ご注意:モバイルデバイスの顔認識アンロックは簡単に騙せる

SamsungのGalaxy Note 8が店頭に並ぶ日が近づいているが、ここで重要な注意がある。顔認識アンロック(Face Unlock)は指紋認識によるアンロックに比べてはるかに脆弱だ。テクノロジー・ニュースに詳しい向きはGalaxy S8のリリース時にこのことを聞いただろうし、今回のNoteでもそうだろう。要するに顔認識アンロックは簡単に騙せる。

なるほど実験のビデオがバイラルで有名になった原因には多少のセンセーショナリズムや反射的に情報を拡散するユーザー層の存在もあったかもしれない。しかし世界で毎日使われるポピュラーなモバイル・デバイスをロックするには現在の顔認識よりもっと安全なテクノロジーが必要だという点に注意を喚起する役には立った。

Galaxy Note 8の実機がますます多くの人々の手にわたるにつれ、顔認識を騙してアンロックするビデオはいちだんとたくさんアップロードされるようになった。私自身も試してみたが、実のところ2台のスマートフォンを使い、自分の顔写真を利用してロックを解除するトリックに成功するには多少苦労した。しかしSamsungに取材してみると、同社自身も「Face Unlockはセキュリティーを確保する上で理想的な方法ではない」と認めた。

Samsungでは顔認識アンロックをスワイプによるアンロックのようなものだと考えている。TechCrunchに寄せられた同社のコメントによれば「顔認識はスワイプと同様、アンロックのために手軽に使える便利な機能と考えてもらいたい。われわれはきわめて高度なバイオメトリクスによる安全性の高いユーザー認証機能を用意している。Samsung PayやSecure Folderを利用するには指紋か虹彩を利用したアンロックを行う必要がある」ということだ。

Samsungの回答は率直なものと言っていいだろう。たとえばGalaxy S8の設定でセキュリティーのタブを開くと、 アステリスクを付された注意書きに「顔認識は他の生体パターン、PIN、パスワードに比べて安全性では劣る」とある。ユーザーはいろいろなメニューの中に存在する高速アンロック機能(「あなたの顔は登録されました」とうるさく出てくるメッセージがそれだ)をオフにすることができる。Samsungによれば「この機能をオフにすると画像、ビデオによる不当なアンロックを困難にすることができる」という。

しかし顔認識アンロックはデフォールトでオンの状態のようだ。繰り返しになるが、Face Unlockはスワイプによるアンロックと同種のモードで、手間なしで便利だが、強固な安全性を目指した機能ではない。

Samsungは顔認識アンロックをさらに強化するべきだろう。あるいは虹彩スキャンのような手軽で安全なアンロック方法が搭載される以上、顔認識アンロック機能は搭載するべきではなかったかもしれない(まだ発売前なので今からでもそうすることはできる)。

AppleもiSamsungのものに似た顔認識アンロック機能をiPhone 8に搭載するという情報もある。それが事実ならこの問題は来週再燃するかもしれない。多くの人々が顔認識アンロックを騙すビデオを作ってアップロードすることになるのは間違いない。Qualcommでは顔認識をAndroid機の標準機能として組み込もうとしている。どの程度のセキュリティーが実現されるのか注目だ。

セキュリティーはそれぞれのプロダクトごとに個別性が高い。たとえばシステムに3Dテクノロジーによる凹凸認識機能を加えれば、別のスマートフォンの画面に2次元の顔写真を表示することで騙すのは困難になるだろう。デバイスのメーカーは搭載されているセキュリティー関連のテクノロジーについて、その能力や効率性などのデータを正しくユーザーに伝える義務がある。またデバイスの設定にあたってはユーザーも「注意書き」までよく読み、選択肢を慎重に考える必要があるだろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

セレブを含む数百万のInstagramアカウントの個人情報をハッカーが盗んで売っている

[↑Selena Gomez]

今週初めにハッカー集団がInstagramの600万のアカウントの電話番号とメールアドレスをバグを利用して盗み、その情報を今、Web上で売っている。

ハッカーたちは主に、セレブなどいわゆる名のあるユーザーをターゲットにし、たとえばSelena Gomezは、アカウントを2日前にハックされた。彼らはInstagramのシステムのこの欠陥を利用して、Gomezの元カレJustin Bieberのヌード写真を、彼女の1億2500万のフォロワーにポストし始めた。

ハッカーたちからDaily Beastに送られてきたリストには、セレブやスポーツ選手、メディアの人気者など、およそ1000名の有名人が載っていた。

無名の人たちの情報も盗まれ、その巨大なデータ塊はビットコインで1件につき10ドルで売られているという

Instagramは、そのセキュリティバグの存在を認めたが、被害者であるユーザー数は少なめに言っている。

InstagramのCTO Mike Kriegerは曰く、“被害に遭ったアカウントを具体的に特定することはできないが、アカウント全体の小さなパーセンテージであったと信じている”。

Instagramは7億あまりのアカウントにサービスしているが、600万はそれだけ見れば決して小さな数ではない。しかもその多くは、人気者たちの電話番号やメールアドレスではないか。

しかし、ハッカーからの情報を売っているサイトDoxagramは、今ダウンしているようだ。Instagramの努力でサイトが閉鎖されたのか、それは分からないが、本誌は今問い合わせているところだ。

情報を売るサイトが使えなくても、まだハッカーたちの手元には有名人アカウントのコンタクト情報などがある。それらをほかの方法で売ることもできるだろう。すでに誰かが買って、Web上にばらまいているかもしれない。

Instagramによると、その後問題を修復し、今は警察の捜査に協力しているそうだ。それでも、そのバグはInstagramのシステムの脆弱性を暴露したのだから、個別の問題を直すだけでなく、もっと抜本的なセキュリティチェックが必要なのではないか。

Kriegerはこう書いているけどね: “コミュニティの安全は最初からInstagramの重要課題であり、われわれはInstagramをより安全な場所にするために日々コンスタントに努力している。今回の事件は、まことに申し訳ないと思っている”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GoogleのApp Engineがファイヤーウォールを提供、デベロッパーパラダイムの変化で人気を盛り返すか

Googleの最長寿命のクラウドコンピューティングプラットホームのひとつであるApp Engineにやっと、完全な機能を持つファイヤーウォール備わる

これまでデベロッパーは、このサービスの上で、自分のアプリケーションへのアクセスを簡単に制限することができなかった。たとえばテストのために一定の範囲のIPアドレスだけにアクセスを許すとか、そんなことが。そこでデベロッパーは制限をアプリケーションのコードとして書いていたが、そうするとどんなリクエストも一応はアプリケーションにやってくるわけだから、拒否するアドレスでもリクエスト処理のコストが生じる。

しかしこれからは、App EngineのAdmin APIやGoogle Cloud Console、さらにコマンドラインツールのgcloudなどを使って、特定のIPアドレスをブロック、または受け入れるアクセス制限をセットアップできる。ファイヤーウォールはアプリケーションの前へ陣取るから、拒否されたリクエストはアプリケーションにやってこないし、そんなリクエストのためにApp Engineのリソースが使われることもない。

App Engineのファイヤーウォールは、その機能や使い方に特殊なところはない。ユーザーはルールをセットアップし、それらのプライオリティ順を決めれば、それだけでOKだ。

App Engineにはすでに、DoS攻撃保護サービスがある。デベロッパーはそれを利用して、良からぬIPアドレスやサブネットを指定できるが、今日(米国時間8/24)のGoogleの発表では、保護のためには今日ベータでローンチしたファイヤーウォールの方をなるべく使ってくれ、ということだ。

App Engineは登場時には最先端のサービスだった。でもそれはデベロッパーを完全に新しいモデルに強制するから、AWSのEC2のような従来的な仮想マシンベースのサービスにはかなわなかった。しかし今では、コンテナやマイクロサービスやサーバーレスプラットホームなどの人気に伴い、App Engineモデルもそれほど珍奇とは感じられなくなり、このファイヤーウォールの例に見られるように、Googleとしても本格的な投資をこれから行っていこうとしているのだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

500ドルのパスワード盗み機がiPhoneをこじ開けられるバグはiOS 11でパッチされました

昨日(米国時間8/17)YouTubeにユーザーEverythingAppleProが投稿したビデオは、短いパスコードでロックされているiPhone 7をアンロックする500ドルの小さなボックスを紹介している。それができるのはiPhone 7とiPhone 7+、そしてiPhone 6と6Sの一部だが、それができてしまう特定の状況になるまで、あなたは無限に待たなければならないかもしれない。

ぼくもちょっと調べてみたが、Appleによると、そのボックスに仕事をさせてしまうバグ的状況は、iOS 11の最終バージョンではパッチされており、秋にはリリースされるそうだ。なお、iOS 11のbeta 4でもすでにパッチされてるそうだ。

つまりこのボックスは、iOS 11に対しては何もできない。まず下のビデオを見て、それからこの記事の説明をお読みいただきたい。

このようなボックスは、何年も前から警察や、一部のサプライヤー(部品製造企業)が使っている。こいつはまず、正しいパスコードを見つけるまでさまざまなコードを次から次とトライする。iPhoneは、何度か続けざまに試されると自動的に自分をロックしてしまうが、iOS 10では、“バグ”以外に適切な呼び名のない、ある性質のために、1分以内なら高速の連続的パスコード試行が可能だ。このボックスも、仕事ができるのは1分以内だ。また、パスコードを変えてから10分後以降など、特定の状況では、この高速試行が拒否される。また、ある1分と次の(次に試行が可能な)1分とのあいだの待ち時間がとても長いので、人間が実際にやるには無理な方法だ。

以上をまとめると、このボックスが犯行に成功する条件はこうだ:

  • iPhone 7またはiPhone 7 Plus(そしてiPhone 6/6sの一部)
  • 今から10分以内の近過去にパスコードを変えた
  • パスコードを変えてから本機をまだ10分以上は使っていない
  • パスコードは4桁である

つまり、あなたのiPhone(上記機種)に侵入したい誰かが、このボックスを持っていて、しかもあなたのデバイスになんぼでも長時間アクセスできる、と仮定しよう。後者の条件はすでに非現実的だが、政府職員なら可能かもしれない。

あなたのパスワードが6桁で(それが今のデフォルト)、パスワードを変えてからまだ1分以内ならば、最大173日でそれを見破れる。

それが6桁で最近変えてないなら、9年6か月を要す。

iOS 11では、これらの日数や年数がもっと長くなる。自分の指紋を他人に使われたくないならTouchIDを無効にできる、という話が最近あったが、本誌のライターTaylor Hatmakerがそれについて、“企業がOSの上でやることの中では、今までで最高に知能犯的”、と言った。

警察とAppleのセキュリティの追いかけっこは、テレビ番組にしたらおもしろいだろうね。

iPhone 6/6sの件はあとから追記した。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

耳を澄ませて3Dプリンターへのサイバーアタックを防ぐ

3Dプリンタがよりスマートになり、製造および製品作成工程に組み込まれ続けるならば、他のすべてのデバイスやネットワークと同様に、オンラインの悪用者に対して晒されることになる。セキュリティ研究者たちは、ハッカーたちが3Dプリンタの出力を妨害することを防ぐ方法を提案している:注意深く耳を澄ませよう。

現在、もし3Dプリンターに対してハッキングを行う誰かが、特にひどい脅威を与えていないなら、まだ許容範囲だ。しかし、実際に3Dプリンターは趣味やプロトタイピングの目的以上のものに使われ始めている。例えば人工装具はありふれた用途の1つだ。そして材料の改良に伴い自動車や航空宇宙への適用も可能になってきている。

一部のセキュリティ研究者がすでに実証しているように、この問題の深刻な点は、ハッカーがマシンを乗っ取り単にシャットダウンさせるというだけではなく、出力される対象に欠陥を忍び込ませることができるかも知れないということなのだ。そのために必要なのは、小さな空洞、内部の支柱のずれ、あるいはその種の微妙な調整だけだ。そうされることで例えば、本来75ポンドを支えるものとして考えられていた部品が、20ポンドを支えることしかできなくなる。これは多くの状況で、致命的なものになる可能性がある。

そしてもちろん、妨害されたパーツは、肉眼では普通のものと全く同じように見えるかも知れない。ではどうすべきだろうか?

ラトガース大学ならびにジョージア工科大学のチームは3つの方法を提案している。そのうちの1つは、幅広く統合することが、簡単かつ賢明な方法だ。ある意味3DプリントのためのShazam*と言えるかも知れない(他の2つも同様にクールな手法だが)。

これまで読者が動作しているプリンターの側にいたことがあるかどうかは知らないが、それは大変な騒音を発している。なぜなら、多くの3Dプリンタでは、移動するプリントヘッドやさまざまな機械部品が使用されていて、それらの部品は、通常キンキン、カチカチ、その他のノイズを発生させるものだからだ。

研究者たちは、レファレンスプリントが作成されている間にそうしたノイズを録音し、そのノイズをあるアルゴリズムに投入して分類し、後からもう一度認識できるようにした。

新しい印刷が行われる際には、サウンドが再度録音され、アルゴリズムによる検査が行われる。もしそのサウンドが全て一致するようなものであるならば、印刷物は改ざんされていない可能性が高い。オリジナルのサウンドからの大きな乖離、例えばある動作が早く終わりすぎたとか、普通の平坦な場所の途中に異常なピークが存在したといった状況はシステムによって検知され、フラグが立てられる。

これは単にコンセプトの実証に過ぎないので、改善の余地がまだ大きい、誤検知を減らし、周囲のノイズへの耐性も必要となる。

もしくは音響による検証を、チームが提案している他の尺度と組み合わせることも可能だ。もう1つの方法は、プリントヘッドにすべての動きを記録するセンサーを装備する必要がある。これらの記録が基準モーションパスと異なる場合には、大当たり!フラグを立てよう。

第3の方法は、非常に特異的な分光特性を与えるナノ粒子を、成形材料に浸み込ませるという方法だ。もし他の材料が利用されたり、出力の中に空洞が残されていたりした場合には、特性が変化し、オブジェクトには問題があるのではないかと推測することができる。

DNAに仕込まれたマルウェアベクターの話題と同様に、ここで予測されているハックや対策は今のところ理論的なものだが、それについて考え始めるのに早すぎることはない。

ラトガースのニュースリリースで研究(PDF)の共同執筆者であるSaman Aliari Zonouzは次のように述べている「3D印刷業界では、約5年以内には、さらに多くの種類の攻撃が発見され、防御法も提案されることでしょう」。

そしてDNA研究同様に、この論文はUSENIXセキュリティシンポジウムで発表された。

*訳注:文中出てくるShazamというのは、音楽を聞かせるとそれが何の曲かを教えてくれるアプリのこと。

[ 原文へ ]
(翻訳:Sako)

Amazon MacieはAWSのユーザー企業のクラウド上のデータ保護を機械学習で強化する

AmazonのクラウドコンピューティングサービスAWSが、今日(米国時間8/14)行われた今年のNY Summitの場で、Amazon Macieという新しいサービスを立ち上げた。Macieは、機械学習を利用してクラウド上の機密データをより強力に保護する。当面は、Macieを使って、AmazonのS3ストレージサービスにある個人を特定できる情報や知財を保護でき、年内にはAWSのそのほかのデータストアもサポートされる(たぶん11月のre:Inventカンファレンスで発表されるだろう)。

このサービスは完全に管理され、機械学習を使ってデータのアクセスをモニタし、異状を検出する。疑わしいアクションがあればユーザーに警告し、ユーザーがデータリークやその原因を(ヒトによる犯行以外のものも含め)見つけられるようにする。そのためにこのサービスは、S3に入ってくる新しいデータを継続的にモニタする。そして、通常のアクセスパターンを学習して理解し、またストレージバケット内のデータの正規の形を理解している機械学習を利用する。

このサービスはまた(アメリカの場合)、ヒトのフルネームや、住所、クレジットカード番号、IPアドレス、免許証番号、社会保障番号、誕生日などを自動的に検出するが、指定によりさらに、メールアドレスやSECのフォーム、データログ、データベースのバックアップ、ソースコードなども自動的に検出できる。

これらの高リスクデータはすべてダッシュボード上で高輝度表示され、またそれらにユーザーやそのほかのアプリケーションがどのようにアクセスしているかも示される。

AWSのサービスはどれも料金が複雑だが、このMacieサービスでは各月のイベントの数とデータ量が料金計算のベースになる。最初は、ユーザーのデータの特性や分類を機械学習におぼえさせるため、最初の月の料金は高くなる。

今Macieを利用できるのは、AWSのU.S. East(Northern Virginia)とU.S. West (Oregon)リージョンだけだが、今後徐々に拡張されるだろう。

このほかAmazonは今日、さまざまなデータベースやストレージサービスにロードするデータを準備するサービスGlue発表した。それはすでに、すべての顧客が利用できる。

さらに同社は今日のイベントを機に、ワークロードの一部をクラウドへ移したい企業のためのマイグレーションハブをローンチし、、またElastic File Systemのアップデートにより暗号化された状態での保存がサポートされ、それと並んでキー管理のためのAWS ConfigAWS CloudHSMもアップデートされた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Facebookのパスワードを盗むソフトウェアで釣るパスワード窃盗マルウェアが拡散中

Facebook上のマルウェアは珍しくないが、今度のやつには何か幻覚剤の症状のようなものを感じてしまう。シドニーのLMNTRIX Labsのセキュリティ研究者たちが見つけたソフトウェアはFacebook Password Stealer(Facebookのパスワード泥棒)と名乗り、ダウンロードすると悪質なコードをバックグラウンドに注入して、ユーザーの認証情報を盗難の危険にさらす。

研究チームはこう述べる: “すでに相当広く拡散しており、まだ拡散は続いている。これは実際に‘Facebook Password Stealer’というソフトウェアの悪意に満ちた広告キャンペーンなのか、あるいは後日、治療ソフト‘Facebook Password Recovery’を売るつもりかもしれない”。

“犯人たちはマーケティングの達人でもあるようで、実際にそういうサービスへの大きな需要があることを知っていて、それをスパムや広告キャンペーンや、ポップアップ、同梱ソフトウェア、ポルノサイトなどを利用して配布しているのかもしれない。ソフトウェア単体として配布することも、あるのだろう”。

LMNTRIXの研究者たちが“Instant Karma”(幻覚剤)というぴったりのあだ名をつけたこのマルウェアは、他人のFacebookアカウントを盗めるソフトを探していた被害者たちにつけ込む。ダウンロードして実行し、”hack”ボタンをクリックすると、バックグラウンドでリモートアクセスのためのトロイの木馬が動き出す。

研究者たちは参考情報としてVirusTotalのデータベースにある“spoolsvfax.exe” を挙げているが、彼らはその中に、新たに仕込まれたトロイの木馬を見つけた。

一見便利そうなサービスに見えるFacebookのマルウェアは、正体がばれて退治されるまでに、Facebookの膨大なユーザー人口の上で大規模に繁茂する。マルウェアはたとえばMessengerの上で、“お友だちになりましょう”というお誘いを仕掛けることもある。そのほかにもさまざまな、無害そうな、あるいはとても魅力的に見える、ダウンロードのお誘いがある。試しに“hack Facebook account”でググると、マルウェアに感染しているソフトウェアへのリンク、と思われる結果が大量に得られる。どれも技術者ではなく、一般ユーザーに語りかけている。

このパスワード泥棒マルウェアは、Windowsのデスクトップに限られているが、モバイルのFacebookをねらうマルウェアも、今ではありふれている。こんな犯行がまんまと成功するのなら、世界最大のソーシャルネットワークはハッカーにとって金鉱だ。

研究者たちは重ねて述べる: “今やターゲットはハッキングに関心のあるユーザーではなくて、他人のFacebookアカウントを覗きたいと思っている一般ユーザーだ。Facebookをハックする方法やアプリケーションは前からいろいろあるが、Facebookのパスワード窃盗を餌(えさ)にする悪質なキャンペーンは、まったく新しい”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

WannaCryマルウェアでヒーローになったハッカーをFBIは銀行マルウェアKronosへの関与で逮捕

数か月前にはヒーローと讃えられたマルウェアの研究者を、FBIは、銀行をねらうマルウェアKronosの配布に関わったとして逮捕した。Marcus Hutchinsまたの名@malwaretechblogは、ラスベガスで行われたハッカー大会Def Conからの帰路、空港で連邦捜査局に拘留され、その後逮捕された。

Hutchins(22歳)は、WannaCryマルウェアの機能的ドメインキルスイッチを発見して、その拡散を停止するという、重大だが彼らしくない役割を演じた。今回彼は、2014年の初めに銀行やクレジットカードの認証情報を盗んだマルウェアに関わったとして告発されている。CNNが彼の逮捕を初めて報じ、すぐにViceが彼の起訴状を公表して、DocumentCloud上にも公開した。

彼がロンドンへの帰路取り押さえられたという報道が流れると、セキュリティコミュニティの多くがサイバーフォークヒーローでもあるHutchinsを擁護しようと殺到した。彼の容疑には多くの疑問があり、銀行をターゲットとするトロイの木馬Kronosの作成と配布に果たした彼の役割も、現時点では明確でない。彼の罪状認否は、本日(米国時間8/3)太平洋時間午後3時、ラスベガスで行われる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ゲーム・オブ・スローンズ関係もリークか――HBO、サイバー攻撃で重大な被害

HBOはEntertainment Weeklyに掲載されたメールでハッキングを受けたことを確認した。ただし被害の範囲や程度は調査中という。

HBOのドラマではRoom 104と『ボーラーズ』(Ballers)がオンラインにリークし始めている。ただしHBOの看板番組、『ゲーム・オブ・スローンズ』のリークは確認されていない。ハッキングされたデータには『ゲーム・オブ・スローンズ』の未発表エピソードの台本が含まれているという情報もある。

これだけでもHBOにとっては深刻なダメージだ。同社は月曜に全社員宛にハッキングを受けたことを通知した。ハッカーはHBOの情報1.5TBを入手したことを認め、今後さらにリークを続けると主張している。

「すでに耳にしている社員も多いはずだが、HBOはサイバー攻撃の標的とされ、われわれが著作権を有する情報がハッカーの手に渡った」とHBOのCEO、Richard PlepleはEntertainment Weeklyが掲載したメールで述べている。「この種の侵入はあきらかに深刻でありわれわれすべてに不安を抱かせる事件だ。経営陣と優秀なテクノロジー・チームは外部の専門家と協力して昼夜を問わずわれわれの権利を守るするための努力を続けている。

2014年にソニーが大規模なハッキングの被害を被って以後、エンテインメント企業はサイバー攻撃に神経質になっている。しかし看板番組の製作の規模が巨大化するにつれ、関係者の範囲も広がり、人的ミスが起きる可能性も加速度的に深刻化している。新しい映画やテレビドラマが公開前にインターネットに情報がリークされる危険性はますます高くなっている。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

ガソリンスタンドで携帯電話回線を使ったカードスキマーが発見された

クレジットカード窃盗犯たちによる、想定内の行動ではあるが、SMSを介して盗まれたデータを送信する新しいクレジットカードスキマー(スキミング:カードデータを不正に読み取ること)を、警察が発見した。安価な携帯電話を流用し、悪者たちがクレジットカードの情報を、簡単に彼らの居場所へ送ることができるようにしたものだ。送信に際してはスキマーに物理的に触れる必要はないし、Bluetooth接続に頼る必要もない。

セキュリティ専門家のBrian Krebsが、匿名の情報源からスキマーの画像を受け取った。これらは北東部のガソリンスタンドで見つかったものだ。

このスキマーはガソリンスタンドのポンプの内部に接続され、ポンプ自体から電源を受け取っていた。つまり、バッテリ切れを心配する必要はなかったということだ。このモデルがどのように機能していたかは不明だが、スワイプされたときにクレジットカードデータを抜き取っている可能性が最も高い。とはいえガソリンスタンド側も対策を立てようとしているのでまだ救いはある。

「多くのガソリンスタンドでは、カスタムロックやセキュリティカメラなどの、より多くの物理的なセキュリティを含んだアップグレートをポンプに施しています。さらに、より新しいポンプは、G20諸国全てで既に利用されているより安全なチップベースの支払いカードに対応することができます」とKrebsは書いている。

彼はまた、ガソリンスタンドではデビットカードを決して使用しないことも勧めている。

[ 原文へ ]
(翻訳:Sako)

Sandsifterはプロセッサーの隠れ命令を見つける、それは未来の凶悪犯かもしれない

今のご自分の被害妄想はまだ足らない、とお思いだろうか? そんな方のためにSandsifterがある。ハッカーたちのカンファレンスDefcon 2017で発表されたばかりのこのプロジェクトは、今お使いのx86プロセッサーの隠れた命令やバグを探しだす。これを作ったBattelle InstituteのChristopher Domasはこう書いている:

“Sandsifterはすべてのメジャーなベンダーから秘密のプロセッサー命令や、アセンブラーや逆アセンブラーやエミュレータの至るところにあるソフトウェアバグ、エンタープライズハイパーバイザーの欠陥、そしてx86チップの無害なバグとセキュリティにかかわる重大なハードウェアバグを見つけた。”

このプログラムは、実際にテストする命令の数を管理可能な10万にまで減らしている。その一つ々々を実行して、異状があったら記録し、後で精査する。彼が見つけたと信じているもっとも重大なものは、某チップ上のいわゆる“停止と発火”(halt and catch fire)命令だ。この種の命令で最初に見つかったのは、Pentiumチップ上のf00fで、実行されるとコンピューターを瞬時にシャットダウンし、データはすべて失われる。その“f00f”的な命令が、20年ぶりに見つかったのだ。

ほとんどの場合、異状は何も見つからないだろうが、ドキュメントに載ってない命令が今後あなたが導入するプログラムでいたずらをするかもしれない。そう考えると、テストするのもわるくはない。プロセッサー用のchkdskだ、と考えるとよいだろう。

Sandsifterはここでダウンロードでき、あなたのコンピューターに逆アセンブラーエンジンCapstoneがインストールされていれば動かせる。システム全体をスキャンするのに数時間かかることもあるが、でもDomasは、異状に遭遇したら参考のためにログをぜひ送ってくれ、と言っている。

こんなツールを実際に作る人はめったにいないから、すばらしい偉業だ。チップの内部を探究できるだけでなく、使い方が簡単だから、誰かが秘かに仕組んだ悪戯を見つけることもできるだろう。そう思うと、とても有益なツールだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Microsoftがロシアのハッカー集団Fancy Bearとの静かなるサイバーウォーに勝利

ホワイトハウスはサイバーセキュリティでロシアと協力し合おうなんて言ってるが、それはロシアよりもさらにありえない相棒に任せた方がよいだろう。Daily Beastの記事によると、Microsoftはこれまで、Fancy Bearという名前で知られるハッカー集団と静かな戦いを繰り広げてきた。このグループは、ロシア軍部の秘密諜報機関GRUと関係がある、と信じられている。

その記事はなかなか詳しくて、Microsoftの法務の連中が2016年にどうやってFancy Bearを訴訟し、彼らがMicrosoftの商標を侵して使っていたドメイン名を救ったかを描写している。実際には、敵はFancy Bear以外のいろんな名前を使っていたらしい。Microsoftの製品名を詐称するようなドメインを使っていても、やつらはジェネリックなドメインだと主張した。そして、そんなずさんさが、訴訟を招いてしまった。

明確な組織もない、責任者もいない、掴みどころのないハッカー集団を法廷に引っ張りだすのはほぼ不可能だが、訴訟は、MicrosoftがFancy Bearのサーバーの一部をハイジャックするという結果を生んだ。昨年MicrosoftはFancy Bearのさまざまなドメインを着ているサーバー70台以上を乗っ取り、その多くが指揮とコントロールの役だったので、それによりハッカーたちが、彼らがターゲット上にインストールしたマルウェアとコミュニケーションしていることがわかった。

Microsoftは自分の手中に入ったドメインを使ってFancy Bearのサーバーネットワークの全貌をつかみ、それらのサーバーがMicrosoftのドメインと通信できることを見つけた。結果的に同社は、疑わしい外国の諜報機関の一部を、間接的に妨害、そして観察できたことになる。それは、テクノロジー企業が余暇時間にやった仕事にしては、かなり巧妙な戦術だった。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Chrome の HTTP 接続におけるセキュリティ強化に向けて

この記事は Chrome セキュリティ チーム、Emily Schechter による Google Online Scurity Blog の記事 "Next Steps Toward More Connection Security" を元に翻訳・加筆したものです。また、Google Developers Japan ブログに投稿された記事のクロスポストです。詳しくは元記事をご覧ください。

Google は 1 月に、Chrome で HTTP ページの接続セキュリティが通知される方法の改善に着手しました。Chrome では現在、パスワード フィールドまたはクレジット カード フィールドがある HTTP ページを「Not secure」とマークしています。2017 年 10 月からは、新たに 2 つの状況(ユーザーが HTTP ページにデータを入力した場合と、HTTP ページにシークレット モードでアクセスした場合)において「Not secure」の警告が表示されるようになります。

Chrome 62 での HTTP ページの扱い

HTTP サイトを安全でないと明示するという Google の計画は、段階的により幅広い基準に基づいて進められる予定です。Chrome 56 での変更以来、PC からパスワード フォームまたはクレジット カード フォームがある HTTP ページにアクセスする割合は 23% 減少しました。今後は、さらに対策を講じていきます。

秘密にする必要のあるデータは、パスワードとクレジット カードの情報だけではありません。ユーザーがウェブサイトに入力するあらゆる種類のデータに対して、ネットワーク上のその他のユーザーがアクセスできないようにする必要があります。そのため、Chrome バージョン 62 以降では、ユーザーが HTTP サイトにデータを入力すると、「Not secure」警告が表示されます。

Chrome 62 でユーザーがデータを入力したときの HTTP ページの扱い

ユーザーが Chrome のシークレット モードで HTTP ページを閲覧する場合、プライバシーが確保されていると考えられるかも知れませんが、HTTP ページの閲覧は、ネットワーク上の他のユーザーに対して非公開になっているわけではありません。そのため、Chrome バージョン 62 では、シークレット モードで HTTP ページにアクセスする場合も警告が表示されます。

最終的には、シークレット モードではないときも、すべての HTTP ページに対して「Not secure」警告を表示する予定です。今後のリリースが近づいた際にアップデートを公開しますが、HTTPS への移行はできる限り早く進めてください。HTTPS は今までになく簡単かつ安価に導入できるようになっており、HTTP では実現できない最高のパフォーマンスや強力な新機能を提供します。導入にあたっては、Google のセットアップ ガイドをご確認ください。

Posted by Eiji Kitamura - Developer Relations Team

アメリカ、ノートPC持ち込み禁止令を完全解除――イギリスは禁令維持

アメリカ政府は、各所で物議を醸したノートパソコンの持ち込み禁止令を、全ての空港・航空会社について完全に解除した。中東の一部の航空会社と空港が対象となっていたこの規制だが、国土安全保障省によれば、「十分なセキュリティ対策がとられた」ため解除を決めたとのこと。

今月に入ってから既に主要航空会社3社は対象から外されていたが、昨日(現地時間7月19日)深夜に残り全ての航空会社と空港に関しても禁令を解除すると当局がTwitter上で発表した。

十分なセキュリティ対策がとられたことを受けて、3月に施行された大型の携帯電子機器(PED)の持ち込み禁止令を、10空港・9航空会社について解除する。

今年3月の発令後は、すぐにドバイやアブダビ、ドーハといった中東10か所の主要ハブ空港と航空会社9社を対象に、アメリカ行きのフライトでノートパソコンやタブレット、電子リーダーといった大型の電子機器が機内に持ち込めなくなっていた。

そもそもの狙いは国家の安全保障で、禁令はテロ組織が電子機器に爆発物を隠して機内に持ち込もうとしているという情報に端を発したものだと言われていた。

しかし、施行のタイミングや対象となった航空会社・空港に関しては疑問が残り、アメリカの航空会社が対象に含まれていなかったことから、自国の経済を守る狙いがあったのではと考える人もいた。禁令によって利用客にはかなりの不都合が生じ、特にビジネス客への影響は大きかった(その結果、対象となった中東の航空会社にも悪影響が及んだと考えるのが普通だろう)。

しかもトランプ大統領は、大きな議論を呼んだイスラム圏の主要7か国からアメリカへの渡航禁止に加え、同地域の企業を対象にした大統領令にも署名していたことから、ノートパソコンの持ち込み禁止にはアンチムスリム思想が関係しているのではないかとも疑われていた。

その一方で、今年の3月以降、イギリスもアメリカに続いて中東や北アフリカの一部の国からの直行便を対象に、(対象となる航空会社はアメリカとは若干違うものの)ノートパソコンの機内持ち込みを禁じている。

本件に関してイギリスの運輸省に確認をとったところ、同国では禁令に変更はないとのことだった。

「誤解のないように言うと、イギリス政府が3月に施行した規制は今でも有効だ」と運輸省の広報担当者は語る。

外交筋からの情報として、イギリスの禁令もトルコ発の便に関しては近いうちに解除されるとトルコ現地の報道機関は報じているが、同担当者は「噂や憶測」にはコメントしないと語った。

原文へ

(翻訳:Atsushi Yukutake

G Suiteのユーザーが未承認デベロッパーのアプリケーションを使おうとしたら警告画面が出る

Googleはこのところ、G Suiteのセキュリティ対策に熱心で、とくに最近の数か月は 、フィッシング対策ツールOAuthのアプリケーションホワイトリスト機能アプリケーションレビュープロセスの強化など、立て続けに新しいセキュリティ機能を導入してきた。今日(米国時間7/18)はそれらにさらに上乗せして、新しいWebアプリケーションやApps Scriptに対して、警告のための“未承認警告画面”(下図)が出るようになった。

この画面は、OAuthのGoogleによる実装を使ってユーザーデータにアクセスしているアプリケーションが、Googleの承認プロセスを経ていないデベロッパーの作であったときに出る。それによりユーザーは、これから使おうとしているアプリケーションが未承認であり、それでも使うなら自己リスクで使うことになるぞ、と自覚を促される。“続ける”ボタンや“OK”ボタンのような便利なものはなくて、そのまま続行するためにはキーボードからわざわざ”continue”と入力しなければならない。迂闊で不注意なユーザーを減らすための、工夫だ。

一応考え方としては、画面にアプリケーションとデベロッパーの名前が出るのだから、それだけでもフィッシングの危険性を減らせる、と言えるだろう。

Googleによれば、ユーザーはこの、突然お邪魔する画面を無視できるのだから、デベロッパーは承認プロセスを経ずに、もっと簡単にアプリケーションのテストができる。

Googleは今日の発表声明でこう言っている: “ユーザーとデベロッパーの健全なエコシステムを作りたい。これらの新しい警報によって、リスクの可能性をユーザーに自動的に伝え、ユーザーは自分が状況を知ってる状態で、自主的な判断ができる。またデベロッパーは、これまでより容易にアプリケーションのテストができる”。

同様の保護が、Apps Scriptにもかかる。デベロッパーはApps Scriptを書いてGoogle Sheets, Docs, Formsなどの機能を拡張できるが、ユーザーにはやはり、上図のような警告画面が提供される。

今のところ、警告画面が出るのは新しいアプリケーションのみだ。しかし数か月後には、既存のアプリケーションにも出るようになる。既存のアプリケーションのためにも、デベロッパーは承認プロセスを経た方がよいだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

アメリカの国境警備局はクラウドに保存されているデータを出入国時捜索の対象にできない

デートのお相手の情報をクラウドに保存することは、それを安全に隠すためのいちばん良い方法とは必ずしも言えないけど、でも情報のローカルな保存(自機上の保存)を避けることは、自分の個人情報を明かしたくない人がアメリカの国境を越えるときに役に立つ。

NBCテレビの報道によると、オレゴン州選出上院議員Ron Wydenに宛てた書簡で税関・国境警備局(U.S. Customs and Border Protection, CBP)は、国境における、裁判所の令状がなくてもできる捜索は、ローカルに保存されているデータのみに限定されると思われる、と述べている。CBPのその書簡は、Wydenなどの議員が2017年2月20日に提出した、国境における電子機器の捜索に関するポリシーの詳細を求める、質問状への回答だ。

CBPの長官代理Kevin McAleenanはこう書いている:

“CBPの権限で行う国境捜索は、合衆国に入る、または合衆国から出るすべての品目を対象とし、国際的旅行者によって運ばれる電子機器上に物理的に存在する情報も含まれる。したがってCBPが行う国境捜索は、遠隔のサーバーの上にのみ存在する情報を対象としない。その明確化を提供する機会を感謝する。

その書簡によると、この区別は“それらのサーバーが海外にあっても国内にあっても”適用される。大きな違いではないようにも思えるが、プライバシーを重視する者にとっては嬉しい詳細情報であり、また、そのポリシーと行いを明白にするよりも、批判をはぐらかすことの多いお役所にしては、珍しい情報開示だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GoogleのContainer Engineがセキュリティ重視でアップデート、サービスメッシュへの拡張性も

Google Container Engineの最新のアップデートが今日(米国時間7/12)発表された。それはKubernetesを使用するコンテナアプリケーションをGoogleのクラウド上で運用するサービスだ。Google Container EngineをGoogleは、GCEとは呼ばずにKubernetesのKを取ってGKEと呼んでいるが、今回のアップデートも前と同様、Kubernetesプロジェクトからの最新アップデートが中心となる。

今やバージョン1.7となるKubernetesプロジェクトは、プライベートとパブリック両クラウドでコンテナ化ソフトウェアをオーケストレーションするためのデファクトスタンダードになりつつある。ここで一応Microsoftの顔も立てておくべきなら、同社の(顧客の)ワークロードをプライベートクラウドやハイブリッドクラウドで動かすならAzure Stack、そしてGoogleのやり方でハイブリッドクラウドをデプロイするならGoogle生まれのKubernetes、という棲み分けになるだろう。

今回のアップデートは、セキュリティを強調している。GKEを採用する企業が増えるにつれて、彼らのニーズも当然変わってきた。とりわけエンタープライズ(≒大企業)は、セキュリティ要件が厳しい。GKEのチームは、そのサービスが市場でもっとも安全なKubernetes実装だ、と主張するが、その理由として挙げるのは、コンテナのデプロイを構成するさまざまなノードの上で動くオペレーティングシステムをコントロールできるからだ。それはChromium OS(Chrome OSのベース)をベースとするオペレーティングシステムであり、しかもクラウドで動くバージョンは非常にミニマルな(==最小構成の)システムであり、攻撃の取っ掛かりとなる対外インタフェイスがほとんどない。しかもパッチ等はつねに、Google自身が先取り的に講じている。

今回のアップデートでは、Kubernetes自身の新しいセキュリティ機能(ポッド間の通信を制約できる新しいAPIなど)と、Googleのデータセンターの新しい機能の両方が、セキュリティに貢献する。たとえばデータがGoogle CloudのLoad Balancingサービスを通るとき再暗号化することによって、外の旅路だけでなくGoogleのネットワークに入ってからも暗号化状態を維持する。

またGoogleのチームによれば、エンタープライズはセキュリティと並んで拡張性も求めている。とくに、Kubernetesの能力をサードパーティのアプリケーション、たとえばIstioのようなサービスメッシュにも延伸できることだ。Kubernetes 1.7にはAPI集積機能があるから、ユーザーにそんな機能を提供することも可能だ。

もうひとつ光を浴びるべき新機能は、GPUベースのマシンのサポートだ。今はNvidiaのK80 GPUだが、今後はもっと強力なマシンもサポートされる。そのGPUマシンは現状でまだアルファだが、とくに機械学習のワークロードを動かしたいユーザーを顧客としてねらっている。

例によってアップデートはもっともっとたくさんあるが、その完全なリストはGoogleのブログ記事を見ていただきたい。とにかく今日のお話の最大の要点は、KubernetesのコミュニティとGoogleの両方がセキュリティを非常に重視していることだ。GKEをエンタープライズ向けに今以上に普及させたいなら、この姿勢を続けざるをえない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

【体験談】運転中の車がハックされるとどうなるか…電子化の進歩で危険増大

運転中にブレーキとアクセルの両方が効かなくなり、ダッシュボードもおかしくなったことあるかな? 最近そんな経験をしたんだけど、楽しくはないね。車もハッカーのターゲットになる時代だけど、一体どうしたらいいんだろう?

今の車の問題は、その中にいろんなサービスがあることだ。サトナブ(衛星利用ナビ)用のリアルタイム交通情報とか、ネットに接続するサービスも多い。ネットに接続すると、当然、ハッカーの標的になる。とのんびりしたことは言ってられない。ネット接続の次はEV、そして自動運転機能あり、となると、対策は急を要する。

しかも車のシステムは侵入口が複数ある。携帯のセル・ネットワーク、Bluetooth、それにOBD-II、などなど。すべての攻撃をそこでキャッチできる単一の入り口はない。

そこに登場するのがイスラエルのArgus Cyber Securityだが、彼らも単一のソリューションはない、と分かっている。同社が本誌のためにデモしたとき、ぼくの車は運転中に彼らから攻撃されたのだ。

Argusが自動車メーカーなどの顧客に提供するソリューションは一種の管理用ダッシュボードだが、その内容は同社のクラウドから送られる。この方式で同社は、同社からアクセスできる車に対する、攻撃を追跡できる。

ではどうやって、彼らは車をハックしたのか?

その詳細はセキュリティを理由に明かされなかったが、上図のようなPCを使うことは確かだ。

彼らがそのPCを操作すると、ぼくの速度計は異常な値を示し、ブレーキは効かず、計器盤は発狂した。ワイパーがランダムに動いて窓を拭き、アクセルも死んだ。ドアは、ロック/アンロックを繰り返した。方向指示灯は逆方向が点灯した!

以上はすべて、テルアビブの郊外の私有地の駐車場の中で、時速15マイル(24キロメートル)で走りながら行われた。しかし言うまでもなく、公道上でふつうの速度で走ってるとき、こんなことが起きたら、ものすごく危険だ。だから上で述べたように、緊急の対策が必要なのだ。

3.5歳のArgusはAllianz Germany, Softbank, それにイスラエルの指導的VCたちから、計3000万ドルを調達している。主な自動車メーカーやOEMとも、パートナーしている。

ファウンダーと社員の多くは、イスラエル軍のレジェンドと言われる8200部隊出身で、その任務はイスラエルのNSAといったところ。ハッキングの名人がいても、おかしくないね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

アメリカの核施設のハックは今のところかなり表層的、と国土安全保障省と連邦捜査局が報告

The New York Timesが、アメリカの核施設に対してしつこく行われているサイバーセキュリティの問題に光を当てている。その記事によると、いくつかの製造施設とエネルギー施設が5月に始まった攻撃で侵入されている。

Timesが入手したDHS(国土安全保障省)とFBIの連名報告書には、具体的なターゲットとしてカンザス州のWolf Creek Nuclear Operating Corporationの名前が挙げられているが、そのほかの施設もターゲットだったことが示唆されている。FBIとDHSの共同声明は赤信号ではなく“黄信号”とされ、“有効な対策が必要な情報であるが、関連組織の外部に共有されたとしてもプライバシーや信望やオペレーションにリスクをもたらすものではない”、としている。

本誌の取材に対してDHSは両省を代表する形で、ハッカーは各施設の“管理と事務レベルのネットワーク”より先へは侵入していない、と明かし、システムエラーやそのほかの破壊行為につながるような深部のコントロールシステムは無傷だった、と暗示している。

“国土安全保障省と連邦捜査局は、エネルギー部門の諸機関に影響を及ぼしているサイバー攻撃の可能性を熟知している。しかし公共の安全が危険にさらされている兆候はなく、影響があったとしてもそれらは、管理および事務レベルのネットワークに限定されていると思われる”、とDHSのスポークスパーソンが本誌に語った。

“公的機関と民間部門のパートナーシップを一層推進するために、FBIとDHSは定常的に、民間の業界に対してさまざまなサイバー攻撃の兆候をアドバイスし、持続的なサイバー犯罪に対してシステムアドミニストレーターたちが防備できるよう、支援している”。

犯人についてはまだ何も分かっていないようだが、そのハッカーたちは職員個人をターゲットにして多様な手口を行使しているようだ。あるスピアフィッシングのテクニックは、上級のエンジニアにMicrosoft Wordで書いた履歴書にマルウェアを忍ばせたものを送り、それを開かせようとする。また、man-in-the-middle中間者攻撃)やwatering hole水飲み場型攻撃)を使って、被害者に気づかれることなく認証情報を盗む手口もある。

両省の報告書は、最近では産業施設やインフラ施設が餌食になることが多い、と言っている。先週はKaspersky Labsが、6月のランサムウェア容疑行為が、石油、ガス、そして製造業をターゲットにして、広範な感染の広がりを狙ったことを明らかにした。その同じマルウェアはチェルノブイリの放射能自動監視システムを無能化し、手動への切り替えを余儀なくした。

アメリカの核施設とエネルギー施設は、彼らのシステムへのサイバー攻撃に対する備えを日に日に強化しているが、アメリカでも世界でも、重要なインフラストラクチャシステムの防御の限界を試すハックが、今後は増加すると思われる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

社員がG Suiteと併用してもよいサードパーティアプリケーションをアドミンが管理できるようになる

GoogleがITアドミンのために今日(米国時間7/6)ローンチする新しい機能により、社員たちはG Suiteの生産性ツールと、そのほかのサードパーティアプリケーションを容易に併用できるようになる。

似たようなサービスとしてGoogleは、OAuthのプロトコルを使って、サードパーティのアプリケーション(メール、カレンダーなど)にユーザーの会社のデータへのアクセスを許している。Googleは、自身のサービスからのデータの遺漏を防ぐためにツールをたくさん提供しているが、サードパーティのサービスにはその保証がなく、ITアドミンたちを不安にさせていた。今回ローンチしたホワイトリスティング機能*によりアドミンは、会社のデータにアクセスしてもよいサードパーティアプリケーションを限定できるようになる。〔*: ホワイトリスト、ブラックリストの逆で、良いもの、OKなもののリスト。〕

これを一度セットアップすると、ユーザーは簡単にOAuthによる認証ができるようになり、前と同じようにG Suiteのデータへのアクセスを認可できる。そしてITの人たちは、認可したアプリケーションだけがデータにアクセスできる、と知っているので、枕を高くして寝ることができる。このツールを使ってアドミンは、Gmail, Drive, Calendar, ContactsなどのAPIへのアクセスも管理できる。

この新しい機能はG Suiteの既存のセキュリティツールを補完するもので、たとえば Data Loss Prevention(DLP)ツールはGoogle DriveやGmailのデータを保護し、社員の送信メールや共有ファイルに社会保障番号や運転免許証番号などがないことを確認する。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))