タグ: Security

モバイルセキュリティ企業数社と協力してGoogle Playから悪質Androidアプリを駆除

Googleはモバイルのセキュリティ企業ESETやLookout、およびZimperiumとパートナーして、Google Playのアプリストアに出没する悪質なAndroidアプリの被害と戦おうとしている。

その発表は米国時間11月6日に行われ、各社は新たに作られた連盟であるApp Defense Alliance(アプリ防衛同盟)に参加したことを確認した。Googleによると、同社はこれらの企業と協力して「悪質なアプリがユーザーのデバイスに到達する前に停止する」ことに努力する。

同社はここ数年、悪質なアプリとの戦いで苦戦している。「アプリはGoogle Playで掲載される前にマルウェアなどの悪質な部位の存否を審査されるが、それが十分ではないので、ユーザーのデバイスに入り込む悪質なアプリを根絶できていない」と批判されている。

Googleは今年の早い時期に、Google PlayからダウンロードされるAndroidアプリのうち、有害と思われるのは0.04%にすぎない、と発表した。しかし今のGoogle Playストアでは、0.04%は約3000万に相当する。すなわち、問題は解決していない。

ESETLookoutZimperiumは近年、Google Playで数百の悪質アプリを発見し削除することに貢献した。しかし、今回各社が正規のパートナーになって、Androidが内蔵しているマルウェア対抗エンジンであるGoogle Play Protectの技術を各社のスキャンニングエンジンと統合すれば、その集団的取り組みによって、ダウンロードが承認される前のアプリをより厳格にフィルタできるようになる。

「モバイルアプリの脅威は日に日にひどくなっているから、知識の共有と業界全体の協力体制が重要だ」とGoogleは説明している。

関連記事:Tibetans hit by the same mobile malware targeting Uyghurs(ウイグル族を狙った同じモバイルマルウェアがチベット人を攻撃、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

アップルがプライバシーサイトを刷新、技術白書を公開

Apple(アップル)は4年連続で、プライバシーに関するページを更新した。同社は毎年、ウェブサイトのプライバシー項目を更新し(通常は製品発売の約1カ月後)、顧客に最新の機能や技術を説明している。テロリストのiPhoneの内容を知るために連邦捜査官が同社にバックドアの作成を強要していたFBIとの戦い以来、同社はこれまでの秘密主義的なやり方を捨て、セキュリティとプライバシーのポリシーを全面的に公開している。

アップルのプライバシーページは、プライバシーに対する同社のさまざまな取り組みを掲載するように進化し、さらにはユーザーへのヒントやトリック、そして政府からのデータ公開要求の数を記載した、年2回の透明性レポートを掲載している。

今年には初めて、同社はいくつかの最も人気の技術がどのように機能するかを記述した技術白書を公開した。これまで、同社はSafariや写真、位置情報サービス、サインインに関する技術白書をリリースしてきた。昨年同社はヨーロッパのGDPRによる法的要件に応え、「データをダウンロードする」ページを公開し、ユーザーが保存しているすべてのデータを入手できるようにした。

アップルによると、同社のプライバシーページはサイト全体の中で最も訪問者の多いページだという。これまでと同じく、アップデートされたプライバシーページには、iOS 13と、今年リリースされたmacOS Catalinaに関する、Safariの追跡防止や位置認識、連絡先メモの保護といった新しいプライバシーとセキュリティ機能がすべて含まれている。

[原文へ]

(翻訳:塚本直樹 Twitter

ファーウェイがバグ発見褒賞会議を開催、ミュンヘンにハッカーを集める

中国のテクノロジー大手のHuawei(ファーウェイ)は、今月下旬にミュンヘンで開く秘密会議に全世界の優秀なスマートフォンハッカーを招き、各国政府の同社に対する懸念を払拭しようとしている。

TechCrunchの情報筋によると、その11月16日の会議でファーウェイは、新しいバグ褒賞事業を非公開で提示する。それにより、セキュリティの脆弱性を指摘した研究者には賞金が贈られる。情報筋によると、そのバグ褒賞事業は過去と未来のモバイルデバイスを対象とし、またAndroidに対抗する同社製モバイルオペレーティングシステムであるHarmonyOSも、バグ発見賞の対象になる。

Apple(アップル)やGoogle(グーグル)、Samsung(サムスン)など、そのほかのスマートフォンメーカーにもバグ褒賞制度がある。

ファーウェイの新しいバグ発見褒賞制度は、同社と中国政府との関係に対する批判が最近ますます高まっていることと関係がありそうだ。同社が中国政府のためにスパイ行為をしているという米国の主張をファーウェイは否定しているが、それでもなお連邦政府は制裁と米国での事業に対する制限を解こうとしない。同社に対するこのような圧力の中で、グーグルなどはファーウェイに対する同社スマートフォンに使われていたAndroidのサポートを停止し、そのため同社は独自のOSを使わざるをえなくなった

ある情報筋はこのイベントを、アップルが8月に主催した秘密会議に似ているという。そこではiPhoneをハックしてセキュリティの弱点を見つけたセキュリティ研究家に、特別製のiPhoneが贈られた。

情報筋によるとファーウェイのバグ褒賞会議の目的は、セキュリティ研究者たちと同社との積極的な協働ぶりを各国政府に見せつけることにある。ファーウェイは通信企業が使用するネットワーキング機器も作っているが、これに関しては今年初めに英国の政府当局から、同社は国のセキュリティの脅威にはならないと主張しながら、深刻で意図的な欠陥を直そうとしないと批判された。

ファーウェイのスポークスパーソンであるChase Skinner(チェイス・スキナー)氏は、コメントの求めに応じなかった。

関連記事:米通信委がファーウェイとZTEの設備排除を通信会社に要求へ

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

アドウェア感染した多数のAndroidアプリが数百万回ダウンロードされる

セキュリティ研究者らは、Google Playにて被害者に金銭目的で広告を配信するAndroidアプリを多数発見した。ESETの研究者らは、アドウェアを含む42のアプリを発見し、それらが2018年7月に最初に登録されてから800万回以上ダウンロードされたと述べている。

