2014 年現在までに起きた最も恐ろしいデジタル セキュリティ ストーリー 8 件

2014年もまだ半分が過ぎたばかりですが、今年はデジタルセキュリティにとってこれまでで最も恐ろしい年になりそうです。2013年の大規模なTarget情報漏洩事件さえも凌駕するでしょう。eBay、マイケルズ、ニーマン・マーカスといった有名小売店に加え、ホテル、オンラインフォーラム、その他多数のウェブサイトがハッキング被害に遭っています。大規模な情報漏洩によるクレジットカード情報の漏洩件数は500万件に迫り、オンラインアカウントは5億件にも上ります。

攻撃の活発化に加え、頼りになる暗号化ツールTrueCryptが失われ、私たちは史上最大のウェブセキュリティの失態に見舞われました。2014年も折り返し地点に差し掛かり、これまでのセキュリティ関連のニュースを10件ご紹介します。

4月、HTTPSウェブサイトを含むオンライン通信のセキュリティ保護に広く利用されているOpenSSLに、深刻な脆弱性が見つかったため、世界中の数千もの主要ウェブサイトが混乱に陥りました。「Heartbleed」と呼ばれるこの深刻なバグは、ユーザー名やパスワード、ユーザーデータ、さらにはウェブサイトが安全に認証するために使用するSSL鍵までも漏洩する恐れがありました。問題は広範囲に及び、影響を受けたウェブサイトにはInstagram、Netflix、Tumblrなどが含まれていました。

Heartbleedは深刻な欠陥であったにもかかわらず、複数の大手テクノロジー企業が、サポートが不十分なオープンソースプロジェクトに資金を提供するきっかけにもなりました。驚いたことに、最初に支援を受けたのはOpenSSLソフトウェア財団でした。

5月、顧客はTrueCrypt暗号化ソフトウェアのウェブサイトから突然プロジェクトのSourceForgeページにリダイレクトされ、衝撃を受けました。そこには、「警告：TrueCryptの使用は安全ではありません。未修正のセキュリティ問題が含まれている可能性があります。」というメッセージが表示されました。

TrueCryptがMicrosoftのクローズドソースの暗号化ツールBitLockerへの移行を推奨したことは、プロジェクトの理念に正反対だったため、当初はデマかハッキングのように見えました。しかし、数週間後、TrueCryptの終焉は現実のものとなったようです。TrueCryptの開発者による隠されたラテン語のメッセージに関する噂が渦巻く中、新たな経営陣の下でプロジェクトを復活させようとする動きもあります。

セキュリティレビューは、大規模なデータ侵害のまとめなしには完結しません。eBayは最も注目すべき被害者です。5月に、eBayは氏名、メールアドレス、自宅住所、電話番号、生年月日、暗号化されたパスワードを含む壊滅的なデータ侵害を発表しました。報道によると、影響を受けたユーザー数は約1億4,500万人に上ります。

ホビー用品販売のMichael'sは、AOL、Avastのオンラインフォーラム、ホリデイ・インとマリオットホテル、ニーマン・マーカスとともに、eBayに続きデータ漏洩の殿堂入りを果たしました。レストランチェーンのPF Chang'sも最近、データ漏洩の調査中であると発表しました。そうそう、2月にはハッカーフォーラムでさらに3億6000万件のユーザー名とパスワードが流出しました。うわあ。

2013年が個人情報漏洩の年だったとすれば、2014年はデジタル人質とランサムウェアの年になりそうです。一定額を支払わなければPCを破壊すると脅す悪質ソフトウェアは古くからある手法ですが、2014年初頭、ハッカーたちはその脅威を一層強めました。5月下旬、世界中のiOSユーザーは、Appleの「iPhoneを探す」サービスによってiOSデバイスがロックされ、ハッカーが復旧のために金銭を要求していることに気付きました。そして6月には、セキュリティ企業ESETがAndroid上で初めてファイル暗号化ランサムウェアを発見しました。プロジェクト管理ウェブアプリ「Basecamp」などのサイトも、分散型サービス拒否（DDoS）攻撃を阻止するために身代金を支払わなければ身代金を要求されるという事件に見舞われました。

Heartbleedは、2014年に発生したSSL/TLS関連の重大なバグの1つに過ぎませんでした。2月と3月には、AppleとLinuxコミュニティの両方が、オンラインセキュリティプロトコルの実装における欠陥の修正に奔走しました。Appleのケースでは、誰かが誤って「goto fail」というプログラミング文を追加してしまい、SSL/TLS経由で送信された暗号化データがハッカーに盗聴される危険性がありました。

Linuxのケースでは、GnuTLSライブラリにプログラミング上の欠陥があり、Appleの「goto fail」問題と同様に、ユーザーデータが侵害される危険性がありました。しかし、GnuTLSの場合、このプログラミング上の欠陥は1​​0年も前から存在していたと疑われており、Linuxコミュニティのリーダーたちは「えっ、Gnuは知っていたの？」と嘆いたほどです（うめき声 — 編集者注） 。

ビットコインのセキュリティは2月に大きな問題に直面しました。ビットコイン関連ニュースサイトCoindeskによると、「トランザクション展性（transaction malleability）」と呼ばれる欠陥が原因で、複数のビットコイン取引所が攻撃を受けました。この欠陥により、攻撃者は理論上、元のトランザクションを偽のトランザクションに置き換えることで、ビットコインを本来の受取人から攻撃者へリダイレクトすることが可能になります。

トランザクションの可塑性は深刻な問題であり、苦境に立たされたビットコイン取引所Mt. Goxが閉鎖に追い込まれた初期の理由の一つにも挙げられていました。しかし、Mt. Goxの問題は後にソフトウェアのバグ以上の深刻な問題であることが明らかになり、3月にトランザクションの可塑性に対処するための修正プログラムがリリースされました。

Outlook.comの受信トレイを盗み見ているのは、政府機関だけではありません。Microsoftも覗き見しているかもしれません…少なくとも、あなたが悪事を企んでいる場合は。3月、Microsoftはブロガーと元従業員の両方の個人メールを盗聴し、その従業員が会社の機密情報をブロガーに漏洩していた証拠を探していたと告白しました。（ただし、この反発を受けて、Microsoftはプライバシーポリシーを改訂しました。）

この事件は、アメリカのデジタルデュープロセスがいかに不十分であるかを浮き彫りにしている。結局のところ、第三者のサーバーに保存されているプラ​​イベートメールは、クローゼットの奥にしまってあるラブレターと同じくらいプライベートなものとみなされるべきなのだ。

2つの 前向きな 話がいくらかの希望を与えてくれます。

6月、国際的な法執行機関連合がGameover ZeuSと呼ばれる悪質なボットネットを一時的に停止させました。感染したWindows PCは個人情報の収集に利用されたほか、Cryptolockerランサムウェアの拡散にも利用されました。

Krebs on Securityによると、Gameoverにはピアツーピアのコンポーネントに加え、オンラインプロキシサーバーと強力な暗号化機能が搭載されている。Gameoverは世界中で推定50万台から100万台のPCに影響を与えており、「Operation Tovar」と名付けられた今回の攻撃は、感染したPCをクリーンアップする絶好の機会に過ぎなかった。米国当局は、ロシアのアナパ在住のエフゲニー・ミハイロヴィチ・ボガチェフ容疑者（30歳）を、ボットネットの運営に関連する複数の刑事訴追で起訴した。

復讐は冷やして食べるのが一番美味しい料理だ。Googleは復讐のパイを国家安全保障局（NSA）に差し出す前に、しっかりと冷やしておいた。エドワード・スノーデンによるNSAの暴露をめぐる騒動が続く中、Googleは新しいChrome拡張機能でウェブメールのエンドツーエンド暗号化をより使いやすくすると発表した。「End-to-End」と呼ばれるこの拡張機能は現在パブリックアルファ版で、一般公開はまだ準備が整っていない。しかし、公開されれば、最もプライベートなメールを詮索好きな目や政府機関から守ることを約束する、複数の新プロジェクトの1つとなるだろう。