これは驚き―あの4Chanのファウンダー、元CEO、MootことChris PooleをGoogleがスカウト

2016-03-08-moot-hero

Googleは「ソーシャル」が不得手だ。あれほどのリソースがあるにかかわらずGoogle+はいっこうに離陸できなかった。しかし Googleにとって幸運なことに、あの4Chanのファウンダーをスカウトすることに成功したようだ。4Chanはインターネットにおける人間性の善、悪、醜を遺憾なくわれわれに見せつけてくれた。

ハンドル名MootことChris Pooleが自宅の寝室で4Chanを始めたのはわずか15歳のときだった。その12年後、Pooleはアクティブ・ユーザー2000万人の一大画像共有ネットワークを築いた。テーマはコスプレやかわいい動物の写真といった無害なものからアニメ・ポルノ、さらには悪名高い無検閲の/b/チャンネルまだなんでもありだ。

4Chan is weird

4Chan is weird

しかしPooleは他のプロジェクトで資金を使い果たし、昨年4Chanのトップから退き、ついで売却せざるを得ないことになった。結果的にこれでPooleはテクノロジー界でもっとも優秀なフリーエージェントとなった。

GoogleはまさかPooleにネクタイとスーツを着せたりしようとしないだろうが、今後Pooleは巨大企業の一員として働くことになるようだ。PooleはGoogleの副社長でストリーミング、共有、写真事業部の責任者、Bradley Horowitzに付く。

Pooleは Googleがスタート時から持っているナード文化に魅力を感じたらしい。

What Is 4chan

われわれは繰り返しPooleに「Googleでどういう仕事をするのか?」という質問を送っているがまだ返事がない。しかしする仕事はいくらでもあるはずだ。

chris-poole

Chris Poole

繰り返し失敗を重ねた後で、無料の巨大な保存容量と強力な検索を組み合わせたGoogle Photosは同社としてソーシャル・サービス分野で最初の成功となった。Pooleなら写真共有サービスをさらに面白くし、サービスをベースとした本当の意味でのコミュニティーを築く方法をGoogleに教えることができるだろう。Googleは大学生向けのソーシャル・アプリ、Who’s Downなどを実験しているが、Pooleならたび重なるリークで最近活気が薄れてきた匿名サービスを再活性化できるかもしれない。

ソーシャルなサービスを手掛ける人間は無数にいる。しかし本人に何度もインタビューした経験から言うのだが、Pooleは人がなぜソーシャル・メディアに引き寄せられるのかということを本当に理解している数少ない人間の一人だ。アルゴリズムならふんだんに持つGoogleだが、ソーシャル・メディアを成功させるために欠けていたのが、この人間に対する理解だと思う。

[原文へ]

(翻訳:滑川海彦@Facebook Google+

ジェニファー・ローレンスのヌード写真はなぜ流出したのか―ハッカーから身を守るには?

すでにご存知だろうが、ジェニファー・ローレンス、アリアナ・グランデ、ビクトリア・ジャスティス、ケイト・アプトンら100人前後の女性セレブのヌード写真がインターネットにリークした。リーク元はiCloudアカウントらしく、まず4Chanでインターネットに公開され、続いてあらゆる場所に拡散した。iCloudは写真、メール、連絡先その他の情報を自動的にクラウドにバックアップし、同じユーザーが利用するAppleのデバイス間で同期を行う。ジェニファー・ローレンスはリーク写真が本物だと認めた。他の写真の多くも本物らしい。

匿名のハッカーは画像を最初に4Chanに投稿し、iCloudのアカウントから盗んだものだと主張した。ハッカーはPayPalとBitcoinによる寄付を募ったが、集まったのは0.2545 BTCに過ぎなかった。この寄付は次のアドレスから確認できる。 18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa

iCloudそのもののセキュリティーが破られたとは考えにくい。しかしインターネット・セキュリティー全般をもう一度チェックする機会として、セレブ写真のハックがどのように行われたか考えてみよう。

マスコミ

メインストリームのメディアは「スマートフォンがハックされた」と報じている。しかしマスコミの使う「ハック」という単語はその内容が非常にあいまいだ。ローレンスは以前、「私のiCloudは『バックアップしろ』って言うんだけど、どうしたらいいか分からない。自分でやってくれればいいのに」と語っていたからiCloudを利用していたことは確かだ。画像のメタデータからするとリーク写真の大部分はAppleのデバイスで撮影されたもののようだ。.

「ハック」の内容

iCloudが ハックされたという記事があるが、Appleからはもちろん確認されていない(この可能性については後述)。iCloud自体のセキュリティーが破られたという可能性は低いが、ハッカーが特定のセレブ・ユーザーを対象にパスワード攻撃、ソーシャルエンジニアリング攻撃、「パスワードを忘れた場合」攻撃、ないしその組み合わせを仕掛けたということは考えられる。

メールアドレスとパスワードの推測

ジェニファー・ローレンスはTimeの記事で「自分のメールアドレスにはキーワードが含まれている」と語った。これは賢明な発言ではない。いずれにせよメールアドレスがわかれば偽のiTunesストアにおびき寄せるようなメールを送ることができる。被害者は偽のページにパスワードを入力してしまう。Guardianはこのようなフィッシング攻撃がリークの原因ではないかと推測している。

標的の生年月日と「秘密の質問」の答えを知っていればAppleシステムの「パスワードを忘れた場合」を使って新しいパスワードを設定できる。セレブの場合、プライベートな情報が大量に出回っているので、「秘密の質問」の答えが推測できてしまう可能性は十分にある。

iCloudのセキュリティー対策

しかしiCloudにアクセスする場合、Appleはいくつかのセキュリティー対策を施している。ユーザーが新しいApppleデバイス(OSXまたはiOS)からiCloudにアクセスした場合、iCloudはユーザーのメールアドレスに新しいデバイスからのログインがあったと通知する。またiCloudアカウントが設定されているすべてのAppleデバイス(iPhone、iPad、Mac)に同じメッセージが送られる。

もしユーザーが新しいデバイスからログインしたことがないなら、その通知を受け取ったユーザーは「ハック」されていることに気づくはずだ。メッセージは新たなログインと同時に送信されるから、すぐに気づいてパスワードを変更すればハッカーが30日分の写真をダウンロードする時間はないかもしれない。

ブルートフォース攻撃

もうひとつパスワードを手に入れる方法はランダムにパスワード入力を繰り返すブルートフォース攻撃と呼ばれるものだ。スクリプトによるiCloudアカウントへのブルートフォース攻撃は理論的には可能だ。

Next Webの記事によれば、最近、悪意あるユーザーがiCloudにブルートフォース攻撃を仕掛けるPythonスクリプトをGithub(その後Hacker Newsにも転載)にアップロードしたという。これはFind my iPhoneサービスの脆弱性を利用したものだったが、Appleはすでにこの脆弱性を修正ずみだという。このスクリプトが今回のリークの原因かどうについてはまったく情報がない。

その他の可能性

上記以外にもリークの原因はさまざまに考えられる。Androidで撮影されたらしい写真もあるのでリーク元はすべてがiCloudではないかもしれない。セレブのWiFiが盗聴されたのではないかという説もある。リークは往々にしてアシスタント、ボディーガードなど身内の人物が手を貸している。デバイスを紛失したり盗まれたりすればアカウントにアクセスされてしまう。。

2ステップ確認を使おう

もっとも効果的なのはiCloudの2ステップ確認(Googleの場合は「2段階認証」)を有効にすることだ。新しいデバイスからログインする際に、ユーザーはパスワードと同時に指定したモバイルデバイスに送信される確認コードを入力しなければならない。つまりハッカーはパスワードを知っても、確認コードを知らなければログインできない。Apple、Googleだけでなく、ほとんどの主要サービスが2段階認証をサポートしている。

またパスワード再発行の際に必要になる「秘密の質問」を「ペットの名前」のような見え透いたものにすることを止める必要がある。qwertyとか123456といった馬鹿げたパスワードを使わないのももちろんだ。

それでもまだ心配なら、設定を開いてiCloudへの写真の自動バックアップをオフにしておくことだ。

これが初めてではない

セレブのプライベート写真がリークしたのはこれが初めてではない。2011年にも大勢のセレブの写真が流出した。犯人のChristopher Chaneyは単なる推測でパスワードを得てメールアカウントに侵入していた。Chaneyは裁判で懲役10年を宣告された。しかしこうした事件でハッカーが逮捕されることはめったにない。ユーザーは結局、自分で身を守るしかない。

[原文へ]

(翻訳:滑川海彦@Facebook Google+