タグ: セキュリティ

AndroidではWhatsAppのチャット記録をほかのアプリから読める

これはどちらかというとAndroidのセキュリティの問題だが、DoubleThinkのCTOでコンサルタントでもあるBas Bosschertが、WhatsAppの暗号化システムに脆弱性を見つけた。これにより、ほかのアプリからユーザのチャットの会話をすべて読むことができる。

WhatsAppのチャットにアクセスするやり方を投稿したBosschertは、昨日(米国時間3/11)のAndroidの大幅なアップデートのあとにも、その脆弱性が残っていることを確認した。

その概要はこうだ:

WhatsApp for Androidは会話をデバイス本体のSDカードに保存するが、機器本体へのアクセスを許可されているアプリならそれにアクセスできる(デバイスへの完全なアクセスの可/不可はアプリごとにユーザが指定できる)。これはWhatsAppの側のセキュリティの欠陥というよりも、Androidのインフラの問題だ。

悪質なアプリはそこからさらに、WhatsAppの会話データベースにアクセスできる。上級ユーザなら、これはハッキングではなくてAndroidのデータ隔離システムの問題だと気づくだろう。

Bosschertはこの欠陥をテストするアプリを作ったが、それは、ユーザがかわいらしいアプリロード画面をぼけーっと見ている間に、データベースにファイルをアップロードする。

最近のリリースでWhatsAppはデータベースを暗号化するようになったので、SQLiteなどでは開けなくなったが、しかしBosschertによると、その暗号は自作の簡単なPythonスクリプトで解読できるそうだ。

そのやり方の詳細がここに載っている。

Facebookは今やWhatsAppのオーナーだから、今後数か月以内にはそのセキュリティを改良するだろう。でもそうなるとなおさら、Android自体の問題が際立つ。

Androidでは、多くのアプリがデフォルトではスマートフォン本体への完全なアクセスを許容されており、だからほかのアプリのデータでもアクセスしてどこかへアップロードできる。

これに対してAppleでは、アプリxyzはアプリxyzのデータにしかアクセスできない。だから悪質なデベロッパがダミーのアプリを作って、ほかのアプリのデータを読む、ということはできない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


[修復済み]Twitterのバグで一部の保護アカウントがフォロワーと認めてない人にも読めてしまった

悪いニュース: 2013年の11月以降、Twitterには、自分のツイートを見られるはずのない人にも見られてしまうバグがあった。

良い(かもしれない)ニュース: 約4か月後に、それは修復された。

正確には昨日(米国時間3/9)やっとTwitterはバグの存在と修復を発表したが、その記述はあまり詳しくない。同社がこのたび開示したのは、93788の保護アカウントがこのバグにやられる可能性があり、ツイートがフォロワーとして認めてない人に見られてしまうおそれがあったことだ。

Twitterのアカウントは通常は公開アカウントだが、保護アカウントはアカウントのオーナーが個々に認めた人にしか読めない(ことになっている)。

Twitterのブログ記事はバグの具体的な詳細には触れず、未承認の人にツイートが読まれてしまうのはSMSやプッシュ通知経由だった、とだけ言っている。ただし今では、そうやってツイートを読もうとした人はフォロワーから外されてしまい、読めなくなる。また実際に被害の生じたアカウントには、すでにメールでお知らせしてある。そもそも何の、どんなバグだったのか、今Twitterに問い合わせているので、答が得られ次第この記事をアップデートしよう。

しかしいちばんかんじんなのは、この特定のバグが直っていようといまいと、小さなグループの内部だけでコミュニケーションしたければ、そのためにTwitterは使わない方がよい(たぶん)、ということだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


モバイルでボットが急増中, 2013年は前年比で30%増加

今では誰もが知ってるように、モバイル、とりわけAndroidは、マルウェア強大なベクターになりつつある。CAPTCHA広告をやっているSolve Mediaからの最新の報告によると、今では合衆国のモバイルトラフィックの約25%がマルウェアだそうだ。

Solveの広告ネットワークだけでは、2012年から2013年にかけてWeb上の怪しいトラフィックは40%増え、今では全トラフィックの60%あまりを占める。怪しいというだけでボットと断定できないが、Solveはその約72%がボットであることを確認したという。

昨年の終りごろ、セキュアなCDNサービスIncapsulaも、これと同様の数字を挙げていた

2013Q4では、ボットトラフィックがいちばん多かったのは東南アジアと中国と東欧からで、とくにその温床と言えるのが、シンガポールと台湾とポーランドトとリトアニアとルーマニアだった。

Solveのデータは、約8400のサイト上の7億回あまりのCAPTCHA検証に基づいている。

Solve MediaのCEO Ari Jacobyによると、年末のボットの急増は、ホリデイシーズンで広告が増えたためだ。“2015年には合衆国企業の広告支出は2000億ドル近くになるから、ブランドもパブリッシャーも共に、今から不正対策を講じておくべきだ”、と彼は今日の声明で言っている。“ボットネットの貪欲なオペレータたちはマーケターが苦労して確保した広告予算を盗んでいるだけでなく、キャンペーンのパフォーマンスに関して嘘の結果を作り出している”。

Solveのシステムを利用しているサイトは、通常のWebサイトに比べて攻撃されやすいという傾向があるだろうから、これらの数字がそのまま全体の傾向を表しているわけではないが、でも、ほかから聞いている数字と大きな隔たりはない。モバイル広告は確かに、ボット天国になりつつあるようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


