タグ: セキュリティ

Canadaの通信大手Telusが信頼できるパートナーと呼び反Huaweiの壁に風穴

Huaweiをめぐるアメリカと中国の緊張関係で世界中の通信企業が岐路に立たされているが、先週、ある一社が声を上げた。カナダの大手電話企業のひとつであるTelusが、セキュリティへの懸念で全世界からの逆風にさらされている同社の中国のパートナーHuaweiに対する、支持を表明した。

Globe and Mailが入手したTelusの役員の署名入り内部メモはこう言っている: “Huaweiが、世界のトップに位置するイノベーションと包括的なセキュリティ技術、およびソフトウェアの最新アップグレード等により、カナダの通信業界の有能で信頼に足る一員たりうることは火を見るよりも明らかである”。

バンクーバーに本社のある同社を含めカナダの通信企業数社が、Huwaeiの技術により5Gのシステムを構築する気だった。5Gは、モバイルの通信を高速化するだけでなく、応答性の良い自動運転技術や8Kのビデオストリーミングなどにも欠かせない重要な通信技術だ。本誌TechCrunchは今Telusにコメントを求めているので、得られ次第この記事をアップデートしたい。

アメリカは前から、この中国の通信機器メーカーが中国政府の子飼いであり、したがって政府の諜報活動に関わっていると懸念してきた。その懸念の高まりにより大統領のDonald Trumpは今年、HuaweiとZTEのボイコットを発議した、と言われる。またThe Wall Street Journalは先週、アメリカの連邦検事たちが企業秘密の窃盗罪でHuaweiの告訴を準備中、と報じた。

オーストラリアニュージーランドは共に、国内のプロバイダーがHuawei製品を使うことを禁じた。イギリスはHuawaiを公式に禁じてはいないが、当局はその態度を決めるよう圧力を受けていると言われる。

Canadaは、オーストラリア、ニュージーランド、イギリス、およびアメリカと共に諜報共有ネットワークFive Eyesに加わっており、5G展開の前のセキュリティレビューを今行っているが、アメリカから、次世代技術の構築にあたってはHuaweiを排除するよう迫られている。

関連記事: 米、政府内でのHuaweiやZTEの機器使用を新国防法で禁止

中国はこれまでの数か月一貫して、同国の至宝的テクノロジー企業に対するスパイ容疑に反論してきた。先週は、在カナダ大使Lu Shayeが、世界最大の通信機器メーカーをブロックしたらその反動が起きる、と警告した。

Luは記者会見でこう述べた: “カナダがアメリカやオーストラリア、ニュージーランドと同じ決定をすることをつねに懸念してきた。このような決定は、その非難に根拠がないので公正ではない。Huaweiを5Gのネットワークから排除した場合の結果について具体的な想定はできないが、何らかの結果が生ずることを確信している”。

先週はまた、HuaweiのCEO Ren Zhengfeiが珍しくも国際的なメディアのインタビューに登場して、彼が1987年に創業した企業に対するセキュリティ関連の非難を否定した。そして中国企業を排除したらアメリカの非都市地域における高速ネットワークの整備が後れるだろう、と警告した。

“Huaweiがそれに関わることができなければ、地方における通信費用が非常に高いものになるだろう”、とRenは主張した。“これからは多くの国がHuaweiに対し、5G製品を禁ずるのではなく売るよう、自ら進んで求めるだろう”。

Huaweiをめぐる騒動は、アメリカと中国の間の貿易戦争とその硬直化の一環でもある。それによって、国防をアメリカに依存している国と、安いだけでなく技術的にますます優秀になりつつある中国からの投資に経済を依存している国の両方に、影響が生じている。

カナダは、アメリカ当局からの要望に応じて、Renの娘でもあるHuaweiのCFO Meng Wanzhouを拘束したため、係争当事者であるニ大国の板挟みになっている。ホワイトハウスにとっては、今月末という容疑者引き渡し期限が迫っている。一方、カナダの首相Justin TrudeauとTrump は中国政府に、Mengの拘束速直後に拘留した二人のカナダ人の釈放を求めている。

画像クレジット: Huawei

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

インターネット最悪の道具箱、Shodan Safariを使えばどんなデバイスにも侵入できる

何であれインターネットに長くつないでおけば、いずれ誰かにハックされる。

メーカーは相変わらずわかりきったパスワードを設定してデバイスを出荷しているのが現実だ。 デフォールト・パスワードの情報は簡単に手に入るので無数のデバイスに誰でも簡単にadminとしてログインできる。それどころかパスワードが設定されていないシステムも多い。

Shodan Safariをご存知だろうか? ゲーム半分、社会への鬱憤晴らし半分といったサイトだ。ハッカーはここにShodan検索エンジンで発見した最悪の情報を投稿して拡散しようとする。Shodanはインターネットに接続されているシステムをすべて検索するデータベースで、これ自体はセキュリティー専門家にも便利なツールだ。Shodanの巨大な検索エンジンはIoTデバイスであれサーバーであれ、インターネットを通じて接続可能なシステムを片っ端からクロールしてタグづけする。

Shodanが収集する情報には開いているポート番号も含まれる。このポートがオープンしているなら多分ウェブカメラだ。このヘッダーが返ってくればバックエンドはブラウザで閲覧可能だ。Shodanはこれらの情報によってデバイスの種類や機能を推定する。

Shodanで発見した報を交換するShodan Safariはインターネット版のゴミ捨て場漁りだ。

ここにカメラからルーターまで、病院のCTスキャナーから空港の危険物探知機まであらゆるシステムの情報がある。驚くと同時に憂鬱になる。こうしたシステムには悪意あるハッカーが自由に侵入できるのだ。

プールと付属トイレからマリファナの鉢、はてはヤギ小屋まである。

Shodanの情報を見れば恐怖を感じるだろう。インターネット上のあらゆる危険への窓だ。このフォーラムを通じて拡散されているのはデバイスのパスワードだけではない。2段階認証コードから有権者の投票履歴誰かが今晩ジムに行く予定までアップされている。もちろんデバイス関連がメインだ。上でも触れたようにCCTVカメラの情報は非常に多い。自動車のナンバープレート、スマートホーム・デバイス、大人のおもちゃ、等々。何かをインターネットに接続すれば、必ずShodanに捕捉されると思ってよい。

デバイスのメーカーに覚えておいてもらいたいのは、どうしても必要があるのでなければ、インターネット接続機能を付加するなということだ。

以下にいくつか最悪のリークの例を挙げておく。読者が興味ある発見をした場合は、zack.whittaker@techcrunch.comまでメールされたい。

エアコン. (スクリーンショット: Shodan)

 

アラバマの空港の気象カメラ (スクリーンショット: Shodan)

 

インドの銀行ウェブシステム (スクリーンショット: Shodan)

 

牛肉処理工場 (スクリーンショット: Shodan)

 

セントルイスの教会の鐘楼の鐘をコントロールするシステム (スクリーンショット: Shodan)

 

イタリアのバイオガス生産、処理プラント (スクリーンショット: Shodan)

 

トリ。ただトリを写すだけにカメラらしい。 スクリーンショット: Shodan via @Joshbal4)

 

ロサンゼルスの醸造工場 (スクリーンショット: Shodan)

 

劇場の映画のプロジェクターを動かすWindowsアプリ スクリーンショット: Shodan via @tacticalmaid)

 

オランダの漁船の機関室 (スクリーンショット: Shodan)

 

ロンドンのヒースロー空港ターミナル3の爆発物探知装置 (スクリーンショット: TechCrunch)

 

魚の水槽のコントロール・システム (スクリーンショット: Shodan)

 

コロラド州コロラド・スプリングスの花屋の環境システム (スクリーンショット: Shodan)

 

Tesla PowerPackのウェブUI (スクリーンショット: Shodan via @xd4rker)

 

Instagramの自動フォロー・ボット.(スクリーンショット: Shodan)

 

薬剤師のターミナル (スクリーンショット: Shodan)

 

テキサス州のPhil’s BBQレストランのビデオ・コントロール (スクリーンショット: Shodan)

 

Kodak Lotemプリンター (スクリーンショット: Shodan)

 

すでにハックずみ(リックロールされている)芝のスプリンクラー (スクリーンショット: Shodan)

 

亜硫酸ガス探知機 (スクリーンショット: Shodan)

 

膝関節リハビリ機. (スクリーンショット: Shodan)

 

サポートが終了しているのに今だに存在を続けるWindows XP (スクリーンショット: Shodan)

 

家庭用エクササイズ・マシン (スクリーンショット: Shodan)

原文へ

滑川海彦@Facebook Google+

Googleが通話ログやSMSのメッセージにアクセスする未審査Androidアプリを削除

Googleが今、通話ログやSMSのメッセージにアクセス許可を求めるアプリで、Googleのスタッフが検査していないものを削除している。

Googleによるとこれは、機密性のある通話やテキスティングのデータにアクセスするアプリをGoogle Playからなくす努力の一環だ。

Googleは10月に、デベロッパーには新しくて安全な、プライバシーに配慮したAPIを使ってほしいので、今後Androidアプリがレガシーのパーミッションを使うことを禁止する、と発表した。これまでは多くのアプリが、通話ログやテキスティングのデータへのアクセスをリクエストして、ソーシャルな共有やスマートフォンのダイヤラーをリプレースするために、二要素認証のコードを調べようとしていた。しかしGoogleの認識では、このレベルのアクセスを一部のデベロッパーが悪用し、パーミッションを誤用して機密データを集めたり、単純に間違った扱い方をしたりしている。

GoogleでGoogle Playのプロダクト管理を担当しているPaul Bankheadは次のように語る: “今度の新しいポリシーは、アプリがその主要な用途を実現するために機密データへのアクセスを要し、ユーザーもそのことを理解している場合のみ、これらのパーミッションを許可するようにしていくためだ”。

通話やテキスティングのデータへのパーミッションを求めることを今後も維持したいデベロッパーは、パーミッション宣言に記入しなければならない。

Googleはそのアプリと、アクセス許可を維持したい理由を調べる。なぜこのデベロッパーはアクセスをリクエストするのか、それによるユーザーの利益は何か、逆に、通話やテキスティングのデータにアクセスされることのリスクは何か。

Bankheadによれば、新しいポリシーでデータアクセスが禁じられると、実用性がなくなるアプリもありえる。

Googleによると、すでに数万のデベロッパーがアプリのニューバージョンを提出しており、その中には通話やテキスティングのデータへのアクセスを不要にしたアプリもある。それ以外のアプリは、パーミッション宣言を提出した。

宣言を提出したデベロッパーは3月9日までに、承認またはパーミッションの削除要請を受け取る。どんな用途なら承認される(データアクセスが許される)のかに関してGoogleは、承認される用例のリストを用意している。

これまでの2年間だけでも、Androidアプリやそのほかのサービスによる、通話やテキスティングデータの重大なリーク事件がいくつかあった。2017年の晩くには、人気の高いAndroidのキーボードアプリai.typeが、ユーザー3100万人という大きなデータベースを露出し、3億7400万もの電話番号などが盗まれた。

Another huge database exposed millions of call logs and SMS text messages

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebook、追加でロシア関連の512フェイクアカウントを削除

米国大統領選挙から2年がたったが、Facebookはいまだにロシアのソーシャルツールを使った偽情報拡散に悩まされている。

今日のブログ投稿で、Facebookはロシア絡みの新たなフェイク活動を明らかにした。そして、プーチン政権が地政学的に眈々と興味を示している地域でプロパガンダを広めたとして、計471のFacebookページとアカウント、41のInstagramアカウントを削除した、としている。

“ごまかしを意図する行為”の最新の暴露で、Facebookはロシアを起点とする2つの運用を確認し、明確な直接的つながりはないものの2つとも似たような手法を使っていると明らかにした。“ごまかしを意図する行為”というのは、大量のシェアできる政治的プロパガンダを広めるために、信頼のおけるもっともな装飾を付け加えるツールに頼った誤情報キャンペーンについてFacebookが使った婉曲表現だ。

1つの運用は特にウクライナをターゲットとし、もう1つはバルト海、中央アジア、コーカサス地方、中東欧の多くの国で活動していた。

「我々はこうしたページやアカウントを、投稿したコンテンツではなく、彼ら行いに基づいて削除する」とFacebookのサイバーセキュリティポリシー責任者のNathaniel Gleicherはブログに書いている。「これらのケースでは、裏にいる人たちが互いに連携を取り、素性をごまかすためにフェイクアカウントを使っていた。これが今回の対応のベースにある」。

スプートニクとの関連

複数の国をターゲットとしたロシアの偽情報行為について、Facebookは無害、または普通に見えるページがロシア政権の広報部隊であるスプートニクの従業員とつながっていて、ページのいくつかは抗議活動とプーチンの方針を促進していることを発見した、とGleicherは語る。

「ページ管理者とアカウント保有者は初め、独立したニュースページ、または天気や旅行、スポーツ、経済、それからルーマニア、ラトビア、エストニア、リトアニア、アルメニア、アゼルバイジャン、グルジア、ダジキスタン、ウズベキスタン、カザフスタン、モルドバ、ロシア、キルギスタンの政治家といったトピックに関する一般的なページと称していた」と書いている。「彼らの身元詐称にもかかわらず、我々はこうしたページやアカウントがモスクワ拠点の通信社スプートニクの社員につながっていて、ページのいくつかは反NATOや抗議行動、反汚職行為のような話題で頻繁に投稿していたことを発見した」。

Facebookは、削除されたアカウントのいくつかのサンプル投稿もブログに示した。ロックコンサート、歴史的建造物、雪景色などの写真から、明らかに軍事的そして政治的な抗議を意図するイメージなどミックスして示している。

全部で、ロシアのネットワークに関連する289ページと75Facebookアカウントを削除した、とFacebookは説明している。こうしたページを少なくとも1つ以上フォローしていたアカウント数は約79万にのぼる。

Facebookはまた、ロシアのオペレーターによる広告で13万5000ドルを受け取っていたことも明らかにした(この代金はユーロ、ルーブル、米ドルで支払われた)。

「最初の広告は2013年10月に掲載され、直近のものは2019年1月だ」とし、さらに「我々はまだこうしたアカウントのコンテンツのレビューを終えていない」と付け加えている。

ロシアの政権につながったページはまた約190のイベント開催を掲示していた。Facebookによると一番最初のものは2015年8月に予定され、直近のものは2019年1月だ。「こうしたイベントの中で直近のものには1200人が興味を示した。これらイベントが実際に開催されたのか、我々は確認することができない」とも記している。

Facebookは、偽情報を調べるパートナーのオープンソースのレポートと作業により、このネットワークを特定した、としている。(オープンソースの調査についてもっとよく知りたい人は、DFRLabのこのブログ投稿を見てほしい)。

Facebookはまた、今回の調査の情報を、米国の司法当局、米国議会、他のテック企業、そして影響を受けた国々の議員と共有したことも明らかにした。

ウクライナ情報

ウクライナをターゲットとしたロシアのネットワークについては、Facebookは計107のFacebookページ、グループ、アカウントと、41のInstagramアカウントを削除したとしている。米国司法当局からの最初の情報により、そうした動きがあることを特定した。

18万のFacebookアカウントが、削除されたページを1つ以上フォローしていた、としている。またフェイクのInstagramアカウントについては、5万5000超のアカウントがフォローしていた。

ここでも再び、Facebookは偽情報供給者から金を受け取っていて、その金はFacebookとInstagramでの広告費として額にして約2万5000ドルだった、としている。これは全てルーブルで支払われ、最初の広告は2018年1月、直近のものは2018年12月だった。(そしてこちらも繰り返しになるが、そうしたアカウントのコンテンツのレビューはまだ終わっていない、としている)。

「こうしたアカウントを操っている個人は当初、ウクライナ人としていた。彼らはさまざまなフェイクアカウントを運用し、天気や抗議、NATO、生徒の健康状態といったさまざまな話題についてのウクライナのローカルニュースを共有していた」とGleicherは書いている。「我々は、米国中間選挙前に見られたロシア起点の活動とのテクニカル的な類似をとらえた。その類似点には、ロシアのInternet Research Agency(IRA)と特徴が似ている行動が含まれる」。

ウクライナのケースでは、ページが主催するイベントは見つからなかった、としている。

「セキュリティにおける我々の努力は、一歩先をいく取り組みになるよう、そしてこうした種の乱用を発見するために続けられていて、特に今年欧州で重要な政局や選挙があることを考慮している」とGleicherは加えた。「我々はさらなる改善を図り、こうした乱用を実際に感知して阻止するため、世界中で強いパートナーシップを構築することを約束する」。

1カ月前、Facebookは別の政治的フェイクアカウントを削除したことを発表した。そのケースでは、ページを管理するネットワークがバングラデシュの総選挙の10日前に同国で偽情報を広めていた。

今週Facebookは、今後大型選挙を控えているより多くの国々に、政治広告主の条件を適用するなどして選挙セキュリティの措置を厳格化することを明らかにした。その手法とは、政治広告主がその国にいるかどうかをチェックする、というものなどだ。

しかし、今年大きな投票が行われる他の国については、Facebookは政治的なフェイクに取り組む方策をまだ発表していない。

イメージクレジット: Max Ryazanov

原文へ 翻訳:Mizoguchi)

【重要】人気のあるWordPressプラグインが、Twitterアカウントのハイジャックを許すアクセストークンをリークしていた

これまで何千ものウェブサイトにインストールされ、コンテンツをソーシャルメディア上にシェアする役割を果たして来た、WordPressのとある人気プラグインが、接続されたTwitterのアカウントを危険に晒していたことが発覚した。

問題のプラグインであるSocial Network Tabsは、WordPressで構築されたウェブサイトのソースコード中に、いわゆるアカウントアクセストークンを保存していたのだ。よってソースコードを見た人なら誰でも、接続されたTwitterハンドルとアクセストークンを見ることができたのだ。アクセストークンを使用することで、毎回パスワードを再入力したり、2要素認証コードを入力したりしなくても、携帯電話やコンピュータからウェブサイトへのログインを維持することができる。

しかし、もしそれが盗まれてしまった場合には、ほとんどのサイトはアカウントの実所有者が使用するトークンと、ハッカーが盗んだトークンを見分けることはできない。

フランスのセキュリティ研究者Baptiste Robert(オンラインハンドル名はElliot Alderson)がこの脆弱性を発見し、TechCrunchにその詳細を知らせた。そしてその後、詳細をツイートしている

このバグを検証するために、Robertはウェブサイトのソースコード検索エンジンであるPublicWWWを使って、脆弱なコードを使用している539のWebサイトを発見した。その後彼は、概念実証スクリプトを作成し、影響を受けているウェブサイトかた公開されているコードを抽出して、400以上の接続済Twitterアカウントのアクセストークンを収集した。

取得したアクセストークンを使用して、Robertは彼の選んだツイートに対して、100回以上の「いいね」を行わせることで、それらのアカウントにアクセスできることを実証した。このことによって、流出したアクセストークンが「読み書き」権限を持っていることが明らかになった。事実上彼または悪意のあるハッカーに対してTwitterアカウントに対する完全な制御を明け渡したことになる。

脆弱なアカウントの中には、何件かの認証済Twitterユーザーや、数万人のフォロワーを抱えるいくつかのアカウント、フロリダの保安官事務所、オクラホマ州のカジノ、 シンシナティの屋外音楽場、その他が含まれている。

Robertは12月1日にTwitterに対して、このサードパーティー製プラグインの脆弱性について伝え、アカウントの安全性を取り戻すために、アクセストークンを無効にするように促した。Twitterはまた、影響を受けたユーザーに対して、WordPressプラグインのセキュリティ上の問題について電子メールを送信したものの、それがいつ届けられたかに関してのコメントは行っていない。

Twitterは自分のできることは行ったが、その手の届かない範囲で起きているセキュリティの問題に対しては、できることは多くない。まだ問題のプラグインを使用しているWordPressユーザーは、直ちにプラグインを削除し、Twitterのパスワードを変更して、利用しているアプリがTwitterの接続済アプリから確実に削除されるようにすべきだ。

このバグを抱えたプラグインを開発した、バンコクを拠点とするソフトウェア会社Design Chemicalは、この記事の公開前に当方が送ったコメント要請に対して、返信をしてきていない。

彼らのウェブサイト上では、7年間にプラグインが5万3000回以上ダウンロードされたと述べられている。最後に更新されたのが2013年であるこのプラグインは、今でも毎日数十件のダウンロードが続いている。

MITREは脆弱性識別番号としてCVE-2018-20555を割り当てた。これはRobertが同時期に暴いた2番めの脆弱性である(Robertによる解析コードのGitHub)。1番めの脆弱性に関しては以下の記事を参照。

ファイルマネージャーアプリES File ExplorerはAndroid機のデータを外部に露出する

画像クレジット: Getty Images

[原文へ]
(翻訳:sako)

ファイルマネージャーアプリES File ExplorerはAndroid機のデータを外部に露出する

とても多くのユーザーが使っているAndroidの人気アプリが、なぜバックグラウンドで秘かにWebサーバーを動かしているのだろうか?

そのES File Explorerは、2014年以来5億以上ダウンロードされた、と豪語している。これまででいちばん多く使われたアプリのひとつだ。シンプルなので、誰にも好かれた。それは単純なファイルエクスプローラーであり、ユーザーは自分のAndroidスマートフォンやタブレットのファイルシステムを調べて、ファイルやデータやドキュメントなどにアクセスできる。

しかしこのアプリは、楽屋裏で機能最小限のWebサーバーを、そのデバイスの上で動かしている。それによってAndroidデバイスの全体をオープンにしてしまい、データ窃盗などの攻撃の、為すがままになる。

フランスのセキュリティ研究家Baptiste Robert、ハンドル名Elliot Aldersonが先週、外部に露呈しているポートを見つけ、その発見を水曜日(米国時間1/16)にツイートで発表した。ツイートする前に彼は、本誌TechCrunchに、露呈しているポートを使ってデバイスからデータを盗み取れることを、デモしてくれた。

“そのローカルネットワークのすべてのデバイスが、データをそのデバイスにインストールされてしまう”、と彼は言った。

彼が書いた簡単なスクリプトで、同じネットワーク上の別のデバイスから、画像やビデオやアプリの名前、そしてメモリカード上のファイルさえ引っ張り出せることを、彼はデモした。被害者のデバイス上でアプリをリモートで立ち上げることすらできる。

彼はそのスクリプトを、テスト用に本誌TechCrunchに送ってきた。要らないAndroidスマートフォンを使って、彼が見たということを確認した。Robertによるとアプリのバージョンは4.1.9.5.2で、それより前のものにオープンなポートがある。

彼曰く: “いいことではないね”。

ES File Explorerが動いているAndroidデバイスと同じネットワーク上のデータを取得するスクリプトをセキュリティ研究者が作った(画像は提供されたもの…この記事の筆者はスクリプトを実際に動かしていない)。

ES File Explorerのメーカーにコンタクトしたが、まだ返事はない。何か来たら、この記事をアップデートしよう。

これはインターネット上の悪人が一般的に悪用できる欠陥ではないから、やられる心配は少ない。悪事を働こうとする奴は、被害者と同じネットワークにいなければならない。つまり、同じWi-Fiネットワーク、ということだ。でも万一そいつがネットワークのパーミッションを持っていたら、こんな出来損ないのアプリを悪用してデータを盗むことができる。だから安心はできない。

それは、HTTPプロトコルを使ってビデオを他のアプリにストリーミングするために使われる、という合理的な説明もある。しかし一方、露出したポートという問題を過去に経験したことのある人は、それは危ない、と言う。そのアプリは、こんなことも言っている: “この機能を有効にすれば、これによってあなたのスマートフォン上のファイルをあなたのコンピューターから管理できる”。…しかし‘あなたのコンピューターから’とは限らない。

そして、アプリを開いた途端にそれらのファイルは、そのWebサーバーが通信のために開いたポートによって外部へ露呈するのだ。そのことが、分からない人が多いだろう。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

シリコンバレーがヨーロッパに投資するトレンドが持続、SequoiaがメールセキュリティのTessianに$40Mのラウンドをリード

ここロンドンのVCが言っている、今もずっと続いているトレンドとは、ヨーロッパにおける投資の増大傾向が、シリコンバレーの上位VCたちの関心を喚んでいることだ。たとえば最近の例では、メールのセキュリティを提供するTessianが、池の向こう岸から資金を調達した。〔池==大西洋〕

ロンドンに拠を置くTessianは、Sequoia CapitalがリードするシリーズBのラウンドで4000万ドルを調達した、と言われる。発表は数週間以内に行われると思われるが、この複数の情報筋からの情報に対して現時点のTessianはコメントを拒否している。

インペリアルカレッジを卒業したエンジニア三名(Tim Sadler, Tom Adams, Ed Bishop)が2013年に創業した同社は、機械学習を利用してメールのセキュリティを改善する。そのシステムは企業顧客のメールシステムを監視して、そのメールネットワークを分析し、送信メールの正常と異常を見分ける。

そしてTessianは、宛先が間違っているのではないか、おかしなことをしている社員がいるぞ、などの警告を送信の前にユーザーに与える。最近では来信の分析も開始し、フィッシングや変造メールを検出する。

Tessianは最初、CheckRecipient(宛先をチェック)という名前だった。これまではわずか7か月前に、シリーズAで1300万ドルを調達している。このときのラウンドは、ロンドンのBalderton Capitalがリードした。同社には、Accel, Amadeus Capital Partners, Crane, LocalGlobe, Winton Ventures, Walking Venturesなども投資している

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

アメリカがHuaweiを企業秘密窃盗で告訴か

The Wall Street Journalの記事によると、連邦検事たちは、企業秘密を盗んだ廉でHuaweiの刑事訴訟を準備している。その記事が引用している内部筋からの情報は具体的に、T-Mobileのスマートフォン試験ツール“Tappy”をめぐるHuaweiの行為に言及している。しかし記事は、告発が近々に行われるほど十分な捜査段階にはまだ行っていない、と言っている。

Tappyの名前を聞くのはこれが初めてではない。2014年にT-MobileはHuaweiを、シアトル郊外の同社の研究所を外から撮影して、そのスマートフォン試験ロボットの部品などの情報を盗もうとした、として告訴した。2017年5月にT-Mobileは480万ドルで勝訴したが、それは同社が求めた5億ドルという額には遠く及ばない。現在行われている上記連邦レベルの犯罪捜査は、この民事訴訟が契機と言われている。

この中国のスマートフォンメーカーは、最近ますます、アメリカの政府や議会から厳しく詮索されている。同社は中国政府と緊密な間柄なので、その企業や製品にはセキュリティ上の危険性がある、とされている。12月にHuaweiのCFO Meng Wanzhouが、アメリカの要請によりカナダで詐欺容疑で拘束されてからは、緊張が一挙に高まった。彼女は欺瞞的行為により、アメリカのイランに対する制裁をかいくぐろうとした、と言われる。

現在のHuaweiは、Samsungに次いで世界第二位のスマートフォンメーカーで、2018年の後半にはモバイルデバイスの売上がAppleを抜いた

関連記事: 詐欺で訴えられているHuaweiのCFOが$7.5Mで保釈

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Tesla、 世界最強のハッキングコンテスト「Pwn2Own」にModel 3をエントリー

Teslaは最新のModel 3セダンを今年のPwn2Ownにエントリーする。この毎年恒例の著名なハッキングコンテストに自動車が参加するのははじめてだ。

優勝したセキュリティー研究者に与えられる賞品は…Model 3だ。

Pwn2OwnはTrend MicroのZero Day Initiative(ZDI)が主催する今年で12回目になる業界最強のハッキングコンテストだ。ZDIはこれまでにこのプログラムを通じて400万ドル以上の賞金を提供してきた。

春の脆弱性研究コンテストPwn2Own Vacouverは、3月20~22日に開催され、ウェブブラウザー、バーチャル化ソフトウエア、エンタープライズアプリケーション、サーバーサイド・ソフトウェア、および新設された自動車部門の5部門からなる。ターゲットはZDIが選び、Apple、Google、Microsoft、Mozilla、Oracle、VMwareなどのソフトウェア製品も含まれている。そして、もちろん、Teslaも。Pwn2Ownは、CanSec Westカンファレンスと同時開催される。

Teslaは2014年に同社がバグ懸賞プログラムを開催して以来ハッカーコミュニティーとは公な関係がある。

昨年同社は最大報酬額を1万ドルから1万5000ドルに引き上げ、エネルギー製品も対象に含めた。現在はTeslaの自動車およびホストしているサーバー、サービス、アプリケーションなどすべてが懸賞プログラムのターゲットになっている。

昨年同社はバグ懸賞プログラムに重要な変更を加え、車のオーナーがルールの範囲内で自分の車をハックすることを許可する「セーフハーバー」を採用した。現在Tesla製品のセキュリティー・ポリシーには、「善意のセキュリティー研究」の結果、所有する車が文鎮化した場合、サーバーセンターからネットワーク経由でソフトウェアを再書き込みすると書かれている。ソフトウェアをハックした場合も保証は無効にならないと同社は言っている。

Tesla(今は他の自動車メーカーも)がバグ懸賞プログラムを始めたのには理由がある。Tesla車はソフトウェア主導であり、ネットワーク経由のソフトウェア・アップデートによってバグやセキュリティー問題を修正したり、性能改善や新機能追加などを行うなどさまざまな形で業界を変えてきた。そうすることでTeslaは、時間とともに車が良くなっていくというアイデアを消費者に理解させた。

しかしそこには潜在的なセキュリティー問題がある。2014年以来、懸賞プログラムがきっかけとなってTeslaはいくつものセキュリティーアップデートを発行し、暗号化によるソフトウェアの検証、キーリモコンの暗号化の強化、リモコンのクローン攻撃を防止するためのPIN-to-Drive[暗証番号による解錠]などを実施してきた。

もちろん、Pwn2Own Vancouverに参加するハッカーたちが脆弱性を見つけるという保証はない。TechCrunchはTrend Microの広報担当から、ハッキング成功のパーセンテージはまちまちだが、通常は対象ターゲットの50%前後だと言われている。

また、自動車カテゴリーは今年が初めてなので、参加する研究者がいるかどうかは不明だと広報担当者は言っている。担当者は「自動車の最先端研究がどんなものかを見るのが大いに楽しみ」なので、多くの参加を期待しているとも話した。

[原文へ]

(翻訳:Nob Takahashi / facebook

本人を特定できない安全なネットアクセスを提供するTorに記録的な額の寄付が集まる

【抄訳】
インターネットに安全にアクセスできる方法を提供しているオープンソースの自主事業Torが、これまでの長期にわたる政府補助金への依存から脱却するために、資金源の多様化努力を続けている。

Torは“The Onion Router”(玉ねぎルーター)の頭字語で、剥いても剥いても芯(発信者本人)に辿りつけないことを意味している。そのサービスを提供している団体Tor Foundationは今週(米国時間1/6-12)、2018年に個人からの寄付が46万ドルという記録的な額に達したことを発表した。また最近の財務報告によると、同団体は、2017年には非政府系寄付者の増加により、これまた記録的な、総額413万ドルの資金を調達した。

大きく増加した個人からの寄付は2017年には40万ドルだった。その大きな部分を占めるのがTorの支持者であるMozillaで、昨年後半にはTorのためのマッチングファンドの寄付を今後も続ける、と約束した。また、そのほかの支援者個人からのマッチングファンドへの寄付は、最高額が2万ドルだった。

同団体によると、全体として2018年には115か国から寄付が集まり、アメリカ以外におけるTorの重要性を物語っている。

【中略】〔資金源詳細〕

TorはNSAの内部告発者Edward Snowdenが使ったことでよく知られているが、世界のいろんな国でインターネットの弾圧が厳しくなっているから、Torは自由なインターネットを護り安全に利用するためのますます重要なツールになりつつある。

そのためTorは近年、その‘利用しやすさ’を増す努力を続けている。

昨年9月には初めての同団体のAndroid用公式モバイルブラウザーをローンチし、同じ月に前からあるデスクトップブラウザーTorBrowserの8.0をリリースした。後者はFirefoxの2017年のQuantumリリースをベースとし、またMozillaとの協働を深めてFirefox本体にTorを搭載しようとしている。Torのデスクトップブラウザーへの統合は、Mozillaの前CEO Brendan Eichが作ったブラウザーBraveがすでに実現している

同団体にはそのほかのプロジェクトもいろいろあり、ユーザー総数は、公表データによると200万を超えている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Appleのだんだん怪しくなる国際取り引き

新興市場や中国でのトラブルからは遠く離れた場所で、Appleは、本当にコアな支持者層であるべき人たちの怒りを集めている。それは、数年前からTim Cookが一般向けの講演で表明してきた、プライバシーを尊重する姿勢に必然的に賛同する人たちだ。彼らは、Cookは偽善者だと責めている。

この人たちは、この問題さえなければヨーロッパの忠実なるiPhoneユーザーなのだが、Appleは彼らに十分なプライバシーを提供していない。

こうしたユーザーたちは、iPhoneの中核的要素の選択の幅を求めている。たとえば、iOSのSafariのように、デフォルトに設定できる検索エンジンの種類だ(現在Appleでは、Google、Yahoo、Bing、DuckDuckGoの4つの選択肢を提供しているが、すべてアメリカ製の検索エンジンだ。広告テクノロジーの巨人Googleはデフォルトに設定されている)。

また、Appleが主張するプライバシーを重視したデザイン哲学を覆すようなデフォルト設定にも、非難が集まっている。そのひとつがiOSの位置情報サービスの設定だ。ひと度これを有効にすると、関連するサブメニューの項目も知らぬ間に有効になる。これには、位置ベースのAppleの広告も含まれている。そこに記されている同意の内容は、事前の情報に基づく同意のときとは、まったく違うものになっている……

https://platform.twitter.com/widgets.js

私的にはAppleはリーダーなのだが、検索エンジンでAppleが選択したiOS SafariをiOSユーザーが無効にできない理由を知りたい。
「このデバイスで位置情報サービスを有効にすると、Appleとそのパートナー、ライセンシーがあなたの位置情報および位置検索のクエリーを、位置ベースまたは交通状況ベースの製品およびサービスの提供と改善のための転送、収集、維持管理、処理、使用することに同意したものとみなされます」

すべての人を同時に満足させることはできないと言うが、飽和状態のスマートフォン市場で生まれた新しい「常識」は、アプローチの再構成を迫る新たなプレッシャーになっている。

今後は、収益の増加とユーザーのつなぎとめに努力することが、ステップアップの唯一の手段となるのは明らかだ。そのため、行きつ戻りつのサービス提供が今後の成長には欠かせないこのハイテク最大手企業にとって、こうした問題さえなければ忠実なユーザーたちを満足させ、(決定的なこととして)彼らに自分たちの意見が届いていると感じさせ、自分たちが大切にされているという感覚を持たせることが、ますます重要になる。

(少くとも、Appleから奇跡のようなハードウエア……それはまだ誰も知らないが、スマートフォン級の需要を再燃させる何か……の登場は、中期的な時間の枠内では考えられない。スマートフォンの汎用性と機能性が大変に高いからだ。ゆえに、Appleの最大の成功が、今や最大の障害にもなっている)

スマートフォンの買い替え頻度が低下している今、自然の成り行きとして、サービスによる収益増加というプレッシャーがCookにかかってくる。言い換えればそれは、Apple本社が周囲に言いふらしている中核的な原則に関するプレッシャーでもある。

しかし、その原則なくしては、Appleが人々の注目を集める高級ブランドとしての魅力は消えてしまう。そうなれば間違いなく破滅だ。

コントロールの変化

主流の一般ユーザーが使いやすいようにiOSの一部のコントロールを制限していたことが、Appleの成功を長期的に支えてきたのは事実だ。しかし、iOSが次第に複雑化し、すべてが自分の支配下になければ気が済まない人たちが離れてしまったのも事実だ。

たとえばキーボードなど、これまで固定されていた要素がオープンになり、タイピング方法を自分で決めたいユーザーのために、サードパーティー製キーボードがインストールできるようになった。

こうした変化は、好きな検索エンジンをデフォルトに設定できないという制限を浮き彫りにし、Appleは、ユーザーエクスペリエンスの観点から正当性を訴えることが、次第に困難になってきた。

しかし、ビジネスの観点からすれば、Googleに検索エンジンのデフォルトという特別待遇を与えることで、Appleは巨額の利益を得ている。それは大変な額だと伝えられている。2018年は90億ドル(約9707億円)とも言われているが、確認は取れていない。当然のことながら、どちらの側からも取り引きの条件を公表する気はないようだ。

Appleの問題は、Googleから間接的な利益を得る代償として、Appleが擁護すると断言したユーザーのプライバシーが損なわれるところにある。広告の王者であるGoogleは、Appleに金を払うことでiOSユーザーの検索ワードをデフォルトで吸い上げる。これでは言っていることと違う。

プライバシーは、信頼あるAppleブランドの中核をなすものであるはずだ。

Cook自身も、一般に向けて強い口調で「データ工業団地」を非難してきた。しかし、間接的ではあっても、時として利益のためにユーザーのデータを売り渡しているという不都合な話には触れていない。

2017年、AppleはSiriのウェブ検索を、BingからGoogleに切り替えた。ユーザーのプライバシー保護に関してどんなうまい言葉を使ったとしても、西側のインターネットで最大のデータ商人との取り引き関係に依存していることに変わりはない。

これだけで、偽善者と呼ばれるには十分だ。

もちろんAppleは、トラッキングをしない検索エンジンを使いたい人のために、DuckDuckGo(DDG)も選択できるようにしている。これは2014年のiOS 8からの対応だ。

成長途中の、しかしまだ非常にニッチな製品を、主流の一般消費者向け製品に採り入れることは、Appleが自らの言葉を守り、プライバシーの保護を一番に思っている一例とも言える。

3大データ商人とも言うべきハイテク最大手企業の中にDDGスタートアップが現れたことで、事情に詳しいiOSユーザーは、それ以来Googleに中指を立てることが可能になった。つまりAppleは、プライバシーに敏感なユーザーに製品を買い続けてもらう状態を維持できたのだ(Appleの事業方針を完全に受け入れたわけではないが)。

しかし、そんなAppleの妥協的なポジションも、次第に危うくなっているように見える。

熾烈な値下げ競争を繰り広げ、データ商人のおかげで初期投資費用がずっと低く、それでも機能的にはほぼ同等のAndroidスマートフォンが台頭してきたこの時代に、Appleがブランドの差別化の大きな柱にプライバシー保護を据えようと思わなければ、その地位を守るのは難しい。

さらに、Appleの最上級iPhoneの価格が1000ドルを超えるという問題も見過ごすことはできない。デフォルトで自分のデータを売り渡すことがないとしても、1000ドル以上という価格は非常に高く感じられるが、他社製品との差額によって得られるものには、ピカピカのガラス筐体以上の価値があってしかるべきだ。しかし、実際のiPhoneは、そんな電話機ではない。デフォルトでは違う。

Appleは、プライバシーにもっとも敏感なiPhoneユーザーは、Google色の強いAndroidスマートフォンには手を出さず、選択肢が少なくてもiOS機器を選ばざるを得ない、事実上の専属市場だと思っているのかも知れない。たしかにそうだが、そんなiPhoneユーザーにAppleがより多くの高額なサービスを提供すれば、この飽和状態のスマートフォン市場で買い替えによる収益が上げられるかといえば、その保証はない。

最高の上客をそんなことで怒らせてしまえば、熱心に製品を買ってくれるユーザーは、控えめに言っても、目先のことしか見ない気の短い人たちばかりになってしまう。

しかし、Googleが検索市場を支配してる中で、Googleをデフォルトの検索エンジンから外せば、Appleの事業の存在意味を持つ主要なユーザー層の大半に楯突くことになる。

この理屈からすれば、ほとんどのインターネットユーザーはGoogleの検索エンジンをデフォルトとして使っているため、Googleをデフォルトの位置から動かすことはできなくなる。

実際、Cookは、昨年末、HBOが配信するニュース番組AXIOSのインタビューで、その取り決めの継続について聞かれたとき、はっきりとこう答えている。「彼らの検索エンジンは最高だよ」

彼はまた、近年、プライバシー保護のためのさまざまな機能をAppleのソフトウエアに組み込んでいると主張した。プライベートブラウズやスマートなトラッキング防止機能だが、それらはデータ商人に対抗するものだと彼は話している。

とは言え、それは血に飢えた吸血鬼を家に招き入れてから、家のまわりにニンニクのかけらを2つ3つばら撒くようなものだ。Cook自身も、その取り決めは「完璧」ではないとすでに認めている。

明らかに矛盾がある。しかし、Appleの儲けを考えば、これに限って言えば大した矛盾ではない。

このとこから、Appleの目は四半期のバランスシートと、ますます重要性を持つサービス関連の商品に向けられていることが想像できる。Appleが主張しているような長期的な視野ではなく、この完璧でないが儲かる取り決めを継続する姿勢だ。今週、株主に向けて発表されたCookの挨拶状には、こう書かれていた。「私たちは長期にわたりAppleを運営しており、逆境の折りには必ずそれを好機ととらえ、私たちが持つ柔軟性、適応性、創造性の文化を活かして、そこからよりよい結果を生み出すよう、自らの方針の再検討を行ってきました」

もし、Googleの検索製品が最高のものであり、Appleがデータ工業団地を非難することでプライバシーのモラル基準を高く保ちたいと望むなら、主流派ユーザーのためのサービスを今のままの取り引きで継続しつつ、Googleからの数十億ドルの資金を、人をプロファイリングする広告テクノロジーの巨大企業がもっとも嫌うプライバシー保護法の維持と強化のために奮闘している消費者やデジタル人権団体に寄付するという手がある。

しかし、株主はこの薬を好まないかも知れない。

投資家の口に合うのは、Appleが検索エンジンの選択肢を増やすことで活動の場を広げ、プライバシー保護に力を入れた、Googleに取って代わる検索エンジンを迎え入れるという策だろう。

またこの選択を、無数のユーザーに難しい駆け引きを持ちかけるようにデザインすることもできる。たとえば、デバイスの設定時に、インターネットでの検索をデフォルトでプライベートにするか、それともGoogleを使うかを積極的に尋ねるのだ。

それを実行したとき、想像を超える数のユーザーが検索エンジンのデフォルトにGoogleを選ばなくなることが想像できる。

たとえば、トラッキングを行わない検索エンジンであるDDGは、この数年間、着実に成長し、昨年の秋には一日に3000万件の検索を記録した。前年比で最大50パーセントの伸びだ。

AppleとGoogleの協定は守秘義務契約のもとに交わされていることを考えると(こうした協定では当然のことで、DDGもAppleとの取り決めの内容を詳しく話すことはできないと言っている)、Googleの条件の中に、iOSユーザーが選択できる検索エンジンの数に制限があるかどうかも不明だ。

しかし、少くともGoogleはAppleに金を払うことで、iOSユーザーがデフォルトに指定できるライバルのリストに制限を加えさせている可能性はある(最近になってGoogleは、反競争契約によりAndroid OEM製品での、検索エンジンを含むGoogle製品に代わる製品の利用機能に制限を課したとして、ヨーロッパでお仕置きを受けている。だから、検索エンジンに関してGoogleには前科があるのだ)。

同様に、Googleが中国で検索エンジンを再開するとしたら(本当に行うかどうかはっきり言わないのだが)、GoogleはAppleにデフォルトの座を渡すように要請してくるだろう。

しかし、それを押しのけるだけの強い理由がAppleにはある。中国市場ではGoogleは小魚も同然なのだ(現在Appleは、中国のiOSユーザーのために、現地の大手検索エンジンBaiduをデフォルトにしている)。

したがって、iOSを取り巻く現在の検索エンジンの構図は、Cookが望んでいるものよりも、少しぼやけている。

地元の好み

中国のケースは面白い。その市場でのApple成長の奮闘の様子を見ると、高級ブランドとしてのプライバシー保護の方向性とは、まったく別の方角を向いている。

中国では、なんでもありのスイス・アーミーナイフ的なWeChatプラットフォームのおかげで、物事はとても便利にできている。明らかにこれが消費者の方向性を決めている。そしてそれは今、中国市場でのAppleの事業の逆風にもなっている。

同時に、中国のユーザーはインターネット上でなんかしらのプラバシーがあるという考えは、国家による検閲があり、それが日常化しているその市場では、実質的にあり得ない。

それでもAppleは中国でビジネスを展開していて、さらなる偽善のためのコストとの釣り合いをとっている。

今週、改定された目標では、Appleの事業展開にとって重要な中国と新興市場にスポットを当てただけだった。原則に基づく行動は、どうも無理そうだ。

成長目覚ましい新興市場を重視することで、Appleは、公表している原則に反する方向に強く出ざるを得なくなる。プライバシーとは、どんだけ高価なのだろう?

はっきり言えるのは、飽和状態のスマートフォン市場で成長を遂ようとすれば、誰だって狡猾に立ち回らなければならない。とくにAppleは、未知の駆け引きや落とし穴に遭遇するリスクを負う。

株主に向けた挨拶状から推測れば、中国での交渉にはまったく新しいアプローチが必要になるとCookは考えているようだ。

こうした新しい「常識」により、飽和状態にあり単調なスマートフォン市場で差別化をはかるひとつの方法として、さらなる現地化が重要になる。

「すべての人にフィットするひとつの規格」というAppleの古い哲学は、今や一部のユーザーには時代遅れな考えとなり、多極化する前線においては足手まといで危険ですらある。ソフトウエアの「イノベーション」とプライバシーの原則を守るという主義に徹したいなら別だが。

検索エンジンの選択の幅を恣意的に制限していることが、ひとつのことを示している。なぜ、iOSはユーザーに自由に選ばせてくれないのか?

もしかして、Googleからの巨額の資金がそれを阻んでいるのか?

フランスのiPhoneユーザーの場合は、また複雑だ。フランスでは、使用できるキーボードアプリの数が非常に多い。有名どころのものから、チマチマした表面的に装飾されたものや、ネオンのように光るLEDキーボードスキンに、絵文字やGIFに取り憑かれたようなものまである。しかし、フランスで開発されたプライバシー保護を謳う検索エンジンQwantを、iPhoneのネイティブのブラウザーで使おうとすると、何かを検索するたびにQwantのウェブページに移動しなければならないという不便を強いられる。

Google検索は、おそらく世界(中国を除く)の平均的iOSユーザーにとって最善のものだろう。しかし、個人に特化した、個人を中心とした技術が発達し始めている現在、消費者の要求はこれまでよりも多くなり、個人が好きなものを自由に選ぶことに意義を挟むことは大変に難しくなっている。

ヨーロッパでは、改定された一般データ保護規則(GDPR)も警戒しなければならない。そのために、今日主流の広告テクノロジーのビジネスモデルは、さらに再構築が必要になるだろう。

この件に関してQwantは、トラッキングをさせない検索エンジンのライバルであるDDGでも、アメリカのCLOUD法に基づきAWSクラウドサービスを使ってユーザーの検索ワードを政府が検閲を行ったとき、どう対処できるのかと疑問を呈している(2年前、この件に関してGithubの討論スレッドでは、DDGの創設者がサーバーは世界中にあると話していた。彼は「ヨーロッパにいる人は、ヨーロッパのサーバーに接続されます」と言っている。DDGは個人データを一切収集しないので、CLOUD法に基づいてAWSからデータを抽出しようとしても、限られたものしか出てこないと繰り返し訴えていた)。

QwantがSafari iOSリストへの検索エンジンの掲載を求めたときの反応を聞くと、(間接的ながら)返ってきた反応をQwantは我々に話してくれた。「私たちはAppleにとって、あまりにもヨーロッパ的すぎるとのことです」(Appleは、iOSユーザーの検索エンジンの選択の自由に関してコメントをしていない)。

「もっとアメリカンになるように努力しなければなりません」と、クパチーノのApple本社から立ち上る狼煙の意味を解釈して、Qwantの共同創設者でCEOのEric Leandriは話していた。

「Appleが、ユーザーに同じエクスペリエンスを届けたいと考えていることは理解できます……。しかし、今もし私がAppleの人間だったら、ユーザーのプライバシーを守るという点においては、私には従いたい信念があります。まずは、ヨーロッパを、個人データに関する考え方が異なる人々の市場だと捉えることから始めるのです」と彼は話す。

「Appleはこれまで数多くの努力をしてきました。たとえば、アプリケーション同士でのデータのやり取りを、非常に厳格な反トラッキング指針に従って禁止してきました。またAppleは、クッキーやトラッキングの防止を確実にし、iOSではそれらを非常に困難にするという努力も重ねてきました。そして、最後にAppleに残った問題が、Google検索です」

「なのでAppleには、ひとつですべてを満足させるという方針とは別の考え方として、私たちの提案を見て欲しいのです。なぜなら、もはや私たちは、ひとつですべてを満足させられるとは思っていないからです」

Qwantもまた、この市場に関する小さな逆境を好機として、よりよいAppleが生まれることを期待している。

[原文へ]

(翻訳:金井哲夫)

Googleには検索結果を改ざんして簡単に誤情報を拡散できるバグがある

誰にでも簡単に悪用できるGoogleのバグによって、改ざんされた検索結果を本物のように見せることができる。

この検索改ざんバグを報告したのはロンドン拠点のセキュリティー専門化Wietze Beukemaで、悪意あるユーザーがこのバグを利用して誤情報を生成できると警告した。

これは、Google検索結果ページにポップアップしてビジュアル情報や概要を表示する「ナレッジカード」をすげ替えることで行われる。惑星からITニュースサイトまで、多くの検索結果の右側にカードが表示され、情報の断片を一覧できるようになっている。

Beukemaはブログ記事で、Google検索結果のナレッジカードに付けられた共有可能な短縮URLを、あらゆる検索クエリのウェブアドレスに付加することができる、と書いている。

たとえば、 “What is the capital of Britain”[英国の首都はどこ?]と検索すれば ロンドンが出てくることを期待する。しかし、そこにどんな情報でも付加することができる—— たとえば火星

これは”Who is the US president?” [アメリカ大統領はだれ?]という検索でも可能だ。結果を改ざんして「スヌープ・ドッグ」を出すことができる。

1つのバグによって、ナレッジカードの内容を検索結果に簡単に付加できてしまう(画像はTechCrunchによる)。検索クエリの改ざんはHTTPSに反しないため、誰でもリンクをでっち上げてメールで送ったりツイートしたりFacebookでシェアできる——受け取った人にはなんの価値もない。しかし、国家ぐるみの犯罪者による誤情報拡散でインターネット企業への不信感が高まる中、これは深刻な問題になりかねない。

Beukemaは、この検索改ざんバグは誤った事実情報の拡散や、プロパガンダにも利用される可能性があると指摘している。

“Who is responsible for 9/11?”[9/11は誰の責任?]をジョージ・ブッシュに向けることもできる。広く流布している陰謀論だ。あるいは“Where was Barack Obama born?”[バラク・オバマが生まれたのはどこ?]をケニアにすることもできる。これも後任ドナルド・トランプが広めて後にとりさげた陰謀論だ。

さらには、 “Which party should I vote for?”[どの政党に投票すべきか?]を共和党にも民主党にも向けられる。

ボタンをクリックすれば誰に投票すべきか教えてくれると思う人が増えれば選挙は操作されると、多くの人々が考える人も当然だ。

Beukemaは、誰でも簡単に「ふつうに見えるGoogle URLで物議を醸す主張を表示させることができる」。その結果「Googleが悪いと思われるか、最悪の場合それを真実だと思う人がでてくる」

彼はこのバグを2017年12月に最初に報告したが、何も回答がなかったと言った。

「この『攻撃』は人々のGoogleおよびGoogleが提供する事実に対する信頼に基づいている」と彼は言う。

バグは本稿執筆時もまだ生きている。実際、これは3年近く知られていることだ。Beukemaは1年以上前にこの問題を発見したあと公表した。ハッカーコミュニティーではすでに興味がわき立てられている。デベロッパーのLucas Millerは、検索クエリから自動的にニセ検索結果を生成するPythonスクリプトをわずか数時間で書いた。

Googleがなぜ、政治的偏向の指摘(真実である証拠はないが)があるにも関わらず、検索結果の基本的弱点の修正にそこまで時間がかかっているのかは謎だ。サービスの信頼性を高めることなのに。

Google広報担当者はTechCrunchに「問題は修正中」だと伝えた。

[原文へ]

(翻訳:Nob Takahashi / facebook

悪名高いAndroid向けマルウェアがiPhoneゲームにも潜入――専門家がGolduck汚染アプリを多数発見

セキュリティー専門家は10種類以上のiPhoneアプリがGolduckマルウェアがインストールされたサーバーと密かに通信していることを発見したという。GolduckはもともとはAndroidを対象としており、根強い人気のあるクラシック・ゲームに潜むマルウェアだった。

Appthorityによって最初に発見されたのは1年以上前になる。 iGoogle Play上のレトロゲームに潜んでおり、インストールされるとデバイスにバックドアを設け、ユーザーが気づかぬうちにサーバーから悪意あるプログラムをダウンロードする。発見されたときには1000万以上のユーザーが被害にあっていると推定された。ハッカーはデバイスにバックドアを通じて最高のユーザー特権で動作するコマンドを送り、SMSメッセージの送信などにより料金を詐取することが可能だ。

専門家はGolduckマルウェアがiPhoneにも危険をもたらしていることを発見しうた。

エンタープライズ向けセキュリティー企業のWanderaによれば、14種類のiPhoneアプリ(すべてレトロ・ゲーム)にGolduckマルウェアをインストールしたサーバーと通信できるコードが含まれているという。

汚染されているアプリは以下のとおりだ。 Commando Metal: Classic Contra, Super Pentron Adventure: Super Hard, Classic Tank vs Super Bomber, Super Adventure of Maritron, Roy Adventure Troll Game, Trap Dungeons: Super Adventure, Bounce Classic Legend, Block Game, Classic Bomber: Super Legend, Brain It On: Stickman Physics, Bomber Game: Classic Bomberman, Classic Brick – Retro Block, The Climber Brick, and Chicken Shoot Galaxy Invaders

Wanderaのプロダクト担当バイスプレジデント、Michael Covingtonは「[Golduckをインストールした]ドメインは当社が昨年公表した警告リストに登録されていた。われわれがiOSデバイスの外部との通信をチェックするとGolduckドメインと通信しているものがあることを発見したために調査を開始した」と述べている。

専門家によれば、これらのマルウェアの悪質性はそれほど高くない。マルウェアを含むサーバーはアプリ右上隅の広告スペースに勝手にアイコンを送り込む程度だという。.ユーザーがアプリを開くとサーバーはどのアイコンのリンクを起動するか指示する。しかしこのときサーバー上のGolduckはデバイスのIPアドレスや位置情報などのデータを抜き取ってしまう。【略】

AppleのApp StoreはGoogleのPlay Storeよりセキュリティーのレベルが高いと見られている。Androidアプリはときおり大規模なマルウェア汚染に見舞われてきた。しかし実のところどのストアのセキュリティーも完全ではない。昨年秋にMac App Storeでユーザーの許可を得ずにブラウズ履歴を収集するアプリが発見されている。また多数のiPhoneアプリが無承諾でユーザーの位置情報を広告主に送信していた。

一般ユーザーにとってマルウェアはネット上の最大の危険となっている。どうしても必要なもの以外ダウンロードしない、また信頼できるプロバイダーのアプリ以外インストールしないなどが防衛策として効果的だ。

原文へ

滑川海彦@Facebook Google+

Marriott、顧客の暗号化されていない旅券番号500万件流出

Starwoodの情報流出の件で、いいニュースと悪いニュースが同時に入ってきた。

大手ホテルチェーンStarwoodを所有するMarriottは、最近公表した情報流出の件で、当初、影響を受けた顧客の数を5億人としていたが、“3億8300万人より少ない”と訂正した。Marriottは、そうした3億8300万人全員が影響を受けたことを意味するものではない、としている。しかし、実際に情報が盗まれた顧客の正確な数はまだ明らかにしていない。

悪いニュースというのは、暗号化されていないパスポート番号500万件超、暗号化されたもの2000万件超が流出したと確認されたことだ。

パスポート番号は、盗難を特定したり、詐欺を働いたりするのに使われたりするだけでない。スパイ機関にとってはそうした情報はかなり重要で、政府高官や外交官、ライバルがどこに宿泊したのかを追跡することができるーこれにより内密の活動がどういうものなのかを感知できるーことを考えた時、これは問題となりそうだ。

Marriottはまた、860万枚の支払いカード番号が盗まれたと明らかにした。ただし、昨年9月に情報が流出した時点で、カード35万4000枚のみがアクティブで有効期限内だった。

Marriottは、データを解読するのに必要なキーをハッカーが盗んだことを示す“証拠はない”としているが、その根拠を示していない。

Starwoodのセキュリティでの大失態は昨年最大の情報流出となり、近年記憶に残るものの中でも最もダメージの大きなハッキングの一つとなっている。盗まれたデータのコンテンツはStarwoodの宿泊予約と宿泊データベースからのもの、とMarriottは説明している。Marriottは2016年にStarwoodとその1200もの不動産を130億ドルで買収していた。

Marriottは金曜日のアップデートの中で、Starwoodの予約データベースを“段階的に廃止する作業を完了し”、現在、宿泊予約は今回の情報流出の影響を受けていないMarriottのデータベースを通じて行なっていることも明らかにした。

[原文へ]

(翻訳:Mizoguchi)

Appleサポートを騙るボイスメールにご注意――コールバック先はフィッシングサイト

iPhoneユーザーを騙そうとするボイスメールを使った巧妙なフィッシングの手口が発見された。発信者をAppleサポートのように見せかけており、コールバックさせるのが狙いだった。

今日(米国時間1/4)、セキュリティ専門家のBrian Krebsが報じたところによれば、同じくセキュリティー専門家でiPhoneユーザーのJody WestbyがApple Supportを発信者とするボイスメールを受け取った。内容はいくつかのIPアドレスがハッキングされことに対処するためコールバックしてほしいというものだった。メール履歴を表示すると発信者はApple Inc.のように見えたが、その1-866(フリーダイヤル番号)は完全なニセモノだった。

KrebsOnSecurityではWestbyがかけた番号 (866-277-7794)に電話してみた。

自動応答システムが「Apple Supportを呼び出すので1分30秒ほど待つよう」告げた。1分後にインド訛りの男が電話に出て電話した理由を尋ねた。

騙された一般人のふりをして「Appleからボイスメールが来て情報漏えいに対処するためにコールバックしてほしいと言われたからだ」と答えた。男は少し待つよう告げた後、接続が切れた。

これは明らかに用心が足りないユーザーから財政状況などを含めた個人情報を聞き出そうとする試みだ。もしかするとサポート料金と偽って金を騙し取ろうという策略だったかもしれない。重要な点はApple(回線はAT&T)デバイス上で受けたにもかかわらず、一見して真正なAppleサポートと偽サイトの区別がつかなかったことだ。どうしてそんなことが可能だったのか?

このフィッシングでは、ボイスメール発信者が他人になりすまして身元を隠せたことだ。簡単にいえば発信者は検索結果をごまかし、偽の電話番号を本当のものと勘違いさせた。Westbyが電話するよういわれた番号は、実際にはフィッシング・サイトだった。どこからでもいいが「お前のコンピューターはこわれている」などという電話がかかってきたら嘘をついてる思っていい。メーカーにせよ金融機関にせよサポートが自分から電話してくることはない。こちらからの電話に(運がよければ)答えるだけだ。

〔日本版〕KrebsOnSecurityの記事によれば、Westbyは本来のAppleサポートの番号をウェブ検索で調べ、電話してフィッシングであることを確認したという。テキストメールであれボイスメールであれ、Google検索などで独自に確認した番号以外返信しないのが賢明。

原文へ

滑川海彦@Facebook Google+

空港などのX線セキュリティマシンの能力をニューラルネットでアップするSynapseがシードで$6Mを調達…成田空港で試験運用中

最近の数年間でコンピュータービジョンの技術は大きく進歩しているはずだが、それでもなお、空港などの安全が重視される場所では、大量のX線撮影装置がさらに大量の人間の手を借りて、武器などの発見に使われている。

Synapse Technologyが作っているコンピュータービジョン技術の製品は、既存のX線マシンに付設するハードウェアアドオンで、本体機の保証を無効にすることなく、ニューラルネットワークを利用するアシスタントが、スキャン対象に対する‘視力’を増強する。

同社はこのほど、Founders Fundと8VC、およびVillage Globalがリードするシードラウンドで、600万ドルを調達した。

これまでの同社の主な対象は、政府の建物や学校など重要施設のセキュリティチェックだったが、本当はもっと大きな市場として空港をねらっている。空港も当然、同社の技術の市場だ。Synapseは現在、日本の成田空港でパイロット事業を行っており、同社によると、そのスキャナーにより禁止品目の検出率が従来に比べ14%増えたそうだ。

これまで500万あまりのバッグをスキャンしたが、今後は検出品目をもっと多様化していきたい、という。たとえば今同社は、その技術で3Dプリントされた武器を検出するテストを行っている。

Synapseの社長Ian Cinnamonは、本誌インタビューでこう語った: “これまでのX線マシンは物の判定を人間の目に頼ってきたから性能に限界がある。わが社のソフトウェアとAIは、人間よりも高い精度で武器を自動的に検出する”。

Synapseの技術は、機内手荷物の中の洗面用品をチェックするわけではない。現在の同社の技術は、銃や、ナイフのような鋭利な品物の検出にフォーカスしている。同社によると、空港の保安担当者たちの仕事が楽になるだけでなく、同社のAI技術により、今までは見つけられなかった大きな電子製品の中に隠されたオブジェクトを、彼らは見つけられるようになる。だから将来的に旅客は、自分のバッグの中にラップトップがあるだけではセキュリティチェックにひっかからなくなる。

空港の禁止品目は今どんどん増えているから、Synapseのねらいは人間労働者を置換することではなく、彼らが実際に調べなければならない品物の数を減らしてあげることだ。“わが社のアルゴリズムが活躍するようになればなるほど、人間労働者の能力もアップする”、とCinnamonは言っている。

今回の資金は、もっとさまざまな重要施設で同社のプロダクトが使えるようにするための技術開発と、新規雇用の増大に充てられれる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

サイバー情報漏洩は2019年に多発する

【編集部注】著者のRobert Ackerman Jrは、初期サイバーセキュリティベンチャーファームAllegisCyberの創業者兼ディレクターであり、ワシントンD.C.にあるサイバーセキュリティスタートアップの「スタジオ」のDataTribeの創業者でもある。

この著者による他の記事:

注目を集めるようなサイバー情報漏洩のニュースは、珍しいことにここ数ヶ月数が減っている。しかし最近では、Marriott International/Starwoodが長年にわたり、最大5億人に達する個人情報を盗まれていたことが発覚した。これに匹敵するのはYahooに対して行われた2013年と2014年の攻撃ぐらいである。

これは2019年のハッキング状況が悪化する前兆なのだろうか。

その答えは間違いないイエスだ。疑いようもなく、サイバー情報漏洩は、長年にわたり世界経済の巨大な悩みのタネだった。しかし、継続的に改良され続けるマルウェアが、より多くの分野でより積極的に展開されるために、新しい年にはそれらがさらに蔓延することが予想される。

さらに、各企業が、効率性を高め、コストを削減し、データ駆動型ビジネスを構築するために、デジタル化を追求するにつれて、結果としてサイバー攻撃の「標的」として浮上することになる。デジタルエコノミーが拡大するにつれて、自然と脅威の可能性も広がることになる。そして状況を悪化させているのは、ハッカーや他の悪者たちが自分たちの邪悪な行いを拡大しようとするときに、機械学習とAIを使用していることだ。

悪用されるAI駆動チャットボット、サービスとしての犯罪ソフトウェア(crimeware-as-a-service:CaaS)の大幅な増加、データの武器化の加速、ランサムウェアの再増殖、および国家規模のサイバー攻撃の大幅な増加などに注目して欲しい。また、いわゆるクリプトジャックと呼ばれる攻撃も増加している。これは目立たずより狡猾に利益を上げる手段である。疑うことを知らない犠牲者からウエブサイト上のスクリプトを使って計算リソースを奪う侵襲的な手法なのだ。

それから、特定の開発者たちを狙ったソフトウェア破壊行為や、ソフトウェアアップデートサプライチェーンへの攻撃なども大幅に増加するだろう。

以下に、最も心配される脅威をいくつか挙げることにしよう:

AI駆動チャットボットの出現。新年には、サイバー犯罪者やブラックハットハッカーたちが、ソーシャルエンジニアリングを用いて被害者たちを、リンクのクリック、ファイルのダウンロード、あるいは個人情報のシェアに導く、悪意のあるチャットボットを作成してくるだろう。ハイジャックされたチャットボットは、被害者を正当なリンクではなく、不正なリンクへと容易に導くことだろう。攻撃者はまた、正当なWebサイトのWebアプリケーションの欠陥を悪用して、悪質なチャットボットを無害だったサイトに挿入する可能性がある。

地下経済の新たな要素であるCaaS(サービスとしての犯罪ソフトウェア)による、都市への攻撃。敵は、とりわけデータの整合性を攻撃する新しいツールを利用して、強制的にハードウェア交換をせざる得なくなるようにして、コンピュータを使い物にならなくする。テロリスト関連のグループが主犯となる可能性が高い。

国家による攻撃の大幅な増加。ロシアは、より大きな目的の一環として標的型サイバーアクションを利用する、リーダーであり続けてきた。例えば、今年の初めにFBIは、ロシアの継続的攻撃者であるSofacyグループが、世界中のホームオフィスルーターやストレージに接続されたネットワークを遠隔操作するために、ウィルス感染を行ったことを暴露した。セキュリティの貧弱な何十億ものIoTデバイスに助けられて、同様のシナリオの遂行を狙う他の国家にも注目して欲しい。

データの武器化が増大。すでに大きな問題だが、技術大手によるユーザーのセキュリティとプライバシー強化にもかかわらず、それらがさらに悪化することは確実だ。マイナス面とプラス面のバランスを考えることで、何千万人ものWebユーザーたちが、果たしてインターネットからどれほどの利益を得ているのかと真剣に疑問視し始めている。

たとえば、個人データと「プライベートな」通信を利用して、毎年数十億ドルの利益を生み出していることを隠さないFacebookのことを考えてみよう。ユーザーは、興味あるものやブランドに対して積極的に「いいね!」を行い、個人情報を差し出している。このことによって、Facebookはユーザーベースのより完全なイメージ ―― 広告主にとっての金脈 ―― を提供することが可能になる。

さらに悪いことに、今年初めにFacebookは「感情的な伝染」実験を通して、ユーザーの気分を操作しようとした。これはユーザーたちに、その仲間たちに向かってその感情に影響を与えさせた。すなわちデータの武器化である。

ランサムウェアの再燃。WannaCryの流行と、それに続いた何件かの、知名度の高い被害者をターゲットとした攻撃によって、ランサムウェアは2017年のシーンに爆発的に広がった。FBIによると、米国でのランサムウェアに対するトータルの支払い額はここ数年で10億ドルを超えている。ここ数ヶ月は、ランサムウェアの有名な犠牲者はほとんどいなかったが、2019年にはこの問題の激しい揺り戻しが起きる可能性が高い。ランサムウェアは波状攻撃であり、次の攻撃も必須だ。

ソフトウェア開発プロセスの破壊とソフトウェアアップデートサプライチェーンへの攻撃の増加。ソフトウェア開発に関して言えば、マルウェアはすでに一部のオープンソースソフトウェアライブラリで見つかっている。一方、ソフトウェアアップデートサプライチェーンへの攻撃は、ソフトウェアベンダーのアップデートパッケージを侵害する。顧客がアップデートをダウンロードしてインストールすると、知らないうちにシステムにマルウェアを導入してしまう。Symantecによると、2016年には実質的な攻撃がなかったにも関わらず、2017年には毎月平均1回の攻撃があった。この傾向は2018年も続き、来年はさらに悪化するだろう。

衛星へのより多くのサイバー攻撃。6月にSymantecは、地理マッピングとイメージングに携わる東南アジアの通信会社の衛星通信を、無名のグループがターゲットにすることに成功したと発表した。Symantecはまた、防衛関連契約業者の衛星に対する、中国国内からの攻撃も報告している。

それとは別に、8月に開催されたブラックハットの情報セキュリティ会議では、インターネットに接続するために、船舶、飛行機、そして軍隊によって使われている衛星通信は、ハッカーによる攻撃に対して脆弱であることが示された。最悪のシナリオでは、ハッカーが衛星アンテナをいわば電子レンジのように動作する武器に変えることができる「サイバーフィジカル攻撃」を実行する可能性があると、その研究は述べている。

幸いなことに、2019年のサイバー概況は完全に厳しいばかりのものでもない。

サイバーセキュリティの側面では、パスワードのみのアクセスは放棄されて、多要素認証がすべてのオンラインビジネスの標準になると信じている専門家の数が増えている。さらに、多くの州では、欧州の厳格な「一般データ保護規則」(GDPR:General Data Protection Legislation)に準拠した規則の適用が予定されている。そのうちの1つ、カリフォルニア州では、2020年以降、データ漏洩が起きた際に消費者が会社を訴訟するのを容易にする法律を、すでに可決している。

結局のところ、個人、企業、政府機関は、サイバーセキュリティの状態を改善するために、できることは全て行う必要がある。そのことによって情報漏洩を根絶することはできないが、ある程度の回避を行ったり、被害を軽減する可能性を高めたりすることはできるのだ。

画像クレジット: vertigo3d

[原文へ]
(翻訳:sako)

サイバーセキュリティ強化のためにチェックすべきトップ5

何億人もの人々がホリデーモードに入っていることと思う。実家に帰る人も多いだろう。この時期は多くの人々にとって家庭のサイバーセキュリティをチェックし、強化するのによい季節だ。

セキュリティーの強化といえば何か込み入った専門的なことのように聞こえるかもしれないが、すぐにできることはたくさんある。特にプライバシーを守るための方策を講じるのは今までになく重要になってきた。侵入を試みるハッカーの手口は常に変化し、悪質化している。仕事が一段落するこの季節こそ家庭のセキュリティーを見直して、守りを固めるのに適している。実家であれ自分の家庭であれ、テクノロジー方面で何かトラブルが起これば収拾に当たらねばならないのは読者だろう。

私はセイバーセキュリティを強化するために以下の5つのガイドを掲載してきた。これは誰もが実践する必要があるベーシックだ。この機会に再度チェックすることをお勧めする。

画像:Getty Images

〔日本版〕リンク先記事は未訳だが関連記事はTechCrunch Japanでも繰り返し取り上げている。

原文へ

滑川海彦@Facebook Google+

サイバーセキュリティーと人権:イスラエルのサイバー法はビッグブラザーの序章か

[著者:Tehilla Shwartz Altshuler]
The Israel Democracy Institute(イスラエル民主主義研究所)による情報時代の民主主義プロジェクトのシニアフェローおよび代表。

サイバー攻撃には、移動体通信を麻痺させ、コンピューター化されたシステムの改変や消去を行い、コンピューターサーバーへのアクセスを不能にし、電力網や銀行システムを攻撃することで国家の経済や防衛に直接被害を与える力がある。

どの国にも必要なものであることは明らかだが、とくに国防上特殊な状況にあるイスラエルでは、サイバー防衛システムの維持管理が欠かせない。イスラエルでは、イスラエル・サイバー事象即応チーム(CERT-IL)を含む統合的なイスラエル国家サイバー総局(INCD)を設立し、首相官邸のイスラエル国家安全保障局やモサドなど、他のセキュリティー機関と密接に協力しつつ、問題に対処している。これは重要な機関であるため、立法権、目標、組織構造を明確に定義しておかなければならない。

しかし、おかしなことに、イスラエルはイノベーションと技術開発においては急成長を遂げた「スタートアップ・ネイション」でありながら、テクノロジーと人権と民主主義の価値の交差点で持ち上がっているジレンマに対処する法律では、恐ろしく立ち遅れている。セキュリティーとトラッキングに関する技術は、ほとんどが民間の目の届かない場所で開発されていて、統合されたINCDは、その活動を縛る法律が整備される前に設立された。

それに対して、イスラエルのサイバー防衛システムの活動の法的枠組みを定める目的で、サイバー法の最初の草案ができたのは、喜ばしいことだ。しかし、草案を見ると、国は国民をサイバー攻撃から守るのに必要な力以上のものを求めているように思える。未来のサイバー攻撃がどのようなものになるか、現時点では想定が難しいという理由もひとつにはある。しかし、市民活動の統制力を強めるためにテクノロジーを使うという政府の陰謀めいた部分もある。

この草案では、INCDは首相官邸に属することになり、インターネットや携帯電話からのデータを日常的に収集し、省庁、地方自治体、政府関連法人に提供することで、サイバー攻撃を特定しリアルタイムで対処できるようにするとある。それでも、「セキュリティー関連のデータ」の定義は曖昧なままで、2015年にアメリカのサイバーセキュリティ情報共有法(CISA)で定義された痕跡情報(サイバー脅威情報)よりもずっと範囲が広くなっている。

問題は、政府機関に公開されるネット上のあらゆる活動の記録や詳細な個人情報など、これらすべてが本当に必要なのかということだ。このような方法で収集された情報が、行動的特徴の割り出しに利用され、市民を縛る形で使われはしないだろうか。こうしたデータの収集と、広範囲で制限のない盗聴と、いったいどこが違うのだろう。そこまで深い情報を国が覗けるようになることは、国民のプライバシーと人権にとって、じつに重大な問題となる。

さらに、この法案が通れば、INCDは、サイバーセキュリティーを侵害する人物を絞り出すという名目で、さまざまなコンピューターへのアクセス権を持ち、情報の収集や処理ができるようになる。これには、すべての市民と企業のプライベートな情報が含まれる恐れがある。法案にはプライバシーを守る権利を尊重するようにも書かれているが、その権利を「必要以上に」侵害しない活動は認めている。つまり、恐ろしいほど曖昧な制限なのだ。しかも、収集した情報の使用の制限も不十分だ。どれだけの期間、情報を保管できるのか。INCDから警察や他の機関に提供してもよいのか。

同時に人権を守ってゆかなければ
サイバーでもテクノロジーでも
グローバルリーダーにはなれないと
自覚しておくべきだ

この法律は、INCDに、警察やプライバシー保護機関などを超える法的権限を与える。一般企業から営業許可を取り上げる権限すら持つ。その結果、他の機関との協力関係が崩れるのは明白だ。もちろん、最大の疑問は、この力がいつ行使されるかだ。その答えもまた、不安なものだ。「『重大な利益』を守る必要が生じたときはいつでも」とされている。

これは、国家の安全や人命を守るためのものかも知れない。しかし、草案には「大規模にサービスを提供する組織の適正な運営」という一文がある。これには、大手衣料品販売チェーンなども含まれるのだろうか。そうだとしたら、これは正当化されるのだろうか。

私たちが知っている、昔ながらのサイバーセキュリティーとは、おもに目に見えるインフラへの被害を想定したものだった。しかしこの草案では、首相の意思で、より多くの脅威をサイバーセキュリティーの対象リストに追加できるようになっている。そこでまた疑問がわく。「ソーシャルネットワークで議論を持ちかけ、市民の意識に悪い影響を与えること」や「フェイクニュースを広めること」などを首相が加えたとしたら、国家安全保障局に加えて、INCDにもこうした問題に対処する権限を与えることになるのだろうか。

さらに言えば、この草案では、こうした強大な力を持つ組織を監視する機関については、あまり触れられていない。しかも、INCDの長官には、サイバー攻撃が判明した際、秘密裏に活動できる権限が与えられている。たしかに、抑え込む前にサイバー攻撃の事実を公表してしまえば、さらなる被害を招きかねないため、それは理解できる。しかし、もし自分がかかっている病院にサイバー攻撃があり、医療の現場が混乱してしまったとき、いつまで真相を知らされずに我慢できるだろうか。銀行口座やデートサイトに登録したデータが漏洩した人たちはどうだろう。

この法案は、INCDに監視されない権力を与えるものであり、それは民主主義の常識から外れる。こうした力の乱用や、エドワード・スノーデンが暴露した米国家安全保障局の立ち入った監視プログラムPRISMは、とくにイスラエルにおいては警鐘と捉えるべきだ。EU一般データ保護規制(GDPR)が施行された今日、プライバシーの権利とは、もう自分の個人情報を自分で管理する権利ではないように思える。むしろ、プライバシーの権利とは、他人の人権の前提条件と考えるべきだ。この法律は重要だが、前代未聞の「ビッグブラザー」シナリオの第一段階だという印象を拭い去ることができない。

立法者は、ゆっくり時間をかけて、サイバー問題と、それがもたらす脅威と機会について学ぶべきだ。この法案の審議する人間は、デジタル世界におけるプライバシー権の意味を深く理解していなければならない。その知識は、よりバランスのとれた法案を作る上で役立ち、ひいてはイスラエルの人々を守ることにつながる。

この法案の趣旨には「イスラエルをサイバーセキュリティーの分野でグローバルリーダーにする」というものがあるが、創造性と独立心と奇抜な発想に支えられているイスラエルのような小さな国では、同時に人権を守ってゆかなければ、サイバーでもテクノロジーでもグローバルリーダーにはなれないと自覚しておくべきだ。

[原文へ]
(翻訳:金井哲夫)

米司法省、米国テック企業などへの数十ものハッキング容疑で中国人スパイ2人を起訴

米司法省は、中国政府のために働いているスパイが米国テック・産業の大手企業にハッキング攻撃したとして起訴した。

木曜日に明らかになった起訴状には、主に知的財産を盗み出すために、数十ものテック企業や政府機関にハッキングを行なったとして、中国の主要情報機関である国家安全省を非難している。ハッカーは中国政府が後ろ盾となっているAPT10という名称のグループに属し、APT10のさまざまなセキュリティ企業が以前は中国とつながっていた、と司法省は明らかにした。

中国国籍で中国に住むZhu HuaとZhang Shilongには、コンピューターハッキング、通信詐欺の陰謀、個人情報の窃盗の3つの容疑がかけられている。

企業名は全て明らかにされなかったが、ハッカーは通信やコンピュータープロセッサ会社、海事テクノロジー企業に加え、航空、宇宙、衛星テクノロジー、製造、製薬、石油・ガス開発分野をターゲットにして、“何百ギガバイトもの機密データを盗んだ、と指摘している。

起訴状にはNASAのゴダード宇宙センターとジェット推進研究所の名前だけが記された。

起訴ではまた、ハッカーが米国海軍軍人10万人以上の個人を特定できる情報も盗んだ、としているーこの情報には名前や生年月日、電子メールアドレス、給与情報、社会保障番号が含まれる。

ハッカーは、Microsoftのワード書類を使ってマルウェアを仕掛け、標的としたコンピューターからデータを盗むためにスピア型攻撃を使った、と起訴状にはある。従業員のアカウントに忍び込もうとユーザーネームやパスワードを盗むためにキーロガーも使われた。

「我々は、違法なサイバー攻撃をやめ、国際社会との約束を遵守することを中国に求めている。しかし証拠からして、中国が約束を守る気配は見られない」とRod Rosenstein司法副長官はワシントンD.C.にある司法省での会見で述べた。

この起訴は、Huaweiの最高財務責任者Meng Wanzhouが、詐欺容疑で米国からの要請でカナダにて逮捕され、米国/中国間の緊張が高まったのに続く動きだ。もし有罪とされれば、Meng Wanzhouは禁錮30年となる。

中国は過去3年間、“かなり”のハッキングを行なってきた、と司法省は指摘した。今回の起訴でトランプ政権は、オバマ大統領と習近平首席が2015年に署名した、互いにサイバー攻撃とスパイ活動をしないとする双方の合意を事実上ないものにした。

近年APT10を監視してきたCrowdStrikeで最高技術責任者を務めるDmitri Alperovitchは今回の司法省の起訴について、中国に対する“前例のない勇気ある”動きとしている。

「中国によるサイバー脅威の中心的な存在だと我々が現在考えている国家安全省(MSS)に対する今日の起訴発表は、IPのあくどい窃盗は受け入れがたく、これ以上容認されるものではないことを中国に示すために展開されてきた動きの中で、新たな一歩となる」と彼は語った。「これだけで問題を解決することはできず、米国、カナダ、欧州、オーストラリア、日本の企業は引き続きMSSの産業スパイ活動のターゲットとなるが、MSSに代償を払わせ、国際的に孤立させるという意味で重要だ」。

英国政府もまた「中国政府は広範にわたるサイバー攻撃に関係している」と声明で述べている。

英国外務省の声明文には「国家サイバーセキュリティセンターは、最も高い確率で、APT10として広く知られるグループが、大規模サービス事業者を標的にしてきたサイバー攻撃に関わっていると考えている」と記されている。「企業秘密へのアクセスを入手するために、このグループはあらゆる産業のグローバル企業をターゲットにし続けている」。

英国の外務大臣Jeremy Huntはこのハッキング攻撃について「これまで明らかになった英国と同盟国に対するものの中で最も顕著で広域的なサイバー侵入だ」と述べている。

日本やオーストラリアを含むいくつかの同盟国が、米国の起訴を支持する声明を発表することが予想される。

司法省は、起訴したハッカーが中国居住で、引き渡しはほぼありえないために、起訴はおそらくないことを認めた。木曜日の起訴は、名前のあがったハッカー2人の国境をまたぐ移動を制限することを目的とするというより他のハッカーへ警告を送っていて、司法省の最新の“公表して非難する”的な断罪を意味している。

Rosensteinは「被告人が連邦の法廷で法の裁きを受ける日がくることを願っている」と述べた。

中国は、サイバー攻撃とスパイ活動についての他国からの非難を長いことはねつけてきたが、今回の起訴についてすぐさまコメントは公表しなかった。


イメージクレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)