Lenovo曰く、同梱していたアドウェアは1月の段階で動作/プレインストールを停止済み

Lenovoから、全世界を駆け巡ったSuperfishのニュースについてのコメントがあった。Superfishとは、LenovoのウィンドウズPCにプレインストールされていたアドウェアだ。LenovoのスポークスパーソンであるBrion Tingler曰く、このSuperfishは1月の時点でサーバーサイドにて完全に動作を停止しているとのこと。また、出荷PCへのプレインストールも1月に中止したとのことだ。今後もSuperfishをプレインストールすることはしないとも話している。

TinglerがTechCrunchに語ったところによれば、LenovoがSuperfishを採用していた期間はごく短期間であったようだ。Superfishを導入した目的は、利用者のショッピングセッションの手助けをするためであったと話している。

「10月から12月にかけての間、ノートPCにSuperfishをプレインストールして販売していました。これはショッピング時に、興味を持ちそうなプロダクトを探す手伝いをする目的で導入したものです」と説明している。「ただ、利用者からの評判は芳しくなく、これに応じて直ちにプレインストールを停止したのです」。

Lenovo社内のテストによれば、Superfishを機能停止させることでセキュリティ問題は解決しているはずであるとのこと。Tinglerは次のようにも語っている。

Superfishは画像のコンテクスト判断に基づいて処理を行なっているだけであり、利用者の行動を収集分析するようなことはしていません。利用者情報の蓄積も行なっていませんし、利用者を特定する仕組みももっていません。トラッキングやターゲティングしたりする機能も持っていないのです。情報はセッション毎に破棄されてもいます。Superfishの機能を利用するかどうかも利用者の判断に任されています。Superfishにより利益をあげようという目的はなく、利用者に便利な機能を提供しようという判断で同梱していました。結局、Superfishが私たちの目的にそぐわないことが判明しました。そこで私たちも直ちにソフトウェアの動作を停止し、またプレインストールをやめる判断を行ったのです。

依然として不安を感じる利用者のため、Lenovoはフォーラムにおけるサポートを行なっていくようだ。何か疑問があったり、あるいは知識を得ようとする人は、フォーラムの方で新しい情報を見つけることができるだろう。

The Next Webが報じてから、ブラウザに勝手に広告を表示するSuperfish関連のニュースが全世界を駆け巡ることとなった。このSuperfishの実装方法は、マルウェアが用いる中間車攻撃(man-in-the-middle attacks)と同様のものであるとされている。

原文へ

(翻訳:Maeda, H


Facebookで写真を勝手に削除できる致命的バグ発見(修整済)―バックアップをお忘れなく

さて読者の皆さんはFacebookに何枚くらい写真を保存しているだろうか? そのうちで安全にバックアップされているのは何枚くらいだろうか?

先ほど明らかになったFacebookのバグは、攻撃者に多少の知識さえあれば、他のユーザーのアルバムを好き勝手に削除できるという致命的なものだった。

幸いなことに、このバグの発見者(インド在住のLaxman Muthiyah)はただちにFacebookに通報した。その結果、バグ通報報奨金として1万2500ドルを得たという。もちろんこのバグが放置されていたら生じたであろうFacebookの大損害に比べれば1万2500ドルは安すぎだが、報奨金システムというのはそういうものでやむを得ない。

いずれにせよFacebookは大急ぎで―正確には2時間ほどでバグを修整した。

Laxmanはバグの詳細をこちらで公開しているが、一言でいえば、Facebookの Graph APIがリクエストの処理にあたってユーザー認証を怠っていたのが原因だった。誰かが他人のアカウントのアルバムを削除するリクエストを送信するとGraph APIは送信者が誰かを確かめず無条件にリクエストを実行してしまう。

攻撃者のアルバム削除リクエストはたとえばこんな感じだ。

Request :-
DELETE /[相手の写真アルバムID] HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=[Your(Attacker)_Facebook_for_Android_Access_Token]

犠牲者の側からみると、アルバムはある瞬間に突如消えることになる。

あまりにも単純なバグだ。こんなリクエストが通るわけがないと普通思うが、実は通ってしまう。ひどい初歩的なミスだった。

一歩間違えれば大惨事が引き起こされていたところだ。Sophos Securityによれば、Facebookの写真アルバムは単純なシーケンシャルな数値IDで管理されているという。ハッカーが簡単なスクリプトを書いて、適当な数値から始めてIDが順次増加していくようにして削除リクエストを送り続けたら、Facebookが異常に気づく前に大量のアルバムが消去されてしまったことだろう。

