サイバーセキュリティ、オンラインプライバシー、データ保護の分野では、毎月のようにさまざまな出来事があり、ついていくのが大変です。

月刊セキュリティ・ダイジェストでは、毎月最も重要なセキュリティとプライバシーのニュースをお届けしています。9月の出来事をご紹介します。

15,000,000のフェイスブックアカウントがハッキングされる

9月最終週には、5,000万件のFacebookユーザーアカウントがハッキングされたという大きなニュースが流れました。 Facebookは念のため9,000万件のアカウントのパスワードをリセットしており、漏洩したアカウント数は最終的に増加する可能性があることを示唆しています。

攻撃者は、Facebookの「View By」機能の脆弱性を利用し、ユーザーが自分のアカウントを他の人にどのように見えるかを確認できるようにしました。1つ目は、Facebookの動画アップロードツールをビューの中にページとして表示できるようにしたことです。2つ目は、アップロードツールでアクセスコードを生成できるようにしたことです。最後のバグは、View As ページがハッカーの望むユーザーのアクセスコードを生成することを可能にしました。

この問題は、フェイスブックサイトに限ったことではありません。Instagramなどの他のFacebookサービスや、今やどこでも使われているFacebookログインを利用したWebサイトやサービスも、攻撃の対象となります。(ソーシャルログイン使用時のアカウント保護方法です）。

当初、被害に遭ったかどうかを判断する唯一の方法は、Facebookが何の警告もなくアカウントからログアウトさせるかどうかでした。しかし、Facebookは現在、自分のアカウントがこの件に関わっている場合、ニュースフィードの上部にメッセージを掲載するとしています。

Facebookのハッキングは、MakeUseOfのヨーロッパの読者にとって特別な意味を持ち、EUが2018年5月に一般データ保護**（GDPR）を制定してから、大手テック企業で初めての大規模データ侵害となった。

フェイスブックがアイルランドに登録されているため、アイルランドデータ保護委員会（IDC）がGDPRの条項に基づきフェイスブックに多額の罰金を科す可能性があるが、今のところ委員は「違反内容とユーザーへのリスク」を明確にしていない。"

Facebookのハッキング被害に遭った場合、すぐにやるべき4つのことをご紹介します。

2 五目並べ攻撃暗号化

"米国、英国、カナダ、オーストラリア、ニュージーランドの各政府は、個人の権利とプライバシーを重視しており、これらの権利を保護するための暗号化の役割を支持しています。"

米国、英国、カナダ、オーストラリア、ニュージーランドの5カ国**の閣僚がオーストラリアで開催された年次外相会合に出席しました。この5カ国閣僚会議で、上記の声明が起草されたのである。

しかし、共同声明をさらに検討すると、ファイブ・アイズ連合は、アップル、フェイスブック、グーグルなどのハイテク大手に自社製品の「合法的アクセスソリューション」を提供させる法案を提出すると脅していることが明らかになった。言い換えれば、ファイブ・アイズ諸国**は暗号のバックドアを求めており、しかも今すぐにでも欲しいということです。

残念ながら、これは無理な話です。ある人のためにバックドアを作っても、他の人のためにバックドアが存在することを防ぐことはできません。暗号化のバックドアが開いてしまうと、他の何億人もの法律を守っているユーザーのセキュリティが失われてしまうのです。

これは問題なく、すぐに解消されるでしょう。さらに、暗号を破ることに対する議論はたくさんありますが、ごくわずかです。時々、Graybaseのような暗号解読ツールが現れて、法執行機関を休ませることがありますが、両者の間にはほとんど何もありません。他の国も別の方法を検討しています。例えば、ドイツ内務省の文書では、Apple、Google、Facebookなどのサービスプロバイダーに頼ることなく、iOS、Android、Blackberry端末を対象とした遠隔通信傍受ソフトウェアの使用について言及しています。

警察が容疑者の端末にバックドアを仕掛ける？ それはまた別の話です。

3.ブリティッシュ・エアウェイズの情報漏洩：30万人のお客様に影響が及ぶ

英国系航空会社ブリティッシュ・エアウェイズ（BA）は、2018年8月21日22時58分から9月5日21時45分の間に、30万人のお客様の支払い情報が流出したことを明らかにしました。(そう、この妙に具体的な時間は、ブリティッシュ・エアウェイズのものである）。

盗まれた情報には、この期間にブリティッシュ・エアウェイズで予約をしたお客様の個人情報および財務情報が含まれています。ただし、これらのお客様のパスポートや身分証明書**のデータは含まれていません。BBCの会長兼最高経営責任者のアレックス・クルーズ氏は、金曜日にBBC Radio 4で、このハッキングは「高度で悪質な犯罪攻撃」であり、BBCは「今回の事態を深くおわびする」と述べた。".クルーズ氏はまた、BBCが影響を受けた顧客への補償を「100％約束する」と約束した。

ブリティッシュ・エアウェイズは、ハッキングが行われたことをまだ公式に発表していません。しかし、RiskIQのセキュリティ研究者は、ハッカーが修正した最新のJavaScriptライブラリを通じて、BA決済ページに悪意のあるコードを仕込んだとみています。この悪質なコードは、ルーマニアでホストされているサーバーに盗まれたデータをアップロードしていました。これは順番に、リトアニアに拠点を置くTime4VPSというVPSプロバイダーの一部でした。

"この攻撃に使用されたインフラは、ブリティッシュ・エアウェイズのことだけを考えて設定され、検知を避けるために通常の決済処理に紛れ込むスクリプトを意図的に狙ったものです。"

研究者たちは、最近の車掌とニューエッグの攻撃にも関与していたMcGuckartと呼ばれるグループを突き止めたのです。

4eset が初の UEFI ベースのルートキットを発見

ESETのセキュリティ研究者が、世界で初めてUEFIベースのルートキットを発見しました。ルートキットは、ハッカーが脆弱なシステムに永続的なマルウェアをインストールし、システム全体のフォーマットを存続させることを可能にするものです。

UEFIルートキットの発見は、UEFIシステムが伝統的にそのような脅威に対して安全であったため、特に厄介なものです。しかし、ルートキットを除去するためには、マザーボードのファームウェアを完全にフラッシュする必要があり、通常のアンチウイルスおよびアンチマルウェアプログラムでは、ルートキットを除去することができないため、深刻な問題が発生します。

ESET ブログでは、"システムの UEFI イメージを変更することは困難ですが、システムの UEFI モジュールをスキャンして悪意のあるモジュールを検出するソリューションはほとんどありません。" と書かれています。さらに、システムのUEFIファームウェアのクリーニングは再フラッシュを意味し、通常行われない操作であり、一般的なユーザーが行うものではないことは確かです。このような利点があるため、賢明な攻撃者はシステムのUEFIをターゲットにし続けることができるのです。

ルートキットは、悪名高いロシア系ハッキンググループ「***」の仕業とみられています。ハッカーは、Absolute Software社の正規のノートパソコン盗難防止ツール「LoJack」を改造しました。このツールは、システムBIOSにインストールすることで、システムワイプを存続させることができます。この改造は、オリジナルのLoJackのコードの一部を置き換えて、脆弱なUEFIチップを書き換えるものです。

UEFI rootkits から保護する最も簡単な方法は、UEFI Secure Boot をオンにしておくことです。システムのファームウェアは、正しい認証証明書を持たないファイルを拒否し、システムを安全に保ちます。

5 ワナクルとソニーのハッキングに関与したとされる北朝鮮のハッカーが登場

米国**は、2017年の世界的なランサムウェア・ワーム攻撃「Wanakri」と、2014年のソニー・ピクチャー・ハックで、当時公開予定だった映画「The Interview」を取り下げさせた件で、北朝鮮のハッカーを告発し制裁を加えた。(「ザ・インタビュー」は北朝鮮の金正恩暗殺計画を描いたコメディです)。

起訴状には、中国と北朝鮮に拠点を持つフロンティア企業で働く、北朝鮮のプログラマー、Park Jin Hyokが告発されています。朴氏らは、北朝鮮軍のために悪質な活動を行ったとされている。

ジョン・デマーズ司法長官補佐官は、「訴状で主張されているサイバー犯罪の規模と範囲は、法の支配と責任ある国家として受け入れられているサイバー規範を尊重するすべての人にとって衝撃的であり、不快なものです」と述べています。訴状によると、北朝鮮は**国家が支援する組織を通じて、中央銀行と他国の市民を奪い、世界の半分を冷遇するために**報復を行い、**破壊的なマルウェアを製造し、他の150カ国以上の被害者に無差別に影響を与え、数億ドルの被害ではなく数百万人の死亡を引き起こした。"としている。

このハッキンググループは、ロッキード・マーチン社へのハッキング未遂事件にも関与しているとみられています。このグループは、バングラデシュの銀行、エクアドルのオーストラリア銀行、ベトナムのティエンフォン銀行、および多くの暗号通貨取引所への攻撃にも関与しています。

朝鮮民主主義人民共和国**は、米国の提訴を「中傷キャンペーン」と呼んで反撃しています。また、この公園は「非実体」であると主張した。これは、現状を見れば理解できることです。

セーフティニュース総集編：2018年9月

2018年9月のセキュリティ事象のトップ5です。しかし、それを詳しく紹介するスペースはありません。ここでは、先月に登場したセキュリティ関連の記事の中から、特に興味深い5つの記事を紹介します。

• 米国務省、セキュリティ侵害で「従業員の受信箱の1％未満」のメールが影響を受けたことを確認
• データ管理会社Veeamは、約10日間で4億4500万件のレコードを流出させた。
• 米国司法省は、ボットネット「Mirai」の作成者が、FBIの「複雑な」サイバー犯罪事件の捜査にどのように協力したかを明らかにした。そのおかげで、彼らは刑務所に行かずに済んだのです。
• YouTuber、2017年のデータ流出で1億4800万円の罰金。
• Nexusguardによると、DDoS攻撃の平均規模は5倍の26Gbpsに増加しました。

サイバーセキュリティ、プライバシー、データ保護、マルウェア、暗号化など、毎月さまざまなイベントが開催されています。2018年10月のセキュリティ総集編は、来月上旬にご確認ください。その間に、あなたのデータを危険にさらす可能性のある5つのセキュリティ侵害をチェックしてみてください

写真提供：Think Catalog Books/Flickr