セキュリティ ニュース

情報漏えい、出入国管理、バルセロナ – 3月のセキュリティ ニュース

Avast Security News Team, 2018年3月25日

From new revelations about one of the worst security breaches of all time to discovering that a key means of securing passports is not implemented by US officials. Barcelona hosted one of the technology industry’s biggest events.

Equifax、2017 年の被害者数を上方修正

信用情報会社である Equifax のセキュリティ侵害は、2017 年というよりも、史上最悪のものでした。

それは、米国民のほぼ半数にあたる 1 億 4,500 万人以上の記録が攻撃にさらされるという被害規模の大きさのみならず、世界中の同社の顧客に甚大な衝撃を与えたことによります。

社会保障番号(SSN)、運転免許番号、クレジット カードの詳細情報が漏えいしたのです。この攻撃について調査したエリザベス・ウォーレン上院議員によると、盗まれた詳細情報にはパスポート番号も含まれていました(ただし Equifax はパスポート番号への被害を否認)。

これだけでも最悪な事態と思われますが、その後、Equifax が発表したところによると、さらに米国民 240 万人のデータがセキュリティ侵害の危機にさらされており、合計で米国の 1 億 4,700 万人の記録および英国の約 1,500 万件の記録、カナダ国民 19,000 人のデータが漏えいしていたことが判明しました。

当時、Equifax はセキュリティ侵害対策の粗末さを痛烈に批判されました。その理由は、盗まれたデータを犯罪者が利用すれば、成りすまし詐欺フィッシング詐欺の標的がより周到に絞り込まれる可能性があるためです(英国の国家サイバーセキュリティ センターが昨年 10 月に警告)。

自分のデータが漏えいしたかどうかを確認できるよう顧客向けに用意した Equifax のウェブサイトは、同社のプライマリ ドメイン外に設置されていました。これでは確認結果の真偽に問題があるため、Equifax はさらに厳しく非難されました。研究者のトロイ・ハント氏は、当時このサイトを「ほぼ役立たず」と評しました

昨秋より続く Equifax に対する怒りは、現在もおさまりを見せません。ウォーレン上院議員が今週前半、Marketplace に語った内容によると、Equifax の「サイバーセキュリティ設備は米国の消費者を保護するには不適切なものだった」うえ、「Equifax はこの情報漏えいによって利益を得ている可能性すらある」としています。

Equifax を利用していて、昨年データが漏えいしたという通知を受けていない方は、同社からの連絡にご注意ください。再評価で見つかった情報漏えいの対象に含まれている可能性があります。

米国出入国管理局、10 年以上も e-パスポートの認証を実施せず

お使いのパスポートは生体データの入ったチップ式ですか?米国民を守ることを理由に米国への入国者を制限するトランプ大統領の動向に関心を持っていましたか?

入国者を制限する方法として、国境警備局の職員が e-パスポートのチップに保存される情報を入国のたびに認証し、入国者の身元とパスポートの情報に相違ないことを確認しているとお考えかもしれません。ところが、この処理に必要なソフトウェアが国境警備局の職員に提供されておらず、これまでこの措置が実施されずにいたことが判明しました。

e-パスポートにはデータ検証に使う暗号化署名がチップに格納されているため、チップのないパスポートよりも安全と見なされています。デジタル チップを組み込んだパスポートの発行国は、現在 100 か国を超えており、米国のビザ免除プログラムを利用して入国しようとする人全員に、e-パスポートの所持が義務づけられています。

出入国管理の担当者がチップに保存された身元確認データを検証していないというニュースは、ロン・ウィデン、クレア・マッカスキル両上院議員が、米国の税関・国境取締局(CBP)長官代行を務めるケヴィン・マカリーナン氏に先週送った書簡から判明しました。この書簡では「2007 年の導入以来、CBP で活用されていない e-パスポートの偽造防止機能と改ざん防止機能を生かすために即刻対処する」ことが求められています。

出入国管理職員が e-パスポートの暗号化署名を認証できていないことは、2010 年から明らかにされていました。

当時、米国の会計監査院(GAO)が発行した報告書では、国土安全保障省に対し「米国の入国管理施設で電子パスポートのデジタル署名の確認を徹底するために必要なシステム機能とデータベースを設計、導入(原文ママ)」し、「米国と諸外国の電子パスポートの電子署名を検証するために必要な電子署名を取得する方法を開発、導入」するよう訴えられていました。

あらゆるセキュリティ手段に共通することですが、使用するテクノロジーを選ぶだけでなく、テクノロジーの実施方法を取捨選択することが、安全性を非常に大きく左右します。

理想のドロイドとなるか

携帯電話業界の関係者はスペインのバルセロナに集まり、Mobile World Congress の年次大会に参加しました。この大会では、Samsung の最新スマートフォンや Nokia の従来型デバイスの復刻版から、さらに発展した各種スマート ホーム デバイスまで、多数の新機種が大勢のアナリスト、報道関係者、ファンに向けて発表されました。

展示された多くのデバイスの中には、明らかに諜報機関や悪意あるハッカーによる盗聴を阻止する目的で設計された携帯電話がありました。

この Katim 機の製造元は、中東を拠点とする DarkMatter 社です。この製品は、一部とはいえサイバーセキュリティ関係者に驚きを与えたかもしれません。なぜなら同機のオペレーティング システムが、スパイウェアマルウェアの攻撃に悩まされている Android を基盤としているからです。

DarkMatter 社の CEO、Faisal Al Bannai 氏CNBC に伝えた話によると、同デバイスの「遮蔽モード」には、電話機のマイクとカメラの電源を切るボタンが組み込まれています。「つまり、諜報能力にたけた特殊機関であっても、ボタンを物理的にオン位置に戻す手だてがない限り、デバイス マイクをオンにして会話の内容を傍受することはできません」

Al Bannai 氏はさらにBloomberg 誌に対し、同社の従業員には米国の NSA や CIA でアナリストを務めた経歴の持ち主もいると明かしています。

高度なセキュリティ システムが主張する絶対的な安全性は、往々にしてハッカー コミュニティを挑発します。そのため、Katim 電話機のセキュリティに関する同社の主張をセキュリティ研究者が裏付けるまで、その動向を見守る必要があるでしょう。諜報行為の対象となったり、スマートフォンがマルウェアに操られたりすることへの不安は高まっています。本当の意味でサイバー攻撃への防御力が強化されたデバイスは、今後の関心の的となるでしょう。