る
$50m deal to keep government websites going in a cyber attack
http://www.straitstimes.com/tech/50m-deal-to-keep-govt-websites-going-in-a-cyber-attack
昨日紹介した記事に関連して、シンガポール政府が政府関連のウェブサイトをDDoS攻撃から守るためにサイバーセキュリティ企業6社と契約を結び、その契約金は5億ドルにも達したというニュース。
3. 違法ダウンロードは無料?マルウェアに感染する恐れあり
'Free' illegal downloads could cost you big in malware
http://www.straitstimes.com/opinion/free-illegal-downloads-could-cost-you-big-in-malware
トレントサイトや、違法の動画配信サイトで無料、又は安い登録料で違法にインターネット上にアップロードされたファイルを楽しむ人は多い。無料で手に入るものなんて存在せず、何かを得るためには何か代償を払うのが世の常だ。海賊版ソフトウェアや違法にアップロードされた動画を観る際には、ユーザーが気づかない内にスパイウェアやトロイの木馬等に感染している可能性が高い。
4. Equifaxの個人情報漏洩が何故大事なのか?
From equanimity to Equifax https://www.infoworld.com/article/3225912/open-source-tools/from-equanimity-to-equifax.html
Equifaxが突かれたApache Strutsの脆弱性に関する、非エンジニア・経営者向けの簡単な説明。会社で使っているソフトウェアのポートフォリオを作成し、バグが無いか、パッチが当てられているか、オープンソースフレームワークならばゼロデイが無いか等、細かに対処する事を推奨する。
5. サイバーセキュリティと貿易関係について
Toward Cybersecurity Without Trade Protectionism via @forbes https://www.forbes.com/sites/danikenson/2017/09/18/toward-cybersecurity-without-trade-protectionism/#87912c42a35d
ITデバイスの安全性は、ブランドの信頼や国のイメージで決められる事が多い。例えば、WindowsPCよりもMacの方がウイルスにかからないとか、ロシアのアンチウイルスソフトは危ない、中国のスマートフォンにはトロイの木馬が入っている、等のイメージだ。だが実際は風評被害で、そうしたイメージではなく、ちゃんとした規則に基いて製品チェックを行なっていくべきだいうのがこの記事だ。
6. もはや信頼できるサイトも信用できない?
Software Has a Serious Supply-Chain Security Problem https://www.wired.com/story/ccleaner-malware-supply-chain-software-security/
信頼されているドメインやベンダのリンクをすり替えてマルウェアをダウンロードさせる手口が横行している。記事では、キャッシュファイル等の不要なファイルを削除してくれるCCleanerを例に挙げる。CCleanerのダウンロードサイトのリンクが悪意のある攻撃者によって変更されてから、227万回もダウンロードされてしまったという。この問題の根底にある許すべきことは、信頼できないサイトでダウンロードせず、必ず信頼されているリンクからソフトウェアをダウンロードしている人が被害を受ける事であり、ユーザーの良い行いが仇となり、信頼関係が崩れてしまうのだ。
7. なぜロシアが暗号通貨を使うのか
Why Russia is finally embracing virtual currencies. Hint: It rhymes with honey wandering http://www.newsweek.com/russia-finally-embracing-virtual-currencies-666794
ロシアに多数存在するハッカーやサイバー犯罪者は匿名性を求めており、ブロックチェーンを使う暗号通貨はマネーロンダリングに好都合であるとこの記事は述べている。
ロシアのプーチン大統領は、暗号通貨を自国の通貨として取り扱う事を検討中であり、Ethereumの開発者であるVitalikとも面会をした程なので、恐らく秘密裏に開発をしているのだろう。ブロックチェーンはこれまでの全ての取引台帳を記録している為、足跡が付きやすく、マネーロンダリングに使われる事はないというのが多くの専門家が言っていることだ。しかし最近では、Bitcoin Mixerというサービスが注目されており、足元の付きやすいコインの記録を書き換えてしまう事が可能になっている。
8. ランサムウェアがなくならない理由ーー儲かるから。
Financial attractiveness of ransomware ensures it remains growing threat https://www.scmagazineuk.com/financial-attractiveness-of-ransomware-ensures-it-remains-growing-threat/article/689004/
WannaCryptoやPetyaといったランサムウェアの被害が世界中で増加している。増加の背景にあるのは、ビットコインを始めとする暗号通貨の利用が増加している事により、今後はスマートフォン(とりわけAndroid端末)に対するランサムウェアの被害が増加していくだろう。
忙しい人のための日刊セキュリティニュース(2017/09/17)
1. ChromeのアップデートでFTPが”Not Secure”カテゴリに追加へ
Chrome will label Resources delivered via FTP as “Not Secure” http://securityaffairs.co/wordpress/63119/security/chrome-ftp-unsecure.html
2017年12月にリリースされるChrome63バージョンで、FTPが”Not Secure”カテゴリに追加される。背景は、HTTPSをウェブサイト運営者に使ってもらう為である。Googleのレポートによれば、先月の全通信の5%がFTPによるダウンロードだったという。
2. 病院のスタッフが患者の個人情報を盗み見
Hospital employee unnecessarily accessed patient information http://www.miamiherald.com/news/article173813061.html
カナダ・バンクーバー州の病院勤務のスタッフが、同病院の患者2000名程の個人情報を盗み見た疑いがあると報道された。盗み見られた情報は、患者の名前、年齢、患者番号、入院及び退院日、病気の進行具合、診断名。盗み見たスタッフは、2011年11月から2017年7月もの間、情報を盗み見ていたと言われている。
3. Equifaxがいかに使えないか
The learned helplessness of Equifax http://tcrn.ch/2f2HhC5
最近セキュリティ業界のニュースメディアで頻繁に取り上げられているEquifaxの情報漏えいで明らかになった、C/S方式に対する疑問を投げかける記事。ソーシャルセキュリティナンバーのような大事な情報を、中央のサーバーに保存しておく事の是非を問うている。筆者の見解では、完璧な解決策とは言えなくても、2段階認証方式を導入する事が良いと提案している。
4. アメリカ合衆国財務省がイラン国籍企業と個人7名に制裁
US Treasury announced sanctions against seven Iranian nationals and other entities http://securityaffairs.co/wordpress/63126/cyber-warfare-2/iranian-nationals-sanctions.html
アメリカ合衆国財務省が、イラン政府、及びイスラム革命防衛隊と関係があるとされる7人のイラン人及びイラン系セキュリティ企業に対して制裁を行うと発表。理由は、2012年にアメリカの金融機関に対してDDoS攻撃を行なったとされる。ちなみに今回制裁を受けたイラン人は、2016年に米国司法省から金融機関やダムのシステムにハッキングを行なった容疑で起訴されていたとの事だ。
5. トレントサイト「PirateBay」上で自動マイニング
The Pirate Bay Added a CPU-Hijacking Bitcoin Miner to Some Pages http://gizmodo.com/the-pirate-bay-added-a-cpu-hijacking-bitcoin-miner-to-s-1818488143
P2Pネットワークを使ってファイルシェアを行う為に必要なトレントファイルをダウンロード出来るPirateBay上のページを表示すると、ブラウザ上からユーザーPCのCPUを使ってマイニングを行うコードを実行する機能がユーザーへの通知無しで実装された事が明らかになった。ブラウザからマイニングを行うコードを実行するのは珍しくない(昨日分のブログ記事で、ウクライナ系の動画ストリーミングサイトに掲載されている広告が勝手にユーザーPCのCPUを使ってマイニングを行っている事が示されていた)。しかしユーザーへの通知無しで行う事に、ユーザーからは不満の声が上がる。
6. カリフォルニア州、SilkRoad, AlphaBay上で違法取引に徹底抗戦の姿勢
Feds in California are aggressively going after Silk Road, AlphaBay vendors https://arstechnica.com/?post_type=post&p=1167889
Tor等の匿名Proxyを使用してアクセスできるAlphaBay、SilkRoad等の、違法な商品を扱うオンラインショッピングサイトで取引を行なった人達の裁判が行われている模様。現在進行形では11件も行われており、そのうち4件が有罪とされているようだ。
忙しい人のためのほぼ日刊セキュリティニュース(2017年9月16日分)
1.Equifaxの事件の前にあった4つの個人情報漏洩インシデント
4 Credit Bureau Data Breaches that Predate the 2017 Equifax Hack http://disq.us/t/2tl6nzu
この記事では、最近起きた大規模な米国民のクレジット情報の流出以前に発生した同様の4つのインシデントに関して述べている。以下その4つのインシデントに関して簡単に説明する。
1. ExperianとUS Info Search(2012年3月)
2012年にクレジット管理機関であるExperianが買収したCourt Venturesという、法的なデータ収拾サービス会社を買収した。しかし子会社となったCourt Venturesが、US Info Searchというデータの逆引きプラットフォームからベトナム国籍であるHieu Minh Ngoという人物にデータを売っていた事が判明。この事件によって、20億件のクレジットデータが流出したと言われている。
②Equifax, Experian, Transunion (2013年3月)
Equifax, Experian, Transunionの3つの会社のシステムに侵入が行われた事を認め、盗み出された芸能人、著名人の個人情報がExposedというウェブサイトに掲載。例を上げれば、ミシェル・オバマ、パリス・ヒルトン、ヒラリー・クリントン、前FBI長官のロバート・ミューラー等の極めて個人的な情報が掲載された。ちなみに、犯人の手口は、被害者たちのSNSやメールアカウントにアクセスし、盗み出した個人情報を元に、秘密の質問を通してパスワードを取得したと言われている。
③ExperianとT-Mobile(2013年10月)
Experianが2013年4月に買収したDecisioning SolutionsというSaaS系会社を経由してT-Mobileのサーバーに不正アクセスが行われた。2015年、同じシステムから再度不正アクセスが行われ、15,000万件のソーシャルセキュリティナンバーと個人情報が流出した。
④Equifax
Krogerという食品販売会社の内部で起きた個人情報漏洩事件。EquifaxのW2Expressという米国で確定申告をする際に使うW2フォームをダウンロードできるウェブサイトに不正アクセスを行った攻撃者は、他のソースから取得した情報を基に、Kroger社員の給与と税金に関するデータを公開した。
2.ブラウザ上で暗号通貨マイニングを行う’ マルヴァタイジング’
Malvertising Op Pushes Code that Mines Cryptocurrencies in Browser http://disq.us/t/2tmqq7x
ロシアとウクライナに拠点を持つビデオストリーミング、及びブラウザ上でゲームをプレイできるウェブサイトで、本来は禁止されているじJavaScriptコードが埋め込まれた広告が使われている。このコードは、アクセスしたユーザーのブラウザ上で暗号通貨のマイニングを行っている模様。マイニングはかなりのリソースを使う作業だが、こうしたビデオストリーミングサイトは元々リソースを消費するサイトであるため、ユーザーは気づきにくい。更に、ユーザーは長時間サイトにアクセスしっぱなしなので、時間のかかるマイニングタスクも完了する。
2017年8月時点で、165万ものユーザーが、こうしたマイニングスクリプトや、他のフリーウェアに扮したマイニングソフトウェアの被害に合っていると言われている。対処法としては、アドブロッカーや、JSコードの自動実行を禁止するNoScriptの様なプラグインをインストールし、YouTubeやNetflix等の名の知られたビデオストリーミングサイトでビデオを楽しむと良いだろう。
3.1,800件のウェブサイトが改ざんの被害にあったのは氷山の一角?
1,800 website defacements in Singapore in 2016 just tip of the iceberg: CSA http://str.sg/4joL
シンガポールでは、2016年にウェブサイトの改ざん被害件数がおよそ1800に達した。「ウェブサイト改ざんは、コンテンツが変更された事によってサービス提供が行えなくなる被害だけでなく、悪意のあるコンテンツや他の攻撃の踏み台にもされかねない」とFireEyeのアジア太平洋地域のセキュリティオフィサーであるBryce Boland氏は語る。その他、シンガポールに対して、他の国で雇われたサイバー攻撃集団がハッキングを行なっている事が調査によって判明したため、シンガポール政府は対応を急いでいる。既に、政府に努める公務員およそ143,000人全てのコンピュータではネットサーフィンが制限されているという。
4.No More 追跡型広告。Appleが行なう対策とは?
Apple fires back at advertisers complaining about new privacy features coming to Safari browser http://www.firstpost.com/tech/news-analysis/apple-fires-back-at-advertisers-complaining-about-new-privacy-features-coming-to-safari-browser-4050601.html
AppleのiOSアプリ、Safariに搭載される新機能のニュース。マルヴァタイジング(Malvertizing)のセキュリティ対策として追跡型広告をブロックする機能が実装される。具体的に言えば、ハードディスクをAmazonで検索した場合に、他のサイトを閲覧した際にハードディスクの広告が表示されていたが、その広告をブロックする機能となる。
暗号通貨投資家達が抱えている”ある矛盾”について。本人たちは気づいていない?
今日まで、毎日のようにブロックチェーン技術に関する文献を読み漁ったり、値動きを見たり、Slackのチャットに参加してきたわけだが、正直疲れてしまった。
その原因は、昨日の中国のICO禁止例である。
http://www.itmedia.co.jp/news/articles/1709/05/news040.html
このニュースによれば、暗号通貨によるICOを一斉に禁止したことになる為、暗号通貨取引自体が禁止になったことでは無い。だが、昨日は中国関連のコイン(NEOやBNB等)の値段が一斉に下がった。それにつられて、BTCやETH等、代表格である暗号通貨の値段も一斉に暴落してしまった。私が保有しているコインはDNTが殆どで、既にDNTの値段は暴落していたので幸い損失はなかったし、これから先を展望すると暗号通貨の値段は上がっていくと思うので、全く心配はしていない。
だが、今回のイベントで気づいてしまった事がある。それは、結局、暗号通貨は政府に依存しているということだ。前提として、今のところ暗号通貨を支持している人達の多くは、リバタリアンというカテゴリに分類される。リバタリアンとは、政府や中央銀行、メガバンクや大企業等、中央集権的なアクターに大きな力が集まっている事を批判している人達のことである。IT業界の界隈では多く見られる人種なのだが、暗号通貨が、個人として持てる力を増幅させる役割を持っている事から、リバタリアニズムとの相性も良い。その結果、暗号通貨の多くの支持者はリバタリアンによって構成されている。
リバタリアンの多くは政府や大企業の力に頼らずに、金銭的な独立を持って社会的に大きな力を持つことを望んでいる。昨日の中国政府によるICOの禁止によって大きく値段が下がってしまった事で、結局暗号通貨は政府の方針によって叩き潰されてしまうものであるという事だ。言い換えれば、政府が暗号通貨をサポートする政策を打ち出せば暗号通貨の値段は上がるし、その一方で、政府がその気になれば今つけている値段の何十分の一にも下げる事が出来るという事になる。
更に言えば、フィアットマネー(米ドルや日本円等の国によって発行される通貨)のように、暗号通貨を利用できるサービスが一気に広がって行く事には時間がかかると思っている。つまり、暗号通貨投資で幾ら含み益を増やしたとしても、ある時点で暗号通貨の投資家達は、フィアットマネーへの換金をすることになると思う。勿論のことだが、フィアットマネーの価値も、政府の政策によって決まる。という事は、暗号通貨にせっせと投資しているリバタリアンの多くの運命は、つまるところ政府によって握られている事になる。
この状況は私からすれば、皮肉としか思えない。それは、本来リベラリスト達は、政府のような中央集権的な役割を持つ組織の影響力から免れる為に暗号通貨に投資をしているにも関わらず、結局はリバタリアンは政府によって暗号通貨が政策としてサポートされる事を望んでいる事に他ならないからだ。無論、暗号通貨がリバタリアン以外の人達にも普及して、更なる投資が行われば値段も相応に上がっていくことだろう。しかしながら、そうした状況にあっても政府や大企業の手の上で暗号通貨投資家達が転がらされていることに他ならないと私には思える。
上記に述べた状況は、「中央集権的なイデオロギー」を打破しようとする、リバタリアン思想を持つ暗号通貨投資家の多くが抱えている矛盾であり、この矛盾の解消はされないであろう事を感じてしまった私からすると、少し興ざめする様な状況である。今後、この矛盾の折り合いが、どのように付けられていくのかはまだ想像できないので、暗号通貨投資をしつつ、今後の動向も見守っていきたい。
どのようにして独立したコンピュータを集団化するか(ステップ4)
”どのようにして独立したコンピュータを集団化するか”
(原題:How to herd a group of independent computers)
Daniel Drescher(注1)
Frankfurt am Main, Germany
前の2つのステップでは、一般的なブロックチェーンの目的を示し、純粋な分散型P2Pシステムの重要性を強調しました。実は、分散型システムでの”完全性”の維持は、ブロックチェーンの主な目的である事でした。しかし、なぜ分散型システムと、純粋な分散型P2Pシステムで完全性を維持するのが大きな課題となるのでしょうか。そこで、このステップでは、純粋な分散型P2Pシステムの信頼性と完全性との間にある微妙な関係を明らかにする事によって、上記の疑問について考えて答えます。あなたがこのステップを読み終える頃には、完全性の重要性についての理解を深め、ブロックチェーンによって解決されるべき大きな問題を理解する事が出来るでしょう。最後に、このステップでは、ブロックチェーンがどのような環境であれば最も価値を発揮できるのか説明します。
メタファー
多くの言語には、「混沌とした個人の集まりを、グループとして一括りにする状況」を説明するための諺があります。例えば、英語では、「中央の権威を受け入れない」、「あるいは認識することのない」、「頑強で扱いにくい」ような動物群を群集する”難しさ” を意味する言葉として、”猫を群れさせる”という言葉が存在します。「中央の権威を受け入れない、あるいは認識しない個人の集まりを組織しようとする難しさ」に関して、何か引っかかる事がありませんか?ーーそうです。純粋な分散型P2Pシステムの事です。純粋な分散型P2Pシステムは、中央組織による制御、又は調整を一切持たない個々のノードと、独立したノードで構成されています。そこで、この手順では、純粋に分散されたP2Pシステムの大きな問題と、それがブロックチェーンにどのように関係するかを説明します。
P2Pシステムにおける「信頼性」と「完全性」
「信頼性」と「完全性」は、コインの両面です。 ソフトウェア・システムの文脈において、「完全性」とは、安全で、完全で、一貫性があり、正確で誤りが無いというのが、システムの非機能的な側面となります。また、信頼とは、人間が持てる深い信頼性、真実の現れであり、証拠や調査なしで証明されるものでなくてはならない「確信」のようなものです。 端的に言えば、信頼とは、事前に与えられているもので、継続的に人間同士がやり取りを行なっていく事で増減して行く事がわかるでしょう。
ピアツーピアシステムに関して言えば、人々がシステムを信頼し、継続的にシステムを使う結果、人々がシステムに対する信頼性を認識し強化するならば、そのシステムに更なる人々が参加してシステムの向上に貢献し続けることを意味します。つまり、システムの完全性こそが、ユーザの期待に応え、システムに対する信頼を強化する為に必要なのです。
完全性が欠如している事から、ユーザーによる信頼性がシステムによって強化されていない場合、ユーザーはシステムを使わなくなってしまい、最終的にシステムを終了させます。P2Pシステムにおける信頼性の重要性を考えると、ここで大きな疑問が湧きます。それは、純粋な分散型P2Pシステムにおいて、どのようにして整合性を達成し、維持するのか?という事です。
純粋な分散型システムにおける完全性を達成し維持する事は、様々な要因によりますが、最も重要なものは次のとおりです。
- ノードとピアの数に関する知識
- ピアの信頼性に関する知識
分散型P2Pシステムで完全性を達成できる確率は、システムに参加しているノードの数、及び信頼性がわかる場合は高くなります。この状況は、あるクラブのメンバーの一人ひとりが高い道徳観を持っており、そのクラブに新しいメンバーを入れる際も、厳しい審査基準を利用している様な状況です。しかし、分散型P2Pシステムで完全性を達成する際に考えられる最悪の状況は、ノードの数とその信頼性が不明な場合です。言い換えれば、全員に公開されている純粋な分散型P2Pシステムをインターネット上で実行する場合です。
P2Pシステムにおける完全性に対する脅威
問題を簡略化するために、P2Pシステムにおける、完全性に対する2つの脅威を考えてみましょう。
- テクニカルなエラー
- 悪意のあるピア
テクニカルなエラー
P2Pシステムは、ネットワークを介して通信するユーザの個々のコンピュータで構成されます。 コンピュータシステムのすべてのハードウェア、ソフトウェアコンポーネント、及びコンピュータネットワークのコンポーネントには、エラーの発生リスクがあります。 言い換えると、どの分散型システムも、コンポーネントにエラーが発生したり、間違った処理をする可能性があるという問題があるという事です。
悪意のあるピア
悪意のあるピアは、P2Pシステムにおける2番目の完全性の脅威です。 信頼に関わる問題の原因は、技術的な問題ではなく、自らの目的のためにシステムを悪用しようとする個人によって引き起こされる問題です。 この脅威は、技術よりも社会学と集団動態に関連していると言えるでしょう。善良なピアのように仮面を被る悪意のあるピアは、P2Pシステムの基礎、すなわち「ネットワークの信頼性」を攻撃するため、P2Pシステムにとって最も深刻な脅威となります。ユーザーがもはやピアを信頼できなくなると、ネットワークから離れ、P2Pシステムへ計算リソースの寄与を停止します。 これが悪循環を生み出し、更にメンバーの数は減少し、システム全体が残されたピアにとってあまり魅力的にならなくなり、最終的にはピアから完全に放棄されるシステムの低下を加速することになります。
ブロックチェーンによって解決されるべき主要な問題
何もかも最高の状態で整ったシステムで完全性と信頼性を達成するのは簡単です。ですが、 実際の課題は、全ての条件が最悪の場合に、”どのようにして分散システムで完全性と信頼性を達成するのか”という事です。 実は、そのままブロックチェーンが解決しようとしている問題となります。 つまり、ブロックチェーンによって解決されるべき中心的な問題は、ピアの全体数が定かでは無い純粋な分散型P2Pシステムにおいて、完全性を達成し、維持する事です。実はこれは長い間、問題視されてきました。それは実際にコンピュータ科学のよく知られて広く議論されています。 軍の指令系統の伝達に喩えられ、一般的に、ビザンチン将軍問題として知られています。
補足
ブロックチェーンによって解決されるべき問題は、ピアの全体数が不明な純粋な分散型P2Pシステムにおいて完全性、及び信頼を達成し、維持することである。
今後の見通し
このステップでは、P2Pシステムにおける完全性と信頼の重要性を強調しました。さらに、このステップは、ブロックチェーンによって解決されるべき重要な問題を指摘し、P2Pシステムにおける完全性と信頼を達成する事の。ただし、まだブロックチェーンという用語の定義はまされておりません。それは、次のステップで取り上げます。
まとめ
- 完全性と信頼は、P2Pシステムの大きな課題です。
- P2Pネットワークの参加者は、P2Pシステムを信頼し、継続的にシステムとやりとりします。そのやり取りの結果、システムが信頼出来るものであると判断した場合、P2Pシステムに参加し続けます。
- P2Pシステムの参加者が、参加しているP2Pシステムへの信頼を失うと、それを放棄し、システムは存続できなくなります。
- P2Pシステムにおける主な完全性への脅威は次のとおりです。
- テクニカルなエラー
- 悪意のあるピア
- ピアツーピアシステムにおける完全性の達成は、
- ピアの数に関する知識
- ピアの信頼性に関する知識
- ブロックチェーンによって解決されるべき主な問題は、全体数が不明なピアから構成される、純粋な分散型P2Pシステムで完全性と信頼を達成し維持することです。
注釈
(注1).Lamport, Leslie, Robert Shostak, and Marshall Pease. The Byzantine generals problem. ACM Transactions on Programming Languages and Systems (TOPLAS) 4.3 (1982): 382–401.
原文について
以上の文章は、Blockchain Basics: A Non-Technical Introduction in 25 Steps 1st ed. Editionの非公式翻訳です。この本は、Daniel Drescher氏によって著され、ノン・テクニカルな読者であってもブロックチェーンに関する理解が深まる本として注目を集めています。
原作をお買い求めの場合は、こちらのページからご利用下さい。(米国Amazonの商品ページに飛びます。)