エフセキュアブログ

by:高間 剛典

トランプ政権のサイバーセキュリティ政策

2017年1月20日にドナルド・トランプ氏が大統領に正式就任し、約2ヶ月が経過したが、トランプ政権でのサイバーセキュリティ政策は一体どのようなものになるのだろうか? じつはサイバーセキュリティ政策についての大統領令は、すでにドラフトが上がっている。(PDF)

簡単にまとめた分析によると、この政策は、まず軍・インテリジェンス機関を含む各省でのセキュリティ対策状況を監査レビューし、現在は各省ごとに行なわれているサイバーセキュリティ対策をホワイトハウスの予算管理の元に横断的に一本化するといったもので、また学校で教えるサイバーセキュリティについて国防省と国土安全保障省がレビューするという項目もあるようだ。

とはいえ、トランプ政権のサイバーセキュリティ担当として選ばれたのはその分野の経験があるとは思えないルドルフ・ジュリアーニ元ニューヨーク市長であり、また2月中旬にサンフランシスコで開催されたRSAコンファレンスにはトランプ政権からは誰も顔をだしていないなど、トランプ政権のサイバーセキュリティに対しての本気度を疑問視する声もある。

さらに2月19日にはトランプ氏のウェブサイトがイラクのハッカーにより侵入され書き換えられるなど、トランプ氏自身でサイバーセキュリティ問題を経験することになったようだ。

また、トランプ氏は以前から使っているAndroidスマートフォンを大統領就任後も手放さず毎日Twitter投稿に明け暮れているが、この電話機もいつハッキング攻撃の対象に狙われてもおかしくない。

もし実際に政府レベルでのサイバーセキュリティのインシデントが起きた場合にトランプ政権が対応できるのかについても厳しい見方がある。さらに、スノウデンによるNSAのサーベイランス・プログラムが多数暴露された際によく公聴会に呼び出されていたDirector of National Intelligenceだったジェームズ・クラッパー氏は1月末で任期が切れているのだ。しかし少なくともクラッパー氏はサイバーセキュリティ脅威を通常のテロリズムより重視していたので、そのような問題の理解者がいないまま大統領令を出したところで、現実的に何ができるのだろうか。

さらに現在のトランプ政権の動きは、サイバーセキュリティだけでなく各種プライバシー情報を含むパーソナルデータの保護にも大きな影響を与えると思われる。トランプ政権が選んだFCC(連邦通信委員会)の委員長アジット・ペイ氏はテレコム企業出身で、ネット中立性に反対を唱えてきた人物だからだ。それを後押しするように、3月22日、共和党が多数派を占める米議会上院は、たった数カ月前の2016年10月にオバマ前政権のもとで成立したブロードバンドのプライバシー保護規則を撤回する決議を、50対48で可決したのだ。これにより、ISPやモバイルインターネット通信事業者が、運営するネットワークを流れる利用者のデータを、利用者の同意なしにマーケティング企業などに売ることができるようになるのだ。これは、EUで成立したパーソナルデータ保護法制度の「EU General Data Protection Regulation」と、さらに2018年に同時に施行予定の「EU ePrivacy Regulation」とも対立しうるはずで、そのため2016年に成立したEUとアメリカの間でのパーソナルデータ移動を認める合意である「EU US Privacy Shield」合意が反故になる可能性があると思われる。



実際のところ、トランプ政権のホワイトハウスは日に日に混迷状況をあらわにしているように見える。

当初の政権人事として国家安全保障担当大統領補佐官に選ばれたマイケル・フリン氏は、就任前に駐米ロシア大使と対ロシア制裁措置について協議した件が明るみに出たため、早くも辞任した。じつはドナルド・トランプ氏は大統領選挙前から、ロシアの犯罪組織のボスから工面してもらった金で破産を免れたといった話題が流れるなど、ロシアとの関係に疑惑が持たれている。

また選挙中からトランプ候補の戦略を担当していたスティーブン・バノン氏が大統領主席戦略官として政権参加した上、さらにトランブ氏により国家安全保障会議(NSC)へのメンバーとして選ばれたことが発表されると大きな波紋を呼んだ。バノン氏はトランプ氏の選挙戦略を担当する以前は、Alt Rightと呼ばれる新興右翼勢力のメディア「Breitbart」ニュースの元会長で白人至上主義や排外主義のヘイト記事を多数執筆していた人物であり、政府機能の経験はまったく持っていない。そして一部ではトランプ政権を裏ですべて操っているのはバノン氏であるとすら噂されている。

さらにこの選択では、今までの政権では国家安全保障会議に通常参加していたインテリジェンス機関の代表になるDirector of National Intelligence担当者と、軍の代表になるJoint Chief of Staff担当者を外した上で、トランプ氏はバノン氏を選んだ。インテリジェンス機関代表と軍の代表の参加しない国家安全保障会議は前代未聞といえるし、実際それで有事に際して何か有効な決定を行えるのかはまるで疑問だ。マイケル・マレン元統合参謀本部議長などもこのバノン氏の採用を激しく非難した。

またトランプ政権に失望したという声は、就任後すぐにCIAなどのインテリジェンス機関からも聞こえてきた。

そしてついに2月24日には、ホワイトハウス内部の報道官室での記者会見からCNN、BBC、AFP、New York Times、Los Angeles Timesなどの主要メディアを締め出すなど、トランプ政権はおよそ独裁政権しか行わないような行動に出た。

そしてトランプ氏が公の場での演説やTwitterへの投稿で繰り返す、感情のアップダウンの激しい見境のない不適切な言動は問題となりつつある。大統領に職務遂行能力がない場合の手続きを定めた合衆国憲法修正第25条第4項を使って政権内クーデターを起こしてトランプ氏を追い出し、元副大統領のマイク・ペンス氏が大統領代理を執務するという憶測すら既にでている。

アメリカメディア調査での3月のトランプ大統領の支持率は新たな最低レベルの更新で36%と言われ、現在のところは当面トランプ政権の行方は予測しても不透明なままとしか思えない。

IoTはどこで作られているのか?

深圳(Shenzhen)は香港から電車で45分の中国国境内のきわにある「ハードウェアのシリコンバレー」とも呼ばれる経済特区の都市だ。人口は1500万人とも2000万人ともいわれ東京よりも大きく、高層ビルは278本もあり中国第4位の大都市となっている。
そして Tencent, Huawei, DJI, OnePlus, ZTE, Coolpad, Gionee, TP-Link, Beijing Genomics Instituteなどのエレクトロニクス、テレコム、バイオなどのハイテク企業が集中し、华强北(Huaqiangbei)という秋葉原の100倍はある巨大なエレクトロニクスタウンがある。iPhone他のエレクトロニクス製造で拡大してきた都市なので、電子部品、プリント基板製造、アセンブリー、プラスティック成形、金属加工などの企業が群をなして営業している。また好調な経済のため、生活物価は東京とたいして変わらなくなっている。

この深圳についてのビデオドキュメンタリー "Shenzhen: The Silicon Valley of Hardware" をWired UKが制作し、6月に公開された。全部で1時間強になるこのシリーズは、深圳でのIoTとMakersの興味深い最新の動きを取り上げている。

Part 1

Part 2

Part 3

Part 4

特にPart 2は、IntelがIoT向けに一昨年発表したフルPCの機能をSDカードサイズにまとめた「Edison」チップのディベロッパーフォーラムが4月に深圳で開催された場面から始まる。明らかにIntelは深圳がIoT開発の中心地のひとつになると踏んでいる。またIntelが食い込もうとしているIoT開発で、他に使われているのはArduinoやRaspberry Piなどで、ほとんどLinuxやオープンソース・ソフトウェアで動いているものが多い。
Intel Edison

深圳にはハードウェア開発に関わる大きな外国人コミュニティができていて、ヨーロッパやアメリカから来て深圳に住み着いてエレクトロニクス・ハードウェア開発のヒジネスを運営している人達も多い。一説ではシリコンバレーでのハードウェアも3割は深圳で作られていると云われるほどだからだ。

その一つ、HAXはハードウェア・スタートアップ企業のための世界最大のアクセラレーターだ。

当然地元の中国の人達が始めたハードウェア開発のサポートやブローカービジネスも多数ある。Seeed Studioはよく知られているものの一つで、日本にも窓口がある。

そして半田付け用具や測定器、金属加工器具、レーザーカッター、3Dプリンターなどを揃えた、ハードウェア自作派やスタートアップ向けのMaker Spaceと呼ばれる場所がいくつも出来ている。

深圳の動きには当然に日本でも注目している人達がいて、ニコニコ技術部の有志が一昨年から深圳の視察ツァーを開催している。その報告をまとめた「メイカーズのエコシステム」という書籍が4月に発売された。

このメイカーズというのはMakersのことで、O'Reillyが出している「Make」という自作派向けの雑誌から派生して開催されている「Maker Faire」というイベントなどで自作のハードウェアを見せたり販売したりする人達のことを指す。先週8月6,7日には「Maker Faire Tokyo」が東京でも開催されたばかりだ。
Maker Faireは深圳でも開催されている。

これらのインフラが出来ていることで、深圳発のハードウェア・スタートアップ企業が多数出現している。そして彼らのかなりがIoTを手がけている。Intelが深圳がIoT開発スタートアップの中心地のひとつになると考えるのは当然の流れだ。

クラウドファンディングサイトのKickstarterやIndieGoGoなどを眺めても、IoTカテゴリーに入るプロジェクトが多数見つかるし、それらはほとんどスタートアップ企業のことが多い。ところが日本では、特に政府関係者はIoT製品は既存の電機メーカーが作ると考えているのではないか? 7月にIoT推進コンソーシアムと経済産業省と総務省が共同で「IoTセキュリティガイドライン」を発表した。しかし、製品化に脇目も振らずに邁進するスタートアップ企業がこのようなややこしい資料を気にかけるとは考え難い。
さらにそれ以前に、日本でだけこのようなIoTセキュリティガイドラインを作ったとしても、IoT開発の主力地が深圳など海外にあるならまったく影響力は期待できないだろう。

#Citizenfour が6月11日から日本で公開 - スノウデンへの密着ドキュメンタリー

元NSA契約業者職員だったエドワード・スノウデンに密着取材したドキュメンタリー作品「Citizenfour」が6月11日から日本でもやっと公開される。「Citizenfour」2014年アカデミー賞のベスト・ドキュメンタリー賞として選ばれたことは1年ほど前にエフセキュアブログにも書いたが、アメリカでの初公開から1年半遅れの日本公開となる。
とはいえ6月4日にはJCLUのイベントでネット経由で出演し日本でのメディア報道の自由の状況に警告を発したり、 2013年の暴露以前にNSA内でも問題を指摘しようとしていたことがVICE Newsのアメリカ情報公開法に基づくNSA内部資料入手により明らかになるなど、スノウデンの告発による衝撃はいまでも続いている。 
JCLUイベント  https://www.youtube.com/watch?v=fL3x_9PHrWY 
Exclusive: Snowden Tried to Tell NSA About Surveillance Concerns, Documents Reveal 

日本版トレイラー

(しかし相変わらず日本ではこの映画も含め「元CIA職員」という肩書きが使われ、スノウデンが「元NSA契約業者Booz Allen Hammilton職員」だったことが歪められている)
劇場情報はこちらから http://gaga.ne.jp/citizenfour/info/?page_id=20 
 

#Wassenaar アレンジメントのゆくえ3 -- 今週から始まる予定の「Intrusion Software」の修整再交渉

3月18日、脆弱性テストツールMetasploitを提供しているRapid7社がブログで「Wassenaarアレンジメント - サイバーセキュリティ輸出コントロールへの推奨事項」という提言記事をポストした。記事中ではまさに今週にあたる4月11日の週からWassenaarアレンジメントの再交渉に関するミーティングが始まる事の指摘があり、それを睨んだ提言だ。

このWassenaarアレンジメントの再交渉の件は、前回私が1月15日にF-Secureブログに「#Wassenaar アレンジメントのゆくえ2 -- 国際武器輸出規制と「Intrusion Software」定義の影響とは」のポストを書いたのと同時期に動きだしていた。  http://blog.f-secure.jp/archives/50761446.html
この『再交渉』というのは、アメリカ国内での対応制度の話ではなく、41ヶ国の合意となっているWassenaarアレンジメントの本体の文言を書き換えるということだ。

1月12日にアメリカ議会のITサブコミッティーでヒアリングが行われた。
WASSENAAR: CYBERSECURITY AND EXPORT CONTROL

そして2月29日にはアメリカ議会動向のニュースを扱うThe Hillに、オバマ政権が「Intrusion Software」のルールへ再交渉へ舵をきったと流れた。
Obama administration to renegotiate rules for 'intrusion software'

3月1日には、アメリカ商務省がWassenaarアレンジメントの書き換え交渉の提案を受領したことが通知された。


Rapid7による提言そのものは、228ページにわたるWassenaarアレンジメント本文の中の「Intrusion Software」に関する条項の文言それぞれについて、法律家の支援を得て添削を試みたもので、以下のPDFになる。

Rapid7の提言によるWassenaarアレンジメントの添削ドラフトでは、以下の3つの点が変更すべき推奨のポイントになっている。
1) Exceptions to the Wassenaar Arrangement controls on "systems," "software," and "technology."
Wassenaarアレンジメントによる「システム」「ソフトウェア」「テクノロジー」のコントロールへの例外をはっきりすること

2) Redefining "intrusion software."
「イントルージョン・ソフトウェア」を再定義すること

3) Exceptions to the definition of "intrusion software."
「イントルージョン・ソフトウェア」の定義への例外をはっきりすること

F-Secureブログの1月15日のポストでも触れたが、MetasploitはWassenaarアレンジメントの影響を受けるツールとしてよく例に上げられている。理由は、Metasploitにはオープンソース版と商用版があるが、Wassenaarアレンジメントではオープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればの規制から除外されることになっているので、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitは輸出ライセンスを得る必要があるという問題だ。そのため、このMetasploitを提供するRapid7がこのような提言を出して来るのはとても意味がある。

再交渉が始まるタイミングならば、Wassenaarアレンジメントの影響を受け得る日本の企業も積極的に意見を表明していく必要があるだろう。

#Wassenaar アレンジメントのゆくえ2 -- 国際武器輸出規制と「Intrusion Software」定義の影響とは

  クリスマス直後の12月27日からドイツで Chaos Computer Congress (CCC) が開催された。ここでも「Wassenaarアレンジメント」についてのパネルディスカッションがあり、2015年夏以降の状況がアップデートされた。このCCCでのパネルでは衝撃的な話が出た。それは、昨年に自社内部メールの流出暴露で物議をかもしたイタリアの「Hacking Team」が、Wassenaarアレンジメントに基づいて輸出業者としての登録が認められたという話題だった。このパネルは以下URLでビデオを視ることができる。


  Wassenaarアレンジメント (経産省の表現では「ワッセナー・アレンジメント合意」)とは、41ヶ国が参加する国際武器輸出規制の枠組みだが、2013年にソフトウェア技術への規制として「Intrusion Software」と「Surveillance Systems」が追加され、この定義と取り扱いをめぐって2015年前半から大きな議論が巻き起こっているのだ。参加国の顔ぶれは以下で見ることができる。
  また、このサイトのWassenaarアレンジメントの輸出規制対象を示した「Control List」などの書類も、いくつか2015年12月3日付でアップデートされている。

  Wassenaarアレンジメントの「Intrusion Software」への規制に関して、日本語で記述されたものが今のところ著しく少ないが、日本ネットワークセキュリティ協会のこのページも参考になるひとつだろう。

  この件について私も7月に「#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは」のポストを書いた。
  このポストで書いたのは主にアメリカのセキュリティ業界の反応についてだったが、それはアメリカのセキュリティ企業の製品やサービスが世界的にかなりのシェアを取っていたり、業界をリードしている企業がアメリカに多いことから大きく聞こえて来たためとも云える。しかし実際は、Wassenaarアレンジメントへの「Intrusion Software」「Surveillance Systems」の追加はEU側から提案されたものであり、EUでの規制の進められ具合はアメリカと違っている。EUでは、Wassenaarアレンジメントの条文に基づいた内容の規制案が今後2年かけて用意されるようだ。

  さらに、Wassenaarアレンジメントとはその名のとおり「アレンジメント」なので、「条約 (Treaty, Convention)」のような国際法的拘束力はなく、そのため参加国政府は国内での規制措置を用意することになっているが、法律の制定までは行うことは求められていないので参加各国それぞれでの規制状況は必ずしも足並みが揃ろっているわけではないようだ。またWassenaarアレンジメントが「Intangible Technology Transfer (無形技術移転)」の制限という枠組みで規制しようとしているのは、攻撃型マルウェアのような「製品」そのものではなく、それらを製作するための「テクノロジー」という物質として存在しないモノだという点が話を複雑にしている。「テクノロジーの輸出」は果たして輸出入の法的規制の枠組みで対処できるものなのか?という疑問があるからだ。

  Wassenaarアレンジメントへ「Intrusion Software」と「Surveillance Systems」が追加された理由は、2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発した「FinFisher」などのサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、そのような「ソフトウェア兵器」にあたるものも輸出規制をするべきという機運が高まったためだ。2013年のWassenaarアレンジメントの改訂が紹介された理由などは以下の記者会見ビデオが詳しい。何も規制が無い状態よりもとにかく何か始めるべき、というのが提案者から何度か強調されている。
Controlling Surveillance: Export Controls as a Tool for Internet Freedom, Mar 25, 2014


  この記者会見にも参加しているが、Wassenaarアレンジメントへの「Intrusion Software」と「Surveillance Systems」の追加議論に関して初期から関わっていた Collin Anderson が詳細な検討の資料を作っている。
Considerations on WASSENAAR ARRANGEMENT CONTROL LIST ADDITIONS FOR SURVEILLANCE TECHNOLOGIES Authored by Collin Anderson
New white paper recommends targeted approach to controlling export of surveillance technologies

  ところが、CCCでのWassenaarアレンジメント・パネルで明らかになったように、スパイ用マルウェアなどの製作販売を行うイタリアのHacking TeamがWassenaarに準拠した輸出業者として認定されるという展開では、このアレンジメントによる「Intrusion Software」や「Surveillance System」の輸出規制の実効性には疑問を持たざるをえないと思える。この輸出規制は、その事業者の存在する国の政府や監視機関が積極的に行動しない限り実現しないし、もし政府方針が輸出に協力的ならば有名無実になりうるだろう。Hacking Teamは、2015年の始めからプレスリリースで「Wassenaarを遵守する」と言ってきた。しかしその時点でイタリア政府が輸出業者としての認定を出すかどうかの審査は果たして規制寄りだったのだろうか。

  また、スパイウェアFinFisherを独裁国家政府などへ製作販売していたイギリスのGamma社は、このソフトウェアの独裁政府による使用での人権侵害について追求していた英NGOのPrivacy Internationalが提訴するなどしたため、イギリスから他国へ本社を移動している。

  現状のWassenaarアレンジメントは、参加国から参加国あるいは参加国から非参加国への輸出を規制する仕組みであり、非参加国同士での移動は当然まったく規制から自由だし、非参加国から参加国への輸入についてどのような扱いなのかも疑問になる。例えば、Wassenaarアレンジメント参加国同士では、ウィルスの検体の移動すら規制対象に該当しうるという解釈のために悲鳴が上がっているのに、非参加国同士ならまったく制限がない。実際、多数のセキュリティ企業があるイスラエルや中国やインドは非参加国だし、アジア圏では日本と韓国しか参加していないので、レベルの高いハッカーコンファレンスが開催されているマレーシアやシンガポールや香港や台湾も非参加国だ。

  どうやらWassenaarアレンジメントの前提になっているのは、開発に高度な技術が要る兵器やソフトウェアはいわゆる「先進国」のみが作れるので、Wassenaarへそれら「先進国」を参加させることで規制できるという発想だが、その発想自体がすでに疑問なものといえる。

  さらに、現状のWassenaarアレンジメントでは、個人のセキュリティ研究者や小規模独立系セキュリティ企業が最大の影響を受けることが状況的に明らかになって来たことが、これが議論の俎上に上がっている理由のひとつだ。
  例えば、アメリカの法律に基づく解釈では「Deemed Export」という概念があり、これは口頭で伝えるだけでも輸出に該当してしまうという解釈になる。これでは、多数の国籍の従業員で構成されたセキュリティ企業で、Wassenaar非参加国の従業員が含まれていた場合、ウィルスに関しての技術情報を口頭で伝えるだけでWassenaarアレンジメント違反になってしまう。

  また、オープンソースやパブリックドメインのソフトウェアのようにソースコードが公開されていればWassenaarアレンジメントの規制から除外されることになっているが、これも話は単純ではない。例えばMetasploitにはオープンソース版と商用版があるが、もしWassenaar非参加国でのペンテストの業務があるとして実施のためにスタッフがMetasploitをツールとして持って入国するには、オープンソース版MetasploitならばWassenaarアレンジメントの規制から除外されるが、商用版Metasploitを持って行くならば輸出業者として登録しなければならいない事になる。
  あるいは、どのようなオープンソース・ソフトウェアであっても実際にコードが書かれる前の、プログラマーの頭の中で考えている段階ではソースコードはまだ公開されていない。ということは、ソースコードが頭の中にあるプログラマーがWassenaar非参加国に入国すると、Wassenaarアレンジメント違反という解釈ができうる。これらの例は、CCCでのWassenaarパネルで実際に出た話題だ。

  アメリカの商務省でのWassenaarアレンジメント対応規制については、2015年7月のパプリックコメントを反映した新しいドラフトが今年出てくるであろう。EUでは今後2年間かけで対応する規制を作ると言われているので、すでにそれへ向けてセキュリティ協会から意見を注入しようとする動きがある。

  しかし、結局は「Wassenaarアレンジメント」の条文自体を修正しなければ問題はなくならないだろう。それに向けてのセキュリティ関係者の動きも起きている。
Overhaul Wassenaar or ruin next Heartbleed fix, top policy boffin says

  上記の Collin Anderson は、日本のセキュリティ業界からも意見を求めている。Wassenaarアレンジメントの対応への不安や興味のある方は、以下のURLのアンケートに英語だが無記名で良いので意見を送ってみて欲しい。
Questionnaire on Intrusion Software Export Regulations in Japan (English)

#Wassenaar アレンジメントのゆくえ -- マルウェアやゼロデイ発見報奨プログラムへの影響とは

  Wassenaarアレンジメントに対して、主にアメリカのセキュリティ業界はここ2ヶ月の間静かに大騒ぎしていた。アメリカ商務省がドラフトを書いた、この国際合意への「Intrusion Software」追加の提案の影響は、マルウェアのサンプルだけででなく今後報告されるであろうゼロデイ・エクスプロイットや、最近盛んになってきている多数の脆弱性発見報奨プログラムにも及ぶだろうからだ。またこの改訂に含まれる要件は、出身国が多様なセキュリティ研究者に影響を与え得る。この改訂によると「Intrusion Software」の輸出を行う事業者は輸出事業者免許を取得することが必要になるからだ。

  Wassenaarアレンジメントとは、もともとは兵器と関連品の輸出入管理についての多国間の合意だった。しかし2011年に中東アフリカ圏で起こったチュニジア、エジプト、リビア、バーレーンなどの民衆蜂起の際に、いわゆる西側諸国の企業が開発したサーベイランス・ソフトウェアが独裁的政権に購入され国民の監視抑圧目的に使われていたことが判明したことから、「ソフトウェア兵器」にあたるものの規制として「Intrusion Software」がそこへ加えられることになったのだ。ところが、その定義と規制が広過ぎることから今回の騒動が始まったといえる。

  F-Secureのショーン・サリバンが6月9日のポストでアンチウィルス・ベンターとしてのWassenaarへの懸念を書いていたが、影響する範囲はもっと広い。ショーンは「Intrusion Software」の定義にマルウェアが当てはまると指摘していたが、ゼロデイ・エクスプロイットもこの定義に該当することになるはずだからだ。 

  そして「Intrusion Software」の輸出を行う事業者はその国の輸出事業者免許を取得することが必要になるとすると、脆弱性発見報奨プログラムへの報告を行おうとするセキュリティ研究者も輸出事業者免許の取得が必要なのだろうか? 多くのセキュリティ研究者は個人やたった数人のグループなのだが? もし研究者のグループが複数の国籍者の集まりならばどうなるのか? 輸出事業者免許の取得にはいったい幾らかかるのか? また逆に、先月から話題になっているイタリアの「Hacking Team」のようなハッキングを販売する企業が輸出事業者免許を取得することは禁止できるのか?

  このWassenaarアレンジメントの改訂は有害なパラドックスも引き起こしうる。「Intrusion Software」であっても公知の状態に公開されたテクノロジーならば除外対象になるとされているのだが、ならばゼロデイを発見した研究者は、いきなり公表することはできるが、まずメーカーに通知し修正が済んだ時期まで待ってから公表するという「責任あるディスクロージャー」として長年にわたり定着しているプラクティスは輸出事業者免許を取得しない限り行えないことになる。

  Wassenaarの現状の参加国は次のような顔ぶれだが、アジアからは日本と韓国だけが参加している。しかし中国やマレーシアのセキュリティ研究者からレベルの高い報告が為されている現状を見るならば、非Wassenaar参加国からWassenaar参加国への「Intrusion Software」の移動はどう扱われるべきなのか? :
 Argentina, Australia, Austria, Belgium, Bulgaria, Canada, Croatia, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Japan, Latvia, Lithuania, Luxembourg, Malta, Mexico, Netherlands, New Zealand, Norway, Poland, Portugal, Republic of Korea, Romania, Russian Federation, Slovakia, Slovenia, South Africa, Spain, Sweden, Switzerland, Turkey, Ukraine, United Kingdom, United States

  アメリカ商務省は、Wassenaarの「Intrusion Software」追加に関するパブリックコメントを7月20日まで受付ていたので、この2ヶ月のあいだ意見を送る啓蒙活動が起きていた。Wired誌は7月16日に、脆弱性バウンティプログラムを運営するHackerOneのチーフポリシーオフィサーKaite Moussourisによる事態の詳細を解説する寄稿を掲載した。(彼女は以前Microsoftのセキュリティ・レスポンスセンター(MSRC)にて脆弱性バウンティプログラムを立ち上げた人である)

  Wassenaarに関するパブリックコメントには、実際にアメリカの多数のセキュリティ・防衛産業企業からのコメントがあった模様だ。(Raytheon社などは「夏休み中にWassenaarを施行しないでくれ」というコメントだったらしい噂もあったが)

  エレクトロニック・フロンティア・ファウンデーション(EFF)では対応チームを作り、Center for Democracy and TechnologyやHuman Rights Watchなど6つの団体と連合を組んで啓蒙活動を行っていた。

  それらのパブリックコメントやEFFなどの活動は商務省へそれなりの影響を起こしたようで、Wassenaarの文面は現状のドラフトから書き換え中で新バージョンは「かなり変わることになる」との発言が商務省関係者からあったとのニュースが7月29日に出た。

  しかしWassenaar改訂案文面の新バージョンがかなり変わることになるとしても、実際の文面を見るまでは予断を許さないだろう。また第2回目のパブリックコメントが行われるだろうという説もある。

  Wassenaarについては、Blach Hat USAの8月6日と、その後続いて開催されるDefconの8月8日10:00am Track3にセッションが予定されている。セキュリティ関係者は議論の動向に注目しよう。

#Citizenfour がアカデミー賞を受賞 - エドワード・スノウデン密着ドキュメンタリー #Snowden

  アメリカの映画業界が1年に1度最優秀作品を選ぶアカデミー賞。今年2月22日の授賞式では2014年のベスト・ドキュメンタリー賞として、元NSA契約業者職員だったエドワード・スノウデンに密着取材した作品「Citizenfour」が選ばれた。監督のローラ・ポイトラスはアメリカ人映像作家だが今はベルリンに住んでいる。この映画は、スノウデンのNSA内部告発を主なストーリーとして組み立てられているが、スノウデン以前にNSAを内部告発した元NSA職員ウィリアム・ビニーの発言も重用するなど、他の内部告発者の動きにも比重を掛けている。そして節々に画面に現れる「For Your Consideration」の文字が視聴者に疑問を持つことを投げかける。

トレイラー  https://vimeo.com/110281557

  この映画はアカデミー賞以前にすでにBAFTAアワードなど多数の賞を受けていた。サウンドトラックはナイン・インチ・ネイルズの「Ghosts I-IV」からクリエイティブコモンズ・ライセンスの音源が使われ緊張感を醸し出している。またエグゼクティブ・プロデューサーのリストには、「セックスと嘘とビデオテープ」「エリン・ブロコビッチ」「オーシャンズ」などの監督スティーブン・ソダーバーグも名前がある。
https://citizenfourfilm.com/cast-crew 

  Citizenfourとは、スノウデンが初めてローラ・ポイトラスにコンタクトした際に使用したコードネームのことだ。オープニングは、スノウデンからの初めてのメールの朗読から始まる。同時にテキストで、ポイトラスが2006年にイラク侵略戦争のドキュメンタリーを作り始めた頃からアメリカ出入国の際に執拗な尋問に遭い始めたために、次作のグゥアンタナモ刑務所の作品などの撮影素材を守るためにベルリンに移住したことが明かされる。この映画では、背景解説のテキストやスノウデンとのメッセージのやりとりの朗読の多用が緊張感を高めている。映像も建設中のNSAデータセンターやアメリカ議会でのNSA長官の尋問などが背景を示す。

  そして香港でのスノウデンとのコンタクトに話は進む。2013年6月3日月曜から1日づつ進むホテルの密室でのスノウデンへのグレン・グリーンウォルドによるインタビューとその記事の発表によって日毎に進む事態、日に日に深まるカミングアウトを決意したスノウデン自身の神経質さの描写は、これが現実に起きたという事実の重苦しさから逃げられない。

  「Citizenfour」1時間53分の前半2/3ほどは香港でのスノウデンのインタビューに時間が割かれているが、後半になるとスノウデンの暴露のインパクトと波及事件が多数盛り込まれる。特に、スノウデン暴露記事の急先鋒として報道したイギリスのThe Guardian紙のオフィスへ英諜報機関GCHQの職員が現れ、スノウデンから受け取ったファイルの提供を強要したことから、拒否したThe Guardian編集部がファイルを保持していたPCとそのハードディスクを破壊した場面も含まれている。

  しかし一番戦慄するのは最後の10分間だろう。ここで新たなNSA内部告発者が現れたことが明かされるからだ。グリーンウォルドとポイトラスはモスクワのスノウデンを訪ねて、この新たなNSA内部告発者について相談するが、この新たな人物がグリーンウォルド達に持ち込んだ情報の危険性はスノウデンが呆れるほどなのだ。クレムリンの見える1室で行われたミーティングは盗聴を避けるために主な情報は筆談で為され、大部分の手書きメモは映されないが幾つかはフォーカスが合わされて撮影されている。中でも意思決定チェーンを説明するメモの一番上に書かれた「POTUS」の文字ははっきりと読める。(POTUS: President Of The United States の略)


  レビュー「NSA告発を描いた話題の映画「CitizenFour」レビュー:スパイ行為の暴露を語るスノーデン氏の実の姿」
  「Citizenfour」は日本でもGAGAの配給で公開が予定されている。(ただし多数の暗号技術用語や諜報機関用語などが上手く翻訳されるかが心配だが)


  「Citizenfour」には描かれなかったスノウデンの香港脱出についても、デンマークのDR-TVとドイツのNDRの合作でドキュメンタリーが作られている。脱出行動を共にしたWikileaksのサラ・ハリソンと後方支援したジュリアン・アサンジへのインタビューと、アメリカ側でスノウデンの対応に追われたホワイトハウスやNSAの様子を元NSA長官マイケル・ヘイデンなどへのインタビューを対比しながら見せている。

  また2015年クリスマス公開を目指して、オリバー・ストーン監督のスノウデン伝記映画も制作が進んでいる。
  3月3日に、スノウデンはアメリカへ戻ることも検討しているというスノウデンのロシア側弁護士の談話が発表されたが、オリバー・ストーン監督の映画はこのアナトリー・クチェリナ弁護士の出版したスノウデン本を基にしているという。


  ローラ・ポイトラスのアカデミー賞受賞スピーチは以下のようなものだった。ここで「スノウデンが暴露したものはプライバシーへの脅威だけではなく、私たちのデモクラシーそれ自身への脅威だ」とポイトラスは述べているが、セキュリティとプライバシーを対立させる二元論ではなくデジタルネットワーク時代の民主主義が主題なのだ。このドキュメンタリーを2014年の最優秀作に選んだのはハリウッドにも民主主義の番人の良識があるということだろう。

Thank you so much to the Academy. I'd like to first thank the documentary community. It's an incredible joy to work among people who support each other so deeply, risk so much, and do such incredible work. We don't stand here alone. The work we do to (unveil?) what needs to be seen by the public is possible through the brave organizations that support us. We'd like to thank Radius, Participant, HBO, BritDoc, and the many, many, many organizations who had our back making this film. 
The disclosures that Edward Snowden reveals don't only expose a threat to our privacy but to our democracy itself. When the most important decisions being made affecting all of us are made in secret, we lose our ability to check the powers that control. Thank you to Edward Snowden for his courage, and for the many other whistleblowers. And I share this with Glenn Greenwald and other journalists who are exposing truth.
  https://www.eff.org/deeplinks/2015/02/laura-poitras-acceptance-speech-when-citizenfour-won-academy-award
  受賞式ビデオ http://bit.ly/17YlrcT

 「Citizenfour」はアカデミー賞発表後、アメリカのHBO、イギリスのChannel 4、スウェーデンなどでテレビでも放映されている。またiTuneからも視聴/購入できる。日本公開が待てない人は英語のみで良ければどれかで視ることができるかもしれない。 http://bit.ly/1Emtu0U
(update2)

#Slush14 「R.I.P Internet」: サイバー犯罪者、ハクティヴィスト、国家、テロリスト集団の4つのベクトル

  ミッコが11月18日にフィンランドのベンチャースタートアップ・イベント「SLUSH」で「R.I.P Internet」と題して講演した。この「SLUSH」はフィンランド首相のスピーチで幕を開けているが、起業家、投資家、パートナー企業、アーティスト、メディアが出会える場所になるのを画策していて、日本からも楽天の三木谷氏や孫泰三氏などが参加している。

  この「SLUSH」での講演の中で、ミッコは3年前の「Google Zeitgeist」での講演から続く重要なアップデートを行っている。 

http://blog.f-secure.jp/archives/50738846.html 

  2011年に行われた「Google Zeitgeist」での講演では、ミッコは警戒すべきサイバー攻撃者として、サイバー犯罪者、ハクティヴィスト、国家の3つのベクトルを挙げていた。

http://blog.f-secure.jp/archives/50630539.html 

  「SLUSH」での講演の中では、それらに加え、実際のテロリスト集団が第4のベクトルとしてサイバー攻撃者となりつつある可能性を挙げた。ミッコが例として挙げたのは、2011~2012年に多数あったハクティヴィストによるハッキング事件を起こしたグループの内の「TeaMp0isoN」の Abu Hussain Al Britani についてだった。

  この「TeaMp0isoN」という名前には私も聞き覚えがあった。「TeaMp0isoN」が主に活動していたのは「LulzSec」の活動が活発だった時期で、彼らはその2011年当時「@TeaMp0isoN」のTwitterアカウントで活動していたため、私も活動をモニターしていたからだ。

  しかし「@TeaMp0isoN」の動きは、レイシスト・ミソジニスト的な発言が多いためフェミニストグループなどと対立するなど、LulzSecやAnonymous系のアカウントとは違っていたのが特徴的だった。また「TeaMp0isoN」が攻撃を仕掛けていた一つが、イギリスの移民排斥などを主張する極右グループ「English Defence League (EDL)」だったことは、「TeaMp0isoN」のメンバーが移民なのか何らかの民族的なバックグラウンドがあることがうかがえた。

  「SLUSH」での講演でミッコは、「TeaMp0isoN」の首謀者「TriCk」は Abu Hussain Al Britani という男性で、逮捕され裁判で刑期も決まったところ何者かが保釈金を出しその後行方不明になっていたが、彼は今年シリアで「ISIS」に参加しているのが判明した事と、「ISIS」が多数のハッカーをリクルートしている事に触れた。(注: 自称「Islamic State」というテロリスト集団の名前はそれ自体がプロバガンダのため、私は訳さずに「ISIS」と呼ぶ事にしている)

  数万人規模と云われる「ISIS」には、中東・アフリカからだけでなくヨーロッパからも多数の志願参加者が出ている。「ISIS」はイスラムの名を使っているが実体は油田や銀行を戦略的に襲い斬首を常套的に行う残虐なカルト的集団に見える(これは日本でのオウム真理教が仏教の一派を装っていたが教義はかなり独特なものだった事に似ている)。また「ISIS」の参加者の中には、イスラム式礼拝の際にメッカの方向に向けて礼拝することを知らない者が混じっているのが観察されたりしている。このISIS志願者の流れの中にハッキング能力を持った者が含まれているということだ。
WaPoSyria

#Snowden のNSA暴露1周年を前に発売されたグレン・グリーンウォルド著「No Place To Hide」と #FiveEyes の歴史

  5月13日、グレン・グリーンウォルドの著書「No Place To Hide」(邦題「暴露」)が世界同時発売された。
NoPlaceToHideJP

この本は、NSA(米国家安全保障局)の業務請負企業職員だったエドワード・スノウデンがNSAの大規模サーベイランス・ファイルを内部告発暴露してからまもなく1年になるのを前に、PRISMやVerizonの件など今まで公表された主なNSAファイル記事のまとめと、今もNSA記事を書き続けているグリーンウォルドが当初どのようにスノウデンとコンタクトしたのかなどの模様や、スノウデンの人物像などが詳細に記述されている。また著書ウェブサイトからは収録されている資料をPDFでダウンロードすることもできる。

  またこの本の後半でグリーンウォルドは、権力の監視役として既に牙を失った報道機関への厳しい批判も展開していると同時に、NSA記事の公表の急先鋒だった英ガーディアン紙が直面した、英スパイ機関GCHQによって指示されたスノウデン・ファイルのコピーを保存していたコンピューターの破壊強制や、グリーンウォルドのパートナーのディヴィッド・ミランダが飛行機の乗り換えで通過しただけの英ヒースロー空港で反テロ法を理由に6時間以上も拘束された事件などを含めて、調査ジャーナリストへの政府からの圧力が現実だという事にも触れている。グリーンウォルドがこれらの事件により既存ニュースメディアの限界に直面したことは、グリーンウォルド他のジャーナリストが集まってeBay創業者のピエール・オディミアの資金援助により立ち上げた「Firstlook Media」へとつながっている。

  この本でも触れられている重要な要素に「ファイブアイズ (Five Eyes)」がある。ここでの「ファイブアイズ」とは、アメリカ、イギリス、カナダ、オーストラリア、ニュージーランドの5ヶ国によるスパイ活動での提携のことをいう。これについては、やはり先週ミッコが基調講演したベルリンで開催の「re:publica 2014」コンファレンスで行われた、ロンドンを本拠とするプライバシーNGO「プライバシーインターナショナル」のエリック・キングによる「ファイブアイズの歴史」のトークが参考になる。
(Disclaimer: 筆者はプライバシーインターナショナルのアドバイザリー役員の1人をしている https://www.privacyinternational.org/ )

  ファイブアイズは第二次世界大戦中の1942年に設立されたが、その時にはなんとアラン・チューリングが重要な役目を果たしていたという。さらに、この5ヶ国は提携しているにも関わらず、相互にスパイ活動は行わないという取り決め合意はなく、情報共有していると同時に互いに探り合っているという。「特定秘密保護法」のような法律を作ってしまった日本も、このような敵も味方もない世界に踏み込むことになるのだろう。

re:publica 2014 - Eric King: Only a monster has Five Eyes



(ところで、この本の邦訳でも例に漏れずアメリカの「PATRIOT法」に対して「愛国者法」の訳語が当てられているが、これは不正確な訳語である。この法律の名称がなぜ「Patriot法」ではなく「PATRIOT法」かというと頭文字を連ねているからで、「Providing Appropriate Tools Required to Intercept and Obstruct Terrorism」の略になっているので、直訳すると「テロリズムの阻止と遮断に必要な適切なツールを提供する法」というものであって、愛国者を定義した法律ではない。
 アメリカ議会ではこのような法案名の語呂合わせはイメージ操作のためによく使われるが、それを真に受けて訳してしまった日本のニュースメディアは滑稽では済まないものがある。またこれは、スノウデンの肩書きに日本では未だにほとんど「元CIA職員」を当てていることにも言える。スノウデンの最後の役職はNSAの業務請負企業Booz Allen and Hamiltonの職員だったのだし、この本の中でもNSAの元シニア・アドバイザーの肩書きがあったことが明かされている。)

re:publica 2014で「デジタルフリーダム宣言」をF-Secureのミッコと俳優デビッド・ハッセルホフが基調講演 #rp14

  昨日5月6日からベルリンで開催されている「re:publica 2014」コンファレンスのオープンニングで、ミッコ・ヒッポネンと俳優/歌手のデビッド・ハッセルホフが「デジタルフリーダム宣言(Digital Freedom Manifesto)」として基調講演を務めた。これは先月のミッコのポストにも触れられていたが、デビット・ハッセルホフが2014年からF-SecureのFreedome Ambassadorとなったデビューでもある。
 http://blog.f-secure.jp/archives/50726380.html 
 
「デビット・ハッセルホフって誰?」という人には、1980年代のアメリカの人気TVシリーズ「ナイトライダー」や「ベイウォッチ」の俳優というのがヒント。
 http://en.wikipedia.org/wiki/David_Hasselhoff

ビデオがすでにre:publicaのページに上がっている。

この基調講演では「デジタルフリーダム宣言」として以下の4つテーマについて語られている。
 #Theme 1: Freedom from Mass Surveillance (一般人への大規模サーベイランスからの自由)
 #Theme 2: Freedom from Digital Persecution (デジタルな迫害からの自由)
 #Theme 3: Freedom from Digital Colonization (デジタルな植民地化からの自由)
 #Theme 4: Freedom of Right of Access, Movement and Speech (アクセス、移動、言論の自由の権利) 

F-SecureではこれらのテーマについてWikiベースのキャンペーンサイトを立ち上げていて、広く発言を求めている。

#AaronSwartz の1周忌と映画「The Internet Own Boy: The Story of Aaron Swartz」 #RememberAaron

  1年前の1月11日、Aaron Swartzが自殺したことをここにも書いた。
  1周期の2014年1月11日には、「Never Forget Aaron (Aaronを絶対に忘れない)」のスローガンのもとに多数の抗議行動が行われた。生前のAaronを至近で支援していたLawrence Lessigはアメリカのニューハンプシャー市でデモを呼びかけ、アノニマスは追悼としてMITのウェブサイトを書き換えたと発表した。


  https://thedaywefightback.org/はNSAなど諜報機関による大規模サーベイランスに反対する抗議行動の予定を発表した。 http://www.youtube.com/watch?v=RJ194S7KjRg

  そして今週末から開催されるサンダンス・フィルムフェスティバルでは、Aaronを追った映画「The Internet Own Boy: The Story of Aaron Swartz」が上映される。制作したのは、アノニマスのドキュメンタリー「We Are Legion」の作者でもあるBrian Knappenbergerだ。(私が撮影したAaronの写真もどこかに使われているはずだ)
http://www.sundance.org/video/meet-the-artists-14-Brian-Knappenberger/ 
Teaser: 



  しかし、Aaronを追い詰めるために検察が根拠として使った「Computer Fraud and Abuse Act (CFAA: コンピューター詐欺悪用禁止法[名仮訳])」の問題(http://blog.f-secure.jp/archives/50691603.html に付記)はまったく無くなってはいない。どちらかというと悪化したとも言えるだろう。2014年1月8日にPatric Leahy米民主党上院議員が提案した「Personal Data Privacy and Security Act」にはCFAAを修正して重罰化を求める内容が含まれると分析されているからだ。

#RSA #NSA #USA そして #Dual_EC_DRBG

日本がクリスマス3連休に浮かれている12月21日の土曜日の朝、Mikko Hypponenが流したtweetはシリアスだった。

  @Mikko I'm ashemed on behalf of the whole industry. RSA received $10M in order to use NSA's flawed encryption technology. (私はセキュリティ業界全体を代表して恥を感じている。RSA社はNSAの欠陥暗号技術を使うことで1000万ドルを受け取った)

  この時まさに世界中の暗号関係者とセキュリティ関係者の間にショックが広まりつつあった。Reutersが、アメリカの暗号技術企業としてよく知られているRSA社がNSA(アメリカ国家安全保障局)から1000万ドルを受け取り自社の暗号ソフトウェア製品に弱点のある数式を組込んだ、と伝えたからだ。
  この記事を書いたのはサイバー犯罪に関する本を何冊も出しているJoseph Menn氏。彼の「サイバークライム(原題"Fatal System Error")」の日本語訳が出版された際に、F-Secure ブログの執筆メンバーの1人の福森さんが監修した話題もあったほどだ。

  Reutersだけでなく、即座にArs TechnicaやRussia TodayやTech Crunchも記事をアップし、他のメディアも追随したため、この「弱点のある数式」とは「Dual_EC_DRBG」という楕円曲線関数を利用した乱数発生アルゴリズムだという事がすぐに明らかになった。乱数発生器は暗号技術の中でも中核であり、暗号鍵の生成に重要な役割を果たしている。しかしこの問題のある乱数発生器アルゴリズムは、NIST(アメリカ国立標準技術研究所)のSP800-90という規格として2006年にスタンダートとなっていたものだった。そのため、このアルゴリズムは、Windows VistaやOpenSSLにすら組込まれていた。

しかしこの「Dual_EC_DRBG」乱数発生器アルゴリズムは、じつは疑いの目で見られてもいた。Edward Snowdenの暴露した資料の中に「NSAはインターネットで広く使われる暗号技術を解読する複数の努力を攻撃的に進めた」ことを示唆するメモが含まれていたからだ。9月には、New York TimesとWiredが詳細な記事を載せた。そしてNISTも、このアルゴリズムの採用を見合わせるようにというアナウンスを出している。

  そしてMikkoもベルギーで開催されたTEDxのトークの時にもこのことに触れている。

 
  その日の内にMikkoは次のようにtweetした。Mikkoは2014年2月にサンフランシスコで開催予定のRSAコンファレンスにスピーカーとして招待されていたからだ。

  @Mikko If the Reuters story is true, I - for one - will be cancelling my invited talk and my panel participation in the upcoming RSA Conference. (もしロイターの記事が真実なら、私はRSAコンファレンスでの招待トークとパネル参加をキャンセルする。)

  2日経ってからRSA社は釈明文を掲載した。
しかしこれで疑念が晴れるかどうかわからない。NSAの活動は秘密であり、RSAとの密約がなかった事を証明することもできないのだから。


Update: 12月23日、MikkoはRSAと親会社のEMCに対し公開書簡を送り、正式にRSAへの招待をキャンセルすると発表した。
 日本語訳「EMCおよびRSAのトップ達への公開書簡」

これは多数のジャーナリストに取り上げられ波紋を起こしつつある。

だが、RSAコンファレンスのサイトでは12月26日JSTの時点で未だに変更がないようだ。クリスマス休暇で忘れているのだろうか。 
 http://www.rsaconference.com/speakers/mikko-hypponen 

 

脆弱性バウンティハンターが東京に集合? Mobile #Pwn2Own 日本で開催

  脆弱性発見報酬プログラムはGoogleやFacebookなどが採用して普及してきましたが、それらの中でも異彩を放っているゼロデイ脆弱性発見コンテスト「Pwn2Own」がついに日本で11月に開催されることになりました。今回のコンテストは「Mobile Pwn2Own」というタイトルのように、モバイルデバイスの脆弱性にフォーカスしたもので、先週9月13日に発表されたアナウンスによると総額US$300,000 (約3000万円弱)にのぼる賞金が提供される予定です。

  「Mobile Pwn2Own」は、2012年秋にアムステルダムでのEUSecWestコンファレンスでも開催され、NFC経由でSamsung S3に対する攻撃を成功させた発表があるなど話題になりました。
  また、2013年3月のCanSecWestと同時に開催されたPwn2Ownでは、PS3のハックで有名になり今はFacebookのセキュリティチームにいるジョージ・ホッツ氏も参加してUS$70,000 (約700万円)の賞金と賞品ラップトップをさらって行きました。
  ということで世界中のメディアの注目も集まり、Pwn2Ownは脆弱性での賞金稼ぎを狙っているハンターには目の離せないイベントになっています。

  Pwn2Ownコンテストは基本的に割り当てられた部屋の中で行われます。今回の開催ルールはこちらにありますが、18歳以上であること、主催者のHP、Google、BlackBerryの社員やその傘下の企業社員は参加出来ないこと、アメリカが制裁処置を取っている国の国民でないこと、開催する国の法律に抵触する行為を行わないことなどの規定があります。

  Pwn2Ownコンテストは、2007年にカナダで開催されているCanSecWestセキュリティ・コンファレンスと同時開催されて始まりました。その時に共同開催したHP社の脆弱性リサーチ部門のZero Day Initiativeが続けて協力していて、CanSecWest主催者の行う他のコンファレンスなどともシンクロして開催され、今回の11月はPacSecコンファレンスでの同時開催になります。
  賞金はHP社が主に用意していますが、Chromeに対するコンテストではGoogleが賞金を用意しています。今回はBlackBerry社も賞金を用意します。(なので、特定の対象以外でPwn2Ownで発見されたほとんどの脆弱性やそのエクスプロイット・コードなど知的財産にあたるものは、HP社ZDIに帰属することになります。) 

  今回の賞金は5つのカテゴリーで用意されています。ある意味ここから脆弱性の重大性のランクを感じることができますね。
・$50,000 近距離通信/物理的アクセス 
・$40,000 モバイルウェブブラウザー 
・$40,000 モバイルアプリ、OS 
・$70,000 SMSなどメッセージングサービス
・$100,000 ベースバンド

  対象になるデバイスは以下の9種類です。
・Nokia Lumia 1020 - Windows Phone 使用
・Microsoft Surface RT - Windows RT 使用
・Samsung Galaxy S4 - Android 使用
・Apple iPhone 5 - iOS 使用
・Apple iPad Mini - iOS 使用
・Google Nexus 4 - Android 使用
・Google Nexus 7 - Android 使用
・Google Nexus 10 - Android 使用
・BlackBerry Z10 - BlackBerry 10 使用

もちろん日本からの参加も期待されています。この分野の研究をしている人はぜひ注目。

Aaron Swartz の死とサイバー司法の将来への設問 #RIPAaron

<quote> "good people die early, greedy people live longer. (in contrary to what children's books illustrate…)"

  1月11日、Aaron Swartzが自殺した。26歳だった。これは私にもショッキングな出来事だった。理由のひとつは、私は10年前に彼に数回会った事があるからだ。そしてWikipediaの Aaron Swartz のページにある、彼がLessigと一緒に写っている写真は私が撮ったものだ。この時彼は16歳だった。

  この写真は2002年12月のCreative Commonsの立ち上げパーティの際に撮影したもののひとつだ。

  Aaronの自殺した日から続々と追悼文がネット上にあふれ始めて、Larry LessigやTim Berners-LeeやBrewster KahleやCory Doctorowなど彼と直接関わった人達に始まり、WiredやNew York TimesやWashington PostやBBCなどまでが追悼記事を掲載した。

  Aaronの経歴については(特に日本では)知らない人も多いだろう。Aaron Swartzって誰?と思った人は @nofrills さんがまとめてくれたページを見ると良い。ある程度の翻訳が足してあるので概要がわかると思う。

  Aaronはティーンエイジャーの頃からXMLハッカー界では知られた存在で、14歳の時にRSS1.0の仕様策定に参加し、15歳の時にはCreative CommonsのXMLアーキテクチャーの開発に、バークレーでXMLを教えていたLisa Reinと共に携わった。Crearive Commonsの立ち上げパーティではLisa ReinとAaron SwartzとLarry Lessigの3人一緒の写真も撮った。
 CC2002LRASLL-scrn

  彼はその後シリコンバレーのインキュベーターの一つのY-Combinatorで今のRedditの一部になるInfogamiを開発した。最近では、著作権法を盾にインターネット検閲できる条項を含んだSOPA法案・PIPA法案がアメリカ議会で可決されそうになったときに、いち早くDemand Progressという団体を立ち上げて反対運動を始めたのはAaronだったのだ。

  最初に私がAaronを見かけたのは2002年5月のO'ReillyのEmerging Technologyコンファレンスだった。アコーディオンガイと呼ばれていた当時の参加者が回想している。この時彼は既にCreative Commonsに関わっていたことになる。

  そしてCory Doctorowの追悼文にも書かれているが、当時Aaronはシカゴに住んでいたので、サンフランシスコに来る場合はLisa Reinのアパートに泊まっていた。
  彼女のアパートはバーナルハイツにありルームメイトと2人で借りていた。私はサンフランシスコに行く時はいろいろな友達の家に泊めてもらっていたが、Lisaも私に泊まる場所を提供してくれる友達の1人だった。なので、1度Aaronがサンフランシスコに来ている時に一緒に泊まったことがある。
  Coryも追悼文で触れているが、その当時の彼は16歳だったわけだが話す内容は若年寄という印象があった。しかし16歳の少年の部分もあるので私は話しかけるにしても何が適切か解らず、ジョークの言いようもなく戸惑ったのを憶えている。


  ショッキングだったもうひとつの理由は、彼の直面していた刑事訴訟の異様な内容だった。

  Aaron Swartzはこの2年間、彼が2010年に行ったMITからの学術論文の大量ダウンロードの件で検察から立件された刑事訴訟に直面していた。これらの学術論文は公開されているものだったが、MITで論文保存を行っていたJSTORによりアクセスが制限され、有料提供の条件でしか手に入らなかった。AaronはMITのJSTORのネットワーク室に入って直接パッチベイに接続しダウンロードした。これが無断侵入にあたるとされMITが警察を呼びAaronは逮捕されたのだ。(ここまでは私も以前にニュースで知っていた)

  Aaronが論文を大量にダウンロードした理由は自分自身の経済的な利益のためではないのが明らかだった。彼は、もともと誰にでも公開されていて無償のはずの学術論文が、JSTORによって制限された状態でしか提供されていない状態は正しくないと考え、学術論文を公開し自由にアクセス可能にするためにダウンロードしたのだ。

  しかしその後、JSTORが告訴を取り下げたにも関わらず、担当した検察官Steve Heymannとその上司Carmen Ortizは「Computer Fraud and Abuse Act (CFAA: コンピューター詐欺悪用禁止法[名仮訳])」が適用できるとして訴訟を継続し、13件の重罪があるとして有罪の場合には総計35年の刑期と100万ドルの罰金(約8900万円)を求め、4月1日から裁判が開始される予定だった。(昨年のある時点では刑期50年と計算されていたという。あのKevin Mitnickですら4年程の刑期しか受けていない。)
  そしてAaronの自殺した日に、検察側はAaron側の用意した反論のメモは「関係があるが重要ではない」と通知していた。


  これに対し、Aaronと生前の交流が深かった現ハーバード大のLawrence @Lessig は「検察は行き過ぎな虐待を行った」と批判した。

  またAaron側の証人として立つ予定だったコンピューターフォレンジックの専門家Alex Stamosは、Aaronの行為がどれだけ犯罪とは遠いものかの証言を1月12日にポストしている。
 The Truth about Aaron Swartz's "crime", from @alexstamos
 http://unhandled.com/2013/01/12/the-truth-about-aaron-swartzs-crime/ 
  これによるとJSTORのサーバーは、基本的なセキュリティ設定もアクセス制御もなく、アクセスした際の警告ダイアログも何も出ない設定で、接続すればそのままアクセスでき、侵入技術などは全く必要としない状態だったという。(ちなみにAlexは、Black Hat Japan とPacSecでスピーカーとして数回来日している)

  そしてこの Computer Fraud and Abuse Act (CFAA: コンピューター詐欺悪用禁止法[名仮訳])について、Aaronの死を受け多数の法律家が問題点を指摘し始めている。指摘されているCFAAの問題を簡単にまとめるとするなら、「オーソライズを得ていない(without authorization)アクセスを禁止する」と「オーソライズされたアクセスを越える(exceeds authorized access)」という法律要件の「オーソライズ」の定義がオープンになっていて、検察にとっては多様な解釈がその時の都合に合わせて可能な法律だということになる。

 また、Aaronのケースを強行しようとしたとして、担当の検察官の解雇を求める署名運動がホワイトハウス・サイトにある署名機能を使って始められ、既にホワイトハウスが問題として正式に取り上げなければならなくなる25000人の署名を越えている。Steve Heymannについては、Aaronの件以前にも、他のハッキング事件の裁判で容疑者を自殺に追い込んでいたことが明るみに出た。

  私の知人で90年代に多数のハッキング事件の弁護士として活躍し現在はスタンフォード大学法学部のCenter for Internet and Societyに在籍する Jennifer @Granick は、アメリカでの検察と刑事裁判のシステム的な問題を解決するべきと提案している。

  この文でJenniferは、アメリカでの刑事裁判では検察がどのようなテクニックで被告の精神を弄ぶのか、司法取引はどのような条件と場面で出されるのか、また(数百年の刑期などが求刑されることなど日本から見て興味深い)アメリカの法廷では刑期や罰金をどのように計算しているのかを自らの経験から解説している。そして、有罪判決を取ることが検察官のキャリアアップになるというインセンティブが司法を歪めていると指摘し、このシステム的な問題を解決しなければ今後も同様の問題はなくならないと示している。

  そして、この司法のシステム的な問題といわれた場合には、日本でも岡崎図書館事件があり、また昨年からの遠隔制御ウィルスでの冤罪が判明したことや、東電女子社員殺害事件での既に投獄されてしまっていたマイナリ氏が冤罪が確定し無罪となったことなど、やはり法執行でのシステム的問題と思われる要素がありうることに日本も対処していかなければならないはずだ。また、サイバー犯罪条約も交わし、国境を当然のように跨いで起きるサイバー犯罪に際して海外の司法と協力する場面が増えるであろうときに、アメリカ・ヨーロッパで一般的なeディスカバリーと呼ばれる証拠取扱の手続きについて、日本の証拠取扱のやり方が違っていることから起きる問題なども対処していかなければならないはずだ。
</quote>

PS... F-Secureのショーン・サリバンも「訃報:Aaron Swartz」のポストで短く触れている。

PS2... 1月21日、New York Timesが、Aaronが行ったJSTORからの論文大量ダウンロードについてMITが地元警察を呼ぶに至った状況への取材記事を掲載した。
  これによれば、2010年後半にMITは学内ネットワーク経由でJSTORから数100万の論文をコピーする訪問者に気が付いたので様々な対処でブロックした。その後の2011年1月3日に今度はゆっくりコピーされているのに気が付き、4日朝に場所を特定したところMITの多数の教室が無施錠のままあるビルディング16の地下ネットワーク室と判り、調べると段ボール箱に隠されたネットブックと外付けハードディスクがパッチベイに接続されているのが見つかった。
  MITはケンブリッジ警察を呼び、警察の勧めに基づいて監視カメラとネットワーク・トラフィックを監視するラップトップコンピューターが設置された。その日の午後3:26にネットワーク室入って来る人物が写り警察が呼ばれたが、Aaronはその前に部屋を出た。
  その2日後、Aaronは自転車ヘルメットで顔を隠してネットワーク室に入ったが、2分間で機材を持ち去ったので警察は間に合わなかった。だがその午後2:00ごろMITから1マイル程離れたストリートでAaronは警察に職務質問され、自転車を乗り捨てて逃走しようとした。しかしデータ保存デバイスを身につけていたため事件と関連づけされ逮捕されたのだ。
  NYT記事は、MITは警察を呼ぶ決定をしたが、事件が1度警察に渡ってしまったのでMITが望んでも止められなくなってしまったとの元検察官のコメントを付けている。

PS3... 1月18日、Twitter上の @Wikileaks のアカウントが、Aaron SwartzはWikileaksをアシストし、2010年〜2011年の間にAaronとJulian Assangeの間でコミュニケーションがあった事実があるというtweetと、Aaronの捜査にシークレットサービスが関わっていることを示唆したブログへのリンクを流した。
   Aaronの写真を多数公開している1人にはWikileaksのサポーターJacob Appelbaumもいるので、そこからつながってAaronとAssangeの間でコミュニケーションがあったとしてもあまり不思議ではない。しかし、もしもシークレットサービスが出て来いるならばアメリカの国家安全保障に関わる事態の取扱いをしていることになるので、ボストン/ケンブリッジの地元警察が扱うハッキング事件とは次元が変わることになる。これにより様々な陰謀論が囁かれるかも知れないが、事実はまだ不透明なままなことは注意すべきだろう。

NFC でTrick or Treat -- パーミッションの認知ギャップ

  最近とても注目されてきた「NFC」(Near Field Communication: デバイス間近距離通信に使われる技術)ですが、売れ筋のスマートフォンにも搭載され、ペイメントでの使用を想定して普及が予想されています。11月には神奈川で商店街でのNFCの実用実験が行われて話題になりました。

  しかしスマートフォン搭載のNFCについてのセキュリティの問題も研究されつつあります。9月にオランダのアムステルダムで開催されたEUSecWestセキュリティコンファレンス  と同時開催の脆弱性発見コンテスト「Mobile PWN2OWN」では、モバイルデバイスに特化してゼロデイ発表が多数されましたが、その中でもNFC経由でSamsung S3に対する攻撃を成功させた発表がありました。

  さらにこれを発展させると、不特定多数の人に対する「Walk by」攻撃が可能といえます。

IMAG0351

  この写真はNFCチップの入ったシールですが、このチップはプログラム可能なので、もちろん悪意のあるプログラムも仕込むことができます。そのようなNFCシールを大量に用意してカフェやレストランのテーブルの裏に貼って回ると何が起きるでしょうか? 最近はお茶や食事の時にスマートフォンをテーブルに置く習慣のある人はたくさんいるので、もしNFCシールの上に置かれれば、スマートフォンは持ち主の知らないうちにNFC経由で悪意のあるプログラムを呼び込むかもしれません。(参考: Shylockはスマート・カードがお好き )

  このNFC利用の攻撃が成功する主な理由は、NFCの通信パーミッションをデバイスがユーザーに尋ねないことに起因しています。しかし、現実世界でのNFCの利用を想定した場合には、ここに興味深い問題があります。

  例えばSuicaやEdyなどの無線チップ型ペイメントカードの駅やコンビニでの利用を考えてみましょう。カードの持ち主はカードリーダーにかざす事で改札や支払を行います。その際にこれらのカードは持ち主にパーミッションを求めることはしません。Suica機能入携帯で改札を通ったり支払をするときも、やはり持ち主はパーミッションを求められないことが普通になっています。当然これはNFC付きスマートフォンで支払を行う場合にも当然のこととして想定されています。

  ここでは、持ち主の意識の上では「カードリーダーにデバイスをかざす」動作がパーミッションを与えることと同義になっています。しかしデバイスにとっては、チップとカードリーダーが接近すれば自動的に通信を始めてしまいます。ここに、ユーザーの認知の上でのパーミッションとデバイスのパーミッション動作のギャップがあります。

  だからといって、NFC付きスマートフォンで支払や改札を通る際に毎回スクリーンが立ち上がりパーミッションを求めるとしたら、機能としては正しくても、ユーザビリティは著しく悪くなってしまうでしょう。

  何か良い方法はないのでしょうか? ひとつのアイデアとしては、スマートフォンには地磁気センサーやモーションセンサーが搭載されているので、「カードリーダーにかざす動き」の特定の変化のセンサーデータのストリームをキャッチしてパターンマッチングし、それをユーザーがパーミッションを与えたと見なすことならできそうです。これなら少なくともカフェでテーブルに置いたスマートフォンが、テーブルの裏に貼られたNFCシールから悪意のあるプログラムを呼び込むことはある程度防げるかもしれません。

11月5日 Guy Fawkes Night とアノニマス #Nov5 #5Nov

  アノニマスの被るガイ・フォークス(Guy Fawkes)のマスクは映画「V for Vendetta」を発端としていることから、Guy Fawkes Nightのある11月5日はアノニマスにとっての記念日的な存在です。そのためTwitterのハッシュタグ #Nov5 と #5Nov で今日は活発な動きが見られています。
  また今日の明け方新たなアノニマスの声明ビデオがYouTubeにアップされていました。
  このビデオでは主に政府によるサーベイランス・システムの構築への抗議が呼びかけられ #OpNov5 #OpIndect #OpTrapwire が言及されています。

  またAnonymous Australia がPayPalやAlllottoなどのサイトに侵入したと宣言しました。" ‏@AuAnon Paypal hacked by Anonymous as part of our November 5th protest https://privatepaste.com/e8d3b2b2b1 " (リンク先は消されています)

  そしてロンドンでは、Operation Vendettaとして、「V for Vendetta」の最後の場面を模してマスクを被ってイギリス国会議事堂の前に集まることが呼びかけられていて、現在5400人ほどの参加が表明されています。(9000人超にはまだ足らないですね。) 
 https://www.facebook.com/events/239966289383165/ (ログイン必要)
 ハッシュタグは #OpVendetta で、ライヴストリーミングが計画されているようです。
 http://www.ukanonymousevents.com/live-streaming.html 
 
  現在ロンドンはまだ朝9:30になったばかりですし、アメリカの西海岸の11月5日が終わるのは日本時間の明日17:00ですから、少なくともあと1日はアノニマスの動きに注意が必要かもしれません。 

  アノニマスに関しては各方面から研究されていますが、「We Are Legion」というドキュメンタリー映画も作られています。RT @YourAnonNyan: We Are Legion: The Story of the Hacktivists (Full Movie) - http://ow.ly/eZfAe  
また日本では不正確な報道をされる事が多いアノニマスについて詳しく知っておきたいならば、今月後半に秋葉原で開催のInernet Weekでセッションがあります。 https://internetweek.jp/program/b1/ 


Update1: http://zd.net/TFjffP によると、PayPalの他には、オーストラリア政府サイト、ガーナ領事館サイト、Arcelor Mittal鉱業、VMware、NBC.com、Saturday Night Live、米コメディアンJay Lenoサイト、Lady Gagaファンサイト、などが書き換えやデータ流出にあっている模様です。

Update2: 11月5日に行われたウェブ書き換えの成果がまとめられたビデオが投稿されています。
 http://www.youtube.com/watch?v=ZiIp3m_vDwo  

Update3: ロンドンでのアノニマス行進の模様の画像が多数アップされて来ています。 http://t.co/ULaeKolD http://t.co/qlF4LpBI http://t.co/DQcNik8Y http://t.co/NHbstnG6 http://t.co/WhMq1YsY http://t.co/4tHnfbVO 
今回のように実際の場に多数のアノニマス賛同者が一堂に集合したのは初めてといえるため、彼らの信念の方向性の自己確認の意味でも影響が大きいと考えられ、今後さらに連帯した活動が活発化する可能性がありそうです。
 
Update4: PayPalは調査の結果、流出したアカウント情報はホスティングZPanelからと判断、アノニマスによる侵入ではないとしています。HTPが侵入を宣言したSymantecも、調査の結果、従業員情報はアクセスされていないと結論しているようです。pyknicが書き換えたと宣言したNBCやLadyGagaファンサイトについては、アノニマスの主要なアカウントは成果公表していない模様です。 RT @BiellaColeman: Anonymous Did Not Hack PayPal http://nyti.ms/UuNR0e 

標的型攻撃が私生活を狙うとき

  現在のところ標的型サイバー攻撃は企業や政府機関に対するものが多数ニュースになっています。しかし、もし私生活も狙われるとしたらどうなるでしょうか? 企業や政府ならば内部ネットワークにそれなりのセキュリティ対策が施されていたとしても、自宅ネット接続ではインターネットルーターのファイアーウォールとマシンに入れたウィルス対策ソフトくらいしか防御手段がないのではないでしょうか。そして最近話題の出口対策はほとんど初めから考慮されていません。企業や政府の中でターゲットにされた個人の私生活から収集した情報を基にして、さらに組織への標的型攻撃を仕掛ける事は十分ありうるでしょう。

  標的型攻撃の初期段階でFacebookやLinkedInなどのソーシャルネットワークで事前情報の収集が行われていることは指摘されています。その次の段階になると、ソーシャルネットワークの情報を基にターゲットの私生活を狙った盗聴・盗撮などでの情報収集が行われる可能性があるでしょう。そして現在のPC・携帯電話・スマートフォンなどにはほぼすべてカメラとマイクロフォンが搭載されていますが、これらは監視カメラにもなりえるわけです。実際にPC内蔵カメラを外部から制御して画像を送信させるスパイウェアがあり、アメリカでこれを悪用したコンピューター修理ショップの技術者が逮捕された例が最近ありました。

  この犯人の21歳の技術者は、ショッフにPCを持ち込んで来た特に女性客を狙ってCamCaptureというスパイウェアを仕込んで修理し、外部からインターネット経由で覗きをしていました。また、被害者の女性数人にはカメラの前で服を脱ぐように指示する脅迫メールを送りつけていたそうです。しかし、その店舗に修理を依頼した姉妹が、修理後からカメラ動作ランプが不可解な点灯をするようになったのに気がついて他の修理ショップに持ち込んだことから、スパイウェアが仕込まれた事が判明して逮捕に至ったということです。この犯人の場合は被害者のコンピューターを直接触って仕込んでいましたが、このようなスパイウェアを感染させるように設定したウェブサイトにフィッシングで被害者を誘導する手段もありうるので、大量のPCを監視カメラ化することが可能になります。

  これと同様の発想のスパイウェアはスマートフォン向けに登場してくるでしょう。実際スパイウェア以前に、Lady Gagaやスカーレット・ヨハンソンの携帯電話から自写ヌード画像などがハッキングで流出する事件が既に起き、日本でもユーザーの意図しない内に個人情報をマーケティング目的で収集する機能を持ったアプリが出回った例がいくつもあるわけです。特にAndroidスマートフォンの場合はユーザーによるアプリ購入は基本的に自己責任方式であり、Google以外が提供するアプリマーケットからもダウンロードできるため、マルウェア混入のアプリがすでに何度も登場しています。その中で、外部からコントロールしてスマートフォンを監視盗聴デバイス化するマルウェアが出てくる可能性がありうるわけです。高性能のCPUを搭載してGPSや様々なセンサーを持つスマートフォンは、ターゲットした相手が常に持ち歩くわけで、標的型スパイ攻撃にとって理想的なデバイスです。と、書いていた間にAndroidのリモートアクセス・トロージャンと思われるマルウェアが中国で登場の話題が出ていました。
  さらに中国のNetQinの調査によると今年前半でのスマートフォンのマルウェア感染は1280万台(Android 78%、Symbian 19%、17,676種のマルウェア)という推計も出ています。
  PCのウィルス対策ソフトはかなり普及して現在はスマートフォン向けの普及の必要性が叫ばれていますが、ここでも外部へ出て行く情報の制御など、ウィルス対策ソフト・レベルでの対策の組込みは急ぐべき課題ではないでしょうか。

第2回 OWASP Japan チャプターミーティング いよいよ来週開催

先日、福本さんも書いていましたが、OWASP Japanの第2回チャプターミーティングが来週6月27日夜開催されます。定員200名の会場に補欠で31名という登録段階で既に盛況で、日本でもウェブセキュリティへの興味が高まっている様子を示してますね。3月27日開催だった第1回のチャプターミーティングの様子やビデオアーカイブなどはこちらのOWASP JapanのオフィシャルWikiへどうぞ。今回は参加無理な方も次回のためにメンバー登録しておくと良さそうです。

  OWASP Japanは、ベルギーで開催されているBruconというセキュリティコンファレンスの主催者の1人で、ヨーロッパのOWASPと付き合いのあるBenny Ketelslegersさんが昨年日本に移住して来たことから、急速に日本チャプターの立ち上げが実現しました。OWASPはウェブアプリケーションのセキュリティにフォーカスした集まりで、ミーティングでは参加者による主にライトニングトーク形式での発表が多数あります。

ミッコ・ヒッポネンがフォーレンポリシー誌の選んだTwitter要人100人に選出

  国際政治情勢の専門誌フォーレンポリシーがTwitter界のベスト100人を今日発表しましたが、F-Secureのミッコ・ヒッポネン「Geeks」カテゴリーで「フィンランドのサイバーセキュリティ専門家」として選ばれています。

  ちょうど3年前にミッコが来日した時に私はインタビューしたことがあります。その頃は「Twitterを半年やってみて4000フォロワーを越えなければ続けないつもりだ」と言っていたミッコも、その後フォロワーが増加しつづけて辞めずにいて今は3万人あまりがフォロワーになりました。それだけでなく、過去3年間でセキュリティ関係者のTwitter参加が著しく増えているので、身近な情報交換・ディスカッション・アラート共有のプラットフォームとしてTwitterでのコミュニケーションは有効に機能している様子が見えます。
  またミッコは最近TEDなどのイベントでのスピーチ活動も盛んにしていて、技術に関わる話よりも、サイバーセキュリティの大局的な分析と方向性を一般の人たちにも解り易く解説することに注力しているのも、フォーレンポリシーが選んだ理由かもしれません。

  ちなみにフォーレンポリシー誌のTwitter要人100人の同じカテゴリーには、エレクトロニック・フロンティア財団でWikileaks関連の動きを追いかけていた Trevor Timm や、世界各国の市民運動の状況を一覧できる集合ブログGlobal Voicesを立ち上げ現在はMITメディアラボにいる Ethan Zuckerman などが選ばれています。

  日本人は1人だけ、ニューヨークタイムス日本支局で福島原発事故の報道で活躍しているタブチ ヒロコさんが選ばれていますね。


ミッコ・ヒッポネンが来日 @PacSecJP

  最近TEDGoogle Zeitgeistなどで精力的に講演しているF-Secureのミッコですが、今週9-10日に東京で開催のPacSecセキュリティコンファレンスにも登場して「標的型スパイ攻撃」について話してくれる予定です。三菱重工、IHIなど防衛産業や衆議院、参議院、総務省などへの標的型サイバースパイ活動が明らかになっている最近の状況を俯瞰する上で、意味のある話が聞けるでしょう。ミッコの今迄の講演では最近のセキュリティ事件の状況から、サイバー犯罪者、ハクティビスト、国家による動き、の3つを重要な論点に挙げていますが、最新の話題も含めた話が聞けそうです。

  先週はTokyo Designers Weekでしたが、今週はTokyo Security Weekと呼べそうなほどイベントが目白押しです。今日7日は日本スマートフォンセキュリティフォーラムの成果発表会があります。9-10日のPacSecに続いて12日には、エフセキュアブログ・メンバー福森さんも参加してあのDefcon CTFに出場したSutegoma2の関係者が主催する、日本発のセキュリティコンファレンス「AVTokyo」が開催されるので、こちらでも濃い話題が聞けそうです。また10日夜には日本の政府/民間を横断的につなぐセキュリティコミュニティ「WaiGaya」の集まりも企画されているようです。11日にはやはりエフセキュアブログ・メンバー鵜飼さんのFourteen Fortyのセミナーもありますね。

  アメリカなど海外のコンファレンスに行くには旅費・宿泊費を足して行くとけっこうな金額になるので、このような国際的なセキュリティイベントが日本で増えれば、勉強したりネットワーキングできる機会が増えるので良い事です。
みなさんはどのイベントに参加されますか? 


  ちなみにPacSecでの他の講演者も含めた内容はこんな感じです↓ 私も運営に参加していますが、講演内容は日本の状況も考慮して選ぶようにされています。

続きを読む
バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社
執行役員
OWASP Japan
アドバイザリーボード
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード