Googleサイトを訪れるユーザーの5%は広告マルウェアに感染している

nytimes_bad-new-new

Googleがカリフォルニア大バークレー校と協力して行った研究によると、Googleのサイトやサービスを訪れた人の5%が、ブラウザーにアドインジェクター[広告挿入ツール]を1つ以上インストールされていた。

マルウェアの中では、アドインジェクターは比較的無害に思われがちだ。例えば、Google検索ページに本来そこに属さない広告を挿入する。迷惑ではあるが危険とは感じられない。しかし、実はアドインジェクションのやっていることはLenovoのSuperfishがやっていたことと変わらず、Superfishはユーザーに大きなセキュリティー問題を引き起こした。実際、Chrome、Firefox、およびInternet ExplorerからGoogleサイトをアクセスした1億ページビューの分析に基づく本調査によると、問題のインジェクターの1/3は「正真正銘のマルウェア」に分類されている。

red warningこの種のアドインジェクターは正規のソフトウェアにバンドルされることが多いことから ― デスクトップアプリの開発者やダウンロードサイトは、これをインストーラーやダウンロードラッパーを使って比較的簡単に小遣い稼ぎができる方法だと認識している ― ユーザーの知らない間にインストールされる可能性が十分にある。

Googleおよびバークレーの研究者らの間では、アドインジェクターは現在あらゆる主要なプラットフォームおよびブラウザーに存在していると考えられている。今回1つ以上がインストールされていた5%のうち、1/3は同時に4種類が動作中で、半数は2種類が動いていた。他の人たちよりも少々ひっかかりやすいユーザーのグループがあることは明らかだ。

Googleは、結果データを発表し(詳細は5月1日に報告)、アドインジェクターへの注意を喚起すると言っている。

「望まないインジェクターは健全な広告エコシステムと相応れない」、とGoogleのセーフブラウジング担当エンジニア、Nav Jagpalが今日の声明に書いている。「あれはユーザーだけでなく広告主やサイト運営者をも困らせる悪い慣習の一環だ」。

この種のプログラムは、自らをブラウザーとウェブサイトの中間に挿入してウェブサイトのコードを書き換えるため、ブラウザーはどの広告が正規のものでどれがそうでないかを判断するのが難しい。

「広い意味で、ユーザーに表示される情報を最終的に制御するのは誰かという問題が益々重要性を帯びてきている ― これはデジタル世界が直面している最大の課題の一つだ」とUCバークレーEECS教授のVern Paxsonが今日の声明で指摘した。「アドインジェクションはユーザー操作の整合性を破壊し、いずれの対話者とも無関係な制御を密かに挿入する。そうやってこの争いの「前線」の一つとして機能する。

Googleは、この研究に基づき1400万ユーザーに影響を与えていたChrome機能拡張192種を既に禁止しており、現在同研究と同じ方法を使って、Chrome Web Store上の新規および更新された機能拡張を残らず検査していると言った。

Googleの広告およびブラウザー機能拡張の利用規約は、詐欺的アドインジエクターをかなり厳しく取締っているが(他の広告ネットワークも同様)、それを作っている会社の殆どはルールを守ることに熱心ではない。また、広告ネットワークも自分たちの広告がこういう形で使われていることを知らない場合が多いことも指摘しておくべきだろう。

Googleを始めとするブラウザーや広告のベンダーがこの問題の技術的解決策を見つけない限り、完全に消えることはないだろう。

google_injected

[原文へ]

(翻訳:Nob Takahashi / facebook

OperaがSurfEasyを買収してブラウザからVPNができるようになる…とくに途上国ユーザがターゲット

【抄訳】

Operaは、モバイルデスクトップでWebを閲覧するためのソフトウェア、つまりブラウザを作っている企業だが、そのOperaブラウザには今、3億5000万人のユーザがいる(主に途上国のモバイル)。同社がこのほど、Webをもっとセキュアに閲覧するための仮想非公開ネットワーク(virtual private network, VPN)のアプリケーションを作っているカナダのトロントの企業SurfEasyを買収した。

Operaがセキュリティ関連の買収をするのはこれが初めてだが、それは近年、消費者の要求が、Operaが得意としてきた簡単容易にWebを閲覧できることから、プライバシーの保護に変わってきているためだ。

【中略】

Operaのユーザが圧倒的に多いのは途上国のしかもモバイル市場だが、ここのユーザはとくに、政府の監視や検閲をかいくぐったり、特別なコンテンツを見るために地理的条件を偽ったりするために、VPNというトンネル技術が日常的に重宝する。だからブラウザにVPNをくっつけてしまえば、この市場においてOperaは今後ますます有利になる、と同社は考えているのだ。

Operaの計画では、SurfEasyの製品は当分、SurfEasyの製品のままであり続ける。

それらはまず、Windows、Mac、Android、およびiOSデバイスのためのフリーミアムVPNアプリだ。USBスティックに収めたVPNプロダクトSurfEasy Private Broswerもあり、これは、いろんなデバイスをほかの人と共有しているような場合に便利だ。SurfEasyのブランドをそのまま残すOperaの戦略の根拠は、このブランドがすでに消費者のリビューなどで好評であるためだ。消費者が食いつくためには、OperaのVPN、という新ブランドより有利だろう。

VPN機能がOpera製品(とくにブラウザとデータ圧縮関連)に完全に統合化されてSurfEasyブランドがなくなる日は、まだ遠い先だし、Opera自身がそれには全然言及していない。しかしSurfEasyのままであっても、フリーミアムなどからはOperaとしての収益が得られる。

なお、買収の形式や価額などは、公表されていない。

【後略】

[原文へ]
(翻訳:iwatani(a.k.a. hiwa


このスキミング犯は、ATM室のドアでカードデータを盗む


安全だと思っていたその時、カードスキミング犯はまたそこにいる。今回彼らは、ATM室に入るためにカードを通すドアロックの中にカードリーダーを仕掛けた。

Brian Krebsによると、詐欺師たちは比較的気付かれにくいドアロックの中にリーダーを潜ませ、小さな隠しカメラをATMまわりに置く。利用者が部屋に入る時にカードデータをリーダーで盗み、キーボードを押す手を撮影して暗証番号とマッチングする。

このケースでは、ハッカーらはカードリーダーを偽のドアロック銘板の下に設置し、分解したCasioカメラを薄いプラスチックケースの中に入れた。こうしてカードデータと暗証番号を外部から手に入れる。興味深いことに、殆どのATMブースは入るためにカードを通す必要がない。

Krebsがこう書いている:

ヒント:あの手のドアロックはあまり賢くないので、磁気ストライプのあるカードなら殆ど何でも受け入れてしまう。信じられないなら、今度ATM室に入る時に図書館か会社のIDカードを通して見てほしい。

読者にお願い:暗証番号を打ち込む時には必ずもう一方の手で数字を打つ手を隠すこと。この簡単な一手間だけで、あなたの時間とお金が守られる ― ハッカーは数字が読み取れないのであなたのカードをスキップする。

[原文へ]

(翻訳:Nob Takahashi / facebook


Twitter、迷惑行為を警察などに通知しやすくする報告書配信オプションを実装

Twitterは昨年末、Twitter上での暴言や脅しなどの嫌がらせに対応するための仕組みの充実に乗り出した。そして今回、対策を一歩進めて、嫌がらせを受けた利用者が警察などの法執行機関に対応を依頼しやすくするためのツールを実装した。

新しい機能は「手軽に利用する」ものではない。また、Twitter上での操作により、直ちに警察に通報するようなものでもない。Twitterに嫌がらせ行為などについてレポートする場合に、オプションがひとつ追加されることとなったのだ。すなわち、Twitterに対する報告処理の最終画面に、報告書のコピーを受信するための仕組みが追加されたのだ。

報告書のコピーを受信することにすると、Twitterから嫌がらせツイートの本文およびURL、およびツイートした相手のユーザー名、発言された時刻などの情報がメールで送られてくる。このメールには被害を受けた側のアカウント情報も含まれる。Twitterからの公式アナウンスはこちらのブログにある。

送られてくるメールの末尾にはTwitterの「捜査当局向けガイドライン」へのリンクが記載されている。このページには非公開アカウントの情報をTwitterに請求する仕方なども記されている。

「暴力に訴える旨の脅しなどについても、厳格に対処したいと考えています。適切であると判断すれば、関連アカウントの停止措置などを行います。但し、身体に危害が及ぶ可能性などを感じるようなケースでは、警察などに通報することを強くおすすめします」と、Twitterは言っている。「Twitterは、脅迫行為に関連する情報をまとめたレポートをお渡しします。そのレポートを警察に提示することにより、的確なアクションを迅速に行えるようにと考えています」。

Twitterでは匿名アカウントも認められており、これまでにも暴言や脅しをなくすためのさまざまな行動がとられている。先にも触れた通り、12月にも対策が強化されている。その際には他の利用者をブロックする仕組みに改良が加えられたり、迷惑行為の報告に対するレスポンスタイムの短縮を行なっていた。

また2月には、いやがらせ常習者の電話番号を入手して対応を行うというプランも発表された。もちろん迷惑行為を行う側は、簡単に登録された電話番号と紐付いていないアカウントを新たに作ることができ、対策としては不十分なものではある。さらに新規アカウントの登録時、電話番号の入力は必須ともなっていない。ただ、これらの方針について、今月頭くらいから対策の強化が行われているようではある。たとえば、匿名ブラウザであるTorの利用者に対してはアカウント作成時に電話番号入力う必須にするというようなこともあったらしい(Twitterによると、必ずしもこれは事実ではないらしい。Twitterとしては、さまざまな情報から判断して利用者の振る舞いがスパマー風であると判断した際に、電話番号の入力を必須としてもとめていたとのこと)。

Twitterはずっと迷惑行為に悩まされてきた。CEOのDick Costoloも、この件が成長の障害になっているという認識を示している。年初にリークされた内部メールでもCostoloは「Twitterは迷惑行為に対して適切に行動できておらず、しかもこれまでずっとそうだった」というようなことを発言している。「我々の対応力不足については世界中の人が指摘している。おかげで迷惑行為を受けた利用者がつぎつぎにTwitterを去るという事態になってしまった」と言っていた。

Twitterの迷惑行為に対する対応は、つい最近まで後手に回ることが多かったといって良いだろう。しかし有名人が被害を受けることで広く話題にのぼることともなり、Twitter側の対応が加速したようだ。たとえば#gamergate問題もあったし、ロビン・ウィリアムスの死後、氏の娘に対する嫌がらせ行為がはびこったこともあった。

Twitterによれば、メールによるレポート受信オプションは、全ユーザーに対して徐々に適用していくとのことだ。

原文へ

(翻訳:Maeda, H


Yahoo、パスワード無しログインを導入 ― 携帯電話は失くさないように

Yahooは、ユーザーがパスワードを覚えているどうか、あるいは簡単に予測されたりハックされたりするパスワードを作ってしまうかどうかに依存するしくみを終らせるべく、必要な時にワンタイムパスワードを送る新しい「オンデマンド」システムを導入する。

新しいアプローチはセキュリティーを高め、ユーザーのYahooアカウントをハックされにくくすることが目的だ。ある意味でそれは達成されている。無数の人々が覚えやすいパスワードを様々なサービスで再利用しており、メールアカウントも例外ではない。これはその性質上ハックされやすい(ランダムなパスワードの方が望ましい)だけでなく、本質的に危険である。もし破られると、その人のデジタル個人情報の大きな部分、あるいはオンラインでの存在〈全体〉がオープンになるからだ。

オンデマンド・パスワードは、1度ログインすると使えなくなり、そのYahooアカウント専用なので、パスワード破りの連鎖が起きにくくなる。しかし、そこにはかなり大きな落とし穴がある。つまり、もし携帯電話を落としたら、拾った人物は持ち主のメールへの侵入チケットを手に入れることになる。

もしSMS通知がロック画面に表示さる設定になっていると、携帯電話がロックされる前に、オンデマンド・パスワードが表示されることもある。もし携帯電話を落とすと、それを拾った者はパスワードを知らなくてもIDがわかればあなたのYahooアカウントに入れてしまう。

メインパスワードを入力するとSMS経由で一時パスワードが送られてくる「2段階パスワード」の方が安全なアプローチの方かもしれない。YahooはCNETに対して、これは「パスワードを排除する第一歩」だと言っているので、今後も続いて出て来ることを期待している。

Yahooがモバイルのセキュリティーに焦点を当てたことは正しい。平均的インターネットユーザーが慢性的にベストプラクティスを実行していないからだ。ITに強い人でさえ該当する。最良のアプローチは、やはり1PasswordまたはLastPass等のパスワードマネージャーを使い、リスクを認識しておくことだ。

関連したニュースとして、同社はエンドツーエンド暗号化プラグインを垣間見せた。South by SouthwestでGoogleと共同で取り組んでいるものだ

下のビデオ(via via The Verge)は、Yahooのソリーションが一般的な暗号化オプションと比べてどんなに簡単か見せることが目的だ。この機能はユーザーが設定しないと有効にならない。有効化されるとメール本文が暗号化され、タイムスタンプや題名などの基本的事項は平文のまま送られる。Yahooは今年中の公開を目標にしている。

[原文へ]

(翻訳:Nob Takahashi / facebook


LINEに脆弱性、トーク内容などを閲覧される恐れ–修正版アプリは配信済み

LINEの手がけるメッセージアプリ「LINE」に脆弱性が発見された。

LINEは3月16日にその詳細を報告しており、問題を修正した最新版のアプリをすでに配信している(iOS版は3月4日から、Android版は3月10日から)。直近アプリのアップデートをしていないという読者は、早急にアップデートして欲しい。

今回発見された脆弱性は、悪意のある第三者が設置した無線LANに接続した際、LINEアプリ内の「その他」にあるページを開いたり、メッセージ・タイムラインに記載されたURLにアクセスしたりした場合に、LINE内のトーク内容・友だち一覧などのデータが取得・改ざんされる可能性があったというもの。

脆弱性はセキュリティ会社のスプラウトが発見。2月3日にJPCERTコーディネーションセンター(JPCERT/CC)および情報処理推進機構(IPA)からLINEに報告があったという。

またそのほかにも、悪意のある第三者が友だち表示名に不正なプログラムを埋め込んだ状態で友だち申請をしてコードが実行されると、LINE内の情報が閲覧・改ざんされる可能性があるという脆弱性も指摘されたとのことだが、こちらは2月3日に修正を完了しているとのこと。


90年代から見過ごされてきた深刻な脆弱性”FREAK”発見―Appleはいち速く修整を約束

うへっ―またまた「大規模で深刻な脆弱性」の発見だ。今回のバグはなんと90年代に遡るという。

このバグを発見したセキュリティー専門家によって“FREAK”と命名されたバグは90年代から見過ごされてきたもので、これをハッカーが利用するとトラフィックを暗号化している多くのウェブサイトの情報が漏洩する危険性がある。

バグの概要(私の理解):

  • 1999年ごろまでアメリカ政府は強力な暗号化メカニズムを組み込んだハード、ソフトの輸出を安全保障上の理由から禁止していた。そこで輸出版製品には「弱い暗号」が用いられていた。
  • 当時はこの「弱い暗号」もスーパーコンピュータがなければ解読できなかった。しかし現在ではEd Feltenが指摘するように、Amazon EC2のアカウントさえあれば誰でも解読できてしまう。
  • 暗号システムに関する制限は1999年ごろに廃止された。ところが、どういうわけかこの「輸出版」の弱い暗号がGoogle、Appleその他オリジナルのOpenSSLを利用するデバイスに残存していた。要するに忘れられていたのだ。
  • 巧妙に仕組まれた「中間者攻撃(man-in-the-middle)を行うと、ハッカーはウェブサイトにこの「弱い暗号」を使うよう強制できる。
  • ウェブサイトのトラフィックがひとたび「弱い暗号」に切り替われば、攻撃者はバスワードだろうがメッセージ内容だろうが数時間もあれば解読できる。

要約すると、ハッカーはAndroidやSafariを通じてウェブサイトに長く存在を忘れられていた旧式の弱い暗号を使わせることができ、内容を比較的簡単に解読できるということだ。

この研究を行ったセキュリティー専門家グループは、今朝までに、この方法で多数の主要なウェブサイトに「弱い暗号」を使わせることに成功したという。

専門家グループは攻撃が成功したサイトの長いリストを公開しているが、これは気が滅入るしろものだ。銀行、通販に加えてアメリカ政府の機関もいくつか載っている。

この脆弱性に責任があるとして名指された主要企業の中で、いち速く反応したのはAppleだった。Appleの広報担当者はこう言っている。

「この問題に関してわれわれはiOSとOS Xを修整した。来週のソフトウェア・アップデートで一般に公開する予定だ」。

TechCrunchでは他の会社にも対策を取材中だ。

〔日本版〕記事にもリンクがはられているfreakattackサイトによれば、この情報を公開したのはミシガン大学のコンピュータ科学者チームのようだ。RSA export cipher suites (e.g., TLS_RSA_EXPORT_WITH_DES40_CBC_SHA) をサポートしているサーバーを利用したサイトはすべて影響を受けるという。チームはRSA Exportだけでなく、最新の安全な暗号化ツール以外のサポートを即刻削除するよう勧めている。

画像: mikael altemark/Flickr UNDER A CC BY 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Google、セーフブラウジングサービスを拡張。ユーザーとウェブマスターにマルウェアを警告


Googleは今週、セーフブラウジング・サービスを拡張し、ユーザーが既知のマルウェアサイトを訪れないようにする機能を加えたと発表した。

例えば、Chromeは既知のマルウェアを抱えるサイトに行こうとすると警告が出る(ダウンロードしようとした時にポップアップするだけではない)。同様に、Google検索でもマルウェアサイトに行こうとすると警告がポップアップし、これは使用しているブラウザーの種類によらない。これ以前から、Google Adwordsは、悪意のあるサイトに誘導する広告を自動的に無効化している。

これらのアップデートはユーザーのみに焦点を絞ったものだったが、同社はウェブサイトオーナー向けのアップデートを今日公開した。これでサイトオーナーは自分のサイトが危険にさらされていることに気付きやすくなる。

通常ウェブサイトオーナーがこれらの警告を見るのは、Googleのウェブマスターツールサイトへ行った時だけだ。そこには数多くの有益な情報があるのだが、殆どのオーナーにとって毎日訪れる場所ではない。しかし今日からは、GoogleがこれらのアラートをGoogle Analyticsで通知する。多くのオーナーが定期的に見ているサイトだ。

マルウェアの警告はGoogle Analyticsの通知バー(Google+の通知サービスに極めてよく似ている)に表示されるようになる。

もちろん理想的には、Googleがこれらの警告を同社の全ツールのウェブマスターに向けて表示するのがよい(Google+の通知ツールは同社の全ウェブアプリに組み込まれている)。しかし、これらのツールはGoogle Analyticsとはかなり前から統合されているが、Google+のプロフィールをウェブマスター用ツールとつなぐ方法は今のところ見当たらない。

[原文へ]

(翻訳:Nob Takahashi / facebook


NSAのハッキング報道に対して、Gemalto社が自社製SIMは「安全」と主張


米NSAおよび英GCHQに暗号化キーを盗まれたと報じられているSIMカード製造会社、Gemaltoは、NSAから漏洩したとされる文書の内容に反して、同社の製品は安全であると主張した

オランダ、アムステルダムに拠点を置く同社の態度は強気、もしくは大胆だ。本日(米国時間(2/23)発行された声明文は、初期調査の結果同社製品は安全であると言っている。

初期の調査結果は、既にGemaltoのSIM製品(並びに銀行カード、パスポート、および他の製品、プラットフォーム)が安全であることを示しており、会社が明確な経済的不利益を受けるとは考えていない。

水曜日(米国時間2/25)にはより詳細な情報が得られるだろう。同社は同日の現地時間10:30からパリで記者会見を開き、調査の全容を詳しく説明する予定だ。

報道によるとGemaltoは年間2億枚以上のSIMカードを製造し、世界600社以上と取引きがある。先週同社は、英国および米国のスパイ機関が暗号化システムに侵入し、同社製SIMカードを使っている無数の携帯電話ユーザーの情報にアクセスできる可能性が生じたことに、気付いていなかったことを認めた。

The Interceptは、Glenn Greenwaldが運営し、Pierre OmidyarのFirst Look Mediaが支援しているニュース機関であり、NSAの告発者エドワード・スノーデンの漏洩情報に基づいて、先週このニュースを特報した。

同記事や他の続報に対して、オランダ側は反発し詳細説明を求めているが、一方でプライバシー擁護派は情報漏洩の重要性を重視する。

Electronic Frontier Foundations[電子フロンティア財団]のMark Rumoldは、先週TechCrunchの取材に、暴露内容は「著しく重要である」と答えた。

「事実上NSAとGCHQは、世界中のあらゆるモバイル通信を解読できる鍵を手に入れた。そこには地域キャリア(少なくともある程度、諜報機関の行動をチェックする役割を持つ)の介入すら必要がない。これは、同機関が世界数百万、数億の玄関の鍵を複製し、必要とあればいつでも侵入できるようになったのと同じ意味だ。率直に言って、人々は世界中のモバイル通信への信頼を失った」と彼は付け加えた。

Gemaltoはこのまま押し切れると考えたいのかもしれないが、同社のビジネスはすでに問題の兆しを見せている。オーストラリアの電話会社は暴露の調査に入っており、セキュリティーの懸念を受けSIMカードの大量リコールを命ずる可能性がある。

悪評は取り付く。業界や消費者の意識に宿る不安を取り除くためには、当事者の社内調査による「問題なし」の自己診断では不足だ。

[原文へ]

(翻訳:Nob Takahashi / facebook


Facebookで写真を勝手に削除できる致命的バグ発見(修整済)―バックアップをお忘れなく

さて読者の皆さんはFacebookに何枚くらい写真を保存しているだろうか? そのうちで安全にバックアップされているのは何枚くらいだろうか?

