サイバーセキュリティ、オンラインプライバシー、データ保護の分野では、毎月のようにさまざまな出来事があり、ついていくのが大変です。

毎月のセキュリティ・ダイジェストは、毎月の最も重要なセキュリティとプライバシーのニュースに目を向けるのに役立ちます。ここでは、10月に起こったことを紹介します。

1 数百万件の米国有権者記録がダークウェブ上に存在**。

ダークウェブには常に「面白い」商品がある** 2018年10月、AnomaliとIntel 471のセキュリティ研究者が、3500万件の米国有権者記録が売りに出されているのを発見しました。記録は米国19州から提供され、フルネーム、電話番号、住所、投票履歴、その他の有権者固有の情報が含まれています。

州の有権者登録用紙は、もともと完全に秘密というわけではなかった。政治運動、学者、ジャーナリストは、記録を商業目的で使用したり、オンラインで再公開したりしない限り、有権者登録情報を要求することができます。

しかし、今回のケースでは、"これらのリストが、社会保障番号や運転免許証などの機密情報を含む他の違反データと地下フォーラムで組み合わせられると、悪意ある行為者に米国の有権者の標的プロファイルを作成するための重要なデータポイントを提供する "とAnomaliは指摘しています。

特に興味深いのは、"州の有権者登録データについて毎週更新を受け、州の内部**連絡先を通じて情報を受け取る "という販売者の主張である。今回の情報公開は、情報漏えいの結果ではなく、狙われていたことを示唆している。

残念ながら、米国の有権者記録からの情報漏えいは今回が初めてではない。2015年当時、アメリカの有権者約1億9100万人の記録がインターネット上で流布された。このデータベースは数日間公開され、10月の流出事件と同様のデータが含まれていました。

対象州は、ジョージア、アイダホ、アイオワ、カンザス、ケンタッキー、ルイジアナ、ミネソタ、ミシシッピ、モンタナ、ニューメキシコ、オレゴン、サウスカロライナ、サウスダコタ、テネシー、テキサス、ユタ、ウエストバージニア、ウィスコンシンおよびワイオミングです。

2 Googleは情報漏えいをユーザーに通知しないことを選択した

10月のあるニュースは、GoogleのソーシャルメディアプラットフォームであるGoogle+がFacebookやTwitterに対抗することができず、YouTubeにコメントを投稿するために何百万人ものユーザーにアカウントを作成させた後でも、Google+の命取りになったというものだった。

その結果、このプラットフォームのユーザーと交流する時間は、それほど短くないことがわかりました。いや、これはGoogle+ユーザーの個人データが何年も前から流出していて、Googleはそれに対して何もしていないというニュースだ。

流出したのは、約50万人のユーザーデータ。Googleは、氏名、電子メールアドレス、生年月日、性別、職業、居住地、交際状況、プロフィール写真などが流出したことを確認しました。

この組み合わせはこの世の終わりではありませんが、それでも標的型フィッシングメールを作成したり、パスワードリセットの仕組みを利用して他のウェブサイトへのアクセスを強要しようとするには十分なものです。

今回の情報漏洩の最大のニュースは、個人情報の漏洩ではなく、グーグルが情報漏洩を公表しないことを選択したことである。Wall Street Journalにリークされたメモから、"社内弁護士が、Googleはこの事件を公にする法的義務はないと助言した "ことが明らかになった。

Googleにとって悪い選択であることは確かです。この開示が同社のビジネス慣行を害するからと言って、Googleは他に何を隠したり、隠したりすることができるでしょうか？

Toriモジュール型ボットネットはmiraiより進化している

この驚くほど強力なMiraiBotnetは、記録的なDDoS攻撃を連続して行い、話題を呼びました。しかし、新しいモジュラー型ボットネットであるTori（元の研究者が彼のハニーポットが52のTor出口ノードから攻撃されているのを発見したことから）は、Miraiをベースに、さらに攻撃を強化したのです。

しかし、トリはミレーから派生したものではあるが、同じものであると言うのは間違いであろう。

東リが際立っている理由はいくつかあります。その1つは、他のMirai派生製品とは異なり、"DDoSやインターネットに接続されているすべてのデバイスへの攻撃、もちろん暗号通貨のマイニングなど、ボットネットが行う通常のことを行わない "という点です。アバストブログのエントリーでは、"その代わり、（機密）情報をフィルタリングするための豊富な機能、モジュール式アーキテクチャ、何重もの暗号化通信を介して他のコマンドや実行ファイルにアクセスし実行できる機能、それらすべてを提供します "と続けています。

他のモジュール型マルウェアの亜種と同様に、Toriiはいくつかの段階を経て動作します。システムにインストールされると、システムのアーキテクチャを調査し、適切なペイロードのためにコマンド＆コントロールサーバーにダイヤルバックします。アーキテクチャ固有のペイロードには、ARM、x86、x64、MIPS、PowerPCなどがあります。

鳥居の成功の秘密は、その汎用性にあることは間違いない。多くのプラットフォームを攻撃することで、鳥居を封じ込めることは非常に難しい。

4 キャセイパシフィック航空、大規模な情報漏えいに見舞われる

キャセイパシフィック航空は、940万人以上のお客様の個人情報が流出する情報漏えいに見舞われました。

HACKには、パスポート番号860000件、HKID番号245000件、期限切れクレジットカード番号403件、CV認証コード無しのクレジットカード番号27件が含まれています。

その他にも、乗客の氏名、国籍、生年月日、電子メールアドレス、自宅住所、電話番号など、航空会社特有の情報も盗まれました。

キャセイパシフィック航空のルパート・ホッグ最高経営責任者は、航空会社のお客様に謝罪し、「このデータセキュリティの事故により、お客様にご心配をおかけしたことをお詫び申し上げます」と述べました。この事件を封じ込めるため、大手サイバーセキュリティ会社の協力を得て徹底的な調査を行い、ITセキュリティ対策をさらに強化することで、早急に対策を講じました。"

しかし、キャセイパシフィック航空のハッキングは、9月に起きたブリティッシュ・エアウェイズのデータ流出をしっかりと視野に入れたものでした。ブリティッシュ・エアウェイズはすぐにお客様にハッキングの警告を発し、パスポート番号の紛失はありませんでした。キャセイパシフィック航空のハッキングは、今年の3月から5月にかけて発生しました。しかし、お客様は今になって、この情報漏えいの深刻さを知ったというところです。

もしあなたが今気づいたのなら、誰かがあなたのオンラインアカウントに侵入しようとしているかどうかを確認する方法を紹介します。

5 4年前のlibsshの脆弱性が発見される

libsshのSecureShell実装には4年前から脆弱性があり、世界中の数千のウェブサイトやサーバーに影響を及ぼしています。2014年にリリースされたlibsshバージョン0.6アップデートで導入された脆弱性です。どれだけのウェブサイトが影響を受けたかは正確には不明だが、インターネット機器検索エンジン「Shodan」では、6,000件以上の検索結果が表示されている。

Errata Security社のCEOであるRobGraham氏は、この脆弱性は「我々にとっては大きな問題だが、読者にとっては必ずしも大きな問題ではない」と述べている。SSHのような信頼できるコンポーネントが、今や自分にとってクラッシュとなるのは魅力的です。"

なお、libsshを使用している主要なサイトには影響がないようです。しかし、GitHubのセキュリティ担当者は、GitHubとGitHub Enterpriseではカスタムバージョンのlibsshを使用しているため、脆弱性の影響を受けない、とツイートしている。また、この脆弱性はOpenSSHや類似の名前のlibssh2には影響しないことも重要な点です。

現在推奨されているのは、libssh アプライアンスに直ちにバージョン 0.7.6 または 0.8.4 のパッチを適用することです。

6 フォートナイトのプレイヤーを狙ったハッカーによるV-bucks詐欺事件

フォートナイト」は、現在、世界で最も人気のあるビデオゲームの一つです。壁の外のバトルロイヤル」スタイルのこのゲームには、毎月7000万人以上のプレイヤーが集まり、ハッカーたちも注目している。(親御さん、お子さんがフォートナイトをやってますよ！）。

ZeroFOXの調査によると、ハッカーはフォータイトのゲーム内通貨であるV-Buckをターゲットにしており、プレイヤーはこの通貨を使ってゲームのアバター用の化粧品を購入することができるようです。Fortiteは、無料ゲームであるにもかかわらず、開発元のEpic Gamesに毎月3億円以上の収益を上げていると推定されます。

ハッカーは、詐欺的なウェブサイトで「無料のフォートナイトV-Bucksジェネレーター」を宣伝し、無防備な被害者を騙してゲーム内の認証情報、クレジットカード情報、自宅住所などの個人情報を暴露させました。

ZeroFOXの脅威オペレーションディレクターであるZack Allen氏は、"マイクロエコノミーを持つゲーム、特にFortniteは、そのセキュリティ攻撃、詐欺、スパム攻撃を利用する攻撃者の格好のターゲットである "と述べています。これらの経済は、規制や経済的なニュアンスがないため、あまり注目を集めることなくお金を稼ぐことができます（地元の警察官に「V-Buck」の説明をしてみると、おそらく白い目で見られることでしょう）。

フォートナイトがセキュリティの監視下に置かれるのは今回が初めてではなく、2018年4月にはEpic GamesがフォートナイトAndroid版でGoogle Playショップを利用しないことを発表しています。googleplay shopの利用を拒否することは、Googleが提供するセキュリティ保護を失うことを意味します。フォートナイトをAndroidに安全にインストールする方法はこちらで確認できます。

2018年10月安全ニュース総集編

2018年10月のセキュリティイベント上位7つを紹介します。しかし、それを詳しく紹介するスペースはありません。ここでは、先月に登場したセキュリティ関連の記事の中から、特に興味深い5つの記事を紹介します。

• IBMによるRed Hatの買収は300億ドル以上の価値がある。
• ペンタゴンでは、3万人の職員がセキュリティ侵害に遭いました。
• 倫理的ハッカーは、米国海兵隊のエンタープライズ・ネットワークに150の脆弱性を発見しました。
• フェイスブックは、セキュリティとデータ保護の強化のため、サイバーセキュリティ企業の買収を検討しています。
• Kaspersky Labは、米国の***事務局がロシア、イラン、エジプトの核標的に対する攻撃で、闇の矢を利用していることを発見しました。

サイバーセキュリティは、日々進化する情報の渦の中にあります。マルウェア、データ保護、プライバシー問題、情報漏えいなどの最新情報を入手するのは大変な作業です。

来月初めには、2018年11月のセキュリティ・ラウンドアップをご覧ください。それまでの間、人工知能が現代のハッカーとどのように戦うかをご覧ください。