IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

IT資産管理や名刺管理サービス、システム開発などを手がけるSKYは、同社製品の情報セキュリティー上の脆弱性に関する情報を報告したユーザーに報奨金を支払う「SKY脆弱性報奨金制度」を開始した。報奨金は最大で200万円になる。

脆弱性報奨金制度(Bug bounty program)は、自社製品やサービスの安全性向上を目的として海外の大手IT企業などがすでに実施しているが、SKYでも、「検知難易度の高い潜在的なセキュリティリスクをいち早く発見できる」手段として「SKY脆弱性報奨金制度」を設立し、ユーザーからの協力を求めることにした。この制度の設計からリリースまでは、SOC支援やCSIRT支援を行う川口設計の協力で行われた。

応募された情報は、受け付け順に審査され、認定が行われた後に公開される。報奨金は、緊急性、重要性などに基づき定められたベース金額に、共通脆弱性評価システム「CVSS」の値が乗算され、さらに、RCEか否か、脆弱性種別に応じて金額が加算される。最大で、脆弱性1件につき200万円となる。

この他、応募に関する条件、対象製品、情報の取り扱いなど、制度に関する詳細は、「Sky脆弱性報奨金制度規約」「Sky脆弱性報奨金制度ルールブック」をご覧いただきたい。IT資産管理や名刺管理サービスを手がけるSKYが自社製品に関するバグバウンティ制度開始、報奨金は最大200万円

バグバウンティ大手HackerOneが約56.6億円調達、在宅勤務によるクラウド利用増加が後押しに

バグ懸賞と侵入テストのスタートアップ、HakerOne(ハッカーワン)が4900万ドル(約56億6000万円)のシリーズEラウンドを完了した。この1年、在宅勤務の増加によってクラウド利用が急増した結果だ。

セキュリティ問題を探すハッカーと、問題を解決したい企業の間を取り持つ同社は、最近の成長について、12月のホリデーシーズンを前にインターネットを駆け巡った広く普及しているオープンソースロギングプラットフォーム、Log4j(ログフォージェイ)の欠陥をはじめすとる「ゼロデイ脆弱性」のまん延によって加速されたものだと語った。

同社は、この1年間に侵入につながっていた可能性のある重大、深刻な脆弱性を1万7000件以上発見しており、12月にLog4jバグが発見された後だけでも2000件以上の脆弱性が報告されたと語った。

HackerOneのCEOであるMarten Mickos(マーテン・ミコス)氏は、発見された攻撃の増加について、企業や政府が「これほど脅威にさらされたことはありません」と語った。

調達した資金は、研究開発および市場開拓業務の拡大に使用するつもりだと同社は言っている。

シリーズEの4900万ドルを加えて、HakcerOneの2021年設立以来の総調達額は1億6000万ドル(約184億7000万円)近くになった。ラウンドをリードしたのはGP Bullhound(GPブルハウンド)で、他に既存出資者のBenchmark(ベンチマーク)、NEA、Dragoneer Investment Group(ドラゴニア・インベストメント・グループ)、およびValor Equity Partner(ベイラー・イクイティー・パートナー)が参加した。

2012の開業以来、HackerOneは同社のバグ懸賞プログラムをさまざまな顧客に提供しており、リストには米国防省、Google(グーグル)、Dropbox(ドロップボックス)、Microsoft(マイクロソフト)、Twitter(ツイッター)の名前もある。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

【コラム】10代によるテスラ車のハックを教訓にするべきだ

Tesla(テスラ)をハックした19歳のDavid Colombo(デビッド・コロンボ)が騒がれるのは、当然といえば当然の話だ。彼はサードパーティソフトウェアの欠陥を利用して、13カ国にわたる世界的EVメーカーの車両25台にリモートアクセスした。ハッカーは、遠隔操作でドアのロックを解除し、窓を開け、音楽を流し、それぞれの車両を始動させることができたと話している。

関連記事:100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

コロンボ氏が悪用した脆弱性はTeslaのソフトウェアのものではなく、サードパーティのアプリに存在するもので、そのためできることに限界があり、ハンドルやアクセルそして加速も減速もできなかった。しかし彼はドアを開け、クラクションを鳴らし、ライトを制御し、ハッキングした車両から個人情報を収集した。

サイバーセキュリティのプロにとって、このようなリモートでのコードの実行や、アプリキーを盗むのは日常茶飯事だが、私が恐れるのは、情報漏洩の開示に慣れてしまい、今回の件がコネクテッドカーのエコシステム全体の関係者にとって貴重な学習の機会であることが見逃されてしまうことだ。

今回のハッキングは、サイバーセキュリティの初歩的な問題であり、率直にいって起きてはならない過ちだ。コロンボ氏がTwitterのスレッドを投稿して通知した翌日に、Teslaが突然数千の認証トークンを非推奨にしたことから、問題のサードパーティ製ソフトウェアは、セルフホスティングのデータロガーだった可能性があるのだという。一部のTwitterユーザーの中にはこの説を支持する人もおり、アプリの初期設定によって、誰でも車両にリモートアクセスできる可能性が残されていることを指摘している。これは、コロンボ氏による最初のツイートで、脆弱性は「Teslaではなく、所有者の責任」と主張したこととも符合する。

最近の自動車サイバーセキュリティ規格SAE/ISO-21434と国連規則155は、自動車メーカー(通称、OEM)に車両アーキテクチャ全体に対する脅威分析とリスク評価(threat analysis and risk assessment、TARA)の実施を義務化している。これらの規制により、OEMは車両のサイバーリスクと暴露の責任を負う。つまり、そこが最終責任になる。

Teslaのような洗練されたOEM企業が、サードパーティのアプリケーションにAPIを開放するリスクを看過していたのは、少々らしくないような気もする。しかし低品質のアプリは十分に保護されていない可能性があり、今回のケースのように、ハッカーがその弱点を突いてアプリを車内への橋渡しとして使用することが可能になる。サードパーティ製アプリの信頼性は、自動車メーカーに委ねられている。自動車メーカーの責任として、アプリを審査するか、少なくとも認証されていないサードパーティアプリプロバイダーとのAPIのインターフェイスをブロックする必要がある。

たしかに、OEMが検査し承認したアプリストアからアプリをダウンロードし、アップデートすることは消費者の責任でもある。しかしOEMの責任の一部は、そのTARAプロセスでそうしたリスクを特定し、未承認アプリの車両へのアクセスをブロックすることにある。

私たちKaramba Securityは、2021年に数十件のTARAプロジェクトを実施したが、OEMのセキュリティ対策には大きなばらつきが散見された。しかながらOEMは、顧客の安全性を維持し、新しい規格や規制に対応するためにできるだけ多くのリスクを特定し、生産前に対処することを最重要視している点で共通している。

ここでは、私たちが推奨するOEMメーカーが採用すべきベストプラクティスを紹介する。

  1. 秘密と証明書を保護する – 広義のなりすましや身分詐称を確実に失敗させる(ファームウェアを置き換える、認証情報を詐称するなど)
  2. アクセスや機能をセグメント化する(ユーザーに対して透過的な方法で) – たとえ1つのポイントが失敗しても、被害は限定的になる
  3. 自分自身で継続的にテストする(あるいは他の人にやってもらうために報奨金プログラムを立ち上げる) – 見つけたものはすぐに修正する
  4. インフォテインメント、テレマティクス、車載充電器などの外部接続システムを堅牢化し、リモートコード実行攻撃から保護する
  5. APIをクローズアップする。未許可の第三者には使用させないこと。このような習慣があれば、今回の攻撃は免れたはずだ

消費者に対しては、OEMのストア以外からアプリを絶対にダウンロードしないことをアドバイスしている。どんなに魅力的に見えても、非公認アプリは運転者や乗客のプライバシーを危険にさらしていることがある。

EVは楽しいものだ。高度な接続性を有し、常に更新されすばらしいユーザー体験を提供しれくれる。しかし、EVは自動車であり、スマートフォンではない。自動車がハッキングされると、ドライバーの安全とプライバシーを危険にさらすことになる。

編集部注:本稿の執筆者Assaf Harel(アサフ・アレル)氏は、Karamba Securityで研究とイノベーション活動を指揮し、革新的な製品とサービスの広範なIPポートフォリオを監督している。

画像クレジット:SOPA Images/Getty Images

原文へ

(文:Assaf Harel、翻訳:Hiroshi Iwatani)

長年にわたり物議を醸す犯罪追跡アプリのCitizenが災害対策アプリのHarborを買収

犯罪監視アプリのCitizen(シチズン)は米国時間1月26日、防災アプリや技術を扱うHarbor(ハーバー)を買収すると発表した。Citizenにとって初めての買収だが、同社は金額などを明らかにしていない。

「公共安全の変革は大規模な事業です。私たちのミッションをグローバルに加速させるために、すばらしいチームと一連の製品が必要となります。Harborの買収は、その技術、製品、チームを含め、私たちにとって大きな喜びです」とCitizenの創業者でCEOのAndrew Frame(アンドリュー・フレーム)氏はプレスリリースで述べた。

公開されている911(日本の110番に相当)の記録簿をもとに、スタッフが検証したデータによると、Citizenは米国内の60都市で毎日2000万件以上の緊急通報を配信しているという。以前は、ユーザーがCitizenに直接事件を報告することができたが、現在は同社のウェブサイトで、代わりに911に電話するように勧めている。

1年半ほど前にシードラウンドで500万ドル(約5億7500万円)を調達したHarborは、火災や地震などの危機に備えるプロセスをゲーム化した。2020年10月にスタートしたこのアプリは、ユーザーに郵便番号の入力を求める。そして、どのような災害が自分に降りかかる可能性が高いかを教えてくれる(ちょっと恐い感じがするが)。

関連記事
防災プラットフォームHarborが5.3億を獲得、ハリケーンの通り道の降水量監視や煙感知器の残量なども管理
天災などの緊急事態の備えをゲーム化した「Harbor」がローンチ、瞑想ヘルスケア大手の元幹部が開発

Harborはユーザーに、数分でできる準備作業を毎週提示する。処理すべき大量の緊急事態リストを一度に押しつけることはしない。最初は煙探知機のチェックや非常持ち出し袋の準備などから始まり、徐々にCPR(心肺蘇生法)の習得など、より時間のかかる安全対策に取り組んでもらう。

「私たちのチームがCitizenと、同社が掲げる世界をより安全な場所にするという使命に参加できることは、これ以上ない幸せです」とHarborのCEOであるDan Kessler(ダン・ケスラー)氏は話す。同氏は、Citizenに最高事業責任者として加わる。「モバイルセーフティーに関わる新しい技術カテゴリーを構築し続けるために、私たちが一緒にできることはたくさんあります」。

この買収は、Citizenがユーザーに、近隣で起きた事件に関して不安を煽るような警告を送らずに、安全を維持する方法を提供するのに役立つ可能性がある。同社は最近、月額20ドル(約2300円)のサービスProtectを開始した。ユーザーは、危険を感じるものの911に電話するほどではない場合に、Citizenのエージェントに連絡できる。同社はTechCrunchに、Protectのユーザー数は現在10万人だと述べた。

現在、無料アプリ全体で1000万人のユーザーを抱えるCitizenは、長年にわたってさまざまな論争に巻き込まれてきた。2016年から、このアプリ(以前は「Vigilante」と呼ばれていた)は、危険や身体的被害につながる可能性のある活動を奨励したとして、App Storeから削除された(このアプリの開発で示唆したのは、一般人は犯罪の問題に「グループで」アプローチすることだと、同社は立ち上げ時に記している)。

またこのアプリは、後日無実と判明した放火犯容疑者の情報に対して3万ドル(約345万円)を支払うと提案したり、通報があった犯罪の現場を調べるために民間の警備員を送ろうとしたことでも、非難を浴びたことがある。

画像クレジット:Bloomberg / Contributor / Getty Images

原文へ

(文:Amanda Silberling、翻訳:Nariko Mizoguchi

アップルがAirTagストーカー問題に対応、「Personal Safety User Guide」を改定

AppleのAirTagsがストーカー目的使われていることを伝える報道が最近数多くあったことを受け、米国時間1月25日同社は、現行の「Personal Safety User Guide」を改定し、近くにある未知のAirTagを発見したり、AirTagが音を発しているのに気づいた際に消費者が何をすべきかに関する新たな情報を追加した。同ガイドはAirTagのアラートの意味や、AirTagあるいはその他の「Find My(探す)」のネットワークアクセサリーが自分を追跡しているとき何をすべきかを具体的に説明している。Androidユーザー向けの説明も書かれている。

ガイドの改定を最初に見つけたのは、9to5MacAppleInsiderの両サイトだ。AppleはTechCrunchに対し、米国時間1月25日にユーザーガイドを改定し、AirTag関連の情報を追加したことを正式に認めた。

しかし、ガイド自体は新しいものではない。同じマニュアルは以前、個人の安全が脅かされていることを心配する人たちや、Apple製品を通じて何らかの方法でストーカー行為を受けたり追跡されたりする可能性を懸念する人たちに向けた情報を提供していた。総じてこのマニュアルは、以前パートナーと情報を共有していたが、今後は自分のアカウントやデータ、位置情報などを相手がアクセスできないことを確実にしたい人たちを手助けすることが主な目的だった。

しかしAirTagの場合、ストーカーに発つながるのはパートナーによる虐待行為に限らない。たとえばThe New York Times(ニューヨーク・タイムズ紙)のある記事は、自動車泥棒が盗もうとしている高価な車の位置を突き止めるためにAirTagデバイスを使う様子を報じている。他にも、地元のスポーツジムなどの公共施設を離れたあと、AirTagに追跡されていることを示すアラートを受けたと言っている人がいた。ティーンエージャーの子どもを追跡するために本人に伝えることなくAirTagを使う親もいると記事は伝えている。

Appleは、紛失物トラッカー業界の中で、近くにある未知のBluetooth追跡デバイスに関する事前警告を実装した最初の主要テック企業であることから、こうしたストーカー状況が白日に晒らされることになった。NYTが指摘するように、研究者の中には、AppleのAirTagは、テクノロジー由来のストーカー問題を必ずしも生み出していないと主張する人もいる。むしろ、AirTag固有のアラート・システムによって、すでにまん延していた問題が暴露されたとも考えられる。しかしAppleにとって不幸なことに、ユーザーの安全とプライバシーに焦点を当てていることを会社として強く宣伝してきたことから、状況は対外的責任問題になっている。

AirTagストーカー問題について、何人ものApple広報担当者が声明を発表しているが、新しいガイドは本件に関するより公式な書類だと考えられる。

同ガイドはユーザーに対し、どんな時にアラートを受けるのか、なぜAirTagが音を鳴らすのが聞こえることがあるのか、新しいAndroid用Tracker Detect(トラッカー検出)アプリをどうやって使うかなどを説明している。中でも重要なのは、未知のAirTagに追跡された時にどうすればよいか、見つけられないときに音を鳴らす方法などが書かれたAppleのサポートページが紹介されていることだ。

関連記事:アップル、正体不明のAirTagを発見するAndroidアプリ「Tracker Detect」をリリース

今回の改定にともない、ユーザーガイドはPDFではなく検索可能なウェブサイトで公開されている。これによってGoogle(グーグル)などの検索エンジンによるコンテンツのインデック化が改善され、検索クエリにもとづいてユーザーが目的のページに到達しやすくなる。また、新しい個人の安全に関する文書やガイダンスが発行された際のガイド改定も容易になる。

AirTag情報以外にも、改定されたガイドには、当初発行された時にはなかったAppleの新しい機能に関する情報が入っている。AppleのApp Privacy Report(アプリ・プライバシー・レポート)や復旧用連絡先の設定方法などだ。他にもHome KitとHome App、プライベート・ブラウジング・モード、メッセージや電話、FaceTime、メールなどで相手をブロックする方法、不審な活動の証拠を記録するためにスクリーンショットを撮る方法、アカウント復旧用連絡先を設定する方法などを扱うセクションが追加された。

アカウントのセキュリティとプライバシーの管理に関する既存の情報と合わせることで、今回改定されたガイドは、従来バージョンよりも包括的な文書になっている。

しかし、AirTagをめぐる問題は、情報の不足や消費者が取るべき行動に関する混乱ではなく、AirTag自身が簡単にストーカー目的に使えてしまうことだ。安価で入手しやすいことに加えて、警告音の大きさは気づくのに十分なほどではなく、クルマの下やナンバープレートの裏などに仕かけられた時はなおさらだ。そして、未知のAirTagに関するアラートが発信される頻度はあまりにも少ない、とプライバシー擁護派は指摘する。

Appleは上記やその他の不満に対して、AirTagの機能を変更することによる対応はしていないが、今回のガイドの公開は、同社が少なくとも問題を認識し、消費者に何らかの情報を提供しようとしていることを示している。

画像クレジット:James D. Morgan / Contributor / Getty Images

原文へ

(文:Sarah Perez、翻訳:Nob Takahashi / facebook

ビットキーが手がけるスマートロックとhomehubをレオパレス21が採用、2022年6月より44万戸に設置

ビットキーは1月24日、同社が開発・販売するスマートロックと、様々なサービスを自宅でシームレスに利用できるコネクトプラットフォーム「homehub」(ホームハブ)について、レオパレス21が管理する物件に採用されたことを発表した。2022年6月よりレオパレス21が管理する物件の約8割となる44万戸を対象に設置を開始する。

レオパレス21では、以前から非対面・非接触対応を目指し、新築物件に対してスマートロック「Leo Lock」(レオロック)の設置を進めていたものの、設置条件や初期投資額などの障壁、入居者専用サービス「レオネット」といった各種システムとの連携が困難な点から普及と拡大に課題があったという。今回、ビットキーのスマートロックおよびhomehubによってそうした課題が解消され、採用に至ったとのこと。

スマートロックは、スマートフォンの専用アプリやICカードテンキーでの暗証番号入力など複数の手法で鍵の解錠が行えるシステムで、入居者はキーレス環境を享受できる。ICカードや暗証番号はセカンドキーとしての利用を目指している。

また、入居者以外でも利用時間や回数制限のある「ワンタイムチケット」「ワンタイムパスコード」を発行してもらうことで、暗証番号やスマートフォンによる解錠・入室が可能。オートロック機能や施解錠履歴管理機能を備えているため、セキュリティ対策にもなる。

なおこのワンタイムチケットでは、一時的な解錠が許可されるため、お部屋探し中の顧客に対して、営業スタッフの同行なく単独での完全非対面かつ鍵の貸出の手間を省いた内見を提供できる。

homehubはIoT架電や置き配・家事代行サービスなどと連携可能な暮らしのコネクトプラットフォーム。また、不動産管理会社などへ鍵の発行システムや内見予約システムを提供しており、前述のワンタイムチケットとあわせて内見予約に連動した鍵の自動発行など、業務を効率化できる。

100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

Tesla(テスラ)車のオーナーに人気の高いオープンソースのログ記録ツールに、セキュリティバグが見つかった。これにより、セキュリティ研究者は世界中の数十台のテスラ車にリモートアクセスできたと述べている。

この脆弱性に関するニュースは2021年1月初め、ドイツのセキュリティ研究者であるDavid Colombo(デヴィッド・コロンボ)氏のツイートで初めて明らかになった。コロンボ氏は、25台以上のテスラを「完全に遠隔操作」できるようになったが、その詳細を公表せずに、悪意のあるハッカーに警告を与えず、影響を受けたテスラ車のオーナーに問題を開示することに苦労していたと述べている。

現在、このバグは修正されていることをコロンボ氏は確認している。TechCrunchはこの記事を、脆弱性が悪用される可能性がなくなるまで掲載を保留していた。コロンボ氏はブログで調査結果を発表した。

コロンボ氏がTechCrunchに語ったところによると、この脆弱性は「TeslaMate(テスラメイト)」というツールで見つかった。これはテスラ車のオーナーが自分の車両に接続して、車両のエネルギー消費量、位置情報の履歴、走行統計などの隠されたデータにアクセスし、問題のトラブルシューティングや診断を行うために使用する無料でダウンロードできるロギングソフトウェアだ。TeslaMateは、テスラ車マニアたちが家庭用コンピューターで実行していることも多いセルフホスト型のウェブダッシュボードで、テスラのAPIにアクセスすることで、クルマの所有者のアカウントに紐付けられている車両のデータに触れることができる。

しかし、匿名でのアクセスを許可したり、デフォルトのパスワードを変更せずに使用しているユーザーがいたりといったウェブダッシュボードのセキュリティ上の欠陥が、一部のテスラ車オーナーによる設定ミスと相まって、100台分を超えるTeslaMateのダッシュボードが、テスラ車を遠隔操作するために使用する車両オーナーのAPIキーを含めて、直接インターネットに漏洩するという事態を引き起こした。

コロンボ氏はTechCrunchに電話で、影響を受けたテスラ車の数はもっと多いだろうと語っている。

漏洩したTeslaMateのダッシュボードの1つには、あるテスラ車がカリフォルニア州を横断している最近の移動ルートが表示されていた。TeslaMateはその後、脆弱性を修正し、テスラは数千のAPIキーを失効させた(画像クレジット:David Colombo)

コロンボ氏によると、TeslaMateのダッシュボードがデフォルトでは保護されていないことを発見したのは、2021年、漏洩したダッシュボードを偶然見つけたことがきっかけだったという。インターネットで他のダッシュボードを検索した結果、同氏は英国、欧州、カナダ、中国、米国でダッシュボードが露呈されたテスラ車を発見した。

しかし、ダッシュボードが露呈しているテスラ車のオーナーに個別に連絡を取ることは非常に困難であり、多くの場合、影響を受けたテスラの顧客に連絡できる方法を正確に知ることはできないと、コロンボ氏は説明する。

さらに悪いことに、露呈したダッシュボードからテスラ車ユーザーのAPIキーを抽出することが可能だったため、悪意のあるハッカーが、ドライバーに気づかれず、テスラ車に長期的なアクセスを続けることができてしまったのだ(APIは、インターネット上で2つのソフトウェアが相互にやり取りすることを可能にする。この場合、テスラの車両と同社のサーバー、Teslaアプリ、またはTeslaMateダッシュボード)。テスラのAPIへのアクセスは、所有者のアカウントに紐付けされたプライベートAPIキーによって、テスラ車の所有者に制限されている。

コロンボ氏は、流出したAPIキーを利用することによって、ドアや窓のロック解除、クラクションの吹鳴、キーレス運転の開始など、車両の一部機能に遠隔操作でアクセスできることを、アイルランドのあるテスラ車オーナーに確認したという。また、車両の位置情報、最近の走行ルート、駐車場の場所など、車両内部のデータにもアクセスできたとのこと。ただし、APIへのアクセスを利用してインターネットから遠隔的に車両を動かすことができるとは思えないと、コロンボ氏はいう。

今回のセキュリティ問題は、テスラのインフラにあったわけではないものの、業界標準の措置であるパスワードが変更された時に顧客のAPIキーを失効させるなど、テスラはセキュリティを向上させるためにもっとできることがあると、コロンボ氏は述べている。

TeslaMateは内密に脆弱性を報告した後、アクセスを防ぐためにユーザーが手動でインストールしなければならないソフトウェア修正を配信した。

TeslaMateプロジェクトの保守管理者であるAdrian Kumpf(エイドリアン・クンプフ)氏は、コロンボ氏のメールを受け取ってから数時間以内に更新プログラムを配信したと、TechCrunchに語っている。このソフトウェアはセルフホスト型であるため、ユーザーが誤って自分のシステムをインターネットに露呈させてしまうことを防ぐことはできないと、クンプフ氏はメールで語っており、TeslaMateの説明書では以前から、ソフトウェアを「ホームネットワーク上にインストールするように。さもなければ、あなたのテスラAPIトークンが危険にさらされる可能性があります」と警告していると付け加えた。また、クンプフ氏は、高度なインストールオプションを選択したユーザーは影響を受けないはずだ、とも述べている。

テスラが数千人のドライバーのAPIキーを失効させたことから、この問題は当初考えられていたよりも広範囲に渡っていた可能性があると、コロンボ氏はTechCrunchに語った。なお、テスラには本記事掲載前にコメントを求めたが、回答は得られなかった(テスラは2020年に広報チームを廃止している)。

画像クレジット:Patricia de Melo Moreira / AFP / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

ビズリーチなどを展開するVisionalグループ、クラウドリスク評価サービスAssuredを正式リリース

ビズリーチ、HRMOS等を展開するVisionalは、2022年1⽉25⽇、セキュリティ領域の新事業として、クラウドリスク評価のデータベースサービス「Assured(アシュアード)」を正式リリースしたことを発表した。

進むクラウド化と追いつかないセキュリティ管理

各産業で不可逆のデジタル化が進み、特に国内クラウド市場は2018年度から2019年度にかけて約21%拡⼤し、2024年度には約2.8倍の5.4兆円規模に拡⼤ することが予想されている(MM総研「国内クラウドサービス需要動向調査」(2020年5⽉時点) )。⼀⽅で、クラウド利⽤を起因とした重⼤なインシデントも相次いでおり、企業の新たな経営課題として、セキュリティリスクマネジメントの必要性が⾼まっている。情報セキュリティ部門の担当者は、決裁者への説明のため担当者が各サービスを比較したり、上場準備等に伴う内部監査でクラウドサービスのセキュリティに問題がないかリサーチしたりと、日々増加していく作業量に頭を悩ませている。

(検索画面イメージ)

Assuredは、そんな情報セキュリティ部門の負担軽減、生産性向上を目指すサービスだ。クラウドサービスのセキュリティ状況がオンラインで確認でき、項目ごとに更新日時や過去ステータスも追える。

(レポート画面イメージ)

現在用意されているスタンダードプランでは同サービスでの検索を制限なく利用可能。掲載されるクラウドサービスは、Assuredチームによるリサーチ、クラウドベンダー側からの追加依頼のほか、ユーザー側から追加をリクエストすることもできるという。他に、クラウド導入のアドバイザリーオプションなどを追加したメニューも策定していく予定だそうだ。

 

自社課題から生まれた新規事業

(左:Assured事業部長の大島氏、右:代表の南氏)

同社は2021年4月に上場。実はこの事業、約500のクラウドサービスを利用していたVisional自身が、その上場準備の中でも特に大変だったクラウドセキュリティリサーチの経験から生まれたそうだ。

同事業の事業部長を務める大森厚志氏は、ビズリーチに新卒入社後、ビズリーチ事業のマーケティング部、事業企画部を経て、地域活性事業などを担う組織の立ち上げに従事。その後、クラウド活用と生産性向上の専門サイト「BizHint」のマーケティング組織の立ち上げを担った後、社長直下のR&Dプロジェクトを経て、Assuredを企画立案し、事業化に至っている。大森氏曰く「自社で苦労があるということは、同じことに困っている企業もきっとあると思い、本事業を進めることにしました」とのこと。Assuredは、事業化の承認から先行リリースまで3ヶ月、正式リリースまで約1年強というスピードとなる。

同社は、「新しい可能性を、次々と。」をグループミッションに掲げている。同社代表の南壮⼀郎氏は「同事業は、新規事業を任された大森が、強い思い入れを持って立ち上げたもの。弊社は、こういった自由な組織風土を以って、どんな方にもチャンスがあるということを体現していきたいし、特定の領域に固執せず、その時に必要なものを生み出していきたいと考えている」と語った。

関連記事:ビジョナル南壮一郎氏上場インタビュー、創業から12年の道のりと上場企業として目指すもの

GMOインターネットがサイバーセキュリティ事業に本格参入、イエラエセキュリティを子会社化

GMOインターネットがサイバーセキュリティ事業参入、82名のホワイトハッカー組織を有するイエラエセキュリティがグループ参画

GMOインターネットは1月24日、同日開催の取締役会において、サイバーセキュリティ事業を展開するイエラエセキュリティの株式を取得し、子会社化することを決議したと発表した。これにより同グループは、電子認証サービスを中核としたセキュリティ事業に加え、サイバーセキュリティ事業にも本格参入する。

今回のグループジョインに伴い、イエラエセキュリティは2022年3月の定時株主総会における議案承認を前提として、「GMOサイバーセキュリティ byイエラエ株式会社」に商号を変更する予定。

また新拠点「GMOタワー」内に、国内最大規模の「GMOサイバーセキュリティセンター」を設置。グループ内の専門人財の交流・育成を行うことで、次世代を担うトップエンジニアやホワイトハッカーの育成、技術力のさらなる向上に向けた取り組みを加速する。

イエラエセキュリティは、セキュリティ技術を競う国内外のハッキングコンテストで高い実績を誇るホワイトハッカーが中心となり2013年2月に設立。82名(2021年12月時点)のホワイトハッカーが所属する、国内最大規模のホワイトハッカー組織を有している。

また、同社は「誰もが犠牲にならない社会」をミッションに掲げており、ウェブアプリケーションやスマホアプリ、企業の基幹システムなどに対するサイバー攻撃に対する高度なセキュリティ対策を提供し、持続可能な事業継続をサポートしている。

主力のサイバーセキュリティ事業の中でも、高い技術力と「攻撃者の視点」を有するホワイトハッカーが行う「セキュリティ脆弱性診断」は国内外の幅広い業界・業種の企業での実施実績があり、特に技術的に難易度が高いとされる電子決済などの金融システム、コネクテッドカーや5G対応のIoTシステムなどを有する企業においても多数のリピート実績を有しているという。

ノーコードでWireGuardフルメッシュVPNを企業ネットワークに提供するSaaS「Wissy」がβ版ユーザー募集開始

ノーコードでWireGuardフルメッシュVPNを企業ネットワークに提供するSaaS「Wissy」がβ版ユーザー募集開始

Notchは1月24日、SaaS型でWireGuardフルメッシュVPNを提供する新サービス「Wissy」のβ版ユーザーの募集を開始したと発表した。β版への登録は、公式サイトから電子メールで行う。

Wissyは、3月初旬をめどに、招待制でのベータ版提供を開始予定。また、4月初旬〜5月にかけてプロダクトのオープンアクセスを目指し開発を進めている。今後数年で一般化するであろう、分散型のチーム・働き方を支えるインフラの基盤となるべく開発を行っているという。

Wissyは、数行のコード、もしくはノーコードでUXの高いプライベートネットワーク(VPN)を構築できるSaaS型クラウドVPNサービス。コンテナでの運用やセルフホスティングにも対応し、透明性が高い通信環境を運用可能としている。通信プロトコルにはWireGuardを採用しており、ユーザーとユーザーが直接つながるメッシュネットワークをゼロコンフィグで構築可能。サービス利用開始にあたりハードウェアの導入や既存インフラの変更を必要としないため、企業やチームの大きさに関わらず簡単に導入できるという。

また、ユーザーや通信の設定を管理するサーバーなどは希望に応じてすべて自社でホスティングすることが可能。サービスのコア技術はオープンソースソフトウェア(OSS)として公開予定のため(2022年4月頃予定)、透明性が高くより柔軟なネットワークの運用・構築を行える。ノーコードでWireGuardフルメッシュVPNを企業ネットワークに提供するSaaS「Wissy」がβ版ユーザー募集開始

ネットワークアクセス権管理については、法人メールアドレスなど既存SSOアカウントでカスタマイズ可能。部署やチーム、リソースごとのアクセス管理を既存の法人メールアドレスと紐付けて行えるほか、ダッシュボードによる統合的なアクセスコントロールが可能で、スタートアップ・エンタープライズの規模に関わらない運用が実現できるとしている。

クラウドへのアクセス制御に加えて、クラウド間のセキュアな通信環境構築にも対応し、マルチクラウドにおけるセキュリティー強化を図れる。また、IoTデバイスにおけるセキュアかつ効率的なバージョンアップデートのユースケースや、デバイス同士のセキュアなP2P通信も行える。ノーコードでWireGuardフルメッシュVPNを企業ネットワークに提供するSaaS「Wissy」がβ版ユーザー募集開始

WireGuardは、Linuxカーネル5.6.x系からサポートされているオープンソースのVPNプロトコル。2016年ごろよりJason A. Donenfeldを含む複数のコントリビューターが開発を進めている。同プロトコルの特徴は、従来のVPNプロトコルとして一般的であったIPSecやOpenVPNなどと比較して、圧倒的なシンプルさと通信速度の速さをセキュリティー耐性高く実現している点にある。

ただWireGuard単体では、個人が細かな設定ファイルを定義し、ネットワークを構築する必要がある。Wissyでは、そうしたWireGuard接続用の煩雑な設定の自動化とP2Pメッシュネットワーク化を独自の規格で行うことで、誰でも簡単にWireGuardが提供する機能の恩恵を受けることを可能としているという。

【コラム】注意、会社はあなたを見張っている

新しい1年の始まりに、みんなに役立つことを教えよう。

ITが十分に確立されておらず、会社の構築とともに方針が急速に進化しているスタートアップで働く場合、雇用主が迅速に動いて物事を実行し、後から許可を取ろうとしてしまうリスクが普段よりも高くなる。これはほぼ直感的に理解できるだろう。通常、創業初期のスタートアップは落ち着きなく、猛烈なスピードで動いているものだ。これは合法か?もちろんそうではないが、スタートアップ業界には、会社が成功しなければ許可など無意味なことだという考えも多く存在するようだ。また、会社が一流の急成長企業のスピードで成長しているなら、十分な資金があり弁護士もいるので、後で解決することもできるだろう。

この記事は、スタートアップの従業員数人(みんなが知っているであろう企業だが、名前を明かさないことを希望した)との会話がきっかけで生まれた。会社名を特定するのに十分な裏付け情報を得ることはできなかった(がんばって聞き出すので、ご心配なく)。ここでは、やる気満々で2022年を迎えたみなさんに、いくつか毎年恒例のお知らせを。

会社でのSlack(スラック)では、話の内容に気をつけよう。DMはプライベートなものだと思っているかもしれないが、企業の管理者がSlackインスタンスで送信されたすべてのDMをエクスポートできることをご存じだろうか?もちろん、データのエクスポートについては法律があるが、DMで違法なことや非道徳的なことを話すと、上司がDMのコピーを見せてそれについて説明する羽目になるだろう。過ちを重ねても意味がない。疑った仕事熱心なIT部長が細かく調べることを決めると、雇用主を訴える場合もあるかもしれない。しかし個人的なトークは個人的なチャンネルに、仕事のトークは仕事のチャンネルと区別すれば簡単に避けられる。もちろん、あなたのテキストはプライベートにできかもしれないが、少なくともそれらにアクセスすることは難しくなる。そして、特にこだわりがあるなら、メッセージが一定時間を過ぎると消えるSignal(シグナル)Telegram(テレグラム)もある。

上司は会社の機器を監視することができる。契約書には、会社が提供する備品の使用や使用不可について条項があることが多い。その一部は明確だが(「違法なことをしてはならない」)、一部はもっと曖昧だ。それは仕方がない。契約書をよく読むこと。あなたの会社が、あなたがコンピュータ上で何をしているか監視することが許可されると謳っているかもしれない。法に認められているようには思えないが、多くの労働契約に遠回しに記載されている。AIツールがますます強力になり、追跡されても全然構わないという契約書に署名する世界では、ソフトウェアを作成する多数の企業(AktivTrakActiveOpsVeratio他多数)があなたを監視し、雇用主はこれらをあなたのコンピュータにインストールしてさまざまなレベルのステルス行為を行い、あなたの許可を得ることができる。

AktivTrakは9000を超える組織で使用されており、そのツールは「いつ、誰により、何がやりとりされたかについて理解を深め、同時にコンプライアンスの確保を助けるための知見を提供するための、ユーザーアクティビティおよびセキュリティイベント詳細ログの参照」のために使用できると主張している。みなさんはどうだか知らないが、私はもう安全に感じている(スクリーンショット:AktivTrak website)

人事部はあなたの味方ではない。あなたの会社の人事部門はフレンドリーで、よく手を貸してくれて、親切かもしれない。全力で職場の問題解決を手伝ってくれるかもしれない。しかし彼らはあなたの味方ではない。人事部は会社のために働いているのだ。会社の利益を守るためにそこにいる。あなたの利益と会社の利益が対立すれば、人事部門で働く人は、いくらフレンドリーでも、生活費を稼ぐ必要があるし、あなたが辞めた後、解雇された後、異動した後も彼らの上司と良好な労働関係を維持する必要がある。James Altucher(ジェームズ・オルタッハー)氏が自身のコラム「いずれ、あなたは解雇される」で指摘している通り。

会社への忠誠の義務はない。特に米国では、多くが「随意」雇用であり、すなわちいつでも、いかなる理由でも一時解雇される可能性があり、会社が機会を与える限り雇用されたままになり、最終収益に貢献する。特にスタートアップでは、これは変わりやすい分野である。なぜなら目的と目標は取締役会ごとに代わる可能性があるからだ。ある月は、エンジニアリング部門は会社にとって最も必要不可欠な存在である。しかし銀行口座の金額と資金調達環境はすぐに変わり、翌月にはすべてが変わってしまう可能性がある。特に状況が困難になると、指導的立場にある人にとってKPIを基に運営し、成長と顧客獲得のみに焦点を置くことが魅力的になるかもしれない。その場合、エンジニアリングは短期的にみると重要性が低く、突然広告費と販売活動が最優先事項になる。しっかりした長期的ビジョンを持った偉大なるリーダーたちが急な変化を起こさざるを得なくなる可能性がある。プロの世界の忠誠心は、雇用主のみに恩恵を与える神話である。あなたをやめさせる必要があればそうする。リクルーターが声をかけてきたら、電話をとってその市場でのあなたの値段を確認しよう。

辞めてはならない。マネージャーや人事部門の誰かが経験則であなたに自らの意思でやめさせようとしても、抵抗するのが最善策だ。やめてはいけない!多くのメカニズムが(一部の州では、失業手当を含めて)、あなたが一時解雇された場合にのみ適用される。もし辞めたら、特に会社を訴えないと約束した合意書に同意した場合は、将来的に選択肢を大きく弱めることになる。

人事部はあなたのSlack DMメッセージまたはEメールを、あなたに対して使用しただろうか?現在私は数社のスタートアップの多数の従業員とお話ししている。みなさんのご意見もお聞かせいただきたい。お問い合わせ先:tc@kamps.org

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Haje Jan Kamps、翻訳:Dragonfly)

次のランサムウェアのターゲットは組み込み機器か?

2021年は、ランサムウェアギャングが重要インフラに目を向け、製造業、エネルギー流通、食品生産を中心とした企業をターゲットにした年として記憶されるだろう。

Colonial Pipeline(コロニアル・パイプライン)のランサムウェア攻撃は、ITネットワークへのランサムウェア攻撃が燃料を分配するパイプラインを制御する運用ネットワークへ広がる懸念から、結果として5500マイル(約8850km)のパイプラインを停止させる事態となった。

運用・制御技術(OT)ネットワークは、生産ライン、発電所、エネルギー供給を継続的に行うために重要な機器を制御するもので、重要なハードウェアをサイバー攻撃からより適切に隔離することができるよう、通常、企業のインターネット向けITネットワークからセグメント化されている。OTネットワークに対する攻撃が成功することはだが、Colonialへのランサムウェア攻撃をきっかけに、CISA(米国土安全保障省サイバーセキュリティー・インフラセキュリティー庁)は重要インフラ所有者にとって脅威が増大していると警告している。

セキュリティ研究者は現在、これらのOTネットワーク上にある組み込み機器がもたらすリスクについて警鐘を鳴らしている。組み込み機器向けのセキュリティプロバイダーRed Balloon Security(レッドバルーンセキュリティ)は、実際のネットワークで使用されている組み込みシステムでランサムウェアを展開することが可能であることを、新たな調査で明らかにした。

同社によると、Schneider Electric(シュナイダーエレクトリック)のEasergy P5保護リレーに脆弱性が発見された。この装置は、障害が発見されるとサーキットブレーカーを作動させ、現代の電力網の運用と安定性に重要な役割を果たすものだ。

この脆弱性を悪用してランサムウェアのペイロードを展開することが可能で、Red Balloonはこのプロセスを「高度だが再現可能」だと述べている。Schneider Electricの広報担当者はTechCrunchに対し「サイバー脅威には非常に警戒している」とし「Schneider ElectricのEasergy P5保護リレーの脆弱性を知り、直ちにその解決に取り組みました」と述べた。

Red Balloonの創業者で共同CEOのAng Cui(アング・ツイ)氏は、ランサムウェア攻撃は重要インフラプロバイダーのITネットワークを攻撃しているが、OT組み込み機器の攻撃に成功した場合は「はるかに大きな損害」になるとTechCrunchに語った。

「企業は、組み込み機器そのものへの攻撃から回復することに慣れていませんし、経験もありません」とツイ氏は話す。「デバイスが破壊されたり、回復不可能になった場合、代替デバイスを調達する必要がありますが、供給量に限りがあるため、数週間かかることもあります」。

2021年にIoTメーカーがソフトウェアアップデートを確実かつ安全にデバイスに配信できるようサポートするスタートアップを立ち上げたセキュリティのベテランであるWindow Snyder(ウィンドウ・スナイダー)氏は、特に他の侵入ポイントがより回復力を持つようになると、組み込み機器は簡単にターゲットになる可能性があると話す。

組込み機器に関して、スナイダー氏はTechCrunchに対し「その多くは特権分離がなされておらず、コードとデータの分離もなされておらず、多くはエアギャップ・ネットワーク上に置かれることを想定して開発されたもので、それでは不十分です」と述べた。

Red Balloonの調査によれば、数十年前に製造されたものが多いこれらの機器に組み込まれているセキュリティは改善される必要があり、政府や商業部門のエンドユーザーに対して、これらの機器を製造しているベンダーに対してより高い基準を求めるよう呼びかけている。

「ファームウェアの修正版を発行することは、最もミッションクリティカルな産業やサービスにおける全体的なセキュリティの低さに対処できない、消極的で非効率的なアプローチです」とツイ氏は指摘する。「ベンダーは、組み込み機器のレベルまでセキュリティを高める必要があります」。同氏はまた、米政府が規制レベルでより多くの取り組みを行う必要があり、現在、デバイスレベルでより多くのセキュリティを組み込むインセンティブがないデバイスメーカーに、さらなる圧力をかける必要があると考えている。

しかし、スナイダー氏は、規制主導のアプローチは役に立たないと考えている。「最も有効なのは、攻撃対象領域を減らし、区画化を進めることだと思います。より安全なデバイスを作るために規制をかけることはできないでしょう。誰かが、デバイスに回復力を持たせなければならないのです」と述べた。

画像クレジット:Sean Gallup / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

二要素認証の危殆化でハッキングされた暗号資産取引所Crypto.com、被害は約38.7億円以上に

Crypto.com(クリプト・ドットコム)は、先週末に同社のプラットフォームで発生した最近のハッキングについて、米国時間1月20日ウェブサイト上の声明で新しい詳細を共有し、483人のユーザーが影響を受け、1500万ドル(約17億円)相当以上のETH(イーサリアム)、1900万ドル(約21億6400万円)相当のBTC(ビットコイン)「その他の通貨」6万6200ドル(約750万円)相当の不正な引き出しが発生したと発表した。現在の暗号資産価値で3400万ドル(約38億7300万円)以上の価値がある総損失は、Crypto.comが声明を発表する前にアナリストが予測したものよりもさらに高いものだ。

同社の事後報告は、CEOのKris Marszalek(クリス・マルザレック)氏がBloomberg TVとのインタビューで侵害を認めたわずか1日後に行われた。彼の確認は、資金を盗まれたと訴える複数のCrypto.comユーザーから苦情が寄せられた後に行われた。それまで同社は「インシデント」としか言及せず、曖昧な対応に終始していたのだ。マルザレック氏はインタビューの中で、侵害がどのように発生したかについての詳細を共有していなかったが、彼はCrypto.comが影響を受けたすべてのアカウントに払い戻したことを認めていた。

本日の声明によると、Crypto.comは米国時間1月17日に「2FA(二要素)認証操作がユーザーによって入力されることなく取引が承認されていた」という疑わしい活動を検出したとのことだ。サイトは問題を調査するために14時間すべての引き出しを停止した。

Crypto.comは、攻撃者がすべてのユーザーに義務づけられている二要素認証を呼び起こさずに取引を承認することができた方法については述べていない。TechCrunchが詳細を問い合わせたところ、同社は今日発表された声明以外には、この侵害についてコメントすることを拒否した。

同社は「すべての顧客の2FAトークンを失効させ、追加のセキュリティ強化策を追加した」後、顧客にプラットフォームにログインして2FAトークンを再度設定するよう求めたと述べている。追加措置には、新しい引き出し用住所の登録と最初の引き出しの間に24時間の遅延が義務づけられているため、ユーザーは通知を受け、引き出しが不正と思われる場合はCrypto.comチームに連絡して「反応し、対処する十分な時間」を確保することになる。

同社は侵入後、内部監査を実施し、第三者のセキュリティ会社と契約してプラットフォームのチェックを行ったという。セキュリティ強化のため、2FAから「真の多要素認証」に移行する計画を発表したが、この変更の予定スケジュールは示していない。

Crypto.comはまた、2月1日から「一部の市場でWorldwide Account Protection Program(WAPP)」を導入すると発表した。これは、不正引き出しが発生した場合「認定ユーザー」に対して最大25万ドル(約2800万円)まで資金を回復するプログラムである。このプログラムの適用を受けるには、ユーザーは、多要素認証が利用可能なすべての取引タイプで多要素認証を有効にしなければならない。また、報告された不正取引の少なくとも21日前にアンチフィッシングコードを設定し、警察に被害届を提出し、それをCrypto.comにも提供し、鑑識調査に協力するための質問事項に答えなければならない。さらに、ジェイルブレイク(脱獄)デバイスを使用していないことが必要だと同社は述べている。

Crypto.comは世界第4位の暗号取引所だが、ここ数カ月は米国市場に強くアプローチしており、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリッパーズアリーナの命名権7億ドル(約797億円)の購入などのスタントを行っている。自社のことを「最も急成長している」暗号取引所と呼び、今週初めにはこの分野のアーリーステージのスタートアップを支援するために、ベンチャーキャピタル部門を5億ドル(約569億円)に拡大しました。今週の侵害事件と同社の対応の遅れによって、米国内での成長が停滞する恐れがある。

関連記事:Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

画像クレジット:Seb Daly / RISE via Sportsfile Flickr under a CC BY 2.0 license.

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

赤十字国際委員会のデータが流出、「弱い立場にある」51万5千人の個人情報が盗まれる

赤十字国際委員会(ICRC)の業務委託先がサイバー攻撃を受け、紛争や移住、災害などで家族と離ればなれになった「非常に弱い立場にある」51万5000人以上の個人データが流出していることが明らかになった。

赤十字国際委員会は、データの保存に使用しているスイスの業者の名前や、セキュリティ事故の原因については明らかにしていないものの、これらのデータは60以上の赤十字社および赤新月社のナショナルソサエティから提供されたものだと述べている。

声明の中で、赤十字国際委員会は攻撃者に対し、データの保護必要度を考慮して、情報を公に共有したり漏洩させたりしないようにと訴えている。

「あなた方の行為は、すでに計り知れない苦しみに耐えている人々に、さらに多くの傷と痛みを与える可能性があります。今、あなた方が手にしている情報の背後にいる実在の人物、実在の家族は、世界で最も無力な人々です。どうか正しいことをしてください。このデータを共有したり、売ったり、漏洩させたり、悪用したりしないでください」と、声明には書かれている。

この情報漏洩を受けて、同団体は紛争や災害で離ればなれになった家族を再会させることを目的とした「Restoring Family Links(家族のつながりの回復)」プログラムを停止した。

赤十字社の広報担当者がTechCrunchに語ったところによると、盗まれた情報には、氏名、所在地、連絡先の他、同組織のプログラムの一部にアクセスするための認証情報も含まれていたとのこと。

今回のサイバー攻撃によって、51万5000人以上の氏名、所在地、連絡先などの個人情報が侵害された。被害を受けた人々の中には、行方不明者とその家族、親のいない子どもや親と離ればなれになった子ども、拘留者、その他の武力紛争や自然災害、移住により国際赤十字・赤新月社運動から支援を受けている人々が含まれる。また、これらのプログラムに従事する約2000人の赤十字社・赤新月社のスタッフおよびボランティアのログイン情報も流出した。赤十字の広報担当者であるCrystal Ashley Wells(クリスタル・アシュリー・ウェルズ)氏によれば、システムが細分化されているため、ICRCの他の情報が漏洩することはないという。

国際的な人権団体や災害救援機関がハッカーの標的となることは増えている。2021年、国連は正体不明のサイバー攻撃者にネットワークを侵害された。また、5月にMicrosoft(マイクロソフト)は、米国国際開発庁のメールアカウントがハッカー集団に乗っ取られ、数千人に悪意のあるメールが送信されたことを明らかにした。

画像クレジット:Alex Wong / Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hirokazu Kusakabe)

リモートワークとクラウドの大量導入で1Passwordが約706億円の特大資金獲得、評価額約7740億円に

パスワード管理プラットフォームの1Passwordが6億2000万ドル(約705億7000万円)という巨額のシリーズCを終え、68億ドル(約7739億5000万円)の評価額となった。

この投資をリードしたのはIconiq Growthで、Tiger GlobalやLightspeed Venture Partners、Backbone Angels、そして同社の2億ドル(約227億6000万円)のシリーズA1億ドル(約113億8000万円)のシリーズBをリードしたAccelが参加した。その他の投資家としてCrowdStrikeのCEOであるGeorge Kurtz(ジョージ・カーツ)氏やGeneral MotorsのCEOであるMary Barry(メアリー・バリー)氏、そしてLinkedInの会長Jeff Weiner(ジェフ・ワイナー)氏らも参加した。また、このラウンドでは個人投資家のRyan Reynolds(ライアン・レイノルズ)氏やRobert Downey Jr.(ロバート・ダウニー・Jr.)氏、そしてJustin Timberlake(ジャスティン・ティンバーレイク)氏らからの投資もあった。

この特大のラウンドは、1Passwordのこの1年間の目覚ましい成長の結果によるものだ。同社はTechCrunchに、2021年7月のシリーズB調達以来、有料ビジネス顧客ベースが9万人から10万人以上に増え、Datadog、Intercom、Snowflakeなどの大企業加入者を加え、社内従業員数を475人から570人に増えたと述べている。この背景には、リモートワークやハイブリッドワークの継続、クラウドアプリの急速な普及、仕事による燃え尽き症候群の加速という3つの要因があると同社はいう。

同社によると、後者の点は特に懸念すべきサイバーセキュリティの脅威となりつつあるという。オフィスワーカーの80%、セキュリティ専門家の84%が、パンデミックの結果、燃え尽きたと感じており、12%が結果的に職場のすべてのものに同じパスワードまたはほんの数種のパスワードを使っていることが判明しているという。

「ストレスや燃え尽き症候群があると、2つのことが起こることがわかっています。まず、人は簡単な方法を探します。過労になると、セキュリティを後回しにするようになるのです。ストレスと燃え尽き症候群のもう1つの副作用は、変化したいという願望であり、それは大量辞職が起こります。IT部門が認識していないアプリやサービスを持ち出すことになるので、セキュリティの問題につながります」と1PasswordのCEOであるJeff Shiner(ジェフ・シャイナー)氏はいう。

1Passwordは、今回調達した資金を継続的な成長のために使用する。同社は、エンジニアリングおよびカスタマーサポートチームを3倍に増やし、サインインの成功と失敗を可視化する、ビジネスに焦点を当てたイベントAPI機能を構築し、さらに買収資金を調達する予定だという。

「戦略的買収を検討しています」とシャイナー氏はいう。「私たちは2021年にSecret Hubを買収しましたが、今後も買収を検討し、それらが私たちのミッションと目標の達成にどのように役立つかを検討していきます」。

最終的に、シリーズCの資金調達ラウンドで1Passwordにかなりの資金が提供されたが、Shiner氏は同社には「まだ」イグジットの計画はないという。

シャイナー氏にとって「資金は、これから大きなことをやろうとするときの安心材料」になるという。

関連記事:企業の秘密を「マシン・ツー・マシン」で保護する1Passwordが110億円調達、約2180億円の評価額に

画像クレジット:Boris Zhitkov/Getty Images

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

Crypto.comのCEOが数百の顧客アカウントがハッキングされたことを認める

Crypto.com(クリプト・ドットコム)のCEOであるKris Marszalek(クリス・マルザレック)氏は、米国時間1月19日に行われたBloomberg TVのインタビューで、約400の顧客口座がハッキングによって侵害されたと述べた。複数のCrypto.comユーザーが資金を盗まれたと主張してきたものの、これまで会社からの回答が曖昧だったへの苦情を受けて、侵害を認めるかたちとなった。

マルザレック氏は、ハッキングがどのように発生したかについての詳細は明らかにしなかったが、事件後「約13~14時間」で取引所がオンラインに戻り、影響を受けたアカウントはすべて払い戻されたとBloomberg TVに語った。

マルザレック氏の声明は、Crypto.comがハッキングが実際に発生したことを初めて公式に認めたことを意味する。同社は、米国時間1月16日にTwitterで「少数のユーザーが自分のアカウントで疑わしい行動を報告している」と指摘した後、同プラットフォームでの引き出しをまず一時停止した。また「用心のために」2要素認証を再設定するよう顧客に求めた。

同社はその後、顧客の資金が安全であるというやりとりの中で、発生した顧客の損失は同社がカバーするとの憶測を引き出し、何度もユーザーを安心させた。

損失額は1500万ドル(約17億1600万円)相当のETH(イーサリアム)に達する可能性があると、ブロックチェーンセキュリティプロバイダーのPeckShield(ペックシールド)は1月16日にツイートしている。PeckShieldはこのツイートで、資金の約半分がTornado Cash(トルネード・キャッシュ)に送られて「洗浄」されていると主張している。Tornado Cashは、イーサリアムのブロックチェーン上で「非保護の匿名取引」を提供しているとのこと。つまり、暗号がどこに送られたかを隠すことができるということだ。ブロックチェーンデータ会社OXT Research(OXTリサーチ)の別のアナリストは、このハッキングによって実際に取引所に3300万ドル(約37億7600万円)の損害が発生したのではないかと推測している。

損失の範囲について尋ねられたとき、マルザレック氏はBloomberg TVに、Crypto.comはまだ事件の事後分析に取り組んでおり、それは同社のブログに「数日中に」掲載されるだろうと述べた。

Crypto.comは世界第4位の暗号資産取引所だが、俳優のMatt Damon(マット・デイモン)を起用したバイラル広告や、ロサンゼルス・レイカーズとクリプト・ドットコム・アリーナの命名権7億ドル(約801億円)の購入などのスタントで、ここ数カ月、米国市場に強くその名を押し出してきた。自らを「最も急成長している」暗号取引所と呼び、今週初めには、この分野の初期段階のスタートアップを支援するためにベンチャーキャピタル部門を5億ドル(約572億円)に拡大した。今週のハッキングに関する影響は、米国での成長を一部停滞させる恐れがあるだろう。

画像クレジット:Crypto.com

原文へ

(文:Anita Ramaswamy、翻訳:Akihito Mizukoshi)

車上荒らし防止に取り組むFordとADTのジョイントベンチャー企業「Canopy」

自動車メーカーのFord(フォード)と、ホームセキュリティやビジネスセキュリティ、アラーム監視サービスを提供するADTは、現在の車両セキュリティの脆弱性に対処することを目的としたジョイントベンチャーCanopy(キャノピー)を立ち上げた。

Canopyはまず、車両に取り付けて周囲を監視し、盗難や破壊行為などの問題をドライバーに警告するアフターマーケットアクセサリーを提供する予定だ。

車両に内蔵されたアラームシステムは、盗難の抑止に役立つ場合もあるが、決して安全とはいえない。2020年、FBIは自動車盗難によって74億ドル(約8479億円)の損失が発生したと推定しており、これには自動車そのものとその内容物の盗難が含まれている。Canopyの製品は、過去10カ月間、米国のトラック運送会社や英国の貨物バンなどで試験運用されており、フォードの車両カメラシステムの専門知識とADTの監視サービスを組み合わせて、商業・小売業の顧客が車両盗難を回避できるようにすることを目的としている。

Canopyは、ADTにとって初の自動車セキュリティへの進出であり、他社と協力して新しい輸送技術を迅速に構築、買収、試験運用するFordの新しいベンチャーインキュベーターであるFordXの製品だ。2018年、FordXはドックレスeスクーターのシェアリング企業であるJelly(ジェリー)を手がけ、これがFordによるSpin(スピン)買収の基礎となった。Canopyは、従来のビジネスライン以外で拡張性のあるモビリティソリューションのポートフォリオを拡大するフォードの戦略の次のステップとなるようだ。

Canopyの自己吸着型アクセサリーは、あらゆる車種に対応し、2023年初頭までにオンラインとさまざまな実店舗で販売される予定だ。カメラ、レーダー、音響センサーなどのセンサーを用いて、クルマの周囲に関するデータを収集する。そして、車内とは独立したOSがデータを処理し、LTEやWi-Fi経由でクラウドサーバーに共有します。ADTのモバイルセキュリティおよび戦略的プロジェクト担当副社長Leah Page(リア・ペイジ)氏によると、盗難の可能性がある場合は、モバイルアプリやADTの5000人のモニターエージェントに報告されるという。

「ADTが製品にもたらす要素について考えると、それはまさにAIソリューションの導入を支援することです」と、ペイジ氏はTechCrunchに語った。「つまり、鳥が通り過ぎるのと、誰かがトラックの荷台に侵入して何かを盗むことの違いがわかるということです。そのような事象が発生すると、ADTに情報が入り、監視員がどう対応すればよいかがわかります。状況に応じて、オーナーや緊急連絡先への通報から、警察への通報まで、あらゆる対応が可能です」。

今後、Canopyは、クルマのハードウェアに統合し、そのクルマのカメラとセンサーに依存して同じ安全機能を実行する別の監視システムをリリースする予定だ。FordがCanopyの最初の統合企業となるが、Canopyのすべての技術をどの自動車メーカーでも利用できるようにすることが目的だ。

「このサービスを顧客にとって本当に意味のあるものにするためには、マルチメーカーで、現在すでに路上を走っているクルマのセキュリティの懸念に対応できるような方法で行う必要がありました」と、FordXのディレクターでCanopyの暫定CEOであるChristian Moran(クリスチャン・モラン)氏はTechCrunchに語った。「私たちは、ターゲットであるトラックやバンなど、無数の車種に対応できる1つのソリューションを検討しています」。

Canopyは当初、高価な貨物を運ぶ大規模な運送会社と、トラックの荷台に数千ドル相当の工具や機器を積んでいて、しばしば盗難の被害に遭う中小企業のオーナーの両方を考えて、商業顧客に焦点を合わせていた。来年早々には、このような顧客が最初のターゲットとなる。しかし、試験運用を通じて、一般消費者向けの使用例も出てくるようになった。

「トラックやバンの荷台に自転車やカヤックを積んでトレイルに出かける人たちから、これらのものは非常に高価なものなので守って欲しいという、非常に大きなフィードバックがありました」とモランは述べた。「さらに、これは当初の機能ではありませんでしたが、試験運用の参加者の多くから、夜間、外が暗いときにクルマの周りをライブストリーミングするのがお気に入りの機能の1つであるという声を聞きました。つまり、誰もいない暗い駐車場に入って、アプリを使って自分のクルマの周りを見ることができることを想像してみてください」。

試験運用の間、Canopyは2つの異なる盗難未遂の証拠をクルマの所有者に渡すことになったとモランはいう。そして、顧客が警察や保険会社と協力するためにCanopyの映像を使うことができると付け加えた。

FordとADTは、このジョイントベンチャーにFordが6300万ドル(約72億円)、ADTが4200万ドル(約48億円)の合計1億500万ドル(約120億円)を投資している。この資金は、英国と米国の製品、エンジニアリング、市場開拓の各チーム全体の雇用に充てられる他、アフターマーケット製品のサプライチェーンと物流を整備し、今後数年間で規模を拡大できるようにする予定だ。

画像クレジット:Ford Motor Company

原文へ

(文:Rebecca Bellan、翻訳:Yuta Kaminishi)

英内務省、エンドツーエンド暗号化反対に世論を誘導するためのネガティブキャン広告キャンペーンを計画

Stephen Hird / reuters

Stephen Hird / reuters

英内務省が、エンドツーエンド暗号化反対に世論を誘導するための広告キャンペーンを計画していると伝えられています。

Metaは2021年11月、InstagramとMessengerのエンドツーエンド暗号化を2023年まで延期すると発表しました。プライバシー保護の観点からみれば実装が待ち遠しい機能ですが、一部政府や法執行機関にとっては、通信の内容を確認できなくなり、児童虐待などの犯罪の傾向を把握できなくなるとの指摘も出ています。

英内務省は、まさにこの指摘の立場をとっており、内務書の広報担当者は米メディアRolling Stoneに「エンドツーエンドの暗号化が子どもたちの安全を守る能力に影響を与えるという懸念を共有する多くの団体をまとめるために、(広告代理店の)M&C Saatchi社と契約しました」と語っています。政府はこのキャンペーンのために53万4000ポンド(約8400万円)を割り当てているとのことです。

Rolling Stoneが入手したという資料によると、このキャンペーンには一般市民の不安を煽るような要素が含まれる可能性があるとのこと。たとえば、ガラスの箱の中に大人と子どもが入り、ガラスが徐々に黒くなっていくという演出も含まれています。また、SNSを活用し、両親にFacebookなどの企業に連絡するよう呼びかけるような内容になっているとのことです。

プライバシーの擁護派はこのキャンペーンを「脅迫」と呼び、すでに対抗キャンペーンを計画しているとも伝えられています。国際的非営利組織Internet SocietyのRobin Wilton氏は、「強力な暗号化がなければ、子どもたちはこれまで以上にオンラインで無防備になります。暗号化は個人の安全と国家の安全を守るものであり、政府が提案しているものはすべての人を危険にさらすものです」と語っています。

(Source:Rolling StoneEngadget日本版より転載)

クラウドセキュリティの次の波に取り組むPermiso、11.4億円を調達しステルス状態から浮上

パロアルトに拠点を置き、クラウドインフラのID検知と反応を提供するスタートアップPermiso(ペルミソ)が、1000万ドル(約11億4000万円)のシード資金を得てステルス状態から浮上した。

FireEye(ファイアアイ)元幹部のPaul Nguyen(ポール・ヌエン)氏とJason Martin(ジェイソン・マーティン)氏によって設立された同社は、パンデミックの開始以降、各企業が在宅勤務をサポートするために業務のデジタル化を急いだことから生まれた、クラウドセキュリティの潮流に載ったスタートアップの1つだ。

すでに競争が激化しているこの市場に18カ月遅れて参入したものの、ヌエン氏とマーティン氏は、同社の検知反応製品はクラウドセキュリティの次の波に備える準備が整っていると考えている。このアイデアは、Netflix(ネットフリックス)を含むPermisoのエンジェル投資家たちとの会話の中で、クラウドにおける一番の問題はIDであるといわれたことに触発されたものだ。

ヌエン氏はTechCrunchに次のように語っている「このことから私たちは、IDがクラウドで何が起きているかを物語る要(かなめ)であり、クラウドで検知機能を構築するための基礎でもあると認識し始めたのです」。

Permisoは、クラウドインフラの中で可視化されたIDを提供し、誰が環境の中で何をしているかをリアルタイムに把握できるようにする。これにより、監視対象環境で発生したアクセス、アクティビティ、変化の詳細を簡単かつ効率的に特定することが可能になり、このことは認証情報の漏洩、ポリシー違反、内部脅威を示唆する悪意ある行動や異常な行動を発見するのに役立つと同社は主張している。

「私たちは市場より少しだけ先を行っているのです」とマーティン氏はいう。「私たちの知る限り、クラウド先進企業が自社のために構築しているカスタム製品を除いて、IDを中心としたすべての活動、その環境におけるリソース、およびそれらの相互作用に焦点を当てたものは存在していません」。

Permisoは「専門家によって作られ、非専門家でも使える」ことをウリにしており、クラウドセキュリティ市場でスキル不足が進んでいることを考えると、これは重要なポイントだと述べている。「オンプレミスからクラウドに移行しているチームを見たとき私たちが目にしたのは、英語を話すのと同時に、まったく新しい言語であるペルシャ語を学ぼうとしているような姿でした。それはゼロからのスタートなのです」とヌエン氏はいう。

「何年も前から市場の1%のために開発してきましたが、それでは市場の1%を獲得するにとどまるだけです。今、私たちは残りの99%も狙っています」。

このスタートアップの1000万ドル(約11億4000万円)のシードラウンドはPoint72 Ventures主導し、Foundation Capital、Work-Bench, 11.2 Capital、Rain Capitalが参加した。また、Netflixの元情報セキュリティ担当副社長Jason Chan(ジェイソン・チャン)氏、Databricks(データブリックス)の製品セキュリティ責任者Travis McPeak(トラビス・マクピーク)氏、JupiterOneのCMO Tyler Shields(タイラー・シールズ)氏など、セキュリティ業界のリーダーたちがバックアップしているのも特徴だ。

Permisoは、今回の資金調達により、現在15名で構成されるチームを3倍に増員し、現在の顧客基盤を拡大する予定だ。

「私たちの投資家は皆、クラウドネイティブ問題の中でこのID問題を大規模に解決していますが、他の企業はあと1〜2年はここまでたどり着くことはできないでしょう」とマーティン氏は語っている。

画像クレジット:Permiso

原文へ

(文:Carly Page、翻訳:sako)

iOS・iPadOSとmacOS用の最新版Safari 15に深刻なバグ、Googleアカウント情報やブラウズ履歴が漏えいの恐れ

iOS・iPadOSとmacOS用の最新版Safari 15に深刻なバグ、Googleアカウント情報やブラウズ履歴が漏えいの恐れ
iOS・iPadOSとmacOS用の最新版Safari 15に深刻なバグ、Googleアカウント情報やブラウズ履歴が漏えいの恐れ

9to5Mac

iOS/iPadOSとmacOS用の最新版Safari 15にバグがあり、Googleアカウント情報や最近のブラウジング履歴が流出する恐れがあると報じられています。

Webブラウザ向けの指紋認証サービスを提供するFingerprintJSは、ブログ記事にてSafari 15にはIndexedDB実装にバグがあり、特定のWebサイトが自分のドメインのみならず、あらゆるドメインのデータベース名を見られると指摘しています。このデータベース名は、ルックアップテーブルから識別情報を抽出するために使用できると述べられており、実際に試せる概念実証デモも公開されています

たとえばGoogleのサービスでは、ログインしているアカウントごとにIndexedDBインスタンスを保存しており、データベース名はGoogleユーザーIDに対応しています。ここで報告されている脆弱性を利用すれば、悪意あるサイトがユーザーのGoogle IDを抽出して、そのIDにより他の個人情報も抜き出せるというわけです。上記の概念実証デモでは、実際に(匿名であるはずの)アクセスした本人のGoogleプロフィール写真も表示されてしまいます。

このバグは、すべての IndexedDB データベースの名前がどのサイトでも参照できるだけであり、各データベースの実際のコンテンツへのアクセスは制限されているとのことです。

つまりデータベース名が分かるだけで、それ以上の中味を見たり、内容を改変したりはできないということ。GoogleユーザーIDはデーターベース名から分かるため個人を特定でき、またデータベース名から最近立ち寄ったサイトの履歴ものぞき見られるというわけです。

ちなみにChromeなど他のブラウザでの本来あるべき動作は、Webサイトが自分のドメイン名と同じドメイン名により作られたデータベースのみを見ることができる、というものです。

この脆弱性はiPhone、iPad、Macに搭載されたSafariの現在バージョンすべてで悪用できるとのこと。 FingerprintJSによると、11月28日にAppleにバグを報告したものの、まだ解決していないそうです。今後のアップルの対応を待ちたいところです。

(Source:FingerprintJS。Via 9to5MacEngadget日本版より転載)