タグ: セキュリティー

月額980円のホームセキュリティ、Secualが総額1億5000万円を調達

Secual(セキュアル)は本日、ベクトルインベスターズクラウドから総額1億5000万円を調達し、各社と資本業務提携を締結したことを発表した。Secualは工事なしで設置可能な住宅のセキュリティー用IoT端末を製作している。先週5月26日には正式出荷を始めた。今回の資本業務提携でSecualはプロダクトのマーケティングに力を入れるとともに、Secualのセキュリティーサービスを賃貸住宅や民泊サービスに導入を進めたい考えだ。今回、Secualの代表取締役社長を務める青柳和洋氏にサービスの仕組みと今後の展望について聞いた。

Secualのセンサーとゲートウェイ

Secualは「センサー」と「ゲートウェイ」の2つのハードウェアを開発し、それらとスマホアプリを連携したセキュリティーサービスを提供している。センサーとゲートウェイは工事なしで手軽に設置することが可能だ。薄い四角い形のセンサーは侵入を検知したい窓やドアにシールで貼り付け、ゲートウェイはコンセントに差し込むだけで良い。あとはゲートウェイの電源ボタンを押すと自動でペアリングが完了する。センサーの大きさは手のひらに収まるくらいの小ささで思っていた以上に薄い印象だった。

app

Secualのアプリ

セキュリティーサービスの初期設定はSecualのアプリから行う。アプリでセキュリティーのオンオフ、センサーが反応する振動の閾値などを設定することができる。セキュリティーをオンにしている時、侵入犯が窓やドアを開けたり、衝撃を与えたりするとセンサーが検知し、ゲートウェイから大音量のアラーム音が鳴る。それと同時に連携しているアプリにも通知が届く仕組みだ。アラームが発動した時に通知するユーザーなどをアプリで設定することができる。

「誰でも利用できるセキュリティーサービスにすることにこだわりました」と青柳氏は話す。通常の自宅のセキュリティーサービスは高額で、専用の機器を取り付けなければならないことも多く、一部の人しか導入できなかったと青柳氏は説明する。Secualの場合、センサーは1個3780円、ゲートウェイは5940円なので、設置するセンサーの数にもよるが初期費用は3万円程度から始められる。月額利用料も980円で一般のセキュリティーサービスの5分の1ほどだという。また端末は工事なしに設置できるので引っ越す時でも簡単に取り外して、引っ越し先でまたすぐに利用することができる。退去時に原状回復の必要がある賃貸物件でも利用可能だ。これにより、従来のセキュリティーサービスを利用しづらかった一人暮らしや若い夫婦の世帯でも導入できるようになると青柳氏は説明する。

Secualの代表取締役社長を務める青柳和洋氏

青柳氏はITコンサルティング会社、大手コンサルティングファームを経てコンサルティングサービスを提供するイグニッション・ポイントを設立した経歴を持つ。Secualはイグニッション・ポイントからスピンオフした会社だ。イグニッション・ポイントでは、最新テクノロジーをどのように経営に役立てるかということに取り組んでいて、自社でもテクノロジーを活用した事業を開発していたという。Secualはそこから誕生したプロダクトと青柳氏は話す。

2015年6月に設立したSecualは同月、ウィルグループインキュベートファンドからシード資金を調達している。2015年8月には、クラウドファンディング・プラットフォームのMakuakeで目標額100万円のクラウドファンディングキャンペーンを行い、開始22時間後には目標額を達成し、最終的に600万円以上を集めることに成功した。2015年12月にはアドベンチャー、AMBITION、その他法人及び個人投資家らから総額6000万円の資金調達を達成している。

今回、資本業務提携を発表したインベスターズクラウドとは、彼らが提携する賃貸物件や民泊サービスとの連携を進める計画だという。インベスターズクラウドはアパート経営プラットフォーム「TATERU」や住宅に設置されているエアコン、照明、インターフォンといったIoT機器をアプリから管理する「TATERU Kit」など不動産分野でサービスを展開している。そういった彼らの事業と連携し、低価格のセキュリティーサービスを普及させたい考えだ。

Secualは今回調達した資金で開発体制の強化にも力を入れる計画だという。高齢世帯向けの見守りや他の事業者と提携して、緊急時には人が駆けつけることができるサービスなどを検討しているという。また、例えばテレビの大雨洪水警報といった情報は全国に一律の情報が放送されるが、Secualは、ゲートウェイからその地域に関係する情報だけを届けるサービスなども考えていると話す。

FBIは銃撃犯のiPhoneをハッキングしたツールの詳細をAppleに開示しない意向

A man walks up the stairs at the Apple Store in Grand Central Station February 25, 2016. Apple has been in a legal fight with the government in the San Bernardino case, where the FBI wants the company to help hacking the iPhone of Syed Farook, a US citizen, who gunned down 14 people with his Pakistani wife Tashfeen Malik in the California city in December. / AFP / Timothy A. CLARY (Photo credit should read TIMOTHY A. CLARY/AFP/Getty Images)

[筆者: Kate Conger]
Wall Street Journalの記事によると、FBIの計画では、San Bernardino銃撃事件の容疑者のiPhoneへのアクセスに用いた方法をAppleに開示しないし、政府による内部的レビューにも提出しない意向だ。

FBIは3月に、Syed Farookが使っていたiPhoneのデータにアクセスできるハッキングツールをサードパーティから購入した、と発表した。Farookと彼の妻はカリフォルニア州San BernardinoのInland Regional Centerにおける銃撃事件で14名を殺した、とされている。FBIが彼のiPhoneに保存されているデータへのアクセスで政府に協力するようAppleに求めて以来、そのデバイスは、今も続いている暗号化をめぐる議論で、やり玉として挙げられるようになった。

Appleは先月のビッグニュースとなった法廷闘争で、捜査官が電話機のパスコードを解読できるような特製のオペレーティングシステムを作れ、というFBIの要求と戦った。しかしFBIがハッキングツールの購入を発表して以来、その衝突は明確な法的裁定がないまま、終了した。

目下FBIは、そのツールの詳細をAppleと共有することを拒否しているが、それがiPhone 5S以降の新機種には使えないことだけを明かした。FBIがどうやってその電話機にアクセスしたのか、その詳細の公開をAppleは公式にはFBIに求めていないが、iPhoneの現在使われている機種にある脆弱性をパッチするためにも、当然、そのツールの仕組みを知りたいだろう。

今月の初めにAppleの弁護士は、Appleは裁判に訴えてまで、政府にSan BernardinoのiPhoneをアンロックした方法の公開を求めることはしない、と述べた。その弁護士によれば、政府が発見した脆弱性が何であれ、それは同社が定期的に行っているセキュリティ改善努力によって修復されるだろう、ということだ。

政府には、セキュリティの問題に関する情報公開を企業に対して行う場合の、ポリシーがいくつかある。しかしVulnerabilities Equities Process〔仮訳: 脆弱性公正化過程〕には守秘原則がある。政府は一般的には脆弱性の公開を支持し、企業が迅速にパッチを当てられるように図るが、悪意あるハッカーに悪用されるおそれのあるものは公開の例外となる。〔参考記事。〕

Wall Street Journalによると、FBIは、ハッキングの方法に関する政府の内部的レビューにおいても、そのツールについて詳しく説明できるほどの知識情報を有していない、と言い張るつもりだ。FBIのディレクターJames Comeyは、彼のお役所がそのツールを入手するために100万ドルあまりを出費した、と明かした。

Apple vs FBI

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Spotifyのログイン情報数百人分がネットに流れる―Spotifyではハックされていないと主張

2016-04-26-spotify-red

Spotifyのログイン情報数百人分がPastebinというサイトに貼らられ、このサービスのセキュリティーが破られのではないかと疑われている。漏洩した情報にはメールアドレス、ユーザー名、パスワード、アカウントの種類、その他の詳細が含まれている。

TechCrunchではランダムに抽出したアドレスにメールを送って調査した結果、これらのユーザーのSpotifyアカウントは実際に数日前にハックされていることを確認した。ただしSpotify側では「われわれはハックされていない。ユーザーデータは安全に保管されている」としている。

それではこのデータはどこから得られたものかという疑問が出る。データは間違いないくSpotifyへのログインに特有の情報であり、たまたまSpotifyにも関連する一般的なウェブ・データではない。

漏洩したアカウント情報はアメリカ国内のものに限られず、世界中いたるところのユーザーが含まれている。

spotify-pastebin

われわれのメールでの問い合わせに対して5、6通の返信があり「最近アカウント情報がリークした」と確認してきた。乗っ取りに気づいたきっかけはいろいろあったようだ。あるユーザーは「自分で追加した覚えのない曲がプレイリストに追加されていた」と回答した。別のユーザーは身元不明の第三者が自分のアカウントを使っていることに気づいた。

匿名を望むあるユーザーは「アカウントは先週ハックされたのだと思う。『最近再生された曲』に自分で聞いた覚えのない曲が追加されていたのに気づいてパスワードを変えて全部のデバイスで〔Spotifyから〕ログアウトした」と語った。

spotify-overview

別の複数のユーザーは曲を聞いている最中にSpotifyが使えなくなり、再度ログインしてみると、メールが自分のものではない不正なアドレスに書き換えられていることを発見したという。

Spotifyをまた使えるようにするためにはカスタマーサービスに連絡して手続きしなければならなかったそうだ。

いずれの場合もユーザーに対してSpotifyからすぐに通知はなく、Spotify側で積極的にパスワードを変更するなどのセキュリティー保護の措置は取られなかったという。

「Spotifyはハックされていないという」という広報担当者の言葉はこれと矛盾する。

Spotifyはハックされておらず、ユーザーデータは安全だ。われわれはPastebinその他のサイトを定期的にチェックしている。もしSpotifyのログイン情報をそのようなサイトで発見した場合、われわれはただちにその真偽を確認し、正しいログイン情報だと分かった場合は対象ユーザーに直ちに通知し、パスワードを変更することになっている。

Spotifyは依然としてアカウントの真偽を確認しているのかもしれない。これは時間がかかる場合がある。

われわれの取材によると、この問題が発生したのは先週のようだ。ただしPastebinの日付は4月23日になっている)(TechCrunchは被害者のプライバシーを守るためにこのサイトへのURLは掲載しない)。【略】

spotify-email-reset

原因がどこにあるにせよ、漏洩したパスワードを使って身元不明の第三者がなぜ実際にSpotifyにログインしてストリーミング・サービスを利用したのかは不明だ。そんなことをすれば本来のユーザーが漏洩に気づくに決まっている。ハッカーはログインデータを本来のユーザーに気づかれないように入手し、よそで売りさばくのが普通だ。それだけに今回の成り行きは理解しがたい。

この件に関してさらに情報が入手でき次第アップデートする。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

オバマ大統領ががMicrosoftやUberの出身者たちを国のサイバーセキュリティー委員会の委員に任命

800px-whitehousesouthfacade

大統領が今日(米国時間4/13)、Committee on Enhancing National Cybersecurity(全国サイバーセキュリティー強化委員会)の委員を任命した。それはほぼ予想通りの顔ぶれで、テクノロジー業界の大物たちと、数名の学者、そしてNSAの元局長だ。え?何だって?

そう、Keith Alexander将軍はNSAの(国民を対象とする)監視機構が大きく肥大していく時期に局長を務めた。彼は、今度の委員会の委員リストのトップに載っている。悪魔はその正体をよく知っておいた方が良い、とは言うけれど、はてさて…。

そのほかの委員は、以下のとおり。肩書は、現在、または最近までのものだ:

  • Annie I. Antón, ジョージア工科大学School of Interactive Computingの学長
  • Ajay Banga, MasterCardの社長兼CEO
  • Steven Chabinsky, CrowdStrikeのCRO(Chief Risk Officer)で法務部長
  • Patrick Gallagher, ピッツバーグ大学の総長でCEO
  • Peter Lee, Microsoft ResearchのCVP(元DARPAの企画担当)
  • Herbert Lin, スタンフォード大学のサイバーポリシーとセキュリティの研究員
  • Heather Murren, 投資家でジョンズホプキンス大学の理事
  • Joe Sullivan, Uber(そして前はFacebook)のCSO(chief security officer)。
  • Maggie Wilderotter, Frontier Communicationsの(長期の)元CEO

では、この委員会は何をするのか? それは、政府のテクノロジー政策の全体をオーバホールしようとするオバマ大統領の大きな政策の一環だ。その計画はCybersecurity National Action Pla(CNAP)と呼ばれ、今年の早い時期に発表された。政府によるCNAPの概要書のトップに、当委員会が強調されている

関連記事

Burr-Feinstein encryption bill is officially here in all its scary glory
After SXSW, here's a roadmap for how the tech industry can change the world this year
(日本語) White House draft policy wants federal agencies to find open source religion

当委員会は、サイバーセキュリティや公共の安全、プライバシー、政府と各種関連機関との連携などについて短期的および長期的な勧告を行う。実行権はなく、一種の顧問団である。

皮肉なことに当委員会の委員が発表された同じ日に、ある法案が提出された。それは、当委員会が有能であれば、まさに彼らの最初の勧告の素材になるであろう。その勧告とは、この法案を地中深く埋めて、映画「ジュラシックパーク」の冒頭で使われていた超音波探査機でも使わなければ、どこにあるのか分からないようにすることだ。しかし、実際にはその必要はないだろう(この法案はガラクタだ)。でも、ちゃんと見張っていた方が良いね。

当委員会の詳しい職務はここに記されている。順調に行けば、最終報告書が今年の12月1日に大統領に提出され、彼にはそれを実装しないための十分な時間が与えられる*。これはもちろんジョークだが、この激しい選挙戦の期間に十分な改革を達成することはほぼ不可能だろう。ただし調査研究のための期間としては十分なので、自分たちの複数の小委員会ぐらいは作れるかもしれない。〔*: 実装しないための十分な時間==実装するためには時間が足りない。〕

定期的な公開ミーティングも計画にはあるから、自分の発言をぜひ彼らに聞かれて記録されてほしい人は、委員会のスケジュールによく注意していよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Bluetooth搭載の小さなセキュリティー・センサーがノートパソコンを見張ってくれる

コーヒーショップで良い席を確保してノートパソコンを広げ、さあこれからひと仕事というときにトイレに行きたくなった。代わりにノートを見張ってくれそうな人物を探してあたりを見回すが適当な候補がいない。では席を諦めるか? 読者もそういう苦境に陥ったことがあるだろうと思う。

MetaSensorのSensor-1は小さなガジェットだが、オーナーの代わりにノートを見張って苦境を救ってくれるはずだ。ノートパソコンがわずかでも動かされるとサイレンを鳴らし、モバイルアプリに通知が行く。

Screen Shot 2016-02-22 at 10.43.16 AM

しかしこのデバイスはノートを見張るだけではない。

ホテルに泊まったときにDo Not Disturbの効果を確実にすることもできる。センサーをドアに取り付けておけばよい。スマートフォンが通信圏外でもサイレンは鳴らすしログも取っている。通信は低消費電力のBluetooth Smartを用いているので通信距離には限界あある。ただしノートやタブレットとペアリングしておけばインターネットを通じてスマートフォンに連絡してくれる。

つまりガレージにセットしておけば、ドアがいつ何回開閉されかが分かる。金庫やロッカーのドアが開かれると通知が来るようにもできる。自転車にセットしておくのにも使えるだろう。

何かが動かされたら、そのことを知りたい場合、Sensor-1を取り付けておけばよい。

sensor1 b

MetaSensorはSensor-1にハイテクを詰め込んでいる。3軸加速度計、ジャイロ、磁力計、RGB LEDライト、それに驚くほど大きな音が出せるサイレンだ。電力供給は標準的な(従ってユーザーが交換できる)コインタイプのバッテリーが使われている。利用法によって違いがあるが、通常、バッテリーは1年程度もつ。3Mの接着パッドがついており、たいていの表面に貼り付けることができる。

DIYマニアやデベロッパーのためにはAPIが用意されている。適切なコーディングをすればBluetooth接続が可能なRaspberry PiやArduinoから、たとえば加工される前のモーション・データを受信できる。

MetaSensorは現在IndieGogoで1ヵ月のキャンペーンを始めたところで、79ドルを投じればセンサー1個を入手できる。MetaSensorはすでに目標の1万ドルを集めている。製造プロセスが万事順調なら最初の製品は今年の10月に出荷されるはずだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

非正規ショップでiPhoneのホームボタンを修理交換した人は、iOS 9を「絶対に」導入しないこと

iphone-6-touch-id

iPhoneのパーツがおかしくなってしまったような場合、非正規の代理店に持ち込む人もいることだろうと思う。ただしホームボタンが壊れた場合は、絶対に正規店に持ち込む必要があるようだ。ガーディアンの記事によると、Appleの導入したTouch ID保護に関わる「Error 53」というエラーにより、たくさんの人がiPhoneを操作できなくなるという事態になっているそうなのだ。このエラーに遭遇すると、iPhoneではあらゆる操作が行えなくなってしまう。

「Error 53」が発生してしまう原因は、iPhoneのホームボタンを非正規ショップで修理交換したことによるものだ。非正規ショップでホームボタンの修理交換を行なったiOSデバイスにiOS 9を導入すると、デバイスは操作不能となり、それを回復する手立てもないという状況になってしまう。

きっと多くの人は、これはAppleが修理代のマージンを取得するために仕込んだことだと考えてしまうことだろう。実はそうした金儲け主義が理由ではない。正規ショップで修理を行うと269ドルないし329ドルの修理代金がかかるが、それは意味のあることなのだ。

AppleがiPhone 5s向けにTouch IDを導入した際、セキュリティのために新しい仕組み構築する必要があった。すなわち指紋データをAppleのサーバーなどに送らない仕組みを実現する必要があったのだ。もちろんiPhoneのローカルストレージに通常のデータとして保存することもできない。iCloudやiTunesバックアップなどにデータを置いておくことも避けなければならなかったのだ。

そこでAppleが構築した仕組みが「Secure Enclave」という仕組みだ。Secure EnclaveとはAシリーズのプロセッサに組み込まれたコプロセッサで、システムへの不正なアクセスを防ぐように設計されている。Secure Enclaveには独自のUID(固有ID)がセットされていて、システムの他の部分からはもちろん、AppleさえもこのIDを知ることはできないようになっている。システムはデバイスの起動時に一時鍵を生成してUIDと関連付けることにより、情報にアクセスすることができるようになる。すなわちSecure Enclave内の情報にアクセスするには、かならずこの一時鍵を利用して行う必要があるのだ。

そしてここまでに記したセキュリティ効果に実効性をもたせるため、Touch IDのセンサーはSecure Enclaveとペアリングされた状態で動作するようになっている。さもなければ、ホームボタンを改造して自前のTouch IDセンサー動作させることで、Secure Enclave内のデータに不正にアクセスできるようになってしまう。たとえばApple Payなどを不正に利用することができるようになってしまうわけだ。

さらにiOS 9ではTouch IDセンサーとSecure Enclaveの結びつきが一層強化され、Touch IDセンサーを正統なものであると認識できなければ、「エラー53」を表示してiPhoneへのアクセスをブロックするようになったのだ。それで、非正規修理店の修理交換したホームボタンが一切動作しなくなってしまったのだ。正規ショップではSecure Enclaveと、新しいホームボタンのペアリング処理も行うようになっていて、それでホームボタン交換後もきちんとiPhoneを動作させることができるようになっている。

もっともらしい話ではある。ただしちょっとおかしなところもあるのではないだろうか。AppleはSecure Enclaveがメインプロセッサーと分離して動作する仕組みを導入している。それであればTouch IDとのペアリングがおかしくなっているときには、Secure Enclaveのデータが必要となる処理のみをブロックすることも可能だったのではないだろうか。あるいはTouch IDの処理を前提としているものの処理を行えなくするようにしてもよいだろう。

しかしたとえばこれまでに撮影した写真や連絡先情報などにまでアクセスできないようにする必要はないのだ。「エラー53」がシステムへのアクセスを拒否する仕組みはまったくひどいもので、ぜひとも再考をお願いしたい。

また、AppleはiOS 9.0へのアップグレード通知を行う際に、この「エラー53」について詳細な情報もあわせて通知すべきだろう。現在用意されているサポートページ程度では不十分だ。iPhoneの利用者には、自分たちが撮りためてきた写真にすらアクセスできなくなる可能性があることを、事前に知る権利があるはずなのだ。これはAppleのためでもあるはずだ。「エラー53」が出る理由を知った人の多くは、Appleが金儲け主義によりサードパーティーのリペアショップを潰そうとしていると考えるはずだからだ。

冒頭にリンクしたガーディアンの記事では、この問題はiPhone 6とiPhone 6 Plusで確認されているとのこと。iPhone 5sやiPhone 6s、あるいはiPhone 6s PlusでもTouch IDセンサーを使っているわけで、条件が一致すれば同様の問題が出てくるものと思われる。Touch IDセンサーを使っているiOSデバイスでは、いずれも同様の問題に遭遇する危険性があるのだ。

Appleからは以下のようなメッセージを受け取っている。

私たちはセキュリティを非常に重大なものと考えています。そうであってこそ、お客様をさまざまな危険から守ることができると考えているのです。そうした考えから、iOSはiPhoneやiPadに搭載されているTouch IDがオリジナルのものであるのかどうかをチェックしています。もし正しくない方法でTouch IDセンサーが交換されていることを検知した場合、Apple PayなどのTouch ID関連サービスを利用することはできなくなります。Touch IDセンサーを不正に利用するのを防ぐためには、どうしても必要なチェックルーチンであると考えています。「エラー53」に遭遇した利用者の方々には、Apple Supportに連絡していただきたいと考えております。

原文へ

(翻訳:Maeda, H

Facebookでのメッセージのやり取りを、リアルタイムで暗号化するCrypter

img_05293

あなたがエドワード・スノーデンだったとしよう。ガーディアンのレポーターとメッセージング経由で情報を送りたくなったときにどうするか。あるいは、モスクワに見つけたCIAによってタリウムを盛られる心配がない喫茶店の情報を共有しようとする際に使えるサービスはあるだろうか。使える手段がFacebookしかないというような状況だったとすると、事態は完全に絶望的となってしまうだろうか。

そのような際に使えるのがCrypterだ。開発したのはサセックス大学の学生であるMax Mitchellだ。Facebookメッセンジャー経由で暗号化したメッセージのやり取りを可能とする。ChromeおよびFirefox版の拡張機能として動作し、事前に定めたパスワードを利用して、やりとりするメッセージの暗号化/復号化をリアルタイムで行う。

「やっつけられない対象を相手に喧嘩すべきではない、という発想でCrypterを作りました」とMitchellは言う。「Facebookという超メジャーなプラットフォームがあるなかで、独自のチャットプラットフォームを立ち上げることなどすべきではないと思ったのです。多くの人の習慣に逆らっても無駄なだけです」。

「Facebookを通じてメッセージのやり取りをする間、このCrypterは自らの姿を表に出すことなく、もくもくと仕事を続けるのです」とのこと。

まだ少々バグが残っているようにも思える。極秘メッセージのやり取りを担わせるのは、まだ若干の不安があるかもしれない。しかし友人などと実際の動作の様子を試してみるのは面白いかもしれない。暗号化/復号化の手間を意識しない、プラグイン形式の実装はなかなか面白いものだと思う。セキュリティに強いとは思えないFacebookが舞台であるのでなおさらだ。さまざまな面倒を嫌いつつ、しかし安全なメッセージのやりとりをしたいと考えている人も多いことだろう。友人と極秘レシピの交換をしたり、あるいはレポーターと命に関わる情報のやり取りをすることも可能となったのかもしれない。


 

原文へ

(翻訳:Maeda, H

Google、アプリケーションからGoogle DriveにバックアップするAPIを公開。早速WhatsAppが対応へ

google_drive

スマートフォンをバスタブなど水の中に落としてしまったとき、まず気になるのが「バックアップはしてあっただろうか」ということだ。とくに気になるのが、頻繁にやりとりするメッセージのバックアップをきちんと行なっていたかどうかだ。大事な情報をいろいろとやりとりしていて、これが失われるかと思うとぞっとしてしまう。

こうした危惧も杞憂となる日がやってきたようだ。Google DriveはバックアップするためのAPIを提供し、それをまずWhatsAppにて提供することとしたのだ。これは数ヶ月にわたって順次公開されていく予定であるそうだ。この機能を使えば、WhatsApp上でやり取りしたコンテンツがGoogle Driveに自動的にバックアップされることとなる。Android上でWhatsAppを使っている人にとっては朗報だろう。

drive_whatsapp_n6_double

データをスマートフォンの上にだけおいておいて安心する人はいないでしょう(壊れてしまう可能性だってあります)。その心配に対処するため、WhatsApp for Androidにコンテンツのバックアップ機能を加えました。やりとりしたチャット、ボイスメッセージ、写真、そしてビデオがGoogle Driveにバックアップされるようになります。バックアップしておけば、端末を変更しても簡単にコンテンツを復活させることができます。

今回アナウンスしたバックアップ機能は、数ヶ月のうちに順次公開していく予定となっています。新版がリリースされた際には設定メニューをチェックしてみてください。今回のアップデートの詳細については、Help Centerなどにも記載しています。また自作アプリケーションにGoogle Driveへのバックカップ機能を搭載しようかと考えている方は、開発者向けサイトのチェックもお願いします。

quote_whatsapp

これからもGoogle Driveへのバックアップ機能を搭載するアプリケーションは増えていくことだろう。やりとりするビデオ、写真、住所情報や大切な数字などを手軽に保存しておきたいと考えている人も多いはずなのだ。10〜12のアプリケーションがすぐにも対応を始めるのではないだろうか。

Androidオンリーであるという点と、写真やビデオが自動的にGoogle Photoに展開されないという点に不満を感じはする。ただ機能は徐々に改善されていくのだろう。API側からどのコンテンツをどこにバックアップするという制御ができるようにもなるかもしれない。iOS版では今のところこの機能を利用する方法はない。

Google Driveへのバックアップ機能を実装する方法については、冒頭にも記載したこちらの記事からチェックすることができる。

原文へ

(翻訳:Maeda, H

GoogleとSamsung、Androidのセキュリティー・アップデートをセルラー網で(OTA)毎月配信へ

2015-08-06-android

今日(米国時間8/5)、Samsungは今後Androidデバイス向けのセキュリティー・パッチを「毎月1回程度」リリースしていくことを 発表した。 Samsungに加えてGoogleもNexusデバイスについて同様の発表を行った。Samsung、Google共に、このセキュリティー・パッチをセルラー無線網を通じて(OTA)配布する。

現在、GoogleはAndroidメーカーに対して毎月セキュリティー・アップデートを提供している。しかしこれらのパッチが各メーカーのアップデートとしてユーザーに届くまでには非常に長い時間がかかていた。今後、NexusとSamsungのユーザーはセキュリティー・アップデートを入手するまでの時間が大幅に短縮される。またGoogleはAndroidオープン・ソース・プロジェクトを通じてこれらのパッチを公開していくという。

Googleの最初のOTAアップデートは最近発見された致命的なlibStageFright脆弱性を改修する。この脆弱性はビデオメッセージを送りつけるだけでAndroidデバイスをリモートで乗っ取ることができるため強い懸念を呼んでいる。

OTAでセキュリティー・アップデートを受け取れるNexusデバイスは、Nexus 4、Nexus 5、Nexus 6、Nexus 7、Nexus 9、Nexus 10、Nexus Playerだ。最初のアップデートは今日から公開が開始される。

Googleによれば、Nexusデバイスに対してOSのメジャー・アップデートを提供する期間は2年、セキュリティー・パッチを提供する期間は「デバイスの一般公開から3年、またはGoogle Storeでの販売が終了してから18ヶ月」だということだ。

一方、Samsungのプログラムはまだ具体的な内容が不明だ。Samsungによれば、「われわれは現在キャリヤ、パートナーと協議中であり、近く具体的な内容、時期を発表する」とのこと。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Google、セーフ・ブラウジングを強化―Chromeのマルウェア警告表示がさらに増える

2015-07-17-safebrowsing

ウェブサーフィンしているときに「このサイトには有害なプログラムが含まれています」というChromeの警告表示を見た読者も多いだろう。これはGoogleのセーフ・ブラウジング機能によるものだ。Googleでは今後数週間かけてこのサービスに数多くの改良を加える予定だという。

Googleはマルウェアのインストールやフィッシング攻撃を企んでいるサイトを発見するテクノロジーをさらに強化したという。これにともなって、警告がこれまでより頻繁に表示されるようになる。

ここ数ヶ月、Googleはユーザーが気付かないうちにインストールされウェブページに勝手に広告を表示するアド・インジェクターの退治に力を注いできた。アド・インジェクターは単に広告を挿入するだけでなく、各種のマルウェアの運び屋としても機能する。セーフ・ブラウジングはユーザーがアド・インジェクターを含むサイトを訪問しようとしたときに警告を発し、インストールを防止できるようにすることを目標としていた。

今年5月Googleは「Chromeおよび FirefoxとSafariのセーフ・ブラウジング機能によって毎日500万回の警告が表示され、5万のマルウェアを含むサイト、9万のフィッシング攻撃を企むサイトが発見されている」と発表している。また6月の最終週には約1500万人のユーザーにこの警告が表示されたという。しかしGoogleがセーフ・ブラウジングを強化したというからには、警告が表示されるユーザーの数もさらに増えることになるだろう。

Googleのセーフ・ブラウジングのページには最新の統計が載っている

[原文へ]

(翻訳:滑川海彦@Facebook Google+

オンラインアカウントの異常ログイン(ハッキング)を検知するLogDogアプリケーション

screen-shot-2015-07-16-at-13-22-32

いろいろと行われている調査によっては、4人に1人がオンラインアカウントのハッキング被害にあったことがあると答えているのだそうだ。このアカウントハッキングに対応しようとするのが、イスラエル発のスタートアップであるLogDogだ。モバイルアプリケーション(現在はAndroid版のみ。間もなくiOS版も登場予定であるとのこと)を通じて、本人によるものではないらしく思えるログインや、あるいは失敗したログインについての情報をモニタリングするものだ。

情報収集のため、このアプリケーションは通常のログイン情報を収集する。すなわちログインを行う場所、時間、および利用しているデバイスなどの情報を蓄積しておくのだ。そしていつもと違うログインアクティビティが発生した場合に、アプリケーション利用者に対して通知するようになっている。

技術的な話をすれば、ログイン情報の収集はアプリケーションにログイン権限を与えることで行われるようになる。対応しているアカウントはFacebook、Dropbox、Gmail、Evernote、Yahoo!、およびTwitterだ。これらサービスのアカウントについてモニタリングするように指定すると、疑わしいログイン行動を見破るために、継続的に情報収集を行うようになる。尚、疑わしいアクションについてレポートをあげてくるようになるまで、このLogDogアプリケーションは7日間の「訓練期間」を必要とする。その間で日常的な利用状況についての情報を集めるわけだ。

と、ここまで読んで疑問に思った人も多いに違いない。そのような情報管理なら、既に多くのアプリケーションそれぞれで行われているのではないか、と考える人も多いだろう。もちろんその意見は正しい。ただしLogDogにおいては複数サービスからの情報を集約することで、より精密に情報を判断することができるようになっているのだ。

たとえばイギリスおよびドイツからGmailを利用する利用者がいたとしよう。この場合、どちらの国からアクセスがあっても「怪しい」とは判断されないことになる。しかし同日ほぼ同時刻にGmailをロンドンから利用し、そしてFacebookをベルリンから利用するというのは不可能な話だ。単独サービスの利用状況からではわからない情報も、複数アカウントの利用状況から判断することで厳密に判断できるようになったりもするのだ。Gmailを他人のパソコンから利用してそのままにしてしまった場合も、同時アクセスをあやしい行動であると判断するLogDogによって、自らの対処方法を考えることができるようになる。

LogDogはR&Dのための予算を組み、さらなる機能を実現するために350万ドルの資金を調達している。このラウンドをリードしたのはBRM Groupで、これまでに資金を提供しているTheTime VC、FirstTime Ventures、Maxfield Capital、およびCurious Minds Investmentsなども引き続き資金を投入している。

現在のところLogDogは無料で利用できる。しかし追加機能やプレミアムサポートをを有料化していきたいとも考えているのだそうだ。

原文へ

(翻訳:Maeda, H

致命的脆弱性の発見でFirefoxがFlashを一時的にブロック中―Adobeのパッチをインストールすれば復活

2015-07-15-firefoxflash

Hacking Teamの情報リークはAdobeにとって大きな打撃となった。このリークでインターネットに遍在する(そして遍在的に嫌われている)Flash Playerに致命的な脆弱性が2つあることが明らかになった。これに対してMozillaは一時的にFirefoxのFlashプラグインを無効化した。

Adobeは今日(米国時間7/14)、脆弱性を修正するパッチを当てたFlashを発表した。Firefoxのユーザーは(もしまたFashを表示したいなら)、このパッチをダウンロードし手動でFlashをアップデートする必要がある。〔日本語版:Chromeの場合、Flashプラグインは自動でアップデートされる〕

今回のパッチはHacking Teamのリーク関連で今週2度目となるFlash Playerへのパッチだ。.

最近はAdobe自身がFlashを嫌っているのは公然の秘密だ。Flashはウェブの黎明時代にはそれなりの役割を果たしたが、HTML5その他のウェブ標準が整備されるにつれて、デベロッパーは非効率でセキュリティー上の問題を抱えるFlashプラグインに次第に頼らなくなっている。GoogleのYouTubeはすでにFlashではなくHTML5を標準として採用しているし、Chromeはウェブページ中で重要性の低いFlashコンテンツの自動再生をブロックするようになった。

Facebookの最高セキュリティー責任者のAlex Stamosが数日前に言ったように、ウェブはFlashがないほうがなにかと面倒がなくてすむ。AdobeはそろそろFlashを終了させる時期を決めた方がいいだろう。

[原文へ]

(翻訳:滑川海彦@Facebook <A href="https://plus.googl

Googleの先進研究チーム、ATAPがパスワードを永久に追放する認証手法を開発か

2015-05-30-googleatap

今日(米国時間5/29)、Googleの先進技術研究ユニット、ATAP(Advanced Technology and Projects=元Motorolaの研究部門)は、現在サンフランシスコで開催中のI/Oデベロッパー・カンファレンスで、モバイル・デバイスにおいてユーザーのタイプ入力のパターンその他の情報から正しいユーザーであることを認証する技術を開発sしていると発表した。これが実用化されればパスワードは不要になるという。

このプロジェクトはユーザーがPIN番号やパスワードをいちいち入力する煩わしさを省くことが目的だ。新しい認証システムは一日中連続的にユーザーの行動をモニタし、さまざまな情報を総合して真正なユーザーであることを確認し続けるという。

google-io-2015-atap0068

ATAPの開発チームの責任者、Regina Duganの今日の説明によれば、 この課題の解決に向けて調査を始めたとき、既存の学術研究では4桁のPIN番号入力のレベルに達する代替策さえみつからなかったという。

そこでGoogleは多数の大学に協力を求め、16の大学から25人の専門家を集めて90日の短期集中研究を実施した。チームは1500人のボランティアから日々のデバイス操作データの提供を受けた。その結果、新システムは指紋認証の10倍の精度でユーザー認証を行えるようになったという。

これが事実なら、モバイルセキュリティーにおける一大進歩だ。現在の各種のセキュリティー・メカニズムを一挙に置き換える可能性がある(もちろんモバイル・バンキングなどの場合、多くのユーザーは依然として2段階認証が必要だと考えるだろうが)。新しい認証システムはハードウェアを必要とせず、すべてソフトウェアだけで実行可能であるので、ATAPでは近い将来、何千万ものAndroidデバイスに導入されることを期待している。

google-io-2015-atap0066

[原文へ]

(翻訳:滑川海彦@Facebook Google+

「秘密の質問」はセキュリティ対策として(やっぱり)役立たずであるらしい

500995147_6c97aab488_o

一番好きな食べ物はなんですか? 最初の先生の名前はなんといいましたか? 最初に飼ったペットの名前は? こうした質問をみて「ああ、例のあれね」と思い当たる人が多いことだろう。何かのオンラインサービスに登録するときに、セキュリティ対策のひとつとして定型的な質問と、そしてそれに対する回答を「セキュリティキー」として使うことが多いのだ。ただ、Googleの最近の調査によれば、「秘密の質問」とそれに対する答えは、どうやらセキュリティ目的として有効ではないらしい。

Googleの利用者が、秘密の質問を使ってアカウントの回復をしようとするケースにつき数億件の例につき調査してみたそうだ。調査結果をひとことでまとめれば、「秘密の質問は十分に秘密でもないし、またアカウントリカバリーのための方法としても十分に機能しない」ということのようだ。覚えやすすぎるもので、第三者も簡単に推測できたり、あるいは覚えにくいものは、いざという場面では本人すら忘れているということになりがちだとのこと。望まれる「適度なセキュリティ」を実現する役には立っていない様子。

たとえば、英語国のひとたちが「好きな食べ物」に登録するのは「ピザ」であるケースが多いのだ(Google利用者のうち20%が「ピザ」を指定している)。10回の回答が許されるなら、スペイン語圏の利用者の、父親のミドルネームも21%の確率で正解することができる。また多くの人口が大都市に集中しているような国(たとえば韓国)では、生地を応えるのも簡単なこととなる。

Screenshot 2015-05-20 at 19.17.13

また、回答に嘘の情報を記載する利用者も多い(37%)ようだ。たとえば「電話番号はなんですか」という質問と「マイレージ会員番号はなんですか」という質問の双方に、同じ番号を設定している人もいるらしい。もちろん現実的には、この両者が一致する可能性などあり得ない。

さらに、アメリカの英語利用者のうち40%が、自分の設定した回答を思い出せないでいるようだ。たとえば「マイレージ会員番号はなんですか」という質問に対し、正しく回答する人の率は9%なのだそうだ。

「秘密の質問」が、往々にして簡単すぎるセキュリティ基準となってしまうのであれば、複数の質問をクリアしなければならないようにするというのが考えられる対応策となるだろう。これによりアタックを回避できる確率は確かに上がるはずだ。ただし、正規の利用者が正しい答えを忘れてしまう確率もまた上がってしまうのだ。

Googleは、SMSを介したバックアップコードの利用や、セカンダリーメールアドレスの活用などで、利用者の認証をすべきだろうと結論している。「秘密の質問」方式は、どうしても他の手段を取り得ない場合に使用すべきだとのことだ。

原文へ

(翻訳:Maeda, H

朗報! カスペルスキーがランサムウェア、CoinVaultに暗号化されたファイルを取り戻すツールをリリース

2015-04-16-kaspersky

アンチウィルス・メーカーのカスペルスキーがCoinVaultの被害者を助けるツールをリリースした。CoinVaultはいわゆるランサムウェアの一種で、ユーザーのローカル・ファイルを勝手に暗号化し、復号化のためにbitcoinでの支払いを要求する卑劣なマルウェアだ。

このマルウェアの動作は詳細に解明されており、事前に発見して被害を予防するデータも得られている。しかも、さいわいなことに、今回この暗号化を破る方法yが発見された。

CoinVaultで暗号化されてしまったファイルの復号化のためにはCoinVaultに付属しているbitcoinワレットをNoRansom.Kaspersky.comに送るだけでよい。これでファイルが復号化される。簡単だ。

まったくランサムウェアというのは嫌らしい存在で、こんなものを作って金儲けしようという連中も最低だ。こうした被害に合わないためには次の3か条のルールを守る必要がある。1:コンピュータをバックアップすること。 2:コンピュータをいつもバックアップすること。3:コンピュータを本当にいつもバックアップしておくこと。

お分かりだろうか?

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Lenovo曰く、同梱していたアドウェアは1月の段階で動作/プレインストールを停止済み

Lenovoから、全世界を駆け巡ったSuperfishのニュースについてのコメントがあった。Superfishとは、LenovoのウィンドウズPCにプレインストールされていたアドウェアだ。LenovoのスポークスパーソンであるBrion Tingler曰く、このSuperfishは1月の時点でサーバーサイドにて完全に動作を停止しているとのこと。また、出荷PCへのプレインストールも1月に中止したとのことだ。今後もSuperfishをプレインストールすることはしないとも話している。

TinglerがTechCrunchに語ったところによれば、LenovoがSuperfishを採用していた期間はごく短期間であったようだ。Superfishを導入した目的は、利用者のショッピングセッションの手助けをするためであったと話している。

「10月から12月にかけての間、ノートPCにSuperfishをプレインストールして販売していました。これはショッピング時に、興味を持ちそうなプロダクトを探す手伝いをする目的で導入したものです」と説明している。「ただ、利用者からの評判は芳しくなく、これに応じて直ちにプレインストールを停止したのです」。

Lenovo社内のテストによれば、Superfishを機能停止させることでセキュリティ問題は解決しているはずであるとのこと。Tinglerは次のようにも語っている。

Superfishは画像のコンテクスト判断に基づいて処理を行なっているだけであり、利用者の行動を収集分析するようなことはしていません。利用者情報の蓄積も行なっていませんし、利用者を特定する仕組みももっていません。トラッキングやターゲティングしたりする機能も持っていないのです。情報はセッション毎に破棄されてもいます。Superfishの機能を利用するかどうかも利用者の判断に任されています。Superfishにより利益をあげようという目的はなく、利用者に便利な機能を提供しようという判断で同梱していました。結局、Superfishが私たちの目的にそぐわないことが判明しました。そこで私たちも直ちにソフトウェアの動作を停止し、またプレインストールをやめる判断を行ったのです。

依然として不安を感じる利用者のため、Lenovoはフォーラムにおけるサポートを行なっていくようだ。何か疑問があったり、あるいは知識を得ようとする人は、フォーラムの方で新しい情報を見つけることができるだろう。

The Next Webが報じてから、ブラウザに勝手に広告を表示するSuperfish関連のニュースが全世界を駆け巡ることとなった。このSuperfishの実装方法は、マルウェアが用いる中間車攻撃(man-in-the-middle attacks)と同様のものであるとされている。

原文へ

(翻訳:Maeda, H


Facebookで写真を勝手に削除できる致命的バグ発見(修整済)―バックアップをお忘れなく

さて読者の皆さんはFacebookに何枚くらい写真を保存しているだろうか? そのうちで安全にバックアップされているのは何枚くらいだろうか?

先ほど明らかになったFacebookのバグは、攻撃者に多少の知識さえあれば、他のユーザーのアルバムを好き勝手に削除できるという致命的なものだった。

幸いなことに、このバグの発見者(インド在住のLaxman Muthiyah)はただちにFacebookに通報した。その結果、バグ通報報奨金として1万2500ドルを得たという。もちろんこのバグが放置されていたら生じたであろうFacebookの大損害に比べれば1万2500ドルは安すぎだが、報奨金システムというのはそういうものでやむを得ない。

いずれにせよFacebookは大急ぎで―正確には2時間ほどでバグを修整した。

Laxmanはバグの詳細をこちらで公開しているが、一言でいえば、Facebookの Graph APIがリクエストの処理にあたってユーザー認証を怠っていたのが原因だった。誰かが他人のアカウントのアルバムを削除するリクエストを送信するとGraph APIは送信者が誰かを確かめず無条件にリクエストを実行してしまう。

攻撃者のアルバム削除リクエストはたとえばこんな感じだ。

Request :-
DELETE /[相手の写真アルバムID] HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=[Your(Attacker)_Facebook_for_Android_Access_Token]

犠牲者の側からみると、アルバムはある瞬間に突如消えることになる。

あまりにも単純なバグだ。こんなリクエストが通るわけがないと普通思うが、実は通ってしまう。ひどい初歩的なミスだった。

一歩間違えれば大惨事が引き起こされていたところだ。Sophos Securityによれば、Facebookの写真アルバムは単純なシーケンシャルな数値IDで管理されているという。ハッカーが簡単なスクリプトを書いて、適当な数値から始めてIDが順次増加していくようにして削除リクエストを送り続けたら、Facebookが異常に気づく前に大量のアルバムが消去されてしまったことだろう。

注意を喚起しておきたいが、Facebookは決してバックアップドライブではない。今回は助かったが、Facebookのコードに別のエラーがあれば、あなたの写真は煙のように消えかねない。大切な写真は別途安全な場所にバックアップしておこう。

画像: mkhmarketing/Flickr UNDER A CC BY 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+


やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ

理想としては、Webサイトへの接続はすべて、HTTPSによるセキュアな接続であるべきだ。そうすれば、空港やコーヒーショップなどで一般に公開されているネットワークを使っていても閲覧内容を覗き見されるおそれがない。でも現実には、小さなWebサイトの多くがこの種のセキュアな接続を提供していない。HTTPS接続に必要な公開鍵の証明を得るための手続きが、相当面倒だからだ。料金も安くない。

でも、このままでよいわけではない。もうじき、MozillaとCisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、およびミシガン大学の研究者たちが作った研究グループInternet Security Research Groupが、Webのドメインを持っている者なら誰もが無料で利用できる証明機関を創設する。サービスの供用開始は、来年の夏を予定している。

今日(米国時間11/18)、EFFは次のように述べている: “HTTPS(およびTLS/SSLのそのほかの利用)は、現状では恐ろしいほどの複雑さと、構造的に機能不全な、認証をめぐる官僚主義に支配されている”。

Let’s Encryptと呼ばれるこのプロジェクトは、証明が無料で得られるだけでなく、できるかぎりそれが容易簡単であることを目指す。どんなサイトでも、たった二つのシンプルなシェルコマンドでHTTPSを有効化できるようにする。証明の発行や取り消しはすべてパブリック(一般公開)とし、そのプロトコルをオープンスタンダードにすることによって、他の証明機関もそれを採用できるようにする。

このサービスをテストしてみたいデベロッパは、GitHubでそのコードを見られるが、それはまだ本番利用用ではないから、その警告を無視して実際に使おうとすると、大量の警告を食らった挙句に、自分のサイトすら見られない結果になるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Apple Payのライバル、大手チェーン店の支払システムCurrentCからメールアドレスが漏洩

Walmart、Best Buy、GAPを始めとする大手チェーン店が構成するMCX(Merchant Customer Exchange)コンソーシアムは、Apple Payのライバルとなるモバイル店頭支払システム、CurrentCの普及を推進している。そのCurrentCのシステムからデータが流出したことが判明した。TechCrunchの取材に対して、CurrentCは盗まれたのはユーザーのメールアドレスの一部で、CurrentCモバイル・アプリ自体は影響を受けていないことを確認した。

MCXの広報担当者によれば、過去36時間の間に、CurrentCのパイロット・プログラムの参加者や参加に興味を示した者のメールアドレスの一部に許可を受けない何者かがアクセスしたという。同グループは漏洩があった相手に対して直ちにその事実を連絡した。.

現時点では漏洩したのはメールアドレスだけで、購入履歴、住所、電話番号など、より重要な個人情報は無事だという。Targetの場合、こうした個人情報が網羅的に漏洩して大問題となった。また今回MCXから漏洩したメールアドレスの多くはテスト用のダミー・アカウントだった。

しかしMCXは状況をさらに詳しく調査して漏洩の原因を特定するとしている。

ダミー・アカウントが多数混じっていることを考えれば漏洩がフィッシング攻撃によるものでないのは明らかだ。フィッシングであれば、何らかの方法でユーザーを誘導し、偽のアカウントにアクセスさせる必要がある。当然ながらダミー・アカウントではそのようなアクセスをさせることはできない。

CurrentCを推進しているMCXはアメリカの50以上の大手小売業者によるコンソーシアムで、モバイルデバイスを利用した店頭支払システムの開発と普及に努めている。参加小売業者は、モバイル支払システムをApple Payのようなサードパーティーの手に委ねず、自ら独自のシステムを構築することを目指している。MCXはこれにより顧客の消費行動に関する情報を直接入手し、将来のマーケティングに効果的に利用できる。.

店頭でQRコードをスキャンするCurrrentCアプリはすでにApp Storeに登録ずみだが、全体としてApple Payほど洗練されたシステムではない。もっともStarbucksはQRコードシステムである程度の成功を収めている。QRコードはApple Payのように単一のプラットフォームに拘束されないので、小売業者には魅力がある(CurrentCの詳しい情報はこちら

最近、MCXは店頭における既存のNFC端末の運用を打ち切ったことで話題となった(この点についてさきほどMCXは「ユーザーの要望があれば将来NFCにピボットする可能性はある」と発表した)。

過去数ヶ月の間に、TargetHome Depot,、 Nieman MarcusStaples、P.F. Chang’s、Supervaluなど大規模なデータ漏えいが続き、消費者は小売チェーンのデータ管理能力に疑いの目を向けるようになっている。今回のCurrentCの情報漏洩は深刻なものではないが、消費者の信頼を回復するための方策が必要になるだろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


ユーザの本人性を隠すWeb閲覧サービスを提供するZenMateが$3.2M(シリーズA)を調達

技術知識があってプライバシーを気にする消費者が増えるに伴って、VCたちも、さまざまなプライバシー関連のスタートアップに着目するようになった。ここでご紹介するZenMateは、ユーザのブラウザから各Webサイトへ行く情報をIPアドレスも含めてすべて暗号化し、ユーザのプライバシーを誰も嗅ぎ取れないようにする。

ベルリンで起業した同社は最近、Holtzbrinck Venturesが率いるシリーズAのラウンドで320万ドルの資金を獲得した。これには既存の投資家Project A Venturesと、新たな投資家Shortcut VenturesとT-Ventureが参加した。後二者はドイツのモバイルキャリアE-PlusやDeutsche Telekomとコネがあるので、同社の今後のさらなるモバイル進出がより便利にできそうだ。同社はこの前、2013年10月に、130万ドルを調達している。

デスクトップのブラウザChrome、OperaおよびFirefoxと、iOSとAndroidのモバイルアプリをカバーするZenMateのプライバシーとセキュリティのサービスは、ユーザのブラウザからのデータや情報を完全に暗号化して自己のサーバネットワークから目的サイトに送るという、VPN的な通信技術だ。これによりプライバシーとセキュリティが確保されるだけでなく、ユーザの居住国でブロックされているサイトやサービスにアクセスできる、というアドバンテージもある。

このような消費者向けのVPNサービスは、ユーザの居住国が限定されているサイト(たとえばNetflixならアメリカ合衆国)を外国の人が利用するためによく利用されている。同じ意味で、BBCのiPlayerにイギリス人以外の人たちがアクセスするためにも、利用されるだろう。

1年半前にローンチしたZenMateは、ユーザ数が500万に達している(最初の6か月で100万を達成)。主要マーケットは合衆国とイギリスとドイツで、サービスのデスクトップバージョンは利用回数等の制限なく無料だ。モバイルバージョンは、500MBまで無料、それ以上は有料で、データ圧縮や有害サイトのブロックといった機能がつく。

同社と類似のサービスに、Privax(Hide My Ass)、AnchorFree(Hotspot Shield)、TunnelBearCyberGhostなどがすでにある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))