【日刊】忙しい人のためのセキュリティニュース(2017/10/10) 米・アクセンチュアが”うっかりミス”、マイニングスクリプトサービスに新参者、中東・北アフリカのサイバー闇取引WannaCrypto等 他

f:id:nanashi0x:20171011151911p:plain

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

それでは早速、参りましょう!

米・アクセンチュアが”うっかりミス”

9月末に発覚したデロイト社の情報漏えいに始まり、大手コンサルティング会社のインシデントが相次いでいる。

アクセンチュアは、大量の顧客データを安全が保証されていないAWSクラウドサーバーに放置したままだった事実を公表した。

放置されていたのは、Fortune100リストに入るほどの大企業のデータで、顧客システムの管理者パスワード、暗号鍵データなどが含まれる。

この事態は9月半ばにセキュリティリサーチャーのChris Vickery氏によってアクセンチュアに報告され、報告を受けた次の日にはアクセンチュアはサーバーの設定変更を行なったという。

更にVickery氏は、AWSのKMS(Key Management System)のマスターキーデータも発見したと言われている。

もしマスターキーデータが何者かによって盗み出されていたとすると、アクセンチュアAWSサーバーに保存していた分のデータは全て盗み出されてしまう可能性がある。そうなればアクセンチュアの信頼は潰えてしまうだろう。

マイニングスクリプトサービスに新参者

Conhiveが提供する暗号通貨をマイニングするスクリプトは、これまでこのブログでも何度か伝えてきた。

だがこの記事によると、同様のサービスを提供し始める”新参者”が現れたという事だ。

その新参者の名はCrypto-Lootという。

Coinhiveと同様、ウェブサイトに組み込めるJavaScriptコードをダウンロードし、サイト訪問者のCPUパワーを使ってマイニングを行う。

Coinhiveと違う点は、マイニングされた暗号通貨のCrypto-Loot取り分がCoinhiveと比べて多いことにある。

ユーザーがマイニングスクリプトを使って採掘した暗号通貨のうち、Coinhiveは30%を受取り、ユーザーに70%を渡す。

その一方、Crypto−Lootは12%を受け取り、ユーザーには88%も報酬を渡してしまうのだ。

Crypto-Lootの方がサイト運営者にとって得と言えるので、マイニングスクリプト導入に興味があるユーザーはCrypto-Lootを使用し始めるだろう。恐らく既存のCoinhiveのユーザーも乗り換えをするかもしれない。

Crypto-Lootのように、これから更に新規サービスが増えて価格競争に入っていく事が予想される。

最後にマイニングスクリプトの是非についてコメントしておきたい。

この記事の筆者・Catalin Cimpauが独自にTwitterで行なったアンケートによれば、77%がマイニングスクリプトの事を「マルウェアだと思う」と解答したようだ。(681人が回答)

私は個人的にマイニングスクリプトに関しては、サイト運営者とユーザーの間でスクリプト開始時に合意がある場合に限って利用しても良いサービスと考える。

なぜならサイト運営者として新たな収入源が増える事は良いことだと思うからだ。そこで得た収入を更にサイトコンテンツのクオリティ向上に使えれば尚更良い。

しかし第三者のサイトに違法に埋め込んだり、ユーザーの合意無しでスクリプトを実行するのはマナー違反であり、CPUリソースの窃盗だと思う。

したがって、WebプラットフォームのGoogleや、レンタルサーバー管理会社、ブログサービス会社等で厳しく取り締るべきではないだろうか。

中東・北アフリカのサイバー闇取引WannaCry等

中東や北アフリカ系のダークウェブサイトで、なんとたったの50米ドル程でWannaCryランサムウェアが手に入るという。

ロシアやアメリカのダークウェブサイトではクラッカー達が利益を得るために値段がもっと高く設定されていたり、サブスクリプション形式にして定期的に代金を支払う必要がある。

元々中東や北アフリカの地域はイスラム信仰が文化に根付いた国である事から、値段が安い理由の1つに”宗教的な繋がり”を元にした”同志愛”があるとセキュリティリサーチャーのFuentes氏は指摘する。

WannaCryを始めとするマルウェア以外にも、クレジットカード情報や、パスポート、居住証明書等も取引されている事が多い。

職業や住居を持たない難民達は、その日暮らすだけのお金をどうにか稼いで生活している。

そういう人達にとって先進国で発行されたIDは非常に価値があり、難民たちが多くいる地域では需要が高いのだ。

明日を生きる生活を賭けている人達に対して「不正をするな」とは言い難い。

情報漏えいをしている一方で、闇マーケットで入手したIDを使って他国に渡り人生を一変させ、幸せになるケースだって少なくないのだ。

この世の中のシステムのセキュリティを強化して、守るべき情報をしっかり守りたいが、その一方で世界の何処かで苦しんでいる人達にも何か出来ないだろうか。

紛失されたパスポート等のIDが、難民の身分にある人達にどれだけ価値のあるものかは、このフランス映画で上手く描かれているので参照してもらいたい。

金正恩の暗殺計画データ流出か

北朝鮮政府直属のクラッカーにより韓国・国防省サイバー攻撃が行われ、同省が保有していた235GBものデータが盗み出された。

そのデータの中には軍隊の人員リストなど軍略に関わるものが大半で、なんと”金正恩の暗殺計画”まで含まれていたようだ。

韓国はその計画を同盟国のアメリカと企てていたようだが、ほぼ100%アメリカ主導で計画された軍略だと私は思う。

北朝鮮のクラッカー集団は、韓国を始めとする国々の金融機関に繰り返しサイバー攻撃を仕掛けており、彼らのスキルは既に相当なレベルに達している。

今回の情報漏えいで北朝鮮サイバー攻撃スキルが相当なレベルである事が明らかになっただけでなく、韓国政府のセキュリティ管理に対する信頼が損なわれた。

アイルランドのスーパーマーケットチェーンで情報漏えい

今週火曜、アイルランドのスーパーマーケットチェーン、Musgraveグループがサイバー攻撃の被害に遭った。

アイルランド中のMusgraveが持つネットワークが攻撃の影響を受け、デビット・クレジットカード番号、有効期限、CVV番号が流出した。

Musgraveの広報によると、「顧客に対して、カード使用履歴から不正利用がないかチェックして欲しい」と呼びかけているという。

米・高校で情報漏えい被害

カリフォルニア州パロアルトにあるパロアルトユナイテッド高校が、10月5日に情報漏えい被害に遭った声明を発表。

同高校は、”paly rankcheck”というウェブサイトが存在する事を知らされ、情報漏えい被害に遭った事実を認めた。

paly rankcheckに学生IDとパスワードを入力するだけで、入力したIDに該当する学校成績や学年内での順位等を閲覧する事が出来たという。

また同高校の職員によれば、paly rankcheckで参照できる情報が”本物”であると認め、このインシデントを申告に受け止めている。

ある生徒の学校成績が他の生徒に知れ渡ってしまえば、クラス内でいじめが発生しかねない。生徒たちの学校生活を守るためにも、迅速に今後の情報漏えいを防ぎたいところだ。