Twitterが「業界初」機械学習アルゴリズムの「バイアス」を対象とする報奨金コンテスト実施

Twitterが「業界初」機械学習アルゴリズムの「バイアス」を対象とする報奨金コンテスト実施、ハッカーと企業をつなぐHackerOne協力

Andrew Kelly / Reuters

Twitterが、システムが自動的に画像をクロップする際の”偏り”を発見した人に謝礼を支払う報奨金コンテストをHackerOneを通じ開始しました。報奨金と言えば、セキュリティ上の問題や処理上の不具合を発見した人に対して賞金を支払うバグバウンティ・プログラムが一般的におこなわれていますが、今回Twitterが始めたのは、ユーザーが投稿した写真をサムネイル化するため、ちょうど良い具合にクロップ(切り抜き)するアルゴリズムにどこか偏りがないかを探そうというコンテスト形式のプログラムです。

Twiiterの自動画像クロップは2018年から使われ始めましたが、一部ユーザーからはこのアルゴリズムが肌の白い人を中心にするようなバイアスがかった処理を行う傾向があると批判の声が上がっていました。

「われわれは5月に画像切り出しアルゴリズムの提供をいったん止め、認識の偏りを識別するアプローチを共有し、人々がわれわれの作業を再現できるようにするためコードを公開しました」とTwitterはブログで述べ「この作業をさらに進めて、潜在的な問題を特定するため、コミュニティに協力を仰ぎ、奨励したいと考えています」としました。

Twitterいわく、この報奨金コンテストは「業界初」のアルゴリズムのバイアスを対象とした報奨金プログラムとのこと。賞金額は最高3500ドル(約38万円)と控えめではあるものの、Twitterで機械学習倫理および透明性・説明責任チームのディレクターを務めるRumman Chowdhury氏は「機械学習モデルの偏りを見つけるのは難しく、意図しない倫理的な問題が一般に発見されて初めて企業が気づくこともあります。われわれは、それを変えたいと考えています」としています。

そしてこのプログラムを行うのは「これらの問題を特定した人々が報われるべきだと信じているからであり、我々だけではこれらの課題を解決することはできないからだ」と述べています。このコンテストは、2021年7月30日から2021年8月6日までエントリーを受け付けるとのこと。受賞者は、8月8日に開催されるTwitter主催のDEF CON AI Villageのワークショップで発表されます。

(Source:TwitterEngadget日本版より転載)

関連記事
フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加
アリババは自社クラウド部門のウイグル人を顔認識する民族検知アルゴリズムにがく然
Twitterは投稿時の画像プレビューのトリミング方法をユーザーに委ねる方針へ
Kubernetesのバグ褒賞金制度は多数のセキュリティ研究者の参加を期待
ハッカーと企業をつなぐHackerOneが39億円調達、調達総額は117億円に
テック企業大手のサービスのアルゴリズムによる偏向を防ぐ法案を民主党が提出

カテゴリー:パブリック / ダイバーシティ
タグ:機械学習 / ML(用語)差別(用語)説明責任(用語)Twitter / ツイッター(企業)DEF CONハッカー / ハッキング(用語)HackerOne(企業・サービス)バイアス(用語)バグバウンティ / バグ報奨金制度(用語)倫理(用語)

米空軍が人工衛星に侵入するハッカー募集、嘘のような本当の話

人工衛星の写真

米空軍は、昨年のDEF CONセキュリティコンファレンスで、ハッカーたちを募ってF15戦闘機のシステムに侵入させた。その結果、驚きの発見だけでなく泣きたくなるようなひどい現状を目の当たりにした。

ハッカーたちがバグを見つけるために戦闘機のシステムに侵入することを許されたのは、このコンファレンスが最初だった。7人のハッカーで構成されたチームはわずか2日間で、膨大な数の脆弱性を見つけた。この脆弱性が実際に悪用されていたら重要な戦闘機データシステムが破損し、計り知れない壊滅的な被害を受けていた可能性がある。この結果は米空軍が切実に助けを必要としていることを物語ってもいた。

「昨年のDEF CONに参加してみて、この国には、これだけ優れたサイバー専門知識を持つ膨大な人材に恵まれており、米空軍にはそうしたスキルが決定的に欠けていることを認識した」と米空軍の調達・技術・後方支援担当次官補のWill Roper(ウィル・ローパー)氏は語る。調達部門のトップである同氏は、米空軍が製造するすべての人工衛星の管理権限を持つ。米空軍はこれまで、敵国のスパイ活動や破壊工作を恐れて、軍のシステムとテクノロジーのセキュリティを完全極秘扱いにしてきた。まるで「冷戦時代の慣行から抜け出せていないかのようだった」と。

「しかし、今の世界では、そのようなやり方は情報セキュリティーに取り組む最善の姿勢とは言い難い。脆弱性があることを明かしていないからといって、戦争になっても安全だということにはならない」と同氏は続ける。

昨年のDEF CONでの成功を受けて、同氏は今年ラスベガスで開催されるDEF CONでもセキュリティ研究者たちの参加を募る予定だ。今回は、軌道を周回している本物の人工衛星をハッキングしてもらうという。

以前は、潤沢な資金と勇敢な決断力を持つ国だけが宇宙に進出できた。ここ数十年の間、人工衛星を宇宙に打ち上げられるだけのリソースを持つ国はほんのひと握りしかなかった。しかし、現在では、多くの民間企業が自社の人工衛星を打ち上げるようになり、宇宙はかつてないほど混み合っている。宇宙は今や、民間企業も平等に参入できる分野であるだけでなく、敵国が未来の戦場として使う可能性がある場所でもある。

上空数十kmのところにある人工衛星は安全と思えるかもしれないが、実際には非常な危険にさらされているとローパー氏は指摘する。「直接上昇方式の衛星攻撃兵器を打ち上げて衛星を破壊し動作不能にすることや、指向性エネルギー兵器を使って衛星を機能不全にしたり地上からの重要な情報を収集する部品を破壊したりすること、また、衛星の通信信号を妨害して意思決定者間で必要な情報の伝達が行えないようにすることも可能だ」とのこと。

しかも攻撃対象は周回軌道上の人工衛星だけではない。同氏によれば、地上局および地表と衛星間の通信リンクも、衛星本体と同様に攻撃を受ける可能性があるのだという。「我々は、サプライチェーンや組み立て部品供給企業から調達した部品を介して軍のシステム内にバグが忍び込んでいることを知らない。戦闘機や人工衛星でも状況は同じだ。存在自体を認識していないのだから、確認する方法も分からない」と説明する。目的は既存のバグを修正することだけではない。サプライチェーンを強化して、新しいバグの侵入を防ぐ必要もある。

そして同氏は「状況は切実だ。どうしても助けが必要だ」と訴えた。米空軍は、局長であるBrett Goldstein(ブレット・ゴールドスタイン)氏が「国防総省のコンピュータおたく特殊部隊」と呼ぶDefense Digital Serviceの協力を得て、Hack-a-Satというプログラムを考え出した。これはハッカーとセキュリティ研究者を募って、敵国が悪用したがるようなバグや欠陥を見つけてもらう宇宙セキュリティプログラムだ。

米空軍では特定用途化されたクローズド型システムを使うことが慣例になっていることを考えると、これは大きな方向転換である。半オープン型システムに切り替えることにより、衛星テクノロジーをより広範なコミュニティに公開でき、同時に、最高機密に属するテクノロジーへのアクセスは軍内部にいる少数精鋭の専門家とエンジニアだけに制限できる。

「実際に軌道上を周回している軍の衛星をハッキングの対象として許可するよう上層部を説得するのが予想以上に簡単だったことに驚いた」と国防長官の直属の部下であるゴールドスタイン氏は言う。「プログラムの実施にも空軍の協力についても多方面から支援が得られた」と付け加えた同氏に、ローパー氏も「愚かにも現実逃避して、脆弱性を抱えたまま戦争状態に入り、操作員がそんなシステムを使う羽目になるよりも、事前に脆弱性について知っておいたほうがよい」と言って同意した。

両氏とも、人工衛星のハッキングは選び抜かれた精鋭に行ってほしいと話す。最高のハッカーを見つけるため空軍は現在、来月行われる予選について発表した。予選では、研究者に「flat-sat」(フラット衛星)をハッキングしてもらう。flat-satとはテスト用衛星キットのことで、DEF CONで軌道周回衛星をハッキングするために必要な技術的センスとスキルを備えた人材を探し出すことを目的とする。

次ラウンドおよび最終ラウンドまで勝ち抜いた参加者が、地球の周回軌道上を動く本物の人工衛星のハッキングを行う。

「カメラを内蔵した衛星をハッキングして、そのカメラを月の方向に向かせることができるかどうかを見る。文字どおりのムーンショット(moonshotという言葉には、困難だが成功すれば大きな効果をもたらす試みという意味もある)になる予定だ」とローパー氏は語る。

結果がどうなるかは誰にもわからない。「ハッカーたちが最終的に見つけたものを公開できるようにしたい」と両氏は言う。ただ、このハッキングにより、軌道上にある衛星の実際のセキュリティバグが発見される可能性があるため、軌道上での壊滅的被害を回避するには、米空軍が重要情報を保持する必要があるかもしれない。

本記事の執筆時点では、Black HatとDEF CON(ラスベガスで毎年8月に相次いで開催される2大セキュリティコンファレンス)は予定どおり開催されるとのことだ。しかし、新型コロナウイルスのパンデミックをめぐる状況がいつ収束するのか見通しが立たないため、米空軍のチームはさまざまな想定で準備を進めている。両氏によれば、コンファレンスのバーチャル化も視野に入れて計画を進めていくつもりだという。

さらに両氏は「コンファレンスが会場で開催されても、自宅からのリモート参加というかたちになっても、開催の方向で進める」と語る。インターネット接続環境があればどこからでも参加できるのがハッキングの利点だ。

ハッカーたちが人工衛星のハッキングに成功することも期待しているが、大事なのは既存の脆弱性を見つけることだけではない。米空軍のシステムにハッキングというショック療法を施して、セキュリティに対する米空軍の考え方を改めてもらうという重要な意図もあるとローパー氏は言う。

「ハッカーコミュニティと協力することについて、従来とは異なる見方をする空軍兵や宇宙専門家の世代が生まれ、人工衛星の設計においてハッカーを頼りにする時代がやってくるのではないかと思う。そんな時代がやってくれば、サイバーセキュリティに対する姿勢も大幅に改善され、有事に備える米空軍の態勢も向上するだろう」とローパー氏は語る。

関連記事:NASAは国家の敵からの攻撃をどのように防御しているのか

[原文へ]

(翻訳:Dragonfly)

Category: セキュリティ

Tags: DEF CON ハッカー 人工衛星 ハッキング

ハッカーが密かに狙うオフィスプリンターのセキュリティ欠陥

いつでもそこにある、ほとんど目立たないオフィスのプリンターについて、あまり考えたことはないだろう。しかし、それがハッカーの餌食になっているとしたらどうか。セキュリティ研究者によって発見された数十もの脆弱性が、そのままにされていたら、十分あり得る話なのだ。

今回のDef Conのセキュリティ会議で発表された、NCCグループによる最新の調査結果によれば、オフィスプリンターをターゲットとするのは非常に簡単だという。

ちょっと考えてみよう。通常オフィスプリンターは、金融、IT企業、政府など、大規模な組織で使われていて、そうした組織の秘密や、極秘扱いの資料なども印刷する。そして、印刷内容のコピーを記録として内部に保存している。プリンターは、一般に考えられているよりも、ずっと複雑なデバイスだ。インターネットに接続された複数のコンポーネントからなり、複数のネットワークプロトコル、複数のプリンター言語とフォントに対応する。そこに複数のアプリやデバイスから接続して使う。こうしたものすべてが、それぞれ脆弱性を持っているのだ。

そのようなオフィスプリンターが狙われるのは当然だろう。機密データの宝庫なのだから。しかも、ほとんどの場合、インターネットに接続されていて、ウェブベースのインターフェースを備えている。つまり、付け入るスキはいくらでもあり、簡単にハッキングできてしまうのだ。

3ヶ月の作業を通して、研究者のダニエル・ロメロ(Dniel Romero)氏と、マリオ・リバス(Mario Rivas)氏は、HP、Lexmark(レックスマーク)、ブラザー、Xerox(ゼロックス)、リコー、京セラ、といった大手6社のプリンターメーカーの製品から、45種類の異なる脆弱性を発見し、報告した。これらが引き起こす問題の中には、印刷ジョブのコピーを攻撃者のサーバーに吸い上げることまで許してしまう、というものもあった。

また研究者は、そうした脆弱性のあるプリンターを乗っ取ってボットネットに登録し、ジャンクトラフィックを発生させて、ウェブサイトを過負荷にすることができるのも証明してみせた。あるいは、わずかな操作で、プリンターを完全に動作不能にできることも示した。それだけでも、ビジネスの運営に大損害をもたらすことになる。

「犯罪者が悪質なツールを開発して、脆弱なプリンターに片っ端から侵入し、修復不能な状態に破壊したとしましょう。そうなれば世界中の印刷機能が大きな打撃を受けることになります。医療、法律、金融サービスなど、印刷されたドキュメントに強く依存しているような部門にとっては、壊滅的な状況を招きかねません」と、ロメロ氏やリバス氏は警告する。

それだけではない。プリンターは「ネットワークへの継続的なアクセス手段」を得る方法として利用することも可能だと、彼らは指摘する。それを足がかりにして、企業のネットワークの深部にまでアクセスすることが可能になるのだ。

ほとんどの場合、プリンターは、デスクトップやノートパソコンで使われているようなマルウェア対策サービスによって保護されていない。そのため、悪意のある攻撃者は、デバイスに対する永続的なバックドアを獲得して、標的とする企業ネットワークへの長期的なアクセスを確保することさえできる。

研究者がこうしたバグを報告すると、プリンターメーカーからは、さまざまな反応が返ってきた。それ以降、すべてのメーカーは、研究者が発見したバグを修正したものの、メーカーの中には脆弱性に関する情報を開示する方法を用意していないものもあり、一部の会社とは2ヶ月以上連絡が取れず、立ち往生した状態だという。

Lexmarkは、9つの脆弱性を修正し、独自のセキュリティ報告書を発行した。こうした「誠実」な脆弱性開示の取り組みについて、研究者も称賛している。

HPも、セキュリティ報告書を発行して、5つのバグを指摘されたことを開示し、後にバグも修正した。

しかし研究者によれば、「おそらくさらに多くの」バグが潜んでいる可能性があるという。「いくつかの脆弱性を発見した時点で、探索を中断している」からだ。さらに悪いことに、ほとんどのプリンターメーカーは、複数の異なる機種で、同じコードを使いまわしている。そのため、たった1つの脆弱性が、かなり広範囲のデバイスに影響を及ぼす可能性が高い。

次からは、プリントする前にちょっと考えてみよう。

Image Credits: Getty Images

原文へ

(翻訳:Fumihiko Shibata)

「スマート」ロックは、ハッカーの簡単なトリックで破られる

august-smart-lock

モノのインターネット(あれをそう呼ばなくてはいけないのであれば)が酷い、というのは公然の秘密だ ― 標準についても相互利用についてもセキュリティーについても。もっとも、スマート電球やコーヒーメーカーに、高度なセキュリティーは実際必要ない。しかし、玄関ドアのスマートロックは、簡単にハックされるべきではない。

今年のDEF CONで、平均的スマートロック― 高級なものでも ― を信用できるようになるまでの道はまだ長い、という発表が2件あった。これに驚く人もいるだろうが、何年も前から言い続けた人たちもいる。こういう連中はいつでも嬉々として危険性を証明してみせる。

Merculite SecurityのAnthony RoseとBen Ramseyは、200ドル以下で揃う市販の道具を使って、 ちょっとしたロックハッキングを披露した。難易度は様々だったが、最終的に16台中12台が破られた。

Quicklock、iBluLock、およびPlantrac oのスマートロックは、パスワードを平文テキストで通信しているため、Bluetooth盗聴器を持つあらゆる人に対して脆弱だ。正規のユーザーがドアを解錠した時に無線傍受したデータを再生しただけで開いた錠もあった。1バイトを暗号化したデータを受信するとフェイルステートに入り、デフォルトで解錠状態になるものも。

vulnerable_locks

これも注目すべき情報。ふたりがちょっとしたウォードライビング(無防備な無線ネットーワークを探すドライブ)をしたところ、自らスマートロックであることを名乗るものがたくさんあり、アタッカーが攻撃対象を見つけやすくしていた。

全体的にかなり悲惨な状況だが、RoseとRamseyの挑戦に耐えたものもあった。NokeとMasterlockのスマート南京錠が生き残り、Kwikset Kevoも頑張ったが、それもネジ回しで開けられるまでだった。もちろんこれは反則だが、問題であることに変わりはない。

おそらく最も心配なのは、不具合を知らされた12社のうち、返答があったのは1社だけだったという事実だろう。しかもその1社も修正の計画はない。

Merculite社が破れなかったうちの一つ、Augustドアロックは、中では比較的よく知られたブランドだ。幸い、別の誰かがすでにこれを破壊するミッションを遂行しいる。

Jmaxxzの楽しませるミーム満載のプレゼンテーションは、Augustの説明に多くの嘘があることを暴いた。不法侵入者が暗証番号を探すためにあなたのログを狙う可能性は低いかもしれないが、セキュリティーホールは本物だ。

why_god_bluetooth

パケットモニタリングなど従来の方法では入手の難しかったデータが、ログなどに平文テキストで入っていることがある。Jmaxxzは、必要以上に手間を掛けたくないタイプのハッカーだが、当然のことだろう。

Augustについけは、良い点と悪い点がある。そして会社の名誉のために書いておくが、同社の対応は迅速で、多くのセキュリティーホールがすでに修正されているとハッカーは言っている。とは言え、APIコールの文字列を “user” から “superuser” に変えるだけで、ゲストユーザーがロックのパーミッションが得られるというのは信じがたいことではある。

今のところ、スマートロックの長所は利便性であり、短所はセキュリティーのようだ。 プール小屋や義母の家のセキュリティーが平均以下でも気にならないなら、キーチェーンを軽くする良い方法だろう ― ただし、玄関のドアに関しては、もっと良い方法を考えるべきだ。

原文へ
 
(翻訳:Nob Takahashi / facebook