仏保険会社アクサが自国内のみランサムウェアの身代金損害補償を停止
フランスの保険会社アクサがフランス国内のサイバー保険について、ランサムウェアの身代金支払いへの補償をやめるとのこと。
ランサムウェアの身代金支払いへの補償が停止されるのは、フランス国内のサイバー保険の新規契約からで、他国の契約や既存の契約ではそのまま有効。また、ロシアなどの「safe haven」を拠点とする犯罪者によるランサムウェア攻撃の対応・復旧費用の補償も引き続き行うらしい。
背景にあるのは、保険会社が身代金を補償することそのものへの批判。犯罪者集団は狙った企業について、事前にサイバー保険の加入状況や、ときにはランサムウェアの身代金に対する補償額まで調べた上で攻撃し、保険の補償内容に合わせて要求額を決めることもあるという。
それがかえって被害企業が身代金を支払う傾向を後押しし、ビジネスとしてのランサムウェアを助長している面がある点が問題視されるようになっている。
また、ランサムウェアの世界的な被害拡大で、身代金支払いによる損害を補償するサイバー保険事業の収益そのものを悪化させる懸念も出て来ているとのこと。
正しいやり方は、資金に余裕のない中堅、中小企業が、十分なセキュリティ対策を行うための支援をすることや、暗号化通貨市場に対する規制を強化して、犯罪者集団のマネーロンダリングに悪用されないようにすることではないのか、という問題提起もされているらしい。
ということで、今回はフランスの保険会社アクサが自国内限定で補償を停止というニュースだけれど、この流れは他の欧米諸国にも広がるんだろうか。
学生がインストールした海賊版ソフトからランサムウェア被害
ヨーロッパのとある生体分子研究所がランサムウェア「Ryuk」の被害にあい、1週間分の研究データを失うと同時に、丸1週間ネットワークが不通になったとのこと。
きっかけは研究にアシスタントとして参加していた大学生が、自宅のPCにも研究所のPCと同じ数万円のソフトウェアが欲しいと、ネットで海賊版を探してインストールしたところ、仕込まれていたマルウェアに感染。
大学生が感染に気づかないまま、マルウェアはWindowsのクリップボード履歴から研究所へリモートデスクトップ接続するユーザ名とパスワードを盗んだ。
そのユーザ名とパスワードがブラックマーケットで売り出され、それをランサムウェアのオペレータである犯罪者集団が購入、大学生のPC経由で研究所のネットワークを感染させたのではないかとのこと。
これらはインシデントに対応したセキュリティベンダーSophosの調査で判明したらしい。
Bleeping Computerの別記事によれば、認証情報のブラックマーケットでは、ユーザ名とパスワードが1組3ドル程度の安値で販売されており、「Ultimate Anonymity Service (UAS)」と呼ばれるサイトでは過去3年間で130万組が販売されたとのこと。
教訓としては、海賊版を買おうとするのはやめましょうというのは当然として、リモートデスクトップを二要素認証なしでインターネットにさらすのはやめましょう。ワンタイムパスワードなり、接続元グローバルIPアドレスの制限なりをちゃんとしましょうということ。
まあでも二要素認証のないウェブサイトで機密情報をやり取りしようとされる企業はまだまだありますよね。
組織的なアマゾン偽レビューの証拠が当のアマゾンのクラウドサービスから漏えい
とあるセキュリティ専門家がアマゾンのクラウドサービスで公開状態になっているデータベースを見つけたところが、アマゾンの偽レビューを組織的に行っている業者のデータだったとのこと。
約1,300万件、7GBにおよぶデータには、販売業者が偽レビューを投稿した顧客とやりとりしたダイレクトメッセージの内容も含まれ、20万人以上がかかわっていたらしい。この組織的な偽レビュー投稿は中国発で、欧米を狙って行われていた。
関与していた販売業者は5つ星レビューが欲しい商品のリストを提供、顧客は参加登録し、Amazonで購入後、レビューを投稿。レビューが公開されたら顧客は販売業者にレビューのリンクを送信、業者は商品はそのままで代金を返金という、ありがちな仕組み。
こういう販売業者が明るみに出て、Amazonのレビューモデレーションがより厳しくなるのは一見良さそうなことにみえる。しかし、モデレーションが過剰になり、逆にAmazon自身が自社の利益のために、恣意的にサードパーティーセラーのレビューを削除することも起こり得るので要注意だ。
じっさい『POLITICO』によれば、Amazon社内で販売業者の売上データへのアクセス制限が不十分で、Amazonの従業員がそれらのデータを閲覧、Amazon自身が出品している商品の販売に有利になるように利用していたとされている。
Amazonが恣意的にサードパーティーセラーへの高評価レビューを厳しくチェックしている、なんていうことはないと信じたい。
ベルギー政府への大規模なDDoS攻撃はウイグル問題と無関係
現地時間2021/05/04夜、ベルギー政府の複数の期間が大規模なDDoS攻撃にあい、組織内のシステム、外部ウェブサイトとも停止に追い込まれたとのこと。
政府が出資している政府機関むけインターネットプロバイダ「Belnet」に対する攻撃で、国会ふくむ200以上の政府機関のインターネット接続が影響をうけた。新型コロナウイルスのワクチン接種予約サイトもダウンしたらしい。
ただ、ベルギーの一部政治家は、興味深い偶然を指摘しているとのこと。
というのは、中国の「ウイグル人強制収容所」からの「生還者」が、ベルギー国会外務委員会で証言する予定だった時期とこの攻撃が「偶然」重なったからだ。
ブリュッセルにある非営利のシンクタンク、王立国際関係研究所の上席研究員、トマス・ルナール氏は、ベルギー国会が中国のウイグル人について議論しようとしているちょうどそのときにサイバー攻撃をうけたのは偶然だろうか?と疑問を呈している。
Apparently, when the Belgian Parliament organizes a debate on the #Uyhgurs in China, it is targeted by a cyberattack that prevents the session...coincidence? 🤔 https://t.co/dzCtSPse2T
— Thomas Renard (@tom_renard) 2021年5月4日
Belnetもベルギー政府も攻撃について調査中で、攻撃が誰によるものかは言及していないようだ。
きっと単なる偶然だろう。
SAPがイランへのソフトウェア輸出で800万ドル以上の罰金
2021/04/29に米マサチューセッツ州地方検事局が、SAP社が800万ドル以上の罰金を支払うことで米司法省、商務省、財務省と合意したと発表した。
罰金の理由は同社がイランに対する輸出管理規制(EAR)に違反したためだが、このリリースで目を引くのは、最初から最後まで、SAP社が自ら違反を申告した点を不自然なほど強調していることだ。
問題になったのは2010/01から2017/09ごろまで、同社が許可なくイランの利用者に製品を輸出したことで、2つの点で法律に違反したと書かれている。
一点目は、2010年から2017年の間、同社が米国で開発したソフトウェアについて、イラン在住の利用者に2万回以上の更新やパッチを提供したこと。
二点目は、同社のクラウドビジネス・グループが約2,360人のイランの利用者に対して、米国に拠点のあるクラウドサービスの使用を許可したこと。同社は2011年に複数のクラウドビジネス・グループを買収し、買収前の調査でその事実を知っていたが、買収後もイランへのサービス提供を続けたとのこと。
これらの行為が深刻な法律違反だとしつつも、自ら事実を公開し、3年間にわたる内部調査と司法省への協力から、起訴猶予合意に至ったとある。
このリリース文中に「自発的な情報公開」という言葉は4回登場しており、地方検事の発言を引用して、今回の決定は輸出規制に違反してソフトウェアやサービスを提供している他の企業への強力な抑止メッセージになる、と書いている。
個人的には、司法省はすでに他の米国企業が輸出規制に違反しているという情報をある程度つかんだ上で、SAP社との起訴猶予合意を公表し、他の企業の「自首」を促そうとしているように思えるが、どうなんだろうか。
