2021/10/25

2021 年 10 月 25 日:今週の重要な情報セキュリティニュース

2021 年 10 月 25 日 Josh Stuifbergen 著

エクスプロイトブローカーの Zerodium 社が VPN に注力
エクスプロイトブローカーの Zerodiumが、ExpressVPN、NordVPN、Surfshark VPN に関する脆弱性を募集していると発表しました。この発表により、VPN がより価値のある標的になっているという事実が注目されています。多くの人が VPN を利用するのは、プライバシーを守るためです。しかしそれは同時に、インターネットサービスプロバイダや電話会社ではなく、VPN 会社に情報管理の責任を委ねているということでもあります。つまり個人情報を誰に預けるか、選択をしなければいけないということです。VPN 市場は統合が進んでおり、最近では ExpressVPN が Kape Technologies に買収されたことが話題になりました。VPN の低価格化とビジネスモデルは、本当の利益がどこで生まれているのかという疑問を投げかけています。

米連邦取引委員会が ISP のプライバシー状況に関する報告書を発表
インターネットサービスプロバイダ(ISP)は、膨大な量の消費者データを収集しています。これは多くの人にとって周知の事実でしょう。多くの場合、データは広告会社と共有されています。米連邦取引委員会(FTC)は、主要 ISP6 社の消費者プライバシーの状況に関する報告書を発表しました。報告書では、非常にセンシティブでプライベートなデータが収集され、他のソース間で関連付けられていることが明らかにされています。これにより、たとえ識別可能な情報を削除したとしても、完全に匿名性を保つことが難しくなっています。消費者が ISP を選択する際、自由市場での選択ではなく、ほとんどの人にとっては実質的に 1 社しか選択肢が存在しないため、データ収集に関する法律が重要になってきます。連邦通信委員会(FCC)は、ISP に対する法的権限の獲得を 2017 年に予定していたものの、議会の投票で覆されました。この規則とは、オンラインアクティビティデータを収集する前に、ユーザの許可を得ることを ISP に義務付けるものでした。

ランサムウェアグループが自らを「被害者」であるとの訴え
米政府機関がランサムウェアグループ REvil のインフラストラクチャをテイクダウン(解体)したのはたった 1 週間前です。この動きに対して他のランサムウェアグループも警戒を強め、フラストレーションを抱えているようです。ランサムウェアグループ Groove はブログ記事の中で、同じ考えを持つグループに対して、標的を米国政府のアセットに絞るよう呼びかけています。ランサムウェアグループ Conti は、米国連邦政府こそが「史上最大のランサムウェアグループである」と述べ、米国政府機関の攻撃的なハッキング戦術の合法性を疑問視するなど(自らの犯罪行為は棚に上げて)不満を長々と書き連ねた投稿を続けています。

Bleeping Computer より(Conti による米政府への不満)

Apple、iOS の広告データを統合
Apple が行ったプライバシーに関する制限は、自社の広告増加という結果に繋がりました。Apple は iOS の広告シェアを 3 倍にし、現在市場の 58% を支配しています。これは Facebook やGoogle Ads などの他の広告ネットワークのシェアを低下させることにもなっています。iOS のデータに有利にアクセスできるため、Apple の広告は競合他社に比べかなりの効果をあげているようです。この不均衡が原因で、Snapchat の株価は乱高下し、第 3 四半期は非常に厳しい業績となりました。これは iOS での広告配信がうまくいっていないことが原因のひとつです。情報が単一の企業(Apple)に集約されていくことを意味する以上、Apple のプライバシー制限が総合的に見て消費者にとって有益かどうかは、いまだ不明です。