タグ: セキュリティ

中国のハッカーがアメリカ企業の企業秘密を盗んだと合衆国政府が告発

以前はMandiant社の報告書が、中国本土からの高度なハッキングの脅威を明るみに出し、中国の軍部と関係あり、と示唆した。そして今日(米国時間5/19)は、民間ではなく合衆国政府が、“61397部隊”に対する告発文を発表し、その中で、この集団の成員が“合衆国の6つの被害者のコンピュータへのハッキングを企て、中国の国有企業など被害者と競合する者の経済的利益となる情報を盗んだ”、と述べた。

この告発は、合衆国政府にとってタイミングが良くなかった。なぜなら、NSAが外国の顧客へのハードウェアの出荷を差し止めたり*、またましてや経済的かつ政治的な含意が明白な諜報行為を行ったことで非難されている最中のことだからだ(後者に関しては、Glenn Greenwaldによると、商務省がNSAの”顧客“だった)。〔*: 差し止め押収した機器に諜報機能を加工してから返却し、外国の顧客への輸出をさせた。〕

この、盗人(ぬすっと)が盗人(ぬすっと)を告発するような文の中にはしかし、おもしろい申し立てがいくつかある:

SolarWorldが原価割れの価格で輸出を行う中国の競合企業に急速にマーケットシェアを奪われつつあったまさにそのころ、これらのハッカーたちはSolarWorldのコンピュータから原価や値付けなどの戦略的情報を盗んでいた。

そしてWestinghouseが原子力プラントの建設について中国の国有企業と交渉しているとき、ハッカーたちは、それらのプラントの各部位の設計に関する企業秘密を盗んだ。

DOJ(国防総省)はこれらの行為を“犯罪”と呼んでいる。それは正しいが、今や悪者扱いされることも多くなったNSAの情報遺漏者Edward SnowdenはNSAが“産業スパイ行為”を行っているとずばり断言しているし、最近公表されたスライドの48ページは、PRISMがある一週間のあいだにメキシコの“エネルギー”やイスラエルの“貿易”、ベネズエラの“石油”などに関わる情報を収集したことを暴露している。これらのことを勘案すると、中国人ハッカーに対する“犯罪”呼ばわりもあまりすっきりとしない。

中国政府はこれらの申し立てを否定しているが、それにはAlcoaや合衆国鉄鋼労働者組合の名も登場している。

いずれにせよ、民間や公共のコンピュータに対する経済情報を目的とするハッキング行為が政府によって行われていることは、世界の市場に歪(ひずみ)をもたらすものであり、定常的に行われているサイバー戦争が今後小休止したとしても、それはかえって、われわれの不安をかきたてるものになるだろう。

司法省は、“我が国の知的所有権を盗んだ者が誰であれ、どこに居住する者であれ、追及していく”、と約束している。

画像: FLICKR/Matt Churchill; CC BY 2.0のライセンスによる(画像はトリミングした)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


簡単に解読されてしまったNSAの暗号ツイート

NSAが暗号化されたメッセージをTwitterに流していた。

これはいったいなんだろうか。秘密任務の指示なのかとも話題になったが、Business Insiderの読者が暗号解読に成功した。いわゆる換字式暗号(substitution cypher)で、暗号化技法としてはごく初歩的なものだ。上に掲載したNSAのツイートでは、暗号文中の「c」は実は「t」で、「d」が「o」といった感じになる。

対訳形式でみてみよう。

tpfc [Want] cd [to] lfdt [know] tepc [what] ac [it] cplir [takes] cd [to] tdkl [work] pc [at] frp [NSA]? qeiql [Check] hpql [back] ipqe [each] odfgpw [Monday] af [in] opw [May] pr [as] ti [we] izxndki [explorer] qpkiikr [careers] irrifcapn [essential] cd [to] xkdciqcafm [protecting] dvk [our] fpcadf [nation].

おわかりになっただろうか。NASによるスタッフ募集関連ツイートの前宣伝ツイートであったわけだ。平文のみを抜き出すと次のようになる。

Want to know what it takes to work at NSA? Check back each Monday in May as we explore careers essential to protecting our nation.

この暗号を解読できる程度の実力があれば雇ってくれるということだろうか。期待した人には残念だが、そうではない。この程度の暗号を解読できる程度では、NSAにとって必要な人材であるということを示すことはできないのだ。おそらく換字式暗号についてはミリ秒単位で平文にしてくれるオンラインサービスなどもあると思う。

すなわちNSAがツイートした暗号に実用的な意味はない。暗号について興味をもってもらい、そしてNSAの仕事に関心をもってもらおうということで投稿されたものなのだろう。

IMAGE BY FLICKR USER JD Hancock UNDER CC BY 2.0 LICENSE (IMAGE HAS BEEN CROPPED)

原文へ

(翻訳:Maeda, H


パスワードなどを目的サイト(ネットショップなど)に送らず/保存されずに認証を実現するSediciiの特殊技術

今日はWebで何回、ユーザ名やパスワードやそのほかの、あなたご自身に関する情報を入力したかな? Disrupt NYでローンチしたSediciiは、そんな情報を、これまでよりも安全かつ、よりセキュアにしてくれる。

Sediciiは数学的なアルゴリズムを使って、あなたの情報やパスワードを、実際にそれらを目的のWebサイトに送らずに検証する。フロントエンドでは、あなたはいつもと同じく、パスワードなどの情報を入力するのだけど。

ネットショップなどは、自分のサイトの決済関連や登録フォームのコードに数行のJavaScriptを書いて、Sediciiのサーバと通信する。するとSediciiはサイトに対して一連のテストを行い、パスワードの正不正を確認する。そのとき、パスワードそのものはショップのWebサイトに送られない。ということは、そこがハックされても、あなたのパスワードはそこのサーバの上にはないから、盗まれない。

ファウンダでCEOのRob Leslieは、DisruptのステージでSediciiを立ち上げ、ネットショップが注文を受け取り、それの銀行情報をSediciiで検証する様子をデモした。

“本人性(アイデンティティ)はとても重要だ。それは、あらゆるトランザクションの基盤だから”、とLeslieは言った。

同社はその認証技術のライセンスを企業に売り、料金は個々のトランザクションに対して課金する。

SediciiはロンドンのOxygen Acceleratorから75000ドルを調達しているが、もうすぐ次の大きな資金調達ラウンドをしたい、と言っている。

[ここにスライドが表示されない場合は原文を見てください。]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ネットワーク経路の匿名化を行うTorをLinuxボックス化したoRouterが登場

長らくTechCrunchのハッカソンに参加してくれているKay AnarとGilad Shaiが、今回はハードウェア・ハックを見せてくれた。LinuxベースのRaspberry Pi風コンピュータを利用して、Wi-FiによるネットワークアクセスをTor経由で行うようにするものだ。プロダクトを「oRouter」という。ソフトウェアのダウンロードは無用となり、またiPhoneなどのモバイルデバイスでもTorを利用できるようになる。

Kayによると、このプロダクトのアイデアは技術に詳しくない人との会話から生まれたのだそうだ。その友人に「簡単に取り付けられて通信を安全にするツールはないのか」と尋ねられたのだそうだ。その質問を受けて「oRouter」のように簡単に利用できるデバイスがないことに気付いたのだとのこと。

「oRouter」はTexas Instruments製低電力ワンボードコンピュータや低電力USB Wi-Fiドングルなど、ラジオシャックで売っているパーツを使って組み立てられている。5ボルトの電圧で動作し、ポータブル充電器で充分対応可能だ。ハッカソン会場で行われたデモでは、32回線の同時接続にも対応することができた。

「oRouter」の使い方は非常にシンプルだ。何も設定など必要なく、電源を入れてoRouterの提供するWi-Fiネットワークに繋ぐだけだ。ソフトウェア版のTorを使う場合と異なり、追加のソフトウェアなども必要ない。ウェブのブラウズも、オンラインサービスを利用する場合もTor(Wi-Fi経由)を利用することになり、通信の安全性を高めてくれることとなる。安全性をさらに高めるため、oRouterのMACアドレス(ハードウェアに付されるアドレス)も、10分毎に変更されるようになっている。

開発者たちは、さらに進化させてさまざまな設定ができるようにもしたいと考えているようだ。必要に応じた機能強化などを行えるようにしたいということの様子。

もともとは、ハッカソンの課題としてちょうど良いレベルのものだという考えもあったようだ。しかしいざ作ってみるといろいろな可能性も見えてきたようだ。投資を受けたり、あるいはクラウドファンディングによって実際に販売していく方向で考えていきたいと話してくれた。

原文へ

Maeda, H


Windows XPは死を拒否, 4月のシェア落ち込み幅はわずかに1.5%

セキュリティに関する不安が大きいって? もちろん。サポートの日限をとっくに過ぎたって? そのとおり。若さが美徳ではなく必須の武器である業界で、10年以上ものさばった罪? それもある。でも、この小さな動物と同じく、Windows XPはどんな危機でも平気だ。

いちばん最近のデータによると、Windows XPは全世界でPC市場の26%強を占めており、過去一か月のシェア減少率は2%に満たなかった。なげかわしい。

〔上記データソースより:

  • Windows 7: 49.27%
  • Windows XP: 26.29%
  • Windows 8: 6.36%
  • Windows 8.1: 5.88%
  • Mac OS X 10.9: 4.07%
  • Windows Vista: 2.89%
  • Linux: 1.58%
  • Other: 3.66%

だけでなく危険だ。最近見たとおり、Windows XPは、すべてのユーザにとって重大なセキュリティの脅威だ。企業でも個人でも。もちろんMicrosoftは、人びとがWindows XPと別れてほしい、最新のWindowsのライセンスを買ってほしい、と願っている。でも作者のいらだちは、かんじんのユーザに伝わらない。

なお、Windows 8.1はシェアが約1%伸び、Windows 8は微減した。今月中には8.1が8を抜くだろう。市場の大きな転換期だ。Windows 8.xは今や市場の12.24% を占め、先月の11.3%から明らかに成長した。

画像: FLICKR/AUSTEN SQUAREPANTS; CC BY 2.0のライセンスによる(画像はトリミングした)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Microsoft、IEの深刻な脆弱性の修正アップデートをリリース―特例でXPユーザーにも

今日(米国時間5/1)、MicrosoftはInternet Explorerの極めて深刻な脆弱性を修正するアップデートをリリースした。この脆弱性はIE6以降のすべてのバージョンに存在するとあって、先週、l世界的に大問題となった

Windows XPユーザーはIEのバージョン8までしかアップデートできない。またMicrosoftはXPのサポートを打ち切っている。しかしこのバグに限ってMicrosoftは例外を設け、Windows XP上のIEについてもパッチを提供することとした。これに伴ってMicrosoftのTrustworthy Computing部門のゼネラル・マネージャー、Adrienne Hallは以下のような声明を発表した。

われわれは製品のセキュリティーをこの上なく真剣に考えている。この脆弱性の報告を受けた瞬間からわれわれjは速やかにかつすべてのユーザーに対して問題の修正を行うことを決断した。本日、太平洋時間午前10時にわれわれはそのアップデートを公開した。

インターネットに接続して自動アップデートを有効にしている場合、ユーザー側で対応する必要はない。〔日本版:そうでない場合はできるかぎり速やかに手動でアップデートすること。自動アップデートを有効にしているユーザーも、手動でWindows Updateを実行し、IEのパッチがすでにインストールされているか確認した方がよい〕。

この脆弱性は、IEを使用して悪意あるサイトを訪問するとハッカーがユーザーのコンピュータを乗っ取ることができるというものだ。IE 10と11のユーザーはこれらのバージョンに備えられるている保護モードのおかげで比較的安全性だ。いまだに広く使われているIE9以前のバージョンにはこの機能がない

画像:FLICKR USER AUSTEN SQUAREPANTS CC BY 2.0 LICENSE (画像はトリミングされている)

[原文へ]

(翻訳:滑川海彦 Facebook Google+


パスワード不要の強力な認証システムM-PinのCertiVoxにNTT Docomo Venturesらが$8Mを投資

【抄訳】

ロンドンのセキュリティ企業CertiVoxは、情報セキュリティのIaaSが売り物で、パスワードやユーザ名の要らない多要素オンライン認証のソリューションを企業に提供している。同社はこのほど800万ドルのシリーズBラウンドを終えたが、このラウンドの新しい投資家NTT Docomo Venturesにとっては、これが初めてのヨーロッパにおける投資だった。前からの投資家Octopus Investmentsも、この投資に参加している。

これでCertiVoxの調達資金の総額は1700万ドルになり、それには同社が創業された2011年の150万ドルも含まれる。

【中略】

現在の同社の顧客は100社を超え、それにはUSAF、Parallels、Dematic、Intel、Boschなどが含まれる。

CertiVoxのメインプロダクトであるM-Pin認証システムはブラウザやモバイルデバイスで使用でき、ユーザフレンドリに力点を置いているため、これまでの多要素認証システムを悩ませてきた複雑性が(ユーザレベルでは)ない。この技術は顧客企業のオンプレミスでも、またCertiVoxのクラウドサービスとしても利用できる。

ユーザがCertiVoxの、ソフトウェアによるPIN(個人識別番号)パッドに4桁の暗証番号を入力すると、暗号キーが生成されてそのセッションが認証される。同社によるとその処理は、銀行のATMがユーザセッションを認証する場合と同じである。

同社の曰く“強力な認証”は、RSA、Vasco、Google Authenticatorなどなど従来の二要素認証と競合するが、パスワードが要らない点と、二要素認証を一体化して提供しているため、ずっと“意欲的である”と同社は主張している。

“M-Pinはユーザの事前知識がいっさい不要なプロトコルを用いるため、パスワードを入力あるいは脆弱なデータベースに保存する必要がない。したがって、パスワードデータベースへの侵犯の脅威が、過去のものとなる。強力な暗号化技術を背景とするCertiVoxの認証技術は、まだ他に類似技術のないユニークな方法を用いている”、と同社は主張している。

NTT DOCOMO VenturesのSVPでCOOのNobuyuki Akimotoは、次のように述べている: “CertiVoxのM-Pin Strong Authentication Platformは革新的ですばらしいプラットホームだ。とりわけそれは、今日のスマートデバイスに向いている。M-Pinは、ユーザフレンドリでスケーラブルで強力な認証セキュリティにおける、業界が長年待望していた進歩を体現している”。

【後略】

[Creative Commonsの画像はFlickrのStian Rødven Eideによる。]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


家のすべてのドアと窓をスマートフォンから24時間監視できるKorner, Indiegogoでクラウドファンディング中

スマートホームセキュリティの新人企業がそのプロダクトをクラウドファンディングして、先輩のCanaryなどに挑戦しようとしている。その、今Indiegogoで15万ドルを集めようとしているKornerは、ルータ用のドングルとドアにつけるタグから成る100ドルのシステムだ。

そのドングル(というかFOBキーみたいなもの)をルータに挿入して、タグをすべてのドアや窓につけると、これで、この家に出入りする者を24時間監視できるようになる。あなたの使い慣れたスマートフォンから。

アプリが、今どこのドアが開けられたかを教えてくれるので、あなたはそのままスマートフォンから110番したり、家族、あるいは、いざという時たよりになる友人を呼ぶことができる。

ファウンダたちによると、同製品の最大の差別化要因がタグだ。タグを用いるこれまでの製品は、開け閉めを感知するために二つのタグを必要とした。Kornerでは一つのドアや窓に対してタグは一つだ。

また、タグを一つにできただけでなく、Kornerは風などの無害な動きと本物の侵入を区別できる。

Canaryもセンサを搭載したホームセキュリティデバイスで、同じくスマートフォンのアプリを使うが、ライブのビデオフィードや、空気の質と煙の感知などの豊富な機能があって200ドルだ。アプリのデザインも良い。

ただしCanaryでは、Kornerのようにすべてのドアや窓を監視することはできない。

詳細は、IndiegogoのKornerのページを見てみよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Heartbleedの再来を防ぐための共同事業をFacebook,Google,Intel,Microsoft,NetApp,Qualcomm,VMware,The Linux Foundationらが開始

OpenSSLのHeartbleedバグという大事件は、Webが依存しているオープンソースのプロジェクトの多くが資金的にもスタッフ的にも潤沢でない、という事実に多くの人びとの目を否応なく開かせた。次のHeartbleedを防ぐために、FacebookとGoogle、Intel、Microsoft、NetApp、Qualcomm、VMware、そしてThe Linux Foundationの各社が今日(米国時間4/24)、”Core Infrastructure Initiative”と名づけたオープンソース支援活動を発表した。この共同事業は、“援助を必要としている”重要なオープンソースプロジェクトに、資金やそのほかの支援を提供することが目的だ。

各社の貢献額は公表されていないが、この事業を創設したLinux Foundationによると、これは“数百万ドル規模のプロジェクト”であり、Heartbleedがもたらした危機に対する業界の集団的対応を示す動きだ。この事業の資金はThe Linux Foundationが管理する。

このフェローシップ(特別研究助成)的な資金の最初の行き先は、言うまでもなくOpenSSLプロジェクトだ。このフェローシップは、プロジェクトを担当している主要なデベロッパたちがフルタイムでプロジェクトに取り組めるために交付される。また資金以外にも、外部からのレビューやセキュリティの監査、コンピューティングや試験のためのインフラストラクチャ、出張研究のお膳立て、などの支援が提供される。

OpenSSLのようなプロジェクトの重要性を考えると、それがこれまで年額2000ドル程度の寄付しかもらってなかったことは、本当に嘆(なげ)かわしい。もちろん、お金があればHeartbleedバグを防げた、というものでもないが、今回の共同事業では十分な試験環境も助成対象プロジェクトに提供されるから、心強い。

Linux Foundationの事務局長Jim Zemlineは今日の声明文の中で次のように述べている:

“The Linux FoundationはLinus TorvaldsがLinuxの開発に100%集中できるための資金を支出している。それと同じような意味でこれからは、そのほかの重要不可欠なオープンソースプロジェクトにフルタイムのサポートが与えられるために、デベロッパやメンテナを支援することができる”。

オープンソースの基本的な考え方は、できるかぎりたくさんの人が関わる〔==目玉の数が多い〕ことによって、高品質でセキュアなコードを作っていくことにある。しかし私たちが日々依存しているプロジェクトの多くが、その成長に伴って複雑性を増し、少数のパートタイムのデベロッパが関わるだけでは十分な高品質とセキュリティを確保できなくなっている。The Linux Foundationも今日(こんにち)では、そのことを重々認めている:

“ソフトウェアの質に関するCoverity Open Scanの最新の調査によると、オープンソースコードの質はプロプライエタリコードの質を上回っている。しかし、すべてのソフトウェアが成長とともにより複雑になり、しかもその高度に複雑化したシステム間における相互運用性が今では標準として求められる。したがって、デベロッパサポートの必要性も増大している”。

今後に関してCore Infrastructure Initiativeは、危機への事後対応からその積極的な予防へと変わっていくことを計画している。これからこの事業は、重要なプロジェクトに対する強力な先行的レビューにより、それらのプロジェクトが必要とするものを早期に同定していく。つまり、次のHeartbleed危機が起きるよりも前に。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


選挙と投票を透明化して不正を防ぐオープンソースの投票マシンTrustTheVote, 文書化機能も重視

【抄訳】

あなたの、いちばん最近の投票経験はいかがでしたか? たぶん快適とはほど遠かったでしょう。NPOのOpen Source Election Technology Foundation(オープンソース選挙技術財団)は、投票をもっとシンプルで透明なものにしたいと考えている。そのメインのプロジェクトTrustTheVote(投票を信頼しよう)は、一般市販のハードウェアにオープンソースの投票集計作表ソフトウェアを組み合わせた、機密性の高い投票マシンの開発を目指している。

オープンソースのコードと一般市販のハードウェアにこだわることによってTrustTheVoteは、今よりも良い、そして透明性の高い投票マシンを、これまでの投票マシンの数分の一の価格で各選挙区が入手し利用できることを目指している。

毎年、大きな選挙があるたびに、同じささやき声が聞こえてくる: オハイオ州の各郡における不正、アイオワ州における投票マシンのおかしな動作、そして毎回のようにこぼれてくる、誰それの遠い親戚が投票マシンの会社にいるから票数が電子的に水増しされた、という噂話。どれも、民主主義をむしばむような話ばかりだ。

民主主義は、スタートアップの新しい取り組み分野として、最近熱を帯びている。今朝(米国時間4/14)は、Sean Parkerが、アメリカの民主主義の抜本的な改革を目指す企業に900万ドルあまりを個人的に投資した、というニュースが舞い込んできた。TrustTheVoteはこれまで、およそ120万ドルの投資と、現物による数百万ドルあまりの寄付を獲得している。今後はスタッフ増員してプロダクトを完成させ、実機の普及活動をしていくために、さらに資金を調達したいと考えている。

TrustTheVoteの実用テストは2016年、本格展開は2018年の中間選挙を目指している。スタートアップたちのこれまでのプロダクトに比べると開発期間が相当長いのは、投票のテクノロジ化がそのほかのソフトウェア/ハードウェア開発に比べて難しいからだ。なにしろ、ありとあらゆる不正や破壊行為がありえるプロダクトだから、慎重の上にも慎重を期さなければならない。

UIのモックアップ, TrustTheVote提供.

今日はTrustTheVoteの最高責任者の一人で開発担当最高役員でもあるGregory Millerをつかまえて、アメリカの投票システムのどこがまずいのか、そして、投票とその集計に用いられるべき理想的な技術とは何か、について話を聞いてみた。

(筆者注記: 彼の答を短く要約した場合もある):

TechCrunch: 今の投票マシンは何が間違っているのか?

Miller: 今の投票マシンは使いづらいし、障害者への配慮も足りない。また管理も容易でないマシンが多いため、マシンのベンダが“オペレーターのエラー”と決めつける、さまざまな故障が頻発している。

これらのマシンの最大の問題は、ベンダにとって利益の出る商用製品としての設計が優先されているため、重要なイノベーションがすべてお留守になっていることだ。ハードウェアもソフトウェアも共に、使われている技術は10年から20年前のもの、という製品が多い。技術革新がまったくないわけではないが、利益が優先されるのできわめて限定的だ。だからそれらのマシンは、けして“無能”ではないけど、相当に脆弱であり、いろんな問題や故障や、使いづらさ、不正行為などを抱えがちだ。

TechCrunch: TrustTheVoteで投票の不正は減りますか?

Miller: TrustTheVoteは選挙の運営の透明性を高め、それによって選挙結果への信頼性を高める。透明性とは、選挙管理業務の詳細や、投票結果、そしてそのパターンが公開されることだ。そういう情報があれば、有権者自身が不正について判断できる。これまでのように、陰謀論めいた噂が飛び交うのではなくて、情報と事実に基づいた知的な判断が、選挙の不正と投票の不正の両方に対してできるようになる。

TechCrunch: 投票の不正は、この国の不治の病でしょうか?

Miller: 選挙の異状や不正、疑わしい結果などは、投票マシンがその真犯人ではない。この前の水曜日(米国時間4/9)には、テキサス州Hidalgo郡で、選挙マシンが押収され、鑑識にかけられることになった。しかし、あの場合の投票や選挙の不正は、ソーシャルエンジニアリングが原因だったと思う。でも今日では、わけの分からないブラックボックスを指差して、そいつをスケープゴートにしてしまうことが、安易にできてしまう。投票技術のフレームワークTrustTheVoteプロジェクトは、ブラックボックス的投票をガラスボックス的投票に変え、クリーグライト(klieg lights, 映画撮影用の強力なスポットライト)をマシンではなく人間的な過程に当てる。

投票の不正がきちんとドキュメントされることは、きわめてまれだ。選挙の不正についても、同じことが言える。発見されずに終わってしまう完全犯罪もあるだろう。だから、監視と観察と確認の能力と機能、すなわち常時監視体制が、完全でなければならない。大きな不正があったようだ、という感覚が選挙に往々にしてつきまとうのは、不正を実際に見つけることができるためのドキュメンテーションが欠落しているからだ。

[Millerの談話終わり]

【後略】
—今の投票マシンの老朽化~交替期が4~6年後に来るのでTrustTheVoteの早期完成と普及が待たれる、というお話。—

画像: FLICKR/Charles16e; CC BY 2.0のライセンスによる(画像はトリミングした)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


BitcoinユーザはOpenSSLのHeartbleedバグについて何を知るべきか

Bitcoinのウォレットやオンラインのウォレット、取引所などを使っている人にとってHeartbleedは、きわめて現実的で深刻な問題だ。しかし幸運にも、パニックは数日で収まり、比較的簡単な対策があることが分かってきた。

まず第一に、Bitcoinの転送に用いられているBitcoinのcoreプロトコルそのものは影響を受けない。

CryptocoinsNewsのVenzen Khaosanは、こう書いている:

“Bitcoin CoreのクライアントはOpenSSLの脆弱性対策として0.9.1にアップグレードされるが、coreのデベロッパたちは、BitcoinプロトコルそのものはHeartbleedバグの影響を受けない、と強調している”。

しかし取引所の多くは、念のために一部のサービスを停止している。昨日Bitstampは、同社のサーバへのHeartbleedの影響を調べる際、“認証と登録、ログイン、および仮想通貨のすべての引き出し機能”を遮断した。DDOS対抗サービスIncapsulaは、安全のために同社のサーバをアップデートした。Bitstampはその後、すべての機能をリスタートした。ハッカーがHeartbleedを悪用すると、サーバ上のメールアドレス、キー、ログイン情報などをすべて盗むことができる。

BitcurexBlockchain.infoなども、そのサービスにパッチをあててアップデートした、といわれている。

自分のマシンにウォレットのある人は、どうか。少々のアップデートが望ましい。 Bitcoin Coreのニューバージョン0.9.1が出たばかりだが、それはウォレットのセキュリティが改良されている。ユーザのOpenSSLはopenssl 1.0.1g以降のバージョンであること。それはBitcoin-Qt(Bitcoin Core)のHelp->Debugウィンドウで分かる。Multibitなど、アップデートしていないところは、元々影響のないサイトだが、暗号化とパスワードによってあなたのBitcoinを守ることは重要だ。

まとめると、あなたのBitcoinに触れるものはすべてアップデートすること。対策状態を公表していない取引所は使わないこと。OpenSSLのこのバグが存在するようになってから今日までの2年間で、あなたのユーザネームやパスワードが絶対に無事だったという保証はないから、Bitcoinのデータも含めて、何もかも変えること。あなたのオンライン生活の細部をちょっと知っただけで、ウォレットに侵入できるハッカーも、きっといる。

Bitcoin FoundationのMike Hearnはこう書いている:

“影響は拡大しないと期待している。主要サイトはアップグレード後にSSLキーをローテートしなければならないだろう。ウォレットの秘密鍵は、このバグの影響が及ばない別のサーバプロセスに置かれているところが多い。ただし、一部の不注意なサイトで盗難事件が起きたとしても、それは意外ではない”。

.

被害は甚大ではなかったが、しかし完全に安心とも言えないのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


[ビデオ]OpenSSLのバグ”Heartbleed”ってどんなの?

OpenSSLのバグ、Heartbleedについては、すでにご存知だろう。インターネット上のセキュリティの脆弱性としては、相当おそろしい部類だ。

でも、Heartbleed(心臓出血)て何のこと? 具体的にどういうバグなの? 何がどうたいへんなの? このKhan Academyの教材みたいな†ビデオが、説明に努めている。[†原註: 実はこのビデオの作者はBitcoinに関するKhan Academyの教材ビデオシリーズを作っているのだ。]

このビデオを作ったZulfikar RamzanはMITのPhDで、クラウドのセキュリティサービスを提供しているElasticaのCTOだ。ビデオはこのバグをかなり高レベルで説明しているが、それでも頭字語やジャーゴンは多い(“5歳の子どもにも分かるような”説明ではない)。しかしこのビデオを見れば、かなりの人が、heartbeatの実装に生じたバグの仕組みを理解できるだろう。

〔日本語の関連ページ: (1)(2)(3)。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


5歳の子がXbox Oneのセキュリティ破りに成功–Microsoftから感謝状

ぼくは5歳のとき、かなり賢い子だったと思う。ほかの子たちは、自分の鼻くそを食べていたが、ぼくは食べなかった。幼稚園で金星をいくつもらったと思う? 全科目だよ。

でも、一つだけ、ぼくがもらえなかったものがある。それは、セキュリティの脆弱性を見つけたことに対するMicrosoftからの感謝状だ。この子は、それをもらった。

Microsoftの本社ではきっと誰かが、がっくり落ち込んだと思うが、5歳の子が、パパのXbox Oneのパスワードなんか知らないのに、ログインに成功したのだ。

どうやって? パスワードを求められたとき彼は、スペースバーをたたきまくった。すると、理由は分からないが、見事にログインできた。この方法は、何度でも使えた。

これは、遅すぎたエイプリルフールか? ではなさそうだ。Kristofferちゃんがスペースキーを1337回たたいたという話は、ロサンゼルスのABC10のニュースで報道された。それによるとMicrosoftは、そのバグに真剣に対応し、バグにパッチを当てたあとで、Kristofferにセキュリティ貢献者のクレジットを与えた。

たしかに、Microsoftの3月のセキュリティ認容リストには、Kristoffer Wilhelm von Hasselの名が載っている。そこに載っている人たちの中で、Twitterのアカウントがないのは彼だけだ。若すぎて、Twitterのアカウントはもらえないのだ。

まあそれは、子どもがバッファオーバフローをやらかしてリモートのコードを実行し、Xboxをトースターにしてしまった、などの本格的なハッキングの話ではない。でも彼は、何かを試してみて、そしてそれがうまくいったのだ。Microsoftが、ユーザはこんなことを絶対にしないだろう、と無意識裡に考えていたことを、彼はやった。彼自身にもそのことが分かるので、ややナーバスになってる。それが、この子のすごいところ。

将来、大学の入学申請書類を書くときには、必ずこのことを書こうな、Kristofferくん。“5歳でMicrosoftからセキュリティ貢献クレジットを授与”、と書けば、どんな大学でも大歓迎だ。

[出典: ABC10News]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


企業が社員たちにDropbox, Box, Gmailなどを安心して使わせるためのコンテンツセキュリティサービスSookasaが$5Mを調達

Sookasa は企業がDropboxやGmailのような一般によく使われているクラウドサービスを使えるようにするコンサル企業だが、そのときユーザには気づかれない形で機密データを暗号化し、情報関連のさまざまな規制や法律などに対する企業のコンプライアンスを確実なものにする。同社が今日(米国時間4/1)、Accel Partners率いるシリーズAのラウンドにより500万ドルを獲得したことを発表した。既存の投資家First Round CapitalとSV Angel、およびそのほかのエンジェル投資家たちもこのラウンドに参加した。

最近の企業のIT部門は、コンプライアンスを確実に維持しつつ、社員たちが持つ複数のデバイス上でDropboxやBox、Gmailなどにアクセスさせなければならない、という頭痛のたねを抱えている。そこでSookasaは企業に、“セルフサービス方式でかつターンキー方式の暗号化技術を提供して、社員が自分の好きなモバイルデバイスを使ってクラウドサービスを安全に利用できるようにする”、と同社は言う。ファイルは、どのデバイス上にあってもつねに暗号化され、外部と共有されるときでもデバイス上では暗号化される。

Sookasaは2012年にIsrael Cidon/Asaf Cidonの親子コンビが創業し、AsafがCEOだ。二人が着目したのは、企業とその社員が共有するファイルは複数のクラウドサービスと複数のデバイスにまたがって置かれたり利用されたりするが、そういう危険な動態環境を一元管理する方法がないことだった。

Asafは曰く、“従来のセキュリティ企業はネットワークやエンドポイントなどのインフラストラクチャを保護するが、Sookasaはもっぱら、ユーザ体験を損なわずにコンテンツそのものを保護することに集中する。うちが提供するクラウドコンプライアンスサービスは、あらゆるクラウドサービスと、ありとあらゆるコンピュータやモバイルデバイスをすべて串刺しにした状態で運用される”。

今日ローンチする同社の最初のプロダクトであるSookasaクラウドコンプライアンスサービスは、企業が複数のクラウドサービス/ユーザ/デバイスにまたがってファイルを制御し監査することを可能にし、またファイルをバックエンドで自動的に暗号化する。

今回の投資ラウンドの一環として、Accel PartnersのSameer GandhiがSookasaの取締役会に加わる。また、VMwareやEqualLogicの役員だったKirk Bowmanが、社外取締役として同社を支援する。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Pinterestの複数のアカウントがハックされてお尻の写真だらけに

Pinterestにログインしたら、お友だちが突然、下の図のように、痩身プログラムの広告やお尻の写真にはまってしまっていた。そんなときは、これらのピン(投稿)たちをクリックしてはいけない。

1時間前ぐらいから複数のアカウントがハックされ、スパムで埋め尽くされた。本誌の副編集長のアカウントもだ*。今、Pinterestにこの件でコメントを求めている。〔*: 今は、アカウント本人がスパムを掃除してしまったみたい。〕

Pinterestの人気が上がるにつれて、そのアカウントにいたずらをする悪いやつも増えている。最近Better Business Bureauが発行した警告は、いつもと違うな、変だな、と感じる友だちのピンを見たら、クリックしないように、と言っている。

ハッカーがアカウントにアクセスする方法はいろいろあり、セキュリティホールのあるサードパーティのアプリケーションを利用したり、ほかのサイトの“Pin This”ウィジェットに悪質なコードを潜ませるなどが典型的、とBBBは言っている。

あなたのアカウントを、求めてもいないお尻などから守るためには、怪しいピンを報告すること。サードパーティのアプリケーションに用心すること。コンテンツをリピンする前に行き先のリンクをチェックすることだ。

[副編集長の被害状況]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Mt.Goxのログイン画面が復帰, ユーザのBitcoin残高をチェックできる

Mt.Goxのホームページはここ数週間、法律的な通知文が載っているだけだったが、今日(米国時間3/17)からログイン画面が復活し、ユーザがBitcoinの残高をチェックできるようになった。でも、この、ひどいめに遭ったデジタルウォレットサービスに今できることは、それだけのようだ。ホームページには、こんな声明文も載っている:

”この残高確認サービスは、このサイト上において、全ユーザの便宜のためにのみ提供される。このサイト上における残高の確認は民事再生法の下(もと)での更生の申告を構成するものではなく、また、このサイト上に示される残高額が、ユーザが主張するいかなる更生額に対しても、MtGox Co., Ltd.による承認とみなされるべきでないことに、ご留意いただきたい。”

“民事再生”とは、Mt.Goxが先月末に申請した法的手続きを指し、それは、同社の主張によると、事業の再建と一部の債権者への返済を可能とするものだ。ユーザが自己のBitcoinにいつアクセスできるのかは、依然として不明である。

イラスト: Bryce Durbin作

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


二要素認証をサポートしている/いないサイトの一覧表…誰もが作成に参加できる

二要素認証!(two-factor authentication, 2FA) それは、大規模なハックが次から次と起きている今のご時世に、あなたのオンラインアカウントのセキュリティを強力に向上させる、しかもいちばん容易な方法の一つだ。

しかし、どのサイトが実際にそれをサポートしているのか? それを調べるのは、一(ひと)苦労だ。でも幸いなことに、コミュニティが作っているこのリストには、有力サイトにおける2FAの有無と、まだないところに採用を催促するためのボタンが載っている。

でも、二要素認証って何だろう? ご心配無用…名前から受ける印象ほど難解ではない。要するに自分のアカウントにログインするとき、二つのもので本人性を確認されるのだ。ひとつは、自分が“知ってる”もの(パスワードなど)、そしてもう一つは、自分が“持ってる”もの(本人の電話番号など)だ。

具体的な実装は一定していないが、いちばん多いのは、(1)パスワードを入力する→(2)あなたの携帯にランダムに生成された使い捨ての第二パスワードが送られてくる→(3)それを入力する、という流れだ。ハッカーは、あなたのアカウントにアクセスするために、パスワードだけでなく携帯電話も盗まなければならない(あるいは通信内容を横取りしなければならない)。それが絶対に不可能とは言えないまでも、相当困難な窃盗行為であることは確実だ。

上でリンクを紹介したTwoFactorAuth.orgは、比較的大きなサイトの2FAのある・なしを調べている。たとえばLinkedInはテキストメッセージングを使う方法を実装しているし、Steamは使い捨てパスワードをメールで送ってくる。

そして2FAをサポートしていないサイトの欄には、大きな“TELL THEM TO SUPPORT 2FA”ボタンがあるので、それを押すと、そのサイトに2FAを催促するツイートが自動的に送られる。

このリストはGitHubの公開リポジトリで管理されているから、誰もが新しい情報をここに加えることができる(README.md…Contributing参照)。

現在の最大の問題児たちは、このリストによるとMint、Amazon、Zappos、BitBucket、そしてHerokuだ。Amazonは、デベロッパ向けサービスでは2FAを採用しているが、eコマースなど消費者向けサービスではまだだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Mt.Goxから盗まれたデータにはユーザからBitcoinを盗んだマルゥエアが載っていた

セキュリティ企業Securelistの研究員たちが、Mark Karpelès(Mt. Gox CEO)のコンピュータから“盗まれた”データには実は、Bitcoinを盗むトロイの木馬がMt. Goxの取引を管理するバックエンドアプリケーションのふりをして潜んでいたことを見つけた。このアプリケーションはユーザのディレクトリを探索してBitcoin関連のファイル(wallet.datとbitcoin.conf)を探し、それらを(今では停止している)サーバに送っていた。

このアプリはOS XとWindowsで動いていたようだ。

そのデータファイルは、Mark KarpelèsのWebサイトが正体不明の犯人によってハックされたあとに入手され、ドキュメントにはMt.Goxに関する公開情報と上記の悪役が載っていた。

Securelistのオーナー企業Kasperskyの、Sergey Lozhkinはこう書いている:

そのマルウェアはTibanneSocket.exeのバイナリを作って実行し、ファイルbitcoin.confとwallet.datを探した。後者には、暗号通貨Bitcoinのユーザの重要な情報が載っている。それが暗号化されずに保存されていて、しかも盗まれたら、サイバー犯罪者は、そのユーザのアカウントに保有されているすべてのBitcoinにアクセスできるようになる。

つまり、もしもそれをダウンロードしたら、まず悪役を削除せよ、だね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Targetはクレジットカード情報の盗難の危険性を事前に知っていて, 何も対策しなかった

Bloomberg Businessweekに載った苛烈な記事によると、リテイラーのTargetは、同社のセキュリティシステムに危険が生じたことを知らされてから二週間も、その事態を放置した。〔関連記事(1)(2)。〕

実は昨年から、Targetはセキュリティ企業FireEyeを利用して、サーバ上のマルウェアを監視させていた。バンガロールにレスポンスチーム(事故対応チーム)を置くFireEyeが、ミネアポリスのTarget本社に、同社がハックされたことを告げたのは11月30日だった。そしてそれに関して、誰も何もしなかった。

つまり、Bloomberg誌によると、“何らかの理由でミネアポリスは、警報に反応しなかった”。

その記事はやけに詳しくて、読み物としてもおもしろいが、TargetのセキュリティシステムだけでなくFireEyeの“ハニーポット”サーバについても説明している。それは犯人たちを、本物のサーバに侵入したと思わせる囮(おとり)のサーバで、FireEyeはそれを監視している。しかし、そのあとの話がこわい。

”その侵犯は人間が介入しなくても阻止できた。システムには、マルウェアを検出したら自動的に削除するオプションがあった。しかしその侵入事件のあとでFireEyeのパフォーマンスを監査した二人の人物によると、Targetのセキュリティチームはその機能を無効にしていた。同じくFireEyeを1年あまり使っていた航空機メーカーBombardier Aerospace社の主席セキュリティ担当役員Edward Kiledjianは、それは異例なことではない、と言う。“セキュリティチームというものの習性として、対策の最終決定を自動機械(ソフトウェア)にやらせず、自分でやりたいんだよ”、と彼は言う。しかし、と彼は警告する、“ソフトの自動化機能をoffにしておくと、感染しているコンピュータを早急に見つけて無害化することが、チームの責任になってしまうのだ”。

結局のところ、最後に残ったものは、Target側の怠慢と、FireEye側の明快な名誉回復努力だ。Targetがそのマルウェアを削除する気にならなかったのだから、FireEyeに落ち度はない、と記事は結論している。責任のなすり合いには発展しなかったものの、明らかに、先週辞めたTargetのCIO Beth Jacobが、すべての批難の矢面(やおもて)に立つことになる。

教訓は、良かれと思った計画も往々にして裏目に出る、ということ。Bloomberg Businessweekの元記事はここにある

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ロボコップが現実に、ロボット警備員を開発するKnightscopeにドコモ・ベンチャーズが出資

Knightscopeのサイトより引用。現時点では公道での使用は許可されていません

スターウォーズに登場するR2-D2のような姿をしたロボット警備員が街の治安を守る。そんな日がまもなくやってくるかもしれない。そう、自立走行型マシン「K5」ならね。

K5は高さ152cm、横幅81cm、重さ136kgと少しずんぐりとした体型のマシン。内部には、周囲360度の動画を撮影するHDカメラ、4方向の音声を収集するマイク、超音波式の近接センサー、対象物の移動速度や距離を図るセンサーなどがある。

開発元の米Knightscopeによれば、人々の挙動をリアルタイムに監視し、攻撃的であったりコソコソした身振りを察知した場合は、当局に通報して犯罪を未然に防ぐのだという。1台のK5が年間に収集するデータ量は90テラバイトに上る。

各種センサーで収集するデータに加えて、顧客企業が指定した地域で投稿されたソーシャルサービスのデータも活用する。具体的には、市民の抗議や違法行為に関する雑談などがあると、Knightscopeのセキュリティオペレーションセンターに警報が届く仕組みだ。

TechCrunch Japanのメールインタビューに応じたKnightscopeのCEO、William Santana Li(ウィリアム・サンタナ・リー)氏によれば、同社は2012年12月のサンディフック小学校銃乱射事件や2013年4月のボストン・マラソン爆発事件をきっかけに設立。現在、北米には約200万人のガードマンや警察官、約50万台の警察車両があるというが、「その数はこれ以上増えることは見込めず、治安を守るにはテクノロジーの助力が不可欠」という思いから創業した。

「K5が単調な仕事や、時として危険の伴う仕事までも請け負うことで、人間には高次元の思考や、細かい陣頭指揮が求められる衝突などに注力してもらいたい。将来的には特定エリアの犯罪を50%減らすことを目標に掲げている。」

2014年第2四半期にはシリコンバレーでベータテストを開始する予定で、「ウェイティングリストには30社近くの大企業が順番待ちをしている状況」。本格展開は2015年を見込んでいて、月額3000ドルで提供する計画。ショッピングモールやイベントスペースなど比較的広域なエリアでの利用を想定している。日本での展開は未定だが、リー氏は2020年の東京オリンピックを商機と捉えているようだ。

3月13日には、NTTドコモ・ベンチャーズが同社に出資したことを発表。出資額は明らかにしていないが、NTTグループの安心・安全に関わるビジネスや、機械と機械が互いに通信を介して情報をやりとりするM2M(Machine to Machine)分野への貢献を期待しているという。