Security | SEO-LPO.net

アメリカの中間選挙まであと数時間、Facebookは‘組織的な不正行為’で100あまりのアカウントを削除

Facebookは、30のアカウントと85のInstagramアカウントを同社の言う“組織的な不正行為”により停止した。

Facebookのサイバーセキュリティ担当Nathaniel Gleicherが、月曜日（米国時間11/5）の夜晩くに最新の発見を公表した。

“日曜日の夜、アメリカの法執行当局が、彼らが最近発見した外国起源と思われるオンラインのアクティビティに関してわれわれに接触してきた”、とGleicherは言う。その法執行機関が何であるか、は言っていない。“われわれは直ちにこれらのアカウントをブロックし、目下その詳細を調査中である”。

同社は、あまり多くをシェアすることなく、ただ、“そのアカウントのFacebook Pagesはロシア語またはフランス語のようであり、Instagramアカウントは英語が多かったようだ。それらの一部はセレブを話題にし、ほかは政治的な議論がその内容だった”、とだけ言っている。

Gleicherの記事は、同社が“調査がさらに進んだ段階でさらに詳細を公表するつもり”だが、しかし、この前閉鎖したイラン関連の不正アカウントも、その時点では名前等を公表できる、と誓っている。

さらに問い合わせたが、Facebookのスポークスパーソンは何もコメントしなかった。

この最新のアカウント削除は、火曜日に行われるアメリカの中間選挙の直前、というタイミングだ。火曜日（米国時間11/6）には何百万人ものアメリカ人が投票により新しい国会議員と州知事を選ぶ。この選挙では、大統領就任2年目となるトランプ大統領とその政権の評価が分かる、と言われている。その大統領選は、ロシアの諜報機関による、彼の民主党対立候補に関する不正な情報や悪口の拡散という、裏に国家が控える斉一的な努力の最中（さなか）に行われた。

月曜日の朝になってやっと、コロンビア大学のTow Center for Digital Journalism（デジタルジャーナリズムのためのTowセンター）が、選挙妨害が今でもまだFacebookの大きな問題であり続けている、という報告書を発表した。その報告書は、同社の高級幹部たちはこれまで何度も繰り返して、偽のニュースや不正情報と戦うためにできるかぎりのことをやっている、と約束してきたが、その効果は現れていない、と言っている。

[Facebookはイラン起源の‘組織的な身元詐称行為’でページやアカウントをさらに削除]

Facebook takes down more ‘coordinated inauthentic behavior’ linked to Iran

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

民主党支持者に投票棄権を呼びかける数千のTwitterアカウントを削除、選挙妨害の大海の一滴

Twitterは、来週の選挙で有権者に投票しないよう呼びかけている、何千もの自動的に作られたアカウントを削除した。

同社によると、9月から10月にかけては、最初に民主党のスタッフが気づいた1万近くのアカウントを削除した。

Twitterの公式の声明では、“自動化されたやり方で偽情報を共有する試みに関与している一連のアカウントを、弊社のポリシーへの違反として削除した。われわれはこれを、迅速かつその始原において停止した”、と言っている。しかし削除したアカウントの例示はなく、偽情報の投稿者の名前の発表もない。

それらのアカウントは民主党員を名乗り、都市部など厚い有権者層に、家にとどまり投票しないよう説得を試みている。このニュースを最初に報じたロイターによるとそれは、重要な選挙区で選挙結果を操作するためだ。

民主党の全国委員会のスポークスパーソンは、勤務時間外を理由にコメントを断った。

今回のアカウント削除は大海の一滴であり、Twitterはもっと大きな脅威に直面している。今年の前半には、テロリストのコンテンツを共有し宣伝している120万ものアカウントを削除した。そして5月だけでも、毎週1000万近くの、自動的に送られる悪質なメッセージを削除した。

Twitterの月間アクティブユーザーは7月の決算報告で3億3500万だ。

しかし同社は、同社のルールに違反したり、偽情報や不正なニュースを拡散しているコンテンツをもっと先見的に削除するための策を講じていないとして、議員たちから批判されている。あと数日でアメリカの中間選挙だが、この最新の削除努力は、Twitterが悪質アカウントを自動的に削除しなかった、という懸念をさらに広めるだろう。

偽民主党員に関するロイターの報道を受けてTwitterのサイト健全性担当Yoel Rothがツイートのスレッドで曰く、“ボットの検出に関する公開されている研究は欠陥が多く、その多くはボットを、確実性ではなく確率に基づいて検出する。なぜならば、公開されていない内部的アカウントデータを見られるのは、彼ら研究者ではなくTwitterだけだからだ”。

選挙が目前に迫っていてもTwitterには、偽情報の拡散に関する厳格なポリシーが、Facebookと違ってない。Facebookは最近、不正で人を惑わすような情報で有権者を押さえつけようとするコンテンツを禁じた。

対してTwitterは昨年、その“オープンでリアルタイムな性質”が、“あらゆるタイプの偽情報の拡散に対する強力な対抗策だ”、と主張した。しかし研究者たちは、そのやり方に対して批判的だ。先月発表された研究は、2016年の大統領選の間にアクティブだった70万あまりのアカウントが、今もまだ健在であり、毎日100万のツイートをプッシュしていることを見つけた。

今年の選挙に関してTwitterのスポークスパーソンは、“各州の選挙管理職員と国土安全保障省および二大政党の選挙参謀たちが、われわれのポリシーの強力な施行と、われわれのサービスの健全な会話性の保護を支援できるために、オープンなコミュニケーションラインと、直接的で容易な活動拡大経路を確立した”、と言っている。

Thousands of Twitter accounts that spread fake news during the 2016 election are still active today, say researchers（未訳）

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

AppleのセキュリティチップT2はMacBookのマイクロフォンからの盗聴をハードウェアレベルで不可能に

Appleの最新のMacBookは、マイクロフォンからの盗聴がさらに困難になっている。

この前発売されたMacBook Proから、今日のMacBook Airに至るまで、最新のMacBookには、セキュリティチップT2が内蔵され、それが暗号鍵やストレージ、指紋データ、そしてセキュアブート機能を護る。

このチップのことはこれまでほとんど知られていなかったが、発表されたばかりのセキュリティガイドによると、このチップにはマイクロフォンとデバイス本体との接続をハードウェア的に切る機能があり、本体の蓋を閉めると必ずそれが作動する。

ガイドにはこう書かれている: “この断線機能はハードウェアのみで実装されているから、いかなるソフトウェアからも操作できない。macOSのroot特権やカーネル特権、それにT2チップ上のソフトウェアですら、蓋が閉められているときマイクロフォンに関与することはできない”。

ただし、カメラは切断されない。“蓋が閉じていると視界が完全に遮（さえぎ）られるから”だ。

Appleによると、この新しい機能はMacに“これまでなかった”高いレベルのセキュリティを賦与する。Macはマルウェアに感染しない、というストレートな言い方はしていないが…。

Webカメラを利用するハッカーの脅威は何年も前からの現実で、それはリモートアドミニストレーションツール(“RATs”)を使ってのぞき屋たちが、ラップトップのカメラからリモートでターゲットをスパイする。そのため、Webカメラのレンズにポストイットを貼ることが流行（はや）った。

AppleのWebカメラはライトがハードウェアに接続しているので、ユーザーが知らない間に（ソフトウェアが勝手に）Webカメラを起動することは不可能、と信じられていた。Macには、Webカメラののぞき攻撃に対する十分な免疫がある、と思われていた。しかし昨年、セキュリティ研究家のPatrick Wardleが、この神話を破壊したFruitflyマルウェアを発見した。

そのパラノイアは神話ではなく現実だ。イギリス政府の諜報機関GCHQは、その“Optic Nerve”プログラムの一環として長年、Webカメラの悪用を調査した。FacebookのCEO Mark Zuckerbergでさえ、自分のWebカメラとMacBookのマイクロフォンにガムテープを貼っていると報道された。ただし、マイクロフォンが拾う音を数枚のガムテープで遮断することはできない。

Webカメラやマイクロフォンが作動したらアラートするWardeのOversightのようなツールはあるけど、高度なマルウェアがこっそりとMacBookのマイクを使って環境音を聞き取ることを、防げるものはほとんどない。

でも蓋が閉められるときマイクロフォンをMacBookのハードウェアから切断したら、その眠っているデバイスがユーザーをスパイすることは、きわめて難しい。

Long-awaited brand-new MacBook Air finally gets retina display and Touch ID（未訳）

画像クレジット: Apple, クリエイティブコモンズND 4.0ライセンスによる

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

IBM-Red Hatの340億ドルはソフトウェア買収史上最高額

従来それは半導体会社や通信、医薬品の巨人に使われる金額だった。本日（米国時間10/28）IBMは、エンタープライズ向けオープンソフトウェア会社のRed Hatを340億ドルで買収すると発表した。これはMicrosoftがLinkdInを買収した262億ドルを上回る最大のソフトウェア買収だ。ただし、IT分野最大の買収ではない。その称号は DellによるEMCストレージ事業670億ドルの買収に与えられている。

IBMがRed Hatを買収してハイブリッドクラウド企業を目指していることについての詳細は、 TechCrunch編集者のIngrid Lundenが書いているので参照されたい：

IBM to buy Red Hat for $34B in cash and debt, taking a bigger leap into hybrid cloud

ではこのIBM-Red Hat案件（成立した場合）はこれまでの巨大買収と比べてどう位置づけられるだろうか？

IT買収トップ5

670億ドル——パソコンメーカーDellがEMCのデータストレージ事業を買収
370億ドル——半導体会社Avago Technologiesが半導体巨人Broadcomを買収および社名変更
340億ドル（交渉中）——IBMがオープンソフトウェアメーカーRed Hatを買収
314億ドル——日本の複合企業SoftBankが半導体企業ARM Holdingsを買収
262億ドル——ソフトウェア会社Microsofがプロフェッショナル向けソーシャルネットワークのLinkedInを2016年に買収

ソフトウェア買収トップ5

340億ドル（交渉中）——IBMがオープンソフトウェアメーカーRed Hatを買収
262億ドル——ソフトウェア会社Microsofがプロフェッショナル向けソーシャルネットワークLinkedInを2016年に買収
220億ドル——ソーシャルネットワークFacebookがメッセージングアプリWhatsAppを2014年に買収
135億ドル——セキュリティーソフトウェアメーカSymantecがストレージ管理ソフトウェアメーカーVeritasを2004年に買収（180億ドルをインフレ調整）
110億ドル——データベース会社Oracleが人事ソフトウェア会社PeopleSoftを2004年に買収（147億ドルをインフレ調整）

企業買収ベスト5

2020億ドル——英国通信会社Vodafoneがドイツ通信会社Mannesmannを2000年に買収（2960億ドルをインフレ調整）
1650億ドル——インターネットプロバイダーAOLがメディア複合企業Time Warnerを2000年に買収（2410億ドルをインフレ調整）
1118億ドル——医薬品巨人Pfizerが医薬品会社Warner Lambertを1999年に買収（1640億ドルをインフレ調整）
1300億ドル——通信会社Verizon CommunicationsがVodafoneおよびBell AtlanticのVerizon Wirelessを2013年に買収
1300億ドル——Dow Chemicalが化学会社DuPontを2015年に買収

このRed Hat買収はソフトウェアのスケーラビリティーが極端な富の集中化を可能にすることの証だ。従来の業界巨人たちが、石油、化学、完成商品の供給、流通を受け持つ物理リソース・プロバイダーらと富を分け合っていたのに対して、ソフトウェアは生産と流通にほとんど材料費がかからない。ソフトウェア巨人への価値の集中は、世界を変えるビジネスを作る大きな動機づけになると同時に、労働階級から資産を奪う危険を伴っている。Red Hatの成果を祝福するのは簡単だが、必然的に社会は、ソフトウェアが富を少数へと集中させることで加速される貧困とポピュリズム取り組まなくてはならない。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

Facebookはイラン起源の‘組織的な身元詐称行為’でページやアカウントをさらに削除

Facebookは、イラン起源の“組織的な身元詐称行為”として、82のページとグループとアカンウンとを削除した。

この大手ソーシャルネットワークは先週、その“身元詐称行為”を発見した。同社のサイバーセキュリティポリシーチーフNathaniel Gleicherがブログでそう述べている。彼によると、その作戦はもっぱらアメリカやイギリスの一般市民を名乗る（詐称する）もので、“人種問題や大統領の批判、移民問題など政治色の強い話題に関して投稿を行った”。同社によると、調査はまだ初期的段階だが、そのアクティビティをたどるとイランへ行き着いた。しかし犯人は特定できていない。

Facebookによると、イランの演技者たちのページのうち、少なくとも一つは、フォロワーが100万を超えた。Instagramからも、16のアカウントが削除された（内数）。

演技者たちはFacebookとInstagramで二つの広告に100ドル弱を、アメリカおよびカナダの通貨で支払った。広告の拡散により、Facebookユーザーへの彼らのリーチはさらに大きくなった。

同社はアカウント等削除の前にFBIとAtlanticに、彼らの発見を報告した、とGleicherは言っている。“発見から破壊への移行は1週間足らずで行われた”、という。

今回の削除に対するAtlantic Councilデジタル法科学研究所の分析によると、それらのアカウントは、“人びとのFacebookプラットホームからの離反ではなく、むしろエンゲージメントの強化をねらっている。そのために彼らは、さまざまなミームや、ビデオ、そして彼らの書き下ろしのコメントなどを駆使している”。同研究所によると、そのやり方には“効果があったようであり”、それらのポストは大量のシェアやリプライを受け取っている。

“外交政策に関するメッセージは、初期のイラン支持者たちのそれと歩調を合わせており、それは主に、中東に関するイラン政府側のストーリーを増幅している”、と分析は述べている。“人びとを分断させることを目的とするコンテンツへの彼らの注力は、ロシアの情報工作のやり方と非常によく似ているが、しかしイラン人による工作は保守よりもむしろリベラルをターゲットにしているようだ”。

Facebookは、アカウントとコンテンツの取り下げを、これまでも何回か行っている。たとえば8月には、セキュリティ企業FireEyeの支援のもとに、数百のアカウントとページを削除した。そのときも、イラン人による広範な人心誘導工作が見つかっている。これまでのFacebookのアカウント取り下げ努力は中間選挙をねらったニセ情報の拡散に関連していたが、イランの支援による作戦は、話題が多岐にわたっている。FireEyeによる当時（8月）の分析によると、イラン人たちは、“反サウジ、反イスラエル、パレスチナ人支持など、多様な話題を取り上げ、また、アメリカとイランの核合意など、イランに好意的なアメリカの政策を支持していた”。

Facebookのような大手テクノロジー企業は、2016年の大統領選に始まり、最近ではますます、国家が支援する演技者たちによるニセ情報や嘘のニュースの拡散を強力に取り締まるよう、議会からの圧力に直面している。

いちばん強く懸念されているのは、ロシア政府のために仕事をしているトロルたちの、ニセ情報の拡散による選挙操作だが、Facebook上のニセ情報拡散に関してはイランが、それとは別の強力なチームとして、台頭してきたのだ。

Facebook bans hundreds of clickbait farms for ‘coordinated inauthentic behavior’（未訳）

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

トランプは「セキュアな」iPhoneを2台持っているが、それでも中国は聴いている

トランプ大統領はiPhoneを3台持っている——うち2台は「セキュア」で、もう1台は通常の個人用デバイスだ。しかし、最高司令官が電話を取るたびに、彼の敵たちは聴いているという。

これはThe New York Timesの最新記事によるもので、大統領の複数の端末——および彼がそれをどう使っているか——にスポットライトを当てている。

トランプは2016年に就任した際、Androidが走る古くて時代遅れのSamsung Galaxy携帯を渋々手放し、Appleデバイスに移行した。iPhoneは歴史的にAndroid機よりもセキュアであるとされてきた。彼が所有するうちの1台は通常のiPhoneで自分の連絡先を登録できるが、あとの2台は公務専用で、国家安全保障局によって盗聴を防止するための改造が施されロックされている。

ただし——たとえホワイトハウスの中にいようとも、ワシントンおよび全米の大部分を覆い尽くす、老化し劣化しつつあるセキュリティーの低い携帯ネットワークから逃れることはできない。

ネットワーク間で情報をやり取りするの極めて重要な携帯ネットワークシステム——Signaling System No. 7（SS7）と呼ばれている—— が、近年ハッカーらによる通話やテキストメッセージの傍受を容易にしている。SS7は携帯ネットワークが通話やテキストの接続やルーティングを確立するために使用しているが、SS7の著しい脆弱性のために、2要素認証に使われたコードが傍受され、銀行口座の侵入や資金流出に利用された。

このほとんどが未修正の欠陥によって、各国政府——あるいは誰でも——が通話を簡単に傍受できる。そこには中国、ロシア、および傍受を成功するために必要なリソースと知識を持つあらゆるアタッカーも含まれている。

トランプが3台のiPhoneに頼っていることは面倒そうに思えるかもしれないが、これでも前任者より一歩前進している。

オバマ大統領は、いっとき彼の政府支給iPhone——2期目に与えられた——を「3才児が持っているおもちゃの電話」になぞらえた。メールは受信できるが、発信できないように改造されており、海外の敵が大統領の様子を探れないようにカメラもマイクロホンもついていなかった。彼はテキストメッセージを送ることさえできなかった——必ずしも技術的理由からではなく、政府高官が公式なやりとりを保存することを義務付けている大統領記録法に従うためだ。

トランプはオバマよりも寛大な扱いを受けてはいるが、それでも毎月新しいクリーンなデバイスを受け取り、マルウェアが潜んでいる可能性を排除している。しかし、そのポリシーは本来あるべき厳密さで適用されていない、と記事は書いておりそれは、居残ったマルウェア（もしあれば）を誤って引き連れることなく、古いデータを新しい端末に手動で移行するのが大変だからだ。

SS7の欠陥は一般人にとっても未解決の問題ではあるが、大統領自身による “opsec” ——セキュリティー運用、すなわち直面する脅威に対する彼の認識とそれを回避する努力——のひどさとは比べ物にならない。もし中国やロシアが彼の通話に聞き耳を立てていなかったとしても、彼のゴルフコース周辺をうろつくだけで、いつでも運試しができる——そこでは大統領が携帯をゴルフカートに置き忘れ、スタッフを取りに走らせたことがある。

そしてこれは、核ミサイル発射コードを信託している人物の話だ。

トランプの新しいサイバー戦略で政府がサイバー兵器を使いやすくなる

[原文へ]

（翻訳：Nob Takahashi / facebook ）

サウジアラビアの‘砂漠のダボス’のWebサイトがハックされ皇太子を非難する合成画像で汚損された

サウジ政府が近く開催するFuture Investment InitiativeカンファレンスのWebサイトがハックされ、殺されたサウジのジャーナリストJamal Khashoggiの画像が‘落書き’された。

汚損後のサイトのスクリーンショットがいくつもツイートされ、そこには王国の実質的な支配者であるMohammed bin Salman皇太子が剣を振りかざしている合成写真が載っている。サイトのテキスト部分は、王国の“野蛮で非人間的な行為”に対する非難に置き換えられている。それはKhashoggiの死だけではなく、イエメンで今行われている攻撃への、政府の関与にも言及している。

'Davos in the Desert' site has been hacked @FIIKSA #Khashoggi pic.twitter.com/ddOr13Etr8

— Nahayat Tizhoosh (@NahayatT) October 22, 2018

サイトのホームページには、何人かのサウジの個人の名前と電話番号も載っている。それらは、政府の職員や政府系企業の役員たちだ。

サイトは、汚損されたあと、月曜日（米国時間10/22）にオフラインになった。

汚損の犯人は、名乗りを上げていない。それが現れたのは、サウジの政権が、Khashoggiがイスタンブールの同国領事館で“殺された”ことを認めてから数日後で、そのときはすでに、そのThe Washington Postのコラムニストが婚姻届の用紙を得るために入館してから2週間以上経っていた。サウジの政府職員たちは、彼は“殴り合い”の後で死んだと主張したが、西側諸国はそれをナンセンスと非難した。トルコ政府がリークしたと思われる録音は、ジャーナリストが殴られ、殺され、そして切断されたと主張している。

イギリスとフランスとドイツは、声明で、彼のまだ行方不明の遺体に関する明確な説明を求めている。トルコは火曜日（米国時間10/23）に、この殺人に関する詳細を発表すると予想されている。

Future Investment Initiativeは“Davos in the Desert”（砂漠のダボス）とも呼ばれ、スイスで行われる投資カンファレンスに擬している。開催は、今週後半の予定だ。サウジアラビアはアメリカのテクノロジー企業に数十億ドルを投資しているが、しかしこのカンファレンスは、ジャーナリストの殺人のあと、数十名もの著名な投資家やテクノロジー企業、そしてビジネスリーダーたちが不参加を表明している。

Silicon Valley hoped the Khashoggi story would go away; instead, it may end an era

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

MITで開発されたメモリ分割方式により未来のMeltdown/Spectreバグを防げる

今年、研究者たちがIntel, AMD, そしてARMのチップに、設計上の根本的な弱点を見つけたときには、今の世代のコンピューターのプロセッサーのほとんどすべてに対し、極刑が求刑されたようだった。その設計ミスによって、コンピューターのメモリーから機密データを盗むことが可能だからだ。

そのMeltdownおよびSpectreと呼ばれる脆弱性は1995年まで遡（さかのぼ）り、アプリケーションがシステムのメモリーの、自分にパーミッションのない部分にアクセスできないようにしている壁に穴を開けた。それにより有能なハッカーは、パスワードや暗号鍵などの機密データが保存されている場所を見つけることができる。多くの企業がその欠陥の一部を緩和してきたが、真の長期的な解決は、コンピューターのプロセッサーの設計の最初からのやり直しであることも知っていた。

このたび、MITのComputer Science and Artificial Intelligence Laboratory(CSAIL)の研究者たちが、将来にわたって、MeltdownやSpectreのような欠陥を防止できる方法を見つけた。

アプリケーションが何かをメモリーに保存したくなったら、置くべき場所をプロセッサーに尋ねる。しかしメモリーの探索は遅いので、プロセッサーは“speculative execution”（投機実行）と呼ばれるトリックを使って、複数のタスクを同時に動かし、正しい空きメモリーを探そうとする。しかし悪質なハッカーは、その同じテクニックを使って、アプリケーションが自分に許されていない場所のメモリーから読めるようにする。

MITのCSAILによると、彼らのテクニックはメモリーを分割することによって、データが同じ場所に保存されないようにする。それを彼らは、“secure way partitioning.”（安全な方法によるパーティショニング）と呼んでいる。

彼らはこの方式をDAWG、“Dynamically Allocated Way Guard”（ガードを動的に割り当てる方法）と名付け、それは滑稽な名前のようにも聞こえるが、IntelのCache Allocation Technology, CAT（キャッシュ割り当て技術）を補完する意味を持つ。彼らの研究論文によると、DAWGはCATと同じような仕事をし、使うにあたってデバイスのオペレーティングシステムの変更箇所も少ない。したがって、Meltdownのフィックスとして問題のコンピューターにインストールするのも容易である。

ペーパーの著者の一人Vladimir Kirianskyによると、このテクニックは“共有が起きるべきところと、起きるべきでないところとの、明確な境界を確立し、機密情報を扱うプログラムがそのデータをまあまあ安全に保てるようにする”。

この技術は通常のコンピューターを保護するだけでなく、クラウドの脆弱なインフラストラクチャも保護できる。

DAWGはすべての投機的攻撃を防げるわけではないが、今研究者たちは技術の改良に取り組んでおり、すべての攻撃ではないものの、これまでよりも多くの攻撃を防げるようになる、と言っている。

しかし彼らの技術を実際にIntelなどのチップメーカーが採用すれば、DAWGのようなテクニックは“パブリッククラウドのインフラストラクチャに対する信頼を再興し、ハードウェアとソフトウェアの共同設計によりパフォーマンスのオーバヘッドも最小化できる”、という。

Kernel panic! What are Meltdown and Spectre, the bugs affecting nearly every computer and device?

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

メジャーなブラウザーが全員同時にTLS旧版（1.0, 1.1）のサポートを停止する

Firefox, Chrome, Edge, Internet Explorer, そしてSafariなどのWebブラウザーがすべて、オンラインのセキュリティプロトコルTLSの古いバージョンのサポートを停止する。TLSは、インターネット上の暗号化された情報交換のほとんどすべてで使われており、長く使われているあまり安全でないTLS 1.0と1.1も、今だに多くの接続で許容されている。しかしそれも、もう終わりだ。

Transport Layer Securityはコミュニティが開発したスタンダードで、その1.0は20年近く前にリリースされた。しかし1.0とその親戚の1.1には欠陥があって、暗号化による安全な通信に使うのは危険であることが、前から知られていた。2008年に1.2がその重大な欠陥に対処し、現在は大多数のクライアントがこれを使っている。今年初めにリリースされた1．3は、このスタンダードを改良および合理化したが、これにアップデートしたサーバーはまだそれほど多くない。

The messy, musical process behind the web’s new security standard

旧版のサポート停止についてMozilla, Google, Microsoft, WebKitの各陣営がそれぞれ別々に、同じような発表をしている。1.0と1.1は2020年初頭に全廃される。3月と言っている発表もあるが、他もだいたいそのころだろう。

MicrosoftのKyle Pflugがこう書いている: “セキュリティの技術が無変更であり続ける期間として20年は長い。TLS 1.0と1.1の弊社による最新の実装に重大な脆弱性は見当たらないが、サードパーティによる脆弱な実装は存在する。新しいバージョンへ移行することによって、誰にとってもより安全なWebが確保されるだろう”。

ユーザーは、何もしなくてよい。ブラウザーもアプリケーションも、前と同じように動く。おそらく今は、1.2を使っているところが多いだろう。Mozillaが作ったチャート（下図）によると、古いバージョンを使っているところはごくわずかだ。

しかしこれらの、数少ない古い危険な接続は、いろんなもので使われている。レガシーの組み込みマシンがあちこちにあるし、セキュリティスタックを何年もアップデートしていない古いアプリケーションや、ハックされたデバイスもある。そのことを、あなただけでなく、あなたのご両親も知らない。

リードタイムを長くしたのは、たとえば地方自治体などに重要なレガシーシステムがあるからだ。それらは、TLS旧版のサポート停止で動かなくなる〔例: あるアプリケーションが使えない〕かもしれない。その可能性も含め、本格的なシステム監査が必要だ。もっと何年も前に、やるべきだったのだが。

今回の変更によって、ネット上で誰もが前より安全になるが、すべては前と変らず動き続ける。そういう設計だから。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Facebookの3000万ユーザーの個人情報が漏洩、Facebookならこれぐらいは‘軽微’!?

Facebookが、2週間前に公表したデータ漏洩事件の詳細を発表した。最初に推計された5000万ではなく3000万のユーザーが、アクセス情報をハーカーに盗まれた。ご自分について確認したい方は、Facebook’s Help Centerへ行くとよろしい。被害を受けたユーザーにはFacebookが盗まれた情報の詳細を告知し、復旧方法を教える。アクセスはされたけれど、彼らにコピー〜ダウンロードされなかった情報もあると思われるが、その詳細は開示されていない。

Facebookのプロダクトマネージャー担当VP Guy Rosenが、記者たちにこう述べている: “この件に関しては目下FBIの捜査に協力している。FBIはわれわれに、捜査の間犯人に関する情報を明かさないよう求めている”。それは、犯人による証拠隠滅を防ぐためだ。

3000万のうち1500万は、名前、電話番号、そして場合によってはメールアドレスをアクセスされている。1400万はそれプラス、履歴書的情報…ユーザー名、性別、位置、言語、既婚・未婚、宗教、出生地、現住地（本人申請）、誕生日、Facebookにアクセスしているデバイスのタイプ、学歴、職業、最近訪れたサイト10箇所、フォローしている人またはPage、最近行った検索15件、などなど…にアクセスされた。残りの100万は、情報にアクセスされていない。

Facebookのその他のアプリ、Messenger, Messenger Kids, Instagram, WhatsApp, Workplace, Pages, それらに対する支払い決済情報、サードパーティアプリ、アドバタイザー、デベロッパー、などはアクセスされていない。Facebookによると、FBIの捜査中は犯人に関する証拠を明かさないことを、Facebookは法執行当局により求められている。

Facebookによると、ハッカーは、ユーザーのプロフィールを他人の観点から見るプライバシー機能“View As”の三つのバグの組み合わせを悪用した。それによって、そのアカウントの友だちにアクセスし、40万のアカウントのアクセス情報を盗んだ。そして別の方法を使って、彼らの友だち3000万の情報を握った。

多くのデータ漏洩と違って今回のは、最初に予想されたよりも軽微だった、とみなされている。ユーザーは、ログインの再行を求められたときちょっと戸惑ったが、今はこの事故のことを忘れているようだ、という。Q3の決算報告ではFacebookのユーザー数がやや減るおそれもあるが、盗まれたデータが実際に悪用されないかぎりは、Webの至るところで日々起きているエンドレスなサイバーセキュリティエラーのノイズの中で消えてしまうだろう。そのノイズの中には、FacebookのコンペティターGoogle+の閉鎖の遠因となったデータ遺漏事件も含まれている。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

長いパスワードはパスワードの悪用や同一パスワードの再利用を大幅に減らす

インディアナ大学の研究者たちが、パスワードに関する厳しい規則は…相当面倒なものを除いては…実際に効果があることを実証した。その研究を行った院生のJacob Abbott, 同大のCIO Daniel Calarco, そしてL. Jean Camp教授らは、彼らの研究成果を“Factors Influencing Password Reuse: A Case Study.”（パスワード再利用の影響要素に関する事例研究）と題するペーパーで発表した。

Abbottはこう述べている: “われわれのペーパーは、文字数15文字以上などの厳しい要件により、インディアナ大学のユーザーの圧倒的多数（99.98%）が、パスワードをほかのサイトで再利用しなくなることを示している。制限文字数が短い他の大学では40%もの高率でパスワードが再利用されている”。

パスワードの再利用に対する規則の影響力を知るために、インディアナ大学を含むアメリカの22の大学のパスワードに関する規則を調べた。そして、オンラインで公開されている二つの大きなデータセットから、メールとパスワードの組み合わせを取り出した。それらのデータセットには、メールアドレスとパスワードの組み合わせが13億件ある。それらのメールアドレスとパスワードの組み合わせを大学のドメインごとに分類し、各大学の公式のパスワード規則と比較した。

結果は明白であった: 厳しいパスワード規則によって、その大学の個人データ漏洩リスクは大幅に低減していた。

要約すると、長いパスワードを求める厳しいパスワード規則により、パスワードの詐欺的利用や本人のパスワード再利用が99%、すなわちほぼ完全に防止できている。また同研究によると、パスワードの中で自分の名前やユーザー名を使わない、という規則も、セキュリティに貢献している。結局のところ、厳しいパスワード規則がある方が、なにもないよりも、はるかにましである。当たり前のことのようだが、覚えておくべき、そして必ず思い出すべき、重要なポイントだ。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

ユーザーのコンピューターに暗号通貨の採掘マルウェアを植え付ける偽のFlashインストーラーが急増

かつて人気者だったWebのプラグインFlashが、まだなかなか死なないとお嘆きのあなた、実はそれは、あちこちに出没するFlashのインストーラーに寄生しているマルウェアも、すぐには死なないことを意味しているのだ。というよりむしろ、彼らの手口はますます陰険になっている。

Palo Alto Networksの最新の調査によると、最近急増しているFlashインストーラーは、暗号通貨を採掘するマルウェアをセキュリティの弱いコンピューターに投下するだけでなく、Flashがすでにあっても、また新たにインストールする。

研究者たちによるとそれは、本物のFlashインストーラーだと思わせるための、騙（だま）しの手段だ。

そのインストーラーを開くと、こっそりとXMRigがインプラントされる。それはオープンソースの暗号通貨採掘プログラムで、コンピューターのプロセッサーとグラフィクスカードを使って採掘を開始する。生成された通貨はすべて、Moneroのウォレットへ吸い上げられ、追跡はほぼ不可能になる。採掘マルウェアがインプラントされたら、次にインストーラーはAdobeのWebサイトから本物のFlashインストーラーをダウンロードして、Flashをインストールする。

研究者たちは今年の3月だけでも、100あまりの偽のFlashアップデーターを見つけた。

Flashという、長年バグの多い、攻撃されやすいプラグインが、今でも頭痛の種になっていることは、皮肉な現象だ。被害者候補のコンピューターにFlashがなくて、マルウェアをプッシュすることができなければ、ハッカーはそのイミテーションを使って、攻撃の足がかりにする。Flashが大きな問題になってからGoogleは、10年近く前に、Flashやその他のプラグインをサンドボックスに囲った。当時もFlashを利用するマルウェアが、蔓延していた。

でもその後、普遍的にサポートされていてFlashより使いやすいHTML5の普及とともに、Flashの利用は急速に衰退した。

Adobeは2020年に、Flashを引退させる予定だ。そのあとは、偽のFlashインストーラーも影を潜めるだろうか？

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

米国政府監視機関、武器システムに大量の脆弱性を発見。国防省の対応に遅れ

米国政府監視機関は、国防省が重要武器システムをサイバーアタックから守る対策が十分ではないことを指摘した。

政府説明責任局（GAO）は火曜日に発行した最新レポートで、国防省は「武器セキュリティーを優先課題としていない」と言った。ここ数年で改善がみられるものの、武器システムの保安に対する「当初の理解のなさ」ゆえに、今も国防省は「武器システムサイバーセキュリティーへの取り組み」に苦闘している。

GAOは国防省の武器システムセキュリティーの見直しを依頼され、大量の脆弱性を発見した（機密情報であるために内容は公開されなかった）。しかし国防省は「問題の全貌を理解していない可能性が高い」。

武器が依存するシステムに対する攻撃が成功すると、武器の効力に影響を与え、ミッション実行の妨げや、物理的ダメージ、さらには人命の喪失につながる可能性がある。。

報告書によると、監視機関のテスト担当者は、比較的単純なツールと技法を使って、ほぼ気づかれることなくシステムの制御を握り、操作する事ができた——貧弱なパスワード管理と暗号化されていない通信が原因だ。

「テスト担当者は、オペレーターの見ている画面をリアルタイムで見て、システムを操作することができた」。オペレーターがリクエストに答えた内容も監視することができた、と報告書に書かれている。

「別のテストチームは、ユーザーの端末に、操作を継続するためには25セント硬貨を2枚入れるようにと指示するメッセージをポップアップ表示させた」とも書かれている。

あるケースでは、テスト担当者がサーバーから100 GB以上のデータを気づかれることなくダウンロードすることに成功した。

“Here’s my password.” (Photo credit: EMMANUEL DUNAND/AFP/Getty Images)

利用された欠陥の多くは、システムが商用あるいはオープンソースソフトウェアを「デフォルトのパスワードを変更せずにインストール」し、テストチームはインターネットでパスワードを探してそのソフトウェアの管理者権限を得ることができた」ためだった。

ほかにも、既知の脆弱性の悪用方法が開発されネットで公開されていたにもかかわらず、ソフトウェアをパッチしていなかったケースも報告されている。

しかしこれらは、GAOが限られたテストの中で発見した、低スキルのハッカーでも損害を与えられる基本的な問題に過ぎない——海外の敵や国が支援するグループに雇われているかもしれない、よりスキルの高い数多くのアタッカーについては考慮されていない。

過去4年間、国防省は10件以上の省内メモとポリシーを発行して全体的サイバーセキュリティーの改善に努めてきた。GAOによると、同省が新たなサイバーセキュリティー対策の取り組みを立ち上げ、実施することが「緊急」課題であると語った。

国防省の報道官は本誌のコメント要求に対して即答しなかった。

[原文へ]

（翻訳：Nob Takahashi / facebook ）

Chrome 70ではHTTPS証明の不具合をめぐって数百もの人気サイトがアクセス不能になる

Google Chromeの次のバージョン(v70)では、多くの安全なサイトがエラーメッセージを表示して停止する。それはこのブラウザーが、一連のセキュリティ事故のあと、メジャーなHTTPS証明プロバイダー一社の、信用を外したからだ。

Chrome 70は10月16日にリリースの予定だが、2016年6月よりも前に発行された、古いSymantecの証明を使ってるサイトはブロックされるようになる。それらは、Thawte, VeriSign, Equifax, GeoTrust, RapidSSLといったレガシーなブランドの証明だ。

対策を講じる時間は1年以上もあったのに、人気サイトの多くが対応を怠っている。

セキュリティ研究家のScott Helmeによると、Alexaがランク付けした上位100万のサイトのうち、1139ものサイトが、古い証明を使っている。それらは、Citrus, SSRN, Federal Bank of India（インド国立銀行）, Pantone, Tel-Aviv city government（テルアビブ市庁）, Squatty Potty, Penn State Federalなどなどだ。

FerrariとOne IdentityとSolidworksも彼のリストに載っていたが、最近新しい証明に切り替えたので今後のダウンはない。

Chromeでコンソールを表示すると、どんなWebサイトでもチェックできる（画像提供: TechCrunch)

HTTPS証明は、コンピューターとWebサイトやアプリとの間のデータを暗号化し、公開Wi-Fiホットスポットなども含めて、誰もデータを傍受できないようにする。それだけでなく、HTTPS証明はサイトの真正性の証明にもなり、ページが誰かによって書き換えられていないことを保証する。

多くのWebサイトが証明機関から証明を入手する。それらの証明機関は、一定のルールと手続きを守ることにより、長期間、Webブラウザーから信用される。

事故が起きたりしてブラウザーの信用を失うと、その機関からの証明のすべてをブラウザーは拒否する。

Googleが昨年、Symanecの証明を認めないと宣言したのも、そのためだ。Googleなど数社が、不正な証明を発行しているとしてSymantecを非難した。さらにその後Symantecが、必要な厳しい監督もせずに、信用のない機関に証明の発行をさせていたことが分かった。そのため数千のサイトが、彼らが金を払っていた証明を破り捨て、新しい証明に切り替えて、Chrome 70の期限が過ぎたときにエラーメッセージが出ないようにした。

しかし、ブラウザーは認証機関を信用しなくなるだけでなく、新しい機関を信用することもある。

たとえば無料のHTTPS証明を提供しているLet’s Encryptは今年初めから、Apple, Google, Microsoft, Mozillaなど、メジャーなブラウザーメーカーのすべてから信用されている。この非営利機関はこれまで、3億8000万あまりの証明を発行した。

[原文へ]
（翻訳：iwatani(a.k.a. hiwa）

Apple、議会宛レターで「スパイチップ」記事を強硬に否定

Appleは、同社のシステムが中国のスパイに侵入されていたとする先週のBloomberg報道に対して、これを否定する意思を改めて強調した。

その特ダネ記事は中国がSupermicro製マザーボードに小さなチップを埋め込んだとする10以上の情報源を挙げている。SupermicroのボードはAmazon、Appleを始めとする数多くの米国IT企業がデータセンターのサーバーに利用している。Bloombergの記事は、このチップがサーバーのデータを盗み出し、中国が世界有数のIT企業をスパイすることを可能にしているとも主張している。

Appleの情報セキュリティー担当副社長のGeorge Stathakopoulosは、議会宛のレターで、同社にとってこれまでで最も力強い否定の意を表明した。

「Appleは、悪意のあるチップも「ハードウェア改竄」や意図的に仕込まれた脆弱性も、これまでにどのサーバーでも見つけたことはない」と彼は言った。「記事に書かれているようなセキュリティーの懸念についてFBIに報告したこともなければ、FBIがそのような捜査に関してわれわれに接触してきたこともない」

このニュースに先立ち、英国サイバーセキュリティーセンターと米国国家安全保障局の両組織は、Apple、Amazon、およびSupermicroが記事を否定する主張を「疑う理由はない」という趣旨の声明を発信している。

さらにStathakopoulosは、Appleは「Bloombergが間違いなく存在するとしている悪意のチップなるものの詳細を具体的に説明するよう、同誌に繰り返し要求しているが、曖昧な二次的情報以上のものを提供しようとしなかった、あるいは提供することができなかった」

Appleの声明は、以前のコメントよりもはるかに激しい。Bloombergの記事の重要な欠陥は、数多くの情報源が、たとえ匿名であれ、スパイチップなるものを直接目撃した体験談を提供していないことだ。

チップが存在するという直接証拠がないかぎり、Bloombergの記事は根拠が曖昧だと言わざるを得ない。

View this document on Scribd

Bloombergの中国スパイチップのスクープはどこまで信頼できるか――ハイテク・エスピオナージュの闇を探る

[原文へ]

（翻訳：Nob Takahashi / facebook ）

米政府、AppleとAmazonに同調、Bloombergの「スパイチップ」報道を事実上否定

米国国土安全保障省は、Apple、Amazon、およびSupermicroの声明を「否定する理由はない」と発言し、先週Bloombergが報道した主張を否定した。

これは米国政府が記事に言及し内容に疑いをかけた最初の声明だ。国土安全保障省の声明は、英国サイバーセキュリティーセンターが発信したほぼ同内容の声明に同調するものだ。

Bloombergは、10以上の情報源を挙げて、中国はSupermicroが製造したマザーボードに超小型チップを埋め込んだと報じた。Supermicroの基板は米国IT業界——Amazon、Appleを含む——がデータセンターのサーバーに広く利用している。このチップはサーバー上のデータを盗み出し、中国が世界有数の富と力をもつ企業に対するスパイ行為を行うことを可能にすると言われている。

その後Apple、Amazon、Supermicroの各社はウェブサイトで声明を発表した。Bloombergは自社の主張を貫いている。しかし、記事が最初に公表されてから数日が過ぎた今、この最新の展開も人々の困惑を緩和するとは思えない。

国土安全保障省は国のサイバーセキュリティーを国内、国外両面の脅威から守っている。Bloombergによるとこの件は連邦政府が3年間調査を続けている機密情報であり、政府が脅威の可能性について声明を発表することは異例であるとしている。

現実はといえば、このニュースが報じられてから数日たったあとも、最も優秀でIT技術に長けたサイバーセキュリティー専門家の多くが、未だに誰を信じていいのかわかっていない——Bloombergなのかそれ以外なのか。

そして、誰かが問題のチップを手にするまでは、この状況がすぐに変わることは期待できない。

Bloomberg’s spy chip story reveals the murky world of national security reporting

[原文へ]

（翻訳：Nob Takahashi / facebook ）

Facebook曰く：アタッカーが連携アプリにアクセスした「形跡はない」

Facebookは、先週発見したデータ流出によってサードパーティーアプリが影響を受けた「形跡はなかった」と発表した。

ハッカーらは、昨年Facebookが不注意から混入させた3つの脆弱性の組み合わせを利用して、少なくとも5000万ユーザーのアクセストークンを盗み出した。その他4000万ユーザーもアタックを受けた可能性がある。Facebookはこれらのトークン（ユーザーのログイン状態を保つために使用される）を無効化し、ユーザーは強制的に同サイトに再ログインさせられた。

しかし、ログインにFacebookを利用しているサードパーティー製のアプリやサイト、サービス（Spotify、Tinder、Instagramなど）も同じく影響を受けた可能性があり、Facebookログインを使用するサービス各社は、ソーシャルネットワークの巨人に回答を求めていた。

「当社は、先週発見したアタック期間中にインストーあるいはログインされた全サードパーティーアプリのログを解析した」とFacebookのプロダクトマネジメント担当VP、Guy Rosenがブログ記事に書いた。「調査の結果、アタッカーがFacebookログインを使っていずれかのアプリにアクセスした形跡は現時点で見つかっていない」。

「当社が提供している公式Facebook SDKを使用しているデベロッパーすべて——およびユーザーのアクセストークンの有効性を定期的にチェックしているデベロッパー——は、われわれがユーザーのアクセストークンをリセットした際に自動的に保護されている。

Rosenは、全デベロッパーがFacebookの開発ツールを使っているわけではないことを認識しており、そのために「各デベロッパーが自社アプリのユーザーが影響を受けたかどうかを識別し、ログアウトさせるためのツールを開発している」と語った。

Facebookはツールの提供時期については言及しなかった。TechCrunchは同社にコメントを求めており、回答があり次第続報の予定。

今回の不正侵入がヨーロッパで500万ユーザーに影響をあたえたことをFacebookは認めた。当地域のプライバシー保護法は、より厳格で制裁金も高額だ。

新たに制定された一般データ保護規則（GDPR）の下では、仮にFacebookがユーザーデータを保護する努力を怠っていたことがわかれば、欧州の規制機関はFacebookに最大16.3億ドル（前会計年度の全世界売上である407億ドルの4%）の罰金を科すことができる。

5000万人が影響を受けたFacebookのデータ漏洩について知っておくべきこと

画像提供：Getty Images

[原文へ]

（翻訳：Nob Takahashi / facebook ）

Facebookデータ流出の対象EUユーザーは最大500万人、罰金は最大16.3億ドル

先日のFacebookのデータ流出で影響を受けた5000万人のうち、EU圏内の居住者は10%以下だったことを、同地域のプライバシーを管轄するIrish Data Protection Commission（IDPC、アイルランドデータ保護委員会）がツイートした。それでもFacebookは、最大16.3億ドルの罰金を課される可能性がある。これは前会計年度の全世界売上である407億ドルの4%に相当し、Facebookがユーザーのセキュリティーを十分に保護していなかったとEUが判断した場合に適用される。

Facebookは、IDPCのツイートへの返信で、「当社はIrish Data Protection Commissionを含む諸機関と協力して、金曜日（米国時間9/28）に起きたセキュリティー問題の基礎データを調査している。影響を受けた可能性のあるユーザーの地域が確定でき次第、詳細情報を公表する予定である」と言った。

5000万人が影響を受けたFacebookのデータ漏洩について知っておくべきこと

金曜日午前、Facebookは関係機関および一般大衆に向けて同社が火曜日の午後に発見したデータ漏洩を通知した。ここで重要なのは、アタックから通知までが72時間以内である点で、これを過ぎると全世界売上の2%の罰金が追加される。

UPDATE Facebook data breach — @DPCIreland understands that the number of potentially affected EU accounts is less than 10% of the 50 million accounts in total potentially 。affected by the security breach. DPC Ireland statement beneath. #dataprotection #GDPR #EUdataP pic.twitter.com/oSfGy6DP2S

— Data Protection Commission Ireland (@DPCIreland) October 1, 2018

今回の事件で、高度な技術をもつアタッカーらは、Facebookのプロフィール、プライバシー、およびビデオアップローダーに存在した3つのバグを組み合わせて5000万ユーザーのアクセストークンを盗み出した。このアクセストークンを使うとアタッカーはユーザーアカウントを乗っ取り、Facebook、Instagram、OculusのほかにもFacebookのログインシステムに依存する他のサービスでも本人になりすまして行動することができる。EUのGDPR法は不適切なセキュリティー対策行為に対して重い罰金を課すと脅しており、米国法よりも厳しいことで知られている。このため本捜査で発見される内容には重みがある。

大きな疑問は、盗まれたデータは何であり、どのように悪用された可能性があるかだ。捜査当局あるいは報道機関が、データの悪質な利用、例えばCambridge Analyticaが不正入手したデータがドナルド・トランプの選挙戦略に利用されたような証拠を見つけないかぎり、一般大衆がこれをFacebookのいつものプライバシースキャンダル以上のものとして見る可能性は低い。それでも、規制のきっかけになったり、Facebookログインシステムを使うパートナーの離脱につながるかもしれないが、世界は日常的にインターネットを蝕むサイバーセキュリティー問題に鈍感になっているようだ。

Facebookのデータ流出は、データが悪用されない限り忘れられる

[原文へ]

（翻訳：Nob Takahashi / facebook ）

Facebookのデータ流出は、データが悪用されない限り忘れられる

われわれはCambridge Analyticaスキャンダルに関心を持ったが、それはトランプの当選を後押ししたかもしれなかったからだ。LocationSmartを無視したのは、たとえ携帯電話のリアルタイムGPSデータが流出したとしても、そのデータがどう悪用されたかが明確になることはなかったからだ。

プライバシー問題はほとんどの人にとって、セキュリティーや思想的問題にならない限り抽象的概念である、というこの現実は、先週起こったFacebookの大規模データ流出を理解する上で重要な発想だ。

Facebookのお粗末なエンジニアリングは、3つのバグを生み出した結果5000万人のアクセストークンを盗まれた。ローコストな効率化による急成長を追求した結果、Facebookはユーザーを守ることに失敗した。Facebookは著しく信用を失墜した。

しかし、流失したアクセストークンを使うことで、アタッカーはユーザーのアカウントを乗っ取り、なりすまして行動し、個人情報を盗み出す可能性はあるものの、ユーザーが実際にどれほど気にかけているのかは不明だ。それは、現時点でFacebookもその監督機関も、どのデータが盗まれ、悪用されたのかを正確に掴んでいないからだ。

我慢の限界

すべては明日にでも変わるかもしれない。もしFacebookが、このアタックは外国政府が選挙介入するために実行されたか、個人情報盗難のチェックをかいくぐって人々の銀行口座やソーシャルメディアのプロフィールを盗んだか、個人を特定して物理的被害を与えたりしたことを発見すれば、暴動が起きる。

流出データの十分恐ろしい使い道を踏まえると、今回の流出事件はFacebookブランドを破壊する原因になりかねない。もしユーザーがプロフィールデータを消去し、フィード閲覧を減らし、シェアをしなくなるようなことになれば、この事故は著しい金銭的被害とネガティブなネットワーク効果をFacebookにもたらす。数年来のスキャンダルのあと、これが最後の一撃になるかもしれない。

しかし、盗まれたデータが悪用された証拠が未だにでてこないことで、事件はユーザーの記憶のかなたに消えていくかもしれない。Facebookに買収されたInstagramとWhatsAppのファウンダーたちの緊張感漂う脱退に見られるように、反発の発端は一般大衆からではないのかもしれない。

Facebook hack could hasten regulation as Sen. Warner says Congress must “step up”

このアタックによってソーシャルメディアの規制が早まる可能性がある。Warner上院議員は問題の追求を「強化」するよう議会に提案した。Warnerは欧州のGDPRに似たプライバシー法の推進者だった。法案には、ソーシャルネットワークの移行を容易にするポータビリティーとインターオペラビリティーも盛り込まれていた。ユーザーが競合サービスに移行する脅威は、Facebookにユーザーのプライバシーとセキュリティーの扱いを改善させるきっかけになるだろう。

FTCやEUは、Facebookの違反に対して相当額の罰金を科す可能性がある。しかし、四半期当たり数十億ドルを稼いでいる状況を踏まえると、Facebookにとって深刻な罰を与えるためには、罰金は歴史的金額にする必要があるだろう。

今回のアタックに関する最大の関心事は、AirbnbやSpotifyのようにFacebook Loginを使っている他のサービスへのアクセスに、トークンが使用されたかどうかだ。本件によって、Facebookを個人認証プラットフォームとして使おうと考えていたパートナーは二の足を踏むかもしれない。ただし、みなさんはパスワードを変えなくてはならない心配はする必要がない。ユーザー名とパスワードを盗まれるハッキングと異なり、Facebookの事故による継続的危険は限定的だ。パスワードが流出した場合は、盗難から長時間経過後に別アプリがハッキングを受ける可能性があるのに対して、今回盗まれたアクセストークンはすでにすべて無効化されている。

鈍感化

もし政府調査官やジャーナリストやアンチFacebook活動家たちが、Facebookに怠慢の責任を取らせたいと思うなら、具体的な脅威と結びつける必要がある。

流出データの悪質な利用の証拠がない今、このスキャンダルはFacebookの他のさまざまな問題に紛れる可能性がある。毎週、繰り返し、Facebookには見出しを飾るトラブルが起きる。時間とともに、それらが積み重なってFacebookの利用を躊躇させ、より多くのユーザーを離脱させる。しかし、容易に乗り換えられる汎用ソーシャルネットワークがないために、多くのユーザーは人とつながる利便性の引き換えに、Facebookの失態に耐えてきた。

データ漏洩が頻繁になるにつれ、大衆は鈍感になりつつある。最悪、無関心になりかねない。たとえ被害が明確でなくても、企業はプライバシー侵害の説明責任を持つべきだ。しかしEquifax、Yahoo、さらには携帯通信会社の事故が続くなか、われわれは深いため息と時には罵詈雑言を吐くだけで、日々の生活を送り続けることに慣れてしまった。記憶に残るのは、脅威がデジタル世界からオフラインの現実世界へと転移したときだけなのだ。

［画像出典：Getty］

[原文へ]

（翻訳：Nob Takahashi / facebook ）

5000万人が影響を受けたFacebookのデータ漏洩について知っておくべきこと

Facebookは、数千万ユーザーのアカウント情報を露出した大規模セキュリティー事故の後始末に追われている。 Cambridge Analyticaスキャンダル以来すでに波乱に満ちているこの年、同社はユーザーデータを漏洩させた新たなセキュリティー問題を受け、ユーザーの信頼回復に必死だ。

現時点で知っておくべきことのすべてをお知らせしておく。

何が起きたのか？

Facebookによると、アタッカーが個人データへのアクセスを可能にする脆弱性を利用した結果、少なくとも5000万ユーザーのデータが危険に晒された。また同社は、予防措置として十分な注意を払うべく、さらに4000万アカウントを保護した。

アタッカーの狙っていたデータは何か？

Facebook CEOのMark Zuckerbergは、侵入された不正にアクセスされたアカウントはまだ発見されていないと言った——ただし、調査は初期段階であり今後変わる可能性がある。Zuckerbergによると、アタッカーは「名前、性別、居住地」などユーザーのプロフィールページからリンクしている一部の情報を取得するために、FacebookのデベロッパーAPIを使用した、と言った。

Facebook says at least 50 million users affected by security breach

盗まれていないデータはなにか？

Facebookは、プライベートなメッセージがアクセスされた可能性は低いと言った。クレジットカード情報も漏洩していない、とFacebookは言った。もちろんこれも、調査が進むにつれて変わるかもしれない。

アクセストークンとは何か？　パスワードを変更する必要はあるのか？

Facebookを含め、ほとんどのサイトやサービスにユーザー名とパスワードを入力したとき、ブラウザーやデバイスに対してアクセストークンが発行される。これによってユーザーはログイン状態のままになり、毎回ログインするたびにIDやパスワードを入力しなくすむ。ただし、トークンにパスワードは入っていない——このため、パスワードを変更する必要はない。

今回Facebookが私をログアウトさせたのはそれが理由か？

そのとおり。Facebookは、影響を受けた全ユーザーのアクセストークンをリセットしたと言っている。つまり、携帯端末、パソコンを含めて約9000万人のユーザーがログアウトされたことになる。Facebook Messengerのユーザーもこれに含まれる。

アタックはいつ起きたのか？

この脆弱性は2017年7月以来サイトに存在していたが、Facebookは今月、2018年9月16日に不自然な行動が急増したのを見つけるまで、問題に気づかなかった。Facebookはいつ攻撃が始まったのか確証がないため、アタッカーは長期にわたってユーザーデータをアクセスしていた可能性がある。、

誰がこんなことをするのか？

Facebookは攻撃したのが誰であるか知らないが、FBIが捜査中であると言った。

しかし、過去にFacebookは、ロシアがアメリカの民主主義に干渉し選挙に影響を与えようとする企ての証拠を掴んだことがある——だからといって今回の攻撃の背後にロシアがいるということではない。状況の特定は極めて困難であり多大な時間と努力を要する。最近FBIは、2016年のSonyハック事件の背後に北朝鮮がいたことの確認に2年間を要した——つまり今回も長く待たされるかもしれない。

どうやってアタッカーは侵入したのか？

１つならず３つのバグがデータ漏洩を引き起こした。

2017年7月、Facebookは不注意から同サービスのビデオアップローダーに3つの脆弱性を取り込んでしまった、とFacebookのプロダクト管理担当VP、Guy Rosenが電話会見で言った。プロフィールのプレビューで “View As” 機能を使って別人として表示したとき、ビデオアップローダーが本来表示されるべきでないときに、時々表示されることがある。表示されたとき、その成り代わっているユーザーのアクセストークンが生成された。アクセストークンを入手したアタッカーは、そのユーザーのアカウントにアクセスが可能になる。

問題は修正されたのか？

Facebookは9月27日（米国時間）に脆弱性を修正し、ユーザーの安全を確保するためにアクセストークンのリセットを開始したと言っている。

WhatsAppとInstagramのアカウントにも影響したのか？

Facebookによると、Instagramアカウントが影響を受けたかどうかはまだ確認できていないが、Facebookのアクセストークンが無効になった時点で自動的に安全が確保される。該当するInstagramユーザーがFacebookにクロスポストするためには、Facebookアカウントへのリンクを解除、再設定する必要がある。

Facebookは記者向けの電話会見で、WhatsAppユーザーへの影響は一切ないと言った。

What Instagram users need to know about Facebook’s security breach

Facebookログインを使用しているサイトも影響を受けるのか？

アタッカーがあるユーザーのアクセストークンを入手した場合、彼らはそのユーザーに成り代わってFacebookアカウントにアクセスできるだけでなく、Facebookを使ってログインしている別のサイト、例えばデートアプリやゲームやストリーミングサービスなどにもアクセスが可能になる。

Facebookは罰金などの罰を課せられるのか？

もしFacebookが欧州のデータ保護規則——最近施行された一般データ保護規則（GDPR）——に違反していることがわかれば、同社は全世界売上の最大4%に相当する罰金を課される可能性がある。

ただし、その罰金はFacebookが侵入の状況やユーザーへのリスクについて詳細を知るまで課されることはない。

この規模のデータ漏洩がまた起きたことで——しかもCambridge Analyticaスキャンダルやその他のデータ漏えいの直後——議会にはFacebookを規制すべきとの声も上がっている。Mark Warner（民－バージニア州）上院議員は、今日のニュースに関してFacebookを厳しく非難するとともに、巨大データセットを保有する企業を「情報受託者」とし規制する議案を再度推し進めた。

FTCのRohit Chopra委員長も、Facebookの侵入事件について「答えが欲しい」とツイートした。何が起きたのかを解明するために、米国、欧州の両方で捜査が入ると考えるのは妥当だろう。

Facebook hack could hasten regulation as Sen. Warner says Congress must “step up”

自分のアカウントが不正にアクセスされたかどうかを知ることはできるか？

できる。Facebookアカウントにログインしたら、「セキュリティとログイン」ページに行くと、これまでにログインした場所がわかる。アクセストークンが無効化されて再びログインしなければならなかった人は、再ログインしたデバイスしか見えないはずだ。

Facebookアカウントを削除すべきか？

それはあなた次第！　しかし、もしまだであればパスワードを変える、あるいは 2段階認証をオンにするなどの予防措置をとるとよい。今回影響を受けなかった人も、この機会にFacebookと共有している個人情報を整理して、将来アタックが起きた時に漏洩するリスクを減らしておくことをお勧めする。

[原文へ]

（翻訳：Nob Takahashi / facebook ）