2021年7月16日~31日 サイバー攻撃のタイムライン / 16-31 July Cyber Attacks Timeline(転載)


16-31 July Cyber Attacks Timeline:

少し休んでから、7月2回目のサイバー攻撃の年表がようやく出ました。休暇期間中は、脅威の状況にも少し変化があったようです。この2週間で収集したイベントは82件で、前の期間に比べてかなり減少しました。

82件のうち21件(25%)がランサムウェアによるもので、直接的または間接的にランサムウェアの影響を受けていますが、特定できない障害が多数発生していることから、実際の件数はもっと多いかもしれません。Kaseyaを襲った事件のような有名な事件は起きていないようですが、発生率は依然としてかなり高いといえます。

この夏は、新たな大規模暗号ハッキングも発生しました。特にTHORChainは2回攻撃を受け、理論上の盗難総額は約1,500万ドル相当になりました(ただし、作者とされる人物が10%の懸賞金を要求したケースもあります)。

サイバー・エスピオナージの分野では、APT29(新しいキャンペーンが発見され、そのインフラは停止されました)、APT31(フランスの組織を標的としています)、Mustang Panda(東南アジアの組織を標的としています)、Tortoiseshell(防衛および航空宇宙産業に従事する従業員および請負業者を標的としています)などの旧知の企業による新しいキャンペーンに加え、Praying Mantis、GhostEmperor、Ekipa(ロシア人および親ロシア派の個人を標的としたクリミア発の新しいキャンペーン)などの新しい脅威アクターも登場し、非常に混雑した状態が続いています。


【LINK URL】

JNSAのインシデント損害額調査レポート(転載)


JNSAのインシデント損害額調査レポート 

JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)からインシデント発生時にかかるコスト調査のレポートが出ていました。

国内外のセキュリティベンダーを中心に、サイバー攻撃損害コストの調査データはいくつも出ていますが、関係者アンケート回答からの”雰囲気”集計した様にも思えるモノも多い気がします。

そんな中、このレポートはインシデントで実際に発生する可能性がある損害コストが、見落としがちな部分も含めて書かれているので、例えばサイバー保険加入の稟議資料(費用対効果)を作成する場合や、インシデントレスポンスプランを策定(改訂)する際に役立つのではないかと思います。

費用が想像しにくいフォレンジック調査費用も書かれており、業者によってばらつきはあるものの、といったイメージが付きやすいのではないでしょうか。


(個人情報漏えい対象者等への)おわび状の費用や、新聞掲載の費用などが掲載されています。事業内容やインシデントの規模によって費用が変わるものの、「最大リスク」を試算する上で、参考値となるかと思います。


 サイバー保険やセキュリティ対策費用(あるいは情報システム部門の増員)の妥当性を検討する上で、こうした費用試算をしておく事は、経営陣への説明という意味でも有効かと思います。

JNSAが出したレポートという事でも客観性が出てくるかと思いますので、こうした業務に携わる方は、レポートを一読される事を強くお勧めします。

DarkWebの調査費用が意外と高いと感じましたが、DarkWeb接続に(やや)専門的な知識が必要で、調査すべき対象サイトの把握が難しい(どこに出てくるか分からない)点、そして継続調査や、サンプルデータの購入費用などを考えると仕方が無いのかも知れません。

SeatSpy社がスクリーン・スクレイピングの被害者であると主張 - 非常に斬新な証拠を入手 / SeatSpy claims it is the victim of screen scraping(転載)


SeatSpy claims it is the victim of screen scraping – and has very novel evidence:

普段は穏やかな航空会社の特典航空券提供ツールの世界で、興味深いスパイ活動の主張がなされている。

SeatSpyは、ブリティッシュ・エアウェイズやヴァージン・アトランティック航空の特典航空券を探している人にとって、とても便利なウェブサイトです。ワンクリックで1年間のあらゆるルートの空席状況を確認することができます。さらに、Eメールアラートを設定することで、ご希望のルートに空席が出た場合に連絡を受けることができます。

ブリティッシュ・エアウェイズのAviosの空席状況を追跡するのは、必要以上に複雑です。ほとんどの航空会社は、特典用の座席を特定の「チケットバケット」に分類し、AmadeusまたはSabreにアクセスできる人なら誰でも見ることができます。Aviosはこのような仕組みではないため、空席状況を簡単に確認する方法はありません。

BAが自社用に作成したフィードを介して、このデータにアクセスすることが可能でした。これにより、2017年には「Reward Flight Finder」が、2019年には「SeatSpy」が発売されました。

ある時点で、ブリティッシュ・エアウェイズはこのデータへの第三者のアクセスをブロックすることを決定しました。これにより、SeatSpyとReward Flight Finderの両方に深刻な問題が発生しました。

SeatSpy社はこの問題を解決し、現在は少なくとも1時間に1回はデータが更新されているとしています。

先日、SeatSpyは、自社のデータがスクリーン・スクレイピングされていると主張するブログ記事をウェブサイトに掲載しました。この記事では、第三者に代わって自動検索を実行している偽のSeatSpyアカウントが「数百」見つかったとしています。

興味深いのは、SeatSpyがどのようにしてその証拠を見つけたかだ。

これは、BA Southampton - Nice間のビジネスクラスの「リアル」リワードデータを削除したもので、このルートはSeatSpyユーザーが積極的に追跡していないルートでした。

SeatSpyは、そのデータを偽のデータに置き換え、特定の日付に偽の座席を表示しました。

これは、しばらくしてReward Flight Finderのサイトに掲載されたものです。


残念ながら、このデータはReward Flight Finderから削除されていますが、私はそこで見たことを確認しています。

婚姻届製作所からのカード情報漏えい(転載)~想定損害賠償額は3,000万円程度か?~


【限定記事】婚姻届製作所からのカード情報漏えい:


デザイン婚姻届のECサイト「婚姻届製作所」を運営するユナイテッド(山形県米沢市)は9月7日、同サイトが不正アクセスを受け、利用者のクレジットカード情報1131件が流出した可能性があると発表した。システムの脆弱性を突かれ、顧客がWebブラウザで入力した決済情報を不正ファイルに転送するよう改ざんされたのが原因。同社内でカード情報は保持していないという。

流出した可能性があるのは、2020年12月13日から2021年3月21日に同サイトを利用した顧客1131人分のクレジットカード番号、カード名義人名、有効期限、セキュリティコード。対象の顧客には連絡済みで、クレジットカード会社と連携して不正取引を防止するとしているが、一部のカード情報はすでに不正利用された可能性もあるという。

4月2日に、カード会社から情報流出の懸念があると指摘を受けたことで事態が発覚。同日中にカード決済機能を停止した。公表が遅れた理由は「不確定な情報の公開はいたずらに混乱を招き、お客さまへのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠」と判断したためという。

再発防止策としてセキュリティ対策と監視体制を強化するという。改修後のECサイトの再開日は未定。

今、注目すべき次世代のセキュリティ対策(転載)~EDRとEPP(NGEPP)はプロダクト的に一本化されないのだろうか?~


 今、注目すべき次世代のセキュリティ対策――XDRとEDRの違いとは?

EDR(Endpoint Detection and Response)

年々、高度化・巧妙化が進むサイバー攻撃に対して、クライアント(エンドポイント)の防御を目指すソリューションが大きな転機を迎えている。ウイルス対策ソフトに代表される、ウイルスなどのマルウェアを検出して「侵入を未然に防ぐ」ことを基本思想とするソリューションだけでは、新たな脆弱性が公表される前に攻撃を仕掛けるゼロデイ攻撃などに対抗しきれなくなってきている。

従来の対策に加えて進化型エンドポイントセキュリティとして普及が進んでいるのが、EDR(Endpoint Detection and Response)である。EDRはシステムに侵入されることを前提に、その後の対応・復旧を中心にサポートすることが特徴だ。EDRはエンドポイントでマルウェアによる不審な動きがないかどうか常時監視を行い、ログを取得する。ログデータはサーバー上に集められ、まとめて分析処理が行われる。ここで疑わしい挙動の痕跡が検出されると、すぐに管理者に通知し、対象物を速やかに隔離する。

EDRはサイバー攻撃によってマルウェアに侵入された場合でも、その存在をいち早く検知・隔離することで、事後対応を効率的かつ迅速に行えるものだ。すなわち、被害の最小化を目指すソリューションであり、侵入されることを前提としている点で、従来のウイルス対策ソフトよりも一歩進んだ対策と言えるだろう。

NGEPP(Next Generation Endpoint Protection Platform)

エンドポイントの新しいセキュリティ手法として、EDRの他にNGEPP(Next Generation Endpoint Protection Platform)と呼ばれる製品も登場しており、注目されている。常時監視でマルウェアの早期検知・対応・復旧を可能にするEDRに対し、NGEPPは従来のウイルス対策ソフトのようなEPP(Endpoint Protection Platform)製品と同様に、侵入を防ぐことに特化しているセキュリティソリューションである。NGEPPを日本語訳すると「次世代型エンドポイントセキュリティ」となり、「振る舞い検知」や「機械学習」などの比較的新しいテクノロジーを採用していることが特徴だ。

振る舞い検知は、従来の定義ファイルとのパターンマッチングによる検知ではなく、プログラムの動作を監視し、怪しげな振る舞いをしたプログラムをマルウェアとして隔離する。機械学習では、既知のマルウェアのパターンを学習し、類似度を分析することで、マルウェアの可能性が高いプログラムを検出する。こうした技術により、ゼロデイ攻撃などの従来型エンドポイントセキュリティでは対処しにくい攻撃から、システムを守ることができるのだ。

サイバー攻撃が高度化している中、従来のEPP製品では防御しきれない攻撃に対しても、NGEPPは効力を発揮できる場合がある。また、EDRとNGEPPでは、着目しているポイントが異なるため、より堅固なセキュリティを実現するために、EDRとNGEPPを併せて導入する動きも広がっている。

NDR(Network Detection and Response)

先述のようなセキュリティソリューション進化の潮流で出てきたのが、NDRやXDRといった新しいセキュリティソリューションだ。NDR(Network Detection and Response)は、社内のネットワークを流れるトラフィックを包括的に監視することで、既知・未知のリスクにリアルタイムで対応するという次世代型のセキュリティ概念をもとにしている。

NDRは主に、専用のハードウェアをネットワークに組み込むことで導入が可能であり、ネットワーク全体を常時監視して異常を検知するため、リスクへの対応が迅速化できる。その結果、ネットワークが不正な侵入を受けた場合でも、セキュリティ被害を最小限に抑制できる。また、NDRでは内部の従業員からの意図的なリークなども検出するため、内部不正を未然に防げる可能性も高まる。

XDR(Extended Detection and Response)

最近では、先述のEDRやNDRに加えてXDR(Extended Detection and Response)と呼ばれるソリューションも登場している。XDRとはすなわち、EDRやNDRといった検知・対応タイプのセキュリティ手法を発展させたものである。XDRの「X」は「Cross(横断した)」あるいは「Extended(拡張した)」という意味を指すとの解釈が一般的であり、EDRのようにエンドポイント対象、NDRのようにネットワーク対象と限定するのではなく、複数の領域のセキュリティソリューションを統合して集中管理することで企業全体のリスクを監視、可視化する。単独のセキュリティソリューションでは検知が難しい、高度なサイバー攻撃をも可視化することで、防御や対策を可能にしている。

XDRという新たなセキュリティ手法が生み出された背景には、企業に対するサイバー攻撃の激化・高度化がある。さまざまな手法の攻撃に対処するために、セキュリティ対策のための製品・サービスも進化したことで関連するアラートも増加し、それらの事象を正確に把握することが難しくなってきている。さらに、慢性的なセキュリティ人材の不足なども重なり、セキュリティ担当者の負担が増大し、疲弊している状況が垣間見れる。

XDRでは、企業や組織全体に影響を与えるリスクの要素を正確に把握するために、エンドポイント、ネットワーク、クラウドなど全体で収集したデータを統合管理・分析し、セキュリティアラートの最適化を実現する。その結果、アラートのノイズをフィルタリングでき、ひいてはセキュリティ運用にかかる時間、人的リソースの削減につながることが期待できるのだ。このように、高度化したサイバー攻撃への効率的な対処を可能にするセキュリティ手法がXDRである。

ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー(転載)


@NSTJ14 無料のコース、ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー。そのほかもいろいろフリーであるのでお勧めです!ここから難しいことやっていけばいいのでは? education.splunk.com/catalog: 無料のコース、ファンダメンタル1やるだけでも、基本的なこと、理解できるのでお勧めですよー。そのほかもいろいろフリーであるのでお勧めです!ここから難しいことやっていけばいいのでは?
education.splunk.com/catalog

コース概要

この無料コースでは、Splunk での検索とナビゲート、フィールドの使用、データからの統計情報の取得、レポート、ダッシュボード、ルックアップ、アラートの作成方法を学びます。シナリオベースの例やハンズオン形式の課題により、堅牢な検索、レポート、チャートを作成できるようになります。また、Splunk のデータセット機能や Pivot インターフェースについても紹介します。このコースのラボワークでは、ローカルシステムまたはサーバーにSplunk Enterpriseをダウンロードしてインストールする必要があります。

時間

4時間

CISAのランサムウェア対策のガイドライン / Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches (転載)



OVERVIEW

ここ数年、CISA(Cybersecurity and Infrastructure SecurityAgency)とそのパートナーは、かなりの数のランサムウェア事件に対応してきました。最近では、米国のパイプライン会社と米国のソフトウェア会社に対する攻撃があり、マネージドサービスプロバイダー(MSP)とその下流の顧客に影響を与えました。

ランサムウェアは、デバイス上のファイルを暗号化し、ファイルやファイルに依存するシステムを使用不能にするよう設計されたマルウェアです。従来、悪意のある者は、復号化と引き換えに身代金を要求していました。しかし、悪意のある者は、時間の経過とともに、ランサムウェアの戦術をより破壊的でインパクトのあるものに変えてきました。悪意のあるアクターは、身代金を支払わないと、データを流出させ、機密情報や個人情報を含むデータを売却または漏洩すると脅すケースが増えています。このようなデータ侵害は、被害を受けた企業に金銭的な損失をもたらし、顧客の信頼を損ないます。

すべての組織は、ランサムウェアの被害に遭う可能性があり、システムに保存されている機密情報や個人情報を保護する責任があります。このファクトシートは、重要インフラ組織を含むすべての政府機関および民間企業を対象に、ランサムウェアによるデータ漏えいの防止と対応に関する情報を提供します。CISAは、組織が意識を高め、以下の推奨事項を実施することを推奨します。以下の推奨事項を実施することを推奨します。

PREVENTING RANSOMWARE ATTACKS

1.データのオフラインでの暗号化されたバックアップを維持し、定期的にバックアップをテストすること。バックアップの手順は定期的に行う必要があります。多くのランサムウェアの亜種は、アクセス可能なバックアップを見つけて削除または暗号化しようとするため、バックアップをオフラインで維持することが重要です。

2.基本的なサイバー・インシデント対応計画、回復力計画、および関連する通信計画を作成、維持、および実施する。

  • サイバー・インシデント対応計画には、ランサムウェアのインシデントに対する対応と通知の手順を含める必要があります。サイバーインシデント対応計画の作成に関する詳細は、「CISA and Multi-State Information and Sharing Center (MS-ISAC) Joint Ransomware Guide」を参照してください。

  • レジリエンス計画では、重要な機能へのアクセスや制御ができなくなった場合に、どのように運用するかを規定する必要があります。CISAは、組織が運用の回復力とサイバーセキュリティの実践を評価するために、技術的ではない無料のサイバー回復力評価を提供しています。
3.インターネット上の脆弱性や設定ミスを緩和し、アクターがこの攻撃対象を悪用するリスクを低減する。

a.リモート・デスクトップ・プロトコル(RDP)やその他のリモート・デスクトップ・サービスの使用に関するベストプラクティスを採用すること。脅威となる人物は、露出した安全性の低いリモートサービスを通じてネットワークに最初にアクセスし、その後ランサムウェアを拡散させることがよくあります。

i.RDPを使用しているシステムのネットワーク監査、未使用のRDPポートの閉鎖、指定回数の試行後のアカウントロックアウトの実施、多要素認証(MFA)の適用、RDPのログイン試行のログ取得。

b.定期的に脆弱性スキャンを実施し、特にインターネットに接続する機器の脆弱性を特定して対処する。CISAは、重要インフラ組織がランサムウェアなどのサイバー脅威にさらされている状況を評価、特定、軽減するために、脆弱性スキャンを含むさまざまなサイバー衛生サービスを無料で提供しています。これらのサービスを利用することで、組織の規模を問わず、リスクを低減し、攻撃のベクトルを緩和する方法についての提案を受けることができます。

c.オペレーティングシステム、アプリケーション、ファームウェアなどのソフトウェアをタイムリーに更新する。インターネットに面したサーバや、ウェブブラウザ、ブラウザ・プラグイン、ドキュメント・リーダーなど、インターネット上のデータを処理するソフトウェアに存在する重要な脆弱性や脆弱性に対して、タイムリーにパッチを当てることを優先してください。迅速なパッチ適用が不可能な場合は、ベンダーが提供する緩和策を実施する。

d.デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。例えば、ビジネス目的で使用されていないポートやプロトコルを無効にする。

e.SMB(Server Message Block)プロトコルのインバウンドおよびアウトバウンドを無効化またはブロックし、SMBの古いバージョンを削除または無効化する。

4.フィッシングメールがエンドユーザーに到達するリスクを以下の方法で低減します。

a.強力なスパムフィルターを実現

b.不審な活動(例:フィッシング)やインシデントを特定して報告する方法に関するガイダンスを含む、サイバーセキュリティのユーザ意識向上およびトレーニングプログラムを実施すること。CISAは、ユーザー意識向上トレーニングの効果をサポートし、測定するために、組織向けに無料のPhishing Campaign Assessmentを提供しています。 

5.以下の方法で、優れたサイバー・ハイジーンを実践してください。

a.アンチウイルス、アンチマルウェアのソフトウェアとシグネチャが最新であることを確認する。

b.アプリケーションのallowlistingを実装する。

c.アカウント使用ポリシー、ユーザーアカウント制御、および特権アカウント管理により、ユーザーおよび特権アカウントが確実に制限されていること。 

d.可能な限りすべてのサービスにMFAを採用し、特にウェブメール、仮想プライベートネットワーク(VPN)、重要なシステムにアクセスするアカウントにMFAを採用する。

e.CISAの「Cyber Essentials」や「CISA-MS-ISAC Joint Ransomware Guide」からサイバーセキュリティのベストプラクティスを導入する。 

PROTECTING SENSITIVE AND PERSONAL INFORMATION

顧客や従業員の機密情報や個人情報を保管している組織は、悪意のあるサイバーアクターによるアクセスや流出から情報を保護する責任があります。CISAは、組織に対して以下を推奨しています。

1.システムにどのような個人情報や機密情報が保存されているか、誰がその情報にアクセスできるかを把握する。事業運営に必要な情報のみを保存することで、データを制限する。不要になったデータは、確実に適切に廃棄する。

2.米連邦取引委員会(FTC)の物理的セキュリティのベストプラクティスを導入する。「Protecting Personal Information: A Guide For Business」および「FTC: Cybersecurity for Small Business

3.サイバーセキュリティのベスト・プラクティスを以下のように実施する。

a.機密性の高い個人情報が保存されているコンピューターまたはサーバーを特定すること。注:業務上不可欠な場合を除き、インターネットに面したシステムやラップトップに機密データや個人データを保存しない。ラップトップに機密データが含まれている場合は、暗号化し、デバイスの適切な物理的セキュリティについて従業員を教育する。

b.静止画や転送中の機密情報を暗号化する。

c.ファイアウォールを導入し、悪意のある、あるいは不要なネットワークトラフィックからネットワークやシステムを保護する。

d.機密情報や個人情報を保管するシステムをさらに保護するために、ネットワークセグメンテーションの適用を検討している。  

 4.サイバー・インシデント対応および通信計画に、データ侵害インシデントに対する対応および通知手順が含まれていることを確認する。通知手順が適用される州法に準拠していることを確認する。(各州のデータ漏洩通知法については、National Conference of State Legislatures, Security Breach Notification Lawsを参照してください。各州のデータ漏洩通知法に関する情報は、「National Conference of State Legislatures: Security Breach Notification Laws」を参照してください)。 

RESPONDING TO RANSOMWARE-CAUSED DATA BREACHES

万が一、組織がランサムウェアの被害に遭い、それに伴うデータ漏洩が発生した場合、CISAはサイバーインシデント対応計画を実施し、以下の行動をとることを強く推奨します。

1.以下のチェックリストを使用して、最初の3つのステップを順に進めていくことで、ネットワーク運用の安全性を確保し、さらなるデータ損失を防ぐことができます。注:CISAでは、このチェックリストをランサムウェアに特化した附属書として、サイバーインシデント対応計画に含めることを推奨しています。ランサムウェア対応の完全なチェックリストについては、「CISA-MS-ISAC Joint Ransomware Guide」を参照してください。

a.どのシステムが影響を受けたかを判断し、直ちに隔離します。複数のシステムに影響があると思われる場合は、スイッチレベルでネットワークをオフラインにします。ネットワークを一時的にオフラインにすることがすぐにできない場合は、ネットワーク(イーサネットなど)のケーブルを探し、感染した機器をネットワークから外すか、Wi-Fiから外すことで感染を食い止めます。

b.影響を受けたデバイスをネットワークから削除できない場合や、ネットワークを一時的にシャットダウンできない場合に限り、ランサムウェアの感染がさらに広がるのを防ぐために、感染したデバイスの電源を落とします。注意:この手順は、揮発性メモリに保存されている感染成果物や潜在的な証拠が失われる可能性があるため、必要な場合にのみ実行してください。 

c.影響を受けたシステムをトリアージして復旧・回復させる。重要度に応じて優先順位をつける。

d.チームと相談して、予備的な分析に基づいて、何が起こったのかを最初に理解し、文書化します。 

e.社内外のチームや利害関係者を巻き込み、インシデントの緩和、対応、回復に向けてどのような支援ができるかを伝える。データ漏洩の経験を持つ、信頼できる第三者のインシデント対応プロバイダーに支援を依頼することを強く検討する。

2.初期の緩和策がないと判断された場合は、影響を受けたデバイスのサンプルのシステムイメージとメモリキャプチャを行います。さらに、関連するログや、「前兆」となるマルウェアのバイナリのサンプル、関連する観測値や侵害の指標を収集します。注:フォレンジックの証拠を破壊してはいけません。また、紛失や改ざんを防ぐために、揮発性の高い証拠や保存期間が限定されている証拠の保存には注意が必要です。

3.サイバーインシデント対応計画に記載されている通知要件に従う。

他の企業に代わって保管されている個人情報が盗まれた場合は、これらの企業に侵害の事実を通知します。

個人を特定できる情報が侵害された場合は、被害を受けた個人に通知して、自分の情報が悪用される可能性を減らすための手段を講じられるようにします。漏洩した情報の種類、推奨される行動、関連する連絡先を伝える。

電子的な健康情報が侵害された場合は、FTCや米国保健社会福祉省、場合によってはメディアへの通知が必要になることもあります。詳細は、Federal Trade Commission's Health Breach Notification RuleおよびU.S. Department of Health and Human Services.Breach Notification Ruleを参照してください。

新型ウィキリークス!? / "post-WikiLeaks era" suggests "what, JTM, era?" Or, "DDoSecrets" "Distributed Denial of Secrets" era which cannot be tweeted but leaked is ok? Weird dookie.


"post-WikiLeaks era" suggests "what, JTM, era?" Or, "DDoSecrets" "Distributed Denial of Secrets" era which cannot be tweeted but leaked is ok? Weird dookie.:

nitter.bcow.xyz/NatSecGeek/status/1427955665268613124#m

The New WikiLeaks

フレディ・マルティネスは、ドナルド・トランプに対する弾劾手続きの最新状況をツイッターで追跡していたとき、CNNの放送のスクリーンショットを見て、奇妙な印象を受けた。彼のフィードには、議事堂の暴徒のひとりが撮影した手ぶれのある電話の映像が映っていたのだ。CNNはこの映像を、マルティネスが出会ったばかりの人物の仕業としている。比較的無名のハクティビストであるドンクエンビーが、右派のソーシャルネットワークであるパーラーからデータをスクレイピングしたのだ。彼らはそのデータを、マルティネスが顧問を務める「Distributed Denial of Secrets」に提供した。この集団は、32テラバイトにおよぶ暴動時の投稿やビデオのアーカイブを共有可能なアーカイブとして公開し、事実上誰でも利用できるようにした。その中には、報道機関や議会の調査官も含まれ、弾劾公聴会でビデオの一部を流した。

マルティネスにとって、捜査官が何百万人ものアメリカ人のためにビデオを再生するのを見るのは「超現実的」であり、「サイバーパンクの瞬間」とマルティネスは誰かが呼ぶのを聞いた。Distributed Denial of Secrets(DDoSecrets)は、2018年末に設立されて以来、秘密主義の政府、腐敗した企業、強力な法律事務所の悩みの種となっていました。2020年6月、「BlueLeaks」として知られるリリースで、同グループは269ギガバイトの法執行機関のデータを公開し、米国全土の警察の不正行為や監視の行き過ぎを暴露しました。また、DDoSecretsは、海外のタックスシェルターやソーシャルメディアサイト「Gab」、極右勢力がよく利用するキリスト教系クラウドファンディングサイトの証拠となる記録を公開しました。また、ウクライナにおけるロシア政府の計画や、ミャンマー政府のビジネス取引を明らかにするなど、独裁者にも影響を与えています。これらの情報は、世間の関心を引く多くのニュース記事を生み出し、DDoSecretsはジャーナリストにとって貴重な情報源となっているが、同時に標的にもなっている:2020年7月、ドイツ当局は組織のサーバーの1つを押収した。昨年8月には、米国国土安全保障省がDDoSecretsを「犯罪的ハッカー集団」とする公報を出したという不吉なニュースもありました。しかし、2月になると、議会は上院議場でパーラーのビデオについて議論していた。

WikiLeaks後の時代に、ジャーナリスティックな透明性を求める動きの先頭に立つことは、このような矛盾をはらんでいます。米国政府のある部分はグループメンバーの作品を利用し、別の部分は彼らを犯罪者と表現する。

WikiLeaksが2018年12月にデータの公開を停止してから、透明性を追求する組織、ハッカー、内部告発者、リーク者の中でも、DDoSecretsは、その協調的な規律、技術的な洗練性、幅広い情報源のネットワークだけでなく、エゴのなさと透明性への積極的なコミットメントにおいても、際立っています。このような錬金術的な組み合わせは、グループ内での意見の相違や世間からの批判がないことを意味しているわけではありません。実際、グループの知名度の高まりや、公開する情報の限界を超えようとする姿勢は、行く先々で組織を敵に回しているように見えます。

DDoSecretsは、個人情報や機密情報を含むハッキングやリークされた情報の濁った世界で、厄介な問題に取り組まなければなりませんでした。何を公開すべきか?誰を信用できるのか?また、ハイテク企業が政府の調査機関と協力して公的な秘密を守り、調査報道を犯罪化する準備ができている中で、透明性を確保する活動はどのようにして生き残ることができるのか?今もそれを解明し続けている。

超党派であることを公言しているDDoSecretsは、無政府主義的な政治と、禁断の知識に対するハッカーの好奇心、そして抑圧された人々への一般的な共感を融合させたような倫理観を持っています。ラテン語で書かれた「Veritatem cognoscere ruat caelum et pereat mundus」というスローガンは、「天が落ちても、世界が滅びても、真実を知ること」という意味になります。これは、「情報は自由でありたい」という言葉の、より大胆で、より変革的なバージョンと言えるでしょう。

フリーランスのジャーナリストとして国家安全保障を取材し、情報公開法の要求を積極的に提出していたBestは、2018年12月に "The Architect "というペンネームでしか知られていない人物と一緒にDDoSecretsを立ち上げました。彼らは、ジュリアン・アサンジのエゴのための手段に変化したと感じていたWikiLeaksと、自分たちのグループを区別することを目指しました。

2018年7月、BestはWikiLeaksの11,000以上の内部メッセージを公開しました。このメッセージには、グループがどのように運営されているかが、下品な行動とともに示されていました。Bestはそれ以来、WikiLeaksが透明性に欠けていること、陰謀論を支持していること、主要なリリースの前後に論説を展開する傾向があることなどを批判している。Bestは、"彼らの情報源やデータさえも欺いている "と表現しました。

WikiLeaksがアサンジというカルト的な人物を中心に反帝国主義的な神秘性を醸成していたのに対し、DDoSecretsはもっと地味なものを公言している。それは、ジャーナリストや関心のある市民に有用な情報を提供するという純粋なコミットメントである。DDoSecretsのウェブサイトによると、データは2つの基準を満たさなければならないとされている。それは、「公共の利益になるか」と「その内容の真実性を一応証明できるか」というものだ。このテストに合格し、現在約10名のメンバーに加え、諮問委員会やボランティアの貢献者が集まり、情報源を保護できると判断した場合、アーカイブを公開します。簡単にダウンロードできるtorrentとして公開することもあれば、少しアクセスしにくいオニオンサイトから公開することもあります。多くのアーカイブは広く公開されているが、中には非公開で、ジャーナリストの要求があった場合にのみ提供されるものもある。また、内容を公開せずに受け取ったデータを記事にするケースもある。

DDoSecretsの活動は、最高の状態で、公式の透明性の限界を明らかにしています。公認された政府のリーク情報や、段階的に行われるビートレポート、何ページにもわたって無駄な編集が行われる情報公開請求などです。このことは、BlueLeaksほど顕著ではありません。「訂正されていないハッキングされた文書を読むと、公開記録担当者から得られる選択情報とはまったく異なる印象が得られます」と、現代の監視国家について書かれた『Pacifying the Homeland』の著者、ブレンダン・マクウェイド氏は言います。ブレンダン・マクウェイドは、BlueLeaksの情報をもとに、警察の不正行為を暴く記事を書き、メイン州情報分析センター(MIAC)に対する連邦内部告発訴訟に注目を集めました。その後、メイン州議会はこのサイトの閉鎖を決議しました(ただし、この法案は上院を通過しませんでした)。マクウェイドやDDoSecretsのメンバーにとって、ハッキングされたデータは、公式のチャンネルでは得られない、真実と説明責任の可能性を提供してくれます。

DDoSecretsは、数年前に不倫相手との出会い系サイト「Ashley Madison」からハッキングしたアーカイブを公開し、撤回したことで批判を浴びましたが、この経験から学んだとしています。BlueLeaksのアーカイブには、約70万人の法執行官の電子メールや自宅の住所などの個人情報も含まれていた(ただし、このデータダンプからは何も生まれていないようだ)。DDoSecretsは、自分たちが法律に違反したり、ハッキングされた情報を求めたりすることはないと断言している。しかし、DDoSecretsのメンバーはハクティビストのアンダーグラウンドに紛れ込んでおり、そこには潜在的な犯罪行為に従事している人々も含まれている。多くのジャーナリズム団体と同様に、この団体もハッキングされた素材や盗まれた素材を公開していますが、これは長年にわたって、報道の自由のために法的に保護されてきた行為です。最近では、ジャーナリストは、内部告発者やリーク者の告発から逃れるために、スパイのように振る舞わなければならないことが多いのです。DDoSecretsの活動に不正のにおいがするとすれば、それは公的な秘密主義、大量の監視、訴追の脅威、そして検閲当局へのビッグテックの協力が、ジャーナリストとリークデータのパブリッシャーの活動能力を同様に妨げているからだ。

フレディ・マルティネスは、DDoSecretsを生み出した民主的な説明責任のシステムの崩壊をなんとか修復できないかと考えました。「私たちは無用の長物になるかもしれませんが、それもいいかもしれませんね。今のところ、このグループは少額の寄付を募っています。また、ハーバード大学の定量的社会科学研究所と提携し、連邦捜査の主な標的とされているジャーナリスト、Best氏のための弁護基金を設立しました。

Best氏は、米国当局の要請を受けたスイスの司法当局が、巨大な商用監視カメラネットワークのセキュリティ脆弱性をジャーナリストに警告したハッカー、ティリー・コトマンを逮捕した後、「真実は影響力を持つ」と書きました。「世界はもはや、ハッカーやリークティビストを排除することはできない。人々が喜んでいる限り、そうはならない」。