タグ: Security

iMessageの写真、ビデオ、ファイルの暗号化が解読されるセキュリティホールが見つかる

encryption

暗号化は猫と鼠のゲームだ。Johns Hopkins University(ジョンズホプキンス大学)の研究者たちが、そのことを証明するすごい方法を見つけた。彼らが Washington Postにシェアした研究によると、iMessageで送った写真やビデオやファイルの中身を見られてしまう、深刻なセキュリティホールが見つかったのだ。

iMessageは最初から、暗号化されたメッセージングプロトコルだ。ユーザーがiMessageを送ると、デバイスはAppleのサーバーとのセキュアな接続を開く。メッセージはユーザーのスマートフォン上で秘密鍵を用いて暗号化され、Appleのサーバーへ送られ、相手に届く。そして彼/彼女のスマートフォン上で、メッセージは解読される。

したがってユーザーのメッセージはAppleのサーバー上では解読不能な寝言の集まりだ。Apple自身は、メッセージを解読するための鍵を持っていない。

しかしJohns Hopkins Universityの研究者たちは、ホールを見つけた。メッセージは解読できないが、写真やビデオやファイルを横取りする方法を見つけたのだ。

ファイルは、64ビットの暗号鍵による弱い暗号化方法を使ってきた。研究者たちは、Appleのサーバーのふりをして暗号化されているファイルを横取りするサーバーを開発した。そしてAppleは失敗回数を制限していないので、彼らは何千もの鍵を試した。この力づくのやり方で研究者たちは、誰にも気づかれずに、Appleのサーバーからのファイルを解読できた。

Washington Postによると、すでにiOS 9以降では、デバイスから来るファイルを解読することは困難になっている。しかしそれでも、NSAなどなら解読できるだろう。政府機関やハッカーが、この方法を実際に使っているかは、不明だ。

幸いにもAppleはすでに対策を開発し、今日(米国時間3/21)リリースされるiOS 9.3にはそれが実装されている。ハッキングのやり方は公表されていないし、Appleがそのセキュリティホールを閉じたら研究チームはホワイトペーパーを共有する予定だ。

このハックは、暗号化が完全ではありえないことを、あらためて証明している。セキュリティホールはつねにあり、ハッカーたちはそれを見つける。そしてAppleのような大きなソフトウェアメーカーは、ホールを塞いでハッカー鼠たちを追い払おうとする。だから、ご自分のデバイスにパッチをインストールすることは、とても重要だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

CoreOSのコンテナセキュリティスキャナーClairがベータを脱してv.1.0へ

shutterstock_145340113

CoreOSが昨年11月に最初のプレビューを発表した、DockerコンテナのセキュリティチェックツールClairが今日、ベータを終了してClair 1.0のローンチに到達した。

デベロッパーは既製のコンテナに依存することが多く、同じものを再利用することもよくあるから、その中のソフトウェアを安全に保つことはきわめて重要だ。しかも問題はマルウェアばかりではなく、セキュリティの弱点があると分かっている旧版のパッケージが、そのまま使われていることもありえる。

clair-1.0-embed

CoreOSが同社のコンテナレジストリQuayにあるコンテナを調べたところ、検出された脆弱性の約70%は、コンテナの中にあるパッケージをアップグレードするだけで解消するものだった。

“インストールされているソフトウェアを最新バージョンにアップデートすれば、インフラストラクチャの全体的なセキュリティも向上する。したがってコンテナイメージのセキュリティ脆弱性を分析することと並んで、Clairが見つけたそれらの問題を解決するアップデートのための、明確な手順や方式を確立しておくことが重要である”、と同社は主張している。“コンテナイメージは頻繁にアップデートされないことが多いが、しかしClairのセキュリティスキャンニングにより、ユーザーは問題のあるイメージをより容易に見つけてアップデートできる”。

CoreOSによると、最初の発表から今日のv.1.0までに、多くの変更をClairに加えている。それらは、サービス全体をより拡張しやすくすることや、REST APIの改良などだが、Clair 1.0でいちばん重要なのは、検出された脆弱性の詳細説明が提供されることだろう。

coreos_clair_schema

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Google、ChromeOSバグ探し懸賞の最高賞金を10万ドルに倍増

acerchromebook11

2015年にセキュリティー賞金稼ぎに200万ドルを支払ったGoogleは今日(米国時間3/14)、重大なセキュリティー欠陥を発見した場合の報酬を倍増し、最大報奨金額を5万ドルから10万ドルに引き上げた。

Googleは、Chormeのセキュリティーに極めて真剣に取り組んでおり、Chomebook、Chromeブラウザー、およびChrome OSの脆弱性を見つけたハッカーを対象に、バグ探し報奨金を2010年から設定している。

昨年Googleは200万ドル以上のセキュリティー報奨金をハッカーに支払った。

昨年Googleは200万ドル以上のセキュリティー報奨金をハッカーに支払った。

関連記事

Google Launches Bug Bounty Program For Android With Rewards Up To $38,000
AppleがMac OS Xをターゲットとする身代金要求型マルウェアを早急に無効化
Google Introduces Two New Sub-$250 Chromebooks In India
With 1M Sold In The Last Quarter, Google's Chromebooks Are A Hit With Schools

Chromeオペレーティングシステムは、Mac OSやWindowsのようには成功していないが、学校でニッチを見つけた。その段階的な成長と低価格、およびターゲットユーザーが、このOSに独自のポジションを与えた。
ChromebookノートPCを最低150ドルから提供することで、プラットフォームは新興国や初回コンピュータ購入者にとって理想的な低価格の選択肢になった。その結果Chromebookは、伝統的に必ずしもセキュリティーに気を配らない人たちの人気を獲得することとなり、ChromeOSのセキュリティーを適切なものにすることは、いっそう重要になった ― 中でも報奨プログラムは鍵となる部分だ。

報奨プログラムで引き上げられた最高賞金の対象は、「ゲストモードでのChromebookの恒久的侵害」。言い換えると、ゲストモードでハックされたChromebookが、リブート後もハック状態であり続けることだ。

Googleは、金額が5万ドルだった時に、この賞金を支払ったことはないが、対象を説明する文言から、Googleがこの種の障害を優先的に防ごうとしていることが見てとれる。会社はゼロデイ攻撃を未然に防ぎたいのだ。Googleは最も悪質な浸害に対して賞金を10万ドルに上げることでハッカーたちを引きつけ、悪の手に脆弱性を利用されることなく、Chromeチームが問題を解決できることを間違いなく願っている。

[原文へ]

(翻訳:Nob Takahashi / facebook

誰かがあなたのiPhoneをこんなに簡単にハックしてるかもしれない

shutterstock_278913779

FBI vs. Appleの論戦はいよいよ盛り上がっているが、意外にも、iPhoneをハックするのは簡単なのだ。SkycureのCEO Adi Sharabaniが私のiPhoneを取り上げて、それに他人が簡単にアクセスできることを見せてくれた。ただし彼は、自分のスマートフォンのセキュリティを維持するためのコツも、教えてくれた。

関連記事

Post-Funding Round, Skycure Launches Its Mobile Hacker Detection Software
BYOD Startup Skycure Inks $3M Seed Round With Israeli VC Pitango

 
 

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))

Appleのソフトウェアエンジニアリング責任者曰く:FBIの要求は全iOSユーザーの安全を脅かす

shutterstock_335319038

Appleのソフトウェアエンジニアリング担当上級副社長(WWDCの人気プレゼンターでもある)、Craig Federighiは、同社に対するFBIの要求が、全iOSユーザーを不法侵入に対して脆弱にするものであることを、Washington Postの意見記事で語った。

Appleは現在、12月2日にカリフォルニア州サンバーナーディーノの社会福祉センターで、14名を殺害した銃乱射事件犯の一人が使用したiPhone 5cを、FBIがアンロックするためのソフトウェアを、新規に開発することを強制する裁判所命令を係争中だ。同社は再三 ― 顧客に向けた公開書簡および下院司法委員会の公聴を含む ― そうすることは、全iOSユーザーのセキュリティーを侵害する前例を作ると主張している。

Appleの立場は、2月末にニューヨークで起きた別件だが類似の事例で、地方裁判所判事がAppleに有利な裁定を下したことで強化された。同裁定は政府によるiPhoneの情報要求を却下し、政府はAll Writs Act[全令状法]によって端末のパスコードを解除するようAppleに強制する権利を有することを証明できなかったとした。

Federighiは「FBIはわれわれが犯罪者の一歩前にいられるための予防措置を後退させたがっている」と題した論説記事に、FBIの要求はAppleが現在の暗号化技術を侵害しし、同社技術者の長年の努力を無効化することで犯罪者が悪用できるセキュリティーホールを作ることを強要していると書いた。

FBI、司法省およびその他の法執行機関が、安全性の低い時代、安全性の低いテクノロジーへと時計を戻すことを、われわれに強要していることに失望している理由はそこにある。彼らは、iOS 7の安全措置は十分強力なので2013年の安全基準に戻すだけでよい、と示唆しているが、当時は最先端だった技術も今はハッカーに破られている。さらに悪いことに、一部の方法は製品化され、技術力の低い概してより悪質なアタッカーに販売されている。

Appleの安全措置を回避するために、FBIは当社に特殊ソフトウェアの形でパスコード保護を回避できるバックドアを作らせ、政府がiPhoneに侵入できる脆弱性を意図的に作ろうとしている。このソフトウェア ― 法執行機関は他の多くのiPhoneに対して使いたい考えがあることを認めた ― が一たび開発されると、ハッカーや犯罪者がわれわれのプライバシーや個人の安全を脅かすために利用する弱点になる。

本件の裁定結果は、顧客の機密データを保護する必要のある、あらゆるIT企業に影響を与える可能性がある。Box、Google、Facebook、Microsoft、Square、Twitter、およびLinkedInは、Appleを支持する法廷助言書を提出した。国連の人権委員会もAppleを支持する声明を発行した。

Apple vs FBI

[原文へ]

(翻訳:Nob Takahashi / facebook

ホワイトハッカーが脆弱性を検証する「Bug Bounty」が正式サービス開始、バイドゥなどが導入

直近にも仕様変更を実施したLINEだが、2015年3月に脆弱性(現在は修正版を配信済み)についてのアナウンスを出したのを覚えているだろうか? これを発見したのが2012年設立のセキュリティ会社・スプラウトだ。最近では、スマートロック「Akerun」の脆弱性の発見も同社が行ったという。

同社はセキュリティの調査やコンサルティングを行う一方で、世界のホワイトハッカー(善意のハッカー)をネットワーク化。クライアント企業のバグや脆弱性を発見することで報奨金を付与する「THE ZERO/ONE – Bug Bounty」を展開している。2015年11月から試験的に提供してきたサービスだが、3月2日より、正式にサービスを開始した。

Bug Bountyでは現在、ホワイトハッカー約70人をネットワーク化。彼らがクライアント企業の脆弱性について、定められたルールに基づいて調査を実施。問題が見つかった場合は、対価として報奨金を支払う仕組みだ。

企業側の初期費用は0円。サイトに調査を依頼したいプロダクトや調査対象範囲報奨金などを公開すれば良い。募集方法は現行のプロダクトをそのままないし一部URL・ドメインに限定して調査する「オープン型」や「限定型」、調査用の環境を用意する「疑似環境型」から選択できる。報奨金は脆弱性のリスクや難易度に応じて最低5000円から設定する。同社が目安として設定しているのは、SQLインジェクションの発見で20万円〜、クロスサイト・スクリプティングで5万円〜。スプラウトでは報償額の25%の金額を手数料として徴収する(企業側は報償額の125%をスプラウトに支払うことになる)。

スプラウトでは2015年11月から自社サービスについての調査を実施しているが、これまで計26件の報告があり、そのうち12件が有効なもので、約20万円の報奨金をハッカーに支払ったという。「小さなバクだけなので金額的にはまだ少ないが、(件数として)はまあまあの数字」(スプラウト)。

3月からは百度(バイドゥ)のほか、上場企業を含む計4社の導入が決まっているという。バイドゥといえば2015年11月にもAndroidアプリでトラブルを起こしたばかり。果たしてBug Bountyの導入で変化はあるのだろうか。調査の結果が気になるところだ。

パスワードマネージャーDashlaneがYubiKeyによるワンタイムパスワードで自己をより安全化

dashlane-yubikey

DashlaneLastPassなどのパスワードマネージャーを使うことは、インターネット上で安全であるためのベストの方法の一つだろう(本当は誰しもパスワードの使い回しをしたくないのだから)。でもパスワードマネージャーそのものが単純なパスワードだけで守られているのなら、かなり問題だ。

しかしDashlaneの有料ユーザーは、このサービスが今度からYubicoのYubiKey(s)をサポートするから、自分のパスワードをより安全に保てる。

これによってDashlaneは、消費者向けアプリケーションでYubiKey(s)をサポートしているGoogleやDropbox、GitHubなどの企業の仲間入りをする。

Dashlaneと競合しているLastPassもYubiKey(s)をサポートしているが、ただしこの機能を使えるのはDashlane同様、有料ユーザーのみで、しかもLastPassはやや古いOTPプロトコルを使っている。対してDashlaneは、より現代的な2nd Factor(U2F)認証プロトコルを使っている。

YubiKeyをDashlaneで使うときの使い方は、ほかのサービスで使う場合とそれほど変わらない。最初は、セットアッププロセスを単純にこなしていくと、やがて、キーを挿入せよと言われ、そこでセットアップは完了する。そして、今後このサービスにログインするときは、まずパスワードを入力して、次にプロンプトに従ってYubiKeyを挿入する。そして下図のようにキーをタップすると、サービスに入れる。

DashlaneAndYubiKey@2x

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Gmailの企業ユーザー向けのセキュリティ機能が向上–DLPサービスをアップデート

9027029071_ab7695723b_o

Googleが今日(米国時間2/29)、Gmailの企業ユーザーのための新しいセキュリティ機能をいくつか発表した。昨年同社はGoogle Apps Unlimitedのユーザーのために、機密データがメールに入り込まないようにするためのData Loss Prevention(DLP)機能をローンチした。そして今日同社は、このサービスの初めての大型アップデートを、サンフランシスコで行われているRSA Conferenceでローンチした。

DLP機能により企業は、メールに乗ってその企業のファイヤーウォールを出入りしてもよい機密情報の種類を指定できる。

2016-02-29_1306

DLP for Gmailの今日発表されたもっとも重要な機能は、添付ファイルをOCRでスキャンして機密情報や不適切な言葉を見つける機能だ。前者はたとえばクレジットカードの番号、運転免許証の番号、社会保障番号など、後者は悪口や秘密プロジェクトのコードネームなどだ。

DLPはこれまでも添付ファイルをスキャンできたが、画像ファイルの中の社会保障番号などは検出できなかった。これからはDLPは、アドミンの指定に基づいて、それらの語や番号などのある画像ファイルも排除できる。

また今回のアップデートで、DLPが検出できる情報や、とくに個人を同定できる情報の種類も各国ごとに増え、とくに合衆国ではHIPPAデータも広くカバーすることになった〔参考資料〕。

さらに今日のアップデートでは、ルール違反の数に基づいてアドミンが容易に、メールの扱い方を変えることができるようになった。たとえば、クレジットカード番号が一つだけあるメールは当人に書き直しを命じるが、ルール違反が50件以上もあるメールは問答無用で拒絶する、といった扱い方のバラエティだ。

またこのサービスが提供している各種検出機能のゆるさや厳しさをアドミンが指定できる。これによりたとえば、違反の“偽陽性”を防げる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

一部ユーザーのメールや電話番号を侵すバグをTwitterが修復

shutterstock_329646476

Twitterからの今日(米国時間2/17)の発表によると、同社は先週、パスワードリカバリシステムに24時間存在したバグを修復した。その間に1万弱のアクティブアカウントに影響が及んだが、そのバグは、それらのユーザーに結びついているメールアドレスと電話番号を露呈した可能性がある。影響を受けたアカウントには、すでに通知済みである。

Twitterによると、同社はこの件を警察に通報して、このセキュリティバグを悪用して誰かのアカウント情報にアクセスしたユーザーが見つかれば、彼らを取り調べてもらう、という。本誌TechCrunchは今、同社が実際にそうしたのかを、問い合わせ中である。

このバグの影響が及んだのはTwitterの3億2000万のユーザーのごく一部にすぎないが、しかしそれでも、二重認証など、同社が推奨する“良質なセキュリティのための身辺衛生”に、あらためて気をつける契機にはなる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

非正規ショップでiPhoneのホームボタンを修理交換した人は、iOS 9を「絶対に」導入しないこと

iphone-6-touch-id

iPhoneのパーツがおかしくなってしまったような場合、非正規の代理店に持ち込む人もいることだろうと思う。ただしホームボタンが壊れた場合は、絶対に正規店に持ち込む必要があるようだ。ガーディアンの記事によると、Appleの導入したTouch ID保護に関わる「Error 53」というエラーにより、たくさんの人がiPhoneを操作できなくなるという事態になっているそうなのだ。このエラーに遭遇すると、iPhoneではあらゆる操作が行えなくなってしまう。

「Error 53」が発生してしまう原因は、iPhoneのホームボタンを非正規ショップで修理交換したことによるものだ。非正規ショップでホームボタンの修理交換を行なったiOSデバイスにiOS 9を導入すると、デバイスは操作不能となり、それを回復する手立てもないという状況になってしまう。

きっと多くの人は、これはAppleが修理代のマージンを取得するために仕込んだことだと考えてしまうことだろう。実はそうした金儲け主義が理由ではない。正規ショップで修理を行うと269ドルないし329ドルの修理代金がかかるが、それは意味のあることなのだ。

AppleがiPhone 5s向けにTouch IDを導入した際、セキュリティのために新しい仕組み構築する必要があった。すなわち指紋データをAppleのサーバーなどに送らない仕組みを実現する必要があったのだ。もちろんiPhoneのローカルストレージに通常のデータとして保存することもできない。iCloudやiTunesバックアップなどにデータを置いておくことも避けなければならなかったのだ。

そこでAppleが構築した仕組みが「Secure Enclave」という仕組みだ。Secure EnclaveとはAシリーズのプロセッサに組み込まれたコプロセッサで、システムへの不正なアクセスを防ぐように設計されている。Secure Enclaveには独自のUID(固有ID)がセットされていて、システムの他の部分からはもちろん、AppleさえもこのIDを知ることはできないようになっている。システムはデバイスの起動時に一時鍵を生成してUIDと関連付けることにより、情報にアクセスすることができるようになる。すなわちSecure Enclave内の情報にアクセスするには、かならずこの一時鍵を利用して行う必要があるのだ。

そしてここまでに記したセキュリティ効果に実効性をもたせるため、Touch IDのセンサーはSecure Enclaveとペアリングされた状態で動作するようになっている。さもなければ、ホームボタンを改造して自前のTouch IDセンサー動作させることで、Secure Enclave内のデータに不正にアクセスできるようになってしまう。たとえばApple Payなどを不正に利用することができるようになってしまうわけだ。

さらにiOS 9ではTouch IDセンサーとSecure Enclaveの結びつきが一層強化され、Touch IDセンサーを正統なものであると認識できなければ、「エラー53」を表示してiPhoneへのアクセスをブロックするようになったのだ。それで、非正規修理店の修理交換したホームボタンが一切動作しなくなってしまったのだ。正規ショップではSecure Enclaveと、新しいホームボタンのペアリング処理も行うようになっていて、それでホームボタン交換後もきちんとiPhoneを動作させることができるようになっている。

もっともらしい話ではある。ただしちょっとおかしなところもあるのではないだろうか。AppleはSecure Enclaveがメインプロセッサーと分離して動作する仕組みを導入している。それであればTouch IDとのペアリングがおかしくなっているときには、Secure Enclaveのデータが必要となる処理のみをブロックすることも可能だったのではないだろうか。あるいはTouch IDの処理を前提としているものの処理を行えなくするようにしてもよいだろう。

しかしたとえばこれまでに撮影した写真や連絡先情報などにまでアクセスできないようにする必要はないのだ。「エラー53」がシステムへのアクセスを拒否する仕組みはまったくひどいもので、ぜひとも再考をお願いしたい。

また、AppleはiOS 9.0へのアップグレード通知を行う際に、この「エラー53」について詳細な情報もあわせて通知すべきだろう。現在用意されているサポートページ程度では不十分だ。iPhoneの利用者には、自分たちが撮りためてきた写真にすらアクセスできなくなる可能性があることを、事前に知る権利があるはずなのだ。これはAppleのためでもあるはずだ。「エラー53」が出る理由を知った人の多くは、Appleが金儲け主義によりサードパーティーのリペアショップを潰そうとしていると考えるはずだからだ。

冒頭にリンクしたガーディアンの記事では、この問題はiPhone 6とiPhone 6 Plusで確認されているとのこと。iPhone 5sやiPhone 6s、あるいはiPhone 6s PlusでもTouch IDセンサーを使っているわけで、条件が一致すれば同様の問題が出てくるものと思われる。Touch IDセンサーを使っているiOSデバイスでは、いずれも同様の問題に遭遇する危険性があるのだ。

Appleからは以下のようなメッセージを受け取っている。

私たちはセキュリティを非常に重大なものと考えています。そうであってこそ、お客様をさまざまな危険から守ることができると考えているのです。そうした考えから、iOSはiPhoneやiPadに搭載されているTouch IDがオリジナルのものであるのかどうかをチェックしています。もし正しくない方法でTouch IDセンサーが交換されていることを検知した場合、Apple PayなどのTouch ID関連サービスを利用することはできなくなります。Touch IDセンサーを不正に利用するのを防ぐためには、どうしても必要なチェックルーチンであると考えています。「エラー53」に遭遇した利用者の方々には、Apple Supportに連絡していただきたいと考えております。

原文へ

(翻訳:Maeda, H

Box KeySafeは、中小企業の暗号鍵管理を容易にする

shutterstock_261743183

Boxは今日(米国時間2/4)、新しいサービスBox KeySafeを発表した。暗号鍵の管理を容易にして、暗号化は必要だが、BoxのハイエンドサービスであるEnterprise Key Managementは複雑すぎる、という中小規模企業(SMB)を対象にしている。

規制の厳しい業界では、クラウドへの移行を望みながらも、セキュリティーとガバナンスの要件のために思いとどまる企業が多い。昨年Boxは、Box Enterprise Key Managementを開発してセキュリティー障壁を取り除く第一ステップを進めた。

これによって投資銀行やエネルギー会社、医療組織等の大企業は、Boxのサービスを利用しつつ、暗号鍵を厳密に管理することが可能になる。それは大型のITチームを擁する大型組織にとっては良いソリューションであったが、Amazon Web Server上に専用の暗号鍵管理サーバーを構築するのに何週間もかかるなど、中小企業の手には届かなかった。

Box CEOのAaron Levieによると、同社は法律事務所や銀行等から、同じ機能は欲しいが複雑な管理部分には関わりたくないという声が集まった。

そこで今日発表されたサービス、Box KeySafeの開発に至った。これはエンタープライズ版に似ているが、専用の暗号鍵サーバーを必要としない。代わりにBoxは、その管理コンポーネントをAmazon Web Serviceのクラウドサーヒスとして設定することで、一週間かかっていた設置時間が約1時間に短縮された、とLevieが説明した。

関連記事

Box Introduces New Client-Controlled Encryption Tool To Bring Stragglers To The Cloud
A Year After IPO, Depressed Stock Price Not Bringing Box CEO Down
Box Breaks Out Of Application Box With New Developer Edition
Box's New Platform Product Is Now Generally Available

大企業と同しようにデータを管理したいが、大企業並みの要件を求められて利用をためらってきたSMBが多いことから、これは重要である。Boxのようなクラウドサービスの利用を控えてきた会社も、暗号鍵管理システムがあれば使えるようになる。こうしてBoxサービスの市場を拡大する可能性が生まれることで、同社が低調な株価を取り戻すのを助けることになるかもしれない。

KeySafeのしくみは貸金庫に似ている。開くには2種類の鍵が必要だ。Boxが一つの鍵でファイルを暗号化する。顧客は自ら管理するもう一つの鍵でそれを暗号化する ― 暗号化操作は監査可能なレポートに記録される。Boxがコンテンツを正しく管理している証拠を顧客が要求した場合、このデータポイントを見せればよい。

法律的視点で見ると、もし政府や警察当局がBoxにやってきて、特定のファイルを見せるよう要求した場合、Boxはファイルのオーナーを紹介する。なぜなら暗号鍵を持っていてBoxに保管されているコンテンツへのアクセスを管理しているのはオーナーだからだ。Boxは、銀行が持ち主の鍵がなければ貸金庫を開けられないのと同じように、暗号化されたデータを見ることができない。

また、この暗号鍵管理機能はBoxのデベロッパー版の一サービスとして提供される。そこには様々なBox機能がサービスとしてデベロッパーに提供されているため、Boxのコンテンツ管理やセキュリティー、暗号鍵等を、積極的にBoxを使うことなく自社アプリに組み込むことができる。

[原文へ]

(翻訳:Nob Takahashi / facebook

オープンソースコードのセキュリティアップデートを代行するLexumoが$4.89Mを調達、巨大な未開拓市場に挑む

shutterstock_104783210

マサチューセッツ州ケンブリッジのLexumoは、オープンソースコードのセキュリティアップデートを継続的にチェックしてくれるクラウドサービスだ。同社は今日(米国時間2/1)、489万ドルという、しっかりした額のシードラウンドを発表した。

このラウンドをリードしたのはAccomplice, .406 Ventures, そしてDraperだ。

投資家たちがLexumoに注目する理由ななんだろう? 同社は世界中のすべてのオープンソースコードをインデクシングして、その結果をもとに、オープンソースコードを組み込みシステムやエンタープライズソフトウェアで利用している企業に、セキュリティサービスをクラウドから提供している。ユーザー企業がLexumoにコードを提出すると、同社はその中に既知のセキュリティ脆弱性をチェックする。またLexumoはそのコードを継続的にモニタして、アップデートがあればそのことをデベロッパーに知らせる。

オープンソースソフトウェアのコードの継続的なセキュリティアップデートのチェックは、ユーザーの自己責任になることが多いが、それはユーザー企業にとって、往々にして負担が大きすぎる。自力でできない場合もある。それをいわば自動化してくれるのが、Lexumoのサービスだ。LexumoのCEO Brad Gaynorはそう説明する。

デベロッパーはオープンソースのライブラリを使ってなるべく早くソフトウェアを作り、配布したいと願っているが、アップデートをタイミングよくチェックして、その内容(既存コードに与える影響など)を理解できる人材が、いない場合が多い。

“オープンソースのコミュニティは、セキュリティの脆弱性を見つけてその対策を施し、新しいコードを作っているが、そのアップデートのペースに追随できないユーザー企業がほとんどだ”、とGaynorは語る。

コードのアップデートはセキュリティ対策だけでなく、APIやインタフェイスの変更を含むこともある。しかしデベロッパーによっては、API等はいじりたくないが、セキュリティだけはアップデートしたい、パッチを当てたい、ということがある。そういう場合もLexumoはカスタムのパッチを提供してそのニーズに応える。“フル・アップグレードがいつでも正解とはかぎらない”、とGaynorは説明する。

Gaynorらは5年前には、MITの非営利の研究団体Draper Labsにいた。その団体が昨年、独立の企業としてスピンオフし、サイバーセキュリティに着目して世界のすべてのオープンソースコードをインデクシングし、検索できるようにした。Gaynorらはその価値を認めたが、実用化の方法がまだよく分からなかった。

“当時のわれわれには、世界中のオープンソースソフトウェアを分析する能力があったし、その改良と拡充にも努めていた。それはまるで、手に金槌を持っているのに、釘がどこにも見当たらない状態だった”、と彼は語る。

そして最終的に彼らは、オープンソースコードの脆弱性を見つけ出すことをサービスとして企業化しよう、という方針に落ち着いた。今は、資金環境が厳しくなってきたと言われているから、その中での500万ドル獲得は、なかなかのものだ。

“大きな市場なのに、まだ誰も手を付けていないんだ。われわれの技術とビジネスモデルは、とくに組み込みシステムにおける未対応のニーズに応えようとしている”、とGaynorは語っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

電話の詐欺を見抜くPindropが創業3年で早くもシリーズC、Google Capitalらから$75Mを調達

288491653_2eebf1d6e1_o

Pindropは、電話の音声と発呼者に関するメタデータの両方を分析して、企業が電話詐欺にやられることを防ぐ。ローンチ時の2012年に調達した4700万ドルに加えて今日(米国時間1/28)同社は、Google Capital率いるシリーズCのラウンドにより7500万ドルを調達したことを発表した。

このラウンドにはGoogle Ventures、Citi Ventures、Felicis Venturesのほか、同社のシリーズAをリードしたAndreessen Horowitzと、シリーズBをリードしたInstitutional Venture Partnersが参加した。

2016-01-27_1429

Pindropによると、同社の技術の主なユーザーは、保険企業、政府機関、小売企業、そして合衆国の4大銀行のうちの三つだ。これまでに同社がチェックした起呼は、合計3億6000万あまりになる。

このサービスはまず、かかってきた電話の起源(どこから)と、固定電話/セル電話/VoIPの番号など、いちばんベーシックなデータを調べる(詐欺電話はVoIPからがいちばん多いそうだ)。さらにそれに加えて、電話の音声を調べる。そのためにたとえば、周波数フィルターやコーデックのデータ、パケットロスやフレーム落ちなどを分析する。

これらのデータから各起呼のリスクプロファイルを生成する。そのプロファイルが詐欺の可能性を示唆していたら、エージェントが相手にセキュリティ関連の質問をすることができる。

Pindropによると、同社は新たな資金を国際展開に充て、また研究開発への投資も増やしたい、という。同社は今イギリスに10名の社員がいるが、今後はEMEA地域におけるプレゼンスを拡大したい。ラテン・アメリカではすでにサービスを提供しており、今年後半にはアジア太平洋地域にも市場を広げていく予定だ。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

パスワードは死んだのか? ウェブとモバイル認証の未来

password-balloon-four

【編集部注:本稿の筆者、Richard Reinerは、Intel SecurityのTrue Keyの最高技術責任者。

2016年はパスワードが時代遅れになる年になるだろうか?それとも、私たちは笑って耐え続けるだけなのだろうか?しかし、そもそもパスワードがどうしたというのか?

パスワードはかなり以前からあるが(夜、陣営に入る兵隊が秘密の合言葉を言うところを想像してほしい)、今日では平均的消費者が25以上の、パスワードに依存しているサイトやアプリを使っている。強力なパスワードは、12文字以上から成る ー 記憶力の良い人であっても強力なパスワードをたくさん覚えるのは大変だ。

eBay(1.45億ユーザー)、Adobe(3600万ユーザー)、JP Morgan Chase(7600万ユーザー)を始めとする様々なデータ漏えい事件では、パスワードが頻繁に標的になった。セキュリティーの高いサイトでは、パスワードを「ハッシュ」形式(暗号的に変換されユーザーがログインする時には認識されるが、直接読むことはできない)でのみ保存しているが、侵入者はそのハッシュ化されたパスワードを含めデータベースのダンプを入手することが多い。

サイト運営者によるハッシュ化プロセスが適正に行われていれば、パスワードを再現することは困難であり時間もかかる ー が、不可能ではない。そして、残念なことに、適正なハッシュ化が行われていないために簡単にパスワードを取得可能な主要サイトをたびたび目にする。ユーザーのパスワードをひとつ再現することに成功した侵入者は、他の人気サイトやアプリにも侵入を試みる。だから、あちこちで同じパスワードや単純な変化形を使うのは安全ではない。

もっと優れた認証方法は何年も前から存在している ー それなのになぜ私たちはまだパスワードを使っているのだろうか?

生体認証センサーは主流になりつつあり、多くのデバイスで見られるようになった ー 残念ながらパスワードを完全に置き換えられるものはない。どの「より良い」代替手段も ー 指紋認証、顔認識、虹彩認証、音声認識等 ー どこででも使えるわけではない(端末、照明条件、騒音環境、手が使えない時など)。

パスワードを完全に置き換えるためには、利便性と安全性の兼ね合いを調整できる必要もある ー リスクの低い状況では簡単に、至宝を守る時には時間のかかるものに。

しかし、これらの認証要素のいくつかまたは全部を組み合わせて、自分自身で制御できるとしたらどうだろうか?その時の状況にあわせて、安全と利便の正しいバランスにぴったりな要素を選択できたら ー Pinterestにログインするときも、銀行口座から送金するときも。

なぜ私たちはまだパスワードを使っているのか?

さらに言えば、生体認証を努力不要の「受動的」要素、例えば、今つながっているWi-Fiネットワークや今いる都市、あるいはBluetoothウェアラブルが接続されているかどうかを識別するしくみと組み合わせられたらどうだろうか ー もちろんこれも自分自身の制御によって個人の好みを反映させられる。

リスクの小さい状況(Pinterestにログインするとき等)では、受動的要素だけを使用したり、指一本動かすことなく自動的にログインすればよい場合もあるだろう。そして、重要なものを扱うとき、受動的要素はあなたの使っている能動的生体認証方式のセキュリティーを高め、安心を増すことができる。

それが「複数要素認証」であり、もしこれがパスワードに変わる可能性を持つ強力な解であるとするなら、仮に侵入者があなたの顔や指紋を偽り、あなたのWi-Fiネットワークを使うことができたとしても,あなたのノートPCを使っていないためにブロックされることになる。なんと素晴らしいことだろうか。

それは今日も可能だ。ハードウェアベースの「デバイス認証」は、CPUに内蔵された機能によってノートPCやスマートフォンの識別を証明すると同時に、指紋その他の生体認証を使って持ち主が本物であることを証明する。上にあげた受動的要素と同じく、デバイス認証はスピードや利便性に影響を及ぼすことなく、強力なセキュリティーを付加することができる。

しかし、真価を発揮するためには、この種の解決方法は今使っているウェブサイトやアプリで,運営者が新しいテクノロジーへとアップデートするのを待つことなく直ちに利用できる必要がある。そのためには、現在のパスワードを包容し、完全に除去できるまで手間なく管理できる必要がある。

それを簡単、便利にするためには、ユーザーが今使っているウェブサイトやアプリの構造を理解して、パスワードを(安全に暗号化されたストレージに)保存しておき、そのサイトを訪れるたびにログイン画面であなたに代わって自動的に入力する必要がある。

そして最後に、多くのシステムでアキレスのかかととなっている、あの容易に想像できる「アカウント再設定質問」も排除できたらどうだろうか。そうすることによって、ハッカーがソーシャルメディアなどを利用して再設定質問の答えを見つけ、アカウントを乗っ取る「ソーシャルエンジニアリング」からあなたを守ることができる。

どうやって排除するのか?上に書いたのと同じ生体認証や受動的要素、デバイス認証などの方法を使う ー いずれの認証要素も、あなたは忘れることができない!

これが私の考える次世代の解決方法だ。

というわけで、2016年にパスワードは消滅するか? おそらくしないだろう。しかし、それにまつわる面倒はなくなるかもしれない。

原文へ
 
(翻訳:Nob Takahashi / facebook

Knightscopeの防犯ロボットはリアルタイム治安ネットワークの賢いノードになる、大規模暴力事件を未然に防げるかも

ある日ロボットが蜂起して人類を支配するのかもしれないけど、今現在はPalo AltoのKnightscopeが、人類の安全のために犯罪と戦うマシンを開発している。

Knightscope製のセキュリティロボットK5は、スターウォーズのR2D2とドクター・フーのダレクに似ている。そしてこれらのロボットを動かしているシステムは、ちょっとジョージ・オーウェル的だ。ブロードキャスト機能と高度な監視能力のあるK5は、コンサートホールや商店街など人が集まる場所をパトロールし、不審な行動などをチェックする。

