マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出

世界的なホテル大手のマリオット(Marriott)は、データ漏洩があったことを認めた。この3年間で2回目だ。今回は520万人分のゲストの個人情報が含まれていたという。

画像クレジット:Roberto Machado Noa/Getty Images

米国時間3月31日、マリオットはフランチャイズのホテルで、2月下旬に不特定の管理システムへの侵入を発見したと発表した。ホテルの声明によると、ハッカーは2人の従業員のログイン情報を入手し、発見の数週間前となる1月中旬に侵入していたという。

マリオットは支払いに関するデータが盗まれたと考える「理由がない」としているが、氏名、住所、電話番号、登録メンバーデータ、生年月日、その他の旅行に関する情報が盗まれたと警告している。その中には、顧客が利用する航空会社の会員番号や、部屋の好みの情報などが含まれる。

マリオットの子会社のStarwood(スターウッド)は、2018年に中央予約システムがハッキングされ、3億8300万人分の顧客記録と個人情報が流失したと発表した。その中には、500万件の暗号化されていないパスポート番号と、800万件のクレジットカード記録が含まれていた。

そのときにはヨーロッパ当局が迅速に反応し、マリオットに対して1億2300万ドル(約132億円)の罰金を科していた。

関連記事:データ流出のマリオットホテルに英当局が罰金134億円を科す見込み

原文へ

(翻訳:Fumihiko Shibata)

オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

英国のオーディオストリーミングプラットホームのMixcloudが不正アクセスにより2000万のユーザーアカウントを流出させ、データが闇サイトで売りに出された。闇サイトの売り手はデータの一部をTechCrunchに見せ「本物であることを確認しろ」と伝えてきた。事件が起きたのは11月の初めだ。

データにはユーザー名とメールアドレスとパスワードが含まれていたが、パスワードはSHA-2のアルゴリズムで暗号化されていて解読はほとんど不可能だ。データにはそのほか、ユーザーの登録日付時刻と最前のログイン日付時刻、登録した場所の国名、IPアドレス、プロフィールの写真のリンクが含まれていた。

TechCrunchでは、データの一部のメールアドレスを同サイトのユーザー登録機能を使って調べた結果、本物であることを確認した。盗まれたデータの総量はわかっていない。その売り手によると2000万件というが、闇サイト上では2100万と書かれている。しかしTechCrunchが調べたデータからは、2200万に達するとも思われる。データは4000ドルないし約0.5ビットコインで売られている。その闇サイトのリンクをここに載せるのは控える。

Mixcloudは昨年、メディアを対象する投資企業であるWndrCoから1150万ドルを調達した。その投資ラウンドはハリウッドのメディア事業者であるJeffrey Katzenberg(ジェフリー・カッツェンバーグ)氏がリードした。

このところ著名企業の不正アクセスが相次いでいるが、これはその中でも最新の事件だ。盗んだデータを売っているのは同じ闇サイトで、スニーカーや衣料品のオンラインストアであるStockXへの不正アクセスについてもTechCrunchに警告してきた。StockXは当初、システムアップデートのための全顧客のパスワードリセットしたと表明していたが、その後ハッキングされたことを認めて400万件あまりのデータが流出したことを明らかにした。TechCrunchは盗まれたデータの一部を入手した

Mixcloudのプレス用メールアドレスへ問い合わせたが、メールは宛先不明で戻ってきた。同社のPR代理店に問い合わせたところ、すでにMixcloudとは契約していないとのことだった。MixcloudのスポークスパーソンであるLisa Roolant(リサ・ルーラント)氏はコメントを差し控えた。

ロンドンの企業なので、Mixcloudは英国とヨーロッパのデータ保護規則に従う。ヨーロッパのGDPRの規則に違反すると、年商の最大4%を罰金として払わなければならない。

関連記事
フードデリバリーのDoorDashが490万人の個人情報流出を確認
常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
米百貨店大手Macy’sが昨年に続きデータ漏洩

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Googleが差分プライバシーライブラリのオープンソースバージョンをローンチ

Google(グーグル)は米国時間9月4日、同社の主要プロダクトで使っている差分プライバシーライブラリ(参考:日本語ブログ記事)のオープンソースバージョンをリリースした。デベロッパーはこのライブラリを使って独自のツールを作り、社内社外に個人を特定できる情報を明かすことなく、集積されたデータを利用できる。

同社のプライバシーとデータ保護部門のプロダクトマネージャーであるMiguel Guevara(ミゲル・ゲネヴァラ)氏は「あなたが、都市計画のプランナーや、中小企業の経営者、ソフトウェアデベロッパーなど、どんなお仕事をしていても、データから有益な知見が得られれば仕事の質を向上し、重要な疑問に答えが得られるようになる。しかし強力なプライバシー保護がないと、あなたは一般市民や顧客、そしてユーザーの信頼を失うリスクを負う。差分プライバシーによるデータの分析は道義にかなったアプローチであり、企業などの組織が多くのデータから学べると同時に、それらの結果から絶対に個人のデータが識別されたり、特定されないようにする」とコメントしている。

Googleの注記によると、このApacheライセンスによるC++ライブラリは、スクラッチから作ることが通常は困難な機能にフォーカスし、デベロッパーが必要とする標準的な統計関数が多く含まれている(計数、和、平均、分散、などなど)。さらに同社は、このライブラリに「厳密なテスト」のための補足的ライブラリが含まれていることを強調している。差分プライバシーを正しく得ることは、難しいからだ。その他PostgreSQLエクステンションやデベロッパーの仕事をサポートするレシピ集なども含まれている。

最近では、同じ文の中に「Google」と「プライバシー」があると、思わず注目してしまう。それも当然だ。Googleの社内にはこの問題をめぐって相当な軋轢があるのだろうけど、でも今回のオープンソース提供は疑問の余地なくデベロッパーの役に立つし、デベロッパーもユーザーも、人びとのプライバシーを侵す心配なく、彼らが作るツールでデータを分析できるようになる。差分プライバシーはかなり専門知識を要する技術だから、これまでは手を出さないデベロッパーが多かった。でもこのようなライブラリがあれば、差分プライバシーを実装しない言い訳がなくなる。

画像クレジット: Bloomberg/Getty Images

関連記事:Appleは差分プライバシー技術を利用して個人データに触らずにSafariの閲覧データを収集
参考記事:一般人が差分プライバシーを理解するためのスライド

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Slackが2015年のデータ侵害に遭ったユーザーのパスワードをリセットする

Slackが、4年前のデータ侵害で被害したと思われるユーザーのパスワードをリセットする。

同社によると、2015年にハッカーがユーザープロフィールのデータベースに不法アクセスし、その中には暗号化されたパスワードも含まれていた。しかしそのハッカーは、当時ユーザーが入力した平文のパスワードを取り出すコードを挿入した。

Slackによると、最近バグバウンティ(バグ発見報奨金制度)でコンタクトしてきた何者かが、盗んだSlackアカウントのパスワードのリストなるものを、ちらつかせてきた。同社は、それが2015年のデータ侵害と関係あるかもしれない、と考えた。

Slackによると、現在のSlackユーザーのほぼ99%は2015年の3月以降に参加したユーザー、またはその後パスワードを変えたユーザーなので、この件とは無関係である。

また、同社のネットワークを使ってシングルサインオンを要するアカウントも、無関係である。

さらに同社によると、それらのアカウントが盗まれたと信ずる理由はないけど、盗まれなかったとする証拠を提供することもできない。

Slackによると、データ侵害の被害を受けたアカウントは、2015年のアカウントの1%である。米国時間718日朝の記事によると、その数は6万5000アカウントにのぼるかもしれない。この件に関してSlackのスポークスパーソンは、コメントも数の確認もくれなかった。

Slackは最近ニューヨーク証券取引所に上場し、時価総額は約157億ドルである。

関連記事:NYSEに上場するSlackIPO価格は26ドルに

[原文へ]

(翻訳:iwatani.a.k.a. hiwa

FirefoxブラウザーにWebサイトの侵犯通知機能が加わる、開示義務により侵犯情報の最新化も期待

MozillaのWebブラウザーFirefox Quantum*に、新しいセキュリティ機能が加わる。それは、最近データ侵犯が報告されたWebサイトを訪ねようとすると、ユーザーに警告する機能だ。〔*: 2017年のv57以降の設計が一新されたFirefoxブラウザーを、開発者のMozillaがFirefox Quantumと呼んでいる。〕

Firefoxのユーザーが最近侵犯されたWebサイトを開くと、通知のポップアップが表れて侵犯の詳細を告げ、ユーザーの情報が漏洩しなかったかチェックするよう勧められる。

Mozillaの発表によると、“このようなプライバシーとセキュリティに関する機能へのユーザーの関心が高まっているので、Firefoxのユーザーにこの通知警告機能を提供することになった。この新しい機能は、今後数週間で、Firefoxの全ユーザーに展開される”、とある。

侵犯を通知するポップアップとその上の情報は、こんな感じだ:

FirefoxのWebサイト侵犯通知機能, 画像提供: Mozilla

Mozillaはこの、サイトの侵犯通知機能を、今年初めにローンチしたメールアカウントの侵犯通知サービスFirefox Monitorに統合しようとしている。今日(米国時間11/14)の発表によると、それは26の言語で利用できる

Firefoxのユーザーが、サイトの侵犯を告げるポップアップが出たときクリックしてMonitorへ行けば、メールアカウントの侵犯についても知ることができる。

Firefox MonitorでMozillaは、侵犯されたWebサイトのリストを、パートナーであるTroy Huntの先駆的な侵犯通知サービスHave I Been Pwnedから得ている。

ユーザーをあまりにも多くの情報でうんざりさせないために、Mozillaは侵犯の通知を一サイトにつき過去1年に起きたもの一つに限定している。〔全部知りたければFirefox MonitorやHave I Been Pwnedを使えばよい。〕

データ侵犯はデジタル生活の不運な定番で、最近はビッグデータサービスの登場により、増加傾向にある。そして、人びとの関心も高まっている。ヨーロッパでは5月に導入された厳しい法律により、侵犯の普遍的な開示義務と、データ保護の失敗や怠慢に対する罰則が制定された。

そのGDPRフレームワークは、データをコントロールしたり処理したりする者たちにセキュリティシステムの改良を勧奨するために、彼らにはさらに重い罰を課している。

法律や罰則の強化によってセキュリティへの投資が増えたとしても、それが実際に侵犯の減少として効果が実っていくためには、時間がかかるだろう。どれだけ法が、その効果を期待していたとしても。

でもGDPRの初期の功績のひとつは、企業に侵犯の開示を義務付けたことだ。そのため今後は、このようなセキュリティツールが利用する侵犯情報も、より多く、そしてより最新のものになるだろう。一般ユーザーのためにも、この法律はポジティブな効果を上げているようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

スマートフォンを充電するたびにバックアップを自動的に行うMeemのUSB充電ケーブル

meem_ks_img_cover

スマートフォンをバックアップするのまた忘れただろ? Meemの新製品は、まさにそんな悩みのソリューションかもしれない。同社が作ったiOSとAndroid用の電源ケーブル(上図)は、スマートフォンに差し込むたびにそのデバイスをバックアップする。Kickstarterのキャンペーンで成功したこのケーブルは、今週初めに一般発売された。

スマートフォンの使い方は大きく変わり、それをコンピューターに挿入することはめったになくなった。でも、スマートフォン上のデータは重要だし、クラウド上のストレージサービスは安全性をいまいち信用できない。では、バックアップを毎日の日課にするためにはどうしたらいいか。

Gotta love some cable porn. Phwoar.

爆発したケーブルは最高にセクシー!ワーォ!

Meemによると、ケーブルは物理デバイスだから(クラウドサービスでもコンピューター上のファイルでもないから)、より安全である。それも一理あるが、あなたはどうかな。ぼくなんかこれまでに、忘れたクラウドのパスワードよりも、なくした充電ケーブルの方が多い。

Meemの良い点は、ユーザーがいちいち意識しないことだ。デバイスのバックアップは忘れても、充電を忘れることはまずない。Meemのケーブルをつないで4桁のPIN(暗証番号)をタイプすると、ユーザーの個人データがたちまちバックアップされる。スマートフォンを充電するたびに。

この充電ケーブルはiPhone用もAndroid用も16GBと32GBの2タイプある。電話機上の全データはもっと多いが、どうしてもバックアップすべき個人データはそれほどでもない。オペレーティングシステムやアプリは、個人的にバックアップする必要がない。同社によると今後は、USB-Cバージョンを出すそうだ。

Meemのプロダクトは1月にKickstarterのプロジェクトとしてスタートし、かろうじて目標額は達成したが、同社のトップは経歴がすごい。CEOのKelly SumnerはGrand Theft Autoで有名なTake-Two InteractiveのCEO、Guitar HeroのRedOctaneのCEO、そしてKickstarterキャンペーンの前にはイギリスのクラウドファンディングプラットホームCrowdCubeで71万ポンド(100万ドル】を282名の個人投資家から集め、会社の時価総額を1100万ポンド(1630万ドル)にふくらませた。

ケーブルはMeemのWebサイトとAmazonで入手できる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

データセキュリティーにとって最大の脅威は無関心

security-globe

データセキュリティーと言えば、サイバー攻撃の手口が高度になったとか、クラウド技術がリスク満載である等の話を聞く。こうした説明はある意味で真実だが、いずれももっと厳しい現実を隠す口実であるかもしれない。今日、企業データにとって最大の脅威の一つは無関心だ。

HP Security Researchの2015 Cyber Risk Reportによると、実地調査で見つかった最も危険な企業脆弱性9件は、その全部が3年以上経過していた。US-CERT(コンピューター緊急事態対策チーム)も、最も利用されたネットワーク侵入30件の研究で、同様の経年問題を指摘している。つまるところ、US-CERTの推定によるとネットワーク攻撃の85%は予防可能である。

殆どのケースが単純なセキュリティーパッチで十分だ ― そしてこの種のバグの場合何年も前からパッチが提供されている。セキュリティー専門家たちは、無関心故にアップデートの適用を怠っていたのか、それてももっとひどいことなのか?多分違う。おそらく、対処すべき根の深い問題が業界全体にはびこっている。

なぜこれが起きているのか?セキュリティー専門家の怠慢、は便利な答だが不正確でもある。多くの場合、メーカーはパッチの存在およびどんな影響があるかの情報共有ができていない。さらには、あまりにも多くのパッチが、利益より害をもたらす余計なソフトウェアと共に配布されている。

パッチの適用がリスクになる時

例えばMicrosoftが昨年発行したパッチのうち6件は、直ちにユーザーに問題を引き起こしたAppleOracleにも同様の問題があった。Oracleの場合、2014年8月のJavaに対するアップデートがサードパーティーアプリケーションを破壊し、再度のパッチ発行を余儀なくされた。Appleは、9月に発行したiOSアップデートがいくつかのiPhone機能を阻害し、一部のユーザーは通話不能に陥った。

善意のパッチが不本意 ― そして厄介 ― な結果を招いた時に、CIO[最高情報責任者]やセキュリティー責任者の慎重な行動を責めることは難しい。

しかし手動のパッチ当ては答にならない。システムのパッチに要する時間に、影響を受けるシステムの数を掛け、さらにその作業のために雇ったコンサルタントに支払う時給を掛ければ、中堅規模の企業でさえ、わずか1回のパッチに何十万ドルも費していることがわかる。他の選択肢が運用を遮断するなら、IT無関心も良い選択に思える。

自動化は、急速に成長するIT基盤のパッチに関しては答の一つになるだろう。定期的な監視も、システム化されたアップデートに伴って導入されるブレークポイントの発見、修正に必要だ。パッチ不履行がもたらす損害を考えれば、それ以下は許されない。

リスク vs 恩恵

つい最近、ポーランドの航空会社LOTは乗客1400人が立ち往生する攻撃を受けた。さらに、人事局に対する最近のハッキングは、現在および過去の政府職員数百万人分 ― 私を含む ― の極めて個人的な経歴情報を暴露した。これに比べるとあのSony文書リーク事件が ― 評判へのダメージは大きくとも ― かわいく見える。

公平を期して言うと、これらの組織がどのセキュリティーホールを開けたままにしていたのかは不明だが、最新アップデートを定期的に適用している自己回復ITプラットフォームに対して、古い侵入手口は通用しない。多くのセキュリティー対策が実施されずこのように管理されていない状況は、当然の結果を招く深刻な問題である。

あなたの会社の規模を考えてほしい。次に各従業員が何台の端末を会社のネットワークにつなぐかを考える。社内の誰を取ってもその数は最低でも2(パソコンとスマートフォン)であり3(+タブレット)であることも多い。それぞれの端末がノードであり、あらゆるノードが攻撃者の入口になり得る。サイバーセキュリティーの幅広い時宜を得た対応は、基本ネットワークを真に保護するために不可欠だ。

しかし人々の行動は正反対だ。多くのCIOとセキュリティー責任者は、自動アップデートを避ける慎重な決断を下す。それは新たなソフトウェアをシステムに導入する際に直接制御できないために起きる結果を恐れるためだ。メーカーはこれを、自分たちがいかにパッチプロセスの信頼を裏切ってきたかの結果と見るべきだ。

約束、そして実行

ソフトウェアベンダーにとってユーザー ― 直接の消費者 ― の信頼を取り戻すことは容易ではないが、自動アップデートに対する信頼を勝ち取るためには必須だ。

ここで鍵となるのが、パッチとその影響に関するオープンで透明な情報共有だ。顧客はパッチがいつ入手可能で、何をするか、どんな影響があり得るかを知らされる必要がある。もし問題が起きれば、メーカーは何が起きていているかについても同様に明確にし、受けた影響の回避策を提供しなければならない。

要するに、メーカーはセキュリティーパッチに関する情報共有を、広報事項ではなく、顧客保護の問題として取り組むべきなのである。

[原文へ]

(翻訳:Nob Takahashi / facebook