英国に本部を置くMobile Ecosystem Forum（モバイル・エコシステム・フォーラム：MEF）が19日夜にロンドンで開催した「Meffy Award」授賞式において、インターネットに対する消費者の信頼を強化するエフセキュアの取り組みが評価されました。エフセキュアのVPNソリューションFreedomeが2015年 Meffy awardのConsumer Trust部門を受賞し、オンライン・プライバシーのソリューションを提供するFreedomeの実力が証明されました。

最近行われた複数の調査から、インターネットサービスの信頼性に関して消費者が常に懸念を抱いていることが明らかになっています。欧州連合の世論調査Eurobarometer（ユーロバロメーター）の調査では、個人情報保護に関して、回答者の63%がインターネットサービス会社を信頼していないと答えています*。米調査機関PEW Research Center（ピュー・リサーチ・センター）が米国で実施した調査でも「さまざまな企業・組織の中で、個人情報保護について最も信頼性が低いのはインターネットサービス会社」であったことが明らかになり、66%から79%の回答者が、インターネット接続業者が収集したネット上でのユーザの行動履歴がきちんと保護されているか、確信が持てないと答えています**。

Mobile Ecosystem Forum CEOであるリマ・ペレルミューター氏は次のように述べています。「Mobile Ecosystem Forumは長年にわたり、消費者の信頼強化に貢献するベストプラクティスを推進してきました。今年の『Meffy Award』Consumer Trust部門を受賞したエフセキュアは、モバイルエコシステムで重要な役割を果たしており、モバイルアプリやサービスの利用に対する消費者の信頼強化に貢献する取り組みが高く評価されました」

プライバシー・セキュリティ対策アプリFreedomeは、通信の暗号化、インターネットのトラッキングや悪意のあるウェブサイトのブロック、ジオブロック（地域制限）のあるウェブサイトやストリーミングサービスにアクセスするための仮想ロケーションの変更などを可能にします。Freedomeの保護機能を利用すれば、インターネット上のプライバシー保護をユーザ自身がコントロールできるようになります。Freedomeはデジタルサービスの利用に対するユーザの信頼強化に寄与すると同時に、ユーザが安心して利用できるデジタルエコシステムの発展に重要な役割を果たしています。

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは次のように述べています。「今回Freedomeが『Meffy Award』Consumer Trust部門を受賞したことを大変喜ばしく思います。エフセキュアは安全なインターネット環境の創出において、消費者の信頼と個人情報保護を戦略の中核に据えています。今回の受賞は、デジタルの自由を提供するエフセキュアに大きな成果をもたらすとともに、プライバシー保護に貢献するFreedomeの優れた実力が証明されました」

「Meffy Award」のConsumer Trust部門は2012年に新設され、モバイル機器ユーザにとって信頼性の高い環境・サービスづくりに取り組む企業・組織に与えられます。受賞者の選定にあたっては、業界ベストプラクティスの遵守やプロセスの透明性のほか、使いやすさや管理のしやすさに基づいた審査が行われ、信頼性の向上がモバイルサービスの理解促進にどのように貢献したかも評価されます。

Freedomeに興味のある方は、Windows PC、AppleのOS X、Android、iOS、Fire対応のバージョンが、現在14日間無料の試用版ダウンロードでお試しいただけます。

*出典：http://ec.europa.eu/public_opinion/archives/ebs/ebs_431_en.pdf
**出典：http://www.pewinternet.org/2015/05/20/americans-attitudes-about-privacy-security-and-surveillance/

詳細情報:  
エフセキュアFreedome　
モバイル・エコシステム・フォーラム「Meffy Award」Consumer Trust部門

エフセキュアは本日Freedome VPNの新しい機能Tracker Mapper(トラッカーマッパー)を発表しました。Tracker Mapperは、ユーザがインターネットでのプライバシーを守り、広告主や第三者による追跡を把握するうえで役立つ機能です。可視化ツールであるTracker Mapperを利用すれば、Webサイトやオンライントラッキングが連携してデータ収集ネットワークを生成し、ユーザのネット上での活動を追跡する仕組みが明らかになります。

7月にベータ版が発表されたTracker Mapperは、オンライントラッキングに関心を示すFreedome ユーザの要望に応えて改良が重ねられてきました。World Wide Webの上位100のドメインの半数以上が広告やトラッキングサービスの提供に特化しているというデータ*からも、トラッキングがインターネットの主要な部分を占めるようになっている傾向が伺えます。エフセキュアがTracker Mapper のベータ版テストユーザを対象に行った最近の調査では、回答者の87%がオンライントラッキングに懸念を示していることが明らかになっています**。

エフセキュアの次世代セキュリティ担当ディレクターを務めるジャンヌ・パティラーティは、Freedomeユーザが、インターネット利用において把握が難しいトラッキングの仕組みについての情報を求めている点を挙げ、次のように述べています。「商業的な調査業界は、ほとんどのユーザにとって目に見えない存在です。 ユーザはネット上の活動を企業によって追跡されていることは知っていますが、追跡プロセスの仕組みや、企業がどのような情報を求めているか、そして追跡を止める方法については知る由もありません。しかし今回発表されたTracker Mapperを使えば、ユーザは オンライントラッキングについて詳しい情報が得られ、ネット上でのプライバシーを管理できるようになるのです」

Tracker Mapper はユーザがWebサイト閲覧時に、Freedomeがブロックした追跡の試みと悪意のあるWebサイトを24時間記録します。Tracker Mapper はこの情報をインタラクティブな可視化機能を用いてリアルタイムに表示し、Webサイトや第三者がデータ収集を行うネットワークを生成し、ユーザのネット上での活動を追跡する仕組みを明らかにします。Tracker Mapper機能はオン/オフの切り替えが容易で、記録したデータをいつでも削除できるほか、プライバシー強化として、3日後にはTracker Mapperが記録したすべてのデータを自動的に削除する設定にもできます。そのほかデータをテキスト形式のファイルとして書き出し、ローカルに保存して独自の分析を行ったり、友人同士でデータを共有・比較することも可能です。

「プライバシー管理に関して最も難しい点は、そもそもプライバシーに関する情報が広告主や第三者に晒される仕組みを把握することです。この仕組みの明確化は難しいため、Tracker Mapper のベータ版テストユーザからはTracker Mapperによる可視化を評価いただけましたが、ユーザ自身の経験から、インターネットトラッキングにどう対処すべきかに重点を置いてほしいと望む声が多かったのです。この要望を受けて、私たちはネットワーク上でユーザの追跡を行っている主な広告主やWebサイトなどをリストにまとめる機能をTracker Mapper に加え、ユーザのネット上での活動がどこで最も追跡されているかを明らかにしています」

Freedomeはボタン1つでカスタムのプライベートネットワークを提供します。Freedomeなら接続の暗号化を容易に実現し、 仮想ロケーションを変更して特定の国でしか利用できないWebサイトやストリーミングサービスにアクセスできるほか、悪意のあるWebサイトやオンライントラッキングの試みを阻止します。Freedome は現在、iOS、Android、Windows PC、OS X、Amazon Fireデバイスに対応しています。 今回の新機能Tracker Mapper はFreedomeのOS X および Windows PCでご利用になることができ、今年中には他のモバイル機器にも対応範囲を広げていく予定です。


*出典：エフセキュアラボがデータ収集を行い、データの数値は2015年9月15日〜22日の期間に観測されたヒット数に基づいています。
**出典：本調査は2015年10月にエフセキュアが実施し、Freedome用Tracker Mapper機能のベータ版テストユーザ520人から回答を得ました。

詳細情報:  
Freedome　 https://www.f-secure.com/ja_JP/web/home_jp/freedome
Who is tracking me?　 https://freedome.f-secure.com/whoistrackingme/index.html

Facebookにログインすると、政府の支援を受ける組織があなたのアカウントに不正侵入を試みたことを知らせる、次のメッセージが表示される場合があります。




Facebookが門番(ゲートキーパー)としてセキュリティ対策に乗り出すのは今回が初めてではありません。FacebookはユーザPCのマルウェア検知を行っており、マルウェアに感染したと考えられる場合には、エフセキュアのF-Secureスキャン などの無料オンラインスキャンを提案し、ログイン前にPCからウィルスを除去できるようサポートしています。

今回Facebookの措置で特筆すべきことは、不正アクセスがどこかしらの政府によるものであり、それがユーザにとって自国政府の可能性もあることを示唆している点です。 国家の支援する組織がサイバー攻撃を頻繁に行っているという考えが正しいと認められて、Facebookが脅威に対し速やかに措置を講じたことは驚くべきことかもしれませんが、これが世の中の現状なのです。

エフセキュアラボは長年にわたり、国家支援を受ける組織によるサイバー脅威について警告を続けていました。

新たな措置に関する通知において、Facebookのチーフセキュリティオフィサーを務めるアレックス・ スタモス氏は次のように述べています 。「この種の攻撃は高度かつ危険度が高い傾向にあるため、今回の措置を取ることにしました。攻撃の標的になっている可能性がある方は、ご自分の所有するすべてのオンラインアカウントの安全性が確保されていることを確認するために、必要な対策を取られることを強くお勧めします」

エフセキュアのセキュリティアドバイザーであるショーン・サリバンは、今回のFacebookの対応について「適切な措置に踏み切った」と評価しています。
これはどういうことでしょうか。

ショーン・サリバンは 「TrustedReviews」で次のように述べています。「Facebookは人権団体や弁護士に広く利用されています。人権団体からサイバー攻撃被害の報告を受けた場合、Facebookセキュリティチームは、アカウントとやりとりをしたIPアドレスや、アカウントへの攻撃を行ったIP アドレスを容易に把握できるため、このような報告によって恩恵を受けるユーザを特定できるのです」

今回の措置に関連して、Facebookが2段階認証機能を利用したログインを促していることに対し、一部メディアは警戒情報を広めています。

ロシアの政府系メディア「ロシア・トゥデイ」(英語版) は、2段階認証の利用を推奨する Facebookの対応に対し、 ユーザの電話番号を入手するための企てだといわれのない批判をした上で、米国国家安全保障局(NSA)について言及し、2013年に元契約社員エドワード・スノーデン氏が暴露したようなNSAの情報収集活動と今回のFacebookの対応の関連性をほのめかしています(エフセキュアラボが最近発行した「デュークス」のレポートによると、ロシア政府が「デュークス」のサイバー攻撃に関与し、監視の域を超えたスパイ行為に加担していることは明らかですから、これは皮肉としか言いようがありません)。

ところでFacebookは、本当にユーザの電話番号を入手したいのでしょうか。

そんなことはありません。
 
ショーンは次のように述べています。「Facebookの2段階認証機能を利用する際、電話番号を入力する必要はありません。Android搭載の携帯電話や iPhone、iPod touchを利用するユーザなら、 Facebookアプリを使用すれば認証コードを作成できます」



その他の非政府系メディアが示した懸念は、Facebookでは通常セキュリティ機能を有効にする際、携帯電話番号を提供する必要があることに起因しているのかもしれません。

エフセキュアCRO(セキュリティ研究所主席研究員)であるミッコ・ヒッポネンは この点を指摘して、ユーザのプロフィールと電話番号を結びつけることによってWebサイトは重要な人口統計データを入手でき、広告主に販売する個人情報の価値をさらに上げることができると述べています。Facebookがこのようなことをするかどうかについては、 Facebook利用規約を丹念に読めば明らかになるかもしれませんが、ここで断定することはできません。

ショーンはまた次のように述べています。「FacebookやTwitterなどのサイトでは、 『セキュリティ』対策の目的で頻繁に電話番号を尋ねてきます。これがある程度セキュリティ強化につながっていることは事実なのですが、 透明性の観点から、ユーザの電話番号を使用するその他の目的についても明記すべきだと思います」

ここでご注目いただきたいのは、アカウントのセキュリティ強化に2段階認証機能を利用したいけれど、電話番号は提供したくないと考えるユーザのために、別の選択肢があることです。

電話番号の提供には普段から慎重になるべきですが、ロシア政府の支援する組織によって個人情報に対する懸念が強まっている現在は、これまで以上に注意深い対応をとることが望ましいでしょう。

これまでFacebookは、個人情報の取り扱いやセキュリティ対策について批判されることが多かったのですが、ここ数年はサービス向上に真摯に取り組み、個人情報入力の簡素化やスパム防止、有害リンクの拡散防止に努めてきました。国家が支援するサイバー攻撃の高まりをユーザに認識してもらい、ユーザ保護に力を注ぐFacebookセキュリティチームの今回の取り組みは、適切な措置として評価できます。

＞＞原文へのリンク

　「Payment is made successfully（支払いが成功しました）」

　以下は、身代金を支払った後の、CryptoWallのDecrypter Service（復号サービス）の画面だ。

　そして、あなたのお金 Bitcoinで得られるものが、これ（decrypt.zip）だ。

　全然大したものではない。しかし、あなたのキーのコピーがなければ、ファイルを復号することはできないのだ。

　これが、おそらくFBIが次のように言う理由だ。

　「To be honest, we often advise people just to pay the ransom.（正直に言って、ただ身代金を支払うようにとアドバイスすることも多い）」

　FBIのアドバイスに従わなければならない状況になりたくない？

　それなら、以下をするといい。

• 自分のデータをバックアップする！
• 使わないソフトウェアやブラウザのプラグインをアンイストール・無効化する
• 使用するソフトウェアを最新の状態に保つ

　@5ean5ullivan

エフセキュアは、欧州で今月開催されている「欧州サイバーセキュリティ月間」に合わせて、企業がセキュリティ対策の取り組み状況を把握する上で役立つツールCyber Security Stress Test (サイバーセキュリティ ストレステスト)を新たに発表しました。Cyber Security Stress Testは、オンライン上で簡単に回答できるテスト形式の新ツールで、甚大な損害をもたらす情報漏洩などのリスクにさらされる脆弱性のチェックに役立ちます。

20問の質問項目からなるCyber Security Stress Testにより、企業のIT担当者はセキュリティ戦略において改善すべき点を発見することができます。エフセキュアが最近行った調査では、企業はセキュリティ対策の優先度に一致していないソリューションにコストを費やし、結果として防止すべきリスクにさらされているという状況が明らかになっています*。

調査から明らかになった例を挙げると、回答者の94%が、企業規模や業界に関わらず、企業はサイバー攻撃の標的になる可能性があると考えています。さらに回答者は、外部からのサイバー攻撃の阻止をセキュリティ上の最優先事項として捉え、回答者が選んだ最優先事項6つのうち4項目が外部からのサイバー攻撃の阻止に関するものでした。その一方で、サイバー攻撃対策に不可欠な、エンドポイントでの不正侵入の検出・防止対策を実施していると答えた回答者はわずか31%でした。

エフセキュアのサイバーセキュリティアドバイザーを務めるエルカ・コルホネンは、調査結果は、企業がセキュリティ対策にかける費用に見合った保護機能を得られていないことを表していると指摘し、次のように述べています。「現在のサイバー攻撃者は偵察に力を入れており、日和見的攻撃が標的型攻撃の情報収集に利用されています。IT担当者は自社システムを熟知し、脆弱性を把握して社内システムの保護に努めるべきです。セキュリティソフトをインストールしたあとは何の対策も講じないというのでは、現在の脅威動向に全く注意を払わないことに等しいのです。私たちは、そのような企業が代償を払うケースをたびたび目にしてきました」

Cyber Security Stress Testが扱う主な項目には、エンドポイントの保護、ネットワークセキュリティ、企業の役割とセキュリティポリシーなどが挙げられます。本テストは、セキュリティ対策における実行可能な改善点の特定に役立つ指標を提供することを目的としており、レベル1の「高リスク」からレベル5の「低リスク」まで5段階評価を行うとともに、企業のセキュリティ強化に役立つアドバイスも提供します。

Cyber Security Stress Testの枠組み作りに携わったコルホネンは、本テストは能力成熟度モデルに基づいて作成されており、中小企業が直面する典型的な脅威に対する保護能力を速やかに診断すると説明した上で、次のように述べています。「これらの脅威はネットワーク境界のセキュリティ管理を潜り抜け、ユーザが悪意のあるアプリケーションをインストールしたり機密情報を漏らすことを狙っています。その一方で、コンフィギュレーション管理において適切な対応がとられていないために、既存のエンドポイントセキュリティ製品が最適化されていないケースが多々あることを示すデータがあります。本テストはこの点について注意を喚起することを目的としています」

さらにコルホネンは、効果的なセキュリティ対策を実現するためには、複数のコンポーネントで構成された柔軟な技術ソリューションが必要であると述べています。エフセキュアの法人向けセキュリティ製品プロテクション サービス ビジネスとビジネス スイートを利用すれば、企業は自社のニーズに適合したソフトウェアコンポーネントを選択し、脅威動向の変化に対してセキュリティ対策を進化させることができます。


*出典：本調査は2015年4月26日〜5月16日の期間に実施され、ドイツ、フランス、ポーランド、ノルウェー、デンマーク、スウェーデン、フィンランド、英国の合計1,780人の回答者からデータを回収しました。

詳細情報:  
Cyber Security Stress Test 

エフセキュアは、11月18日（水）に東京にて、セミナー「今、プライバシーとセキュリティを考える」を開催いたします。

日本ではまもなく導入されるマイナンバー制度への対応が進められておりますが、フィンランドでは既に個人登録番号制度が住民登録など官民で幅広く利用されています。一方、EUやフィンランドでは、強力なプライバシー法によって、個人の通信その他の秘密性が保護され、自分の個人データの使用を管理することができます。

このたびのセミナーでは、エフセキュアのセキュリティ研究所主席研究員ミッコ・ヒッポネンから、プライバシーやセキュリティに関する最新の動向をご紹介いたします。ミッコ・ヒッポネンは、セキュリティ脅威やデジタル・プライバシーのエバンジェリストとして知られ、TEDなど世界的な講演で数多く登壇しています。併せて、セキュリティ分野で活躍する第一線の方々をお迎えして、日本における今後のあり方について、ディスカッションを深めます。

詳細情報：
タイトル：「今、プライバシーとセキュリティを考える」
日時：    2015年11月18日（水）14:30 - 17:00 （受付開始:14:00）
会場：    ベルサール神保町アネックス HALL A
参加費:    無料
主催：    エフセキュア株式会社
後援：    ScanNetSecurity
受付終了：    11月5日（木）
セミナー内容詳細および申し込みはこちらのフォームをご覧ください。

エフセキュアCRO（セキュリティ研究所主席研究員） ミッコ・ヒッポネン は、今週月曜日に、 Triangulationのホスト役を務める著名なテクノロジージャーナリストのレオ・ラポルテ氏とビデオチャットを行いました。

ラポルテ氏は20年以上前からミッコとエフセキュアの取り組みを高く評価していますが、IT業界の著名人同士が対談するのは今回が初めてのこととなります。今回のインタビューでは、ミッコの四半世紀近くに及ぶエフセキュアでの取り組みが取り上げられました。ミッコは1991年にプログラマーとして、エフセキュアの前身であるデータフェローズに入社しました。

インタビューは以下でご覧いただくか、 こちらから音声ファイルをダウンロードしていただけます。


お時間の許す方はインタビューを最後までご覧いただければ幸いですが、ミッコのエフセキュアでの四半世紀の足跡を簡単にご紹介するため、下記にデジタル時代のセキュリティ脅威との戦いからミッコが学んだ興味深い事柄を挙げていきます。

1. エフセキュア入社前のミッコは、フォークリフトの運転手でした。この仕事は、世界的に有名なウィルスハンターになるよりも、大きな利点が１つだけありました。

フォークリフトの運転手時代は、その日の仕事が終われば仕事のことは何も考えなくて済みました。インタビューでミッコは、何億台ものコンピュータを保護するエフセキュアのCRO（セキュリティ研究所主席研究員）になると、そのような贅沢は許されないと述べています。

2. 初期のマルウェア作成者は、その後興味深い仕事に就いています。

ミッコはラポルテ氏にパキスタンへの旅行について語っています。その旅行の目的は、25年以上前に最初のコンピュータウィルスを作成した2人の兄弟に会うことでした（詳細については以下でご覧いただけます）。パキスタン人兄弟バシト・F・アルビ（Basit Farooq Alvi）とアムジャド・F・アルビ(Amjad Farooq Alvi）がウィルスを作成した動機は、著作権侵害の防止という、2人にとって正当な目的のためでした。現在この兄弟は、もう1人の兄弟とともに 電気通信事業で成功を収めています。また、最初のコンピュータワームであるモリスワームの作成者ロバート・T・モリス(Robert Tappan Morris)は、現在マサチューセッツ工科大学（MIT）コンピュータサイエンス学部の教員を務め、ITベンチャーの育成支援で有名な Yコンビネーターのパートナーでもあります。



3. ミッコが考える最優先のセキュリティ対策は「バックアップ」。

「コンピュータ、iPad、そして携帯電話のバックアップをしておけば、どのような事態に見舞われてもアクセス可能です」とミッコは述べています。

4. マルウェア攻撃は桁違いに大規模。

エフセキュアラボは毎日約35万件のマルウェアサンプルを受け取っています。「エフセキュアでは、これらマルウェアサンプルに基づいて、1日につき1万件から多い時で2万件ものマルウェアを検知しています」

5. AndroidとiOSは制約が多いため、モバイル機器のマルウェア問題は中国以外では深刻化しない。

「これは、たとえプログラマーであっても、手持ちのiPadに勝手に自作プログラムを組み込むことができないためです」とミッコは述べています。Google PlayやApp Storeに自作アプリを出すには、それぞれGoogle社、Apple社の承認が必要です。このモデルはPlayStationやXboxのエコシステムと比較して、セキュリティの観点からは優れているものの、マイナス面もある点をミッコは指摘し、次のように述べています。「このような閉鎖的な環境では、ユーザがプログラム作成者から単なる消費者になってしまっていることが残念だと思います」

ミッコはインタビューの締めくくりに、エフセキュアのプライバシー・ポリシーについて述べています。「エフセキュアは、製品販売において従来からの方針を貫いており、エフセキュアの製品をご購入いただいたお客様の個人情報保護に努めています」

それでは。
サンドラ

追伸：今週ミッコはEstonian Information Technology College(エストニア情報技術大学)でも公開講演を行いましたので、興味のある方はこちらもご覧ください。

＞＞原文へのリンク

 

1つ、おかしなことがあるのですが、皆さんは考えたことはありますか？　インターネットは匿名性の楽園郷ですが、にもかかわらず、たいていの人が実名を使ってFacebookを利用しています。Facebookには実名ポリシーというものがありますが、実はこれは強制ではありません。どのような名前でも登録することもできますし、それをFacebookが検証することもありません。しかしFacebookは通常、あなたの実生活の付き合いの輪の延長です。ですから、あなたの友人たちが知っている名前で登録するのが自然です。ユーザーを自然な形で何かに導くことが、法律や強制的なポリシーよりも、はるかに効果的であることを示す一例だと言えるでしょう。

つまり、自分が望むのであれば偽名を使うこともできるわけですが、たいていの人は本名や定着しているニックネーム、あるいはよく知られた芸名を使っています。* これらの名前には1つ、共通点があります。運転免許証に書かれている名前であろうと、そうでなかろうと、Facebook上の名前は、その人の実生活における付き合いの輪と密接なつながりがあるということです。そこが本当に重要なのです。たいていの人の場合、名前を伏せるために実名を使わないのではありません。それどころか、全くその反対です。よく知られたハンドルネームを使うことで、認識されやすくなります。

硬貨には必ず、2つの面があります。本当に匿名のアカウントは、嫌がらせ、中傷、詐欺、悪徳商法、なりすましなどに使われます。Facebookの実名ポリシーは長年、実施されており、これはFacebookが主に目指すところでしょう。誰もが他のユーザーの通報を行うことができるようなシステムになっています。通報があるとFacebookはユーザーに何らかの身分証明書を提供するよう求め、それがなされない限り、アカウントは停止されたままとなります。しかし、最近、この問題がトップニュースとなりました。このポリシーそのものが、他人への嫌がらせに利用されることが明らかになったのです。アメリカ先住民やドラッグクイーンなどの少数派たちの代表が、数多くの通報の標的となったのです。彼らが使用していた名前は、実名を伏せるために用いられていたものではなく、芸名であり、アメリカ先住民としての名前です。

そこで、EFFが行動を起こし、Facebookの規則を変えるよう署名活動を開始しました。EFFは、現在のポリシーに数多くの問題があると指摘しています。正当な見解が多く見られます。是非見てみてください。

検証された身元が存在しないこと、それがネット上の大きな問題の1つです。その結果、詐欺からいたずらまで、幅広い問題が起きています。しかし、最も目に見える影響の1つが、議論文化の劣化です。憎しみや心の病を爆発させるための舞台となってしまったディスカッション・フォーラムを誰もが見かけたことがあるでしょう。Facebookでも、それを見かけることがありますが、他のフォーラムほどひどいものではありません。その理由は明らかです。ユーザーはハンドルネームを使うこともできますが、実生活の付き合いの輪から名を伏せているわけではないからです。面と向かって話をするよりも、文章で書くほうが、不愉快な意見を述べやすいでしょう。それでもFacebookでは、自分の意見に責任を持たなければなりません。どのような名前を使っていたとしても、友人たちがあなたであることを知っているからです。これは良いことだと思います。Facebookをより良い場所にするものだからです。しかし、実名ポリシーのおかげというわけではありません。議論をより理性的で品位のあるレベルに保っているのは、Facebookの本質です。

ですから、強力な実名文化を持つコミュニティは、間違いなく価値のあるものだと言えます。しかし、そのポリシーがなぜ間違った方向に進んでいるかという点について、EFFも説得力のある主張をしています。そこで、今日は皆さんに2つ質問があります。あなたはFacebookでどのような名前を使っていますか？　実名に関して、どのように思いますか？

 

Facebookでどのような名前を使っていますか？

• 自分の実名
• 一般に知られている俗名、ニックネーム、芸名、その他のハンドルネームのみ
• 一般に知られている俗名、ニックネーム、芸名、その他のハンドルネームと自分の正式名
• 自分の身元とは完全に無関係の名前

 

Facebookは人の名前に関してどのような対処をすべきだと思いますか？

• 誰を相手にしているかを把握することは重要。Facebookは実名の強化にさらに取り組むべきであり、登録時のチェックを行うべき。
• Facebookは匿名を禁止するべきだが、通報があった時のみ対処すべき（現在のポリシー）
• Facebookは名前に関して干渉することをやめ、その代わり、不適切な行為をやめさせることに集中すべき。

安全なネットサーフィンを
Micke
 
PS. ちなみに、LinkedInもあなたがsockpuppetでない限り、偽名を使ってもあまり意味のないサービスの1つです。

画像提供: Vincent Diamante

* Facebookでは、プロフィールの約9％がある意味“偽物”であり、約1.5％がFacebookのポリシーに違反していると推定しています。詳細はこちらから。

＞＞原文へのリンク

　AndroidのランサムウェアであるSLockerが最近になり、非常に深刻な（そして下劣な）やり口でAndroid Lollipopの欠陥を悪用し始めた。しかしAndroid Marshmallowに対しては、SLockerはどのように事を運ぶのだろうか？

　手始めに、SLocker v.s. Lollipopを確認してみよう。

　マルバタイジングは一般に人(men)をおびき寄せて、「Porn Droid（ポルノドロイド）」と呼ばれるアプリをダウンロードさせる（まあ、たぶん男性(men)ばかりだが）。

　典型的には、よくありがちな過剰なパーミッションが要求される。

　そしてソーシャルエンジニアリングに対する障壁は、良くても以下のようにほんのわずかだ。

　もし優れたセキュリティアプリをインストールしているのなら、以下のような画面を目にするだろう。

　しかしセキュリティアプリ無しにアプリを開いたのなら、次のプロンプトを受け取ることになる。

　この「Continue」ボタンは？これは、デバイスの管理者権限の要求を分かりにくくしている（もちろん、非常に重大な欠陥だ）。そしてもし「Continue」をクリックしたとすると、SLockerは強奪に乗り出すために、入手したばかりの管理者権限を用いるだろう。

　以下はFBIをテーマにしたランサムウェアだ。

　一見したところでは、FBIが罰金（fine）ゆすりの支払いに「PayPal My Cash」を受け付けているようだ。

　SLockerは被害者に恐れを抱かせようと、正面カメラで写真を撮る。

　以下の例では、Zimryの席の上の天井に向いている。

　そして、おまけにPRISM（訳注：NSAの通信監視プログラム）のロゴが付いている。

　この時点で、Androidアプリが管理者権限を得ることが驚くほど簡単にみえることを言及すべきだろう。AppleのiOSでは、VPNのような基本項目を設定する際にはパスコードが要求される。しかしAndroidでは、管理者権限の要求に必要なのは単純な「はい」だけなのだ。

　コンピュータセキュリティのプラクティスとして最良のものは、インストールを限定する制限されたプロファイルの「ユーザ」として実行することだ。そして管理者権限を求めるアプリケーションは「管理者」プロファイルでインストールし、パスコードを要求する必要がある。そのため当社では、通常ユーザ用の制限付きプロファイルを構成しようとしたが、管理が難しいことがわかった。Androidの制限付きプロファイルはペアレンタルコントロールとタブレットのために設計され、またそれに焦点が合わせられている。当社のテスト用スマートフォンに追加のプロファイルを設定したが、我々が望むようなデバイス管理の類は実際には得られなかった。追加プロファイルを作成できるだけで、制限をかけることはできない。

　比較すると、AppleのiOSの機能制限は、iOSを主に使う人でさえはるかに役立つものだ。

　しかし、現在は…。

　Android MarshmallowはSLockerに対し、どのように事を運ぶのだろうか？

　良いニュースがある！SLockerの「Continue」を使った分かりにくさは、Marshmallowを実行しているスマートフォン上では失敗する。そして、管理者権限を与えることが何を引き起こすかについて表示されるだけだ。これはヒドい。全データの消去、スクリーンロックの変更、ストレージの暗号化をする権限だ。言い換えると、SLockerに管理者権限を与えたら…、おしまいだ。スマートフォンのデータがバックアップされていなければ、強奪者に屈する以外に取り戻す方法は無い。

　しかし次は悪いニュースだ。Android Marshmallowは10月5日リリースされたが、まだ普及していない。そのため、これからかなりの期間SLockerは攻撃を持続しそうだ。

　ハッシュ：

0f25cefa85a0822a08ad23caca24a622fbf4aef0
12dc90592c1945fe647d04902b2707e756e88037
25311dfbc4961a661494a2767d2fb74c532539cc
68e7879074b9e2635d895616d4862383fe5960db
84b541957d7e42b4b7d95763fb48d03fcca21ffd
c0784e974da5b7e82e9921763f957e1f3ec024e7

---

 

　Trojan:Android/Slocker.BJの分析はZimry Ongから提供を受けた。

自由な民主主義国のリーダーたち、あるいは、少なくともその国の裁判所は、ようやく目を覚まし、より多くのプライバシーを諦めるようにと市民に対して要求することを撤回し始めたのでは、と感じる時があります。そして、今度はオーストラリアで進展がありました。

BBCによると、火曜に施行された新たな法律のもと、オーストラリアの電気通信事業者は、大量の通信メタデータを2年間保存することが義務付けられるということです。

この新たな法律の目的は、政府がこうしたデータにより迅速にアクセスできるようにすることです。スノーデン暴露事件で明らかになったように、米国家安全保障局はこうした監視をさらに一歩進め、データそのものを“大量収集”していました。USA Freedom Act（米国自由法）でも、オーストラリアで施行された法律と非常に似たシステムを要求しています。

少なくとも、オーストラリアはこうした大量データ収集に関して透明性を確保しており、メタデータは手紙の外側のようなものであって、実際の中身ではないという古典的な主張を行っています。確かにそうです。しかし、メタデータを利用してあなたの生活に関する、多くの情報を収集することができるのも確かです。

この出来事の最大の皮肉は、現オーストラリア首相であるマルコム・ターンブル氏が今年初め、通信相だった時に今回の法律を後押ししていたということです。国内テロを阻止するために必要だとターンブル氏は述べています。

しかしターンブル氏は暗号化の価値も理解しており、3月に、プライバシーは大切なので、連絡を取る際には暗号化を行うアプリを使用していることを認めています。

例え、メタデータの提出を自由に要求できるような、国家権力を思いのままにするような制度がなかったとしても、自分の個人データを保護することは重要です。皆さんの国の法律がどうであれ、データを暗号化するVPNを使用することは、オンラインセキュリティやプライバシーという点で良い習慣だと言えるでしょう。エフセキュアのアプリFreedomeを利用すれば、トラッカーを阻止し、地理的な制限をなくすことができます。

しかし、ターンブル首相を見習って、誰かが自分のプライバシーを守ってくれるなどと考えないようにしましょう。すべてを暗号化してください。

米国は10月を「サイバーセキュリティ啓発月間」と定め、また欧州では10月に「欧州サイバーセキュリティ月間」を開催しています。つまりこれらの国々では、ユーザはサイバーセキュリティ対策に真剣に取り組むべきだと考えられているわけですが、この考えが正しいことが明らかになっています。『エフセキュア ビジネスインサイダー ブログ（F-Secure Business Insider blog）』によれば、2014年は平均すると1分間に81件ものサイバー攻撃が発生しています。

サイバー攻撃者にとってハッキングは重要なビジネスです。そこで専門家がセキュリティ対策の1つとして幅広い利用を推奨しているのが2段階認証です。

 

2段階認証を利用していますか？

• 2段階認証をよく知りません
• いつも利用しています
• 重要なものだけ利用します
• 利用したことがありません
• その他

2段階(多要素) 認証では、アカウントへの不正アクセスを防止するために複数の情報を使用します。Facebook や Twitterなど多くのユーザが利用するサービスではこの方法が採用されていますが、一般的には普及が進んでいません。しかし、アカウントのセキュリティ対策をもう少し強化したいと考えるユーザにとって、2段階認証は単なるオプション以上の意味をもちます。Google社が最近行った調査では、 セキュリティ専門家の89%が、1つ以上のオンラインアカウントで2段階認証を利用しているという結果が出ています。

一方、2段階認証は一般ユーザの間ではあまり普及が進んでいません。Googleの調査では、2段階認証を利用すると答えた一般ユーザは62%にとどまっています。 また別の調査では2段階認証の利用度はさらに低く、最近のある消費者調査によると、回答者の56%が 2段階認証についてよく知らないと答えています。

2段階認証が登場したのはかなり前のことですが、ここにきてようやくオンラインサービスで採用されるようになってきました。現在、アカウントのセキュリティ対策ではパスワードが最も一般的に使用されていますが、2段階認証を加えることでセキュリティ対策が手厚いものになるのです。 2段階認証では、仮に他人がパスワードにアクセスしたとしても、アカウントにアクセスする「鍵の半分」しか手に入れていないことになるためです。

それではなぜもっと多くのユーザが2段階認証を利用しないのでしょうか。80%近くのユーザが従来のパスワードに代わる方法を受け入れると回答しているにもかかわらずです。その理由の1つとしては、ユーザが2段階認証を面倒で手間がかかると感じているためと考えられます。しかし一方で、携帯機器の幅広い普及によって2段階認証の利用が身近で簡単になってきていることも事実です。ある調査ではメールやSMSメッセージがこの傾向を後押ししていることが伺われ、調査対象者のおよそ90%がSMSやメールで受信した認証用コードを本人確認用にWebサイトに入力する方法で、2段階認証を利用しているという結果が出ています。

2段階認証の利用が進まないもう1つの理由としては、システムやサービスへの普及の問題が挙げられます。顧客が2段階認証を利用するには、オンラインアカウントを提供している企業や組織が2段階認証を採用していることが大前提です。 こちらのWebサイトでは、2段階認証を採用しているオンラインサービスを一覧にまとめており、大変参考になります。このWebサイトは、2段階認証を採用していない企業にツイートするのにも利用できますので、アカウントのセキュリティ機能を改善してほしいと思う企業がありましたら、メッセージを送ってみてはいかがでしょうか。

上記のWebサイトが提供しているデータを分析すると、 2段階認証がそれぞれのサービスでどの程度普及しているかが明らかになります。

• 仮想通貨：96%
• アイデンティティ管理：93%
• クラウドコンピューティング：77%
• ゲーム：69%
• ホスティング・仮想専用サーバ：69%
• Eメール：65%
• ドメイン：65%
• 開発者：63%
• 通信：62%
• バックアップおよび同期サービス：60%
• 投資：38%
• 銀行および金融サービス：35%
• 健康：30%
• 金融系：28%
• 教育：25%
• 娯楽：7%
  

こうして見ると、2段階認証の普及は業界ごとにまちまちであることがわかります。エフセキュアのセキュリティアドバイザーであるショーン・サリバンは、特に日常的に利用したり機密情報を保管している重要なアカウントについては、2段階認証を採用しているサービスを選ぶべきであると指摘し、次のように述べています。

「自分にとって重要なアカウントはどれか判断し、強力で独自性のあるパスワードと2段階認証を使用することでアカウントのセキュリティ対策を強化するべきです。多くの企業が2段階認証による定期的な確認サービスを提供していますので、ユーザはあらかじめ指定した携帯電話やパソコンにSMSで送信された認証用コードを入力する必要があります。主に利用するメールアカウントにはこのようなサービスを選択するべきでしょう。そこに情報を集約しておけば情報を拡散させることもなく、アカウントの管理が容易になるからです」

今後新たにオンラインアカウントを開設する際には、そのサービスが2段階認証を採用しているかどうかチェックすることをお勧めします。「モノのインターネット(IoT)」の普及が進むにつれてIoT端末の数も急増することが予想されるわけですから、自分の情報が確実に守られているかよく考えることには大きな意味があるのです。

欧州司法裁判所は今週、欧州連合（EU）と米国間で2000年に締結された“セーフハーバー”協定を無効とする判決を下しました。プライバシー保護を訴える活動家たちは、これを正当さの裏付けであると称賛しました。活動家たちは今回の決定を、米国、およびその同盟国が行っている、途方もない規模のネット監視の詳細を明らかにしたスノーデンの暴露事件によって導かれた、初の国際的な重大事象であると考えています。

Politicoのデヴィッド・マイヤー氏は次のように記しています。「セーフハーバー協定により、米国の企業はEUレベルのデータ保護基準を遵守していると自ら認定できました。欧州の人たちの個人データの合法な取り扱いを開始するため、比較的シンプルな仕組みを提供できたのです。」

しかし、このシンプルな仕組みが欧州委員会自体のプライバシー保護基準に従っていなかった、と裁判所は判断しました。

EFFのダニー・オブライエン氏は次のように述べています。「現在、EU・米国間で相当な量の個人データの商業的な移転を可能にしているセーフハーバー協定を無効とすることで、PRISMや政府が行っている他の監視行為が、欧州の法のもとで移転を規制しているプライバシーの権利を損なうものであるということを、裁判所が示しました。」

現在、新たなセーフハーバー協定の交渉が行われており、今回の裁判所の判決はそれを早める目的で出されたもののようです。しかし、多くの企業、特に規模の小さい企業やユーザーは、ある意味、法的に宙ぶらりんの状態にあると言えます。

そして、この状態が皆さんのプライバシーという点で、良いものではないかもしれない、とエフセキュアのセキュリティアドバイザーであるショーン・サリバンは言っています。政府の諜報機関や法執行機関が簡単に利用できるような、法的不確実性を生み出すからです。

ショーンによると、「不確実性というのは、彼らにとってはおいしい状態」ということです。

ショーンから見ると、今回の判決や、まだ新たな協定がまとまっていない段階で古い協定の破棄を促すことは、地理を重要視する“旧世界”的なインターネット観を表しているというのです。

米国政府は、米国に本拠を置いているものの、世界で事業を展開しているMicrosoftやFacebook、Googleといった企業に関しては、国境を尊重する必要はないと示しています。先月、米司法省はMicrosoftに対し、ユーザーがどこに住んでいようと、あらゆるユーザーのHotmailのデータを提出するように要求できると、述べました。

ショーンは、「クラウドに国境はありません。物が地理的にどこにあるのかというのは、古臭い考え方です」と言っています。

自分のアルゴリズムで見る市民権を検証するCitizen Exのようなアプリを使えば、実際にそれを検証することもできます。フィンランドに居住するアメリカ人であるショーンは、オンラインではアメリカ人と判定されます。世界の多くの人が同じ結果になるでしょう。

セーフハーバー協定で欧州が差し出したプライバシーは、企業の繁栄を容易にする密接した市場を生み出すことで、ある程度埋め合わされたと言えます。

FacebookやGoogleは、米国の積極的な監視が、“インターネットの破壊”を招く危険性があると警告しています。今回の判決は、その最初の亀裂とも言えるでしょう。

より大きな亀裂を避けるためには、地理に関係なくプライバシーを尊重する、“新世界”的なインターネット観が必要だ、とショーンは述べます。

裁判所が無理やり政治家の手をひねらなくても済むような形で、近いうちに自主的な改革が行われるだろうとショーンは希望を持っています。

米国は、USA FREEDOM Act（米国自由法）を可決したことで、監視状態を変える意思を多少示したと言えます。この自由法は、情報収集に対する9.11以降初の規制です。しかし、さらに多くの対策が必要だとEFFは述べています。

デジタル著作権団体は、“Foreign Intelligence Surveillance Amendments Act（外国情報監視法）の第702条の改正および、大統領令12333の見直し”を求めています。

こうした改革が行われなければ、米国・欧州間でどのような協定がまとまろうとも、欧州司法裁判所によって再確認された基準に達しない可能性があるのです。

＞＞原文へのリンク

エフセキュアが今回実施した調査では、過去一年以内にスマートテレビを購入したと答えた回答者が23% に上り、デスクトップPCを購入したと答えた人の割合とほぼ同一でした。8,800人の消費者を対象に行われた今回の調査からは、「モノのインターネット(IoT)」が消費者の間で徐々に受け入れられつつある一方で、プライバシーやセキュリティ対策がきちんと取られているか、不安を抱く人の割合が非常に高いことがうかがわれます*。

本調査から、スマートテレビ以外のIoT製品カテゴリであるウェアラブル機器やネット家電についても普及が進みつつあることが明らかになっています。その一方で、今回調査の対象となった消費者の70%がこれらの機器のハッカー被害が心配であると答え、69%がこれらの機器を通じた第三者による追跡を懸念していると回答しました。

エフセキュアの戦略的脅威研究担当ディレクター、ミカ・スタルバーグは、普及が進んでいるIoT機器のタイプを考慮すると、上記に挙げた消費者の懸念は当然であると考え、次のように述べています。「モノのインターネット(IoT)の普及は、娯楽の次に、生活の質を高める製品に特化しています。監視カメラやスマートキー、スマートカーのような製品はすべて物理的なセキュリティに重要な役割を果たします。これらIoT機器の普及が進めばオンライン上の脅威がより身近なものになるわけですから、この点に関して消費者が懸念を抱くのは当然のことなのです」

さらにスタルバーグは、家庭用ルーターがハッキング被害に遭うケースがここ数年増加している点を指摘し、この傾向はセキュリティ対策の不十分な機器が犯罪者のビジネスチャンスとして狙われていることを示すものだと述べています。「IoT機器への攻撃は今後高まることが予想されますが、その原因はIoT機器のセキュリティ対策が充分でないためです。家庭用ルーターへのハッカー攻撃は、IoT機器が危険にさらされる可能性を顕著に示しています。ハッカーが家庭用ルーターを悪用してネットワークトラフィックを監視し操作する恐れがあります。『Lizard Squad（リザードスクワッド）』のようなハッカー集団はすでに脆弱性を悪用して、市場性の高いボットネットサービスを生み出しているのです」

IoT機器の普及が進むにつれて高まるセキュリティリスク

今回の調査結果をエフセキュアが昨年行った同様の調査結果と比較したところ、セキュリティやプライバシーに対する消費者の懸念にもかかわらず、モノのインターネットの普及が進んでいることが明らかになりました**。 より多くの消費者がより広範な製品カテゴリからIoT機器を購入しており、IoT機器の市場が順調に成長すると見込んだ、市場調査会社の予測を裏付けています*** 。最も成長が著しい製品カテゴリは次の通りです。

• フィットネス・生活用追跡機器の普及が3%から5%に増加
• インターネット接続型の家庭用モニタリング機器の普及が1%から4%に増加
• TVストリーミング機器の普及が4%から6%に増加

スタルバーグは、これら製品カテゴリの大半が比較的新しく、従来IT製品の製造を手掛けてこなかったメーカーによる機器が多数を占めている点を指摘しています。新しいタイプのIoT機器が加わることでネットワークの規模が拡大し、プライバシーやセキュリティに関する従来からの問題が深刻化する可能性があります。

「メーカーは使いやすさにばかり力を入れ市場投入を急ぐあまりに、限られた機能しか持たないIoT機器が大量に出回っていますが、これらのIoT機器はセキュリティ上の脆弱性を抱えています。セキュリティ問題に関してIoT機器と従来のIT製品とで大きな違いは見られませんが、IoT機器がネットワークに加わることでネットワーク規模が拡大し、セキュリティに関する従来からの問題が深刻化する恐れがあります。対応不可能な状況になる前に、消費者とメーカーの双方が管理可能なネットワークの確保について考えるべきです」

*出典：「エフセキュア消費者価値観調査 2015」　本調査は11カ国（米国、英国、フランス、ドイツ、ブラジル、アルゼンチン、コロンビア、メキシコ、イタリア、スウェーデン、インド）で実施されたオンライン調査です。調査は1カ国につき800人、合計8,800人の、各年代、収入層の男女がバランスよく含まれた回答者を対象に実施されました。 調査データは2015年7月にToluna Analytics社が収集しました。 なお、2014年の調査データとの比較は、2014年と2015年の両方で調査を実施した国に限定して行っています。

**出典：「エフセキュア消費者価値観調査 2014」 本調査は6カ国（米国、英国、フランス、ドイツ、ブラジル、フィリピン）で実施されたオンライン調査です。調査は1カ国につき 800人、合計4,800人の、各年代、収入層の男女がバランスよく含まれた回答者を対象に実施されました。調査はInformed Intuitions社とエフセキュアが共同作成し、調査データは2014年7月にToluna Analytics社が収集しました。

***出典：https://www.idc.com/getdoc.jsp?containerId=prUS25633215

詳細情報:  
F-Secure Internet of Things https://iot.f-secure.com/

　先日、英国NCA（National Crime Agency、国家犯罪対策庁）はFBIおよびアメリカ合衆国司法省とともに、Bugat、Cridex、Dridexの作者を告訴した。Andrey Ghinkulは2015年8月28日にキプロスで逮捕された。現在、米国は身柄の引き渡しを求めている。報じられているところでは、Dridexは世界各国で金融機関や金融業者に数百万ドルの損失を招いた。

　Dridexは、正規のファイルに見せかけた、悪意あるマクロコードが埋め込まれたMicrosoft Wordドキュメントを通じて伝播することが分かっている。こうしたマクロはいずれ、C&Cサーバや侵害されたWebサイトから実行ファイルをダウンロードすることになる。エフセキュアでは、Officeドキュメントに特化してファイル内の悪意あるマクロを探す、一般的な検知を行っている（Trojan:W97M/MaliciousMacro.GEN）。

　当局がDridexボットネットを駆除するにつれ、当社のバックエンドの統計情報に悪意のあるマクロの発見が感知され、急増が見られた。

　当社の顧客は、Hydra（スキャンエンジン）およびDeepGuard（ビヘイビアベース）の両技術にて守られている。

　一般的なシグニチャによって悪意あるマクロの検知を行っているほか、ビヘイビアエンジンであるDeepGuardでもブロックする。1階層より2階層の保護のほうが優れている。

　Wordドキュメントが実行ファイルをドロップするって？そうだ、それに良いことなんか1つもない。

　Q：こうしたDridexの動きは、すべて当局がボットネットを解体したことと関係があるのか？
　A：当社では分からない。

プライバシーと犯罪取り締まりのバランスは、どのように取るべきでしょうか？　デジタルで接続された時代に突入した今、これは大きな問題の1つです。西欧民主主義国には政府当局ができることと、できないことを管理するための規則があり、それらが定着し、広く受け入れられています。その1つが最近、注目を集めています。アメリカ人が言うところの、“plead the Fifth＝黙秘権を行使する”権利です。

法律は国によって異なりますが、たいていの国には米国憲法修正第5条に似ているものがあります。その内容は、「誰も刑事事件において、自己に不利な供述を強制されない」というものです。大衆文化のなかでは、「あなたには黙秘権があります」という表現が良く使われています。しゃれた言い方をすれば、「自己負罪からの保護」ということになります。

つまり、当局から犯罪の容疑をかけられても、誰もあなたに情報を明かすことを強要することはできない、ということです。あなたには自らを守る権利があり、情報の開示を拒否することは法的防御の方策です。しかし、警察に適切な令状があれば、あなたの家や車の捜索も可能であり、あなたにそれを止めることはできません。つまり憲法修正第5条は、あなたが知っていることは守ってくれますが、あなたが保有するものは守ってくれないのです。

まあ、良いとしましょう。しかし問題は、その昔、1789年にこうした基本原理が確立された時には、情報技術は存在しなかったということです。憲法修正第5条や他の国における同様の法律を作った人たちも、“あなたが知っていること”が、頭のなかだけでは収まりきらないような事態になるとは予測できなかったでしょう。私たちのモバイル機器、ソーシャルメディア、クラウドサービスには、下手をすると、私たちの考え方や連絡を取っている相手、行った場所、行動に関する総合的な情報が格納されてしまいます。こうしたすべてがデバイスに保存されているため、私たちが黙秘権を行使したとしても、警察はこれらを入手することができるのです。先週木曜の夜10時には何をしていましたか？　○○さんを知っていますか？　○○さんとはどういう関係ですか？　最近、化学薬品を購入しましたか？　銃を持っていますか？　先月、ボストンへ行きましたか？　mohammad@isis.orgと連絡を取ったことはありますか？　捜査官からは、こうした質問を聞かれるでしょう。そして、あなたが黙秘権を行使したとしても、こうした質問の答えが、あなたのデバイスやクラウドに格納されているデータのなかに見つかるかもしれないのです。

では、憲法修正第5条はその意義を失ってしまったのでしょうか？　修正第5条を作った人たちは、この状況を受け入れるでしょうか？　それとも、この修正条項を修正するでしょうか？

ソーシャルメディアやクラウドストレージの場合、状況は非常に明らかです。こうしたデータは、サービスプロバイダのデータセンターに格納されています。警察は令状を取れば、あなたの手を借りずにあなたのデータを入手することができます。*　家から押収するコンピュータに関しても同じことです。これは憲法修正第5条による保護が及ばないというのが一般的な解釈です。では、サーバに暗号化したファイルを保存していた場合はどうなるのでしょうか？　あるいは、ローカルのストレージを暗号化するデバイスを使用していたら？（最近のAndroidやiPhoneはこのカテゴリに属しています）。

こうしたケースになると、警察はパスワードが必要になります。これは“あなたが知っていること”であり、保護されるものです。これが警察にとっての問題であり、対処について各国では様々な法整備を行っています。イギリスでは積極的なアプローチを取っており、パスワードの開示を拒否することは罪としています。しかしアメリカでは、記憶しているパスワードは保護されています。これは最近のケースで立証されました。

生体認証に関しては、また別の展開を見せています。あなたが自分の指紋でモバイル端末のロック解除を行っていたと考えてください。便利ですよね。しかし同時に、これによって憲法修正第5条による保護が大幅に弱まってしまうかもしれません。あなたの指紋はあなたの一部であり、“あなたが知っていること”ではありません。アメリカでは、指紋を使って容疑者に機器のロック解除を強要しても、憲法と矛盾しないという判決が裁判官によって出されたというケースが複数あります。ただし、この問題に関して、最高裁判所はまだ判決を出したことはありません。

つまり、憲法修正第5条や、他の国の同様の法律は、頭の中にある情報を守るだけのものと通常は解釈されているということです。しかし、この定義は瞬く間に時代遅れとなり、非常に制限されたものになっています。これは大きな倫理的問題です。憲法修正第5条の崩壊を許し、犯罪取り締まりを優先させるべきでしょうか？　それとも、私たちの個人的な記憶は、頭の中にあるもの以外にも広がっているということを受け入れるべきでしょうか？　私たちが個人で使っている機器には間違いなく、憲法修正第5条を作った人たちが保護したいと考えた情報の多くが含まれています。自分の頭のなかに入っている情報を伏せておく権利があるのならば、なぜ他の場所に入っている同様の情報を伏せておく権利を持つことができないのでしょうか？　この2つの格納手段は扱いが異なり、それを正当化できるような根本的な違いが本当に存在するのでしょうか？

これらは、異なる利害が衝突する大きな問題であり、完璧な解決策は存在しません。そこで、皆さんにこの問題を投げかけてみたいと思います。皆さんはどう思いますか？

自己負罪の保護 vs 犯罪捜査の必要性について、あなたはどう思いますか？　以下の意見のどちらが、あなたの考えに近いですか？

• 私たちには、自己負罪からの強い保護が必要です。もし自分が知っていることを隠す権利があるのなら、私の機器に私が保存したデータも保護の対象とされるべきだと思います。私の機器を保護できない場合、憲法修正第5条や同様の法律が保護対象としている情報の多くが明かされることになります。
• 効果的な犯罪取り締まりを行うことは、私たち皆のためになることです。警察は保存されたデータにアクセスするための幅広い権限を有するべきであり、市民に対し、パスワードで保護されていたり、暗号化されている機器の解除を強要できます。これはプライバシーよりも重要であり、法制度がこの権利を悪用することはないと信頼しています。

安全なネットサーフィンを。
Micke

*警察、容疑者、サービスプロバイダがすべて同じ国に存在している場合には、このように単純なのですが、そうでない場合には非常に複雑になる可能性があります。それに関しては今回のブログ記事の趣旨とずれてしまうので、ここでは扱っていません。

＞＞原文へのリンク

このメールは、水曜に公開された6,400ページにわたるヒラリー・クリントンのメールに見つかった5つのフィッシング詐欺の1つです。元ファーストレディのクリントン氏が詐欺に引っ掛かったという確証はありませんが、彼女の政敵たちはこれを用い、在任期間中に彼女が使っていた独自のプライベートサーバにセキュリティリスクがあったとして、彼女を攻撃しています。ただし、米国防総省の正式なサーバを通じて受け取るメールの7通のうち1通はスパム、あるいはフィッシング、または他のマルウェアを使った攻撃であることも先日の報告で発覚しています。

こうした攻撃を受けるのは避けられません。ハッキングの最も効果的な方法の1つは、単純にパスワードを聞き出すことです。サイバー犯罪者たちは、そのことを昔からわかっています。

この手法が成り立っているのは、たいていの人が認証情報の入力に慣れてしまっており、サイトが十分信頼できるような作りになっている場合に、簡単に認証情報を入力してしまうからです。そして悪い連中がこれらの情報を使って、私たちのデジタルライフの鍵を開けてしまうのです。

上のような信頼できないメールを認識するための、私たちの判断力が高まってきているため、オンライン上で自分に関する情報を共有したいという私たちの欲求を犯罪者たちは利用し、“スピアフィッシング”と呼ばれる、より高度なテクニックを開発しました。この攻撃には通常、皆さんと関係のある人や、会社から送られてくるパーソナライズドメールが使用されます。

こうした攻撃は、クリントン氏のような重要人物を標的にするハッキングのために開発されました。ロシアのバックアップを受けているDukesグループは、西側勢力などに対して行った7年間のキャンペーンでこの手法を用いました。エフセキュアのブログBusiness Insiderでは、Eijaがフィンランドの新興企業のCEOに対してスピアフィッシングが仕掛けられた件を取り上げて解説しています。

「ただし、誰もが標的になりえるのです」とEijaは述べています。

Office of Personnel Management（人事管理局）が先日、ハッキングを受けたことで、アメリカ政府内で仕事をしている人が高度にパーソナライズされた攻撃を受ける可能性は大幅に高まりました。

米国土安全保障省のChief Information Security Officerであるポール・ベックマン氏は、9月に開催されたビリントン・サイバーセキュリティ・サミットで、次のように述べています。「現在、私の個人情報のすべてが攻撃者の手中にあります。彼らは実質的に、私のすべてを知っているわけですから、私自身ですら影響されてしまうようなメールを、私に成り代わって作成することができるでしょう。」

ベックマン氏は自分のスタッフに偽のフィッシングメールを定期的に送り、引っ掛かるかどうかを確かめているそうです。「どれほど引っ掛かるかを知ったら、皆、驚くでしょう。」

引っ掛かってしまうと、強制的にセキュリティトレーニングを受けなければなりません。しかし、そうした教育を2回、3回と受けた後でも、同じ人たちが似たような詐欺に引っ掛かるといいます。

「世界で行われているフィッシングキャンペーンにすぐに引っ掛かるような人には、連邦政府の機密事項取扱い許可を与えるべきではありません。そうした情報を、責任を持って取り扱えるだけの責任ある行動をしていないということを、自ら明らかにしたことになります。」

ベックマン氏は、詐欺を見抜くことができないことを示した人たちから、取扱い許可をはく奪すべきだという提案をしたそうです。これによって、そうした人たちのキャリアの将来が制限されたり、仕事を失う可能性もあるでしょう。

あなたがもし新興企業のCEOなら、会社のセキュリティが自身の成功には必要不可欠であることは分かりますよね。でも、ただの社員だとしたら、知的財産を保護しようという気持ちを強く持つことはないでしょう。

犯罪者たちからすれば、1人の被害者がほんの一度のミスを犯せば成功したことになります。教育だけでは不十分ということであれば、雇用主たちはどうすれば良いのでしょうか？　詐欺をうまくかわすことができる人たちへの正の強化はどうでしょうか？

実際、安全性というのは、訓練したことや、重点を置いていることの程度によって決まります。組織は、その両方を高める最も効果的な方法を見出す努力をしなければなりません。

仕事場であれ、家であれ、米国務省内であれ、近いうちにあなたもフィッシング攻撃に遭遇する可能性はあると思います。引っ掛からないようにするためのEijaからの基本アドバイスを紹介しておきましょう。

• どの場所でも、パスワードを入力する時は用心する
• 2段階認証を有効にする
• Googleのセキュリティ診断とプライバシー診断ツールを利用する
• 転送・メールフィルタリングの設定、接続しているアプリ＆サイト、デバイスおよびアクティビティ、共有ファイルを定期的に見直す
• デスクトップクライアントやモバイルクライアントにPOPアクセスやIMAPアクセスが必要なければ、これらを無効にする

それでは
Sandra

＞＞原文へのリンク

数ヶ月前、悪意のある数独問題ファイルを読み込むことの危険性について注意喚起を行いましたが、昨今の標的型攻撃の手口は悪質化、巧妙化の一途をたどり、ソーシャルエンジニアリングを駆使した攻撃手法も洗練され、もはや「悪意があるかどうかを事前に判断」することが困難になりつつあります。つまり、「不審な数独問題ファイルを開かない」というのが対策として機能しなくなってきたのです。

そこで近年注目されているのが、マイクロソフトが提供するEMETに代表されるような脆弱性防御(緩和)ソフトウェアです。
早速、EMETを有効にした状態で数独マルウェア(正確に言うと数独Exploit)を使って攻撃してみましょう。
デフォルトで3つのセキュリティレベルが用意されていますので、最高レベルの「Maximum security settings」を選択して実験を開始します。



なるほど、確かに攻撃を検知して防御してくれました。

では次に、EMETによる防御をバイパスしてみましょう。EMETの解説を読む限りでは、攻撃に使われる典型的な振る舞いをパターン化しているようです。そこで、一直線に攻撃に向かうのではなく、わざわざ遠回りをして攻撃してみます。例えて言うと、スタート地点Aから目的地Bに向かいたいが、途中に検問がある。だったら一度経由地Cを通ってから目的地Bに向かおうという、いたってシンプルな作戦です。
要するに
A -> B
という命令は
A -> C
C -> B
という二段階の命令に置き換えます。

完成した攻撃コードを実行した動画です。



脆弱性防御ソフトウェアは、あわてんぼうの攻撃者にとっては有効ですが、精巧に攻撃されるとまだまだバイパスが可能、という段階のようです。

また今回の実験はEMETだけでなく他の標的型攻撃対策ソフトに対しても同様にバイパスが可能でした。

「不審な数独問題ファイルを開かない」という自信の無い方は、業務用PCと数独用PCを分けることをおすすめします。

2015/10/06追記: EMET 5.5 Betaでも結果は同じでした。

　現在、Android 6.0、別名「Marshmallow」が公開されている。もっとも良い新機能は、私の見解では、新しいパーミッションモデルである。

　きちんと作成されたアプリケーションであれば、パーミッションをインストール中に1度だけ要求するのではなく、必要な時になって要求できるようになる。

　Androidのこれまでのバージョン用に設計されたアプリケーションでは、いまだに前もって数々のパーミッションについて要求されるが、MarshmallowではiOSのように粒度の細かい制御を行える。

　もしパーミッションを拒否したとしても、すべてのアプリケーションがすんなりとあきらめるものとは限らない。

　しかし、たとえばFacebookの「友達を検索」する機能を使いたくないなら、Facebookアプリがあなたの連絡先にアクセスする必要性はまったくないだろう。私がお勧めしたいのは、さまざまなパーミッションを許可せずに、Marshmallowのスマートフォン上にインストールした「必要悪」をテストしてみることだ。

　良心的な開発者はすぐにでもアプリケーションを更新するだろう。

　そして更新しないのなら…よし、レビューはそのためある。でしょ？

　Android 6.0の変更点はすべてここで参照できる。

　@5ean5ullivan