ハッカーのKevin Mitnickがフィッシングで二要素認証をバイパスする方法を教える

二要素認証(two-factor authentication, 2FA)を破ろうとするハッカーは、ユーザーに偽のログインページを送り、ユーザー名とパスワードとセッションクッキーを盗む。

KnowBe4のチーフ・ハッキング・オフィサー(Chief Hacking Officer) Kevin Mitnick*が、そのハックをビデオで公開している(下図)。ユーザーがLinkedInを訪ねようとしたら、一字違いの“LunkedIn.com”のページを送ってログインさせ、パスワードと認証コードを捉える。そしてそれらを使って本物のサイトにアクセスしたハッカーは、セッションクッキーを入手する。そのあとハッカーは、いつまでもログインできる。これは要するに、一回かぎりの2FAコードを使って偽のログインをし、データを盗むのだ。〔*: Mitnickの著書。〕

“Kevinの友だちのホワイトハットハッカー(white hat hacker, 犯罪行為をしない研究者的ハッカー)が、ソーシャルエンジニアリングの巧妙なやり方で二要素認証をバイパスするツールを開発し、それを使うとどんなサイトでも破れる”、とKnowBe4のCEO Stu Sjouwermanは語る。“二要素認証はセキュリティの層を一つ増やすが、でもそれだけで企業を守ることはできない”。

ホワイトハットハッカーのKuba Gretzkyが作ったそのevilginxと呼ばれるシステムは、彼のサイトに詳しい技術的説明がある。

Sjouwermanによると、セキュリティ教育の中でもとくに重要なのがフィッシング対策であり、被害者がセキュリティについてよく知り、メール中のリンクをクリックすると危険!と知っていたら、このようなハックは成功しない。そのことをぼくに教えるために彼は、本誌ライターのMatt Burns(matt@techcrunch.com)が、記事中の誤字について述べているメール(偽メール)を送ってきた。そのメールにあるリンクをクリックしたらリダイレクトサイトSendGridへ連れて行かれ、そこからTechCrunchに放り込まれた。しかしそのペイロードは、きわめて悪質だった。


そしてSjouwermanは曰く、“これで分かったと思うが、今や新しいセキュリティ意識が必要であり、とくにフィッシングをシミュレーションで体験することが重要だ。なぜなら、防衛ラインの最後尾を固めているのはソフトでもハードでもなく、人間だからだ”。

彼の予想では、この偽メールを使ったテクニックが数週間後に流行(はや)って、ユーザーとIT管理者はセキュリティのためのプロトコルを強化せざるをえなくなるだろう、という。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

ペンシルベニア州立大の研究員が本物のクローキングデバイスを作った

ペンシルベニア州立大学の研究員Amanda D. Hanfordが、音波を迂回させる(反射しない)ことによって、一部の感知技術に対してオブジェクトを不可視にする、本当のクローキングデバイス(cloaking device, 物を隠すデバイス、忍者デバイス)を作った。

報告記事は曰く:

Hanfordのチームは、音波が、反射せずに迂回して進むようなメタマテリアルの開発に取り組んだ。メタマテリアルは一般的に、密度が負である、など、自然界に存在しない特異な性質を示す。そのために、メタマテリアルの最小の構成部位であるユニットセルは、この研究の場合、音波の波長よりも小さくなければならない。

Hanfordは、水面下で音を偏向させる音響学的なメタマテリアルを作った。それは、難しい開発テーマだった。テストではその素材を水中に置き、それをねらって発射した音波を測定した。水中のエコーは、音波がその素材から反射していないことを、示していた。したがってその新素材は、ソナーにとって不可視だろう。

まだ初期的段階の技術なので、オブジェクトが完全に不可視にはならないが、しかし水中では検出がきわめて困難だ。これからは、水平線上にレーザー銃を備えた潜水艦が現れたら、船の船長は“クローキングデバイスをonにせよ!”、と叫ぶようになるかもしれない。そう考えると、なかなか楽しい技術だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

生物学を3Dで視覚化する強力なツールAllen Integrated Cellで感動しよう

細胞ってどんな形をしているのだろう? 絵を描(か)けと言われたらたぶん誰もが、中央に卵黄のある目玉焼きのようなものを描き、リボゾームを二本ぐらい添えるだろう。凝り性の人なら、さらに小胞体をざっと描くかもしれない。でも本物の細胞はそれよりもずっと複雑で、しかももちろん立体だ。そして細胞を実際に体(からだ)にあるとおりに、誰もが視覚化できるツールが、ここでご紹介するAllen Integrated Cellだ。

このツールを作ったAllen Institute for Cell Science(アレン細胞科学研究所)は、Microsoftの協同ファウンダーPaul Allenがシアトルに作った研究施設だ。この研究所は長年、主に細胞の視覚化を研究してきたが、今日(米国時間5/9)やっとそれをAllen Integrated Cellと名付けた企画として一般公開し、Web上でも見られるようにした。

このアプリケーションは、もっぱら幹細胞が対象だ。その3Dモデルは一般的な理論だけでなく、彼らが研究所内部で行った記録や観察にも基づいている。細胞のタイプは数十種類あり、プロテイン(タンパク質)をはじめ、細胞を構成しているさまざまな物質を像を切り替えながら見ることができる。

オルガネラやプロテインの位置を観察できただけでなく、このシステムはそのほかの類似の細胞を調べることによって、それらの位置を予測できるようになった。そこで、特定の物質を探索しなかった細胞についても、その存在を確率モデルから推測できる。

それが重要なのは、特定の物質やオルガネラを選んで蛍光染色し、顕微鏡で直接見るやり方が細胞にとって良くないからだ。そうやっていろんなものをタグ付けしていると、細胞が死ぬこともある。しかしモデルによって、細胞膜Bの存在と形からオルガネラAの所在を導けるのなら、タグ付けは不要だ。

研究所の常勤取締役Rick Horwitzがプレスリリースで述べている: “これは、人間の生きている細胞の内部を見る新しい方法だ。将来的にこの方法は、新薬の発見や疾病の研究など、人間の細胞の研究を必要とする研究開発の、あり方を変えるだろう”。

微生物学者でない人が見ると、これらは岩を描いたヘタな絵か、モダンアートに見えるだろう。しかし、ある種のプロテインの生体内の働きや、特定の医薬やホルモンへの反応、その分布を支配している体内的過程、などを研究している者にとっては、強力なツールになりえる。

関心を持たれた方は、研究所にある、人間の細胞のヴィジュアルガイドをご覧になるとよいだろう。それも今日公開され、見る人に高校時代の生物学を思い出させるだけでなく、撮影された動画等ではなくWebそのものの技術で描かれる、3Dのすばらしいビューアーを体験できる。

画像クレジット: Allen Institute for Cell Science

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

AIでロゴを自動的にデザインしてくれるTailor Brandsが$15.5Mを調達

中小企業にブランド戦略とマーケティングサービスを提供するTailor Brandsが今朝(米国時間5/9)、シリーズBで1550万ドルを調達したことを発表した。

CEOのYali Saarによると、同社はデザインと機械学習が交わるところに位置している。というのは同社が、ロゴのデザインとコピーライティングとソーシャルメディア戦略を理解する技術を作っている、という意味だ。

同社の自動的に作られるロゴデザインは、すぐに人の目を引く。Tailor BrandsのWebサイトで、それを体験できる。有料で高品質な画像ファイルにもアクセスできるが、文字だけのロゴなら、あなたの会社に関する情報をいくつか入力すると、1分足らずで無料で作ってくれる。〔日本語文字はまだサポートされていない。〕

下図は、そうやって作ってもらった本誌TechCrunchの新しいロゴだけど、どうかな?

techcrunch tailor brands

Tailor Brandsは2014年の本誌TechCrunchのStartup Battlefieldでローンチし、これまでにロゴを4500万個作った、という。昨年の顧客数は386万で、毎月50万社ずつ増えているそうだ。

今回の投資ラウンドをリードしたのはPitango Venture CapitalのGrowth FundとBritish Armat Group、これにDisruptive TechnologiesとMangrove Capital Partnersが参加した。これで同社の調達総額は2060万ドルになる。今度の資金の主な用途は、グローバル展開と、多言語化、そしてブランド戦略のためのツールをもっと増やすことだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

任天堂の20ドルの充電スタンドはSwitchのキックスタンドの問題も解決

Switchは、いろんな使い方ができるのが魅力だ。Nintendoのこの最新システムは、家庭用とポータブルの垣根を取り払ったすばらしいハイブリッドデバイスだ。でも現状ではまだ、二つのモードの狭間(はざま)に、いくつか問題があるようだ。

まず、最初から問題だったのがキックスタンドだ。よく倒れるし、デバイスが変な角度になるし、最悪なのは充電ポートが下にあるので、充電中は卓上モードでプレイできないことだ。

そこでE3(Electronic Entertainment Expo)が間近に迫ってきた今日(米国時間5/9)、同社は20ドルのソリューションを披露した。それはAdjustable Charging Stand(調節可能な充電スタンド)というシンプルな名前で、ACアダプターにつないだ状態でも、デバイスを支える。

調節可能とは、キックスタンドの角度を変えられること。見る位置や角度によって、デバイスの傾きを変えられる。たとえばテレビは使えないどJoy-Conを使ってゲームを楽しみたい、なんてときには、デスクや飛行機のシートテーブルでもそれができる。

発売は、E3が始まる6月13日だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

MacでSignalを使っているユーザーは通知を無効にしてメッセージのセキュリティの確保を

安全なメッセージングのためにSignalを使っている方は、ご用心を。このアプリケーションは最良の暗号化メッセージングツールと見なされているが、しかしSignalを使っているMacのユーザーは、そのプライバシーが知らない間に危険にさらされるかもしれない。

Motherboardの記事によると、セキュリティ研究家のAlec Muffettが、Macに送られたSignalのメッセージが、アプリケーションの設定でそれらの削除を指定していても、通知センターに残存することを発見した。

これは、プライベートなメッセージがオペレーティングシステムの中に残る、ということだが、そのほかの研究者たちも今この問題を調べている。

MacでSignalを使っている方には深刻な問題だが、しかしハッカーがこの欠陥を悪用するためには、まずMacを乗っ取らなければならない。そしてその時点でたぶん、ゲームオーバーになるだろう。

設定をoffにするには…そうすることをお勧めするが…SignalアプリケーションのSettingsメニュー(上図)で“Neither name nor message”または“Disable notifications”をセレクトし、プライベートメッセージがSignalの外で迷子にならないようにする。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Android Pではスマホの使い方をユーザーがコントロールできる機能を充実

Googleは今日のデベロッパーカンファレンスI/Oで、今度のAndroid Pオペレーティングシステムのための一連の新しいツールを発表した。それらはユーザーが使用時間をよりしっかり管理できるためのツールで、たとえばより強力なDo Not Disturb(邪魔しないで)モードや、アプリの使い方の現状を調べる方法などだ。

最大の変化は、Android Pで初めてダッシュボードが導入されることだ。ユーザーはその上で、自分のAndroidがどんな使われ方/使い方をしているかを一望できる。ちなみにその画面のバナーは“dashboard”ではなく“digital wellbeing”(デジタルの幸福)だ。そこで分かることは、自分のスマートフォンを何回アンロックしたか、通知を何回受け取ったか、どのアプリを何時間使った、などの数値だ。アプリの使われ方に関する情報は、デベロッパーがいろいろ盛り込むことができる。たとえばYouTubeでは、その特定のAndroidデバイスだけでなく、すべてのデバイスでYouTubeを見た合計時間が分かる。

Googleによると、ダッシュボードを導入したのは、デベロッパーたちが“意義あるエンゲージメント”と呼んでいるものを盛り上げるためだ。必ずしも健康的とは言えない、スクリーンのアイドルタイムを減らすこと。これからベッドへ行って寝るためにソファなどから立ち上がったら、お尻の下に自分のスマートフォンがあった、とか。このほか、Android Pでは、こんなことが新しくなる:

  • Do Not Disturbモードで通知を無視できる–スマートフォンを裏返すと自動的にDNDモードになる。このジェスチャをGoogleは“shush.”(シーッ)と呼んでいる。またテキストの通知だけでなく、ビジュアルの通知や電話の呼び出しも減らせる。
  • 寝る前にはスマートフォンを“wind down”モード(うとうとモード)にできるd–画面がグレースケールになり、明るさを徐々に減衰する。スマートフォンをふつうの活性状態のままベッドに持ち込まないための、工夫だ。
  • アプリのタイムリミットを設定できる–設定した時間が近づいたらユーザーに知らせ、実際にタイムリミットになったら画面をグレーにしてそのことを教える。.

これらの機能は以前、The Washington Post紙が報じた。テクノロジーのネガティブな側面への懸念、とくにその依存症的/中毒的な性質を取り上げた記事だ。Googleはすでに、子どものデバイスを管理するFamily Linkというツールを提供している。これはアプリへのアクセスをコントロールしたり、時間制限を設定したり、夜間の使用不能を設定したりできる。AmazonのFireタブレットも強力なペアレンタルコントロールを提供しているし、Appleも今年後半にはiOSのペアレンタルコントロールを強化するようだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Androidの新しいジェスチャーはiPhone Xそっくり

Googleは、Android次期バージョンの新機能の一部をデベロッパー会議で披露した。その中にとりわけ馴染みのある機能があった。Android Pにはアプリ間を行き来するナビゲーションに新しいジェスチャーが加わる。その動きはiPhone Xそっくりだ。

Android Pには、われわれが1年以上前から研究してきた新しいナビゲーション方式を導入する」とAndroidのエンジニアリング担当副社長、Dave Burkeが言った。「新デザインによってAndroidのマルチタスキングは、これまでより使いやすく理解しやすくなるだろう」

おそらくGoogleは新しいマルチタスキング画面を1年間検討してきたのだろうが、Appleをコピーしなかったとは信じ難い。iPhone Xは2017年9月に発表された。

Android Pでは、従来のホーム、戻る、およびマルチタスクのボタンがなくなっている。画面下端の中央には薄い横長のボタンが1つだけある。このボタンを上向きにスワイプすると、マルチタスク画面になって最近使ったアプリの一覧が表示される。画面を左右にスワイプすれば目的のアプリを選ぶことができる

もう一度上にスワイプすると、推奨アプリの並んだアプリドロワーが画面上端に表示される。いつでもボタンをタップすればホーム画面に戻れる。これらのジェスチャーはアプリを使っているときにも機能する。アプリの中では左下隅に戻るボタンが追加される。

薄いボタンを左右にスワイプすると隣のアプリに切り換えられる。これはiPhone Xと全く同じだ。複数のアプリをめくっていくこともできる。指を離すと選んだアプリに移動する。

Android Pベータは何種類かのデバイス向きに今日から入手できる。エンドユーザーには今後数カ月のうちにこの新バージョンがやってくる。

iPhone Xのジェスチャーは驚くほどエレガントで効率的なのでGoogleの選択を責めることはできない —— そしてもちろん、あのPalm Preによく似ていることもわかっている。iPhone Xを使ったあと現行バージョンの動くAndroid機を使うと、最近使ったアプリに移動するのに複数回のタップが必要なためずっと遅く感じる。

変化をもたらしたのはAppleであり、どのスマートフォンもiPhone Xのように動作すべきことは明らかだ。それでもGoogleが何か言われるのは仕方のないことだろう。

[原文へ]

(翻訳:Nob Takahashi / facebook

Microsoftの説では今Windows 10が動いているデバイスは全世界で7億台弱

同社のデベロッパーカンファレンスBuildでMicrosoftは今日(米国時間5/7)、7億弱のデバイスがWindows 10で動いている、と発表した。ほぼ1年前には、この数字は5億だった。同じく今日の発表によると、Office 365の月間アクティブ商用ユーザーは1億3500万で、昨年10月の1億2000万から増加した。

2015年にWindows 10をローンチしたときの、Microsoftの最初の目標は、2018年に10億台のデバイスに達する、だった。しかしすぐにそれは、楽観的すぎることが明らかになった。Windows 10のユーザーは今も着実に増え続けているが、近日中に10億に達することはなさそうだ。

Microsoftが喜んでいるのはむしろ、Office 365と関連のMicrosoft 365の登録会員制がうまくいってることだろう。至近の二つの四半期では、Office 365のユーザー数は前年同期比で30%増加し、売上額はそれを上回る比率で増加した。

比較的新しいMicrosoft 365についてはまだ数字がないが、これはWindows 10とOffice 365とモバイルのデバイス管理と企業向けセキュリティツールをセットにした有料会員制サービスだ。しかし今年のBuildカンファレンスでMicrosoftはこの新しいサービスをとても強調していたから、そのうち会員数などの数字が出てくることだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

IoTのベースOSとなるAndroid Things、ベータを脱して1.0をローンチ、I/O前日に発表

今日(米国時間5/7)Googleは、同社のIoT開発プラットホームAndroid Thingsがベータを終えた、と発表した。8つのリリース候補のうち、最後のは1か月足らず前にローンチし、そして今やAndroid Thingsは完熟のようだ。ベータのときから何社かが実際に製品を作り始め、またGoogleのAndroidスマートディスプレイのローンチパートナーたちも、このプラットホームがベースだ。

Android Thingsはハードウェアとソフトウェアのデベロッパーに、さまざまなIoTデバイスを作るためのSDKを提供する。またGoogleは、Raspberry Piなどハードウェアメーカー数社とパートナーしてデベロッパーキットを提供しており、さらに、デバイスを管理したり、プロトタイプや本番製品をネット経由でアップデートするためのデベロッパーコンソールも提供している。

つまりハードウェアのメーカーにIoT用のオペレーティングシステムを提供するんだけど、その管理はGoogleがやるので、デベロッパーは自分の製品づくりに専念できる。システムやそのメンテナンスを、気にせずにすむ。Googleは安定性向上のためのフィックスとセキュリティパッチを3年間提供するが、その延長契約も可能だ。

Googleによると、プレビューの段階でSDKは10万以上ダウンロードされた。そしてベータの間には、デベロッパーからのフィードバックが1万あまり得られた。

非商用のユーザーは最大100までのデバイスをAndroid Things Consoleで管理し、製品の市場展開ができる。デバイスが100を超えたり、商用製品を展開することになったら、Googleとの正式な契約が必要だ。

今日のローンチの一環としてGoogleは、二つのSystem-on-Modules for Thingsのサポートを発表した。それらのベースは、NXP i.MX8M, Qualcomm SDA212, Qualcomm SDA624, MediaTek MT8516だ。これらよりも前に、Raspberry Pi 3 Model BとNXP i.MX7Dデバイスはすでにサポートされている。ただし、NXP i.MX6ULのサポートは終了した。

GoogleのデベロッパーカンファレンスI/Oが明日から、というその一日前にAndroid Things 1.0の発表をするのは、なんか変だが、今日から行われるMicrosoftのカンファレンスBuildでもIoTが強調されるらしいから、Googleも発表をできるだけ早めたかったのだろう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

テネシー州の郡選挙サイト、DDos攻撃で投票日にダウン

先週、地方選挙の最中にDDoS(分散型サービス妨害)攻撃を受けてサーバーがダウンしたことを受け、テネシー州ノックス郡は外部セキュリティー調査会社と協力して原因を調査している。攻撃の結果郡長予備選挙結果を表示するノックス郡選挙委員会のウェブサイトは投票日の最中に停止した。郡はダウン中印刷された投票結果を配布した。

「本日夜、われわれのウェブサイトはDDos攻撃を許した」と5月1日夜ノックス郡がTwitterに書いた。「当郡の投票システムはインターネットと一切接続されていないため、選挙結果に影響はない」。

事件の翌日、ノックス郡長Tim Burchettは有権者に対して、今回の攻撃が投票に影響を与えていないことを改めて強調した。インターネット接続が可能な投票システムは、接続不能のシステムと比べてはるかにセキュリティーのリスクが高い。

「攻撃によって投票結果や選挙の完全性が影響を受けたことはないが、これは起きてはならないことだ」とBurchettが声明で述べた。「私は何が起きたのかを知りたい。将来同じような問題が起きないよう対策するために、第三者機関の協力を得るべきだと考えた」。

Burchettは、郡の選挙システムの危機管理が「未熟」であったことを指摘する外部の批判に対して、投票システムは「インターネットに接続されたことはなく、リスクはない」ことを再度強調した。

ノックス郡のIT部門長、Dick Moranは報告書の中で、「極めて大量で異常なネットワークトラフィック」はDDos攻撃と符合するものであり、関係しているIPアドレスは国内外両方のものであることを指摘した。Moranは、サーバーをオフラインに追い込むDDos攻撃と、システムやサーバーに侵入することを目的とするハッキングを明確に区別した。

ノックスビル拠点のセキュリティー会社、Sword & Shield Enterprise Securityは、今回の攻撃を分析し、サーバーがオフラインになった「正確な状況を突き止める」ために郡と契約を交わしている。

攻撃を受けた郡サイトは、選挙結果を一般向けに公開していただけで、投票を受けつけたり集計したりすることはない。しかしDDoS攻撃は混乱を引き起こすための陽動作戦として用いられることもある。TechCrunchは攻撃の詳細について、Sword & Shieldに問い合わせている。

国の選挙システムのセキュリティー強化を目的とする最近の取組みの一環として、国との連携が強化されていることから、TechCrunchは国土安全保障省にも連絡を取り、ノックス郡への支援について質問している。

[原文へ]

(翻訳:Nob Takahashi / facebook

GoogleのVR180対応のカメラがLenovoから登場

Lenovoは、ヘッドセットのMirage Solo発売に合わせて、Googleの180度テクノロジーに対応した最初のカメラを発表した。Lenovo Mirage Cameraは、YouTubeクリエイター向きを強く意識した製品で、13メガピクセルの魚眼レンズ2基が両目の位置に配置され、VRビューイングに最適な高画質の3Dビジョンを提供する。299ドルというか価格は、試してみようというクリエイターにとって高すぎることはないが、そのニッチの大きさが果たしてどのくらいなのかは考えなくてはならない。今日から出荷される。

カメラはYouTubeのVR180プラットフォームをベースに作られていて、クリエイターが少しでも簡単にVRのライブ撮影できることを目的としている。実際360度カメラは多くの注目を集めてきたが、クリエイターはこれで何ができるのかわかっていなかった。Googleの割り切りは、撮影対象を360度の半分にしてメディアとカメラを簡易化することで、そこまでコストをかけずに鮮明な3D 4Kビデオを提供することだった。

カメラの作りは非常にしっかりしている。はっきりした高級感はないものの、十分堅牢で何よりも携帯性が非常に高い。多くの360度カメラと同じくバッテリーの持ちは2時間とさほど長くないが、交換可能で1台スペアがついてくるのがうれしい。VR180とは180度を意味している。これは、特にカメラの上端に指がかかっていると180度の半球に映り込んでしまうのでよくわかる。

GoogleのVR180アプリを使うと、写真をプレビューしたり、カメラからYouTubeにライブストリームすることができる。

これは成功のための正しい答なのかもしれないが、問題は商品の登場が遅すぎたのではないかということだ。山ほどのYouTubeクリエイターが、VRビデオを試そうとしてフラストレーションを募らせていることは間違いない。ヘッドセットの数は増えているものの、VR視聴者の数はチャンネルを維持できるのにはいたっていない。「マジックウィンドウ」モードを使うとヘッドセットがなくてもモバイルやデスクトップでVR180ビデオを見ることはできるが、当然のことながら最大の売り物である3D機能は失われる。

[原文へ]

(翻訳:Nob Takahashi / facebook

Alexaのスキルにスキル内購入を書ける、デベロッパーに収入の道ひらける

【抄訳】
Amazonが今日(米国時間5/3)、Alexaのスキルを作っているデベロッパーが、そのスキルの中にスキル内購入を実装できるようにした。またそのために、スキルのためのAmazon Pay、Amazon Pay for Skillsを立ち上げた。これからはデベロッパーが、AmazonのEchoスピーカーのようなAlexa対応デバイスの音声アプリケーションから、収入を得ることができる。たとえばそれがゲームなら新しい武器を売ることができるし、無料の音声アプリの中に有料コンテンツのお買い上げお誘いを置くことができる。

この機能は2017年11月に発表されたが、これまではJeopardy!など、一部のアプリやゲームのデベロッパーだけが利用できていた。

音声アプリケーション(Amazon語で“スキル”)にスキル内購入が加わったら、お客はそこで売られているものを購入し、音声で支払うことができる。金額などの決済情報は、すでにそのユーザーのAmazonアカウントに結びついている。

有料にするコンテンツやその価格はデベロッパーが決められるが、購入の実際の処理はAmazonが扱う。またセルフサービスツールを使ってデベロッパーはスキル内購入を管理し、その売り方を最適化できる。ただしAmazonは、Prime会員向けには何らかの特典(値引き、特別コンテンツなど)を提供するよう、デベロッパーに要請している。なお売上に対するAmazonとデベロッパーの取り分は、30:70である。

【中略】

デベロッパーが売上を得る方法は、スキル内購入だけではない。

たとえばブランドやお店などは、イベントのチケットや花の配達など、さまざまな商品やサービスを、Amazon Pay for Alexa Skillsを利用して売ることができる。Amazon Payは既存のCRMと注文管理機能を統合しているので、お店は物やサービスを売るプロセスの中で販売管理ができる。その機能も、今日から一般公開される。

また、スキル内で何かを売るのではなく、人気の高いデベロッパーへの直接の報酬提供方式としてDeveloper Rewards(デベロッパー報酬)というプログラムもある。これは、スキルのデベロッパーのエコシステムを育てることが目的だ。

スキルのエコシステムと言えば、今日の発表ではAlexaのスキルの総数は40000、12月の25000から大きく増えている。

しかしこのエコシステムはロングテールがとても長くて、ユーザーのいない、またはほとんどいないスキルも多い。音声アプリの開発を体験してみるためにだけ作った、というものもある。音声デバイスの使われ方に関する調査によると、音声アシスタントでいちばん多く使われているのは、ニュースと情報、スマートホームのコントロール、タイマーのセット、リマインダーなどだ。多くは、音声アプリでなくてもよいものだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

デスクトップのChromeはユーザーの閲覧行動から学んで自動再生ビデオを無音にする

Webで最大に疎(うと)ましいものといえば、大音量の自動再生ビデオだ。Chromeやそのほかのブラウザーはここ数年、こいつと戦ってきたが、対策の多くはユーザーのアクションを必要とした。そこでChromeは、モバイルへの導入に続いてデスクトップでも、自動再生をブロックするサイトをブラウザー自身が判断できる機能を実装した。それは、ユーザーのそれまでの行動〔や設定〕から、嫌われてるサイトを見抜くのだ。

Googleによると、自動再生のほとんどが6秒以内に、停止されたり、無音にされたり、あるいはタブを閉じられたりしている。タブを閉じるのは6秒よりもっと早いと思うが、Googleとしては、“聴きたい/視たい意思”を確認するために6秒待った、ということだろう。

今後Googleは、ユーザーの閲覧行動から学習して、無音にしたいサイトを知る。GoogleにログインしていないユーザーやChromeを使い始めたばかりのユーザーの場合は、上述の6秒テストで判明した迷惑サイト上位1000を、自動的に無音にする。

Googleによると、このシステムはユーザーによって訓練されると、迷惑な自動再生サイトの約半数をブロックする。でも、完全なシステムは存在しないから、判定を間違えることもある。そんなときは手作業で無音を解消しなければならない。

モバイルでは、やり方がやや違う。ユーザーがホーム画面に載せていたサイトは、そのまま受け入れる。お気に入りのサイトをホーム画面に登録している人は、そんなに多くないと思うけど、だとするとモバイル上では自動再生の完全禁止になってしまう〔閲覧履歴によるパーソナルな判定をしないから〕。

なお、この機能はオーディオに対してのみである。Chromeによって無音化された自動再生ビデオは、ユーザーがそのページや動画を消さないかぎり、再生を続ける。それに、ユーザーがそのサイトのどこかをタップしたりクリックしたりすると自動再生がまた動き出す。この水漏れ穴は、ぜひふさいでほしいね。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

今すぐTwitterのパスワードを変えよう

またその時がやってきたーーパスワード変更の時だ。木曜日(米国時間5/3)Twitterは、バグのためにユーザーパスワードが隠蔽されていない形式で保存されていたことを公表した。通常、パスワードのような機密データは様々な文字と数字を使ったハッシュ形式で保存され、パスワード文字列そのものは保護されている。今回Twitterは、内部ログにパスワードをハッシュなしの平文形式で保存していたものと思われる。

Twitterは、これまでのところシステム内のパスワード情報が漏洩したり、ハッカーによってアクセスされた形跡はないとしているが、未知のリスクはあり得る。同社はユーザーに対して予防措置としてパスワードの変更を推奨している。

Twitterの説明は以下の通り

われわれは、bcryptという関数を使ったハッシングと呼ばれる処理によってパスワードを隠蔽している。実際のパスワードは無意味な数字と文字の列に変換されてTwitterシステムに保存されている。この方法によって、システムはパスワードを表に出すことなく個人認証を行うことができる。これは業界標準のやり方である。

このほどバグのためにハッシング処理の完了前にパスワードが内部ログに書き込まれた。われわれはこのエラーを自ら発見し、パスワードを削除するとともに、このようなバグが再発しないよう対策を検討している。

本誌はTwitterに連絡をとり、バグの詳しい情報および、発生理由の詳細を求めている。

アップデート:Twitterは本事象の技術的詳細の提供を拒んだが、パスワードが発見される可能性は極めて低く、内部調査の結果侵入あるいは不正利用を示す兆候がないことを強調した。

これだけの規模の企業が、このように基本的なセキュリティーの失敗を犯すことは珍しいが、これはユーザーがパスワード管理を見直す新たな理由でもある。たとえ使用しているプラットフォームに間違いがあったときでも、自分のアカウントを安全に保つために、今こそ二要素認証LastPass1Password などのパスワード・マネージャーを導入するときだ。

原文へ
 
(翻訳:Nob Takahashi / facebook

GoogleはGoogle Assistantのアプリケーション開発振興のためスタートアップを育てる投資育成事業を開始

Google Assistantのエコシステムをどうしても育てたいGoogleは、ついにそのために自腹を切ることになった。今日(米国時間5/2)の同社の発表によると、Assistantのアプリケーションを作る初期段階のスタートアップに、資金やそのほかのリソースを提供していく新しい事業をこれから立ち上げるようだ。

新製品に関してそのエコシステムを育てたい企業が、こんな事業を発表することはよくある。しかしGoogle Assistantの場合はすでにかなりの数のサービスが開発されているにもかかわらず、同社は“このクリエティビティをもっと鼓舞するために”、新しい事業を立ち上げるのだ、という。

Googleの、検索とGoogle Assistant担当VP Nick Foxも、こう言う: “Google Assistantでは、デベロッパーやデバイスのメーカーやコンテンツでのパートナーたちが新しいユーザー体験を作っていけるための、オープンなエコシステムの育成に力点を置きたい。Google Assistantに関してはすでにデベロッパーたちの多くのクリエティビティが見受けられるが、それをさらに促進するために、初期段階のスタートアップのための新たな投資事業を始める”。

投資だけでなくGoogleは、彼らスタートアップにメンターシップ(個人指導)や、技術者、プロダクトマネージャー、デザイナーなどからのアドバイスを提供する。そしてこの事業の対象になったスタートアップは新しい機能やツールにいち早くアクセスでき、またGoogle Cloud Platformとプロモーションの支援にもアクセスできる。これはまさに、アクセラレーターないしインキュベーターと呼びたいような事業だが、Googleはそう呼んでいない。

Foxによると、投資額に上限はない。“ふさわしいと思われる額を投資して、デジタルアシスタントのアプリケーション(ハードウェアもありうる)開発という、この新しい分野でスタートアップが成功できるように努めていく。しかも資金を提供するだけでなく、これらのスタートアップと積極的にパートナーして、彼らのプロダクトが市場で成功するよう、わが社の強みも生かしていく”。

この事業の対象となる最初のスタートアップGoMomentは、ホテルのためのコンシエルジュサービス、そしてEdwinは英語の個人教授、BotSocietyPulse Labsはデベロッパーツールだ。

これらのスタートアップは、Googleのねらいをよく表しているようだ。Foxによると、Googleが求めているスタートアップは、“旅行やゲームなど、Assistantをおもしろく活用できそうな特定業種をエンドユーザーとする”デベロッパーたちだ。Googleは一部のパートナーシップについてはその関わりをより深めると同時に、一方多くの場合は単純に、Assistantのような技術に関心のあるスタートアップを求めているのだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Facebookのオープンソースの囲碁ボットはプロの棋士に勝つ

碁(囲碁)は機械学習の研究者の必須科目だ。GoogleのDeepMindはそのアルゴリズムを魅せつけて有名になり、そしてFacebookも最近、碁ボットを自分で作っていることを発表した。同社のデベロッパーカンファレンスF8で今日(米国時間5/2)行われたそのELF OpenGoボットの発表では、30名の人間棋士との計14試合に全勝し、プロの資格を獲得した、と宣言された。

FacebookのCTO Mike Schroepferはこう述べた: “DeepMindにいるお友だちの偉業には敬服するけど、でも、まだ答えられていない疑問があるのではないだろうか? これらのツールは、ほかにどんなことに利用できるのか?”。Facebookが今日のブログ記事で言っているのは、DeepMindのモデル本体は不透明な包装紙に包まれたままだ、ということ。対照的にFacebookは、そのボットをオープンソースにした

“これを再現可能にしてしかも世界中のAI研究者が利用できるようにするために、われわれはオープンソースの碁ボットを作り、ELF OpenGoと名付けた。これなら、DeepMindのAlphaGoが答えなかった重要な疑問にも十分、答えることができるだろう”、とチームは主張している。

チームが関心を持っているのは、碁だけではない。FacebookのAI研究グループは、StarCraftボットも作って、あのゲームの混沌とした世界にプレーヤーが対応できるようにした。これも、オープンソースにする予定だ。Facebookはまだ、訓練量が十分ならどんなゲームでも学習できるボットをローンチできるところまでは行ってないが、でもチームはそれに向かって相当前進していることは確かだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

Google MapsがそのAPIの構成と課金方式を抜本的に変えて単純化、月200ドルぶんまで無料

GoogleがGoogle Maps APIを大きくアップデートし、それに伴い名称をGoogle Maps Platformに変えた。

これはこのAPIプラットホームの近年で最大の変化のひとつで、Google Mapsのデベロッパーからの利用を大幅に単純化するとともに、APIの課金方法も変わった。そして6月11日からは、デベロッパーは有効なAPIキーと、Google Cloud Platformの有料ユーザーとしてのアカウントが必要になる。

まず、これまで18に分かれていたMaps APIが三つのプロダクト、Maps, Routes, およびPlacesに統一される。ただし、既存のコードはそのまま無変更で動く。

また課金体系は、これまでのStandardとPremiumという二つのプランに代わり、単一の料金プランになる。サポートはこれまでPremiumプランのみだったが、これからは全域的に無料で提供される。無料プランはないが、月額200ドル相当ぶん*までの利用は無料となる。また、企業顧客向けには特注プランがある。〔*: 上のリンク先に200ドルでどれだけのことができるか、例がいくつか示されている。〕

特定業界向けのMapsソリューションも、既存のものを継続し、今後新たなものをローンチしていく。たとえば今年初めには、Mapsのデータを利用して現実世界を舞台とするゲームを作るゲームデベロッパーのためのプログラムを立ち上げた。そして今日は、アセットトラッキング*とライドシェアリングのための同様のソリューションを発表した。Lyftのアプリは昨年から、このライドシェアリングプロダクトを使っている。〔*: アセットトラッキングサービスの。〕

今日の発表声明は、こう書いている: “われわれのアセットトラッキング提供物は、車両などの資産(アセット, assets)の位置をリアルタイムで追跡し、車両を複雑な行路へルートすることによって企業の効率を改善する。今後はわれわれがインサイトと専門的能力を提供できるようなほかの分野にも、新たなソリューションを導入していきたい”。すなわちGoogle Mapsは今後、そのビジネス利用〜企業利用の本格化多様化に力を入れるようだ。

しかしGoogle Mapsとしてはこれは、正しい方向性だろう。Google Maps APIのアクセスは往々にして、問題を生じてきた。とくに無料利用のレベルを変えたときには、騒動が起きた。今日の変化により、これからはデベロッパーコミュニティからそのようなリアクションが起きることもないだろう。デベロッパーの仕事を、今後長期にわたって楽にしてくれる、と思われるからだ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

コンテナを安全に隔離するサンドボックス化コンテナランタイムgVisorをGoogleがオープンソースで提供

コペンハーゲンで行われているKubeConのおかげで、今週はコンテナの週、とくにKubernetesの週だ。Kubernetesは、Googleにおけるコンテナの使用から生まれたので、このショウもやはりGoogleからの発表が多い。その中でいちばんおもしろいのが、gVisorのローンチだろう。それはサンドボックス化されたコンテナランタイムで、コンテナ間の安全な隔離を確保する。

‘..Visor’という名前を見て、ぴんと来た方もおられると思うが、gVisorは仮想マシンを隔離して制御するハイパーバイザー(hypervisor)にちょっと似ていて、仮想マシンではなくコンテナを隔離する。コンテナを使うワークロードのセキュリティを確保したい企業には、とくに関心があるだろう。それは、Kubernetesの世界でも未だに問題なのだ。

今日の発表は、こう言っている: “互いにヘテロで信頼性の乏しい複数のワークロードを同時に動かしたいという欲求が、ますます強くなっている。そのために、サンドボックス化され隔離されたコンテナへの関心が生まれている。それは、ホストOSとコンテナの中で動くアプリケーションとの間に安全な隔離境界のあるコンテナだ。gVisorは、アプリケーションのシステムコールを横取りしてゲストカーネルとして動作し、しかも終始、ユーザー空間で動く”。

gVisorに加えてGoogleは、Stackdriver MonitoringにおけるKubernetesのサポートをローンチした。この、まだベータの新サービスは、複数のクラウドやオンプレミス環境にまたがるKubernetesアプリケーションのステートを、すべて一箇所にまとめたビューを与える。ただしGoogle Cloudの外では、すべてがスムーズに動くためにちょっとした統合作業が必要だ。

〔参考: サンドボックス解説

[原文へ]
(翻訳:iwatani(a.k.a. hiwa

GoogleがApache AirflowによるワークフローオートメーションツールCloud Composerをローンチ

Google Cloudgが今日(米国時間5/1)、Cloud Composerの最初の公開ベータを立ち上げる。それは、Apache Airflowプロジェクトをベースとするデベロッパーのためのワークフローオートメーションツールだ。

通常、ITチームは必要に応じて独自に自動化ワークフローを作るが、それは、さまざまなツールと、いつも動くとは限らないBashスクリプトを寄せ集めた混乱になりがちだ。AirflowとCloud Composerは、ワークフローを作ってオーケストレーションするための標準化された単一の方法をチームに提供する。

Googleによると、この新しいツールはPythonをデフォルトの言語として使用し、これによりチームは、オンプレミスのさまざまなツールや複数のクラウドにまたがるワークフローを構築できる。またオープンソースのプロジェクトなので、ワークフローを複数のプラットホームに亙っても使用できる。Google Cloud Platformに深く統合されているサービスだが、ロックインはない、とGoogleのチームは言っている。

“Cloud Composerでは、Google Cloud Platformの長所とAirflowを結びつけたかった”、とCloud Composerのチームが今日の発表で書いている。“Airflowの最良の機能をそのインストールや管理に要するオーバヘッドなしで提供できるサービスを作ろうと思った。余計な作業に時間を取られなくなれば、もっと重要なもの、すなわちワークフローに多くの時間を割けるようになる”。

Airflow、そしてその拡張であるCloud Composerでは、さまざまなタスクとそれらに期待する結果を、Directed Acyclic Graph(DAG, 有向非循環グラフ)というもので定義する。これらは、標準的なPythonのファイルで、ワークフローをその細部まで定義している。完全なドキュメンテーションは、ここにある。

Googleによると、同社はAirflowのコミュニティにも積極的に参加している。そしてすでに、相当数のプルリクエストを貢献している。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa