投稿日:

マイクロソフトは現在攻撃にさらされているIEのセキュリティバグを修正へ

Microsoft(マイクロソフト)は、IE(Internet Explorer)に影響を与えるセキュリティ上の欠陥が、現在ハッカーによって悪用されているいることを認めたが、修正する緊急の計画はないという。

画像クレジット:Bloomberg/Getty Images

米国国土安全保障省の1部門で、大きなセキュリティ欠陥の報告を担当しているUS-CERTは、深夜のツイートで、そのバグについて詳細に説明しているセキュリティ諮問機関へのリンクを共有し、「野放しにされ、悪用されている」と述べた。

Microsoftは、現在サポートしているすべてのバージョンのWindowsが、この脆弱性の影響を受けることを明らかにした。そこには、今週以降セキュリティ更新プログラムを受け取らなくなるWindows 7も含まれる。

問題の脆弱性は、IEのメモリの扱い方に潜んでいる。攻撃者は、この欠陥を利用して、対象のコンピューターで悪意のあるコードをリモートから実行することができる。たとえば、ユーザーが検索したり、電子メールで送られてきたリンクを開こうとする際に、騙して悪意のあるウェブサイトを開かせたりする。

この脆弱性は、Firefoxブラウザーの開発元、Mozillaが先週の始めに公開したものと同様のものと考えられている。MicrosoftもMozillaも、この実際に攻撃にさらされている欠陥を発見したのは、中国に本拠を置くセキュリティ研究チーム、Qihoo 360だと認めている。ただしQihoo 360は、週の初めにInternet Explorerの欠陥に関するツイートを削除したと伝えられている

Qihooも、Microsoftも、Mozillaも、攻撃者がそのバグをどのように悪用しているのか、攻撃者は誰なのか、誰が標的にされているのかなど、何も述べていない。一方、米国政府のサイバーセキュリティの諮問機関は、現状の悪用に関する警告を発行した。

MicrosoftはTechCrunchに対して、「限定的な標的型攻撃を認識していて、修正に取り組んでいます」と述べたが、次回は2月11日に予定されている毎月のセキュリティ修正までにパッチをリリースする可能性は低いようだ。

Microsoftは、このバグに、共通脆弱性識別子CVE-2020-0674を割り当てたが、まだバグの具体的な詳細はリリースしていない。

TechCrunchの問い合わせに対して、Microsoftの広報担当者はコメントを返していない。

(関連記事:MozillaFirefoxの新セキュリティバグが攻撃を受けていると報告

原文へ

(翻訳:Fumihiko Shibata)

投稿日:

クラウドのデータを保護するCyralが約12億円を調達

画像:Colin Anderson Productions pty ltd / Getty Images

米国時間1月16日、クラウドのリポジトリに保管されたデータを保護するアーリーステージのスタートアップのCyralが、シリーズAで1100万ドル(約12億1000万円)を調達したと発表した。同社はこれまでにエンジェル投資で410万ドル(約4億5000万円)を調達していたことも明らかにし、調達の合計額は1510万ドル(約16億6000万円)となった。

シリーズAを主導したのはRedpoint Venturesで、A.Capital Ventures、Costanoa VC、Firebolt、SV Angel、Trifecta Capitalも参加した。

Cyralの共同創業者でCEOのManav Mital(マノブ・ミタル)氏は、同社の製品はデータベース、データレイク、データウェアハウス、その他のデータリポジトリといったクラウドのデータリポジトリ上のセキュリティレイヤーとして動作し、構成の欠陥や異常なアクティビティなどの問題を特定するのに役立つと語る。

ミタル氏によれば、Cyralは同種のほとんどのセキュリティデータ製品のように、データに何かが起こっていることを示す信号を検出しようとするエージェントやウォッチポイントを使用するのではなく、データに直接アタッチされるセキュリティレイヤーだという。

「Cyralのイノベーションの核となっているのは、可視化されたレイヤーをデータのエンドポイントと、アプリケーションサービスとユーザーがエンドポイントと通信するインターフェイスに直接アタッチし、リアルタイムで通信を確認できるようにすることだ」とミタル氏は説明する。

同氏は例として、誰かが突然クレジットカードのデータをスキャンし始めたり、暗号化されていない接続でデータベースにコネクトしようとしているのをCyralは検知できると語る。こうしたケースにおいてCyralは、問題を検知し、構成に応じて顧客のセキュリティチームが問題に対処できるようにアラートを送信したり、セキュリティチームに通知する前に自動でデータベースへのアクセスを遮断したりする。

Cyralはまだアーリー段階で、従業員は15人、アーリーアクセスの顧客が少数いるだけだ。ミタル氏は今回のラウンドは、設計に優れ使いやすいプロダクトの構築に取り組むためのものだと述べている。

ミタル氏は人々が抱えている問題を解決しようとしているのだという。「どの企業もこうした問題について心配している。だから関心を持ってもらうことは難しくなかった。とにかく我々は優れた製品を作っていきたい」。

[原文へ]

(翻訳:Kaori Koyama)

投稿日:

グーグルはChromeでのサードパーティCookieのサポートを2年以内に段階的に廃止

Google(グーグル)は米国時間1月14日、今後2年以内にChromeでのサードパーティ製Cookieのサポートを段階的に廃止する計画を発表した。こうしたCookieは、通常はウェブ上のユーザーを追跡するために使われる。そのサポートをグーグルが廃止すること自体は驚きでも何でもない。というのも、同社はすでに「プライバシーサンドボックス」など、Chromeのプライバシーに対する配慮を強化すると発表していたからだ。しかし、この攻撃的とも言えるタイムラインは初耳であり、他の業界をも巻き込んだ議論に発展する可能性もある。

画像クレジット:Jaap Arriens/NurPhoto/Getty Images

「これは、ウェブの規格を再設計するという、グーグルの戦略です。プライバシー保護を標準機能にするためです」と同社Chromeエンジニアリング担当取締役のJustin Schuh(ジャスティン・シュー)氏は述べた。「サードパーティ製のCookieについては、あれこれ取り沙汰されていますが、追跡メカニズムの1つであることは確かです。そして単に追跡メカニズムの1つなだけですが、多くの人が注目しているものであるため、特にこれを名指しで取り上げているのです」。グーグルのチームは、他にもフィンガープリンティングの防止などに取り組んでいる。

今年2月から、同社はクロスサイトトラッキングを制限するための手法も、いくつか実装する予定だ。新たなSameSite(セイムサイト)ルールを施行し、サードパーティのものとしてラベル付けされたCookieには、HTTPS接続でのみアクセスできるよう強制する。この新たなSameSiteルールについて、グーグルは過去数カ月にわたって一部のChromeユーザーでテストしてきた。そのルールは若干複雑だが、全体的な考え方としては、他の人にもCookieを使わせたい開発者は、そのことを明示的にラベル付けする必要があるというもの。

ただし、そのような措置をはるかに超え、グーグルは今後2年間でChromeからサードパーティ製Cookieのサポートを完全に削除する予定としている。しかし、それは広告業界と出版社にとって非常に大きな変化をもたらすことになる。そうした会社は、ウェブ上のユーザーを、良くも悪くも、追跡するマーケティング担当者の能力に、たいていは依存しているからだ。それに対するグーグルの解決策が「プライバシーサンドボックス」というわけ。理想的には、ユーザー自身の情報と、ユーザーのブラウジング履歴を可能な限り秘匿しながら、引き続き広告業者は関連性の高い広告を表示できるようになる。

しかし、実際にこれがどのようなものになるのか、まだよくわからない。多くのアイデアはまだ流動的なのだ。ただし、シュー氏によれば、グーグルとしてこれを単独で実行することは望んでおらず、これをウェブ規格とするためのプロセスを踏む予定だという。同氏は、来年あたりから同社が試行を開始し、広告業者と出版社には、この開発中の新しいシステムに移行を開始してもらう計画を明らかにした。

とはいえ、これは大がかりな変更となるため、グーグルが何らかの抵抗に遭遇するのは間違いないだろう。「私たちの提案すべてについて、全員が賛同しているとは言いません」とシュー氏は認めた。「しかし、いたるところで提案のいくつかは非常に好意的に受け取られています。そうでないものついては、代替案を受け入れる用意もあります。それが、プライバシーとセキュリティを重視したものであればですが。つまり、私たちが期待しているのと同じレベルの予測可能性を持っていればという条件です。というのも、私たちは現在のウェブに一時しのぎの対策を施したいとは考えていません。ウェブのアーキテクチャを修正したいのです。それ以外に選択肢はないとも考えています」。

しかしそのためには、他のブラウザーベンダーを含め、グーグル以外の企業や人も参加する必要がある。シュー氏は、その可能性について楽観的なように見える。それがユーザーにとって、最大の利益となるから、というのもあるだろう。「ウェブを分断したくありません」と彼は言う。「ブラウザーごとに異なることに対し、模索しながら個別に対応しなければならないという状況にしたくはないのです。仮に個々のブラウザーが詳細部分で違うことを選択していたとしても、一定レベルの一貫性が必要です」。

現在では、MozillaのFirefoxなど、Chromeの多くの競合ブラウザーは、多くのサードパーティCookieを単にブロックするという、かなり強行なアプローチを採っている。グーグルは、それではウェブが損なわれてしまうとして、業界に対して回避策を見つけるよう促すしかないとしている。

同社の最近のすべてのプライバシーについての提案と同様、この提案について業界がどう反応するかを見るのは興味深い。広告エコシステムにおけるグーグル自身の役割を考えると、同社はこの問題を正しく解決して、ウェブ上の広告エコシステムを健全に保つことに、経済的利害があるのは明らかだ。

原文へ

(翻訳:Fumihiko Shibata)

投稿日:

GoogleアカウントのセキュリティキーとしてiPhoneも使えるように

半年以上前にGoogle(グーグル)はAndroidスマホをセキュリティキーとして使えるようになる、と発表した。その機能がiPhoneにもやってくる。

Googleは、ジャーナリストや政治家といった常にリスクを抱えるユーザーが、YubicoGoogle Titan keyのような物理的セキュリティキーを使わなくても追加のアカウントへアクセスできるようにし、そしてそうしたユーザーにセキュリティセーフガードを提供できるよう、iPhoneをセキュリティキーとして使えるようにすると発表した。

2段階認証はオンラインアカウントを保護するベストな方策の1つだ。一般的にコードやスマホへのノーティフィケーションを用いる。セキュリティをさらに高める追加のレイヤーとなり、最も洗練されたリソース豊富なハッカーでもアカウントへの侵入が難しくなる。ハードウェアのキーはより強固だ。Googleのデータでは、セキュリティキーは2段階認証において最も優れたもので、スマホに送られるテキストメッセージのような他のオプションを上回ることが明らかになっている。

リスクを抱える人がアカウントを安全に利用できるようにする取り組みの一環として、iPhoneをセキュリティキーとして使えるようにするとGoogleは述べた。外国からの干渉が懸念される、きたる2020年米国大統領選を特に意識している。

画像クレジット:NurPhoto / Getty Images

[原文へ]

(翻訳:Mizoguchi)

投稿日:

Instagramがウェブ版ダイレクトメッセージを近く公開、暗号化には懸念の声

Instagramのユーザーは近くウェブ版でチャットできるようになる。これは歓迎すべきアップデートだが、一方で現在広く使われているブラウザはモバイル・アプリのような強力な暗号化をサポートしていない。そのためすべてのメッセージ・アプリをエンド・ツー・エンドで暗号化していくというFacebookのセキュリティに関する基本方針との間で問題を作ることになった。

われわれがFacebookはブラウザでInstagramのダイレクトメッセージをテストしていると報じてからほぼ1年たったが、ブラウザ経由のDMの公開が始まった。今のところ対象は少数のユーザーだが、地域は世界各地に広がっている。

この機能が広くロールアウトされればブラウザのInstagramのユーザーもDMが届いていることを知ることができるようになる。またアプリの場合と同様、新しいメッセージスレッドを開始できる。グループチャットや写真その他の添付も可能になる(ただし写真を取ってその場で送信することはできない)。またダブルクリックで「いいね!」して、その投稿をDMで共有することも可能だ(ゴシップやミームの拡散に好適かもしれない)。ビデオを送付することはできないが、恒久的にアップされたビデオであれば再生はできる。InstagramのCEOであるAdam Mosseri(アダム・モッセリ)氏は「若干の問題が解決されたらすぐに一般向けに公開できると思う」と ツイートしている

ウェブのダイレクトメッセージはオフィスワーカーや学生に便利だ。こうしたユーザーは1日中デスクの前に座ってコンピュータのスクリーンを眺めていることが多い。こういう場合、スマートフォンでなければ利用できないチャットサービスは使い勝手が悪い。しかもSnapchatのStories機能を容赦なくコピーしてこれを追い抜いたInstagramにとって、ダイレクトメッセージをできる限り広い範囲のユーザーに届けることは極めて重要だ。Snapchatはビジュアルな機能に強く、手軽に連続投稿やチャットができるためティーンエージャーに依然高い人気がある。

他方、Facebookの元最高セキュリティ責任者のAlex Stamos(アレックス・ステイモス)氏は「これは興味ある展開だ。(DMをウェブ版に導入するのは)Facebook、Instagram、WhatsAppで共通のエンド・ツー・エンドで暗号化を実現するというこれまでの方針に正面から逆行するものだ。これまで誰もブラウザベースの安全なエンド・ツー・エンド暗号化を実現できたものはいない。私はFacebook Messengerがウェブのサポートを止めるのではないかと思っていた」とツイートした

1年前にFacebookは最終的にはFacebook Messenger、WhatsApp、Instagram Directでメッセージ規格を統一することを計画していると発表した。つまりこれが実現すればどのアプリのユーザーも他のアプリのユーザーと自由にチャットできるようになるわけだ。これには暗号化規格の共通化も含まれるということだったが、完成までには何年も要すると思われた。ここで要求されたセキュリティのレベルがエンド・ツー・エンドで、つまりメッセージの送信者と受信者以外は誰もメッセージ内容を見ることができないというものだ。つまりFacebook自身もハッカーも捜査機関も内容を知ることができないものとなる。

しかしステイモス氏の説明によれば、セキュリティ専門家はこれまでウェブ版Instagramを動作させているJavaScript環境で堅牢な暗号化を実現することができなかったという。ただし同氏も「今後は可能になるかもしれない」と可能性を認めている。しかしもっと問題なのは「(ウェブ版アプリの場合)ベンダーは誰でも自由にアクセスできる形でコードを公開している。つまり特定のユーザーのウェブアプリのコード中にバックドアを挿入することはモバイルアプリの場合よりはるかに簡単だ。モバイルアプリの場合、攻撃者はFacebook/InstagramだけでなくApple、Googleのアプリストアにも侵入して(コードを)改変しなければならない」という。

「この問題を解決するのは非常に困難であり、WWWそのものの仕組みを根本的に変える必要がある」とステイモス氏は書いている。 TechCrunchではモバイル分野の専門家である
Jane Manchun Wong(ジェーン・マンチュン・ウォン)氏が昨年2月にツイートしたときからInstagramがウェブにおけるチャットを準備していることに気づいていた。TechCrunchではInstagramにエンド・ツー・エンド暗号化の詳細について尋ねた。これに対し、Instagramの広報担当者から「モバイル版のInstagram Directでは暗号化は行われていない。FacebookグループはE2E暗号化およびチャットサービスの統合、標準化に現在も取り組んでいる」という回答があった。

Facebookの批判者はチャット・サービスの統合は反トラスト法によりFacebook、Instagram、WhatsAppが分割されるのを防ぐための目くらましだと主張している。しかし、FTC(連邦通信委員会)との和解条件として50億ドルの制裁金とさまざまなプライバシーの強化と透明性の確保のための施策を実施することを課されているものの、Facebookは既定のコースを進んでいる。

個人的にはこれは歓迎すべき展開だ。ウェブのInstagramでダイレクトメッセージが簡単に利用できるようになればいちいちポケットからスマートフォンを引っ張り出さなくてすむし、そこで何か別の興味あることを発見して仕事中に脇道に引っ張りこまれるのを防げる。Instagramがスタートしてから10年近く、ダイレクトメッセージ機能が追加されてからもすでに6年経っている。そろそろ単なる写真を共有するエンタテインメントから実用的なユーティリティーサービスに進化してもいい頃合いだろう。

[原文へ]

(翻訳:滑川海彦@Facebook

投稿日:

Cloudflareが米政治キャンペーンに無料でセキュリティツールを提供へ

ネットワークセキュリティ大手のCloudflare(クラウドフレア)は、次期米国大統領選挙におけるサイバー攻撃や選挙妨害に対抗するための手段として、同社のセキュリティツールとサービスを政治キャンペーンへと無償で提供すると発表した。

同社によると、新製品となるCloudflare for Campaignsには、分散型サービス拒否(DoS)攻撃の軽減、キャンペーンサイトのロードバランシング、ウェブサイトのファイヤーウォール、ボット対策などが含まれるという。

これは、破壊的なサイバー攻撃からの保護を目的とした「Project Galileo」のもとで、ジャーナリスト、公民権活動家、人道団体向けに提供されているCloudflareのセキュリティサービスを拡大したものだ。2018年には、有権者登録データやその他の選挙インフラを含むサーバを攻撃から保護する目的で、このプロジェクトは州や地方自治体の小規模なサイトに拡大された。

同社は現在、17の大統領選キャンペーンのうち11カ所においてセキュリティサービスを提供しているが、そのサービスが「大規模なキャンペーンだけでなく、小規模なキャンペーンでも利用できる」ことを明確にしたいと考えている。

Cloudflareの共同創業者でCEOのMatthew Prince(マシュー・プリンス )氏によると、キャンペーンを保護する「明らかな必要性」が存在するのは、ウェブサイトが公開されているからだけでなく、社内のデータセキュリティも守るためでもあるという。

同社は無党派の非営利団体であるDefending Digital Campaignsと協力し、キャンペーンにサービスを提供すると伝えている。昨年に連邦選挙委員会は、以前は選挙資金法にて違反であったサイバーセキュリティ支援に関する割引を、政治キャンペーンが受けられるように規則を変更した。

[原文へ]

(翻訳:塚本直樹 Twitter

投稿日:

Kubernetesのバグ褒賞金制度は多数のセキュリティ研究者の参加を期待

Cloud Native Computing Foundation(CNCF)が米国時間1月14日、Kubernetesの初めてのバグ褒賞金事業(bug bounty)を発表した。Kubernetesは、最初Googleが作ったコンテナオーケストレーションシステムで、現在、至るところで使われている。このバグ褒賞金制度はCNCFとGoogleとHackerOneが共同で運営し、賞金額は100ドル(約1万1000円)から最高1万ドル(約110万円)までとなっている。

KubernetesにはすでにProduct Security Committee(セキュリティ委員会)があり、Google自身のKubernetesセキュリティチームが委員になっている。もちろん実際にコードをチェックするのは、外部も含めもっと多くの人びとだ。褒賞金制度ではもっと多くの新たなセキュリティの研究者の参加が期待されており、コードを調べ、バグ調査など行っている人を報いるものになっている。

Googleでコンテナのセキュリティを担当しているプロダクトマネージャーMaya Kaczorowski(マヤ・カツォロフスキ)氏は「Kubernetesにはすでに強力なセキュリティチームとセキュリティへの対応能力があり、最近のKubernetesセキュリティ監査によってそれはさらに強化されている。現在のKubernetesは、過去に例がないほど強力で安全なオープンソースプロジェクトだ。バグ褒賞金制度が立ち上がったことで、セキュリティに対する実践力が上がり、また、すでにバグの検出という重要な仕事をしている研究者たちに報いることができる。今後はもっと多くのセキュリティ研究者が参加して、コードを見る目が増えることを期待したい。Kubernetesのセキュリティ問題の洗い出しとバグ発見活動のバックアップに、財政的支援が加わったことになる」と言う。

褒賞金の対象は、GitHubのリポジトリにあるKubernetesの主要部位すべてだ。チームが特に重視しているのは、認証関連のバグと、故意や不故意による特権(プリビレッジ)のアップ、そしてkubeletやAPIサーバーのリモートコード実行バグだ。CNCFが特に強調するのは、研究者たちがKubernetesのサプライチェーンの全体をよく見ること。この事業と制度の詳細は、ここで確認できる。

関連記事: How Kubernetes came to rule the world…Kubernetesはどうやって世界を支配したのか(未訳、有料記事)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

【緊急】マイクロソフトとNSAがWindows10に影響を与えるセキュリティバグを警告(パッチリリース済)

画像クレジット: Akos Stiller/Bloomberg / Getty Images

マイクロソフト は、Windows 10を実行している何億台ものコンピューターに影響を及ぼす、危険な脆弱性に対するセキュリティパッチをリリースした。

この脆弱性は、CryptoAPIという名で知られている、数十年前から存在するWindows暗号化コンポーネントの中で発見された。このコンポーネントはさまざまな機能を持っているが、その中の1つが、ソフトウェアが改ざんされていないことを証明するために、開発者がソフトウェアにデジタル署名を行う機能だ。しかし、今回発見されたバグによって、攻撃者は正当なソフトウェアを偽装することできるようになり、ランサムウェアなどの悪意のあるソフトウェアを、脆弱なコンピューター上で実行することが容易になる可能性がある。

「そうしたデジタル署名は信頼できる提供者からのもののように見えるため、ユーザーは、ファイルが悪意のあるものであることを知る手段はありません」とマイクロソフトは言う。

カーネギーメロン大学の脆弱性開示センターであるCERT-CCは、その勧告の中で、このバグはHTTPS(またはTLS)通信の傍受および変更にも使用できると述べている。

マイクロソフトは、このバグが攻撃者に積極的に悪用されていることを示す証拠は見つかっていないと述べた上で、バグを「重要」に分類した。

独立系セキュリティジャーナリストのブライアン・クレブス(Brian Krebs)氏が今回のバグの詳細を最初に報告した

国家安全保障局(NSA)は報告者たちとの電話を通して、この脆弱性の存在を確認し、Microsoftが修正を開発できるように詳細を引き継いだことを発表した。

わずか2年前、NSAはMicrosoftに見つけた欠陥を警告する代わりに、Windowsの脆弱性を見つけて利用することで、監視行為を行ったと批判された。同組織はその脆弱性を利用して、脆弱なコンピューターに密かにバックドアを設置する手段であるEternalBlueと言う名の攻撃手段を作成したのだ。しかし、この攻撃手段は後に流出し、多数のコンピューターにWannaCryランサムウェアを感染 させるために利用され、数百万ドル(数億円)単位の損害をもたらした。

NSAのサイバーセキュリティディレクターであるアン・ニューバーガー(Anne Neuberger)氏は、TechCrunchに対して、今回の脆弱性は発見されたあと、脆弱性エクイティプロセス(発見された欠陥をセキュリティ攻撃作戦のために使えるように残すべきか、あるいはベンダーに対して開示するべきかを決定するプロセス)を経たと語っている。バグがMicrosoftに報告される前に、NSAによって攻撃的な作戦に使用されたかどうかは不明だ。

「このような重大な脆弱性が、武器化されるのではなくベンダーに引き継がれたのは心強く感じます」

ニューバーガー氏は、攻撃者がバグを積極的に悪用しているのをNSAは確認していない、というマイクロソフトの調査結果を認めた。

元NSAハッカーであり、Rendition Infosecの創業者であるジェイク・ウィリアムス(Jake Williams)氏はTechCrunchに対して、この欠陥が「兵器化されずに」ベンダーに開示されたことは「心強い」ことだと語った。

「これは一般的なハッカーよりも、政府にとって使いやすいバグなのです」と彼は言う。「これは、ネットワークの中間でアクセスする人間にとって、理想的な攻撃手段となったことでしょう」。

マイクロソフトは、バグが悪用され脆弱なコンピューターたちが激しい攻撃に晒される恐れがあるため、火曜日の一般リリースに先立って、米国政府、軍事、その他の著名な企業に対して、Windows 10および(やはり影響を受ける)Windows Server 2016向けのパッチをリリースしたと言われている。

マイクロソフトは脆弱性の詳細に関して、その存在に気がつく企業がほとんどないように極めて厳しい管理を行ったと、情報筋はTechCrunchに語っている。政府のサイバーセキュリティアドバイザリーユニットである国土安全保障省国家保護・プログラム総局(CISA)など、マイクロソフト社外のほんの一部と、NSAだけが説明を受けたのだ。

CISAはまた、連邦機関に対して脆弱性に対するパッチを早急に適用するよう指示を出した。

ウィリアムス氏は、既に修正されたこの欠陥は、「エンドポイントのセキュリティ制御をいくつでもバイパスできる合鍵」のようなものだったとTechCrunchに語った。

熟練した攻撃者たちは、証明書を取得し盗むことによって、マルウェアを正当なソフトウェアとして偽装させることを、長年試みてきた。昨年攻撃者たちが、コンピューターメーカーAsus(エイスース)の所有する証明書を、ソフトウェア更新ツールのバックドアバージョンに署名するために盗んだ。このツールが会社のサーバーに投入されることで、結果として「数十万」ものAsusの顧客が危険にさらされた。

証明書が紛失または盗難に遭った場合には、それらを使用してアプリ作成者になりすまし、悪意のあるソフトウェアに署名して、元の開発者から提供されたもののように見せかけることができる。

セキュリティ会社CrowdStrikeの共同創業者兼最高技術責任者であるドミトリー・アルベロビッチ(Dmitri Alperovitch)氏は、そのツイートで、NSAが発見したバグは「深刻な問題」だと述べている。

「全員がパッチを当てなければなりません。待っていては駄目だ」と彼は述べている。

原文へ
(翻訳:sako)

投稿日:

ファイル転送サービス「宅ふぁいる便」が3月31日に完全終了、不正アクセスが発端

オージス総研は1月14日、個人向けの大容量ファイル転送サービス「宅ふぁいる便」を3月31日で終了すると発表した。同サービスは、一部サーバーの脆弱性を付いた不正アクセスにより、ユーザー情報が外部に漏洩したことで、2019年1月から運営を休止していた。同社は、大阪ガスの100%子会社。

同社によると、サービス再開に向けて、原因・被害状況調査やセキュリティの点検・強化を進める計画だったが、システムの大幅な再構築が必要であり、時間や費用などを踏まえて総合的に判断した結果、サービスを終了という決断に至ったという。サービス終了とともに特設サイトで提供されていた以下の関連機能についても、2020年3月31日をもってすべて終了する。

  • 宅ふぁいる便に登録されているパスワードをご確認いただける機能
  • 退会のお申し込み受付機能
  • 宅ふぁいる便ポイント交換機能

なお、別システムで稼働している「オフィス宅ふぁいる便」については安全性を確認しており、引き続きサービスを継続するとのこと。

宅ファイル便を一度でも使ったことがあるユーザーが注意したいのは、ログインに使ったID(メールアドレス)とパスワードが漏洩してしまっていること。IDとパスワードを使い回しているユーザーは特に注意が必要で、同じIDと同じパスワードを使っている他サービスについては、なりすましでログインされる可能性がある。

同社ではパスワードを忘れてしまったユーザー向けに上記の特設サイトでパスワードを確認する機能を提供しているが、サービス提供時間が9時〜17時45分と限られている。漏洩に該当してしまうユーザーのことを考えると24時間いつでも確認できるサービスにすべきところで、かなり不親切だ。

投稿日:

MozillaがFirefoxの新セキュリティバグが攻撃を受けていると報告

Mozilla(モジラ)は、ハッカーがFirefoxユーザーを標的として脆弱性を悪用していることをセキュリティ研究者が発見したことを受け、ブラウザを最新バージョンにアップデートするよう警告した。

この脆弱性は、中国のセキュリティ企業のQihoo 360がFirefoxの実行時コンパイラ内で発見した。このコンパイラはJavaScriptのパフォーマンスを向上させ、ウェブサイトの読み込みを高速化する。しかし研究者らはバグによって、悪意のあるJavaScriptがホストコンピュータのブラウザ外で実行される可能性があることを発見した。具体的には、攻撃者は悪意のあるJavaScriptコードが実行されるウェブサイトに利用者をアクセスさせることで、そのコンピュータに侵入できる。

しかしQihooは、このバグがどのように悪用されたのか、攻撃者は誰なのか、あるいは誰が標的にされたのかを正確には明かさなかった。ブラウザの脆弱性は、ユーザーが気付かないうちに脆弱なコンピュータに感染し、マルウェアやランサムウェアを拡散するために利用される可能性があるため、セキュリティ分野で注目を集めている。

さらにブラウザは、ネットワーク調査技術(NITs)として知られる、国家や政府による監視ツールの標的にもなっている。これらの脆弱性を悪用するツールは、連邦捜査官が犯罪者を監視して捕まえるために使用されてきた。しかしこれらのツールは、ソフトウェアメーカーにバグを開示しないかぎり、悪意のある人物が同じ脆弱性を悪用する可能性があるため、セキュリティコミュニティから批判を受けている。Mozillaは、脆弱性が発見されるわずか2日前に公開された「Firefox 72」に関する、セキュリティ警告を公開した。

米国土安全保障省(DHS)のサイバーアドバイザリー部門であるCybersecurity and Infrastructure Security Agency(サイバーセキュリティおよびインフラに関するセキュリティ機関)もセキュリティ警告を発し、この脆弱性を修正する「Firefox 72.0 .1」へのアップデートをユーザーに勧告した。ただしこのバグについてはほとんど情報が提供されておらず、「影響を受けるシステムを制御する」ために使われたという説明だけだった。

なおFirefoxユーザーは、設定からブラウザをアップデートできる。

[原文へ]

(翻訳:塚本直樹 Twitter

投稿日:

10億件を超える患者の画像が米国の医療機関からオンラインに流出

毎日、患者個人の健康情報を含む何百万もの新しい医療画像がインターネットに流出している。 数百という病院、クリニック、画像センターが、セキュリティ上問題があるストレージシステムを使用しており、インターネット接続環境と無料でダウンロードできるソフトウェアがあれば、誰でも世界中の患者の10億以上の医療画像にアクセスできる。流出したX線、超音波、CTスキャンなどの画像の約半分は、米国の患者のものだ。

セキュリティ研究者が病院やクリニックに対し、数週間にわたり警告しているにもかかわらず、多くは警告を無視し、患者の個人的な健康情報が流出し続けている。「日を追うごとに事態は悪化している」と、ドイツに本拠を置くセキュリティ企業であるGreenbone Networksで調査を率いたDirk Schrader(ダーク・シュレーダー)氏は語った。

問題は十分に文書化されている。Greenboneは、9月に2400万件の患者の検査に関する7億2000万以上の医療画像を発見した。この発見をProPublicaが報告し、問題の規模を初めて明らかにした。2カ月後、情報を流出したサーバーの数は50%以上増加し、3500万件の患者検査に関わる11億9000万の画像が流出した。患者のプライバシー侵害は深刻だ。

問題が改善する兆候はほとんど見られない。「我々の報告を受けて流出が止まったデータがあるにもかかわらず、流出しているデータの量は依然として増加している」とシュレーダー氏は述べた。医師が適切な措置を取らなければ、流出する医療画像は「すぐに」記録的な数に達すると同氏は指摘する。

10億を超える医療画像が流出した。専門家によると、事態は良くなるどころか悪化しつつあるという(画像:提供)

研究者によると、この問題は、病院、クリニック、放射線センターが患者の医療画像を保存しているサーバーに共通する弱点が原因だという。

DICOMという数十年前のファイル形式と業界基準は、医療従事者が医療画像を単一のファイルに保存し、医療従事者間で共有するために設計されたものだ。DICOM画像は無料のアプリで表示できる。DICOM画像は通常、PACSサーバーと呼ばれる画像アーカイブおよび通信システムに保存され、簡単に保存・共有できる。多くのクリニックはセキュリティのベストプラクティスを無視し、パスワードなしでインターネットからPACSサーバーに直接接続している。

セキュリティのないサーバーから、医療画像だけでなく、患者個人の健康情報も流出している。多くの患者の画像には、DICOMファイルのカバーシートに患者の名前、生年月日、診断に関する機密情報などが含まれている。場合によっては、病院が患者を識別する目的で、患者の社会保障番号も含まれている。

スウェーデンに本拠を置くセキュリティ研究者であるLucas Lundgren(ルーカス・ランドグレン)氏は2019年、医療画像データの流出の程度を調査した。  同氏は2019年11月にTechCrunchに対し、情報が流出したサーバーの医療データは誰でも簡単に閲覧できることを明らかにした。わずか数分で、同氏はロサンゼルスで最大の病院が保管する数年前の日付の何万もの患者の画像を発見した。サーバーは後日セキュリティがかけられた。

米国最大の病院と画像センターのいくつかが、医療データ流出の最大の犯人だ。シュレーダー氏は、流出したデータによって患者は「医療保険詐欺の一方的な被害者」になるリスクにさらされると述べた。だが、患者は自分のデータがインターネット上にさらされて誰でも見つけられることに気づいていない。

患者への影響を調査したThe Mightyによると、流出した医療情報により、患者が保険詐欺や個人情報の盗難にあうリスクが高くなる。また、データの流出によって、患者と医師の信頼関係が崩れ、患者が情報共有をためらう傾向が高まりかねない。

我々は今回の調査で、米国の画像センターが保管している数十年分の患者の画像を発見した。昨年フロリダの救急治療室を訪れた後に情報が流出した患者の1人は、流出した医療データに関して「怖い」「不快」であると語った。慢性疾患を持つ別の患者は、カリフォルニアの病院で30年にわたり定期的に画像を撮った。米国最大の軍の病院では、適切なセキュリティが確保されていないサーバーから、軍人の名前と医療画像が流出した。医療画像がごく少数の患者の場合でも、流出したデータから病気やけがなどの健康状態の全体像を推測できる。

患者の画像の多くには、ファイルのカバーシートに個人の健康情報が含まれている

Greenboneは先月、サーバーを保護してもらうため、流出が生じているサーバーを持つ100以上の医療機関に連絡した。その後、小規模な医療機関の多くがシステムを保護し、結果として流出画像の数がわずかに減少した。だが、セキュリティ会社が流出した医療画像の5分の1を占める上位10医療機関に連絡したものの、シュレーダー氏は「まったく反応がなかった」と述べた。

Greenboneは、TechCrunchがフォローできるよう、病院の名前をTechCrunchと共有した。その中には、ニューヨークに3つの病院を持つ企業、12の拠点を持つフロリダの放射線会社、カリフォルニアの大手病院がある。なおTechCrunchは、患者データ流出リスクを最小限に抑えるため、病院や企業の名前を公表しない。

1つの医療機関だけがサーバーを保護した。Alliance RadiologyのパートナーであるNortheast Radiologyは、Greenboneのデータによると、米国で流出した医療データの最大の流出元で、5つの拠点の約120万人の患者に関する6100万枚以上の画像が含まれる。Greenboneが最初に警告を発してから1カ月後にTechCrunchがフォローして初めて、サーバーのセキュリティが確保された。Alliance Radiologyの広報担当者であるTracy Weise(トレーシー・ワイズ)氏はコメントを控えた。

シュレーダー氏は、流出に関与した残りの医療機関がシステムをインターネットから遮断すれば、ほぼ6億枚の画像がインターネットから「消える」と述べた。長年にわたってサーバーからの流出について警告してきた専門家は、医療機関にはほとんど言い訳の余地がないと語る。医療機器のセキュリティ脆弱性を研究したセキュリティ研究者であるYisroel Mirsky(イスロエル・ミルスキー)氏は2019年、DICOM標準を作成および維持する標準化団体が設定したセキュリティ機能が、デバイスメーカーによって「ほとんど無視されている」と述べた。

シュレーダー氏はデバイスメーカーを非難していないが、医療機関がサーバーに適切なセキュリティを施さなかったのは「純粋な過失」だと言う。米保健福祉省のプライバシー上級職員だったLucia Savage(ルシア・サベージ)氏 は、ヘルスケア業界全体のセキュリティを改善するために、特にリソースが不足している小規模医療機関のレベルでやるべきことが多くあると述べた。

「データが個人の健康情報である場合、インターネット上でそれを見つけることを含めた不正アクセスから保護する必要がある」とサベージ氏は言う。「デジタル医療情報を保護するのと同じように、紙の医療記録を含むファイルルームを施錠する義務もある」と同氏は説明した。

医療記録と個人の健康データは、米国の法律上高度に保護されている。健康保険の携行性と責任に関する法律(HIPAA)は、データを非公開かつ安全に保って個人の電子健康情報を守る技術的および物理的保護手段を含む「セキュリティルール」を策定した。法律はまた、セキュリティ上の瑕疵があれば医療提供者に責任を負わせる。法律違反には厳しい罰則が科せられる。

政府は昨年、テネシー州に本拠を置く医療画像処理会社が、30万を超える患者データを保管したサーバーを誤って開放したため、300万ドル(約3億3000万円)の罰金を科した

米保健福祉省の執行部門である公民権局のプライバシー責任者だったDeven McGraw(デビン・マグロー)氏は、「セキュリティに関して小規模な医療提供機関をもっと支援すれば、政府はセキュリティを維持する義務を故意に無視している医療機関に集中できる」と語る。

「政府の関与は重要であり、リソースが限られている医療機関に対するガイダンスとサポート、またテクノロジーに組み込んだ実行しやすいソリューションも重要だ」とマグロー氏は述べる。「ひとつの法執行機関だけで状況を改善するには問題が大きすぎる」と続ける。

情報を流出した医療サーバーの規模が9月に初めて明らかにされて以来、民主党バージニア州選出のMark Warner(マーク・ワーナー)上院議員は、保健福祉省に回答を求めた。ワーナー氏は、米国を拠点とする情報流出サーバーの数が、3100万枚の画像を保管する16のサーバーにまで減少したことを確認したが、TechCrunchに「もっとやる必要がある」と語った。

同氏は「保健福祉省は、機密性の高い患者の健康情報に​プライバシー保護対策を施さないまま、より広範囲の関係者へのアクセスを積極的に推進しているため、同省の怠慢によって事態はさらに厄介なことになっている」と語る。

「私の知る限り、保健福祉省はこの問題に関して何もしていない」とワーナー氏はTechCrunchに語った。「保健福祉省は、機密性の高い患者の健康情報に​プライバシー保護対策を施さないまま、より広範囲の関係者へのアクセスを積極的に推進しているため、同省の怠慢によって事態はさらに厄介なことになっている」と同氏は付け加えた。

保健福祉省の公民権局は、個別の案件についてはコメントしなかったが、これまで実行した措置について釈明した。「公民権局は過去に、保護されていないストレージサーバーに関する違反に対処するための措置を講じており、HIPAAルールの包括的な執行を継続している」とスポークスマンは述べた。

「我々は、保護されていないシステムの世界的な状況を改善するために最善を尽くし続ける」とシュレーダー氏は語った。「だが、情報を流出しているサーバーに関しては、医療機関に警告する以外にできることはあまりない。規制当局の対策が問われている」と同氏は続けた。

画像クレジット:TechCrunch

この投稿は、健康ニュースサイトThe Mightyとの提携によるものだ

[原文へ]

(翻訳:Mizoguchi

投稿日:

暗号の専門家27人がインドの仲介者責任法改定を考え直すよう警告

世界中のセキュリティと暗号化の専門家が、さまざまな団体に集結し、インド政府に対して、同国の仲介者責任法の改正を思い留まるよう呼びかけている。

1月9日、インドのIT大臣Ravi Shankar Prasad(ラビ・シャンカール・プラサッド)氏に送られた公開書簡で、27人のセキュリティおよび暗号化の専門家が、現在、まとめられている改正法案をそのまま可決すれば、インターネットのセキュリティが弱体化し、強力な暗号化が制限されるとインド政府に警告した

インド政府は、2018年12月末、仲介者責任法の一連の改正法案(PDF)を提出した。もしこれが施行されたなら、中小からFacebookやGoogleといった最大手に至るすべての企業が運営する無数のサービスは、大幅な変更が求められることになる。

元の改正案は、仲介者(インド政府の定義では、2人以上のユーザーがコミュニケーションを取り合うための便宜を提供し、インドには500万人以上のユーザーがいるサービス)は、ユーザーのコンテンツを積極的に監視し選別して、疑わしいコンテンツの最初の発信者を特定可能にすることで、ユーザーの行動に対する全責任を負わずに済むようになるという内容だ。

「仲介者の保護に、責任からそのプラットフォームやシステムで交わされるコミュニケーションを監視する能力までを結びつけるこの改正案は、終端間の暗号化を制限し、他者による既存のセキュリティ対策の弱体化を助長してしまう」と専門家たちは、インターネット協会が取りまとめた書簡に記している。

終端間の暗号化に関しては、サービス提供者が解読したユーザーのコンテンツにアクセスする手段が提供されていないと彼らは言う。これに加わった専門家にはGoogle、Twitter、人権擁護団体Access Now、Torプロジェクト、ワールド・ワイド・ウェブ・コンソーシアムで働く個人も含まれている。

「これは、終端間の暗号化を適用するサービスは、改正案で要求されるレベルの監視は行えないということ意味しています。暗号化プロトコルのバックドアを使うか、エスクローに暗号化キーを保管するか、グループメッセンジャーにサイレントユーザーを忍ばせるか、といった方法を使うことになり、システムのセキュリティを弱体化せずに例外的アクセスを可能にする方法はない」と彼らは言い加えている。

巨大ハイテク企業はこれまで、いわゆる「セーフハーバー」法を享受してきた。現在、アメリカの通信品位法やインドの2000年情報技術法の下で適用されている法律では、プラットフォームは、そこでユーザーがやりとりする内容に関しては責任を負わないことになっている。

このところ多くの団体が、この法律の改正に懸念を表明している。今週のはじめには、Mozilla、GitHubCloudflareはインド政府に対して、彼らが作成した仲介者責任法の改正案を透明化するよう要求した。最新の改正草案の内容を知る人間は、インド政府の他には存在しない。1月15日に、インドの最高裁判所の承認を得るために提出される予定だ。

人々が訴える数々の懸念のなかに、「仲介者」そのものの曖昧な定義がある。最後に公表された草案では、「仲介者」の定義は非常に漠然としていた。人気のインスタント・メッセージ・クライアントから、インターネットISP、サイバーカフェ果てはウィキペディアまで、幅広いサービス提供者が含まれてしまう。

ウィキメディア財団の法務顧問Amanda Keton(アマンダ・キートン)氏は、2019年12月末、インターネット上のコミュニケーションの「追跡可能性」を要求しないよう、インド政府に訴えた。それが通ってしまえば、ウィキペディアの協力者たちが自由にプロジェクトに参加できる機会が制限されてしまうと警告している。

あるアメリカの技術系企業の幹部は、1月8日、匿名を条件に、仲介者のガイドラインに関する改正法案によって大きな変更が要求されるとしても、インド政府はここで立ち止まって考える時期に来ているとTechCrunchに話した。

「ソーシャルメディア・プラットフォームとインスタント・コミュニケーション・サービスに対して行動を起こせば、現実世界は大きなダメージを受ける。偽情報の拡散によって、私たちは少なくとも30人の命が失われるという損害を被った。もし明日、他人に見られたくない写真やメッセージがインターネット上で漏洩するとしても、現在のサービス提供者には手も足も出ません。私たちに必要なのは、今のインターネットの課題に対処する法律です」と彼は語っていた。

画像クレジット:PRAKASH SINGH / AFP / Getty Images

[原文へ]
(翻訳:金井哲夫)

投稿日:

アマゾンが顧客のメールアドレスなどを漏らした社員を解雇

Amazon(アマゾン)は、顧客のメールアドレスと電話番号をサードパーティと共有した数名の社員を「弊社のポリシーに違反した」として解雇した。

2020年1月10日に顧客に送られたメールによると、社員はデータを共有したため解雇され、同社は司法による彼らの訴追に協力しているという。

アマゾンはこの事件を、TechCrunch宛のメールで確認した。スポークスパーソンによると、数名の社員が解雇されたという。しかしながら、該当社員らに関する情報は何も得られず、また、情報がいつ誰と共有され、何名の顧客が被害に遭ったのかも不明だ。

顧客に送られたメールには、「お客様のアカウントに関連するその他の情報は共有されていません。これは、お客様が何かをされたことの結果ではありません。また、お客様が、何か対応をする必要もありません」と書かれている。

Amazonの顧客宛のメールには、社員は解雇されたと書かれてある。複数の社員が解雇された、とAmazonは言っている。

これは、初めて起こったことではない。Amazonは2019年に起きた同様のメールアドレス侵害についての明言も、コメントも避けている。

Amazonによると、また別の件で同社は今週、スマートカメラとドアベルの子会社Ringの社員4名を解雇した。Ringによると、解雇した社員らは、顧客のカメラにある映像を視るという不正を犯した。

アップデート: 記事のタイトルにおける社員(employee)を単数形から複数形に変更した。

関連記事: Amazon admits it exposed customer email addresses, but refuses to give details…Amazonが顧客のメールアドレスの露出を認める(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

スマートロックのAugust HomeがWi-Fi内蔵モデルを発表

世界最大の錠前メーカーでAugust HomeYaleの親会社であるAssa Abloy(アッサ・アブロイ)が、今週CESで新製品を発表した。玄関用カメラについては何も語らなかったが、最近議論を呼んでいるRingの問題を意識したのかもしれない。

スマートロックに関して米国で最もよく知られているAugust Homeは、繰り返し改善された新製品を出しているが革新的な変化はみられない。今回同社は、August Wi-Fi Smart Lockを新発表した。

これはAssa Abloyに買収された 同スタートアップにとって第4世代となるスマートロックだ。前のバージョンより45%小さくなり、装置自身がWi-Fiチップを備えている。つまり、ネットワークとつなぐためにWi-Fiブリッジをコンセントに差し込む必要がない。

その結果バッテリーの持ちは少々悪くなった。第3世代が6カ月だったのに対して新製品のバッテリー寿命は3~6カ月だと同社は言っている。

従来のAugust製品と同じく、既設のドア錠に直接設置するので、錠前ごと交換する必要はない。

Autust Homeは米国内では広く知られているがヨーロッパではそうでもない。実は、国によって錠前のシステムはさまざまで、錠前市場も大きく断片化しているのが実情だ。

しかし、兄弟会社のYaleが発売するLinusという名前のスマートロックは、August Homeとほぼ同じ機能をヨーロッパで使える。August HomeとYale Linusの製品はいずれもYves Behar(イヴ・ベアール)氏のデザインによる。Yaleはさまざまなタイプのマウンティングプレートを用意しているので多くのヨーロッパ家庭の錠前に対応している。

ドアの施錠・解錠の操作はスマートフォンから行い、来客用に一時デジタルキーを発行することもできる。Linusのロックはインターネットにはつながっていないので、接続したければブリッジを使う必要がある。AmazonのAlexa、Googleアシスタント、AppleのHomeKit、Airbnb、およびIFTTTとの統合が可能だ。

アプリに関してはAugust HomeとYaleはまったく同じで、2つの名前はブランディングの理由だけで使い分けられている。YaleはCESの場を利用して、薬棚などの施錠に使えるSmart Cabinet Lockも発表した。同社はこのロックを郵便受けにも組み込んだ。またスマート金庫の新製品も発表された。

  1. IMG_0691

  2. IMG_0685

CES 2020 coverage - TechCrunch

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿日:

Uberがインドで音声録音、不規則な乗車状況チェック、認証コードによる安全機能を導入

Uber(ウーバー)は米国時間1月9日、同社にとって最も重要な海外市場の1つであるインドでのサービスを改善するために、3つの安全機能を展開することを発表した。

新機能には、乗客乗車中に予定外の長時間停車があった場合にUberが介入すること、および乗客が正しい車に乗ることを保証するための4桁の認証コードの導入が含まれている。同社の幹部は、ニューデリーで行われた記者会見で、上記2つの機能が本日からユーザーに公開されていると語った。

UberのCEOを務めるDara Khosrowshahi(ダラ・コスロシャヒ)氏(画像クレジット: Anindito Mukherjee / Bloomberg / Getty Images)

Uberは以前にこれらの機能を米国で展開しており、インドのローカルライバルであるOla(オラ)もこうした機能を以前から提供していた。またUberは、インド国内で乗客もしくは運転手が不快な思いをした際に、乗車全体の録音記録を会社に送ることができるようにするとも語った。Uberによれば、この機能は今年後半に国内でテスト段階に入る予定だ。ちなみにOlaはこの機能を提供していないが、ローカルバス乗車シェアリングサービスのShuttlは過去にこれをテストしていた。

Ride Checkと呼ばれる最初の機能は、長時間の予期されていない停車や、その他の不規則な状況が乗車中に発生した場合に有効になる。そうした事態を検知した場合、Uberは乗客と運転手の双方を呼び出して、すべてが問題なしかどうかを確認する。同社は、運転手のスマートフォンを使って突然の中断を検知する。

UberのSachin Kansal(サチン・カンサル)氏が、ニューデリーでのイベントで新しい安全機能について語った

Olaは、2018年9月から「Guardian」と呼ばれる同様の機能をテストしている。Olaは先月、10カ所を超えるインドの都市と、オーストラリアのパースでGuardianを展開していると語った。

Uberはまた、乗客が正しい車に乗っているかどうかを確認するために、乗客に4桁の認証コードの提示を求める機能も展開した。乗客が認証コードを提供するまで、乗車は開始しない。インドのOlaはこの機能を、すでに数年前から提供している。

さらにUberは、Manas Foundationと提携して、プラットフォームを女性にとってより安全なものにしてきたという。Manas Foundationは、インドの運転手パートナー向けに、カスタマイズされたジェンダー問題認知ワークショップを実施している。同社によれば、5万人以上の運転手パートナーが既にトレーニングを受けているという。

UberのGlobal Safety ProductsのシニアディレクターであるSachin Kansal(サチン・カンサル)氏は、同社は世界中のさまざまなマーケットでこれらの機能を試験し改良していると語った。「プライバシーはUberにとって非常に重要であり、これらのツールはすべて、それを念頭に置いて設計されています。すべての人にとってすべての乗車を5つ星体験にする手助けができるように、私たちはこの機能の改良を続けます」。

原文へ

(翻訳:sako)

投稿日:

Cloudflareがブラウザー隔離技術のS2 Systemsを買収

Webサイトのセキュリティと高効率稼働サービスを提供するCloudflare(クラウドフレア)が、元Microsoft(マイクロソフト)の役員たちが作ったブラウザー隔離サービスのS2 Systemsを買収したことを発表した。買収の価額などは、どちらからも公表されていない。

Cloudflareの共同創業者でCEOのMatthew Prince(マシュー・プリンス)氏によると、この買収でS2 Systemsのソフトウェアが同社の新しいプロダクトCloudflare for Teamsの一部になり、インターネット上の脅威から企業を保護する。特にS2 Systemsは、ブラウザーベースのコード攻撃を防止するソリューションを開発した。

プリンス氏によると、同社は以前からこのような技術をCloudflareのプロダクトに搭載することを検討していた。多くの企業と同様にCloudflareも、他社をパートナーとするか、自ら開発するか、買収するかを迷っていた。たまたまプリンス氏がS2 Systemsの創立メンバーに会って技術を試す機会があり、そのスピードと能力に感心した。

両社の相性も良いと思われたためCloudflareは買収を提案した。他にもS2 Systems買収に名乗りを上げている企業が数社あったが、最終的にS2 SystemsはCloudflareを選んだ。彼らはCloudflareのサービスが、世界中のインターネットユーザーの役に立つと感じていた。

プリンス氏は「彼らが来てくれたことはとてもうれしい。彼らの優れたブラウザー隔離技術と私たちのユビキタスなネットワークが一緒になれば、企業の社員保護のやり方が完全に一新され、長期的にはインターネットの閲覧の仕方が変わる。ローエンドのスマートフォンでもiPhoneの最新機種と同じようなインターネット体験ができるようになるだろう」と語る。

プリンス氏の発言は、Cloudflareは世界中の200都市をネットワークして、日々膨大な量の最適化とセキュリティのための処理を行なっているため、ネットワークの末端であるスマートフォンといったデバイスの処理負担が非常に軽くなる、という意味だ。

この買収は、それだけが独立したものではない。買収は同社の新プロダクト、Cloudflare for Teams発表の一環でもあり、その中でS2 Systemsによるブラウザー隔離やVPN、アイデンティティ保護などの総合的なセキュリティが提供される。

Cloudflare for TeamsのメインピースはCloudflare AccessとCloudflare Gatewayの2つだ。Cloudflare Accessはゼロトラストのアイデンティティおよびアクセス管理ツールで、全社員が自分のデバイス上でソフトウェアの最新アップデートを使っていることを確認し確実化する。

Cloudflare Gatewayはインターネットの脅威から企業や個人を護り、ここがS2 Systemsの出番でもある。3つのバージョンがあり、プレーンな「Gateway」にはDNSベースのフィルタリングと監査ログがある。「Gateway Pro」はインターネット上のすべてのトラフィックを保護する。そして「Gateway Enterprise」はデータの喪失を防ぎ、さらにS2 Systemsのブラウザー隔離機能がある。

S2 Systemsの買収は2019年12月31日に完了した。同社の社員10名はCloudflareのチームに加わり、ワシントン州カークランドに留まる(Cloudflareのオフィスになる)。買収前のS2 Systemsは、ステルスだった。

関連記事: 有力クラウドサービス「Cloudflare」が株式上場を申請

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

ドローンが監視しながら飛び回る、Sunflowerのホームセキュリティシステム

2020年のCESで目を引く製品のひとつに、新しいタイプのホームセキュリティシステムがある。ドローンを使って家屋を見守り、ガーデンライトを模したセンサーと中央処理装置を合体させたものだ。

Sunflower Labs は、新製品のSunflower Home Awareness Systemを発表した。システムは、社名を冠したSunflower(ひまわり:移動・振動センサーで一見ふつうのガーデンライトだが近くに存在するクルマ、人間、動物などをリアルタイムでマップに表示する)、Bee(蜂:自身で発着する完全自動ドローンで、搭載カメラでライブストリーミングビデオを撮影する)、Hive(蜂の巣:Beeの充電ステーションで、コンポーネントが集めたデータをすべて処理する頭脳を格納している)の3つからなる。

空飛ぶロボットが所有地を監視しながら飛び回る様子は、少々ディストピア風で、複数のカメラとセンサーを配置すればもっと安く簡潔に同じことができるだろう。それでも、Sunflower Labは自社のセキュリティシステムを、「周囲に反応して学習」することで時間とともに改善されていくため、標準的なシステムの進化形だと考えている。

Beeは、従来型の受動的監視システムを補完するように作られており、所有地内で不審な行動が見つかったとき、必要に応じて出動して詳細情報とライブビデオを提供する。つまり、夜どこかでへんな音が聞こえた時、調べに行くための人を待機させておくのと似ている。

Sunflower Labsは2016年に設立され、General Catalystなどから資金提供を受け、サンフランシスコとスイス・チューリッヒにオフィスがある。システムは安くはないが、仕様を見れば驚きではない。価格は9950ドル(約110万円)からで、顧客のニーズに応じて変わる。現在予約受付中で、999ドル(約11万円)の前金が必要。最初の受注分が届けられるのは今年の中頃の予定だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿日:

米国土安全保障省がイランからのサイバー攻撃に備えるよう企業に警告

米国土安全保障省は、イランとの間の緊張の高まりでサイバー攻撃を受ける可能性があるとして、米企業に備えるよう警告を出した。

イランの司令官Qasem Soleimani(ガセム・ソレイマニ)氏殺害から数日たち、政府のサイバー専門諮問機関であるCybersecurity and Infrastructure Security Agency(CISA)が出す初の公式勧告だ。米政府はソレイマニ氏が中東にいる米国の人員をターゲットにして殺害している、と非難していた。

イラン指導部の中でナンバー2的な立場にあった司令官ソレイマニ氏は先週金曜日にトランプ大統領が指示したドローン攻撃で殺害された。このドローン攻撃では、イランが支援するイラクの部隊の副司令官Abu Mahdi al-Muhandis(アブ・マフディ・ムハンディス)氏も死亡した。

1月6日の月曜日に掲示された勧告の中で、CISAは「高まる緊張により、米国はサイバーならびに軍事の攻撃を受ける可能性がある。また米国や米国に関係する国に対してイラン以外のところから破壊的なハイブリッド攻撃があることも考えられる」としている。

イランと同盟国は、電話やエネルギーの企業などを戦略的ターゲットに据えた「破壊的で有害なサイバー部隊」を立ち上げ、米国の外交政策方針をしっかりと把握するためにサイバーによるスパイ活動を実行するかもしれない、と当局は話した。

CISAはまた、偽情報の活動や爆破を含む軍事攻撃の可能性も警告している。企業はオフラインのバックアップを準備するなど、サイバー攻撃を警戒すべきだと勧告した。

ドローン攻撃を受け、民間部門のセキュリティ専門家が報復の可能性を指摘してすぐにCISAは警告を出した。

「イランの関係者が諜報機関の招集を模索し、大局的に地政学環境を理解しようとしていることから、おそらく主に政府のシステムを標的とするスパイ活動が増える」とサイバーセキュリティ会社FireEyeの情報分析ディレクターJohn Hultquist(ジョン・ハルトクイスト)氏は話した。「また、民間へも破壊的なサイバー攻撃があると予想している」

イランはサイバー領域において世界でも最も力のある難敵の1つだ、と専門家は語る。

イランは、コンピューターに侵入してデータを破壊するマルウェアのワイパーを含む、攻撃的なサイバーツールを持つ。イランにつながるハッカーたちは近年、中東のターゲット施設で活発だった。セキュリティ会社Crowdstrikeの共同設立者Dmitri Alperovitch(ドミトリ・アルペロヴィッチ)氏は、イランがエネルギー網や金融機関など重要なインフラを標的とするかもしれないとツイートした。

直近ではMicrosoftが、イランに関係するハッカーを含めたイランの攻撃ターゲットとなった何千もの顧客にその旨を通知した、と明らかにした。Microsoftは以前、サイバー活動を破壊しようと、イランがコントロールするドメインに対し法的措置をとった。10月には、イラン人ハッカーが2020年大統領選候補を標的にしている、とMicrosoftは述べた。これに関してはのちにロイターがトランプ大統領の再選キャンペーンであることを確認した。

ソレイマニ氏を暗殺するための動きは、トランプ政権内の敵味方が共に計画した。評論家は政府がイランによる軍事的な報復だけでなくサイバー攻撃も受けることを考えなかった、と話す。

上院情報問題特別調査委員会のRon Wyden(ロン・ワイデン)議員は、殺害は「破滅的な戦争へとつながる道へと我々を向かわせる無謀なエスカレーション」だと話した。ブッシュ元大統領に仕えた前CIAアナリストElissa Slotkin(エリッサ・スロットキン)氏もまたツイッターの長いスレッドの中で暗殺を批判した。

画像クレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)

投稿日:

Arloの防犯カメラは強力投光器で不審者を追い払う

Netgear(ネットギア)からスピンオフした防犯カメラメーカーのArlo(アーロ)は、このほど米国ラスベガスで開催されている2020 International CES(コンシューマー・エレクトロニクス・ショー)で新製品を発表した。Arlo Pro 3 Floodlight(フロッドライト)は、その名のとおり現行のArlo Pro 3とよく似ている。ただし、小さなスポットライトの代わりに、巨大なLED投光器(Floodlight)を備えている点で異なる。

内蔵カメラは2K HDR対応で画角は160度。カラーナイトビジョンと従来からのモノクロナイトモードを両方もっている。双方向オーディオによって、外で何が起きているかを聞くことも、玄関前で待っている人と話すこともできる。サイレンも内蔵しているので、大きな火事が起きた時には近所中に知らせることができる。

投光器は手動あるいは物体の移動に反応して作動させることができる。モーションセンサーはガレージのドアの上に設置された照明をオールインワンの防犯・照明装置に置き換えたい人には特に便利だ。

装置は家庭の電源につなぐか、ドリルで穴を開けたくない人は充電バッテリーも利用できる。周辺光センサーを内蔵しているので、夜だけ作動させることもできる。バッテリーを節約するために閾値を設定したり、照明のパターンをカスタマイズすることもできる。点灯パターンには常時、点滅、脈動の3種類ある。

他のArlo製品と同じく、サブスクリプション方式の Arlo Smartと連動する。クラウド録画、物体検知、自動アラームなどの機能を月額3~15ドルで利用できる。
Arlo Pro 3 Floodlightは、2020年春に250ドル(約2万7000円)で発売される予定だ。

CES 2020 coverage - TechCrunch

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿日:

タイピングのクセで個人特定する技術を開発するTypingDNAが約7.6億円調達

ルーマニアのブカレストで4年前に創業され、最近ニューヨークのブルックリンに本社を移したTypingDNAが、ある面白い技術で700万ドル(約7億5600万円)の資金を調達しようとしている。それは、ラップトップやモバイルデバイス上のタイピングの特徴からその人を当てるAI技術だ。

資金調達の申請書類によると、同社は2018年の後半にTechstars NYCの育成事業を卒業して、130万ユーロのシード資金を獲得している。これまでの同社の資金調達総額は525万ドルに達する。

タイピングのバイオメトリックスは、各キーの押されたときと離されたときの詳細なタイミング情報からキーボードを叩いている人を特定する。特に新しい技術ではなく、2年前のPCWorldの記事によると、研究は20年前にさかのぼるそうだ。あまり正確でないので、個人を認証する方法としては普及しなかったとも書いてある。しかしTypingDNAは、同社のタイピングパターン認識技術の精度は99%から99.9%の間だと自信を見せる。

同社をこれまで支援してきたGapMinder Venture Partnersは、アムステルダムのベンチャー企業だ。SECへの提出書類によると、今度の新しいラウンドはGradient Venturesが支える。ここはGoogleのAI専門のベンチャーグループで3年前に誕生した。

TypingDNAが11か月前にシードラウンドを調達したときには、同社はその資金を技術の改良と、金融とエンタープライズ方面への市場拡大に使う、と言っていた。そこで今同社は、アイデンティティ(本人特定)と詐欺の防止に力を入れている企業とのパートナーシップを増やそうとしている。

同社のサイトによると、教育機関との連携にも力を入れていて、研究や宿題の身代わり提出を防ぐために同社の技術が使われるようだ。

[原文へ]

(翻訳:iwatani、a.k.a.hiwa

投稿日:

インターネット分断時代にあってGoogleの影響力は急速に失われつつある

さて、1月2日になってMediumで今度はテック企業の幹部が怒りの辞任発表を行った。Ross LaJeunesse(ロス・ラジュネス)氏が1月2日に投稿した内容がそれだ。同氏は、Google(グーグル)の国際関係の元責任者で、同社で10年以上にわたりさまざまな役割を務めた。同氏は、Googleが人権重視の企業であろうとする志を失いつつあると非難し、技術と資本主義の未来について一連の問いを投げかけた。

重要なのは、米国を代表する会社がこれほど劇的に変わってしまうということが一体何を意味するのか、という問いだと思う。社会的影響や責任よりも、成長と利益に報いる企業文化がもたらした必然的な結果だろうか。米国の連邦政府を覆う腐敗に関係があるのか。「強い男」のリーダーが世界中で権力を握り、そこでは「正しい」か「間違っている」かに関する問いが無視され、私利私欲と利権が優先される、そういう世界的な傾向の一部なのか。最後に、「かつては」素晴らしかった米国の会社が、世界中の何十億人ものユーザーに関する大量のデータを管理すると、我々一人一人にどう影響するだろうか。

投稿全体が興味深い。Googleの中国事業、Project Dragonflyにおける検索検閲の危機、Google Cloudのサウジアラビアのアプリ、同氏のGoogle HRとのやり取りについて触れている。

これは一種のマニフェストだが、ラジュネス氏が共和党の現職Susan Collins(スーザン・コリンズ)氏の対抗馬としてメイン州の上院議員選挙で民主党予備選に出馬していることを考えれば、おそらく驚くべきことではない。同氏の巨大テック企業に対する批判は、ミズーリ州の共和党上院議員のJosh Hawley(ジョシュ・ホーリー)氏とも似ているために、魅力的な政治戦略にもなっている。

議論の中心にある重要な問いに焦点を当てたい。グーグルには、技術が社会に与える影響に関して、「善良」または「邪悪」になる能力はあるのか。世界中の国々で、人権の観点から違いを作り出せる影響力があるだろうか。筆者の答えはこうだ。同社が持っていた大きな影響力は、残念ながら極めて急速に失われつつある。

筆者は、文字どおり何年もの間、インターネットがさまざまな影響圏に分断されることについて取り上げてきた。中国のような国だけでなく、ロシア、イランなども、インターネットのネットワークとアプリケーションをより正確にコントロールし、インターネットの本来の開放性と自由​​の精神に覆いを被せ、この通信媒体を鉄拳の管理下に置く。

分断が進めば、グーグルShutterstockNBAのような企業は、筆者が「権威主義の足かせ」と呼ぶ状況に直面する機会が増える。インターネットをコントロールする国々に協力して現地のルールに従うのか、単に撤退するのか。その選択は自国の市場にも派生し深刻な影響を及ぼす。

企業には選択の幅が与えられているわけだ。Shutterstockは天安門広場での抗議の写真に対する中国の方針を変えるつもりはない。Googleが中国で検索エンジンを立ち上げるつもりがなく、憂うべきサウジアラビアの女性の権利を変えようとしないのと同じだ。

影響力を持つには、企業の製品やサービスが市場で独占状態にあり、独裁政権が企業の提示する条件を受け入れざるを得ないほど独占が進んでいることが必要だ。言い換えれば、極端な力関係の差による「てこ」が要る。独裁政権に対し「ノー。ふざけるな。どうなるか見ておけ。我々は人権を尊重する。この問題にお前に選択肢はない」と言える能力だ。

テック企業が認識しつつあるのは、グーグル、Facebook(フェイスブック)、Apple(アップル)、Amazon(アマゾン)、Microsoft(マイクロソフト)といった巨大企業でさえ、権威主義的な国々でてこなどというものはまったく持ちあわせていないということだ。中国の下請業者を通じて何十万人もの労働者を雇用しているアップルでさえ、中国で目立った変化を起こすことはもうできない。イランは、その国での政治的抗議の激しさを和らげるために、一定期間インターネットを閉鎖した。ロシアは先週、いざとなったら使用不能にできるか確認するためインターネットの遮断をテストした。あらゆる国がスイッチを切るだけで「技術」をオフにできるなら、そもそも巨大企業がてこを持っていると言えるのか。

企業が持つパワーが縮小する傾向に対して、テック企業、特に米国のテック企業は十分に対処しきれていない。もはや企業の意思決定に選択の余地はない。中国には独自の検索エンジンがあり、米国の親会社、究極的には米国の方針に煩わされない独自の携帯電話エコシステムがある。Azureがサウジアラビアから撤退すれば、代わってAlibaba Cloudが喜んでそのスペースに踏み込み、金を稼ぐことになる。

ラジュネス氏がGoogleに対し、同社の価値を明文化するよう社内で要求したときの様子について、同氏がコメントしている。

私の解決策は、全社に適用される正式な人権プログラムの採用を提唱することだった。そのプログラムでは、国連の人権宣言がうたっている人権に関する原則の遵守をGoogleが公約し、製品設計のさまざまな局面で製品およびエンジニアリングチームが内部レビューを受けるメカニズムが導入され、主要な製品の発売と市場参入の際に人権への影響を評価することが義務付けられる。

より良い製品設計レビュープロセスが世界の人権改善に貢献するという楽観的な世界感は、慰めにしかならないかもしれない。問題は以前よりはるかに単純だ。人権に関する内規や何らかの市場参入審査プロセスは不要だ。市場に参加するのか、しないのかの二択だ。権威主義的な国で製品やサービスを立ち上げ、避けて通れない人権侵害の問題と同時に、自国市場で消費者からの抗議に対処するか、価値を堅持し、蜃気楼の中に見える独裁政権下での将来の利益を無視して立ち去るかだ。

だから筆者は最近、GoogleとNBAはただ立ち去るべきだと主張した。筆者の信念は変わらない。筆者がShutterstockに対し、中国を去って同社のより開放的で自由な価値に立ち返るよう呼びかけたのも同じだ。もはや米国のテック企業は、10年前と同じように人権問題にくさびを打つことはできない。インターネットは分断され、データの国家主権が高まっており、関わるか逃げるかの二者択一になる。究極的には、私はラジュネス氏の側につく。企業は去るべきだ。それ以外にほとんど選択肢はない。

[原文へ]

(翻訳:Mizoguchi)

投稿日:

カリフォルニア州民が個人情報売買を止められる企業ページの一覧

米国カリフォルニアの新しいプライバシー法が発効した。カリフォルニア州民は、ソーシャルネットワークや銀行、クレジット会社などさまざまな企業が集めている自身の個人データをこれまでよりもコントロールできる。1つだけ落とし穴がある。それは企業はこの法律を歓迎していないということ。多くの企業が法律に反対する動きをとった。

カリフォルニア州消費者プライバシー法(CCPA)では、州民なら誰でも企業が集めた自身についてのデータにアクセスし、コピーを入手することができる。またデータを削除したり、データの売買や収益化をオプトアウト(拒否)する権利も持つ。州レベルのプライバシー法見直しとしては現代では最大のものとなる。州当局はこの法律に違反した企業に対し罰金や制裁を科すことができる。ただし、これは7月からだ。同州で操業する多くのテック大企業がこの法律を遵守する用意ができていないことを考えた時、これはおそらく企業にとって歓迎する点だろう。

欧州のGDPR導入時に、その準備として多くの企業が新しいプライバシールールを作成した。そして消費者がデータにアクセスしたり、広告業者のようなサードパーティーにデータが売却されるのをオプトアウトしたりできる新しいデータポータルを作った。しかしそれらを見つけるのは容易ではない。大半の企業はどこにデータポータルがあるのか明示しておらず、往々にして見つけにくいようプライバシーポリシーの中に埋もれさせている。誰も見つけられないに等しい。

新たな法律が発効してまだ2日しかたっていないが、こうした見つけにくさをなんとかしようと、平凡な州民のために取り組んでいる人がいる。

Damian Finol(ダミアン・フィノル)氏は、カリフォルニアの住人がデータの売買をオプトアウトし、情報を要求できる企業ページの一覧を作成した。頻繁に更新されていて、いくつか挙げると、銀行や小売大手、車レンタルサービス、ゲーミング大企業、携帯電話販売会社などがこれまでのところ含まれている。

Caprivacy.meはカリフォルニア州民が企業に自分のデータを売らないよう意思を伝えたり、企業が蓄えている自身についての情報を請求したりできるページのリンク一覧だ(スクリーンショット:TechCrunch)

このプロジェクトはまだ初期段階にあり、コミュニティの貢献に頼っている(誰でも提案できる)とフィノル氏は話した。1日もたたずしてすでに80件以上のリンクが掲載されている。「私はプライバシーについて高い関心を持ち、個人プライバシーモデルがなんたるかを人々が声高に言えるようにしたい」とTechCrunchに対し語った。

さらに、この取り組みのモチベーションについて「私は1990年代に南米で育った。だから自分自身に関する真実をプライベートにしておくことは私にとって極めて大事なことだった。最近私は中東に住むLGBTQの兄妹のことを考えている。そこではプライバシーが侵害されれば死刑に直面することもありえる」と話した。

一気にすべてオプトアウトするという簡単な方法はまだない。カリフォルニア在住でオプトアウトしたい人はそれぞれのリンクを開いて作業しなければならい。しかし一度やれば、それで作業はおしまいだ。ポットにコーヒーを用意してから始めよう。

画像クレジット:Gallo Images / Getty Images

[原文へ]

(翻訳:Mizoguchi)

投稿日:

外貨両替大手のTravelexがマルウェアの被害でサービス中断

外貨両替店の大手Travelexが、12月31日にマルウェアの被害に遭い、一部のサービスを停止したことを確認した。ロンドンに本社があり全世界に1500店あまりを持つ同社によると、同社は「データを保護するための予防的措置として」システムをオフラインにし、マルウェアの拡散を防いだ。

同社の英国のサイトでは現在、オフラインで「重大事故」(Server Error)と書かれたページが表示されるだけだ。同社の企業サイトは「システムのアップグレードをしている間オフラインにする」と公表していた。Travelexからのツイートは、「ウェブサイトでもアプリでも通常の取引業務ができない」と説明している。一部の店舗では手作業で顧客の要求に応じている。一部のサービスをTravelexに依存している企業、例えばTesco Bankもこの間、問題を抱えている

Travelexの英国のウェブサイトは現在オフラインだ(スクリーンショット提供:TechCrunch)

同社によると、「これまでのところ」顧客のデータは侵害されていない、というが、その証拠などは示されていない。同社は「現在捜査中なのでマルウェアの種類などをお教えできない」と説明する。昨年は、著名企業がランサムウェアにやられる事故が増加した。それは、被害者のデータを暗号化して利用不能にし、身代金を払えば元に戻してやると迫るマルウェアだ。アルミニウム製造の大手Norsk Hydroと英国のPolice Federation(警察組合)が3月に、Arizona BeveragesAebi Schmidtが4月に、宅配のPitney Bowesは10月に被害に遭った。

市や州など一部の地方自治体も、ランサムウェアにやられた。そのため先月ニューオーリンズは非常事態宣言を公布した。Travelexのスポークスパーソンから、声明以外のコメントを得られなかった。

画像クレジット:Bloomberg/Getty Images

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

ロボコール遮断法案にトランプ大統領が署名

2019年12月31日、「Pallone-Thrune TRACED」法に大統領が署名した。ロボコールの背後にいる悪い輩を追い詰める超党派の法律だ。ワシントンで物事を動かすことはまだ可能なのだ!

TechCrunchは何度もTRACED法を取り上げてきた。ロボコールは大変迷惑なだけでなく、ハイテクがもたらす脅威でもある。巧妙なターゲティングと「なりすまし」の技術を用い、スキャマー(詐欺を働く者)は何百万もの電話をかける。電話の受け手をイライラさせるだけならいいが、最悪の場合受け手の隙につけこむ。

新しい法律がロボコールを一晩で一掃できるわけではないが、規制当局が行使できる手段は増える。筆者は12月初め、法案の条項を要約した

  • ロボコール迷惑行為に対するFCC(米通信委員会)の提訴期限を延長し、罰金を増額する
  • FCCはスパムコールとスパムテキストから消費者を守るための規則を作る(すでに着手)
  • FCCはロボコール対策に関する年報を作りFCC推奨の法案を作成する
  • 発信者電話番号の詐称を防止するためにSTIR/SHAKENフレームワーク(発信者電話番号の詐称を防ぐ技術)の適切な導入スケジュールを策定する
  • キャリアが上記サービスに課金できないようにし、合理的な範囲の錯誤による責任からキャリアを保護する
  • 司法長官は犯行者の訴追のために多省庁にまたがるタスクフォースを召集する
  • 司法省は犯行者を訴追できる
  • 確実に規則を機能させ、関連団体からフィードバックが集まるようにするために、限定的または包括的な調査を行う

FCCのAjit Pai(アジト・パイ)会長は、声明で賞賛の意を表明した。

議会が、違法ロボコールや発信者IDのなりすましと戦うために超党派で動いたことを称賛する。そして、この法律によって追加の手段と柔軟性が与えられることについて、大統領と議会に感謝する。具体的には、提訴期限が長くなったため、より長期間当局がスキャマーを追跡できることを嬉しく思う。従来必要とされた、厳罰を課す前の違法ロボコーラーへの警告義務の削除も歓迎する。

また、詐欺やなりすましのロボコールに煩わされていることを常に喚起してくれた米国民に感謝する。ロボコールや悪意のあるなりすましの攻撃に立ち向かう我々の絶え間ない努力を後押ししているのは彼らの声だ。

FCCにできることは限られており、この1億2000万ドル(約130億円)といった巨額の罰金でさえ、悪名高い業界にはほとんど影響を与えていない。「ティースプーンで海水を全てすくおうとしているようなものだ」と、当時のJessica Rosenworcel(ジェシカ・ローゼンウォルセル)コミッショナーは述べた。

TRACED法が大きなスプーン以上のものになることを願う。規制当局と通信業界が体制を新たに整え、実際に問​​題に取り組む長いプロセスが始まる。実際に被害が減ったことを確認するには数カ月以上かかるかもしれないが、少なくとも具体的に対策が取られ始めた。

画像クレジット:Getty Images

参考:米下院と上院が迷惑電話のロボコール対策法案で合意、早急の制定目指す

[原文へ]

(翻訳:Mizoguchi)

投稿日:

カリフォルニア州消費者プライバシー法が1月1日に発効

議論を呼んだ米国カリフォルニア州のプライバシー法が1月1日に正式に発効する。議会で可決後に署名されて1年半が経った。本人の許可なく個人情報を売りさばく法律軽視のテック企業に鉄槌が下されるまであと6カ月だ。

カリフォルニア州消費者プライバシー法(CCPA)は州レベルの法律で、企業には個人情報を収益化する意図をユーザーに通知する義務を課し、個人には収益化をオプトアウト(拒否)する簡明な手段を与える。

基本的な考え方の概要は以下の通りだ。

  • 企業は、収集する情報、その事業上の目的、データを共有する第三者を開示する義務を負う
  • 企業は、消費者が正式にデータ削除を要求した場合、それに従う義務を負う
  • 消費者は自身の個人データ売却をオプトアウトでき、企業は報復措置として価格やサービスレベルを変更できない
  • ただし企業は、データ収集の許可を得るために「金銭的インセンティブ」を申し出ることができる
  • カリフォルニア州当局は、違反に罰金を科す権限を持つ

法律の詳細はここで詳述されているが、企業や規制当局への影響が完全に理解され、また実際に影響が出るまでにはおそらく何年もかかる。とはいえ、直ちに影響を受けることが明らかな業界はパニックに陥っている。

インターネットに頼る著名な企業がCCPAに公然と反対している。企業は「そんな規制は不要だ」と発言するのを注意して避けてきた一方で、この規制は不要だと表明している。企業が必要だと表明しているのは連邦法だ。

字面だけ見ればこれは正しい。連邦法であれば、より多くの人々が保護され、企業のペーパーワークが減る。企業は、自社のプライバシーポリシーと報告がCCPAの要件を満たすようにしなければならない。だが、企業による連邦規制の要求は明らかに牛歩戦術だ。連邦レベルでの適切な法案は、大統領が弾劾されようとしている選挙の年はもちろん、最適な時期であっても1年以上の集中的な作業が必要となる。

そのため、カリフォルニア州は賢明にも事を進め住民を保護する制度を整備したが、結果としてカリフォルニアに拠点を置く多くの企業の怒りを買うことになった。

1月1日のCCPA正式発効後、6カ月の猶予期間がある。これは正常かつ必要な措置で、悪意のない間違いによる法律違反が罰せられるのを防ぎ、システム内で必ず発生するバグに対応する目的がある。

だが6月以降は、違反1件につき数千ドル(数十万円)規模の罰金が科される。Google(グーグル)やFacebook(フェイスブック)などの企業規模ではすぐに巨額になってしまう。

CCPAへの対応は難しいが、欧州でのGDPR(EU一般データ保護規則)の運用が示しているように、不可能とはほど遠い。CCPAの要求はあらゆる点でGDPRより厳しくない。それでも、あなたの会社がまだコンプライアンスに取り組んでいないなら、始めることを推奨する。

画像クレジット:Lee Woodgate / Getty Images

参考:シリコンバレーが恐れる米カリフォルニア州のプライバシー法

[原文へ]

(翻訳:Mizoguchi)

投稿日:

合法だからといって適正だとは限らない

企業は業界標準に準拠していることを吹聴しがちなもの。「プライバシー・シールド準拠」といったロゴ、スタンプ、あるいは何らかの表示を見たことのある人は多いだろう。私たちと同様、FTCですら数か月前に再認識させられたように、このラベルは最初から基準が満たされていることを意味するものではなく、ましてや数年後にようやく政府の査察の対象となったときに準拠することを示すものでもない。

画像クレジット:Westend61/Getty Images

Alastair Mactaggart(アラステア・マクタガート)氏は、CCPA(California Consumer Privacy Act、カリフォルニア州消費者プライバシー法)の推進を支援した活動家だが、CCPA 2.0への準拠を企業が自ら認証することを可能にする住民投票の実施を、まだ組織されていない政府機関に対して働きかけてきた。その種の広報活動は、プライバシーとセキュリティが重視されるような市場で、競争力を維持したいと考えている企業にとって必須のように思えるが、本当にそうだろうか?ビジネス上の配慮は別として、すべての既存のプライバシー関連の法律を遵守する道徳的義務はあるのだろうか?また、そのような法律への適用除外に依存するような企業は非倫理的なのだろうか?

私は、法律を遵守することと倫理的であることは同じであるという考えは認めない。片方がもう片方を自動的に意味するとも考えない。現実には、その判断は、コスト、顧客数、許容されるリスク、その他の要因に基づいた微妙なものとなる。さらに言えば、自発的な遵守を、信頼感の向上、あるいは利他主義的なものに見せかけることは、実際に消費者にとって有害なものとなる。なぜなら、現在のシステムでは、効果的でタイムリーな監視ができないし、実際に被った害に対して事後に対処するすべもないからだ。

適用除外に頼ることは非倫理的ではない

法律の遵守は倫理性とは直接関係ない。

その中心にあるのは、費用の検討と、その際の微妙な分析だ。プライバシー法は、立法者の希望とは裏腹に、白黒をはっきり付けるような施行ができるものではない。規制の対象となっていないデータの収集が、すべて非道なものというわけでもなく、自発的なものかどうかは別として、法律を遵守する企業が、すべて純粋に利他的だというわけでもない。ペナルティは金銭的負担となるものの、データ収集は多くの会社にとって収入源となる。さまざまなデータの大規模な蓄積から、知識と洞察が得られるし、他の会社も、そうしたデータにアクセスすることを必要とするからだ。

企業は、法律を遵守するためのシステムとプロセスの構築に加え、多くの場合、数千にも及ぶサービスプロバイダーとの既存の契約を改定するために必要となるコストと、そうした法律によって保護される消費者にサービスを提供できなくなることによる営業上の損失をてんびんにかける。

どの法律を適用するのか、という問題もある。ある法律を遵守することによって、免責を与えてくれていた別の法律によって提供される保護を無効にしたり、縮小させてしまう場合がある。たとえばある法律が、セキュリティを保護するために特定の情報を共有することを禁止していたとしても、別の法律は、それを開示することを要求するかもしれない。その場合、データと個人の安全性が低下してしまう。

厳格な法遵守が、プライバシーを重視する会社だという評判を高め、企業の地位を安泰にしてくれることもある。法律は最小限の基準であり、倫理は最大のものを規定することを意図している。たとえ不適合な法律であっても、それを遵守することは、文字通り会社にできる最小限のことだ。それにより、その会社は、それ以外の選択肢が選べなかったり、革新することができない状態に陥る。なぜなら、すでに期待された以上のことをしたとみなしてしまうからだ。こうしたことは、特に技術関連の法律の場合に起こり得る。というのも、立法側が、業界よりも遅れていたり、能力も低いことが多いからだ。

さらに言えば、何が倫理的であるかを決める人も、時間、文化、権力の力学によって異なってくる。全員を対象とする法律の文面を厳格に遵守するのは、同じデータでも異なる業界の企業は違った使い方をする、ということを考慮しないことになる。企業は、どのフレームワークを自発的に遵守すべきなのか、という疑問を抱くこともなく、1つのフレームワークに適合しようとするものだ。「そんなの簡単だ。最も高位で、強力で、厳格な標準を選べばいい」という声が聞こえてきそうだ。そうした形容詞は、みんな連邦プライバシー法について語る際に使われる言葉だ。とはいえ「最高位の」「最大の」「最強の」といった語は、すべて主観的であり、独立して存在できるものではない。特に国家がプライバシー法を、あれこれ寄せ集めて提示してきた際には注意を要する。

マサチューセッツ州は、影響を受けた消費者に対して、企業が詳細を提供することを禁止している。それが、「最大の」消費者保護を提供することだという人はいるに違いない。その一方で、カリフォルニア州が示す規範のように、可能な限り詳しい情報を提示することこそ、「最大の」保護を提供することだと信じている人たちもいるはずだ。どちらが正しいのだろうか?しかも、複数の州をまたいだデータの収集が行われる可能性も考慮しなければならない。そうしたことが起こった場合、どちらの法律が、そのような個人に適用されるのだろうか?

現在、政府機関は十分な監視を実施できない

運営者自身が法に準拠しないことが分かっているウェブサイトに、証明書を貼り付けることは、FTCによって不公平で詐欺的な行為とみなされている。しかし通常FTCには、初めての違反に対して罰金を課す権限がない。またFTCは、企業に対して消費者への補償を命じることができるものの、損害額を算出するのはかなり難しい。

残念ながら、プライバシー侵害による損害は、法廷で証明するのがさらに困難だ。もし勝訴したとしても、獲得した賠償金の大部分は弁護士のところに行ってしまい、個人が受け取る金額は、雀の涙ほどとなってしまう。最高裁判所が、「Clapper v. Amnesty Intern., USA. 133 S. Ct. 1138 (2013)」や「Spokeo, Inc. v. Robins, 136 S. Ct. 1540 (2016)」といった実際の判決で示しているように、詐欺の疑いや、データの損失、誤用によって起こった予想外の損害は、多分に推測的なもののため、訴訟を維持するのも難しい。

利用可能なリソースがほとんどない中、結果を求めて交渉する上で、このことがFTCを弱い立場に置くことになる。司法権は制限されており、銀行や非営利団体を統制することもできないため、FTCができることは、かなり限られているのだ。FTC長官のNoah Phillips(ノア・フィリップス)氏の言葉を借りれば、これは連邦プライバシー法のようなものを制定しない限り、変えることができない。データの利用と、それによる損害に明確な制限を設け、訴訟においては、そうした制限を強制する大きな権限をFTCに与えるものだ。

さらに、こうした法的な制約に加えて、FTCはプライバシーを扱う人員がが不足している。約40人の常勤の専任スタッフが、3億2000万人以上の米国人のプライバシー保護に当たっているのが実情だ。FTCがプライバシーを適切に規制するには、より多くの弁護士、より多くの捜査官、より多くの技術者、そして最先端のITツールを必要としている。それらがなければ、他の案件に対する人員不足を犠牲にしても、特定の調査に資金をつぎ込み続けるしかない。

監視機能を民間企業へアウトソーシングしても、今よりうまくいくとは限らない。理由は単純で、そうした認証は、特に最初の段階では、かなり高く付く。その結果、中小企業の競争力を損なうことになるからだ。さらに、企業内のプライバシー専門家や法務チームとは異なり、認証会社では、法律を文字通りに解釈しようとする傾向が強く、特定の業務におけるデータ利用法のモデルの微妙な違いに対応しようとはしない。

既存の救済策では消費者の損害に対処できない

例えば、ある政府機関が強制措置を実施することになったとしよう。現状では、そうした政府機関が持つ罰則の拘束力では、消費者が被った損害に適切に対処することができない。なぜなら、プライバシー法を遵守することは、するかしないかのオンオフではなく、しかも現在の制度が、金銭的な補償に重点を置いたものだからだ。

たとえ、法律を遵守するための行動が、あらかじめ定められていたとしても、遵守できるようになるには何年もかかり、遵守できていなかった期間に生じた結果に対処できない。

情報開示に基づく積極的な同意を得ていなかったとして、CNIL(情報処理と自由に関するフランスの国家委員会)がVectuaryに正式に警告した例を見てみよう。Vectuaryは、モバイルアプリのユーザーから位置情報データを収集し、小売業者にマーケティングサービスを提供していた。自主規制の協会、IABのTransparency and Consent Framework(透明性と同意のフレームワーク)を実装して開発した意思確認管理プラットフォームを使用したものだった。この警告が特に注目を集めたのも当然だ。Vectuaryは、確立された事業者団体のガイドラインに従っていたにもかかわらず、その同意が無効と見なされたからだ。

この結果CNILは、この方法によるデータの処理を停止し、その期間中に収集したデータも削除するよう、Vectuaryに通告した。この決定は、同社にシステムを再構築することを余儀なくさせたので、1つの勝利としてカウントしてもいいだろう。しかし、そうすることが可能な予算を持っている会社は、どれくらいあるのだろう。そもそも、規制に対処するためのリソースを持っているかどうかも怪しいというのに。さらに言えば、対応には時間がかかる。その間のビジネスモデルはどうなってしまうのか? 政府機関が定めた準拠までの期限の間、準拠していない状態が続くことは、論理的に許されるのだろうか?元のデータが削除されたとしても、すでにデータを共有した関係者や、そのデータを前提に構築した推察は、どうすることもできない。

自己申告による偽のプライバシー・シールド準拠対応策について検討してみると、さらに先行きが暗い。企業のサイトにあるプライバシー・シールドのロゴは、その会社としては、国境を越えたデータ転送が適切に保護されていて、なおかつ転送先の関係者は責任を持ってそのデータを扱うものと、その会社は考えている、ということを基本的に宣言している。従って、ある企業が、そうした基本的な宣言を偽って行なったり、一部の要求事項を満たすことができないことがわかった場合には、そのようなデータ転送は停止させる必要がある。もし、そうした転送が、その会社が提供するサービスの一部であった場合には、そのようなサービス自体を顧客に提供することを、直ちに停止するだけでいいのだろうか?

実際には、必ずしも適用されない法律を遵守しないことを選択するのは、顧客のことを気にかけていないとか、不道徳気にしないといった問題ではないだろう。文字通り「そういう仕組になっていない」ということ。それに、遵守しようとすること自体、消費者にとって何の利益も生み出さないのだ。それは、最終的に重要な、消費者のためになるのだろうか?

【編集部注】著者のPolina Arsentyeva(ポリナ・アルセンティエワ)は、かつて商事関係訴訟を担当する弁護士で、現在はデータ保護を専門としている。フィンテック企業やスタートアップ企業に対して、透明性を保ちつつプライバシーを守る革新的なデータの使用方法について助言している。なお、この記事で表明された見解は著者個人のものであり、彼女の会社、投資家、顧客、その他とは無関係だ。

原文へ

(翻訳:Fumihiko Shibata)

投稿日:

合法だからといって適正だとは限らない

企業は業界標準に準拠していることを吹聴しがちなもの。「プライバシー・シールド準拠」といったロゴ、スタンプ、あるいは何らかの表示を見たことのある人は多いだろう。私たちと同様、FTCですら数か月前に再認識させられたように、このラベルは最初から基準が満たされていることを意味するものではなく、ましてや数年後にようやく政府の査察の対象となったときに準拠することを示すものでもない。

画像クレジット:Westend61/Getty Images

Alastair Mactaggart(アラステア・マクタガート)氏は、CCPA(California Consumer Privacy Act、カリフォルニア州消費者プライバシー法)の推進を支援した活動家だが、CCPA 2.0への準拠を企業が自ら認証することを可能にする住民投票の実施を、まだ組織されていない政府機関に対して働きかけてきた。その種の広報活動は、プライバシーとセキュリティが重視されるような市場で、競争力を維持したいと考えている企業にとって必須のように思えるが、本当にそうだろうか?ビジネス上の配慮は別として、すべての既存のプライバシー関連の法律を遵守する道徳的義務はあるのだろうか?また、そのような法律への適用除外に依存するような企業は非倫理的なのだろうか?

私は、法律を遵守することと倫理的であることは同じであるという考えは認めない。片方がもう片方を自動的に意味するとも考えない。現実には、その判断は、コスト、顧客数、許容されるリスク、その他の要因に基づいた微妙なものとなる。さらに言えば、自発的な遵守を、信頼感の向上、あるいは利他主義的なものに見せかけることは、実際に消費者にとって有害なものとなる。なぜなら、現在のシステムでは、効果的でタイムリーな監視ができないし、実際に被った害に対して事後に対処するすべもないからだ。

適用除外に頼ることは非倫理的ではない

法律の遵守は倫理性とは直接関係ない。

その中心にあるのは、費用の検討と、その際の微妙な分析だ。プライバシー法は、立法者の希望とは裏腹に、白黒をはっきり付けるような施行ができるものではない。規制の対象となっていないデータの収集が、すべて非道なものというわけでもなく、自発的なものかどうかは別として、法律を遵守する企業が、すべて純粋に利他的だというわけでもない。ペナルティは金銭的負担となるものの、データ収集は多くの会社にとって収入源となる。さまざまなデータの大規模な蓄積から、知識と洞察が得られるし、他の会社も、そうしたデータにアクセスすることを必要とするからだ。

企業は、法律を遵守するためのシステムとプロセスの構築に加え、多くの場合、数千にも及ぶサービスプロバイダーとの既存の契約を改定するために必要となるコストと、そうした法律によって保護される消費者にサービスを提供できなくなることによる営業上の損失をてんびんにかける。

どの法律を適用するのか、という問題もある。ある法律を遵守することによって、免責を与えてくれていた別の法律によって提供される保護を無効にしたり、縮小させてしまう場合がある。たとえばある法律が、セキュリティを保護するために特定の情報を共有することを禁止していたとしても、別の法律は、それを開示することを要求するかもしれない。その場合、データと個人の安全性が低下してしまう。

厳格な法遵守が、プライバシーを重視する会社だという評判を高め、企業の地位を安泰にしてくれることもある。法律は最小限の基準であり、倫理は最大のものを規定することを意図している。たとえ不適合な法律であっても、それを遵守することは、文字通り会社にできる最小限のことだ。それにより、その会社は、それ以外の選択肢が選べなかったり、革新することができない状態に陥る。なぜなら、すでに期待された以上のことをしたとみなしてしまうからだ。こうしたことは、特に技術関連の法律の場合に起こり得る。というのも、立法側が、業界よりも遅れていたり、能力も低いことが多いからだ。

さらに言えば、何が倫理的であるかを決める人も、時間、文化、権力の力学によって異なってくる。全員を対象とする法律の文面を厳格に遵守するのは、同じデータでも異なる業界の企業は違った使い方をする、ということを考慮しないことになる。企業は、どのフレームワークを自発的に遵守すべきなのか、という疑問を抱くこともなく、1つのフレームワークに適合しようとするものだ。「そんなの簡単だ。最も高位で、強力で、厳格な標準を選べばいい」という声が聞こえてきそうだ。そうした形容詞は、みんな連邦プライバシー法について語る際に使われる言葉だ。とはいえ「最高位の」「最大の」「最強の」といった語は、すべて主観的であり、独立して存在できるものではない。特に国家がプライバシー法を、あれこれ寄せ集めて提示してきた際には注意を要する。

マサチューセッツ州は、影響を受けた消費者に対して、企業が詳細を提供することを禁止している。それが、「最大の」消費者保護を提供することだという人はいるに違いない。その一方で、カリフォルニア州が示す規範のように、可能な限り詳しい情報を提示することこそ、「最大の」保護を提供することだと信じている人たちもいるはずだ。どちらが正しいのだろうか?しかも、複数の州をまたいだデータの収集が行われる可能性も考慮しなければならない。そうしたことが起こった場合、どちらの法律が、そのような個人に適用されるのだろうか?

現在、政府機関は十分な監視を実施できない

運営者自身が法に準拠しないことが分かっているウェブサイトに、証明書を貼り付けることは、FTCによって不公平で詐欺的な行為とみなされている。しかし通常FTCには、初めての違反に対して罰金を課す権限がない。またFTCは、企業に対して消費者への補償を命じることができるものの、損害額を算出するのはかなり難しい。

残念ながら、プライバシー侵害による損害は、法廷で証明するのがさらに困難だ。もし勝訴したとしても、獲得した賠償金の大部分は弁護士のところに行ってしまい、個人が受け取る金額は、雀の涙ほどとなってしまう。最高裁判所が、「Clapper v. Amnesty Intern., USA. 133 S. Ct. 1138 (2013)」や「Spokeo, Inc. v. Robins, 136 S. Ct. 1540 (2016)」といった実際の判決で示しているように、詐欺の疑いや、データの損失、誤用によって起こった予想外の損害は、多分に推測的なもののため、訴訟を維持するのも難しい。

利用可能なリソースがほとんどない中、結果を求めて交渉する上で、このことがFTCを弱い立場に置くことになる。司法権は制限されており、銀行や非営利団体を統制することもできないため、FTCができることは、かなり限られているのだ。FTC長官のNoah Phillips(ノア・フィリップス)氏の言葉を借りれば、これは連邦プライバシー法のようなものを制定しない限り、変えることができない。データの利用と、それによる損害に明確な制限を設け、訴訟においては、そうした制限を強制する大きな権限をFTCに与えるものだ。

さらに、こうした法的な制約に加えて、FTCはプライバシーを扱う人員がが不足している。約40人の常勤の専任スタッフが、3億2000万人以上の米国人のプライバシー保護に当たっているのが実情だ。FTCがプライバシーを適切に規制するには、より多くの弁護士、より多くの捜査官、より多くの技術者、そして最先端のITツールを必要としている。それらがなければ、他の案件に対する人員不足を犠牲にしても、特定の調査に資金をつぎ込み続けるしかない。

監視機能を民間企業へアウトソーシングしても、今よりうまくいくとは限らない。理由は単純で、そうした認証は、特に最初の段階では、かなり高く付く。その結果、中小企業の競争力を損なうことになるからだ。さらに、企業内のプライバシー専門家や法務チームとは異なり、認証会社では、法律を文字通りに解釈しようとする傾向が強く、特定の業務におけるデータ利用法のモデルの微妙な違いに対応しようとはしない。

既存の救済策では消費者の損害に対処できない

例えば、ある政府機関が強制措置を実施することになったとしよう。現状では、そうした政府機関が持つ罰則の拘束力では、消費者が被った損害に適切に対処することができない。なぜなら、プライバシー法を遵守することは、するかしないかのオンオフではなく、しかも現在の制度が、金銭的な補償に重点を置いたものだからだ。

たとえ、法律を遵守するための行動が、あらかじめ定められていたとしても、遵守できるようになるには何年もかかり、遵守できていなかった期間に生じた結果に対処できない。

情報開示に基づく積極的な同意を得ていなかったとして、CNIL(情報処理と自由に関するフランスの国家委員会)がVectuaryに正式に警告した例を見てみよう。Vectuaryは、モバイルアプリのユーザーから位置情報データを収集し、小売業者にマーケティングサービスを提供していた。自主規制の協会、IABのTransparency and Consent Framework(透明性と同意のフレームワーク)を実装して開発した意思確認管理プラットフォームを使用したものだった。この警告が特に注目を集めたのも当然だ。Vectuaryは、確立された事業者団体のガイドラインに従っていたにもかかわらず、その同意が無効と見なされたからだ。

この結果CNILは、この方法によるデータの処理を停止し、その期間中に収集したデータも削除するよう、Vectuaryに通告した。この決定は、同社にシステムを再構築することを余儀なくさせたので、1つの勝利としてカウントしてもいいだろう。しかし、そうすることが可能な予算を持っている会社は、どれくらいあるのだろう。そもそも、規制に対処するためのリソースを持っているかどうかも怪しいというのに。さらに言えば、対応には時間がかかる。その間のビジネスモデルはどうなってしまうのか? 政府機関が定めた準拠までの期限の間、準拠していない状態が続くことは、論理的に許されるのだろうか?元のデータが削除されたとしても、すでにデータを共有した関係者や、そのデータを前提に構築した推察は、どうすることもできない。

自己申告による偽のプライバシー・シールド準拠対応策について検討してみると、さらに先行きが暗い。企業のサイトにあるプライバシー・シールドのロゴは、その会社としては、国境を越えたデータ転送が適切に保護されていて、なおかつ転送先の関係者は責任を持ってそのデータを扱うものと、その会社は考えている、ということを基本的に宣言している。従って、ある企業が、そうした基本的な宣言を偽って行なったり、一部の要求事項を満たすことができないことがわかった場合には、そのようなデータ転送は停止させる必要がある。もし、そうした転送が、その会社が提供するサービスの一部であった場合には、そのようなサービス自体を顧客に提供することを、直ちに停止するだけでいいのだろうか?

実際には、必ずしも適用されない法律を遵守しないことを選択するのは、顧客のことを気にかけていないとか、不道徳気にしないといった問題ではないだろう。文字通り「そういう仕組になっていない」ということ。それに、遵守しようとすること自体、消費者にとって何の利益も生み出さないのだ。それは、最終的に重要な、消費者のためになるのだろうか?

【編集部注】著者のPolina Arsentyeva(ポリナ・アルセンティエワ)は、かつて商事関係訴訟を担当する弁護士で、現在はデータ保護を専門としている。フィンテック企業やスタートアップ企業に対して、透明性を保ちつつプライバシーを守る革新的なデータの使用方法について助言している。なお、この記事で表明された見解は著者個人のものであり、彼女の会社、投資家、顧客、その他とは無関係だ。

原文へ

(翻訳:Fumihiko Shibata)

投稿日:

ウィキメディア財団がインドが提案する仲介者責任規則に深い懸念を表明

Wikipediaをはじめ、さまざまなプロジェクトを運用している非営利団体であるWikimediaが、インド政府に国の仲介者責任規則の変更案を考え直すよう促している。その変更は大量の企業と5億あまりの人々の情報へのオンラインアクセスに影響を及ぼす。

同団体はインド政府に、仲介者(情報の授受を仲介するサービス)ルールの最新の変更案を公開し、インドではインターネットがどのように統治されるべきかに関し、利害を有する者全員に十分な情報に基づく堅固な議論に参加する機会を与えるべきと求めた。

インドの仲介者ルールに対する政府の改定案は12月に提出され、その後数カ月内に承認されると予想される。その提案によると、インドの電子IT省は仲介者アプリケーション(ユーザー数500万以上のサービス)に、インド国内にオフィスを持ち法律的問題に責任を持ちうる上級役員を置くよう要求できる。

Wikimedia Foundationの法務担当Amanda Keton(アマンダ・ケトン)氏は米国時間12月26日、中間者ルールのインドの改定案は、ユーザーの寄与貢献に依存する公開編集方式で、誰もが新しい記事を書いたり既存の記事を改訂できるWikipediaの事業に深刻な影響を及ぼし、他の団体にも影響が及ぶと述べた。

彼女はまた、そのルールにより非営利のテクノロジー団体に相当量の財務的負担が生じ、またインドのインターネットユーザーの表現の自由を損なうと説明する。Wikimedia Foundationはその懸念を、インドの電子IT省長官であるRavi Shankar Prasad(ラビ・シャンカール・プラサード)氏に伝えた。その書簡を誰もが見られるように、自らのブログにも載せた。

仲介者ルールのインドの最近の変更案はインターネットを地元住民にとってより安全な体験にするために起案され、仲介者は「不法な情報やコンテンツへの公開アクセスを事前に見つけて削除または無効化するための」自動ツールをデプロイしなければならないとしている。

この変更案を懸念する者は多い。今年初めにはMozillaとMicrosoftのGitHub、およびWikimediaの連名書簡により、仲介者に不法コンテンツを事前に排除させるというインド政府の要求は、「(仲介者でなく)不法な活動を行っている悪者を有責とし、企業はそういう行為を知っていたときにのみ責任を負うという、既存の法に盛り込まれた細心の均衡を崩す」と主張した。

このグループはまた、インド政府の案では「インターネットサービスの上の監視の要求が大きく拡張される」と注意を喚起した。GoogleやFacebookなども含まれるインドのいくつかの業界団体も、政府案の大幅な変更を求めている。米国時間12月16日に発行された公開書簡でWikimediaのケトン氏もこれらの懸念を繰り返し、「コンサルテーションに参加した者も一般公衆も、昨年以降はルールの新しい案を目にしていない」と言っている。彼女はまた、最近提案されたルール案で仲介者の定義の範囲が広くなりすぎているのを改めるよう政府に求めている。

インドはWikipediaの5番目に大きな市場であり、先月の訪問者は7億7100万件を超えている。Wikimediaはインド語のWikipediaを拡張するために、人々を招いていろんな事業を行っている。

ケトン氏はインド政府に、オンラインのコミュニケーションに「追跡可能性」を導入する要件を考え直すよう説得した。それがあるとWikipediaの寄与貢献者たちが自由に参加することが困難になるからだ。追跡可能性についてはWhatsAppが、そのような要求に応じたら、どのユーザーも自分のメッセージの暗号化を危険にさらすことになると語った。

関連記事: インドが政府による個人データアクセスを可能にする新法案を提案

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

Android版Twitterアプリのバグで1700万件もの電話番号とユーザーアカウントがマッチされる

セキュリティ専門家が、TwitterのAndroidアプリに存在していたバグを利用して1700万人のユーザーアカウントと電話番号をマッチさせることに成功した。

Ibrahim Balic(イブラヒム・バリック)氏は電話番号の巨大リストを生成し、Twitterの「アドレス帳の連絡先を同期」する機能を利用して一挙にアップロードした。TechCrunchの取材に対してバリック氏は「リストにある電話番号がヒットすれば、Twitterは相当するユーザーアカウントを返してきた」と確認した。

実はTwitterの連絡先アップロード機能には、シーケンシャルな(連続した)番号を受け付けない仕組みがある。これは「マッチング攻撃」を防ぐためのものだったが、バリック氏は20億件の電話番号を生成した後ランダム化して、AndroidアプリからTwitterにアップロードした。バリック氏によれば、こうした巨大なサイズのファイルを受け付けてしまうバグはウェブ版のTwitterには存在していなかったという。

バリック氏はこの方法で、2カ月にわたって電話番号つきユーザーアカウント情報を入手した。ユーザーはイスラエル、トルコ、イラン、ギリシャ、アルメニア、フランス、ドイツの人々だったという。Twitterは12月20日にこの方法による情報入手をブロックした。

電話番号にマッチしたアカウントの一部をサンプルとして、バリック氏はTechCrunchに示してくれた。我々はランダムにユーザー名を生成し、パスワードのリセット機能を利用して電話番号とマッチングさせてその情報が正しいことを確認した。イスラエルの有力政治家のユーザーアカウントがマッチしたこともあった。

またバリック氏は、この脆弱性をTwitterに伝えなかったが、政治家や官僚を含む有力なTwitterユーザーに対してはWhatsAppのグループに投稿して直接問題を伝えたという。

バリック氏の調査は、今週に投稿されたTwitterのブログ記事とは直接の関係はないもののようだ。Twitterは「非公開の情報を入手し、あるいはアカウントを乗っ取ることが可能になる脆弱性を修正した」という。

Twitterの広報担当者はTechCrunchに対し「今後、このようなバグが悪用されないよう修正作業を進めている」と確認した。【略】

今年、Twitterでは重大なセキュリティー問題が何回か発見されている。5月にはTwitterはロケーション情報記録機能からオプトアウトしているユーザーのロケーション情報を提携企業に渡していたことが発覚した。8月には広告主企業に必要以上の情報を引き渡していた。さらに先月、Twitterはユーザーが2段階認証のために登録した電話番号を広告ターゲティングに使っていたことを認めている。

バリック氏は2013年にAppleのデベロッパーセンターがハッカーに侵入されていたことを発見したことで知られている。

画像: Josh Edelson / Getty Images

原文へ

滑川海彦@Facebook

投稿日:

マスターカードがセキュリティ評価のスタートアップ、RiskReconを買収

画像クレジット: Roberto Machado Noa / Getty Images

米国時間12月23日、マスターカード は公開データを利用して組織のセキュリティに関する評価を行う、ソルトレイクシティのスタートアップ、RiskRecon(リスクリコン)の買収を発表した。両社は買収価格を公表していない。

マスターカードのような金融サービス企業にとって、顧客のサイバーセキュリティを対策における支援は、徐々に重要性を増している。さらにRiskReconは、顧客が関心を寄せる企業のリスクプロファイルの客観的スコアを提供する。

「AIとデータドリブンの高度な技術の強力な組み合わせによって、RiskReconは既存の戦略と技術を補完してサイバー空間を保護するエキサイティングな機会を提供します」と声明の中で述べているのは、マスターカードのサイバー&インテリジェンス担当役員のAjay Bhalla(アジェイ・バラ)氏だ。

RiskReconのCEOであるKelly White(ケリー・ホワイト)氏は、300万ドルのシードラウンド直後に行われた2016年のインタビューの中で、TechCrunchに対して、同社はインターネット上で容易に利用可能な情報を使い、それらを組み合わせることで企業の全体的なセキュリティリスクを計測するのだと語っている:

RiskReconは、ビジネスの一部をウェブ上で行っている企業に関する情報をウェブ上で入手して活用している。「ウェブサーバーやDNSサーバーを立ち上げた場合、それらはインターネット上でサービスを提供しているので、特に発見しやすい。私たちのシステムは、セキュリテ性能を判断できるように、対象の上で実行されているソフトウェアとバージョン情報を明らかにします」

ホワイト氏は、マスターカードと一緒になることは、より大きな組織の一員になれるということだと考えている。「チームの一員になることで、ソリューションを拡張し、新しい業界や地域の企業が、サイバーセキュリティリスクをより適切に管理するための手段を高じる機会を得ることができます」と今回の声明で述べている。

Crunchbaseのデータによれば、RiskReconは2015年に創業され、これまでに4000万ドル(約44億円)を調達している。投資家にはAccel、Dell Technologies Capital、General Catalyst、そしてF-Prime Capitalが名前を連ねている。

なお同社はこの分野における唯一の企業ではない、2013年に創業し、Crunchbaseのデータでは1億1200万ドル(約123億円)以上を調達している、ニューヨークに本社を置くSecurityScoreCardと競合していることには、注意が必要だ。同社における最後の調達は、6月に行われた5000万ドル(約55億円)だ。

本日の取引は、規制当局の標準的な承認が必要となるものとなるが、手続きは2020年の第1四半期に完了する予定だ。

投稿日:

Spotifyは謎のUSBメモリを報道陣に送るべきではなかった

先週Spotifyは、報道関係者に大量のUSBメモリを送りつけ、そこには 「Play me.(再生してください)」と書かれていた。

記者がUSBメモリを受け取るのは珍しいことではない。テック系カンファレンスなどでビデオなど配布が困難な大きいファイルを配布するために、企業がUSBメモリを配ることはよくある。

しかし、基礎的なセキュリティー訓練(TechCrunchでも行っている)を受けた人なら、十分な注意を払わずに、USBメモリを差し込んではいけないことを知っている。
心配しながらもひるむことなく、われわれは予備のコンピューターで動く使い捨てバージョンのUbuntu Linux(CDから起動)でUSBメモリの内容を安全に検査した。調べた結果そのUSBに問題はなかった。

USBメモリの中にはオーディオファイルが1つだけあり、再生すると 「This is Alex Goldman, and you’ve just been hacked(私はアレックス・ゴールドマン、あなたはたった今ハックされた)」という音声が流れた。

そのUSBは、単なるSpotifyポッドキャストのプロモーションだった。もちろん、そのために送られたものだったためだ。

Spotifyが記者団に送付したUSBメモリ(画像:TechCrunch)

元NSAハッカーでRendition Infosecのファウンダー、Jake Williams(ジェイク・ウィリアムズ)氏は、記者たちにUSBメモリを挿させようとしたことを「驚くべき鈍感」な行為であると指摘した。

USBメモリは本質的に悪質のあるものではないが、発電所核濃縮施設などのインターネット接続のない場所でのハッキングに使われることでも知られている。USBメモリに入れられたマルウェアが標的のパソコンにバックドアをインストールすることがある、とウィリアムズ氏は言う。

「USBメモリ内のファイルが攻撃性のあるコンテンツを含む」場合もあり、開くとパソコン上のバグを悪用する恐れがあると同氏は言った。

Spotifyの広報担当者から返答はなかった。代わりに、本誌の質問をSpotifyと契約している広報会社であるSunshine Sachs(サンシャインサックス)に転送し、同社からは「記者は全員このUSBメモリが送られることを予告するメールを受け取っている」という以上のコメントはなかった。

正体不明のUSBメモリを挿入することは、みんなが想像している以上に大きい問題だ。Googleのセキュリティー研究者、Elie Bursztein(エリー・ブルステイン)氏は自身で行った調査の結果、およそ半数の人々が不明のUSBメモリを自分のパソコンに差し込むことを発見した。

今年、農業機械メーカー最大手のJohn Deere(ディア・アンド・カンパニー)は、配布したプロモーション用USBメモリがパソコンのキーボードをハイジャックしたことで大騒動を起こした。USBメモリが挿入された時に自動的に実行されるコードが仕込まれていて、ブラウザーを起動し自動的に会社のウェブサイトのURLをタイプした。本質的に悪質なものではなかったものの、多くのマルウェアが同様の方法を用いていたことから、同社のやり方は厳しく批判された。

USBメモリが起こす可能性のある脅威を踏まえ、国土安全保障省のサイバーセキュリティー部門であるCISAは先月、USBメモリのセキュリティーに関する指針を改定した。記者は一部の国々の政府の標的になることが頻繁にあり、 標的型サイバーアタックもそのひとつだ。

警告:USBメモリの扱いには十分な注意を怠らないこと。信用できる時以外、決して挿入しないこと。

関連記事:シークレットサービスであってもUSBメモリをやみくもにコンピュータに接続してはいけない

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿日:

米海軍でTikTokが使用禁止に、国家安全保障上の懸念から

TikTokは、インターネットの歴史の中でも、最も急速に成長しているソーシャルネットワークかもしれない。しかし急速に大きくなっているのは、むしろセキュリティ上の脅威であり、米国の対中国強硬派による攻撃の的となってきた。

その最新の展開は、米国海軍が発行した通知から知ることができる。その内容は、ロイターサウスチャイナ・モーニング・ポストが報じた。それによれば、TikTokは、もはや米軍人のデバイスにインストールすることは許されず、米軍のイントラネットから排除される可能性もあるという。

これは、この非常に人気のあるアプリが直面している災難の直近の一例に過ぎない。最近、ミズーリ州選出のJosh Hawley(ジョシュ・ホーリー)上院議員が率いる議会は、中国などの外国政府とデータを共有する可能性のある他のハイテク企業とともに、TikTokと、Sequoiaが支援する親会社ByteDanceに対して、国家安全保障に関する査察を要求した。機密通信の漏洩に対する懸念により、米国政府は最近、同性愛者のソーシャルネットワークアプリGrindrを、買収先の中国企業、Beijing Kunlunから買い戻すことも要求した。

太平洋を挟んだ両国の関係の悪化によって、両国間でIT企業をうまく運営することは、ますます困難になっている。私が最近TechCrunch上で議論したように、Shutterstockは、同社のストックフォトプラットフォーム上で、中国政府が難癖をつけそうな写真を検索することを、意図的に難しいものにしてきた。重要な収入源を失わないようにするための方策だ。

関連記事:ストックフォトShutterstockの中国検閲問題はハイテク企業が対中関係を見直すべき契機

同様の試練は、Googleと、同社の中国に特化した検索エンジン、Poject Dragonflyにも見ることができる。もちろんNBAの問題もしかりだ。

ここで興味深いのは、両国の企業が、それぞれ両国政府の政策に苦労していること。ByteDanceのような中国企業は、標的にされることが多くなり、米国市場から追い出されようとしている。そして米国企業も、中国で足場を築くのに長いこと苦労してきた。以前に比べれば平等な競争の場になってきてはいるかもしれないが、そうであるべきほど自由な市場にはなっていない。

中国と米国との貿易摩擦が続く中、両国の政治家が設定した境界線内にうまく収まることのできない企業には、ますます損害が降り掛かっている。将来、このような分断を埋めることができるIT企業が登場するかどうかは、残念ながら、今のところ不透明だ。

原文へ

(翻訳:Fumihiko Shibata)

投稿日:

F5がセキュリティ企業のShape Securityを100億円超で買収

F5は12月20日、スタートアップShape Securityをおおよそ10億ドル(約1090億円)で買収するという豪華なプレゼントを手にした。ネットワーキング企業F5が手に入れた赤いリボンのついたものは、クレデンシャルスタッフィングのような自動のサイバー攻撃を阻止するのに役立つセキュリティプロダクトだ。今年はじめの記事で、ShapeのCTOであるShuman Ghosemajumder(シューマン・ゴセマジャンダー)氏は同社の事業について以下のように説明している。

当社は米国の大手銀行や大手航空会社のほとんど、またメジャーな小売、ホテルチェーン、政府機関などを保護する、企業を相手にした事業会社だ。我々は特にそうした企業を、消費者向けアプリケーション(ウェブサイトやモバイルアプリ)でのオートマティックな詐欺や乱用から保護している。

F5の会長でCEOのFrançois Locoh-Donou(フランソワ・ロコー・ドヌー)氏は、包括的な方法で顧客を守るという方法を描いている。「Shapeとともに、我々はエンドツーエンドのアプリケーション保護を提供する。これは、売上を上げ、ブランドを支えるアプリケーションが作られたときから顧客が利用するときに至るまで守ることを意味する」とロコー・ドヌー氏は声明文で述べた。

ShapeのCEOのDerek Smith氏は、同社がF5を顧客として抱えていたことを考えれば、F5が買い手となったのはすごい偶然というわけではない、と話した。買収により、2社は1つのプラットフォームとして協業することになる。

Crunchbaseデータによると、Shapeは2011年にサービスを開始し、1億8300万ドル(約200億円)を調達した。投資家にはKleiner Perkins、Tomorrow Partners、Norwest Venture Partners、Baseline Ventures、そしてC5 Capitalが名を連ねる。直近の資金調達は9月に行われ、同社は5100万ドル(約56億円)を調達し、バリュエーションは10億ドル(約1090億円)となった。

F5は今年、支出ムードだった。3月にはNGINXを6億7000万ドル(約730億円)で買収した。NGINXは社名を冠したオープンソースのウェブサーバーを展開している企業だ。2014年からそのときまで買収していなかったことは、記すに値するだろう。

セキュリティのM&Aにおいては大きな年だった。6月にセキュリティ会社4社が3日間のうちに売却された。ここには、 Insight Partnersによる7億8000万ドル(約850億円)でのRecorded Future買収、FireEyeによる2億5000万ドル(約270億円)でのVerodin買収が含まれれる。Palo Alto Networksはこの期間、2社を買収した。4億ドル(約440億円)でのTwistlock、6000〜7000万ドル(約66〜77億円)でのPureSecの買収だ。

F5によるShapeの買収は、もちろん当局の承認次第ではあるが、2020年半ばにクローズする見込みだ。ShapeのSmith氏はF5のマネジメントチームに加わり、Shapeの従業員はF5に組み込まれる。同社のサンタクララの本部はそのまま残る。

[原文へ]

(翻訳:Mizoguchi)

投稿日:

医療スタートアップLyfebinの医療用画像が野ざらし状態に

医療スタートアップのLyfebin(ライフビン)は、X線写真、MRI画像、超音波画像など数千件の医療用画像ファイルを、誰でもアクセスできる保護されていない場所に保管していた。ロサンゼルスに本社を置くこの医療スタートアップは、医師や医療関係者が医用画像を「安全な環境」と同社のウェブサイトでうたっている場所に保管し、患者や医師たちがどこからでもアクセスできるようにしていた。

しかしながら、実際のところそのファイルはAmazon Web Services(AWS)のバケットに、パスワードも設定せずに保存されていた。ウェブアドレスは誰でも簡単に推測できるもので、簡単にデータにアクセスできてしまう。保護されずに置かれていたファイルは、2018年9月から2019年10月までの日付のものだ。

我々がセキュリティー上の過失を警告した後、Lyfebinはデータを保護する対策を採った。そのバケットには9万3000件以上ものファイルがあった。重複しているものが多いようだが、医療スキャンデータも含まれている。これらのファイルは、医療用画像機器の共通フォーマットであるDICOMで保存されていた。DICOMファイルを開くと、スキャン画像のほかに、患者の生年月日や担当医の名前などのメタデータも確認できる。

何人の患者に影響があるのかという我々の質問に、Lyfebinからの回答はなかったが、匿名の広報担当者は、当該バケットは「テスト用の環境であり、架空のアカウントと架空の患者のアカウントを使って新機能を試していた」と主張した。しかし、その主張を裏付ける証拠は示されていない(この広報担当者の名前を何度も尋ねたが、同社の担当者からの返信はなくなった)。

保護されないバケットの中にあったスキャン映像

「患者の情報をサーバーに取り込む際、私たちは個人が特定できる情報を削除しています」と匿名の広報担当者は言う。「患者の個人情報は漏洩していません」と彼らは補足した。

ファイルの多くは、ある程度まで匿名化されているようだが、いくつかの特定可能な情報が存在している証拠も見つかっている。ファイルのカバーシートにある患者の名前はスクランブル処理がされていたものの、担当医の名前や患者の性別と生年月日などが特定できる。

我々が調べた中には、名前が含まれているものも1つあった。そのファイルには個人を特定するのに十分な情報が含まれていて、公的な記録を使ってその人物を探し出すことができた。本人に連絡をとって聞いてみたが、スキャンを行った正確な日付は憶えていないようだった。

この件について確認をとると、匿名の広報担当者は、そのデータには「架空の患者情報」が含まれているという主張を繰り返し、法的な措置をとるとTechCrunchを脅してきた。

「これを記事にすれば、私たちの法務チームが記事を精査して不正確な記述をすべて洗い出し、あなたとTechCrunchの不法行為に対し、できるうる限り最大の訴訟を起こします」と広報担当者は言った。

Lyfebinは、バケットが野ざらし状態、誰でもアクセス可能だった期間など、その他の質問には回答しなかった。同社にはセキュリティー上の過失を患者に知らせる予定はあるのか、また州のデータ漏洩通知法にもとづいてこの事件を地元当局に報告する予定はあるのかに関しても何も述べていない。

画像クレジット:Getty Images

[原文へ]

(翻訳:金井哲夫)

投稿日:

1500個以上のRingのパスワードがダークウェブ上で発見

あるセキュリティ研究者が、ダークウェブ上でドアベルカメラのRingに関連つけられた1562個の電子メールアドレスとパスワードを発見した。

このパスワードのリストは米国時間の12月17日に、ダークウェブ上の匿名のテキスト共有サイトにアップロードされたものだ。このサイトは一般に、盗まれたパスワードや違法な資料を共有するために使用されている。その場所であるセキュリティ研究者が、Ringカメラへのログインとアクセスに使用できる電子メールアドレスとパスワードのキャッシュをカメラのタイムゾーンや「ドライブウェイ」や「玄関」といった設置位置情報と共に発見したのだ。

その研究者が、その調査結果をRingブランドを所有するAmazonに報告したところ、Amazonはその調査結果を公に議論しないよう依頼してきたという。この記事を書いている時点では、ダークウェブ上のリストはまだアクセス可能だ。

12月19日に、2番目のRingの認証情報リークが判明した。当日の早い段階で、BuzzFeed NewsがドアベルのRingに関係した3600件を超える同様のデータキャッシュが、オンラインで投稿されことを報告している。冒頭のデータは、BuzzFeedが入手したデータセットと類似したデータセットのようだ。有効なメールアドレスとパスワードを知っている人なら誰でもRingアカウントにログインして、Ringの顧客の住所、電話番号、支払い情報の一部を取得できる。また、認証情報を手に入れたものは、設定が有効になっていた場合には、家庭のRingデバイスのビデオデータの履歴へアクセスすることも可能になる。データがどのようにして公開に至ったのかは不明だ。

ダークウェブ上の情報(画像:TechCrunch)

TechCrunchは、ダークウェブのリストで情報が見つかった数十人の個人に連絡した。その際、各ユーザーに対して発見したパスワードを提示した。回答を送ってきた人は皆、それが自分自身のパスワードであることを認めた。

私たちのアドバイスをきっかけに、全員がパスワードを変更し、一部のユーザーはアカウントに対する二段階認証を有効にした。

私たちが見たほぼすべてのパスワードは、比較的単純で推測が容易なものだった。これらのパスワードは、ハッカーがパスワードを推測するために使用するパスワードスプレー手法やハッカーがほかのさまざまなウェブサイトのアクセスに利用することができた、すでに公開または漏洩したユーザー名とパスワードの組を使うクレデンシャルスタッフィング手法などで収集された可能性があある。

Ringの広報担当者であるYassi Shahmiri(ヤーシ・シャミリ)氏は、本記事の当初の公開までにはコメントを寄せなかったが、記事投稿後に電子メールでデータ漏洩に関して否定した。

「アカウントが公開されていると私たちが判定した顧客には通知を行い、彼らのパスワードをリセットしました。さらに、Ringアカウントへの不正なログイン試行を、監視しブロックし続けています」と広報担当者は語った。しかし、会社側の主張とは異なり、私たちが接触した人のうちRingから連絡を受けた人はいなかった。

これがこの1週間のうちにRingの防犯カメラが関与したものの最新のセキュリティ事案だ。先週には、米国各地でハッカーたちがRingカメラに侵入していた方法に関するニュースレポートが登場していた。一部の犯罪フォーラムが、Ringアカウントに侵入するツールを共有しているのだ。その後、今週初めにMotherboardがRingカメラの持つお粗末なセキュリティ対策を報告した

例えば、他の人間がログインしていることや、頻繁にアクセスされていること、そして弱い形式の二段階認証を使用していることなどを、ユーザーに通知しないのだ。Ringは「ベストプラクティス」を使っていないユーザー側に責任の多くがあると考えている。しかし、ユーザー保護のための「基本的なセキュリティ対策」を講じていなかったことに対する非難の声も起こっている

Ringはまた、合衆国内との法執行機関との緊密な関係に対して、議員たちからの追求を受けている。ほかにも漏洩したRingアカウント認証情報のセットが、どれくらいダークウェブ上を漂っているのかは不明だ。ユーザーは、強力でユニークなパスワードでアカウントを保護し、2段階認証を有効にする必要がある。

原文へ

(翻訳:sako)

投稿日:

ロボコール遮断法案が上院通過、大統領の署名待ちに

大統領弾劾をめぐって両党が激しく対立している中で、米国上院はある法案を超党派で議決した。あとは、大統領が署名すれば法律が成立する。そのTRACED法(Telephone Robocall Abuse Criminal Enforcement Act、電話のロボコール濫用を犯罪とする法律)は、ロボコールが呼び出し音を鳴らす前にキャリアがそれを封ずることを義務付け、特に悪質なものはFCCに捜査権を与える。

下院エネルギーおよび商業委員会の法案共同提案者は:「不法なロボコールを遮断するこの法案を下院が速やかに可決したことは喜ばしい。我々は米国の人びとがこれらのしつこい不法な起呼から解放されるために懸命な努力を行った。この超党派の圧倒的多数で議決された法案に、大統領がきわめて速やかに署名することを期待する」。

関連記事: 米下院と上院が迷惑電話のロボコール対策法案で合意、早急の制定目指す

さまざまなケースが超党派と呼ばれるが、これは本物だ。上院と下院で法案の2つのバージョンが生まれ、どちらも圧倒的多数で議決された。関連する委員会が共同で両案を生かした統一バージョンの法案を作り、その後わずか1カ月でホワイトハウスに渡って大統領の署名を待つことになったのだから、すごいことだ。

法案の要約はここで読めるが、要約すると以下のようになる。

  • ロボコール迷惑行為に対するFCCの出訴期限を延長し、罰金を増額する
  • FCCはスパムコールとスパムテキストから消費者を護るための規則を作る(すでに着手)
  • FCCはロボコール対策に関する年報を作りFCC推奨の法案を作成する
  • 発信者電話番号の詐称を防止するためにSTIR/SHAKENフレームワークの適切なタイムラインを採用する
  • キャリアは上記サービスに課金せず、ありうる過誤を犯すことから自力で自己を遮蔽する
  • 司法長官は犯行者の訴追のために多省庁にまたがる特別調査委員会を召集する
  • 司法省は犯行者を訴追できる。
  • 規則が実効していることを確認するための切り抜き作成や調査を行い、関連団体などからのフィードバックが確実にあるように図る

この特定の問題に具体的にフォーカスしているという意味で、これはいい法案のようだ。余計なものは何もない。早く署名され、早く法律として発効することを望みたい。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

アマゾン傘下のドアホンメーカー「Ring」が行方不明児の捜査に協力

Amazon(アマゾン)傘下のRingは、全米行方不明・被搾取児童センター(NCMEC)と協力して、Ringのコミュニティーアプリ「Neighbors」に行方不明の子供たちのポスターを掲載する。Neighborsは地域の犯罪のニュースや安全に関わる事象を地域コミュニティーで共有するための無料アプリで、Ringのドアホンやカメラのユーザーに限らず誰でも利用できる。

NCMECは24時間のホットライン(1-800-THE-LOST)を開設して米国内の行方不明の子供を探すとともに、アンバーアラート(公衆メディア経由の緊急警報)やソーシャルメディアへの投稿を通じて行方不明者の情報を共有している。Ringとの提携によって、NCMECは数百万人からなるアプリのコミュニティーを通じて広範囲の人々とつながることができる。コミュニティーにはRingのビデオドアホンのユーザーがいるので、NCMECで共有できる重要情報を持っている可能性がある。

Ringによると、最近このしくみによって米国ニューメキシコ州アルバカーキで行方不明の子供が家族と再会した。ただしこのケースに誘拐は関係していない。いなくなった14歳の少年はフットボールの試合の後、父親に拾ってもらうのを待っていたが場所を間違えていた。携帯電話も自宅の電話番号もなかったため、助けを求めることができなかった。家族は警察に届け、RingのNeighborsアプリに迷子通知を掲載したところ、アプリユーザーのひとりが少年を見つけて両親に連絡した。

NCMECは今回の提携によって、すでにNeighborsアプリで行われているような情報交換を正式なものにすることを考えている。メンバーの誰かが見たことを拡散したり、上の事例のように自分の子供が行方不明になった親が助けを求めるケースなどだ。

Ringによると、NCMECの行方不明児のポスターは、関連地域のメンバー全員に公開される。捜索に役立つ可能性のある情報を持つ人に通報を促す投稿も行われる。

FBIによると、2018年に警察に届け出のあった子供の行方不明事例は42万4066件だった、とRingは付け加えた。

この提携は、Ringの世間におけるイメージを払拭する必要があるタイミングに発表された。

Amazon傘下の同社は、 警察との関係で批判を受けて議会による調査まで行われたほか、顔認識技術の利用にまつわる計画についても問題になった。最近では、RingのドアホンからWi-Fiパスワードがハッカーに流出したことも発覚した。Ringは二要素認証などによる高度なセキュリティーを必須にしていなかったため、ユーザー名とパスワードを入手したハッカーが侵入し全米のユーザーを攻撃する事件も起きた。

一連の事件をきっかけに、複数の消費者団体やプライバシーグループがRingのカメラに対する製品警告を発信し、RingのNeighborsアプリがデバイスの位置情報などの非公開情報を共有していたことも指摘した。

こうした深刻な問題を抱えながらも、RingのNeighborsアプリのアクティブユーザーは増え続けている。Sensor Towerによると、これまでに米国ではNeighborsが700万回インストールされている。Ringのドアホンは現在世界中で1000万台以上設置されている。

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿日:

デスクトップ全体の広告ブロックと個人追跡を遮断する新ツール「Midnight」

プライバシー保護に重点を置いたモバイルブラウザーのGhosteryを開発している同名の企業が、Midnightと呼ばれるツールを発表した。これは同社が開発した広告ブロックやプライバシー保護の機能を、すべてのデスクトップアプリケーションに導入可能にするものだ。

Ghosteryが以前にMidnightを発表したとき、社長であるJeremy Tillman(ジェレミー・ティルマン)氏は「ウェブブラウザーと同じ個人追跡技術がメールをはじめとして多くのデスクトップアプリケーションでも使われ始めている」とMidnightの開発動機を語った。なおGhostery自体委は2017年に、ドイツ拠点でアンチトラッキングブラウザーを開発しているスタートアップのCliqzに買収されている。

MidnightはMicrosoft Outlookのようなメールクライアントや、Spotifyのようなエンターテインメントサービスなど、デスクトップアプリケーションの広告やデータトラッカーをブロックするが、同じ意味でGhosteryのエクステンションをサポートしていないウェブブラウザーも保護する。ブロックする、しないはアプリケーションごとに指定できる。

またMidnightにはVPNがあるので、オンラインのアクティビティを暗号化・匿名化できる。ティルマン氏によると、Ghosteryのユーザーの多くがすでにVPNを使っているが、Midnightにも含めたことによって「エコシステムの全体を統合できる」という。Midnightは最初の試用期間が7日で、その後は月額14ドルのサブスクリプションとなる。

MidnightはGhosteryの最も包括的なプロダクトだが、Tillman氏によると無料のブラウザーエクステンションもサポートを続ける。それが新しいユーザーを呼び込む契機になるからだ。

関連記事:Ghostery revamps its privacy-focused mobile browsers(プライバシー重視のモバイルブラウザーGhosteryがバージョンアップ、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

数百万人のスマートウォッチから位置情報が漏れている事実

両親は子供たちの居場所を確認しようとGPS機能付きのスマートウォッチを買い与えるが、セキュリティー上の欠陥があると子供の居場所は赤の他人にも見られてしまう。

今年だけでも、研究者たちの手により子供の位置情報がトラッキングできる何種類ものスマートウォッチにいくつかの脆弱性が発見されている。しかし、米国時間12月18日に発表された新しい調査結果によると、数百万台ものセルラー対応スマートウォッチの機能を支える共用クラウドプラットフォームに深刻で有害な欠陥が内在しているという。

そのクラウドプラットフォームは、位置情報トラッキング機器の最大手メーカーである中国のThinkrace(シンクレース)で開発されたものだ。このプラットフォームは、Thinkrace製機器のバックエンドシステムとして働き、位置情報や機器からのその他のデータの保管と検索を行う。同社は、我が子の居場所を確認したい親たちに向けた、子供の位置情報をトラッキングできる自社製腕時計だけでなく、サードパーティー向けのトラッキング機器も販売している。それを購入した企業は、自社のマークを貼り付け、自社の箱に入れ替えて、自社ブランド製品として消費者に販売する。

直販されるもの再販されるものを含め、これらすべての機器は同じクラウドプラットフォームを使用しているため、Thinkraceが製造して顧客企業が販売したそのOEM機器はすべて脆弱ということになる。

Pen Test Partners(ペン・テスト・パートナーズ)のKen Munro(ケン・ムンロー)氏は、TechCrunchだけにその調査結果を教えてくれた。彼らの調査では、少なくとも4700万台の脆弱な機器が見つかった。「これは氷山の一角に過ぎません」と彼はTechCrunchに話した。

位置情報をリークするスマートウォッチ

ムンロー氏率いる調査チームは、Thinkraceが360種類以上の機器を製造していることを突き止めた。そのほとんどが腕時計とトラッキング機器だ。実際の販業者はラベルを貼り替えて販売するため、Thinkrace製品の多くは異なるブランド名になっている。「自分たちが売っている製品がThinkraceのプラットフォームを使っていることすら知らない業者も少なくありません」とムンロー氏。

販売されたトラッキング機器は、それぞれがクラウドプラットフォームと通信する。直接通信するのもあれば、再販業者が運営するウェブドメインがホスティングするエンドポイントを通して行われるものもある。調査チームは、コマンドがThinkraceのクラウドプラットフォームに送られることを突き止めた。彼らの説明によれば、これが共通の障害点だ。

調査チームによると、機器を制御するコマンドのほとんどは認証を必要とせず、コマンドの説明がしっかりついているので、基本的な知識のある人間なら誰でも機器にアクセスしてトラッキングができるという。また、アカウント番号はランダムではなく、アカウント番号を1ずつ増やすだけで大量の機器にアクセスできた。

この欠陥は、子供を危険にさらすばかりか、この機器を使う人全員にも危険が及ぶ。Thinkraceはスペシャルオリンピックスの参加者に1万台のスマートウォッチを提供したことがある。しかし、その脆弱性のために、アスリート全員の位置情報がモニターできたとはずだと調査チームは話していた。

子供の録音音声が漏洩する

ある機器メーカーがThinkrace製スマートウォッチの販売権を取得した。他の業者と同じくこの業者も、両親が子供の居場所を追跡できるようにし、両親が設定した範囲から出たときに警報を鳴らせるようにしてあった。

調査チームの話では、簡単に推測できるアカウント番号を1ずつ増やしていくだけで、この腕時計を装着しているすべての子供の居場所をトラッキングできたそうだ。

また、このスマートウォッチには、トランシーバーのように両親と子供とが会話できる機能もある。だが、その音声は録音され、セキュリティーの緩いクラウドに保存されていることを調査チームは発見した。その音声データは誰にでもダウンロードできてしまう。

スマートウォッチの再販業者の脆弱なサーバーに保存された子供の声(子供のプライバシー保護のために音声は削除している)

TechCrunchは、ランダムに選んだ音声をいくつか聞いてみたが、子供たちがアプリを通して親に話しているのがよく聞き取れる。調査チームはこの調査結果を、インターネットに接続して遊ぶテディベアのようなおもちゃCloudPets(クラウドペッツ)に例えていた。2017年、そのクラウドサーバーは保護されていなかったため、200万人の子供たちの声が漏洩してしまったのだ。業者が販売したスマートウォッチを利用している親と子供たちは、およそ500万人いる。

情報開示のモグラ叩き

この調査チームは、2015年と2017年にも、複数のOEM電子機器メーカーの脆弱性を公表している。Thinkraceもそこに含まれていた。一部の販売業者は、そのエンドポイントの脆弱性を修正した。中には、脆弱なエンドポイントを保護する修正を行ったものの、後に元に戻してしまった業者もある。しかし大半は、単に警告を無視し、調査チームに彼らの調査結果を公表しろと促しただけだった。

Thinkraceの広報担当者Rick Tang(リック・タン)氏は、我々の質問に応じなかった。ムンロー氏は、脆弱性が広く悪用されているとは思えないが、Thinkraceのような機器メーカーは、より安全性の高いシステムの構築能力を「高める必要がある」と話している。そうなるまで、それらの機器を持っている人たちは使用を中止すべきだとムンロー氏は言う。

関連記事:スマート家電メーカーは見聞きした情報を政府に開示するのか?

画像クレジット:Getty Images

[原文へ]

(翻訳:金井哲夫)

投稿日:

企業のデータフローを可視化するSatori Cyber​​が約5.8億円を調達

企業が保存するデータの量と拠点が急速に拡大するのに伴い、アクセス権を持たない人がデータにアクセスしてしまうリスクも大きくなっている。多くのスタートアップがデータ保護の観点からクラウドとオンプレミスサーバー間のデータフローに注目していることは驚きではない。データの保護とガバナンスを担うSatori Cyber(サトリサイバー)​​は 12月17日、YL Venturesがリードするシードラウンドで525万ドル(約5億8000万円)を調達したことを発表した。

「当社は、ビジネスに革新と競争優位をもたらすデータの変革力を信じている。データを推進力とする組織は、チーム、パートナー、顧客など多様な利用者を想定してデータへのアクセスを最適化しようとする。クラウドデータテクノロジーを活用する企業は特にそうだ。その際に直面するセキュリティ、プライバシー、運用上の課題を当社は理解している」。

Satoriは12月17日にステルスモードを解除し、最初の製品であるSatori Cyber​​ Secure Data Access Cloudを発売した。これは企業向けのデータアクセス制御ツールで、利用する企業やそのセキュリティチームがクラウドとハイブリッド環境全体のデータフローを可視化できる点が特徴だ。同社によるとデータは「動く標的」だという。データがサービス間をどのように移動し、誰が実際にアクセスできるかを把握するのが難しいからだ。現在、ほとんどの企業は多数の拠点にデータを分割して保管しているため、この問題は時間とともに拡散し、可視性を保つのが難しくなる。

「これまで、企業のセキュリティチームは、データアクセスを高度に分離制限するとともに、各データストア内で一時的に使える特定の技術に依存したアクセス制御を行っていた。ただ、これは企業内のプロセスをスローダウンさせるだけだった」とSatori Cyber​​のCEO兼共同創業者であるEldad Chai(エルダッド・チャイ)氏は「Satori Cyber​​のプラットフォームはこのプロセスを合理化し、データアクセスを加速し、組織全体のデータフロー、データストア、アクセスに関する全体像を提供するだけでなく、きめ細いアクセス制御も可能にし、より制約の少ない環境で組織のデータ戦略を支援する」と述べた。

チャイ氏とCTOのYoav Cohen(ヨアブ・コーエン)氏の2人の共同創業者は以前、ImpervaとIncapsula(2014年にImpervaを買収した)で9年間セキュリティソリューションの開発に携わっていた。その経験から、簡単に導入できてわかりやすい操作が必要なことを理解していた。「SatoriのSecure Data Access Cloudはそれらの点を念頭に置いて開発し、企業への導入プロセスを迅速かつ簡単にできるよう設計した。Satoriの導入ではホスト名を簡単に変更できる。データへのアクセス方法や使用方法を変更する必要もない」と説明した。

画像クレジット:John M Lund Photography Inc / Getty Images

[原文へ]

(翻訳:Mizoguchi)

投稿日:

企業をDDoS攻撃から守るフランス拠点のEfficientIP、CiscoやVMwareもパートナーに

フランスのEfficientIPはネットワークのセキュリティとオートメーションが専門で、このほどパリのJolt CapitalからシリーズBで1100万ドル(約12億円)を調達した。この投資は主に同社の国際進出のために使われる。

EfficientIPのソフトウェアはDNSの問題を見つけるが、それらはDDoS攻撃の原因になることが多い。DDoS攻撃は、ネットワーク上の攻撃の中でも最大のものだ。同社のプラットホームは、IPのインフラストラクチャの基礎的部分の信頼性を高め、よりアジャイルに、そしてよりセキュアにする。

EfficientIPのCEOであるDavid Williamson(デビッド・ウィリアムソン)氏は「今日得た資金で、グローバルな拡張を加速できる。DDIソリューションの市場機会は成長しており、うちは営業力を強化してその機会に乗じて需要に応えたい。また未来の顧客ニーズを満たすためにはさらなるイノベーションが必要だ。テクノロジー企業の成長を支えてきた強力な実績のあるJolt Capitalの支援を得たことは、今のような成長段階にとって理想的なパートナーシップだ」と語る。

EfficientIPのエコシステム形作っているパートナーシップには最近、CiscoやVMware、ServiceNowが加わった。競合する北米企業としては、評価額7億4000万ドル(約810億円)で1億2000万ドル(約131億円)を調達したInfobloxや、シリーズBラウンドで1680万ドル(約18億3800万円)を調達したBlueCat、シリーズCで7800万ドル(85億3600万円)を調達した新人のNS1などだ。

Jolt CapitalのパートナーであるGuillaume Girard(ギヨーム・ジラール)氏は「EfficientIPにはかねてから目をつけていたが、常に意欲的な成長プランを達成していく能力には感心していた。EfficientIPは我々の投資ターゲットとしても完璧であり、最先端のソリューションを可能にするディープテックの強力な能力と、モチベーションの高いトップレベルのチームが、急速に拡大中の市場で結びついている。Fortune 500社を顧客の軸として市場における存在感を増しているから、EfficientIPは今後も強力に成長していくだろう」とコメントしている。

画像クレジット: Bryce Durbin

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Googleがクラウドネイティブのセキュリティに対するアプローチを詳解

Googleのさまざまなホワイトペーパーは、同社が特定の問題をどのように解決するのかを、長年にわたって大規模に詳述してきた。それが、定期的に新しいスタートアップのエコシステムを生み出したり、他の企業が独自のツールを拡張する際の方針を左右することもある。米国時間の12月17日、同社はクラウドネイティブ・アーキテクチャをどのようにして安全に維持するかについて、詳しく説明した新しいセキュリティホワイトペーパーを公開した。

画像クレジット:Beata Zawrzel/NurPhoto/Getty Images

BeyondProdという名前が示すように、これは数年前に同社が最初に導入したBeyondCorpと呼ばれるゼロトラストシステムを拡張したもの。BeyondCorpが、セキュリティを、境界にあるVPNとファイアウォールから切り離し、個々のユーザーとデバイスに転嫁しようとするものだったのに対し、BeyondProdは、Googleのゼロトラストアプローチによって、マシン、ワークロード、サービスを接続する方法に焦点を合わせたものとなっている。

当然ながらBeyondProdも、BeyondCorpとほとんど同じ原則に基づいており、末端のネットワーク保護、サービス間の相互非信頼、既知のコードを実行するトラステッドマシン、自動化および標準化された更新のロールアウト、隔離されたワークロードを含むものとなっている。もちろん、これらはすべて、クラウドネイティブ・アプリケーションの保護に焦点を当てたもの。そうしたアプリは、一般にAPIを介して通信し、最新のインフラストラクチャ上で実行される。

「つまりこうしたコントロールは、内部で実行されるコンテナとマイクロサービスがデプロイされ、相互に通信し、隣り合って安全に実行できることを意味します。これにより、個々のマイクロサービス開発者に、セキュリティと、基盤となるインフラストラクチャの実装の詳細に関する負荷をかけることなく、セキュリティを実現できるのです」とGoogleは説明している。

Googleはもちろん、同社のGKEや、ハイブリッド型クラウドプラットフォームAnthosといった独自のサービスを通じて、こうした機能のすべてを開発者が利用できるようにすると明言してしている。さらに同社は、企業が多くのオープンソースツールを使用して、同じプラットフォームに準拠したシステムを構築できるようにすることも強調している。そこには、Envoy、Istio、gVisor、その他のプラットフォームが含まれる。

「BeyondCorpが、境界ベースのセキュリティモデルを超えるものとして、われわれのアプローチを進化させてくれたのと同じように、BeyondProdはプロダクションセキュリティに対するアプローチにおける同様の飛躍を実現するでしょう」と、Googleは言う。「BeyondProdモデルに含まれるセキュリティの原則を、各自のクラウドネイティブのインフラストラクチャに適用することで、当社の経験を活用して、ワークロードの分配、通信のセキュリティ保護、他のワークロードへの影響、といった部分を強化できるのです」。

このホワイトペーパー全体は、ここで読むことができる。

原文へ

(翻訳:Fumihiko Shibata)

投稿日:

ニューオリンズ市がランサムウェア攻撃を受け緊急事態宣言

米国ニューオリンズ市は、サイバーセキュリティの脅威から緊急事態を宣言し、市政府のコンピューターをシャットダウンした。地方政府がハッカーに攻撃される最新事例となった。

12月13日金曜日の午前5時頃に疑わしい動きが見つかった。「午前8時までにフィッシング詐欺やランサムウェアなどの動きが激しくなった」とIT責任者のKim LaGrue(キム・ラグルー)氏は記者会見で述べた。市は攻撃を受け、サーバーとコンピューターをシャットダウンした。

ニューオリンズ市長のLaToya Cantrell(ラトヤ・カントレル)氏は記者会見で「これまでの調査でランサムウェアは検出されたが、現時点では市への何らかの要求はないことを重要な点として報告する」と述べた。

多数の地方自治体および州政府が、ランサムウェアに悩まされている。ランサムウェアは、ファイルを暗号化し、解除と引き換えに金銭を要求するマルウェアだ。フロリダ州ペンサコーラジョージア州ジャクソン郡は、過去1年間に絶えず発生したランサムウェア攻撃のほんの一部にすぎない。ルイジアナ州政府は11月に攻撃を受け、政府のウェブサイトなどのデジタルサービスを休止するよう職員に指示し、知事は緊急事態を宣言した。ランサムウェア攻撃に関連する州の宣言としてはここ6カ月で2例目だ。

政府と地方自治体のシステムは特に脆弱だ。慢性的な資金不足とリソース不足により、システムを脅威から保護する体制が構築されていない。ニューオリンズは準備が整っていたように見えるが、それは訓練の結果であり、インターネットなしで運営する能力のおかげだと当局者は述べた。調査はまだ初期段階だが、今のところ市職員は攻撃者との接触や情報の提供はしていないようだ。

「過去に市は災害の影響を受け、すべてがほぼ無に帰したことがある。それについて肯定的な面があるとすれば、インターネットや市のネットワークが機能しない状況下の経験を、有事の公共安全計画と実際の行動に反映した点だ」と国土安全保障省のディレクターであるCollin Arnold(コリン・アーノルド)氏は述べ「今はみんな一時的に紙とペンの世界に戻っている」と付け加えた。

警察、消防、救急医療は、インターネットなしで動ける体制を整えている。市当局によると、緊急通信網は今回のサイバー攻撃の影響を受けていない。だが、建物の検査など手動で処理されているサービスもある。ニューオリンズのリアルタイム犯罪センターは市のネットワークの外でも機能するため、シャットダウンされた今でも監視カメラは記録を取り続けている。

現在、連邦、州、地方政府の職員が、調査にあたっている。

画像クレジット:Hailshadow

[原文へ]

(翻訳:Mizoguchi)

投稿日:

スマート家電メーカーは見聞きした情報を政府に開示するのか?

1年前、TechCrunchは名の通ったスマートホーム機器のメーカーに対して、ユーザーの個人データを政府に提供するか否かを質問した。その結果はさまざまだった。Amazon(アマゾン)、Facebook(フェイスブック)、Google/Nest(グーグル/ネスト)のビッグ3はみな、政府がユーザーの個人データを求めてきたときの対処法を透明性報告書で公表した。Apple(アップル)は収集したデータは匿名化されるので報告書は必要ないと話していた。残りのメーカーは、政府からの個人データ提出の要求への対応を公表しなかった。

あれから1年が経過し、スマートホーム市場は急成長したが、その残りのメーカーの対応に関する情報公開は、ほとんど、あるいはまったく進展していない。中には以前より悪くなったケースもある。スマートホーム機器に限らず、インターネットに接続できる機器は便利で、どこでも売られているが、それらは私たち自身や私たちの家庭の情報を大量に収集している。スマートロックは、いつ人が家に入ったかを知っている。

スマートドアホンは訪問者の顔をキャプチャーする。スマートTVは、どんなテレビ番組を見たかを知っている。一部のスマートスピーカーは、私たちが何に興味を持っているかを知っている。使われていない間は、スマートホーム機器の多くはデータを集め、メーカーに転送している(なかには、無線ネットワークの情報のような、こちらが思いも寄らない要素のデータ点を収集するものもある)。製品や私たちの家をよりスマートにするためというのが表向きの理由だ。

そのデータはメーカーによってクラウドに保存されるため、警察や政府の役人が犯罪捜査のためにそのデータを提供せよと要求できる。しかし、収集したデータの量が膨大になると、企業の、データの提出要求に関する透明性が低下する。私たちに届くのは事例報告だけだが、その数は非常に多い。警察はAmazon Echoのデータを入手して殺人事件を解決。Fitbitがデータを提出したことにより男を殺人罪で起訴。Samsung(サムスン)は児童虐待画像を見ていた性犯罪者の逮捕に協力。Nestは監視映像を提出してギャングのメンバーの逮捕に協力。そしてAmazon傘下のRingの最近の事例報告では、スマートホーム機器メーカーと警察との密接な関係が露わになった。

各メーカーの回答は次のとおりだ。スマートロックとスマートドアホンのメーカーであるAugustは、去年とまったく同じ声明を返してきた。「現在は透明性報告書を作成していませんが、外国諜報活動偵察法(FISA)に基づくユーザーコンテンツまたは非コンテンツの提供を求める国家安全保障書簡(訳注:FBIからの令状を必要としない情報提供命令書)も命令も受け取たことがありません」というものだ。しかし、Augustの広報担当者Stephanie Ng(ステファニー・エン)氏は、裁判所の召喚状、捜査令状、裁判所命令などの国家安全保障関係以外の要求を同社がどれほど受け取ったかは明らかにしていない。法的な要求があった場合には「あらゆる法律」に準拠するとだけ話している。

ロボット掃除機のRoomba(ルンバ)のメーカーであるiRobotは、去年と同じく、政府からのデータ提出要求は「受け取っていない」と答えた。「現在iRobotでは、透明性報告書を発表する予定はない」が「政府から顧客データの提出を要求された場合」には報告書の公表を検討するとのことだ。

Netgearのスマートホーム部門から2018年に独立したArloは、コメントの求めに応じなかった。今でもスマートホーム技術を所有しているNetgearは「透明性報告書の一般公開はしない」と話している。

Amazonの子会社であるRingは、警察との協力関係が国会議員たちの怒りを買い、ユーザーのプライバシーを守る能力に疑問を持たれているが、去年、時期は明言しないものの、将来的に透明性報告書を公開するつもりだと話していた。今年、Ringの広報担当者Yassi Shahmiri(ヤッシ・シャミリ)氏はコメントを出さず、その後繰り返し送った電子メールへの返信も止まってしまった。

Honeywellの広報担当者Megan McGovern(ミーガン・マクガバン)氏はコメントせず、元Honeywellのスマートホーム部門で1年前に独立したResideoに私たちの質問を投げたが、ResideoのBruce Anderson(ブルース・アンダーソン)氏もコメントしなかった。

また、スマートホーム機器やインターネットに接続できるテレビや家電のメーカーであるサムスンも、昨年とまったく変わらず、コメントの依頼に応答しなかった。

全体として、これらの企業の反応はほぼ去年どおりの回答だった。さらに昨年、「2018年末」の透明化報告書の公開を約束していたスマートスイッチとセンサーのメーカーのEcobeeは、約束を果たさないままだ。理由を尋ね再三コメントを求めたが、Ecobeeの広報担当者Kristen Johnson(クリステン・ジョンソン)氏は応答しなかった。

入手可能な範囲で最も信頼できる情報から判断するに、August、iRobot、Ringそしてその他のスマートホーム機器メーカーは、貴重な個人データが政府に差し出される可能性を秘めたまま、全世界に数億人のユーザーや顧客を擁しているが、ユーザーも顧客も、それに関して一切説明を受けていない。

透明性報告書は完全ではないかも知れない。透明度が他より低いものもある。しかし、メディアで叩かれたり、監視国家への協力を要求された後であっても、大企業がその情報を開示したなら、小さな企業も言い逃れができなくなる。

今年は、ライバルよりもややマシな企業がいくつかあった。しかし、プライバシーに関心の高い人間なら(誰もが高くあるべきなのだが)これでは満足できない。

関連記事:スマートテレビのセキュリティーについてFBIが警告

[原文へ]
(翻訳:金井哲夫)

投稿日:

スティングレイでの携帯通信傍受で人権団体ACLUが米当局を提訴

米国における最大の人権団体の1つが、物議を醸している携帯電話監視テクノロジーについて、国土安全保障省下の2機関を提訴した。公文書請求の一環で請求した同テクノロジーについての書類を2機関が提出しなかったと主張している。

米自由人権協会(ACLU)は12月11日、税関・国境警備局(CBP)と出入国管理および通関(ICE)を相手取って連邦裁判所に訴えを起こした。ACLUは2機関が基地局なりすましの「スティングレイ」に関連する記録を出さなかった、と非難していた。

スティングレイは携帯電話が接続されるよう携帯電話通信基地局を装う。これによりオペレーターはデバイスの固有識別子を集め、ロケーションを突き止めることができる。スティングレイは監視のために使われるが、レンジ内のすべてのデバイスも罠にかける。最新の高度なものは、レンジ内の全ての通話やテキストメッセージを傍受できるとされている。

2016年の政府監視レポートでは、CBPとICEが12基以上のスティングレイの購入にそれぞれ1300万ドル(約14億円)を支出したとされている。このスティングレイをCBPとICEは「逮捕・起訴された人の居場所把握」に使ったとACLUは指摘した。

しかしスティングレイの技術についてはほとんど知られていない。というのも携帯電話の通信傍受の技術は、デバイスメーカーとの厳しい機密保持契約のもとにほぼ警察当局や連邦機関に限定して販売されているからだ。

ACLUはテクノロジーそのものについて、そしてどのように使用されるのか調べるべく、2017年に情報公開法に基づいて請求を出したが、CBP、ICE共に書類を一切出さなかった、とACLUは話した。

ACLUは記録が残っていると思わせる証拠があると指摘したが、そうした書類を入手するための「万策が尽きた」。そしていま、2機関に対して記録を出すよう裁判所に強要してほしいと考えている。「政府による入国管理での強力な監視技術の使用に光をあてるためだけでなく、この技術の使用が合憲で法的必要条件をクリアしているかどうか評価するためであり、監視技術の使用は適切な監督とコントロールが条件となるものだ」と訴状に書いている。

ACLUは2機関のトレーニング材料とガイダンスの書類、そして米国のどこにいつスティングレイを設置したのかを示す記録を要求している。

CBP広報のNathan Peeters(ネイサン・ピータース)氏は、係争中の訴訟についてCBPは政策上コメントしない、と話した。ICEの広報はコメントしなかった。

画像クレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)

投稿日:

供給電圧を変化させてプロセッサを攻撃する新ハッキング手法「プランダーボルト」が発見される

現代のデバイスは無数のソフトウェア攻撃から保護されている。だがPlundervolt(プランダーボルト、略奪的電圧)と呼ばれる新しい攻撃手法は、物理的手段を使用してチップのセキュリティを破る。攻撃者は供給されている電気量を調整することでチップを欺き、最も奥にある秘密を暴くのだ。

画像クレジット: Ian Cuming / Getty Images

プランダーボルトはインテルのプロセッサーで発生したメルトダウンやスペクターのような大規模な欠陥ではないが、強力かつユニークな手法であり、チップの設計方法を変えてしまう可能性があることに注目してほしい。

プランダーボルトがチップを攻撃する仕組みを理解するためには、2つの重要な点を知る必要がある。

1つ目は、最近のチップには、特定のタイミングで消費する電力に関して、非常に厳密で複雑なルールがあるという点だ。チップは24時間365日フル稼働しているわけではない。もしそうならすぐにバッテリーが枯渇して大量の熱が発生してしまう。従って最近の効率的なチップ設計では、特定のタスクに対してプロセッサーが必要となる電力を過不足なく正確に供給するようになっている。

2つ目は、他の多くのチップと同様にインテルのチップにはセキュアエンクレーブと呼ばれるプロセッサーを備えているという点だ。セキュアエンクレーブは暗号処理などの重要な処理が行われるチップ内の特別な隔離エリアだ(エンクレーブはもともとは「飛び地」という意味)。このエンクレーブ(ここではSGXと呼ぶ)には通常のプロセスからはアクセスできないため、コンピューターが完全にハッキングされても攻撃者は内部のデータにアクセスすることができない。

好奇心の強いセキュリティ研究者がたちが、リバースエンジニアリングを通して最近発見したインテルチップが自身の電力を管理する隠れたチャネルに関する研究が、プランダーボルトの作成者の興味を刺激した。

このチャネルは隠されてはいるが、アクセス不可ではないと判明した。もし多数の攻撃手段が存在しているOSの制御ができたならば、チップの電圧を制御している「モデル特有レジスター」を狙うことも可能になり、思うがままに電圧を変えられるようになる。

しかし、最新のプロセッサは極めて慎重に調整されているため、こうした調整は通常チップの誤動作を引き起こすだけだ。ここでのポイントは、意図する誤動作を正確に引き起こすために、ちょうど十分な調整だけを実行するということだ。また、すべてのプロセスがチップ内で行われるため、外部からの攻撃に対する保護機構には効果がない。

プランダーボルト攻撃は、隠しレジスターを使用して、セキュアエンクレーブが重要なタスクを実行しているまさにその瞬間、チップに流れる電圧をわずかに変化させる。そうすることでSGX内で予測可能な障害を誘発させることが可能となり、これらの巧みに制御された障害によって、SGXと関連プロセスに特権的な情報を公開させられることになる。またこのプランダーボルト攻撃はOSへのフルアクセスが前提だが、リモートで実行することも可能だ。

ある意味では、これは非常に原始的な攻撃だ。ガムボールマシンのように、基本的に適切なタイミングでチップを強打することによって、何か良いものを吐き出させられるということだ。もちろん、実際には非常に洗練されていいる。この場合の「強打」はミリボルト単位の電気的操作であり、マイクロ秒刻みで正確に行う必要がある。

研究者たちは、プランダーボルトへの対応はインテルによってある程度対応することが可能だが、通常のユーザーが一切意識することがないBIOSおよびマイクロコードレベルでの更新によってのみ可能だと説明している。幸いなことに、重要なシステムでは別のデバイスと信頼できる接続を確立する際に、攻撃手段に対するパッチが当たっているかどうかを確認する方法がある。

インテルは、プランダーボルト攻撃の深刻さをより控え目に表現している。「この種の問題に『ボルトジョッキー(VoltJockey、電圧騎手)』とか『プランダーボルト』といった興味深い名前を付けた、さまざまな学術研究者による発表があることを私たちは知っています」と、同社はブログの中で悪用の可能性が存在することを認めている。「これらの問題が、実際に起こった事例は報告されていませんが、いつものようにできるだけ早くセキュリティ更新プログラムをインストールすることをお勧めします」。

プランダーボルトは、ここ数年におけるコンピューティングハードウェアの進化を利用する最近出現した攻撃手段の1つだ。通常、効率の向上は複雑さの増大を意味するが、プランダーボルトのようなこれまで存在しなかった面でも攻撃される可能性の増加も意味している。

プランダーボルトを発見し報告したのは、英国のバーミンガム大学、オーストリアのグラーツ工科大学、そしてベルギーのルーベンカトリック大学の研究者たちだ。彼らはIEEE S&P 2020で論文を発表する予定だ。

原文へ

(翻訳:sako)

投稿日:

AirDropが周囲のiPhoneをロックするiOSのバグを発見

Apple(アップル)はiOS 13.3アップデートをリリースし、AirDropが近くにあるiPhoneとiPadをアクセス不可能な状態にロックしてしまうというバグを修正した。

Kishan Bagaria(キシャン・バガリア)氏は、デバイス間でファイルを共有するAirDropでファイルを連続送信し続けると、BluetoothないしWi-Fiが届く範囲のiOSデバイスをロックできることを発見した。これらのiPhoneとiPadはまったく使用できなくなってしまう。

ファイルの受け取りを求めるリクエストを受信すると、iPhoneやiPadは承認ないし拒否されるまでデバイスをロックする。ところがそれらの端末は一定時間内のリクエスト受け取り回数に上限を設けていなかったため、攻撃者が連続してファイルを送信し続けると受け取る側のiOSデバイスはループに陥って機能を停止してしまう。

同氏はオープンソースのツールを使ってファイルを連続送信する短いプログラムを組み、AirDropが利用可能な範囲にあり、「すべての人(Everyone)」からファイルを受け取る設定にしてあるiOSデバイスを繰り返しロックすることに成功した。

AirDoS攻撃のデモ(画像: Kishan Bagaria)

バガリア氏はこのバグをAirDoSと名付けた。DoSとは「サービス拒否(Denial-of-Service)」という意味で、サービスに対して意図的に過剰な負荷をかけるなどの方法によってコンピュータの能力を奪おうとする攻撃を指す。

AirDropの設定で送信者を「すべての人」にしている場合、この攻撃を受けるリスクがある。Bluetoothをオフにすれば防げるが、同氏によればファイル受信ボックスは即座に復活するので、攻撃が実行されている最中にBluetoothをオフにするのは不可能に近いという。

実は攻撃から逃れる簡単な方法がある。「単にその場所から逃げればいい。攻撃者からの通信が届く範囲から出れば攻撃は無効になる」という。そうなればBluetoothをオフにできる。「飛行機の中だと難しいかもしれない」とバガリア氏はジョークを飛ばした。

アップルはAirDropで一定時間内にファイル送信リクエストを送れる回数に上限を設けるパッチをリリースし、AirDoS攻撃を不可能にした。ただし同社は「機密情報をリークするなどのセキュリティ上の脆弱性とはいえない」としてCVE(Common Vulnerability and Exposure、脆弱性データベース)への登録はしないというが、iOS 13.3のセキュリティの解説でこのバグが存在したことを認めている。

画像:Getty Images

原文へ

(翻訳:滑川海彦@Facebook

投稿日:

インドが政府による個人データアクセスを可能にする新法案を提案

インドは、企業が市民の個人データを収集・処理する前に市民の同意を得ることを義務付ける新ルールを提案した。しかし同時に新法案では、企業はユーザーの「個人的ではない」データを政府に提出しなければならない、とされている。主権とより大きな公共の利益に対応するために国民に適用される法律を回避することで、政府は同意なしで市民のあらゆるデータを収集する権力を持つことになる。

コピーが火曜日(10月10日)にリークされた「個人データ保護法案2019」で提案されている新ルールでは、「インドの統治と高潔さ、国家の安全、他国との友好、治安のためであれば政府機関は法律の適用が免除される」となっている。

今後議会で議論されるが、この法案が通れば10年以上前に草案され物議を醸しているいくつかの法律に何も変更が加わらないことになる。

そのほかのルールでは、より良いガバナンスのために政府が「データ受託者またはデータプロセッサー」に「匿名化された」「個人的でないデータ」を提出するよう依頼できることを保証している。

先週の閣議で決まり、まだ一般には正式公開されていない新法律は、 Google(グーグル)やFacebook(フェイスブック)、 Twitter(ツイッター)、ByteDance(バイトダンス)のTikTok(ティックトック)、すでにインドで規制当局の厳しい目が向けられているその他の企業にとって新たな難題となるかもしれない。

インドはこの法案を2年前に起草して以来、大幅に変更を加えてきた。昨年公開された先の草案には、インド政府は法的手続きが伴わない限り、市民の個人情報を収集・処理してはいけないと書かれていた。

しかしながら、誰が「仲介」または「ソーシャルメディア」プラットフォーム、「ソーシャルメディア仲介」なのか、インド政府の考えは明瞭ではなく、確立されていない。最新バージョンでは、「ソーシャルメディア仲介」に支払サービスやインターネットサービスプロバイダー、検索エンジン、オンライン百科事典、電子メールサービス、オンラインストレージサービスは含まれていない。

提案されたルールの1つは、直接的にFacebookやTwitter、その他2人以上のユーザーが相互にやり取りできるソーシャルメディアをターゲットにしていて、そうしたサービスがユーザーにIDを証明するオプションを提供し、ユーザーのプロフィールにそのステータスを表示できるようにすることを義務付けている。これは、FacebookやTwitterがセレブや世間の関心を集めるアカウントで活用しているブルーティック(証明)に似ている。

先週ロイター通信は匿名の情報筋の話として法案の一部を報じた。その報道では、インドが誤情報の拡散を抑制するために任意のID証明を必須とすることを提案しているとした。

インドでは誤情報の拡散で少なくとも30人が死亡しているが、ソーシャルメディア企業がこうした問題に取り組んでいる中、ナレンドラ・モディ首相率いる政府も問題を解決する方策を模索してきた。政府そのものもソーシャルメディアプラットフォームを大いに活用している。

これまでの2年間、インド政府は国内にユーザー4億人超を抱えるWhatsApp(ワッツアップ)に対し、同サービスのプラットフォームに「トレーサビリティを持たせる」よう働きかけてきた。これは行政当局が情報を拡散している人を特定できるようにするためだ。

WhatsAppは、そうした動きは世界で10億人を超えるユーザーのプライバシーやセキュリティを支える暗号化を破ることになると主張してきた。

誤情報に関する政府の要望は法案には明記されていない。その代わり、新法律が「透明性と責任」を確保するのに貢献する、とされている。

一部の批評家はこの提案されたルールに対し懸念を表明した。 Mozillaで公共政策アドバイザーを務めるUdbhav Tiwari氏は、「法案はインド国民のプライバシーにとって重大な脅威となるかもしれない。インド国民が真に守られるのであれば、こうした危険な提案が法制化される前に議会がレビューしてただすることが早急に求められる」と話した。

インドのニュースサイトMediaNamaこちらのTwitterのスレッドでいくつかの変更を概説している。

画像クレジット: INDRANIL MUKHERJEE / AFP / Getty Images

[原文へ]

(翻訳:Mizoguchi)

投稿日:

不審郵便物を検知するRaysecurがシードラウンドで約3億円調達

粉末や液体、その他の種の危険なものを含んだ疑わしい荷物は、1日に少なくとも10件はあるのだとRaysecur(レイセキュア)は説明する。

米国マサチューセッツ州ボストンに拠点を置くRaysecurが開発したMailSecurと名付けられたデスクトップ型の3Dリアルタイムスキャニング技術では、郵便物がオフィスのフロアに置かれる前に郵便室で不審なものを検知する。

郵便室の安全というのは地味で面白みのあるものではないかもしれない。しかし脅威物が企業内部に入るための一般的なゲートウェイだ。攻撃者たちは、物理的なものであれサイバーであれ、そこを目がけて攻撃をしかける。今年初めTechCrunchでは、ハッカーたちが事業所にハードウェアを送りつけ、Wi-Fiを破壊し、データを盗むために企業のネットワークに打撃を与える手段として使われる「トロイの木馬」タイプの攻撃について書いた。

そしていま、Raysecurはシードラウンドで300万ドル(約3億円)を調達した。本ラウンドはOne Way Venturesがリードし、Junson Capital、Launchpad Venture Group、そしてフィラデルフィア拠点のアーリーステージ投資家でアクセラレーターのDreamit Venturesが参加した。Dreamit Venturesは昨年、アーリーステージのセキュリティ部門に進出することを発表していた。

Raysecurのミリ波スキャナーMailSecur(提供:Raysecur)

Raysecurはミリ波技術を使っている。この技術は空港の保安検査にみられるスキャナーに似ていて、疑わしい手紙や平らな封筒、小型の小包を検査する。同社によると、ティースプーンの2%ほどの細かな粉末や1滴の液体を検知できるとのこと。

今回調達した資金は顧客ベースの拡大に使われる。まだ高価だが、Fortune 500に名を連ねる企業10社がRaysecurのMailSecurスキャナーを使用している。ちなみに同社は2018年の設立以来、920万個超のパッケージをスキャンした。

One Way VenturesのマネージングパートナーであるSemyon Dukach(セミョン・デュカ)氏は「今回の資金調達で、この注目せずにいられない技術をマーケットにさらに広く知ってもらう」と述べた。

画像クレジット:Getty Images

[原文へ]

(翻訳:Mizoguchi)

投稿日:

設定を無効にしてもiPhone 11が位置情報を共有しているように見える理由

セキュリティレポーターのBrian Krebs(ブライアン・クレブス)氏は、ユーザーが設定で「位置情報サービス」をオフにしても、最新のiPhone 11 Proがユーザーの位置情報を送信しているように見える理由をApple(アップル)に尋ねた。これは、アップルのプライバシーポリシーと、ユーザーの明確な意思表示に反しているではないかと。

画像クレジット:Getty Images

アップルはクレブス氏に対し、それは「所定の動作」であり、セキュリティへの影響はないと返答した。それでは、位置情報を漏洩させるバグではないかという疑念を晴らすことができなかった。

そしてクレブス氏は論理的な結論に達した。「つまりアップルは、iPhoneには位置情報を問い合わせる何らかのシステムレベルのサービスがあって、ユーザー各自がすべてのアプリとiOSのシステムサービスに対して設定をオフにしていても、それは動き続けていると言っているようだ」と書いている。

それは間違っていなかった。クレブス氏の記事が掲載されてから2日後、そしてアップルがこの問題に対するコメントを拒否してから半日以上経ってから、同社はようやく説明した。

クレブス氏が使っているiPhone 11 Proをはじめとして、新しいiPhoneにはUltra Wide Band(ウルトラワイドバンド、超広帯域無線)技術が搭載されている。アップルによれば、新しいiPhoneは「空間認知」機能を備えていて、他のUltra Wide Band(UWB)デバイスの位置を把握している。アップルは、この技術の利用方法として、ユーザーがAirDropによってワイヤレスでファイルを共有できるというもののみを宣伝している。しかしこれは、同社がかなり有望視している、位置に「タグ」を付ける機能にも使われると考えられている。これについては、まだ何も発表されていない。

「UWB技術は業界標準の技術であり、国際的な規制要件の対象となっています。つまり決められた場所ではオフにする必要があります」とアップルの広報担当者はTechCrunchに語った。「iOSは位置情報サービスを使用して、iPhoneがそうした禁止区域にあるかどうかを判断します。その際は、UWBを無効にして規制に準拠するのです」。

「UWBに関するコンプライアンスの管理と位置情報の利用は、すべてデバイス内で行われていて、アップルはユーザーの位置情報を収集していません」と同担当者は述べた。

この説明は、これまでの専門家の見立てを裏付けているように見える。Guardian Firewallの最高経営責任者で、iOSセキュリティの専門家、Will Strafach(ウィル・ストラファッチ)氏は、彼の分析によれば、位置情報がリモートのサーバーに送信されているという「証拠はない」とツイートしている

アップルは、次期iOSのアップデートで、この機能をオン/オフするスイッチを提供すると述べた。しかしストラファッチ氏は、他の多くの人たちと同様、そもそもなぜアップルが、そうした状況をはっきり説明していなかったのかという疑問を表明している

同社はもっと前にわかりやすく説明することで、うわさをつぶすことができたはずなのに、そうはしなかった。説明をしなければ憶測が拡まるだけだ。これは、この問題を報告してくれたクレブス氏の手柄だ。しかし、アップルの対応の遅れは、この問題を必要以上にかなり大きなものにしてしまった。

関連記事:iOS 13へのアップデートにあたって知っておきたいセキュリティとプライバシーの新機能

原文へ

(翻訳:Fumihiko Shibata)