セキュリティ

ハッカーはIPSや通信会社の顧客データを盗むために偽の「緊急データ要求」を効果的に利用している


SNSのアカウント所有者や、特定の携帯電話で過去に利用されたインターネットのアドレスを知りたいというとき、アメリカでは裁判所による令状・召喚状が必要ですが、緊急時には令状・召喚状の発行を飛ばす「緊急データ要求(Emergency Data Requests:EDR)」を行うことができます。セキュリティ専門家のブライアン・クレブス氏によると、ハッカーがこのEDRを悪用し、不正にデータを得ている事例があるそうです。

Hackers Gaining Power of Subpoena Via Fake “Emergency Data Requests” – Krebs on Security
https://krebsonsecurity.com/2022/03/hackers-gaining-power-of-subpoena-via-fake-emergency-data-requests/


EDRは命の危険や危害が差し迫っているときに行われるものなので、受け取った企業からすると、できるだけ早く対応することが必要になります。ハッカーは、EDRが適切なものかどうかを受け取った企業が迅速かつ簡単に判断する手段がないことを理解しており、警察や政府機関になりすましてEDRを行い、不正にデータを取得しているとのこと。「警察」と一口にいっても、その管轄は世界で数万、アメリカだけに限っても約1万8000あるのに対して、ハッカーが必要とするのはわずか1つの警察のメールアドレスへの不正アクセスであるというのも対応を難しくしています。

セキュリティ専門家であるカリフォルニア大学バークレー校のニコラス・ウィーバー氏は、EDRとの戦いにおける大きな課題の1つを「グローバルなオンラインIDの概念がないこと」と述べています。解決法としてウィーバー氏が挙げたのは、FBIがすべての州および地方の法執行機関の唯一のIDプロバイダーとして機能することですが、それでも地方の警察からの要求が本物かどうかをFBIが直ちに判断することは難しく、「必ずしもうまくいくとは限らない」とのこと。


また、FBI自身もハッカーにより偽メール送信に利用されたことがあります。

FBIがハッキングされハッカーの偽メール送信に利用される - GIGAZINE


ただし、EDRを用いての情報詐取は一般的なものとはなっていません。これは、犯罪ハッキングコミュニティにおいても、多くの人が「リスクが大きすぎる」と認識しているからだそうです。

この記事のタイトルとURLをコピーする

・関連記事
Googleが香港政府の要求に応じて一部ユーザーのデータを渡していたことが判明、以前の発表と矛盾するとの指摘も - GIGAZINE

FBIの「LINEから入手可能な個人情報リスト」がリークされる、一体どんな情報にアクセス可能なのか? - GIGAZINE

ハッカー集団が「開発者がウクライナ侵攻で死んだ」として活動停止を発表 - GIGAZINE

in セキュリティ, Posted by logc_nt

You can read the machine translated English article here.