視界360度でHDの低ライト赤外線カメラが捉えた画像を、バックエンドのセキュリティネットワークへアップロードする。通行人の声を拾うマイクもある。ある程度のコミュニケーション能力もある。また、ガラスが割れる音などの異常音を感知してアラートを送る。

QlHK_8M9vUi6e3u33WXx0B7-tCrwsNb7W42JLXYblzM,hZnFdv1tuyN4BfBKKjY_L8uYxJ8G2VRKeHcDJQIa1K4

すでにいくつかのショッピングモールやオフィスビルがK5を採用している。それらの名前は公表しないらしいが、Knightscopeによると、主にテクノロジ企業の社屋やシリコンバレーのショッピングモールだそうだ。

CEOのStacey Dean Stephensは元警官で、ロボットが送ってくる都市内の情報を利用する、犯罪防止のための予測的ネットワーク(次に起きることを予測できる情報ネットワーク)を構想した。協同ファウンダのWilliam Liとともに、これまでKonica Minoltaなどから1200万ドルを調達している。

近い将来にロボットが警官やガードマンをリプレースする、とKnightscopeが考えているわけではない。ロボットはあくまでもアシスタントだ、と同社はその製品を位置づけている。料金はレンタル制で、5本足300ポンドのK5を1時間6ドル25セントで貸し出している。われわれの最低賃金より、安いよね。でもティーンエイジャーのワルガキどもがロボットを小突いたりしたら、K5は彼らに声をかけるし、彼らの行為を撮影して署に送ったりするから、ガキどもにはショックだろう。

関連記事

Four Market Forces That Will Shape Robotics Over The Next Year
The State Of Robotics For 2015

これらのロボットは、ロボット自身の治安機能が必ずしも目的ではない。むしろKnightscopeは今、ロボットよりも、それらから送られてくる情報を利用するセキュリティネットワークの研究開発を進めている。そのネットワークは、ロボットからリアルタイムで送られてくる映像やデータから、公共の場所における不審な行動を見つけて、警察機関などに報告するだろう。それらの予測に基づいて事前に行動が取れれば、大規模な銃撃事件などの暴力事件を、未然に防げると思われる。

上のビデオで、Stephensにインタビューしている。ロボット本体と、ロボットをベースに構築していく治安ネットワークのことが、よく理解できるだろう。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

ハッカー集団アノニマス、ISISに全面戦争を宣戦布告

We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us

ハッカー集団アノニマスは日曜日(米国時間11/15)、金曜日に132名のパリジャンを殺した攻撃の首謀者であると主張しているテロ組織、Islamic Stateに対して「全面戦争」を宣戦布告した。

[間違いなく、#Anonymous は #Daesh と交戦中である。われわれは #IslamicState への敵対を止めるつもりはない。われわれは優れたハッカーでもある。 #OpISIS]

アノニマスはビデオも投稿し、このメッセージがパリで起きた事件に対するものであることを表明した。


同じTwitterアカウントによると、同グループは今日(米国時間11/16)午前、ISISと関連のあるウェブサイトの破壊を開始した。

アノニマスは、ハクティビスト集団、Binary Secが発信した以下のメッセージへのリンクもリツイートした。

「われわれは集団としてお前たちの恐怖支配に終りを告げさせる。お前たちのイスラム以外のあらゆる宗教に対する残酷で非人間的なテロ活動を、これ以上見過ごすことはできない。われわれはお前たちが無実の人々の首をはね、子供たちを誘拐して殺害し、そしてフランスにテロ攻撃を仕掛けたところを見てきた。〈これ以上許しておくことはできない〉。われわれBinarySecの唯一の目的は、あらゆるISISの宣伝ウェブサイトあるいは人物をすべて打ち倒すことだ。ISISよ … お前たちのジハードは突然の終結を迎えるだろう。われわれBinarySecは、お前たちを終らせる原動力の一つになることを約束する。ISISよ … 戦いは始まっている。

アノニマスがISISと対決するのはこれが初めてではない。Foreign Policy Magazineによると、アノニマスに共感するハッカーらとISISとの間の衝突は、ネット上で1年以上続いている。数多くのハッカーが大義に賛同する転換点となったのは、今年パリのシャルリエブド新聞社およびコーシャー市場を襲った攻撃だった。

Foreing Policy誌が先週報じたところによると、ハッカーらは149のISIS関連ウェブサイトを切断し、約10万1000件のTwitterアカウント、および5900本の布教ビデオを識別した。

残る問題は、社会的利益を目指すこれらのハッカーが、果たして国家主導によるテロ排除行動の助けになるのか害になるのかである。テクノロジー企業はかつて、政府諜報機関が彼らにISIS関連コンテンツを削除しないよう要請したことを明らかにした。それは法的手段を用いる際、テロリスト集団をより効果的に追跡するためだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

コンテナのセキュリティをモニタするオープンソースツールClairをCoreOSがローンチ

Container

データセンターのための軽量Linuxディストリビューションとして人気のCoreOSは、コンテナにも熱心だ。今日(米国時間11/13)同社は、コンテナのセキュリティをモニタするオープンソースのツールClairをローンチした。そしてその、まだベータのClairを、同社の有料のコンテナレジストリサービスQuayに統合する。その統合は、今後予定されているQuay Enterpriseでサポートされる。

コンテナはデベロッパの仕事を楽にしてくれるが、Linuxディストリビューションが脆弱性対策のためにたえずアップデートしているのと同じく、コンテナに収めたソフトウェアにも更新が必要な場合がある。たとえばCoreOSによると、同社のQuayサービスに保存されているDockerイメージの80%以上は、悪名高いHeartbleedバグへの対策をしていない。

coreos_clair_schema

Clairは、コンテナをスキャンして既知の脆弱性を探し、問題をデベロッパにアラートする。そのためにCoreOSは、Red HatやUbuntu、Debianなどの脆弱性データベースを参照する。

関連記事

(日本語)Tectonic, CoreOS's Kubernetes-Based Container Platform, Hits General Availability
(日本語)Mirantis And CoreOS Launch Enterprise-Grade OpenStack And Kubernetes Integration
(日本語)CoreOS Launches Preview Of Tectonic, Its Commercial Kubernetes Platform

Clairのチームはこう書いている: “ソフトウェアには脆弱性がつきものだ。したがって、良質なセキュリティの実践によって事故に備えなければならない。とくに、セキュアでないパッケージを見つけ、それらをなるべく早くアップデートすることが重要だ。Clairは、コンテナの中にあるかもしれない、セキュアでないパッケージの発見を助ける”。

チームによれば、このツールの現状はまだまだ幼稚だ。Heartbleedは、このバグのあるOpenSLLのパッケージを使っているときにのみ、起きる問題だ。現状のClairは、コンテナにパッケージがあることは見つけるが、それが実際に使われているかいないかの判断はしない。“Clairにはそこまでの分析はできないので、その後のより深い分析が必要だ”、とClairのチームは言っている。

[原文へ]。
(翻訳:iwatani(a.k.a. hiwa)。

Apple、iOS 9.1でPanguハッカー集団のJailbreakを締め出す

pangu

それは速い動きだった。初のiOS 9デバイス用公開jailbreakがウェブに現れてからわずか数日後、Appleは中国ハッキングチームPanguが悪用していた2つの脆弱性を締め出した。Panguの紐なし脱獄ツールは、iOS 9.0~9.0.2の走るiPhone、iPadおよびiPod touchのほぼ全機種をjailbreakできる。

Appleのウェブサイトに掲載されたセキュリティー文書で、同社は現在修正済みのiOSオペレーティングシステムにあった2つの脆弱性を発見したPanguの功績を称えている。

脆弱性の一つは、悪質なアプリケーションが権限を上げられるもので、もう一つは、悪質なアプリケーションが任意のコードをカーネル権限で実行できるものだった。

JailbreakコミュニティーはAppleがiOS 9.1でこれらの穴を塞いだことを既に知っている。そもそもこのjailbreakはベータ版のiOS 9.1では動かなかった。おそらくPanguチームがiOS 9 jailbreakをiOS 9.1の公開直前に提供したのはそれが理由だろう ― 遅すぎる前にユーザーの手に届ける唯一の方法だった。

しかし、これはうっかり9.1にアップグレードしてしまった人が二度とjailbreakできない、という意味ではない。Panguチームや他のハッカーが、将来別の弱点を見つける可能性は常にある。

関連記事

You Can Now Jailbreak Your iOS 9 Devices (But You Probably Shouldn't)
Evasi0n Jailbreak Group Drops Pirate App Store TaiG
From Jailbreaks To App Store Awards, Developers Grow Up iPhone

今日午前、このニュースと9.1が公開される直前、Panguチームは新しいバージョンのjailbreakツール(バージョン1.1.0)を公開し、以前より安定性が高く結果も良いと主張した。しかし、これもiOS 9.0.2までが走るデバイスを対象としている。9.1のハックを開発中かどうかについてチームはまだ何も言っていない。

もし、jailbreakを考えていて、今もやりたいなら、ここでの教訓は9.1に近づかないことだ。しかし、jailbreakによって数多くのアプリや小技利用できるようになる一方、同時に自分自身や個人データをセキュリティーの危険に曝していることも認識する必要がある。

[原文へ]

(翻訳:Nob Takahashi / facebook

Dell、サイバーセキュリティー部門のIPOを申請

13334048894_6e8b421c4e_o-e1438887295188

【本稿のライターはKatie Roof】
Dell Inc.は、同社のサイバーセキュリティー部門であるSecureWorksのIPOを密かに申請していた。TechCrunchが確認した。IPOは今年中に行われる予定。

最初に報じたのはWall Street Journalで、SecureWorksの評価額は最大20億ドルに上るという。記事によると、SecurityWorksはBank of AmericaおよびMorgan StanleyにIPO業務を依頼している。

DellはSecureWorksを2011年に6.12億ドルで買収し、同社のコンピューターハードウェア以外への事業拡大の一環として、セキュリティーおよびコンサルタントビジネスを展開した。

新規産業活性化法(JOBS法)により、年間売り上げ10億ドル以下の企業は株式上場を秘密裏に申請することが可能となり、財務情報は投資家説明会のわずか21日前に公開すればよい。

Dellは、2013年にMichael Dellおよび未公開株式投資会社Silver Lakeが250億ドルで株式を買い上げた、非公開となった。

テキサス州拠点のDellには、データストレージ会社EMCとの合併交渉中であるとの噂もある。

原文へ
 
(翻訳:Nob Takahashi / facebook

Amazon Inspectorは、あなたに代ってセキュリティー問題を見つけてくれる

screen-shot-2015-10-07-at-1-12-37-pm

今日(米国時間10/7)のAmazon re:inventで、Amazonは新しいサービス、Amazon Inspectorを発表した。ユーザーのAWSインスタンスを分析してセキュリティーあるいはコンプライアンスの問題があれば報告する。

これはセキュリティーを心配する、特にクラウドサービスを初めて使うAmazon顧客にとって価値あるサービスだ。ユーザーのAmazonクラウドを完全に検査し、セキュリティー、コンプライアンス等の問題を探す。

このサービスは、金融、医療等、データの保管および利用方法について政府の非常に厳格なガイドラインに準拠しなければならない規制の強い業界にとって、特に重要だろう。

システムはあらゆる脆弱性やサービスがコンプライアンスに反する部分を報告し、その問題を修正する方法のアドバイスも提供する。問題は重大度別にグループ分けされるので、顧客は何を最初に修正すべきかの優先順位を付けられる。

Inspectorは、”Cloud Trails” と呼ばれるものも提供する。これは監査追跡記録の一種で、何が発見され、どんな対応がなされたかを示すことで、実際に何が起きたかを監査員が知ることができる。

AWS担当SVPのAndy Jassyによると、これはAmazon顧客に事前予妨の基準を与え、問題の起き得る正確な場所を、実際に問題が起きる前に見られるようにする。こうした予妨的アプローチは、クラウドへの移行を躊躇している潜在顧客や、単にAWSインスタンス全体の問題を見つけたい顧客にアピールするかもしれない。

AWS re:Invent 2015

[原文へ]

(翻訳:Nob Takahashi / facebook