Dellがセキュリティー部門のRSAを約2283億円で投資家グループに売却

米国時間2月18日、Dell Technologies(デルテクノージーズ)は傘下の伝統的セキュリティー会社RSAを、Symphony Technology Groupが率いる投資家コンソーシアムに20億7500万ドル(約2284億円)で売却することを発表した。ほかにOntario Teachers’ Pentsion Plan Board、およびAlpInvest Partnersも出資する。

RSAがDellの元にやってきたのは2015年に670億ドル(約7兆3700億円)でEMCを買収したときだった。EMCは2006年にRSAを、今日の金額に似た21億ドル(約2311億円)で買収した。契約にはいくつかの要素があり、毎年サンフランシスコで行われるRSAセキュリティー・カンファレンスも含まれている。

製品に関してコンソーシアムはRSA Archer、RSA NetWitness Platform、RSA SecurID、およびRSA Fraud & Risk Intelligenceを手にする。EMCを買収した際の顧客宛のレターでMichael Dell(マイケル・デル)氏は、RSAをDellファミリーに歓迎する旨を書いていた。

EMC、VMware、Pivotal、VCE、Virtustream、RSAの各チームと一緒に働けることを大いに楽しみにしている。私自身、我々の新しい会社、パートナー、そしてなによりも我々の顧客の成功のために全力を尽くすことを約束する。

しかし時は変わり、おそらくDellは会社の近代化のためには老舗セキュリティー会社を捨てていくらかの現金を得る時期だと判断したのだろう。RSAのやり方は、Dellの全社的セキュリティー戦略と一致していない。

「RSAとDell Technologiesの戦略は、異なるビジネスニーズと異なる市場開拓モデルに対応するために変化してきた。RSAの売却は、我々がDell Technologies全体のイノベーション統合に集中するための柔軟性を高くする一方で、RSAがリスク、セキュリティー、詐欺対策チームにデジタルリスクを総合的に管理する能力を与える戦略に集中することを可能にする」とDell TechnologyのCOO、副会長のJeff Clarke(ジェフ・クラーク)氏が売却を発表した ブログ記事で語った。

一方RSAのプレジデントRohit Ghai(ロヒト・ガイ)氏は、今回の買収について長い歴史をもつ同社の次の一歩である、と歓迎の意を表した。「我々の存在意義は、一貫して顧客のためにマーケット破壊とイノベーションを行うことに集中すること」とRSAの公式ブログに書いている。

契約が正式に認められるためには、規制当局による一般的な承認が必要だ。

画像クレジット: Gary Miller / Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

GoogleのAIは人間の作とはまったく違う奇妙な暗号を作り出す

privacy

2台のスマートコンピューター(AIが動いているコンピューター)に秘密の会話をさせて、別のAIに、その会話を解読するよう命じたら、何が起きるだろうか? これは、ぼくがしばらくぶりで見る、最高にクールな、暗号技術の実験なのだ。

最初に話の要点を: Google Brainの研究者たちの発見によると、そのAIの機能や設定が適切なら、それは奇妙に非人間的な暗号系を作り出し、しかもそれによる暗号化は得意だが、(第三者による)解読はそれほどでも、という結果になった。その論文、“Learning to protect communications with adversarial neural cryptography”(敵対的な暗号を作り出して自分たちのコミュニケーションを保護することを学ぶニューラルネットワーク)は、ここにある

そのタスクのルールは単純で、二つのニューラルネットワーク、BobとAliceが秘密鍵を共有する。別のニューラルネットワークEveが、BobとAliceのコミュニケーションを読む(解読する)よう命じられる。各パーティーには、“損失関数”(loss function)があるものとする。Eveと聞き手のBobが解釈解読したプレーンテキストは、オリジナルのプレーンテキストになるべく近くなければならないが、一方Aliceの損失関数は、Eveの解読言い当てからどれだけ遠いか(==Eveにとってどれだけ解読困難か)に依存する。これによって、三つのロボット間に敵対的なネットワークが生成し作られる。

研究員のMartın AbadiとDavid G. Andersenは書いている:

参加者の大まかな目的はこうだ。Eveの目標は単純で、Pを正確に再構成すること。つまりPとPEveの違いを最小化すること。AliceとBobは、明確にコミュニケーションして、PとPBobの違いを最小化したいが、ただし彼らのコミュニケーションをEveからは隠したい。現代の暗号学の定義によれば(Goldwasser & Micali, 1984など)、暗号文CはEveにとって“ランダムに見える”必要はない。そこで、暗号文には、自明的なメタデータが、それと分かる形であってもよい。したがって、一部の分布から取り出したランダムな値からCを識別することは、Eveの目標ではない。この点でEveの目的は、GAN〔xLAN, xWAN〕の敵対者たちのそれとは対照的である。一方、Eveの目標を、二つの異なるプレーンテキストから作られた暗号文を識別すること、と再構築/表現変えしてみることはできる。

この方法は次第に進化し、最後にはBobとAliceが共有鍵を使って明快にコミュニケーションできた。一方Eveは、BobとAliceが熟達するまではシステムを解読する幸運があり、その後は彼女の暗号破りの能力は失敗した。BobとAliceは暗号化された情報をうまく共有できるようになり、そして彼らのテクニックの多くは奇妙かつ予想外のものであった。それは、“人間が作り出した”暗号化手法には一般的にはない、計算に依存していた。

screen-shot-2016-10-28-at-1-20-32-pm

最後に研究者たちが見つけたのは、BobとAliceは、彼らがセキュリティを重視しているかぎり、彼ら独自の堅固な暗号化プロトコルを巧みに編み出すことだった。一方Eveは、彼らのコミュニケーションの解読に、すごい長時間を投じた。このことが意味するのは、ロボットたちが、われわれ人間やほかのロボットに見破ることのできない方法で会話できることだ。ぼくとしては、未来の地球が解読困難な暗号を使うロボット帝皇に支配されることを、歓迎したいね。

〔お断り: 訳者は暗号学にほとんど無知なので、誤訳があるかもしれません。原文との併読をおすすめします。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

90年代から見過ごされてきた深刻な脆弱性”FREAK”発見―Appleはいち速く修整を約束

うへっ―またまた「大規模で深刻な脆弱性」の発見だ。今回のバグはなんと90年代に遡るという。

このバグを発見したセキュリティー専門家によって“FREAK”と命名されたバグは90年代から見過ごされてきたもので、これをハッカーが利用するとトラフィックを暗号化している多くのウェブサイトの情報が漏洩する危険性がある。

バグの概要(私の理解):

  • 1999年ごろまでアメリカ政府は強力な暗号化メカニズムを組み込んだハード、ソフトの輸出を安全保障上の理由から禁止していた。そこで輸出版製品には「弱い暗号」が用いられていた。
  • 当時はこの「弱い暗号」もスーパーコンピュータがなければ解読できなかった。しかし現在ではEd Feltenが指摘するように、Amazon EC2のアカウントさえあれば誰でも解読できてしまう。
  • 暗号システムに関する制限は1999年ごろに廃止された。ところが、どういうわけかこの「輸出版」の弱い暗号がGoogle、Appleその他オリジナルのOpenSSLを利用するデバイスに残存していた。要するに忘れられていたのだ。
  • 巧妙に仕組まれた「中間者攻撃(man-in-the-middle)を行うと、ハッカーはウェブサイトにこの「弱い暗号」を使うよう強制できる。
  • ウェブサイトのトラフィックがひとたび「弱い暗号」に切り替われば、攻撃者はバスワードだろうがメッセージ内容だろうが数時間もあれば解読できる。

要約すると、ハッカーはAndroidやSafariを通じてウェブサイトに長く存在を忘れられていた旧式の弱い暗号を使わせることができ、内容を比較的簡単に解読できるということだ。

この研究を行ったセキュリティー専門家グループは、今朝までに、この方法で多数の主要なウェブサイトに「弱い暗号」を使わせることに成功したという。

専門家グループは攻撃が成功したサイトの長いリストを公開しているが、これは気が滅入るしろものだ。銀行、通販に加えてアメリカ政府の機関もいくつか載っている。

この脆弱性に責任があるとして名指された主要企業の中で、いち速く反応したのはAppleだった。Appleの広報担当者はこう言っている。

「この問題に関してわれわれはiOSとOS Xを修整した。来週のソフトウェア・アップデートで一般に公開する予定だ」。

TechCrunchでは他の会社にも対策を取材中だ。

〔日本版〕記事にもリンクがはられているfreakattackサイトによれば、この情報を公開したのはミシガン大学のコンピュータ科学者チームのようだ。RSA export cipher suites (e.g., TLS_RSA_EXPORT_WITH_DES40_CBC_SHA) をサポートしているサーバーを利用したサイトはすべて影響を受けるという。チームはRSA Exportだけでなく、最新の安全な暗号化ツール以外のサポートを即刻削除するよう勧めている。

画像: mikael altemark/Flickr UNDER A CC BY 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+