フェイスブックを超える大きなデジタルドリーム「オープンブック」

大手ソーシャル系技術企業は、自身の強力なプラットフォームが持つ特性と、的確な舵取りと価値の創出に失敗したこと(自ら設定したと主張する規定にすら準拠できていないことが明らかになっている)の結果の両方によって生じたと反社会的な魔物と格闘を続けているが、それでも、よりよい方法があると夢見ている人たちがいる。人の怒りを食べて成長する広告技術の巨人、フェイスブックやツイッターを超えるソーシャルネットワークだ。

もちろん、「よりよい」ソーシャルネットワークを作る試みは数多くあったが、そのほとんどは沈没している。成功や利用度には差があるものの、今でも使われているものもある(スナップチャット、エロー、マストドンの3つは元気だ)。だが当然ながら、ザッカーバーグの王座を強奪できる者はいない。

その原因は、そもそもフェイスブックがイスンタグラムとワッツアップを買収したことにある。フェイスブックはまた同様に、自分たちよりも小さな成功の芽を持つライバル企業を買収して潰している(tbh)。そうやって、ネットワークのパワーと、そこから流れ出るリソースを独占することで、フェイスブックはソーシャルの宇宙に君臨している。それでも、もっと良いものを想像する人々の気持ちは止められない。友だちが作れて、社会に大きな影響を与えることができる、倫理的に優れ、使いやすいプラットフォームだ。

そんな、二面性のある社会的使命を持った最新の夢想家を紹介しよう。オープンブック(Openbook)だ。

彼らの理想(今はそれだけなのだが、自己資金で立ち上げた小さなグループと、宣言と、プロトタイプと、間もなく終了するキックスターター・キャンペーンと、そしてそう、希望に満ちた大志がある)は、ソーシャルネットワークを再考して、複雑で不気味なものではなく、より親しみやすく、カスタマイズができるオープンソースのプラットフォームを作ることだ。

営利目的のプラットフォームとしてプライバシーを守るという彼らのビジョンは、常に利用者を監視する広告やトラッカーは使わず、公正な料金設定(そしてプラットフォーム上で通用するデジタル通貨)によるビジネスモデルに立脚している。

彼らの中核にある考え方は、とくに新しいものではない。しかし、巨大プラットフォームによる大量にして目に余るデータの不正利用にさらされていると、その考え方が理にかなっていると思えるようになる。そのため、おそらくここではタイミングがもっとも重要なエレメントになる。フェイスブックは、度重なる舵取りの失敗、知覚評価の低下、さらに退陣する幹部役員のなかの少なくとも一人が、人を操作することに長け倫理に無関心であることから営業哲学が攻撃されるなど、これまでにない厳しい調査にさらされ、利用者数の伸び悩み知覚価値の低下を招いている。

より良い方向を目指すオープンブックのビジョンは、Joel Hernández(ジョエル・ヘルナンデス)が描いたものだ。彼は2年間ほど夢想を続けている。他のプロジェクトの傍らでアイデアのブレインストーミングを行い、周囲の似た考えを持つ仲間と協力して、彼は新しいソーシャルネットワークの宣言をまとめた。その第一の誓いは、正直な関与だ。

「それから、データスキャンダルが起きて、繰り返されるようになりました。彼らはチャンスを与えてくれたのです。既存のソーシャルネットワークは、天から与えられたものでも、不変のものでもありません。変えたり、改良したり、置き換えることができるのです」と彼はTechCrunchに話してくれた。

Hernándezによるとそれは、ちょっと皮肉なことに、昼食時に近くに座っていた人たちの会話を聞いたことから始まった。彼らは、ソーシャルネットワークの悪い点を並べ立てていたのだ。「気持ち悪い広告、ひっきりなしに現れるメッセージや通知、ニュースフィードに何度も表示される同じコンテンツ」……これに推されて、彼は宣言文を書いた紙を掴み取り、新しいプラットフォームを実際に作ろうと(というか、作るための金策をしようと)決意した。

現在、この記事を執筆している時点では、オープンブックのキックスターター・キャンペーンのクラウドファンディングは残り数日となったが、集まっているのは(控えめな)目標額の11万5000ドル(約1270万円)の3分の1程度だ。支援者は1000人をわずかに超える程度しかいない。この資金集めは、ちょっと厳しいように見える。

オープンブックのチームには、暗号文の神と呼ばれ、メール暗号化ソフトPGPの生みの親として知られるPhil Zimmermann(フィル・ジマーマン)も加わっている。開始当初はアドバイザーとして参加していたが、今は「最高暗号化責任者」と呼ばれている。そのときが来れば、プラットフォームのために彼がそれを開発することになるからだ。

Hernándezは、オランダの電気通信会社KPNが内部的に使うためのセキュリティーとプライバシー保護用のツールをZimmermannと一緒に開発していたことがある。そこで彼はZimmermannをコーヒーに誘い出して、彼のアイデアに対する感想を聞いたのだ。

「私がオープンブックという名前のウェブサイトを開いた途端、これまで見たことがないくらいに彼の顔が輝いたのです」とHernándezは話す。「じつは、彼はフェイスブックを使おうと考えていました。家族と遠く離れて暮らしていたので、フェイスブックが家族とつながるための唯一の手段だったのです。しかし、フェイスブックを使うということは、自分のプライバシーをすべて捧げるということでもあるため、彼が人生をかけてきた戦いで負けを認めることになります。だから、彼はフェイスブックを使いませんでした。そして、実際の代替手段の可能性に賭けることにしたのです」

キックスターターの彼らのキャンペーンページに掲載された動画では、Zimmermannが、営利目的のソーシャルプラットフォームの現状について彼が感じている悪い点を解説している。「1世紀前は、コカコーラにコカインが含まれていて、私たちはそれを子どもに飲ませていました」とZimmermannは動画の中で訴えている。「1世紀前の私たちの行動はクレイジーです。これから数年先には、今のソーシャルネットワークを振り返って、私たちが自分自身に何をしていたのか、そしてソーシャルネットワークで互いに傷つけ合っていたこと気づくときが来るでしょう」

「今あるソーシャルネットワークの収益モデルに代わるものが、私たちには必要です」と彼は続ける。「深層機械学習のニューラルネットを使って私たちの行動を監視し、私たちをより深く深く関わらせようとするやり方を見ると、彼らがすでに、ユーザーの関わりをさらに深めるものは、激しい憤り以外にないと、知っているかのようです。そこが問題なのです」

「こうした憤りが、私たちの文化の政治的な対立を深め、民主主義制度を攻撃する風潮を生み出します。それは選挙の土台を崩し、人々の怒りを増長して分裂を拡大させます。さらに、収益モデル、つまり私たちの個人情報を利用する商売で、我々のプライバシーが破壊されます。だから、これに代わるものが必要なのです」

Hernándezはこの4月、TechCrunchの情報提供メールに投稿してくれた。ケンブリッジ・アナリティカとフェイスブックのスキャンダルが明るみに出た直後だ。彼はこう書いていた。「私たちは、プライバシーとセキュリティーを第一に考えたオープンソースのソーシャルネットワークを作っています」と。

もちろん、それまでにも似たような宣伝文句は、ほうぼうから聞かされていた。それでも、フェイスブックは数十億という数の利用者を集め続けていた。巨大なデータと倫理のスキャンダルにかき回された今も、利用者が大挙してフェイスブックから離れることは考えにくい。本当にパワフルな「ソーシャルネットワーク」ロックイン効果だ。

規制は、フェイスブックにとって大きな脅威になるだろうが、規制を増やせば、その独占的な地位を固定化することになるだけだと反対する人もいる。

オープンブックの挑戦的なアイデアは、ザッカーバーグを引き剥がすための製品改革を敢行することにある。Hernándezが呼ぶところの「自分で自分を支えられる機能を構築すること」だ。

「私たちは、プライバシーの問題だけで、今のソーシャルネットワークから多くのユーザーを引きつけることは不可能だと、率直に認めています」と彼は言う。「だから私たちは、もっとカスタマイズができて、楽しくて、全体的なソーシャル体験ができるものを作ろうとしているのです。私たちは既存のソーシャルネットワークの道を辿ろうとは思っていません」

この夢のためであったとしても、データの可搬性は重要な材料だ。独占的なネットワークから人々を乗り換えさせるには、すべての持ち物とすべての友だちをそこに残してくるよう言わなければならない。つまり、「できる限りスムーズに移行ができるようにする」ことが、もうひとつのプロジェクトの焦点となる。

Hernándezは、データ移行のためのツールを開発していると話している。既存のソーシャルネットワークのアーカイブを解析し、「そこに自分が持っているものを開示し、何をオープンブックに移行するかが選べる」ようにできるというものだ。

こうした努力は、欧州での新しい規制が助力になっている。個人情報の可搬性を強化するよう管理者に求める規制だ。「それがこのプロジェクトを可能にしたとは言わないけど……、以前の他の試みにはなかった特別なチャンスに恵まれました」とHernándezはEUのGDPR(一般データ保護規制)について話していた。

「それがネットワーク・ユーザーの大量移動に大きな役割を果たすかどうか、私たちには確かなことは言えませんが、無視するにはあまりにも惜しいチャンスです」

製品の前面に展開されるアイデアは豊富にあると、彼は話している。長いリストを広げるように教えてくれたものには、まず手始めに「チャットのための話題ルーレット、インターネットの課題も新しいコンテンツとして捉え、ウィジェット、プロフィールアバター、ARチャットルームなど」がある。

「馬鹿らしく思えるものもあるでしょうが、これはソーシャルネットワークに何ができるかを見極めるときに、現状を打破することが狙いなのです」と彼は付け加えた。

これまでの、フェイスブックに変わる「倫理的」なネットワーク構築の取り組みが報われなかったのはなぜかと聞くと、みなが製品よりも技術に焦点を置いていたからだと彼は答えた。

「今でもそれ(失敗の原因)が支配的です」と彼は示唆する。「舞台裏では、非常に革新的なソーシャルネットワークの方式を提供する製品が現れますが、彼らは、すでにソーシャルネットワークが実現している基本的な仕事をするための、まったく新しい技術の開発にすべての力を注ぎます。数年後に判明するのは、既存のソーシャルネットワークの機能にはまだまだ遠く及ばない彼らの姿です。彼らの中核的な支持者たちは、似たような展望を示す別の取り組みに乗り換えています。そしてこれを、いつまでも繰り返す」

彼はまた、破壊的な力を持つ取り組みが消えてしまうのは、既存のプラットフォームの問題点を解決することだけに集中しすぎて、他に何も生み出せなかった結果だと推測している。

言い換えれば、人々はそれ自身が大変に面白いサービスを作るのではなく、ただ「フェイスブックではないもの」を作ろうとしていたわけだ(しかし最近では、スナップが、フェイスブックのお膝元で独自の場所を切り開くという改革を成し遂げたことを、みなさんもご存知だろう。それを見たフェイスブックがスナップの製品を真似て、スナップの創造的な市場機会を潰しにかかったにも関わらずだ)。

「これは、ソーシャルネットワークの取り組みだけでなく、プライバシーを大切にした製品にも言えます」とHernándezは主張する。「そうしたアプローチが抱える問題は、解決した問題、または解決すると宣言した問題が、多くの場合、世間にとって主流の問題ではないということです。たとえば、プライバシーがそうです」

「その問題を意識している人にとっては、そうした製品はオーケーでしょう。しかし、結局のところ、それは市場のほんの数パーセントに過ぎません。この問題に対してそれらの製品が提供する解決策は、往々にして、人々にその問題を啓蒙することに止まります。それでは時間がかかりすぎます。とくに、プライバシーやセキュリティーの問題を理解させるのは、そう簡単ではありません。それを理解するためには、技術を使いこなすよりも、ずっと高度な知性が必要になります。それに、陰謀説論者の領域に入って実例を挙げなければ、説明が困難です」

そうして生まれたオープンブックの方針は、新しいソーシャルネトワークの機能や機会を人々に楽しんでもらうことで、そしてちょっとしたおまけとして、プライバシーが侵害されず、連鎖的に人の怒りの感情に火をつけるアルゴリズムも使わないことで、世の中を揺さぶろうというものとなった。

デジタル通貨に依存するビジネスモデルも、また別の課題だ。人々に受け入れてもらえれるかは、わからない。有料であることが、すなわち障害となる。

まずは、プラットフォームのデジタル通貨コンポーネントは、ユーザー同士の不用品の売り買いに使われると、Hernándezは言っている。その先には、開発者のコミュニティーが持続可能な収入を得られるようにしたいという展望が広がっている。すでに確立されている通貨のメカニズムのおかげで、ユーザーが料金を支払ってコンテツにアクセスしたり、(TIPSを使って)応援したりできる。

つまり、オープンブックの開発者たちが、ソーシャルネットワーク効果を使い、プラットフォームから発生する直接的な支払いの形で利益が得られるという考えだ(ユーチューブのクリエイターなど、広告料金にだけ依存する形とは違う)。ただしそれは、ユーザーがクリティカルマスに達した場合だ。当然、実に厳しい賭けとなる。

「既存のソリューションよりも経費が低く、素晴らしいコンテンツ制作ツール、素晴らしい管理機能と概要表示があり、コンテンツの表示方法が細かく設定でき、収入も安定して、予測が立てやすい。たとえば、毎月ではなく、5カ月に一度といった固定的な支払い方法を選んだ人には報償があるとか」と、現在のクリエイターのためのプラットフォームと差別化を図るためのアイデアを、Hernándezは並べ立てた。

「そんなプラットフォームが完成して、人々がその目的のためにTIPSを使うようになると(デジタルトークンの怪しい使い方ではなく)、能力が拡大を始めます」と彼は言う(彼はまた、計画の一部としてデジタル通貨利用に関するその他の可能性についてMedium誌に重要な記事を書いている)。

この初期のプロトタイプの、まだ実際に資金が得られていない段階では、彼らはこの分野での確実な技術的決断を下していない。誤って反倫理的な技術を埋め込んでしまうのも怖い。

「デジタル通貨に関しては、私たちはその環境への影響と、ブロックチェーンのスケーラビリティーに大きな不安を抱えています」と彼は言う。それは、オープンブックの宣言に明記されたグリーンな目標と矛盾することになり、収益の30パーセントを「還元」プロジェクトとして、環境や持続可能性への取り組み、また教育にも役立てるという計画を、絵空事にしてしまう。

「私たちは分散化した通貨を求めていますが、じっくり調査するまでは早急に決めるつもりはありません。今はIOTAの白書を研究しているところです」と彼は言う。

彼らまた、プラットフォームの分散化も目指している。少なく部分的には分散化させたい考えだ。しかしそれは、製品の優先順位を決める戦略的決断においては、第一の焦点ではない。なので、彼らは(他の)暗号通貨コミュニティーからファンを引き抜こうとは考えていない。もっとも、ターゲットを絞ったユーザーベースのほうがずっと主流なので、それは大きな問題にはならない。

「最初は、中央集権的に構築します。そうすることで、舞台裏を支える新技術を考え出す代わりに、ユーザー・エクスペリエンスと機能性の高い製品の開発に集中できます」と彼は言う。「将来は、特別な角度から、別のもののための分散化を目指します。アプリケーションに関することで言えば、回復機能とデータ所有権です」

「私たちが注目しているプロジェクトで、私たちのビジョンに共通するものがあると感じているものに、Tim Berners LeeのMIT Solidプロジェクトがあります。アプリケーションと、そこで使われるデータを切り離すというものです」と彼は話す。

それが夢なのだ。この夢は素晴らしくて正しいように思える。課題は、独占的なプラットフォームの権力によって競争の機会が失われ、別のデジタルな現実の可能性を信じられる人がいなくなったこの荒廃した市場で、十分な資金と幅広い支援を獲得することだ。これを「信念の価値」と呼ぶ。

4月上旬、Hernándezはオープンブックのオンライン・プライバシーに関する説明と、技術コミュニティーから意見を聞くための簡単なウェブサイトへのリンクを公開した。反応は、予想どおり悲観的なものだった。「返事の90パーセントは批判と、気持ちが折れるような言葉で占められていました。夢を見ていろとか、絶対に実現しないとか、他にやることはないのか、とかね」と彼は話す。

(米議会の公聴会で、独占していると思うかと尋ねられたザッカーバーグは、「自分ではそんなつもりはない!」とはぐらかした)

それでも、Hernándezは諦めていない。プロトタイプを作り、キックスターターで資金を募っている。ここまで辿り着いた。そしてもっともっと作ろうと思っている。しかし、より良い、より公正なソーシャルネットワークが実現可能だと信じる人を必要な数だけ集めることは、何よりも厳しい挑戦だ。

しかしまだ、Hernándezは夢を止めようとはしない。プロトタイプを作り、キックスターターで資金を集めている。ここまで辿り着いた。もっともっと作りたいと彼は考えている。しかし、より良い、より公正なソーシャルネットワークの実現が可能だと信じる人たちを十分な数だけ集めることは、これまでになく大変な挑戦となる。

「私たちはオープンブックを実現させると約束しています」と彼は言う。「私たちの予備の計画では、補助金やインパクト投資なども考えています。しかし、最初のバージョンでキックスターターを成功させることが一番です。キックスターターで集まった資金には、イノベーションのための絶対的な自由があります。紐付きではありませんから」

オープンブックのクラウドファンディングの詳しい説明は、ここで見られる

[原文へ]
(翻訳:金井哲夫)

クラウドネィティブ環境のためのセキュリティベンダーTwistlockがシリーズCで$33Mを調達

世界がクラウドネイティブなアプローチへ移行していくに伴い、アプリケーションとそのデプロイのセキュリティを確保する方法も変わりつつある。クラウドネイティブ環境のセキュリティを提供するTwistlockが今日、Iconiq CapitalがリードするシリーズCのラウンドで3300万ドルを調達したことを発表した。

これまでの投資家YL Ventures, TenEleven, Rally Ventures, Polaris Partners, およびDell Technologies Capitalも、このラウンドに参加した。これで同社の資金調達総額は6300万ドルになる。

Twistlockは、コンテナとサーバーレスのセキュリティという、困難な問題を解決する。両者はいずれも、本質的に短命な存在だ。それらは寿命が1秒の数分の一と短いので、問題が起きたときその追跡が難しい。同社のCEOで協同ファウンダーのBen Bernsteinによると、彼の会社は最初から、コンテナとサーバーレスコンピューティングがどれだけ短命でも、依然としてエクスプロイトされうる、という前提に立って、クラウドネイティブ環境を保護するためのセキュリティプロダクトを作っている。

Bernsteinは曰く、“寿命の長短は関係ない。むしろ重要なのは、それらの生き方が従来のコンピューターに比べて予測可能であることだ。従来のコンピューターは非常に長時間動くし、しかも多くの場合人間が使っているから、予測は簡単ではない”。

スクリーンショット提供: Twistlock

企業がクラウドネイティブな環境へ移行して、Dockerによるコンテナを使ったり、それらをKubernetesなどのツールで管理するようになると、デプロイ量の大きい、高度に自動化されたシステムを作ることになる。デプロイは自動化で簡単になるが、いろんな問題に対する脆弱性はそのまま放置される。たとえば悪者がコード注入攻撃でプロセスのコントロールを握ったりすると、誰も知らない間に大量の問題が起きていたりする。

