読者です 読者をやめる 読者になる 読者になる

トリコロールな猫/セキュリティ

セキュリティ情報の備忘録的まとめ。

2014年5月 アメリカの動き

月間まとめ

せっかくまとめてるのでまとめのまとめも。2014年5月のまとめから、アメリカに関する記事を抜粋してみました。日付はまとめた日で、実際にその記事が公開された日とはずれている可能性があります。

日本のまとめはこちら
その他世界のまとめはこちら

交通管制システムのハッキングに成功、信号機の操作などが可能に?(5月1日)

研究者によると、この問題は米セキュリティ機関のICS-CERTを通じて2013年9月にベンダーに報告した。しかしベンダー側はこれをそれほど重大な問題とはみなしておらず、脆弱性として報告された中の1件については「仕様」だと説明しているという。

脆弱性が見つかった装置を使用しているのはアメリカだけでなく、イギリス、中国、フランスなど多国籍に渡る。インフラの制御システムは重要な割に、不正アクセスを意識していないように見える。

The Big Data and Privacy Review | The White House(5月2日)

The report focuses particularly on “learning algorithms” that are frequently used to determine what kind of online ad to display on someone’s computer screen, or to predict their buying habits when searching for a car or in making travel plans.

ホワイトハウスから、ビッグデータとプライバシーについての報告書と提言が発表されました。
6つの提言:

  1. Advance the Consumer Privacy Bill of Rights.
  2. Pass National Data Breach Legislation.
  3. Extend Privacy Protections to non-U.S. Persons.
  4. Ensure Data Collected on Students in School is Used for Educational Purposes
  5. Expand Technical Expertise to Stop Discrimination.
  6. Amend the Electronic Communications Privacy Act.

NSAはルータに盗聴器を仕掛けている?(5月13日)

ますますビッグ・ブラザーみたいな話に。

AOL、FacebookGoogleTwitter、共同で危険なオンライン広告の注意喚起を行う「TrustInAds.org」設立(5月13日)

TrustInAds.org comprises a group of internet industry leaders that have come together to work toward a common goal: Protect people from malicious online advertisements and deceptive practices.

第一弾では、テクニカルサポートを装って、マルウェアをダウンロードさせようとする広告が取り上げられています。
Bad Ads Trend Alert: Shining a Light on Tech Support Advertising Scams

ランサムウェアっぽいのも見つかっているそうです。

And in a number of cases, the scam advertiser would hold the user's computer hostage, threatening to delete or steal personal information in exchange for payment of several hundred dollars worth of "support fees."

実際の広告の画像が貼られてていいですね。画像入りかつ7ページと短いので、英語でも読む気になります。
フィードバックも募集中。


どのくらいの頻度でレポートを出すんだろう?とりあえず公式ブログRSSをFeedeenに登録〜。

ONLINE ADVERTISING AND HIDDEN HAZARDS TO CONSUMER SECURITY AND DATA PRIVACY(5月15日)

またなんか出てるぅ。今度はSenate Committee on Homeland Security and Governmental Affairs(上院国土安全保障・政府問題委員会)から。

広告を装ってマルウェアをダウンロードさせるようなものの脅威について、かな。前回載せたTrutInAd.orgはこれを受けて発足したっぽい。

NIST has launched a four-stage process to develop detailed guidelines for “systems security engineering,” adapting a set of widely used international standards for systems and software engineering* to the specific needs of security engineering.

パブコメ募集中。2014年7月11日まで。

FBI、サイバー犯罪者逮捕強化週間に突入(5月16日)

何か目星がついているのだろうか?

CiscoのCEO、オバマ大統領にNSAの活動を抑制するよう要求(5月19日)

スノーデンの暴露本を受けてのことのようです。暴露本には「ルータに盗聴装置が仕込まれている」と書かれているだけでどこのルータかは明記されていなかったようですが、写真に写ってるルータにシスコの社名が入ってたんだってw

FBIがサイバー犯罪で中国軍関係者を訴追(5月20日)

FBIサイバー犯罪者逮捕強化週間第一弾。20140516 セキュリティ情報まとめ - トリコロールな猫/セキュリティで今週から強化週間らしいということを書いたのですがこういうことか。
東芝傘下の原子力関連企業Westinghouseを含む5社が、2006年から2014年の間に原発の設計の情報などを盗まれたそうです。

FBI、マルウェア「Blackshades」の開発関係者90人以上を逮捕(5月20日)

FBIサイバー犯罪者逮捕強化週間第二弾。逮捕された開発者はスウェーデン国籍とアメリカ国籍の男性。その他宣伝販売に関わった人や購入して他人に感染させた人も逮捕。捜索箇所は300箇所以上。

NIST、「Guide to Industrial Control Systems (ICS) Security」改訂版ドラフト公開(5月20日)

パブコメ募集中。7月18日まで。

NIST、暗号の規格や指針の再検討を開始(5月20日)

NISTも精力的にやってますね。どうやら以前パブコメを募ったNIST Cryptographic Standards and Guidelines Development Processについて検討する模様。

[続報] FBIがサイバー犯罪で中国軍関係者を訴追(5月21日)

警察組織が訴追しても、中国を刺激するだけで実際に罪を問うのは難しい、という話。中国は、逆に中国こそが米国のサイバー攻撃の被害者であると反論。にしてもITmediaはなぜそのタイトル?

FBI、サイバー犯罪の最重要指名手配者10名のリストを公開(5月21日)

先日の中国軍関係者5名を含む10名のリスト。「TrustInAds.org」の最初のレポート(PDF)でもとりあげられていた、正規の広告のふりをしてマルウェアをダウンロードさせようとする偽広告の作成者のほか、オンラインの投資サービスに不正アクセスしてマネーロンダリングをやっていた人、世界中で詐欺行為を働いた人などなど。

ICS-CERT Monitor Jan-April 2014(5月22日)

インターネットにF/Wやアクセス制御無しで接続されていた制御システムに、長期間に渡ってHTTPやSCADAを利用してアクセスされていたことが分かった。幸運にもその制御システムはメンテナンスのために機器には接続されていなかった。

なんてことが赤裸々に書かれています。(と、tripwireの記事に書いてある)

eBay不正アクセス、ユーザにパスワードの変更を求める(5月22日)

漏えいしたのは暗号化されたパスワードの他、氏名、メールアドレス、住所、電話番号、誕生日など。支払情報は漏洩していない模様。eBayユーザはThe GuardianのQ&Aを読むといいかも。
145million usersて1億4500万人よね?そんなにいるんだ。

PayPal、マーチャントアカウントが盗まれる可能性のある脆弱性を修正(5月22日)

The bug – discovered by security researcher Mark Litchfield of Securatary – affected PayPal Manager, which is used to manage PayFlow accounts by people selling stuff online.

PayPal personal accounts were not affected by the vulnerability, and it's understood to be separate to PayPal parent eBay's customer database compromise.

eBayのとは別物。

PayPalのリダイレクトの脆弱性を利用したフィッシングメール(5月22日)

偽のiTunes Storeでの高額商品の購入記録のメールで、購入のキャンセル用のリンク先がフィッシングサイトになっている。
そのリンクは「www.order.itunes.com/verify/cancel」というそれっぽい見た目だけど実際は「www.paypal-communication.com/(略)/h?a=フィッシングサイトのURL」になっていて、これをクリックするとPayPal脆弱性のせいでフィッシングサイトのURLにリダイレクトされてしまう。
リンクにマウスを置くと当然リンク先のアドレスが見えるわけだけど、それが大変trustedなPayPalのURLである(正規のPayPalドメインだっとしても、表示と実際のリンク先が違ったらおかしいと思うけど・・・)。さらに、フィッシングサイトへのアクセスをブロックするようなセキュリティ製品をインストールしていたとしても、直接のリンク先はPayPalなので素通りしてしまう(こっちはフィッシングサイトにとってとても有利)。

[続報] FBIがサイバー犯罪で中国軍関係者を訴追(5月26日)

例えばサイバー攻撃の中継地としてあるサーバーを利用していた時のこと。そのサーバーを中継地にしたまま自分のフェースブックツイッターにアクセスしていた例が確認されています

おちゃめ・・・。

アメリカ、中国人がDef Conに参加できないようビザの発給を拒否?(5月26日)

主催者も知らなかったらしい。今週実施されたとあるカンファレンスでも、10〜12人の中国人にビザが発行されなかったそうで。Black Hatでは中国人の講演も予定されているようだけど大丈夫なのかな。人種差別というかはっきりと中国に喧嘩売ってるよねえ。
にしても、ビザの制限を最初に報道したのはWSJだそうですが、すごい取材力だよなー。

米政府、ハッカー集団「LulzSec」の元リーダー・現FBI情報提供者のSabu情状酌量を求める(5月26日)

本来なら259〜317ヶ月の求刑となるところを、今までの功績に免じて短くしてあげて、という話。

感想

単純に、アメリカのニュースをまとめるのは面白い。国としてどういう方向に行きたいかとか、あのネタはこのネタの前ふりだったのか!とかが分かるから。アメリカも日本も、現地メディアが出してるニュースを直接読んでるから記事のレベル感は同じになると思ってたんだけど、アメリカのメディアは、地元企業の細かい情報漏えいや不正アクセスの記事はほとんど出さない。記事になる不正アクセス事件はeBayのような大規模なものばかりだし、継続的にちゃんと取材して記事にしている印象。並べてみると違いがよく分かって興味深い。