脅威はどこにでもあった
2015年はセキュリティにとってまさに激動の年でした。大規模なサイバースパイ集団の摘発、史上最悪のデータ漏洩、Androidの信じられないような欠陥、そして大手PCメーカー2社の信じられないほど愚かな決断など、様々な出来事がありました。
2014 年は Heartbleed や Sony のハッキングでひどい年だったと思うなら、2015 年の大きなニュースを見てください。2015 年は、これまで以上に大規模なデータ侵害やセキュリティ上の欠陥が現実世界に非常に大きな影響を及ぼした年でした。
アシュリー・マディソン
データ侵害は昨今、日常茶飯事ですが、時折、衝撃的なレベルの侵害が発生することがあります。2015年で言えば、間違いなく8月に起きたAshley Madisonのハッキング事件でしょう。ハッカーたちはサイトに侵入し、不倫仲介サービスの多くのユーザー(著名人、著名人、政治家を含む)の実名、クレジットカード番号の一部、自宅住所、電話番号、さらには性的嗜好まで入手しました。
今年、個人情報が盗まれたのは、不貞を働いた大人だけではありません。子供用電子機器メーカーのVTechも、480万人の親と最大20万人の子供たちの情報漏洩被害に遭いました。
ハッキングチーム
アシュリー・マディソン事件の次点となったイタリアの監視ソフトウェアメーカー、ハッキング・チームは、狡猾なハッカーたちのデジタル攻撃に遭い、同社のサーバーから400GBものデータが盗み出されました。今回、オンラインに流出したのは、会社の恥ずかしいメールアドレスや自宅住所だけではありません。ハッキング・チームは、特にFlashとWindowsに関する、これまで知られていなかった脆弱性をいくつも抱えており、それらがオンラインに流出しました。これらの脆弱性を受け、AdobeとMicrosoftは迅速にセキュリティホールの修正プログラムを公開しました。
非常に怪しいセキュリティ
2015年、DellとLenovoはどちらも、自己署名ルート証明書を搭載したPCを出荷することで、Webセキュリティに手抜きをしました。2月、Lenovoの一部のPCにSuperfishと呼ばれるソフトウェアが見つかり、Lenovoは問題に巻き込まれました。Superfishは広告を配信するために設計されていましたが、公衆Wi-Fiホットスポットで暗号化された通信を傍受しようとするハッカーに対して、ユーザーが潜在的に脆弱になる可能性がありました。その後、11月にDellは、顧客サポートを向上させるために、顧客のPCにルート証明書を追加するという同様のことを行いました。しかし、その証明書と、PCにインストールされた対応する秘密鍵により、ハッカーはほぼすべてのサイトに対して信頼できるセキュリティ証明書を生成することができました。これは、Googleや銀行などの重要なサイトになりすましてログイン認証情報を盗むための優れたツールです。
すべてを暗号化するが、バックドアは開けたままにする
一般人が個人的な通信を暗号化できれば、テロリストの勝利となる。これは、11月のパリ同時多発テロ事件を受けて、世界中の多くの政治家や公務員が主張した見解だ。特に米国では、CIA長官ジョン・ブレナンが、暗号化通信サービスにバックドアがないために、政府が関心のあるメッセージを解読できないと不満を述べた。もちろん、現実には、バックドアで暗号化を弱めれば、有能なハッカーや外国政府が同じ脆弱性を悪用できるようになる。
アンドロイドが舞台恐怖症になる
驚くべきセキュリティホールについてお話しましょう。7月、セキュリティ研究者が「Stagefright」と呼ばれる驚くべき脆弱性を発見しました。この脆弱性により、ハッカーは細工したMMSを被害者に送信するだけでAndroidデバイス上で悪意のあるコードを実行できるようになります。被害者はメッセージを開くことさえなく、デバイスを乗っ取られてしまうのです。Googleはこのバグに対するパッチを迅速にリリースしましたが、それだけでは終わりませんでした。8月にはさらに強力なパッチをリリースする必要があり、10月にはStagefright関連の新たな脆弱性が出現しました。
.Onionが合法化
Torプロジェクトの隠しサイトへの取り組みは、2014年にFacebookが独自の.onionサイトを開設したことで、待望の主流の支持を得ることができました。Facebookはまた、.onionアドレス専用のSSL証明書を取得した最初の企業でもあります。これは大きな出来事となり、2015年に実を結びました。FacebookはTorプロジェクトを支援し、.onion隠しサイトの公式認定を獲得し、将来的にさらに多くの.onion SSL証明書への道を開きました。
フラッシュクラッシュ
Adobe Flashをめぐる大きなニュースがなければ、セキュリティニュースの年はどうなるでしょうか?かつてウェブ動画のデファクトスタンダードだったFlashは、7月にHacking Teamによるハッキング事件で、これまで発見されていなかった3つのFlashの脆弱性が公表されたことで、世間を騒がせました。これらの脆弱性を受け、MozillaはFirefox上のFlash Playerプラグインの全バージョンを一時的にブロックしました。Facebookの最高セキュリティ責任者であるアレックス・スタモス氏も、Adobeに対しFlash Playerのサポート終了日を発表するよう求めました。
AdobeがFlashを廃止しなくても、ウェブは廃止するでしょう。今年は多くのサイトがFlashから撤退しました。Amazonは広告でFlashを廃止し、TwitchはFlashを捨ててHTML 5に移行しました。そして今年初めには、YouTubeも動画のデフォルトをFlashからHTML 5に切り替えました。
方程式グループ
2月、カスペルスキー研究所のセキュリティ研究者は、イランやロシアなどの国のコンピュータに侵入した「Equation Group」と呼ばれる高度なサイバースパイ集団を発見しました。カスペルスキーはEquation Groupと米国を結びつけることはしませんでしたが、その関連性を示唆しました。Equation Groupは、PCのハードドライブを物理的に破壊することによってのみ削除できる永続型のマルウェアなど、驚異的な能力を有していました。Equation Groupは最も洗練されたサイバースパイ集団と呼ばれていましたが、7月にカスペルスキーによってさらに高度な「Duqu」と呼ばれる集団が発見されるまではそうでした。
LastPassの侵害
ブラウザベースのパスワード管理ツール「LastPass」は6月、ハッカーが同社のネットワークに侵入し、アカウントのメールアドレス、パスワードリマインダー、ユーザーごとのサーバーソルト、認証ハッシュを盗み出したという大規模な情報漏洩に見舞われました。LastPassのセキュリティ設計により、強力なマスターパスワードを使用しているユーザーはハッカーによるデータの解読から保護されていると同社は述べています。しかし、弱いパスワードを使用しているユーザーは依然として脆弱です。安全対策として、LastPassは全ユーザーに対し、マスターパスワードのリセットを要請しました。さらに、未認証のIPアドレスからログインするユーザーは、ハッキング後の最初のログイン時に、メールまたは2要素認証コードによる認証を行う必要がありました。
Torハッキング
11月、Torプロジェクトは驚くべき告発を行った。同プロジェクトによると、連邦捜査局(FBI)はカーネギーメロン大学の研究者に対し、Torネットワーク上のユーザーの正体を暴くためにハッキングを行い、少なくとも100万ドルを支払ったという。Tor側は、ユーザーの身元を暴く行為の目的は犯罪者を見つけることだったが、一般ユーザーも捜査網に巻き込まれたと主張している。FBIとカーネギーメロン大学の両大学はこれらの疑惑を否定したが、その言い方は、Tor側の疑惑の少なくとも一部は的を射ていたことを示唆していた。興味深いことに、カーネギーメロン大学の研究者は2014年のBlack Hatセキュリティカンファレンスで、Torユーザーの身元を暴く方法について講演する予定だった。講演は、理由は明らかにされなかったものの、カンファレンスから突然中止された。
