フェイスブックでの有名人ページのハッキング事件について〜G Data
G Data Softwareは、サルコジ大統領など、Facebookでの有名人ページのハッキングについてのコメントを、ここに発表します。
G Data Software株式会社(本社:東京都千代田区、代表取締役社長:Jag 山本)は、今週立て続けに発生した、Facebookでの有名人アカウントのハッキングについて、弊社のセキュリティ・エヴァンジェリストであるエディ・ウィレムスからのコメントを日本語訳にて、ここに発表します。
+++++
「Facebookにおける有名人ページ(サルコジとマーク・ザッカーバーグ)のハッキングの背景にある、「実際」の問題とは何か?」
by エディ・ウィレムス(G Dataセキュリティ・エヴァンジェリスト)
2011年1月24日の早朝頃(日本時間)に、フランスのサルコジ大統領のFacebookのページ上に、2012年に再出馬する計画を捨てたかのような発言が現れました。
「親愛なる同胞諸氏。我が国が経験している特異な事情を考慮し、私は精神と良心に基づいて、2012年にやってくる任期の終わりには、再び公職を求めないと決めました。」
しかし、実のところこれは、サルコジ自身が書いたものではありませんでした。注意深く見てみると、フランス語で述べたメッセージの中には、つづりの誤りやアクセント記号の欠落がいくつか見られます。メッセージは、彼自身のものではなく、ハッカーが書いたものだったのです。
しかし、サルコジ大統領だけではありませんでした。1月26日夕方頃に、Facebookの最高経営責任者であるマーク・ザッカーバーグのファンが作ったページにも、別の奇妙なメッセージが現れました。
「ハッキング開始。Facebookにお金が必要なら、銀行に行く代わりに「ソーシャル・ビジネス」のように、ユーザーに投資させないのか。なぜ「ソーシャル・ビジネス」に変えていかないのか。ノーベル平和賞受賞者であるムハマド・ユヌスが述べているような、マイクロクレジットのような方法を選ばないのか。どうだろうか。#hackercup2011」
これは、マークが語ったことなのでしょうか(ノーベル賞の綴りを「Prize」ではなく「Price」と書くでしょうか)。この文面が掲載されてから間もなく、ポストが1,800以上になり、コメント数は400以上となりました。しかし、これもまた、マーク自身が語ったことではありませんでした。彼のファンサイトがハッキングされ、誰か別の人間が書き込んだのです。
今回、立て続けに起こったFacebookのハッキングは、著名人自身ではなく、代行してページを運営している人物によって使われていたアカウントへの攻撃だった、と言えます。
これらのFacebookのアカウントは、ログインするのに使用されるパスワードの管理や運営にあまり気を遣われていいなかった、と推測されます。もちろんパスワード自身も「甘い」ものであったでしょう。またWiFiも、パスワードのかかっていないオープンなものを手軽に使用してしまっていたかもしれません。これらについて注意を怠るならば、たやすくパスワードを窃取できるツールが、ネットには多数存在しています。
こういったアカウントを使用している本人を認証する際に、いつも同じ根本的な問題があります。一つは、書いた人間の「特定」です。もう一つは、「クラウド」です。
そもそもネットで書かれている内容は、本当は誰が書いたのか、分かりません。表面上は、サルコジの名前で書かれていたとしても、実際には本人が書いていない、という例は、ネットでは無数に起こっています。
また、クラウドは、物理的には「自分が誰であるか」を証明できません。本人なのか、ボットなのか、他人が装っているのか。攻撃者は、ある人物をたやすく装うことができます。その意味では「クラウド」とは、まさしく「お互いに相手が見えない雲がかった状態」なのです。
攻撃者は、最初は直接でなくとも、そっとそのネットワークの一部に入り込めれば、最終的にはクラウドでターゲットにつながることができてしまいます。一見するとSNSは、信頼できる人間同士がつながり、多くの有益な情報が得られるように見えますが、他方では、これらのケースのように、多くの誤ったデータさえ紛れ込む恐れがあります。
このようなリスクは、Facebookが他の認証を実装したなら、最小限に抑えることができるでしょう。実際に、Facebookはすでに、こういった認証問題について検討を行っています。
しかしながら、世界中でこれを実装するためには、また別な問題が生じます。法律問題など、国際的にこの実装が許容されうるかどうか、また、ユーザへのコスト負担を強いるものなので、それが受け入れられるかどうか、です。そう簡単ではありません。
しかしそうは言っても、私たちは、パソコンやインターネットの利用をやめたくありません。上記のような認証方法の改良を待たずして、もっと現実的な対応策を望むことでしょう。
そこで今、インターネットを安心して使用しようとするときに、重要となってくることを、まとめておきましょう。
1)推測されにくい「強力な」パスワードを使用すること
2)使用している通信回線が、世界に開かれているという事実を意識すること
3)性能の高いウイルス対策ソフト(セキュリティソフト)を使用すること
4)「良識」をもってインターネットを使用すること
そしてさらに、根本的に重要なのは、
5)注意を決して怠らない
ということです。単に「有名人のページ」がハッキングされた、と興味本位でこの事件をとらえず、わが身について、あらためて注意を向けることを、G Dataは推奨します。
****
エディ・ウィレムスについて
エディ・ウィレムス(Eddy Willems, 1962年-)は、ベルギーのコンピューターセキュリティのアナリスト・評論家。2010年より、ウイルス対策ソフトベンダーであるドイツのG Data Softwareのセキュリティ・エヴァンジェリスト。
ブリュッセル自由大学でコンピュータ・サイエンスを専攻。1984年以降、システム・アナリスト及びデータリカバリーの仕事を行う。1989 年に、AIDSフロッピー事件と遭遇したのをきっかけに、コンピュータウイルスの研究と情報収集を開始。1991年には、EICAR(欧州コンピュータ・ウイルス対策研究所)の主要メンバーの1人として、創設にかかわる。1995年以降は、ワイルドリストの選定メンバー(ベルギー/ルクセンブルクとEUの責任者)として、既知ウイルスのリサーチを続ける。また、個人サイトである「WAVCI」もマルウェア関連の情報を提供し続けている。同年、マイクロソフト社の「エンカルタ」大百科(国際版)での「ウイルス」の項目を執筆。1996年以降は、ITセキュリティ業界(NOXSやカスペルスキー)で活躍し、この分野に関する論文も多数著している。
2000年には、ベルギー政府の要請で、セキュリティ情報を市民に提供する組織において顧問を勤める。2001年3月には、EICARの広報責任者に就任。また、2009年には、ウイルス対策ソフトのテストを公平に提供することを目指したAMTSO(アンチマルウェア・テスト標準化機構)のメンバー。さらに、2010年には、オランダ国家犯罪対策局のハイテク犯罪チーム(THTC)の一人として、36億のスパムを配信していた凶悪ボットネットの解体に協力。
英語、フランス語、ドイツ語、オランダ語(フラマン語)を駆使して、EU、特に中欧地域において、分かりやすく的確にネット犯罪やマルウェアに関す る数多くのセミナー、プレゼンテーション、コンサルタント等を行う。各国のCERTやマスコミ等が彼のアドバイスを定期的に受け取っている。
2009年までは、カスペルスキーのセキュリティ・エヴァンジェリストだったが、2010年より、ドイツのセキュリティソフトウェアベンダーであるG Data Softwareに移籍した。2010年11月に初来日。
ジーデータソフトウェアについて
G Data Softwareは、1985年に創業したドイツのセキュリティソフト会社です。EUを中心に、個人向け・法人向け製品を展開しています。日本法人は 2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
*エディならびにFacebookの画像については、下記にあります。
http://www.gdata.co.jp/press/FacebookHacking201101.zip
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本 往人
E-mail: gdata_japan_info@gdatasoftware.com
URL: http://www.gdata.co.jp/
+++++
「Facebookにおける有名人ページ(サルコジとマーク・ザッカーバーグ)のハッキングの背景にある、「実際」の問題とは何か?」
by エディ・ウィレムス(G Dataセキュリティ・エヴァンジェリスト)
2011年1月24日の早朝頃(日本時間)に、フランスのサルコジ大統領のFacebookのページ上に、2012年に再出馬する計画を捨てたかのような発言が現れました。
「親愛なる同胞諸氏。我が国が経験している特異な事情を考慮し、私は精神と良心に基づいて、2012年にやってくる任期の終わりには、再び公職を求めないと決めました。」
しかし、実のところこれは、サルコジ自身が書いたものではありませんでした。注意深く見てみると、フランス語で述べたメッセージの中には、つづりの誤りやアクセント記号の欠落がいくつか見られます。メッセージは、彼自身のものではなく、ハッカーが書いたものだったのです。
しかし、サルコジ大統領だけではありませんでした。1月26日夕方頃に、Facebookの最高経営責任者であるマーク・ザッカーバーグのファンが作ったページにも、別の奇妙なメッセージが現れました。
「ハッキング開始。Facebookにお金が必要なら、銀行に行く代わりに「ソーシャル・ビジネス」のように、ユーザーに投資させないのか。なぜ「ソーシャル・ビジネス」に変えていかないのか。ノーベル平和賞受賞者であるムハマド・ユヌスが述べているような、マイクロクレジットのような方法を選ばないのか。どうだろうか。#hackercup2011」
これは、マークが語ったことなのでしょうか(ノーベル賞の綴りを「Prize」ではなく「Price」と書くでしょうか)。この文面が掲載されてから間もなく、ポストが1,800以上になり、コメント数は400以上となりました。しかし、これもまた、マーク自身が語ったことではありませんでした。彼のファンサイトがハッキングされ、誰か別の人間が書き込んだのです。
今回、立て続けに起こったFacebookのハッキングは、著名人自身ではなく、代行してページを運営している人物によって使われていたアカウントへの攻撃だった、と言えます。
これらのFacebookのアカウントは、ログインするのに使用されるパスワードの管理や運営にあまり気を遣われていいなかった、と推測されます。もちろんパスワード自身も「甘い」ものであったでしょう。またWiFiも、パスワードのかかっていないオープンなものを手軽に使用してしまっていたかもしれません。これらについて注意を怠るならば、たやすくパスワードを窃取できるツールが、ネットには多数存在しています。
こういったアカウントを使用している本人を認証する際に、いつも同じ根本的な問題があります。一つは、書いた人間の「特定」です。もう一つは、「クラウド」です。
そもそもネットで書かれている内容は、本当は誰が書いたのか、分かりません。表面上は、サルコジの名前で書かれていたとしても、実際には本人が書いていない、という例は、ネットでは無数に起こっています。
また、クラウドは、物理的には「自分が誰であるか」を証明できません。本人なのか、ボットなのか、他人が装っているのか。攻撃者は、ある人物をたやすく装うことができます。その意味では「クラウド」とは、まさしく「お互いに相手が見えない雲がかった状態」なのです。
攻撃者は、最初は直接でなくとも、そっとそのネットワークの一部に入り込めれば、最終的にはクラウドでターゲットにつながることができてしまいます。一見するとSNSは、信頼できる人間同士がつながり、多くの有益な情報が得られるように見えますが、他方では、これらのケースのように、多くの誤ったデータさえ紛れ込む恐れがあります。
このようなリスクは、Facebookが他の認証を実装したなら、最小限に抑えることができるでしょう。実際に、Facebookはすでに、こういった認証問題について検討を行っています。
しかしながら、世界中でこれを実装するためには、また別な問題が生じます。法律問題など、国際的にこの実装が許容されうるかどうか、また、ユーザへのコスト負担を強いるものなので、それが受け入れられるかどうか、です。そう簡単ではありません。
しかしそうは言っても、私たちは、パソコンやインターネットの利用をやめたくありません。上記のような認証方法の改良を待たずして、もっと現実的な対応策を望むことでしょう。
そこで今、インターネットを安心して使用しようとするときに、重要となってくることを、まとめておきましょう。
1)推測されにくい「強力な」パスワードを使用すること
2)使用している通信回線が、世界に開かれているという事実を意識すること
3)性能の高いウイルス対策ソフト(セキュリティソフト)を使用すること
4)「良識」をもってインターネットを使用すること
そしてさらに、根本的に重要なのは、
5)注意を決して怠らない
ということです。単に「有名人のページ」がハッキングされた、と興味本位でこの事件をとらえず、わが身について、あらためて注意を向けることを、G Dataは推奨します。
****
エディ・ウィレムスについて
エディ・ウィレムス(Eddy Willems, 1962年-)は、ベルギーのコンピューターセキュリティのアナリスト・評論家。2010年より、ウイルス対策ソフトベンダーであるドイツのG Data Softwareのセキュリティ・エヴァンジェリスト。
ブリュッセル自由大学でコンピュータ・サイエンスを専攻。1984年以降、システム・アナリスト及びデータリカバリーの仕事を行う。1989 年に、AIDSフロッピー事件と遭遇したのをきっかけに、コンピュータウイルスの研究と情報収集を開始。1991年には、EICAR(欧州コンピュータ・ウイルス対策研究所)の主要メンバーの1人として、創設にかかわる。1995年以降は、ワイルドリストの選定メンバー(ベルギー/ルクセンブルクとEUの責任者)として、既知ウイルスのリサーチを続ける。また、個人サイトである「WAVCI」もマルウェア関連の情報を提供し続けている。同年、マイクロソフト社の「エンカルタ」大百科(国際版)での「ウイルス」の項目を執筆。1996年以降は、ITセキュリティ業界(NOXSやカスペルスキー)で活躍し、この分野に関する論文も多数著している。
2000年には、ベルギー政府の要請で、セキュリティ情報を市民に提供する組織において顧問を勤める。2001年3月には、EICARの広報責任者に就任。また、2009年には、ウイルス対策ソフトのテストを公平に提供することを目指したAMTSO(アンチマルウェア・テスト標準化機構)のメンバー。さらに、2010年には、オランダ国家犯罪対策局のハイテク犯罪チーム(THTC)の一人として、36億のスパムを配信していた凶悪ボットネットの解体に協力。
英語、フランス語、ドイツ語、オランダ語(フラマン語)を駆使して、EU、特に中欧地域において、分かりやすく的確にネット犯罪やマルウェアに関す る数多くのセミナー、プレゼンテーション、コンサルタント等を行う。各国のCERTやマスコミ等が彼のアドバイスを定期的に受け取っている。
2009年までは、カスペルスキーのセキュリティ・エヴァンジェリストだったが、2010年より、ドイツのセキュリティソフトウェアベンダーであるG Data Softwareに移籍した。2010年11月に初来日。
ジーデータソフトウェアについて
G Data Softwareは、1985年に創業したドイツのセキュリティソフト会社です。EUを中心に、個人向け・法人向け製品を展開しています。日本法人は 2007年に設立しました。最大の特徴は、ダブルエンジンによる世界最高位のウイルス検出率です。また、新種や未知ウイルスへの防御、フィッシング対策、迷惑メールへの外国語フィルターなど、インターネットやメール環境を安全・快適にする機能を豊富に搭載しています。
*本リリースに記載されている各種名称、会社名、商品名などは各社の商標または登録商標です。
*エディならびにFacebookの画像については、下記にあります。
http://www.gdata.co.jp/press/FacebookHacking201101.zip
【本リリースに関する問合せ先】
G Data Software株式会社
101-0042 東京都千代田区神田東松下町48 ヤマダビル6F
窓口: 瀧本 往人
E-mail: gdata_japan_info@gdatasoftware.com
URL: http://www.gdata.co.jp/