年末ということで、あちこちで今年目立ったサイバーセキュリティ事案（情報流出事件やサイバー攻撃）の特集が組まれています。その中でも、いわゆる英語圏を中心とした海外事情の特集が興味深かったので、ご紹介したいと思います。

意外に１年の総括って大変なんです。１年を振り返ろうにも、直前の事案の方が印象に残っているものですし、どれを取り上げるべきか選択しようにも、どうしても編集者の主観的な軽重判断が必要になります。また、どれがより重大かの順番付けについても基準の設定自体に困難さを伴います。その道１０年の専門家に聞いたのですが、よくある１０大ニュースランキングなどもアクセス数などの客観的な尺度がある訳ではなく、専門家が集まって「えいや」で決めているのが実態なんだそうです。ある意味、雰囲気みたいなもので決めるしかないそうで、いったん、あんなことあったね、こんなこともあったねとか言いながら、こんな感じかなぁー、って一旦並べてみて違和感あったら順位を入れ替える、みたいな決め方をするのだそうです。

借り物の振り返りではありますが、ZDnetで取り上げらていた22事案を基準にしてみました。一読したところ、それぞれの事案の背景や意味合いの深掘りが不十分に感じましたので、私なりのコメントを付してみました。（当方、とある企業で、サイバーセキュリティに関する経営層向けの会議資料を準備する立場にあり、その一環で得てしまった知見をベースにしております^_^）

読んで頂いた方の、ご参考になれば幸いです。

１．政府系ウェブサイトへのクリプトジャッキング

2月11日：イギリスやアメリカ、オーストラリアなどいわゆる英語圏の国々で、政府機関や公共部門を含む4000以上のウェブサイトに、マイニングマルウェアが埋め込まれた事案です。

https://thehackernews.com/2018/02/cryptojacking-malware.html

ハッカーがユーザーのブラウザを利用して、ビットコインのような仮想通貨（Cryptocurrency）を得る行為のことを「クリプトジャッキング(Cryptojacking)」といい、許可なくユーザのパソコンの計算能力を使って仮想通貨を採掘するソフトウェア（又はスクリプト）のことを「マイニングマルウェア」と呼ぶのですが、この手の話は説明しようとすると、却って分かりにくくなってしまいますね。

海外では、公的サービスが停止に追い込まれた事案として取り上げられており、政府機関でも対策の必要性の議論に繋げているのかもしれません。

なお、同時期に検知数が増えたと日本国内でもしっかりニュースになっていますが、全く盛り上がっていませんでした。

自分でも勉強がてら一度まとめていたので、何とかついていける話題でした。

なお、ユーザ側で出来る撃退法は以下になります。（英語ですが）

https://fossbytes.com/block-cryptocurrency-mining-in-browser/

なお、12月中旬のニュースを見ても、猛威を振るっているようです。

例えば、McAfee社が出した2018年第3四半期の脅威動向「McAfee Labs Threats Report, December 2018」によると、cryptojackingは増加を続けており、かつてないレベルに増加しているとのことです。

２．チケット販売会社Ticketmaster UKの情報流出

Ticketmaster UKのウェブドメイン上にクレジットカードの情報をスキミングするカードスキマー」と呼ばれるマルウェアが埋め込まれ、2018年2月～6月23日の間に同社のサイトでチケット購入した約4万人分のクレジットカード情報が流出した事案です。

その後の調査の結果、同社のサーバが直接侵害された訳ではなく、サードパーティー製のスクリプトが侵害され悪意のあるコードが埋め込まれていたことが原因と判明しました。その結果、Ticketmaster社は、同社に責任は無く、スクリプトを提供している側の問題だと説明しました。

また、注目されたのはGDPRの発効後だったという点。漏洩に気が付いてから72時間以内の当局に通知しないと大きな罰金（最大で全世界年間売上高の4%）が課される可能性があるということで、BBCの報道においても当局への通知タイミングが注目されていました。

３．アンダーアーマーの情報流出

3月29日：米スポーツブランドのUnder Armour社が提供するカロリー管理アプリ「MyFitnessPal」のユーザアカウント、約1億5000万件のユーザー名や電子メールアドレス、ハッシュ化されたパスワードなどの情報が窃取されことを公表しました。

同アプリは、ダイエットと栄養、運動の記録の関係性を解析可能とするビッグデータと顧客基盤を、フィットネス分野での次なる成長戦略を実現する柱として、2015年に4.75億ドルで買収したものです。

決済カードデータなどは影響を受けなかったものの、MyFitnessPalの全ユーザーはパスワード変更が必要になり、大規模さが耳目を集めました。

４．FacebookとCambridge Analyticaのスキャンダル

3月から盛んに報道されるようになったFacebookのCambridge Analyticaスキャンダル。2018年の最も象徴的な個人データ及びプライバシーの侵害事件として取り上げられました。

侵害の内容は、最大8700万人のFacebook個人情報がCambridge Analyticaに「不正に共有」したことと言われていますが、問題となった情報が提供されたのは2013年から2015年にかけてで、時間が経ってから侵害の内容が明らかになって来たものです。

スキャンダルと呼ばれるほど注目された背景にはいくつの要因が考えられますが、やはり政治絡みでしょう。プロファイリングと呼ばれる個人の特性を割り出す技術を用いて有権者の投票行動を左右させたと見られることです。現在英露関係は最悪の状態ですが、一因の１つにロシア生まれのアメリカ人がCambridge Analyticaに関わり、イギリスのEUからの離脱（Brexit）を問う国民投票に影響を与えた言われています。確定していませんがアメリカ大統領選の選挙活動に使われたとも見られています。

単なる個人情報の不正な共有というだけで無く、政治の世界に大きな影響を与えたとして、大きな衝撃をもって受け止められました。

５．ブリティッシュ・エアウェイズの情報流出

ブリティッシュ・エアウェイズ（British Airways）のオンラインサイトで2018年4月21～7月28日の間にクレジットカードを使って予約した顧客数十万件分の情報が流出した事案です。

流出した情報は決済に使ったクレジットカードの情報で、トランザクションデータがスキミングされた為、盗まれた情報を利用した深刻な被害に繋がりました。

この頃から「Magecart（マジサート）」と呼ばれる同一犯による同様の手口で800社以上が被害に遭っていたとが判明し、２でも取り上げられているTicketmasterの事案もその一環であったことが知られるようになりました。

Magecartは2015年から活動を開始し、金銭を目的としたとされています。これらの事案により、攻撃の手口から誰が犯行の背景にいるのかを割り出す「脅威インテリジェンス」の重要性が益々強調されるようになりました。

６．レイルヨーロッパの情報流出

5月、アメリカ人が欧州の電車の切符を購入する際に利用するRail Europe North Americaのサイト「Rail Europe」で、約3カ月間にわたって同サイトからクレジットカードとデビットカードの情報が流出していることが判明した事案。

このケースでは、同社のサーバからの情報漏洩で、クレジットカードの番号、有効期限、セキュリティコードなど決済完結に必要な情報がセットで盗まれました。同社の情報管理の在り方の杜撰であったとの批判を招くことになりました。

７．子ども見守りアプリTeenSafeの情報流出

5月、「安全性」が売りであるスマホ用の両親向けの子ど見守りモバイルアプリ「TeenSafe」で同社のサーバから、親の電子メールアドレス、子供のApple ID、デバイス名、デバイスIDが漏洩した事案です。

扱っている情報の内容によっては、「安全性」に問題があるとのイメージ自体が、深刻なブランドイメージ毀損に繋がることの実例と言えるでしょう。

８．イギリスの家電小売りDixons Carphoneの情報流出

6月、英家電小売りDixons Carphoneから情報が漏洩事件事案ですが、発見までに約1カ月かかった上に、当初は実質的に影響をを過小に見積もり、後に1000万件に大幅に多く修正した上に不正にアクセスされた時期を明示せず問題視されました。

当初の甘い見通しが、後になって桁違いの被害があったと何度も訂正せざるを得なくなり、信用を重視すべき消費者向けビジネスにおいて、情報公開の仕方が悪い典型例とされました。

欧州の一般データ保護規則（GDPR）の施行を跨ぐタイミングでもあり、法遵守の重要性が強調されるようになりました。

９．チケット販売サイトTicketflyにサイバー攻撃

5～6月に、チケット販売会社であるTicketflyが、ハッカーから脅迫を受け、ウェブサイトを一時停止した事案。

約2700万人の顧客アカウント情報（名前、電子メールアドレス、住所、電話番号を含む）にアクセスされた記録があり、犯行に及んだハッカーからTicketflyに対して、問題の解決と引き換えに、1ビットコインを支払うよう脅迫がありました。

サービス停止は大きな機会損失を生む為、非常に判断が難しいのものですが、後に、一連の対応は被害を最小限に抑えた適切な判断だったと評価されました。

１０．MyHeritageの情報流出

6月、DNA検査サービスなどを手がけるMyHeritageが、電子メールアドレスや暗号化されたパスワードなどのアカウント情報約9220万件を含むファイルが、オンラインで入手可能な状態になっていることが判明した事案です。

対象のデータは、外部のサーバに置かれ、2017年10月26日までにサインアップされたすべてのユーザーアカウントに影響したことが判明しましたが、侵入を受けていたことが明らかになったのは、ずっと後のこととなり、適切とされるタイミングでの開示を可能とする状況把握能力の必要性を再認識させる事案でした。

１１．データ企業Exactisの情報流出

Exactisはマーケティングやデータ集約を専門とする企業ですが、アメリカ市民や企業の幅広いデータを含む、2テラバイト近くの情報が誰でもアクセス可能なサーバ上で公開状態になっており、情報流出したものと見做された事案です。件数も多く、データレコード数は3億4000万件と言われています。６月に判明しました。

１２．シンガポールの医療機関SingHealthの情報流出

7月、シンガポールが「同国史上最悪」とする情報流出に見舞われました。シンガポール最大の医療グループSingHealthのネットワークが不正アクセスを受け、患者150万人の個人情報（患者の氏名、国民登録番号、住所、性別、生年月日など）が流出しました。流出したデータにはLee Hsien Loong首相のデータが含まれていました。

１３．名門イェール大学にセキュリティ侵害

イェール大学は、自校の卒業生と教職員、職員11万9000人に影響を与えるセキュリティ侵害があった事実を公開したと報じられました。発覚したは7月ですが、侵害自体は10年ほど前で2008～2009年にかけてのことでした。名前、社会保障番号（SSN）、住所、生年月日といった情報すべてが漏えいしたことが分かっています。
サイバーセキュリティ対策が進み、過去に発生していた漏洩の事実が次々と明るみに出されて来た例とも言えます。

１４．思い出を振り返るTimehopアプリの情報流出

7月、過去のソーシャルメディアのコンテンツを振り返ることができるサービス「Timehop」は、セキュリティ侵害によってユーザー情報を収めたデータベースが流出し、2100万人に影響したことを明らかにしました。この事件では、全部で電話番号490万件に加え、ユーザー名や電子メールアドレスも漏えいしたことが分かっています。

１５．フィットネスアプリPolar Flowの不具合

7月、フィットネス用のアクティビティトラッキングアプリ「Polar Flow」のサイトでは、ブラウザからアクセスする際のURLを変更するだけで、誰でも任意のユーザーのフィットネスアクティビティ情報にアクセスできる状態が数年間にわたって続いていたと報じられました。

そこに含まれていた位置情報によって、プロフィールが非公開になっていたにも関わらず、複数の諜報機関関係者の住所も容易に特定できる恐れがあったといわれ問題の深刻さが強調されました。

１６．オーストラリアの学生の医療情報流出

8月、オーストラリアのメルボルンにある学校で、背筋が寒くなるような情報漏えいが発生しました。この事件では、部外秘の医療情報や行動に関する記録がオンラインで公開され、300件以上の情報が流出し、一部のケースでは、病状や投薬状況のほか、学習障害であることが分かる情報も含まれていたことが分かっています。

１７．エア・カナダの情報流出

8月、Air Canadaのモバイルアプリにセキュリティ上の問題があり、異常なログインが検出された。その結果、約2万人の顧客に関する情報が漏えいした恐れがあり、その中にはパスポート番号も含まれていました。

１８．T-Mobileの情報流出

8月、T-Mobileは同社のネットワークに不正な侵入があったことを検知し、侵入者は速やかに排除されたものの、顧客情報にアクセスされた後だった事案が発生しました。影響を受けたのは7700万人の顧客のうち約3％（200～250万人）で、顧客の名前、請求先の郵便番号、電話番号、電子メールアドレス、銀行口座番号、口座の種類を含む情報が漏えいしました。

１９．Facebookにサイバー攻撃

9月、攻撃に利用された脆弱性は、Facebookで自分のプロフィールが他のユーザーにどのように見えるかを確認できる機能に存在した。攻撃者はこの機能のコードの脆弱性を突いて、利用者アカウントの乗っ取りを可能にする「アクセストークン」を盗み出していました。

Facebookは当初、5000万人に影響が生じた可能性があるとしていましたがのちに約3000万人に修正しました。

２０．ISPへの攻撃

10～11月には、多くのISPやインターネットのインフラに対する攻撃が発生しました。研究者らは、中国は長年にわたって欧米諸国のインターネットバックボーンをハッキングし続けていると主張。また、カンボジアのISPは同国史上最大規模の分散サービス妨害攻撃（DDoS）を受け、Googleのトラフィックはナイジェリアの小規模なISPが絡む問題で障害が発生しました。

２１．カナダの大麻小売業者の情報流出

11月、カナダの大麻小売業者Ontario Cannabis Store（OCS）の顧客約4500人の情報が漏えいして不正に公開されました（カナダでは10月に嗜好品としての大麻の利用が合法化されている）。漏えいした情報には、受取人の署名の名前またはイニシャル、郵便番号、配送日、カナダ郵便公社の問い合わせ番号、OCSの企業名および住所などが含まれていました。

漏えいの規模は小さかったものの、カナダのオンタリオ州で嗜好品として大麻が合法化されたのが最近だったことから、この事件が注目を浴びました。大麻の利用が合法化されても、利用者は嗜好品として大麻を吸っていることを他人に知られたくない微妙な問題と見做されているようです。

２２．Amazonの情報流出

11月、Amazonは、「技術的な手違い」によって一部顧客の名前と電子メールアドレスが流出したと報じられました。

詳しい情報は明らかされていませんが、Amazonのようなセキュリティ対策が進んでいる企業でも問題が起きている可能性を示唆しています。もはや安全な場所はないのかも知れません。