タイの軍事政権が3000万Lineユーザの全通信をモニタ、不敬罪の摘発へ

タイ政府のお役人たちは昨年、チャットアプリLineにアクセスしてその会話内容をモニタしたい、と要求した。そして今週、ある政治家(下記)が、今では彼らはそれができる、と主張した。

The Nationの記事によると、情報通信技術大臣Pornchai Rujiprapaが記者会見で、“政府はタイの国民が毎日Lineを使って送っている4000万通近くのメッセージのすべてをモニタできる”、と述べた。

Lineのスポークスパーソンは記事の内容を否定し、本誌TechCrunchに対して、同社はタイの政府にユーザ情報を提供していない、と述べた。

大臣のその主張は、タイでは相当重大な情報開示だ。アジアにはメッセージングアプリのユーザがFacebookのユーザよりも多い国がいくつかあるが、タイはその一つ。Lineの公表によると、タイの登録ユーザ数は3000万を超えている…登録ユーザ数としてはFacebookよりも多い

タイ政府が本当にLineをモニタしているのなら、それは、これまで彼らがやってきた、いくつかのソーシャルネットワーク上の不法と見なされるコンテンツをブロックする取り組みの、延長かもしれない。

Pornchai大臣のこのたびの暴露によると、刑法に厳しい不敬罪がある*タイでは、その法に違反しているメッセージを見た者は誰でも、そのメッセージの最初の発信者を突き止めることのできる当局に連絡しなければならない。〔*: タイ刑法第112条 国王、王妃、王位継承者あるいは摂政に対して中傷する、侮辱するあるいは敵意をあらわにする者は何人も三年から十五年の禁固刑に処するものとする。 —Wikipedia「不敬罪」より。〕

不敬罪による過去の逮捕者は、SMSやFacebookのメッセージ、インターネット上のフォーラム、Webサイトなどに関連していた。おそらくLineもやがてその一員になるのだろう。しかし、今では政府に対する批判勢力もあるので、当局はそれとも戦うつもりだろう。

タイの軍のトップ(今の首相)は、今年5月のクーデターにより政権を握った。新たな政権は複数の抵抗勢力に直面しており、その中には学生グループもいる。彼らは映画Hunger Gamesの真似をして、三本指の敬礼を、現政権に対する異議申立てのサインとして使っている。

軍事政権は、政権批判者が出没するWebサイトを検閲する、と脅している。Facebookすら、彼らによって一時的にブロックされた。政府当局はこの夏、GoogleやFacebookとの検閲に関する話し合いを持とうとしたが、両社ともその話には乗らなかった

この国でユーザ数が最大のソーシャルネットワーク上の、すべてのメッセージを当局が自由にフィルタできる(らしい)という話は、プライバシーの観点から大きな困惑であるだけでなく、Line自身のセキュリティにとっても問題だ。

たとえば昨年Lineは、携帯のデータ通信で送られるメッセージにサードパーティがアクセスできる、という中間者攻撃遭いやすいという脆弱性が見つかった。Lineはその問題をパッチし、チャットの暗号化機能を導入したが、ぼくの個人的な経験の範囲内では、これまで誰もその機能を使っていない。

政府はLineの協力の要らない独自の方法でメッセージをモニタできるのかもしれない。モニタしていることを、Lineにもユーザにも知られることなく。政府当局は、より効率的な検閲システムのために、独自のインターネットゲートウェイとその検閲への利用を計画していると思われる

そういうゲートウェイや検閲システムに関して、政府による公式の発表はない。本当だったとしても構築に数年は要するだろうが、今強く感じられる可能性としては、サイバー空間のモニタリングやコントロールに関してタイ政府は、インターネット企業の協力や同意等は求めずに、ISPや通信事業者とのみ協働していくつもりだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ソニーへのサイバーアタックにつき、FBIの名指しをうけた北朝鮮は一切の関与を否定

TechCrunchでも「ザ・インタビュー」絡みの話題をいろいろと取り上げている。FBIは犯行の背後には北朝鮮がいると主張しているが、北朝鮮側は一切の関与を否定しているようだ。BBCの記事によれば北朝鮮外務省は、FBIの決めつけは「重大な結末」を招く可能性があるとし、共同調査を提案してもいるようだ。

当初は、実際のところは他国からの攻撃であり、北朝鮮からのものに見せかけたものなのではないかという疑いももたれていた。しかし現在ではセキュリティ専門家の多くが、ソニーに対するサイバーアタックやその後の情報流出の背後には北朝鮮がいたものだと考えている。セキュリティの専門家であるBrian Krebsは、「Guardians of Peace」を名乗る集団からの攻撃の多くは北朝鮮からのものであり、また在日施設からのものも見られると述べている。

ソニーに対するサイバーアタック(最新技術を用いたというわけでもないらしい)は当初、いち映画会社の問題であったわけだが、それがいまや国家間の騒動へと発展したわけだ。北朝鮮は自らの関与を全く否定している。現時点ではわからないことも多く、事実が明らかになるのは(明らかにされない場合もあり得るだろう)しばらく後のこととなるだろう。アメリカと北朝鮮の関係を考えれば、北朝鮮の提案している共同調査などというのはあり得ない話だろう。もちろんデニス・ロッドマンが動き始めれば、話はまた別なのかもしれない。

原文へ

(翻訳:Maeda, H


Googleのエンド・ツー・エンド暗号化プラグイン開発、一歩前進―鍵サーバーはGoogleが運営

1年半ほど前、Googleは誰でも手軽にメールを暗号化できるよう、メール暗号化プラグインを開発中だと発表した。 そのツールのリリースが近づいてきたらしい。

まだ一般公開の段階には至っていないものの、今週、GoogleはEnd-to-End暗号化プラグインをGitHubに登録し、デベロッパーが実際に安全であるかテストできるようにした。またこのツールの仕組みについてもいくつか新しい情報が発表された。

メール暗号化というのは長い間頭痛のタネとなっている。公開鍵暗号自体はそう複雑なものではない(「公開鍵」というコンセプトは理解するのが最初は少し難しいかもしれないが)。 最大のハードルは、公開鍵暗号を技術的知識のない一般ユーザーが簡単に使えるようにする点にあった。現在利用可能なツールとしてはMailvelopeというChromeプラグインがいちばん使いやすいだろう。しかしそれでも公開鍵暗号の仕組みについて基本的な知識を必要とする。

End-to-Endプラグインはまだ開発途中だが、Googleの説明によると、「誰でも使える」ことをデザインの主眼としているらしい。たとえば暗号化キーのサーバーはGoogle自身が運営する。他のOpenPGPベースのシステムでは特定の暗号化キーが特定のユーザーに対応していることを保証するために web of trustという保証の連鎖を用いる方法を採用している。「この方法で暗号化キーの正統性を認証するにはユーザー側で相当の作業が必要になるうえ、一般ユーザーにはその概念の理解が難しい」とGoogleのEnd-to-Endチームはドキュメンテーション中で述べている。

これに対してGoogleはもっと中央集権的なアプローチを採る。ユーザーの公開鍵はGoogleのサーバー内に自動的に登録され、キー・ディレクトリとして公開される。あるEnd-to-Endユーザーが別のユーザーに暗号化メールを送りたい場合、システムはキー・ディレクトリをチェックし、正しい鍵を選んで暗号化する。鍵配布の正確なメカニズムについてはこちらを読んでもらうとして、重要な点は、Googleが鍵サーバーを運用することによって公開鍵システムの一般への普及を阻んできたハードルの非常に大きな部分が除去されるという点だ。

このEnd-to-EndプラグインはGmail以外のウェブアプリにも暗号化サービスを提供できるという。これは朗報だ。Gmailの暗号化専用ツールというにとどまらず、他のメールやサービス、たとえば各種のインスタント・メッセージも暗号化できるとなればその影響はきわめて大きい。Yahooはすでにこのプロジェクトに協力しているというので、他のメジャーなウェブメールやメッセージ・サービスのベンダーも加わるかもしれない。

Googleによれば、鍵配布とUIに関する問題点が完全に解決されるまではアルファ版の公開は行わないという。しかしいろいろな情報を総合すると、2015年にはなんらかの形でローンチが行われるものと期待してよさそうだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


LINE Payで「LINEカツアゲ」が横行する?

12月16日、ついにモバイル決済サービス「LINE Pay」がスタートした。詳しい機能や気になるセキュリティに関する話は紹介済みだが、一部では「LINEカツアゲ」が懸念されている。気軽に個人間決済ができるようになったことで、「お前飛べよ」「いや、持ってないですよ」「おい、小銭の音したぞ」みたいなやりとりをせずに、「スマート」にカツアゲが行われるんじゃないかっていう心配だ。

この点についてLINE執行役員の舛田淳氏に聞いてみたところ、次のような答えが返ってきた。「カツアゲ自体は犯罪行為なので、警察に届けていただくべき。LINE Payを使ったカツアゲが起きたとしてもLINEにログが残っているので、リアルなカツアゲよりも足が付く。警察に一網打尽にされるでしょう」。

LINEカツアゲの被害にあった場合は警察に届け出よう。


アイオワ州、運転免許証をデジタル化するアプリケーションを開発中

最近では、どこに行くのにもスマートフォンを持っていくようになった。そうした状況を鑑み、アイオワ州運輸省では運転免許をアプリケーションにしてしまおうと考えているそうだ。

アプリケーションには、従来の運転免許と同様の情報を掲載するのだとのこと。警察や空港のセキュリティでも、このアプリケーションを正当なIDカードとして取り扱う予定にしているのだとのこと。

デジタル免許証情報の正当性確認にはPINコードを用いるのだと、運輸省のスポークスパーソンであるAndrea HenryがCNNのインタビューに対して述べている。将来的には指紋認証ないし顔認証を使う予定にもしているとのことだ。

なるほど便利そうだが、問題もある。たとえば複数のデバイス上で同じID情報を表示できるようにもなるわけだ。また、スマートフォンにID情報のすべてを担わせることには問題があるのかもしれない。免許証の情報をデジタル化することで、むしろ自己証明が難しくなる(他の情報を組み合わせる必要が生まれる)という側面もあるのかもしれない。

この電子免許証については、2015年の早い段階で実現予定だという話もあった。しかしプライバシー問題など、実現を妨げる問題もいろいろと予測されている。Wall Street Journalの記事によれば、運輸省側の実用に向けたタイムラインはまだまだ流動的であるようだ。

Photo credit: William Petroski/Des Moines Register

白バイなどに突然止められたときには、スマートフォンの画面をロックすることもできないだろう。そのような状況で、警察官はスマートフォンに表示される免許証をみれば、スマートフォン上での活動履歴を見ても良いのだと考えるかもしれない。そのようなケースに対応するため、免許証情報を表示した場合には画面をロックするという仕組みの実装も考えているのだとのこと。

また、重要な情報をスマートフォンに入れて運用することの問題もあるのかもしれない。そもそもは情報を管理しやすくして、より安全に持ち運べるようにしようというのが運輸省側の考えではある。しかしスマートフォンを盗まれれば、重大な個人情報が盗まれることに繋がるわけではある。

もちろんメリットもある。電子化しておくことにより、これまでのように免許証をなくしてしまうというようなことはなくなる。また免許証を探して部屋中をひっくり返したり、それでも見つからなくなってしまったりというようなこともなくなるだろう。

アイオワ州としても、従来のカード型免許証をなくしてしまう意図はないようだ。どちらを使うかを選べるし、また双方を使うという選択肢も用意するとのこと。

「モバイルデバイスはますます普及するようになってきていて、そうしたデバイスで行えることがどんどん広がっています。私たちとしても、そうした時代に対応したいと考えているわけです」とHenryは言っている。

ちなみに本件を最初に報じていたのはDes Moines Registerだった。

原文へ

(翻訳:Maeda, H


中国政府がiOSをハック―Appleは外部のセキュリティー専門家と協力すべきだ

編集部: この記事は、Triumfantの社長、CEOのJohn Priscoの執筆。

エンタープライズ向けモバイル・セキュリティー企業のLacoon Mobile Securityの専門家は、iPhone、iPadから通話記録、メッセージ、写真、パスワードその他の情報を盗むことができるXsserと呼ばれるマルウェアを発見した。このニュースは国際的に大きな反響を巻き起こした。というのも、このマルウェアは中国政府が香港の民主化運動を監視するためにに作成、運用していると見られるからだ。

中国政府は以前にもデータを盗み、偽情報を広めようとするハッカー活動で非難されている。間違いなく今後も同様の活動を繰り返すだろう。しかし政治的な議論はさておき、ここにはテクノロジー上の重要な問題が含まれている。Appleはこの問題を直視する必要がある。

Xsserは今後も現れてくるモバイル・マルウェアの一つの例にすぎない。社員が私用のデバイスを業務に使ういわゆるBYOD(Bring Your Own Device)が広がる中、モバイルOSのセキュリティーが保護されていなければ大惨事が起きる。現在、Apple OSのユーザーはその閉鎖性のために必要なレベルの保護が受けられないままだ。私はAppleが外部のセキュリティー専門家、企業と協力して次世代のサイバー攻撃に備えるべきだと考える。

Appleの意図に悪いところはなかった。Appleはすべてをクローズドにしてきた。デベロッパー・コミュニティーに対しても、アプリの登録にあたっても厳格な統制を敷いてきた。その結果Appleはブランドの純粋さを守り、また最近までこの秘密主義がマルウェア攻撃に対する一定の防壁の役割を果たしてきた。しかし、魔神はAppleの壜から出てしまった。

これに対してGoogleは外部のセキュリティー企業と協力関係を築いてきた。セキュリティー専門家は、Androidの場合、OSレベルで必要な分析を行い、問題点を発見できる。AppleのiOSではそれは不可能だ。iOSには高い防壁が設けられアクセスを許さない。AppWrapperを通じてアプリを調査することしかできない。OSレベルでのアンチ・マルウェア・アプリを開発することは不可能なので、iOSのユーザーはそのレベルでの保護を受けられない。

ハッカーは(国家に支援されると否とを問わず)現実の存在だ。どんなシステムであれ、マルウェアによって攻撃されることは避けられない。世界最大のモバイル・デバイスのメーカーが外部の専門家によるユーザーの保護を拒否している現状では、BYODは極めて危険な方針というしかない。 Xsserはその危険を具体化するひとつの例にすぎない。さらに悪質なマルウェアが今後も数多く登場してくるだろう。

Appleはもはや不可侵の領域ではない。Appleがそのことを自覚することが強く望まれる。AppleはiOSをめぐる現実に目覚めねばらない。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Google Appsのユーザ企業にセキュリティとバックアップを提供するSysCloudが$2.5Mを調達、対象プラットホームの多様化へ

Google Appsを使っている企業のセキュリティとバックアップを支援するための総合的なサービスを提供しているSysCloudが今日(米国時間11/14)、これまでの投資家Inventus Capital Partnersと新たな投資家KAE CapitalからシリーズAで250万ドルを調達したことを発表した。

SysCloudは今のところGoogle Appsに特化しているが、新たな資金によりOffice 365やSalesforce、Dropbox、Boxなどそのほかのオンラインツールのユーザにもサービスを提供していける、と考えている。

2010年に創業された同社によると、今同社の技術で守られているGoogle Appsのアカウントは世界32か国およそ50万にのぼる。サービスの中心はバックアップだが、そのほかにもさまざまなセキュリティサービスを提供している。たとえば、セキュリティポリシーの粒度を管理して、機密データへの社外からのアクセスを防ぐ、などの機能だ。

ユーザにとって使いやすいサービスであるためにSysCloudはユーザに、PCIやFERPA、SOC 2などの標準的なコンプライアンスポリシーに対応する一連のテンプレートを提供している。また、さまざまな監査や報告のためのツールもサービスに含まれており、さらに、新たにGoogle Appsに移行する新規顧客を支援するサービスもある。

SysCloudのような、ツールのベンダから見てサードパーティのサービスには、そのサービスの内容をベンダが自社でやり始める、というリスクがある。たとえばGoogleはすでに、大企業のGoogle Appsユーザにセキュリティや監査の機能を提供している。またSysCloudは、CloudLockBackupifyなど、同種のサービスを提供している企業とも競争しなければならない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


世界中の無防備なWebカメラを見せるInsecam…パスワードに無関心なアドミンが多い

Insecamというおかしなサイトが、世界中の無防備なWebカメラ73000台を表示できる、と豪語している。その多くはCCTVやシンプルなIPカメラだが、それらに共通しているのは、一般的にアクセス可能なネットワークポートへストリーミングされていることと、デフォルトのパスワードをそのまま使っていることだ。だから誰でも、Webをクロールするロボットなどを使って、単純に”admin/admin”とタイプし、そのストリームにアクセスできる。

このサイトはカメラを機種と位置で分類しているが、カメラの多くは標準的なIPベースのカメラ(またはカメラ列)で、FoscamやPanasonicなどメジャーなメーカーの製品だ。このような“すきのある”カメラのリストは何年も前からあるが、このサイトはMotherboardが記事で取り上げたために、世界中に知られることになった。

このサイトで今、何が見えるのか? 大したものはなさそうだ。世界的に有名になってしまったために、多くのフィードが停止したのだろう。しかしNetworkWorldによると、Foscamのカメラはその多くが赤ちゃんカメラとして使われ、親たちに安心感を与えている。サイトのフロントページからのリンクで、ライブのカメラをいろいろ見ることはできるが、今は多くのストリームが死んでいる。

このサービスをロシアから提供しているらしい匿名のアドミンは、こう書いている:

“ときどき管理者は(たぶんあなたも)、監視システムやオンラインカメラやDVRなどの、’admin:admin’や’admin:12345’のようなデフォルトのパスワードを変えることを忘れる。そういうカメラは、実質的に世界中に一般公開されているのと同じだ。世界中のカフェやお店やモール、工場、そして寝室などに、何千というそんなカメラがある。カメラを閲覧するためには、国や機種を指定するだけだ。このサイトを作ったのは、セキュリティのための設定の重要性を、知らしめるためだ。あなたのカメラをこのサイトから消すためには、パスワードを変えてそれを非公開にするだけでよい。

わざわざ弱いパスワードを使ってWebカメラを一般公開でストリーミングする理由は、どこにもない。ITの連中は、8台のCCTVをセットアップする時、標準の”admin/12345″で楽をしたいと考えるかもしれないが、その怠慢に付け入るのは簡単だ。公開データにアクセスしても犯罪ではないから、プライバシーを守りたかったら、カメラのマニュアルをちゃんと読んで、まともなパスワードを使おう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Macを犯し、そのMacがiOSを犯す、新種のマルウェアが中国で蔓延…Appleはすでに対策済み

これまでは、モバイルのマルウェアといえばほとんど、Androidデバイスの問題と思われていた。そしてiPhoneは、ジェイルブレークさえしなければ安全、と信じられていた。AppleのCEO Tim CookもAndroidいじめの片棒を担ぎ、“Androidはモバイルのマルウェア市場を支配している”、と言った。しかし、このほど合衆国の研究者が中国で見つけた新しいウィルスは、Appleのデバイスにとって初めての深刻な脅威をもたらすかもしれない。

Palo Alto NetworksのリポートThe Vergeさんありがと)によると、新たな系統のマルウェアがAppleのセッティングをかいくぐって、Mac用の感染したソフトウェアを使っているセキュアな(つまりジェイルブレークされてない)iOSデバイスに感染するおそれがある。’WireLurker’と呼ばれるそのマルウェアは、中国のサードパーティのMacストアMaiyadi App Storeで野放し状態で見つかり、これまでに467のアプリケーションに感染したと言われている。そしてこれらのプログラムの感染したバージョンは35万回以上ダウンロードされ、数十万のユーザに被害を与えた、とPalo Alto Networksは報じている。

アップデート: Appleによると同社は、感染したアプリケーションが動けないようにした。…Appleの声明の全文は下にある。

そのマルウェアは正常なMacアプリケーションをリパックする。それをMacにダウンロードしたら、USBケーブルでそのMacに接続しているいかなるiOSデバイスにも、有害なサードパーティアプリケーションをインストールする。リポートによると、いちばん興味深い、おっと、いちばん困るのは、iOSデバイスに感染したWireLurkerが、一連の高度なテクニックを使って既存のアプリを有害アプリに変えてしまうことだ。

作者のねらいはまだ分からないが、Palo Alto Networksのリポートによると、WireLurkerは、自分が書き換えたアプリの内部からさまざまな情報を盗むことが、判明した。中国で見つかったそのマルウェアは、Alibabaの、ユーザ数がとても多いTaobaoショッピングアプリやAliPay決済アプリをねらっている。そこには、そのスマートフォンオーナーのクレジットカード情報や銀行口座の情報がある。しかしそのセキュリティ企業(Palo Alto Networks)は、その手口は今回の特定のマルウェアだけに終わらない、Appleデバイスのマルウェアの、“新時代”の到来を告げるものだ、と言っている。

とりわけ、Palo Alto Networksによると、“ジェイルブレークされてないiOSデバイスにエンタプライズ環境から感染してサードパーティのアプリケーションをインストールする野放しのマルウェアは、これが初めて”、だそうだ。

同セキュリティ企業は、同社の製品でWireLurkerを防げると言っているが、しかし、いつでも最良のアドバイスは、サードパーティのソースからアプリケーションをダウンロードしないこと、そしてApple公認のUSBケーブルを使用することだ。前者は、サードパーティのアプリストアが非常に発達していて人気も高い中国では難しい。でも圧倒的に多いのはMacやiOSでなくAndroidのストアだけど。

Palo Alto Networksのリポートには、WireLurkerのような性格のマルウェアの被害を受けやすいエンタプライズ環境のAppleユーザのためのアドバイスもある。

アップデート: Appleによると同社は、中国で感染したアプリケーションに対して対策を講じた:

弊社は、中国のユーザをねらった有害なソフトウェアがダウンロードサイトから入手できることを承知している。そして弊社は、そのようなアプリケーションを見つけ次第ブロックし、それらが起動しないようにしている。いつものように弊社は、ユーザが、信頼されているソースからソフトウェアをダウンロードしインストールすることを、おすすめする。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


知らない人が作ったPowerPointプレゼンテーションを開いてはいけない

ご用心を! まるで10年前か20年前にタイムスリップしたみたいだが、MicrosoftがMicrosoft Officeにおそろしいバグを見つけた。そのバグが正しく実行されると、どのバージョンのWindowsを使っていても、システム全体が乗っ取られてしまう。

このバグに関するMicrosoftからの情報開示はここにあるが、以下にその要点を挙げておこう:

  1. このバグの被害は至るところで起きうるが、今のところMicrosoftに報告されているのは“限定的で特定のターゲットへの”攻撃だけだ。
  2. 被害が起きうるのは、Windows VistaとWindows Server 2008、Windows 7、Windows 8、Windows Server 2012、そしてWindows RTだ。XPの名がないのはMicrosoftがもはやサポートしていないからだと思うが、この広がりを見ると、XPだけ無事ということはありえないだろう。
  3. このバグが正しく実行されると、現在のユーザが誰であれ、攻撃者はシステムに対してその人と同じパーミッションを与えられる。その人がアドミンだったら、攻撃者もアドミンの権利を持ち、コードの実行、アプリケーションのインストールなど、何でもできる。
  4. WindowのUser Account Control機能を有効にしていると、ファイルを実行してもよいか、というプロンプトが出る。それが確実に自分が指定したファイルでないかぎり、[はい]してはいけない。
  5. そのバグはPowerPointのOLEシステムにある。スプレッドシートなど、ほかのアプリケーションの文書をプレゼンに含めるためのシステムで、サンドボックス化は完璧と思われていたが、このたび、誰かが隙間を見つけてしまったらしい。
  6. Microsoftによると、ハックされたプレゼンテーションがユーザにメールで送られてくるし、また、Web上にあるハックされたプレゼンテーションもおそらく危険である。つまり、本当に信頼できるPowerPointプレゼンテーション以外は、開いてはいけない。

このバグは、どれぐらいおそろしいのか? Microsoftはこう言っている(強調は本誌):

この脆弱性の悪用に成功した犯人は、現在のユーザと同じユーザ権を取得する。現在のユーザが管理者の権限でログオンしていれば、この脆弱性の悪用に成功した犯人は、被害システムの完全なコントロールを得る。そして犯人は、プログラムをインストールしたり、データを見る・変更する・削除するなどしたり、すべてのユーザ権限を有する新しいユーザアカウントを作成したりできる。

では、どうしたらいいのか?

だいじょうぶ。次のようにすれば、あなたは安全だ:

1) 確実に信頼できるプレゼンテーションだけを開くこと。
2) User Account ControlのあるWindowsなら、それを有効にする(デフォルトで有効になっていることが多い)。これでバグが退治されるわけではないが、システムがファイルを実行しようとすると、ユーザの許可を求める大きなプロンプトが出る。よく分からないファイルに[はい]をしないように。
3) Microsoftからのアドバイスを読もう。公式のセキュリティアップデートが出るまでの暫定的なパッチも、ここで提供している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


電話番号確認方式のユーザ認証をTwitterがデベロッパサービス(一種のAPIスイート)Digitsとして提供

【抄訳】

今日(米国時間10/22)、Twitterが初めて行うデベロッパカンファレンスFlightで、モバイルアプリのログインをパスワード不要の簡単なものにするサービス、Digitsが発表された。それは、そのほかにもいろいろ発表されたモバイルアプリのデベロッパ向けの一連のツールのうちの一つだ。

Facebookが高額でWhatsappを買収したことが象徴しているように、今モバイルの上ではメッセージングがホットだ。それらのメッセージングアプリは、ユーザの認証にWebでおなじみの面倒なユーザ名/パスワードの組み合わせを使わない。ユーザは単純に電話番号を入力してサインアップし、するとアプリはSMSベースの確認コードで、ユーザが確かにその電話番号の保有者であることを確認する。それで、ユーザ認証は完了だ。パスワードは要らないし、CAPTCHAというかったるいものもない。メアドを使わないからスパムも侵入しない。

Digitsは、デベロッパが各アプリでいちいちこの認証過程を書かなくてもよいように、電話番号入力画面を出す、SMSの確認コードを送ってその番号を確認する、というツーステップをサービスとして代行する。アプリは、メッセージングにかぎらず、何でもよい。近くWeb用のAPIも提供されるから、Webアプリケーションがこのサービスを利用してもよい。

この処理は、ユーザ名/パスワードがWebの遺物であるからだけでなく、スマートフォンが自己の持つ唯一のコンピュータである途上国では、(多くの場合ユーザIDとなる)メアドを持ってない人も多く、しかし電話番号だけは確実に持っているから、きわめて合理的な認証処理だ。

TwitterもDigitsのデベロッパ向けサイトで、途上国のモバイルユーザが全世界のモバイルユーザの70%を占めること、また合衆国とヨーロッパでは今年1年だけで3億人がスマートフォンを買うが、途上国では同じ年に9億台以上が売れる、と言っている。Twitterも当然、モバイルのユーザをだいじにしなければならない。

なお、Digits経由であなたのアプリにログインしたユーザに対しては、その電話番号を友だち候補として保存〜取り出しできる。

Digitsは最初、216か国28言語でローンチし、いきなりビッグなモバイル市場をねらうことになる。しかもそれはTwitter専用のサービスではなく、モバイルデベロッパが今後普遍的に利用できるツールだ。このような、より一般的なモバイルデベロッパのサポートは、初回のFlightカンファレンスのそのほかの提供物にも見られるし、今後ますます本格的に増えるだろう。

デベロッパがDigitsを使うためには、ほんの数行のコードを自分のアプリの中に書くだけだ。

なおTwitterは、DigitsがFacebookのデベロッパプラットホームのようにユーザに無断でメッセージをポストしたりしない、と約束している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Google、USBによる物理的セキュリティー・キーを提供開始

