米国土安全保障省がイランからのサイバー攻撃に備えるよう企業に警告

米国土安全保障省は、イランとの間の緊張の高まりでサイバー攻撃を受ける可能性があるとして、米企業に備えるよう警告を出した。

イランの司令官Qasem Soleimani(ガセム・ソレイマニ)氏殺害から数日たち、政府のサイバー専門諮問機関であるCybersecurity and Infrastructure Security Agency(CISA)が出す初の公式勧告だ。米政府はソレイマニ氏が中東にいる米国の人員をターゲットにして殺害している、と非難していた。

イラン指導部の中でナンバー2的な立場にあった司令官ソレイマニ氏は先週金曜日にトランプ大統領が指示したドローン攻撃で殺害された。このドローン攻撃では、イランが支援するイラクの部隊の副司令官Abu Mahdi al-Muhandis(アブ・マフディ・ムハンディス)氏も死亡した。

1月6日の月曜日に掲示された勧告の中で、CISAは「高まる緊張により、米国はサイバーならびに軍事の攻撃を受ける可能性がある。また米国や米国に関係する国に対してイラン以外のところから破壊的なハイブリッド攻撃があることも考えられる」としている。

イランと同盟国は、電話やエネルギーの企業などを戦略的ターゲットに据えた「破壊的で有害なサイバー部隊」を立ち上げ、米国の外交政策方針をしっかりと把握するためにサイバーによるスパイ活動を実行するかもしれない、と当局は話した。

CISAはまた、偽情報の活動や爆破を含む軍事攻撃の可能性も警告している。企業はオフラインのバックアップを準備するなど、サイバー攻撃を警戒すべきだと勧告した。

ドローン攻撃を受け、民間部門のセキュリティ専門家が報復の可能性を指摘してすぐにCISAは警告を出した。

「イランの関係者が諜報機関の招集を模索し、大局的に地政学環境を理解しようとしていることから、おそらく主に政府のシステムを標的とするスパイ活動が増える」とサイバーセキュリティ会社FireEyeの情報分析ディレクターJohn Hultquist(ジョン・ハルトクイスト)氏は話した。「また、民間へも破壊的なサイバー攻撃があると予想している」

イランはサイバー領域において世界でも最も力のある難敵の1つだ、と専門家は語る。

イランは、コンピューターに侵入してデータを破壊するマルウェアのワイパーを含む、攻撃的なサイバーツールを持つ。イランにつながるハッカーたちは近年、中東のターゲット施設で活発だった。セキュリティ会社Crowdstrikeの共同設立者Dmitri Alperovitch(ドミトリ・アルペロヴィッチ)氏は、イランがエネルギー網や金融機関など重要なインフラを標的とするかもしれないとツイートした。

直近ではMicrosoftが、イランに関係するハッカーを含めたイランの攻撃ターゲットとなった何千もの顧客にその旨を通知した、と明らかにした。Microsoftは以前、サイバー活動を破壊しようと、イランがコントロールするドメインに対し法的措置をとった。10月には、イラン人ハッカーが2020年大統領選候補を標的にしている、とMicrosoftは述べた。これに関してはのちにロイターがトランプ大統領の再選キャンペーンであることを確認した。

ソレイマニ氏を暗殺するための動きは、トランプ政権内の敵味方が共に計画した。評論家は政府がイランによる軍事的な報復だけでなくサイバー攻撃も受けることを考えなかった、と話す。

上院情報問題特別調査委員会のRon Wyden(ロン・ワイデン)議員は、殺害は「破滅的な戦争へとつながる道へと我々を向かわせる無謀なエスカレーション」だと話した。ブッシュ元大統領に仕えた前CIAアナリストElissa Slotkin(エリッサ・スロットキン)氏もまたツイッターの長いスレッドの中で暗殺を批判した。

画像クレジット: Getty Images

[原文へ]

(翻訳:Mizoguchi)

エンドポイントセキュリティのCrowdStrikeがIPO後初の決算報告を発表

エンドポイントの保護に特化したサイバーセキュリティ企業であるCrowdStrike(日本代理店はマクニカネットワークス)が、2020会計年度の第1四半期に、GAAPで売上9610万ドル(約103億円)を記録し、純損失2600万ドル(約28億円)を計上した。6月に6億1200万ドルでNASDAQにIPOした同社は、米国時間7月18日に発表した初めての決算でそう報告している。

CrowdStrikeの株価は、そのニュースのあとの18日の時間外で2.5%上昇した。同社の売上は前年同期比で103%の増、サブスクリプションの売上は116%増の8600万ドルとなった。先月35ドルだった同社の株価はその後上昇を続け、上記木曜日の時間外では82ドル近くに達した。同社が予測している通年の売上は4億3000万ドルあまり、一株あたりの損失は72から70セントだ。

CrowdStrikeのCEOで共同創業者のGeorge Kurtz(ジョージ・カーツ)氏は「今年強力なスタートを切れたことは喜ばしい。クラウドネイティブのエンドポイントセキュリティのパイオニアであるCrowdStrikeは、侵害を防ぐためにまったく新しく構築された唯一のエンドポイント保護プラットホームである。そしてそのシングルエージェントのアーキテクチャにより、セキュリティのスプロールを減少できる。われわれは継続的イノベーションにより、セキュリティクラウドというカテゴリーにおけるリーダーシップの強化に努めており、未来の基盤となるようなエンドポイントプラットホームと自分たちを位置づけている」とコメントしている。

カーツ氏は2012年にサニーベールでCrowdStrikeを創業したが、彼はPrice WaterhouseのCPAとして自分のキャリアを踏み出し、ネットワークセキュリティに関する著書「Hacking Exposed: Network Security Secrets & Solutions」を著し、次にFoundStoneを立ち上げたが2004年に8600万ドルでMcAfeeに売った。その後のカーツ氏は7年間McAfeeのゼネラルマネージャーを務め、その後同社のCTOになった。

関連記事: Newly public CrowdStrike wants to become the Salesforce of cybersecurity(上場したCrowdStrikeはサイバーセキュリティのSalesforceになりたい、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Cloudflareが来年$3.5BでIPOするようだ…近年はセキュリティスタートアップの稼ぎどき

Webサイトのパフォーマンスアップとセキュリティサービスを提供するCloudflareが、35億ドル以上という予想評価額でIPOを準備中のようだ。ロイターの記事によると、IPOの実行は2019年の前半を予定、幹事会社はGoldman Sachsだ。

今年は、セキュリティとプライバシーへの関心と需要の高まりにより、サイバーセキュリティ企業のIPOに最適の年と言われた。もう一社、IPOを準備していると言われるサイバーセキュリティのスタートアップがCrowdStrikeだ。同社は、同じくロイターによると、今年初めに30億ドルの評価額で2億ドルを調達した。CrowdStrikeも、IPOはGoldman Sachsが仕切るようだ。

Lee HollowayとMatthew Prince, そしてMichelle Zatlynが創業したCloudflareは、2010年のTechCrunch Disruptでローンチした〔創業は2009〕。Crunchbaseによると、その後同社は総額1億8210万ドルをNEA, Union Square Capital, Baidu, Microsoft, Qualcomm, およびcapitalG(Alphabetの投資ファンドで旧名Google Capital)などから調達した。最前の資金調達はシリーズDの1億1000万ドルで、それは2015年9月に発表され、Fidelity Investmentsがリードした。

CloudflareのサービスはWebサイトのロードを速くし、セキュリティの事故を防ぐ。同社のWebサイトによると、同社のデータセンターは現在154あまりあり、1000万あまりのドメインにサービスを提供している。同社は、“ひとりのインターネットユーザーが一週間平均でわが社のサービスに500回以上触れている”、と豪語している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebook、中国通信機器大手Huaweiにデータを提供。米国政府がセキュリティーを懸念

最近明らかになったFacebookの端末機メーカーへのデータ提供に関する懸念はさらに悪い方に向かっている。先週末発覚したこの問題で、Facebookは中国メーカーのHuawei、Lenovo、Oppo、およびTCLと関係があったことが確認されたとNew York Timesが報じた。
米国政府はHuaweiに関する国家機密の問題を以前から懸念していたことから、Facebookの中国企業との関係は議会の怒りを買っている。

「Huaweiの問題は今に始まったことではない。2012年から公になっており、下院情報特別委員会のよく読まれている報告書にはHuaweiなどの機器メーカーと中国共産党との密接な関係が記載されている」とMark Warner上院議員は語った。Warner議員は情報特別委員会の副委員長を務めている。

「Facebookが中国のHuawei、TCLらの機器メーカーにFacebookのAPIをアクセスする特権を与えたことは深刻な問題であり、同サービスのユーザーに関する情報がどうやって中国サーバーに送られていないようにしているかを詳しく聞きたい。

情報特別委員会は その報告書の中で、「Huaweiは捜査に全面協力することなく、中国政府や中国共産党との関係を説明することを拒否しているが、米国法に違反している信頼に足る証拠はある。そしてHuaweiの歴史は、中国軍とのつながりがあったことを示している。

同日、上院商業委員会はこうしたメーカーとの関係についてのより大きな問題についてFacebookに問う書簡を送り、共有したデータは悪用されていないとするFacebookの主張に疑問を呈した。New York TimesTimesによると、これらの関係は「少なくとも2010年」に遡る——Facebookのモバイル戦略にとって比較的暗黒の時代だ。ZTEが同様の契約をFacebookと交わしたことはないようだ。

Facebookはこれらの関係をプライバシースキャンダルとして扱うことに異議を唱え、このレベルデバイス統合には厳格な制約を課していることを強調した。

FacebookはNew York Timesに、提携は数年間続けてきたが、Huaweiとの関係は今週一杯で終わりにすると語った。

[原文へ]

(翻訳:Nob Takahashi / facebook

Facebook、中国通信機器大手Huaweiにデータを提供。米国政府がセキュリティーを懸念

最近明らかになったFacebookの端末機メーカーへのデータ提供に関する懸念はさらに悪い方に向かっている。先週末発覚したこの問題で、Facebookは中国メーカーのHuawei、Lenovo、Oppo、およびTCLと関係があったことが確認されたとNew York Timesが報じた。
米国政府はHuaweiに関する国家機密の問題を以前から懸念していたことから、Facebookの中国企業との関係は議会の怒りを買っている。

「Huaweiの問題は今に始まったことではない。2012年から公になっており、下院情報特別委員会のよく読まれている報告書にはHuaweiなどの機器メーカーと中国共産党との密接な関係が記載されている」とMark Warner上院議員は語った。Warner議員は情報特別委員会の副委員長を務めている。

「Facebookが中国のHuawei、TCLらの機器メーカーにFacebookのAPIをアクセスする特権を与えたことは深刻な問題であり、同サービスのユーザーに関する情報がどうやって中国サーバーに送られていないようにしているかを詳しく聞きたい。

情報特別委員会は その報告書の中で、「Huaweiは捜査に全面協力することなく、中国政府や中国共産党との関係を説明することを拒否しているが、米国法に違反している信頼に足る証拠はある。そしてHuaweiの歴史は、中国軍とのつながりがあったことを示している。

同日、上院商業委員会はこうしたメーカーとの関係についてのより大きな問題についてFacebookに問う書簡を送り、共有したデータは悪用されていないとするFacebookの主張に疑問を呈した。New York TimesTimesによると、これらの関係は「少なくとも2010年」に遡る——Facebookのモバイル戦略にとって比較的暗黒の時代だ。ZTEが同様の契約をFacebookと交わしたことはないようだ。

Facebookはこれらの関係をプライバシースキャンダルとして扱うことに異議を唱え、このレベルデバイス統合には厳格な制約を課していることを強調した。

FacebookはNew York Timesに、提携は数年間続けてきたが、Huaweiとの関係は今週一杯で終わりにすると語った。

[原文へ]

(翻訳:Nob Takahashi / facebook

ニューヨーク市は住民にサイバーセキュリティアプリを無料で配布する

ひとつの都市(アトランタ)がサイバー攻撃されたこの怖ろしい週に、ニューヨークはその予防策を講じようとしている。

そのタイミングはあくまでも偶然だが、ニューヨーク市の市長Bill de Blasioは今日(米国時間3/29)、市民をとくにモバイルデバイス上のオンラインの悪行から護るための、一連のセキュリティツールを用意し、まずその第一弾を導入する、と発表した。

それがこの夏ローンチすると、ニューヨーク市の住民はNYC Secureと呼ばれる無料のアプリをダウンロードできる。このアプリはスマートフォンのユーザーに、ありうる危険を警報し、“悪質なWi-Fiネットワークからの遮断や、危険なWebサイトに行かないこと、悪質なアプリをアンインストールすることなど”の対策を教える。

アプリ自身が何かをやってくれることはないので、もっぱらユーザーが言われたアドバイスを守らなければならない。NYC Secureが個人を特定できる情報やプライベートなデータを集めることもない。

市はまた、その公開Wi-Fiネットワークのセキュリティも強化する。それは、悪いやつが暗号化されてない個人情報を盗むことで悪名高いターゲットだ。市は、Quad9というサービスを利用してDNSの保護を実装する。それは、Global Cyber Alliance(GCA)とIBMとPacket Clearing Houseが共作した無料のサイバーセキュリティ製品だ。

市のセキュリティ担当官Geoff Brownはこう述べる: “たえずユーザーのすきをねらっているサイバー犯罪者から前もって市民を護るためには、市民のデジタル生活の安全に投資する必要がある。サイバーセキュリティの脅威に対して免疫のある個人は存在しないから、今回の計画は、多くの場合大量の機密データが所在する個人のデバイスに、セキュリティの新しい層を加える”。

2017年の7月に市長命令で創設されたサイバー防衛団体NYC Cyber Command(NYC3)がこの新しいセキュリティツールの導入を担当し、それらの実装を監督する。

セキュリティ企業McAfeeのCEO Christopher Youngは、こう言う: “ニューヨーク市のこのような活動は、サイバー犯罪が増加していることへの市民の認識を強化し、自衛のための行動ができるようにする”。

国際的なビジネスハブで、文化の中心都市でもあるニューヨークは、さまざまな、ときには当市独特のサイバーセキュリティの脅威にさらされている。しかしそんな都市だからこそ、他の大都市のお手本になるような、市としての主体的なサイバーセキュリティ対策を展開できる、とも言えるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AlphabetがXムーンショット生まれのサイバーセキュリティ企業Chronicleをローンチ

あなたが、まだ間違って“Google”と呼んでるかもしれないAlphabetが今日(米国時間1/24)、新しいサイバーセキュリティ企業Chronicleのローンチを発表した。それは、企業のハッカー検出と撃退能力を高めることがねらいだ。ChronicleはAlphabetのXムーンショットグループから巣立ち、今ではGoogleなどと同じく、Alphabet傘下の単独企業だ。

Google VenturesからXに入り、その前はSymantecのCOOだったStephen Gillettが、この新会社のCEOになる。

最初にChronicleは、二つのサービスを提供する: 企業向けのセキュリティインテリジェンスとアナリティクスのプラットホームと、マルウェアやウィルスをスキャンするVirusTotalだ。後者はGoogleが、2012年に買収したセキュリティ企業だ。

Gillettが書いた記事によると、Chronicleの基本的な目的は、企業のセキュリティの盲点や死角を取り除き、企業が自分たちのセキュリティの全容を細部まで明確に把握できるようにすることだ。Gillettはこう書いている: “企業のセキュリティチームのスピードと実効性を今の10倍にしたい。そのためには、彼らにとってこれまで見つけることが困難だったセキュリティ関連のさまざまなシグナルを、容易に、はやく、そして低コストで捕捉分析できるようにしてあげることが、重要だ。Chronicleが提供するインテリジェンスとアナリティクスのプラットホームは、それを可能にする”。

XのCaptain of Moonshots(ムーンショットのキャプテン)、Astro Tellerによると、“企業のセキュリティチームが攻撃を見つけて調べるために必要な情報は、その企業の既存のセキュリティツールやITシステムの中にある。しかしそれらは膨大な量のデータの中に隠れているから、簡単には見えないし、理解も利用もできない”。

Chronicleのプラットホームは目下構築中で、まだその全貌は見えない。GillettによるとそれはAlphabetのインフラストラクチャの上で動き、機械学習と高度な検索能力により、企業によるセキュリティデータの分析を助ける。そしてChronicleのサービスはクラウドから提供されるので、“企業のニーズの伸縮に応ずる柔軟性とスケーラビリティがあり、企業自身が新たなセキュリティソフトウェアを実装したり管理する必要がない”。

このような、クラウドからのセキュリティサービスはChronicleが初めてではなく、ログを分析する専門企業もあり、またIBMなどもエンタープライズ・セキュリティには力を入れている。そんな競合環境における、Chronicleの差別化要因が何になるのか楽しみだ。

現時点で提供できる詳細情報があまりないことは、Alphabetも認めているが、今Chronicleのサービスは、いくつかのFortune 500社の協力により、アルファテストを行っている。

Chronicleは今日(米国時間1/24)の午後プレスコールを行うので、サービスの詳細が分かり次第、この記事をアップデートしたい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

WannaCryマルウェアでヒーローになったハッカーをFBIは銀行マルウェアKronosへの関与で逮捕

数か月前にはヒーローと讃えられたマルウェアの研究者を、FBIは、銀行をねらうマルウェアKronosの配布に関わったとして逮捕した。Marcus Hutchinsまたの名@malwaretechblogは、ラスベガスで行われたハッカー大会Def Conからの帰路、空港で連邦捜査局に拘留され、その後逮捕された。

Hutchins(22歳)は、WannaCryマルウェアの機能的ドメインキルスイッチを発見して、その拡散を停止するという、重大だが彼らしくない役割を演じた。今回彼は、2014年の初めに銀行やクレジットカードの認証情報を盗んだマルウェアに関わったとして告発されている。CNNが彼の逮捕を初めて報じ、すぐにViceが彼の起訴状を公表して、DocumentCloud上にも公開した。

彼がロンドンへの帰路取り押さえられたという報道が流れると、セキュリティコミュニティの多くがサイバーフォークヒーローでもあるHutchinsを擁護しようと殺到した。彼の容疑には多くの疑問があり、銀行をターゲットとするトロイの木馬Kronosの作成と配布に果たした彼の役割も、現時点では明確でない。彼の罪状認否は、本日(米国時間8/3)太平洋時間午後3時、ラスベガスで行われる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

今さら人に聞けないVPN入門…VPNの神話をはぎ取る

wtf-vpn

あなたは今、映画を見ている。スポーツカーに乗った悪者が、高速道路を走って逃げようとしている。ヘリがそれを、上空から追っている。やがて車は、出口が複数あるトンネルに入り、ヘリは車の行方を追えなくなる。

VPNの仕組みは、この映画のトンネルに似ている。そのトンネルは複数の道をひとつの入り口へつないでいるが、トンネルの中で何がどうなっているのかは、ヘリには分からない。

読者のみなさんはこれまで、いろんな人からVPNを勧められたことがあるだろう。アクセスに地理的制限のあるコンテンツを見られるようになる、中国の万里のファイヤウォールを出し抜ける、インターネットを安全に閲覧できる、といった話を聞いたはずだ。でもVPNは、仕組みをよく理解せずに利用すると、それを使わない場合と同じぐらい危険なこともある。

そもそも、VPNって何だ?

自分の家に複数のコンピューターやスマートフォンやタブレットのある人は、ローカルエリアネットワーク(local area network, LAN)を使っているだろう。これらのすべてのデバイスが、自宅内の同じWi-Fiネットワークにつながって、お互いが直接、インターネットを介さずに写真やムービーを送信/受信できる〔そのためのソフト/アプリがあれば〕。ローカルエリアネットワークは、本質的にプライベートだ。サーバーソフトなどを動かしていないかぎり、外部からはアクセスできない。

しかしVPNは、その名(virtual private network)のとおり、仮想的にプライベートなネットワークだ。‘仮想’とは、デバイス自身の能力ではなく、ソフトウェアの力で実現している、という意味。しかもその仮想プライベートネットワークは、遠くにいるあなたでも、一時的にそのメンバーになれる。たとえばあなたの会社は、遠くにいる社員のためにVPNを動かしているかもしれない。遠くの社員はIDやパスワードでそのネットワークのメンバーになり、あたかも会社のLANにアクセスしているみたいに、会社のプライベートなネットワークを利用できる。その遠くの社員は仮想的に会社内にいて、会社のWi-Fiネットワークを利用するのだ。

VPNの使い方は、とても簡単だ。会社やデベロッパーなどは、自分のところでVPNサーバーを動かす。そのサーバーに正しいIDとパスワードでアクセスしたユーザーは、VPNのクライアント(一般ユーザー)になる。そのVPNには、あなたのコンピューター以外のコンピューターや、モバイルデバイス、ときにはルーターなどもアクセス/接続しているだろう。Windowsや、Android、iOS、macOSなどが動いているコンピューターは、いずれもVPNのクライアントになれる。

あなたのコンピューターがどこかのVPNに接続する場合、コンピューターとVPNサーバーが接続して、データは暗号化されて両者間を行き来するから、VPNは情報のトンネルのようなものになり、上の例でヘリに相当する、第三者からは見えないようになる。

なぜVPNを使うべきか?

VPNは、仕事のために使い始める人が多いだろう。とくにそれは、在宅勤務をしている場合だ。VPNは、会社にとっていくつかのメリットがある。社員はプライベートなネットワークにアクセスするから、彼/彼女をインターネットに接続されていない会社のサーバーにもアクセスさせられる。クラウドから提供されるOffice 365のサーバーやG Suiteなどがない時代には、多くの企業が自前でメールサーバーやカレンダーサーバーなどを動かしていた。それらが提供するサービス(メールやカレンダー)は、社員がまず会社のVPNに接続してからでないとアクセスできない。それは、機密情報を保護する優れた方法だ。

しかし、欠点もいくつかある。ユーザーがVPN接続を使うと、インターネットのトラフィックを含むすべてのネットワークトラフィックがVPNを通る。会社のITサービスは厳しい閲覧ルールを敷いて、社員ユーザーがTwitterなどを利用できないようにする。あるいは閲覧履歴を見て、あなたをクビにするための、都合の良い理由を見つけるかもしれない。

しかし、オフィス環境はVPNの唯一のユースケースではない。あなたがアメリカの外に住んでいてHBO NowやNetflixのアメリカの映画ライブラリ、あるいはHuluなどのストリーミングサービスにアクセスしたい場合、VPNがそれを可能にしてくれる。

それは、VPNサービスを提供している企業の多くが、世界中のいろんなサーバー〔例: アメリカのHulu〕へのアクセスを提供しているから、ユーザーは今自分がいる国を詐称することができるのだ。前述のように、VPN接続ではすべてのネットワークトラフィックがトンネルを通るから、HBOなどのサーバーは、自分の地理的ルールどおりにアメリカのユーザーに向けて映画をストリーミングしているつもりでいても、VPNのトンネルを出たストリーミング映画のデータは、今あなたがいる地球の裏側の国へ実際には行ってしまうのだ。

そのトンネルの幅が小さいと、映画のストリーミングデータが正しいタイミングで通れないこともある。そのためにNetflixなどは、VPNサービスからと分かるIPアドレスを、アメリカのアドレスであっても拒否する場合がある。せっかくVPNサービスを使ったのに、映画が見れなくなってしまう。

また、中国など、一部のインターネットサービスをブロックしている国へ旅した人は、VPN接続を利用してGmailやFacebook、Twitterなどに接続したことがあるだろう。つまり、それらのWebサイトにアクセスするためには、中国の外にあるVPNサービスに接続する必要がある。しかし中国政府は多く利用されるVPNサービスのIPアドレスを禁じようとしているから、この方法は今後、より困難になるだろう。

VPNを使ったインターネットアクセスは安全か?

コーヒーショップやホテルなどが提供しているWi-Fi接続サービスは、セキュリティにあまり気を使っていないものが多い。だから家庭のネットワークのように、そのローカルネットワークのほかのユーザーのコンピューターが見えてしまうことがある。そうなれば、ハッカーがあなたのインターネットトラフィックを盗み見するのも、簡単である。

これは数年前には深刻な問題だった。多くのWebサイトが、ログインページへのアクセスに安全な接続を使っていなかったから、ハッカーはあなたの銀行口座のIDやパスワードを取得して、お金をすべて盗むことができた。

そんなルーズなWi-Fiネットワークは、使わないのがいちばんよいけど、どうしてもホテルの部屋でメールをチェックしたい、なんて場合には、信頼できるVPNサーバーを利用すればよい。トンネルの中で起きていることは、誰にも見えないのだから。

しかし今では、状況が大きく変わった。今やインターネットサービスの大多数がHTTPSに切り替え、VPNがなくても、エンドツーエンドの暗号化によって、プライベートな情報を他人に読まれることはない。

これによって今では、VPNに関する間違った認識が世の中に跋扈している。正しくは、VPNによってあなたがインターネット上でより安全になることはない。安全性は、VPNサーバー次第だ。

自分の今の在住国を変えたり、検閲を逃れたり、コーヒーショップにおける接続を保護するためにVPNを使えば、片方のエンドにあるVPNサーバーにはあなたのネットワークトラフィックのすべてが見える。あなたはリスクを、VPNのトンネルに移しただけだから、よほど注意しないかぎり、とても危険である。

Apple App StoreやGoogle PlayにあるVPNアプリは、ある理由から、すべて無料だ。それらはあなたの閲覧習慣を分析してアドバタイザーズに売り、安全でないページには自分の広告を挿入し、あるいはあなたのアイデンティティを盗む。あなたは、どんなことがあっても、無料のVPNだけは避けるべきだ。

有料のアプリやサービスは、月額5〜20ドルでインターネットのプライバシーを守る、と約束している。でも、彼らのプライバシーポリシーやサービス規約を、まず見るべきだ。ぼくが見たかぎりでは、多くのVPNがあなたのインターネットトラフィックをログし、その情報を警察などとシェアしている。小さな字で書かれている注記を、よーく読もう。

プライバシーポリシーが善良に見える場合でも、実際に何をやらかすかを検分する方法がユーザーにないから、彼らを盲目的に信ずるしかない。多くの場合、ランダムに選んだVPNサーバーに接続するよりは、MACアドレスのホワイトリストの方が安全だ。見知らぬ相手が、あなたの家には侵入しないと約束しているから、そいつに家の鍵を渡してしまう人はいない。

暗号に関しては、一部には、安全でないプロトコルもある。たとえば事前共有鍵を使うL2TPによる認証は、解読されることがあり、見破られないトンネルという概念を裏切る。サーバー証明を伴うOpenVPNを動かしている安全なサーバーの方が、ずっと堅牢だ。

かなりややこしい話になってしまったが、でも結論は単純だ: VPNは大いに有能であり、今でもそれが役に立つニーズはある。でも、信用できない人やサービスを相手にビジネスをしてはならない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

たった一つの誤字が選挙をひっくり返したかもしれない

shutterstock_139834159-compressor

2016年の選挙に対するロシアの妨害説をめぐるThe New York Timesの長い記事に書かれている、多くのひどい失態の中で、とりわけ目立つものがひとつある…それがとくに印象的なのは、ごく些細で平凡なものと、それがもたらした結果の重大さの対比だ。Hillary Clintonの選挙参謀John Podestaのメールのハックは、彼にリスクを警告しようとする一通のメールにあった、たった一つの誤字だったかもしれないのだ。

どういうことか? Clintonの選挙戦スタッフの一人がTimesに、彼は、あるフィッシングメールにについて書くときに、形容詞“illegitimate”(違法な)を間違って“legitimate”(合法な)と書いてしまった。そしてその“合法な”メールがクリックされると、次の瞬間、ハッカーがドアの中にいた。

それは小さなミスから起きた悲喜劇的なエラーだが、もしそれが真実なら、サイバーセキュリティにおける最小の失態、ひとつの誤字やひとつのクリックが、一人の人間の全キャリアや、ニュースのサイクル、そしてときには選挙の結果さえ、ぶっ壊してしまうのだ。

そのThe NYTの記事は長いが、読む価値はある。読み終えたあと、どっと疲れて、世間嫌いになるかもしれないけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

オバマ大統領ががMicrosoftやUberの出身者たちを国のサイバーセキュリティー委員会の委員に任命

800px-whitehousesouthfacade

大統領が今日(米国時間4/13)、Committee on Enhancing National Cybersecurity(全国サイバーセキュリティー強化委員会)の委員を任命した。それはほぼ予想通りの顔ぶれで、テクノロジー業界の大物たちと、数名の学者、そしてNSAの元局長だ。え?何だって?

そう、Keith Alexander将軍はNSAの(国民を対象とする)監視機構が大きく肥大していく時期に局長を務めた。彼は、今度の委員会の委員リストのトップに載っている。悪魔はその正体をよく知っておいた方が良い、とは言うけれど、はてさて…。

そのほかの委員は、以下のとおり。肩書は、現在、または最近までのものだ:

  • Annie I. Antón, ジョージア工科大学School of Interactive Computingの学長
  • Ajay Banga, MasterCardの社長兼CEO
  • Steven Chabinsky, CrowdStrikeのCRO(Chief Risk Officer)で法務部長
  • Patrick Gallagher, ピッツバーグ大学の総長でCEO
  • Peter Lee, Microsoft ResearchのCVP(元DARPAの企画担当)
  • Herbert Lin, スタンフォード大学のサイバーポリシーとセキュリティの研究員
  • Heather Murren, 投資家でジョンズホプキンス大学の理事
  • Joe Sullivan, Uber(そして前はFacebook)のCSO(chief security officer)。
  • Maggie Wilderotter, Frontier Communicationsの(長期の)元CEO

では、この委員会は何をするのか? それは、政府のテクノロジー政策の全体をオーバホールしようとするオバマ大統領の大きな政策の一環だ。その計画はCybersecurity National Action Pla(CNAP)と呼ばれ、今年の早い時期に発表された。政府によるCNAPの概要書のトップに、当委員会が強調されている

当委員会は、サイバーセキュリティや公共の安全、プライバシー、政府と各種関連機関との連携などについて短期的および長期的な勧告を行う。実行権はなく、一種の顧問団である。

皮肉なことに当委員会の委員が発表された同じ日に、ある法案が提出された。それは、当委員会が有能であれば、まさに彼らの最初の勧告の素材になるであろう。その勧告とは、この法案を地中深く埋めて、映画「ジュラシックパーク」の冒頭で使われていた超音波探査機でも使わなければ、どこにあるのか分からないようにすることだ。しかし、実際にはその必要はないだろう(この法案はガラクタだ)。でも、ちゃんと見張っていた方が良いね。

当委員会の詳しい職務はここに記されている。順調に行けば、最終報告書が今年の12月1日に大統領に提出され、彼にはそれを実装しないための十分な時間が与えられる*。これはもちろんジョークだが、この激しい選挙戦の期間に十分な改革を達成することはほぼ不可能だろう。ただし調査研究のための期間としては十分なので、自分たちの複数の小委員会ぐらいは作れるかもしれない。〔*: 実装しないための十分な時間==実装するためには時間が足りない。〕

定期的な公開ミーティングも計画にはあるから、自分の発言をぜひ彼らに聞かれて記録されてほしい人は、委員会のスケジュールによく注意していよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Appleのソフトウェアエンジニアリング責任者曰く:FBIの要求は全iOSユーザーの安全を脅かす

shutterstock_335319038

Appleのソフトウェアエンジニアリング担当上級副社長(WWDCの人気プレゼンターでもある)、Craig Federighiは、同社に対するFBIの要求が、全iOSユーザーを不法侵入に対して脆弱にするものであることを、Washington Postの意見記事で語った。

Appleは現在、12月2日にカリフォルニア州サンバーナーディーノの社会福祉センターで、14名を殺害した銃乱射事件犯の一人が使用したiPhone 5cを、FBIがアンロックするためのソフトウェアを、新規に開発することを強制する裁判所命令を係争中だ。同社は再三 ― 顧客に向けた公開書簡および下院司法委員会の公聴を含む ― そうすることは、全iOSユーザーのセキュリティーを侵害する前例を作ると主張している。

Appleの立場は、2月末にニューヨークで起きた別件だが類似の事例で、地方裁判所判事がAppleに有利な裁定を下したことで強化された。同裁定は政府によるiPhoneの情報要求を却下し、政府はAll Writs Act[全令状法]によって端末のパスコードを解除するようAppleに強制する権利を有することを証明できなかったとした。

Federighiは「FBIはわれわれが犯罪者の一歩前にいられるための予防措置を後退させたがっている」と題した論説記事に、FBIの要求はAppleが現在の暗号化技術を侵害しし、同社技術者の長年の努力を無効化することで犯罪者が悪用できるセキュリティーホールを作ることを強要していると書いた。

FBI、司法省およびその他の法執行機関が、安全性の低い時代、安全性の低いテクノロジーへと時計を戻すことを、われわれに強要していることに失望している理由はそこにある。彼らは、iOS 7の安全措置は十分強力なので2013年の安全基準に戻すだけでよい、と示唆しているが、当時は最先端だった技術も今はハッカーに破られている。さらに悪いことに、一部の方法は製品化され、技術力の低い概してより悪質なアタッカーに販売されている。

Appleの安全措置を回避するために、FBIは当社に特殊ソフトウェアの形でパスコード保護を回避できるバックドアを作らせ、政府がiPhoneに侵入できる脆弱性を意図的に作ろうとしている。このソフトウェア ― 法執行機関は他の多くのiPhoneに対して使いたい考えがあることを認めた ― が一たび開発されると、ハッカーや犯罪者がわれわれのプライバシーや個人の安全を脅かすために利用する弱点になる。

本件の裁定結果は、顧客の機密データを保護する必要のある、あらゆるIT企業に影響を与える可能性がある。Box、Google、Facebook、Microsoft、Square、Twitter、およびLinkedInは、Appleを支持する法廷助言書を提出した。国連の人権委員会もAppleを支持する声明を発行した。

Apple vs FBI

[原文へ]

(翻訳:Nob Takahashi / facebook

Knightscopeの防犯ロボットはリアルタイム治安ネットワークの賢いノードになる、大規模暴力事件を未然に防げるかも

ある日ロボットが蜂起して人類を支配するのかもしれないけど、今現在はPalo AltoのKnightscopeが、人類の安全のために犯罪と戦うマシンを開発している。

Knightscope製のセキュリティロボットK5は、スターウォーズのR2D2とドクター・フーのダレクに似ている。そしてこれらのロボットを動かしているシステムは、ちょっとジョージ・オーウェル的だ。ブロードキャスト機能と高度な監視能力のあるK5は、コンサートホールや商店街など人が集まる場所をパトロールし、不審な行動などをチェックする。

視界360度でHDの低ライト赤外線カメラが捉えた画像を、バックエンドのセキュリティネットワークへアップロードする。通行人の声を拾うマイクもある。ある程度のコミュニケーション能力もある。また、ガラスが割れる音などの異常音を感知してアラートを送る。

QlHK_8M9vUi6e3u33WXx0B7-tCrwsNb7W42JLXYblzM,hZnFdv1tuyN4BfBKKjY_L8uYxJ8G2VRKeHcDJQIa1K4

すでにいくつかのショッピングモールやオフィスビルがK5を採用している。それらの名前は公表しないらしいが、Knightscopeによると、主にテクノロジ企業の社屋やシリコンバレーのショッピングモールだそうだ。

CEOのStacey Dean Stephensは元警官で、ロボットが送ってくる都市内の情報を利用する、犯罪防止のための予測的ネットワーク(次に起きることを予測できる情報ネットワーク)を構想した。協同ファウンダのWilliam Liとともに、これまでKonica Minoltaなどから1200万ドルを調達している。

近い将来にロボットが警官やガードマンをリプレースする、とKnightscopeが考えているわけではない。ロボットはあくまでもアシスタントだ、と同社はその製品を位置づけている。料金はレンタル制で、5本足300ポンドのK5を1時間6ドル25セントで貸し出している。われわれの最低賃金より、安いよね。でもティーンエイジャーのワルガキどもがロボットを小突いたりしたら、K5は彼らに声をかけるし、彼らの行為を撮影して署に送ったりするから、ガキどもにはショックだろう。

これらのロボットは、ロボット自身の治安機能が必ずしも目的ではない。むしろKnightscopeは今、ロボットよりも、それらから送られてくる情報を利用するセキュリティネットワークの研究開発を進めている。そのネットワークは、ロボットからリアルタイムで送られてくる映像やデータから、公共の場所における不審な行動を見つけて、警察機関などに報告するだろう。それらの予測に基づいて事前に行動が取れれば、大規模な銃撃事件などの暴力事件を、未然に防げると思われる。

上のビデオで、Stephensにインタビューしている。ロボット本体と、ロボットをベースに構築していく治安ネットワークのことが、よく理解できるだろう。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

自動車ハッキングの脅威に立ち向かう方法

carhack-e1441991955543

車をインターネットにつなぐと、それはもはやただの自動車ではない。タイヤの付いたコンピューターだ。

長年にわたり、セキュリティー業界は自問してきた、「サイバー攻撃はいつ物理的世界に影響を与えるのか」。つながっている車はその好例だ。研究者らは車の脆弱性について次々と新たな情報を公開している。例えば、パートナーのMarc Rogersと私によるTeslaシステムへの侵入、さらには最近Jeep Cherokeeを分析して、研究者らが車の運行システムにインターネットから入り込み、高速道路をノロノロ運転させたニュースだ。その結果Fiat Chryslerは100万台以上の車両をリコールすることになり、当局がふさわしくも「車の中のセキュリティーおよびプライバシー法と名付けた法案は現在議会で討議中だ。

車がGoogle検索をしたりツイートを送ったりスマートフォンアプリから遠隔操作できるようになると、T型フォードよりもノートPCとの共通点の方が多くなる。次世代のつながっている車を安全にすることは、車両の「準備完了」の意味を再定義するという意味だ。未来の車が発車準備を整えるためには、今日の伝統的物理的安全基準を越えるサイバーセキュリティー基準が必要になる。

自動車 ― および生活に欠かせない他のあらゆるテクノロジー ― がつながっていくことは不可避だ。乗用車やトラックが、個人や経済全体にとってどれほど重要かを考えれば、アタッカーらが車の(願わくば)よく設計されたシステムの破壊に全精力を集中することは容易に予想できる。

幸いにして破滅的な事件はまだ起きておらず、業界は先手を打ってこの問題に対処すべき立場にある。しかし、インターネット最前線にいるソフトウェア業界の経験から学ぶべきことを、自動車メーカーは殆どできていない。

サイバーセキュリティーには周到な投資を行うべきだ。

例えば、自動車を再発明するミッションの一環として、Teslaはソフトウェア第一のアプローチで自車を開発した。人々がこの車はインターネットにつながると期待していることを踏まえ、社内での会話は「いつこの車はインターネットにつながるのか?」ではなく、「どうすれば素晴らしいつながっている車を作れるか?」だった。

あらゆるソフトウェア主導の製品と同じく、サイバーセキュリティーは周到に考えられた投資であるべきだ。今自動車産業には、車のサイバーセキュリティーを劇的に改善するためにできる具体的方策が3つある。

第一に、セキュリティー脆弱性が見つかるたびに高価で時間のかかるリコールを行わずに済むために、無線アップデートシステムが必要だ。第二に、メーカーはインフォテイメントシステムと、重要な運転システムを分離し、両者間の通信を密に制御する必要がある。航空会社が機内Wi-Fiネットワークを重要な航空電子機器システムと分けるのと同じように。第三に、メーカーは何らかの攻撃が成功して個々のソフトウェア部品を占有することを想定し、仮に攻撃者が一つのシステムに侵入しても、自動的に車両全体へのアクセスが可能にならないようにすべきだ。

全メーカーがこのガイドライを実施すれは、自動車のサイバーセキュリティーは飛躍的に向上するだろうが、それはまだ始まりにすぎない。一企業が強力なサイバーセキュリティー文化を構築するためには何年もかかる。たとえ、強力な社内サイバーセキュリティーチームがいても、そのチームが組織全体の支援を受け組織に統合されている必要がある。

もし自動車業界がセキュリティーに正しく対応しないと何が起きるか考えてみてほしい。

さらに、経験豊富なセキュリティーチームを持つ会社は、社内にだけ支援を求めるのではなく、世界中のセキュリティー研究者コミュニティーに助けを求めて、犯人より先に問題を突き止め ― 願わくば解決する。例えば、Teslaは「バグ報奨金」プログラムを立ち上げることによって、外部のセキュリティー研究者らが責任をもってバグを検出、修正し、発見されたあらゆるセキュリティー問題の解決に協力している。私は全メーカーが同様の方法をとることを推奨する。

もし自動車業界がセキュリティーに正しく対応しないと何が起きるか考えてみてほしい。メーカーは、ソフトウェアに脆弱性が見つかるたびにリコールを発行しなければならない。リコールは時間を要するプロセスであり、ソフトウェア脆弱性は、直ちに修正しなければ、個人の深刻な安全問題になるだけでなく国家の安全をも脅かす。そしてもし車のソフトウェア脆弱性の頻度がPCのそれに匹適するようなら ― 毎月、時には毎週 ― リコールはたちまち現実的でなくなる。

私は、全自動車メーカーがサイバーセキュリティー対策に積極的に取り組み、上のガイドラインを足場に自動車をわれわれの生活で使われるテクノロジーの中で最も安全なものの一つにしてくれることを切に願っている。

[原文へ]

(翻訳:Nob Takahashi / facebook

データセキュリティーにとって最大の脅威は無関心

security-globe

データセキュリティーと言えば、サイバー攻撃の手口が高度になったとか、クラウド技術がリスク満載である等の話を聞く。こうした説明はある意味で真実だが、いずれももっと厳しい現実を隠す口実であるかもしれない。今日、企業データにとって最大の脅威の一つは無関心だ。

HP Security Researchの2015 Cyber Risk Reportによると、実地調査で見つかった最も危険な企業脆弱性9件は、その全部が3年以上経過していた。US-CERT(コンピューター緊急事態対策チーム)も、最も利用されたネットワーク侵入30件の研究で、同様の経年問題を指摘している。つまるところ、US-CERTの推定によるとネットワーク攻撃の85%は予防可能である。

殆どのケースが単純なセキュリティーパッチで十分だ ― そしてこの種のバグの場合何年も前からパッチが提供されている。セキュリティー専門家たちは、無関心故にアップデートの適用を怠っていたのか、それてももっとひどいことなのか?多分違う。おそらく、対処すべき根の深い問題が業界全体にはびこっている。

なぜこれが起きているのか?セキュリティー専門家の怠慢、は便利な答だが不正確でもある。多くの場合、メーカーはパッチの存在およびどんな影響があるかの情報共有ができていない。さらには、あまりにも多くのパッチが、利益より害をもたらす余計なソフトウェアと共に配布されている。

パッチの適用がリスクになる時

例えばMicrosoftが昨年発行したパッチのうち6件は、直ちにユーザーに問題を引き起こしたAppleOracleにも同様の問題があった。Oracleの場合、2014年8月のJavaに対するアップデートがサードパーティーアプリケーションを破壊し、再度のパッチ発行を余儀なくされた。Appleは、9月に発行したiOSアップデートがいくつかのiPhone機能を阻害し、一部のユーザーは通話不能に陥った。

善意のパッチが不本意 ― そして厄介 ― な結果を招いた時に、CIO[最高情報責任者]やセキュリティー責任者の慎重な行動を責めることは難しい。

しかし手動のパッチ当ては答にならない。システムのパッチに要する時間に、影響を受けるシステムの数を掛け、さらにその作業のために雇ったコンサルタントに支払う時給を掛ければ、中堅規模の企業でさえ、わずか1回のパッチに何十万ドルも費していることがわかる。他の選択肢が運用を遮断するなら、IT無関心も良い選択に思える。

自動化は、急速に成長するIT基盤のパッチに関しては答の一つになるだろう。定期的な監視も、システム化されたアップデートに伴って導入されるブレークポイントの発見、修正に必要だ。パッチ不履行がもたらす損害を考えれば、それ以下は許されない。

リスク vs 恩恵

つい最近、ポーランドの航空会社LOTは乗客1400人が立ち往生する攻撃を受けた。さらに、人事局に対する最近のハッキングは、現在および過去の政府職員数百万人分 ― 私を含む ― の極めて個人的な経歴情報を暴露した。これに比べるとあのSony文書リーク事件が ― 評判へのダメージは大きくとも ― かわいく見える。

公平を期して言うと、これらの組織がどのセキュリティーホールを開けたままにしていたのかは不明だが、最新アップデートを定期的に適用している自己回復ITプラットフォームに対して、古い侵入手口は通用しない。多くのセキュリティー対策が実施されずこのように管理されていない状況は、当然の結果を招く深刻な問題である。

あなたの会社の規模を考えてほしい。次に各従業員が何台の端末を会社のネットワークにつなぐかを考える。社内の誰を取ってもその数は最低でも2(パソコンとスマートフォン)であり3(+タブレット)であることも多い。それぞれの端末がノードであり、あらゆるノードが攻撃者の入口になり得る。サイバーセキュリティーの幅広い時宜を得た対応は、基本ネットワークを真に保護するために不可欠だ。

しかし人々の行動は正反対だ。多くのCIOとセキュリティー責任者は、自動アップデートを避ける慎重な決断を下す。それは新たなソフトウェアをシステムに導入する際に直接制御できないために起きる結果を恐れるためだ。メーカーはこれを、自分たちがいかにパッチプロセスの信頼を裏切ってきたかの結果と見るべきだ。

約束、そして実行

ソフトウェアベンダーにとってユーザー ― 直接の消費者 ― の信頼を取り戻すことは容易ではないが、自動アップデートに対する信頼を勝ち取るためには必須だ。

ここで鍵となるのが、パッチとその影響に関するオープンで透明な情報共有だ。顧客はパッチがいつ入手可能で、何をするか、どんな影響があり得るかを知らされる必要がある。もし問題が起きれば、メーカーは何が起きていているかについても同様に明確にし、受けた影響の回避策を提供しなければならない。

要するに、メーカーはセキュリティーパッチに関する情報共有を、広報事項ではなく、顧客保護の問題として取り組むべきなのである。

[原文へ]

(翻訳:Nob Takahashi / facebook

FCCのサイバーセキュリティの方針: 民間主導を側面からガイドに徹する

今朝、FCC(連邦通信委員会)のTom Wheeler委員長がAmerican Enterprise Instituteの講演会で、 サイバーセキュリティに対する同委員会の取り組みについて、その概要を述べた。

Wheelerの基本的な考え方は、「サイバーセキュリティの脅威に対抗するための対策はFCCではなく民間が指導的役割を発揮する」、というものだ。FCCは政府機関として監視と指導役に徹し、市場に任せたやり方がネットワークの適切な保護に失敗したときのみ介入する。

FCCはどうやら、テクノロジの世界は変化が激しいので、通常は適切と考えられるような標準的な規制構造が有効でない、と考えているようだ。Wheelerは曰く、彼が唱導する民間主導の取り組みは、“従来の規制よりも対応が敏速”であり、“政策方針の実装とソリューションの開発に市場競争によるダイナミズムとイノベーションがもたらされる”はずだ、という。

彼の方針が効果を発揮するためには、民間企業とFCCなどの関連政府機関との協力が欠かせない。とりわけ指導的な役割を発揮しなければならないのは、FCCのPublic Safety and Homeland Security Bureau*の長、Dave Simpson提督だ。〔*: Public Safety and Homeland Security Bureau, 適切な訳語が確定していないよう。「国家安全保障省」という訳もあるが、ちょっと違うのではないか。〕

この新しい取り組みとそのための専門委員会の目標は、FCCの言葉を借りれば、リスクとその構造を同定し、リスクの像をより明瞭化する戦闘に適切な武器を提供し、その武器を展開し、それらの効果を見張ることである。

そしてわれわれ民間人は、あとからついていくのではなく、先頭に立つ。Wheelerの今回の発言は適切な概要描写であり、インターネットのオープン性とプライバシーの両方の保護を求めているが、最終的な結果が見えてくるのは遠い先のことだ。リスクは現にある。求められるのは、効果的かつ迅速な対応だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))
 


スノーデン・リーク情報:NSAは少なくとも1ヵ国で全通話を録音している

米国家安全保障局(NSA)は、一ヵ国で全通話30日分を再生する手段を持っている。Edward Snowdenの入手した文書に基づき、Washington Postが報じた。

「NSAは、ある外国の〈全〉通話を録音可能な監視システムを構築し、通話から最長1カ月後まで会話を再生、確認することができる」と同紙は伝えている。

Washington Postは、コードネーム “MYSTIC” の下で監視されている国の名前を公表しなかった。現在進行中の作戦を保護するためだ。記事によると、MYSTICは2009年に開始され、2011年からフル稼動している。

NSAはこの能力が必要である理由を、近年の脅威は「大きくて複雑な近代的グローバルコミュニケーションの中に潜んでいることが多く、したがって合衆国はこれらの脅威を識別するために、一定状況下で一括情報収集しなければならない」と説明している。

NSAは、法律によって無辜の人々、特にアメリカ人の監視を最小限にすることが求められているが、一括収集でそれは困難だ。「複数の現職および元米政府高官が、機密プログラムにおける匿名の条件に関する会話の中で、アメリカ人を含む会話が多数収集されていることを認めた」と同紙は説明している。

オバマ大統領は諜報活動の改革をいくつか提案しており、そこには通話およびインターネットデータを民間企業が一括して収集、保存し、政府は毎回そのデータを要求する必要があるとする案もある。

重要な諜報改革の殆どは、今後議会がこの問題を取り上げる時期まで待たねばならない。記事の全文および漏洩したスライドはここで読むことができる。

[原文へ]

(翻訳:Nob Takahashi / facebook


Googleの協同ファウンダがロボット経由でSnowdenと雑談を楽しむ

そう、今日(米国時間3/18)まさに、それが起きました。Googleの協同ファウンダSergey Brinが、内部告発者Edward Snowdenと仲良くお話をしたのだ。SnowdenはTEDのカンファレンスに、テレプレゼンスロボットを使って参加していた。よく分からなかった人は、最後のセンテンスをもう一度読んでみて。

大手のテク企業たちが、NSAのスキャンダルで法律の地雷を踏まないよう細心の注意を払っている中で、それでもSnowdenはヒーローとして歓迎された。GoogleやFacebook、YahooなどNSAと関わった企業は、声明文を発表して自己の潔白を証明しようとしているが、でも、そういった法律と政治の駆け引きの背後では、有名企業のトップたちも単純にSnowdenのファンのようだ。

先週のSXSWでSnowdenが初めてライブのインタビューに応じたとき、その端末が置かれた部屋は超満員でぼくは入れなかった。ましてや、彼と一対一で話すなんてできない。部屋は二つ用意されたが、それでも多くの人があふれてしまった。

こうやって、どんなカンファレンスにも、世界中の人が参加できることは、とても感動的だ。TEDはSnowdenへのインタビューを、近く公開する予定だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ロシア政府、プーチン批判サイトをブロック。チェス王カスパロフも

ロシア政府はウラジミール・プーチン大統領を批判するウェブサイトをブロックしている。検事総長はロシアのインターネットプロバイダー各社に対して、少数のウェブサイトへのアクセスを切断するよう命じた。その中にはチェス名人のガルリ・カスパロフのサイトも含まれている。「これらのサイトには、違法行為および既成の秩序に反する公開イベントへの参加を扇動する内容が含まれている」と声明に書かれている(ロシア語から英語への翻訳はGoogle Translateによる)。

カスパロフは直ちにTwitterでこの動きを非難した。


[プーチンはロシアの反体制ニュースサイトへのアクセスをブロックしただけでなく、ロシア政府はわれわれのシステム管理者に連絡を取りサーバーを止めさせた。動きが早い。]

これらのウェブサイトのブロックは、ロシア政府狂乱月間で最新の出来事にすぎない。今月に入ってロシアは10以上のウクライナ活動家サイトを切断し、彼らのクリミアへの軍事介入に抗議した。先週、Russia Today[*]のあるニュースキャスターは、プーチンのイメージを「粉飾する」放送局では働けないとして、放送中に番組降板を宣言した。[* ロシアの実質的国営放送]

プーチンは表現の自由に関する自身の行動を擁護し、秩序を維持し法を守っていると主張している。

[原文へ]

(翻訳:Nob Takahashi / facebook


対SOPA抗議と対NSA抗議を画像で比較する

今日(米国時間2/11)、ウェブサイト連合体は、国家安全保障局(NSA)に対してインターネット横断の抗議行動を起こすことを約束した。2年前のオンライン海賊行為防止法案(SOPA)に抗議したときの大規模なサービス停止に似ている。あらゆる主要インターネット会社が、NSAのインターネットおよび通話記録収集に対して強い態度を見せている。ところで、今回の抗議はSOPAの時と比べてどうなのだろう。以下に、各サイトのトップページを並べてあるので比較されたい(上が対SOPA、下が対NSA)。

〈画像群の後に記事あり〉

Reddit(人気のコンテンツ集約サイト)

対SOPA

対NSA

Wikipedia(クラウドソースによる百科事典サイト)

対SOPA

対NSA

Boing Boing(インターネットニュースとカルチャーのブログ)

対SOPA

対NSA

Google(検索エンジン、その他いろいろ)

対SOPA

対NSA(Googleは同社のポジションを説明するブログ記事を掲載した))

XKCD(超絶ウェブコミック)

対SOPA

対NSA(今日のソフトウェアアップデートに関するコミックへのリンク

全体的に抑え気味。ちょっと違う

NSAへの抗議は、戦略的にSOPAとは異なる。SOPAの時は、主要ウェブサイトがトップページを完全に停止して黒塗りにした。今日の抗議では画面の下半分に、国会議員への連絡方法など簡単な行動要請が書かれている。

しかし、戦略をどう分析するにせよ、今日の方がはるかに控え目だ。もちろん、市民による自由に関する抗議が、営利、非営利サイトを問わずSOPAと同じ怒りを呼べなかったのはこれが初めてではない。

以前、不成立だったサイバーセキュリティー法案に対する抗議の際、Redditの共同ファウンダー、Alexis Ohanianは私にこう説明した。「最大の理由は、SOPAにはわれわれが大切にしているもの(Redditだけでなくあらゆるソーシャルメディア等)を停止させられるという差し迫った脅威があったことだ。一方、オンラインプライバシーに関する修正第4条の権利の消失は、そこまで明白でないため、残念だが結束は難しい」。

[原文へ]

(翻訳:Nob Takahashi / facebook