タグ: mobile security

Androidユーザー50万人がGoogle Playからマルウェアをダウンロード

50万人以上のAndroidユーザーが、ドライブゲームを装ったマルウェアをダウンロードした——Googleの専用アプリストアでの出来事だ。

ESETのセキュリティー研究者Lukas Stefankoは、13本のゲームアプリ——同じ開発者による——の詳細をツイートした。その時アプリはまだGoogle Playでダウンロード可能だった。うち2本はアプリストアの人気ランキングに入っていたため、いっそう目立っていた、と彼は言った。

Googleが削除するまでに計58万回以上インストールされた。

ダウンロードした人はトラックか車のドライブゲームを期待していた。代わりに手にしたのは開くたびにクラッシュするバグだらけのアプリだった。

実際には、そのアプリは別のドメイン(イスタンブールのアプリ開発者が登録)からデータをダウンロードし、裏でマルウェアをインストールしながらアプリのアイコンを消していた。悪意のアプリが正確に何をするのかはわかっていない。VirusTotalにアップロードされたサンプルを見る限り、このマルウェアが何をするかはマルウェアスキャナーの間でも一致していない。はっきりしているのは、マルウェアに持続性があることだ——Android携帯またはタブレットをスタートさせるたびにアプリは立ち上がり、ネットワークに「フルアクセス」できるため、マルウェア作者はそれを利用して秘密を盗み出す。

本誌はイスタンブール拠点のドメイン所有者Mert Ozekに接触を試みているが、今のところメールへの返信はない。

またしてもこれはGoogleによる恥ずかしいセキュリティー欠陥だ。Googleはアプリとモバイルのセキュリティー対策でAppleに遅れを取っていることで長年批判されている。Appleは壁に囲まれた庭にどのアプリを入れるかに関してはるかに限定的で選り好みが強いと言われている。

GoogleはAndroidのセキュリティーを強化すべく、セキュリティー機能を改善し、きめ細かなアプリ許可制御を導入した。しかし、その後もGoogle Playアプリストアでは詐欺や悪意あるアプリとの戦いが続いており、Androidユーザーにとって最大の脅威の一つとなっている。Googleは昨年だけで70万以上の悪質アプリをアプリストアから削除し、悪意あるアプリがそもそもストアに入り込むのを防ぐために、バックエンドの改善を試みた。

しかし、それでもまだ十分ではないことが明らかだ。

Google広報は本誌の問い合わせに対してすぐにはコメントしなかった。

Gift Guide: The best security and privacy tech to keep your friends safe

[原文へ]

(翻訳:Nob Takahashi / facebook

スマートフォンを充電するたびにバックアップを自動的に行うMeemのUSB充電ケーブル

meem_ks_img_cover

スマートフォンをバックアップするのまた忘れただろ? Meemの新製品は、まさにそんな悩みのソリューションかもしれない。同社が作ったiOSとAndroid用の電源ケーブル(上図)は、スマートフォンに差し込むたびにそのデバイスをバックアップする。Kickstarterのキャンペーンで成功したこのケーブルは、今週初めに一般発売された。

スマートフォンの使い方は大きく変わり、それをコンピューターに挿入することはめったになくなった。でも、スマートフォン上のデータは重要だし、クラウド上のストレージサービスは安全性をいまいち信用できない。では、バックアップを毎日の日課にするためにはどうしたらいいか。

Gotta love some cable porn. Phwoar.

爆発したケーブルは最高にセクシー!ワーォ!

Meemによると、ケーブルは物理デバイスだから(クラウドサービスでもコンピューター上のファイルでもないから)、より安全である。それも一理あるが、あなたはどうかな。ぼくなんかこれまでに、忘れたクラウドのパスワードよりも、なくした充電ケーブルの方が多い。

Meemの良い点は、ユーザーがいちいち意識しないことだ。デバイスのバックアップは忘れても、充電を忘れることはまずない。Meemのケーブルをつないで4桁のPIN(暗証番号)をタイプすると、ユーザーの個人データがたちまちバックアップされる。スマートフォンを充電するたびに。

関連記事

Backblaze's Low-Cost Cloud Storage Service Comes Out Of Beta
Mophie Space Pack Review: Have Some Extra Storage With Your iPhone Backup Battery
Hands-On With The Iomega Superhero iPhone Back-up And Charger
iDrive Debuts 1 TB And 2 TB Wireless Drives Offering Encrypted Local Backups And Cloud Storage

この充電ケーブルはiPhone用もAndroid用も16GBと32GBの2タイプある。電話機上の全データはもっと多いが、どうしてもバックアップすべき個人データはそれほどでもない。オペレーティングシステムやアプリは、個人的にバックアップする必要がない。同社によると今後は、USB-Cバージョンを出すそうだ。

Meemのプロダクトは1月にKickstarterのプロジェクトとしてスタートし、かろうじて目標額は達成したが、同社のトップは経歴がすごい。CEOのKelly SumnerはGrand Theft Autoで有名なTake-Two InteractiveのCEO、Guitar HeroのRedOctaneのCEO、そしてKickstarterキャンペーンの前にはイギリスのクラウドファンディングプラットホームCrowdCubeで71万ポンド(100万ドル】を282名の個人投資家から集め、会社の時価総額を1100万ポンド(1630万ドル)にふくらませた。

ケーブルはMeemのWebサイトとAmazonで入手できる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Apperianのモバイルアプリ管理がAPIを公開、サービスの個別機能を利用できるように

shutterstock_151685963

モバイルアプリの管理(mobile app management, MAM)をクラウドからのサービスとして提供しているボストンのApperianが、デベロッパーがこのサービスの各機能を個別に利用できるために、このほどAPIの集合を公開した。

これによりデベロッパーは、セキュリティやライフサイクル管理、アプリの配布など、Apperianのさまざまな部分を、サービス全体の有料ユーザーにならなくても利用できる。

これまでは、一部の機能だけを使いたい企業でも、プラットホーム全体のユーザーにならざるをえなかった。しかし個々の機能がAPIとして提供されると、ユーザー企業のエンタープライズモバイルアプリが必要とする機能だけを使えることになる。

たとえば、Apperianのセキュリティの部分を使いたいがライフサイクル管理やカタログ機能は要らないという企業は、APIを使ってそれができる。

Apperian mobile application mangement platform components: security, lifecycle management and distribution.

画像提供: Apperian.

 

Apperianのプラットホームを構成しているさまざまな成分から、ビジネスロジックだけを取り出せば、IT部門やデベロッパーたちは、アプリの彼らがいちばんよく知っている部分に集中でき、セキュリティや管理をApperianに任せられる。

Apperianのマーケティング担当ディレクターChris Hazeltonは、こう説明する: “アプリケーションに関しては今後も変えたくない企業でも、セキュリティと管理に関しては弊社の技術を利用してコンスタントにアップデートしアップグレードしたいと思っている。そうするとアプリの本体とは別に、セキュリティと管理が進化していける”。

関連記事

Apperian Snares $12M As Mobile Applications Management Catches On
Apperian Gets Strategic Investment From Intel Capital To Develop Platform For Managing Windows Apps
Apperian Raises $9.5M For Enterprise Mobile App Deployment Platform

エンタープライズモバイル管理(enterprise mobility management, EMM)という幅広い範疇の中でApperianの中心的な差別化要因は、VMware AirWatchやMobileIronのようなモバイルデバイス管理(mobile device management, MDM)のベンダと違って、デバイスのセキュリティには関与しないことだ。むしろ同社のアプローチは、顧客に、デバイスとは別個にアプリのセキュリティを確保させることだ。これによって顧客は、内部的に社員だけでなく、契約企業やパートナーなど外部の関連部門ともアプリをシェアできる。そしてその際、デバイスのセキュリティには関与しない。

MDM方式が求めるように、外部関連部門が使っているデバイスに顧客企業のITがアクセスするのは至難だから、Apperianの方式の方が実用性が高い。

Apperianのマーケティングとプロダクト担当最高責任者Mark Lorionはこう語る: “弊社のアプローチの顕著な特徴は、セキュリティを個々のアプリレベルで実装するから、管理されていないデバイスに対してもアプリをセキュアに配布できることだ”。

なお、APIを利用できるのは、Apperianの顧客とパートナーのみである。

同社は2009年に創業し、これまでに4000万ドル近くを調達している。いちばん最近のラウンドは、2015年9月のシリーズC 1200万ドルだった。Apperianは16の特許を保有し、社員は66名、125社の顧客の中にはCisco, Toyota, Walgreens, AT&T, そしてTransportation Safety Administration(運輸安全庁)などがいる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

企業のモバイルセキュリティ対策に革新をもたらすとするBluebox、新たに1800万ドルを調達

企業向けのモバイルセキュリティサービスを提供するスタートアップのBlueboxが、シリーズBにて1800万ドルの資金を調達した。このラウンドに参加したのはTenaya Capital、Andreessen Horowitz、Sun Microsystemsの共同ファウンダーであるAndreas Bechtolsheim、およびSV Angelだ。Tenaya CapitalのBrian Meltonは、Blueboxの取締役に就任する。今回のラウンドにより、調達額合計は2750万ドルになる。シリーズAは2012年7月に950万ドル規模にて行われている。

尚、このBlueboxは2年前から活動を行っているのだが、未だに一種のステルスモードにある。しかしどうやらいよいよ公に活動する時期が迫っているという話だ。明らかにされているところでは、このBlueboxは企業向けにモバイル関連のセキュリティソリューション・サービスを提供する。いろいろな調査でも明らかになっているように、今や従業員の85%が、自分たちのスマートフォンやタブレットを使って、個人用途と仕事用途双方のアプリケーションをインストールしたり、あるいはウェブサービスを利用したりしている。これにより企業にとってのセキュリティ面での危険性が増すことにもなっている。Bluboxは、こうした従業員所有によるデバイスの企業データへのアクセスを容認しつつ、適切なセキュリティ機能を提供しようとするものだ。

これだけではBlueboxの提供するサービス内容がよくわからないが、しかし同社には名の知れた企業セキュリティ関連のエキスパートが集っているのだ。たとえばCEOのCaleb SimaはSPI Dynamicsの買収によりHPで仕事をしていた人物で、HPではApplication Security CenterのCTOを務めていた。ウェブアプリケーションにおけるセキュリティソリューションの構築の責任者であったわけだ。またSPIの前にはInternet Security Systems (ISS)のX-Force R&Dチームに所属していて、S1 CorporationでのSecurity Engineerとしての経歴も持つ。共同ファウンダーのAdam ElyもSalesforce.comのHerokuにてChief Information Security Officerを務めていた。またTiVoでもセキュリティ部分を担当し、Walt Disney CompanyのDisney.comやESPN.com、あるいはABC.comなどのセキュリティ担当も行った。Sima曰く「Blueboxではデータ面からするアプローチで、モバイルセキュリティに本当に必要なことはなにかということを考えぬいたユニークなサービスを提供します」と述べている。

2012年にBlueboxを立ち上げた際、Simaは他者との大きな差別化要因のひとつは同社が持つ「セキュリティDNA」にあるのだと話していた。「対処しなければならない問題は何かということについて、私たちは正確な認識をもっています。そして対処方法も熟知しているのです」とのことだった。「これまでに私たちと同様のアプローチをとっているサービスはありません。既存サービスに対し、正面から戦いを仕掛けて業界内地図を完全に塗り替えていくつもりです」とも述べていた。

社員による個人モバイルデバイスを使った企業データへのアクセスはますます増加する傾向にある。厳重なセキュリティ対策の実現は企業にとって喫緊の課題となっている。もちろんこの分野に取り組むのはBlueboxのみではない。サービス展開にあたってはLookoutなどと競合していくこととなる。また、この分野においては、有望なスタートアップを買収する動きも活発化している。OracleIBMなども買収など、この分野への参入を目指しているようだ。

原文へ

(翻訳:Maeda, H


モバイルのセキュリティ攻撃を防ぐだけでなく犯人に逆襲もするZimperiumが$8Mを調達

あなたは今、空港にいる。ポケットからiPhoneを取り出し、空港のWiFiを利用してメールをチェックしようとする。そう、あなたは最初の間違いを犯したのだ。空港のネットワークはセキュリティが良いから、ハッカーの被害に遭うことはない、とあなたはうかつにも想定した。

Sierra Venturesからの800万ドルの資金調達を今日(米国時間12/20)発表したZimperiumは、ユーザを空港などの場所で攻撃から守るための、モバイル技術を作っている。

また同社が作っているITアドミニストレータのためのツールは、ネットワークに登録されているすべてのデバイスをモニタする。そして同社が今進めている超極秘のプロジェクトは、ハッカーたちに逆襲する。そのために同社は、新たに多くのハッカーたちを雇用するための資金が必要だった。でも、同社にはハッカーが集まりやすいだろう。世界でもっとも有名なハッカーKevin Mitnickが、同社の顧問の一人なのだ。

Zimperiumのモバイルアプリ”zAnti“を使うと、ネットワークを毎日チェックして、”man in the middle“攻撃などにやられそうな脆弱性があればそれを見つける。これらの犯行はユーザの通信セッションをハイジャックして通信相手になりすまし、あらゆる通信内容を横取りする。

たとえば、仲良しのFrankとVeronicaがテキストでチャットしていると、Lesterという悪いやつがそこに割り込み、VeronicaのふりをしてFrankとの会話を続ける。FrankはVeronicaとのリンクをチェックしない/チェックするツールを持ってないから、犯行はまんまと成功する。LesterはVeronicaのネットワークにもアクセスして、一人二役で会話の続行を偽装する。本物のFrankとVeronicaの話の中には、Lesterが求めていた貴重な情報がある。あるいはLesterが演ずる偽のVeronicaは、Frankに危険なリンクを教えてそれをクリックさせる。

Zimperiumの陣容がまたすごい。顧問にMitnickがいるだけでなく、CEOのItzhak “Zuk” Avrahamはイスラエル国防軍に3年いた。そこで何をしていたら、Zimperiumのような会社を興せるのか、考えてみよう。

Avrahamが今進めている極秘プロジェクトを自慢するのは、それが、国家の核施設を攻撃するコンピュータワームStuxnetでも、防御できるからだ。

セキュリティ戦争の新しい前線であるモバイルは、セキュリティのプロにとって金鉱でもある。Angel Listには、モバイルのセキュリティを専門とする企業が108社も載っている。でも、そちら(資金)が潤沢になったZimperiumは、強力なビジネスを構築することが次の課題だ。

〔余計な訳注: この記事からはよく分からないが、“逆襲”とは、中間者攻撃に対して中間者攻撃をしかける、という意味か??〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


パーソナル・モバイル・セキュリティーのLookoutが企業向けサービスを開始―1ユーザー当たり月5ドル

今年の9月にに発表されたされたとおり、パーソナル・モバイル・セキュリティーのLookoutは、今日(米国時間11/19)、Lookout for Businessと呼ばれるビジネス・ユーザー向けの新しいサービスをローンチした。

これはLookoutとして、アメリカ企業社会に広がるBYOD (bring-your-own-device = 私用デバイスの持ち込み自由)のトレンドに対応する最初のプロダクトだ。企業IT部門は、私用を含め、ますます他種類のデバイスが自社ネットワークに接続するようになり、セキュリティー上の困難を抱えるようになっている。

Lookoutは従来、アンチ・マルウェアやプライバシー保護、紛失、盗難などの際のリモートデータ消去など一般の個人ユーザー向けセキュリティー・プロダクトに特化していた。しかしこれらはそのまま企業ユーザーにとっても必要な機能だ。

今回のLookout for Businessは社員の私物、企業所有双方のさまざまなスマートフォンやタブレットをマルウェアや不審なアプリなど多様な脅威から保護する。また紛失、盗難に対しても一般ユーザー版と同様、位置追跡やリモートデータ消去機能を提供する。デバイスの所有者と企業のシステム管理者の双方がデバイスのロック、データ消去をオンラインで実行できる。またデバイス所有者を保護するため、システム管理者がリモートデータ消去を行おうとする場合、デバイス所有者にも通知が行われる。

Lookout for Businessは従来のMDM(モバイル・デバイス管理)システムに比べて、セルフサービス的傾向が強い。たとえば従業員が新しいアプリをダウンロードしてデバイスにインストールすることができる。これは従来のMDMでは考えられなかった自由さだ。

このプロダクトの機能は基本的に個人版と変わらず、ただIT部門が管理者として全体を管理できる権能を与えられている点が新しい。システム管理者はダッシュボードから何台のデバイスがこのプロダクトの保護下にあるのか、どのような脅威がブロックされたか、現在どのようなプロセスが実行されているかなどをリアルタイムで把握できる。また管理者は所有者名、種類、機種などによってデバイスを検索できる。

ウェブサイトでは料金の詳細が分からなかったので取材したところ、「1ユーザーあたり月間5ドル」だという答えだった。

Lookout for Businessはローンチ時点で20社が利用している。個々の社名は明らかにされなかったが、地域の店舗からFortune1000の大企業まで含まれており、最大のユーザーは300台のデバイスを登録しているという。

Lookoutはビジネス市場に参入するにあたって、企業ITのコンシューマライゼーションに賭けるという大胆な戦略を取った。つまり 多くの企業で社員の半分がLookoutを利用するようになるまで待ち、それからIT部門による管理機能を追加することでビジネス版を開発した。これはIT部門による管理機能をまず作るトップダウン方式の従来のMDMシステムとは正反対の生き方だ。

Good、MobileIron、AirWatch、Zenprise、Symantecなど何年も先行して地盤を固めた既存のMDMサービスに対してLookoutがどこまでシェアを伸ばせるか注目だ。

Lookoutは最近5500万ドルの資金調達に成功し、国際展開、キャリヤやデバイスメーカーとの提携に力を入れていく方針だ。同社はSamsung、AT&T、Orangeなどと提携している。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


GoogleはAndroidの重大なバグに対するパッチの提供を開始, Samsung製品の一部は適用済み

Googleは、Bluebox Securityが発見したAndroidの根幹的なセキュリティホールの修復を、OEM向けにリリースした。ZDNetがそう報じている。本誌はこの件に関する確認をGoogleのAndroid Communications Manager Gina Sciglianoから昨日(米国時間7/8)得た。それによると、“パートナーたちにパッチが提供された”ということだ。彼女によると、Samsungなど一部OEMはすでにパッチの製品への適用を開始している。

本誌はGoogleにいくつか質問をしているので、回答が得られ次第この記事をアップデートしたい。この欠陥によりハッカーは、正常なアプリを悪質なトロイの木馬に変えてしまえるらしい。つまりアプリの暗号化されたサインを破らなくてもAPKのコードを書き換えられるのだ。GoogleはすでにPlay Storeのアプリ登録過程を変えて、この被害を逐一チェックしているので、この脆弱性を悪用して書き換えられたアプリが今後Playから配布されることはない。

Bluebox Securityはこのセキュリティホールを、Androidのコードの中に見つけた。同社によるとこのホールは、既存のAndroidデバイスの99%に被害をもたらしうる。発見しGoogleに報告したのは2月だったが、公表されたのはやっと先週だ。そのとき、すでにパッチされているAndroidデバイスとして、SamsungのGalaxy S4の名が挙げられた。Sciglianoは、きっとこのことを言っているのだろう。そのほかの修復済み製品については、今Samsungに問い合わせ中だ。

Androidのユーザにとっての問題は、パッチがOEMにリリースされても、今および当分の間は、店頭で修復済みの製品を買えないことだ。OEMからパッチを当てた製品が出ても、さらにそれらをキャリアがテストする期間もある。こんな問題が起きると、Androidのオープン性と分裂がなおさら厄介にも思えてくる。もちろん、悪い点ばかりではないが。

しかしこのバグは、被害がまだそれほど広がっていない。SciglianoはZDNetにこう語っている: “Google Playとそのほかのアプリストアにおいて、このバグを利用したアプリの書き換えは一つも見つかっていない。Google Playでは各アプリのスキャンを行っており、Play以外からダウンロードしたアプリに関しては、ユーザはVerify Appsを使ってチェックができる”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))