投稿日:

暗号の専門家27人がインドの仲介者責任法改定を考え直すよう警告

世界中のセキュリティと暗号化の専門家が、さまざまな団体に集結し、インド政府に対して、同国の仲介者責任法の改正を思い留まるよう呼びかけている。

1月9日、インドのIT大臣Ravi Shankar Prasad(ラビ・シャンカール・プラサッド)氏に送られた公開書簡で、27人のセキュリティおよび暗号化の専門家が、現在、まとめられている改正法案をそのまま可決すれば、インターネットのセキュリティが弱体化し、強力な暗号化が制限されるとインド政府に警告した

インド政府は、2018年12月末、仲介者責任法の一連の改正法案(PDF)を提出した。もしこれが施行されたなら、中小からFacebookやGoogleといった最大手に至るすべての企業が運営する無数のサービスは、大幅な変更が求められることになる。

元の改正案は、仲介者(インド政府の定義では、2人以上のユーザーがコミュニケーションを取り合うための便宜を提供し、インドには500万人以上のユーザーがいるサービス)は、ユーザーのコンテンツを積極的に監視し選別して、疑わしいコンテンツの最初の発信者を特定可能にすることで、ユーザーの行動に対する全責任を負わずに済むようになるという内容だ。

「仲介者の保護に、責任からそのプラットフォームやシステムで交わされるコミュニケーションを監視する能力までを結びつけるこの改正案は、終端間の暗号化を制限し、他者による既存のセキュリティ対策の弱体化を助長してしまう」と専門家たちは、インターネット協会が取りまとめた書簡に記している。

終端間の暗号化に関しては、サービス提供者が解読したユーザーのコンテンツにアクセスする手段が提供されていないと彼らは言う。これに加わった専門家にはGoogle、Twitter、人権擁護団体Access Now、Torプロジェクト、ワールド・ワイド・ウェブ・コンソーシアムで働く個人も含まれている。

「これは、終端間の暗号化を適用するサービスは、改正案で要求されるレベルの監視は行えないということ意味しています。暗号化プロトコルのバックドアを使うか、エスクローに暗号化キーを保管するか、グループメッセンジャーにサイレントユーザーを忍ばせるか、といった方法を使うことになり、システムのセキュリティを弱体化せずに例外的アクセスを可能にする方法はない」と彼らは言い加えている。

巨大ハイテク企業はこれまで、いわゆる「セーフハーバー」法を享受してきた。現在、アメリカの通信品位法やインドの2000年情報技術法の下で適用されている法律では、プラットフォームは、そこでユーザーがやりとりする内容に関しては責任を負わないことになっている。

このところ多くの団体が、この法律の改正に懸念を表明している。今週のはじめには、Mozilla、GitHubCloudflareはインド政府に対して、彼らが作成した仲介者責任法の改正案を透明化するよう要求した。最新の改正草案の内容を知る人間は、インド政府の他には存在しない。1月15日に、インドの最高裁判所の承認を得るために提出される予定だ。

人々が訴える数々の懸念のなかに、「仲介者」そのものの曖昧な定義がある。最後に公表された草案では、「仲介者」の定義は非常に漠然としていた。人気のインスタント・メッセージ・クライアントから、インターネットISP、サイバーカフェ果てはウィキペディアまで、幅広いサービス提供者が含まれてしまう。

ウィキメディア財団の法務顧問Amanda Keton(アマンダ・キートン)氏は、2019年12月末、インターネット上のコミュニケーションの「追跡可能性」を要求しないよう、インド政府に訴えた。それが通ってしまえば、ウィキペディアの協力者たちが自由にプロジェクトに参加できる機会が制限されてしまうと警告している。

あるアメリカの技術系企業の幹部は、1月8日、匿名を条件に、仲介者のガイドラインに関する改正法案によって大きな変更が要求されるとしても、インド政府はここで立ち止まって考える時期に来ているとTechCrunchに話した。

「ソーシャルメディア・プラットフォームとインスタント・コミュニケーション・サービスに対して行動を起こせば、現実世界は大きなダメージを受ける。偽情報の拡散によって、私たちは少なくとも30人の命が失われるという損害を被った。もし明日、他人に見られたくない写真やメッセージがインターネット上で漏洩するとしても、現在のサービス提供者には手も足も出ません。私たちに必要なのは、今のインターネットの課題に対処する法律です」と彼は語っていた。

画像クレジット:PRAKASH SINGH / AFP / Getty Images

[原文へ]
(翻訳:金井哲夫)

投稿日:

アマゾンが顧客のメールアドレスなどを漏らした社員を解雇

Amazon(アマゾン)は、顧客のメールアドレスと電話番号をサードパーティと共有した数名の社員を「弊社のポリシーに違反した」として解雇した。

2020年1月10日に顧客に送られたメールによると、社員はデータを共有したため解雇され、同社は司法による彼らの訴追に協力しているという。

アマゾンはこの事件を、TechCrunch宛のメールで確認した。スポークスパーソンによると、数名の社員が解雇されたという。しかしながら、該当社員らに関する情報は何も得られず、また、情報がいつ誰と共有され、何名の顧客が被害に遭ったのかも不明だ。

顧客に送られたメールには、「お客様のアカウントに関連するその他の情報は共有されていません。これは、お客様が何かをされたことの結果ではありません。また、お客様が、何か対応をする必要もありません」と書かれている。

Amazonの顧客宛のメールには、社員は解雇されたと書かれてある。複数の社員が解雇された、とAmazonは言っている。

これは、初めて起こったことではない。Amazonは2019年に起きた同様のメールアドレス侵害についての明言も、コメントも避けている。

Amazonによると、また別の件で同社は今週、スマートカメラとドアベルの子会社Ringの社員4名を解雇した。Ringによると、解雇した社員らは、顧客のカメラにある映像を視るという不正を犯した。

アップデート: 記事のタイトルにおける社員(employee)を単数形から複数形に変更した。

関連記事: Amazon admits it exposed customer email addresses, but refuses to give details…Amazonが顧客のメールアドレスの露出を認める(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

Cloudflareがブラウザー隔離技術のS2 Systemsを買収

Webサイトのセキュリティと高効率稼働サービスを提供するCloudflare(クラウドフレア)が、元Microsoft(マイクロソフト)の役員たちが作ったブラウザー隔離サービスのS2 Systemsを買収したことを発表した。買収の価額などは、どちらからも公表されていない。

Cloudflareの共同創業者でCEOのMatthew Prince(マシュー・プリンス)氏によると、この買収でS2 Systemsのソフトウェアが同社の新しいプロダクトCloudflare for Teamsの一部になり、インターネット上の脅威から企業を保護する。特にS2 Systemsは、ブラウザーベースのコード攻撃を防止するソリューションを開発した。

プリンス氏によると、同社は以前からこのような技術をCloudflareのプロダクトに搭載することを検討していた。多くの企業と同様にCloudflareも、他社をパートナーとするか、自ら開発するか、買収するかを迷っていた。たまたまプリンス氏がS2 Systemsの創立メンバーに会って技術を試す機会があり、そのスピードと能力に感心した。

両社の相性も良いと思われたためCloudflareは買収を提案した。他にもS2 Systems買収に名乗りを上げている企業が数社あったが、最終的にS2 SystemsはCloudflareを選んだ。彼らはCloudflareのサービスが、世界中のインターネットユーザーの役に立つと感じていた。

プリンス氏は「彼らが来てくれたことはとてもうれしい。彼らの優れたブラウザー隔離技術と私たちのユビキタスなネットワークが一緒になれば、企業の社員保護のやり方が完全に一新され、長期的にはインターネットの閲覧の仕方が変わる。ローエンドのスマートフォンでもiPhoneの最新機種と同じようなインターネット体験ができるようになるだろう」と語る。

プリンス氏の発言は、Cloudflareは世界中の200都市をネットワークして、日々膨大な量の最適化とセキュリティのための処理を行なっているため、ネットワークの末端であるスマートフォンといったデバイスの処理負担が非常に軽くなる、という意味だ。

この買収は、それだけが独立したものではない。買収は同社の新プロダクト、Cloudflare for Teams発表の一環でもあり、その中でS2 Systemsによるブラウザー隔離やVPN、アイデンティティ保護などの総合的なセキュリティが提供される。

Cloudflare for TeamsのメインピースはCloudflare AccessとCloudflare Gatewayの2つだ。Cloudflare Accessはゼロトラストのアイデンティティおよびアクセス管理ツールで、全社員が自分のデバイス上でソフトウェアの最新アップデートを使っていることを確認し確実化する。

Cloudflare Gatewayはインターネットの脅威から企業や個人を護り、ここがS2 Systemsの出番でもある。3つのバージョンがあり、プレーンな「Gateway」にはDNSベースのフィルタリングと監査ログがある。「Gateway Pro」はインターネット上のすべてのトラフィックを保護する。そして「Gateway Enterprise」はデータの喪失を防ぎ、さらにS2 Systemsのブラウザー隔離機能がある。

S2 Systemsの買収は2019年12月31日に完了した。同社の社員10名はCloudflareのチームに加わり、ワシントン州カークランドに留まる(Cloudflareのオフィスになる)。買収前のS2 Systemsは、ステルスだった。

関連記事: 有力クラウドサービス「Cloudflare」が株式上場を申請

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

外貨両替大手のTravelexがマルウェアの被害でサービス中断

外貨両替店の大手Travelexが、12月31日にマルウェアの被害に遭い、一部のサービスを停止したことを確認した。ロンドンに本社があり全世界に1500店あまりを持つ同社によると、同社は「データを保護するための予防的措置として」システムをオフラインにし、マルウェアの拡散を防いだ。

同社の英国のサイトでは現在、オフラインで「重大事故」(Server Error)と書かれたページが表示されるだけだ。同社の企業サイトは「システムのアップグレードをしている間オフラインにする」と公表していた。Travelexからのツイートは、「ウェブサイトでもアプリでも通常の取引業務ができない」と説明している。一部の店舗では手作業で顧客の要求に応じている。一部のサービスをTravelexに依存している企業、例えばTesco Bankもこの間、問題を抱えている

Travelexの英国のウェブサイトは現在オフラインだ(スクリーンショット提供:TechCrunch)

同社によると、「これまでのところ」顧客のデータは侵害されていない、というが、その証拠などは示されていない。同社は「現在捜査中なのでマルウェアの種類などをお教えできない」と説明する。昨年は、著名企業がランサムウェアにやられる事故が増加した。それは、被害者のデータを暗号化して利用不能にし、身代金を払えば元に戻してやると迫るマルウェアだ。アルミニウム製造の大手Norsk Hydroと英国のPolice Federation(警察組合)が3月に、Arizona BeveragesAebi Schmidtが4月に、宅配のPitney Bowesは10月に被害に遭った。

市や州など一部の地方自治体も、ランサムウェアにやられた。そのため先月ニューオーリンズは非常事態宣言を公布した。Travelexのスポークスパーソンから、声明以外のコメントを得られなかった。

画像クレジット:Bloomberg/Getty Images

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

マスターカードがセキュリティ評価のスタートアップ、RiskReconを買収

画像クレジット: Roberto Machado Noa / Getty Images

米国時間12月23日、マスターカード は公開データを利用して組織のセキュリティに関する評価を行う、ソルトレイクシティのスタートアップ、RiskRecon(リスクリコン)の買収を発表した。両社は買収価格を公表していない。

マスターカードのような金融サービス企業にとって、顧客のサイバーセキュリティを対策における支援は、徐々に重要性を増している。さらにRiskReconは、顧客が関心を寄せる企業のリスクプロファイルの客観的スコアを提供する。

「AIとデータドリブンの高度な技術の強力な組み合わせによって、RiskReconは既存の戦略と技術を補完してサイバー空間を保護するエキサイティングな機会を提供します」と声明の中で述べているのは、マスターカードのサイバー&インテリジェンス担当役員のAjay Bhalla(アジェイ・バラ)氏だ。

RiskReconのCEOであるKelly White(ケリー・ホワイト)氏は、300万ドルのシードラウンド直後に行われた2016年のインタビューの中で、TechCrunchに対して、同社はインターネット上で容易に利用可能な情報を使い、それらを組み合わせることで企業の全体的なセキュリティリスクを計測するのだと語っている:

RiskReconは、ビジネスの一部をウェブ上で行っている企業に関する情報をウェブ上で入手して活用している。「ウェブサーバーやDNSサーバーを立ち上げた場合、それらはインターネット上でサービスを提供しているので、特に発見しやすい。私たちのシステムは、セキュリテ性能を判断できるように、対象の上で実行されているソフトウェアとバージョン情報を明らかにします」

ホワイト氏は、マスターカードと一緒になることは、より大きな組織の一員になれるということだと考えている。「チームの一員になることで、ソリューションを拡張し、新しい業界や地域の企業が、サイバーセキュリティリスクをより適切に管理するための手段を高じる機会を得ることができます」と今回の声明で述べている。

Crunchbaseのデータによれば、RiskReconは2015年に創業され、これまでに4000万ドル(約44億円)を調達している。投資家にはAccel、Dell Technologies Capital、General Catalyst、そしてF-Prime Capitalが名前を連ねている。

なお同社はこの分野における唯一の企業ではない、2013年に創業し、Crunchbaseのデータでは1億1200万ドル(約123億円)以上を調達している、ニューヨークに本社を置くSecurityScoreCardと競合していることには、注意が必要だ。同社における最後の調達は、6月に行われた5000万ドル(約55億円)だ。

本日の取引は、規制当局の標準的な承認が必要となるものとなるが、手続きは2020年の第1四半期に完了する予定だ。

投稿日:

Spotifyは謎のUSBメモリを報道陣に送るべきではなかった

先週Spotifyは、報道関係者に大量のUSBメモリを送りつけ、そこには 「Play me.(再生してください)」と書かれていた。

記者がUSBメモリを受け取るのは珍しいことではない。テック系カンファレンスなどでビデオなど配布が困難な大きいファイルを配布するために、企業がUSBメモリを配ることはよくある。

しかし、基礎的なセキュリティー訓練(TechCrunchでも行っている)を受けた人なら、十分な注意を払わずに、USBメモリを差し込んではいけないことを知っている。
心配しながらもひるむことなく、われわれは予備のコンピューターで動く使い捨てバージョンのUbuntu Linux(CDから起動)でUSBメモリの内容を安全に検査した。調べた結果そのUSBに問題はなかった。

USBメモリの中にはオーディオファイルが1つだけあり、再生すると 「This is Alex Goldman, and you’ve just been hacked(私はアレックス・ゴールドマン、あなたはたった今ハックされた)」という音声が流れた。

そのUSBは、単なるSpotifyポッドキャストのプロモーションだった。もちろん、そのために送られたものだったためだ。

Spotifyが記者団に送付したUSBメモリ(画像:TechCrunch)

元NSAハッカーでRendition Infosecのファウンダー、Jake Williams(ジェイク・ウィリアムズ)氏は、記者たちにUSBメモリを挿させようとしたことを「驚くべき鈍感」な行為であると指摘した。

USBメモリは本質的に悪質のあるものではないが、発電所核濃縮施設などのインターネット接続のない場所でのハッキングに使われることでも知られている。USBメモリに入れられたマルウェアが標的のパソコンにバックドアをインストールすることがある、とウィリアムズ氏は言う。

「USBメモリ内のファイルが攻撃性のあるコンテンツを含む」場合もあり、開くとパソコン上のバグを悪用する恐れがあると同氏は言った。

Spotifyの広報担当者から返答はなかった。代わりに、本誌の質問をSpotifyと契約している広報会社であるSunshine Sachs(サンシャインサックス)に転送し、同社からは「記者は全員このUSBメモリが送られることを予告するメールを受け取っている」という以上のコメントはなかった。

正体不明のUSBメモリを挿入することは、みんなが想像している以上に大きい問題だ。Googleのセキュリティー研究者、Elie Bursztein(エリー・ブルステイン)氏は自身で行った調査の結果、およそ半数の人々が不明のUSBメモリを自分のパソコンに差し込むことを発見した。

今年、農業機械メーカー最大手のJohn Deere(ディア・アンド・カンパニー)は、配布したプロモーション用USBメモリがパソコンのキーボードをハイジャックしたことで大騒動を起こした。USBメモリが挿入された時に自動的に実行されるコードが仕込まれていて、ブラウザーを起動し自動的に会社のウェブサイトのURLをタイプした。本質的に悪質なものではなかったものの、多くのマルウェアが同様の方法を用いていたことから、同社のやり方は厳しく批判された。

USBメモリが起こす可能性のある脅威を踏まえ、国土安全保障省のサイバーセキュリティー部門であるCISAは先月、USBメモリのセキュリティーに関する指針を改定した。記者は一部の国々の政府の標的になることが頻繁にあり、 標的型サイバーアタックもそのひとつだ。

警告:USBメモリの扱いには十分な注意を怠らないこと。信用できる時以外、決して挿入しないこと。

関連記事:シークレットサービスであってもUSBメモリをやみくもにコンピュータに接続してはいけない

[原文へ]

(翻訳:Nob Takahashi / facebook

投稿日:

企業をDDoS攻撃から守るフランス拠点のEfficientIP、CiscoやVMwareもパートナーに

フランスのEfficientIPはネットワークのセキュリティとオートメーションが専門で、このほどパリのJolt CapitalからシリーズBで1100万ドル(約12億円)を調達した。この投資は主に同社の国際進出のために使われる。

EfficientIPのソフトウェアはDNSの問題を見つけるが、それらはDDoS攻撃の原因になることが多い。DDoS攻撃は、ネットワーク上の攻撃の中でも最大のものだ。同社のプラットホームは、IPのインフラストラクチャの基礎的部分の信頼性を高め、よりアジャイルに、そしてよりセキュアにする。

EfficientIPのCEOであるDavid Williamson(デビッド・ウィリアムソン)氏は「今日得た資金で、グローバルな拡張を加速できる。DDIソリューションの市場機会は成長しており、うちは営業力を強化してその機会に乗じて需要に応えたい。また未来の顧客ニーズを満たすためにはさらなるイノベーションが必要だ。テクノロジー企業の成長を支えてきた強力な実績のあるJolt Capitalの支援を得たことは、今のような成長段階にとって理想的なパートナーシップだ」と語る。

EfficientIPのエコシステム形作っているパートナーシップには最近、CiscoやVMware、ServiceNowが加わった。競合する北米企業としては、評価額7億4000万ドル(約810億円)で1億2000万ドル(約131億円)を調達したInfobloxや、シリーズBラウンドで1680万ドル(約18億3800万円)を調達したBlueCat、シリーズCで7800万ドル(85億3600万円)を調達した新人のNS1などだ。

Jolt CapitalのパートナーであるGuillaume Girard(ギヨーム・ジラール)氏は「EfficientIPにはかねてから目をつけていたが、常に意欲的な成長プランを達成していく能力には感心していた。EfficientIPは我々の投資ターゲットとしても完璧であり、最先端のソリューションを可能にするディープテックの強力な能力と、モチベーションの高いトップレベルのチームが、急速に拡大中の市場で結びついている。Fortune 500社を顧客の軸として市場における存在感を増しているから、EfficientIPは今後も強力に成長していくだろう」とコメントしている。

画像クレジット: Bryce Durbin

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

英国のオーディオストリーミングプラットホームのMixcloudが不正アクセスにより2000万のユーザーアカウントを流出させ、データが闇サイトで売りに出された。闇サイトの売り手はデータの一部をTechCrunchに見せ「本物であることを確認しろ」と伝えてきた。事件が起きたのは11月の初めだ。

データにはユーザー名とメールアドレスとパスワードが含まれていたが、パスワードはSHA-2のアルゴリズムで暗号化されていて解読はほとんど不可能だ。データにはそのほか、ユーザーの登録日付時刻と最前のログイン日付時刻、登録した場所の国名、IPアドレス、プロフィールの写真のリンクが含まれていた。

TechCrunchでは、データの一部のメールアドレスを同サイトのユーザー登録機能を使って調べた結果、本物であることを確認した。盗まれたデータの総量はわかっていない。その売り手によると2000万件というが、闇サイト上では2100万と書かれている。しかしTechCrunchが調べたデータからは、2200万に達するとも思われる。データは4000ドルないし約0.5ビットコインで売られている。その闇サイトのリンクをここに載せるのは控える。

Mixcloudは昨年、メディアを対象する投資企業であるWndrCoから1150万ドルを調達した。その投資ラウンドはハリウッドのメディア事業者であるJeffrey Katzenberg(ジェフリー・カッツェンバーグ)氏がリードした。

このところ著名企業の不正アクセスが相次いでいるが、これはその中でも最新の事件だ。盗んだデータを売っているのは同じ闇サイトで、スニーカーや衣料品のオンラインストアであるStockXへの不正アクセスについてもTechCrunchに警告してきた。StockXは当初、システムアップデートのための全顧客のパスワードリセットしたと表明していたが、その後ハッキングされたことを認めて400万件あまりのデータが流出したことを明らかにした。TechCrunchは盗まれたデータの一部を入手した

Mixcloudのプレス用メールアドレスへ問い合わせたが、メールは宛先不明で戻ってきた。同社のPR代理店に問い合わせたところ、すでにMixcloudとは契約していないとのことだった。MixcloudのスポークスパーソンであるLisa Roolant(リサ・ルーラント)氏はコメントを差し控えた。

ロンドンの企業なので、Mixcloudは英国とヨーロッパのデータ保護規則に従う。ヨーロッパのGDPRの規則に違反すると、年商の最大4%を罰金として払わなければならない。

関連記事
フードデリバリーのDoorDashが490万人の個人情報流出を確認
常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
米百貨店大手Macy’sが昨年に続きデータ漏洩

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

ボット退治のKasadaがCIAのベンチャー部門から7.6億円超を調達

今年初めにTechCrunchでも紹介したボット退治のスタートアップであるKasadaが、CIAなど諜報機関のコミュニティによる非営利のベンチャー事業のIn-Q-Telらから、シリーズAラウンドで700万ドル(約7億6300万円)を調達した。In-Q-TelによるKasadaへの投資は、今回が初めてとなる。

シドニーとシカゴにオフィスを置く同社は、独自のボット退治プラットホームPolyformでネット上のボットたちと戦う。ボットはゴミの山ようなトラフィックでウェブサイトを麻痺させ接続不能にしてしまうだけでなく、買った覚えのないものを買ったことにしてしまったり、また航空会社やエンターテインメント企業のコンテンツを偽造して代金を下げたりする。ボットは企業に使った覚えのないウェブサーバーや通信帯域の費用を発生させる。

同社のボット撃退プラットホームは、顧客のウェブサイトの外縁に難攻不落の暗号の壁を作る。また、同プラットホームは、フィンガープリント技術を利用してビジターが人間であるか確認する。そしてボットを見つけたら、解のない数学パズルを解かせたりしてボットのオペレーターのサーバーやメモリなどクラウドリソースを酷使し、費用を発生させる。

KasadaのCEOで共同創業者のSam Crowther(サム・クロウザー)氏は「In-Q-Telからの支援は自分たちの技術とチームに対する『強力なお墨付き』だ」とコメントしている。

2015年にローンチした同社は、昨年の1年間で技術と営業の両方の人員を倍増し、現場担当の役員だったPascal Podvin(パスカル・ポドビン)氏を営業のトップに据えて売上増を狙っている。In-Q-TelのPeter Tague(ピーター・タグ)氏によると、彼はKasadaの技術に感銘を受けたと言う。

同社がシドニーにオフィスを開いたのは昨年の後期だったが、オーストラリアで初めての投資が今回のKasadaだ。これまでのIn-Q-Telの投資先は、エンタープライズデータのクラウドプラットホームClouderaやサイバーセキュリティの大手FireEye、オープンソースのデータベースMongoDB、監視用ソフトウェアのPalantirなどだ。

今回の700万ドルのラウンドでKasadaは、顧客ベースを拡大して、最近いよいよ厳しい競争に抜きん出たいと考えている。この資金調達の直前には、ネットワーキングとコンテンツデリバリーの大手Cloudflareが、ボット対策のための戦闘モードと呼ばれる機能を導入した。それは、Cloudflareの顧客が無料で使えるオプトインの機能だ。同社はその機能について、ボットが顧客を攻撃できないようにして欲求不満に陥れる、と言っている。

KasadaのCrowther(クラウザー)氏によると、Cloudflareのそのような自助努力を見ても、ボット対策サービスの重要性が分かる。でもKasadaは、他社が手を付けていない部分をやっている、という。

【編集部注】In-Q-TelはKasadaの最新の投資家だが、ラウンドをリードしてはいない。

関連記事:Bots are cheap and effective. One startup trolls them into going away(ボットを苦しめて退散させるKasadaの反撃技術、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

セキュリティ侵犯でTモバイルの顧客情報が100万件以上流出

T-Mobile(Tモバイル)が、データ侵犯により100万人あまりの顧客に影響が及び、財務情報やパスワードを除く個人情報が悪意のある者に露出したことを認めた。同社は影響を受けた顧客に警告したが、そのハッキングの詳細な公式説明はない。

同社は被害者ユーザーへの公開情報で、同社のセキュリティチームが、プリペイドデータの顧客への「悪意ある不正なアクセス」を遮断した、と述べている。露出したと思われるデータは、以下のものだ:

  • 氏名
  • 請求アドレス
  • 電話番号
  • アカウント番号
  • 料金区分、プラン、起呼機能(国際通話ありなど)

最後のデータは「顧客に権限のあるネットワーク情報」と見なされ、通信企業に対する規制では、リークしたときには顧客に通知することが必要だ。つまり、その規制がなければ通知はしないということか。しかしそれでも、史上最大のハッキングが開示されなかったことが過去に何度もある。

しかし今回は、かなり素早くTモバイルはハッキングを開示したようだ。問い合わせに対しTモバイルの社員は顧客の1.5%未満が被害を受け、同社のユーザー総数は約7500万人だから、被害者数はおよそ100万人強になると言った。

同社は開示声明の中で、「弊社はみなさまの情報の安全を極めて重視している」と言っているが、それはTechCrunchがかつてこんな状況で言うなと求めた、しらじらしい決まり文句だ。

関連記事:常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

そのTモバイルの社員によると犯行が発見されたのは11月の初めで「ただちに」シャットダウンしたそうだ。データがあった場所や、露出していた期間、会社が講じた対策などについても聞いたが、答はなかった。

上記のデータは、露出してもそれ自身では必ずしも有害ではないが、アカウントを盗もうとする者の足がかりになることはある。アカウントのハイジャックは最近のサイバー犯罪の、かなりよくある手口であり、料金プランや自宅住所などの情報が、犯行の役に立つこともある。あなたがTモバイルの顧客なら、パスワードを変えて、自分のアカウントの詳細をチェックしよう。

関連記事:サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

ロサンゼルスがジュースジャッキングをするマルウェアを警告したが事例はゼロ

ロサンゼルスの州検察官が「公共のUSB充電ポイントは危険なマルウェアがあることもあるので旅行者は利用を避けるように」と警告している。この忠告を読むと、そこらにあるUSBポートはどれも「ユーザーのデータを盗むために誰かが自分のスマートフォンをつなぐのを待っている」と思うかもしれない。それはジュースジャッキング(Juice Jacking)と呼ばれる攻撃で、警告の声明文によると犯人は充電ステーションやそこに挿入したまま残したケーブルにマルウェアをロードして、何も知らないユーザーのスマートフォンやそのほかの電子機器に感染させる。マルウェアはデバイスをロックしたり、データをエクスポートしたり、パスワードを直接犯人の手に渡したりするのだそうだ。

しかしロサンゼルス郡の主任検察官事務所によると、検察の記録にはジュースジャッキングは1件もないが、イーストコーストには知られている事案があるという。それはどこか、と聞いたら、そのスポークスパーソンは知らなかった。そもそもなぜこんな警報を出したのかと問うと「それは今行っている詐欺教育キャンペーンの一環だ」と応えた。

ますます疑問が深まる。でもなぜ?セキュリティ研究家のKevin Beaumont(ケビン・ボーモント)氏のツイートによると「そんなものがマルウェアの伝播に利用されたという証拠を見たことは一度もない」という。実際、見たと言う人はほとんどいないだろう。私にメッセージをくれた何人かのセキュリティ研究者は「そういう攻撃の概念実証を見たことはあるが、実際に犯行に使われた例は知らない」と言っている。

ジュースジャッキングという脅威は実在するが、もっと容易なやり方がいろいろあるのだから、こんなものすごく複雑で不完全な方法を使って誰かを攻撃するなんてありえないのではないか。また、今ではこのような攻撃を防ぐ機能のあるスマートフォンが多いから、ジュースジャッキング攻撃を仕掛けるなら非常に高度な罠が必要だろう。

でも、スマートフォンをつないだら秘密を盗まれるという話そのものに無理はない。それが可能であるというデモも、これまでにたくさんあった。ZDNetのジュースジャッキング特集記事には、FBIが全国に送った警報の例が載っている。それは、セキュリティ研究家のSamy Kamkar(サミー・カムカー)氏が作ったArduinoベースのインプラントはUSB充電器に似ていて、空気の流れを感知して押されたキーを読み取るというもの。また、この夏あるセキュリティ研究家が作ったiPhoneの充電器のケーブルのクローンは、近くにいるハッカーが脆弱性のあるコンピューターにコマンドを実行させることができた。

ロサンゼルス当局は、充電ステーションを使わずコンセントを使うこと、そして自分のケーブルを持ち歩くことを勧めている。健全なアドバイスだが、でもそれは、あなたのデバイスとデータを安全に保つためにすべき多くのことのひとつにすぎない。

関連記事:Wi-Fiモジュールを埋め込んだiPhoneの充電ケーブルでPCをハッキングできることを証明

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Android端末にプリインストールされているアプリはセキュリティホールだらけ

Androidのスマートフォンを買ったことのある人は、立ち上げた途端に、頼んだ覚えのないごみがすでにロードされているのを、きっと見つけたことがあるだろう。これらの、最初からインストールされているアプリは、おおむね不細工で削除も面倒で、めったにアップデートされず、しかもセキュリティホールだらけのことが多い。

セキュリティ企業のKryptowire(クリプトワイヤー)は、大量のAndroidデバイスを自動的にスキャンしてセキュリティの欠陥の兆候を見つけるツールを作り、国土安全保障省の助成事業で29社のスマートフォンを調べた。多くの人が名前すら知らなかったメーカーがほとんどだが、中にはAsus(エイスース)、Samsung(サムスン)、 ソニーなどの有名ブランドもある。

Kryptowireは、ありとあらゆる種類の脆弱性を見つけた。ほかのアプリのインストールを強制するアプリもあれば、ユーザーを騙してオーディオを録音したり、システムの設定を黙って変えるのもある。事前にインストールされているアプリがないと動かない悪者アプリなどは、いわば特定のサプライチェーンを悪用しているアプリだ。また、ユーザーが何かのアプリをインストールした途端に悪事を働く悪者アプリもある。

