エフセキュアブログ

ブラックボックスを持ち運ぶ必要はない




FBI長官ジェームズ・コミー氏の最近の発言は、当局の監視に対するご都合主義的な取り組み方を再度示すものでした。デバイスに保存されたデータを保護する強力な暗号化機能がGoogleやAppleのモバイルOSに組み込まれることが、コミー氏は気に入らないのです。このセキュリティ機能は、所有者がデバイスを紛失した場合やスパイ行為の対象となる可能性がある場合には当然不可欠なものです。しかし当局は、暗号化機能により捜査が困難になるという理由で、これを嫌がっているのです。コミーの発言した内容を簡潔に言えば、適切な令状があれば、当局がモバイルデバイスのデータにアクセスできてしかるべきだということです。これは、犯罪に対して効果的に戦うには必要でしょう。コミー氏は続けて、殺人や児童虐待、テロなど、憎むべき犯罪を列挙したのです。そうです。最初は、なるほどと思われるかもしれません。しかし、よく考えてみたらどうでしょうか。

コミー氏の発言を、普通の、分かりやすい言葉に直してみましょう。コミー氏が言ったことの本当の意味はこうです。

「FBI長官、ジェームズ・コミーは、世界中の一人ひとりが追跡デバイスを常時携帯することを望む。このデバイスは所有者の通信内容を収集し、データが保存されているクラウドサービスに通じるものである。追跡デバイスの中身は、要請に応じて米国当局に提出されることになる。これにより人々のセキュリティが侵害されようが我々には関係ない。また、我々の目的は所有者のプライバシーよりも重要であるため、所有者もこの問題について関心を持つべきではない。」

お気づきのことと思いますが、ここで問題にしているのはそういうことなのです。ここでいう「追跡デバイス」とは、もちろん携帯電話などの小型のデジタルデバイスのことです。私たちのデジタルライフは、すでに実生活の生き写しとなっています。こうしたデバイスには実際のデータが保存されているだけでなく、パスワードが保存されているため、クラウドサービスへの入口にもなっているのです。FBIにモバイルデバイスへのアクセスを許すということは、デバイスにあるデータを見せるということだけではありません。米国の管轄下にあるかどうかにかかわらず、ユーザのクラウドサービスへのアクセスをも許すことになるのです。

要するに、コミー氏は世界中の一人ひとりのポケットにブラックボックスを取り付けたいのです。フライトのデータや通信を記録するブラックボックスは、航空機の操縦室では正当化されても、一般の人々のプライベートな生活で認められるものではありません。

いや、待ってください。仮にこのやり方で本当に犯罪を解決できるとしたらどうでしょうか。

もちろんこのようにして収集したデータが決定的なものとなるケースもいくらかはあるでしょう。派手な広報活動を展開して、当局がプライベートデータにアクセスできることの重要性を公に知らしめるのには十分かもしれません。しかし、世界中で一般的に利用されているOSのセキュリティを脆弱にしようと提案すること自体、人々が持つセキュリティとプライバシーの権利を無視していることの表れにほかならず、また、これによるリスクは、利点よりもはるかに大きいものです。

コミー氏は、デバイスのデータを使って解決した事件の例について話す際は、言葉数が増え、わかりにくい説明に終始しました。しかし、これまでに多くの事件がスマートデバイスにあるデータを「使わずに」解決されています。ほんの10年前には、この種の追跡デバイスはありませんでした。それでも警察は、殺人犯やその他の犯罪者を逮捕してきました。今日にもスマートフォンの使用をやめ、FBI追跡システムから逃れることも可能です。それは皆さんの権利で、そうしても法を犯すことにはなりません。セキュリティに通じた犯罪者の多くはおそらくそうしているでしょうし、コミー氏の思惑通りに事が運べば更に多くの犯罪者が同じようにするでしょう。ですから、FBIは携帯電話をブラックボックスに変えることなく犯罪を捜査する力を持たねばならないことは明らかなのです。コミー氏の提案は、純粋にご都合主義によるもので、データがあるという理由だけでそれを欲しがっているのであり、本当に必要だからというわけではないのです。

安全なネットサーフィンを
Micke

>>原文へのリンク

デジタルライフを維持するための心得

現在私たちは、自分たちの行動について、未だかつてないほど多くの情報を収集しています。常にデジタル写真を撮影し、Facebookで近況を投稿しています。今どこにいるか、何をしているか、どう感じているかを世界に向けて発信しており、非常にきめ細かく自分たちの生活を記録しているのです。

問題はこのデータがどれだけ長く残るかということです。後になって本になるほど貴重な体験をしたことに気づいた場合、私たちのデジタルライフは、十分な痕跡を残してくれているでしょうか? 20年後、同じソーシャルメディア・サービスをまだ使っているでしょうか? まだ同じアカウントを持っているでしょうか? そのサービスはまだ存在するでしょうか? メールについても過去のメールを保存していますか? デジタル写真はどのようにアーカイブしていますか? 安価なクラウドアカウントにすべて収まるように、写真を整理して消去してしまった方もおられるかもしれません。

ここでは、デジタルライフを維持するために、心に留めておくべきことを紹介します。

1. 自分の個人的な記録の価値を認識しましょう。1件のFacebook投稿に価値を見出すことができなくても、全部集めることで価値が生まれる可能性があります。保存しておけば、将来それを使うか使わないかを選ぶことができます。なくなってしまえば選択することはできません。

2. メール、ソーシャルメディア、クラウドストレージのアカウントへのアクセスを失わないようにしましょう。アクセスを失えば、一般にデータは失われてしまいます。またサービスには必ず第2メールアドレスを登録しておいてください。そうすることで、パスワードを忘れたときに復旧することができます。パスワード・マネージャーを使用して、パスワードを忘れないようにしましょう。

3. 冗長性は重要です。1カ所だけに重要なデータを保存することは避けましょう。理想的なのは、ローカルコンピュータとクラウドアカウントの両方にファイルを保存することです。これで冗長性を得られるだけでなく、地理的に離れた複数の場所にデータを保管することにもなります。

4. メールアカウントの容量は限られており、永久にメールを保存しておくことはできません。過去のメールは削除せずに、ローカル・ストレージにメールをアーカイブ保存できる機能がないか、使用しているメールクライアントをチェックしましょう。

5. 投稿したデータをダウンロードする方法がないか、使用しているソーシャルメディア・サービスを確認しましょう。Facebookでは、[設定] > [一般] にこの機能があります。ダウンロードを定期的に行うことをお勧めします。最低でも、アカウントを閉じてどこか他のところに移る場合はダウンロードする必要があります。

6. 新しいコンピュータまたは別のクラウドサービスへの切り替え時には、データを移行しておきましょう。時間がかかることもありますが、移行するだけの価値はあります。

自分の投稿を保存しておく必要はないと思われるかもしれませんが、将来どうなるかは分かりません。デジタルの思い出をなくさないようお気をつけください。

募集:最高傑作なAndroidアプリのテスター

 いや…、つまりAndroidアプリの「最高傑作」というのは、ちょっとお茶目な誇張なんだ。しかし依然として、実際に傑出したアプリではある。どのアプリのことだろうか?えー、もちろんF-Secure Freedomeだ(現在、AndroidiOSで使える)。

 Freedomeチームは(研究所チームと共に)Android向けの新たな機能、クラウドベースのラピュテーションスキャンを開発中である。そして、そのベータアプリのために、多数のテスターを必要としている。(あなたは?)

 以下は画面のプレビューだ。

Freedome beta, App security
See it in action

 完全にクラウドベースで機能する。すなわちデータベースの更新をダウンロードするようなことはない。したがって非常に軽量だ。

 言論の自由を行使したい人々は、検閲を回避する目的で、ますますVPNサービスへと移行している。そして、それと引き換えに、政府出資のマルウェアによって多数の人々が標的となっている。

 当社はあなたの助けを必要としている。ベータ版を使うだけでも貢献となる。

 参加者は3か月間の無料サービスが受けられ、アクティブな参加者はFreedomeのパーカーを受け取る資格を得られる。

 いや待てよ。もっと何かあったな…。

 我々は新しい「研究所のシール」をデザインした。そしてテスターたちは、これを得るためのチャンスを最初に得られる。

 なので、すぐにベータ版に参加して頂きたい

 すでにFreedomeがインストール済みでも心配いらない。このベータ版は並行してインストールできるようになっているので、そういう方も参加可能だ。

 よろしく!

—————

エフセキュアのプライバシー原則

グローブ・テレコム、エフセキュアの個人向けクラウドサービスを採用

エフセキュアと、フィリピンの大手通信事業者グローブ・テレコムは、グローブ・テレコムのモバイル加入者に安全な個人向けクラウドサービスを提供することで合意に達しました。エフセキュアがサポートするGlobe Cloudにより、加入者は写真や動画、文書といったファイルを安全な場所に保存できます。また、コンテンツを他のオンラインサービスからGlobe Cloudへ、すべて1カ所に統合することも可能になります。

ユーザは、モバイルデバイスやコンピュータに大量のコンテンツを作成しています。こうしたコンテンツ(写真や動画、文書など)は多くの場合、さまざまなデバイスやオンラインサービスに分散されています。個人向けクラウドサービスを使えば、ユーザは1つの場所ですべてのファイルにアクセスすることができます。また、エフセキュア独自のクラウドテクノロジーにより、FacebookやDropboxといった他のサービスからコンテンツを統合することもできます。そのため、コンテンツはスマートフォンやタブレット、ノートPC、デスクトップPCを通じて、アクセス、ストリーミング、共有が可能になります。エフセキュアは、プライバシーを保護するクラウドサービスを基礎から築き上げてきたため、ユーザはコンテンツの安全性に確信を持つことができます。

グローブ・テレコムのデジタルメディア担当バイスプレジデントを務めるGlenn Estrella氏は、次のように述べています。「このサービスは、すでに当社のユーザから好評を博しています。会社として私たちは、安心と妥当性を通じて、ユーザのデジタルライフを豊かにするべく取り組んでいます。エフセキュアの個人向けクラウドサービスは、この目的を実現してくれます。当社がこのサービスを選んだのはそのためです。エフセキュアのクラウドサービスは使いやすく、皆様の毎日のデジタルライフを豊かにしてくれます。」

エフセキュアのアジア太平洋地域担当バイスプレジデントPaul Palmerは、次のように述べています。「新たにグローブ・テレコムにエフセキュアの個人向けクラウドサービスをご活用いただけることを嬉しく思います。個人向けクラウドサービスは、顧客ロイヤルティと顧客満足度を向上させることで知られています。これは皆様が毎日使うサービスですので、グローブ・テレコムがお客様との関係を維持し育むことのできる、すばらしい方法と言えます。」

世界中の通信事業者のナンバーワン セキュリティパートナーとして、エフセキュアは世界各国の100以上の通信事業者を通じて安全なクラウドサービスを提供しています。エフセキュアは、数百万ものエンドユーザの数十億もの写真、動画、文書などのファイルを安全に保存しています。エフセキュアのクラウドコンテンツは増え続けており、現在数十ペタバイトにものぼっています。

Globe Cloudは、Android、iOSおよびWindows Phone 8搭載のスマートフォンやタブレット、ならびにデスクトップPC、Macコンピュータ、ノートPCで利用可能です。現在グローブ・テレコムの加入者には、1GBの無料ストレージが提供されます。グローブ・テレコムは今後、ブロードバンドの加入者にもこのサービスを利用できるようにする予定です。

香港の抗議者にデジタル戦争を仕掛けているのは?

中国のデジタル機動隊か?
 
Volexityによると、「非常に顕著なAPT攻撃」が数カ月にわたり、香港や日本のウェブサイトを攻撃しているということです。
 
民主主義を支持するサイトが被害を受けていますが、その中には、「ATD(Alliance for True Democracy、真普選聯盟)– 香港」や「People Power(人民力量)– 香港」のほか、中国政府に対する大規模な抗議活動を支えるOccupy Central(中環占拠)やUmbrella Revolution(傘の革命)といった学生運動と関連するその他複数のサイトが含まれています。今、こうしたサイトにアクセスする人は、「脆弱性の悪用、セキュリティ侵害、デジタル監視」を目的に作られたマルウェアの標的となっているのです。
当ブログでの分析では、サイバー犯罪者は、政治的な思惑などなく単純にこのニュースに便乗している可能性があるとMickeは指摘しています。しかしながら、使われているリモートアクセス型トロイの木馬(RAT)は、この運動に敵対する側に大きなメリットを与える可能性が考えられます。
 
Mickeは次のように記しています。「こうしたサイトへアクセスする人の多くは、リーダー格として、または市民レベルで今回の運動に何らかの形で関わっています。彼らの敵は、これらのサイト訪問者が所有するデバイスのほんの一部にでもRATを仕掛けることによって、貴重な情報を大量に入手することができるのです。」
 
そして、リーダー格の人たちがたとえ屈しないとしても、RATのうわさを聞くことでユーザはこうしたサイトに近寄らなくなるでしょう。これは、できるだけ早く抗議活動が終わってほしいと願う人々にとっては効果的な方策です。抗議活動の計画に利用できるTwitterのようなソーシャルネットワークがなければ、このやり方はさらに有効でしょう。しかし、たとえソーシャルネットワークが政府にブロックされたとしても、エフセキュアのFreedomeのようなVPNソリューションがあれば、被害を防ぐことができます。
 
もし、攻撃の目的が抗議者を標的にして抗議活動を鈍らせることであれば、「中国政府が有力な容疑者であることは、誰の目にも明白です」と、Mickeは書いています。
 
国家主導のRAT攻撃、あるいは国家が黙認する、民間組織による攻撃の深刻さは計り知れません。
 
犯罪者たちは個人、企業、政府自体を標的にマルウェアを使っています。反抗する国民に対する政府主導のサイバー攻撃は、Flameのような政府主導型の監視マルウェアがエスカレートしたものと言えるでしょう。こうなると、各企業は政府によるマルウェア攻撃について考えざるをえなくなります。
 
この1年の間に、何の罪にも問われていないインターネットユーザに対して防御を固めるために、政府がこんなにも懐疑的になれるのかということを知ったばかりですが、今は、政府がユーザを攻撃しているのではないかという可能性を目にしているのです。

>>原文へのリンク

エフセキュアとAirangelの提携により、英国における公衆Wifiホットスポットの安全な利用が可能に

エフセキュアは、スヌーピングの撲滅と有害なウェブリンクのブロック、および英国における数千ものWifiホットスポットユーザのプライバシーと安全性の改善を目指し、英国の大手WifiプロバイダであるAirangelと提携しました。AirangelのWifiホットスポットユーザは、ランディングページで、エフセキュアのセキュリティソリューションによりオンラインプライバシーを保護できるようになります。

一流ホテルやアウトドアレジャー施設のほか、有名小売店において公衆Wifiネットワークを提供しているAirangelは、モバイルデバイスからの通信を暗号化することでデータ漏洩を防ぐVPNアプリ、F-Secure Freedomeの発売を受けて、エフセキュアと提携関係を結びました。

英国における公衆WifiおよびゲストWifiについては、特に無料の公衆ホットスポットの利用がますます一般的になっています。これに伴い、オンラインプライバシーへの懸念が増大しています。英国のユーザは、マーケティング業者やハッカー、政府機関から一挙一動を監視、スヌーピングされずに安心してインターネットを利用できることを望んでいます。

F-Secure Freedomeは、特に公衆Wifiの利用時にモバイルデバイスを保護する、セキュリティとオンラインプライバシーのアプリです。シンプルで使いやすいこのアプリは、VPN、アンチウイルス、トラッキング防止およびフィッシング防止機能を備えています。Airangelが提供する接続を利用していれば、保護機能を追加できるとともに、高速で中断のない、使い慣れたインターネットブラウジングを楽しむことができます。

エフセキュアが委託して行った最近の調査*によれば、英国の92%のエンドユーザは、オンライン上でのプライバシーが守られる権利があると考えているものの(政府機関によるスヌーピングや広告マーケティング、または個人情報を盗み取ろうとする犯罪者によるアクセス等にかかわらず)、驚くべきことに、80%以上のユーザが、自身のデータはオンライン上で安全ではない(モバイル上でウェブをブラウジングしている際は特に)と考えています。

エフセキュア英国・アイルランド法人のマネージング・ディレクター、アレン・スコットは次のように述べています。「Wifiは、いまでは至る所にあります。これは、私たちが自由に使える技術の中で、もっとも有益ですぐれているもののひとつです。しかし、この一般性のために、ユーザの間では安全性や認識について誤った理解が広まっています。サッカーの試合結果をチェックするのに、セキュリティが確保されていない接続を利用するのはかまいませんが、SNSアプリを開いたり、メッセージを送る場合などには暗号化が不可欠です。」

Airangelのディーン・ウィルキンソンCEOは、続けて次のように述べています。「Airangelは12年にわたって、創造的なゲストWifiおよび公衆Wifiを提供してきており、いまではホテルや小売店、企業、レジャー施設、イベントなどにおいて、毎年3,500万以上の接続を管理しています。英国内で急成長を遂げている企業に対し、市場をリードする効果的なサービスを提供しているという共通点から、当社はエフセキュアとの提携に大変関心を持っていました。当社はお客様に安全ですぐれたWifi体験を提供したいと考えており、今回の提携によりそれを実現することが可能になるでしょう。」

* 2,000人を対象に、Vital Research & Statisticsが実施した2014年5月の調査

Airangelについて
Airangelは、さまざまなWifiソリューションを提供しています。Airangelのソリューションは、ビジネスに大きな効果をもたらし、より豊かで有益な顧客エクスペリエンスを実現します。Airangelは、企業が顧客体験の管理、パーソナライズ、ソーシャライズを行うことで、Wifiやモバイルマーケティング、ソーシャルメディアを手軽に利用できるようにします。

RATが香港の民主活動家たちを脅かす

 最近、香港が報道の見出しを賑わせている。オキュパイ・セントラル(#occupycentral#OccupyHK)運動や、傘の革命(#umbrellarevolution#UmbrellaMovement)のおかげだ。DPHK(Democratic Party Hong Kong、香港民主黨)とATD(Alliance for True Democracy、真普選聯盟)はこの活動の中心的な組織である。近頃は、こういった活動が民主主義のための戦い以上のものへと発展した。上記の組織のサイトがマルウェアに感染し、#digitalfreedomのための戦いへと変化したのだ。Volexity社は技術的な全詳細とともに記事を掲載している。それは、さまざまな目的で使うことのできる、RAT(Remote Access Trojan)のことのようだ。今回の目的は、実際のところ興味深い疑問だ。誰がなぜこれをやったのか?

 •  現在のサイバー犯罪は、大体においてソーシャルエンジニアリングであり、マルウェアを実行させるために被害者を誘い出しデバイスを感染させる。ショッキングな報道の見出しに便乗して、感染したサイトや詐欺ページに、より多くのユーザを導くことは、サイバー犯罪者にとって非常に一般的なことだ。したがって、世界の注目の的となっている感染したサイトは、政治的な動機が皆無であっても、サイバー犯罪者にとって魅力的だ。

 •  前述の組織は、世界の先端を行くサイバー超大国の1つとの政治的な紛争に巻き込まれている。つまり、政治的な動機により、中国がこのマルウェアの攻撃の背後にいるというのは、もっともらしく思われる。上記サイトへの数多くの訪問者は、指導者として、あるいは草の根レベルで、なんらかの形で運動に関与している。こうした人々のデバイスのほんの一部分にRATを植えつけたとしても、彼らの敵は大量の価値ある情報を得られるだろう。

 •  問題を取り巻く評判によっても、人々が怖がってサイトから離れていくだろう。抗議運動を組織化するのにTwitterが効率的に使われているため、サイトが感染してもおそらく現実的な影響はほとんどない。Twitterのようなサービスを遮断することは可能だが、非常に目立つ劇的な行動だ。またF-Secure FreedomeのようなVPNで回避することもできる。しかし、抗議団体のメッセージを世界中の聴衆に拡散するためには、これらのサイトはより重要である。今回の影響はこのレベルで重大かもしれない。ここでも中国は利益を得る側だ。

 この話の教訓は、当然ながら政治活動家はサイバー攻撃において魅力的な標的である、ということだ。今回のケースに政治的な動機があったという証拠はない。ただ、中国が有力な容疑者であると見当をつけるのに、天賦の才が必要なわけではない。そして、そのおかげで、今回のケースが特筆すべき事態となっている。犯罪者たちはたいてい私的な個人を標的にし、国家は他の国家を標的とする。しかしここでは、国家が政治団体に属する一般人を標的にしているのを我々は目撃したのだ。この種の攻撃は、反対運動を実行する人々にとって、真の脅威だ。そしてこの脅威は、民主的な度合いが低い国々に限ったものではない。多数の西洋の国の警察部隊は、すでに容疑者にマルウェアを使用するための技術的および法的な支援の双方を受けている。そして大抵は、その使用に当たり、適切な透明性と統制が存在しない。

 ざっくばらんに言って、同様のケースがここヨーロッパで発見されても、筆者はそれほど驚かないだろう。現在のところ、ヨーロッパに傘の革命と同規模の民主化活動があるわけではない。しかし当局によって監視されている組織は多数ある。極右団体が分かりやすい例だ。

Micke

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
メディア関係者の皆様へ

エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード