タグ: セキュリティ

Torプロジェクトが初めてのクラウドファンディングキャンペーンで20万ドルあまりを獲得

tor-project

国の補助金への依存を減らしたいTorプロジェクトは、11月にクラウドファンディングキャンペーンを開始した。募金が一区切りついた今日(米国時間1/20)、同団体は、6週間で20万ドル強が集まったことを発表した。正確には、5265名から計20万5874ドルだ。

匿名のボランティアのサーバーを使ってよりセキュアなインターネット体験を提供するTorは、寄付をいつでも受け付けていたが、でも今回はもっと公共的なキャンペーンになり、NSAを内部告発したEdward Snowdenなど、このネットワークのもっとも著名なユーザに焦点が当てられた。Snowdenは、このサービスが貴重である理由を、説明している。

Torは最近、その2014年の収入が250万ドルだったことを公表したが、しかしそのお金の多くは政府からだ。同団体の会計監査文書は、2104年の収入の75%が国の補助だ、と言っている。2013年には90%だったから、それよりは低い。今後もしばらくは、資金の大半を補助に依存すると思われるが、しかしクラウドファンディングへの注力とPR活動の強化は、寄付の増加により補助金依存を減らすことと、新しいプロジェクトのためのリソースを獲得することを、ねらっている。

Torはそのブログ記事で、次のように述べている: “前から、資金源を多様化したいと考えていた。クラウドファンディングはわれわれに、やるべきことをやるべきときに行う自由を与える。新しい強力なプライバシーツールを開発する資金を与える。今あるツールをより強力かつ壊れにくくすることもできる。ヘルプデスクや、Webサイトのアラビア語バージョンを作ることもできる”。

11月にこの寄付キャンペーンが始まったときにも書いたが、Torと政府当局とのあいだには緊張関係があるが、元はと言えばTorのルーティングは合衆国海軍のプロジェクトとして開発され、最初はDARPAが資金を出した。昨年氾濫した報道によると、FBIはカーネギーメロン大学の研究者に100万ドルを提供して、Tor破りの方法を研究させた。大学はその“不正確な”報道を否定したが、FBIとの関係があったことは事実のようであり、したがって、サイバーセキュリティのコミュニティには疑心暗鬼が広まった。

今週のTor関連のそのほかのニュースとしては、TorをAndroidからも使えるようにするために、Facebookが支援を拡大した。ソーシャルネットワークの巨人がこのプロジェクトを初めて支援したのは2014年で、そのときは同社のTorアドレス: facebookcorewwwi.onionがオープンした。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

数億のモバイル ユーザーを保護するための取り組み

この記事は 2015 年 12 月 7 日に Google Online Security Blog に投稿された記事「Protecting hundreds of millions more mobile users」の翻訳です。

Google セーフ ブラウジングは長年にわたって 10 億人以上のパソコン ユーザーをウェブ上のマルウェアや望ましくないソフトウェア、ソーシャル エンジニアリング サイトから保護してきました。本日は、こうした保護が Android で Chrome ブラウザを利用する数億人のユーザーにも拡大されたことをお知らせいたします。

利用方法

Android 端末をお使いなら、おそらく、既にこの機能をご利用いただいています。Android 版の新たなセーフ ブラウジング クライアントは、Google Play 開発者サービスの一部として、バージョン 8.1 以降から組み込まれています。この機能を利用する最初のアプリは Chrome で、バージョン 46 以降の Android 版 Chrome のすべてのユーザーがデフォルトで保護されるようになりました。Chrome の [設定] > [プライバシー] メニューを開くと、[セーフ ブラウジング] がオンになっており、保護されていることを確認できます。危険なサイトの警告は以下のように表示されます。こうした保護はパソコンの場合と同様に、ユーザーのプライバシーを保護しながら行われます。

モバイル ユーザーに対するこれまでの保護

Android プラットフォームと Play ストアではこれまで長い間、有害な可能性のあるアプリからユーザーを保護してきました。攻撃者が対策を回避する技術を高めるにつれて、Google も検出能力をさらに向上させて Android アプリのユーザーの安全を保ってきました。しかし、モバイル ユーザーに対する危険のすべてがアプリに由来するわけではありません。

これからの保護

ソーシャル エンジニアリング(特にフィッシング)に対しては別のかたちの保護が必要です。不正なサイトの最新リストを端末上に保持して、ユーザーがそうしたサイトを閲覧する前に、確実に警告を出せるよう備える必要があります。しかしながら、こうした保護をモバイル端末上で提供することは、パソコンの場合よりもはるかに難しくなります。その理由として少なからぬ部分を占めるのが、リストを最新に保たなければならないという点です。

  • 世界中のほとんどのユーザーにとって、モバイルデータの費用はユーザー側の負担になります。データのサイズが問題となります。
  • 世界のほとんどの地域では、モバイルデータの回線速度は Wi-Fi よりも低速です。データのサイズが問題となります。
  • 携帯電話の繋がりやすさはさらに差が大きいため、適切なデータを端末に素早く配信することが不可欠です。データのサイズが問題となります。

最小のデータで最大の保護を提供

Google では、セーフ ブラウジングでモバイル端末に送信されるデータは1ビットも無駄にすることなくすべて保護の向上に役立たねばならない、という哲学を持っています。モバイル端末においてネットワーク帯域幅と電池は最も貴重なリソースであるため、どのようにしてモバイル ユーザーを保護することが最良なのかを入念に再検討する必要がありました。一部のソーシャル エンジニアリング攻撃は世界の一部の地域でのみ起きているため、そうした地域内に端末がある場合のみ、端末を保護する情報を送信します。

また、最も危険性の高いサイトに関する情報をまず最初に送信します。新興諸国の速度の遅いネットワークでよくあるように、ほんのわずかな更新データしか送信できない場合、更新内容は本当に価値のあるものでなければなりません。そこで、私たちは Google の圧縮技術チームとも連携し、送信する更新データの量をできるだけ小さく抑えました。

さらに、Android セキュリティ チームと協力して、端末上のソフトウェアによるメモリとプロセッサの使用を可能な限り抑えるとともに、ネットワーク トラフィックの最小化にも留意しました。こうした点すべてが重要なテーマです。ユーザーのデータ通信料や電池消費量をわずかでも浪費してはならないからです。

より多くのモバイルユーザーを保護

ユーザーに苦い経験をさせないよう、Google ではインターネット上の脅威への対策を続けています。同時に、こうした保護がユーザーのネットワーク費用や端末の電池に不当な負担を強いるものであってはなりません。世界中でモバイルウェブへの依存が高まり続けるなか、Google では可能な限り効率的な方法で、ユーザーをできるだけ安全にしたいと考えています。

Posted by Noé Lutz, Nathan Parker, Stephan Somogyi; Google Chrome and Safe Browsing Teams

Knightscopeの防犯ロボットはリアルタイム治安ネットワークの賢いノードになる、大規模暴力事件を未然に防げるかも

ある日ロボットが蜂起して人類を支配するのかもしれないけど、今現在はPalo AltoのKnightscopeが、人類の安全のために犯罪と戦うマシンを開発している。

Knightscope製のセキュリティロボットK5は、スターウォーズのR2D2とドクター・フーのダレクに似ている。そしてこれらのロボットを動かしているシステムは、ちょっとジョージ・オーウェル的だ。ブロードキャスト機能と高度な監視能力のあるK5は、コンサートホールや商店街など人が集まる場所をパトロールし、不審な行動などをチェックする。

視界360度でHDの低ライト赤外線カメラが捉えた画像を、バックエンドのセキュリティネットワークへアップロードする。通行人の声を拾うマイクもある。ある程度のコミュニケーション能力もある。また、ガラスが割れる音などの異常音を感知してアラートを送る。

QlHK_8M9vUi6e3u33WXx0B7-tCrwsNb7W42JLXYblzM,hZnFdv1tuyN4BfBKKjY_L8uYxJ8G2VRKeHcDJQIa1K4

すでにいくつかのショッピングモールやオフィスビルがK5を採用している。それらの名前は公表しないらしいが、Knightscopeによると、主にテクノロジ企業の社屋やシリコンバレーのショッピングモールだそうだ。

CEOのStacey Dean Stephensは元警官で、ロボットが送ってくる都市内の情報を利用する、犯罪防止のための予測的ネットワーク(次に起きることを予測できる情報ネットワーク)を構想した。協同ファウンダのWilliam Liとともに、これまでKonica Minoltaなどから1200万ドルを調達している。

近い将来にロボットが警官やガードマンをリプレースする、とKnightscopeが考えているわけではない。ロボットはあくまでもアシスタントだ、と同社はその製品を位置づけている。料金はレンタル制で、5本足300ポンドのK5を1時間6ドル25セントで貸し出している。われわれの最低賃金より、安いよね。でもティーンエイジャーのワルガキどもがロボットを小突いたりしたら、K5は彼らに声をかけるし、彼らの行為を撮影して署に送ったりするから、ガキどもにはショックだろう。

関連記事

Four Market Forces That Will Shape Robotics Over The Next Year
The State Of Robotics For 2015

これらのロボットは、ロボット自身の治安機能が必ずしも目的ではない。むしろKnightscopeは今、ロボットよりも、それらから送られてくる情報を利用するセキュリティネットワークの研究開発を進めている。そのネットワークは、ロボットからリアルタイムで送られてくる映像やデータから、公共の場所における不審な行動を見つけて、警察機関などに報告するだろう。それらの予測に基づいて事前に行動が取れれば、大規模な銃撃事件などの暴力事件を、未然に防げると思われる。

上のビデオで、Stephensにインタビューしている。ロボット本体と、ロボットをベースに構築していく治安ネットワークのことが、よく理解できるだろう。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

HTTPS ページが優先的にインデックスに登録されるようになります

Google では常にユーザーのセキュリティを最優先に考え、長年にわたってウェブの安全性の向上やブラウジング体験の改善に取り組んできました。GmailGoogle 検索、YouTube では以前からセキュアな接続を実現しており、昨年は、検索結果での HTTPS URL の掲載順位を若干引き上げる取り組みにも着手しました。ウェブのブラウジングはウェブサイトとユーザーとの間の私的な体験となるべきであり、傍受中間者攻撃、データ改ざんの対象となってはいけません。Google が「HTTPS everywhere」の推進に取り組んできたのはこのためです。

この流れの一環として、Google は、より多くの HTTPS ページを探すよう、インデックス システムを調整していることをお知らせします。具体的には、HTTP ページに対応する HTTPS ページのクロールを開始します。これは、対応する HTTPS ページがどのページからもリンクされていない場合にも対象となります。同じドメインの 2 つの URL が同じコンテンツを掲載していると思われ、かつ、両者が異なるプロトコル スキームで配信されている場合、通常、以下の条件を満たしていれば HTTPS URL を選択してインデックスに登録します。

  • セキュアでない依存関係が含まれていない。
  • robots.txt によってクロールがブロックされていない。
  • セキュアでない HTTP ページに(または HTTP ページを経由して)ユーザーをリダイレクトしていない。
  • HTTP ページへの rel="canonical" リンクが含まれていない。
  • noindex robots メタタグが含まれていない。
  • 同一ホスト上の HTTP ページヘのリンクが含まれていない。
  • サイトマップに HTTPS URL が掲載されている(または URL の HTTP バージョンが掲載されていない)。
  • サーバーに有効な TLS 証明書がある。

Google のシステムではデフォルトで HTTPS バージョンが優先されますが、HTTP サイトを HTTPS バージョンにリダイレクトしたり、サーバー上に HSTS ヘッダーを実装することで、他の検索エンジンでも HTTPS バージョンを明示的に優先させることができます。

今回の取り組みにより、ウェブの安全性がさらに高まることを嬉しく思います。Google 検索結果で HTTPS ページを表示することにより、Google では、セキュアでない接続を介してウェブサイトを閲覧してコンテンツ インジェクション攻撃を受けやすくなるリスクを減らしたいと考えています。ご質問やご意見がございましたら、ウェブマスター ヘルプ フォーラムまでお気軽にお問い合わせください。

Posted by Zineb Ait Bahajji, WTA, and the Google Security and Indexing teams
Original version: Official Google Webmaster Central Blog: Indexing HTTPS pages by default

セーフ ブラウジングの保護対象が増えました

この記事は 2015 年 11 月 13 日に Google Online Security Blog に投稿された記事「Safe Browsing protection from even more deceptive attacks」の翻訳です。

セーフ ブラウジングは、8年以上のあいだ、従来のフィッシング攻撃から 10 億人以上のユーザーを保護してきました。そのあいだにも、ウェブ上で暗躍するハッカーたちは、ユーザーをだまして本来意図していない行動をとらせるために、さまざまな種類の不正行為を仕掛けています。つまり、フィッシング攻撃の様相は常に変化してきているのです。そこで Google では、ソーシャル エンジニアリングも対象にするよう保護の範囲を拡大しました。

ソーシャル エンジニアリングは従来のフィッシングと比べてより広範囲なカテゴリであり、さまざまな不正なウェブ コンテンツを含んでいます。ソーシャル エンジニアリング攻撃とは、次のようなコンテンツを指します。

  • 信頼できる組織(銀行、行政機関など)を装っている、またはそのような印象を与えるコンテンツ。
  • ユーザーが信頼できる組織に対してのみ行うような行為(パスワードを共有する、テクニカル サポートに電話するなど)に誘導しようとするコンテンツ。

Google や Chrome から配信されたコンテンツであるかのように装うソーシャル エンジニアリング攻撃の例を、以下にいくつかご紹介します。他の信頼できるブランドも同様に、ソーシャル エンジニアリング攻撃による不正行為に使用されていますのでご注意ください。

これは、マルウェアや不要なソフトウェアをダウンロードして実行させようとするページです。Google が運営するサイトだと思わせるために Chrome のロゴと名前を使っています。こうしたコンテンツには、Google とは無関係であることを示す免責条項が目立たない場所に書かれている場合がありますが、このコンテンツが不正なものであることに変わりはありません。ウェブからファイルをダウンロードするときはいつでも注意を払うようにしてください。

これはテクニカル サポートの電話番号をかたったページです。偽の警告メッセージを表示して、Google またはその他の信頼できる組織になりすました無関係の企業に電話をかけさせようとしています(Chrome では有料のリモート サポートは提供していません)。

これは偽の Google ログインページです。ユーザーをだましてアカウントのログイン用認証情報を入手しようとしています。この種のフィッシングを行うサイトでは、クレジット カード情報などその他の個人情報の入力を要求されることもあります。フィッシング サイトはまるで本物のサイトのように見えるように作られているため、アクセスしている URL が本物に間違いないことをアドレスバーで確認するとともに、そのウェブサイトが「https://」で始まるかどうかもチェックするようにしましょう。詳しくはこちらをご覧ください。

ソーシャル エンジニアリングのコンテンツが含まれるウェブページであることが特定されると、Chrome では次のようなページを表示してユーザーに警告します。

(セーフ ブラウジングで誤って不正なサイトとして分類されているウェブページがある場合は、こちらからご報告ください)

Google では、より多くのユーザーがオンライン コンテンツを安心して利用できるようにするため、セーフ ブラウジングによる保護を引き続き強化していきます。詳しくは、透明性レポートのセーフ ブラウジングに関するページをご覧ください。

Posted by Emily Schechter, Program Manager and Noé Lutz, Software Engineer
Original version: Google Online Security Blog: Safe Browsing protection from even more deceptive attacks

社員のうっかりメールで機密情報が社外に漏れることを防ぐ機能がGoogle Appsに加わる

368912557_2fc44d3709_b

Google Appsの“何でもあり”バージョン(10ドル/月/人)Google Apps Unlimitedに今日(米国時間12/9)から、新しいプライバシーツールData Loss Prevention(データ喪失保護)機能が加わる。それは、社員がうっかり機密情報を外部にメールすることを防ぐ機能だ。

error

Unlimitedを使っている企業は、この機能を有効にして、さまざまなルールを指定できる。たとえば、社会保障番号やクレジットカードの番号のあるメールは送らずに隔離する、など。番号だけでなく、特定のキーワードなども“禁句”として指定できる。極秘裏に進行しているプロジェクトが、外部に漏れることを、防げるだろう。既製のルール集合は今後もっと多くする、とGoogleは言っている。

DLP_Diagram-06 (1)

今のところGoogleの既製のルールがカバーしているのは、合衆国とカナダとフランスの社会保障番号、運転免許証の番号、イギリスの国民健康保険番号、すべてのクレジットカード番号、銀行の店番号、銀行口座のSWIFTコードなどだ。

gmail_dlp

なお、チェックはメールの本文と添付ファイルの両方に対して行われる。

ルールは発信だけでなく入信メッセージに対しても適用できる。また、ルールの適用を特定の部課や社員たちに限定することもできる。社内のみと指定されたLAN上のメールも、それが外部に送られようとしたときには送出を拒絶される。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

政府の助成金依存はやばいと感じた匿名ネットワークのTorが、民間寄付受け入れに方向転換…そのやばい話の一部始終

screenshot-2015-11-25-12-24-36

匿名の通信が提供されインターネット上で安全な活動ができるTorネットワークが、合衆国政府への財務上の依存を減らしたいとして寄付の受け入れを開始した。

The Vergeの記事によると、同団体の収入の80〜90%は政府の助成金であったが、このほど寄付募集キャンペーンをLaura Poitrasの短いプロフィールを掲げて開始した。この人物はEdward SnowdenによるNSAのリークを扱ったドキュメンタリー映画の製作にも関わった、指導的なプライバシー活動家だ。

“プライバシーを守り、ネット上の行為のすべてをブロードキャストしたくはない、と願う理由や状況はたくさんある。ネット上の重要な活動を問題なくできるために、Torのようなツールを必要とする人びとがいる。Torは言論の自由と発言の独立性を強く守る”、と彼女は言っている。

Poitrasは合衆国政府の監視者リストに載っている人物だから、TorがなければSnowdenとの通信はできなかっただろう。

このクラウドファンディングキャンペーンは、Torのブログとひとにぎりのメディア報道に載ったぐらいで、比較的静かにスタートしたが、独立のために求める寄付の額は決して小さくない、と言えるぐらいTorを取り巻く最近の環境は厳しい。

たとえばTorのブログ記事によると、FBIはカーネギーメロン大学の研究者に100万ドルを払ってTorの破り方を研究させた。同大学が発表したかなり曖昧な声明によると、Torが提起したこの主張は“不正確”であり、カーネギーメロンは“これまで行ってきた研究に関する情報を要求する”召喚令状を発行されただけだ、という。

同大学は、どこがどう不正確なのかを明言していない。しかしいずれにしても、サイバーセキュリティの観測筋たちは、大学とFBIのあいだに何らかの共謀関係があったか・なかったかぐらいは、はっきりさせよ、と迫っている。

Torの寄付受け付けのためのページはここにある

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

PasswordBoxがサービスを閉鎖、買い主IntelのTrue Keyへユーザを移行、しかしメリットは見えず

firefox-post-header

1年足らず前にIntelに買収されたパスワード管理サービスのPasswordBoxは、このほどそのサービスを閉鎖して、ユーザを、そう、ご想像どおり、Intelが今年ローンチしたサービスTrue Keyへ移行させる。

このことを確認するブログ記事でPassword Boxは、今後はIntelと共同開発したTrue Keyに全力を傾注する、と言っている。現行サービスが存続するのは、“2016年の秋まで”だそうだ。

True Keyはフリーミアムだが、無料バージョンではパスワードを15しか保存できない。‘無制限’(実際には2000まで)に保存するには、年額20ドルを払う。

PasswordBoxもフリーミアムで、パスワード25まで無料、そして友だちを勧誘したら無制限が無料、そうでなければ月額1ドルだった。True Keyの方が、ちょっと高い。

現在のPassword BoxのユーザがTrue Keyに移行すると、次のような“特別アカウント”を提供される:

PasswordBoxのユーザにはTrue Keyのアカウントが予約されています。そのアカウントをお使いになる方は、プロフィールを作り、今のPasswordBoxのパスワードとともにメールで送ってくださると、あなたの情報がそちらへ移行します。ただしTrue Keyのアカウントの内容条件はPasswordBoxのそれとは異なります。移行を決められたPasswordBoxのユーザにはTrue Keyの特別アカウントが提供されますが、アカウントの内容は新しくなります。

Password Boxユーザの中には、Twitterで、閉鎖に対する不満を述べている人たちもいる:

[500もあるパスワードをエクスポートするなんて、ぞっとしないね。]

[True Keyの年額19ドル99セントは馬鹿げている。オープンソースのツールに移行したいよ。]

[True Keyに移行するメリットって何なの? 料金が上がるだけ?]

関連記事

Intel Buys PasswordBox To Add ID Management To Its Security Business
PasswordBox Partnership Lets The Nymi ECG Wristband Log You In Anywhere On Mobile
After Passing 1M+ Users, PasswordBox Closes $6M Series A To Scale Its Team & Hook Into Biometrics

Intelに買収されたとき、Password Boxのダウンロード数は1400万に達していた。そしてカナダのOmers VenturesやFacebookのLee Lindenなどから、600万ドルを調達していた。

でもこれは、スタートアップがたどる道の、教科書的な例だ。フリーミアムでユーザ数を稼ぎ、資金を調達し、さらにユーザを増やし、買収され、元のサービスを閉鎖し、もっと高価なサービスに移行して利益を上げる…。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

赤い警告の裏側: ウェブサイトの安全性に関する情報をもっと

この記事は 2015 年 10 月 20 日に Google Online Security Blog に投稿された記事「Behind the red warning: more info about online site safety」の翻訳です。

ウェブを閲覧していて、お気に入りのバンドの最新ニュースをチェックしようとしたときなどに、突然「アクセス先のサイトで不正なソフトウェアを検出しました」という赤い警告画面が表示されることがあります。こうした警告は最近登場したものではありません。Google セーフ ブラウジングでは 2006 年から、安全でないサイトへユーザーがアクセスしようとしたときにこのような警告を表示し、マルウェアへの感染やフィッシング攻撃など、安全でないサイトによって引き起こされる損害からユーザーを保護しています。しかし、特定のウェブサイトでなぜ警告が表示されたのかは必ずしも明確ではなかったうえ、ユーザーの皆様に詳細を十分にお伝えできていませんでした。

こうした警告をわかりやすくするために、透明性レポートに [サイト ステータス] を追加しました。次回セーフ ブラウジングの警告が表示された際は、ブロックされたウェブサイトを透明性レポートで検索することで、そのサイトに対して Google のシステムが警告を表示している理由を確認することができます。

透明性レポートの [サイト ステータス] は、これまでのセーフ ブラウジング診断ページに代わって提供されます。使いやすいインターフェースを備え、望ましくないソフトウェアをホストするサイトの詳細など、問題をわかりやすく説明します。このセクションを透明性レポートに追加することで、セーフ ブラウジングとその仕組みを理解するうえで必要な情報を透明性レポートの [セーフ ブラウジング] の 1 か所で確認できるようになりました。

お気に入りのウェブサイトが「危険」と表示される場合、その多くはユーザーのアップロードした不適切なコンテンツや、マルウェアへの一時的な感染が原因です。ウェブマスターによってウェブサイトの問題が解決されると、[サイト ステータス] は通常の状態に戻ります。このプロセスが迅速に行われるよう、問題に関する警告が Search Console を介してウェブマスターに自動的に送信されます。Google アナリティクスをお使いの皆様には、サイト上にマルウェアが検出された場合に Google アナリティクスでも通知します(ウェブマスターの方は、ウェブサイトからマルウェアを削除する方法をヘルプセンターでご確認ください)。

Google では、オンライン ユーザーの皆様の保護と情報の提供に努めております。透明性レポートに追加された [サイト ステータス] にアクセスして、ぜひ直接お試しください。

Posted by
Adrienne Porter Felt, Chrome Security Engineer and Warning Wizard
Emily Schechter, Safe Browsing Program Manager and Menace to Malware
Ke Wang, Safe Browsing Engineer and Developer of Defense
Original version: Google Online Security Blog: Behind the red warning: more info about online site safety

コンテナのセキュリティをモニタするオープンソースツールClairをCoreOSがローンチ

Container

データセンターのための軽量Linuxディストリビューションとして人気のCoreOSは、コンテナにも熱心だ。今日(米国時間11/13)同社は、コンテナのセキュリティをモニタするオープンソースのツールClairをローンチした。そしてその、まだベータのClairを、同社の有料のコンテナレジストリサービスQuayに統合する。その統合は、今後予定されているQuay Enterpriseでサポートされる。

コンテナはデベロッパの仕事を楽にしてくれるが、Linuxディストリビューションが脆弱性対策のためにたえずアップデートしているのと同じく、コンテナに収めたソフトウェアにも更新が必要な場合がある。たとえばCoreOSによると、同社のQuayサービスに保存されているDockerイメージの80%以上は、悪名高いHeartbleedバグへの対策をしていない。

coreos_clair_schema

Clairは、コンテナをスキャンして既知の脆弱性を探し、問題をデベロッパにアラートする。そのためにCoreOSは、Red HatやUbuntu、Debianなどの脆弱性データベースを参照する。

関連記事

(日本語)Tectonic, CoreOS's Kubernetes-Based Container Platform, Hits General Availability
(日本語)Mirantis And CoreOS Launch Enterprise-Grade OpenStack And Kubernetes Integration
(日本語)CoreOS Launches Preview Of Tectonic, Its Commercial Kubernetes Platform

Clairのチームはこう書いている: “ソフトウェアには脆弱性がつきものだ。したがって、良質なセキュリティの実践によって事故に備えなければならない。とくに、セキュアでないパッケージを見つけ、それらをなるべく早くアップデートすることが重要だ。Clairは、コンテナの中にあるかもしれない、セキュアでないパッケージの発見を助ける”。

チームによれば、このツールの現状はまだまだ幼稚だ。Heartbleedは、このバグのあるOpenSLLのパッケージを使っているときにのみ、起きる問題だ。現状のClairは、コンテナにパッケージがあることは見つけるが、それが実際に使われているかいないかの判断はしない。“Clairにはそこまでの分析はできないので、その後のより深い分析が必要だ”、とClairのチームは言っている。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

ノンユーザをクッキーで追跡しているFacebookがベルギーで毎日26万8000ドルを払う罰金刑に直面

facebook-thumbs-down

【抄訳】
データ保護をめぐるベルギーの裁判で、Facebookは、クッキーの保存に関する方針を変えないかぎり毎日25万ユーロの罰金を払うことになった。Facebookは控訴中だ。

事の発端は、ベルギーのデータ保護監視当局(DPA)が6月にFacebookに対する行政訴訟を起こしたことにある。その前に同政府機関は、今年の初めFacebookのプライバシーポリシーが変更された直後に、データ保護に関するFacebookのやり方を強く批判する報告書を発表していた。

具体的な訴件は: FacebookがサードパーティのWebサイトでクッキーの保存とソーシャルプラグイン(Likeボタンなど)を展開して、ユーザとFacebookのユーザでない者のインターネット上の活動を追跡するやり方(の違法性)だ。起訴の時点でベルギーのDPAは、ノンユーザの追跡方法と集めたデータをどうしているか、に関する質問にFacebookが答えなかったことを、起訴に踏み切った理由として挙げている。また同機関がこの訴訟を起こしたことに対する適法性の判断も、裁判所に求めている。

被告のFacebook側は、ベルギーのプライバシー機関には同社のヨーロッパにおける事業を告訴する法的資格がない、と主張した(Facebookのヨーロッパ本社はアイルランドにあるから)。しかし裁判所は、この主張を退け、問題がベルギー国民にも関わる以上ベルギーのデータ保護法が適用され、ベルギーの裁判所に裁判権がある、とした。

さらに重要なのは、ブラッセルの裁判所による裁定がEUの最高裁であるECJの画期的な判決と、軌を一にしていることだ。ECJはGoogle Spainが関与したいわゆる忘れられる権利について裁定し、もっと最近の判決ではハンガリーのデータ保護当局に対し、ハンガリーにもサービスを提供しているスロバキアのWebサイトに対する罰金の賦課を認めた。共通する原則は、従来の古典的な裁判の原則であった“居住国限定主義”を無視し、むしろ、インターネットサービスの本質である、不定形な広域性(被害〜被害可能性の及ぶ範囲が一国に限定されない)に着目していることだ。

Facebookは、クッキーの保存をユーザのための重要なセキュリティ手段(ユーザの本物性を確認できる)だ、と主張しているが、ノンユーザのデータまで集めていることに関しては、今のところコメントがない。裁判所は、重要なセキュリティ手段、という理由付けにも、同意していない。

【後略】

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

Webサーバを攻撃するLinux上のランサムウェアが出没、身代金は1ビットコイン

encoder-1

新種のランサムウェアがLinuxマシンを攻撃している。とくに、サーバがサーブするWebページ関連のフォルダが被害者だ。そのLinux.Encoder.1と呼ばれるランサムウェアは、MySQL、Apache、およびhomeやrootのフォルダを暗号化する。そしてファイルを解読するために1bitcoinを要求する。

以下、Dr.Web Antivirusより:

管理者権限で侵入したこのLinux.Encoder.1と呼ばれるトロイの木馬は、犯人が求めるファイルと、RSAの公開鍵のパッチのあるファイルをダウンロードする。そのあと、その悪質なプログラムはデーモンを始動し、元のファイルを削除する。その後RSAキーを使ってAESキーを保存し、トロイの木馬はそれを利用して、感染したコンピュータの上のファイルを暗号化する。

最初にLinux.Encoder.1はhomeディレクトリと、Webサイトの管理に関連したディレクトリ内のすべてのファイルを暗号化する。それからトロイの木馬は、自分が侵入したディレクトリとその下のファイルシステムのすべてを再帰的にトラバースする。さらにその次は、rootディレクトリ(“/”)とその下を襲う。そのときトロイの木馬は、犯人が指示した文字列のどれかで始まる名前のディレクトリのみを訪ね、指定した拡張子のあるファイルだけを暗号化する。

 

被害者がランサム(ransom, 身代金)を払うとシステムは信号を受け取り、再びディレクトリをトラバースしてファイルの暗号を解く。このマルウェアは自分が動くために管理者権限を必要とし、またおそらく、そのようなプログラムにうかつに実行許可を与えるようなシスアドミンを必要とする。Dr.Webのチームは、すべてのデータをバックアップすることと、攻撃された場合には、研究者たちが脱暗号化システムを作るまで被害の現状を保全することを、勧めている。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

GoogleのBYODサービスAndroid for Workを2万社近くが利用または試用中、パートナーも80社に増加

android-work

Googleの今日(米国時間11/4)の発表によると、今や2万近くの企業(や団体)が、Android for Workサービスを試用、デプロイ、あるいは本番利用している。

企業がAndroid for Workを利用すると、社員が自分のAndroidデバイスを職場に持ち込んでも安全だ。このサービスは、仕事のアプリと個人的アプリを分離するから、企業のITがそのデータやアプリを完全にコントロールできると同時に、社員は自分のAngry Birdsなどをふつうに楽しめる。この機能は2014年のGoogleのデベロッパカンファレンスI/Oで初めて登場し、今年の2月に公式ローンチした

2万社弱といっても、試用中と本番利用中などの分類数が分からない。大企業は慎重だから、試用中が圧倒的に多いのではないか、とぼくは勘ぐっている。でもまあ、好調と言える数字だろうな。

関連記事

(日本語)Google Adds 8 Carriers To Its Android For Work Partner Ecosystem
Google Makes A Push For The Mobile Enterprise Market With Launch Of Android For Work
Blackphone 2 Goes On Sale, As BlackBerry Priv Decloaks

さらに今日の発表によると、ITが証明を発行する仕事が、楽になった。部・課・係などいろんな粒度で許可を設定できる。そして、NFCを使ってユーザをプロビジョニングできる。

Googleによると、今パートナーは80社いる。なんとBlackBerryもAfWのパートナーで、そのPRIVデバイスの毎月のアップデートもGoogleのAndroidパッチスケジュールに従っている。そのほかのパートナーにはCitrixやCisco、F5、SAPなどがおり、ほかにもデバイスのメーカーやキャリアが多く参加している。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

大量のAPI呼び出しの中に悪玉ボットを見つけて利用を拒否するApigeeのセキュリティサービスApigee Senses

4418491236_edb25246ce_o

デベロッパや企業のためにAPIを管理するサービスを提供しているApigeeが今日(米国時間10/13)、APIを悪意あるボットから守るための、新しいセキュリティプロダクトをローンチした。Apigee Senseと名付けられたそのサービスは、予測分析によって悪者のボットをみつけ、それが顧客のアプリケーションにアクセスしないようにする。

同社が紹介している一部の研究によると、今やWeb上のトラフィックの半分以上がボット発だそうだ。そしてボットたちは今では、APIについてもよく知っている。

Apigeeのこれまでのサービスにもセキュリティ機能がいくつかあるが、今回の新しいサービスは既存のツールの能力を拡大し、それらの上に新たなインテリジェンスの層をかぶせる。

関連記事

Apigee Closes Its First Public Day Worth $16.68 Per Share, Down 1.9% From Its IPO Price
Apigee Acquires InsightsOne To Deepen API Analytics Offerings
Apigee Raises $35M For Its API Management Platform

ApigeeのCEO Chat Kapoorはこう語る: “Apigeeの顧客は、リッチなデジタル体験をユーザに届けるために、うちのプラットホームから年間何千億ものAPI呼び出しを処理している。Apigee Senseが提供する新しいAPIセキュリティは、そんなにも多いAPI呼び出しに予測分析を適用して、悪いボットらしいパターンを素早く見つける。そして、ここがかんじんなところだが、ボットが進化すると、その新たなパターンを学んでそれらに適応する”。

同社によると、そのリスクモデルは、大量のAPI呼び出しデータと、機械学習のアルゴリズムと、予測分析を動員して、脅威に対し継続的に適応する(可変モデルだ)。

そのセキュリティ分析の結果をユーザはApigee Senseのダッシュボードで見ることができ、サービスが検出した悪玉ボットに対してはApigeeのファイアウォールエンジンが反撃を試みる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa)。

Googleが同社のシングルサインオンソリューションをAWSなど多くのエンタプライズアプリケーションでも利用可に

shutterstock_192086159

かなり前からGoogleは、SAML規格によるシングルサインオンサービスを提供してきた。今日(米国時間10/13)同社は、さらに17のエンタプライズSaaSアプリケーション(WebEx, Workday, Marketo, NetSuite, Smartsheet, Zendeskなど)向けに、SAML 2.0のサポートを加えた。Amazon Web Servicesも含まれるから、ここでジョークを言いたくなる読者がおられるかもしれない。

Googleによると、さらにこれからは、アドミンが独自のカスタムSAMLアプリケーションを加えることも、容易にできるようになる。

利用するにはちょっとした作業が必要だから、このドキュメント: “Google for Workの認証情報をAWSで使うには”をお読みになるとよいだろう。いずれにしても企業がクラウドに移行してGoogle for Workなどを使うようになると、セキュリティのプロセスを単純化して標準化したい、とどうしても思うようになる。

関連記事

Chrome Android Beta Gets Single Sign-In For Google Sites And New Material Design Looks
Google Hopes Open Source Will Give Its Cloud A Path To The Enterprise
Google Makes Docs Add-Ons More Enterprise-Friendly

GoogleのこのサービスのビッグユーザはNetflixだが、同社はAmazon Web Servicesのトップユーザでもある。Netflixのエンタプライズ担当マネージャJustin Slatenは、今日の発表声明の中でこう述べている: “NetflixでわれわれはGoogleのOpenID Connectスタンダードのサポートを利用して100%クラウドベースのシングルサインオンソリューションへ移行できた”。

Googleによると、このアイデンティティサービスを利用してエンタプライズアプリケーションの認証情報を取得するようになると、ユーザはGoogle Smart Lockのようなツールも利用できるようになり、またアドミンはパスワードの強度やロック画面の要件、アプリケーションの管理などをコントロールできる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa)。

スマートフォンの暗号化に関する法執行機関へのバックドア提供義務などをホワイトハウスが却下

OLYMPUS DIGITAL CAMERA

Obama政権は、テクノロジ企業が情報を法執行機関に提供するためにプロダクトのセキュリティを破らなくてもよい、と決定した。テクノロジ業界にとっては、ひとつの勝利だ。

iPhoneと一部のAndroidフォーンに暗号化が導入されたため、電話データへのアクセスをめぐって法執行機関とテク企業とのあいだに議論が起こり、その一年後に今回の決定が出た恰好だ。iOS 8では、電話機に保存されるデータと、iMessageなどのコミュニケーションのほとんどが、ユーザしかアクセスできない方式で暗号化されている。Appleですら、アクセスできない。

当時FBIの部長James Comeyが、スマートフォンを暗号化すると法執行機関が重要な情報にアクセスできなくなり、捜査の妨げになる、と警告した。しかし技術者たちは、法執行機関のためのバックドアを作ればハッカーやスパイなどに悪用される、と反論した。

Comeyは今週(10/4-10)行われた議会の公聴会で、ホワイトハウスは法執行機関の職員が暗号化データにアクセスするためのバックドアを企業に強制しない、と述べて、政権による本案件の取り下げを示唆した。しかし土曜日(米国時間10/10)のThe New York Timesの記事は、ホワイトハウスがさらに明確な姿勢を示す、と報じた。それによると、テク企業は引き続き法執行機関に協力しなければならないが、しかしその際、自分たちのプロダクトのセキュリティを貶めることは要求されない、という政権の決定になるようだ。

諜報機関と法執行機関は今後、暗号化に関して、その回避方法を探さなければならない。たとえば、クラウドにバックアップされている、暗号化されていないデータを探す、などだ。スマートフォンのオーナーに、パスワードの提供を要請することも、ありえるかもしれない。

かつて政府契約企業の社員Edward SnowdenがNational Security Agencyによる監視活動をあばいて以来、プライバシー保護の声と活動が高まってきたが、政府の今回の決定は、その人たちの勝利とも言える。。

しかしこの決定は、諜報機関や一部の議員たちの怒りを買う可能性もある。火曜日に上院司法委員会の委員長Chuck Grassleyはホワイトハウス宛の書簡を書き、暗号化に対して政府が厳しい姿勢をとらなかったことを批判した。

しかしそれでもThe New York Timesによると、テク企業は政府の今回の決定で十分とは考えていない。彼らが求めているのは、政府が明確な声明文を発表し、テク企業はそれを携えて、デバイスの暗号化の禁止や、バックドアアクセスの提供義務を政府職員が要請している中国やヨーロッパに赴けることだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa)。

Appleがroot証明を利用して広告などをブロックするアプリをApp Storeから削除、事後対策をデベロッパと検討中

appleevent_2015_23

Appleが、デベロッパにroot証明を与えて暗号化されているユーザトラフィックを見られるようにするアプリを、App Storeから削除した。Appleの声明文によると、同社はそれらのアプリをストアに戻す件についてデベロッパと折衝中だそうだ。

その中には、一部の広告ブロッカーもある。それらはroot証明を使ってトラフィック(ユーザが見ているWebサイトなど)を、パケットのレベルで調べているからだ。つまり暗号化などのデータ保護を、バイパスしてしまう。Appleは従来から、iOSとOS Xからのroot証明の承認には慎重だ。

これらの広告ブロッカー(ad blockers)は、AppleがiOS 9から導入して、Safariの広告ブロックに利用されているコンテンツブロッカーとは別のものだ。むしろこれらが広告やそのほかのコンテンツをブロックする方法は、ユーザのトラフィックからそれらを削り取るというやり方だ。そのためにはVPNのような設定をして、ユーザのトラフィックがアプリ(この場合広告ブロッカー)のメーカーのサーバを通るようにし、そこでコンテンツの挿入や削除などの加工を行う。

それ自身に悪意はなくても、誤用される危険性がある。ユーザのトラフィックを外部サーバの上で第三者が読めるわけだから、それはまさにapp-in-the-middle中間者攻撃)の状況だ。つまりそれはハッカー攻撃と紙一重であり、ユーザには知られないまま、暗号化されていないトラフィックへのアクセスを与えてしまうのだ。

削除されたアプリの中には、Been Choiceもあったらしい。これは、アプリの中でも動くコンテンツブロッカーだ。最近本誌も取り上げたが、奇妙なことにそれは、Appleのシステムの中でも仕事ができるのだ。このアプリはもう、App Storeにはない。
Screen Shot 2015-10-08 at 7.56.50 PM

ユーザが意図的にVPNを使う場合は、自分のトラフィックが外部のサーバを経由していることをユーザ自身が知っている。しかしコンテンツブロッカーの場合は、知らない間にそれがやられる。だからAppleはおそらく、それらが(1)第三者のroot証明を使っている、(2)トラフィックを外部サーバに回して削除などの加工をする、(3)VPNと違ってAppleの推奨ビヘイビアではない、の理由により禁止したのだ。VPNの公式サポートは、iOS 9にも引き継がれている。

Appleの声明文がこれ:

Appleは顧客のプライバシーとセキュリティの保護に深くコミットしている。弊社は、root証明を設定する一部のアプリをApp Storeから削除した。それは顧客のネットワークデータのモニタリングを可能にし、その結果、SSL/TLSによるセキュリティが破壊されることもありえるからだ。弊社は今、これらのデベロッパと密接に協働して、彼らのアプリが、顧客のプライバシーとセキュリティを危険にさらすことなく、App Storeに迅速に戻れるよう、努力している。

Safariにあるような、アプリ内の広告やそのほかのコンテンツをブロックする枠組みは、現在のAppleにはない。アプリを削除された/される可能性のあるデベロッパは、そのコンテツブロッカー的なアプリを書き換え、Safariにその仕事をやってもらうように、しなければならない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa)。

GitHubがU2Fセキュリティキーをサポート、より強力な二要素認証を導入

GitHub Yubico partnership

今日(米国時間10/1)GitHubは同社初のユーザカンファレンスGitHub Universeを開催し、その席で、Yubicoなどが提供しているセキュリティキーFIDO Universal 2nd Factor(U2F)のサポートを開始する、と発表した。それはUSBポートに挿入して使う文字通りの“鍵”デバイスで、挿入すると第二要素の認証コードを自動的に生成するので、Google AuthenticatorやAuthyなどの6桁のコードを手入力する必要がない。

二要素認証はフィッシングや中間者攻撃の撃退に効果的だが、完全な対策ではない。しかしU2Fセキュリティキーを使うと、サイトと情報交換をせず、最初のセットアップ時にすでに認証されているから、ログイン時の欺瞞行為が難しい。ただし今のところU2FをサポートしているブラウザはGoogleのChromeのみだ。〔もちろん相手サイトがサポートしていなければならない。〕

Edge-In-Use-3-blue-third1-444x224

GitHubはすでに、AuthenticatorのようなアプリやSMSにより、二要素認証をサポートしている。同社のセキュリティ担当VP Shawn Davenportによると、GitHubの現在の1100万のユーザのうち、約30万が二要素認証を使っている。この数をさらに増やし、またセキュリティキーの採用に弾みをつけるために、同社はYubicoとパートナーして最初の5000名の購入者にはキーを5ドルで提供し、その後の購入者には2割引きで提供する。

Davenportによると同社は最近、二要素認証のサポートに関していくつかの問題に遭遇した。たとえば、SMSを国際的に使うと、セキュリティの信頼性が落ちる。またスマートフォンを頻繁に買い換えるユーザが多く、そのときセキュリティトークンの移送を忘れて、認証アプリが動かない、ということもある。

YubicoのCEOでファウンダのStina Ehrensvardによると、今やGitHubは同社の三番目の大企業パートナーとして、U2Fキーの普及に努めてくれる。最初のパートナーはGoogleDropboxだ。彼女によると同社は今、これらのパートナーのおかげで伸びているが、Chrome以外のブラウザがサポートすることによってもっと広く普及させたい、という。今YubicoはMozillaやMicrosoftに働きかけているが、“彼らの動きは鈍い”そうだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleのブログプラットホームBlogspotがHTTPSをサポート

blogspot-https

Googleは最近の数年間で、検索、Gmail、Google Driveなど主要サービスのほとんどすべてをHTTPSで暗号化した。今では検索結果の表示順位を決めるシグナルにもHTTPSを使っている。そして今日(米国時間9/30)からは、同社のブログプラットホームBlogspotにもHTTPSを導入した。

Googleは自社のブログにBlogspotを使っているが、今日からはOfficial Google Blog(Google公式ブログ)とGoogle Online Security Blog(セキュリティブログ)がHTTPSを用いる。そのほかも近くHTTPS化されるが、Bloggerのブログがまだなのは、なぜだろう?

Googleによると、HTTPSを使えば悪者がサイト上の作者/筆者やビジターを調べられなくなり、ビジターが“悪意ある場所”へリダイレクトされることもない。

通常のユーザに対するBlobspotのサポートは徐々に展開されるが、Googleのプラットホームでブログしているなら、今日からでもオプトインできる。

ただし、カスタムの(自前の)ドメインを使っている人には、当面適用されない。またHTTPSを有効にすると、今使っているテンプレートやガジェットの一部の機能が動作しなくなり、いろんなエラーが出る可能性もある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Appleが古色蒼然たるプライバシーポリシーを撃破、プライバシーサイトを拡張して新装

appleevent_2015_13

ハードウェア製品やネット上のサービスのプライバシーポリシーに関心を持つ人は、3年前なら少数派だった。しかし政府による、通信や私信の大量盗聴盗視行為がばれてからは、各製品やサービスのプライバシーポリシー注記が、ときにはそれを載せた企業の足かせともなった。

それ以後は、プライバシーがテク企業のメインのスローガンの一つとなり、中でもAppleはとくに声高だった。同社は、ユーザのデータはユーザがオーナーであるという律儀な姿勢を全地球サイズで誇示した。それは往々にして、私企業的というよりも公共的な姿勢だった。それが、今日も続いている。

しかし、今日のニュースはこれだ: Appleはプライバシーサイトをアップデートし、iOS 9と、OS Xの最新バージョンに関する新しい情報を載せた。サイトには新しい部分が加わり、そこにはAppleがユーザに提供している多様なサービスと機能に関する情報が載っている。

そのページではプロダクトや機能におけるプライバシーを取り上げ、それらはたとえばiOS 9のNewsアプリや、iOSとデベロッパがユーザをアプリ内の特定の情報や機能に連れて行くためのネイティブのディープリンクユーティリティ、新機能であるSpotlightの検索候補などだ。たとえばNewsアプリは、そのほかの個人識別情報と同じく匿名化される。また、Proactive Assistantはデータをクラウドでなくデバイス上で処理する。それは本誌の記事で前に述べたように、難しい設計課題だ。

Screen Shot 2015-09-29 at 12.09.13 AM

健康とフィットネスのデータはデバイス上に隔離され、暗号鍵はユーザのパスワード(パスコード)から生成される。こうやって暗号を個人化すると、ほかの人、たとえばAppleでさえ、データを読むことが困難になる。この、ユーザのパスコードをベースとする暗号鍵方式は今ではAppleの全製品で使われている。今の業界のお気に入りの話題である、閲覧履歴が広告に利用されることを防ぐコンテンツブロッカーも、ここで言及されている。

またApple Mapsの場合は、ユーザが旅行に関してMapsにクェリすると、ジェネリックなデバイスIDが生成され、それを使って情報が取り出される。ユーザのApple IDは使われない。旅行の半ばには別のランダムなIDが作られ、後半はそれが使われる。また旅行データを切り詰めるから、旅の出発点や目的地に関する情報は保存されない。そのデータは2年保存されてMapsの改良に利用され、その後削除される。

またiOS 9.0の60ページあまりのセキュリティ白書は、そのモバイルOSをセキュアにするためにAppleが使っているさまざまなテクニックを、詳細に説明している。前からある白書(ホワイトペーパー)のアップデート版だが、iOSの新しい機能についても述べている。Appleの暗号化の方式も詳細に説明され、無資格者のキーチェーンアクセスを防ぐ方法や、アプリのセキュリティ確保の方法を述べている。同社の開発ツールXcodeの不良な無許可複製品でコンパイルされたアプリケーションの最近の大失態が、まだ記憶に新しいから、これらのセキュリティ関連情報を読むと思わず胸が痛くなる。

しかしセキュリティの専門家のためには良いドキュメントだが、ふつうの人にはどうか?

セキュリティポリシーの打破

プライバシーは誰もが気にすべきだが、いろんな調査が示すところによると、まったく何も知らない人や、知ろうとしても難しくてよく分からない、という人がほとんどだ。

Appleも含め、企業のプライバシーポリシーは弁護士が書くことが多く、ふつうの人が読んで分かる文を書ける人…ブログライターなど…はそれを担当しない。それはプライバシー問題が裁判沙汰になったときに、法律文書の方が役に立つからであり、また、プライバシーポリシーを平文で書いたらたぶんひどい文章になるからだ。

Appleは今日の、プライバシーページの拡張で、わかりやすい言葉を使い、多くのデータを援用している。そういう意味ではAppleは、プライバシーポリシーに関する上記の古めかしい伝統を打破している。政府の情報リクエストに関する説明(94%が盗難iPhoneに関するもの、警察による個人情報リクエストはわずか6%)も、またiMessage、Apple Pay、Health、HomeKitなどの消費者アプリにおけるユーザ情報保護の説明も、どちらも確信に満ちた説明態度だ。

Screen Shot 2015-09-29 at 12.15.21 AM

もちろん、これだけ親切なドキュメントがあればAppleはユーザのプライバシーに関する質問に答えなくてもよい、という意味ではない。テク企業の多くが営利企業だから、われわれ消費者やジャーナリストは、Appleと言えども健全な疑いの目は持つべきだ。でもこのプライバシーサイトが昨年ローンチしたときの書簡でCEOのTim Cookは、サイトのアップデートや拡張は定常的に行う、と言っている。そして、言ったとおりになった。

それらのページは、iPhoneを売り込もうとするページとルックスが似ている。Appleの哲学を説明している箇所があり、またAppleのプライバシーやセキュリティ関連機能のアドバンテージをユーザに売り込もうとする部分もある。政府の情報リクエストに関する説明と、プライバシーポリシー本体は、それぞれ独立の区画になっている。

‘manage your privacy’(プライバシーを管理する)の部分は、セキュリティを向上するために何をすべきか、何のためにそれをするのかを、明快に説明している。

企業がユーザにプライバシーに関する情報を提供しようとするとき、これからは木で鼻をくくったようなプライバシーポリシー本文を提示してこと足れりとするのではなく、Appleのこのプライバシーサイト/プライバシーページを参考にすべきだ。法律や技術の専門語だらけのページはまったくない。逆に、小ぎれいに単純化しすぎた、誠実にものごとを伝えようとしない、気取ったページもない。ユーザに情報を提供し、ユーザを教育するための、誠実なサイトだ。Appleは、どのプロダクトもそうだ、と言っている。

Appleはこれまでずっと、プライバシーをセールスツールとして利用する陣営の最前線にいた。最後尾には、いたくないのだ。フルに暗号化を採用したスマートフォン、セキュアな会話と会話の削除が可能なメッセージングアプリ、自分の情報やコンテンツが勝手に、うかつに、他人に知られないため万全を尽くす、各種サービスの設計と実装、…。こう見てくると、今や死人同然となっているプライバシーポリシーの、今回のラジカルな模様替えも、いかにもAppleらしく理にかなっている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa