サイバーセキュリティ、オンラインプライバシー、データ保護の分野では、毎月のようにさまざまな出来事があり、ついていくのが大変です。

毎月のセキュリティ・ダイジェストは、毎月の最も重要なセキュリティとプライバシーのニュースに目を向けるのに役立ちます。ここでは、11月に起こったことを紹介します。

1 マリオット・インターナショナル、5億件の情報漏えいの被害に遭う

例年通り、月末には最もホットなセキュリティ・ニュースが飛び込んできます。

11月末、マリオット・インターナショナル・ホテルグループ（MIG）は、大規模なデータ漏洩を公表しました。2014年以降、攻撃者がマリオット・インターナショナル・スターウッド部門のネットワークにアクセスした結果、最大で5億件の顧客記録が影響を受けたと考えられています。

マリオット・インターナショナルは2016年にスターウッドを買収し、5,800以上の施設を持つ世界最大のホテルチェーンが誕生しました。

しかし、各ユーザーの情報には、さまざまな要素が含まれています。

• 名称
• 住所
• 電話番号
• 電子メールアドレス
• パスポート番号
• アカウント情報
• 生年月日
• 性別
• メッセージを送信するには

最も重要なことは、マリオットが、一部の記録に暗号化されたカード情報が含まれていたことを明らかにしたことだ。しかし、秘密鍵も盗まれた可能性は否定できない。

長くて短いのは、2018年9月10日以前にタイムシェアを含むスターウッド・マリオットのホテルに宿泊した場合、情報が漏洩した可能性がある、ということです。

マリオットは、影響を受ける可能性のあるユーザーを保護するために、WebWatcherの1年間の無料購読を提供する措置をとっています。また、米国市民は無料で詐欺に関するアドバイスと払い戻しを受けることができます。現在、サインアップサイトは3つあります。

• 米国
• カナダ
• グレートブリテン連合王国

それ以外の場合は、大規模な情報漏洩が発生した場合にデータを保護するための3つの簡単な方法をご覧ください。

2 暗号化された窃盗マルウェアのイベントストリームJavascriptライブラリのインジェクション

週に200万回以上ダウンロードされているJavaScriptライブラリに、暗号通貨を盗むことを目的とした悪意のあるコードが注入されました。

イベントストリームリポジトリ、簡略化されたnode.jsの発見ストリームモジュールは、ファジーコードを含んでいます。研究者がコードを脱臭したところ、ビットコインの盗難を狙ったものであることが明らかになった。

解析の結果、コードのターゲットとなるライブラリは、モバイルおよびデスクトップ用のCopay Bitcoinウォレットに関連していることが判明しました。Copayウォレットがシステム上に存在する場合、悪意のあるコードはウォレットの内容を盗み出そうとします。そして、マレーシアのIPアドレスへの接続を試みます。

この悪質なコードは、オリジナルの開発者であるDominic Tarr氏が、別の開発者であるright9ctrl氏にライブラリの制御を引き継いだ後、イベントストリームのリポジトリにアップロードされました。

Right9ctrlは、コントロールが引き渡されるとほぼ同時にライブラリの新バージョンをアップロードし、この新バージョンにはCopayウォレットを標的とした悪質なコードが含まれています。

しかし、その後、right9ctrlは、悪意のあるコードを含まない別の新しいバージョンのライブラリをアップロードしています。この新しいアップロードは、Copayが悪意のあるコードの標的となったJavaScriptライブラリの使用を排除するために、**およびデスクトップウォレットパッケージを更新したのと同時に行われました。

3.アマゾン、ブラックフライデーの数日前に情報漏えいの被害に遭う

1年で最大のショッピングの日（もちろん中国のハヌカは別として）の数日前に、アマゾンはデータ漏洩に見舞われました。

"当社のウェブサイトが技術的なエラーにより、誤ってお客様のお名前と電子メールアドレスを開示してしまったことをお知らせするためにご連絡しています。この問題は修正されました。これは、あなたが何かした結果ではないので、パスワードを変更するなどの対処をする必要はありません。"

Amazonが教えてくれないので、侵害の正確な詳細を測定することは困難です。しかし、イギリス、アメリカ、韓国、オランダのアマゾンユーザーには、アマゾンからメールが届いており、かなりグローバルな問題である。

データ流出の原因はアマゾンの技術的な問題であり、アマゾンに対する攻撃ではなかったという事実は、ユーザーにとって安心できるものです。また、公開された情報には銀行情報は含まれていない。

しかし、影響を受けるユーザーがパスワードを変更する必要がないというアマゾンのメッセージは、明らかに間違っています。Amazonの情報漏えいの被害に遭われた方は、アカウントパスワードの変更をお願いします。

4 自己暗号化サムスンとクリティカルssdの脆弱性

セキュリティ研究者は、複数の重大な脆弱性とサムスンの主要な自己暗号化SSDを特定しました。研究チームは、3つのクリティカルSSDと4つのサムスンSSDをテストし、各モデルに重大な問題を発見しました。

オランダRadboud大学のセキュリティ研究者Carlo MeijerとBernard van Gastelは、ハードウェアベースの暗号化を用いてssdに暗号化を実装する2つの仕様、ATA securityとTCG Opal [PDF] を実装したハードディスクに脆弱性を発見しました。

さまざまな問題があります。

• パスワードとデータ暗号化キーの間に暗号的な結合がないため、攻撃者はパスワード認証プロセスを変更することでドライブのロックを解除することができます。
• キーMX300には、**マーチャントによって設定されたマスターパスワードがあります。このパスワードは空の文字列で、例えば、noneです。
• SSDを使用してSamsungのデータ暗号化キーを復元します。

また、これらの脆弱性は、他の機種やSSD**のベンダーにも適用される可能性が非常に高いと研究者は述べています。

ハードディスクを保護する方法を知りたいですか？ オープンソースの暗号化ツールVeraCryptでデータを保護する方法をご紹介します。

5 Apple Payの不正利用キャンペーンがiphoneユーザーを狙う

iPhoneユーザーが、Apple Pay（applepay）による継続的な悪質キャンペーンの標的になっています。

このキャンペーンは、iOS経由でアクセスした一連の高級紙や雑誌を発信源とし、2つのポップアップフィッシングウィンドウを通じてユーザーのApple Pay認証情報をリダイレクトして詐取しようとするものでした。

PayLeakとして知られるこのマルウェアは、疑うことを知らないiPhoneユーザーが悪意のある広告をクリックした後、中国で登録されたドメインに送信します。

ユーザーがドメインに到着すると、マルウェアは、デバイスの移動、デバイスの種類（AndroidまたはiPhone）、デバイスのブラウザがLinux x86_64、Win32またはMacIntelであるかなど、多くの認証情報をチェックします。

さらに、このマルウェアは、デバイスにアンチウイルスやアンチマルウェアのアプリケーションが存在するかどうかをチェックします。

正しい条件を満たした場合、Androidユーザーは、Amazonギフトカードが当選したと主張するフィッシングサイトにリダイレクトされます。

ただし、iPhoneユーザーには2つのポップアップが表示されます。最初の警告は、iPhoneのアップデートが必要であること、2番目の警告は、applepayアプリもアップデートする必要があることをユーザーに知らせます。2つ目の警告は、Apple Payのクレジットカード情報を遠隔地のコマンド＆コントロールサーバーと共有するものです。

61万個のチャイルド・トラッカー・ウォッチ

少なくとも100万個のGPS付き子供追跡用腕時計が、弱い立場の親に販売されています。

Pen Test Partnersの調査により、大人気の子供用安全時計Misafiの安全性に関する様々な問題が明らかになりました。GPS搭載のこの時計は、保護者が子供の位置を常に把握することができます。

しかし、セキュリティ研究者は、デバイスID番号、つまりユーザーアカウントにアクセス可能であることを発見しました。

このアカウントにアクセスすることで、セキュリティチームは子どもを探したり、子どもの写真を見たり、子どもと保護者の会話を聞いたり、子ども自身に電話やメッセージを送ったりすることができます。

この調査は、「Misafes kids watcher」ブランドの腕時計を対象に行われ、最大で3万個の腕時計に影響があるようです。しかし、我々は、同一またはほぼ同一のセキュリティ問題の影響を受ける、少なくとも53の他のキッズトラッカーウォッチブランドを発見しました。"

子どもをターゲットにしたスマートデバイスの脆弱性は、今に始まったことではありませんが、依然として懸念される問題です。

"安全なスマートトイ "を子どもに買い与えるには？"わからない "とHacker OneのITエンジニア、Aaron Zanderは言うが、もしそうしなければならないなら、一番安いオプションを選ばず、ビデオ、Wi-Fi、Bluetoothなどの機能を最低限に抑えるようにしよう。また、もしあなたがデバイスを持っていて、それがセキュリティ上の欠陥を持っているなら、あなたの**代理人に連絡し、あなたの規制当局に手紙を書き、それについて絶賛することです。

11月の安全ニュースまとめ

2018年11月のセキュリティイベント上位6つを紹介します。しかし、それを詳しく紹介するスペースはありません。ここでは、先月に登場したセキュリティ関連の記事の中から、特に興味深い5つの記事を紹介します。

• 日本のサイバーセキュリティ戦略副本部長は、コンピュータを使ったことがないことを明かした。
• 国家マルウェア「Stuxnet」がイランの施設・組織を攻撃（再掲）。
• iPhone X、Samsung Galaxy S9、Xiaomi Mi6の端末にゼロデイ脆弱性があることがハッカーによって発見される。
• マイクロソフトは、様々なハッカー集団による複数の攻撃に利用されたWindowsのゼロデイ脆弱性に対し、パッチを適用しました。
• 高度なスパイウェア「Pegasus」がメキシコの調査報道記者を攻撃するために使用されました。

またまた、サイバーセキュリティのニュース旋風が吹き荒れました。サイバーセキュリティの世界は常に変化しており、最新の脆弱性、マルウェア、プライバシー問題などを把握することは、大変な作業となります。

そのため、毎月、最も重要で興味深いニュースを集め、皆様にお届けしています。

来月の初め、そして新しい年の始まりに、2018年12月の安全ラウンドアップをご確認ください。また来月は、セキュリティ・ラウンドアップのMakeuseOf2018をご覧ください。その間に、スマートデバイスを保護するための5つのヒントとコツをチェックしてください。

写真提供：Karlis Dambrans/Flickr