タグ: Security

企業のWebアプリケーションをさまざまな侵害から守るSignal Sciencesが3500万ドルを調達

WebアプリケーションのセキュリティをヘルプするロサンゼルスのSignal Sciencesが今日(米国時間2/5)、3500万ドルのシリーズCを発表した。

Lead Edge Capitalが、このラウンドをリードした(名前にleadがあるところがおもしろい)。そしてCRV、Index Ventures、Harrison Metal、およびOATVが参加した。同社によると、この投資で同社の調達総額は約6200万ドルになる。

同社は、オンライン銀行やショッピングカート、メールなどなど、ありとあらゆるWebアプリケーションを保護する。同社のCEOで協同ファウンダーのAndrew Petersonによると、同社のセキュリティサービスは、アプリケーションを包む保護層やファイヤーウォールのような働きをする。

Petersenは曰く、“われわれはWebサイトやモバイルサイトを保護する。われわれのソフトウェアは、インターネットと、Webアプリケーションにやってくるトラフィックおよびそのすべてのデータの間に割り込む”。彼の説明は単純だが、今のインターネットはほぼ全域的に侵害が猛威を振るっているから、セキュリティはとうてい単純な問題ではない。

Signal Sciencesは、やってくるトラフィックの振る舞いを見て悪意の有無を判断する。Petersenはこう言う: “われわれは攻撃の情報に、その犯人が何をやろうとしているのか、という振る舞いを結びつける”。彼によるとこれによって、顧客は攻撃者の振る舞いを正しく理解し、自分のサイトに対して彼らが何をしようとしているのかを具体的に理解する。不審なアクティビティがあるたびに、それらが攻撃か否かをランダムに判定努力する、という大まかなやり方はしない。

Petersenは、現在の顧客数を明かさない。彼によると、大企業では複数の部門がそれぞれ独自のサイトを運営したりしているから、そんな企業を‘顧客数1’として数えるのは誤解を招くという。代わりに彼が挙げるのは、同社が保護しているアプリケーション数(1万以上)と、毎月調べるリクエスト数(約1兆)だ。大手企業の顧客には、Adobe、Under Armour、WeWorkなども含まれる。

同社の社員数は今150名で、Petersenによると毎年倍増しているそうだ。今回得た資金で、さらに社員数は増えそうだ。また、同社のセキュリティソリューションの特長を正しく知ってもらい、顧客をさらに増やしていくことも今後の課題だ。

“この会社を始めたのは、革新的な技術を作り出すためだ。われわれのソフトウェアとサービスを通じて、Webのセキュリティに対する顧客の理解や期待像を、これまでよりもレベルアップし、より正しいものにしていきたい”、とPetersenは言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

BetterCloudではどんなSaaSアプリケーションでも単一のダッシュボード上で監視制御できる

BetterCloudは、G Suiteにオペレーションのレイヤを提供するサービスとして始まった。しかし近年のオーバーホールにより、そのほかのSaaSアプリケーションもサポートすることになった。そして今日(米国時間2/5)同社は、どんなSaaSアプリケーションでも同社のオペレーションズダッシュボードに加えることができ、単一のAPIでそれらのアプリケーションの使われ方をモニタできるようになった、と発表した。

ファウンダーでCEOのDavid Politisによると、OktaのようなツールはSaaSアプリケーションの認証の方法を提供するが、社員が実際にそれを使い始めたらBetterCloudが、その使われ方をITから見えるようにする。

Politisはこう説明する: “最上位の問題はアイデンティティとアクセスと接続だ。しかしうちが解決するのは、その次ぐらいに重要な、対話という問題だ”。彼によると、SaaSアプリケーションの上で起こっている対話をモニタし理解する能力を企業は欠いている。人びとは組織の中や外で情報と対話し、情報を共有している。そういう環境で起こっていることをITがコントロールし、より安全にするための手助けをBetterCloudは提供する。

同社は、ITが実施するコントロールの量を、ニーズに応じて加減できる。単一のアプリケーションや、あるいは複数のアプリケーションに共通するコントロールを提供できるが、ユーザー体験は何も変えない。それらをするためのスクリプトのライブラリを、ITに提供する。またそのスクリプトの動作を見るための、ログアクセスも提供する。

関連記事: BetterCloudが2年がかりの大規模改築工事でG Suite管理サービスから汎用SaaS管理へ変身

それらのデータを顧客がもっと有効に利用できるために、集めたデータ間の動的関係を理解するためのGraph APIも提供している。顧客はまた、データにイベントトリガーをセットして、集めたデータの状態に応じてやるべきアクションを指定できる。

昨年同社はそのプラットホームをオーバーホールして、G SuiteだけでなくそのほかのSaaSアプリケーションの使われ方もモニタできるようにした。今日の発表は、その能力の告知だ。BetterCloud自身はコネクターを作らず、顧客がそれを作れるためのAPIを提供している。

同社は2011年に創業され、Crunchbaseによるとこれまで1億600万ドルあまりを調達している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Canadaの通信大手Telusが信頼できるパートナーと呼び反Huaweiの壁に風穴

Huaweiをめぐるアメリカと中国の緊張関係で世界中の通信企業が岐路に立たされているが、先週、ある一社が声を上げた。カナダの大手電話企業のひとつであるTelusが、セキュリティへの懸念で全世界からの逆風にさらされている同社の中国のパートナーHuaweiに対する、支持を表明した。

Globe and Mailが入手したTelusの役員の署名入り内部メモはこう言っている: “Huaweiが、世界のトップに位置するイノベーションと包括的なセキュリティ技術、およびソフトウェアの最新アップグレード等により、カナダの通信業界の有能で信頼に足る一員たりうることは火を見るよりも明らかである”。

バンクーバーに本社のある同社を含めカナダの通信企業数社が、Huwaeiの技術により5Gのシステムを構築する気だった。5Gは、モバイルの通信を高速化するだけでなく、応答性の良い自動運転技術や8Kのビデオストリーミングなどにも欠かせない重要な通信技術だ。本誌TechCrunchは今Telusにコメントを求めているので、得られ次第この記事をアップデートしたい。

アメリカは前から、この中国の通信機器メーカーが中国政府の子飼いであり、したがって政府の諜報活動に関わっていると懸念してきた。その懸念の高まりにより大統領のDonald Trumpは今年、HuaweiとZTEのボイコットを発議した、と言われる。またThe Wall Street Journalは先週、アメリカの連邦検事たちが企業秘密の窃盗罪でHuaweiの告訴を準備中、と報じた。

オーストラリアニュージーランドは共に、国内のプロバイダーがHuawei製品を使うことを禁じた。イギリスはHuawaiを公式に禁じてはいないが、当局はその態度を決めるよう圧力を受けていると言われる。

Canadaは、オーストラリア、ニュージーランド、イギリス、およびアメリカと共に諜報共有ネットワークFive Eyesに加わっており、5G展開の前のセキュリティレビューを今行っているが、アメリカから、次世代技術の構築にあたってはHuaweiを排除するよう迫られている。

関連記事: 米、政府内でのHuaweiやZTEの機器使用を新国防法で禁止

中国はこれまでの数か月一貫して、同国の至宝的テクノロジー企業に対するスパイ容疑に反論してきた。先週は、在カナダ大使Lu Shayeが、世界最大の通信機器メーカーをブロックしたらその反動が起きる、と警告した。

Luは記者会見でこう述べた: “カナダがアメリカやオーストラリア、ニュージーランドと同じ決定をすることをつねに懸念してきた。このような決定は、その非難に根拠がないので公正ではない。Huaweiを5Gのネットワークから排除した場合の結果について具体的な想定はできないが、何らかの結果が生ずることを確信している”。

先週はまた、HuaweiのCEO Ren Zhengfeiが珍しくも国際的なメディアのインタビューに登場して、彼が1987年に創業した企業に対するセキュリティ関連の非難を否定した。そして中国企業を排除したらアメリカの非都市地域における高速ネットワークの整備が後れるだろう、と警告した。

“Huaweiがそれに関わることができなければ、地方における通信費用が非常に高いものになるだろう”、とRenは主張した。“これからは多くの国がHuaweiに対し、5G製品を禁ずるのではなく売るよう、自ら進んで求めるだろう”。

Huaweiをめぐる騒動は、アメリカと中国の間の貿易戦争とその硬直化の一環でもある。それによって、国防をアメリカに依存している国と、安いだけでなく技術的にますます優秀になりつつある中国からの投資に経済を依存している国の両方に、影響が生じている。

カナダは、アメリカ当局からの要望に応じて、Renの娘でもあるHuaweiのCFO Meng Wanzhouを拘束したため、係争当事者であるニ大国の板挟みになっている。ホワイトハウスにとっては、今月末という容疑者引き渡し期限が迫っている。一方、カナダの首相Justin TrudeauとTrump は中国政府に、Mengの拘束速直後に拘留した二人のカナダ人の釈放を求めている。

画像クレジット: Huawei

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Googleが通話ログやSMSのメッセージにアクセスする未審査Androidアプリを削除

Googleが今、通話ログやSMSのメッセージにアクセス許可を求めるアプリで、Googleのスタッフが検査していないものを削除している。

Googleによるとこれは、機密性のある通話やテキスティングのデータにアクセスするアプリをGoogle Playからなくす努力の一環だ。

Googleは10月に、デベロッパーには新しくて安全な、プライバシーに配慮したAPIを使ってほしいので、今後Androidアプリがレガシーのパーミッションを使うことを禁止する、と発表した。これまでは多くのアプリが、通話ログやテキスティングのデータへのアクセスをリクエストして、ソーシャルな共有やスマートフォンのダイヤラーをリプレースするために、二要素認証のコードを調べようとしていた。しかしGoogleの認識では、このレベルのアクセスを一部のデベロッパーが悪用し、パーミッションを誤用して機密データを集めたり、単純に間違った扱い方をしたりしている。

GoogleでGoogle Playのプロダクト管理を担当しているPaul Bankheadは次のように語る: “今度の新しいポリシーは、アプリがその主要な用途を実現するために機密データへのアクセスを要し、ユーザーもそのことを理解している場合のみ、これらのパーミッションを許可するようにしていくためだ”。

通話やテキスティングのデータへのパーミッションを求めることを今後も維持したいデベロッパーは、パーミッション宣言に記入しなければならない。

Googleはそのアプリと、アクセス許可を維持したい理由を調べる。なぜこのデベロッパーはアクセスをリクエストするのか、それによるユーザーの利益は何か、逆に、通話やテキスティングのデータにアクセスされることのリスクは何か。

Bankheadによれば、新しいポリシーでデータアクセスが禁じられると、実用性がなくなるアプリもありえる。

Googleによると、すでに数万のデベロッパーがアプリのニューバージョンを提出しており、その中には通話やテキスティングのデータへのアクセスを不要にしたアプリもある。それ以外のアプリは、パーミッション宣言を提出した。

宣言を提出したデベロッパーは3月9日までに、承認またはパーミッションの削除要請を受け取る。どんな用途なら承認される(データアクセスが許される)のかに関してGoogleは、承認される用例のリストを用意している。

これまでの2年間だけでも、Androidアプリやそのほかのサービスによる、通話やテキスティングデータの重大なリーク事件がいくつかあった。2017年の晩くには、人気の高いAndroidのキーボードアプリai.typeが、ユーザー3100万人という大きなデータベースを露出し、3億7400万もの電話番号などが盗まれた。

Another huge database exposed millions of call logs and SMS text messages

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ファイルマネージャーアプリES File ExplorerはAndroid機のデータを外部に露出する

とても多くのユーザーが使っているAndroidの人気アプリが、なぜバックグラウンドで秘かにWebサーバーを動かしているのだろうか?

そのES File Explorerは、2014年以来5億以上ダウンロードされた、と豪語している。これまででいちばん多く使われたアプリのひとつだ。シンプルなので、誰にも好かれた。それは単純なファイルエクスプローラーであり、ユーザーは自分のAndroidスマートフォンやタブレットのファイルシステムを調べて、ファイルやデータやドキュメントなどにアクセスできる。

しかしこのアプリは、楽屋裏で機能最小限のWebサーバーを、そのデバイスの上で動かしている。それによってAndroidデバイスの全体をオープンにしてしまい、データ窃盗などの攻撃の、為すがままになる。

フランスのセキュリティ研究家Baptiste Robert、ハンドル名Elliot Aldersonが先週、外部に露呈しているポートを見つけ、その発見を水曜日(米国時間1/16)にツイートで発表した。ツイートする前に彼は、本誌TechCrunchに、露呈しているポートを使ってデバイスからデータを盗み取れることを、デモしてくれた。

“そのローカルネットワークのすべてのデバイスが、データをそのデバイスにインストールされてしまう”、と彼は言った。

彼が書いた簡単なスクリプトで、同じネットワーク上の別のデバイスから、画像やビデオやアプリの名前、そしてメモリカード上のファイルさえ引っ張り出せることを、彼はデモした。被害者のデバイス上でアプリをリモートで立ち上げることすらできる。

彼はそのスクリプトを、テスト用に本誌TechCrunchに送ってきた。要らないAndroidスマートフォンを使って、彼が見たということを確認した。Robertによるとアプリのバージョンは4.1.9.5.2で、それより前のものにオープンなポートがある。

彼曰く: “いいことではないね”。

ES File Explorerが動いているAndroidデバイスと同じネットワーク上のデータを取得するスクリプトをセキュリティ研究者が作った(画像は提供されたもの…この記事の筆者はスクリプトを実際に動かしていない)。

ES File Explorerのメーカーにコンタクトしたが、まだ返事はない。何か来たら、この記事をアップデートしよう。

これはインターネット上の悪人が一般的に悪用できる欠陥ではないから、やられる心配は少ない。悪事を働こうとする奴は、被害者と同じネットワークにいなければならない。つまり、同じWi-Fiネットワーク、ということだ。でも万一そいつがネットワークのパーミッションを持っていたら、こんな出来損ないのアプリを悪用してデータを盗むことができる。だから安心はできない。

それは、HTTPプロトコルを使ってビデオを他のアプリにストリーミングするために使われる、という合理的な説明もある。しかし一方、露出したポートという問題を過去に経験したことのある人は、それは危ない、と言う。そのアプリは、こんなことも言っている: “この機能を有効にすれば、これによってあなたのスマートフォン上のファイルをあなたのコンピューターから管理できる”。…しかし‘あなたのコンピューターから’とは限らない。

そして、アプリを開いた途端にそれらのファイルは、そのWebサーバーが通信のために開いたポートによって外部へ露呈するのだ。そのことが、分からない人が多いだろう。

関連記事: サイバーセキュリティ強化のためにチェックすべきトップ5

画像クレジット: TechCrunch

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

フランス外務省、緊急連絡先データベースに侵入される

フランスの外務・国際開発省は声明で、データ侵害によって個人情報が盗まれたと発表した。約54万件の記録が盗まれ、その中には氏名、電話番号、およびメールアドレスが含まれていた。

去る2010年、同省はArianeという緊急サービスを構築した。安全でない国に旅行する際、Arianeに登録して行き先を同省に伝えることができる。

登録すると安全に関する説明を受け、危機が起きた時に連絡が来るほか、あなたに何かが起きた時のために政府が緊急連絡先を保管する。

今日のデータ侵害は緊急連絡情報に関するものだった。12月5日、全員の緊急連絡先の入っているデータベースに不正アクセスがあった。同省によると、脆弱性はすでに修正されている。さらに、フランスのデータ監視機関であるCNILにも72時間以内に連絡をとったと同省は言っている。

問題のデータベースには姓名、電話番号、およびメールアドレスが入っていた。Arianeのユーザーデータは流出していない——すなわちパスワードや旅行情報はアクセスされていない。緊急連絡先とArianeユーザーとの関係もアクセスされていない。

緊急連絡先として情報を登録している人には、同省がメールを送り侵害の影響をうけていることを知らせている。また、あなたの名前とすでに使っていない電話番号やメールアドレスを誰かが入力していた場合、データ侵害が起きていてもわからない可能性がある。

パスワードの変更などは必要ないため、基本的に何もしなくてよい。ただし、盗まれたデータがスパムやフィッシング目的で利用される可能性があることには注意されたい。

[原文へ]

(翻訳:Nob Takahashi / facebook

Kubernetesのセキュリティとコンプライアンスに特化したサービスTigeraがシリーズBで$30Mを調達

Kubernetesによるコンテナのデプロイメントにセキュリティとコンプライアンスを提供するTigeraが今日(米国時間12/12)、Insight Venture PartnersがリードするシリーズBのラウンドで3000万ドルを調達した。これまでの投資家Madrona, NEA, そしてWingも、このラウンドに参加した。

Kubernetesのエコシステムのみんなと歩を揃えて、Tigeraも今週のKubeConで展示をしていた。彼らとの立ち話で、会社の状況や新しい資金の用途などを聞いた。

CEOのRatan Tipirneniはこう言う: “四大パブリッククラウド(AWS, Microsoft Azure, Google Cloud, IBM Cloud)の全員が、彼らのパブリックなKubernetesサービスにうちを使っている。またRed HatやDockerなどの大手Kubernetesディストリビューションも、われわれを使っている”。そのほか、ヘルスケアや金融などのエンタープライズも同社のユーザーであり、一部のSaaS提供企業も同社のサービスを直接使っている…その名前は明かせない。

同社によると、資金調達は本当は必要なかった。“今はお金は要らない。金よりもむしろ、大量の関心が集まってくるね”、とTipirneniは語る。同社は今回の資金を、エンジニアリングとマーケティング、およびカスタマーサクセスチームの拡大に充てるつもりだ。具体的には、営業は4倍に増やしたい。また人材の得やすいバンクーバーに、大きなオフィスを構えたい、という。

レガシーのITの世界では、セキュリティとコンプライアンスのソリューションはインフラの安定が暗黙の前提だった。しかしコンテナとDevOpsの登場と共に、ワークロードはきわめて動的になり、セキュリティの確保が難題になってきた。またコンプライアンスも、HIPPAやPCIなどの規制や規格が絡んでより複雑になった。Tigeraが約束するソリューションでは、エンタープライズがゼロトラストモデルによってコンプライアンスを確保し、ネットワーク上の各サービスに権限を与えて、すべてのトラフィックを暗号化、そして会社とニーズのためにアドミンが設定したポリシーを強制する。このデータのすべてが詳細にログされ、必要に応じてインシデント管理や犯罪捜査等のために取り出すことができる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Confirmed VPNはVPN業界に透明性をもたらしたい

VPNの業界は、ひどいね。数ダースもの企業が、完全なプライバシーというありえない夢を、あなたに売り込もうとしている。でもそれは、真っ赤な嘘だ。Confirmed VPNは、VPN企業に説明責任を持たせることによって、この状況を変えようとしている。

関連記事: 今さら人に聞けないVPN入門…VPNの神話をはぎ取る

VPN企業は、あなたのデバイスと、どこかのデータセンターにあるサーバーとの間に暗号化されたトンネルを作る。トンネルの中にあるものを、誰も見ることはできないが、VPN企業は自分のサーバーの上で何でも見られる。

多くのいかがわしい企業が、このことを利用して、ユーザーの閲覧習慣を分析して広告主に売ったり、セキュリティのゆるいページに自分の広告を載せたり、ユーザーのアイデンティティを盗んだりしている。最悪の場合は、あなたのオンライン生活に関する大量のデータが当局の手に渡ったりする。

彼らはプライバシーポリシーで嘘をつき、その企業の役員などを紹介するAboutページすらないことが多い。そして大量の好評レビューや推薦の言葉を、金で買っている。

そんな彼らを、信じてはいけない。

だからVPNサービスは、インターネット上でユーザーをより安全にしない。むしろ、HTTPS Everywhereをインストールし、アドブロッカー(広告ブロック)をインストールし、そしてDNSをQuad9や、Cloudflareの1.1.1.1に設定した方が、接続の安全を確保できる。

さて、本題に戻ると、Confirmed VPNは新しいやり方でVPNサービスをやってみようとしている。Duet DisplayのRahul Dewanを元iCloudのエンジニアJohnny Linの二人は、この新しいサービスのクライアントとサーバー、両方のコードをオープンソースにしている。そして同社は、Amazon Web Services上で新しいコミットを自動的にデプロイしている。

同社はAWSのCloudWatchを使ってサーバー上の異常なアクティビティをモニタし、自分たちがログをダウンロードしたり、それに類することをやっていないことを、証明している。セキュリティのエキスパートは、同社が発行するリードオンリーの認証情報でAWSにログインできる。Confirmed VPNはまた、二つのセキュリティ監査に合格しており、バグバウンティプログラム(バグ発見者へのごほうび制度)もある。

セキュリティの専門家でないぼくは、Confirmed VPNを推奨することはできないし、依然としてVPNサービスは使うべきでないと思っている。でも、同社の透明性のあるやり方は、それ自身が興味深い。競合他社たちは、どう反応するだろうか。

関連記事: プライバシーへの不安が高まる今、15分で自分専用VPNサーバーを立ち上げてみた

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

マザーボード上のスパイチップ騒動に結論、Supermicroが起用した調査企業がその存在を否定

主にサーバー機やゲーム機用マザーボードのメーカーSupermicroが、同社の顧客に送った書簡で、同社のマザーボード上に悪質なチップがある証拠は見つからなかった、と言っている。同社はサードパーティのNardello & Co.に、Supermicro製ハードウェアの厳密な検査を委嘱していた。

10月4日に、Bloombergの記事が、中国のスパイがSupermicroのマザーボードに小さな悪質なチップを隠した、と主張した。それらのチップは、サーバーボードに載って、最終的にはAmazonやAppleなどSupermicroの顧客が運用しているデータセンターへ行くだろう。

その記事はたちまち激しい論争を喚(よ)んだが、そのことを確証できる者は一人もいなかった。AppleとAmazonは複数の反論を発表し、その評判を守ろうとした。

Supermicroは直ちにその記事を否定し、外部の調査会社を起用した。多くの顧客もまた、複数の検査を行った。Nardelloは、現在生産されているマザーボードと、過去にAppleとAmazonに納品された機種を検査した。また、ソフトウェアの怪しげな振る舞いについても、調べた。

今日(米国時間12/11)Nardelloは、それらのマザーボード上に悪質なハードウェアの証拠なはい、と結論した。

Supermicroの役員たちは書簡にこう書いている: “これらの嫌疑が報道されて以来何度も申し上げたように、いかなる政府機関も弊社の製品上に悪意あるハードウェアを見つけたと通知してきたことは一度もなく、いかなる顧客も弊社の製品上に悪意あるハードウェアを見つけたと告知していない。そして私たち自身も、弊社の製品上に悪意あるハードウェアの証拠を一度も見ていない”。

Bloombergはその後、記事の撤回、または、スパイチップがあるという有無を言わせぬ証拠の提示を行っていない。しかし被害は大きく、Supermicroの株は急落、最初の記事が出た直後には41%あまりも下げた。

関連記事: Apple、議会宛レターで「スパイチップ」記事を強硬に否定

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Google+に5250万ユーザーの非公開データをアクセスできるバグがあった

Google+は、まだ元気だったころはちょっとした失敗だったが、今や生ける屍であり、単なるお荷物になりつつある。10月に50万人近いユーザーに影響を与えた重大なセキュリティー問題を公表したあと、Googleは同サービスを2019年8月に閉鎖することを発表した。しかし、事態はさらに悪化している。本日(米国時間12/10)同社は新たなプライバシー欠陥を公表した。それは先月発見され、約5250万ユーザーのデータの一部がGoogle+ APIを使ったアプリからアクセスできる状態にあった。

バグが見つかるたびにGoogle+の閉鎖日付が前倒しされるようで、Googleは今日、2019年4月にサービスを閉鎖することも発表した。Google+ の全APIが90日以内に停止する。

新たなバグが生きていたのは11月初めの6日間ほどだけで、Google+のPeople APIに関連していた。ユーザーのプロフィール情報——名前、メールアドレス、役職、性別、誕生日、交際ステータス、年齢など——を見る許可をリクエストしたアプリは、非公開に設定されているデータでもアクセスすることが可能だった。

さらに悪いことに、このデータをアクセスしたアプリは、他のGoogle+ユーザーがそのユーザーとシェアした非公開のプロフィールデータにもアクセスできた。

Googleは、このデータをアクセスできることにデベロッパーが気づいたり、何らかの方法で悪用した証拠は見つかっていないと言っている(使っているユーザーがほとんどいないソーシャルネットワークを運用していることのメリット)。さらに同社は、このデータをアプリが利用できたのは6日間だけだったことも強調した。バグは今年の11月7日から13日までの一週間に発生、発覚し修正された。

前回Googleは、バグの公表が大きく遅れたことで厳しく批判された。内部事情に詳しい人物によると、今回は内部公表プロセスを経たあと迅速に行動しており、それは会社として透明性を見せたかったことが理由のひとつだという。

「われわれは、顧客のデータを守る信頼性の高い製品を作ることでユーザーの信頼を得られることを理解している」と今日のブログ記事に同社は書いた。「われわれはこのことを常に深刻に捉えており、当社のプライバシープログラムの強化を続け、内部プライバシープロセスを改善し、データ管理を強化し、ユーザー、研究者、政策立案者のフィードバックを得てプログラムを改善していく。全員のためのプライバシー保護を構築する努力を止めることは決してない」

[原文へ]

(翻訳:Nob Takahashi / facebook

O2とソフトバンクで起きた通信障害の原因はこれだ

先日 Ericssonの通信機器の不具合によって停止した英国のO2、日本のSoftBankを始めとする通信キャリアーは、その殆どが翌日には正常に戻ったようだ。原因は通信機器のソフトウェア認証が失効したためだと言われている。

Ericssonは認証の失効が問題の根本原因であることをプレスリリースで認めているが、なぜそれがシステム停止を招いたのか不思議に思う人もいるかもしれない。おそらくフェイルセーフシステムが原因だろうと、米国の認証機関Sectigo(前Comodo CA)のシニアフェローTim Callanは言う。Callanはこの業界で15年の経験を持つ。

彼によると、本件の具体的情報はわかっていないが、執行した証明書を見つけたときにシステムをシャットダウンするのは業界に共通するベストプラクティスだという。「問題のEricssonのシステムについての具体的情報は持っていないが、一般に、アプリケーションが運用を続けるためには有効な認証が設定されている必要がある。これは、ネットワークに悪意のあるソフトウェアが侵入することによる攻撃に対する保護である」とCallanはTechCrunchに語った。

実際Callanによると、2009年のHeartland Paymentsで起きた侵入事件はその種の問題に直接起因していた。「2009年のHeartland Payment Systemsの事件は、当該システムがそうした要件を満たして〈いなかった〉ためだ。同様の脆弱性を避けるために認証を用いることは現在の一般的慣行だ」とCallanは説明した。

Ericssonは問題の原因について詳細を明らかにしていない。「Ericssonはこの技術的問題の全責任を負う。問題は特定され解決している。完全な分析を終えた後、Ericssonはこのような事故が再び起きないよう対策を講じる」

今回の事故で、英国のO2および日本の SoftBankでは利用者数千万人が影響を受けた。Softbankは自社のウェブ・サイトで謝罪のプレスリリースを発表した。「お客さまには、多大なるご迷惑とご不便をお掛けしましたことを深くおわび申し上げます。弊社では今回このような事象が発生したことを重く受け止め、再発防止策の徹底を図り、サービスの安定的な運用に向けて全力で取り組んでいきます。」

O2も、サービス復旧後に謝罪のツイートを発信した。

[弊社の4Gネットワークは本日午前に復旧した。弊社の技術チームは引き続きサービスの状況を監視するとともに、何が起きたのかを理解するための徹底調査を開始した。多大なご不便をおかけしたことをお詫びいたします」

画像クレジット:Jose Luis Pelaez Inc / Getty Images

[原文へ]

(翻訳:Nob Takahashi / facebook

カナダの1-800-FLOWERSサイト、クレジットカード盗難マルウェアの存在に4年間気づかず

この後始末は大量の花だけでは済まなそうだ。。

1-800-FLOWERSのカナダ支店はカリフォルニア州検事総長宛ての報告書で、同社のウェブサイト上のマルウェアが顧客のクレジットカード情報を4年間にわたって流出させていたことを明らかにした。

4年間だ。考えてみて欲しい。

同社によると、マルウェアは2014年8月15日から2018年9月15日までの間、クレジットカード情報を取り出していた。しかし同社の主要ウェブサイトである1-800-FLOWERS.comは影響をうけなかった。

「調査結果によると、収集された情報には、氏名、支払い用カード番号、有効日付、およびセキュリティーコードが含まれている」と提出資料に書かれている。

つまりこれは、悪者があなたのクレジットカードを空っぽにするために必要な情報すべてということだ。

報告書には何人の顧客がデータを盗まれたのかは書かれていないが、 カリフォルニア州法によると、カリフォルニア州民500人以上が影響を受けた場合、会社はハッキングについて顧客に通知しなければならない。

4年間にわたる侵入はひどいだけではなく、なんとも絶妙のタイミングでもあった。奇妙なことに、2014年にさかのぼってセキュリティー問題を認めた会社はこれが2番目だ。木曜日(米国時間11/30)にMarriottは、5億人分の顧客予約記録が、4年間にわたり正体不明のハッカーによって盗まれていたことを発表した。

ことわざをご存じだろう:二度あることは三度ある。さて次は誰だろう?

Gift Guide: The best security and privacy tech to keep your friends safe

[原文へ]

(翻訳:Nob Takahashi / facebook

アメリカの複数の国会議員がAmazonの顔認識ソフトウェアの精度で質問状、表現の自由の無視、人種差別の疑いも

一部の国会議員たちは、Amazonがその物議をかもしている顔認識ソフトウェアRekognitionに関する質問に“十分な答を提供していない”とし、いつものように質問に無言で応じることは、答とは認めない、と主張している。

質問状には、上院議員のEdward Markeyや下院のJohn LewisとJudy Chuら8名の議員が署名し、同社の技術の仕組みやその使われ方について、Amazonの最高経営責任者Jeff Bezosに説明を求めている。

書状が送られたのは、このクラウドとリテールの巨大企業が、アメリカ政府およびフロリダ州オーランドを含むアメリカの一部の大都市からサーベイランスを受注して注目を集めた直後だ。

質問の主旨は議員たちによると、“Amazonがそのバイオメトリックス技術をアメリカの移民関税執行局(Immigration and Customs Enforcement, ICE)に積極的に売り込んでいるが、そのパイロット事業にはAmazonによる法執行職員たちに対する実地訓練が欠けている、という報道を契機として、高まった懸念を表明すること”、だという。

議員たちによると、そのシステムは精度に問題があり、人種的偏りに導きかねず、憲法で保証されている表現の自由を犯すおそれもある、という。

書簡は曰く: “しかしながら、現時点では、このタイプのプロダクトには深刻な精度の問題があるという重大な懸念を持たざるをえない。それにより有色者のコミュニティにいわれなき重荷を強い、公共の場において修正第一条の権利を実行したいとするアメリカ人の意思を抑圧するおそれもある”。

議員たちは、Amazonがどうやって精度をテストしたのか、それらのテストは独立的客観的に実施されたのか、そして偏りをどのようにテストしたのか、Amazonに説明を求めている。

[Amazonは耳に栓をするのではなく、顔のサーベイランスが誰にでももたらす深刻な脅威に関し責任を取る必要がある。とくに脅威が大きいのは、有色者や移民、そして活動家だ。Rekognitionを警察やICEの手に渡すべきでない。]

この質問状送付は、ACLUが、そのソフトウェアが28名の議員の顔認識に失敗したことを見つけたあとに行われた。とくに失敗率が高かったのは、有色者だった。

顔認識のソフトウェアは、そもそもの最初から物議を招いている。自社の社員たちからの懸念表明があったあとでもAmazonは、にもかかわらず現状の計画を推進し、何がなんでもその技術を売っていく、と言っている。

Amazonは、二週間あまりのうちに、質問状に答えなければならない。Amazonのスポークスパーソンは、コメントの要求に応じなかった。

関連記事: Amazonは顧客のメールアドレスを露出したことを認めたが詳細を明かさず〔未訳〕

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Androidユーザー50万人がGoogle Playからマルウェアをダウンロード

50万人以上のAndroidユーザーが、ドライブゲームを装ったマルウェアをダウンロードした——Googleの専用アプリストアでの出来事だ。

ESETのセキュリティー研究者Lukas Stefankoは、13本のゲームアプリ——同じ開発者による——の詳細をツイートした。その時アプリはまだGoogle Playでダウンロード可能だった。うち2本はアプリストアの人気ランキングに入っていたため、いっそう目立っていた、と彼は言った。

Googleが削除するまでに計58万回以上インストールされた。

ダウンロードした人はトラックか車のドライブゲームを期待していた。代わりに手にしたのは開くたびにクラッシュするバグだらけのアプリだった。

実際には、そのアプリは別のドメイン(イスタンブールのアプリ開発者が登録)からデータをダウンロードし、裏でマルウェアをインストールしながらアプリのアイコンを消していた。悪意のアプリが正確に何をするのかはわかっていない。VirusTotalにアップロードされたサンプルを見る限り、このマルウェアが何をするかはマルウェアスキャナーの間でも一致していない。はっきりしているのは、マルウェアに持続性があることだ——Android携帯またはタブレットをスタートさせるたびにアプリは立ち上がり、ネットワークに「フルアクセス」できるため、マルウェア作者はそれを利用して秘密を盗み出す。

本誌はイスタンブール拠点のドメイン所有者Mert Ozekに接触を試みているが、今のところメールへの返信はない。

またしてもこれはGoogleによる恥ずかしいセキュリティー欠陥だ。Googleはアプリとモバイルのセキュリティー対策でAppleに遅れを取っていることで長年批判されている。Appleは壁に囲まれた庭にどのアプリを入れるかに関してはるかに限定的で選り好みが強いと言われている。

GoogleはAndroidのセキュリティーを強化すべく、セキュリティー機能を改善し、きめ細かなアプリ許可制御を導入した。しかし、その後もGoogle Playアプリストアでは詐欺や悪意あるアプリとの戦いが続いており、Androidユーザーにとって最大の脅威の一つとなっている。Googleは昨年だけで70万以上の悪質アプリをアプリストアから削除し、悪意あるアプリがそもそもストアに入り込むのを防ぐために、バックエンドの改善を試みた。

しかし、それでもまだ十分ではないことが明らかだ。

Google広報は本誌の問い合わせに対してすぐにはコメントしなかった。

Gift Guide: The best security and privacy tech to keep your friends safe

[原文へ]

(翻訳:Nob Takahashi / facebook

FirefoxブラウザーにWebサイトの侵犯通知機能が加わる、開示義務により侵犯情報の最新化も期待

MozillaのWebブラウザーFirefox Quantum*に、新しいセキュリティ機能が加わる。それは、最近データ侵犯が報告されたWebサイトを訪ねようとすると、ユーザーに警告する機能だ。〔*: 2017年のv57以降の設計が一新されたFirefoxブラウザーを、開発者のMozillaがFirefox Quantumと呼んでいる。〕

Firefoxのユーザーが最近侵犯されたWebサイトを開くと、通知のポップアップが表れて侵犯の詳細を告げ、ユーザーの情報が漏洩しなかったかチェックするよう勧められる。

Mozillaの発表によると、“このようなプライバシーとセキュリティに関する機能へのユーザーの関心が高まっているので、Firefoxのユーザーにこの通知警告機能を提供することになった。この新しい機能は、今後数週間で、Firefoxの全ユーザーに展開される”、とある。

侵犯を通知するポップアップとその上の情報は、こんな感じだ:

FirefoxのWebサイト侵犯通知機能, 画像提供: Mozilla

Mozillaはこの、サイトの侵犯通知機能を、今年初めにローンチしたメールアカウントの侵犯通知サービスFirefox Monitorに統合しようとしている。今日(米国時間11/14)の発表によると、それは26の言語で利用できる

Firefoxのユーザーが、サイトの侵犯を告げるポップアップが出たときクリックしてMonitorへ行けば、メールアカウントの侵犯についても知ることができる。

Firefox MonitorでMozillaは、侵犯されたWebサイトのリストを、パートナーであるTroy Huntの先駆的な侵犯通知サービスHave I Been Pwnedから得ている。

ユーザーをあまりにも多くの情報でうんざりさせないために、Mozillaは侵犯の通知を一サイトにつき過去1年に起きたもの一つに限定している。〔全部知りたければFirefox MonitorやHave I Been Pwnedを使えばよい。〕

データ侵犯はデジタル生活の不運な定番で、最近はビッグデータサービスの登場により、増加傾向にある。そして、人びとの関心も高まっている。ヨーロッパでは5月に導入された厳しい法律により、侵犯の普遍的な開示義務と、データ保護の失敗や怠慢に対する罰則が制定された。

そのGDPRフレームワークは、データをコントロールしたり処理したりする者たちにセキュリティシステムの改良を勧奨するために、彼らにはさらに重い罰を課している。

法律や罰則の強化によってセキュリティへの投資が増えたとしても、それが実際に侵犯の減少として効果が実っていくためには、時間がかかるだろう。どれだけ法が、その効果を期待していたとしても。

でもGDPRの初期の功績のひとつは、企業に侵犯の開示を義務付けたことだ。そのため今後は、このようなセキュリティツールが利用する侵犯情報も、より多く、そしてより最新のものになるだろう。一般ユーザーのためにも、この法律はポジティブな効果を上げているようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebook、政府によるユーザーデータ要求命令を公表

Facebookは、過去13件のユーザーデータを要求する国家安全保障書簡の詳細を公開した。

難題続きのソーシャルメディア巨人は、書簡は2014年から2017年にかけて送られ、FacebookおよびInstagramの複数のアカウント情報を要求するものだと語った。

こうしたデータ要求は事実上の召喚状であり、FBIが一切の司法審査なしに発行し国家安全保障捜査で名前の上がった個人のデータの一部を提出するよう企業に強要する。これには議論がある——なぜなら書簡には口外禁止命令が課され、企業はその内容はおろか、書簡の存在すら公表することが許されないからだ。

企業は多くの場合、ある人物がやりとりをした相手全員のIPアドレス、オンライン購入情報、メール記録、携帯電話位置情報データなどの提出を求められる。

しかし、エドワード・スノーデンの暴露の結果自由法案が通過して以来、FBIは定期的に口外禁止規定を見直さなければならなくなった。

FacebookのChris Sonderby法務部長代理は、今年に入って政府は書簡の守秘義務命令を解いたと語った。

「われわれはアカウント情報に関する政府の要求を常に精査し、法的に有効であることを確認している」とSonderbyは言った。

Facebookが国家安全保障書簡を公表したのはこれが初めてではない。2016年に公表した最初の書簡は2015年に発行されたものだった(公開済みの国家安全保障書簡はすべてここで読むことができる)。

Facebookが国家安全保障書簡の情報を公開したのは、New York Timesが極めて批判的な記事を書いた翌日のことだった。記事はここ数年Facebookがさまざまなスキャンダルから目をそらすために行ってきたいかがわしい戦術の数々、たとえば活動家や抗議者の信用を失墜させようとした企みなどを暴いている。

Facebookの最新の透明性レポートによると、政府のデータ要求の件数は、全世界で前年の8万2341件から10万3815件へと26%急増した。

米国政府による顧客データの要求は30%増の4万2466件で、7万528アカウントが影響を受けた。同社によると、その半数以上が口外禁止条項を伴っており会社はユーザーに通知することができない。

法的命令のほとんどは裁判所が認めた捜査令状だ。

最近の報告期間について、Facebookはその他の国家安全保障命令の件数が前年の2倍以上に増えたことも語った。2016年7~12月の1万2500~1万2999アカウントから、2017年1~6月は2万5000~2万4999アカウントに増えた。

現行の司法省報告規則では、企業は6ヶ月間の報告猶予期間を与えられている。

Facebook’s weapon amid chaos and controversy: misdirection

[原文へ]

(翻訳:Nob Takahashi / facebook

Mozillaがギフト用のスマート製品のプライバシーとセキュリティを評価して格付け

そろそろ今年のホリデーシーズン、家族その他愛する人にクールなスマートデバイスの新製品をプレゼントしたいと思ってる人なら、新製品だからなおさら、その品物の良し悪しが気になるだろう。カメラや歩行計の性能ばかりでなく、製品が生成する顧客データを集めているであろう物については、セキュリティとプライバシーも気になる。そこで、Firefoxブラウザーを作っているMozillaが、70種の最新製品のランキングを発表した。そこには、Amazon Echoもあればお利口なテディベアもある。

それらの玩具やデバイスのランキングに使われた測度や基準は、1)何のデータを集めるか、2)データは送信時に暗号化されるか、3)データは誰と共有されるか、4)デフォルトパスワード*を変えることを要求されるか、5)エラーなどで起こりうる最悪のシナリオは何か。〔*: デフォルトパスワードは製品が最初から持っている簡単なパスワード、セキュリティのためにはユーザーがパスワードを変えるべきである。〕

一部のセキュリティリスクは製品が本質的に持っている。たとえばセキュリティカメラは、ユーザー以外の誰かが見るかもしれない。企業の見過ごしによるリスクもある。たとえば、アカウントの削除ができなかったり、データを第三者と共有したりしている企業もある。

リストのトップにあるのは、多くのことを正しくやっているMycroftのスマートスピーカーだ。オープンソースのソフトウェアを使っているし、メーカー企業はいろんなことを正しく選んでいる。読みやすいプライバシーポリシーなんて、ありそうでなかなかない!。ガジェットの多くが、とくに問題ないようだが、このリストは良い製品も積極的に取り上げている。

しかしDobbyのドローンのような製品もある。これには、プライバシーポリシーすらないようだ。アプリをインストールすると、ユーザーの位置やHDの長さまで記録するのは最悪! またこの、Frediの赤ちゃんモニターには、ユーザーが変えなくてもそのまま使われるパスワード〔デフォルトパスワード〕がある。セキュリティの自動アップデートもない。おいおい、人をバカにしとんのか? 近づかないようにしよう。

約半分の33の製品が、Mozillaが最近提案した、スマートデバイスの“セキュリティの最小基準”に合格している(すてきなバッジをもらってる)。不合格は7つで、あとはどっちつかずだ。これらMozillaによる公式の評価のほかに、まじめに使ってほしいクラウドソーシングな“creep-o-meter”(製品のcreepy度…気持ち悪さ…の評価)がある。でも、BB-8が気持ち悪いなんて、おかしいと思うけどな。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleのProject FiでVPNサービスがアップデートしセルネットワークにも拡張

GoogleのワイヤレスサービスProject Fiが今日(米国時間11/13)、メジャーアップデートにより、オプションとして常時稼働のVPNと、Wi-Fiとセル接続をスマートに切り替える方法を導入した。

FiにはすでにデフォルトでVPNサービスがあり、サポートしているほぼ200万のWi-Fiホットスポットに接続するユーザーを保護していた。今回Googleは、それをセル接続にも拡張した。“その強化されたネットワークを有効にすると、モバイルとWi-Fiのすべてのトラフィックが暗号化されて、どのネットワーク上にいても弊社の仮想プライベートネットワーク(VPN)から安全に送信される。あなたのオンラインアクティビティを他の誰も見ることができないという、安心感が得られる”、と今日の発表声明は述べている。

Googleによると、そのVPNはユーザーのすべてのトラフィックをGoogle自身からも遮蔽するし、それはユーザーのアカウントや電話番号とも無関係である。

上でGoogleが‘強化されたネットワーク’と呼んでいるものの一部がこのVPNであり、そして今日の発表の第二の部分は、Wi-Fiとモバイルネットワークの迅速な切り替えだ。これを有効にすると—そして二つの機能は共に現在ベータで、Android Piが動いているFi互換のスマートフォンでしか使えないが—Wi-Fiの接続が弱くなるとそのギャップをセルのデータ通信で填める。同社によると、これによりユーザーの時間が最大40%節約される。

これらの新しい機能がFiユーザー全員に展開されるのは、今週の終わりからだ。それらはデフォルトではoffだから、Project FiアプリのFi Network Toolsでonにしてから使用する。なお、VPNを利用するとデータの使用量が約10%増える。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

CloudflareのプライバシーとスピードをアップしたDNSサービス1.1.1.1がモバイルアプリに

多面的なセキュリティ/Web最適化サービスを提供するCloudflareが、その、プライバシーにフォーカスしたDNSサービス1.1.1.1を今日(米国時間11/12)からモバイルユーザーにも提供する。

スマートフォンやタブレットで1.1.1.1を使うことは、これまでも可能だったが、これからは専用アプリをiOSとAndroidの両方のデバイスで使えるから、その無料の消費者向けDNSサービスを誰もが容易に利用できるようになった。

そのアプリは、ボタン一つ押すだけでon/offを切り替えられる。やることは、たったそれだけだ。

Cloudflareは1.1.1.1を、、まさに今年のエイプリルフールの日に展開したが、このサンフランシスコの大きなネットワーキング企業にとってプライバシーはジョークではない。このサービスを利用すると、ユーザーのDNS情報…インターネットに接続した時間、タイプしたWebアドレスなど…をCloudflareが処理することになる。DNSデータが1.1.1.1へ行くようになると、インターネットプロバイダーは、そのユーザーが訪ねているWebサイトを知ることが困難になり、ユーザーは検閲やハイジャックのおそれなく、サイトにアクセスできるようになる。

完璧なプライバシーを約束する万能薬ではないが、何もないよりはましである。

このサービスはしかも、もーれつに速い。ページのロードに何秒も浪費しない。世界の中の、これまで遅かった地域ではとくに効果が著しい。

CloudflareのCEO Matthew Princeはこう言う: “1.1.1.1を立ち上げたのは、世界中の消費者に、速くてしかもプライバシーの堅固なインターネットの閲覧を提供するためだ。とくにモバイル上では、1.1.1.1がアプリになったことによって、自分のスマートフォンの上で高速で暗号化されたDNSを利用することが、さらに容易になった”。

アプリのダウンロードは、AppleのApp StoreGoogle Playから。

[↓Cloudflareのプライバシーを強化したDNSサービス(未訳)]

Cloudflare’s new ‘privacy-focused’ DNS service speeds up your web browsing

画像クレジット: Cloudflare

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ジョージア州州務長官、不在者投票者29万人の個人情報を公開

ジョージア州の州務長官で中間選挙の州知事候補のブライアン・ケンプは、不在者投票者29万1164人の個人情報をネットで公開し誰でもダウンロード可能にするという、奇妙かつおそらく前例のない行動にでた。

ケンプの事務所は総選挙開票の数時間後に公式ウェブサイトにExcelファイルを投稿し、不在者投票用紙を郵送した州民の名前と住所を、「障害がある」「高齢」などの理由とともに公開した。

Twitterでは多くの人々がすぐにこれを発見し怒りを表した。

ウェブページによるとこのファイルは、ジョージア州民が「自分の郵送投票の状態を確認する」ためだという。全米で数百万人の有権者が投票日前に記入済み投票用紙を郵送した。特に投票所に行くことが困難な人々——身体障害者、高齢者、旅行者などだ。

ジョージア州州務長官の報道官、Candice BorceはTechCrunchの問い合わせに対して、データはすべて「州法で明確に公開情報に指定されている」と言い、「機密でも取扱い注意でもない」と強調した。

「州法では、有権者のリストは公開が義務付けられており、そこには登録有権者の氏名、住所も含まれている」とBorceはメールで伝えた。

たしかに規則はそうかもしれない。有権者と選挙人名簿は公開情報で通常無料で閲覧できるが、州によって規則は異なる。有権者の名前と住所は、各州の選挙委員会または州務長官事務所に要求できる。政治分析会社は、自社の調査データを補完して浮動投票者を特定するために、しばしばこのデータを利用する

州法は有権者データの使用方法を厳しく制限している。その規則は今回数十万人の有権者記録をダウンロード可能な一般市民には適用されない。

ケンプの事務所が不在者投票を確認するためにとった方法が怒りを呼んだことはさほど驚くにあたらない。

「データは既に公開されていたかもしれないが、このような集約した形で利用できたわけではない」とセキュリティー専門家でRendition Infosecのファウンダーかつジョージア州民でもあるJake Williamsが言った。Williamsはこの問題について、州は不在者投票者の情報を提供することで「犯罪者が留守宅を標的にする機会を与えたかもしれない」と指摘した。

「このデータをまとめて公開することは、このような方法で個人情報を公開されることを好まないジョージア州民が将来不在者投票をためらう理由になりかねない」と彼は言った。

TechCrunchの問い合わせから間もなく、ダウンロード可能ファイルへのリンクはウェブサイトから削除された。

共和党州知事候補であるケンプは——本稿執筆時点で——50.3%の票を獲得し、民主党のライバルであるステイシー・エイブラハムをリードしている。エイブラハムは州の下院で少数派野党のリーダーを務めている。

ケンプは自身が立候補しているにも関わらず、州務長官として実質的に州の選挙を運営しており、最近投票者妨害で告発された。ケンプが民主党は彼の事務所の選挙システムをハッキングしていると証拠のない告発をしたこともそのひとつだ。彼がハッキングのカードを切ったのはこれが初めてではない——2年前にケンプは同じような行動を起こした。

ケンプは、今週の選挙の前に少数民族有権者5万人以上の登録を廃棄した疑いでも責任も問われていた。

エイブラムスは州知事選挙の敗戦を認めることを拒み、決選投票を望んでいる。

Millions of Texas voter records exposed online

[原文へ]

(翻訳:Nob Takahashi / facebook