タグ: セキュリティ

CastleはY Combinator出身のドラグ&ドロップでアカウント乗っ取りを防ぐツール

2016-03-22-castle_header

Castleの4人のメンバーはマウンテンビュー、スウェーデン北部に分散しているが、ユーザー自身が必要に応じて非常に簡単に統合できるシームレスなサービスを追求したという点でユニークだ。

ウェブサイトの運営者がCastleを利用するするにはJavaScriptで書かれたスニペットをhtmlのヘッダー内にドラグ&ドロップするだけでよい。 不審な、あるいは標準から外れたログインの試みに警告フラグを立てるなど、あとの仕事はCastleが引き受ける。カスタマー・サービスのサーバーに導入した場合、危険なアカウントを自動的に凍結する。外部から攻撃があった可能性があれば運営者にただちに通知する。

同社のCEO、Johann Brissmyrによれば、開発のきっかけは共同ファウンダーの前回のスタートアップ、SettleBoxという支払サービスを開発した経験だという。

「われわれはSettleBoxでは企業向け〔セキュリティー・サービスと付き合いが多かった。それらのプロダクトは今やわれわれのライバルだが。このときにユーザーの安全を守る使いやすいツールが欠けていることに気づいた。〔其の結果が〕Castleになった」Brissmyrは言う。

Castleの強みはユーザー・フレンドリーであり、セットアップがシンプルなことだ。これらはCastleというサービスの重要な部分をなす。ユーザー・インターフェイスはMixpanel、Google Analyticsといったプラットフォームからヒントを得ている。

いちどセットされるとCastleはバックグラウンドでサイト訪問者のあらゆる活動をモニターし、不審な動きの発見に努める。ユーザーやデバイスの新しいログイン場所、サービスの内容に照らして疑念のあるユーザーの行動なども重要なシグナルとなる。

「ログイン動作やパスワード変更なども含めわれわれはあらゆるページ閲覧をモニターしている。普通ではない行動を見つけ出すためだ」とBrissmyrは言う。

FacebookやGoogleがユーザーの行動をトラッキングしてブルートフォース攻撃やサイト乗っ取のり兆候を発見しようとする手法にCastleの機能は似ている。

また同種のセキュリティー・ソフトと同様、Castleも訪問ユーザーに「セキュリティー・スコア」を付与する。たとえば、Brissmyrの説明によれば、eコマース・サイトの顧客が同じデバイスで新しい場所からログインするだけならセキュリティー・スコアに変化はないが、新しいデバイスで新しい場所からログインが試みられるとスコアはアップする。【略】

Brissmyrは「脅威を感じるライバルは特にない。Google他のウェブ・サービスのプロバイダ〕のプロダクトとCastleは競争することになるが、彼らとはこの問題に対する集中力が違う。Castleはすでに非常に多くのサービスに統合されて能力を発揮している」と」は語った。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

iMessageの写真、ビデオ、ファイルの暗号化が解読されるセキュリティホールが見つかる

encryption

暗号化は猫と鼠のゲームだ。Johns Hopkins University(ジョンズホプキンス大学)の研究者たちが、そのことを証明するすごい方法を見つけた。彼らが Washington Postにシェアした研究によると、iMessageで送った写真やビデオやファイルの中身を見られてしまう、深刻なセキュリティホールが見つかったのだ。

iMessageは最初から、暗号化されたメッセージングプロトコルだ。ユーザーがiMessageを送ると、デバイスはAppleのサーバーとのセキュアな接続を開く。メッセージはユーザーのスマートフォン上で秘密鍵を用いて暗号化され、Appleのサーバーへ送られ、相手に届く。そして彼/彼女のスマートフォン上で、メッセージは解読される。

したがってユーザーのメッセージはAppleのサーバー上では解読不能な寝言の集まりだ。Apple自身は、メッセージを解読するための鍵を持っていない。

しかしJohns Hopkins Universityの研究者たちは、ホールを見つけた。メッセージは解読できないが、写真やビデオやファイルを横取りする方法を見つけたのだ。

ファイルは、64ビットの暗号鍵による弱い暗号化方法を使ってきた。研究者たちは、Appleのサーバーのふりをして暗号化されているファイルを横取りするサーバーを開発した。そしてAppleは失敗回数を制限していないので、彼らは何千もの鍵を試した。この力づくのやり方で研究者たちは、誰にも気づかれずに、Appleのサーバーからのファイルを解読できた。

Washington Postによると、すでにiOS 9以降では、デバイスから来るファイルを解読することは困難になっている。しかしそれでも、NSAなどなら解読できるだろう。政府機関やハッカーが、この方法を実際に使っているかは、不明だ。

幸いにもAppleはすでに対策を開発し、今日(米国時間3/21)リリースされるiOS 9.3にはそれが実装されている。ハッキングのやり方は公表されていないし、Appleがそのセキュリティホールを閉じたら研究チームはホワイトペーパーを共有する予定だ。

このハックは、暗号化が完全ではありえないことを、あらためて証明している。セキュリティホールはつねにあり、ハッカーたちはそれを見つける。そしてAppleのような大きなソフトウェアメーカーは、ホールを塞いでハッカー鼠たちを追い払おうとする。だから、ご自分のデバイスにパッチをインストールすることは、とても重要だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

CoreOSのコンテナセキュリティスキャナーClairがベータを脱してv.1.0へ

shutterstock_145340113

CoreOSが昨年11月に最初のプレビューを発表した、DockerコンテナのセキュリティチェックツールClairが今日、ベータを終了してClair 1.0のローンチに到達した。

デベロッパーは既製のコンテナに依存することが多く、同じものを再利用することもよくあるから、その中のソフトウェアを安全に保つことはきわめて重要だ。しかも問題はマルウェアばかりではなく、セキュリティの弱点があると分かっている旧版のパッケージが、そのまま使われていることもありえる。

clair-1.0-embed

CoreOSが同社のコンテナレジストリQuayにあるコンテナを調べたところ、検出された脆弱性の約70%は、コンテナの中にあるパッケージをアップグレードするだけで解消するものだった。

“インストールされているソフトウェアを最新バージョンにアップデートすれば、インフラストラクチャの全体的なセキュリティも向上する。したがってコンテナイメージのセキュリティ脆弱性を分析することと並んで、Clairが見つけたそれらの問題を解決するアップデートのための、明確な手順や方式を確立しておくことが重要である”、と同社は主張している。“コンテナイメージは頻繁にアップデートされないことが多いが、しかしClairのセキュリティスキャンニングにより、ユーザーは問題のあるイメージをより容易に見つけてアップデートできる”。

CoreOSによると、最初の発表から今日のv.1.0までに、多くの変更をClairに加えている。それらは、サービス全体をより拡張しやすくすることや、REST APIの改良などだが、Clair 1.0でいちばん重要なのは、検出された脆弱性の詳細説明が提供されることだろう。

coreos_clair_schema

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

OktaがBoxとのパートナーシップを拡張してエンタープライズモバイル管理サービスを提供

shutterstock_380012005

Oktaは、クラウド上のアイデンティティ管理で知られている企業だが、同社は2004年の終わりごろにエンタープライズモバイル管理(enterprise mobility management, EMM)の分野に進出した。同社は今日(米国時間3/17)、Boxとのパートナーシップを発表し、Boxのモバイルアプリのために、デバイスレベルのセキュリティをサポートすることになった。

同社はこのパートナーシップをきっかけとして、今後もそのほかのエンタープライズモバイルアプリのベンダのために、デバイス上の一連のポリシーの設定実施サービスを提供していきたい、と考えている。デバイス上のポリシーというと、たとえば、管理されているアプリのどれかを使うためにはデバイスのPINを入力しないといけない、といったルールだ。

OktaのEMMソリューションには、管理対象となるアプリのすべてにシングルサインオン(Single Sign-On, SSO)でアクセスできる統合化アイデンティティを、全デバイスに統一的に設定するサービスもある。

OktaとBoxは協働の長い歴史があるが、OktaのCEO Todd McKinnonによれば、今回のEMM提供によって友情がさらに広がる。“重要なのはこれが、モバイルとその管理をめぐる技術的パートナーシップであることだ。それはわれわれの長年のパートナーシップの延長線上にある”、と彼は語る。

Boxのセキュリティといえば、これまではアプリケーションのレベルが主だった。しかしOktaのEMMサービスはセキュリティをアプリから切り離す、とMcKinnonは言う。“個々のアプリごとのセキュリティから、すべてのアプリに統一的に適用されるセキュリティとアイデンティティへ移行する”、と。

関連記事

Okta Beefs Up Multi-Factor Authentication
Okta Joins Unicorns With $75M Round And Looks Towards IPO
Okta's New Mobile Device Management Tool Separates Work And Personal Data
New Box Security Features Give Companies Far Greater Control Over Documents

このやり方がないと、それぞれのアプリがセキュリティとアイデンティティを個別に管理しなければならない。そこには、複数のアプリの連合関係がない。もちろんセキュリティはBoxのサインアップがすべてではないが、でもBoxのCEO Aaron Levieによれば、外部のアプリやリソースのセキュリティも、そのうち対象になるだろう、という。

“それらもいずれ、サポートされるようになると確信している。それがなければ、これ自体も成功しない”、と彼は語る。彼自身は、これら新しい機能のアーリーアダプターであることに十分満足しているそうだ。

“これらのコントロールはすべて、モバイルの世界におけるセキュアなアクセスが目的だ。クラウドからモバイルへの移行は、クライアント/サーバからクラウドへの移行よりずっと難しい。だから、さまざまなプラットホームの上でアクセスをコントロールし、使ってもよいアプリを明確にすることが、より重要なのだ”、とLevieは述べる。

ごく少数の垂直的スタックから、複数のクラウドベンダの一つへ移行し、多くの社員がモバイルデバイスを使っているときには、デバイスレベルの連合型のセキュリティとアイデンティティがますます重要だ、とLevieは信じている。BoxはOktaも含め、複数のベンダとこの分野で協働している。

Oktaは現在、Box以外のエンタープライズモバイルアプリベンダとも、このプログラムの拡張について話し合っている、とMcKinnonは述べる。

Oktaは、昨年夏の7500万ドルを含めて、これまでに2億3000万ドルを調達している。すでに時価総額が10億ドルに達し、ユニコーンの仲間だ。CrunchBase Unicorn Leaderboardにも載っている。

〔ここにグラフが表示されない場合は原文を見てください。〕
[graphiq id=”bDfpZmNBxrL” title=”Okta Inc. ” width=”700″ height=”553″ url=”https://w.graphiq.com/w/bDfpZmNBxrL” link=”http://listings.findthecompany.com/l/1564133/Okta-Inc-in-San-Francisco-CA” link_text=”Okta Inc. | FindTheCompany”]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GoogleがHTTPSの利用に関する透明性レポートを発表、同社自身はリクエストの75%以上を暗号化

6088467882_57605b0239_o

Googleが今日(米国時間3/15)、同社のTransparency Report(透明性レポート)に「HTTPS」という新しい節を加え、同社全体と、同社以外の主要サービスの暗号化の状況を報告している。

それによると、Googleのサーバーへのリクエストの75%以上が、今や暗号化された接続(HTTPS接続)を使っている(ただしYouTubeへのトラフィックはこのレポートに含まれていない)。

2016-03-15_1043

Googleのプロダクト別では、GmailとGoogle DriveがHTTPS接続の利用への移行ではトップで、両サービスはデフォルトでHTTPSを使用している。

MapsとGoogleの広告プロダクトも75%を超えているが、それに対してGoogle NewsとGoogle Financeはまだ後れている。

2016-03-15_1053

関連記事

(日本語)Gmail Will Soon Warn Users When Emails Arrive Over Unencrypted Connections
(日本語)The Wikimedia Foundation Turns On HTTPS By Default Across All Sites, Including Wikipedia
(日本語)Google Says Website Encryption – Or Lack Thereof – Will Now Influence Search Rankings

同社によると、暗号化されていないトラフィックは、その95%以上がモバイルからだ。“残念ながらこれらのデバイスは今後アップデートされないし、暗号化をサポートしないだろう”、*と同社は言っているが、これらの比率の、デバイス別やオペレーティングシステム別の分類はない。〔*: 日本語ページ原文: “残念ながら、こうした端末はアップデートの対象外となっており、今後も暗号化に対応することはありません。 ”〕

このレポートはほとんどGoogle自身のサービスに関するデータだが、例外的にTop 100 non-Google sites on the InternetトップサイトでのHTTPSへの対応)というページで、他社サービスを取り上げている。Googleによるとこれらトップ100のWebサイトは、Webのグローバルな全トラフィックの約25%を占める。Googleが作成したリストによると、暗号化をまったくしていないサイトが意外と多い(rakuten, amazonaws, …)が、幸いにも(?)、世界で最大人気のアダルトビデオチャットのサイトはいずれも暗号化をサポートしている。

2016-03-15_1059

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

合衆国司法長官がテレビのトークショウ番組でAppleに対するFBIの姿勢を擁護…ユーザーの求めには応じよと

screen-shot-2016-03-11-at-5-39-13-pm

iPhoneをアンロックする/しないの一件はますます過熱しているが、昨夜のテレビ番組に出演した合衆国司法長官Loretta Lynchは、連邦捜査局(Federal Bureau of Investigation, FBI)の姿勢を擁護した。

彼女の省は今朝発表した声明書の中で、当のテクノロジー企業の主張を‘腐敗的’で‘間違っている’と非難している。しかしその夜のThe Late Show with Stephen Colbert登場したLynchによると、彼女は“プライバシーの問題についてTim Cookと何度も有意義な議論を交わした”、という。

“それについて私から言えるのは、それが誰にとっても重要であると私も理解していること、なぜならプライバシーは誰にとっても重要な問題だから”、と彼女は話を続けた。“しかしそれは、司法長官としての私にとっても重要だし、一市民としての私にとっても重要だ”。

問題の中心は、本誌記事でも取り上げたように、議論の対象がカリフォルニア州サンバナディーノで14人を殺した二人の銃撃犯の一人Syed Rizwan Farookが使っていたiPhoneであることだ。

Appleは現在、法執行機関がそのデバイスをアンロックできるために特殊なソフトウェアを作れ、という政府の裁判所命令を拒否している。同社によると、それはiPhoneの全ユーザーのセキュリティを危険にさらすだけでなく、市民的自由にとって危険な前例を作る。Google, Facebook,Microsoftなど多くのテクノロジー企業は、Appleの側に立つことを公(おおやけ)にしている

LynchはColbertに、問題のiPhoneはすでに政府の所有物であり、一私人のものではない、なぜならFarookはSan Bernardino County〔の郡役所〕に雇われ、それを仕事用の電話機として支給されていたからだ、と語った。

Colbertはそれに対し、AppleのCEO Cookが、“そのバックドアを作ることは危険な状況を作り出し、セキュリティを損壊し、誰もがあらゆることに使えるようになり、あなたのiPhoneを誰かが盗んであなたをスパイすることすらありえる、と言っている”、と述べた。

Lynchはこう応じた: “まず第一に、われわれはバックドアを求めていないし、誰もが何でもできて誰でもスパイできることを求めてもいない。われわれは彼ら〔Apple〕に、彼らの顧客が望んでいることをしてくれ、と頼んでいるだけだ。その電話機の本当のオーナーは郡であり、死亡したテロリストの一人の雇用主である”。

“われわれが彼らに求めているのは、パスワード消去機能を無効にできるようにしてくれ、ということだ。その機能が生きていると、不正なパスワードを10回トライすると電話機〔のデータ〕が消去されてしまうからだ。われわれは、われわれが得た非常に限定的な裁判所命令に基づいて、その電話機から証拠を取り出したいだけだ”。

Apple vs FBI

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

誰かがあなたのiPhoneをこんなに簡単にハックしてるかもしれない

shutterstock_278913779

FBI vs. Appleの論戦はいよいよ盛り上がっているが、意外にも、iPhoneをハックするのは簡単なのだ。SkycureのCEO Adi Sharabaniが私のiPhoneを取り上げて、それに他人が簡単にアクセスできることを見せてくれた。ただし彼は、自分のスマートフォンのセキュリティを維持するためのコツも、教えてくれた。

関連記事

Post-Funding Round, Skycure Launches Its Mobile Hacker Detection Software
BYOD Startup Skycure Inks $3M Seed Round With Israeli VC Pitango

 
 

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ホワイトハッカーが脆弱性を検証する「Bug Bounty」が正式サービス開始、バイドゥなどが導入

直近にも仕様変更を実施したLINEだが、2015年3月に脆弱性(現在は修正版を配信済み)についてのアナウンスを出したのを覚えているだろうか? これを発見したのが2012年設立のセキュリティ会社・スプラウトだ。最近では、スマートロック「Akerun」の脆弱性の発見も同社が行ったという。

同社はセキュリティの調査やコンサルティングを行う一方で、世界のホワイトハッカー(善意のハッカー)をネットワーク化。クライアント企業のバグや脆弱性を発見することで報奨金を付与する「THE ZERO/ONE – Bug Bounty」を展開している。2015年11月から試験的に提供してきたサービスだが、3月2日より、正式にサービスを開始した。

Bug Bountyでは現在、ホワイトハッカー約70人をネットワーク化。彼らがクライアント企業の脆弱性について、定められたルールに基づいて調査を実施。問題が見つかった場合は、対価として報奨金を支払う仕組みだ。

企業側の初期費用は0円。サイトに調査を依頼したいプロダクトや調査対象範囲報奨金などを公開すれば良い。募集方法は現行のプロダクトをそのままないし一部URL・ドメインに限定して調査する「オープン型」や「限定型」、調査用の環境を用意する「疑似環境型」から選択できる。報奨金は脆弱性のリスクや難易度に応じて最低5000円から設定する。同社が目安として設定しているのは、SQLインジェクションの発見で20万円〜、クロスサイト・スクリプティングで5万円〜。スプラウトでは報償額の25%の金額を手数料として徴収する(企業側は報償額の125%をスプラウトに支払うことになる)。

スプラウトでは2015年11月から自社サービスについての調査を実施しているが、これまで計26件の報告があり、そのうち12件が有効なもので、約20万円の報奨金をハッカーに支払ったという。「小さなバクだけなので金額的にはまだ少ないが、(件数として)はまあまあの数字」(スプラウト)。

3月からは百度(バイドゥ)のほか、上場企業を含む計4社の導入が決まっているという。バイドゥといえば2015年11月にもAndroidアプリでトラブルを起こしたばかり。果たしてBug Bountyの導入で変化はあるのだろうか。調査の結果が気になるところだ。

パスワードマネージャーDashlaneがYubiKeyによるワンタイムパスワードで自己をより安全化

dashlane-yubikey

DashlaneLastPassなどのパスワードマネージャーを使うことは、インターネット上で安全であるためのベストの方法の一つだろう(本当は誰しもパスワードの使い回しをしたくないのだから)。でもパスワードマネージャーそのものが単純なパスワードだけで守られているのなら、かなり問題だ。

しかしDashlaneの有料ユーザーは、このサービスが今度からYubicoのYubiKey(s)をサポートするから、自分のパスワードをより安全に保てる。

これによってDashlaneは、消費者向けアプリケーションでYubiKey(s)をサポートしているGoogleやDropbox、GitHubなどの企業の仲間入りをする。

Dashlaneと競合しているLastPassもYubiKey(s)をサポートしているが、ただしこの機能を使えるのはDashlane同様、有料ユーザーのみで、しかもLastPassはやや古いOTPプロトコルを使っている。対してDashlaneは、より現代的な2nd Factor(U2F)認証プロトコルを使っている。

YubiKeyをDashlaneで使うときの使い方は、ほかのサービスで使う場合とそれほど変わらない。最初は、セットアッププロセスを単純にこなしていくと、やがて、キーを挿入せよと言われ、そこでセットアップは完了する。そして、今後このサービスにログインするときは、まずパスワードを入力して、次にプロンプトに従ってYubiKeyを挿入する。そして下図のようにキーをタップすると、サービスに入れる。

DashlaneAndYubiKey@2x

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Gmailの企業ユーザー向けのセキュリティ機能が向上–DLPサービスをアップデート

9027029071_ab7695723b_o

Googleが今日(米国時間2/29)、Gmailの企業ユーザーのための新しいセキュリティ機能をいくつか発表した。昨年同社はGoogle Apps Unlimitedのユーザーのために、機密データがメールに入り込まないようにするためのData Loss Prevention(DLP)機能をローンチした。そして今日同社は、このサービスの初めての大型アップデートを、サンフランシスコで行われているRSA Conferenceでローンチした。

DLP機能により企業は、メールに乗ってその企業のファイヤーウォールを出入りしてもよい機密情報の種類を指定できる。

2016-02-29_1306

DLP for Gmailの今日発表されたもっとも重要な機能は、添付ファイルをOCRでスキャンして機密情報や不適切な言葉を見つける機能だ。前者はたとえばクレジットカードの番号、運転免許証の番号、社会保障番号など、後者は悪口や秘密プロジェクトのコードネームなどだ。

DLPはこれまでも添付ファイルをスキャンできたが、画像ファイルの中の社会保障番号などは検出できなかった。これからはDLPは、アドミンの指定に基づいて、それらの語や番号などのある画像ファイルも排除できる。

また今回のアップデートで、DLPが検出できる情報や、とくに個人を同定できる情報の種類も各国ごとに増え、とくに合衆国ではHIPPAデータも広くカバーすることになった〔参考資料〕。

さらに今日のアップデートでは、ルール違反の数に基づいてアドミンが容易に、メールの扱い方を変えることができるようになった。たとえば、クレジットカード番号が一つだけあるメールは当人に書き直しを命じるが、ルール違反が50件以上もあるメールは問答無用で拒絶する、といった扱い方のバラエティだ。

またこのサービスが提供している各種検出機能のゆるさや厳しさをアドミンが指定できる。これによりたとえば、違反の“偽陽性”を防げる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AppleがSnowdenが愛用したセキュアなチャットアプリSignalの開発に関わったデベロッパーを雇用

shutterstock_217604671

【抄訳】
Appleは年間を通じて多くのインターンを雇用しているが、今週はその中の一人が特別な関心を招(よ)んだ。それは、San Bernardinoの銃撃犯の一人が使っていたiPhoneにFBIがアクセスできるようにせよ、という問題の多い命令に今同社が反対している状況との、関係を匂わせるからだ。

スイスのデベロッパーFrederic Jacobsは、セキュアなメッセージングアプリSignalの開発に参加した。このコミュニケーションアプリは、NSAの内部告発者Edward Snowdenのお気に入りだった。Jacobsは今日(米国時間2/25)、クパチーノの企業にこの夏加わり、同社のCoreOSのセキュリティチームで仕事をする、と発表した。彼はSignalを作ったWhisper Systemsに二年半いて、今年初めに退社した。

[この夏AppleでCoreOSのセキュリティチームと仕事をするというオファーを、受諾したことをここに発表できることは嬉しい。]

Signalはその堅牢性が、サイバーセキュリティのコミュニティで好評だった。その一人Snowdenは、それを毎日使っている、と語った。それは、EFFの調査でセキュリティに関し高得点を上げた数少ないアプリの一つだ。AppleのFBIとの闘争でよく名前が出てくるセキュリティ研究家Jonathan Ździarskiは、各種のデータ発掘ツールで苛酷な試験をしても、ほとんど何も明かさない、とSignalを称賛している

JacobsのAppleでの役割はまだ不明だが、でも彼の雇用は同社が大きな圧力を受けているときに行われた。AppleはiOSのセキュリティを版を追うごとに強化しているが、しかし昨日のニュースでは、今あるパスコードの要らないリカバリオプションを、今後のiPhoneからはなくす、という。またiCloud上のiPhoneのバックアップは、暗号化したい意向のようだ。

なぜそうするのか? 同社は、iPhoneに保存されているデータにFBIがアクセスできるためのソフトウェアを作れ、と命令されたが、上のような措置が実行されたら、それが不可能になる。実質的に同社は、セキュリティのウィークポイントになりうるのは同社自身であることを認識した。それは、FBIが同社にデータの開示を強要できたことが証明している。FBIの要求に応じうる能力を、自分自身から取り去れば、リスクを軽減できるだろう。あるいは少なくとも、FBIは、デバイスの内部を見るための別の方法を見つけざるをえなくなるだろう。

【後略】
(以下…上の2パラグラフも含め…JacobsともCoreOSともSignalとも関係のない、Apple vs. FBIの旧聞情報のみ。)

Apple vs FBI

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Apple CEO Tim CookがABCテレビの独占インタビューに応じる: FBIのiPhone開示命令に従うことの危険性を強調

screenshot-2016-02-25-14-27-462

【抄訳】
AppleのCEO Tim Cookが非常に厳しい口調で、San BernardinoのテロリストSyed Farookが使っていたiPhoneを開けろというFBIの命令を同社が拒否する理由を説明した。

Cookはこれまでにも二度、Appleの姿勢を詳細に説明している。ひとつは顧客宛の書簡、そしてもうひとつは、一般に公開された社員宛のメモだ。テクノロジー業界の名士たちも、その多くがそれらを支持したが、FBIのディレクターJames Comeyが、バックドアが目的ではないと語り、それに続いてPewの調査が、アメリカ人の多くはAppleが命令に従うべきと思っている、と示唆した。そこであらためてCookは、この件に関するiPhoneのメーカーとしての立場を明らかにすることになった。

その機会が、ABCのDavid Muirによる独占インタビューだ。その席でCookは、iPhoneへのバックドアアクセスを可能にすることに対する彼自身の危惧の念を説明し、それは“ソフトウェアの癌に等しい”と述べ、それは未来への危険な前例を作り、世界中の何億というAppleの顧客のプライバシーと安全を危険にさらす、と語った。

“テロリストには同情しない”、とCookは語る。“恐ろしいことをしようと決断した時点で、彼らは権利を捨てている。私たちは彼らのプライバシーを守ろうとしているのではなく、そのほかの人たち全員の権利と安全を守りたいのだ”。

“[iPhone上でロックされているデータにアクセスするソフトウェアを作れば]、全員を危険にさらすことになる。そんなソフトウェアには、ほかのiPhoneをアンロックする能力があるだろう。そのことが、問題なのだ”。

Cookによると、彼はAppleの姿勢を支持するメールを何千通ももらったが、発信者の職業分類でいちばん多かったのが、“私たちの自由のために戦っている”アメリカの軍人軍属(American service men and women)だった。Cook曰く、そのことは、銀行口座や人間関係や子どもの居場所など、人びとが自分のスマートフォンに保存している内密でプライベートな情報を露呈し、公共の安全を損なうことに利用されうる鍵が、作られてしまう可能性を物語っている。

【後略】
(以下の趣旨)
・何億ものロックを開けうるマスターキーを作るのは、それが悪者に盗まれることもありえるから危険。
・犯人の通信履歴は通信企業(キャリア)などから得られる。
・Appleは一般市民の自由の味方である。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Apperianのモバイルアプリ管理がAPIを公開、サービスの個別機能を利用できるように

shutterstock_151685963

モバイルアプリの管理(mobile app management, MAM)をクラウドからのサービスとして提供しているボストンのApperianが、デベロッパーがこのサービスの各機能を個別に利用できるために、このほどAPIの集合を公開した。

これによりデベロッパーは、セキュリティやライフサイクル管理、アプリの配布など、Apperianのさまざまな部分を、サービス全体の有料ユーザーにならなくても利用できる。

これまでは、一部の機能だけを使いたい企業でも、プラットホーム全体のユーザーにならざるをえなかった。しかし個々の機能がAPIとして提供されると、ユーザー企業のエンタープライズモバイルアプリが必要とする機能だけを使えることになる。

たとえば、Apperianのセキュリティの部分を使いたいがライフサイクル管理やカタログ機能は要らないという企業は、APIを使ってそれができる。

Apperian mobile application mangement platform components: security, lifecycle management and distribution.

画像提供: Apperian.

 

Apperianのプラットホームを構成しているさまざまな成分から、ビジネスロジックだけを取り出せば、IT部門やデベロッパーたちは、アプリの彼らがいちばんよく知っている部分に集中でき、セキュリティや管理をApperianに任せられる。

Apperianのマーケティング担当ディレクターChris Hazeltonは、こう説明する: “アプリケーションに関しては今後も変えたくない企業でも、セキュリティと管理に関しては弊社の技術を利用してコンスタントにアップデートしアップグレードしたいと思っている。そうするとアプリの本体とは別に、セキュリティと管理が進化していける”。

関連記事

Apperian Snares $12M As Mobile Applications Management Catches On
Apperian Gets Strategic Investment From Intel Capital To Develop Platform For Managing Windows Apps
Apperian Raises $9.5M For Enterprise Mobile App Deployment Platform

エンタープライズモバイル管理(enterprise mobility management, EMM)という幅広い範疇の中でApperianの中心的な差別化要因は、VMware AirWatchやMobileIronのようなモバイルデバイス管理(mobile device management, MDM)のベンダと違って、デバイスのセキュリティには関与しないことだ。むしろ同社のアプローチは、顧客に、デバイスとは別個にアプリのセキュリティを確保させることだ。これによって顧客は、内部的に社員だけでなく、契約企業やパートナーなど外部の関連部門ともアプリをシェアできる。そしてその際、デバイスのセキュリティには関与しない。

MDM方式が求めるように、外部関連部門が使っているデバイスに顧客企業のITがアクセスするのは至難だから、Apperianの方式の方が実用性が高い。

Apperianのマーケティングとプロダクト担当最高責任者Mark Lorionはこう語る: “弊社のアプローチの顕著な特徴は、セキュリティを個々のアプリレベルで実装するから、管理されていないデバイスに対してもアプリをセキュアに配布できることだ”。

なお、APIを利用できるのは、Apperianの顧客とパートナーのみである。

同社は2009年に創業し、これまでに4000万ドル近くを調達している。いちばん最近のラウンドは、2015年9月のシリーズC 1200万ドルだった。Apperianは16の特許を保有し、社員は66名、125社の顧客の中にはCisco, Toyota, Walgreens, AT&T, そしてTransportation Safety Administration(運輸安全庁)などがいる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Bill Gates曰く、AppleはiPhoneをアンロックすべき

FILE - In this Sept. 27, 2015 file photo, Bill Gates, philanthropist and co-founder of Microsoft, participates in a session at the Clinton Global Initiative in New York City. The University of California announced Sunday, Nov. 29, 2015, it has pledged $1 billion over the next five years toward research and development of clean energy technology to fight climate change as part of a coalition led by Bill Gates. (AP Photo/Mark Lennihan, File)

Bill GatesはFBIの味方になって、AppleはSan Bernardinoの銃撃犯の電話をアンロックすべきだ、と言っている。Financial Times誌のインタビューでMicrosoftのファウンダーは、司法省の主張を単純に繰り返す形で、これは一回かぎりのケースでありFBIは一般的なアンロックツールを求めてはいない、と述べた。

“これは政府が情報へのアクセスを求めている特殊なケースだ”、とBill GatesはFinancial Times誌に語っている。“何か一般的なものを求めてはいない。特定のケースに関しての求めだ”。

“誰もが電話会社に情報の入手を求められるべきだ、とか、誰もが銀行の記録を取得できるべきだ、というようなレベルの話ではない”、と彼は語る。“たとえば銀行がハードディスクを紐でぐるぐる巻きにして、‘私にこの紐を切らせないでください、今後あなたは何度でも私に紐を切らせるでしょうから’、と言っているようなものだ、今のAppleは”。

Gatesの意見は、GoogleやFacebookの役員など、シリコンバレーの多数意見と著しく対照的だ。後者は、この特定のiPhoneを開けることに対するTim Cookの強硬姿勢を称賛している。

つい昨日、Tim Cookは別の書簡をリリースした。今回はAppleの社員宛てで、その中で彼はFBIの命令が撤回されることを求め、顧客データを保護するセキュリティ機能を担当している社員たちに感謝している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AppleはiPhoneアンロックの事案で延期を獲得、返答の期限は2月26日に

SAN FRANCISCO, CA - OCTOBER 22: Apple CEO Tim Cook speaks during an Apple announcement at the Yerba Buena Center for the Arts on October 22, 2013 in San Francisco, California. The tech giant announced its new iPad Air, a new iPad mini with Retina display, OS X Mavericks and highlighted its Mac Pro. (Photo by Justin Sullivan/Getty Images)

FBIのためにiPhoneを改造せよ、という裁判所命令にAppleが答えるべき締め切りの期日が、延期された。最初は火曜日が締め切りだったが、金曜日、2月26日までに延びた、という。

Appleは、iOSの特殊なバージョンを作れというFBIの要求が、負担が大きすぎ、200年の歴史をもつ法律All Writs Actの枠を超えていることを、証明する必要がある。延期のニュースは、さきほどBloombergが報じた

FBIの要求には、三つの要請がある。それはAppleに、間違ったパスワードを何回も入力するとその電話機のデータを消してしまう自動消去機能を無効化またはバイパスすることを求めている。またそれはAppleに、パスワード誤入力の際の遅延を取り去るよう求めている。遅延とは、次のパスワード入力(試し入力)までロックにより数分とか数時間待たされることだ。遅延をなくすことによりFBIは、自分たちによるパスコードの試行を短時間で済ませられる。第三に、いちばん問題なのが、それがAppleに、パスコードの入力をBluetoothやWi-Fiのような無線プロトコルまたはデバイス上の物理的ポートからできるような、新しいバージョンのiOSを作るよう、求めていることだ。

AppleはTim Cookの強い口調の言葉で要求を断ったが、今度は法に従って答えなければならない。そして裁判所が、応諾を強制すべきか否かを決定するだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

一部ユーザーのメールや電話番号を侵すバグをTwitterが修復

shutterstock_329646476

Twitterからの今日(米国時間2/17)の発表によると、同社は先週、パスワードリカバリシステムに24時間存在したバグを修復した。その間に1万弱のアクティブアカウントに影響が及んだが、そのバグは、それらのユーザーに結びついているメールアドレスと電話番号を露呈した可能性がある。影響を受けたアカウントには、すでに通知済みである。

Twitterによると、同社はこの件を警察に通報して、このセキュリティバグを悪用して誰かのアカウント情報にアクセスしたユーザーが見つかれば、彼らを取り調べてもらう、という。本誌TechCrunchは今、同社が実際にそうしたのかを、問い合わせ中である。

このバグの影響が及んだのはTwitterの3億2000万のユーザーのごく一部にすぎないが、しかしそれでも、二重認証など、同社が推奨する“良質なセキュリティのための身辺衛生”に、あらためて気をつける契機にはなる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Android用1Passwordに指紋によるアンロック機能が実装、ルック&フィールはマテリアルデザインに

1password

パスワード管理サービス1PasswordをAndroidデバイスで使っている人たちのために、今日(米国時間2/9)そのデベロッパーのAgileBitsが、重要なアップデートを発表した。中でもとくに重要なのが、指紋スキャナーのサポートだ。それは、Appleのデバイスではかなり前からサポートされていた。

ただし、指紋によるデバイスのアンロックが使えるのは、Android Marshmallow(Android 6.0)を搭載し指紋スキャナーがある機種、たとえばGoogle Nexus 5Xなどだ。Android 6.0向けにアップデートされたアプリだが、指紋スキャン以外のアップデートはAndroid 4.1以降の機種なら十分有効だ。

それらの新機能は、チームのサポート、デザインにGoogleのMaterial Designを採用、浮動ボタンや遍在的なツールバー、などだ。AgileBitsによると、WiFiのシンク機能も“大幅に改良”され、パスワードを複数のデバイス間でワイヤレスにアップデートできる。こういうアップデートを早くやりたい人は、Androidアプリのベータに参加するとよい。

パスワード管理サービスをまだ使ってない人は、ぜひ検討してみよう。1Passwordも、ベーシックバージョンは無料だが、容量無制限のストレージなど、高度な機能が必要ならパッケージを買うこと。

同様のサービスとして、Dashlane最近大きくアップデートされたし、LastPassは昨年、LogMeInに1億1000万ドルで買収された。未来にはパスワードは要らなくなると思われるが、でも現状では、いろんなアカウントのパスワードの管理は自分でやるより、専用のソフトウェアに任せた方が安全だ。もちろん、同じパスワードをあらゆるアカウントで使うのは、もってのほかだけど!

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ゼロデイ脆弱性の‘発見者’たちを雇ってMacのセキュリティを確保したApple

macbook-pro-2013

Thunderstrike 2を、おぼえておられるだろうか? 昨年の夏にXeno KovahとTrammell Hudsonが発見したOS Xの深刻なゼロデイ脆弱性は、マルウェアの作者がユーザーのMacを完全な煉瓦の塊(ないし‘文鎮’)にしてしまい、工場出荷時の状態にリセットする方法もない。Appleは、その脆弱性をフィックスしただけでなく、この悪行の背後にいた人たちを雇用して、セキュリティ対策に当たらせることにした。

Thunderstrike 2は、Ethernetアダプタや外付けDVDドライブなどのThunderboltデバイスに感染する。感染したThunderboltデバイスを接続したままでMacをリブートすると、MacのファームウェアはそのThunderboltアクセサリ上のオプションROMを実行してからOS Xをブートする。するとMacのファームウェアが煉瓦になり、Macは使用不能になる。

いちばん厄介なのは、アクセサリの感染はずっと残るので、今後、煉瓦状のMacがいくらでも量産されてしまうこと。Appleとしても早急な対策が必要な、強力で悪質なマルウェアだった。

2015年11月にTrammell Hudsonは、Appleが32C3カンファレンスでLegbaCoreを買収したことを公表した。Xeno Kovahも、今Appleで仕事をしていることを確認した:

[Appleは何のためにわれわれを雇ったのか? それは、言えない。“低レベルのセキュリティ”のため、ぐらいは言えるかな(今の自分の肩書を知らないんだ)。]

セキュリティコンサルタント企業のLegbaCoreは、新しい顧客の受け入れを停止した

それが本当の買収だったのか、それともLegbaCoreを支える二人の人物を雇っただけなのか、よく分からない。KovahとHudsonはLegbaCoreの仕事を続けることができず、フルタイムでAppleの仕事をしているようだ。

Appleが、これらのセキュリティエキスパートを雇用したことは、理にかなっている。セキュリティホールを、それが一般的に知られる前にハッカーを雇って直してしまうテク企業は少なくない。製品のセキュリティを確実にするためには、とても良い方法だ。

出典: Mac Rumors

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

オープンソースコードのセキュリティアップデートを代行するLexumoが$4.89Mを調達、巨大な未開拓市場に挑む

shutterstock_104783210

マサチューセッツ州ケンブリッジのLexumoは、オープンソースコードのセキュリティアップデートを継続的にチェックしてくれるクラウドサービスだ。同社は今日(米国時間2/1)、489万ドルという、しっかりした額のシードラウンドを発表した。

このラウンドをリードしたのはAccomplice, .406 Ventures, そしてDraperだ。

投資家たちがLexumoに注目する理由ななんだろう? 同社は世界中のすべてのオープンソースコードをインデクシングして、その結果をもとに、オープンソースコードを組み込みシステムやエンタープライズソフトウェアで利用している企業に、セキュリティサービスをクラウドから提供している。ユーザー企業がLexumoにコードを提出すると、同社はその中に既知のセキュリティ脆弱性をチェックする。またLexumoはそのコードを継続的にモニタして、アップデートがあればそのことをデベロッパーに知らせる。

オープンソースソフトウェアのコードの継続的なセキュリティアップデートのチェックは、ユーザーの自己責任になることが多いが、それはユーザー企業にとって、往々にして負担が大きすぎる。自力でできない場合もある。それをいわば自動化してくれるのが、Lexumoのサービスだ。LexumoのCEO Brad Gaynorはそう説明する。

デベロッパーはオープンソースのライブラリを使ってなるべく早くソフトウェアを作り、配布したいと願っているが、アップデートをタイミングよくチェックして、その内容(既存コードに与える影響など)を理解できる人材が、いない場合が多い。

“オープンソースのコミュニティは、セキュリティの脆弱性を見つけてその対策を施し、新しいコードを作っているが、そのアップデートのペースに追随できないユーザー企業がほとんどだ”、とGaynorは語る。

コードのアップデートはセキュリティ対策だけでなく、APIやインタフェイスの変更を含むこともある。しかしデベロッパーによっては、API等はいじりたくないが、セキュリティだけはアップデートしたい、パッチを当てたい、ということがある。そういう場合もLexumoはカスタムのパッチを提供してそのニーズに応える。“フル・アップグレードがいつでも正解とはかぎらない”、とGaynorは説明する。

Gaynorらは5年前には、MITの非営利の研究団体Draper Labsにいた。その団体が昨年、独立の企業としてスピンオフし、サイバーセキュリティに着目して世界のすべてのオープンソースコードをインデクシングし、検索できるようにした。Gaynorらはその価値を認めたが、実用化の方法がまだよく分からなかった。

“当時のわれわれには、世界中のオープンソースソフトウェアを分析する能力があったし、その改良と拡充にも努めていた。それはまるで、手に金槌を持っているのに、釘がどこにも見当たらない状態だった”、と彼は語る。

そして最終的に彼らは、オープンソースコードの脆弱性を見つけ出すことをサービスとして企業化しよう、という方針に落ち着いた。今は、資金環境が厳しくなってきたと言われているから、その中での500万ドル獲得は、なかなかのものだ。

“大きな市場なのに、まだ誰も手を付けていないんだ。われわれの技術とビジネスモデルは、とくに組み込みシステムにおける未対応のニーズに応えようとしている”、とGaynorは語っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

電話の詐欺を見抜くPindropが創業3年で早くもシリーズC、Google Capitalらから$75Mを調達

288491653_2eebf1d6e1_o

Pindropは、電話の音声と発呼者に関するメタデータの両方を分析して、企業が電話詐欺にやられることを防ぐ。ローンチ時の2012年に調達した4700万ドルに加えて今日(米国時間1/28)同社は、Google Capital率いるシリーズCのラウンドにより7500万ドルを調達したことを発表した。

このラウンドにはGoogle Ventures、Citi Ventures、Felicis Venturesのほか、同社のシリーズAをリードしたAndreessen Horowitzと、シリーズBをリードしたInstitutional Venture Partnersが参加した。

2016-01-27_1429

Pindropによると、同社の技術の主なユーザーは、保険企業、政府機関、小売企業、そして合衆国の4大銀行のうちの三つだ。これまでに同社がチェックした起呼は、合計3億6000万あまりになる。

このサービスはまず、かかってきた電話の起源(どこから)と、固定電話/セル電話/VoIPの番号など、いちばんベーシックなデータを調べる(詐欺電話はVoIPからがいちばん多いそうだ)。さらにそれに加えて、電話の音声を調べる。そのためにたとえば、周波数フィルターやコーデックのデータ、パケットロスやフレーム落ちなどを分析する。

これらのデータから各起呼のリスクプロファイルを生成する。そのプロファイルが詐欺の可能性を示唆していたら、エージェントが相手にセキュリティ関連の質問をすることができる。

Pindropによると、同社は新たな資金を国際展開に充て、また研究開発への投資も増やしたい、という。同社は今イギリスに10名の社員がいるが、今後はEMEA地域におけるプレゼンスを拡大したい。ラテン・アメリカではすでにサービスを提供しており、今年後半にはアジア太平洋地域にも市場を広げていく予定だ。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。