米セキュリティー保険大手のChubbがランサムウェア「Maze」の攻撃を受けデータを盗まれる

企業向けサイバーセキュリティー保険大手のChubb(チャブ)がデータ侵害を受け、自身がサイバー攻撃の被害者となった。

損害保険の巨人はTechCrunchに対して、匿名の第三者に属するデータへの不正アクセスに関わる「セキュリティー事象」を現在捜査中であると語った。Chubbの広報担当者、Jeffrey Zack(ジェフリー・ザック)氏は、本事象がChubb自身のネットワークに影響を与えた「証拠はなく」、同社ネットワークは「現在も完全に機能している」と語った。

しかし同氏はそれ以上の詳細を語ることはなく、同社顧客が影響を受けたかどうかについてなどのTechCrunchの質問にも答えなかった。

セキュリティー会社、Emisisoft(エミシソフト)の脅威アナリスト、Brett Callow(ブレット・キャロウ)氏が、米国時間3月26日に本件を最初にTechCrunchに通知した。キャロウ氏によると、本セキュリティー案件はランサムウェアグループのMazeが仕掛けたデータ盗難ランサムウェア攻撃だという。Mazeはネットワークを伝搬して通過したコンピューターのデータをすべて暗号化するだけでなく、データを盗み出して犯人のサーバーに取り込み、人質として保管する。身代金(ランサム)が支払われなければ、犯人はそのファイルをネットに公開する。

2019年12月、FBIはMazeに関わるランサムウェア事象の増加について、各企業に個別に警告した。キャロウ氏は、本件の背後にいるアタッカーはウェブサイトにリストを掲載して、Chubbからは3月始めにデータを盗んだと主張している。リストには同社の幹部3名の名前とメールアドレスがあり、CEO Evan Greenberg(エバン・グリーンバーグ)氏もその一人だ。本稿執筆時点で、犯人はまだ盗んだファイルを公開していない。

Chubbは米国最大級のサイバーセキュリティー保険会社であり、事件対応サービスを提供し、データ侵害による企業の損害に保険適用している。昨年小売業大手のTarget(ターゲット)は、Chubbに対して7400万ドルの訴訟を起こし、2013年に起きたデータ侵害で顧客データ1.1億人分が盗まれた事件に要した費用を同社が適切に補償しなかったと主張した。

[原文へ]

(翻訳:Nob Takahashi / facebook

ForgePoint Capitalがサイバーセキュリティー系スタートアップ向けに500億円の新ファンドを設立

ForgePoint Capitalは、4億5000万ドル(約500億円)のファンドを新たに設定したことを発表した。サイバーセキュリティーおよびセキュリティーの早期ステージスタートアップに特化したファンドしては最大だと同社は説明する。

新ファンドは同社にとって2番目で名前もそのまま「Fund II」。早期ステージのスタートアップだけでなく、成長に集中している会社にも投資する。増え続けるサイバーセキュリティー分野のスタートアップに早くから資金を投じ、次のCrowdstrikeやCloudflareを見つけることを目的としている。2社とも昨年数十億ドルの評価額で上場して大規模なイグジットを実現している。今投資することで、将来の人材不足を見越して、優れた人材を確保しようという目論見だ。サイバーセキュリティー要員は2022年には180万人に達すると予測されている。

同ファンドはすでにいくつかの早期ステージスタートアップに投資しており、Cysiv、Huntress Labs、Secure Code Warriorなどの名前が上げられる。「世界の繁栄と国家の安全は、デジタル世界を守ろうという決意にかかっていると我々は信じている」とForgePointの共同創業者でマネージングディレクター、そしてファンドの責任者を務めるAlberto Yépez(アルベルト・イペス)氏は語った。

ほとんどの意思決定は、業界のリーダーと投資専門家60人からなる同社のサイバーセキュリティー諮問委員会の意見に従っている。委員会メンバーのうち女性はわずか11%だ。これまで にForgePointは、Qualys、AlienVault、Appthorityといった、大きなイグジットに成功した企業に投資している。

[原文へ]

(翻訳:Nob Takahashi / facebook

国土安全保障省は2020年大統領選のセキュリティー計画を立てていない

国土安全保障省のサイバーセキュリティー諮問機関は2020年大統領選挙のセキュリティー計画が「まだ出来ていない」と政府監視機関が発表した。その報告書は、米国時間2月65日に政府監査院が発表したもので、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA、Cybersecurity and Infrastructure Security Agency)は、「2020年の選挙期間が始まる前に、選挙基盤のセキュリティーを確保するための戦略を実行する準備ができていない」と指摘した。

監査院は、同部門は州や自治体が各選挙基盤を堅牢にするための計画を「早急にまとめる」必要があると語った。しかしCISAは、政治運動を保護し、海外からの脅威への注意を喚起する運用計画の半分も完成できそうにないと語った。

これは2016年大統領選挙で重大な障害の原因となったのと同じ問題であり、当時はヒラリー・クリントン陣営がハッキングされたり、ロシア政府が大規模な情報操作を行うなどの事件が起きた。

報告書によると、11月時点でCISAが完了した脆弱性評価はわずか161件であり、これは選挙システムの遠隔操作を防止することを目的としており、全米の数千カ所に上る地方自治体で実施する必要がある作業だ。監査院は、CISAが投票日にセキュリティー問題が起きたときにどう対応するかの「計画を立てていない」ことも指摘している。

監査院は、CISAで現在進行中の組織変更も無計画の一因であると言う。同部門は士気の低さとに加え、少なくとも一名の要職が辞任している。昨年、CISAのサイバーセキュリティ担当次官補で、選挙システムのセキュリティーの責任者でもあったJeanette Manfra(ジャネット・マンフラ)氏は政府を離れてGoogleで新たな職に就いた

同報告書の悪事の証拠が公表されるわずか数日前、アイオワ州民主党が使用した投票集計アプリ悲惨な障害のために投票結果を予定通り公表することができなかった。この党員集会は、民主党がトランプ現大統領と戦う候補を指名する最初の取り組みだった。

CISAの広報担当者であるSara Sendek(サラ・センデク)氏は、同局は厳重な選挙体制を構築するために3年を費やし、サイバーセキュリティー部門は選挙支援の「準備を完了」していたと語った。

「CISAの仕事は終わっておらず、毎日開発と改善を続けているが、脅威の問題やシステムの安全を守るために必要な行動が何かは認識している」と広報担当者は語った。

画像クレジット:Bloomberg (opens in a new window)/ Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

米内務省がセキュリティーの懸念からドローン使用を休止

米国内務省は、サイバーセキュリティーの懸念を考慮して同省の非緊急用ドローン機隊の活動を休止すると発表した。同省はこの決定について、「ドローン運用に用いられるテクノロジーがわれわれの国家安全保障の妨げにならない」ことを確実にするためであると短い声明の中で説明した。

内務省報道官のCarol Danko(キャロル・ダンコ)氏は、「サイバーセキュリティー、テクノロジー、および国内生産に関わる懸念が適切に対処されていることを確認したうえで、非緊急用ドローン使用の一時休止」を同省が正式に命令したと語った。同省は3カ月前にドローン約800機の休止を発表していた。しかし、ドローンは今も救命や自然災害支援などの緊急目的には利用されると声明に述べられている。

このニュースはCyberscoopが最初に報じた

命令には中国からの脅威への具体的言及はなかったが、ドローン作戦中に収集した情報は、「外国の企業、組織、政府にとって価値をもつ可能性がある」と語った。

ダンコ氏はTechCrunchに、現在同省にはDJI製ドローン121機と、中国製だがDJI製ではないドローン665機を保有していると語った。また、24機は米国製だが中国製部品を使用していることも付け加えた。「今回の見直しはあらゆる脅威とリスクの可能性を検証するために行った」と同氏は述べた。

他のいくつかの政府機関(軍部を含む)も、中国製ドローン機隊の使用をを禁止または停止している。

DJI広報のMichael Oldenburg(マイケル・オルデンバーグ)氏は、この決定について同社は「非常に残念に思っている」と語った。

中国企業は、中国政府との関係疑惑から米国政府での使用禁止あるいは制裁措置を受けている。脅威の主な理由は、中国IT企業が中国政府からスパイを強要されている、あるいは欧米に対するスパイ行為に利用されている可能性だ。昨年トランプ政権は、政府機関におけるファーウェイおよびZTE製ネットワーク機器使用を禁止した。ほかにも、無線機器メーカーのHytera(ヒテラ)、監視カメラ最大手のHikvision(ヒクヴィジョン)など数社が米国政府から締め出された。

昨年DJIは、懸念を払拭するためにカリフォルニア州でのドローン組み立てを検討していると発表した。

関連記事:Despite objection, Congress passes bill that lets U.S. authorities shoot down private drones

[原文へ]

(翻訳:Nob Takahashi / facebook

サイバーセキュリティーと人権:イスラエルのサイバー法はビッグブラザーの序章か

[著者:Tehilla Shwartz Altshuler]
The Israel Democracy Institute(イスラエル民主主義研究所)による情報時代の民主主義プロジェクトのシニアフェローおよび代表。

サイバー攻撃には、移動体通信を麻痺させ、コンピューター化されたシステムの改変や消去を行い、コンピューターサーバーへのアクセスを不能にし、電力網や銀行システムを攻撃することで国家の経済や防衛に直接被害を与える力がある。

どの国にも必要なものであることは明らかだが、とくに国防上特殊な状況にあるイスラエルでは、サイバー防衛システムの維持管理が欠かせない。イスラエルでは、イスラエル・サイバー事象即応チーム(CERT-IL)を含む統合的なイスラエル国家サイバー総局(INCD)を設立し、首相官邸のイスラエル国家安全保障局やモサドなど、他のセキュリティー機関と密接に協力しつつ、問題に対処している。これは重要な機関であるため、立法権、目標、組織構造を明確に定義しておかなければならない。

しかし、おかしなことに、イスラエルはイノベーションと技術開発においては急成長を遂げた「スタートアップ・ネイション」でありながら、テクノロジーと人権と民主主義の価値の交差点で持ち上がっているジレンマに対処する法律では、恐ろしく立ち遅れている。セキュリティーとトラッキングに関する技術は、ほとんどが民間の目の届かない場所で開発されていて、統合されたINCDは、その活動を縛る法律が整備される前に設立された。

それに対して、イスラエルのサイバー防衛システムの活動の法的枠組みを定める目的で、サイバー法の最初の草案ができたのは、喜ばしいことだ。しかし、草案を見ると、国は国民をサイバー攻撃から守るのに必要な力以上のものを求めているように思える。未来のサイバー攻撃がどのようなものになるか、現時点では想定が難しいという理由もひとつにはある。しかし、市民活動の統制力を強めるためにテクノロジーを使うという政府の陰謀めいた部分もある。

この草案では、INCDは首相官邸に属することになり、インターネットや携帯電話からのデータを日常的に収集し、省庁、地方自治体、政府関連法人に提供することで、サイバー攻撃を特定しリアルタイムで対処できるようにするとある。それでも、「セキュリティー関連のデータ」の定義は曖昧なままで、2015年にアメリカのサイバーセキュリティ情報共有法(CISA)で定義された痕跡情報(サイバー脅威情報)よりもずっと範囲が広くなっている。

問題は、政府機関に公開されるネット上のあらゆる活動の記録や詳細な個人情報など、これらすべてが本当に必要なのかということだ。このような方法で収集された情報が、行動的特徴の割り出しに利用され、市民を縛る形で使われはしないだろうか。こうしたデータの収集と、広範囲で制限のない盗聴と、いったいどこが違うのだろう。そこまで深い情報を国が覗けるようになることは、国民のプライバシーと人権にとって、じつに重大な問題となる。

さらに、この法案が通れば、INCDは、サイバーセキュリティーを侵害する人物を絞り出すという名目で、さまざまなコンピューターへのアクセス権を持ち、情報の収集や処理ができるようになる。これには、すべての市民と企業のプライベートな情報が含まれる恐れがある。法案にはプライバシーを守る権利を尊重するようにも書かれているが、その権利を「必要以上に」侵害しない活動は認めている。つまり、恐ろしいほど曖昧な制限なのだ。しかも、収集した情報の使用の制限も不十分だ。どれだけの期間、情報を保管できるのか。INCDから警察や他の機関に提供してもよいのか。

同時に人権を守ってゆかなければ
サイバーでもテクノロジーでも
グローバルリーダーにはなれないと
自覚しておくべきだ

この法律は、INCDに、警察やプライバシー保護機関などを超える法的権限を与える。一般企業から営業許可を取り上げる権限すら持つ。その結果、他の機関との協力関係が崩れるのは明白だ。もちろん、最大の疑問は、この力がいつ行使されるかだ。その答えもまた、不安なものだ。「『重大な利益』を守る必要が生じたときはいつでも」とされている。

これは、国家の安全や人命を守るためのものかも知れない。しかし、草案には「大規模にサービスを提供する組織の適正な運営」という一文がある。これには、大手衣料品販売チェーンなども含まれるのだろうか。そうだとしたら、これは正当化されるのだろうか。

私たちが知っている、昔ながらのサイバーセキュリティーとは、おもに目に見えるインフラへの被害を想定したものだった。しかしこの草案では、首相の意思で、より多くの脅威をサイバーセキュリティーの対象リストに追加できるようになっている。そこでまた疑問がわく。「ソーシャルネットワークで議論を持ちかけ、市民の意識に悪い影響を与えること」や「フェイクニュースを広めること」などを首相が加えたとしたら、国家安全保障局に加えて、INCDにもこうした問題に対処する権限を与えることになるのだろうか。

さらに言えば、この草案では、こうした強大な力を持つ組織を監視する機関については、あまり触れられていない。しかも、INCDの長官には、サイバー攻撃が判明した際、秘密裏に活動できる権限が与えられている。たしかに、抑え込む前にサイバー攻撃の事実を公表してしまえば、さらなる被害を招きかねないため、それは理解できる。しかし、もし自分がかかっている病院にサイバー攻撃があり、医療の現場が混乱してしまったとき、いつまで真相を知らされずに我慢できるだろうか。銀行口座やデートサイトに登録したデータが漏洩した人たちはどうだろう。

この法案は、INCDに監視されない権力を与えるものであり、それは民主主義の常識から外れる。こうした力の乱用や、エドワード・スノーデンが暴露した米国家安全保障局の立ち入った監視プログラムPRISMは、とくにイスラエルにおいては警鐘と捉えるべきだ。EU一般データ保護規制(GDPR)が施行された今日、プライバシーの権利とは、もう自分の個人情報を自分で管理する権利ではないように思える。むしろ、プライバシーの権利とは、他人の人権の前提条件と考えるべきだ。この法律は重要だが、前代未聞の「ビッグブラザー」シナリオの第一段階だという印象を拭い去ることができない。

立法者は、ゆっくり時間をかけて、サイバー問題と、それがもたらす脅威と機会について学ぶべきだ。この法案の審議する人間は、デジタル世界におけるプライバシー権の意味を深く理解していなければならない。その知識は、よりバランスのとれた法案を作る上で役立ち、ひいてはイスラエルの人々を守ることにつながる。

この法案の趣旨には「イスラエルをサイバーセキュリティーの分野でグローバルリーダーにする」というものがあるが、創造性と独立心と奇抜な発想に支えられているイスラエルのような小さな国では、同時に人権を守ってゆかなければ、サイバーでもテクノロジーでもグローバルリーダーにはなれないと自覚しておくべきだ。

[原文へ]
(翻訳:金井哲夫)

Y Combinator出身のサイバーセキュリティー・スタートアップTemplarbitが日本参入

左から、Bjoern Zinssmeister氏、Matthias Kadenbach氏

Y Combinator卒業生のコンビ、Bjoern Zinssmeister氏とMatthias Kadenbach氏が率いるサイバーセキュリティー・スタートアップTemplarbitは今月、日本市場にプロダクトを展開することを発表した。10月2日よりTemplarbitの全機能をあらゆる日本企業が利用可能となった。

Templarbitはソフトウェアをサイバー攻撃やデータ漏洩から保護するAIを使ったセキュリティー・ソリューション「Templarbit」を開発・提供している。最近では205 Capital、そしてY CombinatorやLightspeed Venture Partnersから3億円を調達した。

Templarbitはサイバー攻撃からアプリケーションを守るセキュリティー特化型プラットフォームで、Cross-site Scripting (XSS)、インジェクション攻撃、クリックジャッキング、DDoS攻撃などからアプリケーションを保護し、早期の脅威検知や脆弱性検査を可能とする。AIがデータを分析し、拡張性のある防御を構築。 同社の独自データと機械学習モデルを組み合わせ活用することによって実現されている。

Templarbitはその気軽さも1つの特徴だ。アプリケーションサーバーにエージェントをインストールすることで簡単にアプリケーションスタックへとデプロイできる。アプリケーション層を通過したデータをTemplarbitが分析し、不審な動きなどは管理画面にリアルタイムにレポートされる。

Templarbitが日本市場に参入したのにはワケがある。TemplarbitのCEOであり共同創業者のZinssmeister氏は「日本は非英語圏で最も多くのサイバー攻撃を受けている国の一つ」だからだとその理由を説明した。

「翻訳ツールの進化により、ハッカー達はより簡単にウェブサイト上で何が起こっているのか理解することができるようになった。ここ数年で日本でもサイバー攻撃が急増したのはそれが原因だ。だが、日本では残念ながらサイバーセキュリティーに対する投資が充分に行われていないと考えている。小規模な地方の銀行などはプロのハッカー集団などに対応するための準備が整っていない」(Zinssmeister氏)

アメリカでは2013年に顧客のクレジットカードとデビットカードのアカウント約4000万件が盗まれたTargetの事件が引き金となり、多くのECサイトがサイバーセキュリティーに大きな投資をしてきた。それを踏まえた上で日本とアメリカを比較すると「日本は6年から8年ほど遅れているのでは」とZinssmeister氏は警告する。

Zinssmeister氏は12ヵ月に渡り日本市場参入への準備を進めてきた。ローンチに際し同氏は「日本のテクノロジー業界、特に東京のテック・コミュニティーは非常に寛大でお互いにサポートしていることを知り、私達もその恩恵を受けてきた」とコメント。「日本では競合が少なくセキュリティー分野のニーズが高い。だが、国外初のマーケットとして日本は選んだことは私たちにとっては非常に難しいチャレンジとなるだろう」と付け加えた。

「アメリカの創業者は国外の文化に関する理解が乏しい。ヨーロッパやオーストラリアと同じ戦略で日本に挑むのは筋違いだ。日本の特殊なビジネスカルチャーを深く理解する必要がある。アメリカと違い日本では人間関係が重要で“推薦”が必要となってくる。それが原因で多くの米国企業がこの国で苦戦するのでは」(Zinssmeister氏)

Zinssmeister氏は10年ほどカリフォルニア州に住んでいるがドイツ出身だ。ヨーロッパと日本のビジネスシーンでは「保守的」だという意味で似ているため、日本でビジネスを展開する上で彼自身のバックグラウンドが大いに役立っているという。ローンチまでの準備は数年かかると予想していたが、12ヵ月で日本でのベースを築き上げることに成功した。

そんなZinssmeister氏は4ヵ月に一回ほどのペースで日本に訪れている。今では大手テック企業やEコマース、スタートアップなどを含む数々のビジネスがTemplarbitに興味を持ち始めているという。「私たちはまだ小さな会社だが、Templarbitの独自性と美しいUIが高い評価を得ている」(Zinssmeister氏)日本では特にUIのシンプルさ・使いやすさが重要視されていると同氏は話していた。

Templarbitはデータ漏洩やサイバー攻撃などの情報をまとめたBreachroomというブログを運営していたりもする。同社は日本ではまだローンチしたばかりだが、今後の成長を大いに期待したい。Templarbitではスタートアップ向けのプラン「Startup Security Program」も用意されているので、これも注目を集めるにはもってこいのフックとなるだろう。