タグ: セキュリティ

ユーザーが自分のヌード画像をアップロードするリベンジポルノ対策でFacebookが自己弁護

Facebookの安全性担当のトップAntigone Davisが、今オーストラリアでテストしているリベンジポルノ対策について説明している。この対策では、ユーザーが自分のヌード写真やビデオをMessengerに送り、Facebookはそれに、同意のない露骨なメディア(non-consensual explicit media)というタグをつける。

説明の中でDavisは、こう書いている: “この小規模なパイロット事業では、人びとが写真を前もってFacebookに送り、それがまったく共有されないようにする、という緊急的手段をテストしたい。この事業の参加/利用は、完全に自由意志である。それは予防的措置であり、それにより、画像が広範囲に共有される劣悪な状況を防止できる”。

Facebookはこれを、オーストラリア政府のeSafety部門と共同で行っており、それにより個人的な画像が本人の同意なく共有されることを防ぐ。リベンジポルノをやられる危険性を感じた者は、eSafetyに連絡する。すると同部局は、Messengerを使って自分のヌード写真を自分宛に送るよう、教える。今後はFacebookのハッシングシステムが画像を認識するので、画像そのものを同社のサーバー上に保存する必要はない。

eSafetyは画像にアクセスできない、とDavisは明言しているが、“FacebookのCommunity Operationsチームの専門的に訓練された社員”が、ハッシングする前に画像を検分することはある、という。ハッシングが終わったら写真を送った者に通知して、写真をMessengerから削除するよう求める。その時点で、Facebookはその画像をサーバーから削除する。

FacebookのCSO(Chief Security Officer) Alex Stamosのツイートによると、人びとが自分の写真を送ることに多少のリスクは伴うが、それは、“人びと(主に女性)が、非合意のあからさまな画像(NCII)をポストされることをやめさせられない、という、毎日のように起きている深刻で現実的な危害と対比した場合には”、許容できるリスクだ、という。

NCIIは、non-consensual intimate imagery(非合意の露骨な画像)の略だ。Stamosはさらに続けて、Facebookはデータを保護するための対策を講じており、復元不可能なハッシュだけを保持する、と言っている。

しかし一部には、画像のアップロードを必要としない、もっと良い方法があるはず、との批判もある。たとえば画像のハッシングをローカルにやって、ハッシュ値だけをアップロードするやり方だ。また、未成年者が自分の写真を送らないようにするための、年齢制限措置はあるのか?

ハッシュの計算をローカルでやれ、という説に対してStamosは、“写真のフィンガープリントアルゴリズムは通常、悪用を防ぐためにクライアントには含まれていない。人間の目が不正な報告を検出して防げるための方法が、必要である”、と応えている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AWS S3がデフォルトの暗号化オプションによりアドミンの苦労と負担を取り除く

顧客がデータを暗号化してないことによるAmazon S3のセキュリティ事故は、慢性的に多い。被害企業の中には、某国防総省納入企業や、本誌TechCrunchのオーナー企業Verizon、大手コンサルティング企業Accentureなどの著名企業もいる。というわけで今日AWSは、S3上のデータが(なるべく)確実に暗号化されるための、5種類のツールセットを発表した

まず、これからのS3には、デフォルトで暗号化する、というオプションがある。その名のとおり、このオプションを指定すると、S3に放り込むデータはデフォルトで暗号化される。アドミンが暗号化されてないファイルのバケットを作ると、それが拒絶される、ということもない…ただ黙って暗号化される。絶対安全とは言えないが、アドミンのうっかりミスで暗号化されなかった、という人的ミスはなくなる。

次に、さらに念を押すかのように、S3の管理コンソール上では、守秘設定のない、パブリックにオープンなバケットの横に、よく目立つ警戒標識が表示される。これによりアドミンは、エンドユーザーのうっかりミスに気づくことができる。

そしてアドミンは、Access Control Lists(ACLs)により、S3の各バケットやオブジェクトのアクセス許容者を指定できる。これまでのパーミッションはデータに付随して移動するが、このバケットレベルのパーミッションなら、別のアドミンが管理する別のリージョンにバケットが移っても大丈夫だ。パーミッションは、そのバケットのレプリカにも適用される。

さらにアドミンは、オブジェクトの複製をAWSのKey Management Service(KMS)が管理するキーで暗号化できる。つまり、アドミン自身が暗号化キーを管理しなくても、S3のデータを確実に暗号化することができる。

そして、万一事故が生じたときには、レポートが提供される。そこにはS3内の各オブジェクトの暗号化ステータスなどが載っている。それは、今後の人的エラー対策のための、基本資料ともなる。

絶対確実なセキュリティ対策はありえないにしても、今度発表されたS3のデータ保護対策により、アドミンが確実にそして容易に、暗号化されていない情報の混入を防ぐことができるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

セキュリティ重視のメッセージングアプリSignalにスタンドアローンのデスクトップアプリケーションが出た

EFFが高く評価し、あの、国家による国民の盗聴をあばいたEdward Snowdenも推奨する‘もっとも安全な’メッセージングサービスSignalは、本誌読者にも愛用者が多いと思われるけど、このほどついに、デスクトップアプリケーションが出た。というか、前からあった“デスクトップアプリケーションもどき”は実はChromeアプリなので、使うにはGoogleのChromeブラウザーが必要だった。しかし今日(米国時間10/31)、その悪夢も終わった。今回Signalがリリースしたスタンドアローンアプリケーションは、巨大テクノロジー企業に依存している不安感がないのだ。

今日から提供されるそのアプリケーションは、64ビットのWindows 7以上、MacOS 10.9以上、そしてLinuxの人気ディストリビューションの多くで使える。

Chrome Appをこれまで使っていたユーザーは、データをこのアプリケーションのセットアップの時点でインポートできる。ただし、認証ID等が両者で同じであることを、確認しよう。

この夏の本誌主催Disruptカンファレンスに、Signalを作ったMoxie Marlinspikeが登場した。そのとき彼は、もうすぐ重要なアップデートがある、と言っていたが、詳細を明らかにしなかった。それが、これなのだ!

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Cloud Native Computing Foundationに署名方式の強力なセキュリティプロジェクトNotaryとTUFが加わる

Cloud Native Computing Foundation(CNCF)は、コンテナオーケストレーションツールKubernetesのホームとして知られているが、そのほかにもさまざまなオープンソースプロジェクトが身を寄せている。どれも、現代的なクラウドネイティブ関連のツールで、GoogleやMicrosoft、Facebookなどをはじめ、各社において、今ではそれらの利用が日常化している。

今日(米国時間10/23)はCNCFの厩(うまや)に、Docker生まれの2頭、NotaryThe Update Framework(TUF)が入った。その最初の開発者はニューヨーク州立大学のJustin Cappos教授と、そのTandonエンジニアリングスクールのチームだ。二つは互いに関連していて、どんなコンテンツにも保護と安心の層を加えるNotaryは、TUFの実装なのだ。

これらの背後にある基本的な考え方は、単純にTLSプロトコルを使ってWebサーバーとクライアント間のコミュニケーションを保護するのでは不十分、サーバー自身がハックされることもある、という認識だ。たとえば、Dockerのコンテナを配布して、それらが安全であると保証したいなら、Notary/TUFのクライアント/サーバアプリケーションがメタデータの署名を扱うことによって、さらなる安心の層を加えるのだ。

“デベロッパーのワークフローの中で、セキュリティは後知恵になりがちだ。しかしそれでも、
デプロイされるコードはOSからアプリケーションに至るまですべての部分が署名されていなければならない。Notaryは強力な安心保証を確立して、ワークフローの過程中に悪質なコンテンツが注入されることを防ぐ”、とDockerのシニアソフトウェアエンジニアDavid Lawrenceは語る。“Notaryはコンテナの分野で広く使われている実装だ。それがCNCFに加わることによって、さらに広く採用され、さまざまな新しいユースケースが登場してきてほしい”。

たとえばDockerはこれを使って、そのDocker Content Trustシステムを実装しているし、LinuxKitはカーネルとシステムパッケージの配布に利用している。自動車業界も、TUFの別の実装であるUptane使って、車載コードの安全を図っている。

Notary/TUFについて詳しく知りたい方には、Dockerのドキュメンテーションが勉強の入り口として最適だろう。

“NotaryとTUFの仕様は、コンテンツのデリバリに関する、信頼性の高いクロスプラットホームなソリューションを提供することによって、コンテナを利用するエンタープライズの重要な課題に対応している”、とCNCFのCOO Chris Aniszczykが今日の発表声明に書いている。“これらのプロジェクトが一体的なコントリビューションとしてCNCFに加わることは、とても嬉しい。今後、これらを軸としてさまざまなコミュニティが育っていくことを、期待したい”。

Docker Platform(EnterpriseとCommunityの両エディション)や、Moby Project, Huawei, Motorola Solutions, VMWare, LinuxKit, Quay, KubernetesなどはすべてすでにNotary/TUFを統合しているから、CNCFのそのほかのツールとの相性の良いプロジェクトであることも確実だ。

NotaryとTUFが加わったことによって、CNCFを実家とするプロジェクトは計14になる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleがWebのHTTPS化の進捗状況を報告、日本の採用率は31%から55%にアップ

安全でないHTTP接続を指摘/警告するというGoogleのセキュリティ努力は、功を奏しているようだ。同社の今日(米国時間10/20)の発表によると、Android上のChromeのトラフィックはその64%がHTTPSで保護されており、昨年の42%に比べて大幅に増加した。またChromeOSとMacは共に75%あまりのトラフィックが保護され、それぞれ昨年の67%、60%からアップした。Windowsのトラフィックでは、51%から66%へ上がった。

またアクセス数上位100のWebサイトのうち71が、デフォルトでHTTPSを使用しており、昨年の37からほぼ倍増した。

アメリカ全体では、Chrome上のHTTPSの使用は、59%から73%に上昇した。

(より詳細な図表はGoogleの透明性レポートのこのページにある。)

全体としてこれらの数字は、HTTPSへの切り替えが急速に進んだことを示している。これもHTTPを危険視するGoogleの、熱心なキャンペーン努力のおかげだろう。

パスワードやクレジットカードの情報など個人情報を求めるサイトがHTTP接続を使ってる場合、そのことをChromeブラウザー上で指摘する、とGoogleが発表したのは1年あまり前だ。その後、それはさらに広がって、個人情報に限らずユーザーが何らかの入力をするHTTPサイト、そしてChromeの匿名モードも対象になった。

“HTTPSの実装は前に比べてずっと容易かつ低コストになった。しかもそれはWebのベストパフォーマンスと、HTTPでは危険すぎてできなかった新しい機能の提供を可能にする”、と当時の発表の中でChromeのセキュリティチームのEmily Schechterが書いている

Googleによると、HTTPSの採用は世界的にも増加している。たとえば日本の大型サイトRakuten, Cookpad, Ameblo, Yahoo Japanなども最近採用した。Windows上のChromeによる計測では、日本のHTTPS採用率は31%から55%にアップした。

そのほかの国でも採用が増え、たとえばブラジルでは採用率が50%から55%に上昇した。

もちろんそれは、Googleだけの功績ではない。AppleやFacebookなどの大手テクノロジー企業も、同様の努力をしている。たとえば昨年のAppleは、iOSアプリへのインターネット接続をHTTPS接続にするようデベロッパーに強制した。またFacebookのInstant ArticlesはHTTPSでサーブされている。FacebookがHTTPSを全ユーザーのデフォルトにしたのは、2013年だ。

Googleは今日の発表で、今後はほかの方法でもHTTPSの採用をプッシュする、と言っている。それはたとえば、最近発表したGoogle App Engineのための管理を伴うSSLだ。またGoogleのトップレベルドメインは今後すべて、デフォルトではHSTS(HTTPS Strict Transport Security)で保護される〔リクエストURL中のhttpを強制的にhttpsに換える〕。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ハッカー攻撃されるリスクが特別高い人たちにGoogleが“最強のセキュリティ”を提供

【抄訳】
Googleが今日(米国時間10/17)、Gmail, Drive, YouTubeなどなどGoogleのアカウントが、尋常でない、きわめて高い攻撃のリスクにさらされている、と信じているユーザーのための、無料でオプトイン(非強制)のプログラムを立ち上げた。

そのAdvanced Protection(高度な保護)と呼ばれるプログラムは現在のところ、三つの主要成分がある:

  1. ハードウェアのセキュリティキー〔U2F〕が生成するトークンを用いる2FA(二要素認証)によりGmailとGoogleのアカウント保有者をフィッシング攻撃から守る。
  2. GmailとDriveへのアクセスをGoogleのアプリ/アプリケーションのみに限定して悪質なアプリケーションによるデータの窃盗を防ぐ。
  3. アカウントのリカバリ処理を複雑にして、なりすましがGmailのアカウントにアクセスすることを防ぐ。

要するにこれは、便利さを犠牲にしてセキュリティを高める措置だ。万人向きではない、とGoogleも言ってるように、たとえば一部のセレブとか、とにかくハッキングされる高いリスクがある、ないし、あると思っている、少数の人びとのためのサービスだ。

Googleが挙げている例は、選挙戦のスタッフや、やばい情報を扱っているジャーナリスト、環境や人権などの活動家、“ネットいじめネットセクハラ”に遭ってる人たち、などだ。この前の大統領選で現にあったように、選挙参謀のメールはハックされやすい。

昨年は民主党の選挙参謀John Podestaのメールがハックされて、メールアカウントの危険性にスポットライトが当たった。メールの内容が世間に公開されたために、選挙戦にかなりの影響を与えただろう。そして今年はフランスの大統領選で現大統領Emmanuel Macronのスタッフのメールアカウントがハックされた。メールがリークされたのは投票日の前夜だった。

【中略】

このプログラムはGoogleのアカウントのある人なら誰でも登録できるが、当面はChromeブラウザーを使う必要がある。Googleによると、ChromeはハードウェアセキュリティキーのスタンダードU2Fをサポートしているからだ。ただし、“ほかのブラウザーもこのスタンダードをなるべく早くサポートしてほしい”、ということだ。

【中略】

Advanced Protectionの登録申し込みはここで受け付けている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ソフトウェアのサプライチェーンを監視するためのAPI集合GrafeasをGoogleやIBMなど8社が共同開発

コンテナとマイクロサービスによって、ソフトウェアの作り方が急速に変わりつつある。しかし、どんな変化にも問題はつきものだ。コンテナが目の前にあるとき、それを誰が作ったのか、その中で何が動くのかを知りたいだろう。この基本的な問題を解決するために、Google, JFrog, Red Hat, IBM, Black Duck, Twistlock, Aqua Security, そしてCoreOSの計8社が今日(米国時間10/12)、共同のオープンソースプロジェクトGrafeas※を発表した(※: ギリシア語で“scribe, 書記官”の意味)。その目的は、ソフトウェアのサプライチェーンを検査し統轄するための標準的な方法を確立することだ。

併せてGoogleは、もうひとつの新しいプロジェクト、Kritis※を立ち上げた(※: ギリシア語で“judge, 鑑定人”の意味…Kubernetesの成功以来、Googleの新しいオープンソースプロジェクトにはほかの言葉を使えなくなったのだ!)。Kritisは、Kubernetesのクラスターをデプロイするとき、コンテナに一定のプロパティを強制する。

Grafeasは、コードのデプロイとビルドのパイプラインに関するすべてのメタデータを集めるための、APIの集合だ。そしてそのために、コードの原作者や出所、各コード片のデプロイ履歴〜デプロイ時の記録、どのようなセキュリティスキャンをパスしたか、どんなコンポーネントを使っているか(そして各コンポーネントの既知の脆弱性)、QAからの承認の有無、などの記録をキープする。そうすると、新しいコードをデプロイする前にGrafeasのAPIを使ってこれらの情報をすべてチェックでき、それが(得られた情報の範囲内で)脆弱性なしと認定されていたら、プロダクションに放り込める。

一見するとこれは、平凡すぎる感じがしないでもないが、でもこんなプロジェクトのニーズは確かにある。継続的インテグレーションや分散化、マイクロサービス、どんどん増えるツールセット、そして各種バズワードの奔流、といった動向の中でエンタープライズは、自分たちのデータセンターで実際に何が起きているのかを知ることに苦労している。今動かしているソフトウェアの本性を知らずに、セキュリティやガバナンスを云々しても空しい。そしてデベロッパーが使うツールは統一されていないから、そこから得られるデータもまちまちだ。そこでGrafeasは、どんなツールでも一定の標準化された、業界全員が合意しているデータ集合が得られるようにする。

Googleのオープンソースプロジェクトの多くがそうであるように、Grafeasも、この問題のGoogle自身の対処方法を模倣している。規模が大きくて、しかもコンテナやマイクロサービスを早くから採用しているGoogleは、業界全体の問題になる前にこれらの問題を数多く体験している。Googleによる本日の発表によると、Grafeasの基本的な内容は、Google自身がそのビルドシステムのために開発したベストプラクティスを反映している。

そのほかのパートナーたちも全員が、このプロジェクトにいろんなおみやげを持参している。しかしたとえばJFrogは、同社のXray APIにこのシステムを実装するつもりだ。Red Hatは、同社のコンテナプラットホームOpenShiftのセキュリティとオートメーションを強化するためにこれを導入し、CoreOSは同社のKubernetesプラットホームTectonicにこれを統合する。

Grafeasの初期のテスターの中には、Shopifyがいる。同社は現在、一日に約6000のコンテナをビルドし、それらが33万点の画像を同社のメインのコンテナレジストリに保存する。Grafeasがあると、たとえば、今どのコンテナがプロダクションで使われているか、それはいつレジストリからダウンロードされたか、その中ではどのパッケージが動いているのか、そして、コンテナの中のコンポーネントのどれかに既知の脆弱性はないか、などが分かる。

Shopifyは、今日の発表声明の中でこう言っている: “Grafeasによってコンテナの正確なメタデータが得られるので、セキュリティチームがこれらの質問に答えられるようになり、またShopifyでわれわれがユーザーに届けるソフトウェアの検査やライフサイクル管理に、適切な肉付けがなされるようになった〔形式だけではなくなった〕”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GitHubがユーザーコードの安全でない依存性を警告、コードの見つけやすさも改善

オンラインのコードリポジトリGitHubが今週、例年のカンファレンスを開催している。テクノロジー業界の長年のやり方に倣って同社は、このイベントを利用してサービスの新しい機能をいくつか発表した。今回の大きなテーマは二つ、セキュリティと発見性(discoverability, コードの見つけやすさ)だ。

近年はハッキングの被害がますます増えているから、ユーザーから預かったコードのセキュリティをGitHubが重視するのも当然だ。同社がとくに問題にするのは、最近のプロジェクトの多くが非常に多様なサードパーティのライブラリなど、外部資源に依存していることだ。

そこで今回GitHubがローンチしたのが、“依存性グラフ”(dependency graph)だ。これによりデベロッパーは、自分のコードが利用しているほかのパッケージやアプリケーションを一望にできる。当面RubyとJavaScriptのコードだけだが、近くPythonもサポートされる。すべての依存性が一望的に分かれば、それを標準的な脆弱性データベースと対照して、やばいものが使われていたらデベロッパーたちに通知できる。GitHub自身の通知警報機能は“もうすぐ提供”だそうだから、それまでは各自の取り組みが必要だ。

GitHubのチームによると、同サービス上のプロジェクトの75%以上に何らかの依存性があり、その半分以上に10以上の依存性がある。そして依存性が100を超えるプロジェクトも、昨今では珍しくない。

発見性に関しては、GitHub上には今や2500万あまりのアクティブなレポジトリーがあり、デベロッパーが関心を持ったコードをその中に見つけるのが容易ではない。この状況を改善するために同社は、ニューズフィードを一新してリコメンデーションを含めることにした。リコメンデーションは、ユーザーが誰々をフォローし、どのリポジトリーをスターし、また今GitHub上で何に人気があるか、といった情報に基づいて作成される。また“Explore”と呼ばれる人間が編集するセクションでは、機械学習やゲーム開発など、分野別のプロジェクトやリソースをまとめて紹介する。

また、有料のGitHub Enterpriseでは、30分以内のお返事を約束するプレミアムサポートと、コミュニティフォーラム、Marketplace機能のトライアル、チームディスカッションツールなどが提供される。そこではもちろん、どのコードがどこにあるか、ということも話題になる。

GitHubのデータサイエンティストMiju Hanはこう言う: “GitHubの上で人間がやってることを、明日になれば人工知能がやってくれるなんて、ありえないからね。GitHubでは基本がいちばん重要。基本を良くしていけば、長期的には最良のデータが得られるようになる”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Face ID用のカメラが次のiPad Proには載るらしい、Touch IDと併用か

iPhone XのFace ID機能が、2018年発売のiPad Proにも載る、とKGI SecuritiesのアナリストMing-Chi Kuoが報じている。

MacRumors9to5macが報じた、投資家宛のメモによると、TrueDepth Cameraシステムはその年の内にすべての“ハイエンドの”iOSデバイスで可利用になる、という。

しかしそれは、むしろ当然だろう。iPadのエッジツーエッジディスプレイは差し迫った要望ではないし、技術的難題でもない。Kuoは何も言っていないが、ディスプレイ前面はノッチアップトップ(notch up top)ではなく、もっとふつうの丈夫な配列になるだろう。

そしてそんなデバイスは、Face IDとTouch IDの両方のハードウェアを載せられるだろう。iPhone Xは、Face IDによるセキュリティのみだ。しかしタブレットは、スマートフォンのように顔に直面する使い方でなく、平面上に置く使い方もするから、そんなときFace IDは体をかがめて顔を接近させなければならない。だからTouch ID併用が、正解だと思う。

なお、AppleはTrueDepth Cameraの全容をまだ明らかにしていない。モバイルデバイスは、そのごく一部のユースケースにすぎないだろう。でもFace IDでApple Payをアンロックするようになれば、iPad Proのセキュリティは向上する。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

2015年にロシアの諜報機関がNSAを侵害してサイバーセキュリティの戦略を盗んだらしい

NSA(National Security Agency,国家安全保障局)は2015年に深刻な侵害を蒙り、サイバー戦争に関する同局の戦略を外部に露出した。それには、防御の方法とともに、外国のネットワークを攻撃する方法も含まれていた。Wall Street Journalが今日(米国時間10/5)、そう報じている。その攻撃の背後にはロシアの諜報機関がいて、ロシアのKaspersky Labsのソフトウェアが道具として使われた、とされている。

しかもなんと、問題のデータはNSAの契約職員が自宅に持ち帰っていたと言われ、その人物がなぜか、彼らが使うKasperskyのウィルス防御ソフトウェアによって危機に陥った。その具体的な過程の説明はないが、推測では、同局のサーバー上の疑わしいファイル(マルウェアの実行ファイルなど)を彼がダウンロードし保存する行為に関連していたようだ。本誌は今、K社に詳しい情報を求めている。

Kaspersky Labsは今年非難の砲火を浴び、その背景では、数えきれないほど多くのサイバーセキュリティ関連事件と、噂される現政権との関係により、アメリカの国政に対するロシアの妨害が懸念されていた。つい先月は、同社のソフトウェアの使用が、行政府と議会の各部で禁じられた。Kasperskyは、“いかなる政府とも不当な関係はない”と言って嫌疑を否定し、申し立てには根拠がない、と主張した。

方法についてはよく分からないが、侵害があったことはほぼ確実である。WSJによると、侵害が深刻だったからこそコードネームまで付けられ、同局の上部からの訓戒もあったのだ。盗まれた資料にはNSAのオペレーションの詳細だけでなく、攻撃や防御に使われる実際のコードまであったと言われる。

侵害は公表されず、2015年に起きたものが2016年の春にやっと発見された。そのためロシアの諜報機関は選挙の年に楽に仕事を開始し、その年が深刻なサイバーセキュリティ事件に侵されることが、確実となったのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Mozillaのオープンソース助成制度MOSSは今期の交付額総計が50万ドルを突破

Mozillaは、同団体のオープンソース助成金制度Mozilla Open Source Support(MOSS)の今期(4-9月)の交付総額が53万9000ドルだった、と発表した。この助成金の対象は主に小さなプロジェクトだが、今回はとくに安全とセキュリティをメインテーマとした。

最高額19万4000ドルを交付されたUshahidiは、助けを求めている人が必要としている情報を、素早く集めて散布する。災害で道路が交通不能になっている人たちや、抗議活動で催涙ガスなど警察の攻撃に遭っている人たち、選挙で特定候補への投票を脅されている人たちなどだ。

10万ドルを交付されたRiseUpは、活動家たちのための安全な通信ツールを提供する。クロスブラウザーな(ブラウザーの種類を問わない)フォーマットWebAssemblyの一環としてJavaScriptのモジュールをロードするローダーWebpackが、12万5000ドルを受け取った。HTML5によるゲームエンジンPhaserが5万ドル、HTTPSのデプロイを容易にするシステムの一部であるmod_mdが、7万ドルを交付された。

次期のMOSSは、特定の地域、最初はインドを対象とする。すなわち次回も対象は複数の比較的小さなプロジェクトだが、インド関連がメインになる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GoogleはCloud等の企業顧客のセキュリティの便宜のためアイデンティティ管理のBitiumを買収

Google Cloudが今日(米国時間9/26)、エンタープライズ向けにアイデンティティ管理と、クラウド上のアプリケーションへのシングルサインオンなどアクセスツールを提供するBitiumを買収したことを発表した。これによりGoogleは、クラウドのエンタープライズ顧客の企業全域にわたる実装を、より良く管理できるようになり、たとえば同社のCloudやG Suiteなどのアプリケーションをすべてカバーするセキュリティレベルやアクセスポリシーを設定できる。

Bitiumは2012年に創業され、中小企業と大企業の両方をターゲットにしていた。同社はいわば、Google AppsやOffice 365、ソーシャルネットワーク、CRM、コラボレーションやマーケティングのツールなどすべてを管理できるワンストップサービスで、それにより、企業のセキュリティスタンダードへのコンプライアンスをより確実なものにしていた。

Bitiumの目標は、多くの企業とその社員たちが使っている人気の高いクラウドアプリケーションの管理と利用のプロセスを単純化することで、それによりユーザーが“影のIT”(shadow IT)と呼ばれる劣悪な領域に足を踏み入れないようにしている。その劣悪な領域では、サービスへのエンタープライズとしてのアクセス環境が完備していないので、社員が自分個人のアカウントで勝手にアクセスし、セキュリティを破壊しているのだ。

今回の買収は、Googleの顧客企業がそうなってしまうのを防ぐことが目的だが、Bitiumの従来の業務はそのまま継続できるし、新たなアプリケーションとパートナーしてもよい。またGoogleのプラットホーム自身も、他のサードパーティのアイデンティティ管理プロバイダーの利用に対してオープンであり、エンタープライズ顧客がGoogle CloudやG Suiteの利用のためにそれらを統合してもよい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Appleは差分プライバシー技術を利用して個人データに触らずにSafariの閲覧データを収集

macOS High Sierraの今日の一般リリースにより、Safariにも重要なアップデートが加わった。それらは、クロスサイトなクッキー追跡を無効にする機能や、広告の自動再生をoffにする機能だ。また、あまり大声で喧伝されてない新しい機能としては、データの収集がある。Appleがこのたび新たに実装した差分プライバシー技術(differential privacy technology)により、ユーザーの習慣に関する情報を集めて、問題のあるサイトを見つける手がかりにする、という機能だ。

Safariが、電力やメモリを大喰らいしてブラウザーをクラッシュするサイトを見つけるために、このようなデータ収集を行うのは、これが初めてだ。Appleはそういう問題ありのサイトの人気を調べており、それに基づいて最初にやっつけるサイトを決めるようだ。

差分プライバシーは、個人を同定できるデータをいっさい集めずに大量の情報を集める技術だ。だから、ユーザーまで遡(さかのぼ)れる情報は、何一つ収集しない。このやり方は学問的研究に由来していて、アルゴリズムによりユーザーデータを隠し*、大量の情報の中にトレンドを見つける。〔*: 個々の情報項目間で差分のないデータは、個人同定情報だと見なせる(たとえば名前はどの情報項目でもデータや場所が同一だ)。差分のあるデータが、個人情報を除いた、個々の情報の実質内容だ、と見なせる。Wikipedia。〕

SVPのCraig Federighiが、WWDCのキーノートでこう述べている: “ソフトウェアをよりインテリジェントにするための重要なツールのひとつは、複数のユーザーがデバイスを使ってることを示す、パターンを見分けるようなツールだ”。〔これは裏を返せば、単一ユーザーがそのデバイスを使ってるときのパターン。〕

Appleは差分プライバシーの技術を、キーボードの予測入力や絵文字、検索入力の予測のような低レベルのアプリケーションですでに使っている。そこでこの技術はすでに、同社のDevice Analytics事業の一環だ。

データ収集はオプトインの機能なので、ユーザーが意図的にonにしないと行われない。その点では、クラッシュ時の情報提供と同じだ。またこの件でSafariは、特別の登録や通知の画面は出さない。

今回の新しい実装はDevice Analytics事業にすでに含まれているので、ユーザーが新しいmacOSやiOSデバイスにユーザー登録したとき、自動的に提供される。そのシステムの詳細は、今後のドキュメンテーションで提供するそうだ。

差分プライバシー技術を使うことでAppleは、以前のようにユーザーのプライバシーを侵す危険なく、情報を収集できる自信を深めたようだ。またこの技術には、セキュリティ上の弱点もない。でもブラウザーのセキュリティをアップするためにユーザーの閲覧データをさらに多く集めなければならない、というのは、皮肉かもね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

CloudflareはDDoS攻撃の間のクラウド利用を無課金にして顧客の被害を軽減

Webパフォーマンス/セキュリティ最適化サービスとして人気の高いCloudflareは今週で7歳になるが、顧客への感謝のプレゼントとして、DDoS被害軽減策を提供することになった。すなわちDDoSがその攻撃で使用/浪費した帯域(および時間)はユーザーに対し無課金とし、攻撃の続く間、ユーザーのサイトを同社サービスから(実質的にインターネットから)切り離す。

CloudflareのCEO Matthew Princeによると、DDoS攻撃の間の無課金は、攻撃のサイズの大小を問わず、また無料プランから最上位のエンタープライズプランまで、利用プランのレベルを問わない。

Princeの言うとおりこれは思い切った決断だが、結果的には同社の今後の成長にも寄与する、という。今やDDoS攻撃はありふれているから、少なくともネットワーキングの費用面でその心配がなくなると、Cloudflareの利用を前向きに検討する顧客が増えるはずである(もちろん事業機会の損失は依然としてあるが)。“これまでは、攻撃の規模が大きくなると、顧客への請求書の額も肥大していた。また、防御対策の費用も膨張する”、とPrinceは説明する。

ふつうは、ユーザーがDDoS攻撃を受けると、攻撃のピーク時の使用帯域をベースとして課金額が計算される。しかしPrinceは曰く、“しかしこれらの攻撃は毎秒数百ギガビットという規模だから、帯域課金だけでもすぐに数十万ドルのオーダーになってしまうのだ”。

通常は、数十万ドルになる前にクラウドがそのユーザー(顧客)を切ってしまうが、そうなるとユーザー視線ではネットワークリソースがより希少なものになる。Princeによると、クラウドサービス側がユーザーを勝手に切ってしまう従来のやり方は、“粗暴かつ無作法である”。それは、顧客を犠牲にして犯人に譲歩していることであり、攻撃終了後にクラウドサービス側が顧客に高額な請求を送ることは、DDoSの犯人が顧客から金を巻き上げようとすることと変わらない。

同社の数年前の誕生日には、やはり当時としては異例の、無料の暗号化サービスを立ち上げた。“無料の暗号化をデフォルトで提供し始めたときは、クレージーだ、絶対うまくいかない、と言われた。でも4年経った今では、ほとんど業界の標準慣行になっている”、と彼は語る。

Princeの期待は、DDoS無課金もやはり、業界の標準慣行になることだ。“4年後には、DDoSの帯域被害額==ゼロ、が常識になるだろう。インターネットが、もっと良い場所になるね”、と彼は言う。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

AppleのFace IDには、ひとつの顔情報しか登録できない

AppleのFace IDは、1台の端末につきひとつの顔情報しか登録できないようになっているようだ。少なくとも、当初はそのようになっている様子。先日の発表イベントにて、多くの人が問い合わせを行ったようだ。TechCrunchもこの情報を確認している。読者の方もすでにご存知のことではあるのかもしれないが、重要なポイントであると思われるので、記事でもご報告しておく次第だ。

Face IDが、ひとつの顔情報の登録にしか対応しないというのは、ごくあたりまえのことのようにも聞こえる。指紋情報を確認するための指は何本もあるが、顔はひとつしかないものだからだ。指は複数あるものだし、また端末の向きや、しまっておくポケットによっても認証に利用する指が異なることはあり得る。そうしたケースに応じて、Touch IDでは複数の指を登録することができるようになっているわけだ。

ただ、自分の指紋情報を複数登録するだけでなく、たとえば恋人や子供の指紋情報を登録して利用している人も多い。指紋認証情報は5つまで登録できるようになっているわけで、自分の分を2、3登録して、あとは別の人ように利用するということも可能なわけだ。

「顔はひとつしかないのだから」というFace IDの運用ポリシーのもとでは、これまでのように複数人で使いまわすという行為が面倒なものとなる。たとえば恋人に使わせたい場合には、まず自分でカメラの前でにっこり笑ってから恋人に手渡すといった手間が必要になる。それがいやだという場合、パスコードを共有する必要が出てくる。パスコードの共有は、指紋認証に比べてちょっとめんどうくさいといったレベルのものではあるかもしれない。しかし多少ではあっても手間がかかることに間違いはない。しかも、頻繁にアクセスするのでなければ、パスコードを忘れてしまうというのもありそうな話だ。

Face IDを、iPadなど他デバイスに拡張していく場合にはさらに問題になるだろう。iPadはiPhone以上に、複数人で共有して使うことが多いデバイスだからだ。使い方にもよる話ではあるが、iPhone 8を選ぶのか、それともiPhone Xを選ぶのか、あるいはiPhoneではないデバイスが欲しくなるのかにも影響し得る話だと思うが、いかがだろうか。

原文へ

(翻訳:Maeda, H

新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる

セキュリティ企業のArmisが8つのエクスプロイトを見つけ、まとめてBlueBorneと名付けた。それらを利用すると、スマートフォンの本体に触ることなくアクセスして攻撃できる。スマートフォンだけでなく、Bluetoothを使っているコンピューターやIoTなどにも、同じ弱点がある。

Armisは、Bluetoothを使っているさまざまなプラットホームに、もっと多くの脆弱性がある、と考えている。これらの脆弱性は常時機能しており、したがって攻撃がつねに成功することを、Armisはデモで示した。アタックベクタBlueBorneは、コードのリモート実行や中間者攻撃など、大規模な犯行にも利用できる。

SeguruのCEO Ralph Echemendiaは語る: “BlueBorneはどんなデバイスでも被害者にしてしまう。Bluetoothがブルーでなくブラックになってしまう。この件では、セキュリティのための(システムの)手術が必要だろう”。

このビデオでお分かりのように、これらのエクスプロイトによりハッカーはデバイスを見つけ、Bluetoothで接続し、画面とアプリをコントロールしはじめる。ただしそれは、完全にお忍びではない。エクスプロイトを利用するとき、デバイスを“起こして”しまうからだ。

この複雑なアタックベクタは、ハックするデバイスを見つけることから仕事を開始する。そしてデバイスに自分の情報を開示させ、かつて多くのWebサーバーにパスワードなどをリモートで表示させた“heartbleedにとてもよく似た手口で”、キーとパスワードを盗む。

次は一連のコードを実行してデバイスの完全なコントロールを握る。研究者たちはこう書いている: “この脆弱性はBluetooth Network Encapsulation Protocol(BNEP)にあり、Bluetoothによる接続(テザリング)でインターネットの共有を可能にする。BNEPサービスの欠陥によりハッカーはメモリを破壊し、デバイス上でコードを実行できるようになる。それ以降デバイスは、完全に犯人のコントロール下にある”。

次にハッカーは、デバイス上のデータを“中間者攻撃”でストリーミングできるようになる。

“その脆弱性はBluetoothスタックのPANプロフィールにあり、犯人は被害者のデバイス上に悪質なネットワークインタフェイスを作れるようになり、IPルーティングの構成を変えて、デバイスがすべての通信をその悪質なネットワークインタフェイスから送信するよう強制する。この攻撃には、ユーザーの対話的アクションや認証やペアリングを必要としないので、ユーザーにとっては実質的に不可視である。

WindowsとiOSのスマートフォンは保護されており、Googleのユーザーは今日(米国時間9/12)パッチを受け取る。Androidの古いバージョンやLinuxのユーザーは、安全ではない。

安全を確保するためには、デバイスを定期的にアップデートするとともに、古いIoTデバイスの使用をやめること。大手企業の多くがBlueBorneベクタに関連した問題のほとんどにすでにパッチを当てているから安心だが、マイナーなメーカーが作ったデバイスは危ないかもしれない。

Armisはこう書いている: “ネットワークを利用する新しい犯行には、新しい対策が必要だ。既存の防備が役に立たないこともある。また消費者や企業向けに新しいプロトコルを使うときには、事前に十分な注意と調査が必要だ。デスクトップとモバイルとIoTを合わせたデバイスの総数は増加する一方だから、このようなタイプの脆弱性が悪用されないようにすることが、きわめて重要だ”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GoogleのSafe Browsingツールは30億台のデバイスを保護している

Googleが今日、ユーザーを危険そうなサイトから守る同社のSafe Browsingサービスが、今や30億あまりのデバイスを保護している、と発表した。このサービスは右図のような警告メッセージを表示して、デスクトップとモバイルのChrome, SafariおよびFirefoxのユーザーを、危険と思われるサイトに行けないようにするが、対象機は2013年には10億、2016年5月には20億だった。

このサービスはGoogleのマルウェア対抗ツールの最初の試みのひとつで、2007年に同社の旗艦的サービスである検索の機能として導入された。その後、SafariとFirefoxがこのサービスを採用し、さらに多くのWebデベロッパーやアプリデベロッパーも採用した(たとえばSnapchat)。

しかしSafe Browsingの基本的な考え方は、今も変わっていない。ユーザーがこれから行こうとするサイトが詐欺的だったりマルウェアのホストのようだったら、ユーザーにそう告げる。

なお、Android上のChromeでSafe Browsingがデフォルトで有効になったのは、つい最近の2015年だ。2016年の対象機の急増は、そのせいである。

Googleは今日の発表の中で、Safe Browsingは機械学習を使って悪質サイトの検出精度を上げ、また、つねに最新の技術を評価し統合して改良に努めている、と述べている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

超音波を使えば、「音」を発せずに音声認識デバイスを騙すことができる

セキュリティ関連技術を研究する中国人研究者が、「音」を発せずに音声認識システムを作動させる方法を開発した。人間には聞こえず、しかしマイクでは検知できる高周波音を用いるのだ。このしくみを用いて、人間には音が聞こえない状況で、さまざまなコマンドを発することに成功したのだそうだ。メジャーな音声認識アシスタントのすべてを操作することができたとのこと。

今回の成果を発表したのは浙江大学の研究者たちで、超音波を用いてコミュニケートするイルカたちにならって、用いた仕組みを「DolphinAttack(PDF)」と呼んでいる。しくみをごく簡単に説明しておこう。

音を発せずに音声アシスタントを動かす仕組み

電子デバイスに搭載されるマイクは、音波によって変化する空気圧に反応する小さくて薄い皮膜を利用している。人間はふつう、20キロヘルツ以上の音を感知できないので、一般的なマイクでも20キロヘルツ以上の「音」に反応しない仕組みが搭載されている。その仕組みはローパスフィルタと呼ばれている。

このローパスフィルタ機能が理論通りに機能すれば、たしかに意図した周波数の音声のみに反応することになる。しかし現実には「ハーモニクス」というやっかいなものが存在する。たとえば400Hzの音は、200Hzあるいは800Hzを捉えるようになっているマイクにも捉えられてしまうのだ(正確な仕組みは端折って、効果についてのみ記している。詳細を知りたい方はWikipediaなどを参照してほしい)。ただし「ハーモニクス」は、もとの音声に比べるとかなり小さく響くようになるもので、通常はハーモニクスの存在がなにか問題を引き起こすようなことはない。

ただ、100Hzの音を拾うマイクに対し、何らかの事情で100Hzのを発することができない事情があったとしよう。この場合、音の大きさを大きくすれば、800Hzの音でマイクを反応させることができるのだ。100Hzの音を発したことをさとられずに、マイクのみに100Hzのハーモニクスを伝達することができるのだ。人間の耳には800Hzの音のみが伝わることとなる。

変調装置の仕組み

研究者たちも、大まかにいえば上に記した仕組みをもちいてマイクにのみ通じる音を発生させている。もちろん実際にはさまざまな複雑なプロセスを経るようになっている。そしていろいろと試してみたところでは、スマートフォン、スマートウォッチ、ホームハブなど、音声に反応するように設計されているデバイスのほとんどが、ハーモニクスに反応したとのことだ。

超音波(黒の音声信号)がハーモニクス(赤の信号)を発生させる様子。超音波の方はローパスフィルタによりカットされる。

最初は単なる超音波信号を発生させる実験を行なっていた。それがうまくいったので、次に500ヘルツないし1000ヘルツの音声信号を生成することにしたのだ。複雑な作業が必要になるものの、しかし基本的には同様の方法で音声信号の生成に成功したとのこと。作業が複雑になるといっても、特殊なハードウェアを必要とするわけではない。エレクトロニクスパーツを扱っている店で手に入る部品のみを用いて実現できる。

超音波から生じた音声は確かに機能し、たいていの音声認識プラットフォームで狙い通りに認識されたとのこと。

DolphinAttackで使う音は、人間には聞こえず、感知することすらできません。しかし音声認識を行うデバイスはこの「音声」に反応するのです。Siri、Google Now、Samsung S Voice、Huawei HiVoice、Cortana、およびAlexaなど、いずれのプラットフォームで動作することを確認しました。

超音波から生成した音声により、簡単なフレーズ(「OK、Google」)から、やや複雑なコマンド(「unlock the back door」―勝手口の鍵を開けて)などを認識させ動作させることができたとのこと。スマートフォンによって通じやすいフレーズや通じにくいものがあったり、超音波を発する距離によっても実験結果が左右されたとのこと。ただし、5フィート以上の距離から発した超音波ーハーモニクスに反応したデバイスはなかったとのことだ。

研究で使用した簡単な超音波ーハーモニクス発生システム。

距離に制限があるということのようだが、しかしそれでも脅威に感じる。感知できないコマンドが発せられ、それによって手元のデバイスが作動してしまうのだ(Wi-Fiにも似たようなリスクがないわけではない)。ただし、今のところは大騒ぎすることもないのかもしれない。

たとえば、音声コマンドによってデバイスを活動状態にする機能をオフにしておくだけで、大半のリスクを避けることができるようになる。音声コマンドを受け付けるのは、デバイスがアクティブな状態にあるときのみになるわけだ。

さらに、たとえスリープからの復帰を音声コマンドで行えるようにしていても、たいていのデバイスでは電話をかけたり、アプリケーションを実行したり、あるいはウェブにアクセスしたりする機能を制限している。天候を確認したり、近くのレストランを表示するようなことはできるが、悪意あるサイトへのアクセスなどはできないことが多い。

また、音声コマンドは数フィート以内の距離から発しなければならないというのが一般的だ。もちろん、知らない誰かがすぐ近くから超音波ーハーモニクス音声をもちいてコマンドを発行することはできるだろう。しかし突然スマートフォンがスリープから復帰して、「モスクワに送金しました」などといえば、ただちに適切な対応をすることができるのではなかろうか。

もちろん危険性がゼロでないのは事実だ。超音波を発することのできる、スピーカーを備えたIoTデバイスがEchoに話しかけて、家のロックやアラームを解除するような可能性だってあるわけだ。

直ちにさまざまなリスクに対応する必要があるというわけではないかもしれない。しかし、電子デバイスに対する攻撃を実行しようとするひとたちに、新たな可能性が開かれつつあるのは事実だ。そのリスクを公にし、日常的に利用するデバイスにて対抗手段を備えることが重要になりつつあるといえよう。

原文へ

(翻訳:Maeda, H

Googleがプライバシーとセキュリティ設定/チェック用ダッシュボードのデザインを一新

Googleが今日(米国時間9/8)、あなたのGoogleアカウントのプライバシーとセキュリティを設定するダッシュボードページを新しくした。ユーザーはここで、プライバシーの設定をチェックしたり変えたり、個人化された広告を拒否したり、ユーザーのデータにアクセスしているGoogle以外のサービスを見たりできる。今日の変化はささやかなもので、新しいコントロールは何もないが、同社によると、これまでほとんど使い物にならなかったモバイルのページを使いやすくしたそうだ。

Google Dashboardローンチしたのは2009年だったが、最初は検索やメールをチェックできるだけだった。その後だんだん、Googleのサービスの多様化とともに大きくなったが、プライバシーの活動家たちは、ユーザーデータを知ることに関するGoogle自身に対する規制が今だにゆるい、と批判するだろう。

Googleは今日の発表の機会を借りて、珍しくも、Google Dashboardに関する数字を明らかにした。それによると今日まで、1億5000万あまりの人がMy Activityタブで、検索、地図、YouTubeなどGoogleのさまざまなサービスの上の、自分の活動をチェックしている。

またGoogleのサービスからユーザーのデータをエクスポートするGoogle Takeoutは、毎月100万回以上使われている(意外と多いね)。ユーザーがダウンロードしたデータ量は、2011年のローンチ以降の合計が1エクサバイト以上だそうだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Apple曰く今度のデベロッパーサービスの事件はバグのせい、セキュリティ侵犯ではない

Appleの説明によると、デベロッパーのアカウントに短時間影響を与えた問題はバグが原因で、一部の説のようなセキュリティの侵犯ではない。

今朝(米国時間9/6)、Appleのシステム上にある一部のデベロッパーのアドレスが、ロシアのある場所に書き換えられた、という報告がいくつか入ってきた。ヒラリー・クリントンの選挙参謀のメールアカウントのハッキングをはじめとして、最近はロシアを悪者視する風潮もあるため、今回のその事件も、アクセス権限のない第三者の仕業(しわざ)か、という不安が走った。

[ぼくのチームの全員がロシアで登録している。すごいな。]

しかしAppleは、システムは侵犯されていない、と述べた。

同社はデベロッパーたちに次のような注記を送り、まだ特定されていなかったバグが一時的な問題を起こした、と説明した。被害者はデベロッパー全員ではなく、“一部”だそうだ:

アカウント管理アプリケーションのバグにより、あなたのアドレス情報が、Apple Developer Webサイトのアカウント詳細で一時的に不正に表示されました。被害を受けたデベロッパー全員が、同じ不正なアドレスになりました。原因となったコードレベルのバグは直ちに解決され、あなたのアドレス情報は今では正しく表示されています。セキュリティの侵犯はなく、Apple DeveloperのWebサイトやアプリケーション、サービスなどはいっさい毀損されておりません。また、あなたのApple Developer会員の詳細情報は誰からもアクセスや共有、表示をされておりません。

2013年には、AppleのDeveloper Centerがハックされてまる三日間ダウンしたが、今週の事件はそれの繰り返しではない。でも、ロシアとAppleのデベロッパーの二つが並んで登場することは、一部の人にとって、とてもおもしろいかもしれない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))