タグ: セキュリティ

自動車用アラームの欠陥で300万台の車がカージャックの危機に

一般的に使われている2種類の自動車用アラームシステムが、セキュリティの脆弱性を修正した。それらのシステムの以前の状態では、研究者が車両を遠隔操作で追跡し、乗っ取って、その車をコントロールすることができた。

英国のサイバーセキュリティ会社のPen Test Partnersの研究者によると、ロシアのアラームメーカーのPandoraと、米国カリフォルニアに拠点を置くViper(英国でのブランド名はClifford)によって開発されたシステムは、簡単なサーバー側のAPIの操作に脆さを露呈した。米国時間の3月8日に投稿されたところによれば、APIを悪用して、アラームシステムのユーザーアカウントと、その車両の制御を獲得することができたという。

その脆弱なアラームシステムのAPIは、リクエストが正当なものであるかどうかを確認することを怠るため、そのアカウントのパスワードをリセットするよう騙すことができ、研究者がログインできた。

研究者はテストのためにアラームを購入したが、「だれでも」本物のアカウントにアクセスするためのユーザーアカウントを作成したり、その会社のすべてのユーザーデータを引き出すことができる状態だったという。

研究者によると、全世界でおよそ300万台の車がこの欠陥の影響を受ける状態にあったはずとのこと。

このハッキングの実証実験では、研究者はターゲット車両の地理的位置を特定し、それをリアルタイムで追跡し、実際に追尾して、遠隔操作でエンジンを切り、車を停止させ、ドアのロックを解除した。研究者は、脆弱な車両を乗っ取るのは「取るに足らない」ことだったと述べた。さらに悪いことに、車のモデルを特定できる場合もあり、高価な車を見定めて乗っ取ることを容易にする。

さらに研究者は、車載マイクロフォンの音声を聞くことができることまで発見した。それは、緊急サービスへの電話や、ロードサービスのために、Pandora社のアラームシステムが備えているものだ。

Pen Test Partnersの創立者であるKen Munro氏は、これは彼らとして「最大の」プロジェクトだったと、TechCrunchに語った。

こうした脆弱性の深刻さを考慮して、研究者は7日間の開示期間を設け、PandoraとViperの両社に連絡を取った。両社とも即座に応答し、この欠陥に対処した。

問い合わせに対し、ViperのChris Pearsonは、その脆弱性が修正されたことを認めた。「悪意によって使われた場合、その欠陥によって承認なしに顧客のアカウントにアクセスされる可能性がありました」。

Viperによれば、サービスプロバイダによる最近のシステムアップデートのせいで発生したバグであり、問題は「すみやかに修正された」ということだ。

「Directed社(Viperの親会社)は、この脆弱性が存在した短期間の間に、顧客データが露出されることもなく、承認なしにアカウントがアクセスされたこともなかったと確信しています」と、Pearson氏は述べた。しかし、会社がどうやってそういう結論に達したのかという証拠は明らかにしなかった。

一方、PandoraのAntony Noto氏は、長いメールで研究者の指摘に反論した。要約すると、「システムの暗号化は破られず、リモートコントロールはハッキングされず、タグは複製されていません」ということ。「ソフトウェアの不具合により、一時的に短期間だけデバイスにアクセスすることができましたが、現在は対処されています」。

今回の調査は、CalAmp社に対して昨年行われたVangelis Stykasによる研究に続くもの。同社はViperのモバイルアプリの基盤となっているテレマティックスを提供している。Stykasは、後にPen Test Partnersに入社し、カーアラームの調査プロジェクトにも携わった人物。Viperのアプリが、アプリ内にハードコーディングされた認証情報を利用して中央のデータベースにログインしていることを発見した。それにより、ログインしている人は誰でも、接続された車をリモートコントロールすることができる状態になっていた。

(関連記事:Outdoor Tech’s Chips ski helmet speakers are a hot mess of security flaws

原文へ

(翻訳:Fumihiko Shibata)

プライバシーに税金を

モバイルデバイスを追跡することによるデータ収集は大きなビジネスであり、政府がこうしたデータを収益化するのを手助けする企業の可能性には莫大なものがある。消費者にとっては、誰が、何のために、どこでデータを流通させているのか、ということに対して自衛するのは、ほんの初歩的なものに過ぎない。現在の問題は、あなたのデータが、新しい税金、料金、債務として、あなたにお金の負担を強いていないことを、どうやって確かめるのか、ということにある。特に、このデータから恩恵を受けるのが政府だった場合は問題だ。それを保護する役割を担っているのも政府なのだから。

個人データ収集の発達は、プライバシーを擁護しようとする人にとって、大きな悩みのタネになってきている。そのほとんどの懸念は、どんなタイプのデータが収集されているのか、それを誰が見ているのか、そしてそのデータが誰に売られているのか、という点に集約されている。しかし、より深刻な問題は、その同じデータが、監査やコンプライアンスの料金という名目で金儲けに使われる可能性があるということなのだ。

実のところ、もはや企業や消費者を追跡して課税するために、大規模なインフラは必要ない。州政府と自治体にも、それが分かっている。

その結果、モバイル追跡技術を利用した年間数十億ドル規模のビジネスが、毎年指数関数的に成長することになった。

スマートシティ(あるいは州)の課税や料金徴収を手助けしている企業にとって、収益の上昇傾向は重要だが、それは矛盾をはらみ、複雑さに満ちたものとなっている。最終的には、そうした会社が採用しているビジネスモデルや、そうした会社に多額の投資を行っている投資家にとって深刻な問題を引き起こす可能性がある。

写真提供:Getty Images/chombosan

プライバシーの擁護者が、モバイルデータの収集に関して懸念を表明する際の、最も一般的な論点は、消費者がほとんどすべての場合にオプトアウトする権限を持っているか、ということ。しかしながら、政府がこのデータを利用するとき、必ずしも常にそのオプションが用意されているとは限らない。そしてその結果は、消費者のプライバシーを税金や、何らかの料金として収益化することにつながる。今は、カリフォルニアや、その他の州が、市民のプライバシーと承諾の積極的な擁護者であると自認しているような時代だ。そのため、こうした状況は、控えめに言っても、関係する人すべてをやっかいな立場に置くことになる。

スマートシティと次世代の位置情報追跡アプリの結び付きは、より一般的なものになりつつある。AI、常に稼働しているデータフロー、センサーネットワーク、および接続されたデバイスは、持続可能で公正な都市の名のもとに、新しい収益を生むものとして、すべて政府によって利用されている。

ニューヨークロスアンジェルス、およびシアトルは、最終的には何らかの形で個人データから収益を得ることになるような、一種の通行料制度を実施している。あるいは、実施しようとしている。1919年に最初のガソリン税を導入したオレゴン州では、2年前からOreGoと呼ばれるプログラムを始めた。それは、走行した距離のデータを利用して、運転者に料金を請求するというもの。一般道や高速道路のインフラ整備の問題に対処するためだ。

画像提供:Shutterstock

さらに多くの州政府や地方自治体が、同じような政策の採用を検討しているので、こうしたデータから収穫を得ようとしている企業や投資家にとっての収益機会は確かなものとなっている。Populus(ポートフォリオ会社)は、都市がモビリティを管理するのを補佐するデータプラットフォームだ。UberやLyftのような会社の車両からデータを取得し、都市が政策を制定して料金を徴収するのを支援する。

同様に、ClearRoadは「ロード・プライシング・トランザクション・プロセッサ」であり、自動車からのデータを活用して、政府が道路の利用状況を把握し、新しい収入源とすることを補佐する。一方、Safegraphは、アプリ、API、あるいはその他の配信情報を利用して、スマートフォンから毎日何百万もの追跡情報を収集している会社だ。多くの場合、それを開示する仕事はサードパーティに任せている。このようなデータは、スマートシティのアプリケーションへの道を切り開くものだ。その影響は、不動産市場からギグ経済まで、さまざまな業界に及ぶだろう。

「位置情報、3Dスキャン、センサートラッキング、その他の技術を利用している企業はたくさんあります。つまり、サービスの有効性を向上し、政府が新たな収入源を見つけるための機会もそれだけ多いのです」とClearRoadのCOO、Paul Salamaは述べている。「制定された法律ではなく、コンピュータによる規制を信頼できれば、もっとダイナミックな統制を認めることができます。それは自動車だけでなく、騒音公害、微粒子の排出、臨時の標識など、多くの領域に及ぶでしょう」。

こうしたプラットフォームやテクノロジーのほとんどは、善良な政策と持続可能な都市の基盤を生み出すことで、公共の利益に貢献しようとしているものの、個人のプライバシーと、差別の可能性についても懸念を投げかけている。それは本質的に矛盾をはらんでいる。というのも、州政府は、表面的には過剰なデータ収集を抑制するような任を負いながら、時には消費者による同意も選択肢もなしに、その同じデータを利用して州の財政を潤すという側面も持っているからだ。

画像提供:Bryce Durbin

「人々は自分のプライバシーを気にかけているので、徹底的な議論を要する側面もあります」と、Salamaは言う。「しかし、われわれは、そのデータの統括管理に関する多くの未知の部分について話をしているのです。ある時点で、ある種の展望がきっと得られるはずですが、それにはまだ時間がかかるでしょう」。

政策立案者や一般の人が、携帯電話の追跡と、それにともなう、ほぼまったく規制されていないデータ収集について意識するようになるにつれて、この分野の企業が直面する課題が明らかになってきた。それは、かなり深刻なプライバシーに関する懸念とのバランスを取りながら、どうやって社会的に有益なデータを抽出し尽くすか、ということだ。

「選択肢を用意すべきでしょう」と、Salamaは続ける。「その例が、ユタ州の方法です。来年から電気自動車は(ガソリン税に代えて)定額を支払うか、距離に応じて支払うかを選べるようになります。距離に応じた支払いはGPSによるものですが、その他の手法も用意されています。いずれにしても、実際の使用状況に応じた支払いとなるのです」。

結局のところ、政府にとって、規制と透明性を両立できるものが、今後最も有望な方法となるだろう。

画像提供:Getty Images

ほとんどの場合、消費者または納税者にアクセスする方法は、彼らが共有するエコノミービークル(自動車、スクーター、自転車など)か、彼らが使っているモバイルデバイスのいずれかを通したものとなる。車両に対する課税は間接的なものであり、政府がそうしたデータから収益を得ることに対する言い訳を与える余地も含んでいる。それに対し、モバイルアプリを通じて収集されたデータを利用して市民に直接課税することを言い訳することはできない。

政府にとって、そうした本質的な矛盾を回避するための最善のシナリオは、何らかのメリットと引き換えに自発的な利用を促すか、ユタ州のガソリン税に代わる道路使用料の支払い方法の選択肢のように、課金方法のオプションを用意することだろう。特に個人のデータを精査しようとしているのが政府であれば、それによってプライバシーに関する懸念がすべて払拭されるわけではないとしても、少なくとも選択という方策と、分かりやすいメリットを提示できる。

もし、データの収集と共有が、依然として主にB2Bビジネスやグローバル企業だけの特権だとしたら、おそらくデータ収集の方法や利用に対する抗議の高まりは、もっと目立たないままだっただろう。しかし、データの利用が日常生活のさまざまな部分に浸透し、スマートシティや政府によって全国規模で採用されるにつれて、プライバシーに関する疑問が厳しいものになることは避けられない。特に、市民たる消費者が、財布の中身の危険を察した場合にはなおさらだ。

人々の意識が高まり、本質的な矛盾があらわになるにつれて、規制が確実に追加されるはずだ。それに対応できないビジネスは、その収益を脅かすようなビジネスモデルの根本的な危機に直面することになるだろう。

画像クレジット:nolifebeforecoffeeFlickrCC BY 2.0ライセンスによる)

原文へ

(翻訳:Fumihiko Shibata)

ファーウェイが米政府を提訴、自社機器に対する禁則は「憲法違反」と主張

ファーウェイは、スパイ行為と米国のイランに対する制裁と関連した銀行詐欺の嫌疑から身を護るために、米国政府に対する訴訟に踏み切った。米国時間3月6日の夜に行われた記者会見でファーウェイは、米国政府を訴訟したことを発表し、同社の製品の使用を連邦政府機関とその契約企業に対して禁ずることは「適正な司法手続きを欠いており憲法違反だ」と主張した。

同社は世界最大の通信機器メーカーで、またスマートフォン市場ではApple(アップル)に対する脅威を日に日に増している。ファーウェイの米本社のあるテキサス州で提出された訴状の中核にあるものは、National Defense Authorization Act(国防権限法)に2018年8月に追加された第889条が憲法違反だとする、同社の主張だ。

第889条には、連邦政府機関がファーウェイの機器やサービスを調達したり、ファーウェイの機器やサービスを使っている契約企業と協働したり、あるいはファーウェイ製品の調達に使われる補助金や政府融資に支出することを防ぐ規定がある。

3月6日の記者会見でファーウェイの輪番会長を務める郭平(Guo Ping)氏は「米議会はその規定を支持する証拠を提供していないし、ファーウェイへの禁則ための適正な司法手続きを行っていない」と言った。同社は、その規定に対する終局的差止め命令を求めている。

郭氏はこう語る。「これまでの30年間、弊社製品のセキュリティにはまったく問題がなかった。ファーウェイがバックドアをインストールしたことはないし、他社がわれわれの機器にバックドアをインストールすることも絶対に許さない。米国政府はわれわれのサービスを脅威と決めつけているが、その非難を正しいとする証拠を示したことは一度もない。米国政府は証拠提出の努力もせずに、一方的に企業に汚名を着せているだけである。さらにひどいのは、われわれを他の国でもブロックしていることだ」。

米国の政府職員たちはかなり前から、国内企業と他国の政府がファーウェイの機器を使わないよう警告していた。「中国がそれらの機器を使って諜報活動をしているおそれがある」とされた。2017年に成立した中国の法律は、「すべての団体と市民が法に即した国の諜報努力を支持し、援助し、協力することおよび、彼らが知っている国の諜報活動の秘密を保護すること」を要求している。

ファーウェイの法的行為は、ライバルのZTEと米国政府の間で昨年到達した和解と対照的である。ZTEが10億ドルの罰金を払うことに同意したあと7月に、米国はZTEが米国のサプライヤーに販売できないようにしている禁則を解除する、と発表した。それまでの捜査では、その中国の通信機器メーカー(ZTE)が、イランおよび北朝鮮と取り引きすることにより、米国の制裁に違反している、とされていた。

肥大する脅威

ファーウェイに関する懸念は、同社が5Gの技術における中心的な中国企業へと成長したことにより、一層エスカレートしている。5Gは、自動運転車や遠隔手術などの未来的な通信技術を支えるネットワーク技術だ。その背景には、世界全体の5G化をリードしたいとする中国の野心がある。そのため中国政府は5Gの商用ライセンスの発行を急ぎ、消費者の関心を喚起しようとしている。

今年の初めに米国司法省はファーウェイと同社の財務担当役員Meng Wanzhou(孟晩舟)氏を、米国のイランに対する制裁を回避する事業行為により刑事告訴した。孟氏は今週、彼女の権利を侵犯したとしてカナダ政府と警察を告訴した。その権利侵犯とは、彼らが12月に米国政府のために彼女をカナダ国内で拘留したことを指している。

ふだんはあまり人前で話すことのないファウンダーのRen Zhengfei(任正非)氏をはじめファーウェイの役員たちは、同社の機器にバックドアがあることを断固否定した。最近任氏は、米国が彼の会社の進路を妨害することはできない、と宣言し、彼の娘である孟氏の逮捕を、“政治的動機に基づく許しがたい行為”と呼んだ。

このファーウェイ騒動は、米国と中国の貿易紛争が長引いている間に生じた。世界の二大経済圏の間で緊張がこれ以上増せば、イノベーションを扼殺するとの論評もある。世界中の国が今では、投資とサプライチェーンのリソースと技能労働者をますます中国に依存するようになっている。しかし同時にその多くは、セキュリティで米国との連合に依存している。

【アップデート】ZTEの件と貿易戦争について米国時間3月7日に加筆。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Augustのワイヤレスドアベルカメラ「View」が今月2.6万円弱で発売

スマートホームのメーカーであるAugust Viewは、CESでは何もローンチせず自分のブランドのささやかな紹介だけで終わった。でも同社に関する初期のリークは、もっぱらドアベルカメラに集中していた。

そのワイヤレスの新機種は、余計なもののないすっきりしたデザインになり、1440pのセンサーで精細度を高めている。基本的にはAugustの既存のドアベルカメラ製品がベースで、モーションアラート(動きを検知して警報)や、オンデマンドのストリーミング機能がある。

ビデオはズームして顔などをアップにできる。料金は、15日から30日までの留守の間は課金されない。

当然ながら、同社のほかの製品との互換性があり、その一連の製品はアパートなど、勝手にAC電源を引けない住まいに適している。

3月28日に230ドルで発売される。お安くはないが、Augustでスマートホームを揃えようとしている人なら買いだ。この新デザインは、表面カバーが4種の素材(サテン調ニッケル、オイル塗りブロンズ、サテン調真鍮、ミッドナイトグレー)×4種の色(黒、赤、青、白)で計8種ある。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Flickrへのログインが10年ぶりにYahooから解放された

嬉しい!感動!やっと自由になれるわ!Flickrのログインシステムが、ついにYahooと縁を切った。この写真共有プラットホームは米国時間3月4日、今後数週間かけて全会員に、YahooのIDが要らない新しい認証システムを提供する、と発表した。この‘制度’はYahooがFlickrを買収した2年後の2007年に導入され、ログインに際して誰もがYahooの認証情報の入力を要求されるので、長年のFlickrユーザーに今でも嫌われている。その後Flickrは2018年4月にSmugMugに買収され、同社のブログに載った記事によると「コミュニティの最大の要望がやっと実現した」。

今のFlickrには、Instagramがまだなかったころのような輝きはないかもしれないが、私も含めまだ多くのユーザーが長年写真をアップロードしているし、スマートフォン全盛期以前に撮った写真のアーカイブとして利用している。でも、Yahooのログインシステムは必要以上に面倒で、とくにYahoo Mailなど、Yahooのほかのサービスのユーザーでなくて、パスワードをしょっちゅう忘れるユーザーには苦痛だった。Yahooはその後2回も、膨大な量のデータ侵害にやられたため、Flickrは使うがYahoo本体はまったく使わないユーザーは、さらに憤慨した。

でも、新しいログインシステムが行き渡るまではまだ、Yahooの認証情報を使わなけれがならない。そんなときは、ログイン用の新しいメールアドレスと新しいパスワードをFlickrに送るとよい。するとFlickrはそれ以降、認証やメール送付用にその新しいアドレスを使うようになる。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

MWC 2019に見るモバイル技術の多様化でスマホ以外にもハイライト

長年、話だけが先行した5Gが、やっとMWC 2019に到着した、かのようだ、あくまでも。バルセロナは、今年後半に発売される数種の5Gハンドセットの打ち上げ台になった。と、これもあくまでもぼくの個人的感想だけど。

もうひとつ、話題が先行していたスマートフォンの技術、フォルダブルディスプレイも、ついに日の目を見た。数社がフォールダブル機を発表し、中にはハンドセットとして価格が決まってるものもあったが、コンセプトだけというところも多かった。そしてその多くは、ガラスケースの中に鎮座していた。

そのほかの注目すべきトレンドは、カメラ、AR/VR、そしてありとあらゆるセキュリティだ。以下に、この世界最大のモバイルショーの傑作と駄作の両方をご紹介しよう。そして今年はその両方が、これから先の変化に賭けていたのだ。

5Gの成熟

MWCの話題としては長年主役級だったが、今年は実物の5Gハンドセットがついに登場した

Huawei Mate X
LG V50 ThinQ 5G
Samsung Galaxy Fold
Samsung Galaxy S10
Xiaomi Mi Mix 3
ZTE Axon 10 Pro 5G

昨年、5G列車に最初に飛び乗ると約束していたOnePlusはハンドセットを発表しなかったが、プロトタイプをデモし、クアルコム(Qualcomm)や英国のEEと共催する5Gアプリのコンテストを発表した。

未来は折りたたまれていたか

折りたたまれていたのは、顧客のお財布だろう。最初のフォルダブルが、平均2000ドル弱という価格で登場した。それはまるでスマートフォンを2台買うようなお値段だが、確かにスマートフォンが2つあると考えてもよい。でも実際に2000ドルの価値があるのか? それはまた、別の問題だ

Huawei Mate X
Samsung Galaxy Fold

TCLはプロトタイプを出品して、来年中にはもっとスペース効率の良い製品を出す、と約束した。オッポ(Oppo)も、まだまだプロトタイプの段階だ

AR/VR/MR

世界最大のスマートフォンショーの最大のヒットは、スマートフォンではなかった。マイクロソフト(Microsoft)はこのイベントを利用して、同社HoloLensの第2世代機をローンチした。それは、ビジネスにしっかりフォーカスしたヘッドセットだ。

Microsoft HoloLens 2
Microsoft Azure Kinect
Vive Focus Plus
Qualcomm XR chips

セキュリティ

同社の5G機器をめぐってセキュリティの脅威が喧伝されているHuaweiには、言いたいことが山のようにあった。その点では欧州委員会(EC)のデジタルコミッショナーも同じだ。一方、Androidは今後ますます、パスワード不要のログインを目指すようだ。

その他

Energizer18000mAhスマートフォン
Lightはスマートフォンのカメラから自動運転車に事業拡張
HTCのブロックチェーンフォーンを法定通貨で買える
Sprint5月に4都市で5Gサービス開始
Facebookがインターネットインフラプロジェクトを拡張
microSD Expressフォーマットは超高速な転送と長いバッテリー寿命を約束
スマートフォン全体がウェアラブルになるNubia

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

アプリの正常アクセスに潜む犯行を見破り撃退するCequence Securityが1700万ドル調達

アプリケーションを、そのビジネスロジックに対する攻撃から護るCequence Securityは米国時間2月27日、シリーズBで1700万ドルを調達したことを発表した。

このラウンドはDell Technologies Capitalがリードし、昨年同社のシリーズAで800万ドルをリードしたShasta Venturesが参加した。これで同社の調達総額は3000万ドルになるという。

Larry Link CEOによると、同社の仕事はアプリケーションを一見正常に見える犯行から保護することだ。特に同社が探すのは、ビジネスロジックに対する自動化ボットの攻撃で、具体的な例としては、コンテンツの窃盗、アカウントの乗っ取り、嘘の悪評の拡散、ショッピングボット、偽アカウントの作成、在庫拒否などの悪行だ。

アプリケーションを護るための同社のサービスは、1)アプリケーションの脆弱性を見つける発見フェーズ、2)その傷口を悪用している者を突き止める検出フェーズ、3)攻撃を防御し追い払う防御フェーズ、以上の3段階で行われる。

スクリーンショット提供: Cequence Security

今回の投資をリードしたDTCのDeepak Jeevankumarマネージングディレクターは、Link氏を経験豊富で優れたリーダーと認識している。彼はPalo Alto Networksで営業を5年統轄し、同社の成長を助けた。Jeevankumer氏はCequenceの技術者チームも気に入っていて、彼らはSymantecのマルウェア対策プラットホームの開発に携わった連中だ。Jeevankumar氏はこう言う。「同社は、市場をよく知っているリーダーと、短期間でFortune 100社の信頼を獲得したサイバー技術者たちとの完璧な組み合わせだ」。

Jeevankumer氏が同社のやり方で好きなのは、アプリケーションの従来のセキュリティ戦略とはかなり違うところだ。彼は曰く「従来のWebアプリケーション用ファイヤーウォールやDDoS対策製品、RASP/IAST/DASTなどのアプリケーションセキュリティベンダーは、主にコードレベルの問題を見るので、ビジネスロジックレベルの攻撃には疎い。でも今では企業の多くが、ますます多くのセキュリティ投資を、そういう‘ビジネスロジックセキュリティ’に投じている」。

Cequence Securityは11月にステルスを脱した若い会社だが、Link氏によると顧客企業の案件の平均金額サイズは50万ドルとかなり大きい。今回の資金は主に、営業とマーケティングのチーム作りに充て、彼らの教育とともに、金融サービスやソーシャルメディア、リテール、ゲームなど、これまでこのタイプのセキュリティ、ビジネスロジックへの攻撃対策が比較的お留守だった企業を顧客にしていきたい、という。

同社が創業されたのは2014年だが、プロダクトの制作に時間を要し、やっと昨年ビジネスにこぎつけた。現在、34名の社員がカリフォルニア州サニーベールの本社で仕事をしている。社員数は今度の資金で相当数増やせるだろう。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

米運輸省が旅客機貨物内へのリチウムバッテリー持ち込み禁止に

米国運輸省と連邦航空局は水曜日、リチウムイオン電池の潜在的な危険性から航空客を守るための新ルールを導入した。新たな暫定最終ルールでは、旅客機貨物内のリチウムイオン電池・バッテリーを禁止する。新ルールではまた、貨物機で運ぶリチウムイオンバッテリーについて、30%以上の充電は不可とする方針も示している。

「この新ルールは、交通面でリチウムバッテリーが抱える問題を解決し、公共輸送の安全を強化する」と運輸長官Elaine L. Chao氏はコメントした。

2016年、国連の国際民間航空機関は、貨物スペースでの火災を防ごうと似たような制限を導入している。新ルールは、国連の制限を米国の規則として成文化したもので、機内への電子機器の持ち込みを認めているガイダンスには影響しない。

FAAの最新のファクトシートには、貨物スペースでのリチウムバッテリーの扱いをすぐさま禁止するわけではないが、預け荷物に入れるのではなく機内に手荷物として持ち込むよう促している。

スマホやタブレット、ラップトップといったリチウム金属またはリチウムイオンバッテリーを含むデバイス類はキャリーオンバッゲージに保管すべきだ。もしこうしたデバイスが預け荷物に入れられるのであれば、誤ってアクティベートされることがないよう、そしてダメージから守られるよう、デバイスは完全にオフになっていなければならない。

新たなルールで航空客はこれまでと異なる行動をとる必要はないが、バッテリーやデバイスを購入した消費者は、それらがフル充電されていない状態で届けられることに気づくかもしれない。

イメージクレジット: Derek Croucher / Getty Images

原文へ 翻訳:Mizoguchi)

FIDO2認証でAndroid上のアプリやサービスのパスワードレス化がさらに進む

今日(米国時間2/25)、GoogleとFIDO Allianceは Google Playを搭載したv7.0(Nougat)以降のAndroidがFIDO2準拠の認証を受けたと発表した。 これだけ聞くと何か退屈なニュースに思えるかもしれないが、そうではない。

これによってデベロッパーはユーザー認証にパスワードではなく、デバイスの指紋スキャナーやFIDO準拠のセキュリティー・キーを利用したアプリを開発できるようになる。

ログインの際いちいち長たらしいパスワードを入力するのが好きなユーザーはいない。しかもIT部門が社員に定期的なパスワードの変更を強制するようになってパスワードはますます厄介なものになってきた。

デベロッパーは、ウェブサービス、ネイティブ・アプリの双方でパスワードなしのログインを実装できる。 Chrome、Microsoft Edge、Firefoxの各ブラウザはすでにこの機能をフルにサポートしている。AppleのSafariもサポートしているが、プレビューのみだ。FIDO2は悪意あるサイトの認証を許可しないため、利便性に加えてセキュリティーを強化し、フィッシング防止にも効果が大きいという。

Googleのプロダクトマネージャー、Christiaan Brandはこう述べている。

Googleは長年、FIDO AllianceおよびW3Cと協力し、FIDO2プロトコルの標準化に努めてきた。FIDO2はパスワードを使わずにフィッシング攻撃からの保護をアプリケーションに提供するテクノロジーだ。今日のAndroidのFIDO2認証の発表は、このイニシアチブを前進させる大きな一歩となる。われわれのパートナー、デベロッパーにあらゆるAndroidデバイスでキーストア・システムにアクセスするための標準化された手段を提供する。これは既存のデバイスのアップデートでも、今後発表されるモデルにも有効であり、ユーザーに指紋スキャナーなどのバイオメトリクス・データによる認証手段を提供する。

Androidはーティブ・アプリに関してはすでにパスワードレスの認証をサポートしている。しかし今後はブラウザを通じてログインすることが必要なサービスにもパスワードレス認証が拡大されることになる。ユーザーがこの機能を設定し(かつウェブ・サービス側でもサポートすれば)、デバイスは指紋などあらゆるバイオメトリクス・データを暗号化して安全に保存する。第三者にはこのデータを読み取る方法はない。

FIDO Allianceによれば、この新しいメカニズムは最新のAndroidを搭載した10億台のスマートフォンで有効になり、パスワードレスのログインを可能にするという。ウェブであれネーティブ・アプリであれ、この機能を利用するにはまずデベロッパー側でコードをアップデートする必要がある。しかしこれは技術的に比較的簡単だという。

原文へ

滑川海彦@Facebook Google+

Opera TouchではiOS上でWebサイトのクッキーをブロックできる

昨年の秋にOperaは、Opera Touch for iOSをリリースした。それはSafari on iPhoneと肩を並べる優れたモバイルブラウザーで、スマートフォンの片手操作に向けて最適化されている。今日(米国時間2/22)同社は、このアプリに注目すべき新たな機能を加えた。それは、クッキーブロックだ。これがあると、Webサイトのクッキーを受け取るようしつこく求めるダイアログを、自動的にブロックできる。モバイルではこのダイアログが全画面を邪魔してしまうこともあるから、とりわけこの機能が重要だ。デスクトップの広い画面なら、ポップアップするバナーを単純に無視するだけでもよい。

ヨーロッパのGDPRという厳しいプライバシー規則の結果、クッキーの導入はいちいちユーザーの許可が要るようになり、許可を求めるダイアログがやたら出るようになった。それを、単純に邪魔だと感じるユーザーが多い。いちいち[No!]をクリックするのは面倒だし、仕事などで特定の情報を探しているときなんかは、ひたすらうっとおしい。

クッキー・ブロックは最初11月に、Android上のOperaに登場したが、Operaにかぎらず他のブラウザーもiOSはまだだった。同社は、プロンプトをブロックするためにCSSのルールとJavaScriptによるヒューリスティクスの組み合わせを使ったそうだ。

Android上でローンチしたときOperaは、その機能を15000ぐらいのサイトでテストした、と言った。

なお、Opera Touchのクッキー・ブロック機能は、デフォルトではクッキーのセットがOKになっているから、注意しよう。

つまり、この機能を有効にすると、クッキーの許可を求めるダイアログがそもそも出なくなるから、Web閲覧の邪魔者がいなくなる。しかしCookie Blockerオプションをonにしただけでは、“クッキーダイアログを自動的に受け入れる”になってしまうのだ。

このiOS版Operaブラウザーには、そのほかの機能も多い。人によっては、SafariやGoogle Chromeよりも役に立つかもしれない。

たとえば、広告ブロックや、暗号通貨の無断採掘のブロック機能がある。またOperaの”Flow”技術により、WebのコンテンツをスマホからPCに送ることができる。でもたぶんいちばん重要なのは、スマホの片手操作のしやすさに力を入れていることだろう。

4月にローンチして以降、このブラウザーの新しい機能は23にもなった。その中には、ダークモードや、プライバシーモード、検索エンジンの選択、などの機能もある。それにより、QwantやDuckDuckGoのような、マイナーだけど特長のある検索エンジンを使える。

このiOSアプリは無料でダウンロードできる

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

iPhoneやiPadを安全に使用するための5つの設定

AppleのiPhone・iPad用モバイルソフトウェアiOS 12がリリースされた。この新しいソフトウェアには、おそらくあなたが聞いたことのあるたくさんの新セキュリティ・プライバシー機能が盛り込まれている。新たなセッティングとロックの利点を最大限活用する方法を紹介しよう。

1.  ハッキングされにくくするためにUSB制限モードをオンにする

この見つけにくい新機能は、あなたのiPhoneやiPadが1時間以上ロックされた状態のとき、USBケーブルやヘッドフォンなどあらゆるアクセサリーをあなたのデバイスに接続できないようにする。これにより、警察やハッカーたちがあなたのロックスクリーンパスコードを回避する手段を使ってデータにアクセスするのを防ぐことができる。

設定からTouch ID&パスコードにいき、パスコードを入力する。それから画面を下にスクロールしてロックスクリーン上でのUSBアクセサリが許可されていないことを確かめて、その状態で設定をオフにする(iPhone XではFace IDをチェックする)。

2. 自動iOSアップデート機能がオンになっているか確認する

あなたのiPhoneやiPadがアップデートされるたびに、クラッシュやデータ盗難を防ぐための多くのセキュリティ機能が展開される。だが、あなたはどれくらい頻繁にアップデートしているだろうか。多くの人は、メジャーなアップデートでない限り気にかけていないのではないだろうか。しかしiOS 12はバックグラウンドでアップデートされるので、端末が使えなくなる時間はない。アップデート機能がオンになっていることを確認しよう。

設定から、一般ソフトウェア・アップデートにいき、自動アップデートをオンにする。

3. 強力なパスコードを設定しよう

近年iOSではパスコードが大幅に改善されてきた。何年もの間、4桁のコードがデフォルト設定されていたが、今は6桁だ。組み合わせの試行錯誤をかなり困難なものにする。

しかし、数字コードの桁数を変えられると知っているだろうか。8桁、12桁、いやそれ以上に設定できる。ロックスクリーン上にキーパッドが表示されるのでキーボードをいじり回す必要はない。

設定からTouch ID&パスコードにいき、パスコードを入力する。そしてパスワード変更にいき、オプションからカスタム数字コードをセットする。

4. 2ファクタ認証をオンにする

2ファクタはアカウントを安全にするために最も効果的な手段の一つだ。もし誰かがあなたのパスコードを盗んでも、アカウントに侵入するにはその端末を必要とする。何年もの間、2ファクタは使いづらくて煩わしいものだった。しかしiOS 12では自動的にコードを入力する新機能がある。なので、フラストレーションを感じずにすむ。使わない理由はない。

電話をセットアップするとき、2ファクタをオンにするよう案内されるかもしれない。あるいは、設定にいって名前をタップし、パスワード&セキュリティにいく。そして、2ファクタ認証をオンにする、をタップするだけだ。あとは案内に従う。

5. 再利用パスワードを今すぐ変更しよう

iOS 12のパスワードマネジャーには、パスワード監査という新機能がある。この機能では、もし複数のサイトと同じパスワードをあなたが使ったら、警告を出し、そうしたパスワードを変更するようアドバイスする。これは、ハッカーが同じユーザーネームとパスワードを使って複数のサイトやサービスに侵入するのに使うパスワード再利用攻撃(“クレデンシャルスタッフィング”として知られている)を防ぐ。

設定からパスワード&アカウントへ、さらにウェブサイト&アプリパスワードにいき、パスコードを入力する。再利用パスワードが認識されたアカウントの横には小さな警告マークがついている。ウェブサイトでパスワードを変更する、を1回タップすればそれで終了だ。

イメージクレジット: TechCrunch

原文へ 翻訳:Mizoguchi)

Huaweiのファウンダーは強気、“アメリカがうちを潰すことは不可能”

アメリカに負ける気のないHuaweiのファウンダーは、“アメリカがうちを潰すことはありえない”、と公言した。

同社を通信企業として1987年に立ち上げたRen Zhengfeiは、公(おおやけ)の声明などをあまりしない人物だが、BBCのインタビューに珍しく応じ、アメリカ政府からの圧力がますます強くなりつつあるが、そんな中で同社の事業は強力に伸びている、と強気に語った。アメリカ政府は、同社のイランとの取引を犯罪と見なしている。その告発により同社CFO Meng Wanzhouは、カナダを旅行中に拘束された

RenはBBCに、通訳を介してこう語った: “うちには他よりも進んだ技術があるので、世界中がHuaweiを必要としている。今後より多くの国を、一時的にうちを使わないよう説得できたとしても、それによる弊社の事業規模の縮小はごくわずかだ。アメリカがうちを標的にしつづけて、うちを悪者扱いすればするほど、うちは製品とサービスをますます改良せざるをえなくなる”。

Renは、近くアメリカに引き渡されるかもしれない娘のMengの逮捕について、“それは受け入れ難い政治的動機に基づいている”、と言う。

Renは曰く: “Meng Wanzhouが自由を失ったことによる、Huaweiの事業へのインパクトはまったくない。むしろ、この間にもさらに成長の速度は上がっている。彼女を逮捕すればHuaweiはこける、と考えたのかもしれないが、こけるどころか前進を続けている”。

めったにインタビューに応じないHuaweiのファウンダーRen Zhengfeiが、アメリカ政府からの圧力と同社のCFOである彼の娘のカナダでの逮捕についてBBCに語った。

法律は政府と政府契約企業によるHuawei製品の使用を禁じている。それには一連のネットワーキング機器とインフラストラクチャ、およびスマートフォンが含まれる。そして同盟国にも、これに従うよう説得している。オーストラリアニュージーランドおよび日本がこれに従った。日本は12月にHuaweiとZTEの機器を禁じ、オーストラリアとカナダ、ニュージーランド、およびイギリスの諜報部門のトップ(Five Eyesのメンバー)は、2018年の終わりに同様の合意に達した、と言われている

しかし今週Huaweiは、その決定の執行猶予を勝ち取った。Financial Timesによると、イギリスの情報部門のトップは、スパイ活動に関する懸念(アメリカはHuaweiを北京のプロキシとして働いている、と非難している)は管理可能であると信じている。これによってイギリスの通信事業者は、自由に中国企業と協働して彼らの5Gネットワークを構築できることになる。

この明白な信任票は、アメリカの立ち位置と鮮やかなコントラストをなし、Huaweiはイギリスにおける事業活動とプレゼンスを強化できるだろう。

RenはBBCにこう語っている: “うちはイギリスで投資を続けるし、依然としてイギリスを信頼している。イギリスも、うちを今以上に信頼してほしい。今後イギリスで投資を増やすのは、アメリカがうちを信頼しないのなら、投資をイギリスへ、もっと大規模にシフトせざるを得ないからだ”。

イギリスの心変わりは、かなりのサプライズだ。アメリカからの圧力でVodafoneはHuaweiからの調達を休止したが、昨年発表された政府専門委員会の報告書は、“〔製品を買わないことによって〕イギリスの重要なネットワークへのHuaweiの関与による、イギリスの国家レベルのセキュリティリスクが十分に軽減されたとする確証は、きわめて限定的なものである”、と言っている。

関連記事: Without proof, is Huawei still a national security threat?…証拠がないのにHuawaiは国のセキュリティの脅威か?(未訳)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

サイバーセキュリティに関するニュースを扱ってきて思うのは、同じ嘘の1つの言い回しがあるということだ。「我々は、あなたのプライバシーやセキュリティを真剣にとらえている」。

このフレーズをあちこちで耳にしたことがあるだろう。データ流出が明らかになったときの企業の常套句だ。顧客への“不徳の致すところ”的な電子メール、またはあなたのデータには気を配ってると言いながら、次の文では往々にして誤使用や紛失を認めるというウェブサイトでの公表によく見られる。

ほとんどの企業があなたのデータのプライバシーやセキュリティなど気にかけていない、といのが実情だろう。彼らが気にかけているのは、データが盗まれたということを顧客に説明しなければならない、ということだ。

企業が私のプライバシーを尊重すると言うとき、それが何を意味するのか私は正確に理解できない。もしプライバシーを尊重するというのが事実であるなら、あなたに関するデータを広告会社に売るGoogleやFacebookのようなデータに飢えた企業は存在しないはずだ。

私は、このお決まりのフレーズがどれくらい頻繁に使われているか気になった。で、データ流出やセキュリティの不備でカリフォルニア州の法律に基づいて州法務長官に提出された通知届をかき集め、つなぎ合わせ、そしてマシーンで読み取れるテキストに変換した。

全部で285のデータ流失の通知届の約3分の1が、このお決まりフレーズを含んでいた。

このフレーズは、企業があなたのデータを気にかけている、ということを示すものではない。次に何をすべきか理解していないことを示している。

ユーザーのことを気にかけていないという典型例がある。先週、我々はOkCupidユーザーが、彼らのアカウントがハックされたと苦情を申し立てたというニュースを報道した。おそらくアカウントは、ハッカーがユーザーネームやパスワードのリストを入手し、力ずくでのっとるという、疑問を持たれないようなやり方でハックされたのだろう。他の企業は、そのような攻撃から学習し、二段階認証を導入するなどアカウントのセキュリティを向上させるのに時間を費やしてきた。

だがOkCupidの対応は歪んだもので、自らを弁護し、否定するというものだった。ネガティブな話を処理する企業に見られがちな態度だ。それはこのようなものだった。

・歪み:「全てのウェブサイトは常にアカウントのっとりの試みにさらされている」とOkCupidは語った。

・弁護:「語ることはない」と後に他のメディアに語った。

・否定:この件について今後どのような対応をとるのか尋ねられ、「これ以上のコメントはない」と語った。

OkCupidがこの件を重く受け止めているという言葉や、どのような対策をとるのかについて聞ければ良かったのだが。

どの産業も長らくセキュリティを無視してきた。今日のほとんどのデータ流出が、何年間も、時に何十年もお粗末なセキュリティを展開してきて、そのツケが溜まって返ってきた結果だ。今日では、銀行だろうが、おもちゃメーカーだろうが、あるいはたった一つのアプリのデベロッパーだろうが、どの企業もセキュリティ企業でなければならない。

企業は小さなことから始められる。セキュリティに欠陥があるとき、どのようにコンタクトをとるかを人々に知らせる。バグ報告を推奨するためにインセンティブを展開する。正直な研究者に告訴しないと約束して安全を保障する。スタートアップの創業者はまた、最初からセキュリティ担当役員を役員メンバーに加えることができる。そうすることで、問題を起こしていない世界で最もリッチな企業の95%よりもうまくやれるはずだ。

しかし、そうした状況にはなっていない。その代わり、企業はただ罰金を払っているだけだ。

Targetは4100万ものクレジットカードを危機にさらしたデータ流出で罰金1850万ドルを払った。それに比べ、同社の通年の売上は720億ドルだ。Anthemは保険をかけている7900万人のデータを危機にさらし、罰金1億1500万ドルを払った。その年の同社の売上は790億ドルだった。それから、Equifaxを覚えているだろうか。2017年最大のデータ流出は大きな話題となったが、何も措置は取られなかった。

姿勢を変えるのを促すようなインセンティブがないため、企業は今後も意味のないおなじみの言葉を繰り返すのだろう。しかし、企業は何かをすべきなのだ。

原文へ 翻訳:Mizoguchi)

最強のVPNプロトコル、WireGuardがmacOSアプリになった

何年も前からWireGuardはもっとも有望なVPNプロトコルと見られてきた。これはローカル・コンピューターとサーバーの間に速度と安全性を両立させつつVPN接続を確立する優れたプロトコルだ。

今日(米国時間2/18)、このプロトコルのデベロッパーがWireGurad for macOSMac App Storeにデビューさせた。

注意すべきなのはWireGuardはあくまでVPNプロトコルでありOpenVPNやIPsecのようなサービスではないという点だ。そのため、WireGuardはネットワークの状態によらずVPN接続を維持する。Wi-Fi機器やケーブルを交換しようとノートパソコンがスリープ状態になろうとVPN接続が切断されることはない。

もちろんWireGuardでVPN接続するためにはローカルマシンだけでなくサーバー側もこのプロトコルをサポートしている必要がある。すでにWireGuardアプリはAndroid(ベータ)版、iOS版がリリースされているが、今日のリリースはmacOS版だ。

しばらく前からWireGuardのチームはmacOS版の開発を始めていた。しかし単なるサービスと違ってプロトコルをアプリとして提供するためにはいくつかの困難があった。パッケージ・マネージャーのHomebrewを利用すれば WireGuardツールをインストールすることは可能だったが、VPN接続をスタートするにはMacのTerminalからコマンドライン入力を行う必要があった。

しかしMac App版の登場で操作が非常に簡単人あった。Mac App Storeからアプリをダウンロードし、サーバー・プロフィールに追加するだけでよい。アプリのメニューバーにはドロップダウンメニューが用意されており、簡単にVPNの接続を管理できる。たとえば、Wi-Fiでインターネットに接続するときだけVPNを起動し、Ethernetケーブルで接続するときは起動しない、などのシナリオを設定できる。

私は実際にアプリをテストしてみたが、信頼性、高速性は期待どおりだった。WireGuardはAppleが標準とするNetwork Extension API を利用してVPNトンネルを付加する。この操作は設定のネットワークのパネルから実行できる。

WireGuardをテストしてみる場合、Algo VPNを利用して自分自身でVPNサーバーを立ち上げることを強く奨める。有料無料を問わず、サードパーティーのVPNを使うことはできるだけ避けるべきだ。VPN企業は自分のサーバー上でユーザーのインターネット・トラフィックをすべてモニターできる。これは大きなセキュリティー・リスクだ。

つまりVPN企業はユーザーのブラウズ履歴を分析する、広告主に販売する、独自の広告を忍び込ませる、身元を盗んでなりすましに手を貸す、捜査当局にオンライン履歴を引き渡す、等々が可能だ。

VPN企業のプライバシー規約は明白な虚偽だったりする。Aboutページさえ用意されず、運営者も身元も不明なサービスもあるし、大金を払って好意的なレビューや口コミを投稿させることもある。VPN企業のサービスは避けるに越したことはない。

とはいえ、信頼できないWi-Fiを使わねばならなかったり、ウェブに検閲が行われている地域を旅行しているなど、止むをえずVPNサービスを必要とする場合もある。そういうときは信頼できるサーバーを接続先に選ぶべきだ。

原文へ

滑川海彦@Facebook Google+

マリオットの情報流出、自分が被害者かどうか確認できるようになる

世界最大のホテルチェーン、マリオットはスターウッド・ホテルズの情報流出問題に関し、被害にあっているかどうかを顧客が自分で確かめられるようにする。

マリオットは、“宿泊客が暗号化されないまま流出したパスポート情報の中に自分のものが含まれるか、自分のパスポート番号を調べられるメカニズム”を準備したことをTechCrunchに明らかにした。この措置は、昨年明らかになったデータ流出で500万件ものパスポート番号が暗号化されない状態で盗まれたことを認める先月の発表に続くものだ。

セキュリティ会社OneTrustが提供するチェッカーでは、ユーザーは名前、電子メールアドレス、パスポート番号下6桁といった個人情報を尋ねられる。

マリオットは、昨年9月に明らかにした情報流出で“最大3億8300万人の宿泊客”の名前、住所、電話番号、生年月日、性別、電子メールアドレス、予約情報などを含むデータが盗まれた、としている。その後、暗号化された2000万超のパスポート番号と、860万もの支払いカード情報が盗まれていたことも明らかになった。クレジットカードに関しては盗まれたもののうち情報流出の時点で35万4000のカードが有効だった、と昨年9月に明らかにしている。

市民向けにチェッカーを使えるようにすることは、情報流出以来、この大規模な事件のマリオットの対応の中では前向きなものだ。マリオットは初期対応を誤り、多くのセキュリティ専門家が自腹でギャップを埋めるために介入した。

チェッカーはすぐに結果を表示せず、ユーザーは返事を待つ必要がある。それがどれくらいかかるのか、マリオットは明らかにしていない。自分が情報流出の被害にあっているかどうかを調べるのにサードパーティーに自分のデータを提出しなければならないというのは、ある種皮肉ではある。個人情報を提出するというのは文字通り、情報流出の被害にあった人が最もしたくないことだ。しかし、それが今私たちが暮らす社会であり、そうであるというのは最悪だ。

チェッカーの使用は自己責任で。

イメージクレジット: Getty Images

原文へ 翻訳:Mizoguchi)

FacebookにFTCが数十億ドルの罰金を課す可能性

Washington Postによると、FacbeookのFTC(連邦取引委員会)との争いは、同委員会史上最高額の罰金という結末になる可能性がある。交渉継続中と見られるなか、同紙は本件に詳しい筋2名から、FTCがFacebookに対して「数十億ドル規模の罰金」を課すという情報を得た。これは2016年の排ガス不正の際にVolkswagenと合意に達した 147億ドルの和解に匹敵する。

2012年にGoogleは、プライバシー規則違反でFTCと和解するために過去最高の2250万ドルを支払ったが、今日の基準では微々たる額だ。以前本誌が報じたように、FTCのその程度(あるいはその数倍)の罰金は、昨年わずか一四半期で130億ドルを稼ぎ出した企業にとっては容易に受け流せる金額だ。Facebookに億単位の罰金を課すことは、数百万ドルくらい一時の頭痛にしか感じない裕福な会社に罰を与える唯一の方法だ。

FacebookにFTCとの交渉状況について尋ねたところ、規制遵守に関するお決まりの文章を繰り返しただけだった。「われわは米国、英国その他の当局に協力している」とFacebook広報はTeChCrunchに伝えた。「当社は一般市民の証言を提示し、質問に回答し、当局の作業が続く限り協力することを約束した」

FTCがFacebookに記録的罰金を課す立場を固守すれば、Facebookは法廷で強く抵抗し、膨大な資金をつぎ込んで将来にわたって会社に影響を与える罰を避けようとするに違いない。このとてつもない金額はFacebookの最近のプライバシー違反の大きなシンボルとなり、たとえ実際に罰金が払われなくても、Facebookが何らかの透明性を担保し基準を明らかにするきっかけになるだろう。

Facebook fears no FTC fine

[原文へ]

(翻訳:Nob Takahashi / facebook

恋愛詐欺は被害総額がすべての消費者詐欺の中でずばぬけてトップ

連邦取引委員会(Federal Trade Commission, FTC)が発表したデータによると、昨年同機関に報告された消費者詐欺の中で被害総額がいちばん大きいのは恋愛詐欺であり、しかも問題は悪化している。恋愛詐欺の犯人たちはデートサイトやデートアプリ、またはソーシャルメディアでターゲットをねらい、多くの場合偽のプロフィールと泣かせるような話(お涙ちょうだい話)を使って被害者を信用させ、巨額のお金を送らせる。

FTCに報告された恋愛詐欺の件数は、2015年の8500件から昨年は21000件へと増加した。その間に被害総額も3300万ドルから1億4300万ドルに増加している。2018年の数字は、FTCの消費者の被害申し立てデータベースConsumer Sentinelに提出された、21368件の報告に基づいている。

恋愛詐欺はとくに、被害者個人にとって高くつく。恋愛詐欺の被害者が報告した被害額のメジアンは2600ドルで、ほかのタイプの詐欺すべての被害額のメジアンの7倍である。40歳から69歳までの層の恋愛詐欺の被害額は20代の2倍だが、高齢者になると被害額はさらに大きく、70歳以上では被害額のメジアンが10000ドルになる。

FTCによると、被害者の大半は振り込みによる送金を求められたが、ギフトカードや、 Moneypakのようなリロードカード(チャージカード)を求められた者もそれに次いで多かった。いずれの方法も迅速で取り消しが困難、そして受取人は匿名を維持できる。恋愛詐欺の犯人は、医療などの緊急事態のためにお金が要る、と称することが多く、実際に会うことができない言い訳を作り出す。たとえば軍に在籍していて海外の基地にいるとか、そちらまで出かける旅費がない、など。

被害を防ぐためにFTCは、プロフィールの写真を逆画像検索してプロフィールが偽でないかチェックする、会ったことのない人にお金を送らない、ネット上の関係について家族や友人にオープンであること、などを勧めている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ロシアはインターネットの遮断スイッチをテストへ

サイバー防衛の方策の1つとして、ロシア政府は、世界のウェブから国を実質的に遮断するような措置を試行する予定だと伝えられている。

昨年、ロシアはDigital Economy National Program(デジタル経済国家プログラム)を導入した。これは、世界規模のインターネットから国ごと切り離した場合でも、ロシア国内のインターネットプロバイダが機能できるようにするための計画だ。この計画では、ロシアのISPは、ウェブのトラフィックを国内のルーティングポイントにリダイレクトし、ドメインネームシステム(DNS)、つまりグローバルなインターネットを支えているドメイン名とアドレスの一覧表を、独自のコピーに切り替える

このテストは、いくつかの理由で有用だろう。ロシアは、国家安全保障に対してある種のサイバー脅威が発生した場合に、取るべき抜本的な措置をシミュレートすることを第1の目的としている。しかし、個人と報道の自由が制限されていることで悪名高い国にとって、このテストは、自国の人々を管理し、外国の影響力から守るために、より密接に管理されたインターネットを、どのように利用できるかを検討するためにも有効な方法だろう。

この極端な措置は、もし成功すれば、ロシアが国家によって管理された独自のインターネットを効果的に運営し、それが適切だと判断した場合には、いつでも世界から切り離すことができるようになる。この試験が実施される日時はまだ分かっていないが、今年の4月1日以前であろうとは予想されている。それは、国会議員がDigital Economy National Programの改定案を提出する期限だからだ。

画像クレジット:MLADEN ANTONOV/AFP/Getty Images/Getty Images

[原文へ]

(翻訳:Fumihiko Shibata)

イー・ガーディアンがスタートアップ支援事業を開始

掲示板監視・投稿監視などのセキュリティーサービスを提供するイー・ガーディアンは2月13日、「スタートアップ支援事業」を開始することを発表した。同日に、宮城・仙台が拠点のカスタマーサービスやモニタリングなどのBPO(ビジネス・プロセス・アウトソーシング)事業を手がけるグループ会社であるイー・ガーディアン東北に、スタートアップ企業にマンパワー支援を行う「スタートアップラボ」を開設した。

具体的には、スタートアップと同社とのビジネス連携と、仙台のスタートアップラボでのマンパワー支援を考えている。ビジネス連携支援としては、EC業界向けとしてチャットボットによるサポートで蓄積されたFAQデータ、シェアリングエコノミーサービス向けに本人認証サービス、動画投稿プラットフォーム向けとして音声認識システムを利用した月間1000万件以上のネットパトロールのノウハウなどを、BPOとして提供できるとしている。

マンパワーの支援については、運用設計、小ロットサポート、簡易パトロールなどを、リリースから安定運用までステージに応じて専門チームがサポートするとのこと。

デフォルトのパスワードを使えば、何千台もの業務用冷凍庫を遠隔解凍できる

セキュリティ研究者たちは、遠隔から簡単に解凍を指示できる、インターネットに接続された何千台もの業務用冷凍庫をみつけた。

この脆弱性を発見した、セキュリティ研究者の一人であるNoam Rotemによれば、英国に本社を置くResource Data Management社によって製造された、7000台を超える脆弱な温度制御システムが、インターネットからアクセス可能であり、同社のウェブサイトのドキュメントに記載されたデフォルトのパスワードを入力することによって操作可能になっている。

これらの脆弱なユニットの多くは、英国、アイルランド、さらにはスウェーデン、ドイツ、中国などのレストラン、病院、スーパーマーケット、食料品店の業務用冷凍庫に搭載されていた。研究者たちはまた、マレーシアの製薬会社やドイツの冷却施設にも同ユニットを発見している。

こうした冷凍庫に解凍指示が出された場合には、予想できないほどの水害、経済的損失、そして在庫の破壊につながる可能性がある。高付加価値産業の場合には、その損失は膨大なものになる可能性がある。

香港のMarks & Spencerに置かれた業務用冷凍庫の、ウェブインターフェース(画像:TechCrunch)

「これらのシステムには、どのようなブラウザからでもアクセスすることができます」とRotemは記事中で述べている(この情報は彼が一般公開する前に、TechCrunchに伝えられた)。「必要なのは正確なURLだけです。私たちのテストが示しているように、それを見つけるのはそれほど難しくありません」。

Rotemによると、マシンを解凍するには単に「ボタンをクリックしてデフォルトのユーザー名とパスワードを入力する」だけであり、それらは同社のデバイス上でほぼ共通なものであるという。TechCrunchはShodanを使うことで、研究者が言う通り数百の冷凍庫を発見した(Shodanは一般アクセスが可能なデバイスやデーターベースを見つけることができる検索エンジンである)、しかしアカウントとパスワードを使ってアクセスすること自体は適法ではない可能性が高いため、実際のアクセスは行っていない。

Rotemによれば、公開されているデバイスの、ユーザー設定、アラーム、その他の機能を変更することも可能だという。

Resource Data Managementの担当者は、電子メールで以下のように回答している「システムのインストール時には、デフォルトのパスワードを変更する必要があることを文書で明示しています」。しかしながら、その変更は必須のものではない。Rotemによれば、デバイス所有者の多くはそれを変更していない。同社はまた、自身によるセキュリティの啓蒙にも熱心ではなかった。「私たちには、システムが設置者の方々によって、どのように設定されるかについて制御する手段がありません。この記事が私たちの機器の利用者や設置者の方々の目にとまって欲しいですね」と担当者は語る。「私たちは、新しい機能や特性を備えた新しいソフトウェアを入手できることを、オーナーの方々にお知らせはしますが、最終的にアップグレードを行うのはオーナーの皆さま自身です」。

同社は把握済の全ての顧客に対しては「デフォルトのユーザー名とパスワードを変更することの重要性を喚起する予定だ」と述べている。

なお来年以降、カリフォルニア州では、個々のデバイスに対して固有に設定されていない、弱いもしくはデフォルトのパスワードを使ったインターネット接続機器は、製造も販売も禁止される

インターネット最悪の道具箱、Shodan Safariを使えばどんなデバイスにも侵入できる

[原文へ]
(翻訳:sako)