taraiok 曰く、

Wikileaksが行ったさまざまな機密文書流出については記憶に新しいが、容疑者の確保などには苦戦を強いられているらしい。というのも、政府の公文書を漏らした人物を追求するために使用されるスパイ防止法は米国内で使用される前提であるため、WikiLeaksのような第三国で活動する国際組織を追いかけるのには不備があるからだ（Stanford Journal、本家/.）。

そこでWikiLeaksの該当者を起訴するためにスポットライトが当たったのが著作権法。通常、公的文書の著作権については言及されることはほとんど無い。しかしStanford Journalに掲載された国際法の論文によると、政府の弁護士や法学者らによって研究された結果、組織のいる管轄国内で著作権法を使って訴訟を行えば、これまで難しかった被告の引き渡しにつながる可能性が高い、とまとめられているという。

あるAnonymous Coward 曰く、

Twitterのユーザーアカウントおよびパスワード、電子メールアドレスが含まれると思われる情報が流出しているという（CNET Japan）。

流出した情報は、テキスト共有サイトpastebin.comにて公開されており、カウント名およびパスワードと見られるものが確認できる。この情報を伝えたセキュリティ情報ブログAirdemon.net（キャッシュ）によると、5万5000以上のアカウント情報が漏洩しているとのこと。

ただしTwitterの広報担当によると、このリストには2万件以上の重複があり、またすでに停止されているスパムアカウントや正しくないパスワード情報も多く含まれているとのこと。

また、一部のユーザーについてはパスワードのリセットが行われているとのことだ。該当するユーザーには個別に連絡が行っている模様。

ある Anonymous Coward 曰く、

もしあなたがテロリスト集団を動かしているのなら、自分の書類を暗号化しておくべきでしょう。しかし、オサマ・ビン・ラディンは暗号化していませんでした (本家 /. 記事より) 。

2011 年 5 月にネイビーシールがパキスタンのアジトで彼を殺したときに発見した USB、メモリーカード、HDD などに含まれていたデータのうち 17 の書類がアラビア語から英語に翻訳され米陸軍士官学校の CTC (Combating Terrorism Center) で公開されました。CTC のサイトより両言語の書類がダウンロードできます。

Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。

たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み取られる可能性がある。一方、アプリはURIを指定してWebブラウザーを起動できるが、こちらもパーミッションは要求されない。そのため、インターネットアクセスが許可されていないアプリであっても、URIにパラメーターとして指定することで、サーバーにデータを送信することが可能となる。

言われてみればそのとおりなのだが、こういった点はあまり気にされていなかったと思う。アドレス帳データをバックアップした場合のように、個人情報が暗号化されずにSDカードに保存されることも多いので注意が必要だ。Leviathan Security Groupでは実証に使ったAndroidアプリおよびプロジェクトファイルも公開しているので、興味のある方は確認してみるといいだろう。

danceman 曰く、

アップルは本社のある米カリフォルニア州クパティーノに社員専用レストランの建設を計画しており、市当局の許可が24日に下りたそうだ(CNETの記事、 San Jose Mercury Newsの記事、 本家/.)。

建物は2階建てで、1階部分がレストランのほかラウンジ、会議室、中庭などとして使われ、2階部分はレストラン従業員用のスペースとなる。また、地下には70台収容可能な駐車場が作られるとのこと。周辺には競合他社も多く社屋を構えているため、盗み聞きによる情報漏えいを防ぐというのが主な目的のようだ。

海外ではスクリプトのソースコードやエラーメッセージを共有するために「Pastebin」というツールが使われることが多いという。WikipediaのPastebin項目によると、Pastebinは「ユーザーがソースコードのサンプルなどのテキストを公開するために使われているWebアプリケーション」と説明されている。最近ではTwitterユーザーが140文字に収まらないコードをPastebinを使って公開し、そこへのリンクをTweetする、といった使われ方が多いらしい。

この「Pastebin」を提供するサイトの1つに「Pasitebin.com」があるのだが、最近では不正利用に悩まされているようだ。

headless 曰く、

Pastebin.comのオーナー、Jeroen Vader氏はBBCの取材に対し、機密情報の投稿を監視するスタッフの増員計画を明らかにした(BBC Newsの記事)。

Pastebin.comでは利用者に対して「パスワードリストやソースコード、個人情報を送信しないように求めている」にもかかわらず、1日に寄せられる不正利用報告は平均で1,200件を超えるという。現在はサイト上の不正利用報告システムと電子メールに頼っているが、Vader氏は近いうちにスタッフを増員して監視を強化し、公開された機密情報を早急に削除できるようにする計画だという。

Pastebin.comはAnonymousやLulzSecなどがサイバー攻撃で取得したデータの公開に使用することで知られる一方、サイバー攻撃の被害者でもあるという。たとえば、この3ヶ月でDDoS攻撃を受けなかった日は1日もなく、過去にはVader氏自身の個人情報がPastebin.comに投稿されたこともあるとのことだ。

coara 曰く、

ベクターは、3月19日から21日にかけて一部のサーバーが不正アクセスを受け、個人情報が流出した可能性があることを発表した(お知らせ、 プレスリリース)。

不正アクセスを受けたサーバーに保存されていた個人情報は最大26万1,161件。2008年2月以降にソフトウェアを購入したユーザーおよびPC向けオンラインゲームで課金サービスを利用したユーザーの一部が該当する。一部にはクレジットカード情報も含まれており、最悪の場合は全情報が流出した可能性もあるとのこと。ベクターでは3月22日までに侵入経路を遮断し、不正アクセスを受けたサーバーから個人情報を削除するとともに、個人情報が保存されないようにシステム改修を行った。また、3月23日からは一時的にクレジットカード決済を停止している。

タレコミ子もこの期間にBecky!を購入していたため、追加情報次第でカード番号の変更を行う予定である。

ちなみに、Vectorソフトライブラリ関連サーバーへの不正アクセスの形跡はないが、3月21日に作者あてのメールを送信するサーバーでハードウェア障害が発生しているとのこと。

あるAnonymous Coward 曰く、

時事通信やBBCの報道によると、米アダルトサイトのDigital Playgroundに「The Consortium」と名乗るクラッカーが侵入、7万3千人以上の個人情報が流出したという。

流出した情報にはメールアドレス、ユーザー名、パスワード、並びに4万件以上のクレジットカード番号とその有効期限、並びにセキュリティコードが含まれているとのこと。かつ、カード番号などは暗号化されていなかったという。

The Consortiumは盗み出したデータの一部とコメントを公表しており、それによればこのAVサイトのセキュリティは穴だらけで、この会社が実在することを知らなければ何かのジョークだと思った、というレベルだったそうだ。

先週、シリア大統領府のメールサーバーがサイバー攻撃を受け、大統領側近やスタッフのメールアカウント情報が流出したことが報じられたが、3分の1以上のアカウントでパスワードに「12345」が設定されていたという(Foreign Policyの記事、 Haaretzの記事、 本家/.)。

LulzFinancialが公開したリストに掲載されているメールアドレスは78件。これらのうち、パスワードに「12345」と設定されていたのは28アカウント。また、5つのアカウントには「123456」というパスワードが設定されていた。

ちなみに、パスワードが「12345」だったことから、本家/.では映画「スペースボール(1987)」の話題で持ちきりとなっている。

あるAnonymous Coward 曰く、

米国の告訴の手から逃れるため、WikiLeaksのサーバを海上に移設する計画があるそうだ（Fox News、本家/.）。

WikiLeaksの活動に詳しいというハッカーコミュニティの複数の情報筋によると、WikiLeaksの創設者ジュリアン・アサンジ（Julian Assange）氏の財政的支援者らはサーバを公海へと移設すべく船舶を購入する手はずを整えているそうだ。

