私はパスワードに関してある研究を行っているのだが、最近、iOS 9の次の機能を思い出した。

　アップル社（訳注：日本語ページのURLはhttp://www.apple.com/jp/ios/whats-new/）：「Touch IDを有効にしたiPhoneとiPad上で使えるパスコードが、デフォルトで4桁から6桁に変わりました。Touch IDを使っている人は、その変化にほとんど気づかないでしょう。でも、1万通りの組み合わせが100万通りに増えるため、あなたのパスコードを破るのがさらに難しくなります。」（文字の強調は私が行った）

　4桁から6桁に変わったって？翻訳するとこうだ。誕生した年も入れられるぞ！つまり今や「1101」の代わりに「110160」となる（ティム・クックは1960年11月1日生まれ）。

　上記はまったくの事例だが、こういうことをしている人に私はすでに遭遇している。そして他にも数多くの人が同様のことを行っていることに、ほとんど疑いの余地はない。

　だが少なくとも6桁のパスコードは、例の4文字単語を使う気がそがれる。

　（訳注：「プロからのアドバイス：5683というのは良いパスコードではない。」という意味）

　スマートフォンのキーバッドでは、5683 = LOVEなのだ。

　パスコードから「カスタムの英数字コード」に変更し、良いパスフレーズを付けることをお勧めする。iOSデバイスで、設定 ＞ パスコード ＞ パスコードを変更 ＞ 現行のパスコードを入力 ＞ パスコードオプション、と辿る。

　悪いニュースだ。デルが顧客のPCに、欠陥のあるルートCAをインストールしていた。

　（訳注：「デルは欠陥のあるルートCAと共にラップトップPCを出荷している」という意味）

　なぜこれが悪いことなのか？なぜなら、そうしたCA証明書がインストールされたコンピュータに対し、中間者攻撃（man-in-the-middle attack）を仕掛けるのはたやすいことだからだ。Dan Goodinがここで秀逸な記事を公開している。

　デルは昨晩遅くに、この証明書は「デルのオンラインサポート（訳補：Dell Foundation Services）にシステムサービスタグを提供することを意図するものだった」と説明を行った。

　待てよ、かつてこんなようなことを耳にしたのは、どこだったかな…？

　さかのぼること4月だ。本ブログの愛読者の方なら、2015年4月には「Dell System Detect」経由でのリモートコード実行の問題をデルが抱えていたことを思い出すだろう。

　こちらは（いささか）良いニュースだ。Dell System Directと比べてずっと、Dell Foundation Servicesは普及はしていないようだ。

　eDellRootがインストールされているか、確認したいって？

　（訳注：「デルのマシンを使ってる？邪悪な証明書がインストールされていると思う？確認するには、こちらのサイトhttps://edell.tlsfun.deにアクセスを。」という意味）

　Dan Tentleが勧めるように、こちらのサイトhttps://edell.tlsfun.de/にアクセスしよう。

　当社のスレットインテリジェンスチームの研究員であるアーチュリ・リーティオ（Artturi Lehtio）は、C&Cの経路としてサードパーティのWebサービスを悪用する件についての論文を先日のVB2015で発表した。

　以下が、その要約である。

　モダンなマルウェアの運用には、セキュアで信頼性があり、検知されない手段でマルウェアの制御や通信（C&C）を行うことが不可欠だ。しかし、通信インフラを自前で設計、実装、維持することは容易ではない。セキュアで信頼性のある通信に関心があるのは、偶然にもマルウェア運用者だけではない。人気のWebサービスもまた、セキュアで信頼性のあるサービスを顧客に提供したいと考えている。加えて、人気のWebサービスは大量の特定困難なWebトラフィックを生み出すという現実がある。そうしたWebサービスは、非常に魅力的に映り始めるだろう。その結果として意外なことでもないが、近年、TwitterやFacebook、GmailといったサードパーティのWebサービスをC&Cサーバとして悪用することが、マルウェア運用者の間で流行りつつあることが見て取れる。

　モダンなマルウェアがサードパーティのWebサーバをC&Cの経路として悪用する方法について、この論文では多数調査している。一般的なサイバー犯罪に始まり標的型の国家のスパイ行為に至るまで実在した例を用い、マルウェアに採用された方式ともっとも頻繁に悪用されたWebサービスの双方について、概観を包括的に示している。この論文ではさらに、マルウェアの運用者がサードバーティのWebサービスをC&Cの経路として悪用した場合にもたらされるメリットおよびデメリットを分析している。最後に、こうした方法がマルウェアの検知や回避に及ぼす課題について検証する。

　アーチュリの講演のスライドは、Virus Bulletinでダウンロードできる。

　また、論文「C&C-As-A-Service」はここにある[PDF]。

　エフセキュアラボが顧客のデータをどう扱うかは、そこで働く我々にとってもっとも重要なことだ。したがって当社の最新のホワイトペーパーをご覧頂ければと思う。「Security Cloud」として知られる、当社のバックエンドの技術について詳述している（PDF）。

　また当社技術の目的、機能、利点を解説し、顧客から提供された情報を処理する際に採用する保護手段を説明している。

　現在、実際のLinuxベースのシステムを標的とした、新たな暗号化ランサムウェアのたくらみがある。これはDr.Webの人々から「Linux.Encoder.1」と呼ばれている。基本的にLinux.Encoder.1による脅迫者は、脆弱なWebサーバ上でフィッシングサイトやエクスプロイトキットへのリダイレクトを設定する代わりに、コンテンツを暗号化してWebサーバの所有者を直接標的にする。

　その結果、数々の被害がGoogleにインデックスされている。

　（訳注：「Linux.Encoder.1というトロイの木馬による被害を受けた運用中のWebサイトを、Googleがたくさん発見している」という意味）

　以下はGoogleのキャッシュにある脅迫文のコピーだ。

　すばらしいFAQだ。

　「Can I pay another currency?（Bitcoin以外の支払い方法はありますか？）」

　「No.（いいえ）」

　Linux.Encoder.1の被害者がバックアップを取っているといいのだが。さもないと、Bitcoinを入手させられることになる。脅迫者たちが支払いの対価として、本当の復号キーを渡すかどうかはまだ不明だ。そして、彼らのTorで隠ぺいされたサービスが現在オフラインなのだ。これは前途多難だ。

　追記：

　当社のスレットインテリジェンスチームの研究員Daavid Hentunenは、脅迫者たちは1ヶ月で11,934ユーロを稼いだと見積もっている。

　「Payment is made successfully（支払いが成功しました）」

　以下は、身代金を支払った後の、CryptoWallのDecrypter Service（復号サービス）の画面だ。

　そして、あなたのお金 Bitcoinで得られるものが、これ（decrypt.zip）だ。

　全然大したものではない。しかし、あなたのキーのコピーがなければ、ファイルを復号することはできないのだ。

　これが、おそらくFBIが次のように言う理由だ。

　「To be honest, we often advise people just to pay the ransom.（正直に言って、ただ身代金を支払うようにとアドバイスすることも多い）」

　FBIのアドバイスに従わなければならない状況になりたくない？

　それなら、以下をするといい。

• 自分のデータをバックアップする！
• 使わないソフトウェアやブラウザのプラグインをアンイストール・無効化する
• 使用するソフトウェアを最新の状態に保つ

　@5ean5ullivan

　AndroidのランサムウェアであるSLockerが最近になり、非常に深刻な（そして下劣な）やり口でAndroid Lollipopの欠陥を悪用し始めた。しかしAndroid Marshmallowに対しては、SLockerはどのように事を運ぶのだろうか？

　手始めに、SLocker v.s. Lollipopを確認してみよう。

　マルバタイジングは一般に人(men)をおびき寄せて、「Porn Droid（ポルノドロイド）」と呼ばれるアプリをダウンロードさせる（まあ、たぶん男性(men)ばかりだが）。

　典型的には、よくありがちな過剰なパーミッションが要求される。

　そしてソーシャルエンジニアリングに対する障壁は、良くても以下のようにほんのわずかだ。

　もし優れたセキュリティアプリをインストールしているのなら、以下のような画面を目にするだろう。

　しかしセキュリティアプリ無しにアプリを開いたのなら、次のプロンプトを受け取ることになる。

Update patch installation

　この「Continue」ボタンは？これは、デバイスの管理者権限の要求を分かりにくくしている（もちろん、非常に重大な欠陥だ）。そしてもし「Continue」をクリックしたとすると、SLockerは強奪に乗り出すために、入手したばかりの管理者権限を用いるだろう。

　以下はFBIをテーマにしたランサムウェアだ。

　一見したところでは、FBIが罰金（fine）ゆすりの支払いに「PayPal My Cash」を受け付けているようだ。

　SLockerは被害者に恐れを抱かせようと、正面カメラで写真を撮る。

　以下の例では、Zimryの席の上の天井に向いている。

　そして、おまけにPRISM（訳注：NSAの通信監視プログラム）のロゴが付いている。

　この時点で、Androidアプリが管理者権限を得ることが驚くほど簡単にみえることを言及すべきだろう。AppleのiOSでは、VPNのような基本項目を設定する際にはパスコードが要求される。しかしAndroidでは、管理者権限の要求に必要なのは単純な「はい」だけなのだ。

　コンピュータセキュリティのプラクティスとして最良のものは、インストールを限定する制限されたプロファイルの「ユーザ」として実行することだ。そして管理者権限を求めるアプリケーションは「管理者」プロファイルでインストールし、パスコードを要求する必要がある。そのため当社では、通常ユーザ用の制限付きプロファイルを構成しようとしたが、管理が難しいことがわかった。Androidの制限付きプロファイルはペアレンタルコントロールとタブレットのために設計され、またそれに焦点が合わせられている。当社のテスト用スマートフォンに追加のプロファイルを設定したが、我々が望むようなデバイス管理の類は実際には得られなかった。追加プロファイルを作成できるだけで、制限をかけることはできない。

　比較すると、AppleのiOSの機能制限は、iOSを主に使う人でさえはるかに役立つものだ。

　しかし、現在は…。

　Android MarshmallowはSLockerに対し、どのように事を運ぶのだろうか？

　良いニュースがある！SLockerの「Continue」を使った分かりにくさは、Marshmallowを実行しているスマートフォン上では失敗する。そして、管理者権限を与えることが何を引き起こすかについて表示されるだけだ。これはヒドい。全データの消去、スクリーンロックの変更、ストレージの暗号化をする権限だ。言い換えると、SLockerに管理者権限を与えたら…、おしまいだ。スマートフォンのデータがバックアップされていなければ、強奪者に屈する以外に取り戻す方法は無い。

　しかし次は悪いニュースだ。Android Marshmallowは10月5日リリースされたが、まだ普及していない。そのため、これからかなりの期間SLockerは攻撃を持続しそうだ。

　ハッシュ：

0f25cefa85a0822a08ad23caca24a622fbf4aef0
12dc90592c1945fe647d04902b2707e756e88037
25311dfbc4961a661494a2767d2fb74c532539cc
68e7879074b9e2635d895616d4862383fe5960db
84b541957d7e42b4b7d95763fb48d03fcca21ffd
c0784e974da5b7e82e9921763f957e1f3ec024e7

　Trojan:Android/Slocker.BJの分析はZimry Ongから提供を受けた。

　現在、Android 6.0、別名「Marshmallow」が公開されている。もっとも良い新機能は、私の見解では、新しいパーミッションモデルである。

　きちんと作成されたアプリケーションであれば、パーミッションをインストール中に1度だけ要求するのではなく、必要な時になって要求できるようになる。

情報源：Google

　Androidのこれまでのバージョン用に設計されたアプリケーションでは、いまだに前もって数々のパーミッションについて要求されるが、MarshmallowではiOSのように粒度の細かい制御を行える。

　もしパーミッションを拒否したとしても、すべてのアプリケーションがすんなりとあきらめるものとは限らない。

　しかし、たとえばFacebookの「友達を検索」する機能を使いたくないなら、Facebookアプリがあなたの連絡先にアクセスする必要性はまったくないだろう。私がお勧めしたいのは、さまざまなパーミッションを許可せずに、Marshmallowのスマートフォン上にインストールした「必要悪」をテストしてみることだ。

　良心的な開発者はすぐにでもアプリケーションを更新するだろう。

　そして更新しないのなら…よし、レビューはそのためある。でしょ？

　Android 6.0の変更点はすべてここで参照できる。

　@5ean5ullivan

　ミッコは今年のVB2015に参加しなかった…とされているが。

　（訳注：「1993年から毎回Virus Bulletinのカンファレンスに参加していたが、#VB2015 には行き損ねた。はずなのだが、このビデオによれば私は欠席していなかった…。」という意味）

　2015年9月10日、米議会（特別）諜報委員会が世界規模のサイバー上の脅威について公聴会を開いた。

「世界規模のサイバー脅威」

　有力メンバーであるアダム・シフ議員は冒頭陳述において、CISA（Cybersecurity Information Sharing Act、サイバーセキュリティ情報共有法）の米議会版であるPCNA（Protecting Cyber Networks Act）の目的についてコメントしている。

情報源：C-SPAN

　以下は、この件に関連するテキストの全文だ。

　これでお分かりだろう。CISAの目的は「マルウェアを共有すること（to share malware）」なのだ。

　Q：それで、あなたはそう考えていると？

　A：そうだ、それがその目的だ。情報共有はマルウェアサンプルの共有と等しい。

　Q：CISAは監視法案だろうか？

　A：いや、そうではない。少なくとも私の考えでは違う。

　Q：しかしCISAは優れた法案だろうか？

　A：いや、私はそう思っていない。

　Q：なぜ？

　A：なぜなら私の見解では、CISAは軍とサイバー企業の複合体（military-digital complex）のための企業助成政策に過ぎないように見えるからだ。

　Q：CISAは成立するだろうか？

　A：諸々の兆候示すところは…イエスだ。

　@5ean5ullivan

　Radiolabの最新のエピソードは、これまで聞いた中で疑いなく最高の、マルウェアの被害者に対するインタビューだ。Inna Simoneのコンピュータは昨年末にCryptoWallに感染した。彼女の話に基づけば、脅迫者に支払うためにBitCoinを買おうとしたことが、体験した中で最悪の部分だ。彼女の言葉を借りれば、彼女は「二重の被害者！」である。

　Innaの娘でジャーナリストのAlina Simoneは、2015年1月2日付け のNew York Times紙で、この体験について記した。後に2015年4月18日のPBS NewsHourの放送で、2人は8分間のコーナーに登場した。しかしInnaのブラックユーモア的な観点を最大限に体感したいのなら、Radiolabのニュースを視聴するとよい。

　以下は、今回の件に関係するCryptoWallの「Decrypter Service（復号サービス）」のスクリーンショットで、推奨Bitcoinベンダーが多数掲載されている。

「いまだBitCoinを購入するのは簡単ではないが、日々簡素化されていっている」

　では、どれだけの人がInnaと同じ状況に陥っているのだろうか？妥当な数値を導くのは難しいが、82,000人超の人々がこのCryptoWall Decrypterのデモ動画を見ている。

　上に示した日ごとのグラフにて、1月に落ち込みがあるのを見て取れるだろうか？私には、CryptoWallが正教会のクリスマス休暇（訳注：1月7日）を取ったように見える。

　CryptoWallが要求する金額は地域によって異なるが、500米ドルというのがよく見られる。この金額なら、82,000人のうち10%しか支払わなかったとしても、脅迫者集団に410万ドルの価値をもたらすことになる。

　あるいは「Goldpis Isda」なる人物が言うところでは「little fee（少額）」だ。

　@5ean5ullivan

　LinkedInによると、私のコネクションのうちの11人が、Annaを「知る」ある人物に対して私を紹介できる。

Sr Researcher at “Head Hunter”.

　この件について確かなことはまったく分からない。

　IMDb（インターネット・ムービー・データベース）によると、Anna Sentinaは実際にはAnna Akanaだ。

AnnaのIMDb上のプロフィール

　LinkedInは、リクルーターアカウントの「確認」のために課金すべきではないかと思うのだが？

　現在のところ、リクルーターの自演用のアカウントを作成する際に、費用はまったくかからない。少なくとも一定の費用を加えれば2つのことが実現できる。まず、実在するリクルーターの価値を高める。2つ目は、LinkedInのセキュリティチームが、いわゆる「確認」をしないことにしたリクルーターアカウントを精査できるため、偽者を一掃できる。あるいは、リクルーターであると主張しつつ確認が取れてないアカウントに対し、「未確認」とラベル付けをすることも可能だろう。

　しかしこんなことはおそらく当分は起こりそうにない。したがって今は、LinkedInのコネクションを選り抜くようにしよう。

　@5ean5ullivan

　関連記事：セキュリティ研究者を標的にしたLinkedInでの自演

　2010年12月にジャーナリストのMatt Thompsonが予想した未来は、「自動的な音声転写が、高速かつ自由で適切になる」というものだった。同氏はtechnological singularity（技術的特異点）をもじって、このような未来を「Speakularity」と称した。

　Thompsonの言葉を引用する。

　「ジャーナリズム素材の大半は、口頭でのやり取りで構成される。電話での会話や、記者会見、会議などだ。ジャーナリズムにおけるもっとも重要な制作上の課題の1つは、ラジオ放送会社で働く人でなくても、こうした口頭でのやり取りを文字に変換することだ。これを元に原稿やニュース記事を紡ぎ出すためだ。」

　「Speakularity後は、こうした素材がもっとたくさん利用できるようになるだろう。目の不自由な方が音声記録を利用しやすくなるし、音声記録を別の言語に翻訳する際にも役立つ。人目につかない街中のミーティングが録音され、自動的に転写される。インタビューがほぼ瞬時にQ&Aとして公開される。イベントを取材するジャーナリストは出来事を記録していくことよりも分析することに注意を集中できるだろう。」

　「想像してほしい。もしこうした機能が市民に開かれたら。もしすべての専門家や政治家や政策通の放送された発言が、全部Googleで検索できるようになったら。」

　しかしこうした機能は善良な市民にのみ開かれるわけではあるまい…。

　Nautilusの9月3日号の記事にて、James Somersはこのようなアイデアに深く切り込み、問いかけている。Will recording every spoken word help or hurt us?（話し言葉を一言一句記録することは、我々に益をもたらすのか、害をもたらすのか？）

　同氏の推測では近い将来、すべてのビジネス上のミーティングは「記録（the Record）」の一部として音声転写されることになる。

　「我々が言うことの大半を録音し自動的に転写することが始まろうとしている。記憶の中から消えて無くなる代わりに、声に出して言った言葉がテキストとして固定され、『記録』となって参照、検索、発掘されるようになる。こうしたことは、意図と許可の標準的な組み合わせにより起こる。起こり得ることは起こるのだ。我々の想定よりも早く起こるだろう。」

　「これは途方もないことを可能にする。自分のメールを検索する理由をすべて洗い出してみよう。突如として、自分自身の発言がまったく同様に検索できるようになるのだ。」

　素晴らしいことのように聞こえる？早まってはいけない。

　「すべてが記録される社会で生きるとは、どのようなものか（考えてみよう）。英国のSFシリーズ『Black Mirror』に、Googleグラス流に音声や動画をいつでも記録する世界を設定にしたエピソードがある。これはある種の地獄だ。」

　地獄ね。まったくだよ。人々が許し、忘れることは、すでに困難になっている。喋った言葉が不滅となったときに、許し、忘れることの困難さを想像してほしい。

　ただし、今すぐには過剰反応しないでおこう。

　「このような天国と地獄の光景の間に、あり得そうな真理が存在する。『記録』のようなものが現れても、我々が生きて愛するという基本的な歩みが新たな形態になることはない。脳みそがスポンジに変わることもないし、我々が超人になることもない。我々はいつもの古臭くて退屈な自分たちであり続ける。時には率直で、また時には嘘をつく。そう、我々は新たな能力を手に入れる。しかし我々が求めるものは、我々ができることよりもゆっくりと変化するものだ。」

　そうだ、そう願う。

　CBCのSpark（番組名）でSomersにインタビューが行われている。

• In the future everything you say will be searchable（将来は発言したことがすべて検索可能になる）

　Speakularity的なことは近づきつつあると、私は考える。もし、ビジネス上の会議を自動的に音声転写するサービスが利用可能になった時は、我々の中でもライフブロガーが使いたいもののように思われる。それを使いたいと望む人々がいれば、誰かがそれを構築するだろう。

　そして、そのことで私はこの重要な疑問を考えるようになった。Speakularityは保護可能だろうか？

　人々が企業戦略やその他の機密情報について、マイクが音を拾える範囲で無差別に議論することは、想像に難くない。どのみち人々はもう、そうしている（電話機だ）。幸運にも、個々人の電話機をハッキングすることは普通のことではなく、一般に高価なツールが要求される。

　しかし、個人や法人、政府の発言について検索可能な音声が、クラウド上のどこかに存在すると想像してみてほしい。それは取られるためにそこにあるのだ。比較すると、昨今のデータ侵害はささいなことのように見える。

　@5ean5ullivan

　つい近頃、研究所のフェローEdilberto Cajucomが当社のFreedome VPNの追跡保護機能をテストし(*)、数々の人気サイトのページの読み込みについて、スピードとサイズの面から効果を測定した。

　以下は、AlexaのNewsカテゴリにあるサイトの一部に対し、スピードを比較したグラフである。

Page Load Speed Comparison（ページ読み込みスピードの比較）

　ご覧のとおり、いくつかのサイトで目に見えて効果がある。ハフィントンポストとUSA Todayでは、読み込み時間が半分（2.1倍高速）になった。結論。トラッカーを遮断すると時間を節約できる。

　そして以下は、サイズを比較したグラフだ。

Page Load Size Comparison（ページ読み込みサイズの比較）

　追跡保護を有効にした場合、CNNMoneyでは読み込まれたサイズが3MBからたった1.4MBになった。AccuWeatherでは、17.3MBから10.4MBになった。結論。トラッカーを遮断すると帯域が節約できる。

　Freedome愛用者の方、ネットサーフィンをお楽しみあれ！

　@5ean5ullivan

　(*) テストは、ヘルシンキに拠点がある研究所から、Freedomeのオランダにある出口ノードを経由して実施した。

　アップル社の2015年のスペシャルイベントが本日開催される。つまり、9月9日＝iOS 9の発表、だ。

　アップルはiOS 9においてセキュリティが向上していることを確約している。Touch ID用に6桁のパスコードを実装したことは、広く報道されているものの一例だ。

ソース：アップル

　セキュリティ研究者のFrederic Jacobsによる、ドキュメントにある変更点についての秀逸な要約がMedium上にある。

　私がiOS 9のパブリックベータ版をテストしている際に気付いた細かい変更点は、Windowsに関連するものだ(*1)。

　iTunesがインストールされているコンピュータ（OS Xを実行しているあらゆるコンピュータを含む）に、iOS 9のデバイスを接続した際に目にするプロンプトを以下に示す。

Trust This Computer?（このコンピュータを信頼しますか？）

　そして以下は、iTunesのドライバがインストールされていない（Windows）コンピュータに、iOS 9のデバイスを接続した際に見られるプロンプトだ。

Allow this device to access photos and videos?（このデバイスが写真およびビデオにアクセスすることを許可しますか？）

　これは些細だが、興味深い差異だ。「Allow」は制限されたアクセスを示唆する一方で、「Trust」ではより重要な何かを示唆している。かつて、iOSを狙ってクロスプラットフォームのマルウェアが試みられたことがあった。このAllowプロンプトがあることで、注意深い観察者なら、そうしたクロスプラットフォームのマルウェアがそこに存在していることを判定できるだろう。iTunesがインストールされていないと分かっているWindowsコンピュータにiOS 9デバイスを接続したとして、信頼する（Trust）かどうかを尋ねられたら…、信頼してはならない。

　もう1つ、細かいが大歓迎の変更点は、7月にブログに書いたSafariの新たな機能だ。

　SafariをJavaScriptによる警告ダイアログの無限ループに陥らせようとする詐欺サイトは、Safariの新たなオプション「Block Alerts（警告をブロックする）」によって、彼らの努力が無になったことを知るだろう。

Block alerts from?（〜からの警告をブロックしますか？）

　全般的に見て、iOS 9は良い感じだ。今日のアップルのイベントの最中に、さらにセキュリティに関する情報が出てくることを望んでいる。また9月16日に予定されている、iOS 9の一般公開を楽しみにしている。

　@5ean5ullivan

　(*1) Kali Linuxでテストしたところ「Trust」プロンプトが得られた

　ソフトウェアエンジニアというものは、何でも自動化する…。

　さようなら、「Markov」！

　つい先日、数多くのセキュリティ専門家のソーシャルグラフを描こうとして、複数のLinkedInアカウントが彼らを標的にした。当社の研究者の数人が以下に挙げるようなLinkedInの招待メールを受け取っており、当社のスレットインテリジェンスチームのDaavidが調査に乗り出すことになった。

　以下はいわゆる「リクルーター」のアカウントの一例だ。

この女性は誰？

　関心のある分野はペネトレーションテスト（侵入テスト）とソーシャルエンジニアリングだって？へえ、そうなんだ。

　「Jennifer」は建前ではTalent Src社、つまりTalent Sources社のスタッフということになっている。

　（Specialties（専門分野）に注目）

　画像検索すると、Talent Source社のロゴはオリジナルではないことがわかる。

Talent Source社のロゴのGoogle画像検索の結果

　また同社のTwitterアカウントはデフォルトアイコンを用いている（手抜きだ）。

@talent_src

　以下はJenniferの同僚と思われるものだ…。

Talent Source社の「従業員」

　リクルーターの各アカウントは、それぞれ特定の分野の専門家に焦点を合わせている。

　Alex、John、Monika、Silviaの類似画像検索では、検索結果は0件だった。…当初は。Daavidが画像を反転してみると、LinkedInの正規のプロフィールだけでなくInstagramでも左右反転した画像が見つかった。画像検索エンジンのオプションとして反転画像検索が提供されればいいのに。なお、Jenniferの写真のソースは特定できなかった。

　そして現在、Jenniferや他のリクルーターのアカウントはなくなっている。

　これはFox-ITのYonathan KlijnsmaがTwitterで解説をしているとおり、それが誰であれ、こうしたアカウントの背後にいる者のお決まりの手口のように思われる。

　（訳注：「情報セキュリティの人々のネットワークをマッピングしている、偽のリクルーターらがLinkedInに存在している。彼らの目的はいまだ不明だが、他の人にもちょっと注意喚起をしたい。」という意味）

　（訳注：「情報セキュリティ関係者をマッピングしているリクルーターの情報を知りたい方へ。（1/4）彼らは通常の人材募集メッセージを送ることでアプローチしてくる。」という意味）

　（訳注：「（2/4）魅力的な女性のプロフィール写真を伴う。（訳補：転職後の）仕事は、現在の仕事と関係がある。彼らは（あなた以外に）若干名しか「スカウト」しない。」という意味）

　（あるいは魅力的な男性の写真だ）

　（訳注：「（3/4）彼らが新たな要求を送信するのを止めてから約1週間後に、プロフィール写真は削除され、さらに少し経つと彼らの名前は変更される。」という意味）

　（訳注：「（4/4）あなたのリストが膨大だったら、リスト上でこうした人々を見つけるのは困難だろう。アカウントが消えてから約1ヶ月経つが、それが意図的なものかは確信がない。」という意味）

　落胆することだが、Jenniferのコネクションの1人が大量のスキル推薦を彼女に送っているのをDaavidが発見した。公開されている職務経歴からすると当該アカウントには明らかにふさわしくないものだ。少なくとも、リバースエンジニアリングソフトウェアの販売業者が営業を教育するというのでないならね。当該コネクション（米国に拠点を持つ大手軍事企業の社員）にこの件について尋ねたとき、相手をよく知らないのに、このような推薦を送ることは悪しき習慣であることを認めた。

　まったくだよ。

　もしあなたが従業員のリストを見返したとすると、「Hannah」（訳注：上のJenniferの同僚の図で「Security Executive Talent Scout」という役職のHannah Robinson）がセキュリティ担当幹部に注目していることを目にするかもしれない。従業員のうちの誰1人として、重要な情報を与えてしまわないことを望む。

　@5ean5ullivan

　今朝、通勤途中に、BBC World ServiceのClickのポッドキャストを聞き、Posti（フィンランドの郵便事業者）がドローンによる配達の試験を行っていることを知った。

情報源：Posti

　PostiのYouTubeチャンネルには「robottikopteri」の動画がある。

　偶然にも昨晩、徒歩で家に帰るとき、我が家の近所を飛び回るクワッドコプターの音を聞いた。時代の表れだろうか？頭上のドローンというUAVに、我々全員慣れる必要が出てくるのだろうか？

　ドローンやUAVの技術によって生じる多々の可能性や賛否両論について、より詳しい議論はClickのこちらのエピソードで確認できる。

• A Special Edition of Click on Drones（ダウンロード版には10分追加）
• Drones for Good
• Finland’s Tech Boom（Postiのドローンの製造元Sharper Shapeも取り上げている）

　@5ean5ullivan

　最新のWebの分析やトラッキングは、完全に制御不能だ。この件で私にとって問題なのは、プライバシーなどではなくむしろユーザビリティについてである。トラッカーは実質的に「ダイヤルアップインターネット」の感じを再現している（子供は両親に聞いてくれ）。現在は2015年だが、多数のWebサイトの重さは1999年並になっている。

　そして今日では、この問題が至るところで顕在化しているようだ。

　有名な実店舗型の小売店のWebサイトをGhosteryで可視化しながら見てみよう。以下は米国向けにローカライズされたイケアのWebサイトで、サードパーティのCookieは有効になっている。

サードパーティのCookieを許可したときの、米国向けにローカライズされたイケアのサイト（Windows版のFirefox 40で表示）

　Ghosteryによると、9つの異なるトラッカーリソースが読み込まれている（Ghosteryを使っているのはブロックするためではなく、可視化のため）。よし、結構。

　そして以下はフィンランド向けにローカライズされたイケアのWebサイトで、サードパーティのCookieは許可していない。

サードパーティのCookieが無効になっている、フィンランド向けにローカライズされたイケアのサイト

　Ghosteryによると、11の異なるトラッカーが読み込まれている。しかし思い出してほしい…、これにはサードパーティのCookieは入っていない。では、サードパーティのCookieを有効にすると何が起きるだろうか？

　さらに38個のトラッカーが仲間入りだ！

サードパーティのCookieを有効にした、フィンランド向けにローカライズされたイケアのサイト

　合計で49個のトラッカーだ（ちょっと度を超えていると感じる。違うかい？）。

　これは実に意味不明だ。私は単に、実際の店舗を訪れる前にウィンドウショッピングをちょっとしたかっただけなのだ。

　ただとにかく…。

　トラッカー一式をオープンにすることで、それらのCookieがうまく読み込まれてドロップされることになると、たいていの場合はトラッカーはさらに多くのリソースを取得し、その結果としてブラウジングの速度を落とすことになる。

　通常私は、トラッカーをブロックする目的で、すべてのサードパーティCookieを許可していない。これにより、不都合が生じることはほとんどない。しかしながら、私の同僚の1人がこの設定をテストしたところ、ソニーのPlayStation Networkといったサイトにはログインできないことがわかった（ただし、この場合は別のブラウザを使うことをお勧めする）。こうした点は考慮に入れる必要がある。

　主に使うブラウザでは、「サードパーティのCookie」を「許可しない」に設定することを勧める。

　以下はWindows版のFirefox 40の場合だ。

Firefox ＞ オプション ＞ プライバシー

　以下はWindows版のChrome 44の設定だ。

Chrome ＞ 設定 ＞ 詳細設定を表示 ＞ コンテンツの設定

　また、以下はiOS 9の設定だ。

iOS 9 ＞ 設定 ＞ Safari ＞ プライバシーとセキュリティ

　iOSでは「Allow from Current Website Only（アクセス中のWebサイトのみ許可）」を用いている。

iOS 9 ＞ 設定 ＞ Safari ＞ プライバシーとセキュリティ ＞ Cookieをブロック

　そして次に、言うまでもなく、トラッキングフィルタありのVPNを経由して、ネットワーク側の資源のトラッキングをブロックすることもできる。

サードパーティのCookieを有効にした、フィンランド向けにローカライズされたイケアのサイト。Freedomeを使用

　上図のとおり、当社のFreedome VPNにより、読み込まれるトラッカーの数がわずか2つに削減されている。ずっと良い。

　どのような方法を選んだとしても、可能な限りすぐにトラッカーを停止することが、よりよいブラウジング体験へとつながる。

　楽しんでほしい。

　@5ean5ullivan