FBI、請負DDoSサイト15箇所を凍結――サンタ帽子の押収通知が表示される

FBIは、民間のテクノロジー、セキュリティー企業の協力の下に、分散サービス妨害を行うサイト15箇所を押収、凍結した。訪問者はクリスマステーマの押収通知画面にリダイレクトされる。

カリフォルニアの連邦判事による数通の押収令状は木曜日に発効し、booter、stresserなどと呼ばれるDDoS攻撃請負いサイトの運営が停止された。FBIは「料金を得てDDoSを行う違法なサイトをインターネットから排除するための広範囲な協力の一環」だとしている。FBIによる押収の請求はコンピューター利用詐欺に関する連邦法の規定に基づいて認められた。

連邦検事は Matthew Gatrel、Juan MartinezをカリフォルニアでDavid Bukoskiをアラスカでそれぞれ違法なサイトを運営していたとして起訴した。また連邦裁判所3箇所に提出された押収請求書面が木曜日に公開された。

Bryan Schroder連邦検事は「こうしたDDoS攻撃請負サイトは国家レベルの脅威だ。 捜査当局と公的機関はこうした行為の重大性を認識し、全国的に協力して取締りを実行している」と声明で述べた。

FBIと司法省はイギリスのFBIとも呼ばれる国家犯罪対策庁(National Crime Agency)、オランダ国家警察、さらにCloudflare、Flashpoint、Googleなどの有力企業の協力を得て、違法なDDoSを実行していた企業の特定に成功した。

その結果、downthem.orgnetstress.orgquantumstress.netvbooter.orgdefcon.proを始め多数のサイトはオフラインとなった。これらのサイトでは各種のシステムに攻撃を行おうとするハッカーに大規模DDoSに適したサーバー、帯域幅の貸出を行っていた。

DDoS攻撃はインターネットの普及にともなって生じた副作用の一つだ。帯域幅が拡大するにつれて、インターネッットのプロトコルに内在する脆弱性が標的とされるようになった。アメリカのインターネット犯罪苦情センター(Internet Crime Complaint Center、IC3)とFBIは1年以上前からbooterやstresserと呼ばれるDDoSサイトが大型化し、強力な攻撃を行えるようになってきたと警告していた。自サイトの脆弱性をチェックするなどの合法的な利用者もいたが、booterやstresserのユーザーの多くは標的とするサイトの運営を中断させるという違法な目的で利用していた。データセンターが攻撃を受けてダウンすると、ホスティングされていたサービスやアプリも停止し、何百万もの一般ユーザーにも被害が及んだ。

起訴状によれば、DDoSサイトのいくつかは毎秒40ギガビット以上の帯域幅を備えており、大規模なサービスをかなりの時間にわたってダウンさせることが可能だったという。

司法省はDownthemには2000人以上のサブスクリプション・ユーザーがおり、20万回以上攻撃を繰り返していたと述べている。

ただし最大規模のDDoS攻撃はこうしたbooterサイトではなく、ボットネット利用攻撃であることが多い。たとえば、多数のテクノロジー企業に信頼されていたDynがこうした攻撃を受けてダウンしている。

今回の押収は請負DDoSサイト取締の新しいページを開いた。今年に入って、アメリカとヨーロッパの当局はwebstresser.orgを停止させた。このサイトは600万人回以上もDDoS攻撃を行っていたという。

FBIにコメントを求めたが、司法省の発表以上に踏み込んだ回答は得られていない。

画像:Allison Nixon/Flashpoint via Justice Department

〔日本版〕通知画面中央のFBIの紋章の左はイギリスの国家犯罪対策庁、右はオランダの国家警察の紋章。

原文へ

滑川海彦@Facebook Google+

ワシントンDC司法長官、FacebookのCambridge Analyticaスキャンダルを巡り訴訟

すでにユーザーたちの目は、Facebookの次の非道に向けられているかもしれないが、同社は今年前半のプライバシー問題の処理に今も追われている。

ワシントンDCのKarl Racine司法長官は水曜日(米国時間12/19)、Facebookを訴訟し,同社がユーザーデータ保護の責任を果たしていないと主張した。具体的にはCambridge Analyticaスキャンダルを取り上げ、Facebookの第三者とのデータ共有ポリシーが緩慢だったために、ユーザーの個人データが本人の許可なく金銭目的で収集されたと指摘した。

「Facebookはユーザーのプライバシー保護を怠り、データを誰がアクセスし、どのように使われるかを偽って伝えていた」と司法長官は訴訟理由を説明した。「Facebookは、Cambridge Analyticaなどの会社やその他のサードパーティーアプリケーションがユーザーの許可なく個人データを収集することを許し、ユーザーを危険にさらした。今日の訴訟はFacebookが約束を守り、ユーザーのプライバシーを保護することも求めるものだ」

発表によるとワシントンDCの司法長官事務局はFacebookに対して、ユーザーデータの共有を監視する「プロトコルとセーフガード」の実施と、ユーザー保護を容易にするプライバシーツールの実装を要求する強制命令の発行を見据えている。訴訟全文は以下に貼り付けてある。

[原文へ]

(翻訳:Nob Takahashi / facebook

Twitter投稿の画像から指令を受けるマルウェア発見

Trend Microのセキュリティー専門家によれば、Twitterへの投稿画像を通じてハッカーから指示を受ける新種のマルウェアが存在するという。

マルウェア本体は比較的地味なものだ。基本的にRAT(Remote Access Trojan)であり、脆弱なコンピューターに潜み、スクリーンショットを撮るなどの方法を得る。盗み出したデータはマルウェアをコントロールするサーバーに送り返される。

興味ある点はこのマルウェアがマザーシップから指示を受けるチャンネルとしてTwitterを利用していることだ。

Trend Microのブログ記事によれば、マルウェアは作者のTwitterアカウントをフォローしており、画像にステガノグラフィー(電子迷彩技術)を利用してマルウェアへのコマンドを隠したツイートを2件発見したという。マルウェアは画像、コードの共有サイトPastebinから貼り付けられた画像を通じてマザーシップ・サーバーのURLを得ていた。これによりマルウェアは盗んだデータの送り先を知ることができたわけだ。独創性については星5つつけてもいいだろう。

セキュリティー専門家は、Twitterにアップロードされた投稿には “/processos”(OS上で動作しているプロセスの一覧)、“/clip”(クリップボードの内容)、 “/docs”(フォルダー内のファイル名一覧)などのデータの窃取を命令するコマンドを隠すことができたと述べている。

このマルウェアが最初に発見されたのは、VirusTotalのハッシュ解析によれば10月中旬だった。これはPastebinに問題の投稿が行われた時期と一致する。

ただし専門家はまだ完全に解析を終えておらず、さらに研究が必要だと」している。マルウェアが生まれた場所、感染させる方法、さらには作者の身元などはまだ不明だ。またこのマルウェアの目的もまだ完全に明白になっていない。現在知られている以外の目的に用いることを意図していた可能性もある。またPastebinの画像に隠されたアドレスがインターネット外のものだった理由を把握していない。本番の攻撃を準備するテストだった可能性もある。

Twitterのセキュリティーは厳しく、マルウェア本体はもちろん、マルウェアの拡散を助けるような投稿もチェックされている。その監視をくぐり抜けてソーシャルメディアを通じてマルウェアとのコミュニケーションを図る(前例がないわけではないが)というのはユニークだ。

マルウェアがコミュニケーションのチャンネルとしてtwitter.comを選んだのは、直接不審なサーバーと通信するのに比べて、アンチ・マルウェアソフトにブロックされる可能性が少ないと考えたからだろう。

ただしTrend Microからの通報を受けて、Twitterは問題のアカウントを永久停止とした。

マルウェアはボットネットがTwitterを利用してコミュニケーションを図ったのはこれが初めてはなく、2009年にまださかのぼれる。ボットネットがTwitterを通じてコマンドを送信した例は最近では2016年に発見されている。これは予め書き込まれたTwitterアカウントを通じてコマンドを受け取るAndroidのマルウェアだった、

画像:Getty Images

原文へ

滑川海彦@Facebook Google+

3Dプリントされた顔でスマートフォンをアンロックできる——警察も

3Dプリンターは実にさまざまなものを作れる。義肢角膜から拳銃——さらにはオリンピック規格のリュージュまで。

人間の頭の実寸模型だって3Dプリントできる——そしてそれはハリウッドのためだけではない。ForebsのThomas Brewster記者は、自分自身の頭の3Dプリントモデルを発注し、いくつかのスマートフォンの顔認証システムのテストを行った——Android 4台とiPhone 1台。

Androidユーザーには悪い知らせだ。iPhone Xだけが自らをアタックから守った。

信頼できるパスコードの時代は終わったようだ。1日に何十回もスマホをアンロックするたびに暗証番号を入力するのは面倒で不便だからだ。メーカーはもっと便利なアンロック方法を次々と考えだす。Googleの最近機種Pixel 3は顔認識を回避したが、多くのAndroid機が——人気のSamsung機も——人間の顔による生体認証を採用している。Appleは最新シリーズで事実上指紋認証のTouch IDを廃止して顔認証のFace IDに置き換えた。

しかし、たかが3Dプリント模型で携帯電話が騙され秘密を明け渡してしまうのは問題だ。ハッカーたちにとっても仕事が楽になるが、そもそも彼らに守るべきルールはない。しかし、ルールのある警察やFBIはどうだろう?

生体認証——指紋や顔——が憲法修正第5条(黙秘権)で守られていないことは周知の事実だ。つまり、警察はパスワードを教えるよう強要することはできないが、端末に指を押し付けさせたり、顔を向けさせたりすることはできる。そして警察はそのことを知っている——実際あなたが想像している以上にそれは起きている

警察が3Dプリントで体を複製して端末をこじ開けることも防ぐ方法はほとんどない。

「法的には指紋を使って端末をアンロックすることと変わりはない」とUSCグールドロースクールのOrin Kerr教授がメールで言った。「政府はなんとかして生体認証のアンロック情報を手に入れる必要がある。指紋であれ、顔の形であれ」

生体データを得るために「令状は必ずしも必要ない」が、そのデータを使って端末をアンロックするためには必要だ、と彼は言う。

Project On Government Oversight[政府監視プロジェクト]の上級弁護士Jake Laperruqueは、それは実施可能ではあるが警察が携帯電話データをアクセスする実用的あるいは経済的な方法ではない。

「実際の人間は連れてこられないが、3Dプリントモデルなら使えるという状況はあるのかもしれない」と彼は言う。「誰でも——警察であれ犯罪者であれ——人の顔を向けさせて端末に侵入できるシステムはセキュリティー上深刻な問題があると私は考える」

FBIだけでも数千台の端末を保管している——暗号化端末の数を水増し報告していたことを認めた後でもこれだけある。監視社会が進み、強力な高解像度カメラ顔認識ソフトウェアが作られるにつれ、日常生活のなかで警察がわれわれの生体認証データを入手することは益々容易になっていく。

「パスワードの死」を喜んでいる人たちは、考え直した方がいいかもしれない。あなたのデータの安全を法律上守ってくれる唯一の存在なのだから。

[原文へ]

(翻訳:Nob Takahashi / facebook

最悪のパスワード2018年ランキング、‘donald’が23位でデビュー

インターネットを利用する人のおおよそ10%が、今週SplashDataが発表した最悪パスワードリストにあるワースト25の少なくとも1つを今年使っていた。そして3%近くが、ワースト1位のパスワード“123456”をいまだに使っている。

今年で8回目となる最悪パスワードのリストは、インターネットでリークされた500万超ものパスワードについてのSplashDataの評価に基づいている。今年、評価対象となったリークされたパスワードのほとんどは北米と西欧のユーザーが使用していたものだ。SplashDataによると、アダルトウェブサイトでのハッキングでリークされたパスワードはレポートには含まれていない。SplashDataはパスワード管理アプリTeamsID、Gpass、SplashIDを提供している。

今年も昨年と同じ傾向がみられた:コンピューターユーザーは予想ができて、簡単にあてられるパスワードを使い続けている。たとえば、“123456”と“password” がワースト1位と2位を占めるのは今年で連続5回目だ。さらに続くトップ5のパスワードも数字が単純に並べられているものだ、とSplashDataは指摘している。

リストには新入りもいくつかあった。大統領ドナルド・トランプも “donald”が今年ワースト23位に入り、リストデビューを果たした。

「ハッカーはセレブの名前、ポップカルチャーやスポーツの単語、単純なキーボードのパターンを使ってオンラインアカウントに忍び込むのにかなり成功している。というのも、彼らはそうした覚えやすいコンビネーションを多くの人が使用していることを知っているからだ」とSplashDataのCEO、Morgan Slainは語る。

SplashDataはデータを守るためにいくつかアドバイスしている。そのアドバイスとは、種類の異なる文字12字以上の暗唱フレーズを使うこと、それぞれのログインに異なるパスワードを使うこと、パスワードを整頓するためにパスワードマネジャーを使って資産やIDを守ること、安全でランダムなパスワードをつくってウェブサイトに自動ログインすること、などだ。

イメージクレジット: Bryce Durbin / TechCrunch

[原文へ]

(翻訳:Mizoguchi)

Googleは顔認識技術を外部に売らないと決定…悪用を防ぐため

このところテクノロジー企業に対する、顔認識技術に関する強力な規範の要請が厳しい。先頭を切ったMicrosoftは厳格なポリシーを約束し、そのほかの企業にも同社の後に続くことを求めた。

そしてGoogleのSVP Kent Walkerは、アジアの医療に人工知能を活用することの利点を挙げたブログ記事の終わりの方で、同社が顔認識技術のAPIを売らないことを確約している。そして彼は、この技術の悪用を心配する声を列挙している。

Walkerは曰く: “顔認識技術は、行方不明者を見つけるなど、さまざまな良いアプリケーションの可能性がある。しかし多様な使い方のあるそのほかの多くの技術と同様に、顔認識技術の利用には細心の注意が必要であり、一定の原則と価値観に従う必要がある。そしてそれにより、悪用と有害な結果を避けなければならない。われわれは今後も多くの企業との協力関係を継続して、これらの課題を特定し対策を講じなければならない。そして一部の他社と違ってGoogle Cloudは、重要な技術的および政治的疑問がクリアされるまでは、顔認識の汎用APIを外部に提供しないことを選んだ”。

GoogleのCEO Sundar Pichaiは今週のThe Washington Post紙のインタビューで、AIの倫理をめぐる同様の懸念の高まりについて述べた: “テクノロジーは、とにかく作ってだめだったら直す、という従来のやり方をやめるべきだ。そんなやり方は、もうだめなのだ。長期的には、人工知能は核よりもずっと危険なものになりえる”。

顔認識技術をめぐって、とくにそのプライバシー問題と人種差別的問題を批判してきたACLUは、ピチャイの声明を賞賛するとともに、大企業に対しては今後も圧力をかけ続けなければならない、と言っている。

ACLUのテクノロジー担当部長Nicole Ozerが声明で述べている: “Googleが人権を侵害する顔監視プロダクトを今後も作らないし売らないようにするために、継続的に圧力をかけ続ける必要がある。またAmazonやMicrosoftに対しても、危険な顔監視技術を政府に提供しないよう、これから何度も呼びかけていく必要がある。企業には、自分たちの製品がコミュニティの攻撃に使われたり、人間の権利と自由を侵さないようにする責任がある。責任はすべての企業にある、という古い言い訳は、もはや通用しない”。

同団体はとくに、AmazonのRekognitionソフトウェアを厳しく批判している。今週同団体はまた、顔認識技術を使って“不審者”を見分けるインターホンで同社が特許を申請したことを、やり玉に挙げた

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

フランス外務省、緊急連絡先データベースに侵入される

フランスの外務・国際開発省は声明で、データ侵害によって個人情報が盗まれたと発表した。約54万件の記録が盗まれ、その中には氏名、電話番号、およびメールアドレスが含まれていた。

去る2010年、同省はArianeという緊急サービスを構築した。安全でない国に旅行する際、Arianeに登録して行き先を同省に伝えることができる。

登録すると安全に関する説明を受け、危機が起きた時に連絡が来るほか、あなたに何かが起きた時のために政府が緊急連絡先を保管する。

今日のデータ侵害は緊急連絡情報に関するものだった。12月5日、全員の緊急連絡先の入っているデータベースに不正アクセスがあった。同省によると、脆弱性はすでに修正されている。さらに、フランスのデータ監視機関であるCNILにも72時間以内に連絡をとったと同省は言っている。

問題のデータベースには姓名、電話番号、およびメールアドレスが入っていた。Arianeのユーザーデータは流出していない——すなわちパスワードや旅行情報はアクセスされていない。緊急連絡先とArianeユーザーとの関係もアクセスされていない。

緊急連絡先として情報を登録している人には、同省がメールを送り侵害の影響をうけていることを知らせている。また、あなたの名前とすでに使っていない電話番号やメールアドレスを誰かが入力していた場合、データ侵害が起きていてもわからない可能性がある。

パスワードの変更などは必要ないため、基本的に何もしなくてよい。ただし、盗まれたデータがスパムやフィッシング目的で利用される可能性があることには注意されたい。

[原文へ]

(翻訳:Nob Takahashi / facebook

Kubernetesのセキュリティとコンプライアンスに特化したサービスTigeraがシリーズBで$30Mを調達

Kubernetesによるコンテナのデプロイメントにセキュリティとコンプライアンスを提供するTigeraが今日(米国時間12/12)、Insight Venture PartnersがリードするシリーズBのラウンドで3000万ドルを調達した。これまでの投資家Madrona, NEA, そしてWingも、このラウンドに参加した。

Kubernetesのエコシステムのみんなと歩を揃えて、Tigeraも今週のKubeConで展示をしていた。彼らとの立ち話で、会社の状況や新しい資金の用途などを聞いた。

CEOのRatan Tipirneniはこう言う: “四大パブリッククラウド(AWS, Microsoft Azure, Google Cloud, IBM Cloud)の全員が、彼らのパブリックなKubernetesサービスにうちを使っている。またRed HatやDockerなどの大手Kubernetesディストリビューションも、われわれを使っている”。そのほか、ヘルスケアや金融などのエンタープライズも同社のユーザーであり、一部のSaaS提供企業も同社のサービスを直接使っている…その名前は明かせない。

同社によると、資金調達は本当は必要なかった。“今はお金は要らない。金よりもむしろ、大量の関心が集まってくるね”、とTipirneniは語る。同社は今回の資金を、エンジニアリングとマーケティング、およびカスタマーサクセスチームの拡大に充てるつもりだ。具体的には、営業は4倍に増やしたい。また人材の得やすいバンクーバーに、大きなオフィスを構えたい、という。

レガシーのITの世界では、セキュリティとコンプライアンスのソリューションはインフラの安定が暗黙の前提だった。しかしコンテナとDevOpsの登場と共に、ワークロードはきわめて動的になり、セキュリティの確保が難題になってきた。またコンプライアンスも、HIPPAやPCIなどの規制や規格が絡んでより複雑になった。Tigeraが約束するソリューションでは、エンタープライズがゼロトラストモデルによってコンプライアンスを確保し、ネットワーク上の各サービスに権限を与えて、すべてのトラフィックを暗号化、そして会社とニーズのためにアドミンが設定したポリシーを強制する。このデータのすべてが詳細にログされ、必要に応じてインシデント管理や犯罪捜査等のために取り出すことができる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Microsoft、ログインシステムの重大バグを修正――2段階認証のOfficeアカウントでも乗っ取れた

いくつかのバグを組み合わせると他人のMicrosoftアカウントを簡単に乗っ取れたことが判明した。これはユーザーに偽のリンクをクリックするよう仕向けるものだ。safetydetectiveは記事の公開に先立ってTechCrunchに内容を報じた。

Sahad Nkはsafetydetectiveと協力するインド在住のプログラマーで、脆弱性の発見を専門にするいわゆるバグ・ハンターだ。NkはMicrosoftのサブドメイン、success.office.comのコンフィグレーションが正しくないことを見つけ出した。

このサブドメインはOfficeへのログインにあたって使われるもので、CNAMEレコードというのはDNSが名前を解決するときに参照するソーン・ファイル中のデータだ。safetydetectiveの記事によれば、Nkはhost checkによりCNAMEにsuccessor.officeの別名として自身のサイトを書き込み、このサブドメインをコントロールすることができるようになったという。

ユーザーがMicrosoftのLive login systemを使ってOffice、Store、Swayのアプリにログインを試みた場合、Nkは自分がコントロールするサイトを利用して認証ずみログイン・トークンを送ることができることも発見した。

この脆弱性はアプリが正規表現のワイルドカードを使ってoffice.comすべて(Nkがコントロールするサブドメインも含めて)を信頼済みとして扱うというバグに由来する。

ハッカーはこの脆弱性を利用するために特別に書かれたリンクをメールで送ることができる。ユーザーはMicrosoftのログイン・システムにユーザー名とパスワード、(有効にしている場合は)2段階認証コードを入力する。システムはいちいちこの手続を何度も繰り返さなくてもすむよう、ユーザーをログインした状態に保つためのアクセス・トークンを入手できる。アクセス・トークンを入手するのは認証情報をすべて入手するのと同じことだ。攻撃者はアンチ・マルウェア・サービスに気づかれることなく自由にユーザー・アカウントに侵入できる。今年、これに煮たアカウント・トークンの脆弱性は3000万人のFacebookアカウントに危険をもたらしている。

悪意あるサイトを通じてMicrosoftのログインシステムを作動させるように書かれたリンクは無数のユーザーに極めて深刻な危険をもたらす。攻撃者は自分がコントロールするサブドメインを通じてアクセス・トークンを入手できるだけでなく、そのために用いるURLもまったく正常なものとみえる。ユーザーはMicrosoftのログイン・システムを使って正常にログインできるし、URLからwreplyパラメータをチェックしても悪意あるサイトはOfficeのサブドメインだから不審は発見できない。

これはつまり、個人だろうと大企業だろうと、どんなOfficeアカウントにも攻撃者が簡単にアクセスできることを意味する。また悪意あるサイトであることを発見することも不可能に近い。

Nkと協力者のPaulos Yibeloは問題をMicrosoftに報告し、同社はこの脆弱性を除去した。

Microsoftの広報担当者はTechCrunchの問い合わせに対して、「Microsoft Security Response Centerはこの問題を検討し、 2018年11月に対応策を実行した。これによりCNAMEレコードからNkが作成したAzureのインスタンスは除去された」とメールで回答してきた。

MicrosoftはNkの貢献に対してバグ発見報奨金を支払った。

原文へ

滑川海彦@Facebook Google+

Google+に5250万ユーザーの非公開データをアクセスできるバグがあった

Google+は、まだ元気だったころはちょっとした失敗だったが、今や生ける屍であり、単なるお荷物になりつつある。10月に50万人近いユーザーに影響を与えた重大なセキュリティー問題を公表したあと、Googleは同サービスを2019年8月に閉鎖することを発表した。しかし、事態はさらに悪化している。本日(米国時間12/10)同社は新たなプライバシー欠陥を公表した。それは先月発見され、約5250万ユーザーのデータの一部がGoogle+ APIを使ったアプリからアクセスできる状態にあった。

バグが見つかるたびにGoogle+の閉鎖日付が前倒しされるようで、Googleは今日、2019年4月にサービスを閉鎖することも発表した。Google+ の全APIが90日以内に停止する。

新たなバグが生きていたのは11月初めの6日間ほどだけで、Google+のPeople APIに関連していた。ユーザーのプロフィール情報——名前、メールアドレス、役職、性別、誕生日、交際ステータス、年齢など——を見る許可をリクエストしたアプリは、非公開に設定されているデータでもアクセスすることが可能だった。

さらに悪いことに、このデータをアクセスしたアプリは、他のGoogle+ユーザーがそのユーザーとシェアした非公開のプロフィールデータにもアクセスできた。

Googleは、このデータをアクセスできることにデベロッパーが気づいたり、何らかの方法で悪用した証拠は見つかっていないと言っている(使っているユーザーがほとんどいないソーシャルネットワークを運用していることのメリット)。さらに同社は、このデータをアプリが利用できたのは6日間だけだったことも強調した。バグは今年の11月7日から13日までの一週間に発生、発覚し修正された。

前回Googleは、バグの公表が大きく遅れたことで厳しく批判された。内部事情に詳しい人物によると、今回は内部公表プロセスを経たあと迅速に行動しており、それは会社として透明性を見せたかったことが理由のひとつだという。

「われわれは、顧客のデータを守る信頼性の高い製品を作ることでユーザーの信頼を得られることを理解している」と今日のブログ記事に同社は書いた。「われわれはこのことを常に深刻に捉えており、当社のプライバシープログラムの強化を続け、内部プライバシープロセスを改善し、データ管理を強化し、ユーザー、研究者、政策立案者のフィードバックを得てプログラムを改善していく。全員のためのプライバシー保護を構築する努力を止めることは決してない」

[原文へ]

(翻訳:Nob Takahashi / facebook

Huawei CFO、カナダで逮捕、米国送還へ

世界最大の通信機器メーカー第2位のスマートフォンメーカーHuaweiの最高財務責任者Meng Wanzhouが、米国の対イラン貿易制裁違反の疑いでカナダのバンクーバーで逮捕された。The Globe and Mailが最初に報じた。

現在本誌はこのニュースを確認するためにHuaweiと接触している。

The Globe and Mailによると、同社の副会長であるMengは12月1日に逮捕され、既に保釈聴聞会が金曜日に設定されている。MengはHuaweiファウンダーRen Zhengfei の娘で1993年にHuaweiに入社した。

2016年以来米国当局とHuaweiの緊張は高く、米中貿易戦争の過熱とともに悪化している。今年8月、ドナルド・トランプ大統領は国家安全保障を理由にHuaweiおよび同社のライバル中国企業ZTEの製品およびサービスの政府機関での利用を禁止する法案に署名した。また米国議会は、カナダのジャスティン・トルドー首相に宛てた最近の書簡で、カナダが5G計画からHuaweiを排除するよう 働きかけた

[原文へ]

(翻訳:Nob Takahashi / facebook

Quoraのユーザー1億人のデータがセキュリティ侵害により遺漏の可能性あり

Quoraによると、セキュリティ侵害により約1億のユーザーのデータが漏洩した可能性がある。今日(米国時間12/3)ユーザーに送ったメールとブログ記事で、CEOのAdam D’Angeloが、金曜日(米国時間11/30)に“悪意あるサードパーティ”がQuoraのシステムに不法アクセスした、と言っている。同社のセキュリティチームと“外部のデジタルセキュリティ専門家”たちが目下、その侵害を調べている、という。警察にも、すでに通報している。

同社は、侵害の根本原因は見つけた、と信じており、“調査は続行中だが対策を講じたし、今後もセキュリティの改良を続ける”、という。匿名のポストに関しては個人情報を保存しないので、匿名のQ&Aは無事だったそうだ。

同社は現在、データが漏洩したユーザーに通知を送っており、またセキュリティ上の配慮として全ユーザーをログアウトしている。また、現在ユーザーが使っているパスワードは、すべて無効化している。この侵害に関するFAQが、ここにある。

Quoraによると、次のようなユーザーデータがアクセスされた可能性がある:

  • アカウントとユーザーの情報、すなわち名前、メールアドレス、IP、ユーザーID、暗号化されているパスワード、個人化データ

  • 下書きを含む公開アクションとコンテンツ、すなわち質問、答、コメント、ブログ記事、賛成票(upvotes)

  • ユーザーが合法的にアクセスしているリンク先のデータ、すなわちコンタクト(連絡先)、住所や性別など層的情報、関心、アクセストークン(現在は無効化)

  • 非公開アクション、すなわち答のリクエスト、反対票(downvotes)、謝辞

  • 非公開コンテンツ、すなわちダイレクトメッセージ、編集提言

同社ヘルプセンターの別記事によると、Quoraは、“いかなるパートナーの財務情報(金銭的情報)も遺漏していないと確信する”、と言っている。同社が決済サービスとして使っているStripeのアクセストークンの一部は“一時的に遺漏した”が、両社の確認によれば、事故以降アクセストークンはまったく使われていないし、財務情報も遺漏していない、という。

Stripeのアカウントのある全ユーザーが、そのアクセストークンをリセットされた。“Stripeからアクセスできる個人の財務情報は遺漏していないと確信する。さらに、いかなる個人的財務情報にも、現在、脆弱性はない”、とQuoraは言っている。

〔以下、Quoraからユーザーに送られた通知の全文:
Dear xxxxxxx xxxxxxx,

We are writing to let you know that we recently discovered that some user data was compromised as a result of unauthorized access to our systems by a malicious third party. We are very sorry for any concern or inconvenience this may cause. We are working rapidly to investigate the situation further and take the appropriate steps to prevent such incidents in the future.

What Happened

On Friday we discovered that some user data was compromised by a third party who gained unauthorized access to our systems. We’re still investigating the precise causes and in addition to the work being conducted by our internal security teams, we have retained a leading digital forensics and security firm to assist us. We have also notified law enforcement officials.

While the investigation is still ongoing, we have already taken steps to contain the incident, and our efforts to protect our users and prevent this type of incident from happening in the future are our top priority as a company.

What information was involved

The following information of yours may have been compromised:

Account and user information, e.g. name, email, IP, user ID, encrypted password, user account settings, personalization data

Public actions and content including drafts, e.g. questions, answers, comments, blog posts, upvotes

Data imported from linked networks when authorized by you, e.g. contacts, demographic information, interests, access tokens (now invalidated)

Non-public actions, e.g. answer requests, downvotes, thanks

Questions and answers that were written anonymously are not affected by this breach as we do not store the identities of people who post anonymous content.

What we are doing

While our investigation continues, we’re taking additional steps to improve our security:

We’re in the process of notifying users whose data has been compromised.
Out of an abundance of caution, we are logging out all Quora users who may have been affected, and, if they use a password as their authentication method, we are invalidating their passwords.
We believe we’ve identified the root cause and taken steps to address the issue, although our investigation is ongoing and we’ll continue to make security improvements.

We will continue to work both internally and with our outside experts to gain a full understanding of what happened and take any further action as needed.

What you can do

We’ve included more detailed information about more specific questions you may have in our help center, which you can find here.

While the passwords were encrypted (hashed with a salt that varies for each user), it is generally a best practice not to reuse the same password across multiple services, and we recommend that people change their passwords if they are doing so.

Conclusion

It is our responsibility to make sure things like this don’t happen, and we failed to meet that responsibility. We recognize that in order to maintain user trust, we need to work very hard to make sure this does not happen again. There’s little hope of sharing and growing the world’s knowledge if those doing so cannot feel safe and secure, and cannot trust that their information will remain private. We are continuing to work very hard to remedy the situation, and we hope over time to prove that we are worthy of your trust.

The Quora Team

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

カナダの1-800-FLOWERSサイト、クレジットカード盗難マルウェアの存在に4年間気づかず

この後始末は大量の花だけでは済まなそうだ。。

1-800-FLOWERSのカナダ支店はカリフォルニア州検事総長宛ての報告書で、同社のウェブサイト上のマルウェアが顧客のクレジットカード情報を4年間にわたって流出させていたことを明らかにした。

4年間だ。考えてみて欲しい。

同社によると、マルウェアは2014年8月15日から2018年9月15日までの間、クレジットカード情報を取り出していた。しかし同社の主要ウェブサイトである1-800-FLOWERS.comは影響をうけなかった。

「調査結果によると、収集された情報には、氏名、支払い用カード番号、有効日付、およびセキュリティーコードが含まれている」と提出資料に書かれている。

つまりこれは、悪者があなたのクレジットカードを空っぽにするために必要な情報すべてということだ。

報告書には何人の顧客がデータを盗まれたのかは書かれていないが、 カリフォルニア州法によると、カリフォルニア州民500人以上が影響を受けた場合、会社はハッキングについて顧客に通知しなければならない。

4年間にわたる侵入はひどいだけではなく、なんとも絶妙のタイミングでもあった。奇妙なことに、2014年にさかのぼってセキュリティー問題を認めた会社はこれが2番目だ。木曜日(米国時間11/30)にMarriottは、5億人分の顧客予約記録が、4年間にわたり正体不明のハッカーによって盗まれていたことを発表した。

ことわざをご存じだろう:二度あることは三度ある。さて次は誰だろう?

[原文へ]

(翻訳:Nob Takahashi / facebook

Uberの2016年のデータ流出と隠蔽、英国とオランダが計100万ドル超の制裁金科す

Uberが2016年に顧客5700万人の名前や電子メールアドレス、電話番号などのデータを流出させた件に対する制裁金はさらに100万ドル超上積みされた。

2カ月前、この配車サービス大手は、米国でのデータ流出に関係する法的問題を解決するため50州、加えてワシントンD.C.と和解し、制裁金1億4800万ドルを払うことに合意した。

しかしながら流出には欧州のユーザーのデータも含まれていた。そして昨日、英国のデータ保護当局であるICOは英国の法規制に基づき、38万5000英ポンド(約49万ドル)の制裁金を科すと発表した。

オランダのデータ保護当局もまた昨日、オランダの法に違反したとして60万ユーロ(約67万ドル)の制裁金を科した。

EUの法律適用においては、英国とオランダでのデータ流出はEUの法律が施行される前のことだったとしてUBERは巧みに回避した。

英国の制裁金は最大50万英ポンドだったのに対し、EUの新たな一般データ保護規則(GDPR)では対象企業のグローバル年間総売上高の4%が最高額となる。

GDPR下での比例式の制裁金は大きな額になりやすい。

ICOは、英国拠点のドライバー約8万2000人の記録ー過去の走行の詳細や、いくら支払われたのかといったものを含むーが2016年の10月と11月にあったデータ流出で盗み出されたが、Uberがその事実を公にしたのは1年前だったと指摘した。

一方、オランダの当局は、データ流出は17万4000人のオランダ市民に影響を及ぼしたとした。

GDPRではデータ流出の事実開示を定めていて、情報を扱う機関は、欧州市民の個人情報に影響する流出があった場合、72時間以内に関係する当局にその旨を通知しなければならない。その通知が遅れた場合、罰金が発生する可能性がある。

2016年のUber情報流出の調査で、Uberのデータストレージにアクセスするのに‘認証情報の数打ち’が使われたことが明らかになった、と英国の当局は述べているーその手口とは、ユーザーネームとパスワードのペアを、存在するアカウントとマッチするまでウェブサイトに入力するというものだ。

しかしながら当局はUberの問題のあるインシデント対処も指摘し、Uberのセキュリティが“不十分”だったと非難するだけでなく、“不適切な意思決定”だったと表した。

データ流出をすぐさま明らかにする代わりに、Uberは個人情報を入手したハッカーに10万ドルを支払うことを選び、彼らにデータを破棄するよう依頼した。そして、脆弱性報奨金制度を管理するサードパーティを通じて支払いを迂回させた。

ICOは、ハッカーがデータへのアクセスを不法に手に入れるために脆弱性を利用する方法を探し、悪意をもってハッキングに及んだと指摘しつつ、Uberの隠蔽を“不適切”と表現した。

調査にあたったICOのディレクターSteve Eckersleyは声明の中で「ハッカーに金を払いデータ流出を隠蔽するというのは、我々の考えでは不適切なサイバー攻撃対応だ。当時の規制では、データ流出を報告する法的義務はなかったが、Uberのお粗末なデータ保護プラクティスとデータ流出にかかる意思決定、そしてその後の行いが、事態をいっそう悪化させた」とコメントした。

さらに「これはUber側のデータセキュリティに深刻な欠陥があっただけでなく、個人情報が盗まれた顧客とドライバーの完全な軽視だった。当時、データ流出で影響を被った人に対し、その事実を知らせたりヘルプやサポートを提供する措置は取られなかった。そのために個人情報が盗まれた人は攻撃されやすい状態に置かれた」と加えた。

ICOはまた、制裁金を科すその理由の詳細がつづられた決定文書の全文で、制裁金の意図はこうした種類の“さらなる違反を阻止することだ”と記している。

オランダの当局もすぐさまデータ流出を明らかにしなかったことを制裁金の根拠に挙げている。

我々がUberにコメントを求めたところ、広報から以下の文が電子メールで送られてきた。

2016年から続いてきたデータ事件の章を閉じることができるのは喜ばしい。調査中、我々は欧州の当局と情報を共有し、インシデントが起こって以来、我々はシステムのセキュリティにおいて多くの技術的改善を図ってきた。規制当局と顧客に適切な透明性をさらに確保できるよう、管理体制にも大きな変更を加えた。今年初め、我々は初となるプライバシー責任者、データ保護責任者、新たな信頼とセキュリティ責任者を置いた。我々は過ちから学び、ユーザーの信頼を得るために日々取り組んでいく。

隠蔽は“不適切”としたICOの記述についてのコメントも求めたが、Uberは言及しなかった。

[原文へ]

(翻訳:Mizoguchi)

Office 365とAzure、多段階認証がダウンして接続不能――Microsoftは復旧に全力

読者がMicrosoftクラウドのユーザーなら今朝はグッドモーニングという気分ではないだろう。

月曜の朝から世界的にMicrosoftの多段階認証システムがダウンし、クラウドに接続することができない事態が続いている。このサービスを利用しているユーザーは通常であればアカウント接続にあたってパスワードを入力するとテキスト・メッセージ、音声通話などにより認証コードが送られてくる。ところがパスワードを入力しても何も起きない。テキスト・メッセージも音声通話もその他の方法も一切沈黙だ。

Office 365の サービス・ヘルスのページでも「影響を受けたユーザーはサインインすることができない」と事態を認めている。

ダウンしてからそろそろ半日たつのにサービスはダウンしたままだ。

この記事の執筆時点で、Microsoftは多要素認証をクラウド・サービス本体から切り離すホットフィックスを導入し、一部のユーザーは運用を再開できたとしている。Microsoftでは引き続き「ユーザーが二段階認証が利用できなくなった原因の分析に全力を挙げている」としている。

しかし今のところはっきりした理由は分かっていない。TechCrunchではMicrosoftに問い合わせ中だ。回答があり次第アップデートする。

単なるパスワードによる保護に比べて、多段階認証はセキュリティーを大きく高めた。それだけにこの部分がダウンするとシステム全体のダウンを招いてしまう。セキュリティーが高いのはけっこうだが、ユーザーも接続できないほど高くては困る。やれやれだ。

〔日本版〕Microsoftのサポートページによれば、「ホットフィックスが全ユーザーに展開されるまでには時間がかかる」という。

原文へ

滑川海彦@Facebook Google+

FirefoxブラウザーにWebサイトの侵犯通知機能が加わる、開示義務により侵犯情報の最新化も期待

MozillaのWebブラウザーFirefox Quantum*に、新しいセキュリティ機能が加わる。それは、最近データ侵犯が報告されたWebサイトを訪ねようとすると、ユーザーに警告する機能だ。〔*: 2017年のv57以降の設計が一新されたFirefoxブラウザーを、開発者のMozillaがFirefox Quantumと呼んでいる。〕

Firefoxのユーザーが最近侵犯されたWebサイトを開くと、通知のポップアップが表れて侵犯の詳細を告げ、ユーザーの情報が漏洩しなかったかチェックするよう勧められる。

Mozillaの発表によると、“このようなプライバシーとセキュリティに関する機能へのユーザーの関心が高まっているので、Firefoxのユーザーにこの通知警告機能を提供することになった。この新しい機能は、今後数週間で、Firefoxの全ユーザーに展開される”、とある。

侵犯を通知するポップアップとその上の情報は、こんな感じだ:

FirefoxのWebサイト侵犯通知機能, 画像提供: Mozilla

Mozillaはこの、サイトの侵犯通知機能を、今年初めにローンチしたメールアカウントの侵犯通知サービスFirefox Monitorに統合しようとしている。今日(米国時間11/14)の発表によると、それは26の言語で利用できる

Firefoxのユーザーが、サイトの侵犯を告げるポップアップが出たときクリックしてMonitorへ行けば、メールアカウントの侵犯についても知ることができる。

Firefox MonitorでMozillaは、侵犯されたWebサイトのリストを、パートナーであるTroy Huntの先駆的な侵犯通知サービスHave I Been Pwnedから得ている。

ユーザーをあまりにも多くの情報でうんざりさせないために、Mozillaは侵犯の通知を一サイトにつき過去1年に起きたもの一つに限定している。〔全部知りたければFirefox MonitorやHave I Been Pwnedを使えばよい。〕

データ侵犯はデジタル生活の不運な定番で、最近はビッグデータサービスの登場により、増加傾向にある。そして、人びとの関心も高まっている。ヨーロッパでは5月に導入された厳しい法律により、侵犯の普遍的な開示義務と、データ保護の失敗や怠慢に対する罰則が制定された。

そのGDPRフレームワークは、データをコントロールしたり処理したりする者たちにセキュリティシステムの改良を勧奨するために、彼らにはさらに重い罰を課している。

法律や罰則の強化によってセキュリティへの投資が増えたとしても、それが実際に侵犯の減少として効果が実っていくためには、時間がかかるだろう。どれだけ法が、その効果を期待していたとしても。

でもGDPRの初期の功績のひとつは、企業に侵犯の開示を義務付けたことだ。そのため今後は、このようなセキュリティツールが利用する侵犯情報も、より多く、そしてより最新のものになるだろう。一般ユーザーのためにも、この法律はポジティブな効果を上げているようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebook、政府によるユーザーデータ要求命令を公表

Facebookは、過去13件のユーザーデータを要求する国家安全保障書簡の詳細を公開した。

難題続きのソーシャルメディア巨人は、書簡は2014年から2017年にかけて送られ、FacebookおよびInstagramの複数のアカウント情報を要求するものだと語った。

こうしたデータ要求は事実上の召喚状であり、FBIが一切の司法審査なしに発行し国家安全保障捜査で名前の上がった個人のデータの一部を提出するよう企業に強要する。これには議論がある——なぜなら書簡には口外禁止命令が課され、企業はその内容はおろか、書簡の存在すら公表することが許されないからだ。

企業は多くの場合、ある人物がやりとりをした相手全員のIPアドレス、オンライン購入情報、メール記録、携帯電話位置情報データなどの提出を求められる。

しかし、エドワード・スノーデンの暴露の結果自由法案が通過して以来、FBIは定期的に口外禁止規定を見直さなければならなくなった。

FacebookのChris Sonderby法務部長代理は、今年に入って政府は書簡の守秘義務命令を解いたと語った。

「われわれはアカウント情報に関する政府の要求を常に精査し、法的に有効であることを確認している」とSonderbyは言った。

Facebookが国家安全保障書簡を公表したのはこれが初めてではない。2016年に公表した最初の書簡は2015年に発行されたものだった(公開済みの国家安全保障書簡はすべてここで読むことができる)。

Facebookが国家安全保障書簡の情報を公開したのは、New York Timesが極めて批判的な記事を書いた翌日のことだった。記事はここ数年Facebookがさまざまなスキャンダルから目をそらすために行ってきたいかがわしい戦術の数々、たとえば活動家や抗議者の信用を失墜させようとした企みなどを暴いている。

Facebookの最新の透明性レポートによると、政府のデータ要求の件数は、全世界で前年の8万2341件から10万3815件へと26%急増した。

米国政府による顧客データの要求は30%増の4万2466件で、7万528アカウントが影響を受けた。同社によると、その半数以上が口外禁止条項を伴っており会社はユーザーに通知することができない。

法的命令のほとんどは裁判所が認めた捜査令状だ。

最近の報告期間について、Facebookはその他の国家安全保障命令の件数が前年の2倍以上に増えたことも語った。2016年7~12月の1万2500~1万2999アカウントから、2017年1~6月は2万5000~2万4999アカウントに増えた。

現行の司法省報告規則では、企業は6ヶ月間の報告猶予期間を与えられている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Mozillaがギフト用のスマート製品のプライバシーとセキュリティを評価して格付け

そろそろ今年のホリデーシーズン、家族その他愛する人にクールなスマートデバイスの新製品をプレゼントしたいと思ってる人なら、新製品だからなおさら、その品物の良し悪しが気になるだろう。カメラや歩行計の性能ばかりでなく、製品が生成する顧客データを集めているであろう物については、セキュリティとプライバシーも気になる。そこで、Firefoxブラウザーを作っているMozillaが、70種の最新製品のランキングを発表した。そこには、Amazon Echoもあればお利口なテディベアもある。

それらの玩具やデバイスのランキングに使われた測度や基準は、1)何のデータを集めるか、2)データは送信時に暗号化されるか、3)データは誰と共有されるか、4)デフォルトパスワード*を変えることを要求されるか、5)エラーなどで起こりうる最悪のシナリオは何か。〔*: デフォルトパスワードは製品が最初から持っている簡単なパスワード、セキュリティのためにはユーザーがパスワードを変えるべきである。〕

一部のセキュリティリスクは製品が本質的に持っている。たとえばセキュリティカメラは、ユーザー以外の誰かが見るかもしれない。企業の見過ごしによるリスクもある。たとえば、アカウントの削除ができなかったり、データを第三者と共有したりしている企業もある。

リストのトップにあるのは、多くのことを正しくやっているMycroftのスマートスピーカーだ。オープンソースのソフトウェアを使っているし、メーカー企業はいろんなことを正しく選んでいる。読みやすいプライバシーポリシーなんて、ありそうでなかなかない!。ガジェットの多くが、とくに問題ないようだが、このリストは良い製品も積極的に取り上げている。

しかしDobbyのドローンのような製品もある。これには、プライバシーポリシーすらないようだ。アプリをインストールすると、ユーザーの位置やHDの長さまで記録するのは最悪! またこの、Frediの赤ちゃんモニターには、ユーザーが変えなくてもそのまま使われるパスワード〔デフォルトパスワード〕がある。セキュリティの自動アップデートもない。おいおい、人をバカにしとんのか? 近づかないようにしよう。

約半分の33の製品が、Mozillaが最近提案した、スマートデバイスの“セキュリティの最小基準”に合格している(すてきなバッジをもらってる)。不合格は7つで、あとはどっちつかずだ。これらMozillaによる公式の評価のほかに、まじめに使ってほしいクラウドソーシングな“creep-o-meter”(製品のcreepy度…気持ち悪さ…の評価)がある。でも、BB-8が気持ち悪いなんて、おかしいと思うけどな。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

企業のデータ保護とコンプライアンス充足をAIと機械学習で自動化するCognigoが$8.5Mを調達

AIと機械学習を利用して企業のデータ保護とGDPRなどの規制へのコンプライアンスを助けるCognigoが今日(米国時間11/13)、シリーズAのラウンドで850万ドルを調達したことを発表した。このラウンドをリードしたのはイスラエルのクラウドファンディングプラットホームOurCrowdで、これにプライバシー保護企業のProsegurState of Mind Venturesが参加した。

同社は、重要なデータ資産を護り、個人を同定できる情報が自社のネットワークの外に漏れることを防ごうとしている企業を支援できる、と約束している。そして同社によると、そのやり方は、専用システムのセットアップやそれらの長年の管理を必要とするような手作業の管理ではない。たとえばCognitoによれば、同社は企業のGDPRコンプライアンスの達成を、数か月ではなく数日で完了する。

そのために同社は、事前に訓練したデータ分類用の言語モデルを使用する。そのモデルは、給与明細や特許、NDA、契約書など、よくあるカテゴリーを検出するよう訓練されている。企業は独自のデータサンプルでモデルをさらに訓練し、その独自のニーズのためにモデルをカスタマイズできる。同社のスポークスパーソンは曰く、“唯一必要な人間による介入は構成だが、それは一日で済む作業だ。それ以外では、システムは完全に人手要らずだ”。

同社によると、新たな資金はR&Dとマーケティングと営業のチーム拡大に充てられ、目標は市場プレゼンスの拡張と製品知名度の向上だ。“弊社のビジョンは、顧客が自分のデータを利用して確実にスマートな意思決定ができ、同時にそのデータが継続的に保護されコンプライアンスを維持することだ”、と同社は言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

中国では生体認証による決済が当たり前になった…11月11日のショッピングフィーバーがそれを証明

中国の消費者はデジタル決済を採用するのが早くて、最近のショッピングブームを見るとその次のステップへの用意ができているようだ。それは、生体認証(バイオメトリックス, biometrics)による決済だ。

11月11日にAlibabaは、世界最大のショッピングイベント「独身の日」に大勝利し、308億ドルの売上を記録した。それはCyber MondayBlack Fridayを合わせたよりも大きい、驚異的な売上高だ。

中国のユーザーたちは、特売を逃すまいとあせってパスワードを入力する代わりに、一瞬で買い物が完了する新しい技術に飛びついた。今年、独身の日の顧客の60.3%が、指紋または自撮り写真の撮影で決済を行った。

そのデータを見せてくれたAlipayにとっても、そんな集計をするのは今回が初めてだった。同社はAlibaba系列のデジタルウォレット企業だが、全世界で8億7000万人のユーザーのオンラインおよびオフラインの商取引を処理し、ライバルのWeChat Payと肩を並べている。後者はTencentの人気の高いチャットアプリWeChatの決済方式で、ユーザー数(MAU)は同じく8億を超えている

そしてこの二社は共に、シームレスな決済に向かって競走している。Alipayは2014年9月に指紋認証による決済を開始した。それから1年足らずで、WeChat Payがそれに続いた。中国の買い物客は徐々にバイオメトリックな自己証明に慣れて、それによりスマートフォンをアンロックしたり、オフィスビルへ入館したりするようになった。2016年にもなると、Chinese Payment and Clearing Association(中国決済手形交換協会, CPCA)がアンケート調査をした人たちの約95%が、指紋認証を“知っている”と答えた。

次に来たのが、自撮りというやや高度な方法だ。昨年Alipayは、AlibabaとAlipayの本拠地杭州のKFCのお店で、にっこりお支払い(smile-to-pay)と名付けた決済方式を展開し、その後、配達の受け取りなどもっと多方面で顔認識による認証をローンチした。

alipay alibaba face recognition

Alipayの親会社Ant Financialは、配達された荷物をユーザーが受け取るとき顔をスキャンして認証する。/出典: Alibaba

政府はいち早く、顔認識の別の用途に目をつけた。そのよく知られている例は、世界で時価総額がいちばん大きいAI企業SenseTimeとの提携により、国民監視システムを開発していることだ。それによりたとえば、路上の犯罪者を追うことができる。

中国人は、身体的特徴による認証に、急速に慣れつつある。前出CPCAの調査によると、2016年には、70%よりやや多い人びとが、自分のバイオメトリックな情報による決済を平気と答えたが、2017年にはその比率が85%に急増した。

この急速な普及には、問題もある。2016年には調査回答者の半分が、生体認証による決済はセキュリティが心配だ、と答えた。しかし翌2017年には、70%が心配だと答えた。その同じ年に77.1%が、もうひとつの心配としてプライバシーを挙げたが、それは前年には70%弱だった。

画像クレジット: Alibaba

[原文へ]
(翻訳:iwatani(a.k.a. hiwa