2016年の10大ハッキング、侵害、セキュリティ関連ニュース

コンピュータ セキュリティの世界では、今年は長く憂鬱な、セキュリティ侵害の多い一年でした。

Yahoo!は史上最大のハッキングを2度も許し、記録を更新しました。何百万台ものゾンビ化したウェブカメラとDVRが、アメリカのユーザーのインターネットをダウンさせました。ロシアは「投票ハッキング」の疑いをかけられ、新種のマルウェアが何も知らないユーザーからビットコインを脅し取って巨額の利益を上げました。ジョン・オリバーが2016年について何と言っていたか思い出してみてください（NSFW）。

9月、Yahoo!は少なくとも5億件のユーザーアカウントが侵害されたことを明らかにして世界に衝撃を与えました。当時、この侵害は大手テクノロジー企業による個人情報窃盗事件としては過去最大規模とされていました。さらに事態を悪化させたのは、Yahoo!が後に明らかにしたハッキン​​グ自体は2014年に発生したものの、発覚したのは2016年だったため、攻撃者は何年も前からユーザー情報にアクセスできていたということです。

しかし、それは単なる予行演習に過ぎなかったことが判明しました。12月中旬、Yahooは2013年8月頃に別のハッキングが発生し、10億人のユーザーデータが漏洩したという衝撃的な事実を公表しました。これは、9月に発生した記録破りのハッキングの2倍に相当します。だからこそ、利用するすべてのサイトやサービスで、強力で固有のパスワードを設定することが重要なのです。

画像提供：Gerd Altmann / Pixabay

10月、ボットネットが大手ドメインネームシステム（DNS）プロバイダーであるDynに対して大規模な分散型サービス拒否（DDoS）攻撃を開始しました。DNSは、google.comのようなウェブサイト名を、コンピュータが読み取れるように172.217.21.110のような数値のインターネットプロトコルアドレスに変換するウェブルーティングシステムです。DNSがなければ、ウェブブラウザは見たいウェブサイトを見つけることができません。そして、まさにこれが、DDoS攻撃中に米国の何百万人もの人々に起こったことです。Twitter、GitHub、Netflixといった主要サイトへのアクセスは、一日中不安定な状態が続きました。

数日後、DNSに大混乱をもたらしたボットネットが、Miraiマルウェアに感染した約10万台の家庭用デバイス（ウェブカメラやDVRなど）で構成されていたことが判明しました。そう、安全性の低い、愚かなスマートデバイスの軍団がウェブを攻撃したのです。

QuickTimeはかつてPCで最も普及したソフトウェアの一つでした。特にiTunesでは、初期のビデオを視聴するために欠かせない存在でした。しかし、時が経つにつれてQuickTimeの重要性は徐々に低下し、今ではほとんど不要と言えるほどになっています。今年初め、このソフトウェアに2つの重大な脆弱性が発見された後、Appleは問題を修正するのではなく、Windows版QuickTimeのサポートを終了させることを決定したようです。

つまり、Windows マシンでまだ QuickTime を実行している場合は、今すぐアンインストールしてください。

ピーター・セイヤーによる画像

クレジットカードのセキュリティ対策は、あなたが思っているほど安全ではありません。英国ニューカッスル大学の研究者たちは、クレジットカードの有効期限とカード認証番号（CVV）を見つけるのは実際には比較的簡単であることを実証しました。研究者たちは、「分散推測」と呼ばれる手法を用いて、これらの低桁の番号を推測する斬新な方法を考案しました。

基本的に、ノートパソコンが様々な決済サイトで、カードの有効期限とCVV情報をわずかに異なる値で入力し、同時に数百回の推測を行う。研究者によると、約6秒以内にクレジットカードの暗証番号を解除するための正しい数字列が見つかるという。この脆弱性は、決済情報の入力試行回数を適切に制限していないこと、そしてクレジットカードシステムが同時に誤ったクレジットカード情報の入力試行を積極的に監視していないことにある。

今年、コンピュータハッキングは企業や政府機関への嫌がらせから、米国大統領選挙への直接介入へと発展しました。最初の事例は、民主党全国委員会のコンピュータネットワークへの侵入でした。ウィキリークスは7月に、民主党全国委員会職員からの約2万通のメールと数千件の添付ファイルを含む大量の文書を公開しました。

その後、民主党全国委員会が民主党候補指名獲得に向けて最有力候補のヒラリー・クリントン氏を支援するため、バーニー・サンダース陣営を積極的に妨害しようとしたという疑惑など、いくつかのスキャンダルが浮上しました。この暴露により、民主党全国委員会のデビー・ワッサーマン・シュルツ委員長は辞任に追い込まれました。「Guccifer 2.0」と名乗るハッカーがデータ窃盗の犯行声明を出しましたが、アメリカの捜査当局はロシアの国家機関による犯行だと考えています。

エリザベス・ハイヒラーによる画像

9月、米国の捜査当局は、ロシアが選挙を妨害または混乱させようとした可能性について調査を開始しました。2016年末にかけて、中央情報局（CIA）をはじめとする米国の情報機関は、ロシアが選挙に秘密裏に影響を与えようとしたと「高い確信」を持って結論付けました。懸念されていたのは投票機へのハッキングではなく、ロシアのハッカーが米国の二大政党のコンピューターシステムに侵入し、ロシアのウラジーミル・プーチン大統領の直接的な関与があった可能性です。

ロイター通信によると、12月中旬の時点で、アメリカの情報機関のトップである国家情報長官室（ODNI）はこの評価を支持していなかった。

2015年12月、カリフォルニア州サンバーナーディーノでイスラム過激派によるテロ攻撃が発生し、14人が死亡、22人が重傷を負った。その後、このカップルは警察との銃撃戦で死亡した。

2016年、テロリストの一人が所有していたiPhoneが、不正アクセスからデバイスを保護するためにAppleの内蔵セキュリティツールを使っていたため、注目を集めました。FBIは、捜査官がiPhoneにアクセスできるようにするための特別なソフトウェアをAppleに開発するよう求めました。Appleはこれを拒否し、FBIは事実上、自社のセキュリティ機能を弱体化させるための「カスタムビルドマルウェア」をAppleに要求していると主張しました。

セキュリティ企業の協力を得て捜査官がiPhoneのデータにアクセスできたため、FBIは最終的にAppleへの要請を取り下げた。この事件の遺産は今も生き続け、議員たちは暗号化対応製品を持つ企業が法執行機関にどのような支援を提供すべきかを検討している。

8月、Shadow Brokersと呼ばれる匿名のハッカー集団が、国家安全保障局（NSA）と繋がりのあるサイバースパイ集団Equation Groupからハッキングツールを入手したと発表しました。Shadow Brokersは潜入中に、NSAが使用していたとされる高度なエクスプロイトを入手しました。これらのツールはデバイスのファームウェアに感染し、OSを完全に更新した後でもシステムに残る可能性がありました。Shadow Brokersは、入手した他のハッキングツールの販売を試みましたが、10月初旬の時点ではほとんど関心を集めていませんでした。

事の発端は、バングラデシュの銀行を標的とした、SWIFT（国際銀行間金融通信協会）の取引ソフトウェアを標的とした、8,100万ドル規模のマルウェア攻撃でした。しかし、5月下旬までに、世界中の12行以上の銀行がSWIFTシステムへのハッキングの可能性を調査していました。7月には、SWIFTは拡大するハッキングの蔓延を抑制するため、外部のセキュリティ専門家の支援を求めていました。