米不動産保険大手から8億8500万件の顧客データが露出

セキュリティ関連の記者であるBrian Krebsからの最新ニュースだ。Fortune 500社の不動産保険大手であるFirst Americanが、同社のウェブサイトのバグのため、およそ8億8500万件の機密記録が露出した。

Krebsの記事によると、同社のウェブサイトは、銀行口座番号、勘定明細、住宅ローンと税の記録、社会保障番号、そして運転免許証の画像をシーケンシャルな形式で保存し露呈していた。そのため、ドキュメントのウェブアドレスを知っている者が簡単にアクセスできるだけでなく、アドレスの中の数字をひと桁変えるだけで他人のドキュメントも見られた。

パスワードなど、他人のドキュメントへのアクセスを防ぐ認証の仕組みはまったくなかった。

Krebsの記事は、いちばん古いドキュメントの番号が「000000075」で、数が大きいほど新しいドキュメントだと言っている。

露出した中で最も古いのは、2003年のドキュメントだそうだ。

彼の記事では「露出したファイルの多くは、住宅などの物件のバイヤーとセラーの間の電信によるトランザクションの記録で、銀行の口座番号などの情報が含まれている」と書かれている。First Americanは米国最大の不動産権原保険のひとつで、2018年の収入が58億ドルだ。

First AmericanのスポークスパーソンMarcus Ginnaty氏が、本誌TechCrunchに次のように述べた:

5月24日にFirst Americanは、そのプロダクションアプリケーションのひとつに顧客データへの無許可アクセスを可能にする設計不良があることを知った。セキュリティとプライバシーおよび守秘性は最高位のプライオリティであり、私共には顧客の情報を保護する義務がある。したがって、弊社は直ちに対策措置を取り、アプリケーションへの外部アクセスを遮断した。私共は現在、これが顧客の情報の安全に及ぼした影響を査定している。私共は外部の科学捜査企業を起用して、弊社顧客データへの実害のある無許可アクセスがなかったことを確認した。

セキュリティ研究家のJohn Wethington氏よると、ウェブサイトを落としてもドキュメントの多くは検索エンジンにキャッシュされている。しかし本誌TechCrunchは、データがまだ読める状態である間は、露出したデータへのリンクを差し控える。

これは住宅ローンのデータ侵害としては、ここ数カ月で最新の事件だ。

TechCrunchは1月の独占記事で、金融や銀行関連の2400あまりのドキュメントが、パブリッククラウドのストレージサーバー上で不注意により露出して、誰でもアクセスできる状態になったと報じた。そのデータには住宅ローンや一般ローンの契約書をはじめ、さまざまな機密情報が含まれていて、個人の財務状況が丸裸になってしまうのだ。

First Americanからの所見によりこの記事をアップデートした。

関連記事: Millions of bank loan and mortgage documents have leaked online(膨大な量の金融関連ドキュメントが漏洩、未訳)

[原文へ]

(翻訳:iwatani、a.k.a. hiwa

Androidユーザー50万人がGoogle Playからマルウェアをダウンロード

50万人以上のAndroidユーザーが、ドライブゲームを装ったマルウェアをダウンロードした——Googleの専用アプリストアでの出来事だ。

ESETのセキュリティー研究者Lukas Stefankoは、13本のゲームアプリ——同じ開発者による——の詳細をツイートした。その時アプリはまだGoogle Playでダウンロード可能だった。うち2本はアプリストアの人気ランキングに入っていたため、いっそう目立っていた、と彼は言った。

Googleが削除するまでに計58万回以上インストールされた。

ダウンロードした人はトラックか車のドライブゲームを期待していた。代わりに手にしたのは開くたびにクラッシュするバグだらけのアプリだった。

実際には、そのアプリは別のドメイン(イスタンブールのアプリ開発者が登録)からデータをダウンロードし、裏でマルウェアをインストールしながらアプリのアイコンを消していた。悪意のアプリが正確に何をするのかはわかっていない。VirusTotalにアップロードされたサンプルを見る限り、このマルウェアが何をするかはマルウェアスキャナーの間でも一致していない。はっきりしているのは、マルウェアに持続性があることだ——Android携帯またはタブレットをスタートさせるたびにアプリは立ち上がり、ネットワークに「フルアクセス」できるため、マルウェア作者はそれを利用して秘密を盗み出す。

本誌はイスタンブール拠点のドメイン所有者Mert Ozekに接触を試みているが、今のところメールへの返信はない。

またしてもこれはGoogleによる恥ずかしいセキュリティー欠陥だ。Googleはアプリとモバイルのセキュリティー対策でAppleに遅れを取っていることで長年批判されている。Appleは壁に囲まれた庭にどのアプリを入れるかに関してはるかに限定的で選り好みが強いと言われている。

GoogleはAndroidのセキュリティーを強化すべく、セキュリティー機能を改善し、きめ細かなアプリ許可制御を導入した。しかし、その後もGoogle Playアプリストアでは詐欺や悪意あるアプリとの戦いが続いており、Androidユーザーにとって最大の脅威の一つとなっている。Googleは昨年だけで70万以上の悪質アプリをアプリストアから削除し、悪意あるアプリがそもそもストアに入り込むのを防ぐために、バックエンドの改善を試みた。

しかし、それでもまだ十分ではないことが明らかだ。

Google広報は本誌の問い合わせに対してすぐにはコメントしなかった。

[原文へ]

(翻訳:Nob Takahashi / facebook

民主党支持者に投票棄権を呼びかける数千のTwitterアカウントを削除、選挙妨害の大海の一滴

Twitterは、来週の選挙で有権者に投票しないよう呼びかけている、何千もの自動的に作られたアカウントを削除した。

同社によると、9月から10月にかけては、最初に民主党のスタッフが気づいた1万近くのアカウントを削除した。

Twitterの公式の声明では、“自動化されたやり方で偽情報を共有する試みに関与している一連のアカウントを、弊社のポリシーへの違反として削除した。われわれはこれを、迅速かつその始原において停止した”、と言っている。しかし削除したアカウントの例示はなく、偽情報の投稿者の名前の発表もない。

それらのアカウントは民主党員を名乗り、都市部など厚い有権者層に、家にとどまり投票しないよう説得を試みている。このニュースを最初に報じたロイターによるとそれは、重要な選挙区で選挙結果を操作するためだ。

民主党の全国委員会のスポークスパーソンは、勤務時間外を理由にコメントを断った。

今回のアカウント削除は大海の一滴であり、Twitterはもっと大きな脅威に直面している。今年の前半には、テロリストのコンテンツを共有し宣伝している120万ものアカウントを削除した。そして5月だけでも、毎週1000万近くの、自動的に送られる悪質なメッセージを削除した。

Twitterの月間アクティブユーザーは7月の決算報告で3億3500万だ。

しかし同社は、同社のルールに違反したり、偽情報や不正なニュースを拡散しているコンテンツをもっと先見的に削除するための策を講じていないとして、議員たちから批判されている。あと数日でアメリカの中間選挙だが、この最新の削除努力は、Twitterが悪質アカウントを自動的に削除しなかった、という懸念をさらに広めるだろう。

偽民主党員に関するロイターの報道を受けてTwitterのサイト健全性担当Yoel Rothがツイートのスレッドで曰く、“ボットの検出に関する公開されている研究は欠陥が多く、その多くはボットを、確実性ではなく確率に基づいて検出する。なぜならば、公開されていない内部的アカウントデータを見られるのは、彼ら研究者ではなくTwitterだけだからだ”。

選挙が目前に迫っていてもTwitterには、偽情報の拡散に関する厳格なポリシーが、Facebookと違ってない。Facebookは最近、不正で人を惑わすような情報で有権者を押さえつけようとするコンテンツを禁じた

対してTwitterは昨年、その“オープンでリアルタイムな性質”が、“あらゆるタイプの偽情報の拡散に対する強力な対抗策だ”、と主張した。しかし研究者たちは、そのやり方に対して批判的だ。先月発表された研究は、2016年の大統領選の間にアクティブだった70万あまりのアカウントが、今もまだ健在であり、毎日100万のツイートをプッシュしていることを見つけた。

今年の選挙に関してTwitterのスポークスパーソンは、“各州の選挙管理職員と国土安全保障省および二大政党の選挙参謀たちが、われわれのポリシーの強力な施行と、われわれのサービスの健全な会話性の保護を支援できるために、オープンなコミュニケーションラインと、直接的で容易な活動拡大経路を確立した”、と言っている。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Twitterのバグで一部のダイレクトメッセージがサードパーティのデベロッパーへ誤送された

Twitterによると、ある“バグ”が、ユーザーのプライベートなダイレクトメッセージを、“それらを受け取る権限のない”サードパーティデベロッパーに送っていた。

このソーシャルメディア大手は金曜日(米国時間9/21)に、そのアプリ内でメッセージが露呈された可能性に関する警報を開始した。

“この問題は2017年5月から存続していたが、われわれは発見後すぐにそれを解決した”、とMashableの記者がTwitterにポストした、Twitterの警報メッセージが言っている。それによると、“この問題に対するわれわれの調査はまだ継続中であるが、現時点では、権限のないデベロッパーへ送られた何らかのデータが悪用されたと信ずべき理由はない”そうだ。

Twitterのスポークスパーソンは本誌TechCrunchに、何らかの通信が不正なデベロッパーに送られたことは“到底ありえない”、と述べたが、でも多くのユーザーに警報が送られている:

[私のDMが1年以上も送られていたのね??]

そのバグに関するTwitterの注記によれば、被害を受けたのは航空会社やデリバリーサービスなど、企業へ送られたメッセージのみだそうだ。Twitterによると、調査で判明したのは、“この問題が起き得たのは、ある特定の技術的情況においてのみ”、だという。

バグが見つかったのは9月10日だが、ユーザーへの報告はそれから2週間近く経ってからだ。

“あなたのアカウントがこのバグの影響を受けていたら、われわれはアプリ内通知とtwitter.com上で直接あなたにコンタクトする”、とも言っている。

同社によると、被害者はTwitterのユーザーの1%に満たない、という。最新の決算報告によると、同社のユーザー数は3億3500万人だ。

上の警報メッセージは、“あなたからのアクションは何も必要ない”、と言っている。

それは、今年二度目のデータ関連のバグだ。5月には、同社は誤ってその内部的ログに、ユーザーのパスワードをプレーンテキストで記録した、と述べた。Twitterはユーザーに、パスワードを変えるよう促した。

関連記事: 今すぐTwitterのパスワードを変えよう

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Googleは企業の現場労働者たちにも気軽なコンピューターとしてChromebookを使わせたい

Googleの社内には“Grab and Go”〔仮訳: 手に取ったらすぐ使え〕プログラムというものがあって、社員たちは上図のようなセルフサービスのコーナーへ行ってChromebookを勝手に借りて使ってよい。ITの面倒な承認プロセスは要らない。そしてこれからは、ほかの会社でもそれができるのだ。

Chromebookは教育に自分の世界を見つけたが、しかし最近では大企業が、主にブラウザーだけを使う集中管理型デバイスとして、これに目をつけ始めた。つまり学校も企業も、同じようなデバイスを求めていたのだ。

Google社内では、これまで3万名あまりの社員がのべ10万台あまりの貸し出しを利用した。

Googleは他社にも同じことをしてもらいたいが(そして多くのChromebookを使って欲しいが)、現状ではまだ一定のプレビュー事業なので、Googleはまだ、上図のラックのようなものは売っていない。Googleによると、やってみたい企業にはそのためのシステムのオープンソースのコードを提供し、セットアップとデプロイのやり方も教えるそうだ。また、どこかとパートナーしてハードウェアも制作〜提供し、あるいは‘Grab and Go’をサービスシステムとしてセットアップさせるつもりだ。

社内に置かれた‘Grab and Go’のコーナーというかステーションを使いたい社員は、単純にラップトップを一台手に取り、記帳し、使い始めればよい。使い終わったら、返却する。とっても簡単だ。

Google自身がChromebook用のラックを作って売るという、すごい話ではないが、企業にChromebookを売ろう、というプロジェクトではある。とくにねらっているのは、短時間気楽にデバイスが使えればそれでいい、というタイプの現場労働者だ。シフト労働者やリモート労働者も、そんなChromebook族に含まれる。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

トヨタが自動運転車の公道テストを休止、Uberの事故を受けて

Toyotaは、Uberの自動運転テスト車が歩行者の死亡事故を起こしたことを受けて、同社の自動運転システム‘Chauffeur’のアメリカにおける公道試験を一時停止する。

警察が発表した最初の所見では、被害者が道路の横断歩道以外の場所を急いで横断しようとしたため、人間運転者でも事故を避けることはきわめて難しかっただろう、という。しかしToyotaはBloombergの取材に対して、“テストドライバーたちの心情に及ぼす事故の影響”を考慮したため、と言っている。

ToyotaのスポークスパーソンBrian Lyonsによると、同社はその事故の原因や自動運転産業の未来に対する影響を考慮したわけではない。それは、他の自動車メーカーや業界関係者がこれまで言ってきたことと同じだが、Uberの事故に関するすべての情報が公になるまでは最終的な意思決定をしない、という各社の消極性を表しているようだ。

Toyotaは、完全な自動運転システム‘Chauffeur’と、事故を未然防止するための高度な運転者補助(ないし‘介入’)システム‘Guardian,’の両方を研究開発してきた。後者はいわば、人間運転者のフェイルセーフ化だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa