iOS 12、macOS Mojaveのセキュリティー機能を復習しておこう――ビッグイベントはいよいよ明日

9月といえばAppleが新製品を出す月だ。新しいiPhoneだけでなく、Apple Watchその他のハードウェアもお披露目されるだろう。しかしそれを動かすソフトウェアが同様に重要だ。

今年6月、Appleは恒例のWWDCデベロッパー・カンファレンスでiOS 12とmacOS Mojaveを発表した。このアップデートの重点はセキュリティーとプライバシーの改善に置かれていた。

明日のビッグ・イベントを控えて、Appleのソフトウェア・アップデートの内容を確認しておこう。

macOS Mojave

macOS MojaveはMac OSとして6代目のプロダクトとなる。モハーベはカリフォルニアで有名な観光スポットでもあるモハーベ砂漠にちなんでいる。ダークモード、同種のファイルを整理してくれるスタック、FaceTime通話などの機能が新しい。

Safariブラウザはフィンガー・プリンティング、クロスサイト・トラッキングを防止する

こういう意味だ： Safariは新しいスマート・トラッキング防止システムを採用した。広告主はブラウザにユニークな値を割り当て、サイトを超えてユーザーを追跡するというテクニックを使っていたが、新しいSafariはこれを困難にする。Facebookのようなソーシャル・メディアもユーザーがあちこちのサイトで行う「いいね！」入力や記事共有などを通じてユーザーの動向を非常に詳しく把握してきた。

重要性は？　トラッキング防止機能は、広告システムがブラウザに「フィンガープリント」と呼ばれるユニークな値を割り当てることを防ぐ。つまり特定のユーザーに向けたターゲット広告を表示することが難しくなる。ブラウザのフィンガープリントを取ることはプライベートないしシークレット・モードのブラウジングでも効果があった。フィンガープリンティングが困難になれば、広告システムが詳しいユーザー・プロフィールを作ることも難しくなる。

カメラ、マイク、バックアップにユーザーの許可が必要になった

こういう意味だ：アプリがカレンダーや連絡帳にアクセスするするときはユーザーの許可を求める。これと同様にMojaveではたとえばFaceTimeがカメラ、マイク、位置情報、バックアップなどにアクセスする際に、まずユーザーの許可を求めてくる。

重要性は？アプリの実行権限に対する制限を強化したことで、アプリが勝手にカメラやマイクをオンにしたりすることを防ぐ。一部のアプリは密かにマイクを起動してテレビ広告が流れるのを探知したり、マルウェアがカメラを乗っ取ってスパイ行為を働いたりするという。カメラやマイクだけでなく、バックアップ（多くの場合暗号化されていない）へのアクセスにも明示的許可が必要になれば、マルウェアがユーザーのデータを盗み出すのを防ぐために効果的だ。

iOS 12

WWDCでプレビュー版が公開されたiOS 12はiPhones 5s、iPad Air（1、2）以降など既存のデバイスにインストールでき、そのパフォーマンスを大きく改善する。また新しいマップ、通知の改良、AIKitのアップデートなどが含まれる。

Pパスワード・マネージャーが使い回しを警告する

こういう意味だ： iOS 12のデフォールトのパスワード・マネージャーはユーザーが入力するパスワードをすべて保存し、簡単にアクセスできるように管理する。この際、異なるサイトやアプリで同じパスワードを使っている場合、警告を発する。

重要性は？ パスワードの使い回しは深刻な問題だ。ユーザーはとかくすべてのサイトで同じパスワードを使おうとする。ハッカーはセキュリティーがいちばん弱いサイトを破るだけでユーザーのすべてのサイトにアクセスできるようになってしまう。iOS 12はパスワードが弱すぎる場合、またパスワードを使い回している場合に警告する。パスワード・マネージャーに保存されたパスワードは指紋ないしパスコードで簡単に取り出すことができる。

2要素認証のコードが自動補完される

こういう意味だ： ユーザーが2要素認証を行うとサイト側から認証用のワンタイムパスコードが送られてくる。パスコードがSMSやプッシュ通知で送信された場合、 iOS 12は自動的にそのコードをログインボックスに入力する。

重要性は？ 2要素認証はログインにあたってユーザー名、パスワードに加えてされにもう一つのレイヤーを要求する。これはセキュリティーの向上のために効果的だが、残念ながら普及率は低い。パスコードを受け取っていちいち入力するのが面倒だからだ。iOS 12の自動補完機能はセキュリティーを強化しつつ、ユーザーにとって苛立たしい手順を踏む必要をなくし、ログインをスムーズにする。

USB制限モードがさらに強化された

こういう意味だ：セキュリティー機能のアップデートにより、iPhoneないしiPadが1時間以上ロックされている場合USBポート、ヘッドホン・ポートを含め、デバイスに接続されたアクセサリーは同じくロックされる。

重要性は？ これはiOS 11.4.1に対する追加オプションだが、iOS 12では標準的に採用されるはずだ。これにより捜査当局やハッカーがデバイスからデータを盗み出すことがさらに困難になる。デバイスの内容は暗号化されているためAppleでさえ正しいパスワードなしにコンテツを解読することはできない。しかしブルートフォース（総当たり）法でパスワードを探り当てるGrayKeysのようなシステムが登場していた。新機能はこうした方法をあらかた無効にするはずだ。

Appleのプレスイベントは太平洋時間で午前10時〔日本時間13日午前2時〕にスタートする。

画像：Getty Images

〔原文へ〕

（滑川海彦@Facebook Google+

Windows 7、有償で2023年までセキュリティパッチ提供する延長サポート。ただし年ごとに増額

米Microsoftが、2020年1月14日で終了予定だったWindows 7サポート期間に2023年までの延長措置を追加すると発表しました。年ごとに増額する有償サポート形式ではあるものの、修正パッチの提供が3年間延長されることで、企業ユーザーはOS置き換えのための猶予期間を確保できます。

Windows 7 Extended Security Updates (ESU)と呼ばれる新たな延長サポートの対象となるのは、ボリュームライセンスによってWindows 7 EnterpriseもしくはWindows 7 Professionalを使用している顧客。サポートはデバイスごと課金され、その価格は毎年上がっていくしくみになっています。

今回の措置には、MicrosoftがWindows 10のセールス向上をはかりたい意図もあると思われるものの、サポート期間を過ぎても使い続けられたあげく、身代金要求マルウェア(ランサムウェア)WannaCryによる被害が続発し緊急パッチをリリースせざるを得なくなったWindows XPと同じ轍を踏まないための策とも考えられます。

企業のIT管理者の立場から見ても、最新のセキュリティパッチが提供される最新のOSにアップグレードするほうが運用管理が楽になるというもの。「段階的にライセンス価格が上がるので、そのコストで最新OSへのアップグレードをするほうが良い」と説明すれば、予算の確保もしやすいかもしれません。

ただ、セキュリティリスクというのは社内で問題が発生しでもしなければ、なかなか認知してもらえないのもまた事実。ひきつづきIT管理者に予算ネゴシエーションのスキルが求められるところは変わりません。

Engadget 日本版からの転載。

いくつもの人気iPhoneアプリがユーザーの位置情報を売っている

いくつもの人気iPhoneアプリが“何千万台というモバイルデバイス”の位置情報を、データを売って儲けているサードパーティの会社と密かに共有している、とセキュリティ研究者のグループが指摘している。

お天気アプリやフィットネスアプリなどほとんどのアプリがきちんと作動するためにユーザーの位置情報へのアクセスを必要としているが、ダウンロード無料のアプリは収入につなげるために往々にして位置情報を共有している。

多くのケースで、そうしたアプリは正確な位置や他のセンシティブでユーザーの特定につながるようなデータを“絶えずいつでも”送信している。しかも多くの場合、位置情報がサードパーティと共有されるということを“ほとんど知らせていない”、とセキュリティ研究者はGuardianAppプロジェクトで述べている。

「センシティブな情報へのアクセスを許可することが、ユーザーの知らない、そして関わりを持ちたくない誰かに密かに自分のデータが送られる、ということを意味するかもしれない。そんな懸念なしに、人々は自分の携帯で好きなアプリ使うことができるようになるべきだ」と研究者の1人、Will Strafachは語る。

ネットワークトラフィックを監視するツールを使って調べたところ、研究者らはBluetoothビーコンやWi-Fiネットワークという名の下に位置データを収集する24の人気のiPhoneアプリを発見した。ユーザーがどこにいるのか、どこを訪れるのかを知るためだ。こうしたデータ売買で収入を得ている会社は、加速度計やバッテリー充電ステータス、通信ネットワークからもデバイスデータを収集している。

データ提供の見返りとして、こうしたデータ会社はデータを集めたアプリデベロッパーに金を払い、データベースを増強し、そしてユーザーの位置履歴をもとに広告を展開する。

彼らの多くが、個人を特定するようなデータは集めていないと主張するが、Strafachは緯度と経度の組み合わせで個人の自宅や職場を特定できると指摘する。

そうしたデータを収集しているアプリをいくつか挙げる。

ASKfmは10代をターゲットにした、匿名Q＆Aアプリで、 Apple App Storeで1400のレートがつき、何千万ものユーザーを抱える。このアプリは”第三者とは共有されない”としてユーザーの位置情報へのアクセスを求める。しかし実際には位置データを2つのデータ会社、AreaMetricsとHuqに送っている。問い合わせたところ、このアプリデベロッパーはアプリが行なっているデータ収集は”業界の基準に適合していて、我々のユーザーにとっては許容範囲内だ”と答えた。

NOAA Weather Radarは26万6000のレビューがあり、何百万回もダウンロードされている。位置情報へのアクセスは”天気情報を提供するために使われている”。しかし3月から展開されたアプリの初期バージョンは3つのデータ会社、Factual、Sense360、Teemoに位置情報を送っていた。それからコードは除外されている。アプリを制作したApalonの広報担当は、今年初めに”いくつかのプロバイダーとかなり限定された簡単なテストを行なった”と話した。

Homes.comは、位置情報に基づいて”周辺の家を見つける”ことができる人気のアプリだ。しかしそのコードはー古いものだと思われるがーいまだに正確な座標をAreaMetricsへと送っている。アプリメーカーは「昨年”短い間”AreaMetricsを使っていたが、コードはアクティベートされていない」と言っている。

Perfect365は1億人以上のユーザーを抱える美しいARアプリで、”ユーザーの位置情報などに基づいて体験をカスタマイズする”ために位置情報を求める。そして詳細はプライバシーポリシーを参照するようにと案内しているープライバシーポリシーでは位置データが広告に使用されると明記されている。このアプリは、今年BuzzFeedが調査結果を報じた後Appストアから削除されたが、数日後に戻ってきた。このアプリの最新のバージョンには、8つのデータ会社のコードが含まれている。この点について、アプリ開発元はコメントを避けている。

そしてリストはまだ続くーSinclairが所有する100以上のローカルニュースや天気アプリも含まれていて、これらはデータをトラッキングして収入を得ているRevealと位置情報を共有している。Revealが言うには、“ターゲット広告を出す広告主をアレンジする”ことで大メディア企業が売上を維持するのを手伝っている。

人気アプリのデベロッパーと、中には毎日何十億もの位置データを集めているところもあるデータ売買会社にとって、これは手っ取り早く儲かるビジネスだ。

データから収入を得ている会社のほとんどが、何も悪いことはしていないと否定し、ユーザーはいつでもデータへのアクセスを解除することができると言う。また、データを買う多くの会社がアプリデベロッパーに対して、位置情報を集めてサードパーティに渡していることを明言するように求めているとも言っている。

研究では、こうしたプロセスの実行はほとんど確認されていない、としている。

Revealは顧客に対し、位置データの使用をプライバシーポリシーに明記するよう求めているとし、さらにはユーザーはいつでもデータへのアクセスを解除することができると話している。HuqもReveal同様、自社のサービスを説明するという方策を“パートナーアプリが履行しているか確かめるために定期的なチェック”を実行している、と話す。コーヒーショップや小売店といった公共の場所から主にBluetoothビーコンデータを集めるAreaMetricsは、ユーザーから個人情報を受信することには“関心なし”としている。

Sense360は、集めるデータは匿名化されていて、アプリにはユーザーのはっきりとした同意を得るよう求めている、としているが、Strafachは彼が見たアプリのほとんどがそうした保険的な意味合いのある文言を含んではいなかった、と指摘した。しかし、Sense360はなぜ特定のアプリと手を切ったのか、というより具体的な質問に対しては答えなかった。Wireless Registryも、アプリ側にユーザーの同意を得るよう求めていると言っているが、ユーザーのプライバシーを確保するためのセキュリティ手段についてはおそらくコメントしないだろう。inMarketは、広告の基準とガイドラインに従っている、と文面で述べた。

Cuebiqは、データを蓄積して送るために“高度な暗号方法”を使っていると主張しているが、Strafachはデータがスクランブルをかけられているという“証拠はなかった”としている。Cuebigは、“トラッカー”ではない、と言い、そしていくつかのアプリデベロッパーはユーザーのデータを渡して収入を得ているが、ほとんどのアプリデベロッパーは分析のために使っている、とも言う。そしてFactualは広告と分析に位置データを使っているが、ユーザーからアプリ内での同意を得なければならないと話した。

Teemoにも話を聞こうとしたが、質問に答えなかった。SafeGraph、Mobiquity 、Fysicalはコメントのリクエストに応じなかった。

「実行に移さなければならない自己規制のようなものがあるにもかかわらず、ほとんどの会社の主張や行なっていることには法的責任を伴っていない」とStrafachは語る。

またStrafachは、ユーザーができることはそう多くないが、iPhoneのプライバシー設定で広告トラッキングを制限することで、位置情報トラッカーがユーザーを特定するのは難しくなる、と話した。

プライバシーポリシーがないアプリに対するAppleの取り締まりは来月実施される。しかし、ほとんどの人がそもそもプライバシーポリシーを読まないことを考えると、アプリ側がすぐに行いを改めるということはなさそうだ。

[原文へ]

（翻訳：Mizoguchi）

Tor Projectが匿名ブラウザーTorのAndroidバージョンをリリース

匿名ブラウザーTorを作っているTor Projectが、その匿名ブラウザーのAndroidバージョンをリリースした。

このリリースにより、Tor Projectが長年承認していたAndroid用のブラウザーアプリOrfoxは、2019年に閉鎖する、と言っている。両方のアプリを使うためには、Tor ProjectのプロキシアプリOrbotをダウンロードする必要がある。

Tor Projecの匿名ブラウザーは、ユーザーが見たいデータが、あちこちに分散しているリレー役を経由してやってくるから、目的のサイトから本物のユーザーを知ることができない。そのときのリレー径路の情報は、どこにも残っていない。個人化広告も位置追跡も政府の監視も、目的の本人に辿りつけない。Torがドラッグの違法取引や武器の売買に利用されることもあるが、反体制の活動家やジャーナリスト、あるいは単純に匿名でいたい人にとっての避難所だ。

このリリースの数日前には、Firefoxの2017年のQuantumブラウザーをベースとするTor Browser 8.0がリリースされた。このメジャーアップデートには、新規ユーザーの登録ページや、サポートする言語の増、ブリッジングメソッドの改良により、トルコのようにTorが禁じられている国でもブラウザーにアクセス可、などの機能が加わった。

このサービスは、匿名ブラウジングの最高水準と見なされているが、まだ脆弱性が残っているので、政府の調査官がアクセスしてユーザーを見つけることができる。Firefox Quantumを使ったことにより、Tor 8.0はどれだけ堅固になっただろうか。でもユーザーはTorを使う前に、匿名性保護のためのガイドラインを読むべきだ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

ブロックチェーンでハッカーから電力網を保護する、Xageのセキュリティ自動化ツール

ブロックチェーンを利用して、インフラをよりセキュアなものすることを目指すXageが、ユーティリティ（電気、ガス、水道など）やその他の重要なインフラを保護するための、新しいポリシー管理ツールを発表した。

XageのCEO、Duncan Greatwoodによれば、この製品は製品ポートフォリオのニーズの一部を満たすためのものであるが、同時に顧客が電力網を（特に敵対国からの）ハッキングから保護するために、国土安全保障省（DHS：Department of Homeland Security）によって策定された新しい規制を、遵守することを助けるようにデザインされているという。

Greatwoodは、これまでは政府はコアネットワーク資産だけを心配していたのだが、時間が経つにつれて、ハッカーたちが、ユーティリティネットワークのセンサーや電圧制御装置といった端点を攻撃する技術に注力していることが明らかになってきたという。

今年のはじめにニューヨークタイムズは、ロシアのハッカーたちが米国の電力網を標的にしていたことを報じた。このことが、DHSがパスワードローテションやリモートアクセス制御を扱う方法のアップグレードを、優先的に推進している大きな理由だ。

これは大掛かりな問題だ。なぜなら1つのユーティリティ施設は1万から2万のサブステーションを持ち、それぞれが数百のコンポーネントを内蔵している可能性があるからだ。来年、新しいDHS規制が発効することを受けて、企業はそれをどのように実現するのかを、今考え始める必要がある。

「これから来年末までの間に、ユーティリティたちは、システムを自動化する方法を実現しなければなりません」とGreatwoodは説明する。Xageは、米国政府の新しい規制に準拠するようにポリシーを設定し、それが改ざんされていないことを保証するために、ブロックチェーンに適用する方法を提供する。

Xage Policy Manager. 画像提供：Xage

問題の一部は、エンドユーザーたちが、ラップトップ、タブレット、そしてスマートフォンなどの、ネットワークにアクセスするためのデバイスを持っていることだ。Xageのポリシー管理ツールは、誰がどのデバイスでシステムにアクセスできるかを明確に定義し、ハッカーをブロックすることを助ける。

「私たちのデータポリシー管理の一部は、誰がどのデバイスからのアクセスを許可されているのかを定義することです。すべてのラップトップがネットワークに接続できるわけではありません」と彼は言う。それが正しいマシンだと認められるためには、正しく承認されたMACアドレスを持ち、承認されたフィンガープリントと証明書がインストールされ、適切な部署からアクセスされることが要求される。

ブロックチェーンは、悪者がシステムに侵入した場合（またはしようとする時）に、ネットワーク全体に対して自由に移動することができないようにする。「もし何か悪いことが起きた場合には、その部分が局所化されます。ブロックチェーン内に悪い行動をとるノードがある場合、それは検知され、そのセクタをロックダウンすることができるのです。このことによって、その悪いソフトウェアをグリッドや地域を越えて全体に広げることが難しくなるのです」と彼は言った。

[原文へ]
（翻訳：sako）

写真提供: xuanhuongho / Getty Images

Twitterがさらに多くの“組織的な情報操作に関わった”アカウントを停止

“組織的な情報操作に関わった”として先週284のアカウントを停止したTwitterが今日（米国時間8/27）、同じ理由で486のアカウントを停止した、と発表した。合わせて合計770のアカウントになる。

先週削除されたアカウントの多くはイランからのようだったが、今回停止されたアカウントは、そのうちの約100が、アメリカからを名乗っていた、という。その多くが1年足らずの若いアカウントで、いずれも“分裂をもたらすような”意見をシェアしていた。これら100のアカウントは867回ツイートを行い、各回に1268のフォロワーがいた。

Since our initial suspensions last Tuesday, we have continued our investigation, further building our understanding of these networks. In addition, we suspended an additional 486 accounts for violating the policies outlined last week. This brings the total suspended to 770。

— Twitter Safety (@TwitterSafety) August 27, 2018

Twitterは、複数のアカウントの“分裂をもたらすような意見”の実例を、スクリーンショットでシェアしている。それらは反トランプ的で、‘Twitterは共和党系のアカウントををターゲットにしてて不公平だ’、とする保守的主張に反対している。

Fewer than 100 of the 770 suspended accounts claimed to be located in the U.S. and many of these were sharing divisive social commentary. On average, these 100 Tweeted 867 times, were followed by 1, 268 accounts, and were less than a year old. Examples below. pic.twitter.com/LQhbvFjxSo

— Twitter Safety (@TwitterSafety) August 27, 2018

Twitterによると、停止されたアカウントの中には、昨年Twitter上の広告に30ドルを使ったが、その広告はアメリカをターゲットとせず、課金アドレスがイランではない広告主がいた。

Twitter自身のSafetyアカウントは、こう言っている: “この前の調査と同様、われわれは他の企業や適切な法執行機関と協力している。われわれの目標は、これらの活動を調べる調査者をアシストし、できるかぎり、われわれの努力をめぐるコンテキストを透明性をもって開示することである”。

これまで何年間も、いじめやボットやそのほかの悪用に対し同社のポリシーを強力に適用しない、と非難されていたTwitterが、数か月前から急に、問題あるアカウントに対して強硬姿勢を示すようになった。アメリカなどではユーザー数の伸びにブレーキをかけるにもかかわらず、Twitterは積極的にアカウントを停止した。その中には、前に停止されたアカウントの別名アカウントによる復活もある。

Twitterの発表によると、第二四半期に月間ユーザー数が100万減少した。1億ドルの利益を上げたにもかかわらず、投資家たちはパニックになった。決算報告の中でTwitterは、これまで数千万のアカウントを停止したが、その多くは新しすぎたり、あるいは1か月以上も不活なアカウントなので、アクティブユーザー数に影響を及ぼさない、と説明した。ただし同社は、そのスパム対策措置によって月間アクティブユーザーを300万失ったことを認めた。

ユーザー数への影響がどれだけあっても、Twitterは悪用対策を講じたことによって、9月5日に行われる上院諜報委員会の聴聞会で面目を保つだろう。その聴聞会では、TwitterとFacebookとGoogleの役員が、Mark Warner上院議員らに、外国がアメリカの政治に影響を与えるために彼らのプラットホームを利用している件について、問いつめられるだろう。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

暗号化コラボアプリのWickrがPsiphonとパートナーして通信の確実到達を確保

あらゆるメッセージが暗号化されるコラボレーションアプリWickr(製品説明)が、スマートVPNツールのPsiphonとパートナーを結んだ。WickrはPsiphonの技術を利用して、どこから送られる通信パケットでも確実に目的地に届くようにする。自宅からでも、粗悪なWi-Fiのカフェでも、あるいは中国の粗悪なWi-Fiのカフェからでも。

そのねらいは、ユーザーがいちいち自分で自分の接続を監査して、自分のアプリケーションが正しく動いていることを確認しなくても、よいようにすることだ。セキュリティの貧弱なアクセスポイントを使ったりすると、それは本人の安全の問題にもなる。また、特定のポートやアプリが使えないなど、接続性の問題もあり、あるいは、その国で禁じられているサービスからデータをリクエストするなど、検閲の問題もある。

Wickrはすでに、すべてのトラフィックを暗号化しているので、その点では心配ないが、しかし今使っている接続がビデオ通話や特定のトラフィックパターンをブロックしていたら、暗号化は何の助けにもならない。

しかしPsiphonの仕事は、意図的、ないし事故的なブロックを、迂回することだ。そのためにネットワークを分析するツールを使い、応急的な方法を見つける。それは、トラフィックを匿名化することであったり、ブロックされてないサーバーにぶつけて跳ね返りさせたり、自動的なポートフォワーディングをやるなど、さまざまだ。何であれとにかく、パケットが通ることが目的だ。

これにはもちろん、レイテンシーやスループットのコストが伴うが、ビデオやゲームでもないかぎり、問題にならないだろう。画像のアップロードや、同僚とのチャットなど、そのほかのWickrの機能なら、それでも十分だ。いずれにしても、機能はいつでもon/offできる。

有料プランでは当然お金を払う。エンタープライズの顧客がまず最初に、Psiphonが処理したトラフィックを受け取るだろう。それは、まさに今日（米国時間8/23）だ。そして徐々に、そのほかの有料ユーザー、さらに数週間後には、無料のユーザーにも行き渡るだろう。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

AppleがFacebookのOnavoをアプリストアから削除、ユーザーデータの無断収集を処罰

Facebookの次の大きなプライバシー問題はなんだろう？と、座席から身を乗り出すようにして期待していた方、お待ちどおさまでした！。The Wall Street Journalによると、AppleはFacebookのOnavoアプリがApp Storeのポリシーに違反しているとして、近く削除することになった。

本誌TechCrunch宛ての声明で、Appleはその理由を説明している:

“私たちはAppleのエコシステム全体にわたって、ユーザーのプライバシーとデータのセキュリティの保護に力を入れている。私たちのガイドラインの最近のアップデートにより、分析や広告/マーケティングのために、アプリがユーザーのデバイスにインストールされているそのほかのアプリに関する情報を集めるべきではないし、またどのユーザーデータを何のために集めているかを明白にすべきである、と明確に決定した。”

しかし、Onavoがこんなに長く続いたことは、ある意味では不思議だ。

Facebookが2013年に買収したOnavoは、二つのことをする。まず、ふつうのユーザーには、OnavoはVPNのように振る舞い、“あなたとあなたのデータの安全を守り”、“有害なWebサイトをブロックしてあなたの個人情報の安全を確保する”。

しかしOnavoの本当の用途は、アプリの利用データを大量にその親会社に送り、人気勃興中のアプリや衰退気味のアプリを知らせて、モバイルのトレンドに関する貴重な鳥瞰図をFacebookに与えることだ。その情報はFacebookに、競争に勝つための戦略と（Snapchatがその好例）、今後の有利な買収候補に関するヒントを、他社に先駆けて与える。

ユーザーにとって便利なアプリと、密かな情報収集、このアプリの二重人格性を、Appleは問題視している。Onavoは、アプリの説明では“あなたの個人情報を守る”ことを強調し、合法的なVPNのふりをしている。

しかしOnavoのVPN機能を使うユーザーが、データをFacebookと共有することをためらったとしても、それはユーザーからの明示的なオプトインではなくて、デフォルトで勝手にonなのだ。このアプリの本当のねらいは、説明の中に奥深く埋（うず）もれている: “Onavoはあなたのモバイルデータのトラフィックを集めます。… その理由は、私たちはFacebookの一員なので、その情報をFacebookのプロダクトとサービスを改良するために使い、それらのプロダクトやサービスの人びとにとっての価値を知り、より良い体験を構築したいからです”。

今年の2月までで、OnavoアプリはiOSとAndroid合わせて3300万回ダウンロードされた。今AppleのApp Storeで検索すると、そのアプリは出てこないが、Googleのやや自由放任的なアプリストアではまだ生きている。だから今のところFacebookは、Androidの上では強力な目と耳を利用できるのだ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Gmailの送信メール取り消し機能がAndroidにもやってきた

デスクトップに登場してから4か月後の今日（米国時間8/21）、Gmailで仕事や人間関係や自尊心を損なわずにすむ機能、送信メールの自己破壊機能がAndroidにもやってきた。それを見つけたのはAndroid Policeだが、Androidバージョン8.2のアップデートの一環として実装されたようだ。

仕組みは、デスクトップ版と同じだ。メッセージを送ると、小さなプログレスバーが画面の下に出て、右側に“UNDO”という言葉がある。

それ以降、あなたが人生の選択を考え直せる時間は約7秒だ。それを過ぎると、あなたは映画のモンタージュシーンのような、日に日に恐ろしさを増すバタフライ効果に何週間も何か月も苦しめられ、最後には道ばたで泥酔して死ぬことになる。

すべては、あの、愚かなメールのせいだ。あなたは、そうならずにすむかな、はたして。

UNDOをクリックしてB案を選ぼう。そうすると、そのメールの本文は下書きとして残る。あなたの未来は明るく、そして広い。そんなに難しくなかったでしょう？　メールを絶対送るな、とは言ってない。それは単なるアホだ。次からは、言葉をもっと慎重に選ぼう、ということだ。ぼくの霊も、今後、あなたのことをずっと見張ってるだろう。それを、気にした方がよい。

この機能は今すでに有効だが、Gmailアプリの中からGmailの本人アドレスで出したメールに限るようだ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

FacebookとTwitter、イランとロシアの関与が疑われる数百ものアカウントを削除

Facebook は“不審な動き”があったとして数百ものアカウントやページを削除した。こうしたアカウントやページのネットワークは表面上は独立した体裁をとっているが、実際のところはロシアやイランの中央がコントロールしている。これらアカウントのいくつかは1年も前に確認されていた。

Facebookのサイバーセキュリティ政策責任者Nathaniel Gleicherの投稿によると、同社は主に3つのネットワークについてモニターし、セキュリティ会社FireEyeの助けを借りながらまとめる作業を行なった。このまとめについてはFireEyeが別途、分析を明らかにしている。

注目すべきは、今回削除されたもののほとんどが今年行われる中間選挙の操作にフォーカスしているのではなく、幅広い話題や明らかな目的を扱っているということだ。共通するテーマは政治的世論を動かすことで、これはオハイオ州にとどまらない。

たとえば、あるページは移民が起こす暴力について注意を喚起しようとしている団体と称している。しかし実際はこのトピックで世論を操作しようと企んでいる影の大きなグループがページを運用している。このネットワークをたどっていくとイランにつながるようで、FireEyeの言葉を借りると、“イランにとって都合のいい特定の米国のポリシーや、反サウジ、反イスラエル、親パレスティナのテーマ”を含む宣伝をしている。

Facebookがまず指摘したネットワーク“Liberty Front Press”はFacebook上に74ページ、70アカウント、3グループを、Instagramには76アカウントを有していた。Facebookのとあるページには15万5000人のフォロワーが、Instagramには4万8000人のフォロワーがいた。こうしたページは通常、中東に関する政治的な意見を展開していて、ごく最近になって米国にも対象を広げた。彼らは2015年1月から今月までの間に広告に6000ドルを費やしている。

このネットワークに関係する別のネットワークではまた、サイバー攻撃やハッキングに関与していた。そのネットワークのFacebookでの12ページと66アカウント、Instagramでの9アカウントはニュース機関を装っていた。

3つめのネットワークは、2011年からアカウントを開いている。中東でもコンテンツを扱っていて、中東そして米国と英国の政治問題について扱っていた。168ページ、140ものFacebookアカウント、そして31のInstagramアカウントを有し、最大のネットワークだった。思い出した読者もいるだろうが、ロシアのIRAアカウントの削除はたったの135だった（本格的な調査ではもちろんこの数字はさらに大きなものだった）。

このネットワークはFacebookで81万3000ものフォロワーを、Instagramでは1万ものフォロワーを抱え、2012年から今年4月にかけて広告に6000ドルを使っていた。お気づきだろうが、これはFacebookが“不審な動き”があるとして調査対象となっていたネットワークから広告収入を得ていたことを意味する。この点について私はFacebookに説明を求めているーおそらく、このネットワークに調査対象となっていることを気づかれないようにするための措置だろう。

興味深いことに、このネットワークは25ものイベントを主催していた。これは、多くの人が暗い部屋にこもっていくつものペンネームやフェイクアカウントを使って投稿していただけではないことを意味する。こうしたページのために人々が現実世界のイベントに参加していたというのは、すなわち、こうしたアカウントがいくつかの機関のための自作自演であったにもかかわらず、実在するコミュニティを支援していたことを示唆している。

TwitterはFacebookの投稿の直後に、イラン発信の“組織的な操作”が疑われるとして284のアカウントを削除したと発表した。

Working with our industry peers today, we have suspended 284 accounts from Twitter for engaging in coordinated manipulation. Based on our existing analysis, it appears many of these accounts originated from Iran.

— Twitter Safety (@TwitterSafety) August 22, 2018

このイランのネットワークは必ずしもイラン政府が関わっていると断定されるものではないが、当然のことながらまったく不当というわけではないことを意味する。しかしFacebookはまた、“米国政府が以前、ロシア軍情報局と特定したソースに関係する”ページやアカウントを削除していることも明らかにした。

こうしたアカウントの数や特性といった詳細は語られていないが、アカウントの活動としてはシリアやウクライナの政治問題にフォーカスしている、と明らかにしている。投稿では「これまで、こうしたアカウントが米国をターゲットとした様子はない」としている。しかし少なくとも出どころは明らかだ。ロシアだ。

これは、オンライン上での意図的な情報操作が米国だけを対象とするものではない、という訓戒となるはずだ。どの国でも、特定の考え方や言い分を広めることで何かを得ようとするとき、利用可能なあらゆるプラットフォームを介したプロパガンダを目にすることになるのだ。

上院議員Mark Warner（民主党、ヴァージニア州選出）は今回のニュースを受け、要約すると「 I-told-you-so（だから言ったのだ）」というコメントを出している。

「ソーシャルメディアの巧妙な操作問題は、サンクトペテルブルクの1社に限定されるはずはない、と何カ月にもわたり主張してきた。そして事実は疑う余地もない」と声明で述べている。「我々は今日、イランが2016年からクレムリンの手法を真似ていることを知った。Facebookがこうした悪のプラットフォームを除外するために次のステップに進むことを期待する一方で、明らかにさらなる対策を取る必要がある」。

Warnerは、Facebook、Twitter、そしてGoogleの幹部が証言する、9月5日に開かれる上院情報特別委員会の公聴会でこの問題を提起するつもりだ、と述べている。

イメージクレジット: Bryce Durbin / TechCrunch

[原文へ]

（翻訳：Mizoguchi）

ブロックチェーンを破壊するハッカーの手口をシミュレーションしてデベロッパーの事前対策を可能にするIncentivai

暗号通貨のプロジェクトは、人間がそのブロックチェーンを悪用すると破綻する。しかも分散デジタル経済が実際に動き出し、コインが離陸すると、それらを統治するスマートコントラクトの修復は難しい。あくまでも、デベロッパーによる事前対策が必要である。そこで、今日（米国時間8/17）ステルスを脱したIncentivaiは、その人工知能によるシミュレーションで、セキュリティホールを調べるだけでなく、ブロックチェーンのコミュニティを構成している人間たちの貪欲や非論理性にメスを入れる。暗号通貨分野のデベロッパーはIncentivaiのサービスを利用して、自分たちのシステムが動き出す前に、その欠陥を修復できる。

Incentivaiの単独のファウンダーPiotr Grudzieńはこう言う: “スマートコントラクトのコードをチェックする方法はいろいろあるが、新たに作った経済が期待通りに動くことを確認する方法はない。そこで私が考えたのは、機械学習のエージェントを利用するシミュレーションを作り、それが人間のように振る舞うことによって、システムの未来の振る舞いを予見する方法だ”。

Incentivaiは来週Y Combinatorを卒業するが、すでに数社の顧客がいる。顧客（ユーザー）は、Incentivaiの有料サービスにより自分たちのプロジェクトを監査してレポートを作るか、または自分でそのAIによるシミュレーションツールをホストしてSaaSのように利用する。同社がチェックしたブロックチェーンのデプロイは数か月後になるが、そのとき同社はすでに、そのプロダクトの有意義性を実証するための、いくつかのケーススタディーをリリースしているだろう。

Grudzieńは説明する: “理論的にあるいは論理としては、一定の条件下ではこれこれがユーザーにとって最適の戦略だ、と言うことはできる。しかしユーザーは、合理的でも理性的でもない。モデルを作ることが困難な、予想外の行動がたくさんある”。Incentivaiはそれらの理不尽な取引戦略を探求して、デベロッパーがそれらを想像しようと努力して髪をかきむしらなくてもよいようにする。

人間という未知数から暗号通貨を守る

ブロックチェーンの世界には巻き戻しボタンがない。この分散技術の不可変かつ不可逆的な性質が、良かれ悪しかれ、一度でもそれを使ったことのある投資家を遠ざける。ユーザーが偽りの請求をしたり、贈賄によりそれらを認めさせようとしたり、システムを食い物にする行動を取ったりすることを、デベロッパーが予見しなければ、彼らは攻撃を阻止できないだろう。しかし、正しくてオープンエンドな〔固定しない〕（AIに対する）インセンティブがあれば…これが社名の由来だが…AIエージェントはなるべく多くの収益を得るために自分にできることをすべてやってみて、プロジェクトのアーキテクチャにあるコンセプトの欠陥を明らかにするだろう。

Grudzieńはさらに説明する: “この〔すべてをやってみるという〕やり方は、DeepMindがAlphaGoでやったものと同じで、さまざまな戦略をテストするのだ”。彼はケンブリッジの修士課程でAIの技能を究め、その後Microsoftで自然言語処理の研究を担当した。

Incentivaiの仕組みはこうだ。まず、デベロッパーは、ブロックチェーンの上で保険を売るなどの、自分がテストしたいスマートコントラクトを書く。IncentivaiはそのAIエージェントに、何を最適化するのかを告げ、彼らが取りうるすべての可能なアクションを羅列する。エージェントの役柄はさまざまで、大金を手にしたいと思っているハッカーだったり、嘘をばらまく詐欺師だったり、コインの機能性を無視してその価格の最大化だけに関心のある投機家だったりする。

そしてIncentivaiはこれらのエージェントにさらに手を加え、彼らを、ある程度リスク忌避型だったり、ブロックチェーンのシステム全体を混乱させることに関心があったり、といったタイプにする。それから、それらのエージェントをモニターして、システムをどう変えればよいかというインサイトを得る。

たとえば、トークンの不均一な分布がパンプ･アンド･ダンプ（pump and dump, 偽情報メールによる価格操作詐欺）を招く、とIncentivaiが学習したら、デベロッパーはトークンを均一に分割して、初期のユーザーには少なめにする。あるいはIncentivaiは、認められるべき支払請求をユーザーが票決する保険製品は、投票者が偽の請求を偽と立証するために支払う債権価格を上げて、詐欺師から収賄しても投票者の利益にならないようにする必要があることを、学ぶかもしれない。

Grudzieńは、自分のスタートアップIncentivaiについても予測をしている。彼の考えによると、分散アプリケーションの利用が上昇すれば、彼のセキュリティサービスのやり方を真似るスタートアップが続出するだろう。彼によると、すでに一部のスタートアップは、トークンエンジニアリングの監査や、インセンティブの設計、コンサルタント活動などをやっているが、ケーススタディーを作る機能的シミュレーションプロダクトは誰もやっていない。彼曰く、“この業界が成熟するに伴い、そういうシミュレーションを必要とする、ますます複雑な経済システムが登場するだろう”。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

LA地下鉄、全米初の爆発物検知用ボディスキャナー導入へ

ロサンゼルス郡都市圏交通局は、爆発物を検知するポータブルのボディスキャナーを全米で初めて地下鉄とライトレイルに導入すると発表した。

「我々は常に交通システムにリスクを抱えている」。TSA（米国運輸保安庁）のDavid Pekoskeは発表文でこう述べている。「テロが発生しないよう、交通システムの安全性を確保するのが我々の使命だ」。

ポータブルスキャナーは今後数カ月以内に導入される、とLAメトロの保安担当の取締役Alex Wigginsは述べた。AP通信によると、このスキャナーでは30フィート離れたところからフルボディのスキャンが可能で、1時間あたり2000人超のスキャンに対応する。

「多くの人を殺傷する能力をもつ武器を対象としている」とWigginsは語る。「爆発するようなベストや自動小銃を隠し持っていないか検知するが、多くの人を傷つける能力のない小型の武器は必ずしも検知の対象ではない」。

1台10万ドルするThruvision社がデザインしたこのマシーンは、電波を発し、武器を隠し持っていない“クリーン”な乗客は明るい緑色で、怪しい物は黒色で分割スクリーンディスプレイに表示する。

ロサンゼルスはTSAがこのボディスキャナーのパイロット事業を展開していた都市の一つだが、導入するのはロサンゼルスが初となる。当局はまた、サンフランシスコのベイエリア高速鉄道、ニュージャージー州のトランジット、ニューヨーク・ペンステーションとワシントンDC・ユニオンステーションのアムトラック鉄道駅といった公共交通機関とも試験を行なっている。Wigginsは、LAメトロでのスクリーニングは誰の目にもはっきりとわかる形で行われ、もしスクリーニングを受けたくなければ駅を離れればいい。

米国では昨年、101億回もの移動に公共交通機関が活用されたが、この自動スクリーニングはそうした移動を安全にするためのものだ。しかしながら、交通ハブに配置された保安要員に取って代わるものではない。この夏ベイエリア高速鉄道の駅で起きたNia Wilson殺害のような事件ではこうしたスキャナーは役に立たないが、それでも暴力的な行為を予防するのには役立つ。

交通機関における安全性を確保する手段は進歩しつつあるが、テクノロジーを導入するだけでなく、その使用方法をトレーニングするのも同様に重要となってくるだろう。

イメージクレジット: Richard Vogel / AP

[原文へ]

（翻訳：Mizoguchi）

Instagramにハッキング被害。数百人規模のアカウント乗っ取り、2要素認証も突破との報告も

画像共有SNSのInstagramで、ユーザーアカウントがハッキング被害に遭う事例が報告されています。ログインした状態で使用していると突然ログアウトされ、再びログインするとハンドル名、プロフィール画像、連絡先その他ユーザー情報がすべて書き換えられているとのこと。2要素認証を設定していてもアカウントを乗っ取られたとの報告もあります。

また、Mashableが伝えるところによると、挿し替えられたアカウントに紐付けられるメールアドレスは”.ru”ドメイン、つまりロシアのものになっているとのこと。したがって自動的に送信されるメッセージは改変されたメールアドレスに送信されてしまいます。

Instagramユーザーからの報告はまず掲示板サイトRedditやTwitterにあがりはじめ、それが数百人規模にまで増加しました。報告では、アカウントの情報は書き換えられるものの、それ以上の操作があるのかは不明。ユーザーに覚えのない画像の投稿などは確認されていません。

Instagramでは、ヘルプセンターにハッキング被害報告ページが用意されているものの、Mashableはそれは有効に機能していないと報じています。ハッキングされたユーザーのひとりAbagail Nowak氏は「被害報告をしようとすれば、迷路のような手順を踏まされてもう笑うしかない状態になる。リンクは途切れているし、メールはロボットが返答を返すだけで、何も解決策は出てこない」と語りました。

一部にはアカウントを修復できたユーザーもいるようですが、それは”非常にストレスのたまる作業”だったとコメントしています。Instagramは、記事執筆時点ではまだアカウントのハッキング被害について公式な声明を発表していません。

Engadget 日本版からの転載。

Amazon Echoをハックして盗聴できることをセキュリティ研究者たちが発見

DefConでハッカーたちが、スマートスピーカーの新たなセキュリティ問題を公表した。このセキュリティカンファレンスでスピーチしたTencentのWu HuiYuとQian WenxiangはBreaking Smart Speakers: We are Listening to You（スマートスピーカーを破る: あなたを盗聴できる）と題するプレゼンを行い、彼らがAmazonのEchoスピーカーをハックして、それにスパイ役をやらせた方法を説明した。

このハックは、まずAmazon Echoのハンダ付けされている部品を交換するなどして、それを改造する。そしてハックの被害者となる正常なEchoは、改造Echoと同じネットワーク（同じLAN上）に接続していなければならない。

この設定で改造Echoは盗聴者になり、他のEchoスピーカーからの音声をリレーする。他のスピーカーたちは、何かを‘送信’をしてるわけではない。

この方法はとても難しいが、Amazonの人気増大中のスマートスピーカーを悪用するための第一歩だ。

研究者たちは、プレゼンの前にそのエクスプロイトをAmazonに通知した。そしてWired誌によると、Amazonはすでにパッチをプッシュしたそうだ。

しかしそれでもそのプレゼンテーションは、悪質なファームウェアを搭載した一台のEchoが、同じネットワークに接続している一群のスピーカーを変えてしまうことを示している。たとえばホテルの各室にEchoがある場合など、危ないだろう。

Wiredは、Echoのネットワーキング機能がハックを可能にした仕組みを説明している:

手術をされたEchoをターゲットデバイスと同じWi-Fiネットワークに接続できたら、ハッカーはAmazonのスピーカーのソフトウェアのWhole Home Audio Daemon呼ばれる部位を利用できる。同じネットワーク上のEchoは、この部位を使って互いにコミュニケートする。このデーモンに脆弱性があることをハッカーは発見し、それを、ハックしたEchoから悪用して、ターゲットのスピーカーの完全なコントロールを取得した。たとえばそのEchoに勝手な音を出させたり、もっと困るのは、オーディオを黙って録音したり、遠くのスパイに送ったりできる。

AmazonはWiredに、“セキュリティフィックスによるアップデートが自動的に行われたので顧客は自分のデバイスに何もする必要がない。この問題は、犯人がデバイスに物理的にアクセスできて、デバイスのハードウェアを変える能力を持っていることを必要とする”、と述べている。

ただしハックを実行するために犯人がアクセスできなければならないのは、犯人自身のEchoのみである。

Amazonは、その音声デバイスが顧客をモニタしているという懸念を一蹴したが、今年のDefConでハッカーたちは、それができることを証明した。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

FirefoxやFacebookなどがインターネットの新しいセキュリティプロトコルTLS 1.3をすでにサポート

先週の金曜日（米国時間8/10）に、Internet Engineering Task Force(IETF)はTLS 1.3をリリースした。これはWebのセキュリティプロトコルTLS 1.2のメジャーアップデートで、HTTPS接続による暗号化を扱うレイヤなど多くのセキュリティ機能がこのプロトコルで定義されている。

今回のアップデートで、セキュリティが向上するとともにスピードもやや上がる。それはブラウザーとサーバーがセキュリティの設定を折衝するときに必要とされるラウンドトリップの回数を減らしたからだ。そしてMozillaの今日（米国時間8/13）の発表によると、Firefoxは現バージョンがすでにTLSの新しい規格をサポートしている。Chromeも、バージョン65から（初期のドラフトにより）新しいプロトコルをサポートしている。

TLS 1.3は策定にかなりの年月を要し、前バージョンのローンチから10年かかっている。TLS 1.2に問題があることは広く知られていたが、それらは主に実装のレベルの問題で、しかも遍在的だったためにハッカーの餌食となり、また悪名高い脆弱性バグHeartbleedのような傷口を広げた。しかしそれだけではなく、TLS 1.2のアルゴリズムの一部も、攻撃が成功されてしまった。

そこで当然ながらTLS 1.3は、現代的な暗号化方法へのアクセスにフォーカスしている（Cloudflareの連中がその技術的詳細を書いている）。

これはユーザーにとってはWebがより安全になることであり、また暗号化の方法に関するブラウザーとサーバーの折衝がはやくなるぶん、Webアクセスもややはやくなる。

TLS 1.3をすでにサポートしているFacebookは、トラフィックの半分近くが新しいプロトコルでサーブされている、という。GoogleやCloudflareも、サポート済みだ。

The messy, musical process behind the web’s new security standard

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

SIMハイジャック犯、仮想通貨アカウントから数十万ドルを強奪。2要素認証を悪用？

米フロリダ州の警察当局が、SIMハイジャックにより複数の州での犯行に関与した人物を逮捕したことが報じられています。

被疑者の部屋からは、7つの州で7人の被害者を出したSIMカードが発見されたとのこと。身元の偽装や、仮想通貨アカウントから数十万ドルが盗まれるなど、被害額の大きさや犯行の手口が伝えられました。

SIMハイジャックとはSIMカードの乗っ取りのこと。まず犯罪者はSIMカードを紛失したと通信キャリアに届け出て、自分のSIMカードに電話番号を転送してもらうか、新たなSIMカードを発行してもらうよう手続きします。

これが成功すると、新たなSIMカードのみが有効となり、被害者は事実上SIMを失うという仕組みです。特に高度なツールを使うわけではなく、「被害者のフリをして騙す」詐欺の手口と変りません。そうした手軽さのためか、アメリカでは被害者の増加が報じられていました。

裁判所の記録によると、ミシガン州在住の被疑者の母親が、息子がAT&Tの従業員になりすましていると知って警察に通報したとのこと。捜査当局は被疑者の部屋とPCを捜索し、複数のSIMカードや携帯電話とともに名前や電話番号のリストを見つけたと述べられています。

被疑者および少なくとも8人もの犯行グループは、時には通信キャリア会社の従業員と共謀して、偽のSIM交換請求を成功させ、犯行に使う携帯電話に番号を移し替えたとか。つまり、SIMハイジャックで最もハードルが高い「被害者の身元を偽る」を、キャリア側の人間を巻き込むことでクリアしたようです。

これにより、電話番号と紐付けられた仮想通貨アカウントから数十万ドルを盗み出したとのこと。警察は盗んだ仮想通貨のうち10万ドル以上が資金洗浄されたと発表していますが、被疑者はその件については無罪を主張しています。

仮想通貨やSNSなど、セキュリティ確保のために携帯電話による2要素認証を利用するサービスは増えていますが、それが逆用されてパスワードが盗まれたり、アカウントが乗っ取られる可能性が高くなっています。

SIMハイジャックによりInstagramやAmazon、Netflixなどのアカウントが奪われたという事件も、すでに珍しくなくなっています。本格的な対策が取られるまでは、手元の携帯に不審なメッセージがないか注意し、あった場合は迅速に対応するしかなさそうです。

Engadget 日本版からの転載。

Federacyが目指す、スタートアップでも使えるバグ報奨金プログラム

Y Combinator Summer 2018クラスのメンバーであるFederacyは、とても小さなスタートアップでも、バグ報奨金プログラム（見つけたバグによって謝礼を支払う制度）を利用できるようにすることが使命だと考えている。

従来からあるBugcrowdやHackerOneなどが提供するバグ報奨金プログラムは、より大きな組織向けに提供されてきた。それはそれで意義のあるものだったが、双子であるWilliamとJames Sulinskiの2人は、市場にはギャップがあることを感じていた。すなわちそうしたサービスが重要な意味を持つ小規模な組織が閉め出されていることだ。彼らはバグ報奨金プログラムをつくり、外部のリサーチャーたちを知らずともプログラムに簡単にアクセスできるようにしたいと考えた。それがFederacy誕生の動機だ。

「プラットフォームを自由に設定できるようにして、驚くほどシンプルにすることで、最もリソースの厳しいスタートアップに対しても、価値を引き出す上で最大のインパクトを生み出すことができると考えています。そうすることで、現在はBugcrowdやHackerOneなどを介して、数百社程度の会社が採用しているだけの報奨金プログラムを、将来的には100万以上の会社が採用できるものへと広げたいと思っています」と、William SulinskiはTechCrunchに語った。

これは野心的な長期目標だが、現時点ではまだ着手した段階に過ぎない。実際兄弟は、2、3ヵ月前にY Combinatorに参加したときから、プラットフォームの構築を始めたばかりだ。一度動く製品を作ったあと、彼らは仲間たちを使い、知識のある友人たちをセキュリティ研究者と見立てて、テストを始めた。

彼らは先週初めて、Hacker News上でサービスを公開し、すでに120件以上の登録があったことを報告している。彼らの目標は、年末までに1000件の登録を集めることだ。そうなれば数の上で最大のバグ報奨金プラットフォームになると、Williamsは言う。

スクリーンショット提供：Federacy

現時点では、彼らはプラットフォームに参加する全てのリサーチャーを審査しているところだ。もちろんこのアプローチを永遠に続けることはできないと認識しているものの、少なくともプラットフォームを構築している初期段階では。彼らはアクセスに対するコントロールを手にしていたいと考えている。彼らは、リサーチャーたちがエコシステムにもたらす価値を認識しており、特に注意を払う予定だ。

「リサーチャーたちを尊敬し注意深く扱うことは本当に大切です。こうした人たちは信じられないほどスマートで貴重ですが、しばしば適切な扱いを受けていません。大事なことは、彼らが報告を行ったときに、きちんと対応することなのです」Sulinskiは説明した。

スクリーンショット提供：Federacy

将来的にも、兄弟はプログラムの構築とプラットフォームの開発を続けていきたいと考えている。彼らが持っている一つのアイデアは、クライアントが特定のリサーチャーとの関係をもち、その個人と契約したい場合には、手数料を得るということだ。また各報奨金のわずかな部分を収益として得ることも計画している。

典型的なYCの参加者とは異なり、兄弟は30代半ばと少々高齢で、20年以上にわたる職業経験を身に付けている。片割れのJamesは、2013年にTwitterが3億5,000万ドルで買収したモバイル広告プラットフォームMoPubのエンジニアリング責任者だった。それ以前には、Facebookが2010年に買収したファイル共有サイト、drop.ioのインフラストラクチャの構築を手伝っていたこともある。Williamの方は、AccelGolfとPistol LakeのCEO、そしてSharehololicの創業メンバー兼プロジェクトリーダーを務めた。

幅広い経験を持ってはいたものの、兄弟はY Combinatorが彼らに提供した実用的なアドバイスに価値を見出し、その鼓舞する雰囲気に気が付いた。「先人たちが、このプログラムの中で作り上げてきた。素晴らしいものたちに対して、畏敬の念を抱かずにいることは難しいことです」とWilliamは語った。

[原文へ]
（翻訳：sako）

画像クレジット：Matt Anderson Photography / Getty Images

iPhone用チップメーカー、身代金ウィルス感染で工場停止。1年以上パッチ未適用だった

次世代iPhone用のチップを製造していると報道された台湾企業TSMCは、先週末にWannaCryランサムウェアの亜種により複数の工場が停止に追い込まれた件につき、セキュリティパッチを適用していないWindows 7を運用していたことを発表したと伝えられています。

米テック系メディアV3によると、TSMCは記者会見にてパッチを当てていないWindows 7が工場施設の重要プロセスを管理しており、この部分にウィルス被害が及んだと認めたとのこと。

もっとも、生産現場で使うPCとプロセス制御は一般に、個人ユーザーの使用環境とは違う特別な事情もあり（後述）、そのギャップゆえに生じた事故の可能性もあります。

WannaCryランサムウェアは、2017年春頃に全世界のWindowsマシンで猛威を奮ったコンピュータウィルスです。この件に関するマイクロソフトの対応は迅速かつ徹底しており、Windows Vista、7、8.1、10に対しては同年3月15日に、Windows XPなどサポート終了済みのOSでも「異例の措置」として5月にセキュリティパッチを配布していました。

アメリカのFedEXや仏自動車大手のルノーなど、世界の大企業を襲った脅威から、すでに1年以上が経過しています。これほどの期間、世界最大の半導体製造ファウンダリであるTSMCが、セキュリティパッチを当てていないシステムを放置していたのは驚くべきとの見方もあります。

もっとも、生産現場で使うPCとプロセス制御ソフトは外部のインターネット接続を想定せず、しかもアップデートパッチ適用後の動作が保証されていないケースも多々あること（日本でも未だにPC-9801シリーズが現役で運用されている例もあり）。

そうした運用ゆえにパッチを怠ったというより当てられず、「現場担当者が物理的なディスクなどで持ち込んだ」想定外のウィルスの侵入を許してしまったかもしれません。

同社は「生産情報や顧客情報は感染被害を受けていません。TSMCはこのセキュリティギャップを埋める行動をすでに起こしており、さらにセキュリティ対策を強化するよう努めます」と述べています。

ウィルス被害が新型iPhoneの生産に及ぼす影響について、複数のアナリストは限定的だと分析しています。その理由は「アップルがTSMCにとって最大の顧客である（ゆえに他のクライアントよりも優先する）」ことや、「上流のサプライチェーンはこうした事態に備えて余分にチップセットを製造している」といったもの。

しかし、TSMCとアップルの今後の関係に与える影響は定かではありません。今のところ事故を起こしていない他のサプライヤーも、セキュリティ体制の大幅な見直しを迫られる可能性がありそうです。

Engadget 日本版からの転載。

GoogleがAndroidのグラフィクスドライバーをテストするGraphicsFuzzを買収

Googleが、Androidのグラフィクスドライバーのセキュリティと信頼性をテストするフレームワークを作っているGraphicsFuzzを買収した。この、XDA Developersが最初に気づいたニュースは、GoogleがAndroid 9 Pieのリリースを発表した、その同じ日にやってきた。

Googleはこのニュースを確認したが、詳細の発表はない。また買収の価額なども公表されていない。

GraphicsFuzzのチームは、協同ファウンダーのAlastair Donaldson, Hugues Evrard, およびPaul Thomsonから成り、今後Androidのグラフィクスチームに参加して、そのドライバーテスト技術をAndroidのエコシステムの全域に提供していく。

チームは今日（米国時間8/6）の発表で次のように説明している: “GraphicsFuzzは、ファジングテストとメタモルフィックテストを併用する方法を開拓し、グラフィクスドライバーのテストを高度に自動化することによって、信頼性やセキュリティを損なうバグを、それらがエンドユーザーに影響を及ぼす前に早期に発見する”。同社はその仕事をロンドンのインペリアル・カレッジのコンピューティング学部で開始し、イギリスのEngineering and Physical Sciences Research Council（工学物理科学研究会議）とEUのTETRACOMプロジェクトから資金を得ている。

派手な買収案件ではないが、重要性は高い。Androidの分裂したエコシステムでは、グラフィクスドライバーは重要な部位のひとつであり、その不具合はスマートフォンやタブレットなどのユーザビリティーに直接響く。また不具合のあるドライバーは、セキュリティの弱点にもなりえる。GraphicsFuzzが使用しているファジングテストは、大量のランダムデータをプログラムに投じる手法で、グラフィクス以外のさまざまなソフトウェア開発でも、最近はますます多く利用されている。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

SpotifyもAlex Jonesのヘイトコンテンツを削除、YouTube、Facebookに次ぎ三社め

一週間あまりの間に三つのテクノロジー企業が、Alex Jonesの人騒がせ的で極右的で陰謀説のコンテンツに対する態度を決めた。その三番目の企業は、昨日（米国時間8/1）一部のコンテンツを削除したSpotifyだ。同社が5月に発表したヘイトコンテンツに対するポリシーに、Infowarsのポッドキャスト番組の一部が違反している、とされた。同社のアクションは、Jonesのビデオに対するYouTubeとFacebookの罰に続くものだ。それらのビデオには、イスラム教排斥や性的少数者の排撃、児童虐待など、両社のポリシーに違反するコンテンツが含まれているとされた。

水曜日（米国時間8/1）のBloomberg宛ての声明で、Spotifyはこう述べている:

弊社はヘイトコンテンツの報告を真剣に受け止め、コミュニティがマークしたポッドキャスト番組や曲は、すべて調べている。Spotifyは、‘The Alex Jones Show’ポッドキャストの特定の番組を、弊社のヘイトコンテンツに関するポリシーに違反しているため削除したことを、ここに確認する。

Spotifyは削除した番組や違反したとされるポリシー条項を明かしていないが、同社のポリシーアップデートのページに引用されている削除候補には、“人種や宗教、障害、性的同一性、性的指向性などを理由として人びとに対する憎しみや暴力を喚起することが主たる目的であるコンテンツ”、とある。そのポリシーはまた、これらの違反が必ずしも“敵対的で露骨で野卑なコンテンツ”を含んでいなくてもよい、としている。それよりもむしろ、憎しみを生じさせることを意図しているヘイトスピーチ、という包括的な言い方をしている。

Infowarsのポッドキャストのそのほかの番組は、今でもSpotifyで提供されている。Apple PodcastやSticherなどと同様だ。

このほかSpotifyは5月に、R. KellyとラッパーXXXTentacion、およびTay-Kの音楽を取り下げている。

Spotifyは、ヘイトスピーチをモニターするために、以下の人権団体と協力している: The Southern Poverty Law Center, The Anti-Defamation League, Color Of Change, Showing Up for Racial Justice(SURJ), GLAAD, Muslim Advocates, International Network Against Cyber Hate。またモニタリングツールSpotify AudioWatchを内製して、ユーザーがヘイトコンテンツにマークをつけるよう、求めている。

しかしインターネットという道は、安全であると同時に、誰もが自由に通れる道でなければならない。安全と自由の‘安全な両立’は、現状ではまだ、きわめて困難な目標だ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）