5,000万のFacebookアカウントがハッキングされました：あなたは何をすべきですか？

サイバーセキュリティ、オンラインプライバシー、データ保護の世界では、毎月多くのことが起こっています。ついていくのは難しい！

毎月のセキュリティダイジェストは、毎月最も重要なセキュリティとプライバシーのニュースを把握するのに役立ちます。これが9月に起こったことです。

1.5千万のFacebookアカウントがハッキングされました

9月の最後の週は最大のニュースの1つを投げかけました：5000万の個々のFacebookユーザーアカウントがハッキングされました。 Facebookは、念のため、9千万のアカウントのパスワードをリセットしました。これは、侵害されたアカウントの最終的な数が増える可能性があることを示しています。

攻撃者は、Facebookの「表示」機能の脆弱性を悪用しました。これにより、ユーザーは自分のアカウントが他のユーザーにどのように見えるかを確認できます。 Facebookの脆弱性は、3つのバグに起因しています。 1つ目は、Facebookビデオアップロードツールを[表示]ページに表示できるようにします。 2つ目は、アップロードツールがアクセスコードを生成できるようにします。最後のバグにより、[表示]ページで、ハッカーが望むユーザーのアクセスコードを生成できます。

この問題はFacebookサイトにも限定されていません。 Instagramなどの他のFacebookサービスも、今やユビキタスなFacebookログインを使用するサイトやサービスとともに脆弱です。 （これは、ソーシャルログインを使用するときにアカウントを保護する方法です。）

最初は、あなたが被害者であるかどうかを判断する唯一の方法は、Facebookが警告なしにあなたをアカウントからサインアウトしたかどうかです。ただし、Facebookは、アカウントが関与している場合、ニュースフィードの上部にメッセージを投稿すると言っています。

Facebookのハックは、MakeUseOfのヨーロッパの読者にとって特別な意味を持っています。これは、EUが2018年5月に一般データ保護（GDPR）法を制定して以来、大手テクノロジー企業からの最初の重大なデータ侵害です

Facebookはアイルランドで登録されているため、アイルランドのデータ保護委員会はGDPRの条件に基づいてFacebookに多額の罰金を科す可能性がありますが、委員会はまだ「違反の性質とユーザーのリスク」を明らかにしていません。

Facebookのハッキングの被害者の場合、すぐに実行する必要がある4つのことを次に示します。

2.ファイブアイズ政府が暗号化を攻撃

「米国、英国、カナダ、オーストラリア、ニュージーランドの政府は、個人の権利とプライバシーに取り組んでおり、これらの権利を保護するための暗号化の役割をサポートしています。」

ファイブアイズ政府の大臣---米国、英国、カナダ、オーストラリア、ニュージーランド---は、毎年恒例のFCMのためにオーストラリアで会合しました。上記の声明が起草されたのは、この5カ国大臣でした。

しかし、共同声明をさらに検討すると、ファイブアイズの同盟国は、アップル、フェイスブック、グーグルなどのハイテク巨人に「合法的なアクセスソリューション」を提供するように強制する法律を導入すると脅迫していることが明らかになりました。言い換えれば、ファイブアイズ諸国の政府は暗号化バックドアを望んでおり、今それらを望んでいます。

残念ながら、それは不可能です。ある人のためにバックドアを作成しても、他の人のためにバックドアが存在するのを止めることはできません。暗号化バックドアが開かれると、他の何億人もの法を遵守するユーザーのセキュリティが蒸発します。

すぐになくなる問題ではありません。さらに、暗号化を破ることに反対する多くの議論がありますが、賛成することはほとんどありません。法執行機関に休憩を与えるためにGrayKeyポップアップなどの暗号化解読ツールがポップアップすることもありますが、それらはほとんどありません。他の国は別のアプローチを検討しています。たとえば、ドイツ内務省の文書では、Apple、Google、Facebookなどのサービスプロバイダーに依存することなく、iOS、Android、Blackberryデバイスをターゲットとするリモート通信傍受ソフトウェアの使用について言及しています。

警察は容疑者のデバイスにバックドアをインストールしていますか？それは別の話です。

3.ブリティッシュ・エアウェイズの違反：影響を受ける顧客は300,000人

英国のフラッグキャリアであるブリティッシュエアウェイズ（BA）は、21日22時58分からの期間中に 2018年8月から5日 の21:45まで 2018年9月、30万人の顧客の支払い詳細が侵害されました。 （はい、これらの奇妙な特定の時間はBAから来ています。）

盗まれた情報には、その期間中にBAで予約した顧客の個人情報と財務情報が含まれていました。ただし、これらの顧客のパスポートまたは身分証明書のデータは含まれていませんでした。 BBCRadio4のTodayonFridayプログラムで、BAの会長兼CEOのAlex Cruzは、ハッキングは「洗練された悪意のある犯罪攻撃」であり、BAは「起こったことを非常に残念に思っている」と述べました。 Cruzはまた、BAが影響を受ける顧客を補償することに「100％コミット」することを約束しました。

BAは、ハッキングがどのように行われたかを公式に開示していません。ただし、RiskIQのセキュリティ研究者は、ハッカーがModernizrJavaScriptライブラリの修正バージョンを介してBA支払いページに悪意のあるコードを仕掛けたと考えています。悪意のあるコードは、盗まれたデータをルーマニアでホストされているサーバーにアップロードしました。これは、リトアニアに拠点を置くTime4VPSという名前のVPSプロバイダーの一部です。

「この攻撃で使用されたインフラストラクチャは、ブリティッシュエアウェイズを念頭に置いて設定され、検出を回避するために通常の支払い処理と融合する意図的にターゲットを絞ったスクリプトです。」

研究者は、チケットマスターとNeweggへの最近の攻撃にも責任があるMagecartと呼ばれるグループにハッキングを追跡しました。

4.ESETDiscoverの最初のUEFIベースのルートキット

ESETのセキュリティ研究者は、UEFIベースのルートキットを初めて発見しました。ルートキットを使用すると、ハッカーは脆弱なシステムに永続的なマルウェアをインストールして、フルシステム形式で生き残る可能性があります。

UEFIシステムは従来、このような脅威に対して安全であり続けてきたため、UEFIルートキットの発見は特に魅力的です。ただし、ルートキットを削除するには完全なマザーボードファームウェアフラッシュが必要なため、ルートキットには重大な問題があります。通常のウイルス対策およびマルウェア対策プログラムはルートキットに近づきません。

「システムのUEFIイメージを変更することは困難ですが、システムのUEFIモジュールをスキャンして悪意のあるモジュールを検出するソリューションはほとんどありません」とESETブログは述べています。 「さらに、システムのUEFIファームウェアをクリーンアップするということは、それを再フラッシュすることを意味します。これは、一般的には行われず、確かに平均的なユーザーによる操作ではありません。これらの利点は、意欲的で機知に富んだ攻撃者がシステムのUEFIを標的にし続ける理由を説明しています。」

LoJackとして知られるルートキットは、悪名高いロシア政府にリンクされたハッキン​​ググループであるFancyBearの作品であると考えられています。ハッカーは、AbsoluteSoftwareの正規のLoJackラップトップ盗難防止ツールを変更しました。ツールはシステムBIOSにインストールされ、システムワイプ後も存続します。この変更により、元のLoJackコードの一部が置き換えられ、脆弱なUEFIチップが書き​​換えられます。

UEFIルートキットからどのように保護しますか？最も簡単な方法は、UEFIセキュアブートをオンにしておくことです。システムファームウェアは、適切な検証証明書がないとファイルを拒否し、システムを危険から保護します。

5.WannaCryとSonyHacksで起訴された北朝鮮のハッカー

米国政府は、2017年のWannaCryグローバルランサムワーム攻撃と2014年のソニーピクチャーズハックで北朝鮮のハッカーを起訴し、制裁を科しました。 （インタビューは北朝鮮の指導者、金正恩を暗殺する計画についてのコメディです。）

起訴状は、北朝鮮のプログラマー、パク・ジンヒョクが中国と北朝鮮に事務所を持つ政府のフロント企業で働いていたと主張している。パクと彼の同僚は、北朝鮮軍に代わって悪意のある活動に従事したと言われています。

「訴状によって申し立てられたサイバー犯罪の規模と範囲は、法の支配と責任ある国によって受け入れられているサイバー規範を尊重するすべての人にとって驚異的で不快なものです」と司法次官補のジョン・デマーズは述べています。 「北朝鮮政府は、国が後援するグループを通じて、中央銀行と他国の市民を奪い、世界の半分を冷やすために言論の自由に報復し、被害者に無差別に影響を与える破壊的なマルウェアを作成したと主張している。他の150か国以上で、数億ドルに相当する損害を引き起こしています。」

ハッキンググループは、ロッキードマーティンに対するハッキングの試みが失敗した原因でもあると考えられています。このグループは、バングラデシュ銀行、エクアドルのバンコデルオーストロ、ベトナムのティエンフォン銀行、および多数の暗号通貨取引所に対する攻撃にも責任を負っています。

北朝鮮政府は米国の起訴状に反撃し、「スミアキャンペーン」と名付けた。また、パークは「非実体」であると主張しています。状況を考えると理解できます。

セキュリティニュースのまとめ：2018年9月

これらは2018年9月のトップセキュリティストーリーの5つです。しかし、さらに多くのことが起こりました。すべてを詳細にリストするスペースがありません。先月登場したさらに5つの興味深いセキュリティストーリーは次のとおりです。

• 米国国務省は、セキュリティ違反が「従業員の受信トレイの1％未満」の電子メールに影響を与えたことを確認しました。
• データ管理会社のVeeamは、約10日間で4億4500万件のレコードを公開しました。
• 米国弁護士事務所は、Miraiボットネットの作成者がFBIが「複雑な」サイバー犯罪事件を調査するのをどのように支援しているかを明らかにしました。彼らの援助は彼らを刑務所から遠ざけます。
• Uberは、2017年のデータ侵害に対して1億4800万ドルの罰金を科しました。
• Nexusguardによると、平均DDoS攻撃サイズは5倍の26Gbpsになりました。

サイバーセキュリティ、プライバシー、データ保護、マルウェア、暗号化では、毎月膨大な量の問題が発生しています。 2018年10月のセキュリティのまとめについては、来月の初めにもう一度確認してください。それまでの間、データを危険にさらす可能性のあるこれら5つのセキュリティ違反を確認してください。