サンフランシスコ空港のウェブサイトがサイバー攻撃の標的に

サンフランシスコ国際空港は、スタッフや契約労働者のユーザーネームとパスワードを盗もうと同空港のウェブサイト2つが3月にハッキングされたことを明らかにした。

同空港は、2つのウェブサイトSFOConnect.comSFOConstruction.comが「サイバー攻撃の標的となった」と4月7日付の発表で認めた。ハッカーは、ユーザーのログイン情報を盗むために2つのウェブサイトに悪意あるコンピューターコードを仕込んだ。もし盗まれていたら、攻撃者はこれらのログイン情報を使って空港のネットワークにアクセスできていたかもしれない。ネットワーク侵入を防ぐために、多要素認証のような追加の保護策がとられていたのかどうかは明らかではない。

発表では「Windowsベースの個人デバイスや、空港が管理していないデバイスのInternet Explorerを通じた空港のネットワーク外からのウェブサイトへのアクセスを含め、ユーザーが攻撃の影響を受けている可能性がある」と述べられている。

また発表によれば、空港はスタッフ専用のサイトをオフラインにし、3月23日にパスワードリセットを強制したという。いずれのウェブサイトも現在はバックアップで運営されている。

サンフランシスコ国際空港の広報からのコメントはなかった。

攻撃者が、ユーザーネームやパスワード、クレジットカード情報のデータをも盗むために脆弱性を利用性してウェブサイトにコードを仕込むのは珍しいことではない。

2年前、British Airways(ブリティッシュ・エアウェイズ)のウェブサイトとモバイルアプリにハッカーが悪意あるコードを仕込み、顧客38万人のクレジットカード記録が盗まれた。その攻撃により、当時導入されたばかりのGDPR規則に基づき、同社には欧州史上最大となる2億3000万ドル(約248億円)もの罰金が科せられた。

画像クレジット: MediaNews Group/East Bay Times / Getty Images

[原文へ]

(翻訳:Mizoguchi

オーディオストリーミングのMixcloudから2000万人以上のユーザーデータが漏洩

英国のオーディオストリーミングプラットホームのMixcloudが不正アクセスにより2000万のユーザーアカウントを流出させ、データが闇サイトで売りに出された。闇サイトの売り手はデータの一部をTechCrunchに見せ「本物であることを確認しろ」と伝えてきた。事件が起きたのは11月の初めだ。

データにはユーザー名とメールアドレスとパスワードが含まれていたが、パスワードはSHA-2のアルゴリズムで暗号化されていて解読はほとんど不可能だ。データにはそのほか、ユーザーの登録日付時刻と最前のログイン日付時刻、登録した場所の国名、IPアドレス、プロフィールの写真のリンクが含まれていた。

TechCrunchでは、データの一部のメールアドレスを同サイトのユーザー登録機能を使って調べた結果、本物であることを確認した。盗まれたデータの総量はわかっていない。その売り手によると2000万件というが、闇サイト上では2100万と書かれている。しかしTechCrunchが調べたデータからは、2200万に達するとも思われる。データは4000ドルないし約0.5ビットコインで売られている。その闇サイトのリンクをここに載せるのは控える。

Mixcloudは昨年、メディアを対象する投資企業であるWndrCoから1150万ドルを調達した。その投資ラウンドはハリウッドのメディア事業者であるJeffrey Katzenberg(ジェフリー・カッツェンバーグ)氏がリードした。

このところ著名企業の不正アクセスが相次いでいるが、これはその中でも最新の事件だ。盗んだデータを売っているのは同じ闇サイトで、スニーカーや衣料品のオンラインストアであるStockXへの不正アクセスについてもTechCrunchに警告してきた。StockXは当初、システムアップデートのための全顧客のパスワードリセットしたと表明していたが、その後ハッキングされたことを認めて400万件あまりのデータが流出したことを明らかにした。TechCrunchは盗まれたデータの一部を入手した

Mixcloudのプレス用メールアドレスへ問い合わせたが、メールは宛先不明で戻ってきた。同社のPR代理店に問い合わせたところ、すでにMixcloudとは契約していないとのことだった。MixcloudのスポークスパーソンであるLisa Roolant(リサ・ルーラント)氏はコメントを差し控えた。

ロンドンの企業なので、Mixcloudは英国とヨーロッパのデータ保護規則に従う。ヨーロッパのGDPRの規則に違反すると、年商の最大4%を罰金として払わなければならない。

関連記事
フードデリバリーのDoorDashが490万人の個人情報流出を確認
常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ
米百貨店大手Macy’sが昨年に続きデータ漏洩

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Amazonのドアベル「Ring」にWi-Fiのパスワードが盗まれる脆弱性が見つかる

セキュリティの研究者たちが、接続されているWi-Fiネットワークのパスワードを露呈するAmazonのドアベル「Ring」の脆弱性を発見した。

Bitdefenderによると、Amazonのドアベルは、それがローカルネットワークに加わったときにオーナーのWi-Fiパスワードを平文のテキストで送信する。近くにいるハッカーはそのWi-Fiパスワードを横取りしてネットワークにアクセスし、重大な攻撃や盗聴行為などを仕掛けることができるだろう。

Bitdefenderによると「デバイスを最初に構成するとき、スマートフォンのアプリはネットワークの認証情報を必ず送信する。その送信はセキュリティに守られていないし、同じく無保護のアクセスポイントを通る。そのネットワークが動き出したら、アプリはそれに自動的に接続してデバイスを調べ、その認証情報をローカルネットワークに送信する」と説明する。

しかし、これらすべてが暗号化されない接続の上で行われるから、送信されたWi-Fiパスワードはそのまま露呈する。AmazonはRingの脆弱性を9月に直したが、この脆弱性は米国時間11月7日の時点で未公開だ。

このように、スマートホームの技術には相次いでセキュリティの問題が見つかっている。スマートホームデバイスは生活を楽にして家を安全にするために作られているはずだが、研究者たちは、それらが保護するはずのものへのアクセスを許す脆弱性を、次から次と見つけている。

この前は研究者たちが、人気のスマートホームハブにドアの鍵(スマートロック)を開けさせて、その家に侵入できた。

AmazonのRingについては、法執行当局(警察)が厳しい調査を行っている。GizmodoなどのニュースサイトがRingと警察との密接な関係の詳細を、関連のメッセージングも含めて報じている。今週は、ハロウィーンで何百万ものお菓子をねだる子どもたちを追跡したとRingがInstagramで自慢していたそうだ。

関連記事:Security flaws in a popular smart home hub let hackers unlock front doors(人気のスマートホームハブはハッカーがドアの鍵を開けられる、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Slackが2015年のデータ侵害に遭ったユーザーのパスワードをリセットする

Slackが、4年前のデータ侵害で被害したと思われるユーザーのパスワードをリセットする。

同社によると、2015年にハッカーがユーザープロフィールのデータベースに不法アクセスし、その中には暗号化されたパスワードも含まれていた。しかしそのハッカーは、当時ユーザーが入力した平文のパスワードを取り出すコードを挿入した。

Slackによると、最近バグバウンティ(バグ発見報奨金制度)でコンタクトしてきた何者かが、盗んだSlackアカウントのパスワードのリストなるものを、ちらつかせてきた。同社は、それが2015年のデータ侵害と関係あるかもしれない、と考えた。

Slackによると、現在のSlackユーザーのほぼ99%は2015年の3月以降に参加したユーザー、またはその後パスワードを変えたユーザーなので、この件とは無関係である。

また、同社のネットワークを使ってシングルサインオンを要するアカウントも、無関係である。

さらに同社によると、それらのアカウントが盗まれたと信ずる理由はないけど、盗まれなかったとする証拠を提供することもできない。

Slackによると、データ侵害の被害を受けたアカウントは、2015年のアカウントの1%である。米国時間718日朝の記事によると、その数は6万5000アカウントにのぼるかもしれない。この件に関してSlackのスポークスパーソンは、コメントも数の確認もくれなかった。

Slackは最近ニューヨーク証券取引所に上場し、時価総額は約157億ドルである。

関連記事:NYSEに上場するSlackIPO価格は26ドルに

[原文へ]

(翻訳:iwatani.a.k.a. hiwa

Googleの調査データが2段階認証の対ハッカー防御効果を実証

何が最良のセキュリティ対策か、という質問をよく受ける。

長い答は「どんな脅威かによるね」だ。圧倒的多数の人々にとっての最良のセキュリティ対策は、核科学者や政府の諜報部員が必要としているようなレベルのものではない。

短い答は「2段階認証を使いなさい」で足りる。でも、誰も信じようとしない。

でも、サイバーセキュリティのプロなら誰もが、ユニークなパスワードや強力なパスワードを使うよりもそのほうが重要と言うだろう。2段階認証は、通常のログインプロセスよりもやることがひとつ増えて、ユニークなコードをユーザーが持っているデバイスに送ってくる。でもそれは、あなたのアカウントのデータを盗もうとするハッカーに対する最強の防御だ。

ぼくのこんな言葉よりいいものがある。Googleが今週発表したデータは、貧弱でシンプルな2段階認証ですら攻撃に対して強いことを示している。

ニューヨーク大学とカリフォルニア大学サンディエゴ校が協力したその研究によると、テキストメッセージやデバイス上のプロンプトなど、デバイスベースの認証要素(認証コード)は、どんな種類のよくある大規模攻撃に対しても防御力が強いという結果だ。

Googleのデータは、2段階認証のコードとしてスマートフォンに送られてきたテキストメッセージは、盗んだパスワードをログインページで使おうとする自動化ボットを100%防げたことを示している。またパスワードを盗もうとするフィッシング攻撃の96%を防げた。

アカウント乗っ取りの犯行タイプ/対象別防止率(画像提供:Google)

2段階認証には、いろんなやり方がある。前に説明したように、テキストメッセージで送られてくる2段階認証のコードはハッカーが横取りすることもありえるが、2段階認証を使わないよりずっといい。認証アプリ経由で送られてくる2段階認証コードは、さらに安全だ。

機密性の高いアカウントを護るセキュリティキーなら、自動化ボットとフィッシング攻撃の両方を防げるが、国家が犯行に絡んでいるようなターゲットを絞った攻撃には、やられることがある。でもそんな攻撃に遭うのは100万人に一人ぐらいだとGoogleはコメントしている。

それ以外の普通の人なら、アカウントに電話番号を加えておいたら、その電話へのテキストメッセージで簡単な2段階認証コードが送られてくるという方式でも、ないよりはずっとましだ。専用アプリなら、もっといいのだが。

乗っ取られなかったあなたのアカウントは、あなたの苦労に感謝するだろう。

関連記事: Cybersecurity 101: Two-factor authentication can save you from hackers(2段階認証がハッカー被害を防ぐ、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告

米国の国土安全保障省のサイバーセキュリティ部門が発行した警告によると、企業用のVPN(Virtual Private Networking、仮想非公開通信網)アプリケーションの一部には、セキュリティ関連のバグにより、遠方からアクセスした犯人が会社の内部的ネットワークに侵入できるものがある。

カーネギーメロン大学の脆弱性開示センターCERT/CCの一般公開開示を受けて米国時間4月12日には、国のCybersecurity and Infrastructure Security Agencyが警告を発行した

Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。これらは消費者ユーザーがプライバシーを護るために従来から利用してきた消費者向けVPNアプリケーションではなく、遠方の社員らが会社のネットワーク上のリソースにアクセスできるために、通常は企業のITスタッフが設置する企業向けVPNアプリケーションだ。

これらのアプリケーションはユーザーのパスワードからトークンを作り出し、ユーザーのコンピューターに保存してユーザーをログイン状態に保ち、彼らが毎回パスワードを入力しなくてもよいようにする。しかしそのトークンが盗まれると、ユーザーのアカウントにパスワード不要でアクセスできるようになる。

マルウェアなどを利用してユーザーのコンピューターにアクセスした犯人は、トークンを盗み、それらを使って、そのユーザーと同じ授権レベルで企業のネットワークにアクセスできる。つまり会社のアプリケーションやシステム、データ等にアクセスできる。

今のところ、Palo Alto Networksのみが、同社のGlobalProtectアプリケーションが脆弱であることを確認している。同社は、WindowsとMacの両クライアント向けにパッチを発行した

CiscoとPulse Secureはアプリケーションをパッチしていない。F5 Networksは、トークンの不正な保存を少なくとも2013年から知っていたが、パッチをリリースする代わりに、二要素認証の利用をユーザーに勧めているそうだ。

CERTの警告によると、同様の欠陥はそのほかの数百ものアプリケーションにある、とされるが、それらを確認するテストはこれからの課題だ。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

長いパスワードはパスワードの悪用や同一パスワードの再利用を大幅に減らす

インディアナ大学の研究者たちが、パスワードに関する厳しい規則は…相当面倒なものを除いては…実際に効果があることを実証した。その研究を行った院生のJacob Abbott, 同大のCIO Daniel Calarco, そしてL. Jean Camp教授らは、彼らの研究成果を“Factors Influencing Password Reuse: A Case Study.”(パスワード再利用の影響要素に関する事例研究)と題するペーパーで発表した。

Abbottはこう述べている: “われわれのペーパーは、文字数15文字以上などの厳しい要件により、インディアナ大学のユーザーの圧倒的多数(99.98%)が、パスワードをほかのサイトで再利用しなくなることを示している。制限文字数が短い他の大学では40%もの高率でパスワードが再利用されている”。

パスワードの再利用に対する規則の影響力を知るために、インディアナ大学を含むアメリカの22の大学のパスワードに関する規則を調べた。そして、オンラインで公開されている二つの大きなデータセットから、メールとパスワードの組み合わせを取り出した。それらのデータセットには、メールアドレスとパスワードの組み合わせが13億件ある。それらのメールアドレスとパスワードの組み合わせを大学のドメインごとに分類し、各大学の公式のパスワード規則と比較した。

結果は明白であった: 厳しいパスワード規則によって、その大学の個人データ漏洩リスクは大幅に低減していた。

要約すると、長いパスワードを求める厳しいパスワード規則により、パスワードの詐欺的利用や本人のパスワード再利用が99%、すなわちほぼ完全に防止できている。また同研究によると、パスワードの中で自分の名前やユーザー名を使わない、という規則も、セキュリティに貢献している。結局のところ、厳しいパスワード規則がある方が、なにもないよりも、はるかにましである。当たり前のことのようだが、覚えておくべき、そして必ず思い出すべき、重要なポイントだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

2017年の最悪なパスワードは? あの大ヒット映画もランクイン

パスワード管理用サービスなどを提供するSplashData社が、毎年恒例の「最悪のパスワード100」を発表した。TIMEなどが報じた。

アメリカ・ヨーロッパのユーザーから漏洩した500万件のパスワードデータを元に作成されたランキング。

1位は「123456」でした。逆に、そんなパスワードでエラーにならないのか、という気もしますが、去年も堂々の?1位。

2位の「password」も去年も同順位。アルファベットと数字を組み合わせたワードが要求される時に多用されると見られる「passw0rd」が19位にランクインしました。

数字の羅列や、キーボードの左上から順に打った「qwerty」、簡単な単語やフレーズで「letmein」「iloveyou」「hello」などに加え、今年の特徴として、16位に「starwars」がランクイン。映画「スターウォーズ」シリーズの最新作「スター・ウォーズ/最後のジェダイ」が公開となった影響もありそうです。

以下がランキングTOP25。

1位:123456

2位:password

3位:12345678

4位:qwerty

5位:12345

6位:123456789

7位:letmein

8位:1234567

9位:football

10位:iloveyou

11位:admin

12位:welcome

13位:monkey

14位:login

15位:abc123

16位:starwars

17位:123123

18位:dragon

19位:passw0rd

20位:master

21位:hello

22位:freedom

23位:whatever

24位:qazwsx

25位:trustno1

パスワードについては、これまでも色々な議論がなされてきました。

数字や大文字小文字のまぜこぜを要求されたり、一定期間ごとに変更を要求されたりといった各サービス提供者側のセキュリティ強化対策が、逆にユーザーにパスワードを忘れさせたり、使い回しさせたりといった点も指摘されています。

パスワード、どんな風に決めて、管理していますか。年末に見直してみてもいいかも…。

HuffPost Japanからの転載。

スマホのセンサーのデータからユーザーの暗証番号など秘密情報が分かる…イギリスの大学の研究より

イギリスのニューカッスル大学の研究者たちが発表したペーパーによれば、スマートフォンなどが内蔵しているセンサーには、プライバシーに関する厄介な問題がある。モバイルデバイスのハードウェアを調べるシステムが集めるセンサーデータを利用してチームは、最初の1回のトライで、4桁のPIN(暗証番号)を70%の精度で当てることができた。5回トライすると、100%の精度で当てられた。

ハードウェアがモニタされていることをユーザーに警告するアプリケーションもあるが、それは普遍的ではないし、また警告からは、実際にその情報が何回アクセスされたかは分からない。

この研究のリーダーDr. Maryam Mehrnezhadは本誌TechCrunchに、“ユーザーがインストールしたネイティブアプリやWebアプリケーションがセンサーにアクセスしても、事前に許可を求めることはほとんどない。それらのセンサーはマイクロフォンやカメラやGPSと同じくユーザーのアイデンティティに結びついているが、センサー自身が許可を求めることもない。またWebアプリケーションも、それがセンサーにアクセスしていることをユーザーに知らせない”。

しかし研究者たちによると、ハッカーはセンサーのデータからいろんなことが分かる。今ユーザーは座っているか、歩いているか、車や電車で移動中か、などすら分かる。そこで問題は、モバイルのブラウザーだ。悪質なサイトにアクセスすると、そのサイトの悪質なコードがユーザーのセンサーを読み、ユーザーがタブを開いたままにしておくと、何時間でも読み続ける。

Dr. Mehrnezhadによると、大学がモバイル業界の有名企業にその話をすると、彼らはその問題をすでに知っていたが、その対策は、(彼らの言い分では)言うは易く行うは難しの典型だそうだ。

彼女は曰く、“すべてのモバイル企業がこの問題に気づいている。私たちの今回の研究結果も、彼らに伝えた。それ以降、彼らと連絡しながら対策を検討している。まだ、どちらにとってもそれは、進行中の研究だ。でも業界のコミュニティと連繋して、ベストソリューションを編み出したい”。

またWebに関しても、World Wide Web Consortium(W3C)やMozillaなどWeb関連の大きな団体と今では接触している。でも、仕事はまだこれからだ。とくに、プライバシーとユーザビリティの両立が難しい。モバイル企業はとくに、センサーをデバイスに搭載したそもそもの目的が阻害されることを嫌がる。そこにも、センサーが提供するユーザー価値と、プライバシーやセキュリティの保護というユーザー価値のあいだで、矛盾がある。

Mehrnezhadによると、今後はウェアラブルやスマートホーム製品など、センサーを内蔵していてしかもインターネットに接続されているデバイスが至るところに存在するようになり、プライバシーとセキュリティのリスクが増大する。今チームは、PINをときどき変える、今使ってないアプリやWebアプリケーションは確実に閉じる(終わらせる)、などの対策を勧めている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Facebook、セキュリティーキーを使う安全なログイン手順を提供

shutterstock_229862674

自分のアカウントをハッカーの手に渡したい人などいない。今日(米国時間1/26)Facebookは、アカウントへの侵入を未然に防ぐための新機能を追加した。

Facebookユーザーは、ログイン時の個人認証にセキュリティーキーを使えるようになった。セキュリティーキーを使えば、たとえユーザー名とパスワードを知られたとしても、ハッカーはFacebookアカウントにアクセスすることはできない。

セキュリティーキーとは、二要素認証の一種で、ログイン時の本人証明に新たなセキュリティー要素を追加する。

一般的な二要素認証プロセスでは、ユーザーがユーザー名とパスワードを入力すると、テキストメッセージで認証コードが送られてくる。ユーザーがそのコードを入力することで、アカウントの正式なユーザーであり、ハッカーが盗んだパスワードでログインしようとしているのではないことを証明できる。

しかしこの方法には欠点がある。執拗なハッカーがユーザーの携帯電話のSIMをリセットし、SMSメッセージを横取りすることがある。昨年夏に活動家のディレイ・マッケソンが標的にされたハックで使われた手順だ。

セキュリティーは認証コードをユーザーに送らずに済ませることで、この問題を解決する。Yubico等が製造するキーをUSBポートに挿入すると一回限りの認証コードがワンタッチで生成される。SMSと異なりセキュリティーキーそのものを物理的にアクセスしない限りコードを盗むことはできない。セキュリティーキーは安全性を高めるだけでなく、二要素認証によるログイン手順を少し速くシームレスに感じさせてくれる。テキストメッセージが来るのを待つ必要がないからだ。しかも、テキストメッセージが使えなくてもキーを利用できるので、携帯電話の届かない場所にいても、Facebookアカウントにアクセスできる。

既にGoogleやDropboxのログインにセキュリティーを使っている人は、買い直す必要はない。同じキーを様々なサービスのアカウントで使うこともできる。

Facebookのセキュリティー担当エンジニア、Brad Hillによると、この機能は社内のエンジニアリング部門で既に使っていたので、一般公開は容易だったという。

「われわれは二要素認証を必須だとは考えていない」とHillは説明する。「アカウントのセキュリティーは、ユーザーがどんなテクノロジーを選ぶかによらずわれわれの責任だと思っている。自分を守るために最新技術を使った攻撃にも対抗したい人にとって、これは良い選択肢になるだろう」

残念ながら、ほとんどのモバイル端末にはセキュリティーキーを利用する良い方法がまだない。モバイルでFacebookにログインするとき、ほとんどのユーザーは通常のSMSによる二要素プロセスを使う必要がある(Facebookは、Facebookアプリを通じて認証コードを生成する方法も提供している)。NFC内蔵のAndroid機と最新バージョンのChromeとGoogle Authenticatorを使えるユーザーは、FacebookのモバイルウェブサイトでNFC対応キーを使って個人認証できる。

モバイル端末でセキュリティーキーを使う上でのこの問題は、将来解決するとHillは期待している。現在は一部のAndroidユーザーに限定されているが、今後Androidプラットフォーム上でセキュリティーキーに対応したAPIが増えるだろうとHillは言う。そうなれば他のプラットフォームも追従するだろう。

今すぐセキュリティーを有効にするには、アカウントのセキュリティー設定へ行き[ログイン認証]で「セキュリテー・キーを追加]をクリックすればよい(注:ブラウザーにChromeまたはOperaを使っているユーザーのみ利用できる)。

image001

[原文へ]

(翻訳:Nob Takahashi / facebook

強力なDDos攻撃アプリケーションMiraiがGitHub上でオープンソース化、逮捕回避のための煙幕か

enterprise-security

KrebsOnSecurityやそのほかのWebサーバーに大きなダメージを与えたボットネットのMiraiは、セキュリティの脆弱なIoTデバイスを利用して、大規模なDoS攻撃を仕掛ける。しかしその作者はこのほど、それのソースコードをGithub上に公開したらしい。

Cで書かれたその短いコードは、IPカメラなどインターネットに接続されたデバイスの上で実行される。rootのパスワードを試行によって探り当て、デバイスに侵入、事前に決めてあったターゲットにトラフィックを送る。試行するパスワードが書かれているコードは、このファイルにある。

screen-shot-2016-10-10-at-10-46-27-am

ハッカーはこのボットネットを使って、620GbpsのDDoSをKrebsOnSecurityへ送った。そこはBrian Krebsのセキュリティに関するブログとして、かねてから人気のサイトだ。そのボットネットは強力ではあるものの、当のIoTデバイスをリブートすれば止まる。また、デバイス側のシステムアップデートにより、被害機は徐々に減っているようだ。コードをHackforumsにポストしたハッカーのAnna-senpaiはこう述べている、“Miraiでは、telnetからだけで最大380k(38万)のボットを取り出していた。でもKrebsをDDoSしてからは、徐々にISPたちがそれらを掃除するようになった。今では最大は300k程度で、しかも減りつつある”。

Krebsはハッカーたちの逮捕を求めており、今回のコード公開は利他的動機によるものではない、と見ている。

彼曰く: “Anna-senpaiがMiraiのソースコードを公開した理由はよく分からないが、利他的な行為ではありえないだろう。悪質なソフトを開発している連中は、警察や警備会社などに居場所を突き止められそうになったら、ソースコードをばらまいて煙幕を張る。公開して誰でもダウンロードできるようにすると、コードの持ち主が即犯人、とは言えなくなるからね”。

そのコードは今Githubにあり、どうやら本物のようだ。ぼくはコンパイルしていないが、ファイルにはおもしろい情報がいろいろある。教材としての利用価値は、十分にあるだろう。もちろん、悪い連中にとっても、利用価値は十分あるけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Twitterは個人情報がネットで売られた後、こうしてアカウントを保護した

twitter-140-media

昨日(米国時間6/7)午後、Twitter侵入の噂が流れ始めた。もちろんTwitterで。セキュリティー研究者らは、パスワードを変更し、二要素認証を有効にするようユーザーに警告した。二要素認証とは、信頼できる端末に送られた暗証コードを使ってログインの個人認証を行うものだ。

しかし噂は間違っていた ― 少なくとも部分的に。数百万人分のTwitterハンドルとパスワードが闇サイトで売りに出されたものの、Twitterは侵入被害を受けなかった。データを掲載したLeakedSourceは、ログイン情報はマルウェアを使って収集されたものと推察しており、Twitter自身のセキュリティーチームもこの説を支持している。

「問題のTwitter ユーザー名とパスワードは、他の最近の侵入で得た情報と、あらゆるサイトのパスワードを盗むマルウェアの情報とを組み合わせたものかもしれない」とTwitterの情報セキュリティー責任者、Michael Coatesがこの件に関するブログ記事に書いた。

Twitterは、自社ユーザーのアカウントを保護するために比較的すばやく動いた ― 今日(米国時間6/9)情報が漏洩したユーザー全員に対して強制的にパスワードをリセットした。

Twitterは大量のパスワードをネットでばらまかれたソーシャルメディア会社として最新の被害者だ ― 5月には、Myspaceの個人情報3.6億人分LinkedInの認証情報1億人分が売りに出された。

Wiredのインタビューで、ユーザーのログイン情報を売っているハッカーの一人は、当初は特定個人のアカウントをターゲットにするスパム業者等に直接売り込み、その後公開販売したと話した。その人物はWiredに、LinkedInのデータだけで約2万ドルになったと話した。

Coatesによると、Twitterrは他サイトから盗まれたデータを調ベ、Twitter自身の記録と相互チェックしてどのアカウントが脆弱かを検証し、強制パスワードリセット等の特別な保護対策を実施している。

「犯人は公開されたユーザー名、メールアドレス、パスワードデータ等を探し、自動化システムによってこのログインデータとパスワードをあらゆる有名ウェブサイトでテストしようとした。同じユーザー名とパスワードを複数サイトで使っている人は、アカウントを自動的に乗っ取られた可能性がある」とCoatesは書いている。

Twitterは位置情報、使用端末、ログイン履歴等の不自然な行動を監視することによって、脆弱なユーザーを保護している、とCoatesは言った。

さらにCoatesは、Twitterアカウントのものされているパスワードの一部は正しくないことも指摘した。一部のハッカーは「古い盗難データをまとめたり、複数の侵入データからアカウントを構成して、ウェブサイト Xのログイン情報とパスワードだと称して販売している」と彼は説明した。

Twitterは、二要素認証、強力で他と異なるパスワード、およびパスワードマネージャーを使ってアカウントの安全を保つことを推奨している。

[原文へ]

(翻訳:Nob Takahashi / facebook

iOS 9.3へのアップデートが途中で止まってしまった古い機種のユーザーにAppleが対策を提供…最新のサポート記事で

slack-imgs-com

古いデバイスのiOSユーザーの一部が、9.3へのアップデートで思わぬトラブルに遭遇しているらしい。アップデートに際してApple IDとパスワードを入力するのだが、それらは最初にそのデバイスをセットアップしたときのでないといけない。あとから変えたIDやパスワードでは、だめなのだ。

ID/PWが違うと、アップデートは途中で停止し、そこから先へ進めない。

Appleは本誌TechCrunchにこんな説明をくれた:

“一部のケースでは、顧客がパスワードを思い出せないとデバイスは不活状態になり、正しいパスワードを入力するまでその状態を保つ。そのような古いデバイスに関しては、一時的にアップデートを控えている”。

activate_iphone

この問題が生ずるのは、iPhone 5SまでとiPad Airまでの機種の一部だ。“古い”ではなくて、“新しくはない”と言うべきだね。たぶん今でも多くの人たちの現用機だから、アップデートを待たされる人が多いだろうな。

Appleは、この問題を修復するためのアップデートのアップデートを“数日後”にリリースするそうだ。でも、今すでに、停止した画面を見て途方に暮れている人は、この最新のサポート記事に書いてあることを、試してみよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

パスワードマネージャーDashlaneがYubiKeyによるワンタイムパスワードで自己をより安全化

dashlane-yubikey

DashlaneLastPassなどのパスワードマネージャーを使うことは、インターネット上で安全であるためのベストの方法の一つだろう(本当は誰しもパスワードの使い回しをしたくないのだから)。でもパスワードマネージャーそのものが単純なパスワードだけで守られているのなら、かなり問題だ。

しかしDashlaneの有料ユーザーは、このサービスが今度からYubicoのYubiKey(s)をサポートするから、自分のパスワードをより安全に保てる。

これによってDashlaneは、消費者向けアプリケーションでYubiKey(s)をサポートしているGoogleやDropbox、GitHubなどの企業の仲間入りをする。

Dashlaneと競合しているLastPassもYubiKey(s)をサポートしているが、ただしこの機能を使えるのはDashlane同様、有料ユーザーのみで、しかもLastPassはやや古いOTPプロトコルを使っている。対してDashlaneは、より現代的な2nd Factor(U2F)認証プロトコルを使っている。

YubiKeyをDashlaneで使うときの使い方は、ほかのサービスで使う場合とそれほど変わらない。最初は、セットアッププロセスを単純にこなしていくと、やがて、キーを挿入せよと言われ、そこでセットアップは完了する。そして、今後このサービスにログインするときは、まずパスワードを入力して、次にプロンプトに従ってYubiKeyを挿入する。そして下図のようにキーをタップすると、サービスに入れる。

DashlaneAndYubiKey@2x

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

5年後になくなっているもの5つ

tvremote

【編集部注:本稿の筆者、Tom GonserDocuSignの最高戦略責任者。】

わずか5年前、世界はまったく違う場所だった。2010年、iPadはデビューしたばかり、Kickstarterは資金調達の様相を変えることになる新しい形のベンチャーキャピタリズムを生み出し、Squareはどんな規模の売り手でもモバイル端末にカードを通すだけで支払いを受け取れるようにした。後戻りはしていない。

次の5年間で、現在想像もしていない製品やサービスが出てくることは間違いない。しかし、前進するにつれてなくなるものはなんだろう?今使っているもので、新しい革新やテクノロジーや方法によって破壊され、完全になくなったり絶滅寸前になるであろうものをいくつか紹介する。

現金、小切手帳、クレジットカード、およびATM:デジタル財布の中には何がある?

いまやSquareによって、あらゆる売り手がデビットカードやクレジットカードを受け入れられる。Venmoを使えば、友達と夕食の支払いをテキストメッセージを通じて割り勘できる。まもなく、あらゆる銀行取引がどんなモバイル端末ででもできるようになる ー 車からでも。連邦準備制度によると、米国全体の小切手利用は、2000年から2012年で57%減った。

35歳以下の消費者の94%がオンライン銀行を利用し、その20%以上が紙の小切手を書いて支払いをしたことがない、とFirst Dataのレポート、The Unbanked Generationは書いている。ヨーロッパでは、小切手を書こうとすると、異常な人間かのような目でみられる。家賃は、小切手を使う最後の大きな砦かもしれないが、それでさえ大家が電子支払いに切り替え、モバイル支払いが益々簡単になるにつれ減少している。

もう一つ:もっと先の未来には、現金がなくなる。現金がないことは現金マシンがなくなることを意味している ー バイバイ、ATM。

USBメモリー:物理メディアはあと何年?

2020年には、世界の70%がスマートフォンを使っていると、 Ericssonのモバイル報告書は言っている。 モバイル通信ネットワークが人口の90%をカバーする。Apple、Box、Dropbox、Google、Microsoftなどのクラウドサービスがほぼ無限のストレージをほぼ無料で提供するようになり、ポケットの中でストレージデバイスが場所を占める理由はほとんどなくなる。モバイル端末の標準ストレージサイズが次の5年で増加するのはもちろんだ。

世界中のイベント主催者は、カンファレンス参加者への記念品に何か新しいグッズを考える必要がある。USBはアナログ時代の象徴になるだろう。

より簡単で安全なアクセス:パスワードや鍵はなくなる

これは想像しにくいだろう。パスワードは今日非常に広く使われているのだから。平均的な人で、パスワードを19個を持っていると言われている ー そして半分近くの人が安全でない弱いパスワードを使っていると認めている。しかし、たとえあなたが絶対に強力なパスワードしか使わないとしても ー おわかりかな ー やはり破られる

まず今の生活にある旧テクノロジーのがらくたを捨てててスタートを切ろう。

生体認証はすでに主流になりつつあり、特にモバイル端末ではわれわれのオンライン活動の多くで主要な入り口となっている。指紋、音声、顔認識が、最初の犬の名前や結婚記念日に変わって安全なアクセス方法になるだろう。それぞれにセキュリティーのリスクはあるが、文字パスワードはなくなるだろう。

同様に、物理的な鍵を失くす心配もなくなる。これからはいつも持ち歩いてるスマート端末が鍵になり、生体認証と組み合わせることによって、持ち主だけが使用できる。

これがなくなって悲しむ人は誰もいない:リモコン

ソファーのクッションをひっくり返してあの見つけにくいリモコン(ホームオーディオやビデオシステムの設定によっては10台かもしれない)を探すことはなくなる。

調査会社のStrategy Analyticsは、モノのインターネット(IoT)、スマートホーム、およびウェアラブルに出現する新たなカテゴリーによって、2020年までに176億台のデバイスが新しくつながるようになる、と予測している。現在でも、Amazon Echoなどのデバイスは、音声による検索とコマンドを新たなレベルに引き上げている。2020年には大量の新しいデバイスがインターネットにつながることによって、単体のハードウェアとしてのリモコンは意味をなさなくなる。

静的文書および紙の契約書

紙ベースの署名と紙ベースの手続き ー 取引を完了させるのに必要な物理的印刷、FAX、スキャン、あるいは承認、決定、署名のための配達便 ー は、今日のデジタル世界では急速に陳腐化しつつある。将来は、あらゆる取引が「クラウド契約」によってアクティブに管理されるようになる。

クラウド契約は:当事者たちの身元を(永久)に結びつけ、契約条件が満たされたら支払いを行い、必要な時期が来たら自発的に契約担当者と接触する。

不動産、金融サービス、保険、ハイテク、および医療企業は 予算を縛られた政府機関さえも ー クラウドコンピューティングを導入して、効率を高め、コストを下げ、エンドユーザー体験を改善している。もうすぐ、契約の管理方法は大きく変わるだろう。

新年の抱負を考えるときは、まず今の生活にある旧テクノロジーのがらくたを捨てて、デジタル新年のスタートを切ろう。たしかにまだ時間はある。しかし、これだけ魅力的なテクノロジー破壊が起きているのに、待つ必要はない。

原文へ
 
(翻訳:Nob Takahashi / facebook

そろそろ本当のセキュリティに取り組もう

[筆者: Andre Durand]

編集者注記: Andre Durandは、Ping IdentityのファウンダでCEOだ。

あなたのデータは今どこにあり、どうやればそれに迅速かつ安全に手が届くのか?

今やDropboxやGoogle Apps、iCloudなどクラウド上のモバイルアプリや、モバイルの銀行アプリなどが、家庭でも職場でも日常的に使われているから、この疑問が誰の脳裏からも離れることがない。西暦2020年にはインターネットに接続されたデバイスの台数が、一人あたり6.5台になると言われている。その中には、赤ちゃんモニタやペースメーカーなどもある。そのときには、もっと大きな疑問が首をもたげる: ハッカーがそれらのデバイスや機密情報に、いったいどれだけ、容易にアクセスできるのか?

インターネット上で自分の存在が多くの人に知られるのはしょうがないとしても、自分の個人情報はどうやって守ればよいのか? 会社やパートナーや顧客の情報、それに会社の情報システムを守らなければならない企業のCIOやITチームにとって、この疑問はさらに重い。こんな状況が、今では一般的にある:

・海外出張中の役員が、安全でないネットワークから社内のシステムにアクセスする。
・社員はモバイルデバイスを使って会社のシステムにログインし、しかもそのシステムはクラウド上で動いている。
・機密情報がメールやクラウド上のストレージサービスやWebサイトで共有されている。

しかもこれらは、ITのセキュリティポリシーに従っていないことが多く、当事者がそういうポリシーの存在を知らないことも多い。ハッカーは、弱いパスワードを解読したり、盗んだりして、ファイヤーウォールなど会社のセキュリティの壁を乗り越え、機密であるはずの個人情報をネットワークからさらっていく。

アイデンティティこそが、セキュリティの主役であり、その場しのぎの脇役であってはならない。

このような現実は、企業に費用を発生させる…しかも大金を。2013年におけるデータ盗難事件の損害額は、一件平均で350万ドルで、前年より15%増えている。ハッキング行為が合衆国の経済に及ぼす被害は、年間1000億ドル、50万人と言われる。そしてハッカーの被害が増えているにもかかわらず、彼らに対抗できない古いセキュリティソフトウェアへの支出が、今だに続いている。2017年には、ウィルス撃退ソフトやネットワークのセキュリティ、モバイルやクラウドのセキュリティなど、セキュリティのソリューションに500億ドル近くが支出される、という。

セキュリティ産業がこれだけ大規模に存在する理由の大半は、30年前のインターネットの草創期に、アイデンティティ(本人性)をネットワーク本体に正しく組み込まなかったことにある。しかもこれまでのセキュリティモデルは、既知の、コントロール可能で信頼できるユーザやデバイスやアプリケーションが一箇所にまとまっていて、それらをファイヤーウォールが包んで守る、という前提に立っている。クラウドとモバイルが支配しつつある今日では、そんなセキュリティモデルはまったく役に立たない。

Ponemon Instituteが行った調査によると、セキュリティの専門家たちの57%が、彼らの担当企業が高度な攻撃に対して守られていないと答え、63%が秘密情報のリークを防げないと答えている。そして多くが、自分の企業も過去に侵犯されたことがある、と当然のように考えている。ではどうしたらいいのか?

パスワードを排除する

サイバー犯罪に対していちばん弱い急所が、パスワードだ。今はまだ、各人がインターネットに対して自分のアイデンティティを証明するための、強力で継続的で普遍的な方法がないので、どのアプリケーションもデバイスも、ユーザ名とパスワードで本人性を確認せざるをえない。この冗長で無駄が多くてしかも究極的に欠陥のある現実が、ネットワークやアプリケーションやデータに対する何億もの、脆弱で簡単に破れる入り口を作り出している。

コンピュータのパスワードの父と呼ばれるMITの名誉教授Fernando Corbatóですら、強力なパスワードは記憶が困難だから、パスワードという方式には欠陥がある、と言っている。その結果、多くの人が複数のアカウントで同じパスワードを使い回し、ハッカーの破壊行為をより楽にしてやっている。Verizonの2013年の調査報告書Network Investigations Data Breach Reportによると、ネットワーク犯罪の76%は、弱い、または盗んだパスワードを悪用している。その被害額が、またすごい。Forrester Researchによると、オンラインサービス全体のパスワード破りによる被害額は各年およそ2000億ドルあまりに達する。

ちょっとここで、計算してみよう。IT用のセキュリティ製品に年間500億ドル近くが投資されていて(上述)、各年のパスワード関連の被害額が2000億ドルだ。すなわち、レガシーのセキュリティおよびアイデンティティアクセス管理手法は、毎年失敗を重ねている。でも、パスワードをなくすことが、本当に現実的なソリューションだろうか?

パスワードを不要にする、と称する技術が今ではいくつかある。iPhoneで広まった指紋認証などバイオメトリックスによる方法、USBのセキュリティトークン、Trusted Platform Modules(TPMs)、セキュアエレメントの埋め込み(embedded secure elements(eSEs))、スマートカードなど。でも今のところ、どれも決定版ではない。なぜか? それは、われわれがまだ、インターネット全体にわたってネットワーク化されたアイデンティティを持っていないし、したがって、われわれが利用できる、すべてのシステム(ネットワーク、ISP、モバイルデバイス、クラウドアプリケーション等々)に通用する単一の強力な本人証明と認証のシステムがないからだ。アイデンティティこそが、セキュリティの主役であり、その場しのぎの脇役であってはならない。

以上すべてにわたって、アイデンティティが鍵だ。それはすべてのサービスや機能に対する普遍的なコネクタであり、個々のサービスやプロバイダの違いを超えている。

われわれの日常生活の中に深く浸み込んでいて、長年の条件付けによって日常の行動の中に固着しているものを排除するのは、不可能のようにも思える。しかしそれでも、アイデンティティこそが未来だ、と認識している企業も存在する。彼らは予算を、従来的なセキュリティからアイデンティティへと配分替えしつつある。それは、アイデンティティがより強力なセキュリティを提供するからだけでなく、それによって、現代的な環境の中でビジネスを行う方法をアイデンティティが根底から変えるからだ。彼らは、セキュリティの範囲がファイヤーウォールの内側だけでないことを認識している。クラウドがあり、自分たちのアプリケーションにアクセスするためにユーザが使うデバイスがある。それらは、ラップトップ、タブレット、スマートフォンなど、さまざまだ。

そんな前衛的な企業って、誰のことだろう? たとえば合衆国の5大銀行は、パスワードだけへの依存から卒業しようと、思い切った努力をしている。ログインには相変わらずユーザ名とパスワードが必要だが、いったんシステムの中へ入ると、各企業の連邦化されているネットワークの内部の、何十ものプログラムにユーザはアクセスする。リダイレクトもなく、複数回のログインもない。

たとえば新しい小切手をオーダーするときには、システムに統合されている決済プロバイダがそのオーダーを、再ログイン不要で処理する。オンラインの投資ツールを使いたければ、別のサービスに回されるが、しかしその銀行のサイトを去ることはない。現金割引の払い戻しを受けたいときには、何百もの小売企業を顧客にしているパートナーがその処理を引き受ける。逆に電子請求書(ebill)に対して支払いを済ませたいなら、それ専門のベンダに銀行のサイトからアクセスできる。

以上すべてにわたって、アイデンティティが「鍵」だ。それはすべてのサービスや機能に対する普遍的なコネクタ(接続役)であり、個々のサービスやプロバイダの違いを超えている。企業の中では、社員や出入り業者に対してアイデンティティが、彼らのロール(役割)に合ったアプリケーションの使い方を導く。ユーザのアイデンティティの確証さえ確かなら、企業は何十何百ものサービスに、複数のサインイン/アウトなしでアクセスを提供できる。

その情報には正しい人だけがアクセスできる、という状態が、ユーザのユニークなロールに基づいて成立するなら、インターネット関連の生産性は飛躍的に向上する。企業はすべてのパートナーや供給業者との統合を、セキュアに行える。現代的な企業のこんな状態が、近い将来に規範(ノルム)になることを、期待したい。

そこには大きな機会がある

クラウドとモバイルの登場によって、セキュリティへのお金の使い方が変わりつつある。投資家たちはこの機会に目をつけ、現代的な企業のセキュリティの形を変えるスタートアップに投資しようとしている。2009年以降では、それぞれユニークなプロダクトを抱えるセキュリティ方面のテクノロジ企業に29億ドルあまりが投資された。2014年の最初の3か月だけで、セキュリティ分野の生まれたてほやほや企業26社に1億5000万ドルあまりが投資された。

これからの課題や機会がどこにあるかというと、それは、ユーザやデバイスやアプリケーションを確実に信頼できて、それらをセキュアにインターネットに接続するためのフレームワークを確立することだ。この課題と機会の中では、アイデンティティとセキュリティが同じ一つのものである。別の言い方をすると、セキュリティの真の唯一の対象、それはアイデンティティだ。それは、会社でもネットワークでもストレージでデータでもない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


緊急速報: Twitterのパスワードを今すぐ変えなさい

3831467723_8150d8b015_z

Twitterがハッカーの攻撃を受け、25万人のユーザに被害が及んだ。その25万名はTwitterから、パスワードを変えよというメールをもらった。こんなことは今回が初めてではないが、今度の被害は本格的だ。前回のような、誤報のメール洪水を伴うハッキングではない。

Twitterはブログでこう書いている:

今週発見した異常なアクセスパターンは、Twitterのユーザデータへの不法アクセスによるものだった。実行中の犯行も一件発見したが、それに関してはしばらくのちに、プロセスを遮断できた。しかし弊社のその後の調査によると、犯人たちは一定数のユーザ情報…ユーザ名、メールアドレス、セッショントークン、暗号化され擬装された状態のパスワード…にアクセスしていた。その数は、およそ25万名である。

これは、どういうこと? われわれにはまだよく分からないが、Twitterは、これが相当“高度な”ハックだと見なしている:

この犯行はアマチュアの仕事ではなかった。また、今回一度かぎりの犯行ではないと思う。犯人たちの手口はきわめて高度であり、弊社以外の企業や団体も最近同様の攻撃を受けたものと思われる。

おかげで、週末にやることができたね、Twitterさん。Twitterからメールが来たことを、まだ知らない人もきっといるよ。ぼくなんか、おかしなメールは全部、迷惑メールフィルタが捨ててしまうからね。

でも、実際に起きたわけだから、困ってしまう。しかし、人の不幸は蜜の味、とも言うよね。自分はハックされなかったから、自分がクールな人間じゃなくて、せっかくのスリルを味わえないのでつまらない、と言った友人もいる。

Twitterは次のような助言をしている。これは、ユーザからの非難を逸らすことが目的かもしれない:

国土安全保障省とセキュリティのエキスパートからの助言に基づき、ユーザにはご自分のコンピュータのブラウザ上でJavaをディスエーブルにすることを推奨する。

それよりも、あるいはそれに加えて、パスワードを変えるのだ。ハッキングされるスリルは、万人のものだからね。

[写真クレジット: Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

緊急速報: Twitterのパスワードを今すぐ変えなさい

3831467723_8150d8b015_z

Twitterがハッカーの攻撃を受け、25万人のユーザに被害が及んだ。その25万名はTwitterから、パスワードを変えよというメールをもらった。こんなことは今回が初めてではないが、今度の被害は本格的だ。前回のような、誤報のメール洪水を伴うハッキングではない。

Twitterはブログでこう書いている〔Twitter日本語ブログ〕:

今週発見した異常なアクセスパターンは、Twitterのユーザデータへの不法アクセスによるものだった。実行中の犯行も一件発見したが、それに関してはしばらくのちに、プロセスを遮断できた。しかし弊社のその後の調査によると、犯人たちは一定数のユーザ情報…ユーザ名、メールアドレス、セッショントークン、暗号化され擬装された状態のパスワード…にアクセスしていた。その数は、およそ25万名である。

これは、どういうこと? われわれにはまだよく分からないが、Twitterは、これが相当“高度な”ハックだと見なしている:

この犯行はアマチュアの仕事ではなかった。また、今回一度かぎりの犯行ではないと思う。犯人たちの手口はきわめて高度であり、弊社以外の企業や団体も最近同様の攻撃を受けたものと思われる。

おかげで、週末にやることができたね、Twitterさん。Twitterからメールが来たことを、まだ知らない人もきっといるよ。ぼくなんか、おかしなメールは全部、迷惑メールフィルタが捨ててしまうからね。

でも、実際に起きたわけだから、困ってしまう。しかし、人の不幸は蜜の味、とも言うよね。自分はハックされなかったから、自分がクールな人間じゃなくて、せっかくのスリルを味わえないのでつまらない、と言った友人もいる。

Twitterは次のような助言をしている。これは、ユーザからの非難を逸らすことが目的かもしれない:

国土安全保障省とセキュリティのエキスパートからの助言に基づき、ユーザにはご自分のコンピュータのブラウザ上でJavaをディスエーブルにすることを推奨する。

それよりも、あるいはそれに加えて、パスワードを変えるのだ。ハッキングされるスリルは、万人のものだからね。

[写真クレジット: Flickr]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))