先ほど明らかになったFacebookのバグは、攻撃者に多少の知識さえあれば、他のユーザーのアルバムを好き勝手に削除できるという致命的なものだった。

幸いなことに、このバグの発見者(インド在住のLaxman Muthiyah)はただちにFacebookに通報した。その結果、バグ通報報奨金として1万2500ドルを得たという。もちろんこのバグが放置されていたら生じたであろうFacebookの大損害に比べれば1万2500ドルは安すぎだが、報奨金システムというのはそういうものでやむを得ない。

いずれにせよFacebookは大急ぎで―正確には2時間ほどでバグを修整した。

Laxmanはバグの詳細をこちらで公開しているが、一言でいえば、Facebookの Graph APIがリクエストの処理にあたってユーザー認証を怠っていたのが原因だった。誰かが他人のアカウントのアルバムを削除するリクエストを送信するとGraph APIは送信者が誰かを確かめず無条件にリクエストを実行してしまう。

攻撃者のアルバム削除リクエストはたとえばこんな感じだ。

Request :-
DELETE /[相手の写真アルバムID] HTTP/1.1
Host : graph.facebook.com
Content-Length: 245
access_token=[Your(Attacker)_Facebook_for_Android_Access_Token]

犠牲者の側からみると、アルバムはある瞬間に突如消えることになる。

あまりにも単純なバグだ。こんなリクエストが通るわけがないと普通思うが、実は通ってしまう。ひどい初歩的なミスだった。

一歩間違えれば大惨事が引き起こされていたところだ。Sophos Securityによれば、Facebookの写真アルバムは単純なシーケンシャルな数値IDで管理されているという。ハッカーが簡単なスクリプトを書いて、適当な数値から始めてIDが順次増加していくようにして削除リクエストを送り続けたら、Facebookが異常に気づく前に大量のアルバムが消去されてしまったことだろう。

注意を喚起しておきたいが、Facebookは決してバックアップドライブではない。今回は助かったが、Facebookのコードに別のエラーがあれば、あなたの写真は煙のように消えかねない。大切な写真は別途安全な場所にバックアップしておこう。

画像: mkhmarketing/Flickr UNDER A CC BY 2.0 LICENSE

[原文へ]

(翻訳:滑川海彦@Facebook Google+


セキュリティ研究家がこれまで集めた1000万件の(本物の)パスワードを一般公開

セキュリティ研究家のMark Burnettが、ユーザ名とパスワードのセット1000万件を収めたtorrentファイルを公開した。それは彼がWeb全域のオープンなWebサイトから集めた、比較的匿名化されているデータの集まりだ。それらのパスワードとユーザ名は古くて、その多くは使われていないと思われるが、いちばん重要なのは、Burnettがそれらを、“誰でも検索エンジンで見つけることができて、誰もがプレーンテキストで入手できる(ハッシュされていないし暗号化もされていない)ので、これまでも、コンピュータシステムに不法アクセスしようと思う者が盗もうと思えば盗めたものである”、ことだ。

彼がそれを集めたのは、彼のパスワード研究の一環としてだ。パスワードの振る舞いは不透明である。なぜそんなパスワードが選ばれたのかよくわからないし、またWeb上におけるパスワードの強度を客観的に評価する方法もない。企業はいつも、うちのパスワードデータベースは安全だと言うが、その言葉には根拠がない。しかも、いちばん多く使われているパスワードが”password”だから、そんなものが安全であるはずがない。

Burnettは次のように書いている:

学生たちやセキュリティの研究者たちから、私のパスワード研究データのコピーを求められる機会が多い。パスワードを共有することはお断りしているが、しかしそれでも、問題のない、きれいなデータ集合なら公開したいと思っていた。よく注意して選んだデータ集合は、パスワードにまつわるユーザの行為を知る手がかりになるし、パスワードのセキュリティをより強化するためにも役に立つ。そこで、1000万件のユーザ名とパスワードを集めたデータ集合を作り、パブリックドメインに公開することにした。

そのデータ集合は、ここでダウンロードできる。

Burnettはこれらのパスワードを公開するにあたり、相当悩んだらしい。まず、これは技術的かつ学術的な行為だが、それに対する法律がどうなっているのか、よく分からない。議員などに聞いても、明快な答は得られない。しかも自分の研究の一部を一般公開することには、リスクが伴うかもしれない。ジャーナリストのBarrett Brownが投獄されたことを見ても、セキュリティを扱う場合は自分の言動によほど用心しなければならない。今回の件は、違法にあたるとはまったく思えないにしても。

というわけで、1000万件のパスワードを見ながら、自分を反省しよう。今使ってるパスワードの、どこがまずいのか? ところでぼくは、超安全なパスワード“ILovePizzaAndBeerLakers2015!”を、捨てる気はないけどね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


セキュリティの重要性が強調される時代、それでも跋扈する「人気」パスワード

2014年は、デジタル・セキュリティについての話題が多く登場した年でもあった。被害者となるのも、もはやテック系の業界に身を置く人や、新手のサービスに関わる人ばかりではない。たとえばSnapchatTarget、あるいはSony Entertainmentの情報が漏洩したりもして、セキュリティ被害というのが誰の身にも起こりえることが明らかになってきた。セキュリティ被害といっても、NSAの動向がどうしたというような難しい話をしようとしているのではない。インターネット上での活動を増加させつつある私たち自身が、十分な対応をとっていないことが多いのだ。たとえばSplashDataがリリースした「最悪のパスワード」(2014年にリークされた300万のパスワードから、「人気」のパスワードをリストしたもの)を見てもそれは明らかだ。十分な強度をもつパスワードを指定することを怠っている人のなんと多いことか。

とりあえず「最悪のパスワード」リストをみてみよう。

1. 123456
2. password
3. 12345
4. 12345678
5. qwerty
6. 123456789
7. 1234
8. baseball
9. dragon
10. football
11. 1234567
12. monkey
13. letmein
14. abc123
15. 111111
16. mustang
17. access
18. shadow
19. master
20. michael
21. superman
22. 696969
23. 123123
24. batman
25. trustno1

ちなみに昨年の集計では「password」が1位だった。パスワードと言われたのでpasswordと入力するというような、最低最悪の段階からくらべれば、まあ多少は進化したと言えるのかもしれない。ちなみに「dragon」というパスワードも人気だ。「強さ」により侵略に備えるイメージなのかもしれないが、不的確なパスワードの代表と言える存在だ。

現在では、パスワードの脆弱性を回避するための簡単なツールも用意されている。もちろん「パスワード」という仕組み自体が時代遅れのものとなっているという見方もあるので、そのような中、パスワード用のツールを使うというのはナンセンスだと感じる人もいるだろう。しかし、たとえばパスワード管理ツールを利用することで、パスワードの強度は保たれ、そして更新時もきちんと対処してくれて、安全な場所にパスワードを保存してもらえたりするようにはなるわけだ。

そうはいっても、簡単なツールを利用することすらいやだという人もいることだろう。そういう人は自分の個人情報(誕生日や郵便番号など)と関係した語をパスワードとして用いがちだ。そうした行為は「いけないこと」とされているが、しかしそうした場合でもパスワードを強化する方法はある。

たとえばパスワードとして用いたい語の配列を混ぜてしまうという方法だ。たとえば「123456」や「qwerty」を使っている人なら、順番に混ぜてしまって「q1w2e3r4t5」というパスワードを利用することも考えられる。さらに「My uncle lives in Kansas」を使って「MyUncleLivesInKansas」をパスワードとしたいと考える人もいるだろう。このパスワードはあまりに弱いが、しかしここに番地を加えて「MyUncleLivesInKansas207」とすれば多少の強化にはなる。長くて、そしてアルファベットと数字を混ぜることで、パスワードを強化しつつも覚えやすいものを作ることができる。もちろん完全にランダムなパスワードに比べれば弱いものだ。ただ、こうしたちょっとした工夫をすることで、「最悪のパスワード」リストにあるようなものを使わないで済むようになる。

原文へ

(翻訳:Maeda, H


IoT企業はプライバシーとセキュリティーに最優先で取り組め―FTC委員長がCES講演で強く警告

FTC(アメリカ連邦取引委員会) は、モノのインターネット(Internet of Things)に潜むプライバシーとセキュリティー上のリスクに対して関係者に強く注意を促した。インターネットに接続するさまざまなデバイスの数は2015年中に250億個に達すると予測されている。サーモスタットやドアロックなど、いわゆるスマートホーム・デバイスの数も今年は2500万になると見られる。

FTCは「ひとたびプライバシー、セキュリティー上の大規模な事故が発生すれば、消費者にIoT1への抜きがたい不信感を植え付けることになりかねない」と警告した。こうした破壊的シナリオを避けるために、IoTビジネスはセキュリティーおよびプライバシーのリスク対策に現在よりもずっと真剣に取り組む必要があるというのがFTCの考えだ。

FTCのEdith Ramirez委員長はラスベガスで開催中のConsumer Electronics Showを視察した後でIoTビジネスの将来に関する講演を行った。

「[モノのインターネット]は消費者に巨大な便益を与える一方、プライバシーとセキュリティー上のリスクも重大だ。IoTデバイスは、たとえばヘルス、医療関連分野で普及し始めているが、、膨大な個人情報を収集、転送することになる。こうした情報は極めてプラバシー性の高いもので、その処理には潜在的に非常に大きなリスクを伴う」とRamirez委員長は警告した。

3つの高リスク要素

Ramirez委員長は、プライバシー上、特にリスクの高い3つの要素について分析した。

(1) データ収集の遍在化; (2) 個人に不利益を与えるような個人情報の目的外使用; (3) 悪意による攻撃

データ収集の遍在化というのは、センサーやモニター・テクノロジーの発達にともなって「驚くほど大量かつ正確な個人的情報が蓄積される」という問題を指す。しかも収集されたデータを強力なツールによって分析することで、その影響力は一層拡大される。

しかもIoTデバイスは、家庭、自動車、さらには体表、体内にまで入り込み、きわめて個人的な情報を収集する。「IoTによってビジネスはわれわれの私生活のあらゆる側面を把握することができるようになる」とRamirezは述べた。.

そこで、収集されたデータが当初の目的や予期に反して使用されるというリスクが重大なものとなってくる。フィットネスや医療のために利用されるはずのデバイスから得られた個人情報が横流しされ、企業の採用選考に用いられるなどという例が考えられる。あるいは保険会社が健康保険や生命保険の料率を計算するために用いるかもしれない。消費者が便利なデバイスを購入したつもりで、実は知らないうちに自分の個人情報を売り渡す結果となるかもしれない。

「われわれは最終的な結果を慎重に考慮することなく無制限な個人情報の収集と流通を許すわけにはいかない」とRamirezは付け加えた。

またRamirezはIoTデバイスがハッカーの攻撃にさらされるセキュリティー上のリスクについて言及した。また侵入されたIoTデバイスがさらに広汎なネットワークへの侵入の突破口となる危険性にも注意を喚起した。

最近、いくつもの大規模なデータ漏えいがトップ・ニュースとなっている。データ・セキュリティーの困難性はますます高まっているといえる。しかしIoTはまた別種のセキュリティー上の問題を生じる。その一つは、伝統的インターネット業界はセキュリティーに対して数十年の経験を積んでいるのに対して、最近IoT市場に参入しているソフト、ハード企業の多くがセキュリティー問題に未経験であることだ。同時にIoTデバイスのサイズが小さく、処理能力に限界があることが暗号化その他の強力なセキュリティー施策を導入することを妨げている。また一部のIoTデバイスは安価な使い捨てモデルだ。こうしたことから、IoTデバイスに深刻な脆弱性が発見されてもソフトウェアをアップデートすてパッチを当てるなどの対策が難しい。それどころか脆弱性があることを消費者に周知することさえ困難だろう。

IoTデバイスには最初からセキュリティーを「焼きこむ」必要がある

こうした課題に対処するため、IoT企業はプライバシーとセキュリティーの重要性を認識し、ビジネスモデルそのものに「焼きこんでいく」必要があるとFTCは考えている。 それが企業自身、さらにはIoT市場全体への消費者の信頼をつなぎ止める道だという。

Ramirez委員長は具体的に3つの施策を挙げた。

(1) 「セキュリティー・デザイン」の採用; (2) データ収集、保存の最小化; (3) システムの透明性の確保、また予期せぬ情報漏えいや目的外使用が発生した場合の消費者に対する適切・迅速な情報開示

セキュリティー・デザインの採用とは、プロダクトやサービスのデザインにおいてセキュリティーを優先させることだ。「デバイスはデザインの段階でセキュリティーが作りこまれて居なければならない」としてRamirez委員長は次のように述べた。

デザインの過程でプライバシーとセキュリティーのリスクに関する十分な検討が行われる必要がある。プロダクトの市販、一般公開前に必ずセキュリティーがテストされなければならない。またデバイスのセットアップの段階で消費者がかならず独自のパスワードを設定しなければならい〔デフォールトのパスワードを使い続けることができない〕スマート・デフォールトを採用すべきだ。可能な限り暗号化を図る必要がある。またプロダクトのリリース後もモニターを続け、脆弱性の発見と修整に努めねばならない。 また社内にセキュリティー問題に関する責任者を置かねばならない。

これらはいずれも大企業では標準的に実施されている措置だが、小規模なスタートアップの場合、人的その他のリソース上の制限が厳しく、また新しいプロダクトをリリースすることを急ぐあまり、プライバシーとセキュリティーの保護がないがしろにされがちだ。

Ramirez委員長はまた「データ最小化」の原則についても触れた。これもまたスタートアップにとっては利益の相反となる分野だ。スタートアップのビジネスチャンスは取得するデータの種類や量に比例して向上する。そこで「サービス、デバイスが機能するために必要最小限のデータのみ取得する」、「取得後も必要のなかくなったデータは即座に破棄する」という方針は生まれにくい。 FTCの求めるこの原理は多くのスタートアップのビジネスモデルと衝突することになる。

「多量の個人データを取得、保持していればいるほど、その漏洩によるダメージは大きくなる。ビッグデータの恩恵を受けるために企業はできる限り多種多様なデータを取得、保持すべきだという議論がある。しかし私はこのような議論には疑問を持っている。将来もしかするとビジネスに役立つかもしれないというようなあやふやな理由で現在の業務に不必要な個人情報を持ち続けることは企業に大きなリスクを追わせるjものだ」とRamirezは述べた。

またRamirezは「個人識別情報を削除して保管する」という方法についても「そうして削除された情報はさまざまな方法で復元可能なので十分な対策にはならない」と警告した。また「企業は個人識別情報を削除された情報を再度個人識別可能にするような処理を行わない」と公式に約束すべきだとも述べた。

最後にRamirez委員長は透明性とユーザーに選択権を与えることの重要性を強調した。

IoT企業がユーザー情報を利用する場合、ユーザーはその内容を明示し、ユーザーが承諾ないし拒絶する機会を与えねばならない。この選択は長々しい利用約款の中に埋め込んでユーザーが一括して承諾するか拒絶する以外にないような方法で提示されてはならない。利用約款は一般消費者が通読する可能性がほとんどない。FTCは個人情報の利用に関する選択は一般の利用約款とは別に提示されるべきだと考える。

つまり「スマート薬缶」を販売する企業が、ユーザーが1日に何杯、いつ湯を沸かすかについての情報を地元のスーパーマーケットに売りたければ、そのことを別途、明示してユーザーの承諾を得なければならないということだ。

「IoTデバイスの場合、通例ユーザーインタフェースがきわめて限定されているか、そもそも存在しない。そのため消費者から明示的承諾を得ることが技術的に難しいことは私も理解している。それであっても、私は消費者に目的外使用を承諾するか否かについて選択の余地を与えることは必須だと考える。問題はそうすべきかどうかではなく、いかにしてそれをするかだ」とRamirez委員長は結論づけた。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


では一体誰がやったのか?

Sony Picturesのハックに、何らかの戦意があったとは認めがたい。CloudFlareとDEF CONのMarc Rogersが言ってるように、このハックは、かなりぶさいくなやり方ではあっても、犯人の特定は難しい。ハッカーの心得のある者なら誰もが、プロキシを使い、ソフトなターゲット(非軍事的な標的)をねらう。しかし攻撃に成功してデータを盗んでしまったら、犯人の所在を突き止めることはほとんど不可能だ。それが平壌からか、アトランタからか、誰にもわからない。Rogersは次のように書いている:

デジタル犯罪の鑑識はテレビドラマではない。CSIなどでは、捜査官がキーボードをわずかに叩けば、まるでマジックのように、コンピュータがアンロックされ、証拠情報がスクリーンにどどっと流れだす。さらにキーを叩くと、“追跡”と呼ばれるグラフィカルなアプリケーションが犯人の家に侵入し、彼のWebカメラや寝室のドアを操作する。しかし現実は、そんなかっこよさとは程遠い。

[ツイート訳: ついにやったか。くそがきどもが、DPRKのふりをしてるぜ。]

つまり、FBIですら、犯人の特定はできない。

ぼくが想定するシナリオでは、LulzSecみたいなハッカーたちがSony Picturesに入り込む方法を見つけたのだ。長時間かけて大量のデータを盗んだ彼らは、Sony Picturesを困らせてやろうと思った。敵意も利益動機もなく、ただ自分を誇示したいために。盗んだデータをSnowdenみたいに調べてみたら、すごいデータであることが分かった。ニュースメディアは、本誌も含めて、このゴミに食いついた。そして盛大に騒ぎ立てた。Angelina Jolieのメールもある! お粗末なCandy Land映画のリメイクもある! ハリウッドがモーレツに腹を立てている! テレビのバラエティ番組が、映画のプロデューサーたちの単純なメールをネタに、これだけ視聴率を稼いだ月は、過去になかっただろう。

Snowden的なリークではあっても、これらのドキュメントそのものは、あまり重要ではない。むしろ、Sonyの社員の話によれば、Sonyは近く、侵入試験をするつもりだった。同社のインフラはあまりにも古くて、ITの連中が昼食のために外出している間にメールをすべて盗むことも可能なぐらいだった。FBIが今回の事件を外部の悪者のせいにしていることは、Sony Picturesの上級スタッフにとって、最高のクリスマスギフトだ。

リークが世の中に広まったあと突然、おまけが出現した。911スタイルのテロ予告、それに続くパニック状態、犯人特定の要求が嫌が上にも高まった。そのlulzのようなハッカーは北朝鮮である、とされた。しかしそのときからすでにセキュリティの専門家たちの多くは、北朝鮮説の虚偽を指摘していた。要するにこれは、“おい、みんな、Sonyをハックしてみようぜ”が、あまりにもうまく行き過ぎた例だ。ハッカーたちが望んだもののすべて…お楽しみ、自分たちに集まる注目、わくわくするような意地惡行為…が実現した。放火マニアが、落ち葉の山に火をつけただけで、一つの町内が全焼したように。愉快犯の愉快も、被害者の被害も、ともに、おそろしいほど完璧だ。

Sony Picturesの映画では、ハック行為が、実際にはありえないかっこよさで描かれている。実際にはワークステーションが何台もずらーっと並んではいないし、美女に尺八をしてもらいながら暗号を解読することもない。実際のハッカーはその多くが、平凡で地味で無名で目立たなくて人畜無害な姿をしている。彼らは裏世界に身を潜めて、実験や盗みを楽しんでいる。そんな物静かなハッカーたちが急にメディアの寵児になるなんて、ふつうはありえない。われわれの騙されやすさに本気でつけ込めば彼らは今ごろ、銀行に巨額を蓄えているだろう。しかしもしも、腐敗した映画プロデューサーたちが交わしたメールの重要性を理解できるほど北朝鮮のハッカーたちの文化性が本当に高いのなら、われわれは彼ら見くびっていたことになる。それは、ありえないだろう。

[ツイート訳: Kim Jong Unは今度作るロックオペラのネタが欲しかったんだろ?]

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Googleのエンド・ツー・エンド暗号化プラグイン開発、一歩前進―鍵サーバーはGoogleが運営

1年半ほど前、Googleは誰でも手軽にメールを暗号化できるよう、メール暗号化プラグインを開発中だと発表した。 そのツールのリリースが近づいてきたらしい。

まだ一般公開の段階には至っていないものの、今週、GoogleはEnd-to-End暗号化プラグインをGitHubに登録し、デベロッパーが実際に安全であるかテストできるようにした。またこのツールの仕組みについてもいくつか新しい情報が発表された。

メール暗号化というのは長い間頭痛のタネとなっている。公開鍵暗号自体はそう複雑なものではない(「公開鍵」というコンセプトは理解するのが最初は少し難しいかもしれないが)。 最大のハードルは、公開鍵暗号を技術的知識のない一般ユーザーが簡単に使えるようにする点にあった。現在利用可能なツールとしてはMailvelopeというChromeプラグインがいちばん使いやすいだろう。しかしそれでも公開鍵暗号の仕組みについて基本的な知識を必要とする。

End-to-Endプラグインはまだ開発途中だが、Googleの説明によると、「誰でも使える」ことをデザインの主眼としているらしい。たとえば暗号化キーのサーバーはGoogle自身が運営する。他のOpenPGPベースのシステムでは特定の暗号化キーが特定のユーザーに対応していることを保証するために web of trustという保証の連鎖を用いる方法を採用している。「この方法で暗号化キーの正統性を認証するにはユーザー側で相当の作業が必要になるうえ、一般ユーザーにはその概念の理解が難しい」とGoogleのEnd-to-Endチームはドキュメンテーション中で述べている。

これに対してGoogleはもっと中央集権的なアプローチを採る。ユーザーの公開鍵はGoogleのサーバー内に自動的に登録され、キー・ディレクトリとして公開される。あるEnd-to-Endユーザーが別のユーザーに暗号化メールを送りたい場合、システムはキー・ディレクトリをチェックし、正しい鍵を選んで暗号化する。鍵配布の正確なメカニズムについてはこちらを読んでもらうとして、重要な点は、Googleが鍵サーバーを運用することによって公開鍵システムの一般への普及を阻んできたハードルの非常に大きな部分が除去されるという点だ。

このEnd-to-EndプラグインはGmail以外のウェブアプリにも暗号化サービスを提供できるという。これは朗報だ。Gmailの暗号化専用ツールというにとどまらず、他のメールやサービス、たとえば各種のインスタント・メッセージも暗号化できるとなればその影響はきわめて大きい。Yahooはすでにこのプロジェクトに協力しているというので、他のメジャーなウェブメールやメッセージ・サービスのベンダーも加わるかもしれない。

Googleによれば、鍵配布とUIに関する問題点が完全に解決されるまではアルファ版の公開は行わないという。しかしいろいろな情報を総合すると、2015年にはなんらかの形でローンチが行われるものと期待してよさそうだ。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Gmailが、悪質な機能拡張からあなたの受信箱を守ってくれる


Gmailのような人気サービスは、必然的にハッカーの標的になる。数年来Googleは、他者のアクセスを防ぐためにHTTPS接続を必須にするなど、数多くのセキュリティー対策を施してきた。今日(米国時間12/16)同社は、クロスサイトスクリプティング攻撃や悪意あるブラウザープラグインによってユーザーの受信箱が荒らされ、データを盗まれることを防ぐために、コンテンツセキュリティーポリシー(CSP)をサポートしたことを発表した

Googleが実装したコンテンツセキュリティーポリシーは、ブラックリスト/ホワイトリストを使ってサイトが他サイトから不正なコードを読み込むことを防ぎ、クロスサイトスクリプティング攻撃を阻止する。HTTPヘッダーを利用して、信用できるサイトのコードのみを処理するようブラウザーに指示を与える。もしアタッカーがサイトを騙して別のコードを読み込ませようとすれば、エラーになるだけだ。

Googleによると、大部分のGmail用拡張機能はすでに対応済みのため、そのまま使えるはずだ。もし、ChromeやFirefoxでお気に入りの拡張機能が動かなくなった時は、最新バージョンにアップデートするようGoogleは薦めている。

現在Chrome、Forefox、およびSafariがCSPをサポートしている。MicrosoftのInternet Explorerは、CSPの旧バージョンを限定的にのみサポートしている。

[原文へ]

(翻訳:Nob Takahashi / facebook


ソニー情報流出事件で最悪なのは、従業員データの漏洩だ

Sonyハック事件はわれわれに多くのことを教えてくれた。企業メールは誰でも読めると思うべきこと。ハリウッドの人たちは他のあらゆる業界と同じくらい卑劣である(かつ人種差別的者かもしれない)こと。そして、チャニング・テイタムは興行収入で “TED” を越えることに極めて熱心であること。

そして最も耐えがたい教訓のひとつは、たとえあなたがネット上で自分を守るためにあらゆる手段を講じていたとしても、あなたの雇い主は、あらゆる面で自由放任にしているかもしれないことだ。これは、6500人以上の現役(および多くの元)Sony社員が現在置かれている状況だ。

GizmodoのBrian Barnettがこう書いている

「Sonyのキャッシュに残っていた中で特に痛々しいのが、リタリン(中枢神経刺激薬)を探す医者。妊娠しようとすることに関するメールもあった。同僚の陰口、さらにはクレジットカードのログイン情報等々。文字通り何千人もの社会保障番号も平文のまま置かれていた。毎日のメールに書かれた無邪気でありふれた内容でさえ、公開されれば醜悪に感じるものもある。サイバー焦土攻撃が、[ホラー映画の]『Babadook』を現実にした。

そしてその中の従業員2名が訴訟した ― 集団訴訟というべきだろう。Christina MathisとMichael Coronaは、連邦裁判所に対して、映画会社が従業員およびその家族のデータを安全に保つために十分な予防措置をとっていなかったとして、連邦裁判所に提訴した

訴状は、Sonyがネットワークのセキュリティー不備を承知でリスクを犯したと指摘するITブログ記事を参照している。そして、Sonyはリークした映画を守るために自らDDOS攻撃を使用したが、従業員データは守らなかったことも非難している。元従業員に対する情報提供の不適切さも複数挙げており、Sonyが12月2日の攻撃の後、無料でクレジットカードの監視を提供したが不十分だったことを指摘している。

Kashmir Hillが報じているよに、ハッキングが起きた時点で、Sonyの情報セキュリティーチームにはわずか11名しかいなかった

「本質的問題は、情報セキュリティーに関して、本当の意味での投資も理解もされていないことだ」と元従業員は言った。今回のリークで明らかになった問題の一つは、Sony Picturesのネットワークに置かれた重要なファイルが、暗号化もパスワード保護もされていなかったことだ。

ハッカーらが見つけた、Sonyのユーザー名とパスワードが入ったファイルは、”Usernames&Passwords”というファイル名だった。

Sonyの情報セキュリティー責任者、Jason Spaltroにいたっては、2007年のインタビューで、Sonyのセキュリティーの抜け穴を享受するかのような発言さえしていた:セキュリティー侵害の「リスクを受け入れることも正当なビジネス判断である。私は100万ドルの損害を防ぐために1000万ドル投資するつもりはない」と当時彼は語った。

今回のハッキングは、結局Sonyに1億ドルの損害を与えると推定される。最近同社が被った損害は、1.71億ドルだった。

原告団は陪審員による裁判を希望している。おそらく厄介で高額になるであろう公開裁判によって、他の鈍感な企業は情報セキュリティーは注意を払うようになるのだろうか。

アップデート:そしてまた第2の訴訟が起こされた。

Sony Pictures Entertainment Suit

[原文へ]

(翻訳:Nob Takahashi / facebook


中国政府がiOSをハック―Appleは外部のセキュリティー専門家と協力すべきだ

編集部: この記事は、Triumfantの社長、CEOのJohn Priscoの執筆。

エンタープライズ向けモバイル・セキュリティー企業のLacoon Mobile Securityの専門家は、iPhone、iPadから通話記録、メッセージ、写真、パスワードその他の情報を盗むことができるXsserと呼ばれるマルウェアを発見した。このニュースは国際的に大きな反響を巻き起こした。というのも、このマルウェアは中国政府が香港の民主化運動を監視するためにに作成、運用していると見られるからだ。

中国政府は以前にもデータを盗み、偽情報を広めようとするハッカー活動で非難されている。間違いなく今後も同様の活動を繰り返すだろう。しかし政治的な議論はさておき、ここにはテクノロジー上の重要な問題が含まれている。Appleはこの問題を直視する必要がある。

Xsserは今後も現れてくるモバイル・マルウェアの一つの例にすぎない。社員が私用のデバイスを業務に使ういわゆるBYOD(Bring Your Own Device)が広がる中、モバイルOSのセキュリティーが保護されていなければ大惨事が起きる。現在、Apple OSのユーザーはその閉鎖性のために必要なレベルの保護が受けられないままだ。私はAppleが外部のセキュリティー専門家、企業と協力して次世代のサイバー攻撃に備えるべきだと考える。

Appleの意図に悪いところはなかった。Appleはすべてをクローズドにしてきた。デベロッパー・コミュニティーに対しても、アプリの登録にあたっても厳格な統制を敷いてきた。その結果Appleはブランドの純粋さを守り、また最近までこの秘密主義がマルウェア攻撃に対する一定の防壁の役割を果たしてきた。しかし、魔神はAppleの壜から出てしまった。

これに対してGoogleは外部のセキュリティー企業と協力関係を築いてきた。セキュリティー専門家は、Androidの場合、OSレベルで必要な分析を行い、問題点を発見できる。AppleのiOSではそれは不可能だ。iOSには高い防壁が設けられアクセスを許さない。AppWrapperを通じてアプリを調査することしかできない。OSレベルでのアンチ・マルウェア・アプリを開発することは不可能なので、iOSのユーザーはそのレベルでの保護を受けられない。

ハッカーは(国家に支援されると否とを問わず)現実の存在だ。どんなシステムであれ、マルウェアによって攻撃されることは避けられない。世界最大のモバイル・デバイスのメーカーが外部の専門家によるユーザーの保護を拒否している現状では、BYODは極めて危険な方針というしかない。 Xsserはその危険を具体化するひとつの例にすぎない。さらに悪質なマルウェアが今後も数多く登場してくるだろう。

Appleはもはや不可侵の領域ではない。Appleがそのことを自覚することが強く望まれる。AppleはiOSをめぐる現実に目覚めねばらない。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


やっと、ついに、誰もが無料でHTTPSを使えるようになる!…MozillaやEFFが共同プロジェクトを立ち上げ

理想としては、Webサイトへの接続はすべて、HTTPSによるセキュアな接続であるべきだ。そうすれば、空港やコーヒーショップなどで一般に公開されているネットワークを使っていても閲覧内容を覗き見されるおそれがない。でも現実には、小さなWebサイトの多くがこの種のセキュアな接続を提供していない。HTTPS接続に必要な公開鍵の証明を得るための手続きが、相当面倒だからだ。料金も安くない。

でも、このままでよいわけではない。もうじき、MozillaとCisco、Akamai、Electronic Frontier Foundation(EFF)、IdenTrust、およびミシガン大学の研究者たちが作った研究グループInternet Security Research Groupが、Webのドメインを持っている者なら誰もが無料で利用できる証明機関を創設する。サービスの供用開始は、来年の夏を予定している。

今日(米国時間11/18)、EFFは次のように述べている: “HTTPS(およびTLS/SSLのそのほかの利用)は、現状では恐ろしいほどの複雑さと、構造的に機能不全な、認証をめぐる官僚主義に支配されている”。

Let’s Encryptと呼ばれるこのプロジェクトは、証明が無料で得られるだけでなく、できるかぎりそれが容易簡単であることを目指す。どんなサイトでも、たった二つのシンプルなシェルコマンドでHTTPSを有効化できるようにする。証明の発行や取り消しはすべてパブリック(一般公開)とし、そのプロトコルをオープンスタンダードにすることによって、他の証明機関もそれを採用できるようにする。

このサービスをテストしてみたいデベロッパは、GitHubでそのコードを見られるが、それはまだ本番利用用ではないから、その警告を無視して実際に使おうとすると、大量の警告を食らった挙句に、自分のサイトすら見られない結果になるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


留守中の家をチェックしてくれる、簡単セキュリティシステムのPoint

家を空けている間、家の中のすべてのものについて、盗まれていないと自信を持って言える人はどのくらいいるだろうか。家の中を荒らされても気づかない人も多いのではなかろうか。と、そんな「気づかない人」のためのプロダクトがKickstarterキャンペーン中だ。自信のない人はぜひPointをチェックしてみて欲しい。

Pointは基本的に、大きな音を検知するためのセンサーだ。ガラスが割れる音やドアが開く音を検知することができる。また動きを検知することもできるようになっている。何らかのアクションを検知したらオーナーに通知を送ることができる。通知を見たオーナーは、秘密裏に配置しておいた攻撃ドローンを出撃させることもできるし、あるいは地元の警察に連絡をするというようなアクションをとることができる。

製作したのはNils Mattisson、Fredrik Ahlberg、Marcus LjungbladおよびMartin Lööfだ。もともとはスウェーデン発だが、現在はサンフランシスコを拠点としている。MattissonはAppleのExploratory Design部門で働いていた経験ももつ人物だ。

「こうしたデバイスが欲しいという、自分たちの欲求に基づいて製作しました。外出時にも家内の安全を確認したいと思ったのです。これまではカメラと、難しげなセキュリティシステムを配置するのが一般的でした。しかしそこまでしなくても、効果的な対策を講じることができるはずだと考えたのです」とMattissonは言っている。

ちなみに、デバイスで検知した音は、デバイス内部でのみ用いられ、すなわちクラウドにアップロードされることはないとのこと。ネットワーク経由で送られるのは通知のみであり、検出したデータが送られることはないのだとのことだ。

接続はWiFi経由で行われ、バッテリー持続時間は1年間だ。

「Pointは、目立たず、シンプルであることを心がけました。テクノロジーが周囲の環境にとけこみ、そしてでしゃばらないでいるというのが、将来に向けての方向性であると考えているからです。世の中にはスマートを名乗るデバイスがたくさんありますが、多くは検知したデータをそのままネットワークにフィードするという、スマートとは程遠い振る舞いをするデバイスが多いように見受けます」とMattissonは言っている。そうした中でスマートであろうと心がけるPointは、温度計機能ももち、また外部から内部侵入者に向けて音声を伝えるための機能ももっている。

ホームセキュリティ関係は、まさに旬とでもいうべき状況ではある。ScoutSimplisafeの名前を思い起こす人も多いことだろう。しかしこのPointは69ドルで、Kickstarterキャンペーンはすでに目標額を調達している。あとで追加すべきセンサーというのがあるわけでもない。外見もなかなかクールだ。家の中に貴重な唐代の壺があったにしても、安全に、心配なく過ごせそうな気がする。

原文へ

(翻訳:Maeda, H