タグ: computer security

サンフランシスコ空港のウェブサイトがサイバー攻撃の標的に

サンフランシスコ国際空港は、スタッフや契約労働者のユーザーネームとパスワードを盗もうと同空港のウェブサイト2つが3月にハッキングされたことを明らかにした。

同空港は、2つのウェブサイトSFOConnect.comSFOConstruction.comが「サイバー攻撃の標的となった」と4月7日付の発表で認めた。ハッカーは、ユーザーのログイン情報を盗むために2つのウェブサイトに悪意あるコンピューターコードを仕込んだ。もし盗まれていたら、攻撃者はこれらのログイン情報を使って空港のネットワークにアクセスできていたかもしれない。ネットワーク侵入を防ぐために、多要素認証のような追加の保護策がとられていたのかどうかは明らかではない。

発表では「Windowsベースの個人デバイスや、空港が管理していないデバイスのInternet Explorerを通じた空港のネットワーク外からのウェブサイトへのアクセスを含め、ユーザーが攻撃の影響を受けている可能性がある」と述べられている。

また発表によれば、空港はスタッフ専用のサイトをオフラインにし、3月23日にパスワードリセットを強制したという。いずれのウェブサイトも現在はバックアップで運営されている。

サンフランシスコ国際空港の広報からのコメントはなかった。

攻撃者が、ユーザーネームやパスワード、クレジットカード情報のデータをも盗むために脆弱性を利用性してウェブサイトにコードを仕込むのは珍しいことではない。

2年前、British Airways(ブリティッシュ・エアウェイズ)のウェブサイトとモバイルアプリにハッカーが悪意あるコードを仕込み、顧客38万人のクレジットカード記録が盗まれた。その攻撃により、当時導入されたばかりのGDPR規則に基づき、同社には欧州史上最大となる2億3000万ドル(約248億円)もの罰金が科せられた。

画像クレジット: MediaNews Group/East Bay Times / Getty Images

[原文へ]

(翻訳:Mizoguchi

他のハッカーとその侵入先を狙いツールにトロイの木馬を忍ばせるハッカー

最近発見されたマルウェアは、ハッカーが別のハッカーを攻撃するのに使われ、ターゲットがよく使っているハッキングツールに感染して、それらを改造しているらしい。

CybereasonのAmit Serper(アミット・サーパー)氏の発見によると、ここ数年におよぶマルウェアの攻撃において、犯人は既存のハッキングツールを乗っ取り、強力なリモートアクセス用トロイの木馬を注入しているという。それらのツールを開くと、ハッカーはターゲットとコンピューターのどこにでも自由にアクセスできるようになる。被害に遭うハッキングツールの一部は、データベースからデータを抜き取ってクラックしたり、プロダクトキー生成ツールで、試用段階のソフトウェアのフルバージョンをアンロックしたりする。

サーパー氏によると、犯人たちはマルウェアで改造したツールをハッキングのフォーラムにポストし、他のハッカーを釣ろうとしているという。

しかしサーパー氏がTechCrunchに語ったところによると、それはハッカーが他のハッカーをターゲットするという単純な話ではない。彼らが明らかに犯意を抱いて改造したツールは、ハッカーのシステムにだけバックドアを開いているのではなく、そのハッカーがすでに侵入したすべてのシステムにも侵入している。

「ハッカーが、あなたやあなたの会社をターゲットにしてこれらのトロイの木馬使っているのであれば、そのハッカーをハックしているハッカーがあなたの資産にも今後アクセスできることを意味している」とサーパー氏はいう。

それには、レッドチームへの参加を狙っている悪意あるセキュリティ研究者も含まれる。

サーパー氏の所見では、これら未知の犯人たちは、ハッキングツールに強力なトロイの木馬であるnjRatを注入して改造する。すると、ターゲットのデスクトップやファイル、パスワード、ウェブカメラ、マイクロフォンにまでアクセスできるようになる。そのトロイの木馬は少なくとも2013年までさかのぼることができ、当時は中東のターゲットに対して頻繁に用いられた。njRatはフィッシングを行うメールで拡散することが多く、フラッシュドライブに感染する。しかし最近では、ハッカーたちはマルウェアを休眠サイトや安全でないサイトに潜ませて、発見を逃れようとしている。2017年にはハッカーたちが同様の作戦を使って、いわゆるイスラム国のプロパガンダ部隊のためにウェブサイトでマルウェアをホストしていた。

サーパー氏は、同じウェブサイトハッキングテクニックを使って最近もnjRatをホストしていることを発見している。

彼の発見によると、犯人たちがそうやって乗っ取ったウェブサイトはいくつかあり、いずれもオーナーにはばれていない。そこでは何百ものnjRatマルウェアのサンプルがホストされ、犯人たちが使っているインフラがそのマルウェアをコマンドしコントロールしている。サーパー氏によると、ハッキングツールへのnjRatトロイの木馬の注入は毎日のように起こっており、自動化されていると思われる。つまりこの犯行は、ほとんど人間が介入せずに行われているようだ。

なぜこんなことが行われているのかという理由や、背後の人物や組織についてはわかっていない。

関連記事: Hackers are stealing years of call records from hacked cell networks…ハッカーたちが数年分の通話記録を盗んでセルネットワークをハック(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

外貨両替大手のTravelexがマルウェアの被害でサービス中断

外貨両替店の大手Travelexが、12月31日にマルウェアの被害に遭い、一部のサービスを停止したことを確認した。ロンドンに本社があり全世界に1500店あまりを持つ同社によると、同社は「データを保護するための予防的措置として」システムをオフラインにし、マルウェアの拡散を防いだ。

同社の英国のサイトでは現在、オフラインで「重大事故」(Server Error)と書かれたページが表示されるだけだ。同社の企業サイトは「システムのアップグレードをしている間オフラインにする」と公表していた。Travelexからのツイートは、「ウェブサイトでもアプリでも通常の取引業務ができない」と説明している。一部の店舗では手作業で顧客の要求に応じている。一部のサービスをTravelexに依存している企業、例えばTesco Bankもこの間、問題を抱えている

Travelexの英国のウェブサイトは現在オフラインだ(スクリーンショット提供:TechCrunch)

同社によると、「これまでのところ」顧客のデータは侵害されていない、というが、その証拠などは示されていない。同社は「現在捜査中なのでマルウェアの種類などをお教えできない」と説明する。昨年は、著名企業がランサムウェアにやられる事故が増加した。それは、被害者のデータを暗号化して利用不能にし、身代金を払えば元に戻してやると迫るマルウェアだ。アルミニウム製造の大手Norsk Hydroと英国のPolice Federation(警察組合)が3月に、Arizona BeveragesAebi Schmidtが4月に、宅配のPitney Bowesは10月に被害に遭った。

市や州など一部の地方自治体も、ランサムウェアにやられた。そのため先月ニューオーリンズは非常事態宣言を公布した。Travelexのスポークスパーソンから、声明以外のコメントを得られなかった。

画像クレジット:Bloomberg/Getty Images

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

GitHubのリポジトリー上に機密情報や脆弱性を見つけるGitGuardianにDocker創業者らが投資

データ侵犯は、被害額が大きければ多くの企業の命取りになる。対策は、大量のリアルタイムモニタリングだ。しかし監視する要素が多いとそれは非常に複雑な仕事になる。SANS Instituteの調査では、企業のデータ侵犯の約半数は、アカウントや認証情報のハッキングだった。

GitGuardianは、あくまでもデベロッパー中心のサイバーセキュリティにより、この問題に対応しようとしている。それが今やメジャーな投資家たちの関心を招き、Balderton CapitalがリードするシリーズAで総額1200万ドル(約13億円)の資金を獲得した。GitHubの共同創業者であるScott Chacon(スコット・チャコ)氏とDockerの創業者Solomon Hykes(ソロモン・ハイクス)が、このラウンドに参加した。同社はこの資金で、現在は大多数が米国である顧客ベースの拡大を計画している。現状では顧客の75%が米国、残りがヨーロッパだが、資金は現在まで続いている成長に拍車をかけるだろう。

オンラインのリポジトリーに隠れている企業の機密情報を掘り出すGitGuardianは、リアルタイムのモニタリングによってデータリークに対抗する。現在のエンタープライズソフトウェアのデベロッパーは、複数の社内的およびサードパーティのサービスを統合しなければならない。そのことによって彼らは、ログイン情報やAPIのキー、機密システムを保護するための暗号鍵など、多くの機密情報を抱え込む。

GitGuardianのシステムは1日あたり数千の認証情報のリークを検出する。同社は当初、一般公開プラットホームであるGitHub上に立ち上げるつもりだったが、しかしGitGuardianは本来プライベートなソリューションとして、機密情報の不適切な拡散を社内システムも含めてモニターし通知しなければならない。社内システムにはプライベートなコードリポジトリーやメッセージングシステムなども含まれる。

GitGuardianに投資したDockerの創業者であるハイクス氏は 「システムのセキュリティはソフトウェア開発工程のセキュリティから始まる。GitGuardianはこのことをよく理解している。彼らは深刻なセキュリティ問題に対する実践的なソリューションを作った。彼らの認証情報モニタリングシステムは、重要企業の必須のツールだ」と語る。

競合他社について共同創業者のJérémy Thomas(ジェレミー・トーマス)氏は「直接の競合他社は、まだいない。市場がまだ存在しないか、または小さすぎるからだ。でも我々の場合は、資金調達の状況を見てもおわかりのように何か大きなものを掴んでいる。だから競合他社がいない理由は、一見して問題が難しいからだろう。デベロッパーなら誰もが、自分は公開されるソースコード中に機密情報を書いたことなどないと言う。でも人間がやることには必ずミスがあるし、いったんミスが起きれば影響は深刻だ。たった一人の認証情報が漏れただけで企業全体が危機に瀕することもある。だから、あえて言うなら、我々の本当の競合者はブラックハット(悪事を働く)のハッカーだ。ブラックハットはGitHubにもいる。これまでの2年間モニターした中には、GitHub上で見つけた機密情報を交換している組織的なハッカーグループもいた。我々は彼らと競合して、彼らが悪事を働くよりも早く脆弱性を見つける」と語る。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

英国のオーディオストリーミングプラットホームのMixcloudが不正アクセスにより2000万のユーザーアカウントを流出させ、データが闇サイトで売りに出された。闇サイトの売り手はデータの一部をTechCrunchに見せ「本物であることを確認しろ」と伝えてきた。事件が起きたのは11月の初めだ。

データにはユーザー名とメールアドレスとパスワードが含まれていたが、パスワードはSHA-2のアルゴリズムで暗号化されていて解読はほとんど不可能だ。データにはそのほか、ユーザーの登録日付時刻と最前のログイン日付時刻、登録した場所の国名、IPアドレス、プロフィールの写真のリンクが含まれていた。

TechCrunchでは、データの一部のメールアドレスを同サイトのユーザー登録機能を使って調べた結果、本物であることを確認した。盗まれたデータの総量はわかっていない。その売り手によると2000万件というが、闇サイト上では2100万と書かれている。しかしTechCrunchが調べたデータからは、2200万に達するとも思われる。データは4000ドルないし約0.5ビットコインで売られている。その闇サイトのリンクをここに載せるのは控える。

Mixcloudは昨年、メディアを対象する投資企業であるWndrCoから1150万ドルを調達した。その投資ラウンドはハリウッドのメディア事業者であるJeffrey Katzenberg(ジェフリー・カッツェンバーグ)氏がリードした。

このところ著名企業の不正アクセスが相次いでいるが、これはその中でも最新の事件だ。盗んだデータを売っているのは同じ闇サイトで、スニーカーや衣料品のオンラインストアであるStockXへの不正アクセスについてもTechCrunchに警告してきた。StockXは当初、システムアップデートのための全顧客のパスワードリセットしたと表明していたが、その後ハッキングされたことを認めて400万件あまりのデータが流出したことを明らかにした。TechCrunchは盗まれたデータの一部を入手した

Mixcloudのプレス用メールアドレスへ問い合わせたが、メールは宛先不明で戻ってきた。同社のPR代理店に問い合わせたところ、すでにMixcloudとは契約していないとのことだった。MixcloudのスポークスパーソンであるLisa Roolant(リサ・ルーラント)氏はコメントを差し控えた。

ロンドンの企業なので、Mixcloudは英国とヨーロッパのデータ保護規則に従う。ヨーロッパのGDPRの規則に違反すると、年商の最大4%を罰金として払わなければならない。

関連記事
フードデリバリーのDoorDashが490万人の個人情報流出を確認
常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
米百貨店大手Macy’sが昨年に続きデータ漏洩

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Amazonのドアベル「Ring」にWi-Fiのパスワードが盗まれる脆弱性が見つかる

セキュリティの研究者たちが、接続されているWi-Fiネットワークのパスワードを露呈するAmazonのドアベル「Ring」の脆弱性を発見した。

Bitdefenderによると、Amazonのドアベルは、それがローカルネットワークに加わったときにオーナーのWi-Fiパスワードを平文のテキストで送信する。近くにいるハッカーはそのWi-Fiパスワードを横取りしてネットワークにアクセスし、重大な攻撃や盗聴行為などを仕掛けることができるだろう。

Bitdefenderによると「デバイスを最初に構成するとき、スマートフォンのアプリはネットワークの認証情報を必ず送信する。その送信はセキュリティに守られていないし、同じく無保護のアクセスポイントを通る。そのネットワークが動き出したら、アプリはそれに自動的に接続してデバイスを調べ、その認証情報をローカルネットワークに送信する」と説明する。

しかし、これらすべてが暗号化されない接続の上で行われるから、送信されたWi-Fiパスワードはそのまま露呈する。AmazonはRingの脆弱性を9月に直したが、この脆弱性は米国時間11月7日の時点で未公開だ。

このように、スマートホームの技術には相次いでセキュリティの問題が見つかっている。スマートホームデバイスは生活を楽にして家を安全にするために作られているはずだが、研究者たちは、それらが保護するはずのものへのアクセスを許す脆弱性を、次から次と見つけている。

この前は研究者たちが、人気のスマートホームハブにドアの鍵(スマートロック)を開けさせて、その家に侵入できた。

AmazonのRingについては、法執行当局(警察)が厳しい調査を行っている。GizmodoなどのニュースサイトがRingと警察との密接な関係の詳細を、関連のメッセージングも含めて報じている。今週は、ハロウィーンで何百万ものお菓子をねだる子どもたちを追跡したとRingがInstagramで自慢していたそうだ。

関連記事:Security flaws in a popular smart home hub let hackers unlock front doors(人気のスマートホームハブはハッカーがドアの鍵を開けられる、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

Microsoft(マイクロソフト)によると、同社はイランと関連のあるハッカーたちが2020年の大統領選の候補者を狙っている証拠を見つけた。

この巨大テクノロジー企業のセキュリティ部門のトップTom Burt(トム・バート)副社長が、ブログでその犯行を確認しているが、候補者の名前は挙げられていない。

マイクロソフトがPhosphorous(燐光)と呼ぶその犯行グループは、APT 35とも呼ばれ、マイクロソフトの特定の顧客のメールアカウントを見つける試みを2700回以上行った。バート氏によると、これらのアカウントは大統領選や、現在および前の米国政府職員、ジャーナリスト、そして国外に住むイラン人の有名人などに結びついている。

バート氏によると「4つのアカウントはこれらの試みにより侵犯されたが、この4つは米国大統領選や現在および過去の米国政府職員に結びついていない。犯行は8月と9月に行われた」と語る。

犯行グループはマイクロソフトのアカウントに結びついている第二のメールアカウントにアクセスし、そこからアカウントに侵入しようとした、と彼は言う。犯人が、ユーザーの電話番号を集めてそれらを攻撃しようとしたこともある。バート氏によると、犯行は「技術的に高度なものではなく」て、とにかく「大量の個人情報を利用して」アカウント見つけ、攻撃しただけだ、という。

8月と9月の犯行では、マイクロソフトを電子メールプロバイダーとして使っていた大統領選候補者はドナルド・トランプ氏とマーク・サンフォード氏だけだった。

マイクロソフトのレーダーがPhosphorousを捉えたのは、これが初めてではない。同社はこの犯行グループをすでに訴えており、バックにテヘラン(イラン政府)がいると信じている。今年初めにマイクロソフトは、ハッカーたちが水飲み場型攻撃のために使っていたいくつかのドメインを捉えた。そのハッカー集団は、元米空軍対敵諜報職員Monica Wittと関係があったとも信じられている。彼女は2013年にテヘランに逃れ、今ではスパイ行為の疑いでFBIが追っている

この前のハッカーたちの作戦では、YahooやGoogleのログインページに似せた二要素認証を欺くページで、学者やジャーナリストをねらったスピアフィッシング(Spearphishing、特定ターゲットに対するフィッシング)を展開した。

マイクロソフトによると、これまで同社は、国家が背後にいる犯行に関して800件あまりの通知を行った。そのユーザーたちは、政治的キャンペーンを対象とする同社のアカウント監視サービスで保護されていた。

関連記事:マイクロソフトがイランのハッカーのドメイン差し止め命令を連邦裁判所からゲット

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキーをYubicoが発売

発表から2カ月近くも経った米国時間8月20日、YubicoがYubiKey 5Ciを発売した。これは、iPhoneやMacと、そのほかのUSB-C対応デバイスの両方をサポートするセキュリティキーだ。

最新のYubiKeyは、対応機種を広げようとしている同社の努力の一環でもある。その最初の成果は、1つのデバイスでApple(アップル)のiPhoneとiPad、そしてMacBookをサポートした。そして6月に同社は、特にApple以外の製品も使っているAppleユーザーのために、複数のプラットホームに対応するセキュリティキーを発表した。

そのセキュリティキーはキーリングに収まるほど小さくて、ネット上のアカウントにログインするときにはキーをデバイスに挿入すると、ユーザー本人が認証される。GmailもTwitterもFacebookも、この小さなデバイスをユーザー名とパスワードの後で使うニ段階認証用にサポートしている。ふつうのニ段階認証では、ユーザーの携帯に送られてくる短いコードを入力するが、セキュリティキーはそれよりもずっと強力な認証の仕組みだ。

だからセキュリティキーはほとんど全勝不敗のセキュリティとも呼ばれ、どこかの国家がやってるのも含めて、いろんな攻撃からユーザーを護る。

YubicoのチーフソリューションオフィサーJerrod Chong(ジェロッド・チョン)氏によると、今回の新しいセキュリティキーは「モバイルの認証システムが抱えている重要なギャップを埋める」という。特にユーザーが複数のモバイルデバイスを使ってる場合は、有効なセキュリティキーはそれ1つしかないから安全度が高い。

この新しいキーは、1PasswordやLastPassのようなパスワードマネージャーと一緒に使えるし、またセキュリティキーによる認証をサポートしているBraveのようなブラウザーでも使える。

関連記事
Cybersecurity 101: Two-factor authentication can save you from hackers(ニ段階認証はあなたをハッカーから護る、未訳)
サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Googleの調査データが2段階認証の対ハッカー防御効果を実証

何が最良のセキュリティ対策か、という質問をよく受ける。

長い答は「どんな脅威かによるね」だ。圧倒的多数の人々にとっての最良のセキュリティ対策は、核科学者や政府の諜報部員が必要としているようなレベルのものではない。

短い答は「2段階認証を使いなさい」で足りる。でも、誰も信じようとしない。

でも、サイバーセキュリティのプロなら誰もが、ユニークなパスワードや強力なパスワードを使うよりもそのほうが重要と言うだろう。2段階認証は、通常のログインプロセスよりもやることがひとつ増えて、ユニークなコードをユーザーが持っているデバイスに送ってくる。でもそれは、あなたのアカウントのデータを盗もうとするハッカーに対する最強の防御だ。

ぼくのこんな言葉よりいいものがある。Googleが今週発表したデータは、貧弱でシンプルな2段階認証ですら攻撃に対して強いことを示している。

ニューヨーク大学とカリフォルニア大学サンディエゴ校が協力したその研究によると、テキストメッセージやデバイス上のプロンプトなど、デバイスベースの認証要素(認証コード)は、どんな種類のよくある大規模攻撃に対しても防御力が強いという結果だ。

Googleのデータは、2段階認証のコードとしてスマートフォンに送られてきたテキストメッセージは、盗んだパスワードをログインページで使おうとする自動化ボットを100%防げたことを示している。またパスワードを盗もうとするフィッシング攻撃の96%を防げた。

アカウント乗っ取りの犯行タイプ/対象別防止率(画像提供:Google)

2段階認証には、いろんなやり方がある。前に説明したように、テキストメッセージで送られてくる2段階認証のコードはハッカーが横取りすることもありえるが、2段階認証を使わないよりずっといい。認証アプリ経由で送られてくる2段階認証コードは、さらに安全だ。

機密性の高いアカウントを護るセキュリティキーなら、自動化ボットとフィッシング攻撃の両方を防げるが、国家が犯行に絡んでいるようなターゲットを絞った攻撃には、やられることがある。でもそんな攻撃に遭うのは100万人に一人ぐらいだとGoogleはコメントしている。

それ以外の普通の人なら、アカウントに電話番号を加えておいたら、その電話へのテキストメッセージで簡単な2段階認証コードが送られてくるという方式でも、ないよりはずっとましだ。専用アプリなら、もっといいのだが。

乗っ取られなかったあなたのアカウントは、あなたの苦労に感謝するだろう。

関連記事: Cybersecurity 101: Two-factor authentication can save you from hackers(2段階認証がハッカー被害を防ぐ、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

データを暗号化するフラッシュドライブeyeDiskは簡単にハックできた

セキュリティの世界に「ハックできないもの」はない。むしろ、そう主張されるものはすべて研究者たちにとって、じゃあハックしてやろうというチャレンジだ。

英国のサイバーセキュリティ企業Pen Test Partnersの最新のプロジェクトは、自称アンハッカブル(unhackable、ハックできない)USBフラッシュドライブと言われているeyeDiskを丸裸にすることだった。そのデバイスは、目の虹彩を認識してアンロックし、デバイスの暗号を解く。

昨年のKickstarterキャンペーンで2万1000ドルあまりを集めたeyeDiskは、3月にそのデバイスを発売した。

しかし1つだけ問題があった。それが、アンハッカブルでないことだけは確かだった。

Pen Test Partnersの研究員David Lodge氏は、そのデバイスのバックアップパスワードを見つけた。デバイスのエラーや、目を怪我したときなどにデータにアクセスできるためだが、あるソフトウェアツールを使ってUSBデバイスのトラフィックをダンプすれば、そのパスワードは簡単に見つかった。

秘密のパスワード「SecretPass」がプレーンテキストで見える(画像提供:Pen Test Partners)

彼は、自分の発見を詳細に述べているブログ記事でこう言っている。「上の図の中で、赤で囲った部分が、ぼくがデバイスにセットしたパスワードだ。誰でもできる盗視だね」。

さらにまずいのは、正しくないパスワードを入力してもデバイスの本当のパスワードが分かることだ。彼の説明によると、デバイスは自分のパスワードを見せてから、ユーザーが入力したものと対比し、それからアンロック用パスワードを送る。だから、でたらめを入力しても本物のパスワードがわかる。

Lodge氏によると、このようなデバイスを使うときは、暗号化を自分でもう一度することが必要だ。

欠陥をeyeDiskに教えたら、直すと約束したが、それはまだリリースされない。この問題にコメントを求めたが、eyeDiskからの返事はない。

関連記事: 常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

画像クレジット: eyeDisk

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

英国はファーウェイを5Gサプライヤーにすることに難色

【抄訳】
中国の通信機器ベンダーの関与が国のセキュリティにリスクをもたらすとの懸念にもかかわらず、イギリスの政府は、同国の5Gネットワークの一部の中核的でない部分に関してファーウェイ(Huawei)をサプライヤーとして認めることになった。しかし政府の記者発表によれば、ネットワークの中核的な部分からは除外される。

米国時間4月23日の国家安全保障会議の会合における英国メイ首相の決定を今朝のテレグラフ紙が報じた。同紙によると、複数の閣僚が彼女のアプローチに懸念を表明した。それらは、内務大臣と外務大臣、防衛大臣、通商大臣、国際開発大臣である。

FT(フィナンシャル・タイムズ)は、英国の5Gネットワークへのファーウェイの関与に厳しい制約を課すのは、閣僚たちが提起した懸念のレベルが高いことを反映している、と報じている。

5Gによる次世代ネットワークの構築にファーウェイの部分的関与を許すというメイ首相の黃信号的決定の1か月前には、英国監督機関がこの中国企業のセキュリティへのアプローチを評価して厳しい報告書を提出したばかりだ。

ファーウェイ・サイバーセキュリティ評価センター監督委員会(Huawei Cyber Security Evaluation Centre Oversight Board)の第5次年次報告書は、同社のソフトウェアエンジニアリングとサイバーセキュリティの能力には「深刻かつ意図的な欠陥がある」と酷評している。

監督委員会はしかし全面的な禁令を促すことはせず、「英国の重要なネットワークへのファーウェイの関与が国のセキュリティにもたらすすべてのリスクは、長期的には十分に軽減できる、という限定的な確証しか提供できない」と言うにとどめている。

しかし2月にブリュッセルで行われたサイバーセキュリティカンファレンスで英国の国家サイバーセキュリティセンター(National Cyber Security Centre, NCSC)のCEOを務めるCiaran Martin氏は、ファーウェイがもたらすいかなるリスクでも英当局は軽減できる、と確信を述べた。

【中略】

オックスフォード大学のサイバーセキュリティ専門家Lukasz Olejnik博士はこう言う。「これ(ファーウェイの部分的認可)は、そろそろファーウェイ問題にけりをつけたいと願っている政府の、とりあえずまあまあの落とし所だから、別に意外ではない」。

【中略】

しかし、ファーウェイには手を出させない、ネットワークの中核的部分とは何なのか、その定義が難しそうだ。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告

米国の国土安全保障省のサイバーセキュリティ部門が発行した警告によると、企業用のVPN(Virtual Private Networking、仮想非公開通信網)アプリケーションの一部には、セキュリティ関連のバグにより、遠方からアクセスした犯人が会社の内部的ネットワークに侵入できるものがある。

カーネギーメロン大学の脆弱性開示センターCERT/CCの一般公開開示を受けて米国時間4月12日には、国のCybersecurity and Infrastructure Security Agencyが警告を発行した

Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。これらは消費者ユーザーがプライバシーを護るために従来から利用してきた消費者向けVPNアプリケーションではなく、遠方の社員らが会社のネットワーク上のリソースにアクセスできるために、通常は企業のITスタッフが設置する企業向けVPNアプリケーションだ。

これらのアプリケーションはユーザーのパスワードからトークンを作り出し、ユーザーのコンピューターに保存してユーザーをログイン状態に保ち、彼らが毎回パスワードを入力しなくてもよいようにする。しかしそのトークンが盗まれると、ユーザーのアカウントにパスワード不要でアクセスできるようになる。

マルウェアなどを利用してユーザーのコンピューターにアクセスした犯人は、トークンを盗み、それらを使って、そのユーザーと同じ授権レベルで企業のネットワークにアクセスできる。つまり会社のアプリケーションやシステム、データ等にアクセスできる。

今のところ、Palo Alto Networksのみが、同社のGlobalProtectアプリケーションが脆弱であることを確認している。同社は、WindowsとMacの両クライアント向けにパッチを発行した

CiscoとPulse Secureはアプリケーションをパッチしていない。F5 Networksは、トークンの不正な保存を少なくとも2013年から知っていたが、パッチをリリースする代わりに、二要素認証の利用をユーザーに勧めているそうだ。

CERTの警告によると、同様の欠陥はそのほかの数百ものアプリケーションにある、とされるが、それらを確認するテストはこれからの課題だ。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

今年、研究者たちがIntel, AMD, そしてARMのチップに、設計上の根本的な弱点を見つけたときには、今の世代のコンピューターのプロセッサーのほとんどすべてに対し、極刑が求刑されたようだった。その設計ミスによって、コンピューターのメモリーから機密データを盗むことが可能だからだ。

そのMeltdownおよびSpectreと呼ばれる脆弱性は1995年まで遡(さかのぼ)り、アプリケーションがシステムのメモリーの、自分にパーミッションのない部分にアクセスできないようにしている壁に穴を開けた。それにより有能なハッカーは、パスワードや暗号鍵などの機密データが保存されている場所を見つけることができる。多くの企業がその欠陥の一部を緩和してきたが、真の長期的な解決は、コンピューターのプロセッサーの設計の最初からのやり直しであることも知っていた。

このたび、MITのComputer Science and Artificial Intelligence Laboratory(CSAIL)の研究者たちが、将来にわたって、MeltdownやSpectreのような欠陥を防止できる方法を見つけた。

アプリケーションが何かをメモリーに保存したくなったら、置くべき場所をプロセッサーに尋ねる。しかしメモリーの探索は遅いので、プロセッサーは“speculative execution”(投機実行)と呼ばれるトリックを使って、複数のタスクを同時に動かし、正しい空きメモリーを探そうとする。しかし悪質なハッカーは、その同じテクニックを使って、アプリケーションが自分に許されていない場所のメモリーから読めるようにする。

MITのCSAILによると、彼らのテクニックはメモリーを分割することによって、データが同じ場所に保存されないようにする。それを彼らは、“secure way partitioning.”(安全な方法によるパーティショニング)と呼んでいる。

彼らはこの方式をDAWG、“Dynamically Allocated Way Guard”(ガードを動的に割り当てる方法)と名付け、それは滑稽な名前のようにも聞こえるが、IntelのCache Allocation Technology, CAT(キャッシュ割り当て技術)を補完する意味を持つ。彼らの研究論文によると、DAWGはCATと同じような仕事をし、使うにあたってデバイスのオペレーティングシステムの変更箇所も少ない。したがって、Meltdownのフィックスとして問題のコンピューターにインストールするのも容易である。

ペーパーの著者の一人Vladimir Kirianskyによると、このテクニックは“共有が起きるべきところと、起きるべきでないところとの、明確な境界を確立し、機密情報を扱うプログラムがそのデータをまあまあ安全に保てるようにする”。

この技術は通常のコンピューターを保護するだけでなく、クラウドの脆弱なインフラストラクチャも保護できる。

DAWGはすべての投機的攻撃を防げるわけではないが、今研究者たちは技術の改良に取り組んでおり、すべての攻撃ではないものの、これまでよりも多くの攻撃を防げるようになる、と言っている。

しかし彼らの技術を実際にIntelなどのチップメーカーが採用すれば、DAWGのようなテクニックは“パブリッククラウドのインフラストラクチャに対する信頼を再興し、ハードウェアとソフトウェアの共同設計によりパフォーマンスのオーバヘッドも最小化できる”、という。

〔関連記事: スペクター! メルトダウン! カーネル・パニック!――今回の脆弱性はほぼ全員に影響が及ぶ。〕

Kernel panic! What are Meltdown and Spectre, the bugs affecting nearly every computer and device?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

カリフォルニア州でデバイスのデフォルトパスワードを禁ずる法律が成立

良いニュースだ!

California州が2020年から、すべての新しい消費者電子製品に、“admin”, “123456”, あるいは古くからお馴染みの“password”といった、デフォルトのパスワードを設けることを禁ずる法律を成立させた。

その法律によると、ルーターやスマートホーム製品など、同州で生産されるすべての新しいガジェットは、最初から“リーズナブル”なセキュリティ機能を持っていなければならない。とくにパスワードについては、各デバイスが、あらかじめプログラミングされたユニークな(他機と共通でない)パスワードを持っていなければならない。

また、新しいデバイスはどれも、ユーザーがデバイス固有のユニークなパスワードを入力してそれを最初に使用するとき、新しいユーザー固有のパスワードの設定を求め、その設定を終えたあとにのみ、最初のアクセスを認めるものでなければならない。

何年も前から、ボットネットたちが、セキュリティのいい加減なデバイスを利用して、大量のインターネットトラフィックでサイトを襲撃してきた。その大量のトラフィックによる攻撃は、分散型サービス妨害攻撃(distributed denial-of-service, DDoS)と呼ばれている。ボットネットが目をつける‘いい加減なセキュリティ’の典型が、デバイスに最初から設定されている、そしてユーザーがそれを変えることもない、デフォルトパスワードだ。上に例を挙げたような、よく使われるデフォルトパスワードは、そのリストがどこかに公開されているので、マルウェアはそれらを利用してデバイスに侵入し、そのデバイスをハイジャックする。そして、ユーザーの知らないうちにそのデバイスは、サイバー攻撃の道具にされてしまう。

2年前には、Miraiと呼ばれる悪名高きボットネットが、何千台ものデバイスを悪用してDynを攻撃した。Dynは、多くの大型サイトに、ドメインネームサービス(DNS)を提供している。DDoSでDynが麻痺してしまうと、これに依存しているサービスに誰もアクセスできなくなる。被害サイトの中には、TwitterやSpotify, SoundCloudなどもいた。

Miraiは、比較的単純素朴な、しかし強力なボットネットで、デフォルトパスワードを悪用していた。今度の法律でデフォルトパスワードというものがなくなれば、このタイプのボットネットは防げるが、でもセキュリティの問題はほかにもたくさんある。

もっと高度なボットネットは、パスワードには見向きもせず、個々のIoT(物のインターネット)デバイスの脆弱性につけこむ。その典型的なデバイスは、スマート電球、アラーム、家庭用電子製品などだ。

IT評論誌The Registerの指摘によると、今回のカリフォルニア州法は、バグが見つかったときのソフトウェアのアップデートを、デバイスのメーカーに義務付けていない。大手のデバイスメーカー、Amazon、Apple、Googleなどはソフトウェアを常時アップデートしているが、無名に近いブランドの多くはやっていない。

しかし、そんな現状でも、この法律は、何もないよりましである。今後もっともっと、改定していただきたい。

[下の引用記事(未訳)の関連記事]

Large DDoS attacks cause outages at Twitter, Spotify, and other sites

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

今週出たトランプ政権の新しいサイバー戦略は、これまで検討されていた方針の寄せ集めにすぎない。

その40ページの文書で政府は、サイバーセキュリティーの向上、変化の促進、そしてコンピューターのハッキングに関する法改正の計画を述べている。選挙のセキュリティについては、ほぼ1/4ページで、“宇宙のサイバーセキュリティー”の次に短い。

変わったのは語調だ。アメリカを攻撃する人物や国に対する軍事攻勢の言及はないが、その行為に対する結果が課せられる(imposition of consequences)という、反撃を意味する遠回しな言い方が何度も使われている。

国家安全顧問John Boltonは、記者たちにこう述べている: “大統領の指示はこれまでの抑制を逆転して、実質的に、関連部門からの攻撃的なサイバー作戦を可能にするものだ”。

“われわれの手は、オバマ政権のときのように縛られていない”、とBoltonは前政権を暗に批判した。

古い政策や原則の焼き直し以上に大きな変化は、オバマ時代の大統領指令PPD-20の破棄だ。それは、政府のサイバー武装に制約を課していた。それらの機密規則は1か月前に削除された、とWall Street Journalが報じている。そのときの説明では、現政権の方針として、“攻撃の最優先”(offensive step forward)という言葉が使われた。

言い換えるとそれは、サイバー攻撃の実行者とみなされたターゲットに反撃する、より大きな権限を政府に与える。近年、アメリカに対するサイバー攻撃が疑われているのは、ロシア北朝鮮、そしてイランだ。

現実世界であれ、サイバー空間であれ、軍事的アクションの脅威を強調し、力の使用を掲げるレトリックはどれも、緊張を高めるとして批判されてきた。しかし今回は、誰もそれを嫌わない。トランプ政権の熱烈な批判者であるMark Warner上院議員ですら、新しいサイバー戦略には“重要かつ、すでに確立しているサイバーセキュリティの優先事項が含まれている”、と言っている。

北朝鮮によるWannaCryの使用や、ロシアの偽情報キャンペーンなど最近の脅威に対してオバマ政権は、対応が遅くて腰が引けている、と批判されてきた。しかし前政権の職員たちの一部は、外国のサイバー攻撃に対する積極的な対応を阻害してきたものは政策ではなく、各省庁に有効な対応を講じる能力がないことだ、と反論している。

前政権でサイバー政策の長官だったKate Charletは、“彼らの大げさなレトリックも、それが作戦のエスカレーションを意味しているのでないかぎり、許される”、と言う。

彼女は曰く: “私が痛いほど感じるのは、各省庁レベルにたまっているフラストレーションだ。彼らは自分たちが、サイバー空間において自分たちの組織とアメリカを守るためのアクションが取れないことに、苛立っている。そのときから私が心配していたのは、振り子が逆の極端な方向へ振れることだ。そうなると粗雑な作戦のリスクが増え、鋭敏で繊細な感受性どころか、フラストレーションがさらに増すだけだろう”。

トランプの新しいサイバー戦略は、語調が変わったとはいえ、レトリックを積み重ねているだけであり、政府が一夜にして突然、好戦的になったわけではない。より強力な反撃ができるようになったとはいえ、本来の目的である抑止力として十分機能すれば、実際に反撃をする機会もないだろう。

Facebook, Twitter: US intelligence could help us more in fighting election interference

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Western Digitalのパーソナルクラウドにパスワード回避の欠陥

人気のクラウドストレージドライブに脆弱性が見つかったことをセキュリティー研究者が公表した。メーカーは一年以上セキュリティーパッチを発行していない。

Remco Vermeulenは、Western DigitalのMy Cloudデバイスに権限昇格バグがあることを発見した。アタッカーはドライブの管理者パスワードを回避してユーザーデータの「完全制御」を得ることができる。

この欠陥は、ドライブのウェブベースのダッシュボードがユーザー認証を適切に行わず、本来高いレベルの権限が必要なツールへのアクセスをアタッカーに与えるために発生する。

バグは「容易に」利用できる、とVermerlenはメールでTechCrunchに語った。My Cloudデバイスがインターネット経由のリモートアクセスを許可していれば、遠隔地からも侵入可能になる——数万台のデバイスが許可している。彼はこの脆弱性利用の概念実証ビデオをTwitterで公開した。

バグの詳細は、別のセキュリティーチームも別途発見しており、独自の侵入コードを公開している。

Vermerlenはこのバグを1年以上前の2017年4月に報告したが、会社は応答を中止したという。一般に、セキュリティー研究者は90日間の回答猶予期間を企業に与えており、これは業界で受け入れられている「責任ある公開ガイドライン」に沿っている。

彼は、WDがその後My Cloudのファームウェアをアップデートした際、彼の見つけた脆弱性が修正されていないことを知り、問題の公開に踏み切った。

一年後も、WDはまだパッチを発行していない。

同社はこの脆弱性を認識していることを認めたが、なぜ修正に一年以上かかったかについては語っていない。「現在、報告された問題を解決するファームウェアアップデートの日程調整を行っている」と広報担当者は言った。時期は「数週間以内」になるという。

WDは、同社のMy Cloud製品のうち、EX2、EX4、およびMirrorには脆弱性があるが、My Cloud Homeにはないと言っている。

現時点で修正方法は存在せず、ユーザーがデータの安全を確保したければ「ネットワークから切り離す」以外に方法はない。

[原文へ]

(翻訳:Nob Takahashi / facebook

米国2020年国勢調査システムは、セキュリティー問題が山積み

国勢調査まで2年を切った今、国勢調査局はサイバーセキュリティー問題を抱えている。

これは、議会の番犬とも言われ、政府の歳出を監視する政府説明責任局が木曜日(米国時間8/30)に発行した最新レポートの中で最大の注目事項だ。超党派からなる同局によると、国民を危険に陥れる数千ものセキュリティー脆弱性を、政府の国勢調査局が修復するための時間は数ヶ月しか残っていないと言った。

10年に1度実施される国勢調査は、政府が国民に関するデータを収集するために行われる。

2020年の国勢調査に先立ち、調査局は国民がインターネットを通じて意見を送るための新しいオプションに必要な、44件の重要システムのテストを開始した。これは政府が数十億ドルの費用削減を見込むしくみだ。

2年にわたる2019年4月に完了予定のこのテストでは、3100件のセキュリティー問題と脆弱性が見つかったと報告書に書かれている。

全体では、43件のセキュリティー問題が「高リスク」あるいは「非常に高リスク」に分類され、これはパッチされていないシステムには既知の侵入方法に対して脆弱性があるという事実を裏付けている。

「2020年国勢調査では個人情報を全国数千万世帯から集めることになるため、調査局はシステムセキュリティ問題への時宜を得た対策を講じて、システム公開までにリスクを許容水準に抑える必要がある」と報告書は指摘している。

報告書によると、44件の中核システムのうち33件は2020国勢調査での運用が承認されたが、8件は大幅な修正のあと再認可を受ける必要がある。調査の運用に不可欠な3件のシステムはまだ認可されていない。

これらの認可は、当局がシステムのセキュリティーを評価した結果付与されるもので、政府事業の運営上必須となっている。認可が与えられた後もこれらのシステムは、リスクレベルが「許容水準」を維持するべく監視を受ける。

しかし調査局がこれらの問題を解決する時間はなくなりつつある。

「国勢調査局はシステム開発とテストで発生した問題による遅れのためにセキュリティーテストの時間が逼迫している」と報告書にかかれている。「調査局はセキュリティー調査に十分な時間を確保し、システム公開までにリスクを確実に許容レベルにすることが重要だ」。

政府説明責任局は、国勢調査局は93件の勧告のうち61件を実施し、32件については初期作業に取りかかったところだと話した。

国勢調査局の広報担当者は報告書以外のコメントを出していない。

[原文へ]

(翻訳:Nob Takahashi / facebook

エンタープライズG Suiteのアドミンのセキュリティ能力を高度化するツールをGoogleが提供

今日(米国時間7/24)行われたGoogleのCloud Nextカンファレンスでは、G Suiteのアップデートが数多く発表され、その多くはユーザー体験にフォーカスしていたが、それに加えて、アドミンのための新しいセキュリティ調査ツールも紹介された。それはセキュリティの問題を防止ないし検出するための既存のツールを補うもので、G Suiteセキュリティセンターを一層強化することがねらいだ。

G Suiteのプロダクトマネージャ担当VP David Thackerは、次のように語る: “G Suiteのセキュリティセンターの全体的な目標は、アドミニストレーターに、彼らが防止し検出しなければならないものが見えるようにして、セキュリティ問題の解決を促すことだ。今年の初めには、このセキュリティセンターの主要部位を立ち上げて、アドミンによる防止と検出という課題に向けて足場を作った”。

そのツールセットは今回で第三世代となるが、それは、直面している脅威をアドミンがよく理解し、その対策がよく分かっているようにすることが目標だ。Thackerによると、そのためにアナリストとアドミンは多くのさまざまなデータに対し高度なクェリを発行して侵犯されたユーザーを同定し、実際に起きたことを正確に調べられるようになる。このツールによってさらにアドミンは、特定のファイルへのアクセスを遮断したり、悪意あるメールを削除したりできる。“そのためにログを分析したりする必要はない。それをやるためには、長時間かけて複雑なスクリプトを書いたり動かしたりしなければならないからね”、とThackerは言っている。

この新しいセキュリティツールは、G Suite Enterpriseの顧客のEarly Adopter Programとして利用できる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。

KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。ユーザーがLinkedInを訪ねようとしたら、一字違いの“LunkedIn.com”のページを送ってログインさせ、パスワードと認証コードを捉える。そしてそれらを使って本物のサイトにアクセスしたハッカーは、セッションクッキーを入手する。そのあとハッカーは、いつまでもログインできる。これは要するに、一回かぎりの2FAコードを使って偽のログインをし、データを盗むのだ。〔*: Mitnickの著書。〕

“Kevinの友だちのホワイトハットハッカー(white hat hacker, 犯罪行為をしない研究者的ハッカー)が、ソーシャルエンジニアリングの巧妙なやり方で二要素認証をバイパスするツールを開発し、それを使うとどんなサイトでも破れる”、とKnowBe4のCEO Stu Sjouwermanは語る。“二要素認証はセキュリティの層を一つ増やすが、でもそれだけで企業を守ることはできない”。

ホワイトハットハッカーのKuba Gretzkyが作ったそのevilginxと呼ばれるシステムは、彼のサイトに詳しい技術的説明がある。

Sjouwermanによると、セキュリティ教育の中でもとくに重要なのがフィッシング対策であり、被害者がセキュリティについてよく知り、メール中のリンクをクリックすると危険!と知っていたら、このようなハックは成功しない。そのことをぼくに教えるために彼は、本誌ライターのMatt Burns(matt@techcrunch.com)が、記事中の誤字について述べているメール(偽メール)を送ってきた。そのメールにあるリンクをクリックしたらリダイレクトサイトSendGridへ連れて行かれ、そこからTechCrunchに放り込まれた。しかしそのペイロードは、きわめて悪質だった。


そしてSjouwermanは曰く、“これで分かったと思うが、今や新しいセキュリティ意識が必要であり、とくにフィッシングをシミュレーションで体験することが重要だ。なぜなら、防衛ラインの最後尾を固めているのはソフトでもハードでもなく、人間だからだ”。

彼の予想では、この偽メールを使ったテクニックが数週間後に流行(はや)って、ユーザーとIT管理者はセキュリティのためのプロトコルを強化せざるをえなくなるだろう、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ハードウェアの設計にセキュリティの欠陥を見つけるTortuga Logicが$2Mを調達

システムのセキュリティをチップのレベルで担保することを目指すTortuga Logicが、Eclipse Venturesから200万ドルのシード資金を獲得した。パロアルトに本社を置く同社は、その資金で、コンピューターのハードウェアに人知れず潜む脆弱性を見つける製品を作りたい、と志向している。

ファウンダーのDr. Jason Oberg, Dr. Jonathan Valamehr, UC San Diego教授Ryan Kastner, UC Santa Barbara教授Tim Sherwoodらは全員、システムのセキュリティに関して数十年の経験があり、その知見の商用化(企業化)にあたってはNational Science Foundationから助成金が出ている。

“ソフトウェアによるセキュリティ製品やセキュリティ企業は世界中にたくさんあるが、自動運転車の登場やモバイルデバイスの複雑性の増大、それに、とくに軍用製品におけるサプライチェーンの信頼性の問題などにより、セキュリティ技術の大きな欠陥が拡大しつつある。その大きな欠陥とは、具体的にはハードウェアだ”、とObergは語る。

ソフトウェアによるセキュリティは、高価なDSLRカメラ上のダストセンサーみたいなものだ。しかし同社のシステムは、ハードウェア本体の上の欠陥を感知し、ハードウェアのセキュリティホールをさまざまなソフトウェアが悪用することを防ぐ。

“ハードウェアの脆弱性はこれまでまんまと悪用されて、現代のコンピューターシステムを完全に骨抜きにしてきた”、とObergは語る。“すでに発売され、場合によっては悪用されたこともあるセキュリティの脆弱性を修復しようとすると、とんでもない費用がかかる。ソフトウェアと違ってハードウェアはパッチができないから、リコールのような高価なソリューションしかない場合が多い”。

同社は、そんなセキュリティを“後知恵”(あとぢえ)と見なし、危険性の高いセキュリティホールにあらかじめ(設計段階で)パッチを当てることにより、システムのセキュリティを大幅にアップできる、と主張する。

そのために同社が売っているのが、“半導体の設計のあらゆる部分にセキュリティの脆弱性を見つけるための一連のハードウェア設計ツール”で、すでに航空宇宙や国防の分野に顧客がいる。

“一般的なセキュリティ企業に対する弊社の差別化要因は、弊社はソフトウェアではなく、システムの内部で使われているチップにフォーカスすることだ”、とObergは述べる。“大企業が一時的な社内チームを作って、ハードウェアのセキュリティの問題解決に当たらせると、ほとんど何もかも手作業になるだろう。それに対して弊社は、技術と知識の蓄積を活かして脆弱性発見の過程を自動化できる”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa