企業のモバイルセキュリティ対策に革新をもたらすとするBluebox、新たに1800万ドルを調達

企業向けのモバイルセキュリティサービスを提供するスタートアップのBlueboxが、シリーズBにて1800万ドルの資金を調達した。このラウンドに参加したのはTenaya Capital、Andreessen Horowitz、Sun Microsystemsの共同ファウンダーであるAndreas Bechtolsheim、およびSV Angelだ。Tenaya CapitalのBrian Meltonは、Blueboxの取締役に就任する。今回のラウンドにより、調達額合計は2750万ドルになる。シリーズAは2012年7月に950万ドル規模にて行われている。

尚、このBlueboxは2年前から活動を行っているのだが、未だに一種のステルスモードにある。しかしどうやらいよいよ公に活動する時期が迫っているという話だ。明らかにされているところでは、このBlueboxは企業向けにモバイル関連のセキュリティソリューション・サービスを提供する。いろいろな調査でも明らかになっているように、今や従業員の85%が、自分たちのスマートフォンやタブレットを使って、個人用途と仕事用途双方のアプリケーションをインストールしたり、あるいはウェブサービスを利用したりしている。これにより企業にとってのセキュリティ面での危険性が増すことにもなっている。Bluboxは、こうした従業員所有によるデバイスの企業データへのアクセスを容認しつつ、適切なセキュリティ機能を提供しようとするものだ。

これだけではBlueboxの提供するサービス内容がよくわからないが、しかし同社には名の知れた企業セキュリティ関連のエキスパートが集っているのだ。たとえばCEOのCaleb SimaはSPI Dynamicsの買収によりHPで仕事をしていた人物で、HPではApplication Security CenterのCTOを務めていた。ウェブアプリケーションにおけるセキュリティソリューションの構築の責任者であったわけだ。またSPIの前にはInternet Security Systems (ISS)のX-Force R&Dチームに所属していて、S1 CorporationでのSecurity Engineerとしての経歴も持つ。共同ファウンダーのAdam ElyもSalesforce.comのHerokuにてChief Information Security Officerを務めていた。またTiVoでもセキュリティ部分を担当し、Walt Disney CompanyのDisney.comやESPN.com、あるいはABC.comなどのセキュリティ担当も行った。Sima曰く「Blueboxではデータ面からするアプローチで、モバイルセキュリティに本当に必要なことはなにかということを考えぬいたユニークなサービスを提供します」と述べている。

2012年にBlueboxを立ち上げた際、Simaは他者との大きな差別化要因のひとつは同社が持つ「セキュリティDNA」にあるのだと話していた。「対処しなければならない問題は何かということについて、私たちは正確な認識をもっています。そして対処方法も熟知しているのです」とのことだった。「これまでに私たちと同様のアプローチをとっているサービスはありません。既存サービスに対し、正面から戦いを仕掛けて業界内地図を完全に塗り替えていくつもりです」とも述べていた。

社員による個人モバイルデバイスを使った企業データへのアクセスはますます増加する傾向にある。厳重なセキュリティ対策の実現は企業にとって喫緊の課題となっている。もちろんこの分野に取り組むのはBlueboxのみではない。サービス展開にあたってはLookoutなどと競合していくこととなる。また、この分野においては、有望なスタートアップを買収する動きも活発化している。OracleIBMなども買収など、この分野への参入を目指しているようだ。

原文へ

(翻訳:Maeda, H


警報! Androidの99%に乗っ取りを許す脆弱性―Google Playは安全、Glaxy S4は対策ずみ

モバイル・セキュリティのスタートアップ、 Bluebox Securityは「過去4年間に発売されたAndroidの99%、つまり9億台近いデバイスに重大な脆弱性が存在していた」と発表した。

この脆弱性はAndroidv1.6(Donut)から存在しており、Blueboxがこの2月に発見してGoogleに報告した。 Samsung Galaxy S4はすで対策ずみだという。Googleも当然ながら対策に動いているものと考えられる。われわれはこの件でGoogleに問い合わせを行なっているので、なんらかの回答が得られ次第アップデートする。

Blueboxはこの脆弱性について今月末に開催されるBlack Hat USAカンファレンスで技術的詳細を発表する予定だが、概要はブログ記事で紹介されている。悪意あるハッカーは、この脆弱性を利用して、暗号化されたデジタル署名を変えることなしにアプリケーションのコードを書き換え、正当なアプリをトロイの木馬に変えることができるという。

BlueboxはAndroidアプリがインストールに際してデジタル署名によって正当性を認証される過程における不整合からこの脆弱性を発見した。つまり悪意あるハッカーがデジタル署名を変えることなくアプリのコードを変えることができるというのがこの脆弱性の本質だ。Androidデバイスはアプリに悪意あるコードが仕込まれているのに気づかずにインストールし、その後やりたい放題を許してしまう。

CiscoのAnyConnect VPNアプリのようにシステムUIDにもアクセスできるアプリ、つまりデバイス・メーカーないしメーカーと密接に協力するサードパーティーが作成したアプリが攻撃のターゲットになった場合、被害は一層深刻なものとなる。こうしたアプリに悪意あるコードが仕込まれた場合、単にアプリ内のデータだけでなく、各種パスワードやアカウント情報が盗まれ、ひいてはデバイス自体のコントロールを乗っ取られる可能性がある。Blueboxは次のように説明する。

デバイス・メーカー自身が作成したアプリにトロイの木馬が仕込まれた場合、そうしたアプリはAndroid OSのすべての機能およびインストールされているすべてのアプリ(とそのデータ)にアクセスが可能となる。そうしたトロイの木馬アプリはデバイス上のあらゆるアプリのデータ(メール、SMSメッセージ、文書etc)を読み取るだけでなく、保存されているあらゆるパスワードとアカウント情報を取得し、そのデバイスの通常の機能を完全に支配することが可能となる(勝手に通話したりSMSを送信したり、カメラで写真を撮ったり、通話を録音したりできる)。そしてこれがいちばん憂慮される点だが、こうして乗っ取ったデバイスを利用して常時接続、常時起動状態のボットネットの形成が可能になる。このボットネットはモバイル・デバイスであり頻繁に移動するため探知して制圧することがきわめて困難だろう。

99%のAndroidデバイスが乗っ取りの潜在的ターゲットであるというのはなんとしてもショッキングな事態だが、脆弱性が存在する(これは事実だが)からといって、実際にその脆弱性が広く悪用されているとは限らないという点は強調しておかねばならない。さいわい今回は脆弱性情報が広がる前にGoogleに通報が行われており、Googleは全力で対策に取り組んでいるはずだ。

そうはいってもこの脆弱性にパッチを当てる作業は、Androidのエコシステムの特性から時間がかかりそうだ。Androidファームウェアにパッチを当てるアップデートはデバイスのメーカーの責任となる(さらにファームウェアのアップデートをインストールするのはユーザーの責任だ)。つまりこの脆弱性への対応はデバイス・メーカーとデバイスのモデルごとに大きく異なる可能性がある。

OSのアップデートが迅速に行われないのはAndroidエコシステムのもとからの大きな問題だった(Nexusは例外)。今回の脆弱性もアップデートが十分に行き渡るまでにはかなりの時間がかかりそうだ。

当面の対策jとして、Blueboxは以下のようにアドバイスしている。

  • Androidユーザーはアプリのインストールに当たってデベロッパーの身元に今まで以上に十分な注意を払うこと。
  • BYOD(私物デバイス持ち込み可)という方針を取っている企業は全員にデバイスを最新の状態にアップデートするよう指示すること。
  • IT部門は単にデバイスを管理するだけでなく、デバイスとアプリケーションの正当性を常に注意深く検査し、企業データ防衛に備えること。

Androidではマルウェア問題がよく取り上げられるが、これは実際にマルウェアによる被害が蔓延しているからというより、マルウェアの作者にとってAndroidが最大のターゲットであり、したがって発見されるマルウェアの数も多いという事情があるからだ。また一部のモバイルOSとは異なり、Androidがハッカーにとって特に狙い易いプラットフォームだというわけでもない。GooglePlayだけからアプリをインストールしている平均的なユーザーにとって現実の危険はごく低いという点は強調しておきたい。もちろん今回の脆弱性をマルウェア作者がどのように利用するかは注意深く見守る必要がある。

アップデート: CIOによればBlueboxのCTO、Jeff Forristalは「GoogleはすでにPlayストアの登録プロセスをアップデートし、この脆弱性を利用した悪意あるアプリをブロックするようにした」と語った。

〔日本版〕 同じくForristalによれば「Google Play上の既存のアプリでこの脆弱性を利用したものは発見されなかった」という。開発者に信頼がおけると確実に知っている場合以外、Google Play以外の場所からアプリをインストールするのは控えたほうがよさそうだ。〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+


警報! Androidの99%に乗っ取りを許す脆弱性―Google Playは安全、Glaxy S4は対策ずみ

モバイル・セキュリティのスタートアップ、 Bluebox Securityは「過去4年間に発売されたAndroidの99%、つまり9億台近いデバイスに重大な脆弱性が存在していた」と発表した。

この脆弱性はAndroidv1.6(Donut)から存在しており、Blueboxがこの2月に発見してGoogleに報告した。 Samsung Galaxy S4はすで対策ずみだという。Googleも当然ながら対策に動いているものと考えられる。われわれはこの件でGoogleに問い合わせを行なっているので、なんらかの回答が得られ次第アップデートする。

Blueboxはこの脆弱性について今月末に開催されるBlack Hat USAカンファレンスで技術的詳細を発表する予定だが、概要はブログ記事で紹介されている。悪意あるハッカーは、この脆弱性を利用して、暗号化されたデジタル署名を変えることなしにアプリケーションのコードを書き換え、正当なアプリをトロイの木馬に変えることができるという。

BlueboxはAndroidアプリがインストールに際してデジタル署名によって正当性を認証される過程における不整合からこの脆弱性を発見した。つまり悪意あるハッカーがデジタル署名を変えることなくアプリのコードを変えることができるというのがこの脆弱性の本質だ。Androidデバイスはアプリに悪意あるコードが仕込まれているのに気づかずにインストールし、その後やりたい放題を許してしまう。

CiscoのAnyConnect VPNアプリのようにシステムUIDにもアクセスできるアプリ、つまりデバイス・メーカーないしメーカーと密接に協力するサードパーティーが作成したアプリが攻撃のターゲットになった場合、被害は一層深刻なものとなる。こうしたアプリに悪意あるコードが仕込まれた場合、単にアプリ内のデータだけでなく、各種パスワードやアカウント情報が盗まれ、ひいてはデバイス自体のコントロールを乗っ取られる可能性がある。Blueboxは次のように説明する。

デバイス・メーカー自身が作成したアプリにトロイの木馬が仕込まれた場合、そうしたアプリはAndroid OSのすべての機能およびインストールされているすべてのアプリ(とそのデータ)にアクセスが可能となる。そうしたトロイの木馬アプリはデバイス上のあらゆるアプリのデータ(メール、SMSメッセージ、文書etc)を読み取るだけでなく、保存されているあらゆるパスワードとアカウント情報を取得し、そのデバイスの通常の機能を完全に支配することが可能となる(勝手に通話したりSMSを送信したり、カメラで写真を撮ったり、通話を録音したりできる)。そしてこれがいちばん憂慮される点だが、こうして乗っ取ったデバイスを利用して常時接続、常時起動状態のボットネットの形成が可能になる。このボットネットはモバイル・デバイスであり頻繁に移動するため探知して制圧することがきわめて困難だろう。

99%のAndroidデバイスが乗っ取りの潜在的ターゲットであるというのはなんとしてもショッキングな事態だが、脆弱性が存在する(これは事実だが)からといって、実際にその脆弱性が広く悪用されているとは限らないという点は強調しておかねばならない。さいわい今回は脆弱性情報が広がる前にGoogleに通報が行われており、Googleは全力で対策に取り組んでいるはずだ。

そうはいってもこの脆弱性にパッチを当てる作業は、Androidのエコシステムの特性から時間がかかりそうだ。Androidファームウェアにパッチを当てるアップデートはデバイスのメーカーの責任となる(さらにファームウェアのアップデートをインストールするのはユーザーの責任だ)。つまりこの脆弱性への対応はデバイス・メーカーとデバイスのモデルごとに大きく異なる可能性がある。

OSのアップデートが迅速に行われないのはAndroidエコシステムのもとからの大きな問題だった(Nexusは例外)。今回の脆弱性もアップデートが十分に行き渡るまでにはかなりの時間がかかりそうだ。

当面の対策jとして、Blueboxは以下のようにアドバイスしている。

  • Androidユーザーはアプリのインストールに当たってデベロッパーの身元に今まで以上に十分な注意を払うこと。
  • BYOD(私物デバイス持ち込み可)という方針を取っている企業は全員にデバイスを最新の状態にアップデートするよう指示すること。
  • IT部門は単にデバイスを管理するだけでなく、デバイスとアプリケーションの正当性を常に注意深く検査し、企業データ防衛に備えること。

Androidではマルウェア問題がよく取り上げられるが、これは実際にマルウェアによる被害が蔓延しているからというより、マルウェアの作者にとってAndroidが最大のターゲットであり、したがって発見されるマルウェアの数も多いという事情があるからだ。また一部のモバイルOSとは異なり、Androidがハッカーにとって特に狙い易いプラットフォームだというわけでもない。GooglePlayだけからアプリをインストールしている平均的なユーザーにとって現実の危険はごく低いという点は強調しておきたい。もちろん今回の脆弱性をマルウェア作者がどのように利用するかは注意深く見守る必要がある。

アップデート: CIOによればBlueboxのCTO、Jeff Forristalは「GoogleはすでにPlayストアの登録プロセスをアップデートし、この脆弱性を利用した悪意あるアプリをブロックするようにした」と語った。

〔日本版〕 同じくForristalによれば「Google Play上の既存のアプリでこの脆弱性を利用したものは発見されなかった」という。開発者に信頼がおけると確実に知っている場合以外、Google Play以外の場所からアプリをインストールするのは控えたほうがよさそうだ。〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+