Agile Cat — in the cloud

Security の調査:CFO と CIO が協力しなければ、サイバー・アタックを迎撃できない!

Posted in On Monday, Security by agilecat.cloud on April 20, 2015
Security: CFOs Finally Begin to Team up with CIOs to Battle Cyber Security
Dick Weisinger – April 17th, 2015
http://formtek.com/blog/security-cfos-finally-begin-to-team-up-with-cios-to-battle-cyber-security/
_ formtek
A survey by Raytheon/Ponemon in late December 2014 found that there was a steep disconnect between CIOs and their non-CIO C-level executive counterparts.  Chief Information Security Officers portrayed their companies as ill-equipped to combat cyberattacks and lacking the resources to improve cyber defenses.  But two-thirds of the non-CIO C-level executives didn’t think that cybersecurity should be a high priority.
 
survey by Raytheon/Ponemon が 2014年の終わりに実施した調査によると、CEO および COO などの首脳陣と CIO の間に、大きな断絶があったことが分かる。Chief Information Security Officer と呼ばれる人々は、それぞれが所属する企業について、増大するサイバー・アタックに防ぐには脆弱であり、また、防御のためのリソースを欠いていると表現している。しかし、CEO や COO と呼ばれる人々の 2/3 は、サイバー・セキュリティの優先順位を引き上げるべきとは考えていない。
 
vangogh_6Larry Ponemon, chairman and founder of Ponemon Institute, explained that “high-profile cyber security breaches are closing the gap between CISOs and CEOs by forcing meaningful security discussions into corner offices and boardrooms.  In the meantime, … there is still a large delta between resources and needs, as security leaders lack both funding and manpower to adequately protect assets and infrastructure.”
 
Ponemon Institute の Chairman and Founder である Larry Ponemon は、「大騒ぎになったサイバー・セキュリティ侵害により、それに関する真摯な議論が、オフィスや会議室で否応なしに行われるようになった。そして、経営陣と CIO のギャップが狭まってきている。その一方で、リソースとニーズの間には、依然として大きな乖離が見られる。つまり、資産とインフラを適切に保護するための、予算と人材が不足していると、セキュリティのリーダーたちが、言っているとおりの状況だ」と説明している
 
But a newer study by BDO USA LLP found that many CFOs have been convinced that cybersecurity is something that they will need to get behind.  That study found that two-thirds of CFO’s are increasing budgets for security in 2015.  Money is going into creating response plans, buying new software security tools, and bringing in both new employees and consultants to help bolster security efforts.
 
しかし、BDO USA LLP による新しい調査では、サイバー・セキュリティの問題に対して、なんらかの対策を講じるべきと、数多くの CFO が認識していることが明らかになった。この調査は、CFO たちの 2/3 が、2015年のセキュリティ予算を増額していると指摘している。その予算により、新しいソフトウェア・セキュリティ・ツールが購入され、対応策が講じられていくだろう。 また、セキュリティを担当する従業員が増え、コンサルティングが導入されることで、セキュリティへの取り組みが強化されていくだろう。
 
Aftab Jamil, partner and leader of the technology and life sciences practice at BDO, said that “in any organization where you have those types of functionalities, it will be very difficult for the CFO to not have an active role.”
 
BDO の Partner and Leader of the Technology and Life Sciences Practice を担当する Aftab Jamil は、「この種の課題を有する、すべての組織において、CFO が積極的な役割を担わないということは有り得ない」と述べている
 
ーーーーー
On Monday先月のレポートのために調べていた「 Why companies aren’t investing in cyber security 」という記事は、 The Interview で大騒ぎとなった Sony について、財務面からの分析を行なっています。 そして、「同社の 2014年 Q4 財務諸表では、約 $35 milliom の損失が計上さるはずだが、この映画が $50 milliom ほどの売上を得ているため、全体的なダメージは微々たるものだ」と説明しています。 しかし、そのためには、莫大な保険料が費やされており、また、税制面で減免措置が取られているとも述べています。 その税金を、アメリカの国民が負担しているのか、日本の国民が負担しているのか、そのあたりは定かではありませんが、根底においてモラルが欠落していると、厳しく断じています。 つまり、セキュリティ侵害に対して、本気で取り組んでいない企業という、論点を浮き彫りにしているわけです。 今日のポストを訳しながら、望んではいない一致があると、感じてしまいました。_AC Stamp
ーーーーー
<関連>
IoT の調査:Verizon レポート:すでに 10億個以上の、B2B IoT デバイスが機能している
IoT の調査: セキュリティとスケールのために、新たな IDoT を考えるべきと Gartner が発言
Cloud の調査: プライベート・クラウドの大半は、なぜ 失敗するのだろうか?
Mobile Technology の調査: 世界経済を急成長させている、凄まじい実態が見えてきた!
新世代 JavaScript の調査:静的言語に関する議論と、テック・ジャイアントたちの綱引き

Open Source の調査:コミュニティとプロプライエタリの間に、商用オープンソースという第3の選択肢が!

Posted in On Monday, Privacy, Security by agilecat.cloud on February 2, 2015
Commercial Open Source: Better Rankings for Cost, Quality, Security and Control
http://wp.me/pwo1E-8g9
Dick Weisinger – Jan 28, 2015
http://formtek.com/blog/commercial-open-source-better-rankings-for-cost-quality-security-and-control/
 formtek.png
 Open Source is no longer just about getting low-cost or free software.
 
もはやオープンソースは、低コストや無料で得られるソフトウェアという観点で、単純に語るものではないようだ。
 
Rob Howard, Zimbra CTO, said that “open source provides way more benefit than cost savings alone. Open source delivers on quality and control; it empowers IT to make an impact on more than just the bottom line… there is significant opportunity for open source also to play a central role in the future of security and privacy… ”
 
Zimbra の CTO である Rob Howard が言うには、「オープンソースが提供するものは、単なるコスト削減ではなく、より多くのメリットを実現するための方式である。オープンソースは、クォリティとコントロールを提供する。 つまり、それにより、IT 部門に与えられる権限が、最低限のラインよりも膨れ上がってくるのだ。 さらに言えば、将来におけるセキュリティとプライバシーを、オープンソースが中心となって担っていくという、大きな期待感も存在する」となる。
 
Chagall_11Olivier Thierry, Zimbra CMO, wrote that “with a pure open source model, the community is accountable for security; whereas, in a proprietary model, the software vendor is responsible. A third model exists, commercial open source, which provides a risk-appropriate blend of incentive-based vendor accountability and community-driven code transparency.”
 
Zimbra の CMO である Olivier Thierry は、「純粋なオープンソース・モデルでは、その対象となるコミュニティが、セキュリティについても責任を持つ。 その一方で、プロプライエタリ・モデルでは、ソフトウェアを供給するベンダーが、その責任を持つ。第3のモデルとして、商用オープンソースというものが存在する。 そこでは、インセンティブ・ベースのベンダーによる義務と、コミュニティが主導するコードの透明性というかたちで、最適なリスク・ブレンドが達成される」と述べている
 
A Ponemon/Zimbra survey on Open Source found that IT professionals rank open source software above proprietary software on cost, business continuity, quality and control.  Specific rankings are as follows:
 
オープンソースに関する Ponemon/Zimbra の調査では、そこで生じるソフトウェアのコストおよび、ビジネスの継続性、品質/制御という視点において、オープンソースの方がプロプライエタリを上回っていると、IT プロフェッショナルたちが評価している状況が見えている。いくつかの項目において、オープンソースが得ている評価は、以下のとおりである:
 
  • Better business continuity (67 percent)
  • Higher quality (60 percent)
  • Greater control (57 percent)
ーーーーー
On Monday商用オープンソースというと、CloudStack と Citrix の関係を思い浮かべてしまいますが、規模の大小を問わなければ、それ以外にも数多くのケースが存在するようです。 文中にもリンクが貼られていますが、Wikipedia の List of commercial open-source applications and services を見ると、かなりの数の商用オープンソースが存在しているという実態が見えてきます。とりわけ、セキュリティとプライバシーに関しては、あらゆるオープンソースが取り組むべき、基盤としてのレイヤが確立し、また、ビジネスとして責任をもつ企業が登場してくるというモデルが、充分に考えられると思います。_AC Stamp
ーーーーー
<関連>
Cloud の調査: 2015年には OpenStack-as-a-Service が実現されるのか?
IoT の調査: これからの数年のうちに顕在化する、10 の現象を予測する
SaaS の調査:データ喪失における5つの事由と、それぞれの比率
Cloud の調査:2015年は REST/Docker/Hybrid の活躍が予測される
Cloud の調査:クラウドへの投資額は、2018年までに オンプレミスを追い越す!

SaaS の調査:データ喪失における5つの事由と、それぞれの比率

Posted in Management, On Monday, Research, Security by Agile Cat on January 12, 2015

SaaS: Five Ways to Lose Your Data
http://wp.me/pwo1E-8bI
By Dick Weisinger – Jan 9, 2015
http://formtek.com/blog/saas-five-ways-to-lose-your-data/

_ formtek

While security is typically the biggest worry users have about using cloud services, a related worry is data loss.  In 2013, the Aberdeen Group reported that nearly a third of companies that have used SaaS services in the cloud have lost some of their data.  When selecting a cloud vendor, users are often primarily concerned with uptime SLAs and server performance, but they often overlook data backups when making a decision.

一般的に見て、クラウド・サービス利用するユーザーは、セキュリティを一番に心配するが、それに関連する心配事としてデータ喪失がある。2013年に Aberdeen Group は、クラウド上で SaaS を利用している企業の約 1/3 が、なんらかのデータを失っているとレポートしている。クラウド·ベンダーを選択する際に、数多くのユーザーは、まずは アップタイムに関する SLA と、サーバーのパフォーマンスに関心を示すが、最終的な決定を下すときに至っても、データ・バックアップが見落とされているというケースが多々ある。

Data loss likely happens more frequently than you might imagine.  Dick Csaplar, director of Product Marketing at SDL, wrote that ”once an individual data element in a SaaS application gets changed and the application closed, there is little to no ability to recall the old data.  If a particular data field is over-written by an end-user, co-user, or contributing application, the original data is either lost entirely or becomes difficult and expensive to recover. Some SaaS providers do offer services to recover over-written or deleted data, but those services can take several weeks before the data is produced and be very expensive.”

データの喪失は、誰もが想像する以上に、頻繁に生じていると思われる。SDL の Director of Product Marketing である Dick Csaplar は、「SaaS アプリケーションにおける個々のデータ要素が変更されるとき、あるいは、それらのアプリケーションが終了するときに、ほとんどのケースにおいて、古いデータを呼び戻す能力が失われている。 また、エンド・ユーザーや、データを共有するユーザー、そして、コントリビュートされたアプリなどにより、特定のデータ・フィールドが上書きされている場合には、元データが完全に失われる可能性がある。 また、その回復は困難なものとなり、実施するにしても多額のコストを伴うものとなる。いくつかの SaaS プロバイダーは、上書きされたデータや、削除されたデータを、復旧させるためのサービスを提供しているが、それらのサービスにより、データを再生成するには数週間を要することもあり、また、その費用もきわめて高額だ」と述べている

A report by the Aberdeen Group identified five ways that data is typically lost when using cloud services:

Aberdeen Group のレポートは、クラウド・サービスを利用する際に生じる、データ喪失の典型的な5つの事由について、以下のように指摘している:

User Error.  This is the most frequent reason for data loss.  Users make mistakes.  Nearly two thirds of all data loss incidents are because of mistakes.

データ喪失において、最も可能性の高い事由である。 ユーザーは、ミスを犯すものである。すべてのデータ喪失において、その原因の約 2/3 がユーザーのミスである。

Closed Accounts.  When an employee leaves, if their cloud accounts are closed, access to the data they had created or received may also be deleted.  Ten percent of organizations say that they lose data in this way.

ユーザー企業の従業員が離職する際に、担当していたクラウドのアカウントをクローズしたことで、彼らが作成/利用していたデータへのアクセスが喪失するケースがある。ユーザー組織の 10% が、この事由によりデータを喪失したことがあると発言している。

Hacker/Theft.  Ten percent of users reported that they lost data due to an outsider gaining access to their system and data.  Often it just takes a hacker getting access to a single user’s account in order to compromise your data.

ユーザーの 10% が、部外者によるシステムやデータへのアクセスにより、データを喪失したことがあるとレポートしている。多くの場合において、ハッカーがシングル・ユーザー・アカウントにアクセスしたことで、企業のデータが危険にさられるという結果を生じている。

Malicious Deletion.  Seven percent of organizations report problems where disgruntled employees have purposely deleted data

不満を持つ従業員により、データを故意に削除されたことがあると、ユーザー組織の 7% がレポートしている。

Third-party Software.  Seven percent of organizations also report that they’ve had problems losing data when third party software is used with their SaaS applications, for example, for syncing or importing data.

対象となる SaaS アプリケーションに対して、サードパーティのソフトウェアを用いたときに、データの喪失が生じたと、7% の組織がレポートしている。 たとえば、データの同期やインポートなどが、そのケースとして挙げられる。

While it seems like problems like dealing with closed accounts and hackers may have a slightly higher probability of occurring in the cloud, none of these ways are really unique to SaaS cloud applications, they’re problems that business have had to deal with for some time in the on-premise world too.

アカウントの閉鎖とハッカーによる侵害が、少しだけ確率が高いように思えるが、SaaS クラウド・アプリケーション固有の問題というわけでもない。つまり、時として、オンプレミスの世界においても、ユーザー企業として対応せざるを得ない問題なのである。

ーーーーー

このポストを訳そうと決めて、まず、最初に行なったことは、WordPress からのポストのエクスポートでした :) ほんとうは、お正月にやろうと決めていたことだったのですが、お屠蘇イレーサーにより、そのスケジュールが消去されていたというわけです。 今年は、毎月末のルーチン・ワークとして、カレンダーに埋め込むようにしなければいけませんね。 とは言え、もし、何らかの問題が生じた後に、ポストをインポートして復元したとしても、PV データやコメントなどが、どこまで再現されるのかは分かりません。 ましてや、Facebook から Open Graph を介して流れ込んできた、LIKE に関するデータなどは、いったい、どうなってしまうのでしょう? ブログのような静的なサイトであっても、ちょっと考えるだけでたくさんの心配事が浮かんできます。 もっと動的にデータを取り扱うサイトであり、それがビジネスに直結する場合などは、ほんとうに真剣に考えなければなりません。SaaS ベンダーとクラウド・ストレージ・ベンダーが提携して、自動スナップショットのサービスを提供してくれるのが、理想的な形態なのですが。。。

ーーーーー

<関連>

Cloud の調査:2015年は REST/Docker/Hybrid の活躍が予測される
Cloud の調査:クラウドへの投資額は、2018年までに オンプレミスを追い越す!
Cloud の調査:DCトラフィックは、2018年の時点で 8.6 ZB に至る ー Cisco
Cloud の調査:10 の神話に真実はあるのか? どこに虚構が紛れ込んでいるのか?
Mobile App の調査:エンタープライズを素通りして、コンシューマへと流れる開発者たち

ーーーーー

2014 Agile Cat:月曜版 On Monday のマトメ

Cloud の調査:2015年は REST/Docker/Hybrid の活躍が予測される

Posted in Docker, Hybrid, Microsoft, On Monday, Security by Agile Cat on January 5, 2015

Cloud Computing 2015: Expect Strong Performances from REST, Docker and Hybrid Cloud
http://wp.me/pwo1E-8a7

By Dick Weisinger – Dec 26, 2014
http://formtek.com/blog/cloud-computing-2015-expect-strong-performances-from-rest-docker-and-hybrid-cloud/

_ formtek

What can we expect will happen with cloud computing in 2015? Forrester has announced their predictions for the 2015 cloud which include:

2015年のクラウド・コンピューティングにおいて、何が起こるのだろう? Forrester がアナウンスした、2015 Cloud に関する予測には、以下の項目が含まれている:

Microsoft cloud revenues will trump Microsoft on-premise revenues – Microsoft Azure is seeing gangbuster growth.  While Microsoft cloud revenues today only account for about 5 percent of of the company’s total revenues, Forrester expects that in 2015 the cloud profit margin percentage for Microsoft will best what Microsoft is able to capture from the rest of their business.

Microsoft ではクラウドとオンプレミスの収益が逆転する – Microsoft は、Azure における大幅な成長を確認している。現時点において、Microsoft のクラウド収益は総売上の 5% 程度に過ぎないが、Forrester の予測によると、2015年の Microsoft におけるクラウドの利益率は、同社のビジネス全体の中で、最高の数字に達するとされる。

RESTful interfaces will rule – This may not be much of a prediction since REST services seems a given nowadays for most apps, although it is less clear how many companies are using them.  James Staten, Forrester analyst notes that, “if you want your back-office applications to be part of this move forward, relying on traditional integration methods such as enterprise service buses, JDBC connections and SOAP is inadequate for modern applications.  You’ll have to evolve your integration architecture to REST in 2015.”

RESTful インターフェイスの支配が強まる – いまでは、大半のアプリケーションにとって REST サービスが前提になっているように思えるが、どれだけの企業が使用しているのかは不明であるため、多くのことを予測するのは難しいだろう。Forrester のアナリストである James Staten は、「 もし、バック・オフィス・アプリケーションも進化の一部に加えたいなら、エンタープライズ・サービス・バスとしての JDBC や SOAP といった、従来からのインテグレーション方式に頼っても、最新の運用環境に追い付くことはできない。つまり、2015年には、REST へと向けて、インテグレーション・アーキテクチャを、進化させる必要性が生じるだろう」と指摘している

Other Forrester 2015 cloud predictions listed by ZDNet include:

また、ZDNet が取り上げた Forrester 2015 Cloud 予測には、以下の項目が含まれる:

Cloud Breaches will continue – Governance failures, poor key management and lax security will continue to leave many cloud applications vulnerable.  This prediction seems likely.

クラウドの脆弱性は止まらない – ガバナンスの欠落/貧弱なキー・マネージメント/不完全なセキュリティなどにより、数多くの脆弱性がクラウド・アプリケーションに残り続ける。この予測が、現実のものとなる可能性はが高いと思われる。

Docker containers will see wide acceptance – With support from EBay, Amazon, Google, Microsoft and other companies, this prediction doesn’t seem too risky.

Docker が広く利用されていく – eBay/Amazon/Google/Microsoft などの IT 企業がサポートしているための、Docker が広まるという予測は、それほどリスキーなものにはならない。

SaaS vendors to provide more Hybrid – Increasingly SaaS providers will offer ways to connect on-premise and cloud applications and data.

SaaS ベンダーが Hybrid を広めていく – オンプレミスとクラウドの間で、アプリケーションとデータを接続していく SaaS プロバイダーが増えていくだろう。

Cloud Storage pricing will claim lives – The cloud storage pricing wars among Google, Amazon and Microsoft is expected to make this market sector a difficult one to compete in.  Backup and disaster recovery services are especially expected to be hit hard.

クラウド・ストレージの価格戦争 – Google/Amazon/Microsoft によるクラウド・ストレージ価格戦争があるため、このセグメントに他社が参入するのは困難になると予測される。バックアップおよび DR(Disaster Recovery)のサービスに関しては、さらに厳しくなるだろう。

ーーーーー

こうして全体を眺めてみると、クラウドへ行くのか行かないのかという議論があったことが、遠い昔のように思えてしまいますが、それは、わずか 2年前のことだったはずです。 そして、Microsoft が新たな Heart&Soul を手にしたことが、端から見ていても、とても嬉しく思えてきます。時代はクラウド、そして運用です。 この記事自体は、年末のものですが、2015年の最初の月曜日に相応しいですよね。 今年も頑張っていきましょう! 

ーーーーー

<関連>

2014 Agile Cat:月曜版 On Monday のマトメ
ーーーーー
Cloud の調査:クラウドへの投資額は、2018年までに オンプレミスを追い越す!
Cloud の調査:DCトラフィックは、2018年の時点で 8.6 ZB に至る ー Cisco
Cloud の調査:10 の神話に真実はあるのか? どこに虚構が紛れ込んでいるのか?
Mobile App の調査:エンタープライズを素通りして、コンシューマ市場へと流れる開発者たち
Container の調査:Flocker を Docker 上に積み上げることで、アプリとデータの移動を容易に

どのようにして、ハッカーは Sony Pictures に侵入したのか? その犯行声明から、手口を分析してみた!

Posted in Asia, Entertainment, Government, Research, Security by Agile Cat on December 24, 2014

How The Hackers Broke Into Sony And Why It Could Happen To Any Company
http://wp.me/pwo1E-87d
Julie Bort – Dec. 19, 2014
http://www.businessinsider.com/how-the-hackers-broke-into-sony-2014-12

_ Business Insider

What hackers have done to Sony Pictures is astounding. How did they do it? There have been just enough details leaked to the press and analyzed by security experts to put it together.

ハッカーたちが Sony Pictures に対して行なったことは、まさに仰天ものである。どのようにして、彼らは、それを実行したのだろうか?いまは、マスコミに対してリークされた詳細な情報を、セキュリティの専門家たちが分析している最中である。

REUTERS
Jo Yong-Hak

South Koreans burned portraits of former North Korean leader Kim Jong-il and current leader Kim Jong-un after a cyber attack in 2009.

This was a targeted attack. That means the hackers set out to break into Sony. A targeted attack is the hardest to stop.

それは、狙いを定めた攻撃だった。 つまり、ハッカーたちは、Sony に侵入するという、明確な目標を持っていたことになる。この、標的型攻撃は、阻止することがきわめて困難である。

"Against a sufficiently skilled, funded and motivated attacker, all networks are vulnerable," wrote renowned security expert Bruce Schneier about the Sony attack.

著名なセキュリティ専門家である Bruce Schneier は、「充分なスキルと資金とモチベーションのある攻撃に対して、すべてのネットワークは脆弱である」と、Sony へのアタックについて述べている。

The hackers said they gained access to Sony’s networks from inside Sony. In November, after the attack was made public, several journalists said they contacted the group that claimed responsibility, Guardians of Peace, or GOP.

ハッカーたちは、Sony の内部から、そのネットワークに対するアクセス権を得たと発言している この 11月に、アタックが公になったとき、何人かのジャーナリストが、犯行声明を発した GOP(Guardians of Peace)とコンタクトしたと述べている。

"Sony left their doors unlocked, and it bit them," a GOP member known as "Lena" told CSO Magazine. "They don’t do physical security anymore.” "Physical security" is hackerspeak for things like doors, windows, keycards, and video cameras.

「 Sony はドアを開けっ放しにしていて、それが命取りとなった。彼らは、いまだに、物理的なセキュリティに対応していない」と、Lena と呼ばれる GOP のメンバーが、CSO Magazine に対して答えている。 「物理セキュリティ」とはハッカー用語であり、ドア、窓、キーカード、ビデオ・カメラなどを指している。

The hackers said sympathetic employees let them into the building. Lena told The Verge, "Sony doesn’t lock their doors, physically, so we worked with other staff with similar interests to get in.” We don’t know if these employees were knowingly helping hackers or tricked into helping.

好意的な従業員たちが、ビルディングへと招き入れたと、ハッカーたちは発言している。「 Sony は、物理的にドアをロックしていないので、内部に入る必要のある、他のスタッフと並んで作業した。それらの従業員たちが、ハッカーと知っていて助けたのか、勘違いして助けたのか、私たちには分からない。」と、Lena は The Verge に語っている。

The hackers reportedly stole a key password from someone in IT. US investigators told CNN the hackers stole the computer credentials of a system administrator, which gave them broad access to Sony’s computer systems.

伝えられるところによると、ハッカーたちは、IT 部門の人間から重要なパスワードを盗みだしている。 US の捜査官たちが CNN に語ったところによると、ハッカーたちは、Sony のコンピューター・システムに対して、幅広いアクセス権を与えられた、システム・アドミニストレータのコンピュータ・クレデンシャルを盗みだしている。

Once on the network, they planted malware. Some security experts, and documents obtained by Ars Technica, say that this was a form of "wiper" malware. Generally, that refers to malware designed to destroy the data, although in this case they used malware to collect data, too. The malware used Microsoft Windows management and network file-sharing features to spread, shut down the network, and reboot computers, reports Ars Technica.

このネットワークに侵入すると、彼らはマルウェアを植え付けていった。セキュリティ専門家たちの発言や、Ars Technica が取得したドキュメントによると、それは、wiper という形式のマルウェアだったようだ。一般的に、このマルウェアはデータを破壊するためにデザインされたと言われるが、今回のケースでは、データを収集するためにも用いられている。そして、Microsoft Windows Management と、ネットワーク・ファイル共有機能を利用して、このマルウェアは広がり、続いてネットワークをシャットダウンし、コンピュータを再起動していったと、Ars Technica はレポートしている。

This so-called wiper was apparently a variant of the type that a group called DarkSeoul used on South Korean banks last year. The FBI confirmed that the Sony malware found resembled that used in the bank hack.

この wiper は、DarkSeoul と呼ばれるグループが、昨年に South Korea の銀行で使用したタイプの、変種であることが明らかになっている。 Sony でのマルウェアと、その銀行ハックで用いられたマルウェアの類似性については、FBI も確認している。

The malware found and stole other passwords. The GOP told Sony it had grabbed private files, computer source code files for software, and files that held passwords for Oracle and SQL databases, among other documents. With access to that, the GOP grabbed data on movie production schedules, emails, financial documents, and much more and published much of it.

このマルウェアが、他のパスワードを探し出し、盗みだしていくGOP が Sony に宣言したのは、プライベート・ファイルおよび、ソフトウェア用のソースコード・ファイル、そして、パスワードで保護された Oracle/SQL データベース内のデータやドキュメントなどを手に入れたというものだ。こうしたアクセス権を得た GOP は、映画制作のスケジュールや、電子メール、財務諸表などのデータを抜き出し、大量に公開してしまった。

Security experts say this is where Sony was particularly weak. It could have used layers of security that would have prevented them from grabbing so much information even after breaking in. Many companies don’t want to spend money on extra security that would specially protect email servers, password files, databases. That’s a big lesson any company can learn. Use layers of security protection that can stop hackers after they break in.

セキュリティの専門家たちは、Sony 固有の脆弱性について指摘している。最初のセキュリティが突破されても、セキュリティの階層を用いていれば、このような情報の大量流出は防げたはずである。大半の企業は、電子メール・サーバー/パスワード・ファイル/データベースを保護するための、追加のセキュリティに対する支出を嫌う傾向にある。つまり、今回の件は、あらゆる企業が学習すべき、重要な教訓となる。繰り返すが、階層型のセキュリティ保護を用いれば、ハッカーに侵入されても、その動きを封じることができるのだ。

The malware transmitted information back to other computers. The malware was communicating to computers elsewhere, including in Japan — possibly other computers on Sony’s network. Some of the malware was written in Korean, Ars Technica and others report.

このマルウェアは、他のコンピュータに情報を伝搬していく。おそらく、今回のマルウェアは、Japan も含めて、Sony のネットワークにつながるコンピュータと通信していた。マルウェアの中には、Korea で書かれたものもあると、Ars Technica などがレポートしている。

 Imgur

On the day of the hack, employees turned on computers and found this message on their screens, according to emails of the message sent to journalists.

ジャーナリストたちに送信された電子メールによると、ハッキングが行われた日に、従業員たちがコンピューターをオンにすると、このようなメッセージが表示されたという。

Ultimately, the hackers threatened Sony with a terrorist attack if it didn’t pull "The Interview" from theaters. The movie is a comedy about trying to assassinate North Korean dictator Kim Jong Un.

最終的に、ハッカーたちは、テロリスト的な攻撃でソニーを脅した。 つまり、"The Interview” を劇場で上映しないことを求めたのである。この映画はコメディではあるが、North Korea の独裁者である、Kim Jong Un(金正恩)の暗殺を題材としている。

Sony bowed to the pressure and pulled the picture, and on Friday the FBI reported that "the North Korean government is responsible" for the hack.

Sony は圧力に屈して、上映を取り下げた。 そして、金曜日には FBI が 、このハッキングに関して、North Korea 政府に責任があるとレポートしている。

Not everyone believes that North Korea was responsible, though.

しかし、North Korea に責任があるとは、誰も捉えていない。

Sony hasn’t issued technical details of the attack, but it is busy trying to spin the situation, especially after Obama said on Friday that the company should not have caved and yanked the movie from theaters.

Sony は、この攻撃について、詳細なテクニカル情報を公表していないが、状況の変化を考慮すれば、その大変さも理解できる 金曜日に Obama 大統領が、屈するべきではなく、映画も上映すべきだと発言した後は、さらなる混乱が生じたはずである。

ーーーーー

12/23 WSJ:なぜ北朝鮮のネットへの接続が不能になったのか

ーーーーー

この事件に関しては、断片的な記事が溢れ出て、どれを読めば良いのか分からないという状況が続いていました。 そして、ようやく、Business Insider から、適切なマトメがポストされたという感じがします。 ただし、Sony が The Interview をネット上で無償公開するという話もありますし、北朝鮮のインターネットが DDoS 攻撃により壊滅的な打撃を受けているという情報もあります。 その意味では、事の真相が見えてくるまでは、まだまだ時間が掛かると思いますし、この BI のマトメも、現時点の暫定的なものとして読むべきだと思います。

ーーーーー

<関連>

iCloud ハッカーたちが悪用した、シンプルな 4-Steps 侵入プロセスとは?
より優れたメールの暗号化を、大手プロバイダーが提供し始めているが・・・
Google と Dropbox が発表した Simply Secure イニシアティブとは?
Google:メール・エクスチェンジの約 50% が、依然として暗号化されていない
Facebook のダウンは、中国からの DDoS 攻撃だったのか?
昨日に Evernote を襲った DDoS 攻撃も、400 Gbps 規模だったのか?
Apple が 明らかにした、A7 Processor の セキュリティ機能とは?

 

Security の調査: Google と Dropbox が発表した Simply Secure イニシアティブとは?

Posted in Google, On Monday, Security by Agile Cat on October 27, 2014

Security: Google and Dropbox Announce ‘Simply Secure’ Initiative
http://wp.me/pwo1E-7YG
By Dick Weisinger – Oct 23, 2014
http://formtek.com/blog/security-google-and-dropbox-announce-simply-secure-initiative/

_ formtek

In collaboration with Open Technology, Google and Dropbox have announced an open-source initiative called ‘Simply Secure’.  The goal of the project is to make security technology easier to use and more transparent.

Open Technology との連携において、Google と Dropbox は Simply Secure という名の、オープンソース・イニシアティブを発表した。このプロジェクトの目標は、セキュリティ・テクノロジーの容易な利用と、さらなる透明性の推進にある。

As the first step towards realizing that goal, the group will start with some existing open-source projects like Open Whisper Systems, The Guardian Project, Off-the-Record Messaging and try to repackage them into something that is easier for developers, designer and researchers to be able to use.

それを実現するための第一歩として、このグループは、Open Whisper SystemsThe Guardian ProjectOff-the-Record Messaging といった既存のオープンソース・プロジェクトと共に活動を開始し、また、リサーチャー/デベロッパー/デザイナーたちが容易に利用できるようにするため、それらを再パッケージしていく。

The Simply Secure initiative is designed with four principles in mind:

  1. Privacy and security are at the heart of a future internet that is vibrant
  2. Privacy and security needs to be both trustworthy and intuitive
  3. Technology needs to respect users’ desire for security and privacy
  4. Excellent security needs to become commonplace

この Simply Secure イニシアティブは、以下の 4つの項目を念頭において構成されている:

  1. プライバシーとセキュリティは、輝けるインターネットの将来において、心臓部分に位置する
  2. プライバシーとセキュリティは、信頼性と直感性の双方を必要とする
  3. ユーザーが抱えるプライバシーとセキュリティへの要望を、テクノロジーは尊重すべきである
  4. 素晴らしいセキュリティが、普通のものになっていく必要がある

George Danezis, Reader in Security and Privacy Engineering at the University College London, said that “privacy-technologies have come a long way in the lab, but they need to be made accessible and usable by end-users. Simply Secure will bring together developers, designers and users to ensure simple daily tasks can be made private, without increasing their complexity.”

University College London の Reader in Security and Privacy Engineering である George Danezis は、「プライバシーに関するテクノロジーは、私たちのラボにおいて長い道のりを歩んできたが、エンドユーザーによるアクセスと利用を容易にする必要がある。Simply Secure により、デベロッパー/デザイナー/ユーザー間での協調が生まれ、シンプルな日々のタスクにおけるプライバシーが保証されるが、複雑さを増すことはない」と、述べている。

But, Derek Brink, Vice President and Research Fellow at Aberdeen Group, warned that “I’d use caution against the irrational exuberance that tends to build around these initiatives.  Any material impact will probably be the result of a sustained effort over a long period of time…  But, I’m encouraged when smart people put their time and effort where their ideas are and try to effect a positive change.”

Aberdeen Group の VP and Research Fellow である Derek Brink は、「こうした取り組みの周囲には、常軌を逸した熱狂が渦巻くことを、忠告させてもらえると有り難い。おそらく、長期間にわたって持続される努力の結果が、あらゆるものに大きな影響をもたらすだろう。したがって、聡明な人々の時間と労力が、肯定的な変化を導くアイデアに対して、注ぎ込まれるという試みは奨励したい」と、警告を含めて述べている

ーーーーー

この10月の半ばに、「Dropbox の パスワード 700万件 が流出: いまこそ、二段階認証を考えるべきとき!」という抄訳をポストしましたが、Dropbox 自体のセキュリティには問題が無かったことが分かり、数多くのユーザーが胸をなでおろしたと思います。そして、この騒動で浮き彫りになったのが、アプリ関連系とセキュリティの関係です。 こうなってくると、サービス・プロバイダーだけが頑張っても限界があります。 そして、サービスを利用するユーザー側も、もう一歩踏み込んだところで、セキュリティを考えなければなりません。そういう意味で、この Simply Secure には期待したいですし、他のプロバイダーにも広がれば良いなぁと思っています。

ーーーーー

<関連>

Gartner の調査:これからの5年間で、私たちの働き方を変える 10のテクノロジーとは?
IoT の調査:BitCoin のテクノロジーを、IoT のアーキテクチャーに応用できるはずだ!
SDN の調査: このマーケットは、年率 90% で成長していく
Open Source の調査: OSS の人気 Top-5 は? OSS が選ばれる理由は?
Technology の調査:IBM による 7 NANO チップとポスト・シリコンへの挑戦

Dropbox の パスワード 700万件 が流出: いまこそ、二段階認証を考えるべきとき!

Posted in Security, Storage by Agile Cat on October 15, 2014

You Should Change Your Dropbox Password Right Now — Here’s How To Do It
http://wp.me/pwo1E-7X9
Lisa Eadicicco – Oct. 14, 2014, 11:15 AM
http://www.businessinsider.com/change-dropbox-password-set-up-two-factor-authentication-2014-10

_ Business Insider

On Monday night, news broke that hackers had reportedly obtained nearly 7 million Dropbox usernames and passwords. Dropbox says its service wasn’t hacked, but that the usernames and passwords had been stolen from various third-party services.

月曜日(10/13)の夜に、Dropbox における約 700万の User/Password のセットを、ハッカーたちが取得したというニュースが流れた。Dropbox は、サービス自体はハッキングされていなかったと述べているが、それらの User/Password のセットは、各種のサードパーティ・サービスから、すでに盗み出されているようだ。

Kevin Smith
Business Insider

There are a ton of apps and services that integrate with Dropbox, making it nearly impossible to track down which ones have been compromised.

Dropbox には、膨大な量のアプリとサービスが統合されているため、どこに脆弱性が潜んでいるのかを特定することは、ほとんど不可能な状態である。

To play it safe, you should probably change your Dropbox password and enable two-step authentication if you haven’t already done so. The process takes less than five minutes, and is well worth it.

あなたの安全を確保するために、Dropbox のパスワードを変更することを強く推奨する。 そして、まだ 二段階認証を用いていないなら、それも同時に行うべきだろう。 そのプロセスは、わずか 5分で完了し、とても意味のある結果をもたらす。

Two-step authentication is a method in which an app or service requests a separate means of authentication besides your password to log into your account. In most cases, this includes sending a text message with a code to your smartphone.

二段階認証とは、あなたの Dropbox アカウントに、アプリやサービスを介してログインする際に、別の認証手段を要求するという方式のことである。ほとんどの場合、あなたのスマホ(あなたの携帯番号)に、認証コードを含んだテキスト・メッセージが送信されることで、認証プロセスが完了する。

Learn how to change your Dropbox password and enable two-step verification

ーーーーー

追記:2014年10月15日 5:30PM
TechCrunch から 「Dropbox、われわれはハックされていない。漏洩パスワードは他サービスからの使い回しと発表」という記事がポストされました。「DropboxのAPIを利用しているサービスから漏洩したわけではなく」とのことですが、そう言い切れる理由を、もう少し明確に説明してほしいですね。 いずれにしても、何はともあれです :)

ーーーーー

この記事を読む限り、ハッカーたちは Dropbox 本体ではなく、そこに接続されているアプリ/サービスに侵入することで、Dropbox にログインする際の User/Password のセットを盗みだした、ということなのでしょう。 ストレージやスケジュールのような、すでにユーザー・データをストアしているサービスに、サードパーティのアプリ/サービスからアクセスする場合、大元のサービス(ここでは Dropbox)の User/Password を設定する必要が生じます。 そして、それらの User/Password は、サードパーティにストアされるわけですが、今回の場合は、いくつかのサードパーティがハックされてしまった、、、ということのようです。

こうした、サービス間の連携が可能だからこそ、クラウドは便利なのですが、たとえば Dropbox の User/Password を預けているサードパーティのセキュリティが、強固なのか脆弱なのかを見分けることは、ほとんど不可能という状況です。 したがって、ユーザーとして取るべき対策は、サードパーティ・サービスをむやみに増やさず(必要なものだけに絞り込む)、Dropbox のようなサービスには二段階認証を用いる、ということなのでしょう。二段階認証さえ行なっておけば、こうした騒ぎが起こる度に、パスワードを書き換えるという面倒もなくなるはずです。

Agile_Cat の場合は、Google の二段階認証を使っています。 そして、それを、Gmail だけではなく、WordPress や Evernote などに用いています。 設定の方式は、Ajaxtower のガイドが親切なので、お勧めです。 また、Dropbox での二段階認証については、ここに日本語ガイドがあります。この二段階認証を設定すると、右のイメージ(クリックで拡大)のように、それぞれのアカウントが要求する、30秒間のみ有効な 6桁のワンタイム・パスワードが、携帯番号に対して発行されます(アカウント名は伏せています)。いつものように、User/Password を入力した後に、スマホに送られてくるワンタイム・パスワードを見ながら、その度に入力することになるので、現時点では最も強固なロックがかけられるはずです。

なお、Dropbox のページでは、この Google Authenticator (Android / iPhone / BlackBerry)のほかにも、Duo Mobile(Android / iPhone)や、Amazon AWS MFA (Android)や、Authenticator (Windows Phone 7)などが推奨されています。

ーーーーー

<関連>

iCloud ハッカーたちが悪用した、シンプルな 4-Steps 侵入プロセスとは?
より優れたメールの暗号化を、大手プロバイダーが提供し始めているが・・・
Google 調査: メール・エクスチェンジの約 50% が、依然として暗号化されていない
IoT の調査: 依然として見えてこない、セキュリティとプライバシーの方向性

%d bloggers like this: