Yahoo、パスワード無しログインを導入 ― 携帯電話は失くさないように

Yahooは、ユーザーがパスワードを覚えているどうか、あるいは簡単に予測されたりハックされたりするパスワードを作ってしまうかどうかに依存するしくみを終らせるべく、必要な時にワンタイムパスワードを送る新しい「オンデマンド」システムを導入する。

新しいアプローチはセキュリティーを高め、ユーザーのYahooアカウントをハックされにくくすることが目的だ。ある意味でそれは達成されている。無数の人々が覚えやすいパスワードを様々なサービスで再利用しており、メールアカウントも例外ではない。これはその性質上ハックされやすい(ランダムなパスワードの方が望ましい)だけでなく、本質的に危険である。もし破られると、その人のデジタル個人情報の大きな部分、あるいはオンラインでの存在〈全体〉がオープンになるからだ。

オンデマンド・パスワードは、1度ログインすると使えなくなり、そのYahooアカウント専用なので、パスワード破りの連鎖が起きにくくなる。しかし、そこにはかなり大きな落とし穴がある。つまり、もし携帯電話を落としたら、拾った人物は持ち主のメールへの侵入チケットを手に入れることになる。

もしSMS通知がロック画面に表示さる設定になっていると、携帯電話がロックされる前に、オンデマンド・パスワードが表示されることもある。もし携帯電話を落とすと、それを拾った者はパスワードを知らなくてもIDがわかればあなたのYahooアカウントに入れてしまう。

メインパスワードを入力するとSMS経由で一時パスワードが送られてくる「2段階パスワード」の方が安全なアプローチの方かもしれない。YahooはCNETに対して、これは「パスワードを排除する第一歩」だと言っているので、今後も続いて出て来ることを期待している。

Yahooがモバイルのセキュリティーに焦点を当てたことは正しい。平均的インターネットユーザーが慢性的にベストプラクティスを実行していないからだ。ITに強い人でさえ該当する。最良のアプローチは、やはり1PasswordまたはLastPass等のパスワードマネージャーを使い、リスクを認識しておくことだ。

関連したニュースとして、同社はエンドツーエンド暗号化プラグインを垣間見せた。South by SouthwestでGoogleと共同で取り組んでいるものだ

下のビデオ(via via The Verge)は、Yahooのソリーションが一般的な暗号化オプションと比べてどんなに簡単か見せることが目的だ。この機能はユーザーが設定しないと有効にならない。有効化されるとメール本文が暗号化され、タイムスタンプや題名などの基本的事項は平文のまま送られる。Yahooは今年中の公開を目標にしている。

[原文へ]

(翻訳:Nob Takahashi / facebook


Googleのエンド・ツー・エンド暗号化プラグイン開発、一歩前進―鍵サーバーはGoogleが運営

1年半ほど前、Googleは誰でも手軽にメールを暗号化できるよう、メール暗号化プラグインを開発中だと発表した。 そのツールのリリースが近づいてきたらしい。

まだ一般公開の段階には至っていないものの、今週、GoogleはEnd-to-End暗号化プラグインをGitHubに登録し、デベロッパーが実際に安全であるかテストできるようにした。またこのツールの仕組みについてもいくつか新しい情報が発表された。

メール暗号化というのは長い間頭痛のタネとなっている。公開鍵暗号自体はそう複雑なものではない(「公開鍵」というコンセプトは理解するのが最初は少し難しいかもしれないが)。 最大のハードルは、公開鍵暗号を技術的知識のない一般ユーザーが簡単に使えるようにする点にあった。現在利用可能なツールとしてはMailvelopeというChromeプラグインがいちばん使いやすいだろう。しかしそれでも公開鍵暗号の仕組みについて基本的な知識を必要とする。

End-to-Endプラグインはまだ開発途中だが、Googleの説明によると、「誰でも使える」ことをデザインの主眼としているらしい。たとえば暗号化キーのサーバーはGoogle自身が運営する。他のOpenPGPベースのシステムでは特定の暗号化キーが特定のユーザーに対応していることを保証するために web of trustという保証の連鎖を用いる方法を採用している。「この方法で暗号化キーの正統性を認証するにはユーザー側で相当の作業が必要になるうえ、一般ユーザーにはその概念の理解が難しい」とGoogleのEnd-to-Endチームはドキュメンテーション中で述べている。

これに対してGoogleはもっと中央集権的なアプローチを採る。ユーザーの公開鍵はGoogleのサーバー内に自動的に登録され、キー・ディレクトリとして公開される。あるEnd-to-Endユーザーが別のユーザーに暗号化メールを送りたい場合、システムはキー・ディレクトリをチェックし、正しい鍵を選んで暗号化する。鍵配布の正確なメカニズムについてはこちらを読んでもらうとして、重要な点は、Googleが鍵サーバーを運用することによって公開鍵システムの一般への普及を阻んできたハードルの非常に大きな部分が除去されるという点だ。

このEnd-to-EndプラグインはGmail以外のウェブアプリにも暗号化サービスを提供できるという。これは朗報だ。Gmailの暗号化専用ツールというにとどまらず、他のメールやサービス、たとえば各種のインスタント・メッセージも暗号化できるとなればその影響はきわめて大きい。Yahooはすでにこのプロジェクトに協力しているというので、他のメジャーなウェブメールやメッセージ・サービスのベンダーも加わるかもしれない。

Googleによれば、鍵配布とUIに関する問題点が完全に解決されるまではアルファ版の公開は行わないという。しかしいろいろな情報を総合すると、2015年にはなんらかの形でローンチが行われるものと期待してよさそうだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Yahoo、Googleと協働してエンドツーエンドのメール暗号化実現へ

YahooはGoogleと協働して、電子メールにてエンドツーエンドの暗号化を実現する予定であるとのことだ。政府やハッカーたちによる覗き見の危険性を気にすることなく、プライベートな通信が行えるようになる。このアナウンスはBlack Hatセキュリティカンファレンスの壇上で行われたものだ。

Yahooの情報セキュリティ部門チーフのAlex Stamosによると、Yahooは今年末あたりにも、暗号化の仕組みに用いるソースコードを公開したいとのこと。曰く「Googleとも密接に連携しながら、双方のエンドツーエンドの暗号化に互換性をもたせるべく作業を続けているところです」とのことだ。

Googleも6月にメールにおけるエンドツーエンドの暗号化を構築中である旨をアナウンスしていた。このYahoo-Googleの共同歩調が他のプロバイダにも波及して欲しいところだ。メジャーなメールサービスが相互に流通するメッセージを暗号化してやりとりするようになれば、利用者はより多くの利用者がセキュアな環境を利用できるようになる。

もちろんこうした動きはスノーデンによる情報収集活動についての暴露に端を発するものだ。以来、情報をよりセキュアなものとするための動きがあちこちで繰り広げられている。YahooおよびGoogleの両者は、NSAがデータセンター間の通信ケーブルの情報を傍受していることを明らかにしてから、データセンター間の通信の機密性を強化する旨をアナウンスしていた。

ネットワーク上では、一般の利用者でも簡単に用いることのできる暗号化技法が必要とされている。Yahooもそうしたニーズに真摯に応対しようとしているわけだ。

原文へ

(翻訳:Maeda, H


Google、簡単に使えるメール暗号化用Chromeプラグインの開発を準備中

Googleが本日アナウンスしたところによれば、ウェブベースのメールサービスで利用できる、簡単なエンドツーエンドな暗号化プラグインのリリースに向けて準備中であるようだ。暗号化技術としては、標準のOpenPGPを用いるとのこと。

Googleの狙いは、テック系以外の人も簡単にメールの暗号化を行えるようにしようとすることだ。現在もMailvelopeなどの拡張機能もあるが、Gmailや一般的なメールサービスを使いながら、メールの暗号化を行うのはなかなかとっつきにくいものとなっている。使い勝手の悪さやわかりにくさのせいもあって、現在のところはメールの暗号化を行っている人はあまりいないという状況だ。

ちなみに、Googleはプロジェクトが進行中である旨をアナウンスはしたが、プラグインのリリースはまだ行っていない。ソースコードを公開してテストを行い、広く意見を求めているところだ。OpenSLLライブラリではHeartbleedバグもあったことであり、より慎重な姿勢をとっているということなのだろう。「不完全な状態で世に出せば、さまざまな亜種が生まれてしまうことにもつながります」ということも懸念しているようだ。これもまた正しいスタンスだろう。

このプラグインはVulnerability Reward Programに属する。したがって、問題点を発見した人には報奨金が支払われることになる。

アナウンスによると「ウェブベースのメール」を使っている人は「誰でも」利用できるようになるとのこと。すなわちGmailだけでなく、他のメールサービスでも利用できるようになるということだ。メールというのは送信人がいれば受取人もいるわけで、Gmail以外でも利用できるようにするというのは、当然の選択肢だろう。

プラグインがどのようなものになり、どの程度簡単に利用できるようになるのかについてはまだわからない(まだ多くのテストを経てさまざまな改良がなされることになるのだろう)。利用する公開鍵方式の暗号化技術を使うには、なかなか複雑な手順が必要となるのがこれまでの常だった。これを広く一般の人にも使ってもらえるシステムにしようというのが、なかなか難しいものであることは否めない。

ちなみに、暗号化用拡張機能の話のみでなく、Googleは「送信中メールの暗号化」と題した「透明性レポート」も公開した。送信者受信者間でメールが流れていく際に、どの程度の暗号化が行われているのかということを検討したものだ。現在のところはGmailから送信する場合は65%ほどが暗号化されるようになっているとのこと。他サービスからの受信メールについてみると割合は低下し、暗号化率は50%ほどになるとのことだ。ドメイン毎の暗号化率などについても「送信中メールの暗号化」のページで確認することができる。

原文へ

(翻訳:Maeda, H


クラウドストレージサービスを完全暗号化で使えるnCrypted Cloudのサービス

DropboxやGoogle Driveなど、広く使われているファイル共有サービスを企業が利用するときには、万が一ハッカーにやられたときの、ファイルの盗難や改竄が心配になる。そこでこのたび登場したnCrypted Cloudは、あらゆる場所で、あらゆるものを暗号化すると同時に、誰がいつどのファイルにアクセスしたかという完全な記録(audit trail, 監査証跡, 追跡記録, オーディットトレイル)をつける。

このnCryptedサービス経由でDropboxやGoogle Drive、SkyDrive、Boxなどを利用すると、ファイルは暗号化されてから保存される。すでに保存されているファイルを暗号化することもできる。ベテランの起業家Nicholas Stamosと暗号技術の名人Igor Odnovorovが創ったnCryptedは、すでにMicrosoftやCisco、Reveal Imaging、Broadcomなどから計300万ドルのシード資金を獲得している。今は、早くもシリーズAを模索しているところだ。

Stamosはこう説明する: “nCrypted Cloudは、その実装にPCSモデルを採用しているので、企業のIT部門はクラウド上で共有されるデータの保護責任をエンドユーザに委譲できる。しかし責任には説明責任も伴うからnCrypted Cloudは、どんなネットワーク、どんなデバイス、どんなクラウドストレージサービスにおいても、、データの利用やアクセスに関する監査記録をつけ、ユーザのアクティビティを一望にできるようにしている”。

“これまでユーザが生成した監査イベントは累計で1億を超えている。また、弊社が暗号化したファイルの数は1000万を超えている。大企業の顧客が多いが、セキュリティ上の理由から、その名を明かすことはできない”。

小企業や個人も、このサービスを利用できる。そのレベルの利用プランは無料である。大企業向けの有料プランについてはここをお読みいただきたい。Stamosいわく、このアプリケーションはあくまでも各個人の説明責任が主であり、トップダウンの上意下達形のツールではない:

“わが社のサービスによって企業のIT部門は初めて、データの所在や移動に関する総合的な姿見(すがたみ)を入手したことになる。企業の外部や、企業のものではないデバイスに関しても、ファイルの所在・移動をチェックできるのだ。しかもオーディエットトレイルにより、異状を早期に発見修復できる。弊社が採用している説明責任を核とするモデルは、これこそが唯一の、スケーラビリティのあるモデルであり、われわれの一般社会の原理原則でもある(一点・上部管理型はスケールしない)。分かりやすい例が、各州が採用している65mphのスピード制限だ。でもそれは、車に対する速度制限ではない。なぜなら、車が時速何mphで走るかは、ドライバー自身の説明責任に属するからだ。その方が、道路上の車の流れも良い。弊社のサービスでも、個々のエンドユーザは迅速に効率的にファイルアクセスやファイルの移動・保存ができ、しかもそれと同時に、データの保護という企業の要件も満たされる。nCrypted Cloudは、この相(あい)対立する二項の均衡を実現している”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


GoogleのCloud Storage, これからは全データを自動的に暗号化

今日を皮切りに、GoogleのCloud Platform上のユーザデータはすべて自動的に暗号化される。同社のCompute EnginePersistent DisksScratch Disksはすでにデータがすべて暗号化されていたが、同社の今日の発表ではGoogle Cloud Storageのデータもすべて、128ビットのAdvanced Encryption Standardで暗号化される。

今日の発表でGoogleは、次のように説明している: “各オブジェクトのキーも、そのオブジェクトのオーナーに結びつくユニークなキーで暗号化される。さらにこれらのキーは、定期的にローテーションされるマスターキーの集合のどれかを使ってさらに暗号化される”。デフォルトでは、データのキーをGoogleがユーザに代わって管理するが、ユーザはデータをCloud Storageに書き出す前に独自に暗号化してもよい。暗号のセキュリティについて神経質な人は、Googleにキーの保存と管理を任せるのは不安だろう。しかしGoogleは曰く、“Googleが自社の暗号化データに対して用いているものと同じ、強化されたキー管理システムを使って、厳しいキーアクセスコントロールと監査を行う”。

この暗号化は新たに書き込まれるデータに対しては今日から有効だが、前からあるオブジェクトに関しては“今後数か月内に”暗号化を行う、という。

なおAWSのクラウドストレージS3は、2011年ごろから256ビットのAdvanced Encryptionによるサーバサイドの暗号化を提供している。またセキュリティ基準がより厳しい企業や政府機関など向けにAmazonは最近、専用ハードウェア(高価!)によるHardware Security Moduleを導入して、Amazonのクラウドにおける機密データや暗号キーの管理を行っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))