インターネットのサイトをダウンさせた‘Great Cannon, 巨砲’は中国の新兵器だった

cannon

中国は、最近のGitHubや、自由なインターネットを唱導するグループGreat Fireなどに対する攻撃の背後の存在として多方面から疑われている。このほど得られた具体的な証拠によると、それは事実であり、しかも今回は新しい武器ないし兵器が使われたらしい。

トロント大学のMunk School of Global Affairs(国際問題のためのMunk冠名大学院)の中にある、ICTやセキュリティや人権問題の研究室Citizen Labからの報告書が、そう言っている。これら最近の攻撃を調べたCitizen Labは、データを横取りして特定のサイトへリダイレクトする強大なツールと、攻撃システムがそれを使ったことを見つけた。同研究室はそのツールを、‘Great Cannon’(巨砲)という愛称で呼んだ。

最近の攻撃は実際に展開された巨砲の最初のインスタンスだ。それらは、いくつかの理由により特記するに値する。まずそのスケールだ。Great Fireによると、何百万人ものユーザが一度にその攻撃の被害に遭っている。巨砲はBaiduをハイジャックし、同サイトがAmazon Web Servicesに払うべき一日あたりの料金を3万ドルに押し上げた。しかも、その巨砲氏はしつこい。Githubは過去最大の攻撃にさらされ、それが5日間も続いた。

Citizen Labが挙げる証拠は、中国の検閲システムGreat FirewallとGreat Cannonとの共通性だ。それは、この悪辣な攻撃の背後に中国がいることを、示唆している。中国はそれを否定しているが、中国のこのインターネット新兵器は今後もっと的を絞った攻撃に使われるかもしれないと懸念されている。

Edward SnowdenのリークはQUANTUMの存在をあばいた。それは、マルウェアを何百万ものコンピュータに植え付けることのできるNSAのツールだ。Citizen Labによると、中国のGreat Cannonはわずかな調整により同じことができる:

Great Cannonの構成に技術的には簡単な変更を加えることにより、特定のアドレスに向かうトラフィックではなく、特定のIPアドレスからのトラフィックを操作できるようになり、暗号化による保護を採用していない中国のいかなるサーバと通信している個人にもマルウェアを送り込むことができるようになる。

このツールが見つかったことにより、あらためてHTTPSなどによるセキュアなWeb閲覧の重要性が想起される。セキュリティが弱いと、Webサイトを閲覧するユーザの安全性を損なうことになるからだ。

しかしこのツールは全世界に対して露出されていたわけだから、これだけおおっぴらにそれを使う中国の動機は何だろう? それは中国の検閲行為と支配体制に対して異議を唱えているそのほかのサイトに対する警告のつもりだったのかもしれないが、いずれにしてもそれは、Webサイトを検閲するという受け身の戦法から、それらをダウンさせるという積極戦法に変わったことを意味しているみたいだから、今後が心配である

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GitHubが毎日ぶっ続けでDDoS攻撃に遭う…どうやら“中国がらみ”のよう

オンラインのコードリポジトリGitHubが月曜日(米国時間3/30)に、継続的に分散型サービス妨害(distributed denial-of-service, DDoS)攻撃に遭っている。同社によると、それはGitHub.comの歴史上最大の攻撃だ。攻撃は木曜日(米国時間3/26)に始まり、今も続いている、とGitHubのステータスページとTwitterアカウントで言っている。今現在同社のすべてのシステムが100%を報告しているが、攻撃のやり方が進化し続けているので、GitHubとしては“高い警戒度”を維持しなければならない、ということだ。

先週のブログ記事でGitHubは、攻撃のベクターが複数あり、何も疑ってないユーザのWebブラウザを利用してGitHubのサイトを大量のトラフィックで圧倒するなど、新しい高度なテクニックもある、と書いている。このトラフィックの洪水によって、GitHubの可利用性が落ちる。ステータスページ(下図)でスパイクになっているところが、妨害が起きた時点だ。

[このDDoS攻撃は進化しており、われわれは被害の緩和に努めている。]

セキュリティのエキスパートによると、攻撃は、中国の検索エンジンBaiduの海外ユーザからの検索トラフィックを、とくに2つのページへリダイレクトしている。ひとつは中国政府による検閲を報じているサイトGreatfire.orgのページ、もうひとつはThe New York Timesの中国語のWebサイトへのリンクがあるページだ。(GitHub上の)Greatfireのページには、中国でブロックされている10のWebサイトのコピーへのリンクがある。なお、Greatfire自身も今月初めに、DDoS攻撃を食らった

GitHubはどのページが攻撃されたかを確認していないが、ブログ記事ではこう言っている: “われわれが受け取ったいくつかの報告によると、この攻撃の意図は、われわれに、特定の種類のコンテンツの削除を決心させることにある、と思われる”。

一方Baiduは、システムが悪用されたことと、攻撃への関与を否定した。“Baiduのセキュリティ技術者による細心の検査により弊社は、弊社のプロダクト上のセキュリティ問題やハッカー攻撃の可能性を排除した”、とBaiduの声明文は述べている。

セキュリティのエキスパートたちがThe WSJに語ったところによると、攻撃は中国の当局と結びついているようだ。なぜならハッカーたちは中国のインターネットインフラストラクチャの高いレベルでトラフィックを操作できており、それは、その国にやってくるすべてのトラフィックに手を加える(==リダイレクトなど改悪する)能力を持った誰かの仕業(しわざ)でしかありえないからである、ということだ。

Screen Shot 2015-03-30 at 10.01.39 AM

 

GreatFire.orgの関連記事(未訳)〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

あなたのお気に入りのブラウザがさっきハックされた、でもご安心を

あなたの“お気に入り”のブラウザがどうやってぼくに分かるのか? でも、実はそんなことはどーでもよい。人気上位の4つのブラウザ、ChromeとInternet ExplorerとFirefoxとSafariがどれも、先ほど、見事にやられてしまったのだ。

今週(3/15-21)は今年の(第8回の)Pwn2Ownが開かれ、世界中から集まったセキュリティの研究者たちが、その腕前を競った。今回の勝負は、人気ブラウザの最新のビルドをいためつけること。成功すると巨額の賞金がもらえる。

ただし、その手口の詳細は、ブラウザのメーカーがその穴にパッチを当てるまでは公開されない。だから、あなたをはじめ、一般ユーザが被害に遭う可能性は限りなく小さい。

たとえばMozillaは、Firefoxのパッチを今日(米国時間3/20)じゅうに当てる、と言っている。ほかの3社は、本誌からの問い合わせにまだ返事をくれない。

Pwn2Ownにおける、ブラウザ侵犯(エクスプロイト, exploit)の定義は簡単明瞭で、“プログラムの標準的な実行パスを変えて、任意の命令を実行可能にすること”、だ。

言い換えると、ブラウザのセキュリティを破って、想定外のコードを実行させること。ただし、そのエクスプロイトはユーザとの対話をしてはいけないが、“ユーザが悪質なコンテンツを閲覧するために必要なアクション”、なら許される。

挑戦者は、自分がまだ触ったことのないマシンの上で30分の時間を与えられる。各マシンの上のオペレーティングシステムは、完全にセキュリティパッチが当てられている。というよりバグは数日間/数週間にわたる調査研究の結果見つけたものであり、当日のわずか30分で見つけるというものではない。

各ブラウザの結果はこうだった:

  • Internet Explorerでは4つのバグが見つかった(Windows 8.1上)
  • Mozilla Firefoxでは3つのバグが見つかった(Windows 8.1上)
  • Safariでは2つのバグが見つかった(OS X Yosemite上)
  • Chromeでは1つのバグが見つかった(Windows 8.1上)

(注記: “ふん!ぼくはOperaを使ってるもんね!”と言いたいあなた、Operaは2013年5月以降Chrome/Chromiumがベースなのだ。ChromeのバグはOperaにも影響を与えるだろう。)

なお、このカンファレンスに集まった研究者たちは、Adobe ReaderとFlashとWindowsに対するエクスプロイトもデモした。

Chromeに1つだけ見つかったバグは、このコンテスト始まって以来の最高賞金額11万ドルを獲得した。Chromeは犯しにくいブラウザとして悪名高いので、これまでも賞金額は最高だったが、今回は研究者のJungHoon Leeが、そのボーナスをもらうことになった。内訳は、バグを見つけたことに75000ドル、自分のコードをシステムレベルで走らせたことに25000ドル、そしてそのバグがChromeのベータビルドにもあったために追加の10000ドルだ。

JungHoonは、Safariのバグの発見にも貢献して50000ドル、IE11でも貢献して65000ドルを獲得し、一日で22万5000ドルを稼いだ。悪くない一日だったね。

2日間のコンペで、総額55万7500ドルが賞金として支払われた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa


iPhoneのパスワード入力の試行回数制限を無視する解読マシンが登場…短い(文字数少ない)コードほど危険

簡単なPINでもあなたのiPhoneを、好奇心旺盛な幼児の手や酔っ払った友だちから守ることはできる。でも、ありうるPINをひとつひとつすべて試すロボットなら、やがてあなたのPINは、ばれてしまう。

そんなマシンがしばらく前から存在しているが、今回のは特別にクレージーだ。PINの入力に10回失敗したらiPhoneのすべてのデータがクリアされるように設定していても、そいつは10回以降も試行を続ける。

上で“試行”と書いたのは、失敗するケースもあるからだ。Appleはまだ確認の情報をくれないが、このいたずらが成功するのはiOS 8.1.1(2014年の11月発売)よりも古いバージョンのiOSらしい。8.1.1に関するAppleの記事は、バグCVE-2014-4451のパッチについて述べている。それは、“パスコードの失敗の最大回数”という制限がバイパスされてしまうバグだ。ただし、それが今回の問題と関係あるのかないのか、そのへんがまだ分からない。

下のビデオは、そのデバイスが実際に使われているところだ。情報源のMDSecは、この馬鹿力マシンを300ドルで入手したらしい。

上のビデオで何が起きているのか、ちょっと説明しよう:

  • 左にiPhoneがあり、内部がよく分かるように開けてある。
  • 右にその、馬鹿力マシンがある。
  • iPhoneの内蔵電池は接続されていないので、馬鹿力マシンは残った電力をすぐに消費してしまうだろう。
  • そのデバイスがパスコードの候補を作るたびに、USBでiPhoneに送られる(最初の候補を上のビデオの0:30あたりで作る。)
  • その候補が失敗したら、画面に付随している光学センサがそれを認識して、そして…
  • 一瞬後に馬鹿力マシンは電源を切りiPhoneをシャットダウンして、失敗したコードをメモリに書き込もうとする。
  • iPhoneはリセットし、マシンは再び自由に試行できる。
  • 光学センサが成功を検出したら(ビデオの1:53あたり)、マシンは候補の作成と入力をやめて、正しいPINをログし、ビープ音でそのことを知らせる。

失敗のたびにリセットするから、一回のトライに約44秒かかる。4桁のパスワードの候補を(正解以外を)すべて試したとすると、4日半かかるだろう。ハリウッドのスパイ映画なら、こんなに遅い暗号解読機はありえないが、実際にiPhoneを盗まれた場合には、その内部を見られるのはすぐだ。

ではどうやって被害を防ぐか?

  • OSをアップデートしよう。もしもこれがiOS 8.1.1や8.2で直っていないのなら(どうやらそのようだが)、Appleはこのビデオの流出後に急いでパッチを当てようとしているだろう。
  • もっと長いパスワードを使おう。JWZが指摘しているように、4桁のPINの試行に44秒かかるのなら、すべての候補を試すのに4日半かかる。しかし7桁のPINなら、すべての試行に12年かかる。

今Appleにコメントを求めているが、まだ音沙汰がない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa


OperaがSurfEasyを買収してブラウザからVPNができるようになる…とくに途上国ユーザがターゲット

【抄訳】

Operaは、モバイルデスクトップでWebを閲覧するためのソフトウェア、つまりブラウザを作っている企業だが、そのOperaブラウザには今、3億5000万人のユーザがいる(主に途上国のモバイル)。同社がこのほど、Webをもっとセキュアに閲覧するための仮想非公開ネットワーク(virtual private network, VPN)のアプリケーションを作っているカナダのトロントの企業SurfEasyを買収した。

Operaがセキュリティ関連の買収をするのはこれが初めてだが、それは近年、消費者の要求が、Operaが得意としてきた簡単容易にWebを閲覧できることから、プライバシーの保護に変わってきているためだ。

【中略】

Operaのユーザが圧倒的に多いのは途上国のしかもモバイル市場だが、ここのユーザはとくに、政府の監視や検閲をかいくぐったり、特別なコンテンツを見るために地理的条件を偽ったりするために、VPNというトンネル技術が日常的に重宝する。だからブラウザにVPNをくっつけてしまえば、この市場においてOperaは今後ますます有利になる、と同社は考えているのだ。

Operaの計画では、SurfEasyの製品は当分、SurfEasyの製品のままであり続ける。

それらはまず、Windows、Mac、Android、およびiOSデバイスのためのフリーミアムVPNアプリだ。USBスティックに収めたVPNプロダクトSurfEasy Private Broswerもあり、これは、いろんなデバイスをほかの人と共有しているような場合に便利だ。SurfEasyのブランドをそのまま残すOperaの戦略の根拠は、このブランドがすでに消費者のリビューなどで好評であるためだ。消費者が食いつくためには、OperaのVPN、という新ブランドより有利だろう。

VPN機能がOpera製品(とくにブラウザとデータ圧縮関連)に完全に統合化されてSurfEasyブランドがなくなる日は、まだ遠い先だし、Opera自身がそれには全然言及していない。しかしSurfEasyのままであっても、フリーミアムなどからはOperaとしての収益が得られる。

なお、買収の形式や価額などは、公表されていない。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa


LINEに脆弱性、トーク内容などを閲覧される恐れ–修正版アプリは配信済み

LINEの手がけるメッセージアプリ「LINE」に脆弱性が発見された。

LINEは3月16日にその詳細を報告しており、問題を修正した最新版のアプリをすでに配信している(iOS版は3月4日から、Android版は3月10日から)。直近アプリのアップデートをしていないという読者は、早急にアップデートして欲しい。

今回発見された脆弱性は、悪意のある第三者が設置した無線LANに接続した際、LINEアプリ内の「その他」にあるページを開いたり、メッセージ・タイムラインに記載されたURLにアクセスしたりした場合に、LINE内のトーク内容・友だち一覧などのデータが取得・改ざんされる可能性があったというもの。

脆弱性はセキュリティ会社のスプラウトが発見。2月3日にJPCERTコーディネーションセンター(JPCERT/CC)および情報処理推進機構(IPA)からLINEに報告があったという。

またそのほかにも、悪意のある第三者が友だち表示名に不正なプログラムを埋め込んだ状態で友だち申請をしてコードが実行されると、LINE内の情報が閲覧・改ざんされる可能性があるという脆弱性も指摘されたとのことだが、こちらは2月3日に修正を完了しているとのこと。


90年代から見過ごされてきた深刻な脆弱性”FREAK”発見―Appleはいち速く修整を約束

うへっ―またまた「大規模で深刻な脆弱性」の発見だ。今回のバグはなんと90年代に遡るという。

このバグを発見したセキュリティー専門家によって“FREAK”と命名されたバグは90年代から見過ごされてきたもので、これをハッカーが利用するとトラフィックを暗号化している多くのウェブサイトの情報が漏洩する危険性がある。

バグの概要(私の理解):

  • 1999年ごろまでアメリカ政府は強力な暗号化メカニズムを組み込んだハード、ソフトの輸出を安全保障上の理由から禁止していた。そこで輸出版製品には「弱い暗号」が用いられていた。
  • 当時はこの「弱い暗号」もスーパーコンピュータがなければ解読できなかった。しかし現在ではEd Feltenが指摘するように、Amazon EC2のアカウントさえあれば誰でも解読できてしまう。
  • 暗号システムに関する制限は1999年ごろに廃止された。ところが、どういうわけかこの「輸出版」の弱い暗号がGoogle、Appleその他オリジナルのOpenSSLを利用するデバイスに残存していた。要するに忘れられていたのだ。
  • 巧妙に仕組まれた「中間者攻撃(man-in-the-middle)を行うと、ハッカーはウェブサイトにこの「弱い暗号」を使うよう強制できる。
  • ウェブサイトのトラフィックがひとたび「弱い暗号」に切り替われば、攻撃者はバスワードだろうがメッセージ内容だろうが数時間もあれば解読できる。

要約すると、ハッカーはAndroidやSafariを通じてウェブサイトに長く存在を忘れられていた旧式の弱い暗号を使わせることができ、内容を比較的簡単に解読できるということだ。

この研究を行ったセキュリティー専門家グループは、今朝までに、この方法で多数の主要なウェブサイトに「弱い暗号」を使わせることに成功したという。

専門家グループは攻撃が成功したサイトの長いリストを公開しているが、これは気が滅入るしろものだ。銀行、通販に加えてアメリカ政府の機関もいくつか載っている。

この脆弱性に責任があるとして名指された主要企業の中で、いち速く反応したのはAppleだった。Appleの広報担当者はこう言っている。

「この問題に関してわれわれはiOSとOS Xを修整した。来週のソフトウェア・アップデートで一般に公開する予定だ」。

TechCrunchでは他の会社にも対策を取材中だ。

〔日本版〕記事にもリンクがはられているfreakattackサイトによれば、この情報を公開したのはミシガン大学のコンピュータ科学者チームのようだ。RSA export cipher suites (e.g., TLS_RSA_EXPORT_WITH_DES40_CBC_SHA) をサポートしているサーバーを利用したサイトはすべて影響を受けるという。チームはRSA Exportだけでなく、最新の安全な暗号化ツール以外のサポートを即刻削除するよう勧めている。

画像: mikael altemark/Flickr UNDER A CC BY 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Torのユーザは新しいTwitterアカウントを取得するとき電話番号を提供する必要がある

Twitterが先週発表した計画では、迷惑ユーザの本人性をモバイルの電話番号で同定する。この計画の一環として、匿名WebブラウザTorのユーザも、Twitterの新しいアカウントを取得するときは電場番号を提供しなければならないことになった。

これまでTwitterでは、電話番号の提供はオプションだったが、新たなセキュリティシステムでは、アカウントを停止した常連トロルのアカウント再取得を防止するために電話番号でその本人性をチェックする。パスワードやIDでは本人性を確認できないが、電話番号なら…、というわけだ。

Torから新たにアカウントを取得する者は、電話番号がTwitterのデータベースに直ちに記録される。新しいアカウント登録プロセスでは、そうなるのだ。

この問題に最初に言及したのはTwitterだが、下図のように、本誌でも確認できた:

GoogleのChromeブラウザからなら、メールアドレスだけで新しいTwitterアカウントを取得できた。Torで同じことをやってみると、電場番号の提供とSMSによる確認を求められる。

今Twitterにコメントを求めているが、まだ何も得られていない。

Torの、ユーザの本当のIPアドレスを隠す機能が、トロルの温床だとTwitterは見ているのだろうか。それとも、また新しい登録方法を考えついて、それをテストしているのだろうか。

しかしTorは、一部に悪評はあるものの、基本的には不法行為のための道具ではない。その、他のブラウザにないセキュリティ機能は、人権活動家や犯罪防止活動家など、いろんな合法的目的で使われている。一律に電話番号の提供を要求すると、彼らが必要とする匿名性がリスクにさらされる。

またプライバシーの問題だけでなく、Twitterなど一般的なソーシャルネットワークがブロックされている国などでは、Torが重要なアクセスポイントになる。昨年のトルコが、その好例だ(下図)。

トルコ政府(など)が、気に食わないやつのTwitterアカウントを閉鎖したとき、Torに関する今回の新しいユーザ登録プロセスは、検閲されたユーザがTwitterに再加入しようとしたとき、厄介な問題を引き起こす可能性がある(ユーザに対する政府の検閲が持続/再発しているのなら)。

〔訳注: Torは今年のredditの寄付対象団体でもある。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa


ISISの支持者たちがTwitterのJack Dorseyらを殺すと脅迫

ISISを支持する人たちが、JustPaste.itにポストした投稿で、Twitterの社員を殺すと脅している。それはTwitterが、このテロリスト集団に関連したアカウントを削除したからだ。そのポストの画像では、Twitterの協同ファウンダJack Dorseyの顔の上に十字線(銃の標的)がある。

アラビア語で書かれているこのポストを最初に報じたBuzzFeedは、“DorseyとTwitterの社員がカリフの兵士たちと、あなたたちの中にもいる支持者の標的になった”、と書いている。

これを投稿した人びとが実際にどういう人たちか、まだそれは分からないが、Twitterは真剣に受け止めている。同社はBuzzFeedで、“弊社のセキュリティチームは関連の法執行機関の人びとと共に、これらの脅しの信憑性を調べている”、と声明している。同じ声明が、本誌TechCrunchにも寄せられた。

Twitterのサービス規約は、“人びとの反感を喚ぶかもしれない”コンテンツをポストすることを認めているが、“ただし他人に対する直接的な暴力の脅迫”は許容しない、としている。また同社はイギリス政府と協力して 同国のテロ関連法に違反しているコンテンツは削除している。

しかしISIS関連のコンテンツをブロックしているのはTwitterだけではないから、Twitterだけが名指しされている理由が分からない。YouTubeもイギリス政府と協力してISISによる人質の殺害動画を取り下げている。Facebookも、ヨルダンのパイロットMuadh al-Kasasbehがいけにえにされるビデオを削除した。

6月にイラク政府は、インターネット上のソーシャルメディアがISISの宣伝メディアとして利用されることを防ぐために、FacebookとYouTubeとTwitterへのアクセスを制限しようとした。でも全世界的なブロックは不可能だから、取締りはなかなか難しい。

彼らはコンテンツ本体だけでなく、それらを指すリンクを広めることもできる(今回のTwitterへの脅しもそうだった)。とりわけ、JustPaste.itのようなサイトは、匿名の投稿も認めている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa


Twitteが常連トロルの取締りを強化、電話番号で本人を同定

Twitterにはトロルという問題がある。CEOもそのことをよく知っている。そこで同社はこれから、ユーザを暴言や脅しなどから守るための対策に乗り出す。

Twitterが今日まず発表した対策は、ユーザの安全性に関わる懸念を報告するプロセスを拡張し、またいやがらせの常習犯が新しいアカウントを作るのを、電話番号を利用して防ぐことだ。

The Vergeの記事によると、Twitterはこれまでに分かっているトロルたちの、電話番号の調査を開始する。これまでは、Twitterが彼らのアカウントを閉鎖してもすぐに新しいアカウントを作られて、いやがらせが再開していた。電話番号が分かれば、彼らのアカウント再取得の試みを摘出できる。そして最終的には、彼らのしつこい行為を排除できるだろう。

Twitterの現在のアカウントは、電話番号の記載がオプションだ。でもThe Vergeによると、誰かにいやがらせをしているユーザを見つけたら、そのアカウントを一時的に停止し、電話番号の提供を求める。電話番号およびアカウントの登録に使ったメールアドレスが、Twitterが作成したブラックリストに載っていれば、アカウント取得を拒否する。トロルは停止されたアカウントを捨てて、電話番号を提供せずに新しいアカウントを持てるから、それは完璧なソリューションとは言えない。でも、とりあえず対策の第一歩とは言える。

またTwitterは昨年から、これまでは被害者だけにできた暴言の報告を、目撃者でもできるようにした。そしてこれからは、その方式を、自傷行為やなりすまし、個人情報の公開などにも適用する。

同社はセキュリティを強化するため、サポートチームの人数をこれまでの三倍にした。とりわけ、Twitterによると、当事者以外でも暴言を指摘できるようになってから、報告の量が従来の五倍になった。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Lenovoがラップトップにプレロードした”SuperFish”とそのごみを完全に削除するツールを提供

今週のはじめに、LenovoがそのWindows PCの多くに”SuperFish”といういかがわしいアドウェアプログラムを、これまで何か月もプレインストールしていた、という話が広まり始めた。

そして研究者たちが、劣悪な脆弱性を見つけ始めた。すなわち、SuperFishは、あるかなり醜いハックを使ってユーザのコンピュータの暗号の証明をいじくり、暗号化されているはずのユーザの通信(HTTPSによる通信)を、ユーザがWiFiの共有接続(スタバ、空港など)を使っている場合には危険にさらした。

今朝ほど(米国時間2/20)、合衆国国土安全保障省は、Lenovoのラップトップのユーザに、そのツールを削除せよと強制した。

仮にセキュリティの問題がなかったとしても、SuperFishは相当胡散臭い。Google検索の結果をそれらが画面に現れる前に捕捉して、広告を水増しし、それから検索結果を表示していたのだ。ユーザの承認なく。

Lenovoは今、火消しに追われている。昨日同社は、SuperFishに関連したあらゆるものを1月にサーバ上で停止した、と発表した。しかし、その善き行いも、ユーザのラップトップ上のセキュリティの醜悪な欠陥を修復することはできなかった。

そこでLenoveは今日、自動的に削除を行う一連のツールをリリースし、“すべてのメジャーなブラウザからSuperFishとCertificatesを確実かつ完全に削除する”、と確約した。

さらにその削除ツールのソースコードも、その内部を調べたい人や、自分でコンパイルしたい人たちの便宜のために公開した。

こうなると、そのツールすら疑う人が少なくないと思われるので、Lenovoは手作業でSuperFishを削除する方法も上記のページで紹介している。

この件でLenovoからの発表はやたら多いが、以下は、最新の発表声明からの部分引用だ:

ユーザからの苦情に基づき、1月にSuperfishのプレロードの停止とサーバ接続の遮断を命じたが、セキュリティの脆弱性が残ることについては昨日まで無知であった。これが弊社の過誤であることを認め、今後はこのようなことがないよう、努力する所存である。今現在は、その脆弱性の修復に取り組んでいる。

今となってやっと知ったことに基づいて、迅速果敢に行動した。この問題は弊社のThinkPadやタブレット、デスクトップ、スマートフォン、エンタプライズサーバ、ないしストレージデバイスに対しては無害であるが、Lenovoの全顧客にお知らせすべきであると認識している。理由の如何を問わず、ユーザにご心配をおかけしたことをお詫びするとともに、経験から学習して弊社の今後の行動とその方式を改善していきたい。ソフトウェアとそれがもたらす脆弱な証明の削除を、顧客が容易に行えるための努力を今後も継続し、顧客が期待して当然かつ要求する権利のある、弊社製品に対する安心感を、今後とも持ち続けていただけるよう努めていきたい。

[上図中の死魚の写真は、Flickr上のBen Brophyの作品を、クリエイティブコモンズの規約のもとに改変したもの。]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


GoogleがApp Engine上のアプリケーションのセキュリティをチェックするサービスGoogle Cloud Security Scannerをローンチ

Googleが今日(米国時間2/19)、同社のPaaSサービスGoogle App Engineを使っているデベロッパのための、新しいセキュリティツールをローンチした。その、Google Cloud Security Scannerと呼ばれるツールは、ユーザ(デベロッパ)のアプリケーションを定期的にスキャンして、クロスサイトスクリプティング混成コンテンツ(mixed content)に対する脆弱性をチェックする。

こんなツールを提供するのはもちろんGoogleが初めてではないが、今日の発表声明の中で、既存のツールは“必ずしもGoogle App Engineのデベロッパには向いていない”、と主張している。しかも既存のツールはセットアップが難しくて、デベロッパではなく“セキュリティの専門家向けだ”、とも言っている。

そのチェックを動かすためにGoogleは、ユーザのサイトをスキャンする小さなボットネットをCompute Engine上にセットアップする。HTTPリクエストは毎秒約15リクエストに抑えられ、 App Engineが問題なくそれらを処理できるようにする。

最初の実行ではスキャナーがユーザのサイトとアプリケーションを素早くクロールして、その基本的なHTMLのコードを解析する。それから、Googleの説明によると、二度目のスキャンではサイトの完全な表示(レンダリング)を行い、アプリケーションのもっと複雑な部分を調べる。それが済むとツールは、無害なペイロードにより、攻撃を試みる。それからChrome DevToolsのデバッガでブラウザとDOMの、攻撃の前とあとで変わった箇所を調べ、不正コードの注入に成功したかをチェックする。成功していたら、今後マルウェア等にやられる可能性がある。

デバッガを使うことによってGoogleは誤判断を避けようとしているが、それでも、見逃すバグがあるかもしれない、とも言っている。しかしGoogleによると、“デベロッパにとってセキュリティのチェックは、労力もノイズも少ないものが望まれているから、このトレードオフは前向きにとらえたい…”、と言っている。

スキャナーは、すべての入力フィールドに何かを書き込み、すべてのボタンやリンクをクリックしてみるから、アプリケーションの機能を実際に動かしてしまう可能性もある。たとえば、ブログのコメント欄に、“毎週9000ドル稼げる”というスパムが載ってしまうかもしれない。それを防ぐためには、Googleの推奨では、スキャナーをテスト用のサイトで動かすか、または臨時のCSSコードによってUIの一部を不活にしたり、一部のURLを排除するとよい。

スキャナーの利用は無料だが、ユーザのクォータの制限量や帯域に対する料金に影響が及ぶことは、あるかもしれない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


LenovoのPC全機種にプレロードされているアドウェアが実は恐ろしいマルウェアだった!

Lenovoは今日(米国時間2/18)、同社の消費者向けPCの全機種に重大なセキュリティホールが見つかるという、煮え湯を飲まされた。

Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。

今Lenovoにコメントを求めているが、まだ得られていない。

The Next Webの記事によると、1月にLenovoの社員のMark Hopkinsが、ある顧客のフォーラム上で、Lenovoが‘ヴィジュアル検索’企業のソフトウェアをプレロードしているのでは、という顧客からの嫌疑を確認している。そのときの彼の説明によると、そのソフトウェアには“ある問題が”あるので、“一時的に削除された”、という。その問題には、勝手に出現するポップアップも含まれていたようだ。Superfishに対して、市場に存在する既存のデバイスに対するアップデートを要請した、と彼は付け加えていた。

プレインストールは消費者に不評である。当然ながら彼らは、買ってきたばかりのデバイスがクリーンであることを求める。しかし一部のハードウェアメーカーは、そういうことをやってお金を稼いでいる。Superfishには、ブラウザにポップアップすることや、アンインストールする必要性などの面倒ばかりでなく、自分で署名してrootになりすまし、ユーザのWebブラウザからデータを集める、という深刻なセキュリティの脅威があるらしい。

さらにまた、サードパーティはSuperfishの証明キーを生成して、その悪質極まりない行動を自分のために利用できる。HackerNewsが、そのことを指摘している

銀行利用のためのパスワードや振込用の暗証番号などの個人データがいちばん心配だが、すでにSuperfishの問題がたくさんツイートされている中には、下図に示すような、bankofamerica.comの証明のなりすましという深刻な例もある。こういうことが、できてしまうのだ。

さらにまずいのは、Superfishのソフトウェアを削除しても、Lenoveのマシンから証明は(したがって脅威は)削除されないことだ。

Hopkinsは、PCに最初から組み込んだSuperfishにできることと、できないことを、次のように説明している:

Superfishの技術はコンテキストと画像だけを利用し、ユーザの行為行動は利用しない。すなわちそれは、ユーザの行為行動をプロファイリングしたり、モニタしたりはしない。ユーザ情報を記録しない。ユーザが誰であるかを関知しない。ユーザは追跡されないし、リターゲットされない。各セッションが独立で、他のセッションに/からデータを受け渡ししない。

しかしそれでも、ユーザのデータとセキュリティが危険にさらされているという事実が、Lenovoの顧客やセキュリティのエキスパートたちのあいだで警報として伝搬している現状は、すごく正当である。

なお、イギリス政府の諜報部門MI5とMI6は、同部門内におけるLenovo製品の使用を禁止した、と報じられている。ハッキング被害に遭いやすい、という脆弱性がその理由だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


セキュリティ研究家がこれまで集めた1000万件の(本物の)パスワードを一般公開

セキュリティ研究家のMark Burnettが、ユーザ名とパスワードのセット1000万件を収めたtorrentファイルを公開した。それは彼がWeb全域のオープンなWebサイトから集めた、比較的匿名化されているデータの集まりだ。それらのパスワードとユーザ名は古くて、その多くは使われていないと思われるが、いちばん重要なのは、Burnettがそれらを、“誰でも検索エンジンで見つけることができて、誰もがプレーンテキストで入手できる(ハッシュされていないし暗号化もされていない)ので、これまでも、コンピュータシステムに不法アクセスしようと思う者が盗もうと思えば盗めたものである”、ことだ。

彼がそれを集めたのは、彼のパスワード研究の一環としてだ。パスワードの振る舞いは不透明である。なぜそんなパスワードが選ばれたのかよくわからないし、またWeb上におけるパスワードの強度を客観的に評価する方法もない。企業はいつも、うちのパスワードデータベースは安全だと言うが、その言葉には根拠がない。しかも、いちばん多く使われているパスワードが”password”だから、そんなものが安全であるはずがない。

Burnettは次のように書いている:

学生たちやセキュリティの研究者たちから、私のパスワード研究データのコピーを求められる機会が多い。パスワードを共有することはお断りしているが、しかしそれでも、問題のない、きれいなデータ集合なら公開したいと思っていた。よく注意して選んだデータ集合は、パスワードにまつわるユーザの行為を知る手がかりになるし、パスワードのセキュリティをより強化するためにも役に立つ。そこで、1000万件のユーザ名とパスワードを集めたデータ集合を作り、パブリックドメインに公開することにした。

そのデータ集合は、ここでダウンロードできる。

Burnettはこれらのパスワードを公開するにあたり、相当悩んだらしい。まず、これは技術的かつ学術的な行為だが、それに対する法律がどうなっているのか、よく分からない。議員などに聞いても、明快な答は得られない。しかも自分の研究の一部を一般公開することには、リスクが伴うかもしれない。ジャーナリストのBarrett Brownが投獄されたことを見ても、セキュリティを扱う場合は自分の言動によほど用心しなければならない。今回の件は、違法にあたるとはまったく思えないにしても。

というわけで、1000万件のパスワードを見ながら、自分を反省しよう。今使ってるパスワードの、どこがまずいのか? ところでぼくは、超安全なパスワード“ILovePizzaAndBeerLakers2015!”を、捨てる気はないけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Bitcoinのブロックチェーンに便利なメタデータ層をつけて多様なアプリケーションを可能にするColu

暗号通貨Bitcoinを支えるブロックチェーンという技術は、現実世界のいろんなトランザクションにより高いレベルの信頼性をもたらすプラットホームとして、かなり前から投資家が注目してきた。

テルアビブのColuは、そのヴィジョンを現実化するプラットホームを、開発しようとしている。Coluが提供するAPIを使ってデベロッパは、カラードコイン(colored coins,証書性通貨)とBitcoin 2.0のインフラストラクチャにアクセスして、新しい分散アプリケーションを作ることができる。

ColuのCEOで協同ファウンダのAmos Meiriはこう語る: “ブロックチェーンはいわば、この惑星上の誰とでも共有しているGoogleのスプレッドシートみたいなものだ”。そのスプレッドシートに誰もがアクセスでき、そしてそのシート(bitcoinの台帳)の変更(書き換え)を承認する手段を誰もが持つことによって、トランザクションにより高い信頼性とセキュリティ*がもたらされる機会が作られる。〔*: 原理的に、本人性詐称が起こりえない。〕

Coluがやることは、bitcoinの基本的なトランザクションの上に、取引された通貨量だけでないメタデータの層を作ることだ。すると、Coluを利用して作ったアプリケーションは、単なる仮想通貨だけでなく、鍵やチケットや役職や行為など、現実世界のいろんなものでブロックチェーンベースのトランザクションを承認できるようになる。

“この、bitcoinでセキュリティを確保されたプラットホームにより、これまでネットでの買い物をためらっていた層も安心してeコマースなどを利用できるようになる”、とMeiriは語る。

すでに、Coluのプラットホームを利用してトランザクションの部分にbitcoinを統合しているアプリケーションデベロッパが数名いる。

この技術の開発を加速し、またアプリケーションデベロッパたちの利用促進を図るためにColuは、イスラエルのVC Alephと合衆国のSpark Capitalが率いるラウンドにより、250万ドルの資金を調達した。

Coluはいわゆる、bitcoin 2.0 technology(bitcoin 2.0テクノロジ)の最新の例だ。この技術はbitcoinの、単なる仮想通貨を超えた用途を開拓しようとしている。

Meiriは語る: “Coluの目標は、ブロックチェーンの能力を利用して、あらゆるものへのアクセスを安全にすることだ。オンラインの買い物も、別荘のドアも、車のドアロックも。その用途はきわめて多様だが、ブロックチェーンの確認とセキュリティの能力があれば、何でも可能だ”。

Meiriと彼のチームは、それまで、カラードコイン(colored coins)の開発に関わっていた。その経験が、Coluの技術のベースになっている。

Culuの開発プラットホームはまだベータだが、2015年の第二四半期には一般公開でリリースされる予定、という。

昨年Bitcoinの価値は下落を続けたが、それにも関わらずその技術の継続的成熟と、bitcoinを利用する消費者の数の増加は着実に続いている。

今週は、CoinBaseが7500万ドルという巨額の資金を調達し、合衆国で初めての、州公認のBitcoin取引所をローンチした。

本誌のライターJon Russellが、昨日の記事で書いている:

先週、ニューヨーク証券取引所とUSAAを投資家に加えた同社は、Wall Street Journalの記事中で、ニューヨークやカリフォルニアなど重要な地域も含めて全米の半数の州から“州の規制下での営業”を認められた、と述べている。とくにニューヨーク州は、州の規制を受け入れないかぎり営業をさせない、と強硬に主張していた

Coinbaseはすでに、世界の19か国で取引所サービスを提供しており、これまで合衆国国内での営業許可や承認を得るのに5か月かかった、と言っている。ユーザは、同社の営業が許可されている州内でないと同社のサービスにサインアップできない。今、そのほかの州でも許可を得るべく、継続的に努力が行われている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


セキュリティの重要性が強調される時代、それでも跋扈する「人気」パスワード

2014年は、デジタル・セキュリティについての話題が多く登場した年でもあった。被害者となるのも、もはやテック系の業界に身を置く人や、新手のサービスに関わる人ばかりではない。たとえばSnapchatTarget、あるいはSony Entertainmentの情報が漏洩したりもして、セキュリティ被害というのが誰の身にも起こりえることが明らかになってきた。セキュリティ被害といっても、NSAの動向がどうしたというような難しい話をしようとしているのではない。インターネット上での活動を増加させつつある私たち自身が、十分な対応をとっていないことが多いのだ。たとえばSplashDataがリリースした「最悪のパスワード」(2014年にリークされた300万のパスワードから、「人気」のパスワードをリストしたもの)を見てもそれは明らかだ。十分な強度をもつパスワードを指定することを怠っている人のなんと多いことか。

とりあえず「最悪のパスワード」リストをみてみよう。

1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
6. 123456789
7. 1234
8. baseball
9. dragon
10. football
11. 1234567
12. monkey
13. letmein
14. abc123
15. 111111
16. mustang
17. access
18. shadow
19. master
20. michael
21. superman
22. 696969
23. 123123
24. batman
25. trustno1

ちなみに昨年の集計では「password」が1位だった。パスワードと言われたのでpasswordと入力するというような、最低最悪の段階からくらべれば、まあ多少は進化したと言えるのかもしれない。ちなみに「dragon」というパスワードも人気だ。「強さ」により侵略に備えるイメージなのかもしれないが、不的確なパスワードの代表と言える存在だ。

現在では、パスワードの脆弱性を回避するための簡単なツールも用意されている。もちろん「パスワード」という仕組み自体が時代遅れのものとなっているという見方もあるので、そのような中、パスワード用のツールを使うというのはナンセンスだと感じる人もいるだろう。しかし、たとえばパスワード管理ツールを利用することで、パスワードの強度は保たれ、そして更新時もきちんと対処してくれて、安全な場所にパスワードを保存してもらえたりするようにはなるわけだ。

そうはいっても、簡単なツールを利用することすらいやだという人もいることだろう。そういう人は自分の個人情報(誕生日や郵便番号など)と関係した語をパスワードとして用いがちだ。そうした行為は「いけないこと」とされているが、しかしそうした場合でもパスワードを強化する方法はある。

たとえばパスワードとして用いたい語の配列を混ぜてしまうという方法だ。たとえば「123456」や「qwerty」を使っている人なら、順番に混ぜてしまって「q1w2e3r4t5」というパスワードを利用することも考えられる。さらに「My uncle lives in Kansas」を使って「MyUncleLivesInKansas」をパスワードとしたいと考える人もいるだろう。このパスワードはあまりに弱いが、しかしここに番地を加えて「MyUncleLivesInKansas207」とすれば多少の強化にはなる。長くて、そしてアルファベットと数字を混ぜることで、パスワードを強化しつつも覚えやすいものを作ることができる。もちろん完全にランダムなパスワードに比べれば弱いものだ。ただ、こうしたちょっとした工夫をすることで、「最悪のパスワード」リストにあるようなものを使わないで済むようになる。

原文へ

(翻訳:Maeda, H


では一体誰がやったのか?

Sony Picturesのハックに、何らかの戦意があったとは認めがたい。CloudFlareとDEF CONのMarc Rogersが言ってるように、このハックは、かなりぶさいくなやり方ではあっても、犯人の特定は難しい。ハッカーの心得のある者なら誰もが、プロキシを使い、ソフトなターゲット(非軍事的な標的)をねらう。しかし攻撃に成功してデータを盗んでしまったら、犯人の所在を突き止めることはほとんど不可能だ。それが平壌からか、アトランタからか、誰にもわからない。Rogersは次のように書いている:

デジタル犯罪の鑑識はテレビドラマではない。CSIなどでは、捜査官がキーボードをわずかに叩けば、まるでマジックのように、コンピュータがアンロックされ、証拠情報がスクリーンにどどっと流れだす。さらにキーを叩くと、“追跡”と呼ばれるグラフィカルなアプリケーションが犯人の家に侵入し、彼のWebカメラや寝室のドアを操作する。しかし現実は、そんなかっこよさとは程遠い。

[ツイート訳: ついにやったか。くそがきどもが、DPRKのふりをしてるぜ。]

つまり、FBIですら、犯人の特定はできない。

ぼくが想定するシナリオでは、LulzSecみたいなハッカーたちがSony Picturesに入り込む方法を見つけたのだ。長時間かけて大量のデータを盗んだ彼らは、Sony Picturesを困らせてやろうと思った。敵意も利益動機もなく、ただ自分を誇示したいために。盗んだデータをSnowdenみたいに調べてみたら、すごいデータであることが分かった。ニュースメディアは、本誌も含めて、このゴミに食いついた。そして盛大に騒ぎ立てた。Angelina Jolieのメールもある! お粗末なCandy Land映画のリメイクもある! ハリウッドがモーレツに腹を立てている! テレビのバラエティ番組が、映画のプロデューサーたちの単純なメールをネタに、これだけ視聴率を稼いだ月は、過去になかっただろう。

Snowden的なリークではあっても、これらのドキュメントそのものは、あまり重要ではない。むしろ、Sonyの社員の話によれば、Sonyは近く、侵入試験をするつもりだった。同社のインフラはあまりにも古くて、ITの連中が昼食のために外出している間にメールをすべて盗むことも可能なぐらいだった。FBIが今回の事件を外部の悪者のせいにしていることは、Sony Picturesの上級スタッフにとって、最高のクリスマスギフトだ。

リークが世の中に広まったあと突然、おまけが出現した。911スタイルのテロ予告、それに続くパニック状態、犯人特定の要求が嫌が上にも高まった。そのlulzのようなハッカーは北朝鮮である、とされた。しかしそのときからすでにセキュリティの専門家たちの多くは、北朝鮮説の虚偽を指摘していた。要するにこれは、“おい、みんな、Sonyをハックしてみようぜ”が、あまりにもうまく行き過ぎた例だ。ハッカーたちが望んだもののすべて…お楽しみ、自分たちに集まる注目、わくわくするような意地惡行為…が実現した。放火マニアが、落ち葉の山に火をつけただけで、一つの町内が全焼したように。愉快犯の愉快も、被害者の被害も、ともに、おそろしいほど完璧だ。

Sony Picturesの映画では、ハック行為が、実際にはありえないかっこよさで描かれている。実際にはワークステーションが何台もずらーっと並んではいないし、美女に尺八をしてもらいながら暗号を解読することもない。実際のハッカーはその多くが、平凡で地味で無名で目立たなくて人畜無害な姿をしている。彼らは裏世界に身を潜めて、実験や盗みを楽しんでいる。そんな物静かなハッカーたちが急にメディアの寵児になるなんて、ふつうはありえない。われわれの騙されやすさに本気でつけ込めば彼らは今ごろ、銀行に巨額を蓄えているだろう。しかしもしも、腐敗した映画プロデューサーたちが交わしたメールの重要性を理解できるほど北朝鮮のハッカーたちの文化性が本当に高いのなら、われわれは彼ら見くびっていたことになる。それは、ありえないだろう。

[ツイート訳: Kim Jong Unは今度作るロックオペラのネタが欲しかったんだろ?]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


PlayStation NetworkとXbox Liveのネットワークをクリスマスにダウンさせたハッカーたちが名乗り出た

クリスマスにゲーム機をもらったけど、ネットワークに接続できないので友だちとプレイできない、という人が多かっただろう。我が国最大の二つのゲーム機ネットワークがどちらもダウンして、犯人たちは自分たちがやったと名乗りを上げている。一年でいちばん、ゲームをする人が多いと思われる日に妨害行為をやらかしたLizard Squadと名乗るハッカーグループが、Xbox LiveとPlayStation Networkのネットワークをダウンさせたのは自分たちだ、と主張している。

トラブルの報告は今日(米国時間12/25)の早朝からあちこちに投稿され始め、Xbox LiveとPlayStation Network(PSN)の両方が、一部のコアサービス問題があると認めた。いずれの場合もネットワークへのログインが困難になり、いつものようにオンラインで友だちとゲームをプレイすることができなくなった。

[PSNからの報告]

[PSNに関して問題が報告されたことは承知している。今調査しているので、しばらくお待ちいただきたい。]

犯行を認めているハッカーグループLizard Squadは、数週間前からネットワークを遮断すると脅迫していた。声明によると彼らは、8月にPlayStation NetworkとBlizzardを攻撃してLeague of LegendsやPath of Exileなどのゲームをプレイできなくしたグループと同一のグループだ。

https://twitter.com/FUCKCRUCIFIX/status/548168352666247168

クリスマスにぴかぴか新品のPS4やXBOneを手にした人は、本当に不運だった。ネットワークに接続できないと、ゲームプレイどころか、どちらも、アカウントの最初のセットアップすらできないのだから。

ゲームができなくなったその人たちは、何をしてクリスマスを過ごしたかな。健全に、善良に、家族と過ごしたのだろうか?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


タイの軍事政権が3000万Lineユーザの全通信をモニタ、不敬罪の摘発へ

タイ政府のお役人たちは昨年、チャットアプリLineにアクセスしてその会話内容をモニタしたい、と要求した。そして今週、ある政治家(下記)が、今では彼らはそれができる、と主張した。

The Nationの記事によると、情報通信技術大臣Pornchai Rujiprapaが記者会見で、“政府はタイの国民が毎日Lineを使って送っている4000万通近くのメッセージのすべてをモニタできる”、と述べた。

Lineのスポークスパーソンは記事の内容を否定し、本誌TechCrunchに対して、同社はタイの政府にユーザ情報を提供していない、と述べた。

大臣のその主張は、タイでは相当重大な情報開示だ。アジアにはメッセージングアプリのユーザがFacebookのユーザよりも多い国がいくつかあるが、タイはその一つ。Lineの公表によると、タイの登録ユーザ数は3000万を超えている…登録ユーザ数としてはFacebookよりも多い

タイ政府が本当にLineをモニタしているのなら、それは、これまで彼らがやってきた、いくつかのソーシャルネットワーク上の不法と見なされるコンテンツをブロックする取り組みの、延長かもしれない。

Pornchai大臣のこのたびの暴露によると、刑法に厳しい不敬罪がある*タイでは、その法に違反しているメッセージを見た者は誰でも、そのメッセージの最初の発信者を突き止めることのできる当局に連絡しなければならない。〔*: タイ刑法第112条 国王、王妃、王位継承者あるいは摂政に対して中傷する、侮辱するあるいは敵意をあらわにする者は何人も三年から十五年の禁固刑に処するものとする。 —Wikipedia「不敬罪」より。〕

不敬罪による過去の逮捕者は、SMSやFacebookのメッセージ、インターネット上のフォーラム、Webサイトなどに関連していた。おそらくLineもやがてその一員になるのだろう。しかし、今では政府に対する批判勢力もあるので、当局はそれとも戦うつもりだろう。

タイの軍のトップ(今の首相)は、今年5月のクーデターにより政権を握った。新たな政権は複数の抵抗勢力に直面しており、その中には学生グループもいる。彼らは映画Hunger Gamesの真似をして、三本指の敬礼を、現政権に対する異議申立てのサインとして使っている。

軍事政権は、政権批判者が出没するWebサイトを検閲する、と脅している。Facebookすら、彼らによって一時的にブロックされた。政府当局はこの夏、GoogleやFacebookとの検閲に関する話し合いを持とうとしたが、両社ともその話には乗らなかった

この国でユーザ数が最大のソーシャルネットワーク上の、すべてのメッセージを当局が自由にフィルタできる(らしい)という話は、プライバシーの観点から大きな困惑であるだけでなく、Line自身のセキュリティにとっても問題だ。

たとえば昨年Lineは、携帯のデータ通信で送られるメッセージにサードパーティがアクセスできる、という中間者攻撃遭いやすいという脆弱性が見つかった。Lineはその問題をパッチし、チャットの暗号化機能を導入したが、ぼくの個人的な経験の範囲内では、これまで誰もその機能を使っていない。

政府はLineの協力の要らない独自の方法でメッセージをモニタできるのかもしれない。モニタしていることを、Lineにもユーザにも知られることなく。政府当局は、より効率的な検閲システムのために、独自のインターネットゲートウェイとその検閲への利用を計画していると思われる

そういうゲートウェイや検閲システムに関して、政府による公式の発表はない。本当だったとしても構築に数年は要するだろうが、今強く感じられる可能性としては、サイバー空間のモニタリングやコントロールに関してタイ政府は、インターネット企業の協力や同意等は求めずに、ISPや通信事業者とのみ協働していくつもりだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ソニーへのサイバーアタックにつき、FBIの名指しをうけた北朝鮮は一切の関与を否定

TechCrunchでも「ザ・インタビュー」絡みの話題をいろいろと取り上げている。FBIは犯行の背後には北朝鮮がいると主張しているが、北朝鮮側は一切の関与を否定しているようだ。BBCの記事によれば北朝鮮外務省は、FBIの決めつけは「重大な結末」を招く可能性があるとし、共同調査を提案してもいるようだ。

当初は、実際のところは他国からの攻撃であり、北朝鮮からのものに見せかけたものなのではないかという疑いももたれていた。しかし現在ではセキュリティ専門家の多くが、ソニーに対するサイバーアタックやその後の情報流出の背後には北朝鮮がいたものだと考えている。セキュリティの専門家であるBrian Krebsは、「Guardians of Peace」を名乗る集団からの攻撃の多くは北朝鮮からのものであり、また在日施設からのものも見られると述べている。

ソニーに対するサイバーアタック(最新技術を用いたというわけでもないらしい)は当初、いち映画会社の問題であったわけだが、それがいまや国家間の騒動へと発展したわけだ。北朝鮮は自らの関与を全く否定している。現時点ではわからないことも多く、事実が明らかになるのは(明らかにされない場合もあり得るだろう)しばらく後のこととなるだろう。アメリカと北朝鮮の関係を考えれば、北朝鮮の提案している共同調査などというのはあり得ない話だろう。もちろんデニス・ロッドマンが動き始めれば、話はまた別なのかもしれない。

原文へ

(翻訳:Maeda, H