タグ: Security

AlphabetがXムーンショット生まれのサイバーセキュリティ企業Chronicleをローンチ

あなたが、まだ間違って“Google”と呼んでるかもしれないAlphabetが今日(米国時間1/24)、新しいサイバーセキュリティ企業Chronicleのローンチを発表した。それは、企業のハッカー検出と撃退能力を高めることがねらいだ。ChronicleはAlphabetのXムーンショットグループから巣立ち、今ではGoogleなどと同じく、Alphabet傘下の単独企業だ。

Google VenturesからXに入り、その前はSymantecのCOOだったStephen Gillettが、この新会社のCEOになる。

最初にChronicleは、二つのサービスを提供する: 企業向けのセキュリティインテリジェンスとアナリティクスのプラットホームと、マルウェアやウィルスをスキャンするVirusTotalだ。後者はGoogleが、2012年に買収したセキュリティ企業だ。

Gillettが書いた記事によると、Chronicleの基本的な目的は、企業のセキュリティの盲点や死角を取り除き、企業が自分たちのセキュリティの全容を細部まで明確に把握できるようにすることだ。Gillettはこう書いている: “企業のセキュリティチームのスピードと実効性を今の10倍にしたい。そのためには、彼らにとってこれまで見つけることが困難だったセキュリティ関連のさまざまなシグナルを、容易に、はやく、そして低コストで捕捉分析できるようにしてあげることが、重要だ。Chronicleが提供するインテリジェンスとアナリティクスのプラットホームは、それを可能にする”。

XのCaptain of Moonshots(ムーンショットのキャプテン)、Astro Tellerによると、“企業のセキュリティチームが攻撃を見つけて調べるために必要な情報は、その企業の既存のセキュリティツールやITシステムの中にある。しかしそれらは膨大な量のデータの中に隠れているから、簡単には見えないし、理解も利用もできない”。

Chronicleのプラットホームは目下構築中で、まだその全貌は見えない。GillettによるとそれはAlphabetのインフラストラクチャの上で動き、機械学習と高度な検索能力により、企業によるセキュリティデータの分析を助ける。そしてChronicleのサービスはクラウドから提供されるので、“企業のニーズの伸縮に応ずる柔軟性とスケーラビリティがあり、企業自身が新たなセキュリティソフトウェアを実装したり管理する必要がない”。

このような、クラウドからのセキュリティサービスはChronicleが初めてではなく、ログを分析する専門企業もあり、またIBMなどもエンタープライズ・セキュリティには力を入れている。そんな競合環境における、Chronicleの差別化要因が何になるのか楽しみだ。

現時点で提供できる詳細情報があまりないことは、Alphabetも認めているが、今Chronicleのサービスは、いくつかのFortune 500社の協力により、アルファテストを行っている。

Chronicleは今日(米国時間1/24)の午後プレスコールを行うので、サービスの詳細が分かり次第、この記事をアップデートしたい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ARMのCEO Simon SegarsのSpectre/Meltdown観、そしてIoTのセキュリティについて

今年のCESは、SpectreとMeltdownに呪われていた。会場内の会話のほとんどが、どこかで必ず、この話題に触れていた。なにしろCESだから、われわれが会う人の数も多く、そしてその中にはこの問題に近い人も多い。今回はその一人、ARMのCEO Simon Segarsに、本誌TechCrunchのブースまで来ていただいて、その対応策などについてうかがった。

また、IoTやAIなど、同社の今後の大きなビジネス機会についてもお話を聞いた。同社の設計をベースとするチップはすでに1200億あまりのデバイスで使われているが、次のフロンティアである新しい技術分野は、さらに大きな機会を同社にもたらす。“IoTの普及により、数億どころか兆のオーダーのコネクテッドデバイスが出現する”、とSegarsは語る。

SpectreとMeltdownに関しては、その脆弱性の公表により、あらためて、今日の世界に膨大な量のマイクロプロセッサーがあることが人びとの意識にのぼった。しかしSegarsが強調するのは、この脆弱性が一部の高性能なチップに限られていること。彼によると、ARMがライセンスし、過去に販売されたチップのわずか5%が、危険にさらされるだけだ。

Segarsが今回明言できなかったのは、ハードウェアとソフトウェアのベンダーが今リリースしているパッチによって、ARMにとっての性能低下は起きるのか、という点だ。“率直に言って、それを言うのはまだ早すぎる”、とSegarsは述べる。“それは、ユースケース次第という面がとても大きいだろう…つまりアプリケーション次第、ということだ”。

しかし彼は、一部のハイパフォーマンスなユースケースではペナルティがありえる、と考えている。“しかしそんな場合でも、Webの閲覧やメールのような一般的なユースケース、そしてモバイルデバイス上の膨大な量のユースケースでは、誰も違いに気づかないだろう”、という。

インタビューの全体を、下のビデオでご覧いただける。

画像提供: Tomohiro Ohsumi/Getty Images



[原文へ]
(翻訳:iwatani(a.k.a. hiwa

G Suite EnterpriseのSecurity Centerで、利用しているすべてのサービスのセキュリティ状況を一望できる

Googleが今日、G Suiteのアドミン用の新しいツールを立ち上げて、彼らの組織のセキュリティの状態をもっとよく見られるようにした。そのツールG Suite Security CenterはG Suite Enterpriseのユーザーだけが使えて、二つの主な部位がある。最初の部位はダッシュボードで、アドミンはその画面を見ながらさまざまなサービスのセキュリティ関連測度の現在値を概観できる。たとえばGmailなら受信メール中のフィッシングメールの有無やその数など。またGoogle DriveやMobile Managementなども、セキュリティが重要だ。第二の部位はセキュリティの健康診断で、現在のセキュリティの設定を概観するとともに、その改善のアドバイスを提供する。

Security Centerを担当するプロダクトマネージャーChad Tylerによると、現状では重要なセキュリティ関連測度がさまざまな個々のG Suiteプロダクトに分散しているが、それらを一つのサービスにまとめるべきだ、と彼らは考えた。それに加えて、ユーザーの安全を確保するためのリコメンデーションも、GoogleがG Suiteのために推奨するベストプラクティスを、個々のサービスごとではなく、すべてを一つの画面で見られるようにしたい。

しかしSecurity Centerの心臓部はあくまでもダッシュボードだ。アドミンはその画面を見ることによって、会社全体に何が起きているのかを素早く一望できる。Tylerによると、ダッシュボードに加わるサービスは今後もっと増えるが、たとえばそれを見ることによって、どの社員にフィッシングメールの急激な増加(スパイク)があるかもすぐに分かる。さまざまな測度がグラフや図表などで一望できる、という点では、ユーザー体験はGoogle Analyticsなどに似ている(上図および下図)。

Security Centerはすでに、全世界のG Suite Enterpriseのアドミンに向けて展開されている。全員に行き渡るのもかなり早いと思われるので、たとえばあなたががG Suite Enterpriseのアドミンなら、もうすでにご自分のアカウントで利用できるかもしれない。

  1. g-suite-security-center-static_1-16_twg-1.png

  2. 5ff8e082bb6922553c11263661dd9a98.png

  3. dashboard_details_spam_phishing-1.png

 View Slideshow
Exit

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

またも、macOSにどんなパスワードでも通るバグ発見

MacRumorsがmacOS High Sierraの現行バージョンに関するバグレポート発見した。システム環境設定のApp Store設定画面で、〈どんな〉パスワードをタイプしてもロック解除できてしまう。Appleは次期macOS High Sierraアップデートのベータ版でこのバグをすでに修正していることが報告されている。

このバグは、悪名高きあのrootログインバグと比べてはるかに深刻ではないが、John Gruberが書いているように、これはかなり恥ずかしい。パスワードプロンプトとmacOSにいったい何が起きているのか?

自分で試してみたい人のために言うと、私はごく簡単に再現できた。システム環境設定を開き、App Store設定へ行き、南京錠アイコンを見る。ロックがはずれていたら、まずロックしてからやってみるとどんなパスワードでもロック解除できる。

この設定画面では、アプリとOSアップデートの自動ダウンロードとインストールの有効、無効を切り換えられる。直ちにセキュリティーに影響するリスクはない。しかし、何者かがパソコンに触って自動セキュリティーアップデートを無効にしていれば、本来パッチされるべき脆弱性が悪用される可能性はある。

デフォルトでApp Storte設定は管理者ユーザーにはロック解除されている。しかしセキュリティーに関して心配性の人なら、あらゆるシステム設定をロックして誰にも触られないようにしているかもしれない。

バグそのものより重要なのは、Appleが品質管理プロセスを見直すべきだということだ。恥ずかしいバグの入ったアップデートを配布するのはもうやめる時だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

QualcommのCEO曰く: Spectre/Meltdown問題はモバイルの世界ではとっくに対策済み

CESの記者会見でQualcommのCEO Cristiano Amonが、自動車関連やモバイル、音声アシスタント、5Gなどで同社がさまざまなパートナーシップを結んだことを発表した。そして、会見の最後に、チップ業界の焦眉のセキュリティ問題であるSpectre/Meltdownについて聞かれたAmonは、モバイルに関しては影響が小さい、と答えた。対策はすでにあるし、パフォーマンスへの重大な影響がないからだ、と。

Amonによると、モバイルには独自のエコシステムがあり、Qualcommと同社のパートナーたちは12月に最初のパッチをリリースしている。彼はモバイルのセキュリティに関する一般論としてこう述べた: “いくつかの点でモバイルのエコシステムは独特だ。ユーザーが、アプリストアからダウンロードすること。さらに加えて、AndroidとARMに関しては、一部のOEM向けには12月という早い時期にパッチをリリースしている”。

彼は、エコシステムに対して迅速に率先してソリューションをリリースしたGoogleとARMを賞賛した。“対策が早い時期からあり、正しいメモリマッピングをグローバルなエコシステムがすでに採用しているから、弊社とモバイルのエコシステムに関しては不安がない”、と彼は語った。

デスクトップやラップトップ、サーバー向けのチップを作っている界隈からは、これほどの楽観論は聞かれない。しかしモバイルのエコシステムは彼の言うとおり独特であり、ユーザーはパッチのアップデートとインストールが比較的早い。一方PCの世界では、MicrosoftがとっくにサポートをやめたバージョンのWindowsを、今でも多くのユーザーが使っている。

Maker:0x4c,Date:2017-9-5,Ver:4,Lens:Kan03,Act:Lar01,E-ve



[原文へ]
(翻訳:iwatani(a.k.a. hiwa

QualcommのCEO曰く: Spectre/Meltdown問題はモバイルの世界ではとっくに対策済み

CESの記者会見でQualcommのCEO Cristiano Amonが、自動車関連やモバイル、音声アシスタント、5Gなどで同社がさまざまなパートナーシップを結んだことを発表した。そして、会見の最後に、チップ業界の焦眉のセキュリティ問題であるSpectre/Meltdownについて聞かれたAmonは、モバイルに関しては影響が小さい、と答えた。対策はすでにあるし、パフォーマンスへの重大な影響がないからだ、と。

Amonによると、モバイルには独自のエコシステムがあり、Qualcommと同社のパートナーたちは12月に最初のパッチをリリースしている。彼はモバイルのセキュリティに関する一般論としてこう述べた: “いくつかの点でモバイルのエコシステムは独特だ。ユーザーが、アプリストアからダウンロードすること。さらに加えて、AndroidとARMに関しては、一部のOEM向けには12月という早い時期にパッチをリリースしている”。

彼は、エコシステムに対して迅速に率先してソリューションをリリースしたGoogleとARMを賞賛した。“対策が早い時期からあり、正しいメモリマッピングをグローバルなエコシステムがすでに採用しているから、弊社とモバイルのエコシステムに関しては不安がない”、と彼は語った。

デスクトップやラップトップ、サーバー向けのチップを作っている界隈からは、これほどの楽観論は聞かれない。しかしモバイルのエコシステムは彼の言うとおり独特であり、ユーザーはパッチのアップデートとインストールが比較的早い。一方PCの世界では、MicrosoftがとっくにサポートをやめたバージョンのWindowsを、今でも多くのユーザーが使っている。

Maker:0x4c,Date:2017-9-5,Ver:4,Lens:Kan03,Act:Lar01,E-ve



[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Apple、macOSの重大なセキュリティー欠陥を修正するアップデートを公開

AppleはmacOS High Sierraのセキュリティー問題を修正するアップデートを公開した。該当する人は今すぐアップデートすべきだ(Appleは今日中にこのセキュリティーパッチを自動的にプッシュ配信する予定)。このアップデートは、昨日発覚した誰でもパスワードなしで他人のMacにログインできる、という極めて深刻な脆弱性を修正するものだ

アップデートをインストールするには、Mac App Storeを開き、「アップデート」タブをクリックすればよい。リリースノートに「このアップデートはできるだけ早くインストールしてください」と書かれているのが興味深い。Appleは夜遅くまで作業してこの問題を修正した。しかし、そもそも起きてはならないことだった。

このセキュリティー欠陥はHigh Sierraの最新バージョン(少なくとも10.13.1 — 17B48以降)が動作している全Macに影響を及ぼした。ログイン画面または設定パネルのセキュリティー画面で、ユーザー名をrootにしてパスワードを入力しないと侵入できてしまう。TechCrunchで複数の人間が試したところ容易に再現できた。それ以降は自分のものではないコンピューターのすべてを見ることができる。画面共有セッションの中でもこの方法は使える。ハッカーにとって、他人のメールや個人データをアクセスする最高の方法といえる。

このアップデートのリリースノートはごく短い。「認証情報の検証に論理的エラーがあった。検証方法を改善して解決した。」とAppleは書いている。

アップデート:Appleは影響を受けている全ユーザーに対して、本日中にこのアップデートを自動的に送信する。同社は以下の声明を発表した。

「安全性はApple製品にとって最優先課題であり、macOSのこのリリースで問題をおこしたことをお詫び申し上げる。

当社のセキュリティー担当技術者は、火曜日(米国時間11/28)の午後に問題を認識した直後に、このセキュリティーホールを埋めるアップデートの制作に取りかかった。本日午前8:00からアップデートはダウンロード可能であり、今日からmacOS High Sierraの最新バージョン(10.13.1)が動作している全システムには自動的に修正が適用される。

今回の問題を深く反省し、全Macユーザーに対して、脆弱性のあるシステムを公開してまったことおよび心配をかけたことをお詫びする。当社の顧客にとってあってらならないことだった。ふたたびこのようなことが起きないよう、現在開発プロセスを見直している。」

[原文へ]

(翻訳:Nob Takahashi / facebook

MicrosoftがWebサイト診断ツールSonarをコマンドラインツールとWebサービスで提供

MicrosoftのEdgeブラウザーのチームが今日(米国時間10/25)、Webサイトのパフォーマンスやセキュリティをチェックするオープンソースのツールをリリースした。そのSonarと名付けられたツールは、Webサイトのためのlintコマンドのようなサイトスキャナーで、デベロッパーがモアベターでもっと高速かつ安全なWebサイトを作れるための、ガイドを提供する。それはMicrosoftが提供しているWebサービスを利用してもよいし、自分のワークフローやルールにツールを合わせたいデベロッパー向けには、コマンドラインツールもある。

実はこの夏MicrosoftはSonarプロジェクトをJS Foundationに寄贈したから、すでにご存知の読者もおられるかもしれない。でも今回はコマンドラインツールだけでなくWebサービスもあるから、そこにWebサイトのURLを貼り付けるだけで簡単に利用できる。

Sonarのチームは、これまでのWebサイト分析ツールのようにコードの静的な分析だけで終わるツールではない、と自負している。それはコードをコンテナの中で実際に実行するし、また複数の実行テストを並列で行える。しかもSonarは、aXe Core, AMP validator, snyk.io, SSL Labs, Cloudinaryなどの既存のツールを統合している。

さらにチームが強調するのは、問題解決の主役はあくまでもユーザーである、という点だ。EdgeのPM Anton Molledaは、今日の発表声明でこう説明している: “デベロッパーにどこがだめかを指摘するだけでなく、Sonarはそうなった理由も説明する。デベロッパーが今後の実際の方針を決められるためには、問題の理由を知ることが重要だ。Webサイトに求められている要件はサイトによってまちまちであり、画一的な判断をすべきではない。たとえばイントラネット上のWebサイトとネットショップのサイトでは、ニーズが大幅に違う。したがって、Sonarは、使いやすいだけでなく、構成と拡張の自由度が必要なのだ”。

本誌のサイトtechcrunch.comでこのツールを訓練してみたが、残念ながら、返ってくるすべてのエラーが、同じ説明なのだ: “Error in sonar analyzing this rule”(Sonarはこのルールの分析でエラーになりました)。これではあまり役に立たないが、今Webサービス版のSonarは、試してみたいユーザーで混み合いすぎているのかもしれない。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Cloud Native Computing Foundationに署名方式の強力なセキュリティプロジェクトNotaryとTUFが加わる

Cloud Native Computing Foundation(CNCF)は、コンテナオーケストレーションツールKubernetesのホームとして知られているが、そのほかにもさまざまなオープンソースプロジェクトが身を寄せている。どれも、現代的なクラウドネイティブ関連のツールで、GoogleやMicrosoft、Facebookなどをはじめ、各社において、今ではそれらの利用が日常化している。

今日(米国時間10/23)はCNCFの厩(うまや)に、Docker生まれの2頭、NotaryThe Update Framework(TUF)が入った。その最初の開発者はニューヨーク州立大学のJustin Cappos教授と、そのTandonエンジニアリングスクールのチームだ。二つは互いに関連していて、どんなコンテンツにも保護と安心の層を加えるNotaryは、TUFの実装なのだ。

これらの背後にある基本的な考え方は、単純にTLSプロトコルを使ってWebサーバーとクライアント間のコミュニケーションを保護するのでは不十分、サーバー自身がハックされることもある、という認識だ。たとえば、Dockerのコンテナを配布して、それらが安全であると保証したいなら、Notary/TUFのクライアント/サーバアプリケーションがメタデータの署名を扱うことによって、さらなる安心の層を加えるのだ。

“デベロッパーのワークフローの中で、セキュリティは後知恵になりがちだ。しかしそれでも、
デプロイされるコードはOSからアプリケーションに至るまですべての部分が署名されていなければならない。Notaryは強力な安心保証を確立して、ワークフローの過程中に悪質なコンテンツが注入されることを防ぐ”、とDockerのシニアソフトウェアエンジニアDavid Lawrenceは語る。“Notaryはコンテナの分野で広く使われている実装だ。それがCNCFに加わることによって、さらに広く採用され、さまざまな新しいユースケースが登場してきてほしい”。

たとえばDockerはこれを使って、そのDocker Content Trustシステムを実装しているし、LinuxKitはカーネルとシステムパッケージの配布に利用している。自動車業界も、TUFの別の実装であるUptane使って、車載コードの安全を図っている。

Notary/TUFについて詳しく知りたい方には、Dockerのドキュメンテーションが勉強の入り口として最適だろう。

“NotaryとTUFの仕様は、コンテンツのデリバリに関する、信頼性の高いクロスプラットホームなソリューションを提供することによって、コンテナを利用するエンタープライズの重要な課題に対応している”、とCNCFのCOO Chris Aniszczykが今日の発表声明に書いている。“これらのプロジェクトが一体的なコントリビューションとしてCNCFに加わることは、とても嬉しい。今後、これらを軸としてさまざまなコミュニティが育っていくことを、期待したい”。

Docker Platform(EnterpriseとCommunityの両エディション)や、Moby Project, Huawei, Motorola Solutions, VMWare, LinuxKit, Quay, KubernetesなどはすべてすでにNotary/TUFを統合しているから、CNCFのそのほかのツールとの相性の良いプロジェクトであることも確実だ。

NotaryとTUFが加わったことによって、CNCFを実家とするプロジェクトは計14になる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleがWebのHTTPS化の進捗状況を報告、日本の採用率は31%から55%にアップ

安全でないHTTP接続を指摘/警告するというGoogleのセキュリティ努力は、功を奏しているようだ。同社の今日(米国時間10/20)の発表によると、Android上のChromeのトラフィックはその64%がHTTPSで保護されており、昨年の42%に比べて大幅に増加した。またChromeOSとMacは共に75%あまりのトラフィックが保護され、それぞれ昨年の67%、60%からアップした。Windowsのトラフィックでは、51%から66%へ上がった。

またアクセス数上位100のWebサイトのうち71が、デフォルトでHTTPSを使用しており、昨年の37からほぼ倍増した。

アメリカ全体では、Chrome上のHTTPSの使用は、59%から73%に上昇した。

(より詳細な図表はGoogleの透明性レポートのこのページにある。)

全体としてこれらの数字は、HTTPSへの切り替えが急速に進んだことを示している。これもHTTPを危険視するGoogleの、熱心なキャンペーン努力のおかげだろう。

パスワードやクレジットカードの情報など個人情報を求めるサイトがHTTP接続を使ってる場合、そのことをChromeブラウザー上で指摘する、とGoogleが発表したのは1年あまり前だ。その後、それはさらに広がって、個人情報に限らずユーザーが何らかの入力をするHTTPサイト、そしてChromeの匿名モードも対象になった。

“HTTPSの実装は前に比べてずっと容易かつ低コストになった。しかもそれはWebのベストパフォーマンスと、HTTPでは危険すぎてできなかった新しい機能の提供を可能にする”、と当時の発表の中でChromeのセキュリティチームのEmily Schechterが書いている

Googleによると、HTTPSの採用は世界的にも増加している。たとえば日本の大型サイトRakuten, Cookpad, Ameblo, Yahoo Japanなども最近採用した。Windows上のChromeによる計測では、日本のHTTPS採用率は31%から55%にアップした。

そのほかの国でも採用が増え、たとえばブラジルでは採用率が50%から55%に上昇した。

もちろんそれは、Googleだけの功績ではない。AppleやFacebookなどの大手テクノロジー企業も、同様の努力をしている。たとえば昨年のAppleは、iOSアプリへのインターネット接続をHTTPS接続にするようデベロッパーに強制した。またFacebookのInstant ArticlesはHTTPSでサーブされている。FacebookがHTTPSを全ユーザーのデフォルトにしたのは、2013年だ。

Googleは今日の発表で、今後はほかの方法でもHTTPSの採用をプッシュする、と言っている。それはたとえば、最近発表したGoogle App Engineのための管理を伴うSSLだ。またGoogleのトップレベルドメインは今後すべて、デフォルトではHSTS(HTTPS Strict Transport Security)で保護される〔リクエストURL中のhttpを強制的にhttpsに換える〕。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GitHubがユーザーコードの安全でない依存性を警告、コードの見つけやすさも改善

オンラインのコードリポジトリGitHubが今週、例年のカンファレンスを開催している。テクノロジー業界の長年のやり方に倣って同社は、このイベントを利用してサービスの新しい機能をいくつか発表した。今回の大きなテーマは二つ、セキュリティと発見性(discoverability, コードの見つけやすさ)だ。

近年はハッキングの被害がますます増えているから、ユーザーから預かったコードのセキュリティをGitHubが重視するのも当然だ。同社がとくに問題にするのは、最近のプロジェクトの多くが非常に多様なサードパーティのライブラリなど、外部資源に依存していることだ。

そこで今回GitHubがローンチしたのが、“依存性グラフ”(dependency graph)だ。これによりデベロッパーは、自分のコードが利用しているほかのパッケージやアプリケーションを一望にできる。当面RubyとJavaScriptのコードだけだが、近くPythonもサポートされる。すべての依存性が一望的に分かれば、それを標準的な脆弱性データベースと対照して、やばいものが使われていたらデベロッパーたちに通知できる。GitHub自身の通知警報機能は“もうすぐ提供”だそうだから、それまでは各自の取り組みが必要だ。

GitHubのチームによると、同サービス上のプロジェクトの75%以上に何らかの依存性があり、その半分以上に10以上の依存性がある。そして依存性が100を超えるプロジェクトも、昨今では珍しくない。

発見性に関しては、GitHub上には今や2500万あまりのアクティブなレポジトリーがあり、デベロッパーが関心を持ったコードをその中に見つけるのが容易ではない。この状況を改善するために同社は、ニューズフィードを一新してリコメンデーションを含めることにした。リコメンデーションは、ユーザーが誰々をフォローし、どのリポジトリーをスターし、また今GitHub上で何に人気があるか、といった情報に基づいて作成される。また“Explore”と呼ばれる人間が編集するセクションでは、機械学習やゲーム開発など、分野別のプロジェクトやリソースをまとめて紹介する。

また、有料のGitHub Enterpriseでは、30分以内のお返事を約束するプレミアムサポートと、コミュニティフォーラム、Marketplace機能のトライアル、チームディスカッションツールなどが提供される。そこではもちろん、どのコードがどこにあるか、ということも話題になる。

GitHubのデータサイエンティストMiju Hanはこう言う: “GitHubの上で人間がやってることを、明日になれば人工知能がやってくれるなんて、ありえないからね。GitHubでは基本がいちばん重要。基本を良くしていけば、長期的には最良のデータが得られるようになる”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

CloudflareはDDoS攻撃の間のクラウド利用を無課金にして顧客の被害を軽減

Webパフォーマンス/セキュリティ最適化サービスとして人気の高いCloudflareは今週で7歳になるが、顧客への感謝のプレゼントとして、DDoS被害軽減策を提供することになった。すなわちDDoSがその攻撃で使用/浪費した帯域(および時間)はユーザーに対し無課金とし、攻撃の続く間、ユーザーのサイトを同社サービスから(実質的にインターネットから)切り離す。

CloudflareのCEO Matthew Princeによると、DDoS攻撃の間の無課金は、攻撃のサイズの大小を問わず、また無料プランから最上位のエンタープライズプランまで、利用プランのレベルを問わない。

Princeの言うとおりこれは思い切った決断だが、結果的には同社の今後の成長にも寄与する、という。今やDDoS攻撃はありふれているから、少なくともネットワーキングの費用面でその心配がなくなると、Cloudflareの利用を前向きに検討する顧客が増えるはずである(もちろん事業機会の損失は依然としてあるが)。“これまでは、攻撃の規模が大きくなると、顧客への請求書の額も肥大していた。また、防御対策の費用も膨張する”、とPrinceは説明する。

ふつうは、ユーザーがDDoS攻撃を受けると、攻撃のピーク時の使用帯域をベースとして課金額が計算される。しかしPrinceは曰く、“しかしこれらの攻撃は毎秒数百ギガビットという規模だから、帯域課金だけでもすぐに数十万ドルのオーダーになってしまうのだ”。

通常は、数十万ドルになる前にクラウドがそのユーザー(顧客)を切ってしまうが、そうなるとユーザー視線ではネットワークリソースがより希少なものになる。Princeによると、クラウドサービス側がユーザーを勝手に切ってしまう従来のやり方は、“粗暴かつ無作法である”。それは、顧客を犠牲にして犯人に譲歩していることであり、攻撃終了後にクラウドサービス側が顧客に高額な請求を送ることは、DDoSの犯人が顧客から金を巻き上げようとすることと変わらない。

同社の数年前の誕生日には、やはり当時としては異例の、無料の暗号化サービスを立ち上げた。“無料の暗号化をデフォルトで提供し始めたときは、クレージーだ、絶対うまくいかない、と言われた。でも4年経った今では、ほとんど業界の標準慣行になっている”、と彼は語る。

Princeの期待は、DDoS無課金もやはり、業界の標準慣行になることだ。“4年後には、DDoSの帯域被害額==ゼロ、が常識になるだろう。インターネットが、もっと良い場所になるね”、と彼は言う。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

GoogleのSafe Browsingツールは30億台のデバイスを保護している

Googleが今日、ユーザーを危険そうなサイトから守る同社のSafe Browsingサービスが、今や30億あまりのデバイスを保護している、と発表した。このサービスは右図のような警告メッセージを表示して、デスクトップとモバイルのChrome, SafariおよびFirefoxのユーザーを、危険と思われるサイトに行けないようにするが、対象機は2013年には10億、2016年5月には20億だった。

このサービスはGoogleのマルウェア対抗ツールの最初の試みのひとつで、2007年に同社の旗艦的サービスである検索の機能として導入された。その後、SafariとFirefoxがこのサービスを採用し、さらに多くのWebデベロッパーやアプリデベロッパーも採用した(たとえばSnapchat)。

しかしSafe Browsingの基本的な考え方は、今も変わっていない。ユーザーがこれから行こうとするサイトが詐欺的だったりマルウェアのホストのようだったら、ユーザーにそう告げる。

なお、Android上のChromeでSafe Browsingがデフォルトで有効になったのは、つい最近の2015年だ。2016年の対象機の急増は、そのせいである。

Googleは今日の発表の中で、Safe Browsingは機械学習を使って悪質サイトの検出精度を上げ、また、つねに最新の技術を評価し統合して改良に努めている、と述べている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

ハッキングされたEquifax、株価がまた8%ダウン

信用調査最大手のEquifaxは、1億4300万人分のアカウント情報がハックされたと9月7日に発表した。それ以来株価は急降下し投資家はさらに下落すると予想している。

同社株は金曜日(米国時間9/8)に14%下落し、月曜日(同9/11)にも8%下げ、時価総額にして数十億ドルが消えた。月曜日の終値は113.12ドルだった。

これは史上最も影響の大きいサイバー攻撃と考えられる。米国人の半数近くの個人情報が流出したのだから。漏洩したデータには社会保障番号、信用度スコアなどが含まれ、銀行口座の詳細データを盗まれた例もあった。

さらに、Equifaxの幹部らはハッキングの事実を知りながら持ち株を売ったという疑惑をもたれて非難を浴びている。Equifaxは、問題の幹部は株を売った時点でハッキングを知らなかったと説明した。疑惑をもたれている幹部の一人が同社のCFOであることを考えると、なんとも驚きだ。

金曜日に配信されたTechCrunchの“Equity” ポッドキャストで詳しく取り上げている。

[原文へ]

(翻訳:Nob Takahashi / facebook

Googleがプライバシーとセキュリティ設定/チェック用ダッシュボードのデザインを一新

Googleが今日(米国時間9/8)、あなたのGoogleアカウントのプライバシーとセキュリティを設定するダッシュボードページを新しくした。ユーザーはここで、プライバシーの設定をチェックしたり変えたり、個人化された広告を拒否したり、ユーザーのデータにアクセスしているGoogle以外のサービスを見たりできる。今日の変化はささやかなもので、新しいコントロールは何もないが、同社によると、これまでほとんど使い物にならなかったモバイルのページを使いやすくしたそうだ。

Google Dashboardローンチしたのは2009年だったが、最初は検索やメールをチェックできるだけだった。その後だんだん、Googleのサービスの多様化とともに大きくなったが、プライバシーの活動家たちは、ユーザーデータを知ることに関するGoogle自身に対する規制が今だにゆるい、と批判するだろう。

Googleは今日の発表の機会を借りて、珍しくも、Google Dashboardに関する数字を明らかにした。それによると今日まで、1億5000万あまりの人がMy Activityタブで、検索、地図、YouTubeなどGoogleのさまざまなサービスの上の、自分の活動をチェックしている。

またGoogleのサービスからユーザーのデータをエクスポートするGoogle Takeoutは、毎月100万回以上使われている(意外と多いね)。ユーザーがダウンロードしたデータ量は、2011年のローンチ以降の合計が1エクサバイト以上だそうだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

米信用情報サービスEquifaxのデータ漏洩、被害者は最大1.43億人に

今やデータ漏洩は日常茶飯事で、感覚が麻痺してしまいがちだが、今日(米国時間9/7)消費者信用情報サービスのEquifaxが発表した事態はただごとではない。最大1億4300万人のデータが漏洩したおそれがある。これはまずい。

悪党どもにとってこの種のデータは情報の宝の山であり、そこには社会保障番号、誕生日、住所、さらには運転免許証番号が入っているものもある。これだけでは不足だと言うのか、20万9000人のクレジットカード情報と18万2000人の消費者を特定できる情報を含む証拠書類も流出した。

流出情報の出所は主に米国在住者だが、英国およびカナダの住民も関わっており、同社はそれぞれの当局と協力して調査を進めている。

Equifaxの報告によると、漏洩に気づいたのは7月29日で、すぐに侵入を防ぐ措置を行った。その後サイバーセキュリティ会社に依頼して漏洩範囲と被害状況を確認した。警察も介入していると同社は伝えているが、犯人がどうやってシステムに侵入し何を奪ったのか、現時点では明らかになっていない

関連記事

Equifax data breach help site leaves consumers with more questions than answers
Equifax execs dumped stock before the hack news went public

同社は専用ウェブサイト、www.equifaxsecurity2017.comを立ち上げ、消費者が漏洩の有無や範囲を調べられるようにしている。こうした事件の後にはよくあることだが、Equifaxは信用情報モニタリングや個人情報盗難保護などのサービスを無料提供しているので、影響を受けた人は利用するのもよいだろう。

これは純粋な数値でいえば、史上最悪の事件ではない。その汚名は今やOath(TechCrunchの親会社Verizonに買収された)傘下となったYahooに帰する。昨年同社は 10億人以上のユーザーを巻き込む漏洩事件を起こした。

しかし、今回の事件が特に厄介なのは、Equifaxが信用情報サービスであり、消費者の生活、クレジットカード、信用度などの履歴を追跡していることだ ―― そしてこの個人情報の金鉱がブラックマーケットに渡る恐れがある。

[原文へ]

(翻訳:Nob Takahashi / facebook

セレブを含む数百万のInstagramアカウントの個人情報をハッカーが盗んで売っている

[↑Selena Gomez]

今週初めにハッカー集団がInstagramの600万のアカウントの電話番号とメールアドレスをバグを利用して盗み、その情報を今、Web上で売っている。

ハッカーたちは主に、セレブなどいわゆる名のあるユーザーをターゲットにし、たとえばSelena Gomezは、アカウントを2日前にハックされた。彼らはInstagramのシステムのこの欠陥を利用して、Gomezの元カレJustin Bieberのヌード写真を、彼女の1億2500万のフォロワーにポストし始めた。

ハッカーたちからDaily Beastに送られてきたリストには、セレブやスポーツ選手、メディアの人気者など、およそ1000名の有名人が載っていた。

無名の人たちの情報も盗まれ、その巨大なデータ塊はビットコインで1件につき10ドルで売られているという

Instagramは、そのセキュリティバグの存在を認めたが、被害者であるユーザー数は少なめに言っている。

InstagramのCTO Mike Kriegerは曰く、“被害に遭ったアカウントを具体的に特定することはできないが、アカウント全体の小さなパーセンテージであったと信じている”。

Instagramは7億あまりのアカウントにサービスしているが、600万はそれだけ見れば決して小さな数ではない。しかもその多くは、人気者たちの電話番号やメールアドレスではないか。

しかし、ハッカーからの情報を売っているサイトDoxagramは、今ダウンしているようだ。Instagramの努力でサイトが閉鎖されたのか、それは分からないが、本誌は今問い合わせているところだ。

情報を売るサイトが使えなくても、まだハッカーたちの手元には有名人アカウントのコンタクト情報などがある。それらをほかの方法で売ることもできるだろう。すでに誰かが買って、Web上にばらまいているかもしれない。

Instagramによると、その後問題を修復し、今は警察の捜査に協力しているそうだ。それでも、そのバグはInstagramのシステムの脆弱性を暴露したのだから、個別の問題を直すだけでなく、もっと抜本的なセキュリティチェックが必要なのではないか。

Kriegerはこう書いているけどね: “コミュニティの安全は最初からInstagramの重要課題であり、われわれはInstagramをより安全な場所にするために日々コンスタントに努力している。今回の事件は、まことに申し訳ないと思っている”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Amazon MacieはAWSのユーザー企業のクラウド上のデータ保護を機械学習で強化する

AmazonのクラウドコンピューティングサービスAWSが、今日(米国時間8/14)行われた今年のNY Summitの場で、Amazon Macieという新しいサービスを立ち上げた。Macieは、機械学習を利用してクラウド上の機密データをより強力に保護する。当面は、Macieを使って、AmazonのS3ストレージサービスにある個人を特定できる情報や知財を保護でき、年内にはAWSのそのほかのデータストアもサポートされる(たぶん11月のre:Inventカンファレンスで発表されるだろう)。

このサービスは完全に管理され、機械学習を使ってデータのアクセスをモニタし、異状を検出する。疑わしいアクションがあればユーザーに警告し、ユーザーがデータリークやその原因を(ヒトによる犯行以外のものも含め)見つけられるようにする。そのためにこのサービスは、S3に入ってくる新しいデータを継続的にモニタする。そして、通常のアクセスパターンを学習して理解し、またストレージバケット内のデータの正規の形を理解している機械学習を利用する。

このサービスはまた(アメリカの場合)、ヒトのフルネームや、住所、クレジットカード番号、IPアドレス、免許証番号、社会保障番号、誕生日などを自動的に検出するが、指定によりさらに、メールアドレスやSECのフォーム、データログ、データベースのバックアップ、ソースコードなども自動的に検出できる。

これらの高リスクデータはすべてダッシュボード上で高輝度表示され、またそれらにユーザーやそのほかのアプリケーションがどのようにアクセスしているかも示される。

AWSのサービスはどれも料金が複雑だが、このMacieサービスでは各月のイベントの数とデータ量が料金計算のベースになる。最初は、ユーザーのデータの特性や分類を機械学習におぼえさせるため、最初の月の料金は高くなる。

今Macieを利用できるのは、AWSのU.S. East(Northern Virginia)とU.S. West (Oregon)リージョンだけだが、今後徐々に拡張されるだろう。

このほかAmazonは今日、さまざまなデータベースやストレージサービスにロードするデータを準備するサービスGlue発表した。それはすでに、すべての顧客が利用できる。

さらに同社は今日のイベントを機に、ワークロードの一部をクラウドへ移したい企業のためのマイグレーションハブをローンチし、、またElastic File Systemのアップデートにより暗号化された状態での保存がサポートされ、それと並んでキー管理のためのAWS ConfigAWS CloudHSMもアップデートされた。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Sandsifterはプロセッサーの隠れ命令を見つける、それは未来の凶悪犯かもしれない

今のご自分の被害妄想はまだ足らない、とお思いだろうか? そんな方のためにSandsifterがある。ハッカーたちのカンファレンスDefcon 2017で発表されたばかりのこのプロジェクトは、今お使いのx86プロセッサーの隠れた命令やバグを探しだす。これを作ったBattelle InstituteのChristopher Domasはこう書いている:

“Sandsifterはすべてのメジャーなベンダーから秘密のプロセッサー命令や、アセンブラーや逆アセンブラーやエミュレータの至るところにあるソフトウェアバグ、エンタープライズハイパーバイザーの欠陥、そしてx86チップの無害なバグとセキュリティにかかわる重大なハードウェアバグを見つけた。”

このプログラムは、実際にテストする命令の数を管理可能な10万にまで減らしている。その一つ々々を実行して、異状があったら記録し、後で精査する。彼が見つけたと信じているもっとも重大なものは、某チップ上のいわゆる“停止と発火”(halt and catch fire)命令だ。この種の命令で最初に見つかったのは、Pentiumチップ上のf00fで、実行されるとコンピューターを瞬時にシャットダウンし、データはすべて失われる。その“f00f”的な命令が、20年ぶりに見つかったのだ。

ほとんどの場合、異状は何も見つからないだろうが、ドキュメントに載ってない命令が今後あなたが導入するプログラムでいたずらをするかもしれない。そう考えると、テストするのもわるくはない。プロセッサー用のchkdskだ、と考えるとよいだろう。

Sandsifterはここでダウンロードでき、あなたのコンピューターに逆アセンブラーエンジンCapstoneがインストールされていれば動かせる。システム全体をスキャンするのに数時間かかることもあるが、でもDomasは、異状に遭遇したら参考のためにログをぜひ送ってくれ、と言っている。

こんなツールを実際に作る人はめったにいないから、すばらしい偉業だ。チップの内部を探究できるだけでなく、使い方が簡単だから、誰かが秘かに仕組んだ悪戯を見つけることもできるだろう。そう思うと、とても有益なツールだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

G Suiteのユーザーが未承認デベロッパーのアプリケーションを使おうとしたら警告画面が出る

Googleはこのところ、G Suiteのセキュリティ対策に熱心で、とくに最近の数か月は 、フィッシング対策ツールOAuthのアプリケーションホワイトリスト機能アプリケーションレビュープロセスの強化など、立て続けに新しいセキュリティ機能を導入してきた。今日(米国時間7/18)はそれらにさらに上乗せして、新しいWebアプリケーションやApps Scriptに対して、警告のための“未承認警告画面”(下図)が出るようになった。

この画面は、OAuthのGoogleによる実装を使ってユーザーデータにアクセスしているアプリケーションが、Googleの承認プロセスを経ていないデベロッパーの作であったときに出る。それによりユーザーは、これから使おうとしているアプリケーションが未承認であり、それでも使うなら自己リスクで使うことになるぞ、と自覚を促される。“続ける”ボタンや“OK”ボタンのような便利なものはなくて、そのまま続行するためにはキーボードからわざわざ”continue”と入力しなければならない。迂闊で不注意なユーザーを減らすための、工夫だ。

一応考え方としては、画面にアプリケーションとデベロッパーの名前が出るのだから、それだけでもフィッシングの危険性を減らせる、と言えるだろう。

Googleによれば、ユーザーはこの、突然お邪魔する画面を無視できるのだから、デベロッパーは承認プロセスを経ずに、もっと簡単にアプリケーションのテストができる。

Googleは今日の発表声明でこう言っている: “ユーザーとデベロッパーの健全なエコシステムを作りたい。これらの新しい警報によって、リスクの可能性をユーザーに自動的に伝え、ユーザーは自分が状況を知ってる状態で、自主的な判断ができる。またデベロッパーは、これまでより容易にアプリケーションのテストができる”。

同様の保護が、Apps Scriptにもかかる。デベロッパーはApps Scriptを書いてGoogle Sheets, Docs, Formsなどの機能を拡張できるが、ユーザーにはやはり、上図のような警告画面が提供される。

今のところ、警告画面が出るのは新しいアプリケーションのみだ。しかし数か月後には、既存のアプリケーションにも出るようになる。既存のアプリケーションのためにも、デベロッパーは承認プロセスを経た方がよいだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))