数百名の学者たちがプライバシーに配慮したコロナウイルス接触者追跡を支持

世界中の何百名もの学者たちが、コロナウイルスの広がりを理解するための接触者追跡システム(contact tracing systems)がプライバシーを重視することを歓迎している。

300名近くの学者が署名し、月曜日(米国時間4/20)に公開された書簡が、自分などがCOVID-19感染者と接触したかを知るためのオプトインで非集権的な方法を共同開発するという、最近のAppleとGoogleの発表を賞賛している。

学者たちによると、その接触追跡アプリは、Bluetoothによる追跡を自動的に行い、位置データを集めて中央的な場所に保存するアプリに比べて、はるかにプライバシーをしっかり保護する。

書簡はこう言っている: 「接触追跡はよく理解されている疫病対策ツールだが、従来は手作業でやっていた。スマートフォンの接触追跡アプリは、状況によっては手作業による接触追跡よりも効果的だ。しかしその効果性に対しては異論もある。まず、その実装はユーザーのプライバシーを護るものでなければならない。そのことが、他の多くの問題の対策にもなる。たとえば、そんなアプリを利用して、望まざる差別や監視が行われがちだ」。

この学者たちからの推奨は、いちばん重要なタイミングでやってきた。個人のコロナウイルスへの接触を追跡する方法は、いろいろある。しかし非集権的なシステムは追跡データを一箇所に置かないから、プライバシー保護が優れている。しかし学者たちによると、データの集権的中央的な保存は「人びとに関する情報の侵害的な再構築を許すから、議論の余地なく排除すべきだ」、という。そしてそれは、「外部からの検査が可能でプライバシーの保護ができる設計になってなければならない」。

さらにまた、「現在の危機を口実に、人びとのデータを大量に集められるツールを作ってはならない。今だけでなく、今後においても」。

この書簡の数日前には、この同じ学術グループが、PEPP-PTと呼ばれる同様の接触追跡プロジェクトのサポートを取り下げた。このツールは、詳細が不詳の7つの国が使用している。そのうちの2か国、スペインとスイスは、非集権的な接触追跡ソリューションを求めていた。しかし、蓋を開けてみるとPEPP-PTは、プロトコルが独自規格の集権的中央的なもので、そのプロジェクトに関わった一部の学者も、オープンでないし透明性を欠くとして、プライバシーを重視するDP-3TプロトコルやAppleとGoogleのクロスプラットホームなソリューションの方をサポートするようになった。

この書簡に署名した学者の一人であるサリー大学のAlan Woodward氏はTechCrunchに、書簡は学術世界のコミュニティが「正しいやり方」と信ずるものを示している、と語った。

「これまで、この世界でこんなものを見たことがない」、とWoodward氏は語る。「わずかな人たちでなく、多くの人が懸念していることの表れだ。やり直しは困難だから、政府もこの声をよく聴いてから対策に着手してほしい」、とも。

関連記事: 新型コロナの接触者追跡とはどのようなものか?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出

世界的なホテル大手のマリオット(Marriott)は、データ漏洩があったことを認めた。この3年間で2回目だ。今回は520万人分のゲストの個人情報が含まれていたという。

画像クレジット:Roberto Machado Noa/Getty Images

米国時間3月31日、マリオットはフランチャイズのホテルで、2月下旬に不特定の管理システムへの侵入を発見したと発表した。ホテルの声明によると、ハッカーは2人の従業員のログイン情報を入手し、発見の数週間前となる1月中旬に侵入していたという。

マリオットは支払いに関するデータが盗まれたと考える「理由がない」としているが、氏名、住所、電話番号、登録メンバーデータ、生年月日、その他の旅行に関する情報が盗まれたと警告している。その中には、顧客が利用する航空会社の会員番号や、部屋の好みの情報などが含まれる。

マリオットの子会社のStarwood(スターウッド)は、2018年に中央予約システムがハッキングされ、3億8300万人分の顧客記録と個人情報が流失したと発表した。その中には、500万件の暗号化されていないパスポート番号と、800万件のクレジットカード記録が含まれていた。

そのときにはヨーロッパ当局が迅速に反応し、マリオットに対して1億2300万ドル(約132億円)の罰金を科していた。

関連記事:データ流出のマリオットホテルに英当局が罰金134億円を科す見込み

原文へ

(翻訳:Fumihiko Shibata)

Slackが2015年のデータ侵害に遭ったユーザーのパスワードをリセットする

Slackが、4年前のデータ侵害で被害したと思われるユーザーのパスワードをリセットする。

同社によると、2015年にハッカーがユーザープロフィールのデータベースに不法アクセスし、その中には暗号化されたパスワードも含まれていた。しかしそのハッカーは、当時ユーザーが入力した平文のパスワードを取り出すコードを挿入した。

Slackによると、最近バグバウンティ(バグ発見報奨金制度)でコンタクトしてきた何者かが、盗んだSlackアカウントのパスワードのリストなるものを、ちらつかせてきた。同社は、それが2015年のデータ侵害と関係あるかもしれない、と考えた。

Slackによると、現在のSlackユーザーのほぼ99%は2015年の3月以降に参加したユーザー、またはその後パスワードを変えたユーザーなので、この件とは無関係である。

また、同社のネットワークを使ってシングルサインオンを要するアカウントも、無関係である。

さらに同社によると、それらのアカウントが盗まれたと信ずる理由はないけど、盗まれなかったとする証拠を提供することもできない。

Slackによると、データ侵害の被害を受けたアカウントは、2015年のアカウントの1%である。米国時間718日朝の記事によると、その数は6万5000アカウントにのぼるかもしれない。この件に関してSlackのスポークスパーソンは、コメントも数の確認もくれなかった。

Slackは最近ニューヨーク証券取引所に上場し、時価総額は約157億ドルである。

関連記事:NYSEに上場するSlackIPO価格は26ドルに

[原文へ]

(翻訳:iwatani.a.k.a. hiwa

長いパスワードはパスワードの悪用や同一パスワードの再利用を大幅に減らす

インディアナ大学の研究者たちが、パスワードに関する厳しい規則は…相当面倒なものを除いては…実際に効果があることを実証した。その研究を行った院生のJacob Abbott, 同大のCIO Daniel Calarco, そしてL. Jean Camp教授らは、彼らの研究成果を“Factors Influencing Password Reuse: A Case Study.”(パスワード再利用の影響要素に関する事例研究)と題するペーパーで発表した。

Abbottはこう述べている: “われわれのペーパーは、文字数15文字以上などの厳しい要件により、インディアナ大学のユーザーの圧倒的多数(99.98%)が、パスワードをほかのサイトで再利用しなくなることを示している。制限文字数が短い他の大学では40%もの高率でパスワードが再利用されている”。

パスワードの再利用に対する規則の影響力を知るために、インディアナ大学を含むアメリカの22の大学のパスワードに関する規則を調べた。そして、オンラインで公開されている二つの大きなデータセットから、メールとパスワードの組み合わせを取り出した。それらのデータセットには、メールアドレスとパスワードの組み合わせが13億件ある。それらのメールアドレスとパスワードの組み合わせを大学のドメインごとに分類し、各大学の公式のパスワード規則と比較した。

結果は明白であった: 厳しいパスワード規則によって、その大学の個人データ漏洩リスクは大幅に低減していた。

要約すると、長いパスワードを求める厳しいパスワード規則により、パスワードの詐欺的利用や本人のパスワード再利用が99%、すなわちほぼ完全に防止できている。また同研究によると、パスワードの中で自分の名前やユーザー名を使わない、という規則も、セキュリティに貢献している。結局のところ、厳しいパスワード規則がある方が、なにもないよりも、はるかにましである。当たり前のことのようだが、覚えておくべき、そして必ず思い出すべき、重要なポイントだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Alphabet傘下のChronicleがマルウェアスキャンVirusTotalのエンタープライズバージョンを立ち上げ

Googleの持株会社Alphabet傘下のセキュリティ企業Chronicleの、ウィルスやマルウェアをスキャンするサービスVirusTotalが今日(米国時間9/27)、エンタープライズ向けのバージョンを立ち上げた

VirusTotal Enterpriseと名付けられたその新サービスは、より高速でよりカスタマイズ性に富むマルウェア検索と、Private Graphと呼ばれる新しい機能を提供する。Private Graphは、企業のインフラストラクチャと、彼らのマシンに悪影響を及ぼすマルウェアの、プライベートな視覚化を作りだす。

企業はPrivate Graphを使って社内のインフラストラクチャやそのユーザーの明細を容易に作れるので、セキュリティチームはインシデントとその起点を調べやすくなる。上図のようなグラフを作る過程でVirtusTotalは、複数のノードの共通性を見つけ、問題の発見を助ける。

当然ながらこれらのグラフはプライベートに維持される。VirusTotalはすでにその有料ユーザーにVirusTotal Graphという機能を提供しているが、しかしその情報はすべて、パブリックだ。

VirusTotalの主張によると、このサービスはAlphabetの大きなインフラストラクチャと検索の専門的能力を利用できるので、高速で高度な検索ができる。VirusTotal EnterpriseのスピードはこれまでのVirusTotalの100倍で、検索の精度も高い。その高度な検索機能により、企業のセキュリティチームは、偽アプリケーションからアイコンを取り出したり、同じファイルに取り付いているすべてのマルウェアを見つけたりできる。

さらにVirusTotalによれば、同サービスは今後も引き続きGoogleの強力なインフラストラクチャを利用する前提で、そのエンタープライズサービスを徐々に拡張していく。

GoogleがVirusTotalを買収したのは2012年で、その後長年このサービスに変化はなかったが、今年の初めにGoogleの親会社AlphabetがVirusTotalを新設のChronicleブランドへ移し、それ以降、開発が活発になったようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

スイス警察、通常任務用車両としてTesla Model Xを導入

TeslaのModel Xが、法執行機関からの注目を集めているようだ。と、こんな言い方をすると誤解を招いてしまったかもしれないが、悪い意味ではなく、肯定的な評価を得ているようなのだ。たとえばトロント警察は、警察車両として利用する場合のカラーリングを施したデモ車を公開していた。そしてスイスのバーゼルシュタット警察は、正式な警察車両としてModel Xをオーダーしたのだ。

Electrekによれば、オーダーされたもののうち、最初の7台が秋に納車される予定となっているとのこと。バーゼルシュタット警察のこれまでの公式車両と比べて初期費用は高くつくものの(これまでは、1台あたり平均9万7千ドルのディーゼル車を使用していた。新しい警察仕様のModel X P100Dは14万7千ドル程度となっている)、トータルでのメンテナンスおよび燃料費をおさえることができると踏んでいるそうだ。

秋に導入される最初の7台に続いて、2019年中にも納車されることとなっている。バーゼルシュタット警察によれば、エコロジー面およびトータルコストの観点からModel Xの採用にいたったとのこと。荷物の積載量の多さも決め手のひとつだったと述べている。

原文へ

(翻訳:Maeda, H