スマートテレビのセキュリティーについてFBIが警告

ブラックフライデーにスマートテレビを買ったばかりの人や、サイバーマンデーで購入予定の人に、いくつか知っておいてほしいことがあるとFBIは注意を促している。

スマートテレビは普通のテレビにインターネットがついただけだ。しかしNetflixやHuluをはじめとするストリーミングサービスの到来によって、インターネットにつがるテレビはコードカッター(テレビの契約を切る人々)の夢とされている。しかし、インターネットにつながる他のあらゆるものと同じく、スマートテレビにはセキュリティー脆弱性のリスクがある。それだけではない。多くのスマートテレビにはカメラとマイクロホンがついている。そして、他のインターネット接続デバイスの場合と同じく、メーカーはセキュリティー対策に重点を置いていないことが多い。

ポートランドにあるFBIのフィールドオフィスが、年末商戦を前にスマートテレビが内包するリスクについてウェブサイトに掲載した警告している。「テレビメーカーやアプリのデベロッパーに盗聴盗撮されるリスクに加え、スマートテレビはハッカーが家庭に入り込む入り口にもなりうる。サイバー犯罪者は鍵のかかったパソコンに侵入できなくても、無防備なテレビにはあなたの家のルーター経由で簡単に侵入する可能性がある」とFBIは記載している。FBIによると、ハッカーは無防備なスマートテレビを支配し、最悪の場合はカメラやマイクロフォンも支配して盗撮盗聴する可能性がある。

スマートテレビに対するアタックや侵入の事例は稀だが、ゼロではない。スマートテレビにはメーカー独自のソフトウェアが組み込まれていて、セキュリティーパッチの更新が頼りにならなかったり不規則だったりするものもあるため、機種によっては特に脆弱性が高い。今年初め、Googleのストリーミング機器であるChromecastスティックを乗っ取り、何千人もの標的に対して無関係な動画を送れることをハッカーらが示した。

実は、ここ数年で最大級のスマートテレビを標的とした侵入事件のいくつかは、CIA(中央情報)が開発したツールを2年前にWikiLeaksが盗んでインターネットに公開したものを利用していた。しかし、FBIが警告する一般的な脅威と同じかそれ以上に懸念される問題は、スマートテレビユーザーのデータがどれほど追跡・収集されているかだ。

今年ワシントンポスト紙は、Samsung(サムスン)、LGを含む大手スマートテレビメーカーの多くがが、ユーザーの視聴に関するデータを収集し、ターゲティング広告や次に見る番組のお勧めに利用していたことを発見した。テレビメーカーのVizio(ヴィジオ)は、ユーザーの視聴データを無断で収集していたことが発覚し、罰金220万ドル(約2億4100万円)を払うはめになった。今年起きた別のケースではこれもVizioが追跡を無断で許可しとして集団訴訟を起こされた。

スマートテレビの使っていないカメラには黒いテープを巻き付け、ソフトウェアを最新バージョンに更新するとともにプライバシーポリシーを熟読して自分のスマートテレビに何ができるかをよく理解しておくことをFBIは推奨している。たしかに便利かもしれないが、最も安全なスマートテレビはインターネットにつながっていないときかもしれない。

関連記事:スマート家電が見聞きした情報を政府に開示するかどうかメーカーに聞いてみた

[原文へ]

(翻訳:Nob Takahashi / facebook

Googleのファーウェイ制裁参加で欧州にショック拡大中、脱米模索も

米中貿易戦争は大きくエスカレートしつつある。中国を代表するテクノロジー企業、Huawei(ファーウェイ)に対し、Google(グーグル)がハード・ソフトの新規移転を停止したことはヨーロッパにもショックを広げている。ヨーロッパのテクノロジー企業もファーウェイと絶縁しないかぎり米国の禁輸ブラックリストに掲載される可能性が出てきた。

Reuters(ロイター)の報道によれば、米国時間5月20日、ヨーロッパの大手半導体メーカーであるInfineon Technologies、AMS、STMicroelectronicsの株価が急落した。 これらの企業はアメリリカが同国企業に対し、ファーウェイとの取引を禁止する行政命令を出したことを受けて、ファーウェイへの出荷をすでに停止したか、近く停止するという。

ハイテク分野のサプライチェーンは複雑にからみあっており、テクノロジーでは米国が優れているが、ヨーロッパではファーウェイがモバイル、ITネットワークのコンポネント供給者として地歩を築いていた。米国の厳しい禁輸措置により、EUのテクノロジー企業は大小を問わず政治的な戦いに巻き込まれることとなった。

たとえば、小さな会社ではあるが、フランスのスタートアップであるQwantがそうだ。 同社はプライバシーを優先した検索エンジンでDukDukGoとともにグーグルに対抗しようと試みていた。EUが反トラスト行為の疑いでグーグルのAndroidに制裁を課して以来、同社はグーグル以外の検索エンジンとしてヨーロッパで販売される有力スマートフォンにデフォールトで搭載されることを狙っていた。

その最初の大型パートナーがファーウェイだった。Qwantには、米中貿易戦争の激化以前に、EUのAndroidライセンスの見直しによる値下げに関連して価格面で逆風が吹いていた。そうではあっても米中貿易戦争の激化はスマートフォンのサービスのあり方を見直し、公平な競争条件をを構築しようとするEUの努力を無にする深刻な危険がある。

Googleのファーウェイへのテクノロジー移転の中止がきっかけとなってAndroidに用いられるコンポネントの供給が全面的に停止されるようなことがあれば間違いなくそうなるとロイターは観測している。

スマートフォンにおけるEUの反トラスト措置の核心はAndroidデバイスとグーグルのポピュラーなアプリをアンバンドルすることだ。これによりスマートフォンメーカーはグーグルのブランドを維持したまま完全にグーグルの支配下にあるのではないデバイスを販売できる。例えば、Playストアをプレロードするものの、デフォールトの検索エンジンやブラウザにグーグル以外のプロダクトを設定するなどだ。

しかしグーグルが(現行モデルでは継続されるとしても)ファーウェイに新しいAndroid OSやGoogle Playストアを提供しないとなれば、こうした構想は崩れてしまう。ロイターの報道に対するグーグルのコメントでは、まだ詳細は決定されていないようだ。広報担当者は以下のように述べている。

グーグルは(大統領の)行政命令を遵守するため、今後の行動を慎重に検討している。われわれのサービスのユーザーを保護するため、Google PlayとGoogle Play Protectによるセキュリティーは既存のファーウェイ端末に対して引き続き提供される。

これに対し、Qwantの共同ファウンダーでCEOのEric Léandri氏は、我々の取材に答えて「Googleは過剰反応している」として次のうように述べた。

トランプ大統領が正確にどういうことを言ったのか知りたい。グーグルは過剰反応しているのではないか。私は驚いている。(大統領命令は)そこまで要求しているようには思えない。。

ファーウェイがブラックリストに載せられるのであれば、他の中国企業はどうなる?ヨーロッパで販売されるスマートフォンの60%前後は中国から来ている。ファーウェイかZTEだ。OnePlus(ワンプラス)やその他、ポピュラーなスマートフォンはすべて同じ(米国による制裁の)リスクを負うことになる。

Nokia(ノキア)のような市場占有率の低いスマートフォンも中国の大手企業との提携で製造されている。つまり我々は(Androidという)単一のOSに頼るべきではない。Google PlayストアはGoogle検索と同じくらいスマートフォンにとっては重要だ。(略)

Léandriは「Qwantはファーウェイの対応を注視している。ファーウェイは独自のアプリストアを搭載したデバイスをヨーロッパで提供することにあるかもしれない」と述べた。

TechchCrunchの取材に対し、EU欧州委員会のデジタル単一市場の広報担当者はサイバーセキュリティーを強化したもののファーウェイ制裁を見送ったときの声明を繰り返し「EUメンバー諸国は国家安全保障に有害と認められたならば、そうした企業を市場から排除する権利を有する」と付け加えた。

またロイターの報道によれば、ドイツの経済相は米国のファーウェイ制裁がドイツ企業に与える影響の調査を始めたという。

米国の対中経済制裁の影響は広汎かつ深刻だが、Jollaのようなスタートアップには追い風になるかもしれない。同社はSailfishというヨーロッパ独自のAndroid代替OSを開発している。(略)米中の緊張が高まるにつれ、こうしたヨーロッパ独自の規格はリスク分散の手段として注目されるかもしれない。

画像:J. Scott Applewhite

(日本版アップデート)アメリカ政府はFuaweiに対する制裁措置を一時的に緩和するという。これはすでにライセンスされた技術については期限つきで利用を認めるというもので、Googleもこれに沿った声明を発表している。

原文へ

(翻訳:滑川海彦@Facebook

消費者の41%が音声アシスタントのプライバシーに不安、マイクロソフト調査

Microsoft(マイクロソフト)の新しいレポートによれば、音声アシスタントのユーザーの41%がデバイスが常時聞き取り状態にあることに関連してプライバシーやデータ保護の信頼性に不安を抱いているという。

Google、Amazon、Apple、 Samsung、Microsoftなどの有力企業が揃って消費者向け音声アシスタントデバイスのメインストリーム化に務めている現在、こうしたデバイスのデータ収集方法について懸念を抱くのは正しい態度だ。

しかし多くの消費者がこの点について正しい知識を持っていないように思える。Amazonのエンジニアが世界のユーザーがAlexaに入力した音声コマンドをモニターしているというBloomberg(ブルームバーグ)の最近の報道は消費者に懸念を抱かせた。しかもこうした人工知能を利用したスマートデバイスはメーカーやその外注企業の社員がモニターできるだけなく、入手した個人情報を違法に利用し、刑事事件にまで発展した例さえあった。電源がオンになっているかぎり聞き耳を立ているスマートスピーカーは笑いごとではすまないような重大なプライバシーの侵害を起こす可能性が充分ある。

米国時間4月25日、BloombergはAmazonのAlexaチームによるプライバシー侵害の危険性に関して次のように新たな報道を行った。

レポートによれば、Alexaが聞き取った音声データにアクセス可能なAmazon社員はデバイスの位置情報、場合によっては正確な住所も得られるという。これは音声データに緯度経度の座標が付属しているためだ。音声クリップをGoogleマップにペーストして簡単にデータが得られた場所を知ることができる。 Bloombergは「こうした位置情報を含むデータにアクセスできるAmazon社員の人数は不明」だとしている。

これは歴然たるプライバシーの侵害であり、我々がAmazon Echo、ひいては同種の音声アシスタントに対して抱く不信感を実証するものだ。

音声アシスタントのユーザーはバックエンド処理にどれほど人間が関与している正確に知ることはできない。しかしMicrosoftのレポートを読めば、デジタルアシスタント利用している消費者はデバイスが持つプライバシーの侵害やデータの不正利用などの危険性について強い不安を抱いていることがわかる。

例えば、Microsoftの調査対象の52%は入力された情報のセキュリティーに不安を感じている。24%は情報がどのよう利用されているのかわからないと考え、36%はどんな目的だろうと個人情報を一切利用して欲しくないと考えている。

こうした数字はデジタルアシスタントには個人情報の収集と利用から永続的にオプトアウトできる分かりやすい仕組みが必須だということを示している。 つまり1回クリックするだけで「デバイスが収集した個人情報が外に出ることはなく、かつ人間がアクセスすることはない」ように設定できなくてはいけない。

41%のユーザーは音声アシスタントがユーザーの音声に聞き耳を立て録音していることに不安を感じている。31%は収集された情報にプライバシーは保証されていないと考えている。

さらに14%はプライバシーやセキュリティーの点で音声アシスタント・サービスを信用していない。つまりAmazon、Google、その他の企業はこの点で信用されていないわけだ。Microsoftのレポートはこう警告している。

新しいテクノロジーデバイスに関する消費者からのフィードバックに不安に真剣に対応することはデベロッパーに課せられた責務だ。消費者が安心してデバイスと音声で対話できる未来を実現するために必要な信頼の基礎を今すぐ築き始めねばならない。

調査はプライバシーに関して音声アシスタントに消費者が不信感を抱いているものの、全員が音声アシスタントの利用に拒否反応を持っているわけではないことも示している。たとえばEchoに音声でAmazonの商品を注文する際、商品配送するために役立つなら住所データを利用するのは構わないと考えるユーザーも多い。確実にメリットがあるなら住所以外でも個人情報を提供していいと答えたユーザーも存在する。

消費者は全体としてはキーボードやタッチスクリーンより音声入力を好んでいる。音声アシスタントの普及はま だ初期段階だが、 57%のユーザーが(プライバシーなどの懸念はあるにせよ)、音声をお気に入りの入力方法だとしている。また37%は他の入力方法と併用して音声入力も用いると答えた。

「どちらかといえば」から「大いに」まで程度はさまざまだが、80%のユーザーがデジタルアシスタントに満足しており、「週に1度以上使う」ユーザーは66%、「毎日使う」は19%だった(これには音声以外のスマートアシスタント全般を含む)。

こうした高い満足度をみれば、音声を含むデジタルアシスタントが市場から消えるということは考えにくい。いかしプライバシーの侵害や不正利用の可能性は普及の大きな妨げになるだろうし、あるプロダクトの信頼性が高ければ、信頼性の低いブランドからの乗り換えを促すことも考えられる。

もしAmazonなどが社員が消費者の音声情報にアクセスすることを厳格に制限できず、Appleがリリースした製品がそれと同等の価格でプライバシーが良好に守られるとするなら、ここでもAppleが大きなシェアを得ることになるかもしれない。

音声アシスタントと音声認識テクノロジーのトレンドを含むMicrosoftのレポートの全文はこちら

原文へ

(翻訳:滑川海彦@Facebook

英国の「最悪のパスワード」は想像以上だった

人名、サッカー選手、ミュージシャン、架空の人物。これらがパスワードの年間ワーストランキングの上位を占めた。英国の政府機関である国家サイバーセキュリティーセンター(NCSC)による。

しかし、ひどいパスワードの中でも「123456」を超えるものはない。

ベテランのセキュリティー専門家にとっては驚きではない。この6桁の数字は、その利用範囲の広さから過去何年にもわたり最悪パスワードの名をほしいままにしている。このあとに続くのが、なんと、なんと「123456789」だ。

NCSCは、3000万人の「カモ」がこの2つのパスワードだけを使っていると言った。これはセキュリティー研究者Troy Hunt氏が運営するウェブサイトであるPwned Passwordsのデータに基づく最新の盗難分析による。Hunt氏はHave I Been Pwnedという盗難通知サイトも運営している。

「サイバーセキュリティーは難しそうだと感じる人が多いことは理解しているが、NCSCは人々が被害を大きく減らすのに役立つ身近なアドバイスをたくさん提供している」とNCSCの技術ディレクターであるDr. Ian Levyは言った。「パスワードの使いまわしは、避けることのできる最大のリスクだ。自分の名前や地元のフットボールチーム名やお気に入りのバンド名のような想像できるもので、大切なデータを保護すべきではない」。

弱いパスワードは問題だ。侵入を企てるロボットが簡単に予測できるだけでなく、企業のデータ漏洩で盗まれたときにも侵入されやすい。「モノのインターネット」のデフォルトパスワードがそのまま使われることも多く、スマートデバイスを狙う邪悪な目的のロボットの乗っ取られる恐れがある。

私たちになにができるのか?

TechCrunchは、無料のサイバーセキュリティーガイドをいくつか公開しているので、適切な行動に役立ててほしい。パスワードマネージャーを使うことは大きな一歩だ。パスワードマネージャーは、パスワードを生成して安全に保管するので、人間はいちいち覚える必要がない。もう一つが二要素認証で、パスワードにもう一段階の障壁を加えることで、最強のハッカーであってもあなたのアカウントへに侵入することは難しい。

安全のためにかかる時間は長くない。ある日の1時間を割くことがスタートだ

[原文へ]

(翻訳:Nob Takahashi / facebook

HuaweiのCFO逮捕で中国株価急落、貿易摩擦のさらなる高まり懸念

Huaweiの最高財務責任者(CFO)Meng Wanzhouがバンクーバーで逮捕されたことで米国/中国間の貿易摩擦の懸念がさらに深まり、多くの中国株価が急落した。

中国本土企業で構成される香港のハンセン中国企業指数は、午後12時40分現在で2.76%下落している。中国本土では、上海と深センの市場に上場している300銘柄で構成されるCSI 300インデックスは2.1%下げている。米国株式市場は水曜日、ジョージH.Wブッシュ元米大統領を追悼するために休場だ。

株急落は、Huawei創業者でCEOのRen Zhengfeiの娘Mengが米国の対イラン貿易制裁に違反した疑いでカナダ当局に逮捕されたことを受けて起こった。米国はMengの引き渡しを要求している。

Huaweiの最大のライバルZTEの株価は、香港で昼までに6%近く急落した。Meng逮捕のニュースはまた、アジア中の株式市場で従業員所有会社であるHuaweiのサプライヤーにも影響を及ぼした。最も影響を受けているのがShennan Circuitで、記事執筆時点で深セン市場で10%近く下げている。

HuaweiとそのライバルZTEは、通信機器メーカーと中国政府の関係に疑念を抱いている米国政府のターゲットとなっていた。米国のZTEに対する制裁措置は、Huaweiが同様の運命に直面するという懸念を引き起こしていた。ZTEは2017年にイランと北朝鮮への貿易制裁に違反したと認め、米国商務省は4月、米国部品メーカーがZTEに販売するのを7年間禁止する措置を発表した。

Meng逮捕の前から、米国の関税引き上げで過去数カ月、中国の株価は低迷していた。10月、上海ベンチマーク指数は4年ぶりの低水準となった。

[原文へ]

(翻訳:Mizoguchi)

監視カメラのArloに4Kモデルが登場

監視カメラのArloシリーズはNetgearにとってサプライズだったに違いない。おかげでネットワーキング事業の同社は今年、Arloの部門を独立させてIPOを果たした。

最新機種のArlo Ultraは超高解像度で撮影しHDR画像処理をする。400ドルの同製品はもしかしたら——たぶん実際に——ほとんどのユーザーにとっては過剰スペックだ。監視カメラに4Kが必要か? もちろん必要ない。しかし、超高解像度で得られる詳細が役に立つ場面もあるかもしれない。

価格には一年分のArlo Smart Premierサービス(通常価格120ドル)と家庭のWi-FiにつなぐためのSmartHubも含まれている。

Ultraの画角は180度で、内蔵LEDスポットライトにより暗いところではナイトビジョンより良い映像を得られる。デュアルマイクロフォンも内蔵しており、アクティブノイズキャンセリングによる鮮明な双方向会話が可能だ。。

Arlo Ultraは来年の第1四半期に発売予定。

[原文へ]

(翻訳:Nob Takahashi / facebook

これが連休中にセキュリティーを向上させる必須ポイントだ――家族、親類のデバイスをチェックしておこう

この記事を読み始めた読者の多くは

  • テクノロジーに詳しい
  • 実家に帰って感謝祭の休日を過ごしている
  • この記事を読み始めるほど退屈している

というところではないだろうか? 世界ではサンクスギビングデーが休日ではない国も多いが、アメリカでは七面鳥のローストと共に盛大に祝われてきた。ともあれこの機会に家族や親類のコンピューターのセットアップを見直し、セキュリティーを強化しておくのはいい考えだ。ある朝、伯母さんから電話がかかってきて「コンピューターがランサムウェアにやられて写真が取り出せなくなってので助けてちょうだい」などと言われるリスクをこの先何ヶ月にもわたって大いに軽減できる。

アップデート

コンピューターやスマートフォンのOSを最新の状態にしておかないかぎり、新しく発見された脆弱性を利用する攻撃の犠牲になってしまう。最新のセキュリティー・パッチを導入するためには自動アップデートをオンにしておく必要がある。最新のデバイスはデフォールトで自動アップデートが行われるようになっているが、やはりオンになっていることを確認しておこう。

  • Windows 10 画面左下隅のWindowsアイコンを右クリックしてメニュー開く。以下、「設定」→「更新とセキュリティー」→「Windows Update」と進む。Windowsの状態が「最新」になっていることを確認する。なっていなければ最新の状態に更新する。「Windows Update」から「詳細オプション」を開き、「更新の一時停止」がオフになっていることを確認する。
  • macOS App Storeを開きOSを最新版(macOS 10.14 Mojave)に更新する。「システム環境設定」から「ソフトウェア・アップデート」を開く。自動アップデートを有効にする。App Storeでも自動アップデートを有効にしておけばアプリもこの先長く最新の状態で使える。
  • iOS 「設定」アイコンをタップ、「一般」→「ソフトウェア・アップデート」と進む。iOS 12.xになっていることを確認する。なっていなければアップデートする。同じメニューで「自動アップデート」をオンにする。iTunes-App Storeでも自動アップデートを設定しておく。
  • Android メーカー、キャリヤによってコンフィグレーションが異なるのでやや複雑になる。キャリヤは独自のスケジュールでOSのアップデートを行う(行われない機種もある)。OSの状態は「設定」から確認できる。バージョンは機種ごとに異なる。この点ではユーザーができることはあまりない。Google Playを開き、設定で自動アップデートを有効にしておけばアプリをこの先長く最新の状態で使える。

バックアップ

バックアップの方法は数多くある。とてもすべて紹介する余裕がないので基本的な考え方だけ紹介する。コンピューターの場合は手頃な価格の外付HDDを買って自動バックアップを設定しておく。macOSならTime Machine、 Windows 10なら「更新とセキュリティー」→バックアップ」から設定できる。

クラウド・バックアップも数多くのサービスが提供されている。BackblazeArq Backupなどは優秀だと思う。

家族や親類のコンピューターの場合は完全に自動的にバックアップされることが必須だ。義母にハードディスクをプレゼントして「ここに毎週バックアップを取りましょう」と勧めても結局そうされないだろう。

スマートフォンの場合はまた話が違ってくる。iPhoneならiCloudに連絡先、カレンダー、パスワードなどの個人情報を保存できる。しかし無料で利用できる容量5GBと非常に低いため、iCloudを利用しているユーザーは多くない。有料プラン( 50GBが月額130円など)に加入するか、DropboxやMicrosoft OneDrive、 Googleドライブなどを利用する。これらのサービスでは画質に多少の制限はあるが写真のバックアップは無料だ。

Androidでは Googleフォトを利用しているユーザーが多い。このアプリに保存された写真は自動的にクラウドにバックアップされるので安全性が高い。連絡先その他の重要情報もバックアップされるようGoogleアカウントを設定しておこう。

ディスク暗号化

Macを使っているならOS XのFileVaultオプションをオンにしておけばよい。読者の妹や娘がMacbookを失くし、FileVaultがオンになっていなければ誰でもパソコンの中を覗くことができてしまう。FileVaultは一度オンにすればあとは完全に自動的に作動する。

Windowsの場合、BitLockerが含まれているならオンにしておく。MicrosoftはWindows 10 Home editionにBitLockerを含めていないので、その場合はVeraCryptのようなアプリをインストールするとよい。

パスコード

モバイル・デバイスには必ずパスコードを設定しておこう。パスコードは暗号化その他セキュリティー・オプションの変更にも結びついている。パスコードなしのデバイスを紛失すればありとあらゆる悪夢が待ち受けている。

6桁が望ましいが4桁でもいい。とにかくないよりあったほうがいい。

セキュリティーは常にユーザビリティーと保護の妥協だ。適切な妥協点を見つけることがカギとなる。上で述べた手段は決して家族や親類(や読者自身)のデバイスを完全に防御するものではないが、ともかく正しい方向への一歩だ。チェックがすんだら休暇を大いに楽しもう。

原文へ

滑川海彦@Facebook Google+

Facebook、ユーザーのいいね!や興味分野情報を取り出されるバグを修正

Facebookは、ウェブサイトがユーザーのFacebookプロフィール(いいね!や興味分野など)を本人に無断で取り出せるバグを修正した。

これはImprevaの研究者Ron Masasが発見したもので、Facebookの検索結果がクロスサイトリクエストフォージェリ(CSRF)攻撃に正しく対応していなかった結果だ。言い換えると、ウェブサイトはユーザーがブラウザーの別のタブでログインしているFacebookのプロフィールから一部のデータを引き出すことができる。

Masasは、悪意のあるウェブサイトがIFRAME(ウェブサイト内にウェブサイトを入れ子にするために使われる)を使ってプロフィール情報を抜き取るデモを見せた。

「これはドメインを超えて情報をアクセスすることを許すもので、ユーザーが特定のウェブサイトに行くと、アタッカーはFacebookを開いてそのユーザーと友達に関する情報を収集できることを意味している」

悪意のあるウェブサイトが新しいタブでFacebookの検索画面を開き、YesかNoを返すクエリ(たとえばそのユーザーが「いいね!」したかどうか)を実行した際、もっと複雑な結果、たとえばユーザーの友達の中で特定の名前の人や、特定のキーワードを含む投稿、さらには特定地域や都市に住む友人の名前などを返すことがある、とMasasは言う。

「興味分野は友達にしか公開しないセキュリティー設定になっているのに、ユーザーや友達の興味分野が危険に晒されることがある」と彼は言った。

Masasがバグを利用して侵入するところを見せる概念実証の結果(画像提供:Imperva/supplied)

公平を期して書いておくと、これはFacebook特有の問題ではなく、重大な秘密でもない。しかし、アクセスされるデータの性質を考えると、広告主にとって「魅力ある」データかもしれない、とMasasは説明した。

Impervaはこのバグを5月に通報した。後日FacebookはCSRF対策を施し、2つのバグ発見の懸賞金として8000ドルを払った。

FacebookはTechCrunchに、悪用された記録はないと伝えた。

「当社の懸賞プログラムに送られたレポートに感謝している」とFacebook広報のMargarita Aolotovaが声明で言った。「この振る舞いはFacebook独自のものではないため、ブラウザー開発者や関連するウェブ標準グループに対して、他のウェブアプリケーションでこの種の問題が起きるのを防ぐ手段をとることを推奨した」

これはFacebookのユーザーデータが危機に晒された一連のデータ漏洩やバグの最新事例だ。今年起きたCambridge Analyticaスキャンダルでは、政治データ会社が選挙属性の入ったプロフィール8700万人分を取り出した。そこにはユーザーの「いいね!」や興味分野も含まれていた。

数カ月後ソーシャルメディアの巨人は、複数のバグが原因でユーザーのアカウントトークンをハッカーに盗まれたことを認めた。

【関連記事】

Facebookよ、本気なのか?

画像クレジット:Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

マクロン大統領「Paris Call」でサイバー犯罪抑止を提唱

フランスのエマニュエル・マクロン大統領はパリのUNESCOで行われたインターネット・ガバナンス・フォーラム(IGF)で講演した。IGFは設立されてからしばらくたつが、一部で期待されたほどの活動がなかった。

フランス政府がサイバーセキュリティーに関する3ページの文書、Paris Callを発表したのはそれが理由だ。マクロン大統領はIGFを活性化し、各国(および企業)が集まってサイバーセキュリティー問題について意見を一致させるためのサブグループを作りたいと考えている。

「まず、インターネットは今ここで機能している。そしてニュースはサイバー問題で溢れているにも関わらず、われわれはITのツールを盲信している」とマクロン氏は言った。

しかし、彼によると、もし国際コミュニティーが適切な規制に同意できなければ、民主的プロセスの整合性にリスクをもたらす。現在状況は2種類ある、と彼は考えている。独裁的政府はインターネットのリクエストにフィルターをかけ、ウェブをインターネットのサブセットに制限している。一方民主的国家では、誰もが(ほとんど)フィルターされていないウェブを閲覧できる。

「最近のサイバー攻撃は医療システムに侵入することもできる。もしわれわれが、常にシステムがセキュアである確信を持てなければ、システムは空中分解してしまう」

言い換えるとサイバー攻撃は、民主主義国家がネットワークを守るために中国を模倣し、さまざまなウェブサービスをブロックする事態を招きかねない。

「だから私は今日ここへ来て、新しい合議制度を提案する。このフォーラムは議論や講演以上の何かを生み出すべきだ。具体的な決断に役立つ新しい場になるべきだ」とマクロン氏は言った。

彼はIGFを国連事務総長直轄にすることを提案している。さらに彼は、世界の国々と企業、NGOらの間が合意した”Paris Call” も支持している。

すでに数百の組織がParis Callに署名している。ほとんどのEU加盟国、Microsoft、Cisco、Samsung、Seamens、Facebook、Google、ICANN、インターネットソサエティなどだ。しかし、中国と米国はまだ署名していない。

Paris Callの全文はここで読める。Paris Callのメンバーは、あらゆる種類のサイバー攻撃を防止することに概ね一致している——これは和平提案だ。

その内容に関してマクロン氏はウェブに反対ではない。ウェブが民主主義の春を可能にし、気候変動や女性の権利に対する活動を活発化したことに彼は言及した。しかし、今やウェブが過激派のヘイトスピーチ発信に利用されていることも話した。

「巨大プラットフォームはゲートウェイになるだけではなくゲートの番人にもなるべきだ」とマクロン氏は言った。

テロリストのコンテンツやヘイトスピーチを削除することについては過去にもいくつか取り組みがあった。しかしマクロン氏は、さらに一歩踏み込むべきだと考えている。

コンテンツの監視に関するFacebookの取り組みで、Facebookとフランス政府が協力体制を取ろうとしているのはそれが理由だ。

最後にマクロン氏はこの機会を利用して、フランスのデジタル化への取り組みについて再度話した。フランス政府は欧州のIT巨人らに公正に課税する新しい方法の制定に力を入れている。マクロンはこれを小さい企業を不公平な競争から保護するためだと説明した。しかし交渉は今のところ停滞している。

さらにマクロン氏は、人工知能の投資とイノベーションに関する第三の考えも擁護した。

[原文へ]

(翻訳:Nob Takahashi / facebook

ジョージア州州務長官、不在者投票者29万人の個人情報を公開

ジョージア州の州務長官で中間選挙の州知事候補のブライアン・ケンプは、不在者投票者29万1164人の個人情報をネットで公開し誰でもダウンロード可能にするという、奇妙かつおそらく前例のない行動にでた。

ケンプの事務所は総選挙開票の数時間後に公式ウェブサイトにExcelファイルを投稿し、不在者投票用紙を郵送した州民の名前と住所を、「障害がある」「高齢」などの理由とともに公開した。

Twitterでは多くの人々がすぐにこれを発見し怒りを表した。

ウェブページによるとこのファイルは、ジョージア州民が「自分の郵送投票の状態を確認する」ためだという。全米で数百万人の有権者が投票日前に記入済み投票用紙を郵送した。特に投票所に行くことが困難な人々——身体障害者、高齢者、旅行者などだ。

ジョージア州州務長官の報道官、Candice BorceはTechCrunchの問い合わせに対して、データはすべて「州法で明確に公開情報に指定されている」と言い、「機密でも取扱い注意でもない」と強調した。

「州法では、有権者のリストは公開が義務付けられており、そこには登録有権者の氏名、住所も含まれている」とBorceはメールで伝えた。

たしかに規則はそうかもしれない。有権者と選挙人名簿は公開情報で通常無料で閲覧できるが、州によって規則は異なる。有権者の名前と住所は、各州の選挙委員会または州務長官事務所に要求できる。政治分析会社は、自社の調査データを補完して浮動投票者を特定するために、しばしばこのデータを利用する

州法は有権者データの使用方法を厳しく制限している。その規則は今回数十万人の有権者記録をダウンロード可能な一般市民には適用されない。

ケンプの事務所が不在者投票を確認するためにとった方法が怒りを呼んだことはさほど驚くにあたらない。

「データは既に公開されていたかもしれないが、このような集約した形で利用できたわけではない」とセキュリティー専門家でRendition Infosecのファウンダーかつジョージア州民でもあるJake Williamsが言った。Williamsはこの問題について、州は不在者投票者の情報を提供することで「犯罪者が留守宅を標的にする機会を与えたかもしれない」と指摘した。

「このデータをまとめて公開することは、このような方法で個人情報を公開されることを好まないジョージア州民が将来不在者投票をためらう理由になりかねない」と彼は言った。

TechCrunchの問い合わせから間もなく、ダウンロード可能ファイルへのリンクはウェブサイトから削除された。

共和党州知事候補であるケンプは——本稿執筆時点で——50.3%の票を獲得し、民主党のライバルであるステイシー・エイブラハムをリードしている。エイブラハムは州の下院で少数派野党のリーダーを務めている。

ケンプは自身が立候補しているにも関わらず、州務長官として実質的に州の選挙を運営しており、最近投票者妨害で告発された。ケンプが民主党は彼の事務所の選挙システムをハッキングしていると証拠のない告発をしたこともそのひとつだ。彼がハッキングのカードを切ったのはこれが初めてではない——2年前にケンプは同じような行動を起こした。

ケンプは、今週の選挙の前に少数民族有権者5万人以上の登録を廃棄した疑いでも責任も問われていた。

エイブラムスは州知事選挙の敗戦を認めることを拒み、決選投票を望んでいる。

[原文へ]

(翻訳:Nob Takahashi / facebook

中間選挙はボットに歪められた2016年の大統領選挙の尾を引くのか?

[著者:Tiffany Olson Kleemann]

Distil NetworksのCEO。SymantecとFireEyeの元役員であり、ジョージ・W・ブッシュ大統領の下でサイバーセキュリティー・オペレーション首席補佐官代理を務めていた。

ロシアのボットがソーシャルメディアに侵入し、2016年の米大統領選挙に影響を与えたという事実は、これまでにも数多く報道されてきたが、いまだにその手口の詳細を伝えるニュースが後を絶たない。

実際、10月17日、Twitterは、2016年に4611件のアカウントによる海外からの妨害があったと発表している。そのほとんどは、ロシアのトロル集団であるInternet Research Agencyによるもので、100万件を超える疑わしいツイートや、200万件を超えるGIF画像、動画、ペリスコープ動画配信があった。

現在、もうひとつの重要な選挙が行われているが、最近の世論調査では、アメリカ人の62パーセントが、2018年の中間選挙は人生でもっとも重要な中間選挙になると考えているという(公的機関も一般市民も、2016年の教訓を学んでいるのかを疑うのは自然なことだ)。こうした国家単位の不正行為を撃退するために、何ができるのだろうか。

ここに、いいニュースと悪いニュースとがある。まずは悪いほうからお話ししよう。

2016年の大統領選挙から2年が経ったが、ソーシャルメディアはいまだに『熱狂する広告塔』というリアリティー番組を流し続けているように見える。自動化されたボットが、特定の観点を誇張するコンテンツを生成し増幅させることなくして、この世界では大きな地政学的イベントは起こりえない。

10月中旬、Twitterは、ジャーナリストのジャマル・カショギ失踪に関するサウジアラビア寄りの話題を一度に大量にツイート、リツイートしたとして、数百件のアカウントを停止した。

10月22日、ウォール・ストリート・ジャーナルは、NFLの選手が国歌演奏中に片膝をついて抗議の態度を示したことに関する論争を、ロシアのボットが煽っていたと報じた。クレムソン大学の研究者が同紙に伝えたところによると、Internet Research Agencyに属する491のアカウントから、1万2000件以上の投稿があり、2017年9月22日、トランプ大統領が、国歌演奏中に片膝をついた選手はチームのオーナーがクビにすべきだと話した直後に、その数はピークに達している。

この問題はアメリカ国内だけにとどまらない。2016年のイギリスのEU離脱に関する国民投票にボットが影響を与えたと指摘された2年後、スウェーデンの総選挙を目前にした今年の春と夏に、移民に反対するスウェーデン民主党を支持するTwitterのボットが急増した

この他にも、ボットによる偽情報の問題は続いている。しかし、そんなに悲観することもない。前進している部分もある。

写真提供:Shutterstock/Nemanja Cosovic

第一に、問題解決には意識を変えることが第一歩となる。ボットによる妨害が新聞の大見出しを騒がせるようになったのは、ここ2年ほどのことであることを認識しよう。

ピュー研究所が今年の夏に、成人のアメリカ人4500名を対象に行った調査では、アメリカ人のおよそ3分の2がソーシャルメディアのボットについて聞いたことがあり、その人たちの大半が、ボットが悪用されることを恐れているという(ただし、偽アカウントを見破る自信があると答えた人は非常に少なかったことは気がかりだ)。

第二に、政治家も行動を起こしている。カリフォルニア州知事ジェリー・ブラウンは、9月28日、人工物であることを隠してボットを使用すること禁止する法律に署名した。これは2019年1月から発効される (選挙民の判断に影響を与えないように、またその他のあらゆる目的での使用を阻止するのが狙いだ)。これは、チケットを自動的に購入するボットを禁止する全国的な動きに追随するものだ。アメリカにおいて、チケット購入ボット禁止の先駆けとなったのは、ニューヨーク州だった。

政治家がこの問題を認識し関心を高めるのは良いことだと思うが、カリフォルニアの法律には穴があるように思える。通常、ボットネットワークを操っている人間を特定することは非常に困難であるため、この法律の実効性が疑われる。罰則も曖昧だ。国家的な、または国際的な事柄に攻撃を加える者に対して、ひとつの州ではそもそも力が及ばない。とは言え、この法律はよい出発点になるだろう。この問題を真剣に考えているという政府の態度を示すことにもなる。

第三に、2016年のボットの活動に適切に対処できなかったソーシャルメディア・プラットフォームは、議会の厳しい調査を受けることで、悪質なボットをピンポイントで特定し排除することに積極的に取り組むようになった。

TwitterもFacebookも、ある程度の責任はあるものの、それらも被害者であることを忘れてはならない。こうした商用プラットフォームは、悪い人間に乗っ取られて、彼らの政治理念や信条の宣伝に利用されたのだ。

TwitterやFacebookは、人間か、人間ではない偽の存在が人間を装っているのかを見破るための努力をもっと早く始めるべきだったと言う人もいるが、ボットは、つい最近知られるようになったサイバーセキュリティー上の問題だ。従来のパラダイムでは、ハッカーがソフトウエアの脆弱性を付いてセキュリティーを突破するという形だったが、ボットは違う。ボットはオンラインビジネスの処理過程に攻撃を仕掛けるため、通常の脆弱性検査方式では検出が難しいのだ。

Twitterの10月17日のブログには、2016年の偽情報の不正操作の範囲に関する情報が書かれていて、その透明性には素晴らしいものがあった。「情報操作と組織的な不正行為が収束することはないことは明らかだ」と同社は話している。「この種の戦術は、Twitterが生まれるずっと前からあった。地政学的な地域が世界に広がり、新しい技術が登場するごとに、彼らはそれに順応して形を変える」

これが、私が楽観視する第四の理由につながる。技術の進歩だ。

1990年代後半から2000年代前半にかけてのインターネットの黎明期においては、防護技術が未発達だったため、ネットワークは、ワームやウイルスといった攻撃を受けやすかった。今でも侵入事件は起きているが、セキュリティー技術はずっと進歩し、攻撃を許してしまう理由は、防護システムの不具合よりも人間の操作ミスのほうが多いという状況になっている。

ボットを検出し被害を抑える技術は進化を続けている。今日のメールのスパムフィルターのように、自動的に効率的にボットを排除できる技術がいずれ確立されるものと、私は思っている。今はネットワークの中だけで働いているセキュリティー機能の統合が進み、プラットフォーム全体に及ぶようになれば、より効率的にボットの脅威を検知し排除することが可能になる。

2018年のうちはまだ、ボットに気をつけなければならないが、世界はこの課題に本気で取り組でいて、明るい未来を予感させる素晴らしい行動が見え始めている。

健全な民主主義と、インターネットでの企業活動は、そこにかかっている。

[原文へ]
(翻訳:金井哲夫)

トランプは「セキュアな」iPhoneを2台持っているが、それでも中国は聴いている

トランプ大統領はiPhoneを3台持っている——うち2台は「セキュア」で、もう1台は通常の個人用デバイスだ。しかし、最高司令官が電話を取るたびに、彼の敵たちは聴いているという。

これはThe New York Timesの最新記事によるもので、大統領の複数の端末——および彼がそれをどう使っているか——にスポットライトを当てている。

トランプは2016年に就任した際、Androidが走る古くて時代遅れのSamsung Galaxy携帯を渋々手放し、Appleデバイスに移行した。iPhoneは歴史的にAndroid機よりもセキュアであるとされてきた。彼が所有するうちの1台は通常のiPhoneで自分の連絡先を登録できるが、あとの2台は公務専用で、国家安全保障局によって盗聴を防止するための改造が施されロックされている。

ただし——たとえホワイトハウスの中にいようとも、ワシントンおよび全米の大部分を覆い尽くす、老化し劣化しつつあるセキュリティーの低い携帯ネットワークから逃れることはできない。

ネットワーク間で情報をやり取りするの極めて重要な携帯ネットワークシステム——Signaling System No. 7(SS7)と呼ばれている—— が、近年ハッカーらによる通話やテキストメッセージの傍受を容易にしている。SS7は携帯ネットワークが通話やテキストの接続やルーティングを確立するために使用しているが、SS7の著しい脆弱性のために、2要素認証に使われたコードが傍受され、銀行口座の侵入や資金流出に利用された

このほとんどが未修正の欠陥によって、各国政府——あるいは誰でも——が通話を簡単に傍受できる。そこには中国、ロシア、および傍受を成功するために必要なリソースと知識を持つあらゆるアタッカーも含まれている。

トランプが3台のiPhoneに頼っていることは面倒そうに思えるかもしれないが、これでも前任者より一歩前進している。

オバマ大統領は、いっとき彼の政府支給iPhone——2期目に与えられた——を「3才児が持っているおもちゃの電話」に なぞらえた。メールは受信できるが、発信できないように改造されており、海外の敵が大統領の様子を探れないようにカメラもマイクロホンもついていなかった。彼はテキストメッセージを送ることさえできなかった——必ずしも技術的理由からではなく、政府高官が公式なやりとりを保存することを義務付けている大統領記録法に従うためだ。

トランプはオバマよりも寛大な扱いを受けてはいるが、それでも毎月新しいクリーンなデバイスを受け取り、マルウェアが潜んでいる可能性を排除している。しかし、そのポリシーは本来あるべき厳密さで適用されていない、と記事は書いておりそれは、居残ったマルウェア(もしあれば)を誤って引き連れることなく、古いデータを新しい端末に手動で移行するのが大変だからだ。

SS7の欠陥は一般人にとっても未解決の問題ではあるが、大統領自身による “opsec” ——セキュリティー運用、すなわち直面する脅威に対する彼の認識とそれを回避する努力——のひどさとは比べ物にならない。もし中国やロシアが彼の通話に聞き耳を立てていなかったとしても、彼のゴルフコース周辺をうろつくだけで、いつでも運試しができる——そこでは大統領が携帯をゴルフカートに置き忘れ、スタッフを取りに走らせたことがある。

そしてこれは、核ミサイル発射コードを信託している人物の話だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

人気の接続ストレージに脆弱性、パスワードなしでアクセス可能に

人気接続ストレージのソフトウェアに脆弱性、アタッカーがアクセス可能に
セキュリティー研究者らは、人気のインターネット接続ストレージ4機種に、ハッカーがユーザーのプライベートデータや機密データをアクセスできる欠陥があることを発見した。

Paulos YibeloとDaniel Eschetuによると、彼らがテストしたデバイスのうち3機種——NetGear Stora、Seagate Home、およびMedion LifeCloud——を制御しているソフトウェアは、アタッカーがパスワードなしでデータを読み取り、変更、削除することができるという。

今週TechCrunchに情報提供したYibeloは、研究結果をブログでも発表し、ほかにも多くの機種が危険に晒されていると言った。

Axentra社が開発したHipservというソフトウェアは、彼らが発見した4つの欠陥のうち3つに関して主たる責任がある。HipservはLinuxベースで、さまざまなウェブ技術——PHPを含む——を利用してウェブインターフェースを構築している。しかし研究者らは、認証なしでドライブ上のファイルをアクセスできるバグを発見した。さらに、”root” ——最高アクセス権限を持つ標準ユーザーアカウント——として自由にコマンドを発行できるため、そのドライブのデータは詮索好きな目に晒されたり破壊されたりするリスクがある。

本誌はAexentraにコメントを求めたが、本稿執筆時点でまだ返答がない。

Netgearの広報担当社は、Storaは「すでに販売が中止されたサポート対象外製品である」と言った。Seagateは本誌の締切までにコメントしなかったが、状況が変わり次第続報の予定。現在Medionを所有するLenovoはコメント要求に返答していない。

研究者らは、WD My Book Liveドライブにも別のバグがあり、アタッカーがリモートでルートアクセスを可能であることを報告している。

WD広報担当者は、この脆弱性は2010年に発売され2014年に販売中止されたデバイスに影響を与えるものであり「当社のソフトウェアサポート期間の対象外である」と言った。さらにWDは「これらの旧製品を使い続けたいユーザーは、リモートアクセスを防止するようファイアウォールを設定することを推奨する」と付け加えた。

いずれの脆弱性も、アタッカーは対象ドライブのIPアドレスを知るだけでよい。IPアドレスはShodanなどのサイトのおかげで、昨今さほど入手困難なデータではない。

影響を受けるデバイスの数は見方によって様々であり、Shodanは31万1705と言っているが、 ZoomEyeは180万デバイスに近いと発表している。

研究者らはバグについてある程度の情報を公開しているが、アタッカーが欠陥を利用するのを防ぐために、侵入コードを公開する予定はないとしている。

彼らからのアドバイス:クラウドドライブを運用しているなら、「デバイスをインターネットから切り離すこと」

[原文へ]

(翻訳:Nob Takahashi / facebook

Pixel 3、これが注目の新機能だ

Googleは火曜日(米国時間10/9)の大ハードウェアイベントでGoogle Home HubやGoogle Pixel Slateなどいくつもの新製品を発表した。しかし新しいスマートフォン、Pixel 3が本物のスターだった。

Pixel 3には2つのサイズがあり、価格は799ドルから。カラーは3種類で12.2メガピクセルの背面カメラとデュアル前面カメラを搭載している。中は新しいアプリと機能でいっぱいだ。今日から予約受付を開始して発売は10月18日から。

Pixel 3の新機能、改訂機能の目玉をいくつか紹介する。

コールスクリーン

コールスクリーンは、かかってきた電話をあなたの代わってGoogle Assistantが取ってくれる機能だ。ユーザーはコールスクリーンボタンをタップするだけで、あとは端末が電話に答えて誰が何の用事でかけてきたかを聞いてくれる。

会話の内容はテキスト化されてリアルタイムで表示されるので、ユーザーは電話に出るかテキストで返信するかを選ぶことができる。

コールスクリーンはPixel 3では発売と同時に、他のPixel端末では11月から利用できる。

Google call screen

セキュリティー

Pixel 3には、GoogleがTitan Mと呼んでいる新しいセキュリティーチップが搭載されている。このカスタムチップは、端末のパスワードとオペレーティングシステムの安全性を高めるために使用される。

スピーカー

前面に向けられたスピーカーは従来のPixel機よりも40%大きく豊かな音になった。

YouTube Music

Pixel 3には、YouTube Musicのストリーミングアプリが搭載され、6ヶ月間の無料購読がついてくる。

Googleレンズ

Googleレンズは、AI機能内蔵カメラだ。画像をキャプチャーし、AIアルゴリズムが認識する。「スタイル検索」は画像に写った商品を識別して、ネットでその商品を見つけるのに役立つ。

Googleレンズは、ランドマークや植物、動物なども識別し、イベントをカレンダーに追加する。カメラをテイクアウトメニューに向ければ、電話番号をハイライトする。

Google Lens

グループセルフィーカメラ

Pixel 3にはデュアル前面カメラがあり、ワイドな自撮り撮影ができる。
電源ボタンをダブルタップしてカメラを立ち上げ、手首を2回フリックすれば自撮りモードになる。あとは、ズームアウトしてグループセルフィーを撮るだけだ。

トップショット

この撮影機能は、HDRで複数の画像を撮影し、最高の1枚をリコメンドする。
たとえば、子供がバースデーケーキのローソクの火を吹き消すところを取ろうとしたことがあるだろう。これまでなら、写し損ないは写し損ないだった。トップショットは、シャッターを切る前後の瞬間をキャプチャーして自動的に最高の1枚を推薦する。

もしほかに気に入ったものがあれば、それも選ぶことができる。

Google Pixel 3 Top Shot

プレイグラウンド

プレイグラウンドは、写真やビデオにリアクション・キャラクター(犬や踊るステレオなど)やキャプション、動くスタンプなどを追加できる機能だ。文字同志あるいはユーザーと反応し合うPlaymojiを使って写真に「命を吹き込む」こともできる。

オプションにはMarvel Cinematic UniverseのIron Manなどのキャラクターもある。Googleはドナルド・グローヴァーとのコラボレーションでプレイグラウンドにチャイルディッシュ・ガンビーノも連れてくる計画だ。

Google Playground Childish Gambino

フォトブースモード

そう、これもカメラ機能だ。この機能は被写体が面白い顔をしたり笑ったりすると自動的にシャッターを切る。。

more Google Event 2018 coverage

[原文へ]

(翻訳:Nob Takahashi / facebook

Apple、議会宛レターで「スパイチップ」記事を強硬に否定

Appleは、同社のシステムが中国のスパイに侵入されていたとする先週のBloomberg報道に対して、これを否定する意思を改めて強調した。

その特ダネ記事は中国がSupermicro製マザーボードに小さなチップを埋め込んだとする10以上の情報源を挙げている。SupermicroのボードはAmazon、Appleを始めとする数多くの米国IT企業がデータセンターのサーバーに利用している。Bloombergの記事は、このチップがサーバーのデータを盗み出し、中国が世界有数のIT企業をスパイすることを可能にしているとも主張している。

Appleの情報セキュリティー担当副社長のGeorge Stathakopoulosは、議会宛のレターで、同社にとってこれまでで最も力強い否定の意を表明した。

「Appleは、悪意のあるチップも「ハードウェア改竄」や意図的に仕込まれた脆弱性も、これまでにどのサーバーでも見つけたことはない」と彼は言った。「記事に書かれているようなセキュリティーの懸念についてFBIに報告したこともなければ、FBIがそのような捜査に関してわれわれに接触してきたこともない」

このニュースに先立ち、英国サイバーセキュリティーセンターと米国国家安全保障局の両組織は、Apple、Amazon、およびSupermicroが記事を否定する主張を「疑う理由はない」という趣旨の声明を発信している。

さらにStathakopoulosは、Appleは「Bloombergが間違いなく存在するとしている悪意のチップなるものの詳細を具体的に説明するよう、同誌に繰り返し要求しているが、曖昧な二次的情報以上のものを提供しようとしなかった、あるいは提供することができなかった」

Appleの声明は、以前のコメントよりもはるかに激しい。Bloombergの記事の重要な欠陥は、数多くの情報源が、たとえ匿名であれ、スパイチップなるものを直接目撃した体験談を提供していないことだ。

チップが存在するという直接証拠がないかぎり、Bloombergの記事は根拠が曖昧だと言わざるを得ない。

[原文へ]

(翻訳:Nob Takahashi / facebook

米政府、AppleとAmazonに同調、Bloombergの「スパイチップ」報道を事実上否定

米国国土安全保障省は、Apple、Amazon、およびSupermicroの声明を「否定する理由はない」と発言し、先週Bloombergが報道した主張を否定した。

これは米国政府が記事に言及し内容に疑いをかけた最初の声明だ。 国土安全保障省の声明は、英国サイバーセキュリティーセンターが発信したほぼ同内容の声明に同調するものだ。

Bloombergは、10以上の情報源を挙げて、中国はSupermicroが製造したマザーボードに 超小型チップを埋め込んだと報じた。Supermicroの基板は米国IT業界——Amazon、Appleを含む——がデータセンターのサーバーに広く利用している。このチップはサーバー上のデータを盗み出し、中国が世界有数の富と力をもつ企業に対するスパイ行為を行うことを可能にすると言われている。

その後Apple、Amazon、Supermicroの各社はウェブサイトで声明を発表した。Bloombergは自社の主張を貫いている。しかし、記事が最初に公表されてから数日が過ぎた今、この最新の展開も人々の困惑を緩和するとは思えない。

国土安全保障省は国のサイバーセキュリティーを国内、国外両面の脅威から守っている。Bloombergによるとこの件は連邦政府が3年間調査を続けている機密情報であり、政府が脅威の可能性について声明を発表することは異例であるとしている。

現実はといえば、このニュースが報じられてから数日たったあとも、最も優秀でIT技術に長けたサイバーセキュリティー専門家の多くが、未だに誰を信じていいのかわかっていない——Bloombergなのかそれ以外なのか。

そして、誰かが問題のチップを手にするまでは、この状況がすぐに変わることは期待できない。

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebook曰く:アタッカーが連携アプリにアクセスした「形跡はない」

Facebookは、先週発見したデータ流出によってサードパーティーアプリが影響を受けた「形跡はなかった」と発表した。

ハッカーらは、昨年Facebookが不注意から混入させた3つの脆弱性の組み合わせを利用して、少なくとも5000万ユーザーのアクセストークンを盗み出した。その他4000万ユーザーもアタックを受けた可能性がある。Facebookはこれらのトークン(ユーザーのログイン状態を保つために使用される)を無効化し、ユーザーは強制的に同サイトに再ログインさせられた。

しかし、ログインにFacebookを利用しているサードパーティー製のアプリやサイト、サービス(Spotify、Tinder、Instagramなど)も同じく影響を受けた可能性があり、Facebookログインを使用するサービス各社は、ソーシャルネットワークの巨人に回答を求めていた。

「当社は、先週発見したアタック期間中にインストーあるいはログインされた全サードパーティーアプリのログを解析した」とFacebookのプロダクトマネジメント担当VP、Guy Rosenが ブログ記事に書いた。「調査の結果、アタッカーがFacebookログインを使っていずれかのアプリにアクセスした形跡は現時点で見つかっていない」。

「当社が提供している公式Facebook SDKを使用しているデベロッパーすべて——およびユーザーのアクセストークンの有効性を定期的にチェックしているデベロッパー——は、われわれがユーザーのアクセストークンをリセットした際に自動的に保護されている。

Rosenは、全デベロッパーがFacebookの開発ツールを使っているわけではないことを認識しており、そのために「各デベロッパーが自社アプリのユーザーが影響を受けたかどうかを識別し、ログアウトさせるためのツールを開発している」と語った。

Facebookはツールの提供時期については言及しなかった。TechCrunchは同社にコメントを求めており、回答があり次第続報の予定。

今回の不正侵入がヨーロッパで500万ユーザーに影響をあたえたことをFacebookは認めた。当地域のプライバシー保護法は、より厳格で制裁金も高額だ。

新たに制定された一般データ保護規則(GDPR)の下では、仮にFacebookがユーザーデータを保護する努力を怠っていたことがわかれば、欧州の規制機関はFacebookに最大16.3億ドル(前会計年度の全世界売上である407億ドルの4%)の罰金を科すことができる。

画像提供:Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

Disrupt SFで語られたAIの現状に関する5つの注目点

[著者:Taylor Nakagawa]

人工知能(AI)に期待されていることは計り知れないが、そのゴールに至るまでのロードマップはいまだ不透明だ。TechCrunch Disruptサンフランシスコのステージでは、AIを専門とする知識人たちが、現在の市場での競争の様子、アルゴリズムが差別主義を助長させないための方法、未来のマンマシン・インターフェイスといった課題について意見を述べ合った。

そこで、2018年のDisruptで語られた、AIの現状について注視すべき5つの点を紹介しよう。

1. アメリカがAIで中国に参入しようとすれば多くの障害に遭遇する

SinnovationのCEO李開復(リー・ カイフー)(写真:TechCrunch/Devin Coldewey)

中国がAIに力を入れて華々しい発展を遂げていることは、各方面で数多く報道され、もはや無視できない存在にまでなっている。AlibabaやTencentのような巨大企業が国産ビジネスに何億ドルもつぎ込んでいるため、アメリカ企業がAIで中国に参入しても、動き回ったり拡大できる余地はだんだん狭くなっている。AI投資家でありSinnovationのCEO李開復(リー・ カイフー)は、AI開発においては、中国とアメリカは「並行宇宙」に生きていると話している。

https://platform.twitter.com/widgets.js
Sinnovation会長にしてCEO李開復は、AIに関しては中国はアメリカを超えたと話す。

Googleの中国進出を助けた李は、「AIを電気と同様に考えるべき」だと説明している。「トーマス・エジソンもAIの深層学習も、どちらもアメリカ生まれですが、彼らはそうした技術を発明し、寛大にも公開しました。今や中国は、最大のデータ量を誇る最大の市場として、従来型のビジネスのあらゆる場所、インターネットやその他のあらゆるスペースに価値を加えるために、AIを実際に使っています」

「中国の起業家エコシステムは巨大です。現在、コンピュータービジョン、音声認識、ドローンの分野でもっとも価値の高いAI企業は、すべて中国企業です」

2. AIの偏見は古い問題の新しい顔

9月7日、カリフォルニア州サンフランシスコにて。モスコーンセンターで開かれたTechCrunch Disrupt第3日目のステージで討論する(左から)Ken Goldberg(UCバークレー教授)、Timnit Gebru(Google AI研究者)、Chris Ategeka(UCOT創設者、CEO)、Devin Coldewey(司会)(写真:TechCrunch用にKimberly White/Getty Imagesが撮影)

AIは、数多くの仕事から、つまらない単調な作業をなくし、人々に生産性と効率性をもたらすと約束されてきた。しかし、多くのAIシステムの学習に使用されるデータには、人間が持つ偏見が植え付けられていることがあり、それを放置すれば、所得格差や人種差別といった体系的問題をはらむコミュニティーを今よりも疎外することにつながりかねない。

「社会的経済地位の低い人たちは、より監視が強化され、さらにアルゴリズムで調べられることになります」と、Google AIのTimmit Gebruは言う。「なので、地位の低い仕事の求職者ほど、自動化されたツールで処理される可能性が高くなります。現在、こうしたアルゴリズムがさまざまな場所で使われていますが、機会均等法のような法律に準拠しているかを確かめることすらできていません」

https://platform.twitter.com/widgets.js
アルゴリズムの偏見は、所得格差と人種差別に根をもつ古い問題の新しい顔だ。将来のより客観的なアルゴリズム構築のためのステップの概要を示すTimmit Gebru(Google AI)、Ken Goldberg(UCバークレー)、Chris Ategela(UCOT)

危険なアルゴリズムが広がりを阻止できる可能性のある解決策を、UCバークレーのKen Goldbergが解説した。彼は、複数のアルゴリズムとさまざまな分類子が共同して働き、ひとつの結果をもたらすアンサンブル理論の概念を引用している。

しかし、不適切な技術のための解決方法が、よりよい技術であるかどうかを、どうやって確かめたらよいのだろう。Goldbergは、適正なアルゴリズムを開発には、AIの外の分野から来た、さまざまな経歴を持つ人間が欠かせないと語る。「機械の知能と人間の知能には、深い関連性があると思われます」とGoldbergは説明する。「異なる視点を持つ人は非常に貴重です。ビジネスの世界でも、そうした人が認められつつあるようです。それはPRのためではなく、異なる経験値と多様な視点を持つ人がいれば、よりよい決断が下せるからです」

3. 未来の自律走行は、人と機械の協力に依存することになる

UberのCEO、Dara Khosrowshahi(写真:TechCrunch/Devin Coldewey)

運送会社の多くは、移動が高度に自動化されて、人間が介在することがかえって有害になる近未来の夢の世界を想像している。

UberのCEO、Dara Khosrowshahiは、そうはならないと指摘する。人間を隅に追いやろうと競い合う時代では、人間と機械が手を取り合って働くほうが現実的だと彼は言う。

「人間もコンピューターも、それぞれ単独で働くより、一緒に働いたほうがうまくいく。私たちには自動化技術を導入する能力があります。サードパーティーの技術、Lime、私たちの製品は、すべてが協力してハイブリッドを構成しています」

https://platform.twitter.com/widgets.js
「未来の自律走行は、人と機械の協力に依存することになると、UberのCEO、Dara Khosrowshahiは言う」

Khosrowshahiが最終的に描いているUberの未来では、エンジニアがもっとも危険の少ないルートを監視し、乗客のための最適なルートが自動的に選択されるという混合作業になるという。この2つのシステムを組み合わせることが、自律走行の成熟には大変に重要で、乗客の安全を守ることにもなる。

4. アルゴリズムを「公平」だと判断するための合意による定義は存在しない

9月7日、カリフォルニア州サンフランシスコにて。モスコーンセンターで開かれたTechCrunch Disrupt第3日目のステージで話をするHuman Rights Data Analysis Group の主任統計学者Kristian Lum(写真:TechCrunch用にKimberly White/Getty Imagesが撮影)

昨年の7月、ProPublicaはある報告書を発表し、その中で機械学習が、独自に偏見を芽生えさせる危険性を強調している。調査によると、フロリダ州フォートローダーデールで使われていたAIシステムは、黒人の被告が将来再び犯罪を犯す可能性は、白人の被告の2倍あると誤った指摘を行った。この歴史的な発見は、公正なアルゴリズムの構築方法に関する論議を呼び起こした。

あれから1年、AIの専門家はまだ完全な構築方法を見つけていないが、アルゴリズムにおける、数学と人間というものへの理解を組み合わせた文脈的アプローチが、前に進むための最良の道だと考える人は多い。

https://platform.twitter.com/widgets.js
公正なアルゴリズムをどうやって作るか? Kristian Lum(Human Rights Data Analysis Group)は、明確な答えはないが、AIの文脈的なデータトレーニングによると言う。

「残念なことに、公正とはどんなものか、に関する定義の普遍的な合意が得られていません」とHuman Rights Data Analysis Groupの主任統計学者Kristian Lumは話す。「データをどのように刻んでゆけば、最終的にアルゴリズムが公正でないとわかるのか、ということです」

Lumの説明によれば、この数年間、数学的な公正さの定義を巡って研究が進められてきたという。しかし、このアプローチはAIの道徳に対する見識と相容れない場合が多い。

「アルゴリズムの公正さは、大いに文脈に依存します。それは、トレーニングに使用するデータに依存するということです」とLumは語る。「問題について、深く理解しておく必要があります。そして、データについても深く理解しておかなければなりません。それができたとしても、公正さの数学的定義への意見は分かれます」

5. AIとゼロトラストは「理想的な縁組」であり、サーバーセキュリティーの進化の鍵となる

9月6日、カリフォルニア州サンフランシスコにて。モスコーンセンターで開かれたTechCrunch Disrupt第2日目のステージで話をする(左から)Mike Hanley(DUOセキュリティー副社長)、Marc Rogers(Oktaサイバーセキュリティー上級ディレクター)、司会のMike Butcher。(写真:TechCrunch用にKimberly White/Getty Imagesが撮影)

前回の大統領選挙で、私たちは、個人情報、金融資産、民主主義の基礎を守るために、セキュリティーシステムの改良が喫緊の課題であることを学んだ。Facebookの元主任セキュリティー責任者Alex Stamosは、Disruptサンフランシスコにおいて、政治とサイバーセキュリティーの現状の厳しい見通しを示し、次の中間選挙でのセキュリティーのインフラは、2016年当時からそれほど良くなっていないと話した。

では、セキュリティーシステムの改善に、AIはどれくらい役に立つのだろうか。OktaのMark RodgersとDuoのMike Hanleyは、AIと「ゼロトラスト」と呼ばれるセキュリティーモデルの組み合わせに期待を寄せている。本人確認ができないかぎり、どのユーザーもシステムにアクセスできないという仕組みだ。それが、人を介さず侵入してくる相手を積極的に排除できるセキュリティーシステムの開発の鍵になるという。

https://platform.twitter.com/widgets.js
AIとゼロトラストが組み合わせた将来のセキュリティーシステムの仕組みを説明するMarc Rodgers(Okta)とMike Hanley(Duo)

「ゼロトラストの背景にある考え方全体が、自分のネットワーク内のポリシーを自分で決めるというものなので、AIとゼロトラストは理想的な縁組なのです」とRodgersは話している。「AIは、人間に代わって決断を下すことを得意としています。これまで人間には不可能だったほどの短時間で判断します。ゼロトラストが進化して、ゼロトラストのプラットフォームにAIが組み込まれるようになることを、私は大いに期待しています」

この大きな仕事を機械に任せられるようになれば、サイバーセキュリティーのプロは、もうひとつの差し迫った問題を解決する機会を得る。それは、これらのシステムを管理する資格を持つセキュリティーの専門家の配属だ。

「必要な仕事を実際に熟せる有能なセキュリティーのプロが、大幅に不足してます」とHanleyは言う。「それは、セキュリティーを提供する企業にとって、片付けなければならない仕事が特定できる非常に大きなチャンスとなります。この分野には、解決されていない問題が、まだたくさんあります。なかでも、ポリシーエンジンは面白いチャレンジになると思います」

Disrupt SF 2018


Disruptサンフランシスコ2018のその他の記事(英語)

[原文へ]
(翻訳:金井哲夫)

ジュリアン・アサンジ、インターネットを遮断されてWikiLeaks編集長を退任

WikiLeaksのトップが交代した。ファウンダーで争い好きのリーダー、Julian Assangeが退き、元WikiLeaks広報担当者のKristinn Hrafnssonが指揮をとる。WikiLeaksが言うところの「異例事態」よってAssangeが「連絡不能」になったためだ。

Assangeは2006年に同組織を設立し、以来編集長を務めてきた。後任となるアイスランドのジャーナリスト、HrafnssonはWikiLeaksにとって新しい人物ではない。以前Hrafnssonは「WiliLeaksの法律プロジェクトを指揮した」ことがあり、Assangeは日常業務を徐々に減らしていたとされている。Assangeは組織のパブリッシャーとして引き続き関わっていく。

Assangeは、2012年に性的暴行の容疑によるスウェーデンへの送還から逃れるために初めて亡命を試みて以来、ロンドンのエクアドル大使館に潜伏中だ。6ヶ月前、エクアドル政府はAssangeの隔離を決行し、インターネットを切断するとともに面会を禁止した。

報道によるとAssangeは エクアドルの新大統領、Lenín Morenoと緊張関係にある。同氏はAssangeを前政権から引き継がれた受け入れがたい問題と捉えているふしがある。Moreno大統領はAssangeの拘束について、「彼の命に危険があるとわれわれが想定する限り」としている——これはWikiLeakのファウンダーの近い将来に疑いの余地を残す発言だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

アメリカ国民は選挙のセキュリティを懸念している

新たな大規模調査で、一般的な米国人は選挙への脅威が国の土台を揺らしかねない、と中間選挙に向けて懸念している様子が浮かび上がっている。

公共ラジオNPRとマリスト大学の研究者が、米国の幅広い地域の成人居住者949人を対象に固定電話と携帯電話で9月初旬に調査を行なった。この結果は、外国からの選挙干渉の可能性や選挙セキュリティ対策、ソーシャルメディア企業が社会の目をいかに反映させているかについて、最近の状況をにわかに表している。

FacebookとTwitterに対して

ロシアがソーシャルメディアプラットフォーム上で米国をターゲットに影響力を行使したことが明らかになったが、どれくらいの有権者がFacebookTwitterがこの問題への対策をとったと考えているのだろうか。まだ、納得していないようだ。

米国の中間選挙で“海外からの干渉なしとするために”これら2社が2016年以来どれくらい取り組んだかについての質問で、回答者の24%がFacebookは“かなりの対応”“十分の対応”をとったと回答した一方で、62%が“さほど対応していない”‘全く何もしていない”と答えた。

ツイッターについて同じ質問をしたところ、Twitterが目に見える取り組みを行なった、としたのはたったの19%で、57%がさほど取り組まなかったと答えた。今回の大規模調査で行われた他の質問と異なり、ソーシャルメディアについての質問では共和党、民主党の差がみられなかった。ソーシャルメディアを蔑みの目で見ているという稀な状況となっていて、これは今年顕著なものとなっている。

Facebookで目にする内容を信じるかどうかの問いでは、有権者の12%が“かなり”“大方”プラットフォーム上のコンテンツは真実だと確信しているが、79%は“さほど信じていない”または全く信じていないと回答している。しかしこれらの数字は2018年の選挙からはわずかに改善している。その選挙では、Facebookで目にするコンテンツが正しいと信じている、と答えたのは4%だけだった。

中間選挙について

秋に行われる中間選挙を安全で危険のないものにするための米国の備えについての質問では、回答者の53%がきちんと備えていると考えていて、39%が十分に備えていない、または全く備えていない、としている。予想通り、この質問への答えは支持政党で別れた。備えている、と答えたのは民主党で36%、共和党で74%だった(無党派層では51%だった)。

ロシアが中間選挙中に候補者についての偽情報を広めるのにソーシャルメディアを使うのはかなりあり得る、またはあり得ると有権者の69%もが考えているというのは、かつて信用していたプラットフォームに疑いの眼差しを向けて選挙シーズンを迎えつつあることを示している。

ハッキングについては、回答者の41%が中間選挙の投票者に対し“外国政府が混乱を起こす目的で有権者リストにハッキングする”のはかなりあり得る、またはあり得ると考えている。その一方で、55%が有権者リストへのハッキングはあまりあり得ない、全くあり得ないと回答している。小さいながらも意味のある数字だが、回答者の30%が、外国政府が中間選挙の“結果を変えるために投票数を改ざんする”のはかなりあり得る、あり得ると答えている。

選挙セキュリティについて

選挙セキュリティ実践についての質問に関して、政治的な隔たりが見られなかったのは驚きだ。国土安全保障省が州や地方の選挙を保護するための方策を導入しつつあるにもかかわらず、民主党、共和党、無党派の全ての有権者は、選挙の“実際の結果を守る”と州や地元自治体の当局に信頼を寄せているが、連邦政府をさほど信用していないことが示されている。

いくつかの質問では選択すべき正しい回答があり、幸いにもほとんどの人がその正しい回答を選んでいる。調査に参加した有権者の55%が、電子投票システムで米国の選挙は“干渉や詐欺”に弱くなった、と答えているーこれは攻撃されやすいデジタルシステムではなくローテクで行動記録が残る手法を提唱する選挙セキュリティ専門家の影響によるところが大きい。電子投票システムの方が安全だと誤って考えているのは、民主党では31%だけだったが、共和党では49%にのぼった。

他の(より透明性のある)選挙手法についての質問では、結果は圧倒的に紙による投票が好ましい、としなっているーこれだとかなり安全な選挙になると多くの専門家も広く賛同している。実に有権者の68%が紙による投票の方が“より安全”と考えている。残念ながら、現在の投票システムが広く導入されているのに対し、法律で全州に紙による投票を強制するには政治的障壁が多い。

選挙セキュリティ管理についての最後の質問では、回答者はまたしても正しい答えを選んだようだ。89%もの人が、オンライン投票は米国選挙のセキュリティに終止符を打つようなものだと考えているーこれは間違いだが、8%の人が選挙をインターネットで行う方がより安全と考えている。

こうした調査結果をより詳細に見たければ、結果全容はここにある。そこでより興味深い内容が発見できるかもしれない。または、米国の投票システムが、これまで米国で行われてきた選挙の中で、大統領選ではないものとしては最も重要なものとなる今回の選挙の結果を左右する可能性があると確信することになるかもしれないーその逆もありえる。

[原文へ]

(翻訳:Mizoguchi)