FreedomPopが完全暗号化で支払いもBitcoinで行うウルトラプライバシーなスマートフォンSnowden Phoneを発売

これがPrivacy Phone、世界で唯一の、すべての通信を暗号化するスマートフォン、とFreedomPopが自慢する製品だ。同社はこの製品に、”Snowden Phone”という愛らしいニックネームまでつけているが、買うときの支払いはBitcoinのみだから、さらにオーナーの匿名性が保護される。犯罪企業のための携帯が欲しかったり、不正に入手した政府の機密を継続的にリークしたいなら、使用する電話機はこれで決まりだ。

音声もテキストも128ビットで暗号化されるという。アプリケーションやインターネット上のデータはすべて、暗号化されたVPNで送られる。それでもまだ不満なユーザは、電話番号をいつでも変えてもらえる。

FreedomPopのCOO Steven Sesarは曰く: “最近はソーシャルネットワークやモバイルデバイスで一般消費者のプライバシーが危うくなっているから、そのことに神経を尖らしているアメリカ人が増えている。それに、匿名で通信する権利は万人にある。大手キャリアにはプライバシー保護に投資するだけの柔軟性、意欲、そしてクリエティビティがない。われわれは、それでいいとは思えないから、キャリアが頼りにならないなら、うちが完全にプライベートなモバイル電話サービスを、比較的安価に提供してやろうじゃないか、という話になったのだ”。

機種はSamsungのGalaxy Ⅱで、お値段は189ドル、キャリアとの契約なし。向こう3か月は音声とテキストは無制限、データは500MBまで使える。その後は月額10ドルを、これもBitcoinでBitPayから払う。

無線通信の暗号化は前から行われている。BlackBerryのサーバを使うメールは暗号化されるし、音声とデータの暗号化をやってくれるスマートフォンアプリもいくつかある。

“大いなる力には大いなる責任が伴う”とよく言われるが、このFreedomPopのデバイスが提供するプライバシー保護は、上記のようなものよりもずっと強力で徹底している。愛国の志士たちが利用することもあるだろうし、また完全犯罪に利用されることもあろう。どちらも、人間の自由の行いだから。

FreedomPopのCEO Stephen Stokolsも、“これに限らず、新しい技術は濫用されがちだからね”、と言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Windows XPのシェア、依然として30%―サポート終了後のXPが狙われやすいわけは?

世界のOSの2月の市場シェアが発表された。 これによると、サポート終了間近のXPが依然としてデスクトップの3分の1近いシェアを占めている。 NetMarketShareの調査によると、2月のデスクトップOSのWindows XPのシェアはインストール・ベースで29.53%だった。

Windows XPのサポートは今年4月8日で終了する。つまりあと34日しかない。Microsoftがサポートを終了する日でもWindows XPのシェアは優に2桁を維持しているだろう。

昨日(米国時間3/3)の公式ブログでMicrosoftはユーザーがWindows XPから乗り換える手助けをするツールを発表した。

サポートが終了した古いOSを搭載した大量のパソコンが市場に取り残されることは何を意味するのか? Ars TechnicaのPeter Brightが「大勢が痛い目に遭う」として、次のように説明している。

相当数のユーザーがInternet Explorer 6-8を使い続けるだろう。つまりこれらのWindows XPユーザーはサポートされないOSでサポートされないブラウザを使うことになる。

悪意あるハッカーがこれにつけ込むことは避けられない。どう考えてもひどいことになりそうだ。

私はクラウドのセキュリティー企業 QualysのCTO、Wolfgang Kandekに話を聞いた。それによる状況は想像していたよりずっと悪くなりそうだ。Windows XPのサポート終了後、当然ながらMicrosoftはWindows7の脆弱性にパッチを当て続ける。これが悪意あるハッカーに絶好の情報となるという。KandekによるとWindows 7で発見される脆弱性の70%はWindowsXPにも影響するからだ。悪い連中はWindows 7のバグフィックスを調べるだけでWindows XPを攻撃する方法を知ることができる。空前のペースで悪用が行われることになるわけだ。

Kandekによると、こうした攻撃はサポート終了の直後から始まるわけではないが、6月か7月には影響が出てくるだろうという。

企業はWindows 7へのアップグレードを進めているが、そのスピードは十分とはいえない。Kandekの会社の推計によると、サポート終了の時点でエンタープライズ市場のパソコンの14%がWindowsXPだろうという。

画像: FLICKR USER AUSTEN SQUAREPANTS UNDER CC BY 2.0 LICENSE (IMAGE HAS BEEN CROPPED)

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Twitterパスワードのリセット通知が届いた人多数 ― 実は単なる間違いだった模様

この数時間で、Twitterからセキュリティ確保のためパスワードを変更するようにというメールを受け取ったという人が多数いるようだ。

何か問題が発生しているのだろうか。Twitterがハッキング被害にあったりしているのだろうか。メールは果たして本当にTwitterからのものなのだろうか。それともなにかフィッシング絡みのものなのだろうか。

取り敢えず、メールは本物だ。しかしセキュリティ上の問題が起こっているということはないらしい。Twitter社の人間が、パスワードリセットを促すメールを、必要のない相手に送ってしまっただけというのが真相らしい。つまり、メールを受け取った人のアカウントも、実際上は何の問題もないということのようだ(もちろん、たまたま、すごい偶然で本当にトラブルに巻き込まれているということはあり得る)。

「Twitterとは関係のないサービスないしウェブサイトから、アカウントが危険に晒されているようです」とメールには書いてある。「第三者からのアクセスを遮断するため、パスワードのリセットを行いました」(原文:”Twitter believes that your account may have been compromised by a website or service not associated with Twitter. We’ve reset your password to prevent others from accessing your account.”)。

Twitterからは短いながら(もちろん140文字以内にまとめなくてはならないわけだ)、今回の事象について説明している。

システムエラーによりパスワードリセットのメールを送ってしまいました。対象となった方にご不便をおかけしてしまい申し訳ありません。

何の問題もなかったらしいということで、取り敢えずは安心だ。ただ、メールが届いてしまった人は、実際にパスワードリセットを行う必要があったことだろう。まあ、「最悪の自体」にはならなかったわけだ。

原文へ

(翻訳:Maeda, H)


ロシアのハッカー、破綻したMt. Goxのソースコードと顧客データを入手したと主張

これからBitcoinの取引所を開設しようと考えているデベロッパーはここを見るとよい。取引システムのソースコードが公開されている。少なくともnanashi_と名乗るロシアのハッカーはそう主張している。このコードは先日破綻した東京のBitcoin取引所、Mt. Goxのものだという。

このソースコードはMt. GoxのBitcoinクラスやBitcoinのユニットの送受のメソッドなどのの定義を含んでいる。Hacker Newsはこの一部はCEOのMagicaTuxことMark Karpelesが書いたもの(そして極めて質の悪いプログラム)だと考えている。

コードの全文はこちらでもこちらでも公開されている。 このハッカーは20GB分の顧客情報、Mt. Gox社員のパスポートのスキャン、連絡先情報も得たと主張している。ハッカーのIRCログ

[原文へ]

(翻訳:滑川海彦 Facebook Google+


航空機のBoeingが超セキュアなスマートフォンBlackをFCCに申請, お役所でBlackBerryの座を奪うか

BlackBerryは今でも官公庁ご愛用の座を捨てていないが、でも航空機メーカーのBoeingが発売するAndroid製品にその座を脅かされるかもしれない。この大手航空機メーカーは昨年、セキュアなスマートフォンを開発していることをついに自白したが、Myceによると、今やその”Boeing Black”と呼ばれる機種がFCCに申請されているのだ。

Boeing Blackは“主に政府省庁と、国防や国土安全保障に関わる政府契約企業に売られる”。そしてその際、“低レベルの技術情報や操作情報は一般に公開されない”。FCCに提出された申請書類には、そう書いてある。だからこれは、Silent CircleとGeeksphoneが共同開発し、一般消費者向けにプライバシーの保護を強化したBlackphoneとは、全然異なるものだ。

でも、これがBlackBerryの合衆国における残存シェアの、横っ腹に刺さるナイフであることは、間違いない。このカナダのスマートフォンメーカーは、国防総省の職員に1月31日以降8万台のBlackBerryフォーンを提供する、というペンタゴンとのおいしい契約を結んだばかりだ。だから今でもBlack Berryは、セキュリティを重視するお役所でいちばん多く選ばれている機種だといえる。

Samsungもこの市場をこじ開けようとして、BYOD専用を謳うKNOXソフトウェアとそのマーケットプレースを打ち出してきた。でもそれは今のところ、BlackBerryほどロバストな(堅固な)製品ではないようで、また、Boeingが提供しようとしている、デュアルSIMでLTE対応の超守秘機種には遠く及ばない。でもSamsungに、官公庁需要という大きな市場を諦める気配はなく、製品の進化を今後も続けていくようだ。

今のところBlackBerryは、機密性を重視する大企業やお役所などで筆頭に選ばれているスマートフォンだが、でもおそらく、今後もっと事業を多様化しないかぎり、続かないだろう。同社がこれまで得意としてきた、セキュリティを重視する市場も、BoeingのBlackが荒らしてしまうかもしれないし、もしかしたら首位の座をBlackBerryから奪うかもしれない。

それではここで、上で言及した3つの新しいスマートフォンプラットホームを、簡単に比較しておこう:

  • KNOX: デバイスを二台持ちたくない(国家機密などとはとくに関係のない)大企業ユーザがBYODでセキュリティを確保できる。
  • Blackphone: 心配性の消費者のためのスマートフォン。プライバシーを守るためなら、すこしお金がかかってもよい、と思っている人用。Snowdenに影響された人用。
  • Boeing Black: ジェームズ・ボンドが使う、自己破壊するスマートフォン。コミュニケーションはできるが、スパイは入り込めない。これもSnowdenに影響された製品だが、ただし心配の方向が上とは180度逆。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


サイトにパスワードを保存する必要なし― Microsoft、Google等がユーザー認証の新規格、OpenID Connectをサポート

ユーザーをウェブサイトやモバイル・アプリにサインインさせること自体は特に難しくない。しかしログイン情報を安全に保つテクノロジーはこれまでセキュリティー専門家が扱うものとされてきた。

今日(米国時間2/26)、OpenID財団がローンチしたOpenID Connectは分散IDシステムに基づくユーザー認証の新しい規格だ。これに対してMicrosoft、Google、Salesforce、Deutsche Telekom、AOL(TechCrunchの親会社)など有力テクノロジー企業と電話キャリヤ多数がサポートを表明している。

デベロッパーはこの規格を利用して簡単なコードを書くだけでサインインのプロセスをMicrosoftやGoogleなどのIDプロバイダににアウトソースすることができる。つまり.OpenIDdを利用すればデベロッパーは自らのサーバにパスワードを保管する必要がなくなる。

OpenID財団は、この新規格によってデベロッパーはユーザーのログイン情報の安全な保管という重荷から解放されるとしている。デベロッパーに代わって、大規模なインフラと高度な技術力を持ち、セキュリティーに対する侵害について常に最新の情報が得られるIDプロバイダがログイン情報を安全に保つ責任を負うことになる

OpenID財団の以前のログイン規格とは異なり、OpenID ConnectはSSL接続に加えてOAuthによるユーザー認証を採用している。以前の規格はXMLと独自のメッセージ・シグナチャーを利用していたため、デベロッパーが実装するためには相当の技術力を必要とした。新バージョンでは、OAuth 2.0が安全な接続とデータ交換を処理する。

それではなぜOAuthだけでなく、その上にさらに別のレイヤを必要とするのだろうか? OpenID財団の崎村夏彦理事長は「OAuthはアクセス許可のプロトコルだが、ユーザーの身元を確認するプロトコルではない」という(ビデオで崎村理事長が自ら説明している)。そのためOAuthにはなりすましを許しやすいなどの弱点がある。FacebookもOAuthを利用してサードパーティーのサインインを助けている。 Facebookのsigned requestsはFacebookの独自規格であるという点を除けばその機能はOpenID Connectと非常によく似ている

Googleのアイデンティティー・プロダクトのグループ・マネージャー、Eric Sachsは私のインタビューに対して「ほとんどのデベロッパーはOAuthの処理に慣れている。このプロトコルの主要部分は、多くのデベロッパーがAPIにアクセスするためにすでに利用したことがあるテクノロジーだ」とConnectを使う利点を強調した。Sachsによれば、GoogleはOpenID ConnectをGoogle+のサイイン・ライブラリに採用するのを始めとしてその普及に全力で取り組むという。

Googleはサードパティーに提供するサインイン機能をすべてOpenID Connect規格にアップデートし、現在のOpenIDは来年にもサポートを打ち切る予定だ。Sachsは「デベロッパーはできるだけ速やかにOpenID Connectに切り替えるべきだ」と言う。

しかしOpenID Connectにとって普及に向けての大きな勝利は、今週、今回の規格の正式発表に先立って、 バルセロナで開催されたモバイル・ワールド・コングレスの主催者であり800社以上のモバイル・ネットワークが参加する団体、GSMAが新しい安全なモバイル接続におけるユーザー認証の規格としてMobile Connectを制定したことだ。モバイル・ネットワーク各社はOpenID Connectの採用によって、ネットワーク間の安全な相互運用性が確保されることを期待している。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Appleの重大なSSLバグ, iOSに次いでOS Xも修復完了

Appleはここ数日、iOSとOS X製品に存在したSSLの欠陥のため、セキュリティの大きな脅威に直面した。iOSのバグは金曜日(米国時間2/21)の午後、iOS 7.0.6へのアップデートで修復され、iPhoneとiPadとiPod touchは安全になった。しかしOS X 10.9のMacはそのまま放置され、今日(米国時間2/25)になってv10.9.2へのアップデートにより修復された。アップデートがまだの人は、お急ぎあれ。

そのSSLのバグは、SSL/TLS認証プロトコルのAppleによる実装中にあった余計な “goto”命令が原因で、そのためiOSやOS X製品に行き来する、暗号化されているはずの送信されるデータは、暗号化されてない状態になる。この脆弱性を悪用するハッカーは容易に中間者攻撃を仕掛けて、パスワードなどのログイン情報を横取りできる。

ハッカーとセキュリティの専門家たちは、この欠陥は本当に”重大な悪用が可能“であり、2013年の10月以前から存在していたことをすぐに見抜き、ささいな問題では済まされなくなった。まだアップデートしていないユーザは、ブラウザはSafariでなくChromeかFirefoxを使うようにし、またハッカーにねらわれやすい大きな公開ネットワーク(とくに暗号化機能のないもの)への接続を避けるべきだ。

ただし、最良の対策は、今のOS X v10.9が載っているMacをすべて、早急に、上記のv10.9.2にアップデートすることだ。静観とか、様子見は許されない。

このリリースではFaceTime Audioという大物が加わったので、iCloudのコンタクトを音声オンリーで呼び出せる。FaceTime通信プロトコルのAudio部分は、この前iOS製品に実装されたものなので、これからはAppleのモバイルデバイス間だけでなくAppleのデスクトップ機とも音声通話ができるようになる。

以下は、v10.9.2アップデートの詳細を記述したプレスリリースの全文だ:
[以下、英文ママ]

About the update
The OS X Mavericks v10.9.2 Update is recommended for all OS X Mavericks users. It improves the stability, compatibility, and security of your Mac. This update:

Adds the ability to make and receive FaceTime audio calls
Adds call waiting support for FaceTime audio and video calls
Adds the ability to block incoming iMessages from individual senders
Includes general improvements to the stability and compatibility of Mail
Improves the accuracy of unread counts in Mail
Resolves an issue that prevented Mail from receiving new messages from certain providers
Improves AutoFill compatibility in Safari
Fixes an issue that may cause audio distortion on certain Macs
Improves reliability when connecting to a file server using SMB2
Fixes an issue that may cause VPN connections to disconnect
Improves VoiceOver navigation in Mail and Finder
Improves VoiceOver reliability when navigating websites
Improves compatibility with Gmail Archive mailboxes
Includes improvements to Gmail labels
Improves Safari browsing and Software Update installation when using an authenticated web proxy
Fixes an issue that could cause the Mac App Store to offer updates for apps that are already up to date
Improves the reliability of diskless NetBoot service in OS X Server
Fixes braille driver support for specific HandyTech displays
Resolves an issue when using Safe Boot with some systems
Improves ExpressCard compatibility for some MacBook Pro 2010 models
Resolves an issue which prevented printing to printers shared by Windows XP
Resolves an issue with Keychain that could cause repeated prompts to unlock the Local Items keychain
Fixes an issue that could prevent certain preference panes from opening in System Preferences
Fixes an issue that may prevent migration from completing while in Setup Assistant

イラスト: Bryce Durbin

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


セキュアなメッセージングアプリTelegramがWhatsAppの買収後に800万のダウンロードを達成

App Storeはむら気なお友だちだ。それは王を任命する最高聖職者だが、その足元は、差別されのけ者にされ無視された者たちの涙で濡れている。

その気まぐれの好例がFlappy Birdの一件だ。このゲームアプリは無料アプリの首位をあまりに長く独占したため、その成功を自分で制御できなくなり、最後はセップク(切腹)して果てた。するとただちにクローンが3つ登場してその座を奪った。Miley Cyrusテーマの“Flying Cyrus”も、その一つだ。

世界最大のメッセージングアプリが2月19日に世界最大のソーシャルネットワークに買収された、というWhatsAppのニュースも、App Storeの新しいスターを生んだ。Telegramという、これまで騒がれたことのないメッセージングアプリが、Facebookの買い物ニュースのわずか5日後にApp StoreのランクでWhatsAppを抜いた。TigerTextやConfideなど、そのほかのメッセージングアプリも、やはり上昇した。

誰もが、この大量移動をFacebookに対する不信のせいにするだろう。Facebookのモバイルアプリはあまり人気がなく、TelegramやWhatsApp、あるいはSnapchatよりも順位が下だ。また、AppleやFacebookなどの大企業がNSAのユーザデータ調査に協力していたというEdward Snowdenの暴露以来、大きなプラットホーム全般に対する不信もある。

Telegramを作ったPavel Durovは、ロシアでFacebookと競合するVKontakteのファウンダだが、NSAにも読まれない、世界でもっとも安全なメッセージングアプリを目指している。先週のWhatsApp爆弾が落ちる前は、一日のダウンロード数30万から40万というペースで成長していた、とDurovは言う。

しかしそのニュースの後には、iOSとAndroidとWindows合わせて一日のダウンロード数がほぼ3倍増し、80万から100万になった。WhatsAppがダウンした日には、新規ユーザが180万増えた。昨日((米国時間2/23)のユーザ増加数は490万で、一挙にiOSアプリの4位にのし上がった。ちなみに1位から3位までは、Flappy Birdの亜流のようなアプリだ。


“Telegramを立ち上げた最大の理由は、ロシアのセキュリティ当局にアクセスされないコミュニケーション手段を作ることだった。その話なら、何時間でもできるよ”、とDurovは言う。Hacker Newsが何と言おうと、このアプリの暗号化システムは世界一最優秀だ、と彼は主張する。

Secretなどと同じく、ユーザの信頼が存立基盤である、まだ自己資本のみのTelegramは、ハッキングに成功した人には20万ドルの賞金を進呈すると公言している。“それはまだ誰も獲得していないが、12月には深刻な問題を見つけてくれたロシア人に10万ドル進呈した”、とDurovは言っている。

Telegramのいちばんクールな特徴は、Snapchatの写真のようにメッセージングの‘期限’を設定できることだ。この、つかの間チャット、短命チャットを利用するには、ユーザのアバターをクリックしたら出るメニューで “Secret Chat”をセレクトする。メッセージングの消滅時限を設定するには、同じくアバターをクリックして、2秒から1週間までのあいだでメッセージの存在期間を指定する。そうすると、チャットは自動的に蒸発して消える。

このところの急激なユーザ数の伸びに対して、ファウンダが平然とした顔をしているのもクールだね。3つのFlappy Birdクローンを全部抜くにはどうやるか?という本誌の質問に彼は、ジョークで答えた: “鳥たちをやっつけたくはないね。ぼくはベジタリアンだから”。

情報開示:私はFacebookの株を保有している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


金曜日にAppleはiOS 7の深刻重大なバグを修復

昨日(米国時間2/21)Appleは、iOS 7のセキュリティ関連のバグを直したと発表した。今日(米国時間2/22)になってWebのセキュリティの専門家たちが、パッチを解析してバグの正体を突き止めた。それはどうやら、相当深刻なバグのようだ。

Wired誌に、そのおそろしい詳細が載っている:

“Appleの昨日の発表があまりに簡潔なので、インターネットの暗号に関する高名な専門家たちは、そのバグの性質について訝(いぶか)った。バグの詳細を非公開で調べ始めた彼らは、いろいろ分かってくるにつれて、仰天のあまり沈黙してしまった。ジョンズホプキンズ大学の暗号学の教授Matthew GreenはTwitterのツイートで、‘Appleのバグの正体が分かった。相当ひどいバグだ’、と述べた”。

Wiredによると、Appleの史上最大のセキュリティ過失と言われるかもしれないこのバグの正体は、認証のコード中にあった要らざるgoto文だった。その余計な1行のおかげで、認証プロトコルのその後の部分を完全にバイパスしてしまうことができるのだ。

金曜日(2/21)に発行されたReutersの記事によると、ハッカーはそのバグを悪用して、メールをはじめ、暗号化されているはずの通信の内容を横取りできる。

一方ZDNetは、Macにも同じバグがあって、そっちは直っていないかもしれない、と言っている。

ZDNetの編集者Larry Seltzerは、こう書いている:

間違いなくこのバグは、きわめて深刻なバグだ。このバグのおかげで、SSL/TLSによる通信の傍受が簡単にできてしまう。今インターネット上で使われている、いわゆる‘セキュアな通信’の大半が、このプロトコルによるものである。したがって、場合によっては甚大な被害が生じうる”。

ZDnetの詳細記事がここにある。

写真: Flickr/aditza121

関連記事。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ドイツ人が大挙してWhatsAppからThreemaへ移行: Facebookの一員になったのでプライバシーが心配

スイスのThreemaは、こうなることを予想しなかっただろう。Süddeutsche紙によると、Threemaのユーザ数は過去24時間で倍増した。今ではドイツのApp Storeで有料部門のトップだ。Threemaが売り物にしている機能は、本格的なエンドツーエンド(end-to-end)の暗号化だ。このサービスのユーザになったドイツ人は、もう二度と、Facebookがオーナーになったあのアプリを使いたいと思わないだろう。

同社のWebサイトは曰く: “今人気の高いメッセージングアプリの多くは、暗号化をしていると称するものですら、外部からメッセージを読むことができる。Threemaでは、サーバを実際に動かしているわれわれ自身ですら、どんなことをしても、あなたのメッセージを読むことはできない”。

WhatsAppもセキュリティの重視を約束しているが、過去にセキュリティホールが見つかったこともある。今ではもちろん、190億ドルで買われてFacebookのものだが、そのFacebookは所詮、広告で稼いでいる企業にすぎない。

Facebookは、WhatsAppブランドの温存を約束している。だから、Facebookの広告をベースとするビジネスモデルには組み込まれず、独立を維持するはずだ。でもドイツのユーザにとっては、約束だけでは十分でない。

ドイツのWhatsAppユーザは約3000万人おり、WhatsAppのヨーロッパ市場の先頭に立っている。この、WhatsAppにとって欠かせないマーケットリーダーに、ユーザ離れの大雪崩(なだれ)が起きようとしているのだ。

Threemaは社員が三人しかいないので、急増したサポートリクエストに圧倒されている。アプリのルックスや使い勝手はWhatsAppに酷似しているが、同社のサービスはサーバのアドミンすら、暗号の鍵を持っていないからメッセージを読むことができない。

ドイツのシュレースヴィヒ-ホルシュタイン州政府のデータ保護コミッショナーThilo Weichertは、WhatsAppが買収されたことによってデータ保護の問題が生ずる、と言っている: “Facebookには何でも見える。何でも筒抜けだ。そしてWhatsApp alsoにも、何でも見える”…彼は地元紙でこう述べている。Weichertは人びとに、利用するサービスは慎重に選べ、とアドバイスしている。しかしそう思っているのは、政府の高官だけではない。1ドル99セント払って新たにThreemaのユーザになった20万人の、80%はドイツの住民だ。

ドイツの首相Angela Merkelの携帯電話は、長年、合衆国の諜報機関から盗聴されていた。今のドイツ人にとっては、プライバシーの侵犯がとても身近で現実的な杞憂だ。これからのWhatsAppは、プライバシー問題にそれほど敏感になってしまっているドイツ人を安心させなければならない。Facebookの傘下であろうがなかろうが、うちのプライバシー保護は完璧、とドイツ人に対して証明する必要があるのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


今度はKickstarterがハックされる―メールアドレスなどのユーザー情報漏えい

最近は毎週のように有名なサイトがハックされたというニュースを伝えねばならない。今回の被害者はKickstarterだ。

Kickstarterはブログ(とユーザー向けメール) でハッカーが同社のデータベースの一部に侵入したことを発表した。

良いニュースはクレジットカード情報は盗まれなかったことだ。また仮に盗まれたとしてもKickstarterはクレジットカード番号をフルに保存していないという。

それほどよろしくないニュースはというと、ハッカーがユーザー名、メールアドレス、メーリングリスト、電話番号、暗号化されたパスワードにアクセスしたことだ。パスワードが暗号化されていたことで多少救われる。しかしどんな暗号化も絶対に安全というものはないので、必ず パスワードを変更しておくことをおすすめする。

Kickstarterによるとハッカーの侵入は水曜の夜に捜査当局から教えられたのだという(どの捜査機関かは明らかにされていない)。Kickstarterはハッカーが利用した脆弱性を直ちに修正し、その後4日間何が起きたかを調査していたという。

アップデート: Kickstarterはいくつかの疑問についてアップデートを発表した。

  • パスワードは2種類の方法で暗号化されていた。古い方式ではSHA-1プロトコルでハッシュ化され、ソルトされていた。新方式ではbcryptが用いられていた。
  • 侵入を知ってから発表までに4日かかったのは状況を詳細に調査していたため。
  • 2個のアカウントで不当な侵入の証拠が認められたが、直ちに是正された。
  • Facebookアカウントを使ってKickstarterにログインしていた場合、FBアカウントの情報は一切漏えいしていない。Facebookのログイン・トークンはすべてKickstarter側でリセットされた。Facebookユーザーは再度接続を手動で許可する必要がある。

〔日本版:訳者はFacebookでログインしているが、Kickstarterからのメールには「われわれは用心のためにFacebookでのログイン情報をリセットした。ユーザー側での対応は必要ない」.とあり、事実いままでどおりKickstarterのトップページのログインボタンをクリックするだけでログインできた。〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Google、音波とスマートフォンを利用したユニークなユーザー認証のSlickLoginを買収

TechCrunch Disruptでローンチしてからわずか5ヶ月後にSlickLoginはGoogleに買収された。

SlickLoginのウェブサイトは「われわれはGoogleに参加し、誰にとってもインターネットがより安全になるよう努力を続ける」と発表した。 TechCrunchの取材に対してGoogleもこの買収を確認した。

買収の条件は明らかにされていない。いつもの通り、われわれはさらに取材を続ける。

SlickLoginのアイディアは非常にユニークだ。ユーザー認証するときに、ウェブサイトは特殊な方法で生成されたほとんど耳に聞こえない音を送り、ユーザーのコンピュータのスピーカーから再生させる。ユーザーはスマートフォンをスピーカーの前にかざしてその音波を受け、アプリが処理を加えた上でサイトのサーバーに送り返す。サーバーは送信した音波のデータと比較してユーザーを認証する。というか、少なくとも現在そのスマートフォンを所持している人間であることを認証する。

SlickLoginが昨年9月にTechCrunch Disruptでデビューしたときの私の記事を引用すると、

SlickLoginを採用しているサイトにログインする場合、ユーザーはアプリを起動してログインボタンを押し、パソコンのスピーカーに近づければよい。

SlickLoginは認証にあたってWiFi、Bluetooth、NFC、QRコード、GPSなどの情報を利用するが、核心となるのは特殊な方法で生成される音波だ。この音はわざと人間の耳には聞こえないようにされている。パソコンがこの音をスピーカーで再生すると、スマートフォンのアプリが内蔵マイクで受信する。

このサービスは従来のパスワードによるログインに代えて用いることもできるし、パスワードによるログインを強化する2段階認証として用いることもできる。SlickLoginはDisruptでサービスを発表した後、小グループを相手に非公開のベータテストを続けていた。買収以前に一般にはまったく公開されていない。

このファウンダーたちはどういう人物なのか? ログイン用音声を傍受、録音して後で使うことはできないのか? そういった点に関しては最初の記事で紹介しているので参照していただきたい。

〔日本版:最初の記事(未訳)によると、ファウンダーは全員が以前にイスラエル国防軍で情報保全を担当していた。生成される音波は常に変化するのでその瞬間のみ有効なので録音して後で使うことはできない〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+


新たに発見されたSnapchatの脆弱性はiPhoneをクラッシュしAndroidを超遅くする

力の大きい者は責任も大きい。今でも急速な成長が続いているSnapchatに対しては、このプラットホームのセキュリティへの関心もますます成長している。

今日(米国時間2/7)はセキュリティの研究者Jamie Sanchezが、SnapchatはDoS攻撃に対して無防備であることを発見した。インボックスを過負荷にしてiPhoneをフリーズ、さらにクラッシュできる。回復策はリセットしかない。Androidデバイスはこの攻撃でクラッシュはしないが、ものすごく遅くなる。Los Angeles Timesがそう報じている

Snapchatはこう声明している: “この問題の対策に取り組んでおり、攻撃について発表したセキュリティ研究家に詳細を問い合わせ中である”。

LA Timesの記事によると、このアプリがユーザの本人性を確認するために生成するトークンが再利用できるので、それを利用してわずか数秒で数百のメッセージを送ることができる。これによってSnapchatユーザの大きなグループや個々のアカウントをダウンさせられる。

SanchezがSnapchatに通知せずに新聞社に一報したのは、Snapchatが“サイバーセキュリティの研究コミュニティを無視している”からだそうだ。

彼の言うことには、一理ある。

昨年末のホリデイシーズンにSnapchatはセキュリティの研究者たちから、ユーザデータが盗まれるようなセキュリティホールがある、と警告されていた。その警告が無視された結果、460万人のユーザの電話番号が公開されてしまい、セキュリティホール説が正しいことが証明された。

LA Timesは攻撃の様子を写したビデオを公開している。

今Sanchezに取材を試みているので、彼から情報が得られ次第この記事をアップデートしよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ロシアではホテルのバスルームの鏡の背後に監視カメラがある


[←写真下部のテキスト: 彼女はぼくがシャワーするときいつもこうするんだ]

ロシアでは外来者に対する諜報的行為が広く行われているので、当局は、人がシャワーを浴びているところを監視してもとくに問題ない、と考えているようだ。

冬期オリンピックの記者会見でDmitry Kozak副首相が、西側のジャーナリストはホテルの設備を意図的に乱用している、と主張した。その証拠に、当局は、シャワーの水を出しっぱなしにしたまま部屋を出るゲストを見たという。

とりあえず、Wall Street Journalに載った記事の全文を引用しよう:

“オリンピックの準備を担当した副首相Dmitry Kozakは、西側からの外来者の一部が、ロシアに対する偏見に基づいて、ソチの出鼻を意図的に挫(くじ)こうとしているという、ロシア当局の見解を共有しているようだ。‘われわれが見たホテルの監視ビデオには、放水中のシャワーのノズルを壁に向けたままにして、その日一日中外出していた人びとが写っている’、と彼は言った。”

その後の会話は予想通りに陰謀都市に向けられ、ジャーナリストたちは、バスルームの中で監視されている者は何名か、と副首相に尋ねた。彼が答える前に、護衛の一人が、Kozakは“メディアセンターを巡視する必要があった”、と記者たちに言った。

しかし、意外なことではない。合衆国国務省はソチヘの旅行者に対して、持ち込む電子機器には個人情報が載っていないようにせよ、と助言している。ジャーナリストたちは、ロシアに入国して自分のコンピュータを立ち上げてから数分後に、ハッキングされたことをを発見した。

NBCのRichard Engelは、“2台の新品のコンピュータを箱から出してインターネットに接続した。その1分後には、ハッカーたちが嗅ぎ回っていた”、と言っている。

そのハッキングがロシア政府の仕業かどうかは分からないが、本誌は以前の記事で、ビデオとインターネットに対するロシアの大規模な監視作戦は“筋肉増強剤を服(の)んだPRISM”だ、という、トロント大学のRon Deibert教授の説を紹介したことがある。〔PRISM…NSAのインターネット諜報プロジェクト。〕

シャワールームでジャーナリストをスパイしていることを、ロシアの高官が軽い雑談ふうに、ポロッと言ってしまった。ロシア政府にとって外来者に対する諜報行為は、それほどまでに軽い、当たり前のことなのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Tumblrが(ようやく)SSLをサポート。但し有効にするには設定が必要

GoogleFacebook、そしてTwitterなどからずいぶん遅れることとなったが、Tumblrが(ようやく)SSLに対応することとなった。但し、標準状態ではSSLが無効となっている点に注意が必要だ。つまり自分で設定する必要があるのだ。

セキュリティ意識の高い利用者(現代は全員がそうあるべきだと思うのだが)は、このYahooが提供するブロギングサービスサイトでは、ぜひともSSLオプションをオンにしておくべきだろう。もちろん遠からぬうちに標準でもSSLモードになるのではないかと思う。TwitterもSSLに対応した当初は、SSLによる保護を望む人に手作業による「https」入力を促すという仕組みでの対応だった。SSLを利用しなければ、周囲の人に通信内容を傍受されてしまう可能性があるわけで、とくにコーヒーショップや会議場でのオープンなネットワークを利用するときにはぜひともSSLを利用するのが望ましい。

Tumblrによると、SSLについては数週間のテストを行ってきたのだとのこと。その結果を踏まえて設定画面でSSL対応を指定することができるようになった。Tumblrのダッシュボードからアカウント設定画面にいき、そこで「SSLセキュリティを有効にする」というスイッチをオンにすれば良い。

Tumblrが直ちにSSLを標準の方式としなかったのはなぜだろうか。理由はいろいろとあるのだろうが、たとえばXKitが使えなくなるという理由もあるのではなかろうか。非常にメジャーなエクステンションで、多数の便利機能をTumblr上で実現できるとして、多くの人が利用しているものだ。

XKitのブログでは、TumblrのSSL設定をオンにすると利用できなくなる旨の記事が掲載されていた。ブログ記事によれば、SSL下でも動作するバージョンを開発中であるとのこと現在のところはXKitを選ぶのか、SSLを選ぶのかを選ばなければならない。

当然SSLを選ぶべきだと思う。

訳注)XKitブログにはSSLにも対応した旨の記事が公開されています。

原文へ

(翻訳:Maeda, H


クラウドストレージサービスを完全暗号化で使えるnCrypted Cloudのサービス

DropboxやGoogle Driveなど、広く使われているファイル共有サービスを企業が利用するときには、万が一ハッカーにやられたときの、ファイルの盗難や改竄が心配になる。そこでこのたび登場したnCrypted Cloudは、あらゆる場所で、あらゆるものを暗号化すると同時に、誰がいつどのファイルにアクセスしたかという完全な記録(audit trail, 監査証跡, 追跡記録, オーディットトレイル)をつける。

このnCryptedサービス経由でDropboxやGoogle Drive、SkyDrive、Boxなどを利用すると、ファイルは暗号化されてから保存される。すでに保存されているファイルを暗号化することもできる。ベテランの起業家Nicholas Stamosと暗号技術の名人Igor Odnovorovが創ったnCryptedは、すでにMicrosoftやCisco、Reveal Imaging、Broadcomなどから計300万ドルのシード資金を獲得している。今は、早くもシリーズAを模索しているところだ。

Stamosはこう説明する: “nCrypted Cloudは、その実装にPCSモデルを採用しているので、企業のIT部門はクラウド上で共有されるデータの保護責任をエンドユーザに委譲できる。しかし責任には説明責任も伴うからnCrypted Cloudは、どんなネットワーク、どんなデバイス、どんなクラウドストレージサービスにおいても、、データの利用やアクセスに関する監査記録をつけ、ユーザのアクティビティを一望にできるようにしている”。

“これまでユーザが生成した監査イベントは累計で1億を超えている。また、弊社が暗号化したファイルの数は1000万を超えている。大企業の顧客が多いが、セキュリティ上の理由から、その名を明かすことはできない”。

小企業や個人も、このサービスを利用できる。そのレベルの利用プランは無料である。大企業向けの有料プランについてはここをお読みいただきたい。Stamosいわく、このアプリケーションはあくまでも各個人の説明責任が主であり、トップダウンの上意下達形のツールではない:

“わが社のサービスによって企業のIT部門は初めて、データの所在や移動に関する総合的な姿見(すがたみ)を入手したことになる。企業の外部や、企業のものではないデバイスに関しても、ファイルの所在・移動をチェックできるのだ。しかもオーディエットトレイルにより、異状を早期に発見修復できる。弊社が採用している説明責任を核とするモデルは、これこそが唯一の、スケーラビリティのあるモデルであり、われわれの一般社会の原理原則でもある(一点・上部管理型はスケールしない)。分かりやすい例が、各州が採用している65mphのスピード制限だ。でもそれは、車に対する速度制限ではない。なぜなら、車が時速何mphで走るかは、ドライバー自身の説明責任に属するからだ。その方が、道路上の車の流れも良い。弊社のサービスでも、個々のエンドユーザは迅速に効率的にファイルアクセスやファイルの移動・保存ができ、しかもそれと同時に、データの保護という企業の要件も満たされる。nCrypted Cloudは、この相(あい)対立する二項の均衡を実現している”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


米YahooのYahoo Mailが大量ハックに遭う, それらしきパスワードをすべてリセット

詳報はまだ乏しいが、Yahooが自らのTumblrアカウント上で公表したところによると、同社は“Yahoo Mailの複数のアカウントへの不正アクセスを取得する組織的な行動”を検出した。

被害を受けたアカウントの数は公表していないので、今Yahooに詳細を問い合わせているところだ。Yahooからの返事が得られ次第、この記事をアップデートしよう*。 今同社は、正確な数を調べているのかもしれない。でも、万人が読むブログ記事で事態を公表したのだから、ささいな事件ではなかったようだ。〔*: 日本時間01/31 7:00PMでこの記事のポストから12時間経過しているが、記事のアップデートはない。〕

やや良いニュースは: Yahooのサーバがやられたのではなく、どこかの“サードパーティのデータベースがハックされて”、そこから盗まれた大量のメールアドレス/パスワードによる大量ログインが行われたらしい。あるいはどこかのデータベースから大量のユーザ名/パスワードを盗んだやつが、それらがYahoo Mailへのログインにも通用するか、調べたのかもしれない。

この攻撃に対応してYahooは、被害に遭ったと思われるすべてのアカウントのパスワードをリセットした。USのYahooにログインしてパスワードを変えろと言われ、本人性をSMSで確認されたら、それがそれだ。

[写真クレジット: Scott Schiller, Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))