注意を喚起しておきたいが、Facebookは決してバックアップドライブではない。今回は助かったが、Facebookのコードに別のエラーがあれば、あなたの写真は煙のように消えかねない。大切な写真は別途安全な場所にバックアップしておこう。

画像: mkhmarketing/Flickr UNDER A CC BY 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+


やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ

理想としては、Webサイトへの接続はすべて、HTTPSによるセキュアな接続であるべきだ。そうすれば、空港やコーヒーショップなどで一般に公開されているネットワークを使っていても閲覧内容を覗き見されるおそれがない。でも現実には、小さなWebサイトの多くがこの種のセキュアな接続を提供していない。HTTPS接続に必要な公開鍵の証明を得るための手続きが、相当面倒だからだ。料金も安くない。

でも、このままでよいわけではない。もうじき、MozillaとCisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、およびミシガン大学の研究者たちが作った研究グループInternet Security Research Groupが、Webのドメインを持っている者なら誰もが無料で利用できる証明機関を創設する。サービスの供用開始は、来年の夏を予定している。

今日(米国時間11/18)、EFFは次のように述べている: “HTTPS(およびTLS/SSLのそのほかの利用)は、現状では恐ろしいほどの複雑さと、構造的に機能不全な、認証をめぐる官僚主義に支配されている”。

Let’s Encryptと呼ばれるこのプロジェクトは、証明が無料で得られるだけでなく、できるかぎりそれが容易簡単であることを目指す。どんなサイトでも、たった二つのシンプルなシェルコマンドでHTTPSを有効化できるようにする。証明の発行や取り消しはすべてパブリック(一般公開)とし、そのプロトコルをオープンスタンダードにすることによって、他の証明機関もそれを採用できるようにする。

このサービスをテストしてみたいデベロッパは、GitHubでそのコードを見られるが、それはまだ本番利用用ではないから、その警告を無視して実際に使おうとすると、大量の警告を食らった挙句に、自分のサイトすら見られない結果になるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Apple Payのライバル、大手チェーン店の支払システムCurrentCからメールアドレスが漏洩

Walmart、Best Buy、GAPを始めとする大手チェーン店が構成するMCX(Merchant Customer Exchange)コンソーシアムは、Apple Payのライバルとなるモバイル店頭支払システム、CurrentCの普及を推進している。そのCurrentCのシステムからデータが流出したことが判明した。TechCrunchの取材に対して、CurrentCは盗まれたのはユーザーのメールアドレスの一部で、CurrentCモバイル・アプリ自体は影響を受けていないことを確認した。

MCXの広報担当者によれば、過去36時間の間に、CurrentCのパイロット・プログラムの参加者や参加に興味を示した者のメールアドレスの一部に許可を受けない何者かがアクセスしたという。同グループは漏洩があった相手に対して直ちにその事実を連絡した。.

現時点では漏洩したのはメールアドレスだけで、購入履歴、住所、電話番号など、より重要な個人情報は無事だという。Targetの場合、こうした個人情報が網羅的に漏洩して大問題となった。また今回MCXから漏洩したメールアドレスの多くはテスト用のダミー・アカウントだった。

しかしMCXは状況をさらに詳しく調査して漏洩の原因を特定するとしている。

ダミー・アカウントが多数混じっていることを考えれば漏洩がフィッシング攻撃によるものでないのは明らかだ。フィッシングであれば、何らかの方法でユーザーを誘導し、偽のアカウントにアクセスさせる必要がある。当然ながらダミー・アカウントではそのようなアクセスをさせることはできない。

CurrentCを推進しているMCXはアメリカの50以上の大手小売業者によるコンソーシアムで、モバイルデバイスを利用した店頭支払システムの開発と普及に努めている。参加小売業者は、モバイル支払システムをApple Payのようなサードパーティーの手に委ねず、自ら独自のシステムを構築することを目指している。MCXはこれにより顧客の消費行動に関する情報を直接入手し、将来のマーケティングに効果的に利用できる。.

店頭でQRコードをスキャンするCurrrentCアプリはすでにApp Storeに登録ずみだが、全体としてApple Payほど洗練されたシステムではない。もっともStarbucksはQRコードシステムである程度の成功を収めている。QRコードはApple Payのように単一のプラットフォームに拘束されないので、小売業者には魅力がある(CurrentCの詳しい情報はこちら

最近、MCXは店頭における既存のNFC端末の運用を打ち切ったことで話題となった(この点についてさきほどMCXは「ユーザーの要望があれば将来NFCにピボットする可能性はある」と発表した)。

過去数ヶ月の間に、TargetHome Depot,、 Nieman MarcusStaples、P.F. Chang’s、Supervaluなど大規模なデータ漏えいが続き、消費者は小売チェーンのデータ管理能力に疑いの目を向けるようになっている。今回のCurrentCの情報漏洩は深刻なものではないが、消費者の信頼を回復するための方策が必要になるだろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


ユーザの本人性を隠すWeb閲覧サービスを提供するZenMateが$3.2M(シリーズA)を調達

技術知識があってプライバシーを気にする消費者が増えるに伴って、VCたちも、さまざまなプライバシー関連のスタートアップに着目するようになった。ここでご紹介するZenMateは、ユーザのブラウザから各Webサイトへ行く情報をIPアドレスも含めてすべて暗号化し、ユーザのプライバシーを誰も嗅ぎ取れないようにする。

ベルリンで起業した同社は最近、Holtzbrinck Venturesが率いるシリーズAのラウンドで320万ドルの資金を獲得した。これには既存の投資家Project A Venturesと、新たな投資家Shortcut VenturesとT-Ventureが参加した。後二者はドイツのモバイルキャリアE-PlusやDeutsche Telekomとコネがあるので、同社の今後のさらなるモバイル進出がより便利にできそうだ。同社はこの前、2013年10月に、130万ドルを調達している。

デスクトップのブラウザChrome、OperaおよびFirefoxと、iOSとAndroidのモバイルアプリをカバーするZenMateのプライバシーとセキュリティのサービスは、ユーザのブラウザからのデータや情報を完全に暗号化して自己のサーバネットワークから目的サイトに送るという、VPN的な通信技術だ。これによりプライバシーとセキュリティが確保されるだけでなく、ユーザの居住国でブロックされているサイトやサービスにアクセスできる、というアドバンテージもある。

このような消費者向けのVPNサービスは、ユーザの居住国が限定されているサイト(たとえばNetflixならアメリカ合衆国)を外国の人が利用するためによく利用されている。同じ意味で、BBCのiPlayerにイギリス人以外の人たちがアクセスするためにも、利用されるだろう。

1年半前にローンチしたZenMateは、ユーザ数が500万に達している(最初の6か月で100万を達成)。主要マーケットは合衆国とイギリスとドイツで、サービスのデスクトップバージョンは利用回数等の制限なく無料だ。モバイルバージョンは、500MBまで無料、それ以上は有料で、データ圧縮や有害サイトのブロックといった機能がつく。

同社と類似のサービスに、Privax(Hide My Ass)、AnchorFree(Hotspot Shield)、TunnelBearCyberGhostなどがすでにある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Shellshock攻撃をリアルタイムで見つけてくれるシステムモニタSysdig

シスアドミンのみなさま、Sysdigがあなたの味方です。ファウンダのLoris Degioanniが、彼のオープンソースのシステムモニタをアップデートして、Shellshock攻撃をリアルタイムで見つけられるようにした。Shellshockが悪用するHTTPリクエストはとてもユニークな形をしているので、このモニタはbashシェルに対するその攻撃を自動的に見つけて、ハッカーが侵入しようとしてるぞ、と教えてくれる。

以下、DegioanniのWebサイトより:

Sysdigを使ってすべてのbashの実行を捕捉するのは簡単だが、もっと作業を容易にするために、2時間ほどかけてSysdigをアップデートし、shellshock_detect(Shellshock検出)と呼ばれる新しい刃先をつけた。そのコードは、環境変数がShellshockのシグネチャと合致するbashの実行をすべて見つけて、以下をプリントする。

・時刻
・被害プロセスの名前とPID(悪質なペイロードで攻撃されbashを実行するプロセス)
・注入されたファンクション(bashがこれから実行するもの)

この‘刃先’の、実際に攻撃があったときの出力は、かなり複雑だ:

13:51:18.779785087 apache2 2746 () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd

このコードは、Webサーバ(Apache)を利用して、パスワードファイルを匿名で盗もうとしている。こわいね。

この攻撃はHeartbleedなどに比べるとかなり難解だが、危険な問題であることは変わらない。アップデート情報に気をつけて、自分のシステムを確実にアップデートしておこう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Apple曰く、OS Xのユーザのほとんどはbashの悪用に対して安全

AppleがいわゆるShellshock脆弱性に対応する公開声明を発表し、OS Xのユーザはほとんどの場合、いかなる攻撃の可能性に対しても安全である、と確証した。Appleのスポークスパーソンは本誌TechCrunchに、この脆弱性に関する次のような一文を提供した。それは、AppleのデスクトップOSにも含まれているUNIXのシェル、bashに見つかった脆弱性だ。

大半のOS Xユーザは、最近報道されたbashの脆弱性のリスクにさらされていない。OS Xに含まれているUNIXのコマンドシェルでコマンド言語でもあるbashには、不正なアクセスをしたユーザがリモートで脆弱なシステムを操作できる弱点がある。OS Xでは、システムはデフォルトで安全であり、ユーザが高度なUNIXサービスを構成していなければbashがリモートで悪用されることはない。われわれは高度なUNIXユーザのためのソフトウェアアップデートを迅速に提供すべく、目下作業中である。

本誌もさきほど、読者のためのShellshock対策をポストした。しかしAppleがここで言っているように、OS Xでは高度なアクセスを構成していなければ安全だ(だから読者のほとんど全員が安全)。Appleは、このセキュリティホールを塞ぐためのOS Xのアップデートをもうすぐ提供するはずだから、それまではUNIXの高度なオプションを有効にしないように。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


心拍認証のBionymが早くもシリーズAで$14Mの大金を獲得…パスワード離れが一大産業に?

トロントのBionymがシリーズAで1400万ドルの資金を獲得した。主な投資家はIgnition Partners、Relay Ventures、MasterCard、そしてSalesforce Venturesだ。このラウンドはほかにいわゆる戦略的投資も多くて、たとえばExport Development Canadaはこのプロダクトの、企業向けのセキュリティ機能に着目している。

Bionymの技術は、高度な心電図(electrocardiogram, ECG)センサをNymiと呼ばれるリストバンド(腕輪)に組み込む。そのリストバンドは装着者のECGを自分が保存しているプロフィールと比較して彼/彼女の本人性を確かめる。そして本人がそのリストバンドを着けている間はずっと、無線通信でそのほかのデバイスを認証する。いったん外したら、再度ECGによる再認証が必要だ。

Nymiは同社の最初の製品にすぎないが、すでにデベロッパたちの手に渡って、この秋の終わりごろを予定している消費者向けローンチの準備が進められている。Nymiの予約キャンペーンでは、これまで1万を超えるオーダーが来ている。今回の資金で生産と発売を確実にするとともに、新たな雇用も行う。2011年に創業したBionymは現在社員数が約40名に増えており、最近トロント都心部の大きなオフィスに引っ越したばかりだ。

Bionymの最初の資金調達は2013年8月に終了した140万ドルのシードラウンドで、そのときはRelay VenturesやDaniel Debow、およびそのほかのエンジェルたちが投資した。今回はMasterCardやSalesforce、EDCなどが参加したことにより、戦略的パートナーシップの色彩も濃くなっている。Nymiは商業方面のアプリケーションに多大なる可能性があり、ほかにも、ホスピタリティー産業や、さまざまなエンタプライズアプリケーションで機会がありそうだ。

Appleは同社のTouch ID技術のAPIを公開することにより、これを、さまざまなアプリケーションやサードパーティサービスにおける中核的な認証方式にしたいらしい。しかしBionym社はNymiのようなバイオメトリックな方法の将来性に賭けており、そのセキュリティは指紋を使う方法にまさる、と考えている。また応用製品はリストバンド以外にもいろいろありえるので、今後の製品の多様化にも着目したい。

Bionymという特定の技術の行く末はともかくとして、パスワードの時代は明らかに去りつつあるようだ。ハードウェアとデバイスに基づく技術が台頭しており、今回のBionymへの投資も、パスワード無用化に向けての関心が大きくなっていることの表れだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Appleはセキュリティー問題への対処で透明性、対話性を改善する必要がある

