タグ: Security

エンタープライズセキュリティサービスのChronicleがGoogle Cloudに統合へ

米国時間6月27日のGoogle Cloudの発表によると、Googleの親会社Alphabetがそのムーンショットファクトリー(MoonshotFactory、未来的なプロジェクトのインキュベーター)Xで育成したエンタープライズセキュリティ企業であるChronicleがGoogle Cloudへ移行し、Googleのセキュリティ関連プロダクトの仲間に加わる。

Chronicleは2018年1月にXから正式にローンチし、Alphabet傘下の独立企業になった。それまでセキュリティ企業SymantecのCOOだったStephen Gillett氏が同社のCEOになった。

ChronicleをGoogle Cloudに置かずにスピンアウトさせたことは、いつも謎だ。おそらく同社のプロダクト、マルウェアとウィルスをスキャンするVirusTotalや、エンタープライズ向けセキュリティインテリジェンスとアナリティクスのプラットホームが独立企業に向いている、と判断されたのだろう。その時点でChronicleがマーケットでどうだったか、それはよく分からないが、Googleはクラウド事業の成長にフォーカスしているから、ChronicleのGoogle Cloudへの統合も論理的な流れかもしれない。

Google CloudのCEO Thomas Kurian氏はこう書いている。「Chronicleのプロダクトと技術チームはGoogle Cloudの提供物を補完する。ChronicleのマルウェアインテリジェンスサービスVirusTotalは、Google Cloudの提供物に通知される脅威データのプールをより強力に充実する。それにより、われわれのプラットホーム上で動くアプリケーションのサポートを、継続することになるだろう」。

彼によると、ChronicleとGoogle Cloudはすでに両者が同じ種類のソリューションへと収束していく過程にあった、という。ChronicleのセキュリティツールがGoogle Cloudに完全に統合されるのは、今年の秋の予定だ。

[原文へ]

(翻訳:iwatanI、(a.k.a. hiwa

イスラエルのセキュリティスタートアップがシード段階で7億円超調達

クラウド上のセキュリティサービスを提供するイスラエルのOrca Securityが、YL Venturesがリードするラウンドで大金650万ドル(約7億500万円)を調達した。このイスラエルのVCは、主にセキュリティ専門のスタートアップへの投資に力を注いでいる。

大金と書いたのは、これがシードラウンドだからだ。しかしCheck Point Securityの役員だった二人が創業した同社は、クラウドに置かれたアプリケーションを、エージェントを使わずにセキュリティを確保するという困難な問題に挑戦している。

同社の共同創設者でCEOであるAvi Shua氏は次のように説明する。「Orcaはクラウドネイティブのセキュリティプラットホームだが、顧客のクラウドネイティブアプリケーションと、クラウドへ移行させたレガシーアプリケーションの両方の安全をエージェントを必要とせずに護る。そのために用いる「SideScanning」というコンセプトは、デプロイされているソフトウェアスタックの全体を(深海調査のサイドスキャンソナーのように)漏れなく調べ、脆弱性や非推奨またはバージョンの古いソフトウェア、構成の間違いなどのリスクを見つける」。

このアプローチは、デベロッパーがコンテナに収めたアプリケーションをKubernetesを使ってクラウドでローンチする場合にはうまくいく。まさに、エージェント不使用のアプローチだからだ。

Orcaのダッシュボードのスクリーンショット

競合する既存のセキュリティベンダーにはRapid7やTenableなどがいるが、Orcaはもっと現代的なアプローチでクラウドのセキュリティの構築に努める。それはクラウドネイティブのために完全に新しく作られたセキュリティサービスだ。Shua氏はこう語る。「うちはデータセンター用の既存のセキュリティソフトウェアの転用はしない。だからうちでは顧客自身のクラウドネイティブのワークロードの分析とセキュリティ確保ができるだけでなく、クラウドへ移行されたレガシーのワークロードや、両者のハイブリッド環境でも十分に扱える」。

同社の場合、創業は2019年だからシード資金の獲得としても相当に早い。現在社員は15名で、ベータの顧客が数社いる。プロダクトを完成し、顧客の現代的なソフトウェア方式が抱えるセキュリティ問題の解決に本格的に寄与貢献していきたいと同社は願っている。本日の資金調達は、それに向かっての歩みを助けるだろう。

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

脅威インテリジェンスのスタートアップがプライベート・エクイティ会社に戦略的身売り

あなたがもしかして気づいていなくても、セキュリティ企業は今どきのホットな商材だ。米国時間5 月29日は、Palo Alto Networksが2つのセキュリティスタートアップを買った。今週初めには、FireEye(JP)がVerodinを2億5000万ドルで買った。そして本日、プライベート・エクイティ企業であるInsight Partnersが、脅威インテリジェンスのベンダーのRecorded Futureを7億8000万ドルで買ったことを発表した。

Insightが買ったRecorded Futureは、顧客企業が今直面している外部からのサイバー脅威をよく理解するための情報を生成する。今日の世界でそんな企業に、買うだけの価値があることは容易に理解できる。同社は、GlaxoSmithKline(グラクソ・スミスクライン)やMorgan Stanley(モルガン・スタンレー)、The Gap(ギャップ)、 Verizon(ベライゾン)など顧客数400社を誇っている。

当然ながらRecorded Futureにとって今回の身売りは、自分が成長を続けるための方法だ。CEOのChristopher Ahlberg氏は声明でこう述べている。「Insightとの関係が進化して、Recorded Futureは現在と未来のクライアントにもっと良く奉仕できるようになった。当社の技術的ロードマップのすべてのポテンシャルを有効活用できるし、また、当社のソフトウェアが、当社のコミュニティが直面しているもっとも困難でユニークなインテリジェンスのチャレンジに、真のソリューションを提供できるようになったからだ」。

同社は2009年に創業され、Crunchbaseによればこれまでに5800万ドルを調達している。最新のラウンドは2017年の2500万ドルで、それはほかでもないInsight Partnersがリードした。彼らは同社が気に入ったらしくて、会社全体を欲しくなったのだ。

今回の買収は、これまでの投資家、GV(Googleのベンチャー部門)、In-Q-Tel(CIAのベンチャー部門)、IA Ventures、Balderton Capital、Mass Mutual Venturesなどからの投資も買い上げることになり、彼らに大きなリターンを与える。

Palo Alto Networks to acquire container security startup Twistlock for $410M(Palo Alto Networksがコンテナのセキュリティを提供するTwistlockを4億1000万ドルで買収、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

米不動産保険大手から8億8500万件の顧客データが露出

セキュリティ関連の記者であるBrian Krebsからの最新ニュースだ。Fortune 500社の不動産保険大手であるFirst Americanが、同社のウェブサイトのバグのため、およそ8億8500万件の機密記録が露出した。

Krebsの記事によると、同社のウェブサイトは、銀行口座番号、勘定明細、住宅ローンと税の記録、社会保障番号、そして運転免許証の画像をシーケンシャルな形式で保存し露呈していた。そのため、ドキュメントのウェブアドレスを知っている者が簡単にアクセスできるだけでなく、アドレスの中の数字をひと桁変えるだけで他人のドキュメントも見られた。

パスワードなど、他人のドキュメントへのアクセスを防ぐ認証の仕組みはまったくなかった。

Krebsの記事は、いちばん古いドキュメントの番号が「000000075」で、数が大きいほど新しいドキュメントだと言っている。

露出した中で最も古いのは、2003年のドキュメントだそうだ。

彼の記事では「露出したファイルの多くは、住宅などの物件のバイヤーとセラーの間の電信によるトランザクションの記録で、銀行の口座番号などの情報が含まれている」と書かれている。First Americanは米国最大の不動産権原保険のひとつで、2018年の収入が58億ドルだ。

First AmericanのスポークスパーソンMarcus Ginnaty氏が、本誌TechCrunchに次のように述べた:

5月24日にFirst Americanは、そのプロダクションアプリケーションのひとつに顧客データへの無許可アクセスを可能にする設計不良があることを知った。セキュリティとプライバシーおよび守秘性は最高位のプライオリティであり、私共には顧客の情報を保護する義務がある。したがって、弊社は直ちに対策措置を取り、アプリケーションへの外部アクセスを遮断した。私共は現在、これが顧客の情報の安全に及ぼした影響を査定している。私共は外部の科学捜査企業を起用して、弊社顧客データへの実害のある無許可アクセスがなかったことを確認した。

セキュリティ研究家のJohn Wethington氏よると、ウェブサイトを落としてもドキュメントの多くは検索エンジンにキャッシュされている。しかし本誌TechCrunchは、データがまだ読める状態である間は、露出したデータへのリンクを差し控える。

これは住宅ローンのデータ侵害としては、ここ数カ月で最新の事件だ。

TechCrunchは1月の独占記事で、金融や銀行関連の2400あまりのドキュメントが、パブリッククラウドのストレージサーバー上で不注意により露出して、誰でもアクセスできる状態になったと報じた。そのデータには住宅ローンや一般ローンの契約書をはじめ、さまざまな機密情報が含まれていて、個人の財務状況が丸裸になってしまうのだ。

First Americanからの所見によりこの記事をアップデートした。

関連記事: Millions of bank loan and mortgage documents have leaked online(膨大な量の金融関連ドキュメントが漏洩、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Googleの調査データが2段階認証の対ハッカー防御効果を実証

何が最良のセキュリティ対策か、という質問をよく受ける。

長い答は「どんな脅威かによるね」だ。圧倒的多数の人々にとっての最良のセキュリティ対策は、核科学者や政府の諜報部員が必要としているようなレベルのものではない。

短い答は「2段階認証を使いなさい」で足りる。でも、誰も信じようとしない。

でも、サイバーセキュリティのプロなら誰もが、ユニークなパスワードや強力なパスワードを使うよりもそのほうが重要と言うだろう。2段階認証は、通常のログインプロセスよりもやることがひとつ増えて、ユニークなコードをユーザーが持っているデバイスに送ってくる。でもそれは、あなたのアカウントのデータを盗もうとするハッカーに対する最強の防御だ。

ぼくのこんな言葉よりいいものがある。Googleが今週発表したデータは、貧弱でシンプルな2段階認証ですら攻撃に対して強いことを示している。

ニューヨーク大学とカリフォルニア大学サンディエゴ校が協力したその研究によると、テキストメッセージやデバイス上のプロンプトなど、デバイスベースの認証要素(認証コード)は、どんな種類のよくある大規模攻撃に対しても防御力が強いという結果だ。

Googleのデータは、2段階認証のコードとしてスマートフォンに送られてきたテキストメッセージは、盗んだパスワードをログインページで使おうとする自動化ボットを100%防げたことを示している。またパスワードを盗もうとするフィッシング攻撃の96%を防げた。

アカウント乗っ取りの犯行タイプ/対象別防止率(画像提供:Google)

2段階認証には、いろんなやり方がある。前に説明したように、テキストメッセージで送られてくる2段階認証のコードはハッカーが横取りすることもありえるが、2段階認証を使わないよりずっといい。認証アプリ経由で送られてくる2段階認証コードは、さらに安全だ。

機密性の高いアカウントを護るセキュリティキーなら、自動化ボットとフィッシング攻撃の両方を防げるが、国家が犯行に絡んでいるようなターゲットを絞った攻撃には、やられることがある。でもそんな攻撃に遭うのは100万人に一人ぐらいだとGoogleはコメントしている。

それ以外の普通の人なら、アカウントに電話番号を加えておいたら、その電話へのテキストメッセージで簡単な2段階認証コードが送られてくるという方式でも、ないよりはずっとましだ。専用アプリなら、もっといいのだが。

乗っ取られなかったあなたのアカウントは、あなたの苦労に感謝するだろう。

関連記事: Cybersecurity 101: Two-factor authentication can save you from hackers(2段階認証がハッカー被害を防ぐ、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

データを暗号化するフラッシュドライブeyeDiskは簡単にハックできた

セキュリティの世界に「ハックできないもの」はない。むしろ、そう主張されるものはすべて研究者たちにとって、じゃあハックしてやろうというチャレンジだ。

英国のサイバーセキュリティ企業Pen Test Partnersの最新のプロジェクトは、自称アンハッカブル(unhackable、ハックできない)USBフラッシュドライブと言われているeyeDiskを丸裸にすることだった。そのデバイスは、目の虹彩を認識してアンロックし、デバイスの暗号を解く。

昨年のKickstarterキャンペーンで2万1000ドルあまりを集めたeyeDiskは、3月にそのデバイスを発売した。

しかし1つだけ問題があった。それが、アンハッカブルでないことだけは確かだった。

Pen Test Partnersの研究員David Lodge氏は、そのデバイスのバックアップパスワードを見つけた。デバイスのエラーや、目を怪我したときなどにデータにアクセスできるためだが、あるソフトウェアツールを使ってUSBデバイスのトラフィックをダンプすれば、そのパスワードは簡単に見つかった。

秘密のパスワード「SecretPass」がプレーンテキストで見える(画像提供:Pen Test Partners)

彼は、自分の発見を詳細に述べているブログ記事でこう言っている。「上の図の中で、赤で囲った部分が、ぼくがデバイスにセットしたパスワードだ。誰でもできる盗視だね」。

さらにまずいのは、正しくないパスワードを入力してもデバイスの本当のパスワードが分かることだ。彼の説明によると、デバイスは自分のパスワードを見せてから、ユーザーが入力したものと対比し、それからアンロック用パスワードを送る。だから、でたらめを入力しても本物のパスワードがわかる。

Lodge氏によると、このようなデバイスを使うときは、暗号化を自分でもう一度することが必要だ。

欠陥をeyeDiskに教えたら、直すと約束したが、それはまだリリースされない。この問題にコメントを求めたが、eyeDiskからの返事はない。

関連記事: 常套句「プライバシーやセキュリティを真剣にとらえている」は耳にタコだ

画像クレジット: eyeDisk

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

英国はファーウェイを5Gサプライヤーにすることに難色

【抄訳】
中国の通信機器ベンダーの関与が国のセキュリティにリスクをもたらすとの懸念にもかかわらず、イギリスの政府は、同国の5Gネットワークの一部の中核的でない部分に関してファーウェイ(Huawei)をサプライヤーとして認めることになった。しかし政府の記者発表によれば、ネットワークの中核的な部分からは除外される。

米国時間4月23日の国家安全保障会議の会合における英国メイ首相の決定を今朝のテレグラフ紙が報じた。同紙によると、複数の閣僚が彼女のアプローチに懸念を表明した。それらは、内務大臣と外務大臣、防衛大臣、通商大臣、国際開発大臣である。

FT(フィナンシャル・タイムズ)は、英国の5Gネットワークへのファーウェイの関与に厳しい制約を課すのは、閣僚たちが提起した懸念のレベルが高いことを反映している、と報じている。

5Gによる次世代ネットワークの構築にファーウェイの部分的関与を許すというメイ首相の黃信号的決定の1か月前には、英国監督機関がこの中国企業のセキュリティへのアプローチを評価して厳しい報告書を提出したばかりだ。

ファーウェイ・サイバーセキュリティ評価センター監督委員会(Huawei Cyber Security Evaluation Centre Oversight Board)の第5次年次報告書は、同社のソフトウェアエンジニアリングとサイバーセキュリティの能力には「深刻かつ意図的な欠陥がある」と酷評している。

監督委員会はしかし全面的な禁令を促すことはせず、「英国の重要なネットワークへのファーウェイの関与が国のセキュリティにもたらすすべてのリスクは、長期的には十分に軽減できる、という限定的な確証しか提供できない」と言うにとどめている。

しかし2月にブリュッセルで行われたサイバーセキュリティカンファレンスで英国の国家サイバーセキュリティセンター(National Cyber Security Centre, NCSC)のCEOを務めるCiaran Martin氏は、ファーウェイがもたらすいかなるリスクでも英当局は軽減できる、と確信を述べた。

【中略】

オックスフォード大学のサイバーセキュリティ専門家Lukasz Olejnik博士はこう言う。「これ(ファーウェイの部分的認可)は、そろそろファーウェイ問題にけりをつけたいと願っている政府の、とりあえずまあまあの落とし所だから、別に意外ではない」。

【中略】

しかし、ファーウェイには手を出させない、ネットワークの中核的部分とは何なのか、その定義が難しそうだ。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

マルウェア研究家マーカス・ハチンズが有罪を認めた

マルウェア研究家のマーカス・ハチンズ(Marcus Hutchins)が、銀行を狙う強力なマルウェアを作り、そして売ったとされる嫌疑で2つの訴因に有罪を認め、アメリカの検察との長期戦を終わらせた。

英国籍のハチンズはMalwareTechというハンドル名を名乗り、2017年8月に、ラスベガスで行われたセキュリティカンファレンスDef Conから英国へ帰国しようとしたところを逮捕された。検察はハチンズを、さかのぼる2014年に銀行を狙うマルウェアKronosの作成に関与したとして告発した。その後彼は、保釈で出獄した。

司法取引協定がウィスコンシン州東部地裁に提出され、そこでこの訴件は米国時間4月19日に審理された。彼の裁判は今年後半に開始されると決まった。

ハチンズは、Kronosを配布した罪を認めることに同意した。それは銀行のウェブサイトからパスワードとそのほかの認証情報を盗むためのトロイの木馬だ。最近の数年間そのトロイの木馬は拡散を続けた。彼また、第二の訴因である共謀罪でも有罪を認めた。

ハチンズは最大で10年の懲役刑に直面している。検察は、そのほかの訴因を取り下げた。

自分のウェブサイト上の短い声明で、ハチンズはこう言っている。「これらの行為を悔い自分の過ちに関し全面的に責任を取る」。

「大人になってからは自分が数年前に誤用した同じスキルを建設的な目的に使ってきた。今後も自分の時間を、人びとをマルウェアの攻撃から護るために捧げ続けたい」。

彼の弁護士Marcia Hofmann氏はコメントの求めにすぐには応じなかった。

ハチンズは、逮捕の数カ月前の2017年5月にWannaCryランサムウェアの犯行の拡散を止めて有名になった。その犯行は、国家安全保障局(National Security Agency、NSA)が開発し、のちにリークした強力なハッキングツールを使って何千ものWindowsコンピューターにバックドアを作り、ランサムウェアをインストールした。後日それは北朝鮮が支援するハッカーのしわざとされ、イギリスの病院や世界中の大企業のインターネット接続を断ち業務を麻痺させた。

彼はマルウェアのコードの中に見つけたドメインネームを登録することによって、感染の拡大を止め、それによって英雄視された。

保釈の前後にハチンズはセキュリティコミュニティからさらに賞賛され尊敬された。彼はマルウェア分析の分野に寄与貢献し、また自分の発見を公開して、そこから他の人びとが学べるようにしたからだ。

司法省のスポークスパーソンNicole Navas氏は、コメントを断った。

関連記事: WannaCryのヒーローの支持者グループ、クラウドファンディングで裁判費用を募金

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

米国土安全保障省が企業用VPNアプリケーションのセキュリティの欠陥を警告

米国の国土安全保障省のサイバーセキュリティ部門が発行した警告によると、企業用のVPN(Virtual Private Networking、仮想非公開通信網)アプリケーションの一部には、セキュリティ関連のバグにより、遠方からアクセスした犯人が会社の内部的ネットワークに侵入できるものがある。

カーネギーメロン大学の脆弱性開示センターCERT/CCの一般公開開示を受けて米国時間4月12日には、国のCybersecurity and Infrastructure Security Agencyが警告を発行した

Cisco、Palo Alto Networks、Pulse Secure、およびF5 Networks、計4社の作ったVPNアプリケーションは認証トークンとセッションクッキーをユーザーのコンピューターに不正に保存する。これらは消費者ユーザーがプライバシーを護るために従来から利用してきた消費者向けVPNアプリケーションではなく、遠方の社員らが会社のネットワーク上のリソースにアクセスできるために、通常は企業のITスタッフが設置する企業向けVPNアプリケーションだ。

これらのアプリケーションはユーザーのパスワードからトークンを作り出し、ユーザーのコンピューターに保存してユーザーをログイン状態に保ち、彼らが毎回パスワードを入力しなくてもよいようにする。しかしそのトークンが盗まれると、ユーザーのアカウントにパスワード不要でアクセスできるようになる。

マルウェアなどを利用してユーザーのコンピューターにアクセスした犯人は、トークンを盗み、それらを使って、そのユーザーと同じ授権レベルで企業のネットワークにアクセスできる。つまり会社のアプリケーションやシステム、データ等にアクセスできる。

今のところ、Palo Alto Networksのみが、同社のGlobalProtectアプリケーションが脆弱であることを確認している。同社は、WindowsとMacの両クライアント向けにパッチを発行した

CiscoとPulse Secureはアプリケーションをパッチしていない。F5 Networksは、トークンの不正な保存を少なくとも2013年から知っていたが、パッチをリリースする代わりに、二要素認証の利用をユーザーに勧めているそうだ。

CERTの警告によると、同様の欠陥はそのほかの数百ものアプリケーションにある、とされるが、それらを確認するテストはこれからの課題だ。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

ザッカーバーグ氏の個人的警備にFacebookは22億円超を支出

2018年は確かに、Facebookにとって厳しい年だった。その年、Cambridge Analyticaのスキャンダルと人々の高まる怒りによろめき続けた同社は、創業者に対する憎悪にも対応しなければならず、彼と家族の安全を護るために巨額を出費した。

FacebookのCEOであるMark Zuckerberg(マーク・ザッカーバーグ)氏の年俸は1ドルであり、ボーナスもないが、しかし主にセキュリティ関連のそのほかの報酬として数百万ドルを取得している。米国時間4月12日の午後発表されたSECの文書の中で同社は、2018年にザッカーバーグ氏が2200万ドル(約24.6億円)のそのほかの報酬を取得したことを明かしている。2017年にはそれは、900万ドルあまりだった。

2018年の数字のうち260万ドルは、ザッカーバーグ氏のプライベートジェットによる個人的旅行のための支出だが、そのほかの2000万ドル(約22億円)近くは彼個人のセキュリティ費用に関連している。

彼は2018年の個人的旅行や住居の警備費用として、税引き前の額で995万6847ドル(約11億円)が支払われている。さらにそのほかに、彼と彼の家族の個人的セキュリティに関連するそのほかの費用として、税引き前の手当1000万ドルを会社は支払っている。これらをすべて合わせると、2017年の彼の個人的警備の費用の3倍近くになる。

同社のそのSEC文書は、次のように述べている。「弊社の高い社会的可視性に鑑み、弊社の報酬および企業統治委員会は、ザッカーバーグ氏の、彼が弊社のファウンダーであり、CEO、会長、および過半数株主であることに直接起因する彼の安全性への具体的な脅威に基づく、安全性の懸念に対処するために、彼に全体的なセキュリティ事業’を授権している。

個人的セキュリティ事業に基づく報酬は、FacebookのCOO Sheryl Sandbergにも与えられている。彼女は2018年にそのほかの報酬を380万ドル取得しており、うち290万ドルは彼女の個人的セキュリティ費用である。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

IoTのセキュリティサービスは需要急増でArmisは早くもシリーズCで70億円相当を調達

Armisは、エージェントを使わずにネットワーク上のIoTデバイスを保護する。その技術は市場のニーズにフィットしたらしく、同社の売上は前年比で700%も増加した。そしてそれは当然投資家の関心を惹き、彼らは同社にシリーズCのラウンドで6500万ドル(約70億円)を、同社の成長の加速を今後も維持するために注入した。

Sequoia Capitalがそのラウンドをリードし、新たな投資家としてInsight Venture PartnersとIntermountain Venturesが加わった。また、これまでの投資家Bain Capital Ventures、Red Dot Capital Partners、そしてTenaya Capitalも参加した。同社によると、これで調達総額は1億1200万ドルに達する。

同社は、ネットワーク上のデバイス管理の中でもとりわけ難しい問題を解決する。デバイスはあちこちにあるけど、それらの上でエージェントを動かせないとしたら、どうやって管理するか?同社の協同ファウンダーでCTOのNadir Izrael氏は曰く「古いデバイスは、ポートをスキャンしただけでシャットダウンしてしまうこともある。細心の注意が必要なんだ」。

そこでArmisは、受け身なアプローチでセキュリティの問題に臨む。まず、正常なデバイスのやることを観察し学習し理解する。それらは、動作の指紋のようなものだ。Izrael氏は次のように語る。「デバイスがネットワークの上でやることを観察する。彼らがどう振る舞うかを見る。そこから、必要なことをすべて見つけ出す。Amisの本質は、デバイスのビヘイビアを知るための大きなクラウドソーシングエンジンだ。基本的に、Armisのどのクライアントも、デバイスの動作をつねに学習している。そしてそれらの統計モデルや機械学習のモデルをもとに、マスターモデルを作る」。

データの取り方の詳細は聞かなかったが、いずれにせよ同社の技術はセキュリティの痛点を捉えているのだろう。同社は1年前に3000万ドルのシリーズBを発表したばかりだが、成長がはやく人手が足りないので、新たな雇用のための資金が必要になった。

急成長はそれ自身がスタートアップにとってチャレンジになる。今125名のワークフォースを年内に倍にしたいのだが、新しい社員たちと新しい顧客のためのシステムを即動くように整備することも欠かせない。

もちろん新社員は営業とマーケティング方面でも必要だが、そのほかにカスタマサポートの充実や、パートナーシップ事業によるシステムインテグレータやISV、MSPたちからの協力も重要だ。彼らは、同社のためにも顧客のケアをやってくれるだろう。

関連記事: Armis raises $30 million Series B as enterprise IoT security heats up(ArmisのシリーズB、未訳)

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

サイバー犯罪のグループはFacebook上で繁栄を続けている

Facebookで何を買えるかを知ったら、誰もが驚くだろう。場所さえ知っていれば、何でも買える。Ciscoのセキュリティグ研究チームTalosの連中が、フィッシングや盗んだ認証情報、スパムなど、不法もしくはいかがわしい手段でお金を得ているFacebookのグループをたくさん見つけた。研究者たちが見つけた74のグループは、メンバー数の合計が38万5000人にも達する。

意外にも、それらのグループは自分たちの活動を隠そうとしていない。例えばTalosは、クレジットカードの番号を3桁のセキュリティコード(CVVコード)つきで売っている投稿を見つけた。持ち主本人の顔写真つき、というのもある。研究チームによると:

これらのグループの大半は、“Spam Professional”、“Spammer & Hacker Professional”、“Buy Cvv On THIS SHOP PAYMENT BY BTC ”、“Facebook hack (Phishing)”などなど、すぐにそれと分かる名前を使っている。そんな露骨な名前であるにもかかわらず、彼らはFacebook上で最大8年も存続し、その間にメンバーを何万人も獲得している。

盗んだ認証情報だけでなく、政府機関や企業などのシェルアカウントも売られており、彼らは大量のお金を移動する専門的技能を自慢し、偽のパスポートや本人認定文書などの偽造を売り込んでいる。

サイバー犯罪に関わっているFacebookユーザーが暴かれたのは、今回が初めてではない。2018年にBrian Krebs氏が報じた120のグループは計30万名以上のメンバーを抱え、フィッシング、スパミング、ボットネット、オンデマンドのDDoS攻撃などの犯行に手を染めていた。

Talosの研究者たちはブログでこう説明している。「Krebsが見つけたグループは恒久的に無効にされたが、それから数か月後にTalosは、一連の新しいグループを発見した。その一部は驚くべきことに、Krebsが報じているグループと同一または類似の名前だった」。

Talosの研究員のJaeson Schultz氏はこう書いている。「一部のグループは直ちに削除されたが、特定のポストだけを削除されたグループもいる。最終的にはFacebookのセキュリティチームにコンタクトして悪質なグループの大半を即座に取り除いたが、今でも新しいグループが次々と誕生しており、一部は今すでに活発に活動している」。

サイバー犯罪グループはFacebookが毎日のようにやらされているもぐらたたきゲームの、もぐらたちの一部にすぎない。Facebookは規模があまりにも大きく、その大きさに見合うだけの防犯対応能力を確保しないために、ここで述べたような不法かつ有害な活動は、今後も人の目の行き届かないあちこちの隅っこで、栄え続けるだろう。

Facebookのスポークスパーソンは次のように語った。「これらのグループはスパムや金銭的詐欺を禁じている当社のポリシーに違反しているので削除する。もっと警戒を強めねばならないことは分かっており、我々はこのような活動と戦うために分厚い投資を行っている」。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

コンテナのセキュリティをサービスするAquaがシリーズCで約68億円相当を調達

コンテナのセキュアな立ち上げを助けるAqua Securityが、Insight Partners率いるシリーズCで6200万ドルを調達したことを発表した。

これまでの投資家であるLightspeed Venture Partners、マイクロソフトのベンチャーファンドM12、TLV Partners、そしてShlomo Kramerも参加した。米国時間4月2日の投資で、「これまでの累積調達額は1億ドルを超える」と同社は言っている。

初期の投資家たちは、同社が2015年に創業されたとき賭けに出た。というのも当時はコンテナはまだ何者でもなかった。でもファウンダーたちは、次に来るものに関して確かなビジョンを持っていた。そしてその後、賭けはでっかく当たって今同社は、先行馬のアドバンテージを享受している。ますます多くの企業がKubernetesとコンテナの方を向くようになり、コンテナという特殊な環境を最初から想定したセキュリティ製品が必須になりつつある。

共同ファウンダーでCEOのDror Davidoff氏は、Fortune 500社のうち60社が同社の顧客だというが、その社名は明かさない。でもひとつのヒントとして、世界のトップバンクのうち5行が顧客だそうだ。そんなクラスの企業がコンテナのような新しい技術へ舵を切ったら、しっかりとしたセキュリティオプションなしでは本気で前へ進めない。それを、Aquaが提供する。

Davidoff氏はこう語る。「うちの顧客はみな、思い切った決断をして新しい技術を採用している。彼らは、既存のセキュリティツールでは問題を解決できないことも、よく知っている」。彼によると、みな最初は小さく始めるが、まわりでコンテナの採用が増えるにしたがって自分たちもコンテナの利用を拡大している。

コンテナのような軽量で短命(エフェメラル)なコンセプトはセキュリティの脅威も少ない、と思いがちだが、しかしDavidoff氏によると、コンテナはオープンな技術だから不正行為に遭いやすい。彼はこう言う。「今のコンテナは、誰も知らない初物技術ではない。多くの人に知られており、したがって危険性も増している。技術そのものがオープンだから、ハックもしやすいし脇道にも行きやすい。コンテナに機密情報があれば、その情報には容易にアクセスできる」。

Aquaは、コンテナのイメージをスキャンしてマルウェアを探し、安全を証明されたコンテナだけが確実に本番で動いているようにする。いわばAquaがコンテナの関所になるから、悪者が不正なイメージを挿入することが困難になる。しかしコンテナの短命という性質が、何かがこっそり入り込むことを許してしまう。DevOpsがいるところなら、欠陥コンテナを取り外して新たに証明されたコンテナに迅速に入れ替えるのも簡単だが。

同社は150名の社員がボストン周辺のオフィス、そしてR&Dチームはイスラエルのテルアビブにいる。今回の新たな資金で同社は、営業とマーケティングそしてカスタマサポートを充実させたい、と言っている。またプラットホームとしての能力を、サーバーレスコンピューティングなど新しい領域にも拡張したい。あれやこれやでDavidoff氏の皮算用によると、今から12ないし18カ月後には社員数は倍増、顧客数は3倍から4倍増を期待している。

これだけの資金があれば同社は今後のコンテナ化の拡大に遅れを取ることなく成長でき、プロダクションにおけるコンテナを安全に保ちたいと願う各社からの、セキュリティソリューションの需要に対応していけるだろう。

関連記事: Four years after its release, Kubernetes has come a long way(Kubernetesの誕生後の4年は長い旅路だった、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

無料パスワードマネージャー「Firefox Lockbox」がiOSに次いでAndroidにも

Mozilla(モジラ)がウェブブラウザーのFirefoxのユーザーのために作った無料のパスワードマネージャーが米国時間3月26日、Androidやってくる。そのFirefox Lockboxと呼ばれる独立のアプリケーションでユーザーは、自分のFirefoxブラウザーに保存されている自分のログイン情報に、自分のモバイルデバイスから簡単にアクセスできる。

このアプリは、1PasswordやDashlane、LastPassのような本格的なパスワードマネージャーではない。パスワードの編集や、複雑なパスワードの提案、データ侵犯によりパスワードが漏洩した可能性の通知といった機能は用意されていない。

でも、このアプリは無料だし、自分のパスワードをそこらの保護されてないテキストファイルにメモしておく方法に比べるとずっと安全だ。設定により、LockboxをAutofillサービス(パスワード自動入力)として利用することもできる。

ただしこのアプリは、あくまでもFirefoxのコンパニオンだ。LockboxにあるパスワードはForefoxブラウザーでアクセスするWebアプリケーションには安全にシンクするが、任意のアプリケーション名を入力して指定することはできない。しかもそのアプリケーションは、パスワード(だけ)でなく顔認識や指紋入力で保護されているかもしれない。なお「パスワードはMozillaにも読めない方法で暗号化される」とFAQに書いてある

Firefox Lockboxは、Mozillaが今はなきTest Flightプログラムで開発したプロジェクトのひとつだ。それはMozillaがいろんなことの実験をやるプログラムだったが、その中のいくつかは公式のプロダクトになっている。最近立ち上げたファイル共有アプリFirefox Sendなどもそうだ。

そのほかFirefox Color⁩⁨Side View⁩⁨Firefox Notes⁩⁨Price Tracker⁨Email Tabs⁩などもTest Flight出身で現役のアプリないし機能だが、すでに開発は終了し、今後はときどきメンテナンスリリースが出る程度らしい。今のMozillaは、便利なユーティリティよりも「プライバシーファースト」のソリューションに力を入れている。

Mozillaによると、iOS用のLockboxはすでに5万回あまりダウンロードされており、それが今日ついにAndroidにもやってきたのだ。

AndroidバージョンはGoogle Playで無料でダウンロードできる

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Windows 7セキュリティアップデートの終了期限をマイクロソフトが通達

マイクロソフトがWindows 7のユーザーに、セキュリティアップデートがもうすぐ終わると警告するパッチを発行した。

米国時間3月20日に展開されたそのパッチは、2020年1月14日以降セキュリティの欠陥や脆弱性に対する修復を提供しない、と警告している。その期限はWindows 7が2009年にデビューしてから10年あまりとなり、マイクロソフトの最新のオペレーティングシステムであるWindows 10よりも10年以上前、ということになる。

マイクロソフトはセキュリティアップデートをやめることによってユーザーを、セキュリティが改善されて攻撃されにくくなった最新のソフトウェアに押しこもうとしている。

4月18日からWindows 7のユーザーは、迫り来る切り離しに関する警告を受け取るようになる。

Net Applicationsによると、Windows 7は今でも、デスクトップ市場の40%を支配している。その期限の正確に300日前から、消費者のセキュリティサポートの上では時計が残り時間を数え始める。

エンタープライズの顧客向けには、2023年までセキュリティアップデートを延長するオプションがある。

数年前からマイクロソフトは、Windows 7のユーザーにWindows 10への無料のアップデートを提供してユーザーの成長とアップグレードを奨励してきた。その特待制度がなくなれば、あとはセキュリティアップデートの不在が待ち構えているだけであり、企業のデータとシステムはサイバー攻撃のリスクにさらされることになる。

マイクロソフトが寿命の終わったソフトウェアにパッチを発行することは、きわめて珍しい。2017年には3年前に引退したWindows XPに対して、その珍しいセキュリティパッチがリリースされた。それはランサムウェアWannaCryの拡散を防ぐためであり、国家安全保障局(NSA)が開発したハッキングツールがリークして、ランサムウェアはそれに乗っかる形で広まっていた。

ランサムウェアの大発生により、学校や企業や病院などがオフラインになった。

Windows 7の後継システムWindows 8は、2023年1月10日まで継続的にアップデートを受け取る。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

元ハッカーが初めて米大統領になるかもしれない

民主党の大統領候補Beto O’Rourke(ベト・オルーク)氏が、数十年前の悪名高きハッキンググループのメンバーだったことを明かした。

この元下院議員はテキサスのハッカーグループ「Cult of the Dead Cow」のメンバーだった。このグループはインターネット時代の初期のハクティビズム(Hacktivism、政治活動社会活動などを含むハッカー主義)に影響を与えたことで知られ、Windowsをハッキングするコードを作った。1990年代にはインターネットを抗議運動のためのプラットホームとして利用し、人権の重視を訴え検閲を非難した。その多くのリリースの中では、リモートアクセスとアドミニストレーションのツール「Back Orifice」がとくに有名だ。

このハッカーグループの一件を報じたロイターの記事によると、当時のオルークのハンドル名は「Psychedelic Warlord」だった。

彼はその後政治家への道を進み、2005年にエルパソ市の市会議員に当選してからは、ハッカーグループのメンバーだったことが自分の政治家としての成長を傷つけないか心配するようになった、という。グループのメンバーたちはオルークの秘密を護ったが、彼自身はロイターに、グループとの縁を認めた。

ロイターは彼を「米国の政治史における最も傑出した元ハッカー」と記し、その彼は米国時間3月14日に、米大統領に立候補すると発表した。

もしも彼がホワイトハウスを勝ち取ったら、彼は初めてのハッカー大統領になる。

オルークの履歴を見ると、アメリカが現在直面しているテクノロジーの問題にこの候補者がどのようにアプローチし、どのように問題を理解するかわかる気がする。テクノロジーに関して、かなり本格的な知識と理解を持った人が二大政党から大統領選に出馬するのは、これがほとんど初めてだろう。彼なら、テクノロジーが持ち込む良い面と諸問題に、政策のレベルで厳しく配慮し対応できるのではないか。

「インターネットには民主化する力がある、と思っている。私の個人的経験から言っても、インターネットは人の生き方を変える。そしてインターネットの上では、アイデアと技術を分かち合う国中の人びとの途方もない知性を有効に利用できる」。オルークはロイターにこう語っている。

この46歳氏はまだ支持者たちに、この新たな発覚について述べていない。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

[原文へ]
(翻訳:iwatani、a.k.a. hiwa

アプリの正常アクセスに潜む犯行を見破り撃退するCequence Securityが1700万ドル調達

アプリケーションを、そのビジネスロジックに対する攻撃から護るCequence Securityは米国時間2月27日、シリーズBで1700万ドルを調達したことを発表した。

このラウンドはDell Technologies Capitalがリードし、昨年同社のシリーズAで800万ドルをリードしたShasta Venturesが参加した。これで同社の調達総額は3000万ドルになるという。

Larry Link CEOによると、同社の仕事はアプリケーションを一見正常に見える犯行から保護することだ。特に同社が探すのは、ビジネスロジックに対する自動化ボットの攻撃で、具体的な例としては、コンテンツの窃盗、アカウントの乗っ取り、嘘の悪評の拡散、ショッピングボット、偽アカウントの作成、在庫拒否などの悪行だ。

アプリケーションを護るための同社のサービスは、1)アプリケーションの脆弱性を見つける発見フェーズ、2)その傷口を悪用している者を突き止める検出フェーズ、3)攻撃を防御し追い払う防御フェーズ、以上の3段階で行われる。

スクリーンショット提供: Cequence Security

今回の投資をリードしたDTCのDeepak Jeevankumarマネージングディレクターは、Link氏を経験豊富で優れたリーダーと認識している。彼はPalo Alto Networksで営業を5年統轄し、同社の成長を助けた。Jeevankumer氏はCequenceの技術者チームも気に入っていて、彼らはSymantecのマルウェア対策プラットホームの開発に携わった連中だ。Jeevankumar氏はこう言う。「同社は、市場をよく知っているリーダーと、短期間でFortune 100社の信頼を獲得したサイバー技術者たちとの完璧な組み合わせだ」。

Jeevankumer氏が同社のやり方で好きなのは、アプリケーションの従来のセキュリティ戦略とはかなり違うところだ。彼は曰く「従来のWebアプリケーション用ファイヤーウォールやDDoS対策製品、RASP/IAST/DASTなどのアプリケーションセキュリティベンダーは、主にコードレベルの問題を見るので、ビジネスロジックレベルの攻撃には疎い。でも今では企業の多くが、ますます多くのセキュリティ投資を、そういう‘ビジネスロジックセキュリティ’に投じている」。

Cequence Securityは11月にステルスを脱した若い会社だが、Link氏によると顧客企業の案件の平均金額サイズは50万ドルとかなり大きい。今回の資金は主に、営業とマーケティングのチーム作りに充て、彼らの教育とともに、金融サービスやソーシャルメディア、リテール、ゲームなど、これまでこのタイプのセキュリティ、ビジネスロジックへの攻撃対策が比較的お留守だった企業を顧客にしていきたい、という。

同社が創業されたのは2014年だが、プロダクトの制作に時間を要し、やっと昨年ビジネスにこぎつけた。現在、34名の社員がカリフォルニア州サニーベールの本社で仕事をしている。社員数は今度の資金で相当数増やせるだろう。

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

バックアップ/リカバリーサービスのCarboniteがエンドポイントセキュリティのWebrootを買収

ボストンでオンラインのバックアップとリカバリーサービスを提供しているCarboniteが昨日(米国時間2/7)、エンドポイントセキュリティのベンダーWebrootをキャッシュ6億1850万ドルで買収する、と発表した。

同社は、そのクラウドバックアップサービスにWebrootのエンドポイントセキュリティツールが組み合わされば、顧客により完全なソリューションを提供できる、と信じている。実はWebrootの履歴はクラウドに先立ち、創業は1997年だ。Carboniteが提供しているデータによると、Webrootは2018会計年度に2億5000万ドルの売上を報告している。同じ時期にCarboniteの売上は2億9640万ドルだった。

CarboniteのCEOで社長のMohamad Aliは、この買収を同社のサービスの多様化の機会、と捉えている。彼は声明の中でこう述べている: “ランサムウェアのような脅威が日増しに進化している中で、われわれの顧客とパートナーはますます、強力でしかも使いやすい、総合的なソリューションを求めている。バックアップとリカバリに、エンドポイントセキュリティとスレットインテリジェンス(threat intelligence, 脅威情報)を組み合わせたものは、他と明確に差別化されるソリューションとして、単一の総合的データ保護プラットホームを提供する”。

この取引はCarboniteのバックアップ製品を強化するだけでなく、同社に新しい顧客ももたらす。Carboniteは主に付加価値再販業者(VARs)に売っているが、Webrootの顧客は主に14000社のマネージドサービスプロバイダー(MSPs)だ。顧客層は重複していないので、MSPのチャネルからCarboniteの市場を拡大できる。Webrootの全顧客数は30万である。

Carboniteの買収は、これが初めてではない。過去数年間にいくつかの買収を行っており、たとえば1年前には1億4500万ドルでDellからMozyを買収した。その買収戦略は、同社の核となるバックアップとリカバリーサービスにさまざまなツール加えて、より総合的なプラットホームになることだ(下図)。

図版提供: Carbonite

今回の買収は、手持ちキャッシュに加えてBarclays、Citizens Bank、およびRBC Capital Marketsからの合計5億5000万ドルの融資を利用している。規制当局の承認を得て、この四半期内には買収が完了するものと予想されている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AppleがGroup FaceTimeの盗聴バグを見つけたティーンエイジャーにごほうび

Appleによると同社は、かかってきた起呼を取らなくても盗聴や盗視ができるGroup FaceTimeのバグを最初に見つけたティーンエイジャーに報酬を払うそうだ。

そのバグを最初にAppleに報告したのは14歳のGrant Thompsonと彼の母親だが、しかし彼らが同社との接触に手間取っている間にバグはよそでも見つかり、ソーシャルメディア上でヴァイラルに広まった。

支払いはAppleのバグ報奨制度(bug bounty)の一環として行われる。それは各社が、バグや脆弱性の発見者に対して支払っている謝礼金の制度だ。Thompsonの場合Appleは、彼の教育費援助もするらしいが、その額は明かされていない。

Appleのスポークスパーソンは本誌にこう語った: “報告されたバグに対応しただけでなく弊社のチームはFaceTimeサービスの全面的なセキュリティ監査を行い、FaceTimeのアプリとサーバーの両方にさらなるアップデートを行ってセキュリティを改善した。それには、FaceTimeのLive Photos機能の、これまで見つけられていなかった脆弱性も含まれる”。

そして、“最新のソフトウェアへのアップグレードをまだ行っていない顧客を保護するために、サーバーをアップデートして、古いバージョンのiOSとmacOSのFaceTimeではLive Photos機能をブロックした”。

AppleはiOS 12.4.1を木曜日(米国時間2/7)に展開し、Appleはそれについて、“重要なセキュリティアップデートなのですべてのユーザーに推奨される”、と言っている。同社のセキュリティ勧告のページも、バグの発見者としてThompsonの名をクレジットしている。

関連記事: Update to iOS 12.1.4 to re-enable Group FaceTime…iOS 12.1.4アップデート(未訳)

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleはコンフィデンシャルコンピューティングのフレームワークAsyloに注力

昨年の5月にGoogleは、コンフィデンシャルコンピューティング(confidential computing, 機密計算)のためのオープンソースのフレームワークAsylo導入したクラウドの大手ベンダーの多くが歓迎しているこのテクニックは、システムのそのほかの…たぶん信頼性が低い…部分から隔離された、信頼性の高い実行環境をセットアップする。ワークロードとそれらのデータも信頼性の高い特別な領域に置かれるので、ネットワークやオペレーティングシステムの脆弱性に対するさらなる保護層が加わる。

とくに新しいコンセプトではないが、Googleによると、実際に採用することはきわめて困難だった。Google CloudのエンジニアリングディレクターJason GarmsとシニアプロダクトマネージャーNelly Porterが、今日のブログ記事で述べている: “このような利点にもかかわらず、この新興技術の採用は(1)特定のハードウェアへの依存、(2)複雑で難しい、(3)コンフィデンシャルコンピューティングの環境で使えるアプリケーション開発ツールがない、などにより阻まれていた”。そしてAsyloフレームワークの約束は、これらの言葉からも分かるように、コンフィデンシャルコンピューティングを容易にすることだ。

Asyloを使うと、これらの隔離された領域(enclave(s))で動くアプリケーションを容易に作れて、IntelのSGXなどさまざまなハードウェア/ソフトウェアベースのセキュリティバックエンドを使えるようになる。アプリケーションが移植されてAsyloをサポートするようになると、そのコードはAsyloがサポートする他のどんな隔離領域でも動く。

ただし現状では、コンフィデンシャルコンピューティングを取り巻く技術や実践の多くが流動的だ。Googleによると、まず、Asylo APIを使ってアプリケーションを作り、さまざまな隔離領域で動かすための、確立したデザインパターンがない。またハードウェアも、メーカーによって仕様が一定でないので、ハードウェアのレベルでの技術の相互運用性が保証されない。

“業界と協力して、コンフィデンシャルコンピューティングのアプリケーションをサポートするもっと透明で相互運用性のあるサービスを作っていきたい。そしてそれによって、(正しい互換性の)証明文書の検査や、複数の隔離領域間の通信プロトコル、複数の隔離領域にまたがる連邦的アイデンティティシステムなどを、分かりやすいものにしていきたい”、とGarmsとPorterは書いている。

そしてそのためにGoogleは今日(米国時間2/6)、Confidential Computing Challenge(C3)〔一種の懸賞企画〕というものを立ち上げた。それは、デベロッパーがコンフィデンシャルコンピューティングの新しいユースケースを作れるようにし、また、その技術を前進させていくことが目的だ。このチャレンジに入賞したら、賞金15000ドルと、Google Cloud Platformの使用クレジット5000ドルぶんがもらえる。賞品としてハードウェアもあるが、機種等は不明だ(PixelbookやPixelスマートフォンじゃないかな)。

また、Asyloのツールを使ってアプリケーションを作るやり方を学べるハンズオンラボが、3つ用意される。それらは、Googleのブログにあるコードを利用するなら、最初の1か月は無料だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa