投稿日:

広告詐欺師はパブリックドメインのコンテンツを利用して偽のTVアプリを作っている

広告主を詐欺から守り、ブランドの安全を守れるようにするサービスを開発するDoubleVerifyによると、最近の詐欺師たちは新しい策略を使って、インターネットに接続されたテレビから不正に稼ごうとしている。

プロダクト管理担当の上級副社長であるRoy Rosenfeld(ロイ・ローゼンフェルド)によると、そんな詐欺師たちにとってテレビは、少なくともウェブやモバイルに比べると、一見まともに見えるアプリを作ることが難しい。つまりテレビでは「コンテンツを生成するサイトやアプリを載せるだけ」という単純な仕事にならない。コネクテッドTV(CTV)アプリの場合は大量のビデオが必要になるので、詐欺師にとっても費用と時間がかかりすぎる。

同氏によると「そこで連中が始めたのは、パブリックドメインにある古いコンテンツを、面白そうなCTVアプリに見せかけて、プラットホームに提出することだ。でも、そうすると、昔の西部劇を見ようとしたユーザーがまったく違うものを見ることになる。詐欺師たちは、ユーザーをアプリストアに誘うだけでいい。

DoubleVerifyの報告書はもうすぐオンラインで提供されるが、それによると、同社はこれまでの18カ月間で1300本あまりの偽CTVアプリを見つけた。そしてその半数以上は、2020年に登場している。

詐欺師たちはどうやってパブリックドメインにある50年代60年代のテレビ番組や映画からアプリを作っているのか?報告書はその手法についても述べている。これらのアプリはRokuやAmazon Fire、Apple TVなどに提出されて公開承認を待つ。ひとたびアプリストアの承認が得られると、いかにも本物のようになり、偽のトラフィックやインプレッションを作り出す。

ローゼンフェルド氏はこれを、しばらく前に流行ったフラッシュライトアプリと比較して「正しいフラッシュライトアプリというものがあるとしても、ほとんどのアプリはそうではない。それと同じで、この偽コンテンツアプリも、パブリックドメインのコンテンツの全体を汚すものではない。『人々が消費して楽しんでいるものの中には違法なチャンネルやアプリがある』というだけのことなんだ」と語る。

つまり「パブリックドメインのアプリの多くが、広告詐欺のために提出され悪用されている」というだけのことだ。DoubleVerifyによると、広告主が偽のインプレッションに広告料を払わないようにするためには「業界の透明性基準に準拠するべきだ」という。もちろんDoubleVerifyによって認証された広告プラットフォームを通じて購入することを推奨している。

関連記事: DoubleVerify names adtech exec Mark Zagorski as new CEO(未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

TikTokはトランプ政権の使用禁止大統領令の提訴を準備

米国と中国の経済紛争の主役に踊り出た動画共有アプリTikTok(ティックトック)は、ドナルド・トランプ大統領が発効した大統領令、TikTokなどに事業の売却を強制し、従わなければ米国内でのサービスを禁止するというものに異議を申し立てる構えを見せている。

米国の公共ラジオ放送National Public Radio(ナショナル・パブリック・ラジオ、NPR)は米国時間8月8日、TikTokは早ければ8月11日にも異議申し立ての連邦訴訟を起こす可能性があると報じた。この訴訟は、TikTokの米本社がある米カリフォルニア南部地区連邦地裁に起こされる見通しだ。

NPRによると、TikTokは、この大統領令による禁止と、その根拠としている動画共有サービスが国家安全保障上の脅威になるという主張の合憲性を問うことになるという。

この放送の直後にTikTokにコメントを求めたが、返事はない。

8月6日に大統領は、TikTokの親会社であるBytedance(バイトダンス)と、中国の巨大テック企業Tencent(テンセント)が所有するメッセージングアプリWeChat(ウィチャット)との業務提携を45日の期限を設けて解消するようアメリカ企業に命令(未訳記事)する大統領令に署名した。

TikTokは、大統領令に大統領が署名したという最初のニュースが届いた時点で、すでに反対の態度を示していた。

既報のとおり、この命令は「適正な過程を経ずに発効された」とTikTokは主張している。そのため「グローバル企業が米国政府の法規範に不審を抱く」危険を招きかねないという。ホワイトハウスがアプリ禁止の拠り所としているものに、International Emergency Economic Powers Act(国際緊急経済権限法)とNational Emergencies Act(国際緊急法)とがある。だが、海外企業の子会社が米国内で事業を行うことを国家の緊急事態だとする理屈は、まったくもって前代未聞だ。

1976年に発生したイラン人質事件の際に成立した国際緊急経済権限法の下では、大統領は、関税を課す権限と外国企業との経済的関係を停止させる権限を全面的に有する(NPR記事)。

TikTokの親会社であるByteDanceは、売却により米国での問題を緩和して事業を続けたいと考えているため、大統領命令を訴えるのなら急ぐ必要がある。

この大統領令が発表された後、Microsoft(マイクロソフト)は声明を出し(Microsoftブログ)、TikTokの買収についてByteDanceと協議中であると話した。

マイクロソフトはこう話している。

CEOのSatya Nadella(サティア・ナデラ)とドナルド・J・トランプ大統領との対話を受け、マイクロソフトでは、TikTokの米国での買収の可能性を探る協議継続の準備を整えていました。マイクロソフトは、大統領の懸念に対処する重要性を十分に理解しています。完全なる安全保障上の監視の下で、米国債も含め米国に相応の利益をもたらすよう、弊社はTikTokの買収に尽力します。

アナリストや銀行は、米国で1億人を超える顧客を有するユーザーベースのお陰で、TikTokの米国での事業価値は200億ドルから500億ドル(約2兆円から5兆3000億円)と目算しているとフォーチュンは伝えている

TikTokの米国での事業には、別の交渉人も現れている。ウォール・ストリート・ジャーナルによれば、TikTokはTwitter(ツイッター)と提携の可能性に関して予備的な話し合いを開始したとのことだ。

関連記事:マイクロソフトが9月15日までにTikTok買収へ、米国、カナダ、オーストラリア、ニュージーランドの事業が対象
画像クレジット: TechCrunch

[原文へ]

(翻訳:金井哲夫)

投稿日:

私がたまたまある会社の朝のZoom会議に顔を出してしまった話

誰にでもパニクるときがある。

出勤途中に家のオーブンを消してきたか気になるとか、上司から「今すぐ連絡しろ」と気が滅入るメッセージを受け取るも、何度電話してもつながらないとか。または、あるとき不意にパソコンの内蔵カメラのLEDが点灯して、突然、大勢の知らない人たちのビデオ会議に顔を出してしまったときとか。

この最後のやつは、実は私の経験だ。自己弁護するが、私にはほとんど責任がない。

私は、資金調達をしたばかりの斬新なアイデアを持つあるセキュリティー系の新しいスタートアップの話を聞いて興味を抱いた。手持ちの情報が少なかったため、詮索が仕事の記者の常として、あちらこちらを掘り返し始めた。そのスタートアップのウェブサイトは派手な見栄えだったが、全体的に言葉のサラダのようで要領を得ない。私が求めていた簡単な疑問に対する率直な答は見つけられなかった。それでも、同社のアイデアは賢いように思えた。実際に、それがどのように機能するのかを、どうしても知りたくなった。

そこで、もう少し本気でウェブサイトを突いてみることにした。

記者は、さまざまな手段を用いて情報を収集する。ウェブサイトの変化を監視したり、コメントの電子メールを誰かが開いたかどうかを確認したり、大量の公開データを漁ったりもする。これらは何も、報道関係者にだけに許された特殊な手段というわけではない。むしろそうした情報は、それを探して報道したい人たちのためにオープンになっているのだ。セキュリティーに関して、私がよく使う手段は、企業のウェブサイトの、すべてのサブドメインをしらみ潰しにするというものだ。それらのサブドメインは公開されてはいるものの、故意に見えにくくしてある。だがそこで、ウェブサイトにはない情報に出会えることが多い。

大当たり!私はすぐに同社のピッチ資料を発見した。他のサブドメインには、それがどのように機能するかに関する資料が大量にあった。読み込めないサブドメインも多くあり、いくつかは従業員限定としてブロックされていた。もちろん、そこには法的に超えてはならない一線がある。公開されていない場所に入ることは許されない。ドアを蹴破ることはできない。

私は別のサブドメインをクリックしてみた。するとひとつのページが開き、私のMacのDockでアプリのアイコンがぴょんぴょん跳ね始めた。そして内蔵カメラのLEDが点灯した。何が起きているのか理解するより早く、私は同社の朝の会議に顔を出してしまったのだ。

唯一の救いは、カメラカバーだった。マスキングテープを二重に貼っただけのお手製だが、その陰で、だらしないパンデミック疲れの顔をした私が、5人はいたと思われる人たちの注目を浴びずに済んだ。

私はそこに居座って弁明するのは避け、代わりにすぐに、このセキュリティー上の欠陥を同社にメールで警告した。同社は、そのウェブサイトのいくつものサブドメインに、Zoomの会議室をハードコードにしていた。ほんとに誰でもすぐにわかる簡単に推測できるサブドメイン名を使えば、開催中のZoom会議にすぐに参加できる。パスワードも必要ない。

その日の終わりには、同社はそのサブドメインをオフラインにしていた。

Zoomは、セキュリティー問題の情報が拡散され悪用を防ぐためのデフォルト設定の変更を迫られた。それには、新型コロナウイルスの感染拡大により利用者が急増し、そのプラットフォームへの監視の目が強まったことが大きく寄与している。

だが、今回のことはZoomの責任ではない。まったくプロテクトしていないZoom会議を、利便性のために記憶しやすいアドレスに結び付けてしまったこの会社の責任だ。そのほうが便利なのかもしれないが、それが会社の会議を盗み聞きしようとする連中の潜入を許してしまう。

Zoom会議をパスワードで保護するようお願いするのは、そんなに大それたことではないだろう。次に乱入するのは、おそらく私ではないからだ

画像クレジット:RamCreativ / Getty Images

[原文へ]

(翻訳:金井哲夫)

投稿日:

TikTokが約525億円投じて欧州に初のデータセンター開設へ

中国のビデオ共有アプリであるTikTok(ティックトック)は米国時間8月6日、欧州に初めてデータセンターを開設すると発表(TikTokプレスリリース)した。同社は地政学的な権力闘争の狭間に立たされており、同社の今年の世界全体の成長に急ブレーキがかかるおそれがある。

EUにおけるTikTokデータセンターの発表は、国をまたぐデータの移転が脚光を浴びた先月の欧州司法裁判所の画期的な判決(未訳記事)に続くニュースだ。判決によりEU域外でのデータ処理の法的リスクが増大した。

TikTokによると、アイルランドに開設されるデータセンターは2022年初めの稼働を予定しており、欧州のユーザーデータを格納することになる。グローバルCISOのRoland Cloutier(ローランド・クルティエ)氏が書いたブログ投稿によると投資予定額は約4億2000万ユーロ(約525億円)だ。

「アイルランドへの投資は数百人単位の新しい雇用を生み出し、TikTokユーザーのデータ保護強化に重要な役割を果たす。データセンターのオペレーションは最新の物理的およびネットワークセキュリティ防御システムに基づき計画されている」とクルティエ氏は書いている。「リージョナルデータセンター開設により欧州のユーザーはデータの送受信時間が短くなるメリットを享受し、アプリの使い勝手が全般的に向上する」と付け加えた。

TikTokは地域別のユーザー数を公表していないが、流出したプレゼン資料によると、昨年初めの欧州でのMAU(月間アクティブユーザー)は1700万人以上(未訳記事)だった。

TikTokが10代の若者に愛される人気のソーシャルメディアアプリになったことが、トランプ米大統領の怒りを買うことにつながった。トランプ氏は今月初め、米国の会社に米国事業を売却しなければ、米国でTikTok禁止のため執行権を行使すると脅した。ちなみに、マイクロソフトが買い手として関わっている

トランプ氏がTikTokアプリの使用を阻止できるのかについては議論の余地がある。テクノロジーに精通する若者は知恵を絞って禁止措置を回避するだろう。ただ一時的な運用中止は避けられないと思われる。そのためTikTokは戦略を変更し、ダメージを最小限に抑え最悪の結果を回避しようとしている。

トランプ氏は大統領就任以来、中国のハイテク企業の海外ビジネスを非常に難しくすることに意欲を示してきた。モバイルデバイスとネットワークキットメーカーのHuawei(ファーウェイ)の場合、トランプ氏は中国共産党とのつながりによる国家安全保障上の懸念を理由に米国内での同社技術の使用を制限し、同盟国に働きかけて5Gネットワ​​ークから締め出した。これはある程度成功したといえる。

TikTokに対するトランプ氏の不満も同じで、ユーザーデータへのアクセスを中心とした国家安全保障上の懸念に根差している。もちろん、トランプ氏にはアプリを嫌う個人的な理由があるかもしれないが(TIMES記事NewYork Times記事)。

TikTokはあらゆる有名なソーシャルメディアアプリと同様、膨大な量のユーザーデータを収集する。TikTokのプライバシーポリシー(TikTokサイト)では、「政府機関からの問い合わせ」への回答を含め第三者とユーザーデータを共有する可能性があるとしている。個人データの扱いは、Facebookなどの米国のソーシャルメディア大手とほとんど同じのようだが、北京に本拠を置く親会社であるByteDance(バイトダンス)は中国のインターネット安全法の適用を受ける。同法は中国共産党にデジタル企業からデータを取得する権限を付与している。米国にもデジタル情報を監視する法律があり、政府とデータ産業の複合体がある。中国にも同様の複合体が存在することが、ハイテク企業を地政学の中心に置くことになった

TikTokは、米国で燃え上がったセキュリティの懸念から同社の海外ビジネスを遠ざけるための措置を講じている。また、トランプ氏が同社を押しつぶさないよういくつかのインセンティブを提供している。Disney(ディズニー)元幹部のKevin Mayer(ケビン・メイヤー)氏をTikTokのCEOおよびByteDanceのCOOとして迎え、米国で1万件の雇用を創出(未訳記事)し米国のユーザーデータは米国に保存されていると主張している。

同社は並行して欧州のオペレーションを見直している。今年初めにアイルランドのダブリンにEMEAトラスト&セーフティーハブを設置し、チームを結成した。6月には欧州地域の利用規約を改訂(TikTokニュースリリース)し、アイルランドの子会社を英国の子会社と並ぶローカルデータコントローラーに指定した。これで欧州のユーザーデータは米国企業であるTikTok Inc.傘下から外れることになった。

一連の対応はEUおよび欧州経済領域全体に適用される個人データに関するルールに準拠している。そのため、欧州の政治指導者らはトランプ氏とは違いTikTokを激しく攻撃してはいないが、同社はこの地域で依然、増大する法的リスクに直面している。

先月、CJEU(欧州司法裁判所)の裁判官は、EUのユーザーデータを第三国へ移転する場合、当該国の監視法や慣行に問題がありデータがリスクにさらされるということがなければ、データ移転が合法になり得ると明示した。CJEUの判決(別名Schrems II、シュムレス・ツー)は、中国やインドなどの国でのデータ処理を念頭に置いている。ただし、米国もEUのデータ保護法のリスクフレームの範囲にしっかりと入っている。

このリスクを回避する1つの方法は、欧州のユーザーデータをローカルで処理することだ。TikTokがアイ​​ルランドにデータセンターを開設することはSchrems IIへの対応にもなる。TikTokが欧州ルールの要請に確実に準拠する(未訳記事)手段になるからだ。

プライバシーに関するコメンテーターらは、CJEUの決定がデータのローカリゼーションを加速させる可能性があると指摘する。この傾向は、中国やロシアなどの国でも見られる(トランプ政権下では米国でも見られる)。

EUのデータ監視当局は、CJEUが米国・EU間の「プライバシー・シールド」のデータ移転メカニズムを無効にした後の猶予期間はないと警告(未訳記事)した。有効な国へのデータ移転ツールを使用する場合はアセスメントの対象となる。アセスメントの結果、EU当局がリスクを認識すればデータ移転が一時停止されるか、監督者にデータ移転が続いていることを通知する(これにより調査が開始される可能性がある)。

EUのデータ保護フレームワークであるGDPR(EU一般データ保護規則)は違反に厳しい罰則を科す。罰金は企業の世界ベースの年間売上高の4%に達する可能性がある。EUデータ保護に関するビジネスリスクはもはや小さくない。たとえ広範な地政学的リスクがグローバルなインターネットプレーヤーの不確実性を高めているとしてもだ。

「コミュニティのプライバシーとデータを保護することは当社の優先事項であり、今後もそれは変わらない」とTikTokのCISOは書き、次のように付け加えた。「本日の発表は、ユーザーとTikTokコミュニティを保護する当社のグローバルな取り組みを強化する継続的な取り組みの一部にすぎない」

画像クレジット:TechCrunch

[原文へ]

(翻訳:Mizoguchi

投稿日:

コロナ禍で増える悪質な広告を撃退するClean.ioが5.3億円を調達

ウェブサイトを悪質な広告から守るClean.ioがこのほど、シリーズAで500万ドル(約5億3000万円)を調達した。

メリーランド州ボルチモアにある同社は、マルバタイジング(malvertising、悪質な広告、ビジターを他のサイトへ強制的にリダイレクトする広告など)と戦う唯一の企業ではない。しかし共同創業者のSeth Demsey(セス・デムジー)氏による2019年の言葉によると(未訳記事)、Clean.ioは「悪質なJavaScriptを見つけるだけでなく、それをロードした者を同定できる」という。

CEOのMatt Gillis(マット・ギリス)氏は今週のメールで、「敵は絶えず進化している」といっている。

「ウイルスの撃退もコンスタントに定義をアップデートして保護を改良しなければならないが、我々も同じく、常に悪者たちが見つからないための努力を重ね、壁を乗り越えようとしていることを忘れてはならない」とギリス氏は述べている。

現在、同社の技術を700万あまりのウェブサイトが利用しており、顧客の中にはWarnerMediaのXandr(元AppNexus)やThe Boston Globe、Imgurなどがいる。

画像クレジット:Clean.io

Clean.ioの調達総額はこれで750万ドル(約7億9000万円)になる。シリーズAをリードしたのはTribeca Venture Partnersで、これにReal Ventures、Inner Loop Capital、およびGrit Capital Partnersらが参加した。

ギリス氏によると、この次の資金調達は2020年2月末の予定だったが、新型コロナウイルス(COVID-19)のために延期になった。今や営業もすべてZoomで行っている。この体験についてギリス氏は「ニューヨークの自分の小さなアパートの一室をもう見飽きるぐらい見たよ」という。そして彼はTribecaのChip Meakem(チップ・ミーケム)氏のことを、「ワールドクラスのパートナーだ」と褒めている。ミーケム氏は以前、AppNexusなどにも投資している。

もちろんデジタル広告に及ぼすパンデミックの影響は、ギリス氏が資金調達を遅らせたくらいでどうかなるものでもない。しかもギリス氏によればデジタル広告は3月の終わりごろから単価が下がったことで出稿量が増えているため、「悪者たちの活躍の場が広がっている」のだ。

「3月中旬から5月初旬にかけて急激に犯行が増加している。これはパンデミックがもたらしたものでもあるが、我々のソリューションへの需要も一貫して増えている。今やかつてなかったほど、ユーザー体験とウェブサイトの収益を保護するニーズが高まっている」とギリス氏はいう。

関連記事: Clean.io raises $2.5M to fight malicious advertising

カテゴリー:セキュリティ

タグ:Clean.io

画像クレジット:LeoWolfert / Getty Images

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿日:

カーハッカーの遠隔操作を許すメルセデス・ベンツのセキュリティーのバグ

2015年、Wired(ワイアード)の記者が運転するジープのエンジンを、セキュリティー専門家のCharlie Miller(チャーリー・ミラー)氏とChris Valasek(クリス・バラセク)氏が遠隔操作で停止させた実験(Wired記事)は、忘れようにも忘れられない出来事だった。

それ以来、カーハッキングの世界では、セキュリティ専門家が新たなバグとの発見と、その悪用の手口を探して、バタバタと走り回るようになった。自動車をインターネットに接続するという新しい波は、ほんの10年ほどの歴史しかない。

今年のBlack Hat(ブラックハット)会議は、新型コロナウイルス感染拡大のためにバーチャルで開催されたが、そこでも状況は同じだった。

オンラインTVサービスSky Go(スカイゴー)のセキュリティー研究チームと、中国のセキュリティー企業、奇虎360(キフー・サンバイリューシ)のカーハッキング担当チームは、メルセデス・ベンツEクラスに10個以上の脆弱性があり、それを使えば遠隔でドアを開けたりエンジンをかけたりできることを発見した。

最新の自動車にはインターネット接続機能がある。乗っている人が車の中で娯楽コンテンツで遊んだり、地図を見たりルート検索したり、さらには選びきれないほどの大量のラジオチャンネルを聴くためだ。だが、車をインターネットに接続するということは、遠隔攻撃を受けるリスクが大変に高まることを意味する。ミラー氏とバラセク氏がジープを乗っ取り、最後には側溝に突っ込んで止まったのは、まさにそれだ。

自動車のセキュリティーが洗練されてきたのは、この5年あまりのことだが、Sky Goの研究者たちは、メルセデス・ベンツの最新モデルでさえ、攻撃に対して完全ではないことを示した。

Sky Goのセキュリティー研究チームのトップであるMinrui Yan(ミンルイ・ヤン)氏に今週話を聞いたところによると、現在は19の脆弱性が改善されているが、中国では200万台ものメルセデス・ベンツに影響が現れる恐れがあるという。

Mercedes(メルセデス)の親会社Daimler(ダイムラー)の広報担当者Katharina Becker(カタリーナ・ベッカー)氏は、昨年末に発表したセキュリティー問題の修正に関する同社からの声明(Daimlerプレスリリース)を指摘して話した。Daimlerは影響を受ける可能性のある車の推定台数は確認できていないという。

「市場に出ている車両でその影響を受ける可能性のあったすべてのものについて、発見されたあらゆる問題に対処し、あらゆる脆弱性を修正しました」と広報担当者は言った。

1年以上にわたる調査の最終結論は、遠隔で車両が操作できてしまう攻撃チェーンを形成する一連の脆弱性ということになった。

まず研究者たちは、車の部品をリバースエンジニアリングにより脆弱性を探し出し、車のソフトウェアをダンプして、脆弱性の内部の仕組みを分析するためのテストベンチを準備した。

そしてEクラスの実車を入手し、その発見結果の検証を行った。

この調査の核心となるのは、Eクラスのテレマティクス制御ユニット(TUC)だ。車にとって「もっとも重要な」ユニットだとヤン氏は言う。それを使って車両はインターネットと通信を行うからだ。

TCUのファイルシステムを改ざんすると、研究者たちはルートシェルにアクセスできるようになった。そこは、車両の内部システムのもっとも高度なレベルへにアクセスして命令を送る箇所だ。ルートシェルのアクセスを獲得すると、研究者たちは車のドアを遠隔で開けられるようになった。

TCUのファイルシステムには、パスワードや認証情報など、不正アクセスや改変を防ぐための、その車両の秘密も格納されている。だが彼らは、ヨーロッパや中国など、異なる地域の認証用パスワードを抽出できた。車両の認証情報とパスワードを手に入れれば、車両のネットワークの深いレベルにまで手が届くようになる。中国地区での認証方法には、弱いパスワードが使われていたとヤン氏は話す。そのため、中国での脆弱な車はハイジャックが容易だという。

ヤン氏の目標は、車両の内部ネットワークの核心部分であるバックエンドにアクセスすることだった。車のバックエンドサービスに外部からアクセスできる限り、車は攻撃のリスクを抱えていると彼らは話す。

研究者たちは、車に内蔵されている、携帯電話ネットワークを使った通信を可能にするSIMカードを分解した。このSIMカードをルーターに接続すれば、セキュリティー機能が働いてフリーズしてしまうため、それはできなかった。そこでルーターを改造し、携帯電話ネットワークにそれを車両だと思い込ませる手法をとった。

車両のファームウェアをダンプすることで、ネットワークのプロトコルが解析でき、認証情報を入手して浸入が可能になった。これで彼らは、車両を遠隔操作がきるようになった。

研究者たちによれば、この車のセキュリティーのデザインは堅牢で、いくつもの攻撃に耐えることができたという。だが、抜け穴は存在した。

「すべてのバックエンド・コンポーネントを、常に完全に守るのは困難です」と研究者たちは言う。「これを完璧にできる企業はないでしょう」

しかし、少なくともメルセデス・ベンツの場合、1年前よりはずっと安全になっている。

画像クレジット:Scott Olson / Getty Images

[原文へ]

(翻訳:金井哲夫)

投稿日:

Twitterが政府職員や国がコントロールするメディアにラベルを貼る

Twitter(ツイッター)が、政府職員や国家と結びついたメディアのアカウントとツイートに、そのことを表すラベルを導入した。

それについて同社のブログ記事は「Twitterは、公務員や国会議員に接続して彼らに直接話せるための他に類のない方法を提供する。リーダーや職員とのこのような直接的なコミュニケーションラインは、政治的な議論を民主化することに役立ち、透明性と説明責任を増大してきた」と説明している。

しかしながら、Twitterによると、これらのラベルは、議論を保護するためのもっと大きな取り組みの一部だ。なぜなら、「政治的な力は金で買えるものではなく、努力によって得られるべきものだからだ」。

政府職員に対するラベル付けは、同社によると、「外国の公的な声を表している」ものにフォーカスし、それらはとくに「外務大臣や公的機関、大使、公的なスポークスパーソン、外交の中心的なリーダー」などが対象になる。最初は国連安全保障理事会の5つの常任理事国、中国とフランス、ロシア、イギリス、そして米国を対象とするが、今後はそのほかの国も加えていく。

Twitterによると、これらのラベルは「国のトップの個人的アカウントには適用されない。それらのアカウントは知名度もメディアの関心も社会的認知度も高いからだ。たとえば大統領ドナルド・トランプのTwitterアカウントにはラベルがなく、国務長官であるマイク・ポンペオ氏のアカウントにはある。

Twitter label screenshot

画像クレジット: Twitter

国家と結びついたメディアについては、政府の財政支援を受けていても編集権の独立を維持しているBBCやNPRのようなメディアには、ラベルを付けない。

それに対し「国がコンテンツの編集に対し、財政的支援や政治的圧力、製造と流通のコントロールなどを通じて介入している媒体」にはラベルが付く。それはたとえば、ロシアが支援するRTだ。そのような媒体を識別するためにTwitterは、外部専門家に相談する。たとえばそれは、TwitterのTrust & Safety Council(信頼と安全評議会)傘下のDigital and Human Rights Advisory(デジタル人権顧問団)グループだ。

Facebookも同様のラベルを6月に導入した。

また、国家と結びついたメディアは今後、ホームタイムラインや通知、検索などによるプロモーションが使えない。ただしこの制約は、政府職員にはない。Twitterはすでに、中国の国営通信社が宣伝入りツイート買って(未訳記事)、香港の民主活動家を暴力的と表現した事件以降、国営メディアによる広告の購入を禁じている

関連記事:Twitterがトランプ大統領のツイートに「要事実確認」の警告を表示

画像クレジット: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

ハッカーがATMの「ジャックポッティング」バグを利用して現金吐出しに成功

2010年、世界的に有名なセキュリティー研究者であった故Barnaby Jack(バーナビー・ジャック)氏は、Black Hat(ブラックハット)カンファレンスの壇上、ライブでATMをハックして、現金自動預け払い機に大量のドル札を吐き出させるところを実演した。このテクニックはその名もふさわしく「jackpoting(ジャックポッティング)」と呼ばれた。

Jack氏の大当たりのデモから10年、ふたりのセキュリティー研究者が、フィットネスクラブのNautilus(ノーチラス)に設置されたATMで新たな脆弱性を2つ発見した。ただし新型コロナパンデミックのために、実演はバーチャルで行われた。

ニューヨ

セキュリティー研究者の故Barnaby Jack氏は初めてATMでジャックポットを当てた人物として名を残した。そして10年後、2人のセキュリティー研究者が新たなATM現金吐出し攻撃を成功させた。画像クレジット:YouTube

ーク拠点のセキュリティー会社、Red Balloon(レッドパルーン)の研究者であるBrenda So氏とTrey Keown氏は、2つの脆弱性を利用して、銀行以外の小売店舗でよく見られるスタンドアロンATMを騙し、現金を放出させることができたと語った。

そのためにはハッカーがATMと同じネットワーク内にいる必要があるため、ジャックポッティング攻撃を成功させる難易度は高い。しかし彼らの発見は、ATMに何年もの間、時には製作されて以来の脆弱性が残っていることが頻繁にあることをあらためて露見させた。

So氏とKeown氏によると、新たな標的となったNautilus ATMの内蔵ソフトウェアは、Microsoftはすでにサポートしていない10年前のバージョンのWindowsた。二人はまず調査のためにATMを1台購入した。しかしほとんどドキュメントがなかったため、しくみを理解するためには内部のソフトウェアをリバースエンジニアしなければならなかった。

最初の脆弱性が見つかったのは、XFS(Extensions for Financial Services/金融サービス向け拡張機能)という、ATMがカードリーダーや現金支払ユニットなどの様々なハードウェア部品とやりとりするためのソフトウェアレイヤーだった。バグはXFSそのものにあったのではなく、ATMメーカーが自社の機械にこのソフトウェアレイヤーを組み込む方法にあった。研究者たちは、特別に細工した不正なリクエストをネットワーク経由で送ることで、ATMの現金支払い機構を起動させ中にある現金を排出させられることを発見した。Keown氏がTechCrunchに語った。

第2の脆弱性は、ATMのリモート管理ソフトウェアの中にあった。ATMオーナーが所有する一連の機械のソフトウェアをアップデートしたり、現金がいくら残っているかを確認したりするための組み込みツールだ。そのバグを引き起こすことで、ハッカーはターゲットとなったATMの設定を操作できる。

So氏によると、ATMの支払いプロセッサーをハッカーが制御する悪意のサーバーに切り替えることで、バンキングデータを抜き取ることができる。「あるATMを悪意のサーバーに接続してクレジットカード番号を抜き取ることができた」と彼女は言った。

Bloomberg(ブルームバーグ)はこれらの脆弱性について、二人が自分たちの発見をNautiluに直接報告した際に最初に報じた。全米にある約8万台のNautilus ATMが、修正前には脆弱な状態にあったとBloombergは報告している。本誌はNautilusに質問を投げかけているがまだ回答はない。

ジャックポッティングに成功することは稀だが、全くないわけではない。近年、ハッカーたちは様々な手法を利用している。2017年には、ヨーロッパで活動中のジャックポッティング・グループが発見され、数百万ユーロの現金を入手していた。

最近では、ATMメーカーの内部ソフトウェアを盗み出し、 独自のジャックポッティング・ツールを作っていたハッカー集団がいた。


タレコミ情報は、SignalまたはWhatsAppで+1 646-755-8849にメッセージするか、暗号化メールで zack.whittaker@protonmail.com まで。

原文へ
 
(翻訳:Nob Takahashi / facebook

投稿日:

IoTデバイスに特化した検索エンジンを開発するCensysが約16億円調達

インターネットデバイスの検索エンジンであるCensys(センシス)は、おそらくあなたが耳にしたことがない最大の検索エンジンの1つだ。

Google(グーグル)がウェブ上の情報を見つける検索エンジンなら、Censysはデータをホストするコンピューター、サーバー、スマートデバイスなどのインターネットデバイスを見つける検索エンジンだ。インターネットに接続されたデバイスを探しながら継続的にマッピングを行い、企業のファイアウォールの外側からアクセス可能なデバイスを特定することを可能にする。その目的は、ウェブからアクセスできるシステムを捕捉し、セキュリティの脆弱性のため悪用される可能性があるデバイスを把握する手段を企業に提供することだ。

Censysは、GV(ジーブイ)とDecibel(デシベル)がリードしたシリーズAで1550万ドル(約16億円)を調達した。Greylock Partners(グレイロックパートナーズ)も参加した。

米国ミシガン州アナーバーに本拠を置くインターネットセキュリティのスタートアップの最高経営責任者兼共同創業者であるDavid Corcoran(デービッド・コーコラン)氏は、「当社は一流のセキュリティ人材に積極的に投資する計画であり、営業、エンジニアリング、リーダーシップチームの拡大に向け、来年には従業員数を約50人から100人に倍増させる計画だ」と語った。

「世界一流の投資家から投資を受けたことを大変嬉しく思っている。当社はこの勢いを止めることなく、絶え間なく変化する環境で企業のセキュリティ管理に革命を起こし続ける」とコーコラン氏は述べた。

資金調達はこれ以上ないタイミングで行われた。同社だけがインターネットデバイス検索エンジンというわけではなく、ライバルにはBinary Edge(バイナリーエッジ)やShodan(ショーダン)がいる。しかし同社によると、インターネットマッピングテクノロジーの改善に2年を費やしており、以前よりインターネットらしくなっている。

元々はオープンソースのZMapスキャナーの開発・保守を行っていたチームが構築した新しいスキャンエンジンは、他のセキュリティ会社よりもインターネット上のデバイスが44%多いと同社は主張する。チーフサイエンティストであるZakir Durumeric(ザキール・デュルメリック)氏は、「企業は新しく脆弱なシステムがオンラインになると同時に確認できるようになる」と語った。

Censysはアナーバー地域で成長しているセキュリティ企業の1つ。ほかにも同地域最大級の会社としてDug Song(ダグ・ソング)氏が共同で創業したDuo Security(デュオセキュリティ)がある。同氏はCensysの取締役も務める。

「見えないものを保護することはできない。だが今日のダイナミックなIT環境で多くの組織は、リスクのある全てのシステムとアプリケーションを攻撃者が見つける前に必死に探し出そうとしている」とソング氏は言う。「Censysは防御側が必要とする『可視化の自動化』によって力を貸す。それによりリスクをしっかり理解し、先回りできる。そして小規模なセキュリティチームでも大きなインパクトを与えることができる」

画像クレジット:Censys

[原文へ]

(翻訳:Mizoguchi

投稿日:

「トラッキングは広告収益増に絶対必要」という思い込みを覆すオランダ国営放送局の事例

「ウェブ上でユーザーを追跡し、その行動履歴を元にターゲットを絞って広告を配信するという、プライバシーに反した手法で、果たしてパブリッシャーはどの程度の収益を手にしているのか」と疑問に思ったことがあるだろうか。議論の的となってきたこの点について、プライバシー重視のブラウザBrave(ブレイブ)が、オランダの国営放送局NPOから許可を得て入手した興味深いデータを公開した。

このデータによると、NPOが今年1月から6月までターゲット広告用のトラッカー使用を停止したところ、広告収益が増えたという。しかも、3月に新型コロナウィルス感染症のパンデミックが始まり、世界的にデジタル広告が大きな打撃を受けたのにも関わらず、そのような結果となった(例えば、Twitter(ツイッター)は第二四半期の広告収入が約4分の1減少したと報告している)。

NPOが運営するさまざまなウェブサイトにおけるオンライン動画の視聴者数は月710万人、月あたりの表示リーチは580万人に達する。同局は今年1月に、それらのウェブサイトに表示する広告をコンテキスト広告に切り替えた。

Braveが今回公開した過去6か月分のデータの分析結果によると、当該期間中、NPOの広告収入は毎月増加している。監視資本主義を機能させるための基盤として使われてきたアドテック(広告テクノロジー)の泥沼から抜け出したNPOの広告収益は、以下のように毎月、前年比増を続けている。

  • 1月:62%、2月:79%、3月:27%、4月:9%、5月:17%、6月:17%

今月初め、BraveはNPOの5か月分の広告収益データを公開した。したがって、上記のデータは、このトピックについてBraveが少し前に投稿したブログ記事に掲載されたデータの最新版となる。NPOの広告販売会社であるSter(ステア)から提供されたこの最新のデータでは、数字が若干上方修正されている。要するに、非追跡型広告の収益は、パンデミック発生中も含めて半年間、増え続けているということだ。

行動ターゲティングからコンテキストターゲティングに切り替えることで広告収益が増加するという話を、現在、広告トラッキング業界とトラッカー擁護派から聞くことはない。いわゆる大手プラットフォームは、インターネットのアテンションエコノミー(人々の関心や注目の度合いが経済的価値を持つという概念)とデジタル広告を売買するためのデジタルインフラをがっちり押さえることによって、この5年間ほど莫大な収益を上げてきた。(一方で、このデジタル広告好況期においてもパブリッシャーの広告収入は多くの場合停滞または低下してきた)。

アドテック業界は、コンテンツ制作者が読者監視システムの排除を余儀なくされたら、パブリッシャーの収益は大幅に減少する、と主張し、トラッキングとターゲットの絞り込みは切っても切れない関係にあると考えたがる(Google(グーグル)の広告プラットフォーム担当副社長は昨年、AdExchanger(アドエクスチェンジャー) に対して、トラッカーをブロックすることでパブリッシャーのプログラマティック広告収入が減少すると、CPMが半分に削減される可能性があると述べている)。

驚いたことに、広告トラッカーの使用を中止した後パブリッシャーの広告収入が増大したという報告はこれが初めてではない。

Digiday(ディジデイ)が昨年報じたところによると、New York Times (ニューヨークタイムズ)が欧州の大幅な規制改正を前に追跡型広告を停止してコンテキスト・地理ターゲティングへと切り替えたところ、広告収益が増加したという。

ニューヨークタイムズには、すべてのパブリッシャーが持つわけではない、一定のブランド力がある。そのため、トラッキング業界は、ニューヨークタイムズのケースを他のパブリッシャーでも広く再現することは不可能だ、と反論している。そんな中で公開されたNPOのデータは、同局のコンテンツが支配的でないウェブサイトにおいてさえ広告収益が増加したことを示しているという点でより興味深いものだ、とBraveは分析する。

NPOのポリシー/インダストリー・リレーションズ最高責任者Dr Johnny Ryan(ジョニー・ライアン)博士は次のように書いている:

NPOとその広告販売会社ステアは、コンテキストターゲティング広告とそのテストに投資し、同社のコンテンツが支配的ではないサイトでも大幅な収益増を達成した。確かにステアにはNPOのメディアグループ全体の広告在庫を一手に扱えるという強みがある。2019年の収益増はそのおかげだったかもしれない。しかし、2020年の収益増はそれでは説明がつかない。パブリッシャーに市場優位性がない場合でも、サードパーティによるトラッキングを止めて、NPOのように大幅な収益向上を実現することは可能だ。

ライアン氏は、(ジャンクやクリックベイトなどではない)「正当な」パブリッシャーであれば、規模に関係なくNPOのように広告収益の増加を実現できると考えており、その理由を以下のように語っている。

NPOは国営放送グループではあるが、そのさまざまなウェブサイトはオランダのウェブトラフィックランキングの上位を占めているわけではない。NPOのウェブサイトのうち、その分野でオランダの上位5位以内に入っているサイトはNos.nlだけである。NPOの他のウェブサイトはオランダの上位100位以内にも入っていない。Similar Web(シミラー・ウェブ)が(オランダの他社サイトと比較して)算出した他のNPOサイトのトラフィックランキング推定順位は、オランダの人気サイトランキングの180位~5040位の範囲に収まる程度である。NPOウェブサイトの人気や各コンテンツ分野の市場での地位は、販売インプレッション数の増加とは無関係だ。全国サイトランキング、カテゴリ別のサイトランキング、ページビュー数はそれぞれのウェブサイトによって大きく異なるが、インプレッションの増加は、すべて83%を超えている。1つ例外があるが、原因ははっきりしている(該当期間中に技術的な問題が発生し、最も人気のあるプログラムの1つにおける広告表示が阻止されたことが原因だった)。

もちろん、トラッキングに反対する市場の価値観と一致した収益モデルを持つBraveにとって、これは自社を宣伝するチャンスだ。しかし、だからといって、追跡型広告の中止によりNPOの広告収益が増加したという事実が持つ意義が損なわれることは決してない。

NPOのプライバシー担当責任者であるJoost Negenman(ヨースト・ナインマン)氏はTechCrunchに取材に対し、「コンテキスト広告に切り替えることで広告収益が増加するなど思ってもみなかった」と答えた。同氏によると、コンテキスト広告への移行は、昨年半ば頃、NPOが使っていたプログラムによるターゲティング広告システムは、同局が担う「公的役割」と相反するものだと自ら確信したために実施されたのだという。

「広告収益はかなり減るだろうと思っていた」とナインマン氏は語る。コンテキスト型への移行時点で、ステアが自社のプログラム型広告システムに必要なCookieの使用についてユーザーから獲得していた許諾率は10%程度にすぎなかった。ちなみに、GDPR(一般データ保護規則)の施行前は許諾率は75%を超えていた(これはおそらく、当時のCookie同意モジュールが「明示的ではなく暗黙の同意」に基づくものだったからだと思われる。GDPRでは、同意を法的に有効なものとするには、具体的で、十分な告知がなされ、自由に決定できるものでなければならない)。

「当時は洗練された代替テクノロジーが存在しなかったこともあり、NPOとステアが市場で標準となっていたアドテックを拒否すれば、広告主から完全に無視されるだろうと思っていた。ところが幸いにもこれは我々の誤算だった。プログラマティック型広告ソリューションを信奉し広めていたのがオンラインの商売人や企業だったという点も幸いしたのだろう」。

ナインマン氏は、コンテキスト広告に切り替えたことで以外にも広告収益が増加した要因として、NPOとその関係放送局の「Aブランド」としての強みがあったことを指摘する。つまり広告主はコンテキスト広告への移行後もユーザーにリーチできることを望んだのだ。また、プライバシー保護を支持する時代精神を味方につけたことも収益増に貢献した。

「アドテックのユーザー監視機能が強化されていることには誰もが気づいていた。この点は説明不要だろう」とナインマン氏は言う。

NPOがコンテキスト広告へ移行するにあたり、かなりの投資が必要だったことも指摘しておく必要があるだろう。例えば、記述的メタデータを構築することで動画コンテンツでより精密なコンテキストターゲティングが行えるようにするなど、ウェブ資産全体でコンテキストターゲティングを実現するテクノロジーのためにNPOはかなりの額を費やした。NPOと同レベルの高度なコンテキスト広告ターゲティングを実行するための資金を、すべてのパブリッシャーが用意できるとは限らない。

それでも、NPOのようにコンテキスト広告への移行後も継続的に広告収益増を達成できるとなれば、投資は短期で回収できる。初期投資をするだけの資金的余裕のあるパブリッシャーにとっては、今回のNPOのケースはかなり説得力のある事例だ。

「投資は1か月程度で回収できた。グーグルや他の仲介業者に支払う料金がすべて不要になった点は大きい。1ユーロの広告が売れれば、その1ユーロすべてがSterの収益になるからね」とナインマン氏は語る。

同氏はまた、オランダではNPOに対して90%以上のコンテンツに字幕を付けることを義務化する法律が制定されたため、コンテキストターゲティングを構築するための厄介な作業の一部がすでに終わっていたという点も指摘する。

「字幕データは当然価値のある記述的メタデータとなる。つまり、必要な前準備はある程度整っていたということだ。ただし、最近は比較的容易に自動作成できるようになっている字幕以外にも、(サブ)ジャンル、クレジットの俳優名などの標準的な番組情報も動画コンテンツにコンテキストを追加するのに大いに役立つ」とナインマン氏は語る。

Braveのライアン氏は、NPOの広告販売会社ステアもコンテキスト広告の成功に重要な役割を果たしたと推測する。「小規模なパブリッシャーは、ステアがNPOのさまざまなウェブ資産に対して行っているように供給を集約できる評判の良い広告販売会社と連携することで利点を享受できる。広告主や代理店が評判の悪い販売会社から広告を購入する場合は別として、どんな規模のパブリッシャーでも、その利益は評判の良しあしによって決まる」と同氏は言う。

コンテキスト広告への移行がすべてのパブリッシャーでうまくいくと思うかという質問に対して、ナインマン氏は、「そこまでは思わない」という。同氏は「すべてのAブランドのパブリッシャーには、このアプローチは確実に機能する。報道機関も、そのようなシステムへのフィードとして完全な(メタ)データを所有している」とし、市場にはコンテキスト広告にもターゲット型広告にもそれぞれに適した需要があると指摘する。

「すべてのオンライン広告が同じではない。オンラインでしつこく追いかけてくる追跡型広告でAブランドの認知度を獲得することはできない。コンテキスト型システムを開始することでおそらく、ユーザーが追跡されることないプライバシー保護の『楽園』が構築される。このシステムはそこで、広告収益とオーディエンスの尊重の両方においてその価値を証明することになる」とナインマン氏は語る。

「他の国営放送局にも、少なくともコンテキスト型広告のテストを開始する道義的責任があると思う。「アドテックシステムによる個人データと行動データの利用は正当化できないレベルに達しているため、GDPRに規定されている情報に関する義務を順守するのはほとんど不可能になっている」と同氏は付け加える。

アドテックプラットフォームによるユーザー情報の利用がもたらすさまざまな被害が増える中、前述の通り、プライバシーを侵害する監視資本主義に代わる実行可能な代替策があるという証拠が次々に発見されている

あらゆるタイプのパブリッシャーにとってコンテキスト型広告が収益増につながるというわけではないが、追跡型でなければ絶対にダメだという考え方はまったくの間違いだ。

(低俗なパブリッシャーを支えているユーザーデータの乱用は社会的悪であり、したがって、他人の不幸を利用するクリックベイト(および膨大な広告詐欺)を支えているシステムを支持することも(利益を手にする悪質業者以外の)すべての人にとって悪であるという、筋の通った主張もできる)。

ライアン氏は、従来型のアドテックを「正当なパブリッシャーをむしばむガン」とまで言い切る。以前、PageFair(ページフェア)という広告ブロックの解除を行うアドテック企業に在籍したことがあり、自身が酷評する悪質な企業の内部で働いた経験がある同氏だからこそ、その批判には容赦がない。

ライアン氏は内部関係者としての専門知識を生かして欧州の規制当局に多くの問題点を提起しており、とりわけ、プログラマティック広告が依存しているリアルタイムビディング(RTB)に反対している。RTBは、大量のインターネットユーザーの個人情報を集めて、手当たり次第に吐き出すからだ。

このような個人データの高速なやり取りは、個人情報は安全に扱う必要があり、紙ふぶきのようにまき散らすべきではないと規定されている欧州のデータ保護フレームワークと真っ向から対立する、というのがライアン氏の意見だ(ただしRTBについては、個人データを除外した上でコンテキスト広告専用に使うのであれば問題ないと同氏は考えている)。

欧州のデータ保護規制当局は、現在のアドテックの利用には「合法性」の問題があることを認めてはいる。しかし、現時点では、問題が広範に及ぶことを考慮し、強制的な行動に出ることはせず手をこまねいている状態だ

(ナインマン氏によると、興味深いことに、NPOは個人データを除外した上でプログラマティック広告のRTB利用を継続することを検討したことがあるという。「とはいえ、結局のところ、このアイデアが実用段階まで進むことはないだろう。個人的には、規制に準拠した広告とRTBの組み合わせを想像することはできる。最も重要なのは、個人データを信頼できるデータパートナーの管理下から出したり広告主と共有したりしてはならない、という点だ」と同氏は付け加えた。)

アドテック業界という大型タンカーを方向転換させるには時間がかかる。この機会に追跡型の広告でユーザーを付け回すのを止めてコンテキスト広告を実験的に試すパブリッシャーが増えれば、市場全体がプライバシーを保護する方向にシフトする可能性は高くなる。そうなれば、NPOのケースが示すように、パブリッシャーとユーザーの双方にとって大勝利となる可能性がある。

一方、競争規制当局は大手アドテックの市場支配力の問題に迫っており、巨額のデジタル広告支出を大手プラットフォームへと流す役割を果たす「垂直統合された中間業者チェーン」によって生じる利害の対立にも注目している。公的機関の介入によってグーグルのビジネス帝国を分割しアドテックのアド(広告)とテック(技術)を切り離すことで強制的に市場を改革するという考えを思いつくのは難しくない。

監視資本主義の原動力である私利的な力は、その手法が個人データを搾取しているという事実に誰も目を向けることがないまま富を築いた。今、多くの目が大手プラットフォームに向けられており、彼らの天下が終わる日もそう遠くはない。変化が起きるかどうか、という段階はもう過ぎている。事態はすでに目まぐるしく変化しており、プラットフォーム各社自体もサードパーティによる追跡型Cookieへのアクセスを制限する方向へ動いている

パブリッシャーは、プラットフォーム各社の次のパワーゲームを見越して、すでに次の手を考えておくのが賢明だろう

関連記事:研究者にデータへの「有意義な」アクセス権を与えることとプライバシーは両立する

カテゴリー:セキュリティ

タグ:広告業界 プライバシー

[原文へ]

(翻訳:Dragonfly)

投稿日:

TwitterのAndroid版でダイレクトメッセージに不正アクセスの可能性

Twitter(ツイッター)は、同サービスのAndroidアプリユーザーのダイレクトメッセージが、セキュリティーのバグによって露出した可能性があることを発表した。ただしこの脆弱性が悪用された形跡は見つかっていない。

このバグによって、同じデバイスで動作している悪質なAndroidアプリが、Androidのデータ保護機能を迂回してTwitterアプリに保存されたダイレクトメッセージを盗み出していた可能性がある。しかしTwitterによると、2018年10月に発覚しかこのバグはAndroid 8(Oreo)とAndroid 9(Pie)でのみ有効(CVE Detailsレポート)であり、その後修復されている。

広報担当者がTechCrunchに伝えたところによると、このバグは数週間前、同社がバグ懸賞プログラムで利用しているHackerOneを通じてあるセキュリティー研究者から報告された。

「それ以降アカウントの安全を確保するべく社内で対応した」と広報担当者は言った。「このほど問題が解決したため情報を公開した」。解決前にバグのことを知った何者かが悪用するのを防ぐために、これまでユーザーへの告知を待ったとTwitterは語った。

影響を受けたTwitterユーザーに送られた警告(画像クレジット:TechCrunch)

Twitterによると、大半のユーザーはAndroidsアプリをアップデートしているので脆弱性はない。しかし、ユーザーの約4%は古い脆弱なバージョンを今も使っているため、できるだけ早くアップデートするよう通知を送ると同社は語った。

多くのユーザーが、この問題を通知するアプリ内ポップアップを目にしているはずだ。

このセキュリティー問題のニュースのわずか数週間前、同社はハッカーの攻撃を受け、犯人は共犯2名と共謀して内部ツールを利用して乗っ取った著名人のアカウントから、送金した金額の2倍を返すと称した暗号通貨詐欺のメッセージを拡散した。詐欺アカウントには他の犯行にによるものと合わせて10万ドル(約1060万円)以上の資金が集まった。

司法省は未成年1名を含む3名を、本事件を起こした疑いで起訴した。

画像クレジット:Josh Edelson / Getty Images

関連記事:Decrypted: How a teenager hacked Twitter, Garmin’s ransomware aftermath(未訳記事)

原文へ

(翻訳:Nob Takahashi / facebook

投稿日:

マイクロソフトがTikTok買収に対する米政府への「支払い」と引き換えに要求すべきこと

これは狂気のニュースの1つである。米国時間8月3日、ドナルド・トランプ大統領はメディア向けのイベントで、米国政府がMicrosoft(マイクロソフト)とTikTokの水面下での取引を承認するには「その買収額のかなりの部分が米政府に入ってこなければならないだろう」と発言した。

企業が契約書に署名してもらうために米国政府に賄賂を贈ったりはしないので、実際には実現不可能に近いと思われるが、これをあえて額面通りに受け止めてみよう。マイクロソフトは支払うべきか。支払うとしたら、米国政府との交渉で何を要求すべきか。

まず、いくつかの背景を説明しておく。TikTokの親会社であるByteDanceは、1000億ドル(約10兆6000億円)以上の企業価値がある。ByteDanceは、TikTokの中国版で非常に人気の高い姉妹アプリ「Douyin」や、大成功を収めているニュースリーダーの「Toutiao」など一連の著名アプリを所有しているため、TikTokの評価額を単独で推測するのは難しい。取引規制上の混乱や、Facebookなどの資金力のある企業による買収の多くは、独占禁止法違反の疑いがあるという事実が、さらに事態をややこしくしている。

実際の買収価格が数百億ドルではないにしても、少なくとも100億ドル(約1兆600億円)だと仮定すると、同社は政府との交渉をどのように考えるべきだろうか。

最も重要な目的は、マイクロソフトの買収後に規制上の頭痛の種を減らすことにある。TikTokには、規制が非常に敏感な分野である、十代の若者をも巻き込んだプライバシー問題が取り沙汰されている。Facebookがプライバシーの問題に直面した際は、最終的に米連邦取引委員会(FTC)との50億ドル(約5300億円)の和解金を支払うことで昨年合意し、すべての懸念事案に答えを出した。また、コンプライアンスを確保するために、監視メカニズムだけでなく、一連の制限事項にも合意している。なおTikTok(旧Musical.ly)は昨年、実際にFTCのプライバシーに関する570万ドル(約6億円)の和解に合意している。

プライバシーに加えて、財務省からの輸出ライセンス問題、米議会からの中国製アプリのデータ保護に関する懸念、司法省からの反トラスト問題などが出る可能性もある。

この取り引きは、いまがまとめの時期だ。マイクロソフトがTikTok事業を買収する前に、プライバシー、貿易、独占禁止法規制に関するすべての請求に対する免責と引き換えに、最終的な買収価格に応じておそらく数十億ドルという高額な金額を米国政府に「和解金」として提示する必要があるだろう。おそらくマイクロソフトは、買収後180日間でプライバシー問題をクリアし、データを米国の独自のAzureクラウドに移動させ、TikTokが過去数カ月で導入しているペアレンタルコントロールよりもさらに優れた制御機能を実装することも計画しているだろう。

これは悪い選択肢ではないはずだ。なぜなら、マイクロソフトの長期的な負債を大幅に制限することができるからだ。また、買収者が将来の訴訟で多額の費用を負担しないように、買収価格を全額前払いすることはない大規模なM&A案件で発生する典型的なエスクロー(第三者預託)とホールドバック(一部留保)も回避できる。

このような問題に大統領自身が直接的かつ不明確な方法で関与するのは恐ろしいことだ。自らが扉を開けてしまったいまとなっては、実はそれほど悪い方向には進んでいないのかもしれない。トランプ大統領には省庁間を調整して、すべての政府関係者を集め「罰金」と引き換えに免責レベルを受け入れる力があるのだ。

ただし、和解によってすべての問題を解決することはできない。TikTokは米国の他のインターネットアプリと同様に、連邦法だけでなく、カリフォルニア州消費者プライバシー法(CCPA)のようなプライバシーに関する州法にも従う必要がある。連邦政府との和解により、関連する州法に抵触する可能性があるのだ。さらに、選挙シーズンの真っ只中に多額の支払いに同意することは、議席の両サイドでも議論を呼ぶことになるかもしれない。

にもかかわらず、この取引は決して典型的なものではなく、典型的なM&Aのプロセスがあるとは考えるべきではないだろう。路上強盗のような奇妙な契約形態について、連邦政府の関与を勧める弁護士はほとんどいないと思われるが、今回の交渉は通行料を払って何らかの法的保護を得て先に進むだけの正当な理由はある。

画像クレジット:NICHOLAS KAMM/AFP / Getty Images

原文へ

(翻訳:TechCrunch Japan)

投稿日:

「TikTokの日本事業について現時点で変更なし」とByteDance Japanが表明

米国と中国の貿易摩擦や中国の国家安全法に関連して、中国のByteDanceが所有しているショートムービーサービス「TikTok」の米国事業の買収の動きが加速している。

この件についてTechCrunch Japanは、日本法人であるByteDance Japanに日本の事業展開について質問したところ「日本におけるTikTokの運営について現時点で変更の予定はありません。今後ともみなさまが安心安全に楽しめるより良いプラットフォームとなるよう尽力してまいります」という回答を得た。日本政府が対応を決めかねている現状もあり、日本のTikTokerは当面はそのままサービスが使えるようだ。

また、ByteDance Japanは米トランプ大統領の買収容認発言以降のByteDance本社のTikTok広報担当者からのステートメントも併せて回答した。

TikTok is loved by 100 million Americans because it is a home for entertainment, self-expression, and connection. We’re motivated by their passion and creativity, and committed to continuing to bring joy to families and meaningful careers to those who create on our platform as we build TikTok for the long term. TikTok will be here for many years to come.”

TikTokが1億人の米国人に愛されているのは、エンターテインメント、自己表現、他人とつながりるためのホーム(媒介)となっているからです。私たちは、ユーザーの情熱と創造性によってモチベーションを高め、長期的にTikTokを構築しながら、私たちのプラットフォームで創作する人々や家族に喜びを、そして有意義なキャリアをもたらし続けることを約束しています。TikTokはこれからも何年もここにいます。

投稿日:

ポンペオ米国務長官が「米国はTikTokと他の中国のハイテク企業に対してまもなく行動を起こす可能性がある」と発言

ドナルド・トランプ大統領がTikTokを米国から追放するために執行命令を使う可能性があると発表した数日後、Michael Pompeo(マイケル・ポンペオ)国務長官は、トランプ政権は「解決策に近づいており、まもなく大統領の発表があるだろう」と述べた。

ポンペオ氏は、Fox News(フォックス・ニュース)の「Sunday Morning Futures」ホストのMaria Bartiromo(マリア・バーティロモ)氏のインタビューで、トランプ政権が米国でビジネスを展開しているほかの中国のテック企業に対しても行動を起こす可能性があると述べ、一部の企業が「中国共産党に直接データを供給している」と主張した。

TikTokの運営元である中国・北京拠点のByteDanceは現在、米国および他の数カ国でのTikTok事業を売却するためにマイクロソフトと交渉中だ。トランプ政権が人気アプリに関する発言をエスカレートさせていることから、この交渉はここ2週間でさらに緊急性を増している。

マイクロソフトは米国時間8月2日、9月15日までに米国、カナダ、オーストラリア、ニュージーランドのTikTokの事業を買収するための協議を行っていると述べ、同社の最高経営責任者(CEO)であるSatya Nadella(サティア・ナデラ)氏がトランプ大統領の安全保障上の懸念についてトランプ氏と話し合ったと述べた。

ロイター通信は先週、ByteDanceが米国のTikTok事業の少数株を保持することを希望していたが、完全にマイクロソフトに支配権を譲ると報じた。

特に注目すべきは、マイクロソフトは声明の中でインドについて言及していないことである。Steven Mnuchin(スティーブン・ムニューシン)財務長官は米国時間7月29日、TikTokが米国外国投資委員会(CFIUS)の審査中であることを明らかにした。CFIUSは現在、ByteDanceが2018年買収したMusical.lyとTikTokとサービス合併が国家安全保障上の脅威に該当するかどうかを調査している。

売却すれば米政府をなだめるのに十分なのかと、ホストのバーティロモ氏に質問されたポンペオ氏は、トランプ政権は「我々が行ってきたすべてのことが、米国民のリスクをゼロに近い状態に追い込むようにする」と述べた。

しかし、共和党議員の中には「売却だけでは十分ではない」という意見もある。上院情報委員会の委員長であるMarc Rubio(マーク・ルビオ)氏は先週、フィナンシャル・タイムズ紙に対して「TikTokはデータがどこに保存されているか、どのように保護されているかについて、まだ質問に答える必要がある」と語っていた。

「TikTokの所有者が誰であろうと、これらの基本的な質問に答え、話をはっきりさせるまでは、私は会社の活動と報告されている中国との結びつきを懸念し続けている」とルビオ氏はコメントしている。

TikTokを超えて

ポンペオ氏のFox Newsのインタビューの前日、ホワイトハウスの貿易顧問を務めるPeter Navarro(ピーター・ナバロ)氏はFox Newsに対し、トランプ政権は「『米国人の情報を中国のサーバーに送り返すあらゆる種類のソフトウェア』も検討している」と語った。

ポンペオ氏はまた、米国政府がより多くの中国のテクノロジー企業に対して行動を起こす可能性があることを示唆した。

「ピーター・ナバロが言ったように、米国でビジネスをしているこれらの中国のソフトウェア企業は、TikTokやWeChatなど数え切れないほどあり、顔認識パターンや居住地、電話番号、友人などの情報を中国共産党や国家安全保障装置に直接供給している」と彼は主張した。

ポンペオ氏は、トランプ氏が「中国共産党に接続されたソフトウェアによって提示される国家安全保障上のリスクの広範な配列に関して、今後数日間で行動を起こす」と付け加えたが、それが何を意味するか、またはどのような企業が影響を受ける可能性があるかについては詳しく説明しなかった。

しかし、その中にはTencent(テンセント)が所有するWeChatも含まれているかもしれない。米政府は先月、米国で利用可能なWeChatのバージョンは中国のものよりも機能が限られているにもかかわらず、米国でWeChatを制限する可能性があると述べた。

中国ではWeChatはユビキタスな存在だが、米国でのユーザー数は中国に比べるとはるかに少なく、主に米国の中国コミュニティのメンバーや、中国で事業を展開している、または中国に関係のある外国企業が利用している。

画像クレジット:JIM LO SCALZO/AFP / Getty Images

原文へ

(翻訳:TechCrunch Japan)

投稿日:

Twitterの著名人ハッキング事件でフロリダの17歳「首謀者」が逮捕

米国時間7月31日、テキサス州ヒルズボロ郡のAndrew Warren検事は、同州タンパ在住の17歳を30件の重罪容疑で逮捕した。最近Twitter(ツイッター)で起きたハッキング事件の首謀者だとされている。

事件は7月に起こり、Apple(アップル)、Elon Musk(イーロン・マスク)氏、Barack Obama(バラク・オバマ)氏、Joe Beiden(ジョー・バイデン)氏ら著名人のアカウントがハックされ、暗号通貨詐欺に誘導するメッセージがそこから発信された。指定されたビットコインのウォレットに送金すると、金額が2倍になった返ってくると謳われていた。

10代の容疑者(未成年のため身元は公表されていない)はこの暗号通貨詐欺によって10万ドル以上を稼いだとされている。

州検事局によると容疑者は31日に連邦捜査局(FBI)および米国司法省の捜査によって逮捕され、成人として裁かれる。容疑は組織的詐欺(5万ドル以上)1件、および通信詐欺(300ドル以上)17件にわたる。

「一連の犯罪は著名人の名前を用いて実行されたが、主要な被害者は彼らではない」とWarren氏が声明で語った。「この ‘Bit-Con’(ビットサイン詐欺)は、ここフロリダを含む全米の一般人から金銭を搾取するよう仕組まれていた。この大規模な詐欺事件はわれわれの庭で画策されたものであり、断じて許すことはできない」

この攻撃はTwitter自身の内部管理ツールを使って著名人アカウントに侵入することで行われた。「

Twitterは31日に公式ブログを更新し、ハッキング事件の概要を説明した。

2020年7月15日に起きたソーシャルエンジニアリングは、電話によるスピアフィッシングによって少数の社員が標的となった。攻撃が成功するためには、当社の内部ネットワークにアクセスが可能であること、及び社内サポートツールの利用を許可された特定社員の個人認証が必要だった。当初標的とされた社員の全員がアカウント管理ツールの利用を許可されていたわけではなかったが、アタッカーは彼らの個人認証を用いて当社の内部システムをアクセスし、われわれのプロセスに関する情報を手に入れた。この情報を得ることによって、アカウントサポートツールを利用できる別の社員を標的にできるようになった。アタッカーはこれらのツールを利用できる社員の個人認証を使って、130件のTwitterアカウントに侵入し、最終的に45のアカウントからツイートを発信し、36アカウントのDM受信箱をアクセス、7アカウントのTwitterデータをダウンロードした。

将来同様の手口が使われないように、Twitterは「セキュリティー作業手順の適用を早め、ツールを改善する」ほか、社内システムの不正アクセスを検出、防止するための方法を改善すると言っている。

アップデート:司法省は個別の発表で、ハッキング容疑で逮捕されたのはフロリダ州タンパの10代だけではなく、ほかに英国のMason Sheppard(19歳)、別名 “Chaewon”(通信詐欺、マネーロンダリング、および保護されたコンピューターの意図的アクセスの容疑)とフロリダ州オーランドのNima Fazeli(22歳)、別名”Rolex” (保護されたコンピューターの意図的アクセスの幇助)の2名が関与していたことを明らかにした。2名はカリフォルニア州北部地区検察局で処置される。

「ハッカー社会には、今回のTwitterハックのようなアタックは匿名で実施可能で足がつかないとする誤った認識がある」とDavid L. Anderson検事が声明で語った。「今日の発表は、保護された環境に対する遊びや金銭目的のハッキングは割りに合わないことを知らしめるものだ。インターネット上の犯罪は、本人にとっては見られていないように感じるかもしれないが、隠し通せるものなどない。法を犯せばわれわれが必ず見つける、ということを潜在的犯罪者に言っておきたい」

関連記事:
Twitter says ‘phone spear phishing attack’ used to gain network access in crypto scam breach

原文へ
 
(翻訳:Nob Takahashi / facebook

投稿日:

マイクロソフトが9月15日までにTikTok買収へ、米国、カナダ、オーストラリア、ニュージーランドの事業が対象

米国時間8月2日、マイクロソフトは同社のコーポレートブログに、米国でのTikTok買収の可能性についての議論を継続する声明を掲載した。声明の中には「米国の投資家」を少数派で参加させる可能性があるという記載もある。

今回の声明は、同社CEOのSatya Nadella(サティア・ナデラ)氏とトランプ大統領との会話の結果だという。これまでの報道やTechCrunchの調査では、状況は完全にホワイトハウスの手に委ねられていると指摘されていた。同社は買収に意欲的だが、大統領の感情という障害物を抱えている。もし、ナデラCEOがトランプ大統領に直接接触したのであれば、TikTok米国事業の行く末は明るいものになるかもしれない。

声明には「ナデラCEOとトランプ大統領の直接交渉に続いて同社は、米国でのTikTok事業の買収を探索するための議論を継続する準備ができている」と書かれている。「マイクロソフトは、大統領の懸念に対応する重要性を十分に認識しています。完全なセキュリティ審査を受け、米国財務省を含む米国に適切な経済的利益を提供することを条件に、TikTokの米国事業を買収することを約束しています」ともある。

同社はいずれにしてもByteDanceからの買収に関する協議を2020年9月15日までに完了するとしており、大統領や米国政府との協議を継続する。今回の買収は、米国、カナダ、オーストラリア、ニュージーランドでのTikTokの事業を対象としており、これらの市場ではマイクロソフトが所有・運営することになる。

声明には「他の手段の中で、マイクロソフトはTikTokの米国ユーザーのすべてのプライベートデータを米国内に転送したうえで米国内に残すことを保証します。これらのデータが米国外に保存またはバックアップされている場合、データが転送された後に国外のサーバからそのデータを削除することを保証します」とも記載されている。

ここでの歴史的経緯は、マイクロソフトが今回のアクションを起こしているのは、ByteDanceの最大市場の1つである米国でTikTok事業を継続するには事業売却の必要があるからだ。事の発端は、中国企業が運営するネットサービスでのデータの扱いについてホワイトハウスが強い懸念を示したこと。FacebookやTwitter、Googleなどのなどを含む多くのネットサービスが、グローバルでさまざまユーザーデータを集計・分析しているにもかかわらず、反中国の旗を掲げて、米国市民の膨大な量の行動データにアクセスできることが間違いないアプリ、つまりわかりやすいターゲットを狙う機会を得たわけだ。

一方でTwitter界隈では、トランプ大統領がTikTok上で彼をからかうことで人気を博したコメディアンに腹を立てただけだという説(Vouge記事)もあるが。

いずれにせよ、今回のことでTikTokの刻みの時計の中にもう1つの「トック」が増えた。関係者には手を差し伸べるが、この件に関しては先週末のバタバタしたニュースの最終的な結果になりそうだ。

情報に更新があれば記事をアップデートする。

【Japan編集部追記】日本マイクロソフト、ByteDance日本法人には、日本のTikTok事業の今後について担当者に確認中だ。こちらも更新があり次第、記事をアップデートする。

原文へ

(翻訳:TechCrunch Japan)

投稿日:

TikTokの米国事業に対する圧力が高まる中、Bytedanceはユーザーのつなぎ止めを模索

TikTok(ティックトック)の米国事業が存亡の危機に瀕したジェットコースターに乗っている間、親会社であるBytedance(バイトダンス)が事業の維持継続できるように、米国の企業と言論の自由、大量の資金、そして議論で、規制当局と一般大衆を揺さぶろうとしている。

同社の米国内でのビジネスを検証しようとする動きは、TikTokの米国事業を継続するために大統領の禁止令の回避やMicrosoft(マイクロソフト)からの入札の可能性があるとの報道が渦巻いていることを受けてのことだ。

米国内の競合他社や政治的な攻撃に直面する中、TikTokとその親会社であるBytedanceは、米国の公民権運動の擁護者をいくつかピックアップした。米国時間8月1日夜遅く、米国公民権連合(American Civil Liberties Union、ACLU)はトランプ大統領が提案した禁止措置(未訳記事)に異議を唱えるツイートをした。

「いかなるインターネットプラットフォームでも、我々は機密の個人データが政府に漏れる危険性を懸念すべきである」とACLUと説明したあとで「しかし、今回のTikTokの米国事業の禁止が法的に可能であったとしても、1つのプラットフォームをシャットダウンすることは、オンラインでの言論の自由を害し、不当な政府の監視というより広範な問題を解決するものにはならない」と続けた。

一方中国では、米国がBytedanceに米国の利益を売却することを強要することに抵抗感を持っているよ人が多いようだ。新浪科技がソーシャルメディアプラットフォーム「微博」で実施した調査(Weibo投稿)では、BytedanceがTikTokをマイクロソフトに売却する可能性があることについてどう思うかを尋ねたところ、回答者75.3万人のうち36.7万人が「消極的で無力な解決策であることは理解できる」とし、35.1万人が「失望している、もう少し持ちこたえてくれることを期待している」と答えている。

サービスの所有権が不明のままであるにもかかわらず、TikTokは米国での運営を継続することをユーザーに安心してもらうために迅速に動いた。同社はまた、ユーザーデータの取り扱いを誤る可能性があることを理由に離反者に直面しているにもかかわらず、クリエイターへのアピールを強化している。

米国時間7月28日には、同社の最大のセレブたちが集まって4700万人の視聴者を集め、Trilerと呼ばれるTikTokのプラットフォームを捨ててはるかに小さなライバルのTrilerに乗り換える(Los Angels Times記事)ことを明らかにした。

Trilerは、TikTokが米国で爆発的な人気上昇を始めた2年前の2015年に設立され、Snoop Dogg(スヌープ・ドッグ)、The Weeknd(ザ・ウィークンド)、Marshmello(マシュメロ)、Lil Wayne(リル・ウェイン)、Juice WRLD(ジュースWRLD)、Young Thug(ヤング・ジューク)、Kendrick Lamar(ケンドリック・ラマー)、Baron Davis(バロン・デイヴィス)、Tyga(タイガ)、TI、Jake Pual(ジェイク・ポール)、Troy Carter(トロイ・カーター)を含む米国の音楽やエンターテイメントの大物が支援している。

Trilerには現在、TikTokのスターであるJosh Richards(ジョシュ・リチャーズ)、Griffin Johnson(グリフィン・ジョンソン)、Noah Beck(ノア・ベック)、Anthony Reeves(アンソニー・リーブス)が投資家やアドバイザーとして参加している。また、リチャーズ、ジョンソン、ベックとリーブスはTrillerからも補償を受けているが、TikTokをやめる理由として挙げているのは、政府のセキュリティー上の懸念だ。

Trillerは「取引の詳細は非公開だがリチャーズ、ジョンソン、ベック、リーブスにも補償を行っている。にもかかわらず、クリエイターは中国に所有されている会社のセキュリティ慣行を警戒するようになったのでTikTokを離れることになった」と説明する。

「米国や他の国の政府がTikTokを懸念しているのを見て、私のフォロワーや他のインフルエンサーを保護し、導く責任があることを知って、起業家としての本能に従い、解決策を見つけることを使命としました」と、最高戦略責任者に就任するリチャーズ氏はLos Angels Times紙に語っている。

TikTokはこういった動きに同社のクリエイターファンド(未訳記事)の大幅な増額で応えた(TikTokブログ投稿)。当初は2億ドル(約212億円)に設定されていたが、今週初めにTikTokの最高経営責任者である(ケビン・メイヤー)氏は、ファンド総額は今後3年間で10億ドル(約1060億円)に達すると発表した。

TikTokのこの魅力的な攻勢はユーザーの流出を食い止めることができるかもしれないが、同社はユーザーデータに関する懸念に対処する必要があるだろう。ユーザーデータの保護は同社にとって最も差し迫った脅威であり、対処するための準備が最も不足している。

投稿日:

CiscoがModcamを買収して自らのスマートカメラ製品ラインを強化

IoTの普及に歩調を合わせ、セキュリティカメラの高性能化も進んでいる。現在、こうしたデバイスには機械学習機能が備わっており、カメラの視野にあるものが何かを自動的に識別できるようになっている。例えば動物なのか、あるいは侵入者なのかなどを見分けることが可能だ。米国時間7月31日、Cisco(シスコ)はスウェーデンの新興企業であるModcam(モッドカム)を買収したこと、そしてそれを自社のMeraki(メラキ)スマートカメラポートフォリオの一部に加え、Modcamの技術を統合することを発表した。

両社は買収価格を明らかにしなかったが、Ciscoは買収が完了したと語っている。

契約を発表したブログの投稿の中で、Cisco MerakiのChris Stori(クリス・ストーリ)氏は、Modcamの獲得によってMerakiの機械学習が強化されると同時に、優れたエンジニアリング人材も手に入ることになると語る。

Modcamを買収することで、Ciscoは機械学習、コンピュータービジョン、クラウド管理カメラに対する豊富な専門知識を持つ、非常に才能のあるエンジニアのチームに投資することになるのです。Modcamはカメラを今よりもさらにスマートにするソリューションを開発したのです」と彼は書いている。

彼が語りたいのは、Merakiはすでにモーション検知機能や機械学習機能を備えたスマートカメラを持っているものの、これは現在1台のカメラだけに限定されているということだ。Modcamが提供するのは、情報を収集し複数のカメラ出力に機械学習を適用できる追加機能であり、カメラの機能を大幅に強化してくれる。

「Modcamのテクノロジーを使用することで、非常に微細なレベルの情報をつなぎ合わせることができるようになり、複数のカメラが現実世界に対するマクロレベルのビューを提供できるようになるのです」とストーリ氏は語る。例えば実際に、施設管理チームに対して利用可能なスペースのより完全なビューを提供することができる。これは企業がパンデミックの中で、安全な方法で営業を行おうとするときに特に重要なシナリオだ。Modcamが売り込んでいた別のシナリオは、製造現場で何が起こっているかをより完全に把握することだ。

Ciscoが「小さなチーム」としか説明していなかったModcamsの全従業員がCiscoに加わり、ModcamのテクノロジーはMeraki製品ライン内に組み込まれ、スタンドアロン製品としては提供されなくなると、Ciscoの広報担当者はTechCrunchに語った。

Crunchbaseのデータによると、Modcamは2013年に創業され、これまでに760万ドル(約8億円)を調達している。一方、Ciscoは2012年にMerakiを12億ドル(約1270億円)で買収していた。

関連記事:Cisco、企業向けWi-FiスタートアップのMerakiを現金12億ドルで買収

画像クレジット:Cisco

原文へ
(翻訳:sako)

投稿日:

マイクロソフトがTikTokの米国事業買収で中国のByteDanceと協議中

Bloombergの記事によると、Donald Trump(ドナルド・トランプ)大統領は大人気ソーシャルビデオアプリTikTokのオーナーである中国のByteDance対してに、同社からの売却を命じる計画を立てているようだ。このアプリは親会社が中国の企業であり、米国のセキュリティ上の懸念の対象になっている。

この報道に続いて話題になっているのは、米国などの国々でもユーザー数が多い中国のソーシャルネットワークサービスをMicrosoft(マイクロソフト)が買収する商談を行っているというBloombergThe NewYork Timesの報道だ。TikTokは中国では利用できず、中国のユーザーは代わりにByteDanceが所有する類似アプリであるDouyinを利用している。

この売却が何を意味しているのか、果たして大統領が関与しているのか、詳細はまだ何もわかっていないが、もし実現すればテクノロジーの世界に巨大な波がやってくるだろう。TikTokは、YouTubeやFacebook(フェイスブック)のような米国を拠点とするソーシャルネットワークにとって、唯一の規模などにおいても無視することができない外部の競争相手だ。

また、売却によってTikTokの米国事業がなんらかの形でスピンアウトするのか、それとも同社の幅広い国際的事業がそのまま残るのかもわからない。

TikTokは、米国におけるトラブルを承知している。米国のテクノロジー企業でさえ規制当局から攻撃される時代である現在、同社は中国の所有権に関する米政府の懸念を払拭しなければならないことを知っている。TikTokは2020年5月に戦略的な動きを見せ、Disney(ディズニー)の役員であったKevin Mayer(ケビン・メイヤー)氏を同社のCEOおよびByteDanceのCOOに迎えた(未訳記事)。

関連記事:Disney streaming exec Kevin Mayer becomes TikTok’s new CEO(未訳記事)

米国のテクノロジー大手がTikTokItを買収するとしたら、今は確かに奇妙なタイミングだ。米国時間7月29日には議会の委員会が、テクノロジー業界の最大の合併と買収を厳しく追及した。ホワイトハウスはTechCrunchに対して、記事へのコメントを拒否している。

7月29日水曜日にはApple(アップル)、Google(グーグル)、フェイスブックそしてAmazon(アマゾン)が4時間あまり議会で締め上げられたが、その中にマイクロソフトの姿はない。マイクロソフトはすでに以前、反トラストの嫌疑で米政府にやられたことがある。またマイクロソフトが消費者よりもエンタープライズにフォーカスしていることも、規制当局が見逃した理由だろう。しかしTikTokの一件は連邦政府からの特例でもないかぎり、議会や政府の新たな注意を招きかねない。

TikTokに対する政府の監視は最近ますます厳しい。ついに大統領までもが(未訳記事)、米国でのTikTokの禁止に関心を示している(The New York Times記事)。今週、Joe Biden(ジョン・バイデン)氏はキャンペーンでスタッフに対して仕事用でも個人用でも、自分のデバイスからTikTokのアプリを削除するよう求めた(The Verge記事)。

米国の一部の企業は、やはりオーナー企業が中国籍である懸念から、社員たちにこのアプリの使用を禁止している。

画像クレジット: Lionel Bonaventure/AFP/Getty Image

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿日:

Android用Chromeのオートフィル機能で生体認証が利用可能に

米国時間7月30日、Google(グーグル)はAndroid版Chromeのオートフィル機能をアップデートした(Chromiumブログ記事)。クレジットカードを使うときに、CVCコードではなく生体認証を利用するのだ。ほかに内蔵のパスワードマネージャーがアップデートされ、サイトへのサインインがやや簡単になった。

画像クレジット: Google

Chromeはすでに、Windows上とmacOS上ではW3CのWebAuthnスタンダードによる生体認証を使っている。今回のアップデートで同様にAndroidでも利用可能になる。

Android上のブラウザーで何かを買うと、本人性を確認するためにクレジットカードのCVCコードの入力を求められる。クレジットカードの番号がスマートフォン上に保存されていてもだ。しかし自分のクレジットカードが手元にないときなどは、コードの入力が面倒だ。

そこで今度からは、スマートフォンの生体認証を使って、指紋だけでスニーカーなどを買えるようになる。クレジットカードのCVCはいらない。もちろん、この新しいシステムは強制ではないので、オプトアウトもできる。

パスワードマネージャーのアップデート内容は、保存されている各サイトのアカウント情報をAndroidの標準のダイアログからオートフィルできること。デスクトップのパスワードマネージャーでは、とっくに実現していた機能だが、このアップデートでChromeも随分便利になる。パスワードマネージャーを使う人が増えれば、ウェブもより安全になるだろう。この新機能は数週間後にAndroid上のChromeに追加されるが、同社によると今後はもっとさまざま便利機能が登場するそうだ。今回は、その序の口のようだ。

画像クレジット: Google

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

インドと米国に続き日本でもTikTokなどの中国製アプリ禁止か

日本の一部の国会議員たちがインドや米国に倣って、TikTokなど中国の企業が開発したアプリの使用を制限しようとしている。インドはすでに中国のアプリを数十件もブロックしており、米国では政府による禁止が検討されているという話がある。

議員たちの動きを最初に報じたのは、日本の全国民的放送局NHKだ。弁護団は、米国とインドの政府職員と同じように国内ユーザーのデータが北京の手に渡るという懸念を共有し、使用制限の提議を早ければ9月にも日本政府に提出するつもりだ。

日本は海外のインターネット企業にとって難関と見なされていたが、TikTokは最初の成功例だった。同社の出来たばかりのローカライズチームは、日本の著名人ユーザーの獲得に努力した。

調査会社App Annieによれば、日本のiOSストアにおいてTikTokはエンターテインメントアプリの中で常にトップであり、本稿執筆時点で日本国内の全カテゴリーで5番目にダウンロードされたアプリだ。

日本からの批判を受けてTikTokの広報担当者はTechCrunchに対して、アプリは中国からの管理に対して距離を保っている、とおなじみの声明を繰り返している。

「TikTokに関しては間違った情報が多い。TikTokには米国人のCEOと数十年もの業界経験を持つ情報セキュリティの最高責任者(Chief Information Security Officer)がいます。彼は米軍と法執行機関での経験があり、弊社の米国チームは、業界で最上級のセキュリティインフラを鋭意開発している。親会社の5名の取締役の内4名は、世界で最も尊敬されているグローバル投資家が占めている。TikTok U.S.のユーザーデータは米国とシンガポールに保存され、従業員のアクセスは厳重にコントロールされている」。

中国のその他のテクノロジー大手も長年、日本を狙っている。BaiduのSimejiは、日本人に人気のある日本語入力アプリの1つだ。日本のメインのチャットアプリといえばLINEだが、中国とつながりのある日本企業ではWeChatが欠かせない。インドでの禁止は、急成長するインターネット市場を狙う中国の開発者にとっては不幸なことだが、しかしインドにおけるユーザー1人あたりの平均収入は欧米に比べると低いままだ。しかし日本は、はるかに儲かるマーケットだ。

関連記事:インド政府がTikTokなど中国企業の59のアプリを禁止すると発表

関連記事:インドで禁止された中国企業アプリへのアクセスを促す47アプリも禁止に

画像クレジット:TikTok JapanのTwitterより

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿日:

新型コロナで人々は建物の人口密度を計測するDensityの技術を求め始めた

新型コロナウイルス(COVID-19)が大流行する前から、いくつもの企業がDensity(デンシティー)の技術を利用してきた。例えばTechCrunchの親会社であるVerizon(ベライゾン)も、Yahoo!(ヤフー)とAol(エイオーエル)の統合後のオフィス空間を効率的に利用するために、以前から導入している。そして今、新型コロナ禍の影響で建物や部屋の人口密度を測定しようと、誰もがDensityの技術を欲しがるようになった。

同社が新しい投資ラウンドで5100万ドル(約54億円)を調達できたのも、ひとつにはそのお陰がある。このラウンドはKleiner Perkins(クレイナー・パーキンス)が主導し、Dick Costolo(ディック・コストロ)氏の01 Advisors(ゼロワン・アドバイザー)や、ロサンゼルスを拠点とする投資会社Upfront Ventures(アップフロント・ベンチャーズ)など、以前からの投資会社が参加している。

この需要の「第1の牽引力は、プライバシーを侵害することなく建物の利用を安全に再開できる点です」と、Densityの最高責任者Andrew Farah(アンドリュ−・ファラー)氏はいう。

同社はデータを愛するテック企業、小売店、コーヒーチェーンのためのサービスを提供する企業としてスタートしたものの、今では共有スペースを持つあらゆる事業所、つまり出荷センター、食料品店、倉庫、食肉加工場そしてTechCrunchの本社のような場所で必要とされる普遍的なテクノロジーの提供者になったとファラー氏は話す。

今回調達した資金は何に使われるのか?ファラー氏によればセールス、マーケティング、さらにはその技術を顧客の建物に導入する目的に使うという。

「私たちが計画している投資の大半はカスタマーサクセス、基幹インフラ、製品とセールスの拡大です」とファラー氏。「お客様が私たちの企業名を初めて知るのは、営業で訪問してデモをお見せしたときです」。

同社のハードウェアとソフトウェアサービスへの注文が殺到していると、彼はいう。注文は2万〜5万ドル(約200万〜520万円)程度の試験導入から、100万ドル(約1億円)単位の1000ユニット初期導入まで幅がある。「すべての顧客は初期導入後、その3倍の規模に拡大しています」と彼は話す。Densityでは、最初のセンサーの設置に1回かぎりの料金として895ドル(約9万4000円)かかる。その他に必要な年間のデータアクセス料金は、センサー1台あたり800ドル(約8万4000円)となっている。

Densityはチャンネルパートナーと直接販売の両方で成り立っており、潜在顧客が急増したことで、投資が大幅に膨らんだのだとファラー氏は話している。

「多くの顧客が、1週間前に遭遇した問題を解決しようと奮闘しています。不動産部門と保安部門からは、これまでにない緊迫度が伝わってきています」とファラー氏。

この背景には、いまだに米国で暴れ回る新型コロナウイルスとの戦いが続く中、公共スペースで安全なソーシャルディスタンスを確保したいと願う会社従業員の要請がある。

新型コロナは現在の最大のセールスポイントになっているが、Upfront VenturesのMark Suster(マーク・サスター)氏などの投資家は、Densityの技術の価値をもっと早い時期から見抜いていた。「私の投資方針は、次世代のI/Oとしてのコンピュータービジョンを信じる気持ちと、投資家のジレンマつまりインターネットでの大成功はすべてデフレ経済に動かされているという信念を掛け合わせたものだ。現在、人をトラッキングする技術は極めて高価であり、ほとんどが小売り環境で使われている」とサスター氏は、2016年にDensityへの初めての投資を発表した際のブログ記事に書いている(Medium投稿)。「コストが普及を大きく妨げている。そこを大胆に変革しなければならない」。

 

Densityのトラッキング能力を示した2016年のアニメーション(GIPHYより)

最近になってDensityのコンピュータービジョン技術に資金提供を行った投資会社Kleiner Perkinsは、この投資に1年間を費やした。

「彼らが投資家と話を始めるという噂を聞きました」と話すKleiner Perkinsのパートナーの1人で同社の新ディレクターであるIlya Fushman(イリヤ・フッシュマン)氏がファラー氏と会うようになったのは、およそ1年前だ。

フッシュマン氏によれば、Kleinerは不動産市場に興味があり、カードや認証装置もいらない建物の入退館管理のスタートアップであるProxy(プロクシー)に最近行った投資の路線に、Densityが重なったのだという。

私たちのように市場規模で見るならば、不動産と同程度の市場はそうありません」とフッシュマン氏。「また、歴史的にテクノロジーが浸透しにくい市場もあります。ビル管理は、空間利用となるとほとんどが紙と鉛筆で行われる世界です」。

入退館管理も空間利用も、新型コロナ禍以来、多くの企業がもっと効率的にコントロールしたいと考えている分野だ。Densityのような企業への支援は、まさに自然の成り行きだったと彼は話していた。

原文へ
(翻訳:金井哲夫)

投稿日:

Garminがサービスダウンはランサムウェアによるものと認める(一部機能は未復旧)

スポーツとフィットネス分野の大手テクノロジー企業であるGarmin(ガーミン)は、5日間に渡ってサービスがダウンした原因はランサムウェア攻撃だったことを確認した。

同社は米国時間7月27日付の声明でマルウェアによってシステムの一部が暗号化されたことを認めた(Business Wire記事)。

Garminは「結果としてウェブサイト、カスタマーサポート、ユーザーアプリケーション、当社のコミュニケーションなどオンラインサービス多数が停止した。我々は直ちにこの攻撃の性質を調査し、対策を取り始めた。現在、多くのサービスが復旧している」と述べている。

同社によれば「一部の機能は修復中だが、ユーザーデータが失われたり盗まれたりした疑いはない」という。

この攻撃によりGarmin Connectなど(Wayback Machine記事)数百万単位のユーザーをもつオンラインサービスが大規模な混乱に見舞われた。Garmin Connectはユーザーの活動データをクラウドやのデバイスに同期するアプリだ。また航空機のナビゲーションと航空ルートの計画サービスであるflyGarminもダウン(Garminリリース)した。

Garminはトラブルを単に「事故」と発表していた。しかしTechCrunchの取材に対し、情報源は「サービスのデータを暗号化するマルウェア攻撃よるものだ」と明かした。

TechCrunchは事情を直接知る情報源を引用して「この攻撃はWastedLockerと呼ばれるランサムウェアによるものと報じた。WastedLockerは2019年に米財務省が制裁措置を適用したロシアのハッカーグループであるEvil Corp.が使っていることが知られている。

制裁措置により米国企業は対象グループとの取引を一切禁じられた。これによりファイルを取り戻すために身代金を支払うことも違法となっていた。

サービスの停止中、Garminの株価は102ドルから94ドルに急落した。7月27日の月曜日午後の取引で株価3%アップして100ドルまで戻している

Garminは今週29日に四半期決算を発表する予定だ。

関連記事:ランサムウェア攻撃によってGarminのサービスが世界的に停止

画像クレジット:Chris Ratcliffe/Bloomberg / Getty Images

【Japan編集部追記】ガーミンジャパンのサイトによれば「一部の機能がご利用いただけなくなっております」とのこと。

原文へ
(翻訳:滑川海彦@Facebook

投稿日:

ランサムウェア攻撃によってGarminが世界的に停止

事件を直接知っている2つの情報筋よれば、スポーツおよびフィットネステックの巨人Garmin (ガーミン)が現在世界中で直面している障害は、ランサムウェア攻撃によるものだ。

障害は米国時間7月22日の終わりに始まり、週末まで続いているため、同社のオンラインサービスを使う何百万ものユーザーに対してに混乱が引き起こされている。影響を受けたサービスには、ユーザーのアクティビティとデータをクラウドや他のデバイスに同期するGarmin Connectも含まれている。この攻撃はまた、航空航行ならびにルート計画サービスであるflyGarminも停止させた。

GarminのWebサイトの一部も記事執筆時にはオフラインのままだった。

Garminはこれまでのところ、事件についてほとんど語っていない。そのウェブサイトのバナーには次のように書かれている。「現在、Garmin.comならびにGarmin Connectに障害が発生しております。この障害はコールセンターにも影響し、現在、電話、メール、そしてオンラインチャットも受信することができません。この問題をできる限り迅速に解決すべく作業を行っております、ご不便をおかけして誠に申し訳ございません」。

メディアに話す権限がないことから、匿名を条件で話をしてくれた2人の情報筋は、TechCrunchに対して、Garminがランサムウェア攻撃を受けてネットワークをオンライン状態に戻そうとしているのだと語った。情報筋の1つによれば、WastedLocker(ウェイステッドロッカー)という名のランサムウェアが障害の原因だということである。

また別のニュースソース(BleepingComputer記事)も障害の原因をWastedLockerであるとしているようだ。

Garmin’のオンラインサービスの停止は数日に及んでいる。事件を直接知っている2つの情報筋によれば、原因はランサムウェアであると考えられている。(スクリーンショット:TechCrunch)

WastedLockerは新種のランサムウェアであり、5月にMalwarebytes(マルウェアバイツ)のセキュリティ研究者により(Malwarebytesブログ)詳細が報告された。このランサムウェアはEvil Corp(イビル・コープ)として知られるハッカーグループによって運用されている。他のファイル暗号化マルウェア同様に、WastedLockerはコンピューターに感染し、ユーザーの’ファイルをロックして身代金(ランサム)を要求する。通常支払は暗号通貨で行うことが求められる。

Malwarebytesによれば、WastedLockerいまのところ、他のより新しいランサムウェア系統(未訳記事)とは異なり、被害者の’ファイルを暗号化する前にデータを盗んだり外に持ち出したりする機能は無いようだ。つまり、バックアップを持っている企業なら、身代金を支払わずに済む可能性があるということだ。だが、バックアップを持たない企業たちは、1000万ドル(約10億6000万円)もの身代金要求に直面してきた。

FBIはまた、マルウェア攻撃に関連した身代金の支払を行ったにもかかわらず残念な状態に置かれたままの、たくさんの犠牲者(FBIサイト)を知っている。

Evil Corpは、長年におよぶマルウェアおよびランサムウェア攻撃の長い歴史を持つ。ロシア国籍の(未訳記事)Maksim Yakubets(マクシム・ヤクベッツ)が率いているとされるこのグループは、過去10年間に数百の銀行から1億ドル(約106億円)以上を盗むために使用された、強力なパスワード窃盗マルウェアのDridex(ドライデックス)を使用してきたことで知られている。その後、Dridexはランサムウェアを配布する手段(未訳記事)としても使用された。

逃亡中のヤクベッツは、米国の検察官によれば過去10年の間に、グループ’の「想像を絶する」量のサイバー犯罪に関与したとの疑惑で、昨年司法省によって起訴(未訳記事)されている。

米国財務省はまた、10年間にわたるハッキング活動への関与から、ヤクベッツと他の2人の疑わしいメンバーを含むEvil Corpに対して制裁も課した(米国財務省サイト)。

制裁を課したことで、米国に拠点を置く企業が身代金を支払うことは、たとえ彼らが望んだとしてもほぼ不可能になる。財務省の声明によれば、米国人は「一般に、彼らとの取引を行うことがに従事することが禁止される」からである。

セキュリティ会社Emsisoftの脅威アナリストならびにランサムウェアの専門家であるBrett Callow(ブレット・キャロウ)氏は、こうした制裁によって、WastedLocker感染に対処しようとする米国を拠点とする企業にとって、事態は「特に複雑になった」という。

「WastedLockerは、一部のセキュリティ会社によってEvil Corpが主犯だと名指しされていて、ロシア政府とのゆるいつながりを持つと言われているEvil Corpの既知のメンバーは、米国財務省によって制裁を受けています」とキャロウ氏は語った。「そうした制裁の結果として、米国人は一般に、これらの既知メンバーとの取引を禁止されているのです。これによって、WastedLockerの身代金の支払いを検討している可能性のあるすべての企業に、法的地雷原が設置されてしまうようなものなのです」と彼はいう。

疑わしいハッカーに連絡する試みは失敗した。グループは、身代金メモごとに異なるメールアドレスを使用している。以前のWastedLocker事件に関連付けられていた、2つの既知のメールアドレスにメールを送信してみたが、返信は届いていない。

米国時間7月25日には、電話ならびにメールで、Garminの広報担当者にコメントを求めようと試みたが、連絡はとれなかった。(Garminの電子メールサーバーは事件発生以来ダウンしている)Twitter経由で送信されたメッセージにも返信は届いていない。何か返信があれば’記事を更新する。

[原文へ]
(翻訳:sako)

投稿日:

個人情報流出の原因をユーザーのパスワード再利用だとするが、Instacartには未だに二要素認証がない

オンラインショッピングサービスのInstacartによると、最近多発しているアカウント侵犯の原因はパスワードの再利用だという。今や数十万のInstacartユーザーの個人情報が盗まれてしまい、ダークウェブで販売されている。

米国時間7月23日の発表によると、調査の結果、Instacart自身は侵害されていないが、ハッカーは他のサイトを侵害したときにユーザー名とパスワードのリストを入手し、それらをそのまま別のアカウント破りに利用している(Instacartブログ)という。

「今回の場合、第三者の悪意ある者たちが、以前に他のウェブサイトやアプリを侵害して得たユーザー名とパスワードを使って、一部のInstacartアカウントにログインしたと思われる」と声明で述べている。

この声明の前には、BuzzFeed Newsで27万あまりのユーザーアカウント情報がダークウェブで販売され、そこにはアカウントのユーザー名、住所、クレジットカード番号の最後の4桁、今週分を含む注文履歴が含まれていた、という記事が掲載されている

その記事でInstacartのスポークスパーソンはBuzzFeed Newsに対して「盗まれたデータは米国とカナダにいる数百万のInstacartユーザーのごく一部」だと話している。

本当に悪いのはパスワードを再利用したユーザーだろうか?それともパスワードの再利用に対する防止策を何もしていなかった企業だろう?

もちろん、悪いのは両方だ。インターネットのユーザーは各ウェブサイトごとにユニークなパスワードを使うべきだし、パスワードを記憶するためにパスワードマネージャーをインストールすべきだ(未訳記事)。またハッカーにパスワードを盗まれても自分のオンラインアカウントに侵入されないためには、できるかぎり二要素認証を使うべきだ(未訳記事)。サイトがその都度ユーザーの携帯電話にコードを送るため、ハッカーには見られないそのコードを第二のパスワードとしてアカウントを保護するのだ。

しかしInstacartは、すべてをユーザーの責任にすることはできない。Instacartは未だに二要素認証をサポートしていない。ユーザーが二要素認証を有効にしていたら、最初からアカウントのハッキングは防げたはずだ。私が確認したかぎりでは、Instacartには二要素認証を有効にするオプションがないし、サイトのどこにもこのセキュリティ機能への言及がない。

Google(グーグル)が2019年に発表したデータによると、最も基本的な二要素認証でも、ロボットによる自動化された認証情報盗みをかなり防ぐことができる。

二要素認証をサポートする計画があるかという質問に対してInstacartのスポークスパーソンであるLyndsey Grubbs(リンジー・グラブス)氏は、同社がすでに発表している上記の声明を紹介するだけだった。

「セキュリティは最もプライオリティが高いものであり、セキュリティ担当のチームもある。また多層的なセキュリティの仕組みにより、すべてのユーザーのアカウントとデータを保護している」とInstacartはいう。

しかし、二要素認証のような基本的なセキュリティ機能がなければ、Instacartのユーザーは自分のアカウントを守れない。現在のInstacartには、それを期待することはできない。

関連記事:サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット:Patrick T. Fallon/Bloomberg/Getty Images

原文へ
(翻訳:iwatani、a.k.a. hiwa

投稿日:

ニューヨーク州議会が顔認識技術の学校導入を2年間停止することを決定

米国ニューヨーク州は今週、学校における顔認識技術のいかなる実装も向こう2年間中止すると票決した。ニューヨーク州の下院上院が米国時間7月22日に認めたこの一時停止は、今年初めに州北部の校区がこの技術を採用して親たちからの訴訟に発展した(Washington Post記事)ことに対応している。その訴訟は6月に、親たちの代理としてNew York Civil Liberties Union(ニューヨーク自由人権協会、NYCLU)が起こしたものである。州知事のAndrew Cuomo(アンドリュー・クオモ)氏がこの法案に署名すれば、学校におけるいかなる顔認識システムの使用も2022年6月1日まで凍結される。

今週初めにはカンサス州トピーカの校区(KNST記事)が「学校再開計画の一環として職員のための検温ボックスに顔認識技術を採用する」と発表した。しかしながらそのようなシステムは、新型コロナウイルスのもっとも厄介な性質であるウイルスの無症状の拡散を防ぐことができない。

新型コロナウイルスのパンデミックはまだ米国で猛威を揮っているので、学校の再開は深刻な政治問題になっている。今月初めの記者発表でホワイトハウス報道官であるKayleigh McEnany(ケイリー・マケナニー)氏は、「科学が学校再開の妨害をすべきでない」と発言した。

カンサスで提案されている顔認識技術の学校における実装に関して、デジタル人権団体のFight for the Futureの活動部長であるCaitlin Seeley George(ケイトリン・シーリー・ジョージ)氏は「顔認識は新型コロナウイルスの拡散を抑止しないし、学校がこのようなたわごとを取り上げるべきではない」と述べた。

ニューヨーク州における顔認証技術導入の一時停止は、デジタルのプライバシーを擁護する人々の大きな勝利と見なされている。彼らは、監視技術が一般市民の自由を侵すことを恐れている(South China Morning Post記事)だけでなく、テクノロジーが主張している自由や人権、プライバシーなどの目標を達成する能力が、テクノロジー自身にはないのではないかという疑念も持っている。テクノロジーの効力に関するこのような批判は、顔認識技術の高い偽陽性率(MIT Technology Preview記事)やシステム本体にコーディングされている人種的偏見を証明する研究で何度も繰り返されている。

NYCLU教育政策センターのStefanie Coyle(ステファニー・コイル)氏は「私たちは何年も前から『顔認識などのバイオメトリックの監視技術は学校にあるべきものではない』と主張してきた。州議会の今回の議決は、生徒たちをこの種の人権侵害的な監視から護るための大きな一歩だ(NYCLU記事)」と述べている。「学校は子どもたちが学習し成長するための環境であるべきであり、欠陥と人種的偏見のあるシステムがたえず生徒たちを監視しているような学校は、それを不可能にする」と続けた。

関連記事:アマゾンが顔認識技術を地方警察には1年間提供しないと表明、FBIへの提供についてはノーコメント

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

米国が新型コロナ研究など狙った中国人ハッカー2人を起訴

米国の検察当局は、中国の情報機関にも協力していたとみられる2人の中国人を、10年以上にわたって数百の企業や政府を標的にした大規模なグローバルハッキング活動に関与したとして起訴した。

検察当局は7月21日に公開された11件の起訴状で、Li Xiaoyu(李嘯宇、34)とDong Jiazhi(董家志、33)が米国を含む世界中のハイテク企業からテラバイト級のデータを盗んだと主張している。

最近の例として検察は、2人がメリーランド州、マサチューセッツ州、カリフォルニア州で新型コロナウイルスのワクチンや治療薬を開発する12以上の米国企業のネットワークを標的にしたと明らかにした。

FBIと国土安全保障局の双方は今回の起訴の数週間前に、中国が新型コロナのパンデミックに関する米国の研究データを積極的に盗もうとしていると警告していた。

FBIによるLi XiaoyuとDong Jiazhiに対する「手配中」ポスター(画像クレジット:FBI)

司法省によると、2人はワシントン州ハンフォードにある米国エネルギー省のネットワークを狙った後に初めて発見された。欧州の複数国のほか、豪州と韓国の企業も標的にしていた。2人はウェブサーバーソフトウェアにおける既知だがパッチ未適用の脆弱性を利用して被害者のネットワークに侵入した。ネットワークへの足掛かりを得ると、パスワードを盗むソフトウェアをインストールしてシステムのさらに深部へアクセスした。検察当局は、ハッカーがネットワークに「頻繁に」戻って侵入しており、「場合によっては数年後に戻ってくることもあった」と述べた。

起訴状によると2人は、数億ドル(数百億円)相当の企業秘密と知的財産を盗んだ。また検察は、2人が防衛請負業者から軍事衛星プログラム、軍事無線ネットワーク、強力なマイクロ波、レーザーシステムに関連するデータを盗んだと主張している。

2人は中国の諜報機関のために被害者を狙っただけでなく、自身の金銭的利益のためにもハッキングしたという。検察は、2人が被害者から盗んだソースコードをオンラインで公開すると脅迫し「仮想通貨を脅し取ろうとした」ケースもあったと述べた。

米国の国家安全保障担当次官補のJohn C. Demers(ジョン・C・デマーズ)氏は、「起訴状は中国がハッカーを利用してグローバル市場で非中国企業から『奪い、複製し、取って代わろうとした具体的な例』」だと述べた。また同氏は、2人に安全な避難場所を提供したとして中国を非難した。

「中国は今や、ロシア、イラン、北朝鮮と並び、国家の利益のために活動するサイバー犯罪者に安全な避難場所を提供する恥ずべき国の仲間入りをした。米国や中国以外の企業が苦労して獲得した知的財産(新型コロナウイルス研究を含む)に対する中国共産党の欲望はとどまるところを知らない」とデマーズ氏は説明した。

セキュリティ会社FireEye(ファイヤーアイ)のインシデントレスポンス部門であるMandiant(マンディアント)は、2013年以降2人を追跡しており、2人が使用した戦術、手法、手順はその調査結果と「一貫している」と述べた。

「中国政府は長い間、サイバー侵入の実施を業者に頼ってきた」とMandiantの分析シニアマネージャーであるBen Read(ベン・リード)氏は電子メールで説明した。「フリーランサーを使うと中国政府は多様な人材にアクセスできるほか、実行への関与を否定する余地も生まれる」。

「スポンサーとなる政府のために業者が実行を担当する一方で自身の利益のためにも行動していたとの起訴状の説明は、APT41など中国と関係する他のグループにみられるパターンと一致している」とリード氏は、今回の起訴に関連して長期間にわたり持続的な脅威をもたらしている中国のグループに言及した。

起訴された場合、2人は40年以上の禁固刑に直面する可能性がある。しかし2人はまだ中国にいると思われる。米国への身柄引き渡しはありそうにない。

画像クレジット:Andrew Harrer / Bloomberg / Getty Images

[原文へ]

(翻訳:Mizoguchi

投稿日:

サイバーセキュリティーの新たな荒波に立ち向かうには?

サイバーセキュリティー業界は転換期を迎えている。

セキュリティーの従来型アプローチはすでに、サイバー攻撃、クラウドへの移行、モノのインターネット(IoT)の爆発的な増加にすでに手一杯の状態だ。IoT機器の数が2025年には416億基に達するという予測(IDC記事)に異論はないだろう。

そこを新型コロナウイルスのパンデミックに襲われたことで、何年も前から催促されてきた改革が加速され、リモートワークは日常となり、デジタルトランスフォーメーションが急務となった。どの企業でも、すでにまったく余裕のないところへ来て、新たな課題が何層にも積み重ねられてゆく状態だ。

私は、今のサイバーセキュリティーの最大のリスクは、安全確保のための仕事量に企業が追いつけない点だと見ている。企業のサイバーセキュリティー担当部署は、人の手では絶対にさばききれない膨大な量の仕事に溺れかけている。マシンに人の手で立ち向かえと命令されても、太刀打ちはできるはずがない。それとは裏腹に、ハッカーたちは日々進化し、機械学習(ML)アルゴリズムを駆使して、同等のテクニックでしか対処できない攻撃を大規模化している。そのような理由から、我々はパーフェクトストームの真っ只中にいると言える。

以上が悪いニュースだ。良いニュースは、この問題には対処策があるということだ。実際、今こそ物事を是正する好機でもある。なぜか?クラウドの活用、テレワーク、IoTの急増など、あらゆるものが変化しているからだ。

今のような高度な脅威にさらされた状況では、受け身であってはいけない。積極的に攻めることだ。サイバーセキュリティー担当者の重荷を軽くするためには、素早くより効率的に攻撃に対処するための統合型機械学習が必要になる。同時に、クラウドデリバリーとサイバーセキュリティーに対する総合的なアプローチの導入も欠かせない。

土台はどこにあるのか?

数年前から「クラウドがすべてを変える」と吹聴されてきた。「すべて」は変わっていないものの、たしかに多くのものが変わった。

企業は、往々にして準備が整わないうちにクラウドに移行している。クラウド化でどうなるかを完全に理解しないまま、事業の心臓部をクラウドの未来に預けるのは危険だ。さらに、市場に溢れる種々雑多な、簡単には連動してくれない製品に振り回されることになる。セキュリティー担当部署が今すでに溺れかけているとしたら、クラウドは彼らにとって津波に相当する。

その負荷を軽減できるのが自動化だ。しかし、統合や管理を人の手で行わなければならないサービスを複数抱えているセキュリティー担当部署には、まず不可能な話だ。

多くの企業は、長年にわたり、サイバーセキュリティーには場当たり的な対策でしのいできた。新しい脅威が登場するたびに、それに対抗するソリューションを掲げた新しいスタートアップが次々と現れる。

私は、相互運用ができない、サイバーセキュリティーの総合的なアプローチの可能性すら示せない製品を提供する企業を何十何百と見てきた。これではトランプの家と同じだ。ひとつの製品が別の製品の上に載っかっているが、全体を支える土台が存在しない。

今こそ行動のときだ。適切にサイバーセキュリティーを整えるテクノロジーはすでに使える状態にある。あとは、それをどう導入するかだ。

サイバーセキュリティーの新しいモデル

将来のサイバーセキュリティーは、プラットフォーム・アプローチにかかっている。これにより、セキュリティー担当部署は、さまざまな異質な製品の統合に労力が奪われることなく、セキュリティーに集中できる。これなら、パーフェクトストームと戦いつつ、デジタルトランスフォーメーションを着実に進めることができる。

ネットワークの境界線は、しっかりと守られているのが普通だ。企業は、そのネットワークの内部に、脅威を特定し、リアルタイムで対処するツールやテクノロジーを備えている。

だがクラウドはまったく別の世界になる。クラウドのセキュリティーには確立されたモデルがない。しかし裏を返せば、レガシーなセキュリティー・ソリューションがクラウドで幅を利かせることがないという利点もある。つまり、企業は今なら適切にやれるということだ。さらに、クラウドへのアクセス方法と、予防、検出、対処、復旧のためにMLとAIを最大限に生かすセキュリティー・オペレーション・センター(SOC)の管理方法の修正も行える。

クラウドのセキュリティー、クラウドのアクセス、そして次世代のSOCはみな相互に関連している。個別に、そして連携して、サイバーセキュリティーの近代化の機会を提示してくれる。今、適切な土台を作れば、将来的に、ツールの種類が増えすぎる傾向を打開して、サイバーセキュリティー改革とソリューションを、ずっと簡単に活用できる道を構築できる。

その道とは?プラットフォームを統合して、企業は様々なツールをこれまでどおり使い続けながら、しかしそれらをうまく組み合わせ、集中管理して、部署ごとの孤立した対応をやめて企業全体がしっかりとひとつとなり、ソフトウェアでもって、マシンやソフトウェアに対抗するというものだ。

サイバーセキュリティー担当部署の自動化を助け、複数のクラウドからなる環境を総合した迅速な監視、調査、対応を実現し、世界中のユーザーとデバイスを網羅する分散型ネットワークを可能にするのは、統合型プラットフォームだけだ。

2020年は変革が促進される年だ。古いサイバーセキュリティーのやりかたを打破して、新しいアプローチを導入しよう。それは、機械学習、クライドデリバリー、プラッフォフォーム・モデルによって駆動されるアプローチだ。これが未来のサイバーセキュリティーの姿だ。否応なく、想像しいた以上に早く到来してしまった未来だ。

【編集部注】著者のNir Zuk(ニア・ザーク)はサイバーセキュリティー企業のPalo Alto Networksの共同創設者でCTO。

画像クレジット:Dong Wenjie / Getty Images

[原文へ]

(翻訳:金井哲夫)

投稿日:

Twitterが30人以上の著名人アカウントDMにハッカーがアクセスしていたことを認める

先週の100を超える著名Twitterアカウントのハッキングは、そのうちの多くのアカウントのダイレクトメッセージを暴露していたことを、Twitterが米国時間7月22日に認めた。そこにはオランダの自由党初代党首であるヘルト・ウィルダース氏の名前もあった。

多くの有名人や政治家のアカウントが乗っ取られ、ツイートされたBitcoin(ビットコイン)詐欺はかなり見え透いた手口だったにもかかわらず、少なくとも10万ドル(約1070万円)の金額が送金されたと見られている。Twitterは「組織的ソーシャルエンジニアリング攻撃」によって、ハッカーは「内部のシステムおよびツール」のアクセスが可能だった」と語った。認証済みユーザーのアカウントは一時的にツイートが禁止された(一部で歓迎された処置だ)。

Twitterはこの「セキュリティー事象」に関するツイートとブログ投稿で、「ハッキングされた130アカウント中最大36アカウントで、アタッカーはDMの受信箱をアクセスした」と説明し、同社は影響を受けたアカウントの持ち主と「積極的に連絡をとっている」と話した。

Twitterは、DMがハッカーにアクセスされたかどうか、事件の直後には公表しなかった。Twitterのメッセージシステムは暗号化が十分でないことで悪名高いが、アタッカーが使用したとされている管理ツールによって受信箱のアクセスが可能になったかどうかは明らかではない。

関連記事:Twitterの暗号通貨詐欺の元凶は内部ツールに不正アクセスした一人のハッカー

どんな方法が用いられたにせよ、一定時間はDMのアクセスが可能だったようであり、乗っ取った残りの94アカウントについてはハッカーがチャンスを利用しなかっただけかもしれない。Twitterの発表からははっきりしない。以前Twitterは、ハッカーがパスワードをアクセスした「証拠はない」と発言しており、これを否定する最新情報はない。

Twitterは「ほかに現職、前職を問わず公選された公務員のDMがアクセスされた形跡はない」と話し、問題に明るい兆しがあることを伝えようとした。バラク・オバマ氏とジョー・バイデン氏のアカウントが被害にあっていることを踏まえると、それは厳密には良い知らせなのだろう。この気がかりなセキュリティー侵害に関してTwitterの発表を聞くのは、これが最後ではないことはほぼ間違いない。

画像クレジット:TechCrunch

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿日:

アップルがセキュリティ研究者や熟練ハッカーに脱獄済みの特別なiPhoneを提供開始

過去10年の間、Apple(アップル)はiPhoneを市場で最も安全なデバイスの1つにするべく努力を重ねてきた。そのソフトウェアを厳重に保護することによって、同社は20億人のiPhoneオーナーを安全に保っている。だが、セキュリティの研究者たちは、それが理由で実際に問題が発生したときに何が起こったかを把握することが難しくなっているという。

同社はかつて、自社のコンピューターにはウイルスは感染しない(Wired記事)と主張していたが、近年同社は、これまでにない方法でセキュリティ研究者やハッカーを受け入れ始めた。

昨年開催されたセキュリティカンファレンス「Black hat USA 2019」で、アップルのセキュリティ責任者であるIvan Krstic(アイバン・キルスティック)氏は、集まったセキュリティ研究者たちに対して、最も信頼できる研究者にデバイス深部へのかつてないアクセス(Forbes記事)を提供する特別なiPhoneを提供すると語った。このiOS Security Research Deviceプログラムの下に提供されるiPhoneを使うことで、アップルが修正できるセキュリティの脆弱性を発見・報告することが容易になる。

アップルは米国時間7月22日から、特別な研究用iPhoneをプログラムの適格性を満たす熟練し精査された研究者に対して貸し出し始める(Appleサイト)。

これらの研究用iPhoneには、SSHアクセスや、ソフトウェアへの最高のアクセス権を持つカスタムコマンドを実行するルートシェル、そしてセキュリティ研究者が自身のコードを実行して深部で何が起きているかを理解しやすくするデバッグツールなど、通常のiPhoneが持つことはない特別なカスタムビルドiOSが搭載されている。

アップルはTechCrunchに対してこのプログラムを「デバイスを送り出してお終いというわけではなく、コラボレーション主体のものにしたい」と述べた。研究デバイスプログラムに参加する研究者やハッカーたちは、より広範なドキュメントや、アップルのエンジニアが質問に答えたりフィードバックを得たりする専用のフォーラムにアクセスすることができる。

こうした研究デバイス自身は特に目新しいものではないが、これまで研究者たちに直接開放されたことはない。一部の研究者は、発見したセキュリティの問題点をテストするために、地下マーケットに赴いて、これらの内部的ないわゆる「dev-fused」(開発用特別仕様)デバイスを探し出し(Vice記事)て手に入れたことが知られている。そうした運に恵まれなかった者は、デバイスの内部にアクセスするためには、まず最初に通常のiPhoneを「脱獄」(ジェイルブレイク)することに頼らなければならなかった。しかし、これらの脱獄は最新のiPhoneではかなり難しくなっているため、ハッカーが自分が見つけた脆弱性が悪用可能なのか、それとも修正されているのかどうかを知ることはより困難になっている。

最高のハッカーたちに、通常のセキュリティ制限の一部を取り除いた、事実上最新で脱獄済みのiPhoneを提供することによってアップルは、信頼できるセキュリティ研究者やハッカーが、これまで見つかっていないソフトウェア深部の脆弱性を見つけやすくしたいと考えている。

しかし、これらの研究用携帯電話はハッカーに対して可能な限りオープンではあるものの、アップルは、個々のデバイスが紛失したり盗まれたりしても、他のiPhoneのセキュリティにはリスクが及ばないと説明している。

この新しいプログラムは、かつて非公開だったバグ報奨金プログラムをやっと1年前に公開した同社にとって、非常に大きな跳躍である。この動きはほかのほとんどのテック企業に比べると、はるかに出遅れ感がある。長い間、有名なハッカーの中には、最初にアップルに警告することなく発見したバグをオンラインで公開(未訳記事)するものがいた。なお、こうしたバグは、企業にパッチをする時間を与えないことから、ハッカーに「ゼロデイ」と呼ばれている。こうした振る舞いは、かつて非常に制限的だったアップルのバグ報奨金条件への不満に起因していた。

現在は、その報奨金プログラムの下で同社はハッカーにバグとセキュリティ問題を非公開で送信してもらって自社のエンジニアに修正させ、iPhoneを他国家からの攻撃や脱獄からさらに強力に保護しようとしている。その見返りに、ハッカーは、脆弱性の深刻度に基いて段階的に増額される報酬を受け取る。

アップルは、研究デバイスプログラムはバグ報奨金プログラムと並行して実施されると説明する。プログラムに参加するハッカーも、アップルにセキュリティバグレポートを提出することが可能で、最大100万ドル(約1億700万円)の報奨金を受け取ることができる。さらに、リリース前のソフトウェアにある最も深刻な脆弱性に対しては、最大50%のボーナスを追加で得られる。

新しいプログラムが示しているのは、アップルが以前よりも慎重さの度合いを下げ、ハッカーコミュニティをより受け入れている姿勢だ。たとえ遅くてもやらないよりはましだ。

関連記事:オンライン広告をもっとプライベートするアップルの提案
画像クレジット: Tobiasjo (opens in a new window)/ Getty Images

原文へ

(翻訳:sako)

投稿日:

不適切なコンテンツを理由にパキスタンがTikTokに「最後の警告」

TikTok(ティクトック)はまたしても、別の国で槍玉に上がっている。

パキスタンは、アプリ上に「不道徳でわいせつ、下品なコンテンツ」があるとして、Bigo Live(ビゴライブ)ストリーミングアプリを禁止(@PTAofficialpk投稿)し、ByteDance(バイトダンス)のTikTokに「最後の警告」を出した。

パキスタン通信当局(PTA)は、BigoとByteDanceのアプリで拡散しているビデオの性質、そして「一般社会、特に若年層」にいかに影響を及ぼしているかについて、社会のさまざまな方面から多くの苦情が寄せられている、と説明した。

PTAは声明文の中で、そうした懸念についてByteDanceと、Bigoアプリを運営するBigo Technologiesにこのほど伝え、「法的に、そして道徳的に一線を超えることがないよう積極的に「社会問題化とコンテンツに対応するよう」促したと述べた。

「ゆえに、PECA(電子犯罪防止法)のもと、PTAはすぐさまBigoをブロックすることを決め、TikTokに対してはソーシャルメディアアプリを通じて、わいせつさ、下品さ、不道徳さをコントロールするための総合的なメカニズムを導入するよう最終警告を通知した」

TechCrunchへの声明文で、ByteDanceの広報担当は、同社の利用規約に違反する問題のあるコンテンツを見つけてレビューするために、同社はテクノロジーとモデレーション戦略を組み合わせて展開していると述べた。2019年下半期に同社はパキスタンから372万8162点のユーザービデオを削除した。

「当社はユーザーの安全性を確かなものにするためにさらにセーフガードを強化することを約束する一方で、当社のポリシーをを説明し、ユーザーセキュリティのために取り組んでいることを示すために当局との対話を増やしていく」と広報担当は述べた。

パキスタンが今回の措置を取る数週間前に、お隣りのインドはサイバーセキュリティの懸念を理由に、中国企業が開発したTikTokやBigo、そのほか57のアプリを禁止した。

禁止前、TikTokはインドでの月間アクティブユーザーが2億人超を抱え、インドを中国外で最大のマーケットと位置付けていた。インドと同様、TikTokはパキスタンでもかなり人気だ、とカラチ拠点の配車サービススタートアップBykeaの幹部、Danish Khalid(デーニッシュ・カリード)氏は話した。

モバイル調査会社Sensor Towerによると、TikTokは昨年パキスタンで最もダウンロードされたアプリだった。同国のインターネットユーザーはおおよそ4000万人だ。

一部の活動家は、パキスタンのTikTokへの警告とBigo Live禁止は、国が「どこまで検閲できるかを試すため」のものだと非難した。

パキスタンはまた今週初めに、人気モバイルゲームPUBGを一時禁止とした。同国の若年層が「習慣性のある」アプリで「時間を無駄にしている」ことを懸念しての措置だ。

パキスタン政府は今年初めに、同国でサービス展開している米国のテック企業に深刻な影響を及ぼしうる、インターネット検閲にかかる世界で最も広範な規則を明らかにした。しかしその後、Facebook(フェイスブック)、Google(グーグル)、Twitter(ツイッター)などがパキスタンから撤退しそうになったことを受けて、規則を撤回した。

ByteDanceの主要アプリであるTikTokは、米国でも難しい状況に直面している。米国務長官Mike Pompeo(マイク・ポンペオ)氏は今月初めに、TikTokが監視とプロパガンダのツールとして中国政府に使われているかもしれない懸念があり、米国はTikTokを禁止することを「確かに検討している」と述べた。

画像クレジット: Costfoto / Barcroft Media / Getty Images

[原文へ]

(翻訳:Mizoguchi

投稿日:

インターネット界で最も頼りになる流出データの管理人「Have I Been Pwned」が生まれたわけ

「自分の個人データは漏えいしたことがあるのだろうか」―この素朴な疑問に答えるため、Troy Hunt(トロイ・ハント)氏は2013年の暮れにデータ漏えい確認サイトHave I Been Pwned(ハブ・アイ・ビーン・ポウンド、HIBP)を立ち上げた。

それから7年後の現在、HIBPは、史上最大規模のデータ漏えいを含め、これまでに発生した幾百件ものデータ漏えいの中で自分の個人情報がハッキング(英語のスラングでは語頭の「p」をはっきり発音して「pwned(ポウンド)」とも言う)されたかどうかを確認したいユーザーのリクエストを毎日何千件も処理するデータ漏えい確認通知サービスとなっている。現在までに100億件弱という記録的な流出データをデータベースに蓄積してきたHIBPだが、サービスの拡大とともに、立ち上げ当時にハント氏が抱いていた疑問に対する答えが明らかになっている。

「経験から言うと、個人データが漏えいしている確率は非常に高い。ある程度の期間インターネットを使っている人のデータならほぼ間違いなく漏えいしたことがあると思う」と、ハント氏はオーストラリアのゴールドコーストにある自宅からインタビューに応じて語ってくれた。

HIBPはもともと、Microsoft(マイクロソフト)のクラウドの基本的な動作を確認するためにハント氏が1人で始めたプロジェクトだった。しかし、好奇心の高い人が多く、シンプルで使いやすいこともあって、HIBPの利用者はたちまち爆発的に増加した。

サービスの拡大にともない、HIBPはより予防的なセキュリティ対策を提供するようになった。ブラウザやパスワードマネージャーとHIBPをバックチャネルで連携させ、ユーザーが、すでに流出履歴がありHIBPのデータベースに記録されているパスワードを使おうとすると警告が表示されるようにしたのである。これはサイトの運営コストを抑えるのに不可欠な収益源にもなった。

しかし、HIBPの成功はほぼすべてハント氏1人の功績と考えるべきだろう。ハント氏は創業者かつ唯一の従業員としてワンマンバンドのようにこの型破りなスタートアップを経営し、規模もリソースも限られているにもかかわらず収益を上げている。

HIBPの運営に必要とされる労力が急増すると、ハント氏は、1人で運営するには負担が大きすぎて実際に弊害が生じ始めていると感じるようになり、その解決策としてHIBPサイトを売却することを発表した。しかし、それから激動の1年が過ぎた後、同氏は売却を取りやめた。

流出データベースのレコード件数100億件という次の大記録達成を目前に控えた今でも、HIBPの勢いは衰える気配がない。

「すべてのデータ漏えいの母」

HIBPを立ち上げるずっと前からハント氏はデータ漏えいに精通していた。

ハント氏は(その当時は)小規模なデータ漏えいにより流出したデータを収集して詳細に分析し、発見したことを自身のブログにつづる人物として、2011年頃には有名になっていた。ハント氏の詳細かつ系統だった分析は再三再四、インターネットユーザーが複数のサイトで同じパスワードを使っていることを証明した。つまり、1つのサイトからデータが漏えいしたら、別のオンラインアカウントのパスワードもハッカーの手に落ちてしまう状況だった。

そんな時に起きたのが、ハント氏が「すべてのデータ漏えいの母」と呼ぶAdobe(アドビ)の個人情報流出だ。1億5000万以上のユーザーアカウント情報が盗まれてネット上で公開された。

ハント氏はこの時に流出したデータのコピーを入手し、すでに収集していた他のいくつかのデータ漏えいのデータと合わせてデータベースを作成し、メールアドレスを使って検索できるようにした。検索にメールアドレスを使うようにしたのは、漏えいデータのほぼすべてに共通していた項目がメールアドレスだったからだ。

こうしてHIBPが生まれた。

HIBPのデータベースが拡大するのに長くはかからなかった。Sony(ソニー)、Snapchat(スナップチャット)、Yahoo(ヤフー)から立て続けにデータが漏えいし、HIBPのデータベースに何百万件ものデータが新たに加えられた。程なくしてHIBPは自分のデータが流出したことがあるかを確認したい人が真っ先に利用する人気サイトになった。朝の情報番組でHIBPサイトのアドレスが放送されてユーザー数が爆発的に増加し、一時的にサイトがオフラインになることもあった。その後もハント氏は、Myspace(マイスペース)、Zynga(ジンガ)、Adult Friend Finder(アダルトフレンドファインダー)など、インターネット史上最大規模のデータ漏えいにより流出したデータや、いくつかの巨大なスパムリストをHIBPのデータベースに加えていった。

HIBPの規模が拡大し、知名度が上がっても、ハント氏は引き続きソロ経営者として会社の切り盛りから、データベースへのデータ投入、サイト運営方法の決定に至るまで、倫理的な側面も含めてすべて1人でこなした。

ハント氏は流出した個人データを扱う方法を決める際に「自分が理にかなっている思う方法で扱う」ことにしている。HIBPに匹敵するサービスが他になかったため、これほど大量の流出データ(しかもそのほとんどが非常にセンシティブなデータ)の取り扱いや処理方法についてハント氏が自分でルールを策定しなければならなかった。ハント氏は自分が何でもわかっているとは考えていないため、自分が下した決定の背後にある理由についてブログで長文を書き、包み隠すことなく詳細に説明している。

「ユーザーが検索できるのは自分のメールアドレスのみとする」というハント氏の決定は理にかなっていて、「自分のデータが流出したかどうかを確認する」という、当時のHIBPサイト唯一の目的に基づくものだった。しかしそれは同時に、ユーザーのプライバシー保護に配慮して下された決定であり、これが、後にもっとセンシティブで漏えいによるダメージが深刻な流出データを入手することになってもHIBPのサービスを継続できるようハント氏を助けることになった。

2015年、ハント氏は不倫あっせんサイトAshley Madison(アシュレイ・マディソン)から漏えいした数百万件にのぼるアカウント情報を入手した。この一件は、最初はデータ流出そのものに注目して広く報道されたが、その後、このデータ流出が原因で数人のユーザーが自殺したことで再びメディアに取り上げられた。

アシュレイ・マディソンへのハッキングは、HIBP史上、最もセンシティブなデータだった。この件がきっかけで、ハント氏は、ユーザーの性的嗜好その他の個人データが関わるデータ流出に対するアプローチ方法を変えることになった。(AP Photo/Lee Jin-man、File)

ハント氏はこの件がもたらす感情的ダメージの深刻さを強く意識し、いつものアプローチ方法から少し外れることにした。このデータ漏えいが他と異なることは明白だった。ある人はハント氏に、「自分の地元の教会がアシュレイ・マディソンから流出したデータに含まれていた地元住民の名前をリストにして掲示した」と話したという。

この件についてハント氏は、「これは明らかに人を道徳的に裁いていることになる。HIBPがその一端を担うことは避けたい」と語った。

このデータ漏えいについてハント氏は、それ以前のセンシティブ性が比較的低いデータ漏えいとは異なり、誰でも自由にデータを検索できるようにはしないことに決めた。その代わり、専用の新機能を導入し、メールアドレスが本人のものであることが確認できたユーザーのみ、センシティブ性の高いデータ漏えいの被害にあっているかどうかを確認できるようにした。

「アシュレイ・マディソンのデータ漏えいに巻き込まれた人にとって、HIBPの使用目的は誰にも想像が及ばないほどの特別な意味合いを持つようになった」とハント氏は語る。あるユーザーは離婚による傷心の勢いでアシュレイ・マディソンのサイトに登録し、その後再婚したが、データ漏えいによって浮気性のレッテルを貼られてしまったとハント氏に話したという。また、別のユーザーは夫の浮気を疑い、現場を押さえようと同サイトのアカウントを作成したとハント氏に話したそうだ。

「誰でも検索できるということは時に不条理なリスクを人に負わせることがある。だからここは自分が判断して行動すべきところだと感じた」とハント氏は説明する。

アシュレイ・マディソンのデータ漏えいにより、ハント氏は保持するデータはできるだけ少ない方がよいという自分の考えが正しいことを再認識した。ハント氏のもとには、データ流出の被害にあった人から「流出した自分のデータを教えてほしい」というリクエストメールが頻繁に送られてくるが、同氏はそのようなリクエストへの対応はどれも断っているという。

「入手したすべての個人データをHIBPに投入して、電話番号や性別、流出した他のあらゆる情報を人々が検索できるようにすることは私の本来の目的ではない」とハント氏は語る。

「もしHIBPがハッキングされても、流出するのはメールアドレスだけだ。そんな事態は起きてほしくないが、もしそうなった場合に、パスワードまで一緒に保管されていて流出してしまったら、事態ははるかに深刻になってしまう」とハント氏は説明する。

とはいえ、メールアドレスとともにデータベースに投入されないからといって、流出したパスワードが無駄になっているわけではない。ハント氏はHIBPのサイトで、メールアドレスにひもづけされていない5億あまりのパスワードを検索できるようにしている。ここで検索すれば、ユーザーは自分のパスワードがHIBPのデータベースに投入されたことがあるかどうかを確認できる。

誰でも―テック企業でさえも―ハント氏が「Pwned Passwords(ポウンド・パスワード)」と名付けたページからパスワードの山にアクセスできる。Mozilla(モジラ)や1Password(ワンパスワード)などのブラウザ開発企業やパスワード管理ツールの開発企業は、HIBPと提携して同じデータベースにアクセスすることにより、以前に流出したことがあるパスワードや脆弱なパスワードをユーザーが使おうとすると警告を通知するサービスを提供している。イギリスやオーストラリアなど欧米諸国の政府も政府機関の認証情報が流出していないかどうかを確認するのにHIBPを頼りにしているが、このサービスもハント氏は無料で提供している。

「これこそHIBPの真価を発揮できる分野だと思う。政府関係者は大抵の場合、国と個人の安全を守るために、非常に過酷な環境の中で大した額の賃金を受け取ることもなく働いている」とハント氏は語る。

HIBPはデータの開示性と透明性を第一に運営されてはいるが、それでも、他の場合だったら(特に営利企業だった場合は)規制の壁と融通のきかないお役所的な手続きにがんじがらめにされるオンライン規制地獄に生きていることを、ハント氏は認識している。さらに、ハント氏が流出データをデータベースに投入していることに流出元の企業は必ずしも賛成しているわけではないが、ハント氏によると、HIBPのサービスを止めるために法的な措置を取ると警告してきた企業はまだないという。

「HIBPはそのようなことを超越するくらい筋の通った価値のあるサービスを提供しているのだと思いたい」とハント氏は語る。

HIBPをまねて類似サービスを提供しようとした企業もあったが、HIBPほど成功することはできていない。

「類似サービスが出てきたが、どれも営利目的で、そのうち起訴されてしまった」とハント氏は言う。

LeakedSource(リークドソース)は一時期、流出データをオンラインで販売する最大級の企業だった。筆者がこれを知っているのは、LeakedSourceが流出データを入手したいくつかの大規模なデータ漏えいについて報じたことがあるからだ。楽曲ストリーミングサービスのLast.fm(ラストエフエム)、大人の出会い系サイトAdult Friend Finder(アダルトフレンドファインダー)、ロシアのインターネット大手企業Rambler.ru(ランブレル)などは、そのほんの数例である。しかし、連邦政府当局が目をつけたのは、LeakedSource(経営者はなりすまし犯罪情報の不正取引疑惑について後に罪を認めた)が、不特定多数の人の流出データへのアクセス権を見境なく誰にでも販売していたことが理由だった。

「あるサービスの提供企業が、自社で所有するデータへのアクセス権を有償で提供することは極めて正当なことだと思う」とハント氏は言う。

HIBPでのデータ検索を有償にしても「私の眠りが妨げられることはない。ただ、有償化したことで何か問題が生じた時に責任を負いたくないだけだ」とハント氏は付け加えた。

プロジェクト・スバールバル

HIBPの立ち上げから5年後、ハント氏はこのままだとそのうち自分が燃え尽きてしまいそうな気がし始めた。

「このまま何も変えなかったら燃え尽きてしまうかもしれないと思った。HIBPプロジェクトを持続させるには変化が必要だったんだ」とハント氏は筆者に話してくれた。

ハント氏は、初めはわずかな空き時間を使っていたが、そのうち自分の時間の半分以上をHIBPプロジェクトに費やすようになったのだという。膨大な量の流出データを収集、整理、複製、アップロードするという日々の作業をさばくのに加えて、請求や税金に関する処理など、サイトの維持管理業務すべてを1人でこなさなければならなかった。そのうえ、個人としての事務処理作業もあった。

ハント氏は、HIBPの売却計画を、「人類のよりよい未来のために役立つもの」を膨大に収集しているノルウェーのスバールバル世界種子バンクにちなんで「プロジェクト・スバールバル」と名付けたことを、売却を宣言した2019年6月のブログの中で書いている。この売却プロジェクトは決して簡単に済む仕事ではないことが予想された。

売却の目的はHIBPのサービスの将来を確保することだった、とハント氏は語っている。また同時に、ハント氏自身の将来を確保するためのものでもあった。「買収する企業にはHIBPだけでなく、私のことも一緒に買ってもらう。もれなく私が付いてくることを承諾できない場合、取引はできない」とハント氏は語っている。また、同氏は自身のブログの中で、HIBPのサービスを拡大して、より多くのユーザーが利用できるようにしたいと書いたことがある。しかし、その目的は金銭的な利益ではない、と同氏は筆者に話した。

HIBPを管理する唯一の人間であるハント氏は、誰かが請求書の支払いを続ける限り、HIBPは継続していける、と言っている。「しかし、関わっているのが私1人であるHIBPにはサバイバーシップモデル(本人だけでなく周囲や社会が協力して問題を乗り越えていくという概念)が欠けている」と同氏は認める。

HIBPを売却することによって自分にかかる負担を減らし、サービスがより持続可能な状態にしたかった、とハント氏は語る。「もし私がサメに襲われて食べられてしまっても、サイトが停止しないためにね」と同氏は冗談交じりに言った。オーストラリアに住む限りサメに襲われるのは十分にあり得ることだからだ。

しかし、何よりも重要なのは、買い手がハント氏の要望を完璧に満たせるかどうかという点だった。

買収したいと申し出た多数の企業(その多くはシリコンバレー企業)とハント氏は面会を行った。買い手に求める姿ははっきりとしていたが、具体的にどの企業がその条件を満たしているのか、同氏にはまだわからなかったからだ。どの企業であれ、買収後もHIBPの評判を確実に守れる企業を選びたいと同氏は考えていた。

「もし、個人データを尊重する気がまったくなく利益を絞り取るためだけにデータを乱用するような企業がHIBPを買収したら、私にとって何の意味があるでしょうか」とハント氏は言う。買い手候補の中には利益重視の企業もいくつかあった。利益はあくまでも「付属的なものだ」とハント氏は語る。買い手にとって最大の関心事は、買収後も長期にわたり自社のブランドとハント氏を連携させることであるべきだった。つまり、ハント氏自身への評価と将来の仕事を独占的に買うのである。なぜなら、それこそHIBPの価値の源であるからだ。

ハント氏は、たとえ自分が関わらなくなってもHIBPを今のまま無事に継続させてくれると確信できる企業を売却先として探していた。「人々が私に抱いてくれている信頼と信用を別の組織に受け継ぐには何年もかかるものだといつも考えていた」とハント氏は語る。

ワシントンの米連邦議会上院エネルギー小委員会で証言するハント氏―2017年11月30日木曜日。(AP Photo/Carolyn Kaster)

売却先の選定プロセスとデューデリジェンス作業は「気が狂いそうになるほど大変だった。当初の予定よりも長引くことが何度もあった」とハント氏は語る。実際、この選定プロセスは何か月にも及んだ。その時期に感じた強いストレスについて同氏は率直にこう話している。「実は昨年初め、ちょうど売却プロジェクトを始めた頃に妻と別居し始めたんだ。そして、間もなく離婚した。売却プロジェクトの進行中に離婚まで経験するのがどういうことか想像してもらえると思う。とてつもないストレスを感じた。」

そして、およそ1年後、ハント氏は売却を取りやめたと発表した。機密保持契約があるため詳細を語ることはできなかったが、ハント氏は自分のブログの中で、売却契約を締結しようと決めていた買い手が不意にビジネスモデルを変えたため「取引そのものが不可能になった」と書いている。

「この契約がうまくいかなかったことを聞いてみんな驚いていたよ」とハント氏は筆者に言った。売却話は白紙に戻った。

今考えても、その売却話を断ったのは「正しい決断だった」とハント氏は断言する。しかし、その結果、売却プロジェクトは買い手が決まらず振り出しに戻り、同氏の手元には何十万ドルにものぼる弁護士費用の請求書だけが残った。

ハント氏の将来にとってもプライベートにとっても波乱万丈の1年が過ぎた今、同氏は休養するための時間を取り、激動の1年から通常のスケジュールに戻ることにした。そこに新型コロナウイルス感染症のパンデミックが襲ってきた。オーストラリアは他国と比べると被害が比較的軽く済み、ロックダウンも短期間で解除された。

ハント氏は引き続きHIBPの運営を継続していくことを表明している。これは彼が望んだ、あるいは期待した結末ではなかったが、今のところすぐに次の売却先を探す予定はないという。当面は「いつも通りサイトを運営していく」とハント氏は語る。

ハント氏は今年6月だけで1億200万件以上のデータをHIBPのデータベースに投入したが、それでも、もっと忙しい月に比べると6月は比較的穏やかな月だった。

「私たちは自分のデータを自分でコントロールできなくなっている」とハント氏は語る。そして、そういうハント氏でさえ例外ではないという。流出データ件数が100億件に迫る中、ハント氏自身も20回以上「Pwned(個人データをハッキングされた)」の経験があるそうだ。

今年初め、ハント氏は、とあるマーケティングサイトから流出した膨大な数のメールアドレスをデータベースに追加し、それを「Lead Hunter(リード・ハンター)」と名付けた。同氏は6800万件にのぼるデータをHIBPに投入した。同氏によると、公表されているウェブドメインレコードを誰かがかき集めてスパムメール用の巨大データベースに作り替えたのだが、それを別の誰かがパスワードをかけずにパブリックサーバーに放置したため、誰でも入手できる状態になっていた。それを見つけて入手した人がハント氏に手渡し、同氏はそれをいつものようにHIBPのデータベースに投入して、登録されている何百万人ものユーザーにメール通知を送信した。

「よし、作業完了だ、と思ったら、自分のメールアドレスにHIBPから『Pwned(流出しています)』という通知メールが届いたんだ。」

「自分でも意外なところで流出していて驚いているよ」とハント氏は笑って言った。

関連記事:Twitterは不正アクセスによってハッカーがユーザーのDMを盗み読みした可能性について答えず

カテゴリー:セキュリティ

タグ:コラム ハッカー

[原文へ]

(翻訳:Dragonfly)

投稿日:

ロシアのハッカー集団が新型コロナワクチン開発を攻撃、と英米カナダが警告

西側の情報機関は、ロシアのサイバースパイ活動が、多くの国で展開されている新型コロナウイルス(COVID-19)のワクチン開発を攻撃している証拠を確認した、と明らかにした。

報告の中で、英国の国家サイバーセキュリティセンター(NCSC)は、ロシアとつながっているハッカー集団が2020年、医学的な研究開発や新型コロナウイルスワクチン開発を行っているカナダ、米国、英国のさまざまな組織を攻撃している(NCSCレポート)と指摘している。このハッカー集団は「APT29」として知られ、時に「the Dukes」「Cozy Bear」とも呼ばれている。

報告書によると、APT29は新型コロナワクチン開発を行っている世界の多くの組織を攻撃するために「WellMess」「WellMail」というカスタムマルウェアを使っている。

WellMessとWellMailはこれまで公にはAPT29と関連づけられていなかった、と書かれている。

英情報機関であるGCHQの一部門であるNCSCは、マルウェア攻撃の意図は新型コロナワクチン開発とテストに関連する情報とIPを盗むことである可能性が「極めて高い」としている。

レポートは、カナダの通信保安局と(CSE)と米国の国家安全保障局(NSA)との連名だ。

「新型コロナワクチンの研究・開発を標的としたこのところの攻撃では、ハッカーグループは研究機関が所有する特定の外部IPアドレスに対して脆弱さを見つけ出そうとスキャニングを行った。その後、特定した脆弱なサービスから情報を盗み出そうと試みた」と報告書にはある。

そして「APT29はパンデミックに関連する重要な疑問の答えを模索している」ため、新型コロナワクチンR&Dを行っている組織織への攻撃を続けるだろう、と結論づけている。

NCSCは「この報告書で詳細に書かれている動きを感知するために、ルールやIOC(セキュリティ侵害インジケーター)を活用することを研究機関に強く勧める」と注意を喚起した。

この勧告について、英国政府は新型コロナワクチン開発に対するロシアの「無責任な」サイバー攻撃だ、と非難した。

「ロシアの情報機関が新型コロナパンデミックとの戦いに従事している機関を攻撃していることはまったく容認できない」と英外相のDominic Raab(ドミニク・ラーブ)氏は声明で述べた。「彼らが無謀な行為で利己心を追求している一方で、英国と同盟国はワクチンを開発し、世界中の人の健康を守るために取り組みを一層強化する」。

「英国はそうしたサイバー攻撃を行うハッカーたちにこれまで同様立ち向かい、同盟国とともに犯人たちの責任を問う」と付け加えた。

先月EUの議員たちは、新型コロナに関する主な誤情報運動の裏にロシアと中国の存在を挙げた。そうした運動では地域のインターネットユーザーを標的にしていた。

欧州委員会は、オンラインでの有害な偽情報の拡大に対応するためにEU全体でのアプローチに取り組んでいる。

ロシアの選挙干渉

ラーブ氏の主張(The Guardian記事)に続き、NCSCの勧告はロシアが漏洩文書をオンラインで拡散することで2019年の英国総選挙に影響を及ぼそうと試みたことも指摘した。

ラーブ氏は7月16日の声明で「広範な分析に基づき、ロシアが不正に入手して漏洩した政府文書をオンラインで拡散することで2019年の総選挙に干渉しようとしたことはほぼ確実だと政府は結論づけた」と述べた。

ガーディアン紙は、451ページにわたる公的電子メールがいかに選挙運動中に野党の労働党にわたったのかを調べるのに英国の情報機関は数カ月を費やしたと報道した。この電子メールの書類により、労働党党首のJeremy Corbyn(ジェレミー・コービン)氏は英米貿易交渉の詳細を政争の具にした。

2017年に保守党の首相Theresa May(テリーザ・メイ)氏もまたロシアが西洋諸国の選挙に介入しようとしていると公に警告した。しかしメイ氏はオンライン上の誤情報による民主主義への脅威を調査した議会委員会からの一連の勧告に対し行動を起こさなかった(未訳記事)。

最新のロシアによるサイバー攻撃についての英情報機関からの警告のタイミングは、ロシアの選挙介入についての英議会のインテリジェンス・安全保障委員会(ISC)の報告書がかなり遅くなったという点で殊更興味深い。

報告書の開示は2020年、Boris Johnson(ボリス・ジョンソン)首相の命により阻まれた。しかし今週、首相官邸が前運輸大臣のChris Grayling(クリス・グレイリング)氏をISCの委員長に任命しようという試みは、保守党議員のJulian Lewis(ジュリアン・ルイス)氏が、官邸提案に反対の議員の側についたことで妨害された。

かなりずれ込んでいたロシアレポートの公開は間もなくだ。議会が夏休みで休会になる前の来週に公開することを委員会が無記名投票で決めた。

2019年11月にガーディアン紙はロシアマネーが英国の政治、特に保守党に流れ込んでいたという主張、そしてロシアが2016年にブレグジット支持で大きな工作を行ったという主張を調べる書類を報道した(The Guardian記事)。

2017年にDCMS委員会からの圧力で、 Facebook(フェイスブック)はロシアのエージェントがEUに留まるかどうかについての英国の国民投票に介入しようと自社のプラットフォームを使用したことを認めた(未訳記事)。ただし同社は広告購入者、あるいはブレグジット投票をターゲットにした政治的誤情報の「明らかな関連」は見つからなかった、と主張した。

2019年に前ISC委員長のDominic Grieve(ドミニク・グリーブ)氏は、ロシアレポートには投票者に「密接な関連がある」情報が含まれている、として投票日前のレポート公開を要求した(The Guardian記事)。

その代わりにジョンソン首相は公開を阻止し、総選挙において保守党圧勝で選出されることを選んだ。

画像クレジット:THIBAULT SAVARY / Getty Images

原文へ
(翻訳:Mizoguchi

投稿日:

Twitterは不正アクセスによってハッカーがユーザーのDMを盗み読みした可能性について答えず

Twitter(ツイッター)は、正規ユーザーが投稿できないようアカウントを一時停止するに至った7月15日のセキュリティー侵害事件の後、ユーザーアカウントのパスワードをハッカーが取得した「証拠はない」と語った。

アカウントの大量乗っ取りが始まってから丸1日になる7月16日に公開された一連のツイートで、Twitterは「攻撃者がパスワードにアクセスした証拠は発見されていません。現在のところ、みなさまがパスワードをリセットする必要はありません」と述べた。

「十分な注意を払いつつみなさまの安全を守るための7月15日の危機対応のひとつとして、Twitterは過去30日間にアカウントのパスワード変更を試みたアカウントの一時凍結に踏み切りました」とTwitterは説明した。「Twitterが実施した追加的な安全対策により、パスワードを変更できなかった恐れがあります。現在も凍結されているアカウント以外は、パスワードのリセットが可能になっています」。

Twitterは今回の不正アクセスのあと「みなさまのアカウントへのアクセスが回復できるようお手伝いしています」と話している。報道機関を含む多くの著名人や団体のアカウントが、7月16日の朝の時点でいまだアクセス不能になっている。凍結されたままでツイートができないアカウントも残されている。

暗号通貨サイトのアカウントが乗っ取られ、ありふれた暗号通貨詐欺の宣伝ツイートが投稿されるや、その事件のニュースは、まさに当該ソーシャルネットワーク上でリアルタイムに広がった。@apple(アップル)、 @binance(バイナンス)のほか、@billgates(ビル・ゲイツ氏)、@jeffbezos(ジェフ・ベゾズ氏)、@elonmusk(イーロン・マスク氏)といった有名企業や著名人のアカウントまでもが大量乗っ取りの犠牲になった。それらの合計フォロワー数は9000万人にのぼる。

暗号通貨ウォレットの公的記録では、わずか数時間で総額10万ドル(約1070万円)を超える数百回の取引があったことが示されている。

Twitterはその後、「弊社の従業員に狙いを定め、首尾良く内部システムとツールへのアクセスを成功させた人たちによる組織化されたソーシャル・エンジニアリング攻撃」と断定
Twitter Support投稿)した。

このTwitter事件を直接見聞きしているあるハッカーがTechCrunchに話したところによれば、Kirk(カーク)というハンドル名の別のハッカーがTwitter内部の「管理者」ツールへのアクセスに成功し、著名人や団体のTwitterアカウントを乗っ取って暗号通貨詐欺ツイートを拡散したとのことだ。

管理者ツールにほかのハッカーがアクセスしたかどうかはわからない。現在はFBIが事件の調査を行っていると同社の広報担当者は話していた。しかし、そのハッカーたちがアクセスした正確な回数や、彼らがユーザーのプライベートなメッセージを盗み読みしたか否かといった疑問はいまだ残されている。

米民主党上院議員のRon Wyden(ロン・ワイデン)氏は、2018年に行われた私的会合の声明の中に、Twitterの最高責任者であるJack Dorsey(ジャック・ドーシー)氏は、同社は「エンドツーエンドで暗号化されたダイレクトメッセージ(DM)に取り組んでいる」と話していたと書いている。Twitter社自身ですらユーザーのメッセージを読めなくする暗号化方式だ。

「あの会合からほぼ2年が経ちますが、TwitterのDMはいまだ暗号化されていません。従業員が社内システムの内部アクセス権を悪用した場合、さらにハッカーが不正アクセスした場合には、守りようがありません」とワイデン氏。「昨日の事件の背後にいるハッカーがTwitterのDMにアクセスしたかどうかは、いまだに明らかにされていませんが、これはあまりにも長い間放置されてきた脆弱性であり、ほかの競合プラットフォームではすでに存在していない問題です」。

「もしハッカーがユーザーのDMにアクセスしていたら、この浸入事件は、今後数年間にわたり、とてつもない衝撃をもたらすことになります」とワイデン上院議員は語る。

私はTwitterに対し、ハッカーがユーザーのDMにアクセスしたなんらかの証拠はないのか、従業員も対象とする不正アクセス防止対策として何を行っているか、エンドツーエンドの暗号化をDMに実装する計画はあるのかなど、DMに関する質問を向けてみた。

連絡をした時点では、Twitterの広報担当者はコメントを控えている。

関連記事:Twitterの暗号通貨詐欺の元凶は内部ツールに不正アクセスした一人のハッカー

画像クレジット:Getty Images

[原文へ]

(翻訳:金井哲夫)

投稿日:

著名Twitterアカウントが暗号通貨詐欺にハックされる、アップルやバイデン氏、マスク氏などに被害

米国時間7月15日、Twitter(ツイッター)の著名アカウントが多数同時に侵入され、アタッカーはこれらのアカウントを使って暗号通貨詐欺を流布している。中には数百万人のフォロワーを持つアカウントもある。

アップル、イーロン・マスク氏、ジョー・バイデン氏を始めとする著名アカウントをターゲットにしたこのハッキング事件は、発生から数時間経過たったあとも謎に包まれている。乗っ取られたアカウントからは、ビットコイン・ウォレットのアドレスが書かれたツイートが発信され「入金すれば倍になって返ってくる」と書かれている。これはすでに知られている暗号通貨詐欺の手口だ。

最初の詐欺投稿から数時間の間に、キム・カーダシアン・ウェスト氏、ジェフ・ベゾス氏、ビル・ゲイツ氏、バラク・オバマ氏、ウィズ・カリファ氏、ウォーレン・バフェット氏、ユーチューバーのMrBeast氏、ハンバーガーチェーンのWendy’s(ウェンディーズ)、Uber(ウーバー)、決済サービスのCashApp(キャッシュアップ)、マイケル・ブルームバーグ氏らのアカウントから暗号通貨詐欺ツイートが発信された。

Twitterのスクリーンショット

事態の詳細が明らかになる前、ハッキングの標的は暗号通貨関連アカウントだと見られていた。詐欺投稿の第一波では、@bitcoin@ripple@coindesk@coinbase、および@binanceがハッキングされ、「我々はCryptoForHealthと提携し、5000BTCをコミュニティーに還元する」という同じメッセージを発信し、ウェブサイトへのリンクを掲載していた。

問題のウェブサイトは直ちにオフラインにされた。詐欺集団が利用したドメイン登録サービスのNamesiloの最高責任者を務めるKristaps Ronka(クリスタプス・ロンカ)氏は、「最初に報告を受けた時点で」該当ドメインを停止したとTechCrunchに語った。

事件が進むにつれ、ハックされたアカウントは複数のビットコイン・ウォレット・アドレスを使うようになり、追跡が困難になった。Twitterは西海岸時刻午後2時45分に状況を認め、これは「セキュリティー事件」であると宣言した。

当初、ツイートはすぐに削除され、侵入されたアカウントのいくつかは所有者の管理下に戻ったと思われた。しかし、イーロン・マスク氏のアカウントは、当初の詐欺ツイートが削除された後に「hi」とツイートした。その「hi」ツイートも後に消えた。

事態が進む中で、エラーメッセージが表示されたことを報告するTwitterユーザーもいる。TechCrunchのNatasha Mascarenhas(ナターシャ・マスカレンハス)記者は、スレッドのツイートを作ろうとしてこのエラー(下の画像)を見た。同じくSarah Perez(サラ・ペレス)は通常のツイートを投稿しようとして同じようなエラーに遭遇した。どちらも認証済みアカウントだ。

Twitterのエラーメッセージ

問題が続くにつれ、多くの認証済みユーザーがツイートできないと報告した。西海岸時刻午後3時15分頃、Twitterのサポートアカウントは、「当社が問題を調査している間、ユーザーはツイートやパスワードのリセットができない可能性がある」ことを認めた。

誰が被害にあったのか?この事件が過去にあったような単一のアカウントが侵入を受けたケースとは異なるものであることは、当初から明らかだった。Appleのように、堅牢なセキュリティーで知られる会社さえも、策略にはまってしまった。

Appleのアカウントもハックされた。これは同アカウントの最初のツイート

多くの著名アカウントが7月15日午後に次々と乗っ取られ、数多くのファン基盤をもつことで知られる熱狂的なテックTwtterユーザーの@elonmusk(イーロン・マスク氏)もその1人だった。Tesla(テスラ)とSpaceX(スペースX)の創業者のアカウントから発信された詐欺ツイートは、ユーザーに指定のアドレスにビットコインを送るよう誘導し、「2倍になって返ってくる」というよく知られた暗号通貨詐欺の手口を使っていた。マスク氏のアカウントは、この最初のメッセージ以降もしばらく侵入されたままであったようで、フォロワーたちがその怪しいアドレスに送金していると訴える投稿が書かれていた。

TeslaとSpaceXのファウンダー、イーロン・マスク氏のTwitterアカウントがハッキングされ、暗号通貨詐欺を流布した

民主党政治家もこの暗号通貨詐欺の中でハッキングされており、バラク・オバマ氏、ジョー・バイデン氏、マイケル・ブルームバーグ氏らもそうだ。バイデン陣営の運営員はTechCrunchに、Twitterは前副大統領のアカウントを侵入を受けた「直後」に閉鎖し、その後もTwitterと緊密に連絡をとっていると語った。本稿執筆時点では共和党議員に属するアカウントがハッキングされた様子はない。

バラク・オバマ氏のTwitterアカウントがBarack ハッキングかれ、暗号通貨詐欺を拡散している

ウィズ・カリファ氏のアカウントや、人気ユーチューバーのMrBeast氏も被害にあった。MrBeast氏は無料贈呈のツイートを送ることがよくあり、その結果フォロワーが詐欺サイトに誘導されやすかった。

伝説の投資家で、ビットコインを始めとする暗号通貨の厳しい批判者として知られているウォーレン・バフェット氏も襲われた。「私は暗号通貨を一切持っておらず今後も持つことはない」と2月にバフェット氏がCNBCに語った。

普通と異なるハッキングによるありふれた詐欺

この日のTwitterハッキングの範囲は同システムで過去に類を見ないものだが、ハックされたアカウントが広めた詐欺のタイプはありふれたものだ。詐欺師は著名Twitterアカウントを解読あるいは漏洩したパスワードを使って乗っ取り、ユーザーが自分たちの暗号通貨アカウントに送金するよう誘導し、「投資」が2倍になると偽る。実際には単なる窃盗であるが、有効な詐欺の手口である。

詐欺サイトで使われた主要なブロックチェーン・アドレスには、すでに12.5Bitcoin、11万6000ドル(約1240万円)相当が集まっており、時間とともに増えている。

Binance(バイナンス)の広報担当者はTechCrunchに、「セキュリティーチームは暗号通貨のこの組織的アタックの状況を鋭意調査している」と語った。ハッキングの影響を受けたほかの企業の中には、コメント要求に応じていないところもある。

アカウント侵入がどうやって起きたのかはすぐにはわからない。しかしセキュリティー研究者は、アタッカーは 被害者のアカウントを完全に乗っ取り、アカウントの登録メールアドレスを変更して、オーナーがアクセスを取り戻すのを困難にしていることを突き止めている。

詐欺師はしばしば、セレブや著名人のアカウントにリプライを返すことで、疑いを持たない被害者の会話を乗っ取って騙す。Twitterはその種のアカウントの削除(未訳記事)については非常に速い。

Twitter広報は、同社が問題を「調査中」であると語っただけで、すぐにはコメントしなかった。ハックされたアカウントのスクリーンショットを以下にまとめた。

  1. Screen-Shot-2020-07-15-at-5.09.39-PM

  2. Screen-Shot-2020-07-15-at-5.37.49-PM-1

  3. dims

  4. Screen-Shot-2020-07-15-at-5.38.27-PM

  5. Screen-Shot-2020-07-15-at-5.59.36-PM

  6. Screen-Shot-2020-07-15-at-4.51.36-PM

  7. Screen-Shot-2020-07-15-at-4.37.10-PM

  8. Screen-Shot-2020-07-15-at-4.47.47-PM

  9. Screen-Shot-2020-07-15-at-4.47.39-PM

  10. Screen-Shot-2020-07-15-at-4.47.57-PM

  11. Screen-Shot-2020-07-15-at-5.05.55-PM

原文へ

(翻訳:Nob Takahashi / facebook

投稿日:

英政府が方針転換、2027年までファーウェイ5G製品の排除を決定

英国政府は予想されていた通り、中国政府とつながっている「ハイリスク」の5Gベンダーを排除することを決めた。この方針転換には、米国がこのほどHuaweiに対しより厳しい制裁を科したことが影響している。

英デジタル相のOliver Dowden(オリバー・ダウデン)氏は議会に、新たな方針では通信会社が新ネットワーク構築に使用する5G機器をHuawei(ファーウェイ)とZTEから購入することを2020年末から禁じると説明した。英国の5Gネットワークですでに使用されているそうした企業の機器は、2027年までに排除されるなければならない。

この方針を実行に移すための法整備は議会に委ねられるが、ファーウェイ製品のさらに性急な排除を模索する議員の反対にあう可能性もある。

7月13日に通信会社BTは、すでに使用されているファーウェイ製品の性急な排除はモバイル通信障害やセキュリティリスクを生み、政府公約にある英国のファイバーブロードバンドネットワークのアップグレードを遅らせる可能性があると警告していた。BTのCEOであるPhilip Jansen(フィリップ・ヤンセン)氏は既存のファーウェイ5G製品を排除するには7年という期間が理想的との考えを示していて、政府は最善のシナリオをとったことになる。それでも次世代ネットワーク構築に追加のコストがかかる。

ダウデン氏は、新たな方針により英国の5Gネットワーク展開が遅れることを認めたが、政府は経済よりもセキュリティを優先していると主張した。

「2020年1月以降、明らかに状況は一変した。5月15日に米商務省は海外直接プロダクト規則に変更を加え、ファーウェイに新たな制裁を科したと発表した。これは部品に関するかなり大きな変更で、考慮しなければならないものだった」と議会に述べた。

「こうした制裁は、ファーウェイが5Gネットワークに機器を供給するのを制限しようとする米国による初の試みではない。しかしながら、ファーウェイが英国で新たな機器を供給する能力にかなりの影響を及ぼす可能性があるものだ。米国による最新の措置は、ファーウェイが米国のテクノロジーやソフトウェアを使って重要なプロダクトを生産する能力を制限する」。

ダウデン氏はNational Cyber Security Center(国家サイバーセキュリティセンター)が新たな米国の制裁をレビューし、その結果、セキュリティ評価を「大幅に」変更したと述べた。政府は、今回の方針転換に至らせたアドバイスの概要を発表するとも語った。

「ファーウェイのサプライチェーンについての不透明性を考えたとき、米国の海外直接プロダクト規則変更の影響を受ける将来のファーウェイ5G機器のセキュリティを保証できるか、英国はもはや確証を持てない」とダウデン氏は付け加えた。

通信セキュリティ法は夏前に導入されるはずだったが、方針転換のために今秋までずれ込む見通しだ。

ファーウェイ機器の購入制限、ならびに英国の5Gネットワークからの排除にかかるコストと時間に関しては、ダウデン氏は5G展開が2〜3年遅れ、最大20億ポンド(約2700億円)のコストがかかるとの考えを示した。

「我々は軽々にこの決定をしておらず、全選挙民のために私はこの決定が招く結果に正直でなければならない」と同氏は話した。「今回の方針は5G展開を遅らせる。1月の方針の時点で、すでに5G展開が1年ずれ込み、コストは10億ポンド(約1350億円)だった。2020年末から新たなファーウェイ5G機器の購入を禁止する本日の決定で、さらに5G展開が1年後ろ倒しになり、コストも追加で5億ポンド(約670億円)かかる」

さらに通信会社が既存のファーウェイ5G機器を2027年までに排除するコストも「数億ポンド(数百億円)」発生する見込みだ。

「我々皆の接続がつながっている通信に実際の重大な帰結をもたらす」とし、2027年という目標よりも「早期に、そして広範に」実施すると「それなりの規模の不必要な」追加コストと遅延が発生するとダウデン氏は警告した。

「ファーウェイ機器の排除のための期間を短くすればするほど、モバイル通信障害が発生するリスクが大きくなる」とも述べた。

今回の方針は、2020年1月に政府が発表した制限とは大きく異なる。1月にBoris Johnson(ボリス・ジョンソン)政権は、中国政府と深くつながっているベンダーに関連するリスクは管理できるとの自信を示していた。

そしてダウデン氏は、今回の「真逆の方針転換」と6カ月前に決断しなかったことによる英国の5Gネットワークインフラへの遅延について反対議員から質問責めにあった。

影のデジタル大臣、Chi Onwurah(チー・オヌラー)氏は、政府のデジタル政策はボロボロだと述べた。そしてインフラ変更をリードするためのマルチステークホルダーのタスクフォースの設置を求めた。「一連の動きは、政府が自分たちでこの混乱を管理できないことを示した。英国に最短期間で5Gネットワーク能力と安全なモバイルネットワークをもたらす計画を立てるために業界の代表や研究機関、スタートアップ、地方行政や議員から成るタスクフォースが必要だ」とオヌラー氏は述べた。

与党内では、ダウデン氏の発表は概ね好意的に受け止められた。ジョンソン首相は、ファーウェイに関する先の方針では与党内部の反対議員グループからかなり反発を受けた。そのためそうした反対議員らが新方針を支持するかどうかは不透明だ。とある反対議員はGuardianへの話の中で、5Gだけでなく3Gと4Gも含むファーウェイ機器を排除するための期間をさらに短縮するために通信セキュリティ法案の改正を議論すると警告した

5Gではないネットワークで使用されているハイリスクベンダーの機器を今後どうするかについては、政府はさらなる後ろ倒しを模索した。ダウデン氏は議会に、この問題は精査が必要だと説明し「サプラチェーンの代替について把握するために事業者と技術的な面で話し合う」ことを明らかにした。

「ファイバー機器をスケール展開できる適切なベンダーはもう1社しかないため、サプライチェーン代替手段を把握するために事業者と技術面の協議を始める。これにより、我々のギガビットの野望への不必要な遅れを避け、そして多大なレジリエンスリスクを防ぐことができる」と述べた。

技術面の協議によってファーウェイに対する5Gネットワーク以外の政府の方針が決まる、とダウデン氏は付け加えた。

英政府は以前、5Gネットワークインフラ機器をめぐるサプライチェーンの分散を進める策に乗り出していると述べていた。ダウデン氏は同じ文言を繰り返し、英国が分散を推進するためにファイブアイズ同盟国(英国、米国、カナダ、オーストラリア、ニュージーランド)と連携していると語った。

長期的には、各ネットワークで複数のベンダーを使用することを基準とするよう通信事業者に働きかけ、またサポートしていくと同氏は述べた。しかし、ここでも同氏はそうしたオープンなRANネットワークの開発には時間がかかると警告した。

短中期的には他の大手ベンダーが加わる必要があるかもしれないとの考えも示した。政府はすでに、SamsungやNECを含む代替の通信機器メーカーとファーウェイ機器の排除で発生する遅れを取り戻すための英国マーケットへのアクセスについて具体的な話し合いを持っていることも明らかにした。

「我々はすでに通信事業者やベンダーと分散のプロセスをサポート、加速させることについて緊密に連携している。持続的な解決策を生み出すための国際的な協力を必要とするグローバルな問題だと認識している。だからこそ、我々はファイブアイズ同盟国や友好国とともに共通の目標を達成するために取り組んでいる」と付け加えた。

TechCrunchはファーウェイにコメントを求めている。

アップデート:ファーウェイの広報担当であるEd Brewster(エド・ブリュースター)氏は下記の声明を寄せた。

残念な決定は、携帯電話を使用する英国のすべての人にとって悪いニュースだ。英国がデジタル遅延コースを走ることにつながり、コストの増大やデジタル格差深刻化のリスクも招く。「レベルアップ」するのではなく政府はレベルダウンしており、我々は再考を求める。新たな米国の制限は、我々が英国に供給するプロダクトのレジリエンスやセキュリティに影響しないと確信している。

遺憾ながら、英国の未来は政治問題化した。これはセキュリティについてではなく、米国の通商政策についてだ。過去20年間、ファーウェイは英国のより良い通信網を構築することにフォーカスしてきた。責任ある事業者として、当社はこれまで通り顧客のサポートを継続する。

今日の発表が当社の事業にとって何を意味するのか詳細なレビューを行い、英国の通信をより良いものにするために当社がどのように貢献できるかを政府に説明するつもりだ」。

画像クレジット: Chesnot / Getty Images

原文へ
(翻訳:Mizoguchi

投稿日:

英通信大手トップが早急なファーウェイ排除が通信障害を招く可能性を警告

英国通信企業BTの最高責任者は、既存のモバイルインフラからのHuawei(ファーウェイ)製品の急速な排除を求める政府の動きはモバイル通信障害を引き起こし、セキュリティリスクを生み出しかねないと警告した。

ファーウェイは、国際的なネットワークと次世代5Gの供給面における役割の大きさ、そして中国政府との密接な結びつきのために、米国とその同盟国を含む西洋諸国政府の懸念対象となっている。こうした懸念は、ファーウェイ製品への依存によって国をサイバーセキュリティ脅威にさらし、安全保障を弱体化させることになる(未訳記事)という恐れにつながっている。

英国政府は7月14日に方針変更を発表すると見込まれている。これは、2020年初めの「ハイリスク」ベンダーに関する方針を転換し、そうしたベンダーの製品を2023年までに5Gネットワークから段階的に排除するというレポートを反映したものとなることが予想される。

13日朝のBBCラジオ4の番組で、BTのCEOであるPhilip Jansen(フィリップ・ヤンセン)氏は政府の新たな政策の詳細については把握していなかったが、あまりにも性急なファーウェイ製品の排除はリスクをともなう、と警告した。

「短期的にはセキュリティと安全性はリスクにさらされるかもしれない。これは本当に重要だ。というのも、ファーウェイ製品を買ったり取引したりできないというのは、ソフトウェアをアップグレードできないことを意味するからだ」と述べた。

「今後5年間で、我々は15〜20件の大きなソフトウェアアップグレードが必要になると見込んでいる。アップグレードしなければ、重要なソフトウェアが使えなくなる。これは、モバイル通信事業者のアクセスネットワークの35%を上限とするという点で、はるかに大きなセキュリティ問題となりえる」。

「かなり急速に対応しなければならない事態になれば、2400万人のBTグループのモバイル顧客へのサービスが怪しくなるかもしれない」とも付け加え、「通信障害もあり得る」と警告した。

2020年1月に英政府は、予定よりもかなり遅れて「ハイリスク」5Gベンダーへのアプローチを明確にする政策を発表(未訳記事)した。そこでは、アクセスネットワークにおけるそうしたベンダーの関与は35%を上限とすることなど、リスクを軽減するための制限が詳細にまとめられていた。ハイリスクベンダーは5Gネットワークの機密の「コア」への関与を完全に禁止される。しかし英政府は、妥協の政策について与党も含め国内外から反対意見に直面した。

米国のファーウェイに対する追加制裁や、英国の植民地だった香港への中国の接近(BBC記事)に対して制裁を科すなど、さらに地政学的な動きがファーウェイ製品の使用を部分的に容認してきた英政府に方針転換を迫った。

5Gで使用されている製品だけでなく、すべてのファーウェイ製品をBTが排除できるか尋ねられたヤンセン氏は、そうするには少なくとも10年はかかるとの考えを示した。

「すべてはタイミングとバランスだ」と同氏はBBCに語った。「英国中の全通信インフラからファーウェイ製品を排除したければ、10年以内というのは無理だと思う」。

政府の方針が5Gネットワークからのファーウェイ製品排除に限定されるのであれば、BTは実行するのに「理想的には」7年間は欲しい、と同氏は述べた。ただ「もしかすると5年以内にできるかもしれない」とも認めている。

「1月に発表された現在の方針は、アクセスネットワークにおけるファーウェイもしくは他のハイリスクベンダーの製品の使用を最大35%に制限するものだった。我々は2023年までに35%にする方向で取り組んでいる。展開コストには影響があるが、実現は可能だと考えている」とヤンセン氏は続けた。「もし政府が1月に発表した方針からの転換を決定すれば、我々は考えられる影響とその帰結を把握する必要がある」。

「繰り返しになるが、BTはいつもGCHQ(英政府通信本部)と協議している。我々は常にセキュリティが絶対的なものというアプローチを取ってきた。セキュリティは最優先事項だ。しかし政府の方針転換が短期的にさらなるリスクにつながらないか、確認する必要がある。詳細部分が問題だ」。

ヤンセン氏はジョンソン政権に対しても警告を発した。ジョンソン政権は英国を「アップグレードする」という公約の一環として、ファイバー有線ブロードバンドの展開加速を推進してきた。ヤンセン氏はファーウェイ製品を排除するためのあまりにもタイトなタイムラインはこの「未来のための構築」を危うくすると語り、「常識的な」判断を促した。

「経済、国、そして我々が5Gや家庭へのファイバー完全敷設から得られる機会は膨大なものだ。ファーウェイ製品の排除を加速させれば、5Gもファイバー網も構築できない。ゆえに我々はそうした影響も理解しつつ状況を判断し、この複雑な問題に対応するための正しいバランスを見つける必要がある」。

「異なる視点での熟考を注意深く検討し、この問題に対応する正しい道を見つけることが極めて重要だ。政府の方針と、その方針を導いたものによるところが大きい。BTは皆がすべての情報と常識ある判断がなされたことを理解したと確認するために、政府の全部門、国家サイバーセキュリティセンター(NCSC)、GCHQと直接話をする。常識の先に道が開かれ、正しい方向に進むと確信している」。

ファーウェイ製品排除の加速にセキュリティリスクがあるかどうかNCSCに尋ねたが、コメントは得られなかった。しかしNCSCの広報担当は先の声明を示した。そこには「我々のネットワークのセキュリティとレジリエンスは極めて重要だ。ファーウェイに対して追加の制裁を取るという米国の発表を受けて、NCSCは英国のネットワークに及ぶ可能性のある影響を注視している」とある。

TechCrunchはまたDCMSにもコメントを求めている。

アップデート:英政府の報道官は「我々はファーウェイに対する米国の追加制裁が英国のネットワークに及ぼしうる影響を検討している。継続中であり、適時情報をアップデートする」と述べた。

画像クレジット:DANIEL LEAL-OLIVAS/AFP / Getty Images

原文へ
(翻訳:Mizoguchi

投稿日:

米国が国家安全リスクを理由にTikTokに続きWeChatの使用禁止を検討

米国で国家安全保障リスクとなっている可能性があるとして、TikTokに厳しい精査の目が向けられている中、中国の人にとってなくてはならないメッセージングアプリのWeChatも米政府から非難を浴びている。

ホワイトハウスの通商アドバイザーであるPeter Navarro(ピーター・ナバロ)氏は米国時間7月12日に「TikTokとWeChatが中国本土で最大の検閲場所となっている。ゆえに断固たる措置を視野に入れている」とFox Businessに述べた

ナバロ氏は「子供が楽しみ、便利そうなモバイルアプリに集まるデータはすべて中国にあるサーバーに保存される。つまり中国軍、中国共産党、我々の知的財産を盗みたがっている中国当局の管理下におかれる」と主張している。

WeChatは、この発言に対するコメントを控えた。TikTokはTechCrunchへの声明で「ユーザーのプライバシーを守ることは当社にとって重要な優先事項だ」とし、「TikTokユーザーのデータを中国政府と共有したことはなく、共有するよう依頼が行わない」と述べた。

この2つのアプリの使用制限に関する最大の違いは、影響を受ける場所だ。中国外では、WeChatは主に四散している中国人、そして中国で事業を展開していたり中国と何らかのつながりがある企業が使用している。一方のTikTokのメインユーザーは世界中の若者だ。

WeChatは中国において、レストランでの支払いや診察の予約まで日々のさまざまな活動に活用されているが、中国外でのWeChatの機能はメッセージだけにほぼ制限されている。その他の機能は外国の競合相手が提供している。

もし米政府による制限が導入されればの話だが、制限がどのようなものになるのかは不透明だ。WeChatユーザーはすでに、中国にいる家族や帰国した友人と連絡を取り合うための他の方法を検討している。Tencent(テンセント)所有のメッセンジャーアプリであるWeChatがAppleのApp StoreやGoogle Playから削除されても、米国拠点のユーザーは他の地域で展開されているストアからアプリをダウンロードすることはできる。IP制限がかかっても、ユーザーはVPNを通じてアプリにアクセスできるかもしれない。VPNは中国の多くの人にとって、中国政府のグレート・ファイアウォールでブロックされているオンラインサービスにアクセスするのになじみのあるツールだ。

VPNは検閲との戦いのためだけのものではない。海外居住の中国人が、ライセンス制限のために海外では利用できない中国のビデオプラットフォームの番組をストリーミングするためにIPアドレスを中国に設定するのは珍しくはない。

ナバロ氏のメッセージは、米政府がTikTokを禁止することを検討していると米国務長官Mike Pompeo(マイク・ポンペオ)氏が明らかにしてすぐのものだ。中国のインターネット新興企業であるByteDance(バイトダンス)が展開しているTikTokは、データを米国とシンガポールに保存したり、企業構造を徹底的に見直すなどして、中国企業と一線を画してきた。

声明の中でTikTokは「当社で情報安全を担う米国人の担当者は何十年も米国の法執行当局での経験があり、セキュリティに関する経験も持つ。TikTokの親会社は最も知られている米国の投資家の支援を受けている私企業であり、役員5人のうち4人がそうした投資家から送られている」と強調した。

にもかかわらず、米国の企業は安全上の懸念を理由とする政治家のTikTokボイコットの呼びかけに応じている。Wells Fargo(ウェルズファーゴ)は従業員にスマホからTikTokを削除するよう求め(Bloomberg記事)、Amazon(アマゾン)も同様の対応を従業員に指示したが、その後すぐに撤回した(The NewYork Times記事)。

関連記事:グーグルが中国などを対象としたクラウドのプロジェクトを中止

カテゴリー:セキュリティ

タグ:WeChat TikTok 中国

画像クレジット:WeChat

原文へ

(翻訳:Mizoguchi

投稿日:

EAGLYSが東芝と協業検討、リアルタイムビッグデータ分析にセキュリティ・秘密計算を適用へ

秘密計算 EAGLYS 暗号化 ビッグデータ 準同型暗号

秘密計算技術のEAGLYS(イーグリス)は7月13日、東芝が新規事業創出を目指し開催した「Toshiba OPEN INNOVATION PROGRAM 2020」において、協業検討企業として選抜されたと発表した。

EAGLYSは、秘密計算技術で常時暗号化したデータ操作が可能なデータベース向けプロキシソフトウェア「DataArmor Gate DB」と、東芝のIoT・ビッグデータに適したデータベース「GridDB」との製品連携の実証を重ね、ビッグデータのリアルタイム分析における高セキュリティ・秘密計算機能の実現と価値創出に向け協業検討を進めるという。

Toshiba OPEN INNOVATION PROGRAM 2020は、東芝グループが持つローカル5G、IoT、ビッグデータ、画像認識などの技術を活用し、共に新規事業の創出や協業検討を行うプログラム。EAGLYSは、プログラム採択企業として2020年9月25日の成果発表会までに実証実験を重ねて検討をブラッシュアップ、より本格的なビジネスソリューションとしての事業化を目指す。

秘密計算技術とは、データを暗号化したまま復号することなく任意のデータ処理ができる暗号技術の総称。ゼロトラスト時代のデータセキュリティには、ネットワークなどの境界に依存したセキュリティ対策ではなく、「データそのもの」を守るアプローチが求められ、それを実現する基盤技術として期待されている。

秘密計算 EAGLYS 暗号化 ビッグデータ 準同型暗号

EAGLYSの秘密計算技術は、格子暗号をベースとする準同型暗号を採用。暗号処理に伴う計算量の増加が準同型暗号実用化の課題となっていたが、IEEEをはじめ各種国際学会に採択された同社秘密計算エンジン「CapsuleFlow」(カプセルフロー)関連の研究成果によって、大幅な高速化と省メモリー化を達成。業界に先駆けて準同型暗号の実用化に成功した。

DataArmor Gate DBは、EAGLYSが開発・提供するセキュアコンピューティング・プラットフォーム「DataArmor」シリーズのデータベース向けの高機能暗号プロキシーソフトウェア。このソフトウェアでは、データを暗号化したまま透過的に検索・集計クエリなどのデータベース操作が可能。データベース側に鍵をもたない設計により、通信中・保管中・処理中(検索・集計などのクエリ)を常時暗号化し、セキュリティレベルの向上と高パフォーマンスを両立している。

また、プロキシー型で提供しているため、データベースの種別に依存しない連携が行える。同製品にはデータを暗号化したまま計算可能な秘密計算機能も搭載しており、IoTなどセンシングデータの計算処理などのユースケースにも適用可能。

関連記事
量子コンピュータ対応の暗号化セキュリティ技術を擁するPQShieldが7.5億万円調達
マイクロソフトがセキュリティスタートアップのCyber​​Xを買収、Azure IoT事業のセキュリティ強化に超本腰
暗号化したままデータ解析可能な「秘密計算」の実用化めざすEAGLYS

投稿日:

企業ウェブサイトの脆弱性をAIが発見・可視化するエーアイテキュリティラボがANRIから資金調達

既存のウェブサイトの脆弱性などを可視化するサイバーセキュリティ事業を展開するエーアイセキュリティラボは7月13日、第三者割当増資による資金調達を発表した。引受先は独立系ベンチャーキャピタルのANRIで、調達額は数千万円規模とのこと。

同社はこれまで受託型でのウェブページ向けサイバーセキュリティ自動診断サービスを提供していたが、 今回の資金調達に併せて法人向けサービス「AeyeScan」の開発に着手、今年10月の提供を目指すとのこと。AeyeScanは、正常遷移の再現にAIを活用することで、これまで人力で処理していたテストをツールによる自動巡回・診断を実現。提供価格などはまだ決まっていないが、安価で簡単な自動化ツールを目指すとのこと。

同社がまずターゲットにしているのは、ログインや決済などの機能を備えない企業のウェブサイトや一期間限定で公開されるキャンペーンサイトなど。https通信かどうかなどの基礎的な項目はもちろん、入力フォームやウェブページ内で稼働しているJavaScriptの脆弱性などをチェックする。利用しているCMSがWordPressの場合は、その脆弱性も判別してくれる。

診断結果がわかりやすいの同社のサービスの特徴だ。現場のエンジニアだけが理解できる情報ではなく、ウェブサイトのセキュリティについて詳しくない経営陣などにも理解しやすいレポートを生成してくれる。

同社のツールで現在テストできるのは以下の項目。今後はECサイトやログインが必要な有料サイト、SaaSサービスなどの脆弱性チェック機能も開発していきたいとしている。

投稿日:

米国でのナンバープレート監視回避は「非現実的」と米税関・国境警備局

米税関・国境警備局(CBP)は、最新のプライバシー評価の中で、同局のナンバープレートリーダーによる車の追跡を米国人が回避する現実的な方法はないと認めた。

CBPは、最初の評価の後3年を経て新しい評価を発表した。その中で国境取締りの一環として、民間と公共の両方のソースからのナンバープレートデータを集約する商用データベースを利用予定だと公表した。

米国には、通常路肩に設置されるナンバープレートリーダーの大規模なネットワークがあり、通過する車両のナンバープレートを収集・記録している。ナンバープレートリーダーは、毎分数千のナンバープレートを捕捉することができる。記録されたナンバープレートは大規模なデータベースに保存され、それを利用して警察や法執行機関は全国数百万台の車両を追跡できる。

CBPがナンバープレートデータを収集できることを米国人が「気付いていない可能性がある」ため、同局はプライバシー評価を一部更新した。

「CBPは、管轄外のさまざまなソースから取得したナンバープレートの読み取り結果についてタイムリーに通知することはできない」とプライバシー評価は述べている。「多くの公共または私有の敷地内には監視下にあることを個人に警告する標識が設けられている。ただし標識にはデータが誰とどのように共有されるのかについて常に説明が付されているわけではない」

しかし文書の中でCBPはこう認めている。「そうした監視を免れる唯一の方法は、影響を受ける地域を避けることだ。これは非常に難しく、一般的には非現実的だ」

CBPは米国から出発した米国人旅行者の顔を撮影した件に関する2017年の裁判でも同様のトーンだった。当時、市民の自由に関する市民団体から怒りを買った。CBPは、顔の撮影を避けたい旅行者は「旅行を控える」必要があると述べた。

この文書は、CBPが通常運用している100マイル(約161キロメートル)国境地帯の外を含め、同局が「米国内のどこで捕捉したライセンスプレートデータであってもアクセスできる」ため、米国人にとってプライバシーのリスクが「高まる」と付け加えている。

CBPは追加調査を必要とする「状況証拠または裏付けとなる証拠」がある場合にのみナンバープレートデータにアクセスすることでリスクを軽減しており、しかも検索日から5年以内のデータにのみアクセスできると述べた。

CBPのスポークスパーソンであるMatthew Dyman(マシュー・ダイマン)氏はプライバシー評価について聞かれ、次のように答えた。「ナンバープレートリーダーを避けるにはどうすればよいのか。ここワシントンDCでスピードカメラを避けることはできるのか」

CBPのナンバープレートデータに関する業績は優れているとはいえない。CBPは昨年、下請け業者のPerceptics(パーセプティクス)が南部国境にある米国の出入国所で1カ月半にわたり「10万件未満」のナンバープレートデータを不適切にコピーしたと認めた。その後、代理店はPercepticsとの契約を停止した。

画像クレジット:Pablo Martinez Monsivais / AP

[原文へ]

(翻訳:Mizoguchi

投稿日:

アマゾンがイランやシリアなどへの制裁違反の容疑について約1440万円で示談へ

米財務省は今週発表した声明で「Amazon(アマゾン)が13万4523ドル(約1440万円)で制裁違反容疑を示談で解決することになった」と述べている。その容疑とは、クリミアやイラン、シリアを住所とする人びとに物品とサービスを送ったことに関連していて、それらは2011年11月から2018年10月までの外国資産管理局(OFAC)による制裁の対象になっている。

財務省は声明の中で「アマゾンが『数百件もの』商行為を適切なタイミングで報告しなかった」と説明している。すなわち財務省は、

アマゾンはまた、同社のウェブサイト上で、キューバ、イラン、北朝鮮、スーダン、およびシリアに居住、またはこれらの国の外国使節団に雇用されている者のために注文を受け入れて処理した。さらにアマゾンは、OFACの特別指定国および阻止人物のリストに載っている人物で、麻薬取引制裁規則と大量破壊兵器拡散制裁規則、多国間犯罪組織制裁規則、コンゴ民主共和国制裁規則、ベネズエラ制裁規則、ジンバブエ制裁規則、グローバルテロリズム制裁規則、および外国麻薬組織中心人物制裁規則により阻止されている者からの注文を受け入れて処理した。

この示談による解決はもちろん、巨額な時価総額のアマゾンにとっては微々たる負担だ。しかもそれらの商取引の多くが少量の小売商品やサービスに関するもので、違反の総額は示談の清算額13万4523ドルの倍程度になる。

財務省は、制裁領域への販売をチェックしなかったのは何らかの悪意によるものではなく、アマゾンのシステムの欠陥と見ている。原因は1つではない。例えば、外国のイラン大使館に送るケースをサイトは見過ごしたのかもしれない。

アマゾンはこの件にコメントしないが、2016年に制裁が法制化されて以来同社は、目立つほど自己開示に努めてきた。The Wall Street Journalによれば、そのほかのテクノロジー大手も同じ問題で上げられている。昨年アップルは、同様の違反で46万7000ドル(約5000万円)の示談に応じた。

画像クレジット: Philippe Lopez/AFP/Getty Images

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

スマートウォッチに偽の「薬を服用」アラートを送れる脆弱性が発覚

セキュリティ研究チームによると、高齢者や認知症患者が多く利用しているスマートウォッチに攻撃者が簡単にデバイスの制御を奪える脆弱性があった。

こうしたスマートウォッチは、利用者が医療関係者に簡単に電話をかけたり、医療関係者が利用者の居場所を追跡したりするためのものだ。携帯電話回線を利用できるため、どこにいても動作する。

しかし英国のセキュリティ企業であるPen Test Partnersの研究チームが、スマートウォッチをだまして偽の「薬を服用」リマインダーを利用者に何回でも送信できることを発見したと述べた。

Vangelis Stykas(ヴァンゲリス・スティカス)氏はブログの投稿で「認知症患者は薬を飲んだことを覚えていない傾向があり、簡単に過剰摂取になりかねない」と記した。

脆弱性のあるスマートウォッチに研究者が「薬を服用」アラートを表示させた(画像提供:Pen Test Partners)

この脆弱性は、スマートウォッチで利用されるSETrackerとして知られるバックエンドのクラウドシステムで発見された。このクラウドシステムは、ほかにもヨーロッパ中で多数のホワイトラベルのスマートウォッチや車両追跡デバイスで利用されていて、研究チームによればそのすべてに初歩的な攻撃に対する脆弱性があったという。

研究チームはバックエンドのクラウドシステムを利用するソースコードのコピーを発見し、コード中のセキュリティの問題を見つけた。発見された大きな欠陥のひとつはサーバーがハードコードされたキーを使っていたことで、この場合、攻撃者はデバイスをリモートで制御するあらゆるコマンドを送信できる。

このキーを使うと、攻撃者は「薬を服用」アラートを起動したり、デバイスからひそかに電話をかけたり、テキストメッセージを送信したり、車両追跡デバイスの場合はエンジンを完全に切ったりすることができる。

このコードには、デバイスからアップデートされたデータが保管されていると考えられるSETrackerのクラウドストレージのパスワードとトークンも含まれていた。しかし英国のコンピュータハッキング法違反になるため、研究チームはこれを確かめることはできなかった。

研究チームは、脆弱性は今は修正されていると述べた。この欠陥が悪用されたかどうかは不明だ。わずか数カ月前にPen Test Partnersは広く利用されているホワイトラベルの子供の見守り用スマートウォッチで同様の脆弱性を発見しており、今回の最新の研究はそれに続くものとなった。

スマートデバイスメーカー、それも適切なサイバーセキュリティの実装を考慮せずにデバイスを作ってしまうメーカーの間では、セキュリティ、そしてセキュリティの欠如が問題になりつつある。このため英国政府は、スマートデバイスに一意のパスワードなど最低限のセキュリティを備えた上で販売することを義務づけてセキュリティを強化する(未訳記事)、新たな法律の制定を提議している。

画像:TechCrunch

[原文へ]

(翻訳:Kaori Koyama)

投稿日:

各国政府からTikTokへのユーザーデータ要求は今年上半期だけで500件

昨年後半にTikTokの親会社ByteDance(バイトダンス)は、各国政府からのユーザーデータ要求件数と、要求に応じた件数の詳細を公開する多数の米国テック企業の仲間入りを果たした。この動きは、TikTokの中国とのつながりについての懸念と、TikTokは繰り返し否定しているが、米国の国家安全にとって脅威になるという非難が渦巻く中、同社に対するかなり懐疑的な見方に対応するものだ。

米国7月9日に公開された同社2回目となる最新の透明性レポートの中で、TikTokは各国政府から今年上半期に緊急リクエストも含め計500件の法的な要求を受けたことを明らかにした。この数字は前年同期比67%増だ。

TikTokはまた、コンテンツ削除の要求を45カ国の政府から受けた。最も要求が多かったインドは、今月初めに安全保障上の懸念を理由に同国でTikTokを禁止した。

しかしこのレポートで目を引くのは、TikTokは利用できないものの親会社のByteDanceが本社を置いている中国についての記載がないことだ。これはそう珍しいことではない。Facebook(フェイスブック)、そしてTwitter(ツイッター)も中国では利用できず、両社とも中国政府から要求を受けたり、要求に応じたりしたことはない。その代わり、ByteDanceは中国本土のユーザー向けに別のビデオアプリDouyinを展開している。

TikTokの広報担当であるHilary McQuaide(ヒラリー・マクキード)氏は「当社は中国政府にユーザーデータを提供したことはなく、もし要求があっても提供はしない」とTechCrunchに語った。「中国政府からの要求でコンテンツを削除したりしないし、削除したこともない。要求されても削除しないだろう」とも述べた。

しかし米国テック業界における透明性確保の動きと一致した同社の取り組みは、議員を含め同社を批判する人々が長らく抱いている恐れを抑制することにはならなさそうだ。議員たちは昨年、米国当局に同社を調査するよう求めた。

TikTokは引き続き、同社が脅威ではなく米国に深く根差していると主張している。今週初め、同社は中国政府が新安全維持法を施行したことを受けて香港から撤退すると発表した。

画像クレジット: Lionel Bonaventure / AFP

[原文へ]

(翻訳:Mizoguchi

投稿日:

量子コンピュータ対応の暗号化セキュリティ技術を擁するPQShieldが7.5億万円調達

量子コンピューターによって現在のサイバーセキュリティー技術の多くが使い物にならなくなる将来(未訳記事)のために、ハードウェア、ソフトウェア、通信システムの安全を守る暗号ソリューションの構築を目指すディープテックスタートアップが、米国時間7月8日に700万ドル(約7億5000万円)の資金を調達してステルスから姿を現した。同時に、量子コンピューティングが実用化された「ポスト量子暗号」の時代にも継続して利用できるシステムを構築することで、最も高度なシステムを持ってしてもハックできない暗号セキュリティを作り上げるという使命も公表した。

PQShield(ピーキューシールド、PQはポストクアンタムの略で「ポスト量子暗号」という意味)、はオックスフォード大学からスピンオフした企業だ。Kindred Capitalが主導するシード投資の支援を受けている。これにはCrane Venture Partners、Oxford Sciences Innovation、さらにドイツ銀行で株式取引グローバルヘッドを務めていたAndre Crawford-Brunt(アンドレ・クロフォード=ブラント)氏をはじめとするエンジェル投資家も複数参加している。

同社は2018年に創設されたが、身を潜めての企業活動には意味があった。このスタートアップは、学会や秘密機関を除いて、英国でも屈指の博士号を持つ暗号専門家を集め、学術機関や巨大テック企業と並んで、NISTサイバーセキュリティーフレームワークに最も貢献している団体のひとつだと主張している。そんな同社は、量子コンピューティングが現在使われている暗号化規格を瞬時にして無力化してしまうことを想定した新しい暗号化の規格を築こうとしている。

「そのスケールは莫大です」。オックスフォード大学数学研究所の研究フェローであり、Hewlett-Packard Labs(ヒューレット・パッカード研究所)の元エンジニアにしてPQShieldの創設者でCEOのAli El Kaafarani(アリ・エル・カーファラニ)博士は語る。「私たちは世界で初めて、公開鍵インフラを変更しようとしているのです」。

またカーファラニ氏によれば、同スタートアップには、ハードウェアやソフトウェアのサービスを構築する企業、機密情報を扱う通信システムを運営する企業、ハッキングで甚大な被害を被る恐れのある企業などを顧客にしているという。

その中には、名前は明かさないものの、金融系企業や政府機関も含まれている。最初のOEM供給先としてはBosh(ボッシュ)の名を挙げた。同氏はさらに「コミュニケーションとメッセージの大手サービス供給企業の少なくとも1社と、そのメッセージング・ネットワークにエンドツーエンドの暗号化を導入してセキュリティーを高めるための話し合いをしている」とインタビューで話していた。そのほかターゲットとする応用先には、自動車のキーレスシステム、IoT機器、クラウドサービスなどが考えられる。

PQShieldは、その市場の隙間を埋めようと考えている。最先端の暗号セキュリティーを開発する企業はすでに市場に溢れている。Amazon(アマゾン)、Microsoft(マイクロソフト)、Hub Security(ハブ・セキュリティー)、Duality(デュアリティー)、そしてポスト量子暗号に焦点を当てているもう1つのスタートアップPost Quantum(ポスト・クアンタム)など数々あるが、心配されるのは、現在最もも進歩しているRSAやElliptic Curveといった暗号規格の解読に量子コンピューティングが使われてしまうという問題だ。

今までそれは、量子コンピューターが広く普及せず利用もされていなかった(未訳記事)ことから、さほど問題にはならなかった。しかし地平線の向こうには、いくつもの飛躍的進歩の兆候(未訳記事)が見え始めている。

カーファラニ氏は「そんな困難な状況にさまざまな使用事例を想定した、いくつもの枝を持つソリューションで初めて対処したのがPQShieldだ」と話す。ひとつには、現在の暗号規格を取り込み、彼らが考える次世代への移行経路を提示するというものがある。つまり、まだ量子コンピューターが商業的に実用化されていない今から商業的に展開でき、ポスト量子暗号時代の準備を整えておくということだ。

「現在暗号化されたものは、なんであれ収集できます。そして完全な量子コンピューター
が使えるようになったとき、それを使って、データや機密情報などを元に戻します」と同氏は説明する。

ハードウェアへの応用としては、同社はシステム・オン・チップ(SoC)ソリューションを開発した。これはハードウェアメーカーにライセンスされ、Boshが最初のOEM供給先となる。ソフトウェアへの応用としては、メッセージの安全を確保するSDKがある。これは、安全な信号から派生したプロトコルに基づく「ポスト量子暗号アルゴリズム」によって保護される。

「あらゆる応用の可能性を考え構築することが、PQShieldのアプローチの中核を成している」と同氏。「セキュリティーでは、エコシステム全体を把握することが重要です。コンポーネントのつながりこそがすべてだからです」。

テック業界には、新型コロナウイルスとそれに関連する問題の煽りを集中的に受けてしまった分野がある。その厳しい状況は、先が見えない世界経済への不安によって、さらに深刻化している。

一般に長期的な問題に取り組むことが多いディープテック企業は、今すぐに商業的な結果を出せないこともあり「特にいまの時期、ディープテックのスタートアップとして資金調達が難しかったのではないか」と私はカーファラニ氏に聞いた。

面白いことに彼は、それは当たらないと答えた。「私たちは、最初にディープテックに興味のあるベンチャー投資家に声をかけていたので、交渉は楽に進みました」と彼は言う。「私たちはセキュリティ企業であり、それが好調な分野だという事実もあります。すべてがデジタル化されるようになり、デジタルなつながりへの依存度が一層高まっています。私たちの役割は、デジタル世界をより安全にすることです。そこをよく理解してくれる人たちがいたため、この会社の重要性をわかってもらうのに、そう苦労はしませんでした」。

事実それは、Kindred CapitalのパートナーであるChrysanthos Chrysanthou(クリサンソス・クリサンソウ)氏の声明の中の「暗号と数学とエンジニアリングに最も詳しい人材を擁し、世界的に認められたソフトウェアとハードウェアのソリューションを誇るPQShieldは、この業界の先頭に立ち、企業の未来において最も深刻な脅威から事業を守るという独特な立場にあります」という主張と重なる。

「情報セキュリティーの新規格の確立に取り組み、量子コンピューティングの登場によるリスクを軽減しようとするこのチームを支援できることは、この上ない喜びです」とクリサンソウ氏は語る。

画像クレジット:ALFRED PASIEKA/SCIENCE PHOTO LIBRARY / Getty Images

[原文へ]

(翻訳:金井哲夫)

投稿日:

フェイスブックとツイッターが香港当局へのユーザーデータ提供を一時停止、中国による国家安全法制定を受け

Facebook(フェイスブック)とTwitter(ツイッター)は、中国が新たに国家安全維持法を導入したことを受け、香港当局からのユーザーデータ提供要求への対応を一時停止したことを認めた。

フェイスブックの広報担当はTechCrunchに対して、「人権に関する正式な調査や、人権専門家への諮問を含め」新国家安全維持法を精査してさらに理解できるまで、データ要求対応を「一時停止」すると述べた。また、「表現の自由は基本的人権であり、人々が安全を脅かされたり報復を受けたりすることなく自らを表現する権利を支えるものだと信じている」と付け加えた。

フェイスブックは、今回の一時停止措置は同社が所有するWhatsApp(ワッツアップ)にも適用されると述べた。

データ提供一時停止のニュースはThe Wall Street Journalが最初に報道している。

ほどなくして、ツイッターも同様の措置を取ることを認めた。「中国の新国家安全維持法が可決に至った急速なスピード、先週初めて新国家安全維持法全体が明らかになったばかりであることを鑑みて、特に法律の言葉が曖昧で、明確な定義がないため、我々のチームはその適用範囲を評価するために法律をレビューしている」と広報担当は述べた。「多くの公益団体や市民社会のリーダーや企業、産業界と同様、この法律の制定プロセスや真の意図について我々は由々しき懸念を抱いている」。

ツイッターは、国家安全維持法が制定されてすぐに香港からの要求に対するユーザーデータの提供を一時停止した、と話した。

メッセージアプリであるTelegramも米国時間7月6日、香港当局からのデータ要求に今後は対応しないと明らかにした、と報道されている( Hong Kong Free Press記事)。

「1国2制度」の原則の下、北京の管理下にあるにも関わらず、テック大企業は長らく香港を半独立した都市国家としてアジアの友好的なエリアとして扱ってきた。香港は中国政府による監視や検閲が広く行われている中国本土よりもかなり自由がある。

しかし中国政府が6月30日に一方的に施行した新国家安全維持法は、香港の市民が有していたあらゆる保護を事実上ないものにしている(未訳記事)。新国家安全維持法では、当局はフェイスブックやツイッターのようなインターネット企業にデータを要求するのに裁判所の命令を取得する必要がない。

香港インターネットサービスプロバイダー団体を束ねるある産業界のリーダーは、インターネットプロバイダーは新しい法律に従うよりほかはない、と話した(South China Morning Post記事)。

こうした動きにより、シリコンバレーのテック大企業そしてそれに倣う他の企業は中国政府を警戒することになりそうだ。中国政府はすでに中国本土でフェイスブックやツイッターを含む欧米のテック大企業を禁止している。WhatsAppはTelegramやWeChatとともに香港でかなり人気がある。

関連記事:US plans to rollback special status may erode Hong Kong’s startup ecosystem(未訳記事)

画像クレジット:Brent Lewin/Bloomberg / Getty Images

原文へ

(翻訳:Mizoguchi

投稿日:

Facebookがインドでデジタルリテラシー教育を促進

インド国内で、他のどの国際企業よりも多くのユーザーに利用されているFacebookが、世界で2番目に巨大なインターネット市場の中で、さらにその触手を伸ばすチャンスをつかめる新しい分野を見出した。

Facebookは、インドの私立および公立学校の教育を監督する政府機関である中等教育中央委員会(CBSE、Central Board of Secondary Education)と提携(CBSEサイト)して、インド国内の学生や教育者たちに、デジタル安全性とオンライン上の健全な活動や、拡張現実(AR)を教える認定カリキュラムをローンチした。

FacebookとCBSEは、これらの科目を通じて、中学生たちを現在および将来の仕事に備えさせ、インターネットを安全に閲覧して「十分な情報に基づいた選択」を行い、自らのメンタルヘルスについて考えることのできるスキルを身につけさせることを目指している。

Facebookは、これらのトレーニングを、フェーズを追って提供すると述べている。最初のフェーズでは、1万人以上の教師がトレーニングされ、2番目のフェーズではその教師たちが、3万人の生徒を指導する。ARに関する3週間のトレーニングでは、発展しつつあるAR技術の基礎と、FacebookのSpark AR Studioを利用したAR体験を作成する方法について説明する。

「教師と生徒の皆さんに、2020年7月6日から始まるプログラムへ申し込むことを奨励します」と声明で述べているのは、インドの人材開発大臣であるRamesh Pokhriyal(ラメシュ・ポクリヤル)氏だ。

最近のFacebookは、同国内における同社のサービスの悪用に直面しているために(未訳記事)、テクノロジーの危ない側面についての意識を高めるための取り組みを強化している。昨年同社は、通信業界の大手Reliance Jio Platforms(リアイアンス・ジオ・プラットフォームズ)と提携し、最終的には57億ドル(約6100億円)を投資する予定で、国内初のインターネットユーザー向けに「これまでで最大のデジタルリテラシープログラム」である「Digital Udaan」を立ち上げた(未訳記事)。インドはユーザー数で見るなら、Facebookの最大の市場だ。

Jed FoundationならびにYoung Leaders for Active Citizenshipと共同で開発されたInstagramの「Guide for Building Healthy Digital Habits」(健康的なデジタル習慣を構築するためのガイド)は、若者たちが自分たちの活動する「社会感情的な空間」をよりよく理解し、健全な対話を行えるようにすることを狙っている。

「CBSEが『Digital Safety and Online Well-being, Instagram Toolkit for Teens and Augmented Reality』(10代の若者のための、デジタル安全性とオンライン上の健全な活動向けInstagramツールキット)モジュールを導入した、唯一の委員会であると発表できることを誇りに思っています。テクノロジーとデジタル安全性を学校のカリキュラムに組み込むことで、生徒はデジタル経済で成功するための知識を得るだけでなく、安全なオンライン環境で学習し、協力することができるのです」と声明で語るのは、CBSEの会長であるManoj Ahuja(マノジ・アフジャ)氏だ。

7月5日のこの発表は、サイバーセキュリティへの懸念を巡って、中国で開発された60近くのサービスがインド政府によってブロックされることで始まった、注目すべき週を締めくくるものとなった。インド政府の禁止命令を受けたサービスの1つであるTikTokは、アジアで3番目に大きいこの経済圏を、中国以外では最大の市場として扱っていた。

中国の巨人ByteDanceが運営するこのサービスは、インドの2億人以上のユーザーに利用されていて、そのほとんどは小さな町や都市に住んでいる。TikTok は昨年から、インドの多数のコンテンツ作成者や企業と協力して、教育用ビデオをその短編ビデオサービスを通じて投入し始めていた。

画像クレジット: MANJUNATH KIRAN / AFP

 

原文へ

(翻訳:sako)

投稿日:

研究者にデータへの「有意義な」アクセス権を与えることとプライバシーは両立する

欧州委員会の委員らは年末までに起草予定のデジタルサービス法(Digital Services Act :DSA)に盛り込まれる透明性要件を討議中である。これはインターネットプラットフォームに対し拘束力を持つ要件である。しかし、規制当局や研究者にデータへの有意義なアクセス権を提供し、プラットフォームが自ら拡散するコンテンツに対し責任を負うことができるようにするガバナンス構造をどう構築するかという問題は一筋縄ではいかない。

データを外部に公開するというプラットフォーム自身の取り組みは、控え目に言っても困難なものになっている。2018年、FacebookはSocial Science Oneイニシアチブを発表し、厳選された研究者グループに対し約1ペタバイト相当のデータおよびメタデータを共有するアクセス権を提供すると述べた。しかし、研究者がデータにアクセスできるようになるのに約2年かかった。

「私の人生の中で最もストレスのたまる出来事でした」と、このイニシアチブに参加した研究者の1人は今年始めProtocolに語った。公開されるデータを厳密に決めるFacebookとの交渉は20ヶ月にも及んでいた。

Facebookの政治的広告アーカイブAPIも同様に研究者を苛立たせている2019年、Mozillaは「Facebookは自らのプラットフォームに掲載される全広告の全体像をつかむことを不可能にしている(これは彼らがやっていると言っていることのまさに逆の行為である)」と述べ、同社による上辺だけの透明性を非難した。

一方Facebookは、米国のFTCによる介入後に同社の事業に付された欧州データ保護規則およびプライバシー要件を指摘し、データへのアクセスに関する進展が遅々としていることを正当化している。しかし、Facebookを非難する人々は、これが皮肉にも透明性や説明責任から逃れる隠れ蓑になっていると主張している。さらに言えば、そもそもこれらの規制はいずれもFacebookが人々のデータを取得することを妨げてはいないのである

2020年1月、欧州の主要データ保護規制当局はデータ保護および研究に関する予備的見解を書き、透明性や説明責任逃れに対し警告を発している。

EDPSのWojciech Wiewiorówski(ヴォイチェフ・ヴィエビオロフスキ)氏はその見解の中で、「支配的力を持つ企業が、透明性や説明責任を逃れる手段としてデータ保護の義務を悪用することがあってはならない。それゆえ倫理的なガバナンスフレームワーク内で研究活動を行っている研究者は、有効な法的根拠を持ち、比例性原則と適切な保護手段を条件として、必要なAPIやその他のデータへアクセスできるようにすべきである」と記した。

もちろん、Facebookだけが反則者というわけではない。Googleは、同社が「透明性」を主張する領域で、自らがリリースするデータを極めて厳重に管理し、ユーザーデータへのアクセスを厳格に掌握していることを根拠に自らを「プライバシーの擁護者」としてブランド化している。一方、Twitterは何年にもわたり、そのプラットフォーム内でのコンテンツの流れを把握することを目的とした第三者による研究を非難していた。TwitterのAPIはプラットフォームの全データやメタデータへの完全なアクセスを提供するわけではないので、そうした研究は全体像を説明するものではないと主張していたのである。これは説明責任を回避するもう一つの便利な隠れ蓑である。

最近、同社は研究者に対し期待を抱かせる発表を行った。ルールを明確にするために開発ポリシーを更新し、またCOVID関連のデータセットを提供するというのである。ただしそのデータセットに含まれるツイートをTwitterが選択するという点に変更はない。つまりTwitterが研究に対する実権を握ったままというわけである。

AlgorithmWatch(アルゴリズムウォッチ)による新たなレポートは、プラットフォームがデータへのアクセスを仲介することによって説明責任を回避するという、複雑に絡み合った問題に取り組んでいる。レポートでは、議論されているガバナンス構造の中でも特に医療データへのアクセスを仲介する方法からインスピレーションを得るといった、透明性を実現し、研究を強化するための具体的なステップが示唆されている。

目標:研究者に対しプラットフォームデータへの「有意義」なアクセス権が提供されること。(あるいは、レポートのタイトル通り:プラットフォームガバナンスにおける研究アクセスの運用:他の業界から何を学ぶか?)

「その他の多くの業界(食品、輸送、消費財、金融など)には、説明責任と公益を実現するための厳格な透明性ルールが適用されています。COVID-19が大流行し、私たちは仕事、教育、人とのつながり、ニュース、メディア消費においてオンラインプラットフォームへの依存度を強めています。そんな時節だからこそ、透明性のルールをオンラインプラットフォームにも適用する必要があります」と、Jef Ausloos(ジェフ・オスルース)氏はTechCrunchに語っている。

同レポートの執筆者らが読者として想定しているのは、ガバナンスフレームワークをいかに効果的なものにするかを熟考中の欧州委員会の委員である。レポートでは、独立したEU機関が、データを公開する企業とデータの受け手との間を仲介する形での、義務的データ共有フレームワークが提案されている。

もちろん、こうしたオンライン管轄機関が検討されたのは初めてではないが、ここで提案されているのは、欧州で提案されている他のインターネット管轄機関よりも目的の点で限定的である。

レポートの要旨には、「この機関は、安全な仮想運用環境、公共データベース、ウェブサイト、フォーラムなどを含むアクセスインフラストラクチャを管理するとともに、開示にふさわしいデータを確保するため、企業データの検証および前処理に重要な役割を担う」と書かれている

オスルース氏は、このアプローチについてさらに踏み込み、現在の「データアクセス」に対する信頼の行き詰まりを打開するためには「二元的思考」から離れることが重要であると主張している。「開示vs不透明/不明化、とういう二元的思考ではなく、様々な度合いのデータアクセス/透明性を備えた、より繊細で階層化されたなアプローチが必要です。そうした階層化されたアプローチなら、データを要求する側のタイプや目的に合わせ柔軟に対処することができます。」

市場調査目的の場合は、極めて高いレベルのデータにしかアクセスできないが、学術機関による医学研究の場合は、厳格な要件(研究計画、倫理委員会審査による承認など)を満たすことを前提に、よりきめ細かいアクセスが与えられるというのはどうか、と彼は提案している。

「これを促進し必要な信頼を生み出すためには、独立した機関が間に立つことが必要不可欠なのではないでしょうか。私たちは、管轄機関の任務は特定の政策からは切り離されている必要があると考えています。その機関は、データ交換に必要な技術的・法的環境を整える、透明性/開示の促進者としての役割に集中すべきです。このようにして整えられた環境は、メディア/競争/データ保護/などの規制当局がその執行措置のために利用することができます。」

オンラインプラットフォームを監督する独立管轄機関設立に向けて多くの議論があるが、その中であまりに多くの任務と権限が提案されているため政治的コンセンサスを得るのが不可能となっているとオスルース氏は言う。透明性/開示に関し限定された権限を託された無駄のない組織こそ様々な反対意見を切り抜けられる、というのが彼の持論である。

Cambridge Analytica(ケンブリッジ・アナリティカ)の悪名高い例が「研究のためのデータ」に大きく立ちはだかっているのは確かである。この企業は、ケンブリッジ大学の研究者を雇いアプリを使ってFacebookユーザーのデータを取得し、政治的な広告の対象を絞り込むという恥ずべき行為を行った会社として知られている。Facebookはこの大きなプラットフォームデータの誤用スキャンダルを平気で、データを開示させることを目的とする規制法案を撃退するための手段とした

しかし、Cambridge Analyticaの例は、透明性、説明責任、プラットフォーム監視の欠如が招いた直接的な結果である。また、データを使用された人々から政治的な広告の対象となることへの同意を得られていなかったことを考えると、もちろんこれは大きな倫理的失敗でもある。したがって、これはプラットフォームデータへのアクセスの規制に対する反論としては全く良い議論ではないように思われる。

自己本位のプラットフォームジャイアントがこのような「シャープではない」技術的論点を、ガバナンスに関する話し合いへの働きかけに使用しているのを受け、AlgorithmWatchのレポートは、こうした議論に対する歓迎の意を伝えるとともに、現代のデータジャイアントを管理する効果的なガバナンス構造をどう構築するかについて堅固な提案を行っている。

レポートでは、階層化されたアクセスポイントに関し、プラットフォームデータへ最もきめ細かいアクセス権が与えられる場合は、最も厳密な管理の対象となることが示唆されている。これは医療データモデルを参考にしたものだ。「ちょうどFindata(フィンデータ:フィンランドの医療データ機関)が現在行っているように、きめ細かいアクセスについては、独立機関により管理された閉鎖仮想環境でのみ有効にすることもできます」と、オスルース氏は述べている。

同レポートで論じられているもう一つのガバナンス構造は、European Pollutant Release and Transfer Register(欧州環境汚染物質排出・移動登録制度:E-PRTR)である。同レポートではこれを、透明性を奨励し、それによって説明責任を果たさせる方法を引き出すための研究事例として取り上げている。この制度はEU全域での汚染物質の排出報告を管理するものである。これにより専用のウェブプラットフォームを介して排出データを独立したデータセットとして自由に誰でも利用できる。

同レポートはE-PRTRについて、「一貫した報告の仕組みがあるため、報告されたデータに信憑性、透明性、信頼性があり比較可能であることを保証することができ、その結果信用を築くことができる。企業側はこれらの完全性、一貫性、信頼性の基準を満たすため、可能な限り最善の報告手法を用いるよう勧告されている」と述べている。

さらに、「こうした透明性の形式を通して、E-PRTRは欧州の企業に対し、一般社会、NGO、科学者、政治家、政府、規制当局へ向けた説明責任を課そうとしているのである」とも説明している。

EUの委員らは、ある特定のコンテンツに係る問題への説明責任を実現する手段として、少なくとも違法なヘイトスピーチなど論争の少ない分野で、法的拘束力のある透明性要件をプラットフォームに課す意思を表明すると同時に、(非個人的な)データの再利用を促進することにより、ヨーロッパのデジタル経済を活性化させる包括的な計画を打ち出している。

研究開発やイノベーションをサポートするために産業データを利用することは、野心的なデジタルフォーメーションの一環として欧州委員会が今後5年間で行おうとしている、テクノロジーを駆使した優先政策の重要施策である。

これは、EUの委員らがデータの再利用を通した研究を可能にする基本的なデジタルサポート構造を作るというより広い目標を推進していることを考えると、プラットフォームデータを公開させようとする地域的な動きは、説明責任を実現するだけにとどまらない可能性が高いことを示唆している。したがって、プライバシーを尊重する形でデータを共有するフレームワークを作り込むことができれば、公的機関により管理されたデータ交換をほぼ何もせずに可能にするよう設計されたプラットフォームガバナンス構造を欧州で実現する可能性は高いだろう。

「汚染に関する研究事例で扱ったように、説明責任を果たさせることは重要です。しかし、研究を可能にすることも、少なくとも同じくらい重要です。特にこれらのプラットフォームが現代社会の基盤を構成していることを考慮すると、社会を理解するためにデータを開示する必要があります」と、アムステルダム大学情報法研究所でポスドク研究を行っているオスルース氏は言う。

AlgorithmWatchのプラットフォームガバナンスプロジェクト責任者のMackenzie Nelson(マッケンジー・ネルソン)氏は声明の中で、「DSAに向け、透明性に関する措置を検討する際、システムを再発明する必要はありません。同レポートは、委員会がユーザーのプライバシーを保護しつつ、必要不可欠な研究を行うため主要プラットフォームのデータへ研究者がアクセスすることを可能にするフレームワークをデザインするにあたり、どのようにすべきか具体的な提案を行っているのです」と説明している。

レポート全文は、ここで読むことができる。

関連記事:グーグルがプライバシーポリシーを一部変更、ユーザーがデータを自動削除可能に

カテゴリー:セキュリティ

タグ:プライバシー コラム

[原文へ]

(翻訳:Drgonfly)

投稿日:

欧州警察が暗号化チャットアプリ「EncroChat」にマルウェアを仕込み犯罪者1000人以上を逮捕

数百人以上に及ぶ麻薬ディーラーやその他の犯罪者が現在勾留されている。これは不法行為に関する情報交換に用いられていると報じられていた暗号化チャットシステムに、ヨーロッパの警察(EURPOL、欧州刑事警察機構)が侵入した成果だ。この一見安全な通信方法が完全に失敗したことで、犯罪に焦点を当てた技術を使う闇業界に、沈静化の影響が及ぶ可能性がある。

この「ベネティック作戦」は、さまざまな警察機関、主要な地方ニュースソース、そして特に影響を受けたグループ内の人々の声を広く引用しつつニュースメディアのMotherboardが活気に満ちたかたちで報じた(英National Crime AgencyリリースEURPOLリリースBBC記事Motherboard記事)。

この作戦には、フランス、オランダ、英国、およびその他の国の多くの機関で働く何百人もの警察官が関与した。これは2017年に始まり、2か月前にEncroChat(エンクロチャット)と呼ばれるサービスがハッキングされ、何万人ものユーザーのメッセージが警察の監視にさらされてフィナーレを迎えた。

EncroChatは、Signal(シグナル)やWhatsApp(ワッツアップ)などの暗号化されたチャットアプリに比べて、いくつかの点で強化されている。EncroChatは、かつてのBlackberry(ブラックベリー)のように、カスタマイズされたハードウェア、専用OS、および独自のサーバーをユーザーに提供し、1回の購入やダウンロードでお終いではなく、年間数千ドル(約数十万円)の費用がかかる高額なサービスを提供していた。

サービス上のメッセージはおそらく非常に安全で、後から会話を編集できるようにすることで否認能力が組み込まれていた。つまり理論上はユーザーは何かを言わなかったと主張することができる。MotherboardのJoseph Cox(ジョセフ・コックスは)氏は、この会社にずっと目をつけていて、その主張や運用についてはるかに詳細を握っていた(Motherboard記事)。

画像クレジット:EncroChat

言うまでもなく、犯罪者たちの期待は完全に正しいものではなかった。2020年初頭のある時点で、警察はEncroChatシステムに、ユーザーの会話や画像を完全に暴くマルウェアを注入することに成功したからだ。このアプリが信頼されていたおかげで、麻薬取引、殺人、その他の犯罪について公然と話し合っていた。おかげで彼らは、法執行機関から簡単に狙われる存在になったのだ。

この春の期間中、(彼らにとって)驚くほどの頻度で、犯罪行為が暴かれていたが、ユーザーとEncroChatが事態を把握できたのは5月になってからだった。同社はユーザーに警告し、アップデートを配信しようとしたが、秘密は暴かれてもう手遅れだった。作戦が広く知られたことを見て、ベネティック作戦チームは攻撃を仕掛けた。

これに関連して複数の国々で逮捕された。多数のサブ作戦があったが、フランスとオランダが主戦場で、人数は合計で1000人近くだが正確な数は明確になっていない。数十丁の銃、数トンの麻薬、数千万ドル(約数十億円)相当の現金が押収された。さらに重要なことに、今回押収された通信記録からは、通常の取り締まりでは押さえられないような上流組織の人物も特定されたようだ。

違法行為に焦点を当てた最も人気のある暗号化されたチャット会社が、国際当局によってこうも完全に破壊される可能性があるという事実は、この先おそらくその勢いに水を浴びせることとなるだろう。とはいえ、FBIが常に神経を尖らし続けている、暗号化に対する米国内の動きと同様に、こうした出来事は長期的にはツールの強化につながっていくだろう。

原文へ

(翻訳:sako)

投稿日:

Zoomが期限までに初の透明性レポートを公開せず、年内開示の予定

これまでにZoom(ズーム)は政府から何件のユーザーデータ要求を受けたのか。Zoomの最新ブログ投稿からするに「今年後半」までわかりそうにない。ビデオ会議大手のZoomは以前、政府からの要求件数を6月30日までに公開すると言っていた(Internet Archive)。しかしその期限は過ぎ、情報開示の新たな期日も示さなかった。

新型コロナウイルスパンデミックで多くの人が在宅勤務をすることになってユーザーベースが急増し、その後多くのセキュリティ問題プライバシーの懸念(未訳記事)が明るみに出てからというもの、同社のサービスに対して厳しい監視の目が向けられている中での今回の情報開示遅れだ。

方針転換について同社は米国の7月1日のブログで、ZoomのCEOであるEric Yuan(エリック・ヤン)氏は「データや記録、コンテンツに関して社が受けた要求についての情報を詳細に示す透明性レポートのためのフレームワークとアプローチを明確にする大きな進展があった」と述べた。「今年後半に初のレポートで会計年度(第2四半期)データを提供することを楽しみにしている」とも書いた。

透明性レポートは、ユーザーデータに関する政府からの要求やリクエストの件数についての貴重な知見を提供するものだ。こうしたレポートは義務ではない。しかし政府の監視のスケールやスコープを知るうえで重要だ。

Zoomは先月、米国拠点の2つのアカウントと香港の活動家の1つのアカウントを中国政府の要求を受けて一時停止したことを認めた後に、同社初の透明性レポートを公開すると述べた。アカウント一時停止の対象となった中国拠点ではなかったユーザーは、天安門事件を記念してZoomで会議を開いた。このイベントは中国本土で秘密のうちに検閲を受けていた。

同社はその際「サービスを展開するその地域の該当法律を守らなければならない」と述べたが、あとに中国本土外のユーザーに影響を及ぼす中国政府からの要求を認めないようにするためにポリシーを変更する、とした。

Zoomの広報担当はコメントしなかった。

画像クレジット: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:Mizoguchi