タグ: Security

テネシー州の郡選挙サイト、DDos攻撃で投票日にダウン

先週、地方選挙の最中にDDoS(分散型サービス妨害)攻撃を受けてサーバーがダウンしたことを受け、テネシー州ノックス郡は外部セキュリティー調査会社と協力して原因を調査している。攻撃の結果郡長予備選挙結果を表示するノックス郡選挙委員会のウェブサイトは投票日の最中に停止した。郡はダウン中印刷された投票結果を配布した。

「本日夜、われわれのウェブサイトはDDos攻撃を許した」と5月1日夜ノックス郡がTwitterに書いた。「当郡の投票システムはインターネットと一切接続されていないため、選挙結果に影響はない」。

事件の翌日、ノックス郡長Tim Burchettは有権者に対して、今回の攻撃が投票に影響を与えていないことを改めて強調した。インターネット接続が可能な投票システムは、接続不能のシステムと比べてはるかにセキュリティーのリスクが高い。

「攻撃によって投票結果や選挙の完全性が影響を受けたことはないが、これは起きてはならないことだ」とBurchettが声明で述べた。「私は何が起きたのかを知りたい。将来同じような問題が起きないよう対策するために、第三者機関の協力を得るべきだと考えた」。

Burchettは、郡の選挙システムの危機管理が「未熟」であったことを指摘する外部の批判に対して、投票システムは「インターネットに接続されたことはなく、リスクはない」ことを再度強調した。

ノックス郡のIT部門長、Dick Moranは報告書の中で、「極めて大量で異常なネットワークトラフィック」はDDos攻撃と符合するものであり、関係しているIPアドレスは国内外両方のものであることを指摘した。Moranは、サーバーをオフラインに追い込むDDos攻撃と、システムやサーバーに侵入することを目的とするハッキングを明確に区別した。

ノックスビル拠点のセキュリティー会社、Sword & Shield Enterprise Securityは、今回の攻撃を分析し、サーバーがオフラインになった「正確な状況を突き止める」ために郡と契約を交わしている。

攻撃を受けた郡サイトは、選挙結果を一般向けに公開していただけで、投票を受けつけたり集計したりすることはない。しかしDDoS攻撃は混乱を引き起こすための陽動作戦として用いられることもある。TechCrunchは攻撃の詳細について、Sword & Shieldに問い合わせている。

国の選挙システムのセキュリティー強化を目的とする最近の取組みの一環として、国との連携が強化されていることから、TechCrunchは国土安全保障省にも連絡を取り、ノックス郡への支援について質問している。

[原文へ]

(翻訳:Nob Takahashi / facebook

GoogleのAdvanced Protection ProgramでAppleのiOSアプリが利用可能に

昨年10月、Googleは高度なセキュリティー保護サービス、Advanced Protection Programを提供開始した。Gmail、Google Calendar、Google Drive等のサービスに保存したデータを最高水準で保護することを保証するしくみだ。このプログラムを利用するユーザーは、2段階認証のためにセキュリティーキーを利用しなければならないことに加え、Googleデータをアクセスするためには、Google自身のウェブまたはモバイルアプリを使う必要があった。


このたびGoogleはこの最後の制約を少々緩和して、Appleのメール、カレンダー、及び連絡先のiOSネイティブアプリからも利用できるようにした。Advanced Protection Programを利用しているユーザーは、これらのアプリにもアクセスを許可できるようになった。

「われわれのゴールは、オンライン攻撃を受けるリスクのあるユーザーが誰でもAdvanced Protection Programに参加できるようにすること」とGoogleでこのサービスのプロダクトマネージャーを務めるDario Saliceが言う。「本日われわれは、iOSユーザーのプログラム参加を容易にした。今後も世界中のユーザーにとって使いやすいプログラムになるよう努力を続ける」

プログラムの目的は従来通り、高度な攻撃の被害者になりやすいジャーナリスト、活動家、政治家、ビジネスリーダー等の人々を守ることにある。Appleの純正アプリに対応することで、同サービスがいっそう多くの人たちにとって魅力的になるだろう。要するに、なぜか誰もがGoogle製モバイルアプリを気に入っているわけではない、ということだ。

原文へ
 
(翻訳:Nob Takahashi / facebook

今すぐTwitterのパスワードを変えよう

またその時がやってきたーーパスワード変更の時だ。木曜日(米国時間5/3)Twitterは、バグのためにユーザーパスワードが隠蔽されていない形式で保存されていたことを公表した。通常、パスワードのような機密データは様々な文字と数字を使ったハッシュ形式で保存され、パスワード文字列そのものは保護されている。今回Twitterは、内部ログにパスワードをハッシュなしの平文形式で保存していたものと思われる。

Twitterは、これまでのところシステム内のパスワード情報が漏洩したり、ハッカーによってアクセスされた形跡はないとしているが、未知のリスクはあり得る。同社はユーザーに対して予防措置としてパスワードの変更を推奨している。

Twitterの説明は以下の通り

われわれは、bcryptという関数を使ったハッシングと呼ばれる処理によってパスワードを隠蔽している。実際のパスワードは無意味な数字と文字の列に変換されてTwitterシステムに保存されている。この方法によって、システムはパスワードを表に出すことなく個人認証を行うことができる。これは業界標準のやり方である。

このほどバグのためにハッシング処理の完了前にパスワードが内部ログに書き込まれた。われわれはこのエラーを自ら発見し、パスワードを削除するとともに、このようなバグが再発しないよう対策を検討している。

本誌はTwitterに連絡をとり、バグの詳しい情報および、発生理由の詳細を求めている。

アップデート:Twitterは本事象の技術的詳細の提供を拒んだが、パスワードが発見される可能性は極めて低く、内部調査の結果侵入あるいは不正利用を示す兆候がないことを強調した。

これだけの規模の企業が、このように基本的なセキュリティーの失敗を犯すことは珍しいが、これはユーザーがパスワード管理を見直す新たな理由でもある。たとえ使用しているプラットフォームに間違いがあったときでも、自分のアカウントを安全に保つために、今こそ二要素認証LastPass1Password などのパスワード・マネージャーを導入するときだ。

原文へ
 
(翻訳:Nob Takahashi / facebook

中国政府、WeChatの削除済みメッセージを収集していることを認める

中国政府当局は先週末、ほぼ全国的に使用されているチャットアプリのWeChat の削除済みメッセージを取得するしくみを持っていることを明らかにした。多くの人にとって驚きではなかったが、このような議論を呼ぶデータ収集手法を公式に認めることはかなり珍しい。

South China Morning Postの記事によると、安徽省の汚職防止委員会は土曜日(米国時間4/28)、当局は「あるテーマに関わる一連の削除されたWeChat会話を回収した」とソーシャルメディアに投稿した。

投稿は翌日削除されたが、それまでに多くの人が読み、起こりうる影響を理解した。(私を含め)10億人近い人々が利用するWeChatを運営するTencentは声明で「WeChatはチャット履歴を保存していない —— ユーザーの携帯電話やコンピューターにのみ保存される」と説明した。

この保存に関する技術的詳細については明らかにされていないが、関心を持つ当局が何らかに方法でアクセス可能であることは、委員会の投稿から明らかだ。アプリはもちろん、特定の話題の検閲を含む政府の要件に対応している。

まだ多くの疑問があり、その答はユーザーの脆弱性を説明するのに役立つだろう。メッセージーは安全に暗号化されているのか? 削除メッセージの復活にユーザーのIDとパスワードは必要ないのか? それとも「マスターキー」やバックドアで突破できるのか。ユーザーはWeChatでメッセージを永久的・完全に削除することが可能なのか?

中国政府が中国企業の保有、操作するデータをアクセスすることに対する恐怖は、対象となる企業に対する世界的な反発を呼んでおり、一部の国々(米国を含む)では、中国製のデバイスやサービスの機密情報や公式での利用を禁止している。

[原文へ]

(翻訳:Nob Takahashi / facebook

サイトに潜むトラッカーが、「Facebookでログイン」のデータを狙っている

Facebook がTechCrunchに伝えたところによると、現在同社は、「Facebookでログイン」機能を利用しているウェブサイトに埋め込まれたサードパーティー製Javascriptトラッカーが、Facebookのユーザーデータを取得できることを指摘したセキュリティー調査報告書を精査している。このバグを悪用すると、ユーザーが登録していれば、名前、メールアドレス、年齢層、性別、地域、プロフィール写真などを収集できてしまう。トラッカーがこのデータを何に使っているのかは不明だが、こうしたトラッカーを売っているTealium、AudienceStream、Lytics、ProPSといった会社は、集めたユーザーデータを使った収益化サービスをサイト管理者向けに販売している。

ウェブサイト上位100万件のうち悪意のあるスクリプトが見つかったサイトが434件あった、フリーランサーサイトのFiverr.com、カメラ販売のB&P Photo And Video、およびクライドデータベース・プロバイダーのMongoDBらの名前もあった。Steven EnglehardtがPrinstonのCenter For Information Technology PolicyがホストしているFreedom To Tinkerのチームと協力して調べた。

一方、コンサート発見サイトのBandsInTownは、同社のAmplifiedという広告アプリをインストールしているサイトの埋め込みスクリプトに、「Facebookでログイン」のユーザーデータを送り込んでいたことがわかった。サイトにロードされたBandsInTownの透明iFrameがユーザーデータを取り出し、埋め込みスクリプトがアクセスできるようにする。その結果BandsInTownを使っている悪質サイトは訪問者の個人情報を知ることができる。BandIn Townのこの脆弱性はすでに修正されている。

TechCrunchは、今もFacebookから「調査して後に連絡する」という以上の正式声明を待っている。今日(米国時間4/18)の午前にこの問題をMongoDBに伝えたところ、同社は調査した結果として次の声明を送ってきた。「サードパーティー製ツールがトラッキングスクリプトを利用してFacebookのユーザーデータの一部を収集していたことを、当社は認識していなかった。われわれはスクリプトの出所を突き止め、すでに停止した」

BandsInTownは私に、「BandsInTownは許可されていないデータをサードパーティーに提供することはない。当社の広告フラットフォームで動作していたスクリプトに脆弱性がある可能性を示す調査会社からのメールを見て、直ちに適切な作業をおこない、問題は全面的に解決している」。Fiverrからは本稿執筆時点で回答がない。

一連のデータセキュリティー欠陥の発覚は、Facebookが痛手を受けている時期に重なった。 Cambridge Analyticaスキャンダルから立ち直ろうとしている CEO Mark Zuckerbergは、つい最近議会で証言し、Facebookは、欧州のGDPR法に準拠するべくプライバシーの仕様を変更した。しかしFacebookが最近実施したユーザーデータを保護するためのAPI変更は、上記の脆弱性を防止できなかった。そして現在は、Facebookユーザーがサイトにいる間だけでなく、インターネットのどこにいても追跡される方法があるという、ほとんど知られていなかった事実に注目が集まりつつある。

「ユーザーがウェブサイトに自分のソーシャルメディアのプロファイルを渡すと、その人はそのウェブサイトを信用しただけでなく、サイトに埋め込まれているサードパーティーも信用したことになる」とEnglehardtは書いている。下の表は、トラッカーがユーザーから何を引き出しているかを示している。最近Freedom To Tinkerは、OnAudienceに対して別のセキュリティー問題について警告し、その結果同サービスはユーザー情報の収集を中止した。

FacebookがAPIを十分に監視していれば、こうしたトラッカーを見つけ出し悪用を未然に防いでいたかもしれない。現在同社はAPI監査を強化して、Cambridge Analyticaにユーザーデータを渡した手口を真似るデベロッパーを探し出そうとしている。さらにFacebookは、デベロッパーがアプリ固有のユーザーIDを使ってその人物のFacebookユーザーIDを突き止めることを阻止するために、システムを変更することができるはずだ。

この種の暴露はユーザーの大規模な反発につながることが多い。ここ数年、世間はウェブ周辺で自分のデータが無許可で利用されている状況に甘んじてきた。矢面に立たされているのはFacebookだが、Googleのような他のIT巨人たちも、ユーザーデータに依存し、容易には監視できないデベロッパープラットフォームを運用してる。そして、なんとか広告で稼いで生き残ろうとするニュース発信者たちは、怪しげな広告ネットワークやトラッカーに走りがちだ。

Zuckerbergが標的になりやすいのは、Facebookのファウンダーである彼が今もCEOを務めているからだ。評論家や規制当局は、Facebookの失敗をZuckerbergの責任にできる。しかし、ユーザーデータの扱いが大雑把な企業はどこも覚悟しておいたほうがいい。

[原文へ]

(翻訳:Nob Takahashi / facebook

フランス政府のすべての省庁がTelegramやWhatsAppなどの利用を禁じられ国営メッセージングアプリの使用を義務付け

フランス政府によると、一般的に人気のある暗号化メッセージングアプリTelegramやWhatsAppなどが政府職員間でも使われているが、それらには外国からの盗聴等のリスクがありうるため、今年の夏以降、フランス政府が独自に開発した暗号化メッセージングサービスに全員が移行する。

Reutersの記事によると、大臣たちには、外国製でしかもサーバーがフランス国内にない暗号化アプリが使われることに対して懸念がある。デジタル省のスポークスウーマンは、こう語る: “アメリカやロシアなど外国によって暗号化されるのではない暗号化メッセージングサービスを見つける必要がある。Facebookの例にも見られるように、侵害の危険性はつねにあるのだから、われわれ自身が主体的に選択や開発をする必要がある”。

TelegramのファウンダーPavel Durovはロシア人だが、今は外国に亡命している。そして彼のメッセージングアプリは、暗号鍵をロシア当局に渡さなかったために、彼の母国ではブロックされている

WhatsAppはTelegramと違って、そのプラットホームの全域にわたってエンドツーエンドで暗号化されている。しかも、尊敬されているオープンソースのSignal Protocolを使っているが、しかしWhatsApp自身はアメリカのテクノロジー大手Facebookがオーナーであり、開発もアメリカで行われている(Signalも開発はアメリカ)。

その親会社Facebookは現在、大々的なデータ誤用事件の渦中にあり、その事件では何千万ものFacebookユーザーの情報が、ユーザーがそれを知ることも同意することもないまま、問題の多い政治コンサルタントに渡された。

デジタル省のスポークスウーマンによると、フランス政府内の約20名の閣僚と一般公務員が、その新しいメッセージングアプリを試しており、夏までには政府内の全員の使用が義務化される。

最終的には全国民が利用できるようになる、と彼女は付け加えた。

Reutersによると、スポークスウーマンはさらに、国が雇ったデベロッパーがそのアプリを、ネットからダウンロードして無料で使えるコードを使用して設計した、と述べた(すなわちオープンソースのソフトウェアを使ったようだ)。しかし彼女は、使用されたコードやそのメッセージングサービスの名前を挙げることを拒(こば)んだ。

先週の終わりごろZDNetが、フランス政府はTelegramのようなアプリの使用を別のもので置き換えたがっている、と報じた。しかしTelegramは、大統領のEmmanuel Macronも大ファンらしい。

その記事は、フランスのデジタル大臣Mounir Mahjoubiの発言を引用している: “今、安全な公共的メッセージングを開発している。それは私権のある提供物に依存しないものになる”。

報道によるとフランス政府はすでに、国防関連とIT関連のサプライヤーThalesが作った安全なメッセージングプロダクトを一部で使用している。ThalesのWebサイトには、スマートフォンのインスタントメッセージングアプリCitadelが載っていて、“プロフェッショナルたちが信頼しているメッセージング”であり、“多くの消費者向けメッセージングアプリのものと同じと分かる機能”を提供するとともに、“スマートフォンやコンピューター上の安全なメッセージングサービスと、エンドツーエンドの暗号化された音声通話やファイル共有など多くの関連機能がある”、と説明している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Windows 10がYubicoのSecurity Keyでパスワード不要のログインをサポート

先週、パソコンなどのUSBポートに接続する人気の高い認証用ドングルYubiKeyを作っているYubicoが、同社の20ドルのSecurity Keyが、認証技術の新しいスタンダードFIDO2/WebAuthnをサポートする、と発表した。発表の中で同社は、FIDO2はパスワードの終焉の先駆けになるかもしれないと述べ、さらに、MicrosoftもWindows 10とAzure Active DirectoryのユーザーにYubico Security Keyをサポートすることによって、このスタンダードを強く推していく、とも述べた。

この新しい機能はプレビューの段階で、Windows Technology Adoption Programのユーザーだけが利用できる。しかしWindows 10の次のアップデートでは、FIDO2によるパスワード不要のログインが幅広くサポートされるだろう。それがいつになるかは不明だけど、でもそうなったら、Azure Active Directoryに管理されるデバイスにパスワードを入力せずにサインインできる。

YubicoのCEOでファウンダーのStina Ehrensvärdは、今日の発表でこう述べている: “YubicoのSecurity Keyを使用するMicrosoftのFIDO2の実装はまさに、パスワード不要の世界の始まりを告げるものである。しかしこの技術の展開は今後、至るところで見られるようになるだろう。パスワードは個人と企業の両方にとって長年の痛点であり、そして今ではついに、この問題を大きな規模で解決できる統一的なオープンスタンダードをわれわれは開発した”。

今のところ、対象は主にエンタープライズのユーザーだ。しかしMicrosoftはすでにWindows Helloで、Windows 10に顔認識や虹彩スキャン、指紋認識などによる、Windowsマシンへのパスワード不要ログインを提供している。

今日の発表に先駆けてYubicoは、同社のデベロッパープログラムも発表した。それは、同社のキーがサポートするFIDO2やU2Fのようなプロトコルのサポートを実装したいと考えている企業向けのサービスだ。

参考記事

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Microsoftが新しいIoTサービスのために独自のLinuxカーネルを作った

今日(米国時間4/16)サンフランシスコで行われた小規模なプレスイベントでMicrosoft は、マイコンを使用するデバイスを対象とする、安全なエンドツーエンドIoTプロダクトのローンチを発表した。それらは、小型で消費電力の少ないマイコン(micro control unit, MCU)を使って最小限のコントロールやネットへの接続を行うデバイスだ。そのようなデバイスは、玩具や家庭用品、産業向けアプリケーションなど、さまざまなところで使われているが、頻繁なアップデートは行われず、セキュリティに不安のあるものが多い。

今回のAzure Sphereと呼ばれるプロダクトは、機能性能等が一定の基準を満たす一連の証明済みのMCUsを対象とする。そしてMicrosoftの法務部門のトップBrad Smithが今日の発表で強調しているのは、チップに対するAzure Sphereの認定ライセンスを無料にして、そのエコシステムの立ち上げに勢いをつける、という点だ。

アップデートや遠隔測定が困難なデバイスはセキュリティも困難だから、まずそれがインターネット接続機能を内蔵していることが重要だ。そしてその接続機能により、Azure Sphereのクラウド上のセキュリティサービスにもアクセスする。

ということは、それらのデバイスではWindowsが動くのだろうか? いや、違う。Microsoftはこのプロダクトで初めて、独自のLinuxカーネルとディストリビューションを立ち上げる。そのAzure Sphere OSと呼ばれるオペレーティングシステムは、今日のMCUsの多くが使っているリアルタイムオペレーティングシステムの、Microsoft独自のアップデートだ。

Windowsのエンタープライズとセキュリティのためのパートナー担当部長Rob Leffertsは、今日の記者発表でこう述べた: “Azure SphereでMicrosoftはまったく新しい種類のIoTデバイス、すなわちMCUに対応する。Windows IoTはMCUの少なくとも100倍のパワーのあるマイクロプロセッサーユニット(microprocessor units, MPUs)〔通常のCPU〕の上で動くが、Azure Sphere IoT OSに使われているMicrosoftがセキュリティを強化したLinuxカーネルでは、OSSのライセンスのもとにチップレベルのパートナーたちが迅速に新しいイノベーションを実現できる”。

そしてそれらのパートナーたちも、オープンソースのリリースを自分たちの製品に組み込めるので、とても気が楽である。

このプロジェクトで最初にスタートを切るのが。MediaTekの一連のMCU新製品群だ。これらは、低電力消費シングルコアのARM-A7システムで、スピードは500MHz、Wi-Fi接続機能と、そのほかいくつかのI/Oオプションを備える。

オープンなエコシステム、という点では、Smithによると、それらのデバイスはAWSやAlibaba Cloudなど、そのほかのどんなクラウドの上で動くサービスからも使用できる。

実はAmazonのAWSも昨年のre:Inventデベロッパーカンファレンスで類似のプロジェクトを発表している。デバイスが特定のクラウドに縛られず、しかしクラウドサービスと組み合わさってこそ真価を発揮するのだから、これら大手のクラウドプロバイダーたちがMCUsに関心を寄せるのも当然だ。たとえば新しいデバイスの認証や、オペレーティングシステムのアップデート、それらデバイス上で動くソフトウェアの管理、などでAzure以外のクラウドが利用されることを、彼らは期待するだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Cloudflareが新しいサービスSpectrumでWeb以外のインターネットトラフィックも保護

2010年にローンチしたときのCloudflareは、Webサイトのスピードアップとハッカーからの保護がその仕事のすべてだった。そして今日(米国時間4/12)は、Spectrumと名付けたサービスのローンチにより、インターネットのWeb以外の部分も保護し、場合によってはスピードアップもできることになった。

Cloudflareの通常のサービスは、WebアプリケーションやAPIs、Webサイトなどが相手だが、これらはいずれもWebの通常のプロトコルを用いる。しかしSpectrumは、インターネットの上を往来するそのほかのトラフィックを扱う。同社の言い方では、SpectrumはCloudflareを65533のポートに拡張する、となる。

Cloudflareの既存のサービスはほとんどがセルフサービス製品だが、Spectrumは違う。しかもパフォーマンスのアップはあったとしても偶然的で、セキュリティがメインだ。そして主に確実なセキュリティを求める大企業が対象であり、同社のさまざまなサービスを安全な接続の上で提供するためのプロダクトだ。

Cloudflareの協同ファウンダーでCEOのMatthew Princeによると、同社がWebサイトの保護からスタートしたのは、当初、小さな企業が主な顧客だったからだ。そのころの彼らは、自分たちのWebサイトを立ち上げることにもっぱら関心があった。しかしその後同社の顧客ベースが大きくなるにつれて、小さなWebサイトだけでなく、高度なWebアプリケーションやモバイルアプリがメインになってきた。今のCloudflareは、大手の金融機関など大企業も相手にしている。そして彼らは、Webサイトを保護するだけではないサービスを、求めるようになっている。

“Webで生まれた企業にとっては、われわれは大いに役に立つけど、大きな金融機関などではWeb以外の用途でネットワークを使うことが山ほどある”、とPrinceは述べる。

Spectrumを使ってこれらの企業は、社内のメールサーバーやブッキングエンジン、IoTデバイス、そしてときにはゲームサーバーさえも、Cloudflareのネットワークの背後に置いてDDoSなどのセキュリティリスクから護る。Princeの予想では、このサービスのアーリーアダプターで多いのはゲーム企業だろう、という。彼らは頻繁に、DDoS攻撃にやられているからだ。

“MiraiボットネットによるDDoS攻撃の最初の被害者で、頻繁に大規模な攻撃を受けている企業の中にHypixelもいる”、MinecraftサーバーのスペシャリストHypixelのCTO Bruce Blairはこう述べる。“Spectrumの前には、不安定なサービスやレイテンシーを増やすテクニックに依存せざるをえなかったし、それによってユーザー体験を劣化させていた。今では、レイテンシーを増やさずに継続的に保護できるから、オンラインゲームのようなレイテンシーとアップタイムに敏感なサービスにとってSpectrumは最良のオプションだ”。

Princeによると、これらのユーザー企業は、トラフィックの暗号化を求めるところも多く、それはレガシーのプロトコルでは直接サポートされていない機能だ。

ユーザーのトラフィックはCloudflareのネットワークを経由するから、スピードも速くなる。ただしそれは、いつでも必ずではないが、しかし逆に、パフォーマンスのペナルティが生ずることもない。トラフィックがSpectrumを通るため、コンテンツをエッジでキャッシュしてサイトのスピードを上げるという、Cloudflareの通常のマジックは効かない。しかしここでのセールスポイントは、スピードではなくセキュリティなのだ。

Spectrumは、会員登録すればすぐ使えるようになる。まだ料金体系は発表されていないが、Princeによると料金はこのサービスを経由するトラフィックの量によるだろう、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

SRLが多くのAndroid機のセキュリティパッチの怠慢を暴露、Googleはこれに反論

Androidがオープンソースであることに良い点はたくさんあっても、ソフトウェアのアップデートをハードウェアのメーカーがやらなければならないことは、明らかにその慢性的な欠陥だ。それは機能の最新アップデートを期待するユーザーにとってはフラストレーションになりうるし、重要なセキュリティアップデートが為されないと危険を招くこともある。

ドイツのセキュリティ企業Security Research Labs(SRL)の二人の研究者が最近Wired誌で共有した研究によると、すべての大手メーカーのAndroidハンドセット1200台について2年間、セキュリティパッチの実装状況を調べたところ、必要なパッチを当ててないハンドセットが多くのメーカーのさまざまな機種で見つかった。

たとえばSonyとSamsungは、一部のセキュリティパッチを怠っている。しかもその一部は、最新のアップデートを行っているとユーザーには報告している。そして研究者の一人は、“ユーザー自身がそれぞれのパッチの有無を知ることはほとんど不可能”、と言っている。

Xiaomi, Nokia, HTC, Motorola, そしてLGもパッチ怠慢のリストに載っているし、TCL とZTEはインストールしたと主張しているパッチの内、実際には平均して4つ以下のパッチしか実装しておらず、最悪の成績だ。

Googleは本誌TechCrunchに宛てた声明で、Androidのエコシステムの安全のためには多様な手段を講ずることが重要、と述べている。つまり、SRLの指摘がデバイスのセキュリティのすべてではない、というのだ。

その声明は曰く、“Androidのエコシステムのセキュリティを強化しようとする彼らの継続的な取り組みに関して、Karsten NohlとJakob Kellに感謝したい。われわれは彼らと協力して彼らの検出方法を改良し、Googleが提案している以外の方法で行われているセキュリティアップデートも検出できるようにした。セキュリティアップデートは、Androidのデバイスとユーザーを護るために使われている多くの層の一つである。プラットホームが内蔵している保護、たとえばGoogle Play Protectなども、同等に重要である。これら多くのセキュリティレイヤと、Androidエコシステムの膨大な多様性が相まって、研究者たちの結論が導かれている。それは、Androidデバイスをリモートで搾取することは依然として困難、という結論だ。

Googleは、2017年度のセキュリティレビューも見るよう、われわれに勧めている。Androidのセキュリティの状況が、もっとよく分かるだろう、というのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ドローン撃退銃DroneShieldがピョンチャンに次ぎ全米ストックカーレースNASCARで採用

NASCARレースの実況で、ドローンから撮ったすてきな画面を見たくても、そのクァッドコプターは不思議な力によって地上に釘付けになっているだろう。DroneShieldのそのドローン退治技術は、Texas Motor Speedwayで行われるNASCARのイベントで起用される。

同社が作っている数種類の製品はどれも、飛ぶべきではないところを飛んでいるドローンを見つけて安全に停止させる。もちろんこの問題は激化しており、しかも場所は空港や空軍基地だけではない。大きなスポーツイベントに現れた迷子のドローンが、落ちてゲームの邪魔をするかもしれない。人に当たるかもしれない。カーレースなどでは、重大事故の原因になるかもしれない。

同社の手持ち型ドローン捕獲銃“DroneGun”の最新バージョンはUAV(無人飛行体)のシグナルをスクランブルするから、ドローンはおとなしく駐機してるしかない。最初からそのようにプログラムしておけばよい。それは、個人が買うと違法だが、警察は買える。

最近DroneShieldの技術は、ブリスベーンで行われたイギリス連邦競技大会やピョンチャンのオリンピックで起用された。そして同社の発表によると、今度はテキサス州の当局により、ストックカーレースNASCARの警護に採用された。

ピョンチャン冬季オリンピックで起用されたDroneShield

“有名なイベントをアシストできて光栄だ”、とDroneShieldのCEO Oleg Vornikが発表のメールで言っている。“しかもこれは、弊社の三機種(DroneSentinel, DroneSentry, DroneGun)すべてを警察がひとつのイベントで実際に使う最初の機会になる”。

もちろんそれは、同社にとっても市場拡大のチャンスになるだろう。ドローン市場は今後もまだまだ右肩上がりだから、その機会をうまく捉えたスタートアップだと言えるね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Google Cloudがユーザーのネットワークを最適化できるための詳細分析情報を提供

Google Cloudが今日(米国時間4/5)ローンチする新しい機能でユーザーは、Google Cloud上のユーザーのサーバー群とGoogleのそのほかのサービスやオンプレミスのデプロイメント、そしてそのほかのありとあらゆるインターネットのエンドポイントとの間のデータフローをモニタし、最適化できる。名前が示すように、そのVPC Flow Logsと呼ばれる機能は、GoogleのVirtual Private Cloud機能(仮想プライベートクラウド, VPC)を使って自分たちのリソースを他のユーザーから隔離している企業が利用する。

VPC Flow Logsは、VPC内の仮想マシンが送受するすべてのネットワークフロー(UDPとTCPの両方)をモニタしログする。それには、Google Cloudの複数のリージョン間のトラフィックも含まれる。そのデータをGoogle Cloudに保存したければ、すべてのデータをStackdriver LoggingやBigQueryへエクスポートできる。後述のように、そのほかのリアルタイムアナリティクスやセキュリティプラットホームにエクスポートするには、Cloud Pub/Subを使える。データは5秒おきにアップデートされるが、このサービスの利用がユーザーがデプロイしているアプリケーションのパフォーマンスに影響を与えないことを、Googleは約束している。

今日の発表におけるGoogleの注記によると、これによりネットワークの運用者はGoogleのネットワークのパフォーマンスを詳細に知ることができ、ネットワークのトラブルシューティングも可能になる。またユーザーのグローバルなトラフィックに関するさまざまな情報が得られるので、ネットワークの使い方や費用を最適化できるようになる。

そのデータはすべて、不審者がユーザーのネットワークに入り込んでいたときなどの捜査にも役に立つ。ただしそのためには、データを、SplunkやArcSightのようなセキュリティ情報とイベント管理(security information and event management, SIEM)の専門企業へエクスポートした方がよいだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

見捨てられるPenryn世代: Intelは古いチップのSpectre対策を中止

チップの欠陥MeltdownとSpectreに対して、引き続き行われているパッチ努力の一環としてIntelは先月、2005年までさかのぼって開発コードYorkfield以降のプロセッサーにも修復を適用する、と示唆した。しかし最近のガイダンス文書によると、これらの古いプラットホームの多くは結局、修復を受けないことになった。

具体的には、Spectre Variant 2(変種2)のための対策は、チップの世代で言ってBloomfield, Clarksfield, Gulftown, Harpertown, Jasper Forest, Penryn, SoFIA 3GR, Wolfdale, Yorkfieldに対しては行われない。(IntelのコードネームのリストはWikipediaにある。)

変種2はブロックや回避がいちばん困難な欠陥なので、対策も難しい。マイクロコードのアップデートで何かをコピペして終わり、という仕事ではない。

そのガイダンス文書(PDF)には、修復対応をやめる理由が書かれている:

  • マイクロアーキテクチャの性格により、変種2を緩和する機能の実効的な実装ができない
  • システムソフトウェアの商用サポートが不十分
  • 顧客からの入力によると、これらの製品の多くが“クローズド・システム”として実装されているので、これらの脆弱性への露出の可能性が低い。

言い換えると: それは超難しい、サポートが薄い、そしてバグが悪用されるような使い方をしている人がとても少ない。

そもそもそれら古い機種は、リストが膨大であるだけに、Intelとしてもリーズナブルな後退をした、と言えるだろう。しかしそれでも、システムの管理者は、これらの世代のチップが自分たちのシステムの中で外部者に対してむき出しになっていないか(悪用の可能性がないか)、チェックしたいだろう。

そしてユーザーに関しては、Core 2 Duoに代表されるPenryns世代は、まだ古いラップトップを使っている人が少なくないだろう。2008年には、それがIntelのすべてだった。ぼくみたいに、古い機種に愛着があって捨てられない人は、重要な仕事をその上でやらないようにしよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

CMSのDrupal、「極めて深刻」なバグで100万サイトを危険にさらす

人気のオープンソースCMS、Drupalの開発チームが、管理者に向けて重大なバグに関する警告を発している。Drupalによるとこのバグによってサイトはアタッカーに対して「極めて脆弱」な状態になるという。

該当するバージョン(Drupal 6、7、および8)は、インターネット上で100万以上のサイトで利用されているCMSシステムだ。

Drupalは本件のセキュリティーリスクを”highly critical” [極めて深刻]であると評価している。入力の検証がされなくなるため理論上サイトの訪問者はリモートコードを通じてハックされる可能性がある。

「このバグによってアタッカーはDrupalサイトで複数のアタックベクターを悪用可能になるため、サイトが全面的に危険にさらされる可能性がある、と開発チームはブログ記事に書いている

Drupalは先週ユーザーに対して警告を発令し、週末に「極めて重大なリリース」を公開するので直ちにアップデートするよう伝えた。これはDrupalとしては異例の発表だったため、デベロッパーは金曜日(米国時間3/30)のリリース予定時間帯に向けて「厳戒体制」に入った。脆弱性のあるバージョンのDrupalを実行しているサイトは、被害を避けるためにDrupal 7.58またはDrupal 8.5.1にできるだけ早くアップテーとすべきだ。Drupalは現時点では被害の報告はないと言っている。

バグの正式名称はCVE-2018-7600だが、ソーシャルメディアでは2014年に起きた重大バグになぞらえて 、”drupalgeddon2″と呼ばれている。

[原文へ]

(翻訳:Nob Takahashi / facebook

ニューヨーク市は住民にサイバーセキュリティアプリを無料で配布する

ひとつの都市(アトランタ)がサイバー攻撃されたこの怖ろしい週に、ニューヨークはその予防策を講じようとしている。

そのタイミングはあくまでも偶然だが、ニューヨーク市の市長Bill de Blasioは今日(米国時間3/29)、市民をとくにモバイルデバイス上のオンラインの悪行から護るための、一連のセキュリティツールを用意し、まずその第一弾を導入する、と発表した。

それがこの夏ローンチすると、ニューヨーク市の住民はNYC Secureと呼ばれる無料のアプリをダウンロードできる。このアプリはスマートフォンのユーザーに、ありうる危険を警報し、“悪質なWi-Fiネットワークからの遮断や、危険なWebサイトに行かないこと、悪質なアプリをアンインストールすることなど”の対策を教える。

アプリ自身が何かをやってくれることはないので、もっぱらユーザーが言われたアドバイスを守らなければならない。NYC Secureが個人を特定できる情報やプライベートなデータを集めることもない。

市はまた、その公開Wi-Fiネットワークのセキュリティも強化する。それは、悪いやつが暗号化されてない個人情報を盗むことで悪名高いターゲットだ。市は、Quad9というサービスを利用してDNSの保護を実装する。それは、Global Cyber Alliance(GCA)とIBMとPacket Clearing Houseが共作した無料のサイバーセキュリティ製品だ。

市のセキュリティ担当官Geoff Brownはこう述べる: “たえずユーザーのすきをねらっているサイバー犯罪者から前もって市民を護るためには、市民のデジタル生活の安全に投資する必要がある。サイバーセキュリティの脅威に対して免疫のある個人は存在しないから、今回の計画は、多くの場合大量の機密データが所在する個人のデバイスに、セキュリティの新しい層を加える”。

2017年の7月に市長命令で創設されたサイバー防衛団体NYC Cyber Command(NYC3)がこの新しいセキュリティツールの導入を担当し、それらの実装を監督する。

セキュリティ企業McAfeeのCEO Christopher Youngは、こう言う: “ニューヨーク市のこのような活動は、サイバー犯罪が増加していることへの市民の認識を強化し、自衛のための行動ができるようにする”。

国際的なビジネスハブで、文化の中心都市でもあるニューヨークは、さまざまな、ときには当市独特のサイバーセキュリティの脅威にさらされている。しかしそんな都市だからこそ、他の大都市のお手本になるような、市としての主体的なサイバーセキュリティ対策を展開できる、とも言えるだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

IETFがTLS 1.3を承認、悪質なハッカーや盗聴者が仕事をしづらくなる仕掛けを盛り込む

聞こえるかな? 世界中のハッカーや諜報員たちが大声で一斉に叫んでいるよ。Internet Engineers Task Force(IETF)が今日、全会一致で、Web上の暗号化されている接続を高速化し、盗聴しづらくするセキュリティフレームワークを承認した。

それはTransport Layer Security version 1.3と呼ばれ、派手な話題ではないけど、至るところに悪いやつがいるようになったWebの、安全強化策のひとつだ。IETFは、世界中のエンジニアたちの集まりで、このようなスタンダードの策定で協力し合っている。そして今回のTLS 1.3の承認までは、4年あまりという長い年月と、提出されたドラフト(草稿)数28という、たいへんな作業を経ている。

それは、インターネットがとてもデリケートなマシンで、その基本的な部分の変更、たとえばクライアントとサーバー間の安全な暗号化接続の確立は、きわめて慎重な協議を必要とするからだ。

ここで技術的な詳細は述べられないが(ぼくが挑戦しても途方に暮れるだけだろう)、TSL 1.3は、ユーザーの安全を守るためにいくつかの重要な変更を加えている。

  • クライアントとサーバー間の“ハンドシェイク”が簡素化され、平文で送信されるデータの量を最小化するので、暗号化がより早期に開始される。
  • 前方秘匿性”によりハッカーは一回の鍵交換から鍵を解読できないようになり、その後それを使ってそのほかの鍵を解読することもできない。
  • “レガシーの”暗号化アルゴリズムをオプションから除く。それがうっかり、やむを得ず使われると、その欠点を利用してメッセージの暗号を破られることがある。
  • 新たに“0-RTT”、ゼロ・ラウンドトリップ・タイムを導入。このモードでは、サーバーとクライアントが一部の要件を事前に確立していて、お互いを紹介し合わなくても直ちにデータの送信を開始できる。

このスタンダードのの全文は155ページあり、専門のエンジニアでないと理解は難しいだろう。でもとにかく容易に入手できるから、勉強意欲のある方はぜひ挑戦を。

もちろん、現場の実装努力がなければ新しいスタンダードも効果を発揮できないが、IETFの承認が下りたことによって、大企業やWebサービス、より高いレベルのスタンダードなどが実装に着手するだろう。そのことに、われわれ一般ユーザーは気づかないかもしれないけど、インターネットという舞台の縁の下で頑張っているエンジニアたちや暗号技術者などに、この場を借りて謝辞を述べておきたい。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Intelは今年後半に発売するチップにSpectreとMeltdownのハードウェアレベルの対策を導入

SpectreとMeltdownはハードウェアの設計レベルのバグなので、簡単なパッチなどでは修復できないことが明らかだった。しかし幸いにも、これらに対して十分な時間を投ずることのできたIntelは、今年後半に発売する新製品のチップに、その欠陥からユーザーとアプリケーションを保護する、ハードウェアのアーキテクチャレベルの改良を盛り込んだ。

このニュースは、CEOのBrian Krzanichが同社のブログ記事で発表した。パートナー数社に対する感謝の言葉に続いて彼は、過去5年以内の感染製品に対しては、それらの動作をバグから守るソフトウェアのアップデートを行った、と述べている。もちろんその効果に関しては議論の余地があるし、パフォーマンスへの影響も無視できないが、なにしろ一応、バグフィックスがあることはある。

本当は、互いにやや関連するバグが三つある: Spectreには変種1と変種2と変種3があり、研究者たちは変種3をMeltdownと呼んでいる。いちばん対策が難しいと思われているのが変種1で、Intelにもそれに対するハードウェアのソリューションはまだない。しかし変種2と変種3は、今回対応できた。

“プロセッサーのさまざまな部分の設計を変えて、変種2と3の両者に対して防御するパーティショニングにより、新たなレベルの保護を導入した”、とKrzanichは述べている。Cascade Lake Xeonと第8世代Coreプロセッサーにこれらの変更が含まれ、2018年の後半に発売される。現状では情報はまだ漠然としているが、リリースが近くなればIntelは大宣伝を開始するだろう。

なお、第1世代Coreまでさかのぼる古いハードウェアも、マイクロコードがアップデートされる。NehalemやPenrynをおぼえておられるだろうか? それらも、いずれはパッチされる。驚いた方もおられると思うが、大企業や政府機関ではまだまだNehalemのシステムが使われている。たとえばエネルギー省のどこかでは、Pentiumの上で動くWindows 98SEシステムが今でも使われているだろう。

この発表に関してユーザーがすべきことは何もないが、コンピューターとOSを最新の状態に保つことは必ずやるべきだ。そして、分からないことがあればカスタマーサービスに尋ねよう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

IBMがセキュリティやDDoS防御でCloudflareとパートナー、サービスの内製を選ばず

最近の数年間でCloudflareは、データセンターの立地とパートナーシップでグローバルなネットワークを築き、同社のDDoS防御やセキュリティツール、Webサイトの加速、などのサービスを拡大してきた。これだけの専門的能力は簡単に得られるものではないので、IBMのような巨大グローバル企業でさえ今日(米国時間3/13)、内製よりもむしろCloudflareとのパートナーシップにより、これらのサービスを顧客に提供していく、と発表したのも、不思議ではないかもしれない。

IBMが新たに始めたCloud Internet Servicesは今日発表され、サイトの保護と高速化のためのCloudflareのサービスをすべて提供する。IBMはこの発表を、来週行われるTHINKカンファレンスの前、というタイミングで行っているのだ。

IBMのWatsonとクラウドを担当するCTO Bryson Koehlerによると、IBM Cloudのユーザーは、一回のクリックでこれらの機能をonにできる。“Cloudflareは、ワールドクラスのツールセットを作るすごい仕事をしている。それらは使いやすいだけでなく、うちのチームが使っているのと同じスタンダードに従っている”、と彼は語る。“今日のように、変化が早くてサービスがつねに進化しているときには、いつも内製かパートナーかという決定を迫られる。そしてキャッシングやロードバランシングでは、彼らがうちとのパートナーシップにふさわしい仕事を成し遂げている”。

このパートナーシップに加えてIBMは今日、二つの新しいセキュリティ機能を発表した: それはIBM Cloud Security Advisorと、IBM Cloud App IDの新しい機能だ。Cloud Security Advisorは、デベロッパーとオペレーションの両チームに、彼らのセキュリティ態勢への、これまでよりも多くて深いインサイトを提供する。その中には、Webサーバーのセキュリティ証明がそろそろ期限切れだというベーシックなアラートがあったり、あるいはアプリケーションとデータに影響を与えるIBMのグローバルネットワーク上に兆候のある脅威に関する警報だったりする。このツールは十分高度に作りこまれているので、たとえば特定の規制に従ってデータを管理しなければならないデベロッパーが、うかつにPCIやHIPAA準拠のサービスからデータをロードし、それを非準拠のサービスに書き出す、といった事故を未然に防ぐことができる。

Cloud Security Advisorはまだ実験段階のプロダクトだが、必要なすべてのデータを単一のダッシュボード上に表示する。

App IDの方は、正しい認証を経たユーザーだけが、アプリケーションやデータにアクセスできるようにする。とくに新しい機能ではないが、IBMはこのサービスを今後、コンテナやIBM Cloud Container Serviceにも適用する。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

世界最大のDDoS攻撃はGitHubをわずか10分足らずオフラインにしただけだった

サイバー攻撃はこのところ攻守ともに巧妙になっている。そのことを示すようにGitHubは、今週襲ってきた知られているかぎり史上最大のDDoS攻撃を切り抜けたことを、公表した。

DDoS(distributed denial of service, 分散型サービス妨害)は、Webサイトやその提供サービスを、それらのサービスやインフラストラクチャが対応できないほど大量のトラフィックで爆撃して、ダウンさせてしまう攻撃だ。ターゲットを強制的にオフラインにするために、よく使われる攻撃手段だ。

GitHubはよくやられるターゲットだ。インターネットの検閲システムをバイパスするソフトをホストした2015年の5日間に及ぶ攻撃は、その背後に中国政府がいたと各方面から疑われている。そして今回の最新の攻撃はその規模が過去最大で、ピーク時には1.35Tbpsに達した。

その事件をあらためて語るブログ記事でGitHubは、犯人は ‘memcaching’と呼ばれるものをハイジャックした、と言っている。高性能や大きな需要への対応を要求されるWebサイトはデータを高速メモリにキャッシュして高速対応を図るが、そのような用途のメモリキャッシュのことを一般的にmemcacheと呼ぶ。犯人たちはそこに膨大な量のトラフィックをぶつけて、GitHubを攻撃した。それをするために彼らは最初GitHubのIPアドレスを装い、メモリキャッシュシステムmemcachedのインスタンスを乗っ取って、GitHubによると、“うかつにも一般のインターネット上でアクセスできる”ようにした。

その結果トラフィックの大洪水が流れ込んだ。Wired誌の記事によると、攻撃に使われたmemcachedのインスタンスはデータ量を約50倍に増幅した。

GitHubの着信トラフィックが攻撃により急上昇

GitHubは、Akamai Prolexicに助けを求めた。後者はGitHubへのトラフィックを同社の“スクラビング”センター(別名“洗濯機”)に迂回させ、悪者と思われるブロックデータを削除した。すると攻撃が始まってから8分後に、犯人たちは攻撃をやめ、DDoSは止まった。

結局、GitHubがオフラインだったのは17:21 – 17:26 UTCの5分間、断続的な接続状態になったのは17:26 – 17:30 UTCの4分間だった。

GitHubのサービスは、コードを扱う企業にとってきわめて重要で、しかもそんな企業はとても多い。どんなに時間が短くてもサービスの停止は喜べないが、しかし今回の対応は見事であり、良い前兆だ。GitHubは、今回のような、あるいはまったく別の、攻撃がまたあっても、適切に防御できる、と言っている。

事件の詳細はGitHubのブログ記事にある。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Google Chrome、非暗号化(HTTP)ページに”not secure” の警告を表示

近くGoogle Chromeは、HTTPSの暗号化を使用していない全サイトにマークをつける。Chrome 68が公開される7月以降、Chromeは全HTTPサイトを ‘not secure’[安全ではない]として、URLバーに目立つように表示する。

過去数年、GoogleはHTTPSの使用を強力に推進してきており、ブラウザー、サーバー間の通信中にデータが他社に傍受されないように努めてきた。すでにGoogleは、Chrome 62でデータ入力フィールドのあるHTTPサイトに安全でないことを示すフラグを立てているほか、パスワードあるいはクレジットカード情報を要求するサイトについては古く2016年から同様の警告を表示している。

近く公開されるアップデートからは、入力フィールドの有無に関わらずHTTPサイトすべてが「安全ではない」と識別されるようになる。

デベロッパーにもメッセージは届いている。Googleによるとウェブサイトのトップ100のうち81のサイトが標準でHTTPSを使用しており、Chrome OSおよびMacではChromeのトラフィックの80%が、Windows版Chromeでは70%がHTTPSを使用している。AndroidのChromeでは68%だった。

しかしこれは、今でも(おそらく今後も)移行していないサイトが数多くあることを意味している。Let’s Encryptなどのプロジェクトのおかげで、今は事実上どんなサイトでも簡単にHTTPSを有効にすることができる。しかし、既存サイトでHTTPSを有効にするのは必ずしも単純な作業ではないため、ウェブ管理者やデベロッパーの中には、動いているには手をつけないでおこう、という人たちもいる。これはChromeが警告を出すようになっても変わらないかもしれない。

[原文へ]

(翻訳:Nob Takahashi / facebook