フェイスブックがエンド・ツー・エンド暗号化の全面導入を「2023年中まで」延期

Facebook(フェイスブック)改めMeta(メタ)が、エンド・ツー・エンド暗号化を同社の全サービスに全面展開することを「2023年中まで」延期する。このことは、同社の安全部門のグローバル責任者であるAntigone Davis(アンティゴン・デイビス)氏が英国のTelegraph(テレグラフ)紙に寄稿した論説記事によって明らかになった。

Facebook傘下のWhatsApp(ワッツアップ)には、すでに2016年からエンド・ツー・エンド暗号化が全面的に導入されているが、ユーザーがメッセージデータを暗号化する鍵をユーザーのみに持たせるこの機能は、同社の他の多くのサービスではまだ提供されていない。つまり、エンド・ツー・エンド暗号化が提供されていないそれらのサービスでは、メッセージデータを公権力に提供するよう召喚されたり令状が発行されたりする可能性があるということだ。

しかし、Facebook創業者のMark Zuckerberg(マーク・ザッカーバーグ)氏は、Cambridge Analytica(ケンブリッジ・アナリティカ)のデータ不正利用スキャンダルを受けて、2019年にはすでに「プライバシー重視のプラットフォームへと転換させる」取り組みの一環としてエンド・ツー・エンド暗号化を同社の全サービスに全面導入する計画であることを発表した。

ザッカーバーグ氏は当時、エンド・ツー・エンド暗号化の全面導入の完了時期について具体的な日程には言及しなかったが、Facebookは2021年初めに、2022年中には全面導入が完了する予定であると示唆していた。

それがこの度、同社は、2023年中の「いずれかの時点」まで完了する予定はないと発表した。明らかに先送りされているようだ。

デイビス氏によると、今回の延期は、子どもの安全に関わる捜査を支援するために情報を法執行機関に提供する能力を同社が保持できるようにして、安全性を確保しながらエンド・ツー・エンド暗号化を実装することに時間をかけたいと同社が希望しているためだという。

デイビス氏は次のように語る。「当社でもそうだが、ユーザーのメッセージにアクセスできない状態で、テック企業が虐待問題に立ち向かい続けることと法執行機関の重要な任務をサポートし続けることをどのように両立できるのかという点については、今も議論が続いている。プライバシーと安全性のどちらかを選ばなければならないような状態にしてはいけないと当社は考えている。だからこそ当社は、適切な方法でこの技術を導入するために、強力な安全対策を計画に盛り込み、プライバシー分野や安全分野の専門家、市民社会、政府と協力している」。さらに、同社は「プロアクティブな検知テクノロジー」を使用して不審なアクティビティを特定することに加え、ユーザーのコントロール権限を強化し、問題を報告する能力をユーザーに付与する予定だと同氏はいう。

Facebookが2年以上前に「全サービスへのエンド・ツー・エンド暗号化導入」計画を公に発表してからこれまで、英国を含む西側諸国の政府は、最高レベルの暗号化を全サービスに全面導入する計画を延期または断念するよう同社に対して強い圧力をかけ続けている。

英国政府はこの点で特に、Facebookに対して苦言を呈してきた。内務大臣のPriti Patel(プリティ・パテル)氏は、Facebookのエンド・ツー・エンド暗号化拡大計画は、オンラインの児童虐待を防止する努力を阻害するものになると、公の場で(繰り返し)警告し 、同社を、児童性的虐待コンテンツ(CSAM)の制作と配信を防ぐ闘いにおける無責任な悪役であるとみなした。

したがって、Metaが今回、英国政府ご贔屓の新聞に論説記事を寄稿したのは偶然ではなかったのだ。

Telegraph紙に寄稿された前述の論説記事の中で、デイビス氏は「エンド・ツー・エンド暗号化を展開するにあたり、当社は、市民の安全を確保する活動に協力しつつも、暗号化されていないデータの組み合わせを用いて各種アプリ、アカウント情報、ユーザーからの報告をプライバシーが保護された安全な状態に保つ」と述べ「この取り組みにより、すでに、子どもの安全を担当する当局機関に対し、WhatsAppから極めて重要な情報を報告することができている」と同氏は付け加える。

デイビス氏はさらに、Meta / Facebookは過去の事例をいくつも調査した結果「エンド・ツー・エンド暗号化をサービスに導入した場合でも、重要な情報を当局機関に報告することができていた」との結論に達したと述べ「完璧なシステムなど存在しないが、この調査結果は、当社が犯罪防止と法執行機関への協力を継続できることを示している」と付け加えた。

ところで、Facebookのサービスにおいてすべてのコミュニケーションがエンド・ツー・エンドで暗号化された場合に、同社は一体どのようにして、ユーザーに関するデータを当局機関に渡すことができるのだろうか。

Facebook / Metaがそのソーシャルメディア帝国において、ユーザーのアクティビティに関する手がかりを集めている方法の詳細をユーザーが正確に知ることはできない。しかし、1つ言えることとしてFacebookはWhatsAppのメッセージ / コミュニケーションの内容がエンド・ツー・エンドで暗号化されるようにしているが、メタデータはエンド・ツー・エンドで暗号化されていないということだ(そしてメタデータからだけでも、かなり多くの情報を得ることができる)。

Facebookはまた、例えば、2016年に議論を呼んだプライバシーUターンのように、WhatsAppユーザーの携帯電話番号データをFacebookとリンクさせるなど、アカウントとそのアクティビティを同社のソーシャルメディア帝国全体で定期的にリンクさせている。これにより、Facebookのアカウントを持っている、あるいは以前に持っていたユーザーの(公開されている)ソーシャルメディアアクティビティが、WhatsAppならではの、より制限された範囲内でのアクティビティ(1対1のコミュニケーションや、エンド・ツー・エンド暗号化された非公開チャンネルでのグループチャット)とリンクされる。

このようにしてFacebookは、その巨大な規模(およびこれまでにプロファイリングしてきたユーザーの情報)を利用して、たとえWhatsAppのメッセージ / コミュニケーションの内容自体がエンド・ツー・エンドで暗号化されていたとしても、Facebook / Metaが提供する全サービス(そのほとんどがまだエンド・ツー・エンド暗号化されていない)において、誰と話しているのか、誰とつながっているのか、何を好きか、何をしたか、といったことに基づいて、WhatAppユーザーのソーシャルグラフや関心事を具体的に把握できる。

(このことを、デイビス氏は前述の論説記事で次のように表現している。「エンド・ツー・エンド暗号化を展開するにあたり、当社は、市民の安全を確保する活動に協力しつつも、暗号化されていないデータの組み合わせを用いて各種アプリ、アカウント情報、ユーザーからの報告をプライバシーが保護された安全な状態に保つ。この取り組みにより、すでに、子どもの安全を担当する当局機関に対し、WhatsAppから極めて重要な情報を報告することができている」)。

Facebookは2021年の秋口に、WhatsAppが透明性に関する義務を遂行しなかったとして欧州連合から多額の罰金を科せられた。WhatsAppがユーザーデータの使用目的と、WhatsApp-Facebook間においてそのデータを処理する方法について、ユーザーに適切に通知していなかったことが、DPAの調べによって明らかになったためだ。

関連記事:WhatsAppに欧州のGDPR違反で約294億円の制裁金、ユーザー・非ユーザーに対する透明性の向上も命令

FacebookはGDPRの制裁金に関して控訴中だが、米国時間11月22日に、欧州の規制当局からの求めに応じて、欧州のWhatsAppユーザー向けのプライバシーポリシーの文言を少し変更することを発表した。しかし、同社によると、ユーザーデータの処理方法については、まだ何の変更も加えていないとのことだ。

さて、エンド・ツー・エンド暗号化そのものに話を戻すと、2021年10月、Facebookの内部告発者であるFrances Haugen(フランセス・ハウゲン)氏が、同社によるエンド・ツー・エンド暗号化テクノロジーの応用に関して懸念を表明した。このテクノロジーはオープンソースではなく、専有テクノロジーであるため、ユーザーはFacebook / Metaのセキュリティ方針を信じなければならず、同テクノロジーのコードが本当にそのセキュリティ方針を順守しているかどうか、独立した第三者が検証する術がない、というのが同氏の主張だ。

ハウゲン氏はさらに、Facebookがエンド・ツー・エンド暗号化をどのように解釈しているのかを社外の者が知る方法がないことも指摘し、同社がエンド・ツー・エンド暗号化の使用を拡大しようとしていることについて「Facebookが本当は何をするつもりなのかまったくわからない」と述べて懸念を表明した。

「これが何を意味するのか、人々のプライバシーが本当に保護されるのか、私たちにはわかりません」と英国議会の議員たちに語ったハウゲン氏は、さらに次のように警告した。「これは非常に繊細な問題で、文脈も異なります。私が気に入っているオープンソースのエンド・ツー・エンド暗号化製品には、14歳の子どもがアクセスしているディレクトリや、バンコクのウイグル族コミュニティを見つけるためのディレクトリはありません。Facebookでは、社会的に弱い立場にある人々を標的にすることが、この上なく簡単にできてしまいます。そして、国家政府がそれを行っているのです」。

ハウゲン氏は、エンド・ツー・エンド暗号化の支持については慎重に言葉を選んで発言し、エンド・ツー・エンド暗号化テクノロジーは、外部の専門家がそのコードや方針を厳正に調査できるオープンソースで対応することが望ましいと述べた。

しかし、Facebookの場合は、エンド・ツー・エンド暗号化の実装がオープンソースではなく、誰も検証できないため、規制当局による監視が必要だとハウゲン氏は提案した。ユーザーのプライバシーをどの程度確保するか(したがって、政府当局などによる潜在的に有害な監視からの保護をどの程度確保するか)、という点についてFacebookが誤解を招く指針を打ち出さないようにするためだ。

「私たちはプライバシーを保護し、危害の発生を防ぐ」という見出しの下で書かれた前述のデイビス氏の論説記事は、Metaが「外部の専門家と引き続き協力し、虐待と闘うための効果的な方法を構築していく」ことを誓う言葉で締めくくられており、英国議会の議員をなだめることによって、Facebookが一挙両得を狙っているように感じられる。

「Facebookはこの取り組みを適切な方法で進めるために時間をかけており、当社のすべてのメッセージングサービスでエンド・ツー・エンド暗号化を標準機能として導入することが、2023年中のある時点までに完了する予定はない」とデイビス氏は付け加え「Facebookはユーザーのプライベートなコミュニケーションを保護し、オンラインサービスを使用する人々の安全を守る」という、具体性のない宣伝文句をまた1つ発して記事を締めくくった。

英国政府は間違いなく、Facebookが今回、規制に配慮を示しながら非常に厄介な問題に関する記事を公に発表したことについて、喜ばしく思うだろう。しかし、同社が、パテル内相などからの長期にわたる圧力を受けて、エンド・ツー・エンド暗号化の延期の理由を「適切に導入するため」だと発表したことは「では、非常にセンシティブなプライバシーに関する問題という文脈において、その『適切』とは何を意味するのか」という懸念を強めるだけだろう。

もちろん、デジタル権利の擁護活動家やセキュリティの専門家を含むより大きなコミュニティも、今後のMetaの動向を注意深く見守っていくだろう。

英国政府は最近、児童性的虐待コンテンツ(CSAM)の検知または報告、作成阻止を目的として、エンド・ツー・エンド暗号化サービスにも応用できる可能性があるスキャニング/フィルタリング技術を開発する5つのプロジェクトに、およそ50万ポンド(約7700万円)の税金を投じた。「代替ソリューション」(プラットフォームにエンド・ツー・エンド暗号化を実装する代わりに、スキャニング / フィルタリング技術を暗号化システムに組み込むことによってCSAMの検知 / 摘発を行う)を開発することによって、革新的な方法で「テクノロジーにおける安全性」を確保するよう閣僚たちが求めたためだ。

したがって、英国政府は(ちなみに現在、オンライン安全法案の制定に向けても動いている)、子どもの安全に関する懸念を政治的な圧力として利用して、暗号化されたコンテンツを、エンド・ツー・エンド暗号化の方針のいかんに関わらず、ユーザーのデバイス上でスキャンすることを可能にするスパイウエアを実装するようプラットフォームに働きかける計画のようだ。

そのようにして埋め込まれたスキャンシステムが(閣僚たちの主張とは相容れないものの)堅牢な暗号化の安全性にバックドアを作ることになれば、それが今後数カ月あるいは数年のうちに厳密な調査と議論の対象になることは間違いない。

ここで参考にできるのがApple(アップル)の例だ。Appleは最近、コンテンツがiCloudのストレージサービスにアップロードされる前に、そのコンテンツがCSAMかどうかを検知するシステムをモバイルOSに追加することを発表した。

Appleは当初「当社は、子どもの安全とユーザーのプライバシーを両立させるテクノロジーをすでに開発している」と述べて、予防的な措置を講じることについて強気な姿勢を見せていた。

しかし、プライバシーやセキュリティの専門家から懸念事項が山のように寄せられ、加えて、そのように一度は確立されたシステムが(著作権下のコンテンツをスキャンしたいという市場の要求だとか、独裁政権下の国にいる反政府勢力を標的にしたいという敵対国家からの要求に応えているうちに)いや応なく「フィーチャークリープ」に直面する警告も発せられた。これを受けてAppleは1カ月もたたないうちに前言を撤回し、同システムの導入を延期することを表明した。

Appleがオンデバイスのスキャナーを復活させるかどうか、また、いつ復活させるのか、現時点では不明である。

AppleはiPhoneのメーカーとして、プライバシー重視の企業であるという評判(と非常に高収益の事業)を築いてきたが、Facebookの広告帝国は「利益のために監視する」という、Appleとは正反対の野獣である。したがって、全権力を握る支配者である創業者が、組織的に行ったプライバシー侵害に関する一連のスキャンダルを取り仕切った、Facebookという巨大なソーシャルメディアの野獣が、自社の製品にスパイウエアを埋め込むようにという政治的な圧力を長期にわたって受けた結果、現状を維持することになれば、それは自身のDNAを否定することになるだろう。

そう考えると、同社が最近、社名をMetaに変更したことは、それよりはるかに浅薄な行動だったように思えてくる。

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Dragonfly)

ローコード / ノーコードアプリの安全性確保を支援するZenityが約5.8億円調達

基幹業務のアプリケーションの構築にローコード / ノーコードのツールを採用する企業が増えており、そのエコシステム内にツールのセキュリティにフォーカスした新たなサービスが登場しているのも当然かもしれない。テルアビブのZenityはそんな企業の1つで、同社は現地時間11月23日、ステルスを抜けて500万ドル(約5億8000万円)のシードラウンドを発表している。そのラウンドはVertex VenturesとUpWestがリードし、GoogleのCISOだったGerhard Eschelbeck(ゲルハルト・エッシェルベック)氏や、SuccessFactorsのCIOだったTom Fisher(トム・フィッシャー)氏といった多くのエンジェル投資家が参加している。

Zenityによると、従業員たちが自分でアプリケーションを作るようになり、RPA(ロボットによる業務自動化)などのツールを採用するようになると、新たなアプリが、ハッキング行為やランサムウェアなどに対して、これまでなかったようなドアを開いてしまうこともある。

Zenityの共同創業者でCEOのBen Kliger(ベン・クリガー)氏は、このような状況について「企業は現在、大々的にローコード / ノーコードを採用していますが、そのリスクやリスクに対して自分たちが共有すべき責任について理解していません。弊社はCIOやCISOたちをサポートし、彼らがローコード / ノーコードアプリケーションをシームレスに統括できるようにし、不意のデータ漏洩や事業への妨害、コンプライアンスのリスク、悪質な侵害などを防ぐ」と述べている。

Zenityのプラットフォームは、企業にその組織内のローコード / ノーコードアプリケーションのカタログを作らせ、問題の可能性を減らし、彼らの組織のための自動的に施行できるガバナンスのポリシーをセットアップする。同社によると、従来的なセキュリティサービスの方法はローコード / ノーコードのアプリケーションに適用できないにもかかわらず、そんなツールへのニーズだけが独り歩きで増えている。しかもそれを使っているデベロッパーにセキュリティの経験や知識がない。中にはソフトウェア開発の経験知識のないデベロッパーもローコード / ノーコードの世界にはいるだろうという。

画像クレジット:Zenity

同社はCEOのクリガー氏とCTOのMichael Bargury(マイケル・バーガリー)氏が創業した。2人とも、それまではAzureに在籍し、Microsoftのクラウドセキュリティチームで仕事をしていた。

Zenityのアドバイザーで元OracleとQualcommのCIO、そしてeBayのCTOでもあるTom Fisher(トム・フィッシャー)氏は次のように述べている。「ビジネスを邪魔せずローコード / ノーコードのソリューションにありがちなリスクとセキュリティの脅威を減らすことが難題です。Zenityには、ガバナンスとセキュリティツールの完璧な組み合わせと、ビジネスに対するプロのアプローチが備わっているため、企業のデベロッパーは安心してともにセキュリティを構築できます」。

画像クレジット:Zenity

[原文]

(文:Frederic Lardinois、翻訳:Hiroshi Iwatani)

正当なアプリを装う新たなAndroidスパイウェア「PhoneSpy」が韓国で発見される

セキュリティ研究者は、機密データを盗むため、韓国に住んでいる人のAndroid(アンドロイド)端末をターゲットにした新しいスパイウェアを発見した。

デバイス上の脆弱性を利用する他のスパイウェアとは異なり、「PhoneSpy(フォンスパイ)」として知られるこのスパイウェアは、テレビのストリーミングやヨガのレッスンなど正規のAndroidのライフスタイルアプリを装い、被害者のデバイス上に平然と潜入する。このスパイウェアは、ログイン情報、メッセージ、詳細な位置情報、画像などのデータを被害者の端末から密かに盗んでいる。また、PhoneSpyは、モバイルセキュリティアプリを含むあらゆるアプリをアンインストールすることもできる。

23のアプリ内にPhoneSpyを発見したモバイルセキュリティ会社Zimperium(ジンぺリウム)の研究者は、このスパイウェアは、被害者のカメラにアクセスしてリアルタイムで写真やビデオを撮影することも可能で、個人や企業への脅迫やスパイ活動に利用される可能性もあると警告している。このような行為は、被害者に気づかれることなく行われ、Zimperiumは、ウェブのトラフィックを監視していない限り、発見するのは難しいと指摘している。

正当に見えるアプリが、デバイス上で過剰な許可を要求するのは、一般的なレッドフラッグだ。ZimperiumのRichard Melick(リチャード・メリック)氏は、TechCrunchに次のように述べた。「一度許可が得られれば、アタッカーはコントロールを奪い、ユーザーメニューからアプリを隠し、舞台裏に留まって、断続的に追跡と窃盗を続けることができます」。

PhoneSpyは、Google Playに掲載されているのを知られておらず、どのAndroidのストアフロントでもサンプルが見つかっていない。Zimperiumによると、アタッカーはウェブトラフィックのリダイレクトやソーシャルエンジニアリング(ユーザーを操作して特定のアクションを実行させたり、機密データを引き渡たさせたりする攻撃手法)に基づく配布方法を使用しているとのことだ。

メリック氏は「PhoneSpyは、被害者の端末にダウンロードされる悪意のある偽のアプリを通じて配布されます。フィッシングサイトのように、エンドユーザーを騙して、ウェブサイトや直接リンクから正規のアプリと思われるものをダウンロードさせるWebトラフィックのリダイレクションやソーシャルエンジニアリングを通して配布されていることを示す証拠があります」。

Zimperiumによると、これまでに韓国で1000人以上の被害者を出しているPhoneSpyは、既知の、そして過去に使用されたスパイウェアやストーカーウェアのアプリと多くの類似点がある。「このことから、誰かが必要な機能をまとめて新しいスパイウェアを作ったのではないかと考えられます」とメリック氏は付け加えた。また、既製のコードを使用すると指紋が少なくなるため、アタッカーが自分の正体を隠しやすくなる。

Zimperiumによると、米韓の当局にこの超標的型スパイウェアを通知し、コマンド&コントロール(C&C)サーバーのホストを複数回報告したという。しかし、本稿執筆時点では、PhoneSpyのスパイウェアはまだ活動中だ。

2021年10月、TechCrunchは、何十万人もの人々のプライベートなデータを危険にさらしている重大なストーカーウェアを明らかにした

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

サイバーセキュリティMcAfeeを投資家コンソーシアムが1.59兆円で買収

サイバーセキュリティソフトウェア会社McAfee(マカフィー)の長く曲がりくねった歴史は、新たに興味深い展開を見せた。米国時間11月8日、6つの投資会社からなる投資家コンソーシアムが140億ドル(約1兆5850億円)で同社を買収すると発表した。

この買収額は、1株あたり26ドル(約2945円)という株価に基づくもので、11月4日の終値に対して22.6%のプレミアムがついているという。なお、11月5日の株価は20%上昇し、同日の取引終了時点での時価総額は110億ドル(約1兆2460億円)をわずかに超えたというのも注目に値する。

このコンソーシアムは、Advent International、Permira Advisers、Crosspoint Capital Partners、カナダ年金制度投資委員会、GIC Private Limited、アブダビ投資庁の完全子会社で構成されている。AdventとPermiraが買収を主導した。

McAfeeは1987年以来、さまざまな形で存在してきた消費者向けセキュリティ企業だ。同社は2021年初め、法人部門をSymphony Technology Groupに40億ドル(約4531億円)で売却した

McAfeeは長い歴史を持っているが、消費者向けセキュリティ事業はまだ成長している。11月8日発表された直近の四半期決算では、売上高は前年同期比24%増の4億9100万ドル(約556億円)、新規加入者数は64万人だった。加入者合計は2000万人を超え、これはものすごい数字であり、投資家グループが注目せずにはいられないものだ。

Permiraのテクノロジー部門共同責任者であるBrian Ruder(ブライアン・ルーダー)氏は、消費者市場においてセキュリティが大きな関心事となっている中で の今回の買収だと指摘した。「パーソナライズされた、革新的で直感的なオンライン保護サービスに対するニーズはかつてないほど高まっています」と声明で述べた。また、PermiraはMcAfeeのブランド認知度、パートナーネットワーク、忠実な顧客基盤にも好感を持ったと付け加えた。ルーダー氏は、PermiraがMcAfeeのような企業と協力してきた経験を活かし、これらのポジティブな特徴を生かして、さらに会社を成長させることができると考えている。

投資家グループの各社は、それぞれ資金と経営資源を提供する予定だ。それがどのように機能するのかは完全には明らかになっていない。McAfeeが多くのボスを持つことになるのは確かだ。McAfeeが今回の契約に「ゴー・ショップ」条項を組み込んだことは注目に値する。これは、より良い価格を模索するために45日間の猶予を与えるという、かなり一般的な慣行だ。そのような結果になる可能性は低いものの、この条項は、会社が株主のために最善の取引をしたことを株主に証明するものだ。

3月の法人部門売却の際にも書いたが、McAfeeには複雑な歴史があり、上場と非上場を行き来し、一時は社名まで変更した。

同社の歴史は複雑で、1980年代にファイアウォールソフトウェアの販売から始まった。最終的には株式を公開したが、2010年にインテルに77億ドル(約8722億円)で買収され、再び非公開になった。2014年にはIntel Securityに社名を変更したが、2017年にIntelが42億ドル(約4757億円)でTPGに株式の過半数を売却し、社名をMcAfeeに戻した。

今回の買収はMcAfeeの株主やさまざまな規制当局の審査を通過しなければならないが、これらのハードルをクリアできれば、2022年前半には買収が完了する見込みだ。買収のニュースを受けて、同社の今朝の株価は0.57%上昇した。

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Ron Miller、翻訳:Nariko Mizoguchi

アップルのフェデリギ氏が基調講演でアプリのサイドローディングに苦言を呈す

Apple(アップル)のソフトウェアエンジニアリング責任者であるCraig Federighi(クレイグ・フェデリギ)氏は、Web Summit 2021カンファレンスの壇上で、iPhoneにアプリをサイドロードするための要件案に対する長々とした不満のリストを述べ、この行為を「マルウェア業界のゴールドラッシュ」と表現した。

この問題が議論の対象となっているのは、単にこのテーマについて活発な議論が行われているからではなく、EUのデジタルマーケット法が現在の計画通りに施行された場合、Appleが長年にわたって提供してきたApp Storeやレビュープロセスを回避してiPhoneにアプリを搭載する方法が義務づけられる可能性があるからだ。

CEOのTim Cook(ティム・クック)氏は6月、この規則が「iPhoneのセキュリティを破壊する」可能性があると述べ、同社の立場(当然、これには強く反対)をすでに明らかにしている。そのため、フェデリギ氏がクック氏を支持することは大きな驚きではないが、壇上でのスピーチのほとんどを、明らかに誤解を招くような、しかもまったく議論されていない一連の主張に費やしたことは、見る者に絶望感のようなものを与える。

各アプリやアップデートを手作業で確認するというAppleのアプローチには問題があるが、マルウェアを防ぐという目的においてはかなり良い解決策だ。しかし、自分の方法が優れているということと、他の方法が絶対に許されないということはまったく別のことだ。

フェデリギ氏は「ここには明確なコンセンサスがあります。それは、サイドローディングはセキュリティを弱め、人々のデータを危険にさらすということです」と話した。それは確かにそうかもしれないが、唯一のコンセンサスではない。また、独占禁止法の当局はいうに及ばず、開発者やユーザーの間では、AppleがiOSアプリ市場を支配しており、それが随分前からグローバルマーケットの資産というよりも、むしろ障害になっているという意見もある。

フェデリギ氏は特定の選択肢を非難してから「我々の使命は、最高と思われる選択肢を人々に提供することです」と述べた。同氏は、アプリをサイドロードするという選択肢をユーザーに提供することは「より安全なプラットフォームを求めるユーザーの選択肢を奪うことになる 」と考えている。

選択肢が増えれば、選択肢が減るということだ。続けざまにフェデリギ氏は、家を持つ人たちの心に響くような、少し面倒な例え話をした。以下に全文を引用する。

あなたは選択をしました。家族を守りたいと思い、優れたセキュリティシステムを備えたすごく安全な家を購入しました。そして、それが本当に良かったと思っています。なぜなら、あなたが引っ越してきて以来、空き巣はかつてないほどあの手この手で多発しているからです。現実のサイバーセキュリティの世界でも、これほど真実味のある話はありません。攻撃者は事実上、郵便配達人に扮して地下にトンネルを作り、裏庭の壁を鉤爪で登ろうとしています。この世界では、一部の隣人が度重なる不法侵入に悩まされていますが、あなたの家があなたの安全を守ってくれています。

しかし、そんな時に新しい法律が成立します。荷物の配達をより最適化しようと、家の1階に常に鍵のかからない通用口を作ることが義務づけられたのです。隣人の中には、このアイデアを気に入っている人もいます。しかし、あなたはそうは思いません。なぜなら、一度横のドアを作ってしまえば、誰でもそこを通ることができるからです。あなたが選んだ安全な家は、セキュリティシステムに致命的な欠陥を抱え、空き巣はそれを利用するのが得意なのです。ひと言で言えば、サイドローディングとは、鍵のかかっていない通用口のようなもので、iPhoneにサイドローディングを搭載することは、サイバー犯罪者にデバイスへの簡単な侵入口を与えることになります。このような事態を誰も望んではいないでしょう。特に、ユーザーに選択肢と保護をこれまで以上に提供しようとしている政策立案者はそうでしょう。

選択肢を増やす代わりに、審査されていないマルウェア付きソフトウェアのパンドラの箱を開けてしまい、すべての人がiPhoneの安全なアプローチを選択することができなくなってしまいます。

しかしこのようなイメージは、どんなに鮮明であっても、現実味が少し足りない。ドアを持つかどうか、使うかどうかはユーザー次第であり、Appleにはそのリスクを明確に説明する責任と機会がある。これについてGoogle(グーグル)には十分に行っていない点があるとフェデリギ氏は指摘したが、それはアップルが単に改善すればよいことのように思える。ほとんどのユーザーは、アプリをサイドロードする必要も願望もないだろうし、たとえあったとしても、その狙いはワイルドウェスト(辺境地帯)を作ることではなく(ちなみに、ほとんどのコンピューターは長い間そうだったが)、市場に競争の余地を作ることだ。

フェデリギ氏のいう「お気に入りの家」に話を戻すと、フェデリギ氏があの大きく安全な玄関のドアにはリンゴ型の特別な穴があり、そこからはAppleブランドの荷物しか届かないようになっていることに言及しなかったことは注目に値する。これは、単に家に別の穴を開けるということではなく、この10年間唯一の選択肢であり、それを運営しているすでに金持ちの会社を史上最高の金持ちにしたシステム(効果的なシステムだが、別の時代の遺物である)に対して、文字通り代替手段を持つということだ。

壇上でフェデリギ氏が語ったのは、半端な真実を盛り込んだ、かなり恐怖心を煽るものだった。おそらく、テック業界で影響力を持つ人に対して聴衆が期待していたような刺激的なスピーチではなかった。

避けられないことを先延ばしにしているだけかもしれないが、消費者のためにAppleがすでに選択したものを消費者が選択する権利に対し、同社は明らかにあらゆる手段を使って戦う。

画像クレジット:Web Summit / YouTube

原文へ

(文:Devin Coldewey、翻訳:Nariko Mizoguchi

バイデン政権が米連邦政府機関に数百のセキュリティバグ修正を指示

米国のBiden(バイデン)政権は、ほぼすべての連邦政府機関に対し、数百におよぶセキュリティバグを修正するよう命じた。それらの中には、10年ほど前に発見されたものも含まれている。

サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)から米国時間11月3日に発令された新たな拘束力のある運用指令では、連邦政府の各機関に対し、ネットワークに「重大な危険」をもたらすと認定された300以上のセキュリティ脆弱性を、6カ月間で修正するよう求めている。ただし、2021年に入ってから見つかったより新しいバグについては、わずか2週間しか修正するための期間が与えられていない。

CISAによると、これらのセキュリティバグは、2014年や2015年にさかのぼるものもあり、連邦機関を狙うサイバー犯罪者にとって「頻繁に攻撃のベクトル」になっているという。

The Wall Street Journal(ウォール・ストリート・ジャーナル紙)が最初に報じたこの指令は、ほとんどの連邦民間機関に適用されるが、軍が運営するネットワークや、国防総省や情報機関の下で運営されるネットワークについては、例外として別個に管理されることになっている。

連邦政府機関は、セキュリティパッチの展開など、サイバーセキュリティへの取り組みの主な管理を任されている。2015年以降、連邦政府機関はまず「重要な」セキュリティバグを公開後1カ月以内に修正することが義務付けられていた。2019年にはそれが拡大され、深刻度の高いバグの修正も含まれるようになった。

しかし、米政府の監視機関は、一部の連邦政府機関がいまだにサイバーセキュリティの基本的な知識を身につけていないと述べている。The Wall Street Journalによると、今回の指令に含まれるバグの多くは、これまで対象となっていなかったもので、一見影響が少ないように見えるバグでも、悪用されれば大きな損害や混乱を引き起こす可能性があることを暗に示している。

「この指令は、連邦民間機関が脆弱性管理を改善し、サイバー攻撃に対するリスクを劇的に減らすために、ただちに行動を起こすべき明確な要件を示しています」と、CISAディレクターのJen Easterly(ジェン・イースタリー)氏は述べている。

「この指令は各連邦民間機関に適用されますが、重要インフラ事業者を含む全国の組織が、同じ脆弱性を利用した攻撃の標的とされていることがわかっています。したがって、すべての組織がこの指令を適用し、CISAの公開目録に挙げられている脆弱性を優先的に緩和することが重要です」と、イースタリー氏はいう。

国家軍事委員会のサイバー小委員会のメンバーであるJim Langevin(ジム・ランゲヴィン)下院議員は、今回のCISAの指令について「ネットワークセキュリティの強化と連邦政府のサイバー衛生の向上に大きく貢献するだろう」と述べている。

画像クレジット:Busà Photography / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

【コラム】大手テックの考えや政策で変化し続けるインターネットの世界で道を切り開くために

現代のインターネット事情を語るとき、まず1番に頭をよぎるのはGoogleの圧倒的な市場シェアである。

最新のレポートによると、Googleは世界の検索市場の87%近くを、Chromeは世界のブラウザ市場の67%以上を占め、全世界で26.5億人のユーザーを擁している。そのため、オンラインツールを開発するスタートアップは誰もが何らかの形でGoogleのパートナーであると考えなければならない。しかしGoogleがこのように市場を支配しているということは、ブラウザの優位性を活かして規制を好きなように変更できてしまうということでもある。

実際、Googleは過去10年間にわたり、オンラインスタートアップに対する一定の制限をChrome上に織り込んできた。数年前からGoogleは「単一目的の拡張機能」ポリシーを施行し、拡張機能を一焦点やブラウザ機能に限定するよう求めている。

近年、Googleはユーザーのセキュリティとプライバシーを向上させることを目的としたChrome拡張機能を構築するための新しい仕様であるManifest V3の計画を発表した。原則的にChromeウェブストアは、2022年1月以降従来のManifest V2ガイドラインで構築された新拡張機能を受け付けなくなり、またその翌年までにManifest V3の規制に準拠していない既存のプログラムはすべて停止されることになる。

これにより多くのスタートアップは生死を分けるシナリオに直面することになる。時間とリソースを費やして自社製品をManifest V3に適応させるか、あるいはChrome内で完全に存在しなくなるかのどちらかを迫られるということだ。実際、他の企業と同様にこの問題に直面しているのが、私の雇用主であるGhosteryである。

こういった課題に落胆している人々も多いかもしれないが、実際のところGoogleはこの障害がこの分野の個々のプレイヤーにどのような影響を与えるのか、真摯に耳を傾けてくれている。開発者らの見識を集めるため、ロールアウトのスケジュールを延長さえしてくれているのだ。スタートアップはこの延期期間を最大限に活用して、自社の移行に関する具体的な課題を伝えておくべきである。

Chromeの今回のアップデートは、オンラインでイノベーションを起こしているスタートアップが、いつ何時、不意打ちを受けてもおかしくないということを示す一例であり、これらのポリシーを常に把握し、このような細かな変更に対応できる適切なエンジニアを配置するためのリソースを常に確保する必要があるというリマインダーでもある。

何であれ、コアビジネスをインターネット上で行うというのは、自社のことを広く認知してもらうことができ、簡単にインストールでき、熱心なユーザーにアクセスできるなどの紛れもない利点がある。Googleのような大手企業がスタートアップと協力して、すべての関係者にとって最適なソリューションを見つけようとしているならば(実際にそうしているように感じられる)、このようなオープンなコミュニケーションチャネルを利用して、自社の製品をアピールできるか否かは中小企業次第なのではないだろうか。

ネットワークを活用する

幸いなことに、変化し続けるインターネットの世界でスタートアップが一社で立ち向かう必要はない。あらゆる企業が同じエコシステムの中で活動しているため、サポートやアドバイスを得るために関連企業の広大なネットワークを利用することが可能だ。オンライン分野のスタートアップは、自分たちの課題内で孤独に戦うのではなく、エコシステム内のすべての企業に影響を与える絶え間ない変化において団結すべきなのである。

例えば私たちはManifest V3に対応するため、ウェブ拡張のW3Cグループに参加した。このコミュニティで当社のユースケースを共有し、影響を受けた他の企業と協力することにより、最新のガイドラインに合わせて当社の技術を調整することができる。リソースを共有して共同作業を行うことで、適応プロセスの早い段階でトラブルシューティングを行うことができるのである。

同じようなグループを探したり、創業者やビジネスリーダーのネットワークに直接相談したりして製品や一般的なビジネスの方向性を決めるため、このような過渡期にはスタートアップコミュニティに寄り添うべきなのである。

さまざまな方法で適応できるようになる

オンラインでイノベーションを起こしているスタートアップ企業は、ヒーロー製品に適応するためのリソースを積極的に配分するだけでなく、製品のロードマップを常に見直し、提供する製品を多様化するためのユニークな機会を模索する必要がある。

インターネットの歴史において変化のない年はなく、安定しているのは、エコシステムの中で人々は常にカスタマイズのオプションを望んでいるということだけである。鋭敏なスタートアップはeコマースツールからパスワード保護システム、プライバシースイートなど、最新かつ最高のソリューションを提供する準備を整えている。

企業によっては、Chrome以外の製品開発にも時間を割き、FirefoxやSafariなどの代替ブラウザが提供する機能を研究する必要があるかもしれない。大手企業はブラウザのカスタマイズに関する独自のポリシーを持っているため、スタートアップはまったく新しいユーザー層に門戸を開き、異なるシステムに対応した独自の機能を構築することができるのである。

モバイル分野に進出し、オンライン上の革新的な技術をiOSやAndroidでどのように利用できるか試すこともできるだろう。最終的にはインブラウザからモバイルアプリケーションまで、私たちのオンライン生活を網羅する製品範囲を持つことで、企業はオンライン世界の絶え間ない変化に対応できるようになる。最初から多角化をビジネスプランの一部にしておけば、このようなレジリエンシーの構築はずっと簡単になる。

常に変化することを受け入れる

オンラインツールやプログラムを開発しているスタートアップは政策の変更、規制の変更、市場の要求などの課題に常に直面しているが、ビッグテックとのコラボレーションを恐れずに適応可能な製品戦略を追求する企業は、消費者に最高の製品と体験を提供するための道を歩み続けることができるだろう。

自社のミッションを堅持し、かつ途中でアプローチを変更することを厭わないということが、将来にわたってイノベーションを成功させることにつながるのである。

編集部注:本稿の執筆者Pete Knowlton(ピート・ノウルトン)氏は、デジタルプライバシー企業Ghosteryの運用およびコミュニティのシニアディレクター。

画像クレジット:alengo / Getty Images

原文へ

(文:Pete Knowlton、翻訳:Dragonfly)

Snap、TikTok、YouTubeの公聴会で、米議員がオンラインで子どもたちを守る新ルールを声高にアピール

Instagramでの10代のメンタルヘルスに関する情報暴露の影響は、Facebookだけではなく、今も続く。米国時間10月26日、YouTubeとSnap、TikTokのポリシー担当者が、子どもたちとオンラインの安全性について議会で議論した。SnapとTikTokが主要な技術系の公聴会に登場したのは初めてのことだ。

関連記事:FacebookはInstagramが10代に悪影響を及ぼすことを把握していながら子供向けアプリ立ち上げを計画、この計画はさらに有害だと考えられる

上院の国消費者製品安全委員会が開催したこの公聴会では、この話題に触れるのは時間の半分程度にとどまった。委員会の共和党メンバーは、TikTokの幹部との貴重な時間を、同社と中国政府との関係をめぐるプライバシーの懸念についての質問に絡めようと必死だった。


このような逸脱はあったが、公聴会では、3人のポリシー担当者が、議会で審議されている具体的な政策案について、イエス / ノーで答えるよう求められるなど、有益な場面もいくつか見られた。公聴会では、Snapのグローバルパブリックポリシー担当副社長のJennifer Stout(ジェニファー・スタウト)、TikTokのパブリックポリシー担当副社長兼責任者のMichael Beckerman (マイケル・ベッカーマン)、YouTubeで政府関係およびパブリックポリシーを担当するLeslie Miller(レスリー・ミラー)が証言を行った。

YouTubeとTikTokの両社は、米国においてオンラインプライバシーに関する包括的な法律を制定することを求め、ベッカーマン氏は、国家的なプライバシー法の法的枠組みを「遅きに失した」と評価した。また、3社とも、親は子どもや10代の若者のオンラインデータをすべて消去できるようにすべきだという意見で一致しており、スタウト氏は、Snapchatのデータは仕様上消去されるようになっていると指摘している。しかし、Snapchatのプライバシーページには、同社が位置情報データを「どのくらいの精度で、どのサービスを利用しているかによって異なる期間 」保持することができる旨記載されている。

Ed Markey(エド・マーキー)上院議員(マサチューセッツ州)は、自身もTikTokで人気を博しているが、公聴会では、彼が「21世紀のプライバシー権利章典」と呼ぶ、子どもたちのための権利を主張した。マーキー氏は、自身が提案した児童オンライン保護法(COPPA)の改正案について、若いソーシャルメディアユーザーの保護を強化すると述べた。この法律は、テック企業が13歳から15歳までのユーザーのデータを明示的な同意なしに収集することを禁止し、未成年者の個人データを簡単に削除できる「削除ボタン」を導入するとともに、ソーシャルメディアのプラットフォームが収集できる情報の種類をより広範囲に制限するものだ。

マーキー氏は、COPPAの変更を支持するかどうかについて、各企業の担当者に質問した。TikTokを代表してベッカーマン氏は、同社はこの提案を支持するが、プラットフォームがユーザーの年齢を確認するための標準的な方法も、それ以上ではないにしても、同様に重要であると考えていると述べた。

SnapはCOPPAの提案にコミットしなかった。そして、マーキー氏はスタウト氏がテック企業が具体的な内容にコミットすることを拒否する「古いゲーム」をしていると揶揄した。YouTubeは、過去にCOPPA違反でFTC(連邦取引委員会)から1億7000万ドル(約193億円)という歴史に残る罰金を科せられたが、明確な約束はせず、マーキー氏のスタッフと「建設的な」話し合いを行ったことを強調した。

公聴会では、マーキー氏とブルメンタール氏は、2021年9月に再提出した「KIDS(キッズ・インターネットデザイン安全法」も強調した。この法案は、16歳未満のオンラインユーザーを、オートプレイ、プッシュアラート「いいね!」ボタンなどのエンゲージメントを高める機能から保護するものだ。また、16歳未満の子どもを対象としたインフルエンサーマーケティングを禁止し、プラットフォームに対し、有害なコンテンツを若いユーザーに提供した場合の報告システムの構築を義務付けるものだ。

画像クレジット:Jakub Porzycki/NurPhoto / Getty Images

原文へ

(文:Taylor Hatmaker、翻訳:Akihito Mizukoshi)

露ハッキンググループFIN7はサイバー攻撃のために偽の会社を設立し勧誘していた

金銭奪取目的のロシアのハッキンググループ「FIN7」は、ランサムウェアの活動を拡大すべく、IT専門家を誘い出すための偽の会社を設立していることがセキュリティ研究者によって明らかになった。

Recorded Future(レコーディッド・ヒューチャー)のGemini Advisory部門の研究者によると、FIN7はPOS(販売時点情報管理)レジをハッキングして数百万枚のクレジットカードから10億ドル(約1136億円)超を盗んだことで知られているが、現在は公共部門に特化したサイバーセキュリティ・サービスを提供するとうたっているBastion Secureを装って活動している。

Bastion Secureのウェブサイトは、本物のように見える。しかし調査の結果、FIN7は既存の合法的なサイバーセキュリティ企業が公開している本物の情報(電話番号、オフィス所在地、本物のウェブサイトにある文言)を利用して、正当であるように見せかけていることがわかった。Bastionのウェブサイトでは、2016年にSC Magazineの「Best Managed Security Service」賞を受賞したとうたい、またこの偽会社のコンサルタント部門は2016年にSix Degreesに買収されたと主張している。しかし、どちらも事実ではない。

Recorded Futureが偽会社のウェブサイトを分析したところ、正規のサイバーセキュリティ企業であるConvergent Network Solutions(コンバーバージェント・ネットワーク・ソリューションズ)のウェブサイトから大部分がコピーされていることがわかった。研究者によると、このサイトはサイバー犯罪者がよく利用するロシアのドメインレジストラ「Beget」でホストされており、偽会社のウェブサイトのサブメニューの一部はロシア語で「page not found(ページが見つかりません)」エラーを返す。これはサイト制作者がロシア語を話す人物であることを示している可能性があるという。

本稿執筆時点では、Chrome、Safariともにこの「偽装」サイトへのアクセスをブロックしている。

サイトと同様に、Bastion Secureの求人広告も十分に合法的なものにみえる。この架空の会社は、プログラマー、システム管理者、リバースエンジニアを募集しており、仕事内容も他のサイバーセキュリティ企業で見られるものと変わらない。

しかし、Recorded Futureによると、FIN7はBastion Secureを装って、さまざまなサイバー犯罪行為を行うために必要な作業を行うことができる「スタッフ」の育成を目指しているという。

「FIN7がランサムウェアへの関心を高めていることを考えると、Bastion Secureはおそらく特にシステム管理者を探しているのでしょう。というのも、このスキルセットを持つ個人ならランサムウェア攻撃をすることが可能だからです」と研究者は指摘した。

面接のプロセスも、研究者たちにとっては警鐘を鳴らすものだった。第1段階と第2段階では、Bastion Secureがサイバー犯罪活動を隠していることを示すものはなかったが、第3段階では従業員候補者に「実際の」課題を課していて、それによって隠していたものが露になった。

「この会社が犯罪行為に関与していることはすぐに明らかになりました」と研究者は述べた。「Bastion Secureの担当者がファイルシステムとバックアップに特に関心を持っていたという事実は、FIN7が(POS)感染よりもランサムウェア攻撃を行うことに関心を持っていたことを示しています」。

Bastion SecureのITリサーチャーとしての職を得たRecorded Futureの研究者の1人が、Bastion Secureから提供されたツールを分析したところ、そのツールがポストエクスプロイト(侵入後の活動の)ツールキット「Carbanak」と「Tirion(Lizar)」のコンポーネントであることが判明した。この2つのツールキットは、以前からFIN7のものとされており、POSシステムのハッキングとランサムウェアの展開の両方に使用することができる。

「FIN7が偽のサイバーセキュリティ企業を使って、犯罪行為のためにITスペシャリストを募集することにしたのは、比較的安価で熟練した労働力が欲しいためです」とRecorded Futureはいう。「Bastion SecureのITスペシャリスト職の求人情報の給与は月額800〜1200ドル(約9万〜13万6000円)で、これはソビエト後の国家においてはこの種の職種の初任給としてあり得る金額です。事実、FIN7の偽装会社スキームによって、FIN7の運営者はグループが犯罪活動を遂行するために必要な人材を入手することができ、と同時により大きな利益を保持することができます」。

FIN7が合法的な企業を装ったのは今回が初めてではなく、以前は「Combi Security」を装っていたが、望んでいなかった世間からの注目を受けて偽装会社の閉鎖せざるを得なくなった。

ランサムウェア専門家でEmsisoftの脅威アナリストであるBrett Callow(ブレット・カロウ)氏は、FIN7がBastion Secureを装ったのは、法執行機関からの不要な注目を避けるための試みでもあるとTechCrunchに語った。

「サイバー犯罪組織が偽の会社を使って人材を確保しようとすることは、まったく驚くことではありません。ダークウェブからの採用は問題が多く、リスクも高いものです」と話す。「ランサムウェアのギャングは、特定のサイバー犯罪フォーラムではかつてほど歓迎されておらず、応募者は潜入捜査を行っている法執行官である可能性もあります。通常の求人広告を使えば、この2つの問題を解決することができますが、一方で偽の会社がマネーロンダリングなど別の目的を持っている可能性もあります」。

「また、従業員は自分の仕事の性質について間違った方向に導かれる可能性があります。例えば、彼らは企業が自分のペネトレーションテストの本来あるべきではない受け手であることに気づかないかもしれません」とカロウ氏は述べた。

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

グーグルがAndroid Enterpriseの「バグ報奨金」プログラムを実施

Android 12はGoogle(グーグル)のPixel端末向けに正式公開され、他機種にも徐々に展開される予定だ。Androidは消費者プロダクトだと思っている人が多いかもしれないが、ここ数年Googleは、これをエンタープライズツールにもするべく力を注いでいる。Android 12にはすでに多くの企業向け機能が標準搭載されているが、GoogleがAndroid Enterpriseに関連して、セキュリティに焦点を当てた新たな取り組みを複数発表したことに驚きはない。

その中には、新たなバグ発見懸賞プログラム、その名も「Android Enterprise Vulnerability Program」(Android Enterprise脆弱性プログラム)があり、Android Enterpriseが動作しているPixel端末の重大なバグを発見した場合に最大25万ドルの報奨金が支払われる。

またGoogleは、広くパートナー・エコシステムと協力してAndroidのZero Trust(ゼロトラスト)セキュリティ・モデルのサポートを拡張する取り組みも行っている。これは、たとえばOkta、Ping、ForgeRockなどのパートナーと組むことで、Android上の認証ワークフローを、WebViewからChromeのCustom Tabsに移行することを意味している。以前からGoogleは、デベロッパーは自社ドメイン以外のコンテンツをレンダリングする際には必ずCustom Tabsを使うべきであると主張してきた。これは性能面だけでなく、Chromeのセーフブラウジング機能がセキュリティを強化するためだ。

「WebViewはウェブコンテンツのレンダリングにおける柔軟で強力なツールですが、Custom Tabsは最新のフル機能を備えているので、アイデンティティープロバイダーは端末のトラストシグナルを集め、従業員の安全を改善し、複数のアプリとウェブを通じてシングルサインオンを行うことが可能になります」、とGoogleのシニアプロダクトマネージャーであるRajeev Pathak(ラジーブ・パサック)氏が米国時間10月21日の発表で説明した。

さらにGoogleは、Android Management APIを拡張して、Microsoft、Citrix、あるいはGoogle自身の提供するEnterprise Mobility Solutionsを使っている企業が「すべてのエンタープライズ機能を、ベストプラクティスとAndroid Enterprise Recommendedの必要要件とともに、いちはやく利用できる」ようにする。

画像クレジット:Steven Puetzer / Getty Images

原文へ

(文:Frederic Lardinois、翻訳:Nob Takahashi / facebook

【コラム】今現在も「ストーカーウェア」の大流出で数千人の携帯電話データが危険に晒されている

何十万人もの人々の個人的な電話データが危険にさらされている。通話記録、テキストメッセージ、写真、閲覧履歴、正確な位置情報、通話録音など、広く使われている消費者向けスパイウェアにおけるセキュリティ上の問題から、人の電話からすべてのデータが引き出される可能性がある。

しかし、私たちが伝えることができるのはその程度のことなのだ。TechCrunchは、身元が明らかになっていない開発者に、判明しているメールアドレスと非公開のメールアドレスすべてを使って何度もメールを送ったが、この問題を明らかにするための糸口は見えなくなってしまった。メールが読まれたかどうかを確認するために、オープントラッカーを使ってメールを送ったが、これもうまくいかなかった。

この問題が解決されるまでは、何千人もの人々のセキュリティとプライバシーが危険にさらされていることになるため、我々はスパイウェアの開発者へ連絡を試みた。スパイウェアやその開発者の名前を出すと、悪意のある者が安全ではないデータにアクセスしやすくなるため、ここで名前を出すことはできない。

TechCrunchは、消費者向けのスパイウェアに関する広範な調査の一環として、このセキュリティ問題を発見した。これらのアプリは、子どもの追跡や監視のためのソフトウェアとして販売されていることが多いのだが、本人の同意なしに人を追跡したり監視したりすることから「ストーカーウェア」と呼ばれることもある。これらのスパイウェアアプリは、無言で継続的に人の携帯電話のコンテンツを吸い上げ、その運営者が人の居場所や通信相手を追跡できるようにしてしまう。これらのアプリは、発見されたり削除されたりしないように、ホーム画面から消えるように設計されているため、多くの人は自分の携帯電話が危険にさらされていることに気づかない。

関連記事:「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

電子フロンティア財団のサイバーセキュリティ担当ディレクターで、ストーカーウェア反対連合の立ち上げを主導したEva Galperin(エヴァ・ガルペリン)氏は、TechCrunchとの電話で「失望しましたが、少しも驚いていません。このような行為は、怠慢であると考えるのが妥当だと思います。悪用を可能にする製品を作っている企業があるだけでなく、流出した情報を保護するための対策があまりにも不十分なため、悪用された情報をさらに悪用する機会を与えてしまっているのです」と述べている。

TechCrunchは、開発者のスパイウェアのインフラににホスティングを提供しているウェブ企業のCodero(コデロ)にも連絡を取ったが、Coderoはコメント要請に応じなかった。Coderoはストーカーウェアのホスティングに精通している。このウェブホストは2019年にストーカーウェアメーカーの「Mobiispy」に対して、数千枚の写真や電話の記録を流出させていたことが発覚し「行動を起こした」という。

「あるストーカーウェア企業をホストしているウェブホストが、他のストーカーウェア企業をホストするのは当然だと思いますし、以前に反応を示さなかったのであれば、今回も反応を示さないのは当然でしょう」とガルペリン氏は述べている。

このように簡単に手に入るスパイウェアが蔓延していることから、業界全体でこれらのアプリを取り締まる取り組みが行われている。アンチウイルスメーカーは、ストーカーウェアを検出する能力の向上に努めており、また、Google(グーグル)は、スパイウェアメーカーに対して、配偶者の携帯電話を盗み見る方法として製品を宣伝することを禁止しているが、一部の開発者は、Googleの広告禁止を逃れるために新たな戦術を用いている。

関連記事:グーグルがスマホのスパイアプリを宣伝した「ストーカーウェア」広告を停止

モバイルスパイウェアは、セキュリティ上の問題として他人事ではない。ここ数年の間に「mSpy」「Mobistealth」「Flexispy」「Family Orbit」など、10社以上のストーカーウェアメーカーがハッキングされたり、データが流出したり、人々の携帯電話のデータを危険にさらしたりしたことが知られている。別のストーカーウェア「KidsGuard」では、セキュリティの不備により何千人もの人々の電話データが流出し、最近では、配偶者のデバイスをスパイできると宣伝している「pcTattleTale」が、推測されやすいウェブアドレスを使ってスクリーンショットを流出させていた。

連邦規制当局も注目し始めている。2021年9月、米連邦取引委員会は、2000人以上の電話データを流出させたストーカーウェアアプリ「SpyFone」の使用を禁止し、被害者に電話がハッキングされたことを通知するよう命じた。これは、当委員会がスパイウェアメーカーに対して行った2回目の措置で、1回目は、何度もハッキングされ、最終的に閉鎖に追い込まれたRetina-Xだ。

関連記事:米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

あなたやあなたの知り合いが助けを必要としている場合、日本の内閣府のDV相談+ (0120-279-889)は、家庭内の虐待や暴力の被害者に対して、24時間365日、無料で秘密厳守のサポートを提供しています。緊急事態の場合は、110に電話してください。

また、ストーカーウェア反対連合では、自分の携帯電話がスパイウェアに感染していると思われる場合に役立つ情報を提供しています。この記者の連絡先は、SignalおよびWhatsAppでは+1 646-755-8849、Eメールではzack.whittaker@techcrunch.com。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、Akihito Mizukoshi)

Facebookアプリの元責任者が内部告発者の議会証言に対して同社を擁護

米国時間10月19日の午後、WSJ Tech Liveイベントで、元FacebookアプリのトップでCEOのMark Zuckerberg(マーク・ザッカーバーグ)氏の直属だったFidji Simo(フィジー・シモ)氏が、自分が以前在籍していたソーシャルネットワークを擁護した。Instacartの新CEOになった同氏は、イベントでフードデリバリーの未来について述べたが、質問では、最近のFacebookの内部告発者の議会での証言と、それが喚起した社会的関心についても尋ねられた。

関連記事:グローサリー配達のInstacartが新CEOにフェイスブック幹部のシモ氏を指名

シモ氏によると、Facebookが多くの人の生活に与える影響を考えるとセキュリティは重要だが、Facebookが批判を鎮めるために十分なことをやっていないのが心配だ、という。Facebookは世界最大のソーシャルネットワークとして複雑な問題に取り組んでいるにもかかわらず、まだ十分でない、と。

シモ氏は自分が最近離れたFacebookを擁護し「Facebookは、ユーザーの安全のために大金を投じている。また自らの社会的影響についても、業界屈指の詳細な調査研究を行っています。心配なのは、多くの人が『イエス』か『ノー』かの答えを求めることです。実際のところ、この問題は多くのニュアンスを含んでいます」と述べている

内部告発者のFrances Haugen(フランセス・ハウゲン)氏によると、ユーザーのエンゲージメントを優先するFacebookのアルゴリズムにより、人間よりも利益が重視されているという。シモ氏が警告するのは、問題がこれまで説明されてきたようにAかBか、人間か利益かといった、単純な二分法ではないということだ。シモ氏の説明によると、Facebookが行ってきた調査研究に基づいて成し遂げるべき変化は、何かのダイヤルを回して、突然、魔法のように問題が消滅するものではない。なぜならFacebookは基本的に、人間性の反映そのものであるからだ。

画像クレジット:Instacart

シモ氏によると、むしろFacebookの本当の問題は、Facebookが何かを変えるたびに、社会に重要な影響が及ぶことと、その在り方だ。そのためFacebookはついでに何かが起こってしまったではなく、Facebookの事業で問題が起こりそうな部分を判断し、そこをを事前に改善することが重要だ。

「トレードオフがあるときは、それは通常、2種類の社会的インパクト間のトレードオフだ」とシモ氏はいう。

彼女が挙げるかなり単純な調整の例は、ユーザーを怒らせるような投稿を事前に判断して、その種の投稿をあまり見せないようにすることだ。

ハウゲン氏が上院で証言したのは、Facebookのアルゴリズムがエンゲージメントを奨励するようになっていることだ。「いいね!」などのインタラクティブなアクションの多い投稿はより広く拡散され、ユーザーのニュースフィードで上位に表示される。しかしハウゲン氏によると、エンゲージメントが「いいね!」やポジティブなリアクションだけでなく、クリックベイトや人を怒らせるような投稿でも起こるため、アルゴリズムはそれらも優先してしまう。その結果、虚偽情報や悪質で暴力的なコンテンツなど、激しいリアクションを喚起するポストが広まる。

しかしながら、Facebook上の怒りはダイヤルを回して音量を下げるように簡単に減らすことはできない。もしそんなことをしたら、別のタイプの社会的インパクトが生じるだろうとシモ氏はいう

シモ氏によれば、そもそも大きな社会運動は怒りがつくり出すため、企業は多くの人の行動を左右するようなインパクトをどうやって変えるのか、という問題を抱えてしまう。

(しかしWSJの記事によると、そのような状況ではなかった。むしろアルゴリズムの加工によって個人の感情的なポストがプロたちの知的なコンテンツより優先されるようになると、発行者や政党などは怒りやセンセーショナリズムに迎合するポストを発表するようになる。記事によると、この問題を修復せよという提案に対しザッカーバーグしは抵抗している)

シモ氏によると「怒り」の問題はほんの一例にすぎない。「実際には、どんな問題でも常に別のタイプの社会的インパクトとのトレードオフになります。そんな状況に、長くいたためわかりますが、それは『社会にとって良いこと』vs.『Facebookにとって良くて利益になること』という単純な問題ではありません。実際の議論は常に、異なる種類の社会的インパクト同士の間にあります。それは私企業にとって非常に扱いづらい議論です」。

「だからFacebookは公的規制を求めているのだ」とハウゲン氏はいう。

「この部分でFacebookが長年規制を求めてきたのも意外ではない。立場を異にする複数の社会的インパクトがあるとき、私企業はどちらか一方の主張を味方することはできない。行司役を担うのは、政府がふさわしい」とシモ氏はいう。

最近増えているエビデンスによれば、Facebookの事業が社会に負の影響を与えていることはFacebook自身も社内調査などで理解している。そんな中でシモ氏は、Facebookを辞めたことを、Facebook内で起きていることが理由だとはしなかった。

むしろシモ氏は「Facebookにいた10年はあまり勉強しませんでした。Instacartへの移籍は、Facebook以外のいろいろなことを学べる良いチャンスだからです」という。

画像クレジット:Porzycki/NurPhoto/Getty Images

原文へ

(文:Sarah Perez、翻訳:Hiroshi Iwatani)

Facebookアプリの元責任者が内部告発者の議会証言に対して同社を擁護

米国時間10月19日の午後、WSJ Tech Liveイベントで、元FacebookアプリのトップでCEOのMark Zuckerberg(マーク・ザッカーバーグ)氏の直属だったFidji Simo(フィジー・シモ)氏が、自分が以前在籍していたソーシャルネットワークを擁護した。Instacartの新CEOになった同氏は、イベントでフードデリバリーの未来について述べたが、質問では、最近のFacebookの内部告発者の議会での証言と、それが喚起した社会的関心についても尋ねられた。

関連記事:グローサリー配達のInstacartが新CEOにフェイスブック幹部のシモ氏を指名

シモ氏によると、Facebookが多くの人の生活に与える影響を考えるとセキュリティは重要だが、Facebookが批判を鎮めるために十分なことをやっていないのが心配だ、という。Facebookは世界最大のソーシャルネットワークとして複雑な問題に取り組んでいるにもかかわらず、まだ十分でない、と。

シモ氏は自分が最近離れたFacebookを擁護し「Facebookは、ユーザーの安全のために大金を投じている。また自らの社会的影響についても、業界屈指の詳細な調査研究を行っています。心配なのは、多くの人が『イエス』か『ノー』かの答えを求めることです。実際のところ、この問題は多くのニュアンスを含んでいます」と述べている

内部告発者のFrances Haugen(フランセス・ハウゲン)氏によると、ユーザーのエンゲージメントを優先するFacebookのアルゴリズムにより、人間よりも利益が重視されているという。シモ氏が警告するのは、問題がこれまで説明されてきたようにAかBか、人間か利益かといった、単純な二分法ではないということだ。シモ氏の説明によると、Facebookが行ってきた調査研究に基づいて成し遂げるべき変化は、何かのダイヤルを回して、突然、魔法のように問題が消滅するものではない。なぜならFacebookは基本的に、人間性の反映そのものであるからだ。

画像クレジット:Instacart

シモ氏によると、むしろFacebookの本当の問題は、Facebookが何かを変えるたびに、社会に重要な影響が及ぶことと、その在り方だ。そのためFacebookはついでに何かが起こってしまったではなく、Facebookの事業で問題が起こりそうな部分を判断し、そこをを事前に改善することが重要だ。

「トレードオフがあるときは、それは通常、2種類の社会的インパクト間のトレードオフだ」とシモ氏はいう。

彼女が挙げるかなり単純な調整の例は、ユーザーを怒らせるような投稿を事前に判断して、その種の投稿をあまり見せないようにすることだ。

ハウゲン氏が上院で証言したのは、Facebookのアルゴリズムがエンゲージメントを奨励するようになっていることだ。「いいね!」などのインタラクティブなアクションの多い投稿はより広く拡散され、ユーザーのニュースフィードで上位に表示される。しかしハウゲン氏によると、エンゲージメントが「いいね!」やポジティブなリアクションだけでなく、クリックベイトや人を怒らせるような投稿でも起こるため、アルゴリズムはそれらも優先してしまう。その結果、虚偽情報や悪質で暴力的なコンテンツなど、激しいリアクションを喚起するポストが広まる。

しかしながら、Facebook上の怒りはダイヤルを回して音量を下げるように簡単に減らすことはできない。もしそんなことをしたら、別のタイプの社会的インパクトが生じるだろうとシモ氏はいう

シモ氏によれば、そもそも大きな社会運動は怒りがつくり出すため、企業は多くの人の行動を左右するようなインパクトをどうやって変えるのか、という問題を抱えてしまう。

(しかしWSJの記事によると、そのような状況ではなかった。むしろアルゴリズムの加工によって個人の感情的なポストがプロたちの知的なコンテンツより優先されるようになると、発行者や政党などは怒りやセンセーショナリズムに迎合するポストを発表するようになる。記事によると、この問題を修復せよという提案に対しザッカーバーグしは抵抗している)

シモ氏によると「怒り」の問題はほんの一例にすぎない。「実際には、どんな問題でも常に別のタイプの社会的インパクトとのトレードオフになります。そんな状況に、長くいたためわかりますが、それは『社会にとって良いこと』vs.『Facebookにとって良くて利益になること』という単純な問題ではありません。実際の議論は常に、異なる種類の社会的インパクト同士の間にあります。それは私企業にとって非常に扱いづらい議論です」。

「だからFacebookは公的規制を求めているのだ」とハウゲン氏はいう。

「この部分でFacebookが長年規制を求めてきたのも意外ではない。立場を異にする複数の社会的インパクトがあるとき、私企業はどちらか一方の主張を味方することはできない。行司役を担うのは、政府がふさわしい」とシモ氏はいう。

最近増えているエビデンスによれば、Facebookの事業が社会に負の影響を与えていることはFacebook自身も社内調査などで理解している。そんな中でシモ氏は、Facebookを辞めたことを、Facebook内で起きていることが理由だとはしなかった。

むしろシモ氏は「Facebookにいた10年はあまり勉強しませんでした。Instacartへの移籍は、Facebook以外のいろいろなことを学べる良いチャンスだからです」という。

画像クレジット:Porzycki/NurPhoto/Getty Images

原文へ

(文:Sarah Perez、翻訳:Hiroshi Iwatani)

Facebookアプリの元責任者が内部告発者の議会証言に対して同社を擁護

米国時間10月19日の午後、WSJ Tech Liveイベントで、元FacebookアプリのトップでCEOのMark Zuckerberg(マーク・ザッカーバーグ)氏の直属だったFidji Simo(フィジー・シモ)氏が、自分が以前在籍していたソーシャルネットワークを擁護した。Instacartの新CEOになった同氏は、イベントでフードデリバリーの未来について述べたが、質問では、最近のFacebookの内部告発者の議会での証言と、それが喚起した社会的関心についても尋ねられた。

関連記事:グローサリー配達のInstacartが新CEOにフェイスブック幹部のシモ氏を指名

シモ氏によると、Facebookが多くの人の生活に与える影響を考えるとセキュリティは重要だが、Facebookが批判を鎮めるために十分なことをやっていないのが心配だ、という。Facebookは世界最大のソーシャルネットワークとして複雑な問題に取り組んでいるにもかかわらず、まだ十分でない、と。

シモ氏は自分が最近離れたFacebookを擁護し「Facebookは、ユーザーの安全のために大金を投じている。また自らの社会的影響についても、業界屈指の詳細な調査研究を行っています。心配なのは、多くの人が『イエス』か『ノー』かの答えを求めることです。実際のところ、この問題は多くのニュアンスを含んでいます」と述べている

内部告発者のFrances Haugen(フランセス・ハウゲン)氏によると、ユーザーのエンゲージメントを優先するFacebookのアルゴリズムにより、人間よりも利益が重視されているという。シモ氏が警告するのは、問題がこれまで説明されてきたようにAかBか、人間か利益かといった、単純な二分法ではないということだ。シモ氏の説明によると、Facebookが行ってきた調査研究に基づいて成し遂げるべき変化は、何かのダイヤルを回して、突然、魔法のように問題が消滅するものではない。なぜならFacebookは基本的に、人間性の反映そのものであるからだ。

画像クレジット:Instacart

シモ氏によると、むしろFacebookの本当の問題は、Facebookが何かを変えるたびに、社会に重要な影響が及ぶことと、その在り方だ。そのためFacebookはついでに何かが起こってしまったではなく、Facebookの事業で問題が起こりそうな部分を判断し、そこをを事前に改善することが重要だ。

「トレードオフがあるときは、それは通常、2種類の社会的インパクト間のトレードオフだ」とシモ氏はいう。

彼女が挙げるかなり単純な調整の例は、ユーザーを怒らせるような投稿を事前に判断して、その種の投稿をあまり見せないようにすることだ。

ハウゲン氏が上院で証言したのは、Facebookのアルゴリズムがエンゲージメントを奨励するようになっていることだ。「いいね!」などのインタラクティブなアクションの多い投稿はより広く拡散され、ユーザーのニュースフィードで上位に表示される。しかしハウゲン氏によると、エンゲージメントが「いいね!」やポジティブなリアクションだけでなく、クリックベイトや人を怒らせるような投稿でも起こるため、アルゴリズムはそれらも優先してしまう。その結果、虚偽情報や悪質で暴力的なコンテンツなど、激しいリアクションを喚起するポストが広まる。

しかしながら、Facebook上の怒りはダイヤルを回して音量を下げるように簡単に減らすことはできない。もしそんなことをしたら、別のタイプの社会的インパクトが生じるだろうとシモ氏はいう

シモ氏によれば、そもそも大きな社会運動は怒りがつくり出すため、企業は多くの人の行動を左右するようなインパクトをどうやって変えるのか、という問題を抱えてしまう。

(しかしWSJの記事によると、そのような状況ではなかった。むしろアルゴリズムの加工によって個人の感情的なポストがプロたちの知的なコンテンツより優先されるようになると、発行者や政党などは怒りやセンセーショナリズムに迎合するポストを発表するようになる。記事によると、この問題を修復せよという提案に対しザッカーバーグしは抵抗している)

シモ氏によると「怒り」の問題はほんの一例にすぎない。「実際には、どんな問題でも常に別のタイプの社会的インパクトとのトレードオフになります。そんな状況に、長くいたためわかりますが、それは『社会にとって良いこと』vs.『Facebookにとって良くて利益になること』という単純な問題ではありません。実際の議論は常に、異なる種類の社会的インパクト同士の間にあります。それは私企業にとって非常に扱いづらい議論です」。

「だからFacebookは公的規制を求めているのだ」とハウゲン氏はいう。

「この部分でFacebookが長年規制を求めてきたのも意外ではない。立場を異にする複数の社会的インパクトがあるとき、私企業はどちらか一方の主張を味方することはできない。行司役を担うのは、政府がふさわしい」とシモ氏はいう。

最近増えているエビデンスによれば、Facebookの事業が社会に負の影響を与えていることはFacebook自身も社内調査などで理解している。そんな中でシモ氏は、Facebookを辞めたことを、Facebook内で起きていることが理由だとはしなかった。

むしろシモ氏は「Facebookにいた10年はあまり勉強しませんでした。Instacartへの移籍は、Facebook以外のいろいろなことを学べる良いチャンスだからです」という。

画像クレジット:Porzycki/NurPhoto/Getty Images

原文へ

(文:Sarah Perez、翻訳:Hiroshi Iwatani)

グーグルが新OS「Android 12」配信開始、セキュリティを改良しよりパーソナルに

世界で最も使用されているモバイルOSであるAndroidは、独自のセールスポイントを確立し、AppleのiOSとの差別化を図るべく、着実な歩みを続けている。Pixel 3以降で利用可能なこの新OSのAndroid 12は、同OSの長所をさらに強化するとともに、いくつかの新機能も追加されている。

誰もが、これまでに製造された他のすべてのデバイスと基本的に同じに見えるスマートフォンを持つようになると、パーソナライゼーションがより重要になる。Google(グーグル)はMaterial You(マテリアルユー)機能をOSに導入し、壁紙を変更すると、Android 12エクスペリエンス全体がその色に合わせて変化するようになった。OSには色抽出アルゴリズムが搭載されているため、すべてが統合され、洗練されて見える。ロックスクリーン、通知、設定、ウィジェット、そしてアプリまで、すべてがパーソナライズ可能だ。Material YouはPixelに先行して搭載され、他のデバイスメーカーの端末にも順次搭載されていく予定だ。

完全にカスタマイズ可能なOSで、あなたのスマホともっとあなたらしく(画像クレジット:Google)

セキュリティとプライバシーは、このOSのもう1つのテーマだ。例えば、Android 12では、スムーズに機能するためにおおよその位置情報しか必要としないアプリから、正確な位置情報をプライベートにしておくことができる。また、アプリがマイクやカメラ機能を使用しているかどうか、ステータスバーに表示される新しいインジケーターで確認できる。さらに、OS全体でカメラとマイクをオフにしたい場合は、クイック設定で新しいトグルスイッチを使ってオフにすることができる。また、忘れていたアプリをロックダウンする機能も追加され、数カ月間使用しなかったアプリの許可を自動的に取り消すことができる。

またこのOSでは、位置情報とBluetoothの関係がようやく切り離された。Googleは次のように述べている。「ワイヤレスヘッドフォンは携帯電話に接続する必要があるが、あなたがどこにいるかを知る必要はありません」。Android 12では、それがようやく可能になった。

Googleは、以前のOSリリースで、Googleレンズのための大量の新しいAndroid機能を導入した。例えば、任意のスクリーンショットで光学式文字認識(OCR)を行うことができるようになった。Android 12では、その機能に加えて「スクロールスクリーンショット 」などの拡張機能が追加されている。画面の端に到達したからといって、スクリーンショットの端に到達する必要はない。新しいスクロールスクリーンショットを使えば、ページ上のすべてのコンテンツを1枚の画像に収めることができる。これは賢い。

新フィーチャーは機能性にとどまらず、Android 12では省電力機能やアクセシビリティの向上も実現している。また、ホットアップデートの導入により、同じアプリのアップデートがバックグラウンドでダウンロード、インストールされていても、そのアプリを使い続けることができる。ポケモンGOを数分間中断しなければいけないことなど、あってはならない。

GoogleのAndroid 12 OSは、米国時間10月19日より対応機種に順次導入される。

画像クレジット:Google

原文へ

(文:Haje Jan Kamps、翻訳:Aya Nakazato)

サイバーセキュリティのFlatt Securityが2億円調達、海外市場ターゲットのプロダクト「Shisho」開発を加速

サイバーセキュリティ事業やウェブエンジニアのための学習プラットフォーム「KENRO」(ケンロー)を提供するFlatt Securityは10月18日、第三者割当増資による約2億円の資金調達(一部借入を含む)を発表した。引受先はB Dash Ventures、フィンテック グローバル、事業会社1社。既存事業の収益と調達した資金により、海外市場を念頭に置いたセキュリティプロダクト「Shisho」(製品のβ版を提供中)の開発速度の向上を目指す。累計調達額は約4億5000万円となった。

Shishoは、グローバルで「組織内のプロダクト開発・運用業務とセキュリティ業務との分断の解消」を実現すべく開発されたプロダクト。技術的な核となる脆弱性の感知・修正エンジンをオープンソースソフトウェア(OSS)としてGitHub上で公開しており、製品のβ版の提供を10月6日より行なっている。

2017年5月設立のFlatt Securityは、サイバーセキュリティ領域を手がける東京大学発のスタートアップ。「セキュリティの力で信頼をつなげ、クリエイティブな世界を実現する」をミッションに掲げており、ユーザーのシステムに情報漏洩やデータ改ざんにつながる脆弱性がないかを調査する「セキュリティ診断」(脆弱性診断)やKENROを提供している。また、インターネット上で利用可能なソフトウェア・ハードウェアの脆弱性を調査する「脆弱性リサーチプロジェクト」を実施している。

Google Pixel 6の相次ぐリークでカメラ・セキュリティ戦争が激化

Google 公式Pixel 6紹介ページのスクリーンショット(画像はトリミング済み)

小売業界とGoogle(グーグル)は、来たるべき同社のフラグシップモデルGoogle Pixel 6とGoogle Pixel 6 Proの情報をどちらが多くリークできるかのチキンレースを展開しているかのようだ。GoogleのPixel端末シリーズは、Android(アンドロイド)オペレーティングシステムができる限りいじられないことを望んでいる我々Android無敵艦隊にとって、伝統的な旗艦モデルだ。Pixel 5ではミッドレンジの3モデル併存で真の旗艦機種がなかったことで失望されたのをGoogleは学習したようだ。新モデルの発売数週間前に自らリークするというAppleと正反対のアプローチによって、すべての注目は新モデルデュオに向けられている。

関連記事:Google Pixelのミッドレンジ3機種併存という構成はわかりにくい

米国時間10月19日の発売日を前に、情報が公にされるペースが落ちる様子はない。先週末、英国の携帯ショップCarphone Warehouse(カーフォン・ウェアハウス)は2台の携帯電話の販売ページを公開した。もちろん同社はそのページをできる限り早く取り下げたが、1人のリークハンターの鷹の目がスクリーンショットを撮るより遅かった。Googleも、未発売製品の広告をさまざまなメディアで展開しており、おそらく懐疑的な人々がAppleの最近発売されたiPhone 13の「今すぐ購入」ボタンを押すのを思い止まらせようとしているのだろう。はるかに遡る8月から広告・マーケティング活動を始めているGoogleは、クパチーノ生まれの従兄弟たちに対するいくつかの優位性を強調し、激しい勢力図の中を闊歩している。

関連記事
新iPhone?Apple Watch?AirPods?アップルのバーチャル新製品発表をチェックしよう
グーグルが正式に新スマホPixel 6を公開、専用チップTnsor搭載

みなさんが想像する通り、スマートフォン戦争の大部分が好戦的行動をシフトしていることを受け、リークされたページはカメラ品質を重点的に強調している。

Google Pixel 6は、Androidのトレンドである写真撮影プロセスへのコンピュータービジョンとAI機能の追加を続けている他、トップクラスのハードウェアも加えている。報道によるとPixel 6は50mpxの広角カメラと12mpxの超広角カメラを搭載している。Pixcel 6 Proは3基のカメラを備え、弟分と同じ2基に48mpxの望遠レンズが加わる。

もう1つの大きな注目点は両新機種でデビューを飾るすでに話題となっているTensor(テンサー)チップだ。

関連記事:グーグルがPixel 6用にカスタムチップを開発、AIとMLを自社スマホの差別化要因にする

そのマーケティングページでは、バッテリーテクノロジーに関するGoogleの宣伝にも光を当てている。適応型バッテリー性能とは、端末のバッテリーが、放電状態から50%状態までわずか30分で充電可能というもので、オペレーティングシステムには、昨今の電源からはるか遠くへ冒険する人たちのバッテリー寿命をいっそう引き伸ばすための知能が組み込まれている。同社は、ケーブル不要の高速ワイヤレス充電も力を入れて宣伝している。

主要なライバルたちがセキュリティに大きく力を入れている中、Googleもその最前線に参加し「他のどの端末よりも多いレイヤーのハードウェアセキュリティ」を謳い、セキュリティチップ、Titan M2の採用と「5年間のアップデート」による「長期にわたるセキュリティ」の確保を約束した。それがファームウェアのアップデートなのかOSアップデートなのかはまだ不明だが、Androidが、年を経て忘れられそうな端末にも責任を持つというのは明るい話題だ。

発売日が近付くにつれ、さらに多くの情報が入る予定だ。予約は来週10月19日に始まると思われる。

原文へ

(文:Haje Jan Kamps、翻訳:Nob Takahashi / facebook

グーグルがスマホのスパイアプリを宣伝した「ストーカーウェア」広告を停止

Google(グーグル)は、ユーザーに配偶者の携帯電話をスパイすることを勧めるアプリを宣伝することで、ポリシーに違反した複数の「ストーカーウェア」広告を停止した。

このような消費者向けのスパイウェアアプリは、子どもの通話、メッセージ、アプリ、写真、位置情報などを監視したいと考えている親を対象に、犯罪者から身を守るという名目で販売されていることが多い。しかし、これらのアプリは、端末の所有者の同意を得ずに密かにインストールされるように設計されていることが多く、加害者が配偶者の携帯電話を盗み見るために再利用されている。

関連記事
すべてを監視するストーカーウェア「KidsGuard」から個人データが大量に漏洩
米連邦取引委員会がスパイウェアSpyFoneを禁止措置に、ハッキングされた被害者に通知するよう命令

いわゆる「ストーカーウェア」(または「配偶者ウェア」)の使用が増加していることから、近年、業界全体で電話監視アプリの普及に向けた対応が進められている。ウイルス対策メーカーはストーカーウェアの検出を強化し、連邦政府当局は、被害者をさらにセキュリティ上の脅威にさらすスパイウェアメーカーに対して対策を講じている。2020年8月、Googleはユーザーの検索結果に「他人やその活動を許可なく追跡・監視することを明確な目的として 」設計されたアプリを宣伝する広告を掲載することを禁止した。

しかしTechCrunchは、5つのアプリメーカーが先週の時点でもストーカーウェアアプリの広告を出していることを発見した。

「我々は、パートナーを監視するためのスパイウェアを宣伝する広告を許可しません。このポリシーに違反した広告はすぐに削除し、今後も新たな行動を追跡して、悪質な行為者が我々の検知システムを回避しようとするのを防いでいきます」とGoogleのスポークスマンはTechCrunchに語った。

Googleによると、スパイウェアのプロモーションを取り締まる不正な行為を可能にするというポリシーにより、親密なパートナーの監視を宣伝する広告は禁止されているが、そのポリシーが子どもの行動の追跡や、従業員の端末の監視の広告には適用されないことを広報担当者が確認した。このポリシーでは、プライベートな調査サービスも除外しているが、Googleは、アプリが何の目的で使用されているかをどのように判断しているかについては言及していない。

Googleのストーカーウェアに対する取り組みを支持する人々は、このポリシーの施行について懸念を示している。拡大するストーカーウェアの脅威に立ち向かうための企業グループCoalition Against Stalkerware(ストーカーウェア反対連合)の創設メンバーであるMalwarebytes(マルウェアバイツ)社は、2020年、このポリシーは「不完全」であり、ストーカーウェアメーカーが「内部の核となっている技術を変えずに、販売しているものの外観を変えることでルールを回避する」ことを可能にしていると指摘していた。

Googleの広報担当者は、Googleの施行方法の具体的な説明を避けたが、広告がポリシーに違反しているかどうかを判断するために、広告のテキストや画像、製品の宣伝方法、広告をクリックしたときのランディングページなど、さまざまな要素を組み合わせて検討しているという。

TechCrunchは、いくつかのストーカーウェアアプリは、さまざまなテクニックを使って、パートナー監視用の広告アプリとしてGoogleに禁止されるのをうまく回避し、Google広告として承認されていたことを発見した。

あるケースでは、2018年に大きなセキュリティ上の不備があったスパイウェアアプリmSpyが、mSpyのウェブサイトとはまったく別のドメインにあるインタースティシャルのウェブページにリンクするGoogle広告を掲載し、このアプリが「あなたの子ども、夫や妻、おばあちゃんやおじいちゃん」をスパイするためにも販売されていることを、Googleが検出できないようにしていた。

また、2020年に何千人もの被害者の電話データを流出させたストーカーウェアメーカーClevGuard(クレブガード)は、Google広告を出しており、そこからこのアプリを「関係におけるあらゆる疑いを払拭する」ために配偶者に使うこともできると書かれたページにリンクしていました。このページは、検索エンジンに検索結果に表示すべきものとそうでないものを指示する「robot」ファイルを使って、Googleの検索インデックスから隠されていた。TechCrunchは、同じ手法を使って広告を掲載しているストーカーウェア・アプリを他に2つ発見したが、Googleはこれらもポリシーに違反していると述べている。

他の違反広告はもっとあからさまなものだった。ニューヨーク州ロングアイランドに拠点を置くスパイウェアメーカーのPhoneSpector(フォンスペクター)は、アプリを「浮気者を捕まえる」方法として宣伝する広告を掲載した。

Googleは9月の時点で、配偶者を狙うスパイウェアを宣伝した場合など、広告ポリシーに繰り返し違反した広告主のアカウントを3カ月間停止するとしている。

ストーカーウェア企業はいずれもコメントの要請に応じなかった。

画像クレジット:Jake Olimb / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Yuta Kaminishi)

アップルがiOS 15.0.2リリース、「活発に悪用されている」バグのセキュリティを修正

Apple(アップル)は米国時間10月11日、活発に悪用されているゼロデイバグに対する「重要なセキュリティアップデート」を含む、iOS 15およびiPadOS 15の2回目のマイナーアップデートを公開した。

現在、サポート対象デバイスでダウンロード可能なiOS 15.0.2およびiPadOS 15.0.2には、アプリケーションがデバイスの最高レベルのアクセス権を持って任意のコードを実行できるメモリ破壊の脆弱性に対する修正が含まれていると、Appleはセキュリティサポートページで述べている。

関連記事:【インタビュー】アップル幹部が語る次期iPad OSのメンタルモデルとマルチタスクの強化

この脆弱性の詳細は今のところ明らかにされていないが、Appleは「活発に悪用されている可能性がある」と警告している。したがって、すぐにでもデバイスをアップデートすることをお勧めする。

今回のアップデートでは、MagSafe対応のiPhoneレザーウォレットが「探す(Find My)」サービスに接続できない問題「持ち物を探す(Find My‌ Items)」タブにAirTagsが表示されないことがあるバグ、CarPlay(カープレイ)でオーディオアプリが開けなかったり、再生中に接続が切断される問題など、iOS 15およびiPadOS 15の他の多くの不具合にも対応している。また、メッセージアプリからライブラリに保存した画像が、関連するスレッドやメッセージを削除すると削除されてしまう不具合も修正された。

Appleは現在、最初のメジャーアップデートとなるiOS 15.1のテストを行っている。このアップデートでは、FaceTime(フェイスタイム)のSharePlayが再び有効になり、iPhone 13 ProおよびPro Maxのカメラの新機能が追加され、Apple Walletに新型コロナウイルスの予防接種証明カードを追加できるようになる。おそらく、いくつかのバグ修正も含まれるだろう。

関連記事
アップルがFaceTimeのアップデートを発表、Androidユーザーも利用可能に
アップルがiPhone、Macなど全端末でセキュリティアップデート、政府機関も利用するというNSOのゼロデイ脆弱性を修正

画像クレジット:Apple

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

「ハリウッドスタイル」の映像でサイバーセキュリティトレーニングを提供するArctic WolfがHabitu8を買収

「セキュリティオペレーションのコンシェルジュサービス」を提供するサイバーセキュリティ管理企業のArctic Wolf Networks(アークティック・ウルフ・ネットワーク)は、セキュリティに関するトレーニングとアウェアネス(意識向上)のためのコンテンツプラットフォームであるHabitu8(ハビッツエイト)を買収した。

Arctic WolfがシリーズF投資ラウンドで1億5000万ドル(約167億円)の資金を確保してから、わずか2カ月後に行われたこの買収の条件は明らかにされていないものの、この件に詳しい人物がTechCrunchに語ったところによると、買収は現金と株式の組み合わせで支払われたとのこと。Arctic Wolfは、この買収によって60から70の顧客を獲得するだろうと、この関係者は語っている。

Habitu8は、Sony Pictures Entertainment(ソニー・ピクチャーズ・エンタテインメント)、Walt Disney(ウォルト・ディズニー)、Activision Blizzard(アクティビジョン・ブリザード)でセキュリティトレーニングの取り組みを主導した経験を持つJason Hoenich(ジェイソン・ホーニッヒ)氏らが、2017年に共同で設立した企業だ。これまでに3回の資金調達を完了しているこのスタートアップは「ハリウッドスタイル」で制作された実写ドラマ形式の映像を使ってサイバーセキュリティ意識を高めるアプローチを取っている。この方法はセキュリティにおける人間的要素を強化するのに効果的であることが実証されていると、同社では主張している。

今回の買収により、Habitu8の学習プラットフォームと、Arctic Wolfが提供する「Managed Security Awareness(マネージド・セキュリティ・アウェアネス)」プログラム(同社によると、2021年5月のリリース以来「数百」の顧客に提供されているという)を組み合わせることで、業界初となるコンシェルジュ・サービスとしてのセキュリティアウェアネス / トレーニングのプログラムが誕生する。

「サイバーリスクをなくすためには、トレーニングとアウェアネスのプログラムが重要であることを、人々は知っています」と、Arctic Wolfの社長兼CEOであるNick Schneider(ニック・シュナイダー)氏は語っている。「しかし残念ながら、ほとんどのセキュリティ・プログラムで提供されているコンテンツは、低品質で退屈なものが多く、結局のところ、Netflix(ネットフリックス)のようなオンデマンドで高品質な体験を求める現代のユーザーのニーズに、効果的に応えることはできません」。

「Arctic WolfのプラットフォームにHabitu8が加わることで、現代的で高品質なセキュリティアウェアネス / トレーニングのプログラムをマネージドサービスとして提供し、それを当社の専門家によるコンシェルジュ指導と組み合わせることで、顧客のセキュリティ・オペレーション全体を大幅に強化することができます」。

ホーニッヒ氏はサービスデリバリー担当副社長としてArctic Wolfチームに参加し、セキュリティアウェアネスの管理と提供を主導することになる。

「データによると、人間がトレーニングのコンセプトを保持し、共感するためには、継続的で魅力的で記憶に残るコンテンツが必要だと言われています」と、ホーニッヒ氏はいう。「Arctic Wolf Managed Security AwarenessとArctic Wolfのプラットフォームに、私たちのハリウッドスタイルのコンテンツを組み合わせれば、あらゆる規模の顧客に向いた、市場で最も効果的で求められるソリューションになると、私は確信しています」。

Arctic WolfによるHabitu8の買収は、同社のロードマップに計画されている数多くの買収で、最初のものになる可能性が高い。同社は7月にTechCrunchの取材に対し、今後の12カ月間で「5~10件の買収」を行う予定であると述べていた。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)