タグ: computer security

新たに発見されたBluetoothの脆弱性はスマートフォンを10秒で乗っ取られる

セキュリティ企業のArmisが8つのエクスプロイトを見つけ、まとめてBlueBorneと名付けた。それらを利用すると、スマートフォンの本体に触ることなくアクセスして攻撃できる。スマートフォンだけでなく、Bluetoothを使っているコンピューターやIoTなどにも、同じ弱点がある。

Armisは、Bluetoothを使っているさまざまなプラットホームに、もっと多くの脆弱性がある、と考えている。これらの脆弱性は常時機能しており、したがって攻撃がつねに成功することを、Armisはデモで示した。アタックベクタBlueBorneは、コードのリモート実行や中間者攻撃など、大規模な犯行にも利用できる。

SeguruのCEO Ralph Echemendiaは語る: “BlueBorneはどんなデバイスでも被害者にしてしまう。Bluetoothがブルーでなくブラックになってしまう。この件では、セキュリティのための(システムの)手術が必要だろう”。

このビデオでお分かりのように、これらのエクスプロイトによりハッカーはデバイスを見つけ、Bluetoothで接続し、画面とアプリをコントロールしはじめる。ただしそれは、完全にお忍びではない。エクスプロイトを利用するとき、デバイスを“起こして”しまうからだ。

この複雑なアタックベクタは、ハックするデバイスを見つけることから仕事を開始する。そしてデバイスに自分の情報を開示させ、かつて多くのWebサーバーにパスワードなどをリモートで表示させた“heartbleedにとてもよく似た手口で”、キーとパスワードを盗む。

次は一連のコードを実行してデバイスの完全なコントロールを握る。研究者たちはこう書いている: “この脆弱性はBluetooth Network Encapsulation Protocol(BNEP)にあり、Bluetoothによる接続(テザリング)でインターネットの共有を可能にする。BNEPサービスの欠陥によりハッカーはメモリを破壊し、デバイス上でコードを実行できるようになる。それ以降デバイスは、完全に犯人のコントロール下にある”。

次にハッカーは、デバイス上のデータを“中間者攻撃”でストリーミングできるようになる。

“その脆弱性はBluetoothスタックのPANプロフィールにあり、犯人は被害者のデバイス上に悪質なネットワークインタフェイスを作れるようになり、IPルーティングの構成を変えて、デバイスがすべての通信をその悪質なネットワークインタフェイスから送信するよう強制する。この攻撃には、ユーザーの対話的アクションや認証やペアリングを必要としないので、ユーザーにとっては実質的に不可視である。

WindowsとiOSのスマートフォンは保護されており、Googleのユーザーは今日(米国時間9/12)パッチを受け取る。Androidの古いバージョンやLinuxのユーザーは、安全ではない。

安全を確保するためには、デバイスを定期的にアップデートするとともに、古いIoTデバイスの使用をやめること。大手企業の多くがBlueBorneベクタに関連した問題のほとんどにすでにパッチを当てているから安心だが、マイナーなメーカーが作ったデバイスは危ないかもしれない。

Armisはこう書いている: “ネットワークを利用する新しい犯行には、新しい対策が必要だ。既存の防備が役に立たないこともある。また消費者や企業向けに新しいプロトコルを使うときには、事前に十分な注意と調査が必要だ。デスクトップとモバイルとIoTを合わせたデバイスの総数は増加する一方だから、このようなタイプの脆弱性が悪用されないようにすることが、きわめて重要だ”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Apple曰く今度のデベロッパーサービスの事件はバグのせい、セキュリティ侵犯ではない

Appleの説明によると、デベロッパーのアカウントに短時間影響を与えた問題はバグが原因で、一部の説のようなセキュリティの侵犯ではない。

今朝(米国時間9/6)、Appleのシステム上にある一部のデベロッパーのアドレスが、ロシアのある場所に書き換えられた、という報告がいくつか入ってきた。ヒラリー・クリントンの選挙参謀のメールアカウントのハッキングをはじめとして、最近はロシアを悪者視する風潮もあるため、今回のその事件も、アクセス権限のない第三者の仕業(しわざ)か、という不安が走った。

[ぼくのチームの全員がロシアで登録している。すごいな。]

しかしAppleは、システムは侵犯されていない、と述べた。

同社はデベロッパーたちに次のような注記を送り、まだ特定されていなかったバグが一時的な問題を起こした、と説明した。被害者はデベロッパー全員ではなく、“一部”だそうだ:

アカウント管理アプリケーションのバグにより、あなたのアドレス情報が、Apple Developer Webサイトのアカウント詳細で一時的に不正に表示されました。被害を受けたデベロッパー全員が、同じ不正なアドレスになりました。原因となったコードレベルのバグは直ちに解決され、あなたのアドレス情報は今では正しく表示されています。セキュリティの侵犯はなく、Apple DeveloperのWebサイトやアプリケーション、サービスなどはいっさい毀損されておりません。また、あなたのApple Developer会員の詳細情報は誰からもアクセスや共有、表示をされておりません。

2013年には、AppleのDeveloper Centerがハックされてまる三日間ダウンしたが、今週の事件はそれの繰り返しではない。でも、ロシアとAppleのデベロッパーの二つが並んで登場することは、一部の人にとって、とてもおもしろいかもしれない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

上水道プラントなど重要な公共施設を人質に取るランサムウェアをジョージア工科大の研究者たちがシミュレート

Aerial shot of factory in Houston, Texas

ジョージア工科大学の研究者たちが、私たちにとって非常に重要なものを攻撃するランサムウェアを作った。その重要なものとは、上水道施設だ。彼らのプログラムは、彼らがモデルとして作った上水道プラントに自分で自分をインストールし、‘犯人’である研究者たちは、塩素の量を変える、水の弁を閉じる、モニタリングシステムに嘘の値を送る、などのことができた。

博士課程の学生でこの研究の共同主導者であるDavid Formbyは語る: “データに危害を加えるだけでなく、制御システムも狂わすような、“高度な”ランサムウェアを作った。それがあれば加害者は水道施設や製造工場のような重要なシステムを人質に取ることができる。彼らは、それらのシステムが使っているPLCを狂わすことをねらうだろう。今回のシミュレーションでは、そんな攻撃を想定した”。

それらの施設のシステムには、妨害を防ぐセキュリティ機構は当然あるが、研究者たちの所見では、インターネットに接続されていて、外部からある程度のいたずらのできるPLCが約1400個あった。たった一つのマルウェアが、それらすべてをハックできるだろう、という。

“何がインターネットに接続されているか、に関して、現場は誤解している”、とFormbyは語る。“オペレーターたちは、システムは外部に対して遮断されているから、外部からコントローラにアクセスできない、と信じている。しかし、よく見ると、どこかに、予期せぬ形で接続があるんだ”。

加害者は、フィッシング攻撃でファイヤーウォールをくぐり抜けることさえできれば、施設全体、工場全体のPLCをインターネットに接続させて狂わせることができる。マシンが今たまたま接続していなくても、接続のための能力さえあれば餌食になる。昔は、あらゆるものをリモートでコントロールすることが夢だったから、そんな時代のレガシーのIoTは、わずかなキーボード操作で簡単に殺せる。可能性としての被害の規模は、おそろしく大きい。

“われわれが今回シミュレートしたのは、システムのそういう脆弱な部分にアクセスして水道施設を人質に取り、身代金(ランサム, ransom)を払わないと水に大量の塩素をぶち込むぞ、と脅すようなハッカーだ”、とFormbyは語る。

研究者たちは今日(米国時間2/13)、サンフランシスコで開かれたRSA関連のカンファレンスで、彼らのやったことを説明している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Yelp、懸賞金付きバグ探しを人材発掘にも活用

yelp-bug-bounty

Yelpは6ヵ月前に懸賞金付きバグ探しを開始して以来、システムの脆弱性を発見したハッカーに1万7000ドル以上の賞金を支払った。しかし、バグ探し懸賞の効果はセキュリティーの改善だけではない。Yelpの幹部によると、プログラムは優れたセキュリティー技術者を呼び、Yelpの正社員になったケースもある。

バグバウンティと呼ばれるこの懸賞プログラムは、現金と引き換えに脆弱性を報告する手段をハッカーに与えることで、システムの欠陥を悪用する代わりに改善に協力するインセンティブを与える。GoogleやFacebook等の大企業は、何年も前から公開バグバウンティー・プログラムを実施しているが、小さな会社では非公開のプログラムで自社製品のセキュリティーを確保しようとすることもある。

関連記事

Hacking the Army
Google's bug bounty program pays out $3 million, mostly for Android and Chrome exploits
HackerOne scores $40 million investment as bug bounty platform growth continues
Yelp invites hackers to expose vulnerabilities through bug bounty program
Appleが待ち望まれていたバグ報奨金プログラムを開始

「今やバグバウンティ・プログラムは必要経費」とYelpの技術担当SVP、Michael StopplemanがTechCrunchに話した。「大企業では一般的になってきているのを見て、脆弱性を悪用する代わりに報告する道を与えるのはよい方法だと感じた。実に建設的なインセンティブだ」。

ただ業界の流行に乗っているだけはない。HackerOneが運用するこの懸賞プログラムは、社員に良い影響を与え、入社希望者に対してYelpがセキュリティーを重視していることを示す役割を果たしている。

「公開バグ探しは開発チームにとって理想的な試金石。セキュリティーの強さ知る一番のテストだ。『うちのドアをノックしても何も見つからないよ』と世間に向かって発信することで、自社技術を信頼していることを市場に訴えられる」とStopplelmanは説明した。「世界水準の技術チームに入りたいと考えているエンジニアへの呼びかけにもなる」。

公開プログラムを実施する前、Yelpは非公開プログラムを2年間行っていた。9月に公開して以来、プログラムは順調に推移している。

  • 30日後:解決バグ22件、賞金 5000ドル、レスポンス時間19時間、解決時間1ヵ月以内。

  • 60日後:解決バグ36件、賞金1万3500ドル、レスポンス時間21時間、解決時間29日。

  • 100日後:解決バグ39件、賞金 1万3850ドル、レスポンス時間24時間以内、解決時間1ヵ月以内。

  • 140日後:解決バグ52件、賞金1万7200ドル、レスポンス時間2日以内、解決時間1ヵ月以内。

「非公開のバウンティの間にバグを修正することができた。セキュリティ全般について以前より確信が持てるようになった」とYelpのセキュリティー責任者、Vivek Ramanは言う。「新機能を公開したときには、ハッカーコミュニティーにはアタックして脆弱性を見つけとほしい」。

Yelpはバグバウンティ・プログラムを今後も続けていく計画で、プロモーションや別のインセンティブでハッカーを引き止めることを考えている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebook、セキュリティーキーを使う安全なログイン手順を提供

shutterstock_229862674

自分のアカウントをハッカーの手に渡したい人などいない。今日(米国時間1/26)Facebookは、アカウントへの侵入を未然に防ぐための新機能を追加した。

Facebookユーザーは、ログイン時の個人認証にセキュリティーキーを使えるようになった。セキュリティーキーを使えば、たとえユーザー名とパスワードを知られたとしても、ハッカーはFacebookアカウントにアクセスすることはできない。

セキュリティーキーとは、二要素認証の一種で、ログイン時の本人証明に新たなセキュリティー要素を追加する。

一般的な二要素認証プロセスでは、ユーザーがユーザー名とパスワードを入力すると、テキストメッセージで認証コードが送られてくる。ユーザーがそのコードを入力することで、アカウントの正式なユーザーであり、ハッカーが盗んだパスワードでログインしようとしているのではないことを証明できる。

しかしこの方法には欠点がある。執拗なハッカーがユーザーの携帯電話のSIMをリセットし、SMSメッセージを横取りすることがある。昨年夏に活動家のディレイ・マッケソンが標的にされたハックで使われた手順だ。

セキュリティーは認証コードをユーザーに送らずに済ませることで、この問題を解決する。Yubico等が製造するキーをUSBポートに挿入すると一回限りの認証コードがワンタッチで生成される。SMSと異なりセキュリティーキーそのものを物理的にアクセスしない限りコードを盗むことはできない。セキュリティーキーは安全性を高めるだけでなく、二要素認証によるログイン手順を少し速くシームレスに感じさせてくれる。テキストメッセージが来るのを待つ必要がないからだ。しかも、テキストメッセージが使えなくてもキーを利用できるので、携帯電話の届かない場所にいても、Facebookアカウントにアクセスできる。

既にGoogleやDropboxのログインにセキュリティーを使っている人は、買い直す必要はない。同じキーを様々なサービスのアカウントで使うこともできる。

Facebookのセキュリティー担当エンジニア、Brad Hillによると、この機能は社内のエンジニアリング部門で既に使っていたので、一般公開は容易だったという。

「われわれは二要素認証を必須だとは考えていない」とHillは説明する。「アカウントのセキュリティーは、ユーザーがどんなテクノロジーを選ぶかによらずわれわれの責任だと思っている。自分を守るために最新技術を使った攻撃にも対抗したい人にとって、これは良い選択肢になるだろう」

残念ながら、ほとんどのモバイル端末にはセキュリティーキーを利用する良い方法がまだない。モバイルでFacebookにログインするとき、ほとんどのユーザーは通常のSMSによる二要素プロセスを使う必要がある(Facebookは、Facebookアプリを通じて認証コードを生成する方法も提供している)。NFC内蔵のAndroid機と最新バージョンのChromeとGoogle Authenticatorを使えるユーザーは、FacebookのモバイルウェブサイトでNFC対応キーを使って個人認証できる。

モバイル端末でセキュリティーキーを使う上でのこの問題は、将来解決するとHillは期待している。現在は一部のAndroidユーザーに限定されているが、今後Androidプラットフォーム上でセキュリティーキーに対応したAPIが増えるだろうとHillは言う。そうなれば他のプラットフォームも追従するだろう。

今すぐセキュリティーを有効にするには、アカウントのセキュリティー設定へ行き[ログイン認証]で「セキュリテー・キーを追加]をクリックすればよい(注:ブラウザーにChromeまたはOperaを使っているユーザーのみ利用できる)。

image001

[原文へ]

(翻訳:Nob Takahashi / facebook

中国の新サイバーセキュリティー法は企業にとって悪いしらせ

shutterstock_101884576

11月7日中国政府は新しいサイバーセキュリティー法を通過させた。これによって同国内で運用するIT企業に対して新たに厳しい要求が課される。新サイバーセキュリティー法には、データの局所化、監視、実名登録の必須化等が盛り込まれている。

新たな規制によって、インスタントメッセージング・サービスを始めとするインターネット企業は、ユーザーに実名を含む個人情報を登録させ、「禁止」されているコンテンツの検閲を行うことが要求される。実名ポリシーは、匿名性に制限を加え、オンラインコミュニケーションの自己検閲を促進する効果がある。

同法は、データの局所化も要求しており、「重要情報基盤の運営者」はデータを中国国境内に保管することを義務づけられる。規制に反対する弁護団体のHuman Rights Watchによると、同法は基盤運用者の定義を明確にしていないため、多くの企業が一くくりに対象とされる可能性がある。

「この法は実質的に中国のインターネット企業と数億人のインターネットユーザーを、国のより強い管理下に置くものだ」とHuman Right Watchの中国支部長、Sophie Richardsonは言った。新たな規制についてHRWは、ほとんどが新しいものではなく、従来から非公式あるいは低レベルの法で定められていたが、高レベルの法として制定されることで厳格な適用につながる可能性があると言っている。

china-domains

検閲の強化に加えて、同法はその名にふさわしくサイバーセキュリティーに新たな要求を課している。企業は「ネットワークセキュリティー事象」を政府に報告し、侵入について顧客に通知する義務を負うだけでなく、当局による捜査中に「技術支援」を行うよう記されている。「技術支援」もまた明確には定義されておらず、暗号解読のバックドアを含め政府の監視への協力を意味している可能性もある。

このサイバーセキュリティー法によって、いくつかのカテゴリーのコンテンツが犯罪とみなされるようになり、「社会主義体制の崩壊」「虚偽情報の捏造あるいは流布による経済秩序の乱れ」あるいは「分離主義の扇動や国の結束を損う行為」を促すコンテンツ等が対象となっている。

「ネットでの言論の自由とプライバシーが、平和的批判に対する中国の姿勢を示す指標であるなら、全員 ― 中国のネット市民や主要グローバル企業を含む ― が危険に曝されることになる。この法が通過することは、ユーザーが重罪に問われることを防ぐ手段がなくなることを意味している」とRicharsonは語った。

[原文へ]

(翻訳:Nob Takahashi / facebook

強力なDDos攻撃アプリケーションMiraiがGitHub上でオープンソース化、逮捕回避のための煙幕か

enterprise-security

KrebsOnSecurityやそのほかのWebサーバーに大きなダメージを与えたボットネットのMiraiは、セキュリティの脆弱なIoTデバイスを利用して、大規模なDoS攻撃を仕掛ける。しかしその作者はこのほど、それのソースコードをGithub上に公開したらしい。

Cで書かれたその短いコードは、IPカメラなどインターネットに接続されたデバイスの上で実行される。rootのパスワードを試行によって探り当て、デバイスに侵入、事前に決めてあったターゲットにトラフィックを送る。試行するパスワードが書かれているコードは、このファイルにある。

screen-shot-2016-10-10-at-10-46-27-am

ハッカーはこのボットネットを使って、620GbpsのDDoSをKrebsOnSecurityへ送った。そこはBrian Krebsのセキュリティに関するブログとして、かねてから人気のサイトだ。そのボットネットは強力ではあるものの、当のIoTデバイスをリブートすれば止まる。また、デバイス側のシステムアップデートにより、被害機は徐々に減っているようだ。コードをHackforumsにポストしたハッカーのAnna-senpaiはこう述べている、“Miraiでは、telnetからだけで最大380k(38万)のボットを取り出していた。でもKrebsをDDoSしてからは、徐々にISPたちがそれらを掃除するようになった。今では最大は300k程度で、しかも減りつつある”。

Krebsはハッカーたちの逮捕を求めており、今回のコード公開は利他的動機によるものではない、と見ている。

彼曰く: “Anna-senpaiがMiraiのソースコードを公開した理由はよく分からないが、利他的な行為ではありえないだろう。悪質なソフトを開発している連中は、警察や警備会社などに居場所を突き止められそうになったら、ソースコードをばらまいて煙幕を張る。公開して誰でもダウンロードできるようにすると、コードの持ち主が即犯人、とは言えなくなるからね”。

そのコードは今Githubにあり、どうやら本物のようだ。ぼくはコンパイルしていないが、ファイルにはおもしろい情報がいろいろある。教材としての利用価値は、十分にあるだろう。もちろん、悪い連中にとっても、利用価値は十分あるけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

5年後になくなっているもの5つ

tvremote

【編集部注:本稿の筆者、Tom GonserDocuSignの最高戦略責任者。】

わずか5年前、世界はまったく違う場所だった。2010年、iPadはデビューしたばかり、Kickstarterは資金調達の様相を変えることになる新しい形のベンチャーキャピタリズムを生み出し、Squareはどんな規模の売り手でもモバイル端末にカードを通すだけで支払いを受け取れるようにした。後戻りはしていない。

次の5年間で、現在想像もしていない製品やサービスが出てくることは間違いない。しかし、前進するにつれてなくなるものはなんだろう?今使っているもので、新しい革新やテクノロジーや方法によって破壊され、完全になくなったり絶滅寸前になるであろうものをいくつか紹介する。

現金、小切手帳、クレジットカード、およびATM:デジタル財布の中には何がある?

いまやSquareによって、あらゆる売り手がデビットカードやクレジットカードを受け入れられる。Venmoを使えば、友達と夕食の支払いをテキストメッセージを通じて割り勘できる。まもなく、あらゆる銀行取引がどんなモバイル端末ででもできるようになる ー 車からでも。連邦準備制度によると、米国全体の小切手利用は、2000年から2012年で57%減った。

35歳以下の消費者の94%がオンライン銀行を利用し、その20%以上が紙の小切手を書いて支払いをしたことがない、とFirst Dataのレポート、The Unbanked Generationは書いている。ヨーロッパでは、小切手を書こうとすると、異常な人間かのような目でみられる。家賃は、小切手を使う最後の大きな砦かもしれないが、それでさえ大家が電子支払いに切り替え、モバイル支払いが益々簡単になるにつれ減少している。

もう一つ:もっと先の未来には、現金がなくなる。現金がないことは現金マシンがなくなることを意味している ー バイバイ、ATM。

USBメモリー:物理メディアはあと何年?

2020年には、世界の70%がスマートフォンを使っていると、 Ericssonのモバイル報告書は言っている。 モバイル通信ネットワークが人口の90%をカバーする。Apple、Box、Dropbox、Google、Microsoftなどのクラウドサービスがほぼ無限のストレージをほぼ無料で提供するようになり、ポケットの中でストレージデバイスが場所を占める理由はほとんどなくなる。モバイル端末の標準ストレージサイズが次の5年で増加するのはもちろんだ。

世界中のイベント主催者は、カンファレンス参加者への記念品に何か新しいグッズを考える必要がある。USBはアナログ時代の象徴になるだろう。

より簡単で安全なアクセス:パスワードや鍵はなくなる

これは想像しにくいだろう。パスワードは今日非常に広く使われているのだから。平均的な人で、パスワードを19個を持っていると言われている ー そして半分近くの人が安全でない弱いパスワードを使っていると認めている。しかし、たとえあなたが絶対に強力なパスワードしか使わないとしても ー おわかりかな ー やはり破られる

まず今の生活にある旧テクノロジーのがらくたを捨てててスタートを切ろう。

生体認証はすでに主流になりつつあり、特にモバイル端末ではわれわれのオンライン活動の多くで主要な入り口となっている。指紋、音声、顔認識が、最初の犬の名前や結婚記念日に変わって安全なアクセス方法になるだろう。それぞれにセキュリティーのリスクはあるが、文字パスワードはなくなるだろう。

同様に、物理的な鍵を失くす心配もなくなる。これからはいつも持ち歩いてるスマート端末が鍵になり、生体認証と組み合わせることによって、持ち主だけが使用できる。

これがなくなって悲しむ人は誰もいない:リモコン

ソファーのクッションをひっくり返してあの見つけにくいリモコン(ホームオーディオやビデオシステムの設定によっては10台かもしれない)を探すことはなくなる。

調査会社のStrategy Analyticsは、モノのインターネット(IoT)、スマートホーム、およびウェアラブルに出現する新たなカテゴリーによって、2020年までに176億台のデバイスが新しくつながるようになる、と予測している。現在でも、Amazon Echoなどのデバイスは、音声による検索とコマンドを新たなレベルに引き上げている。2020年には大量の新しいデバイスがインターネットにつながることによって、単体のハードウェアとしてのリモコンは意味をなさなくなる。

静的文書および紙の契約書

紙ベースの署名と紙ベースの手続き ー 取引を完了させるのに必要な物理的印刷、FAX、スキャン、あるいは承認、決定、署名のための配達便 ー は、今日のデジタル世界では急速に陳腐化しつつある。将来は、あらゆる取引が「クラウド契約」によってアクティブに管理されるようになる。

クラウド契約は:当事者たちの身元を(永久)に結びつけ、契約条件が満たされたら支払いを行い、必要な時期が来たら自発的に契約担当者と接触する。

不動産、金融サービス、保険、ハイテク、および医療企業は 予算を縛られた政府機関さえも ー クラウドコンピューティングを導入して、効率を高め、コストを下げ、エンドユーザー体験を改善している。もうすぐ、契約の管理方法は大きく変わるだろう。

新年の抱負を考えるときは、まず今の生活にある旧テクノロジーのがらくたを捨てて、デジタル新年のスタートを切ろう。たしかにまだ時間はある。しかし、これだけ魅力的なテクノロジー破壊が起きているのに、待つ必要はない。

原文へ
 
(翻訳:Nob Takahashi / facebook

スマートフォンの暗号化に関する法執行機関へのバックドア提供義務などをホワイトハウスが却下

OLYMPUS DIGITAL CAMERA

Obama政権は、テクノロジ企業が情報を法執行機関に提供するためにプロダクトのセキュリティを破らなくてもよい、と決定した。テクノロジ業界にとっては、ひとつの勝利だ。

iPhoneと一部のAndroidフォーンに暗号化が導入されたため、電話データへのアクセスをめぐって法執行機関とテク企業とのあいだに議論が起こり、その一年後に今回の決定が出た恰好だ。iOS 8では、電話機に保存されるデータと、iMessageなどのコミュニケーションのほとんどが、ユーザしかアクセスできない方式で暗号化されている。Appleですら、アクセスできない。

当時FBIの部長James Comeyが、スマートフォンを暗号化すると法執行機関が重要な情報にアクセスできなくなり、捜査の妨げになる、と警告した。しかし技術者たちは、法執行機関のためのバックドアを作ればハッカーやスパイなどに悪用される、と反論した。

Comeyは今週(10/4-10)行われた議会の公聴会で、ホワイトハウスは法執行機関の職員が暗号化データにアクセスするためのバックドアを企業に強制しない、と述べて、政権による本案件の取り下げを示唆した。しかし土曜日(米国時間10/10)のThe New York Timesの記事は、ホワイトハウスがさらに明確な姿勢を示す、と報じた。それによると、テク企業は引き続き法執行機関に協力しなければならないが、しかしその際、自分たちのプロダクトのセキュリティを貶めることは要求されない、という政権の決定になるようだ。

諜報機関と法執行機関は今後、暗号化に関して、その回避方法を探さなければならない。たとえば、クラウドにバックアップされている、暗号化されていないデータを探す、などだ。スマートフォンのオーナーに、パスワードの提供を要請することも、ありえるかもしれない。

かつて政府契約企業の社員Edward SnowdenがNational Security Agencyによる監視活動をあばいて以来、プライバシー保護の声と活動が高まってきたが、政府の今回の決定は、その人たちの勝利とも言える。。

しかしこの決定は、諜報機関や一部の議員たちの怒りを買う可能性もある。火曜日に上院司法委員会の委員長Chuck Grassleyはホワイトハウス宛の書簡を書き、暗号化に対して政府が厳しい姿勢をとらなかったことを批判した。

しかしそれでもThe New York Timesによると、テク企業は政府の今回の決定で十分とは考えていない。彼らが求めているのは、政府が明確な声明文を発表し、テク企業はそれを携えて、デバイスの暗号化の禁止や、バックドアアクセスの提供義務を政府職員が要請している中国やヨーロッパに赴けることだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa)。

サイバーセキュリティー対策、鍵は女性にあり

women-cybersecurity

サイバーセキュリティー専門家の需要がかつてなく高い中、最新レポートによるとこの分野で働く女性の数は伸びていない。

女性は、サイバーセキュリティー従事者のわずか10%しかいないことが、今日発表されたレポートで伝えられた。情報技術に特化した非営利団体(ISC)²およびBooz Allen Hamiltonによる。この数字は2年間変わっていない。

この絶望的な数字にも関わらず、同分野における女性の潜在能力は大きいとレポートは言う。女性は政府で働く情報セキュリティー従事者の20%を占め、9/11事件以来急速に増加しているリスク管理・法令順守業務を担っている。調査結果はさらに、女性の方がビジネス目標とリスク管理のバランス感覚に優れると考えられいると書いている。この分野で益々重要視されているスキルだ。

TargetからSonyまで、注目のハッキング事件がサイバーセキュリティーの話題を表舞台に乗せた。しかし、海外政府によるものから身近なハッカーまで脅威が増す中、必要な訓練を受けた人々の数は需要に追いついていない。加えて、モノのインターネットの普及が新たなセキュリティーリスクを招いていることを最近FBIも警告を発している。

「情報セキュリティー分野では、積極的対策を施さない限り2020年までに150万の専門家が不足する」と(ISC)²のCEO David Shearerはニュースリリースに書いている。「これを踏まえると、この業界で働く女性が少ないことは実に残念だ」。

この不足に業界がどう取り組むべきかについての考え方が、調査対象の女性と男性とでは異なる。これまで業界は情報セキュリティー要員を「買う」ことに頼り、サイバーセキュリティー専門家を高給で呼んでいた。しかし、Frost & Sullivanが調査した女性は、この方法では不十分だと答えた。彼女らは他のインセンティブ、例えば柔軟な勤務時間や様々な教育プログラム等を求めている。こうした要望は理にかなっている。最近大手IT企業も育児休業の拡大など同様の制度を試行して、優れたエンジニアの勧誘と維持に務めている。

レポートは、女性に対して早期に、主として学校教育やインターン制度の中で、情報セキュリティー分野におけるキャリアパスを推進していくべきだと強く主張している。

[原文へ]

(翻訳:Nob Takahashi / facebook