数百のホテルで提供されるゲスト用Wi-Fiシステムにセキュリティ上の欠陥発見

あるセキュリティ研究者によると、世界の何百ものホテルがゲストにWi-Fiネットワークを提供し、管理するために利用しているインターネットゲートウェイには脆弱性があり、ゲストの個人情報を危険にさらしている。

Etizaz Mohsin(エティザズ・モーシン)氏が語ったところによると、Airangel製のHSMX Gatewayにはプレーンテキストなどハードコードのパスワードがあり、それらは極めて簡単に推測できるものだ。そのパスワードをここでご紹介することはできないが、攻撃者はそれらを使ってゲートウェイの設定と、Wi-Fiを使っているゲストの記録があるデータベースにリモートでアクセスしている。それによりゲストの記録を盗んだり、ゲートウェイのネットワーキングの設定を変えて知らぬ間にゲストを悪質なウェブページへリダイレクトしたりするという。

2018年、モーシン氏は彼が泊まっていたホテルのネットワークが使っているゲートウェイの一部でそれを発見した。そのゲートウェイは、インターネットを介してファイルを別のサーバーと同期するために使われており、モーシン氏によると世界中の有名高級ホテルの一部が数百ものゲートウェイのバックアップファイルをそこに置いていた。またそのサーバーには「数百万」のゲストの名前やメールアドレス、到着と出発の日付が保存されていた。

モーシン氏はそのバグを報告し、サーバーは保護されたが、そこからある考えが浮かぶ「このたまたま1つのゲートウェイに、何百もの他のホテルを危険にさらす、その他の脆弱性はなかったのか?」

そしてそのセキュリティ研究者は、顧客情報の窃盗行為などゲートウェイの侵犯に使われる可能性がある他の5つの脆弱性を見つけた。彼が見せてくれたスクリーンショットでは、あるホテルの脆弱なゲートウェイの管理インターフェースが、ゲストの名前やルームナンバーやメールアドレスを暴露していた。

モーシン氏は新たに発見した欠陥のキャッシュをAirangelに報告したが、それから数カ月が過ぎても英国のネットワーキング機器メーカーはバグを修正していない。同社代表者は、その機種は2018年以降販売しておらず、すでにサポートしていない、とモーシン氏に告げた。

しかしモーシン氏によると、その機器は世界中のホテルやモール、コンベンションセンターなどで今でも広く使われている。インターネットをスキャンしてみると600以上のゲートウェイがインターネットだけからアクセスできる状態だが、本当の脆弱なデバイスの数はもっと多いだろう。被害を受けたホテルの多くが英国、ドイツ、ロシア、そして中東全域にある。

「この脆弱性の連鎖が攻撃者に提供するアクセスのレベルを見るかぎり、彼らにできることの限界はないようです」とモーシン氏はいう。

モーシン氏は彼の発見を、2021年11月にサウジアラビアで行われた@Hackカンファレンスで提示した。Airangelにコメントを求めているが応じていない。

画像クレジット:Jeff Greenberg/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

アドエクスチェンジのOpenX、子どもの位置情報収集で連邦取引委員会が罰金

広告テクノロジー企業のOpenX(オープンX)は、同社が米国の児童プライバシー法に違反したという疑惑を解決をするため、連邦取引委員会に200万ドル(約2億3000万円)を支払うことになった。

連邦取引委員会は、カリフォルニア州中央地区連邦地方裁判所に提出した訴状において、OpenXが親の同意を得ずに13歳未満の子どもから個人情報を収集したことにより、児童オンライン・プライバシー保護法(COPPA)に違反したと主張している。

カリフォルニア州に本社を置くこの企業は、子どもや幼児、就学前児童の学習用に販売されている数百ものアプリから故意に情報を収集し、このデータ(詳細な位置情報、IPアドレス、デバイスの固有識別子など)を、ターゲット広告に使用する第三者に渡したとしても告発されている。

「OpenXは、子ども向けアプリから直接または間接的に数百万から数億のアドリクエストを受信し、子どもの個人情報を含む数百万から数億のビッドリクエストを送信した」と、訴状には書かれている。

連邦取引委員会の訴状では、OpenXはCOPPAに違反したことに加え、データ収集をオプトアウトしたユーザーから詳細な位置情報を収集していないと偽り、連邦取引委員会法に違反したと主張している。連邦取引委員会によると、OpenXは、一部のAndroidユーザーが位置情報の収集を「許可しない」を選択した後も、位置情報の収集を続けていたとのことだ。

「OpenXは、位置情報を密かに収集し、子どもを含む大規模なプライバシー侵害の扉を開きました」と、連邦取引委員会の消費者保護局で局長を務めるSamuel Levine(サミュエル・レビン)氏は述べている。「デジタル広告のゲートキーパーは、舞台裏で活動していても、法を免れることはできません」。

連邦取引委員会の理事を務めるNoah Joshua Phillips(ノア・ジョシュア・フィリップス)氏は、別の声明の中で、この命令は当初、OpenXに対して750万ドル(約8億5000万円)の罰金を求めていたが、同社の支払い能力が不十分であったため、罰金を200万ドルに減額したと述べている。また、この和解案では、同社がターゲット広告を配信するために収集したアドリクエストのデータをすべて削除し、COPPAを完全に遵守するための包括的なプライバシープログラムを実施することが求められている。

OpenXはTechCrunchのコメント要請にすぐには応じなかったものの、和解案に言及したブログ記事の中で、データ収集は「意図しないミス」であるとし、内部検査の結果「99%以上のドメインとアプリは適切に分類されていた」と述べている。

「当社は、COPPAを完全に遵守するために、ポリシーや手順の見直しと強化に取り組んでいます。また、質的および量的属性の厳格な基準に引き続き従い、サイトやアプリが当社のエクスチェンジに含まれるのに適しているかどうかを判断していきます」と同社は述べている。

画像クレジット:Bryce Durbin

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

新たな雇われスパイウェア「Predator」の政治家やジャーナリスト所有端末へのハッキングが発覚

スパイウェア集団のNSO Groupがジャーナリストや活動家、人権擁護団体などの写真をハッキングしているとして激しく非難を受けている一方で、スパイウェアメーカーや雇われ監視グループ一般は相変わらず活動を続けており、ほとんどが気づかれていない。

こうした民間監視グループらは、これまで見たことのない侵入方法を開発し流通させて、被害者の携帯電話から通話記録、テキストメッセージ、メール、位置データなどのコンテンツを密かに盗み出している。多くの場合、雇い主は口うるさい批判者を標的にする権威を振りかざす政府だ。

関連記事:アップルがiPhoneの脆弱性を悪用するスパイウェア「Pegasus」のNSO Groupを提訴

このほどCitizen Lab(シチズン・ラボ)とFacebook(フェイスブック)の新しい親会社Meta(メタ)の研究者らによる捜査の結果、7つの雇われ監視集団がソーシャルメディア巨人のプラットフォームでユーザーをターゲットすることを禁止された。

Metaは米国時間12月16日、7グループに関連づけられた1500件以上のFacebookおよびInstagram(インスタグラム)のアカウントを削除したことを発表し、それらのアカウントが、偵察、ソーシャルエンジニアリング、および100か国以上数千人におよぶ被害者に対する悪意あるリンクの送信などに使用されていたことを明らかにした。

最近の監視業界に対する注目は、主としてNSO Groupなどの企業に向けられているが、Citizen LabとMetaは、もし規制が強化されなければ、雇われ監視業界は今後ますます拡大していくだろうと警告している。「NSOは巨大な世界的サイバー傭兵エコシステムのたった1つのピースにすぎないという認識が重要です」とTechCrunchが発表前に見たMetaの調査レポートは言っていた。

追放された会社の1つ、Cytrox(サイトロクス)は北マケドニア拠点のスパイウェアメーカーだ。Metaは、この会社が正規のニュースサイトを模倣したウェブドメインの膨大なインフラストラクチャーを使用して、被害者のiPhoneとAndroid端末をターゲットしていたことを発見したと話した。Metaは、Cytroxに法的通知を送り、当該インフラストラクチャーに関連するドメイン数百か所をブロックしたと語った。

MetaがCitizen Labの調査結果に基づいて行動した。そのCitizen Labも12月16日、亡命中のエジプト人2名が所有する携帯電話に対するハッキングの調査レポートを公開した。亡命者の1人は元政治家で、もう1人は人気ニュースショーのホストで匿名を希望している。Citizen Labによると、そのスパイウェアは2021年7月に被害者らの端末に侵入した「Predator」と呼ばれるものでCytroxが開発した。

Citizen Labが最初にスパイウェアを発見したのは、エジプトの政治家Ayman Nour(アイマン・ヌール)氏のiPhoneだった。同氏は、2013年の軍事クーデター以来エジプトを支配しているAbdel Fattah el-Sisi(アブドルファッターフ・アッ=シーシー)大統領の痛烈な批判者だ。トルコに亡命中のヌール氏は、自分の携帯電話が「熱を持つ」ようになったことで疑いを持った。Citizen Labは、ヌール氏の端末がPegasusという今や悪名高いNSO Group製スパイウェアに感染していることを突き止めだ。そこから、同氏の端末が新たに発見されたスパイウェア、Predatorにも侵入されていたことの発見につながった。

ヌール氏のiPhoneも、ニュースショウ・ホストが所有していたiPhoneもiOS 14.6が動作していた。これはハッキング当時最新バージョンのiOSであることから、スパイウェアがiPhoneソフトウェアの利用されたことのない脆弱性を利用して端末に侵入したことが示唆される。Apple(アップル)の広報担当者、Scott Radcliffe(スコット・ラドクリフ)氏は、同社がその脆弱性を修正したかどうかについて言及を拒んだ。

関連記事
【コラム】今現在も「ストーカーウェア」の大流出で数千人の携帯電話データが危険に晒されている
アップルがiPhoneの脆弱性を悪用するスパイウェア「Pegasus」のNSO Groupを提訴
自分のスマホがNSOのPegasusスパイウェアにやられたか知りたい人はこのツールを使おう

PredatorはNSOのPegasusと類似した機能を備えている。Citizen Labは、ヌール氏がWhatsApp経由で有害なリンクを送られたと語った。リンクを開くと、スパイウェアは端末のカメラとマイクロホンへのアクセスが可能になり、端末のデータを密かに持ち出せるようになる。Predatorは、Pegasusとは異なり、ユーザーの介入なしに密かに端末に侵入することはできないが、粘り強さで補っている。Citizen Labによると、PredatorはiPhoneをリブートしても生き残るという。通常はリブートすることでメモリ内に潜むスパイウェアは一掃されるが、iOSに組み込まれたショートカット機能を利用した自動操作を利用することで存続する。

研究者らは「珍しいことに」ヌール氏の端末はPegasuとPredatorに同時に侵入されていたが、2つの感染は無関係である可能性が高いと言った。

「Predatorのコードのずさんなつくりから見て、私たちが対していたのが二軍チームであることは明らかです」とCitizen Labの研究員で、マルウェアのPredatorを発見、分析したBill Marczak(ビル・マークザク)氏は言った。「それでもなお、Predatorは最新の完全に更新されてた端末への侵入に成功しています。私たちはエジプトやサウジアラビアなどの抑圧的政府がPredatorの利用者であることを知っても驚きません」。

Citizen Labによると、Predatorはエジプト、サウジアラビアに加えて、アルメニア、ギリシャ、セルビア、インドネシア、マダガスカル、およびオマーンの政府顧客が利用している可能性が高く、モバイル・スパイウェアを使って批判者を標的としていることで知られている国々だ。一方Metaは、捜査の結果ベトナム、フィリピン、およびドイツでPredator顧客を発見したと語った。

CytroxのCEO Ivo Malinkovski(イヴォ・マリンコフスキー)氏からはコメントを得られていない。本稿公開前に送ったメールは不達で戻ってきた。

Metaは、雇われ監視ビジネスに関与していた他のイスラエル企業4社も削除したと語った。Cobwebs、Cognyte、Black Cube、およびBluehawkだ。さらに、インドのハッキング集団、BellTroxも、政治家や政府関係者のメールアカウント数千件をハッキングしたとして追放し、中国の警察が使用したと考えられている中国拠点スパイウェア・メーカーも禁止した。

現在NSOは、複数の訴訟ビジネス取引の制限に直面しており、その大半は市民社会の一員に対する不正や監視行為(NSOは繰り返し否定している)が理由だ。しかし、それでも拡大する監視産業全体は増殖を続けるだろう、とソーシャルメディアの巨人は警告した。

「今後も私たちは、当社のアプリを悪用する何者に対しても捜査し措置を講じていきます」とMetaの報告書に書かれている。「しかし、これらの雇われサイバー集団はさまざまなプラットフォームや国境を越えて活動しています。彼らの能力は国民国家、民間企業どちらにも利用されており、事実上金さえ払えば誰にでも簡単に使うことができます。彼らの標的にとって、インターネットを通じて監視されていることを知るのはほぼ不可能です」。

関連記事:米国がスパイウェア「Pegasus」問題でセキュリティ企業NSOグループとの取引を禁止

本稿の執筆者には、SignalまたはWhatsAppを使って+1 646-755-8849 で安全に連絡できる。TechCrunchのSecureDropを使ってファイルを文書を送ることもできる。詳細はこちら

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nob Takahashi / facebook

忘れ物トラッカーTile内蔵クレジットカード「三井住友カードTile」登場、Bluetoothでスマホと接続しアプリで紛失位置確認

忘れ物トラッカーTile内蔵クレジットカード「三井住友カードTile」登場、Bluetoothでスマホと接続しアプリで紛失位置確認

忘れ物トラッカー「Tile」機能を搭載したVisaカード「三井住友カードTile」が登場しました。

「三井住友カード Tile」は、Bluetoothでスマートフォンと繋がるクレジットカードです。Tile機能を搭載しており、スマートフォンとカードの接続が切れた位置(=紛失位置)をTileアプリで確認可能。また、同カードを財布に入れておけば、財布を落とした時もTile機能を使って財布ごと見つけられます。忘れ物トラッカーTile内蔵クレジットカード「三井住友カードTile」登場、Bluetoothでスマホと接続しアプリで紛失位置確認

物理スイッチとスピーカーも内蔵。Tileアプリの操作でカードから音を鳴らしたり、逆にカードのスイッチを押せばスマートフォンの音を鳴らせます。部屋やバッグの中でカードやスマートフォンが見つからない場合でも、このスイッチを押せば音で見つけやすくなります。忘れ物トラッカーTile内蔵クレジットカード「三井住友カードTile」登場、Bluetoothでスマホと接続しアプリで紛失位置確認

Tileはスマートスピーカーにも対応しており、スマートスピーカーに呼びかけてカードの音を鳴らすといった使い方も可能です。

一般的なクレジットカードの薄さ(0.76mm)で上記機能を実現するため、超薄型バッテリーを内蔵。1000回以上の屈曲テストもクリアしています。忘れ物トラッカーTile内蔵クレジットカード「三井住友カードTile」登場、Bluetoothでスマホと接続しアプリで紛失位置確認

新開発のEMVチップは充電端子も兼ねており、付属の専用充電器でフルに充電した場合、最長半年間利用できます。万が一充電が切れた状況でも、クレジットカード機能の利用に影響はありません。

忘れ物トラッカーTile内蔵クレジットカード「三井住友カードTile」登場、Bluetoothでスマホと接続しアプリで紛失位置確認「三井住友カード Tile」は、12月16日より初回1500枚の先行予約を開始し、1月中旬以降に順次発行予定。1500件を超えた予約がある場合は抽選となります。

(Source:ソフトバンクC&SEngadget日本版より転載)

Metaがバグ報奨金プログラムを拡大、スクレイピングされたデータの発見も対象に

Meta(メタ)は、バグ報奨金プログラムを拡大し、データのスクレイピングを報告した研究者にも報奨金を与えると発表した。この変更により、スクレイピング行為を可能にするバグや、すでにオンラインで公開されている過去にスクレイピングされたデータを報告することも、報奨金の対象となる。

Metaはブログ記事で、スクレイピング行為に特化したバグ報奨金プログラムが起ち上げられたのは、同社が知る限り、これが初めてだと書いている。「当社では、攻撃者がスクレイピングの制限を回避して、我々が当初意図した以上の規模でデータにアクセスすることを可能にする脆弱性の発見を期待しています」と、セキュリティ・エンジニアリング・マネージャーのDan Gurfinkle(ダン・ガーフィンクル)氏は、説明会で報道陣に語った。

データスクレイピングは、Metaが追っている他の「悪意ある」攻撃とは異なり、自動化されたツールを使用して、ユーザーのプロフィールからメールアドレス、電話番号、プロフィール写真などの詳細な個人情報を大量に収集するというものだ。ユーザーがFacebookの公開プロフィール上でこれらの情報を自ら進んで公開していることもあるが、スクレイパーは、これらの個人情報を検索可能なデータベースに掲載するなど、より広範に公開する場合がある。

また、Metaがこのような行為に対抗するのは困難な場合もある。例えば、2021年4月には、5億人以上のFacebookユーザーの個人情報が、フォーラムで公開されたことがあった。このケースでは、実際のデータスクレイピングは数年前に発生したものであり、同社はすでに根本的な欠陥に対処済みだった。しかし、一度データがネット上に流出し始めてしまうと、同社にできることはほとんどなかった。また別のケースでは、データスクレイピングを理由に、同社が個人に対し訴訟を起こしたこともある。

関連記事
近頃起こったデータ漏洩についてFacebookからの回答が待たれる
・​Facebookがトルコ国籍のInstagramクローンサイト運営者を提訴

新しいバグ報奨金プログラムの下では、研究者は「PII(個人識別情報)または機密データ(例えば、メールアドレス、電話番号、住所、宗教や政治的所属)を含む、少なくとも10万件の固有のFacebookユーザーレコードが収蔵された、保護されていないまたは公開されているデータベース」を見つけると報奨金が支払われる。ただし、Metaによると、報奨金は研究者に直接支払われるのではなく、研究者が選んだ慈善団体に寄付されるという。これは(報奨金を目当てに)スクレイピングされたデータを公開しようとする行為を奨励しないようにするためだ。

データスクレイピングにつながるバグの報告については、研究者は寄付か直接支払いのどちらかを選択できる。Metaによると、バグまたはデータセットの発見には、どちらも最低500ドル(約5万7000円)以上の報奨金を支払うとのこと。

編集部注:本記事の初出はEngadget。執筆者Karissa BellはEngadgetのシニアエディター。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Karissa Bell、翻訳:Hirokazu Kusakabe)

Microsoft Teamsのエンド・ツー・エンド暗号化(E2EE)機能が一般提供開始、1対1の通話時に利用可能

Microsoft Teamsのエンド・ツー・エンド暗号化(E2EE)機能が一般提供開始、1対1の通話時に利用可能

Microsoft

Microsoftは12月14日(現地時間)、10月からプレビューとして公開していたMicrosoft Teamsのエンドツーエンド暗号化(E2EE)機能を一般提供開始したと発表しました。

この機能は、1対1の通話時に利用できるもの。ただし、デフォルトではオフになっており、利用するには組織のIT管理者がオプションを有効にし、かつユーザーもチーム設定でE2EEをオンにする必要があります。なお、E2EEが有効になっている場合には、呼び出し画面の左上隅に、暗号化していることを示すインジゲーターが表示されます。

Microsoft Teamsでは、すでに転送中および保存中のデータの暗号化が行われています。これに加えて1対1での通話時にはさらに強力な保護が加わるわけですが、その弊害として、E2EEを利用した通話では、録音、ライブキャプション、通話転送、コールパーク(保留)などの一部機能が利用できなくなります。これらの機能が必要な場合には、E2EEを無効にする必要があるとのことです。

(Source:Microsoft(1)(2)Engadget日本版より転載)

アップル、プライバシー保護の懸念を受けて児童性的虐待コンテンツへの言及をひっそり取り止め

Apple(アップル)は、iOS 15とmacOS Montereyにその新しい技術が組み込まれることを発表してから数カ月後、ウェブサイトから児童性的虐待スキャン機能に関するすべての言及を静かに削除した。

8月にAppleは、CSAMとして知られる児童性的虐待コンテンツを同社が検出し、法執行機関に報告することを可能にする機能を導入すると発表した。当時Appleは、すでに違法となりうるコンテンツをチェックするための包括的なスキャンを提供しているクラウドプロバイダとは異なり、画像やデバイスを取得することなく、またその内容を知らなくてもユーザーのデバイス上のCSAMを特定できる技術なので、ユーザーのプライバシーを保護しながら違法画像を検出することができると主張していた。

関連記事
アップルがiCloud上の児童虐待画像を検出する新技術「NeuralHash」導入へ
また批判を浴びるアップルの児童虐待検出技術

これに対し、Appleは大きな反発を受けた。セキュリティの専門家やプライバシー擁護団体は、このシステムが政府のような高度なリソースを持つアクターによって悪用され、無実の被害者を巻き込んだり、システムを操作されたりする可能性があると懸念を表明した。また、児童の性的虐待の画像を特定するのに効果的でないと揶揄する人もいた。このため、数十の市民の自由団体がAppleに対してこの論争の的となっている機能を展開する計画を放棄するよう求めた。

恐怖を和らげるための広報活動を行ったにもかかわらず、Appleは譲歩し、CSAMスキャン機能の展開の延期を発表した。同社は「顧客、支援団体、研究者などからのフィードバックに基づいて、今後数カ月間、さらに時間をかけて意見を集約し、これらの極めて重要なチャイルドセーフティ機能をリリースする前に改善を行うことにしました」と述べた。

関連記事:アップルが次期iOS15での児童性的虐待コンテンツ検出技術導入を延期

現在、この機能は完全に廃止された可能性があるようだ。

MacRumoursは、AppleのチャイルドセーフティのウェブページからCSAMに関するすべての言及がひっそりと削除されていることに最初に気づいた。12月10日まで、このページにはCSAM検出の詳細な概要と、この物議を醸す機能が「iOS 15、iPadOS 15、watchOS 8、macOS Montereyのアップデートで2021年後半に登場」するとの約束が含まれていた。更新されたバージョンのページでは、CSAM検出に関するセクションが削除されただけでなく、この技術に関するすべての言及と、CSAMプロセスを説明し評価する文書へのリンクを提供するセクションが削られている。現在、Appleのチャイルドセーフティページには、今週初めにiOS 15でデビューしたメッセージのコミュニケーションセーフティへの言及とSiri、Spotlight、Safari検索への拡張ガイダンスのみが含まれている。

関連記事
アップル、iOS 15.2開発者ベータ第2弾で「メッセージ」アプリに子供向け新安全機能を搭載
アップルが次期iOS15での児童性的虐待コンテンツ検出技術導入を延期

Appleの広報担当者Shane Bauer(シェーン・バウアー)氏はTechCrunchに対し、9月に発表した同機能の遅延に関する声明について「何も変わっていない」と述べたが、CSAM機能への言及が削除された理由については言及しないとしている。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Yuta Kaminishi)

ブラウザ拡張機能としてサイバーセキュリティを提供するGuardioが初の外部資金調達で約53億円獲得

クラウドでの次世代コンピューティングに関しては、PCにインストールするウイルス対策ソフトはもう限界かもしれない、ともいわれている。その次に来るものと信じられているプロダクトを構築したスタートアップが米国時間12月14日、初の外部資金調達となる大規模なラウンドを実施し、ニュースになっている。

Guardio(ガーディオ)は、ウェブ利用時や、インターネットを利用して相互接続するデジタルサービス(メッセージングサービス、買い物、銀行サービスなどを想定しているが、今のところモバイルサービスはない)利用時に、疑わしい活動や悪意のある活動を監視するブラウザ拡張機能を構築した。同社はTiger Globaがリードし、Emerge、Vintage、Cerca Partners、UnionそしてSamsung Nextが参加したラウンドで4700万ドル(約53億円)を獲得した。ブラウザ拡張機能は、コンピューターやインターネット接続の遅延に影響を与えず「ただバックグラウンドで座っているだけ」だとCEOのAmos Peled(アモス・ペレド)氏はインタビューで語った。「当社は、ユーザーにアドバイスしたり手助けしたりしたいのです。ポジティブな摩擦を信じています」。

2018年に自己資金で設立されたテルアビブ拠点のGuardioは、すでに100万もの拡張機能ユーザーを集めている。それが早い段階でこれだけの資金調達ができた理由の1つでもある。Daniel Sirota(ダニエル・シロタ)氏、Michael Vainshtein(マイケル・ベインシュテイン)氏と共同で創業したペレド氏によると、通常、平均的なユーザーに対するGuardioの検出率は最初の1週間で73%だ。そこでデータ漏洩や悪意のある拡張機能、その他の悪意のある活動の可能性があるアクティビティを特定することができているという(時間の経過とともに、この数字はシステムがより多くを学習するにつれて大きくなるようだ)。

現在、フリーミアム製品のアクティブユーザーは100万人だが、そのうち10万人は有料ユーザーで、消費者と「マイクロ」(つまり零細)企業が混在しているとペレド氏は話す。今後は、この2つの路線で成長を続け、さらに幅広い製品群へと拡大していく予定だ。地域的には、ペレド氏が指摘するように、約1700万の零細企業が存在する米国市場での継続的な成長に重点を置くことになる。このような零細企業は、専属のセキュリティ専門家を置いておらず、セキュリティ関連に費やすリソースも必ずしも多くはないが攻撃の影響を受けやすく、その規模ゆえに攻撃が原因で倒れる危険性も高い。

会社設立のきっかけについてペレド氏は、そのような規模の組織の多くが、すでにセキュリティ保護にある程度の費用を支払っているが、そのほとんどが古いウイルス対策ソフトであり、目的にかなっていないという認識からだったと話す。

「攻撃者は適応しており、昔のようなエクスプロイトやOSに対する攻撃ではなく、ブラウザの仕組みを悪用するようになりました。数十年にわたって存在しているウイルス対策ソフトなどの保護レイヤーがうまく適応できなかったため、セキュリティ環境に隙が生じたのです。インターネットに接続するOSを更新しているユーザーの多くは、ウイルス対策ソフトを使用していました。そのため、多くのウイルスが侵入してきたのです」。

ここ数年、サイバーセキュリティのスタートアップが大量に市場に参入しているが、その多くは企業向けに展開し、大企業や消費者に特有のアーキテクチャのセキュリティに焦点をあてている。そこで、この2つの境界に位置するグループ向けの製品を開発し、そのための強力な牽引力を見出す能力が投資家の目にとまった。

Guardioは、3人の創業者が共同で立ち上げた2番目のスタートアップだ。最初のArpeelyは、機械学習と深層学習技術によるリアルタイムメディアオークションに特化しているとのことだ。

「このチームはサイバー、プロダクト、市場開拓の専門知識を結集し、この市場を破壊しイノベーションを起こすのに最適なポジションにいます。自己資金起業での牽引力はその証です」とTiger Globalのパートナー、John Curtius(ジョン・カーティス)氏は声明で述べた。

画像クレジット:JuSun / Getty Images

原文へ

(文:Ingrid Lunden、翻訳:Nariko Mizoguchi

インターネットを破壊するバグ「Log4Shell」へのパッチ適用競争が始まっている

世界中のセキュリティチームが、Apache Log4jで発見された重大なセキュリティ上の欠陥である「Log4Shell」の修正に追われている。Log4jは、オンラインゲームから企業のソフトウェア、クラウドのデータセンターに至るまで、あらゆる場所で利用されているオープンソースのログ出力ライブラリだ。そのユビキタス(遍在)は、インターネットを厳戒態勢に入らせ、攻撃者は脆弱なシステムを狙う企みを増加させている。

関連記事:iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

Log4Shellはゼロデイ脆弱性(影響を受けた組織がシステムにパッチを適用する対処期間がゼロデイであることから、このように名づけられた)と呼ばれるもので、この脆弱性は、開発者がアプリケーションの実行中に内部で何が起こっているかを記録するために使うLog4jを実行している脆弱なサーバー上で、攻撃者はリモートでコードを実行することができるというものだ。

この脆弱性は、CVE-2021-44228として追跡されており、深刻度は最大の10.0とされている。これは、攻撃者がインターネットを介して脆弱なシステムを、被害者とのやり取りも一切なしに、リモートで完全に制御できることを意味しており、しかも、その実行にはそれほどスキルを必要としないということだ。

当初の報告によると、Log4Shellの悪用は米国時間12月9日に始まったといわれており、Minecraft(マインクラフト)がLog4Shellの最初の有名な被害者として公表された。しかし、Cisco Talos(シスコ・タロス)とCloudflare(クラウドフレア)のセキュリティ研究者によると、Log4Shellが最初に悪用されたのは2週間前だという証拠が見つかったそうだ。Talosはこの欠陥に関連する攻撃者の活動を12月2日に初めて確認したというが、Cloudflareによると、その1日前の12月1日に悪用の成功を観測したとのこと。

「Log4jの悪用で、これまでに我々が見つけた最も早い証拠は、協定世界時2021年12月1日4時36分50秒です」と、Cloudflareの共同創業者兼CEOであるMatthew Prince(マシュー・プリンス)氏はツイートし「これは、少なくとも一般に公開される9日前には自然界に存在していたことを示唆しています。しかし、大規模な悪用の証拠は、一般に公開された後まで見られません」と、述べている。

誰が影響を受けているのか?

Log4Shellのニュースが最初に報じられて以来、被害者の数が増え続けていることから、数千もの有名企業やサービスがこの欠陥の影響を受けている可能性がある。GitHub(ギットハブ)で定期的に更新されているリストによると、Apple(アップル)、Amazon(アマゾン)、Baidu(バイドゥ)、Google(グーグル)、IBM、Tesla(テスラ)、Twitter(ツイッター)、Steam(スチーム)などが影響を受けた組織として挙げられている。これとは別に、VMware(ヴイエムウェア)は自社製品の多くが影響を受けることを顧客に警告する注意書を発表し、Cisco(シスコ)は自社製品の一部がこの欠陥の影響を受けることを確認している

これらの企業の多くは、すぐに行動を起こしている。Cloudflareは攻撃を防ぐためにシステムを更新したが、悪用された形跡は見られなかったとTechCrunchに述べており、Microsoft(マイクロソフト)はMinecraftユーザー向けにソフトウェアアップデートを発行したとコメント。Valve Corporation(バルブ・コーポレーション)は自社のサービスを「直ちに見直し」、Steamに関連するリスクはないとの結論に達したことを確認している。

iCloud(アイクラウド)サービスに脆弱性があったアップルは、同社のクラウドサービスにパッチを適用したと報じられているが、TechCrunchのコメント要求には応じていない。研究者たちは12月9日と12月10日にiCloudのウェブ・インターフェースが脆弱であることを発見したが、12月11日にはそのエクスプロイトが機能しなくなっていたという。

Log4jソフトウェアを管理しているApache Software Foundation(アパッチ ソフトウェア財団)は、緊急のセキュリティパッチを公開するとともに、すぐにアップデートできない場合の緩和策も発表した。サードパーティによる緩和策も多数用意されている。Huntress Labs(ハントレス・ラブズ)は、企業が自社のシステムを評価するために使用できる無料のLog4Shellスキャナーを作成し、Cybereason(サイバーリーズン)は、無料で利用できるLog4Shellの「ワクチン」をGitHubで提供している

脆弱性の深刻度は?

Log4Shellの影響を受ける企業やサービスの数が増えるとともに、この脆弱性を悪用した攻撃の数も増えている。マイクロソフトは週末のブログ記事で「暗号資産マイナーやCobalt Strike(コバルト・ストライク)をインストールして、クレデンシャル情報の盗用やラテラルムーブメントを可能にし、侵害されたシステムからデータを流出させるなどの行為が確認された」と述べている。

セキュリティ企業のKryptos Logic(クリプトス・ロジック)も米国時間12月12日に、インターネット上でプロービング(探査)を行っている1万以上の異なるIPアドレスを検出したと発表した。これは10日にLog4Shellをプロービングしていたシステムの数の100倍になる。

また、Cado Security(カドー・セキュリティ)では、積極的な悪用の増加を確認しているという。同社がTechCrunchに語ったところによると、12月11日にはLog4Shellを悪用したMirai(ミライ)ボットネットの活動や、多くのIPにわたるMushtik(ムシュティック)の活動が見られたとのこと。同社は、典型的なエクスプロイトの一連の流れに基づき「Log4Shellを原因とする標的型ランサムウェア攻撃の可能性が非常に高い」と考えているという。

広範に使用されているLog4Shellの性質と、それに続くランサムウェアの可能性を考えると、これは嵐の前の静けさと言えそうだ。脆弱性の修正または緩和は、すべてのセキュリティチームの最優先事項であるべきだ。

画像クレジット:Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

iCloud、ツイッター、マインクラフトなどに使われているオープンソースのログユーティリティにゼロデイ脆弱性が見つかる

広く利用されているJavaログ出力ライブラリで見つかった問題の影響を受け、AppleのiCloud、Twitter、Cloudflare(クラウドフレア)、Minecraft(マインクラフト)、Steam(スチーム)など、数多くの人気サービスが、ゼロデイ脆弱性にさらされていることが報告されている。

膨大な数のアプリ、ウェブサイト、サービスで使用されているオープンソースのログユーティリティ「Apache Log4j」に発見されたこの脆弱性は、Alibaba(アリババ)のChen Zhaojun(チェン・ジャオジュン)氏が報告したもので、LunaSec(ルナセック)の研究者によって「Log4Shell」と名づけられた。Log4Shellが最初に発見されたのは、Microsoft(マイクロソフト)が所有するMinecraftだったが、LunaSecは、主なJavaベースの企業向けアプリやサーバーのほぼすべてにLog4jが「ユビキタス」に存在していることから「非常に多くのサービス」が悪意のある行為に対して脆弱であると警告している。このサイバーセキュリティ会社は、ブログ記事の中で、Apache Struts(アパッチ・ストラッツ)を使用している人は誰もが「おそらく脆弱である」と警告した。

これまでにLog4Shell攻撃に脆弱であることが確認されたサーバーを持つ企業は、Apple(アップル)、Amazon(アマゾン)、Cloudflare、Twitter、Steam、Baidu(百度、バイドゥ)、NetEase(ネットイース)、Tencent(テンセント)、Elastic(エラスティック)などだが、他にも数千とまではいかなくとも数百の組織が影響を受けている可能性がある。Cloudflareは、TechCrunchに寄せた声明で、攻撃を防ぐためにシステムを更新したと述べており、悪用された形跡はないと付け加えている。

NSA(米国家安全保障局)のサイバーセキュリティ担当ディレクターであるRobert Joyce(ロバート・ジョイス)氏は、同局が開発した無償でオープンソースのリバースエンジニアリングツール「GHIDRA」も影響を受けることを確認した。「Log4jの脆弱性は、NSAのGHIDRAも含め、ソフトウェアのフレームワークに広く搭載されているため、悪用される恐れが大きい」と、同氏は述べている。

ニュージーランドのCERT(コンピューター緊急対応チーム)や、ドイツテレコムのCERT、そしてウェブ監視サービスのGreynoise(グレイノイズ)は、攻撃者がLog4Shell攻撃を仕掛けるための脆弱なサーバーを積極的に探していると警告している。Greynoiseによると、約100の異なるホストがインターネット上でLog4jの脆弱性を悪用する場所をスキャンしているとのことだ。

HackerOne(ハッカーワン)のシニアセキュリティテクノロジストであるKayla Underkoffler(カイラ・アンダーコフラー)氏は、今回のゼロデイ脆弱により「世界の重要なサプライチェーンに対する攻撃において、オープンソースソフトウェアがもたらす脅威が増大している」ことが明らかになったと、TechCrunchに語った。

「オープンソースソフトウェアは、現代のデジタルインフラストラクチャのほぼすべてを支えており、平均的なアプリケーションでは528種類のオープンソースコンポーネントが使用されています」と、アンダーコフラー氏は語る。「2020年に発見されたリスクの高いオープンソースの脆弱性の大半は、2年以上前からコード上に存在していますが、ほとんどの組織では、サプライチェーン内のオープンソースソフトウェアを直接制御して、これらの弱点を簡単に修正することができません。しばしば資金が不足するこのソフトウェアを保護することは、それに依存しているあらゆる組織にとって急務です」。

Apache Software Foundation(アパッチ・ソフトウェア財団)は、Log4jのゼロデイ脆弱性を修正するための緊急セキュリティアップデートを米国時間12月10日に公開し、すぐにアップデートできない場合の緩和策も発表している。ゲーム開発会社のMojang Studios(モヤン・スタジオ)も、このバグに対応したMinecraftの緊急セキュリティアップデートを公開した。

画像クレジット:Busà Photography / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

印モディ首相のツイッターアカウントが「一時的に危険にさらされていた」と発表

インドのNarendra Modi(ナレンドラ・モディ)首相のTwitterアカウントが現地時間12月12日に「一時的に危険にさらされた」と首相官邸が発表した。

モディ首相のアカウント(ハンドルネーム「@narendramodi」)は、インドがビットコインを法定通貨として正式に採用したことを午前0時過ぎにツイートしたが、発表のタイミングに加え、インド政府はここ数カ月、暗号資産を規制する厳格な法律を導入することを示唆していたため、アカウントハッキングの疑いが持たれている。2021年11月末、Nirmala Sitharaman(ニルマラ・シタラマン)財務大臣は、インド政府がビットコインを国内の通貨として認める提案はしていないと述べていた。

関連記事:インド政府が「一定の例外」を除き「すべての民間暗号資産」を禁止する法案提出へ

その後、削除されたツイートには、怪しげなウェブサイトへのリンクが含まれており、インド政府がいくらかのビットコインを購入し、国民に配布する予定だと書かれていた。

首相官邸は現地時間12月11日に、モディ首相のアカウントは完全に保護されており、その期間中に共有されたツイートは「無視しなければならない」とツイートした。

モディ氏はTwitterで7300万人超のフォロワーを持っていて、Twitterで最も人気のあるアカウントの1つだ。Twitterと首相官邸によると、Twitterは今回の動きに気づいた時点で、アカウントを保護するために必要な措置を取ったとったとのことだ。

誰がアカウントをハッキングしたのかは明らかではない。また、リンク先の怪しげなブログは、公開時点ではアクセスできなかった。

画像クレジット:T. Narayan / Bloomberg / Getty Images

原文へ

(文:Manish Singh、翻訳:Nariko Mizoguchi

活動家の違法ハッキングで電子フロンティア財団がスパイウェアメーカーDarkMatterを提訴

電子フロンティア財団(EFF)は、サウジアラビアの著名な人権活動家のiPhoneをハッキングした疑いで、スパイウェアメーカーのDarkMatter(ダークマター)と、米国の情報機関や軍事機関の元メンバー3人を提訴した

この訴訟は、Loujain al-Hathloul(ルジャイン・アル・ハズルール)氏の代理で起こされたもので、アル・ハズルール氏は、アラブの春の抗議活動の後、DarkMatterとアラブ首長国連邦(UAE)に雇われた3人の元米国諜報機関員によって組織された違法なハッキング活動の被害者の1人だと主張している。

訴状で名指しされている、ExpressVPNのCIOであるDaniel Gerike(ダニエル・ジェライク)氏、Marc Baier(マーク・ベイヤー)氏、Ryan Adams(ライアン・アダムズ)氏の3人の米国家安全保障局(NSA)元工作員は、アラブの春の抗議活動の際に、政府に反対する人権活動家、政治家、ジャーナリスト、反体制派をスパイするためにUAEが展開したハッキングプログラム「Project Raven」に参加していた。元スパイの3人は9月に米司法省との不起訴合意に基づき、コンピュータ不正使用防止法(CFAA)と機密軍事技術の販売禁止の違反を認め、計170万ドル(約1億9000万円)を支払うことに合意した。また、コンピュータネットワークの不正利用に関わる仕事、UAEの特定の組織での仕事、防衛関連製品の輸出、防衛関連サービスの提供を永久に禁止されている。

サウジアラビアにおける女性の権利向上を訴えてきたことで知られるアル・ハズルール氏は、元スパイたちがiMessageの脆弱性を利用してiPhoneに不正に侵入し、同氏の通信と位置情報を密かに監視していたと主張している。これにより、アル・ハズルール氏は「UAEの治安機関に恣意的に逮捕され、サウジアラビアに連行され、そこで拘束・投獄されて拷問を受けた」と主張している。

訴訟では、ジェライク氏、ベイヤー氏、およびアダムズ氏の3人が、米企業から悪意あるコードを購入し、そのコードを米国内のApple(アップル)のサーバーに意図的に誘導して、CFAAに違反してアル・ハズルール氏のiPhoneに悪意あるソフトウェアを仕込んだと主張している。また、アル・ハズルール氏の携帯電話のハッキングが、UAEによる人権擁護者や活動家に対する広範かつ組織的な攻撃の一環であったことから、人道に対する罪をほう助したとも主張している。

EFFは、法律事務所であるFoley Hoag LLPおよびBoise Matthews LLPとともに訴訟を起こし、この訴訟は「DarkMatterの工作員が、アル・ハズルール氏のiPhoneに彼女の知らないうちに侵入してマルウェアを挿入し、恐ろしい結果をもたらした」という、デバイスハッキングの「明確な」事例であると述べている。

EFFのサイバーセキュリティディレクターであるEva Galperin(エヴァ・ガルペリン)氏は「Project Ravenは、ジャーナリストや活動家、反体制派を監視するためにツールを使用する権威主義政府にソフトウェアを販売していることが何度も明らかになっているNSO Groupの行動をも超えていました。DarkMatterは、単にツールを提供しただけでなく、自ら監視プログラムを監督していたのです」と述べている。

声明でアル・ハズルール氏は次のように述べている。

政府も個人も、人権を抑止し、人間の意識の声を危険にさらすためにスパイマルウェアを悪用することを容認すべきではありません。だからこそ私は、オンライン上で安全を確保するという我々の集団的権利のために立ち上がり、政府に支えられたサイバー権力の乱用を制限することを選んだのです。

私は、自分の信念に基づいて行動することができるという自分の特権を自覚し続けています。この事件が他の人たちに刺激を与え、あらゆる種類のサイバー犯罪に立ち向かい、権力の乱用の脅威にさらされることなく、私たち全員が互いに成長し、共有し、学ぶことができる安全な空間を作り出すことを願っています。

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ボルボ、セキュリティ侵害で研究開発データの一部が盗まれる

Volvo Cars(ボルボ・カーズ)は、サイバーセキュリティ侵害と、同社の研究開発データが限定的に盗まれたインシデントを調査している。スウェーデンの自動車メーカーである同社は、このデータ侵害を現地時間12月10日に報告した。

同社によると、同社のファイルリポジトリの1つが第三者によって不正にアクセスされたとのこと。調査の結果「限られた量の会社の研究開発資産が侵入の際に盗まれた」ことが判明したと、同社は金曜日に声明を発表した。

Volvo Carsは、限られた量ではあるものの、同社の運営に影響を及ぼす可能性があると述べている。ただし、侵入の規模や何が盗まれたかについての詳細は明らかにしていない。Volvoの広報担当者も、詳細な情報の提供を控えている。

同社は独立した第三者調査機関と協力し、財産の盗難について調査している。

Volvoは、同社の財産へのさらなるアクセスを防ぐための措置を含むセキュリティ対策を実施し、不正アクセスを検知した後、関連当局に通知したと述べている。

今回の盗難は、顧客情報ではなく、会社の研究開発データをターゲットとしたものだったようだ。同社は「現在わかっている限りでは、顧客の所有する車や個人データの安全性やセキュリティに影響を与えるとは考えていない」と述べている。

侵入を最初に報じたメディア「Inside-it」は、Volvoのデータが「Snatch」というランサムウェアギャングのウェブサイトで公開されたことを示すスクリーンショットをダークウェブで見つけた。

デジタルリスク保護企業のCybelAngelが2021年秋に発表した報告書によると、自動車業界は、オンライン上に何十万もの露出した認証情報が存在するため、ランサムウェア攻撃の深刻なリスクにさらされているという。

CybelAngelが自動車関連企業を対象に行った6カ月間の調査では、企業秘密、個人を特定できる情報、エンジンや生産設備の設計図、機密契約書、人事文書など、非常にセンシティブな情報が流出していることが判明した。同社は、これらの情報漏えいは、自動車のサプライチェーン全体における従業員の内部からの脅威と、外部からのセキュリティ脆弱性が相まって原因となっていると結論づけている。

画像クレジット:Getty/Hector RETAMAL / AFP

原文へ

(文:Kirsten Korosec、翻訳:Aya Nakazato)

米国がウィキリークス創設者アサンジ氏の身柄引き渡しを求める訴えで勝訴

WikiLeaks(ウィキリークス)の創設者Julian Assange(ジュリアン・アサンジ)氏に、米国への引き渡しが間近に迫っている。精神衛生を理由とする2021年1月の英国判事の引き渡し拒否に対する米政府の上訴で、英国高等裁判所が米政府の主張を認めたためだ。

引き渡しを許可するかどうか、最終決定は英国の国務長官が行う。

米国は、アサンジ氏をハッキングの共謀とコンピュータの不正使用の容疑で裁判にかける意向だ。また、同氏は物議を醸しているスパイ活動法に基づくいくつかの罪にも直面している。

裁判の概要によれば、アサンジ氏は主に2009年と2010年に、しかし「それ以降もある程度」、WikiLeaksのウェブサイトを通じて「防衛および国家安全保障に関する資料を入手し、開示した」ことに関連する18件の罪に問われている。

極端な人物であるアサンジ氏を擁護する人たちは、権力に真実を伝えたことで迫害されているとし、米政府が機密情報の公開などの罪を追求していることから、同氏の引き渡しはジャーナリズムに冷ややかな影響を与えるだろうと主張している。

アサンジ氏は、元米軍兵士で内部告発者の Bradley Manning(ブラッドリー[現チェルシー]・マニング)氏から情報を得た。マニング氏は何十万もの軍事・外交機密文書を明らかにし、アサンジ氏はそれをWikiLeaksを通じて公開して米政府に大きな恥をかかせた。

漏洩した文書には、イラクやアフガニスタンでの民間人の死を含む空爆の報告書やビデオ、数十万もの米国外交文書などが含まれていた。

英国高等裁判所は、現地時間12月10日に発表した判決要旨の中で、アサンジ氏に自殺の危険性があるという地裁判事の以前の懸念に関連して、米国政府からの一連の保証を受け入れたと述べた。

同裁判所は、4つの保証が提供されたと述べ、アサンジ氏が現在非難されている行為に関して「特別な行政措置」の対象となることや、米国コロラド州フローレンスのセキュリティが最上級の刑務所に収監されること(公判前または有罪判決後)などの可能性を排除するこれらの保証に「満足」していると付け加えた。

裁判所要約によると、米国はまた、アサンジ氏が有罪となった場合、オーストラリアに移送されて刑に服することを申請することに同意し、米国で拘束されている間は「拘束されている刑務所の資格のある医師が推奨する適切な臨床的・心理的治療」を受けることに同意した。

「裁判所は、アサンジ氏のために主張されたこれらの保証に対するさまざまな批判を退け、その保証が地裁判事の決定に至った懸念を満たすのに十分であると納得した」と付け加えている。

アサンジ氏の引き渡しを許可するかどうかの最終決定は、英国の内務大臣であるPriti Patel(プリティ・パテル)氏に委ねられる。

10年前には、英国のコンピューターハッカーであるGary McKinnon(ゲイリー・マッキノン)氏が、軍のコンピューターをハッキングした容疑で米国に送還されるのを、当時の内務大臣だったTheresa May(テレサ・メイ)氏が人権上の理由で申請を却下したために免れた。

オーストラリアのパスポートを持つアサンジ氏は、英国籍ではない。

同氏は以前、2018年にエクアドルから市民権を与えられていた。しかし2012年にレイプや性的暴行の疑惑に直面したスウェーデンへの送還を避けるために逃れたエクアドルの大使館から同氏を追い出そうとする試みは失敗した。

これらの容疑はその後取り下げられたが、2019年にエクアドルは同氏の亡命を撤回し、同氏は大使館に政治亡命を求めることで英国での保釈条件に違反したとして、ロンドンの警視庁に逮捕された。

また、2021年初め、エクアドルはアサンジ氏の市民権を剥奪した。

画像クレジット:Jack Taylor / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

ノーコードのセキュリティ自動化プラットホーム「Torq」が約57億円調達

オレゴン州ポートランドのTorqは、セキュリティをノーコードで自動化するスタートアップで、以前はStackPulseという名称だった。同社は米国時間12月7日、Insight PartnersがリードするシリーズBのラウンドで5000万ドル(約56億9000万円)を調達したことを発表した。上場企業であるエンドポイントセキュリティのプラットフォームSentinelOneが新たな投資家としてラウンドに参加し、またこれまでの投資家であるGGV CapitalとBessemer Venture Partnersも参加した。Torqの総調達額は、これで7800万ドル(約88億7000万円)になる。

関連記事:小さな企業でも突然のシステム障害に迅速に対処できるようにするStackPulseが29億円調達

最近では、ノーコード / ローコードのプラットフォームが流行しているが、セキュリティ分野ではあまり見かけない傾向にある。NS1、eToro、Armis、Healthy.ioなどがユーザーとして名を連ねるTorqは、使いやすいグラフィカルなインターフェースを用いて、セキュリティチームがセキュリティ製品間のルーティング・ワークフローを自動化することを支援する。その点では、Microsoft Power Automateとあまり変わらず、セキュリティに特化している点では同じだ。

Torqは、現代の企業がデータの安全性を保つために導入している複雑に入り組んだセキュリティツールをまとめることができるという点で期待されている。サービスのワークフローは、一定の間隔で、またはアラートから起動することができる。例えば、クラウドリソースへの特権的なアクセスを求める従業員からのSlackリクエストに反応したり、疑わしいファイルの分析プロセスを自動化したりするような、シンプルなワークフローだ。

画像クレジット:Torq

LemonadeのCISOであるJonathan Jaffe(ジョナサン・ジャッフェ)氏によると「Torqのオートメーションで私たちチームのセキュリティ管理が変わりました。一例を挙げると、Torqを使ってウェブアプリケーションのファイアウォールのブロッキングのルールを管理すると、悪質なトラフィックのブロックに要する時間が70分の1になり、捕捉率は90%を超えました。これはとても大きな改善です」という。

TorqのCEOで共同創業者のOfer Smadari(オフェル・アダリ)氏によると、以前の資金調達から今回までの間、同社はユーザー体験の改良に集中してきた。「ユーザー体験への投資を増やし、ユーザーが他のシステムにもっと容易に接続できて、複雑なワークフローを簡単に作ることが可能で、インターフェースのスピードと応答性を上げるようにしました。また、創業時から一貫して、大小さまざまなエンタープライズをサポートできるためにスケーラビリティとレジリエンスに重点的に投資してきました」と氏は述べている。

特に今回の資金で重点投資を行いたいのが、サービス利用がかなり大規模になっている顧客や見込み客への対応だ。アダリ氏によると、同社のサービスの上で顧客が動かしているワークフローの平均数が毎週2〜3倍ずつ増加している。「顧客は、一度始めたらその後の拡張はとても速い。私たちが、そんな成長をサポートできるほどのサービスのデプロイになっていることを、有事になる前に確認しなければならない」という。

Torq自身は、セキュリティのチームをルーチンワークから解放してセキュリティ業界の人材不足に対応することが目的でも、しかしアダリ氏によると、同社にとって当面の最大の課題が雇用だ。

しかしInsight PartnersのマネージングディレクターであるSteve Ward(スティーブ・ワード)氏は次のように述べている。「短期間でTorqが成功したことは、プラットフォームがビジネスのあらゆる側面にわたってより良い保護の提供を目指すセキュリティチームの仕事を楽にしてくれることの証明だ。同社の直感的なプロダクトと経験豊富なチームにより、Torqは急速に業界のリーダーになりつつある。成長を続けているTorqとの提携は、私たちを元気にしてくれます」。

画像クレジット:Torq

原文へ

(文:Frederic Lardinois、翻訳:Hiroshi Iwatani)

ノーコードのセキュリティ自動化プラットホーム「Torq」が約57億円調達

オレゴン州ポートランドのTorqは、セキュリティをノーコードで自動化するスタートアップで、以前はStackPulseという名称だった。同社は米国時間12月7日、Insight PartnersがリードするシリーズBのラウンドで5000万ドル(約56億9000万円)を調達したことを発表した。上場企業であるエンドポイントセキュリティのプラットフォームSentinelOneが新たな投資家としてラウンドに参加し、またこれまでの投資家であるGGV CapitalとBessemer Venture Partnersも参加した。Torqの総調達額は、これで7800万ドル(約88億7000万円)になる。

関連記事:小さな企業でも突然のシステム障害に迅速に対処できるようにするStackPulseが29億円調達

最近では、ノーコード / ローコードのプラットフォームが流行しているが、セキュリティ分野ではあまり見かけない傾向にある。NS1、eToro、Armis、Healthy.ioなどがユーザーとして名を連ねるTorqは、使いやすいグラフィカルなインターフェースを用いて、セキュリティチームがセキュリティ製品間のルーティング・ワークフローを自動化することを支援する。その点では、Microsoft Power Automateとあまり変わらず、セキュリティに特化している点では同じだ。

Torqは、現代の企業がデータの安全性を保つために導入している複雑に入り組んだセキュリティツールをまとめることができるという点で期待されている。サービスのワークフローは、一定の間隔で、またはアラートから起動することができる。例えば、クラウドリソースへの特権的なアクセスを求める従業員からのSlackリクエストに反応したり、疑わしいファイルの分析プロセスを自動化したりするような、シンプルなワークフローだ。

画像クレジット:Torq

LemonadeのCISOであるJonathan Jaffe(ジョナサン・ジャッフェ)氏によると「Torqのオートメーションで私たちチームのセキュリティ管理が変わりました。一例を挙げると、Torqを使ってウェブアプリケーションのファイアウォールのブロッキングのルールを管理すると、悪質なトラフィックのブロックに要する時間が70分の1になり、捕捉率は90%を超えました。これはとても大きな改善です」という。

TorqのCEOで共同創業者のOfer Smadari(オフェル・アダリ)氏によると、以前の資金調達から今回までの間、同社はユーザー体験の改良に集中してきた。「ユーザー体験への投資を増やし、ユーザーが他のシステムにもっと容易に接続できて、複雑なワークフローを簡単に作ることが可能で、インターフェースのスピードと応答性を上げるようにしました。また、創業時から一貫して、大小さまざまなエンタープライズをサポートできるためにスケーラビリティとレジリエンスに重点的に投資してきました」と氏は述べている。

特に今回の資金で重点投資を行いたいのが、サービス利用がかなり大規模になっている顧客や見込み客への対応だ。アダリ氏によると、同社のサービスの上で顧客が動かしているワークフローの平均数が毎週2〜3倍ずつ増加している。「顧客は、一度始めたらその後の拡張はとても速い。私たちが、そんな成長をサポートできるほどのサービスのデプロイになっていることを、有事になる前に確認しなければならない」という。

Torq自身は、セキュリティのチームをルーチンワークから解放してセキュリティ業界の人材不足に対応することが目的でも、しかしアダリ氏によると、同社にとって当面の最大の課題が雇用だ。

しかしInsight PartnersのマネージングディレクターであるSteve Ward(スティーブ・ワード)氏は次のように述べている。「短期間でTorqが成功したことは、プラットフォームがビジネスのあらゆる側面にわたってより良い保護の提供を目指すセキュリティチームの仕事を楽にしてくれることの証明だ。同社の直感的なプロダクトと経験豊富なチームにより、Torqは急速に業界のリーダーになりつつある。成長を続けているTorqとの提携は、私たちを元気にしてくれます」。

画像クレジット:Torq

原文へ

(文:Frederic Lardinois、翻訳:Hiroshi Iwatani)

グーグルが100万台のWindowsマシンに感染したロシアのボットネットを破壊

Googleが2人のロシア人を、高度なボットネットを使って世界中の100万以上のWindowsマシンに侵入したとして訴えている。

ニューヨーク南部地区米国地裁に提出された訴状で、Googleはロシア国籍のDmitry Starovikov(ドミトリー・スタロヴィコフ)氏とAlexander Filippov(アレクセイ・フィリポフ)氏の2人をGluptebaボットネットの主な運用者としている。そのGmailとGoogle Workspaceのアカウントは、彼らの犯行計画のために作られたとGoogleは主張している。

Googleの主張では、被告たちはボットネットのネットワークを使って「現代的で国境のない組織犯罪集団を構成」し、Googleユーザーのログイン情報やアカウント情報を盗み、それらを無認証で使用するなど不法な目的に利用した。訴えは両人による損害賠償金の支払いと、Googleのサービスの永久使用禁止を求めている。

Googleは2020年からGluptebaを追っているが、同社によると、これまで世界中のおよそ100万のWindowsマシンに感染し、現在でも1日に数千台のペースで広がり続けている。その主な手口は、ユーザーを騙してサードパーティーの「無料ダウンロードサイト」からマルウェアをダウンロードさせるものだ。するとボットネットはユーザーの認証情報やデータを盗み、秘かに暗号資産の採掘をしたり、プロキシをセットアップして他の人のインターネットトラフィックを感染したマシンやルーターに取り込んだりする。

「いかなるときでも、Gluptebaボットネットは強力なランサムウェア攻撃やDDOS攻撃に利用される可能性がある」とGoogleは訴状にある。

そして同社は、Gluptebaボットネットは、ブロックチェーンを利用して自分が妨害されることを防ぐなど「技術的に高度」なので、従来型のボットネットとの違いが際立つ、ともいう。

Gluptebaボットネットに対する訴訟に加えてGoogleのThreat Analysis Group(TAG、脅威分析グループ)は、ボットネットが米国とインドとブラジル、ベトナム、そして東南アジアの被害者を狙っていることを突き止め、インターネットホスティングプロバイダーたちと協力して、ボットネットの基幹であるコマンドとコントロール(C2)のインフラストラクチャを破壊したと発表した。これにより犯行者はボットネットをコントロールできなくなるが、しかしGluptebaは自己回復の仕組みとしてブロックチェーンの技術を使っているから復帰のおそれがある、とGoogleは警告している。

「Gluptebaボットネットは、従来のボットネットのように既存のウェブドメインだけを使ってその生存を確保しようとはしません。むしろ、ボットネットのC2サーバーが妨害されるとGluptebaのマルウェアは、Glupteba Enterpriseがコントロールしている3つの特定のBitcoinアドレスをはじめとして、公開されているBitcoinブロックチェーンを『探す』ようハードコードされており、それらとのトランザクションを行います。したがってそのブロックチェーンベースのインフラストラクチャを無効にしないかぎり、Gluptebaボットネットを完全に根絶することはできません」とGoogleの訴状にはある。

Googleがボットネットの犯行に対抗するのはこれが初めてだが、それが行われた日は、米国と他の28カ国の政府や人権団体を狙う、中国に支援されたハッカーたちが使っていた悪質なウェブサイトのコントロールを奪ったことを、Microsoftが公表した日の翌日だ。

関連記事:マイクロソフトが中国が支援するハッカーたちのウェブサイトを掌握

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

探し物トラッカーTileを買収したLife360が数百万人の正確な位置情報データを販売

探し物トラッカーTileを買収したLife360が数百万人の正確な位置情報データを販売

子供の見守りや家族との位置情報共有サービスを提供するLife360が、探し物トラッカーTileを買収したとお伝えしました。そのLife360が、数百万人ものユーザーの正確な位置情報を販売していると報じられています。

The Markup(米ニューヨークを拠点とする非営利団体)The Markupの報告によると、Life360のスマートフォン用アプリは全世界で3300万人が利用しているとのこと。そのアプリが集めた子供と大人の位置情報データが12のデータブローカーに販売され、他の第三者に提供されていたと伝えられています。

Life360の元従業員2人は、同社が業界最大級のデータ供給元でありながら、データの使用方法や悪用を防ぐためのセーフガードがない、すなわち位置情報の履歴から個人をたどれなくする予防措置が取られていないと証言。最も明白な(直接、個人に紐付けられた)ユーザー識別情報は削除されているが、プライバシー保護のためにデータを集約したり、精度を下げたりしないと語られています。

この件につきLife360のCEOであるクリス・ハルス(Chris Hulls)氏は、データは同社の中核的なサービスを無料で提供するための「ビジネスモデルの重要な一部」であると回答。つまりユーザーの位置情報データを販売することが前提で、無料サービスが成り立っていると言いたい模様です。

同じく位置情報データをブローカーに販売するX-Modeに勤務していたエンジニアいわく、Life360の提供する生の位置情報データは「データの量と精度の高さ」から、同社の「最も価値ある商品」の1つだと述べています。X-Modeは、Life360のデータ販売先としてCuebiqやArity、Safegraphとともに公開されている企業でもあります。

逆にいえば、Life360が公開していない提供先の企業もあるということ。ハルスCEOによれば、パートナー企業から透明性を求められたり「そうする特別な理由」がある場合にのみ公開されるとのこと。そうしたパートナーを公開することを義務付ける法律を支持する、とも付け加えられています。

Life360はデータ販売していることをプライバシーポリシーの細則に明記しており、秘密にしていたわけではありません。が、ここで問題視されているのは、データブローカーに提供された後、データがどのように扱われているのか、ユーザーが自覚していないかもしれない点です。一応はオプトアウト(提供を拒否)オプションもありますが、全てのユーザーがそれに気づいているとは限りません。

Life360アプリは主に親が子供やティーンエイジャーを追跡するために使うもので、その性質上プライバシーに関する懸念が指摘されていました。同社は13歳未満の位置情報は共有しないとしている一方で、13歳以上の子どもや大人のデータは(第三者への販売についても)公平に扱われています。

かたやLife360に買収されたTileは、探し物トラッカーを製造し、モノやペットを探すサービスを提供している企業です。Life360はTileと一緒になることで、ペットや人、物の位置を特定する「包括的なソリューション」を提供できると謳っていましたが、今回の報道を合わせて考えると、プライバシー保護に関する懸念が高まりそうです。

(Source:The Markup。Via MacRumorsEngadget日本版より転載)

マイクロソフトが中国が支援するハッカーたちのウェブサイトを掌握

Microsoftは、中国政府が支援するハッキンググループが米国を含む29カ国の組織を標的にしていた多数のウェブサイトを掌握した。

MicrosoftのDigital Crimes Unit(DCI)の米国時間12月6日の発表によると、バージニア州にある連邦裁判所の許可により同社は、ウェブサイトのコントロールを奪いトラフィックをMicrosoftのサーバーへリダイレクトすることを認められた。同社によると、これらの悪質なウェブサイトは、国をスポンサーとするNickel(APT15)と呼ばれるハッキンググループが使用して、各国の政府機関やシンクタンク、人権団体などから情報を収集していたという。

MicrosoftはNickelのターゲットの名前を挙げていないが、同グループが米国とその他28カ国の組織を標的としていたという。。また「Nickelのターゲットと中国の地政学的関心の間に関連があることが多かった」とのこと。

2016年からNickelを追っていたMicrosoftはこの前の報告書で同グループを、政府機関を狙う「もっとも活発な」ハッキンググループと呼び、侵入と監視とデータの窃盗を可能とする検出困難なマルウェアをインストールする「高度に洗練された」攻撃を観察したという。ときには、Nickelの攻撃を利用してサードパーティの仮想プライベートネットワーク(VPN)の提供企業を侵害したり、スピアフィッシング作戦で認証情報を取られたこともあるとMicrosoftは述べた。さらに他のケースでは、Microsoft自身のExchange ServerやSharePointシステムの脆弱性を利用して企業への侵入が行われた。ただしMicrosoftの話では「これらの攻撃の一環としてMicrosoft製品の新たな脆弱性が見つかったことはない」とのことだ。

Microsoftのカスタマー・セキュリティ&トラスト副社長であるTom Burt(トム・バート)氏は次のように述べている。「悪質なウェブサイトのコントロールを掌握し、それらのサイトからのトラフィックをMicrosoftの安全なサーバーにリダイレクトすることにより、既存および今後の被害者を保護し、また同時に、Nickelの活動について詳しく知ることができます。私たちの妨害行為でNickelの今後の他のハッキング行為を防ぐことはできませんが、この集団が最近の一連の攻撃で依存していたインフラストラクチャの重要な部分を取り除いたと信じています」。

Nickelが標的とした組織は米国以外ではアルゼンチン、バルバドス、ボスニアとヘルツェゴビナ、ブラジル、ブルガリア、チリ、コロンビア、クロアチア、チェコ共和国、ドミニカ共和国、エクアドル、エルサルバドル、フランス、ホンジュラス、ハンガリー、イタリア、ジャマイカ、マリ、メキシコ、モンテネグロ、パナマ、ペルー、ポルトガル、スイス、トリニダード・トバゴ、英国そしてベネズエラといった国のものだ。

Microsoftによると、同社のDigital Crimes Unitは、24の訴訟を通じて、サイバー犯罪者たちが使っていた1万ほどの悪質なウェブサイトと、国民国家の関係者たちのおよそ600のウェブサイトを打倒した。そして2021年初めには、62カ国の被害者を偽メールで攻撃した大規模なサイバー攻撃で利用された悪質なウェブドメインを掌握している

画像クレジット:ilkaydede / Getty Images(Image has been modified)

原文へ

(文:Carly Page、翻訳:Hiroshi Iwatani)

LINE Pay、13万人超の一部ユーザー情報が2カ月間GitHub上で閲覧可能だったとして謝罪

LINE Pay、13万人超の一部ユーザー情報が2カ月間GitHub上で閲覧可能だったとして謝罪

LINE Payは、一部ユーザーのキャンペーン参加に関する情報が、ソフトウェア開発のプラットフォーム「GitHub」上で閲覧できる状態になっていたとして謝罪しました。

閲覧可能となっていた情報に、氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等は含まれておらず、現時点でユーザーへの影響は確認されていないということです。

閲覧可能だった情報は、対象ユーザーの識別子(LINE IDとは異なる)、加盟店管理番号(加盟店IDとは異なる)、キャンペーン情報(キャンペーンコード等)です。このうち、キャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれる場合があります。

閲覧できる状態にあった期間は9月12日15時13分頃~11月24日18時45分。ユーザー情報は2020年12月26日から2021年4月2日までのものでした。

漏洩対象のアカウント数は、日本国内のLINE Payユーザーだけで5万1543アカウント、海外のグループ会社で展開しているLINE Payユーザーを含めると13万3484アカウントです。

当該情報に対する部外者のアクセス件数は11件だったということです。

発生原因に関してはLINE Pay側は次のように説明しています。

『当社委託先であるグループ会社の従業員が、2021年1月および4月に、ポイント付与漏れの調査を行いました。その後、2021年9月12日に、その調査を行うためのプログラムおよび対象となる決済に関する情報を当社として意図せずに「GitHub」上にアップロードしてしまい、それが閲覧できる状態になっていました』

該当ユーザーには「LINE ウォレット」の公式アカウントから個別に案内を行っているほか、問い合わせ窓口(https://contact-cc.line.me/detailId/14554)も設置しています。

LINE Pay側は「今後、情報取り扱いの社員教育をさらに徹底し、その他の対応策も検討を進め、再発防止につとめてまいります」とコメントしています。

  1. LINE Pay、13万人超の一部ユーザー情報が2カ月間GitHub上で閲覧可能だったとして謝罪

(Source:LINE PayEngadget日本版より転載)