RC4 の致命的な弱点、ホワイトハウスのセキュリティ対策

2015 年 7 月 20 日 COREY NACHREINER 著

先週は、イギリスで開催された WatchGuard のパートナーカンファレンスに参加したために、デイリーセキュリティバイトのビデオを 2 回しか投稿できず、1 週間のニュースをまとめてご紹介するビデオも省略させていただきましたが、情報セキュリティ関連の興味深いニュースがたくさん報道されました。そこで、特に重要なニュースを皆さんにご紹介したいと考え、急遽、1 週間のニュースの中から次の 3 つのニュースをお伝えすることにしました。

1. Hacking Team のデータ流出に関する最新情報：先週は、Hacking Team のネットワークからの 400GB のデータ流出に関して、たくさんの事実が明らかになりました。たとえば、当初の予想よりも多くのゼロデイ脆弱性が使用され、BGP 脆弱性が中間者攻撃に使用されていたことや、FBI と DEA（麻薬取締局）が Tor ユーザーを監視していたこともわかりました。情報セキュリティ関連のこの事件に注目されている方であれば、Hacking Team から漏えいしたメールがウィキリークスによって公開されるというニュースも目にされたことでしょう。Hacking Team のこのニュースに関連する続報は、下記に記載する参照情報のリンクからご確認ください。
2. ホワイトハウスがサイバーセキュリティ対策を大々的に宣伝：ホワイトハウスは先週、米国政府機関による今年の国家サイバーセキュリティ対策強化の全容を詳しく解説した、サイバーセキュリティ概況報告書を発表しました。注目すべき点としては、サイバーセキュリティ対策を専門とする新組織の設立、政府機関および一般企業における脅威情報共有の推進などが挙げられます。詳細は、参照情報でご紹介している記事をご覧ください。
3. RC4 にさらなる致命的な欠陥：RC4 は数十年にわたって広く利用されてきたハッシュアルゴリズムですが、この数年間でこの古い機能に多くの脆弱性があり、不備があることがわかりました。多くのセキュリティ専門家が、RC4は今や実用に耐えないと考えており、新しい研究論文[PDF]でRC4のさらなる弱点が指摘されています。詳細は割愛しますが、この新たに発見された弱点によって、数か月ではなく数日で攻撃者にRC4を解読されてしまう可能性があります。RC4をお使いになっている方には、他の方法への移行をお勧めします。

以上が、この 1 週間にお届けできなかった主なトピックですが、これ以外にも多くのニュースが報道されました。参照情報のセクションにリンクを記載しますので、ご活用ください。今週は、通常通りのスケジュールでデイリーセキュリティバイトのビデオをお届けする予定です。

参照情報：

• Hacking Team の事件に関する最新情報
  • ウィキリークスが Hacking Team のメールを公開 – Engadget
  • FBI が Hacking Team と協力して Tor ユーザーの活動を調査 – ZDNet
  • Hacking Team のトップは自分たちに違法性ないと認識 – Engadget
  • Hacking Team が中間者攻撃に BGP を利用 – Ars Technica
  • Hacking Team が少なくとも 3 つの Flash ゼロデイ脆弱性を利用 – Computer World
  • Hacking Team のデータ漏えいに元従業員が関与か – Reuters
  • 米国麻薬取締局が Hacking Team との契約を解除 – Motherboard
  • FBIも Hacking Team との契約を解除 – Motherboard
• ホワイトハウスの 2015 年サイバーセキュリティ対策の詳細 – IT Pro Portal
  • 2015 年サイバーセキュリティ概況報告書 – WhiteHouse.gov
• RC4 のさらなる致命的な欠陥 – Ars Technica
  • RC4 の新しく見つかった弱点に関する技術論文 [PDF] – RC4NoMore
• ハーバード大学がハッキングされる – The Register
• Epic Games フォーラムのハッキングで個人情報が流出 – Kotaku
• ハッカーが Bitstamp を攻撃し、ビットコインを不正に取得 – Business Insider
• POS マルウェアがドナルド・トランプ氏のホテルを攻撃か – Computer World
• オンラインビデオゲームを標的とする TeslaCrypt マルウェアの被害が拡大 – Business Insider
• 閉鎖された匿名ルーターと入れ替わりに新たなプロジェクトが登場 – Business Insider
• HackNet：間もなく登場する新しいゲーム/ハッキングシミュレーター – Motherboard
• Java のゼロデイ脆弱性を攻撃したポーンストームを発見 – Trend Micro
• MalwareBytes が無料の Mac 版ソフトウェアを公開 – MalwareBytes
• フェイスブックのセキュリティ責任者が Flash の提供を中止すべきと発言 – ZDNet
• Voat (Reddit と同様のサイト) が DDoS 攻撃を受ける – Business Insider
• 中国政府が国内のインターネット利用停止も可能にする法律の草案を提出 – The Register
• サブウェイが高度な方法でモバイルアプリのセキュリティを強化 – The Register
• ユナイテッド航空がバグ発見者に百万マイルを提供 – CBC
• UCLA のハッキングで 450 万人分の患者データが漏えいの可能性 – The Register
• FBI がドライブバイダウンロードを犯罪者の逮捕に利用 – Motherboard

— Corey Nachreiner、CISSP （@SecAdept）