解読：GoogleがiPhoneの重大なセキュリティ欠陥を発見、FireEyeのハッキングで警鐘が鳴らされる

テッククランチイベント

すごい。複数の脆弱性を連鎖させないiOSエクスプロイトは、なかなかの成果ですね。https://t.co/ZccMcVTIch

— ロブ・ジョイス（@RGB_Lights）2020年12月2日

FireEyeが国家によるハッキングを受けたが、その後の動向は不明

サイバーセキュリティ大手FireEyeが、国家政府の支援を受けた「高度な脅威アクター」によるハッキングを受けたという昨日の速報は、サイバーセキュリティ界に衝撃を与えた。FireEyeは、政府機関を含むサイバーセキュリティ被害者がハッカーの被害に遭った際に最初に相談する企業であることが多い。そもそもFireEyeがハッキングされたという事実は、まるで強盗がフォートノックスに侵入し、金塊を盗み出して何事もなく立ち去るのと同じようなものだ。

ファイア・アイは、今回の侵害について特定の国を非難していないものの、ワシントン・ポスト紙とニューヨーク・タイムズ紙によるとロシアが主要な標的となっている。しかし同社は、過去にこのようなハッキング手法は見たことがないと認めている。

@FireEyeが攻撃を受けると、「洗練された」という表現を信じる傾向があります。国家機関が、多くの、つまり国家機関の正体を暴くために使用されたレッドチームのツールを実際に入手しようとするのは、皮肉というより論理的です。https://t.co/uoMLspVpWq

— アラン・ウッドワード（@ProfWoodward）2020年12月9日

ハッカーたちは、FireEyeに防御力のテストを依頼している顧客に対し、模擬サイバー攻撃を実行するためのレッドチームツールを盗み出した。FireEyeは既に、企業がこれらのツールから防御するための方法と手段を公開しているが、これらのツールは攻撃者が標的へのハッキングを容易にする可能性がある。

3年前に起きた事件のように、ハッカーがツールを公開する可能性も懸念されています。当時、ハッカーは国家安全保障局（NSA）が開発したハッキン​​グツールを盗み出し、公開しました。北朝鮮の支援を受けたハッカーは、これらのツールを使ってWannaCryランサムウェアを世界中に拡散させ、病院に甚大な被害を与えました。

しかし、Wired の報道によると、コード内にゼロデイ脆弱性が存在しなかったことを考えると、何百万台ものコンピュータに緊急パッチを急いで配布する必要はないとのことです。

米国は愛国者法を利用してウェブサイト訪問者のログを収集した

ニューヨーク・タイムズ紙の新たな報道によると、米国政府が愛国者法を利用して、特定のウェブサイトにアクセスした人物を示すウェブサイトログを収集していたことが明らかになった。この法律は、毎日何百万人ものアメリカ人の通話記録を収集しているのと同様に、ウェブサイトログの収集にも利用されていたと長らく考えられてきた。

しかし、国家情報長官が著名な民主党上院議員に送った書簡は、法的権限がウェブにも及ぶことを確認している。

書簡によれば、法律書の中で第215条として知られるこの法律は、「特定の外国」にあるどのコンピューターが「単一の特定された米国のウェブページ」にアクセスしたかを明らかにするログを政府が収集することを承認する命令を認可するために使われたという。

この命令は、米国政府の監視権限を監視するために設立された判事団（外国情報監視裁判所）によって発せられたものであり、その適用範囲は限定的であるように思われる。しかし、法的に明確な線引きはなく、政府が人々が検索エンジンに入力するキーワードを収集することは認められていない。令状が必要となるからだ。

それでも、政府が示した限定的な例は、実際の監視状況を反映していない可能性が残る。今年初め、アメリカ国民のウェブ閲覧データへのアクセスに令状を義務付ける修正案を提出したワイデン議員は、わずか1票差で可決に至らなかったが、政府は将来、同様の権限を用いてアメリカ国民のウェブ閲覧データを意図的に収集しないという「保証を一切提供していない」と述べた。

また、通話記録プログラムに権限が使用されるのと同様に、Web 閲覧データを大量に収集するために権限が使用されるかどうかについても、明確な答えはありません。

有力者

ホワイトハウスはサイバー空間の大改革に直面することになるかもしれない。今週、下院は拒否権発動を阻止できる多数決で、年次国防予算および政策法案である国防権限法案を可決した。これは、トランプ大統領が国防権限法案に第230条の廃止条項を盛り込まなければ拒否権発動すると脅迫する中、下院にとって有利に働くだろう。第230条は、オンラインプラットフォームがユーザーがサイトに投稿したコンテンツに対して法的責任を負うことを可能にするものだ。（このタイミングは、当時大統領を貶めるTwitterハッシュタグが拡散していた時期と重なった。）

この法案には、サイバーセキュリティに焦点を当てた条項が山ほど含まれており、ホワイトハウスに国家サイバーセキュリティ局長を設置することなどが盛り込まれている。この局長は以前は国家安全保障会議の下にあったが、2018年にトランプ大統領によって廃止され、議員による超党派の抗議も多かった。

NDAAはまた、全米のサイバー連携を強化するため、各州にサイバーセキュリティ担当ディレクターのポストを設置する。また、脆弱性が発見された場合に重要インフラの所有者と連絡を取るために、CISAにISPに召喚状を発行する権限を与える条項もある。TechCrunchはこの提案を昨年初めて報じた。

これは連邦サイバーセキュリティ法案にとって大きな勝利であり、サイバー攻撃に対する米国のサイバー抑止力を近代化することを目指したソラリウム委員会の34の勧告のうち26を盛り込んだ。

$セキュリティ $スタートアップ

サイバーセキュリティのスタートアップ企業Dragosは、産業用制御システムのセキュリティ確保に向けた取り組みを継続するため、シリーズCラウンドで1億1000万ドルを調達しました。TechCrunchは、この資金調達について創業者兼CEOのロバート・リー氏に話を聞いた。

イスラエルのクラウドセキュリティスタートアップ企業Orca Securityは、シリーズBラウンドで5,500万ドルを調達しました。Orcaは、顧客のクラウドセキュリティとコンプライアンスの維持を支援します。SideScanningテクノロジーを活用することで、企業のデータ資産とクラウド資産全体をスキャンし、セキュリティ上の問題を発見することができます。

プラットフォーム間で機能する証明書ベースの認証を使用してパスワードを排除しようとしているセキュリティスタートアップのBeyond Identityは、シリーズ B で 7,500 万ドルを調達し、総投資額は 1 億 500 万ドルに達した。

また、このサイトをご覧になっている間に、 At-Bay がサイバーセキュリティ保険を強化するために 3,400 万ドルを確保した方法も忘れずに確認してください。

ヒントは、Signal と WhatsApp 経由で +1 646-755-8849 に安全に送信してください。

解読：アップルとフェイスブックのプライバシー争い、ツイッターがマッジ氏を雇用、謎のゼロデイ