プライバシーとセキュリティの混同。致命的な間違い
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
シルクロードの内情に詳しくない人のために簡単にまとめると、ある男がディープウェブ上に取引サイトを構築し、一般大衆の詮索好きな目から隠し、特別なソフトウェア(正確にはTorブラウザ)を使わなければ閲覧できないようにした、ということだ。このサイトは当初、自家栽培のマジックマッシュルームを提供するだけだったが、事実上一夜にして、ハードコアなドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者によって爆発的に広まった。このサイトへのアクセスはこちらから。このサイトの作成者兼管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド海賊ロバーツを名乗っていた。彼は誰でもあり、誰でもなかった。全ユーザーは、違法な商品を大量に取引し、完全に匿名でそれを行った(その過程で、ビットコインは麻薬ディーラーが選ぶ通貨という評判を得た。)
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージング、通貨、そして輸送や配送における禁制品自体の安全性に関する明確な指示など、プライバシーを重視するあまり、このサイトはウルブリヒトが思い描いていたような、自由主義幻想の不可侵の要塞ではなかった。FBIに雇われたプログラマーたちは、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにした。何年も前にエッチな商品を購入した人たちは、いつかやはり法の長い腕からドアをノックされる可能性がある。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10に含まれるその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります。開発者がプロセスの最初から安全なコードを書くように訓練されていれば、こうした欠陥が日の目を見ることはない。組織がセキュリティマインドセットで集中し、開発チームに安全なコーディングをさせることが不可欠です。私たちは、楽しく、測定可能で、ゲーム化された方法でそれを行う方法をお見せすることができます。準備はできていますか?
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
シルクロードの内情に詳しくない人のために簡単にまとめると、ある男がディープウェブ上に取引サイトを構築し、一般大衆の詮索好きな目から隠し、特別なソフトウェア(正確にはTorブラウザ)を使わなければ閲覧できないようにした、ということだ。このサイトは当初、自家栽培のマジックマッシュルームを提供するだけだったが、事実上一夜にして、ハードコアなドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者によって爆発的に広まった。このサイトへのアクセスはこちらから。このサイトの作成者兼管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド海賊ロバーツを名乗っていた。彼は誰でもあり、誰でもなかった。全ユーザーは、違法な商品を大量に取引し、完全に匿名でそれを行った(その過程で、ビットコインは麻薬ディーラーが選ぶ通貨という評判を得た。)
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージング、通貨、そして輸送や配送における禁制品自体の安全性に関する明確な指示など、プライバシーを重視するあまり、このサイトはウルブリヒトが思い描いていたような、自由主義幻想の不可侵の要塞ではなかった。FBIに雇われたプログラマーたちは、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにした。何年も前にエッチな商品を購入した人たちは、いつかやはり法の長い腕からドアをノックされる可能性がある。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10に含まれるその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります。開発者がプロセスの最初から安全なコードを書くように訓練されていれば、こうした欠陥が日の目を見ることはない。組織がセキュリティマインドセットで集中し、開発チームに安全なコーディングをさせることが不可欠です。私たちは、楽しく、測定可能で、ゲーム化された方法でそれを行う方法をお見せすることができます。準備はできていますか?
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
シルクロードの内情に詳しくない人のために簡単にまとめると、ある男がディープウェブ上に取引サイトを構築し、一般大衆の詮索好きな目から隠し、特別なソフトウェア(正確にはTorブラウザ)を使わなければ閲覧できないようにした、ということだ。このサイトは当初、自家栽培のマジックマッシュルームを提供するだけだったが、事実上一夜にして、ハードコアなドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者によって爆発的に広まった。このサイトへのアクセスはこちらから。このサイトの作成者兼管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド海賊ロバーツを名乗っていた。彼は誰でもあり、誰でもなかった。全ユーザーは、違法な商品を大量に取引し、完全に匿名でそれを行った(その過程で、ビットコインは麻薬ディーラーが選ぶ通貨という評判を得た。)
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージング、通貨、そして輸送や配送における禁制品自体の安全性に関する明確な指示など、プライバシーを重視するあまり、このサイトはウルブリヒトが思い描いていたような、自由主義幻想の不可侵の要塞ではなかった。FBIに雇われたプログラマーたちは、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにした。何年も前にエッチな商品を購入した人たちは、いつかやはり法の長い腕からドアをノックされる可能性がある。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10に含まれるその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります。開発者がプロセスの最初から安全なコードを書くように訓練されていれば、こうした欠陥が日の目を見ることはない。組織がセキュリティマインドセットで集中し、開発チームに安全なコーディングをさせることが不可欠です。私たちは、楽しく、測定可能で、ゲーム化された方法でそれを行う方法をお見せすることができます。準備はできていますか?
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
この記事はSecure Code Warriorの業界専門家チームは、安全なソフトウェアを最初から構築するための知識とスキルを開発者に提供することに尽力しています。安全なコーディングの実践、業界のトレンド、実際の洞察に関する深い専門知識を活用します。
先日の長距離フライトでは、率直に言って、非常に多くのポッドキャストのエピソードを視聴しました。これだけ多くのシリーズの最新情報を入手しておけば、携帯電話の画面をタッチするだけで、一方的ではあるものの、魅力的な会話を聞くことができ、飽きることがありません。
最終的には、実録犯罪ポッドキャスト「Casefile」のエピソードにたどり着きました。このドラマチックで自由奔放なシリーズ(不吉な声の名無しのホスト付き)は、最も知識があり精通した技術者でさえも魅了するトピック、すなわちディープウェブと、密輸品取引サイトSilk Roadの激変について掘り下げていました。2つのパートに分かれており、Silk Roadの盛衰を知っている人は、間違いなくこの事件のニュースを追っているでしょうが、ポッドキャストでは、細部に至るまで美味しそうな語り口で説明されています。
シルクロードの話ディープウェブ・ダンジョンからの教訓
シルクロードの内情に詳しくない人のために簡単にまとめると、ある男がディープウェブ上に取引サイトを構築し、一般大衆の詮索好きな目から隠し、特別なソフトウェア(正確にはTorブラウザ)を使わなければ閲覧できないようにした、ということだ。このサイトは当初、自家栽培のマジックマッシュルームを提供するだけだったが、事実上一夜にして、ハードコアなドラッグから違法な武器、盗まれたクレジットカード情報まで、あらゆるものを提供する業者によって爆発的に広まった。このサイトへのアクセスはこちらから。このサイトの作成者兼管理者は、プリンセス・ブライドにインスパイアされたペンネーム、ドレッド海賊ロバーツを名乗っていた。彼は誰でもあり、誰でもなかった。全ユーザーは、違法な商品を大量に取引し、完全に匿名でそれを行った(その過程で、ビットコインは麻薬ディーラーが選ぶ通貨という評判を得た。)
しかし、ドレッド・パイレーツ・ロバーツの反体制的な試みは、それ自体が獣のようなものだった。すぐに殺し屋がサービスを提供するようになった。悪い人間が悪いことをしている...そして、彼は新たに手に入れた計り知れない富に酔いしれていた。彼は元従業員を始末するために、宣伝された殺し屋のサービスを利用しようとさえした。要するに、これは彼を破滅に導く多くの愚かな決断の一つだったのです。ロス・ウルブリヒトの正体は明らかになっており、彼は現在、米国の刑務所で仮釈放の可能性のない終身刑+40年のダブル判決を受けて腐っている。
しかし、すべてが完全に非公開で匿名だったのに、どうして捕まったのか?
率直に言うと、彼はかなりの下手くそでした。シルクロードのサイト自体が、海に置き去りにされた雨漏りのする古いはしけのようなものでした。違法な活動の拠点であり、その活動を支えるすべてのデータがあることを考えると、まったく安全ではなく、日和見主義のハッカーに悪用されるのを待つだけのカモのようなものでした。もっとも、巨大で違法な麻薬密売ビジネスの首謀者ともなれば、そのビジネスに参加したいと思う有能な社員を見つけるのは容易ではないだろう。スタックオーバーフローに実名で投稿し、PHPでCurlを使ってTorに接続するようにサイトのコードを適切に設定する方法を教えてほしいと頼んだこともあります(これが彼のユーザーアカウントです)。Silk Roadサーバーの暗号化キーは「frosty@frosty」という文字列で終わっていたため、FBIが彼の匂いを嗅ぎつけると、さらに彼の関与が疑われることになったのだ。
暗号化されたメッセージング、通貨、そして輸送や配送における禁制品自体の安全性に関する明確な指示など、プライバシーを重視するあまり、このサイトはウルブリヒトが思い描いていたような、自由主義幻想の不可侵の要塞ではなかった。FBIに雇われたプログラマーたちは、ゆっくりと、しかし確実に、このサイトを解き明かし、すべてを明らかにした。何年も前にエッチな商品を購入した人たちは、いつかやはり法の長い腕からドアをノックされる可能性がある。
FBIは、Silk Roadへの侵入方法をまとめた文書を公開しましたが、一般的な説明としては、IPアドレスの漏洩を利用したものです。Silk Roadのログインページの設定を間違えると、IPアドレスが明らかになり、それによってサーバーの物理的な場所が、不正なハッキングなしに判明したのです。これは、FBIがロス・ウルブリヒトにたどり着いたきっかけとなった、初歩的なミスです。
この欠陥は、もし存在していたとしても、このサイトを監視している多くのセキュリティ専門家の1人が、この瞬間よりもずっと前に発見していたのではないかと推測されている。オーストラリアのセキュリティ・コンサルタントであるNik Cubrilovic氏は、『WIRED』誌のインタビューで、この欠陥は単に存在しなかったと主張している。
"Torサイトに接続していても、Torノードではないサーバーのアドレスを見ることはできません。彼らが陪審員や裁判官に信じさせようとしている方法は、技術的に意味をなさない」と述べています。
Cubrilovicはさらに、その情報が違法なハッキング行為によって得られたものである可能性を示唆しています。その行為とは、SQLインジェクションと思われます。これは、その後多くのサイトでもっともらしい抽出方法として議論されてきた確証のない噂です。
FBIの戦術をめぐる法的問題は、まったく別の議論です。サイトが「非公開」であることをユーザーが一般的に理解しているにもかかわらず、情報が入手できたという事実は、Silk Roadのセキュリティ対策が不十分であることを示しています。プライバシーがセキュリティと混同されると、脆弱性にさらされる可能性が高まることは間違いありません。
もしロス・ウルブリヒトがプライバシーとセキュリティを区別して、地球上の平均以上の技術知識を持つあらゆる悪人を惹きつける巨大なヒートランプに成長する前に、積極的にその両方を確保しようとしていたなら、このサイトはまだ運営されていた可能性もあります(いずれにしても、元の形でです。そうではなく、誰かがドアを開ける方法を見つけた瞬間に、プライベートクラブとその秘密のすべてが明らかになってしまったのです。
あなたは麻薬王ではないのだから、気にする必要はないのでは?
シルクロードの消失と創設者の投獄は、決して悲しい話ではありませんが、プライバシーと真の強固なサイトセキュリティとの微妙な違いを知る上で、興味深いケーススタディとなっています。デジタル化された医療記録や、大手銀行が保有する何百万ものクレジットカード番号など、取引や情報を非公開にしなければならない合法的な業務は数多くありますが、鉄壁のソフトウェア開発でセキュリティを確保していなければ、その情報は攻撃者に盗み見される可能性があります(皮肉にもSilk Roadのようなサイトに掲載されてしまいます)。プライバシーは、セキュリティなしには存在しません。
あなたのような善良な人々は、SQLインジェクション攻撃やOWASPトップ10に含まれるその他の脆弱性に対して脆弱なソフトウェアを持っている可能性があります。開発者がプロセスの最初から安全なコードを書くように訓練されていれば、こうした欠陥が日の目を見ることはない。組織がセキュリティマインドセットで集中し、開発チームに安全なコーディングをさせることが不可欠です。私たちは、楽しく、測定可能で、ゲーム化された方法でそれを行う方法をお見せすることができます。準備はできていますか?
目次
Secure Code Warrior は、開発者がスキルを向上させる際に、セキュアコーディングをポジティブで魅力的な体験にします。私たちは、セキュリティに精通した開発者がコネクテッドワールドの日常的なスーパーヒーローになるように、それぞれのコーダーが好む学習経路に沿って指導します。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード始めるためのリソース
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