Appleは数ヶ月ごとにセキュリティー・スキャンダルに巻き込まれねばならないようだ。

Heartbleed脆弱性にはやられなかったものの、 今年2月には初歩的なプログラミング・ミスでSSL接続確認を無効にするgoto failバグが発覚した。昨年10月には 接続ポートを使ってiOSデバイスからデータが盗む方法がみつかった。ちょうど1年前にはセキュリティー専門家が AppleユーザーのIDにアクセスできる脆弱性を発見し、Appleに通報したにもかかわらず何の反応もなかったため、情報を公開して注意を促すという事件が起きた。

愚かなミスを繰り返す

そして今回のセレブ・ヌード流出事件だ。このスキャンダルはiCloudバックアップのセキュリティーをもっと高めてあれば防げたかもしれない。

どのケースでもAppleは脆弱性を修正し、サポート情報を発表している。しかし上記以外のケースも含めて、ほとんどあらゆるケースでAppleはできるかぎり情報を小出しにして、状況を不透明なままにしようと努力しているようにみえる。

この方針は改める必要があると思う。

Appleはユーザーのプライバシーには特に注意を払ってきた。たとえばAppleはiPadマガジンの購読者情報でさえ発行元と共有しようとしない。しかし、ことセキュリティー問題となると、このようなユーザー重視の姿勢が見えなくなる。Appleはプロダクトのあらゆる細部に神経を使うことで知られている。Appleはデザインについてはボタン一つにも異常なくらいこだわるのに、セキュリティーとなると愚かなミスを何度も何度も繰り返してきた。

透明性と対話の欠如

脆弱性を報告し、修正を助けようとした際のAppleの対応について私は多くのセキュリティー専門家から不満を聞いている。Apple側に透明性が不足しており、会話しようという意欲がないという。

「Appleには内部のセキュリティー専門家と外部の専門家とのコミュニケーションのチャンネルを開いてもらいたい。われわれ外部の専門家は、脆弱性に関してAppleに対策を促す唯一の道は情報を公開フォーラムに発表するしかないと感じている」とセキュリティー専門家の1人、Jonathan Zdiarskiは言う。 世界最大の企業の一つがこのような状態であってはならないだろう。”

最近ではAppleも外部からの脆弱性の指摘に積極的に反応する兆しをみせている。iPhoneのジェイルブレークを開発しているメンバーの1人がそもそもジェイルブレークを可能にしたバグを指摘したことに対してAppleは謝意を述べた。しかし多くのエンジニアやセキュリティー専門家がバグの発見に協力するようになるインセンティブをAppleは与えるべきだ。バグの発見に懸賞金をかけるなどもその方法一つだろう。.

同時に社内のセキュリティー対策も改善される必要がある。セレブ・ヌード事件の過程で知られるようになったiBruteスクリプトはFind my iPhoneログインの際にブルートフォース攻撃を許す脆弱性が存在することを利用したものだった。前述のSSLのgoto failバグも数ヶ月放置されていた。こうしたバグは厳重な内部監査が行われていれば、もっと早く修正できたはずだ。

なぜなのか?

Appleがセキュリティー・コミュニティーからの警告の声に耳を傾けていたら防げたはずの事件は数多い。 Appleのように優れたプロダクトを次々に生み出してきた会社で、どうしてこうしたことが続くのだろう? SSLのgo to failバグが発覚したときから私はこの問題について考えてきた。

その答えは(あくまで私の個人的な見解だが)、Appleはセキュリティーに関するコミュニケーションをプロダクトに関するコミュニケーションと同様に考えているのではないか、というものだ―つまり外部には最小の情報しか発表しないという方針だ。消費者向けプロダクトのマーケティングに当たってはAppleの情報統制はこれまで大きな成果を上げてきた。情報が少なければ好奇心が増し、注目が高まる。

しかしセキュリティーの分野ではこのような要塞に立てこもった態度は間違いだ。ことにスマートフォンが生活、ビジネスで中心的な役割を果たすようになり、そこに蓄積される情報の種類と量が巨大化している現在、セキュリティーはデバイスやサービスの最大のセールスポイントの一つとなってくる。業界のリーダーとしてAppleはセキュリティー問題に対する現在の態度を改めねばならない。透明性の高いオープンで率直なコミュニケーションを確立する必要がある。結局それがAppleのためにもユーザーのためにもベストの方向だろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+