昨日の SCE会見で聞いてみたかったこと、感じたこと
1人2問までと言っていたので、2つ考えてみた。
(1) GeoHotz氏らとの裁判は先日和解になりましたが、訴訟に関する一連の Sonyの対応(アクセスログの開示を裁判所に請求するなど)や、この問題に関する以前からの対応が、Anonymousによる攻撃の原因となり、おそらく今回の不正侵入の動機にもつながったのではないかと考えられます。このような事態は Sony自らが招いたとも言えるわけですが、過去の対応について問題があったとお考えでしょうか。
(2) 「現時点では被害は確認されていない」とのことでしたが、Sonyからの情報開示が少ない、遅いのとは逆に、ネット上には多数の情報があがっています。PSNにしか登録していないカードで不正利用があったなどの被害情報や、一昨日には PSNから漏洩したものではないかと疑われるメールアドレスとパスワード情報が投稿されていました。また、カード情報がアンダーグラウンドの掲示板で売買されているという情報もあります。もちろんかなりデマもあるとは思いますが、Sonyとしてこのような情報の収集、確認作業は行われているのでしょうか。またこのような事実はトップマネジメントに報告されているのでしょうか。
2つとも推測が混じっているので、質問としてはあまりいけてない。やはりこういう時は事実ベースでないと切れ味が悪い。ただ会見で、自分達の対応に問題はなかったと考えている様子が窺えたことと、被害の報告があってから対応を考えると何度も強調していたこと、これらに違和感を覚えたので、あえて。まあでも回答内容は容易に想像できてしまうが。
(質問の形をとっているけど、意見を述べているだけかも。^^)
これまでの対応を見ていてもそうだし、昨日の会見でも感じたけれど、Sonyはハッカーコミュニティを完全に敵対視しているように見受けられる。もちろん、Anonymousによる DDoS攻撃や今回のようなサーバへの不正侵入には全く正義はないと思う。そうではなく、いわゆる PS3ハッカー(クラッカーではない、本来の意味でのハッカー)については、もう少し違う対応もできたんじゃないだろうか。ハッキング行為への対応に苦慮しているのは、なにも Sonyだけではない。Apple、Google、Microsoft、Nintendoなど、みな同じだ。Sonyのセキュリティ対策がまずかったのは事実だが、それだけが理由で Sonyが狙われたのではないと思う。
おそらく Sonyが忘れていると思われるのは、彼らハッカーは Sonyユーザーであり、熱烈なファンにもなりうるということ。行き過ぎた行動がある点は否定できないけれど、協力的な関係を築くことだってできると思いたいのだが。ナイーブすぎる考えだろうか。
技術的な観点から、既知の脆弱性への対応ができてなかったとか、「巧妙かつ高度な攻撃」だから防げなかったとか、いろいろあるが、大事なのはそこじゃない。今回の事件の真相がまだはっきりしないのでアレだが、おそらくこれまでの Sonyの様々な対応への不信感や怒りなどが背景にはあると思う。(全然違ってたらゴメンなさい。)
だとすると、問われているのは Sonyの会社としての姿勢だ。傷ついてしまった Sonyというブランドのイメージはそう簡単に回復できるものではない。事件発覚からの対応、そして昨日の会見内容からは、まだまだユーザーの信頼回復には程遠い感じがした。
今回の件で、トップマネジメントに危機管理能力が欠如していることも露呈してしまった。個人情報の扱いについて適切な回答をしていたとは言い難いし、情報開示のやり方について非難されていることもあまり深刻とは考えていないようだった。「Anonymousからの攻撃にグループをあげて対策をしてきた」ことも強調していたが、大事なのはそこだろうか?どうしてこういう事態を招いてしまったのか、真剣に考えているのだろうか。安易な批判はしたくないが、どうしても疑問を感じてしまう。
Sonyに対してやや厳しい見方をしているだろうか。昨日の会見を見ていたユーザーはどのように感じたのだろう… そして Sonyの中の人たちはどういう気持ちで見ていたのだろう…
# 立場を明らかにすべきだと思うので補足。私は PSNのアカウントは持っていないし、PS3/PSPなどのユーザーでもない。ただ Sonyという会社には昔ちょっとお世話になったこともあり、また友人・知人も多くいて、愛着を感じている。それだけに、見ていてなんとなく歯痒い。
先週の気になるセキュリティニュース (4/24〜4/30)
1回だけで終わるのもアレなので今週も。ネタが豊富な1週間でしたが、なんとなく全部 PSNで吹き飛んだ感じ。(^^;
PSNの件は別途まとめようと思っていたけど、さてどうしよう。
2011/04/27
Sonyの会見で日本でもメジャーな存在になった(?) Anonymous。今度はニュージーランドがターゲットになった。日本時間の 4/27 11:00から http://www.parliament.nz/ への攻撃が開始。 (Operation Black Out → Operation Paybackに)
攻撃は一時中断された後、5/1から再開された。 この間、Anonymousのインフラに対しての攻撃があったようで。主要なサイトが一時ダウンしていた。
背景として、先月中旬にニュージーランドでいわゆるスリーストライク法が成立 (2011年9月施行予定)したことがある。
http://anonnews.org/?p=press&a=item&i=840
https://twitter.com/#!/Anony_Ops/status/63232285335498752
http://torrentfreak.com/new-zealand-government-rushes-through-controversial-anti-piracy-law-110413/
http://www.zdnet.com.au/nz-passes-three-strikes-copyright-law-339313219.htm
http://www.boingboing.net/2011/04/15/new-zealands-3-strik.html
http://tvnz.co.nz/politics-news/online-protests-over-controversial-copyright-law-4120959
http://www.nzherald.co.nz/nz/news/article.cfm?c_id=1&objectid=10719055
http://arstechnica.com/tech-policy/news/2011/04/guilty-until-proven-innocent-new-zealand-rushes-ahead-with-p2p-bill.ars
(下図は Anonymousのプレスリリース)
2011/04/26
FBIが米国から中国への不正な送金について注意喚起。中小企業の担当者が狙われており、フィッシングなどによってオンラインバンキングの認証情報を奪われているらしい。
http://www.ic3.gov/media/2011/ChinaWireTransferFraudAlert.pdf
http://news.cnet.com/8301-27080_3-20057978-245.html
http://threatpost.com/en_us/blogs/fbi-warns-massive-wire-fraud-scams-042711
http://arstechnica.com/web/news/2011/04/fbi-businesses-lost-11m-over-12-months-to-china-based-phishers.ars
http://krebsonsecurity.com/2011/04/fbi-20m-in-fraudulent-wire-transfers-to-china/
http://news.softpedia.com/news/Cyber-Fraudsters-Wire-Millions-Stolen-from-US-Companies-to-China-196988.shtml
http://www.theregister.co.uk/2011/04/26/feds_finger_china/
(下図は FBIの文書)
2011/04/25
IBM Tokyo SOCの観測で SpyEyeの活動が活発になっていることが明らかに。攻撃ツールとしては Blackhole Exploit Kitを利用しているとのこと。Blackholeは最近もっとも使われているツールのひとつ。4月初めには USPS.gov (日本の郵便局に相当)も Blackholeにやられていた。
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/spyeye_20110425
http://krebsonsecurity.com/2011/04/spyeye-targets-opera-google-chrome-users/
http://dvlabs.tippingpoint.com/blog/2011/04/26/blackhole-exploit-kit
http://www.v3.co.uk/v3-uk/news/2045303/blackhole-attack-tool-threatening-users
http://research.zscaler.com/2011/04/uspsgov-website-infected-with-blackhole.html
http://research.zscaler.com/2011/02/blackhole-exploits-kit-attack-growing.html
http://www.darkreading.com/advanced-threats/167901091/security/attacks-breaches/229401258/us-postal-service-website-hit-with-blackhole-exploit.html
http://www.avg.com/jp-en/press-releases-news.ndi-1299
http://www.symantec.com/connect/blogs/blackhole-theory
http://malwareview.com/index.php?topic=492.0
http://malwareview.com/index.php?topic=857.0
(下図は IBMのブログから引用)
先週、Stuxnetに関して Siemensを非難したイランの司令官。今度は、Stuxnetとは別の新しいタイプのマルウェア("Stars")の攻撃を受けていると発表。
http://www.mehrnews.com/en/newsdetail.aspx?NewsID=1297506
http://threatpost.com/en_us/blogs/new-stars-malware-said-target-iran-042511
http://www.f-secure.com/weblog/archives/00002146.html
http://www.theregister.co.uk/2011/04/25/iran_under_second_worm_attack/
http://www.v3.co.uk/v3-uk/news/2045732/iran-claims-national-systems-stars-malware-attack
http://www.computerworld.com/s/article/9216140/Update_Iran_says_it_was_targeted_with_second_worm_Stars_
http://nakedsecurity.sophos.com/2011/04/25/stars-virus-iran-second-cyberwarfare-attack/
2011/04/24
Wikileaksがグアンタナモに関する新たな情報を公開。有力メディアが大きく報道したが、国内の反応はいま一つ。
http://wikileaks.ch/gitmo/
http://www.nytimes.com/guantanamo-files/
http://www.telegraph.co.uk/news/worldnews/wikileaks/8471907/WikiLeaks-Guantanamo-Bay-terrorist-secrets-revealed.html
http://www.washingtonpost.com/world/wikileaks-discloses-new-details-on-whereabouts-of-al-qaeda-leaders-on-911/2011/04/24/AFvvzIeE_story.html
http://jp.wsj.com/US/Politics/node_228121
http://jp.reuters.com/article/worldNews/idJPJAPAN-20808320110426
2011/04/22
先々週のネタ。NSS Labsのセキュリティ研究者が中国政府のサーバーに対する問題をいろいろと指摘して話題に。The State Administration of Foreign Experts Affairs (SAFEA, http://www.safea.gov.cn)に登録されているユーザーIDとパスワード情報、その他の個人情報が SQL Injectionで取得できる状態だった。DBにはすでに別の攻撃者によって侵入された形跡があったという。また、貴州省のメールサーバーに問題があり、外部から誰でもメールアカウントを作成できる状態になっていた。さらに、Web UIへの SQL Injectionにより他のユーザーのメールも見れる状態だった。これらの他にも数千台のマシンで問題が見つかっているという。
なお、この研究者(NSS Labsの Dillon Beresford氏)は、以前にも中国で利用されている SCADAシステム(KingView)に深刻な脆弱性があることを指摘していた。2010年9月に北京のソフトウェア会社 Wellintech と CN-CERTに連絡。しかしそのまま放置されていたため、2011年1月に自身のブログでエクスプロイトコードを発表。するとすぐに CN-CERTは反応し、パッチがリリースされた。CN-CERTは9月のメールを見逃していたことを認めている。
http://threatpost.com/en_us/blogs/glass-dragon-chinas-cyber-offense-obscures-woeful-defense-042711
http://www.washingtontimes.com/news/2011/apr/26/chinese-databases-exposed-to-hackers/
http://news.softpedia.com/news/Security-Expert-Finds-Holes-In-Sensitive-Chinese-Government-Systems-196725.shtml
http://threatpost.com/en_us/blogs/database-china-foreign-affairs-experts-left-wide-open-042211
http://threatpost.com/en_us/blogs/insecure-mail-server-offers-chinese-government-accounts-masses-042011
http://threatpost.com/en_us/blogs/china-cert-we-missed-report-scada-hole-011311
http://threatpost.com/en_us/blogs/researcher-holes-abound-chinese-scada-011111
http://threatpost.com/en_us/blogs/china-sleeps-stuxnet-scada-bug-011011
http://www.h-online.com/security/news/item/SCADA-exploit-the-dragon-awakes-1169689.html
http://www.h-online.com/security/news/item/Industrial-control-exploit-to-wake-the-sleeping-Chinese-dragon-1167614.html
http://thesauceofutterpwnage.blogspot.com/2011/01/wellintech-issues-security-patch-to.html
http://thesauceofutterpwnage.blogspot.com/2011/01/waking-up-sleeping-dragon.html
http://www.cert.org.cn/articles/bulletin/common/2011011325250.shtml
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-201101-108/id/2011010108/
あなたの生活をより安全にする12のステップ
(2011/04/29 更新)
PC Worldの記事がなかなかよくまとまっていたので、簡単な解説付きで。
Secure your life in 12steps (PC World)
Good security advice can be hard to find. Lots of security experts offer help, but not all of their tips are accurate or up-to-date, and many address PC security only. So even if you follow their advice, you may be more vulnerable than you think. That's where we come in. We've assembled a dozen simple but essential tips--a 12-step security program--to keep your PC, smartphone, gadgets, and identity safe. The steps are practical and fairly easy to perform, so you can strengthen your security without losing your mind in the process.
1. オンラインショッピングではバーチャルクレジットカードを使う
バーチャルクレジットカードはワンタイムパスワードのようなもの。オンラインショッピングで利用できる1回限りのカード番号を発行するサービスがある。インターネット決済専用のカード(不正利用時の補償がついたものが多い)をバーチャルカードと呼ぶこともあるようだが、これは全く別のもの*1 。国内で使えるサービスあるんだろうか?
(2011/04/29 追記)
@F0roさんに Twitterで教えていただきました。ジャパンネット銀行さんが、ワンタイムデビッドというサービスを提供しているそうです。クレジットじゃなくてデビッドだけど、使い捨てという点は同じです。
2. 無線LANは暗号化する
WPA2 (CCMP-AES)を使いましょう。WEPは簡単に暗号解読できるので絶対に使っちゃダメ。WPA(TKIP)もなるべく避ける。
3. ハードディスクを暗号化する
WindowsならBitLockerを使って、ドライブ全体を暗号化する*2。あるいは TrueCryptを使う。
Macなら File Vaultを使って、ホームフォルダを暗号化しよう。
4. ソフトウェアはいつも最新の状態にしておく
Windowsや MS-Officeは言うに及ばず(WindowsUpdateは自動更新する設定にしよう)。Adobe Reader, Flash Player, Javaなども忘れずに更新しよう*3。
MyJVN, F-Secure Health Check, Secunia OSI/PSIなどのツールを使うと最新かどうか簡単にチェックできる。以前、Facebookにノートを書いたのでご参考までに。
5. ウィルス対策ソフトは最新版を利用する
シグネチャによるパターンマッチングだけでなく、最近のAVソフトはヒューリスティック検知機能も備えている。だからなるべく最新のものを使おう。もちろんシグネチャの更新も忘れずに。
製品の選択に困ったら、とりあえず Microsoft Security Essentials (MSE)をいれておく。(Windowsと統合されていて自動更新される)
6. スマートフォンにもセキュリティ対策を
Androidであれば、スマートフォン用のウィルス対策ソフトをいれる。主要なベンダーが製品をだしている。
iOSデバイスについては、Jailbreakしていなければあまり心配する必要はない。
7. URLリンクの安全性をチェックする
ブラウザが罠のリンクを踏んでマルウェアに感染することを防ぐ。感染経路としては今最も多いパターン。
リンクをチェックするツールが無償で利用できる。
8. 物理セキュリティも忘れずに
持ち運びやすいラップトップに特に注意。Kensingtonや Targusのロックツールがよい。(まあ個人ではあまり使わないと思うけど。)
覗き見防止用のプライバシーフィルターも使おう。そして離席するときにはスクリーンをロックをすること。 (Windowsキー + Lキー)
9. いつも HTTPSを使う
なるべくいつも HTTPSによる暗号化通信を利用する。Gmail, Twitter, Facebookなどのサービスは HTTPSを常に利用するための設定がある。忘れずに設定を有効にしておこう。
10. 共用のPCや公衆無線LANは使わない
インターネットカフェなどの共用PCにはキーロガーなどのマルウェアが仕込まれている可能性があるので、なるべく使わない。
公衆無線LANも盗聴の危険があるので、なるべく使わない。ただし VPNが利用できるのであればOK。
11. パスワードを上手に使いこなす
パスワードは使い回しをしない。推測しやすい簡単なパスワードをつけない。
こういう基本事項を守るために、パスワード管理ツールを活用する*4。
12. クレジットカードの利用履歴を定期的にチェックする
どんなに頑張っても被害にあう可能性はある。そうした場合にすぐに異常に気付けるようにしよう。クレジットカードの利用履歴は定期的にチェックすること。
おしまい。
私のセキュリティ情報収集術
なーんて書き始めてはみたけど、「たいしていい事あるわけじゃないだろ」という気分です。*1
仕事柄、日々さまざまなセキュリティ情報を収集して分析することを何年も続けているわけですが、いまだにもっといい方法がないかと悩んでいるんですよね。というわけで、今の自分のやり方を公開しつつ、誰かに別の方法とか教えてもらえないかなーなんて、ちょっぴり期待もしています。
考えてみると昔は平和でしたよね。セキュリティホールmemoとか*2 *3、その前は Security Watchとかのまとめサイトが充実してて、海外の情報は Bugtraqでも購読してればまあオッケーみたいな平和な時代がありました。(ちょっと言い過ぎかも。) 今よりも格段に事件少なかったですからね。
それが今や事件も増えたし、情報も爆発してるし、溺れそうになりながら流される毎日です。ここ数年、試行錯誤を続けながら自分なりのやり方を見つけようとはしていますが、なかなかこれでOKという感じにはなりません。まあ正解があるような話ではないんですけど。
というわけで前置きが長すぎましたが、インプット(情報の入手元)とアウトプット(情報の保存先)の 2つにわけて、私の方法をご紹介します。
インプット
私の場合、メインの情報源(ツール)は以下の2つかな。
Google Readerはブログやニュースサイトのチェックに使っています。いつから使い始めたか忘れてしまいましたが、何年か前に Bloglinesから乗り換えて以降、ずっと私のメインツールです。全部で約 700の RSSを登録していますが、セキュリティ関係だけに絞るとおよそ半分です。国内も海外もチェックしてますが、情報が早いので海外のサイトを重点的にチェックし、国内のサイトは確認程度に見るということが多いです。登録先の RSSを公開しようと試みた時期もあったのですが、更新が面倒になり途中で挫折しました。興味深い記事を書いているブログを見つけたら、どんどん RSSを登録しています。
ちなみに主要な MLも購読していますが、メールをチェックするのが面倒なので、公開されている RSSを Google Readerで読んでいます。*4
Google Readerで毎日チェックしながら、気になる記事には片っ端からスターをつけています。そして中でも特に興味を惹かれたものは Twitterに流します。以前は Reader2Twitter(G2T)を経由して Shared Itemsを自動ポストしていました。ただ動作が不安定になることが時々あるので、今は Send To機能を使って直接 Twitterにポストしています。ちゃんと数えたわけじゃありませんが、5〜10個/日くらいだと思います。
Twitterは情報は早くていいのですが、ポリシーを決めずにフォローしまくったツケで、S/Nが小さくなってしまったため、現在はサブツールになっています。セキュリティ関係のアカウントをリストに登録してチェックしています。国内外あわせて約400アカウントくらいフォローしています。私のリストをフォローしている方も何名かいらっしゃるようですが、役に立っているのかよくわかりません。
こちらも気になる Tweetにはスターをつけて、そのうちいくつかを ReTweetする感じです。数はあまり多くありません。
ちなみに自分の Tweetをあとで確認したくなることがあるので、twilogに保存しています。あと twtr2srcを使って、Evernoteに毎日メールで自動保存するように設定しています。
あとこれはまあほとんどありませんが、この前紹介したポッドキャストが情報源になることが、たまーにあります。私は通勤時間(片道約1時間)を利用して毎日ポッドキャストを聞いていますが、チェックしてなかったおもしろい情報が手に入ることがあります。そういう時は忘れずにメモして、会社か家に着いたらすぐに確認しています。
アウトプット
こちらは以下のツールを主に使っています。
Twitterへのアウトプットは上で述べたとおりです。
はてなブックマークは外部リンクの集積場所として利用しています。Twitterとは連携させて、リンクをブクマしています。また Google Readerや Twitterでチェックした記事の中から、元記事を参照したり、ググって別記事を見つけたりするときがありますが、そういう時もブクマします。
Dropboxは、ベンダーが公開しているレポートやホワイトペーパー、論文、スライドなどの資料置き場として使っています。保存するだけで読んでいないという噂もありますが…
Evernoteは特定のネタに絞ってさらに調査、分析を行うときに利用しています*5。まとめ用のノートを作成して調べた内容を整理し、参照する記事は Evernoteにも取り込んでおきます。関連するホワイトペーパーやレポート(PDFが多い)は、Dropboxだけではなく Evernoteにも入れます。こうしておくと、あとでいちいちリンク先を見なくてもいいので手間が省けます。
simplenoteはブログを書くときの下書き用に使っています。Evernoteには写真や図だけでなくその他どんなファイルでも添付できますし、情報をまとめる場としては最適です。しかし単にテキストを書くという点だけに絞ると、重くて使いやすいとは言えません。simplenoteはその点、非常にシンプルなツールで使いやすい。書いてる先からどんどん自動保存してくれるので便利だし、過去のバージョンにも簡単に遡れます。また simplenoteと同期するデスクトップアプリやモバイルアプリもたくさんあります。
元々は下書き用途だけだったのですが、あまりにも使いやすいので、最近はメモ帳がわりに使うことも多いです。
そして最後はブログ、つまりココです。simplenoteに下書きした内容をコピーし、最終確認してから公開しています。もちろん、はてなダイアリーにも下書き機能はあるのですが、イマイチ使いにくいのと、過去に何度か編集途中のデータが吹っ飛ぶ事故を起こしたので信用していません。ここ1ヶ月ほど頑張って更新していますが、過去にも更新が続く時期と滞る時期を交互に繰り返しており、またいつ更新が停止するか先のことはわかりません。
ざっとこんな感じです。うーん、なんかタイトルと違って内容は収集術になっていない気もしてきたけど、まあいいか。:-)
先週の気になるセキュリティニュース (4/17〜4/23)
何となくそういう気分になったので、先週の気になるニュースをまとめてお届けします*1。Stuxnet関連と Anonymous関連がそれぞれ 2つずつ。
2011/04/21
ユージン・カスペルスキー (Eugene Kaspersky)氏の20才になる息子さんが、ロシアで誘拐されたと報道。その後、解放されたの続報がはいった。カスペルスキー社は公式には何もコメントしていない。(不確かな情報を報道しないようにとの要請のみ)
http://www.theregister.co.uk/2011/04/21/ivan_kaspersky_missing/
http://www.thetechherald.com/article.php/201116/7098/Russian-media-Kaspersky-s-son-feared-kidnapped-Update-3
http://www.computerworld.com/s/article/9216091/Kaspersky_s_son_released_reports_say
http://www.kaspersky.com/news?id=207576323
(2011/04/25 追記) Kaspersky Labから公式発表でました。
http://www.kaspersky.com/news?id=207576325
Kaspersky Lab confirms that an operation to free Ivan Kaspersky was carried out succesfully by the Federal Security Service (FSB), the Criminal Investigation Department of the Moscow Police and Kaspersky Lab's own security personnel. Ivan is alive and well and is currently located at a safe location. No ransom was paid during the rescue operation. Eugene Kaspersky and Natalya Kaspersky are currently unavailable for comment.
2011/04/20
Sonyの Playstation Network (PSN)が外部からの攻撃によってダウン。4/24現在まで障害は続いている。Sonyはネットワークインフラ強化のためのシステム再構築を行っているとブログで述べている。先日 DDoSによってPSNをダウンさせた Anonymousが疑われているが、彼らは否定している。
http://www.jp.playstation.com/psn/state.html
http://blog.eu.playstation.com/2011/04/24/latest-update-for-psnqriocity-services/
http://techcrunch.com/2011/04/23/hack-attack-sony-confirms-playstation-network-outage-caused-by-external-intrusion/
http://www.thetechherald.com/article.php/201116/7099/Anonymous-takes-no-responsibility-for-PSN-outage
http://www.computerworld.com/s/article/9216122/Sony_rebuilding_PlayStation_Network_after_attack
http://anonnews.org/?p=press&a=item&i=848
2011/04/18
Anonymousが環境問題を背景として、関連企業への攻撃を予告。当初その中に、原発問題で注目を浴びた TEPCOがはいっていた。その後、Anonymousは TEPCOはターゲットから除外。4/23までにイタリアの電力会社 ENEL (www.enel.com)と、フランスの電力会社 EDF(www.edf.com)が 72時間の DDoS攻撃を受けて、断続的にダウンした。現在もオペレーションは継続中。(#OperationGreeenRights)
http://operationgreenrights.noblogs.org/post/2011/03/22/operation-green-rights-manifesto/
https://twitter.com/#!/opgreenrights
イラン軍の司令官が Stuxnetについて、独企業の Siemensが USとイスラエル政府に協力したと公式に非難。以前から NYTimesが両国政府の関与を報じるなどしているが、イラン政府側が公式に触れたのは今回が初めて。真実はどうなのだろうか。
http://www.theregister.co.uk/2011/04/18/iran_blames_siemens_for_stuxnet/
http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html
http://www.haaretz.com/news/international/iranian-military-official-siemens-helped-u-s-and-israel-in-cyber-attack-on-nuclear-program-1.356419
http://www.computerworld.com/s/article/9215901/Iranian_general_accuses_Siemens_of_helping_U.S._Israel_build_Stuxnet
http://www.guardian.co.uk/world/2011/apr/17/iran-siemens-stuxnet-cyber-attack
http://www.tehrantimes.com/index_View.asp?code=238788
http://www.afpbb.com/article/environment-science-it/it/2796161/7104028
2011/04/17
USのオークリッジ国立研究所(ORNL: Oak Ridge National Laboratory)が 4/7に標的型攻撃を受け、4/15-17の3日間インターネット接続を遮断。攻撃者はメールによるスピアフィッシング攻撃をしかけたようだ。記事によると、530人程の従業員がメールを受信し、57人が罠のリンクをクリックし、そのうち 2人が IEの 0day(現在はパッチがある)によってマルウェアに感染したとのこと。
ORNLは、Stuxnetが悪用した Siemensの SCADAシステムの脆弱性発見に関与したと疑われており、関連があるのかもしれない。
http://www.theregister.co.uk/2011/04/19/us_lab_security_breach/
http://blogs.knoxnews.com/munger/2011/04/cyber-attack-forces-ornl-to-sh.html
http://www.securitynewsdaily.com/-cyberattack-hits-oak-ridge-national-laboratory-0709/
http://www.computerworld.com/s/article/9215962/Oak_Ridge_National_Lab_shuts_down_Internet_email_after_cyberattack
http://www.thehackernews.com/2011/04/us-federal-lab-linked-to-stuxnet.html
気が向いたら続けます。^^
*1:「私が」気になったニュースという意味なので、かなり偏りがあります。
なにかあったらユーザーのデータを復号して当局に提出するのでよろしく! (Dropbox 談)
(2011/04/23 更新)
最近ユーザー数が 2,500万人を突破し、日本でも人気の高いクラウドストレージサービス Dropbox。実は先日、利用規約(Terms of Service)を変更したことをみなさんご存知だろうか。
Privacy, Security & Your Dropbox (The Dropbox Blog)
Hi Dropboxers,
Like many of you, we’ve been reading the reports about a change we made to our Terms of Service, and more generally about Dropbox’s approach to privacy and security.Everyone who works at Dropbox knows our most important asset is the trust of our users. Dropbox is used by millions of people every day, including our own friends and families, and we promise them — and all of you — that we work hard to keep your most important data safe, secure, and private.
In this post, we’d like to go through each of the concerns that has been raised, and provide you with answers that we hope you feel are complete, transparent, and straightforward. We also provide detail on specific technical concerns. We look forward to your feedback, and will continue to strive to make our policies as easy to understand as Dropbox is to use. Our goal is to have an open and honest relationship with you so that we can address all of these issues quickly and effectively.
変更によってわかりやすくなったのは結構なのだが、その内容がいろいろと議論を呼んでいる。それはこの部分。(Dropbox Privacy Policyより引用)
Compliance with Laws and Law Enforcement Requests; Protection of Dropbox’s Rights. We may disclose to parties outside Dropbox files stored in your Dropbox and information about you that we collect when we have a good faith belief that disclosure is reasonably necessary to (a) comply with a law, regulation or compulsory legal request; (b) protect the safety of any person from death or serious bodily injury; (c) prevent fraud or abuse of Dropbox or its users; or (d) to protect Dropbox’s property rights. If we provide your Dropbox files to a law enforcement agency as set forth above, we will remove Dropbox’s encryption from the files before providing them to law enforcement. However, Dropbox will not be able to decrypt any files that you encrypted prior to storing them on Dropbox.
この内容をわかりやすく言い換えたのが、この記事のタイトルである。(^^)
Dropboxはユーザーのデータを保管するときに AES(256bit)で暗号化している。しかしその鍵は Dropboxが管理しているので、彼らはその気になればデータを復号して見ることができる。(もちろん鍵は厳重に管理していると言っているが。)
似たようなサービスの Jungle Diskの場合、鍵はユーザーが持っているのでこういうことは起きない。
Dropboxは利用規約の改訂で、当局からの要請などしかるべき理由があれば、ユーザーのデータを復号して提供することを明示した。Dropboxユーザーの自衛手段としては、
- Dropboxをやめて、別のサービスに乗り換える
- Dropboxには、当局に提供されてまずい情報は保存しない
- あらかじめ手元で暗号化したデータを Dropboxに保存する (例えば、TrueCryptのコンテナを使う)
- 気にしない
これくらいだろうか。
ちなみに私の場合は、以前から 3番目の方法で自衛している。機微な情報は TrueCryptであらかじめ暗号化して、コンテナファイルを Dropboxに置いている。*1 しかしこの方法は頻繁に更新するデータには向かない。もっとも当局へ提出される可能性もあるが、事故などによって情報が漏洩する可能性もあるので、自衛するのはある意味当然ではある。
つい先日 Evernoteにも XSSがあって問題になったが、まあ Dropboxに限らずクラウドサービスを利用する場合、あまり事業者を信用しすぎちゃダメってことだろうか。
# Dropboxはご丁寧にも、Apple, Google, Skype, Twitterも同じことを利用規約に書いていると教えてくれている。(下図は Dropboxブログから引用)
(2011/04/23 追記)
誤解する人はいないとは思うけど、念のため。Dropboxはサンフランシスコを本拠地とするアメリカの会社だから、これ当然アメリカの話です。みなさんのデータが日本の捜査当局とかに提出されちゃうという話ではありません。
(2011/04/23 追記その2)
Twitterにはつぶやいたんだけど、こっちに書くのを忘れてた。ZDNetの記事に紹介されていたイラストがちょっとおもしろかったので。
All your data are belong to US!! (これわかるかな?)
*1:別に当局に見られて困るような情報ではないけど。
Microsoft Safety Scanner ひっそりとリリース
今週、Microsoftは Safety Scannerという新しいツールをひっそりと(?)リリースしました。これは、ウィルス対策ソフトとしては、Microsoft Security Essentials (MSE)、Malicious Software Removal Tool (MSRT)に続く第3弾です。
Microsoft Safety Scanner は無償でダウンロードできるセキュリティ ツールで、必要に応じてスキャンを実行し、ウイルスやスパイウェアなどの悪意のあるソフトウェアを削除するのに役立ちます。 このツールは、既存のウイルス対策ソフトウェアと連携します。
メモ: Microsoft Safety Scanner は、ダウンロードしてから 10 日間ご利用いただけます。 最新のマルウェア対策定義を使用してスキャンを再実行するには、Microsoft Safety Scanner をもう一度ダウンロードして実行してください。
Microsoft Safety Scanner は、リアルタイムの保護を実行するウイルス対策ソフトウェア プログラムの代わりに使用することはできません。
ご家庭や小規模ビジネスのコンピューターをウイルスやスパイウェアなどの悪意のあるソフトウェアから守るのに役立つリアルタイムの保護を実行するには、Microsoft Security Essentials をダウンロードしてください。
MSEはいわゆる通常のウィルス対策ソフトですが、MSRTは特定の種類のマルウェアにすでに感染しているPCをスキャンし、マルウェアを駆除するためのツールです*1。そして、新しい Safety Scannerは MSRTを拡張したのものですが、機能的には MSEのフルスキャンと同じと考えていいと思います。(下のスクリーンショットを見ると、MSRTにそっくりなのがわかります。)
上記の説明にもあるとおり、リアルタイム保護はできませんが、そのかわりにインストールを必要とせず、EXEファイル(msert.exe)単体で動作するようになっています。このファイルはシグネチャを全て含んでいるため、約70MBのサイズがあります。ただしシグネチャを更新する機能はなく、ダウンロードしてから10日間しか有効ではないようです。そのため利用する度に新しくダウンロードする必要があり、ちょっと手間はかかります。
いつも使うツールという位置付けではありませんが、USBメモリなどにコピーして使えるので、マルウェア感染などのインシデント発生時には重宝しそうです。
(スクリーンショット) 上が MSRTで、下が Safety Scanner
*1:毎月 WindowsUpdateで最新版に更新され、バックグラウンドで勝手にスキャンしています。
