エフセキュアブログ

15 を含む記事

アプリの「アクセス許可」― ユーザがプライバシーを守るための、最後に残った希望の手段




これまでのエフセキュアブログでは、企業がいかにユーザを資産として扱っているかについて、多くのことを取り上げてきました。企業にとってユーザは、様々な方法での収益が見込める情報源なのです。音楽共有サービスSpotifyが最近会員規約を変更したことも、この問題が重要なトピックであることを裏付けています。Spotify は、ユーザのモバイル端末に保存された連絡先データや写真、メディアファイルなどの情報を収集したいと考えたのです。冗談じゃありません!私が利用しているSpotify アプリは、携帯の写真や連絡先データにアクセスできなくても、ちゃんと音楽を流せるのですから。結局、新しい会員規約は完全に裏目に出て、Spotifyは謝罪しました

しかし、このような話はSpotifyだけに限ったことではありません。FacebookやGoogle、そして実用的なソフトウェア開発者に至るまで、さまざまな企業がユーザのデータを当てにしているのです。これは、ユーザのプライバシーにとって非常に大きな問題です。

「でも、私たちユーザにはプライバシー法や個人情報保護法があるじゃないですか。法律がユーザを守ってくれて、Spotify みたいな企業が集めるデータの種類と、集めたデータの利用法を制限してくれるのでは?」と考える人もいるかもしれません。 しかし残念なことに、この防御策はうまく機能していません。確かに法律はありますが、ユーザのデータをどうすべきか判断するのはユーザ自身なのです。ユーザは自由に自分のデータの権利を譲渡してしまうこともできますし、実際にそれを利用している企業も多いのです。細かい文字で書かれた規約の内容は読まずに、ユーザ同意書に同意してしまった経験は、これまでにたくさんあるのではないでしょうか。実はそうすることによって、ユーザ自身が、法律が提供してくれるはずの保護を無効にしてしまっているのです。

しかし幸いなことに、2つ目の防御策があり、こちらはずっと効果的です。例えばSpotify アプリがアップロードできるのは、アクセスが可能なデータに限られます。iOS や Androidといった携帯端末向けオペレーティングシステムは、プライバシー問題がすでに認識されていた時代に作られたため、これらOSは、デスクトップ型パソコン用OSに比べて、セキュリティ面で優れた点がいくつかあります。アプリの「アクセス許可」はそのうちでも最も重要です。つまり、ユーザがインストールしたアプリは、初期設定では、端末上のすべてのデータにアクセスできるわけではないのです。アプリはユーザの許可を求める必要があり、 ユーザはアプリがアクセスできるデータや機能を決定することができます。これはユーザにとって、個人情報を安全に守るための最後に残された希望の手段なのですから、「アクセス許可」の重要性について知っておくことをお勧めします。

「アクセス許可」の設定はとても簡単ですし、ほとんどのユーザはすでに利用したことがあるはずです。アプリをインストールすると、通常「アクセス許可」がポップアップ画面で表示されます。ここで注意したいのは、この時すぐに「同意する」をクリックせずに、アクセス許可の内容をチェックすることです。何も考えずに「アクセス許可」に同意してしまうと、プライバシー保護の最後の砦が崩れ落ちてしまいます。

「アクセス許可」への対応には常識を働かせることです。まず、アプリ本来の役割が何かを考えてみましょう。例えば私の場合、曲を探したりプレイリストをかけたりするためにSpotify を利用しています。いずれの動作も、私が今いる場所とは関係がないので、Spotifyアプリは、現在の位置情報にアクセスする必要はありません。一方、病院などの緊急連絡先と連絡を取る際に利用するアプリは話が別です。このようなアプリは、正確な現在位置情報をオペレータにアップロードしますが、それこそがこのアプリをダウンロードした目的なので、当然このアプリには、現在位置情報にアクセスする正当な理由があるのです。しかし、Spotifyにせよ、このアプリにせよ、私の連絡先データにアクセスする必要はないので、連絡先データへのアクセスに対するリクエストはいずれも却下すべきです。「アクセス許可」に対応する際には、このような考え方をすることが大切です。

現在のところ、アプリのアクセス許可に関しては、iPhone のほうがAndroidよりも数段優れています。 Androidでは、アプリのアクセスしたい情報が表示されるため、ユーザはインストール前にアクセス許可の内容を確認できます。これは一見よさそうに思えるかも知れませんが、実際はそうではありません。最も問題なのは、ユーザに選択の余地がないことです。アクセス許可の項目のうち、1つでも気に入らない内容があれば、個別の無効化はできずにすべてを拒否するしかないため、インストールを断念しなければなりません。ユーザはアプリをダウンロードしたいために、アクセス許可の内容を拒否しないケースがほとんどです。そのため、アプリ開発者が余分な項目をアクセス許可にこっそり入れる可能性もあります。結果として、Android アプリのアクセス許可は、実質的にユーザライセンスへの同意のようになってしまっており、アクセス許可の内容に注意を払うユーザはほとんどいません。

iPhoneのほうがスマートです。 アプリのインストール時にはアクセス許可に関する質問はありませんが、アプリが制限されたコンテンツにアクセスしようとしたとき、 ユーザがアクセスを許可するか設定できる仕組みになっているのです。iPhoneアプリはインストールできないことを盾に、ユーザに不必要な許可を承認するよう強制しませんし、ユーザはアクセス許可の項目を細かく設定できるため、Android アプリのように選択の余地がないということはありません。個人情報に関連したコンテンツやサービスはすべて個別に扱われます。このように、iPhoneのアプローチのほうが明らかに優れています。実際そのために、Androidの次期バージョン Marshmallowにはこれと似たシステムが採用される予定になっています。

今回のブログのポイントをここでもう一度振り返ってみましょう。 アプリの「アクセス許可」は、ユーザにとって友達のような存在です。ユーザには、プライバシーの保護を手伝ってくれる仲間が必要なのです。
 

安全なネットサーフィンを

Micke

>>原文へのリンク

また別のLinkedInでの自演

 LinkedInによると、私のコネクションのうちの11人が、Annaを「知る」ある人物に対して私を紹介できる。

https://hk.linkedin.com/pub/anna-sentina/100/757/193
Sr Researcher at “Head Hunter”.

 この件について確かなことはまったく分からない。

 IMDb(インターネット・ムービー・データベース)によると、Anna Sentinaは実際にはAnna Akanaだ。

 LinkedInは、リクルーターアカウントの「確認」のために課金すべきではないかと思うのだが?

 現在のところ、リクルーターの自演用のアカウントを作成する際に、費用はまったくかからない。少なくとも一定の費用を加えれば2つのことが実現できる。まず、実在するリクルーターの価値を高める。2つ目は、LinkedInのセキュリティチームが、いわゆる「確認」をしないことにしたリクルーターアカウントを精査できるため、偽者を一掃できる。あるいは、リクルーターであると主張しつつ確認が取れてないアカウントに対し、「未確認」とラベル付けをすることも可能だろう。

 しかしこんなことはおそらく当分は起こりそうにない。したがって今は、LinkedInのコネクションを選り抜くようにしよう。

 @5ean5ullivan

 関連記事:セキュリティ研究者を標的にしたLinkedInでの自演

FLASHの終わり? はたしてCHROMEは、FLASHの死刑執行に同意したのか?




9月1日は、インターネットセキュリティの歴史に残る日となるかもしれません。アンチウイルス業界で最初に登場したブログである、エフセキュアのラボのブログが、新たなサイトへ移ったことを発表した日だから、というだけではありません。

GoogleのChromeが、広告主にHTML5でクリエイティブを作成するよう促すため、Flashによる広告がすぐに読み込まれないように、ブロックを始めた日でもあるからです。

Amazonは9月1日からFlash広告を全面的に禁止しており、Googleも同様の措置を取ることとなりました。

このことを8月にAmazonが発表した際、「これは、Amazonとしては非常にすばらしい動きであり、他の企業も遅かれ早かれ同様の措置を講じることを願っている。Flashベースの広告は、現在は非常によくあるセキュリティ上のリスクで、存在しない方が、みんながより幸せになる」とエフセキュアのセキュリティアドバイザーである、ショーン・サリバンは書いていました

先月、Adobeはセキュリティ、および安定性の問題に対処するため、Flashに対して2015年に入ってから12回目のアップデートを実施しました。リッチメディア広告のうち、およそ90%がFlashを介して配信されています。

世界最大のオンライン小売業者であるAmazonから、これまで使っていた広告形式を禁止されるということは、Flashから離れるべきという重要な合図と言えます。しかし、Chromeがデベロッパーに対し、積極的にFlashの使用をやめるよう促すことの影響は、計り知れないでしょう。

StatCounterによると、デスクトップブラウザを介してインターネットにアクセスする人のうちの51.74%、つまり、ほぼ2人に1人がChromeを使用してインターネットにアクセスしています。Chromeは世界で最も広く用いられている、ウェブインターフェースということになります。



 
Facebookのチーフセキュリティオフィサーも先日、Flashの終了を要求しました。すでにYoutubeは、1月にデフォルト設定でのFlashの使用を停止しました

「より新しい技術が登場し、広く使われるようになってきています。ですから、より新しく、安全な技術の導入を迅速に行うことに対し、労力をかける価値はあるでしょう」と、エフセキュアのシニア研究員である、ティモ・ヒルヴォネンは 『エフセキュア ビジネスインサイダー ブログ(F-Secure Business Insider blog)』で述べています。

では、なぜFlashはなくならないのでしょうか? 圧倒的な導入率と、それを利用する広告主が原因です。

Media KitchenのマネージングパートナーであるJosh Engroff氏は、『Digiday』に次のように語っています。「あらゆる代理店の制作部門に所属するすべての人が、AdobeのCreative Suiteを使って育ってきました。ですから代理店は、これを専門とする多くの人材を抱えているのです。Flashから移行するとなれば、新たな訓練や調整が必要になります。」

Flashには、取って代わるだろうと思われる形式のものに勝る利点が、いくつかあります。

『Business Insider』のローラ・オライリー氏は次のように書いています。「HTML5の広告はより美しく、安全とされていますが、Flashよりもファイルがはるかに大きくなる可能性があります。」

市場では、安定性が不安定さを引き起こすこともあります。私たちがFlashに慣れ親しみ、頼ってきたことで、私たちのデータの安全性が、不必要に損なわれることになりました。

Flashの独占状態が急速に消え失せていけば、その時こそ節目となるのでしょうか? 希望を持つことはできます。

ティモは、「これで本当にFlashが終わりになることを願う」と述べました。

それでは

Sandra

>>原文へのリンク

修正パッチの適用されていないソフトウェアが脆弱性を企業にもたらし続ける

エフセキュアは、70%以上の企業がソフトウェアの未更新が原因で、攻撃のリスクにさらされていると発表しました。ソフトウェアの更新の制御と管理に対応するセキュリティソリューションが、社内で利用可能であることを踏まえると、この調査結果は驚くべきことです。 

先日、米コンピュータ緊急事態対策チームは、特に最新のセキュリティパッチの適用によってソフトウェアを常に更新するなど、単純なセキュリティ対策を整備することで、ターゲット攻撃の85%が回避可能であると警告しています*。

ところが、ソフトウェアの更新の重要性と、有用性を軽視し続けている企業は数多く存在します。 エフセキュアの最近の調査**では、パッチ管理のソリューションを導入している企業は、わずか27%であることが明らかになっています。この問題は特にフランスで顕著であり、社内でソフトウェアの更新管理ツールを活用していると回答した対象者はわずか15%でした。一方、北欧では46%の企業がパッチ管理のソリューションを導入しており、ソフトウェアの脆弱性を利用した脅威に対して、会社の資産を保護する対策を行っています。

エフセキュアのシニア研究員であるティモ・ヒルヴォネンは、ソフトウェアの更新に対する非積極性は、現代における脅威の状況について多くの企業が無関心であることの表れだと述べています。「ソフトウェアの更新は、アプリケーションの中断といった問題を引き起こしかねない、面倒なことだと考えている方はたくさんいますが、実際は逆です。セキュリティパッチを疎かにする人をターゲットにする犯罪者は、パッチに起因する脆弱性を狙ったエクスプロイトの開発に注力し、更新が行われる前に攻撃を実行します。つまり、すべての攻撃の戦略は、修正パッチが適用されていないソフトウェアを使用している人々を標的にしているのです」

エフセキュアのセキュリティ研究所では、昨年7月のHacking Teamの情報漏洩後に公開されたFlashの脆弱性をターゲットとするエクスプロイトが、82%増加していると報告しています***。ヒルヴォネンは、こうした活動の急増により、エクスプロイトが重大なセキュリティ問題になっているため、 タイムリーかつ入念なソフトウェアの更新が極めて重要であると述べています。

パッチ管理にも対応する、堅牢なセキュリティソリューションの実装を検討されている場合は、エフセキュアのビジネススイートなどの保護ソフトウェアを活用することが可能です。ビジネススイートの最新リリースでは、受賞歴を誇るエフセキュア クライアント セキュリティの最新版が提供されており、自動パッチ管理(ソフトウェアアップデータ)とその他のセキュリティツールの統合により、エクスプロイトなどのオンラインの脅威がもたらすリスクの、管理と制御を支援します。

*出典: https://www.us-cert.gov/ncas/alerts/TA15-119A?hootPostID=b6821137ae5173095390bd502ae04892
** ヨーロッパの1,780人の回答者を対象に、4月26日から5月16日まで実施された調査
*** https://www.f-secure.com/ja_JP/web/press_jp/news/news-archive/-/journal_content/56/1082220/1308212?p_p_auth=iS4cM80W&refererPlid=910425


詳細情報:
Client Security

「モノのインターネット」のセキュリティ対策が難しい6つの理由



自宅の庭に設置したスプリンクラー(自動水やり機)がハッカーに乗っ取られることを心配しなければならないなんて、世の中ずいぶん変わりました。

スマートフォンがハッキング被害に遭ったり、窓から石が投げ込まれる確率のほうがまだずっと高いものの、あらゆるものがインターネットに接続され、人を介さずに機器同士で連携をとる「モノのインターネット(Internet of Things:IoT)」に向けた本格的な動きは、セキュリティに関するさまざまな問題を投げかけ、多くの人々が関心を寄せ始めています。

「モノのインターネット(IoT)」に関する最近の記事「スマートフォンの安全を保つ方法」では、エフセキュアのミカ・スタルバーグが、身の回りの「モノ」を安全に保つことが難しい、「モノのインターネット」特有の問題について簡潔に述べています。「モノのインターネット」のセキュリティ対策が難しい具体的な理由としては、以下の6つが考えられます。

  1. IoT機器の大半が低価格製品で、画面やキーボードがついていない。
  2. 1で述べたようなIoT製品は、すぐに設定できて簡単に使えることに重点が置かれている。
  3. IoT機器を使用する場合、自宅の壁の内側にケーブルを配線しなくて済むように、接続には無線プロトコルが使用される。そのため、家のすぐ外側で犯罪者がIoT機器の通信を傍受したり、IoT機器を操作する可能性がある。
  4. 一部のIoT機器(庭のスプリンクラーや外灯など)は家の外に設置されているため、犯罪者は家の中に侵入しなくても物理的なアクセスが可能である。
  5. IoT機器を製造するメーカーは多数あり、販売経路も多岐にわたるため、家庭によってはIoT機器の暗号化処理や認証機能が不十分なケースも多い。
  6. スマートホームに設置されたIoT機器は、通常メッシュネットワークを利用している。メッシュネットワークでは、弱い出力でバケツリレー方式に機器間でデータを伝送していくため、ネットワーク上ではすべてのIoT機器が互いに通信する何らかの方法が必要である。

早めの対策には何をすべきか知りたいという方は、こちらのスマートホームを安全に保つために今すぐできる3つのポイントをご覧ください。
それでは

Jason

>>原文へのリンク

守られているのは10%だけ ― 旅行者のセキュリティ習慣に関する興味深い調査



エフセキュアスタッフのKaisu は、観光学を学んでいます。彼女が5月に発表した 『若年層旅行者の情報セキュリティに関する知識、および情報セキュリティに関連した行動』 という論文は、非常に興味深い内容でした。世界の国々は近くなってきています。人々が旅行に出かける機会はますます増え、今では旅行中でもインターネットへの接続が可能です。その一方で、未知の環境でのITサービスの利用が、新たなセキュリティリスクをもたらしています。Kaisu は、若年層の旅行者がこれらのリスクをどの程度認識し、リスク緩和のためにどのような対策をとっているのかについて調査を行いました。

調査に基づいた論文では興味深い事実が取り上げられています。 例えば、実質的にはほぼ全員に相当する95.7%の若年層旅行者が、旅行中もスマートフォンを持ち歩いています。さらに3分の1がノートパソコン、4人に1人がタブレット端末を携帯しています。若年層旅行者の間で最も使用されているアプリやサービスには、写真撮影やソーシャルネットワークに関するもののほか、通信アプリやEメールがあり、これらはすべて旅行者の約90%に利用されています。これらに次いで利用されているのはネットサーフィンの72%です。ここでは調査内容のすべてはお伝えしませんが、Kaisuの論文については こちらをご覧ください。

しかし、私が最も興味を持ったのは、実は論文では述べられていないことでした。若い旅行者がスマートフォンを携帯し、写真を撮ったりソーシャルメディアを利用したり、ネットサーフィンを楽しみメールのやり取りをしているというのは、特に目新しいことではありません。これは普段の生活でもやっていることで、旅行時に限ったことではありません。残念なことに、論文では若い旅行者の自宅での行動については調べられていませんが、おそらくは同じようなものだろうと推測できます。そして、実はこのことこそが、今回の調査における最も価値ある発見のひとつなのだと考えられます。つまり、もはや旅行中だからといって、普段と同じようなITサービスが利用できないということはないのです。

私は、ずっと昔の、自分が子どもだった頃を思い出しました。携帯電話が登場するよりも前のことです。夏になると、ラジオの放送でこんな案内が流れたものです。「ラップランドを車でご旅行されている、ドイツからお越しのミュラー夫妻にお知らせします。息子のハンスさんに至急ご連絡ください」  スマートフォンにMessenger、WhatsApp、 Facebook、 Twitter、Snapchat、Skype をインストールしている現代人にとっては、とても奇妙に聞こえることでしょう。しかしかつては、旅行をするということが、社会生活から離れたつかの間の休暇を意味していた時代があったのです。しかし時代は変わりました。現代の社会生活は、電子機器を通じて行われるケースが増えつつあります。Kaisuの調査からも明らかなように、これらのサービスはたとえ旅行中でも、私たちから片時も離れることはないのです。

この小さな地球上のどんな場所にいても、同じメッセージングチャネルを変わらず利用できるのです。しかし、メッセージングチャネルにはデータ接続が必要になるため、これが大きな問題になっています。基本的に、海外でデータを送受信する方法は2つあります。1つ目は、携帯ネットワーク経由でデータ通信をする、データローミングを利用する方法です。しかしこの方法は非常に高額の料金が発生する場合が多いため、実用的ではありません。そこで2つ目の方法であるWiFi の利用が、効率的で料金の安い代替策となります。スリ被害や過度の日焼けの心配を除けば、無料のWiFiサービスを見つけることが、若年層旅行者にとって最大の関心事でしょう。Kaisuの調査からもうひとつ明らかになったことは、旅行者がデータローミングやWiFiサービスを利用して、この問題を解決していることです。一般的なサービスの利用率の高さが、このことを明示しています。

しかし若い旅行者は、未知のネットワークに接続する際にどのようなセキュリティ対策を取っているのでしょうか。調査では、約10% がVPN を利用し、 20%近くが公衆無線 LANの使用は避けていると回答しています。 つまり、残り70%以上の若年層旅行者が他の対策をとっているか、あるいは何の対策も取っていないのです。 データローミングを使用する旅行者もいますが、大半がリスクを無視するか全く認識せずに、利用可能なWiFi なら何でも使用している恐れがあります。これは賢明な方法ではありません。悪意のある無線ネットワークに接続することは、通信傍受、マルウェアによる攻撃、フィッシング詐欺などさまざまな危険にさらされることになりかねません。

セキュリティ対策として、シンプルで有効性が明らかなソリューションであるVPN を利用すると回答した人が、全体の10%しかいなかったことは驚くべきことです。VPNは「Virtual Private Network(仮想プライベートネットワーク)」の頭文字をとった言葉で、危険性の高い無料ネットワークを通り抜ける、保護された「トンネル」をデータのために作り出します。なんだか難しそう?そんなことはありません。とても簡単です。Freedomeをチェックしてみてください。賢明な10%に仲間入りする、とてもシンプルな方法です。
 
安全なネットサーフィンを
Micke
 
追伸:最近、愛用していたNokia Lumiaをついに手放しました。なぜかって?Freedomeを使えなかったのが主な理由です。海外にいるときは特に、Freedomeが実現する、デジタルの自由(フリーダム)が必要なのです。



セキュリティエキスパートによるパスワードに関する3つのアドバイス



パスワードは、オンラインアカウントにとって鍵の役割を果たします。アカウント所有者だけが知る安全性の高いパスワードは、メールやソーシャルメディアのアカウント、オンラインバンキングの口座などを、利用する本人だけがアクセスできるようにします。一方で危険なパスワードは、アカウントへの不正アクセスを防止する機能が十分でなく、結果としてアカウント所有者が、個人情報窃盗などの、深刻なセキュリティリスクにさらされる恐れがあります。残念なことに、推測や解読されやすいパスワードを、何度も使い回している人は少なくないのです。

Googleの研究者が最近行った調査では、 セキュリティ研究者たちが推奨する、最も一般的なアドバイスや実践方法を明らかにしています。当然のことながら、これらの中にはパスワードに関するものが含まれていました。この調査から、パスワード作成に関してセキュリティエキスパートが望ましいと考える方法と、一般ユーザの実際の方法には隔たりのあることが明らかになっています。ここで、アカウントの安全性を保つためのパスワードの使い方について、セキュリティエキスパートによる役立つアドバイスを3つ紹介しましょう。

1. 強力なパスワードよりも、固有のパスワードのほうが重要である

専門家が勧める方法の1つは、強力で固有のパスワードを設定することです。このアドバイスを聞いたことのある人は大勢いるでしょうが、実践している人はごくわずかです。もしも、こちらの記事が紹介しているコンピュータサイエンスを研究する教授のドレスに、あなたのパスワードが載っていた場合、あなたのパスワードはアカウントを安全に守れていないことになります。

主要なオンラインサービスプロバイダの多くは、自動的に、パスワードの文字数や文字の組み合わせなど、一定のガイドラインに従ってパスワードを設定させる仕組みになっており、パスワードの強度についてフィードバックも行っています。しかし、エフセキュア セキュリティ・アドバイザーのショーン・サリバンらセキュリティ研究者によると、強力なパスワードはもちろん大切ですが、固有のパスワードを設定することも、アカウントの安全性を保つ上で同じくらい重要な意味があるのです。

基本的なことですが、固有のパスワードを使用するということは、同一のパスワード、あるいは同じ言葉やフレーズを一部変更しただけのパスワードを、別の複数のアカウントで使い回さないということです。Googleの研究者はこのことを、車や会社、さらに家のあらゆるドアを1つの鍵で済ませてしまうやり方に例えています。サービスごとに固有のパスワードを設定することが重要なのは、こうしておけば、万が一アカウントが1つ侵害されてしまったとしても、オンライン上のすべてのアカウントのパスワードが知られてしまうことがないからです。

強力なパスワードとは、文字数が多く、大文字、小文字、数字、特殊記号を組み合わせたパスワードです。また、パスワードには本人しか知らない言葉やフレーズを使用することが大切であり、一般の人々になじみのあるフレーズやスローガン、あるいは本人を知っている人が容易に推測できるものは避けるべきです。しかしそれでも、これらのパスワードを解読する方法が多数存在することは、エフセキュアブログの記事『ハッキングから身を守るためにとるべき方法』からも明らかです。

アカウントごとに固有のパスワードを使い分けることによって、侵害された1つのパスワードを犯罪者やスパイに悪用され、別の複数のサービスにアクセスされる事態を防げるのです。サリバンは、オンラインバンキングや、仕事に関連したメールやソーシャルメディアのアカウント、個人的なドキュメントを保管しているクラウドストレージサービスなどの重要なアカウントに、固有の強力なパスワードを設定することが、オンラインアカウントのセキュリティを万全にするうえで不可欠だと述べています。

2.セキュリティエキスパートがパスワードマネージャーを利用するのには理由がある

ある研究によれば、標準的なインターネット利用者は、26 個のオンラインアカウントを所有しているそうです。「標準的なインターネット利用者」に該当し、それぞれのアカウントに固有のパスワードを設定しているとすると、非常に多くのパスワードを抱えることになります。安全性を重視したばかりにパスワードがわからなくなって、自分のアカウントを使えなくなる事態に陥りかねません。

専門家がパスワードマネージャーの利用を推奨するのはこのためです。パスワードマネージャーを利用すれば、それぞれのアカウントに固有の強力なパスワードを設定し、確認しやすく安全にまとめておけるため、アカウントのセキュリティ対策は万全になります。パスワードマネージャーの働きによって、本人しか知らない強力な固有のパスワードで、26 個以上ものオンラインアカウントの安全性を保ち、データを保護することが可能になるのです。Googleの調査に参加したセキュリティエキスパートの73% がパスワードマネージャーを利用しているのは、まさにこの理由からです。その一方で、一般ユーザの利用はわずか24%に過ぎませんでした。

3.セキュリティ機能をさらに活用する

そのほかにアカウントを守る優れた方法としては、可能な限り2要素認証を有効にすることが挙げられます。基本的に、2要素(多要素)認証は、2つの異なる方法を用いてアカウント所有者本人であることを確認します。例えば、アカウントの保護にパスワードを利用するだけでなく、バックアップとしてユーザに電話番号も登録してもらい、アカウント上でパスワードのリセットなどが行われた際には、電話で本人確認を行う方法などです。

2要素認証が利用できるサービスはまだ限られていますが、このオプションが提供されている場合には利用することをセキュリティエキスパートは推奨しています。2要素認証を利用する人気のサービスや、ここで取り上げた以外の、オンラインアカウントを安全に保つ効果的なパスワード利用法については、こちらをご覧ください。

Apple Watchユーザのプライバシー保護を簡単に




エフセキュアは、Apple Watch に対応したF-Secure Freedome 最新版をリリースしました。iPhoneで Freedome をお使いのお客様は、Apple Watch でのVPN(仮想プライベートネットワーク)の管理・監視が可能になり、データをリスクにさらすことなく、自由に Apple Watch の利用を楽しめるようになります。

サードパーティ製アプリを実行するスマートウォッチなどのウェアラブル端末は、今後数年でより一層普及が進むと考えられています。IT専門調査会社IDCのレポートによると、「スマートなウェアラブル」端末の出荷台数は、2015年に前年比 683% の成長が見込まれており、 2015年末までに3,310万台が出荷される見通しとなっています*。エフセキュアのネクスト・ジェン・セキュリティ担当ディレクターのヤンネ・ピルティラーティは、今回Freedome がApple Watchに対応したことにより、ユーザはApple Watchのさまざまな操作を試す際にも、プライバシー保護を簡便に実現できると述べています。

ピルティラーティはさらに次のように述べています。「ウェアラブル端末の普及が進むにつれ、ワイヤレス端末の活用の幅がさらに大きく広がっていくので、Apple Watch のような製品は非常に刺激的です。その一方で、新しいタイプのアプリは新たな習慣を生み出すことが多く、iPhone利用法にも変化がもたらされると考えられます。 Apple Watchユーザは、習慣が変わることで自らのデータがリスクにさらされる恐れがあることを、しっかり把握しておく必要があるでしょう。今回発表されたFreedome最新版は、Apple WatchでのFreedomeの管理を可能にし、このプロセスをいつでも簡単に行えるようにしています」

Freedome 最新版のリリースにより、ユーザはApple Watchを、手持ちのiPhoneで実行しているFreedomeのリモコンとして利用し、データを常に保護できるようになります。具体的には、iPhoneを通じて、データが安全でない公衆ワイヤレスネットワークにさらされることのないよう、Apple Watchを利用してアプリのオン・オフを行ったり、Freedomeのブロックしたトラッキング件数をApple Watchで監視が可能になります。

Freedomeはボタンを1回押すだけでVPNを提供し、通信の暗号化、ジオブロック(地域制限)のあるウェブサイトやストリーミングサービスにアクセスするための仮想ロケーションの変更、悪意のあるウェブサイトやインターネットのトラッキングのブロックなどを簡便に実現します。Freedomeは現在、iOS、Android、Windows PC、OS X、Amazon Fire 端末に対応しています。


*出典:http://www.businesswire.com/news/home/20150618005154/en/Worldwide-Wearables-Market-Forecast-Grow-173.3-2015#.VY0aUWO-VPJ

詳細情報: 
Freedome  https://www.f-secure.com/ja_JP/web/home_jp/freedome

Windows 10を安心して使用するために知っておくべき5つのこと




Windows のアップグレードは、これまで国際的なお祭りのようなものでした。世界で最も普及しているOSであるWindowsの最新バージョンが発売されるたびに、パソコンユーザはバージョンアップをし、Windows 7のどこが気に入ったかとか、Windows 8 やVistaのここが気に入らないなどと意見交換をしたものです。

このように考えると、 Windows 10は1つの時代の終わりを象徴するものです。

Windows 10はWindowsの「最後のバージョン」です。Windows は今や普遍的であり、Windowsと互換性を持つほぼすべてのデバイスが、同様の使用感を提供しています。Windows 10にバージョンアップした後は、継続的なアップデートはありますが、新しいバージョンにアップグレードすることはありません。これは「サービスとしてのWindows」の誕生であると『The Verge』は述べています。

最新バージョンへの無料アップグレードを検討しているか、あるいはWindows 10が搭載された新しいコンピュータの購入を予定している場合には、これから述べる5つの点をおさえて、今後長年にわたる利用も想定されるWindowsの予備知識を持っておきましょう。

1. エフセキュアのチーフ・リサーチ・オフィサーであるミッコ・ヒッポネンによると、Windows 10 でも、ダブルエクステンション形式のファイルの場合、初期設定では拡張子が非表示になっています。
この点に関して、エフセキュアのセキュリティ・アドバイザーであるトム・ギャフニーは『Infosecurity Magazine』で次のように述べています。「『doubleclick.pdf.bat』という名前のファイルがあったとします。Windowsで『登録されている拡張子は表示しない』が有効な場合、このファイルはエクスプローラでは 『doubleclick.pdf』と表示されます。PDFファイルと表示されているので、ユーザがこのファイルを選んでダブルクリックしてしまう可能性があります」

「しかし実際にはこれはバッチファイル(.batファイル)で、ダブルクリックすると複数のコマンドが実行されるようになっているのです」

正体不明なファイルを誤ってクリックしないよう、この点に留意しましょう。

2. すべての連絡先とWi-Fi ネットワークのアクセスを共有することになってしまう可能性があります。
Windows Phone が現在そうであるように、Windows 10でも初期設定ではソーシャルメディアに登録された連絡先とWi-Fi ネットワークのアクセスを共有するようになっている点について、Windows 10が搭載している Wi-Fi Sense が、セキュリティリスクであるかどうかに関しての専門家の意見は分かれています。

『ZDNet』のエド・ボット氏は、「ユーザは意識してネットワークアクセスの共有を有効にするはずであり、偶然そうしてしまうとは考えにくい」と指摘し、セキュリティリスクには該当しないと述べています。

一方、セキュリティエキスパートのブライアン・クレブス氏はそれに懐疑的で、ユーザが「これらの確認メッセージに対して、『はい』をクリックしてしまいがちである」点を理由として挙げています。

『The Register』のサイモン・ロックマン氏は次のように述べています。「理論上は、小規模なビジネスネットワークにアクセスしたいと考えた場合、まず従業員数人とソーシャルメディア上で友達になってから、オフィスの駐車場まで運転して無線ネットワークの範囲内に入り、アクセスすることが可能です。このような事態を防止するためには、基本的な保護手段、特にパスワードの共有を防ぐような安全策が有効です」

エフセキュアのセキュリティ・アドバイザーであるギャフニーは、Windows 10に搭載されているWi-Fi Senseは、「偶発的な誤用、あるいは故意の不正利用の影響を受けやすい」と指摘しています。

ユーザはどのような対策を取るべきでしょうか。

クレブス氏は以下が望ましいと述べています。
  1. Windows 10にアップグレードする前に、Wi-Fi のネットワーク名(SSID)を「_nomap_optout」という語句を含む名前に変更しておきましょう。(これでネットワークをWi-Fi Senseから除外することになります)
  2. アップグレード完了後は、Windowsのプライバシー設定を変更して、Wi-Fi Sense によるWi-Fi ネットワークのアクセスの共有を無効にしておきます。

3.  プライバシー問題についてもいくつかの点を理解しておきましょう。
 『The Next Web』のミック・ライト氏は、基本的には「いかなる場合でも、Microsoft はユーザが何をしているかを把握している」と指摘しています。

Microsoftのサービス規約によると、Microsoft は「『Windowsで実行中のアプリケーションの使用データ』や『顧客が接続するネットワークに関するデータ』などを含む、顧客や顧客のデバイスから」のデータを収集することができ、必要もしくは妥当と判断された場合には、これらの情報を第三者に開示することができます。

この点について、ユーザにできることは非常に限られていますが、 プライバシー設定を確認して、広告主に個人情報がもれることを防ぐことはできます

プライバシー問題について詳しく知りたい場合は、『Extreme Tech』をご参照ください。

4.  Windows 10の新しい「アクションセンター」は便利ですが、管理が面倒になる可能性があります。
すべての通知をまとめたアクションセンターにより、Windows は iPhoneに似てきているようにも思われます。これは、デジタル化が進むことが、結局同じところにたどり着くことだからではないでしょうか。

『BGR』のザック・エプスタイン氏は 「すべての通知をアクションセンターでまとめて確認できるという改善は、歓迎すべき」と述べています。しかし、アクションセンターの管理する通知が膨大になり、管理が面倒になる恐れもあります。

また、エプスタイン氏は次のようにも述べています。「Windows 10では、システムトレイで通知アイコンをクリックすれば通知設定を変更できます。[設定]を開き、[システム]と[通知とアクション]の順に選択するのです」

5.  もちろん、エフセキュアの提供する「F-Secure SAFE」、および「インターネットセキュリティ」、「アンチウィルス」は、すべて Windows 10 に対応しています。


>>原文へのリンク

『WIRED』による自動車乗っ取り実験で浮かび上がる、3つの大きな疑問



US版『WIRED』(Wired.com)が7月21日に発表した記事は衝撃的でしたが、実際に起きても不思議はないことでした。ジープで高速道路を走行中の『WIRED』記者アンディ・グリーンバーグ氏に、奇妙な事が起こり始めたのです。車のエアコンやカーラジオが勝手に作動し出したことに始まり、ついにはエンジンが停止してしまいました。もはや車を運転しているのはグリーンバーグ氏ではなく、2人のハッカー役を務める研究者、チャーリー・ミラー氏とクリス・バラセク氏によって何マイルも離れた場所から遠隔操作されていたのです。2人はグリーンバーグ氏の車に何も手を加えていないどころか、触れたことすらありませんでした。これらはすべて、遠隔操作で車に接続し、車に搭載されたソフトウェアの脆弱性を利用することによって行われたのです。ブレーキとハンドルの遠隔操作については、高速道路で行うのは危険だったため、駐車場に場所を移して引き続き実験が行われました。そうです、「ブレーキとハンドル」の遠隔操作も行われたのです。

ゾッとするのも当然です。この実験は、「モノのインターネット(IoT)」の最近の動向におけるセキュリティ問題を端的に表しています。理論上、インターネットに接続したすべてのものがハッカー攻撃を受け、遠隔操作される可能性があります。「モノのインターネット」というと、通常はトースターや冷蔵庫などの「スマート」な家電製品が思い浮かびますが、インターネットに接続した自動車も、これらの家電と同様に「モノのインターネット」なのです。そしてハッカーに乗っ取られた車のほうが、ハッカーの被害に遭った冷蔵庫よりもずっと恐ろしいものです。今回の自動車乗っ取り実験で浮かび上がった3つの根本的な疑問について、ここで考えてみましょう。

なぜこのようなことが起こり得るのか

今回の実験結果は、自動車メーカーにとっては想定外の出来事でした。自動車メーカーは何十年もの間、安全性といえば変形域やエアバッグなどを念頭に置いていましたが、今やデジタル面のセキュリティも認識していかなければなりません。この分野について自動車メーカーがすでにある程度考慮していることは確かですが、『WIRED』によるジープの実験から明らかなように、彼らは多くのことを学んでいかなければなりません。そもそも私は、今回のような事態を防ぐことだけを考えているわけではありません。完璧なシステムというものは存在しませんし、自動車メーカーは発見された脆弱性に対処することもできるはずです。しかし今回、修正パッチは作成されたものの、パッチ適用のためには車を販売店に持ち込まなければならなかったのです。これは、Windows 更新プログラムの適用のためにわざわざコンピュータを販売店に持っていくようなものです。このことからも、デジタル面のセキュリティ対策が単なるデザインや品質管理の域を超えていることは明らかで、インシデント対応やメンテナンスにおけるプロセスについても対策を講じていくことが重要なのです。自動車メーカーの皆さん、デジタルセキュリティの世界へようこそ。皆さんに学んでいただきたいことは山ほどあります。
 

車の遠隔操作が実行可能なのはわかったけれど、その目的は何なのか

現時点では、車の遠隔操作が可能であることに人々が驚いているレベルですが、今後はそれをどのように利用できるか考える人が出てくるでしょう。ハッカーに車を乗っ取られ、命を落とす可能性についてはマスコミでも盛んに取り上げられています。技術的には可能かもしれませんが、これまでのところ実際にこのようなケースは起きていません。かつてハッカーやウィルス作成者は、好奇心からハッキングを仕掛けたり、能力誇示を目的に悪ふざけをしたりしたものでした。しかし、それも80年代から90年代までの話で、現在のサイバー犯罪者やスパイにとっての動機は、金銭略取と情報収集です。 車を崖から突き落として人を殺すことは、どちらの目的の裏付けにもなりませんが、好奇心をそそるニュースになることは確かです。また車をロックして車中に人を閉じ込め、ロック解除の見返りに身代金を要求するというのも、もっともらしいシナリオです。ハンズフリーマイクをこっそりオンにして、会話を盗聴することもあり得るかもしれません。あるいはドアロックを解除して車を盗むケースも想定できます。いずれにせよ大事なことは、車を狙ったハッカーが何をするかに関するショッキングな見出しの大半は、誇張したものだということです。将来もしこの脅威が現実となったとしても、様相は大きく異なっていることでしょう。それでも、この問題が現実となる前に自動車メーカーが連携して対策を講じることが望ましいことに変わりはありません。

 

一般消費者にとって懸念すべき問題か

あなたの仕事が自動車向けソフトウェアの設計でないならば、この問題を心配する必要はありません。現在マスコミで取り上げられているニュースは自動車業界にとっては重大な警鐘ですが、一般消費者に対する影響はごくわずかです。今回のジープの事例のような初期段階でのインシデントは、顧客に販売店まで車を持ってきてもらい、ソフトウェアをアップデートすれば対応が可能です。しかし長期的に考えると、このようなやり方が持続可能でないことは明らかです。家電製品と同じように自動車の更新プロセスも完全に自動化されるべきです。自動車の更新プロセスは、1年に1度、車両の定期点検の際に最新のソフトウェアを適用するよりももっと速やかに行われる必要があるのですから。インターネットに接続しているすべての自動車において、更新プロセスを自動化するべきなのです。

「でも、車がハッカーに乗っ取られて、崖から突き落とされる問題はどうなのか。それが起きても不思議はないと言うけれど、私は死にたくなんかない」と考える人もいるでしょう。最初にお伝えしたいことは、あなたを殺そうという動機を持つ人間がそもそもいるだろうかということです。幸い、私たちの大半にはそのような敵はいません。もっと重要なことは、それが実行可能かどうかということです。自動車メーカーはハッキングやITセキュリティに関しては経験が浅いかもしれませんが、どんな技術システムでも問題が生じる可能性があることは理解しています。自動車にハードウェアレベルの制御システムが搭載されているのはこのためです。『WIRED』のジープの実験では車を遠隔操作することに成功しましたが、低速時に限ってのことでした。このことは、電子制御のハンドル操作が必要となるのは駐車支援の際であり、高速走行時ではないことを考えると当然のことです。車が一定の速度を超えるとハンドル操作の電子制御機能が作動しないようにすることは安全面からも理にかなっています。その一方で、低速にもかかわらず死亡事故につながるシナリオをいくつか想定することができます。またハッカーが車の速度計をごまかして、実際とは異なる速度を表示させることもあり得るでしょう。ハンドル操作の電子制御機能をオフにするシステムに、ハッカーが偽りの速度数値を入力したらどうなるでしょうか。確かに、ハッカーに乗っ取られた車で命を落とす可能性が絶対ないということはありません。それでも、だれかがあなたの命を狙っている場合は、殺し屋を雇う従来のやり方のほうがまだましな選択だと言えるでしょう。