Kryptowireが見つけたすべての脆弱性のリストがここにある。タイプ別メーカー別に分類されている。同社は全部で146の脆弱性を見つけた。

Wired誌の指摘によると、この最初からロード/インストールされているアプリの悪質性を、Googleもよく知っている。2018年に同社が立ち上げたBuild Test Suite(BTS)という一連のテストは、パートナーのOEMが必ずそれに合格しなければならない。BTSはデバイスのファームウェアをスキャンして、予めインストールされているアプリに隠れているセキュリティの問題を探す。そして悪者アプリにはPotentially Harmful Applications(PHA、有害の可能性のあるアプリケーション)の烙印を押す。Googleは2018年のAndroidセキュリティレポートにこう書いている:

OEMは彼らの新しい、またはアップデートしたビルドイメージをBTSにアップロードする。するとBTSは一連のテストを行なって、そのシステムイメージにセキュリティの問題を探す。これらのセキュリティテストの一つは、システムイメージに最初からインストールされるPHAがないかスキャンする。ビルドにPHAを見つけたら、OEMと協働して矯正を行い、PHAをビルドから削除してユーザーの手に渡るようにする。

最初の1年でBTSは、242のビルドから、エコシステムへのPHAの侵入を阻止した。

BTSが問題を見つけたときにはいつでも、OEMパートナーと協働して矯正行為を行い、そのアプリケーションがいかにしてビルドに含まれたのかを探る。このチームワークにより、エコシステムに対する意図的な脅威を見つけて抑止することが可能になっている。

でも、たった1つの自動化システムがすべてを捕らえることはできない。問題がこっそり忍び込んできたときには対応するフィックスやパッチはまだないことが多い。長期的なサポートがおろそかになりがちな、ローエンドのマシンでは特にそうだ。上記のレポートに対するGoogleのコメントを求めたら、こんな談話をくれた:

弊社と協力して責任ある態度でこのような問題の修復と公開を行っている研究者たちの仕事に感謝する。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

ハッキングコンテスト優勝者はAmazon Echo Showを攻撃して650万円超の褒賞金を獲得

今年のPwn2Ownハッキングコンテストでは、これまですでに高度なハッキングテクニックをいくつも開拓してきた二人のセキュリティ研究家が優勝した。それらの中には、Amazon Echoに対する攻撃もある。

Amat Cama(アマト・カマ)氏とRichard Zhu(リチャード・チュー)氏の2人から成るTeam Fluoroacetateは、Alexa対応のスマートディスプレーであるAmazon Echo Show 5の最新機種に対する整数オーバフロー攻撃で、6万ドル(約650万円)のバグ褒賞金を獲得した。

Pwn2Ownコンテストを主催したTrend MicroのZero Day InitiativeのディレクターであるBrian Gorenc(ブライアン・ゴレンク)氏によると「彼らは、そのデバイスがGoogleのオープンソースブラウザーであるChromiumの古いバージョンを使っていることを見つけた。それは、開発のある時点でフォークされたコードだった。しかしそのバグにより、悪質なWi-Fiホットスポットに接続するとデバイスを完全にコントロールすることができた」と語っている。

研究者たちは彼らのエクスプロイト(コンピュータやスマートフォンのOSの脆弱性を悪用して攻撃を仕掛けるプログラム)を、外部の妨害を防ぐために高周波遮断容器の中でテストした。「コンテストの間に侵害されたIoTデバイスの多くに、このパッチのバグがあった」と。ゴレンク氏。

Amat Cama(左)とRichard Zhu(右)の2人がTeam Fluoroacetate(画像提供: ZDI)

整数オーバーフローバグは、整数演算が数を作ろうとしたとき十分な大きさのメモリーがないと起きる。その数は、割り当てられたメモリーの外へオーバーフローする。そして、デバイスのセキュリティが壊される。

問い合わせに対してAmazonは「この研究を調査中であり、調査の結果に基づいて、弊社のデバイスを保護するための適切な処置を取る」と言った。それがどんな処置でいつ行われるのかについては、無言だった。

コンテストには、Echo以外にもインターネットに接続されるデバイスがいろいろ登場した。この前コンテストの主催者は、Facebook Portalをハックする機会があるだろうと述べた。それは、そのソーシャルメディア大手が提供するビデオ通話が可能なスマートディスプレイだ。しかし今回、Portalを攻撃したハッカーはいなかった。

関連記事:Security flaws in a popular smart home hub let hackers unlock front doors(人気のスマートホームハブはハッカーがドアの鍵を開けられる、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Amazonのドアベル「Ring」にWi-Fiのパスワードが盗まれる脆弱性が見つかる

セキュリティの研究者たちが、接続されているWi-Fiネットワークのパスワードを露呈するAmazonのドアベル「Ring」の脆弱性を発見した。

Bitdefenderによると、Amazonのドアベルは、それがローカルネットワークに加わったときにオーナーのWi-Fiパスワードを平文のテキストで送信する。近くにいるハッカーはそのWi-Fiパスワードを横取りしてネットワークにアクセスし、重大な攻撃や盗聴行為などを仕掛けることができるだろう。

Bitdefenderによると「デバイスを最初に構成するとき、スマートフォンのアプリはネットワークの認証情報を必ず送信する。その送信はセキュリティに守られていないし、同じく無保護のアクセスポイントを通る。そのネットワークが動き出したら、アプリはそれに自動的に接続してデバイスを調べ、その認証情報をローカルネットワークに送信する」と説明する。

しかし、これらすべてが暗号化されない接続の上で行われるから、送信されたWi-Fiパスワードはそのまま露呈する。AmazonはRingの脆弱性を9月に直したが、この脆弱性は米国時間11月7日の時点で未公開だ。

このように、スマートホームの技術には相次いでセキュリティの問題が見つかっている。スマートホームデバイスは生活を楽にして家を安全にするために作られているはずだが、研究者たちは、それらが保護するはずのものへのアクセスを許す脆弱性を、次から次と見つけている。

この前は研究者たちが、人気のスマートホームハブにドアの鍵(スマートロック)を開けさせて、その家に侵入できた。

AmazonのRingについては、法執行当局(警察)が厳しい調査を行っている。GizmodoなどのニュースサイトがRingと警察との密接な関係の詳細を、関連のメッセージングも含めて報じている。今週は、ハロウィーンで何百万ものお菓子をねだる子どもたちを追跡したとRingがInstagramで自慢していたそうだ。

関連記事:Security flaws in a popular smart home hub let hackers unlock front doors(人気のスマートホームハブはハッカーがドアの鍵を開けられる、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

モバイルセキュリティ企業数社と協力してGoogle Playから悪質Androidアプリを駆除

Googleはモバイルのセキュリティ企業ESETやLookout、およびZimperiumとパートナーして、Google Playのアプリストアに出没する悪質なAndroidアプリの被害と戦おうとしている。

その発表は米国時間11月6日に行われ、各社は新たに作られた連盟であるApp Defense Alliance(アプリ防衛同盟)に参加したことを確認した。Googleによると、同社はこれらの企業と協力して「悪質なアプリがユーザーのデバイスに到達する前に停止する」ことに努力する。

同社はここ数年、悪質なアプリとの戦いで苦戦している。「アプリはGoogle Playで掲載される前にマルウェアなどの悪質な部位の存否を審査されるが、それが十分ではないので、ユーザーのデバイスに入り込む悪質なアプリを根絶できていない」と批判されている。

Googleは今年の早い時期に、Google PlayからダウンロードされるAndroidアプリのうち、有害と思われるのは0.04%にすぎない、と発表した。しかし今のGoogle Playストアでは、0.04%は約3000万に相当する。すなわち、問題は解決していない。

ESETLookoutZimperiumは近年、Google Playで数百の悪質アプリを発見し削除することに貢献した。しかし、今回各社が正規のパートナーになって、Androidが内蔵しているマルウェア対抗エンジンであるGoogle Play Protectの技術を各社のスキャンニングエンジンと統合すれば、その集団的取り組みによって、ダウンロードが承認される前のアプリをより厳格にフィルタできるようになる。

「モバイルアプリの脅威は日に日にひどくなっているから、知識の共有と業界全体の協力体制が重要だ」とGoogleは説明している。

関連記事:Tibetans hit by the same mobile malware targeting Uyghurs(ウイグル族を狙った同じモバイルマルウェアがチベット人を攻撃、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

アップルがプライバシーサイトを刷新、技術白書を公開

Apple(アップル)は4年連続で、プライバシーに関するページを更新した。同社は毎年、ウェブサイトのプライバシー項目を更新し(通常は製品発売の約1カ月後)、顧客に最新の機能や技術を説明している。テロリストのiPhoneの内容を知るために連邦捜査官が同社にバックドアの作成を強要していたFBIとの戦い以来、同社はこれまでの秘密主義的なやり方を捨て、セキュリティとプライバシーのポリシーを全面的に公開している。

アップルのプライバシーページは、プライバシーに対する同社のさまざまな取り組みを掲載するように進化し、さらにはユーザーへのヒントやトリック、そして政府からのデータ公開要求の数を記載した、年2回の透明性レポートを掲載している。

今年には初めて、同社はいくつかの最も人気の技術がどのように機能するかを記述した技術白書を公開した。これまで、同社はSafariや写真、位置情報サービス、サインインに関する技術白書をリリースしてきた。昨年同社はヨーロッパのGDPRによる法的要件に応え、「データをダウンロードする」ページを公開し、ユーザーが保存しているすべてのデータを入手できるようにした。

アップルによると、同社のプライバシーページはサイト全体の中で最も訪問者の多いページだという。これまでと同じく、アップデートされたプライバシーページには、iOS 13と、今年リリースされたmacOS Catalinaに関する、Safariの追跡防止や位置認識、連絡先メモの保護といった新しいプライバシーとセキュリティ機能がすべて含まれている。

[原文へ]

(翻訳:塚本直樹 Twitter

投稿日:

ファーウェイがバグ発見褒賞会議を開催、ミュンヘンにハッカーを集める

中国のテクノロジー大手のHuawei(ファーウェイ)は、今月下旬にミュンヘンで開く秘密会議に全世界の優秀なスマートフォンハッカーを招き、各国政府の同社に対する懸念を払拭しようとしている。

TechCrunchの情報筋によると、その11月16日の会議でファーウェイは、新しいバグ褒賞事業を非公開で提示する。それにより、セキュリティの脆弱性を指摘した研究者には賞金が贈られる。情報筋によると、そのバグ褒賞事業は過去と未来のモバイルデバイスを対象とし、またAndroidに対抗する同社製モバイルオペレーティングシステムであるHarmonyOSも、バグ発見賞の対象になる。

Apple(アップル)やGoogle(グーグル)、Samsung(サムスン)など、そのほかのスマートフォンメーカーにもバグ褒賞制度がある。

ファーウェイの新しいバグ発見褒賞制度は、同社と中国政府との関係に対する批判が最近ますます高まっていることと関係がありそうだ。同社が中国政府のためにスパイ行為をしているという米国の主張をファーウェイは否定しているが、それでもなお連邦政府は制裁と米国での事業に対する制限を解こうとしない。同社に対するこのような圧力の中で、グーグルなどはファーウェイに対する同社スマートフォンに使われていたAndroidのサポートを停止し、そのため同社は独自のOSを使わざるをえなくなった

ある情報筋はこのイベントを、アップルが8月に主催した秘密会議に似ているという。そこではiPhoneをハックしてセキュリティの弱点を見つけたセキュリティ研究家に、特別製のiPhoneが贈られた。

情報筋によるとファーウェイのバグ褒賞会議の目的は、セキュリティ研究者たちと同社との積極的な協働ぶりを各国政府に見せつけることにある。ファーウェイは通信企業が使用するネットワーキング機器も作っているが、これに関しては今年初めに英国の政府当局から、同社は国のセキュリティの脅威にはならないと主張しながら、深刻で意図的な欠陥を直そうとしないと批判された。

ファーウェイのスポークスパーソンであるChase Skinner(チェイス・スキナー)氏は、コメントの求めに応じなかった。

関連記事:米通信委がファーウェイとZTEの設備排除を通信会社に要求へ

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

アドウェア感染した多数のAndroidアプリが数百万回ダウンロードされる

セキュリティ研究者らは、Google Playにて被害者に金銭目的で広告を配信するAndroidアプリを多数発見した。ESETの研究者らは、アドウェアを含む42のアプリを発見し、それらが2018年7月に最初に登録されてから800万回以上ダウンロードされたと述べている。

これらのアプリは見た目は普通だが巧妙に動作する。ユーザーがアドウェアに感染したアプリをインストールすると、アプリはデバイスのディスプレイに半ランダムに全画面広告を表示する。アプリはショートカットアイコンを削除してしまうこともあり、削除しにくい。アドウェアに感染したアプリは、Facebook(フェイスブック)やGoogle(グーグル)のアプリに擬態して広告配信アプリだという疑惑を回避し、可能な限り長くデバイスにとどまるように設計されている。

そしてバックグラウンドでは、特定のアプリがインストールされているかどうか、あるいはさらなるマルウェア感染したアプリをデバイスに導入可能な非公式ストアからのアプリがインストールできるかどうかなど、ユーザーのデバイスに関するデータも送信されていた。

「分析したすべてのアプリのアドウェアに関するの機能は同じだ」と、ESETのセキュリティ研究者の一人であるLukas Stefanko(ルーカス・ステファンコ)氏は述べた。

研究者らはまた、アプリが影響を受けたデバイスがGoogleのサーバに接続されているかどうかをチェックし、検出されるのを防いでいることも発見した。アプリがマルウェアを防ぐGoogle Playのセキュリティメカニズムによってテストされていることを検知した場合、アドウェアの機能はオンにならない。

報告されたアプリの中には、500万回ダウンロードされたVideo Downloader Masterも存在する。その他には、Ringtone Maker Pro、SaveInsta、Tank Classicがそれぞれ50万件ダウンロードされていた。

研究者らは、ベトナムの大学生がこのアドウェアの制作に関わっている可能性があると述べている。

Googleは問題のアプリをすべて削除したが、サードパーティーのアプリストアにはまだ多くが存在し入手できると、研究者らは警告した。同社のスポークスパーソンもこれらのアプリがすべて削除されていることを認めたが、通常アプリの削除に関する詳細については情報を明かさない。

[原文へ]

(翻訳:塚本直樹 Twitter

投稿日:

Twitterが世界のリーダーたちの暴言のリツイートを禁止

Twitterは、ルールに違反している世界のリーダーからのツイートへの対話の仕方を制限することを発表した。

同社によると、今後は人を不快にさせるようなツイートをいいねしたり、リプライ、シェア、またはリツイートすることを禁ずるが、コメントや普通のツイートの中で問題のツイートを引用することは許される。

その理由は、ユーザーは今世界で起きていることを、口汚いツイートも含めて知るべきだが「ルール無視の黙認は許さないためだ」という。

口汚いツイートへのいいね、リプライ、シェア、リツイートはできなくなる。コメントでリツイートして自分の意見を表明することはできる。

Twitterは「ルールを破っている世界のリーダーに対して何もしない」という非難と、表現の自由の間で板挟みになっていた。

Twitterは米国時間10月15日の無署名のブログ記事で、「世界のリーダーたちのTwitter上の行為に対して前例のない措置を講じた」と言っている。

昨年Twitterは「北朝鮮に対する宣戦布告の脅しなど物騒なツイートを書くドナルド・トランプを禁じない」という立場を明らかにした。しかし、イランの最高指導者ハメネイ師の場合は、彼のツイートの1つが削除された

Twitterは「世界のリーダーたちのアカウントが弊社のポリシーよりも上位にあることはない」とし、「テロを奨励するツイートや暴力による脅し、プライベート情報のポストなどを行う者は、誰であれ禁止される」と説明する。

しかし、Twitterはこれに続けて「世界のリーダーが関与している場合は、その発言への公共的関心が明らかに存在するならば、そのコンテンツをそのまま残すという小さな過ちを、私たちはあえて犯すこともある」とも語る。、

そしてそんな場合には「そのコンテンツにルール違反であるという注記を付け、人々がコンテンツを見られるためのリンクを置く」として、7月の約束を補足している。

Twitterは、こんなツイートもしている。「目標は、ルールを正しく公平に適用することである。そうすることによって、弊社の検閲方針を正しく理解していただけると思っている。弊社はオープンな会話の場を提供するとともに、人々がリーダーの言葉を聞き、彼らの説明責任を明らかにする権利を保護する」。

関連記事:Twitter asserts that it won’t ban Trump because he’s a world leader(トランプは世界のリーダーだから暴言ツイートを禁じないとTwitterが発表、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

Microsoft(マイクロソフト)によると、同社はイランと関連のあるハッカーたちが2020年の大統領選の候補者を狙っている証拠を見つけた。

この巨大テクノロジー企業のセキュリティ部門のトップTom Burt(トム・バート)副社長が、ブログでその犯行を確認しているが、候補者の名前は挙げられていない。

マイクロソフトがPhosphorous(燐光)と呼ぶその犯行グループは、APT 35とも呼ばれ、マイクロソフトの特定の顧客のメールアカウントを見つける試みを2700回以上行った。バート氏によると、これらのアカウントは大統領選や、現在および前の米国政府職員、ジャーナリスト、そして国外に住むイラン人の有名人などに結びついている。

バート氏によると「4つのアカウントはこれらの試みにより侵犯されたが、この4つは米国大統領選や現在および過去の米国政府職員に結びついていない。犯行は8月と9月に行われた」と語る。

犯行グループはマイクロソフトのアカウントに結びついている第二のメールアカウントにアクセスし、そこからアカウントに侵入しようとした、と彼は言う。犯人が、ユーザーの電話番号を集めてそれらを攻撃しようとしたこともある。バート氏によると、犯行は「技術的に高度なものではなく」て、とにかく「大量の個人情報を利用して」アカウント見つけ、攻撃しただけだ、という。

8月と9月の犯行では、マイクロソフトを電子メールプロバイダーとして使っていた大統領選候補者はドナルド・トランプ氏とマーク・サンフォード氏だけだった。

マイクロソフトのレーダーがPhosphorousを捉えたのは、これが初めてではない。同社はこの犯行グループをすでに訴えており、バックにテヘラン(イラン政府)がいると信じている。今年初めにマイクロソフトは、ハッカーたちが水飲み場型攻撃のために使っていたいくつかのドメインを捉えた。そのハッカー集団は、元米空軍対敵諜報職員Monica Wittと関係があったとも信じられている。彼女は2013年にテヘランに逃れ、今ではスパイ行為の疑いでFBIが追っている

この前のハッカーたちの作戦では、YahooやGoogleのログインページに似せた二要素認証を欺くページで、学者やジャーナリストをねらったスピアフィッシング(Spearphishing、特定ターゲットに対するフィッシング)を展開した。

マイクロソフトによると、これまで同社は、国家が背後にいる犯行に関して800件あまりの通知を行った。そのユーザーたちは、政治的キャンペーンを対象とする同社のアカウント監視サービスで保護されていた。

関連記事:マイクロソフトがイランのハッカーのドメイン差し止め命令を連邦裁判所からゲット

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Twitterのジャック・ドーシーCEOのTwitterアカウントが乗っ取られる

ハッカーがTwitterの共同創業者で現在のCEOであるJack Dorsey(ジャック・ドーシー)氏のアカウントを乗っ取った。

人種差別なども含む一連の悪質なツイートが、8月31日東部時間午後3時30分(9月1日日本時間午前4時30分)よりTwitterのCEOのTwitterアカウントへ彼からのツイートとしてポストされた。それらのツイートのひとつには、アカウント乗っ取り犯と称する者のTwitterハンドルがあった。そのアカウントは、即座に停止された。

ドーシー氏にはフォロワーが421万人いる。

TwitterのスポークスパーソンEbony Turner(エボニー・チューナー)氏によると、同社は目下調査中である同社は事件に関して、こんなツイートをポストした。

アカウントがどうやって乗っ取られたのか、まだわかっていない。しかし悪質なツイートはCloudhopperから送られた。Twitterが2010年に同社のSMSサービスを改良するために買収したこのサービスが使われたということは、誰かがドーシー氏のアカウントのパスワードを入手したのではなく、認証されているサードパーティのアプリが彼のアカウントを乗っ取った可能性を示唆している。

著名なアカウントをハックされてTwitterの大掃除が必要になったことは、これが初めてではない。FacebookのボスであるMark Zuckerberg(マーク・ザッカーバーグ)氏も、二段階認証を使わなかったためにTwitterのアカウントをハックされたことがある。また、そのときの彼のパスワードは、知らない人が当てやすい笑えるほどシンプルなものだった。

その後Twitterは、ドーシー氏のアカウントを保護したと公表した。

Twitterのその後「アカウントに結びついている電話番号が、モバイルプロバイダーのセキュリティの欠陥により乗っ取られた。これによって、権限のない者がその電話番号からテキストメッセージでツイートを作って送ることができた」とコメントした。

つまり、ドーシー氏はSIMスワッピング(SIM交換を悪用する詐欺)の被害者になったようだ。Twitterは、そのモバイルプロバイダーの名を挙げていない。

Twitterからの声明でこの記事をアップデートした。

関連記事:マーク・ザッカーバーグのTwitter、Pinterest、LinkedInがハックされる、Facebookアカウントは無事

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明

Googleのセキュリティ研究者たちは、ユーザーが訪問すると、これまで公表されていなかったソフトウェアの欠陥を悪用してユーザーのiPhoneをこっそりハックする悪質なウェブサイトを複数見つけた。

GoogleのProject Zeroが米国時間8月29日の午後発表したブログ記事によると、それらのウェブサイトはこれまで何も知らぬ被害者たちが毎週何千人も訪れて「無差別攻撃」にやられている。

Project Zeroのセキュリティ研究家Ian Beer(イアン・ビア)氏は「ただそのサイトを訪れるだけで、悪者サーバーが訪問者のデバイスを攻撃し、攻撃に成功したらモニタリングを行うプログラム片を埋め込む」とコメントしている。

彼によると、それらのウェブサイトはこれまで「少なくとも2年以上」iPhoneをハッキングしていた。

研究者たちが見つけた悪行の連鎖は5種類あり、それらは12のセキュリティ欠陥を利用していた。そのうち7つは、iPhone内蔵のウェブブラウザーであるSafariと関係があった。その5種類の攻撃連鎖により犯人は、最高のアクセスと特権のレベルである「root」アクセスを入手した。そうすると犯人は、一般ユーザーには近づけない特殊な機能にもすべてアクセスできるようになり、悪質なアプリをインストールして、所有者への通知も同意もないままiPhoneを制御できた。

Googleの分析によると、アプリのセキュリティ欠陥、いわゆる脆弱性を利用して犯人は、ユーザーの写真やメッセージを盗み、ユーザーの位置をほぼリアルタイムで追跡できた。その埋め込まれた悪質なプログラムは、デバイス上にユーザーが保存しているパスワードのリストにもアクセスできた。

実害があったのはiOS 10から現在のiOS 12までのバージョンだ。

Googleは2月にAppleにこの脆弱性を教え、被害がひどく、しかも長期にわたっているから、できるだけ短期間で修復しユーザーにアップデートを提供すべきだと推奨した。通常この種の被害ではソフトウェアデベロッパーに90日間の猶予が与えられるが、Appleは事態が深刻なため1週間という期限を設けた。

そしてAppleは6日後に、iPhone 5sとiPad Air以降のiOS 12.1.4のアップデートを発行した。

ビア氏によると、今現在、別のハッキング作戦が展開されていることもありえる。

iPhoneとiPadのメーカーは、セキュリティとプライバシーに関してきれいな話ばかりしてきた。最近ではiPhoneのroot特権を密かに奪うようなバグの発見者への報奨金を100万ドルに増額した。年内に発効するこの新しい報奨金ルールによると、Googleはさしずめ数百万ドルぐらいもらえるかもしれない。

Appleのスポークスパーソンはまだコメントをくれない。

関連記事:アップルがバグ報奨金プログラムを拡大し最大1億円に

[原文へ]

(翻訳:iwatani(a.k.a. hiwa

投稿日:

カザフスタン政府によるブラウザー閲覧盗聴行為をGoogleとMozillaが共同でブロック

Google(グーグル)とMozilla(モジラ)が珍しくも協力して、カザフスタン政府が発行した信頼できない証明をブロックしている。その証明発行行為を批判する人たちによると、政府は国民のインターネットトラフィックを監視する取り組みの一環として、一般市民にその証明のインストールを強制している。

2つのブラウザーメーカーは米国時間8月21日の共同声明で、政府が発行した証明をブロックするための「技術的ソリューション」を適用したと表明している。

国民監視政策の一環として、一般市民が自分のコンピューターやデバイスに政府発行の証明をインストールするよう命じられた。インストールすると、そのデバイス上のネットワークトラフィックに政府がrootアクセスできるようになり、政府が一般市民のインターネット閲覧行為を傍受し、盗聴・盗視ができる。

研究者たちは、実際にモニタされているサイトがFacebookやTwitter、Googleなどごくわずかであることを見つけた。

カザフスタン政府は、彼らが「システムテスト」と称するものを中止し、その証明を削除してもよい、と言っているが、しかしGoogleとMozillaによれば、彼らの技術的ソリューションは証明がインストールされていてもデータの傍受などを不能にする。

Mozillaのセキュリティ担当上級ディレクターであるMarshall Erwin(マーシャル・アーウィン)氏は、「我々はこれを軽い気持ちでやっているのではない」と言う。そしてGoogleのブラウザー担当チーフParisa Tabriz(パリサ・タブリッツ)氏は、「Chromeのユーザーのデータを危険にさらす試みは、誰がやろうとも、たとえ政府の行為であっても、絶対に許さない」とコメントしている。

Apple(アップル)のスポークスパーソンによると、「その証明が信用されないようSafariに手を加えたので、現在ユーザーはこの問題から保護されている」そうだ

その悪質な証明に対するMozillaらのブロックは、ユーザーのアクションを必要とせず、不可視の状態で有効になる。

カザフスタンの人口は1800万人だ。研究者たちによると、インターネットのトラフィックを傍受しようとする政府の取り組みは、この国最大のインターネットプロバイダーを通るインターネット接続のごく一部にしか及んでいない。

中央アジアに位置するこの国は、インターネットの自由のランキングでずっと下のほうにいる。監視団体のFreedom Houseが作ったそのリストによると、同国よりもランクが低いのはロシアとイランのみである。

ニューヨークのカザフスタン領事館のスポークスパーソンは、コメントの要求に応じなかった。

関連記事:Mozillaは悪名漂うUAEDarkMatterHTTPSの証明提供者として否認

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキーをYubicoが発売

発表から2カ月近くも経った米国時間8月20日、YubicoがYubiKey 5Ciを発売した。これは、iPhoneやMacと、そのほかのUSB-C対応デバイスの両方をサポートするセキュリティキーだ。

最新のYubiKeyは、対応機種を広げようとしている同社の努力の一環でもある。その最初の成果は、1つのデバイスでApple(アップル)のiPhoneとiPad、そしてMacBookをサポートした。そして6月に同社は、特にApple以外の製品も使っているAppleユーザーのために、複数のプラットホームに対応するセキュリティキーを発表した。

そのセキュリティキーはキーリングに収まるほど小さくて、ネット上のアカウントにログインするときにはキーをデバイスに挿入すると、ユーザー本人が認証される。GmailもTwitterもFacebookも、この小さなデバイスをユーザー名とパスワードの後で使うニ段階認証用にサポートしている。ふつうのニ段階認証では、ユーザーの携帯に送られてくる短いコードを入力するが、セキュリティキーはそれよりもずっと強力な認証の仕組みだ。

だからセキュリティキーはほとんど全勝不敗のセキュリティとも呼ばれ、どこかの国家がやってるのも含めて、いろんな攻撃からユーザーを護る。

YubicoのチーフソリューションオフィサーJerrod Chong(ジェロッド・チョン)氏によると、今回の新しいセキュリティキーは「モバイルの認証システムが抱えている重要なギャップを埋める」という。特にユーザーが複数のモバイルデバイスを使ってる場合は、有効なセキュリティキーはそれ1つしかないから安全度が高い。

この新しいキーは、1PasswordやLastPassのようなパスワードマネージャーと一緒に使えるし、またセキュリティキーによる認証をサポートしているBraveのようなブラウザーでも使える。

関連記事
Cybersecurity 101: Two-factor authentication can save you from hackers(ニ段階認証はあなたをハッカーから護る、未訳)
サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Facebookはユーザーの音声メッセージを無許可で書き起こした

「未来はプライベートにあり」。まさに、Facebookに残された道はそれしかない。

Facebookはユーザーの音声データを集めて、それをサードパーティの契約企業を使ってテキストに書き起こしたとされている。同社はユーザーデータのそのような扱い方をめぐって、現在当局に調べられている。

そのことを最初に報じたBloomberg(ブルームバーグ)によると、契約企業は仕事を失いたくないので匿名にしてくれと頼んだそうだ。

その記事によると、音声はMessengerアプリからのものだ。音声の会話を書き起こしと比較対照して、同社の人工知能が正しい仕事をしたか確認していた。

Facebookが音声データを集める方法はMessenger以外にもいろいろあるはずだ。しかし同社のプライバシーポリシーには、音声データを何に使っているのかに関する言及がない。Bloombergの記事は、契約企業がその仕事を「非倫理的」と感じたと書いている。その理由はユーザーの音声をサードパーティがレビューすることを、Facebookが「どこにも明記していない」からだ。その契約企業は前から、ユーザーの携帯から「音声を聴取していない」とするFacebookの主張に反駁していた。

Facebookには、音声を書き起こす理由や、サードパーティによる書き起こしをユーザーに告げない理由などを質問したが、まだ返事はない。しかしFacebookのスポークスパーソンのJoe Osborne(ジョー・オズボーン)氏は「音声データの書き起こしは8月初めにやめた」とコメントした。

ユーザーの音声をサードパーティの契約企業とそのスタッフにレビューさせた件でも、Facebookは目下調べられている。AmazonもAlexaの録音をユーザーの許可なく契約企業にレビューさせたとして非難の集中砲火を浴び、Echoデバイスにオプトアウトを加えざるをえなくなった。

そのほか、Googleは人工知能のテストで、AppleはSiriの録音の契約企業による聴取で、そしてMicrosoftはSkypeの通話を翻訳機能のテストのために聞いたとして、同じくとがめられている。

Facebookには、Alex Stamos(アレックス・スタモス)氏が辞めて以降、すでに1年以上もCSO(チーフ・セキュリティ・オフィサー)がいない。

関連記事

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

Facebookがクリックインジェクションによる不正広告で2人のデベロッパーを訴訟

Facebookは2人のアプリデベロッパーを、同社の広告プラットホームを利用して不正な収益を得たとして告訴した。同社はその法的アクションを、米国時間8月6日のブログ記事で発表した

同社の社則執行および法務担当ディレクターであるJessica Romero(ジェシカ・ロメロ)氏は「そのデベロッパーはアプリをGoogle Playストア上で一般公開し、ユーザーのスマートフォンをマルウェアに感染させた。そのマルウェアはユーザーのスマートフォン上に現れるFacebookの広告で偽のユーザークリックを作り出し、ユーザーがその広告をクリックしたような効果を生じさせた」。

この手口はクリックインジェクションと呼ばれ、ユーザーに知られることなくアプリが不正な広告クリックを作り出すことによって、広告収入を増やす。それは、セキュリティの研究者たちには以前から知られている問題で、デベロッパーは簡単に作れるジャンクアプリを作り、それが何百万回もダウンロードされるとき、ユーザーに知られることなく見えない広告のクリックが作り出される

Facebookによると、今回のケースでは二人のデベロッパー、香港のLionMobiとシンガポールのJediMobiが、同社の広告システムから不正な支払いを受けた。彼らのアプリは、概算で2億700万回以上インストールされたと思われる。そのアプリはGoogleのアプリストアにまだあるが、Googleはそれに関してまだ何もコメントしていない。

Facebookは「被害者の広告主には広告料金相当を返金した」ことを表明したが、Facebookのスポークスパーソンはコメントの要求に応じなかった。

関連記事:File-storage app 4shared caught serving invisible ads and making purchases without consent(ファイル保存アプリ4sharedが不可視の広告で同意なき購入を偽造、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

米陸軍はレーザービーム兵器の早期実用化に本気

設立1927年の長寿の軍需企業であるNorthrop Grumman(ノースロップ・グラマン)が、かなり前から、米軍との契約でドローンを撃墜するレーザー兵器を研究開発している。

軍が望むのは、出力50キロワットのレーザーシステムをGeneral Dynamics(ジェネラル・ダイナミクス)が設計した装甲車Stryker(ストライカー)に載せたビーム兵器を、米軍の短距離防空システムの一員にすることだ。つまりこのレーザー兵器の目的は、前線の戦闘部隊をドローンの攻撃から守ること。

この計画には、Stryker装甲車にビーム兵器を組み込むことによって一種の先導機として利用し、短距離防空システムの目的である前線部隊の完全な保護を実現することが含まれている。

Northrop Grummanのミサイル防衛および防御システム担当副社長兼ゼネラルマネージャーであるDan Verwiel(ダン・ヴァーウェイル)氏は「Northrop Grummanはその革新的で実証済みの技術と統合化専門技術の蓄積を活かして、わが国の機動部隊の次世代型保護装備を強力かつ迅速に提供していきたい」と声明でコメント。

軍は全地形型車両であるStrykerの一群に、ドローンやヘリコプター、ロケット、火砲、 臼砲などに対する防御システムを載せるつもりであり、その開発をNorthrop GrummanやRaytheon(レイセオン)に委託している。つまりRaytheonも、このプロジェクトに参加している。

陸軍中将で超音波兵器ビーム兵器宇宙兵器および迅速調達担当ディレクターであるL. Neil Thurgood(L・ネイル・サーグッド)氏は声明で「今や、ビーム兵器を戦場に持ち込むべき時である。陸軍は陸軍現代化計画の一環としてレーザービーム兵器の必要性を認識している。これはもはや研究事業やデモンストレーション事業ではない。それは戦略的戦闘能力の一環であり、それを兵士たちが手中にすることは正しい方向性である」とコメントしている。

陸軍にとってレーザーは、従来の動力学的兵器につきものだったサプライチェーンのハードル(前線への弾薬の補充など)をさらに削減してくれる技術だ。5月に陸軍は、歩兵、車両、および航空機をサポートするさまざまなレーザー兵器のプロトタイピングと現場導入を加速する戦略にゴーサインを出した。

そして陸軍は、今契約しているRaytheonとNorthrop Grummanだけでなく、独自の研究成果を持つ他のベンダーからの売り込みを歓迎する、と言っている。デモに成功したら、総額4億9000万ドルの計画の一片に食らいつくことができる。そしてその技術を搭載した車両の実用化を陸軍は2022年と予定している。

陸軍の迅速配備展開部門(RCCTO)のビーム兵器担当上級研究員であるCraig Robin(クレイグ・ロビン)博士は声明で「レーザーのビーム利用に関しては軍と商用部門の両方が大きな進歩を遂げ、今では戦術的に有効なプラットホーム(装甲車など)で、十分な軍用能力のあるレーザービームを利用できる。今やわれわれは、そのための最良のソリューションを迅速にプロトタイプし、競争により最良の実装を実現して、前線の戦闘部隊に届けるべき時に来ている」と述べている。

画像クレジット: Northrop Grumman

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

エネルギーと通信企業を狙う新しいハッキンググループ

アフリカと中東の通信企業と石油やガスの企業を狙う、新たなハッキンググループが登場したようだ。

産業セキュリティの専門企業Dragosは、同社が見つけたそのグループを「Hexane」(ヘキサン)と呼んでいるが、その活動についてはまだほとんど口をつぐんでいる。しかし米国時間8月1日の同社の発表によると、そのグループの活動は最近の数か月で活発化し、それはこのグループが初めて登場した1年前以後激化した同地域の緊張と時期が一致している。

HexaneはDragosが今追跡している9つのハッキンググループの中で最新だが、通信企業をターゲットにしていることが観察された。それは、石油やガス企業のネットワークにアクセスするための踏石としての攻撃と考えられるとDragosはコメントしている。

Dragosの上級索敵官であるCasey Brooks(ケーシー・ブルックス)氏は「通信企業をターゲットにすれば、下流の石油ガス精製企業や上流のプロダクションのオペレーションにセルネットワーク(携帯電話のネットワーク)からアクセスできるようになる可能性がある」と語る。

Dragosの話は具体的ではないが、このグループは被害者のネットワークを内部から侵犯するために利用できるサプライチェーンの中の「デバイスやファームウェアや通信ネットワーク」をターゲットにするという。

彼らDragosの研究者たちは、Hexaneがまだ発電所やエネルギーのサプライヤーなど重要なインフラストラクチャの運転の継続に必要な産業制御ネットワークを破壊するほどの攻撃能力を持っていないと「ほぼ確信している」が、しかし通信企業のネットワークに対する攻撃をそのためのテコのような前段として利用するかもしれないと考えている。Dragosの予想では、中東アフリカ地域の石油およびガス企業がターゲットになる機会が増えるそうだ。

Dragosの専門は社会のインフラストラクチャに対する脅威の発見や理解だが、Hexaneが最初に観察されたのは2018年の半ばだった。グループの動き方は、やはり産業制御システムを狙う他の同様のグループと同じだった。しかしサードパーティの企業を狙う脅威グループはHexaneだけではない。Dragosによると、同社が追跡している他のグループは、産業制御ネットワークが使っているハードウェアやソフトウェアのサプライヤーをターゲットにしている。

Hexaneの動きは、前に報じた、イランとの結びつきが疑われる脅威グループのOilRigと似ている。しかしこれまで観察した他のグループと比較すると、Hexaneのやり方やツールや狙う被害者が異なるので、他に類似例のない「ユニークな実体だ」という。

Dragosによると、一般的にハッキンググループにとって石油やガスは、「社会的に重要な工程や設備機器の破壊、または生命の喪失」を惹き起こすための格好のターゲットだそうだ。

関連記事:Why ICS security startup Dragos’ CEO puts a premium on people not profits(産業制御システムのセキュリティスタートアップDragosは利益よりも人命を重視、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Slackが2015年のデータ侵害に遭ったユーザーのパスワードをリセットする

Slackが、4年前のデータ侵害で被害したと思われるユーザーのパスワードをリセットする。

同社によると、2015年にハッカーがユーザープロフィールのデータベースに不法アクセスし、その中には暗号化されたパスワードも含まれていた。しかしそのハッカーは、当時ユーザーが入力した平文のパスワードを取り出すコードを挿入した。

Slackによると、最近バグバウンティ(バグ発見報奨金制度)でコンタクトしてきた何者かが、盗んだSlackアカウントのパスワードのリストなるものを、ちらつかせてきた。同社は、それが2015年のデータ侵害と関係あるかもしれない、と考えた。

Slackによると、現在のSlackユーザーのほぼ99%は2015年の3月以降に参加したユーザー、またはその後パスワードを変えたユーザーなので、この件とは無関係である。

また、同社のネットワークを使ってシングルサインオンを要するアカウントも、無関係である。

さらに同社によると、それらのアカウントが盗まれたと信ずる理由はないけど、盗まれなかったとする証拠を提供することもできない。

Slackによると、データ侵害の被害を受けたアカウントは、2015年のアカウントの1%である。米国時間718日朝の記事によると、その数は6万5000アカウントにのぼるかもしれない。この件に関してSlackのスポークスパーソンは、コメントも数の確認もくれなかった。

Slackは最近ニューヨーク証券取引所に上場し、時価総額は約157億ドルである。

関連記事:NYSEに上場するSlackIPO価格は26ドルに

[原文へ]

(翻訳:iwatani.a.k.a. hiwa

投稿日:

エンドポイントセキュリティのCrowdStrikeがIPO後初の決算報告を発表

エンドポイントの保護に特化したサイバーセキュリティ企業CrowdStrike日本代理店)が、2020会計年度の第一四半期に、GAAPで売上9610万ドルを記録し、純損失2600万ドルを計上した。6月に6億1200万ドルでNASDAQにIPOした同社は、木曜日(米国時間7/18)に発表した初めての決算でそう報告している。

CrowdStrikeの株価は、そのニュースのあとの木曜日の時間外で2.5%上昇した。

同社の売上は前年同期比で103%の増、サブスクリプションの売上は116%増の8600万ドルとなった。先月35ドルだった同社の株価はその後上昇を続け、上記木曜日の時間外では82ドル近くに達した。

同社が予測している通年の売上は4億3000万ドルあまり、一株あたりの損失は72から70セントだ。

CrowdStrikeのCEOで共同創業者のGeorge Kurtzが声明でこう述べている。「今年強力なスタートを切れたことは喜ばしい。クラウドネイティブのエンドポイントセキュリティのパイオニアであるCrowdStrikeは、侵害を防ぐためにまったく新しく構築された唯一のエンドポイント保護プラットホームである。そしてそのシングルエージェントのアーキテクチャにより、セキュリティのスプロールを減少できる。われわれは継続的イノベーションにより、セキュリティクラウドというカテゴリーにおけるリーダーシップの強化に努めており、未来の基盤となるようなエンドポイントプラットホームと自分たちを位置づけている」。

Kurtzは2012年にサニーベールでCrowdStrikeを創業したが、彼はPrice WaterhouseのCPAとして自分のキャリアを踏み出し、ネットワークセキュリティに関する著書「Hacking Exposed: Network Security Secrets & Solutions」を著し、次にFoundStoneを立ち上げたが2004年に8600万ドルでMcAfeeに売った。その後のKurtzは7年間、McAfeeのゼネラルマネージャーを務め、その後同社のCTOになった。

先月NasdaqでのIPOのとき、Kurtzにインタビューした内容が、ここにある。

関連記事: Newly public CrowdStrike wants to become the Salesforce of cybersecurity…上場したCrowdStrikeはサイバーセキュリティのSalesforceになりたい(未訳)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

投稿日:

物質の検査にダイヤモンドダストを利用するDust Identityにエアバスやロッキードも投資

Dust Identityのアイデアは、同社の創業者たちがいたMITの研究室で生まれた。そこで彼らは、ダイヤモンドの塵、ダイヤモンドダストを使って物質を認識する技術を開発した。それ以降同社は、この高度な技術の商用化を目指していた。そして米国時間7月17日に同社は、昨年230万ドルのシードラウンドをリードしたKleiner PerkinsによるシリーズAのラウンドで1000万ドルを調達した。

このラウンドには、Airbus VenturesやLockheed Martin Ventures、New Science Ventures、Angular Ventures、そしてCastle Island Venturesが参加した。同社の調達総額はこれで1230万ドルになる。

同社の特異なアイデアは、物をダイヤモンドダストの薄い層で包むことにより、それが変造されていないことを証明する。ダイヤモンドダストは一見高価なようだが、同社によるとシード資金のころには安い工業用ダイヤモンドの廃棄物を使っていた。宝石店で売ってるような、高価なダイヤモンドではない。

同社のCEOで共同創業者の1人であるOphir Gaathon(オフィール・ガッソン)氏は、こう言っている。「ダイヤモンドダストをポリマーエポキシの表面に落とすと、そのポリマーが硬化するとき、ダイヤモンドは一定の位置と方向に凝固する。実はそのときのダイヤモンドの方向角度を非常に迅速に読む技術を、われわれは開発したのだ」。

Kleinerで今回の投資を担当したIlya Fushmanによると、同社は物の認識とセキュリティのためのユニークなアプローチを提供する。彼は声明でこう言っている。「メーカーとサプライヤーの間に不信が育っているようなときには、Dust Identityのダイヤモンド粒子のタグが、製品の証明とサプライチェーンのセキュリティに従来の技術よりも優れたソリューションを提供する」。

この投資が戦略的投資であるAirbusとLockheed Martinがいることは、大手工業企業のサプライチェーンにおいて、このような高度な技術が必要であることを示している。また、昨年同社がエンタープライズコンピューティングの大手SAPとパートナーして、物理的オブジェクトへのブロックチェーンインタフェイスを提供していることも特記に値する。つまりDust Identityの識別子をブロックチェーンに保存するのだ。SAPとの関係があってもそれはブロックチェーンの実装を特定しない、と企業のスポークスパーソンは言っている。

同社はまだ生まれて間もない企業だが、すでにさまざまな投資家の関心を集めており、今回得た資金は来年の製品開発に充てたいという。これまで同社は、さまざまな業種のためのパイロット事業や初期的デプロイメントを実装してきた。それらは、自動車、ラグジュアリーグッズ、化粧品、石油、ガス、電力などの業種だ。

関連記事:This startup got $2.3M to identify physical objects using diamond dust(Dust Identityの230万ドルのシード資金、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Mozillaは悪名漂うUAEのDarkMatterをHTTPSの証明提供者として否認

Firefoxブラウザーを作っているMozillaが、監視サービスDarkMatterが発行する証明を信用しないと発表し、同サイトへの何か月にも及ぶ警告を終了することになった。

数か月前にアラブ首長国連邦のDarkMatterはMozillaに、そのルート証明をFirefoxで公式に信用される証明として認めるよう求めた。認められればそれが発行するHTTPS証明がFirefoxでも使われることになる。Mozillaやそのほかのブラウザーメーカーは、その承認リストを見てどのHTTPS証明なら信用できるかを判断し、Webサイトのアイデンティティを確認したり、そこを行き来するデータが安全であることを認定する。

しかし証明の発行者が悪者だったら、暗号化されたインターネットトラフィックが横取りされて、ユーザーは偽のWebサイトに連れて行かれたりする。

DarkMatterには、マルウェアやスパイウェアを作って監視目的で利用したり、同社を批判するジャーナリストをそのターゲットにするなど、いかがわしい行為の履歴がある。数週間前のロイターの記事によると、このUAEの企業はアメリカの国家安全保障局(NSA)の元職員たちを雇って、同国のアラブ人君主の要請で一部のメディア上の人気者や政権批判者をターゲットにしていた。

しかし同社は証明発行機関としては履歴がクリーンだったので、Mozillaは難しい立場に立っていた。

Mozillaはあやしい履歴のあるDarkMatterを証明発行機関として認めるべきか、それとも万一のリスクを避けるために拒否すべきか。

そして最終的には、後者が勝利した。

Mozillaの証明機関事業の管理者Wayne Thayer氏は次のように語る。「われわれの他の何よりも優先する責任は、Mozillaのプロダクトを信頼している個人を護ることだ。DarkMatterはユーザーに相当大きななリスクをもたらす」。

彼はさらにこう言う。「彼らがこれまでやってきたことを見ても、DarkMatterを中間証明者として信頼できないとする決定は支持されるだろう」。

MozillaはDarkMatterのビジネスの好悪両面を検討したが、ブラウザーメーカーとしてのいちばん重要な原則、「インターネット上の個人のセキュリティとプライバシーは選択可能なオプションとして扱うべきでなない」に従って、DarkMatterの証明採用の要請を断らざるをえなかった、とThayer氏は言っている。

同様にMozillaが中間証明者として信用しなかった企業は、他に6社ある。

DarkMatterは、火曜日(米国時間7/9)現在、コメントの求めに応じていない。

関連記事: プロバイダーの業界団体がMozillaをインターネットの悪党と非難

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

プロバイダーの業界団体がMozillaをインターネットの悪党と非難

インターネットサービスプロバイダーの業界団体がFirefoxブラウザーの開発元であるMozillaを、DNSのセキュリティ規格をサポートしているために「インターネットの悪党だ」と決めつけた。

イギリスのインターネットサービスプロバイダーの業者団体であるInternet Services Providers’ Association(ISPA)が名指ししたのは、Mozillaがブラウザーへの実装を計画しているセキュリティ機能だ。彼らによるとそれは、ユーザーに「英国のフィルタリング義務やペアレンタルコントロールをバイパスすることを許し、英国におけるインターネットの安全性基準を毀損する」からだ。

Mozillaは昨年に「少数のユーザーを対象にDNS-over-HTTPS日本語解説)をテストする」と発表した。ウェブサイトを訪ねるときは常に、それがHTTPSのサイトであってもウェブのアドレスをコンピューターが理解できるIPアドレスに変換する。DNSのクエリは通常暗号化されていない。しかしその問題のセキュリティ規格はアプリケーションのレベルで実装され、MozillaはDNS-over-HTTPSを使用する初のブラウザーメーカーになる。

それはDNSのクエリを暗号化することによってDNSリクエストを中間者攻撃から護り、リクエストをハイジャックして被害者を悪質なページに誘うことができないようにする。DNS-over-HTTPSには、パフォーマンスを上げる効果もあり、DNSクエリや全体的なブラウジング体験を高速化する。

しかしISPAは、DNS-over-HTTPSが英国の現在のウェブサイトブロック体制に即していない、と見ている。英国の法律では、著作権や商標権を侵害していたり、テロリストの素材や児童虐待の画像を含むウェブサイトはブロックされるとしている。ISPAの主張では、DNSクエリを暗号化するとインターネットプロバイダーが利用者のインターネットアクセスをフィルターすることがより困難になる。

ISPAだけでなく英国の諜報機関GCHQや、英国のインターネットブロックリストを管理しているInternet Watch Foundationも、ブラウザーがDNSの暗号化を実装することを批判している。

ISPAがMozillaを名指ししたことはたちまち、セキュリティコミュニティからの怒りに火をつけた。しかしソーシャルメディア上の反発の嵐の中でISPAは、その立場に強く固執した。同団体は「DNS-over-HTTPSをデフォルトにすることはオンラインの安全性とサイバーセキュリティと消費者の選択にとって有害である」と主張する一方で「さらなる議論を歓迎する」とも言った。

Mozillaには味方もいる。インターネットプロバイダーのAndrews & Arnoldは、非営利事業/団体支援の一環としてMozillaに2940ポンド(約40万円)寄付し、こうツイートした。「この金額は、弊社がISPAの会員だったら払うであろう会費と同額である」。

MozillaのスポークスパーソンであるJustin O’Kelly(ジャスティン・オーケリー)氏はTechCrunchに対し「 ISPの業界団体が、インターネットのインフラストラクチャの古くからの欠陥に対する改善措置を誤解していることは意外でもあり、失望している」とコメントした。

「彼らの主張とは逆に、DNSをよりプライベートにすることはコンテンツのフィルタリングやペアレンタルコントロールを妨害しない。DNS-over-HTTPS(DoH)は英国市民に真のセキュリティを提供する。私たちの目標はより安全なインターネットを構築することであり、私たちは今後もそのやり方に関して、イギリスの信頼性ある利害関係者らとの真剣で建設的な会話を継続していく」とオーケリー氏。

彼は「当面英国でDNS-over-HTTPSをデフォルトにする計画はないが、ヨーロッパにおけるDNS-over-HTTPSのパートナーを探して、この重要なセキュリティ機能をそのほかのヨーロッパの人びとに幅広く提供していきたい」とも語る。

DNS-over-HTTPSの展開はMozillaが初めてではない。昨年、CDNなど各種インターネットインフラサービスを提供しているCloudflareが、プライバシーにフォーカスしたDNSサービス1.1.1.1のモバイルバージョンをリリースし、そこにDNS-over-HTTPSを含めた。それより前にはGoogle傘下のJigsawが検閲撃退アプリInfraをリリースし、DNSの外部からの操作を防ごうとしている。

Mozillaは、FirefoxにおけるDNS-over-HTTPSの全面展開の日程をまだ決めていない。

関連記事:CloudflareのプライバシーとスピードをアップしたDNSサービス1.1.1.1がモバイルアプリに

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

1つの盗聴許可で米警察が920万のテキストメッセージを収集

新たに公開された統計によると、テキサス州の当局は2018年の4ヶ月間、裁判所が許可した盗聴命令のもと、920万件のメッセージを収集していた。テキサス州南部地区の連邦判事によって許可された今回の盗聴は、麻薬操作の一環として実施され、年次盗聴報告書によれば2018年における最大の盗聴件数となった。

この事件については、149人が盗聴の対象となったこと以外はほとんど知られていない。盗聴命令は昨年に失効し、司法当局が事件を公開した。現在まで、逮捕者は出ていない。

これに続き、ペンシルバニア州東部地区でおこなわれた別の麻薬調査では、警察が3ヶ月にわたり45人から910万件のテキストメッセージを盗聴していた。こちらでも、逮捕者は出ていない。

この2件は、ここ数年で確認された最大の盗聴ケースだ。

盗聴は米情報機関外部の検察官による、最も侵略的な法的監視方法の一つだ。電話利用記録装置や追跡装置により、当局が電話の発着信を把握し、盗聴によって会話の内容やテキストメッセージにリアルタイムでアクセスできるようになる。リアルタイムの盗聴によるプライバシーの侵害を考えると、裁判所命令による盗聴許可のハードルは、他の監視手法よりもずっと高い。

しかし、米裁判所は年次透明性報告書のなかで、2018年に認証された盗聴およびその後の有罪件数は、大幅に減少していることを指摘している。2018年には2937件の盗聴が許可され、これは昨年比で22%減だった。報告書はまた、暗号技術を利用した盗聴の件数が増えており、盗聴の非効率化を指摘している。

[原文へ]

(翻訳:塚本直樹 Twitter

投稿日:

エンタープライズセキュリティサービスのChronicleがGoogle Cloudに統合へ

米国時間6月27日のGoogle Cloudの発表によると、Googleの親会社Alphabetがそのムーンショットファクトリー(MoonshotFactory、未来的なプロジェクトのインキュベーター)Xで育成したエンタープライズセキュリティ企業であるChronicleがGoogle Cloudへ移行し、Googleのセキュリティ関連プロダクトの仲間に加わる。

Chronicleは2018年1月にXから正式にローンチし、Alphabet傘下の独立企業になった。それまでセキュリティ企業SymantecのCOOだったStephen Gillett氏が同社のCEOになった。

ChronicleをGoogle Cloudに置かずにスピンアウトさせたことは、いつも謎だ。おそらく同社のプロダクト、マルウェアとウィルスをスキャンするVirusTotalや、エンタープライズ向けセキュリティインテリジェンスとアナリティクスのプラットホームが独立企業に向いている、と判断されたのだろう。その時点でChronicleがマーケットでどうだったか、それはよく分からないが、Googleはクラウド事業の成長にフォーカスしているから、ChronicleのGoogle Cloudへの統合も論理的な流れかもしれない。

Google CloudのCEO Thomas Kurian氏はこう書いている。「Chronicleのプロダクトと技術チームはGoogle Cloudの提供物を補完する。ChronicleのマルウェアインテリジェンスサービスVirusTotalは、Google Cloudの提供物に通知される脅威データのプールをより強力に充実する。それにより、われわれのプラットホーム上で動くアプリケーションのサポートを、継続することになるだろう」。

彼によると、ChronicleとGoogle Cloudはすでに両者が同じ種類のソリューションへと収束していく過程にあった、という。ChronicleのセキュリティツールがGoogle Cloudに完全に統合されるのは、今年の秋の予定だ。

[原文へ]

(翻訳:iwatanI、(a.k.a. hiwa

投稿日:

イスラエルのセキュリティスタートアップがシード段階で7億円超調達

クラウド上のセキュリティサービスを提供するイスラエルのOrca Securityが、YL Venturesがリードするラウンドで大金650万ドル(約7億500万円)を調達した。このイスラエルのVCは、主にセキュリティ専門のスタートアップへの投資に力を注いでいる。

大金と書いたのは、これがシードラウンドだからだ。しかしCheck Point Securityの役員だった二人が創業した同社は、クラウドに置かれたアプリケーションを、エージェントを使わずにセキュリティを確保するという困難な問題に挑戦している。

同社の共同創設者でCEOであるAvi Shua氏は次のように説明する。「Orcaはクラウドネイティブのセキュリティプラットホームだが、顧客のクラウドネイティブアプリケーションと、クラウドへ移行させたレガシーアプリケーションの両方の安全をエージェントを必要とせずに護る。そのために用いる「SideScanning」というコンセプトは、デプロイされているソフトウェアスタックの全体を(深海調査のサイドスキャンソナーのように)漏れなく調べ、脆弱性や非推奨またはバージョンの古いソフトウェア、構成の間違いなどのリスクを見つける」。

このアプローチは、デベロッパーがコンテナに収めたアプリケーションをKubernetesを使ってクラウドでローンチする場合にはうまくいく。まさに、エージェント不使用のアプローチだからだ。

Orcaのダッシュボードのスクリーンショット

競合する既存のセキュリティベンダーにはRapid7やTenableなどがいるが、Orcaはもっと現代的なアプローチでクラウドのセキュリティの構築に努める。それはクラウドネイティブのために完全に新しく作られたセキュリティサービスだ。Shua氏はこう語る。「うちはデータセンター用の既存のセキュリティソフトウェアの転用はしない。だからうちでは顧客自身のクラウドネイティブのワークロードの分析とセキュリティ確保ができるだけでなく、クラウドへ移行されたレガシーのワークロードや、両者のハイブリッド環境でも十分に扱える」。

同社の場合、創業は2019年だからシード資金の獲得としても相当に早い。現在社員は15名で、ベータの顧客が数社いる。プロダクトを完成し、顧客の現代的なソフトウェア方式が抱えるセキュリティ問題の解決に本格的に寄与貢献していきたいと同社は願っている。本日の資金調達は、それに向かっての歩みを助けるだろう。

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

脅威インテリジェンスのスタートアップがプライベート・エクイティ会社に戦略的身売り

あなたがもしかして気づいていなくても、セキュリティ企業は今どきのホットな商材だ。米国時間5 月29日は、Palo Alto Networksが2つのセキュリティスタートアップを買った。今週初めには、FireEye(JP)がVerodinを2億5000万ドルで買った。そして本日、プライベート・エクイティ企業であるInsight Partnersが、脅威インテリジェンスのベンダーのRecorded Futureを7億8000万ドルで買ったことを発表した。

Insightが買ったRecorded Futureは、顧客企業が今直面している外部からのサイバー脅威をよく理解するための情報を生成する。今日の世界でそんな企業に、買うだけの価値があることは容易に理解できる。同社は、GlaxoSmithKline(グラクソ・スミスクライン)やMorgan Stanley(モルガン・スタンレー)、The Gap(ギャップ)、 Verizon(ベライゾン)など顧客数400社を誇っている。

当然ながらRecorded Futureにとって今回の身売りは、自分が成長を続けるための方法だ。CEOのChristopher Ahlberg氏は声明でこう述べている。「Insightとの関係が進化して、Recorded Futureは現在と未来のクライアントにもっと良く奉仕できるようになった。当社の技術的ロードマップのすべてのポテンシャルを有効活用できるし、また、当社のソフトウェアが、当社のコミュニティが直面しているもっとも困難でユニークなインテリジェンスのチャレンジに、真のソリューションを提供できるようになったからだ」。

同社は2009年に創業され、Crunchbaseによればこれまでに5800万ドルを調達している。最新のラウンドは2017年の2500万ドルで、それはほかでもないInsight Partnersがリードした。彼らは同社が気に入ったらしくて、会社全体を欲しくなったのだ。

今回の買収は、これまでの投資家、GV(Googleのベンチャー部門)、In-Q-Tel(CIAのベンチャー部門)、IA Ventures、Balderton Capital、Mass Mutual Venturesなどからの投資も買い上げることになり、彼らに大きなリターンを与える。

Palo Alto Networks to acquire container security startup Twistlock for $410M(Palo Alto Networksがコンテナのセキュリティを提供するTwistlockを4億1000万ドルで買収、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

米不動産保険大手から8億8500万件の顧客データが露出

セキュリティ関連の記者であるBrian Krebsからの最新ニュースだ。Fortune 500社の不動産保険大手であるFirst Americanが、同社のウェブサイトのバグのため、およそ8億8500万件の機密記録が露出した。

Krebsの記事によると、同社のウェブサイトは、銀行口座番号、勘定明細、住宅ローンと税の記録、社会保障番号、そして運転免許証の画像をシーケンシャルな形式で保存し露呈していた。そのため、ドキュメントのウェブアドレスを知っている者が簡単にアクセスできるだけでなく、アドレスの中の数字をひと桁変えるだけで他人のドキュメントも見られた。

パスワードなど、他人のドキュメントへのアクセスを防ぐ認証の仕組みはまったくなかった。

Krebsの記事は、いちばん古いドキュメントの番号が「000000075」で、数が大きいほど新しいドキュメントだと言っている。

露出した中で最も古いのは、2003年のドキュメントだそうだ。

彼の記事では「露出したファイルの多くは、住宅などの物件のバイヤーとセラーの間の電信によるトランザクションの記録で、銀行の口座番号などの情報が含まれている」と書かれている。First Americanは米国最大の不動産権原保険のひとつで、2018年の収入が58億ドルだ。

First AmericanのスポークスパーソンMarcus Ginnaty氏が、本誌TechCrunchに次のように述べた:

5月24日にFirst Americanは、そのプロダクションアプリケーションのひとつに顧客データへの無許可アクセスを可能にする設計不良があることを知った。セキュリティとプライバシーおよび守秘性は最高位のプライオリティであり、私共には顧客の情報を保護する義務がある。したがって、弊社は直ちに対策措置を取り、アプリケーションへの外部アクセスを遮断した。私共は現在、これが顧客の情報の安全に及ぼした影響を査定している。私共は外部の科学捜査企業を起用して、弊社顧客データへの実害のある無許可アクセスがなかったことを確認した。

セキュリティ研究家のJohn Wethington氏よると、ウェブサイトを落としてもドキュメントの多くは検索エンジンにキャッシュされている。しかし本誌TechCrunchは、データがまだ読める状態である間は、露出したデータへのリンクを差し控える。

これは住宅ローンのデータ侵害としては、ここ数カ月で最新の事件だ。

TechCrunchは1月の独占記事で、金融や銀行関連の2400あまりのドキュメントが、パブリッククラウドのストレージサーバー上で不注意により露出して、誰でもアクセスできる状態になったと報じた。そのデータには住宅ローンや一般ローンの契約書をはじめ、さまざまな機密情報が含まれていて、個人の財務状況が丸裸になってしまうのだ。

First Americanからの所見によりこの記事をアップデートした。

関連記事: Millions of bank loan and mortgage documents have leaked online(膨大な量の金融関連ドキュメントが漏洩、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Googleの調査データが2段階認証の対ハッカー防御効果を実証

何が最良のセキュリティ対策か、という質問をよく受ける。

長い答は「どんな脅威かによるね」だ。圧倒的多数の人々にとっての最良のセキュリティ対策は、核科学者や政府の諜報部員が必要としているようなレベルのものではない。

短い答は「2段階認証を使いなさい」で足りる。でも、誰も信じようとしない。

でも、サイバーセキュリティのプロなら誰もが、ユニークなパスワードや強力なパスワードを使うよりもそのほうが重要と言うだろう。2段階認証は、通常のログインプロセスよりもやることがひとつ増えて、ユニークなコードをユーザーが持っているデバイスに送ってくる。でもそれは、あなたのアカウントのデータを盗もうとするハッカーに対する最強の防御だ。

ぼくのこんな言葉よりいいものがある。Googleが今週発表したデータは、貧弱でシンプルな2段階認証ですら攻撃に対して強いことを示している。

ニューヨーク大学とカリフォルニア大学サンディエゴ校が協力したその研究によると、テキストメッセージやデバイス上のプロンプトなど、デバイスベースの認証要素(認証コード)は、どんな種類のよくある大規模攻撃に対しても防御力が強いという結果だ。

Googleのデータは、2段階認証のコードとしてスマートフォンに送られてきたテキストメッセージは、盗んだパスワードをログインページで使おうとする自動化ボットを100%防げたことを示している。またパスワードを盗もうとするフィッシング攻撃の96%を防げた。

アカウント乗っ取りの犯行タイプ/対象別防止率(画像提供:Google)

2段階認証には、いろんなやり方がある。前に説明したように、テキストメッセージで送られてくる2段階認証のコードはハッカーが横取りすることもありえるが、2段階認証を使わないよりずっといい。認証アプリ経由で送られてくる2段階認証コードは、さらに安全だ。

機密性の高いアカウントを護るセキュリティキーなら、自動化ボットとフィッシング攻撃の両方を防げるが、国家が犯行に絡んでいるようなターゲットを絞った攻撃には、やられることがある。でもそんな攻撃に遭うのは100万人に一人ぐらいだとGoogleはコメントしている。

それ以外の普通の人なら、アカウントに電話番号を加えておいたら、その電話へのテキストメッセージで簡単な2段階認証コードが送られてくるという方式でも、ないよりはずっとましだ。専用アプリなら、もっといいのだが。

乗っ取られなかったあなたのアカウントは、あなたの苦労に感謝するだろう。

関連記事: Cybersecurity 101: Two-factor authentication can save you from hackers(2段階認証がハッカー被害を防ぐ、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

データを暗号化するフラッシュドライブeyeDiskは簡単にハックできた

セキュリティの世界に「ハックできないもの」はない。むしろ、そう主張されるものはすべて研究者たちにとって、じゃあハックしてやろうというチャレンジだ。

英国のサイバーセキュリティ企業Pen Test Partnersの最新のプロジェクトは、自称アンハッカブル(unhackable、ハックできない)USBフラッシュドライブと言われているeyeDiskを丸裸にすることだった。そのデバイスは、目の虹彩を認識してアンロックし、デバイスの暗号を解く。

昨年のKickstarterキャンペーンで2万1000ドルあまりを集めたeyeDiskは、3月にそのデバイスを発売した。

しかし1つだけ問題があった。それが、アンハッカブルでないことだけは確かだった。

Pen Test Partnersの研究員David Lodge氏は、そのデバイスのバックアップパスワードを見つけた。デバイスのエラーや、目を怪我したときなどにデータにアクセスできるためだが、あるソフトウェアツールを使ってUSBデバイスのトラフィックをダンプすれば、そのパスワードは簡単に見つかった。

秘密のパスワード「SecretPass」がプレーンテキストで見える(画像提供:Pen Test Partners)

彼は、自分の発見を詳細に述べているブログ記事でこう言っている。「上の図の中で、赤で囲った部分が、ぼくがデバイスにセットしたパスワードだ。誰でもできる盗視だね」。

さらにまずいのは、正しくないパスワードを入力してもデバイスの本当のパスワードが分かることだ。彼の説明によると、デバイスは自分のパスワードを見せてから、ユーザーが入力したものと対比し、それからアンロック用パスワードを送る。だから、でたらめを入力しても本物のパスワードがわかる。

Lodge氏によると、このようなデバイスを使うときは、暗号化を自分でもう一度することが必要だ。

欠陥をeyeDiskに教えたら、直すと約束したが、それはまだリリースされない。この問題にコメントを求めたが、eyeDiskからの返事はない。

関連記事: 常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

画像クレジット: eyeDisk

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

英国はファーウェイを5Gサプライヤーにすることに難色

【抄訳】
中国の通信機器ベンダーの関与が国のセキュリティにリスクをもたらすとの懸念にもかかわらず、イギリスの政府は、同国の5Gネットワークの一部の中核的でない部分に関してファーウェイ(Huawei)をサプライヤーとして認めることになった。しかし政府の記者発表によれば、ネットワークの中核的な部分からは除外される。

米国時間4月23日の国家安全保障会議の会合における英国メイ首相の決定を今朝のテレグラフ紙が報じた。同紙によると、複数の閣僚が彼女のアプローチに懸念を表明した。それらは、内務大臣と外務大臣、防衛大臣、通商大臣、国際開発大臣である。

FT(フィナンシャル・タイムズ)は、英国の5Gネットワークへのファーウェイの関与に厳しい制約を課すのは、閣僚たちが提起した懸念のレベルが高いことを反映している、と報じている。

5Gによる次世代ネットワークの構築にファーウェイの部分的関与を許すというメイ首相の黃信号的決定の1か月前には、英国監督機関がこの中国企業のセキュリティへのアプローチを評価して厳しい報告書を提出したばかりだ。

ファーウェイ・サイバーセキュリティ評価センター監督委員会(Huawei Cyber Security Evaluation Centre Oversight Board)の第5次年次報告書は、同社のソフトウェアエンジニアリングとサイバーセキュリティの能力には「深刻かつ意図的な欠陥がある」と酷評している。

監督委員会はしかし全面的な禁令を促すことはせず、「英国の重要なネットワークへのファーウェイの関与が国のセキュリティにもたらすすべてのリスクは、長期的には十分に軽減できる、という限定的な確証しか提供できない」と言うにとどめている。

しかし2月にブリュッセルで行われたサイバーセキュリティカンファレンスで英国の国家サイバーセキュリティセンター(National Cyber Security Centre, NCSC)のCEOを務めるCiaran Martin氏は、ファーウェイがもたらすいかなるリスクでも英当局は軽減できる、と確信を述べた。

【中略】

オックスフォード大学のサイバーセキュリティ専門家Lukasz Olejnik博士はこう言う。「これ(ファーウェイの部分的認可)は、そろそろファーウェイ問題にけりをつけたいと願っている政府の、とりあえずまあまあの落とし所だから、別に意外ではない」。

【中略】

しかし、ファーウェイには手を出させない、ネットワークの中核的部分とは何なのか、その定義が難しそうだ。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

マルウェア研究家マーカス・ハチンズが有罪を認めた

マルウェア研究家のマーカス・ハチンズ(Marcus Hutchins)が、銀行を狙う強力なマルウェアを作り、そして売ったとされる嫌疑で2つの訴因に有罪を認め、アメリカの検察との長期戦を終わらせた。

英国籍のハチンズはMalwareTechというハンドル名を名乗り、2017年8月に、ラスベガスで行われたセキュリティカンファレンスDef Conから英国へ帰国しようとしたところを逮捕された。検察はハチンズを、さかのぼる2014年に銀行を狙うマルウェアKronosの作成に関与したとして告発した。その後彼は、保釈で出獄した。

司法取引協定がウィスコンシン州東部地裁に提出され、そこでこの訴件は米国時間4月19日に審理された。彼の裁判は今年後半に開始されると決まった。

ハチンズは、Kronosを配布した罪を認めることに同意した。それは銀行のウェブサイトからパスワードとそのほかの認証情報を盗むためのトロイの木馬だ。最近の数年間そのトロイの木馬は拡散を続けた。彼また、第二の訴因である共謀罪でも有罪を認めた。

ハチンズは最大で10年の懲役刑に直面している。検察は、そのほかの訴因を取り下げた。

自分のウェブサイト上の短い声明で、ハチンズはこう言っている。「これらの行為を悔い自分の過ちに関し全面的に責任を取る」。

「大人になってからは自分が数年前に誤用した同じスキルを建設的な目的に使ってきた。今後も自分の時間を、人びとをマルウェアの攻撃から護るために捧げ続けたい」。

彼の弁護士Marcia Hofmann氏はコメントの求めにすぐには応じなかった。

ハチンズは、逮捕の数カ月前の2017年5月にWannaCryランサムウェアの犯行の拡散を止めて有名になった。その犯行は、国家安全保障局(National Security Agency、NSA)が開発し、のちにリークした強力なハッキングツールを使って何千ものWindowsコンピューターにバックドアを作り、ランサムウェアをインストールした。後日それは北朝鮮が支援するハッカーのしわざとされ、イギリスの病院や世界中の大企業のインターネット接続を断ち業務を麻痺させた。

彼はマルウェアのコードの中に見つけたドメインネームを登録することによって、感染の拡大を止め、それによって英雄視された。

保釈の前後にハチンズはセキュリティコミュニティからさらに賞賛され尊敬された。彼はマルウェア分析の分野に寄与貢献し、また自分の発見を公開して、そこから他の人びとが学べるようにしたからだ。

司法省のスポークスパーソンNicole Navas氏は、コメントを断った。

関連記事: WannaCryのヒーローの支持者グループ、クラウドファンディングで裁判費用を募金

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告

米国の国土安全保障省のサイバーセキュリティ部門が発行した警告によると、企業用のVPN(Virtual Private Networking、仮想非公開通信網)アプリケーションの一部には、セキュリティ関連のバグにより、遠方からアクセスした犯人が会社の内部的ネットワークに侵入できるものがある。

カーネギーメロン大学の脆弱性開示センターCERT/CCの一般公開開示を受けて米国時間4月12日には、国のCybersecurity and Infrastructure Security Agencyが警告を発行した

Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。これらは消費者ユーザーがプライバシーを護るために従来から利用してきた消費者向けVPNアプリケーションではなく、遠方の社員らが会社のネットワーク上のリソースにアクセスできるために、通常は企業のITスタッフが設置する企業向けVPNアプリケーションだ。

これらのアプリケーションはユーザーのパスワードからトークンを作り出し、ユーザーのコンピューターに保存してユーザーをログイン状態に保ち、彼らが毎回パスワードを入力しなくてもよいようにする。しかしそのトークンが盗まれると、ユーザーのアカウントにパスワード不要でアクセスできるようになる。

マルウェアなどを利用してユーザーのコンピューターにアクセスした犯人は、トークンを盗み、それらを使って、そのユーザーと同じ授権レベルで企業のネットワークにアクセスできる。つまり会社のアプリケーションやシステム、データ等にアクセスできる。

今のところ、Palo Alto Networksのみが、同社のGlobalProtectアプリケーションが脆弱であることを確認している。同社は、WindowsとMacの両クライアント向けにパッチを発行した

CiscoとPulse Secureはアプリケーションをパッチしていない。F5 Networksは、トークンの不正な保存を少なくとも2013年から知っていたが、パッチをリリースする代わりに、二要素認証の利用をユーザーに勧めているそうだ。

CERTの警告によると、同様の欠陥はそのほかの数百ものアプリケーションにある、とされるが、それらを確認するテストはこれからの課題だ。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

ザッカーバーグ氏の個人的警備にFacebookは22億円超を支出

2018年は確かに、Facebookにとって厳しい年だった。その年、Cambridge Analyticaのスキャンダルと人々の高まる怒りによろめき続けた同社は、創業者に対する憎悪にも対応しなければならず、彼と家族の安全を護るために巨額を出費した。

FacebookのCEOであるMark Zuckerberg(マーク・ザッカーバーグ)氏の年俸は1ドルであり、ボーナスもないが、しかし主にセキュリティ関連のそのほかの報酬として数百万ドルを取得している。米国時間4月12日の午後発表されたSECの文書の中で同社は、2018年にザッカーバーグ氏が2200万ドル(約24.6億円)のそのほかの報酬を取得したことを明かしている。2017年にはそれは、900万ドルあまりだった。

2018年の数字のうち260万ドルは、ザッカーバーグ氏のプライベートジェットによる個人的旅行のための支出だが、そのほかの2000万ドル(約22億円)近くは彼個人のセキュリティ費用に関連している。

彼は2018年の個人的旅行や住居の警備費用として、税引き前の額で995万6847ドル(約11億円)が支払われている。さらにそのほかに、彼と彼の家族の個人的セキュリティに関連するそのほかの費用として、税引き前の手当1000万ドルを会社は支払っている。これらをすべて合わせると、2017年の彼の個人的警備の費用の3倍近くになる。

同社のそのSEC文書は、次のように述べている。「弊社の高い社会的可視性に鑑み、弊社の報酬および企業統治委員会は、ザッカーバーグ氏の、彼が弊社のファウンダーであり、CEO、会長、および過半数株主であることに直接起因する彼の安全性への具体的な脅威に基づく、安全性の懸念に対処するために、彼に全体的なセキュリティ事業’を授権している。

個人的セキュリティ事業に基づく報酬は、FacebookのCOO Sheryl Sandbergにも与えられている。彼女は2018年にそのほかの報酬を380万ドル取得しており、うち290万ドルは彼女の個人的セキュリティ費用である。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

IoTのセキュリティサービスは需要急増でArmisは早くもシリーズCで70億円相当を調達

Armisは、エージェントを使わずにネットワーク上のIoTデバイスを保護する。その技術は市場のニーズにフィットしたらしく、同社の売上は前年比で700%も増加した。そしてそれは当然投資家の関心を惹き、彼らは同社にシリーズCのラウンドで6500万ドル(約70億円)を、同社の成長の加速を今後も維持するために注入した。

Sequoia Capitalがそのラウンドをリードし、新たな投資家としてInsight Venture PartnersとIntermountain Venturesが加わった。また、これまでの投資家Bain Capital Ventures、Red Dot Capital Partners、そしてTenaya Capitalも参加した。同社によると、これで調達総額は1億1200万ドルに達する。

同社は、ネットワーク上のデバイス管理の中でもとりわけ難しい問題を解決する。デバイスはあちこちにあるけど、それらの上でエージェントを動かせないとしたら、どうやって管理するか?同社の協同ファウンダーでCTOのNadir Izrael氏は曰く「古いデバイスは、ポートをスキャンしただけでシャットダウンしてしまうこともある。細心の注意が必要なんだ」。

そこでArmisは、受け身なアプローチでセキュリティの問題に臨む。まず、正常なデバイスのやることを観察し学習し理解する。それらは、動作の指紋のようなものだ。Izrael氏は次のように語る。「デバイスがネットワークの上でやることを観察する。彼らがどう振る舞うかを見る。そこから、必要なことをすべて見つけ出す。Amisの本質は、デバイスのビヘイビアを知るための大きなクラウドソーシングエンジンだ。基本的に、Armisのどのクライアントも、デバイスの動作をつねに学習している。そしてそれらの統計モデルや機械学習のモデルをもとに、マスターモデルを作る」。

データの取り方の詳細は聞かなかったが、いずれにせよ同社の技術はセキュリティの痛点を捉えているのだろう。同社は1年前に3000万ドルのシリーズBを発表したばかりだが、成長がはやく人手が足りないので、新たな雇用のための資金が必要になった。

急成長はそれ自身がスタートアップにとってチャレンジになる。今125名のワークフォースを年内に倍にしたいのだが、新しい社員たちと新しい顧客のためのシステムを即動くように整備することも欠かせない。

もちろん新社員は営業とマーケティング方面でも必要だが、そのほかにカスタマサポートの充実や、パートナーシップ事業によるシステムインテグレータやISV、MSPたちからの協力も重要だ。彼らは、同社のためにも顧客のケアをやってくれるだろう。

関連記事: Armis raises $30 million Series B as enterprise IoT security heats up(ArmisのシリーズB、未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

投稿日:

サイバー犯罪のグループはFacebook上で繁栄を続けている

Facebookで何を買えるかを知ったら、誰もが驚くだろう。場所さえ知っていれば、何でも買える。Ciscoのセキュリティグ研究チームTalosの連中が、フィッシングや盗んだ認証情報、スパムなど、不法もしくはいかがわしい手段でお金を得ているFacebookのグループをたくさん見つけた。研究者たちが見つけた74のグループは、メンバー数の合計が38万5000人にも達する。

意外にも、それらのグループは自分たちの活動を隠そうとしていない。例えばTalosは、クレジットカードの番号を3桁のセキュリティコード(CVVコード)つきで売っている投稿を見つけた。持ち主本人の顔写真つき、というのもある。研究チームによると:

これらのグループの大半は、“Spam Professional”、“Spammer & Hacker Professional”、“Buy Cvv On THIS SHOP PAYMENT BY BTC ”、“Facebook hack (Phishing)”などなど、すぐにそれと分かる名前を使っている。そんな露骨な名前であるにもかかわらず、彼らはFacebook上で最大8年も存続し、その間にメンバーを何万人も獲得している。

盗んだ認証情報だけでなく、政府機関や企業などのシェルアカウントも売られており、彼らは大量のお金を移動する専門的技能を自慢し、偽のパスポートや本人認定文書などの偽造を売り込んでいる。

サイバー犯罪に関わっているFacebookユーザーが暴かれたのは、今回が初めてではない。2018年にBrian Krebs氏が報じた120のグループは計30万名以上のメンバーを抱え、フィッシング、スパミング、ボットネット、オンデマンドのDDoS攻撃などの犯行に手を染めていた。

Talosの研究者たちはブログでこう説明している。「Krebsが見つけたグループは恒久的に無効にされたが、それから数か月後にTalosは、一連の新しいグループを発見した。その一部は驚くべきことに、Krebsが報じているグループと同一または類似の名前だった」。

Talosの研究員のJaeson Schultz氏はこう書いている。「一部のグループは直ちに削除されたが、特定のポストだけを削除されたグループもいる。最終的にはFacebookのセキュリティチームにコンタクトして悪質なグループの大半を即座に取り除いたが、今でも新しいグループが次々と誕生しており、一部は今すでに活発に活動している」。

サイバー犯罪グループはFacebookが毎日のようにやらされているもぐらたたきゲームの、もぐらたちの一部にすぎない。Facebookは規模があまりにも大きく、その大きさに見合うだけの防犯対応能力を確保しないために、ここで述べたような不法かつ有害な活動は、今後も人の目の行き届かないあちこちの隅っこで、栄え続けるだろう。

Facebookのスポークスパーソンは次のように語った。「これらのグループはスパムや金銭的詐欺を禁じている当社のポリシーに違反しているので削除する。もっと警戒を強めねばならないことは分かっており、我々はこのような活動と戦うために分厚い投資を行っている」。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

コンテナのセキュリティをサービスするAquaがシリーズCで約68億円相当を調達

コンテナのセキュアな立ち上げを助けるAqua Securityが、Insight Partners率いるシリーズCで6200万ドルを調達したことを発表した。

これまでの投資家であるLightspeed Venture Partners、マイクロソフトのベンチャーファンドM12、TLV Partners、そしてShlomo Kramerも参加した。米国時間4月2日の投資で、「これまでの累積調達額は1億ドルを超える」と同社は言っている。

初期の投資家たちは、同社が2015年に創業されたとき賭けに出た。というのも当時はコンテナはまだ何者でもなかった。でもファウンダーたちは、次に来るものに関して確かなビジョンを持っていた。そしてその後、賭けはでっかく当たって今同社は、先行馬のアドバンテージを享受している。ますます多くの企業がKubernetesとコンテナの方を向くようになり、コンテナという特殊な環境を最初から想定したセキュリティ製品が必須になりつつある。

共同ファウンダーでCEOのDror Davidoff氏は、Fortune 500社のうち60社が同社の顧客だというが、その社名は明かさない。でもひとつのヒントとして、世界のトップバンクのうち5行が顧客だそうだ。そんなクラスの企業がコンテナのような新しい技術へ舵を切ったら、しっかりとしたセキュリティオプションなしでは本気で前へ進めない。それを、Aquaが提供する。

Davidoff氏はこう語る。「うちの顧客はみな、思い切った決断をして新しい技術を採用している。彼らは、既存のセキュリティツールでは問題を解決できないことも、よく知っている」。彼によると、みな最初は小さく始めるが、まわりでコンテナの採用が増えるにしたがって自分たちもコンテナの利用を拡大している。

コンテナのような軽量で短命(エフェメラル)なコンセプトはセキュリティの脅威も少ない、と思いがちだが、しかしDavidoff氏によると、コンテナはオープンな技術だから不正行為に遭いやすい。彼はこう言う。「今のコンテナは、誰も知らない初物技術ではない。多くの人に知られており、したがって危険性も増している。技術そのものがオープンだから、ハックもしやすいし脇道にも行きやすい。コンテナに機密情報があれば、その情報には容易にアクセスできる」。

Aquaは、コンテナのイメージをスキャンしてマルウェアを探し、安全を証明されたコンテナだけが確実に本番で動いているようにする。いわばAquaがコンテナの関所になるから、悪者が不正なイメージを挿入することが困難になる。しかしコンテナの短命という性質が、何かがこっそり入り込むことを許してしまう。DevOpsがいるところなら、欠陥コンテナを取り外して新たに証明されたコンテナに迅速に入れ替えるのも簡単だが。

同社は150名の社員がボストン周辺のオフィス、そしてR&Dチームはイスラエルのテルアビブにいる。今回の新たな資金で同社は、営業とマーケティングそしてカスタマサポートを充実させたい、と言っている。またプラットホームとしての能力を、サーバーレスコンピューティングなど新しい領域にも拡張したい。あれやこれやでDavidoff氏の皮算用によると、今から12ないし18カ月後には社員数は倍増、顧客数は3倍から4倍増を期待している。

これだけの資金があれば同社は今後のコンテナ化の拡大に遅れを取ることなく成長でき、プロダクションにおけるコンテナを安全に保ちたいと願う各社からの、セキュリティソリューションの需要に対応していけるだろう。

関連記事: Four years after its release, Kubernetes has come a long way(Kubernetesの誕生後の4年は長い旅路だった、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

コンテナのセキュリティをサービスするAquaがシリーズCで約68億円相当を調達

コンテナのセキュアな立ち上げを助けるAqua Securityが、Insight Partners率いるシリーズCで6200万ドルを調達したことを発表した。

これまでの投資家であるLightspeed Venture Partners、マイクロソフトのベンチャーファンドM12、TLV Partners、そしてShlomo Kramerも参加した。米国時間4月2日の投資で、「これまでの累積調達額は1億ドルを超える」と同社は言っている。

初期の投資家たちは、同社が2015年に創業されたとき賭けに出た。というのも当時はコンテナはまだ何者でもなかった。でもファウンダーたちは、次に来るものに関して確かなビジョンを持っていた。そしてその後、賭けはでっかく当たって今同社は、先行馬のアドバンテージを享受している。ますます多くの企業がKubernetesとコンテナの方を向くようになり、コンテナという特殊な環境を最初から想定したセキュリティ製品が必須になりつつある。

共同ファウンダーでCEOのDror Davidoff氏は、Fortune 500社のうち60社が同社の顧客だというが、その社名は明かさない。でもひとつのヒントとして、世界のトップバンクのうち5行が顧客だそうだ。そんなクラスの企業がコンテナのような新しい技術へ舵を切ったら、しっかりとしたセキュリティオプションなしでは本気で前へ進めない。それを、Aquaが提供する。

Davidoff氏はこう語る。「うちの顧客はみな、思い切った決断をして新しい技術を採用している。彼らは、既存のセキュリティツールでは問題を解決できないことも、よく知っている」。彼によると、みな最初は小さく始めるが、まわりでコンテナの採用が増えるにしたがって自分たちもコンテナの利用を拡大している。

コンテナのような軽量で短命(エフェメラル)なコンセプトはセキュリティの脅威も少ない、と思いがちだが、しかしDavidoff氏によると、コンテナはオープンな技術だから不正行為に遭いやすい。彼はこう言う。「今のコンテナは、誰も知らない初物技術ではない。多くの人に知られており、したがって危険性も増している。技術そのものがオープンだから、ハックもしやすいし脇道にも行きやすい。コンテナに機密情報があれば、その情報には容易にアクセスできる」。

Aquaは、コンテナのイメージをスキャンしてマルウェアを探し、安全を証明されたコンテナだけが確実に本番で動いているようにする。いわばAquaがコンテナの関所になるから、悪者が不正なイメージを挿入することが困難になる。しかしコンテナの短命という性質が、何かがこっそり入り込むことを許してしまう。DevOpsがいるところなら、欠陥コンテナを取り外して新たに証明されたコンテナに迅速に入れ替えるのも簡単だが。

同社は150名の社員がボストン周辺のオフィス、そしてR&Dチームはイスラエルのテルアビブにいる。今回の新たな資金で同社は、営業とマーケティングそしてカスタマサポートを充実させたい、と言っている。またプラットホームとしての能力を、サーバーレスコンピューティングなど新しい領域にも拡張したい。あれやこれやでDavidoff氏の皮算用によると、今から12ないし18カ月後には社員数は倍増、顧客数は3倍から4倍増を期待している。

これだけの資金があれば同社は今後のコンテナ化の拡大に遅れを取ることなく成長でき、プロダクションにおけるコンテナを安全に保ちたいと願う各社からの、セキュリティソリューションの需要に対応していけるだろう。

関連記事: Four years after its release, Kubernetes has come a long way(Kubernetesの誕生後の4年は長い旅路だった、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

無料パスワードマネージャー「Firefox Lockbox」がiOSに次いでAndroidにも

Mozilla(モジラ)がウェブブラウザーのFirefoxのユーザーのために作った無料のパスワードマネージャーが米国時間3月26日、Androidやってくる。そのFirefox Lockboxと呼ばれる独立のアプリケーションでユーザーは、自分のFirefoxブラウザーに保存されている自分のログイン情報に、自分のモバイルデバイスから簡単にアクセスできる。

このアプリは、1PasswordやDashlane、LastPassのような本格的なパスワードマネージャーではない。パスワードの編集や、複雑なパスワードの提案、データ侵犯によりパスワードが漏洩した可能性の通知といった機能は用意されていない。

でも、このアプリは無料だし、自分のパスワードをそこらの保護されてないテキストファイルにメモしておく方法に比べるとずっと安全だ。設定により、LockboxをAutofillサービス(パスワード自動入力)として利用することもできる。

ただしこのアプリは、あくまでもFirefoxのコンパニオンだ。LockboxにあるパスワードはForefoxブラウザーでアクセスするWebアプリケーションには安全にシンクするが、任意のアプリケーション名を入力して指定することはできない。しかもそのアプリケーションは、パスワード(だけ)でなく顔認識や指紋入力で保護されているかもしれない。なお「パスワードはMozillaにも読めない方法で暗号化される」とFAQに書いてある

Firefox Lockboxは、Mozillaが今はなきTest Flightプログラムで開発したプロジェクトのひとつだ。それはMozillaがいろんなことの実験をやるプログラムだったが、その中のいくつかは公式のプロダクトになっている。最近立ち上げたファイル共有アプリFirefox Sendなどもそうだ。

そのほかFirefox Color⁩⁨Side View⁩⁨Firefox Notes⁩⁨Price Tracker⁨Email Tabs⁩などもTest Flight出身で現役のアプリないし機能だが、すでに開発は終了し、今後はときどきメンテナンスリリースが出る程度らしい。今のMozillaは、便利なユーティリティよりも「プライバシーファースト」のソリューションに力を入れている。

Mozillaによると、iOS用のLockboxはすでに5万回あまりダウンロードされており、それが今日ついにAndroidにもやってきたのだ。

AndroidバージョンはGoogle Playで無料でダウンロードできる

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

投稿日:

Windows 7セキュリティアップデートの終了期限をマイクロソフトが通達

マイクロソフトがWindows 7のユーザーに、セキュリティアップデートがもうすぐ終わると警告するパッチを発行した。

米国時間3月20日に展開されたそのパッチは、2020年1月14日以降セキュリティの欠陥や脆弱性に対する修復を提供しない、と警告している。その期限はWindows 7が2009年にデビューしてから10年あまりとなり、マイクロソフトの最新のオペレーティングシステムであるWindows 10よりも10年以上前、ということになる。

マイクロソフトはセキュリティアップデートをやめることによってユーザーを、セキュリティが改善されて攻撃されにくくなった最新のソフトウェアに押しこもうとしている。

4月18日からWindows 7のユーザーは、迫り来る切り離しに関する警告を受け取るようになる。

Net Applicationsによると、Windows 7は今でも、デスクトップ市場の40%を支配している。その期限の正確に300日前から、消費者のセキュリティサポートの上では時計が残り時間を数え始める。

エンタープライズの顧客向けには、2023年までセキュリティアップデートを延長するオプションがある。

数年前からマイクロソフトは、Windows 7のユーザーにWindows 10への無料のアップデートを提供してユーザーの成長とアップグレードを奨励してきた。その特待制度がなくなれば、あとはセキュリティアップデートの不在が待ち構えているだけであり、企業のデータとシステムはサイバー攻撃のリスクにさらされることになる。

マイクロソフトが寿命の終わったソフトウェアにパッチを発行することは、きわめて珍しい。2017年には3年前に引退したWindows XPに対して、その珍しいセキュリティパッチがリリースされた。それはランサムウェアWannaCryの拡散を防ぐためであり、国家安全保障局(NSA)が開発したハッキングツールがリークして、ランサムウェアはそれに乗っかる形で広まっていた。

ランサムウェアの大発生により、学校や企業や病院などがオフラインになった。

Windows 7の後継システムWindows 8は、2023年1月10日まで継続的にアップデートを受け取る。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa