2011年6月19日日曜日

CIAなど攻撃のハッカー集団、ツイッターで悪ふざけを自認

_


● サイバー攻撃を受けた米上院のウェブサイト(13日)
ウオールストリートジャーナルより



CNNニュース 2011.06.19 Sun posted at: 13:25 JST
http://www.cnn.co.jp/tech/30003116.html

CIAなど攻撃のハッカー集団、ツイッターで悪ふざけを自認

(CNN) 米中央情報局(CIA)や公共放送PBS、連邦上院などにハッカー攻撃を仕掛けたと主張する集団「ラルズ・セキュリティー」は、簡易投稿サイト「ツイッター」上で悪ふざけを自認し、今後も攻撃を続けると予告している。

CIAのサイトは15日、大量のデータが送り付けられる「分散サービス妨害(DDos)攻撃」を受け、約2時間にわたりダウンした。
同集団はソニーの米映画子会社ソニー・ピクチャーズエンタテイメント(SPE)のサイトやポルノサイトなどへの侵入にも成功したと称し、パスワードなどの個人情報を公開している。

ラルズという名の由来は、英語で「大笑い」を意味するネット用語「LOL」。
ツイッター上で「すべての娯楽は皆さまの犠牲のうえに」「創業2011年以来、インフラ破壊をお届け」といった発言を繰り返してきた。
17日には1000件目のツイートを記念した声明で、自分たちがハッカー行為を隠さず公表していることはセキュリティー向上に役立っていると主張。
攻撃相手らも感謝すべきだなどと述べた。
一方で、
「ただ面白いと思うからやる、2011年はそういう時代だ」
とも書き込んでいる。

告発サイト「ウィキリークス」への支持などで知られる国際的ハッカー集団「アノニマス」とラルズとの関連を指摘する声もある。
だがアノニマスが独自の倫理規定を設け、政治的意図を持つとされるのに対し、ラルズの動きには一貫性がみられない。
次なる標的の提案を受け付けるとして、地域が特定できる電話番号を表示するなど、軽々しい態度も目立つ。

しかしユーザー側の受ける被害は、決して軽く済むわけではない。
ラルズは16日、ある情報源から入手したとして、6万2000件のメールアドレスとパスワードを公開した。
ツイッターのフォロワーからは、この情報を使って決済サービスや通信販売、ソーシャルネットワーキングサービス(SNS)の他人のアカウントにアクセスできたとの情報も寄せられた。

ネットセキュリティーの専門家らは、サイト運営者らに情報の暗号化やセキュリティー対策の更新を呼び掛けている。




YOMIURI ONLINE 2011年6月16日19時57分  読売新聞
http://www.yomiuri.co.jp/world/news/20110616-OYT1T00913.htm

CIAサイトがハッカー攻撃受ける…一時開けず

【ワシントン=山口香子】米中央情報局(CIA)のホームページが15日夕、一時開けない状態となった。

米政府などのサイトを標的にサイバー攻撃を繰り返しているハッカー集団が、攻撃したと表明した。

米紙ニューヨーク・タイムズ(電子版)によると、CIAのサイトの不調は、大量の情報を送りつけてサーバーをマヒさせる攻撃を受けたためとみられるが、情報流出の恐れはないという。

攻撃を認めたのは、「LulzSecurity(ラルズセキュリティー)」と名乗るハッカー集団で、これまで米連邦議会上院のホームページやソニーの映画子会社「ソニー・ピクチャーズエンタテインメント(SPE)」へのハッカー攻撃で犯行声明を出している。
ソニーのゲーム配信サービス「プレイステーションネットワーク(PSN)」が攻撃されて個人情報が漏えいした事件との関連は不明だ。




ウオールストリートジャーナル 2011年 6月 17日  19:18 JST
http://jp.wsj.com/IT/node_251211

ハッカー攻撃の公表に積極的になる企業

今年3月、アライアンス・データ・システムズ傘下の電子メールマーケティング企業、イプシロン・データ・マネジメントがハッカー攻撃を受け、同社が大手銀行や小売企業から預かっていた消費者の電子メールアドレスが流出した。
そのとき、ブライアン・ケネディ最高経営責任者(CEO)は選択を迫られた。
攻撃を受けたことを公表するか、それとも秘密にしておくか。

イプシロンは、顧客企業に代わり電子メールを使ったプロモーションやマーケティング・キャンペーンを展開する企業だ。
今回のハッカー攻撃で流出した情報は通知を義務づける法律(通知法)に定められた類いのものではないため、同社には攻撃を受けた事実を公表する法的義務はなかった。

