2014年のセキュリティに関する最も重大な13のニュース

2014年、大規模なハッキング、深刻な脆弱性、そしてその他セキュリティ上の驚きが、津波のようにインターネットを席巻しました。SSLの脆弱性がインターネットの心臓部を貫き、暗号資産の世界が重要な資産を失った後、私たちはもうこれ以上のことは考えられないと思っていました。しかし、その後、ソニーは（再び）史上最悪のサイバー攻撃の一つの犠牲となりました。

大規模なハッキングや悲劇以外にも、前向きな動きもありました。GoogleとYahoo!はメールの暗号化に真剣に取り組み、AndroidとiOSは暗号化を強化し、Torは多くの支持者を獲得しました。

2014年のセキュリティ関連ニュースをお届けします。少なくとも今のところは。この気まぐれな一年も残りわずか。何が起こるか全く分かりません。

11月下旬、「Guardians of Peace（GOP）」を名乗るハッカー集団がソニー・ピクチャーズのコンピュータネットワークを乗っ取り、従業員のPCをロックアウトした。また、大量の機密データを盗み出し、その大部分をオンライン上に流出させた。

その後数週間にわたり、共和党はソニー従業員への「平等」や、北朝鮮の指導者暗殺未遂事件を描いた映画『ザ・インタビュー』 （左の写真）の公開中止など、奇妙な要求を次々と突きつけた。 当局は当初疑念を抱いたが、現在では攻撃と脅迫は北朝鮮自身から発せられていると考えている。

混乱に陥ったソニーは、テロへの懸念を理由に、最終的に映画の初公開を中止することを決定した。

Appleはセキュリティ脆弱性の分野でもトレンドセッターのようです。2月には、2014年に発見された2つの大きなSSL関連問題、HeartbleedとGNUTLSバグよりも前に表面化したSSL脆弱性「goto fail」バグを修正しました。

パッチが適用されていない「goto fail」は、SSL/TSLで暗号化されているはずのデータを攻撃者が取得または改ざんできる可能性があります。この脆弱性はOSXとiOSデバイスに影響し、Appleのコードにおける1行の誤字が原因でした。これは、バグに関してもAppleがシンプルで効果的かつエレガントなものを作り出すことを避けられないということを証明しています。

4月に明らかになったHeartbleedは、2014年にインターネットを揺るがした2つの重大な脆弱性のうち、最初のものでした。このバグにより、攻撃者はOpenSSLを実行しているサーバーから機密データを盗み出すことができました。Heartbleedは、サーバーが「ハートビート拡張機能」と呼ばれる特別なOpenSSL機能を有効にしている場合にのみ機能しました。この脆弱性を知っているハッカーは、SSLサイトのキー、ユーザー名とパスワード、メール、インスタントメッセージ、ファイルなど、あらゆる種類のデータを取得することができました。

Heartbleedは、様々なウェブサイトで数百万人ものユーザーにパスワード変更を迫りました。Heartbleedは簡単なソフトウェアパッチで修正できますが、セキュリティ研究者によると、今後何年も問題が続くと予想されています。サーバーソフトウェアの更新を怠っている小規模なウェブサイトでは、リスクが最も高くなります。

インターネットがHeartbleed関連の問題の解決を祝ったわずか数ヶ月後、新たな重大な脆弱性が出現しました。Shellshockと呼ばれるこの脆弱性は、LinuxやOS XなどのUnix系システム、そしてウェブサーバーや家庭用ネットワーク機器の標準コンポーネントであるBashシェルに存在していました。Shellshockを悪用すると、ハッカーは影響を受けるマシン上で重要なシェルコマンドを実行できる可能性がありました。セキュリティ研究者は、Shellshockが実際に悪用されている事例を発見しました。

専門家は、Shellshock はターゲットマシンへの壊滅的なアクセスを可能にし、はるかに広範囲のデバイスに影響を及ぼすため、Heartbleed よりもはるかに大きな問題であると考えています。

世界で最も信頼され、崇拝されていた暗号化プログラムの一つが突然消えたことで、5月には様々な陰謀論が飛び交いました。開発者たちは、連邦政府の不正行為を世界に知らせるために、何らかの毒薬を飲んだのでしょうか？ハッカーによるでっち上げだったのでしょうか？クラウドソーシングによるセキュリティ監査と関係があったのでしょうか？確かなことは誰にも分かりませんでした。

7ヶ月が経った今も、TrueCryptは姿を消したままです。元のURLにアクセスすると、依然としてSourceForgeのセキュリティ脆弱性に関する警告ページにリダイレクトされます。このページでは、Windowsユーザーに対し、Microsoft製のBitLockerへの切り替えを推奨していますが、他にも暗号化オプションは存在します。

PGP/GPGはメール暗号化において実績のある安全なソリューションですが、使い勝手が非常に悪いという問題があります。Googleは6月にこの問題を解決するためのプロジェクト「End-to-End」を開始しました。これは、Chromeブラウザ拡張機能を介してGmailにPGPを実装するものです。Yahoo!は8月にこれに続き、GoogleのプラグインをYahoo!メールに採用し、2015年にYahoo!メールの暗号化を導入すると発表しました。

メール暗号化が主流に導入されたのは、スノーデン氏によるNSAの盗聴に関するリークの影響が大きなきっかけでした。しかし、PGPが主流のサービスにとって最適なソリューションだと誰もが考えているわけではありません。ヤフーの発表直後、ジョンズ・ホプキンス大学の暗号学者で研究教授のマシュー・グリーン氏は、PGPはより現代的でユーザーフレンドリーなシステムに置き換えられるべきだと主張しました。

AppleとGoogleも暗号化に真剣に取り組み、それぞれiOSとAndroidを強化しました。Appleは、法的な令状に基づき、iOSデバイスからデータを取得するためのバックドアを閉鎖したことで大きな話題を呼びました。この変更により、iPhoneまたはiPadの所有者以外がデバイスの暗号化を解除することは不可能になりました。

Googleは、Android 5.0 Lollipopを搭載したデバイスで暗号化をデフォルトで有効にすることを決定しました。Androidでは、Android 3.0以降、デバイス暗号化はオプションとして提供されていました。

ユーザーが管理するモバイルデバイスの暗号化の将来について、FBI長官ジェームズ・コミー氏は、AppleとGoogleが誘拐犯やテロリストを助長していると何度も公に主張した。

匿名化Torネットワーク内に隠された、いわゆるダークネットは、2014年に数々のニュースを賑わせました。このダークネットへの関心が本格的に高まったのは、2013年にThe Silk Roadが閉鎖され、運営者のDread Pirate Robertsが逮捕された時でした。しかし、2014年には、法執行機関がネットワークの脆弱性を積極的に悪用していた疑いがかけられ、11月に複数の犯罪サイトが閉鎖されました。

一方、FacebookはTor版ソーシャルネットワークを展開することで、Torの正当性を高め、この匿名ネットワークが単なる犯罪行為の温床ではないことを世界に改めて認識させました。Facebookは、Torサイトとして初めて独自のSSL証明書を取得しました。

ベルリンに拠点を置くSecurity Research Labsは7月、USBメモリなどのUSBデバイスに根本的な脆弱性があり、これを悪用することで、USBメモリをマルウェア感染システムとして利用できるようになることを明らかにしました。原因はこれらのデバイスのファームウェアにあり、このファームウェアは保護されておらず、攻撃者によって再プログラム可能でした。この脆弱性を悪用することで、マルウェアを実行したり、USBメモリをキーボードのように操作してEnterキーの押下を操作したりすることが可能でした。

USBデバイスメーカーに対策を迫ろうと、2人の研究者が、ハッカーが悪質なUSBエクスプロイトを作成できるようにするツールセットを10月に公開した。

11月、パロアルトネットワークスの研究者は、「Wirelurker」と呼ばれるマルウェアを発見しました。このマルウェアは、iOSデバイスから通話履歴、連絡先、その他の機密データを収集するように設計されています。このマルウェアは、iOSデバイスが感染したPCに接続した際に侵入し、標的デバイス上のアプリに感染しようとします。多くのiOSマルウェアとは異なり、Wirelurkerはジェイルブレイクされていないデバイスにも感染する可能性があります。

AppleはWirelurkerに迅速に対応し、Wirelurkerに感染したアプリの実行をブロックしました。11月中旬には、中国当局がWirelurkerの配布に関連するサイトを閉鎖し、マルウェア開発者の容疑者3人を逮捕しました。

ベライゾンは10月、同社のモバイルネットワークを経由する加入者のウェブトラフィックを改ざんしていたことが発覚しました。モバイル広告事業の強化を目指し、ベライゾンはユーザーのHTTPリクエストに「固有識別子ヘッダー（UIDH）」と呼ばれる固有の識別子を挿入していました。UIDHは特定のデバイスを識別するために使用でき、第三者によってベライゾン加入者のユーザープロファイルを構築する目的で利用されていました。

Verizon の UIDH スキームはサーバー側で挿入されたため、ユーザーは Wi-Fi ネットワークを使用するか、Verizon のモバイル ネットワーク経由で Web トラフィックを送信するときは必ず HTTPS または VPN を使用する以外に、これをブロックする方法はほとんどありませんでした。

8月には、ロシアのハッカーが12億件を超えるユーザー名とパスワードの膨大なデータベースを掌握したとの報道がありました。この侵害を発見したホールド・セキュリティ社は、どのサイトが影響を受けたのかを公表しませんでした。

しかし、セキュリティアナリストが質問を始めると、データベースが盗まれたという話は少々嘘くさいと感じられるようになった。特に、Hold Security 社が侵害に関するデータを隠し、その後のパニックを利用して利益を上げていたと非難されたときにはそう感じられた。

最終的に、データベースはおそらく長期間にわたる複数の侵入から集められたものであり、ログインの多くはもはや有効ではないという結論に達しました。