クラブハウスで「保護されたプロフィール」設定が利用できるように

Clubhouse(クラブハウス)は米国時間3月30日、ユーザーがフォロワーとして承認した人にのみ、自分の完全なプロフィールを公開できる保護プロフィール設定を開始すると発表した。この変更は、ロシアがウクライナに侵攻を続けていることを受け、プラットフォーム上でユーザーを保護し続けるために実施される。

「この時代に当社が世界中の人々がつながるための場となっていることに感謝していますが、紛争や激動の時代にあっては、あなたのオンラインプレゼンスとあなたが共有するものに注意することがますます重要になることも知っています」と同社はブログ投稿で述べた。

保護されたプロフィール機能は、アプリの設定でオンに切り替えられる。オンにすると、フォロワーを承認することができるようになる。あなたのフォロワーだけがあなたのプロフィール上のroom、クラブ、リプレイを見ることができるとClubhouseは説明する。また、この設定により、Clubhouse上では一般的にあなたは目にされにくくなる。あなたがフォロワーとして承認していないユーザーはあなたがオンラインになったときに見ることができず、あなたが知らない人があなたをフォローすることを勧めない、と同社は話す。

この新機能は、Clubhouseが戦争に反対するロシアの市民が協調するためのプラットフォームとなった一方で、ロシアのプロパガンダの本拠地にもなっていることを受けてのものだ。ロシアはInstagram(インスタグラム)とFacebook(フェイスブック)をブロックしたため、同国の人々はさまざまなコミュニケーション方法を探しており、その1つがClubhouseだ。

今日の発表と同時に、Clubhouseは紛争時にユーザーがソーシャルオーディオプラットフォーム上でどのように身を守ることができるかのヒントも提供した。同社は、ウクライナのユーザーに対して、音声を録音できるリプレイ機能をデフォルトでオフにしたものの、サードパーティのアプリやデバイスを使って同意なしにコンテンツを録音し、共有することが可能だと指摘している。口頭とプロフィールの両方で共有する情報については慎重になるようにも呼びかけている。同社はまた、自分の発言や共有内容に気を配ることは重要である一方で、自分の声が識別子になり得ることも忘れてはならないと指摘している。

画像クレジット:NurPhoto / Contributor / Getty Images

原文へ

(文:Aisha Malik、翻訳:Nariko Mizoguchi

セキュリティが強化されたエンタープライズ向けブラウザのIslandが約140億円調達

ダラスのIslandは、エンタープライズのための安全なブラウザを開発している。同社はこのほどシリーズBで1億1500万ドル(約140億円)を調達した。それは同社が最初の資金調達として1億ドル(約121億円)を獲得して、ステルスを脱してからわずか数週間後のことだが、同社の評価額は13億ドル(約1579億円)に達していた。

この驚くべきスピードの資金調達は、これまでのリード投資家であるInsight Partnersが主導し、ニューヨークに拠点を置くベンチャーキャピタルが12番目の旗艦ファンドとして200億ドル(約2兆4287億円)以上を調達したわずか数週間後に行われたものだ

2020年に創業されたIslandは、Chromiumをベースとして、エンタープライズ向けにセキュリティを強化したブラウザを作っている。そのエンタープライズブラウザはコピー&ペーストやスクリーンショットなどの機能を無効にして、重要なデータが企業の外へ出ないようにし、契約社員や自機持ち込み労働者にも安全なアクセスを提供する。さらにそのブラウザは、ウェブのフィルタリングや隔離、エクスプロイト防止、スマートネットワークルーティング、ゼロトラストアクセスなど独自のセキュリティ機能を揃えている。

IslandのCEOであるMichael Fey(マイケル・フェイ)氏はTechCrunchに「今回の投資は2月にローンチして以降の『極めて幸運な』需要の結果だ」と語っている。

「私たちのチームは、いろいろな分野と規模の企業や組織のセキュリティに貢献できました。それは、市場のニーズとプロダクトのスケーラビリティ、それら両方のおかげでありとても感謝している。今度の調達に最初の投資家たちが参加していることは、顧客の間での評判がとても良いことを彼らが実際に見聞きしていることを物語っている。このような活気ある投資は、私たちにスケールとイノベーションを可能にし、もっと多くの顧客の問題を解決して、私たちをこの分野のトップに押し上げるだろう」とフェイ氏はいう。

「エンタープライズブラウザを立ち上げるという私たちのミッションは、ステルスを脱したときから、セキュリティのプロフェッショナルたちに価値をご提供することだった。その目標を、こんなに短い時間で達成できたことは、とてもエキサイティングです」。

この巨額な調達はStripesやSequoia Capitalなど既存の投資家も支えており、またサイバーセキュリティへのVCの投資が記録的だった年の続きでもある。Momentum Cyberの最近のデータによると、サイバーセキュリティのスタートアップは2021年に295億ドル(約3兆5841億円)という「記録破りの」額のベンチャー資本を調達し、2020年の120億ドル(約1兆4579億円)の倍を超え、2年分を合わせた額よりも大きくなった。

関連記事:元Symantec・McAfee幹部によるIsland、セキュリティ重視のエンタープライズ向けブラウザで脱ステルス

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

セキュリティを強化した企業や政府機関向け新型AndroidスマホをブラジルのSikurが発表

BlackBerry(ブラックベリー)が企業の携帯電話として使われていたのは、今からもう何年も前のこと。タッチスクリーン式電話や「BYOD(Bring Your Own Device)」の流れが、そのすべてに終止符を打った。しかし、セキュリティに平均以上の懸念を持つ企業や政府機関に向けた専用モバイルハードウェアというコンセプトは、技術史の中に過ぎ去ってしまったわけではない。

ブラジルのソフトウェア企業であるSikur(シクール)は、2015年に「GranitePhone(グラナイトフォン)」というブランドで情報流出防止 / セキュリティ強固版のAndroidを搭載したスマートフォンをリリースして以来、このコンセプトを推し進めてきた。2018年には「SikurPhone(シクールフォン)」がその後を継いだ。

そして現在、同社はMobile World Congress 2022(モバイルワールドコングレス2022)で、セキュリティ強化を「保証済み」の新しいAndroid端末を発表した。これには「Sikur One(シクール・ワン)」というやや誤解を招きそうな(しかし、ある種の層に向けたマーケティングだと思われる)名称が付けられている。

この端末は「防御力を高め、機密情報を根源で暗号化する」と宣伝されている「Sikurのエンジニア保証済み」機能パッケージによる「ゼロ・トラスト(一切信用しない)」コンセプトを謳っている。

この内蔵セキュリティ機能には、デバイスの暗号化、サードパーティストアからのアプリのインストールをデフォルトで拒否、位置情報サービスのハードブロックなどが含まれる。もちろん後者は、Googleの多層な設定とユーザーデータへの貪欲さのおかげで、平凡なAndroid機ではオフにするのが一筋縄ではいかないと悪名高いものだ。

また、Sikurの「Android Verified Boot(Android検証起動)」は、内蔵システムアプリを追放することで、攻撃される面積を縮小し、さらに / またはデバイスを「軽量で安全」に保つと、宣伝文では述べている。

そして、いくつかの標準的なソフトウェアを編集したにもかかわらず、この端末は「完全に設定され、使う準備ができている」とSikurは言っており、さらに「一般的な機種と同等の使いやすさ」を備えていると主張する(それは具体的に何に使いたいかに依るだろうが)。

またこの端末は、ロックされたブートローダーや、OTA(無線アップデート)によるパッチ適用で、アプリやOSを常に更新された状態に保つことができる。ユーザーが手動でアップデートしなければならない状態にしておくと、その間にセキュリティ上の脆弱性が生じる可能性があるからだ。

さらにSikurは「パスワード不要の認証トークン機能」をアピールしており、これがフィッシングやマルウェアの攻撃を防ぐのに役立つと勧めている。デフォルトのネットワーク設定も、セキュリティに配慮して調整されている(さらに、安全でないWi-Fiへの接続を保護するために、SikurのセキュアVPNも利用できる)。

期待される通り、リモートロックとリモートワイプ機能も搭載している。

このデバイスには、デフォルトの通信アプリとして「Sikur Messenger(シクール・メッセンジャー)」が搭載されている。この同社のエンド・ツー・エンド暗号化メッセージングアプリは、安全な企業内チャットアプリ(メッセージ、音声、ビデオ通話などをサポート)として、また、安全なプライベートクラウドにデータを保持してファイル保存・共有するために使用できる。

ただし、このレベルのセキュアな通信は、Sikur Messengerのマイクロネットワーク内でのみ可能であり、このソフトウェアを搭載したデバイスを支給された社員のみが参加することができる(とはいえ、このメッセンジャーアプリは標準的なAndroid、iOS、Windowsでも利用可能なので、同社のモバイルハードウェアでなくてもアクセスできる)。

スペック面では、Sikur Oneは6.5インチのスクリーン、Android 11を動作させるオクタコアプロセッサ、4000mAhのバッテリーを装備している。

4G端末(5Gではない)であり、4GBのRAMと128GBの内部ストレージ(拡張スロットで最大512GBまで追加可能)を搭載している。

前後にカメラも搭載されており、デュアルSIMにも対応。カラーオプションは「ステルス(当然、ブラック)」のみの設定だ。

「一般的なデバイスはオープンで、設定を変更される恐れがあります。システムにダメージを与えたり、マルウェアを導入したりするようなアプリをインストールし、データ漏洩やスパイの扉を開くことができてしまいます。Sikur Oneなら、空港やレストランなどの公共ネットワークで行われる接続も保護されます」と、SikurのFabio Fischer(ファビオ・フィッシャー)CEOは声明で述べている。

この携帯電話は、Sikurとブラジルの電子機器メーカーであるMultilaser(マルチレーザー)の共同開発によるものだ。

Sikurは、このデバイスでは「大企業や政府機関」をターゲットにしており、セキュリティと、欧州の一般データ保護規則やブラジルの個人情報保護法のようなプライバシー規制への幅広い遵守の両方を懸念している組織に向けて、今週から先行販売を開始すると、広報担当者は語っている。

「デバイスは中南米、米国、欧州、中東で販売されています」と、この広報担当者は述べ「中でもブラジルと米国は、当社にとってこれまでのところ最大の市場です」と続けた。

Sikurによれば、同社は2015年以来、約3万5000台の端末を販売したという。

原文へ

(文:Natasha Lomas、翻訳:Hirokazu Kusakabe)

単純なセキュリティバグが大学キャンパスの「マスターキー」になっている

Erik Johnson(エリック・ジョンソン)氏は、大学のモバイル学生IDアプリがまともに使えなかったとき、何か回避方法はないかと探した。

そのアプリはかなり重要で、彼の通っている大学の学生は、これを使って食事代を払ったり、イベントに参加したり、さらには寮の部屋や研究室を始めキャンパスのさまざまな施設の鍵を開けることもできる。GET Mobile(ゲット・モービル)と呼ばれるそのアプリを作ったのはCBORD(シーボード)というテクノロジー企業で、病院や大学にアクセス制御や決済のシステムを提供している。しかしジョンソン氏(およびアプリのレビューに不満の星1つをつけた多くの人たち)は、アプリは動きが遅くロードに時間がかかりすぎると言っていた。もっといい方法があるはずだ。

そして彼は、寮室の鍵を開けた瞬間のアプリのネットワークデータを解析することで、ネットワークリクエストを再現することに成功し、iPhoneのショートカットボタンを1タップするだけでドアを解錠できるようになった。ただしこのショートカットが動作するためには、自分の正確な位置情報をアンロックリクエストと一緒に送る必要があり、それがないと鍵は開かない。ジョンソン氏は、セキュリティの観点からこのアプリを使ってドアを解錠する際に学生は物理的にドアの近くにいなくてはならないようになっていると語った。キャンパス内のあちこちで誤ってドアが開いてしまうことを防ぐための措置だ。

まずはうまくいったが、ここでやめる必要はある?アプリを使わずにドアをアンロックできるとしたら、他にどんな動作を再現できるだろうか?

ジョンソン氏は広く助けを求める必要がなかった。CBORDは、APIを通じて使えるコマンドの一覧表を公開しており、APIは学生の識別情報(例えば彼自身の)を使って制御することができた(各APIでは、インターネットを通じて2つの実体がやり取りすることが可能で、この場合はモバイルアプリと大学の学生データが保存されているサーバー)。

しかし、すぐに彼はある問題を見つけた。APIは学生の識別情報が有効であるかどうかをチェックしていなかった。つまりこれはジョンソン氏、あるいはインターネット上の誰でもが、このAPIを使って他のあらゆる学生のアカウントを、パスワードを知る必要なく乗っとることができるを意味している。ジョンソン氏によると、APIは学生のユニークIDだけをチェックしていたが、ときとしてそのIDは大学が発行した学生のユーザー名あるいは学生ID番号であり、大学によってはオンライン学生名簿で公開しているため秘密とはいえないと同氏は警告した。

ジョンソン氏はこのパスワードバグを、大学の「マスターキー」と評した、少なくともCBORDで制御されているドアに対しての。解錠するためにドアの近くにいなくてはならないという要件についても、バグのおかげで物理的にそこにいるとAPIを思い込ませることができたとジョンソン氏は言った。鍵そのもののおおよその座標を送るだけでよかった。

バグはAPI自身にあることから、他の大学にも影響を与えている可能性があるとジョンソン氏はいうが、アカウントのアクセス境界を超えることを恐れて、チェックはしていない。代わりに彼は、バグをCBORDに報告する手段を探したが、同社のウェブサイトで安全な専用メール窓口を見つけることはできなかった。彼は電話サポートにつないで脆弱性を報告したが、サポート担当者は、会社にセキュリティ窓口はないと答え、バグは大学を通じて報告するように言われた。

このバグは容易に悪用が可能(すでに実行されているかもしれない)であることを踏まえ、ジョンソン氏はTechCrunchに、脆弱性の詳細をCBORDに伝えるよう依頼した。

脆弱性はTechCrunchが2月12日に会社に連絡を取ってからまもなく解決した。CBORDの最高情報責任者、Josh Elder(ジョシュ・エルダー)氏はメールで、問題の脆弱性は解決済みであり、セッションキーは無効化されため、残存していた可能性のあるAPIへの不正アクセスも遮断されたことを確認した。エルダー氏は、CBORDの顧客に通知を送ったと言ったが、メール内容をTechCrunchに知らせることは拒んだ。CBORDを使用している別の組織のセキュリティ担当幹部は、CBORDからその脆弱性に関する通知を受けていない、とTechCrunchに話した。果たしてCBORDが、ユーザーやアカウント保有者、例えばジョンソン氏のような学生に通知するつもりがあるのかどうか、わかっていない。

エルダー氏はジョンソン氏の発見に異議を唱えなかったが、会社がログを保存しているか、あるいはAPIの悪用を検知する仕組みがあるのかという質問に対してそれ以上の回答を拒んだ。TechCrunchは同社広報担当者に追加質問への回答を要求したが、その後連絡を受けていない。

遠隔からドアを解錠できる脆弱性をCBORDが修正しなくてはならなかったのはこれが初めてではない。Wiredは2009年に、ドアの解錠コマンドを傍聴することで次のシーケンス番号を予測し、IDカードの要求を回避できることを報じた。

画像クレジット:Olena Ruban / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

Firewallaがギガビットの家庭用ファイアウォール「Purple」を発売

この数年で、Firewalla(ファイアウォーラ)のファイアウォール / ルーター兼用デバイスは、頼りになるハードウェアセキュリティツールとして、マニアや中小企業で有名になった。そのファイアウォーラがこの程、最新型デバイスFirewalla Purple(小型のギガビットファイアウォール兼ルーター、現行小売価格319ドル[約3万6000円])の出荷を開始した。

2015年創業のファイアウォーラが、Purple(パープル)で既存の製品ラインナップの穴を埋めようとしている。ファイアウォーラの現行ラインナップは、自宅および中小企業向けの100Mbpsおよび500Mbpsデバイス(価格帯は129~199ドル[約1万4000~2万2000円])、および大企業向けの3Gbps以上のデバイス(458ドル[約5万2000円])だ。しかし、多くの家庭でギガビットインターネット接続にアクセスできるようになったため、既存のラインナップの間にちょうどはまる機種としてパープルが登場した形だ。

画像クレジット:Firewalla

他の機種同様、パープルの中核機能もファイアウォールだが、デバイスにネットワーク監視機能があるため、当然もっとたくさんのことができる。インターネット使用状況の監視と管理に加えて、パープルでは、広告のフィルタリング、ペアレンタル・コントロールによるアダルトコンテンツへのアクセスのブロック、指定された時刻以降Xbox(エックスボックス)をオフラインにするなどの機能を用意している。また、VPNサーバーおよびクライアントとしても使用でき、ネットワークのあらゆる側面を詳細に管理する必要がある場合は、ファイアウォーラアプリを使用してネットワーク管理やトラフィックシェーピングなども行える。これを容易に実現するために、デバイスをネットワークと使用状況に合わせて分割またはグループ化して管理することもできる(筆者はすべてのデスクトップとIoTデバイスのグループを作成している)。

パープルのありがたい機能の1つに、Wi-Fiが内蔵されている点が挙げられる。これにより、トラベルルーターとして使える他、少し変則的だが、電話にテザリング接続することで、通常のインターネット接続がダウンしているときにもインターネット接続を維持することができる。

ファイアウォーラの共同創業者兼CEOであるJerry Chen(ジェリー・チェン)氏によると、このWi-Fi機能はもともと、同社のエンジニアたちが遊び感覚で試してみたかったものだという。そしてこれこそ、ファイアウォーラのデバイス開発に対する考え方を表す良い例だと思う。「すべて偶然の産物なのです」とチェン氏はいう。「トラベルルーター機能も本当に偶然に思いついたものです。[パープルに]フォールト・トレランス機能を組み込んでいたところ、エンジニアたちが『これも試してみたい』と言い出し、同じWi-Fiチップに別のチャネルを追加したのです」。

USB Cから電源を取るパープルは、ネットワークの設定に応じて、モデムとルーターの間に接続したり、他のイーサネット接続デバイスと同じように単純にルーターに接続することもできる。ファイアウォーラでは、これを非常に簡単に行うためのガイドを用意している。どちらの接続方法を選択しても、すべて稼働させるのに5分もかからない。

画像クレジット:Firewalla

ただし、1つ例外がある。Google Wifi(グーグルワイファイ)またはGoogle Nest(グーグルネスト)メッシュルーターでは、すべてのネットワークトラフィックを監視および管理するためにファイアウォーラで必要となる多数のネットワークモードがサポートされていない。そのため、これらのメッシュルーターを使用する場合は、設定が若干複雑になる。あるいは、メッシュネットワーク上のトラフィックについて一部の詳細情報を見ることができない場合もある。

チェン氏によると、ファイアウォーラはグーグルと話し合いの場を持とうとしたという。「グーグルワイファイの問題は、ユーザーフレンドリさが低いという点です」と同氏はいい、メッシュルーターは単純にブリッジモードやAPモードにすることができないため、少し面倒な回避策が必要となる理由について次のように説明した。「当社としてはグーグルワイファイを使わないで欲しいと思っています。グーグルワイファイはネットワークの王様になろうとしますが、そのようなデバイスは設定を複雑にするため、できれば避けたいのです」と率直な物言いのチェン氏は言った。

チェン氏によると、大半のファイアウォーラユーザーはプロ仕様の製品の購入者、すなわち、より高度なネットワーク機能を必要としている(必要だと思っている)ユーザーだという。こうしたユーザーは、これらのデバイスを中小企業でも使おうとすることが多い。Cisco(シスコ)などのベンダーのユーザーはいつでも複雑なネットワーク設定を好みがちだが、ファイアウォーラの利点は極めて簡単に設定できるところだ。

画像クレジット:Firewalla

「そうしたテック系の人たちからよく聞くのは『自宅で使えるものが欲しい。と言っても、職場で行うようなことを自宅でもやりたいというわけではない。それは複雑過ぎる。もっと使い勝手がシンプルで、なおかつ超簡単仕様ではないデバイスが欲しい』という声です」とチェン氏はいう。超簡単仕様とは「安全」と書いてあるボタンが用意されているようなデバイスだ。そんなボタンがあれば良いが、そもそもセキュリティはそんな風には実現できない。ファイアウォーラのユーザーが求めているのは、簡単にルールを作成でき、ニーズに応じてネットワークをチューニングできるような機能だ、と同氏はいう。「一番よいのはボタンなしのデザインです。ですがセキュリティに関してはそれは不可能です。セキュリティはボタンなしで実現できるようなものではありませんから」。

こうしたユーザーの要望を実現しているのは、慣れるのに少し時間はかかるものの、ほとんど直感的に操作できるデバイス管理用アプリだ。しかも、このアプリは、より詳細な設定が必要なら、カスタムのルートを設定したり、さらに掘り下げてネットワークの内部機能までカスタマイズできる。とはいっても、いつでも手取り足取り教えてくれるわけではない。すぐにわけが分からなくなってしまう可能性もある。最初の数日間は、大量のアラームが出る。これはあなたのネットワーク上で起こるトラフィックの何が正常で何が異常なのかをルータに教えてあげる必要があるからだ。

画像クレジット:Firewalla

ハードウェアに関しては、半導体不足と物流の危機的状況のためファイアウォーラとその生産ラインも影響を受けたものの、現在はパープルルーターを出荷できる状態にはなっている。だが、チェン氏によると、数年前はデバイスの製造に3週間、出荷に20日、関税の通過に数日程度だったが、今では数カ月を要することもある。その上、前金を支払ってチップの製造ラインを前もって確保しているものの、半導体製造業者の製造期間は以前より長くなることが多く、価格も上昇している。イーサネットMACチップは以前は数セント(数円)だったが、現在は数ドル(数百円)にまで上がっている、とチェン氏はいう。

チェン氏は、こうした状況がファイアウォーラにとってかなりのプレッシャーとなっていることを認めており、こうした遅延のため資金繰りも悪化しているという。パンデミックによって、自宅でもネットワークのセキュリティを確保したいという人が増え、同社は大きく成長できたが、その反面、さまざまな面で多くの課題にも直面することになった。しかし、その独創的な戦略で、この難局もうまく切り抜けることができた。例えば数台のパープルをベータテスター向けに確保したかったが生産ラインのフル稼働を開始できなかったため、100ユニットを少量生産することにした。少量生産はコストが高くなるが、サンプル生産として潜り込ませることができたため早く実施できた。

チェン氏が当座は実施しないだろうと思われるのは、外部資金の調達だ。ファイアウォーラはクラウドファンディングを早期に採用したスタートアップの1つだ。同社が創業当初、資金調達のためVCを回ったところ、VC各社は自宅でセキュリティツールを使う需要があることを理解していなかった。

「当社がVCから資金を調達しないのは、私がエンジニアだからです。テーブルに座ってVCと交渉し、何も分かっていない彼らに話を合わせることなど私にはできないのです」。

画像クレジット:Firewalla

原文へ

(文:Frederic Lardinois、翻訳:Dragonfly)

Ambient.aiはAIを活用したビルセキュリティで偏見やプライバシーによる落とし穴をふさぐ

「ちょっと、そこは入れませんよ」。建物とカメラをいくつか通過すると、セキュリティの仕事はすぐに複雑で途方もない状況になる。誰が一度にすべての場所を見張り、間に合うように人を送って問題を防ぐことができるだろうか。Ambient.aiはAIでそうできると最初に主張したわけではないが、最初に実際に大きな規模でそうしたのかもしれない。そして、成長を続けるために5200万ドル(約59億1000万円)を調達した。

昨今の業務処理問題は、誰でも指摘できる種類のものである。現代の会社や学校にある幾十幾百ものカメラからは膨大な量の映像やデータが生み出され、専門のセキュリティチームでもすべてを把握するのは困難だろう。結果として、重要な事象が発生してもそれを見逃すだけでなく、間違ったアラームや音に耳を向けてしまう可能性もある。

「犠牲者はいつも、誰かが助けに来てくれることを期待してカメラを見るが、実情はそうではない」と、Ambient.ai(アンビエント.ai)のCEO兼共同創業者、Shikhar Shrestha(シカー・シュレスタ)氏はTechCrunchに語った。「ベストの状態でも、インシデントが起きるのを待っていて、ビデオを見て、そこで仕事をするわけです。カメラはあり、センサーはあり、警備員もいる。欠けているのは、仲立ちをする頭脳です」。

明らかに、シュレスタ氏の会社は頭脳の提供を目指している。セキュリティのライブ映像の中央処理装置によって、問題が発生したら即座に適切な担当者に通知できる。そうした努力を危険にさらす先入観はない。顔認識もしない。

以前にもこの特定のアイデアに取り組む例はあったが、これまでのところ本気で採用した例はない。シュレスタ氏によれば、第1世代の自動画像認識は単純な動作検出で、画面上の画素に動きがあるかどうかを確認するにすぎず、木なのか家宅侵入者なのかも見分けられなかった。次に来たのが、深層学習を使用した物体認識だった。手に銃を持っているのか、窓が割れているのか識別できた。これは役に立つことがわかったが、限界があり、維持に少々手がかかった。状況や物に対して特別なトレーニングがたくさん必要だった。

「ビデオを理解するために人が行うことを見て、他の情報も大量に取り入れることにしました。座っているのか、立っているのか、ドアを開けているのか、歩いているのか、走っているのか、屋内にいるのか、屋外にいるのか、昼間か夜間か、といったことです。私たちは、そうしたことをすべて一緒にして状況を総合的に理解します」と、シュレスタ氏は説明した。「私たちは、コンピューターの映像インテリジェンスを使って映像の事象全体をマイニングします。あらゆるタスクを分解してそれをプリミティブと呼びます。相互作用や物体などです。その後、それらの構成要素を結びつけて「シグネチャ」を作成します」。

Ambient.aiのシステムでは、行動の要素を使用し、それらの要素を相互に結びつけて、それが問題になるかどうか示す(画像クレジット:Ambient.ai)

シグネチャは「夜間に長時間車内で座っている人物」や、誰ともやり取りせずにセキュリティチェックポイントの傍らに立っている人物」のようなもので、数は任意である。チームによって調整・追加されたものや、モデルによって独自に追加されたものがある。シュレスタ氏は「管理された半教師あり手法の一種」と説明した。

AIを使用して一度に100のビデオストリームをモニタリングすることのメリットは明らかだ。何か悪いことが起きる見当をつける点でAIの出来がたとえ人間の80%だとしてもである。注意散漫、疲労、目が2つしかないといった弱点がないAIは、時間やフィード数の制限なしに成功のレベルを上げることができる。これは、成功の機会が実際にかなり大きいということだ。

銃だけを探す初期のAIシステムでも数年前から同じことが言われていたかもしれないが、Ambient.aiが目指しているのはもっと総合的なものである。

「私たちは意図的に、プライバシーの考えを中心にしてプラットフォームを構築しました」と、シュレスタ氏は述べた。AIを活用したセキュリティというと「人はすぐに顔認識が含まれているものと考えるが、私たちの手法ではこの大量のシグネチャイベントがあり、顔認識を必要としないリスク指標を利用できます。何が起きるかを示す画像やモデルは1つだけではありません。これらのさまざまな要素をすべて活用して、システムの記述レベルを上げることができます」。

基本的にこれは、各個人の認識活動を最初から先入観のないものに保つことによって行われる。例えば誰かが座っているか立っているか、どれくらい長くドアの外で待っているか、といった行動をそれぞれ監査し、発見して、構成やグループ全体で検出できた場合、そうした推測の総和も同様に先入観のないものになる。このように、システムの構造上、先入観は削減される。

しかし、先入観は潜行的で複雑であると言わなければならず、先入観を認識して軽減する能力は最先端には後れを取っている。それでも、直感的に言って、シュレスタ氏が述べたように「先入観で見られるものに関する推測のカテゴリーがない場合、そのようにして先入観が入り込むことはない」というのは本当のように思える。そうであることを望む。

Ambient.ai共同創業者。左はCTOのVikesh Khanna(ビケシュ・カナ)氏、右はCEOのシカー・シュレスタ氏(画像クレジット:Ambient.ai)

いくつかのスタートアップが同じように登場しては消えていったのを見てきたので、こうしたアイデアを記録で実証することは重要だ。Ambient.aiは比較的静かにしてきたにもかかわらず、製品に関するその仮説の証明に役立ってきた活発な顧客が多数いる。もちろん、過去2年間は厳密には通常の業務ではなかったが、効果がないのであれば「時価総額で米国最大級のテック企業の5社」が顧客になるというのは考えにくい(しかし現にそうである)。

名前の挙げられていない「Fortune(フォーチュン)500テクノロジー企業」のテストで、認証を受けた人のすぐ後からセキュリティで保護されたエリアに入る「共連れ」を減らすことを目指していた。そんなことをする人はいないと思うだろうか。何と、最初の週に2000のインシデントが特定された。しかし、事象のGIFをほぼリアルタイムでセキュリティ担当者に送信し、セキュリティ担当者はおそらく違反者に警告したのだろう。数字は週に200まで減少した。今は週に10である。おそらく私のような人間によるのであろう。

画像クレジット:Ambient.ai

Ambient.aiがドキュメント化した別のテストケースでは、学校のセキュリティカメラが、放課後に誰かがフェンスによじ登っている様子を捉えた。即座に映像が警備責任者に送信され、警察に通報された。その男には前科があることが判明した。ここで強調したいのは、学校を封鎖する必要があるということではなく(これはそうするのに役立つだろう)、そのドキュメントの中で述べられている別のことである。それは、システムが「誰かがフェンスによじ登っている」という認識と「これは8:45の少し前によく起きる」というような他のことを結びつけることができるということだ。だから、子どもが近道しても警察に通報されることはない。またAIは、よじ登ることと、落ちることと、ぶらつくこととを区別することもできる。こうしたことは、状況によって問題になったり、ならなかったりする。

Ambient.aiの主張では、システムの柔軟性は一部こうした「プリミティブ」による。プリミティブは現場の必要に応じて簡単に再調整が可能で、例えば誰かがフェンスによじ登っても、落ちない限りかまわない。また「あっ、これは誰かがフェンスを切断しているようだ」といった新しい状況を学習することもできる。チームは現在、約100の疑わしい行動の「シグネチャ」を持っており、今後1年でそれを倍に増やすつもりだ。

既存の警備人員の電話や無線機の呼び出しが鳴る機会を制御することで、既存の警備人員の効率が向上すれば、時間の節約になり、結果も良くなる(Ambient.aiは、日常的なアラームの数が概して85~90パーセント削減されると述べている)。また、AIを活用した映像のカテゴリー分類は記録やアーカイブにも役立つ。「夜間にフェンスによじ登る人の映像をすべてダウンロードしなさい」と命令する方が、5000時間手作業でスクラブするよりずっと簡単だ。

5200万ドル(約59億1000万円)のラウンドはa16z(アンドリーセン・ホロウィッツ)が取りまとめたが、Ron Conway(ロン・コンウェイ)氏、Y Combinator(Yコンビネーター)のAli Rowghani(アリ・ローガニ)氏、Okta(オクタ)共同創業者のFrederic Kerrest(フレデリック・ケレスト)氏、CrowdStrike(クラウドストライク)CEOのGeorge Kurtz(ジョージ・カーツ)氏、Microsoft(マイクロソフト)CVPのCharles Dietrich(チャールズ・ディードリッヒ)氏、その他数名の自分が何に投資しているかわかっている個人投資家の名前もあった。

「今は異色の時代です。セキュリティに携わる者はもっと多くのことを行うように期待されています。誰かがすべてのフィードを見守っている必要はないという基本的な提案は普遍的なものになりました」と、シュレスタ氏は述べた。「私たちは1200億ドル(約13兆6000億円)という多額のお金をセキュリティに費やしています。そこに結果が出ていないのはまともではありません。私たちはインシデントを防ぐことができていません。すべての道が一点に収束しているように感じます。組織が採用できる、将来も有効に使い続けられるセキュリティを提供できるプラットフォームになりたいと思っています」。

画像クレジット:Ambient.ai

原文へ

(文:Devin Coldewey、翻訳:Dragonfly)

クラウド受付システムRECEPTIONISTがクマヒラの入退室管理SPLATS PASSと連携、受付業務の効率化とセキュリティを両立

RECEPTIONIST(レセプショニスト)は2月21日、クラウド受付システム「RECEPTIONIST」がセキュリティ機器の開発・販売を行うクマヒラの入退室管理「SPLATS PASS」(スプラッツパス)とのサービス連携を開始すると発表した。RECEPTIONISTに登録されたゲストの来訪情報に沿った扉・セキュリティゲートの制御をSPLATS PASSで行えるようになり、受付業務の効率化とゲストの入退室におけるセキュリティの確保を同時に実現可能となった。

RECEPTIONISTは、取次をなくすことで受付の無人化や受付業務の効率化を実現するサービス。コロナ禍により受付を無人化する動きが広がっており、すでに5000社以上で採用されている。一方のクマヒラのSPLATS PASSは、インターネットを通じ入退室管理を行えるサービス。2021年4月より開始しており、2021年10月にはQRコードによる入退室にも対応した。

今回の連携により、RECEPTIONISTにゲスト来訪情報を登録すると、ゲストにQRコード付き招待メールが送付されてSPLATS PASSにも来訪情報が反映されるようになる。また、ゲストがQRコードを受付に設置された端末にかざしてチェックインすると、面会担当者に来客通知が送られる。さらにゲストは、チェックイン完了時に表示された扉やセキュリティゲートのSPLATS PASS デバイスに対してこのQRコードをかざすと、それら扉やセキュリティゲートを解錠できる。

これにより、許可されたエリアにゲスト自身で入退室ができるようになるため、担当者が送迎のためにエリア外まで出向く必要がなくなる。同時に、来訪記録が自動的にクラウドに保存されるため、来客簿への記録も不要となる。

消費者を守るために、米国議会はアプリストアのサプライチェーンを保護するべきだ

2022年2月上旬、ユーザーの携帯端末に未審査のアプリケーションをインストールできるようにすることなどを端末メーカーに義務づける法案「Open App Markets Act」が、米国上院司法委員会で承認された

この法案は、スマートフォン黎明期から続く、公式アプリストアからしかアプリケーションをインストールできない「壁に囲まれた庭」のようなアプリ流通モデルに対峙する。多くの人が、アプリストアの競争によって消費者にもたらされる潜在的な利益に注目しているが、本法案の一部は、監視されていないルートでのアプリ配信を可能にすることで、意図しない、しかし潜在的に重大なデバイスセキュリティのリスクを導入するものだ。

今日の「壁に囲まれた庭」モデルからの脱却は、ユーザーに新たなセキュリティリスクをもたらし、ユーザーはより多くの悪質なアプリが存在するストアを利用することになるかもしれない。Apple(アップル)、Microsoft(マイクロソフト)、Google(グーグル)などの大手ソフトウェア企業が運営するアプリストアでは、販売するアプリにマルウェアや脆弱性がないかどうかを審査している。

このような審査は、特に人による審査がない場合、不完全である可能性があるが、これらのストアの管理された性質は、悪意のあるサイバーアクターがアプリを使用してユーザデータを盗んだり詐欺を行ったりする能力を大幅に低下させる。

これに対し、中国に多く存在するような規制の緩いアプリストアは、マルウェアを含む危険なアプリの温床となる。最も基本的なセキュリティチェックが行われていない規制の不十分なアプリストアは、データを盗んだり詐欺にあったりする危険なアプリをユーザーが簡単にダウンロードできるようになるため、消費者のリスクが増大する。

アプリストアは、現代のソフトウェアサプライチェーンの中心的な役割を担っている。アプリストアが消費者に提供するアプリは、私たちの日常生活に欠かせないものであると同時に、非常に機密性の高いデータと結びついている金融、健康、個人向けサービスなどを含んでいる。

個人および中小企業は、大企業が自社のデバイスにインストールできるソフトウェアを管理するためにつかうのリソースを持たないため、悪意のあるアプリによってデータを盗まれたり、詐欺にあったりするリスクが高くなる。

例えば、最近のFlubotマルウェア攻撃は、標的型テキストメッセージを利用して受信者に不正アプリをダウンロードさせ、攻撃者が金融情報を盗み出したりメッセージを傍受したりすることを可能にするものだった。このマルウェアは、Googleのアプリストア以外からのアプリのインストールを許可するようユーザに要求するもので、不正アプリが無防備なユーザにいかに大損害を与えるかを示す例になっている。

Flubotは、危険なソフトウェアを使用して機密データを盗んだり、データの身代金を要求したりする、より大きなトレンドの一部に過ぎない。このような傾向の危険性は、公式ストアのようなアプリ審査やセキュリティスクリーニングがない無規制のマーケットプレイスへの移行によってさらに拡大します。

アプリの自由な「サイドローディング」(公式アプリストア以外からアプリをインストールすること)を許可すると、ウェブ上のどこからでもアプリをインストールできるようになり、さらに大きなリスクが生じる。これにより、ユーザはより多くの無料アプリにアクセスできるようになるかもしれないが、同時に、ユーザを騙してマルウェアが仕込まれたアプリをインストールさせる攻撃の重大な機会を生み出すことにもなる。そのインストールの結果が銀行口座が空っぽの銀行口座であれば、無料アプリは無料とは言えない。

幸いなことに、米国議会は、消費者であるエンドユーザーを保護するために、新しいアプリストアに対してセキュリティ基準を課すことができる。

まず、アプリストアに対して、人間によるレビューを含む、基本レベルのセキュリティレビューとアプリの監視を義務付けることができる。人間による審査は、アプリが使用する権限がアプリの広告を反映していることを確認するのに役立ち、悪意のあるアプリが想定外のことを行うのを防ぐのに不可欠なステップとなる。

第二に、米国やその他の政府は、無制限の「サイドローディング」を義務付ける計画を断念すべきだ。一般的なエンドユーザが、付随するセキュリティリスクを理解しないまま、数回のクリックで未知のアプリをインストールできるとしたら、そのリスクはあまりにも大きすぎる。

最後に、悪意のあるアプリをインストールするリスクを減らすために、公式アプリストアにこだわることを選択するユーザもいるかもしれないが、これらのストア以外からアプリをインストールすることにしたユーザは、信頼できないソースからのアプリのインストールをブロックし、オープンウェブや信頼できないアプリストアからのアプリを避けることによって、リスクを減らすために、デバイスの衛生状態をよく保たねばならない。

悪意のあるアプリがもたらすリスクは常に存在するが、政策立案者とユーザは、競争が激化するアプリストア空間がユーザの個人データへの脅威を最小限に抑えることを保証するために、より多くのことを行うことができる。上記のような基本的なセキュリティ基準を既存の提案に追加することで、アプリストアの新たな選択肢がもたらすセキュリティリスクを最小化することができる。

編集部注:執筆者のMichael Chertoff(マイケル・チェルトフ)氏は元国土安全保障長官で、「Exploding Data:Reclaiming Our Cyber Security in the Digital Age」の著者。現在はテクノロジー分野を顧客とするセキュリティおよびリスク管理会社Chertoff Group(チェルトフ・グループ)の会長。

画像クレジット:Jorg Greuel / Getty Images

原文へ

(文:Michael Chertoff、翻訳:Yuta Kaminishi)

FBI、BlackByteランサムウェアが米国の重要インフラを狙っていると警告

米国連邦捜査局(FBI)とシークレットサービス(Secret Service)のアドバイザリーによると、BlackByteランサムウェアギャングが少なくとも3つの米国の重要インフラセクターを標的にし、カムバックを遂げたようだ。

BlackByteはRaaS(Ransomware as a Service、ランサムウェア・アズ・ア・サービス)事業者で、ランサムウェアのインフラを他者にリースし、身代金の収益の一定割合を得ることを目的としている。このギャングは、2021年7月にソフトウェアの脆弱性を悪用して世界中の企業の被害者をターゲットにして出現した。BlackByteは米国、欧州、オーストラリアの製造業、医療、建設業に対する攻撃をセキュリティ研究者が確認するなど、当初は一定の成功を収めた。しかし数カ月後に、サイバーセキュリティ企業のTrustwaveがBlackByteの被害者がファイルを無料で復元できる復号化ツールを公開したことで、ギャングは苦境に立たされた。このグループの単純な暗号化技術により、このランサムウェアがアマチュアの仕業であると考える人もいた。ランサムウェアは、AESでファイルを暗号化する際に、セッションごとに固有の鍵ではなく、同じ鍵をダウンロードして実行していた。

しかし、このような挫折にもかかわらず、BlackByteの活動は再び活発化しているようだ。FBIと米国シークレットサービス(USSS)は、米国時間2月11日に発行されたアラートの中で、同ランサムウェアが米国内外の複数の企業を危険にさらしており、その中には政府機関、金融サービス、食品・農業関連など、米国の重要インフラに対する「少なくとも」3つの攻撃が含まれていると警告している。

このアドバイザリーは、ネットワーク防御者がBlackByteの侵入を識別するためのセキュリティ侵害インジケータを提供するもので、ランサムウェアギャングがSan Francisco 49ers(サンフランシスコ・フォーティナイナーズ)のネットワークを暗号化したと主張する数日前に公開された。BlackByteは、13日に行われたスーパーボウルの前日に、盗まれたとする少数のファイルを流出させることで、攻撃を公表した。

Emsisoft(エムシソフト)のランサムウェア専門家で脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、TechCrunchに対し、BlackByteは最も活発なRaaS事業者ではないものの、過去数カ月の間に着実に被害者を増やしてきたと述べている。だが最近、米国政府がランサムウェア業者に対して行っている措置を受けて、BlackByteは慎重なアプローチを取っているのではないかという。

関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

「FBIとUSSSのアドバイザリによると、BlackByteは政府を含む少なくとも3つの米国の重要インフラセクターへの攻撃に投入されています。興味深いことに、ギャングのリークサイトにはそのような組織は掲載されていません。これは、それらの組織が(身代金を)支払ったか、データが漏洩しなかったか、あるいはBlackByteが漏洩したデータを公開しないことを選択したことを示しているのかもしれません」と述べています。「REvilのメンバーが逮捕されて以来、ギャングはデータを公開することにより慎重になっているようで、特に米国の組織の場合はそうした傾向が見られます」。

このランサムウェアはREvilと同様に、ロシア語やCIS言語を使用しているシステムのデータを暗号化しないようにコーディングされているため、BlackByteがロシアを拠点としていることを示す兆候はあるものの、だからといって「ロシアやCISを拠点とする人物によって攻撃が行われたと考えるべきではない」とキャロウ氏は述べている。

また「ギャングに属する関係者は、RaaSを運営する人物らと同じ国にいるとは限りません」と同氏は付け加えた。「彼らは、米国を含むどこにでも存在し得ます」。

関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

アップル、AirTagを悪用したストーカー問題に次期アップデートで対応

Apple(アップル)は米国2月10日、AirTagアクセサリが個人または人の所有物を密かに、あるいは同意なしにストーキングするために使用されているという問題に対処すべく、AirTagおよびFind Myネットワークに関する一連の今後のアップデートを発表した。2021年春のAirTagリリース後、多くのメディア報道や地元警察からの最新情報で、AirTagが人や貴重品(例えば泥棒が盗むつもりのクルマ)などの不要な追跡に使用されている事例が警告された。その結果、消費者のプライバシーを重視する企業として自らを位置づけていたAppleにとって、PR上の悪夢が広がることになった。

Appleは米国時間2月10日、AirTagの仕組みを変更する計画で消費者、安全の専門家、法執行機関からのフィードバックに応えた。

同社は、AirTagsとFind My(探す)ネットワークの両方で、一連のアップデートを間もなく実施すると発表した。まず、新しいプライバシー警告、アラート、文書の提示から始める。また、新しい精密な発見ツールやAirTagのアラートと音の調整など、他の機能の導入についても今後のリリースに向けて「調査中」だ。

まず、Appleのデバイスは、今後のソフトウェアアップデートにより、AirTagの設定プロセスにおいて、新しいプライバシーに関する警告を表示するようになる。この警告は、本来の目的である持ち物の追跡以外の用途でのAirTag使用を抑止することを目的としている。この警告は、同意なしに人を追跡することは犯罪であり、警察当局はAirTagの所有者の識別情報を要求できることをユーザーに知らせる。

画像クレジット:Apple

Appleはまた、受け取ったすべてのAirTag関連の要請について法執行機関と積極的に協業していると述べ、召喚状やその他の有効な法執行機関の要請に応えて、アカウントの詳細を提供することができると指摘した。これが可能なのは、すべてのAirTagがApple IDに関連付けられた固有のシリアル番号を持っているためだ。同社は、この情報を提供することで、多くの場合、警察当局はAirTagの所有者を突き止めることができ、そうした所有者は捕まり、起訴されている、と述べた。しかしAppleは何件のケースに関与したのかについては言及を避けた。

さらにAppleは、ストーカー被害に遭っているのではないかという人々の不安を和らげるために、紛らわしい警告の1つを変更する予定だ。同社はユーザーから、見知らぬAirTagが自分を追跡していると思わせた「持ち主不明のアクセサリが検出された」というアラートをどのように受け取ったか、話を聞いた。しかし、Appleはこのアラートが近くにある持ち主不明のAirTagには表示されず、AirPods(第3世代)、AirPods Pro、AirPods Maxまたはサードパーティ製のFind Myネットワークアクセサリのみであることを確認した。Appleは今後、このアラートを更新し「持ち主不明のアクセサリ」ではなく「AirPods」がユーザーと一緒に移動していることを示すようにする。

画像クレジット:Apple

Appleはまた、不要な追跡に関するサポートドキュメントを更新し、Find Myアクセサリとその追跡アラートに関するより詳しい情報を掲載する予定だ。アラートの具体例を示す画像が提供され、ドキュメントでは、ストーカー行為の被害者になった場合にどうすればよいか、さらなる説明が示される。

しかし、AirTagとFind Myの大きな変更はまだ取り組んでいる最中だ。

その中には、アラートを受信した後、近くにいる持ち主不明のAirTagの位置を特定することができる新しい精密検索機能が含まれている。AirTagを使ったストーカー被害では、AirTagが一緒に移動しているという警告を受けたとき、検索しても見つからないという苦情が多く寄せられた。そのため、被害者はAirTagがまだ近くにあるのかどうかわからず、無防備な状態だと感じた。

画像クレジット:Apple

iPhone 11、iPhone 12、iPhone 13のユーザーは、精密検索機能を活用することで、自分のAirTagデバイスと同じように、持ち主不明のAirTagが範囲内にあるときに、方向と距離の両方を確認することができるようになる。この機能は、カメラ、ARKit、加速度計、ジャイロスコープからのインプットを使って、音、触覚、視覚フィードバックとともにAirTagに誘導する。

AirTagストーカー事例から出てきた別の不満は、ストーキング目的で持ち主不明のAirTagが仕組まれてから、被害者のデバイスが実際に警告を出すまでにどれだけの遅延があるかということだ。ソフトウェアによって警告される前に、AirTagは何時間も街中を一緒に移動していたと指摘した人もいた。

Appleは、持ち主不明のAirTagやFind Myネットワークアクセサリ(ChipoloなどのAirTag代替品を含む)が一緒に移動している可能性があることを「より早くユーザーに通知する」ように警告ロジックを更新する予定だと述べた。しかし、同社は、ユーザーがこれらの警告をどの程度早く受け取れるかについては示さなかった。

Appleはまた、警告の仕組みを後で調整する予定だ。持ち主不明のAirTagが検出された場合、iPhone、iPad、iPod touchにビジュアルアラートを表示し、同時にサウンドを出すようにする。このアラートは、精密検索ツールを使ってAirTagの位置を特定するためのさらなる支援にユーザーを誘導するか、または、AirTagから音が出るようにする予定だ。この機能は、アラートが聞き取りにくいところにAirTagがある場合に役立つ。また、ストーカー事例で問題となっている、AirTagのスピーカーに細工が施された場合にも、発見ツールが役立つ。実際、スピーカーが無効化されたAirTagがeBayやEtsyで売られているのがここ数週間で発見されてもいる

Appleは、持ち主不明のAirTagをより簡単に見つけられるよう、トーンシーケンスを調整してより大きなトーンを使用すると述べた。

このニュースを発表するにあたり、Appleはテクノロジーを使ってストーカー行為をすることは社会問題であり、そしてAirTagsは良い方向にも使われている、という主張を展開した。この件は、他のデバイスメーカーもAppleに続いて自社の製品にこのような積極的な機能を追加するよう働きかけた。例えば、AirTagのライバルであるTileは、安全機能に取り組んでいると述べたが、まだ提供していない。同社は最近、家族追跡・コミュニケーションアプリのLife360に買収された

National Network to End Domestic Violence(ドメスティック・バイオレンス撲滅全国ネットワーク)やNational Center for Victims of Crime(全米犯罪被害者センター)など安全問題に取り組む団体は、Appleの取り組みを称賛した。National Network to End Domestic Violenceは、ディレクターのErica Olsen(エリカ・オルセン)氏を通じて「Appleが被害者の安全についての会話に関与している」ことを喜び、同社が「セーフガードの改善を続けている」と述べた。National Center for Victims of Crimeは、エグゼクティブディレクターのRenee Williams(レニー・ウィリアムズ)氏を通じて、もう少し冷静な声明を発表した。

「これらの不要な追跡の警告が私たちに示していることは、Appleのシステムが動作しているということです。同時に、この問題を啓発しています」とウィリアムズ氏は述べた。「テクノロジーによる虐待、ストーカー行為、または嫌がらせを経験している場合、我々は、法執行機関に加えて、被害者のためのリソースになることができます」と同氏は付け加えた。

望まない追跡の問題に対処するために、Appleがこの分野の他の企業よりもはるかに多くのことを行っているというのは正しいかもしれないが、より高い基準が要求されるのも事実だ。同社はより徹底した製品開発に投資する資金とリソースを持っているだけでなく、アプリのアンチトラッキング機能のような最近の発表も含め、消費者のプライバシーに配慮する企業として自社を位置づけてきた。

AirTagがどのように悪用されるかを考慮する先見性をAppleがなぜ持たなかったのかは不明だ。そして、多くの女性を雇用することにテック業界が苦戦していることが、ここで問題になった可能性があるのではという疑問が生じる。ストーカー被害者の大半を占める女性は、AirTagの機能に関する問題を容易に認識できたかもしれない。

Appleにコメントを求めたところ、アップデートがいつ実施されるのか、どのソフトウェアのバージョンにこの変更が含まれるのか、同社は言及を避けたが、これは新機能で保護されるかどうか、いつ保護されるのかを知りたい消費者にとっては有益な情報だろう。

画像クレジット:Apple

原文へ

(文:Sarah Perez、翻訳:Nariko Mizoguchi

キャノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される

Maze、Egregor、Sekhmetランサムウェアファミリーのデクリプターが公開された。これはサイバー犯罪者が最近の法執行機関の動きに脅かされていることを示している。

関連記事:ランサムウェアの潮目が変わった、米国当局が勝ち目のないと思われた戦いにわずかながら勝利を収めた

Mazeは、かつて最も活発で悪名高いデータ窃盗ランサムウェアグループの1つとされていた。2019年5月に活動を開始したこのギャングは、ハッカーがまず被害者のデータを抽出し、身代金を支払わなければ盗んだファイルを公開すると脅すという、二重恐喝モデルを導入したことで悪名を馳せた。典型的なランサムウェアグループは、ファイルを暗号化するマルウェアを被害者に感染させ、ファイルを人質にして暗号資産を要求する。

2020年11月に閉鎖を発表したこのグループは、Cognizant(コグニザント)、Xerox(ゼロックス)、LG、Canon(キャノン)など、数多くの著名企業を被害者にした。

関連記事
悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言
IT最大手のCognizantがランサムウェア攻撃を受けたことが判明

Egregorは2020年9月、Mazeの活動が停止し始めた頃に現れ、前身と同じ二重恐喝の手法を採用した。Ubisoft(ユービーアイソフト)、Barnes & Noble(バーンズ・アンド・ノーブル)、Kmar(Kマート)、バンクーバーの地下鉄システムなど、多くの被害者を出したものの、2021年2月にEgregorのメンバー数名がウクライナで逮捕されたため、活動は短命に終わった。

2020年3月に活動を開始したSekhmetは、MazeやEgregorと多くの類似点を持っている。後者よりも先に登場しているが、サイバーセキュリティ研究者は、類似した戦術、難読化、APIコール、身代金要求メッセージを観察している。

米国時間2月9日、これら3つのオペレーションの開発者を名乗る「Topleak」と名乗る人物が、Bleeping Computerフォーラムへの投稿で、3つすべてのランサムウェアファミリーの復号鍵を公開した。

Topleak は「多くの疑惑を招くことになり、そのほとんどが虚偽となるため、強調しておく必要がありますが、これは計画的なリークであり、最近の逮捕やテイクダウンとは何の関係もありません」と述べ、チームメンバーの誰もランサムウェアに戻ることはなく、ランサムウェアのソースコードはすべて破棄したと付け加えた。

復号鍵が正規のものであることを確認したEmsisoft(エムシソフト)は、Maze、Egregor、Sekhmetの被害者が無料でファイルを復元できるようにデクリプターをリリースした。

Emsisoftのランサムウェア専門家であり、脅威アナリストであるBrett Callow(ブレット・キャロウ)氏は、復号鍵の公開は、サイバー犯罪者が動揺していることを示す1つの兆候であるとTechCrunchに語っている。

「復号鍵を公開したことは、最近のREvilの逮捕とは何の関係もないとギャングは主張していますが、そんなわけありません。現実には、彼らのコストとリスクがともに増加しているのです」とキャロウ氏はいう。「ランサムウェアがこれほど大きな問題になったのは、サイバー犯罪者がほとんど完全に無罪放免で活動できたからです。しかし、もはやそれは通用しません。問題が解決されたわけではありませんが、リスクとリターンの比率において、(犯罪者にとって)より多くの『リスク』が存在するようになりました」。

関連記事:米司法省がテック企業Kaseyaを攻撃したハッカーを起訴、別件の身代金6.9億円も押収

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

Instagram、「アクティビティ」「セキュリティチェック」機能を全世界で展開

Instagram(インスタグラム)は、ユーザーがアプリ上で自分のアクティビティを確認・管理できる「アクティビティ」タブを展開することを発表した。同社は2021年末からこの機能のテストを開始し、現在世界中の全ユーザーに展開している。新しいタブでは、ユーザーが自分のコンテンツやインタラクションを一括削除することができる。これには投稿、ストーリー、リール、コメント、いいね、ストーリーステッカーのリアクションなどが含まれる。また、ユーザーは、新しい表示内で、コンテンツやインタラクションを日付でソートおよびフィルタリングしたり、特定の日付範囲から過去のコメント、いいね、ストーリーのリプライを検索したりすることができるようになる。

また、最近削除したコンテンツやアーカイブしたコンテンツの検索、検索履歴の確認、訪問したリンクやプラットフォームで費やした時間の確認もできる。新しいタブにアクセスするには、自分のプロフィールに行き、右上のメニューをタップして「アクティビティ」を選択する必要がある。

Instagramはまた「セキュリティチェック」機能を世界中に展開している。同社は2021年夏、アカウントがハッキングされた可能性のある人を対象に、この機能のテストを開始した。セキュリティチェックは、ユーザーのアカウントを保護するために必要なステップを案内する。ログイン操作の確認、プロフィール情報の確認、ログイン情報を共有しているアカウントの確認、また電話番号やメールアドレスなどのアカウント回復情報の更新も可能だ。セキュリティチェックは、設定にアクセスすることで完了する。

画像クレジット:Instagram

同社はまた、ユーザーがアカウントへのアクセスを回復するために、友人に身元確認を依頼する方法をテストしていることを明らかにした。この機能は、まずアカウントにアクセスするために使用した以前のパスワードを入力することで機能する。次に、Instagram上で自分の身元を確認できる友人を2人選ぶ必要がある。リクエストを送ると、そのユーザーは24時間以内に返信する必要がある。24時間以内に2人の友達が本人確認をすれば、新しいパスワードが作成できるようになる。そうでない場合は、別の友人を2人選ぶチャンスがある。Instagramによると、この機能については、近日中に詳細を発表するとしている。

これらの新機能に加え、Instagramは数週間前、ユーザーの今後のライブストリームを表示する新しいプロフィールバナーを導入したばかりだ。また、同社は米国でクリエイターサブスクの初期テストを開始した。選ばれたクリエイターは、Instagramライブの限定動画やストーリーへの有料アクセスをフォロワーに提供できるようになった。クリエイターは、限定コンテンツにアクセスするための価格帯を自分で選ぶことができる。有料会員には特別なバッジが表示され、コメントの海の中で無報酬ユーザーと区別される。Instagramだけでなく、TikTok(ティックトック)も有料サブスクのサポートをテストしていることが確認されている。

画像クレジット:Instagram

原文へ

(文:Aisha Malik、翻訳:Yuta Kaminishi)

カナダのワクチン義務化に抗議するトラック運転手たちの寄付サイトから個人情報流出

カナダのワクチン義務化に抗議しているオタワのトラック運転手が利用している寄付サイトが、寄付者のパスポートや運転免許証が流出するセキュリティ上の不備を修正した。

マサチューセッツ州ボストンを拠点とする寄付サービスGiveSendGo(ギブセンドゴー)は先週、GoFundMe(ゴーファンドミー)が市内での暴力や嫌がらせに関する警察の報告を理由に数百万ドル(数億円)の寄付を凍結した後、いわゆる「フリーダム・コンボイ」活動の主要寄付サービスとなっていた。

1月に始まったこの抗議運動では、新型コロナワクチン接種の義務化に反対する数千人の抗議者とトラック運転手がカナダの首都に降り立ち、渋滞で通りがマヒするほどだ。GoFundMeの募金ページが約790万ドル(約9億1200万円)の寄付を達成した後、このクラウドソーシングの巨人はキャンペーンを阻止するために介入し、募金活動を、抗議活動への支援を公言するGiveSendGoに移行するよう促した。プレスリリースによると、GiveSendGoは、同社がキャンペーンを主催した初日に、フリーダム・コンボイの抗議者のために450万ドル以上(約5億1900万円)の寄付を処理したと述べている。

TechCrunchは、AmazonがホストするS3バケットに50Gバイトを超えるファイル(パスポートや運転免許証など)が保存されていることがセキュリティ分野の人物によって発見されたことを受けて、このデータ漏えいに関する情報を入手した。

この研究者は、GiveSendGoにあるフリーダム・コンボイのウェブページのソースコードを閲覧することで、公開されたバケットのウェブアドレスを見つけたという。

S3バケットは、ファイルや文書、あるいはウェブサイト全体をAmazonのクラウドに保存するために使用されるが、デフォルトでは非公開に設定されており、バケットの内容を誰でもアクセスできるように公開するには、複数のステップのプロセスが必要だ。

公開されていたバケットには、フリーダム・コンボイのページがGiveSendGoに最初に設置された2月4日から、1000枚以上のパスポートと運転免許証の写真とスキャン画像がアップロードされていた。ファイル名から、一部の金融機関が個人の支払いや寄付を処理する前に必要とする、支払いプロセスで身分証明書がアップロードされていたことが示唆される。

TechCrunchは、GiveSendGoの共同設立者であるJacob Wells(ジェイコブ・ウェルズ)氏に、現地時間2月8日に公開されたバケットの詳細について連絡を取った。しばらくして、バケットの安全は確保されたようだが、ウェルズ氏は、GiveSendGoがセキュリティの欠陥について、情報が流出した人々に知らせる予定があるかどうかなどの質問には答えなかった。

バケットがいつまで晒されたままになっていたかは正確には不明だが、無名のセキュリティ研究者が残した2018年9月付けのテキストファイルには、バケットが「適切に設定されていない」ため「危険なセキュリティ上の影響を及ぼす」と警告されていた。

画像クレジット:Kadri Mohamed / Anadolu Agency / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Akihito Mizukoshi)

グーグルがGoogleアシスタントやGoogle One、Google Fiなどに新セキュリティ機能を追加

Google(グーグル)は米国時間2月8日、Safer Internet Day(セーファーインターネットデー、SID)に合わせて、Googleアシスタント、Google Fi、Google Oneを含むさまざまなアプリやサービスの新機能とともに、安全なオンライン体験に関する情報提供の拡大を目的としたパートナーシップを発表した。特に、教育系非営利団体であるKhan Academy(カーンアカデミー)に500万ドル(約5億8000万円)を寄付し、無料のオンラインセーフティレッスン開発を委託するとのこと。また、Googleは非営利の政策・政治団体と協力して「Campaign Security Project(キャンペーンセキュリティプロジェクト)」という新しい取り組みを行っている。このプロジェクトは、2022年の米国中間選挙に向けて、選挙の候補者やキャンペーン担当者にオンラインセキュリティに関するトレーニングを行うことを目的としている。

後者のプロジェクトのパートナー団体には、Veterans Campaign、Collective Future、Women’s Public Leadership Network、LGBTQ Victory Institute、Center for American Ideas、サンフランシスコ大学、Emerge、Latino Victoryなどが含まれている。米国外でも、Googleは国際選挙制度財団(International Foundation for Electoral Systems、IFES)と同様の取り組みを行っているという。

また、同社の製品ラインアップ全体で「安全性」に関するアップデートに分類されるいくつかの新機能が追加された。

手始めに、スマートスピーカーやディスプレイにカレンダーや連絡先などの個人情報を表示しないようにするGoogleアシスタントのゲストモード機能は、今後数カ月のうちに9つの言語でグローバルに利用できるようになるとGoogleは述べている。ゲストモードにすると、それを無効にするまで個人情報はプライベートに保たれる。これは、スマートデバイスの周りに他の人がいる場合を想定したソリューションだ。また、ゲストモードで録音された音声は、あなたのGoogleアカウントには保存されない。今回の拡張は、Nest Hub MaxやNest Audioなど、さまざまなデバイスが対象となる。

近い将来、T-Mobile(T-モバイル)やU.S.Cellular(USセルラー)などの米国のネットワークを活用したGoogleのMVNO通信サービスであるGoogle Fiには、Find MyやLife360アプリと同様の家族追跡機能が追加される予定だ。Google Fiプランを利用しているユーザーは、追加料金なしでFiモバイルアプリから自分の位置情報を家族とリアルタイムに共有できるようになる。このトラッキング機能は、一定の時間が経過するとオフになるように設定するか、手動で設定をオフにするまで有効にすることも、あるいは常にオンに設定することもできる。この機能は、Google Fiの既存のファミリー機能に追加される。ファミリー機能では、大人が家族のデータ割り当てを設定したり、不明な送信者が子どもにメッセージを送れないようにブロックすることができる。

8日に発表されたもう1つの新機能は、実は先週導入されたものだ。Googleは、Google Oneプレミアムサブスクリプションの一環として、iOSデバイスにVPNサービスを展開していることを指摘している。プレミアムクラウドストレージプラン(2TB以上)の会員は、iOS版のGoogle OneアプリからVPNを利用できるようになる。

Googleはまた、まもなく開始されるセーフブラウジング機能を予告している。3月から、ユーザーはGoogleのアカウントレベルの「強化されたセーフブラウジング」を選択できるようになり、オンライン上の脅威やGoogleアカウントに対する脅威に対して、より広範な保護を提供するという。この機能は、よりリスクの高いユーザーが利用することを目的としており、アカウント設定画面やセキュリティ診断を受けた際に利用可能になる。

画像クレジット:Alex Tai/SOPA Images/LightRocket / Getty Images

原文へ

(文:Sarah Perez、翻訳:Aya Nakazato)

約99億円費やした米国税庁、結局顔認証での本人確認を取り止め

IRS(米内国歳入庁)は米国時間2月7日、同庁のオンラインポータルにログインしようとする米国の納税者から生体情報を収集するサードパーティ顔認証システムの使用を取り止める計画を発表した。

IRSは、ID.meという請負業者が構築したこの技術を、数週間以内に放棄するとしている。その代わりに、顔画像やビデオを収集しない「追加認証プロセス」に切り替えるとのこと。ID.meとの2年間の契約は8600万ドル(約99億円)に相当する。

IRSのChuck Rettig(チャック・レティグ)長官は、次のように述べている。「IRSは納税者のプライバシーとセキュリティを重要視しており、提起された懸念を理解しています。誰もが自分の個人情報がどのように保護されているかについて安心できるべきであり、当庁は顔認証を伴わない短期的なオプションを早急に追求しています」。

米国の徴税機関であるIRSのオンライン認証システムの更新は、2022年夏に全面的なロールアウトが予定されているが、米国民の機密性の高いバイオメトリックデータを収集することになると批判を受けていた。

確定申告者の多くはIRS.gov上でID.meシステムにすでに遭遇しており、オンラインログインのために顔映像の提出を求められていた。ID.meシステムでのログインに失敗すると、納税申告者は長いキューに入れられ、別のサードパーティ企業とのビデオ通話で本人確認を受けることになる。

レティグ氏に宛てた書簡の中で、Ted Lieu(テッド・リュウ)下院議員(民主党、カリフォルニア州選出)、Anna Eshoo(アンナ・エシュー)下院議員(民主党、カリフォルニア州選出)、Pramila Jayapal(プラミラ・ジャヤパル)下院議員(民主党、ワシントン州選出)、イベット・クラーク下院議員(民主党、ニューヨーク州選出)は、民間企業が何百万人もの米国民の顔データを収集することは、サイバーセキュリティ上のリスクがあると懸念を表明した。また、顔認識システムには、非白人の顔の誤検出率が高いというような人種的偏見が内在していることを示す研究結果も指摘した。

議員たちは「明確にしておきたいのですが、米国民は、IRSのウェブサイトにアクセスするための代替手段として、自分の生体情報を民間業者に提供するという選択肢はありません。強制的に提供しなければならないのです。」と書いている。

IRSが顔認証技術の導入を選択したことで、IRSはプライバシー保護派と対立しただけでなく、認証システムが不測の事態を引き起こすかどうかを評価する「厳正な審査」を受けない限り、顔認証技術を導入しないと公言している連邦政府の一般調達局(GSA)の見解にも反することになった。GSAの既存の本人確認方法は、生体情報を必要とせず、代わりに政府の記録や信用報告書のスキャンを利用している。

関連記事
【コラム】生体情報収集への道は善意で舗装されている
顔認証の使用禁止措置や論争にもかかわらず同スタートアップには巨額の資金が注がれている

画像クレジット:www.SeniorLiving.Org

原文へ

(文:Taylor Hatmaker、翻訳:Aya Nakazato)

バーチャル「最高情報セキュリティ責任者」を提供するCynomiが約4億円調達、中小企業のセキュリティ自動化を支援

イスラエルのサイバーセキュリティ企業Cynomiは、中小企業や各種のサービスプロバイダーにバーチャルのCISO(Chief Information Security Officer、最高情報セキュリティ責任者)を提供する。同社はこのほど、Flint Capitalがリードするシードラウンドで350万ドル(約4億円)を調達した。

バーチャルCISOすなわち「vCISO」は通常、専門サービスへのアウトソーシングや、リモートでパートタイムのセキュリティ実践家をオンデマンドで起用するかたちをとり、彼らが、サイバーセキュリティの専門的技能やガイダンスを企業に提供する。しかしCynomiのプラットフォームはそこから人間の部分を取り去り、人工知能を利用して人間のCISOをエミュレートし、手作業的だったオペレーションを自動化する。

Cynomiが他のvCISOと異なるのは、これまでセキュリティをマネージドサービスやセキュリティプロバイダーに依存していた中小企業に同社がフォーカスしていることだ。Cynomiの共同創業者でCEOのDavid Primor(デビッド・プリマー)氏によると、外部のエキスパートに頼む方法では社内にサイバーの専門家がいないため、悪質なハッカーの安易なターゲットになりやすい。

「中小企業や中堅の企業は状況が悪い。今では企業の経営者になっている何人かの友だちのセキュリティを手伝って痛感したのは、プロフェッショナルのCISOがいる企業と、ツールだけの中小企業の落差が大きいことです。会社を完全に守るツールはないし、犯人たちはそのことをよく知っています」とプリマー氏は語る

Cynomiは、同社のサイバーセキュリティプラットフォームを小さな企業に提供してこの落差を埋めようとする。セキュリティのスキルは一般的に不足しているだけでなく、パンデミックの間は不足が一層悪化した。Cynomiの共同創業者でCOOのRoy Azoulay(ロイ・アズーレイ)氏は「要するに中小企業や中堅企業はこの人材争奪戦に勝てない」という。

同社のvCISOプラットフォームは企業に、ランサムウェアやデータの遺漏など具体的な脅威別に、NIST(米国国立標準技術研究所)の評価点を与え、外部に露出しているアセットの脆弱性やエクスプロイトの、技術的に極めて高度な評価を与える。

Cynomiによると、すでにイスラエルと米国と英国には数社の有料顧客がいて、350万ドルのシード資金によりさらに市場開拓努力に力を入れたいという。このラウンドを支えたのは、SeedILとLytical Ventures、およびCyberXの共同創業者であるNir Giller(ニル・ギラー)氏などのビジネスエンジェルたちだ。

同社によると、数百社をランサムウェアにさらした7月のKaseyaの例のように、過去2年近くは中小企業や中堅企業がサイバー攻撃のターゲットになってきたが、同社のソリューションが市場の現状に対して遅すぎることはない。

「2021年は誰もが新しいサイバーセキュリティ・ツールの導入を急いでいましたが、再発が見られます。中小企業が保護され、すべてがうまくいくのであれば、私たちの使命は終わったと言えるでしょう。しかし、私は純粋にこのサイクルの始まりに過ぎないと考えています」とアズーレイ氏はいう。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

米国土安全保障省、過去のサイバー事件から学ぶ「サイバー安全審査委員会」を設置

米国土安全保障省(DHS)は、国家のサイバーレジリエンスを「有意義に向上」させるため、サイバーセキュリティ重大事件の調査を担当する審査委員会を設置した。

DHSによると、Cyber Safety Review Board(CSRB、サイバー安全性調査委員会)は、SolarWinds(ソーラーウィンズ)の攻撃を受けてバイデン大統領が署名した2020年5月の大統領令によって設置が決まったもので、政府、産業界、セキュリティ機関が国のネットワークとインフラをこれまで以上に保護できるよう、大規模なハッキングの原因と影響について検討する役割を担う。同委員会は、航空事故や列車の脱線事故などの交通事故を調査する国家運輸安全委員会(NTSB)を大まかにモデルとしている。

CSRBの最初の調査は、広く使われているソフトウェアライブラリLog4jに12月に発見された脆弱性に焦点を当て、今夏に報告書が出される予定だ。脆弱性の詳細が公表されて以来、増えつつあるハッカーに悪用されているこれらの脆弱性を検証することは「サイバーセキュリティコミュニティにとって多くの教訓を生む」とDHSは述べ、CSRBの助言、情報、勧告は「可能な限り」公開される予定だと付け加えた。

委員会は連邦政府と民間部門のサイバーセキュリティのリーダーで構成され、メンバーはNTSBの3倍にあたる15人だ。国土安全保障省の政策担当次官Robert Silvers(ロバート・シルバーズ)氏が委員長を務め、Google(グーグル)のセキュリティエンジニアリング主任Heather Adkins(ヘザー・アドキンス)氏が副委員長を務める予定だ。

この他、国家安全保障局のサイバーセキュリティ担当ディレクターであるRob Joyce(ロブ・ジョイス)氏、Silverado Policy Accelerator(シルバラード・ポリシー・アクセラレーター)の共同創業者で会長、そしてCrowdStrike(クラウドストライク)の元最高技術責任者であるDmitri Alperovitch(ドミトリ・アルペロヴィッチ)氏、脆弱性報奨金制度のパイオニアでありLuta Security(ルタ・セキュリティ)を設立して率いているKaty Moussouris(ケイティ・ムスリス)氏が委員に名を連ねている。

ムスリス氏はTechCrunchに対し、CSRBはこれ以上ないほど良いタイミングで誕生したと語った。「公共部門や民間部門に影響を与える頻度が高まっているサイバー事件を前に、我々のレジリエンスを強化するのに役立ちます」と同氏は述べた。「Log4jをはじめとするこれらの事件の調査から学んだことや推奨事項を共有することを楽しみにしています」。

上院情報委員会の委員長Mark Warner(マーク・ワーナー)上院議員(民主、バージニア州選出)もCSRBの設置を歓迎し「国家安全保障を脅かす広範囲なサイバー侵害にまた直面するかどうかではなく、いつ直面するかの問題です」と警告した。

「サイバーセキュリティに関する2020年5月の大統領令に、NTSBのような機能が盛り込まれたことは喜ばしいことであり、そのような能力を確立するための良い第一歩となります」とも述べた。「今後数カ月間、この委員会がどのように発展していくかを見守るのが楽しみです」。

画像クレジット:Scott Olson / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

元Symantec・McAfee幹部によるIsland、セキュリティ重視のエンタープライズ向けブラウザで脱ステルス

ダラスを拠点とし、Chromium(クロミウム)ベースのエンタープライズ向けブラウザを開発しているスタートアップ「Island(アイランド)」が、約1億ドル(約114億7000万円)の資金を得てステルス状態から脱却した。

Islandによると、同社が約2年前から開発を進めてきた、わかりやすい名前の「Enterprise Browser」は、既存のコンシューマー向けブラウザと、ますます複雑化するエンタープライズのIT・セキュリティ要件との間にあるギャップを解消することを目的としているという。

Symantec(シマンテック)で社長兼COO、McAfee(マカフィー)でGM兼CTOを歴任したIslandのMike Fey(マイク・フェイ)CEOは、TechCrunchの取材に対しこう語った。「企業内で最も広く導入されているアプリケーションはブラウザですが、それはコンシューマー向けに設計されたものです。一般の消費者は、無限の自由を求めています。好きなものをインストールし、好きな場所に行き、問題なくブラウザを使って何でもできることを望んでいます。ですがエンタープライズの場合は、顧客データが安全であること、重要な情報が保護されていること、そして顧客が良い体験をしていることを確かめる必要があります」。

Islandのブラウザは、Google ChromeやMicrosoft Edge、BraveやVivaldiなど、多くの主要なブラウザを支えているオープンソースプロジェクトであるChromiumをベースにしている。これにより、企業のアプリケーションやデータに対する重要なセキュリティコントロールとガバナンスを組み込むことが可能になり、ブラウザを親しみやすいものにできるという。

このブラウザは、重要なSaaSや社内ウェブアプリケーションをデータ漏洩から守り、契約社員やBYODワーカーに安全なアクセスを提供し、セキュリティチームがコピー、ペースト、ダウンロード、アップロード、スクリーンショットなど、重要なデータを漏洩させる可能性のあるラストマイル操作を制御することを可能にする。また、セーフブラウジング、Webフィルタリング、Webアイソレーション、エクスプロイト防止、スマートネットワークルーティング、ゼロトラストアクセスなどのセキュリティ機能を内蔵している。

フェイ氏はこう語る。「この製品は、エンタープライズ向けの無限のラストマイル・コントロールを備えたブラウザと考えてください。私たちは、環境を強化し、アイテムを暗号化し、より多くのコントロールを提供しています。必ずしもハッカーを排除するわけではありませんが、(彼らの)勝利を排除しているのです。実際には、ハッカーがアクセスしたいデータが、彼らが盗めるようなエンドポイントに置かれていないということです」。

100人以上の従業員を擁するIslandは、Insight Partners、Sequoia Capital、Cyberstarts、Stripesなど、アーリーステージの有力投資家から1億ドル(約114億7000万円)近い資金を獲得した。同社はTechCrunchに対し、今回の投資をスタッフの増強と市場投入戦略の拡大に活用すると述べている。

「才能の点で妥協することなく、できるだけ早く200人のエンジニアを確保したいと考えています」とフェイ氏はいう。「それだけの素晴らしいエンジニアを見つけるのに可能な限りのスピードで、増員していきます」。

同社は、すでに次の資金調達も視野に入れているという。「シリーズAやシリーズBは当然あるでしょうし、私たちの夢や希望を実現するためには、近く資金を調達しなければなりません」とフェイ氏は語った。

画像クレジット:Island / YouTube(video)

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

Mozilla、モバイルおよびデスクトップのVPNに新プライバシー機能を展開

Mozilla(モジラ)は、モバイルとデスクトップVPNサービスの新しいアップデートを展開すると、米国時間2月1日に発表した。Mozilla VPN 2.7では、Firefoxの人気アドオンの1つであるマルチアカウントコンテナーをデスクトッププラットフォームに導入し、AndroidとiOS版のVPNサービスにもマルチホップ機能を導入している。

Firefoxのマルチアカウントコンテナーにより、ユーザーは仕事、ショッピング、バンキングなど、オンライン活動の異なる部分を分離することができる。仕事のメールをチェックするために新しいウィンドウや別のブラウザを開く必要がなく、その活動をコンテナータブに分離することができ、他のサイトがウェブ上の活動を追跡するのを防ぐことができる。同社は、このアドオンとMozillaのVPNを組み合わせることで、ユーザーの区分されたブラウジング活動にさらなる保護層を追加し、ユーザーの位置情報にもさらなる保護を追加することができると述べている。

「例えば、仕事で出張中、フランスのパリで仕事のメールをチェックするためにコンピュータを使用しているが、ニューヨークの個人の銀行口座もチェックしたいとします。そこで、マルチアカウントコンテナーに加え、Mozilla VPNの追加プライバシーと30カ国の400以上のサーバーから選択することで、仕事と個人の財務のオンライン活動を分離することができます」と、Mozillaは新しい発表についてブログ投稿に書いた。

2021年、Mozillaは、1つのVPNサービスではなく、2つのVPNサーバを使用することができるマルチホップ機能をデスクトップで発表したが、今回、それがモバイル上でも展開されることになった。この機能は、最初にエントリのVPNサーバー、そして出口のVPNサーバーを介してあなたのオンラインアクティビティをルーティングすることによって動作する。Mozillaは、VPNサービスのAndroidとiOSバージョンにこの機能をもたらすことは、ブラウジング時にユーザーにさらなるプライバシーを与えると言っている。同社は、この機能は、プライバシーについて特に注意したい人々に有用であり、政治活動家や敏感なトピックについて書いているジャーナリストにも有用であることを指摘している。

これらの新しいアップデートは、Mozilla が最近、Android 版 Firefox Focus にクロスサイトトラッキングに対抗するために使用する Total Cooke Protection (トータルクッキープロテクション)の提供を開始したことに続くものだ。Total Cookie Protection の目的は、毎日訪れるサイトや検索している製品などの情報を企業が収集するクロスサイト・トラッキングを緩和することだ。Mozillaは2021年、Firefox Relayを発表した。これは、ユーザーのアイデンティティを保護するために、ユーザーの実際の電子メールアドレスを隠すための製品だ。

画像クレジット:David Tran / Getty Images

原文へ

(文:Aisha Malik、翻訳:Yuta Kaminishi)

【コラム】Web3の成功はセキュリティ対策の修正にかかっている

Web 1.0とWeb 2.0はともに、セキュリティモデルがアプリケーションアーキテクチャーともに変更され、まったく新しい経済の扉を開いた。Web 1.0では、Secure Socekts Layer(SSL、セキュリティ・ソケット・レイヤー)がNetscape(ネットスケープ)によっていち早く開発され、ユーザーのブラウザーとさまざまなサーバーとの間の堅牢なコミュニケーションを可能にした。Google(グーグル)、Microsoft(マイクロソフト)、Amazon(アマゾン)などのWeb 2.0の信頼できる仲介者と認証機関は、SSLの後継となるTransport Layer Security(TLS、トランスポート・レイヤー・セキュリティ)の実装を加速する中心的役割を果たした。

同じことがWeb3でも起きようとしている。これが、新しいWeb3セキュリティ会社への投資が2021年10倍以上増えて10億ドル(約1兆1500万円)を超えた主な理由だ。

Web3の成功は、さまざまなアプリケーションアーキテクチャーが生み出す新たなセキュリティ問題を解決するイノベーションにかかっている。Web3では、分散型アプリケーション(dApps)が、Web 2.0に存在する伝統的アプリケーションロジックやデータベースレイヤーに依存することなく作られている。代わりにブロックチェーン、ネットワークノード、スマートコントラクトなどのプロトコルがロジックと状態の管理に使われている。

ユーザーは今までと変わらずにフロントエンドをアクセスし、そこからノードにつながってデータの更新、たとえば新しいコンテンツの公開や商品の購入などを行う。この手順では、ユーザーが各自のプライベートキー(秘密鍵)を使って取引を承認する必要があり、通常秘密鍵はウォレットで管理される。これはユーザーのコントロールとプライバシーを保護することを目的としたモデルだ。ブロックチェーンを利用した取引は完全に公開されていて、誰もがアクセス可能でイミュータブル(改変不可能)だ。

どんなシステムでも同じだが、このデザインにはセキュリティとのトレードオフがある。ブロックチェーンでは、Web 2.0のように行為者が信頼されている必要がなく、セキュリティ問題に対応するための更新がより困難だ。ユーザーはアイデンティティに関する制御を自ら維持することができるが、アタックを受けたり、キーを悪用された時に助けてくれる仲介者は存在しない(Web 2.0プロバイダーは、盗まれた財産を復活させたりパスワードをリセットできる)。ウォレットも、Ethereum(イーサリアム)アドレスなどの重要情報を漏らす可能性がある。ソフトウェアである限り完璧にはなりえない。

こうしたトレードオフは、当然ながら重大なセキュリティ上の懸念を喚起しているが、それによってWeb3の機運が削がれるべきではなく、実際その可能性は低い。

改めてWeb 1.0、Web 2.0との類似点を見てみよう。SSL/TLSの初期バージョンには致命的な脆弱性があった。かつてのセキュリティツールはよくいって原始的であり、時間とともに堅牢になっていった。Web3のセキュリティ会社やプロジェクト、たとえばCertik(サーティック)、Forta(フォータ)、Slither(スリザー)、Securify(セキュリファイ)などは、Web 1.0やWeb 2.0アプリケーションのために当初開発されたコードスキャニングやアプリケーションセキュリティテスティングのツールに相当する。

しかし、Web 2.0では、セキュリティモデルの中心はレスポンスだった。Web3では、いったん実行された取引は変更不可能なので、その取引がそもそも実行されるべきかどうかを検証する機構が組み込まれている必要がある。言い換えると、セキュリティは予防に関して並外れて優秀でなければならない。
つまりこれは、Web3コミュニティは、系統的脆弱性に正確に対応し、暗号プリミティブからスマート・コントラクトの脆弱性まであらゆるものをターゲットにする新たな攻撃手段を阻止する方法を見つけなければならないことを意味している。現在、予防型Web3セキュリティモデルを推進するイニシアチブが少なくとも4つ、進行している。

脆弱性に関するデータの信頼できる情報源

Web3の既知の脆弱性や弱点に関する信頼できる情報源が必要だ。現在、National Vulnerability Database(NVD、脆弱性情報データベース)が脆弱性管理プログラムのために基本データを提供している。

Web3には、分散型の同等品が必要だ。現在は、不完全な情報がSWC Registry(SWCレジストリー)、Rekt(レクト)、Smart Contract Attack Vectors(スマート・コントラクト・ベクターズ)、DeFi Threat Matrix(ディーファイ・スレット・マトリクス)などさまざまな場所に散らばっている。Immunefi(イミュニファイ)などが実施しているバグバウンティプログラムは、新しい弱点を発見することを目的にしている。

セキュリティに関わる意思決定基準

重要なセキュリティデザインの選択や、Web3の個々の事象に関する意思決定モデルは今のところ知られていない。分散型というのは、誰も問題の責任をもたないという意味なので、ユーザーにとって予期せぬ大問題がおきることがある。最近のLog4j脆弱性のような事例は、セキュリティを分散型コミュニティに委ねる危険性の教訓だ。

関連記事:米FTC、Log4jの脆弱性を修正しない組織に対する法的措置を警告

自律分散型組織(DAO)やセキュリティ専門家Alchemy(アルケミー)やInfura(インフーラ)などのプロバイダーなどが、差し迫るセキュリティ問題にどのように協力して取り組むかを明確にしておく必要がある。大規模なセキュリティコミュニティが協力し、OpenSSF(オープンSSF)やいくつものCNCFアドバイザリーグループを結成してセキュリティ問題に取り組むプロセスを確立したという良い事例がある。

認証と署名

現在ほとんどのdAppは、最も著名なものを含め、APIのレスポンスに認証や署名を行っていない。これは、ユーザーのウォレットがこれらのアプリからデータを取得したとき、レスポンスが意図したアプリから来たものであり、データが何からの方法で改ざんされていないことを検証するまでに時間のずれが生じることを意味している。

アプリが基本的なセキュリティのベストプラクティスを実施していない世界では、アプリのセキュリティに対する姿勢と信頼性を確かめる仕事はユーザーに任されているが、それは事実上不可能だ。最低限、リスクをユーザーに知らせるもっとよい方法が必要だ。

シンプルでユーザーが制御可能なキー管理

暗号化キーは、Web3パラダイムの下でユーザーが取引を行う仕組みを支えるものだ。暗号化キーは、正しく管理することが困難であることでも悪名高い。ビジネス全体がキー管理を中心に作られている必要があり、今後もそれは変わらない。

秘密鍵の管理に関わる複雑さとリスクは、ユーザーが自己管理ウォレット(non-custodial wallet)よりもホスト型ウォレット(hosted wallet)を選びたがる主要な理由だ。しかし、ホスト型ウォレットの利用には2つのトレードオフがある。Coinbase(コインベース)のような新たな「intermediaries」(仲介者)を生み、Web3の完全分散型への方向性を阻害すること。そして、ユーザーがWeb3の提供するものすべてを利用する機会を奪うことだ。理想は、さらなるセキュリティイノベーションによって自己管理ウォレットの使いやすさとセキュリティの両方が改善されることだ。

最初の2つのイニシアチブは人間とプロセスが中心なのに対して、3番目と4番目のイニシアチブはテクノロジーの変化が必要であることは注目に値する。新しい技術と生まれつつあるプロセス、さらに膨大な数のユーザーを調整しなければならないことが、Web3セキュリティの解決を難しくしている。

一方で、最も勇気づけられる変化の1つは、Web3のセキュリティイノベーションが開かれた場で起きていることだ。これがどれほど創造的ソリューションにつながるかを決して過小評価してはならない。

編集部注:本稿の執筆者Wei Lien Dang(ウェイ・リエン・ダン)氏はセキュリティ、インフラストラクチャー・ソフトウェアおよび開発ツールへの投資で知られるUnusual Venturesのゼネラルパートナー。クラウドネイティブセキュリティ会社で後にRed Hatに買収された、StackRoxを共同設立した。

画像クレジット:Westend61 / Getty Images

原文へ

(文:Wei Lien Dang、翻訳:Nob Takahashi / facebook