セキュリティを強化した企業や政府機関向け新型AndroidスマホをブラジルのSikurが発表

BlackBerry(ブラックベリー)が企業の携帯電話として使われていたのは、今からもう何年も前のこと。タッチスクリーン式電話や「BYOD(Bring Your Own Device)」の流れが、そのすべてに終止符を打った。しかし、セキュリティに平均以上の懸念を持つ企業や政府機関に向けた専用モバイルハードウェアというコンセプトは、技術史の中に過ぎ去ってしまったわけではない。

ブラジルのソフトウェア企業であるSikur(シクール)は、2015年に「GranitePhone(グラナイトフォン)」というブランドで情報流出防止 / セキュリティ強固版のAndroidを搭載したスマートフォンをリリースして以来、このコンセプトを推し進めてきた。2018年には「SikurPhone(シクールフォン)」がその後を継いだ。

そして現在、同社はMobile World Congress 2022(モバイルワールドコングレス2022)で、セキュリティ強化を「保証済み」の新しいAndroid端末を発表した。これには「Sikur One(シクール・ワン)」というやや誤解を招きそうな(しかし、ある種の層に向けたマーケティングだと思われる)名称が付けられている。

この端末は「防御力を高め、機密情報を根源で暗号化する」と宣伝されている「Sikurのエンジニア保証済み」機能パッケージによる「ゼロ・トラスト(一切信用しない)」コンセプトを謳っている。

この内蔵セキュリティ機能には、デバイスの暗号化、サードパーティストアからのアプリのインストールをデフォルトで拒否、位置情報サービスのハードブロックなどが含まれる。もちろん後者は、Googleの多層な設定とユーザーデータへの貪欲さのおかげで、平凡なAndroid機ではオフにするのが一筋縄ではいかないと悪名高いものだ。

また、Sikurの「Android Verified Boot(Android検証起動)」は、内蔵システムアプリを追放することで、攻撃される面積を縮小し、さらに / またはデバイスを「軽量で安全」に保つと、宣伝文では述べている。

そして、いくつかの標準的なソフトウェアを編集したにもかかわらず、この端末は「完全に設定され、使う準備ができている」とSikurは言っており、さらに「一般的な機種と同等の使いやすさ」を備えていると主張する(それは具体的に何に使いたいかに依るだろうが)。

またこの端末は、ロックされたブートローダーや、OTA(無線アップデート)によるパッチ適用で、アプリやOSを常に更新された状態に保つことができる。ユーザーが手動でアップデートしなければならない状態にしておくと、その間にセキュリティ上の脆弱性が生じる可能性があるからだ。

さらにSikurは「パスワード不要の認証トークン機能」をアピールしており、これがフィッシングやマルウェアの攻撃を防ぐのに役立つと勧めている。デフォルトのネットワーク設定も、セキュリティに配慮して調整されている(さらに、安全でないWi-Fiへの接続を保護するために、SikurのセキュアVPNも利用できる)。

期待される通り、リモートロックとリモートワイプ機能も搭載している。

このデバイスには、デフォルトの通信アプリとして「Sikur Messenger(シクール・メッセンジャー)」が搭載されている。この同社のエンド・ツー・エンド暗号化メッセージングアプリは、安全な企業内チャットアプリ(メッセージ、音声、ビデオ通話などをサポート)として、また、安全なプライベートクラウドにデータを保持してファイル保存・共有するために使用できる。

ただし、このレベルのセキュアな通信は、Sikur Messengerのマイクロネットワーク内でのみ可能であり、このソフトウェアを搭載したデバイスを支給された社員のみが参加することができる(とはいえ、このメッセンジャーアプリは標準的なAndroid、iOS、Windowsでも利用可能なので、同社のモバイルハードウェアでなくてもアクセスできる)。

スペック面では、Sikur Oneは6.5インチのスクリーン、Android 11を動作させるオクタコアプロセッサ、4000mAhのバッテリーを装備している。

4G端末(5Gではない)であり、4GBのRAMと128GBの内部ストレージ(拡張スロットで最大512GBまで追加可能)を搭載している。

前後にカメラも搭載されており、デュアルSIMにも対応。カラーオプションは「ステルス(当然、ブラック)」のみの設定だ。

「一般的なデバイスはオープンで、設定を変更される恐れがあります。システムにダメージを与えたり、マルウェアを導入したりするようなアプリをインストールし、データ漏洩やスパイの扉を開くことができてしまいます。Sikur Oneなら、空港やレストランなどの公共ネットワークで行われる接続も保護されます」と、SikurのFabio Fischer(ファビオ・フィッシャー)CEOは声明で述べている。

この携帯電話は、Sikurとブラジルの電子機器メーカーであるMultilaser(マルチレーザー)の共同開発によるものだ。

Sikurは、このデバイスでは「大企業や政府機関」をターゲットにしており、セキュリティと、欧州の一般データ保護規則やブラジルの個人情報保護法のようなプライバシー規制への幅広い遵守の両方を懸念している組織に向けて、今週から先行販売を開始すると、広報担当者は語っている。

「デバイスは中南米、米国、欧州、中東で販売されています」と、この広報担当者は述べ「中でもブラジルと米国は、当社にとってこれまでのところ最大の市場です」と続けた。

Sikurによれば、同社は2015年以来、約3万5000台の端末を販売したという。

原文へ

(文:Natasha Lomas、翻訳:Hirokazu Kusakabe)

レトロなおもちゃ電話「チャターフォン」がBluetooth対応で大人気、ただし盗聴器になるバグあり

ノスタルジアという面では、Fisher-Price(フィッシャープライス)の「Chatter Telephone」(チャターフォン)は期待を裏切らない。ホリデーシーズンに向けて、子供たちに昔から愛されてきたレトロなおもちゃがモダンに生まれ変わり、大人向けの新製品として発売された。子供向けにデザインされたオリジナルの玩具とは異なり、近くにあるスマートフォンを使ってBluetoothで通話することができるというものだ。

特別版Chatterは、回転式ダイヤルと、車輪が回転すると上下に揺れるトレードマークの目を備えているが、電話というよりは、ハンドセットを持ち上げると起動するマイク付きのBluetoothスピーカーのようなノベルティだ。

このChatterは長くは販売されなかった。キャンセル待ちが殺到し、あっという間に完売してしまったのである。しかし、英国のセキュリティ研究者たちは、すぐに潜在的な問題を発見した。オンラインの取扱説明書だけでは、設計上の欠陥により、Chatterを使った盗聴が可能になるのではないかと考えたのだ。

サイバーセキュリティ企業Pen Test Partnersの創設者であるKen Munro(ケン・マンロー)氏は、TechCrunchの取材に対し、Chatterには、Bluetooth接続されていない携帯電話からの接続を阻止するための安全なペアリングプロセスが備わっていないという懸念があると語った。

マンロー氏は、彼の懸念を裏づけるための一連のテストの概要を説明した。Chatterは米国でしか販売されておらず、売り切れ状態が続いていたため、TechCrunchは再入荷を知らせるページモニターを設定し、1台購入してテストを開始した。

まず、Chatterの電源を入れてBluetooth接続を有効にし、Bluetoothでスマートフォンとペアリングした後、Bluetoothをオフにして、誰かがそのスマートフォンを持ち圏外に歩いて行ってしまったような状況を再現した。その後、別の携帯電話とChatterを支障なくペアリングし、Chatterのオーディオをリモートでコントロールすることができた。

Chatterを製造しているMattel(マテル)によると、このChatterは「接続が行われない場合やペアリングが一度行われるとタイムアウトします。ごくわずかな時間内でしか発見可能ではなく、デバイスに物理的にアクセスする必要があります」とのこと。私たちはChatterの電源を入れたままにしておき、1時間以上経ってもBluetoothのペアリングプロセスがタイムアウトにならないことを確認した。

マンロー氏はその後、Chatterに接続されている携帯電話に電話をかけたらどうなるか尋ねた。試してみると案の定、Chatterは大きな音で鳴った。そして、今度はChatterの受話器をきちんと戻さずに、もう一度Chatterに電話をかけてみた。受話器が外れた状態で、Chatterは自動的に電話に出て、すぐに受話器のマイクを起動したため、周囲の背景音を聞くことができた。

数年前、Pen Test Partnersは「My Friend Cayla」という子供向けの人形で同様のBluetoothの脆弱性を発見した。この人形は、親の携帯電話が圏外になると、別の人の携帯電話とペアリングされてしまうというものだった。このおもちゃは、アプリに接続すると子どもの発言を記録していたことが判明し、最終的に店頭から撤去された。

Mattelによると、Chatterにはアプリはなく、Chatter Phoneは「名作おもちゃに遊び心を加えて大人向けにした、限定的なプロモーションアイテム」として発売されたとのこと。しかしマンロー氏は、Chatterには安全なペアリング機能がないため、近くにいる人や決意を持った攻撃者に悪用される可能性があること、また、Chatterが子供たちにおさがりとして受け継がれ、知らずにバグを引き起こしてしまう可能性があることを懸念している。

「これがオーディオバグになるには、何も子供たちが操作する必要はありません。受話器を外しておくだけで十分です」とマンロー氏は語った。

今回の調査結果についてコメントを求めたところ、Mattelの広報担当者であるKelly Powers(ケリー・パワーズ)氏は、同社は「セキュリティに全力を尽くしており、これらのクレームを調査する予定です」と述べた。

画像クレジット:TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)