2013年の重要なセキュリティストーリー

振り返ってみると、データ侵害、プライバシー、サイバースパイ、政府のスパイ、高度なマルウェア、重大な逮捕、セキュリティ機能の改善など、数週間ごとに良いニュースから悪いニュースへと移り変わった2013年は、ジェットコースターのように感じられました。

今年の最大の物語、あるいは一連の物語は、元国家安全保障局の請負業者であるエドワード・スノーデンが盗んでメディアに公開した文書を中心に展開します。 しかし、それは2013年の唯一の大きな話ではありませんでした。初めて、中国のアメリカ企業に対するスパイの明確なケースをセキュリティ会社が明らかにし、アメリカ政府は中国政府と公式にこの問題を議論しました。 法執行機関はいくつかの重要な勝利を収め、大きなクレジットカード盗難リングを破壊し、Blackhole Exploit Kitの作成者を逮捕しました。 データ侵害は継続しましたが、Experianの違反は、データブローカーが個人情報を収集する問題を浮き彫りにしました。 通常のユーザーは、Google Glassユーザーが街頭に出るとオンラインプライバシーについて話し始めました。 企業は、送信中のデータの暗号化、2要素認証の実装、政府に提供する情報についての透明性の向上など、より良いセキュリティの実践に取り組んでいます。

2013年は、セキュリティの専門家や個人にとっても忙しいものでした。 以下は、順不同の、今年の重要なセキュリティストーリーのレビューです。

秘密のNSA監視プログラム

NSAの啓示だけでコラム全体を埋めることができました。 電話記録収集プログラムに関する最初の記事は衝撃的でしたが、その後の各啓示は以前よりも爆発的であると感じています。 代理店はWebアクティビティをスパイし、GoogleおよびYahooデータセンターとの間のトラフィックをスヌープし、電子機器にスパイウェアとバックドアをインストールするために貨物を傍受し、他の国やゲーマーのリーダーを盗聴したとされています。 NSAのキースアレクサンダー大将は、政府機関がその境界内で行動し、市民の自由を守ることに注意を払っていると主張し続けていますが、改革の要求はますます大きくなっています。 議会はNSAの問題について何をすべきかを議論している、保守的な連邦判事はクレイマン対オバマ大統領で、NSAの電話記録プログラムは第4修正条項に違反している可能性があり、ホワイトハウスが選出した独立パネルがNSAを推奨したと裁定したプログラムを削減する必要があります。

AppleのTim Cook、GoogleのEric Sc​​hmidt、YahooのMarissa Mayerを含む技術大手のグループは、NSAの活動に関する懸念についてBarack Obama大統領と話をしました。 AOL、Apple、Facebook、Google、LinkedIn、Twitter、Yahoo、Microsoftは、政府が市民の安全とセキュリティを保護するために行動を起こす必要がある一方で、「現在の法律と慣行を改革する必要がある」ことを要求するために団結しました。

多くの企業が透明性レポートをリリースして、政府にどのような情報を引き渡し、ユーザーに関する情報を引き渡す必要がないように暗号化された電子メールサービスLavabitを停止しました。 EMCのセキュリティ部門であるRSAは、セキュリティ製品の暗号化アルゴリズムを侵害するためにNSAから1, 000万ドルを費やしたというReutersの報告を受けて、現在その評判を擁護しています。

中国、中国、中国

NSAの活動に関する情報の波に非常に魅了されているため、2013年にサイバースパイ活動における中国の役割を概説した爆発的なレポートで始まったことを忘れがちです。 MandiantからのAPT1レポートは、中国のサイバー攻撃者が米国のビジネスおよび政府のネットワークに侵入するために何をしていたかを明確に示した最初の決定的な声明でした。 レポートは、これらの攻撃者が知的財産を盗み、バックドアをインストールし、システムを破損した方法を概説しました。

報告書が発表されて間もなく、さまざまな政府当局者が中国の活動について話しました。 5月、中国に関する国防総省の年次報告書は、米国に対する政府および軍事攻撃について、その国の政府を直接非難した。 オバマ大統領は、中国の習近平国家主席との会談で非難を浴びせた。 中国政府は、米国が本質的に同じことをしていると非難した。 （Snowdenの前兆は少しですか？）

メディアアウトレットに対する攻撃

今年、メディアは攻撃を受け、The New York Times、Washington Post、およびWall Street Journalは、彼らが洗練されたマルウェアに感染したことを明らかにしました。 疑念の指は、中国をどこに向けたのか。 Syrian Electronic Armyは、The Onion、Guardian、およびその他の店舗のTwitterアカウントに反対しました。 APのTwitterアカウントへの偽の投稿、「ブレイキング：ホワイトハウスとバラクオバマの2つの爆発が負傷しました」は、ダウ・ジョーンズが一時的に140ポイント落ちて、株式市場に少しの混乱さえ引き起こしました。

SEAがサイトのドメインネームシステム設定を変更することができたNew York Times Webサイトに対する攻撃は、攻撃者がWeb操作をどれだけ簡単に妨害できるかを強調しました。 この攻撃のSEAはネットワークにハッキングすることさえしませんでした。グループはスピアフィッシングを介してこの攻撃を達成しました。

アプリケーションセキュリティに焦点を当てる

Affordable Care Actとヘルスケアエクスチェンジウェブサイトのロールアウトにより、セキュリティテストの重要性が最前線にもたらされました。 セキュリティの専門家は、アプリケーションを公開する前にセキュリティの問題をテストすることがどれほど重要かを知っていますが、時間を刻み、製品を予定通りに出荷する時間がなくなると、セキュリティが脇に落ちます。 HealthCare.govで特定された問題の一部は、そのロールアウトが失敗した後に攻撃者がサイトを標的にする可能性を高めました。 個人がサイトの他のユーザーに属する機密情報を見ているという報告がありました。

サガ全体をフォローしたエグゼクティブは、おそらく主要なアプリケーションのロールアウトがあったときに、セキュリティテストをすぐにスキップすることはないでしょう。 またはそう願っています。

分散型サービス拒否攻撃

DDoSは新しいものではありませんが、今年は2つの大きな進展がありました。 DDoSは、特にOperation Ababilの一部として、金融サイトに対して頻繁に使用されましたが、攻撃者は他の業界を含むように標的を拡大しました。 今年最大の攻撃の1つは、3月にSpamhausに対するもので、ピークは300 gbpsに達しました。

主要なサイバー犯罪逮捕

5月、5月のニューヨーク東部地区連邦検事は、盗まれた口座情報に関連する4500万ドルの銀行強盗の容疑を発表しました。 ギャングは、口座情報を盗むために金融機関にハッキングし、ATMから数百万ドルを引き出したと言われています。

7月、米国ニュージャージー州検事は、少なくとも17の大手小売業者、金融機関、および支払処理業者のコンピューターネットワークを侵害して1億6千万件以上のクレジットカードおよびデビットカード番号を盗んだサイバー犯罪リングを請求しました。 ターゲットネットワークには、特にナスダック、セブンイレブン、ビザ、JCペニーなどが含まれます。

ロシア当局は、Blackhole Exploit Kitの作成者であるPaunchを逮捕したと主張しています。 セキュリティ専門家は、逮捕により、サイバー犯罪者が現在埋めようとしているボイドは存在しないと考えています。 「Blackholeの明確な後継者がいないため、サイバー犯罪ギャングは、マルウェアの配信メカニズムがあまり洗練されていないために失われた収入を補うために他の場所に投資している可能性があります」とWebsenseのセキュリティリサーチディレクター、Alex Watson氏は述べています。

散水穴攻撃

ウォータリングホール攻撃は今年かなり顕著であり、Facebook、Apple、Microsoft、Twitterなどの主要なハイテク企業の従業員や、防衛請負業者や政府職員に対するWebサイトがハッキングされました。 これらの水飲み場攻撃は、Internet Explorer、Java、およびその他の一般的に使用される技術のゼロデイ脆弱性を利用しました。

攻撃者は、中央チベット政権とチベットの家基金、および東トルキスタンのイスラム協会が管理するウイグルのウェブサイトを訪問している中国語圏の人々を標的としていたため、親チベットの活動家に対する散水穴攻撃も発見されました。

Experianデータ侵害

私たちは、最後の主要なデータ侵害を記憶し、以前に来た他のすべてを忘れがちです。 休日のショッピングシーズン中に約4, 000万件のデビットカードとクレジットカード番号が侵害されたTargetが最近受けたデータ侵害は非常に重大ですが、ユーザー情報に関連する最も恐ろしいデータ侵害はExperianデータ侵害でした。

Experianは、個人情報（社会保障番号、住所、銀行口座の詳細）を売買する組織の1つです。 セキュリティライターのブライアンクレブスによる調査によると、この情報は海外の犯罪組織に販売されました。 また、この違反は、人々が所有する車や以前住んでいた場所を示すことで身元を確認するように求められる多くの知識ベースの認証システムが、さらに脆弱になっているという事実を強調しました。

オンラインプライバシーに目覚める人々

Googleが、ウェアラブルテクノロジーの未来を、Google Glassの「探検家」の最初の波で広げたとき、人々は驚いた。 人々は最終的に、顔認識の影響と、オンラインで投稿できるものがプライバシーに与える影響を認識しました。 ハイテクの未来は、プライバシーがない、またはプライバシーを脅かすためにレストランやその他の施設から人々を追い出すことができる場所ですか？

新しい攻撃、国のインターネット、オンライン支払い、モバイルセキュリティ、およびモノのインターネットの予測で、2014年をすでに見ています。 2014年へようこそ。不確実性や勝利の年になるのでしょうか。 新しい年にセキュリティの浮き沈みを追うので、セキュリティウォッチに固執してください。