iOS 14.5のアプリケーショントラッキング透明性(ATT)、米石油パイプラインサイバー攻撃
LayerX Labs Newsletter for Biz (2021/04/28-05/11) Issue #106
今週の注目トピック
Takahiro Hatajima(@th_sat)より
Appleが「iOS 14.5」のアップデートにおいて導入された、アプリケーショントラッキング透明性(AppTrackingTransparency:ATT)について紹介しています。
あわせて、アメリカ国内最大の石油パイプラインのコロニアル・パイプラインがランサムウェアによるサイバー攻撃を受けた件について、トピックを整理しています。
Section1: PickUp
●iOS14.5で多くのユーザーがアプリケーショントラッキング(ATT)を無効に
このほど発表されたAppleが「iOS 14.5」のアップデートにおいて、アプリケーショントラッキング透明性(AppTrackingTransparency:ATT)が導入された。これは、「App が他社の App や Web サイトを横断してお客様の行動を追跡 (トラッキング) する場合、事前にお客様ご本人の許可を得ることが義務付ける」ものだ。これをうけ、多くのユーザーが追跡を無効とする選択(オプトアウト)を行っていることが明らかになった。
このATTは、AppleがApp Store登録アプリの開発者に義務付けたもので、ユーザーに関するデータを収集する場合には、「①ユーザーがアプリを最初に起動する際」および「②iOS 14.5にアップデート後にアプリを最初にアップデートする際」にデータ収集の許可を求めるポップアップカードを表示する必要がある。
出典:https://support.apple.com/ja-jp/HT212025 flurry
画面をみると、反射的に「許可しない」を選択してしまうケースが多そうだ。反面、追跡によるメリットについては言及されることが少ない。そのためか、Flurry社によると、iOS 14.5に更新したiPhoneユーザーのうち、米国では追跡を許可したのはわずか6%に過ぎず、94%が無効とする選択(オプトアウト)を行ったという。これを全世界レベルでみても傾向は変わらず、追跡を許可したのはわずか12%に過ぎず、88%のユーザーは無効とする選択を行っている。
追跡を無効とされた場合、システムの広告 ID (IDFA) にアクセスできなくなり、個人を識別することができなくなる。これにより、「ユーザーのアクティビティは追跡できなくなり、効果的なターゲティング広告の表示に利用できなくなる」という。
一方、Appleによれば、「App によるアクティビティの追跡を許可したかどうかにかかわらず、その App の機能はすべて支障なく使えます」という。
「はい」か「いいえ」の選択を迫られて、反射的に追跡を無効としたユーザーも多いと思われるが、なぜ追跡されているのか・追跡によるメリットについてはメッセージ画面で言及されることは少ない。たとえば追跡を無効としたことで、自身に関係のない広告を目にすることが増えることも考えられる。
いずれにせよ、かなりの割合で追跡がオプトアウトされていることから、ターゲティング広告への大きなインパクトが見込まれる。今後のWeb広告の趨勢に注目したい。(文責・畑島)
●コロニアル・パイプラインへのサイバー攻撃について知るべきすべてのこと
アメリカ国内最大の石油パイプラインのコロニアル・パイプラインがランサムウェア(身代金ウイルス)によるサイバー攻撃を受け、7日から操業を停止している。
コロニアル・パイプラインは、米国で最大のパイプライン事業者の1つであり、ガソリン、ディーゼル、家庭用灯油、ジェット燃料、軍事用品など、東海岸の燃料の約45%を供給している。
出典:Colonial Pipeline Struggles to Restart After Ransomware Attack
フロリダ州からバージニア州に至るまで各地の給油所ではパニック買いなどでタンクが空となりつつある。12日時点で南部の一部地域では給油所の約4分の3でガソリンがなくなった。首都ワシントンでは給油所の前に車が長い列を作っている。
全米の平均ガソリン小売価格は6年ぶりに1ガロン=3ドルを突破した。
