トランプ政権が新大統領令でGPSの防衛目指す

GPSは地球全体を網羅しつつある。サプライチェーン、海上輸送、船の入渠、さらに自動車、自転車、歩行などの街中の日常的な移動もすべて、我々の頭上に浮かぶたくさんの人工衛星が同期して織りなす仕事に依存している。

だが、GPSへの攻撃や、GPSの「なりすまし」も増えている。GPS衛星からの信号が乗っ取られると、偽のデータが送信され、デバイスが正確な位置情報を受け取れなくなったり、まったく受信できなくなったりもする。TechCrunchの外部筆者でもあるMark Harris(マーク・ハリス)は、間違った信号を受信し、輸送船が突如として港の中を飛び回るという、上海で近年大量に発生しているなりすまし事件について、MITテクノロジー・レビューに素晴らしい記事を書いている。

こうしたGPSへの直接攻撃に加えて、アメリカのGPSシステムの独占状態が脅かされる事態にもなっている。中国は、北斗と呼ばれる独自の衛星システムを打ち上げ、ロシア、日本、インドなどの国々や、EUまでもが、独自の技術で米国のシステムを補完する動きを見せているのだ。

関連記事:GPS戦争勃発

GPSは、衛星測位サービス(PNT)と呼ばれる分野に属するひとつの技術だ。おそらく、GPSでもっともよく知られているのが、地図上でデバイスの位置をピンポイントで示す機能だろうが、時計の同期、しかもミリ秒単位の精度を要するきわめて繊細な仕事には欠かせないものでもある。

この技術の経済的な重要性は高まり続けているが、悪い連中に狙われるリスクも同時に高まっている。それがトランプ政権を動かした。昨日署名された新しい大統領令では、米商務省の主導で現在のアメリカのPNTシステムへの脅威を特定するための枠組みを同政権が構築した。また、政府内の調達工程に、こうしたリスクを想定するよう定めている。

このプロセスは「PNTプロファイル」という形で実施される。大統領令にはこう書かれている。

PNTプロファイルは、公共および民間セクターが、PNTサービスに依存するシステム、ネットワーク、およびアセットの特定、適切なPNTサービスの特定、PNTサービスの遮断および操作、PNTサービスに依存するシステム、ネットワーク、およびアセットに関連するリスクの管理を可能にするものである。施行後は、PNTプロファイルは2年ごとに審査し、必要に応じて更新する。

言い換えれば、このプロファイルは、システムが互いに連携して確実に機能し認証できるようにするためのものだ。それによりシステムには、設計上の(明らかな)セキュリティーホールがなくなる。

最初のステップとしては上々だが、このインフラを保護する上での目立った変化はない。コンサルティング会社ブーズ・アレン・ハミルトンの副社長で、同社の被害を受けたGPSの回復実務を担当しているKevin Coggins(ケビン・コギンズ)氏は、去年、私にこう話していた。「これらのものを無闇に統合したシステムで、セキュリティーを考慮したアーキテクチャーがなければ[中略]表面に出る脅威を増やすだけです」。PNTプロファイルは、脅威が浮き出てくる表面部分を削ってしまう恐れがある。

トランプの大統領令に関する新しい声明の中で、コギンズ氏はこう述べている。

次のステップとして、連邦政府は、システムの多様性、スペクトルの多様性、ゼロトラストのアーキテクチャーの導入を促す産業界共通の基準を検討すべきです。

システムの多様性は、GPSのような、ひとつのシステムへの依存態勢に対処します。一部の代替PNTサービスはGPSに依存しているため、GPSが崩壊すれば共倒れになります。

スペクトルの多様性には、eLORANやマルチGNSSを利用したシステムのように、PNT情報を送る周波数を増やすことが含まれます。周波数がひとつだけでは、簡単に狙われてしまいます。

最後に、ゼロトラストのアーキテクチャーでは、PNTの受信機は、送られた信号を鵜呑みにするのではなく、信号を利用する前段階で、航法データと同期信号の検証が可能になります。

このセキュリティー分野に注目するベンチャーやスタートアップも多い。経済への脅威が増加し、大きく問題視されるようになった今、さらなる行動が各方面に求められる。

画像クレジット:Prasit photo / Getty Images

[原文へ]
(翻訳:金井哲夫)

NianticがPokémon GOのプレーヤーの反則行為(三回やるとアカウント停止)を説明

不正や反則の禁止は、Pokémon GOで珍しい話ではない。これまでもずっと、数週間おきに、でっかい禁止の波が襲っていた。

でも、ポリシーが最終的に確定したことは、これまで一度もない。公表されている部分以外でも、いろんなことがある。それらが、よく分からない。多くのゲームと同様に、プレーヤーは自分たちでいろんな情報を共有し、さまざまな反則とその罰を知らなければならない。手をぱちんとやられるような軽い罰もあれば、死んでしまう罰もある。

そしてやっとNianticは、同社の正しい“三振法(Three-Strike Discipline Policy)”を発表した。〔三振法の意味

三振という名前が示しているように、ほとんどの違反行為は三度やるアウトになる。ただしNianticによると、一部の不正行為(その定義がない!)は即座に追放となる。

では、何がストライクか? まず、自分が実際にいないところにいると思わせる‘なりすまし’だ。これはPokémon GOの改造クライアントを使ったり、ボットを使ったり、不正な手段でPokémon GOのバックエンドにアクセスしたりすることによって、実現する。

ファーストストライクでは警告メッセージが出る。プレイは続行できるが、7日間、ありふれたものしか出ない。

セカンドストライクでは、1か月のアカウント停止だ。

3つめのストライクになると、アカウントは永久停止になる。

不正をしてないのに、うっかりクロスヘアにつかまったら、どうするか? そんなときは、抗議できる

これらの罰則は、最初のころからある。Nianticが明確な情報を公開したのが、今回初めて、というだけのことだ。

明確な情報とは言っても、多くのプレーヤーにとっては、曖昧で不満だらけだろう。もっともっと、細かく詳しく具体的に説明してほしかった。どこまでが、反則になるのか…。

サードパーティのソフトウェアを使うのは、それがNianticのバックエンドにアクセスしないしクライアントを改造しないやつでもいけないのか? Go-tchaのような、サードパーティのGo Plusハードウェアも禁止か? ゲームプレイを自動化してくれるソフトは、何年も前から売られているが、それも使ってはいけないのか?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Valimailを使うとハッカーがメールであなたのボスになりすますことがなくなる

詐欺的な偽メールの到来を防ぐValimailが今日(米国時間7/11)、そのなりすまし撃退サービスに新しい機能を加えた。これで、悪質なハッカーたちがメールで自己を詐称することが、一層難しくなるだろう。

Valimailは最初、ユーザーの発信メールの信頼度を高める方向にフォーカスしていたが、Valimail Defendと呼ばれる新たなソリューションでは、偽の着信メールを利用する二つのタイプの攻撃に焦点を当てている。よく似た名前のドメイン(たとえばtech-crunch.com…本物はtechcrunch.com)を使うやつと、友だちなどへの“なりすまし”だ。後者は、たとえば同じ会社の中など、一見正しいアドレスを使用する。

ValimailのCEOで協同ファウンダーのAlexander García-Tobarは語る: “うちのクラウドファーストななりすまし撃退ソリューションは、最初から完全に自動化するつもりだった。その結果今では、顧客のドメインをなりすましから守る能力では最高、と評価されている。その最新の進化であるValimail Defendは、これまでの経験を踏まえて、エンタープライズや政府機関にメールのなりすましに対するもっとも進んだ保護を提供する”。

その新しいサービスは今年のQ3に可利用になり、既存のValimail Enforceブランドのソリューションを補完する。後者は、DMARCの強制やそのほかのテクニックで、発信メールの認証などのサービスを提供する。

セキュリティ侵犯の多くがなりすましメールを利用しているから、その対策は企業のセキュリティの最重要な目標になっている。しかしそういう詐欺的行為の多くは、ごく基本的なルールベースのアプローチで防止できる。しかしValimailの主張では、そういうルールの適用処理そのものは、機械学習を使う方がはるかに効果的である。

現在のValimailの顧客には、Splunk, City National Bank, Yelpnなどがいる。Yelpの技術部長Vivek Ramanはこう語る: “Valimailの自動化方式は効果的であると同時に効率的だ。ほかの方法は長時間かかる人海作戦が多いが、Valimailなら人手も時間も要らない。この次世代型の自動化なりすまし撃退技術には、とても感嘆している。Valimailは、完全なエンドツーエンドのソリューションだ”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Uberがドライバーの本人確認のため自撮りチェックを導入予定

hero_id_placeface_1080-1834x1032

Uberは新たに自撮りセキュリティチェックを導入予定で、今後同チェックをアメリカ全土に拡大していく計画だ。これはドライバー向けのチェックで、ドライバー詐称への対策とされており、今後は、ユーザーをピックアップするドライバーが、アプリに表示されている写真の人物と同一であることの信用性が高まる。

このシステムは、Real-Time ID Checkと呼ばれており、Microsoftの機械学習テクノロジーを利用し、その場で撮影された自撮り写真と登録写真を比較することができる。Uberは、このシステムをドライバー・ユーザー両者のためのセキュリティ対策だと話している。ドライバーは、”定期的に”料金を受け取る前に、Uberのドライバー用アプリを使って自撮りするように促され、もしもその写真が登録写真とマッチしない場合、Uberがさらなる調査を行うため、そのドライバーのアカウントは凍結されるようになっている。

ユーザー側の利点は明白で、少なくとも自分のドライバーが、他のドライバーの携帯電話やアカウントを使った人ではなく、Uberの(バックグラウンドチェックを含む)採用プロセスを経た人だと信用することができる。もちろん、これは完璧な安全策ではないが(そもそもそんなものは存在しないが)、ドライバーの身元を確認することで、ユーザーが危険にさらされるような、極端なケースを防ぐことには間違いなくつながるだろう。さらに、中国で発生している”ゴーストドライバー”のような事象も防ぐことができると考えられる。

real_time_id_check_frame_1080-1一方Uberは、このシステムがドライバー側の利点も考慮して作られた安全策だと語る。ログインごとに追加の確認作業が発生することで、ドライバー詐称を防ぎ、ドライバーをなりすまし犯罪から守ることができると同社は考えているのだ。どうやらUberは、銀行口座のセキュリティのようなものを想起させようとしているのだろう。TechCrunchは、登録写真との比較目的に撮影された自撮り写真の、データ保管に関するポリシーについてUberに尋ねたが、この記事の公開時点では回答を得られていない。

自撮りチェックシステムは、パイロットテストがはじまってから数ヶ月が経過しており、Uberによれば、報告されたミスマッチのほとんどが、そもそも登録写真が鮮明でないことによるものだった。さらにUberは、テストに参加したドライバーの99%は問題なく照合されたと話しており、システムが照合に失敗したうち、ほんの数%だけのケースで、実際のドライバーが登録者とマッチしていなかったことになる。

Real-Time ID CheckはUberがオペレーションを行っているアメリカの都市で導入される予定だ。海外市場でも導入予定なのか(また、導入されるならいつ頃を予定しているのか)についてUberに確認したが、こちらについても未だ回答を得られていない。

原文へ

(翻訳:Atsushi Yukutake/ Twitter