タグ: セキュリティ

Sonatypeのコンポーネントライフサイクル管理プラットホームがアップデート; オープンソースコンポーネントの安全な利用を促進

ソフトウェアのコンポーネントは、アプリケーション開発の重要な要素だ。今では、アプリケーションの中心的機能はデベロッパ自身が書くよりも既製のコンポーネントを使うことが圧倒的に多く、それらは何千ものソースから提供されている。でもそれは、損壊や改悪の被害に遭うことがある。たとえば昨年の夏には、中国のハッカーがStruts脆弱性を悪用した。StrutsはJavaでWebアプリケーションを作るためのオープンソースのフレームワークだが、長年その開発とメンテナンスを担当してきたApache Foundationは最近、それを手離すと発表した。今後サポートを引き継ぐところが現れなければ、このフレームワークの寿命は尽きたことになる。

こういった問題をなくすために、Sonatypeは同社のコンポーネントライフサイクル管理(CLM)技術をアップデートして、デベロッパが悪質なオープンソースのコンポーネントを使うことを防ごうとしている。粗悪なコンポーネントは、携帯電話にも、車にも、心臓のモニタにも、何にでも使われる可能性があるのだ。Sonatypeの技術は、コンポーネントの品質をソフトウェアのデベロッパに対して保証するために、一連のポリシーの強制過程を自動化する。

Sonatypeを利用すると、ソフトウェアの欠陥がそのソフトウェアの開発ライフサイクルの中で強制的に修復され、Strutsがハックされたときに露呈したような欠陥が、もっと早めに見つかるようになる。

ニューバージョンに導入された新しい機能として、デベロッパに対する通知項目の目録がある。それらは、セキュリティのリスク、古い版を使っている、ライセンスを更新していない、などなどの問題点のリストだ。使っているコンポーネントを、より安全なバージョンにリプレースさせる機能もある。CEOのWayne Jacksonは、とりわけ重要なのは、ソフトウェアに統合されているコンポーネントを同定する能力だ、と言っている(何の何版が使われているか…)。

Sonatypeはまた、著名なセキュリティエキスパートJosh CormanをCTOに迎えた、と発表した。Cormanはこれまで、451 ResearchやAkamai、IBMなどで仕事をしてきた人物だが、Sonatypeでは彼の得意分野である防御的インフラストラクチャや、アプリケーションのセキュリティ、物のインターネット(IoT)における脆弱性潰しなどが役に立つだろう、と言っている。“接続”が普遍的なキーワードとなっている今日の世界では、予防的防御的アプローチがますます重要になる。あらゆるものがあらゆるものと接続されているコンピューティングとネットワーキングの世界では、そういうすべての接続先を管理し制御することは不可能だからだ。しかもITの成長の速度に、セキュリティ技術の進歩が追いついていない。彼は最近(12月)のTEDの講演でも、この点を指摘している:

オープンソースのソフトウェアコンポーネントにも危険が潜んでいる、というと、要らざるFUDをまき散らすことになるだろうか? そんなことはない。むしろそれは、危機が生じてから対応するというこれまでの姿勢を、前もってセキュリティの脆弱性の悪用を予防しておくという、ディフェンシブな姿勢および考え方に、変えていくだろう。

[画像: Shutterstock]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


企業のモバイルセキュリティ対策に革新をもたらすとするBluebox、新たに1800万ドルを調達

企業向けのモバイルセキュリティサービスを提供するスタートアップのBlueboxが、シリーズBにて1800万ドルの資金を調達した。このラウンドに参加したのはTenaya Capital、Andreessen Horowitz、Sun Microsystemsの共同ファウンダーであるAndreas Bechtolsheim、およびSV Angelだ。Tenaya CapitalのBrian Meltonは、Blueboxの取締役に就任する。今回のラウンドにより、調達額合計は2750万ドルになる。シリーズAは2012年7月に950万ドル規模にて行われている。

尚、このBlueboxは2年前から活動を行っているのだが、未だに一種のステルスモードにある。しかしどうやらいよいよ公に活動する時期が迫っているという話だ。明らかにされているところでは、このBlueboxは企業向けにモバイル関連のセキュリティソリューション・サービスを提供する。いろいろな調査でも明らかになっているように、今や従業員の85%が、自分たちのスマートフォンやタブレットを使って、個人用途と仕事用途双方のアプリケーションをインストールしたり、あるいはウェブサービスを利用したりしている。これにより企業にとってのセキュリティ面での危険性が増すことにもなっている。Bluboxは、こうした従業員所有によるデバイスの企業データへのアクセスを容認しつつ、適切なセキュリティ機能を提供しようとするものだ。

これだけではBlueboxの提供するサービス内容がよくわからないが、しかし同社には名の知れた企業セキュリティ関連のエキスパートが集っているのだ。たとえばCEOのCaleb SimaはSPI Dynamicsの買収によりHPで仕事をしていた人物で、HPではApplication Security CenterのCTOを務めていた。ウェブアプリケーションにおけるセキュリティソリューションの構築の責任者であったわけだ。またSPIの前にはInternet Security Systems (ISS)のX-Force R&Dチームに所属していて、S1 CorporationでのSecurity Engineerとしての経歴も持つ。共同ファウンダーのAdam ElyもSalesforce.comのHerokuにてChief Information Security Officerを務めていた。またTiVoでもセキュリティ部分を担当し、Walt Disney CompanyのDisney.comやESPN.com、あるいはABC.comなどのセキュリティ担当も行った。Sima曰く「Blueboxではデータ面からするアプローチで、モバイルセキュリティに本当に必要なことはなにかということを考えぬいたユニークなサービスを提供します」と述べている。

2012年にBlueboxを立ち上げた際、Simaは他者との大きな差別化要因のひとつは同社が持つ「セキュリティDNA」にあるのだと話していた。「対処しなければならない問題は何かということについて、私たちは正確な認識をもっています。そして対処方法も熟知しているのです」とのことだった。「これまでに私たちと同様のアプローチをとっているサービスはありません。既存サービスに対し、正面から戦いを仕掛けて業界内地図を完全に塗り替えていくつもりです」とも述べていた。

社員による個人モバイルデバイスを使った企業データへのアクセスはますます増加する傾向にある。厳重なセキュリティ対策の実現は企業にとって喫緊の課題となっている。もちろんこの分野に取り組むのはBlueboxのみではない。サービス展開にあたってはLookoutなどと競合していくこととなる。また、この分野においては、有望なスタートアップを買収する動きも活発化している。OracleIBMなども買収など、この分野への参入を目指しているようだ。

原文へ

(翻訳:Maeda, H


Microsoftはシリア電子戦部隊お気に入りの‘いじめられっ子’: 今度はOfficeのブログをいたずらされる

シリアの電子戦部隊(Syrian Electronic Army, SEA)はどうやら、Microsoftが好きではなさそうだ。今年はすでに、Microsoftのソーシャルアカウントを侵害し、社員のメールアドレスをいたずらしているが、それだけでは飽き足らず、今日(米国時間1/1)は同社がデザインを一新したばかりのOffice Blogを汚損した。

The Vergeの記事によると、シリア電子戦部隊は前から、妨害行為を今後も続ける、と約束していた。The VergeだけでなくNeowinも、汚損されたブログの画像を載せていたが、その後どうやら一部を引っ込めたようだ。

この前の妨害行為のときには、社員のメールアカウントが侵犯されたことをMicrosoft自身が認めた。メールのスクリーンショットがツイートされ、ソーシャルアカウントがハックされたことを話し合っている二人の役員の対話が暴露された。

しかし、どれだけの量のメールが盗まれたのかは、未だに分からない。現時点でMicrosoftは、顧客の情報はそのような危険にさらされていない、と言っている。

Office Blogの汚損はMicrosoftにとって深刻な脅威ではないが、彼らの今日の声明: “親愛なる@Microsoft様、おたくの社員がハックされていて、その自覚がないなら、CMSを変えても効果ありませんよ。#SEA“が正しいなら、今後深刻な事態が起きないともかぎらない。

NeowinのBrad Samsは、状況を正しく理解しているようだ:

この種の攻撃はMicrosoftを困惑させるだけで、実害はないのがふつうだ。大量のデータを消されたりすることは、まずない。でも侵入があったことは事実だから、Microsoftはこの前の事件以来、全社員にパスワードの変更を命じたかもしれない。しかしそれでも、この前の損害の復旧からかなり時間が経っているにもかかわらず、Officeのブログがやられてしまったのだ。

全社員のパスワードを変えたのなら、Microsoftの社員が今だに“ハックされている”という彼らの主張は、よく分からないが。

当面Microsoftは、家の中の大掃除をすべきだろう。同社はセキュリティ製品を売っているし、世界中の企業にセキュアな(と称する)サービスを提供しているのだから、実害のない迷惑行為でも放置は許されない。

カット画像クレジット: Flickr

〔訳注: 本当にシリアなのか、それとも、そう名乗っているいたずらハッカーなのか、その点が不明。たぶん、後者でしょう。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


行方不明になった愛犬を、友人や近隣の人の助けを得て探すPuppy

Bluetooth LEを使って、失せ物を探すためのツールが世の中にはたくさん登場してきている。Beluvvの発表したPuppyも、広くいえばそのジャンルに該当するものだ。首輪に付けて利用するもので、Bluetooth LE経由でスマートフォンと接続する。そしてペットがあまり遠くに行ってしまわないように管理しようとするわけだ(許容距離は設定することができる)。

ペット専用のものではないながら、既存のプロダクトを同様の用途に利用できるのではないかと考える人もいるだろう。なるほど、Bluetoothで居場所を確認するという意味ではこれまでのプロダクトと同じような感じだ。しかし、このPuppyでは、愛犬がスマートフォンのBluetoothレンジから外れてしまったときにも、居場所を探しだす能力を持っているという点で、一般的なBluetoothを利用した探索システムとは異なる。近所の人や信頼できる友達にパーミッションを与えておくことで、自分の元から離れてしまった場合でも探索できるようにしているのだ。

具体的な仕組みは次のような具合だ。愛犬が自分のスマートフォンによる捕捉範囲を離れて、友人・知人の捕捉範囲に入った場合、予め設定がしてあれば、その友人・知人のスマートフォンに通知が届くようになる。これを利用してPuppyアプリケーション間で連絡を取り合い、自分のペットがどこにいるのかを把握して、探し出しやすくするわけだ。

スマート家電とは異なり、ペットにはGPSやRFIDは内蔵されてはいない。それでペット探索はデバイスの追跡よりも難しいわけだが、安価(価格は29ドル95セントだ)で手軽なデバイスをペットに取付けて居場所の通知をさせようとしているわけだ。これで居場所を探せば、すべての場所を手当たり次第に探しに行くような必要はなくなる。

BeLuvvは10月に、子供を探すためのGuardianという同じような仕組みのプロダクトをリリースしている。この仕組の有効性については確認できているということなのだろう。Puppyは現在プレオーダーの受付中で、初期ロットは2月21日から出荷を開始する予定だとのことだ。

原文へ

(翻訳:Maeda, H


460万人分のユーザーデータ流出のSnapchat、APIの脆弱性は昨年8月に警告されていた

Snapchatは460万人分のユーザー名と電話番号が漏洩した件について公式ブログに記事を発表した。それによるとデータが盗まれたのはAPIの濫用が原因だったという。同時に電話番号から対応するユーザー名が検索できるデータベースの仕様に問題があったことを認めた。

Snapchatでは今後こうした大量の個人情報流出が起きないよう、Snapchatのモバイル・アプリとサービス自体に改良を加えるよう準備しており、また電話番号から友達を検索できるFind Friends機能をオプトアウトに変えるとしている。

Snapchatによれば、同社は昨年8月にこのセキュリティー上の問題を外部から指摘され、APIを通じたユーザーデータ検索の速度を制限するなど一定の対策を取った。

ところがSnapchatは去る12月7日にFind Friends APIを利用して大量のユーザーデータを取得する方法をわざわざブログで公開するというセキュリティー史上まれに見る理解に苦しむ行動に出た。この記事でSnapchatは「理論的には誰かが大量の電話番号、たとえばアメリカ中のすべての電話番号をアップロードして順次Find Friendsで検索すれば、ユーザー名とそれに対応する電話番号の大量のデータベースを作ることが可能だろう」と書いている。

するとSnapchatのデータベースがまさにその方法で攻撃されたのだという。こうして460万人分のユーザー名とそれに対応する電話番号を掲載したSnapchatDB.infoがウェブに公開されてしまった。

驚いたことにSnapchatのコメントには迷惑をかけたユーザーへの謝罪が一言もない。過失を認めることになるのを恐れたのかもしれないが、まずい対応だという気がする。

Snapchatを攻撃した人物(ないしグループ)は「データを公開したのはSnapchatのセキュリティー問題に公衆の関心を呼び覚まし、Snapchatに欠陥の改良を促すためだった」と主張している。スタートアップにはリソースが不足していることは理解できるが、だからといってセキュリティーをないがしろにしてよい理由にはならない。セキュリティーはユーザー体験に劣らずサービスにとって本質的な要素だ。

攻撃グループは12月下旬、Gibson SecurityがFind Friendsのセキュリティー問題を詳細に指摘したことを報じるZDNetの記事によってこの欠陥を知ったという。この記事はGibson SecurityがSnapchatにセキュリティー問題を指摘したにもかかわらず回答がなかったので公表されたとのだという。

TechCrunchのJosh Constineも先月この問題を指摘していた。Snapchatの最初の間違いはセキュリティー専門家の意見を無視したところにある。Gibson Securityが警告を発したのは昨年8月で、問題が公表されるはるか前だったのだから、その間にSnapchatは真剣にセキュリティーの改善に取り組むべきだった。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


大手スーパーTargetの盗まれたカード番号4000万件の一部が早くもカード屋のブラックマーケットに出回る

セキュリティライターのBrian Krebsが、大手スーパーチェーンTargetのPOSシステムから盗まれたクレジットカード番号がカード屋のブラックマーケットで流通するまでの過程を、非常に詳しくおもしろく書いている。その大量の情報をここでご紹介するのは無理だが、彼は、一部のカードショップが、その貴重なお宝のような番号のために、Target専用のコーナーを設けていることを見つけた。

彼が、その悪名高いカードショップのサイトを某銀行の行員と一緒に訪ねたところ、一連のカードがTortugaというベース名で分類されていた。カード屋の業界用語でベースとは、カードの出所(でどころ)のことだ。そしてKrebsによると、Tortugaのカードの番号は、Targetから盗まれたカード番号だった。驚いたことに、ZIPコード(郵便番号)や州の名前の入ったカードが多かった。よその州の名前の入ったカードは、盗品かもしれないと銀行やお店が目星をつけやすいのだ。

顧客は、犯行を知って即座に対応しただろうか? 即座、ではなかった:

そのニューイングランドの銀行は、自行が発行したカード20枚をこのショップから買おうとした。Tortugaベースの6-9、14、15に属するカードだ。そのストアの“ショッピングカート”には、カードの有効性をチェックする機能があった。チェックで無効と判断されたカードは、自動的に返金される。その20枚のカードのうち、すでにキャンセルされていたのはわずかに1枚だった。

あなたも、心配すべきだろうか? 11月27日から12月15日までのあいだに、Targetの物理店舗で買い物をして、そのときクレジットカードまたはデビットカードをカード読み取り機にスワイプされていたら、答は“イエス”だ。ただし、犯人はあなたのカードを完全に複製することはできないし、現金を引き出したりオンラインで買い物をしたりはできない。Target広報部のMolly Snyderは、次のように書いている:

1. 現時点では、PIN番号に被害が及んだという徴候はない。すなわち、銀行のPINのあるデビットカードやTargetのデビットカードには今なお、このような付加的な保護層がある。したがって、ATMを訪れた誰かが偽造カードを使って現金を引き出すこともできない。

2. 不正にアクセスされたデータにゲストの誕生日や社会保障番号が含まれていた、という徴候もない。

3. 被害が及んだ可能性のあるCVVデータは磁気ストリップ上のデータであり、カード上に読める3~4桁の数字ではない。カード保有者がオンラインの購入ができるようになるのは、後者の数字によってだ。

TargetのCEO Gregg Steinhafelによると、顧客には短期的なディスカウントと、向こう1年間の無料のクレジットモニタリングが提供される:

[以下英文ママ; CEOによるディスカウント案内]

We take this crime seriously. It was a crime against Target, our team members, and most importantly, our guests. We’re in this together, and in that spirit, we are extending a 10% discount – the same amount our team members receive – to guests who shop in U.S. stores on Dec. 21 and 22. Again, we recognize this issue has been confusing and disruptive during an already busy holiday season. We want to emphasize that the issue has been addressed and let guests know they can shop with confidence at their local Target stores.”

Krebsのアシストで行員がカード屋のサイトにアクセスしたニューイングランドの小さな銀行は、クリスマス終了後、5300枚のクレジットカードすべてを再発行するだろう。しかしそれでも、未チェックのカード39,994,700枚が残る〔総被害件数を4000万枚とした場合〕。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


モバイルのセキュリティ攻撃を防ぐだけでなく犯人に逆襲もするZimperiumが$8Mを調達

あなたは今、空港にいる。ポケットからiPhoneを取り出し、空港のWiFiを利用してメールをチェックしようとする。そう、あなたは最初の間違いを犯したのだ。空港のネットワークはセキュリティが良いから、ハッカーの被害に遭うことはない、とあなたはうかつにも想定した。

Sierra Venturesからの800万ドルの資金調達を今日(米国時間12/20)発表したZimperiumは、ユーザを空港などの場所で攻撃から守るための、モバイル技術を作っている。

また同社が作っているITアドミニストレータのためのツールは、ネットワークに登録されているすべてのデバイスをモニタする。そして同社が今進めている超極秘のプロジェクトは、ハッカーたちに逆襲する。そのために同社は、新たに多くのハッカーたちを雇用するための資金が必要だった。でも、同社にはハッカーが集まりやすいだろう。世界でもっとも有名なハッカーKevin Mitnickが、同社の顧問の一人なのだ。

Zimperiumのモバイルアプリ”zAnti“を使うと、ネットワークを毎日チェックして、”man in the middle“攻撃などにやられそうな脆弱性があればそれを見つける。これらの犯行はユーザの通信セッションをハイジャックして通信相手になりすまし、あらゆる通信内容を横取りする。

たとえば、仲良しのFrankとVeronicaがテキストでチャットしていると、Lesterという悪いやつがそこに割り込み、VeronicaのふりをしてFrankとの会話を続ける。FrankはVeronicaとのリンクをチェックしない/チェックするツールを持ってないから、犯行はまんまと成功する。LesterはVeronicaのネットワークにもアクセスして、一人二役で会話の続行を偽装する。本物のFrankとVeronicaの話の中には、Lesterが求めていた貴重な情報がある。あるいはLesterが演ずる偽のVeronicaは、Frankに危険なリンクを教えてそれをクリックさせる。

Zimperiumの陣容がまたすごい。顧問にMitnickがいるだけでなく、CEOのItzhak “Zuk” Avrahamはイスラエル国防軍に3年いた。そこで何をしていたら、Zimperiumのような会社を興せるのか、考えてみよう。

Avrahamが今進めている極秘プロジェクトを自慢するのは、それが、国家の核施設を攻撃するコンピュータワームStuxnetでも、防御できるからだ。

セキュリティ戦争の新しい前線であるモバイルは、セキュリティのプロにとって金鉱でもある。Angel Listには、モバイルのセキュリティを専門とする企業が108社も載っている。でも、そちら(資金)が潤沢になったZimperiumは、強力なビジネスを構築することが次の課題だ。

〔余計な訳注: この記事からはよく分からないが、“逆襲”とは、中間者攻撃に対して中間者攻撃をしかける、という意味か??〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


BitTorrentがサーバを使わない匿名チャットの仕組みをブログ記事で明かす

BitTorrentが、9月に発表して目下開発中の、チャット製品の詳細をブログに載せ始めた。このチャット製品の発表時に言明された目標は、“あなたのメッセージがあなたのものでありつづけること: プライベートで、セキュアで、フリーであること”、とされていた。

そのあまりに簡潔な発表とは対照的に、今回のブログ記事はBitTorrent Chat仕組みを初めて説明しているようだ。同社によると、それは分散型なので、ユーザのメッセージはBitTorrentのサーバを通らないし(下図)、システムがユーザの名前を保存することもない。そして、メッセージはすべて公開鍵方式で暗号化される。

その意味は、二人の人間がチャットをするときに、彼らの公開鍵(数列)を交換するということだ。BitTorrentの広報は、それに加えて、“技術知識のない人たち向けにもっとシンプルな方法もサポートする”、と言った。

BitTorrentのブログ記事では、ソフトウェア技術者のAbraham Goldoorが、ユーザがChatを利用するとき自分の本名を告げなくてもよい、と書いている。彼はそれに加えて:

公開鍵暗号にはいくつかの利点がある。いちばん自明なのは、メッセージを自分の秘密鍵と相手の公開鍵で暗号化することだ。しかし公開鍵暗号では、誰かに自分の秘密鍵を知られたらメッセージはすべて暗号を解かれて読まれてしまう。そこでわれわれのChatでは、forward secrecyを実装している。ユーザが会話を始めるとき毎回、そのときかぎりの暗号鍵が生成される。その鍵は、会話するユーザの互いの鍵ペアを使って生成され、そのときの会話に対してのみ有効となる。そしてその後、鍵は永遠に削除される。

Goldoorはさらに、BitTorrentのそのほかのプロダクトと同様BitTorrent Chatも分散ハッシュテーブルを使ってIPアドレスを見つけるから、各ユーザが相手を見つける過程も、サーバを経由しない、と書いている。

今では当然のように誰もが、自分のメッセージをどこかの企業の手に渡したくない、と思っている。そしてBitTorrentが今年ローンチしたプライバシー重視のプロダクトは、このChatが初めてではない

そのほかのチャットサービス、たとえばTelegram.org(BitTorrentの指摘によるとメッセージをクラウドに保存している)や、本誌が利用しているSkypeなどについても聞いてみた。Skypeについては、BitTorrentの広報は、“Skypeが何をどうやっているかは、誰の目にとっても、秘密のベールの向こうにある。だからわれわれとしても技術的な比較等はできない。でもeBayやMicrosoftに買収されてから以降は、完全にサーバベースのシステムだろう、と想定されている”、と述べた。Skypeにも問い合わせているので、答えが得られ次第この記事をアップデートしよう。

BitTorrentは、そのチャット製品が可利用になる日程をまだ発表していない。しかし非公開アルファなら、ここでサインアップできる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Twitter、近くにいる人のツイートを表示する「Nearby」機能をテスト中

ウォールストリート・ジャーナルの記事によると、Twitterが「Nearby」と名づけた新機能をテストしているようだ。どんな機能かと言えば、相手をフォローしているか否かに関わらず、地理的に近くにいる人のツイートを表示するものだ。

なかなか面白そうなところもありそうだが、しかしNearbyはプライバシー問題を引き起こすことにもなろう。ウォールストリート・ジャーナルにもあるように「Twitterは2010年からツイートに位置情報を付加できるようにしている。しかしこの機能はデフォルトではオフになっていて、利用希望者は自らこの機能をオンにする必要がある」。Twitterは、改めてロケーション関連サービスをオプトアウトで提供しようとしているのだろうか。自分の位置情報を利用することを明示的に許可していない人のツイートなども、「近くにいる」というだけで表示するのだろうか。

Nearbyはごく小規模に行われるテストであるらしく、この機能を目にすることはほとんどないだろう。ただ、もし目にすることができれば、ぜひコメント欄にスクリーンショットの提供をお願いしたい。

Twitterはつい最近も、プライバシー関連で利用者から大きな非難を浴びたところだ。ブロック関連の機能を変更したところ、ブロックしたはずの相手からもツイートが見えてしまうのは問題だとして、不満の声が一斉に沸き起こることとなった。Nearby機能についても、自動的にオプトインされてしまうようなことになれば、不満の声をあげる人が多くなるのではないかと思う。

但し、こうした問題にうまく対処できるとするならば、店舗運営者などローカルマーケターなどにとっては魅力的なサービスに育つこともあり得る。近くにいる人に対する広告を販売できるようになり、Twitterにとっても大きな収益源に育っていく可能性もある。

Twitterが位置情報系サービスに乗り出していけば、Foursquareや、あるいはPathなどのサービスにも大きな影響を与えることになるだろう。Twitterはなんといってもソーシャル界の巨人であり、位置情報系ビジネスに積極的に乗り出してくれば、位置情報関連サービスに関連する広告売上げなどが、多くTwitterに持っていかれてしまうということになることも考えられる。

もちろん、これまで行ったTwitterの実験がすべて本格運用に繋がったわけではない。すべての人に提供されるようになるのでなく、お蔵入りとなっておしまいという可能性もある。

Top Image Credit: Flickr

原文へ

(翻訳:Maeda, H


Google、「iPhoneを探す」に対抗してAndroidデバイスマネージャー・アプリをPlayストにリリース

GoogleはAndroidデバイスマネージャーを8月にリリースしたが、奇妙なことにウェブのみのツールで、Androidアプリではなかった。ユーザーはそのため少なからず混乱と不便を強いられた。そのAndroidデバイスマネージャーが遅まきながらPlay Storeにアプリとして登場した。

機能としてはAppleの「iPhoneを探す」アプリとほぼ同等だ。

このアプリはウェブ版同様、Androidの最後に知られている位置、時間、着信をGoogleマップ上に示す。またデバイスをロックしデータを消去することもできる。ウェブ版のツールが発表されたとき多くのユーザーはPlayストアを検索してアプリ版がないことを知り、困惑した。

もちろん理論的にいえば、このサービスはデバイスを失くしたときに役立つのだから、ウェブ版の方が理にかなっている。Androidデバイス上のアプリはそのデバイスを失くしたときにはなんの役にも立たない。それでもAppleが同様のアプリをApp Storeで公開していることもあり、ユーザーは(アプリを探してしまうものだ。

〔日本版:ウェブ版のデバイスマネージャーはこちら。利用にはGoogleアカウントへのログインと事前のデバイス登録が必要〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Twitterが将来の暗号解読を防ぐため全サイトにわたってPerfect Forward Secrecyを採用

【抄訳】

Twitterが、同社のモバイルサイトとWebサイトとAPIのフィードの全域にわたって、将来の暗号解読からユーザデータを保護するために、Perfect Forward Secrecyを有効にした。このPFSと呼ばれる守秘技術は、Twitterの暗号鍵が将来破られたとしても、それによって、過去に伝送されたデータが解読されることはない、いうものだ。〔*: Forward Secrecy, Perfect Forward Secrecy, PFS; 公式の訳語がまだないようですので、原語そのままとします。〕

Twitterのブログで同社のJacob Hoffman-Andrewsが次のように説明している: “敵が今Twitterの全ユーザの暗号化されているトラフィックを記録して、後日、Twitterの秘密鍵を入手したとしても、記録されたトラフィックをそれらの鍵を使って解読することはできない。Electronic Frontier Foundationが指摘しているように、今日のインターネットにおいては、このタイプの保護がますます重要になっている”。

これは、Twitterがすでに使っているTLSやSSLプロトコルを補強して、同ネットワーク上のログインデータや通常の送信データを保護する仕組みだ。Twitterは2011年にサイトを完全にHTTPS化したが、昨年後半にはログインの欠陥が露呈し、それによりTwitterの特定部分からパスワードがプレーンテキストでしばらく送られていた。あえて単純化して言うと、PFSの施行により、どこかの省庁がTwitterの暗号化されているデータをすべて記録しても、それを一つの鍵で解読することはできなくなる。今後はサーバとクライアント間の各セッションごとに暗号鍵が生成され、その鍵はネットワークに乗って送信されない。だから、万一鍵を一つ盗まれても、それですべてのデータが解読されることはない。データを読むためには、何千何万という鍵が必要になる。

【中略】

The New York Timesに載ったインタビュー記事によると、今回の措置によって最初の接続時には約150ミリ秒の遅延が生ずる。しかし、セキュリティ強化のためなら、致し方あるまい。Googleは2年前にPFSを実装し、また今年の初めの報道では、Facebookもそれに続くようだ。TwitterによるPFSの実装に関する詳細な記事は、同社のブログのここにある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


パーソナル・モバイル・セキュリティーのLookoutが企業向けサービスを開始―1ユーザー当たり月5ドル

今年の9月にに発表されたされたとおり、パーソナル・モバイル・セキュリティーのLookoutは、今日(米国時間11/19)、Lookout for Businessと呼ばれるビジネス・ユーザー向けの新しいサービスをローンチした。

これはLookoutとして、アメリカ企業社会に広がるBYOD (bring-your-own-device = 私用デバイスの持ち込み自由)のトレンドに対応する最初のプロダクトだ。企業IT部門は、私用を含め、ますます他種類のデバイスが自社ネットワークに接続するようになり、セキュリティー上の困難を抱えるようになっている。

Lookoutは従来、アンチ・マルウェアやプライバシー保護、紛失、盗難などの際のリモートデータ消去など一般の個人ユーザー向けセキュリティー・プロダクトに特化していた。しかしこれらはそのまま企業ユーザーにとっても必要な機能だ。

今回のLookout for Businessは社員の私物、企業所有双方のさまざまなスマートフォンやタブレットをマルウェアや不審なアプリなど多様な脅威から保護する。また紛失、盗難に対しても一般ユーザー版と同様、位置追跡やリモートデータ消去機能を提供する。デバイスの所有者と企業のシステム管理者の双方がデバイスのロック、データ消去をオンラインで実行できる。またデバイス所有者を保護するため、システム管理者がリモートデータ消去を行おうとする場合、デバイス所有者にも通知が行われる。

Lookout for Businessは従来のMDM(モバイル・デバイス管理)システムに比べて、セルフサービス的傾向が強い。たとえば従業員が新しいアプリをダウンロードしてデバイスにインストールすることができる。これは従来のMDMでは考えられなかった自由さだ。

このプロダクトの機能は基本的に個人版と変わらず、ただIT部門が管理者として全体を管理できる権能を与えられている点が新しい。システム管理者はダッシュボードから何台のデバイスがこのプロダクトの保護下にあるのか、どのような脅威がブロックされたか、現在どのようなプロセスが実行されているかなどをリアルタイムで把握できる。また管理者は所有者名、種類、機種などによってデバイスを検索できる。

ウェブサイトでは料金の詳細が分からなかったので取材したところ、「1ユーザーあたり月間5ドル」だという答えだった。

Lookout for Businessはローンチ時点で20社が利用している。個々の社名は明らかにされなかったが、地域の店舗からFortune1000の大企業まで含まれており、最大のユーザーは300台のデバイスを登録しているという。

Lookoutはビジネス市場に参入するにあたって、企業ITのコンシューマライゼーションに賭けるという大胆な戦略を取った。つまり 多くの企業で社員の半分がLookoutを利用するようになるまで待ち、それからIT部門による管理機能を追加することでビジネス版を開発した。これはIT部門による管理機能をまず作るトップダウン方式の従来のMDMシステムとは正反対の生き方だ。

Good、MobileIron、AirWatch、Zenprise、Symantecなど何年も先行して地盤を固めた既存のMDMサービスに対してLookoutがどこまでシェアを伸ばせるか注目だ。

Lookoutは最近5500万ドルの資金調達に成功し、国際展開、キャリヤやデバイスメーカーとの提携に力を入れていく方針だ。同社はSamsung、AT&T、Orangeなどと提携している。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Windows版Chrome、1月よりWeb Store外サイトからの拡張機能インストールを禁止

GoogleのChromeブラウザは、1月よりChrome Web Storeで扱っていない拡張機能のインストールをできなくするのだそうだ。

Googleは最近、ブラウザからの警告を増やしたり通知なしのインストールを不能にするなどの手段で、悪意のある拡張機能を排除しようと努力中ではあるが、徹底的な排除のためには、さらなる規制強化が必要であると判断したようだ。また、Googleによれば、Windows利用者からの不満の第一は、あやしい拡張機能がインストールされてしまって、ブラウザの設定が上書きされてしまったり、思った通りの動作をしなくなってしまうということであるとのこと。そうした声にも対応しようとしているわけだ。悪意ある拡張機能はChrome Web Storeを経由せずにインストールされるのがほとんどであるとして、外部サイトからの拡張機能インストールを禁止してしまうのが早道であると判断したのだ。

開発中の拡張機能をローカルからインストールすることは、これからも行える。またグループポリシーを活用して、社内利用者のブラウザに拡張機能をインストールするようなことも行える。また、今回の変更はChrome Appsには影響しない。

開発者の方には何か問題があるだろうか。今回の方針変更でWeb Storeへの登録が必要となってしまった人もいるだろう。しかしこれはGoogleのそもそもの方針でもあったことだ。それに、拡張機能開発者のほとんどは、既にWeb Storeを利用していることだろう。開発者のほとんどには、さほど深刻な影響はないものと思われる。面倒があるとすれば、サインアップ時に5ドルの費用がかかる程度のことだ。

原文へ

(翻訳:Maeda, H


BitTorrentがSync APIを公開: インターネットのサーバ集中主義から完全分散化への脱皮を促す

【抄訳】

Syncは、P2PプラットホームBitTorrentのファイル同期化サービスで、サーバのないDropboxみたいなシステムだが、今年初めにローンチして以来ユーザ数が着実に増えて、いまではアクティブユーザ数100万、サービス上にアーカイブされているデータ量30ペタバイトに達している(7月には8ペタバイトだった)。そしてユーザ数をさらに増やしたいBitTorrentは今日、SyncのAPIをリリースした。デベロッパはこのAPIを使って自分のアプリケーションからSyncのサービスを利用でき、ユーザにデータのアクセスと共有を提供できる。

同時にまた、ニューバージョンSync 1.2がリリースされる。これには、ネイティブのiPadサポートが加わり、LAN上の転送速度が最大毎秒90MBまでアップした(ワイヤレスではこれより遅い)。

BitTorrentがAPIを提供するのは、これが初めてではない。過去には、BitTorrentそのもののためにuTorrentTorqueを提供している。

しかし今回公開されたAPIは、BitTorrent上でメディアファイルを共有するにとどまらない、もっと広範なデベロッパを対象にしている。そしてそのレベルでは、二つのユニークなセールスポイントがある: Syncはそのほかの類似サービスに比べて速い、良い、のほかに、サーバがどこにもないからプライバシー保護が強固だ。P2Pは基本的に分散システムなので、悪い人はデータの所在を簡単に突き止めることができない。

それにまた、BitTorrentはNSAの一般市民に対するスパイ行為を強烈に批判してきたが、BitTorrentの場合その批判は同時に、自分の宣伝でもある。中央集中型のサービスではなく、分散型の構造であることの。NSAが悪人扱いされている現状は、BitTorrentにとって絶好のマーケティングチャンスかもしれない。

いずれにしても、データのプライバシーを重視する人にとってSyncは、そのほかのバックアップサービスにはない重要な特徴を持っている。BitTorrentの広報は、“分散型のインターネットがより良いインターネットだと思う”、というきわめてシンプルな言い方をした。

【中略】

APIの一般公開は今日からだが、初期の作例(用例)を見ることもできる: Webサイトの展開ソーシャルネットワーキングメッセージングなど。BitTorrentはさらに、Sync APIの今後の用途として、“検閲と戦って言論の自由を確保し、思想と情報の自由な流通を確保するためのアプリケーション”や、“セキュアなストレージを確保し、ユーザとデータのプライバシーが政府などの底引き網にかからないようにするためのアプリケーション”、を挙げている。

“すでにいくつかのグループが、セキュアでプライベートなサービスの開発に(このAPIを使って)取り組んでいる”、とBitTorrentの広報は言った。“これはインターネットの次の大きなイノベーションの波の始まりだと思う”。

このAPIの詳細はここで見られる。

画像: Flickr

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


TechCrunch Disruptヨーロッパの最優秀賞はスマート自転車ロックのLock8に決定!

今日(米国時間10/29)、2日にわたって開催された最初のTechCrunch Disruptヨーロッパが無事閉幕した。ハッカソン、数々の著名人による講演、スタートアップの劇的なプレゼンの後、最優勝賞の最終候補が4チーム残った(Import.ioLock8VoicesphereAsap54)。

今回のDisruptでは数百もの応募チームから厳正な審査の結果14チームが選定された。さらに聴衆の投票と編集部の推薦により、2日目に幸運な1チーム、Integreightが選ばれ、合わせて15チームとなった。最終候補の4チームはTechCrunchのファウンダー、元編集長のMichael Arrington、Index VenturesのNeil Rimer、Lakestarのファウンダー、Klaus Hommels、 500 StartupsのDave McClure、Silicon Valley BankのBindi Kariaによって審査された。

長い真剣な討議の末、審査の結果は以下のとおりとなった。

最優勝賞: Lock8

ロンドンとベルリンに本拠を置くLock8は自転車のスマート盗難防止デバイスを開発している。アメリカでもヨーロッパでも自転車の盗難は大問題だ。このデバイスには各種のセンサーが内蔵され、ワイヤを切断しようとしたりするとアラームを鳴らす。振動センサーだけでなく、温度センサーも内蔵されており、冷却スプレーやトーチによる攻撃も感知する。それでも自転車が盗まれた場合、GPSによって所有者に位置を通報する機能もある。

開発チームはクラウド資金調達を開始して市場投入の準備を進めている。 CTOのDaniel Zajarlas-Fainsodによれば、アメリカ市場での予定価格は199ドル、ヨーロッパでは69ポンドだという。Lock8では、自転車シェアリングを進めようとする自治体にも売り込みを図る計画だ。盗難を防止することによって大幅なコスト削減が可能になるという。


最優秀賞次点: Asap54

Asap54はファッション・テクノロジーのスタートアップだ。これは最近の急成長分野だ。このチームは画像認識技術と人工知能による推薦アルゴリズムを利用してユーザーのファション選びを助ける。ユーザーが自分が関心をもったファッション・アイテムを写真に撮ってAsap8に送ると、システムはそのアイテム、ないしそれとよく似たアイテムへのリンクを送り返してくれる。

Asap54はある面でPinterestとInstagramに似ているが、即座に購入行動につなげることができるのが大きなセールスポイントだ。現在200人のベータテスターに限定公開中で、ユーザーからのフィードバックをベースにさらに改良を加えていくという。現在、2万件のファッション・アイテムがこのシステムで識別可能だ。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


中小企業に自己機ホスティングのプライベートクラウド環境を提供するSher.ly, セキュリティは完璧

Sher.ly〔女の子の名前〕なんて、ジョークサイトか? いや、違う。このポーランドの企業は、中小企業の手持ちのマシンをセキュアで常時稼働のクラウドに変える。このエンタプライズ向けソリューションは、ファウンダのBlazej MarciniakMarek Cieslaが頑張ったおかげで、一部の読者も想像したと思うが、実装がきわめて容易である。

“それは常時動いているが、アクセスはスマートで、必要なデータを必要なときだけシンクして必要な人にアクセスさせる。自動的無差別的なシンクはしない”、とBlazej Marciniakは言う。“大きなファイルやモバイルでシンクするのは無意味だ。自分だけのストレージとネットワークを使い、よそでは何も共有しない。だから、Sher.lyは本質的にセキュアだ。データとトラフィックは暗号化され、アクセスは招待制のみだしね”。

彼曰く、“われわれはパブリッククラウドを信用しない”。

同社は2012年の11月にGVN Technologyという名前で創業され、PrivacyProtectorというプロダクトを作った。でも、それに対して世の中は無反応だったので、若いスタートアップによくあるように、さっさと方向転換をした。およそ20万ドルの資金を調達して製品を作ったが。でもその出だしは厳しかった。

“金がなくなり、次のシード資金が決まるまでの3か月は文無しのまま操業した”、とMarciniakは言う。“残念ながらポーランドではほかの選択肢が何もなかったから、できるだけ早くアメリカへ行きたいと思った。そしてやっと、アメリカで会社とコネを作った”。

同社の小さなチームは今、新しい機能の実装とアプリケーション本体の改良に力を入れている。“時間が大きなプレッシャーで、毎日が真剣勝負だ”、と彼は言う。今のユーザ数は100、今日はOS Xバージョンをリリースした。今日はまた、本誌のDisruptで一般公開にこぎつけた。

Marciniakは次のように言う: “チームがしっかりしてれば、何でもできる。一人では何もできないね。すぐれたチームなら、国籍などはどうでもいい。使いやすくて、データのセキュリティが完璧ならね。うちの目標は、データデリバリに伴う不安や心配をゼロにすること、顧客が自分たちの仕事だけに集中できる環境を作って提供することだ”。

〔ここにスライドが表示されないときは、原文を見てください。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


NSAは国内法を迂回するために外国からメールのアドレス帳やチャットの友達リストを取得している

Washington Postの午後(米国時間10/14)の記事によるとNational Security Agency(NSA, 国家安全保障局)は、外国人と合衆国国民の大量のメールアドレス帳とチャット友達リストを集めている。

しかし今のそのやり方は、議会の承認を得ていないようだ。Post紙は、アドレス帳データには物理アドレスやきわめて個人的な情報も含まれている、と指摘している。

正式の職権がないことを迂回するためにNSAは、外国の通信企業や外国の諜報機関に協力を求めている。つまりNSAは、同機関に与えられている監督権や法的規制を越えて、別のソースに依存することにより、より多くの情報を入手している。

外国では、アメリカ合衆国の国民の通信を追跡することが違法ではない場合が多いので、困ったことになる。またNSAは最近、合衆国国民の情報収集に関してはややペースダウンしているが、外国人に関しては違う。

NSAが、本来なら集めることのできないデータを、外国の諜報機関から、メールアドレスやチャットリストに関して集めているというのなら、当然、そのほかのデータに関しても集めているはずだ。

NSAが、一定の理由でそれに課せられている制約を尊重せず、求めるデータを得るために狡猾な手段を弄しているのなら、同機関が繰り返し主張している自己の遵法性と、国民を守る職務職責が、あやしげになってくる。

Post紙はこう述べている: “情報が’海外の収集機関’ [つまり諜報機関] から来ると、そこには’これは合衆国国民ではない’[合衆国の法に触れない]という前提がついてくる”。つまりNSAが海外からアドレス帳や連絡先情報やチャット友達リストなどを集めると、それは合衆国国民が収集したわけではないので、合衆国の法による禁令には触れない、という理屈だ。でもその理屈は、正当だろうか?

電話のメタデータからは、通話相手と通話時間が分かる。PRISMは大手インターネット企業から強制的にユーザのプライベート情報集めることができる。XKeyscore個人のメールを読み、彼/彼女がインターネットの上でやってることのほとんどすべてを知ることができる。そしてPost紙が報じたこのやり方は、議会の監督を回避して、単純に海外から情報を集めることによって、合衆国国民に関するより多くのデータを収集できる。

それが、ネット上のプライバシーの実態だ。

画像クレジット: Zoe Rudisill

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ズームも画質向上(エンハンス)も可能, Dropcam Proはモバイルやブラウザから使う高性能監視カメラ

新しいDropcam Proをすでに1週間ぐらい使っているが、嬉しいことに、設置したときから、この記事を書く今日まで、すっかり忘れていた。それは良いことだ。

Dropcam Proは、機能満載のワイヤレス監視カメラだ。値段は199ドルで、DVRサービスは月額10ドルだ(24時間×7日間)。ワイヤレスは802.11b/g/n 2.4GHzと5GHzをサポート、性能は前よりずっと良くなったし、夜景も鮮明だ。ビデオの規格はHD、筐体のデザインも良い。視野角は130度で、前より20度広い。旧型機より100%ベターだが、旧型機もかなり良かった。

使い方は、まずDropcamをコンピュータに接続してワイヤレスの設定とサービスのアカウントを取る。そして、記録を開始する。CEOのGreg Duffyによると、彼の会社が一日に処理するビデオの量はYouTubeよりも多い。それも当然だ。カメラの前で何かが起きるたびにその箇所にマークをつけて記録し、ユーザに通知する。マイクとスピーカーを内蔵しているので、侵入者と会話もできる。夜間は赤外線LEDを使うので、ちょっと不気味だけどよく分かるシーンが撮れる。

Dropcamsは、単純に言うと、ホームオフィス用の監視カメラとして最適だ。目立たないし、前面の小さな赤いonライトも消せる。ケーブルはふつうのUSBだ。どこにでも置けるが、窓が汚れていると反射が入る。形と構造が、とてもしっかりしている。今度の新型機は、惚れ惚れするほどの出来栄えだ。

そして忘れてならないのはソフトウェアだ。HDでズームができ、また焦点を画面内のどこにでも合わせられる。道路の向こうにとまっている車のナンバーや、運転者の顔も分かるだろう。下の二枚は、Dropcamのビューだ。

ズームすると:

このシーンをもっと鮮明にすることもできる。たとえば下の図のように、部分的な強調もできる。

毎回完璧とはいかないまでも、ライブのシーンで”Zoom! Enchance!“を体験できるのはクールだ。商店や小企業でも十分に使えるけど、家庭でも、あのお粗末な赤ちゃんモニタカメラを買うより、こっちの方がずっといい。ぼくの場合は、子どもたちや、外に置いてある車、それに来訪者を見張るために利用している。両親がショップやオフィスで使っているチンケなCCTVのカメラを、これに代えてあげたい。毎日24時間、1秒たりとも見逃さないのがよいね。

ぼくが特定の製品をべたぼめすることは、めったにないけど、でもこのDropcam Proを設置して忘れてしまって以来、ありがたいことに、こんな苦労とは無縁な人間になってしまった。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


緊急時オーバフローサービスDefense.netはDDoS時の安定業務続行を支える

企業ユーザとしてDoS攻撃にやられたことのある人なら、サーバが敵の手に落ちたときに感じる無力感をよくご存知だろう。Defense.netは、サイバーセキュリティのエキスパートBarrett LyonがDoS/DDoS攻撃から顧客を守るために新たに立ち上げたプロジェクトだ。LyonはBitGravityやProlexicのファウンダでもあり、Joseph MennのFatal System Errorの中では、ロシアのmafiya系ハッカーグループを彼が撃退した一件が取り上げられている。だから、彼は本物だ。

このプロジェクトの最初のプロダクトDDoS SWATは、一番手の対策がやられたときの二番手として活躍する。金融企業も一般企業も多くの場合自前のサーバを動かしているから、それらがやられたときにDDoS SWATが肩代わりする。同社によるとこのサービスは、元々のサーバの“10倍の帯域”を提供し、予備のデータセンターをセットアップするとともに、問題がこじれたときには技術者チームが対策に乗り出す。

企業としてのDefense.netは、Bessemer Venture Partnersが率いるラウンドにより950万ドルの資金を獲得している。

Defense.netのCEO Chris Risleyは曰く、“どの銀行も従来的なDDoS対策を講じてはいるが、それでも毎週一行(いっこう)ぐらいの割合で、すべてまたは一部のユーザに対し業務提供不能になっている。Defense.NetのDDoS SWATはオーバフローサービスなので、元々の能力や容量を回復するだけでなく、それ以上のことをする。DDoS SWATが介入するのは、最初の対策が無効だったときだけだ。SWATの名が示すように、事態が悪化したときだけ動き出す”。

それは全体的に、かなりナードな世界ではあるけど、誰にでも理解できるクールな機能もいくつかある。たとえばDefense.netのAttackViewは、トラフィックの現状を視覚化して、どこが、どこから、どれぐらいやられているか、発動した対策の効果は今どれぐらいか、などを見せる。またIP Reflectionという機能は、トラフィックのルートを被害現場から無事なサーバへつなぎ変えることによって、遅延を縮小する。

Neuromancerのファンであるぼくから見ると、Defense.netはなかなかクールなようだ。でも大企業向けのサービスだから、20ドル出すとSWATチームがやってきて、あなたのブログを救ってくれる、とはいかない。あなたがFortune 500企業になるまでは、用心することと、神様に祈ることが、唯一のDDoS対策だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))