同社は「被害範囲を食い止めるため、速やかに一部のシステムをオフラインにした。これによって全てのパイプライン操業が一時停止し、ITシステムにも一部影響が出たが、急ぎ再開作業を進めている」と説明。
また「完全に安全だと判断した時に初めて全システムをオンラインで復活させる」としており、メインのパイプラインは未だオフラインなものの、一部の小規模なラインは既に再稼働している。
Nozomi Networks社のCEOであるEdgard Capdevielle氏は、SecurityWeekの取材に対し、コロニアル・パイプラインがマルウェア自体によって停止させられてるのではなく、マルウェアの影響を隔離するための一時的な停止、つまり「制御下にある停止」である旨について言及している。
今回経済的な影響はあったものの、積極的にオフラインにせずに完全にマルウェアの制御下になってしまった場合と比較すると影響は軽減された可能性が高い。
出典:Colonial Pipeline Struggles to Restart After Ransomware Attack
サイバー攻撃がどのように行われたかについて、レガシーで未パッチシステムの脆弱性、フィッシングメール、過去に流出したアクセス認証情報の使用など、サイバー犯罪者が企業のネットワークに侵入するために使用するあらゆる可能性が考えらるが、現段階では具体的な詳細はほとんどわかっておらず、インシデントの調査・分析が完了するまで、明確な原因はわからない可能性が高い。
しかし、サイバー犯罪集団「ダークサイド」が10日、関与を認める声明を発表しており、ダークサイドのマルウェアがコロニアル・パイプライン社のネットワークに6日に侵入し、100ギガバイト近いデータを盗み取ったことが明らかになっている。
ダークサイドはRansomware-as-a-Service(RaaS)グループで、独自ブランドのマルウェアをサブスクリプション方式で提供しており、実際にマルウェアを利用をする攻撃者は別に存在する。
同組織はデータを暗号化し盗み取るソフトウェアを開発した後、「アフィリエイト」にソフトウェアや仕様書、使い方の練習方法などを含む「ツールキット」を提供している。
「アフィリエイト」は、ランサムウェア攻撃で得た収入の一部を「ダークサイド」に納めるという仕組みである。
ダークサイドは、通常のブラウザではアクセスができない、いわゆるダークウェブ上に自分たちのサイトを置き、これまでのハッキングや盗み出した情報などの「業績」を並べている。
ほかにも、医療機関や教育機関、葬儀関連会社や非営利団体、政府などは攻撃しないという「倫理規定」ページも掲示している。
IBM X-Forceによると、ダークサイドの提供するマルウェアは、展開されると、データを盗み、Salsa20およびRSA-1024暗号化プロトコルを使用してシステムを暗号化し、暗号化されたPowerShellコマンドを実行してボリュームシャドウコピー(バックアップ)を削除する。
ダークサイドマルウェア用の復号器は、2021年1月にBitdefender社からリリースされていたが、サイバー犯罪者が復号を可能にする脆弱性を修正しており、最新のバージョンでは機能しないことも明らかになっている。
ダークサイドは2020年の夏に初めて発見された比較的新しいランサムウェアだが、被害企業がシステムからロックアウトされるだけでなく、情報を盗まれるという“Double-Extortion”(二重恐喝)を実行し、被害企業が支払いを拒否すると、盗まれたデータがプラットフォーム上で公開される。
一方、ダークサイドは金持ち(いわゆる「大物」のターゲット)から盗み、犯罪収益の一部を慈善団体に寄付するロビン・フッドのようなイメージを育てようとしているようにも見える。
盗んだビットコイン(BTC)での寄付を申し出たとされる慈善団体は、今のところ受け取りを拒否している。
また、ダークサイドは、顧客に落ち度があったことや、今回のサイバー攻撃が理念にそぐわないことを暗示している。
ダークサイドは自らのウェブサイトで、「私たちの目的は金銭であり、社会で問題を起こすことではない」と表明した。
また、自分たちは「政治に関心はない」とし、「地政学には関わらないし、私たちの動機は(中略)どこの国の政府とも関係ない」と主張した。
出典:https://twitter.com/ddd1ms/status/1391741147001892869?s=20
さらに、コロニアル・パイプラインが攻撃対象となったのは知らなかったとし、「私たちの顧客が攻撃しようとする企業についてチェックし、社会に影響を及ぼさないようにする」との考えを示した。
コロニアル・パイプラインは今後マルウェアの排除に成功しても、脅迫に屈して攻撃者に支払いをしない限りデータ流出の危機に直面する可能性がある。
しかしダークサイドはランサムウェアによって引き起こされる前述の「社会的」問題のために、この通常の戦術を追求しない可能性もある。
追記(2021/05/14):コロニアル・パイプラインは、東欧を拠点とするハッカーに500万ドル(約5億4700万円)近くの「身代金」を支払った。取引について知る関係者2人が明らかにした。
コロニアルは身代金要求型コンピューターウイルス「ランサムウエア」によるとみられる攻撃を受けて数時間以内に、追跡困難な暗号資産で身代金を支払ったという。
ハッカーは支払いを受けた後、コンピューターネットワークを復旧させるための暗号解読ツールをコロニアルに提供した。ただこのツールによる復元プロセスが非常に遅かったため、独自のバックアップも使い続けて復旧につなげたと、事情に詳しい関係者1人は話した。
FBIは、ハッカーがファイルのロックを解除するという約束を守る保証はないとして、組織がハッカーに身代金を支払うことを推奨していない。
また、身代金を支払うことは、他のハッカーたちに動機を与えることになるという。
デジタル・フォレンジック会社「LIFARS」のFounder / CEOであり、ボードウォーク・パイプラインを所有するロウズ・コーポレーションの元サイバー専門家であるオンドレイ・クレヘル氏は、パイプラインの身代金が500万ドルというのは「非常に低い」と述べている。
このような企業の身代金は、通常2,500万ドルから3,500万ドル程度。今回は攻撃者が間違った会社に踏み込んでしまい、政府の大規模な反応を引き起こしてしまったことに気づいたことで通常の身代金額よりも大幅に下げたのではないかと推察している。
出典:Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom
今回の攻撃は、国のインフラの重要な構成要素に対する最大かつ最も成功したサイバー攻撃の1つではあるが、初めてのことではない。
2月には、フロリダ州の都市の飲料水システムに危険なレベルの化学物質を追加しようとするサイバー攻撃があり、2016年には、ウクライナの首都キエフがIndustroyerマルウェアによって1時間にわたって全電源を喪失した。
米国では近いうちにサイバーセキュリティの手順や慣行をより緊急に見直すことになり、強固なセキュリティ態勢を維持していない企業に対して厳しい懲罰的措置が実施される可能性もある。
しかし、サイバー脅威は進化し続けており、いずれにしても、営利目的のサイバー攻撃者によるこのような深刻な社会的混乱が起こるのは、これが最後になるとは考えにくい。
Bitdefender社は、「米国の重要インフラは大陸全体に広がっており、遠隔地にいるエンジニアが必要なときにログインしてメンテナンスを行うことに依存しているため、今回の事件は最初ではなく、最後でもないだろう」とコメントしている。
今週水曜日、バイデン米大統領は、連邦政府のサイバーセキュリティを向上させるための大統領令に署名し、各機関が模範となる必要があると指摘した。
この大統領令には、多要素認証への移行、データの暗号化(保存時と転送時の両方)、ゼロトラスト・セキュリティ・モデル、エンドポイント保護とインシデント・レスポンスの改善などが含まれている。
日本においても、システムの老朽化やクラウドへの移行、管理者の増加やコロナによるテレワーク移行など、ダークサイドのようなRaaSを起点としたサイバー攻撃が発生する背景要因は増加している。
今回のサイバー攻撃の詳細はまだ不明な点も多いため、引き続き動向に注目しつつ他山の石としたい。(文責:野畑)
「LayerX インボイス」において、振込先口座情報のOCR読み取り・自動入力・アラート機能の提供を開始しました。手入力不要で請求書に記載された振込先口座情報を登録可能になります!
詳しい情報はこちらをクリック
LayerXではエンタープライズ向けブロックチェーン基盤を基本設計、プライバシーの観点から比較したレポートを執筆し、公開しています。
基本編のダウンロードはこちら
プライバシー編ダウンロードはこちら
Section2: ListUp
1. プライバシー・セキュリティ
●主にFederated LearningにおけるConfidential Computingユースケース(ヘルスケア分野の研究開発など)について、Intelのケーススタディ
●Apple Watch、早ければ2022年に血糖値やアルコール濃度測定機能が搭載か
●Appleが「利用者のプライバシー保護」を強化する「戦略的理由」
●チャイナモバイル、測位サービスで自動車産業と協力 | 36Kr Japan | 最大級の中国テック・スタートアップ専門メディア
●中国汽車協会CAAMの車両データのハッシュを格納し改竄されていないことを証明のうえで参加自動車メーカーへ提供するプラットフォームを開発
●「ゼロトラスト」の次はこれ、マイクロソフトが注力する2つのセキュリティー技術~"ゼロトラストに続くセキュリティーの注目技術は「パスワードレス」と「コンフィデンシャルコンピューティング」になりそうだ。"
●Nokia、Federated Learning進展にむけてトラステッドデータセットやAIモデルの共有・トレードはかるマーケットプレイス「Nokia Data Marketplace」をローンチ
●ネット追跡技術「消費者像」特定 0.1秒で広告配信: 日本経済新聞
●慶応大 不正アクセスで学生など約6500件の個人情報漏えいか | IT・ネット | NHKニュース
●NECなど3社が組織化した「秘密計算研究会」 プライバシーに配慮し、データ解析
●身代金要求型サイバー攻撃 新たに日本企業の海外関連会社3社に | IT・ネット | NHKニュース
●慶応大 不正アクセスで学生など約6500件の個人情報漏えいか | IT・ネット | NHKニュース
●(社説)サイバー攻撃の対策を官民ともに強化を: 日本経済新聞
●慶応大SFCに不正アクセスで個人情報6507件が漏洩の恐れ、2020年から攻撃が続く
●米石油パイプライン企業へのサイバー攻撃についてまとめてみた
●個人情報 6割が海外移転。アプリ15社、丁寧な説明重要 ルール曖昧で整備急務
●米石油パイプラインのハッカーが声明 「問題起こすつもりなかった」
●米油送管「ダークサイド」が攻撃 「技術開発型」ハッカー: 日本経済新聞
●中小企業向け MY CISO ハンドブック(CISO支援WG) | NPO日本ネットワークセキュリティ協会
2. デジタルガバメント・スマートシティ
●NTTドコモ、建設業向けDXの新会社 コマツ、野村総合研究所などと共同で - ITmedia NEWS
●デジタル庁9月発足、関連6法成立 行政システムを統一へ: 日本経済新聞
●デジタル庁は「行政の透明化」を掲げ、noteでの発信を始めます。
●どうなる? “個人情報保護制度”「デジタル改革関連法」成立 | NHKニュース
●マスク姿でも本人確認は一瞬、マイナンバーカードの保険証利用を体験 | 日経クロステック(xTECH)
3. デジタル化へむけた政策議論
●総務省 パブコメ 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)に対する意見募集: まるちゃんの情報セキュリティ気まぐれ日記
オンライン上でターゲティング広告を行うためにプラットフォーム事業者などが取得・利用するパーソナル・データの扱いについて、ユーザーに懸念や不安を生じさせていることが課題と。
「データの取得・利用に関する透明性や同意のコントロールの実効性が適切に担保されているか」「ユーザーの認知限界を踏まえ、事業者側に適切な配慮や取扱いが行われているか」について、懸念・不安を払拭することが求められている、としている
●厚労省|生命科学・医学系研究等における個人情報の取扱い等に関する合同会議(第1回)(厚生科学審議会 科学技術部会 医学研究における個人情報の取扱いの在り方に関する専門委員会(第1回)) 資料
●第1回 次世代スマートメーターセキュリティ検討ワーキンググループ(METI/経済産業省)
●「デジタル改革関連法案」参院内閣委で可決|日テレNEWS24
●デジタル改革関連法成立で日本は本当に変わるのか:日経ビジネス電子版
4. 中銀デジタル通貨
●野村総合研究所(NRI)|「通貨と銀行の将来を考える研究会」(中間報告)
●米国「Digital Dollar Project」、来年度に実施する5つのパイロットプログラムを発表
●仏中銀、先日の欧州投資銀行(EIB)・ソシエテジェネラルによるブロックチェーン上でのデジタル債券発行に際してCBDCもちいた決済の実験を行っていたことを明らかに
●「CBDCがIDベースとなる可能性が高い理由」について、Financial Times記事
●デジタル人民元、AliPayおよび中国工商銀行のモバイルウォレットでアクティベート
●米ボストン準備連銀、MIT’s Digital Currency Initiativeの協働によるCBDC研究「Project Hamilton」についてスピーチで言及
●香港HKMAと中国人民銀行、デジタル人民元のクロスボーダー決済パイロット成功をうけて次ステップではテスト拡大へ
●バーレーン中銀、JP MorganとCBDC決済で協働を発表
5. デジタル金融
●野村総合研究所(NRI) | アリババ・テンセント・アントグループの戦略転換について
●国内初、パブリッククラウドでのフルバンキングシステムが北國銀行で稼働開始
●オリコのデジタル・トランスフォーメーションの推進に向けて日本IBMと共創。IT構造改革を図ることで戦略的なIT投資へと変革
●野村HD 地銀3行と新会社設立へ 個人資産運用をネットで助言
●東南ア大手銀、DXで躍進 利益や時価総額が邦銀並みに: 日本経済新聞
●目的別の貯蓄機能「ボックス」2021年5月下旬提供開始、最大20個のバーチャル口座が作成可能|みんなの銀行|デジタル銀行で価値あるつながりを
6. デジタル証券
●昨年末にローンチしたシンガポールDBS Digital Exchangeの近況アップデート。
適格投資家や機関投資家むけに預かり資産8000万ドル
取引ボリュームは10倍増の3000-4000万ドル
今年2Qには初めてのSTOを実施へ
●シンガポールのCGS-CIMB証券、iSTOXプラットフォーム上でCPむけトークンを発行
●世界経済フォーラム、デジタルアセット・分散台帳および資本市場の未来についてレポート発表
7. ブロックチェーンユースケース事例
●ブロックチェーンを活用したサプライチェーンファイナンスの未来 | PwC Japanグループ
●日系大手7社が共同出資するトレードワルツ、貿易DX 実現に向け、中核メンバーを「ビズリーチ」で公募 - 産経ニュース
●コンテナ船会社MSC、Wave社のブロックチェーン船荷証券で海運のデジタル化へ
●シンガポール政府の発行するコロナの陰性証明書、正当性証明書の裏側にイーサリアムブロックチェーン
●PwCあらた、ブロックチェーンの信頼性に「お墨付き」: 日本経済新聞
8. 今週のLayerX
●4月から始めたLayerXエンジニアブログ、平日の毎日更新を達成しました!
●連休明けはSaaSをテーマにAlp/アルプさんとイベントやります!毎回多くの参加者、そしてほぼウェビナー中の離脱がないイベントになっています。ぜひぜひご応募ください^ ^
●本日のLayerX エンジニアブログでは、LayerX Labsにおける技術選定や設計を考える上での軸やその具体例についてご紹介しています!
●先日開催されたAWSさんのオンラインイベントに登壇した、LayerX高江の動画が上がっております。Twitter等でも話題になっていたようです。ぜひご覧ください
●新規プロダクト開発のために、ソフトウェアエンジニアを募集しております〜!ぜひお声掛けください。
●本日のLayerX エンジニアブログは、開発組織づくりにおいて見られる共通のパターンについて触れつつ、LayerXが意識している取り組みについて紹介しています!
●【急募Folded hands】LayerX開発チームお試しJOINしませんか?
●LayerX NOW!#7 入社前とのギャップをすんなり受け止められる理由 【ゲスト:CTO室 鈴木 研吾さん】 - LayerX NOW! | Podcast on Spotify
●DX Tech Talk #3 ユーザーの事業を加速させるSaaS - connpass
●本日のLayerX エンジニアブログは「Micro Hardeningに参加した話」です!“ 残念ながらセキュリティインシデントは起きるものです。(中略)我々はそれに備えねばなりません。”
●経理業務はクラウドで!マネーフォワードクラウド会計とLayerX インボイスで始める経理DX
“近年、経理業務をサポートする多くのSaaSツールが生まれてきています。その中でも、今回はマネーフォワードやLayerXインボイスを活用することで、経理DXをいかに推進するかについてお話いたします。”
●LayerX CEO福島がblockchain conference btokyo ONLINE 2021に登壇した模様について、記事にしていただきました!
●本日のLayerXエンジニアブログでは、LayerXインボイスの機能であるメール受信について解説しています!
●「不動産?証券?アセットマネジメント×IT」にお強い人材紹介の方を知っています!という方がいたらこっそり教えて下さい…何卒…
●freee API のGoクライアントライブラリを公開しました - LayerX エンジニアブログ
●LayerX NOW! #8 ゼロトラストな考え方をベースにした社内基盤の作り方【ゲスト:CTO室 鈴木 研吾さん】 | Podcast on Spotify
会社組織をプロダクトと捉えるLayerXならではの社内基盤の作り方にフォーカスを当てて、話を聞いています!
●本日のLayerX エンジニアブログでは、先月の27日に行われたAWS Startup Communityのイベントでの発表内容について要点を紹介しています!
●LayerXと三井物産グループのJVで金融系新規プロダクト開発!ーーー「眠れる銭」を、 Activateせよ。ーーー - 株式会社LayerX
お問い合わせ・ご相談に向けたコンタクトは、こちらの「LayerX Inc. Contact Form」よりお願いします
Disclaimers
This newsletter is not financial advice. So do your own research and due diligence.