タグ: セキュリティ

AppleがSierraとEl Capitanが動いているMacのためにMeltdownのフィックスを発行

賢人のかつて曰く、“何度かパッチが当てられるまでは、OS Xをアップグレードするなかれ。しかもそのときですら、セキュリティ以外にはアップグレードする価値はなし”。この言葉は名前がmacOSに変わる前だが、多くの人を啓蒙し、旧バージョンに留まる者が増えた。ただし最近ではそんな態度は、最新バージョンでは保護されているMeltdown脆弱性を抱えたままになってしまう。しかし運良くAppleは、SierraとEl Capitanをフィックスの仲間に加えた

その最新のセキュリティアップデートは、あちこちでいくつかのランダムなエクスプロイトをフィックスしているが、なんといっても最大の売りは、SierraとEl Capitan MacのMeltdown脆弱性を確実に封じたことだ。これらのOSを使ってることは誰にも責められないが、アップグレードは早急にやるべきだ。

なぜか、MeltdownとSpectreの発見者の一人、Google Project Zeroの研究員Jann Hornの名が、このセキュリティアップデートの中で三回も登場している。

最初はMeltdownのフィックスに関してだから、予想の範囲内だ。しかしあとの二回は、最近報告された二つの新しい脆弱性、アクセスが制限されているメモリ番地を誰かに読まれてしまう、というのに関連している。

そのCVE-2018-4090CVE-2018-4093はMITREに予約されて載っているが、まだ説明は何もない。MeltdownやSpectreほど深刻なやつではないし、ここにあるのは偶然かもしれない。しかし同様のフィックスがAppleのほかのプラットホーム(iOS, tvOS)にもあるから、macOSだけの問題でないことは確かだ。でも、Google Project Zeroが近くまた何かを発表しても驚かないように。

Safariの別のアップデートは、三つの最新OSすべてにあるのとは無関係なエクスプロイトをフィックスしているが、二週間前のSpectreのフィックスには当然ながらGoogle Project Zeroのクレジットがある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ARMのCEO Simon SegarsのSpectre/Meltdown観、そしてIoTのセキュリティについて

今年のCESは、SpectreとMeltdownに呪われていた。会場内の会話のほとんどが、どこかで必ず、この話題に触れていた。なにしろCESだから、われわれが会う人の数も多く、そしてその中にはこの問題に近い人も多い。今回はその一人、ARMのCEO Simon Segarsに、本誌TechCrunchのブースまで来ていただいて、その対応策などについてうかがった。

また、IoTやAIなど、同社の今後の大きなビジネス機会についてもお話を聞いた。同社の設計をベースとするチップはすでに1200億あまりのデバイスで使われているが、次のフロンティアである新しい技術分野は、さらに大きな機会を同社にもたらす。“IoTの普及により、数億どころか兆のオーダーのコネクテッドデバイスが出現する”、とSegarsは語る。

SpectreとMeltdownに関しては、その脆弱性の公表により、あらためて、今日の世界に膨大な量のマイクロプロセッサーがあることが人びとの意識にのぼった。しかしSegarsが強調するのは、この脆弱性が一部の高性能なチップに限られていること。彼によると、ARMがライセンスし、過去に販売されたチップのわずか5%が、危険にさらされるだけだ。

Segarsが今回明言できなかったのは、ハードウェアとソフトウェアのベンダーが今リリースしているパッチによって、ARMにとっての性能低下は起きるのか、という点だ。“率直に言って、それを言うのはまだ早すぎる”、とSegarsは述べる。“それは、ユースケース次第という面がとても大きいだろう…つまりアプリケーション次第、ということだ”。

しかし彼は、一部のハイパフォーマンスなユースケースではペナルティがありえる、と考えている。“しかしそんな場合でも、Webの閲覧やメールのような一般的なユースケース、そしてモバイルデバイス上の膨大な量のユースケースでは、誰も違いに気づかないだろう”、という。

インタビューの全体を、下のビデオでご覧いただける。

画像提供: Tomohiro Ohsumi/Getty Images



[原文へ]
(翻訳:iwatani(a.k.a. hiwa

G Suite EnterpriseのSecurity Centerで、利用しているすべてのサービスのセキュリティ状況を一望できる

Googleが今日、G Suiteのアドミン用の新しいツールを立ち上げて、彼らの組織のセキュリティの状態をもっとよく見られるようにした。そのツールG Suite Security CenterはG Suite Enterpriseのユーザーだけが使えて、二つの主な部位がある。最初の部位はダッシュボードで、アドミンはその画面を見ながらさまざまなサービスのセキュリティ関連測度の現在値を概観できる。たとえばGmailなら受信メール中のフィッシングメールの有無やその数など。またGoogle DriveやMobile Managementなども、セキュリティが重要だ。第二の部位はセキュリティの健康診断で、現在のセキュリティの設定を概観するとともに、その改善のアドバイスを提供する。

Security Centerを担当するプロダクトマネージャーChad Tylerによると、現状では重要なセキュリティ関連測度がさまざまな個々のG Suiteプロダクトに分散しているが、それらを一つのサービスにまとめるべきだ、と彼らは考えた。それに加えて、ユーザーの安全を確保するためのリコメンデーションも、GoogleがG Suiteのために推奨するベストプラクティスを、個々のサービスごとではなく、すべてを一つの画面で見られるようにしたい。

しかしSecurity Centerの心臓部はあくまでもダッシュボードだ。アドミンはその画面を見ることによって、会社全体に何が起きているのかを素早く一望できる。Tylerによると、ダッシュボードに加わるサービスは今後もっと増えるが、たとえばそれを見ることによって、どの社員にフィッシングメールの急激な増加(スパイク)があるかもすぐに分かる。さまざまな測度がグラフや図表などで一望できる、という点では、ユーザー体験はGoogle Analyticsなどに似ている(上図および下図)。

Security Centerはすでに、全世界のG Suite Enterpriseのアドミンに向けて展開されている。全員に行き渡るのもかなり早いと思われるので、たとえばあなたががG Suite Enterpriseのアドミンなら、もうすでにご自分のアカウントで利用できるかもしれない。

  1. g-suite-security-center-static_1-16_twg-1.png

  2. 5ff8e082bb6922553c11263661dd9a98.png

  3. dashboard_details_spam_phishing-1.png

 View Slideshow
Exit

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Huaweiがアメリカのキャリアと契約できなくなったのは議員からの圧力のため、という説

Huaweiの長引いているアメリカ進出のトラブルは、その最新の状況が、先週のCESにおける予期せざる、そして人びとの興味をそそる、記事ネタにもなった。しかしこの玉ねぎには、まだ剥くべき層がたくさんある。今朝(米国時間1/16)Reuters(ロイター通信)は、AT&Tがこの中国のスマートフォンメーカーとの契約を土壇場で破談にしたのは、このキャリアに対するアメリカの議員からの圧力があったからだ、とする憶測を確認している

この通信社の情報筋によると、AT&Tが同社のキャリア援助事業によりHuaweiのハンドセットを提供する、という計画に数名の議員が反対したため、AT&Tの手は塞(ふさ)がれた。議員たちはさらに、このアメリカ第二のキャリアに、Huaweiとの関係を断つよう強制することすらしたらしい。

関係というのは、5Gの規格策定や実装で協調することと、AT&Tが2013年に買収したプリペイドのワイヤレスプロバイダーCricketとの契約だ。上述の議員たちは、Huaweiおよび国営通信企業China Mobileとの関係は、同社の今後のアメリカ政府との契約の可能性を損なうかもしれない、とAT&Tに警告したそうだ。

その記事の内容は確かに、HuaweiとZTEの両社をセキュリティリスクと位置づけた2012年の下院諜報委員会の報告に沿っている。そのときの報告は、“アメリカの民間部門は、装置やサービスに関してZTEまたはHuaweiのどちらかと事業を行うことに結びついている長期的なセキュリティリスクに配慮することを、強力に奨励されている”、と言っている。〔両社とビジネス関係を持つな、ということ。〕

金曜日(米国時間1/12)には、テキサス州選出下院議員Michael Conawayが、アメリカ政府がHuaweiまたはZTEのハンドセットを使っているキャリアと仕事をすることを禁ずる法案を提出した。それは、HuaweiのCEO Richard Yu(上図)が、たぶんスピーチの草稿にはなかった部分として、同社との協働を拒否するアメリカのキャリアを酷評してから、数日後のことだ。そのときYuは、“それは消費者にとって大きな損失である。なぜなら彼らは、最良の製品を選べないからだ”、と述べた。

Huaweiは明らかに、今年はアメリカに進出するという大きな計画を持っていた。Wonder Womanの主演女優Gal Gadotをコマーシャルに起用して、大規模な広告キャンペーンを打った。しかしスマートフォンの購入の多くがキャリア経由である国でそのサポートが得られないなら、どんな積極姿勢もその一歩を踏み出せないだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

IntelのSpectre-Meltdownのパッチでユーザーシステムがリブートしてしまう事故も

Intelにとってそれは、楽しい時間ではなかった。先週同社は、チップの脆弱性を二つ公表し、その後それらにはSpectreとMeltdownという名前まで付けられ、そしてさらにIntelだけでなくチップ業界全体の騒動になった。今週同社はパッチを発表したが、今日(米国時間1/12)は、それらをインストールした企業の一部がシステムの唐突なリブートを経験している、という情報がリークされてきた。泣きっ面に蜂、傷口に塩の不運な週だ。

Intelもそれを認め、同社Data Center GroupのVPでゼネラルマネージャーのNavin Shenoyが、この件に関するブログ記事を書いた。

そこにはこう書かれている: “複数の顧客から、ファームウェアのアップデートを適用したあとに高レベルのシステムがリブートする、という報告を受けている。具体的には、これらのシステムは、クライアントとデータセンターの両方でBroadwellとHaswellのCPUが動いている”。

“そのためにファームウェアアップデートの改訂が必要なら、その新たなアップデートは通常のチャネルから配布する”。

この問題はIntelがコントロールできないほど劇症化することはないだろう、とみんなが思っていたまさにそのときに、一層の劇症化が起きてしまった。Wall Street Journalが入手したIntelの極秘メモは、大企業やクラウドプロバイダーたちに、パッチをインストールしないよう指示している。一方Intelは消費者にはすべてのパッチをインストールするようアドバイスし、これはセキュリティの問題ではない、と指摘している。

ソフトウェアの不具合の問題にすぎないし、それは確実に直った、と言いたいところだったが、騒動の肥大化がプレッシャーとなり、ミスが生じたのかもしれない。

SpectreとMeltdownの問題は昨年、GoogleのProject Zeroのセキュリティチームが見つけていた。彼らは、セキュリティよりスピードを優先した設計により、現代的なチップのアーキテクチャに欠陥が生じ、チップのカーネルが露出した、と認識している。その場所にはパスワードや暗号鍵などの秘密情報が保存され、たぶん保護もされている。しかしその欠陥のために、保護がない状態になってしまった。

MeltdownはIntelのチップだけの問題だが、Spectreは今のチップのほとんどすべてにある…AMD, ARM, IBM Power, Nvidiaなどなど。この問題を抱えなかったのは、Raspberry Piだけかもしれない

今のところ、この脆弱性の悪用に関する情報や記録はない。Googleの昨日(米国時間1/11)のブログ記事によると、それは20年も前からチップに存在した脆弱性だが、しかしセキュリティの専門家たちによると、これまでのセキュリティ事故の、どれとどれがこの脆弱性の悪用であるかを特定するのは難しい。20年前からその存在を十分に知っていたとしても、事故原因としての特定は難しいだろう、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ロシアの米議会ハックは過去形でなく現在進行形、日本のTrend Microが痕跡を発見

日本のセキュリティ企業Trend Microの最新報告によると、昨年の民主党全国大会をハックしたのと同じ集団が、2017年の後半には終始、アメリカ上院を活発に標的にしていた。Trend Microは以前にも、外国の政府をねらう同様のフィッシング攻撃を明らかにしたことがある。今回のセキュリティ報告書によると、彼らの活動は2017年6月に始まり、上院の内部的メールシステムに見せかけたフィッシングサイトにより、議員たちの認証情報(パスワードなど)を盗もうとしていた。

Trend Microの報告は、同社がPawn Stormと呼ぶハッキング集団の行為を主に取り上げている。それは、一般にはFancy Bearという名前で知られていた“きわめて過激な諜報活動”グループだ。同じくセキュリティ企業のCrowdStrikeはそのグループを“ロシア発の脅威的活動集団”と呼び、ロシア軍部の諜報機関と結びついていることもありえる、としている。

Trend Microはその攻撃の性質について、次のように述べている:

2017年6月に、アメリカ上院のADFS(Active Directory Federation Services)を模倣するフィッシングサイトが開設された。これらのフィッシングサイトのデジタル指紋を、これまでの5年間に弊社が蓄えた大きなデータ集合と照合すると、それらを明確に、2016年と2017年の二度にわたって起きたPawn Storm事件と関連付けることができた。

アメリカ上院の本物のADFSサーバーには、オープンなインターネット上ではアクセスできないが、フィッシングにより、ファイヤーウォールの背後にあるADFSサーバー上のユーザー認証情報を取得することはできる。そうやってユーザーアカウントを一つだけ盗むことができた犯人は、組織内に自己の足場を作り、そこから彼らにとって本命の高位のユーザーに接近できる。

昨年4月に、オレゴン州選出で、上院諜報委員会の活発なメンバーであるRon Wyden上院議員が、二要素認証などの“ベーシックなサイバーセキュリティ方策”を上院が採用して、議員のメールアカウントなど、機密性の高い内部的デジタルシステムを保護するよう、勧告した。むしろそれが未だに、米議会の標準慣行ではないという事実の方が、怖ろしいと言えるだろう。

今では、民主党大会のハックやロシアの情報遺漏努力について過去形で語ることが多くなっているが、Trend Microなどの報告が示しているのは、アメリカの政治システムに対する脅威が現在進行形であることだ。2018年の中間選挙に向けてそれは、ますますエスカレートしていくだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

閲覧中のWebサイトがあなたのことをどうやって調べているか分かるツールKimetrak

フランスのテクノロジーメディア企業Next INpactが今日(米国時間1/11)、おもしろいプロジェクトを立ち上げた。そのKimetrakと名付けたシンプルなブラウザーエクステンション(拡張機能)で、Webサイトが閲覧者を追跡してそのプライバシーをどこかへ売っていないかを調べることができる。

もうすぐヨーロッパで施行されるePrivacyGDPRによる規制は、多くの点で人びとの目を覚ました。また、あなたのマシンの上で勝手に動くビットコインマイニングのスクリプトや、SpectreバグのJavaScriptによる実装などは明らかに、ブラウザーのユーザーのセキュリティやプライバシーの制御に関する完全な無力を、思い知らしめた。

Webを閲覧することは、ページをロードするたびに白紙小切手を未知の人に渡すことに似ている。あなたはただ、記事を読みたかったにすぎないかもしれない。しかしそれでも、大きなWebサイトの多くがサードパーティのJavaScript呼び出しを何ダースも埋め込んでいる(残念ながら本誌TechCrunchもその一つだ)。

いろんなページに広告をばらまく広告ネットワーク企業や、Facebook、Googleなどの巨大テクノロジー企業は、ユーザーの閲覧慣行を追跡して、あなたが事前に調べたわけでもないコードを送り込む。そんな企業はさらにユーザーの総合的なプロフィールを作り、クッキーを利用して個人情報を読んだり保存したりする。

そこで今では、多くの人が広告をブロックするエクステンション(“アドブロッカー”)をインストールしたり、JavaScriptを完全に無効にしたりしている。GhosteryuBlock Originのようなエクステンションは、ブロックしたサードパーティドメインからのスクリプトをすべてリストアップする。

しかしKimetrakはアドブロッカー(広告ブロッカー)ではない。このエクステンションは、Web上のトラッカー(追跡者)について人びとを教育することが目的だ。アドブロッカーは、それを使っても情報はあまり得られない。しかしアドブロッカーを無効にして、どこかお気に入りのWebサイトを閲覧してみると、Kimetrakが提供する情報にはびっくり仰天するだろう。

世界的に大人気のWebサイトも、Kimetrakで調べると大量のサードパーティJavaScriptがあることが分かる。もちろんその一つ々々を調べることもできる。

現状では、Kimetrakが調べたデータはユーザーのコンピューター上にあるのみで、Next INpactはそれらを共有しない。それはオープンソースのプロジェクトなので、コードを見ることもできる。最終的にはNext INpactは、トラッカーたちと人気Webサイトの汎用データベースを作るつもりだ。KimetrakはChrome Web Storeで入手できる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

悪者ドローンを撃墜するFortemのDroneHunterが最終製品を完成、まず政府関連に売っていく

ドローンの利用が増えるにつれて、企業や政府機関などは悪意あるドローンから建物などを守る方法が欲しくなる。そしてFortemが開発したシステムDroneHunterは、その名のとおりドローンをハントする。DroneHunterは、指定された方向にドローンを見つけることと、見つけたドローンを撃ち落としたり、別のドローンで捕らえることをする。それはまさに、ドローンが演ずる空中戦だ。

そのシステムはレーダーを使って指定された領域をモニタし、そこに悪玉を探す。ターゲットが見つかったら、回転翼が6つある大型ドローンに何種類かの撃墜用装置を搭載して展開する。このドローンが悪漢ドローンに立ちふさがり、弾丸ではなくネット(網)を発射してドローンを撃墜したり、さらに大きなドローンで曳航したりする。Fortemによると、敵機の速度は時速最大160キロメートルまで対応できる。

昨年説明したように、Fortemは2016年にレーダーの技術をIMSARからに買収し、昨年1年をかけて、世界各国で使えるように、つまり各国に輸出できるように改造した。また企業などのセキュリティ予算に応じた価格にして、他のセキュリティ用ドローンとも共用できるようにした。

ユタ州に拠を置く同社は、昨年550万ドルを調達して、同社製品の市場化に努めてきた。

今では一般的に売れるまでに完成したが、お値段は利用状況によって変わるようだ。当面の顧客は、国防関連や連邦政府の省庁に限定されるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

QualcommのCEO曰く: Spectre/Meltdown問題はモバイルの世界ではとっくに対策済み

CESの記者会見でQualcommのCEO Cristiano Amonが、自動車関連やモバイル、音声アシスタント、5Gなどで同社がさまざまなパートナーシップを結んだことを発表した。そして、会見の最後に、チップ業界の焦眉のセキュリティ問題であるSpectre/Meltdownについて聞かれたAmonは、モバイルに関しては影響が小さい、と答えた。対策はすでにあるし、パフォーマンスへの重大な影響がないからだ、と。

Amonによると、モバイルには独自のエコシステムがあり、Qualcommと同社のパートナーたちは12月に最初のパッチをリリースしている。彼はモバイルのセキュリティに関する一般論としてこう述べた: “いくつかの点でモバイルのエコシステムは独特だ。ユーザーが、アプリストアからダウンロードすること。さらに加えて、AndroidとARMに関しては、一部のOEM向けには12月という早い時期にパッチをリリースしている”。

彼は、エコシステムに対して迅速に率先してソリューションをリリースしたGoogleとARMを賞賛した。“対策が早い時期からあり、正しいメモリマッピングをグローバルなエコシステムがすでに採用しているから、弊社とモバイルのエコシステムに関しては不安がない”、と彼は語った。

デスクトップやラップトップ、サーバー向けのチップを作っている界隈からは、これほどの楽観論は聞かれない。しかしモバイルのエコシステムは彼の言うとおり独特であり、ユーザーはパッチのアップデートとインストールが比較的早い。一方PCの世界では、MicrosoftがとっくにサポートをやめたバージョンのWindowsを、今でも多くのユーザーが使っている。

Maker:0x4c,Date:2017-9-5,Ver:4,Lens:Kan03,Act:Lar01,E-ve



[原文へ]
(翻訳:iwatani(a.k.a. hiwa

QualcommのCEO曰く: Spectre/Meltdown問題はモバイルの世界ではとっくに対策済み

CESの記者会見でQualcommのCEO Cristiano Amonが、自動車関連やモバイル、音声アシスタント、5Gなどで同社がさまざまなパートナーシップを結んだことを発表した。そして、会見の最後に、チップ業界の焦眉のセキュリティ問題であるSpectre/Meltdownについて聞かれたAmonは、モバイルに関しては影響が小さい、と答えた。対策はすでにあるし、パフォーマンスへの重大な影響がないからだ、と。

Amonによると、モバイルには独自のエコシステムがあり、Qualcommと同社のパートナーたちは12月に最初のパッチをリリースしている。彼はモバイルのセキュリティに関する一般論としてこう述べた: “いくつかの点でモバイルのエコシステムは独特だ。ユーザーが、アプリストアからダウンロードすること。さらに加えて、AndroidとARMに関しては、一部のOEM向けには12月という早い時期にパッチをリリースしている”。

彼は、エコシステムに対して迅速に率先してソリューションをリリースしたGoogleとARMを賞賛した。“対策が早い時期からあり、正しいメモリマッピングをグローバルなエコシステムがすでに採用しているから、弊社とモバイルのエコシステムに関しては不安がない”、と彼は語った。

デスクトップやラップトップ、サーバー向けのチップを作っている界隈からは、これほどの楽観論は聞かれない。しかしモバイルのエコシステムは彼の言うとおり独特であり、ユーザーはパッチのアップデートとインストールが比較的早い。一方PCの世界では、MicrosoftがとっくにサポートをやめたバージョンのWindowsを、今でも多くのユーザーが使っている。

Maker:0x4c,Date:2017-9-5,Ver:4,Lens:Kan03,Act:Lar01,E-ve



[原文へ]
(翻訳:iwatani(a.k.a. hiwa

機械学習によりセキュリティの脅威を自動的に検出するNiddelをVerizonが買収

本誌TechCrunchのオーナー企業であるVerizonが今日(米国時間1/5)、セキュリティの脅威を自動的に検出するサービスNiddelを買収したことを発表した。

Niddelの主要製品であるNiddel Magnetは有料会員制のサービスで、機械学習により顧客の会社内の感染ないし侵されたマシンを見つける。それは、顧客がコードやルールなどを書かなくても完全に自律的自動的に仕事をする。

Verizonのセキュリティサービス担当部長Alexander Schlagerは、声明文の中でこう説明している: “機械学習を利用して情報の精度を大きく上げ、擬陽性を減らし、検出と対応の能力を大幅に改良できる”。それが、今回の買収の主な理由でもある。

人間の誤判断による擬陽性を減らせることが、Niddelのソリューションの大きな目標だ。システムをモニタする有資格のセキュリティアナリストが不足しているから、それがとくに貴重だ。“Niddel Magnetは、従来の人間の目視による方法に比べて、擬陽性を最大96%減らすことができる。弊社が特許を取得している監視つきの機械学習が脅威に関する既存の知識を外挿することにより、得られるアラートの40%は(従来の方法で検出できなかった)新しい脅威だ”、と同社のWebサイトは書いている。

Niddelは、社内社外の50あまりの多様なソースから情報を取り、それらを分析して、顧客の組織内の被害機を襲ったセキュリティの脅威を追跡する。企業がそれらの被害に真剣に対応しようとしたときには、同社が完全に自動化されたソリューションを提供し、簡単には見つからない有資格のアナリストを不要にする。

Niddelは、2014年に創業された。VerizonはNiddelの技術を今後数か月以内に自社システムに組み込む予定だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

サードパーティコードの脆弱性をチェックするAppcanaryのチームがGitHubにスカウトされた

Y Combinatorで孵化したサービスAppcanaryは、デベロッパーが使用するサードパーティのパッケージやライブラリのセキュリティを調べる*。その同社が今日(米国時間1/4)、6月1日をもってサービスを閉鎖し、チームはGitHubに加わる、と発表した。〔*: canary,カナリアは、坑道の中で落盤の危険性を鳴き声で知らせてくれる、とされている。〕

両社の契約内容、とくにその財務的側面は公表されていないが、本誌TechCrunchの理解ではそれは、主として人材獲得を目的とする買収だ。

今日の発表声明の中でAppcanaryのファウンダーMax VeytsmanとPhill Mendonça-Vieiraはこう述べている: “私たちは最初にRubysecを作り、その後(今は亡き)Gemcanaryを作り、それからAppcanaryを始めたが、その間一貫して私たちの目標は、脆弱なソフトウェアの使用を防ぐことによって世界のセキュリティを向上させることだった。当時は、そのためのビジネスを作ることが必要と思われたが、しかしさまざまな理由により、その方向性は実らなかった”。

これまでAppcanaryは、最大三つのエージェント(三つのサーバー)をチェックしモニタするサービスに月額29ドルを課金していたが、近く料金を上げる予定だった。

なお、GitHubも最近、デベロッパーのコードの脆弱性をモニタする同種のサービス発表している。そこで当然ながらAppcanaryのファウンダーたちは、GitHubのセキュリティツールの今後の機能拡充が自分たちの仕事だと自覚している。

買収に関するGitHubの説明は、Appcanaryの発表とよく似ている: “AppcanaryのチームとPhillip Mendonça-VieiraおよびMax VeytsmanがGitHubにチームに加わったことはとても嬉しい。彼らはその専門的知識と技能をGitHubのコミュニティにもたらし、デベロッパーたちのセキュリティ能力を強化するだろう。GitHubはセキュリティアラート(Security Alerts)の分野への投資と機能拡充を、メインの重要業務の一環と見なしている”。

6月1日になるとAppcanaryのサービスはすべて閉鎖し、コードの脆弱性スキャンを求めるユーザーのニーズは、SpacewalkLandscape, CoreOS Clair, Nessus Agents, そしてThreatStackなどへリダイレクトされる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleのProject ZeroチームはCPUの重要な欠陥を昨年発見していた

数分前(米国時間1/3)に公開されたブログ記事でGoogleのセキュリティチームが、今朝発表されたチップの脆弱性からGoogle Cloudの顧客を守るために彼らがやったことを述べている。その記事によると、この脆弱性は同社のProject Zeroのチームが昨年…時期不詳…発見していた。

発表によると、同社はその問題をチップのメーカーに報告した。それは、“投機的実行”と呼ばれているプロセスによって起きる。それは、CPUが次にやるべき命令を論理的に推測して実行し、処理速度を上げる、という高度なテクニックだ。そしてその機能に隙(すき)があり、悪者はそれを利用して、暗号の鍵やパスワードなどメモリ上の重要な情報にアクセスできる。

Googleによるとこれは、AMD, ARM, Intelなどすべてのチップメーカーに見られる現象である(AMDは否定)。Intelは、一部で報道された、脆弱性はIntelのチップのみという説を、同社のブログ記事で否定している。

Googleのセキュリティチームは、この問題を知った直後からGoogleのサービスを護るための措置を開始した、と書いている。早期に一般に発表しなかった理由は、調整版のリリース予定が来週(1月9日)だったため、という。そしてこのニュースがリークしたために、GoogleやIntelなどの関係企業は、情報を公開して憶測を終わらせることを選んだ。

なお、Google Apps/G Suiteには、被害が及んでいないので、ユーザーは何もしなくてもよい。そのほかのGoogle Cloudのユーザーは、何らかのリスク対策が必要かもしれない。ユーザーのアクションを必要とするプロダクトやサービスは、このページに詳細が載っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

画像認識システムを騙して空港の警備をすり抜ける方法…Googleの研究者たちがステッカーで実験

機械学習のシステムは、有能ではあるが必ずしもスマートではない。彼らには、常識がない。そのことにつけこんだ研究者たちが、画像認識システムに対するおもしろい攻撃テクニックを作った。彼らが作った特殊なステッカーは、AIにとって、あまりにもおもしろくて興味深いので、結局そこに何も見いだすことができないのだ。そのステッカーが、アクセサリーとして流行りそうだ、とぼくが感じたのは、どうしてだろう?

コンピュータービジョンはものすごく複雑な問題であり、人間ですら、正しい画像認識のためには、認識の近道を必要とする。だから、コンピューターがそうであっても驚くには当たらない。

これらのシステムが取る近道のひとつが、すべての画素を同等に重要視しないことだ。たとえば、家の画像があって、その背後は青空、前面に草地があるとしよう。いくつかの基本的なルールにより、コンピューターにはこれが–空と草が写っていても–空や草の画像ではないことが分かる。そこでコンピューターはそれらを背景と見なし、中央にある形状の分析に多くのCPUサイクルを費やす。

そこで、Googleの研究者たちは考えた(PDF): もしもその近道が混乱して、コンピューターが家を無視し、なにか別のものに注意を注いだらどうなるか?

対戦相手となるシステムを訓練して、いろんな特徴のある小さな円〔上図左〕を作らせ、ターゲットのシステムを混乱させようとした。円には、いろんな色や、形、サイズがあり、それらのどれが画像認識システムの注意を引くかを見ていく。そのAIは、特定のカーブに着目した、とか、特定の色の組み合わせを背景ではないものと見なした、などなど。

そうやって、右図に示すような、サイケデリックな渦巻きがいろいろ出来上がった。

そしてそれを、システムが知っているもの…たとえばバナナ…の横に置くと〔上図タイトル画像〕、バナナのことは即忘れて、それが渦巻きの画像だと認識する。また、画像の中に名前のあるステッカーを作って既存の画像と合わせると、違った結果になる。

研究者たちはこれを、画像固有ではなくシステム固有を目指して行った。つまり、その画像認識システムに(特定の画像ではなく)これらの不思議な渦巻きのどれを見せても、混乱した結果を出力するように。

これは一体、何のための研究だろう? 具体的にはたとえば、数枚のこんなステッカーを衣服の上につけて空港の監視カメラの前を通ると、画像認識システムはその人が逃走中の強盗犯人であっても、見抜けないだろう(もちろん犯人の顔などは事前に訓練されている)。ただし、このシステム騙しに成功するためには、そのシステムをよく知り、大量のステッカーで事前にテストしなければならないだろうが。

コンピュータービジョンシステムを騙すもう一つのやり方は、画像に何度も小さな変更を加えると、それらのわざと置かれた画素によっては、銃の画像を亀と認識したりする。しかしこれらの、極端に局所化された“動揺と混乱”によって、新たな脅威が作る出されることがありえる。

われわれが実験したシステム攻撃は、現実世界でも有効である。しかも、ステッカーという、一見、人畜無害なものを利用する。これらの結果は、攻撃をオフラインで作っておき、それを広範囲にシェアできる、ということを示している。

人間はこの程度のパッチに気づくことができるが、でもその意図は見抜けずに、アートの一種かと思ったりするだろう。だから、小さな動揺混乱に対する防御策だけでは不十分である。もっと局所的で大きな動揺や混乱が、認識分類システムを無能化することもありえるのだ。

研究者たちはこの実験と結果を、ロングビーチで行われたNeural Information Processing Systemsカンファレンスで発表した。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

SonosとBoseのコネクテッドスピーカーはハッカーにアクセスされて勝手に曲が鳴る

Trend Microの研究員たちが、SonosとBoseのスピーカーに、リモートアクセスされてしまう脆弱性を見つけた。それを最初に報じたWired誌の記事によると、Sonos Play:1, Sonos One, Bose SoundTouchの3機種には、ハッカーにアクセスされ、音楽を再生されてしまう危険性がある。

今のところ、悪ふざけのようなアクセスがほとんどだが、研究員たちはもちろんその脆弱性を利用して彼らの好きなRick Astleyの曲を鳴らし、近くにあるAlexa対応デバイスに命令していたずらをした…South Parkのように。またSonosのフォーラムには、ドアが軋る音や赤ん坊の泣き声やガラスの割れる音が大音量で鳴った、というユーザーのおそろしい報告が載っている。

しかしその脆弱性のあるシステムの数は、比較的限られている。被害の生じた機種のスピーカーの数はSonosが2000から5000、Boseは500足らずだ。Sonosのスポークスパーソンはこう語った: “今詳しく調べているが、被害に遭ったのはユーザーが構成を間違えたネットワークで、そういうごく少数の顧客のデバイスが、一般的に公開されているネットワーク上に露出したのだろう。そんなセットアップを、弊社が顧客に勧めているわけではない。とりあえず、心配なお客さんは、Sonosのシステムが確実に、安全な内部ネットワーク(LAN)上にセットアップされているように、していただきたい”。

Sonosは、この穴を塞ぐパッチも発行した。Boseからはまだ、公式の応答はない。

Trend Microのコメントも、やはりネットワークへの接続を、スピーカーのデフォルトの設定とともに問題視しているようだ。同社の調査部長は曰く、“不運なのは、これらのデバイスが接続されるネットワークが、根拠もなく信頼されていることだ。ネットワークの状況を、もっと詳しく知る必要があるね。現状では、デバイスをハックしたり、ネットワークの構成が不注意だったら、誰もがスピーカーにアクセスして、音をコントロールできる”。

単なる悪ふざけで終わってしまう可能性もあるが、でもこれを機に、あなたの家のインターネットに接続されたすべてのデバイス(“コネクテッドデバイス”)が安全であることをチェックしてみたらどうか。今はとくに、誰もが、いわば自分のプライバシーを犠牲にして、家庭内のスマートデバイスを次々と増やしている状況だからね。その中には当然、カメラや常時onのマイクロフォンがついたのも、あるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

エドワード・スノーデンが反スパイ・アプリ発表――HavenでAndroid携帯が監視装置になる

元NSAの内部告発者、エドワード・スノーデンはコンピューターへのさまざまな形のハッキングを防止する活動の有力な支援者だ。

スノーデンが発表したHavenはオープンソースのAndroidアプリで、特に低価格の旧型デバイスでも作動するよう配慮されている。このアプリはデバイスのカメラ、マイク、加速度計などを利用して監視装置として働き、こうしたセンサーがなんらかの動きを検知するとユーザーに通報する。

もっとも高度な暗号化システムもデバイスそのものを物理的にタンパリングされれば無力だ―いわゆる「邪悪な客室係」という問題に対処しようというアイディアだ。実際、ホテルの客室係はユーザーのノートパソコンに対して物理的にアクセスすることができる。

スノーデンがGuardian ProjectFreedom Of The Pressと協力して開発したこのアプリは、そうした物理的タンパリングを防止し、警戒意識を高めることを目的としている。

使い方はたとえばこうだ。ユーザーは使い捨てAndroid携帯にHavenをインストールし、ノートパソコンといっしょにホテルのセーフボックスに預ける。するとHavenはセンサーによって金庫が開かれたことを検知すると音声と画像を記録し、ユーザーにSMSでアラートを送り、Torベースのウェブサイトに記録内容を送信する。

Freedom Of The Press のメンバー、 Micah LeeはThe Interceptに掲載した記事で、このアプリをインストールしてテストしたことを報告している。それによれば、なるほどこのアプリにはまだいくつかの欠点―ユーザーへの通報のため常時ネット接続を必要とすること、バッテリーの消耗、誤った警告など――があるもののユーザーの安全性を高める新たな手段だと歓迎している。またこのアプリはハードウェアの監視以外にもさまざまなモニターとして使うことができる。

「Havenは安価なセキュリティー・システムとしてオフィスや家庭で使うことができる。無人の施設への侵入者や悪質ないたずらを検知して写真を撮りユーザーに送信できる。自然愛好家なら、山間部などに設置して動物の生態を撮影できるだろう。人権侵害や不審な行方不明の防止にも役立つ」とLeeは書いている。

季節がら、もっと愉快な使い方があったかもしれない…

チーフ・デベロッパーがこのソフトを子どもたちに説明したところ、彼らは「それじゃサンタをつかまえよう!」と言った。

HavenはGoogle PlayあるいはオープンソースのAndroidアプリストア、F-Droidからダウンロードできる。

スノーデンは依然としてロシアに亡命状態だが、以前、ユーザーを探知するために継続的に望まない情報を発信することを防止するiPhoneケースの開発を助けている。またスノーデンはプライバシー侵害を行っていると彼が信じる諸機関に対して長年強い言葉で反対を唱えている。スノーデンはDropbox、 Google、Facebookの利用に反対し、将来の世界にとって個人データの収集が最大の問題になると強く警告している。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

#NoHacked 3.0: 役立つリソース

#NoHacked キャンペーンを開始して 3 週間経ちました。今回は、サイトを安全に保つために役立つリソースをいくつかご紹介します。

  • 興味深い研究成果:
    ハッキング手法は常に進化しており、最新の傾向を把握してより効果的に対処するためには日々の研究が欠かせません。情報セキュリティ研究サイトでは、Google の最新の研究成果を公開しています。このうち、ウェブサイトへの不正アクセスに関する研究成果の一部をご紹介します。
  • ハッキングされたサイトに関するよくある質問
  • ハッキングされたサイトに関する用語集

    • #NoHacked 3.0 はこれで終了しますが、さらにコンテンツを用意して近いうちにまた開催する予定です。それまでの間、ご不明な点がありましたら、ウェブマスター ヘルプ フォーラムにご投稿ください。また、サイトへの不正アクセスに関してフィードバックやご質問があった場合もぜひ、ウェブマスター ヘルプ フォーラムまでお寄せください。Google 社員やセキュリティに詳しいユーザーからアドバイスを得られると思います。

    この投稿で #NoHacked キャンペーンは終了します。このキャンペーンを通じてコンテンツをお楽しみいただき、ハッカーの攻撃を防いでサイトの安全を確保していただければ幸いです。

    Posted by Takeaki Kanaya (Senior Search Evangelist) and Anna Ogawa (Technical Specialist)

    Facebook上でロシアのトロルアカウントにやられたか分かるツールがやっとリリース

    今年の秋は、Facebookの上でロシアのトロルアカウントに接触されたと思われる人の数がどんどん増えて、ついに1億5000万近くに達した。今日Facebookは、先月約束していたツールをやっとリリースし、ユーザーが「いいね!」したりフォローしたものが、怪しげな大衆操作のためにネット上にばらまかれた大量のページやコンテンツではないか、チェックできるようにした。

    Facebookはそのツールのリリースを大声で発表することはせず、クリスマスの前の金曜日という、気づかれたくないものを公開するのにふさわしいゴミ箱のような日を待った。そしてそのツールを、ヘルプページの奥の方へ突っ込んだ。うまいやり方だね。

    しかしそのツール自体は、とてもシンプルで使いやすい。このページへ行けば、あなたがいいね!したりフォローしたかもしれない、ロシアのInternet Research Agencyが作ったアカウントが一覧表示される。Instagramの自分のアカウントにログインしても、同じ情報が表示される。

    あなたが怪しげなアカウントのどれかをフォローしていたら、こんなものが表示される:

    このボックスが空なら、あなたは問題のアカウントに接触していないし、それに関与〔クリックなど〕していない。しかしそれでもあなたは、幸運な〔皮肉〕1億4600万人のひとりかもしれない。Facebookにもそれは分からないが、でも人びとに直接告げるこのやり方には感心しない。みんな、そのスクリーンショットを取って、“WTF!”(すげえ!)とか“OMG Facebook is broken!”(Facebookがぶっ壊れたよ!)などのキャプションをつけてポストするだろう。

    選挙のとき、これと同様の干渉を受けたそのほかのサイトも、このようなツールを発表してほしいね。

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa

    上院の超党派グループが地方レベルの選挙のセキュリティ向上で法案を提出

    上院議員たちの超党派のグループが、中間選挙を控えたこの時期に、アメリカの選挙の技術的な正しさを守るための法案を提出した。上院に提出されたこの法案はSecure Elections Act(安全な選挙法)と呼ばれ、提出者は共和党上院議員のJames Lankford, Susan Collins, およびLindsey Graham, そして民主党上院議員のAmy Klobuchar, Kamala Harris, およびMartin Heinrichだ。

    法案に付随する声明でCollins上院議員はこう述べている: “ロシア人たちが票の集計を変えられるという兆候はないが、しかしロシア人の関係者たちが州の選挙システムや公開されているWebサイトを侵そうと何度も試みたことを、われわれは知っている。われわれの超党派の法案は、各地の投票所の職員たちが、投票システムの安全を維持するために必要な情報と財源を確実に持つことによって、選挙過程の完全無欠性を強化するものである”。

    この法案に関わったすべての上院議員が、このような声明の中で、アメリカ合衆国がその選挙システムをもっと安全にし標準化するまでは、ロシアはアメリカの民主主義への実在する脅威をもたらし続ける、と主張している。この法は、(1)連邦の諸機関が選挙関連のサイバー攻撃を州や地方の政府と直ちに共有すること、(2)州の職員が機密と指定されているかもしれない情報にアクセスする場合正しいセキュリティ確認を行うこと、(3)州が選挙システムの現代化を行うときは補助金を提供すること、そして(4)投票機械などの選挙システムを保護するためのサイバーセキュリティのガイドライン集を作ることを、必須としている。

    Harris上院議員は、こう述べている: “ロシアは、彼らが2016年の選挙をに干渉したときに、われわれの民主主義のまさに中核を攻撃した。2018年の選挙が目前に迫っている今、ロシアは再び干渉に着手するだろう”。

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa

    ホームセキュリティサービスのOomaがAI機能搭載のライブストリーミングビデオカメラButterfleyeを買収

    Oomaは、今でもVoPのプラットホームとして知られている企業だと思うが、このほど、AIを利用する家庭と企業用のビデオカメラ、スマートセキュリティカメラを作っているセキュリティプラットホームButterfleyeを買収した。OomaはButterfleyeのカメラを同社のセキュリティソリューションOoma Homeに統合するつもりだが、元のブランドでカメラを売ることも続ける。

    両社は、買収の財務的詳細を明かしていない。

    OomaのCEO Eric Stangは、今日(米国時間12/20)の発表声明でこう述べている: “Butterfleyeには、すばらしいインテリジェントなセキュリティカメラシステムがあり、その能力を私たちのセキュリティサービスOoma Homeに加えられることはすごく嬉しい。私たちの戦略は、Oomaのスマート通信プラットホームをベースとして、インターネットに接続された高度な家庭向けセキュリティサービスを提供することであり、今回の買収はそのための重要な一歩である”。

    2015に創業されたButterfleyeは、そのカメラを2016年にIndiegogoのクラウドファンディングキャンペーンでプレゼンした。同社はその後400万ドル近くを調達したが、業界やメディアのレーダーにはなかなか映らなかった。その機能の中には、顔認識、個人認識、温度・音・動きのセンサー、そしてセキュリティカメラとしての24/7ライブ(リアルタイム)ストリーミングは、どんなデバイスへも送れる。

    一見するとButterfleyeは、Amazonで30ドル以下で買える安物のWi-Fiカメラにしか見えないかもしれない。でもそんなカメラと違うのは、インテリジェンス(AI機能)があり、しかも頑丈だ。ただしお値段は、ワイヤレスカメラ1台で199ドル99セント以上、3台パックで499ドル99セントだから、誰もが真剣に対応すべきデバイスだ。名前が知れ渡っているNestの高級カメラも、同じ価格帯だけどね。

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa