史上最大の詐欺スタートアップ、セラノスを描いた『The Inventor」がサンダンス映画祭でプレミア上映

一時の飛ぶ鳥を落とす勢いから廃業へと追い込まれたバイオテクノロジーのスタートアップTheranosのファウンダーで、刑事責任を問われているElizabeth Holmesの失敗を描いた長編映画が、2019年にユタ州パークシティーで行われるサンダンス映画祭で正式デビューする。

“The Inventor: Out for Blood in Silicon Valley” と題したその映画は、アレックス・ギブニーが監督を務め、ギブニーおよびジェシー・ディーターエリン・エダイケンが制作する。ギブニーはオスカー受賞監督で、 “Taxi to the Dark Side”[「闇」へ]、”Enron: The Smartest Guys in the Room”[エンロン 巨大企業はいかにして崩壊したのか?]、”Going Clear: Scientology and the Prison of Belief” [ゴーイング・クリア:サイエントロジーと信仰という監禁]などのドキュメンタリー映画で知られている。

ギブニーはHBOとチームを組んでHolmesを調査した。「並外れた努力で入手した未公開映像と重要なインサイダー証言に基づき、ギブニーがシリコンバレーのうますぎる話を描く。事実に基づく強盗映画のドラマにくわえて、なぜ事件が起きたのか、誰の責任なのかを検証しつつ詐欺の心理を探るドキュメンタリーだ」とHBOが作品を紹介している

Holmesは2003年に、(多くのテクノロジー成功者がそうしたように)スタンフォード大学を中退し、医療を破壊するべくTheranosを設立した。彼女の会社は複数の著名投資家から10億ドル近いベンチャー資金を集め、企業価値が100億ドルを超えたこともあった。Holmesは自らの力でセレブの地位を獲得し、スタートアップ「ユニコーン」を経営する最年少の女性としてもてはやされた。

そしてすべてが消滅した

Theranosが発明したと謳っていた血液1滴しか必要ない血液検査は偽りだった。その後いくつもの裁判と連邦政府による捜査の結果、HolmesおよびTheranos代表のSunny Balwaniは、「複数年にわたる巧妙に仕掛けられた詐欺的手段による同社の技術、事業および財務状態に関する誇張あるいは虚偽の陳述」について有罪判決を受けた。

Wall Street JournalのJohn Carreyrou記者が同社の盛衰を綿密に調査した著書 “Bad Blood: Secrets and Lies in Silicon Valley” が今年発刊されたことで、さらに詳細が明らかになった。同記者の取材に基づく映画作品も制作中で、これは2019年にはTheranos映画を2本見られる可能性があることを意味している。

映画 “Bad Blood” は、主演のHolmes役にジェニファー・ローレンスが予定されている。”Shape of Water”のヴァネッサ・テイラーが脚本を担当し、アカデミー賞候補監督のアダム・マッケイ(”The Big Shot”)が監督を務める。

今年のサンダンス映画祭には新記録となる1万4259作品から初回上演への応募があり、わずか112作品が選ばれた。映画祭は2019年1月24日から2月3日まで行われる。

[原文へ]

(翻訳:Nob Takahashi / facebook

ジェニファー・ローレンスのヌード写真はなぜ流出したのか―ハッカーから身を守るには?

すでにご存知だろうが、ジェニファー・ローレンス、アリアナ・グランデ、ビクトリア・ジャスティス、ケイト・アプトンら100人前後の女性セレブのヌード写真がインターネットにリークした。リーク元はiCloudアカウントらしく、まず4Chanでインターネットに公開され、続いてあらゆる場所に拡散した。iCloudは写真、メール、連絡先その他の情報を自動的にクラウドにバックアップし、同じユーザーが利用するAppleのデバイス間で同期を行う。ジェニファー・ローレンスはリーク写真が本物だと認めた。他の写真の多くも本物らしい。

匿名のハッカーは画像を最初に4Chanに投稿し、iCloudのアカウントから盗んだものだと主張した。ハッカーはPayPalとBitcoinによる寄付を募ったが、集まったのは0.2545 BTCに過ぎなかった。この寄付は次のアドレスから確認できる。 18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa

iCloudそのもののセキュリティーが破られたとは考えにくい。しかしインターネット・セキュリティー全般をもう一度チェックする機会として、セレブ写真のハックがどのように行われたか考えてみよう。

マスコミ

メインストリームのメディアは「スマートフォンがハックされた」と報じている。しかしマスコミの使う「ハック」という単語はその内容が非常にあいまいだ。ローレンスは以前、「私のiCloudは『バックアップしろ』って言うんだけど、どうしたらいいか分からない。自分でやってくれればいいのに」と語っていたからiCloudを利用していたことは確かだ。画像のメタデータからするとリーク写真の大部分はAppleのデバイスで撮影されたもののようだ。.

「ハック」の内容

iCloudが ハックされたという記事があるが、Appleからはもちろん確認されていない(この可能性については後述)。iCloud自体のセキュリティーが破られたという可能性は低いが、ハッカーが特定のセレブ・ユーザーを対象にパスワード攻撃、ソーシャルエンジニアリング攻撃、「パスワードを忘れた場合」攻撃、ないしその組み合わせを仕掛けたということは考えられる。

メールアドレスとパスワードの推測

ジェニファー・ローレンスはTimeの記事で「自分のメールアドレスにはキーワードが含まれている」と語った。これは賢明な発言ではない。いずれにせよメールアドレスがわかれば偽のiTunesストアにおびき寄せるようなメールを送ることができる。被害者は偽のページにパスワードを入力してしまう。Guardianはこのようなフィッシング攻撃がリークの原因ではないかと推測している。

標的の生年月日と「秘密の質問」の答えを知っていればAppleシステムの「パスワードを忘れた場合」を使って新しいパスワードを設定できる。セレブの場合、プライベートな情報が大量に出回っているので、「秘密の質問」の答えが推測できてしまう可能性は十分にある。

iCloudのセキュリティー対策

しかしiCloudにアクセスする場合、Appleはいくつかのセキュリティー対策を施している。ユーザーが新しいApppleデバイス(OSXまたはiOS)からiCloudにアクセスした場合、iCloudはユーザーのメールアドレスに新しいデバイスからのログインがあったと通知する。またiCloudアカウントが設定されているすべてのAppleデバイス(iPhone、iPad、Mac)に同じメッセージが送られる。

もしユーザーが新しいデバイスからログインしたことがないなら、その通知を受け取ったユーザーは「ハック」されていることに気づくはずだ。メッセージは新たなログインと同時に送信されるから、すぐに気づいてパスワードを変更すればハッカーが30日分の写真をダウンロードする時間はないかもしれない。

ブルートフォース攻撃

もうひとつパスワードを手に入れる方法はランダムにパスワード入力を繰り返すブルートフォース攻撃と呼ばれるものだ。スクリプトによるiCloudアカウントへのブルートフォース攻撃は理論的には可能だ。

Next Webの記事によれば、最近、悪意あるユーザーがiCloudにブルートフォース攻撃を仕掛けるPythonスクリプトをGithub(その後Hacker Newsにも転載)にアップロードしたという。これはFind my iPhoneサービスの脆弱性を利用したものだったが、Appleはすでにこの脆弱性を修正ずみだという。このスクリプトが今回のリークの原因かどうについてはまったく情報がない。

その他の可能性

上記以外にもリークの原因はさまざまに考えられる。Androidで撮影されたらしい写真もあるのでリーク元はすべてがiCloudではないかもしれない。セレブのWiFiが盗聴されたのではないかという説もある。リークは往々にしてアシスタント、ボディーガードなど身内の人物が手を貸している。デバイスを紛失したり盗まれたりすればアカウントにアクセスされてしまう。。

2ステップ確認を使おう

もっとも効果的なのはiCloudの2ステップ確認(Googleの場合は「2段階認証」)を有効にすることだ。新しいデバイスからログインする際に、ユーザーはパスワードと同時に指定したモバイルデバイスに送信される確認コードを入力しなければならない。つまりハッカーはパスワードを知っても、確認コードを知らなければログインできない。Apple、Googleだけでなく、ほとんどの主要サービスが2段階認証をサポートしている。

またパスワード再発行の際に必要になる「秘密の質問」を「ペットの名前」のような見え透いたものにすることを止める必要がある。qwertyとか123456といった馬鹿げたパスワードを使わないのももちろんだ。

それでもまだ心配なら、設定を開いてiCloudへの写真の自動バックアップをオフにしておくことだ。

これが初めてではない

セレブのプライベート写真がリークしたのはこれが初めてではない。2011年にも大勢のセレブの写真が流出した。犯人のChristopher Chaneyは単なる推測でパスワードを得てメールアカウントに侵入していた。Chaneyは裁判で懲役10年を宣告された。しかしこうした事件でハッカーが逮捕されることはめったにない。ユーザーは結局、自分で身を守るしかない。

[原文へ]

(翻訳:滑川海彦@Facebook Google+