Twistlockはそれを防ぐとともに、エクスプロイトがいつ起きたのかを顧客に認識させ、診断分析によりその原因を調べる。

それはサービスであるとはいえ、従来型のSaaSとは様子が違う。すなわちそれは同社のサーバーから提供されるサービスではなくて、顧客が使っているクラウド(パブリックまたはプライベート)にインストールされるサービスだ。今同社の顧客は200社あまりで、その中にはWalgreensやAetnaなど、誰もが知っている企業も含まれているが、顧客リストを公開することはできない。

2015年に創業された同社はオレゴン州ポートランドに本社があり、R&D部門はイスラエルにある。現在の社員数は80名だ。他社との競合についてBernsteinは、従来のセキュリティベンダーはクラウドネィティブをまだうまく扱えない、と言う。そして最近登場してきた若手スタートアップに比べると、少なくとも現状では、成熟度では自分たちが上だ、とも言っている。

“今はまだ、競争が激しくはないが、今後徐々にそうなるだろう”、と彼は述べる。今回得られた資金は、主にマーケティングと営業の拡充に充当して顧客ベースの拡大を図りたい。またクラウドネィティブのセキュリティも競合とともに技術が進化していくので、技術でもつねに先頭を走っているようにしたい、とBernsteinは言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

郵送でもフィッシングは可能――中国のハッカー、マルウェア入りCDで政府機関を攻撃

単純だが効果的なソーシャル・エンジニアリングの手法だ。中国のハッカーは政府機関に対してマルウェアを入れたCDを郵送するという攻撃を行っていいるという。DHS(国土安全保障省)が組織したMS-ISAC(Multi-State Information Sharing and Analysis Center)はこれに関する情報を公開して警戒を呼びかけている。

非常に単純なトリックで、中国の消印が押された封筒でCDが同梱された無意味な書簡が政府機関に届けられる。このCDのWordファイルにはスクリプト・ベースのマルウェアが仕込まれている。誰かがこのファイルにアクセスするとマルウェアが起動し、おそらくはシステムが乗っ取られるのだろう。セキュリティー専門家、Brian Krebsは次のように書いている

MS-ISACは予備的調査の結果として、CDには普通話中国語のMicrosoft Word (.doc)ファイルが複数含まれており、一部のファイルにはVisual Basicスクリプトで書かれたマルウェアが付属していると発表した。MS-ISACによれば、アメリカ政府や自治体の公文書館、史学協会、文化教育機関などにそれぞれの宛名を付したこうした郵便物が届いているという。これらの機関で誰かが実際にCDを公的なコンピューター・システムに接続したかどうかは不明だ。

なんであれ頼まないのに勝手に送り付けられてきたストレージデバイスをコンピューターに挿入してはならない。とはいえ、このマルウェア攻撃は多少の技術的知識とCD-ROMを製作、郵送する金さえあれば簡単に実行できることもはっきりしている。もっとも、いまだにCDドライブのあるコンピューターを使っている犠牲者を選ばねばならないのは欠点だ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

中国製ロボット掃除機に脆弱性――ハッカーに家中を覗かれる可能性あり

スマートホーム製品というのはなるほどそこそこ便利だが、家に呼び入れたデバイスのWiFiを誰かが悪用しようと考える可能性があることは知っておく必要がある。

しかし多くのユーザーはロボット掃除機もこのカテゴリーに入るとは考えなかっただろう。

エンタープライズ・セキュリティーを提供する企業、Positive Technologiesの研究者2人はDongguan Diqee 360シリーズのロボット掃除機に存在するセキュリティー上の脆弱性に関して詳しい情報を公開した。このロボット掃除機は広東省東莞市のスマートホーム・デバイスのメーカー、Diqee
Intelligence(缔奇智能)の製品で、 WiFiと360度カメラを備えている。これにより家の中を動き回って監視するダイナミック・モニタリングが可能だというのが売りだ。しかしこの機能に悪用の危険性があるといいう。

CVE-2018-10987として知られるリモートでコードが実行される脆弱性により、デバイスのMACアドレスを知っているハッカーはシステム管理者の権限を乗っ取ることができる。今回のレポートによれば、脆弱性はREQUEST_SET_WIFIPASSWD関数内に存在する。この関数を使用するためには認証が必要だが、デフォルトのユーザー名/パスワードはadmin/888888という弱いものだった。

脆弱性が確認されたのはDongguan Diqee 360ロボット掃除機だが、研究者は同じビデオ・モジュールを使っている他のデバイス、屋外監視カメラやスマートドアホン、デジタルビデオレコーダーなどにもこの脆弱性があるのではないかと懸念している。Diqeeではロボット掃除機を他のブランドでも販売しており、研究者はこうしたOEM製品にも同様の脆弱性があるだろうと考えている。

Positive Technologiesはロボット掃除機には別のリモートコード脆弱性、CVE-2018-10988も存在することを発見したが、これを悪用するためには掃除機のSDカードスロットに物理的にアクセスする必要がある。

ロボット掃除機には「プライバシーカバー」が付属する。Diqeeによればこれは物理的にカメラを覆って情報のリークを防ぐものだ。Positive Technologiesはメーカーに脆弱性について通報したが、今のところまだ修正パッチは発行されていない。TechCrunchではDiqeeに取材を試みているが、この記事を執筆している時点では回答がない。

Positive Technologiesのサイバーセキュリティー責任者、Leigh-Anne Gallowayは「このロボット掃除機を含め、IoTデバイスはすべて乗っ取られてボットネットに組み込まれ、DDoS攻撃の足場に利用される可能性がある。しかしまだそれなら所有者に直接の被害は及ばない。ところがナイトビジョン・ウェブカメラ、スマートフォンによるナビゲーション、WiFiをハッカーが悪用すれば所有者を密かに監視することが可能になる。最大の監視能力を持った、いわば車輪付き盗聴器だ」と述べた。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

監視カメラがあなたを認識して警告や解説をメッセージするパーデュー大学のPHADEシステム

[筆者: Sarah Wells]
今や、通りにも、美術館にも、お店にも、どこにでもカメラがあるという認識は、人間の第二の天性になっている。でもそんなカメラが、人間とコミュニケーションできたらどうだろう? パーデュー大学のコンピューターサイエンスの研究者たちは、そのディストピア的な未来を現実化して、今日、ペーパーに発表した。ただし彼らによると、それはそんなに怖いものではないそうだ。

そのシステムはPHADEと呼ばれ、PHAの部分は“private human addressing,”(プライベートな人間アドレシング)の頭字語だ。プライベートというのは、カメラと個人の携帯電話がコミュニケーションするけれども、そのときにIPやMacのアドレスなどに相当する個人データはいっさい送信されない、という意味だ。この技術が依存するのは、そんな具体的なデータではなく、動きのパターンから人物の所在を突き止める方法だ。だからその通信にハッカーが割り込んだとしても、人の物理的な位置はわからない。

美術館の通路を歩いていると、自分が知らなかった絵に目が止まった。ガイドは団体客の世話に追われている。お金を払わなかったので、オーディオツアーのヘッドホンは使えない。その作品の前で考え込んでいると、突然スマホのブザーが鳴り、その美術作品とそれを描いた画家についての詳しい情報を、自分の手のひらの中で知ることができた。

そんなことができるために研究者たちは、テーマパークなどで使われている方向性オーディオ(directional audio)に似た技術を使う。その技術は、ライブのビデオデータを分析して、歩行者の個々の動きのパターンを同定する。そしてそれが、絵画の前など特定の範囲にあれば、その映像を捉えているカメラの位置(“モーションアドレス”)へ、解説のアナウンスを流す。ユーザーのスマートフォンは、モーションアドレスが自分の位置とマッチしたら、解説メッセージを受信する。

この技術は、このように美術館の作品解説などに役に立つだけでなく、歩行者を犯罪から護ることもできる、と研究者たちは考えている。

コンピューターサイエンスの助教授でこの技術の共同開発社であるHe Wangは、声明文でこう述べている: “われわれのシステムは監視カメラと人間を結ぶ橋になる。犯罪や事故の多い地区で監視カメラをこの技術で強化すれば、たとえば“あなたをつけている不審者がいる”などと、警告することができる”。

テクノロジーをフルに利用する監視社会に対しては批判の方が多いが、カメラがあなたを見守っていてくれることには、利点もありそうだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

iOS 12のオートフィルはサードパーティーのパスワード・マネージャーもサポート

AppleはiOS 12のパスワード・オートフィルでサードパーティーのパスワード・マネージャー・アプリをサポートすることがわかった。つまりAppleのモバイル・デバイスからパスワードが必要なサイトやサービスにアクセスする際、iCloudキーチェーンにパスワードが保存されていなくても簡単にログインできる。

これはマイナーなアップデートのように見えるかもしれないが、実は重要な意味がある。

現在、多くのユーザーが何十、ことによると何百ものパスワードが必要なアカウントを持っており、パスワード・マネージャー・アプリを使ってアクセスを管理している。

パスワード・マネージャーはログイン情報を安全に保管し、必要に応じてすぐに呼び出せるようにする。パスワードを使用するのがセキュリティー上必要であっても多数のパスワードを覚えているのは非常に困難だ。パスワード・マネージャーはパスワードを記憶するだけでなく、サービスにセキュリティー上の問題が起きた際に警告を発してくれる。たとえば家系調査のMyHeritageのアカウント情報が9200万件もリークしたような場合だ。また同じパスワードの使い回しや弱すぎるパスワードなどの問題も警告してくれる。

多くのユーザーがパスワード管理ソフトを利用しているものの、これまではAppleのモバイル・デバイスから使うのはかなり面倒だった。

まずパスワード・マネージャーのiOSアプリを起動し、所望のサービスを指定してパスワードを呼び出してコピーし、ログインしたいアプリに戻ってパスワード欄にペーストするという手順になる(1Passwordの場合は自動パスワード生成機能があり、何回かタップするだけでiOSのシェアシート機能を使ってコピー&ペーストをせずにアプリをログインできる)。

そういう方法があってもやはり手間を食う。 QuickTypeバーでいくつかキーをタップし後はオートフィルに任せるのに比べるとはるかに面倒だ。

今回Appleが発表した情報によれば、ユーザーはいちいちパスワード・マネージャーを立ち上げてパスワードを呼び出す必要がなく、パスワード・オートフィルl機能を用いてパスワード・マネージャーに記憶させたパスワードを入力することができる。これは単に快適で速いだけでなく、パスワード・マネージャー・アプリの普及にも大きな力となりそうだ。

1PasswordはWWDCでこのニュースを聞いたときに興奮して上のような歓迎のツイートをした。また新しいAPIを利用してApple IDのパスワードをオートフィルする動画を添付した。

上の1Passwordのデモでもわかるとおり、新APIを利用すれば、QuickTypeバーをタップするだけで1Passwordに保存されているログイン情報を入力できる。ログイン情報はバーでダッシュの後に示される。パスワード・マネージャーとiCloudキーチェーンに2種類のログイン情報が保存されている場合、QuickTypeバーに両方が表示されるのでユーザーが適切な方を選択できる。

この機能は昨年パスワード・オートフィルが発表されて以来 1Passwordが強く要望していたものだ。

AgileBitsでMacとiOS向け1Passwordの開発責任者を務めるMichael Feyは「iOS 11でAppleはSafariでブラウズした場合、iCloudキーチェーンにパスワードを保存できるようにした。このパスワードはアプリに関連づけることができ、呼び出して入力できるようになった。そこでわれわれはすぐにAppleに接触し、この機能を1Passwordでも使えるようにしてほしいと要望した」という。さらにAgileBitsではバグ・レポートを提出し、1Passwordに統合するプロトタイプを作った

その結果、「今年のWWDCでわれわれの要望が実現した」わけだ(Appleに対する要望は1Password、Dashlane、LastPassの共同によるもので、3社は同時に同様の要望書提出していたという)。

1Password始め、他のパスワード・マネージャーの開発チームも、この秋AppleがiOS 12を一般向けにリリースするときには、それぞれのプロダクトにオートフィルの能力を付加しているはずだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

iOS 12のオートフィルはサードパーティーのパスワード・マネージャーもサポート

AppleはiOS 12のパスワード・オートフィルでサードパーティーのパスワード・マネージャー・アプリをサポートすることがわかった。つまりAppleのモバイル・デバイスからパスワードが必要なサイトやサービスにアクセスする際、iCloudキーチェーンにパスワードが保存されていなくても簡単にログインできる。

これはマイナーなアップデートのように見えるかもしれないが、実は重要な意味がある。

現在、多くのユーザーが何十、ことによると何百ものパスワードが必要なアカウントを持っており、パスワード・マネージャー・アプリを使ってアクセスを管理している。

パスワード・マネージャーはログイン情報を安全に保管し、必要に応じてすぐに呼び出せるようにする。パスワードを使用するのがセキュリティー上必要であっても多数のパスワードを覚えているのは非常に困難だ。パスワード・マネージャーはパスワードを記憶するだけでなく、サービスにセキュリティー上の問題が起きた際に警告を発してくれる。たとえば家系調査のMyHeritageのアカウント情報が9200万件もリークしたような場合だ。また同じパスワードの使い回しや弱すぎるパスワードなどの問題も警告してくれる。

多くのユーザーがパスワード管理ソフトを利用しているものの、これまではAppleのモバイル・デバイスから使うのはかなり面倒だった。

まずパスワード・マネージャーのiOSアプリを起動し、所望のサービスを指定してパスワードを呼び出してコピーし、ログインしたいアプリに戻ってパスワード欄にペーストするという手順になる(1Passwordの場合は自動パスワード生成機能があり、何回かタップするだけでiOSのシェアシート機能を使ってコピー&ペーストをせずにアプリをログインできる)。

そういう方法があってもやはり手間を食う。 QuickTypeバーでいくつかキーをタップし後はオートフィルに任せるのに比べるとはるかに面倒だ。

今回Appleが発表した情報によれば、ユーザーはいちいちパスワード・マネージャーを立ち上げてパスワードを呼び出す必要がなく、パスワード・オートフィルl機能を用いてパスワード・マネージャーに記憶させたパスワードを入力することができる。これは単に快適で速いだけでなく、パスワード・マネージャー・アプリの普及にも大きな力となりそうだ。

1PasswordはWWDCでこのニュースを聞いたときに興奮して上のような歓迎のツイートをした。また新しいAPIを利用してApple IDのパスワードをオートフィルする動画を添付した。

上の1Passwordのデモでもわかるとおり、新APIを利用すれば、QuickTypeバーをタップするだけで1Passwordに保存されているログイン情報を入力できる。ログイン情報はバーでダッシュの後に示される。パスワード・マネージャーとiCloudキーチェーンに2種類のログイン情報が保存されている場合、QuickTypeバーに両方が表示されるのでユーザーが適切な方を選択できる。

この機能は昨年パスワード・オートフィルが発表されて以来 1Passwordが強く要望していたものだ。

AgileBitsでMacとiOS向け1Passwordの開発責任者を務めるMichael Feyは「iOS 11でAppleはSafariでブラウズした場合、iCloudキーチェーンにパスワードを保存できるようにした。このパスワードはアプリに関連づけることができ、呼び出して入力できるようになった。そこでわれわれはすぐにAppleに接触し、この機能を1Passwordでも使えるようにしてほしいと要望した」という。さらにAgileBitsではバグ・レポートを提出し、1Passwordに統合するプロトタイプを作った

その結果、「今年のWWDCでわれわれの要望が実現した」わけだ(Appleに対する要望は1Password、Dashlane、LastPassの共同によるもので、3社は同時に同様の要望書提出していたという)。

1Password始め、他のパスワード・マネージャーの開発チームも、この秋AppleがiOS 12を一般向けにリリースするときには、それぞれのプロダクトにオートフィルの能力を付加しているはずだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

ティーン監視アプリのTeenSafe、パスワード1万人分が漏洩

英国の研究者、Robert Wigginsが発見したところによると、TeenSafeのサーバー2台が侵入され、同社の監視サービスを利用している一部ユーザーのパスワードと個人情報が漏洩した。

TeenSafeは、10代の子を持つ親に、子供のテキストメッセージや通話、ウェブ履歴、位置情報、アプリのダウンロードなどを監視できるようにして、子供たちを守るためのサービスだ。データ漏洩を最初に報じたのはZDNetだった。

記事によると、TeenSafeは、同社がAWS上で保有するサーバーのうち2台を、誰でもアクセスできる状態に放置していた。しかも漏洩したデータベースには、親のメールアドレス、子供のApple IDメールアドレス、デバイス名、デバイス固有ID、および子供のApple IDの平文パスワードが保管されていた。

つまり…ほぼすべてだ。

TeenSafeでは、親が行動を監視できるように、ティーンエージャーが2要素認証を利用しないよう要求しているため、こうして個人情報が暴露された今、悪意のある侵入者に対していっそう脆弱だ。

TeenSafeは自社ウェブ上で、データは暗号化されているため不正侵入された際にもアクセス不能であると主張している。

ZDNetによると、サーバーには過去3カ月以内の顧客レコード1万200件以上が保存されていた。一部のレコードは複製であり、サーバーの一つにはテストデータが保存されていたらしいとも記事は伝えている。

まだ見つかっていない脆弱なサーバーがほかにあるのかどうかも明らかになっていない。

TeenSafeによると、100万組以上の親が同社のプラットフォームを利用している。

「当社サーバーの一つを公開中止とし、影響を受ける可能性のある顧客に対して警告を開始した」と日曜日(米国時間5/20)にTeenSafe広報担当者がZDNetに伝えた。

本誌はTeenSafeと直接接触していおり、情報が入り次第続報の予定。

[原文へ]

(翻訳:Nob Takahashi / facebook

Alexa、Siri、Googleアシスタントは音楽でだませる――UCB、浙江大学等の研究者が超音波ハッキングを発表

Alexa、Siri、Googleアシスタントなどのポピュラーな音声認識アプリを超音波を使ってハッキングする方法がUCB(カリフォルニア大学バークレー校)の研究者によって発表された。超音波のコマンドを楽曲に紛れ込ませることにより、ユーザーに気づかれることなくアシスタントに特定の動作をさせることができるという。

New York Timesの報道によれば、これより前に発見されていたスマート・アシスタントを騙す方法を発展させたものだ。

昨年、プリンストン大学と中国の浙江大学の研究者は音声認識デバイスは人間には聞こえない超音波によって起動できることをデモした。 このハッキングでは最初にスマートフォンをミュートするのでユーザーはスマート・アシスタント側の返事を聞くことができない。

浙江大学の研究者によってDolphinAttackと名付けられたこの攻撃はスマートフォンに悪意あるサイトを訪問するよう命じる。このハッキングはスマートフォンの電話、カメラ、テキスト・メッセージなどを操作できる。ただし超音波の発信源が攻撃対象のデバイスに近くにある必要があるのがDolphinAttackの限界だ。しかし専門家は強力な超音波発信源が用いられる危険性を警告した。

<pこの警告は4月にイリノイ大学アーバナ・シャンペン校の研究者が7.5メートル離れたところから超音波攻撃を成功させたことで現実のものとなった。超音波は建物の壁を透過することはできなかったが、建物の外から開いている窓を通してデバイスを乗っ取ることに成功した。

今回のバークレー校の研究は悪意ある超音波コマンドを楽曲に紛れ込ませてデバイスを乗っ取るというものだ。 この攻撃では楽曲にある種のデジタルノイズが混じるが人間の耳には意味ある音声としては聞こえない。

このハッキングはまだ初期段階だが、音声アシスタントのセキュリティー全般に関してはまだほとんど研究がされていない。音声アシスタントの能力が拡大し、ユーザーがメールやテキストの送信だけでなく、ショッピングやバンキングにもアシスタントを利用するようになってきただけに、こうした攻撃の可能性は懸念を呼び起こす。

最初に考えられる防止策は、デジタル・アシスタントのメーカーがセキュリティー保持にもっと力を入れ、音声認証の精度を高めると同時に音声の本人性に疑念があるときはアシスタントの音声機能をロックダウンすることだろう。.Amazon Alexa、Googleアシスタントは両方とも音声パターンによって個人情報を特定のユーザーのみ利用できるようロックするオプションがある。AppleのiOSの場合、秘密度の高い情報の大部分はアクセス前にデバイスをアンロックしなければならない。

いちおうそうした対抗手段はあるものの、このハッキングがさらに進化すると非常に怖いことになる。メーカー側のすばやい対処とその情報の公開が強く望まれる。Google I/Oデベロッパー・カンファレンスでデモされたDuplexソフトウェアを見ても音声認識アシスタントの能力拡大に力を入れていることが見てとれる。今回Googleが発表したカメラ付きスマート・ディスプレイも音声で操作できるのでやはりこのハッキングに対象となるわけだ。潜在的攻撃対象は急速に拡大しつつある。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Gmailにメジャー・アップデートが来た――自動消滅、スヌーズ、カレンダー統合など新機能多数〔日本語対応済〕

今日(米国時間4/25)、Googleはここ数年で最大となるGmailのアップデートを行った。Googleのフラグシップ・サービスの一つであるGmailに、テスト中だったものも含め多数の新機能が追加された。TechCrunchではその一部を今月上旬にいち早く紹介している。今回Gmailではデザインも一新されたが、既存のユーザーに違和感を与えることはないはずだ。

新機能はここしばらく続いていたリークのとおりなので大きな驚きはない。 またテスト中の機能のいくつか(すべてではない)が正式にGmailに採用されたのも予想どおりだった。しかし派手なメディア報道では見逃されがちだった細部の改良が重要だと思う。新設された右サイドバーからGoogleカレンダーが開けるようになった。またGoogle TasksやGoogle Keepとの統合も使い勝手の改善に大きく貢献している。

ともあれ順を追って見ていこう。 新Gmailでまず目につくのは受信トレイ(Inbox)そのものだ。メッセージの上にマウスポインターを乗せると、クリックしなくても右端にアーカイブ、削除、既読にする、スヌーズの各アイコンが表示される。スヌーズは今回新たに追加された機能だ。

スヌーズを選択すると、ドロッダウン・メニューでスヌーズ期間を今日中、明日、カスタムなどに設定でき、その期間終了時にメールが受信トレイに現れる。受信トレイを常にクリアしておきたいユーザーには便利な機能だ。受信トレイを空にしておいても、重要なメールは指定したタイミングで再表示される。メールを開いて読んでいるときはスヌーズ機能は使えない。

今回のアップデートでいちばん大きいのは「秘密モード」でメールを送信できるようになったことだろう。コンセプトはシンプルだ。送信者はメールが読める期間を指定できる。受信者はこのメールについて転送、コピー、ダウンロード、印刷が一切できない。期間終了後メッセージは自動的に消滅する。もちろん受信者がスクリーンショットを取るのを止める方法はないが、Googleの狙いはそこではない。受信側のデバイスが悪質なハッカーに侵入され、データが盗まれた場合でも、秘密モードで送信されたメールはすでに消滅していて安全だ。またさらにセキュリティーを高めるために個々のメールについても二段階認証を設定できる。受信者はメールを開く祭にGoogleが作成したパスコードをSMSで受信し、入力する必要がある。

もう一つの大きなアップデートは「重要メール通知」機能だ。これはGoogleが人工知能を用いて重要性が非常に高いと判断したメールについてのみメール着信の通知を行う。またGoogleは「購読解除」の提案も行う。ニュースレターなどを購読しているが、実際にはほとんど開かなくなっているという場合が多々ある。こうした際、Googleは購読解除を勧める。どうせ読まれないのであればニュースレターの発行者側にとっても無駄な手間となるのでこれは便利な機能だ。

さらにもう一つの重要アップデートは強化された新しいオフライン・モードだ。 GmailがProgressive Web Appsと呼ばれる高度なウェブ・アプリに移行したこともあり、オフラインGmailには最大で過去90日分のメールをローカルに保管し、検索することができるようになる。 ただしこの機能の公開は数週間後になる見込みだ。

新Gmailで私がいちばん便利だと感じたのは受信トレイ右側に新設されたサイドバーだ。ここにはGoogleカレンダーのウィジェットが常駐し、その日のスケジュールが一覧できる。また新しい日程を書き込むのも簡単だ。

右サイドバーにはメモアプリのGoogle KeepとGoogle TasksというToDoアプリも統合されている。残念ながら今のところKeepのメモをメールに添付したり、逆にメールをKeepにドロップしたりはできないようだ。Google Tasksはメールに多少連動しており、メールをTasksにドラグしてきて新しいタスクとすることができる。私は普段ToDoリスト管理にTrelloのアドオンを使っているし、Gmail自身のアドオンにもこの機能がある。とはいえサイドバーにTasksが統合されれば使いみちは広いだろう。

UIのデザインも一新されたが、行間も3段階に調整できるなど従来の機能はすべて維持されている。デフォールトがいちばん行間が広いが、添付ファイルの表示に新機能が追加されている。単にペーパークリップのアイコンで添付ファイルがあることを示すのではなく、件名の下に添付ファイルのアイコンとファイル名名の冒頭が表示される。

受信者はメール自体を開かずアイコンをクリックして直接添付ファイルを開くことができる。

繰り返しになるが、メッセージのソート、フィルター、スターを付けるなど従来のGmailの機能はほとんどすべて維持されている。メイン、ソーシャル、プロモーション、新着、フォーラムに自動的にメールを分類する機能が気に入っている場合は引き続き利用できる。またページの左下端にはハングアウト関係のアイコンが表示される。Googleがハングアウトで何を目指しているのかいまいち不明だが、ともあれここに表示されることになった。

新バージョンはGmailアカウントを持つユーザーすべてに向けて順次公開中だ。設定(歯車アイコン)に「新しいGmailを試す」というオプションが表示される。これまでのアップデートと同様、現在は「以前のGmailに戻す」ことが可能だ。将来ある時点でGoogleはGmailを完全に新バージョンに固定するのだろう。G Suiteの管理者が新バージョンを使う場合、G Suite Early Adopter Programを有効にしておく必要がある。

〔日本版〕記事本文では「メールを開いた状態でスヌーズできない」とあるが、訳者のアカウントではメールを開くと件名上部のバーに一連のアイコンが表示され、時計アイコンをクリックすればスヌーズが実行できる。逆に訳者のアカウントでは「自動消滅」機能は未公開。現在アカウントによって利用できる機能に差があるものと思われる。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Facebookは初期のデータ漏洩をFTCに報告していなかった

上院司法委員会および商業・科学・運輸委員会で証言したFacebook CEO Mark Zuckerbergは、最近のプライバシースキャンダルを起こしたデータ漏洩が最初に起きた際、連邦取引委員会(FTC)に報告していなかったことを明らかにした。

Facebookが漏洩に気づいたと言っている2015年時点に、この消費者データ漏洩問題について同社がFTCに報告したかどうかを問われたZuckergergは、「担当者は『終わった問題』と認識していた」と答えた。

Cambridge Analyticaが、サードパーティー製クイズアプリを介して不正に入手したFacebookユーザーデータを入手していたことは、Facebookの直近のスキャンダルの核心をなす。そして、そのデータ漏洩についてFacebookがFTCへの報告を怠ったことが、委員会による調査の引き金となった

当時FTC消費者保護局のトム・パール局長代行は、Facebookのプライバシー管理について以下の声明を発表した、

FTCは消費者のプライバシーを守るためにあらゆる手段を講じることに全力を尽くす。自社のプライバシー保護の約束を守らず、FTC規定に違反して消費者に多大な損害をあたえる不正な行動をとる企業に対しては、強制調査を行う。〈中略〉こうした状況を踏まえ、FTCはFacebookのプライバシー管理の重大な懸念を指摘する報道を極めて深刻に受け止めている。ここにFTCは、こうした行為に対する非公開調査を開始したことを正式に発表する。

Facebookが2011年にSECと結んだ最初の合意条項は、同社が消費者の個人情報のプライバシー・安全に関して虚偽の表示をすることを禁止しており、プライバシー設定を変更する際には事前に了解を得ることが必須になっている。

合意書には、Facebookによる以下の誓約も含まれている。

Facebookは「既存および新規の製品・サービスの開発および運用に関わるプライバシーリスクに取り組み、消費者情報のプライバシーと秘密を守るための包括的プライバシープログラムを確立し維持する。また、180日以内、およびその後20年間にわたり2年に1度、独立した第三者による監査をうけ、プライバシープログラムが実行され、FTCの要求と一致あるいはそれを超えていること、および消費者情報のプライバシーが保護されていることを証明する。

[原文へ]

(翻訳:Nob Takahashi / facebook

これがマーク・ザッカーバーグの議会証言の草稿だ

水曜日(米国時間4/11)に予定されているMark Zuckerbergの公聴会に先立ち、下院エネルギー・商業委員会はFacebook CEOの準備された声明文を公開した。

その中でZuckerbergは、Facebookは一貫して楽観的な企業であり、人々をつなぎ、発言の場を与えることに集中していることを説明した。しかしZuckerbergは、一連の理想主義的思考が、Facebookの持つツール群を悪用される可能性に関する判断を誤らせたかもしれないことを認めた。

しかし、ツールが害を与えるために使われるのを防ぐための努力が十分ではなかったことは明白だ。たとえば、偽ニュース、海外からの選挙妨害、ヘイトスピーチ、さらにはデベロッパーやデータのプライバシーなどが挙げられる。われわれは自分たちの責任を十分に捉えていなかった。それは大きな間違いだった。私の間違いであり申し訳なく思っている。私はFacebookを立ち上げ、経営してきたのでそこで起きるとの責任は私が負う。

声明は、Cambridge Analyticaスキャンダルとロシアの選挙妨害にも言及し、それぞれの状況で何が起こり、問題を解決するためにFacebookが何をしているかを詳しく説明している。

Zuckerbergは米国時間10日に上院で、12日に下院で証言する。本誌は両方の公聴会を報じる予定だ。

Zuckerbergの声明全文を下に埋め込んである。

[原文へ]

(翻訳:Nob Takahashi / facebook

ケンブリッジ・アナリティカ、Facebookデータ8700万人分入手を否定…実際には3000万人

本日(米国時間4/4)Cambridge Analyticaは、同社が8700万人分のユーザーデータを不正に入手したとするFacebookの発表に反論した。実際にはDr. Aleksandr Koganの調査会社、Global Science Researchから「ライセンスを受けたデータは3000万人分以下」だと主張している。さらに、2016年の米国大統領選挙でトランプ陣営に雇われた際にこのデータは利用しておらず、Facebook から通知を受けたあと直ちに原データを削除し、派生データの削除作業を開始したことも言明した。

Cambridge Analyticaの声明全文を以下に引用した。本誌はFacebookに、2社の主張の食い違いについてコメントを求めたが拒否された。

Facebookのプライバシーポリシーと強制力の弱さは、あのCambridge Analytica騒動を引き起こし、Facebookの時価総額を1000億ドル近く下げるスキャンダルへとつながった。そんな批判にFacebookが耐え続けるなか、言った言わないの議論は今後ますます激化しそうだ。

本日(米国時間4/4)Facebookは、影響を受けた可能性のある人数は最大8700万人であり、対象になるユーザーにはニュースフィードのトップで通知すると発表した。さらに同社は利用規約を改訂して外部デベロッパーとの関係を明確化するとともに、広範囲にわたるAPI制限を発表した。これによってFacebook上に作られた数多くのアプリが動作不能に陥るが、プライバシー侵害を未然に防ぐことができる。Zuckerbergは記者団との電話会議でニュース全般について洞察を述べた

Cambridge Analyticaは、同社のデータ取扱いに関するFacebookの主張を繰り返し否定してきたが、Facebookは撤回しなかった。むしろFacebookは自らが戦おうとしている悪用の事例として、また世界中のデベロッパーを善悪を問わず取り締まることを正当化する理由として、Cambridge Analyticaを利用した。

Cambridge Analytica、GSRのデータセットに8700万件のレコードが含まれていたとする発表に反論

本日Facebookは最大8700人分の情報が調査会社GSRによって不正入手されたと発表した。Cambridge AnalyticaがGSRからライセンスしたデータは3000万人分以下であり、契約書にも明記されている。それ以上のデータは受け取っていない。

当社は2016年の米国大統領選挙で行った業務にGSRデータを使用していない。

当社がGSRと交わした契約には、すべてのデータは合法的に入手されなくてはならないと記載されており、現在この契約書は公文書扱いになっている。当社はGSRがこの契約に違反したことを知ったとき同社に対して法的措置をとった。Facebookが当社にデータが不正入手されたことを知らせてきたとき、われわれは直ちに原データをサーバーから削除し、当社のシステム内にある派生物を探して削除するプロセスを開始した。

一年前にFacebookが追加の保証を求めてきた際、当社は社内監査を実施し、全データ、全派生物および全バックアップが削除されていることを確認し、それを示す証明書をFacebookに提出した。

現在当社システム内にGSRデータが残っていないことを示すために、独立した第三者による監査を実施している。

[原文へ]

(翻訳:Nob Takahashi / facebook

トランプ選挙陣営のデータ分析会社、Facebookユーザー5000万人のデータを不正アクセスか

先週Facebookは、トランプ選挙陣営と密接に関係するデータ分析会社のアカウントを停止したことを発表したが、実際にアクセスされたデータの規模をFacebookが大幅に低く見積もっていた可能性があることがNew York Timesの最新記事でわかった。

New York Timesによると、Campbridge Analyticaはケンブリッジ大学の心理学教授、Dr. Aleksandr Koganと協力して “thisisyourdigitallife” というアプリを開発し、最大5000万ユーザーの個人情報を収拾した。Facebookは27万人のユーザーがそのアプリをダウンロードしたことを認めている。このアプリはFacebookのログイン情報を使ってユーザーの地理的情報をアクセス可能にする —— New York Timesによると5000万人のプロフィール情報を取得したという。しか一人のユーザー(友達が数百人)がこのアプリを通じて個人情報へのアクセスを許可することのの影響は、2014年当時の方がいまよりずっと大きかった可能性がある。

サービス開始当初はどの会社もポリシーが厳格ではなくAPIの保護も十分でなかったためにこの種の情報が流出しやすい。Facebook幹部らは、これを不正行為ではないとTwitterに書いており、実際従来の基準では違反と言えないかもしれない。Facebookのセキュリティー最高責任者、Alex Stamosは次のように書いている。

[Koganが不正侵入やソフトウェアの不備を利用したことはない。彼は収拾したデータの使い方を誤ったが、だからといってデータの取得がさかのぼって「違法」になるものではない。]

アップデート: Stamosはツイートを削除した。上に貼ったのはツイートのスクリーンショットだ。

Stamosは一連のツイートを削除する前、長いスレッドで状況の詳細を説明した。それによると、当時のFacebook APIは今よりずっと広範囲のデータを取得することが可能だった。APIは2015年に改訂され友達データの取得が制限され、当時はアプリ開発者の間で議論を呼んだ。20億人のアクティブユーザーがいるFacebookでは、ポリシーは常に改訂が続きいたちごっこ状態にある。トランプの勝利は僅差だったため、的の絞られた5000万人の情報は大きな違いを生んだ可能性がある。

Facebookは公開企業であり、2014年当時の株主に対して、大失敗をせずこの種の情報を責任をもって厳重に管理する信認義務があった。不正アクセスを防ぐガードレールの欠落はUberやLyftなど他社でも数多く見られる。企業が成長モードにあるとき、この種のガードレールの設置は優先順位が下がることが多い。データが膨大になりそれを管理すること自体に膨大な労力が必要になればなおさらだ。Facebookは2014年Q4末に13.9億人のアクティブユーザーを抱えていた。

米国時間3月16日、FacebookはStrategic Communication Laboratoriesおよび傘下の政治データ分析会社であるCambridge Analyticaのアカウントを停止したと声明で発表した。しかしFacebookは今も問題を軽視している。

本誌はFacebookに追加情報を要求しており、情報が入り次第続報する予定だが、現時点ではFacebook幹部らは、流行にあわせてTwitterで弁明している。

[原文へ]

(翻訳:Nob Takahashi / facebook

Intel、Spectre脆弱性の新しい修正ソフトを公開――ユーザーの手元に届くには時間がかかる

IntelはSpectreの影響を取り除くための新しい修正パッチをを発表した。SpectreはCPUのハードウェア・アーキテクチャに起因する脆弱性で、メモリの内容が推測される可能性がある。Spectreは現在主流となっているほぼすべてのハードウェアに影響を与えているが、Intelが発表したパッチはSkylake(2015年後半出荷)以降の世代のCPUに対するものだ。

ただしパッチが一般のユーザーの元で効果を発揮するようになるにはかなりの時間がかかる。コンピューター(特にマザーボード)のメーカーのデベロッパーが修正パッチのコードをファームウェアに組み込む必要があるからだ。

1月にセキュリティー専門家によって発見されたこの脆弱性はアプリケーション、OS、カーネル、マイクロアーキテクチャなど各レベルで対処される必要があった。Intelのパッチはマイクロアーキテクチャに関するもので、現行のパッチを置き換えることになる。以前のパッチは不安定となる場合があることが指摘されていた。

モダンCPUの設計思想そのものに関連する脆弱性だけに、単純なワークアラウンドは存在せず、またメディアに大きく取り上げられ、強い圧力を受けた状態であったことを考えれば、最初のパッチにある程度不完全な点があることはやむを得なかった。しかしIntelは巨大企業であり、数ヶ月前から警告を受けていたのだから当初の対処は手ぬるいものだとしてIntelは批判を浴びた。

Spectre脆弱性に関しては常にそうだが、われわれエンドユーザーができることはあまりない。パソコンが最新の状態にアップデートされているか頻繁にチェックし、当然だが不審なコードを実行しないよう注意するぐらいだ。

読者のパソコンが旧型でSandy Bridge世代などのCPUを搭載しているのであればパッチの提供にはまだ少し時間がかる。現在はベータ版なので実験動物にはなりたくあるまい。

画像: Alice Bevan–McGregor/Flickr UNDER A CC BY 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+

あるUNICODE文字がAppleデバイス上でアプリを破壊する――iOS、Mac、Watchの主要ソフトすべてに影響

TechCrunchはAppleのデバイスに深刻なバグがあることをつかんだ。

モバイルブラウザを提供しているAloha Browserの開発チームは多言語対応のニュースフィードを開発中に特定のUNICODE文字がAppleのアプリをクラッシュさせることを発見した。これはAppleのデフォールトのSan Franciscoフォントを利用している場合に発生した。アプリのクラッシュは英語以外のUNICODEの2文字によって引き起こされ、iPhone、iPad、Macの各機種のアプリばかりでなく、WatchOSでテキストを表示する場合にも影響する。

これらの2文字がアプリ内で表示されるとそのアプリは即座にクラッシュする。多くの場合、アプリは再起動できず、再インストールが必要になる。 TechCrunchは旧バージョンのiOSを搭載したiPhone、2台とiOS 11.2.5を搭載したiPhone、High Sierra搭載のMacBook Proそれぞれ1台ででこの現象を再現することができた。

このバグによってクラッシュするソフトウェアにはMail、Twitter、Messages、Slack、Instagram、Facebookなどメジャーなアプリが含まれる。われわれのテストではMac向けコピー&ペースト・プラグインのJumpcutもクラッシュした。当初、 Mac向けChromeは影響を受けないかと思われたが、やはりクラッシュした。Chromeも問題の文字を表示したアプリもその後起動せず、アンインストールと再インストールを必要とした。OSがクラッシュし、リスタートする場合もあった。

TechCrunchはAppleにバグフィックスのスケジュールを問い合わせている。新しい情報があればアップデートする予定だ。Aloha Browserのチームによれば、Appleもこのバグを認識しているという。Alohaのチーム以外からもバグ報告が上がっているもようだ。

Appleがテキストに含まれる文字が原因でアプリがクラッシュする「テキスト・ボム」現象に悩まされるのは今年に入ってこれで2度目だ。最初は1月にソフトウェア専門家のAbraham Masriが発見したiOSのバグで、特定のURLを含むテキストメッセージを送りつけられるとすべてのiPhoneがクラッシュした。これより前、2016年には、 ユーザーがCrashSafari.comのURLをクリックするとiPhoneやSafariがクラッシュした。2015年にはUnicode of Deathと呼ばれる現象が起きている。これはUNICODEのアラビア語の文字一部がiPhoneのメモリを占有して障害を起こすバグだった。今回われわれは「死のUNICODE 2.0」に遭遇しているようだ。

今回のテキスト・ボムは主要なアプリすべてに影響するため、原因となるUNICODE文字がソーシャルメディアその他のチャンネルを通じて広く拡散されると個人や組織を狙ったメールやテキスト・メッセージによって大混乱が引き起こされる可能性がある。バグは大部分のAppleのデバイスの上で作動する大部分の主要アプリをクラッシュさせる。早急にバグフィックスが提供されないと大問題になりそうだ。

[アップデート: Appleは早急にバグフィックスを提供することを確認した。このバグは現在のバージョンに影響しているものの、iOS、tvOS、macOS、 watchOSのそれぞれベータ版ではすでに修正されている。]

画像: Bryce Durbin

[原文へ]

(翻訳:滑川海彦@Facebook Google+

FBI、CIA、NSAはHuawei、ZTEの携帯利用に上院で警告

Huaweiがアメリカ市場に乗り込むには依然ハードルは高いようだ。今週に入って、FBI、CIA、NSAを含むアメリカの情報機関のトップ、6人は上院情報委員会で中国のメーカーHuawai、ZTEのスマートフォンに関して証言し、「アメリカ市民はこれらの製品、サービスを利用すべきでないと考えている」ことを明らかにした。

もちろんこれは今回急に出てきた話ではない。両社のトラブルが始まったのは2012年にさかのぼる。下院情報委員会は「両社の中国政府とのきわめて密接な関係は重大なセキュリティー・リスクとなり得る」と判断した。これを受けて、翌年、両社はアメリカ政府機関に対してスマートフォンを販売することを禁止された。

クリス・レイFBI長官は火曜日の公聴会でこの問題を念頭に置いて、 「われわれはアメリカと価値観を共有しない外国政府の影響下にある企業ないし組織がアメリカのテレコミュニケーション・ネットワークにおいて大きな影響力を得る危険性について強い懸念を持っている」と述べた。

Huaweiは政府の購入禁止措置を「アメリカにおけるビジネスを禁止しようとする」ものだと非難し、「Huaweiはアメリカ以外の170カ国の政府と消費者に信頼されている。セキュリティー・リスクは他のメーカーと同様だ」と述べて反論している。

今回の反論は先月のCESのキーノートで、HuwaeiのCEO、Richard Yuが「われわれは中国のキャリヤに信頼されている。またヨーロッパのキャリヤとも関係を築いている」と述べた内容を反映しているようだ。

アメリカのキャリヤを非難するこうしたアドリブの発言はAT&TがHuawaeiのスマートフォンを取り扱う契約を土壇場でキャンセルした直後に行われた。AT&Tのキャンセルは一部の議員がHuaweiのスマートフォン購入に対して強く警告したことが理由だとされる。アメリカにおけるスマートフォン購入の大部分はキャリヤ経由なので、これはHuaweiにとって大打撃となった。

現在、Huaweiはアメリカ市場でキャリヤ以外のチャンネルでの販売拡大に全力を挙げている。 しかしこのアグレッシブなマーケティングがさらにHuawaeiにトラブルをもたらす現象も起きている。
同社のフラグシップ機、Mate 10 Proが Best Buyのサイトに登場したのはHuaweiがFacebookで仕掛けたコンテストに起因する多数のフェイク・レビューが原因だとする指摘が浮上している。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

政府契約企業のHuawei、ZTEの機器の使用禁止法案、米議会に上程

最近アメリカ市場におけるHuaweiのスマートフォンの取扱をAT&Tが拒否したところだが、Huawei、ZTEという世界最大規模の中国のテクノロジー企業の前途にさらに暗雲が現れた。

Huawei、ZTEの両社はスマートフォンが有名だが、ビジネスの中心はむしろテレコム・ネットワークに関連するデバイスの供給、運用にある。アメリカ議会に新たに提案された法案は、セキュリティー上の問題を理由として、連邦政府諸機関が両社製のネットワークデバイスを使用しているサービス・プロバイダーを利用することを一切禁止するものだ。

法案を提出したのはテキサス州選出のMichael Conaway下院議員(共和党)で、同議員は 選挙に対するロシアの干渉を調査するチームのリーダーでもある。 テレコム機器の販売でHuaweiは世界でトップ、ZTEは5位だが、アメリカでは両社に対する制裁が続いていた。これにはZTEのデバイスをアメリカ政府機関が購入することを禁止する2013年の法律などが含まれる。昨年は国防省が中国あるいはロシアのテレコム企業の機器を購入することを禁止することを狙う法律が提案されている

今回の新法案は、制裁をさらに一歩進め、アメリカ政府機関がHuaweiおよびZTE製の機器と関わりをもつことを一切禁止しようとするものだ。政府契約には下請けの長い連鎖があるが、両社の機器はそこから排除される。

この法案は、政府が以下のようなサードパーティー企業と契約することを禁じようとしている。

  • Huawei Technologies CompanyまたZTE Corporation(およびその傘下、関連企業を含む)〔以下、対象企業〕が製造したテレコミュニケーション機器を使用する企業
  • 対象企業が提供するテレコミュニケーション・ネットワークあるいは対象企業が製造した機器を用いるネットワークを提供する企業
  • テレコミュニケーション機器またはサービスを提供する企業であって、契約を所管する政府機関の責任者が(別に定める)外国政府の所有、管理、あるいは影響下にあると信じる合理的理由がある企業

TechCrunchはZTEとHuaweiにコメントを求めているが、この記事の執筆時点では回答がない。

Conawayの法案には、提案理由として【略】ZTE、Huaweiその他の中国企業が「中国共産党から直接の指示を受けている」とした政府機関の調査結果」やCIAのMichael Hayden元長官が「Huaweiは中国政府と極めて密接な関係にあり、外国におけるテレコミュニケーション事業において得た情報を広汎に政府と共有している」としたコメントを引用している。【略】

法案が実際に法律として成立するまでにはまだ長い道のりが控えているものの、ワシントンがますますZTEとHuaweiの排除に傾いていることは疑いない。

昨年、ZTEは10億ドルの罰金を課せられている。ZTEはアメリカのイランに対する経済制裁に違反してアメリカからイランにプロダクトを輸出した上に、連邦政府による調査に対して虚偽を申し立てたことを認め、罰金を支払うことでアメリカ政府と和解している。

シリア、キューバ、イラン、スーダンとのHuaweiのビジネスについてアメリカ商務省も関心を示している

@paulmozurが法案を発見した) 

[原文へ]

(翻訳:滑川海彦@Facebook Google+

スペクター! メルトダウン! カーネル・パニック!――今回の脆弱性はほぼ全員に影響が及ぶ

新たななコンピューター脆弱性をめぐって昨日(米国時間1/3)から発生している記事、声明、論文の雪崩に当惑している読者も多いだろう。これらには相互に矛盾する主張も多い。ほぼあらゆるコンピューターとOSに影響するMeltdownとSpectreという2つの欠陥は一体どんなどんなものなのか? 昨日の記事に引き続き、さらに詳しく現在判明している情報を紹介する。

どんな欠陥なのか?

要約:コンピューター・アーキテクチャーの本質的な欠陥により、プロセッサーのもっとも深いレベルに位置する重要情報へのアクセスが可能になる。


セキュリティー専門家は公式文書を発表して問題を確認している。 深刻な2つの脆弱性にはそれぞれ名前とロゴが与えられている(上の図で左がMeltdown、右がSpectre)。この欠陥は現在利用されているほとんどあらゆる中央演算処理装置―CPUに影響を与えている。

これらはCPUの物理的機能に関連する問題ではないし、WordやChromeにもときおり見られるようなプログラミングのミスによるソフトウェアのバグでもない。これは現代のCPUのアーキテクチャーそのものに内在する問題だ。

現代のCPUアーキテクチャーにはあらゆるデータが生で、つまり暗号化されずに処理される部分が存在する。このスペースは当然不可侵の領域でなければならない。CPUのアーキテクチャーの根本をなす部分、カーネルがそうした領域だ。またシステム・メモリー中にも他のアプリケーションからアクセスできないよう慎重に隔離された領域が存在する。これらの領域内のデータは機密であり、他のアプリケーションやプロセスからアクセスできないよう強力な保護壁が設けられている。

MeltdownとSpectreは セキュリティー専門家が発見した2つの攻撃手法。これらはデータ保護機能を回避してコンピューターが処理するほとんどあらゆるデータへのアクセスを可能にする。つまりパスワード、暗号化データ等の決定的に重要な情報もすべて他のプロセスからアクセス可能となる。

MeltdownはIntel CPUに固有の弱点で、カーネル・メモリー中のデータを保護する機能を迂回する。Intelプロセッサーではカーネル中のあるプロセスが偶然他のプロセスに干渉したり、悪意あるソフトウェアが権限のないデータにアクセスすることを防ぐため、アプリケーション領域とOS領域の間に障壁が設けられている。Meltdownはこの障壁を迂回して保護を無効化する。

SpectreはIntel、AMD、ARM各社のプロセッサーに影響する。つまりデスクトップ・コンピューターだけでなく、各種のモバイル・デバイスその他なんであれCPUが内蔵されているすべてのデバイスが対象となる。つまりスマート・サーモスタットや赤ちゃん見守り用ウェブ・カメラも含まれる。

SpectreはMeltdownとは異なり、アプリケーション間に設けられている障壁を迂回するためにある種の巧妙な罠を仕掛ける。これにより通常であれば他のプロセスからアクセスすることが不可能な領域にあるデータをアプリケーションに暴露させる。現代のコンピューターに多く見られるマルチコア・アーキテクチャーをベースにしているため実行はMeltdownより困難だが、同時にこの脆弱性を取り除くことを一層困難にもしている。

誰が影響されるのか?

要約: コンピューターのユーザーほぼ全員。


2011年に製造されたチップもテストされ、これらの脆弱性を持っていることが確認された。理論的には1995年以降に製造されたCPUすべてが影響を受けているとされる。

繰り返すがMeltdownとSpectreはCPUアーキテクチャー上の弱点であり、チップ・メーカー側の人為的ミスによるバグではない。またWindows、OS X、AndroidはじめあらゆるOSプラットフォームが等しく対象となる。

理論的にはデスクトップ、ノート、サーバー、スマートフォン、組み込みデバイスその他あらゆるデバイスが影響される。簡単にいえば、テストの結果安全だと確認されたプラットフォーム以外はすべてこれらの脆弱性を持つと考えるべきだろう。

Meltdownはまたクラウド・プラットフォームにも影響する点で深刻だ。ただしMeltdown攻撃をリモートで実行するのは非常に困難だという。これはクラウド・サービスにとってグッドニュースだ。

対策はあるのか?

要約:: 完全にではないが修正できる。ただし時間がかかる。


上述のように影響されるデバイスの数は膨大だが、だからといってこうしたデバイスが無防備だというわけではない。またIntel、AMD、ARMその他のチップ・メーカーは数か月にわたって「緩和策」(簡単にいえば絆創膏)を開発してきた。

カーネルのメモリ間の障壁を強化することがMeltdown対策となる。技術用語では「カーネル・ページ・アイソレーション」という。ただしこれには副作用もある。現代のCPUアーキテクチャーはカーネルの動作にある前提を設けている。この前提を変えることはCPUの処理効率を落とすことになる。

Meltdown脆弱性の修正策がチップのパフォーマンスに与える影響は少ない場合で5%、最大で30%に上るものとみられている。いずれにせよなにがしかのパフォーマンス低下は避けられない。しかし脆弱性を取り除くことができるのであればやむを得ない代償だろう。

これと違って、Spectreには当分の間根本的な解決策は得られそうにない。Spectre攻撃はCPUの物理的特性に極めて密接に関連するため、セキュリティー専門家もソフト的にこれを完全に避ける方策を発見することはできなかった。いくつかの回避策が提案されているものの、結論はこうだ。

前節で紹介した一時的回避策は現実の攻撃を短期間防止する役に立つはずだ。しかし今後書かれるコードについてはもちろん現に存在するコードについても、どんな構成であればCPUにとって安全であるか(それとも危険であるか)を判断する方法は知られていない。

今後どのような対策が取られるか予測することは難しいが、もっとも大きな被害をもたらしそうな攻撃を防止するためのソフトウェアのアップデートが相次ぐだろう。MicrosoftはすでにWindows OSに対してアップデートをリリースしている。ARMも一連の緩和策を用意している。Amazonはクラウド・サービスの膨大なサーバー群をアップデート中だ。【略】

ひとつはっきりしているのはデバイスのリコールはないということだ。Samsungのスマートフォンのバッテリー問題のように、問題が特定のハードウェアの特定の部品にある場合、リコールはあり得る。しかし今回の問題で影響されるのは何億ないし何十億にも上る膨大なデバイス群なのでリコールはあり得ない。

なぜ今突然報道されたのか?

要約: チップ・メーカーは来週合同で発表を予定していたがメディアに先回りされた。


実はチップメーカーは数か月前にMeltdownとSpectreという脆弱性について報告を受けていた。セキュリティー専門家は以前からこの問題に注目し研究を続けていた。脆弱性の内容自体は秘密にされていが、理由不明のアップデートが相次いだことで、外部にも少しずつ情報が漏れ始めていた。

仮にセキュリティー専門家が脆弱性を発見すると同時に、たとえばTwitterでそれを公開したとすれば、CPUメーカーよりむしろ悪意あるハッカーを利するだけに終わっただろう。セキュリティー上の問題では情報は「責任ある公開」が求められる。つまりまずそのプロダクトを提供しているメーカー、ベンダーに秘密に通知し、必要なら対応策の開発に協力するわけだ。

今回のケースではGoogleは数か月前にIntelにコンタクトを取っている。もちろん程度の差はあれ、問題の存在を知っていたメーカーは多いはずだ。Microsoftが理由を明かさずにパッチをリリースしていたのもその一例だろう。Linuxの各種ディストリビューションも、脆弱性については詳細を示さないまま、アップデートを行っていた。

セキュリティー問題ではメーカーやベンダーが対応策を得て密かにアップデートを完了して初めて脆弱性の存在が告知されるのが通例だ。今回もその方式を取ることが予定されていた。

しかしThe Registerがいくつかの情報をつなぎ合わせスクープ記事を出した。そのためIntelは来週に予定していた共同発表の前に急きょ「報道は不正確だ」という反論の声明を発表するなどの対応に追われることになったわけだ。

The Registerはセキュリティー問題に関する通例を守るべきだったという声もたしかにある。しかし一方でIntelなどの巨大企業が情報を全面的にコントロールするという状況も好ましくないだろう。もしスクープがなければこの問題に対する関心も現在のように高まることはなかったはずだ。

いずれにせよ、セキュリティー専門家はSpectreを説明した論文の結論として次のように述べている。

この論文で検討した脆弱性は、他の多くの脆弱性と同様、パフォーマンス向上を至上命令として開発を行ってきたテクノロジー業界の長い伝統に根ざすものだ。この結果、CPU、コンパイラ、ドライバー、OS、その他すべての重要な要素が最適化のために複雑にレイヤー化され、セキュリティー・リスクを生じさせることとなっている。パフォーマンス向上の代償としてセキュリティーを犠牲にするこのようなデザイン手法は見直しの時期に来ている。多くの場面でセキュリティーの最大化を目的とする実装が求められるている。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Operaのニューバージョンはユーザーのマシンで勝手に暗号通貨がマイニングされるのを防ぐ

Operaブラウザーが今日(米国時間1/3)、そのデスクトップブラウザーのバージョン50に達した。お祝いのケーキは小さなカップケーキすらないけど、でもこの最新リリースには、このブラウザーを使って暗号通貨のマイニングすることは誰にもできない、という新しいセキュリティ機能がある。

ブラウザーとJavaScriptは、コインをマイニングする効率的な方法ではないが、しかしブラウザーのユーザー数は圧倒的に多いから得られる量はすごい。しかもあなたのコンピューターとブラウザーを利用する犯人自身は、電気代ゼロだ。でも多くの場合、そうやってマイニングされるMoneroなどのコインはきわめてCPU集約的なアルゴリズムを使うので、CPUが、本来ならGPUを使うような方法と競争することになる。また、報道によると、北朝鮮のハッキング部隊はときどき、ハイジャックしたマシンを使ってコインをマイニングするそうだ。

なお、ChromeFirefoxの拡張機能にも、同様の機能がある。Operaの新しいcryptojacking対策機能は、ユーザーがブラウザーの広告ブロック機能をonにすると、自動的に有効になる。

OperaのデスクトップブラウザーのトップKrystian Kolondraはこう語る: “暗号通貨は好きだが、Webサイトが人のコンピューターを無断で使ってコインをマイニングすることは許されない。Opera 50では、人びとが自分のコンピューターのコントロールを取り戻すためのシンプルな方法を提供して、2018年の良いスタートを切りたい”。

Operaは、暗号通貨をどれぐらい好きなのか? Bitcoin, Ethereum, Bitcoin Cash, それにLitecoin用の通貨両替機能を、わざわざブラウザーに実装したぐらいだもんねー。

Opera 50のそのほかの新しい機能は、Chromecastのビデオストリーミングをサポートしたこと、そしてOculus Riftのユーザーがそのヘッドセットで360度ビデオを楽しめるVRプレーヤーを内蔵したことだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa