中国のサイバースパイ、自衛策ここに極まれり 53
ストーリー by hylom
電源を入れるだけで盗まれるとは中国のスーパーハッカーおそるべし 部門より
電源を入れるだけで盗まれるとは中国のスーパーハッカーおそるべし 部門より
masakun 曰く、
中国による「サイバースパイ」活動が個人の携帯電話やPCにまで及んでいるため、中国に出張するアメリカ人ビジネスマンの中には自衛策として iPad を使い捨てる人までいるそうだ(47News、The Washington Postの記事)。
Washington Postの記事では「もしあたながiPhoneやBlackBerryを使えば、連絡先やカレンダー、メールなどその中のすべての情報は瞬時にダウンロードされてしまう。地下鉄であなたのそばに座っている誰かは、あなたがそれらの電源を入れるのを待つだけでよい。それだけで情報を盗み出すことができる」など述べ、「中国は他の国より安全ではないため、旅行者は携帯電話やPCに自衛策を講じるのが賢明だ」としている。
そのため、機密データを抜いた「使い捨て」の携帯電話やノートPCを用意する旅行者もいるそうだ。また、ある米国当局者は電子機器を一切持ち込まないという。USBメモリにデータを隠し、オフラインのPCのみを利用するという人もいるそうだ。「訪中のたびに新しいiPadを買い、二度と使わないようにしている」というセキュリティ専門家もいるらしい。
「中国政府がネットワークを管理しているため、国の内外からのすべての情報を読み取ることは政府にとってたやすいことである」と、Global Cyber Risk 社のJody Westby氏は述べているとのこと。国外からのサイバーアタック以外にもいろいろ気をつけるべきことが日本企業にもあるのかもしれない。
せっかくの分析対象を単純に捨てるだなんて… (スコア:3, すばらしい洞察)
せっかく「セキュリティを突破された iPad」という絶好の資料を作ってもらったのに、それを『二度と使わない』で済ませるだなんて…
到底セキュリティ専門家とは思えないな。
普通は「徹底的に変更ポイントを洗う」だろう??
もしかしたら、新しい何かが発見できるかも知れないんだから。
# まぁ、このへんの反応は、大昔アメリカが「赤狩り」をやっていた頃と同様、
# 「敵の実力を厨二病的に過大評価」しているだけだと思います。
fjの教祖様
Re:せっかくの分析対象を単純に捨てるだなんて… (スコア:1)
Re:せっかくの分析対象を単純に捨てるだなんて… (スコア:1)
たとえば上限値が36525台であれば、毎日新しいiPadを買っても100年OKですから。
使い捨てができるとしても、「障害で購入できる台数が制限されていない」という意味とは限りませんよ?
fjの教祖様
Re: (スコア:0)
て言うかこの記事は単に「iPad(もしくはiphone)」「中国」って単語を入れて記事作りたかっただけだと思います。
いや、実のところ「中国」すらどうでもよかったのかも。
一方 (スコア:1)
米国ではエシュロンがとか言うのもお約束?
で、どうやって? (スコア:1)
どうやって?
昔あった、ウィル情報スのチェーンメールの文面みたいに見えるなぁ。現地で購入したものならともかく、持ち込んだものも、電源を入れるだけで、中身をとり出されるとしたら、Apple や RIM と中国政府の間に何かあって、秘密のバックドアでもあるのかな?
Re: (スコア:0)
グレートファイアウォールという便利なものが・・・
Re: (スコア:0)
横だけどさ、中国国内での通信はほぼすべて傍受されているとしてもさ
端末内のデータがそうそうあっさり抜かれるってことは無いと思うんだよね
Re:で、どうやって? (スコア:2)
そこなんだよなぁ。
通信はすべて傍受されていると思え、なら分かるんだけど、「あなたがそれらの電源を入れるのを待つだけでよい。それだけで情報を盗み出すことができる」って、端末内からデータを抜くような感じに読めて、そんな事は無いんじゃないかなぁ、と。
非 SSL/TLS の通信が、グレートファイアーウォールで傍受されているだろう、というのは、まぁ、あり得るとは思うんだけど、SSL/TLS に関しても、ちょっと疑問。
そもそも、中国国内で SSL/TLS 通信が出来るのかどうか知らないんだけど、仮に出来るとして、中国国内で使うといつの間にか、グレードファイアーウォールで解読するためのルート証明書が端末に入ってしまうとかあるのかなぁ? あっ、実は DigiNator の証明書の問題の裏には中国政府の影が、とかって... う~ん、どうなんだろう。
Re: (スコア:0)
Wikipedia 情報だけども、金盾 [wikipedia.org]の項目には
> 中国政府は暗号化通信を許可なく行なうことを禁止している。
> このため、例えばSSHや海外版Skype(中国国内版Skypeには検閲機能が内蔵されている[4])などの
> 暗号化通信を行なうソフトを利用した場合には通信が遮断される場合があるほか、
> 直接ユーザーに対して警告が行なわれるケースもある。
という情報がありました。
あと、およそ10年前、中国でIPSecを使ったパッケージを売ろうとした知り合いから、
申請やらがとてつもなく面倒だったという話を聞きました。
# 実際には売らなかったそうで。
今の中国については、詳しい人から聞きたいところ。
Re:で、どうやって? (スコア:1)
出張で時々行くのですが、僕のイメージは[かなり適当]。
VPNで会社に繋ごうとしたら、繋がるときもあれば失敗するときもある。
メールの送受信ができるときもあればできないときもある。
Skypeもログインができたりできなかったり。
タイミングによって普通なときとそうでない時があるので何が何だたわからない。
* 会社への報告が面倒なとき、「グレートファイアウォールが原因でVPNに接続できず、メールが送れませんでした」と言い訳できるのは助かる。
Re: (スコア:0)
イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因
http://www.geekpage.jp/blog/?id=2011/8/31/1 [geekpage.jp]
たまたま,今日この記事を見ました。
Re:で、どうやって? (スコア:1)
データくらいいいじゃない。
中国なら酔っ払ってて気がついたら道端で寝てて内蔵が抜かれてるかもしれないんだからさ。
偏見ですかね?
Re: (スコア:0)
データを盗まれたら,腹を切ってお詫びしろ.
中国でも中国外でも,盗まれるものがデータだろうと内臓だろうと,結論は一緒です.
Re: (スコア:0)
自信が無いから意見を聞きたいところだけど、元記事では「端末内からデータがダウンロードできる」とは書いてないんじゃないかなあ。
タレこみ文の以下部分、
もしあたながiPhoneやBlackBerryを使えば、連絡先やカレンダー、メールなどその中のすべての情報は瞬時にダウンロードされてしまう。地下鉄であなたのそばに座っている誰かは、あなたがそれらの電源を入れるのを待つだけでよい。それだけで情報を盗み出すことができる
これの元記事は以下の記事なんだけど、
“I’ve been told that if you use an iPhone or BlackBerry, everything on it — contacts,
Re: (スコア:0)
iPhoneやBlackBerryを使えば瞬時にそういったデータが(どっかから端末に)ダウンロードされるから、それを盗聴される、ということかも?
「ダウンロード」がどこからどこへ、というのが違う可能性があるかな。
Re: (スコア:0)
「 contacts, calendar, e-mails」は、everythingの一例を挙げてるだけ。
Re: (スコア:0)
>contacts, calendar, e-mails
ぜんぶgoogleのサービスをさしているから,それがwebから落ちてくるときに
Wifiを傍受されるってことだとおもいますが,どうでしょうか?
Re: (スコア:0)
中国国外のサーバから国内のiPadにデータがダウンロードされる際に金盾でデータ取り放題ってことでしょ?
GmailとかGoogleカレンダーの allways use SSL ってデフォルトオンだっけ?オプション?
Re:で、どうやって? (スコア:1)
SSLは、万能ではない。と言うのがありますよ。
鍵交換プロトコルに介入してみたり、クローンクライアントであたかも「もう一台のクライアント」があるように見せかける事が出来るなら、クラウドに置いたデータを全て吸出すのも容易でしょう。
IP詐称攻撃も金盾が巨大な透過proxyと考えれば、実装されてない方不思議です。
ある意味、PGPを開発したZlmmerman(スペル合ってる?)が主張したように、公開鍵や指紋ですら、巧妙に偽装した手紙でやりとりするか若しくは直接会って交換したもの以外絶対に信頼するな。
電話もネットも盗聴され改竄される。と言うのが現実化したのです。
彼が想定したのはあくまでも反体制運動でしたが、今やビジネス一般がその標的にされているのです。
Re: (スコア:0)
ワシントンポスト紙の弁には「自衛を迫られている」とか「企業情報を狙った動きが中国国内で目立つと指摘」とか当たり前のことを書き連ねているだけで、肝心なトコは全部○○社の○○氏が「~」と語った、という表現です。
それってつまり、あくまでも伝聞記事であって裏付けなんかやってない、って意味なんだよね。
それにそのJody Westbyって人は Cyber Risk社のCEOですから、煽り記事のためなら多少の誇張はするでしょう。
話半分、いや、眉唾モノ程度に読みとるべきじゃないのかな。
Re: (スコア:0)
> どうやって?
普通に考えたら中間者攻撃によるアカウントの取得でしょうね。
暗号化通信ができず、ネットワークを政府が管理している以上、中間者攻撃のリスクは限りなく大きいと考えるべきです。
つまりこうやって (スコア:0)
不安を煽る記事を読ませて最近中国へ出かけた誰かにiPadを捨てさせる。
そのiPadを回収して情報を抜き出す、盗聴できなかった情報も手に入る。
Re: (スコア:0)
googleと同期してるやつが多いから通信情報が手に入るって事じゃない?
中国だから、じゃないような予感 (スコア:1)
>そのため、機密データを抜いた「使い捨て」の携帯電話やノートPCを用意する旅行者もあるそうだ。
国内だって持ち歩く端末に機密データを入れておくのは・・・
この文書を書く人は、本当の技術者? (スコア:1)
ありえないものが書いたばかりじゃない?
書いた電子設備は全部米国製のもので、中国政府はすべてのソースを入手し、バックドアを組み込んで?
ありえる?
しかも、電車のなかで、電源を入れるだけで、個人情報が失う?
かなり普及してるね!
なぜ中国に対してそんなに嫌いなの?
釣られてみると (スコア:1)
タレコミ人は技術者じゃありませんよ (スコア:1)
でもあるタレコミ経由で米ワシントン・ポスト紙の面白い記事を見つけちゃったのでタレこんでみた次第。
ただタレコミ文から編集されてしまったけど、当のワシントンポスト紙には
なんて書いてある。China’s brazen use of cyber-espionage なんて、あまり中国に好意的ではない人が書いた文章だよね。
こんな記者が書いた記事だから、あちこちに誇大表現や手順の省略はあるかもしれない。しかし用心に越したことはないと思う。
なお「この手の中国の産業スパイに気をつけろ」という記事は、過去に英 Sunday Times 紙 [timesonline.co.uk]が MI-5 のレポートを報じていたこともある(ビジネスマン狙う中国人スパイ 日本企業でも機密漏洩が頻発 [msn.com])。そっちの記事には
なんて事例もあるけど、盗まれたのはスマフォであってデータじゃないね。
# 漢方薬と台湾は好きなのでID
モデレータは基本役立たずなの気にしてないよ
Re: (スコア:0)
そりゃ中国に好意的な人はこういう記事を書かないでしょ。
てか、既に忘れられているのか? (スコア:1)
Googleなんぞ何度も個人情報を公開しちゃっていて、その度に
「機密情報をネット上に置くのは…」
って話になっていた筈だというのに、海外に行く時にわざわざ機密情報を用意して行くのか?
そんなのそのうちにサービスのトラブルで誰も抜こうと思わなくとも、出ちゃうぞ。
それがマズイ情報なんて、(1)ネット上に置かない(2)不要なら持ち歩かない。
ってだけだろうに。
もともと致命的な情報なんてネット上に置く時点でアウトだ。
利便性が云々ってのなら、中国行き専用の捨てアカウントを作って抜かれても良い情報だけ
上げておけば良いだけだろ。
PCなんていちいち捨てなくとも、リースだろうが向こうのネットカフェだろうが好きに使えば良い。
問題点の本質が全然わかっていないとしか思えん。
移動に応じてのまともな対応すら考えず、そのままの環境が使えないと騒いでいるだけじゃん。
Re: (スコア:0)
>移動に応じてのまともな対応すら考えず、そのままの環境が使えないと騒いでいるだけじゃん。
Cloud,Cloudって言ってる豚たちには通じる話じゃないですよね.
柵のこっち側の人は,面白いと笑ってればいいんじゃないかと.
#と思ったら,そういう人が仕事相手だと笑ってられないなあ,とも(笑)
#豚を仕事の相手にした,己を笑うとしますか.
皆さんお気づきかどうかは知りませんが (スコア:1)
「中国」と「サイバースパイ」と「誰か」と「政府」が(おそらく原文でも)違和感なくつなげられている…こここそ指摘すべきでしょう。
記事の大元からそういう意図が込められているんですよ。
むしろこの文章で「チャイナリスク(カントリーリスク)」に相当する語を使わないだけ、WPの記者は相当自制しているのではないでしょうか。
#まぁ、「ボーダレス」と「郷に入りては郷に従え」ひいては「国際的常識」を逆手にとり、
#「集団ネット農場」「弱味ファーミング」「ネットを利用したハニートラップ」とも言える中国政府のプロジェクトに、
#ただ入国するだけで否応なく従わされることの煩わしさは分からないでもありませんが。
Re:何に気づいていないって? (スコア:1)
三行を抜き出しただけで
>むしろこの文章で「チャイナリスク(カントリーリスク)」に相当する語を使わないだけ、
と書かれてもねぇ。原文にある
China’s massive market beckons to American businesses — the nation is the United States’ second-largest trading partner — but many are increasingly concerned about working amid electronic surveillance that is sophisticated and pervasive.
(略)
China’s brazen use of cyber-espionage stands out because the focus is often corporate, part of a broader government strategy to help develop the country’s economy, according to experts who advise American businesses and government agencies.
なんて、そのまんま経済スパイに対するチャイナリスクの警鐘だと思うけど。この部分をタレコミ [srad.jp]では「中国という巨大市場はアメリカ企業にとって魅力である一方、アメリカ企業の多くは政府による電子的な監視を懸念している。(略)中国の場合、国の経済開発を支援する広範な政府の戦略の一環として、海外企業をターゲットにしたサイバースパイ活動が目立っているという。」と紹介してみたが、編集で削除されたんだけどね。
あなたのいう相当自制って?経済スパイを恐れて中国からビジネスを引き上げよという論調だったら良かったのか?
しかし「(おそらく原文でも)」なんて書いているようじゃ、元記事にはあたっていないんだろうね。
モデレータは基本役立たずなの気にしてないよ
誹謗中傷? (スコア:1)
直接接収されるのならともかく (スコア:0)
中国に行ってみれば分かるよ (スコア:0)
ただしアルマーニのスーツをまとったビジネスマンという設定で。
秋葉原のヲタクファッションで出かけても相手にされないあるよ。
Re: (スコア:0)
秋葉原のヲタクファッションで出かけても相手にされないあるよ。
その手があったか! 自衛策ここに極まれり!
Re: (スコア:0)
そのネタは絶望先生に先越されてる [yahoo.co.jp]ぞ!
Re: (スコア:0)
新しそうで、実は古い技術のテンペスト。
古そうで、やはり古いショルダーハック。
無線をoffにしてても、電源が入ってたり、画面に何か表示されるんならいくらでも可能性は広がる。
使い捨てる意味は何? (スコア:0)
しかし、いまどきネットに繋がない新品PCを手に入れて何の用途があるのだろう?
結局ネットに繋いで重要データにアクセスするなら、PCが新品とか使い捨てとか言ってもがない気がするが。
Re:使い捨てる意味は何? (スコア:1)
Re: (スコア:0)
その時点でのデータへのアクセスの方のセキュリティ問題ではなく
使ったPCが骨抜きにされてしまっていて、帰国後の利用でそのPC経由の流出の危険性がある
とか言うのを恐れているんじゃないんですかね?
それができるのかどうかはさておき。
made in China (スコア:1)
Re:使い捨てる意味は何? (スコア:1)
もしかして、iPadの売り上げを増やすため?
「使い捨て」というかプリペイドじゃない? (スコア:0)
空港でプリペイドについて聞いてみたら、たしか一日1500円くらいで済んだような。
中国が対象かどうか調べてませんし、うろ覚えで申し訳ありませんが。
iPhoneを国際ローミングすると、一日3000円くらいかかるんですよね。
自分は超絶方向音痴で海外でかなり地図アプリを使ったのですが、
#北と南を間違えてしまうような人間が見知らぬ土地で目的地に辿り着けるというのは凄いことです。
うっかり接続先を自動接続のままにしてしまうと、定額の対象外の海外の携帯電話会社に勝手に繋ぎに行ってしまうので、
+8000円くらいの出費になっていたことがありました。あれは気をつけたほうがいいかと。
おまけにソフトバンクから「定額サービス適用前なら回線料は20万円です」的な趣旨のSMSが届くので、かなり心臓に悪かったです。
地図などの標準的な機能で十分なのであれば、安心感という意味で、自分も今後はプリペイドで済ましてしまうかも。
そもそもそのiPadが中国製な件について (スコア:0)
いまどき中国でアッセンブルされていない機器って、どんなのがあるんでしょうかね。
Re: (スコア:0)
なんだかんだ言って中国もだんだんコストが上がってきているので、
東南アジア諸国で、っていうのはあるような気がする。
Re:そもそもそのiPadが中国製な件について (スコア:1)
これからはタイ・ベトナムですね。
問題は湿気。
未来世紀ブラジルかもしれない件 (スコア:1)
ブラジルでの需要が大と見込める一方で関税の損得勘定すると輸出入よりも国内で生産開始したほうがそろばんに有利という理由という記事をslashdot-feedかengaget-feedで最近見かけた気がするが探し損ねた
いつものやつじゃない (スコア:0)
盗まれる盗まれる詐欺