【緊急】マイクロソフトとNSAがWindows10に影響を与えるセキュリティバグを警告(パッチリリース済)

画像クレジット: Akos Stiller/Bloomberg / Getty Images

マイクロソフト は、Windows 10を実行している何億台ものコンピューターに影響を及ぼす、危険な脆弱性に対するセキュリティパッチをリリースした。

この脆弱性は、CryptoAPIという名で知られている、数十年前から存在するWindows暗号化コンポーネントの中で発見された。このコンポーネントはさまざまな機能を持っているが、その中の1つが、ソフトウェアが改ざんされていないことを証明するために、開発者がソフトウェアにデジタル署名を行う機能だ。しかし、今回発見されたバグによって、攻撃者は正当なソフトウェアを偽装することできるようになり、ランサムウェアなどの悪意のあるソフトウェアを、脆弱なコンピューター上で実行することが容易になる可能性がある。

「そうしたデジタル署名は信頼できる提供者からのもののように見えるため、ユーザーは、ファイルが悪意のあるものであることを知る手段はありません」とマイクロソフトは言う。

カーネギーメロン大学の脆弱性開示センターであるCERT-CCは、その勧告の中で、このバグはHTTPS(またはTLS)通信の傍受および変更にも使用できると述べている。

マイクロソフトは、このバグが攻撃者に積極的に悪用されていることを示す証拠は見つかっていないと述べた上で、バグを「重要」に分類した。

独立系セキュリティジャーナリストのブライアン・クレブス(Brian Krebs)氏が今回のバグの詳細を最初に報告した

国家安全保障局(NSA)は報告者たちとの電話を通して、この脆弱性の存在を確認し、Microsoftが修正を開発できるように詳細を引き継いだことを発表した。

わずか2年前、NSAはMicrosoftに見つけた欠陥を警告する代わりに、Windowsの脆弱性を見つけて利用することで、監視行為を行ったと批判された。同組織はその脆弱性を利用して、脆弱なコンピューターに密かにバックドアを設置する手段であるEternalBlueと言う名の攻撃手段を作成したのだ。しかし、この攻撃手段は後に流出し、多数のコンピューターにWannaCryランサムウェアを感染 させるために利用され、数百万ドル(数億円)単位の損害をもたらした。

NSAのサイバーセキュリティディレクターであるアン・ニューバーガー(Anne Neuberger)氏は、TechCrunchに対して、今回の脆弱性は発見されたあと、脆弱性エクイティプロセス(発見された欠陥をセキュリティ攻撃作戦のために使えるように残すべきか、あるいはベンダーに対して開示するべきかを決定するプロセス)を経たと語っている。バグがMicrosoftに報告される前に、NSAによって攻撃的な作戦に使用されたかどうかは不明だ。

「このような重大な脆弱性が、武器化されるのではなくベンダーに引き継がれたのは心強く感じます」

ニューバーガー氏は、攻撃者がバグを積極的に悪用しているのをNSAは確認していない、というマイクロソフトの調査結果を認めた。

元NSAハッカーであり、Rendition Infosecの創業者であるジェイク・ウィリアムス(Jake Williams)氏はTechCrunchに対して、この欠陥が「兵器化されずに」ベンダーに開示されたことは「心強い」ことだと語った。

「これは一般的なハッカーよりも、政府にとって使いやすいバグなのです」と彼は言う。「これは、ネットワークの中間でアクセスする人間にとって、理想的な攻撃手段となったことでしょう」。

マイクロソフトは、バグが悪用され脆弱なコンピューターたちが激しい攻撃に晒される恐れがあるため、火曜日の一般リリースに先立って、米国政府、軍事、その他の著名な企業に対して、Windows 10および(やはり影響を受ける)Windows Server 2016向けのパッチをリリースしたと言われている。

マイクロソフトは脆弱性の詳細に関して、その存在に気がつく企業がほとんどないように極めて厳しい管理を行ったと、情報筋はTechCrunchに語っている。政府のサイバーセキュリティアドバイザリーユニットである国土安全保障省国家保護・プログラム総局(CISA)など、マイクロソフト社外のほんの一部と、NSAだけが説明を受けたのだ。

CISAはまた、連邦機関に対して脆弱性に対するパッチを早急に適用するよう指示を出した。

ウィリアムス氏は、既に修正されたこの欠陥は、「エンドポイントのセキュリティ制御をいくつでもバイパスできる合鍵」のようなものだったとTechCrunchに語った。

熟練した攻撃者たちは、証明書を取得し盗むことによって、マルウェアを正当なソフトウェアとして偽装させることを、長年試みてきた。昨年攻撃者たちが、コンピューターメーカーAsus(エイスース)の所有する証明書を、ソフトウェア更新ツールのバックドアバージョンに署名するために盗んだ。このツールが会社のサーバーに投入されることで、結果として「数十万」ものAsusの顧客が危険にさらされた。

証明書が紛失または盗難に遭った場合には、それらを使用してアプリ作成者になりすまし、悪意のあるソフトウェアに署名して、元の開発者から提供されたもののように見せかけることができる。

セキュリティ会社CrowdStrikeの共同創業者兼最高技術責任者であるドミトリー・アルベロビッチ(Dmitri Alperovitch)氏は、そのツイートで、NSAが発見したバグは「深刻な問題」だと述べている。

「全員がパッチを当てなければなりません。待っていては駄目だ」と彼は述べている。

原文へ
(翻訳:sako)

ランサムウェアWannaCryの猛威から2年、まだ100万台以上のコンピュータが危険な状態

ちょうど2年前の5月12日、強力なランサムウェアWannaCryが世界中に拡散し始めた。

それは山火事のように広がり、たった数時間で150以上の国々の、何十万台ものコンピュータを暗号化してしまった。これは、ユーザーのファイルを勝手に暗号化し、解除するために仮想通貨の身代金を要求するというマルウェア、つまりランサムウェアが組織的なサイバー攻撃として世界中に拡まった最初の例だった。

イギリスでは、このマルウェアのせいで、あちこちの病院がオフラインとなり、「重大事件」と宣言された。政府のシステム、鉄道網、民間企業も大きな被害を受けた。

セキュリティ研究者は、このマルウェアがWindowsのSMBプロトコルを利用し、コンピュータワームのように、ネットワークを介してコンピュータからコンピュータへと拡散していることをすぐに突き止めた。疑惑の目は、間もなくNSA(米国家安全保障局)によって開発された一連の極秘のハッキングツールに向けられた。というのも、それらのツールは、その数週間前に盗み出され、だれでもアクセスできる状態でネット上に公開されていたからだ。

「これはマジだ」と、イギリスを拠点とするセキュリティ研究者、Kevin Beaumont氏は、当時こう語っていた。「まったく、とんでもないことになってしまった」。

WannaCryは、NSAが開発し、その後盗まれたツール、DoublePulsarとEternalBlueを利用してWindows PCに侵入し、ネットワークを介して拡散する

未知のハッカーグループは、後に北朝鮮に雇われていたと信じられるようになったが、公開されてしまったNSAのサイバー兵器を使って攻撃を仕掛けた。おそらく、世界の隅々に、そこまで拡がるものとは思っていなかっただろう。ハッカーは、まずNSAのバックドアDoublePulsarを使って永続的なバックドアを作成し、さらにそれを使ってランサムウェアWannaCryを流布させた。また、EternalBlueツール利用して、ネットワーク上にあるパッチが未適用 のコンピュータに、片っぱしからランサムウェアをばらまいたのだ。

インターネットに接続されたシステムに、たった1つの脆弱性があるだけで、存分に荒らし回ることができた。

Microsoftは、Windowsをターゲットにしたハッキングツールが盗まれたことは認識していて、すぐにパッチをリリースした。しかし、一般のユーザーも、そして企業でも、システムにパッチを適用するまでに時間がかかっていた。

わずか数時間で、このランサムウェアは数十億ドル(数千億円)の損害をもたらした。WannaCryに関係するBitcoinのウォレットは、自分のファイルを取り戻そうとする被害者からの入金でいっぱいになっていった。たいてい、その出費は無駄になったのだが。

マルウェアをリバースエンジニアリングするセキュリティ研究者のMarcus Hutchins氏は、その攻撃が世界を襲ったとき、ちょうど休暇を取っていた。「私は、まったくクソのようなとんでもないタイミングで1週間仕事を離れていた」と、ツイートしている。彼はすぐに休暇を切り上げて、コンピューターと向かい合った。マルウェア追跡システムからのデータを使用して、彼はWannaCryのキルスイッチとして使える方法を発見した。コードに埋め込まれたドメイン名を登録したとたん、感染は急激に治まった。Hutchins氏は、先月、これとは無関係なコンピュータ犯罪の罪を認めた人物だが、WannaCryの攻撃の拡散を食い止めたヒーローだと称賛された。彼の功績を考慮して、完全な大統領恩赦というわけにはいかないとしても、寛大な措置を求めている人が多い。

情報サービスに対する信頼は一夜にして崩壊した。多くの議員は、NSAが引き起こした災害の後始末をどうつけるつもりなのか、説明を要求した。また、脆弱性を発見したときに政府機関として取るべき態度についての激しい議論を巻き起こした。それを秘匿したまま、監視やスパイ活動を実行するための攻撃的な武器として利用するのか、あるいは、その脆弱性を引き起こすバグをベンダーに報告して修正させるべきなのか、ということだ。

それから1ヵ月後、世界はサイバー攻撃の第2ラウンドに見舞われることになる。もはや、それが特別なことではなくなってしまうのではないかと感じさせるような出来事だった。

新たなランサムウェアNotPetyaは、同じDoublePulsarとEternalBlueを利用したものだった。後に研究者はキルスイッチを発見することができたのだが、輸送関連の大企業、スーパーマーケット、広告代理店などを攻撃し、混乱の渦に巻き込んだ。

それから2年が経ったが、漏洩したNSAのツールによってもたらされる脅威は依然として懸念すべき問題だ。

最新のデータによると、インターネットに接続された170万ものパソコンが、依然としてこの脆弱性を抱えている。無防備なデータベースやデバイスを検索するShodanによって生成されたデータは、100万台を超える数字を示している。中でも脆弱なデバイスが最も多かったのは米国だ。ただし、これはインターネットに直接接続されたデバイスしかカウントしてない。実際には、もしあちこちのサーバーが感染すれば、それらに接続された何百万台ものパソコンが危険にさらされる可能性がある。というわけで、脆弱なデバイスの数は、このデータが示すよりもかなり多いものと考えられる。

NSAの盗まれたハッキングツールに対して無防備なシステムは、米国内だけで40万以上もある。(画像クレジット:Shodan)

WannaCryは今でも拡がり続けていて、時々感染が報告されている。Beaumont氏は、米国時間5月12日のツイートで、WannaCryはほとんど無害化された状態になっていて、活動を開始してデータを暗号化する能力は持っていないという。ただし、その理由は謎のままだという。

しかし、公開されたまま野放しになっているNSAのツールは、脆弱なコンピュータに感染することが可能であり、今でもあらゆる種類のマルウェアを流布させるのに使われている。それによる被害者も後を絶たない。

アトランタ市がランサムウェアに攻撃された数週間前に、サイバーセキュリティの専門家Jake Williams氏は、同市のネットワークがNSAのツールに感染していることを発見していた。さらに最近では、仮想通貨のマイニングを実行するコードをネットワークに感染させるために、NSAのツールが流用された例もある。それによって、膨大な処理能力を持ったシステムにお金を生み出させようというわけだ。さらに、これらのツールを使って、何千台ものコンピュータを密かに罠にかけ、バンド幅を専有して分散型のサービス妨害攻撃を仕掛ける例もあった。圧倒的なインターネットトラフィックによって他のシステムに打撃を与えようというのだ。

WannaCryは確かにパニックを引き起こした。システムはダウンし、データは失われ、お金も費やされなければならなかった。それは、基本的なサイバーセキュリティについて、社会はもっとうまく対処する必要があることを気付かせる警鐘だったのだ。

しかし、今でも100万台以上の未パッチのデバイスが危険な状態のままになっているわけで、今後も悪用される可能性は十分にある。この2年の間に忘れてはならなかったのは、過去の失敗から学ぶためには、明らかにもっと多くのことができたはずだということだろう。

関連記事

画像クレジット:Getty Images

原文へ

(翻訳:Fumihiko Shibata)

サイバーセキュリティーと人権:イスラエルのサイバー法はビッグブラザーの序章か

[著者:Tehilla Shwartz Altshuler]
The Israel Democracy Institute(イスラエル民主主義研究所)による情報時代の民主主義プロジェクトのシニアフェローおよび代表。

サイバー攻撃には、移動体通信を麻痺させ、コンピューター化されたシステムの改変や消去を行い、コンピューターサーバーへのアクセスを不能にし、電力網や銀行システムを攻撃することで国家の経済や防衛に直接被害を与える力がある。

どの国にも必要なものであることは明らかだが、とくに国防上特殊な状況にあるイスラエルでは、サイバー防衛システムの維持管理が欠かせない。イスラエルでは、イスラエル・サイバー事象即応チーム(CERT-IL)を含む統合的なイスラエル国家サイバー総局(INCD)を設立し、首相官邸のイスラエル国家安全保障局やモサドなど、他のセキュリティー機関と密接に協力しつつ、問題に対処している。これは重要な機関であるため、立法権、目標、組織構造を明確に定義しておかなければならない。

しかし、おかしなことに、イスラエルはイノベーションと技術開発においては急成長を遂げた「スタートアップ・ネイション」でありながら、テクノロジーと人権と民主主義の価値の交差点で持ち上がっているジレンマに対処する法律では、恐ろしく立ち遅れている。セキュリティーとトラッキングに関する技術は、ほとんどが民間の目の届かない場所で開発されていて、統合されたINCDは、その活動を縛る法律が整備される前に設立された。

それに対して、イスラエルのサイバー防衛システムの活動の法的枠組みを定める目的で、サイバー法の最初の草案ができたのは、喜ばしいことだ。しかし、草案を見ると、国は国民をサイバー攻撃から守るのに必要な力以上のものを求めているように思える。未来のサイバー攻撃がどのようなものになるか、現時点では想定が難しいという理由もひとつにはある。しかし、市民活動の統制力を強めるためにテクノロジーを使うという政府の陰謀めいた部分もある。

この草案では、INCDは首相官邸に属することになり、インターネットや携帯電話からのデータを日常的に収集し、省庁、地方自治体、政府関連法人に提供することで、サイバー攻撃を特定しリアルタイムで対処できるようにするとある。それでも、「セキュリティー関連のデータ」の定義は曖昧なままで、2015年にアメリカのサイバーセキュリティ情報共有法(CISA)で定義された痕跡情報(サイバー脅威情報)よりもずっと範囲が広くなっている。

問題は、政府機関に公開されるネット上のあらゆる活動の記録や詳細な個人情報など、これらすべてが本当に必要なのかということだ。このような方法で収集された情報が、行動的特徴の割り出しに利用され、市民を縛る形で使われはしないだろうか。こうしたデータの収集と、広範囲で制限のない盗聴と、いったいどこが違うのだろう。そこまで深い情報を国が覗けるようになることは、国民のプライバシーと人権にとって、じつに重大な問題となる。

さらに、この法案が通れば、INCDは、サイバーセキュリティーを侵害する人物を絞り出すという名目で、さまざまなコンピューターへのアクセス権を持ち、情報の収集や処理ができるようになる。これには、すべての市民と企業のプライベートな情報が含まれる恐れがある。法案にはプライバシーを守る権利を尊重するようにも書かれているが、その権利を「必要以上に」侵害しない活動は認めている。つまり、恐ろしいほど曖昧な制限なのだ。しかも、収集した情報の使用の制限も不十分だ。どれだけの期間、情報を保管できるのか。INCDから警察や他の機関に提供してもよいのか。

同時に人権を守ってゆかなければ
サイバーでもテクノロジーでも
グローバルリーダーにはなれないと
自覚しておくべきだ

この法律は、INCDに、警察やプライバシー保護機関などを超える法的権限を与える。一般企業から営業許可を取り上げる権限すら持つ。その結果、他の機関との協力関係が崩れるのは明白だ。もちろん、最大の疑問は、この力がいつ行使されるかだ。その答えもまた、不安なものだ。「『重大な利益』を守る必要が生じたときはいつでも」とされている。

これは、国家の安全や人命を守るためのものかも知れない。しかし、草案には「大規模にサービスを提供する組織の適正な運営」という一文がある。これには、大手衣料品販売チェーンなども含まれるのだろうか。そうだとしたら、これは正当化されるのだろうか。

私たちが知っている、昔ながらのサイバーセキュリティーとは、おもに目に見えるインフラへの被害を想定したものだった。しかしこの草案では、首相の意思で、より多くの脅威をサイバーセキュリティーの対象リストに追加できるようになっている。そこでまた疑問がわく。「ソーシャルネットワークで議論を持ちかけ、市民の意識に悪い影響を与えること」や「フェイクニュースを広めること」などを首相が加えたとしたら、国家安全保障局に加えて、INCDにもこうした問題に対処する権限を与えることになるのだろうか。

さらに言えば、この草案では、こうした強大な力を持つ組織を監視する機関については、あまり触れられていない。しかも、INCDの長官には、サイバー攻撃が判明した際、秘密裏に活動できる権限が与えられている。たしかに、抑え込む前にサイバー攻撃の事実を公表してしまえば、さらなる被害を招きかねないため、それは理解できる。しかし、もし自分がかかっている病院にサイバー攻撃があり、医療の現場が混乱してしまったとき、いつまで真相を知らされずに我慢できるだろうか。銀行口座やデートサイトに登録したデータが漏洩した人たちはどうだろう。

この法案は、INCDに監視されない権力を与えるものであり、それは民主主義の常識から外れる。こうした力の乱用や、エドワード・スノーデンが暴露した米国家安全保障局の立ち入った監視プログラムPRISMは、とくにイスラエルにおいては警鐘と捉えるべきだ。EU一般データ保護規制(GDPR)が施行された今日、プライバシーの権利とは、もう自分の個人情報を自分で管理する権利ではないように思える。むしろ、プライバシーの権利とは、他人の人権の前提条件と考えるべきだ。この法律は重要だが、前代未聞の「ビッグブラザー」シナリオの第一段階だという印象を拭い去ることができない。

立法者は、ゆっくり時間をかけて、サイバー問題と、それがもたらす脅威と機会について学ぶべきだ。この法案の審議する人間は、デジタル世界におけるプライバシー権の意味を深く理解していなければならない。その知識は、よりバランスのとれた法案を作る上で役立ち、ひいてはイスラエルの人々を守ることにつながる。

この法案の趣旨には「イスラエルをサイバーセキュリティーの分野でグローバルリーダーにする」というものがあるが、創造性と独立心と奇抜な発想に支えられているイスラエルのような小さな国では、同時に人権を守ってゆかなければ、サイバーでもテクノロジーでもグローバルリーダーにはなれないと自覚しておくべきだ。

[原文へ]
(翻訳:金井哲夫)

Amazon AWSがSqrrlを買収してセキュリティの脅威検出能力を強化

AWSが、NSAにルーツを持つセキュリティ企業、マサチューセッツ州ケンブリッジのSqrrlを買収した。同社は、機械学習を利用してさまざまなソースを分析し、セキュリティの脅威を企業ユーザーが迅速に追跡および理解できるようにする。

発表はSqrrlのホームページで同社のCEO Mark Terenzoniが行っている。“SqrrlがAmazonに買収されたことを共有できて嬉しい。私たちはAmazon Web Servicesの家族の一員になり、共に顧客の未来に貢献していきたい”、と彼は書いている。

では、この買収によって顧客は何を得るのか? 上記の声明を読むと、Sqrrlは少なくとも既存の顧客へのサービスを継続するようだ。

2016年のComputerworldのレビューによると、Sqrrlのソリューションはさまざまなソースからデータを集め、見つけた脅威をセキュリティ担当者のためのダッシュボードに表示する。担当者は、今後ありうる脆弱性の、視覚化された表現を見ることができる。

最近では大規模な侵害事故が増えているので、誰の心にも、その最上部にはセキュリティの懸念があるようになった。昨年はEquifaxの大規模ハックがあったし、年頭早々、チップの脆弱性SpectreとMeltdownが見つかった。セキュリティの脅威は、確かに増大している。最先端のクラウドプラットホームを誇るAmazonのAWSも、その点は同じだ。

Sqrrlは2012年に、NSAやホワイトハウスでセキュリティを担当していた政府職員たちが創業した。同社はこれまで、2600万ドルを調達している。至近の2017年6月には、Spring Lake Equity Partnersがリードするラウンドで1230万ドルを調達した。

その発表は、12月のAxiosの記事が確認している。その記事によると、買収価額の交渉は、4000万ドル周辺で行われている、ということだ。確定額は、本誌もまだ確認していない。

今Amazonにコメントを求めているので、何か得られ次第この記事をアップデートしたい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

2015年にロシアの諜報機関がNSAを侵害してサイバーセキュリティの戦略を盗んだらしい

NSA(National Security Agency,国家安全保障局)は2015年に深刻な侵害を蒙り、サイバー戦争に関する同局の戦略を外部に露出した。それには、防御の方法とともに、外国のネットワークを攻撃する方法も含まれていた。Wall Street Journalが今日(米国時間10/5)、そう報じている。その攻撃の背後にはロシアの諜報機関がいて、ロシアのKaspersky Labsのソフトウェアが道具として使われた、とされている。

しかもなんと、問題のデータはNSAの契約職員が自宅に持ち帰っていたと言われ、その人物がなぜか、彼らが使うKasperskyのウィルス防御ソフトウェアによって危機に陥った。その具体的な過程の説明はないが、推測では、同局のサーバー上の疑わしいファイル(マルウェアの実行ファイルなど)を彼がダウンロードし保存する行為に関連していたようだ。本誌は今、K社に詳しい情報を求めている。

Kaspersky Labsは今年非難の砲火を浴び、その背景では、数えきれないほど多くのサイバーセキュリティ関連事件と、噂される現政権との関係により、アメリカの国政に対するロシアの妨害が懸念されていた。つい先月は、同社のソフトウェアの使用が、行政府と議会の各部で禁じられた。Kasperskyは、“いかなる政府とも不当な関係はない”と言って嫌疑を否定し、申し立てには根拠がない、と主張した。

方法についてはよく分からないが、侵害があったことはほぼ確実である。WSJによると、侵害が深刻だったからこそコードネームまで付けられ、同局の上部からの訓戒もあったのだ。盗まれた資料にはNSAのオペレーションの詳細だけでなく、攻撃や防御に使われる実際のコードまであったと言われる。

侵害は公表されず、2015年に起きたものが2016年の春にやっと発見された。そのためロシアの諜報機関は選挙の年に楽に仕事を開始し、その年が深刻なサイバーセキュリティ事件に侵されることが、確実となったのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

いまさら聞けないバックドア入門

wtf-backdoor

この20年は、コミュニケーションと情報の保存の手段が、継続的にアナログからデジタルへ移行してきた時代だ。

そして、そうした移行に付き従って(危険性の認識に歩調が伴わないこともあったが)、その情報の安全性を保とうとする動きが伴っていた。ハッキングの脅威と、ユーザーのプライバシーを守りたいという欲求は、データの暗号化に繋がった。これは保存時と転送時の両方に普通に適用されるようになっている。そして、あなただけがキーを持っているので、銀行があなたのセキュリティボックスを開くことができないように、適切な暗号化を施すことで、サービスを提供しホストしている会社であっても、あなたが許可しない限りデータアクセスすることができなくなる。

しかし例え最強の金庫やドアであったとしても、ドリルや爆破には屈する。暗号化手法の進歩ならびに計算パワーの増加は、現実的な時間では解読できない暗号を生み出した。史上初めて、人びとは、ハッカーや政府による詮索などのあらゆる脅威から、迅速かつ自動的にコミュニケーションを保護する手段を手に入れたのだ。

私たちのためには良いことだ。しかし、FBIや警察にとっては、それは災難に他ならない。かつては罪の証拠を探すために、机の引き出しをこじ開けたり、企業の内部記録を押収することが可能だった。しかし現在は全てが持ち主による暗号解読許可の意思に依存している。

彼らは、フロントドアを通過することができないので、繰り返しバックドアの設置を求めてきた。しかしバックドアとは正確には何で、あなたが気にしなければならない理由とは何だろうか?

これまでとは違う脅威

バックドアのコンセプトは簡単だが、きちんと定義付けるのはそれほど簡単ではない。家のバックドアと同様に、「暗号」バックドアは、中を自由に歩いて好きなように振る舞う目的で、メインの玄関のロックや保護機構を回避するための手段である。バックドアは実際、電話、ノートパソコン、ルーター、監視カメラなどのあらゆるデバイスの中に設定し得る。

しかし、バックドアは、セキュリティをバイパスするための従来の手段とは異なるものだ。セキュリティ研究者のJonathan Zdziarskiは、バックドアをバグ、不当アクセス、そして管理目的のアクセスから区別するための有用な概念フレームワークを提供している。

第1に、バックドアとは、コンピュータシステムの所有者の同意なしに動作するものだ。 このことで、従業員の電子メールにアクセスするような管理目的アクセスは除外されることになる、人びとはそうしたものに対して、仕事の一部としてある程度の同意を行うからである。また、Comcast(米国のケーブルTV会社)があなたのルーターに対してトラブル解決のために別名でログインを行うことも除外される。しかし、もしComcastがそれ以外の秘密のログインを追加したなら、それはバックドアの基準の1つを満たすことになる。

第2に、バックドアによって実行されるアクションが、システムの本来定められた目的に対立する場合。 例えばあるデバイスがあなたのメッセージを安全に保つと主張しているとしよう。製造者はそのデバイスが上手く動作し続けるように、アップデートをインストールするための手段を用意するだろう、このことは意図した目的に完全に合致したものである。しかし、もしデバイスがあなたの知らないうちにあなたのメッセージにアクセスする手段を提供するならば、それは意図された目的と基準に反するものだ。

第3に、バックドアは、正体不明の操作者の制御下にあるものだ。 多くのウイルスやワームは、多かれ少なかれ自律的に動作し、情報を収集したりユーザーの連絡先に対してスパムを送ったりする。もし第3者がその動作(ランサムウェアやボットネットなど)を指示していないのなら、それらはバックドアとは見なされない、なぜならそれはどこにも通じていないからだ。

ノックの音が

多くのアメリカ人は、最近の有名なFBIとAppleの係争の最中に「バックドア」という単語を聞いたことがあるだろう。テロ捜査の過程で、FBIは、法執行機関からの要請でiPhoneのロックを解除できるコードの作成を、Appleに強制しようとした。そのときApple CEOであるティム・クックは「米国政府は、今私たちが持っておらず、そして作成することはとても危険なものを出せと要請して来ました。iPhoneへのバックドアを作ることを求めてきたのです」と述べている。

FBIは、Appleに、FBIの秘密主義の制御の下で、デバイスの所有者の同意なしに、安全性を謳ったiOSでの解読を行うようなソフトウェアを作成するように依頼していたのだ、これらは上の3条件全てを満たす。

しかし、バックドアは、決して新しいものではない。後からデバイスにインストールされるソフトウェアの形を取る必要がない場合もある。より深い統合の例を、1992年に遡って見ることができる。

その年、NSA(アメリカ国家安全保障局)の指導の下、Mykotronxという会社が(例えばR&Dとか大使館などの)、秘密とプライバシーが重要な回線上での通信を暗号化するための専用チップを作成した。この「クリッパーチップ」は、既存のチップを置き換えるものだが、重要な追加機能が備わっていた。それは「法執行機関アクセスフィールド」というものの存在で、ここにコードを書き込むことによって、デバイスの暗号化機能もバイパスすることができるようになっていた。

製造時に生成されたコードは、連邦政府機関によって最重要機密として保管されることになる。プライバシー保護団体が、このハードウェアレベルで実現される「キーエスクロー」の概念に、幾つもの理由から激しく反対した。そのうちの1つは、採用された機構で実現される秘密システムもしくはプロセスのセキュリティを、公の場所で検証する手段が与えられないから、というものである。

クリッパーチップは廃棄されたものの、考え方は生き続けている。おそらくは、そのような分かりやすいやり方ではなく。種々のルーター、無線チップ、そしてその他の送信や記憶装置の構成要素の中に、その製造業者や、そしてもちろんその存在を知っている第3者が誰でもアクセスできるような機構が含まれていることは、何度も示されている。

更に深いレベルにバックドアを仕掛けることも可能だ。かつてNSAが、欠陥があることを知っていた特定の乱数発生技術を使う、ある暗号標準の普及の後押しに、1000万ドルを支払ったことが報告されている。この暗号標準を使っていた任意の製品は、NSAによって容易にバックドアを仕掛けられることになっていたのだ。こうした基礎的なレベルでのバックドアの検出は、とても困難だ。

信頼せよ、しかし確かめよ。

もしあなたが使うガジェットやアプリが、バックドアを持っている可能性に不安を感じるなら…いや、もちろん感じるべきだ!しかし、希望の兆しはある。多くの能力のある人たちもそれを心配していて、監視の目をしっかりと見開いている。

誰かがセキュアなプロトコルやサービスがあると主張したときには、独立した研究者たちがコードの欠陥を調べることができるように、その手法を公開することが常に求められる。また標準暗号化方式は、今や強力かつ十分に徹底したものになっているので、ハッカーやスパイたちはそのやりかたの方向を見直している。誰かにフィッシングメールの中の不正リンクをクリックさせたり、犯罪者を騙して携帯電話をアンロックさせる方が、システムにバックドアを仕掛けるよりも遥かに簡単だ。

だがバックドアの脅威は依然はっきりとしていて、現実に存在しているものだ。幸いなことに、知識を与えられた(そして時には怒った)人びとが、その作成に対する強力な抑止力となる。

[ 原文へ ]
(翻訳:Sako)

Wikileaksの最新文書、NSAの対同盟国スパイ活動を暴露

96263974

それにしてもNSAはどういう地獄耳だ。つい先ほどWikiLeaksは、NSAの同盟国に対するスパイ活動の方法を極めて具体的に示す文書を公開した。”The Euro Intercepts” と呼ばれる文書群は、NSAによる、フランス、ドイツの経済団体および政府高官に対する組織的スパイ活動を詳細に説明している。

Wikileaksはツイートで、NSAが実施した、ドイツ、メルケル首相の秘書を含む側近を対象としたスパイ行為の詳細を語った。さらにWikileaksは、ドイツ政府および経済部門の最重要ターゲットの、電話番号の一部と個人識別情報を含むリストも公開した。

漏洩した情報には、米国のNSAと英国のGCHQによる協力レベルの詳細も記載されている。文書には、このコンビによる密室会議の盗聴への取り組みが書かれ、最近のフランソア・オランド、フランス大統領とメルケル首相のギリシア救済計画も含まれていた。

NSAによるドイツおよびフランスに対するスパイ活動を暴く最近の一連の文書は、ヨーロッパで暴動を呼び、オバマ政権の大きな頭痛の種となっている。

今日の発表のタイミングは偶然とは程遠く、メルケル政権は元上級判事を特別捜査官に任命し、NSA提供による、ドイツ情報機関が追跡してきたターゲットのリストを精査させる。メルケル首相が米国諜報機関と協力しているという認識は、同氏の最近の支持率に大きな打撃を与えている。

今日の文書公開に関する声明で、Wikilealsのファウンダー、Julian Assangeはこう書いている:

今日公開した文書は、米国の経済的スパイ活動がドイツやヨーロッパの主要機関へと拡大していること、およびEU中央銀行やギリシヤ財政危機等の問題を論証している。

[原文へ]

(翻訳:Nob Takahashi / facebook

NSAのハッキング報道に対して、Gemalto社が自社製SIMは「安全」と主張


米NSAおよび英GCHQに暗号化キーを盗まれたと報じられているSIMカード製造会社、Gemaltoは、NSAから漏洩したとされる文書の内容に反して、同社の製品は安全であると主張した

オランダ、アムステルダムに拠点を置く同社の態度は強気、もしくは大胆だ。本日(米国時間(2/23)発行された声明文は、初期調査の結果同社製品は安全であると言っている。

初期の調査結果は、既にGemaltoのSIM製品(並びに銀行カード、パスポート、および他の製品、プラットフォーム)が安全であることを示しており、会社が明確な経済的不利益を受けるとは考えていない。

水曜日(米国時間2/25)にはより詳細な情報が得られるだろう。同社は同日の現地時間10:30からパリで記者会見を開き、調査の全容を詳しく説明する予定だ。

報道によるとGemaltoは年間2億枚以上のSIMカードを製造し、世界600社以上と取引きがある。先週同社は、英国および米国のスパイ機関が暗号化システムに侵入し、同社製SIMカードを使っている無数の携帯電話ユーザーの情報にアクセスできる可能性が生じたことに、気付いていなかったことを認めた。

The Interceptは、Glenn Greenwaldが運営し、Pierre OmidyarのFirst Look Mediaが支援しているニュース機関であり、NSAの告発者エドワード・スノーデンの漏洩情報に基づいて、先週このニュースを特報した。

同記事や他の続報に対して、オランダ側は反発し詳細説明を求めているが、一方でプライバシー擁護派は情報漏洩の重要性を重視する。

Electronic Frontier Foundations[電子フロンティア財団]のMark Rumoldは、先週TechCrunchの取材に、暴露内容は「著しく重要である」と答えた。

「事実上NSAとGCHQは、世界中のあらゆるモバイル通信を解読できる鍵を手に入れた。そこには地域キャリア(少なくともある程度、諜報機関の行動をチェックする役割を持つ)の介入すら必要がない。これは、同機関が世界数百万、数億の玄関の鍵を複製し、必要とあればいつでも侵入できるようになったのと同じ意味だ。率直に言って、人々は世界中のモバイル通信への信頼を失った」と彼は付け加えた。

Gemaltoはこのまま押し切れると考えたいのかもしれないが、同社のビジネスはすでに問題の兆しを見せている。オーストラリアの電話会社は暴露の調査に入っており、セキュリティーの懸念を受けSIMカードの大量リコールを命ずる可能性がある。

悪評は取り付く。業界や消費者の意識に宿る不安を取り除くためには、当事者の社内調査による「問題なし」の自己診断では不足だ。

[原文へ]

(翻訳:Nob Takahashi / facebook


Glenn GreenwaldのSnowden本に対しCIAがトンチンカンなレビュー

今年の前半にジャーナリストのGlenn GreenwaldがSnowdenによる情報リークの顛末を記録したNo Place to Hideという本を書き、NSAに関する新事実も掘り起こした。同書には多くの好評が寄せられ、Amazonのスター数は4.5だった。悪くない結果だ。

でも、本書の最新のレビューは、圧倒的にベストだ。CIAのWebサイトで“CIA Historical Intelligence Collection(諜報史料集)のキュレーター”となっているHayden Peakeは、CIAを代表してSnowdenに関する三つの本をレビューしている。彼のGreenwaldに対する書評 — その全文はここで楽しめる — は、笑いを意図していないのに笑えてしまう。

三箇所引用しよう [太字は本誌TechCrunchによる]:

章のタイトルがほのめかしている考え方がひどいと思ったGreenwaldは、それを不法と想定して分析しているが、それの採用に至った諜報面の問題に関する言及はまったくない。 [...]

Greenwaldはまた、NSAの情報収集事業の合法性に言及しているそのほかの解釈を無視している—たとえば海軍の将官を退役してNSAの長官になり、国の諜報活動に貢献したMichael McConnell… [...]

これら三つの本に共通しているテーマをGreenwaldは要約している: Snowdenの行為は、彼が“監視国家の改革”を求めることを選んだ点で正当化される。そして、何を出版するか/してよいかに関してはジャーナリストに最終的絶対的な決定権があるGreenwaldのしばしば感情的な毒舌が、この主題の結語になることはないだろう。

感情的な毒舌で最終的な決定をしているのは、むしろPeakeの方だろう。逆に彼の言葉は、ジャーナリズムの誇大宣伝のようでもある。

それでは一体、“この主題の結語”は何になるのだろう? たぶんGreenwaldは彼の書き方の間違いを悟り、政府自身のPRのような、ポジティブでお世辞たらたらのNSA賞賛本を書き、書くことに対する自分自身の決定権がジャーナリストになければこうなる、という見本を示すだろう。

画像: GAGE SKIDMORE/FLICKR UNDER A CC BY-SA 2.0 LICENSE (IMAGE HAS BEEN MODIFIED)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


NSA改革法案、上院で敗退


残念!

上院でのUSA FREEDOM Act[情報公開法案]は、必要な60票を集めることができず、58対42で敗れた。

投票前、私は電話口で人々の微妙なトーンの変化に気付いていた:通過するかもしれないという楽観だった。

そうはならなかった。今年の、本国会でのNSA改革はおしまい。そして最近私が言ったように、現在の上院における共和党のトーンを見る限り、今後数年のうちに何かが起きることは期待できない。悲観的なのは私だけではない。

というわけで、読者全員、暗号化を強化するように。合衆国政府は改革を適切であるとは考えていない。

FEATURED IMAGE: HEY TIFFANY!/FLICKR UNDER A CC BY 2.0 LICENSE (IMAGE HAS BEEN MODIFIED)

[原文へ]

(翻訳:Nob Takahashi / facebook


上院のNSA改革法案、予測不能の投票へ


二大政党とはこんなものか。今日(米国時間11/18)、Mitch McConnell上院議員(共和党)は米国情報公開法案を攻撃し、テロ国家ISISと争っている米国にとって有害であるという意見を支持した。一方、反対陣営からは、Dianne FeinsteinおよびRon Wydenの両上院議員(民主党)が、賛成票を投じる意向を示した。

ネット中立性で頭が混乱しているTed Cruz上院議員を始め、少数の共和党員が同法案を支持すると見られているが、概ねこの結論に落ちつく

「とにかく始めよう。私はこの法案を始まりだと位置づけているが、とにかく始めよう。今夜が改革の始まりだ」

そしてこれ

「今は両手を縛られているには最悪の時期だ。ISILの脅威は現実なのだ」

つまり、現状はそういうことのようだ。

上院では2:30 PSTに最終投票が行われる予定。通過には60票が必要だが、そこまで票を集められるかどうかは定かでない。今日私は、自信を持って結果を予想した人物に会っていないが、数字は厳しそうだ。

もし上院法案が否決されれば、本議会におけるNSA改革は終りだ。そして、McConnell上院議員がこの法案 ― 一部では不十分と考えられている ― が行き過ぎであると示唆していることを踏まえると、次の議会で改革が行われる可能性は高くない。

もちろん、たとえ上院が可決したとしても、下院がどうするかは不明だが、新年に面倒を持ち越さないために、下院が上院法案を通過させるかもしれないという臆測もある。
さあ、間もなく投票の時間だ。

FEATURED IMAGE: PHIL ROEDER/FLICKR UNDER A CC BY 2.0 LICENSE (IMAGE HAS BEEN MODIFIED)

[原文へ]

(翻訳:Nob Takahashi / facebook


NSA改革法案、上院で停滞か


The Hill紙の上院情報筋によると、ホワイトハウスは死に体となった次期議会でNSA改革案を通過させたくないようだ。

現上院司法委員会議長、Patrick Leahy上院議員は、今年自らが起草した法案 - USA FREEDOM Act[情報自由法] ― の決議を推進しようとしている。同法案はIT企業および市民団体から支持を得ている。同名の法案は以前上院を通過したが、議決直前になって骨抜きにされたことで、プライバシー擁護派から嘲笑を買った。

上院の米国情報自由法は、米国における通話記録の一括収集を中止させるものだ。しかし、外国諜報活動偵察法第702項の改革までは届かないだろうと指摘する向きもある。Zoe Lofgren下院議員は当時、同法案について、第702項改訂に取り組んでいないのは「不足である」と発言した。

それでも、IT企業の間では同上院法案が支持に値するものであるとの全般的合意が形成されている - 同法の支持を推進した企業もあった
ホワイトハウスに見られる逡巡には、上院多数党院内総務のHarry Reidも同調していると言われている。同氏はこの立法議会に別の優先事項を抱えている。果たしてLeahy上院議員が、この共同戦線に対抗しきれるかどうかは不明である。

The Hillが引用しているBrookings InstitutionのBenjamin Wittesは、ホワイトハウスはもっとNSA寄りの法案を望んでいるとほのめかしている。そして次期議会でそれが提案させるかもしれない。以上を踏まえると、米国情報自由化法案は、2014年に決議されるか廃案かということになりそうだ。今週は目が離せない。

IMAGE BY FLICKR USER www.GlynLowe.com UNDER CC BY 2.0 LICENSE(画像はトリミングされている)

[原文へ]

(翻訳:Nob Takahashi / facebook


Microsoftがユーザ情報の政府リクエストの実態を開示…正規ルートのみ

Microsoftが今日(米国時間9/26)、2014年の前半における、各国政府から来た、ユーザデータとアカウント情報のリクエストに関するデータを開示した。リクエストの総数と対象アカウントの数は、2103年の後半とほぼ同じだ。

すなわち今年の1月から6月までMicrosoftには、58676のアカウントに関連する34494件の情報リクエストがあった。その前の6か月では、アカウント58676に関する35083件のリクエストだった。リクエストが多かった上位の国は、合衆国、ドイツ、フランス、トルコだった。

Microsoftのデータ供与数は減っている:

法の執行に関わるリクエストのうち、顧客のコンテンツデータの開示に至ったのは3%未満であり、一方、リクエストの約75%が“ノンコンテンツ”のデータの開示に至った。これらに対し、22%は法を根拠として、あるいはデータが見つからないために、開示の拒絶に至った。その前の6か月では、拒絶の率は18%だった。

また、FISAに基づく開示命令は、その種別により、最少はゼロ件、最多は999件だった。これらに関わるアカウントの数は、最少が18000、最多が18999だった。

もちろん上記のデータは、各国の政府が当人の許可なく勝手に取り出しているデータ取得行為の、氷山の一角にすぎない。過去一年半にわたり、われわれ地球市民は、政府の過剰なデータ収集に関して多くを知った。それは主に、元NSAの契約職員Edward Snowdenによるリークがきっかけであり、その後、一般公民からだけでなく、政府機関の一部からも改革を求める声が上がった。

テクノロジ企業がこのような情報を開示するのも、たいへんな努力だろうとは思うが、それで十分ではない。

Microsoftは政府に、海外ユーザのデータを自国民のそれと同じように求めるな、と抗議している。しかしまだ同社は、法廷で勝っていない。もちろん、今後も抗議し続けるだろうが。

なお、年2回開示されるこれらのデータは、正規のチャネルからのリクエストのみであり、NSAのMUSCULARのような、個々の特別事業による情報収集は含まれていない。そういう意味でも、この開示には限界がある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


マイクロソフト、米政府による監視手続きの改定を要請

Microsoftは、米国電気通信情報局(NTIA)の意見公募に答えた「ビッグデータ」に関する一連のコメントの中で、米国政府による監視およびデジタルプライバシーの扱いについて、同社が「クラウドの信頼性」構築に役立つと考える変更案を列挙した。

リストは内容の点では驚くべきものではないが、IT業界におけるMicrosoftの地位を高めるという意味で注目に値する。業界各社は、政府の侵略的監視行動に関する全面暴露に対する意見の公表には、どちらかというと消極的だ。

これは、Microsoftが「最小限」と呼ぶ、政府がとるべき施策のリストだ。

  • 電子通信プライバシー法、テクノロジーの変化に追従するよう改定する。
  • 外国情報監視裁判所を改革し、その手順がわが司法制度の象徴である対審裁判制度に則っていることを保証する。
  • データセンターやケーブルに侵入しないことを確約する。
  • 情報監視活動を通じて収集した情報の、量および種類に関する透明性を高める。
  • データおよび通話記録の一括収集を中止する。
  • 国際同盟国と協力して、刑事共助条約手続きを改善し、海外に保存されたデジタル証拠の入手には、一方的な方法ではなくその手続を使用する。

要約すれば、電子通信プライバシー法(ECPA)改定によって、メールの保護が強化される。外国情報監視裁判所の対審制度によって裁判が二面的になる。データセンターやケーブルをハックしないことによって、NSAのMUSCULARプログラムは無力になる。通話記録の一括収集を中止することによって、米国民の通信プライバシーが高まる。そして、刑事共助条約の改善によって、おそらく、現在米国政府が行っている、国内捜査令状によって海外に保存されたデータのアクセスを要求する方法は終了する。

これは実に優れたリストだ。

Microsoftは、プライバシー法案の迅速な対応も要求しており、これは一連のコメントの主題でもある。

原文へ
 
(翻訳:Nob Takahashi / facebook


Yahoo、Googleと協働してエンドツーエンドのメール暗号化実現へ

YahooはGoogleと協働して、電子メールにてエンドツーエンドの暗号化を実現する予定であるとのことだ。政府やハッカーたちによる覗き見の危険性を気にすることなく、プライベートな通信が行えるようになる。このアナウンスはBlack Hatセキュリティカンファレンスの壇上で行われたものだ。

Yahooの情報セキュリティ部門チーフのAlex Stamosによると、Yahooは今年末あたりにも、暗号化の仕組みに用いるソースコードを公開したいとのこと。曰く「Googleとも密接に連携しながら、双方のエンドツーエンドの暗号化に互換性をもたせるべく作業を続けているところです」とのことだ。

Googleも6月にメールにおけるエンドツーエンドの暗号化を構築中である旨をアナウンスしていた。このYahoo-Googleの共同歩調が他のプロバイダにも波及して欲しいところだ。メジャーなメールサービスが相互に流通するメッセージを暗号化してやりとりするようになれば、利用者はより多くの利用者がセキュアな環境を利用できるようになる。

もちろんこうした動きはスノーデンによる情報収集活動についての暴露に端を発するものだ。以来、情報をよりセキュアなものとするための動きがあちこちで繰り広げられている。YahooおよびGoogleの両者は、NSAがデータセンター間の通信ケーブルの情報を傍受していることを明らかにしてから、データセンター間の通信の機密性を強化する旨をアナウンスしていた。

ネットワーク上では、一般の利用者でも簡単に用いることのできる暗号化技法が必要とされている。Yahooもそうしたニーズに真摯に応対しようとしているわけだ。

原文へ

(翻訳:Maeda, H


米上院、NSAj大幅改革法案を明日決議へ

上院議員、Patrick Leahyは、明日(米国時間7/29)「米国自由法(UFA)の一案を提出する予定だ。これは、弱腰の下院が以前通過させたものより、はるかに強力な法案だ。

New York Timesによると、同法案は米国の通話メタデータの大規模収集 ― エドワード・スノーデンによって暴露された最初のNSAプログラム ― を抑止するだけでなく、外国情報監視裁判所を改革して政府意見への反対論者を含め、裁判所の決定に関する情報を何らかの形で一般公開することを強制する。

さらに、政府が電話会社から通話メタデータを要求するための条項も盛り込まれている。

NYT紙の要約を見る限り、同法案は、米国人の会話を検索するための、いわゆる「バックドア」を閉じるものではない。バックドア検索は、複数の米国諜報機関が利用していることから、厳しい監視に曝されている。

真価は全文を見なければわからないが、Leahyの案が、下院の通過させたものよりも、強力であることは確かだ。下院の法案は、性急に通過させたことや、骨抜きになったと起草者の半数近くが反対に転じたことなどで不評を買った。下院決議案は、改革とは呼べないものだった。

提案された上院法案は、少なくとも電話メタデータ収集のドアを閉じるものだが、米国民全般の会話に関する一括データ収集を、より広く禁止する効果に注目すべきだ。NSAは、幅広い、多種にわたる一連の監視ツールを持っており、PRISMを通じてインターネット企業にデータを要求することから、インターネットを構成する光ケーブルそのものを傍受することまで可能だ。NSAがわれわれの通話記録を蓄積することを禁止するだけでは 、現在行われている過剰に侵入的な監視プログラムをやめさせるためには、著しく不足だ。

New York Timesの結びは、一考に値する。

全体的に見て、この法案は政府の監視能力向上を阻止する戦いにおける突破口であると言える。上院はこれを弱体化させることなく通過させ、下院にも同じことをするよう圧力をかけるべきだ。

これは、もし上院が、NSAに重大な影響を与える案を通過させることに成功しても、議場を1つクリアしたにすぎないことを、緩やかに想起させる。この上院の法案は行政機関との協力によってまとめられたものであり、下院での摩擦はそれほど大きくないと予想される。かつて下院の法案は現政権によって強く影響を受けたと私は聞いている。結果を待つしかない。

明日は、改革にとって大きな一日だ。波乱が起きるかもしれない。

IMAGE BY FLICKR USER ZOE RUDISILL UNDER CC BY 2.0 LICENSE (IMAGE HAS BEEN MODIFIED)

 

[原文へ]

(翻訳:Nob Takahashi / facebook


グリーンピースとEFFがNSAの巨大データセンター上空に抗議の気球を飛ばす

なんとまあ大胆な!

政府が巨大なデータセンターを作って、そこに世界中から吸い上げた大量のデータを保存しようとしているとき、何をすべきか? 一日中考えても、名案は浮かばないかもしれない。でもFirefly教えてくれた空(そら)は誰のものでもない、と。

そこでGreenpeace(グリーンピース)とEFFとTenth Amendment Center(憲法修正10条センター)が一緒になって、 気球をデータセンターの周辺に飛ばした。 EFFのブログ記事によると、この飛行は“政府の違法な大量監視事業に抗議する”ために行われた。

このビデオを見てみよう:

ぶざまなつぎあてではあったが、NSAを改革しようとする側の努力は、多少の勝利を勝ち取ることができた。

本日(米国時間6/27)政府が発表したNSAの透明性に関する報告書は、あまり詳細ではなかったけど、ないよりはましだ。下院で成立した修正予算は、バックドアの強制と対外諜報監視法702項による合衆国国民の監視を、予算項目から除去した。NSAを統制するための法案も下院を通過したが、かなり骨抜きになっている。上院や主な改革グループは、再修正を要望している。

NSAの監視活動を阻止したいと願う人びとにとっては、まだまだ多くの不満が残っている。

画像クレジット: Greenpeace

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


マイクロソフト法務責任者、NSAの「無拘束な一括データ収集」中止を議会に要求

今日(米国時間6/24)午前、Microsoft執行副社長兼法務顧門、Brad Smithが、政府の蔓延する監視行動に異議を唱え、この国の安全保障機構に改変が必要であることを訴えた。

今日の談話で同氏は、一般捜査令状の歴史的背景について長く所見を述べた。植民地における怒りの主たる原因であり、最終的に武力暴動や合衆国独立へとつながった問題だ。

Smithは、議会に対して「無控束な一括データ収集の扉を閉じる」ことを要求し、FISA裁判所の「役割と手続き方法」の改訂および米国が発行する捜査令状に地理的制限を加えることを主張した。

一括収集に関してSmithはNSA文書に言及し、Microsoftが、2002年にNSAからの大量「Eメールコンテンツ」要求に従うことを拒否した “Company F” として記載されていることを示唆した。

さらにSmithは、Micrsoftが、スノーデン暴露の余波を受け「政府が大量のデータにアクセスしたとする[多くの]公開資料を、比較的少ない数字に訂正するのに苦労した」ことを指摘した。同社およびおそらく他社が実際に提供した実体だ。

その答は、NSAが海外の米国拠点企業のデータケーブルを傍受していたことを明かした報告書にあると、Smithは話した。Microsoftは、もしYahooとGoogle ― 文書に挙げられていた2社 ― が標的にされているなら、おそらく自分たちもも標的であると仮定せざるを得なかった 

Smithは、議論の分かれる緩和されたNSA改革法案、USA FREEDOM Actを最近通過させた下院が、一括データ収集の中止を進めていることを指摘し、「上院が残りの道のりを進んでくれることをわれわれ全員が望むべきだ」と語った。

FISA裁判所に関して、Smithは透明性の拡大、およびより敵対的なプロセスを要求した。彼は、民衆の代表者の参加が提案されているが、未だに法制化されていないことも指摘した。

最後にSmithは、Microsoftによる、米国政府が国内で発行した令状を、海外に保存されているデータの要求に使用することを停止することを求める最近の取り組みを話題にした。例えば、外国人ユーザーおよびアイルランドに保存されているデータに関わる件で、Microsoftは政府の要求に抵抗した。Microsoftは一審で敗れ抗告中。

Smithの一連のコメントは注目に値する。なぜなら、プライバシーや政府の行動に関する現在の議論から、Microsoftを明確に切り離しているからだ。企業として見る限り、Microsoftは裕福で、政治的に活動的であり、政府の振舞い方に満足していない。あなたや私が政府に不満を持つとき、その不満は3440億ドルの時価総額に基づいてはいない。

スノーデン効果は続く。

[原文へ]

(翻訳:Nob Takahashi / facebook


Googleのメール暗号化プラグインのコード中にNSAをおちょくるイースターエッグが

Googleは最近、Chromeブラウザのプラグインでメールの暗号化を推進すると発表して話題になった。本誌はGoogleが取り組むその課題の難しさを指摘し、また、価値ある仕事だ、とも述べた。

しかしGoogleは、そのコードの中に小さなイースターエッグを忍ばせた。そいつが、とってもおかしい。それは、こんなジョークだ(Zen Albatrossさん、ネタをどうもありがとう):

上の図中の”SSL added and removed here”(SSLがここで加えられ取り去られた)は、合衆国の外でGoogleとYahooとのあいだで渡されるデータを盗み見するNSAの計画への、当てこすりだ。下図は、この件に関するNSAのスライドだ。

完全に同じ文があることが、おわかりかな?

Googleがメールを暗号化するコードにこのテキストを入れたのは、NSAに対する一種の皮肉で、そのときNSAはSSLという広く使われている暗号化方式をかいくぐろうとしていたのだ。そこでGoogleは、メールのユーザのためにメッセージのセキュリティを強化するこの新しいツールの中で、わざとNSA自身の言葉を使ったのだ。

画像: FLICKR/KENNETH LU; CC BY-SA 2.0のライセンスによる(画像はトリミングした)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


タグ付けされた自撮り写真は、NSAの顔写真になる

「セルフィー[自撮り]現象は、間違いなくNSAの仕事を楽にしている。オンラインにアップされた大量のタグ付き写真を、顔認識システムに流し込むだけだ。

The New York Timesは、NSA告発者エドワード・スノーデンが入手した2011年の文書に基づき、米国諜報機関の顔認識技術への依存度は、オバマ政権になって飛躍的に高まったと報じた。ソーシャルネットワークに自撮り写真をアップしてタグ付けする習慣が広まったタイミングと一致している。

同紙によると、ソーシャルメディア、Eメール、メッセージ、ビデオ会議その他のデジタルコミュニケーションで送られる大量の画像を処理するために、NSAは新しいソフトウェアを導入した。2011年文書には、顔認識ソフトウェアの技術進歩によって、NSAが世界中のターゲットを探す方法が革新されることを諜報局幹部は信じていると、書かれている。

文書によると、同局は1日に「数百万枚」の画像 ― うち約5万5000枚の「顔認識品質画像」 ― を傍受しているが、合計で何枚の画像を蓄積しているかは現時点で不明だ。NSAは顔認識技術について、諜報ターゲットの追跡に「とてつもない未知の可能性」があると説明している。

内部の顔認識ソフトウェアだけでなく、同文書によるとNSAは、商用顔認識技術、例えばPittPatt ― Googleが所有する会社 ― 等を使って収集データを処理している。

顔写真、指紋、その他の個人を特定する情報は、NSAにとって文書あるいは会話と同様に重要と考えられていると記事は伝えている。

同紙はNSAの顔認識技術の利用が、以前詳しく報じられてたものよりはるかに進歩していると書いている。去る2月、NSAおよび英国諜報機関GCHQによるウェブカム画像収集の協同プログラムが発覚した。2008~2012年に、Yahooユーザーの画像が集められ、その中には露骨な性描写も含まれていた。

New York Timesによると、NSAは米国の運転免許証あるいはパスポートの写真データベースをアクセスすることはできないが、タグ付けされたオンラインデータを無数に持つ他の情報源 ― Facebook、Instagram等々 ― にある大量の自撮り写真から、米国市民の個人情報を得ることができる。

「われわれが追跡しているのは、伝統的通信手段だけではない。ターゲットがネット上の日常生活で残したヒントを元に、正確なターゲティングに役立つ履歴や生体情報を構築できる」と2010年の諜報文書が指摘している。

New York Times記者が接触したNSA広報担当者は、Facebookその他のソーシャルメディアから、通信傍受以外の方法で顔写真を集めているかどうかのコメントを控えた。しかしその「ノーコメント」が多くをものがたったいる。

顔認識ソフトウェアは、技術の進歩と共にビッグブラザーになりつつある。もちろん山ほどのタグ付顔写真を保有するFacebookは、DeepFace projectと呼ばれるプロジェクトで独自の顔認識ソフトウェア改善に力を入れている。今年3月、Facebookは、DeepFaceが群集の中からら個人を認識する精度が人間並みになったことを発表した(平均97.25%、人間は97.5%)。

こうした企業努力がNSAの仕事を楽にすることは間違いない。Facebookの持つタグ付画像の精度が上がるほど、NSAのデータ収集は効果的になる。米国プライバシー法が、顔認識データを明示的に保護していないことも重要だとNYTは指摘している。

しかし、NSA広報によると、こうした画像は米国におけるコンテンツ通信手段の一形態と考えられているため、NSAが監視プログラムを通じて米国人の写真を集めるためには、裁判所の承認が必要になる ― メールを読んだり通話を傍受する場合と同様。しかし、国境を越えた通信 ― NSAが標的にした海外の人物の画像を米国人がメールやテキストメッセージで送るケースが相当する ― は例外になり得る。つまり、自撮り写真を送る相手と相手の住んでいる場所次第というわけだ。

ヨーロッパで、Facebookは顔認識アルゴリズムを生かしたタグ推奨機能を2012年に中止した。アイルランドのデータ保護局が実施した、ユーザーデータおよびプライバシーの透明性に関する捜査の和解手続きの一環だ。

この顔認識ソフトウェアを利用した機能は、米国を含め他の国々のFacebookユーザーには有効で、自撮り写真に手動でタグ付けする面倒な手順を迅速化している。

それはしかし、NSAにとってより価値が高くなっている可能性が高いという意味でもある。

[Image by askyog via Flickr]

[原文へ]

(翻訳:Nob Takahashi / facebook