米政府職員の仕事用携帯でTikTok使用を禁止する法案を上院議員が提出

米上院議員のJosh Hawley (ジョッシュ・ホーリー、共和党・ミズーリ選出)氏とRick Scott(リック・スコット、共和党・フロリダ選出)氏は、3月12日に政府のデバイスでの人気バイラルビデオアプリTikTok使用をさらに制限する法案を提出した。

この法案は、米政府が職員に貸与しているデバイスの安全を確保するためにTikTokの使用を禁止するという、すでに導入されているガイダンスを拡大するものだ。中国で開発されたテックソフトウェアやデバイス、部品を使用しているプロダクトが中国政府の監視下に置かれているのではという懸念から、そうしたものの使用制限を模索する米議員による最新の動きとなる。

アジアを拠点とするソーシャルアプリはグローバル展開において苦戦しているが、TikTokはあっという間に全世界で10億人ものユーザーを獲得し、FacebookやYouTubeといった米国の名だたるソーシャルメディアと同じくらいお馴染みの存在になった。TikTokは北京拠点のテックスタートアップByteDanceが所有している。

ByteDanceの成長は緩やかになってきているようだが、TikTokの広がりに対してホーリー氏のような対中国強硬論者の間では警戒が強まっている。同氏は、TikTokが中国政府にデータ共有を強制されるかもしれない、と警告している。法案提出を説明するリリースの中で、スコット氏はTikTokを「我々のネットワークへのリスクであり、国家安全への脅威」と形容した。

「多くの政府機関がすでに、TikTokは米国にとって大きなセキュリティリスクであり、政府のデバイスで使用すべきではない、と認識している」とホーリー氏は説明する。

この法案提出と時期を同じくして、トランプ政権は米国内で使用される中国のテクノロジーを抑制しようと、政府機関が外国製のドローンの購入を禁止する大統領令草案を準備している。

 

関連記事:米国が外国製ドローンの政府使用を禁止へ

[原文へ]

(翻訳:Mizoguchi

マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

Microsoft(マイクロソフト)によると、同社はイランと関連のあるハッカーたちが2020年の大統領選の候補者を狙っている証拠を見つけた。

この巨大テクノロジー企業のセキュリティ部門のトップTom Burt(トム・バート)副社長が、ブログでその犯行を確認しているが、候補者の名前は挙げられていない。

マイクロソフトがPhosphorous(燐光)と呼ぶその犯行グループは、APT 35とも呼ばれ、マイクロソフトの特定の顧客のメールアカウントを見つける試みを2700回以上行った。バート氏によると、これらのアカウントは大統領選や、現在および前の米国政府職員、ジャーナリスト、そして国外に住むイラン人の有名人などに結びついている。

バート氏によると「4つのアカウントはこれらの試みにより侵犯されたが、この4つは米国大統領選や現在および過去の米国政府職員に結びついていない。犯行は8月と9月に行われた」と語る。

犯行グループはマイクロソフトのアカウントに結びついている第二のメールアカウントにアクセスし、そこからアカウントに侵入しようとした、と彼は言う。犯人が、ユーザーの電話番号を集めてそれらを攻撃しようとしたこともある。バート氏によると、犯行は「技術的に高度なものではなく」て、とにかく「大量の個人情報を利用して」アカウント見つけ、攻撃しただけだ、という。

8月と9月の犯行では、マイクロソフトを電子メールプロバイダーとして使っていた大統領選候補者はドナルド・トランプ氏とマーク・サンフォード氏だけだった。

マイクロソフトのレーダーがPhosphorousを捉えたのは、これが初めてではない。同社はこの犯行グループをすでに訴えており、バックにテヘラン(イラン政府)がいると信じている。今年初めにマイクロソフトは、ハッカーたちが水飲み場型攻撃のために使っていたいくつかのドメインを捉えた。そのハッカー集団は、元米空軍対敵諜報職員Monica Wittと関係があったとも信じられている。彼女は2013年にテヘランに逃れ、今ではスパイ行為の疑いでFBIが追っている

この前のハッカーたちの作戦では、YahooやGoogleのログインページに似せた二要素認証を欺くページで、学者やジャーナリストをねらったスピアフィッシング(Spearphishing、特定ターゲットに対するフィッシング)を展開した。

マイクロソフトによると、これまで同社は、国家が背後にいる犯行に関して800件あまりの通知を行った。そのユーザーたちは、政治的キャンペーンを対象とする同社のアカウント監視サービスで保護されていた。

関連記事:マイクロソフトがイランのハッカーのドメイン差し止め命令を連邦裁判所からゲット

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

米国企業は商務省の認可を得ればファーウェイに売ってもよいことに

ファーウェイ(Huawei)が米商務省のエンティティリスト(Entity List、米製品輸出禁止対象企業リスト)に載ってから2カ月経った今、この中国の通信機器とスマートフォンの大手は米国のサプライヤーと再びビジネスができることになった。ただしそのためにはサプライヤー企業が米政府の認可を得なければならない。Wilbur Ross(ウィルバー・ロス)商務長官の発表によると、その認可を得るためには企業が、その技術をファーウェイに売っても国にとってリスクがないことを証明しなければならない。

しかしファーウェイはエンティティリストに残り、認可の申請は「原則として不許可」の方針のもとに審査されるので、承認されない企業が多くなるだろう。

先月、G20サミットで二人が日本にいたとき、ドナルド・トランプ大統領は中国の習近平国家主席に、米企業が製品をファーウェイに再び売れるようにすると言ったが、しかしその漠然とした口約束は具体性を欠いていた。そして商務省はスタッフに、ブラックリストがまだある前提で行動するよう命じている。世界最大の通信機器メーカーで、スマートフォンのメーカーとしては世界で2番目に大きいファーウェイは、米国と中国が繰り広げている貿易戦争における一種の切り札だ。

ファーウェイがエンティティリストに載ってからはQualcomm(クアルコム)Intel(インテル)、Google(グーグル)などの重要なサプライヤーとの関係が断ち切られ、それによってファーウェイに生じた損害は約300億ドルと言われる。米国のリスクになることはないと繰り返し主張しているファーウェイの創業者でCEOの任正非(ニン・セイヒ)氏はその後、CNBCのインタビューで損失額を下方修正したが、損失は重要な顧客を失う米企業にも生ずることを忘れてはならない。昨年のファーウェイの部品購入額700億ドルのうち、110億ドルがQualcommやIntel、Micron(マイクロン)などの米企業からだ。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

今週出たトランプ政権の新しいサイバー戦略は、これまで検討されていた方針の寄せ集めにすぎない。

その40ページの文書で政府は、サイバーセキュリティーの向上、変化の促進、そしてコンピューターのハッキングに関する法改正の計画を述べている。選挙のセキュリティについては、ほぼ1/4ページで、“宇宙のサイバーセキュリティー”の次に短い。

変わったのは語調だ。アメリカを攻撃する人物や国に対する軍事攻勢の言及はないが、その行為に対する結果が課せられる(imposition of consequences)という、反撃を意味する遠回しな言い方が何度も使われている。

国家安全顧問John Boltonは、記者たちにこう述べている: “大統領の指示はこれまでの抑制を逆転して、実質的に、関連部門からの攻撃的なサイバー作戦を可能にするものだ”。

“われわれの手は、オバマ政権のときのように縛られていない”、とBoltonは前政権を暗に批判した。

古い政策や原則の焼き直し以上に大きな変化は、オバマ時代の大統領指令PPD-20の破棄だ。それは、政府のサイバー武装に制約を課していた。それらの機密規則は1か月前に削除された、とWall Street Journalが報じている。そのときの説明では、現政権の方針として、“攻撃の最優先”(offensive step forward)という言葉が使われた。

言い換えるとそれは、サイバー攻撃の実行者とみなされたターゲットに反撃する、より大きな権限を政府に与える。近年、アメリカに対するサイバー攻撃が疑われているのは、ロシア北朝鮮、そしてイランだ。

現実世界であれ、サイバー空間であれ、軍事的アクションの脅威を強調し、力の使用を掲げるレトリックはどれも、緊張を高めるとして批判されてきた。しかし今回は、誰もそれを嫌わない。トランプ政権の熱烈な批判者であるMark Warner上院議員ですら、新しいサイバー戦略には“重要かつ、すでに確立しているサイバーセキュリティの優先事項が含まれている”、と言っている。

北朝鮮によるWannaCryの使用や、ロシアの偽情報キャンペーンなど最近の脅威に対してオバマ政権は、対応が遅くて腰が引けている、と批判されてきた。しかし前政権の職員たちの一部は、外国のサイバー攻撃に対する積極的な対応を阻害してきたものは政策ではなく、各省庁に有効な対応を講じる能力がないことだ、と反論している。

前政権でサイバー政策の長官だったKate Charletは、“彼らの大げさなレトリックも、それが作戦のエスカレーションを意味しているのでないかぎり、許される”、と言う。

彼女は曰く: “私が痛いほど感じるのは、各省庁レベルにたまっているフラストレーションだ。彼らは自分たちが、サイバー空間において自分たちの組織とアメリカを守るためのアクションが取れないことに、苛立っている。そのときから私が心配していたのは、振り子が逆の極端な方向へ振れることだ。そうなると粗雑な作戦のリスクが増え、鋭敏で繊細な感受性どころか、フラストレーションがさらに増すだけだろう”。

トランプの新しいサイバー戦略は、語調が変わったとはいえ、レトリックを積み重ねているだけであり、政府が一夜にして突然、好戦的になったわけではない。より強力な反撃ができるようになったとはいえ、本来の目的である抑止力として十分機能すれば、実際に反撃をする機会もないだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

米国2020年国勢調査システムは、セキュリティー問題が山積み

国勢調査まで2年を切った今、国勢調査局はサイバーセキュリティー問題を抱えている。

これは、議会の番犬とも言われ、政府の歳出を監視する政府説明責任局が木曜日(米国時間8/30)に発行した最新レポートの中で最大の注目事項だ。超党派からなる同局によると、国民を危険に陥れる数千ものセキュリティー脆弱性を、政府の国勢調査局が修復するための時間は数ヶ月しか残っていないと言った。

10年に1度実施される国勢調査は、政府が国民に関するデータを収集するために行われる。

2020年の国勢調査に先立ち、調査局は国民がインターネットを通じて意見を送るための新しいオプションに必要な、44件の重要システムのテストを開始した。これは政府が数十億ドルの費用削減を見込むしくみだ。

2年にわたる2019年4月に完了予定のこのテストでは、3100件のセキュリティー問題と脆弱性が見つかったと報告書に書かれている。

全体では、43件のセキュリティー問題が「高リスク」あるいは「非常に高リスク」に分類され、これはパッチされていないシステムには既知の侵入方法に対して脆弱性があるという事実を裏付けている。

「2020年国勢調査では個人情報を全国数千万世帯から集めることになるため、調査局はシステムセキュリティ問題への時宜を得た対策を講じて、システム公開までにリスクを許容水準に抑える必要がある」と報告書は指摘している。

報告書によると、44件の中核システムのうち33件は2020国勢調査での運用が承認されたが、8件は大幅な修正のあと再認可を受ける必要がある。調査の運用に不可欠な3件のシステムはまだ認可されていない。

これらの認可は、当局がシステムのセキュリティーを評価した結果付与されるもので、政府事業の運営上必須となっている。認可が与えられた後もこれらのシステムは、リスクレベルが「許容水準」を維持するべく監視を受ける。

しかし調査局がこれらの問題を解決する時間はなくなりつつある。

「国勢調査局はシステム開発とテストで発生した問題による遅れのためにセキュリティーテストの時間が逼迫している」と報告書にかかれている。「調査局はセキュリティー調査に十分な時間を確保し、システム公開までにリスクを確実に許容レベルにすることが重要だ」。

政府説明責任局は、国勢調査局は93件の勧告のうち61件を実施し、32件については初期作業に取りかかったところだと話した。

国勢調査局の広報担当者は報告書以外のコメントを出していない。

[原文へ]

(翻訳:Nob Takahashi / facebook

トランプの新大統領補佐官は、ケンブリッジ・アナリティカとつながっていた

トランプ政権3代目の国家安全保障担当補佐官、ジョン・ボルトン氏は、初代補佐官だったマイケル・フリン氏と少なくとも1つ共通点がある。ふたりとも、炎上するFacebookのプライバシー問題の中心をなす政治データ分析会社、Cambridge Analyticaと結びつきがある

The New York Timesの最新記事によると、ジョン・ボルトンの政治活動団体であるThe John Bolton Super PACは、Cambridge Analyticaと2014年8月に契約を結んでいた。同社が設立された数カ月後で、まだFacebookデータを収集していた時期だ。

Cambridge Analyticaの設立当初、Boton Super PACは、市場調査および「サイコグラフィック・メッセージング」を用いた精密な行動ターゲティングのために2年間にわたり120万ドルを同社に注ぎ込んだ。

この作業を行うために、Campbridge社はFacebookのデータを使ったことが、文書および本件に詳しい元従業員2名の証言からわかったとThe New York Timesは報じている。

調査結果は、共和党のトム・ティリスの2014年上院議員選挙に貢献した。記事によると、ボルトン氏のSuper PACはデータの出所がFacebookユーザーであることを認識していたが、データがFacebookデベロッパーから同意なく取得されたことをボルトン氏が知っていたかどうかは明らかにされていない。

Cambridge Analyticaは、同社が不正にデータを取得したとする報道に対して今も反論を続けている。同社の新たな声明で、CEO代行のAlexander Taylorは、親会社がFacebookデベロッパーからライセンスしたデータを、同社が不正入手した認識はないとの立場を貫いている。

当社は問題のデータがFacebookの利用規約およびデータ保護法に沿って入手されたものと信じている。

私は2015年10月にCambridge Analyticaの最高データ責任者に就任した。その少しあと、Facebookからデータを削除するよう要求があった。当社は直ちにファイルサーバーから原データを削除するとともに、システム内の派生データを探し削除する作業を開始した。一年前にFacebookが再度確認を求めてきた際、当社は内部監査を行い、データ、派生物、およびバックアップがすべて削除されていることを確認し、その旨の証明書をFacebookに提出した。私は2016年米国大統領選挙で当社が実施した作業でGSR社のデータを利用していないことを確信している。

Cambridge Analyticaと同じく、ボルトン氏の政治団体は、トランプ政権に多大な影響力をもつ保守系資本家であるRobert Mercerから資金提供を受けていた。

[原文へ]

(翻訳:Nob Takahashi / facebook

中国の新サイバーセキュリティー法は企業にとって悪いしらせ

shutterstock_101884576

11月7日中国政府は新しいサイバーセキュリティー法を通過させた。これによって同国内で運用するIT企業に対して新たに厳しい要求が課される。新サイバーセキュリティー法には、データの局所化、監視、実名登録の必須化等が盛り込まれている。

新たな規制によって、インスタントメッセージング・サービスを始めとするインターネット企業は、ユーザーに実名を含む個人情報を登録させ、「禁止」されているコンテンツの検閲を行うことが要求される。実名ポリシーは、匿名性に制限を加え、オンラインコミュニケーションの自己検閲を促進する効果がある。

同法は、データの局所化も要求しており、「重要情報基盤の運営者」はデータを中国国境内に保管することを義務づけられる。規制に反対する弁護団体のHuman Rights Watchによると、同法は基盤運用者の定義を明確にしていないため、多くの企業が一くくりに対象とされる可能性がある。

「この法は実質的に中国のインターネット企業と数億人のインターネットユーザーを、国のより強い管理下に置くものだ」とHuman Right Watchの中国支部長、Sophie Richardsonは言った。新たな規制についてHRWは、ほとんどが新しいものではなく、従来から非公式あるいは低レベルの法で定められていたが、高レベルの法として制定されることで厳格な適用につながる可能性があると言っている。

china-domains

検閲の強化に加えて、同法はその名にふさわしくサイバーセキュリティーに新たな要求を課している。企業は「ネットワークセキュリティー事象」を政府に報告し、侵入について顧客に通知する義務を負うだけでなく、当局による捜査中に「技術支援」を行うよう記されている。「技術支援」もまた明確には定義されておらず、暗号解読のバックドアを含め政府の監視への協力を意味している可能性もある。

このサイバーセキュリティー法によって、いくつかのカテゴリーのコンテンツが犯罪とみなされるようになり、「社会主義体制の崩壊」「虚偽情報の捏造あるいは流布による経済秩序の乱れ」あるいは「分離主義の扇動や国の結束を損う行為」を促すコンテンツ等が対象となっている。

「ネットでの言論の自由とプライバシーが、平和的批判に対する中国の姿勢を示す指標であるなら、全員 ― 中国のネット市民や主要グローバル企業を含む ― が危険に曝されることになる。この法が通過することは、ユーザーが重罪に問われることを防ぐ手段がなくなることを意味している」とRicharsonは語った。

[原文へ]

(翻訳:Nob Takahashi / facebook