州によっても異なるが、通知法は一般に、クレジットカード番号か社会保障番号、医療情報が流出した場合に限り適用される。

「こうしたことが起きると世間はすぐに気が付くものだ」
と語るケネディ氏にとって、事実を公表することは当然の選択だった。

イプシロンは、攻撃から48時間で危機対応チームを発足。
以前に策定していた攻撃対応計画に基づき、ターゲットやJPモルガン・チェースといった顧客企業にハッカー攻撃の事実を伝えるとともに、これら企業が被害を受けた個人客に通知する際にどのような言い回しをすればよいかを助言した。

それから「顧客を援護するために」イプシロンとしても報道発表を行った。
「前面に出るのが最も実際的な手段であることは明らかだった」
とケネディ氏は語る。

今回のイプシロンの行動に代表されるように、ハッカー攻撃に対する企業の対応はこのところ変わってきている。

以前であれば、攻撃を受けた企業は不意を突かれて慌てて対応し、心配する顧客に向けて情報更新を何度も行うというのが普通だった。

最近では、法律、広報、犯罪捜査などの専門家が公開するべき情報の決定や被害顧客への対応について企業に助言をすることが新たな産業となっている。
コンピューター・ルームの外にいる幹部社員らもハッカーの脅威により敏感になり、被害を受ける前に攻撃対応計画を策定する企業が増えた。

こうした変化が現れているのは、ハッカー攻撃がより日常化し、攻撃を受けた事実を公表しても必ずしもブランドが永久的に傷つくわけではないことがこれまでの経験から明らかになっているためだ。

むしろ、ハッカー攻撃にうまく対応すれば
「顧客忠誠心と企業ブランドが実際に向上する場合もある」。
ウィルソン・エルサー・モスコウィッツ・イーデルマン・アンド・ディッカーの弁護士でハッカー攻撃を専門とするロリ・ニュージェント氏はこう語る。

自社システムが不正侵入被害に遭った事実を公表した企業は複数ある。
グーグルは2010年初め、中国を起点とするハッカーに知的財産の一部を盗まれたと発表した。
またEMCのセキュリティー部門RSAは4月、ハッカーに不正侵入され、同社が販売するセキュリティ・ツールに関わる情報が盗まれたことを明らかにした。

今週にはシティグループが、ハッカー攻撃で流出したクレジットカード番号の件数が以前の見通しの2倍近くであることが分かったと発表。
さらに、給与計算サービスのオートマチック・データ・プロセッシング(ADP)が、システムの一つに不正侵入があったと公表している。

こうした大手企業へのハッカー攻撃が相次いでいるなか、不正侵入に対する世間の受け止め方が変わってきている。
コミュニケーション企業のICRでデータ不正侵入対応を専門とするマイケル・フォックス氏は、
「不正侵入を企業側の落ち度と見る人が減っている一方、ハッカー側の高度化、執拗さの表れだと考える人が増えている。
かつてほど不名誉なことではない」
と述べる。

不正侵入により罰金その他のコストがかかることはあるものの、顧客喪失につながる例は一般に少ない。
TJマックスなどの販売店の親会社であるTJX Cosは2007年1月、ハッカー攻撃により9400万人分ものクレジットカード番号とデビットカード番号が流出したと公表した。
しかし翌会計年度の同社の売上高は7%増加している。

もちろん、いまだにハッカー攻撃への対応を誤る企業もある。
ソニーが4月、不正侵入によりゲーム配信サービスのプレイステーション・ネットワークが中断されたと発表したのは、実際に同サービスが使えなくなってから数日後のことだった。
この攻撃では1億人分の個人情報が流出したが、同社はこの時点でもまだそれを確定的な事実として伝えることができなかった。

カリフォルニア州レッドウッドシティの起業家、デビッド・ウィークリー氏(32)は、この対応が気に入らなかったという。
同氏は最近、少なくとも2度、自分のアカウント情報が流出する被害に遭っている。
1度目は12月、ブログ出版社のゴーカーメディアが不正侵入を受けたとき、そして2度目がソニーだった。

ソニーがユーザーに不正侵入を公表するのに数日を要したのに対し、ゴーカーはサイトに保存されたパスワードが流出した可能性をすぐに顧客に伝えた。
ウィークリー氏はゴーカーの迅速な謝罪を評価する一方、ソニーは事実を伝えるまでに時間をかけすぎたと批判する。
しかも同氏はいまだに、自分のどの情報が流出した可能性があるか確実には分からないという。

「さらに不快なのは、わたしのどの情報が野ざらしになっているのかについて、ソニーが頑なに口を閉ざしていることだ」
とウィークリー氏は言う。

ソニーは、被害者らにクレジットカード使用状況のモニタリングや個人情報盗難保険、無料ゲームなどを提供するとし、顧客の90%がゲームネットワークの使用を再開したとしている。

ソニーの広報担当者は、
「当社は一人一人の顧客の懸念を真剣に受け止め、顧客の疑問にできる限り迅速に答えられるよう努力している」
と述べている。

不正侵入を受けた企業は顧客に不満を与えないよう、実際に何が起き、どのようなリスクが考えられるかを正確に伝えるようになりつつある。

オートマチック・データ・プロセッシングは15日、福利厚生管理サービス部門のシステムに不正侵入があったことを公表したが、影響を受けるのは数千社のクライアントのうちのわずか1社であるとみられる上、対象となったプラットフォームは同部門ですでに販売を終了したものであるとしている。
同社の広報担当者はコメントを避けた。

一方シティグループは、ハッカーが盗んだ情報の種類を公表した。
同社によると、盗まれたのはクレジットカード番号と氏名、電子メールアドレスで、社会保障番号や生年月日には不正アクセスはなく、盗まれた情報だけではクレジットカードを不正利用することはできないという。

同社は15日、影響を受けたアカウント数が36万69件だったと詳細に報告し、さらに州ごとの被害者数の内訳も公表した。

シティグループは、影響を受けた顧客への通知に3週間も要したとして批判を受けているが、不正侵入問題の専門家は時間をかけて被害範囲を確実に把握することは適切だとしている。
シティグループの広報担当者は、被害を受けたアカウントで不審な動きがないか監視するなど、不正行為を防止するための追加的措置をとっていると述べた。

イプシロンの3月のハッカー攻撃では数百万人に影響が及んだが、同社のケネディCEOはそのダメージが永久に続くとは考えていない。
同社は年間400億通以上の電子メールを送信しているが、今回の攻撃で影響を受けた顧客は全体の約2%だという。
同社はこの問題についてそれ以上の情報を提供することは避けた。

「顧客は当社の味方でいてくれた。その状況が大きく変わることはないと考える」
と、ケネディCEOは語った。

記者: BEN WORTHEN And ANTON TROIANOVKSI  




INTERNET Watch 2011/6/17 14:29
http://internet.watch.impress.co.jp/docs/news/20110617_453975.html

コンピュータウイルスの作成・提供行為を罪に問う、いわゆる「ウイルス作成罪」を盛り込んだ刑法改正案(情報処理の高度化等に対処するための刑法等の一部を改正する法律案)が17日、参議院本会議で賛成多数により可決・成立した。
衆議院では5月31日に可決されている。

改正案は、ウイルス(不正指令電磁的記録)を、
 「人が電子計算機を使用するに際してその意図に沿うべき動作をさせず、又はその意図に反する動作をさせるべき不正な指令を与える電磁的記録
と規定。
正当な理由なく、人の電子計算機における実行の用に供する目的でウイルスを作成または提供した場合は、3年以下の懲役または50万円以下の罰金となる。
同様に、正当な理由なくウイルスの取得・保管を行った場合は、2年以下の懲役または30万円以下の罰金となる。

ウイルスの作成・提供行為を罪に問う法律については、2005年に共謀罪の創設などとともに刑法改正案が国会に提出されたが、これまで成立には至らなかった。
今回、改めてウイルス作成罪に関連する部分などが刑法改正案として国会に提出された。

改正案ではこのほか、刑事訴訟法に、コンピュータ内のデータを差し押さえる場合には複写も可能とする規定や、捜査機関が電気通信事業者に対して通信記録を最大60日間保存するよう要請できる規定を追加。
また、わいせつ物頒布罪に、ネットワークを通じて頒布した者も同様のものとすることを追加している。

国会審議では、ウイルス作成罪に対する処罰対象の明確化や周知徹底の必要性、捜査機関による濫用に対して歯止めを置く必要性、保全要請に伴うプロバイダー事業者などの負担軽減の必要性などについての質疑が行われ、参院法務委員会では法律の適切な運用を求める付帯決議を採択した。

法務省では、法案に関するQ&Aをウェブで公開。
ウイルス罪は、
1).正当な理由がないのに
2).無断で他人のコンピューターにおいて実行させる目的
で――ウイルスを作成・提供した場合が成立要件にあたるとして、
▽.ウイルス対策ソフトの開発など正当な目的でウイルスを作成した場合や、
▽.ウイルスを発見した人がそれを研究機関に提供した場合などは、
いずれも要件を満たさないため罪は成立せず、
▽.プログラマーがバグを生じさせた場合なども、故意犯ではないため罪にはならない
としている。





 ◇ ヒマつぶし検索 


_