「Diginotar」はオランダの認証局で、SSL証明書を販売している。



 　2011年7月10日、何者かが何らかの形で、彼らから不正なSSL証明書を獲得することに成功した。この証明書は、ドメイン名「.google.com」用に交付されたものだ。

 　このような証明書で何をすることができるのだろうか？　まず、Googleになりすますことができる。最初にgoogle.comに対するインターネットトラフィックを、自分に対してリルートできるならばだが。これは政府や不正なISPによって行える事だ。このようなリルートは、その国もしくはそのISPのもとにいるユーザしか影響を及ぼさない。

 　しかし、何故Googleをインターセプトしたいと考えるのだろうか？　これは実際には「www.google.com」のサーチエンジンに関することではない。「mail.google.com」のGmailサーバおよび「docs.google.com」のGoogle Docs、そしておそらく「plus.google.com」のGoogle+が問題だ。

 　5月にも（イタリアの証明書リセラー「instantssl.it」を介した）同様の攻撃が見られた。そのケースはイランと関係していた。今回も同様だ。イラン政府が反体制派をモニタするのにこのテクニックを使用している可能性がある。

 　イランには自身の認証局は無い。もしあれば、不正な証明書自体を交付すれば良いだけだ。しかし、彼らは認証局を持っていないため、広く信頼されたCAからの、こうした証明書が必要となる。「Diginotar」のような。

 　「Diginotar」はどのように侵入されたのだろうか？　我々にはまだ分からない。

 　しかし、我々が発見したことはいくつかある。

 　以下は現在のhttps://www.diginotar.nl/Portals/0/Extrance.txtのスクリーンショットだ：



 　「Diginotar」のポータルはハッキングされている。イランのハッカーを自称する何者かが侵入したのだ。

 　これは決定的な証拠のように見えるだろう。明らかにこれは、不正な証明書にどのようにしてか接続していなければならない。

 　しかし、きちんと見るなら、このページがhttps://www.diginotar.nl/Portals/0/owned.txtからのものであることが分かるだろう：



 　イランの別のハッカーグループ？

 　もっと深く掘り下げるなら、これらのWeb改ざんは現在もまだ残っているが、新しくはないことが分かるだろう。もっと悪いことには、それらは数年前になされたものだ。

 　以下は、https://www.diginotar.nl/Portals/0/fat.txtで、2009年5月にトルコのハッカーにより行われた別の例だ：



 　実際、これらのハッキングは非常に古いもので、現在の問題に関係している可能性は低い。あるいは少なくとも、そうであって欲しいと思う。

 

P.S.　この出来事のニュースは、最初、S. Hamid Kashfi（@hkashfi）がTwitterで公表した。彼は2010年には、イランのマン・イン・ザ・ミドル攻撃についてブログに記事を書いている。ここに2010年5月の（Google Translateを介した）ブログ記事がある。



P.P.S.　我々の以前の記事にも、SSL関連の問題に関する詳細がある。

P.P.P.S.　改ざんに関する「Diginotar」の公式声明が出されたが、回答よりも多くの疑問を残した。「Diginotar」は確かに、2011年7月19日にハッキングされた。攻撃者は不正な証明書をいくつか生成することができた。おそらくEVSSL証明書も含まれている。しかし「Diginotar」は、他の不正な証明書を無効にしたが、Googleに発行されたものを見逃した。「Diginotar」は、Googleが突然彼らのSSL証明書を更新しようとし、よりにもよって、オランダの小規模なCAで行おうと考えたことを、少し奇妙だとは思わなかったのだろうか？　そして「Diginotar」が改ざんの後、自分達のシステムを検査していた時に、上記のイランの改ざんをどうして見逃したのだろうか？

追記：9月5日の時点で、攻撃者が証明書を作成することができた既知のドメインリストは以下の通り：

*.*.com
*.*.org
*.10million.org
*.android.com
*.aol.com
*.azadegi.com
*.balatarin.com
*.comodo.com
*.digicert.com
*.globalsign.com
*.google.com
*.JanamFadayeRahbar.com
*.logmein.com
*.microsoft.com
*.mossad.gov.il
*.mozilla.org
*.RamzShekaneBozorg.com
*.SahebeDonyayeDigital.com
*.skype.com
*.startssl.com
*.thawte.com
*.torproject.org
*.walla.co.il
*.windowsupdate.com
*.wordpress.com
addons.mozilla.org
azadegi.com
friends.walla.co.il
login.live.com
login.yahoo.com
my.screenname.aol.com
secure.logmein.com
twitter.com
wordpress.com
www.10million.org
www.balatarin.com
www.cia.gov
www.cybertrust.com
www.Equifax.com
www.facebook.com
www.globalsign.com
www.google.com
www.hamdami.com
www.mossad.gov.il
www.sis.gov.uk
www.update.microsoft.com

 　さらに、攻撃者は以下の名称に関し、不正な証明書を作成した：

Comodo Root CA
CyberTrust Root CA
DigiCert Root CA
DigiCert Root CA
Equifax Root CA
Equifax Root CA
GlobalSign Root CA
Thawte Root CA
VeriSign Root CA

 　この頃は、インターネットワームを見る事はあまり無い。大部分はボットとトロイの木馬だ。しかし、我々は新たなインターネットワームを発見した。現在拡散中だ。

 　同ワームは「Morto」という名で、Windowsワークステーションおよびサーバを感染させる。これは我々がこれまでに見たことのない新たな拡散ベクタ「RDP」を使用している。

 　「RDP」はRemote Desktop Protocolの略だ。WindowsはWindows Remote Desktop Connectionを介し、このプロトコルのビルトインサポートを有している。一度コンピュータをリモートで使用可能にすれば、そのマシンにアクセスするのに他のコンピュータを利用することができる。



 　同ツールで他のコンピュータに接続する際、ローカルコンピュータを使うように、そのマシンを利用することができる。



 　マシンが感染すると、「Morto」ワームはローカルネットワークをスキャンして、Remote Desktop Connectionが可能になっているマシンを探す。これにより、RDPポートであるポート3389/TCPで多くのトラフィックが発生する。

 　「Morto」はRemote Desktopサーバを見つけると、管理者としてログインしようとし、一連のパスワードを試みる：

 admin
 password
 server
 test
 user
 pass
 letmein
 1234qwer
 1q2w3e
 1qaz2wsx
 aaa
 abc123
 abcd1234
 admin123
 111
 123
 369
 1111
 12345
 111111
 123123
 123321
 123456
 654321
 666666
 888888
 1234567
 12345678
 123456789
 1234567890