移設先は第二次世界大戦中に海上要塞として建設されたシーランド公国が一つの候補ではないかと見られているそうだ。シーランド公国は英国沖10kmに浮かんでいるが、1968年の英裁判での判決にて英国司法の管轄外とされており、また周辺諸国も領有を主張していない。
公海にサーバを移設すれば、海事法による取り締まりの対象となり、海事法でアサンジ氏を告訴することは難しくなるとのことの考えのようだが、一方「告訴は人に対して行うのでありサーバーを訴えるわけではない」とのことでデータの在処は関係ないとする見方もある。

あるAnonymous Coward 曰く、

Symantecは、同社製品のソースコード流出を受け、リモートアクセスソフトウェア「pcAnywhere」の無効化をユーザーに呼びかけている(ホワイトペーパー: PDF、 CNET Japanの記事、 本家/.)。

流出したソースコードは2006年バージョンのもので現行版への影響は少ないが、pcAnywhereの場合は通信傍受や不正アクセスなどを受ける可能性があるという。pcAnywhereはPC同士が直接接続して通信を行うため、エンコード技術や暗号化技術に関するソースコードを攻撃者が入手していれば、通信内容が読み取られる可能性がある。また、傍受によりログイン情報が盗まれた場合は、不正なリモートセッションが確立される可能性もあるとのこと。

Symantecはこの問題を脆弱性と認識しており、1月23日にバージョン12.5用のパッチを公開済み。バージョン12.0と12.1用のパッチも先週中に公開する予定とされていたが、現時点では提供開始のアナウンスはない。すべての更新完了までpcAnywhereクライアントだけでなく、リモートアクセスサーバーやサービスの停止なども推奨されている。

朝日新聞に、「〈ニュース圏外〉密かに続くネット流出　さらす側の本音」なる記事が掲載されている。以前、Winnyなどのファイル共有ソフトを利用しているユーザーが暴露ウイルスに感染、機密情報などを流出させる事件が発生したが、この記事は流出した情報を収集して「晒す」人たちを取材したものだ。

記事によると、「晒す側」の中心メンバーは2、3人で、そのうち2人に取材したという。1人は首都圏に住む50代男性、1人は東北地方の60代男性で、後者は情報流出を流出元に知らせ、「詳細について知りたければ契約を」という形で1件あたり5～15万円程度の収入を得ていたという。

また、この記事では記されていない取材の裏側について、朝日新聞記者の神田大介氏がTwitterで述べている。こちらも興味深い。

あるAnonymous Coward 曰く、

米Symantecが、ウイルス対策ソフト「ノートンインターネットセキュリティ2006」、「ノートンアンチウイルスコーポレートエディション2006」、PC遠隔操作ソフト「pcAnywhere」などでソースコードの一部が流出していたと発表した（朝日新聞）。

流出したソースコードは古いものであるため、現行版への影響は少ないとのこと。ただし「pcAnywhere」では通信傍受や通信障害の可能性があるそうだ。

あるAnonymous Coward 曰く、

Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという（Togetterまとめ：Amazonのほしい物リストを公開していると個人情報を抜かれます）。

必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。

これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい物リストに入っていない商品を勝手に送りつけることができる。このとき、自分が商品の出品者となっている商品を利用することで、実際に商品を購入することなしに、「発送先情報」という形で相手の個人情報を取得できてしまうという仕組みだ。

ちなみに先日Amazon ウィッシュリスト経由で砂 1 トンを送る方法というネタも一部で話題になっていた。「ほしい物リスト」に入っていない商品も送付できるという点が根本的な問題であるので、迅速な修正を期待したい。

対処方法としては、「ほしい物リスト」の設定で「お届け先住所」を設定しないようにするのが良さそうだ。

M-FalconSky 曰く、

米民間情報機関Stratfor Global Intelligenceの顧客情報をハッカー集団(?)のAnonymousが暴露したという発表があったそうなのだが、それについて「この情報を流出させたのはAnonymousではない」と否定するプレスリリースと、「否定リリースを出したのはAnonymousではない」というプレスリリースが相次いで公開したらしい（ITmedia）。

……Anonymousの仕事の是非とかさておき、本当はどうなのだろうか。もちろん/.JのAnonymousさんたちを疑ってはおりませぬ。