不正なサードパーティアプリの発見を支援するAstrix Securityがステルスから登場

サードパーティアプリ統合のためのアクセス管理を提供するイスラエルのサイバーセキュリティスタートアップAstrix Security(アストリックス・セキュリティ)が1500万ドル(約17億円)の資金調達によりステルスから姿を現した。

このスタートアップは、イスラエルの有名な諜報部門8200部隊の元メンバーであるAlon Jackson(アロン・ジャクソン)CEOとIdan Gour(アイダン・グール)CTOが2021年に共同で創業した。組織が重要システムに接続されたサードパーティアプリの複雑なウェブを監視・管理できるようにする。

リモートワークへの、転じてクラウドベース環境への移行が広まった結果、組織が使用する統合アプリケーションの数は過去2年間で劇的に増加した。Astrixによると、企業は重要システムへのユーザーアクセスの管理にはほぼ対応しているものの、APIアクセスの管理に関しては大半の企業が不十分であり、サプライチェーン攻撃、データ流出、コンプライアンス侵害などにさらされ、脆弱性は増している。そこで同社は、完全な統合ライフサイクル管理を実現するプラットフォーム、Astrix Security(アストリックス・セキュリティ)を開発した。

「現在のソリューションは、採用したいアプリのセキュリティの状態を評価するセキュリティスコアを提示しています。NoName(ノーネーム)のような他のソリューションは、API セキュリティに着目しています。これは、あなたが開発し、他の人が利用するAPIに焦点を当てています」と、Astrix創業前にArgus(アルゴス)でR&D部門のトップを務めていたジャクソン氏はTechCrunchに述べた。「私たちは、Salesforce(セールスフォース)のCRMやGitHub(ギットハブ)の知的財産など、サードパーティを通じて行われる統合を調査します。これらのシステムはすべて、あなたが開発したわけではありませんが、あなたはそれらに対してAPIアクセスを有効にしているのです」。

Astrix Securityは、エンタープライズアプリケーションに接続するすべてのサードパーティのインベントリを即座に提供する。このような統合やローコード、ノーコードのワークフロー構成における変更や悪意のある異常を自動的に検出し、リアルタイムに修復を行う。

この技術があれば、2021年発生したCodeCovのハッキング事件は未然に防ぐことができたとジャクソン氏は主張する。同事件で攻撃者は、同社のソフトウェア監査ツールに侵入し、数百の顧客ネットワークへのアクセスを得た。

「この出来事は、まさに私たちが開発しているものが目指すところです。この開発者は、GitHubにある自分のコードレポジトリの上に、新しいサードパーティ接続を追加しただけなのです。彼はそれを削除しましたが、アクセスを取り消さなかったため、知的財産全体がダークウェブで販売されることになりました」とジャクソン氏は語った。

Astrix Securityはすでに、テクノロジー、ヘルステック、自動車などの分野にまたがる多くのグローバル企業顧客の手に渡っている。ジャクソン氏によると、Bessemer Venture PartnersとF2 Capitalがリードし、Venrockと20以上のサイバーセキュリティ・エンジェル投資家が参加した1500万ドルのシード投資を、現在20人のチームの拡大と、市場開拓強化に使う予定だという。

画像クレジット:Dmetsov / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ワシントン州による調査後、「Sold By Amazon」での価格操作に対してアマゾンは2.6億円を支払い、プログラムも終了

Amazon(アマゾン)は、225万ドル(約2億6000万円)を支払い、中断していた販売プログラムを永久に停止しなければならない。同社が実質的な価格操作を行っていたとする、ワシントン州司法長官による調査および訴訟を受けたものだ。

「Sold By Amazon」は基本的に次のような仕組みだった。Amazonがサードパーティの販売者と連絡を取り、商品の最低価格について合意する。Amazonがそれ以上の値段でその商品を売れば、利益を分配する。ある意味、卸売りで大量に仕入れて転売するのとあまり変わらない。しかし、Amazonがストアで商品の価格や見せ方を激しく変えるその手法のために、実際にはまったく異なったことが起こった。

州司法長官室の説明によると、Amazonは結局、他の小売業者に合わせてその商品の価格を上げ、売り手が割引を提供するのを防いでいた。その結果、購入者は、Amazonが好きなように価格を設定できるAmazon自社ブランドの購入に走ることが多かった。

Sold by Amazonに登録されている商品の大半は、価格が人為的に高く設定されたままになっていた。

価格が上昇すると、一部の販売者は、プログラム対象製品の売上とそれによる利益が著しく減少した。価格上昇に直面したネットユーザーは、Amazonの自社ブランド商品、特にプライベートブランド商品を購入することを選択することもあった。その結果、消費者が「Sold by Amazon」プログラムに登録された商品に高い値段を払うか、あるいはAmazonで提供される同一または類似の商品を購入するかにかかわらず、Amazon自身の利益が最大化されることになった。

これは売り手にとって不利な取引に聞こえる。だが、より根本的には、ワシントン州のBob Ferguson(ボブ・ファーガソン)司法長官は、この行為は州の反トラスト法に違反していると主張した。Amazonは店舗かもしれないが、自社の商品も販売しており、問題のサードパーティの販売業者とは競合関係にある。そして、競合する2社が商品のコストをコントロールする密約を結ぶことは、価格操作の定義とほぼ同じだ。

Amazonはファーガソン司法長官の見解に反論し、すべては顧客のためであり、完全に対等だと述べた。また「司法長官の調査とは無関係なビジネス上の理由」でプログラムを停止したと主張している。「私たちはプログラムが合法的であったと強く信じていますが、この問題が解決されることを歓迎します」と同社はTechCrunchに声明で述べた。

それにしても、2018年から拡大していたプログラムが、独禁法当局が嗅ぎ回った直後にほぼ停止してしまうとは、何という偶然だろうか。「調査は2020年3月に開始し、Amazonは6月にプログラムを停止した」と、州司法長官室のDan Jackson(ダン・ジャクソン)氏は述べた。おそらく、単にタイミングの問題だったのだろう。

とにかく、Amazonは法廷で争うよりも、225万ドルの支払い(これは州司法長官室の反トラスト部門の財源に直接充てられる)と、同社がこのプログラムの再開をいかなる形であっても禁じることを求める同意協定に同意した。

「Amazonのような巨大企業が利益を上げるために価格を固定すると、消費者が損をします。今日の措置は、製品の革新と消費者の選択を促進し、ワシントン州および全米の販売者にとって市場の競争力を高めるものです」とファーガソン司法長官は述べた。

画像クレジット:TechCrunch

原文へ

(文:Devin Coldewey、翻訳:Nariko Mizoguchi

【コラム】10代によるテスラ車のハックを教訓にするべきだ

Tesla(テスラ)をハックした19歳のDavid Colombo(デビッド・コロンボ)が騒がれるのは、当然といえば当然の話だ。彼はサードパーティソフトウェアの欠陥を利用して、13カ国にわたる世界的EVメーカーの車両25台にリモートアクセスした。ハッカーは、遠隔操作でドアのロックを解除し、窓を開け、音楽を流し、それぞれの車両を始動させることができたと話している。

関連記事:100台を超えるテスラ車が遠隔操作の危険性にさらされる、サードパーティ製ツールに脆弱性

コロンボ氏が悪用した脆弱性はTeslaのソフトウェアのものではなく、サードパーティのアプリに存在するもので、そのためできることに限界があり、ハンドルやアクセルそして加速も減速もできなかった。しかし彼はドアを開け、クラクションを鳴らし、ライトを制御し、ハッキングした車両から個人情報を収集した。

サイバーセキュリティのプロにとって、このようなリモートでのコードの実行や、アプリキーを盗むのは日常茶飯事だが、私が恐れるのは、情報漏洩の開示に慣れてしまい、今回の件がコネクテッドカーのエコシステム全体の関係者にとって貴重な学習の機会であることが見逃されてしまうことだ。

今回のハッキングは、サイバーセキュリティの初歩的な問題であり、率直にいって起きてはならない過ちだ。コロンボ氏がTwitterのスレッドを投稿して通知した翌日に、Teslaが突然数千の認証トークンを非推奨にしたことから、問題のサードパーティ製ソフトウェアは、セルフホスティングのデータロガーだった可能性があるのだという。一部のTwitterユーザーの中にはこの説を支持する人もおり、アプリの初期設定によって、誰でも車両にリモートアクセスできる可能性が残されていることを指摘している。これは、コロンボ氏による最初のツイートで、脆弱性は「Teslaではなく、所有者の責任」と主張したこととも符合する。

最近の自動車サイバーセキュリティ規格SAE/ISO-21434と国連規則155は、自動車メーカー(通称、OEM)に車両アーキテクチャ全体に対する脅威分析とリスク評価(threat analysis and risk assessment、TARA)の実施を義務化している。これらの規制により、OEMは車両のサイバーリスクと暴露の責任を負う。つまり、そこが最終責任になる。

Teslaのような洗練されたOEM企業が、サードパーティのアプリケーションにAPIを開放するリスクを看過していたのは、少々らしくないような気もする。しかし低品質のアプリは十分に保護されていない可能性があり、今回のケースのように、ハッカーがその弱点を突いてアプリを車内への橋渡しとして使用することが可能になる。サードパーティ製アプリの信頼性は、自動車メーカーに委ねられている。自動車メーカーの責任として、アプリを審査するか、少なくとも認証されていないサードパーティアプリプロバイダーとのAPIのインターフェイスをブロックする必要がある。

たしかに、OEMが検査し承認したアプリストアからアプリをダウンロードし、アップデートすることは消費者の責任でもある。しかしOEMの責任の一部は、そのTARAプロセスでそうしたリスクを特定し、未承認アプリの車両へのアクセスをブロックすることにある。

私たちKaramba Securityは、2021年に数十件のTARAプロジェクトを実施したが、OEMのセキュリティ対策には大きなばらつきが散見された。しかながらOEMは、顧客の安全性を維持し、新しい規格や規制に対応するためにできるだけ多くのリスクを特定し、生産前に対処することを最重要視している点で共通している。

ここでは、私たちが推奨するOEMメーカーが採用すべきベストプラクティスを紹介する。

  1. 秘密と証明書を保護する – 広義のなりすましや身分詐称を確実に失敗させる(ファームウェアを置き換える、認証情報を詐称するなど)
  2. アクセスや機能をセグメント化する(ユーザーに対して透過的な方法で) – たとえ1つのポイントが失敗しても、被害は限定的になる
  3. 自分自身で継続的にテストする(あるいは他の人にやってもらうために報奨金プログラムを立ち上げる) – 見つけたものはすぐに修正する
  4. インフォテインメント、テレマティクス、車載充電器などの外部接続システムを堅牢化し、リモートコード実行攻撃から保護する
  5. APIをクローズアップする。未許可の第三者には使用させないこと。このような習慣があれば、今回の攻撃は免れたはずだ

消費者に対しては、OEMのストア以外からアプリを絶対にダウンロードしないことをアドバイスしている。どんなに魅力的に見えても、非公認アプリは運転者や乗客のプライバシーを危険にさらしていることがある。

EVは楽しいものだ。高度な接続性を有し、常に更新されすばらしいユーザー体験を提供しれくれる。しかし、EVは自動車であり、スマートフォンではない。自動車がハッキングされると、ドライバーの安全とプライバシーを危険にさらすことになる。

編集部注:本稿の執筆者Assaf Harel(アサフ・アレル)氏は、Karamba Securityで研究とイノベーション活動を指揮し、革新的な製品とサービスの広範なIPポートフォリオを監督している。

画像クレジット:SOPA Images/Getty Images

原文へ

(文:Assaf Harel、翻訳:Hiroshi Iwatani)

オランダ当局がアップルに約6.4億円の罰金、出会い系アプリの独占禁止法違反で

オランダの競争当局は、同国の出会い系アプリがサードパーティの決済技術を利用できるようにするよう求めた命令に従わなかったとして、Apple(アップル)に500万ユーロ(約6億4000万円)の罰金を科した。

来週までに当局が求める要件を満たさなければ、同社はさらに500万ユーロの罰金が科される可能性があり、その後も毎週、数カ月にわたって、この命令に関連して最大5000万ユーロ(約64億円)の罰金が課される可能性がある。

この罰金は、オランダの監視機関である消費者・市場庁(ACM)が2021年に出した命令に関連するものだ。当局はAppleが独占禁止法に違反していると判断し、出会い系アプリプロバイダーに押し付けている条件を見直すよう命じていた。

独占禁止法上の問題となっているのは、デジタルコンテンツの販売にApple独自のアプリ内決済インフラ(別名IAP API)を使用することを義務付けるApp Storeの規約で、AppleはこのAPIを通じて手数料を徴収している。

Appleの規約では、出会い系アプリが代替決済システムを利用することも禁止している。

当局は、出会い系アプリがアプリ内で他の支払い方法に言及することをAppleが禁止していることも問題視した。

ACMは1月24日、Appleが命令に従っておらず、出会い系アプリに関する規則を命令に沿うよう修正しなければならないと発表した。

「出会い系アプリのプロバイダーがApp StoreでApple以外の決済システムも利用できるようにしなければならない。加えて、出会い系アプリのプロバイダーは、アプリ外の決済システムを参照できなければならない」と発表にはある。

現在も続くAppleの違反の全容は、明確に述べられていない。しかし、重要なのは、Appleが求められていることをまだ行っておらず、実際に出会い系アプリのプロバイダーが他の決済システムを利用できるようにしていないことのようだ。

オランダ当局はまた、出会い系アプリのプロバイダーがApple以外の決済インフラを利用することを難しくするためにAppleが構築したと示唆する障壁を批判している。

「Appleはいくつかの点で要件を満たしていない」とACMは書いている。最も重要なのは、Appleが条件を見直さなかったことであり、その結果、出会い系アプリのプロバイダーはいまだに他の決済システムを利用できないでいる。現時点では、出会い系アプリのプロバイダーは、単に「関心」を表明することしかできない。

「加えてAppleは、出会い系アプリのプロバイダーがサードパーティの決済システムを利用することに対して、いくつかの障壁を設けた。これもACMの要求と相反する。例えば、Appleはアプリプロバイダーに対して、アプリ外の決済システムを参照するか、代替の決済システムを参照するかの選択を迫っているようだ。これは許されない。プロバイダーはどちらの選択肢も選ぶことができなければならない」。

ACMは2021年に下した決定で、出会い系アプリに対する条件を修正する必要があるとAppleに伝えた。しかし、TechCrunchが報道したように、Appleは差止命令を求め、命令への対応を遅らせることに成功した(命令の一部はまだ封印されたままだ)。

また、同社はこの命令の適用を1月中旬まで遅らせることもできた。

Apple以外の決済インフラで処理されたデジタルコンテンツの販売について、同社はオランダの出会い系アプリから依然として手数料を徴収する意向があることが先週明らかになった。開発者向けサポートノートには「ACMの命令に従い、リンクアウトまたはサードパーティのアプリ内決済プロバイダーを使用する資格を与えられた出会い系アプリは、取引にかかる手数料をAppleに支払う」と記されている。

本稿執筆時点では、その主張はAppleの「StoreKit External Purchase Entitlement」(ACM命令に言及している)に関する投稿にまだ掲載されている。そして、封印されたままの命令の一部は手数料に関係している可能性がある。しかし、詳細を確認することはできていない。

Apple以外の決済システムを使用するアプリにも手数料を課すことができるというAppleの主張について、TechCrunchは先週ACMに問い合わせたが、当局の広報担当者は回答を却下した。「裁判所が支持し、公表を許可した命令の部分しか言及できない」とのことだ。

一方、Appleのサポートサイトは、Apple以外の決済手段を導入するための明確なプロセスを提供する代わりに、関心のあるデベロッパーに「developer interest form」を紹介するにとどまっている。

説明文も「間もなく」詳細情報が提供される、という曖昧な表現にとどまっている。

オランダの出会い系アプリが代替決済手段を導入するための手続きの実装遅れによってAppleに500万ユーロの罰金が発生した(そして増えている)。

もちろん、数百万ドル(数億円)の罰金、あるいは5000万ユーロ(約64億6000万円)の罰金でも、Appleは騒ぎはしないだろう。

しかしいま、App Storeの規約に対する複数の競争法上の苦情や調査はAppleにとってはるかに大きな懸念となっている。これらはアプリ内課金で徴収する手数料を攻撃していて、EU英国アジア米国ではデベロッパー向けの契約条件について当局が調査し、命令が出されているところもある。

短期的には、そして(または)AppleがApp Storeの競争に関する苦情をなくすような実のあるグローバルな競争改革の提案をしない場合、各市場 / 地域の規制当局がAppleの規約の評価に注意を向けるため、iOSアプリ開発者のための規制のパッチワークが迫っている。

差し当たり、iOSアプリの競争と価格設定に関する消費者と開発者の勝利は、しぶしぶもたらされる可能性が高く、苦労して勝ち取るもののようだ。

しかし、Appleの契約条件の事前規制は現在多くの市場で検討されており、その明確な目的は、行動修正を加速させることにある。つまり、故意に遅らせるという戦略は、将来的にもっと高くつくことになりそうだ。

ACMの罰金についてAppleにコメントを求めている。

画像クレジット:TechCrunch

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

アップルが韓国でサードパーティ製アプリの決済オプションを許可

韓国放送通信委員会(KCC)は現地時間時間1月11日、開発者が韓国でサードパーティ製の決済手段を、少なくした手数料で利用できるようにするための遵守計画をApple(アップル)が提出したと発表した。

KCCはまた、手数料の料金体系やその支払いオプションが有効になる正確な日程など、さらなる詳細についてAppleと協議するとも述べている。

この発表は、韓国当局が10月に、Google(グーグル)やAppleなどのグローバルなアプリストア運営会社に対し、アプリストア運営会社が開発者に自社の決済システムを使用するよう強制することを禁止した、同国の新法に対する詳細な計画の提出を求めたことを受けたものだ。

Appleは2021年10月、KCCに対し、同社はすでに新法を遵守していると説明し、Googleは9月に施行された「反グーグル法」とも呼ばれるこの新法に従う動きとして、韓国のアプリストアで代替決済システムを提供する戦略の概要を11月に明らかにした。

Googleはブログで、開発者の手数料を4%引き下げると述べた。例えば、これまでGoogle Playの課金システムを通じて取引に15%を支払っている開発者は、Googleの代替課金システムを通じて11%を支払うことになる。

一方、Appleの韓国におけるトップで、アプリストアのシステムを担当していたBrandon Yoon(ブランドン・ユン)氏が、11月上旬に突然、同社を退社している。メディアの報道によると、ユン氏の離職はアプリの代替決済システムとは関係がないようだ。

2021年8月下旬、韓国の国会で、世界的なハイテク大手企業が開発者にアプリ内課金システムの利用を強制するのを防ぐための世界初の法案が可決された。

関連記事:世界初、韓国がグーグルとアップルのアプリ内課金手数料を抑制する「反グーグル法」可決

Appleの広報担当者は「我々は、韓国のユーザーのためになる解決策について、KCCおよび開発者コミュニティと協力することを楽しみにしています」と述べている。

Appleは声明の中で、韓国で活動するアプリ開発者の数は約58万人に増え、2008年以降、韓国のApp Storeで140万以上のアプリが利用可能になったと述べている。同社はApp Storeを通じて、韓国の開発者が世界約200カ国の市場と顧客にアクセスするのを支援してきたという。

「Appleは、韓国の法律を尊重し、韓国の優秀なアプリケーション開発者と強い協力関係を築いてきました。私たちの仕事は、App Storeをユーザーのみなさまが愛するアプリケーションをダウンロードするための、安全で信頼できる場所にし続けることを常に念頭に置いています」と広報担当者は述べている。

原文へ

(文:Kate Park、翻訳:Akihito Mizukoshi)