Feeds:
投稿
コメント

Posts Tagged ‘Hacking’

equation-group2

How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last | Ars Technica

“Equation Group” ran the most advanced hacking operation ever uncovered.

U.S. Embedded Spyware Overseas, Report Claims | NYTimes.com

The United States has found a way to permanently embed surveillance and sabotage tools in computers and networks it has targeted in Iran, Russia, Pakistan, China, Afghanistan and other countries closely watched by American intelligence agencies, according to a Russian cybersecurity firm.

In a presentation of its findings at a conference in Mexico on Monday, Kaspersky Lab, the Russian firm, said that the implants had been placed by what it called the “Equation Group,” which appears to be a veiled reference to the National Security Agency and its military counterpart, United States Cyber Command.

Equation Group: The Crown Creator of Cyber-Espionage | Kaspersky Lab

Surprise! America Already Has a Manhattan Project for Developing Cyber Attacks | WIRED

世界で最も高度かつプロのサイバー攻撃集団The Equation Group–その正体は | ZDNet Japan

Read Full Post »

GCHQ

[英国の GCHQ:The Guardian

世界最大のスパイ組織[米 NSA と英 GCHQ]がすでに SIM カードの暗号化キーを入手済みだというなんともショッキングなニュース。

Snowden 文書の中でも超弩級のニュースではないか・・・

The Great SIM Heist: How Spies Stole the Keys to the Encryption Castle | The Intercept

     *     *     *

SIM カードの暗号化キーが盗まれた

NSA[米国家安全保障局]の内部告発者 Edward Snowden が The Intercept に提供した極秘文書によれば、米国と英国のスパイ組織が世界最大の SIM カードメーカーのコンピュータネットワークに侵入して、携帯通信のプライバシーを保護する暗号化キーを盗みだしたという。

American and British spies hacked into the internal computer network of the largest manufacturer of SIM cards in the world, stealing encryption keys used to protect the privacy of cellphone communications across the globe, according to top-secret documents provided to The Intercept by National Security Agency whistleblower Edward Snowden.

     *     *     *

モバイル通信は筒抜け

NSA と英国の GCHQ[Government Communications Headquarters:英政府通信本部]が共同でこのハッキングを実行した。2010 年の GCHQ 秘密文書によれば、これら諜報機関は世界の携帯通信(データ通信および音声通信)の大部分を秘密裡にモニターすることが可能になるという。

The hack was perpetrated by a joint unit consisting of operatives from the NSA and its British counterpart Government Communications Headquarters, or GCHQ. The breach, detailed in a secret 2010 GCHQ document, gave the surveillance agencies the potential to secretly monitor a large portion of the world’s cellular communications, including both voice and data.

     *     *     *

痕跡すら残さない

盗まれた暗号化キーを使うことで、通信会社や外国政府の同意を得なくても諜報機関がモバイル通信をモニターすることが可能になる。暗号化キーを所有することにより令状や盗聴の必要もなくなり、無線通信事業者のネットワークに通信を傍受した痕跡も残さずに済む。さらにキーが大量に盗まれたことにより、諜報機関はこれまで傍受したいかなる暗号通信でもロック解除できることになるという。ただし今のところは暗号解読はできないという。

With these stolen encryption keys, intelligence agencies can monitor mobile communications without seeking or receiving approval from telecom companies and foreign governments. Possessing the keys also sidesteps the need to get a warrant or a wiretap, while leaving no trace on the wireless provider’s network that the communications were intercepted. Bulk key theft additionally enables the intelligence agencies to unlock any previously encrypted communications they had already intercepted, but did not yet have the ability to decrypt.

     *     *     *

NSA と GCHQ の標的とされたオランダの会社「Gemalto」は世界最大の SIM カードメーカーだという。年間 20 億枚の SIM カードを製造、AT&T、T-Mobile、Verizon、Sprint をはじめとする世界の 450 のワイヤレスネットワークサービスプロバイダが顧客で、世界 85 か国で営業を展開する。

そんな会社の極秘中の極秘が盗み出されたワケだ。

5000 語を超える長文の記事は、これまで存在さえ知られていなかったハッキングチーム Mobile Handset Exploitation Team(MHET)の活動からそのもたらす影響まで詳細にわたっている。

ウェブでは個人はまる裸だと痛感していたが、SIM カードの暗号化キーまでハッキングされているとなると、これはもういかなる個人といえども監視の目を逃れることは不可能だということではないか・・・

Read Full Post »

16438170811_585114b2d0

【サイト運営者必見】脅威のサイト丸ごと盗用プログラム現る!その手口と対策、受けた被害についてまとめました | アナザーディメンション

パクリブログ問題がようやく一定の解決。「WP-Ban」による報復対策を実行 | アナザーディメンション

この事を多くのサイト運営者に伝えておくのが、今回の件で残っている僕の仕事かもしれない。

ブログ丸パクリ騒動続報。グーグルとのDMCA侵害に関するメールの詳細と対応の難しさからくる絶望 | アナザーディメンション

ブログが丸ごとパクられました。「http://www.advieshoreca.nl/6s/csctccase.asp」は偽物です | アナザーディメンション

Read Full Post »

landscape_nrm_1422990802-holden-01

インターネットの奥深くで・・・

Meet the Man Who Finds Your Stolen Passwords | Popular Mechanics

Everyone can see most of the internet, Holden says, but only some people can find the rest, the so-called Deep Web that’s not searchable by Google. The Deep Web is hundreds, perhaps thousands, of times larger. Much of it is benign—private company sites and such. “And then there is the black part of the Internet,” says Holden—the Dark Web, or Darknet. He enters it on a browser that makes him anonymous and untraceable.

“I’m gonna show you a hacker forum from the inside out,” he says, scooting in his chair. He calls up a discussion board, types in two passwords, and gains administrator status, meaning he can move godlike through the forum and read private conversations. […]

Read Full Post »

interview-censored

右往左往の挙句、ソニーはThe Interviewをクリスマスに一部劇場で公開する | TechCrunch

@ganzeer

Congrats, Sony, on the most cunning Marketing campaign a film has ever seen:

Sony Releases ‘The Interview’ Online | WSJ

Google, which is offering the movie through its YouTube and Google Play stores, and Microsoft, which is using its Xbox Video Store, were the only companies willing and able to offer it on Dec. 24. Sony talked to Apple Inc., which is a dominant No. 1 in online movie sales and rentals with its iTunes Store, and Amazon.com Inc., which is No. 2, but neither were willing to immediately join the effort, according to the person with knowledge of the talks.

Spokesmen for Apple and Amazon declined to comment.

@stevekovach

Apple reportedly didn’t have time to put The Interview on iTunes. I don’t buy that now.

Read Full Post »

carrjump-articleLarge-v3

[上映中止になったソニー映画:NYTimes.com

ソニー映画The Interview』をめぐる空騒ぎのなかで、David Carr の書いたものがいちばん腑に落ちるような気がする。

「ホラー映画並みになってしまったソニー映画ハッキングの顛末。」

How the Hacking at Sony Over ‘The Interview’ Became a Horror Movie | NYTimes.com

     *     *     *

いつ果てるとも知れぬ論議

まさにそれは際立って、方向を見失わせる事態だ。どの映画なら見ることができ、どの映画ならそうではないのかを自国民に判断させる術(すべ)を欠いた卑小で、不手際な状態だ。攻撃された映画業界は傍観者のように無言で見守り、米大統領が低級なコメディによって引き起こされた国際的な衝突に敢えて踏み込まざるを得ないと感じるような事態だ。

It was a remarkable and disorienting turn of events: a tiny, failing state that lacks the wherewithal to feed its own people was deciding which movies we can and cannot see, while the industry it had attacked watched silently from the sidelines, and the president of the United States felt compelled to step into an international confrontation catalyzed by a lowbrow comedy. […]

脅迫とそれに続く上映キャンセルは今後悪夢として長いこと尾を引くだろう。文化的論議がオンライン脅迫のテーマになったことから、いつ果てるやも知れなくなった。ニュースや情報獲得の手段としてますます重要になっているドキュメンタリーが突如として危機に瀕することになるのだ。

The threats and subsequent cancellation will become a nightmare with a very long tail. Now that cultural discourse has become the subject of online blackmail, it is hard to imagine where it will end. Documentaries, which have become increasingly important sources of news and information, could suddenly be in jeopardy. […]

     *     *     *

ソニーに問題はなかったのか

2011 年にソニーの PlayStation がセキュリティ攻撃に晒されたとき、当時 CEO だった Howard Stringer と話す機会があったが、3日間の間彼は蜂の巣箱に身を隠しているように思えた。そのソニーがハッカー攻撃のターゲットにされないような何らかの有効な方策をその後講じなかったことは不可解だ。

Sony I happened to be with Howard Stringer, then chief executive of Sony, during a vast security attack on its PlayStation platform in 2011 — he looked as if he had been living inside a beehive for three days. That Sony did not harden as a target in a meaningful way afterward is inexplicable.

大胆で独創的なアイデアは歓迎だが、それにしても実際に現存する主権国家の支配者がおバカな暗殺者に吹き飛ばされるコメディなんてほんとうに重要な意味があるのだろうか? 無慈悲な支配者を風刺するのであれば、いくらでも方法はある。チャーリー・チャップリンが『独裁者』(The Great Dictator)でヒットラーを余すところなく(名指しにはしないで)やっつけたように・・・

And while I am all for bold creative choices, was it really important that the head being blown up in a comedy about bungling assassins be that of an actual sitting ruler of a sovereign state? If you want to satirize a lawless leader, there are plenty of ways to skin that cat, as Charlie Chaplin demonstrated with “The Great Dictator,” which skewered Hitler in everything but name.

     *     *     *

正しい対応策とは

じゃあ正しい対応策とは何なのか? — アメリカ人はソファに座ってあらゆる事象を見るのが得意だ。だからその衝動を抑えつけなければいいのだ。

So what is the right response? Americans are good at sitting on a couch and watching all kinds of stuff, so why not harness that impulse? […]

The Interview』を Hulu で公開すればいい。iTunes でも、Google Play でも、NBC やあらゆる放送網で、そして Showtime などあらゆるケーブルテレビで・・・あらゆるところで誰でもボタンひとつで「同時に」見れるようにすればいい。そうすればみんなが見るので、誰をターゲットにしていいか分からなくなり、検閲への決め手となり得るのだ。

[…] Put “The Interview” on Hulu, on iTunes, on Google Play, on Netflix, on NBC and all the broadcast networks, on Showtime and all the cable stations, put it anywhere and everywhere that people can push a button and watch at the same time. Ubiquity and the lack of a discernible target would trump censorship.

映画さえ見れるようにすればいい・・・

Play the movie.

     *     *     *

本質を衝いた David Carr の視点にはいつも頷かされる。

発表当初さまざまな疑問が提示された iPad について、「姿を消すガジェット」としての本質を見事に言い得たのが彼だった。

The Interview』ハッキングについての様々な偽善的論議を David Carr は厳しく糾弾する。

被害に遭ったソニーだけでなく、傍観するだけのハリウッドや、流出した私的情報を垂れ流しにするメディアについても容赦なく批判の目を向ける。

こんな記者の存在こそが NY タイムズのような大手メディアの強みだろう・・・

なお The Globe and Mail 紙の David Carr 論もたいへん興味深い。

Read Full Post »

JP-CYBER-blog427

[『The Interview』の封切り中止:NYTimes.com

クリスマス前のスローなインターネットの世界で、ハッカー攻撃を受けたソニー・ピクチャーズの話だけが奇妙な展開を見せている。

まずソニー・ピクチャーズがハッカー攻撃に屈して(?)、発端となったコメディー映画『The Interview』のクリスマス封切りを諦めた。

これに対しオバマ大統領は、ハッカー攻撃が北朝鮮によるものと断定し、ハッカーの要求に屈すべきではなかったと発言

一方北朝鮮は関与を否定し、米国との共同調査を提案。すると米国は中国に協力を依頼するという有様。

風刺映画にしろ一国のリーダーを暗殺するという企画より、ハッカー(テロリスト?)の要求に屈した点が問題になるのはやはりアメリカだからか・・・

ハッキングにより Torrent サイトに流出した映画は、この他にも『Annie』、『Fury』、『Mr. Turner』、『Still Alice』、『To Write Love on Her Arms』などがある。

話題性という点では『The Interview』がダントツか・・・

まるでハリウッドが人質に取られたみたいだ。

とうとう別のハッカーグループから、無料で配信してはという提案まで出る始末。

今後どういう展開になるのか予想もつかない。

しかし、なんだかなあ・・・

Read Full Post »

Tom-Jobs

[トム・クルーズが演じる幻のジョブズ:Ars Technica

脚本家 Aaron Sorkin の意中のひとはトム・クルーズだったらしい・・・

ハッカー攻撃にあったソニー・ピクチャーズから大量の内部データが流出している。その情報から Ars Technica がジョブズ伝記映画の舞台裏を取り上げている。

Leaked Sony e-mails reveal Aaron Sorkin wanted Tom Cruise as Steve Jobs | Ars Technica

     *     *     *

主役に不本意なソニー・ピクチャーズ会長

Guardians of Peace と名乗るハッカーグループがリークした書類の大半はコロンビア映画会長 Amy Pascal[ソニー・ピクチャーズの共同会長でもある]のメールのやり取りだ。それによると、ジョブズ伝記映画のカネを稼げる主役探しに四苦八苦していた Pascal がこの映画を手放すのを決定的にしたのは Danny Boyle 監督がジョブズ役に Michael Fassbender を選んだことだった。その後ソニーの交渉期限が過ぎたため、プロデューサーの Scott Rudin と Boyle 監督は映画をユニバーサルに譲る契約を結んだ。かくて激しいメールのやり取りが展開した。

Based on e-mail messages in the Outlook mailbox of Columbia Pictures Chairman Amy Pascal, which made up nearly half of the latest leak of documents by the group calling themselves “the Guardians of Peace,” it was ultimately Director Danny Boyle’s choice of Michael Fassbender for the role of Steve Jobs that blew up the deal, as Pascal and her team struggled to find someone to help finance the film with him in the lead. Then, as Sony reached a deadline for coming up with a deal, producer Scott Rudin and Boyle closed a deal with Universal to take the picture, sparking an e-mail flame war.

     *     *     *

脚本家の意中のひとは Tom Cruise

最初にジョブズ役として名前が挙がったのは Christian Bale だった。Pascal は10月7日のメールでその選定に「非常にハッピーだ」と述べている。しかし脚本家 Aaron Sorkin から最初のシナリオが持ち込まれると、彼がジョブズ役に別の人物を念頭においてシナリオを書いたことが明らかになった。ソニーが伝記映画を手放す数週間前の10月31日、Sorkin は次のようなメールを書いている。

Christian Bale had been mentioned as a candidate for the role of Steve Jobs, and Pascal had said in an October 7 e-mail that she was “very happy” with the choice. But it was clear that Aaron Sorkin, who was brought on to write the first draft of the screenplay for Jobs, had someone specific in mind when he wrote the part. On October 31, just weeks before the wheels fell off Sony’s deal for the film, Sorkin wrote in an e-mail:

「プロデューサーの Scott Rudin と Danny Boyle 監督の2人が Tom Cruise に少なからず関心を持つよう仕向けた。2人とも彼が年を取り過ぎていると心配しているが(自分はそれほどでもない)、彼が十分セリフをこなせること[注](『大いなる陰謀』、『マグノリア』、『ア・フュー・グッドメン』を見ても)、自信をもって主役をこなせるスターであることについてはみんなの意見が一致している。・・・」
[注]Tom Cruise の失読症(Dyslexia)のことか。

I’ve gotten Scott and Danny to the point where they’re now a little interested in Tom Cruise. Though both remain concerned about his age (me less so) everyone agrees that he’s an actor who can really handle language (Lions for Lambs, Magnolia, A Few Good Men) and a movie star who feels comfortable owning the stage.[…]

Pascal もそれでいいと返事をし、彼女も Boyle 監督と話してみるといった。しかし翌日彼女が Sorkin に出したメールでは、Boyle 監督は Michael Fassbender「に約束済みのように見えた」といっている。

Pascal e-mailed back, saying that she loved the idea and that she was going to talk to Boyle about it. But the next day she e-mailed Sorkin again to say that Boyle “seems committed to” Michael Fassbender for the part.

Sorkin の返事:「これは一大事だ。Michael Fassbender なんて自分は知らないし、世間だってそうだろう。まったく正気とは思えない。」 しかしその後のやり取りでは、「くそっ、彼は偉大なる俳優で、とうとう彼の時代が到来したのだ」とも。

Sorkin replied, “This used to be an event. I don’t know who Michael Fassbender is and the rest of the world isn’t going to care. This is insane.” But in the exchange that followed, he wrote, “Fuck it. He’s a great actor whose time has come.”

「結局そういうことだったの」というのが Pascal の返事だった。

“That’s where I ended up,” Pascal replied.

     *     *     *

脚本家 Aaron Sorkin が Tom Cruise のジョブズ役を念頭においていたとは初耳だ。

David Fincher 監督と Christian Bale の組み合わせでスタートした話が二転三転する様子が窺える。

それにしても映画製作の舞台裏がこれほどあからさまになるのは珍しい。

映画スタジオとプロデューサーと脚本家が三つ巴で画策するドロドロした背景が浮かび上がってくる。結局監督も俳優もひとつの駒(こま)に過ぎず、決めるのは背後にある大きな力なのだ。

この映画の配役に声をかけてもらおうとする俳優たちの動きも登場する。

これまでのところ、主役のジョブズにはこの他にも Tobey McGuire や Matthew McConaughey などが名乗りを上げたようだし、今回のハッキングの原因ともなった映画『The Interview』の Seth Rogen は Steve Wozniak 役を希望。Tom Hanks まで John Sculley 役で動いていたらしい。Natalie Portman が Joanna Hoffman[注]役という話も一時はあった。
[注]Macintosh のオリジナル開発チームの一員。唯一のマーケティング担当者。Macintosh User Interface Guidelines もドラフトは彼女が書いた。

これだけ様々な俳優や監督が登場するのなら、いっそのこと伝記映画のメイキング映画(The Making of Steve Jobs Biopic)でも作った方がおもしろいかもしれない・・・

今回のハッカー攻撃では未公開映画、経営実態データ、契約交渉の内容、配給元の選択などのリークだけでなく、「人気度ランキング表」(Confidential “popularity polls” detailing approval ratings and awareness ratings for hundreds of A-list celebrities in different markets around the world)なるものまで流出している。配役決定時に使われる部外秘のランキング表だ。門外不出の極秘資料まで出てしまったワケ。

これだけ様々な内部情報が流出すると、映画会社としてこれまでどおりの路線を継続できるのかどうかすら怪しくなる。

IT 会社を背景に持つソニー・ピクチャーズですらこうなら、他の映画会社にとってもハッカー攻撃は脅威に違いない。ハリウッドにとっては由々しき事態だろう・・・

Read Full Post »

sony_hack-100532451-orig

[ハッキングを受けたソニー・ピクチャーズ:CSO Online

ハッキングを受けたソニー・ピクチャーズが大変なことになっている。

Even more Sony Pictures data is leaked: scripts, box office projections, and Brad Pitt’s phone number | Fusion

     *     *     *

ハッキングを受けたソニー・ピクチャーズが大変なことに

ソニー・ピクチャーズのハッキングはますます大変なことになっている。

The Sony Pictures hack just keeps on getting worse.

ハッキングの背後に何者がいるにせよ、ソニー・ピクチャーズに対する単なる嫌がらせに止まらず、その屋台骨を揺るがす事態に発展しそうな気配だ。スタジオの経営実態が明るみに出てしまった以上、俳優との契約交渉から配給元の選択に至るまで、すべてが難しくなりそうだ。

Whoever is behind the hack, their goal seems to have shifted from embarrassing Sony Pictures to flat-out ruining it. With so much of the studio’s operations now out in the open, everything from actor contract negotiation to vendor selection just became a lot more difficult.

     *     *     *

ジョブズの伝記映画に関する部分も。

ディカプリオでなければ25%の減益

例えば、リークしたスティーブ・ジョブズの伝記映画の営業収入予想によれば、Leonardo DiCaprio がジョブズ役を降りて Christian Bale に変わったことで25%の減益になると見込まれている。(Bale もその後降りた。)

For example, one spreadsheet showed that revenue projections for the upcoming Steve Jobs biopic fell by 25 percent once Leonardo DiCaprio pulled out of the project, and Christian Bale was cast in his place. (Bale has since quit, too.)

     *     *     *

ソニーがこの映画を手放したのはそういうワケだったのか・・・

Read Full Post »

Update:ワナが仕掛けられたことを知らなかった管理人》

The Apple logo hangs in a glass enclosure above the 5th Ave Apple Store in New York

[ハッカー攻撃を受けたアップル:photo

このところ様々なハッカー攻撃が続いているが、Facebook や Twitter に続いて、ついにアップルもその攻撃に晒された

攻撃を受けたアップルのコメントを The Loop が載せている。

The Loop: “Apple comments on hacker attack” by Jim Dalrymple: 19 February 2013

     *     *     *

ハッカー攻撃を認めたアップル

火曜日にアップルは、先週 Facebook を攻撃したのと同じハッカーに攻撃されたことを認めた。アップルはユーザーのために Java マルウェア除去ツールのアップデートを含む必要な措置を取っているという。

Apple on Tuesday admitted to being the victim of a hacker attack by the same people that went after Facebook last week. Apple said it is taking steps to help its customers, including releasing an updated Java malware removal tool.

     *     *     *

Java プラグインの脆弱性

「アップルは、ブラウザの Java プラグインが持つ脆弱性を利用して仕掛けられたマルウェアに感染した Mac が限られた数だがあることを特定した」とアップルは The Loop に宛てた声明で述べている。「このマルウェアはアップルや他の企業に対する攻撃で使われ、ソフトウェア開発者向けのあるサイトを通じて広がった。汚染されたアップル内部の少数のコンピュータは特定され、ネットワークから切り離された。データが漏れたといういかなる証拠も見つかっていない。このマルウェアの発信源を見つけるべく、アップルは捜査当局に全面的に協力している。」

“Apple has identified malware which infected a limited number of Mac systems through a vulnerability in the Java plug-in for browsers,” Apple said in a statement the company provided to The Loop. “The malware was employed in an attack against Apple and other companies, and was spread through a website for software developers. We identified a small number of systems within Apple that were infected and isolated them from our network. There is no evidence that any data left Apple. We are working closely with law enforcement to find the source of the malware.

     *     *     *

Java のアップデート

「OS X Lion 以降、出荷される Mac に Java はインストールされていない。さらに、Java が 35 日間使用されなかった場合は自動的に無効にする追加的安全措置がとられている。すでに Java をインストールしている Mac ユーザーを保護するために、Java のアップデート版を今日リリースした。このツールは Mac をチェックして、マルウェアが見つかった場合はそれを除去する」とアップルは述べている。

“Since OS X Lion, Macs have shipped without Java installed, and as an added security measure OS X automatically disables Java if it has been unused for 35 days. To protect Mac users that have installed Java, today we are releasing an updated that will check Mac systems and remove this malware if found,” the company said.

     *     *     *

このハッカー攻撃に関連して、Mac 開発者でもある Marco Arment が次のように警告している。

Marco.org: “Facebook, Apple employee Java exploits were reportedly from visiting iPhoneDevSDK” by Marco Arment: 19 February 2013

     *     *     *

ハッカー攻撃に使われた iPhoneDevSDK

iPhoneDevSDK が Java 攻撃の突破口に使われたことは明らかだ。

Apparently, iPhoneDevSDK was serving the Java exploit, and still might be.

iOS 開発者はこの事実を知っておくことた大切だ。iOS 開発に関する疑問をググると、たいていの場合2つの大きなサイトに行きつく。それが Stack Overflow(ほとんどの場合こちらの方がいい結果が出る)と iPhoneDevSDK だ。

This is very important for iOS developers to know. Almost any Google search for an iOS-development question shows results from two big sources: Stack Overflow (almost always the better results) and iPhoneDevSDK.

     *     *     *

Java の無効化

もしアナタがブラウザの Java 設定をまだ無効にしていないなら、今回がそのいい機会だ。グーグル検索の結果 iPhoneDevSDK に行き着いても、安全性を考えて当分の間は避けることにしようと思う。

If you haven’t disabled Java in your browser yet, this is a great time to do that. And just to be safe, I think I’m going to avoid iPhoneDevSDK results in Google for a while.

     *     *     *

プロがプロを狙った攻撃なのだろうか・・・

さっそく Safari の Java を無効にした。

★ →[原文を見る:The Loop
★ →[原文を見る:Marco.org

     ❖     ❖     ❖
     ❖     ❖     ❖

《Update》ワナが仕掛けられたことを知らなかった管理人(2月21日)

ハッカー攻撃に一役を買った開発者向けサイト iPhoneDevSDK の管理人が知らなかったという話が興味深い。

Ars Technica: “Dev site behind Apple, Facebook hacks didn’t know it was booby-trapped” by Jacqui Cheng: 21 February 2013

     *     *     *

iPhoneDevSDK の言い分

iPhoneDevSDK のサイトが Facebook や Apple、Twitter へのハッカー攻撃に一役買ったことは明らかに思えるが、同サイトの管理人は、今週報道されるまで、同サイトが訪問したビジターを攻撃するのに使われたことは知らなかったという。同サイトの管理人は水曜日の新しい投稿[リンク省略。セキュリティが心配なひとはクリックしないでください。]で、ハッキングされたことを知らず、侵入されたどの会社からもコンタクトはなかったといっている。現在では同サイトは、何が起きたかという情報を共有するため Facebook のセキュリティチームと共同で作業している。

iPhoneDevSDK—the site apparently responsible for the hacks at Facebook, Apple, and Twitter—says it was not aware it was being used to attack visitors until it read press reports this week. In a news post (do not click if you’re wary of security breaches) on Wednesday, site admins said they had no knowledge of the breach and were not contacted by any of the affected companies. Though, iPhoneDevSDK is now working with Facebook’s security team in order to share information about what happened.

     *     *     *

記事が出るまで知らなかった

「Facebook についての AllThingsD の記事で、初めてわれわれは注意を喚起された。この記事が出るまではハッキングされたことを知らなかったし、Facebook だけでなく如何なる会社からも、また如何なる捜査当局からも、ハッキングの可能性についてコンタクトはなかった」と iPhoneDevSDK の管理人 iseff は書いている。

“We were alerted through the press, via an AllThingsD article, which cited Facebook. Prior to this article, we had no knowledge of this breach and hadn’t been contacted by Facebook, any other company, or any law enforcement about the potential breach,” wrote iPhoneDevSDK admin iseff.

     *     *     *

管理人のアカウントから侵入

「われわれに分かったことは、たった一人の管理人のアカウントがハッキングされたということだけだ。ハッカーはこのアカウントを使ってわれわれのサイトのテーマを改ざんし、JavaScript を注入した。この JavaScript が、特定のユーザーのコンピュータをハッキングするための、これまで知られていない高度な侵入突破口として使われたようだ」と同管理人は続けている。「侵入された正確な日時および詳細については未だ解読中だ。しかしハッカー攻撃は 2013 年1月30日で終わったように思える。」

“What we’ve learned is that it appears a single administrator account was compromised. The hackers used this account to modify our theme and inject JavaScript into our site. That JavaScript appears to have used a sophisticated, previously unknown exploit to hack into certain user’s computers,” he went on. “We’re still trying to determine the exploit’s exact timeline and details, but it appears as though it was ended (by the hacker) on January 30, 2013.”

     *     *     *

水飲み場型攻撃

最近のハッカー攻撃に詳しいある人物は Ars Technica に対しつぎのように語っている。Apple、Facebook、Twitter の3つの会社への攻撃は、いずれも iPhoneDevSDK の同じページを使って仕掛けられており、かかるテクニックは「水飲み場型攻撃」(“watering hole” attacks)という名で知られている。のどの乾いた獲物がやってくる池のほとりで待ち構えるプレデターのように、ハッカーたちは侵入したい会社の従業員がよく訪れるサイトにワナを仕掛けるのだ。

A person with knowledge of recent attacks that hit Apple, Facebook, and Twitter told Ars all three companies were targeted using the same iPhoneDevSDK page. Such techniques are often referred to as “watering hole” attacks. Just as predators camp out at ponds in wait of thirsty prey, hackers often infect sites frequented by employees of the companies they want to penetrate.

     *     *     *

Java プラグインの脆弱性

アップルおよび Facebook の両社に対するハッキングは、オラクル社 Java のウェブブラウザプラグインの未公開の脆弱性によるものだ。近年 Java を利用しているコンピュータで顕著になってきた問題だ。このためアップルは 2012 年末に、すべての Mac 対応ウェブブラウザから Java のプラグインを排除した。その後アップルは、今年になって二度も、重大なハッキングからユーザーを守るため OS X の Java ウェブブラウザプラグインをブラックリスト化している。しかし多くのユーザー — とくに開発者 — は、今でも Java プラグインを使用しており、それがハッカー攻撃への潜在的リスクを増加させている。

The security breaches at both companies were due to an undocumented vulnerability in the browser plugin for Oracle’s Java—an increasingly common problem for those running Java on their machines. This is part of why Apple removed the Java plugin from all Mac-compatible Web browsers in late 2012, then blacklisted Java browser plugins on OS X twice already this year in order to prevent critical exploits. But many users—particularly developers—still have uses for the Java plugin, potentially putting them at increased risk for attack.

     *     *     *

HTML に仕掛けられたワナ

「このワナは第三者のサイトの HTML に仕掛けられ、Java を有効にしたまま同サイトを訪れるエンジニアは、自分のマシンがいかに安全措置を講じていても誰でも汚染されることになる」と Facebook のセキュリティチーフ Joe Sullivan は先週 Ars Technica に対して語った。

“The attack was injected into the [third-party] site’s HTML, so any engineer who visited the site and had Java enabled in their browser would have been affected regardless of how patched their machine was,” Facebook Chief Security Officer Joe Sullivan told Ars last week.

     *     *     *

40社も被害にあっている

アップル、Facebook、Twitter は、東ヨーロッパに所在するハッカーの攻撃目標となった40社のうちのたった3社に過ぎない、と Bloomberg News はいう。

Bloomberg News is reporting that Apple, Facebook, and Twitter are just three of 40 companies targeted by attackers located in Eastern Europe.

     *     *     *

ソフト開発者といえば優れた技能の持ち主だ。

そんな開発者がよく訪れるサイトにワナが仕掛けられ、サイトの管理人すら知らなかったとはいかにもショッキングな話だ。

テクノロジーの最先端にいる開発者がマルウェアの伝播に一役買ったという皮肉。

このところメディアに対するハッカー攻撃が大きな関心を呼んでいる。上海の「61398 部隊」の存在まであぶり出されている。

オバマ大統領も一般教書演説でサイバー攻撃の脅威を取り上げた。

もしも、開発者御用達のサイトだけでなく、セキュリティ専門サイトにまでワナが仕掛けられたらどうなる?

どうやらハッカーとの闘いはすさまじいレベルにまで達しているようだ。

猫の首輪につけた USB メモリーとは遥かに次元が異なる。

何も分からない筆者のようなユーザーは、ひたすら敬して遠ざけるしかないのか・・・

★ →[原文を見る:Original Text

Read Full Post »

Older Posts »