これらのアプリは見た目は普通だが巧妙に動作する。ユーザーがアドウェアに感染したアプリをインストールすると、アプリはデバイスのディスプレイに半ランダムに全画面広告を表示する。アプリはショートカットアイコンを削除してしまうこともあり、削除しにくい。アドウェアに感染したアプリは、Facebook(フェイスブック)やGoogle(グーグル)のアプリに擬態して広告配信アプリだという疑惑を回避し、可能な限り長くデバイスにとどまるように設計されている。

そしてバックグラウンドでは、特定のアプリがインストールされているかどうか、あるいはさらなるマルウェア感染したアプリをデバイスに導入可能な非公式ストアからのアプリがインストールできるかどうかなど、ユーザーのデバイスに関するデータも送信されていた。

「分析したすべてのアプリのアドウェアに関するの機能は同じだ」と、ESETのセキュリティ研究者の一人であるLukas Stefanko(ルーカス・ステファンコ)氏は述べた。

研究者らはまた、アプリが影響を受けたデバイスがGoogleのサーバに接続されているかどうかをチェックし、検出されるのを防いでいることも発見した。アプリがマルウェアを防ぐGoogle Playのセキュリティメカニズムによってテストされていることを検知した場合、アドウェアの機能はオンにならない。

報告されたアプリの中には、500万回ダウンロードされたVideo Downloader Masterも存在する。その他には、Ringtone Maker Pro、SaveInsta、Tank Classicがそれぞれ50万件ダウンロードされていた。

研究者らは、ベトナムの大学生がこのアドウェアの制作に関わっている可能性があると述べている。

Googleは問題のアプリをすべて削除したが、サードパーティーのアプリストアにはまだ多くが存在し入手できると、研究者らは警告した。同社のスポークスパーソンもこれらのアプリがすべて削除されていることを認めたが、通常アプリの削除に関する詳細については情報を明かさない。

[原文へ]

(翻訳:塚本直樹 Twitter

Twitterが世界のリーダーたちの暴言のリツイートを禁止

Twitterは、ルールに違反している世界のリーダーからのツイートへの対話の仕方を制限することを発表した。

同社によると、今後は人を不快にさせるようなツイートをいいねしたり、リプライ、シェア、またはリツイートすることを禁ずるが、コメントや普通のツイートの中で問題のツイートを引用することは許される。

その理由は、ユーザーは今世界で起きていることを、口汚いツイートも含めて知るべきだが「ルール無視の黙認は許さないためだ」という。

口汚いツイートへのいいね、リプライ、シェア、リツイートはできなくなる。コメントでリツイートして自分の意見を表明することはできる。

Twitterは「ルールを破っている世界のリーダーに対して何もしない」という非難と、表現の自由の間で板挟みになっていた。

Twitterは米国時間10月15日の無署名のブログ記事で、「世界のリーダーたちのTwitter上の行為に対して前例のない措置を講じた」と言っている。

昨年Twitterは「北朝鮮に対する宣戦布告の脅しなど物騒なツイートを書くドナルド・トランプを禁じない」という立場を明らかにした。しかし、イランの最高指導者ハメネイ師の場合は、彼のツイートの1つが削除された

Twitterは「世界のリーダーたちのアカウントが弊社のポリシーよりも上位にあることはない」とし、「テロを奨励するツイートや暴力による脅し、プライベート情報のポストなどを行う者は、誰であれ禁止される」と説明する。

しかし、Twitterはこれに続けて「世界のリーダーが関与している場合は、その発言への公共的関心が明らかに存在するならば、そのコンテンツをそのまま残すという小さな過ちを、私たちはあえて犯すこともある」とも語る。、

そしてそんな場合には「そのコンテンツにルール違反であるという注記を付け、人々がコンテンツを見られるためのリンクを置く」として、7月の約束を補足している。

Twitterは、こんなツイートもしている。「目標は、ルールを正しく公平に適用することである。そうすることによって、弊社の検閲方針を正しく理解していただけると思っている。弊社はオープンな会話の場を提供するとともに、人々がリーダーの言葉を聞き、彼らの説明責任を明らかにする権利を保護する」。

関連記事:Twitter asserts that it won’t ban Trump because he’s a world leader(トランプは世界のリーダーだから暴言ツイートを禁じないとTwitterが発表、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

マイクロソフトは2020年の大統領選候補を狙ったイランのハッカーの攻撃を発見

Microsoft(マイクロソフト)によると、同社はイランと関連のあるハッカーたちが2020年の大統領選の候補者を狙っている証拠を見つけた。

この巨大テクノロジー企業のセキュリティ部門のトップTom Burt(トム・バート)副社長が、ブログでその犯行を確認しているが、候補者の名前は挙げられていない。

マイクロソフトがPhosphorous(燐光)と呼ぶその犯行グループは、APT 35とも呼ばれ、マイクロソフトの特定の顧客のメールアカウントを見つける試みを2700回以上行った。バート氏によると、これらのアカウントは大統領選や、現在および前の米国政府職員、ジャーナリスト、そして国外に住むイラン人の有名人などに結びついている。

バート氏によると「4つのアカウントはこれらの試みにより侵犯されたが、この4つは米国大統領選や現在および過去の米国政府職員に結びついていない。犯行は8月と9月に行われた」と語る。

犯行グループはマイクロソフトのアカウントに結びついている第二のメールアカウントにアクセスし、そこからアカウントに侵入しようとした、と彼は言う。犯人が、ユーザーの電話番号を集めてそれらを攻撃しようとしたこともある。バート氏によると、犯行は「技術的に高度なものではなく」て、とにかく「大量の個人情報を利用して」アカウント見つけ、攻撃しただけだ、という。

8月と9月の犯行では、マイクロソフトを電子メールプロバイダーとして使っていた大統領選候補者はドナルド・トランプ氏とマーク・サンフォード氏だけだった。

マイクロソフトのレーダーがPhosphorousを捉えたのは、これが初めてではない。同社はこの犯行グループをすでに訴えており、バックにテヘラン(イラン政府)がいると信じている。今年初めにマイクロソフトは、ハッカーたちが水飲み場型攻撃のために使っていたいくつかのドメインを捉えた。そのハッカー集団は、元米空軍対敵諜報職員Monica Wittと関係があったとも信じられている。彼女は2013年にテヘランに逃れ、今ではスパイ行為の疑いでFBIが追っている

この前のハッカーたちの作戦では、YahooやGoogleのログインページに似せた二要素認証を欺くページで、学者やジャーナリストをねらったスピアフィッシング(Spearphishing、特定ターゲットに対するフィッシング)を展開した。

マイクロソフトによると、これまで同社は、国家が背後にいる犯行に関して800件あまりの通知を行った。そのユーザーたちは、政治的キャンペーンを対象とする同社のアカウント監視サービスで保護されていた。

関連記事:マイクロソフトがイランのハッカーのドメイン差し止め命令を連邦裁判所からゲット

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Twitterのジャック・ドーシーCEOのTwitterアカウントが乗っ取られる

ハッカーがTwitterの共同創業者で現在のCEOであるJack Dorsey(ジャック・ドーシー)氏のアカウントを乗っ取った。

人種差別なども含む一連の悪質なツイートが、8月31日東部時間午後3時30分(9月1日日本時間午前4時30分)よりTwitterのCEOのTwitterアカウントへ彼からのツイートとしてポストされた。それらのツイートのひとつには、アカウント乗っ取り犯と称する者のTwitterハンドルがあった。そのアカウントは、即座に停止された。

ドーシー氏にはフォロワーが421万人いる。

TwitterのスポークスパーソンEbony Turner(エボニー・チューナー)氏によると、同社は目下調査中である同社は事件に関して、こんなツイートをポストした。

アカウントがどうやって乗っ取られたのか、まだわかっていない。しかし悪質なツイートはCloudhopperから送られた。Twitterが2010年に同社のSMSサービスを改良するために買収したこのサービスが使われたということは、誰かがドーシー氏のアカウントのパスワードを入手したのではなく、認証されているサードパーティのアプリが彼のアカウントを乗っ取った可能性を示唆している。

著名なアカウントをハックされてTwitterの大掃除が必要になったことは、これが初めてではない。FacebookのボスであるMark Zuckerberg(マーク・ザッカーバーグ)氏も、二段階認証を使わなかったためにTwitterのアカウントをハックされたことがある。また、そのときの彼のパスワードは、知らない人が当てやすい笑えるほどシンプルなものだった。

その後Twitterは、ドーシー氏のアカウントを保護したと公表した。

Twitterのその後「アカウントに結びついている電話番号が、モバイルプロバイダーのセキュリティの欠陥により乗っ取られた。これによって、権限のない者がその電話番号からテキストメッセージでツイートを作って送ることができた」とコメントした。

つまり、ドーシー氏はSIMスワッピング(SIM交換を悪用する詐欺)の被害者になったようだ。Twitterは、そのモバイルプロバイダーの名を挙げていない。

Twitterからの声明でこの記事をアップデートした。

関連記事:マーク・ザッカーバーグのTwitter、Pinterest、LinkedInがハックされる、Facebookアカウントは無事

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

悪質ウェブサイトを利用して数年間もiPhoneが秘かにハックされていたことが判明

Googleのセキュリティ研究者たちは、ユーザーが訪問すると、これまで公表されていなかったソフトウェアの欠陥を悪用してユーザーのiPhoneをこっそりハックする悪質なウェブサイトを複数見つけた。

GoogleのProject Zeroが米国時間8月29日の午後発表したブログ記事によると、それらのウェブサイトはこれまで何も知らぬ被害者たちが毎週何千人も訪れて「無差別攻撃」にやられている。

Project Zeroのセキュリティ研究家Ian Beer(イアン・ビア)氏は「ただそのサイトを訪れるだけで、悪者サーバーが訪問者のデバイスを攻撃し、攻撃に成功したらモニタリングを行うプログラム片を埋め込む」とコメントしている。

彼によると、それらのウェブサイトはこれまで「少なくとも2年以上」iPhoneをハッキングしていた。

研究者たちが見つけた悪行の連鎖は5種類あり、それらは12のセキュリティ欠陥を利用していた。そのうち7つは、iPhone内蔵のウェブブラウザーであるSafariと関係があった。その5種類の攻撃連鎖により犯人は、最高のアクセスと特権のレベルである「root」アクセスを入手した。そうすると犯人は、一般ユーザーには近づけない特殊な機能にもすべてアクセスできるようになり、悪質なアプリをインストールして、所有者への通知も同意もないままiPhoneを制御できた。

Googleの分析によると、アプリのセキュリティ欠陥、いわゆる脆弱性を利用して犯人は、ユーザーの写真やメッセージを盗み、ユーザーの位置をほぼリアルタイムで追跡できた。その埋め込まれた悪質なプログラムは、デバイス上にユーザーが保存しているパスワードのリストにもアクセスできた。

実害があったのはiOS 10から現在のiOS 12までのバージョンだ。

Googleは2月にAppleにこの脆弱性を教え、被害がひどく、しかも長期にわたっているから、できるだけ短期間で修復しユーザーにアップデートを提供すべきだと推奨した。通常この種の被害ではソフトウェアデベロッパーに90日間の猶予が与えられるが、Appleは事態が深刻なため1週間という期限を設けた。

そしてAppleは6日後に、iPhone 5sとiPad Air以降のiOS 12.1.4のアップデートを発行した。

ビア氏によると、今現在、別のハッキング作戦が展開されていることもありえる。

iPhoneとiPadのメーカーは、セキュリティとプライバシーに関してきれいな話ばかりしてきた。最近ではiPhoneのroot特権を密かに奪うようなバグの発見者への報奨金を100万ドルに増額した。年内に発効するこの新しい報奨金ルールによると、Googleはさしずめ数百万ドルぐらいもらえるかもしれない。

Appleのスポークスパーソンはまだコメントをくれない。

関連記事:アップルがバグ報奨金プログラムを拡大し最大1億円に

[原文へ]

(翻訳:iwatani(a.k.a. hiwa

カザフスタン政府によるブラウザー閲覧盗聴行為をGoogleとMozillaが共同でブロック

Google(グーグル)とMozilla(モジラ)が珍しくも協力して、カザフスタン政府が発行した信頼できない証明をブロックしている。その証明発行行為を批判する人たちによると、政府は国民のインターネットトラフィックを監視する取り組みの一環として、一般市民にその証明のインストールを強制している。

2つのブラウザーメーカーは米国時間8月21日の共同声明で、政府が発行した証明をブロックするための「技術的ソリューション」を適用したと表明している。

国民監視政策の一環として、一般市民が自分のコンピューターやデバイスに政府発行の証明をインストールするよう命じられた。インストールすると、そのデバイス上のネットワークトラフィックに政府がrootアクセスできるようになり、政府が一般市民のインターネット閲覧行為を傍受し、盗聴・盗視ができる。

研究者たちは、実際にモニタされているサイトがFacebookやTwitter、Googleなどごくわずかであることを見つけた。

カザフスタン政府は、彼らが「システムテスト」と称するものを中止し、その証明を削除してもよい、と言っているが、しかしGoogleとMozillaによれば、彼らの技術的ソリューションは証明がインストールされていてもデータの傍受などを不能にする。

Mozillaのセキュリティ担当上級ディレクターであるMarshall Erwin(マーシャル・アーウィン)氏は、「我々はこれを軽い気持ちでやっているのではない」と言う。そしてGoogleのブラウザー担当チーフParisa Tabriz(パリサ・タブリッツ)氏は、「Chromeのユーザーのデータを危険にさらす試みは、誰がやろうとも、たとえ政府の行為であっても、絶対に許さない」とコメントしている。

Apple(アップル)のスポークスパーソンによると、「その証明が信用されないようSafariに手を加えたので、現在ユーザーはこの問題から保護されている」そうだ

その悪質な証明に対するMozillaらのブロックは、ユーザーのアクションを必要とせず、不可視の状態で有効になる。

カザフスタンの人口は1800万人だ。研究者たちによると、インターネットのトラフィックを傍受しようとする政府の取り組みは、この国最大のインターネットプロバイダーを通るインターネット接続のごく一部にしか及んでいない。

中央アジアに位置するこの国は、インターネットの自由のランキングでずっと下のほうにいる。監視団体のFreedom Houseが作ったそのリストによると、同国よりもランクが低いのはロシアとイランのみである。

ニューヨークのカザフスタン領事館のスポークスパーソンは、コメントの要求に応じなかった。

関連記事:Mozillaは悪名漂うUAEDarkMatterHTTPSの証明提供者として否認

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

アップルのLightningと一般的なUSB-Cの両方で使えるセキュリティキーをYubicoが発売

発表から2カ月近くも経った米国時間8月20日、YubicoがYubiKey 5Ciを発売した。これは、iPhoneやMacと、そのほかのUSB-C対応デバイスの両方をサポートするセキュリティキーだ。

最新のYubiKeyは、対応機種を広げようとしている同社の努力の一環でもある。その最初の成果は、1つのデバイスでApple(アップル)のiPhoneとiPad、そしてMacBookをサポートした。そして6月に同社は、特にApple以外の製品も使っているAppleユーザーのために、複数のプラットホームに対応するセキュリティキーを発表した。

そのセキュリティキーはキーリングに収まるほど小さくて、ネット上のアカウントにログインするときにはキーをデバイスに挿入すると、ユーザー本人が認証される。GmailもTwitterもFacebookも、この小さなデバイスをユーザー名とパスワードの後で使うニ段階認証用にサポートしている。ふつうのニ段階認証では、ユーザーの携帯に送られてくる短いコードを入力するが、セキュリティキーはそれよりもずっと強力な認証の仕組みだ。

だからセキュリティキーはほとんど全勝不敗のセキュリティとも呼ばれ、どこかの国家がやってるのも含めて、いろんな攻撃からユーザーを護る。

YubicoのチーフソリューションオフィサーJerrod Chong(ジェロッド・チョン)氏によると、今回の新しいセキュリティキーは「モバイルの認証システムが抱えている重要なギャップを埋める」という。特にユーザーが複数のモバイルデバイスを使ってる場合は、有効なセキュリティキーはそれ1つしかないから安全度が高い。

この新しいキーは、1PasswordやLastPassのようなパスワードマネージャーと一緒に使えるし、またセキュリティキーによる認証をサポートしているBraveのようなブラウザーでも使える。

関連記事
Cybersecurity 101: Two-factor authentication can save you from hackers(ニ段階認証はあなたをハッカーから護る、未訳)
サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Facebookはユーザーの音声メッセージを無許可で書き起こした

「未来はプライベートにあり」。まさに、Facebookに残された道はそれしかない。

Facebookはユーザーの音声データを集めて、それをサードパーティの契約企業を使ってテキストに書き起こしたとされている。同社はユーザーデータのそのような扱い方をめぐって、現在当局に調べられている。

そのことを最初に報じたBloomberg(ブルームバーグ)によると、契約企業は仕事を失いたくないので匿名にしてくれと頼んだそうだ。

その記事によると、音声はMessengerアプリからのものだ。音声の会話を書き起こしと比較対照して、同社の人工知能が正しい仕事をしたか確認していた。

Facebookが音声データを集める方法はMessenger以外にもいろいろあるはずだ。しかし同社のプライバシーポリシーには、音声データを何に使っているのかに関する言及がない。Bloombergの記事は、契約企業がその仕事を「非倫理的」と感じたと書いている。その理由はユーザーの音声をサードパーティがレビューすることを、Facebookが「どこにも明記していない」からだ。その契約企業は前から、ユーザーの携帯から「音声を聴取していない」とするFacebookの主張に反駁していた。

Facebookには、音声を書き起こす理由や、サードパーティによる書き起こしをユーザーに告げない理由などを質問したが、まだ返事はない。しかしFacebookのスポークスパーソンのJoe Osborne(ジョー・オズボーン)氏は「音声データの書き起こしは8月初めにやめた」とコメントした。

ユーザーの音声をサードパーティの契約企業とそのスタッフにレビューさせた件でも、Facebookは目下調べられている。AmazonもAlexaの録音をユーザーの許可なく契約企業にレビューさせたとして非難の集中砲火を浴び、Echoデバイスにオプトアウトを加えざるをえなくなった。

そのほか、Googleは人工知能のテストで、AppleはSiriの録音の契約企業による聴取で、そしてMicrosoftはSkypeの通話を翻訳機能のテストのために聞いたとして、同じくとがめられている。

Facebookには、Alex Stamos(アレックス・スタモス)氏が辞めて以降、すでに1年以上もCSO(チーフ・セキュリティ・オフィサー)がいない。

関連記事

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

Facebookがクリックインジェクションによる不正広告で2人のデベロッパーを訴訟

Facebookは2人のアプリデベロッパーを、同社の広告プラットホームを利用して不正な収益を得たとして告訴した。同社はその法的アクションを、米国時間8月6日のブログ記事で発表した

同社の社則執行および法務担当ディレクターであるJessica Romero(ジェシカ・ロメロ)氏は「そのデベロッパーはアプリをGoogle Playストア上で一般公開し、ユーザーのスマートフォンをマルウェアに感染させた。そのマルウェアはユーザーのスマートフォン上に現れるFacebookの広告で偽のユーザークリックを作り出し、ユーザーがその広告をクリックしたような効果を生じさせた」。

この手口はクリックインジェクションと呼ばれ、ユーザーに知られることなくアプリが不正な広告クリックを作り出すことによって、広告収入を増やす。それは、セキュリティの研究者たちには以前から知られている問題で、デベロッパーは簡単に作れるジャンクアプリを作り、それが何百万回もダウンロードされるとき、ユーザーに知られることなく見えない広告のクリックが作り出される

Facebookによると、今回のケースでは二人のデベロッパー、香港のLionMobiとシンガポールのJediMobiが、同社の広告システムから不正な支払いを受けた。彼らのアプリは、概算で2億700万回以上インストールされたと思われる。そのアプリはGoogleのアプリストアにまだあるが、Googleはそれに関してまだ何もコメントしていない。

Facebookは「被害者の広告主には広告料金相当を返金した」ことを表明したが、Facebookのスポークスパーソンはコメントの要求に応じなかった。

関連記事:File-storage app 4shared caught serving invisible ads and making purchases without consent(ファイル保存アプリ4sharedが不可視の広告で同意なき購入を偽造、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

米陸軍はレーザービーム兵器の早期実用化に本気

設立1927年の長寿の軍需企業であるNorthrop Grumman(ノースロップ・グラマン)が、かなり前から、米軍との契約でドローンを撃墜するレーザー兵器を研究開発している。

軍が望むのは、出力50キロワットのレーザーシステムをGeneral Dynamics(ジェネラル・ダイナミクス)が設計した装甲車Stryker(ストライカー)に載せたビーム兵器を、米軍の短距離防空システムの一員にすることだ。つまりこのレーザー兵器の目的は、前線の戦闘部隊をドローンの攻撃から守ること。

この計画には、Stryker装甲車にビーム兵器を組み込むことによって一種の先導機として利用し、短距離防空システムの目的である前線部隊の完全な保護を実現することが含まれている。

Northrop Grummanのミサイル防衛および防御システム担当副社長兼ゼネラルマネージャーであるDan Verwiel(ダン・ヴァーウェイル)氏は「Northrop Grummanはその革新的で実証済みの技術と統合化専門技術の蓄積を活かして、わが国の機動部隊の次世代型保護装備を強力かつ迅速に提供していきたい」と声明でコメント。

軍は全地形型車両であるStrykerの一群に、ドローンやヘリコプター、ロケット、火砲、 臼砲などに対する防御システムを載せるつもりであり、その開発をNorthrop GrummanやRaytheon(レイセオン)に委託している。つまりRaytheonも、このプロジェクトに参加している。

陸軍中将で超音波兵器ビーム兵器宇宙兵器および迅速調達担当ディレクターであるL. Neil Thurgood(L・ネイル・サーグッド)氏は声明で「今や、ビーム兵器を戦場に持ち込むべき時である。陸軍は陸軍現代化計画の一環としてレーザービーム兵器の必要性を認識している。これはもはや研究事業やデモンストレーション事業ではない。それは戦略的戦闘能力の一環であり、それを兵士たちが手中にすることは正しい方向性である」とコメントしている。

陸軍にとってレーザーは、従来の動力学的兵器につきものだったサプライチェーンのハードル(前線への弾薬の補充など)をさらに削減してくれる技術だ。5月に陸軍は、歩兵、車両、および航空機をサポートするさまざまなレーザー兵器のプロトタイピングと現場導入を加速する戦略にゴーサインを出した。

そして陸軍は、今契約しているRaytheonとNorthrop Grummanだけでなく、独自の研究成果を持つ他のベンダーからの売り込みを歓迎する、と言っている。デモに成功したら、総額4億9000万ドルの計画の一片に食らいつくことができる。そしてその技術を搭載した車両の実用化を陸軍は2022年と予定している。

陸軍の迅速配備展開部門(RCCTO)のビーム兵器担当上級研究員であるCraig Robin(クレイグ・ロビン)博士は声明で「レーザーのビーム利用に関しては軍と商用部門の両方が大きな進歩を遂げ、今では戦術的に有効なプラットホーム(装甲車など)で、十分な軍用能力のあるレーザービームを利用できる。今やわれわれは、そのための最良のソリューションを迅速にプロトタイプし、競争により最良の実装を実現して、前線の戦闘部隊に届けるべき時に来ている」と述べている。

画像クレジット: Northrop Grumman

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

エネルギーと通信企業を狙う新しいハッキンググループ

アフリカと中東の通信企業と石油やガスの企業を狙う、新たなハッキンググループが登場したようだ。

産業セキュリティの専門企業Dragosは、同社が見つけたそのグループを「Hexane」(ヘキサン)と呼んでいるが、その活動についてはまだほとんど口をつぐんでいる。しかし米国時間8月1日の同社の発表によると、そのグループの活動は最近の数か月で活発化し、それはこのグループが初めて登場した1年前以後激化した同地域の緊張と時期が一致している。

HexaneはDragosが今追跡している9つのハッキンググループの中で最新だが、通信企業をターゲットにしていることが観察された。それは、石油やガス企業のネットワークにアクセスするための踏石としての攻撃と考えられるとDragosはコメントしている。

Dragosの上級索敵官であるCasey Brooks(ケーシー・ブルックス)氏は「通信企業をターゲットにすれば、下流の石油ガス精製企業や上流のプロダクションのオペレーションにセルネットワーク(携帯電話のネットワーク)からアクセスできるようになる可能性がある」と語る。

Dragosの話は具体的ではないが、このグループは被害者のネットワークを内部から侵犯するために利用できるサプライチェーンの中の「デバイスやファームウェアや通信ネットワーク」をターゲットにするという。

彼らDragosの研究者たちは、Hexaneがまだ発電所やエネルギーのサプライヤーなど重要なインフラストラクチャの運転の継続に必要な産業制御ネットワークを破壊するほどの攻撃能力を持っていないと「ほぼ確信している」が、しかし通信企業のネットワークに対する攻撃をそのためのテコのような前段として利用するかもしれないと考えている。Dragosの予想では、中東アフリカ地域の石油およびガス企業がターゲットになる機会が増えるそうだ。

Dragosの専門は社会のインフラストラクチャに対する脅威の発見や理解だが、Hexaneが最初に観察されたのは2018年の半ばだった。グループの動き方は、やはり産業制御システムを狙う他の同様のグループと同じだった。しかしサードパーティの企業を狙う脅威グループはHexaneだけではない。Dragosによると、同社が追跡している他のグループは、産業制御ネットワークが使っているハードウェアやソフトウェアのサプライヤーをターゲットにしている。

Hexaneの動きは、前に報じた、イランとの結びつきが疑われる脅威グループのOilRigと似ている。しかしこれまで観察した他のグループと比較すると、Hexaneのやり方やツールや狙う被害者が異なるので、他に類似例のない「ユニークな実体だ」という。

Dragosによると、一般的にハッキンググループにとって石油やガスは、「社会的に重要な工程や設備機器の破壊、または生命の喪失」を惹き起こすための格好のターゲットだそうだ。

関連記事:Why ICS security startup Dragos’ CEO puts a premium on people not profits(産業制御システムのセキュリティスタートアップDragosは利益よりも人命を重視、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Slackが2015年のデータ侵害に遭ったユーザーのパスワードをリセットする

Slackが、4年前のデータ侵害で被害したと思われるユーザーのパスワードをリセットする。

同社によると、2015年にハッカーがユーザープロフィールのデータベースに不法アクセスし、その中には暗号化されたパスワードも含まれていた。しかしそのハッカーは、当時ユーザーが入力した平文のパスワードを取り出すコードを挿入した。

Slackによると、最近バグバウンティ(バグ発見報奨金制度)でコンタクトしてきた何者かが、盗んだSlackアカウントのパスワードのリストなるものを、ちらつかせてきた。同社は、それが2015年のデータ侵害と関係あるかもしれない、と考えた。

Slackによると、現在のSlackユーザーのほぼ99%は2015年の3月以降に参加したユーザー、またはその後パスワードを変えたユーザーなので、この件とは無関係である。

また、同社のネットワークを使ってシングルサインオンを要するアカウントも、無関係である。

さらに同社によると、それらのアカウントが盗まれたと信ずる理由はないけど、盗まれなかったとする証拠を提供することもできない。

Slackによると、データ侵害の被害を受けたアカウントは、2015年のアカウントの1%である。米国時間718日朝の記事によると、その数は6万5000アカウントにのぼるかもしれない。この件に関してSlackのスポークスパーソンは、コメントも数の確認もくれなかった。

Slackは最近ニューヨーク証券取引所に上場し、時価総額は約157億ドルである。

関連記事:NYSEに上場するSlackIPO価格は26ドルに

[原文へ]

(翻訳:iwatani.a.k.a. hiwa

エンドポイントセキュリティのCrowdStrikeがIPO後初の決算報告を発表

エンドポイントの保護に特化したサイバーセキュリティ企業であるCrowdStrike(日本代理店はマクニカネットワークス)が、2020会計年度の第1四半期に、GAAPで売上9610万ドル(約103億円)を記録し、純損失2600万ドル(約28億円)を計上した。6月に6億1200万ドルでNASDAQにIPOした同社は、米国時間7月18日に発表した初めての決算でそう報告している。

CrowdStrikeの株価は、そのニュースのあとの18日の時間外で2.5%上昇した。同社の売上は前年同期比で103%の増、サブスクリプションの売上は116%増の8600万ドルとなった。先月35ドルだった同社の株価はその後上昇を続け、上記木曜日の時間外では82ドル近くに達した。同社が予測している通年の売上は4億3000万ドルあまり、一株あたりの損失は72から70セントだ。

CrowdStrikeのCEOで共同創業者のGeorge Kurtz(ジョージ・カーツ)氏は「今年強力なスタートを切れたことは喜ばしい。クラウドネイティブのエンドポイントセキュリティのパイオニアであるCrowdStrikeは、侵害を防ぐためにまったく新しく構築された唯一のエンドポイント保護プラットホームである。そしてそのシングルエージェントのアーキテクチャにより、セキュリティのスプロールを減少できる。われわれは継続的イノベーションにより、セキュリティクラウドというカテゴリーにおけるリーダーシップの強化に努めており、未来の基盤となるようなエンドポイントプラットホームと自分たちを位置づけている」とコメントしている。

カーツ氏は2012年にサニーベールでCrowdStrikeを創業したが、彼はPrice WaterhouseのCPAとして自分のキャリアを踏み出し、ネットワークセキュリティに関する著書「Hacking Exposed: Network Security Secrets & Solutions」を著し、次にFoundStoneを立ち上げたが2004年に8600万ドルでMcAfeeに売った。その後のカーツ氏は7年間McAfeeのゼネラルマネージャーを務め、その後同社のCTOになった。

関連記事: Newly public CrowdStrike wants to become the Salesforce of cybersecurity(上場したCrowdStrikeはサイバーセキュリティのSalesforceになりたい、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

物質の検査にダイヤモンドダストを利用するDust Identityにエアバスやロッキードも投資

Dust Identityのアイデアは、同社の創業者たちがいたMITの研究室で生まれた。そこで彼らは、ダイヤモンドの塵、ダイヤモンドダストを使って物質を認識する技術を開発した。それ以降同社は、この高度な技術の商用化を目指していた。そして米国時間7月17日に同社は、昨年230万ドルのシードラウンドをリードしたKleiner PerkinsによるシリーズAのラウンドで1000万ドルを調達した。

このラウンドには、Airbus VenturesやLockheed Martin Ventures、New Science Ventures、Angular Ventures、そしてCastle Island Venturesが参加した。同社の調達総額はこれで1230万ドルになる。

同社の特異なアイデアは、物をダイヤモンドダストの薄い層で包むことにより、それが変造されていないことを証明する。ダイヤモンドダストは一見高価なようだが、同社によるとシード資金のころには安い工業用ダイヤモンドの廃棄物を使っていた。宝石店で売ってるような、高価なダイヤモンドではない。

同社のCEOで共同創業者の1人であるOphir Gaathon(オフィール・ガッソン)氏は、こう言っている。「ダイヤモンドダストをポリマーエポキシの表面に落とすと、そのポリマーが硬化するとき、ダイヤモンドは一定の位置と方向に凝固する。実はそのときのダイヤモンドの方向角度を非常に迅速に読む技術を、われわれは開発したのだ」。

Kleinerで今回の投資を担当したIlya Fushmanによると、同社は物の認識とセキュリティのためのユニークなアプローチを提供する。彼は声明でこう言っている。「メーカーとサプライヤーの間に不信が育っているようなときには、Dust Identityのダイヤモンド粒子のタグが、製品の証明とサプライチェーンのセキュリティに従来の技術よりも優れたソリューションを提供する」。

この投資が戦略的投資であるAirbusとLockheed Martinがいることは、大手工業企業のサプライチェーンにおいて、このような高度な技術が必要であることを示している。また、昨年同社がエンタープライズコンピューティングの大手SAPとパートナーして、物理的オブジェクトへのブロックチェーンインタフェイスを提供していることも特記に値する。つまりDust Identityの識別子をブロックチェーンに保存するのだ。SAPとの関係があってもそれはブロックチェーンの実装を特定しない、と企業のスポークスパーソンは言っている。

同社はまだ生まれて間もない企業だが、すでにさまざまな投資家の関心を集めており、今回得た資金は来年の製品開発に充てたいという。これまで同社は、さまざまな業種のためのパイロット事業や初期的デプロイメントを実装してきた。それらは、自動車、ラグジュアリーグッズ、化粧品、石油、ガス、電力などの業種だ。

関連記事:This startup got $2.3M to identify physical objects using diamond dust(Dust Identityの230万ドルのシード資金、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Mozillaは悪名漂うUAEのDarkMatterをHTTPSの証明提供者として否認

Firefoxブラウザーを作っているMozillaが、監視サービスDarkMatterが発行する証明を信用しないと発表し、同サイトへの何か月にも及ぶ警告を終了することになった。

数か月前にアラブ首長国連邦のDarkMatterはMozillaに、そのルート証明をFirefoxで公式に信用される証明として認めるよう求めた。認められればそれが発行するHTTPS証明がFirefoxでも使われることになる。Mozillaやそのほかのブラウザーメーカーは、その承認リストを見てどのHTTPS証明なら信用できるかを判断し、Webサイトのアイデンティティを確認したり、そこを行き来するデータが安全であることを認定する。

しかし証明の発行者が悪者だったら、暗号化されたインターネットトラフィックが横取りされて、ユーザーは偽のWebサイトに連れて行かれたりする。

DarkMatterには、マルウェアやスパイウェアを作って監視目的で利用したり、同社を批判するジャーナリストをそのターゲットにするなど、いかがわしい行為の履歴がある。数週間前のロイターの記事によると、このUAEの企業はアメリカの国家安全保障局(NSA)の元職員たちを雇って、同国のアラブ人君主の要請で一部のメディア上の人気者や政権批判者をターゲットにしていた。

しかし同社は証明発行機関としては履歴がクリーンだったので、Mozillaは難しい立場に立っていた。

Mozillaはあやしい履歴のあるDarkMatterを証明発行機関として認めるべきか、それとも万一のリスクを避けるために拒否すべきか。

そして最終的には、後者が勝利した。

Mozillaの証明機関事業の管理者Wayne Thayer氏は次のように語る。「われわれの他の何よりも優先する責任は、Mozillaのプロダクトを信頼している個人を護ることだ。DarkMatterはユーザーに相当大きななリスクをもたらす」。

彼はさらにこう言う。「彼らがこれまでやってきたことを見ても、DarkMatterを中間証明者として信頼できないとする決定は支持されるだろう」。

MozillaはDarkMatterのビジネスの好悪両面を検討したが、ブラウザーメーカーとしてのいちばん重要な原則、「インターネット上の個人のセキュリティとプライバシーは選択可能なオプションとして扱うべきでなない」に従って、DarkMatterの証明採用の要請を断らざるをえなかった、とThayer氏は言っている。

同様にMozillaが中間証明者として信用しなかった企業は、他に6社ある。

DarkMatterは、火曜日(米国時間7/9)現在、コメントの求めに応じていない。

関連記事: プロバイダーの業界団体がMozillaをインターネットの悪党と非難

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

プロバイダーの業界団体がMozillaをインターネットの悪党と非難

インターネットサービスプロバイダーの業界団体がFirefoxブラウザーの開発元であるMozillaを、DNSのセキュリティ規格をサポートしているために「インターネットの悪党だ」と決めつけた。

イギリスのインターネットサービスプロバイダーの業者団体であるInternet Services Providers’ Association(ISPA)が名指ししたのは、Mozillaがブラウザーへの実装を計画しているセキュリティ機能だ。彼らによるとそれは、ユーザーに「英国のフィルタリング義務やペアレンタルコントロールをバイパスすることを許し、英国におけるインターネットの安全性基準を毀損する」からだ。

Mozillaは昨年に「少数のユーザーを対象にDNS-over-HTTPS日本語解説)をテストする」と発表した。ウェブサイトを訪ねるときは常に、それがHTTPSのサイトであってもウェブのアドレスをコンピューターが理解できるIPアドレスに変換する。DNSのクエリは通常暗号化されていない。しかしその問題のセキュリティ規格はアプリケーションのレベルで実装され、MozillaはDNS-over-HTTPSを使用する初のブラウザーメーカーになる。

それはDNSのクエリを暗号化することによってDNSリクエストを中間者攻撃から護り、リクエストをハイジャックして被害者を悪質なページに誘うことができないようにする。DNS-over-HTTPSには、パフォーマンスを上げる効果もあり、DNSクエリや全体的なブラウジング体験を高速化する。

しかしISPAは、DNS-over-HTTPSが英国の現在のウェブサイトブロック体制に即していない、と見ている。英国の法律では、著作権や商標権を侵害していたり、テロリストの素材や児童虐待の画像を含むウェブサイトはブロックされるとしている。ISPAの主張では、DNSクエリを暗号化するとインターネットプロバイダーが利用者のインターネットアクセスをフィルターすることがより困難になる。

ISPAだけでなく英国の諜報機関GCHQや、英国のインターネットブロックリストを管理しているInternet Watch Foundationも、ブラウザーがDNSの暗号化を実装することを批判している。

ISPAがMozillaを名指ししたことはたちまち、セキュリティコミュニティからの怒りに火をつけた。しかしソーシャルメディア上の反発の嵐の中でISPAは、その立場に強く固執した。同団体は「DNS-over-HTTPSをデフォルトにすることはオンラインの安全性とサイバーセキュリティと消費者の選択にとって有害である」と主張する一方で「さらなる議論を歓迎する」とも言った。

Mozillaには味方もいる。インターネットプロバイダーのAndrews & Arnoldは、非営利事業/団体支援の一環としてMozillaに2940ポンド(約40万円)寄付し、こうツイートした。「この金額は、弊社がISPAの会員だったら払うであろう会費と同額である」。

MozillaのスポークスパーソンであるJustin O’Kelly(ジャスティン・オーケリー)氏はTechCrunchに対し「 ISPの業界団体が、インターネットのインフラストラクチャの古くからの欠陥に対する改善措置を誤解していることは意外でもあり、失望している」とコメントした。

「彼らの主張とは逆に、DNSをよりプライベートにすることはコンテンツのフィルタリングやペアレンタルコントロールを妨害しない。DNS-over-HTTPS(DoH)は英国市民に真のセキュリティを提供する。私たちの目標はより安全なインターネットを構築することであり、私たちは今後もそのやり方に関して、イギリスの信頼性ある利害関係者らとの真剣で建設的な会話を継続していく」とオーケリー氏。

彼は「当面英国でDNS-over-HTTPSをデフォルトにする計画はないが、ヨーロッパにおけるDNS-over-HTTPSのパートナーを探して、この重要なセキュリティ機能をそのほかのヨーロッパの人びとに幅広く提供していきたい」とも語る。

DNS-over-HTTPSの展開はMozillaが初めてではない。昨年、CDNなど各種インターネットインフラサービスを提供しているCloudflareが、プライバシーにフォーカスしたDNSサービス1.1.1.1のモバイルバージョンをリリースし、そこにDNS-over-HTTPSを含めた。それより前にはGoogle傘下のJigsawが検閲撃退アプリInfraをリリースし、DNSの外部からの操作を防ごうとしている。

Mozillaは、FirefoxにおけるDNS-over-HTTPSの全面展開の日程をまだ決めていない。

関連記事:CloudflareのプライバシーとスピードをアップしたDNSサービス1.1.1.1がモバイルアプリに

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

1つの盗聴許可で米警察が920万のテキストメッセージを収集

新たに公開された統計によると、テキサス州の当局は2018年の4ヶ月間、裁判所が許可した盗聴命令のもと、920万件のメッセージを収集していた。テキサス州南部地区の連邦判事によって許可された今回の盗聴は、麻薬操作の一環として実施され、年次盗聴報告書によれば2018年における最大の盗聴件数となった。

この事件については、149人が盗聴の対象となったこと以外はほとんど知られていない。盗聴命令は昨年に失効し、司法当局が事件を公開した。現在まで、逮捕者は出ていない。

これに続き、ペンシルバニア州東部地区でおこなわれた別の麻薬調査では、警察が3ヶ月にわたり45人から910万件のテキストメッセージを盗聴していた。こちらでも、逮捕者は出ていない。

この2件は、ここ数年で確認された最大の盗聴ケースだ。

盗聴は米情報機関外部の検察官による、最も侵略的な法的監視方法の一つだ。電話利用記録装置や追跡装置により、当局が電話の発着信を把握し、盗聴によって会話の内容やテキストメッセージにリアルタイムでアクセスできるようになる。リアルタイムの盗聴によるプライバシーの侵害を考えると、裁判所命令による盗聴許可のハードルは、他の監視手法よりもずっと高い。

しかし、米裁判所は年次透明性報告書のなかで、2018年に認証された盗聴およびその後の有罪件数は、大幅に減少していることを指摘している。2018年には2937件の盗聴が許可され、これは昨年比で22%減だった。報告書はまた、暗号技術を利用した盗聴の件数が増えており、盗聴の非効率化を指摘している。

[原文へ]

(翻訳:塚本直樹 Twitter