読者です 読者をやめる 読者になる 読者になる

週刊 ピンク・ハッカー

セキュリティを啓蒙するために誕生した、ファビラス・セキュリティ・ボーイズ

2016年を振り返る

f:id:pinkhacker:20161226215523j:plain

 セキュリティの面白さと重要性をわかりやすく伝えたい……そんな想いを持った二人が邂逅(かいこう)。ほとばしる両者のセキュリティ情熱が激突した結果、過去にないセキュリティ・コンビが誕生。その名は「ピンク・ハッカー」。
ピンク・ハッカー毎週月曜日更新予定ですが、今回は1日遅れちゃいました。


今回は年末最後の更新ということで、2016年の総括、おまとめ記事となりまーーす!(。・ ω<)ゞ

 

「ピンク・ハッカー」の2016年最後の更新です!

来週の月曜日はもう1月2日です。1月2日は更新するの?

2017年1発目は1月9日にアップしますよ。

来年は派手な記事を作ろうよ「ライターの火花をUSB端子に流したらPCが壊れるか?」とかさ。

いいね、それ面白そう。

でも、テストする機材がないから、フレッシュの私物パソコンでやるしかないね。

えええ〜。

壊れたら買ってくれるのかしら?

このブログは「公式非公認ブログ」だから、新しいのは買ってくれないね。

だよね。この衣装も自腹だしね……。

来年は100万PVを達成して、広告収入でDEFCONに行けるように頑張りましょう!

さて、今回のエントリーは2016年に発生したセキュリティ事件を、ピックアップしました。

2人の独断と偏見でセレクト。

セキュリティに興味がない人も「これは知っておいた方がいいじゃん!」という基準で選びました。

では、さっそく見ていきましょう。

あ、ちなみにこれらの意見は、フレッシュ&プリンスの個人的な意見であり、我々の所属する組織の公式見解ではありません。

アップルとFBIによる、iPhoneロック解除問題

2015年12月にカリフォルニア州の福祉事務所で乱射事件が発生(サンバーナーディーノ銃乱射事件)。犯人は死んでしまうんだけど、iPhone 5Cを所持しており、FBIがこのiPhoneのロックをAppleに解除するよう要求。しかしAppleはロック解除を拒否。そこでFBIは裁判所を通じて解除を命令するが、この要求も拒否。そして2016年2月16日にAppleのCEOであるティム・クックが顚末を発表したことで、みんなが知ることになりました。(アップル vs FBI、iPhone「ロック解除」問題の波紋

Appleは好きでも嫌いでもないけど、この「消費者を守る」という姿勢は好感が持てるな。ほら、iPhoneに溜め込んだエロ画像を第三者に見られたらイヤじゃん。

え、そこ?

確かにAppleという会社「暗号化」には熱心なんだよね。なぜだろう?

やっぱりスティーブ・ジョブズは元ヒッピーで「反権力」の人だから、そのスピリッツが受け継がれているのかな。

それはあるかもしれないね。

 

f:id:pinkhacker:20161226220306j:plain

 

この問題は結局どうなったの?

FBIはイスラエルの「Cellebrite」に協力を依頼したものの解除はできず。ハッカーを使って解決したみたい。ハッカーはゼロデイを使ってロックを解除したみたいだよ。
この事件はまさに「国家 vs 企業・個人」の最前線に僕たちがいることがよくわかるから。

え、どういうこと?

NSAやCIAが、インターネットを盗聴しまくていたことがエドワード・スノーデンが暴露した。これは驚きのニュースだったけど、一般市民としては実感としてないよね。

まあ、私のメールをNSAが盗み見している……と言われても、ピンクがキャバクラでモテモテになっているというぐらい、現実感がないね。

その例えはよくわからないけど、リアルな事件でもあってもリアリティは一般人の我々は感じない。だけど、今回のFBIのロック解除要求事件は、それを一気に身近にしてくれた。

内閣情報調査室に盗聴されるよりも、警視庁にiPhoneロックを解除される方が想像しやすいからな〜 あと謎のサイバー盗聴・盗撮集団「ギフハブ」も恐ろしいけど。

……。

大人のオモチャデータを企業が無断で収集

なんか、凄いタイトルのヤツがきたね。

カナダの企業がスマートフォンで遠隔操作できるバイブを開発。ハッカーがこの製品をリバースエンジニアリングを行ない、ユーザー情報を企業が無断で収集していたことが判明。ユーザーが怒って訴訟を起こして、企業が平謝りした事件。(「IoTアダルトグッズ」データを無断で収集(前編)

商品のサイトを見ると、カップルが使う製品みたいだね。使った情報を企業側が収集していたらイヤだわ。「あなた方カップルは、8時使用、9時使用、10時使用……23時使用」ってバレちゃうからね。

何時間使っているんだよ!

データを収集していても、それを上手く活用してユーザーのために使えば良かったのに。

え、どうやって?

ほら、昼間から使ったら、「お仕事中のプレイですか? お日様が出ているのにお盛んですね」とか、使っている時間が短い場合は「短時間で弊社の製品に満足されたんですか? それとも機能不足でやめたんですか?」とか、短期間で複数の場所からコントロールされた場合は「ボーイフレンドがたくさんいて、羨ましい限りです」とか、通知を送れば良かったのに。

面白いアイデアだけど、ますます訴訟の件数が増えるサービスだね。

ええ〜。

そうなのか、残念だな〜。


f:id:pinkhacker:20161226220913j:plain

 

この事件は、アダルトトイだから面白おかしく報道されちゃったけど、本質は生活の中に溶け込んだIoTによるプライバシーの侵害だからね。

THE ZERO/ONEのこの記事は、最後に良いこと言ってるよ。

「IoT製品の楽しげな機能ばかりに目を奪われるのではなく、「この製品は、本当にインターネットに繋いでも良いものなのか?」という問題を、いちど冷静に考えてから購入を決めるべきなのかもしれない」

ってね。

自宅の鍵をスマートフォンで解錠できる製品購入を考えていたけど、この事件で買うのをやめたからね。

なんでそんなの買おうとしたの?

家を出るときは施錠を忘れる。鍵をかけても、会社に鍵を忘れる……といったミスを何度もやったからね。

フレッシュは、その製品を導入した方が良いよ。

でも、スマートフォンそのものもよく無くすんだよね。

……。

ダークウェブが注目された

今年はスプラウトから文春新書『闇ウェブ(ダークウェブ)』を出しましたね。これはニュースにいれないと!(『闇ウェブ(ダークウェブ)』 流出情報が売買される「サイバー闇市場」の実態

評判が良くてホッとしました。

今年は日本でもダークウェブに関する報道が増えました。

毎日毎日、ダークウェブを調査しているけど、このリサーチで辛いのは、ネットのレスポンスの悪さだね。

レスポンスが悪い?

ダークウェブの仕組み上、目的のサーバーに到着するまでの経路が、サーフェイスに比べると長くなってしまう。端的に言うと、ブラウザーにURLを入力しても、画面に表示されるまで時間がかかるってことさ。

アナログ回線で接続していた時代みたいだね。

アナログ回線の時より、表示が遅く感じることも珍しくない。待ったあげく「表示されません」って出るのはしょっちゅう。疲れているときに作業すると、凄く眠くなるんだよね。

だからいつもデスクでピンクは寝ているんだ?

寝てないよ!

日本だけでなく、世界でもダークウェブを舞台にしたいろいろなサイバー犯罪が行なわれたようです。各国の捜査機関もダークウェブ上に存在する違法コンテンツ・サービスと戦っており、一部成果が出ているようです。ただ、ダークウェブを完全に攻略できたかというと、まだまだ難しいみたいですね。

サイバー犯罪をやる気満々な人々がダークウェブに集まっているから、今後も当局とサイバー犯罪者の戦いが続くんでしょう。

目が離せません。

来年もセキュリティに興味がある人は目が話せない場所ではあるよね。

ピンク・ハッカーでは、これからもダークウェブについて調査していくので、楽しみにしてください。

2017年はどんな年になる?

さて、来年はどんな年になると思いますか?

お、鋭い質問が来たね!

ずばり、来年は中国と米国のサイバー戦争が発生して、日本が巻き込まれると予想。

おお! なんか凄い予想きた!

サイバー戦争になるなら、日本のインフラ施設が攻撃されて、発電所が爆発して、ダムが決壊して、ピザ屋のシステムがダウンしてクリスマスイヴは阿鼻叫喚、サイバー兵器「呉爾羅」が東京湾から上陸して大変なことになるんだ!

……。

本気で言っているわけじゃないからね。

そこまで大がかりじゃなくても、ピンポイントで停電が起きたり、国家公務員の個人情報が漏洩したり、突然ATMがダウンするかも。戦争の基本は「小さな攻撃で的に大きなダメージを与える」こと。サイバー戦争の世界は、物理的なものを破壊しなくても、社会システムをちょっと叩くことで、国民に強いショックを与えることができる。

社会のシステムがダウンしたら、堂々と会社が休めるのにな〜

みんながそれぐらい楽観的だったら、サイバー攻撃でインフラを破壊してもあんまり効果的じゃない。生活は不便になるけど。で、フレッシュはどんな予想をする?

Apple PayやAndroid Payなどスマートフォンの決済サービスが、どんどん普及しているので、そのあたりを狙った攻撃が発生するんじゃないかな?

やはりお金はサイバー犯罪者にとって魅力的なものだし。

具体的にはどんな攻撃なの?

マルウェアに感染させたり、フィッシングサイトを利用した盗み方はあんまり面白くないので、レジ周りにある決済リーダーをハックして、お金を全部抜き取るとかは映画みたいでワクワクするね。一気にお金持ちだ!

映画みたいだけど、実行するにはなかなか大変そうだ。

そんな常識や予想を持ってしまうと、それに引っ張られて自由な発想や考えができなくなるよ!

確かにそれはその通り。

呉爾羅がやってきても驚かないような気持ち、常識に捕らわれない発想を、2017年は持ちたいですね。

あとあと〜私は「情熱大陸」に出たいという夢があるので、来年はぜひ叶えたいな〜。

もちろん「プロフェッショナル 仕事の流儀」でもいいです。

大きなところを攻めるな〜。

それではまた来年!

来年も「ピンク・ハッカー」をよろしくお願いします。