死亡時に自動で遺族に情報共有する個人向け資産管理サービス「Kubera」

連続起業家のRohit Nadhani(ロヒト・ナダーニ)氏は、2018年にメールアプリのNewton MailをEssentialに売却した。人気抜群のそのアプリはこれまで何度も、サービス終了を免れている。そんなナダーニ氏は米国時間5月25日に、新しいスタートアップKuberaを立ち上げた。このサービスは財産や投資、暗号通貨、負債、保険や自分が死んだ際に大切な人に転送しなければならない重要な書類などを、スプレッドシートに記録して管理する方法からユーザーを解放することを目的にしている。

Kuberaは、創業者が体験したおそろしい事故がヒントになった。「Kubera(クベーラ)」とは、インドの神話に登場する「富の神」だ。ナダーニ氏はコスタリカの海で泳いでいるときに離岸流にさらわれ、救出された。自宅に戻った彼が最初にやったことは、自分のすべての資産をリストアップして妻に遺せるようにしたことだった。

しかしその作業は相当面倒で、不動産や株式や国債社債などの債券、年金口座、保険など、ありふれたものだけが資産ではなかった。

リストに載せるべきものとして、暗号通貨や蒐集品、貴金属、海外非上場企業への投資、登録商標、その他のデジタル資産そして家族や友だちのために借りた負債などがある。

さらに彼は、単純なスプレッドシートにはできない機能が欲しかった。まず、IntuitのMintのように資産価値を自動的にアップデートする機能だ。それに報告機能も欲しい。もっと重要なのは、本当に必要な場合以外は、彼の個人資産データを誰もシェアできないことだ。

このナダーニ氏の要求を満たす既存のソリューションは存在せず、どれも古臭い技術を使っており、彼やユーザーが望む機能を欠いていた。ユーザーのデータを使って予算管理や投資の推奨をする既存製品すらあった。それまでスプレッドシートを使っていた数名の友だちからのフィードバックも参考にして、彼は自らのソリューションをKuberaに実装した。

彼が声をかけた共同創業者のうち、Manoj Marathayil(マノジ・マラサイユ)氏はナダーニ氏が以前立ち上げた企業であるCloudMagic(Newton)とWebyogの創立エンジニアで、Webyogは2018年にIDERAにエグジットした。他にもCloudMagicでNewton Mailの設計のトップだったUmesh Gopinath(ウメシュ・ゴピナート)氏も加わった。

Kuberaは、通常の資産と特殊な資産の両方を管理できるカスタマイズ可能なソリューションとして、5月25日にローンチする。

サービスを利用するためには、まず自分の資産をシンプルな表にまとめ、それらの費用(原価)や価値、関連ドキュメントなどを登録する。表の値を更新は手作業で行うか、オンラインでアカウントに接続して自動的にアカウントを更新することもできる。

サービスはPlaidやYodleeのような、信頼されている財務データ集積サービスを利用してインターネットに接続するため、自分の財務データへのアクセスも「リードオンリー」だ。Kuberaがユーザーに代わってトランザクションをすることはできない。これによりKuberaのサービスは、世界中の1万以上の銀行へのアクセスをサポートする。

またこのサービスは、暗号化アルゴリズムのオープンソースのスタンダードであるAES256でユーザーデータを暗号化し、すべてのウェブページがHTTPSを必要とし、またHSTSを使ってブラウザは安全な接続だけにアクセスするようにする。Google Sign-inのニ段階認証をサポートするが、近くその他の二段階認証にも対応する。

ビジネスモデルはサブスクリプションだけなので、サードパーティや広告主とのデータの共有に依存しない。資産価値の自動アップデート機能がないベーシックなサービスは無料だが、自動アップデートが必要なら月額10ドル(約1080円)となる。

最初の入力が済んだら、Kuberaは定期的にユーザーにチェックインと資産価値のアップデートを勧める。この「生存確認」により、最初に指定した一定間隔でユーザー本人のアクセスがあるかをチェックする。

そしてKuberaからの確認に応答がないと、メールやテキストメッセージで受取人に通知が届く。そしてユーザーが提供したすべての情報を、ダウンロードできる形式で受取人にメールする。何度通知しても受取人の応答がなければ、Kuberaは非常時連絡先、ユーザーに「信頼されている天使(Trusted Angel)」に連絡する。

Kuberaには、MintやYNABのようなオンラインの予算管理ツールと競合する部分もあるが、しかしそれらは資産管理にまで踏み込んでいないため目的が異なっている。またPersonal Capitalのようなファイナンシャルアドバイザーやウェルスマネジメントとも競合するが、Kuberaはファイナンシャルアドバイザーなどの有料サービスを紹介したり、投資のアドバイスはしない。

今後Kuberaが、相続や遺言、信託などの分野を扱ったり、それら方面のサービスをパートナーとすることもありえるが、現在のところはユーザー本人の現存する遺志や預託だけが対象だ。

まだ自己資金だけの同社は、100日間の無料トライアルを提供している。正規の登録ユーザーになる前に、資産の整理を試してみるのも良いかもしれない。

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

タイの通信大手AISで80億件ものネット利用記録のデータベースが流出

タイの通信ネットワーク最大手AISは、何百万人ものインターネットユーザーの何十億というリアルタイムインターネットの利用記録を流出させていたデータベースをオフラインにした。

セキュリティ研究者のJustin Paine(ジャスティン・ペイン)氏は、DNSクエリやNetflowデータを含むデータベースがパスワードなしでインターネット上にあることに気づいた、とブログに書いた。このデータベースにアクセスすると、インターネットユーザー(あるいは世帯)が今、何をしているのか誰でも「すぐに見当をつけられる」とペイン氏は話している。

ペイン氏は米国時間5月13日にAISにデータベースがオープンになっていることを警告した。しかし1週間経ってもAISからの反応がなく、ペイン氏は明らかなセキュリティ上の過失を通称ThaiCERTというタイの国家コンピューター緊急対応チームに報告した。そしてThaiCERTがAISに連絡を取った。

しばらくしてデータベースはアクセスできなくなった。

データベースを誰が所有しているのかは明らかではない。ペイン氏は、データベースで見られた記録の種類は、ネットワーク内を飛び交うインターネットトラフィックを監視できる人からのものだとTechCrunchに語った。ただ、データベースがインターネットプロバイダーに属するものなのか、あるいは子会社の1社のものなのか、はたまたAISネットワークの大企業顧客のものなのか識別するのは難しい。AISの広報担当は、電子メールによるTechCrunchからのコメントの求めに応じなかった。

DNSクエリはインターネット使用に伴う一般的な副作用だ。ウェブサイトを訪れるたびにブラウザはウェブアドレスをIPアドレスに変換する。IPアドレスはブラウザに、ウェブページがインターネット上のどこにあるのかを伝える。DNSクエリはプライベートのメッセージや電子メール、パスワードなど取り扱いに注意を要する情報を運ばないが、ユーザーがどのウェブサイトにアクセスし、どんなアプリを使うのかを特定できる。

これはジャーナリストや活動家のような、インターネット利用の記録が情報ソースの特定に使われ得るという、大きなリスクを背負っている個人にとっては深刻な問題となる。

タイのインターネット監視法では、当局のインターネットユーザーデータへの広範なアクセスを認めている。タイにはまた、アジアで最も厳しい検閲法があり、タイ王室や国家セキュリティ、特定の政治問題に対する批判を禁じている。2015年のクーデターで登場したタイの軍事政権は、ソーシャルネットワーク大企業のFacebook(フェイスブック)が一部のユーザーの投稿への検閲を拒否したためにフェイスブックを国中で禁止していたが、2017年にこれを撤回した。

DNSクエリデータは個人のインターネット活動についての知見を得るのにも使われる。

ペイン氏は、データベースにアクセスできる人がインターネットにつながっている家庭からいかに大くの情報を得ることができるのか、データを使って示した。例えば、所有しているデバイスの種類、使用しているコンピューターウイルス対策ソフト、使うブラウザ、頻繁に利用するソーシャルメディアアプリやウェブサイトなどについてだ。家庭やオフィスでは、多くの人が1つのインターネット接続を共有するため、インターネット活動から特定の人へと追跡していくのはかなり困難だ。

広告主もまたターゲット広告のためにDNSデータを重宝している。

2017年の法律で米国のインターネットプロバイダーはユーザーのDNSクエリや閲覧履歴といったインターネット利用記録の販売が認められ、ブラウザメーカーはインターネットやネットワークのプロバイダーが覗いて回ることがしにくくなるよう、プライバシーを高めるテクノロジーを展開することで抵抗した。

DNS over HTTPSやDoHのようなDNSリクエストを暗号化するテクノロジーは、ユーザーが訪れているウェブサイトや使用しているアプリをインターネットやネットワークのプロバイダーが把握することをかなり難しくする。

画像クレジット: Nicolas Asfouri / AFP / Getty Images

[原文へ]

(翻訳:Mizoguchi

Firefoxのパスワードマネージャーがより厳しくなった

Mozillaが今日(米国時間5/5)、Firefoxブラウザーのバージョン76を立ち上げ、それにより二つの新しい機能をローンチした。このオープンソースのブラウザーを前から使ってる人は、たぶん気がつくだろう。

今日のリリースの目玉は、パスワードマネージャーの強化だ。そのFirefox Lockwiseと呼ばれる機能は、今度から、ユーザーがブラウザーの「ログインとパスワード」のページから認証情報をコピー&ペーストしようとするとデバイスのパスワードを求める。デバイスのパスワードが確認されたら、5分間だけ認証情報を見たりコピーできる。これにより、そのユーザーのマシンで他の人がパスワードで保護されたサイトにアクセスすることがやや難しくなる。自分のコンピューターをほかの人とよく共有しているユーザーにとって、とくにありがたいだろう。

Lockwiseのもう一つ新しい機能は、最近のセキュリティ事件で盗まれたパスワードと同じ弱いパスワードを使っていると警告が出ることだ。もちろん前と同じパスワードを使うべきではないけど、でも警告は、アクセスしたWebサイトが最近ハッカーにやられて、ユーザーのIDやパスワードが盗まれた可能性があるときにも出る。

Lockwiseのパスワードジェネレーターはさらに多くのサイトで使えるようになり、また、文字と数字と記号を12使ったランダムな文字列を新しいパスワードの候補としてユーザーに代わって作ってくれる。

バージョン76のFirefoxには、YouTubeなどのビデオサイトで使うピクチャーインピクチャーモードの改良版がある。この機能を使うと、ほかの仕事しながら画面の隅っこでビデオを見続けることができる。ただし、ポップアップウィンドウでビデオを見ているときは、YouTubeなどのサイトを閲覧することはできない。でも前から、画面のサイズを変えられたらいいのに、と思っていたけど、今度からはそれができる。バージョン76では、ポップアップしているビデオの上でダブルクリックすると、全画面表示になる。ささやかだけど、嬉しい機能だ。

アップデート: PiP(ピクチャーインピクチャー)モード自身が新しいのではない。ダブルクリックによる全画面表示が新しいのだ。

今度のFirefoxでは、何もダウンロードしなくてもそのままでZoomを使えるようになった。そしてWebサイトを高速に描画するGPU機能WebRenderを使えるマシンが、大幅に増えた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

新型コロナ接触者追跡アプリの拡大流用に警鐘、「中央集中型」支持の英国でも

英国政府による新型コロナウイルス接触者追跡アプリの開発計画について、その透明性と拡大流用に関する懸念を表明する公開書簡に、英国のコンピュータセキュリティ専門家とプライバシー専門家が多数署名した。

2020年4月初めに世界中の300名近くの学者が署名した同様の公開書簡に続き、177名の学者の署名を集めたこの書簡は、接触者追跡テクノロジーの使用に対する慎重な姿勢を促し、接触者追跡アプリを導入する政府には、プライバシーを保護する技術やシステムを使用するよう呼びかけた。

英国の学者らはこの書簡の中で、3月初旬からデジタル接触者追跡アプリの開発を行ってきたNHSX(英国国民保険サービスのデジタル戦略を担当する組織)に言及して「公衆衛生におけるデジタルソリューションの有効性は、関係する全分野の専門家による深い分析を経て判断するべきであり、関係するリスクが妥当であると言うだけの価値があることを証明する十分な根拠が必要だ」と述べた。

また「報道によると、NHSXは感染者とその接触者全員の非匿名IDを中央集中型データベースに記録するアプローチを検討している。このようなシステムはいずれ(本来の目的から逸脱した拡大流用により)監視システムとして利用される可能性がある」とも述べている。

NHSXのCEOであるMatthew Gould(マシュー・グールド)氏は米国時間4月28日、英国議会の科学技術委員会に出席して証拠を提出していた。グールド氏は、間もなく導入されるアプリに採用される「中央集中型手法」は限定的なものであり、プライバシー保護にとって分散型は安全、中央集中型は危険という「二分思考は誤っている」と主張して、NHSXのアプローチを弁護した。

データの中央集中型管理が必要であるとNHSXが考える理由を説明するために、いくつかのシナリオを紹介した。しかし英国の学者らによる今回の書簡は「公衆衛生当局がどの程度のデータを必要とするかという点については、グループ間で意見が真っ向から対立するのを見てきた」として、中央集中型管理が必要であるという主張に疑問を投げかけた。

「使用目的の達成に必要な最小限のデータのみを収集する、という通常のデータ保護原則を適用するべきだと考える。このテクノロジーにはプライバシー侵害につながる特性や関係するリスクがあることを考えると、アプリを信頼してもらうには、このアプローチが単に手っ取り早い方法だとか『あれば便利だ』とかいうのではなく、本当に必要な手段であることを示す証拠を、公衆衛生当局が公式に提示しなければならない」とこの書簡は続いている。

欧州ではここ数週間、政府主導の新型コロナウイルス接触者追跡アプリのアーキテクチャ選択をめぐって激しい議論が行われている。分散型アプローチを支持する国もあれば、中央集中型アプローチを支持する国もある。一部の国ではAppleに対して、ライバル企業のAndroidメーカーであるGoogleと政府が共同で開発している新型コロナウイルス接触者追跡アプリとの互換性を持つクロスプラットフォームAPIを採用するよう圧力をかけている

欧州で開発が進められている政府主導の接触者追跡アプリのほとんどは、Bluetooth近接通信を使用して感染リスクを計算するように設計されている。スマートフォンのユーザーがお互いに接近すると、仮名化されたIDがデバイス間で交換される。しかし、そのIDが中央管理サーバーに保存されると、サーバーを管理する当局がIDから個人を再特定できるようになるため、国家による監視システムが構築されるリスクがある、とプライバシー専門家は懸念している。

中央集中型のシステムに代わるものとして、デバイスに保存されるIDを使ったピアツーピア通信による分散型システムが提案されている。感染リスクもデバイス上で計算され、プッシュ通知を他のデバイスに送信する時だけリレーサーバーが使用されるため、ソーシャルグラフを示すデータが組織的に公開されることはない。

しかし、このような分散型構造でも、感染が確認された人のIDを他の人のデバイスに通知する必要があるため、デバイスレベルでデータが傍受され、個人が再特定される可能性は存在する。

欧州では今のところ、政府主導の接触者追跡アプリに分散型アプローチを採用することが主流になっているといっていいだろう。注目すべきことに、初めは中央集中型アプローチを支持していたドイツ政府も後になって、エストニア、スペイン、スイスなどと同じように分散型アプローチへと方向転換した。その結果、現時点で中央集中型システムを支持している主要国はフランスと英国だけになった。

フランスでもこの問題について、専門家による議論が続いている。フランスでは4月末、中央集中型と分散型それぞれのアーキテクチャについて懸念を表明する書簡に数名の学者が署名した。学者らは、どのような追跡ツールを使用するにしても、「生じうるリスクが妥当であることを示す重要な証拠を示す必要がある」と主張している。

英国の場合、NHSXが開発する追跡アプリに関する重大な懸念は、政府によるソーシャルグラフデータの中央集中型収集と個人の再特定だけではない。その仕様や機能の拡大流用も重大な懸念となっている。

グールド氏は先日、追跡アプリは今後も流用されるだろうと述べ、その際に使用されるバージョンでは位置情報などの追加データを任意で提供するようユーザーに依頼する可能性があると付け加えた。さらに、NHSXは追跡アプリの使用は任意だとしているが、複数の機能がアプリに実装されると、同意の意味合いが薄まり、拡大流用がアプリ使用の強制につながるのではないか、という疑問が生じる可能性がある。

別の懸念は、英国スパイ機関の表向きの顔であるGCHQ(政府通信本部)も、追跡アプリのアーキテクチャ選定に関わってきたという点だ。さらに、グールド氏は昨日の科学技術委員会で、中央集中型アーキテクチャ採用の決定にNCSC(英国国家サイバーセキュリティセンター)が関与してきたかと問われた際に、答えをはぐらかした。

この面でもさらに別の懸念が予想される。HSJ誌は米国時間4月29日、Matt Hancock(マット・ハンコック)保健相が最近、英国諜報機関に新たな権限を与えたと報じた。これにより諜報機関は、新型コロナウイルスのパンデミック中に、医療サービスのネットワークや情報システムの「セキュリティ」に関するものであればどんな情報でも、その開示をNHSに要請できるようになる。

データベース好きのスパイ機関がそのような権限を手にしている状況で、プライバシー侵害への不安感が和らぐわけがない。

英国のデータ規制当局が追跡アプリの設計プロセスにどの程度深く関与してきたのか、という点も気になる。先にICO(英国情報コミッショナー事務局)の執行役員であるSimon McDougall(シモン・マクドガル)氏が、自分は追跡アプリの計画書を見たことがない、と公の討論会の場で発言したことが報じられたが、実はICOは4月24日に「高い透明性とガバナンスを確保できるようNHSXを支援している」との声明を出していた。

また、グールド氏は先日の科学技術委員会で、追跡アプリが流用される際にはその都度、NHSXがデータ保護影響評価(DPIA)を公開すると述べた。しかし、DPIAが公開されたことはまだない。

グールド氏はさらに、追跡アプリは「技術的には」今後数週間のうちに使用できるようになると述べたが、アプリのコードを公表して外部レビューを行う時期については明言できなかった。

英国の学者らは今回の書簡の中で、DPIAを追跡アプリの導入直前に公開するのではなく「今すぐ」公開するようNHSXに要請した。そうすることで、追跡アプリの使用が及ぼす影響について公に議論できるようにし、政府が実装したと主張する安全対策とプライバシー保護対策を国民が自ら精査できるようにするためだ。

英国の学者らは、システムのユーザー(感染を自ら報告する人を除く)を非匿名化してユーザーのソーシャルグラフを特定可能にするいかなるデータベースも作成しないことを公式に誓言するよう、NHSXに要請した。

学者らはまた、新型コロナウイルスのパンデミックの収束後に、NHXSが「拡大流用を回避する」べく追跡アプリをどのように段階的に停止するつもりなのか、詳しい説明をNHSXに求めた。

データベースの件についてTechCrunchがNHSXの広報担当者に尋ねると、それは英国保健省やNCSCが決めるべき問題だという回答が返ってきた。これでは、政府がアプリユーザーのデータを拡大流用してプライバシーが侵害されるのでは、という不安感が和らぐことはない。

TechCrunchはNHSXに対して、追跡アプリのDPIAの公開時期についても問い合わせたが、この記事の執筆時点でまだ回答は得られていない。

アップデート:NHSXのスポークスパーソンから以下のような返答を得ている。

我々はデータ保護に関する取り決めを追って公開します。また、このパンデミックの驚異が去った後には、この接触者追跡アプリはただちに停止される予定です。その際、ユーザーから共有されたデータは削除しますが、法と倫理を鑑みつつ、将来のウイルス研究に役立つデータは保存されます。

また、これに続いてスポークスパーソンは以下のコメントを追加した。

ユーザーからの許可を得た場合を除き、ユーザーデータは常に匿名化された状態で保存されます。また、匿名化解除のためにデータを照合できる他のデータベースは存在しません。

関連記事:新型コロナの接触者追跡とはどのようなものか?

Category:セキュリティ

Tags:新型コロナウイルス 接触者追跡

新型コロナウイルス 関連アップデート

[原文へ]

(翻訳:Dragonfly)

ニンテンドーアカウント16万件に不正ログインの恐れ、NNIDの旧ログインシステムは廃止

任天堂は日本時間4月24日、過去数週間にわたってアカウント侵害の報告があったことを認めた。同社によると約16万のニンテンドーアカウントが影響を受け、複数のアカウントが所有者の同意なしにデジタルアイテムの購入に使用されていることが判明したと述べている。さらにアイテム購入だけでなく、生年月日やメールアドレスなどの個人情報にもアクセスされていた可能性がある。

この脆弱性により、アカウントへのアクセス頻度がここ数週間で増加していたようだ。問題に対処するため、任天堂はNNID(ニンテンドーネットワークID)によるログインを停止する。NNIDはニンテンドー3DS/Wii Uにまでさかのぼる古いアカウントシステムで、同社は影響を受けるユーザーのパスワードをリセットし、すべてのユーザー(影響を受けたかどうかにかかわらず)が2要素認証を有効にすることを推奨している。

また、4月中に影響を受けた約16万人のユーザーに対しては通知が送信される。任天堂は今週初め、紐付けられたPayPal アカウントを使用して、Fortnite V-Bucksを含むアイテムが予期せず購入された問題を調査していることを明かしていた。

任天堂は「当社のサービス以外の何らかの手段で」どのようにして攻撃側がNNID情報へのアクセス権を得たのか、依然として調査を続けているようだ。また侵害の原因を突き止めるために、ユーザーにフィードバックの提出を求めている。

原文へ

(翻訳:塚本直樹 Twitter

クラウドの自由にIaCによるガバナンスを結びつけるEnv0が創業1年半で公開ベータへ

各社におけるインフラストラクチャアズコード(Infrastructure as Code, IaC)のデリバリーに何らかの秩序をもたらしたいと願うEnv0が今日(米国時間4/21)、同社の最初のプロダクトのベータをリリースし、並行して330万ドルのシード資金の獲得を発表した。

Boldstart VenturesとGrove Venturesがこのラウンドを共同でリードし、これにSnykのGuy Podjarny氏など数名のエンジェル投資家が参加した。

同社の共同創業者でCEOのOhad Maislish氏によると、デベロッパーがコードをはやくデリバリーできる能力は祝福でもあり呪いでもある。そしてEnv0は、コードがいつ、どのようにコミットされるかを、ITがある程度コントロールできるようにする。

「企業が今抱えるチャレンジは、クラウドネイティブなやり方の中で、クラウドリソースのセルフサービスと管理との間で適切なバランスを実現することだ。そしてバランスのとり方には可視性と予測可能性と、いちばん重要なクラウドのセキュリティとコストをめぐるガバナンスが必要だ」、とMaislish氏は言う。

同社のプロダクトを使うとユーザー企業は、デベロッパーがコードをデリバリーしてよいタイミングとその費用を定義でき、何でも・いつでも・いくらかかっても主義から脱皮させる。そのためには工程の全体的なコントロールをアドミニストレータに与え、彼/彼女がテンプレートとプロジェクトを定義する。テンプレートは、どのクラウドベンダーにはどのリポジトリーとプロダクトを使うのかを定義し、そしてプロジェクトをテンプレートにアクセスしてよいユーザーに関連付ける。

画像クレジット: Env0

Boldstart Venturesの創業者でマネージングパートナーのEd Sim氏によるとEnv0には、今日の継続的デリバリーをベースとする環境でデベロッパーが必要とするガバナンスとスピードの間の良質なバランスを見つける能力がある。Ed Sim氏は声明でこう述べている: 「Env0は、基本的にセルフサービスであるクラウド環境に統一的なガバナンスをもたらすことによって、これらのニーズのすべてを満たすことのできる、初めてのSaaSソリューションだ」。

今のような経済状況の中でアーリーステージの企業を立ち上げるのは容易ではないが、でもMaislish氏が信じているのは、セルフサービス型の開発をコントロールする方法を提供できる、という同社の独特の位置づけと能力だ。デベロッパーが家で仕事をしていて、ITの視界とセキュリティの外にいる今のような時期は、それがなおさら重要だ。

同社がローンチしたのは18か月前で、これまでずっと非公開ベータだった。そして今日が、公開ベータの初日となる。今の社員数は10名だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

数百名の学者たちがプライバシーに配慮したコロナウイルス接触者追跡を支持

世界中の何百名もの学者たちが、コロナウイルスの広がりを理解するための接触者追跡システム(contact tracing systems)がプライバシーを重視することを歓迎している。

300名近くの学者が署名し、月曜日(米国時間4/20)に公開された書簡が、自分などがCOVID-19感染者と接触したかを知るためのオプトインで非集権的な方法を共同開発するという、最近のAppleとGoogleの発表を賞賛している。

学者たちによると、その接触追跡アプリは、Bluetoothによる追跡を自動的に行い、位置データを集めて中央的な場所に保存するアプリに比べて、はるかにプライバシーをしっかり保護する。

書簡はこう言っている: 「接触追跡はよく理解されている疫病対策ツールだが、従来は手作業でやっていた。スマートフォンの接触追跡アプリは、状況によっては手作業による接触追跡よりも効果的だ。しかしその効果性に対しては異論もある。まず、その実装はユーザーのプライバシーを護るものでなければならない。そのことが、他の多くの問題の対策にもなる。たとえば、そんなアプリを利用して、望まざる差別や監視が行われがちだ」。

この学者たちからの推奨は、いちばん重要なタイミングでやってきた。個人のコロナウイルスへの接触を追跡する方法は、いろいろある。しかし非集権的なシステムは追跡データを一箇所に置かないから、プライバシー保護が優れている。しかし学者たちによると、データの集権的中央的な保存は「人びとに関する情報の侵害的な再構築を許すから、議論の余地なく排除すべきだ」、という。そしてそれは、「外部からの検査が可能でプライバシーの保護ができる設計になってなければならない」。

さらにまた、「現在の危機を口実に、人びとのデータを大量に集められるツールを作ってはならない。今だけでなく、今後においても」。

この書簡の数日前には、この同じ学術グループが、PEPP-PTと呼ばれる同様の接触追跡プロジェクトのサポートを取り下げた。このツールは、詳細が不詳の7つの国が使用している。そのうちの2か国、スペインとスイスは、非集権的な接触追跡ソリューションを求めていた。しかし、蓋を開けてみるとPEPP-PTは、プロトコルが独自規格の集権的中央的なもので、そのプロジェクトに関わった一部の学者も、オープンでないし透明性を欠くとして、プライバシーを重視するDP-3TプロトコルやAppleとGoogleのクロスプラットホームなソリューションの方をサポートするようになった。

この書簡に署名した学者の一人であるサリー大学のAlan Woodward氏はTechCrunchに、書簡は学術世界のコミュニティが「正しいやり方」と信ずるものを示している、と語った。

「これまで、この世界でこんなものを見たことがない」、とWoodward氏は語る。「わずかな人たちでなく、多くの人が懸念していることの表れだ。やり直しは困難だから、政府もこの声をよく聴いてから対策に着手してほしい」、とも。

関連記事: 新型コロナの接触者追跡とはどのようなものか?

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

セキュリティーの欠如で顔認識スタートアップClearviewのソースコードがすべて漏洩

2020年1月、ある新聞社の調査によってその衝撃的な存在が明らかになった、顔認識スタートアップのClearview AI(クリアビュー・エーアイ)は、たちまちハイテク系スタートアップ界の最も捉えどころがない隠蔽体質の嫌われ者になってしまった。

物議を醸している同社は、法執行機関が人の顔写真を撮りアップロードすると、30億人分の画像を保管しているとされる同社のデータベースで照合ができるサービスを提供しているが、その画像とは、一般のソーシャルメディアから集めたプロフィール写真だ。

だがしばらくの間、サーバーの設定ミスにより、同社の内部ファイル、アプリ、ソースコードが、インターネット上の誰もが見られる形で漏洩してしまった。

ドバイのサイバーセキュリティー企業SpiderSilk(スパイダーシルク)の最高セキュリティー責任者を務めるMossab Hussein(モサブ・フセイン)氏は、Clearviewのソースコードが保管されていたレポジトリーを突き止めた。そのレポジトリーはパスワードで守られてはいたが、設定ミスにより誰でも新規ユーザー登録ができ、ソースコードが保管されているシステムにログインできる状態になっていた。

レポジトリーには、コンパイルすればアプリとして実行できるClearviewのソースコードが保存されていた。さらにそこには、Clearviewのクラウド・ストレージのバケットにアクセスできる秘密の鍵と認証情報もあった。そのバケットの中には、Windows版とMac版とAndroid版のアプリの完成品が収められていて、さらにはApple(アップル)が規約違反としてブロックしたiOS版アプリもあった。また、通常はテスト用にのみ使われる開発者向けの初期のリリース前バージョンのアプリも保管されていたと、フセイン氏は言う。

しかもフセイン氏によれば、そのレポジトリーでは、ClearviewのSlackのトークンも晒されていた。これを使えば、同社の内部メッセージや会話がパスワードなしで誰にでも読めてしまう。

Clearviewには、ニューヨーク・タイムズによってその隠密活動を暴かれて以来、ずっとプライバシーの懸念が付きまっている。だがその技術はまだほとんどテストされておらず、顔認証の精度も実証されていない。Clearviewでは、この技術は法執行機関にのみ使用を許すものだと主張しているが、同社はMacy’s、Walmart、NBAといった民間企業にも声を掛けていたと報道されている。だが今回のセキュリティー上の失態により、セキュリティーとプライバシーへの取り組みに関して、同社にはさらに厳しい目が向けられることになりそうだ。

コメントを求めると、Clearviewの創業者であるHoan Ton-That(ホアン・トンタット)氏は、彼の会社は「常に大量のサイバー侵入攻撃に晒されているが、セキュリティー強化には多額の投資を行ってきた」と主張した。

「私たちは、HackerOne(ハッカーワン)の協力で賞金付きのバグ探しプログラムを立ち上げました。Cleaview AIの欠陥を発見したセキュリティー研究者には報酬が支払われます」とトンタット氏。「SpiderSilkは、このプログラムには参加していませんが、Clearview AIの欠陥を見つけて私たちに連絡してきました。今回の漏洩事件では、個人が特定されるような情報、検索履歴、整体認証情報は一切漏れていません」。

iOS用Clearview AIはログインする必要がないとフセイン氏は言う。彼は、このアプリの仕組みがわかるスクリーンショットをいくつか取り込んだ。ここではフセイン氏は、マーク・ザッカーバーグ氏の写真で試している。

トンタット氏は、SpiderSilkの行動を恐喝だと非難しているが、ClearviewとSpiderSilkとの間で交わされた電子メールから見えてくる様子は違っている。

これまでMoviePassRemineBlindといった数々のスタートアップのセキュリティー上の問題を報告してきたフセイン氏は、Clearviewの欠陥を報告はしたが、賞金は遠慮したと話している。受け取りにサインすれば、この一件を世間に公表できなくなるからだ。

賞金付きでバグ探しプログラムを実施する企業は、よくこうした契約を求める。セキュリティー上の欠陥を修復した後にその件を公表されないよう、秘密保持契約を結ばされることもある。だが、研究者たちには賞金を受け取る義務も、秘密保持契約を守る義務もないのだと、TechCrunchは専門家たちから聞いている。

トンタット氏は、Clearviewは「ホストの完全な犯罪科学検査を実施し、不正なアクセスは他に一件もなかったことを確認した」と話す。秘密の鍵は既に変更され、もう使えないとのことだ。

フセイン氏の発見により、普段はほとんど見ることができない秘密主義的な企業の業務が垣間見えた。同氏が公開したスクリーンショットには、トンタット氏が「プロトタイプ」だと説明した同社のInsight Camera(インサイト・カメラ)を参照するコードとアプリがわかるものがある。このカメラはもう開発が中止されている。

Clearview AIのmacOS版アプリのスクリーンショット。APIを使ってClearviewのデータベースに接続される。またこのアプリは、Clearviewの以前のカメラ・ハードウェアのプロトタイプInsight Cameraを参照するようにもなっていた。

BuzzFeed Newsによると、そのカメラをテストした企業に、ニューヨーク市の不動産会社Rudin Management(ルーディン・マネージメント)があると伝えている。同社が所有する2つのマンションに試験的に導入したという。

フセイン氏は、Clearviewのクラウド・ストレージのバケットの中に、およそ7万本もの動画を発見した。マンションのロビーに、人の顔の高さに設置されたカメラの画像だ。その動画には、建物を出入りする住人の顔が映されている。

トンタット氏は「防犯カメラ製品の試作段階で、私たちは、厳密にデバッギングを目的とした生の映像を収集していました。建物の管理会社から許可を得ています」と説明する。

TechCrunchが調べたところによると、Rudinが所有する建物はマンハッタンのイーストサイドにあった。物件リストとロビーの映像からも、それが確認できた。この不動産会社の担当者にメールを送ったが、返事は来ない。

マンションのロビーに設置し、通り過ぎる住人を撮影したカメラの映像のひとつ(顔のぼかしはTechCrunchが加工)。

Clearviewは、1月に世間に知られるようになってから、厳しい監視の目に晒されている。さらにハッカーたちの標的にもなっている。

2月にClearviewは、データ漏洩の際に顧客リストが盗まれたことを顧客に報告した。だが、同社のサーバーには「アクセスの形跡はない」と主張している。Clearviewはまた、Android版アプリを保管したものを含むクラウドストレージの複数のバケットをプロテクトせずに放置していた。

バーモント州の検事当局は、消費者保護法違反の疑いで、すでに同社の捜査を開始し、ニュージャージーサンディエゴを含む各警察署にはClearviewを使わないよう通達を出した。Facebook、Twitter、YouTubeをはじめとするハイテク企業の一部も、Clearview AIに対して停止通告書を送っている。

CBS Newsのインタビューで、トンタット氏は自社の事業をこう弁護していた。「もしそれが公共のもので、使える状態になっていて、Googleの検索エンジンで見られるものなら、それは私たちが所有しているとも言えます」。

[原文へ]
(翻訳:金井哲夫)

クラウドのセキュリティを問題別にプレーブック化したBridgecrewが15億円相当を調達

経済状況が厳しくなると、企業は自動化によってできるかぎりコストを下げようとする。そこで、クラウドのセキュリティを自動化するツールを提供しているアーリーステージのスタートアップBridgecrewは、今日(米国時間4/17)シリーズAで1400万ドルを調達したことを発表した。

Battery Venturesがこのラウンドをリードし、参加したNFXは同社の400万ドルのシード投資家だ。ほかにも、Sorensen Ventures、DNX Ventures、Tectonic Ventures、そしてHomeward Venturesが参加した。数名の個人投資家も、この投資に加わった。これで同社の調達総額は1800万ドルになった。

BridgecrewのCEOで共同創業者のIdan Tendler氏によると、クラウドリソースのプロビジョニングはますます容易になっているけど、それと共にセキュリティは逆にますます難しくなっている。企業のクラウドの利用では、「DevOpsでセキュリティ技術が大きなボトルネックになっていて、DevSecOpsになっていない。クラウドのインフラストラクチャのセキュリティにも問題がある」。あちこちでその実態を見たTendler氏は、Bridgecrewの創業を着想した。

同社が目にしたのは、問題の多くに構成ミスが絡んでいることだ。そして既存のセキュリティソリューションはいろいろあるけど、費用が高い。またそれらのソリューションは、セキュリティの問題を自分で実際に直さなければならない技術者向けにできていない。

そこで同社は、技術者の考え方や仕事の仕方に合ったソリューションをクラウドユーザーである企業に提供したい、と考えた。Tendler氏はこう説明する: 「そのためにやったのは、問題を条文で表すことだ。技術者がやってることを、条文で書き表す。会社のクラウド環境を改善するために彼らがやるべき仕事のすべてを書き出して、プレーブックを作った」。

そんなプレーブックがあれば、個々の具体的な問題も解決しやすくなる。よくあるタイプの問題でなく、新しい問題にぶつかったら、プレーブックを新たに書く。彼によると、問題の90%はかなり一般的で、AWSのベストプラクティスに従うとか、SOC-2基準書のコンプライアンスの問題などが多い。でも技術者が、自分のニーズに基づいて条文を変えてもよい。

Tendler氏によると、同社のプロダクトがオートメーションでコストを下げたいと考えている企業に実際に役に立っているので、社員を増やしたいと考えている。「そしてもっと速く成長したい。ニーズは大きいし、COVID-19でますます多くの企業がクラウド化でコストを下げようとしている。うちは、そんな彼らの前あるバリヤーを減らすお手伝いをして、クラウドのセキュリティのボトルネックをなくしたい」、という。

同社は14か月前に創業して、今では100冊のプレーブックがある。リーンな会社を志向しているので、社員はわずか16名だが、年内に倍増したいと言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

サンフランシスコ空港のウェブサイトがサイバー攻撃の標的に

サンフランシスコ国際空港は、スタッフや契約労働者のユーザーネームとパスワードを盗もうと同空港のウェブサイト2つが3月にハッキングされたことを明らかにした。

同空港は、2つのウェブサイトSFOConnect.comSFOConstruction.comが「サイバー攻撃の標的となった」と4月7日付の発表で認めた。ハッカーは、ユーザーのログイン情報を盗むために2つのウェブサイトに悪意あるコンピューターコードを仕込んだ。もし盗まれていたら、攻撃者はこれらのログイン情報を使って空港のネットワークにアクセスできていたかもしれない。ネットワーク侵入を防ぐために、多要素認証のような追加の保護策がとられていたのかどうかは明らかではない。

発表では「Windowsベースの個人デバイスや、空港が管理していないデバイスのInternet Explorerを通じた空港のネットワーク外からのウェブサイトへのアクセスを含め、ユーザーが攻撃の影響を受けている可能性がある」と述べられている。

また発表によれば、空港はスタッフ専用のサイトをオフラインにし、3月23日にパスワードリセットを強制したという。いずれのウェブサイトも現在はバックアップで運営されている。

サンフランシスコ国際空港の広報からのコメントはなかった。

攻撃者が、ユーザーネームやパスワード、クレジットカード情報のデータをも盗むために脆弱性を利用性してウェブサイトにコードを仕込むのは珍しいことではない。

2年前、British Airways(ブリティッシュ・エアウェイズ)のウェブサイトとモバイルアプリにハッカーが悪意あるコードを仕込み、顧客38万人のクレジットカード記録が盗まれた。その攻撃により、当時導入されたばかりのGDPR規則に基づき、同社には欧州史上最大となる2億3000万ドル(約248億円)もの罰金が科せられた。

画像クレジット: MediaNews Group/East Bay Times / Getty Images

[原文へ]

(翻訳:Mizoguchi

Palo Alto Networksが分散化対応でSD-WANのCloudGenixを買収

ファイヤーウォールなどネットワークのセキュリティを提供しているPalo Alto Networksが3月31日に、CloudGenixを4億2000万ドルで買収する合意に達した、と発表した。

CloudGenixはソフトウェア定義のワイド・エリア・ネットワーク(SD-WAN)を提供していて、それにより企業は、すべての分散ロケーションに対して会社のセキュリティプロトコルへのコンプライアンスを強制するポリシーを設定でき、セキュリティを確保できる。これは、支社がとても多かったり、ワークホースが全体的に分散している企業にとってとくに重宝する。しかも、今や何百万の人びとが突然在宅勤務に直面しているから、重要なのはとくに後者だ。

Palo Alto Networksの会長でCEOのNikesh Arora氏によると、この買収はPalo Altoのいわゆるセキュア・アクセス・サービス・エッジ(secure access service edge, SASE)に貢献する。氏は、声明で次のように述べている: 「エンタープライズの分散化が進むに伴い、顧客はすぐに簡単に使えるアジャイルなソリューションを求めるようになる。そしてそのことは、セキュリティとネットワーキングの両方について言える。今回の買収が完了すれば、両プラットホームの結合により顧客には完全なSASEが提供され、それは質的に最上級で、デプロイが容易な、クラウドで管理されるサービス(SaaS)として提供される」。

CloudGenixは2013年にKumar Ramachandran氏とMani Ramasamy氏、そしてVenkataraman Anand氏が創業した。買収の一環として三名全員がPalo Alto社へ移籍する。現在の顧客は250社で、その業界は多様だ。PitchBookのデータによると、同社はこれまでに1億ドル近くを調達している。

このところPalo Alto Networksは、次々と買収を重ねている。2019年の2月以来では、今回が6つめの買収になり、それらの総額は16億ドルを超えている。

この買収は、本年の第四四半期に完了すると予想されている。それまでに、例によって規制当局の承認を得なければならない。

関連記事: Palo Alto Networks to acquire container security startup Twistlock for $410M…Palo Alto Networksがコンテナのセキュリティを提供するTwistlockを4億1000万ドルで買収(未訳)

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

騙されない機械学習を米軍とインテルが共同開発へ

機械学習のモデルに対する騙し攻撃を防ぐ、サイバー防衛技術の改良を目指している米軍の研究開発機関DARPAは、チップメーカーのIntel(インテル)をその研究のリーダーとして選んだ。

人工知能技術の一種である機械学習(Machine Learning)は、新しいデータや経験を「学習」するたびに賢くなっていく。現在のところ最も一般的な用途は物の認識で、写真を見てそれが何か、誰かなどを当てる。目の不自由な人の視覚能力を助けたり、あるいは自動運転車が路上の物や状態を識別するのに利用している。

しかし、まれにある騙し攻撃は、機械学習のアルゴリズムに干渉する。例えば、自動運転車に普通の安全な物のようだけど実は違うという物を見せて、大きな事故を起こさせることもありえる。

数週間前にMcAfee(マカフィー)の研究者がTesla(テスラ車)を騙し、速度制限標識にわずか5cmのテープを貼っただけで、時速80kmという違反速度まで加速させることができた。その研究は、自動車などのデバイスの機械学習アルゴリズムを騙すMcAfee社の初期的な研究例の1つだった。

そこでDARPAは、その対策に乗り出した。同研究機関は今年の初めに、GARD(Guaranteeing AI Robustness against Deception、騙しに対して強いAIを保証する)と名付けたプログラムを発表した。機械学習に対する現在の防犯技術は、既定のルールを利用するものが多いが、DARPAが望むのは、ルールがあらかじめないような、さまざまな種類の犯行に対応できる幅広い防衛システムだ。

インテルは米国時間4月9日、同社はジョージア工科大学と共にその4年計画の事業の中心的契約企業になると発表した。

IntelのGARDチームを率いる主席エンジニアを務めるJason Martin(ジェイソン・マーティン)氏によると、同社とジョージア工科大が共同して「物を認識する能力を強化して、AIと機械学習の、敵対的な攻撃への対応を学習できる能力を高める」という。

インテルによると、プログラムの最初の段階はオブジェクト検出技術の強化にフォーカスし、空間(場所)とか時間、意味(セマンティクス)などが整合した物を正しく見つけるようにする。対象は静止画と動画の両方だ。

またDARPAによると、GARDは生物学などさまざまな異なる設定で使えるようにする。

DARPAのInformation Innovation Officeでプログラムマネージャーを務めているHava Siegelmann(ハバ・シーゲルマン)博士は「我々が作り出そうとしている幅広いシナリオに基づく防衛は、たとえば免疫系にもある。そこでは、攻撃を見つけ、それに勝ち、将来の遭遇においてより有効な反撃を作り出すためにその攻撃を記憶する」と語る。

「我々は機械学習を、確実に安全で、騙されることのありえないシステムにする必要がある」と同博士と語る。

関連記事: セキュリティにおけるAIへの要求(未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

Zoomの株主が同社のセキュリティ対策の「誇張」で提訴

Zoom(ズーム)が別の訴訟を起こされた。今度は株主によるものだ。この株主は、同社がセキュリティについて「誇張」したために株価暴落につながり、損を被ったと主張している。

ビデオ会議大手のZoomは、1000万人だった毎日のユーザー数が新型コロナウイルスのパンデミックが始まって以来、2億人に急増した。パンデミックにより世界中の多くの人が外出を控え、自宅から働いている。人気が高まるにつれ、Zoomはセキュリティ問題やプライバシー問題の増加に直面するようになった。そこには、発表していたようにはZoomはエンド・ツー・エンドで暗号化されていなかったというものも含まれる。

Zoomは後に暗号化していなかったことを認め、これを受けて同社の株価は20%ほど下落した。

4月7日にカリフォルニアの連邦裁判所に訴状を出した株主のMichael Drieu(マイケル・ドリュ)氏は、彼自身そしてその他の人も結果として「かなりの損害を被った」と述べた。訴えによると、ドリュ氏は149.50ドル(約1万6000円)で50株を購入したが、その1週間後に1株あたり120.50ドル(約1万3000円)で売却したときに損失を出した。

Zoomはコメントの求めに応じなかった。

ここ数週間、Zoomを相手取った訴訟が起こされていて、今回のものが最新となる。Zoomは2020年3月、ZoomのiOSアプリがFacebook(フェイスブック)とデータを共有していた(ユーザーがFacebookアカウントを持っていなくてもだ)ことが明らかになった後に訴訟を起こされた。

Zoomは先週、暗号化の改善を約束したり、トロールや侵入者が許可なくZoomコールにアクセスする「Zoombombing」を防ぐためにデフォルト設定を変更したりと、同社のイメージ改善作業に追われた。セキュリティ問題によりニューヨーク市は学校にZoomの使用禁止を命じ、Microsoft Teamsを推奨することになった。台湾行政院もまた政府機関のZoom使用を禁じた。

そして米国時間4月8日、Facebookの元最高セキュリティ責任者Alex Stamos(アレックス・ステイモス)氏がアドバイザーとしてZoomに加わったと明らかにした。Zoomもまた、同社のセキュリティ戦略にアドバイスするセキュリティ専門家やリーダーに加わってもらう、と述べた。

画像クレジット: Olivier Douliery / Getty Images

[原文へ]

(翻訳:Mizoguchi

マリオットホテルが再度のデータ漏洩で520万人分の顧客記録を流出

世界的なホテル大手のマリオット(Marriott)は、データ漏洩があったことを認めた。この3年間で2回目だ。今回は520万人分のゲストの個人情報が含まれていたという。

画像クレジット:Roberto Machado Noa/Getty Images

米国時間3月31日、マリオットはフランチャイズのホテルで、2月下旬に不特定の管理システムへの侵入を発見したと発表した。ホテルの声明によると、ハッカーは2人の従業員のログイン情報を入手し、発見の数週間前となる1月中旬に侵入していたという。

マリオットは支払いに関するデータが盗まれたと考える「理由がない」としているが、氏名、住所、電話番号、登録メンバーデータ、生年月日、その他の旅行に関する情報が盗まれたと警告している。その中には、顧客が利用する航空会社の会員番号や、部屋の好みの情報などが含まれる。

マリオットの子会社のStarwood(スターウッド)は、2018年に中央予約システムがハッキングされ、3億8300万人分の顧客記録と個人情報が流失したと発表した。その中には、500万件の暗号化されていないパスポート番号と、800万件のクレジットカード記録が含まれていた。

そのときにはヨーロッパ当局が迅速に反応し、マリオットに対して1億2300万ドル(約132億円)の罰金を科していた。

関連記事:データ流出のマリオットホテルに英当局が罰金134億円を科す見込み

原文へ

(翻訳:Fumihiko Shibata)

人気ビデオ会議アプリ「Zoom」が今も抱えるさまざまな問題

新型コロナウイルス(COVID-19)のパンデミックのおかげで、ビデオ通話は新奇なものから必需品へと変わった。人気ビデオ会議サービスのZoom(ズーム)は、いちはやく他を引き離して最も使われているサービスになっている。

しかし、それでいいのだろうか?

最近のZoom人気は、同社のセキュリティー保護やプライバシーに関わる問題に改めて光を当てた。米国時間3月31日、The InterceptはZoomのビデオ通話は、同社の主張とは異なり、エンドツーエンド(終端間)暗号化が行われていないと報じた

そしてMotherboardは、Zoomが「少なくとも数千人の」をメールアドレスを漏洩したと報じ、その理由を個人のアドレスが自社の所有物のように扱われていたためだと指摘している。

以上は、2019年にその運営状態や誤解を招くマーケティングに対して集中砲火の後始末に明け暮れた会社のごく最近の事例だ。

  • Apple(アップル)は、ZoomがユーザーのMacに秘密のウェブサーバーをインストールしていたのを公表しなかったことを1人のセキュリティー研究者が発見した。その後、数百万台のMacの安全を守るためにアップデートをプッシュ配信せざるを得なかった。そこにサーバーがあったのはユーザーがアンインストールした際にZoomが削除しなかったためだった。問題を発見した研究者であるJonathan Leitschuh(ジョナサン・レイチュア)氏は、ウェブサーバーが存在するということは、あらゆる悪意あるウェブサイトがZoomのインストールされたMacのウェブカムをユーザーの承諾なしに起動できることを意味していると語っている。レイチュア氏はバグ報奨金の受け取りを拒否した。なぜならZoomはレイチュア氏に対して守秘義務契約書への署名を要求し、同氏がバグの詳細を公表できなくなるためだったからだ。
  • Zoomは、ユーザーのZoomの利用習慣に関するデータを密かにFacebookに送っていた。そのユーザーがFacebookアカウントを持っていなくてもだ。Motherboardによると、ZoomのiOSアプリは、ユーザーがアプリを開いた際、デバイスのモデル名、通信会社名などをFacebookに知らせていた。Zoomは指摘を受けてそのコードを削除したが、時すでに遅く、集団訴訟やニューヨーク州検事総長の捜査を免れることはなかった。
  • さらにZoomはシステムの「参加者追跡機能」を巡って再び炎上した。同機能を有効にすると、会議のホストは参加者が通話中にZoomのメインウィンドウを離れたかどうかをチェックすることができる。
  • あるセキュリティー研究者は、Zoomが「いかがわしい」テクニックを使ってユーザーの介入なくMacアプリをインストールしていたことを発見した。「macOSマルウェアが使っているのと同じトリックだ」と研究者は言う
  • 明るい面、そして一部のユーザーを安心させる話題としてTechCrunchが報じたのは、Zoomのビデオ通話にアプリをダウンロードせずに参加することが実は可能であるという事実だ。 しかし、Zoomは「陰湿な手口」によって、ブラウザーのみでは容易にビデオ通話を開始できないようにしている。
  • Zoomは警察当局から受けた要求に関する透明性の欠如を問題視されている。プライバシー権利団体のAccess NowはZoomに対して警察から要求を受けた回数の公開を求めた。Amazon(アマゾン)、Google(グーグル)、Microsoft(マイクロソフト)をはじめとする多くの大手テック企業が半年に一度報告しているのと同じように。
  • そしてZoomBombing(ズームボミング/ズーム爆弾)が起きた。「トロール(荒らし)」が、オープンで保護されておらずデフォルト設定の脆弱なビデオ会議に侵入し、画面共有を乗っ取りポルノや露骨な画像を送りつける行為だ。今週FBIは、トロールがビデオ通話をジャックできないように設定を変更するようユーザーに警告した
  • そしてZoomは今週、プライバシーポリシーを強化した。 ユーザーの会議に関する情報(ビデオ、文字起こし、共有されたメモなど)を広告のために収集できるようになっていたことへの批判を受けたためだ。

Zoomに代わるプライバシーに配慮された選択肢はたくさんある。 ただし、いくつかある選択肢にはそれぞれ弱点がある。FaceTimeとWhatsAppはエンドツーエンド暗号化されているが、FaceTimeはApple製品でしか使えず、WhatsAppは同時に4名しかビデオ通話できない。あまり知られていないビデオ通話サービスであるJitsi(ジッツィ)はエンドツーエンド暗号化を使用していないが、オープンソースなのでコードを見てセキュリティーのバックドアがないことを確認できる。かつ、あらゆるデバイスやブラウザーで動作する。Jitsiを自分で管理するサーバーで動かせば高いレベルでプライバシーを守ることができる。

公平を期すためにいうと、Zoomは本質的に悪いというわけではなく、これほど人気がある理由はたくさん有している。簡単に使えて、信頼性が高く、大多数の人にとって驚くほど便利だからだ。

しかしZoomの誤解を招く主張はユーザーに誤ったセキュリティーとプライバシーの感覚を与える。バーチャル飲み会やバーチャルヨガ教室を主催するのであれ、Zoomを使って治療や政府の閣議を行うのであれ、プライバシーを守る権利は誰にでもある。

今やZoomはユーザーに対するこれまでにないほどの責任を負っている。当面は、Zoomは各自の責任で利用しよう

画像クレジット:Bryce Durbin/TechCrunch

新型コロナウイルス 関連アップデート

[原文へ]

(翻訳:Nob Takahashi / facebook

Social Bluebookがハッキング被害、インフルエンサー21.7万人のアカウント情報が流出

広告主と数千人のインフルエンサーをマッチングするためのソーシャルメディアのプラットフォームがハッキングされた。Social Bluebook(ソーシャル・ブルーブック)は米国ロサンゼルスに拠点を置く企業で、広告主は自社の製品やサービスを投稿し宣伝するソーシャルメディアの「インフルエンサー」に対価を支払うことができる。同社は約30万人のインフルエンサーを抱えているという。

しかし2019年10月、Social Bluebookのバックエンドデータベース全体のデータが漏洩し盗まれた。TechCrunchが入手したこのデータベースには、インフルエンサーの名前やメールアドレス、ハッシュ化されたパスワードなど、約21万7000件のユーザーアカウントが含まれており、強力なSHA-2ハッシュアルゴリズムにより暗号化されていた。

データベースがどのようにしてシステムから漏洩したのか、あるいはデータ漏洩に誰が関わったのかは不明だ。TechCurnchは数人のインフルエンサーに連絡を取り、漏洩したデータが本物であることを確認した。我々はまた、検証のためにSocial Bluebookの共同設立者であるSam Michie(サム・ミチエ)氏にデータの一部を提供した。

「我々は、2019年10月に発生したこのデータ漏洩について認識したばかりだ」とミチエ氏は米国時間3月26日の木曜日にメールでTechCrunchに伝えた。同氏によると、影響を受けるユーザーにはメールで通知されるという。またSocial Bluebookはカリフォルニアの州法にもとづき、司法長官事務所違反を通知した。

ソーシャルメディアのインフルエンサーは常にハッカーの標的となっており、ハッカーは人気のあるハンドルネームやフォロワー数の多いアカウントを乗っ取ろうとすることが多い。インフルエンサーの中には、乗っ取られたアカウントを取り戻すためにホワイトハットハッカーに頼った人もいる。

昨年インドのとあるソーシャルメディア会社は、インスタグラムのインフルエンサーのデータベースを誤ってオンライン上に公開し、その中にはインフルエンサーのプロフィールから抽出した電話番号やメールアドレスが含まれていた。

[原文へ]

(翻訳:塚本直樹 Twitter

新型コロナの自発的感染による免疫獲得の勧めをTwitterが削除

保守系のオンライン雑誌であるThe Federalistが「人々は意図的に新型コロナウイルスに自分を感染させるべきである」とツイートで勧めていた。Twitterはそのツイートを、Twitterのルール違反であるとして削除した。

その違反ツイートは米国時間3月25日の朝に投稿された。内容は「既存の枠から外れた考え方をすべき時だ。新型コロナウイルスに対する、常識を超えたやり方をすべきだ。それは、慎重にコントロールされた自発的な感染だ」というもの。

Twitterのスポークスパーソンは、そのツイートが同社の新型コロナウイルス関連の新しい規則に違反していることを確認した。

The Federalistが主張する自発的な感染とは、いわゆるPox Partyのことだ。Pox Partyとは、親が子供たちを1カ所に集めて、子供のころによくかかる病気に自分の子供にわざと感染させること。理屈としては、それによって子どもは免疫を獲得し、その後の人生で病気に苦しまない。大人になってかかったら重症になることが多いという。ツイートはそれを、すでに2万人あまりが死んでいる新型コロナウイルスでやろうと言っているわけだ。

国と州の政府はどちらも、在宅と自己隔離を命じている。それによってウイルスの拡散を抑え、保健医療体制の能力を超えた感染や発病の規模になることを防ごうとしている。

Vice誌の記事は、そのツイートを書いたDoug Perednia(ダグ・ペレドニア)氏はオレゴン州に住む無免許の皮膚科医だ、と言っている。

専門家たちはただちに、ペレドニア氏のツイートを批判した。オンラインの禁煙推進団体Cool Quitの医師でCEOのEugene Gu(ユージーン・グー)氏は、そのツイートを「危険かつ無責任だ」と非難した。しかも、人種差別的な言葉も使っている点をグー氏は「危険で嘘の医学的アドバイスを人種差別のチェリーで飾ったケーキだ」と表現している。

あるTwitterユーザーによると、今ではThe Federalist誌の記事へのリンクも有害としてブロックされているそうだ。The Federalist誌のスポークスパーソンからは、いまのところコメントは届いていない。

Twitterは新型コロナウイルス関連の全ツイートを1つひとつ専門家に諮ってチェックし、正確な情報だけが流布するよう努めている。また、ツイートに関するポリシーもアップデートして、新型コロナウイルスに感染するリスクを高めるようなツイートを禁じている。

関連記事:Twitterが新型コロナ感染拡大につながるツイート削除を強化

画像クレジット:Bryce Durbin/TechCrunch

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

パッチ未適応の新しいバグを利用したWindowsへのハッカーからの攻撃が発生中

Microsoft(マイクロソフト)によると、攻撃者はWindows 10を含むサポート継続中の全バージョンのWindowsに存在するこれまで公表されていなかったセキュリティ上の脆弱性を利用しているという。

米国時間3月23日の月曜日に投稿された勧告によると、マイクロソフトが「重大」と認定したこのセキュリティ上の脆弱性は、Windowsがフォントを処理およびレンダリングする方法に存在するという。このバグは、悪意のある文書を開くようにユーザーを騙すことで悪用される。文書を開いたり、Windowsのプレビューで閲覧したりすると、攻撃者はリモートからランサムウェアなどのマルウェアを、脆弱なデバイス上で実行できるようになる。

また勧告によると、マイクロソフトはハッカーが「限定的な標的型攻撃」を開始したと認識しているが、誰がどのような規模の攻撃を実施したのかについては明言していない。

マイクロソフトはこの問題の修正に取り組んでいるが、パッチがリリースされるまではこの勧告が警告としての役割を果たはずだと述べている。なお、Windows 7もこの脆弱性の影響を受けているが、拡張セキュリティ更新プログラムの対象となるエンタープライズユーザーのみが、パッチを受けることになる。同勧告では、影響を受けるWindowsユーザーに対して一時的な回避策を提供し、修正が提供されるまで脆弱性を緩和させることができる。

マイクロソフトは通常、毎月第2火曜日にセキュリティパッチをリリースするが、深刻な場合にはそれ以外のタイミングでパッチをリリースすることもある。

TechCrunchから質問を受けたマイクロソフトの広報担当者は投稿の内容を繰り返し、4月14日火曜日にリリースされる次の月例パッチで問題が修正されることを示唆した。

[原文へ]
(翻訳:塚本直樹Twitter

社員がフィッシング詐欺にあわないように偽メールを送り教育する「Riot」

Y Combinatorに現在参加しているRiotは、フィッシング詐欺を防ごうとしている。Riotは、偽のフィッシングをクライアント企業の社員に対して試みる。例えば「あなたのGoogleアカウントが無効になった」というメールを社員に送り、その通知メールの真偽を見分けられるかどうかを確かめる。

2ファクタ認証、シングルサインオン、アクセスポリシーのおかげで、プロダクトや社内ツールの保護はかつてないほど容易になっている。しかし大きな脆弱性として残っているのは人間だ。データ侵害の多くは、社員のアカウントの問題から始まる。

言い換えれば、企業のセキュリティは注意深さに欠ける社員によって左右されるということだ。だから今後は、セキュリティのリスクに関する社員教育が重要になるだろう。

Riotには現在、3つのモジュールがある。1つ目は社員に対して偽のフィッシング攻撃を仕掛ける。少なくとも1カ月半に1回はフィッシングのメールを受け取るなどと期間を設定し、テンプレートをライブラリから選ぶ。現時点でRiotから送信できる通知の種類はMicrosoft、Google、Dropbox、Slackのアカウントの停止、GoogleまたはDropboxの書類の共有、不明の相手からのボイスメールだ。

Riotの創業者でCEOのBenjamin Netter(ベンジャミン・ネッター)氏は筆者に対し「新しいボイスメールは、noreply.linkというドメインからのメールで通知される」と述べた。

2つ目は、管理者が社員のレベルをチェックできる使いやすいダッシュボードだ。社員がだまされなかったか、リンクをクリックしてしまった人はいないか、さらに悪い状況としてログインしようとしてパスワードを入力してしまった人はいないかを確認する。このダッシュボードで、時間の経過に伴う成長を見たり、一部の社員に対してさらに頻繁に訓練を実施したりすることができる。

そして3つ目として、社員が訓練にひっかかってしまった場合、企業は簡単なセキュリティトレーニングを提供できる。トレーニングはチャットのようなインターフェイスで、いくつかの質問が与えられる。デスクトップでもモバイルでも動作し、数分以内で終わる。メッセージを理解するには、退屈なウェブセミナーよりも短くて楽なトレーニングのほうが効果が高いだろう。

ネッター氏は「次のステップはCEOのトレーニングだ。これについてもいろいろ考えている。Amazonのギフトカードを10枚買ってきて欲しいというメールがマネージャーからアシスタントに対して送られるという話を、これまでにたくさん聞いた」と語る。

CEOに対する詐欺は、もっと深刻なことになりかねない。攻撃者は、多額の銀行振込を要求する請求書を経理部門に送ってくることもある。

ゆくゆくは、Riotは教育にとどまらないモジュールを提供する可能性もある。例えば、スタートアップは自社のRiotのデータに基づいて、サイバーセキュリティ保険商品の契約条件を保険会社と交渉できるかもしれない。

Riotを創業したネッター氏は、October(以前の社名はLendix)の共同創業者でCTOだった。Octoberはヨーロッパでトップクラスのクラウド貸借プラットフォームのひとつだ。ネッター氏はこの企業でリスク評価の経験を積んだ。

Riotはスタートしたばかりで、契約したクライアントはまだわずかだ。プランの価格は、社員50人以内の企業で、1カ月200ドル(約2万1500円)からとなっている。

[原文へ]

(翻訳:Kaori Koyama)

新型コロナで揺れるプリンセス・クルーズが過去のデータ漏洩を認める

クルーズ客船を運行するPrincess Cruises(プリンセス・クルーズ)は、横浜港に停泊していたダイヤモンド・プリンセスを含む同社の2隻の船で新型コロナウイルス感染が確認された後、全世界で運航を停止せざるを得なくなったが、さらにデータの流出も確認された。

3月初旬に公開されたと思われるPrincess Cruisesのホームページ上の投稿によれば、2019年4月から7月までの4カ月間に、社員や乗組員、来客者などの個人情報を含む多数のメールアカウントへの不正アクセスが発見されたという。

Princess Cruisesによると氏名や住所、社会保障番号、政府ID(パスポート番号や運転免許証番号など)に加えて、金融や健康に関する情報もアクセスされた可能性があるという。

また、どれだけの顧客のデータが影響を受けた可能性があるかは「明確ではない」と同社はいう。

Princess Cruisesは、2019年5月に同社のネットワークで不審な動きがあったことを発見したと述べているが、なぜ情報漏洩の公開にほぼ1年かかったのかは不明だ。

なお、同社はTechCrunchからの質問に対する回答はない。

Princess brandを所有する世界最大のクルーズ客船運行会社であるCarnival(カーニバル)は今週、新型コロナウイルスのパンデミックが宣言された後、18隻のクルーズ客船を一時停止すると発表したことで、株価が30%以上も下落した。また同社は、日本だけでなく最近ではカリフォルニアでも、新型コロナウイルスに感染した数十人の患者を乗せた船をめぐる事件に関係している。

Princess Cruisesは、どの部門でデータ侵入を許したのかは明らかにしなかった。ヨーロッパのデータ保護規則に違反した企業には、年間売上高の最大4%の罰金が科せられる。

[原文へ]

(翻訳:塚本直樹Twitter