完全な自動運転車が従来の自動車に取って代わった場合、ソフトウェアとハードウェア(車両)間をまたぐ制御システムは設置されないことも予想されます。このような自動運転車が幅広く利用されるのは当面先のことで、自動運転車のハッキングはさらに先のことになるでしょう。しかし私たちがその方向に向かって進んでいることは明らかであり、過ちをいくつか重ねることで問題が現実となる可能性があるのです。一方で、現在の報道が、デジタル面のセキュリティに対する自動車メーカーの認識を向上させるうえで役立っていることは喜ばしいことと言えるでしょう。

現実的には、ハッカーに車を乗っ取られて殺されるよりも、落下した隕石に当たって命を落とす確率の方がずっと高いのです。ましてや通常の交通事故については言うまでもありません。

 

どうぞ安全運転を、
ミッケ

>>原文へのリンク

Hacking Team社のFlashのゼロデイが複数のエクスプロイトキットとともに押し寄せる

 Hacking Team社の侵害があってから、7月5日になって間もなく大量の情報が一般に暴露された。特記すべきは、同社の顧客情報と、同社が使用してきたAdobe Flash Playerのゼロデイ脆弱性だ。

 最初のゼロデイ脆弱性についての情報が自由に得られるようになって以降、攻撃者達が早速それを使うようになったことを当社では把握した。Kafeineの報告によると、案の定、FlashのエクスプロイトはAngler、Magnitude、Nuclear、Neutrino、Rig、HanJuanといったエクスプロイトに組み込まれていた。

 当社のテレメトリによれば、6日から9日まで継続してFlashのエクスプロイトの増加が見られた。

overall_stats (11k image)


 以下は、エクスプロイトキットごとの統計だ。

ek_stats (27k image)


 CVE-2015-5119というゼロデイ脆弱性のセキュリティアドバイザリは7月7日に公開され、パッチは8日に適用できるようになった。そのためパッチ公開から約2日後には、ヒット数が下がり始めた。

 しかし人々がシステムのアップデートを始めたばかりのときに、AnglerのFlashエクスプロイトのヒット数のグラフにまた別の山があった。

weekend_wave_stats (22k image)


 見たところ、さらに2つのFlashの脆弱性、CVE-2015-5122およびCVE-2015-5123が発見されたようだ。これらの脆弱性にはまだパッチが用意されていない。Kafeineによると、この2つの脆弱性の一方がAnglerエクスプロイトキットに追加された。

 Anglerエクスプロイトキットに関して注記しておこう。2番目のグラフをよく見ると、AnglerとHanJuanで共通の統計になっている。これは、当社におけるAnglerのFlashエクスプロイトの検知では、HanJuanのFlashエクスプロイトもヒットするという事実に基づく。

 Anglerで検知されるURLのパターンに異なるものがあることを発見したのち、当社にてこの点を検証した。

angler_vs_hanjuan_urlpattern (9k image)


 当社で双方のキットで使用されているFlashのエクスプロイトを参照したところ、2者はまったく同じであった。

AnglerのFlashエクスプロイト:

anglerek_ht0d_3 (26k image)


HanJuanのFlashエクスプロイト:

hanjuanek_ht0d_3 (23k image)


 この2つのエクスプロイトキットの背後にいる人物の間に強いつながりがあるようだと、かねてから推測されている。たとえば両者は、「ファイルなし」でのペイロードの送信を採用し、暗号方式でさえも同様のものを用いている。おそらくある時点でHanJuanでもこの新しいFlashのゼロデイをサポートするのを目にするだろう。

 ところで、これら新しいエクスプロイトにはまだパッチがないが、当社のユーザはBrowsing Protectionを通じて当該エクスプロイトキットの影響から保護されている。また同時に以下の検出も行われている。

Exploit:SWF/AnglerEK.L
Exploit:SWF/NeutrinoEK.C
Exploit:SWF/NeutrinoEK.D
Exploit:SWF/NuclearEK.H
Exploit:SWF/NuclearEK.J
Exploit:SWF/Salama.H
Exploit:SWF/Salama.R
Exploit:JS/AnglerEK.D
Exploit:JS/NuclearEK.I
Exploit:JS/MagnitudeEK.A


LinkedIn利用者なら確認しておきたい5つのプライバシー設定



昔からよく言われているように、バンドを始めた人は誰しも有名になることを目指しています。同じようにLinkedInを始めた人もほとんどは、皆に知られることを目的としていることでしょう。

LinkedInはソーシャルネットワーキングサイトの中でも3番目に登録者が多いサイトです。自分の経歴を公開する標準的な場となっており、ネットワーキングの機会を継続的に提供し、さらに最近ではパブリッシングプラットフォームとしても人気が高まりつつあります。

ただし知っておいてください。個人やその雇用主に関する非常に豊富なデータは、ソーシャルエンジニアリング競合企業のリサーチにおいてもリソースとして役立つと立証されています。

LinkedInで共有した情報はすべて、一般に公開される可能性があります。これは、あらゆるソーシャルネットワーキングサイトやプライベートメッセージにも言えることであり、電子メールでさえもその可能性があります。さらに、共有した情報は何であれ、あなたに何かを売りつけようとしたり、あなたをだましたりするために使われる可能性があります。特に、あなたの業務用のメールアドレスが公表されていたり、推測しやすい場合です。

テクノロジーと私たちのソーシャルに対する飽くなき要求がゆがんだ形で結びつけられることがあり、私たちはいつトラブルに巻き込まれてもおかしくない状況にあります。けれども、わずかな手間でLinkedInのプライバシーとユーザビリティを改善することができます。

今すぐ確認すべきLinkedInの5つの設定を以下にまとめました。LinkedInにサインインしたら、ホームページ右上のプロフィール写真にマウスをポイントして「プライバシー&設定」を選択してください。再度パスワードの入力を求められる場合もあります。

まず、2つの重要なセキュリティ機能を設定しましょう。セキュリティなくしてプライバシーはあり得ません。

1. 閲覧とアカウントを守る

「アカウント」をクリックし、「設定」の下にある「セキュリティ設定の管理」をクリックします。

「このオプションをオンにすると、LinkedInサイトの利用にセキュア接続が適用されます」のチェックボックスをクリックしてチェックを入れます。

次に「2段階認証サインイン」を「オンにする」をクリックします。携帯電話番号を追加するよう求められます。強力なパスワードを安全に管理する以外に、これが他の人があなたのLinkedInアカウントを乗っ取り、あなたになりすますことを防ぐ、唯一かつ最善の方法です。
ご注意:この設定を行うことにより、LinkedInがあなたに対しより効果的に広告を表示できるよう、さらに多くの情報を与えることになります。ただし、あなたはもう既にたくさんの情報をLinkedInに進んで提供しています。

さて次は、「プロフィール」をクリックして、「プライバシーコントロール」内の残りの設定を見てみましょう。

2. あなたが見ていることを知らせたいですか?

もしあなたが採用担当者であれば、これはおそらく有益な機能でしょう。けれども仕事をする上で、できるだけ多くの見知らぬ人や昔の知り合いと連絡を取る必要がなければ、これは不要な機能です。その場合にはまず「あなたが閲覧したプロフィールの所有者に公開する情報」をクリックします。

次に「匿名プロフィール情報(業種、役職など)」または「すべて匿名で表示」を選択します。これで、あなたがプロフィールを閲覧したことを知らせるメールが相手に送られることはありません。

3. アクティビティ配信をオフにする

LinkedInの設定を変えない限り、あなたのプロフィールに加えた変更はすべて、あなたのコンタクトに配信されます。このため、雇用主や同僚にあなたが転職を考えているのではないかと警戒を抱かせたり、ただ単に皆を不愉快な気持ちにさせたりする可能性があります。この機能をオフにするには「アクティビティ配信のオン/オフ切り替え」をクリックし、「プロフィールの更新、送付した推薦、企業のフォローなどのアクティビティをネットワークに配信する」のチェックを外します。

4. あなたのコンタクトを公開しない

あなたが営業担当者でクライアントを取られたくないなら、または社内において不正侵入の標的となりやすい非常に高い価値を持つ社員であれば、あなたのコンタクトを見せないようにすることを検討してください。

非公開にするためには「あなたのコンタクトを公開する人」をクリックし、「公開しない」を選択します。

5. 携帯電話番号からあなたを探せるようにしたいですか?

確かに、これは少し心配のし過ぎかもしれません。けれども、プライバシーのことを真剣に考えていなければ、あなたはこの記事をここまで読んでいないでしょう。その上既に、LinkedInに携帯電話番号を提供するようアドバイスもしました。それでも、わざわざ他の人に携帯電話番号からあなたを探させるもっともな理由を思いつきますか?私にも思いつきません。この機能は完全にブロックすることはできないので、制限をかける形となります。

「携帯電話番号からあなたを特定できる人」をクリックし、「1次コンタクトのみ」を選択します。

以上です。この機会に他の設定もぜひ確認してみてください。

>>原文へのリンク

エフセキュア、トニーノ・ランボルギーニと提携し、高級スマートフォンに最高のプロテクションを提供



エフセキュアは高級ブランドのトニーノ・ランボルギーニと提携し、同ブランドのスマートフォンを利用している人々にプロテクションを提供します。ハイエンドの高級電子機器ユーザは、巧妙さを増す攻撃の標的となる可能性があり、個人データを安全に守るためにはエフセキュアのソフトウェアが提供する高品質なプロテクションが必要です。

サイバーセキュリティベンダーであるエフセキュアとスマートフォンプロバイダーのトニーノ・ランボルギーニの契約では、トニーノ・ランボルギーニのスマートフォン購入者に、エフセキュアが数種類のコンシューマ向けセキュリティ製品の年間サブスクリプションサービスを提供します。ここ数年、攻撃者はターゲットを絞ってより高度な攻撃を仕掛けるようになっており、企業の幹部クラスや特定のターゲットを狙ったスピアフィッシングやホエーリングなどの攻撃キャンペーンが増えています。こうした攻撃が非常に効果的であることは数字の上からも明らかです。スピアフィッシングメールの開封率は70%、こうした攻撃キャンペーンにおけるコンバージョンレートは50%にものぼります。*

エフセキュアのコンシューマ・セキュリティ担当エグゼクティブ・バイスプレジデントであるサム・コンティネンは次のように述べています。「個人データは攻撃者にとって重要なリソースとなりつつあります。実際、人々はセキュリティとプライバシーについて当然と考えていたことを見直す必要に迫られています。攻撃者は他のハッカーが盗んだ個人データを買い、これをソーシャルメディアから得た詳細な情報と組み合わせます。こうして攻撃者は、多くの人々が予想もしなかった巧妙な手口で、潜在的被害者をターゲットに攻撃を仕掛けます。具体的には、かなり細かい点まで偽装した個人メールやビジネスメール送りつけるのです」

エフセキュアとの契約により、トニーノ・ランボルギーニのお客様は上述のような攻撃の被害者となることを防ぐ、さまざまなツールを利用できるようになります。トニーノ・ランボルギーニのお客様に提供される製品は、F-Secure SAFEF-Secure BoosterF-Secure KeyF-Secure Freedomeです。これらのサービスが提供されたトニーノ・ランボルギーニのスマートフォン購入者は、さまざまなサイバー犯罪で個人データを効率良く収集・利用することが増えつつある脅威のランドスケープにおいても、簡単に常に保護された状態を維持することができます。

コンティネンは、トニーノ・ランボルギーニのスマートフォンユーザにエフセキュアのプロテクションを提供することは、スタイリッシュかつハイクオリティな製品に優れたセキュリティをシームレスに統合できることを高級電子機器市場に示すことになると言います。「人々はせっかく高いお金を出して高級な製品を買ったのに、扱いにくいソフトウェアが付いてきたのでは納得しません。トニーノ・ランボルギーニと協力し、彼らのお客様に入手できる最高のプロテクションを提供することにより、この問題は簡単に解決します。F-Secure SAFEやF-Secure Freedomeのような優れた設計の製品は、支払った金額に見合う特別な体験にまさにふさわしいものです。高級なスマートフォンユーザのための高級なプロテクションです」

トニーノ・ランボルギーニのスマートフォン購入者は6月17日より、エフセキュア製品を利用できるようになります。サブスクリプションコード(各ソフトウェアのPC版およびAndroid版の両方が対象となります)は当初、購入店または電子メール経由で配布しますが、最終的にはトニーノ・ランボルギーニのスマートフォン全機種にプリイントールされる予定です。

*出典:https://www.cisco.com/c/dam/en/us/products/collateral/security/email-security-appliance/targeted_attacks.pdf

詳細情報: 

Tonino Lamborghini Mobile http://lamborghinimobile.com/en/

OPMのハッキングは深刻だが「サイバー真珠湾攻撃」ではない




米国の連邦人事管理局(OPM)は、1カ月に1,000万件ものハッキングの試みを阻止していることを皆さんに知ってもらいたがっています。しかし、この数々の阻止成功を無駄にするには、1回の流出で十分です。昨年、何者かがOPMのネットワークに侵入し、その攻撃は中国から行われたことが特定されました。中国政府は関与を否定していますが、400万人の連邦政府職員には18カ月間のクレジットレポートのモニタリングサービスが提供されました。

「今回の情報流出は連邦政府の従業員だけでなく、連邦政府のセキュリティクリアランスを申請した個人にまで及ぶ可能性があると、フォローアップレポートは伝えている」と、このハッキング事件を分かりやすく要約した記事の中でブライアン・クレブスは指摘しました。連邦政府で働いたことがある職員、または連邦政府の仕事に応募した1,400万人もの人々に影響が及ぶ可能性があります。

ハッカーはどのような情報にアクセスしたのでしょうか。

エフセキュアの主席研究員であるミッコ・ヒッポネンは、この書類をツイートしました

OPM Hack, OPM data, secret data

どの連邦政府職員が違法薬物の使用を認めているかという情報には、かなり価値があるかもしれません。特に、これらの応募書類で実際正直に申告した人がいる場合です。

米国政府が、機密データを含むネットワークへの侵入を防げなかったことは、明らかに深刻な問題です。特に衝撃的なのは、OPMのシステムはあまりにも時代遅れであったため、ファイルが暗号化されていなかったというニュースです。

このハッキング事件を「サイバー真珠湾攻撃」と呼び、オバマ政権はどうして直接報復しないのかと、いら立っている人もいます。しかし、オバマ大統領を批判する人々や、CISPAのようなサイバーセキュリティ法の支持者の思いとは裏腹に、「サイバー真珠湾攻撃」という比喩は正確ではない明確な理由があります。

「真珠湾攻撃の比喩の使用は戦争に限定されるべきです」と、エフセキュアのセキュリティ・アドバイザーであるショーン・サリバンは私に言いました。「この件はスパイ行為なので、この表現を使用するのは誇張です。」

また、真珠湾攻撃 — 犠牲者を2,500人以上出し、アメリカを第二次世界大戦に引きずり込んだ日本による米国の軍事施設に対する有名な「奇襲攻撃」 — は、国家によるいわれのない攻撃を意味します。今回の攻撃が、完全にいわれのない攻撃であるか、または政府の支援を受けたものであるかは不明です。

米国政府は、ハッキングとサイバー攻撃を行っていると非難されています。スノーデン氏による告発には、「中国を含む他国の政治家、企業、個人の大規模な組織的サイバー窃盗、盗聴、監視」を行っているという証言があります。これらの証言は相当な証拠によって裏付けられており、特に攻撃元の特定がますます困難になっている今、自国のセキュリティが不十分であったことや予期される反発を考えて、米国は微妙な立場に立たされています。

少なくとも今回の攻撃は、米国政府も、ここ数年にわたってハッキングの被害を受けた多くの大企業と同じセキュリティ上の欠点を抱えていたことを示しています。そのような侵害による損害は、企業と政府にとってますます大きくなっています

それでも、事実を正しくとらえることが重要です。

真珠湾攻撃は、世界的な反発を引き起こした常軌を逸した戦争行為でした。米国政府ネットワークのセキュリティ侵害に関して言えば、おそらく、OPMのハッキングは前例のないスパイ行為です。しかし、残念ながら、ただならぬ事態を示しているのではなく、これからはこれが日常的になるという不吉な予兆を示しているように思えます。

>>原文へのリンク

新調査が明らかにしたAppleユーザに関する6つの重要な事実




エフセキュアは、使用しているデバイスが異なる場合、セキュリティおよびプライバシーのニーズがどのように変化するのかをより良く理解するために、2015年4月*にアンケート調査を実施しました。エフセキュアは、どのようなデバイスを使用しているか、そのデバイスを使用している理由、さらに、オンラインプライバシーとセキュリティに関するさまざまな側面についてどう考えているかに関し、20項目の質問を行いました。その結果、以下のような興味深い結果が得られました。

  • Apple回答者の46%が、モバイルデバイスを商取引に最大限に活用していると答えたのに対し、非Apple回答者では14%のみにとどまった。
  • Apple回答者の56%が、公共Wi-Fiに1週間に1回以上接続していると答えたのに対し、非Apple回答者では29%だった。
  • Apple回答者の44%が、仮想プライベートネットワーク(VPN)を使用したことがあるか、使用するつもりだと答えたのに対し、非Apple回答者では27%にとどまった。
  • Apple回答者の大半が、紛失したか盗まれたコンテンツを取り戻すために100ドル以上払っても良いと答えたのに対し、他のデバイスを使用しているユーザの大半は100ドル未満しか払わないと答えた。
  • Apple回答者の方が、友達は自分を「クリエイティブな人」と評価するだろうと考えている。
  • Apple回答者の方が、自分のデバイスコミュニティ(Appleデバイスを最も使用している人々)が、他のデバイスを使用している人のグループよりも安全だと感じている。

エフセキュアのセキュリティアドバイザー、ショーン・サリバンによると、この調査結果により、Appleユーザの方が、外出先でモバイルデバイスを使用しており、オンラインのリスクを進んで受け入れているものの、リスクを管理できる技術もまた進んで取り入れていることが浮かび上がっています。「興味深いことに、Appleデバイスユーザは、他のデバイスよりもAppleユーザコミュニティの方が安全だと考えています。Appleユーザが外出先でモバイルデバイスを活用し、ビジネス用途での使用場所にフレキシブルなのは、このためでしょう。VPNを使用したことがあるのはAppleユーザの方が多いところを見ると、彼らの方がオンラインプライバシーの問題と解決策の両方について高い意識を持っているようです。」

クリエイティブな人々はセキュリティに幻想を抱いていない?

ご自身の態様が「クリエイティブ」(ゴールへ達成するために新しいものを創造することを好む方)と、「効率的」(妥協があっても物事を完了させることを好む方)のどちらに分類されるか、お訊きしました。友達が自分を「クリエイティブ」な人だと考えているはずだと答えたのは、非Apple回答者よりもApple回答者の人の方が多く、本調査におけるクリエイティブな回答者の総数のうち、かなりの割合をApple回答者が占めています。自分をクリエイティブだと考えているのは、Apple回答者の方が非Apple回答者よりも多いため、クリエイティブな回答者のサブグループについて調べることで、異なるグループの人々が自分のデバイスをどのように考え、使用しているかについて、掘り下げた識見が得られました。クリエイティブな回答者について、以下のような興味深い事実が明らかになりました。

  • クリエイティブな回答者の大半が、紛失したか盗まれたコンテンツを取り戻すために100ドル以上払っても良いと答えたのに対し、効率的な回答者の大半は100ドル未満しか払わないと答えた。
  • VPNを使用したことがあるか、使用するつもりであると答えたのはクリエイティブな回答者の44%であった一方、効率的な回答者では30%にとどまった。
  • 同じデバイスを使用している他のユーザに比べてオンラインの脅威に弱いと思っているのは、クリエイティブな回答者の37%であったのに比べ、効率的な回答者では25%にとどまった。

サリバンは、全回答者の大半が自分のコミュニティは脆弱でないと考えていることには驚かなかったものの、クリエイティブな回答者の方がこの傾向に相反していることに驚きました。「これは、典型的な楽観バイアスで、よく知られている心理的な現象です。しかし、何より興味深かったのは、クリエイティブなユーザの方が、効率的な人々よりも楽観バイアスを示さなかったことです」と、述べました。「想像ですが、クリエイティブな人々は脅威をイメージする能力に長けているためかもしれません。Appleユーザがクリエイティブな傾向にあるという事情を考慮すると、Appleユーザはセキュリティにあまり幻想を抱いていないと言うことができます。」

サリバンは「Windows愛用者」であることを自ら認めていますが、iPadで定期的かつ積極的にFreedomeを使用しています。「クリーンなインターフェイスと、包括的な機能の組み合わせは、Appleユーザが重視するデザインだと思います。このため、Appleデバイスユーザにとって理想的なプライバシーとセキュリティソリューションです。」

エフセキュアのFreedome VPNは、人々のプライバシーを尊重し、通信を暗号化し、トラッキングをブロックし、悪意のあるサイトをブロックするセキュリティアプリです。また、ユーザは17の仮想ロケーションから選んでジオブロック(地域ブロック)されたウェブサイトやストリーミングサービスにアクセスできます。Freedomeは現在、iOS、OS X、Android、Windows PC、Amazon Fireデバイスに対応しています。

*出典: 本調査はToluna Analyticsによって米国で実施され、余暇にAppleデバイスを最もよく使用すると答えた1,000人の回答者と、余暇に他のデバイスを最もよく使用すると答えた1,000人の回答者からデータを収集しました。詳細と結果については、こちらでお読みいただけます。

詳細情報:
Freedome https://www.f-secure.com/ja_JP/web/home_jp/freedome

第215条の失効により、世界はより良くなったのでしょうか?



最近、米国愛国者法第215条について頻繁に大きく報じられています。議論の的となっているこの条項は、米国諜報機関が同国の通話記録の大量収集などに利用していたものです。第215条はサンセット条項であり、定期的に更新される必要がありますが、最近の期限は2015年5月31日の午前零時でした。以前は形だけの更新でしたが、今回は違います。第215条は失効し、より制限的で我々のプライバシー保護には良いとされている米国自由法がその代わりとなりました。この点は世界中で大きく報じられました。

しかし、これは実際にはどのような意味を持つのでしょうか。スノーデンが我々に気づかせてくれた世界的な監視が、終わりを迎えるのでしょうか。実際、どの程度意味のある変化なのでしょうか。これらの問いに、報道は必ずしも答えを与えてはくれません。

この問題については詳細に踏み込まず、シンプルに考えましょう。第215条は巨大な法的・技術的監視体制の中のごく一部に過ぎませんでした。旧第215条では、同法の秘密の解釈を利用し、FISA裁判所が大変広い範囲で秘密裏に令状を発行することができ、これにより企業は市民の通信に関する膨大なデータを提出させられていました。これら全ては報道禁止令下に置かれ、これについて話すことも法的なアドバイスを求めることも、誰にもできませんでした。最も良く知られている事例はおそらく米国の通話記録の大量収集でしょう。これは電話の盗聴ではなく、誰が誰にいつ電話をしたのかということを追跡するものです。米国の人々は、電話をかけたらNSAが記録していたと考えてまず間違いありません。

愛国者法の代わりに施行される自由法も多くの監視を許すものではありますが、多くの批判を受けた大規模サーベイランスの規制を目指しています。自由法の下で行われる監視は、第215条下よりも具体的である必要があります。行政機関は疑わしいものを発見できるかを確かめるために、全ての通話記録を提供するようただ通信事業者に求めることはできず、調べたい個人またはデバイスを特定しなくてはならなくなりました。通信事業者は全ての顧客に関するある種のデータを保管しておかなければなりませんが、提供するのは求められたデータのみです。事業者はいずれにせよ料金の請求のために多くのデータを保管しておかなければなりませんから、この点は問題にはなりません。

これは理論上聞こえが良いものではありますが、現実はそう楽観はできないかもしれません。まず、自由法は新しい法律で、実際にどう機能するかはまだわかりません。同法の解釈は多少なりともプライバシーに役立つものかもしれませんが、時が経てばわかるでしょう。監視に関する法律は全体が巨大で複雑なものです。第215条が失効しても、おそらくある種の監視は他の項により正当化され、続いていくでしょう。メディアが第215条による諜報が6月1日に中止になると報じている場合、これも誤解を招くものです。実際には現在行っている調査を守るため、少なくとも6カ月は続きますし、もっと長くなるかもしれません。

つまり結論としては、この小規模な改革の実際の影響は報道により我々が信じているよりもずっと小さいものなのです。監視が終わりを迎えるわけではありません。米国ベースのサービスを利用している人々のプライバシーが保証されるわけでもありません。しかし、米国の政治情勢が変化してきていることの、重要で歓迎すべき兆しではあります。セキュリティ対基本的人権についての、よりバランスの取れた見方の表れです。この情勢の変化が続くことを願うことにしましょう。

安全なネットサーフィンを。
Micke

>>原文へのリンク

エフセキュア、北欧の大手サイバーセキュリティプロバイダを買収