マイク・ピーターソン
· 2分で読めます
クレジット: KrebsOnSecurity
犯罪ハッカーは、盗んだ法執行機関の電子メールを使った効果的かつ卑劣な手法を使って、大手テクノロジー企業、ISP、通信事業者、ソーシャルメディア企業からユーザーデータを盗んでいると報告されている。
サイバーセキュリティジャーナリストのブライアン・クレブス氏によると、より具体的には、攻撃者は法執行機関の職員を装い、召喚令状で保護された機密データを入手しようとしているようだ。一般的に、彼らは侵害された法執行機関のメールアカウントを利用している。
この戦術は、緊急データ要求(EDR)と呼ばれる政府の調査にも依存しています。通常、テクノロジー企業は裁判所命令による令状または召喚状がない限り、ユーザーデータを提供しません。しかし、差し迫った危害や死亡の恐れがある場合、当局はEDRを発動することができます。これにより、裁判所の承認を得た文書や正式な審査を必要とせずに済みます。
クレブス氏によると、悪意のあるハッカーは、テクノロジー企業やソーシャルメディア企業が EDR が正当なものであるかどうかを確認する簡単な方法がないことに気付いたという。
「ハッカーたちは警察の電子メールシステムへの不正アクセスを利用して、要求されたデータが直ちに提供されなければ、無実の人々が大きな苦しみを味わうか死ぬ可能性があるという証言とともに偽のEDRを送信するだろう」とクレブス氏は書いている。
記者は、サイバー犯罪者が潜在的な購入者に「令状/召喚状サービス」を販売している証拠を発見した。彼らは、このサービスによってApple、Google、Snapchatなどのサービスから法執行機関のデータにアクセスできると主張している。
この問題を軽減する簡単な方法もありません。EDRに直面したテクノロジー企業は、偽造の可能性があるリクエストに応じるか、正当なリクエストを拒否するかという、不快な選択を迫られます。そして、その場合、誰かの命が危険にさらされる可能性もあるのです。
カリフォルニア大学バークレー校のセキュリティ専門家ニコラス・ウィーバー氏によると、この脆弱性を解消する唯一の方法は、FBIのような機関が「州および地方のすべての法執行機関に対する唯一のIDプロバイダー」として機能することだという。
「しかし、それでも必ずしもうまくいくとは限らない。なぜなら、FBIはどうやってリアルタイムで、ある要請が本当に田舎の警察署からのものであるかを確認するのだろうか?」とウィーバー氏は疑問を呈した。
しかし、多くのサイバー犯罪者が「リスクが高すぎる」と考えているため、この戦術は他の悪用方法ほど広まらない可能性があります。
「もし捕まったら、非常に危険です」とウィーバー氏は述べた。「しかし、これは技術の問題ではなく、意志の問題です。インターネット上のアイデンティティについての考え方を国レベルで根本的に見直さない限り、根本的に解決できない問題です。」
2021年7月、米国議会は事態の改善に役立つ可能性のある法案を提出しました。この法案は、州裁判所および部族裁判所がデジタル署名技術を導入し、偽造の裁判所命令を撲滅できるよう、資金提供を求めるものです。
