プライバシーに配慮したIDを生成するCloakedが30.4億円のシリーズA調達

オンラインアカウント作成時に、ユニークな電子メールアドレスと電話番号を生成できるようにする、ボストンのスタートアップCloaked(クロークド「覆い隠す」という意味)が、シリーズAラウンドで2500万ドル(約30億4000万円)を調達した。

Arjun(アージュン)とAbhijay Bhatnagar(アブジェイ・バトナガー)の兄弟が2020年に設立したCloakedは、プライバシーを気にする個人が、ユニークなIDを作成できるようにする。アプリやブラウザの拡張機能として提供されるこのサービスは、任意のオンラインサービスに対して、電子メール、電話番号、パスワード、クレジットカード番号などの、ユニークな「覆面」IDを作成することができる。Cloakedはパスワード管理ソフトのように振る舞うが、ユーザーのパスワードを保存するのではなく、生成した「覆面」データで個人情報を置き換えるプラットフォームだ。

Apple(アップル)のHide My Email(ハイド・マイ・Eメール)のような、識別子を生成するタイプのサービスとは異なり、Cloakedのスマートな設定を使うことで、各識別子がどのように機能するかを簡単にパーソナライズおよびカスタマイズすることが可能だ。例えば、個人が何を、いつ、どこで、誰と情報を共有するかを選択できるし、メールアドレスや電話番号ごとにオン/オフ、スヌーズ(一時無効化)、期限切れ、漏洩した場合の自動更新などが可能となる。また、個人宛のメールや電話番号にメッセージを自動転送するか、Cloakedの中にとどめておくかをユーザーが選択することができる。

Cloakedは、個人情報を最初から非公開にしているという。すべてのユーザーは、個人情報のすべてが保存されている暗号化されたデータベースを所有し、いつでも管理・削除できるキーが与えられる。

「みんな、この『知られているけれども監視されているわけではない』という考え方が好きなのです」と、アブジェイ・バトナガー氏はTechCrunchに語っている。現在、初期プレビュー版のCloakedを使っている人たちは、オンラインバンキングからオンラインデートに至るさまざまなIDを作っているという。「私たちは、人々とデータの関係だけでなく、テクノロジー全体との関係も再構築したいと心から願っています」と彼はいう。

Cloakedは、パスワード管理ソフトのようなサービスだが、オンライン上のIDを生成するためのサービスだ(画像クレジット:Cloaked)

Cloakedは現在は無料サービスだが、フリーミアムモデルへの移行を計画している。同社がTechCrunchに語ったところでは、Lux CapitalHuman Capitalが共同で主導した今回のシリーズA資金調達によって、製品の開発を進め、ベータ版を終了できるだろうという。スタートアップは、現在26名のフルリモート社員で構成されており、採用活動も行っている。「この先もリモートファーストにこだわるつもりです」とアージュン・バトナガー氏はいう。「そうすることで、世界中のどこからも、最高の人材を採用できる可能性が広がりますし、チームを最高の人材で固めたいのです」。

Cloakedは、バトナガー兄弟が設立した2社目のスタートアップだ。彼らは、今回のベンチャーを立ち上げる前に、「Hey! HeadsUp(ヘイ!ヘッズアップ)」というオンラインプラットフォームを創業して売却している。Hey! HeadsUpは、複数のカレンダーを共有したりイベントの招待状を送ることなく、他の人のスケジュールにタスクを追加できるオンラインプラットフォームだ。

画像クレジット:Cloaked提供

原文へ

(文:Carly Page、翻訳:sako)

DeFi史上最大のハッキング、Axie InfinityのRoninネットワークから約765億円相当のイーサとUSCコイン流出

2021年、a16zから30億ドル(約3688億円)の評価額で資金を調達したブロックチェーンゲーム大手のAxie Infinity(アクシー・インフィニティ)は、壊滅的な1週間を過ごしていた。米国時間3月29日朝までまで、同社がそのことを知らなかっただけで。

人気のPlay to Earn(P2E、プレイトゥアーン=プレイして稼ぐ)タイトルの、イーサリアムのサイドチェーンであるRonin(ロニン、RON)が悪用され、17万3600イーサ、つまり約5億9700万ドル(約733億6000万円)相当と、2550万ドル(約31億3400円)相当のステーブルコインのUSCコイン(USDC)が盗まれたと同社は発表した。奇妙なことに、このエクスプロイトは6日前の米国時間3月23日に発生したが、3月29日まで発見されなかったとRoninのデベロッパーは公式ブログへの投稿で共有した。

今回のハッキングは現在の価値で合計約6億2250万ドル(約765億円)に上り、DeFi詐欺、ハッキング、エクスプロイトを追跡するDeFiYield REKTデータベースによると、史上最大の分散型金融ハッキングとなる。2021年8月にPoly Networkがハッキングされ、当時、暗号資産史上最大だったエクスプロイトで6億200万ドル(約740億円)が流出したが、今回のエクスプロイトはそれを上回った。

Roninは、特にAxie Infinityをサポートするサイドチェーンとして作られた。Axie Infinityは最も有名なイーサリアム対応P2Eの1つで、2021年に急成長を遂げた。当初は2021年末までに25万ユーザーという「アグレッシブな目標」を想定していたが、その目標を1000%上回り、約290万ユーザーのコミュニティが形成された。

Etherscanのオンチェーンデータによると、今回のハッキングは、イーサのトランザクションUSDCトランザクションの2回にわたって発生したという。攻撃者はハッキングした秘密鍵を使って、不正な引き出しを行ったと同社は書いている。「今朝、ブリッジから5k ETHを引き出せなくなったというユーザーからの報告を受けて、この攻撃を発見しました」とのこと。

同社チームは「犯罪者を裁きにかけるために、さまざまな政府機関と連携しています」と述べている。

Ronin上のイーサとUSDCの預金はブリッジコントラクトから流出したが、同ネットワークはAxie Infinityとその親会社Sky Mavisの関係者と協力して、ユーザーの資金が永久に失われないように最善の方法を決定するため働いていると述べた。「Ronin上にあるAXS、RON、SLP(トークン)は今、すべて安全です」とも。

TechCrunchはSky Mavisに追加コメントを求めたが、同社から回答は得られなかった。

画像クレジット:Yield Guild Games

原文へ

(文:Jacquelyn Melinek、翻訳:Den Nakano)

ライナフのオートロックマンション向け「置き配」とヤマト運輸がAPI連携、配送スタッフのセキュアな入館・非対面受け取り実現

AIやIoTで不動産のデジタルリノベーションを実現するライナフは3月28日、オートロックマンション向け置き配対応化サービス「置き配 with Linough」について、ヤマト運輸による複数デジタルキーの一括管理システム「マルチデジタルキープラットフォーム」を連携開始させたと発表した。これにより、オートロックマンションでも配送スタッフはセキュアな入館が可能になり、玄関先といった場所への置き配を依頼できるようになる。

対象は、ヤマト運輸のEC専用配送商品「EAZY」を利用している配送。物件(開始時)は、エントランス用スマートロック「NinjaEntrance」を設置している、東京都の練馬区・豊島区・板橋区一部のオートロック付マンションとなっている。今後は対象マンションを増加させ、NinjaEntranceと連携可能な事業者とのパートナー連携も拡大するという。

具体的な連携内容は、ライナフのNinjaEntranceとヤマト運輸のマルチデジタルキープラットフォームをAPIでシステム連携させたというもの。入居者によるエントランスオートロック解除の承諾を得ていることが前提で、配送スタッフ専用のウェブアプリケーションから、オートロックの解錠を可能にする。また暗号化通信を用いることで、配送スタッフはセキュアな入館が可能になる。

入居者は、ヤマト運輸から届いた荷物のお届け予定通知(電子メールやLINEなど)に記載されているリンクから、日時・場所の変更ページにアクセスし置き配の場所を選択。エントランスのオートロックの解錠の承諾しておくと(この項目はオートロック解錠物件居住者のみに表示)、自宅の玄関ドア前などで非対面での荷物受け取りが可能となる。

なお、一部のオンラインショップでは、注文時でも受け取り方法を置き配に設定可能だが、オートロックの解錠には、お届け予定通知から置き配の設定と同意が必要となる。また「置き配」をする場所は、玄関ドア前、自宅宅配ボックス、ガスメーターボックス、自転車から選択可能。

2014年11月設立のライナフは、AIとIoTの最新技術により不動産管理ソリューション「ライナフスマートサービス」を展開。2021年3月より、大手ECサイト提供のオートロック解錠デバイスとNinjaEntranceを活用し、オートロックマンションでの安全な置き配普及と、そのサービス展開を行なう置き配 with Linoughを提供している。

ハッカーLapsus$はOkta侵入前にSitelのパスワード一覧にアクセスしていた

TechCrunchが確認したまだ報じられていないコンピューター侵入の新たな詳細をつづっている文書によると、Lapsus$のハッカーは2022年1月に顧客サービス大手Sitel(サイテル)のネットワークに侵入し、その数日後に認証大手Okta(オクタ)の内部システムにアクセスするのに漏洩した認証情報を使用した。

ハッカー集団Lapsus$が約2カ月前にOktaの内部アプリとシステムにアクセスしていたことを明らかにするスクリーンショットを公開し、顧客は3月22日にOktaの1月のセキュリティ侵害を知った。Oktaはブログ投稿で侵害を認め、その後、同社の法人顧客のうち366社、つまり顧客ベースの約2.5%が侵害の影響を受けていることを認めた。

今回の文書は、Sitelの侵害に関するこれまでで最も詳細な説明で、これによりハッカーは後にOktaのネットワークにアクセスすることができた。

Oktaは、シングルサインオンプロバイダーとして、世界中の数千の組織や政府機関に利用されており、従業員はメールアカウントやアプリケーション、データベースなど、企業の内部システムに安全にアクセスできるようになっている。

独立系セキュリティ研究者のBill Demirkapi(ビル・デマーカピ)氏が入手し、TechCrunchと共有した文書には、ハッカーが最初にSitelのネットワークに侵入してから1週間以上経った1月25日に送られたSitelの顧客とのやり取りや、インシデント対応企業Mandiant(マンディアント)がまとめた3月17日付のSitel侵入に関する詳しいタイムライン(Oktaと共有されたもの)などが含まれている。

文書によると、Sitelは2021年に買収したOktaの顧客サービス会社Sykesが所有する古いネットワーク上のVPNゲートウェイでセキュリティインシデントを発見したという。VPN(仮想プライベートネットワーク)は、企業のネットワークにリモートアクセスするために悪用される可能性があるため、しばしば攻撃者のターゲットとなる。

タイムラインには、攻撃者がリモートアクセスサービスと一般公開されているハッキングツールを使用してSitelのネットワークを侵害して入り込み、Lapsus$がアクセスできた5日間にネットワークへの可視性を深めていった様子が詳細に記されている。Sitelは、自社のAzureクラウドインフラも侵害されたと述べた。

タイムラインによると、ハッカーは1月21日未明にSitelの内部ネットワーク上の「DomAdmins-LastPass.xlsx」と呼ばれるスプレッドシートにアクセスした。このファイル名からして、スプレッドシートにはSitel従業員のLastPassパスワードマネージャーからエクスポートされたドメイン管理者アカウントのパスワードが含まれていることがうかがえる。

約5時間後、ハッカーは新しいSykesユーザーアカウントを作成し、組織への幅広いアクセスを持つ「テナント管理者」と呼ばれるユーザーグループにそのアカウントを追加し、後に発見されてロックアウトされた場合にハッカーが使用できるSitelのネットワークへの「バックドア」アカウントを作成したと思われる。Oktaのタイムラインによると、Lapsus$のハッカーはほぼ同時期にOktaのネットワークに侵入していたようだ。

タイムラインでは、ハッカーが最後にSitelのネットワークにアクセスしたのは1月21日午後2時(協定世界時)で、パスワードのスプレッドシートにアクセスしてから約14時間後だった。Sitelは攻撃者を締め出そうと、全社的にパスワードのリセットを行った。

Oktaは3月17日付のMandiantの報告書を受け取った後、Sitelの侵害についてもっと早く顧客に警告しなかったことで批判にさらされている。同社の最高セキュリティ責任者David Bradbury(デイビッド・ブラッドベリー)氏は、同社が「その意味を理解するためにもっと迅速に行動すべきだった」と述べた。

本稿掲載前に連絡を取った際、Oktaはコメントできなかった。SitelとMandiantは記事の内容に異論はなかったが、コメントを控えた。

Oktaはここ数カ月でLapsus$ハッキング・恐喝グループに狙われたいくつかの有名企業の1社にすぎない。Lapsus$グループは、12月にブラジルの保健省を標的にしたサイバー攻撃で同国民のワクチン接種情報など50テラバイト分のデータを盗み出し、ハッキングシーンに初めて登場した。それ以来、このグループはポルトガル語圏の企業数社Samsung(サムスン)、NVIDIA(エヌビディア)、Microsoft(マイクロソフト)、Oktaなどのテック大手を標的とし、Telegramチャンネルの数万人の購読者にアクセスや盗んだデータを売り込み、一方で被害者の盗んだファイルを公開しない代わりにしばしば変わった要求を突きつけてきた。

英国の警察は先週、事件に関連する7人を逮捕したと発表したが、いずれも16歳から21歳の若者だった。

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi

日本原子力研究開発機構、原子力施設の耐震安全性を詳細な3Dモデルで解析する手法を標準化して公開

日本原子力研究開発機構、原子力施設の耐震安全性を詳細な3Dモデルで解析する手法を標準化して公開

日本原子力研究開発機構は、原子力施設を3次元モデル化し、地震の揺れに対する影響を詳細に解析する手法を整備。実測データとの比較によりモデル化方法の妥当性を確認し、耐震解析手法の精度向上を実現した。さらに、この手法を標準的な解析要領にまとめ、外部専門家の確認を経て公開したと3月25日に発表した。

原子力施設の3次元モデルを用いた耐震解析には、国際原子力機関(IAEA)が、柏崎刈羽原子力発電所7号機原子炉建屋を対象に2007年の新潟中越地震の実測データを用いて実施した国際ベンチマーク解析「KARISMAベンチマーク解析」があるが、解析者による結果のばらつきが大きく、観測記録との差が大きいという問題がある。そのため、モデル化方法と解析方法を標準化し、耐震安全性の信頼性向上が求められてきた。

同機構の崔炳賢副主任研究員ら研究グループは、3次元詳細モデルによる耐震解析手法に関係する複数の重要因子を特定し、それぞれの詳細モデル化の方法を明確にした。この手法を用いることで、原子力施設の耐震安全性の評価手法の1つである、地震を原因とする確率論的リスク評価に必要な、建屋の局部応答も表現できる。つまり、重要機器や配管が設置されている建屋の床や壁といった局部の振動が再現され、建屋の揺れが精緻化された。これにより、「局部から始まる建屋のより現実的な損傷評価が可能」となり、建屋、機器、配管などの損傷確率を示す地震フラジリティー評価手法の高度化が期待できるという。この解析結果を実際の観測記録と比較したところ、再現性が向上していることが確認され、このモデル化方法の妥当性が明らかになった。

重要機器の設置位置などの建屋の注目部位(床や壁)のフラジリティ評価のイメージ

研究グループは、こうした3次元詳細モデルを用いた耐震解析の手法、考え方、手順、技術的根拠などを取りまとめ、国内初となる標準的な解析要領を整備した。これを利用することで、解析者ごとの解析結果のばらつきが抑えられる。また、プラント公開情報をもとに、この標準的解析要領の手順に沿ったモデル化と解析を行い、解析事例として整備した。そしてこれを適用事例としてまとめ、外部専門家の確認を経て、標準的解析要領とともに公開した。

米政府がロシアのカスペルスキーを「国家安全保障上の脅威」と認定、チャイナ・モバイルやチャイナ・テレコムも追加

米政府がロシアのカスペルスキーを「国家安全保障上の脅威」と認定、チャイナ・モバイルやチャイナ・テレコムも

Sergei Karpukhin / reuters

米連邦通信委員会(FCC)は25日、ロシアの情報セキュリティ企業Kaspersky Lab(カスペルスキー)を「国家安全保障上の脅威」に認定したことを発表しました。FCCによってロシア企業が「米国の国家安全保障に受け入れがたいリスクをもたらす」リストに加えられたのは、これが初めてのことです。

カスペルスキーは、China Mobile(中国移動通信)やChina Telecom(中国電信)とともに、25日付けでリストに追加されています。このほか、中国ZTEやHuaweiもリストに含まれており、全8社の名前が並んでいるかっこうです。

このリストで名指しされた企業の製品については、米国内の企業はFCCが運営するユニバーサルサービス基金(USF)を使って購入することが禁じられます。この基金は低所得者層や農村部、離島など採算が合わない地域でも、都市部と平等に通信サービスを受けられるようにする補助金であり、今回の措置が大手企業に与える影響の範囲は限定的と見られています。

FCCのBrendan Carr委員は「FCCは、我が国の通信ネットワークの安全確保に重要な役割を果たしており、対象リストを最新の状態に保つことは、そのために自由に使える重要な手段である」と表明。さらにカスペルスキーを含めた3社をリストに加えることを「スパイ行為やアメリカの国益を損ねようとする中国やロシアの国家支援団体による脅威から、我々のネットワークを守るのに役立つだろう」と説明しています。

この決定に対してカスペルスキーは、失望したとの声明を発表。「カスペルスキー製品の技術的評価に基づいておらず、政治的な理由によるものだ」との趣旨をコメントしています。

米国内でカスペルスキー製品に規制が課されたのは今回が初めてではなく、2017年末にも米トランプ政権が政府機関全体での使用を全面的に禁止する大統領命令を出しています。それを受けてカスペルスキーは評判を毀損し、営業を妨害されたとして米政府を相手に訴訟を起こしていました

また、今回の件に先立ちドイツの情報セキュリティ当局も、ロシアによるウクライナ侵攻が続くなか、カスペルスキー製品を使うことは「相当程度」のサイバーリスクがあるとして、利用を控えるよう警告していました。日本政府も同じような対応を取るのか、注視していきたいところです。米政府がロシアのカスペルスキーを「国家安全保障上の脅威」と認定、チャイナ・モバイルやチャイナ・テレコムも

(Source:FCCBleepingComputer。Via AppleInsiderEngadget日本版より転載)

サウジの石油化学工場と米の原発をハックしたロシア人スパイを起訴

合衆国司法省は4人のロシア政府被雇用者を、米国の原子力発電所やサウジの石油化学工場など、重要なインフラストラクチャを狙った数年間に及ぶハッキング作戦で起訴したことを発表した

最初の2021年6月の起訴は、ロシア国防省のプログラマーEvgeny Viktorovich Gladkikh氏(36)と二人の共犯者を、全世界のエネルギー施設の、工場の正常な稼働に欠かせない制御システムのハッキングを計画した、と告発している。Gladkikh氏は悪名高いTritonマルウェアの作者と疑われており、それは2017年のサウジアラビアの石油化学工場に対する攻撃で使われた。ハッカーたちはそのマルウェアを使って、工場の安全システムを不能にしようとした。それは、液漏れや爆発などの危険な状況を防ぐためのシステムだ。Tritonとロシアが初めて結び付けられたのは2018年の10月だ。

司法省によると、サウジの工場を爆破する計画に失敗したハッカーたちは、合衆国の同様に重要なインフラストラクチャを管理している企業のコンピューターをハックしようとした。

2021年8月付の第二の起訴は、Pavel Aleksandrovich Akulov氏とMikhail Mikhailovich Gavrilov氏、およびMarat Valeryevich Tyukov氏を訴えている。全員がロシアの連邦セキュリティビューローFSBの71330部隊のメンバーで、2012年から2017年にかけてエネルギー部門を狙った攻撃を数多く仕掛けている。このハッカーたちはセキュリティ研究者の間では「DragonFly」、「Energetic Bear」、「Crouching Yeti」などの名前で知られ、石油やガス、原子力発電、公益事業、送電企業など、国際的なエネルギーセクターに属する企業のコンピューターネットワークへのアクセスを試みた。

彼らの攻撃の最初のステージは2012年から2014年にかけて行われ、工場用の制御装置のメーカーやソフトウェア提供企業のネットワークを侵犯し、それからHavexマルウェアをソフトウェアアップデートの中に忍ばせた。これと、スピアフィッシングと水飲み場型攻撃を組み合わせた犯行により、ターゲットがよく訪れるWebサイトに感染し、マルウェアをインストールさせる。これまで、合衆国と海外を合わせて17000台以上のユニークなデバイスに感染した、とされている。

二度目の、「DragonFly 2.0」と呼ばれる段階は2014年から2017年にかけて行われ、合衆国およびグローバルの500社あまりの企業の3300名以上のユーザーが狙われた。その中には合衆国政府の原子力規制委員会(Nuclear Regulatory Commission)やWolf Creek原子力発電所も含まれている。

合衆国の副司法長官、Lisa Monaco氏は声明でこう述べている。「ロシアの国が支えているハッカーは合衆国と全世界両方の重要なインフラストラクチャにとって深刻で恒常的な脅威だ。本日の刑事訴追は過去の活動を反映するものであるが、それによって明らかになったのは、米国の企業が防御を強化して警戒を怠らないことの、喫緊かつ継続的な必要性だ」。

Mandiant(マンディアント)の諜報分析担当副社長John Hultquist氏によると、今回の起訴で垣間見えるようになったのは、ロシアの国が支えるハッキング行為における、FSBの役割だ。起訴はまた、こういう破壊的なサイバー攻撃を実行するロシアの侵入グループへの「警報射撃」でもある。「犯行は個人によるものなので、起訴は、これらのプログラムで仕事をしている者全員に、当分ロシアを出るなと告げている」、とHultquist氏は言っている。

しかしHultquist氏は、ハッカーたちはこれらのネットワークへのアクセスを維持するだろう、と警告する。「重要なのは、私たちが、破壊攻撃の現場を目撃していないことだ。将来の不測の事態に備えて、重要な機密情報をほじくり返しているだけだ。最近の事件に関する私たちの懸念は、それがまさに、私たちがずっと待っていた不測の事態かも知れないことだ」。

Dragosの上級索敵員Casey Brooks氏はTritonマルウェアの背後にいるグループを「Xenotime」と呼び、本誌の取材に対して「起訴がハッカーたちを思いとどまらせることはない」、と言っている。

「これらの犯行グループはリソースにも恵まれ、継続的で複雑な仕事を実行できる。今回の起訴でこれらのグループの一部の、侵入行為の詳細は分かるが、彼らの広がりはもっと大きい。たとえば、Xenotimeにとってこれは、彼らの活動全体のごく一部でしかないことを、私たちは知っている。重要なのは、これらのグループが今なお健在であり、訴状はこれら敵対集団の未来の犯行を抑止するために、ほとんど役に立たないと理解することだ」。

訴状が公表されたのはジョー・バイデン大統領が、ロシアのウクライナ侵攻に対して西側が制裁を科したため、対抗して合衆国企業に対するロシアのサイバー攻撃の可能性が増えていることを、警告してから三日後のことだ。また数日前に司法省は、ロシアの軍事諜報サービスGRUで仕事をしていた6名のハッカーを訴追した。そのハッカーグループはSandwormと呼ばれ、5年間の活発な犯行を告発された。それらの中には、2017年に世界中の数百の企業と病院を狙った破壊的なNotPetyaサイバー攻撃や、ウクライナの送電網を破壊したサイバー攻撃がある。

(文:Carly Page、翻訳:Hiroshi Iwatani)
画像クレジット: David McNew/Getty Images

[原文へ]

EUと米国、無効にされたプライバシーシールドに代わるデータ移転協定に基本合意

欧州連合(EU)は、大西洋を横断するデータの移転に関する協定の復活について、米国と基本合意に達したと発表した。2020年7月にEU・米国間の「プライバシーシールド」を無効とする画期的な判決が出た後、クラウドサービスを悩ませた何カ月にも及ぶ法的不確実性に終止符を打つ可能性を示している。

欧州委員会のUrsula von der Leyen(ウルズラ・フォン・デア・ライエン)委員長は現地時間3月25日、Joe Biden(ジョー・バイデン)米国大統領との共同記者会見で「我々は大西洋を越えるデータの移転に関する新たな枠組みについて、基本的合意を見出した」と述べた。

「これにより、プライバシーと市民の自由を守りながら、EUと米国の間で予見可能で信頼できるデータの移転が可能になる」と述べた。

EU・米国間のデータ移転に漂う法的不確実性はここ数カ月で、欧州のデータ保護機関がGoogle Analytics、Google Fonts、Stripeなどの製品を経由する個人データの移転を阻止する命令を出す事態を引き起こした。

Facebookの主要EU規制当局も、複数年にわたって同社のEU・米国間のデータの移転に苦情を言い、そして同社が2020年秋の予備的停止命令に対する法的措置に疲れ果てた後、先月ようやく改訂された決定草案をMeta(メタ)に送付した。

SNSの巨人は、まだ実際にEUと米国のデータ移転を停止するよう命じられてはいない。そして、プライバシーシールドの原則合意時と同様に、米国との政治的合意が成立した現在、データ移転の執行を停止することにEUの規制当局が同意すれば、EUと米国の新しいデータ移転協定が最終合意して採用されるまで、何カ月間でも執行停止の猶予期間を設けることができ、この弾丸は完全にかわすことができる。

これは、先の執行を遅らせようとしたMetaが望んでいたことであることは間違いないだろう。

EUと米国が原則的に合意した内容の詳細や、まったく異なる方向性を持つ2つの法体系の間の溝を両者がどのように埋めたのかについては明らかではない。そして、この協定の持続可能性はまさにその細部に左右されるため、今日の発表から政治的ジェスチャー以上のものを得ることはほとんどない。

EUと米国のデータ移転をめぐる不確実性は、実際は2020年よりも前にさかのぼる。「セーフハーバー」と呼ばれる、より長い歴史を持つ先の協定は、EUのプライバシー権と米国の監視法の間の同じ核心的な衝突をめぐって、2015年に欧州の最高裁判所によって無効とされた。

このような動きは、EU市民のデータが米国に流れる際にその権利が適切に保護されることを保証する上で、代替となる協定がどれだけ強固なものであるかを試す新たな法的課題という困難な見通しに直面することを意味する。

「安全保障とプライバシーやデータ保護の権利のバランスを取ることができた」と、フォン・デア・ライエン委員長はさまざまな件についての記者会見の中で短い言葉で示唆した。また、同委員長は今回の合意について「バランスがとれており、効果的だ」という表現を用いたが、実際に何が決まったのか具体的な内容は示さなかった。

欧州委員会は、プライバシーシールド(およびセーフハーバー)に関して、裁判所がまったく異なる見解を示すまでは非常に似たようなことを言っていた。なので、完全かつ最終的な評価は、EUの委員や米国の関係者が行うことではなく、またできないことを理解することが重要だ。

欧州司法裁判所だけが介入できる。

プライバシーを専門とする弁護士で、大西洋を横断するデータ移転取引(通称シュレムスIとシュレムスII)を無効にしたことでその名を知られるようになった運動家のMax Schrems(マックス・シュレムス)氏は、すぐに懐疑的な意見を述べた。

フォン・デア・ライエン委員長の発表を受けて、シュレムス氏は次のようにツイートした。「特にある点で、またプライバシー・シールドが行われるようです。法律や基本的権利よりも政治が優先されています」。

「これは過去に2回失敗しています。私たちが聞いたのは、別の『パッチワーク』アプローチで、米国側には実質的な改革はありません。詳細を待つことにしましょう。しかし私は、それが再び失敗する方に賭けます」。

シュレムス氏は、プライバシーシールドを豚の口紅と呼んだことで有名であるが、それは正しい。したがって、内容に対する同氏の評価は、それが明らかになったとき、間違いなく欧州委員会の評価よりも重みを持つことになる。

シュレムス氏はまた、自身のプライバシー擁護のための非営利団体noybを通じて、EU法の要件を満たさない新しい協定は、民事訴訟と仮処分によって「数カ月のうちに」欧州司法裁判所に差し戻すことができるだろうとも述べている。

「最終文書が届いたら、米国の法律専門家とともに徹底的に分析します。もし、EUの法律に沿っていないのであれば、私たちか他のグループが異議を唱えることになるでしょう。最終的には、司法裁判所が3度目の判断を下すことになります。最終決定から数カ月以内に裁判所に戻されるものと思われます」と声明で指摘し「EUと米国がこの状況を利用して、同じ考えを持つ民主主義国家間で基本保証をともなう『スパイ禁止』の合意に至らなかったことは残念です。顧客や企業は、さらに何年も法的不確実性に直面することになります」と述べた。

データ移転協定がまたもや復活したというニュースに対するテック業界の反応は、予想通り好意的なものだった。

Metaとともに実行可能な妥協点を見出すよう、ここ数カ月間強く求めてきたGoogle(グーグル)はこの発表をすぐに歓迎した。

同社の広報担当者は、声明の中で次のように語っている。

「人々は、世界のどこからでもデジタルサービスを利用できることを望み、国境を越えて通信する際に自分の情報が安全に保護されていることを知りたいと願っています。新しい枠組みに合意し、大西洋を越えたデータ移転を保護するためのEUと米国の作業を賞賛します」

プライバシーシールドの代替案を強く求めて活動してきたCCIAテック産業協会も、今日の発表を「良いニュースだ」と歓迎した。しかし、CCIAのディレクターAlexandre Roure(アレクサンダー・ルル)氏は、今後導入される産業用機器や接続機器のデータ再利用に関するEUの規則について、新たな「データ制限」を導入することになるとして、わずかに不快感を示すコメントを発表した。

画像クレジット:Suebsiri / Getty Images

原文へ

(文:Natasha Lomas、翻訳:Nariko Mizoguchi

温度測定結果の表示可能、顔認証で入退室できるクラウド型サービス「Safie Entrance2」を提供開始

温度測定結果の表示可能、顔認証・非接触で入退室できるクラウド型サービス「Safie Entrance2」を提供開始

クラウド録画サービスを展開するセーフィーは3月22日、クラウドで情報を集約管理する顔認証入退室サービス「Safie Entrance2」(セーフィー エントランス ツー)の提供を開始したと発表した。非接触で体温を測定できる機能や、「なりすまし」を防止するセキュリティー機能も充実している。

コロナ禍を境にシェアスペースやコワーキングスペースの利用が増え、同時にオフィスや施設の運営を省人化する動きが進むなか、入退室管理サービスが注目されている。セーフィーは、そうしたスペースでの「安心できる空間づくり」を目指してこのサービスの提供を始めた。クラウド型なので、入退室権限の設定や入退室の記録の蓄積などが端末を設置するだけで行える。専用のサーバーを置いて管理する必要がないということだ。

端末には、成田国際空港でのウイルス拡散防止対策にも導入されているデータスコープの顔認証AIエンジンを搭載した「Face FC」を採用。温度測定機能があり、利用者の体温を測って表示できる。また、動画や静止画を使った「なりすまし」の防止機能も採用。認証正確度99%以上、認証速度200ms以下(顔認証のみの場合)。マスクを着用していても顔認証が行え、「ストレスのないウォークスルーの入退室」が可能になるという。防水防塵性能はIP67等級(サーモセンサー部分はIP57)に適合しているため屋外にも設置できる。フィルライトを搭載し、暗い場所での運用も可能。

「Safie Entrance2」サービスの特徴は次のとおり。

  • クラウド管理のためサーバーが不要。複数の拠点やドアの管理が行える
  • ウォークスルーで高速認証と解錠が可能
  • クラウド上のアプリで端末情報、入退室情報、顔情報、利用者権限、入場エリアの管理が可能
  • 最大90日分の履歴データをクラウドに保存
  • 利用者の一括登録がCSVまたは一斉メール配信で可能
  • 入退室履歴データをダウンロードし編集が可能
  • 遠隔からの緊急解除が可能
  • 錠前連携が可能

月額利用料金は、認識する顔の数が100までで月額1万6500円(税込)。別途、工事費、端末「Face FC」の代金がかかる。ドアの解錠施錠を連携させる場合は、ドアコントローラーが必要になる。

量子コンピューターで解読不可能な耐量子計算機暗号の早期実用化に向け、ソフトバンクとSandbox AQが提携

量子コンピューターで解読不可能な耐量子計算機暗号の早期実用化に向け、ソフトバンクとSandbox AQが提携

ソフトバンクは3月23日、量子コンピューターでも解読されない暗号方式「耐量子計算機暗号」(PQC)の実用化に向けて、量子テクノロジーとAIを活用したSaaSソリューション企業Sandbox AQと日本での共同実証実験に関するパートナーシップ契約を結んだ。これによりソフトバンクは、米国立標準技術研究所(NIST)が進める「耐量子計算機暗号標準化プロジェクト」で最終候補と代替候補に選ばれたPQCアルゴリズムを使った検証を行い、標準化を見据えたPQCの早期の実用化を可能にするという。

今日のインターネットでは、クレジットカード情報や個人情報などの機密情報は、公開鍵暗号(RSA暗号や楕円曲線暗号)と呼ばれる技術で通信内容が暗号化されているが、今後普及すると見られている量子コンピューターを使えば、瞬時にして解読されてしまう恐れがある。そこで、量子コンピューターに耐性のある暗号方式としてPQCが研究されている。PQCは秘匿だけでなく認証(デジタル署名)にも適用でき、ソフトウェアで実装できるためインターネットとの親和性が高く、既存の通信デバイスでの利用が想定されている。

しかし、そのPQCアルゴリズムの国際標準規格化を進めているNISTは、最終候補となるアルゴリズムの絞り込みを行うラウンド3の段階まで達しているものの、決定は2024年を待たなければならない。そこでソフトバンクはこの提携により、標準規格が定まる前に、Sandbox AQの協力で候補となった複数のPQCアルゴリズムを使い、2022年の夏までに5G、4G、Wi-Fiなど様々なネットワークでPQCアルゴリズムを検証し、ネットワーク、マシン、ユーザーの観点から性能評価・検証を行うことにした。こうすることでソフトバンクは、いち早くその商用ネットワークにPQCを実装し、利用者を量子コンピューターを使った攻撃から守ることができるようになるとしている。

Sandbox AQのCEOジャック・ハイダリー氏は、ソフトバンクは「こうした脅威が完全に出現する前に、自社のネットワークやオンラインプロパティーにPQCアルゴリズムを導入することで、競合他社よりも1歩先を行くことになると信じています」と話している。

英国警察が「Lapsus$」のハッキングに関連して16歳から21歳までの容疑者7名を逮捕

英国警察は、Samsung(サムスン)、NVIDIA(エヌビディア)、Microsoft(マイクロソフト)、Okta(オクタ)などのテック大手各社をここ数週間で標的にしたハッカー集団「Lapsus$」との関連が疑われる7名の容疑者を逮捕した。

TechCrunchに寄せられた声明の中で、ロンドン市警のMichael O’Sullivan(マイケル・オサリバン)警部は次のように述べた。「ロンドン市警は、ハッカー集団のメンバーについて、パートナー組織と連携して捜査を進めてきました。この捜査に関連して、16歳から21歳までの7人が逮捕され、全員捜査中は釈放されました。我々の捜査はまだ続いています」。

今回の逮捕のニュースは、Bloombergの報道で、英国のオックスフォードを拠点とする10代の若者が、最近立て続けにハッキングを仕かけたハッカー集団「Lapsus$」の首謀者である疑いがあることが明らかになった数時間後に発表された。このグループの最近のハッキングを調査している4人の研究者が「White」または「Breachbase」というオンライン名を使っている16歳の若者がLapsus$の中心人物であると思うと述べ、Bloombergは、彼の個人情報がライバルハッカーによってオンラインで流出した後に、ハッカー容疑者を突きとめることができた。

セキュリティレポーターのBrian Krebs(ブライアン・クレブス)氏によると、この10代の容疑者は2021年、他人の個人情報を共有したり探したりできるサイト「Doxbin」を購入したが、2022年1月にサイトの管理を放棄し、DoxbinのデータセットをすべてTelegram(テレグラム)に流出させたという。Doxbinコミュニティは、自宅の住所、ソーシャルメディアの写真、両親の詳細など、彼の個人情報を公開することで報復を行った。

TechCrunchは、このハッカー容疑者の流出した個人情報のコピーを確認したが、それは公開しない。だが、Bloombergの報道と一致するとだけ報じておく。

通常は金融犯罪を主に扱うロンドン市警は、逮捕者の中にこの16歳の若者が含まれているかどうかは明言しなかった。

クレブス氏によると、Lapsus$の少なくとも1人のメンバーは、最近Electronic Arts(EA、エレクトロニック・アーツ)で起きたデータ流出事件にも関与していたようで、もう1人はブラジル在住の10代の若者と疑われている。後者はハッキング能力が非常に高く、研究者は最初、目撃している活動は自動化されたものだと考えたという。

研究者がLapsus$のメンバーと思われる容疑者たちを追跡できたのは、このグループがTelegramチャンネルに4万5000人以上の登録者を持ち、頻繁にインサイダーを勧誘して被害者のデータをリークしていたため、よく痕跡を隠せていなかったからかもしれない。Microsoftは3月22日のブログ記事で、このグループは標的の組織に最初にアクセスするために大胆な戦術を使っており、これには公然と会社のインサイダーを勧誘することも含まれていると述べていた。今週Bloombergが報じたように、このグループは、侵入した企業のZoom(ズーム)通話に参加し、ハッキングを一掃しようとする従業員を愚弄することまでしていた。

ハッキンググループLapsus$が最初に明るみに出たのは2021年12月で、同グループは主に英国と南アフリカの組織を標的にしていた。今週初め、最新の被害者はOtkaであることが確認され、Otkaは米国時間3月23日に、約366社の法人顧客が侵害の影響を受けたことを認めた。

画像クレジット:Richard Baker / Getty Images

原文へ

(文:Carly Page、翻訳:Den Nakano)

クラウド受付のRECEPTIONISTがスマートロックのRemoteLOCKと連携、受付から入館・入室まで非対面化しセキュリティも向上

クラウド受付のRECEPTIONISTがスマートロックのRemoteLOCKと連携、受付から入館・入室まで非対面化しセキュリティも向上

クラウド受付システム「RECEPTIONIST」を提供するRECEPTIONISTは3月23日、構造計画研究所が提供するクラウド管理機能を備えた入退室管理システムの「RemoteLOCK」(リモートロック)と連携を開始したことを発表した。今回の連携によって、来訪者の受付から入館・入室までの非対面化を実現し、受付運営の効率化とセキュリティ向上が促進される。

RECEPTIONISTは、オフィスなどの入口の受付端末(iPad)で来訪者がチェックインを行なうと、社内担当者にメールやビジネスチャットなどで自動通知されるクラウド受付システム。来客履歴は自動で保存され、QRコードを用いた非接触の受付も可能。サービス開始からオフィスを中心に5000社以上に導入され、受付の無人化・省人化、受付業務の効率化を支援している。

RemoteLOCKは、鍵の発行から受け渡しまでをクラウド上で管理できるスマートロックシステム。施設を遠隔・リアルタイムで監視でき、ICカード認証・PINコード認証・顔認証など様々な認証方式に対応、APIによるシステム拡張も可能で、既存施設に後付け導入することができる。クラウド受付のRECEPTIONISTがスマートロックのRemoteLOCKと連携、受付から入館・入室まで非対面化しセキュリティも向上

受付対応からゲストの入室までを自動化するRECEPTIONISTとRemoteLOCKの連携

クラウド受付のRECEPTIONISTがスマートロックのRemoteLOCKと連携、受付から入館・入室まで非対面化しセキュリティも向上

  1. RECEPTIONISTにゲストの来訪予定を登録。発行された受付QRコードをメールなどでゲストに送付
  2. ゲストが受付端末でチェックインを行なうと、メールなどで社内担当者にゲストの来訪が自動通知される
  3. ゲストが、チェックイン端末で発行された入館用のQRコードを受け取る。アクセスが許可されたスペースのRemoteLOCKにQRコードを読み取らせることで、非接触で解錠・入室できる

今回の連携により、オフィスの受付窓口対応から社内担当者への来館者通知、ゲストの入館権限付与までが自動化された。RECEPTIONISTおよびRemoteLOCKは、オフィスにおける受付業務の効率化・セキュリティの向上、従業員がより業務に集中できる環境を創出することで、今後も働きやすい職場づくりに貢献していきたいとしている。

マイクロソフトにハッカーが不正侵入、BingとCortanaのソースコードを公開

Microsoft(マイクロソフト)は、ハッキンググループLapsus$による不正侵入を明らかにした。

Lapsus$がBing、Bing Maps、Cortanaのソースコードの一部を含むtorrent(トレント)ファイルを投稿した数時間後、Microsoftは米国時間3月22日のブログ投稿で、従業員1人のアカウントがハッキンググループによって侵害され、攻撃者がMicrosoftのシステムに「限定アクセス」して同社のソースコードを盗んだことを発表した。

Microsoftによると、顧客のコードやデータは漏洩していない。

「当社のサイバーセキュリティ対応チームは、侵害されたアカウントを修復し、さらなる不正活動を防止するために迅速に取り組みました」と同社は述べた。「Microsoftはセキュリティ対策としてコードの機密性に依存しておらず、ソースコードの閲覧がリスク上昇につながることはありません。この不正行為者が侵入を公表したとき、当社のチームはすでに脅威情報に基づき、侵入されたアカウントを調査していました。今回の公開により当社の行動はエスカレートし、当社のチームは介入して操作の途中で中断させることができ、より大きな影響を抑えることができました」。

Microsoftは、アカウントがどのように侵害されたのか詳細を共有していないが、同社の脅威インテリジェンスセンター(MSTIC)が複数回の攻撃で確認したLapsus$グループの戦術、テクニック、手順についての概要を提供した。当初、Lapsus$の攻撃は南米と英国の組織を標的としていたが、その後世界の政府機関やテクノロジー、通信、メディア、小売、ヘルスケア分野の企業へとターゲットを拡大した。

Microsoftによると、同社がDEV-0537として追跡しているLapsus$は「純粋な強奪と破壊のモデル」で活動し、他のハッキンググループとは異なり「痕跡を隠さない」という。これは、このグループが標的型攻撃を実行するために、企業の内部関係者を公募しているためのようだ。Lapsus$は組織への最初のアクセスを得るために多くの方法を使用し、通常ユーザーのIDとアカウントを侵害することに重点を置いている。標的とする組織の従業員をリクルートするだけでなく、ダークウェブフォーラムから認証情報を購入したり、公開されている認証情報のリポジトリを検索したり、パスワードを盗み出すRedlineを展開するなどの方法を取っている。

Lapsus$はそうして漏洩した認証情報を使用して、仮想プライベートネットワーク、リモートデスクトップインフラ、Okta(オクタ)のようなID管理サービスなど、標的企業のインターネットに面したデバイスやシステムへアクセスする。このハッキンググループは1月にOktaへの侵入に成功している。Microsoftによると、Lapsus$は少なくとも1件の侵害において、組織へのログインに必要な多要素認証(MFA)コードにアクセスしようと、従業員の電話番号とテキストメッセージを制御するためにSIMスワップ攻撃を行った。

ネットワークにアクセスした後、Lapsus$はより高い権限や幅広いアクセス権を持つ従業員を見つけるために一般公開されているツールを使って組織のユーザーアカウントを探り、Jira、Slack、Microsoft Teamsなどの開発・コラボレーションプラットフォームを標的にし、さらに認証情報を盗み出す。また、ハッキンググループはMicrosoftへの攻撃と同様、GitLab、GitHub、Azure DevOpsのソースコードリポジトリへのアクセスを得るためにこれらの認証情報を使用する。

「DEV-0537が組織のヘルプデスクに電話をかけて、サポート担当者に特権アカウントの認証情報をリセットするよう説得しようとするケースもありました」とMicrosoftは付け加えた。「このグループは、事前に収集した情報(例えばプロフィール写真)を使用し、ネイティブの英語を話す人物にヘルプデスク担当者と会話させ、ソーシャルエンジニアリングの誘惑を強化しました」。

Lapsus$一味は、既知の仮想プライベートサーバ(VPS)プロバイダに専用インフラを設置し、消費者向け仮想プライベートネットワークサービスNordVPNを活用してデータを流出させる。ネットワーク検出ツールの起動を避けるために、ターゲットに地理的に近いローカルのVPNサーバーを使用することさえある。盗まれたデータは、将来の恐喝に使用されるか、一般公開される。

ハッキンググループLapsus$は、NVIDIA(エヌビディア)やSamsung(サムスン)を含む多くの有名企業を危険にさらし、ここ数週間でその名を知られるようになった。今週初めにはOktaの内部システムのスクリーンショットが投稿され、Oktaが最新の被害者であることが明らかになった。OktaはLapsus$がサードパーティのカスタマーサポートエンジニアを危険にさらしての情報漏洩であることを認め、1万5000の顧客の約2.5%に影響を与えたと説明した。

1月の5日間の間に発生したこの侵害について、Oktaが顧客に今まで通知しなかった理由は今のところ不明だ。

画像クレジット:Jaap Arriens / NurPhoto / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

セキュリティの不備で、インドのセキュリティ専門組織の人事ファイルと医療記録が流出

インドの中央産業安全部隊(Central Industrial Security Force、CISF)の内部文書と職員の健康記録および個人ファイルが、データに対するセキュリティの過失によりオンラインで漏洩した。

インドのあるセキュリティ研究者が、同国政府からの報復を恐れて匿名で語ったところによると、CISFのネットワークに接続されているセキュリティ装置が生成するネットワークログを収めたデータベースが見つかった。しかしそのデータベースはパスワードで保護されていないため、インターネット上の誰でも自分のウェブブラウザからログにアクセスできた。

ネットワークログには、CISFのネットワークのどのファイルがクセスされたか、あるいはセキュリティのルールによりブロックされたかを詳細に記した記録があった。ログにはCISFのネットワークに保存されている文書の完全なウェブアドレスがあり、インターネット上の誰でもそのログにアクセスでき、それらのファイルをCISFネットワークから直接、これまたパスワード不要で開くことができた。

ログには24万6千以上の、CISFのネットワーク上のPDF文書の完全なウェブアドレスの記録があり、その多くが個人のファイルや健康記録に関連し、また、CISFの職員に関する、個人を同定できる情報があった。ファイルの一部は、日付が2022年という最新のものだった。

CISFは職員数16万以上という世界最大の警察組織であり、政府の施設とインフラおよび全国の空港のセキュリティの保護を任されている。

上記の研究者によると、そのセキュリティ装置はHaltdos製で、同社は企業などにネットワークのセキュリティ技術を提供しているインドのセキュリティ企業だ。データベースの露出が最初に見つかったのは、露出しているデバイスやデータベースを見つけるShodanによると3月6日だった。TechCrunchは、そのデータベースが「haltdos」という名前で構成されていたことを確認した。

HaltdosのCEOであるAnshul Saxena(アンシュル・サクセナ)氏は、何度もコメントを求めたが応じなかった。TechCrunchはまたCISFの広報に対して、メールでそのサーバーに保存されている外部に露出しているファイルのいくつかのウェブアドレスについて尋ねたが、回答は得られていない。善意のセキュリティ研究者から警告されたときは、インドの政府機関は秘かにそのセキュリティの問題を修復し、それが変わることのない周知の知識になったときには、その主張を拒絶または否定することが普通に行われている。

データベースは現在、アクセス不能になっているが、問題のセキュリティ装置はまだオンラインのようだ。

画像クレジット:Sanjeev Verma/Hindustan Times/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

米CISAとFBIが米国の衛星ネットワークへの脅威を警告、Viasatへのサイバー攻撃を受け

ウクライナでの戦争に端を発した欧州の衛星ネットワークへの最近の攻撃が、やがて米国にも波及する恐れがあるとして、米政府は衛星通信ネットワークへの「脅威の可能性」について警告した。

今週発表されたCISA(米サイバーセキュリティ・インフラセキュリティ庁)とFBI(米連邦捜査局)の共同勧告は、衛星通信(SATCOM)ネットワークプロバイダーや衛星ネットワークに依存する主要なインフラ組織に対し、サイバー攻撃の可能性の高まりに備えサイバーセキュリティを強化するよう促すとともに、侵入が成功してしまえば顧客環境にリスクをもたらすと警告した。

この勧告では、脅威を受ける特定のセクターの名前は挙げられていないが、衛星通信の利用は米国全土に広がっている。推定で約800万人の米国人が、インターネットアクセスのためにSATCOMネットワークに依存している。衛星通信システムの分析を専門とするサイバーセキュリティの専門家、Ruben Santamarta(ルーベン・サンタマルタ)氏はTechCrunchに対し、ネットワークは航空、政府、メディア、など幅広い業界で利用されており、遠隔地にあるガス施設や電力サービスステーションなどでも利用されていると述べた。

サンタマルタ氏によれば、特に軍が注意すべきなのは、最近SATCOMプロバイダーのViasat(ヴィアサット)が受けたサイバー攻撃だ。2月に欧州で数万人の顧客が通信不能になった。被害の規模を示す一例だ。

「ウクライナの軍隊はこの種の衛星端末を使っていました」とサンタマルタ氏はTechCrunchに語った。「ウクライナ軍の代表の1人が、通信の面で大きな損失があったことを認めています。ですから、明らかに今、影響を受けている最も重要な分野の1つなのです」。

同氏は、例えば海運業界にとって、攻撃が成功すれば、サイバーセキュリティの問題だけでなく、安全への脅威となる可能性があるという。「船舶は安全運航のために衛星通信を利用しており、遭難信号を送信する必要がある場合、無線周波数またはSATCOMチャネルで送信することができます。もし、そのような救難信号を送れないとしたら、それは問題です」と同氏は述べた。

今回の合同勧告は、欧米の情報機関が先月、ViasatのKA-SATネットワークを襲ったサイバー攻撃の調査を開始し、ロシアの侵攻開始時に欧州全域で大規模な通信障害を引き起こしたと報じられた数日後に発表されたものだ。

この障害はまだ完全に解決していないが、ウクライナや欧州の他の地域で何万人もの顧客の衛星インターネットサービスに影響を与え、ドイツではおよそ5800基の風力タービンを停止させたという。

このサイバー攻撃は当初、分散型サービス妨害(DDoS)攻撃によるものと考えられていたが、その後疑問視されるようになった。Viasatはまだ技術的な詳細を発表していないが、攻撃者が衛星ネットワークの管理セクションの設定ミスを利用してモデムにリモートアクセスしたことを確認している。サンタマルタ氏によると、このことは、攻撃者が悪意のあるファームウェア・アップデートを端末に展開した可能性が高いことを示唆している。

「攻撃者は、正規の制御プロトコルを悪用してコマンドを出すために、地上局を侵害または偽装することに成功し、端末に悪意のあるファームウェア・アップデートを展開した可能性が高い」と同氏はこの攻撃の分析で述べている。

Viasatはウクライナ軍に衛星通信サービスを提供していることから、今回のサイバー攻撃は、ロシアの侵攻初期にウクライナ全域の通信を妨害しようとした可能性があるとみられている。

「私たちは現在、これが意図的で、それ自体独立した、外部要因によるサイバー事案であると考えています」とViasatの広報担当者であるChris Phillips(クリス・フィリップス)氏は話す。「Viasatによる継続的な、そして現在も続く対応により、KA-SATネットワークは安定しました」と同氏は述べ、フランス宇宙司令部のMichel Friedling(ミシェル・フリードリング)司令官が、この事件の結果 Viasatの顧客端末が「永久に使用できない」状態になったとのツイートに反論した。

「Viasatは、この事案で影響を受けた欧州の固定ブロードバンドユーザーへのサービスを再開するために、販売代理店と積極的に協力しています。私たちは重要なインフラと人道支援に重点を置いています」とフィリップス氏は付け加えた。「私たちは大きな前進を続けており、複数の解決作業が完了し、他の作業も進行中です」。

米政府の勧告によると、SATCOMネットワークを標的とした同様の攻撃のリスクが高まっているため、米国の組織は「悪意のあるサイバー活動の兆候を報告し共有するための閾値を大幅に下げる」べきだという。

画像クレジット:Al Drago / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi)a

グーグル、ランサムウェア犯罪集団に初期アクセス手段を提供するブローカーとして働く組織を発見

Google(グーグル)の脅威分析グループは、ランサムウェア「Conti(コンチ)」を使う犯罪集団などロシアのハッカーの仲介役として働く、金銭的動機を持った脅威アクターの存在を確認したと発表した。

Googleが「EXOTIC LILY(エキゾチック・リリー)」と呼ぶこのグループは、初期アクセス手段のブローカーとして、脆弱な組織を見つけ、そのネットワークへのアクセス情報を、最高額の入札者に販売する。Contiのようなランサムウェア犯罪集団は、被害者となるネットワークへの初期アクセスをこのグループに委託することで、攻撃の実行段階に集中することができるというわけだ。

EXOTIC LILYの場合、この初期アクセスは標的に電子メールを送信する活動から始まる。メールのやり取りの中で、EXOTIC LILYはなりすまし用ドメインや偽のIDを使って、正当な組織や従業員を装う。多くの場合、なりすましドメインは、既存の組織の実際のドメイン名とほぼ同じだが、トップレベルドメインが「.us」「.co」「.biz」に変わっている。EXOTIC LILYは、なりすました組織の正当な従業員に見せかけるため、ソーシャルメディアに偽のプロフィールを作成し、そこにAIで生成された人間の顔の画像を使っていた。

この攻撃グループは、まずビジネス提案を口実に標的型フィッシングメールを送り、最終的にはWeTransfer(ウィートランスファー)やMicrosoft OneDrive(マイクロソフト・ワンドライブ)などの公開ファイル共有サービスにアップロードしたマルウェアをダウンロードさせるという手口を用いる。そのメール送信などの活動時間帯から、グループは中央または東ヨーロッパで活動している可能性が高いと、Googleは考えている。

Googleの研究者であるVlad Stolyarov(ヴラド・ストリャロフ)氏とBenoit Sevens(ブノワ・セブンス)氏は、公開前にTechCrunchに共有したブログ記事で「大規模な作戦に焦点を当てたサイバー犯罪グループにとって、このレベルの人的交流はかなり珍しい」と指摘している。

これらの悪意のあるペイロードは、当初はマイクロソフトのMSHTMLブラウザエンジンに存在するゼロデイ脆弱性(CVE-2021-40444として追跡されている)を悪用した文書の形をとっていたが、最近では攻撃者が「BazarLoader(バザーローダー)」マルウェアを隠したISOディスクイメージの配信に切り替えている。この移行から、Googleの研究者は、EXOTIC LILYが「WIZARD SPIDER(ウィザード・スパイダー)」という名称で追跡されているロシアのサイバー犯罪集団と関係があることが確認されたと述べている。UNC1878としても知られるWIZARD SPIDERは、2018年以降、企業や病院(米国のUniversal Health Services[ユニバーサル・ヘルス・サービス]を含む)、政府機関を標的に使用されてきた悪名高い「Ryuk(リューク)」ランサムウェアを使うサイバー攻撃組織だ。

この関係の性質は依然として不明だが、EXOTIC LILYはメール送信活動による初期アクセスの獲得に重点を置いており、Contiや「Diavol(ディアヴォル)」ランサムウェアの展開を含むその後の活動とは、別の独立した組織として運営されているようだと、Googleは述べている。

Googleによると、2021年9月に初めて観測され、現在も活動を続けているEXOTIC LILYは、活動のピーク時には1日に5000通以上のフィッシングメールを650もの組織に送信していたという。同グループは当初、ITやサイバーセキュリティ、ヘルスケアなど特定の業界をターゲットにしていたようだが、最近では、あまり特定の焦点にこだわらず、さまざまな組織や業界を攻撃し始めている。

Googleは、組織のネットワーク防御に役立てるため、EXOTIC LILYの大規模な電子メール活動から得たIOC(セキュリティ侵害インジケーター)も公開している

画像クレジット:Yasin Ozturk / Getty Images

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

セキュリティライブラリーwolfSSLが耐量子計算機暗号(PQC)に対応、組み込み機器で通信が可能に

セキュリティライブラリーwolfSSLが耐量子計算機暗号(PQC)に対応、組み込み機器で耐量子計算機暗号による通信が可能に

米国ワシントン州を拠点に組み込みシステム向けに軽量なセキュリティライブラリーを提供するwolfSSLは3月16日、主力製品の組み込みシステム向けセキュリティライブラリー「wolfSSL」が耐量子計算機暗号(PQC。耐量子暗号、ポスト量子暗号とも。Post-quantum cryptography)に対応したことを発表した。これにより、wolfSSLライブラリーを組み込んだ製品は、インターネットセキュリティーの標準プロトコル「TLS」上で、アプリケーションに変更を加えることなく、ポスト量子暗号による通信が可能になる。

現在、米国標準技術局(NIST)では、本格的な量子コンピューターの時代を見据えた耐量子計算機暗号の国際標準化を進めている。その候補として最終的に絞り込まれた技術のアルゴリズムを、オープンソースソフトウェア(OSS)プロジェクト「Open Quantum Safe」(OQS)が「liboqs」ライブラリーとして提供しており、wolfSSLはこれを実装し、組み込みシステムで利用できるようにしたということだ。

すでに、現在提供されている最新バージョン「wolfSSL 5.2.0」で耐量子計算機暗号に対応している。TLSで試すサンプルプログラムとその使用法の説明は、「wolfSSLのポスト量子暗号対応」で公開している。

ドイツがカスペルスキーの利用を控えるよう警告、ロシアの侵攻で「相当程度」のサイバーリスク

ドイツ連邦情報セキュリティ局(BSI)は、ロシアによるウクライナでの戦争が続く中、カスペルスキー・アンチウイルスソフトウェアがサイバースパイに利用されたり、サイバー攻撃を仕掛ける恐れがあるとして、さまざまな組織に対して警告を発した。

当局はカスペルスキーの使用を明確に禁止したわけではないが、ドイツのさまざまな組織に対し、モスクワに本社を置く同社製の製品を、ロシア以外のベンダーの代替ソフトウェアに変えるよう促した。また、ロシアのウクライナにおける軍事・情報活動や、その欧州、NATO、ドイツへの脅威は「IT攻撃が成功するリスクが相当程度ある」ことを意味していると警鐘を鳴らしている。

「ロシアのITメーカーは、自ら攻撃的な作戦を実行したり、意に反して標的とするシステムへの攻撃を強いられたり、それとは知らずにサイバー作戦の犠牲者としてスパイされたり、その会社の顧客に対する攻撃の道具として悪用される可能性がある」とBSIは声明で述べた。また、カスペルスキーなどのアンチウイルスソフトはシステムに深くアクセスするため、そのメーカーは自社のサーバーへの接続を暗号化し、検証不可能な状態で恒久的に維持するはずだと説明した。「セキュリティに特別な関心を持つ企業や当局、重要なインフラの運営者は特に危険にさらされている」とも述べている。

BSIは、攻撃が成功した場合、消費者が「最後の標的」になる可能性が高いものの「巻き添え」被害や波及的に被害者になる可能性もあると付け加えた。

BSIはこの警告を「起こりうる危険に対する認識を高めることのみが目的」だとしたが、すでにドイツの組織、例えばサッカークラブのEintracht Frankfurt(アイントラハト・フランクフルト)などが、カスペルスキーとの関係を断つに至っている。「私たちはカスペルスキーの経営陣に対し、スポンサー契約を直ちに終了することを通知しました」とクラブの広報担当社であるAxel Hellmann(アクセル・ヘルマン)氏はプレスリリースで述べた。「我々はこの展開を非常に残念に思っています」。

イタリアのコンピュータセキュリティインシデント対応チーム(CSIRT)も、カスペルスキーについて明確には言及していないが、ロシア企業やロシアとつながりのある企業から提供されているテクノロジーを緊急にリスク評価するようさまざまな組織に呼びかけている

カスペルスキーは、BSIの決定は、同社製品の技術的な評価に基づくものではなく、政治的な理由に基づくものだと考えていると述べた。

カスペルスキーの広報担当者であるFrancesco Tius(フランチェスコ・ティウス)氏はTechCrunchに対し「私たちは、パートナーや顧客に対して、製品の品質と完全性を保証し続けるとともに、BSIの決定について明らかにし、同社や他の規制当局の懸念に対応するための方法を模索するつもりです」と述べている。「カスペルスキーは民間のグローバル・サイバーセキュリティ企業であり、民間企業として、ロシアやその他の政府とは関係がありません」。

「私たちは、平和的な対話が紛争を解決する唯一の可能な手段であると信じています。戦争は誰にとっても良いものではありません」と同社は付け加えた。

この声明は、同社のCEOであるEugene Kaspersky(ユージン・カスペルスキー)氏の同様のコメントに続くものだ。同氏は2022年3月初め「歩み寄り」につながる交渉を歓迎するとツイートし、怒りの反応を引き起こした。ロシアでは最近、ウクライナにおけるロシア政府の軍事作戦を「戦争」または「侵略」と呼ぶことをジャーナリストに禁じる法律が施行されたが、これがロシアに拠点を置く企業に適用されるかどうかは不明だ。

カスペルスキーとロシアとのつながりは以前から知られているが、長い間論争の種となってきた。トランプ政権は2017年、同社とロシア政府とのつながりが疑われることを懸念して、政府機関がカスペルスキーのソフトウェアを使用することを禁止した。翌年には欧州議会が、同社とロシア情報機関とのつながりが疑われることから、同社のソフトウェアを「悪質」と分類する決議を採択した

画像クレジット:Andreas Rentz / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

SafeBaseはソフトウェア販売のセキュリティ監査プロセスを迅速化するポータルを提供

どんな企業でも、購入を決めるサインをする前にソフトウェア・ベンダーのセキュリティ認定を確認する必要がある。そのためには通常、NDA(秘密保持契約書)に署名し、侵入テストレポートやSOC-2コンプライアンス認証などの文書を要求するという、非デジタルで面倒なプロセスをともなう。このプロセスは、潜在顧客がベンダーのセキュリティ姿勢をチェックする間、販売を遅らせてしまう可能性がある。

SafeBase(セーフベース)の共同設立者兼CEOであるAl Yang(アル・ヤン)氏によると、同社は営業チームと協力し、販売プロセスにおける従来のボトルネックとなっていた部分を迅速化したいと考えているという。「私たちの目標は、ベンダーとバイヤーの間の相互信頼を高めることです。販売サイクルを短縮するために、私たちはベンダーに焦点を合わせています」とヤン氏は説明する。

ヤン氏は、自分の会社をセキュリティの要約書と考えている。同社が、ベンダーとなる会社のセキュリティ姿勢を、バイヤーとなる企業に提示することで、プロセスをより前向きかつ透明性の高いものにし、最終的には販売を促進させることができると、同氏は語っている。SafeBaseは、セキュリティ監査の全ステップを1カ所で行うことができるポータルを関係者たちに提供することによって、これを実現している。

それは一種の自動化されたワークフローとして機能する。最初のステップはNDAへの署名だが、これはポータルで行うことができ、法的な承認と電子署名を1カ所で得ることができる。これが文書確認のトリガーとなる。プロセスを進めていくと、ダッシュボードに進捗状況やまだやるべきことが表示される。

SafeBaseのセキュリティ監査ポータル(画像クレジット:SafeBase)

ヤン氏によれば、彼らはSecurityScorecard(セキュリティスコアカード)のようなセキュリティスコアリング会社と競合することはあまりなく、一緒に仕事をしているという。セキュリティスコアは、企業がベンダーのセキュリティを判断する際に利用できる情報の1つだが、SafeBaseはそのスコアの背後にある詳細を提供すると、ヤン氏は述べている。

SafeBaseのアイデアは人気を博している。2020年に起ち上げた会社でありながら、すでに100社以上が同社の製品を利用しており、ヤン氏によれば、ARR(年間経常収益)はこの半年で7倍に成長したという。同社の顧客にはLinkedIn(リンクトイン)、Snyk(スニーク)、Instacart(インスタカート)などが含まれている。

このスタートアップ企業の従業員数は最近、ほぼ倍増して15人になったが、新たな資本調達でさらに雇用を増やす計画があるという。多様性は成長企業にとって単なるチェックボックスではなく、コアバリューであると、ヤン氏はいう。多くの企業がシリーズBに入るまで人事部長を雇用しないのに対し、SafeBaseは早期にその役割に投資したことで、多様な人材の採用を推進することができたと、ヤン氏は語っている。

同社のマーケティングを担当するMacy Mody(メイシー・モディ)氏は、多様性は採用から始まると語る。「私たちの場合、採用候補者のパイプラインに起因するところが大きいと思います。私たちはその役割に最適な人材を採用する必要がありますが、その役割に最適な人材とは誰でもあり得るのです。では、どうすればさまざまな種類の候補者を引き寄せることができるでしょうか。私たちはそのために、さまざまな場所に求人情報を掲載することに力を入れ、偏りのない採用を心がけています」と、モディ氏は説明する。

同社は米国時間3月10日、1800万ドル(約21億3000万円)のシリーズA資金調達を発表した。この投資ラウンドはNew Enterprise Associates(ニュー・エンタープライズ・アソシエイツ)が主導し、Y Combinator(Yコンビネーター)とComcast Ventures(コムキャスト・ベンチャーズ)が参加した。

画像クレジット:Golden Sikorka / Getty Images

原文へ

(文:Ron Miller、翻訳:Hirokazu Kusakabe)

HackerOneがウクライナのハッカーへのバグ報奨金支払いを停止

ウクライナのハッカーやセキュリティ研究者によると、バグ報奨金制度プラットフォームのHackerOne(ハッカーワン)は、場合によっては数千ドル(数十万円)にもなるバグ発見・報告の報酬金を保留し、ハッカーが報酬を引き出せないようにしているという。

HackerOneのアカウントを持つ複数のハッカーや研究者は、2022年2月末のロシアのウクライナ侵攻にともなう経済制裁と輸出規制を理由に、HackerOneが支払いをブロックしているが、自分たちには制裁は適用されないとツイートしている。

HackerOneのサポート担当者がセキュリティ研究者のVladimir Metnew(ウラジミール・メットニュー)氏に送ったメールには「ウクライナ、ロシア、ベラルーシにお住まいの場合、すべての通信と取引(スワッグの発送を含む)は当分の間、一時停止されます」とあり、メットニュー氏はその文面をツイートしている。ウクライナ人だが現在は欧州連合内にいるメットニュー氏はアカウントが凍結されているとTechCrunchに語った。「ウクライナから登録した人全員への支払いをブロックしたのだと思います」と同氏は話した。

バグ報奨金プログラムを展開するHackerOneは、セキュリティバグを発見・報告するハッカーやセキュリティ研究者と、製品やサービスの修正を依頼する企業の仲介を行っている。2020年にHackerOneは1億700万ドル(約126億円)超のバグ発見報酬金を研究者に支払い、彼らの多くはその収益を収入源としている。

ウクライナに残っている他のハッカーや研究者からも「口座が凍結された」「資金を引き出せない」といった同様の状況が報告されている。発見したバグTechCrunch定期的に報じられているウクライナのセキュリティ研究者Bob Diachenko(ボブ・ディアチェンコ)氏は、2月以降の収益3000ドル(約35万円)が現在保留されているとツイートで述べた。

HackerOneからの明白な公式連絡がなく、ウクライナ人全員への支払いを止める動きは怒りと混乱をもって受け止められている。HackerOneがどのような制裁や輸出規制を指しているのかは不明だ。米国、欧州連合、その他いくつかの同盟国は、ロシアとベラルーシに対して厳しい経済制裁を科し、現在分離主義のグループが保持しているウクライナ東部のドンバス地方や、2014年にロシアに併合されたクリミアに対する禁輸措置も行っている。しかし、ウクライナはそうした制裁の対象ではない。

影響を受けているハンドルネームkazan71pのあるウクライナ人ハッカーは「クリミアやドンバス出身ではない【略】あなたはすべてのウクライナ人のアカウントを停止し、国全体を制裁下に置いただけだ」とHackerOneに言及したツイートで述べた。

HackerOneは、ウクライナのハッカーや研究者への支払いをブロックした理由や、適用されると考えている特定の制裁を引用していない。TechCrunchが本稿公開の数時間前にHackerOneに連絡を取ったところ、同社の広報担当者はすぐにコメントしたり質問に答えたりすることはできなかった。詳細が分かり次第、更新する。

アカウント凍結は、HackerOneのCEOであるMarten Mickos(マーチン・ミコス)氏が、制裁対象国、特にロシアやベラルーシに住むハッカーの収益を慈善事業に「再ルート」すると述べたた頃に実施されたようだ。同氏はツイートのスレッドでそのように発言し、そのスレッドはすでに削除されている。

xnwupというハンドルネームのあるハッカーは、HackerOneが2万5000ドル(約295万円)の収益を「私がベラルーシ市民だから」奪っていると述べた。ウクライナへの支持を表明しながらも、ベラルーシ政権に反対する発言で安全が脅かされることを恐れたこのハッカーは、自分たちの収益は「長年の努力の結果」だと語った。

ミコス氏は新しいツイートスレッドで資金のルート変更についてのコメントを撤回し、今度はハッカーの許可を得た場合にのみハッカーの報酬を寄付することを申し出た。

画像クレジット:Alexandre Dulaunoy / Flickr

原文へ

(文:Zack Whittaker、翻訳:Nariko Mizoguchi