Googleは長い間アカウントのセキュリティー強化のために2段階認証を利用するようユーザーに勧めてきた。それに加えて今日(米国時間10/21)、Googleは第2のさらに強力なセキュリティー手段をローンチした。Googleはサードパーティーの販売チャンネルを通じてUSB Security Keyを提供する。これはChromeからすべてのGoogleアカウントにアクセスするのに利用できる物理的なセキュリティー・キーだ。

Security Keyを利用すれば2段階認証でいちいち認証コードを手で入力する必要がなくなる。ユーザーはポートにUSBキーを差し込み、ボタンを押すだけでよい。これだけで認証が完了する。

GoogleではこのUSBキーを利用すればフィッシング攻撃が不可能になるとしている。2段階認証では(可能性はごく低いものの)ハッカーがユーザーを騙して偽サイトに誘導し、そこで認証コードを入力させるという攻撃を受ける可能性があった。USBキーは高度な暗号化アルゴリズムを用いているのでこのような攻撃を著しく困難にし、セキュリティーのレベルを大きくアップするのだという。

ただしモバイルデバイスからはUSBキーは利用できない。またサポートされるブラウザはChromeだけだ。Chrome OS、Windows、Mac、Linuxのv38以降がサポートされている。

GoogleのUSBキーが個人ユーザーにどの程度普及するかは不明だが、Googleのクラウドサービスをビジネスに広く採用している企業には考慮すべきオプションになるだろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Yahooのバグ報奨事業は初年度で70万ドルの報奨金を支払う…Googleとほぼ互角?

[筆者: Jon Russell]

昨年10月にYahooは、同社のメールサービスの重要な脆弱性を見つけた研究者に(なんと、会社として!)12ドル50セントの薄謝を進呈する、というどけちぶりを発表して、セキュリティのコミュニティを唖然とさせた。重大な弱点を見つけたらそれなりの報酬が出るのでは、と期待されたが、Yahooは期待に反してドジを踏んだ。そしてその後同社はやっと、正規のBug Bounty Program(バグ報奨事業)を立ち上げた。

それから1年後の今日(米国時間10/14)、Yahooの発表によると、この事業の一環として、1年間で70万ドルあまりの報奨金が支払われた。バグ報告を寄せたセキュリティ研究家の数は、600名を超えている。

けちな報酬額で笑いものになった1年前に比べると、Yahooの今の立場は強い。たしかに。

“私たちは自分たちのルーツを忘れていない”、とYahooは頑固に言っている。“だから今でも、重要な脆弱性を見つけた研究者にはときどきTシャツをお送りしている”。2013年10月には、Yahooのメールの問題をつきとめた研究者は同社のTシャツを謝礼の12ドル50セントで買うことができた。正規のバグ報奨事業になってからは、報奨額は最低で50ドル、最高は15000ドルになった。

今の私たちは、ほとんど毎日のように、Webサイトのセキュリティの重要性に気付かされる。クレジットカードのハック、一度に数百万件というメールのアカウント情報のリーク、などなどの事件が今や日常茶飯事になり、しかも企業のセキュリティ対策はまだまだ不十分だ。そのため、バグ報奨事業の重要性は、嫌が上にも増している。

Googleの昨年の公表によると、同社は研究者たちにそれまでの3年間で200万ドルの報奨金を払っている(Yahooの70万は1年)。Microsoftがバグ報奨事業を立ち上げたのは2013年の夏で、対象にOffice 365が加わったのは先月だ。それに、Twitterなどのビッグサイトはもちろん、匿名メッセージングアプリSecretのような若い企業でさえ、バグ報奨事業に右へならえしている。

しかし、この事業があるからといって、すべての問題が蕾の段階で摘み取られているわけではない。独自のセキュリティを固め、バグ報奨事業もやっているDropboxは、一部のユーザのアカウント情報とパスワードを今週盗まれた(Dropboxのサーバから盗まれたわけではないが、セキュリティの穴があったことは事実)。Dropboxは、同社のサーバはハックされなかったと言っているが、サードパーティのWebサイトあるいは、一部のユーザによる同じログイン情報(IDとパスワード)の複数のサービスにおける使い回しが、原因だったようだ。

画像出典: Linda Tanner / Flickr

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Dropbox、「われわれはハックされていない。漏洩パスワードは他サービスからの使い回し」と発表

先週、Snapchatの写真がハックされたのに続いて、今度はクラウドストレージのDropboxがセキュリティー問題でありがたくない注目を浴びる番となった。コード共有サイトのPastebinに匿名のユーザーが「Dropboxのアカウント情報(メールアドレスとパスワード)700万件近くを入手した」と書き込み、その証拠として最初の400件のデータを貼り付けた。このユーザーはさらなるリークのためにBitcoinによる寄付を求めている。

その後、100件程度のアカウント情報が何回か書き込まれたが、これらの情報は本物ではなかったようだ。今回の攻撃について、Dropboxは公式ブログで「これらのユーザー名とパスワードはをチェックしたが、Dropboxアカウントとは無関係だった」と述べた。

Dropboxは本物とわかった最初の400件のアカウント情報についても、「Dropboxとは無関係なサードパーティーのサービスから漏洩したもので、Dropbox自体から盗まれたものではない」としている。つまりSnapchatの場合のようにDropboxのAPIを利用しているサービスから漏洩したわけではなく、ユーザーがサービス間でパスワードを使い回したことが原因とみられる。

公式ブログ記事は明確に「ドロップボックスはハックされていない」と題されている。DropboxのAnton Mityaginによれば、

最近の「Dropboxがハックされた」というニュースは正しくない。ユーザーのデータは盗まれていない。漏洩したと指摘されたユーザー名とパスワードは、われわれとは無関係なサービスから漏洩したもので、Dropboxからではない。犯人は盗んだユーザー名とパスワードを使ってDropbox他、さまざまなウェブ・サービスへのログインを試みた。しかしDropboxでは不審なログインの試みを検出する手段を用意しており、そのような疑いがある場合は自動的にパスワードをリセットする。

このような攻撃を受ける可能性があるため、われわれはパスワードをサービス間で使いまわさないようユーザーに強く勧めてきた。また、さらにセキュリティーを高めるため、われわれは2段階認証を提供している。

これに先立って、The Next Webの取材に対してDropbox は次のように述べている。

Dropboxはハックされていない。ユーザー名とパスワードは不運にも他のサービスから盗まれたものだ。犯人はこれを利用してDropboxアカウントへのログインを試みた。われわれはこのような攻撃を探知しており、しばらく前から盗まれたパスワードのほとんどは無効にされている。残りのパスワードもその後無効にされた。

Dropboxは漏洩元のサービスが何であるかは明らかにしなかった。しかしDropboxのブログ記事とコメントによって、最初に公開された情報が(すでに無効化されているものの)実際にDropboxのユーザー名とパスワードであったことが確認されたわけだ。盗まれたパスワードを使ってユーザーのアカウントへの侵入が成功した事例があったかどうかは明らかにされていない。

今回の事件がユーザーのパスワード使い回しによるものなら、「Dropboxはハックされていない」という主張は正しい。しかしユーザーにとってみればセキュリティーが破られたという結果は同じだ。しかしユーザーに2段階認証を要求すればセキュリティーは向上するものの、ユーザーの負担は増える。セキュリティーと利便性のバランスは難しい。さらにハッカーがビットコインで手っ取り早く報酬を求めようとする最近の流行も新たな問題だ。

Dropboxについては、今週エドワード・スノーデンが「プライバシーの敵」だと非難した。これはDropbox自体がユーザーデータにアクセスできることを指している。スノーデンは「Dropboxがファイルの暗号化キーを保持しているので政府機関が要求すればユーザーデータが引き渡されてしまう。ユーザーはプロバイダ自身が暗号化キーを保持していないサービス、SpiderOakなどを使うべきだ」と主張している。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


AppleがOS XのShellshockバグのパッチを提供

先週、OS XなどUNIX系のシステムの多くに、”Shellshock“と呼ばれる、重大で悪質で、しかも広がりの異様に大きなバグが見つかった。

Appleはただちに、OS Xユーザの“大半は”このバグの被害が及ぶことはなく、一部の“高度な設定”をしているユーザだけが対策を要する、と発表したが、同時に、同社独自のデバッグも開始した。同社はバグにセキュリティのためのパッチを当て、ユーザがそれを即時に利用できるようにした。

このパッチは当面、OS Xが標準で持っているアップデートツールには含まれないらしいから、ユーザは手作業でダウンロードする必要がある。パッチはそれぞれ、Mavericks用とLion用、そしてMountain Lion用がある(ダウンロード用のリンクはOS Xのバージョンによって違うから、間違えないように)。

なお、まだベータ状態で半ば非公開のOS X Yosemite用には、パッチが提供されないようだ。正式リリースの前のソフトウェアには、それでなくても危険がつきまとうが。

[写真: Martin Cathrae, Creative Commonsのライセンスによる]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Shellshock攻撃をリアルタイムで見つけてくれるシステムモニタSysdig

シスアドミンのみなさま、Sysdigがあなたの味方です。ファウンダのLoris Degioanniが、彼のオープンソースのシステムモニタをアップデートして、Shellshock攻撃をリアルタイムで見つけられるようにした。Shellshockが悪用するHTTPリクエストはとてもユニークな形をしているので、このモニタはbashシェルに対するその攻撃を自動的に見つけて、ハッカーが侵入しようとしてるぞ、と教えてくれる。

以下、DegioanniのWebサイトより:

Sysdigを使ってすべてのbashの実行を捕捉するのは簡単だが、もっと作業を容易にするために、2時間ほどかけてSysdigをアップデートし、shellshock_detect(Shellshock検出)と呼ばれる新しい刃先をつけた。そのコードは、環境変数がShellshockのシグネチャと合致するbashの実行をすべて見つけて、以下をプリントする。

・時刻
・被害プロセスの名前とPID(悪質なペイロードで攻撃されbashを実行するプロセス)
・注入されたファンクション(bashがこれから実行するもの)

この‘刃先’の、実際に攻撃があったときの出力は、かなり複雑だ:

13:51:18.779785087 apache2 2746 () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd

このコードは、Webサーバ(Apache)を利用して、パスワードファイルを匿名で盗もうとしている。こわいね。

この攻撃はHeartbleedなどに比べるとかなり難解だが、危険な問題であることは変わらない。アップデート情報に気をつけて、自分のシステムを確実にアップデートしておこう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Apple曰く、OS Xのユーザのほとんどはbashの悪用に対して安全

AppleがいわゆるShellshock脆弱性に対応する公開声明を発表し、OS Xのユーザはほとんどの場合、いかなる攻撃の可能性に対しても安全である、と確証した。Appleのスポークスパーソンは本誌TechCrunchに、この脆弱性に関する次のような一文を提供した。それは、AppleのデスクトップOSにも含まれているUNIXのシェル、bashに見つかった脆弱性だ。

大半のOS Xユーザは、最近報道されたbashの脆弱性のリスクにさらされていない。OS Xに含まれているUNIXのコマンドシェルでコマンド言語でもあるbashには、不正なアクセスをしたユーザがリモートで脆弱なシステムを操作できる弱点がある。OS Xでは、システムはデフォルトで安全であり、ユーザが高度なUNIXサービスを構成していなければbashがリモートで悪用されることはない。われわれは高度なUNIXユーザのためのソフトウェアアップデートを迅速に提供すべく、目下作業中である。

本誌もさきほど、読者のためのShellshock対策をポストした。しかしAppleがここで言っているように、OS Xでは高度なアクセスを構成していなければ安全だ(だから読者のほとんど全員が安全)。Appleは、このセキュリティホールを塞ぐためのOS Xのアップデートをもうすぐ提供するはずだから、それまではUNIXの高度なオプションを有効にしないように。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


データを完全に自己管理したい人のためのパーソナルサーバデバイスWedg

各国の政府がインターネット上の一般市民のデータや通信内容をたえず盗視していることをEdward Snowdenがばらして以来、デジタルの世界は心配症や不安症に支配されている。では自分のデータを完全に自分で管理できるためには、何をどうやるべきか? これまでさまざまなソリューションが提案されているが、今日ご紹介する’Wedgは、ユーザが自分でホストするストレージとメールのためのデバイスだ。クラウドストレージとのシンクや共有もでき、メディアのストリーミングやWebサイト/Webアプリケーションのホスティングもできる。これはいわばユーザが自分の家(うち)に置くパーソナルサーバないしパーソナルクラウドで、ファイルに自分の携帯からアクセスすることもできる。

Wedgを作っているイギリスのスタートアップは今、Indiegogoで資金を募集している。実はクラウドファンディングはこれが二度目で、最初は失敗した。そのときのフィードバックに基づいて今回の新型機はより高速なEthernetとUSBをサポートしている。また機種は、元からのARM機と、Atomチップセットを使ったWedg Proの二種類がある。

自分で管理運営できるパーソナルサーバの方がセキュリティもプライバシー保護も完璧、と言えるためには、そう、セキュリティの設定が完璧でなければならない。WedgはAESとXTS-AESにより512ビットの暗号化を行い、キー管理を内蔵、モバイルアプリは二要素認証を使用、ネット接続はSSL、共有コンテンツとキーはGPG/OpenPGPで管理する。ユーザの機密データはサンドボックス化されて隔離され、サードパーティのアプリケーションや外部デバイスからアクセスできないようにする。今のプロトタイプ期を終了して完成に達したら、プロジェクトの全体がオープンソース化される。

Wedgのメーカーは、今後外部のデベロッパが関心を持ってくれてWedg用のいろんなアプリケーションを開発することを期待している。CEOのShehbaz Afzalはこう述べる: “Wedgは総合サーバなので、発売の時点ですでに、ファイルサーバ、メールサーバ、メディアストリーミング(音楽、写真、ムービー)、Webサイトホスティングなどの機能がある。しかし今後デベロッパが自分の作ったアプリケーションでWedgの機能を拡張することも自由にできる”。

“たとえばフォトギャラリーやパスワードの集中管理、Bitcoinのワレットなどがあればいいね。目標額の倍の13万5000ポンドに達したら、Google DocsやOffice 365のような、リアルタイムでコラボレーションできるWebベースのオフィススイートの開発に着手したい”。

“インターネットの今の現状は、プライバシーがいろんなところから痴漢されているのに、ユーザ自身はそれをされていることすら分からない。しかも、ユーザが簡単に避難できる安全圏を、どこも提供していない。Wedgは、何もかも完全に揃った、優秀な安全圏でありたい。しかもそれは、ユーザ自身が完全に管理でき、ハードディスクのアップグレードも簡単、多様で安全なバックアップオプションもあり、初心者がすぐに利用を開始できるようにダイナミックDNSによるルーティングサービスも提供する”。

Wedgはもちろん、初めての、あるいは唯一の、パーソナルサーバデバイスではない。Afzalが挙げる強敵は、Sherlyboxだ。2月に本誌が取り上げたPixeomもある。自分のデータをどこかの馬の骨に預けたくはない、完全に自分で管理したい、という欲求の高まりとともに、このようなデバイスが徐々に伸びている。今後もまだまだ、あちこちこちから雨後の筍してくるだろう。

WedgのProバージョンはIndiegogoで219ポンド、1TBのストレージつきだ。ARM機は149ポンドだが、こちらもストレージは1TBだ。ストレージなし、という買い方でもよい。今現在は目標額の71000ポンドに対して59000ポンド集まっている。締め切りまであと58日だ。製品の一般発売は来年の3月を予定している。

〔訳注: 参考サイト(1)(2)。〕
〔このようなハードウェア製品だけでなく、Linux用のセキュアな総合パーソナルサーバソフトも、きっとあると思う(ウデのある人は自分で構成してもよいが)。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


パズルCAPTCHAの「Capy」、MS Venturesで採択されて創業者らがイスラエルに

創業2年目のセキュリティ系スタートアップ、「Capy」がイスラエルに行くという。Microsoft Venturesが世界6拠点で展開しているアクセレータープログラム「Microsoft Accelerator」に採択され、共同創業者でCEOの岡田満雄氏と同CTOの島田幸輝氏はイスラエルでバッチプログラムに参加するという。日本を離れる直前の島田CTOにTechCrunchは話を聞いた。

Capyは法人登記自体は米デラウェア州なので法的には米企業だが、創業者は2人とも日本人。そういう意味では日本チーム。イスラエルでのアクセレーターに参加するということで、これは珍しい。市場をグローバルに捉えて世界を目指す、というとき、多くの日本人はアメリカやアジアに目を向けるが、セキュリティ系企業を多く輩出するイスラエルを目指すのは、Capyにとっては自然なことだったようだ。「Microsoftのアクセラレタープログラムがセキュリティに特化しているのが決め手。プライバシーポリシーのことも含め、幅広いセキュリティ・ソリューションを考えているので、さまざまな専門家からの意見が聞ける」(島田CTO)のがポイントだったという。Microsoft Venturesは2年前からイスラエルのアクセレーターを開始しているが、セキュリティとヘルスケアの2領域に特化している。過去の参加社数は48社。Capyが参加するのは5回目のバッチプログラムだという。メンター数は123名と多く、技術的サポートだけでなく、法務やマーケティング、PRなどさまざまな点で包括的支援をするのが特徴だそうだ。

Capyといえば2013年にIVSのLaunch Padで優勝したことから「パズルCAPTCHA」というアイデアをご存じの方も多いだろう。1つだけ穴が残ったジグソーパズルに最後のピースをはめることで、ボットをはじくというものだ。現在広く使われているCAPTCHAは、Googleが買収して今も使っているreCAPTCHAのように歪んだ文字列を人間に読ませるというものが主流だが、これは皆さん良くお苛立ちのように、「人間のオレにすら読めねぇよ!」というレベルにまで達していて結構やっかいな問題となっている。サービス提供側からしても、めんどうなCAPTCHAを押し付けることはユーザービリティ低下につながり、離脱率の増加は機会損失となる。

Capyは人間には直感的に答えが分かるし、タッチデバイス全盛のいま、指でさっと操作ができるという良さがある。

IVSのコンテストでCapyが優勝したとき、そのあまりにもシンプルなアイデアから「えっ、そんなアイデアで大丈夫?」と思ったエンジニアは少なくなかったようだ。正直ぼくも、エッジ検出は画像処理の基本だし、簡単に突破できてしまうのではないかと思った。ただ、CEOの岡田氏は米オレゴン大学と京都大学の大学院で情報学を専攻し、暗号研究をしていた人物。一瞬で突破できる「スネークオイル」を売ろうなんて考えるわけがない。

そう思ってCTOの島田氏にこの辺のことを聞いたところ、単純に画像処理で正解の座標を求めてピースを動かすだけでは、このパズルCAPTCHAは突破できないのだという。人間らしい動かし方かどうかを同時に見ているのだという。……と、いうことは、サンプルとして人間に数百回もやらせた上でその動きをデータセットとして用意しておいて、適当なノイズを入れて攻撃すれば突破できるのでは? と、ぼくは食い下がった。

この問いに対する島田氏の回答は明快だった。

つまるところCAPTCHAというのは人間とコンピューターを機械的に区別するための仕組みだが、これはスパム対策と同じでイタチごっこの側面がある。もし突破するような攻撃が出てくれば、すぐに追加の仕組みを入れていくことで、「ハッカーは、こちら(Capy)の学習を超えないといけない。(Capyが専門にやることで)どんどんハッカーが解くより速く進化させることができる。導入企業には、ハッカー対策の対抗戦をアウトソースしてもらうというイメージ」と説明する。手の内を明かしすぎるとハッカーたちに有利になるため詳しくは教えてもらえなかったが、画像処理自体も実は結構むずかしくなっているのだという。つまり、テキスト文字列をユーザーに読ませるという課題での人間とコンピューター(ハッカー)の戦いはもうとっくに終わっているので、次のやり方で新たなレースを始めたということになるだろうか。

もう1つ、11月をめどに「Capyアバターキャプチャ(仮名)」のリリースを予定しているという。これは、「お皿の上に料理をのせる」「ゾウがいたら餌をあげる」「帽子があれば、女の子にかぶせてあげる」というような、絵の全体的な意味を理解して、「これが期待されている動作だろう」という操作(画面上のモノを動かす)を人間が行うものだ。この絵のパターンは事前にかなりの数が用意されているが、その個別の意味解釈を事前にハッカーが予想してコンピューターに教えておくことは極めて難しいという。なぜならパターンの追加は人間には容易だが、そうしたパターン全てに対応する汎用的な知識をコンピューターに教えるというのは、事実上AIを実装するようなものになるからだ。

Capyアバターキャプチャでは、絵のバリエーションを自動生成する仕組みを入れていて、これはコンピューターがいくら学習しても追いつけないだろうという。頭にかぶるものは帽子だけではないし、お皿に載せるものも特定の料理や果物だけではない。人間はそういう知識を膨大にもっている。また、導入企業は、自社IPのキャラクターなどを入れて簡単にカスタマイズできる。Capyでは、このアバターキャプチャはオンラインゲームと親和性が高いだろうと見ているという。

Capyのように画像ベースのCAPTCHAが登場してきたのには、タッチデバイスが増えているという事情以外にも、「文字の判別能力は、コンピュータと人間でほとんど変わらなくなってきている」(島田CTO)ということがあるそうだ。人間にギリギリ読める文字であれば、コンピューターにも読めるし、コンピューターに読めないほど歪んだ文字は、もはや人間にも読めないということだ。これはOCRの精度向上という開発インセンティブが存在するからだ。名刺の自動読み取りや古文書の電子化など、画像中の文字認識というのは社会的需要が大きいのでアルゴリズムの研究が進んでいる。「ディープラーニングを使うと歪んだ文字や写真に写った文字でも99.8%は読めてしまう。画像の中に斜線を入れただけではほとんど意味がない」のだという。

ちなみに、いずれ文字認識以外でも人間とコンピューターの差はなくなるのだろうか? という、ややSFチックなぼくの問いに、島田CTOは「人間とコンピューターの差がなくなってきたときに残るのは、究極的には芸術しかないとぼくは思っています」と笑う。ある音楽がモーツアルトかどうかはコンピューターにも判別できる。しかし、その音楽が「美しいかどうか」は人間にしか分からない。

と、そういう数十年後に起こるかもしれない未来の話は置いておいておこう。

Capyは「画像を動かして、特定の位置にはめる」「デバイスごとに最適なキャプチャを出す」という特許を日米中韓、イスラエル、EU、インドで申請中という。実装はJavaScriptによるので、ブラウザが使える環境なら導入可能。ただ、CAPTCHAというのはパスワードの代わりになるわけじゃない。CAPTCHAはボットを防ぐ仕組みだ。一方、悪意のあるハッカー(人間)の侵入を防ぐために、Capyは最近リスクベース認証の製品として「Capyリスクベース認証」をリリースしている。IPアドレスや使用ブラウザ、言語、ログイン時間などの情報から「その人らしい」ログインか、あるいは不正利用者によるログインであるかを判別(推定)するというものだ。たとえばそのユーザーにとって初めて国であるなど不自然な場所からのアクセスであれば、その時点でログインをさせない、あるいは別の認証を要求するといったことが可能になる。

リスクベース認証はFacebookやGoogleなどエンジニアリングをコアに置くネット企業では数年前から導入されているが、ユーザーとしていちばん対応してほしい金融系のサービスなどでは導入が遅れている。これはリスクベース認証の「ソリューション」が一般に高価なことにも原因がある。Capyでは、1ユーザーあたり月額10円が最高価格で、さらにボリュームディスカウントを適用することで、地方銀行などITに割ける資金力に余裕のない層もターゲットとしたいと島田氏は話す。競合製品が数億円であるのに対して、数百万円という運用コストになるという。一方、Capyキャプチャのほうは1回の表示あたり0.8円が上限でボリュームディスカウントがある。低価格に抑えることで大手に使ってもらい、エンドユーザーを増やすのが狙い。すでに大手ネット系サービスなどで導入例があるという。

Capyは現在フルタイムの社員は5人。黒字化目前で、いまは一気に拡大するフェーズだという。2011年に個人投資家からシード資金を調達し、2013年5月にはジャフコから約1億円のシリーズAの資金調達をしている。


リモートアクセスのLogMeInがMeldiumを買収してシングルサインオンに注力

企業や個人にリモート接続を提供するLogMeInが今日発表した興味深い買収は、今後の同社のサービスを一層充実させるとともに、企業や消費者のクラウドへの大移動という最近の動向を同社の新たな収益源にしようとするものだ。同社が買収したMeldiumはY-Combinatorの卒業生で、シングルサインオンなどのアイデンティティ管理サービスが専門だ。

公開企業であるLogMeInによると、同社は1500万ドルをMeldiumを抱えるBBA社に支払う。この価格には、キャッシュと今後の成功報酬の両方が含まれる。

Meldiumは、その名が示しているように、複数のアプリケーションへのサインオン過程を”meld”(溶融)して一体化する。今では、人気のクラウドサービスDropboxやGoogle Apps、Hubspot、WordPress、Zendesk、Salesforce、Asana、Trello、Evernote、JIRA、Rackspaceなどなど、およそ1500のアプリケーションをサポートしている。技術系でない人でも便利に使えることが、とくに好評だ。同社が昨年ローンチしたとき本誌のライターColleen Taylorが次のように書いている

“Meldiumが天才的なのは、共有アプリケーションへのサインインが容易になるだけでなく、それらのアプリケーションへのアクセスをアドミンが無効にする管理作業も、容易にできることだ。要するに一言で言えば、すべての機能がとても簡単に使える、ということ。技術知識がなくてITのエキスパートでない人でも、グループのMeldiumアカウントを管理できるほど、分かりやすくてフールプルーフなツールだ。 “

今回の買収の対象は、技術と人材の両方だ。MeldiumのファウンダAnton Vaynshtok、Bradley Buda、Boris Jabesをはじめ、チームの全員がLogMeInのサンフランシスコのオフィスに加わる。

LogMeInの本社はボストンにあり、今ではおよそ10万社の中小企業を顧客に抱える。最近の同社は、これらの企業がクラウド上のデータを管理するサービスも導入している。

たとえばjoin.meはリモートミーティングツール、AppGuruはクラウドアプリケーションを見つけて管理する、LogMeIn Centralはリモートデバイス管理、 Cubby Enterpriseは企業向けのファイル同期/共有サービス、LogMeIn Proは広く利用されているリモートアクセスプロダクトだ。でも、無料のサービスLogMeInを廃止して非難されたこともある。

LogMeInでMeldiumのサービスがどういう位置づけになるのか、それはまだ分からないが、後者は基本的にフリーミアムだ。社員数5人未満でアプリケーションも10以下という零細スタートアップは無料だが、そのほかは20ユーザ/20アプリケーションの月額29ドルから最高の199ドルまで、数段階の有料制だ。

LogMeInの現在の時価総額は、10億ドルを超えている

LogMeInのCEO Michael Simonはこう語る: “アプリケーションのクラウド化とBYOA(bring-your-own-app)*という二大トレンドによって、ITの人たちは、アイデンティティの管理や社員のアクセス、データのセキュリティなどについて、これまでとは違う視点を持つことを強制されている。たとえばセキュリティとアイデンティティ管理に関しては、シングルサインオン(SSO)の有効性が今急速に認められつつある。そして私の知るかぎり、もっともエレガントで分かりやすくて使いやすいSSOのソリューションを市場に提供したのがMeldiumだ”。〔*: BYOA, 個人でDropboxを使ってる人が勤め先でも自分のアカウントでDropboxを…仕事目的で…使う、といったこと。〕

“MeldiumとSSO、それプラス、クラウドアプリケーション管理のAppGuruがうちにあることによって、弊社は今日のITが抱える難題に十分対応できるようになり、また今成長著しいアイデンティティ管理市場における競争でも、優位に立てるようになった”、とSimonは言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))