「CPUに深刻なバグ」報道にIntel反論――OSアーキテクチャーに内在する欠陥で他社製チップにも同様の影響

今朝(米国時間1/3)、Intel製プロセッサーに 深刻なバグが発見されたとするとする報道があった。この欠陥を回避しようとすればチップの性能を大きく低下させる可能性があり、Intelの信頼性とその株価は共に大きな打撃を受けた。これに対してIntelは公式声明を発表し、こうした報道を「誤っており、不正確だ」と述べた。また同社はこの問題について「来週詳細を発表する予定だった」という。

この欠陥は一般ユーザーが日受利用するプロセスがプロセッサーのアーキテクチャーの極めて深い部分に位置するメカニズム、つまりカーネル・メモリーににアクセスすることを許すものだという。悪意あるハッカーがこの欠陥を利用すればシステムに数多くの巨大な抜け穴が生じる。一方、欠陥を回避しようとすれば、チップの性能を著しく低下させることになるという問題が生じていた。

Intelの公式声明は「不正確なメディア報道がなされているため」急ぎ発表されたという。

これらのシステム上の弱点(exploits)を「バグ」、「欠陥」と呼び、Intelプロダクト固有の問題だとする現在のメディアの報道は正しくない。現在までの調査の結果が、多種類のコンピューティング・デバイス、つまり多数のベンダーが製造するプロセッサーや複数のOSに共通してこの弱点が存在することが明らかになっている。

言い換えれば「問題はIntelだけじゃない」ということだ。Intelは問題の火消しを図ったのかもしれないが、同時に問題が今朝の報道よりはるかに大きいことを示唆する結果にもなった。Intelがすぐに確認できない主張で煙幕を張っているとは考えにくい。他の主要チップ・メーカー、OSベンダーはいずれも問題を認識していることは間違いない。実際、Intelによれば一部メーカーと共同声明を準備しているという。

Intelはプロダクトならびにユーザーのセキュリティーの確保に最大限の努力を払っており、他の多くのテクノロジー企業と協力して問題の解決にあたっている。Intelはこの問題に関して、AMD、ARM Holdingsなどのメーカーや複数のOSベンダーと共に業界全体として迅速かつ建設的な解決策を得ていく。

Intelを始めとするベンダー各社はソフトウェアおよびファームウェアのアップデートが利用可能になる来週の時点で詳細を発表する計画だった。

ということであれば、問題の詳細については共同発表を待たねばならないだろう。それ以前にこれ以上の情報が明らかされるかどうかは疑わしい。大企業が揃って何かするとなればある程度の時間はかかるものだ。

Intelは性能低下の可能j性に関しても「一部の報道とは異なり、パフォーマンスの低下は負荷に比例するものであり、一般ユーザーの場合、さほど大きなものとはならず、やがて緩和されるはずだ」と書いている。

とりあえずグッドニュースだが、やはりこれに関してもベンチマークテストの結果が詳しく説明される必要があるだろう。設定やアプリによって影響の出方は大きく異なる可能性がある。

画像: Smith Collection/Gado / Contributor/Getty Images

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Facebookから不快な友達リクエスト防止ツール――いじめ、ハラスメント防止に努力中

Facebookその他のソーシャルメディアではいじめやハラスメントが常に問題となってきた。ある種のハラスメントの被害を局限するためにFacebookでは望まない友達リクエストやメッセージが表示されないようにするツールを実装する。

Facebookの Global Head of Safety、Antigone Davisは「誰かをブロックしてもすぐその相手が身元を変えて別のアカウントから嫌がらせを受けた、という話を繰り返し聞いている。こうした望ましくない出会いを防止する一助として、Facebookではフェイクないし不適切な身元を排除するテクノロジーをベースにしたツールを開発している」と書いている。

ハラスメントをしてくる相手をブロックしたとしよう。その相手はすぐに身元を変えて新しいアカウントを作り、再びつきまとってくるかもしれない。しかしFacebookの新しいツールはこうした事態を防止する。Facebookはこうした場合でも相手の身元を見抜き、友達リクエストやメッセージ送信をブロックできる。このテクノロジーはIPアドレスなど多数の「シグナル」を総合してあるアカウントが真正な身元を用いておらず、別のアカウントと同一のユーザーが開設したものだと判定する。…新たに設置されたアカウントと会話するためには、最初のユーザー側が明示的にコンタクトを行う必要がある。

Facebookはまた特定のメッセージを無視する機能を設置した。指定されたメッセージは以降、通知ボタンに表示されず、自動的にフィルターされて「フィルターされたメッセージ」のフォルダに入れられる。

「フィルターされたメッセージ」に保管されたメッセージは送信者にメッセージを開いたことを知られずに内容を読むことができる。現在この機能は1対1のメッセージで有効だがFacebookのブログによれば、近くグループメッセージにも拡張されるという。

Facebookによれば、多くの分野の専門家と協力してユーザーの安全を守るためのさまざまな機能の提供に努めているという。ブログ記事でDavisはFacebookはNational Network to End Domestic Violenceと協力しており、多くのジャーナリストからハラスメントについて詳しい情報を集めていると述べている。

今月に入ってFacebookはハラスメントやいじめに対処する部内規則を明らかにした。またこうしたハラスメントやいじめの報告を受けた場合に取られる調査や対処に関するプロセスも発表した。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

BitcoinマイニングのNiceHash、ハッキングで数千万ドルを失う

Bitcoinは初めて1万4000ドルを超え、さらに空高く舞い上がっている。 しかしbitcoinマイニングを容易にしようとするあるプロジェクトはハッキング被害により少なくとも6000万ドルを失ったようだ。

NiceHashはコンピューター能力に空き時間があるオーナーと新たなbitcoinを「採掘」するマイナーを仲介するマーケットプレイスだ。同社がFacebookページで確認したところによると、ハッカーによって多額のbitcoinが持ち去られたという。

NiceHashはオペレーションを24時間停止して正確にどんなことが起きたのか、どれほどの被害を受けたのか調査中だ。Coindeskの記事によると、ユーザーが利用していた同社のウォレットには4,736.42BTCが含まれ、これは6000万ドル以上の価値があるとされる。

NiceHashではこのハッキングの後、NiceHashまたそれ以外のウォレットへのパスワードを変更することをことをユーザーに勧めている。

最近暗号通貨に関連するセキュリティー問題ではbitcoinよりEthereumが話題になっていた。11月にParity Technologiesのウォレットに発見された脆弱性で1億5000万ドル相当のETHが凍結されることとなった。Parityの脆弱性は7月にも150,000 ETHが盗まれる(当時の価値で3000万ドル)という問題を起こしていた。

画像: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:滑川海彦@Facebook Google+

速報:High Sierra Macに重大バグ――当面Macを放置してはいけない

非常にまずいことになっている。最新版のHigh Sierra — 10.13.1 (17B48)を搭載したMacに誰でもログインできる。ユーザー名のフィールドに“root”と打ち込むだけでいい。これは大問題だ。Appleは数時間のうちにもバグを修正するはずだが…よく聞いていただきたい。このバグが修正されるまでは絶対にMacを放置しておいてはいけない

このバグは設定から簡単にアクセスできる。ユーザーがセキュリティーとプライバシーなど設定の重要な部分を変更しようとしたときに開いてユーザー名とパスワードを打ち込む場所だ。

ハッキングもなにもない。ユーザー名の代わりに “root”とタイプするだけでいい。 パスワードには何も入れる必要はない。ログインボタンを何度かクリックするでログインできる。ただしMacのユーザーはこれを自分のマシンで実験してはいけない。“root”アカウントを作成することになり、その後すぐに削除するのでなければ、悪意ある第三者を利することになる

このバグを発見したのは Software Craftsman Turkeyのファウンダー、Lemi Orhan Erginのようで、Twitterでこのことを警告した。

繰り返す必要もないだろうが、これは最悪のバグだ。ログインに成功してしまえば後はマシンのオーナーとして何でもできる。管理者を追加する、セキュリティーの設定を変える、本来のオーナーを締め出す、とやりたい放題だ。バグが修正されるまでMacを目の届かないところに置いてはならない

われわれが実験したところではどのパネルからでもユーザー名を入力する窓であれば“root”と打ち込みさえすればMacは即座に新しいシステム管理者アカウントを作成するようだ。ただし10.13(17A365)マシンでは動作しない。しかしこちらには各種のつまらぬプレインストールソフトが入っていて悪さをする可能性がある。

当面の対策としては“root”でログインし、なんでもいいからパスワードを設定しておくのがよいだろう。しかしやはり安全なのは誰が触るかわからないような環境にデバイスを放置しないことだ。

われわれはAppleにコメントを求めているが、向こうでも大忙しだろうと思う。進展があればすぐにフォローする。ともあれMacを放置しないよう

[原文へ]

(翻訳:滑川海彦@Facebook Google+

FacebookにAIを活用した自殺防止・通報機能――ライブビデオでの自殺を機に本格的対策

このソフトウェア・テクノロジーは多くの命を救うためのものだ。FacebookはAIを利用した「プロアクティブな探知」機能を実装する。これはコンテンツをスキャンして自殺の可能性を示唆する投稿を抽出し、自殺の危険性が発見されたユーザー、あるいはその友達に対し、必要に応じてメンタルヘルス専門家などのリソースを提供できるようにする。

また地域で自殺防止のために活動している人々に通報する機能もある。AIを利用して憂慮すべき兆候がある投稿にフラグを立て、これを人間のモデレーターが精査する仕組みだ。従来のように投稿を読んだメンバーからの通報を待って行動するのにくらべてはるかに素早い対応が可能になるという。

Facebookでは以前からAIを利用して問題のある投稿を判別する実験を行ってきた。今回は自殺防止通報という分野でこれを大々的に実際の機能として展開する(当面アメリカが対象)。Facebookでは世界中でAIを利用した投稿スキャンを行っている。例外はプライバシー関連法が複雑なEUだけだ。

Facebookでは特に危険性が高い投稿を優先してモデレーターが介入し、あるいは地元の自殺防止対策組織に通報する。Facebookでは自殺防止に対応するモデレーターを増員し、専門的な訓練を施し、24時間体制で待機させる。また自殺防止に活動しているSave.org、National Suicide Prevention Lifeline、Forefrontなど80箇所の地域パートナー組織と提携して対象者に緊急に助力を提供できるようにしたという。【略】

[アップデート:Facebookの最高セキュリティー責任者、Alex StamosはAIが投稿をスキャンすることに対する懸念に答える真剣なツイートを投稿した。]

AIが怪しい/こわい/悪意を持つ等の点は永久に残るリスクだ。だからこそ現在、データ処理にあたって利便性〔と危険性〕に適切な基準を設けること、偏見が忍び込むことに留意することが重要となる。なおGuy Rosenのチームは優秀であり、機械学習の成果を生かすまたとないチャンスだと期待している。

Facebookではこれまで自殺の危険性がある投稿について人力でリスクを判断していたが、今後はAIを用いて文章、画像を分析してスクリーニングを行う。このシステムは“are you OK?”(大丈夫かい?)や“Do you need help?”(何かできることはない?)のようなレスポンスにも着目するという。

現在のFacebookの自殺可能性通報の仕組

AI、人間のモデレーター、ユーザー一般からの通報などを組み合わせれば先月、父親である男性がFacebook Live上で自殺したような悲劇を防ぐために役立てることができるだろう。ライブビデオというのは自殺を不当に美化するような影響を及ぼす可能性がある。また何が起きるか予測できないままに大勢の人間が同じシーンを見ることになる。録画されたビデオであれば公開前にプラットフォーム側で審査し、問題があれば公開を保留できる。したがってライブビデオの利用にあたって新たな予防措置が導入されるのはやむを得ない。

今後は、メンバーがどんな形にせよ自殺を示唆するような投稿を行った場合、 Facebook AIはそれを積極的に検知してフラグを立てる。これに基づいて自殺防止の専門的訓練を受けた人間のモデレーターが適切な対処方法を検討することになる。

フラグが立てられた場合、Facebookのテクノロジーはテキストなりビデオなりのどの部分が自殺の危険性を示唆するのかハイライトして示す。これによりモデレーターは大量のコンテンツから問題部分を選り分けるために時間を費やさずにすむ。特にビデオの場合、全編を見るには非常に時間がかかる。AIは暴力やヌード描写など以上にユーザーからの自殺の危険性の通報を重視する。Facebookによれば自殺通報を最優先処理事項とすることにより、地元関係機関への連絡が従来の2倍以上に速くなるとしている。

差別について目をうるませて話すマーク・ザッカーバーグ。母校、ハーバードでの卒業式のスピーチ(5月)

Facebookのモデレーターは地元のパートナーから適切な言語による機関を選ぶ。これには自殺防止の電話ホットラインや警察、消防などの当局が含まれる。モデレーターは対象のユーザーの居場所や過去の精神状態について参考となるデータを収集して連絡する。また友達を探して危険が感じられることを伝え、連絡を依頼することもある。AIチームのリーダー、Rosenは「われわれの目標は、やがて全世界であらゆる言語でこのサービスを提供し、即刻必要なサポートが提供できるようにすることだ」と述べた。

去る2月にFacebookのCEO、マーク・ザッカーバーグは「〔Facebook上で〕自殺が起き、そのいくつかはライブストリーミングされるという恐ろしい出来事があった。誰かが事前に気づき、適切に通報していればこうした悲劇は防止できたかもしれない…人工知能はこの面で優れたアプローチを提供できると思う」と書いている

20億人からのユーザーをかかえるFacebookがこうした措置に踏み切ったのは賞賛されるべきだ。Facebookはユーザーがつながり合える仕組みを作ったが、そればかりではなく、不幸にも、ある種のリアルタイムの無法地帯を作り出してしまった。Facebook Liveは自他に暴力を加え、それを見せびらかそうとする衝動を持ったユーザーにも好適なとチャンネルとなっている。.

世界的なコミュニケーション・プラットフォームの構築には他のテクノロジー企業以上の重大な責任が伴う。Facebookはこうした責任を受け入れていくしかないだろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

ParityのEthereumウォレットに深刻な脆弱性――巨額の暗号通貨が凍結中

今日(米国時間11/7)、ポピュラーな暗号通貨、Ethereumを悪いニュースが襲った。今回発見された脆弱性は何億ドルものEthereum資産に影響を与えるという。この問題はEthereumにとってここ数か月で2度目の深刻な打撃だ。

有力なウォレット・サービス、Parityを提供しているParity Technologiesは今日、ウォレットを消してしまう可能性のある問題を公開した。

この脆弱性は7月20日以降にリリースされたマルチシグ(セキュリティーを強化するため複数が合意して署名することが必要な)ウォレットで発見された。つまりそれ以降のICO〔Initial Coin Offering=暗号通貨によるクラウド資本調達〕はこの脆弱性の影響を受けている可能性がある。

これがここ数か月でParityに発見された2度目の重大なバグなのは大きな問題だ。時価総額270億ドルという暗号通貨として世界2位の価値を持つEthereumだけに影響も巨額に上るおそれがある。

7月に入ってParityのマルチシグ・ウォレットに発見されたバグのために15万 ETH(その時点の価値で3000万ドル前後)が盗難にあった。このバグは7月19日に修正された。これが7月20日という日付が重要となる理由だ。 前回の脆弱性の発見にポジティブな要素があるとするなら、Ethereumに興味を示していた多くの企業が恐れをなしてICOから遠ざかったことかもしれない。Parityを利用してICOを行った企業もマルチシグ方式を取らなかった可能性が高い。

そうではあっても、これはセキュリティー上、深刻な問題だ。Parityの説明によれば、これはあるユーザーのウォレットが消失したことによって発見されたという。

〔バグを修正した新しいウォレット〕は7月20日にリリースされたが、そのコードに別のバグが含まれていた。 これはinitWallet関数をコールすることによってParityウォレットを通常のマルチシグ・ウォレットに変えてそのオーナーとなることができるというものだった。2017年11月6日、 02:33:47 PM +UTCに偶然このコールが実行され、その結果、あるユーザーはウォレットのライブラリーを新たなウォレット中に入れてしまい、ライブラリーを自爆させた。つまりウォレットを開くために必要なコード自身がウォレット中にあることになった(ウォレットの現状を変更するには署名が必要だというロジックであるにもかかわらず、それに必要なコードがウォレット中にあって〔取り出せなくなった〕)。

Parityウォレットがスマートコントラクトであるという点にすべての問題の原因があるようだ。

Parityはそのウォレットを通常のコントラクトとは考えていないだろう。Parityのコードはライブラリーにあり、Parityはこれをdelegatecallによって直接実行する。

現在のところ、このバグによって盗難、消失などの被害を受けた事例は報告されていない。しかし巨額のEthereum通貨が危険な状態にあることは間違いない。

UCL〔ユニバーシティー・カレッジ・オブ・ロンドン〕の暗号通貨研究者、 Patrick McCorryの推計によれば、少なくとも60万ETH(1億5000万ドル)がロックされたという。McCorryはTechCrunchに対して「Parityの利用範囲やウォレットの額などの情報が詳しく判明すればこの数字ははるかに高くなるだろう」と語った。

影響を受けた有名企業にはPolkadotが含まれる。TechCrunchでも報じたように、このプロジェクトはプライベート・ブロックチェーンとパブリック・ブロックチェーンをリンクさせるもので、ICOにより1億4000万ドルを調達している。ファウンダーはParityの共同ファウンダーでもあるGavin Woodだ。Polkadotはそのウォレットが凍結中であることを確認した。PolkadotのICO総額の60%が影響を受けているとTechCrunchでは考えている。

Parityでは現在この問題を調査中だ。同社のツイートによれば影響を受けたウォレットは凍結(ロック)されたと考える一方、影響を受けたETH総額についての情報は「推測だ」としている。

アップデート:われわれが知る限り、〔資金は〕凍結されており、移動は一切不可能だ。ETH総額についてのメディアの情報は推測にすぎない。

Ethereumの価格は脆弱性のニュースを受けて305ドルから291ドルに下落した。この2週間での新安値だ。今後の値動きは脆弱性の深刻さと影響の及ぶ範囲によるだろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

WiFi脆弱性修正パッチ、Microsoftはリリースずみ――Apple、Googleも近くKRACK問題を修正へ

セキュリティー専門家のMathy Vanhoefが昨日(米国時間10/16)公表したWPA2における深刻な脆弱性は世界中のWiFi利用デバイスに影響を与えるものだった。このKRACK(キー再インストール攻撃)対策についてTechCrunchでも詳しく紹介したが、根本的に脆弱性を除去するにはWiFiデバイスのソフトウェアをアップデートするのが最良の方法だ。この点、企業の対応スピードにはばらつきが見られた。

まずWiFiアクセスポイント側の対策だが、キャリヤが設置したルーターを使っている場合、これに対してユーザー側できることは多くない。キャリヤに対して「一刻も早くパッチをリリースせよ」と要求するしかないだろう。この場合、ユーザー・マニュアルでルーターのソフトウェアのアップデート方法を事前に確認しておくのがよい。

またサードパーティーの対策済みWiFiルーターをキャリヤのルーターにEthernetケーブルで接続し、キャリヤ側のWiFiを無効にしておく方法もある。Owen WilliamsはKRACK対策の状況を幅広くモニターしている。これによると、Ubiquiti、Microtik、Meraki、Aruba、FortiNetはルーターのファームウェアを即座にアップデートした。

しかしアクセスポイント側のアップデートだけでは不十分だ。ユーザーはWiFi接続を行うデバイス側のファームウェアもアップデートする必要がある。そうでないとデバイスを未対策のWiFiネットワークに接続したときに被害を受けてしまう。大規模な公共WiFiでは悪意あるハッカーが個人情報を盗もうと網を張っている可能性が十分ある。

そこでデバイス側の状況だが、Microsoftの対応が非常に素早かった。The Vergeが最初に報じたところによれば、MicrosoftはサポートするWindows製品すべてにおいて10月の定例セキュリティー・アップデート〔CVE-2017-13080〕ですでに対策ずみだという。

iMoreの 記事によれば、Appleもパッチを準備している。残念ながら同社はパッチのリリースを他のアップデートと同時に行うつもりだという。つまりKRACK対策版がすぐに必要ならmacOS、iOS、tvOS、watchOSの各OSについてベータ版をダウンロードする必要がある。安定版に関しては、AppleはmacOS 10.11.1、iOS 11.1を数週間以内にリリースする予定だ。これには各種セキュリティー・アップデートの他、バグ修正、絵文字の追加などが含まれる。

ではAndroidデバイスはどうか? これは難しい問題となる。Android 6.0以降を搭載したモバイル・デバイスは他のデバイスより被害を受ける危険性が高い。これは攻撃者がWPA2暗号を解読するキーを再インストールすることがきわめて容易だからだ。こうなった原因はWiFi接続時のハンドシェイクの実装にミスがあったためだという。.

Googleでは11月6日にリリースするパッチでこの問題に対応するとしている。Google自身のデバイスはリリース後直ちにアップデートをインストールされるが、OEMデバイスにアップデートが行き渡るにはかなりの時間がかかるはずだ。数週間から数か月かかるだろう。Androidがデバイスごとに少しずつ異なるというフラグメンテーション問題はこうした場合非常に厄介だ。

しかしこれだけは確かだ。KRACK脆弱性はユーザーがセキュリティー・アップデートを即座にインストールすべきだということを改めて示した。デバイスの自動アップデートを有効にし、セキュリティー・パッチのインストールが通知されたらすぐにYesをクリックする必要がある。

画像:: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:滑川海彦@Facebook Google+

WPA2のWiFi脆弱性から身を守る方法――KRACK攻撃の内容と対策

今日(米国時間10/16 )、セキュリティー専門家のMathy VanhoefはWPA2暗号化プロトコルにおける深刻な脆弱性を公表した。現在利用されているほとんどのルーターその他のデバイスはWiFi接続を保護するためにWPA2暗号化を用いている。つまりきわめて多くのユーザーがこの問題の影響を受ける。

このKRACK〔Key Reinstallation AttaCKs=キー再インストール攻撃〕脆弱性を利用してハッカーができること、できないことをはっきりさせておこう。攻撃者はユーザーのコンピューターとルーターの間のWiFi通信の一部に割り込むことが可能だ。ただしそのトラフィックがHTTPSを用いて適切に暗号化されている場合、攻撃者は内容を知ることはできない。また攻撃者はKRACK脆弱性を用いてWi-Fiパスワードを盗むことはできない。しかし〔再インストールしたWPA2キーを用いて〕トラフィックを復号化して読むことができる。

一部のデバイスの場合、攻撃者はパケット・インジェクション攻撃が可能で、この場合は深刻な結果をもたらす。空港はカフェのWiFiなどのルーターもこの脆弱性を持つ可能性が高い。

次に攻撃者はWiFiネットワークに接続できる場所にいる必要がある。何キロも遠く離れた場所からこの脆弱性を利用した攻撃をしかけることはできない。しかし攻撃者はユーザーの近くですでにゾンビー・コンピューターとなっているデバイスを利用する可能もある。しかしコンピューターをゾンビー化するのはKRACK攻撃にくらべてさらに高度なテクニックが必要だろう。ほとんどの攻撃者は今日初めてこの脆弱性について知ったはずだから、ルーターなどデバイスのメーカーは一刻も早く修正パッチを発表すべきだ。

理論的にいえば、攻撃者は将来この脆弱性をさらに拡大する可能性がある。たとえばこの脆弱性を利用してデバイスを乗っ取るワームを開発し、無防備なIoTデバイスなどに次々に拡散させ、ゾンビー・ボットネットを構築するなどだ。しかしこれはあくまで可能性であり、現在はそういうことはできない。

そこでWPA2プロトコルの脆弱性に対する現在の対策はこうだ。

ワイヤレス関連のデバイスをすべてアップデートする

グッドニュースはKRACK攻撃を防げるアップデートが比較的容易に開発できるということだ。パッチは後方互換性があるので、同じネットワークにアップデート版のデバイスとアップデートされていないデバイスが併存しても差し支えない。

なんにせよWi-Fi機能を持つすべてのデバイス(ノートパソコン、スマートフォン、タブレット等)をアップデートしてセキュリティー・パッチをインストールする。この種の脆弱性の発見はこれが最後ではないはずだから、まだそのように設定していないなら自動アップデートを選択することを考えるべきだ。最新のOSは自動アップデートを非常に手際よく実行できる。一部のデバイス(というのは一部メーカーのAndroidだが)は頻繁にアップデートが行われず、これらは引き続きリスクとなる。

KRACK攻撃にはさまざまな手法が想定されるので、WiFiルーターそのものとクライアント・デバイス双方のセキュリティー・アップデートが必要だという点が重要な点はだ。

ルーターに注目

すべてのルーターのファームウェアはアップデートが必要だ。使用しているルーターがキャリヤが設置したキット製品であれば、キャリヤにいつパッチが出るのか問い合わせるべきだた。分からないというなら繰り返し問い合わせる。ルーターの管理ダッシュボードを開き最新の状態であるかチェックする。キャリヤ・ブランドのルーターであればユーザーガイドを探し、管理者ページへのアクセス方法を調べる。

キャリヤがいつまでもKRACK対策のファームウェアのアップデートを出さないようならキャリヤを乗り換えることを検討すべきだろう。それほどドラスティックな手段を取りたくない場合は、信頼できるメーカーからすでにKRACK対策ずみのWiFiルーターを購入する。購入したWiFiルーターをキャリヤのルーターに接続し、キャリヤのWiFiを無効にしておく。

一部のルーター・メーカー(Ubiquiti、Microtik、Meraki、Aruba、FortiNet等)はすでにパッチを公開している。ここからリストを確認できる

有線接続に切り替える

KRACK脆弱性にキャリヤが対応せず、対応済みWiFiルーターも入手できない状況の場合、ユーザーはデバイスをルーターにEthernetケーブルで接続し、WiFi機能を無効にする(そうできる場合)という方法が考えられる。デバイス側のWiFi機能も無効にしておく必要がある。トラフィックがEthernetケーブル内を流れていれば安心だ。

仮にすべてのデバイスについて上記のような対策を取れない場合でも主要なデバイスは有線接続に切り替えるべきだ。読者が毎日パソコンを長時間使い、インターネットと大量のデータをやり取りしているならこのコンピューターだけでも有線接続にする。Ethernetケーブルを持っていないなら買ってくること。

モバイルデバイスのWiFi機能を無効にする

スマートフォンやタブレットには通常Ethernetポートがない。データを盗み見されたくない場合、 デバイスのWiFi機能を無効にし、セルラー網だけを利用して接続するという方法がある。これはセルラー網のスピードが遅かったり、データ通信プランが高額だったりする場合、理想的な方法とはいえない。またモバイル・キャリヤの信頼性が低い場合もある。

Android 6.0以降を利用するデバイスは特に脆弱性が深刻だ。AndroidデバイスではWiFi利用時のハンドシェイク・メカニズムに欠陥があるためキー再インストール攻撃はきわめて容易だ。つまりAndroidユーザーはいっそうの注意が必要だ。

IoT(Internet-of-Things)デバイスへの影響は?

IoTデバイスを数多く所有している場合、トラフィックの内容が盗まれた場合のダメージが大きいデバイスはどれかを考えてみる必要がある。たとえば室内監視用にセキュリティー・カメラを設置しているが、このカメラのビデオデータが暗号化されていなかったとしよう。WiFiネットワークに攻撃者がアクセスできるなら室内の様子を撮影したビデオが丸見えになってしまう。えらいことだ。

想定されるダメージによって対応を考えるのがいいだろう。つまりハッキングによるダメージの大きいデバイスから順にWiFiネットワークから外す。メーカーがセキュリティーパッチを発行するのを待って接続を戻す。また家庭のネットワークにどんな機器が接続されているのかチェックしておくことをお勧めする。

もちろんスマート照明の電球とルーターの間のトラフィックが攻撃者の手にわたってもさして実害はない。そんな情報は通常の場合役に立たない。エドワード・スノーデンなら自分の照明の点灯状況が外部に漏れることを嫌うだろう。しかしほとんどユーザーはそこまで高度なセキュリティーを必要としていない。リスクはユーザーが個々に判断すべきだ。

ただしIoTデバイスはことセキュリティーに関してこれまでもホラー・ストーリーを何度も提供してきた。これを機会にIoTを始めとするデバイスのセキュリティーを見直し、パッチを出すのが遅いメーカーのデバイスは捨てることを考えるべきだ。パッチ対応が遅いメーカーのデバイスは今後もセキュリティー上の懸念となる可能性が高い。

HTTPS Everywhere拡張機能を利用する

上述のようにインターネットとやり取りするデータそのものを暗号化すればセキュリティーは大きく高まる。EFF(電子フロンティア財団)はHTTPS Everywhereというブラウザー拡張機能(extension)を提供している。ユーザーがGoogle Chrome、Firefox、 Operaを利用しているのであればこの拡張機能をインストールすることを考えてもよい。ユーザー側での設定変更等は不要で、他の拡張機能同様、単にインストールボタンを押すだけでよい。

この拡張機能はサイトがHTTPSとHTTPの双方のプロトコルを利用している場合、自動的にHTTPSでブラウザーを接続させる。しかしHTTPSを使っておらずHTTP接続しか利用できないサイトの場合はHTTPS Everywhereは役に立たない。またサイトのHTTPSの実装に欠陥がある場合も補完してはくれない。そうではあってもHTTPS Everywhereはないよりは増しだ。

VPNは解決法ではない

理論上はVPNサーバーを利用するのは有効に思える。しかしわれわれはこの点についてはすでに調査ずみだ。VPNサービスについては最大限の注意を払う必要がある。無条件に信頼できるサービスではない。

VPNサービスを利用した場合、ユーザーのすべてのインターネット・トラフィックはどこかのデータセンターにあるVPNサーバーに向かう。 この場合KRACK攻撃者はトラフィックの内容を見ることはできない。しかしVPNサービスはトラフィックをログに取っている可能性があり、このログにアクセスできるものはこれをユーザーの不利益になるように利用できる。

たとえば、先週のThe Registerが報じたFBI捜査官の宣誓証言の文書によれば、PureVPNは容疑者を逮捕するために重要な情報を当局に引き渡したという。しかしPureVPNのウェブサイトには「われわれは一切ログを記録しない」と書かれていた。VPN企業を信頼するのは考えものだ。自分で独自のVPNサーバーを開発するのであれば別だが、VPNサービスは解決法ではない。

最大限のWiFiセキュリティーが欲しければ僻地に引っ越す

ユーザーが種々の事情でWiFi接続を止めるわけにいかないが、トラフィックの内容を絶対に人に知られたくないというパラノイドの場合、人跡稀な山の奥深くの小屋に引っ越すのがいい。実際、マーク・ザッカーバーグはセキュリティーを強化するために近所の家を買って取り壊したが、こういう戦略は非常に金がかかるのが難点だ。

画像: wackystuff/Flickr UNDER A CC BY-SA 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+

安全なメッセージングサービスSignalがアップデートしてユーザーのアドレス帳の守秘性をアップ

米政府(NSA)が国民の通信を監視していることを暴いたSnowdenご推薦の、Signalのようなセキュアなメッセージングサービスも、今その上に誰がいるか分らなければ誰も使わないだろう。でもユーザーのリストを検索するためにあなたのコンタクト情報を送信したとき、Signalなどがそれをのぞき見しない、とどうやって信頼*できるのか? 実は、信頼など要らない。のぞき見は不可能だから。Signalの今度のアップデートでは、コンタクトの発見がなお一層プライベート(外部非公開)になった。〔*: 本稿は、信頼(trust)をネガティブなものとして捉えている。システムやベンダーへの信頼がセキュリティの唯一の根拠である事態。〕

そもそも、Signalにせよ誰にせよ、誰かがこの情報を集めていたことはない。それは通信の全過程で暗号化されているから、実はすでに相当安全なのだ。でも万一Signalがハックされたり、NSAに秘かに乗っ取られたりしたらどうか。もしもこの悪の双生児(政府諜報機関とハッカー)がSignalを仔細に調べたら、既知のハッシュ(暗号値)を見つけて、そこからユーザーが検索している相手の情報が分かるかもしれない。そんな情報があれば、ユーザーの匿名化が剥げ落ちてしまう。

TechCrunch Disrupt SF 2017の壇上のMoxie Marlinspike(Open Whisper Systems)

SignalのMoxie Marlinspikeは先週のDisruptで、このアップデートの新しい機能を匂わせ、そういう(上記のような)超極端な可能性ですら、確実にありえなくしたチームのやり方を壇上の電子黒板に書き出した。

技術的詳細の説明は彼の方が当然適任だが、しかし、その要旨はこうだ: おそらく、Signalのサーバーは、小さなアクションがあるたびにそれらをログしている。それらから、メッセージの返事が書かれている場所の正確なメモリアドレスが分かり、そのアドレスにユーザー情報もある。

こう考えてみよう: 誰かが今読んだり書いたりしているものが何か、それは直接には分らなくても、よーく見れば、どこに鉛筆があるか、それがどんな動きをしているかは分かる。ユーザーリストがアルファベット順で、検索している名前の文字数が分かれば、かなり範囲は狭まる。

こんな、RAMをモニタするような超低レベルの攻撃も、その可能性を無視すれば敵の利となることもありえる。

しかし幸いにも、今は“secure enclave”(安全な包領・飛び地)という仕様が、急速にチップの設計のスタンダードになりつつある。その中で行われる演算や保存されるデータは、OSのユーザー部分(アプリケーションコード)からアクセスできない。AppleはそのAnチップのsecure enclaveにToch IDやFace IDの情報を収めるから、外部からユーザーのバイオメトリック情報にアクセスできない。ハッカーやあの3文字のお役所の手に、それらが渡ることもない。

この包領を利用し、メインのデータベースに特殊なクェリを投げることによって、Marlinspikeと彼のチームは、ユーザーが自分のアドレス帳をSignalのリストと突き合わせることができるようにした。リストや検索結果を見れるのは、そのユーザーのみである。その包領はさらに、Signalのサーバーがおかしなコードを実行してないことをチェックする。

Signalのその特殊なコードが悪用される可能性が、まったくないわけではないが、ふつうのユーザーコードでアクセスするハッカーや国の諜報機関に比べれば、その可能性はきわめて低い。それでもなお、ユーザーはSignalの技術を信頼しなければならないが、もっともっと多様な要素を信頼しなければならない通常のセキュリティ技術に比べると、要素数が少ないぶん安全だ。比喩として、情報はそれを持つ/見る人が多いほど、漏れる可能性が高い。

この機能はまだ、一般供用されていない。“ベータ技術のプレビュー状態”だ。でも今後の2か月でテストを終えて、展開したい、と言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Facebook、クローキングを禁止――クローラーを騙して偽サイトを表示する行為を発見すれば追放

「クローキング(cloaking)」といえば何やらSFっぽい術語に聞こえるかもしれないが、スパムサイトが現在ひんぱんに使っている騙しの手口だ。スパマーは検索エンジンやコンテンツのキュレーターに対して健全なサイトを表示する。ところがユーザーが実際にこのサイトを訪問すると広告やマルウェアを満載した別のバージョンに導かれる。

たとえば、あるスパマーがFacebookのレビューチームを欺こうとした場合、Facebookに掲載されるURLや広告のランディングページとして無害なコンテンツのIPが割り振られる。ところがFacebookのレビューチーム以外の一般ユーザーがこのサイトを訪問すると、怪しげなダイエット薬だのFacebookの利用約款に反するポルノの広告だのが表示されるという仕組みだ。

そこで今日(米国時間8/9)、Facebookはクローキングの取締に乗り出した。Facebookの広告プロダクト担当ディレクターのRob Leathernは私のインタビューに答えて、「あるサイトがクローキングを行っていることを発見した場合、われわれはその広告アカウントを無効にしてFacebookから蹴り出す。連中のFacebookページも削除する」と述べた。

クローキングを対象とした監視システムでは人間の専門家と拡張された人工知能の双方が用いられる。ただしスパマーを利するおそれがあるため、クローキングを認定するための具体的なテクニックや基準などは公開されない。

正常なビジネスには一切影響はないという。「クローキングに正当な用途はない。クローキングを行っているのが誰だろうと問題ではない。定義からしてそんなことをやるのは悪いやつ、スパマーに決まっている。つまりどんな方法だろうと誰だろうとクローキングをしていたらわれわれのプラットフォームから追い出す」とLeathernは言う。つまりFacebookはサイトのコンテンツがなんであれ、それとは関わりなくクローキング行為自体を禁止し、違反者をFacebookから排除するということだ。

Facebookのニュースフィードのメカニズムがフェイクニュース、クリック詐欺、スパム、劣悪なコンテンツなどとの戦いを進める一貫として今回の変更が行われた。Facebookに対しては2016年の大統領選挙以来、フェイクニュースを放置しているという批判が高まっていた。スパムサイトへのトラフィックを遮断することはサイトの収入源を断つこととなり、金儲けのためだろうと特定の政治的目的だろうと、偽情報を広めるような悪事を働くグループの活動を抑制するために効果があるはずだ。

BuzzFeedは最近、過激に党派的な政治的ニュースを掲載するサイトに投稿された400万の記事を調査した結果、「このようなサイトのパブリッシャーはFacebookがクリックベイトやフェイクニュースの取締に力を入れ始めたことにきわめて神経質になっており、アルゴリズムの変化を注視してこのソーシャルネットワークから追放されることがないように気を配っている」と結論している。

もちろんクローキングはFacebookだけの問題ではない。そのためFacebookでは他のテクノロジー企業とも協力し、手口に関する情報や対策を交換してクローキングの締め出しに役立てたいと考えている。私の取材に対してFacebookは「〔業界内でのこの協力関係は〕まだ始まったばかりであり、さらに効果的な方法を模索している段階だ。しかしクローキングを、児童ポルノやテロリストのコンテンツと同様、指紋化して実行者を同定することができるようにしたい。 Facebookは膨大なユーザーベースから得られた知見をインターネットの他の組織と共有することで有効な対策を立てることに貢献できると考えている」と述べた。

〔日本版〕クローキングに関してはWikipediaにエントリーがある。

画像:: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:滑川海彦@Facebook Google+

字幕ファイルに隠されたマルウェアにご注意

偽の字幕ファイルにマルウェアを隠してパソコンを乗っ取る巧妙な手口が発見された。 このマルウェアはPopcorn Time、VLCなどのユーザーに被害を与えている。

Checkpointが発見したところによると、ハッカーは人気ある海賊版映画やテレビ番組の字幕ファイルと見せかけたファイルに攻撃用のコードをエンベッドしている。ビデオプレイヤー・アプリもユーザーもこうした字幕ファイルは無害なテキストだと考えて注意を払ってこなかった。Checkpointはこれがハッカーに利用されているという。

われわれの調査で新しい攻撃の手口が発見された。映画の字幕ファイルを利用してサイバー攻撃を仕掛けるもので、これまで完全に見逃されていた点を利用するテクニックだ。字幕ファイルをユーザーがメディアプレイヤーにロードする場合、「信頼できるファイル」として扱われるのが普通だった。しかし、人気ある字幕ファイルにハッカーが手を加えてサイバー攻撃のための偽ファイルを作ることが可能だと判明した。この手口ではユーザー側の意識的操作はほとんど、あるは全く必要ないため一層危険性が高い。

サイバー攻撃に用いられる各種のセキュリティー上の脆弱性についてはデベロッパーもユーザーもかなりの知識がある。しかし映画の字幕ファイルは単なる無害なテキストファイルと考えられ、注意が払われることがほとんどなかった。

もしPopcorn Timeなどを使っているなら(使っていてはならないのだが)、この脆弱性のパッチはこちらから入手できる。VLC、Kodi、Stremioの場合はパッチはアップデートで自動的に適用されるはずだ。 下のデモビデオでは字幕ファイルをロードすると攻撃側のパソコンとの間にTinyVNC接続が行われ、ハッカーは被害者のパソコンを自由に操作できることが示されている。人気映画の海賊版を見るだけのつもりで、とんでもないダメージを受けることになる。注意が必要だ。


画像: Bryce Durbin/TechCrunch

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Facebookは‘偽いいね!’をばらまくスパマーたちと6か月戦ってやっと勝利を宣言、数字は発表せず

Facebookが今日(米国時間4/14)、過去6か月間同サイトをスパムしていた“高度で組織的な”悪行に終止符を打った、と誇らしげに発表した。

Facebookのセキュリティチームはブログの記事で、不正なlike(いいね!)は、バングラデシュやインドネシア、サウジアラビアなど複数の国のアカウントから来ている、とほのめかしている。これで、出処(でどころ)は分かった。かなり頭が良くて、ログインしたアカウントは数ページをlikeし、スパムし、それから沈黙する。プロキシなどの方法で、これらの偽アカウントが主犯一人の仕業ではないふりをしているが、もちろんボスは一人だ。

そのブログ記事は、用心深く、実際の数を挙げていないが:

残りの不正likeを削除すると、1万以上のlikeのある被害ページの99%が3%未満減るだろう。

何を言ってるのか、よく分からないけど、分かった方はコメントでお教え頂きたい。これまでに削除した不正likeとアカウントは、どれだけなのか? 被害ページは何ページあるのか? 元々likeの少ないページは、被害も少なかったのか、それとも多かったのか? ほかに今現在、同じようにしてFacebookが戦っているいたずらネットワークはあるのか? あるなら、それらは、どれぐらいまで減ると期待できるのか?

確かにみんなにとって良いニュースだけど、ボットやスパマーの数については、Twitterがそうであったように、曖昧だ。たぶん、すごく大きな数だろうと思うが、仮にまあまあの数であったとしても、そのまあまあが、アカウント数1000万とか2000万、1億なら、ユーザーも投資家も平静ではいられない。

このいたずらネットワークの解体は、同社が今週初めに、スパムとフェイクニュース対策を強化する、と発表した直後に発表されたのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

FraugsterはAIでクレジットカード詐欺を防ぐスタートアップ―すでにVISAが採用

2017-01-17-fraugster-founders-max-and-chen

ドイツ人とイスラエル人の共同スタートアップ、Fraugsterは人工知能((AI)テクノロジーを利用してオンライン詐欺を防止する。

2014年にFraugsterを共同で創立したドイツ人、Max Laemmleはオンライン支払いのポータル、Better Paymentの共同ファウンダーだ。LaemmleによればFraugsterのもう一人の共同ファウンダー、Chen Zamirは PayPalに5年勤務したのを始めとしてアナリティクスとリスク管理の分野で10年以上の経験があるという。Fraugsterによると、同社はVISAを含め世界で数千のクライアントを持ち、総額150億ドルの支払を処理したという。

FaugsterはこのほどEarlybirdがリードするラウンドで500万ドルを調達した。今回のラウンドには既存の投資家であるSpeedinvest、Seedcamp、匿名のスイスの資産家ファミリーが加わっている。調達した資金はFraugsterの国際展開のための人材獲得にあてられる。

FraugusterのAI利用のオンライン詐欺検出テクノロジーは取引を個別にリアルタイムで監視することにより発生する以前に攻撃を予知することが可能だという。その結果、Fraugsterは不正な支払を最大70%減少させると同時に、コンバージョン率を35%アップさせることが可能だという。AIを利用するかどうかはとは別に不正発見テクノロジーの重要なポイントは単に詐欺を警告するだけでなく、誤った警告によってコンバージョン率を低下させないことにある。

共同ファウンダー、CEOのMax Laemmleは私の取材に対して次のように語った。「われわれがFraugsterを創立した理由は、現在のオンライン支払リスク管理システムがまったく時代遅れのテクノロジーに基いていることに気づいたからだ。既存システムは単純なルール・ベースあるいは旧式の機械学習を利用しており、運用が極めて高くつく割に処理スピードが遅すぎる。そのため新しい詐欺のパターンをリアルタイムで発見することができない。われわれは自己学習可能なアルゴリズムを開発した。これは人間のリスク管理アナリストの思考過程の再現を試みたものだ。しかもコンピューター・ベースであるために大規模に拡大でき、判断に0.15秒しかかからない」。

Fraugsterは、支払請求の分析にあたって、指名、メールアドレス、支払者住所、発送先住所、などのデータポイントをチェックする。これに加えてIPレイテンシーが正常か(支払請求者の住所とマッチしているか)、IPの接続形態、キー入力の間隔など2000以上のデータポイントが収集される。このデータポイントがAIエンジンに送られて正常か否かが判断される。

「AIエンジンそのものは人間のリスク管理専門家の思考を再現した非常に強力なアルゴリズムだ。その結果、われわれは個別取引の背後にどういう事情があるかを前例のない正確さで判定できるようになった。これによってどれが不正でどれが不正でないかを確信を保って判断できる」とLaemmleは語った。

「われわれのエンジンはそれぞれの処理の結果ないし点数を表示する。きわめて透明な仕組みだ。ブラックボックスはどこにもない。運用者はある支払請求が不正と判断されブロックされた場合、その根拠を正確に知ることができる。これに加えてそれぞれの処理にかかる時間が15ミリ秒ときわめて速い。これほど高速に処理できるのはFraugsterがメモリ内にロードできるデータベースの開発に成功したからだ」

FraugsterはライバルとしてFICOやSASのような巨大企業を挙げ、しかしこうした企業は「時代遅れのテクノロジーを使っている」と主張する。

Laemmleは 「Fraugsterでは不正を検知するために固定したルールやモデルをソフトウェアに組み込んでいない。単一の固定的アルゴリズムはいっさい用いていない。われわれのエンジンは取引を処理するごとに自分自身をアップデートしていく。つまりオンラインでの支払を1件ごとに解析し、それが不正であるかどうかを判断する。その結果、從來にない精度を実現できるようになった。実際の攻撃が行われる前に発生を予知できるほど高い精度だ」と付け加えた。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Yahoo、新たに10億アカウントがハックされていたことを公表

yahoo-mail-dead

Yahooは、またハッキングに苦しめられている。

Yahooは本日、2013年8月に10億人以上のユーザーアカウントの情報漏洩が起きていたことを公表した。この情報漏洩は、Yahooが9月に報告した5億アカウントの情報が盗まれた件とはまた別のものという。

Yahooの情報セキュリティーを担当する役員Bob Lordは、どのように10億アカウントの情報が盗まれたか特定できていないという。「情報の盗難の経路を特定できていません」とLordはハックを公表した投稿に書いている。

「盗まれたユーザーアカウントの情報には名前、メールアドレス、電話番号、誕生日、MD5によりハッシュ化したパスワード、場合によっては暗号化、もしくは暗号化されていないセキュリティー質問と回答が含まれている可能性があります」とLordは書いている。

Yahooは警察から大規模な情報漏洩の報せを受け、外部の専門捜査官の助けを借りて、データを確認していた。データには決済情報やプレインテキストのパウワードは含まれていないようだが、それでもYahooのアカウントを持っている人には悪い報せだ。ハッシュ化アルゴリズムMD5はすでに安全ではないとされている。MD5によるハッシュ化はオンラインで少し探せば、それが隠しているパスワードを探り当てることが可能だ。

Yahooはこの情報漏洩で影響を受けるアカウント所有者に通知しているという。影響のあるユーザーはパスワードを変更する必要がある。

また、Yahooは本日、Yahooの占有コードにハッカーがアクセスし、そのコードを使って、パスワードを使用せずともアカウントにアクセスができるクッキーを偽造していたと発表した。「外部の専門捜査官は、偽造クッキーが盗られた、あるいは使用されたアカウントユーザーを特定しました。影響を受けたアカウントの所有者に通知し、偽造クッキーは無効化しました」とLordは言う。今回の攻撃は国の支援を受ける者の仕業と考えているとLordは付け足している。

今日の発表は、Yahooのセキュリティー問題がまだ続いていることを示す。Yahooの従業員は、5億人の情報が盗まれたことを示す形跡を早ければ2014年の段階で知っていたという。だがYahooがその情報漏洩について発表したのは今年の9月のことだ。Yahooの役員が情報漏洩について知っていたか、知っていたのならいつ知ったのか。この質問への回答は、現在進行中のVerizonのYahoo買収にとって重要なものになる。Yahooは売却を発表してから数ヶ月経って初めて情報漏洩を公表したのだ。

Verizonは7月に48億3000万ドルでYahooの買収に合意したが、Yahooの一連のセキュリティー問題を受け、買収額を10億ドル減額するかもしれないと考えられている。「これまでお伝えしているように、Yahooが調査を継続する中で、状況を見極めていきます」と本日Verizonのスポークスマンは答えた。「最終的な結論を出す前に、今回の件がもたらす影響について検証します」。
(開示情報:VerizonはTechCrunchの親会社であるAOLを所有している)

Yahooは10月にもセキュリティー対策について厳しい目で見られることになった。Yahooがアメリカの諜報機関の命令により、2015年の初頭、全てのユーザーのアカウントをスキャンしたとロイターが報じた。Yahooの法務責任者Ron Bellは、アメリカ合衆国国家情報長官のJames Clapperに対し、メールのスキャンプログラムの内容について明確な情報を公に開示することを依頼したという。

 

[原文へ]

(翻訳:Nozomi Okuma /Website

「Facebookでの安全」ページが50言語に拡大―「いじめ防止ハブ」もアップデート

2016-10-25-safety-center-page-002

Facebookは17億人のメンバーを有する世界最大のソーシャルネットワークだが、最近メディアとして強い批判を浴びる事件が起きている。Facebookではこれに対してユーザーがこのプラットフォームでの体験をさらに安全にするため、多数の新機能を追加中だ。

今日(米国時間10/24)、同社はFacebookでの安全(Safety Center)を全面的にアップデートし、世界の50言語で利用できるようにした。Facebookのユーザーはプライバシーをよりきめ細かく設定できるようになる。Facebookによれば「いじめ防止ハブ」は世界で60のNPO等と提携しており、さまざまなツールへのアクセスが容易になったという。

これらのパートナーにはChildnet InternationalConnect Safely(十代の青少年と保護者のためのオンライン・フォーラム)、Family Safety Online Instituteなどが含まれる。〔日本の場合、カタリバ、キッズドア、Re:incが提携先とされている。


このニュースが発表されたタイミングはいくつかの点で興味深い。1週間前にFacebookは投稿にあたっての禁止事項を多少緩和する ことを発表した。要するに、ニュース価値が認められる限り、一部のユーザーが不快に思うかもしれない露骨その他の内容であっても投稿可能になる。

また新しい「Facebookでの安全」ページの発表はライバルと目されていたソーシャルメディア、Twitterが1つだけでなく2つの買収候補を失った1週間後だった。大手企業がTwitter買収から手を引いた理由の一つはプラットフォーム上に蔓延するトロルとハラスメントをTwitterが効果的にコントロールできていないことだった。Twitterはこの点にもっと真剣に取り組む必要がある。

Facebookの安全センターはn 2010年4月ごろからある。「いじめ防止ハブ」も2013年に立ち上げられており、両方とも定期的にメンテナンスされてきた。場合によっては、特定のオンライン・ハラスメントやセキュリティー問題に対する回答という形でアップデートされることもあった。

今回Facebookはこうした安全対策ツールの利用を世界のユーザーに拡大した。こうした問題が英語圏のユーザーに限られないことをFacebook自身も認めたかたちだ。

Facebookのグローバル・セキュリティーの責任者、Antigone Davisは新しい安全センターはさらにモバイル・フレンドリーになったと書いている。 多くの国や地域でモバイルがFacebookの利用のメインのプラットフォームとなってきたことを考えるとこれは理にかなっている。安全センターは50ヶ国語に拡張され、Facebookのセキュリティー設定を適切に利用するための方法を解説するビデオも追加された。

「いじめ防止ハブ」が最初に登場したのは2013年で、FacebookはYale Center for Emotional Intelligenceと共同でこのプロジェクトを開発した。新バージョンは新らたな機能満載というわけではないが、Facebookは提携団体を60に増やし、このページの存在を広く知らせると同時に関係者にとってさらに使いやすいものにする努力を払っている。

Facebookでは近況の投稿の表示先を特定のグループに制限できるし、その方法もわかりやすく解説されている。これはツイートの公開先を制限できないというTwitterの重大な欠点を浮き彫りにするものだ。Twitterがこの点を改良するのは、まだ間に合うか手遅れか、という際どいところに来ていると思う。

Facebookは安全センターのアップデートを機に、5つの分野の分野に関してユーザーの注意を再度呼びかけている。

  1. Facebookは2段階認証機能を用意しているのでメンバーはできる限り利用すべきであること。新しいデバイスからFacebookをログインしようとすると予め登録した携帯電話経由で身元認証が行われる。
  2. 投稿が不快、ハラスメントなどの内容を含んでいる場合、「報告」機能(ほとんどすべての記事にリンクが付属する)を利用することを推奨(ただし報告の結果、Facebookがどのような措置を取ったかなどの報告はなされない)。
  3. Facebookでは利用体験を改善するために投稿が表示される相手を選ぶことを推奨している。公開範囲は「友達」、「親しい友達」など細かく設定できる。また友達、仕事、地域など適切な基準で相手を選んでカスタムリストを設定することができる。
  4. タグ付け、タイムライン表示の内容もカスタマイズできる。Facebookではこうした設定についても確認するよう勧めている。
  5. プラバシーセキュリティーのページにこうした設定方法がすべて説明されている。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Dropbox、パスワード再設定を求める―対象は2012年半ば以降変更していないユーザー

dropbox-blueprint

Dropboxは今日(米国時間8/25)の午後、2012年半ば以降一度もパスワードを変更していないユーザーにパスワードの変更を求める。

2012年6月にLinkedInがハッカーに侵入され、その際盗まれたみられる1億1700万のアカウントのパスワードが今年5月にネットにアップされた。この事態を受けて2012年半ばという時期が決定されたとみられる。最近、過去の大規模なハッキングで盗難にあったパスワードや個人情報がネット上で発見される例が続いている(また今年5月にはMySpaceが大規模にハックされた)。

こうしたデータはいずれもかなり古いものだが、パスワードを変更しないまま長期間放置しているユーザーが多い。また複数のサービスでのパスワードの使い回しも広く行われている。

情報源によれば、Dropboxのインテリジェンス部門は暗号化されないパスワード多数を含むファイルを発見したという。このファイルにはLinkedInのハッキングに関連するとみられるパスワードが含まれていた。「この問題への対処は密かに進められてきた思われるが、ここに来て公の問題となった」と情報源は語った。Dropboxは2012年のLinkedInのハッキングが明らかになった時点で、漏洩したとみられるユーザー名、パスワードを利用して一部へのアカウントにアクセスが試みられたことをブログに掲載している。

これまでのところDropboxではアカウントへの不正なアクセスが成功した例はないと述べている。2012年の事件の際、漏洩によって得られたと見られるアカウント名を含むファイルを用いた攻撃がDropbox社員のアカウントに向けられたことがあった。このアカウント名ファイルの存在に関連してDropboxはユーザーに対し、既存パスワードの変更を求めた。

大規模なパスワードの再設定にはそれなりのデメリットも伴うものの、保管しているデータを保護し、さらなるハッキングを防止するためにはやむを得ない効果的な措置であると考えられている。【略】

また今回のDropboxの決定は、ユーザーに2段階認証を利用する よう呼びかけるよい機会だ。2段階認証はログインンの際に手間が増えるという欠点がある。しかしアカウントのセキュリティーを守る上では最良の手法の一つだ。利用している複数のサービスのセキュリティーが一挙に破られないようする自衛策としては、2段階認証を有効にすることとパスワードの使い回しを止めることが有効だろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

大統領候補に指名されたヒラリー・クリントンの「消えたメール」を見つけ出すようトランプがロシアに要請

Republican presidential nominee Donald Trump speaks at a campaign event at Trump Doral golf course in Miami, Florida, U.S., July 27, 2016.  REUTERS/Carlo Allegri

民主党大会でヒラリー・クリントンが正式に大統領候補に指名されたことがトップ・ニュースとなっているが、そのスポットライトのいくぶんかを奪おうとしたのか、共和党の大統領候補、ドナルド・トランプが奇妙な発言をしている。

今日(米国時間7/27)、フロリダで開かれたプレス・カンファレンスでトランプ候補はロシア(そうロシアだ)がクリントン候補の私用サーバーから消えたとされる「3万通のメールを回復するよう」求めた。

これはなんとしても無責任な発言だと思う。

クリントン候補の自宅サーバーから消えたとされるメールに国家機密が含まれているなら、それを外国勢力に解読させようとするのはアメリカの利益とならない。しかしトランプ候補には選挙に勝つという目的以外は眼中にないようだ。

トランプ候補は「ロシアの皆さん、これを聞いているのであれば消えた3万通のメールを発見する力があることを期待します。成功すればわが国のメディアに大々的に取り上げられるでしょう。そうなることを期待しています」と述べた。

トランプ候補は同趣旨の発言をツイッターに投稿している。クリントン候補は国務長官時代に私用のメールサーバーを利用しており、このサーバーに保管されていた3万通の公用メールを安全保障上の調査に協力するため国務省に引き渡した。サーバーには別に3万通の私用メールが保存されていたが、調査では安全保障に無関係とされた。トランプ候補が公開を求めているのはこの私用メールだ。

トランプのコメントは民主党全国委員会のメールがハックされウィキリークスに公開された直後に行われた。民主党全国委員会のメールの暴露にはロシアのハッカーが関与しているという疑いが持たれている。Washington Postの記事によればロシア政府に関連があるハッカーが1年前から民主党の秘密ファイルにアクセスしていたということだ。【略】

2015年12月にトランプはプーチン大統領をリーダーに相応しい人物だと称賛し、アメリカは「プーチンともっとうまくやっていく道を探らねばならない」と主張した。これに対してプーチンはトランプを「聡明で才能がある」と評した

現在トランプはプーチンについての無条件の称賛をトーンダウンさせており、「私はプーチンに会ったことはない。〔だから〕プーチンがどんな人物であるか知らない」と述べた。トランプ候補によれば「プーチンは一度私について良いことを言ってくれた。プーチンは私は天才だと言った。そこで私は新聞に『どうもありがとう』と言った。それだけの話だ」だそうだ。

〔民主党全国委員長を辞任に追い込んだ〕メールのリークの背後にロシア政府がいるのかどうかはともかく、トランプは重要な政治的課題が議論された民主党大会への関心を多少でも奪おうとしてこういう発言をしているのだろう。しかし仮にFBIがロシア政府が大統領選挙に不当な関与をしている証拠を発見するなら苦境に立つのはトランプ候補の方になるだろう。

〔日本版〕TechCrunchにはシリコンバレーを中心とするテクノロジー界には「反トランプ派が多い」という記事も掲載されてる。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

Google、ポスト量子コンピューティング時代の新暗号化アルゴリズムをChrome Canary版で実験開始

2016-07-09-d_wave_486-smaller

もし量子コンピューターが約束しているとおりの能力を発揮するなら(現時点では非常に大きな「もし」だが)、 標準的な暗号化アルゴリズムを用いた過去の通信を遡及的に解読できることになる。この問題に対処するため、Googleは昨日(米国時間7/7)、量子コンピューティングが実現した場合に備えた新たな暗号通信アルゴリズムの実験を開始することを発表した

ここで暗号化されるのはデベロッパー向けのCanary版ChromeとGoogleのサーバー間の通信だ。

もちろんこれは暫定的、実験的な試みであり、新しいアルゴリズムで 暗号化されるのもブラウザーとサーバー間の通信の一部にすぎない。

Googleのエンジニア、Matt Braithwaiteが声明で述べたところによれば、 この実験の目的は「新アルゴリズムが量子コンピューティング実用化後に直面するであろう環境で現実に大規模なデータ構造〔を処理できるか〕を実証する」ところにあるという。

量子コンピューティングを十分に理解している人間は非常に少ない。まして量子暗号化方式となるとさらに少ないだろう。私が理解したところでは、Googleが用いる新しい通信方式では通常の暗号化アルゴリズムに加えて、量子コンピューティングに対応した鍵交換方式の暗号化アルゴリズムが加えられている。チームはNew Hopeと呼ばれるアルゴリズムを用いている。このアルゴリズムはポスト量子コンピューティング環境におけるTLS(Transport Layer Security)での使用を目的としたものだ。TLSはンターネット上でデータを暗号化して送受信できるトランスポート層のプロトコルで、HTTPS通信もこれによって可能になっている。

GoogleはこれまでにもQUICSPDYなどの新しいウェブ通信規格を開発してきた。Braithwaiteは「Googleは新しい事実上の標準を作るつもりはない」としながらも、2015年12月に新暗号化方式について調査したした際、New Hopeは「もっとも有望なポスト量子コンピューティング暗号化方式だった」と述べている。以降、この分野では多数の研究が発表されている。Googleの研究チームはMicrosoft、オランダのNXPやCentrum Wiskunde & Informatica、 カナダのMcMaster Universityなどと協力している。このためGoogleは単独での実験は今後2年以内に打ち切る予定だ。

読者が実験に協力したい場合、まずCanary版Chrome(正式版に比べておきおり動作が不安定にあるかもしれない)をインストールする必要がある。運がよければ、Googleのサーバーとの通信の一部が新方式で暗号化されるだろう。Chromeがどのサイトとの通信にどのプロトコルを使っているかはChromeのデベロッパー向けツールのSecurity Panelで調べることができる。接続がCECPQ1と表示されていれば新アルゴリズムが使われている。

TechCrunchは、量子コンピューティング時代に対処する暗号化方式を開発するスタートアップ、PQ1030万ドルの資金を調達したことを報じたばかりだ。Googleの発表はPQのポスト量子コンピューティング暗号システムの開発の努力が価値あるものだということを証明するかたちとなった。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

ネットワークセキュリティーのVeriflowが820万ドルの資金を調達

generic_code_hack_security


ターゲットが自社のネットワークにハッカーの侵入を許し何百万の顧客のクレジットカード番号が盗まれた時のことを覚えているだろうか。それもよりによって、ターゲットの契約する空調管理会社のシステムを通じての侵入だったのだ。

Veriflow Systemsというスタートアップは、まさにこのような事態を未然に防ぐことを目標に掲げ、シリーズAのラウンドで820万ドルの資金を調達した。同社のウリは「数学的ネットワーク認証」と呼ばれるテクノロジーだ。

簡単に言えば、同社のシステムはセキュリティーとネットワーク運営の専門家に彼らのネットワークの構成を地図として提供し、さらには設定や装置の変更が実際にどのような影響を与えるのかを、それらが実装される前にモデル化する。

そういったモデル化により、どこにセキュリティーホールが開き、その他の問題が起こり得るかが明らかになる。それらの問題は放置すれば予期せぬネットワークの停止やパフォーマンスの低下を引き起こす。

Menlo VenturesがシリーズAではリードを務め、以前から投資しているNew Enterprise Associatesが今回も参加した。

以前、VeriflowはNEA、全米科学財団、米国国防省から290万ドルの資金を得ていた。

同社はすでに製品を販売しており顧客の中には他の政府機関のオフィスが含まれるが、それ以上の詳細を明らかにする許可は下りなかった。

Menlo Venturesのマネージングディレクターである Matt Murphyによると、「今日ネットワークはかなり不透明で、我々がインフラでのコンピュータ、ストレージやアプリケーションのレベルで実現している監視および可視性をネットワークで実現することは難しいのが現状です」

カリフォルニア州オークランドを拠点にする同社は、今回の資金を使ってそのテクノロジーを専門家の間で広く知ってもらうことを目指す。特にITオペレーターやネットワークセキュリティーの専門家の間で広く認知してもらおうと考えている。また、新規人材の雇用と現在の研究および製品開発にも資金が使われる見通しだ。

Veriflow CEO James Brear

VeriflowのCEO、 James Brear

Murphyによると、MenloがVeriflowをサポートするのは、設立チームのコンピュータ科学における経歴の良さが一因だ。
 同社の共同設立者は受賞歴のあるPhDを持ったコンピュータ科学者であり、その出身はイリノイ大学 Urbana-Champaign校UCバークレーだ。主任エンジニアはAhmed Khurshid、チーフサイエンスオフィサーはMatthew Caesar、チーフテクノロジーオフィサーはBrighten Godfreyとなっている。
VeriflowのCEO兼社長のJames BrearはProcera NetworksでCEOを務め、在任中の2011年に同社を上場させ、2015年の2億4000万ドルでの売却を見届けた。

[原文へ]

(翻訳:Tsubouchi)

Googleアカウントがアップデート―AndroidだけでなくiOSデバイスも探してロックできる

2016-06-02-googleaccount

昨年Googleはアカウント情報の機能をアップデートし、失くしたり盗まれたりしたスマートフォンを探せるようにした。GoogleはAndroidデバイスだけでなく、 iPadやiPhoneなどもアカウント情報から探せるようにした。近くこの機能はGoogle検索にも組み込まれ自分の名前をなどを検索するだけで起動できるようになる。

以前はAndroidデバイスのユーザーはウェブからAndroidデバイス・マネージャーのサイトを開き、 Googleのパスワードを入力しないとデバイスの場所を調べたりロックしたりすることができなかった。このサイトの機能はAppleの「iPhone/iPadを探す」とほぼ同様だ。また現在でもAndroidデバイスを登録しているユーザーは“find my phone”とGoogle検索すればこの機能を起動できる。

Googleの説明によれば、GoogleアカウントのページからAndroidとiOSのデバイについて同様に場所を探したりロックをかけたりできるようになった。新しい スマートフォンを探す機能では、 現在地の表示、着信音を鳴らす、画面のロック、所有者の連絡電話の表示、情報の消去などが簡単に実行できる。

findyourphone

ただしテストではiOSデバイスを完全にコントロールすることはできなかったため、GoogleはiOSの位置表示とロックにはAppleのiCloudを利用している。ただしアカウント・ページからiPhoneに電話をかけたり、デバイスをGoogleアカウントからリモートでログアウトさせたりすることはできる。いずれもデバイスの保護に役立つ機能だ。またスマートフォンのキャリヤに連絡したり地元の遺失物取扱所を探したりする機能も含まれている。

Googleでは「Googleアカウント」も含めてサービスの未来化に取り組んでおり、近くユーザーが自分の名前を検索するだけでGoogleアカウントのページにアクセスできるようにするという。

現在、Googleデバイスのマイクに向かって“OK Google, show me my Google account.”と呼びかけると実際にアカウントが起動する。現在は英語のみ対応しているが近くサポート言語の種類は拡大される。

my-account

「Googleアカウント」のサイトについて復習しておくと、スタートしたのはちょうど1年前で、プライバシーやセキュリティーなどを含め、 Googleサービスに関する設定がすべて一箇所で管理できる。ログインとセキュリティー、広告設定を含めた個人情報とプライバシー、各種アカウントなどの設定に加えてセキュリティー診断やプライバシー診断もできる。Googleのサービスは非常に数が多いので、個別のサービスをいちいち開かず、一箇所で設定ができるようにしたのはよい考えだ。新機能の追加によってデータやプライバシーの保護だjけでなく、スマートフォンを探すのにも使えるようになった。

Googleによればすでに10億人以上がGoogleアカウントのサービスを利用しているという。

上でも述べたように「スマートフォンを探す」機能はすでに有効になっており、Google検索との統合も近々実現する。

〔日本版〕「スマートフォンを探す」は非常に便利な機能だが、これはメニューの一種で機能を選択すると即座に実行されるので注意が必要。Androidデバイスのロック画面にパスワードをかけた場合、解除のためにはデバイスにパスワードを入力する必要があるので必ずメモしておくこと。ウェブからは解除できない。モバイル・デバイスの「設定」から「セキュリティー」を選択し、「ロック画面のパスワード」を「なし」に再設定する必要がある。

[原文へ]

(翻訳:滑川海彦@Facebook Google+