【情報戦争の裏側】企業を狙った最大規模のサイバー攻撃 ～企業は国家に頼まれてユーザー情報を監視～何という時代なのでしょう！？

米ヤフーから5億件のユーザー情報流出

国家主導の攻撃か

BBC News 2016年9月23日http://wedge.ismedia.jp/articles/-/7829

　米ヤフーは2016年9月22日、ハッキングによって2014年に約5億件のユーザー情報が流出したと発表した。公表されたサイバー侵入の中では、史上最大規模とみられる。

ネットワーク侵入により、氏名やメールアドレス、誕生日、暗号化されたパスワードのほか、「暗号化されていないセキュリティー用の質問と答え」が盗まれたという。クレジットカード情報は含まれていないという。ヤフーは全ユーザーに、2014年以降パスワードを変更していない場合は、変更するよう呼びかけている。

ヤフーは文書で、「国家の後ろ盾を得た当事者によるオンライン侵入や窃盗は、テクノロジー業界全体にわたって頻度が増している」とコメントした。

米連邦捜査局（FBI）は、捜査に着手していると明らかにした。

テクノロジー企業に対する大規模攻撃の可能性は8月に指摘されていた。当時、「ピース」と呼ばれるハッカーが、ヤフー・アカウント2億件について情報を売却しようとしていたことから、明るみに出た。

ヤフーは22日、流出の規模が想定より大きかったと認めた。

ヤフーのインターネット資産は今年7月、米情報通信大手ベライゾンが48億ドルで買収すると合意。ベライゾンはBBCに対して、「ここ2日の間に」攻撃について知ったばかりで、「限られた情報しか得ていない」と説明した。

ベライゾンはさらに、「消費者や顧客、株主や関連コミュニティーを含むベライゾン全体の利害という観点から、捜査の進捗を受けて、事態を評価していく。それまではこれ以上コメントする立場にない」と答えた。

ロイター通信は匿名の米情報機関筋3人の話として、過去にロシア情報機関と関連づけられたほかのハッキング事案に類似しているため、これも国家の支援を受けたものと考えられると伝えた。

情報流出の規模は、最近の大規模なハッキング事案よりもはるかに大きい。最近ではたとえば、マイスペースが3億5900万件、リンクトインが1億6400万件、アドビが1億5200万件、アカウント情報を盗まれている。

セキュリティー企業コバタのニッキ・パーカー副社長は、「ヤフーは規制当局やマスコミや世間の、厳しい監視にさらされるだろう。当然のことだ。企業はセキュリティー侵犯をなかったことにはできないし、問題解決に全力で尽くすつもりだともろ手を挙げて示さなくてはならない」と話す。「ベライゾンとの契約がもう揺るぎないものだといいのだが」とパーカー氏は付け足した。

ヤフーが情報流出を完全に認めるまでに時間がかかったことにも、疑問の声が上がっている。

英サリー大学のアラン・ウッドワード教授は「2014年の侵入がこれほど長いこと気づかれなかったというのは、とても心配だ。公式発表がこれほど遅れたというのも意外だ」と話す。

「ほとんどの企業はすでに、情報公開は早い方がいいと学んでいるはずだと思っていた。後から情報を訂正し更新しなくてはならないとしても」

ヤフーは1994年に、ジェリー・ヤン氏とデイビッド・ファイロ氏が共同で立ち上げた。最初の10年間はインターネット・サービスの草分け的存在だった。

一時は米国で最も人気の高いウエブサイトで、時価評価額1250億ドルに達したが、2000年代に入り失速し、ベライゾンに買収された。

ヤフーへのアクセスは毎月10億人に上る。この巨大な顧客層へのターゲティング広告セールスがベライゾンの買収動機だったとされる。

---

＜分析＞「ヤフーへの質問」

デイビッド・リーBBC北米テクノロジー担当記者（サンフランシスコ）

盗まれた情報の内容はいささか、ありきたりな感じがする。決済情報は含まれず、パスワードは暗号化されていた。良かった。

けれども今回の異例の発表に至るまでの経緯からは、かなり切迫した疑問がヤフーに対していくつも浮上した。

ハッキングの事実と規模を確認するまでに、なぜこれほど長くかかったのか？　なぜユーザーに伝え、安全対策をとるよう促すまでに、これほど時間がかかったのか？

国家が後ろ盾の攻撃は通常、金銭目的ではなく政治的狙いによるものだ。ならばなぜ、盗まれた情報がオンラインで売買されていたというのだろう？　国家が支援する攻撃だという見解には、どういう証拠があるのか？

ヤフーを買収すると合意したベライゾンは、数日前まで知らされていなかったと話す。なぜだ？

そして、様々な取り引きで失敗し、今や史上最大規模のセキュリティー侵犯の渦中でトップの座にいたマリッサ・メイヤーCEOは、どうしてまだトップを続けているのか。

（英語記事　Attack on Yahoo hit 500 million users）

提供元：http://www.bbc.com/japanese/37448066

《維新嵐》　個人情報の単価はさほど高額ではないとはいえ、経済的に裕福な方の情報は高値がつくといいます。サイバー犯罪者にとっては、数ある個人情報の中にどれだけの「ダイヤ」があるのか、想定しての攻撃なのでしょうか？しかしこんな状況で末端ユーザーは何を信じればいいのでしょうね？何も信じられないでしょう。このどうしようもないサイバー戦争の時代にどう国家機関が抑止を謀るのか、根本的な手をうってほしいものです。

関連動画

【アメリカYahoo!は、完全にNSA＆FBIの監視下におかれていることが判明】

米ヤフー、メール・アカウント監視　米政府要請＝報道

BBC News 2016年10月5日http://wedge.ismedia.jp/articles/-/7900

ロイター通信は2016年10月4日、米ヤフーが米政府からの要請を受けてユーザーのメール・アカウントをひそかに監視していたと報道した。政府の内密の要請を受けて、特殊なソフトウェアを昨年開発したという。

ヤフーはBBCの取材に対して「ヤフーは順法企業であり、米国法を順守する」と文書で回答した。

ロイターは3人の消息筋情報として、メール・スキャンを要請したのは米国家安全保障局（NSA）もしくは連邦捜査局（FBI）だと報道。消息筋3人のうち2人は、元ヤフー従業員だという。

報道によると、開発したソフトは、すべての受信メールを対象に特定の文字列をスキャンするもの。しかし、ヤフーが政府機関にどのような情報を提供したのかは明らかでないと伝えている。また米政府が他のインターネット企業にも同様の要請をしたかどうかも不明という。

米国では政府情報機関がテロ攻撃防止などを理由に、企業に顧客情報の開示を求めることが法律で認められている。企業はこの命令について、外国情報監視裁判所（FISA）の非公開審理の場で争うことができる。

しかしロイターによると、ヤフーは敗訴を予測し係争しないと判断した。この判断に反発するヤフー社員もいたと伝えている。

NSAやFBIなどの情報監視活動について暴露し、ロシアに亡命したエドワード・スノーデン氏は、ロイター報道についてツイッターで、「ヤフーを使ってる？　あなたが書いたことすべてをひそかにスキャンしていたんだ。法律の要請をはるかに超えて。今日中にアカウントを閉じた方がいい」と書いた。

米ヤフーは9月22日、ハッキングで2014年に約5億件のユーザー情報が流出したと発表したばかり。ヤフーのインターネット資産については、米情報通信大手ベライゾンが今年7月に48億ドルで買収すると合意している。ベライゾンは今回の報道についてコメントしていない。

（英語記事　Yahoo 'secretly scanned emails for US authorities'）

提供元：http://www.bbc.com/japanese/37559438

《維新嵐》　アメリカ政府にユーザー情報を監視するよう要請されていたのは、GoogleやマイクロソフトやAOLだけではなかったということですね。国家的な安全保障、つまりテロ情報などを未然に把握するためには、個人のネット上でのやりとりは、国家機関が自由にみることができるんでしょうか？

　有事対応でもこんなことが許されてもいいのでしょうか？

実際に国家機関が使う個人情報の範囲はどうなのか、アメリカ国民に関わる話ですが、ぜひとも説明責任があるように感じます。

個人情報収集手法明らかに

米国家安全保障局の契約職員、機密ファイル盗んだ疑い

BBC News 2016年10月6日http://wedge.ismedia.jp/articles/-/7909

米司法省は2016年10月5日、国家安全保障局（NSA）の契約職員ハロルド・マーティン容疑者（51）を国家機密情報を盗んだ疑いで逮捕、訴追したと発表した。容疑者は最高レベルの機密情報の取り扱いが許可されていた。有罪となれば10年間服役する可能性がある。

司法省によると、マーティン容疑者はITコンサルティング会社ブーズ・アレン・ハミルトンからNSAに派遣されていた。NSAやCIAの情報監視活動について暴露して亡命したエドワード・スノーデン氏も、同社に雇用されていた。

マーティン容疑者の担当弁護士は、容疑者が深く愛する国を裏切ったという証拠は何もないとコメントしている。

司法省によると、マーティン容疑者が保有していた書類のうち6点が、最高機密扱いだった。最高機密とは「許可なしに公表すれば、米国の国家安全保障にきわめて深刻な損害を与えるだろうと、合理的に予測される内容」のものを意味するという。

逮捕令状によると、米連邦捜査局（FBI）は今年8月27日にメリーランド州グレンバーニーの自宅と車庫と自動車を家宅捜索した2日後、容疑者を逮捕した。

FBIによると、容疑者は当初、書類の持ち出しを否認したが、後に書類やデジタル・ファイルを持ち出したと認めたという。

マーティン容疑者を担当するジェイムズ・ワイダ弁護士は地元紙ボルティモア・サンに対して、「ハル・マーティンが国を裏切ったと言う証拠はない」、「ハル・マーティンが家族と国を愛していることは分かっている。米海軍で名誉をもって国のために尽くし、生涯をかけてこの国を守ってきた」と話している。

政府資産の窃盗で有罪になれば最長で禁錮10年の刑になる。機密資料の持ち出しでは最長禁錮1年が言い渡される。

事件を最初に伝えた米紙ニューヨーク・タイムズによると、マーティン容疑者はNSAがロシアや中国、イラン、北朝鮮などのシステムをハッキングする際に使う「ソースコード」を持ち出した疑い。

FBIのジェレミー・ブカロ特別捜査員は、「マーティン容疑者宅や車両から押収した資料の大半は、米政府の所有物で、重要機密と指定されている米政府の情報を含んでいる様子だった。資料が公表されれば、極めて重要性の高いソースや手法や能力が明らかにされる」と書いている。

司法省のジョン・カーリン司法次官補（国家安全保障担当）は、内部関係者による脅威をあらためて強調する事件だとコメントしている。

（英語記事　NSA government contractor 'stole classified files'）

提供元：http://www.bbc.com/japanese/37571025

《維新嵐》　スノーデンに続いてまたまたNSA職員がやっちまいましたね。NSAはアメリカ国内の信号化ユーザー情報を集めるのも問題ですが、個人情報に関する感覚がマヒしてしまっているのではないでしょうか？

内部からの情報お持ち出しは、どうにか倫理面からなんとかならないものでしょうか？

日本人の個人情報も実はやばいよ！