 　一度リモートシステムに接続すれば、ドライブC:、D:に対して、\\tsclient\c、\\tsclient\dのようにWindowsシェアを介してサーバのデバイスにアクセスできる。「Monto」はターゲットマシンに自身をコピーするために、この機能を使用する。同ワームは、「A:」のもとに一時ドライブを作成することでこれを行い、それに「a.dll」という名のファイルをコピーする。

 　感染により「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などを含むシステム上にいくつかの新しいファイルが作成される。

 　「Morto」はリモートでコントロールすることができる。これは「jaifr.com」および「qfsl.net」など、いくつかの代替サーバを介して行われる。

 　我々は異なるサンプルをいくつか見ている。いくつかのMD5ハッシュは以下を含む：
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d

 　このトピックに関するさらなるディスカッションはTechnetフォーラムで。

 　我々は「Morto」コンポーネントを「Backdoor:W32/Morto.A」および「Worm:W32/Morto.B」として検出している。

 　3月、「RSA」がハッキングされた。これは、これまでで最大のハッキングの一つだ。

 　現在の推測は、ある国家がロッキード・マーティンおよびノースロップ・グラマンに侵入し、軍事機密を盗みたかったというものだ。しかし、目的は達成されなかった。両社がネットワーク認証にRSA SecurIDトークンを使用していたためだ。そのためハッカーたちは、標的型の電子メール攻撃でRSAに侵入した。彼らはバックドアを設置し、最終的にSecurID情報にアクセスし、もともとの標的に戻って、侵入することに成功した。この攻撃の結果、RSAは世界中の顧客のため、SecurIDトークンを交換することを余儀なくされた。



 　我々は4月には既に、同攻撃がEMCの従業員たち（EMCがRSAを所有している）への標的型電子メールにより開始されたこと、そしてそのメールには「2011 Recruitment plan.xls」という添付ファイルが含まれていたことを知っていた。RSAはこの情報を、彼らのブログの記事で明らかにした。問題は、我々がそのファイルを持っていなかったということだ。持っている人はいないようで、アンチウイルスリサーチャのメーリングリストは、どこでそのファイルが入手できるかという議論で持ちきりだった。誰もファイルを入手できず、結局、議論は終息した。

 　このことがTimo Hirvonenを悩ませた。Timoは我々のラボのアナリストで、このファイルを見つけられると確信していた。4月以来2、3週間ごとに、Timoは我々が持つ何千万ものマルウェアファイルのコレクションをチェックし、このファイル一つを見つけるべく吟味し続けたが、幸運には恵まれなかった。

 　TimoはFlashオブジェクト用のサンプルを分析するデータ解析ツールを書いた。我々は問題のXLSファイルが、システムを乗っ取るのにFlashオブジェクトを使用していることを知っていた。新ツールはいくつかの関連サンプルを探し出した。しかし、その中の一つはExcelファイルではなかった。それはOutlookメッセージファイル（MSG）だった。それを開いた時、Timoは思い当たることがあった。このメッセージファイルは、3月3日にRSAに送られたオリジナルのメールで、添付書類「2011 Recruitment plan.xls」を備えていることが分かった。

 　5カ月後、我々はついにファイルを手に入れた。

 　そしてそれだけでなく、オリジナルのメールも手に入れた。誰かが（おそらくはEMC/RSAの従業員）が3月19日に、Virustotalオンラインスキャニングサービスに電子メールと添付書類をアップロードしていたことが分かった。そしてVirustotalの規約にある通り、アップロードされたファイルはアンチマルウェアやセキュリティ業界の関係者に共有される。それゆえ、我々は皆、既にこのファイルを持っていたのだ。我々はそうとは知らず、何百万ものサンプルの中からそれを見つけることができなかった。


このサンプルは「file-1994209_msg」として、3月19日にアップロードされた。

 　では、このメールはどのようなものだったのか？　これはリクルートサイト「Beyond.com」から送られたように見える、なりすましメールだった。サブジェクトは「2011 Recruitment plan」で、「検討のためこのファイルを送ります。開いて見て下さい。」という1行が本文だ。
 　このメッセージは1人のEMC職員宛てに、3名に対してCcされて送信された。



 　以下はXLS添付ファイルを開いた時の様子だ：



 　以下はこの悪意あるExcelファイルを開くと、何が起こるかを見せるYouTubeビデオだ。



 　このビデオでは、我々がこのメールをOutlookで開き、添付ファイルを実行しているところが見られる。組込型Flashオブジェクトは、スプレッドシートでは[X]マークで示されている。FlashオブジェクトはExcelにより実行される（一体どうしてExcelが組込型Flashをサポートしているのかは全く疑問だ。）Flashオブジェクトは次に「CVE-2011-0609」脆弱性を利用し、コードを実行してシステムにPoison Ivyバックドアをドロップする。このエクスプロイトコードは次にExcelを閉じ、感染が終了する。

 　その後、Poison Ivyが「good.mincesur.com」のサーバに接続する。「good.mincesur.com」というドメインは、長期間にわたって似たようなスパイ攻撃で使用されている。



 　いったん接続されると、攻撃者は感染したワークステーションに完全なリモートアクセスが可能になる。さらに悪いことに、ユーザがアクセスできるネットワークドライブにもフルアクセスが可能だ。どうやら攻撃者たちは、探しているSecurIDデータにアクセスできるまで、このベクタを利用することができる。

 　攻撃電子メールはそれほど複雑には見えない。実際、非常にシンプルだ。しかし、Excel内のエクスプロイトはその時点でゼロデイで、RSAはシステムにパッチを当てて保護することができなかった。

 　では、これは高度な攻撃だったのだろうか？　同メールは高度ではない。ドロップされたバックドアは高度ではない。しかしエクスプロイトは高度なものだ。そして攻撃者の最終的な標的も高度だ。何者かがセキュリティベンダの顧客のシステムにアクセスするため、ベンダをハッキングするなら、間のステップにそれほど複雑でない部分があったとしても、我々はその攻撃を高度なものと言いたい。

 　Timoは10月に実施される「T2 Data Security」カンファレンスで、このトピックに関するリサーチについて、「RSAはいかにして侵入されたか」というタイトルで講演を行う。



PS. 現在もサンプルを探している方へ：
MD5 of the MSG file: 1e9777dc70a8c6674342f1796f5f1c49
MD5 of the XLS file: 4031049fe402e8ba587583c08a25221a

 　「News from the Lab」ブログのもともとの記事で予想した通り、問題のTV番組が「CCTV 7」サイトから消えるのに、大して時間はかからなかった。

 　ドキュメンタリー番組「ミリタリーテクノロジ：インターネットの嵐がやって来る」は、現在もChannel 7のインデックスページ上にリストされている：



 　しかしリンクをたどろうとしても、ページは存在しない：



 　同サイトの他の番組には問題は無い。

 　番組の重要な部分は我々の記事で現在も見る事ができる。

 　当局による番組の削除は、論争を活発にするだけだろう。

---

 　今週の火曜日、Facebookはプロフィール管理と共有オプションでの大幅な変更を発表した。これらの変更は今日、8月25日に公開される。エフセキュアのSave and Savvyブログで、この変更に関するJasonの素晴らしいまとめが読める。

 　他方で我々は、詳細を見て、行間を読むのに忙しい。

 　そして考えるべき項目は多々ある：



 　ちょっと待て…　まだある：



 　へえ！　これは興味深い。（Facebookはここに良い手がかりを隠している…）：



 　「この設定（「友達が利用するアプリやサイトがアクセスできる情報」）は、友達からアプリへの情報提供だけでなく、あらゆるユーザーによる情報提供に適用されるようになります。」

 　我々の解釈が正しいとすれば—Facebookは今回、サードパーティアプリケーションが、友達を介してユーザの情報を見ることを防止することになる。これはアメリカ公民権連合（ACLU）が2009年12月（前回Facebookが似たような変化をもたらした時）、すでに異議を唱えたものだ。



 　ACLUはアプリケーションが友達を介して、どれくらいアクセスするかをデモンストレーションするためのアプリケーションを作成することさえした：



 　そして以下がデフォルトで利用できる情報だ：



 　我々が投票調査を行ったところ、このプライバシー設定意味を理解している人は多く無かった。

 　そして友達のサードパーティアプリケーションをブロックする唯一の方法は、Facebookの「プラットフォーム」を完全に使用停止にすることなのだ。



 　Facebookは先頃、ユーザのアプリケーションが友達とシェアするものに関し、「アプリケーション設定」で洗練されたプライバシー管理の提供を開始した。個々のアプリケーションの「アプリプライバシー」を調節することができる：



 　しかし、新たな詳細を読んだところ、Facebookはさらにもう一歩踏み込もうとしており、単に友達を介してアクセスする全てのサードパーティアプリケーションを防止するつもりでるように見える。

 　そしてそれは素晴らしいニュースだろう。

 　だが、Facebookアカウントを持っているなら、待つ必要は無い。Facebookの変更が適用される前に、自分のプライバシー設定をチェックし、「アプリとウェブサイト」セクションの「友達が利用するアプリやサイトの、あなたの情報に対するアクセス権限」を調整して、自分の設定が自分の希望を反映しているかどうか確認しておこう。

ACLUへの追伸：あなた方の「クイズ」アプリケーションを廃止し、ページを削除することを検討すべきだ。

 　このアプリケーションはもはや適切には動作していないし、同ページはスパムで荒らされるままになっている。



では。

9月5日の追記：残念なことに、新しい設定を確認したところ、我々の解釈があまりに楽観的すぎたことが分かった。

 　Facebookはシンプルな英語を使おうとしていると主張しているが…　これはちんぷんかんぷんだ。

 　以下は古い設定の言い回しだ：

 　「友達を通じてアクセス可能な情報：友達がアプリやWebサイトを使用している場合、どのような情報をアプリおよびWebサイトが利用できるかをコントロールする。」

 　以下は新たな設定の言い回しだ：

 　「他のユーザーが利用しているアプリとの情報の共有：あなたの情報を見ることができる人がアプリを利用すると、アプリに対してあなたの情報が公開されることがあります。ここでは、共有される情報の種類を管理できます。」

 　言い換えると：

 　［誰］を通じてもアクセス可能な情報：［誰］かがアプリやWebサイトを使用している場合、どのような情報をアプリおよびWebサイトが利用できるかをコントロールする。

 　Facebookはどうやら、我々が期待していたのとは正反対のことを行っており、Facebookのプラットフォームを使用している場合、アプリケーションがおよぶ範囲をユーザのアカウントからのデータ獲得に拡大しているようだ。

 　以下は設定内にある詳細だ：

 　「Facebookであなたの情報を見ることができる人は、アプリを利用する際にもその情報にアクセスできます。これにより、インターネットをさらにソーシャルな環境で利用できるようになります。下の設定を使って、アプリやゲーム、外部サイトで友達に公開する情報の種類を選択できます。」

 　したがって、あなたの情報を見ることができる誰かのアプリケーションは、あなたの情報を使用することができる。「誰か」のアプリケーションに自分の情報へアクセスされたくないなら—あなたの重要な情報を「すべての人」と共有していないことを確認し、設定で全てのカテゴリからチェックをはずしておくことだ。

 　さもないと…Facebookはデフォルトでは、要求する誰に対しても、ほとんど全ての情報を共有してしまうだろう。

 　現在の主要なコンピュータオペレーティングシステムを比較してみよう。我々にはWindows XP、Windows VistaおよびWindows 7がある。さまざまなLinuxディストリビューションがある。そしてMac OS Xがある。

 　これらのうち明らかに、Windows XPのセキュリティが最も弱い。

 　そしてWindows XPのマーケットシェアは最大でもある。世界的に見て、全コンピュータの半数近くが現在もXPを使用している。

 　そして今日、Windows XPは10年目を迎えた。

 　10年はこの業界では非常に長い時間だ。だからXPのセキュリティアーキテクチャが最新で無いのは無理もない。

 　その結果、攻撃者達が他のオペレーティングシステムを標的に、時間や金を費やすのは「愚か」としか言いようが無い。この巨大で簡単に手に入る標的がある限り、そうすることは理にかなわぬことだ。

 　明らかにXPは退場しつつある。以下のチャートから分かるように、Windows 7が近い将来XPを追い越し、最も一般的なオペレーティングシステムとなるだろう。



 　そしてXPのマーケットシェアが十分に少なくなった時、攻撃者達は周囲を見回し始める必要がある。ある者はWindows 7にフォーカスするだろう。そして他の者はOS XやAndroid、iOS等に目を付けるだろう。

 　攻撃者達がこれほど恵まれていたことはかつて無い。最も容易な標的は、最も一般的な標的でもある。これはそう簡単に変わることは無い。

 　今日は良き行いをしよう。XPをアンインストールせよ。

中国はオンライン攻撃のローンチでしばしば非難されるが、大抵、状況証拠にとどまる。標的型のスパイ活動Trojanの多くは中国からのもののようだが、実際にそれを証明することはできないのだ。

 　しかし、新たな証拠が表面化した。

 　7月17日、ミリタリードキュメント番組「ミリタリーテクノロジ：インターネットの嵐がやって来る」が、政府運営のTVチャネル「CCTV 7, Millitary and Agriculture」（military.cntv.cn）で公開された。

 　この番組は、サイバー戦争の可能性とリスクに関する、かなり標準的な20分のドキュメンタリー番組のようだ。しかし、理論について話している間にも、カメラの映像では、米国の標的に対して攻撃をローンチしている中国政府のシステムが示されている。これは非常に珍しいことだ。最も可能性の高い説明は、編集者がその重要性を理解していなかったために、この映像が最終編集版に含まれたというものだ。

 　以下は同番組の重要な部分だ：



 　ダイアログに示されているテキストをざっと翻訳すると：

   中国人民解放軍情報工学大学
   
   攻撃対象を選択
   
   ターゲットIP
   
   法輪功サイトのリスト
   
   北米の法輪大法
   法輪大法サイト
   Meng Huiサイト
   法輪功サイト1の証言
   法輪功サイト2の証言
   
   攻撃 　キャンセル

 　同ツール内にリストされた標的は、中国で禁止されている宗教団体、法輪功もしくは法輪大法に関連している。特に、攻撃はIPアドレス「138.26.72.17」に対して行われており、これは米国の大学に属するものだ。どのような攻撃が行われているかははっきりしない。しかし、このような標的を持つ、このようなソフトウェアの存在は初のニュースだ。

 　同ソフトウェアは、中国人民解放軍の情報工学大学で書かれたものと信じられている。



 　http://military.cntv.cn/program/jskj/20110717/100139.shtmlにアクセスし、ビデオを13分辺りまで早送りすることで、この部分を見る事ができる。しかし、我々は同番組がそれほど長くオンラインにとどまるとは思っていない。

 　詳細は「Epoch Times」で読むことができる。「Epoch Times」はニューヨークの新聞で、中国語と英語で発行されており、中国政府に対して批判的だ。

 　一度詐欺に引っ掛かった人は、他の詐欺に引っ掛かる確率が高そうだ。ナイジェリアの最近の事前料金詐欺の背後には、そうしたロジックがあるようだ。

 　彼らは、もしナイジェリア419詐欺でお金を失ったのなら、賠償を申し込むことができると説明する。ただし、それに見合う料金を支払った後で…

 　以下はスキャムメールのコピーだ：

  From: "Ministry of Foreign Affairs Nigeria" (hr@wdzy.net)
  Subject: Swindled by Nigerian? Apply for compensation now!
  Reply-To: cn.verification@07168.cn
  
  Ministry of Foreign Affairs Federal Republic of Nigeria
  Maputo Street
  off Abidjan Street
  Wuse Zone 3,
  P.M.B. 130, Garki
  Abuja.
  
  Our Ref: FGN/WB/MFA/CitiBank/2011 (1/1)
  
  拝啓
  
  ナイジェリア連邦政府は、世界銀行グループおよび国際通貨基金（IMF）の援助を受け、
  全ての詐欺被害者の損失を保証するため、5万ドルずつ割り当てました。
  
  賠償基金はシティバンク・ナイジェリア（CN）に供託されており、
  ナイジェリア連邦政府の指示により、シティバンク・ナイジェリア（CN）が
  無料で送金を行います。よって、あなたが振り込みの費用や税金を支払う必要は無く、
  送金は確認のため外務省によるモニタも行われます。
  同基金は様々な送り先に届くまで、不必要な減額が行われないよう保証されています。
  
  ナイジェリアではこれまで、どのような詐欺被害者補償プログラムも存在しませんでした。
  これが初めてなのです。いかなる人物、組織、あるいは省庁にも騙されてはいけません！
  
  詐欺被害を受けた方は、確認のため氏名とアドレスを、以下にある2つの電子メールアドレスの
  いずれかに送って下さい。これらのメールアドレスはシティバンク・ナイジェリア（CN）により、
  補償のためだけに設定されたものです：
  
  Email1: cn-verification@07168.cn
  Email2: cn.verification@07168.cn
  
  確認は、Western UnionとMoneyGramを介して行われ、あなたが本当にナイジェリアに
  送金していれば、氏名がデータベースに登録されます。
  
  どのような理由であれ、あなたのユーザ名とパスワードを尋ねるいかなる電子メールにも
  返信しないで下さい。もし既に返信している場合は、パスワードを直ちに変更して下さい。
  
  Yours sincerely,
  Mrs. Irewolede Janet Michael
  (Public Relations Officer)
  Oversea Communication Department
  Ministry of Foreign Affairs (MFA), Nigeria.

 　こうした詐欺を信じてはいけない。

 　Commtouchの友人達によれば、Right to Left Override（RLO）Unicodeトリックを利用したマルウェアが、「先週、広範囲に再浮上した」そうだ。Unicodeキャラクタ（U+202E）は、右から左に読まれる言語用にテキストを「逆にする」もので、ファイル名を分かりにくくするのに使用することができる。

 　我々は2、3日前、サンプルを調べた。

 　以下はWindowsで見たアーカイブファイルだ：



 　Windows圧縮フォルダ表示では、拡張子が「.exe」であり、ファイルタイプがアプリケーションであることが示されている：



 　しかし解凍してみると、ファイルの拡張子は「.doc」のように見える。

 　Windows Explorerは、このファイルをアプリケーションとして認識しているが、マルウェアはソーシャルエンジニアリングの策略として、Wordアイコンを使用している。



 　好奇心に駆られて、サードパーティのアーカイブマネージャをいくつかテストしてみることにした。

 　以下はWinZipで見た同マルウェアだ：



 　こちらはWinRAR：



 　そしてこちらは7-Zip：



 　驚くべきことに、7-Zipはタイプでソートしているにも関わらず、ファイルタイプを表示しなかった。

 　いずれにせよ、RLOトリックに注意し、アーカイブされた添付ファイルを解凍、あるいはオープンする前に、慎重にチェックして欲しい。

 　エフセキュアは顧客保護で長い経験を積んでいる。その結果として、我々には何年にもわたってエフセキュア製品を使用している顧客がいる。

 　他のソフトウェアベンダと同様、我々も過去のレガシー製品のサポートを、どこかの段階で停止しなければならない。

 　そういうわけで、個人ユーザと法人ユーザの方々は、「エフセキュア 8」シリーズ製品のアンチウイルスアップデートが、2012年1月1日に終了することを思い出して頂きたい。

 　実際には、以下の製品では新たなアンチウイルスアップデートは行われないということを意味している：

• エフセキュア インターネット セキュリティ 2009
  
• エフセキュア アンチウイルス 2009
  
• エフセキュア クライアント セキュリティ 8シリーズ
  
• エフセキュア Linux セキュリティ 7シリーズ

 　その他にも影響を受ける製品がある。影響のある消費者向け製品の全リストはここで、影響のある企業向け製品の全リストはここで確認できる。

 　くり返せば：これらの製品がサポートされないということを意味するだけではない（これら製品の一部は、かなり以前からサポートされていない）。これらの製品では、実際のアンチウイルスアップデートシグネチャがリリースされないとうことを意味している。

 　よってすぐにアップグレードすることをお勧めする：

• 個人ユーザはここから
  
• 企業ユーザはここから

 　アップグレードしない理由はない。このアップグレードは無料で、有効なライセンスがある限り、動作し続ける。

 　オペレータを通じて購入した製品を使用しているなら、あなたが最新バージョンを使用しているかどうか、オペレータが確認するはずだ。

 　我々のコミュニティサイトのこのトピックに関するディスカッションスレッドはここにある。

2011年のDEFCON CTFが終わりました。
会場では、サポートメンバーによっておにぎりと味噌汁が振る舞われました。
個人的には３度目のDEFCON CTF決勝、日本チームとしては初めての決勝でしたが、今までこんなに恵まれた環境はありませんでした。
一般的にCTFでは、予選はインターネット上で行われるのに対し、決勝は一つの会場に集まって行われます。
そのため、環境の問題、食事の問題、時差の問題、機材の問題など、様々な問題と向き合いながら競技を行うのがCTF決勝の特徴でもあり、アウェイの洗礼は日常茶飯事です。
今回はサポートしてくれたメンバーの尽力によって、そういった問題によるストレスを大きく軽減し競技に集中することができました。本当にありがとうございました。



日本でもCTFへの注目が高まり、少しずつメディアにも取り上げるようになってきましたが、未だメディアには取り上げられない重要な点をご紹介します。

今回のCTFでは、CTF会場が停電したり、ネットワークやサーバトラブル、スコアリングシステムへの批判など、運営側も非常に大変です。毎年必ず運営側の不手際に対する批判を耳にします。特に今年は運営側の意図しない方法を使って全サーバのroot（管理者権限）が奪われるという事態もありました。

ではなぜ、大変な苦労をしてまで運営をするのでしょうか。
勉強になるからという単純な理由ではありません。

DEFCON CTFを運営するのは、アメリカ海軍学校の教授、生徒からなるチームです。ということは、競技中に飛び交った様々な攻撃コードは教材として使われると同時に、米軍に蓄積されていきます。

その背景には、アメリカが国家としてサイバー空間を重要視していることが挙げられます。陸、海、空、宇宙に続く第５の戦場としてサイバー空間が位置づけられているのです。さらに、サイバー空間への攻撃に対しては武力による報復も辞さないとの発表もありました。
結局のところ、DEFCON CTFはアメリカ、サイバー戦争の下地作りでもあるわけです。毎年、アメリカ、韓国は政府による強力なバックアップを後ろ盾にチームを送り込んできています。現在、積極的にCTFを開催しているのは、アメリカ、韓国、ロシア、マレーシアなどです。
日本では２３年度版防衛白書で、サイバー攻撃対処のため最新技術の研究に取り組むという内容の文言が記載されました。具体的なことは何も書かれていませんが、今後の動向には要注目です。

 　今年のモバイルマルウェアの多くは、中国で開発されている。そして中国のモバイルマルウェアは、バックドア、パスワード解読プログラム、スパイツールなどを含む傾向がある。

 　中国のマルウェアはスパイするのを好むため、我々はフォトスクレイピングなど、さまざまな機能を警戒してきた。携帯電話から写真を盗めば、いやがらせや恐喝のために利用することが可能だ。

 　探すのに時間はかからなかった。エフセキュアのThreat Responseチームのメンバーが、Symbianのマルウェアサンプルで興味深いものを発見した。



 　以下がアナリストのメモだ：

 　「Trojan:SymbOS/Spinilog.A」のコードには、Symbianクラス「MCameraObserver」を引き継いで実行する、「CMyCameraEngine」という名のクラスが含まれている。これにより、カメラで画像がキャプチャされた際、トロイの木馬がコントロールを受けることを可能にする。「Spinilog.A」は次に、rawビットマップをJPGにエンコードし、電話のメモリに保存される。「CMyCameraEngine」クラスのコンストラクタがコード内でコールされていないため、この機能はまだ使用されておらず、おそらくは未完成のようだ。トロイの木馬が盗む他のデータは、SMSやメールの内容、通話の詳細、カレンダー、連絡先情報の詳細など、よりトラディショナルなものだ。

 　よってこのバックドアが、まだ写真を盗んでいなくても、我々がどの方向に向かっているのかは明らかだ。

 　以下は同ファイルのmd5だ：b346043b4efb1e9834a87dce44d6d433

 　政治家や政策立案者、公務執行者たちのための新たな原理がある。「現実世界の通信技術を縮小、検閲、制限せよ。そしてオンラインの報復を予期せよ。」というものだ。

 　ハッカー集団「Anonymous」が土曜日、「プレスリリース」を公開し、危機的状況ではソーシャルメディアは制限されるべきだとする、David Cameron英国首相による提言へのリアクション「OpBritian」を発表した。



 　「Anonymous」は、暴徒による行動を「凶暴な」ものだったとしているが、警察当局への共感はなく、敵の敵は味方、という状態だ。

 　オンラインのハッキングを約す以外に、「Anonymous」は10月15日に、現実世界での平和的な抗議行動を呼びかけている。

 　一方、米国では、サンフランシスコBay Area Rapid Transit（BART）当局が、抗議者たちが旅行者を混乱させ、彼らの言う「安全でない状況」を生み出させぬ策として、8月11日にいくつかの駅で電話サービスを中断した。

 　予想通り、「Anonymous」は改変したBartmanロゴと共に「OpBART」を発表した。



 　そして「myBART.org」がハッキングされ（現在オフラインとなっている）、メンバーの氏名、メール、パスワードが「pastebin.com.」にダンプされた。「OpBART」も、太平洋標準時の17時（今からおよそ9時間後）に、現実世界での平和的な抗議行動をCivic Center駅で行う事を呼びかけている。

 　すべての場所のうち、サンフランシスコは「Anonymous」の本拠地である可能性があることから、何人がこの集会に参加するか、そして英米のマスコミでどのように報道されるかは興味深い。

 　今日の「OpBART」抗議行動が過激なものになるなら…　ネガティブなフィードバックループが続くと考えられる。

以下の報告を追加：

Elinor Mills: サンフランシスコ地下鉄が「Anonymous」の抗議行動中、駅を閉鎖
Robert McMillan: 携帯電話は継続するも、抗議者がサンフランシスコ地下鉄を中断

---

 　TED.COMで、私のTEDトークのビデオが公開された。14カ国語の字幕スーパー入りだ。



言語は以下の通り：

  •  アラビア語
  •  中国語
  •  チェコ語
  •  英語
  •  フィンランド語
  •  フランス語
  •  ドイツ語
  •  ヒンディー語
  •  イタリア語
  •  ポーランド語
  •  ポルトガル語
  •  ルーマニア語
  •  スペイン語
  •  トルコ語

 　エスペラント語、ヘブライ語、対語、ペルシア語など、少なくとも、さらに16カ国語の翻訳が進行中だ。

 　さらなるリソース

私のTEDトークに関するCNNインタビュー：
http://www.cnn.com/video/#/video/tech/2011/08/05/ted.hypponen.cyber.security.cnn

TEDブログ上のQ & A：
http://blog.ted.com/2011/08/10/the-dangers-of-online-crime-qa-with-mikko-hypponen/

Reddit上での私への質問：
http://www.reddit.com/r/IAmA/comments/itvu5/my_ted_talk_has_just_been_published_ama/

TNWからのコメンタリ：
http://thenextweb.com/shareables/2011/07/20/mikko-hypponens-brilliant-ted-talk-on-fighting-online-crime/

 　我々の世代は、オンラインを獲得した世代として記憶されるだろう。

ミッコ

Microsoft殿

 　我々のあるパートナーが、苦痛を感じています。このパートナーは中央ヨーロッパに本拠地を置いており、そのカスタマの中にはハードウェアの予算が限られている所もあります。それで…　結局、多くのWindows XP SP3をインストールすることになるのです。（ええ、Windows 7がクールであることは分かっていますが、正しいのは常に顧客であり、彼らが欲するものを与える必要がありますから。）

 　そして苦痛が生じるのはそこ、すなわち「Windows/Microsoft Updates」です。

 　SP3後のアップデートは沢山ありますが、それらをインストールするのには多大な時間がかかります。それはパートナーの生産性、すなわち利益の減少につながります。

 　我々のバーチャルマシンテスト画像の一つをチェックしてみたところ、SP3後のアップデートが157個インストールされていました。そしてそれは、極めて基本的なインストールです（計算機さえインストールされていません）。



 　「Service Pack 3 for Windows XP」は基本的に「更新ロールアップ」であり、「SP4」はおそらく、オプションではないことは分かっています（マーケティング的な理由のため）…



 　しかし、もしかしたら貴社は、「Update Rollup 1 for Windows XP SP3」を検討されるのでは？　それは（自分達の手段の範囲内で）セキュアなシステムを構築、設定、維持するべく努力している人々にとって、非常に役立つでしょう。

 　Windows XPの延長サポートの終了まで、2年半以上あります…　そのインストールベースは縮小していますが、世界にはまだ同OSを使用している顧客が大勢います。我々の要望について考慮して頂けると幸いです。経済状況の厳しい現在、中小規模の企業は貴社が与えうるあらゆる援助を必要としているのです。

よろしくお願い致します。
エフセキュアラボ

 　顔認識技術はホットな話題だが、私は最近、ドイツ当局がFacebookの「顔認識」機能は違法であると示唆したことを知った。「Deutsche Welle」によれば：

 　ハンブルグのデータ保護局員Johannes Casparは、同ソフトウェアがドイツおよび欧州連合データ保護法の双方に違反しており、Facebookユーザは同サービスが集めたデータを削除する方法を知らないと主張する。「データが悪の手に渡れば、携帯電話で撮った写真を持つ者は、バイオメトリクスを利用して写真を比較し、身元を探すことができる。」と、Casparは「Hamburger Abendblatt」に語った。「匿名に対する権利は危機に瀕しているのです。」

 　法的なキーワードは「バイオメトリクス」のようだ。

 　Casparによれば：

 　「通常のユーザはバイオメトリックデータを削除する方法を知りません。さらに我々はバイオメトリックデータが、本人の明らかな同意のもとに保存されるよう要求しています。」

 　もう一つのキーワードは「保存される」のようだ。（「Deutsche Welle」の記事は、同意無しにいかなるデータも「収集」されるべきではないことも述べている…）　収集されたバイオメトリックデータか、保存されたバイオメトリックデータか、どちらだろう？

 　使用された後でデータが保持されないか、保存されない場合、オンザフライの顔認識分析は合法だろうか？

 　どの場合でも、ウォールにタグを付けた写真がある場合、私は自分自身のFacebookアカウントで、この機能をテストすることに決めた。（ユーザがオプトアウトしていなくても、タグを付けた写真があることが前提条件だ。タグを付けた写真が無ければ、バイオメトリックデータも存在しない。）



 　最初、私はFacebookのプライバシー設定で、「Suggest photos of me to friends（写っている写真のタグ付けを提案）」オプションを再度使用可能にした。

 　そして写真をアップロードした：



 　Facebookの写真アップロードサービスが、2つの顔を「検出」したが、どちらも「認識」されず、タグの提案は行われなかった。よって、Facebookのデータベースには、隠された私のバイオメトリック「フェイスプリント」は存在しないようだ。この機能が提供された時から私がオプトアウトするまでに何も収集されなかったか、私が同機能を停止した後、保存されていたデータをFacebookが削除したかのどちらかだろう。

 　私は自問自答した。Facebookのバイオメトリックデータは、本当にそれほど大きな問題なのだろうか？

 　Google Imagesは最近、リバース画像検索をリリースした。この機能は「悪の手に渡る」いかなるFacebookデータよりも、将来写真の比較で利用される可能性が高い。iPhone/Android端末を持っているなら、Google Gogglesを試し、Google+の可能性について想像して欲しい。

 　次に、現行のカメラ技術について考える必要がある。私の「Canon S90」は、非常にうまく顔の検出を行う。顔が検出されると、その写真のEXIFメタデータに「SceneCaptureType - Portrait」が含められ、その顔はタグ付けされる。




 　そしてそれはほんの始まりにすぎない。Samsungなど一部のベンダは、このビデオで2009年4月から紹介してきたように、「Smart Face Recognition」を有している。遠からず、写真が撮られる瞬間に、我々のカメラが写真の中の顔を検出し、認識し、タグ付けするようになるだろう。そしてそれはカメラ付き携帯電話も含まれる：伝えられるところによれば、AppleはiOS 5に顔認識機能を搭載することを予定しているという。

 　確かに、Caspar氏がFacebookの現行のバイオメトリック問題について懸念するのはもっともだが、もはや分析の問題ではなくなった場合（時）どうなるだろう？　消費者がフェイシャルタグを含む写真をアップロードすれば、Facebookは提案ができるのだろうか。

 　Facebookは現在、アップロードされた画像からEXIFメタデータを削除していることは注目に値する。（素晴らしい。）

 　ドイツ（およびEU）には、優れたデータ保護法がある。しかし法律そのものが顔の認識問題について永遠に対処することは不可能だ。テクノロジは存在し、政策立案者は問題に立ち向かい、バイオメトリックデータが既に自由に入手できるかのように、ソリューションを探す必要がある。

 　たとえ合法的な企業が、このタイプのデータを保存することを規制されたとしても、犯罪者たちを抑止することはできない。コンピューティング・パワーは安価であり、より安価になっている。最悪のシナリオは、規制を受けていないブラックマーケットの、顔認識をサービスとして提供するサーチエンジンだろう。

 　このようなビジネスモデルが生まれるのは初めてではない。

では
ショーン

 　以下も参照して欲しい：

Kashmir Hill — If Everyone’s A Celebrity In The Internet Age, Shouldn’t We Expect To Be Recognized By Face?
Alessandro Acquisti — Faces Of Facebook-Or, How The Largest Real ID Database In The World Came To Be

 　英国で暴動が続いており、コミュニティは略奪と暴動の4夜目を迎えようとしている。

 　「拡散する市民暴動」は数日にわたって広がっており、伝えられるところでは、RIMのBlackBerry Messager（BBM）は、自称無政府主義者たちが自らを組織するために利用している拡散コンポーネントの一つだ。その結果、RIMは英国当局に協力するという公式声明を発表した。次に起こったことは、（少なくとも我々には）容易に予測可能なものだった。

 　政治的ハッカーグループ「TeaMp0isoN」が、「The Official BlackBerry Blog」を標的としたのだ。


高解像度版

 　以下がテキストだ：

 　このハッキングは、RIMによる以下の声明に対するレスポンスだ：

 　「この週末、ロンドンで起きた暴動の被害者の方々にお見舞いを申し上げます。我々は、できる限りの方法で当局に協力しています。BlackBerryが販売されている世界の全市場で、我々は現地の通信事業者、法執行機関、取締官と協力しています。英国の他のテクノロジプロバイダと同様、「The Regulation of Investigatory Powers Act（捜査権限規制法）」に従い、内務省および英国警察当局と完全に協力しています。」

Rimに告ぐ；
 　貴社は英国警察を援助すべきではない。そうすれば、不運な時に不運な場所におり、ブラックベリーを所有していた無実の市民が、何の理由もなく起訴されることになる。警察は面子を失わずに済むよう、できる限り多くの人を逮捕しようとしているのだから。貴社が警察に協力し、チャットログやGPSロケーション、顧客情報およびユーザのBlackBerryMessengersへのアクセスを開示するなら、後悔することになるだろう。我々は住所や氏名、電話番号といった従業員情報を格納した、貴社のデータベースにアクセスすることができるのだ。もし貴社が警察の手助けをするなら、我々はこれらの情報を公開し、暴徒に手渡すことになる。貴社は従業員の家に、怒れる若者達の一団を押しかけさせたいのだろうか？　それを考えることだ…　警察が貴社の従業員を保護してくれるとは考えない方が良い。警察は他人を守るどころか、自分達自身も守れないのだから…　選択を誤れば、貴社データベースは公開される。恥をかきたくなければ、正しい選択をせよ。操り人形にはなるな…

追伸 - 我々は無実の人々が今回の暴動で攻撃されることも、中小企業が略奪されることも容認するものではないが、警察および政府への攻撃に関与している暴徒を全面的に支持している。「ブラックベリーの従業員は無実だ」と言うかもしれないが、彼らは無実ではない！　警察に協力していることになるのだから。

- TriCk - TeaMp0isoN -
- Greets To: iN^SaNe - Hex00010 - MLT - BlackHacker


 　当然ながら、Twitterがこのハッキングの詳細を伝えるのに用いられた。



 　この投稿を削除しようと何度か試みた結果、RIMは最終的にブログをオフラインにした。

By Mikko Hypponen, Special to CNN
August 7, 2011

（CNN）-- 地理的観点の重要性は過去のものに

 　現実世界では、自分の街に住む犯罪者を気にするだけで良い。しかしオンラインの世界では、地球の裏側の犯罪者について心配する必要がある。オンライン犯罪は常にインターナショナルだ。インターネットに国境はないからだ。

 　今日、コンピュータウイルスや他の悪意あるソフトウェアは、もはや、仲間内での名声や栄光を求めるホビーストハッカーではなく、自分達の攻撃により、数百万ドル儲けているプロの犯罪者によって書かれている。これらの犯罪者は、一般ユーザのコンピュータやPaypalパスワード、クレジットカード番号にアクセスしたいと考えている。

 　オンラインギャングたちは、高いレベルのコンピューティングスキルを持つが、実社会で就職の機会が無い人々をリクルートする。現在では、Web上のアンダーグランドマーケットで作成され、販売されるウイルス、ワーム、トロイの木馬、スパイウェアといった危険なクライムウェアのグローバルマーケットが存在する。

 　国際社会は問題の本質や規模に取り組むことができていない。国家警察や法律制度は、オンライン犯罪の急速な成長に追いつくことが極めて困難であると理解している。彼らにはオンラインの犯罪行為を調査するのに、限られたリソースと専門知識しか持っていない。被害者、警察、検察官および裁判官が、国境をまたいで起きる犯罪の全容を解明することは滅多に無い。犯罪者への対処はあまりにも遅く、逮捕はごく稀にしかなく、そして現実世界の犯罪と比較して、刑罰が非常に軽いことがあまりにも多い。

 　我々は犯罪者たちに、誤ったメッセージを送っている。そしてそれが、オンライン犯罪が急速に成長している理由だ。現在、自称オンライン犯罪者は、自分達が捕らえられ、処罰される可能性は無視できるほど小さいが、利益は大きいということを知っている。

 　武装ギャングが銀行に乗り込み、現金を要求するなら、警察は行動に出る用意ができている。このような犯罪で国境を超えれば、国際警察機関が関与する。武装ギャングが捕らえられれば、常に裁判があり、銀行は検察官に可能な限りの最高刑を要求するだろう。

 　これはオンライン犯罪には当てはまらない。バーチャルな武装ギャングは、ほとんど誰にも止められることなく、自由に歩き回る。オンライン犯罪は常にインターナショナルだが、地元の警察当局は通常、調査を行うため、ローカルなリソースしか持っていない。オンライン犯罪は、「オフラインの」犯罪よりも実行しやすく、経費も少なくて済む。

 　コンピュータセキュリティ企業は、顧客のコンピュータを守るべく最善を尽くしているが、問題の中心にいる犯罪者たちと戦うために、非政府組織が直接行えることはわずかしか無い。アンチウイルス企業は法執行機関ではないし、そうあるべきでもない。オンライン犯罪への取り組みには、国際的なレベルでリソースの調査を行う必要があり、専門の法執行機関が犯罪者を追って、オンラインの世界に入る必要がある。

 　伝統的に、国際的な法の執行は、麻薬密売や密輸といった国際的な巨大犯罪にフォーカスしている。こうした調査に関与する国々は、犯罪者たちを捕らえることの意義を理解している。

 　しかし、オンライン犯罪はいくつもの小さな犯罪で構成されているのが一般的だ。攻撃者たちは銀行をハッキングせず、銀行の顧客をハッキングする。一人の被害者は、自分の銀行口座から数百ドルを失うだけだ。国際的な調査を開始するのは行きすぎのように見えるため、国際協力を得ることは難しい。問題はもちろん、犠牲者が一人ではないということだ。Banking Trojanボットネットは、同時に数万人から盗みを働くかもしれない。

 　我々に必要なのは、ネット上で活動する組織犯罪に焦点を絞った執行力を持つ国際警察だ。こうした組織は、クライムウェアの食物連鎖のトップを調査し、オンライン犯罪組織を動かしている人々を追跡する。犯罪の見かけの規模に関わらず、各加盟国は他の国と協力する必要がある。

 　もちろん、このような新しい警察機構を確立するには、法律的に多くの課題があるだろう。たとえば、悪意あるコードは、それが違法でさえない国、あるいは犯人が起訴されない国で作成されることが多い。

 　私の考えでは、このような機関は国際的なマルウェア犯罪ギャングとの戦いにのみフォーカスすべきだ。パイレーツや政治的ハッカーといった他の領域に拡張しようとすれば、事はさらに複雑になるだろう。Banking Trojanギャングにうろつかれたい人はいないのだから、我々はこの問題にフォーカスすべきだ。最も避けたいのは、ネットの自由を制限しようとする、ある種のネット警察だ。この自由はまさに、インターネットが現在のように役立つものになった理由でもあるのだ。

 　しかし今や我々は行動する必要がある。そうしなければ、オンライン犯罪はより強力になり続け、ネットが我々にもたらしたすべての利益を失う危険をおかすことになるかもしれない。我々の世代は、オンラインを獲得した最初の世代だ。我々は将来の世代のために、このリソースが存在し続けるようにすべきなのだ。

 　このコラムは、CNN.com上に最初に掲載されたものだ。



ミッコへのCNNインタビュー

 　今週、「Black Hat」および「DEF CON」が開催され、コンピュータセキュリティの専門家が、何千人もラスベガスに集まっている。



 　Siemens PLCセキュリティ、SSLモデルの見直し、Macラップトップのバッテリーなどが今年のホットトピックだ。






「DEF CON 19」で基調講演を行うミッコ

 　非常に期待されていたトークに、Riley HassellとShane Macauleyの「Androidのハッキング」がある。不可解な理由により、二人のスピーカーとも、自身のトークに姿を見せず、何故そんなことが起きたかに関し、突飛な陰謀説も現れた。

 　しかし、アンチウイルスの観点から言えば、最も興味深かったのはTavis Ormandyによる「Sophail」というタイトルのトークだった。

 　2010年の夏、Tavis OrmandyはWindowsのHelp and Support Centerで、ゼロデイ脆弱性を発見した。Microsoftに同脆弱性を知らせた5日後、Microsoftがパッチをリリースする以前に、TavisはPOCコードを公開した。数日後、未知のマルウェア作者たちが、このコードをドライブバイダウンロードエクスプロイトに組み込み、同エクスプロイトは世界中の何万ものコンピュータを感染させ続けた。

 　Sophosの専門家は、Tavisの行為を声高に批判し、最終的に登場したパッチに「Patch Tavis」というあだ名を付けさえした。

 　2011年夏の現在、Tavis OrmandyはBlack Hatで、「Sophosアンチウイルスの批判的分析」をリリースした。



 　その非常に風変わりなトークで、TavisはSophosアンチウイルスエンジンをリバースエンジニアリングし、Sophosの検出データベースの保護システムを解読するためのツールをリリースしたと説明した。

 　それはともかく、DEF CONの間、ワイヤレスネットワークへの接続は、実際のところ推奨されないことに注意したい。同ネットワークをいじっているハッカーがあまりにも多い。公式なプログラムパンフレットでさえ、パーティネットワークにアクセスする際、利用者の「幸運」を祈っている。DEF CONホテルで利用できるWi-Fiホットスポットのリストを見れば、よく分かるだろう：



サインオフ
—BO

ハッカーは何故、ハッキングするのだろうか？

 　今週、我らがミッコ・ヒッポネンがGizmodoのMat Honanと、この疑問について論じ合った。


ミッコのBrain（のコピー）

Gizmodo：

 　何故ハッカーはハッキングするのだろう？　連絡先リストにある全員にメールを送信するワームや、学期末レポートを削除するトロイの木馬を、何故作成するのだろう？　いたずらなのか、悪意からなのか、金のためなのか、それとも全く別の何かためなのか？

 　初のPCウイルス「Brain.a」以来25年間、ウイルスのハンティングを行ってきたコンピュータセキュリティ界の伝説的巨人、ミッコ・ヒッポネンと会ったとき、私が気になっていた疑問がこれだ。

 　続きは以下から：「ハッカーがコンピュータウイルスを書く理由」 （英語）