タグ: Security

Chromeの最新バージョンは、非暗号化ページに”not secure”マーカーをつける

本日(米国時間7/24)Googleは、Chromeブラウザーのversion 68を正式発表し、暗号化されていない(非HTTPS)ページに “not secure”[安全ではない]マークを付けるという以前からの約束を正式にした。Chromeが、ブラウザー全体で安全な(HTTPS)ページの利用を促進するという時間のかかる計画を発表してから、ここまでに2年近くかかっている

過去の更新で、Chromeはすでに重要なHTTPページ——銀行情報や個人情報を収集するサイト——に “not secure”ラベルを付加し始めている。しかし、ブラウザーの安全を約束するという目標に向けて、今日Chromeは、9月からHTTPSサイトの “Secure” マークを外し、10月から非暗号化サイトに赤い “Not secure”マーカーを付加する計画を発表した。

従来Chromeは、インターネット上のHTTPサイトの数が多すぎるため、すべての非暗号化サイトにマーカーをつけることは現実的ではないとしていた。しかし、ここ数年に安全なサイトが増えてきた結果、この方法はより実際的になった。

2014~2018年にわたって同ブラウザー上の暗号化利用を追跡したChrome Transparency Reportによると、AndroidおよびChromeOSのブラウザートラフィックでは、暗号化率は上がっている(Androidでは42%から76%へ、ChromeOSでは67%から85%)。また、2014年にトップ100のウェブサイト中HTTPSをデフォルトで使用していたのはわずか37サイトだったのに対して、2018年には83サイトに増えたことも報告書に書かれている。

Chromeによるこのセキュリティーアップデートは、最近起きているセキュリティーハックに直接対応するものではなさそうだが、良いタイミングだった。最近世界で起きている銀行医療、および選挙ハッキングの事件を受け、セキュリティー、特にオンラインセキュリティーは深刻な話題となっている。

“secure”なサイトはあなたのデータが侵入を受けないという意味ではないが、、Chromeは今後もユーザーが最も安全な体験を得られるように、この分野での努力を継続するつもりだと語った。

[原文へ]

(翻訳:Nob Takahashi / facebook

びっくり! 有名サイトは未だにこんなひどいパスワードを許している

Amazon、Reddit、Wikipediaをはじめとする超人気サイトなら、”password1″や”hunter2″がひどいパスワードであることをユーザーに教えていると思うかもしれない。しかし、そうではない。有力サイトのパスワード傾向を過去11年間追跡したある調査プロジェクトによると、ほとんどのサイトがパスワードにおおまかな制約しか課しておらずほとんどユーザーの役に立っていない。

英国プリムス大学のSteven Furnellは、2007年にウェブサイトのパスワード傾向の調査を初めて行い、2011年と2014年にも繰り返した。そして今週もう一度実施した。彼の結論はいかに?

2018年の全体傾向が2007年とほとんど変わっていないことに少々失望した。その間、パスワードの選び方や使い方の失敗について多くの記事が書かれてきたが、正しい方法の奨励や義務付けはほとんど進んでいない。

同大学の発表記事によると、Google、Microsoft、およびYahooがパスワード手続きに関しては優秀で、Amazon、Reddit、Wikipediaが最悪であると指摘しているが、詳細については外交的に明言を避けている。幸い私は調査報告を入手したので、名前を明らかにしていこう。

調査対象となったのはトップ10の英語ウェブサイトだ:Google、Facebook、Wikipedia、Reddit、Yahoo、Amazon、Twitter、Instagram、Microsoft Live、およびNetflix。

最悪だったのは間違いなくAmazonで、このサイトには驚くべき価値をもつパーソナルサービスと真に不適切なパスワード制御が同居している。WikipediaとRedditは制約は少ないがいずれのサイトもさほど重要なデータを保護しているわけではない。Amazonアカウントが悪意のハッカーにアクセスされることのほうが危険はずっと大きい。

Amazonは、Furnellが試したパスワードを事実上なんでも受け付けた。ユーザー名の繰り返し、ユーザーの本名、そして永遠不変の古典 “password”も。(NetflixとRedditも “password” を通すがWikipediaは通していない。その一方でWikipediaは “b” のような一文字パスワードを許している。

制限をかけているサイトで、たとえば複数の文字種を要求したりよく使われるパスワードを拒否しているところであっても、きちんと説明できているところは稀だ。何も言われずにアカウントを作り始めたユーザーがパスワードを入力すると、もっと長くなければいけないと言われ、次には特定の単語(ユーザーの姓など)が入っていてはいけないと言われ、さらには特殊文字が含まれていなくてはいけないなどと言われ続ける。さらに、サイトによってはサインアップするときとパスワードを変更する時とで要件がかわるところもある。

なぜ最初に全部言わないのか? その意味では、なぜ背景にある理由を説明しないのか? 小さな情報ボックスに「Yという理由でXが必要です」と書くのは簡単なことだ。しかし、どこのトップサイトもやっていない。

この悲しいレポートの中の唯一明るい光は2要素認証(良いパスワードより間違いなく重要)が普及しつつあることで、パスワードポリシーの最悪犯の中にも採用しているところがある(Amazon、あなたのことだ)。あとはSMSではなく、セキュリティーの高い認証アプリを使うようになればもっとよい。

最後の言葉は過去十年間変わらない:

基本的な考えは——たびたび参照される従来の研究と同じく——ユーザーが直接かかわるセキュリティーには適切な支援が追随する必要があることだ。パスワードは良い例で、多くの人たちがうまく使えていないことをわれわれは知っている。しかし教訓は無視され続け、われわれは方式を批判し続け、代わりにユーザーを責め立てる。

2要素認証はひとつの出発点だが:

ユーザーは2要素認証の利用をもっと促進されるべき、いや、義務付けられるべきだ。そうでなければ、パスワードと同じく、潜在的に保護能力があっても実用的には不十分ということになってしまうだろう。

言い換えれば、悪いパスワードについて話をするのではなく、そのための行動を起こせということだ。

[原文へ]

(翻訳:Nob Takahashi / facebook

InstagramがSMSを使わない二要素認証を導入、SIMを悪用するハッカーを撃退

ハッカーは被害者の電話番号を別のSIMカードに割り当て、それを使ってパスワードを変え、Instagramなどのアカウント情報を盗み、それらをBitcoinで売る。今日(米国時間7/17)のMotherboard誌のおそろしい記事によると、とくにInstagramのアカウントには、SMSを使う二要素認証しかなく、しかもユーザーはテキストメッセージでパスワードやログインコードを変えたりするので、きわめて危険である。

しかしInstagramによると同社は今、SMSを使わない二要素認証を構築中だ。それはGoogle AuthenticatorやDuoなどのセキュリティアプリを利用し、ログインに必要な特殊なコードを生成するが、それは、電話番号がハッカーのSIMカードに移されていたら生成されない。

InstagramのAndroidアプリのAPKの中にはすでに、近くアップグレードされる二要素認証(2 factor authentification, 2FA)のコードが含まれている、と本誌の常連たれこみ屋Jane Manchun Wongが言っている。これまでも本誌TechCrunchは彼女のおかげで、Instagram Video CallingUsage Insightssoundtracks for Storiesなどのスクープをものにできた。

そのスクリーンショットをInstagramのスポークスパーソンに見せたら、同社がSMSを使わない2FAに取り組んでいることを認めてこう言った: “Instagramのアカウントのセキュリティを改良する努力は継続的に行っており、二要素認証の強化もその一環だ”。

Instagramは、ユーザー数が4億に達した2016年にもまだ2FAをやっていなかった。2015年の11月にぼくは、Seriously. Instagram needs two-factor authenticationという記事を書いた。ぼくの友だちでInstagramのストップモーションアニメのスター的な作者Rachel Ryleがハックされ、収入源でもあるスポンサーを失った。Instagramはその話を聞いて、三か月後にSMSを使うもっともベーシックな2FAを開始した

でもその後、SIMの悪用が、ますます多くなってきた。ハッカーがよく使う手は、モバイルのキャリアに電話をしてユーザーになりすましたり、社員を騙したりしてユーザーの番号を自分のSIMカードに移す。そして彼らは、Motherboardが報じているように、ユーザーの人に見せたくない写真や、暗号通貨の空のウォレットなどを盗み、また@tとか@Rainbowのような人気のソーシャルメディアハンドルを売ったりする。SIMの悪用には、ハッカーの金儲けの機会がたくさん転がっている。この記事には、自分の電話番号の守り方が書かれている。

このハッキングのテクニックがもっともっと、広く知れ渡るようになれば、多くのアプリがSMSに依存しない2FAを採用するだろう。そしてモバイルのプロバイダーは電話番号の他のSIMへの移行をより困難にし、ユーザーは自分のアカウントを守るための面倒な作業を我慢するだろう。自分自身の本人性も、そしてそのお金なども、ますますデジタル化が進めば、そのPINコードや認証アプリが、家の戸締まりと同じぐらい重要になる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Valimailを使うとハッカーがメールであなたのボスになりすますことがなくなる

詐欺的な偽メールの到来を防ぐValimailが今日(米国時間7/11)、そのなりすまし撃退サービスに新しい機能を加えた。これで、悪質なハッカーたちがメールで自己を詐称することが、一層難しくなるだろう。

Valimailは最初、ユーザーの発信メールの信頼度を高める方向にフォーカスしていたが、Valimail Defendと呼ばれる新たなソリューションでは、偽の着信メールを利用する二つのタイプの攻撃に焦点を当てている。よく似た名前のドメイン(たとえばtech-crunch.com…本物はtechcrunch.com)を使うやつと、友だちなどへの“なりすまし”だ。後者は、たとえば同じ会社の中など、一見正しいアドレスを使用する。

ValimailのCEOで協同ファウンダーのAlexander García-Tobarは語る: “うちのクラウドファーストななりすまし撃退ソリューションは、最初から完全に自動化するつもりだった。その結果今では、顧客のドメインをなりすましから守る能力では最高、と評価されている。その最新の進化であるValimail Defendは、これまでの経験を踏まえて、エンタープライズや政府機関にメールのなりすましに対するもっとも進んだ保護を提供する”。

その新しいサービスは今年のQ3に可利用になり、既存のValimail Enforceブランドのソリューションを補完する。後者は、DMARCの強制やそのほかのテクニックで、発信メールの認証などのサービスを提供する。

セキュリティ侵犯の多くがなりすましメールを利用しているから、その対策は企業のセキュリティの最重要な目標になっている。しかしそういう詐欺的行為の多くは、ごく基本的なルールベースのアプローチで防止できる。しかしValimailの主張では、そういうルールの適用処理そのものは、機械学習を使う方がはるかに効果的である。

現在のValimailの顧客には、Splunk, City National Bank, Yelpnなどがいる。Yelpの技術部長Vivek Ramanはこう語る: “Valimailの自動化方式は効果的であると同時に効率的だ。ほかの方法は長時間かかる人海作戦が多いが、Valimailなら人手も時間も要らない。この次世代型の自動化なりすまし撃退技術には、とても感嘆している。Valimailは、完全なエンドツーエンドのソリューションだ”。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Apple、FaceIDとiPadの新CMを公開

Apple は、iPadの携帯性と利便性がノートPCや伝統的紙メディアよりも優れていることを示す新しいCMを展開している。15秒のCMは、iPadならいちばん面倒な仕事さえも簡単にできる、というところ焦点を当てている:旅行、メモ、書類、等々。

4本中3本に、3月の教育イベントで発表された第6世代iPadが登場している。このiPadは低価格(米国では329ドル)ながらPencilに対応している。

CMはAppleの国際YouTubeチャンネル(UAE、シンガポール、英国)で公開された。

この1日前、FaceIDに焦点を当てた 90秒のCMも公開された。そこではクイズ番組に出演している男が、その日の午前に作った銀行のパスワードを尋ねられる。彼はさんざん苦痛な時間を過ごしたあと、バンキングアプリをFaceIDでアクセスできることを思い出す。

iPadの次世代モデルにFaceIDが組み込まれるのではないか、という憶測が出ているが、本当のところはAppleの次のイベント(おそらく9月に行われる)までわからない。

[原文へ]

(翻訳:Nob Takahashi / facebook

Gentoo LinuxのGitHubリポジトリにハッカーが侵入、無傷なコードをバックアップから復元

セキュリティ企業Sophosの研究者たちによると、人気のLinuxディストリビューションGentooが“完全にやられて”、現在そこにあるコードはどれも信頼できない、という。そして彼らは直後にアップデートをポストし、コードはすべて無事だった、と述べた。ただし彼らはGitHubのリポジトリをpullし、彼らが完全無欠なコードのフレッシュコピーをアップロードするまでは現状を維持する、と言っている。

Gentooの管理者たちは、次のように書いている: “本日6月28日のほぼ20:20 UTCに、未知の個人〔複数形〕がGitHub Gentooのコントロールを取得し、リポジトリのコンテンツと、そこにあるページを改変した。被害の範囲を目下調査中であり、コード編成とリポジトリのコントロールを取り戻すべく、努力している。現時点では、github上でホストされているすべてのコードが侵害された、と見なすべきである。ただし、Gentoo自身のインフラストラクチャの上でホストされているコードには、被害が及んでいない。そしてGithubはそのミラーにすぎないので、gentoo.orgからrsyncまたはwebrsyncするかぎり、何も問題はない”。

Gentooのアドミンたちがコードの自分たち用のコピーを保存しているので、回復不可能なまでに破壊されたコードは存在しない。Gentooによると、被害を受けたコードにはマルウェアやバグが潜んでいる可能性があるので、復旧するまではGitHubバージョンは避けるように、ということだ。

“Gentoo Infrastructureのチームが侵入箇所を同定し、悪用されたアカウントをロックした”、とアドミンたちは書いている。“GentooのコードとMuslおよびsystemdは、GitHubの三つのリポジトリにある。これらのリポジトリのすべてが、既知の良好な状態へリセットされた”、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

カリフォルニア州で画期的なデータプライバシー法が成立

【抄訳】
カリフォルニアのデータプライバシー法は、内密のデータ収集が生きる糧(かて)でもある多くのテクノロジー企業の強い反対を乗り越えて、あとは知事が署名するだけで成立の運びとなった。そのCalifornia Consumer Privacy Act of 2018は州議会を通り、今、成立のためにJerry Brown知事のデスクに向かっている。

アップデート: 知事が法案に署名したので、法は来年末に発効する:

[カリフォルニア州議会プライバシーと消費者保護委員会委員長Ed Chauの知事署名直後のツイート]

この法は、消費者が知らない間に自分のデータを集められて売られることを防ぐための、さまざまな強力な措置を集めている。その全文はここで読めるが、主な内容は以下のとおりだ:

  • 企業は自分が集める情報とその事業目的、およびそれらを共有するサードパーティを開示しなければならない。
  • 企業はそのデータを削除する消費者の公式の要求に応じなければならない。
  • 消費者は自分のデータが売られることを拒否でき、それに対し企業は料金やサービスのレベルの変更で報復してはならない。
  • しかしながら企業は、データの収集を許されることに対して“金銭的なインセンティブ”を提供してもよい。
  • カリフォルニア州当局は違反した企業に罰金を科すことができる。

ご覧のようにこれは、FacebookやGoogleのような企業に抑制を課すもので、とくにこの二社は、個人的にまたは業界団体等を通じて、法案に反対する勢力に加担していた。

また長年、顧客データを有料でサードパーティと共有していたAT&TやVerizonのようなインターネットプロバイダーも、法案に反対していた。

しかしこの法律は、詳細な条文を知らなくても誰もが支持するようなものだった。なぜならば、大手テク企業やISPたちのやり方に対して、すべての良識ある人びとが怒っていたからだ。

知事のデスクに向かっている法案は、お金持ちの活動家Alastair Mactaggartが提案していたものよりも、やや緩(ゆる)い。彼は11月の州民投票を呼びかけていたが、しかし議会が法律を成立させたなら活動をやめる、と言っていた。そして、そのとおりになった。

[知事署名前のツイート]

【後略】

〔参考: EUのGDPR

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

監視カメラがあなたを認識して警告や解説をメッセージするパーデュー大学のPHADEシステム

[筆者: Sarah Wells]
今や、通りにも、美術館にも、お店にも、どこにでもカメラがあるという認識は、人間の第二の天性になっている。でもそんなカメラが、人間とコミュニケーションできたらどうだろう? パーデュー大学のコンピューターサイエンスの研究者たちは、そのディストピア的な未来を現実化して、今日、ペーパーに発表した。ただし彼らによると、それはそんなに怖いものではないそうだ。

そのシステムはPHADEと呼ばれ、PHAの部分は“private human addressing,”(プライベートな人間アドレシング)の頭字語だ。プライベートというのは、カメラと個人の携帯電話がコミュニケーションするけれども、そのときにIPやMacのアドレスなどに相当する個人データはいっさい送信されない、という意味だ。この技術が依存するのは、そんな具体的なデータではなく、動きのパターンから人物の所在を突き止める方法だ。だからその通信にハッカーが割り込んだとしても、人の物理的な位置はわからない。

美術館の通路を歩いていると、自分が知らなかった絵に目が止まった。ガイドは団体客の世話に追われている。お金を払わなかったので、オーディオツアーのヘッドホンは使えない。その作品の前で考え込んでいると、突然スマホのブザーが鳴り、その美術作品とそれを描いた画家についての詳しい情報を、自分の手のひらの中で知ることができた。

そんなことができるために研究者たちは、テーマパークなどで使われている方向性オーディオ(directional audio)に似た技術を使う。その技術は、ライブのビデオデータを分析して、歩行者の個々の動きのパターンを同定する。そしてそれが、絵画の前など特定の範囲にあれば、その映像を捉えているカメラの位置(“モーションアドレス”)へ、解説のアナウンスを流す。ユーザーのスマートフォンは、モーションアドレスが自分の位置とマッチしたら、解説メッセージを受信する。

この技術は、このように美術館の作品解説などに役に立つだけでなく、歩行者を犯罪から護ることもできる、と研究者たちは考えている。

コンピューターサイエンスの助教授でこの技術の共同開発社であるHe Wangは、声明文でこう述べている: “われわれのシステムは監視カメラと人間を結ぶ橋になる。犯罪や事故の多い地区で監視カメラをこの技術で強化すれば、たとえば“あなたをつけている不審者がいる”などと、警告することができる”。

テクノロジーをフルに利用する監視社会に対しては批判の方が多いが、カメラがあなたを見守っていてくれることには、利点もありそうだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Google、Chrome拡張機能のサードパーティーサイトでのインストールを中止へ

本日(米国時間6/12)Googleは、Chrome Web Storeの主要なポリシー変更を発表した。ユーザーをだましてChrome拡張機能をインストールさせようとするサイトからユーザーを守ることが目的だ。これまでWeb Storeでアプリを公開しているデベロッパーは、自分のウェブサイトからも拡張機能をインストールさせることができた。しかし、インライン・インストールと呼ばれるこの方法を、をだまし広告と抱き合わせてインストールさせようとするデベロッパーが頻出するようになった。これは2011年にこの機能を導入したGoogleの意図とは明らかに異なる体験であり、このほど中止することになった。

今日以降、インライン・インストールは新たに公開される拡張機能では利用できない。標準的方法を使ってインストールを呼びかけるデベロッパーのサイトを訪れたユーザーは,Chrome Web Storeにリダイレクトされてインストールを完了する。

そして2018年9月12日には、既存の拡張機能についてもインライン・インストールは利用不可となり、ユーザーは同じようにストアにリダイレクトされる。12月に公開されるChrome 71からは、インライン・インストールのためのAPIが廃止される。

「過去数年間この問題に取り組んできたなかで、Chrome Web Storeで拡張機能の横に書かれている情報は、ユーザーが拡張機能をインストールするかどうかを決めるうえで重要な役割を担っていることがわかった」と拡張機能プラットフォームのプロダクトマネージャー、James Wagnerが今日のブログに書いた。「Chrome Web Store経由でインストールされた拡張機能は、インライン・インストールされたものと比べて・アンインストールされたり苦情が来ることが著しく少ない」

Wagnerが指摘するように、インライン・インストールは長年の問題だった。2015年には、ユーザーをだましてニセ広告やエラーメッセージをクリックさせて拡張機能をインストールさせるサイトが大きな問題になった。

[原文へ]

(翻訳:Nob Takahashi / facebook

iOS 12ではFace IDに2人目の顔を登録できるらしい

ARの機能向上からグループFacetimeまで、iOS 12に関する注目すべき発表は山ほどあった。しかし、今年の秋にやってくるAppleのモバイルOSには、WWDCのキーノートでは触れられなかった実用的なアップデートがある。

9to5Macによると、 iOS 12ではFaceIDに2種類の顔を登録できるらしい。

これまでFace IDでは、iPhone Xに登録できる顔は1つだけだった。9to5MacはiOS 12ベータを精査する中でこの変更に気づいた。そこにはFace IDの設定項目として「別の顔を登録する」が新たに加わっていた。

説明は以下の通り。

あなたの顔を学習し続けことに加えて、Face IDは別の顔も認識することができます。

あまりはっきりしない説明だが、9toMacはテストしてこの機能を確認し、以下の問題点を見つけた。Face IDに2種類の顔を登録したユーザーが、その別の顔を削除するために自分のFace ID登録をはじめからやり直さなければならない。言い換えると、別の顔をリセットしたければ、登録済みの自分の顔もクリアする必要がある。

そんなちょっとした不便さはあるものの、Face IDに第2の顔を登録できることは実に理に適っている。カップルが携帯電話を行き来させることは実用上よくあることだし、親が自分の携帯電話を子供に使わせてゲームをさせたりアプリを試したりすることもある。

そしてこれは次世代iPadにFace IDが採用される兆候かもしれない。タブレットはスマホ以上に複数ユーザーで共有する機会が多いのだから。

[原文へ]

(翻訳:Nob Takahashi / facebook

Yahooから30億のメールアカウントを盗んだハッカーが5年の懲役と全資産没収

11月に罪を認めたカナダ人ハッカーKarim Baratov(23歳)は、Yahooをハックして最大30億のアカウントを露出した罪の、少なくとも一部に関して有罪が確定し、刑期5年の懲役刑が下(くだ)された。司法省によるとBaratovは、ロシアの諜報機関FSBの二人のエージェントの指示により、それらのアカウントを漏洩した。

二人の職員、Dmitry DokuchaevとIgor Sushchinは、同じくYahooハックに関わったラトビア人のハッカーAlexsey Belanと共にロシアに居住する。その居住地からして、これら三名が関与に関して罪を問われることはないと思われるが、Baratovのカナダ国籍は、彼を訴追可能にした。

司法省によるBaratovの刑の宣告(要約)には、こう書かれている: “この共謀罪におけるBaratovの役割は、FSBで働いていた彼の共謀者にとって関心のある個人のWebメールのアカウントをハックし、それらのアカウントのパスワードを金と引き換えにDokuchaevに渡すことだった”。

カリフォルニア北部地区担当の連邦代理検事Alex G. Tseが、外国政府の不正行為に加担しようとする未来のハッカーに対して、厳しい警告を発している:

“今回の量刑は、人に雇われてハッキング行為をすることの重大な犯罪性を反映している。Baratovのようなハッカーは、彼を雇って金を払う人びとの犯罪目的を考慮することなく、自分の仕事に専心する。これらのハッカーは軽犯罪者ではなく、犯罪者が個人情報を不法に入手して悪用するために使用する、重要な道具である。Baratovに対する5年の懲役刑は、国民国家がスポンサーとなるサイバー攻撃に参加するハッカーに向けて、その重大な結果を知らしめるために法廷が送る、明確なメッセージである。”

Baratovは5年の実刑に加えて、彼の保有資産225万ドルの全額を罰金として支払わなければならない。彼は陳述の中で、2010年から逮捕の2017年までに11000件のメールアカウントをハックしたことを認めた。

Baratovの罪にはほかに、加重的個人情報窃盗と、コンピューター詐欺と悪用法に違反する共謀罪が含まれている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Appleが透明性レポートに政府からのApp Storeアプリ取り下げ要求を含める

Appleが、同社の透明性レポートの改良を目指している。その年に二度出るドキュメントの最新バージョンを発表した同じ日に同社は、今後のアップデートではApp Storeに対する政府の取り下げ要求を含める、と言明した。その最初のレポートは7月1日から12月31日までのもので、2019年にリリースされる。

その情報により、世界におけるAppleの活動と政府の要請に関する詳しい実情が分かるだろう。今後のレポートでは、どこの国の政府がそんな要求をしたのかが分かるし、またAppleがそれに応じたか否かも分かる。

具体的なアプリケーション名も明かす、とは言っていないが、もしそれが分かれば、取り下げ要求の動機を推察することもできる。最新のドキュメントのGovernment and Private Party Requestsの部分には簡潔に、“何かの法令や政策に違反しているという主張に基づいて行われた政府のAppStoreからのアプリの取り下げ要求を報告する”、と書かれているだけだ。

今このレポートは数字だけを挙げているが、レポート作成時点までの1年間で、国家安全保障に関わる政府からの要求が16000件あまりあり、前年度に比べて20%増加している。ロイターの記事によると、AppleだけでなくFacebookやGoogleも要求の大きな増加を見ている。

各国の政府がテクノロジーへの関心を深めるとともに、この数字はさらに大きくなっていくだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

FBI、暗号化でアクセス不能な端末数を水増し報告

暗号化された携帯電話に関するFBIの嘘がまた発覚した。昨年12月、FBIのChristopher Wray長官は、アクセス不能の携帯電話が2017年だけでほぼ7800台あったと推定した。実際の数字はその1/4以下だった可能性が高いことをThe Washington Postが伝えた。

情報筋が示した内部記録によると、暗号化された端末の実数は1200から最大でも2000台で、FBIは同紙に「初期評価の結果プログラムのエラーによる著しい数え間違いがあることがわかった」と声明で語った。端末数を追跡するデータベースが3つあり、複数回カウントされたものと思われる。

あまりに初歩的なミスであり、どうすればそんなことが起きるか考えにくい。これは裁判記録でもメモでも取るに足りない証拠品でもなく、シリアルアンバーと名前がつけられた物理的デバイスだ。議会証言のために台数を伝える際、誰一人重複チェックをしなかったという事実が、陰謀あるいは重大な無能さをものがたっている。

後者でる可能性が高い。監察官室のレポートによると、FBIはロックされたiPhoneをアクセスするために自身で努力する代りにAppleを訴え、根拠(テロ攻撃に関わるロックされたiPhone)がなくなると急いで取り下げた。自らの能力を軽視あるいは無視することで、暗号化の普及はバックドアがないと法律執行にとって危険という物語を追求しようとしたのだろう。

FBIでは、実際に何台の端末がアクセス不能であるか、できればなぜこんなことが起きたかを突き止めるために監査が行われている。

FBIの目的が、完全に暗号化された端末を当局がアクセスできない、という問題を強調することにあるのは明らかだ。そこまで公共の場で話している。これは当局にとって深刻な問題だが、FBIは作られた物語を広めるためには、喜んでずさんにも欺瞞的にもなる、ということも明白だ。

[原文へ]

(翻訳:Nob Takahashi / facebook

OktaのPassProtectはあなたのパスワードがどこにもリークしてないか調べてくれる

セキュリティ企業のOktaが今日、Chromeブラウザー用の無料のエクステンションをローンチした。そのエクステンションPassProtectをインストールすると、ユーザーがタイプするパスワードを、被害に遭ったパスワードのデータベース、Troy HuntのHave I Been Pwnedで調べる。

このエクステンションは、本誌TechCrunchの読者のようなテクノロジーに詳しい人向けではないかもしれない。でも、コンピューターのことを何も知らないお隣(となり)さんには、有益だろう。彼らのGmailのパスワードは、すでに盗まれているかもしれない。

Have I Been Pwnedは、これまでリークしたパスワードを集めている大きなデータベースだ。過去には大規模なセキュリティ破り事件が、Dropboxでもあったし、LinkedInやTumblr、Adobeのサービスでもあった。だから過去にあなたのパスワードも、やられているかもしれない。

だからみんな、パスワードマネージャーを使うべきだし、個々のオンラインサービスごとに違うパスワードを使い、そしてできるかぎり二要素認証を利用すべきだ。今多くの企業がOktaに依頼して、会社のイントラネットの認証を安全にしようとしているのも、そのためだ。

でも、大多数のユーザーは何もしていない。

だから今度親戚の家を訪ねたときは、このエクステンションをインストールして、パスワードのセキュリティチェックができるようにしてあげよう。このエクステンションはk-Anonimityというものを利用して、ユーザーのパスワードを安全にHuntのデータベースで調べる。ユーザーのパスワードがOktaやHave I Been Pwnedに共有されることはない。このエクステンションはしかも、オープンソースだ

〔訳注: 本誌TechCrunch Japanは、この記事で紹介されているエクステンションの絶対安全性を保証できません。試用は、自己責任でお願いいたします。〕

関連記事

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebookの二要素認証がユーザーの電話番号(SMS)を使わないようにできる

Facebookの二要素認証をより安全にするためのオプションが、もうすぐさらに増える。

すなわちFacebookは確認プロセスを単純化して、電話番号の入力を不要にする。同社は今日(米国時間5/24)、Duo SecurityやGoogle Authenticatorのようなサードパーティの認証アプリケーションのサポートを発表し、同時にそのセットアップ過程を簡素化して、それらを容易に使い始められるようにした。

二要素認証(Two-factor authentication, 2FA)は今や広くサポートされているセキュリティ方式で、防御ラインを二重化することによって、通常のログイン認証情報が盗まれても安心できる。第二の防御ラインとしてはSMSからの番号入力がよく使われているが、SIMをハックして別の電話に情報を転送することもありえる。そのハッキング行為はソーシャルエンジニアリング的な手口を使うから、認証用のハードウェアデバイスや、サードパーティのアプリケーションの方がまだ安全だ。

3月には、FacebookのCSO Alex Stamosが、Facebookは二要素認証用の電話番号をスパム行為に利用している、というユーザーのクレームに対して謝罪し、注目を浴びた。同社は、二度といたしませんと言い張ったが、そもそもそれは、ログインに電話番号を利用しなければ起きなかったことだ。

今度の新しいセキュリティ機能は、Facebookの設定ページの“Security and Login”(セキュリティとログイン)のタブで有効にできる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ティーン監視アプリのTeenSafe、パスワード1万人分が漏洩

英国の研究者、Robert Wigginsが発見したところによると、TeenSafeのサーバー2台が侵入され、同社の監視サービスを利用している一部ユーザーのパスワードと個人情報が漏洩した。

TeenSafeは、10代の子を持つ親に、子供のテキストメッセージや通話、ウェブ履歴、位置情報、アプリのダウンロードなどを監視できるようにして、子供たちを守るためのサービスだ。データ漏洩を最初に報じたのはZDNetだった。

記事によると、TeenSafeは、同社がAWS上で保有するサーバーのうち2台を、誰でもアクセスできる状態に放置していた。しかも漏洩したデータベースには、親のメールアドレス、子供のApple IDメールアドレス、デバイス名、デバイス固有ID、および子供のApple IDの平文パスワードが保管されていた。

つまり…ほぼすべてだ。

TeenSafeでは、親が行動を監視できるように、ティーンエージャーが2要素認証を利用しないよう要求しているため、こうして個人情報が暴露された今、悪意のある侵入者に対していっそう脆弱だ。

TeenSafeは自社ウェブ上で、データは暗号化されているため不正侵入された際にもアクセス不能であると主張している。

ZDNetによると、サーバーには過去3カ月以内の顧客レコード1万200件以上が保存されていた。一部のレコードは複製であり、サーバーの一つにはテストデータが保存されていたらしいとも記事は伝えている。

まだ見つかっていない脆弱なサーバーがほかにあるのかどうかも明らかになっていない。

TeenSafeによると、100万組以上の親が同社のプラットフォームを利用している。

「当社サーバーの一つを公開中止とし、影響を受ける可能性のある顧客に対して警告を開始した」と日曜日(米国時間5/20)にTeenSafe広報担当者がZDNetに伝えた。

本誌はTeenSafeと直接接触していおり、情報が入り次第続報の予定。

[原文へ]

(翻訳:Nob Takahashi / facebook

Amazon傘下のRing、ドアホンのパスワード変更後もビデオがアクセス可能だった

ホームセキュリティー分野での存在感を高めようとしているAmazonにとって、ちょっとした汚点になりそうな案件だ。The Informationによると、Ringのカメラ付ドアホンに、今年1月までパスワードを変更したあともビデオをアクセスされる抜け道があったことがわかった。

Ringは今年Amazonに10億ドルで買収された会社で、1月にこの問題を修正したことを認めた。アップデートが発行されたのは、マイアミ在住の利用者から、パスワードを変更した後にも別れたパートナーがビデオフィードを見ているという報告があってからのことだった。ただしアップデートは直ちに配信されなかったことをCEO Jamie Siminoffが認めており、すぐに全ユーザーに配信するとアプリの速度低下を招くためだったと言っている。

Ringは最近Amazonが買収した中でも中心的存在であり、顧客の家庭に直接入り込み、ホームセキュリティーの新サービス展開の基盤となることを期待されている。外部に向けられているドアホンカメラは、家庭内に置かれる製品と比べると侵入性は低いが、今回の問題はクラウド接続デバイスを家庭に導入することを考えている多くのユーザーに二の足を踏ませることになるだろう。

[原文へ]

(翻訳:Nob Takahashi / facebook

ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。

KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。ユーザーがLinkedInを訪ねようとしたら、一字違いの“LunkedIn.com”のページを送ってログインさせ、パスワードと認証コードを捉える。そしてそれらを使って本物のサイトにアクセスしたハッカーは、セッションクッキーを入手する。そのあとハッカーは、いつまでもログインできる。これは要するに、一回かぎりの2FAコードを使って偽のログインをし、データを盗むのだ。〔*: Mitnickの著書。〕

“Kevinの友だちのホワイトハットハッカー(white hat hacker, 犯罪行為をしない研究者的ハッカー)が、ソーシャルエンジニアリングの巧妙なやり方で二要素認証をバイパスするツールを開発し、それを使うとどんなサイトでも破れる”、とKnowBe4のCEO Stu Sjouwermanは語る。“二要素認証はセキュリティの層を一つ増やすが、でもそれだけで企業を守ることはできない”。

ホワイトハットハッカーのKuba Gretzkyが作ったそのevilginxと呼ばれるシステムは、彼のサイトに詳しい技術的説明がある。

Sjouwermanによると、セキュリティ教育の中でもとくに重要なのがフィッシング対策であり、被害者がセキュリティについてよく知り、メール中のリンクをクリックすると危険!と知っていたら、このようなハックは成功しない。そのことをぼくに教えるために彼は、本誌ライターのMatt Burns(matt@techcrunch.com)が、記事中の誤字について述べているメール(偽メール)を送ってきた。そのメールにあるリンクをクリックしたらリダイレクトサイトSendGridへ連れて行かれ、そこからTechCrunchに放り込まれた。しかしそのペイロードは、きわめて悪質だった。


そしてSjouwermanは曰く、“これで分かったと思うが、今や新しいセキュリティ意識が必要であり、とくにフィッシングをシミュレーションで体験することが重要だ。なぜなら、防衛ラインの最後尾を固めているのはソフトでもハードでもなく、人間だからだ”。

彼の予想では、この偽メールを使ったテクニックが数週間後に流行(はや)って、ユーザーとIT管理者はセキュリティのためのプロトコルを強化せざるをえなくなるだろう、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

MacでSignalを使っているユーザーは通知を無効にしてメッセージのセキュリティの確保を

安全なメッセージングのためにSignalを使っている方は、ご用心を。このアプリケーションは最良の暗号化メッセージングツールと見なされているが、しかしSignalを使っているMacのユーザーは、そのプライバシーが知らない間に危険にさらされるかもしれない。

Motherboardの記事によると、セキュリティ研究家のAlec Muffettが、Macに送られたSignalのメッセージが、アプリケーションの設定でそれらの削除を指定していても、通知センターに残存することを発見した。

これは、プライベートなメッセージがオペレーティングシステムの中に残る、ということだが、そのほかの研究者たちも今この問題を調べている。

MacでSignalを使っている方には深刻な問題だが、しかしハッカーがこの欠陥を悪用するためには、まずMacを乗っ取らなければならない。そしてその時点でたぶん、ゲームオーバーになるだろう。

設定をoffにするには…そうすることをお勧めするが…SignalアプリケーションのSettingsメニュー(上図)で“Neither name nor message”または“Disable notifications”をセレクトし、プライベートメッセージがSignalの外で迷子にならないようにする。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Twitterに暗号化DM機能が隠されていた

TwitterのAndroidアプリの奥深くに、ユーザー同士で暗号化されたダイレクトメッセージをやりとりできる “Secret conversation” というオプションが見つかった。この機能があれば、Signal、Telegram、WhatsAppなどの暗号化メッセージアプリに頼ることの多かった機密性の高い会話をTwitterで行える。

暗号化DMオプションは、Twitter for Androidアプリケーションパッケージ(APK)の中にあるのをJane Manchun Wongが最初に見つけた。APKにはTwitterが密かにテストしている機能や近く公開される予定でまだ一般に提供されていない機能のコードが含まれていることがよくある。Twitter広報はこの件についてコメントを拒んだ。Twitterがいつこの機能を正式公開するのかわからないが、少なくとも開発されていることはわかった。

暗号化DM登場の18カ月前、内部告発者のEdward SnowdenはTwitter CEO Jack Dorseyにこの機能を要求し、当時Dorseyは「あってしかるべき機能なので検討する」と答えた。

Twitterは同機能を「検討」からプロトタイプへと昇格させた。上のスクリーンショットには、暗号化メッセージの詳細、秘密の会話の開始、本人および会話相手の暗号化キーを表示して安全な接続を検証する、などのオプションが見える。

TwitterのDMは、電話番号もメールアドレスも使わずに、知らない相手と連絡をとる便利な手段となっている。記者に特ダネを送ることから、問題の警告、ビジネスの検討、あるいはナンパまで、Twitterはオープンなメッセージングメディアとして有力な地位を築いてきた。しかし、暗号化されていないとメッセージは政府やハッカーやTwitter自身に覗かれる恐れがある。

Twitterは長らくそのサービスを、政治活動や暴動までも支援する場であると位置づけてきた。しかし、政治的不一致や暴露、漏洩などの影響を恐れる人たちは、強力なエンドツーエンド暗号化が可能なSignalなどのアプリを使うのが常だった。暗号化DMの提供によって、世の中を変えようとする「チェンジメーカー」たちを呼び戻し、今もTwitterにいる人々を守ることができるかもしれない。

[原文へ]

(翻訳:Nob Takahashi / facebook