セキュリティ | SEO-LPO.net

脆弱性のある自動投票機を売り続ける選挙機器メーカーを米上院議員が問題視

重要な選挙を前に、4人のベテラン上院議員が「既知の脆弱性」のある機器を売り続ける米国の大手自動投票機メーカー3社に回答を要求した。

米国時間3月27日に送られた書簡は、選挙機器メーカーのES&S、Dominion VotingおよびHart InterCivic に対して、悪用されると選挙結果を蝕む恐れのある脆弱性を持つ数十年前の機械を売り続ける理由の説明を求めている。

「国民の選挙の信憑性はわれわれが投票に使用する機械に直接結びついている」と、上院議員らが発信した書簡は言う。エイミー・クロブチャー（民・ミネソタ）、マーク・ワーナー（民・バージニア）、ジャック・リード（民・ロードアイランド）、ゲーリー・ピーターズ（民・ミシガン）の4人は、それぞれ、立法、諜報、軍事、国土安全保障の各委員会の重鎮だ。「これほど重大な責任を負っていながら、選挙機器業界には有意義な革新がなく、我々の民主主義はそのつけを払っている」と書簡は付け加えた。

主な問題は、この3社だけで米国選挙機器市場シェアの90%以上を占めているが、これらの自動投票機には紙の投票用紙がないため、バグがあったとき投票が正確に数えられたのかどうか調べるのが困難なことだ。

にもかかわらず、何千万台ものその同じ機械が、来る2020年の大統領選挙に使用される見込みだ。

ES&SとDiminionの広報担当者は受け取った書簡に関して回答する予定。Hart InterCivicはコメントの要求に返信がない。

大統領選挙に出馬するクロブチャーを含め4人の上院議員は、選挙は今も「深刻な脅威に曝されている」と言った。

セキュリティー専門家は何年も前から自動投票機の危険に対して警鐘を鳴らしてきた。最大の問題は、これらの機器が容易にハックされ選挙結果に干渉される可能性があることだ。つい数カ月前、テキサスの一部の郡で行われた期日前投票で、投票者がHart製の機器に問題を発見し、一部のケースで投票画面から選択肢が完全に消えていた。ES&Sは、セキュリティー研究者にシステムを提供しないと発表したことで議会で怒りを買った。その発表は選挙システムのハッキングコンテストであるDEF CON Voting Villageで同社の自動投票機がハックされ壊滅的評価を受けてから間もない出来事だった。

民主党幹部らは、紙の投票用紙は信頼できる投票システムにとって「基本的必需品」であると言っているが、企業は今も紙を出力しない機器を作り続けている。昨年民主党議員は、将来の選挙で紙の記録を必須にする法案を提出したが、通過しなかった。

各社は4月9日までに上院議員の書簡に回答しなくてはならない。

Homeland Security hasn’t done enough to protect election infrastructure, says watchdog

[原文へ]

（翻訳：Nob Takahashi / facebook ）

中国のレズビアン向け出会い系アプリに脆弱性、プロフィール500万人ぶんが一時アクセス可能な状態に

レズビアンやクィアの女性たちに人気のある出会い系アプリRela（热拉）は、サーバーがパスワードで保護されていなかったために、何百万というユーザープロフィールと個人データが公開された状態だった。

かつて中国政府当局によって閉鎖されたと伝えられた直後の2017年5月に、Relaはアプリストアから姿を消した。だが政府がその関与を認めたことはない。しかしその1年後、アプリストアのリストを眺めてみると、アプリは別のクラウドプロバイダー上で復活を果たしていた。中国におけるLGBTQ+は、1997年に非犯罪化されたにもかかわらず、依然としてその権利はとても限られている。地域社会のなかではいまだに多くの人が差別と闘っており、態度の変化はゆっくりとしか進んでいない。

今週GDI財団のセキュリティ研究者であるVictor Gevers氏は、そのデータベースが公開されていることに気がついた。TechCrunchに対して語ったところによれば、そのデータベースには530万人分以上のアプリのユーザーデータが含まれていた。

Gevers氏によれば、アプリが復活してから1カ月後の2018年6月以来、データベースは公開され続けていただろうという。

データベースには、ユーザーのニックネーム、生年月日、身長と体重、民族、性的嗜好および興味が含まれていた。またユーザーが許可していた場合には、その正確な位置情報も含まれてた。またデータベースには、プライベートデータを含む、2000万件を超える「モーメンツ」、つまりステータス更新情報も含まれていた。

「500万人を超えるLGBTQ+の人々のプライバシーが、中国には彼らを差別から保護する法律がないため、多くの社会的課題に直面しています」とGevers氏は述べている。「何年にもわたってアクセス可能な状態だったこのデータ漏洩は、暴露された関係者にとってさらに有害なものになるでしょう」。

Relaの広報担当者は問い合わせに対して「データベースのセキュリティは確保された」と短い回答を返した。

いくつもの主要なアプリが閉鎖されるという法的な難しさにもかかわらず、中国の会社にとっても同性愛デートアプリは大きなビジネスであり続けている。同性愛者やバイセクシャルの男性が主に使用していた人気アプリのZankは、2017年4月に、ポルノコンテンツの公開に関する政府の規則を理由に閉鎖された。

それでも、より評判の高いBluedのようなアプリは、中国内での人気を保っている。

中国の大手ゲーム企業は、2017年に米国を拠点とする同性愛デートアプリGrindrの60％の株式を購入し、その後会社全体を買収したが、米国の国家安全保障に対するリスクへの懸念から現在売却が検討されていると言われている。

関連記事：

[原文へ]

（翻訳：sako）

マイクロソフトがエイプリルフールのいたずらや悪ふざけを厳禁

子どもたちよ、気をつけようね。もうすぐエイプリルフールだ。一年で最悪の日だと思うけど、重要な年中行事として多くの人が固執している。テクノロジー企業も毎年その魔力に感染して、多くのユーザーの夢を一瞬でぶち壊して楽しんでいる。多くの上位企業で、その日のいたずらに凝ることが慣例のようになっている。楽しいのもあれば、ひどいのもあるけど、まあ98%は前者かな。

マイクロソフトは今年、いたずらに対して厳しい姿勢で臨もうとしている。CMO（マーケティング最高責任者）のChris Capossela氏が社内に配布したメモで、「一般に公開されるようなエイプリルフールの悪ふざけをしてはならない」と要求した。Vergeが入手したその書簡によるとCMOはこう述べている。「そのような悪ふざけにポジティブな効果はほとんどなく、好ましくないニュースが広まることもある」。

悪意のないいたずらでも、今日のようなソーシャルメディアの時代には思わぬ問題を惹き起こすこともある。読者も記者も、そんなごみを十分にフィルターする能力がない。いかがわしい発信者であっても、つい本気で受け取ってしまうこともある。

Capossela氏や僕は、口うるさい爺さんみたいかもしれないが、でも、めったにないおもしろいエイプリルフールのいたずらを作れたとしても、その見返りは何だろう？同氏のメモには、こう書かれている。「いたずらの傑作を作ろうとして長時間努力する人もいるが、でもこのたった1日のために人を笑わせる努力をしても、得るものより失うものの方が大きい」。

長年の悪質ないたずらによって根性がねじ曲がってしまった僕なんか、このマイクロソフトのメモが今年のいたずらのネタのトップになると思ってしまう。もしそうなったら、神様に救いを求めよう。

[原文へ]
（翻訳：iwatani、a.k.a. hiwa）

マイクロソフトがイランのハッカーのドメイン差し止め命令を連邦裁判所からゲット

Microsoft（マイクロソフト）は悪用されていた多数のドメインに関してワシントン地区連邦裁判所から差し止め命令を獲得することに成功した。これらのドメインはイランのハッカーグループが使用していたもので、裁判所命令によりMicrosoftがコントロールを得た。

MicrosoftはPhosphorusないしAPT 35として知られるイランのハッカーグループがハッキングに利用していた99のウェブサイトの利用差し止めの訴えを起こしていた。Microsoftのコンシューマー・セキュリティーの責任者、 Tom Burtのブログ記事によれば、連邦地裁は今月はじめにMicrosoftの主張を認めたが、文書が公開されたのは先週だったという。

連邦裁判所はoutlook-verify.netやyahoo-verify.netなどハッキングに悪用されていたドメイン名の管理をレジストラからMicrosoftに移すことを命じた。これによりMicrosoftはこうしたドメインを自社のサーバーでホストする。これらのサイトを本物と信じてアクセスした被害者からのトラフィックは安全にMicrosoftのブラックホールににリダイレクトされる。

「情報を共有して攻撃を阻止するために、われわれはPhosphorusの行動を詳しくモニターしてきたが、この間MicrosoftはYahoo他のテクノロジー企業多数と密接に協力してきた」とBurtは述べた。（TechCrunchとYahooはどちらもVerizonの一部門）。

問題のハッカーグループは　米空軍で情報保全を担当していた元技術軍曹のモニカ・ウィルフリーデ・ウィットと密接な関係があるものと見られている。ウィットはイランに逃亡しているが、FBIからスパイ容疑で逮捕状が出ている。問題のハッカーグループはイランの主張を支援するために米国の大学生やジャーナリストに対してスピアフィッシング攻撃を行い、ターゲットをYahoo、Googleの偽のログイン画面に誘い込み、2段階認証を破ろうと試みていた。

これはMicrosoftにとって対ハッカー作戦における最新の法的勝利だ。去年、同社は　APT 28、Strontium、Fancy Bearなどとして知られるグループに対して訴訟を起こした。このグループにはロシア軍の情報機関GRUが関わっていると信じられている。 Microsoftはユーザー名、パスワードを不正に入手しようとするハッキングと戦っており、この2年だけで10回以上もそのような攻撃が実行されたという

［原文へ］

（翻訳：滑川海彦@Facebook）

監視カメラに映る犯罪を自動的に検出、拳銃の取り出しもすぐわかる

Deep Science AIは、かつてDisrupt NY 2017のステージでデビューを果たした。そのライブデモでは、同社のコンピュータ映像認識システムが、監視カメラの映像の中の銃や覆面を発見する様子を見せた。店舗の管理者やセキュリティ会社に、犯罪の可能性を前もって警告することができるものだ。最近同社は、友好的な合併によってDefendryに買収された。それにより、その技術をより広く展開できることが期待されている。

この合併は、市場に参入しようとしている技術系企業と、的確な技術を求めているマーケティング系企業との結合の素晴らしい実例だ。

例えば、20の店舗を構えるチェーンがあって、各店舗に3台の監視カメラを備え付けているとしよう。１人の人間が一度に確実に監視できるモニターの数は、せいぜい８〜10台だ。その60台のカメラが意味のないものとならないためには、それなりの数の人員を雇わなければならない。そこで、Deep Science AIの中間レイヤーを採用すれば、拳銃が取り出された、といった怪しい状況を自動的に検出できるので、１人の人間で数百ものカメラの映像を監視できるようになる。そのデモは、優勝には至らなかったものの、素晴らしいものだった。

「TechCrunchのBattlefieldに参加したことは、私たちの名前と能力を世間に知らしめるための機会としてとても役立ちました」と、Deep Tech AIの共同創立者、Sean Huver氏は、インタビューに答えて述べた。「私たちは、小売業を営む非常に大きな企業から、試験的な導入を持ちかけられました。しかし、これから先のことを考えると、そのためのインフラが整っていないことに、すぐに気付かされたのです」。

それはつまり、自動化されたセキュリティ要員の派遣、民間企業のサーバーやハードウェアとの連携、といったことだ。

「AI技術を中心にして、その周囲に監視機能を構築する必要があります。その逆ではだめなのです」と、Huver氏は言う。

一方で、DefendryのPat Sullivan氏は、モノのインターネットに接続されたデバイスのワークフローの自動化に取り組んでいた。たとえば気温が一定の値を超えたらエアコンを調整するといったことから始めたのだ。しかしSullivan氏はある時点で、強盗の侵入や火災の発生など、深刻な問題を企業に通知することが必要だと気付いた。

「発生する可能性がある危機の中で、最も重大なものは、誰かが銃を持ち出して、何か悪事を働きそうな場合です」と、彼は言う。「なぜ私たちのワークフローでは、そうした危機に対して、通知やタスクの実行など、即座に反応することができないのか、と考えました。そこで、武器や危険な状況を自動的に検出することを考えました。それがHuver氏の活動に目を向けさせたのです」。

そのステージで発表した段階では、彼の会社の技術は、まだプロトタイプだった。しかしチームメンバーによる実演のライブ映像によって、警告を発生することに成功したデモを見て、これは実際に使えると判断できた。Sullivan氏がそれまでに見つけた中にも、同じことができると宣伝している会社は何社もあったが、実際には違っていた。

「みんな、できると言うんです。しかし実際に自分で評価してみると、できないんです」と、彼は指摘する。「それでも、ほぼすべての会社が、私たちのために開発を引き受けたいとオファーしてきました。費用は100万ドルです。しかし、Deep Science AIに出会ったとき、彼らができると言ったことが実際にできるのを見て、私たちは興奮しました」。

彼の意見によれば、理想的には、進行中の犯罪を指摘するだけでなく、それが始まる前に検出できるようなシステムにしたい。たとえば、覆面をかぶった人物が、駐車場で銃を取り出すことを検出したら、入り口のドアをロックするといったことも可能にするもの。さらに、そうした人物が敷地に入っても、建物の入り口に到達する前に警官が出動できるようにしたい。また、もしそれが誤った判定だっと分かったら、何事もなかったかのように、入り口のロックを解除することもできるようなシステムだ。

実は、一般的なコンピュータによる画像認識のアルゴリズムには、一種の先入観も含まれている。しかし、幸いなことに、そのような性質は、このシステムでは問題にならない。たとえば、性別や、肌の色の違いによって、それ以外の要因によるものとは比べられないほどの誤動作、誤認識が発生することがある。そこで、Huver氏とSullivan氏に、こうした問題に対する彼らの取り組みを尋ねてみた。

それに対して、この技術は、人間の顔の分析や、その類のものには依存していない、という答えが返ってきたので安心した。

「私たちのシステムは、そうした問題とは無縁です。なぜなら、それとはまったく異なる対象に着目しているからです」と、Huver氏は説明する。「行動分析と動作分析を実行しています。私たちが必要としている範囲では、顔の分析が判断の正確さに影響することはありません」。

「私たちは、犯罪者やテロリストのリストを保存しておらず、カメラが捉えた顔をそのリストに照合するということもしていません」と、Sullivan氏は付け加えた。

両社は、技術をライセンス供与することも検討したが、最終的に１つの組織として仕事をするのがベストだと判断した。そして、ほんの２，３週間前に契約書にサインしたのだ。彼らは、財政的な部分については、詳細を明らかにしなかった。AIのスタートアップと、その評価に関する熱狂的な状況を考えれば、それもうなずける。

彼らは、セキュリティ関連のハードウェアを供給するAvinetとも協力している。同社は、この合併によって生まれた新しいDefendryチームにとって優先的なベンダーとなるだけでなく、このパートナーシップに、非公開の金額を投資してもいる。このBattlefiled参加者のサクセスストーリーについては、今後の進展も含めて詳しくフォローする予定だ。

画像クレジット：Defendry

［原文へ］

（翻訳：Fumihiko Shibata）

無料パスワードマネージャー「Firefox Lockbox」がiOSに次いでAndroidにも

Mozilla（モジラ）がウェブブラウザーのFirefoxのユーザーのために作った無料のパスワードマネージャーが米国時間3月26日、Androidにやってくる。そのFirefox Lockboxと呼ばれる独立のアプリケーションでユーザーは、自分のFirefoxブラウザーに保存されている自分のログイン情報に、自分のモバイルデバイスから簡単にアクセスできる。

このアプリは、1PasswordやDashlane、LastPassのような本格的なパスワードマネージャーではない。パスワードの編集や、複雑なパスワードの提案、データ侵犯によりパスワードが漏洩した可能性の通知といった機能は用意されていない。

でも、このアプリは無料だし、自分のパスワードをそこらの保護されてないテキストファイルにメモしておく方法に比べるとずっと安全だ。設定により、LockboxをAutofillサービス（パスワード自動入力）として利用することもできる。

ただしこのアプリは、あくまでもFirefoxのコンパニオンだ。LockboxにあるパスワードはForefoxブラウザーでアクセスするWebアプリケーションには安全にシンクするが、任意のアプリケーション名を入力して指定することはできない。しかもそのアプリケーションは、パスワード（だけ）でなく顔認識や指紋入力で保護されているかもしれない。なお「パスワードはMozillaにも読めない方法で暗号化される」とFAQに書いてある。

Firefox Lockboxは、Mozillaが今はなきTest Flightプログラムで開発したプロジェクトのひとつだ。それはMozillaがいろんなことの実験をやるプログラムだったが、その中のいくつかは公式のプロダクトになっている。最近立ち上げたファイル共有アプリFirefox Sendなどもそうだ。

そのほかFirefox Color⁩や⁨Side View⁩、⁨Firefox Notes⁩、⁨Price Tracker、⁨Email Tabs⁩などもTest Flight出身で現役のアプリないし機能だが、すでに開発は終了し、今後はときどきメンテナンスリリースが出る程度らしい。今のMozillaは、便利なユーティリティよりも「プライバシーファースト」のソリューションに力を入れている。

Mozillaによると、iOS用のLockboxはすでに5万回あまりダウンロードされており、それが今日ついにAndroidにもやってきたのだ。

AndroidバージョンはGoogle Playで無料でダウンロードできる。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

EUが5Gめぐりセキュリティ強化もファーウェイ排除は見送り

Huawei（ファーウェイ）の5Gプロダクトによるサイバーセキュリティの脅威についての欧州連合（EU）の最新のアプローチは注意喚起であり、徹底排除ではない。これは、ファーウェイと中国政府のつながりに懸念があるとして同社ボイコットを呼びかけていた米国への対応として、今週EUが出した新たな勧告の主旨だ。

この勧告では、「来たる5Gテクノロジーが銀行業務から交通、健康、産業、そして民主主義に至るまで、社会の最も基礎的部分の屋台骨を形成する」と記している。しかし、米政府が求めていたファーウェイの即座排除を促すには至っていない。

「5Gテクノロジーは我々の経済や社会を変え、個人や事業会社にとって大きな機会をもたらす」とEUデジタル責任者のAndrus Ansip氏は勧告に伴う声明文で述べた。「しかしこれは完全な保障なしにはあり得ない。ゆえに、EUにおける5Gインフラはテクニカル上または法的なバックドアから完全に無縁で安全が確保されていることが必須だ」。

この発言は、EUがテクノロジーの監視を強化するのに伴い、今後のファーウェイ排除を完全には否定しないことを意味している。しかし、全面禁止という米国の要求を押しのけるという大きな流れを示している。

先月バルセロナで開かれた通信会議で登壇したEUデジタル局長のMariya Gabriel氏は、もし加盟国が「それぞれ自国を守ろうと」異なる対応をとれば分裂の可能性があると警告し、EUはネットワーク・セキュリティの問題に「共通のアプローチ」を取るべきだと話した。

その際、Gabriel氏は委員会は間もなく対応を取る準備をしていると述べた。しかし、全面排除を支持するとは言っておらず、軟着陸させる可能性を残していた。

［原文へ］

（翻訳：Mizoguchi）

デロイトトーマツがサイバーセキュリティ特化の新会社設立、2019年6月より始動

デロイトトーマツグループは3月26日、サイバーセキュリティに関するコンサルティングを行う新会社デロイトトーマツサイバーを2019年４月に設立すると発表した。同年6月より本格的に事業を開始する。

同社はこれまで、デロイトトーマツリスクサービスおよびデロイトトーマツコンサルティングにおいてサイバーセキュリティ関連に関わるチームを有していた。今回、新会社の設立でそれらのチームから120人を配置し、サイバーセキュリティに特化した事業を発足する。

デロイトトーマツグループはプレスリリースの中で、「人・モノ・組織・社会インフラなどがあらゆる境界を越えてつながりあうIoT時代に突入し、サイバーセキュリティは企業の重要な経営課題のひとつであると同時に、あらゆる経営変革に欠かせない要素」とコメント。サイバーセキュリティ領域における専門家集団として業界をリードしていくと目標を掲げた。

位置情報アプリ「Family Locator」からリアルタイムで情報が流出していた

人気の位置情報追跡アプリ「Family Locator」（日本でのアプリ名は「ファミリーロケータ」）から、数週間にわたって23万8千人以上のユーザーの位置情報がリアルタイムで流出していた。これはアプリ開発者がサーバにパスワードをかけずに公開していたことによる。

このアプリはオーストラリアのソフトウェアハウス、React Appsが開発しているもので、たとえば配偶者同士で居場所を知りたいときや保護者が子供の居場所を知りたいときなどに、位置情報をリアルタイムでお互いに追跡することができる。ユーザーがジオフェンスの通知を設定すれば、家族が学校や職場といった特定の場所に入ったりそこから離れたりしたときに通知を送信することもできる。

ところがバックエンドのMongoDBデータベースは保護されておらず、どこを見ればいいかがわかれば誰でもアクセスできる状態になっていた。

セキュリティ研究者でNPOのGDI FoundationのメンバーであるSanyam Jain氏がこのデータベースを見つけ、状況をTechCrunchに報告した。

データベースを確認したところによると、各アカウントのレコードにはユーザー名、メールアドレス、プロフィールの写真、平文のパスワードが含まれていた。アカウントには本人とその家族のリアルタイムの位置情報もわずか数フィートの精度で保管されていた。ジオフェンスを設定していたユーザーではその座標もデータベースに保管され、ジオフェンスに付けた「自宅」や「職場」などの名前も含まれていた。

これらのデータはいずれも暗号化されていなかった。

TechCrunchでは、このアプリをダウンロードし、ダミーのメールアドレスでサインアップして、データベースの内容を検証した。すると数秒以内で、リアルタイムの位置情報が正確な座標としてデータベースに現れた。

TechCrunchはこのアプリのユーザーの1人を無作為に選び、連絡を取った。相手はこの状況にひどく驚きながらも、TechCrunchに対し、レコードに記録されている座標が正確であることを認めた。フロリダにいるこのユーザーは匿名を条件に、データベースの情報が勤務先の位置情報であると話した。さらにアプリに記録されている家族は近くの高校に通う自分の子供であることも認めた。

我々が調査したほかのいくつかのレコードにも、保護者と子供のリアルタイムの位置情報が含まれていた。

TechCrunchはアプリを開発したReact Appsに1週間にわたって連絡を試みたが、連絡はとれなかった。同社のWebサイトには連絡先の情報がなく、必要最低限のプライバシーポリシーも掲載されていなかった。WebサイトのWHOISレコードはプライバシー保護がかかっており、オーナーのメールアドレスは公表されていなかった。我々はオーストラリア証券投資委員会から同社の事業記録を購入したが、「Sandip Mann Singh」という同社のオーナーの名前がわかっただけで、連絡先はわからなかった。同社のフィードバック用フォームから何度かメッセージを送信したが、返信はなかった。

米国時間3月22日、このデータベースがAzureクラウド上でホストされているため、TechCrunchはマイクロソフトに対し開発者に連絡するよう依頼した。数時間後、データベースはようやくオフラインになった。

データベースが公開された状態になっていた期間は正確にはわかっていない。またSingh氏は情報流出を認めていない。

[原文へ]

（翻訳：Kaori Koyama）

ハッカーがTeslaを乗っ取ってModel 3をゲット

２人のセキュリティ研究者が、年に一度の著名なハッキングコンテスト「Pwn2Own」を席巻し、Tesla Model 3を含む37万5000ドル（約4100万円）の賞金を手にした。このTesla車のインフォテインメントシステムが持つ脆弱性を、みごとに暴き出したことに対する報奨だ。

今年Teslaは、新しいModel 3セダンをPwn2Ownに供出した。自動車自体がこの競技に出されたのは初めてのこと。Pwn2Ownは、Trend MicroのZDI（Zero Day Initiative）によって運営されていて、今年で12年目となる。ZDIは、この企画に対して、これまで累計で400万ドル（約4億4000万円）以上の賞金を提供してきた。

この２人組のハッカー、Richard Zhu氏とAmat Cam氏は、チームFluoroacetate（フルオロアセテート）として知られている。ZDIによると、彼らは車に乗り込んで「集まった観客をワクワクさせた」。たった数分のセットアップ作業のあと、彼らは探索がうまくいったことをModel 3のウェブブラウザーに表示したのだ。

２人は、レンダラーのJITバグを利用してメッセージを表示した。そして、車そのものに加えて賞金も獲得した。わかりやすく言えば、JIT、つまりジャスト・イン・タイムのバグは、メモリ上のデータのランダム化をバイパスしてしまうもの。そのために、保護されるべき情報が露見してしまう。

Teslaは、このハッカーによって発見された脆弱性を修正するソフトウェアのアップデートをリリースすると、TechCrunchに語った。

「私たちが、Model 3を、この世界的に有名なPwn2Ownコンペに参加させたのは、セキュリティ研究コミュニティの中でも、最も優秀なメンバーに興味を持ってもらうためです。そして、このような特別なフィードバックが得られることを願っていました。今回のコンペでは、研究者は車載のウェブブラウザーに潜む脆弱性を指摘してくれました」と、Teslaは電子メールで伝えてきた。「私たちの車は、何層にもなったセキュリティ機能を備えています。それらは設計した通りに機能し、今回のハッキングのデモも、ブラウザーの表示だけに留めることに成功しました。その他の車の機能はすべて保護されていました。近日中に、今回の研究者の発見に対応するソフトウェアのアップデートをリリースするつもりです。今回のデモには、並はずれた努力と技術が必要だったことを理解しています。そして、彼ら研究者たちの仕事が、私たちの車が今日最も安全な乗り物であることを保証し続けるために役立っていることを、彼らに感謝します」。

That's a wrap! Congrats to @fluoroacetate on winning Master of Pwn. There total was $375,000 (plus a vehicle) for the week. Superb work from this great duo. pic.twitter.com/Q7Fd7vuEoJ

— Zero Day Initiative (@thezdi) March 22, 2019

Pwn2Ownの春の脆弱性研究コンペ、Pwn2Own Vancouverは、3月20日から22日まで開催された。今年は以下の５つのカテゴリに分かれていた。それらは、ウェブブラウザー、仮想化ソフトウェア、エンタープライズアプリケーション、サーバサイドソフトウェア、そして新たに追加された自動車だ。

今回Pwn2Ownは、AppleのSafari、MicrosoftのEdgeとWindows、VMwareのWorkstation、MozillaのFirefox、そしてTeslaなど、全部で19個の特徴的なバグに対して、総額54万5000ドル（約6000万円）を授与した。

Teslaは、ハッカーコミュニティとの協力関係を公にしている。その関係は、同社が2014年にバグに対する報奨金制度を開始してから続いている。それ以来、年々促進、強化されてきた。

昨年、同社は報酬の最大支払額を、1万ドル（約110万円）から1万5000ドル（約165万円）に引き上げ、同社のエネルギー関連製品も、その対象に追加した。今では、Teslaの車両、同社が直接ホストしているすべてのサーバー、サービス、そしてアプリケーションが、その報奨金制度によってカバーされている。

［原文へ］

（翻訳：Fumihiko Shibata）

社員たちのスマホに第2番号を割り当てるMoviusが新CEOを迎え約50億円を調達

アトランタ出身のMoviusは、企業が社員たちの電話機の音声通話とテキストメッセージングに、仕事専用の別の電話番号を割り当てられるようにする。同社は米国時間3月22日、JPMorgan Chase（JPモルガン・チェース）が仕切るシリーズDのラウンドにより、4500万ドル（約50億円）の資金を調達した。これに既存の投資家であるPointGuard VenturesとNew Enterprise AssociatesおよびAnschutz Investmentが参加した。これで、同社の累計調達額は1億ドルになる。

さらにMoviusは、AdobeやSunの役員だったJohn Loiacono氏を新たなCEOとして迎えたことを発表した。Loiacono氏は、ネットワークアナリティクスのスタートアップJolataの創立時のCEOだった。

新CEOはこう言っている。「Moviusの商機はどんどん拡大している。地球という惑星の上のすべての企業でワークフォースが流動化しているが、それに伴い、さまざまな通信手段による顧客や社員たちとの安全な対話が難しい課題になっている。音声でも、SMSでも、あるいはそのほかの彼らが日常的に使用するどんな通信チャネルでもそうだ。私が今感激しているのは、すごく情熱的で実績のあるイノベーターたちのチームに加わろうとしているからだ。彼らはまさに、その難題のソリューションを提供することに、激しく燃えている人びとだ。この会社の成長の次の章を率いていくことが、楽しみである」。

Hyperloop Transportation Technologiesの最高戦略責任者（CSO）のSanjay Jain氏と、JPMorgan ChaseのTechnology Innovation, Strategy & Partnerships部門のトップのLarry Feinsmith氏が、Moviusの取締役会に加わる。

Moviusの現在の顧客数は1400社を超えている。そしてSprintとTelstra、Telefonicaなどがパートナーのキャリアだ。ここで重要なのは、Moviusが提供するものがスマートフォン向けのベーシックなVoIPアプリではない、という点だ。同社が約束しているのは、顧客にキャリア級の本格的なネットワークを提供して、彼らの社員のスマートフォンに第2の番号を割り当てることだ。そのため、社員が自分のデバイスを仕事に使っていても、雇用者は安眠できる。

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

Microsoft DefenderがMacにやってくる、MS製セキュリティ対策ソリューション

Microsoft（マイクロソフト）は、米国時間3月21日、Microsoft Defender Advanced Threat Protection（ATP）を、Macでも動くようにすると発表した。これまでは、Microsoft 365に加入するマシンを保護するためのWindows用ソリューションであり、Windowsマシンを安全に保つための、IT管理者の重要なツールだった。名前も、今まではWindows Defender ATPと呼ばれていたが、Macにも搭載されることになったっため、「Windows Defender」という部分を「Microsoft Defender」に入れ替えることを、Microsoftは決定した。

「私たちにとって重要なのは体験です。その上にあるのが人、そして個人がもっと生産的になれるよう手助けすることです」と、MicrosoftのOfficeおよびWindows担当副社長、Jared Spataro氏は語った。「かつてOfficeに対しても同じことをしたように、Windowsのみ、という状態から脱却したのです。それは私たちにとって大胆な行動でした。でも、絶対的に正しいことだったのです。今回の動きも、同じところ目指しているのです」。

同氏は、これはMicrosoftが「常にWindows中心にしたアプローチ」から脱却しつつあることを意味するものだと強調した。彼はこの動きを、OfficeアプリをiPadとAndroidでも使えるようにしたことになぞらえた。「私たちは、すべての端末を安全に保つことを目指しています。それは、このMicrosoft 365の体験が、Windows中心のものだけではないようすることにつながります。それらが目指すのは、同じ方向です」と、Spataro氏は述べた。もちろん彼が言いたいのは、ここで重要なのが、単にMac用のサービスをリリースしたことではなく、いかにしてMicrosoft 365のクライアントに価値を提供できるのか、ということをMicrosoftは検討し直していることだ、という意味だろう。

Microsoft DefenderがMicrosoft 365パッケージの一部であることを考えると、そのユーザーがなぜMacを気にする必要があるのか、という疑問もあるだろう。しかし、WindowsマシンとMacの両方を使い、すでにすべての従業員にOfficeを供給しているような会社はいくらでもある。１つのセキュリティ対策で、その両方のシステムをカバーできれば、IT管理部門の仕事は大幅にシンプルなものとなる。セキュリティ上の脆弱性に対処するのは、１つのシステムだけでも楽な仕事ではないのだから。

Mac版のMicrosoft Defender ATPの発売に加えて、同社はこのサービスで使えるようになる、新たな脅威および脆弱性管理機能の導入も発表した。すでにここ数ヶ月で、Microsoftは、いくつかの新機能を導入していた。企業がセキュリティ上の脅威を予防的に監視し、特定するのを補助するものだ。

「最近、顧客から聞くのは、環境はますます複雑になり、検出される警告の量は、もはや手に負えないものになりつつある、ということなのです」と、Spataro氏は明かす。「これらをすべて解析して、何をすべきか判断するために必要な、何千人もの人員を雇うための予算はまったくないでしょう」。

Microsoftでは、この新しいツールを、自社の機械学習機能と組み合わせ、スレッドの優先順位を決定して顧客に提示し、さらに改善している。

Spataro氏によれば、今回の発表は、Microsoftとしてこれまでにはなかったほど、徐々にセキュリティ企業に変貌しつつあるという事実に行き着くものだろう。「私たちは、みなさんが気付いているより、はるかに大幅な進歩を遂げたと考えています」と、彼は言う。「それは市場の動きに呼応したものなのです」。彼によれば、長いこと顧客から、Microsoftに端末の保護を手助けして欲しいと、要望されてきたという。顧客も、今やMicrosoftが、Windows中心から、個人中心のアプローチに移行しつつあることに気付いていて、顧客のシステムを広範囲に保護してくれることに期待している、というのだ。そして同時にMicrosoftは、ユーザーから得られる何十億ものシグナルを活用して、顧客を予防的に支援することが可能になると認識している。

［原文へ］

（翻訳：Fumihiko Shibata）

Facebookが数億人のパスワードを平文で保存していたと認める

Facebookでまたセキュリティー上の問題が見つかった。

コンピューターセキュリティを専門とする調査報道ジャーナリストのBrian Krebsは自身のサイトで「長年にわたってFacebookは数億アカウントのパスワードを平文で保存している」とするレポートを発表した。　Facebookは米国時間3月21日、公式ブログで事実だと認めた。

FacebookのPedro Canahuati氏によれば、問題が発見されたのはは1月に行われた定例のセキュリティチェックの際で、パスワードを見ることができるのはFacebook社内の担当者だけだという。しかしKrebsは「Facebookでは2000人のエンジニア、デベロッパーがパスワードを含むログにアクセス可能だ」と指摘している。しかもFacebookがこの失態を認めたのは事実が判明してから何カ月もたち、外部のジャーナリストであるKrebs氏に指摘されてからだった。

Krebs氏によれば、バグは2012年にさかのぼるという。FacebookのCanahuati氏はブログでこう述べている。

我々のログインではユーザー以外がパスワードを見ることができないようにマスクするシステムを採用しており、これ（をチェックする際に平文で保存していること）がわれわれの注意を引いた。パスワードは社外からアクセスすることはできないし、社内でも悪用されたり、不適切なアクセスを受けたという証拠はまったく発見されていない。

しかしどのようにしてこの結論に達したのかは説明されていない。Facebookは数億人のユーザーにこの問題を通知するという。またInstagramのユーザーにも通知がいくはずだ。これには途上国など接続スピードが遅く、通信量が高価な地域向けの軽量版であるFacebook Lightのユーザーも含まれる。

Krebs氏は「6億人のユーザーが影響を受ける可能性がある」としている。これは同社の27億人のユーザーの約5分の1だが、この数字はまだFacebookによって確認されていない。

またどのようにしてこのバグがシステムに入り込んだのかもまだ説明されていない。パスワードを誰でも読める平文のまま保存するというのはもちろん適切な方法ではない。Facebookのような大企業はパスワードを保存する際にソルトを付加してハッシュ化するのが普通だ。どちらのテクニックも攻撃を著しく困難にする。この方法を用いればシステム側もパスワードの内容を知る必要がない。

昨年、TwitterとGitHubでも似たような（ただしそれぞれ異なる）バグが発見された。両社ともパスワードにスクランブルをかけず平文のまま保存していた。

いずれにせこのバグはFacebookを襲っている一連のセキュリティ問題の最新の例だ。Facebookがユーザーの許可を得ずにサードパーティーに個人情報にアクセスすることを許す契約を結んでいた問題は刑事事件として捜査されることが報じられた。　最近の一連のセキュリティ問題は議会への証人喚問や政府の諸機関による調査をもたらしている。

Facebookが事実を確認するのに長時間かかった理由、またデータ漏洩が発生した場合、米国、ヨーロッパにおいてはそれぞれ法で定められた通知義務が発生するがその通知を行ったのかどうか、Facebookにコメントを求めた。今のところ冒頭で紹介したブログ記事以上の回答は得られていない。

なおFacebookのヨーロッパにおける運営を管轄するアイルランド政府のデータ保護局は「Facebookからこの問題に関する通知を受けた。さらに詳しい情報を求めている」としている。

画像：Getty Images

［原文へ］

（翻訳：滑川海彦@Facebook）

Windows 7セキュリティアップデートの終了期限をマイクロソフトが通達

マイクロソフトがWindows 7のユーザーに、セキュリティアップデートがもうすぐ終わると警告するパッチを発行した。

米国時間3月20日に展開されたそのパッチは、2020年1月14日以降セキュリティの欠陥や脆弱性に対する修復を提供しない、と警告している。その期限はWindows 7が2009年にデビューしてから10年あまりとなり、マイクロソフトの最新のオペレーティングシステムであるWindows 10よりも10年以上前、ということになる。

マイクロソフトはセキュリティアップデートをやめることによってユーザーを、セキュリティが改善されて攻撃されにくくなった最新のソフトウェアに押しこもうとしている。

4月18日からWindows 7のユーザーは、迫り来る切り離しに関する警告を受け取るようになる。

Net Applicationsによると、Windows 7は今でも、デスクトップ市場の40%を支配している。その期限の正確に300日前から、消費者のセキュリティサポートの上では時計が残り時間を数え始める。

エンタープライズの顧客向けには、2023年までセキュリティアップデートを延長するオプションがある。

数年前からマイクロソフトは、Windows 7のユーザーにWindows 10への無料のアップデートを提供してユーザーの成長とアップグレードを奨励してきた。その特待制度がなくなれば、あとはセキュリティアップデートの不在が待ち構えているだけであり、企業のデータとシステムはサイバー攻撃のリスクにさらされることになる。

マイクロソフトが寿命の終わったソフトウェアにパッチを発行することは、きわめて珍しい。2017年には3年前に引退したWindows XPに対して、その珍しいセキュリティパッチがリリースされた。それはランサムウェアWannaCryの拡散を防ぐためであり、国家安全保障局(NSA)が開発したハッキングツールがリークして、ランサムウェアはそれに乗っかる形で広まっていた。

ランサムウェアの大発生により、学校や企業や病院などがオフラインになった。

Windows 7の後継システムWindows 8は、2023年1月10日まで継続的にアップデートを受け取る。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ 5

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

iPhoneのいちばんのウリ「プライバシー」を強調するAppleの広告

Apple（アップル）米国内で3月14日から、ゴールデンタイムに新しいスポット広告のオンエアを始めた。プライバシーに焦点を当てたこのCMには会話はない。「Privacy. That’s iPhone」（プライバシー。それがiPhoneです）というシンプルなメッセージが表示されるだけ。

一連のユーモラスな場面は「あなたにもちょっとしたプライバシーが必要なときがある」ということを再認識させる内容。それ以外には、たった１行のテキストがあるだけ。それはAppleが長期的にも短期的にも主張しているプライバシーに関する１つのメッセージと呼応している。「あなたの生活にとってプライバシーが大切なら、あなたの人生が詰まった携帯電話にとっても大切なはず」。

このスポット広告は、米国で木曜の夜からゴールデンタイムに放送され、NCAAのバスケットボールトーナメント、March Madnessまで続く。その後、いくつかの他の国々でも放送されることになっている。

洞穴の中にでも隠れていたのでない限り、Appleがプライバシーを、他社と差別化するための要因と位置付けていることに気づかない人がいるはずはない。数年前からCEOのティム・クック氏は、Appleが自社のプラットフォーム上でのプライバシーに対するユーザーの「権利」をいかに大切に考えているか、それが他の会社とはどのように異なっているのか、ということを、ことあるごとに公に明確にしてきた。Appleがそうした立場を取ることができた背景には、Appleの当事者としてのビジネスが、ユーザーとの、かなり直接的な関係に依存してきたことがある。Apple製のハードウェアを購入したユーザーは、同時にそのサービスを受け入れるように、ますますなっているのだ。

これは、GoogleやFacebookのような他のハイテク大企業のモデルとは対照的だ。そうした会社は、ユーザーとの関係の中に収益化の戦略を実現するためのしかけを忍び込ませている。それはユーザーの個人情報を（ある程度匿名化した形で）扱うアプリケーションとして、広告主にとって魅力的なものに仕立ててある。もちろん、ユーザーにとっても便利なものに見えるはずだ。

とはいえ、倫理的に優位な立場をマーケティング戦略として利用することに落とし穴がないわけではない。Appleは、最近、iPhoneを盗聴器にしてしまうことを可能とするFaceTimeのハデなバグ（すでに修正されている）を発見した。また、Facebookが、App Storeの認証を操作していたことが露見したことは、その時代遅れになったEnterprise Certificateプログラムの見直しが必要となっていることを明らかにした。

今回の「Private Side」のスポット広告の象徴的な画面が、プライバシーとセキュリティの概念をかなり密接に関連付けているのは、非常に興味深いことだった。それらは独立した概念ながら、互いに関連していることは明らかだ。このスポットは、これらが同一であると主張する。セキュリティを無視してプライバシーを守ることが難しいのは当然だ。しかし、一般の人にとってこれら２つの違いはほとんどないようなものだろう。

App Store自体はもちろん、まだGoogleやFacebook製のアプリをホストしている。それらは、その他の何千というアプリと同様、さまざまな形でユーザーの個人データを扱っている。Appleが主張しているは、ユーザーがiPhoneに預けたデータを積極的に保護しているということ。そのために、デバイス上で加工し、最小限のデータだけを収集し、可能な限りユーザーとデータを分離し、さらにデータの扱いをコントロールできる、透明性の高いインターフェイスを可能な範囲でユーザーに提供しているのだ。それはすべて真実だし、競合他社よりも、はるかにまともな取り組みだろう。

それでも、まだやるべきことは残っていると感じられる。Appleは自社のプラットフォーム上で個人データを扱っているので、何が社会規範に則しているのかという判断を下さなければならないからだ。もしAppleが、世界で最も収益性の高いアプリケーション市場に出回っているものの絶対的な裁定者となるつもりなら、その力を利用して、我々のデータによって生計を立てている大企業に対して（そして小さな会社に対しても）、もっと強い態度に出てもよいのではないだろうか。

私がここまで、Apple抱えていた問題について述べたのは、皮肉のつもりではない。それでも、Appleがプライバシーをマーケティングの道具にすることは、傲慢と言えるほど大胆なものだと考えたがる人もいるだろう。私個人としては、状況によってはプライバシーを危険にさらすことがあったとしても、プライバシーを守ろうと組織的に努力している会社と、「プライバシーの侵害をサービスとする」ビジネスを展開することで存続しているような、この業界の他のほとんど会社との間には、かなり大きな違いがあると考えている。

基本的には、プライバシーを前面に出すのはむしろ使命であり、いくらかバグがあったとしても支持できることだと思う。しかし、プライバシーから利益を得るプラットフォームを運営しておきながらそれについて沈黙しているのは、ある意味まやかしようなものだ。

もちろん、そんなことを言うのは、キャッチフレーズとしては長すぎだろうが。

［原文へ］

（翻訳：Fumihiko Shibata）

完全に閉鎖されたネットは、国家を孤立させ、成長率を低め、そして停滞させる

細分化され分断化されたインターネットが、私たちの上にもたらされていることに疑いの余地はない。サイバースペースがさまざまな国によって制御され規制されるスプリンターネット（splinternet、splinter=バラバラのnet=ネットから作られた造語）は、もはや単なる概念ではなく、いまや危険な現実となっている。「ワールドワイドウェブ」の将来が危機に瀕している。いまや自由で開かれたインターネットを支持する政府や提唱者はたちは、情報や大衆を管理するためにウェブを隔離しようとする独裁主義的体制の潮流を食い止める義務があるのだ。

中国とロシアはどちらも急速に、デジタル独裁主義につながるインターネットの監視を強化している。今月初めにロシアは、全面的なサイバー戦争のシミュレーションを行うために、全国土をインターネットから切り離す計画を発表した。そして先月、中国は2つの新しい検閲規則を施行した、新たに禁止されるべき100のコンテンツカテゴリを定義し、ショートビデオプラットフォームに投稿されるすべてのコンテンツに対して、レビューを必須としたのだ。

確かに中国とロシアはインターネットを破壊するかもしれないが、決して彼らだけがそうした行為を行っているわけではない。キューバ、イラン、そしてトルコの政治家でさえも「情報主権」の推進を始めている。なおこの「情報主権」という言葉は西側のインターネット会社によって提供されているサービスを、制限はあるものの管理がより簡単な独自製品で置き換える行為を婉曲に表現したものだ。そして2017年の調査では、サウジアラビア、シリア、イエメンを含む多数の国が「実質的に政治的動機のあるフィルタリング」を行っていることが判明した。

このデジタル制御は、独裁主義的体制を超えて広がっている。徐々に、特定のウェブサイトから外国人を締め出そうとする動きが増えているのだ。

例えば、BBCのiPlayerを介して英国の市民が利用できるデジタルコンテンツは、徐々にドイツ人には利用できなくなっている。韓国は、北朝鮮に属する通信社のニュースに対してフィルタリング、検閲、ブロックを行っている。独裁的にせよ民主的にせよ、これまでこれほど多くの政府が、積極的に自国民のインターネットアクセスを制限したことはなかった。

スプリンターネットとデジタル独裁主義の影響が、こうした個々の国の国民をはるかに超えて広がっている。

2016年に、米国の貿易当局は、海外のインターネット幹部たちが貿易障壁として定義するものを、中国のグレートファイアーウォールが生み出したと非難した。インターネットのルールを制御することによって、中国政府はBATとして知られている国内インターネットの3巨人を育てた（バイドゥ、アリババ、テンセント）。彼らは政府の超厳格な体制と足並みを揃えている。

WeChatなどの、これらのインターネット大手が生み出すスーパーアプリは、検閲用に構築されている。その結果は？元Google CEOのエリック・シュミットは、次のように述べている「中国のファイアウォールはインターネットを2つに分断するだろう。米国が西側のインターネットを支配し、中国がアジア全体のインターネットを支配することになるだろう」。

驚くべきことに、米国企業がこのスプリンターネットの推進を手助けをしている。

Googleは、何十年にもわたって中国市場への参入を試みてきたが、中国政府の厳しい検閲とデータ収集との共存が困難であったため、2010年3月には、Googleは検索エンジンおよびその他のサービスを中国から引き揚げることを選択した。しかし現在、2019年になってGoogleは完全にその姿勢を変えた。

Googleは、プロジェクトDragonflyと呼ばれる、まったく異なる中国のインターネットプラットフォームを通じて検閲を受け入れている。Dragonflyは、Googleが西側で提供している検索プラットフォームの検閲付バージョンだが、重要な違いは、デリケートな問題に関する公開クエリに対する結果がブロックされることである。

2018年12月11日火曜日、米国ワシントンDCで下院審判委員会の公聴会が始まるのを待つ、Googleのサンダー・ピチャイCEOはプライバシー法を支持しており、彼が配布を計画している証言の記録によれば、同社が政治的に偏っていることを否定している（写真：Andrew Harrer / Bloomberg via Getty Images）

世界人権宣言（UDHR）には「すべて人は、意見及び表現の自由を享有する権利を有する。この権利は、干渉を受けることなく自己の意見をもつ自由並びにあらゆる手段により、また、国境を越えると否とにかかわりなく、情報及び思想を求め、受け、及び伝える自由を含む」（第19条：国連公式ページより）と述べられている。

1948年に起草されたこの宣言は、人びとがかつて威力をふるった独裁的プロパガンダや検閲と戦った、第二次世界大戦後の気持ちを表している。こうした言葉たちは、インターネット時代のはるか前である70年以上前に書かれたものであるにもかかわらず、この宣言は、現在私たちが見ているスプリンターネットや非民主的デジタル国境の概念に、戦いを挑むものなのである。

世界でウェブがより分裂し、情報がより統制されるようになるにつれて、私たちは民主的システムの悪化、自由市場の腐敗、そしてさらなるサイバー偽情報キャンペーンの危険に晒されるようになっている。歴史が繰り返される前に、私たちは検閲や国際的な操作から、自由で開かれたインターネットを守るために、今すぐ行動を起こさなければならない。

ベルギー、ブリュッセルにて（5月22日）。あるAvaazの活動家がアンチFacebookのデモに参加して、Facebookのトップであるマーク・ザッカーバーグの段ボール人形を並べた。その人形の上には「Fix Fakebook」（Fakebookを修正せよ、fakeは偽情報という意味）と書かれていた。デモは2018年5月22日にベルギーのブリュッセルの欧州委員会本部の前で行われた。Avaaz.orgは、2007年に設立された国際的なサイバー関連NGOである。それは自身を「超国家的民主的運動」と表現し、人権、腐敗または貧困のようなさまざまな国際問題に取り組めるように世界中の市民に力を与えたいと言っている（写真：Thierry Monasse/Corbis via Getty Images）

究極のソリューション

1948年に起草されたUDHRと同様に、2016年には国連が、「オンラインの自由」は、保護されなければならない基本的人権であると宣言した。法的拘束力はないものの、この動きは合意を経て行われたものであるため、国連はオープンインターネット（OI）システムを支持するためのある程度の力を与えられた。基準を満たしていない政府に選択的に圧力をかけることで、国連はデジタル人権標準の適用を進めることができるようになった。

最初のステップは、インターネットの全リソースとそれを操作する能力に対する透明な監視システムを実装することである。その監視システムにはすべての市民が簡単にアクセスできる必要がある。北朝鮮、中国、イラン、シリアなど、ウェブサイトをブロックし、電子メールやソーシャルメディアコミュニケーションをフィルタリングする国に対しては、改善することで結果が良くなるインセンティブを与える。

すべての国が、オープンスタンダード、検閲の不在、およびインターネットへの参入障壁の低さなどの、複数の前向きな要因の達成度でランク付けされることになる。オープンインターネットランキングシステムは、すべての国をFree（自由）、Partly Free（部分的自由）、あるいはNot Free（不自由）の3階層に分類する。最終的な目標は、すべての国々が徐々にFreeカテゴリに移行し、すべての市民がWWW全体で、情報を制限なく、平等にそして自由に利用できるようにすることである。

第二段階は、国連自身が西側の最大手インターネット企業ともっと緊密に連携することである。彼らが協力することで、各国政府へ忍び寄る検閲や、各政府の暴走に関する詳細な報告書をまとめることができる。世界的ハイテク企業は、どの国が検閲とデジタルスピーチの制限に圧力をかけているかを厳しく認識している。国連と世界的ハイテク企業が協力することで手強い相手であることを示すことができれば、世界の市民を保護できることになる。あらゆる国のあらゆる個人には、世界で本当に何が起こっているのかを知る権利がある。

インターネットが開放され、過度の規制や検閲が行われていないFreeカテゴリーの国には、途方もない経済的繁栄の道が開かれるだろう。反対にNot Freeカテゴリーに属し、内向きの政策と社会価値を押し付けようとする国々は、完璧に孤立し、明らかにデジタル人権法に違反していることに気が付くことになるだろう。

これはうわべだけの脅かしではない。完全に閉鎖されたスプリンターネットは、必然的に国家を孤立させ、成長率を低め、そして停滞させるだろう。

【編集部注】著者のKeith Wright（キース・ライト）氏は、英国ヴィラノーバ・ビジネス・スクールの会計ならびに情報システムの講師である。またSimplicity On-Demandの創設者であり、以前はSAPのグローバルセールスオペレーション担当シニアバイスプレジデントでもあった。

[原文へ]

（翻訳：sako）

米議会に超党派で提出、顔認識技術の商業的利用を監視監督する法案

米国時間3月14日、米ハワイ州選出のBrian Schatz上院議員（民主党）とミズーリ州選出のRoy Blunt上院議員（共和党）が、顔認識技術の商用利用を監視監督する法律の法案を提出した。Commercial Facial Recognition Privacy Act（商用顔認識プライバシー法）と名付けられたその法律は、顔認識を使用している企業がそのことを消費者に知らせる義務と、企業がユーザーの同意なく顔認識データをサードパーティと自由に共有することに対する制限を定めている。

Blunt上院議員は法案についてこう説明している。「消費者は自分のデータがどのように集められ利用されているかについて、ますます心配している。それらのデータには、顔認識技術で集められたデータも含まれる。そのため、今後のこの技術の開発に対してガードレールを設け、責任ある実装が為されるようにしていく必要がある」。

マイクロソフトは、この超党派的法案を支持している。それは、顔認識技術に対する同社の規制方針にも合致している。マイクロソフトの社長Brad Smith氏は、December誌でこう述べている。「この技術を規制する法律の採択を政府が2019年に開始することが重要、とわれわれは考えている。今ならまだ、顔認識という霊鬼が瓶から飛び出したばかりの段階だ」。

The Hill誌の指摘によると、この法案にはマイクロソフトが前に言及していた警察による顔認識技術の使用に関する条項が含まれていない。例えば、特定個人の監視には裁判所命令を要するといった制限条項。代わりに法案が重視しているのは、顔認識技術の商業的利用がもたらすリスクだ。顔認識技術に対する法制は今年から、マイクロソフトの本社がある州では州レベルでも進んでいて、同社はそれを支持している。

Schatz上院議員は法案についてこう述べている。「顔は人間のアイデンティティであり、個人のものだ。だから顔を追跡したり分析しようとする企業には、事前に許可を求める責任がある。われわれの法案は、企業が顔認識技術を使ってデータをシェアするとき、人びとが事前に確実にその情報を知り、もっと重要なこととしては、そのやり方を人びとがコントロールできるようにするものだ」。

法案の去就はともかくとして、これを見るとこの技術に対する、議会による規制の基調のようなものが分かる。マイクロソフトの関与からもわかるように、顔認識技術に対しては一般社会からの関心も濃密だから、企業は法律ができる前に法案作成の段階から積極的に関わっていくべきではないか。

このドキュメントはScribdで見てください

[原文へ]

（翻訳：iwatani、a.k.a. hiwa）

暗号化電子メールのプロバイダ、ProtonMailをブロックするロシア

ロシアは、インターネットプロバイダに対し、暗号化電子メールのプロバイダ、ProtonMailに対するブロックを遵守するするよう指示した。同社の責任者もそれを認めている。

今回のブロックは、政府機関である連邦保安局（その前身はKGB）の命令によるものだと、あるロシア語のブログは伝えている。当局が、ProtonMailや、その他の電子メールプロバイダが、爆破攻撃の脅威を助長している、と非難したことを受けて、そのブログが命令書を入手し公開した。

実際、いくつかの匿名の爆破予告が、１月の末に電子メールで警察に送られた。その結果多くの学校や政府の建物が閉鎖を余儀なくされた。

全部で26のインターネットアドレスが、その命令によってブロックされた。その中には、Torのユーザーが最終的な接続をスクランブルするために使われていた、いくつものサーバーが含まれている。Torは、検閲をすり抜けるためによく利用される匿名ネットワークだ。インターネットプロバイダは、「直ちに」ブロックを実行するように指示されている。それにはBGPブラックホール化と呼ばれる手法を使う。インターネットルーターに対し、インターネットトラフィックを宛先にルーティングする代わりに、単に廃棄するよう指示するものだ。

ProtonMailによれば、サイトに接続することはできるものの、ユーザーは電子メールを送ったり受け取ったりすることができなくなっている。

同社の最高経営責任者、Andy Yen氏は、このブロックを「極めて卑劣」だと、TechCrunch宛ての電子メールで語った。

「ProtonMailは、通常の方法でブロックされたのではないのです。実はもうちょっと巧妙なものでした」と、Yen氏は明かす。「彼らはProtonMailのメールサーバーへのアクセスをブロックしています。そのため、Mail.ruをはじめとして、他のほとんどのロシアのメールサーバーは、ProtonMailに電子メールを配送することができなくなっています。それでも、ロシアのユーザーは、自分の受信トレイには、何の問題もなくアクセスできています」という。

なぜなら、命令に指示されている２つのProtonMailサーバーは、バックエンドの配信サーバーであって、フロントエンドのウェブサイトは、それらとは異なるシステム上で動作しているからだ。

命令書を翻訳すると、このリストにあるインターネットアドレスは、１月に「明らかに誤ったテロリストの行為を大々的に流布」し、その結果「学校や政府の建造物、さらにショッピングセンターからの、大規模な避難」を引き起こした、と書かれている

「大規模にProtonMailをブロックすることは、確実なオンラインのセキュリティを望んでいる、すべてのロシア国民を傷つけることになる、まずいアプローチのように思えます」と、Yen氏は述べた。彼らのサービスは、ロシア国内の他のライバルのメールプロバイダに比べて、はるかに優れたセキュリティと、暗号化機能を備えている、という。

「われわれは、ロシアのユーザーに対して継続的なサービスを提供できるよう、技術的な対策を実行してきました。これに関しては、かなり進んだものとなっています」と、彼は説明した。「もし、法に照らして正当な告発があるのであれば、ロシア政府は立場を再検討した上で、確立された国際法と法的手続きに従って問題を解決してもらいたいものだと考えています」。

ロシアのインターネット監視機関、Roskomnadzorはコメントの求めに応じなかった。

Yen氏に言わせれば、今回のブロックは、インターネットを規制しようする政府の思惑（批評家はインターネットの「遮断スイッチ」と呼ぶ）に対する抗議活動と呼応したもの。クレムリンは、言論の自由を取り締まり、抑え込もうと、長期に渡って取り組んできたが、規制はサイバー攻撃が発生した場合に国のインフラを保護するためのものだと主張している。

およそ1万5千人の住民が、日曜日にモスクワで抗議行動を起した。それもあって、ユーザーはProtonMailの問題に気付き始めている。

これは、ロシア政府が黒幕となった偽情報流布の発覚に端を発した、ハイテク企業との間の継続的な緊張状態の最新の局面だ。ロシアのインターネットに対する取り締まりは、2014年に一段と厳しくなった。それは、ロシア国内で運営されるハイテク企業はロシアに関するデータを領土内に保管しなければならない、という法律をロシアが可決したことによる。LinkedInは、この法律の最初の犠牲者となり、2016年にはそのサイトが全国的に禁止されるに至った。

先月には、Facebookは、法律を遵守するか、さもなくば閉め出されることになると通告された。そしてTwitterも、遮断される危険に直面している。

（関連記事：ロシアはインターネットの遮断スイッチをテストへ）

画像クレジット：Getty Images

［原文へ］

（翻訳：Fumihiko Shibata）

米国がドイツに通告「5Gでファーウェイ機器採用なら情報共有を制限」

米国政府は「ドイツの5Gネットワーク構築においてファーウェイが契約を得ることになれば情報機関における機密共有のレベルを下げる」と通告した。

これがRichard Grenel駐独米大使がPeter Altmaier連邦経済エネルギー省大臣に渡した文書の概要だ。Grenel氏は昨年トランプ大統領によって駐独大使に任命されている。Wall Street Journal（ウォールストリートジャーナル）の報道によれば、大使は「中国のスパイ行為の恐れがあるため従来どおりの機密情報の共有はできなくなる」と述べたという。

この通告は数日前にドイツの情報セキュリティ担当官庁、BSI（Bundesamt für Sicherheit in der Informationstechnik）が 5Gモバイル・ネットワーク構築にあたって必要なセキュリティ要件を発表したことを受けている。この要件には入札からファーウェイを排除する明示的条項は含まれていなかった。

さほど衝撃的なエスカレーションではないものの、この通告は米国としてファーウェイ排除に向けた強い姿勢を再確認するステップだ。トランプ政権はファーウェイの中国人民解放軍との密接な関係を脅威として、同社製品を5G網構築に使用しないよう同盟諸国に引き続き圧力をかけ続けるものと見られる。

米国の反ファーウェイの圧力はすでに、カナダ、オーストラリア、ニュージーランド、日本、ヨーロッパ諸国の大部分にファーウェイの機器の使用を避けさせることに成功している。当初は各国政府、モバイル・プロバイダーともファーウェイの機器は安価で信頼性も高いと述べていた。これらの点は 5Gネット構築にあたって重要な考慮点となる。

しかしドイツ政府は（英国も同様だが）、中国政府がこれまでスパイ行為の意図をもってファーウェイを操作したという確実な証拠はないと結論していた。ただし、ファーウェイの機器、テクノロジーが5G網の中枢部分を占めるようになった場合、セキュリティ上の脅威となる可能性はある。

連邦経済エネルギー省のKorbinian Wagner報道官は文書の受領を認めたものの、コメントは控えた。米国国務省からもコメントは得られていない。

NSAなどの米国情報機関がドイツのアンゲラ・メルケル首相の電話を盗聴していたことをエドワード・スノーデンがリークして以来、米国とドイツの情報機関の関係は緊張していた。しかしドイツはこれまで米国の情報コミュニティーから大量のシギント（通信諜報）の提供を受けていた。ドイツを含むNATO加盟国、フォーティーン・アイズと通称される西側諸国は大量の機密情報をプールしてテロ対策のために役立てている。ドイツはこの2年間だけでもISを支持すると称するイスラム過激派、クルド過激派などから数回にわたって攻撃を受けている。

報道によれば、ここ数週間のうちに欧州委員会はファーウェイ機器の採用を全面的に禁止する規則を制定する可能性がある。

一方、ドイツは早ければ来週にも5Gネットワークの構築に向けて具体的に動き出すものと見られる。

画像：Getty Images

（原文へ）

（翻訳：滑川海彦@Facebook Google+）

オランダ当局がCookieウォールはGDPRの要件を満たさないと判断

（編集部注：この記事は米国時間3月8日に掲載された）

オランダのデータ保護当局（DPA）は、ウェブサイトに入るための料金的に、インターネットブラウジングが広告目的でトラッキングされることに同意するようウェブサイト訪問者に求めるCookieウォールは欧州データ保護法にそぐわないとの見解を昨日示した。

DPAによると、当局にはCookieの利用についての同意を拒否したあとにウェブサイトへのアクセスがブロックされたインターネットユーザーから何十もの苦情が寄せられた。そのため、この件について明確なガイダンスを示す運びとなった。

DPAはまた、ユーザーからの苦情が最も多かった複数の組織に、GDPRを遵守するよう促す忠告書を送ったことも明らかにし（組織名は伏せている）、今後さらに監視を強化する方針だ。

昨年5月に導入された欧州のGDPR（一般データ保護規則）は、法律に基づいて個人データを処理するよう、同意のルールを厳格化している。このルールでは同意を求める際は明確な説明がなされ、選択する自由をユーザーに与えることを定めている。

もちろん同意は個人データの処理に伴う法的な措置というだけでなく、多くのウェブサイトが、ユーザーがウェブサイトにアクセスした時に広告目的でのCookieに同意するよう求めている。

そしてオランダのDPAのガイダンスは、サードパーティのCookie、トラッキングピクセル、ブラウザの指紋テックなど、いかなる追跡ソフトウェアが使われようとも、インターネットビジターは前もって追跡の許可を尋ねられなければならない、と明確に示している。そしてその許可は自由に　基づいて得られなければならないともしている。つまり、そこには選択の自由がなければならない。

ゆえに別の言葉で言うと、アクセスしたければデータをよこせ的なCookieウォールは反している。DPAはこのように言っている。「真に自由な選択がなければ許可は自由ではない。または、許可しなかった結果、不利を被ることがあれば自由とはいえない」。

さらには「これはそれだけの意味がある。ウェブサイト訪問者が個人データがきちんと保護されていると信頼できる状態になければならない」（Google Translateでの翻訳）と明確にウェブサイトに記されている。

ウェブサイトがきちんと機能するため、そしてサイト訪問の一般的な分析のためのソフトウェアについては問題はない。ウェブサイト訪問者の行動のモニターや分析、そしてそうした情報を他のパーティーとシェアすることは許可がある場合のみ許される。その許可は完全に自由裁量によるものでなければならない」と付け加えている。

我々がDPAに問い合わせたところ、広報は個々の苦情についてはコメントできない、としながらも次のように述べた。「CookieウォールはGDPRの同意の原則に即したものではない。つまり、ウェブサイトにCookieウォールを活用しているパーティーは全てできるだけ早期にGDPRに沿うものにしなければならないことを意味する。きちんとGDPRに準じたものになっているか、我々は数カ月以内にチェックする。このチェックは必ず行う」。

説明に照らすと、インターネット広告協議会（IAB）の欧州サイトのCookieウォールは、まさしくしてはいけないことのいい例のようだ。このオンライン広告産業の団体は、たった1つの同意選択のもとに、複数のCookie（サイト機能用、サイト分析用、サードパーティー広告用）を使用している。

ウェブ訪問者に「同意しない」という選択はまったく提供していない（下の写真にある、さらなる情報やプライバシー・ポリシーのボタンをクリックしてもない）。

もしユーザーが「同意します」をクリックしなければ、ユーザーはIABのウェブサイトにアクセスすることはできない。ゆえに、ここでは選択の自由はない。同意するか、サイトへのアクセスをあきらめるかだ。

さらなる情報をクリックすると、IABがどういう目的でCookieを使っているのかさらなる説明がある。そこには訪問者プロファイルをつくるために集めた情報を使っているわけではない、とある。

しかしながら、Googleプロダクトを使っているとも記されていて、そうしたプロダクトのいくつかは訪問者の情報を広告目的で集めるかもしれないCookieを使っていると説明している。よって、ウェブサイトのサービスの同意に広告トラッキングを含ませているわけだ。

繰り返しになるが、サイト訪問者に提供される選択肢は「同意する」か、ウェブサイトにアクセスすることなくそのまま去るかとなっている。つまり、自由な選択ではない。

IABはCookieウォールに関してデータ保護当局から何の接触もないとTechCrunchに対し述べた。

オランダDPAのガイダンスを考慮してCookieウォールを改める意思があるかどうかを尋ねたところ、広報はチームがそうする意向があるかどうかはわからない、と述べた。ただ、GDPRはアクセスを同意に基づく条件付きのものにすることをただちには禁止していない、と広報は主張した。また、ここで適用されると主張する（2002年の）ePrivacy Directiveを持ち出して、「ePrivacy Directiveには、十分に説明されたCookieの同意に基づいてウェブサイトのコンテンツが条件付きになることに言及する詳しい説明がある」とも説明した。

「我々はこの点についてCookieバナーの使用を変更しようとは考えていない。なぜなら、Cookie使用への同意なしに我々のウェブサイトにアクセスできるようにするよう法律では求められていないからだ」とIABでプライバシー政策を担当するディレクターMatthias Matthiesen氏は、その後の電話取材で話した。

IABの考えというのは、この件に関してはePrivacy DirectiveがGDPRに勝る、というものだ。

しかし、彼らがどうやってその結論にたどりついたのかは不明だ。（GDPRが昨年施行されたのに対し、ePrivacy Directiveは15年以上前からあり、現在アップデートの最中だ）。

Matthiesen氏の言葉を引用すると、彼がいう法の一般原則は同じことに関する2つのルールの相違があった場合、より具体的な方の法律が優先される。（それから推測すると、GDPRとePrivacy DirectiveはCookieウォールの部分で相違があるようだ）。

IABが言及しているePrivacy Directiveの箇所は前文25のようだ。そこには以下のような文言が含まれる。

特定のウェブサイトコンテンツへのアクセスは、合法な目的で使用されるのであれば、十分に説明されたCookieまたは類似のデバイスに関する同意にもとづき、条件付きとなることがある。

しかしながら、特定のウェブサイトコンテンツは、すべてのサイトのアクセスを意味しない。たとえば、サイト全てへのアクセスをCookieウォールでブロックすることではない。

加えて、前文で指摘している合法の目的もCookie同意に基づいてアクセスを制限することとは相反していて、要注意点だろう。前文の文言には、合法な目的として情報社会サービスの提供を促進するものを例に挙げている。

情報社会サービスとは何だろう。先の欧州指令ではサービスを法的言葉として、遠隔から電子上で、そして受け取り側の個々のリクエストに基づいて提供されるもの、と定義している。これから察するに、インターネットユーザーがネットサーフをするときにそうしたユーザーを裏で追跡する広告ではなく、インターネットユーザーが実際にアクセスするインターネットコンテンツ、例えばウェブサイトそのもののことを指している。

ゆえに、別の言葉でいうと、時代遅れのePrivacy Directiveを根拠としていても、IABのサイトはそれぞれのサイトごとにCookie使用の同意をユーザーから得る必要がある。

しかし、それはウェブサイト訪問者が自身のブラウジングが普及している方法で広告事業者に追跡されることに同意しない限り、ウェブサイト全体にアクセスできるようになるということではない。

それは、ウェブサイト訪問者が求めている種類のサービスのウェブサイトではない。

加えて現在の話に戻すと、オランダのDPAはCookieウォールを解体する明確なガイダンスを打ち出している。

唯一、ここでの道理にかなった法的解釈はウォールがCookieウォールを指して書かれていることだ。

IABのMatthiesen氏はもちろん意見を異にする。

「法律というのは複雑で、書かれているほどにシンプルではない」と、この点で異議を唱えた。「ブラウザがウェブサイトに接続するとき、テクニカル的にローディングされるものにリクエストを出す。なので、サイトにロードされたコンテンツにリクエストを出している」。

「ウェブサイトはウェブサイトオーナーの所有物だ。所有物に付随する基本的な権利もまたある」と彼は付け加えた。「GDPRでは自分のウェブサイトコンテンツを人々に公開しなければならないとは言っていない。私がつくっている所有物についての条件を自分で決めるのになんら問題はない」。

「このことについてはあなたには何の権利もない。あなたに追跡を受け入れるよう強制することはできないというのは、確かだろう。あなたが強制されないというのは、あなたが私の所有物を使う必要がないということだ。これは、Cookieウォールの使用禁止と私の考え方と根本的に異なる点だ」。

そして彼は、この件を法的に明らかにするのに欧州司法裁判所に判断をあおぐことを提案した。Cookieウォールを使用することがないよう当局によって監視のターゲットとなっているオランダのウェブサイトが訴訟に持ち込むことが想定される。

この記事はDPAとIABのコメントがアップデートされた。

イメージクレジット: Tekke/ Flickr under a CC BY-ND 2.0license.

（原文へ、翻訳：Mizoguchi）