タグ: Security

Twitter、HackerOneを通じてバグ探し懸賞プログラムを開始

多くのオンラインサービスの信頼を揺るがせたセキュリティー侵害事件を受け、Twitterは今日(米国時間9/3)、バグ探し懸賞プログラムを立ち上げることを発表した。これは、セキュリティー侵害を責任を持って報告したセキュリティー研究者に報奨金を支払うもので、バグ探し懸賞プログラム提供会社のHackerOneを通じて実施される。Twitterは、Twitter.com、ads.twitter、モバイル版Twitter、TweetDeck、apps.twitter、および同サービスのiOSとAndroidのアプリに関するバグ報告1件につき最低140ドルを支払う。Twitterは、実際には3ヵ月前からHackerOneと作業していたことが、HackerOneのバグ・タイムラインに書かれているが、Appleのセレブ写真流出事件によってサイバーセキュリティーが一躍世間の関心を呼ぶ中、Twitterは、同社がユーザーの安全を真剣に考えていることを示したかったものと思われる。

Twitterは、「セキュリティー研究者たちの努力と、利用者全員のためにTwitterの安全を維持することにおける彼らの重要性を評価するために、当社は一定のセキュリティー脆弱性の発見に対して報奨金を提供することにした」と語った。既に同プログラムには、44人のハッカーが参加し、Twitterは46件のバグを修正している。

一部の主要企業、例えばFacebookは独自の懸賞プログラムを実施しているが、HackerOneでは、プログラム管理の手間をかけずに、クラウドソースによるバグ探しの恩恵を受けたい会社のために、パッケージソリューションを提供している。他にHackerOneを利用している会社には、Yahoo、Square、MailChimp、Slack、Coinbaseがある。HackerOneは最近900万ドルを調達し、製品の拡張と販売強化を進めている。HackerOneは、元Facebookのセキュリティーチームのメンバーで、自社運営による懸賞付バグ探しプログラムを指揮して多数の脅威から会社を救った、Alex Riceらが共同設立した。

比較してみると、Twitterの最低報賞金額は、Yahooの50ドルや、Slackの100ドルよりも高いが、Coinbaseの1000ドル、Squareの250ドル、さらにはFacebookの社内プログラムが提供する500ドル等と比べるとかなり少ない。

今週のiCloudセレブ写真ハック以降、外部のセキュリティー機構ともっと密に作業すべきだとAppleを非難する声が出ている。しかし、Appleは昨日、強固なパスワードを使ったり、追加の保護対策をとらなかったとして、ユーザーに責任を転嫁した。実際にはAppleは、VUPENを通じて独立セキュリティー専門家の協力を仰いでいるが、もっとオープンなプログラムを実施していれば、ジェニファー・ロレンスをはじめとする、有名人のiCloudアカウントを不正アクセスするために利用された戦術のいくつかは、事前に突き止められていたのではないかという意見もある。おそらく今回のTwitterの行動は、セキュリティー向上のためにコミュニティーを活用する方法について、Appleに再考を促すことになるだろう。

[画像提供:Screenrant via Star Wars

[原文へ]

(翻訳:Nob Takahashi / facebook


Appleはセキュリティー問題への対処で透明性、対話性を改善する必要がある

Appleは数ヶ月ごとにセキュリティー・スキャンダルに巻き込まれねばならないようだ。

Heartbleed脆弱性にはやられなかったものの、 今年2月には初歩的なプログラミング・ミスでSSL接続確認を無効にするgoto failバグが発覚した。昨年10月には 接続ポートを使ってiOSデバイスからデータが盗む方法がみつかった。ちょうど1年前にはセキュリティー専門家が AppleユーザーのIDにアクセスできる脆弱性を発見し、Appleに通報したにもかかわらず何の反応もなかったため、情報を公開して注意を促すという事件が起きた。

愚かなミスを繰り返す

そして今回のセレブ・ヌード流出事件だ。このスキャンダルはiCloudバックアップのセキュリティーをもっと高めてあれば防げたかもしれない。

どのケースでもAppleは脆弱性を修正し、サポート情報を発表している。しかし上記以外のケースも含めて、ほとんどあらゆるケースでAppleはできるかぎり情報を小出しにして、状況を不透明なままにしようと努力しているようにみえる。

この方針は改める必要があると思う。

Appleはユーザーのプライバシーには特に注意を払ってきた。たとえばAppleはiPadマガジンの購読者情報でさえ発行元と共有しようとしない。しかし、ことセキュリティー問題となると、このようなユーザー重視の姿勢が見えなくなる。Appleはプロダクトのあらゆる細部に神経を使うことで知られている。Appleはデザインについてはボタン一つにも異常なくらいこだわるのに、セキュリティーとなると愚かなミスを何度も何度も繰り返してきた。

透明性と対話の欠如

脆弱性を報告し、修正を助けようとした際のAppleの対応について私は多くのセキュリティー専門家から不満を聞いている。Apple側に透明性が不足しており、会話しようという意欲がないという。

「Appleには内部のセキュリティー専門家と外部の専門家とのコミュニケーションのチャンネルを開いてもらいたい。われわれ外部の専門家は、脆弱性に関してAppleに対策を促す唯一の道は情報を公開フォーラムに発表するしかないと感じている」とセキュリティー専門家の1人、Jonathan Zdiarskiは言う。 世界最大の企業の一つがこのような状態であってはならないだろう。”

最近ではAppleも外部からの脆弱性の指摘に積極的に反応する兆しをみせている。iPhoneのジェイルブレークを開発しているメンバーの1人がそもそもジェイルブレークを可能にしたバグを指摘したことに対してAppleは謝意を述べた。しかし多くのエンジニアやセキュリティー専門家がバグの発見に協力するようになるインセンティブをAppleは与えるべきだ。バグの発見に懸賞金をかけるなどもその方法一つだろう。.

同時に社内のセキュリティー対策も改善される必要がある。セレブ・ヌード事件の過程で知られるようになったiBruteスクリプトはFind my iPhoneログインの際にブルートフォース攻撃を許す脆弱性が存在することを利用したものだった。前述のSSLのgoto failバグも数ヶ月放置されていた。こうしたバグは厳重な内部監査が行われていれば、もっと早く修正できたはずだ。

なぜなのか?

Appleがセキュリティー・コミュニティーからの警告の声に耳を傾けていたら防げたはずの事件は数多い。 Appleのように優れたプロダクトを次々に生み出してきた会社で、どうしてこうしたことが続くのだろう? SSLのgo to failバグが発覚したときから私はこの問題について考えてきた。

その答えは(あくまで私の個人的な見解だが)、Appleはセキュリティーに関するコミュニケーションをプロダクトに関するコミュニケーションと同様に考えているのではないか、というものだ―つまり外部には最小の情報しか発表しないという方針だ。消費者向けプロダクトのマーケティングに当たってはAppleの情報統制はこれまで大きな成果を上げてきた。情報が少なければ好奇心が増し、注目が高まる。

しかしセキュリティーの分野ではこのような要塞に立てこもった態度は間違いだ。ことにスマートフォンが生活、ビジネスで中心的な役割を果たすようになり、そこに蓄積される情報の種類と量が巨大化している現在、セキュリティーはデバイスやサービスの最大のセールスポイントの一つとなってくる。業界のリーダーとしてAppleはセキュリティー問題に対する現在の態度を改めねばならない。透明性の高いオープンで率直なコミュニケーションを確立する必要がある。結局それがAppleのためにもユーザーのためにもベストの方向だろう。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


Apple、セレブのヌード写真流出に関してiCloudへの不正アクセスを認める―システムのハッキングは否定

ジェニファー・ローレンスら100人前後の女性セレブの ヌード写真がインターネットに流出した事件ついて、Appleが公式声明を発表し、iCloudストレージ・システムに何らかの脆弱性があったことが原因ではないかという推測を強く否定した。ただしAppleはシステムのセキュリティーが破られたことはないとしたものの、一部のユーザーのアカウントがフィッシング、パスワードや「秘密の質問」の答えを推測するなどの一般的な方法によって不正にアクセスされた形跡があることは認めた。

Appleの声明の全文は以下のとおり。

カリフォルニア州クパチーノ(BUSINESS WIRE) 一部のセレブの写真の流出に関して、われわれの調査結果をアップデートする。ユーザーのプライバシーとセキュリティーはわれわれの最大の関心事であるので、この憎むべき盗難に気づくと同時に全力で調査を開始した。40時間に上る調査の結果、一部のセレブのアカウントが不正にアクセスされた形跡があることを発見した。その方法はユーザーを個別に標的としたパスワード推測、「秘密の質問」の答えの推測など、これまで無数に繰り返されてきた伝統的なものだった。いずれのケースでもiCloud® やFind my iPhoneを含むAppleのシステムそのものへのハッキングではなかった。われわれは捜査当局と協力して犯人の身元の割り出しに当たっている。

こうした被害を防ぐため、強いパスワードと2ステップ認証を利用するよう勧める。詳細いついてはこちらのウェブサイトを参照。 http://support.apple.com/kb/ht4232

要するにiCloudのアカウントの一部が不正にアクセスされたが、それはAppleのシステムの脆弱性によるものではなかった、ということだ。不正アクセスの手口は個人ごとにさまざまな情報を収集してパスワードを推測するなどきわめて古典的なものだった。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


ジェニファー・ローレンスのヌード写真はなぜ流出したのか―ハッカーから身を守るには?

すでにご存知だろうが、ジェニファー・ローレンス、アリアナ・グランデ、ビクトリア・ジャスティス、ケイト・アプトンら100人前後の女性セレブのヌード写真がインターネットにリークした。リーク元はiCloudアカウントらしく、まず4Chanでインターネットに公開され、続いてあらゆる場所に拡散した。iCloudは写真、メール、連絡先その他の情報を自動的にクラウドにバックアップし、同じユーザーが利用するAppleのデバイス間で同期を行う。ジェニファー・ローレンスはリーク写真が本物だと認めた。他の写真の多くも本物らしい。

匿名のハッカーは画像を最初に4Chanに投稿し、iCloudのアカウントから盗んだものだと主張した。ハッカーはPayPalとBitcoinによる寄付を募ったが、集まったのは0.2545 BTCに過ぎなかった。この寄付は次のアドレスから確認できる。 18pgUn3BBBdnQjKG8ZGedFvcoVcsv1knWa

iCloudそのもののセキュリティーが破られたとは考えにくい。しかしインターネット・セキュリティー全般をもう一度チェックする機会として、セレブ写真のハックがどのように行われたか考えてみよう。

マスコミ

メインストリームのメディアは「スマートフォンがハックされた」と報じている。しかしマスコミの使う「ハック」という単語はその内容が非常にあいまいだ。ローレンスは以前、「私のiCloudは『バックアップしろ』って言うんだけど、どうしたらいいか分からない。自分でやってくれればいいのに」と語っていたからiCloudを利用していたことは確かだ。画像のメタデータからするとリーク写真の大部分はAppleのデバイスで撮影されたもののようだ。.

「ハック」の内容

iCloudが ハックされたという記事があるが、Appleからはもちろん確認されていない(この可能性については後述)。iCloud自体のセキュリティーが破られたという可能性は低いが、ハッカーが特定のセレブ・ユーザーを対象にパスワード攻撃、ソーシャルエンジニアリング攻撃、「パスワードを忘れた場合」攻撃、ないしその組み合わせを仕掛けたということは考えられる。

メールアドレスとパスワードの推測

ジェニファー・ローレンスはTimeの記事で「自分のメールアドレスにはキーワードが含まれている」と語った。これは賢明な発言ではない。いずれにせよメールアドレスがわかれば偽のiTunesストアにおびき寄せるようなメールを送ることができる。被害者は偽のページにパスワードを入力してしまう。Guardianはこのようなフィッシング攻撃がリークの原因ではないかと推測している。

標的の生年月日と「秘密の質問」の答えを知っていればAppleシステムの「パスワードを忘れた場合」を使って新しいパスワードを設定できる。セレブの場合、プライベートな情報が大量に出回っているので、「秘密の質問」の答えが推測できてしまう可能性は十分にある。

iCloudのセキュリティー対策

しかしiCloudにアクセスする場合、Appleはいくつかのセキュリティー対策を施している。ユーザーが新しいApppleデバイス(OSXまたはiOS)からiCloudにアクセスした場合、iCloudはユーザーのメールアドレスに新しいデバイスからのログインがあったと通知する。またiCloudアカウントが設定されているすべてのAppleデバイス(iPhone、iPad、Mac)に同じメッセージが送られる。

もしユーザーが新しいデバイスからログインしたことがないなら、その通知を受け取ったユーザーは「ハック」されていることに気づくはずだ。メッセージは新たなログインと同時に送信されるから、すぐに気づいてパスワードを変更すればハッカーが30日分の写真をダウンロードする時間はないかもしれない。

ブルートフォース攻撃

もうひとつパスワードを手に入れる方法はランダムにパスワード入力を繰り返すブルートフォース攻撃と呼ばれるものだ。スクリプトによるiCloudアカウントへのブルートフォース攻撃は理論的には可能だ。

Next Webの記事によれば、最近、悪意あるユーザーがiCloudにブルートフォース攻撃を仕掛けるPythonスクリプトをGithub(その後Hacker Newsにも転載)にアップロードしたという。これはFind my iPhoneサービスの脆弱性を利用したものだったが、Appleはすでにこの脆弱性を修正ずみだという。このスクリプトが今回のリークの原因かどうについてはまったく情報がない。

その他の可能性

上記以外にもリークの原因はさまざまに考えられる。Androidで撮影されたらしい写真もあるのでリーク元はすべてがiCloudではないかもしれない。セレブのWiFiが盗聴されたのではないかという説もある。リークは往々にしてアシスタント、ボディーガードなど身内の人物が手を貸している。デバイスを紛失したり盗まれたりすればアカウントにアクセスされてしまう。。

2ステップ確認を使おう

もっとも効果的なのはiCloudの2ステップ確認(Googleの場合は「2段階認証」)を有効にすることだ。新しいデバイスからログインする際に、ユーザーはパスワードと同時に指定したモバイルデバイスに送信される確認コードを入力しなければならない。つまりハッカーはパスワードを知っても、確認コードを知らなければログインできない。Apple、Googleだけでなく、ほとんどの主要サービスが2段階認証をサポートしている。

またパスワード再発行の際に必要になる「秘密の質問」を「ペットの名前」のような見え透いたものにすることを止める必要がある。qwertyとか123456といった馬鹿げたパスワードを使わないのももちろんだ。

それでもまだ心配なら、設定を開いてiCloudへの写真の自動バックアップをオフにしておくことだ。

これが初めてではない

セレブのプライベート写真がリークしたのはこれが初めてではない。2011年にも大勢のセレブの写真が流出した。犯人のChristopher Chaneyは単なる推測でパスワードを得てメールアカウントに侵入していた。Chaneyは裁判で懲役10年を宣告された。しかしこうした事件でハッカーが逮捕されることはめったにない。ユーザーは結局、自分で身を守るしかない。

[原文へ]

(翻訳:滑川海彦@Facebook Google+


デバイスの行動パターンから侵入を検出するモバイルセキュリティアプリZimperiumのzIPSがiOSにも登場

モバイルのセキュリティサービスを提供し、インターネットのような公共的ネットワークの脆弱性を見つけるZimperiumがこのほど、同社のメインの製品であるMobile Threat Defense Suiteを2.0にアップデートし、またその、zIPSと呼ばれるiOS用アプリをリリースした。

zIPS(Zimperium Intrusion Prevention System, 侵入防止システム)は約半年前にAndroid用がリリースされ、それは機械学習を利用して、日常的な使用におけるデバイスの内部動作を理解する。その日常的パターンを覚えたアプリは、そのパターンに含まれない動きを検出し、異状をユーザに知らせる。

その動作検出エンジンをiOS上に実装するのには2週間弱しかかからなかったが、iOSのスタンダートに合わせるための作業でリリースが遅れた。

zIPSアプリは一般消費者ではなく企業の社員を対象にしている。スマートフォンのセキュリティは万人の問題だから、そのことが少々残念だ。

ZimperiumのCEOでファウンダのItzhak “Zuk” Avrahamは、次のように述べる: “このプロダクトを消費者向けに提供することには何ら問題はない。しかし今現在は企業を守ることに専念しているので、近い将来には一般公開することも検討したい”。

今このアプリを使うためには、Zimperiumのライセンスと同社のインフラストラクチャが必要だ。

でもAvrahamによると、将来的にはzIPSの対象範囲を物のインターネット(IoT)にも広げ、 Zimperiumのサービスを消費者と企業の両方に提供していきたいという。

SamsungとのパートナーシップによりZimperiumのAndroidアプリは、SamsungのマーケットプレースKNOX 2.0に加わる。KNOXはSamsungの企業向けモバイルセキュリティソフトウェアで、それが今後はAndroid上のデフォルトのセキュリティソリューションになる。

同社は昨年Sierra Venturesから800万ドルを調達し、Samsungからも資金を得ている。

デモビデオ1デモビデオ2FAQ。〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


ChromeのSafe Browsingサービスが今度から怪しげなソフトウェアのダウンロードにも警告を出す

ここ数年Googleは、同社のSafe Browsingサービスにより、ありとあらゆる種類のセキュリティ機能をChromeブラウザに加えてきた。マルウェアやフィッシングサイトなど、安全でないと思われるサイトをユーザが訪れようとすると警告するし、マルウェアサイトと分かっているところからソフトウェアをダウンロードしようとしても、やはり警告をくれる。そして今日からは、このサービスをさらに広げて、“人を欺くソフトウェア”のダウンロードも警告対象に含める。つまりそれは、ユーザの役に立つプログラムを装っているが、実際にはユーザのオペレーティングシステムやブラウザをふつうではない状態にしてしまうソフトだ。

よくあるのが、ブラウザのホームページ(起動時ページ)を変えようとしたり、なんらかのアドウェア*をインストールするプログラムだ。〔*: adware, ユーザーが望まないのにインターネット閲覧中に勝手にダウンロードされ, しばしば性的な広告を自動的に表示する悪質なプログラム; MALWARE, SPYWAREを兼ねるものもある(研究社オンライン辞書より)。 というか一般的には、広告を表示することだけが主目的のソフトウェア。〕


pua.exeはあなたの閲覧体験に害を与えるかもしれないので、Chromeはそれをブロックしました。[無視する]

この種のダウンロードを見つけると、必ずSafe Browsingの警告が出る。そのときユーザは、ダウンロードを避けてもよいし、なんらかの理由で大丈夫と思えば、警告を無視してそれをダウンロードしてもよい。

Googleによると、Safe Browsingの警告は週平均300万回表示されていて、トータルでは11億人の人びとを守っている。かなり多い数だが、これはChromeの全ユーザに、Safe BrowsingのAPIを使っているそのほかのブラウザやアプリケーションのユーザを加えた数字だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


TweetDeck、ハックされたが脆弱性はすでに修正―ユーザーは一度ログアウトすること

アップデート:Tweetdeck は今朝(米国時間6/11)、ハッカーの攻撃に対処してセキュリティー上の修正を行うため一時サービスを停止したが、現在は復帰している。

当初の記事:

パワーユーザーに人気があるTwitterの公式クライアント、TweetDeck今朝ハッカーに攻撃を受けたXSS(クロスサイトスクリプティング)脆弱性を修正したと発表した。Tweetdeckはこのパッチを有効にするためにいったんログアウトしてからログインするようユーザーに求めている。

クロスサイトスクリプティングというのはブラウザを騙して外部のコードを実行させるハッキングの手口で、脆弱性が残っている間はユーザーはTweetDeckのウェブアプリ(あるいはChromeの拡張機能)を停止するしかない。パワーユーザーにとって大いに苛立たしい話だ。

XSSS脆弱性は、たいていの場合、この記事のトップのスクリーンショットのように、無関係なポップアップを開かせるのに使われる。しかし脆弱性を長時間放置しておくとハッカーがユーザーのアカウントを乗っ取ることも可能になる。今回のTweetDeckへの攻撃ではアカウントが乗っ取られた形跡はないということだ。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Dropboxは企業のIT/CIOたちが持つネガティブイメージ”Dropbox問題”の払拭に躍起

ユーザ数が3億を超えたDropboxは、文句なく人気サイトだが、しかしBYODやITの消費者化(とくに調達の安易化)の浸透に伴い同社は、社員が個人的に使っているサービスを会社に持ち込んだときに生じかねない問題を象徴する存在になってしまった。今では、“Dropbox問題”という言葉が、企業世界で流行しているほどだ。Dropboxのプロダクト担当兼企業担当兼モバイル担当の部長Ilya Fushmanによると、今同社は、このネガティブな企業イメージの払拭に努力している。

昨日(米国時間6/5)同社は、ステルス状態だったメッセージングのスタートアップDroptalkを買収した。この小さな会社は、まだChromeのプラグインぐらいしかプロダクトはないが、Dropboxがこれから企業向けプロダクトを作っていくためには、メッセージングの機能が欠かせないのだ。

昨年同社はMailboxを買収しているから、両者を合わせると、急に同社の、企業指向という構図が見えてくる。現にFushmanは、今Mailboxを、とても広く使われているメールサーバMicrosoft Exchange対応にする作業を進めている、と言った。同時にまた、このプログラムのデスクトップおよびAndroidバージョンの開発と、Dropboxとの統合の深化にも取り組んでいる。

4月に同社は、Dropbox for Businessの強化バージョンをリリースし、ITやCIOの人たちに、彼らが必要とするバックエンドに対する細かいコントロールを与えた。この企業向けプロダクトでは、バケツが個人用と会社用の二本立てになる。そしてユーザにとっての‘見かけ’を、どちらか一つ、または両方、に設定できる。

4月の拡張リリースにより、オーディットトレイル(監査のためのログ)が導入され、問題が生じたときには、ドキュメントのそれまでの共有状況が仔細に分かるようになった。社員が別の会社に移籍したときには、必要な(主に個人用)コンテンツを新たな会社のDropboxに転送し、その社員の自社アカウントを消去できる。

さらに今後の計画としては、Fushmanによれば、データの共有と保持をもっと細かい粒度で指定できるようにしたい。また4月のDropbox for Businessで紹介されたProject Harmonyにより、企業の社員たちが使うアプリにデベロッパがDropboxを埋め込めるようになる。そうなるとたとえば、Officeの文書でコラボレーションした結果を、リアルタイムでDropboxに保存できる。ぼくの勘では、Droptalkの買収は、Dropboxの共有を前提とするこのようなコラボレーション機能のためではないだろうか。

こういった一連の取り組みの目的はもちろん、Dropboxが本格的なビジネスツールである、と企業顧客に思ってもらうことだが、まだ疑念は払拭されない。451 ResearchのアナリストAlan Pelz-Sharpeが4月に行われたAIIMのカンファレンスで、顧客から“Dropbox問題”の解決策を頻繁に聞かれる、と語っていた。社員個人が勝手にDropboxのようなソフトウェアを調達できるような状況は、企業にとってまったく新しい世界であり、どの企業も対応に苦慮している、と彼は述べた。

Pelz-Sharpeによれば、新しい世界への移行が困難なのは、Dropboxなどのサービスが伝統的なITとは無縁なところにあり、ITのあの字も知らないような人びとに愛されているからだ。“Dropboxがここまで急速に伸びたのも、ITフレンドリの道を最初から捨て、ユーザフレンドリの道を選んだからだ。彼らは伝統的なIT世界を無視している”、と彼は言う。個人とITの両ニーズ間のバランスを見つけるのは、大企業よりも中小企業の方が容易だろう、ともいう。Boxのような新しい企業も、またIBM、Oracle、Citrixなども、今ではそれができる立場にいる、とPelz-Sharpeは語る。

“中小企業市場は市場規模が大きい(数が多い)し、また大企業のように複雑なシステム統合要件やコンプライアンス要件などを抱えていないことが多いから、管理もセキュリティの確立もFortune 1000の連中より楽である”、だから、ユーザとITの両方をハッピーにしたいというDropboxの願いも、中小企業の方が実現しやすい、とPelz-Sharpeは語る。

Constellation Researchの協同ファウンダR Ray Wangも、4月の本誌記事で、Dropboxが企業に顔を向けるのは良い方向性だけど、現状ではまだ、大企業の顧客に十分アピールするものがない、と言っている。

BYODの時代におけるITサービスという、新しい機会を商機に育てようと虎視眈々とねらっているのは、Box、Google、Microsoft、Egnyte、Citrix, Oracle, IBMなどなど、Dropboxにとって強敵ばかりだ。でもFushmanに言わせると、Dropboxにも強みがある。CIOがツールを探そうとしたとき、Dropboxはすでに社員たち一人々々が使っているツールなのだ。だから、それを会社として公式に採用するのが、断然簡単である。しかもよく見れば、企業が必要とする機能も、揃っているではないか。

企業のDropboxに対する悪いイメージを払拭するためには、企業向け機能の充実とともに、積極的な営業マーケティング活動が重要、とFushmanは言う。“CIOたちに実際に会って話を聞くと、みんな、‘Dropboxに対する不安感はない’と言ってくれる。‘社員たちが好きなものを、社員たちに与えるのは当然だ’とも言う。要はしかし、企業がBYOD的サービスとしてDropboxを採用しようとしたとき、企業ニーズから見て欠けている機能が、そこに一つでもあってはならない。

その点が、今のDropboxでは十分ではないかもしれない。しかし同社は今、個人の仕事データと企業データの完全分離や、企業ユーザからのバックエンドコントロールの高度化、など企業ニーズへの対応に注力しており、それによってCIOたちが安心し、“Dropbox問題”が過去の死語となることを、期待しているのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Google Chromeのデベロッパー版に64ビット版登場―安定性、セキュリティー、パフォーマンスの改善へ

現代の主要OSはすべてネーティブに64ビットCPUをサポートしているし、多くのアプリにも64ビット版がある。しかし全般的にみてブラウザはこの動きに遅れているFirefoxの非公式版には64ビット版が存在するが)。

しかし今日(米国時間6/3)、Googleは実験的なDeveloper版とCanary版でChromeのWindows向け64ビット版をリリースした。おそらく今年中に一般向け安定版にも64ビット版が登場するものと思われる。Macの64ビット版についてのGoogleの対応は現在のところ不明だ。

これまで長いこと「ブラウザを64ビット化してもさしたるメリットはない」という主張が優勢だった。しかし今日のリリースでGoogleがそうは考えていないことが明確になった。GoogleのWill Harrisはリリースにともなうコメントで「64ビット版には、速度の改善など数多くのメリットがある」と述べている。

64化によって最新のプロセッサ、コンパイラの最適化、命令セット、呼び出し方法が利用できるようになる。また関数のパラメータのレジスタへの受け渡しも高速化される。これにより、特にグラフィックス、マルチメディアの処理ではパフォーマンスが平均で25%も改善された。

またGoogleによれば64ビット版のChromeは32ビット版に比べてはるかにクラッシュしにくい。特にレンダリング・プロセスのクラッシュ率は半減したという。

セキュリティーも重要な改善点だ。64ビットアプリはWindows 8で採用されたHigh Entropy ASLRのようにプログラム中の重要なデータをメモリのあちこちにランダムに保持し、ハッカーが容易にアクセスすることができないようにすることによって侵入を防止する手法を利用できるという。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Qualys、エンタープライズのWindows XPのシェアは10%以下に減少と発表

セキュリティー企業のQualysが調査したデータによると、エンタープライズ市場でのWindows XPのシェアは減少を続け、4月には10%だったが、5月に入って8%台にまで下がったという。

10年以上前に発表されたWindows XPについてMicrosoftはさきごろついにサポートを打ち切り、脆弱性を修正するパッチの提供も停止した。NetMarketShareによれば、Windows XPは現在でも世界でデスクトップ・コンピュータの25%のシェアを占めているという。

エンタープライズのXPのシェアがMicrosoftのサポート打ち切り後ほぼ1ヶ月で10%以下になったというのなら良いニュースだ。Qualysによれば、このペースで減少が続けば、4ヶ月後には大企業におけるWindowsXPのシェアはゼロに近くづくという。もちろんいろいろな事情でそういうことにはならないだろうが、グラフは確かに右肩下がりだ。.

Windows XPは大きなセキュリティーリスクだ。このことは最近のIEのゼロデイ脆弱性でもはっきり示された。同様の深刻な脆弱性が今後とも浮上する危険性は高い。大量のユーザーデータをかかえている大企業がパッチを当てていないWindows XPを使い続けることは社会にとっても大きなリスクとなる。

過去数ヶ月のindows XPのエンタープライズ市場でのシェア(Qualysのデータ)

  • Jan 2013 – 34%
  • Feb 2013 – 35%
  • Mar 2013 – 34%
  • Apr 2013 – 31%
  • May 2013 – 29%
  • Jun 2013 – 26%
  • Jul 2013 – 28%
  • Aug 2013 – 26%
  • Sep 2013 – 21%
  • Oct 2013 – 18%
  • Nov 2013 – 18%
  • Dec 2013 – 17%
  • Jan 2014 – 16%
  • Feb 2014 – 14%
  • Mar 2014 – 12%
  • Apr 2014 – 10%
  • May 2014 – 8%

画像はFLICKRユーザー:AUSTEN SQUAREPANTS UNDER CC BY 2.0 LICENSE (IMAGE HAS BEEN CROPPED)

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Microsoft、IEの深刻な脆弱性の修正アップデートをリリース―特例でXPユーザーにも

今日(米国時間5/1)、MicrosoftはInternet Explorerの極めて深刻な脆弱性を修正するアップデートをリリースした。この脆弱性はIE6以降のすべてのバージョンに存在するとあって、先週、l世界的に大問題となった

Windows XPユーザーはIEのバージョン8までしかアップデートできない。またMicrosoftはXPのサポートを打ち切っている。しかしこのバグに限ってMicrosoftは例外を設け、Windows XP上のIEについてもパッチを提供することとした。これに伴ってMicrosoftのTrustworthy Computing部門のゼネラル・マネージャー、Adrienne Hallは以下のような声明を発表した。

われわれは製品のセキュリティーをこの上なく真剣に考えている。この脆弱性の報告を受けた瞬間からわれわれjは速やかにかつすべてのユーザーに対して問題の修正を行うことを決断した。本日、太平洋時間午前10時にわれわれはそのアップデートを公開した。

インターネットに接続して自動アップデートを有効にしている場合、ユーザー側で対応する必要はない。〔日本版:そうでない場合はできるかぎり速やかに手動でアップデートすること。自動アップデートを有効にしているユーザーも、手動でWindows Updateを実行し、IEのパッチがすでにインストールされているか確認した方がよい〕。

この脆弱性は、IEを使用して悪意あるサイトを訪問するとハッカーがユーザーのコンピュータを乗っ取ることができるというものだ。IE 10と11のユーザーはこれらのバージョンに備えられるている保護モードのおかげで比較的安全性だ。いまだに広く使われているIE9以前のバージョンにはこの機能がない

画像:FLICKR USER AUSTEN SQUAREPANTS CC BY 2.0 LICENSE (画像はトリミングされている)

[原文へ]

(翻訳:滑川海彦 Facebook Google+


次のChromebookは、持ち主のスマホが近づくと自動的にアンロックされるかもしれない

パスワードは本当に頭に来る。将来はパソコンにログインしなくてよくなるかもしれないが、Chromebookはそんな機能を標準塔載する最初のパソコンになるかもしれない。Android PoliceがChrome OSデベロッパープレビューの中にヒントを見つけた(via 9to5Google)。最新ビルドに入っていたコードが、自分のアカウントに登録しておいたAndroid端末が近くに来ると、Chromebookがアンロックされる仕掛けを示唆している。

この「Easy Unlock」なる機能には、グラフィックベースのわかりやすい説明画面まで用意されているが、実際の機能はまだ提供されていないので、たとえあなたが最先端のデベロッパーでも、自分用にビルドして新機能を試すことはできないだろう。それでも、これがGoogleの単なる思いつきでないことはわかる。

Googleは、パスワードの代わりに物理的認証を使うことをかなり前から考えており、昨年1月にはパソコンのUSBポートで使う暗号カードの開発に取り組んでいることを本誌が報じた。この種の認証には特殊な専用ハードウェアよりもスマートフォンの方が手軽なのは明らかであり、さらにGoogleは、本物の人間かどうかを検出する自社製のCAPTCHAソフトウェアを騙す方法も見つけていることから、ハードウェアによる解決には、今後ログインだけに留まらない応用の可能性がある。

これがChrome OSの一般向けリリースに実装される可能性は十分にあるが、次のChromebookが出てくるのはまだ数ヵ月先になるだろう。

[原文へ]

(翻訳:Nob Takahashi / facebook


Google、Androidアプリのセキュリティーを強化、インストール後もチェック可能に

Googleは今日(米国時間4/10)、Androidセキュリティーシステムに変更を加え、アプリをGoogle Playストア〈以外〉からインストールしたユーザーが、悪意あるアプリによる被害を受ける可能性をいく分小さくした。

現在、Androidユーザーはアプリをインストールする際に、悪意のあるコードが含まれているかどうかをGoogleに検査してもらうことができる。Googleはこのしくみを拡張し、「インストール後もアプリが安全に振舞っているか」を確認するサービスベースのシステムにする。つまり、Googleが悪質モバイルアプリについて新しい情報を得たら、すでにインストールされているアプリもチェックできるようになる。これまでは、ひとたび悪質アプリがGoogleのセキュリティーチェックを通過すると、それ以降検出する手立てはなかった。

この新たな継続チェックシステムは、GoogleがすでにAndroidおよびChromeブラウザーで使っているものと同じアプリ検査テクノロジーを使用している。

Googleによると、Androidの “Verify apps”[アプリ検査]機能は年間で計40億回以上利用されている。Googleは、新しい警告ポップアップを見る人が殆どいないことを期待している。もし表示された場合、それは現在のVerify apps警告とほぼ同じ外観だ。Googleは今日の発表で、これらの警告が非常に効果的であることを強調した。昨年、アプリに危険の可能性があるという警告を受けた後にインストールされた例はわずか0.18%だった。

モバイル・マルウェアの大部分をAndroidが占めていることはよく知られている(PDF)。そのうちGoogleお膝元のPlay Storeからのものはごくわずか(一部の報告によると0.1%)にすぎない。悪質モバイルアプリの主たる発生源はサードパーティーのアプリストアだ ― Googleが公式ストアを提供していない国の場合が多い。

[原文へ]

(翻訳:Nob Takahashi / facebook


Targetはクレジットカード情報の盗難の危険性を事前に知っていて, 何も対策しなかった

Bloomberg Businessweekに載った苛烈な記事によると、リテイラーのTargetは、同社のセキュリティシステムに危険が生じたことを知らされてから二週間も、その事態を放置した。〔関連記事(1)(2)。〕

実は昨年から、Targetはセキュリティ企業FireEyeを利用して、サーバ上のマルウェアを監視させていた。バンガロールにレスポンスチーム(事故対応チーム)を置くFireEyeが、ミネアポリスのTarget本社に、同社がハックされたことを告げたのは11月30日だった。そしてそれに関して、誰も何もしなかった。

つまり、Bloomberg誌によると、“何らかの理由でミネアポリスは、警報に反応しなかった”。

その記事はやけに詳しくて、読み物としてもおもしろいが、TargetのセキュリティシステムだけでなくFireEyeの“ハニーポット”サーバについても説明している。それは犯人たちを、本物のサーバに侵入したと思わせる囮(おとり)のサーバで、FireEyeはそれを監視している。しかし、そのあとの話がこわい。

”その侵犯は人間が介入しなくても阻止できた。システムには、マルウェアを検出したら自動的に削除するオプションがあった。しかしその侵入事件のあとでFireEyeのパフォーマンスを監査した二人の人物によると、Targetのセキュリティチームはその機能を無効にしていた。同じくFireEyeを1年あまり使っていた航空機メーカーBombardier Aerospace社の主席セキュリティ担当役員Edward Kiledjianは、それは異例なことではない、と言う。“セキュリティチームというものの習性として、対策の最終決定を自動機械(ソフトウェア)にやらせず、自分でやりたいんだよ”、と彼は言う。しかし、と彼は警告する、“ソフトの自動化機能をoffにしておくと、感染しているコンピュータを早急に見つけて無害化することが、チームの責任になってしまうのだ”。

結局のところ、最後に残ったものは、Target側の怠慢と、FireEye側の明快な名誉回復努力だ。Targetがそのマルウェアを削除する気にならなかったのだから、FireEyeに落ち度はない、と記事は結論している。責任のなすり合いには発展しなかったものの、明らかに、先週辞めたTargetのCIO Beth Jacobが、すべての批難の矢面(やおもて)に立つことになる。

教訓は、良かれと思った計画も往々にして裏目に出る、ということ。Bloomberg Businessweekの元記事はここにある

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


Windows XPのシェア、依然として30%―サポート終了後のXPが狙われやすいわけは?

世界のOSの2月の市場シェアが発表された。 これによると、サポート終了間近のXPが依然としてデスクトップの3分の1近いシェアを占めている。 NetMarketShareの調査によると、2月のデスクトップOSのWindows XPのシェアはインストール・ベースで29.53%だった。

Windows XPのサポートは今年4月8日で終了する。つまりあと34日しかない。Microsoftがサポートを終了する日でもWindows XPのシェアは優に2桁を維持しているだろう。

昨日(米国時間3/3)の公式ブログでMicrosoftはユーザーがWindows XPから乗り換える手助けをするツールを発表した。

サポートが終了した古いOSを搭載した大量のパソコンが市場に取り残されることは何を意味するのか? Ars TechnicaのPeter Brightが「大勢が痛い目に遭う」として、次のように説明している。

相当数のユーザーがInternet Explorer 6-8を使い続けるだろう。つまりこれらのWindows XPユーザーはサポートされないOSでサポートされないブラウザを使うことになる。

悪意あるハッカーがこれにつけ込むことは避けられない。どう考えてもひどいことになりそうだ。

私はクラウドのセキュリティー企業 QualysのCTO、Wolfgang Kandekに話を聞いた。それによる状況は想像していたよりずっと悪くなりそうだ。Windows XPのサポート終了後、当然ながらMicrosoftはWindows7の脆弱性にパッチを当て続ける。これが悪意あるハッカーに絶好の情報となるという。KandekによるとWindows 7で発見される脆弱性の70%はWindowsXPにも影響するからだ。悪い連中はWindows 7のバグフィックスを調べるだけでWindows XPを攻撃する方法を知ることができる。空前のペースで悪用が行われることになるわけだ。

Kandekによると、こうした攻撃はサポート終了の直後から始まるわけではないが、6月か7月には影響が出てくるだろうという。

企業はWindows 7へのアップグレードを進めているが、そのスピードは十分とはいえない。Kandekの会社の推計によると、サポート終了の時点でエンタープライズ市場のパソコンの14%がWindowsXPだろうという。

画像: FLICKR USER AUSTEN SQUAREPANTS UNDER CC BY 2.0 LICENSE (IMAGE HAS BEEN CROPPED)

[原文へ]

(翻訳:滑川海彦 Facebook Google+


Twitterパスワードのリセット通知が届いた人多数 ― 実は単なる間違いだった模様

この数時間で、Twitterからセキュリティ確保のためパスワードを変更するようにというメールを受け取ったという人が多数いるようだ。

何か問題が発生しているのだろうか。Twitterがハッキング被害にあったりしているのだろうか。メールは果たして本当にTwitterからのものなのだろうか。それともなにかフィッシング絡みのものなのだろうか。

取り敢えず、メールは本物だ。しかしセキュリティ上の問題が起こっているということはないらしい。Twitter社の人間が、パスワードリセットを促すメールを、必要のない相手に送ってしまっただけというのが真相らしい。つまり、メールを受け取った人のアカウントも、実際上は何の問題もないということのようだ(もちろん、たまたま、すごい偶然で本当にトラブルに巻き込まれているということはあり得る)。

「Twitterとは関係のないサービスないしウェブサイトから、アカウントが危険に晒されているようです」とメールには書いてある。「第三者からのアクセスを遮断するため、パスワードのリセットを行いました」(原文:”Twitter believes that your account may have been compromised by a website or service not associated with Twitter. We’ve reset your password to prevent others from accessing your account.”)。

Twitterからは短いながら(もちろん140文字以内にまとめなくてはならないわけだ)、今回の事象について説明している。

システムエラーによりパスワードリセットのメールを送ってしまいました。対象となった方にご不便をおかけしてしまい申し訳ありません。

何の問題もなかったらしいということで、取り敢えずは安心だ。ただ、メールが届いてしまった人は、実際にパスワードリセットを行う必要があったことだろう。まあ、「最悪の自体」にはならなかったわけだ。

原文へ

(翻訳:Maeda, H)


サイトにパスワードを保存する必要なし― Microsoft、Google等がユーザー認証の新規格、OpenID Connectをサポート

ユーザーをウェブサイトやモバイル・アプリにサインインさせること自体は特に難しくない。しかしログイン情報を安全に保つテクノロジーはこれまでセキュリティー専門家が扱うものとされてきた。

今日(米国時間2/26)、OpenID財団がローンチしたOpenID Connectは分散IDシステムに基づくユーザー認証の新しい規格だ。これに対してMicrosoft、Google、Salesforce、Deutsche Telekom、AOL(TechCrunchの親会社)など有力テクノロジー企業と電話キャリヤ多数がサポートを表明している。

デベロッパーはこの規格を利用して簡単なコードを書くだけでサインインのプロセスをMicrosoftやGoogleなどのIDプロバイダににアウトソースすることができる。つまり.OpenIDdを利用すればデベロッパーは自らのサーバにパスワードを保管する必要がなくなる。

OpenID財団は、この新規格によってデベロッパーはユーザーのログイン情報の安全な保管という重荷から解放されるとしている。デベロッパーに代わって、大規模なインフラと高度な技術力を持ち、セキュリティーに対する侵害について常に最新の情報が得られるIDプロバイダがログイン情報を安全に保つ責任を負うことになる

OpenID財団の以前のログイン規格とは異なり、OpenID ConnectはSSL接続に加えてOAuthによるユーザー認証を採用している。以前の規格はXMLと独自のメッセージ・シグナチャーを利用していたため、デベロッパーが実装するためには相当の技術力を必要とした。新バージョンでは、OAuth 2.0が安全な接続とデータ交換を処理する。

それではなぜOAuthだけでなく、その上にさらに別のレイヤを必要とするのだろうか? OpenID財団の崎村夏彦理事長は「OAuthはアクセス許可のプロトコルだが、ユーザーの身元を確認するプロトコルではない」という(ビデオで崎村理事長が自ら説明している)。そのためOAuthにはなりすましを許しやすいなどの弱点がある。FacebookもOAuthを利用してサードパーティーのサインインを助けている。 Facebookのsigned requestsはFacebookの独自規格であるという点を除けばその機能はOpenID Connectと非常によく似ている

Googleのアイデンティティー・プロダクトのグループ・マネージャー、Eric Sachsは私のインタビューに対して「ほとんどのデベロッパーはOAuthの処理に慣れている。このプロトコルの主要部分は、多くのデベロッパーがAPIにアクセスするためにすでに利用したことがあるテクノロジーだ」とConnectを使う利点を強調した。Sachsによれば、GoogleはOpenID ConnectをGoogle+のサイイン・ライブラリに採用するのを始めとしてその普及に全力で取り組むという。

Googleはサードパティーに提供するサインイン機能をすべてOpenID Connect規格にアップデートし、現在のOpenIDは来年にもサポートを打ち切る予定だ。Sachsは「デベロッパーはできるだけ速やかにOpenID Connectに切り替えるべきだ」と言う。

しかしOpenID Connectにとって普及に向けての大きな勝利は、今週、今回の規格の正式発表に先立って、 バルセロナで開催されたモバイル・ワールド・コングレスの主催者であり800社以上のモバイル・ネットワークが参加する団体、GSMAが新しい安全なモバイル接続におけるユーザー認証の規格としてMobile Connectを制定したことだ。モバイル・ネットワーク各社はOpenID Connectの採用によって、ネットワーク間の安全な相互運用性が確保されることを期待している。

[原文へ]

(翻訳:滑川海彦 Facebook Google+


今度はKickstarterがハックされる―メールアドレスなどのユーザー情報漏えい

最近は毎週のように有名なサイトがハックされたというニュースを伝えねばならない。今回の被害者はKickstarterだ。

Kickstarterはブログ(とユーザー向けメール) でハッカーが同社のデータベースの一部に侵入したことを発表した。

良いニュースはクレジットカード情報は盗まれなかったことだ。また仮に盗まれたとしてもKickstarterはクレジットカード番号をフルに保存していないという。

それほどよろしくないニュースはというと、ハッカーがユーザー名、メールアドレス、メーリングリスト、電話番号、暗号化されたパスワードにアクセスしたことだ。パスワードが暗号化されていたことで多少救われる。しかしどんな暗号化も絶対に安全というものはないので、必ず パスワードを変更しておくことをおすすめする。

Kickstarterによるとハッカーの侵入は水曜の夜に捜査当局から教えられたのだという(どの捜査機関かは明らかにされていない)。Kickstarterはハッカーが利用した脆弱性を直ちに修正し、その後4日間何が起きたかを調査していたという。

アップデート: Kickstarterはいくつかの疑問についてアップデートを発表した。

  • パスワードは2種類の方法で暗号化されていた。古い方式ではSHA-1プロトコルでハッシュ化され、ソルトされていた。新方式ではbcryptが用いられていた。
  • 侵入を知ってから発表までに4日かかったのは状況を詳細に調査していたため。
  • 2個のアカウントで不当な侵入の証拠が認められたが、直ちに是正された。
  • Facebookアカウントを使ってKickstarterにログインしていた場合、FBアカウントの情報は一切漏えいしていない。Facebookのログイン・トークンはすべてKickstarter側でリセットされた。Facebookユーザーは再度接続を手動で許可する必要がある。

〔日本版:訳者はFacebookでログインしているが、Kickstarterからのメールには「われわれは用心のためにFacebookでのログイン情報をリセットした。ユーザー側での対応は必要ない」.とあり、事実いままでどおりKickstarterのトップページのログインボタンをクリックするだけでログインできた。〕

[原文へ]

(翻訳:滑川海彦 Facebook Google+


クラウドストレージサービスを完全暗号化で使えるnCrypted Cloudのサービス

DropboxやGoogle Driveなど、広く使われているファイル共有サービスを企業が利用するときには、万が一ハッカーにやられたときの、ファイルの盗難や改竄が心配になる。そこでこのたび登場したnCrypted Cloudは、あらゆる場所で、あらゆるものを暗号化すると同時に、誰がいつどのファイルにアクセスしたかという完全な記録(audit trail, 監査証跡, 追跡記録, オーディットトレイル)をつける。

このnCryptedサービス経由でDropboxやGoogle Drive、SkyDrive、Boxなどを利用すると、ファイルは暗号化されてから保存される。すでに保存されているファイルを暗号化することもできる。ベテランの起業家Nicholas Stamosと暗号技術の名人Igor Odnovorovが創ったnCryptedは、すでにMicrosoftやCisco、Reveal Imaging、Broadcomなどから計300万ドルのシード資金を獲得している。今は、早くもシリーズAを模索しているところだ。

Stamosはこう説明する: “nCrypted Cloudは、その実装にPCSモデルを採用しているので、企業のIT部門はクラウド上で共有されるデータの保護責任をエンドユーザに委譲できる。しかし責任には説明責任も伴うからnCrypted Cloudは、どんなネットワーク、どんなデバイス、どんなクラウドストレージサービスにおいても、、データの利用やアクセスに関する監査記録をつけ、ユーザのアクティビティを一望にできるようにしている”。

“これまでユーザが生成した監査イベントは累計で1億を超えている。また、弊社が暗号化したファイルの数は1000万を超えている。大企業の顧客が多いが、セキュリティ上の理由から、その名を明かすことはできない”。

小企業や個人も、このサービスを利用できる。そのレベルの利用プランは無料である。大企業向けの有料プランについてはここをお読みいただきたい。Stamosいわく、このアプリケーションはあくまでも各個人の説明責任が主であり、トップダウンの上意下達形のツールではない:

“わが社のサービスによって企業のIT部門は初めて、データの所在や移動に関する総合的な姿見(すがたみ)を入手したことになる。企業の外部や、企業のものではないデバイスに関しても、ファイルの所在・移動をチェックできるのだ。しかもオーディエットトレイルにより、異状を早期に発見修復できる。弊社が採用している説明責任を核とするモデルは、これこそが唯一の、スケーラビリティのあるモデルであり、われわれの一般社会の原理原則でもある(一点・上部管理型はスケールしない)。分かりやすい例が、各州が採用している65mphのスピード制限だ。でもそれは、車に対する速度制限ではない。なぜなら、車が時速何mphで走るかは、ドライバー自身の説明責任に属するからだ。その方が、道路上の車の流れも良い。弊社のサービスでも、個々のエンドユーザは迅速に効率的にファイルアクセスやファイルの移動・保存ができ、しかもそれと同時に、データの保護という企業の要件も満たされる。nCrypted Cloudは、この相(あい)対立する二項の均衡を実現している”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))


460万人分のユーザーデータ流出のSnapchat、APIの脆弱性は昨年8月に警告されていた

Snapchatは460万人分のユーザー名と電話番号が漏洩した件について公式ブログに記事を発表した。それによるとデータが盗まれたのはAPIの濫用が原因だったという。同時に電話番号から対応するユーザー名が検索できるデータベースの仕様に問題があったことを認めた。

Snapchatでは今後こうした大量の個人情報流出が起きないよう、Snapchatのモバイル・アプリとサービス自体に改良を加えるよう準備しており、また電話番号から友達を検索できるFind Friends機能をオプトアウトに変えるとしている。

Snapchatによれば、同社は昨年8月にこのセキュリティー上の問題を外部から指摘され、APIを通じたユーザーデータ検索の速度を制限するなど一定の対策を取った。

ところがSnapchatは去る12月7日にFind Friends APIを利用して大量のユーザーデータを取得する方法をわざわざブログで公開するというセキュリティー史上まれに見る理解に苦しむ行動に出た。この記事でSnapchatは「理論的には誰かが大量の電話番号、たとえばアメリカ中のすべての電話番号をアップロードして順次Find Friendsで検索すれば、ユーザー名とそれに対応する電話番号の大量のデータベースを作ることが可能だろう」と書いている。

するとSnapchatのデータベースがまさにその方法で攻撃されたのだという。こうして460万人分のユーザー名とそれに対応する電話番号を掲載したSnapchatDB.infoがウェブに公開されてしまった。

驚いたことにSnapchatのコメントには迷惑をかけたユーザーへの謝罪が一言もない。過失を認めることになるのを恐れたのかもしれないが、まずい対応だという気がする。

Snapchatを攻撃した人物(ないしグループ)は「データを公開したのはSnapchatのセキュリティー問題に公衆の関心を呼び覚まし、Snapchatに欠陥の改良を促すためだった」と主張している。スタートアップにはリソースが不足していることは理解できるが、だからといってセキュリティーをないがしろにしてよい理由にはならない。セキュリティーはユーザー体験に劣らずサービスにとって本質的な要素だ。

攻撃グループは12月下旬、Gibson SecurityがFind Friendsのセキュリティー問題を詳細に指摘したことを報じるZDNetの記事によってこの欠陥を知ったという。この記事はGibson SecurityがSnapchatにセキュリティー問題を指摘したにもかかわらず回答がなかったので公表されたとのだという。

TechCrunchのJosh Constineも先月この問題を指摘していた。Snapchatの最初の間違いはセキュリティー専門家の意見を無視したところにある。Gibson Securityが警告を発したのは昨年8月で、問題が公表されるはるか前だったのだから、その間にSnapchatは真剣にセキュリティーの改善に取り組むべきだった。

[原文へ]

(翻訳:滑川海彦 Facebook Google+