日本など7カ国、暗号化された通信へのバックドアをIT企業に要請
機密情報を共有する5カ国協定、いわゆる「ファイブアイズ」の参加国(米国、英国、カナダ、オーストラリア、ニュージーランド)が、日本およびインドの政府代表と連名で声明を発表した。テクノロジー企業に向けて、エンドツーエンドの暗号化された通信に法執行機関がアクセスすることを可能にする解決策の開発を要請している。 この声明は、暗号にバックドアを設けることをテクノロジー企業に同意させようとする、ファイブアイズの最新の取り組みだ。 各国の政府関係者はこれまでと同様、テクノロジー企業が製品にエンドツーエンド暗号化(E2EE)を組み込むことで犯罪捜査が困難になったと主張している。 7カ国の政府代表は、現在の主要なテクノロジープラットフォームでサポートされているE2EEの仕組みのために、法執行機関が犯罪組織を捜査できないばかりか、テクノロジープラットフォーム各社も、一般市民を守るためのサービス利用規約を守らせ
グーグルの認証アプリ「Authenticator」、コードの移行が容易に
Googleは、認証アプリ「Google Authenticator」に、同社が「最も待ち望まれていた」とする機能を追加した。Google Authenticatorをインストールした他のデバイスに2要素認証のコードを容易に移行できるようにする機能だ。 そのプロセスはシンプルだ。転送中にGoogleのサーバーにデータが送信されることはない。通信は2つのデバイス間で直接行われる。Google Authenticatorで生成されたQRコードをスキャンすればよい。 さらに、さまざまなアラートの仕組みやアプリ内ログ機能が導入されており、この転送機能がGoogle Authenticatorで利用された際にユーザーが気づくことができるようになっている。 Googleはこの機能をAndroid向けGoogle Authenticatorの最新版(5.10)で段階的に提供を開始している。
10万円給付のオンライン申請に落とし穴--「署名用電子証明書の失効」に要注意
政府が国民1人あたりに10万円を一律で給付する「特別定額給付金」のオンライン申請受付が、5月1日に開始した。私が住んでいる自治体でも5月7日から受付が始まったため、早速オンライン申請にチャレンジしてみたが、結論から言えば残念ながら最後まで手続きを完了することができなかった。そこには「署名用電子証明書の失効」という落とし穴があった。 あと一歩のところで「オンライン申請」に失敗 オンライン申請にあたり、私はマイナンバーカードと、マイナポータルに対応したスマートフォン(iPhone 11 Pro)を用意。マイナンバーカードの読み取りの際に必要になるスマートフォンアプリ「マイナポータルAP」も事前にダウンロードした。 また、手続きの際にマイナンバーカードの「署名用電子証明書」のパスワードを5回連続で間違えるとロックがかかり、解除するには役所に行く必要があることも知っていたため、手元にパスワードの控
「テレワークはITシステムを導入すれば始められる」という誤解
このコラムでは、テレワークに対する誤解や思い込みを解消することを通して、テレワークをうまく導入するためのコツをお伝えする。前回は「“テレワーク=在宅勤務”、“テレワークは難しい”という誤解」に着目し、できるところから部分的にテレワークを始めてみるための方法を紹介した。 第2回は「テレワークはITシステムを導入すれば始められる」という誤解に着目したい。昨今、テレワークをサポートするツールが数多く提供されている。チャットツールやウェブ会議システムなど場所にとらわれないコミュニケーションに利用するものから、柔軟な勤務体系に対応する勤怠管理ツール、情報漏洩対策に繋がるシンクライアントといったものまでさまざまだ。 一方で、ツールを導入したものの狙い通りに活用されず、むしろツールの導入が以下のような新たな課題を生んでいるケースも見られる。 ●チャットツールが複数サービス導入され部署間での共有がしにくい
「Chrome」改良で広告ブロッカーなど無効化の懸念--グーグルが回答
Googleのウェブブラウザ「Chrome」の改良計画を受けて、広告のブロックやプライバシーの改善、セキュリティ問題からの保護を目的とする拡張機能も無効化されてしまうのではないか、という懸念が広まっている。 同社が提案した「Manifest V3」のアプローチは、広告ブロッカーの「uBlock Origin」、プライバシーおよびパスワードマネージャの「Privowny」、JavaScriptソフトウェアブロッカーの「NoScript」、F-Secureのマルウェアブロッカーを無効化すると、それぞれの開発者が指摘している。 しかし、Googleは米国時間1月23日の声明で、これらの拡張機能がすべて動作する状態を維持しながら、Chromeを改善しようと試みていると述べた。 同社は声明の中で、「われわれは、これらの変更をした後もすべての基本的なユースケースが実行可能な状態を維持したいと考えており
米国政府機関の閉鎖、ウェブサイトのセキュリティにも悪影響--証明書の期限切れで
米国の政府機関が一部閉鎖されて米国時間1月12日で22日が経過し、連邦政府のウェブサイトのセキュリティに影響が及んでいるようだ。 英国に拠点を置くウェブセキュリティ企業Netcraftは、米国政府機関のウェブサイト数十件でセキュリティ証明書の有効期限切れを確認しており、この状況では訪問者がリスクにさらされる可能性がある。 Netcraftによれば、そういったウェブサイトは司法省から米航空宇宙局(NASA)まで多岐にわたるという。その一部は決済用ポータルで、訪問者の個人情報を危険にさらす可能性があるというが、米CNETの調べでは確認できなかった。 証明書は職員が更新しなければならないため、閉鎖が長引けば期限切れを迎えるものが増えるはずだ。有効期限は証明書ごとにまちまちで、通常なら有効期限の来たものを更新するはずの職員が一時帰休で不在ということは考えられる。その結果、「すべての米国民のセキュリ
Alphabet、DNSクエリを暗号化するアプリ「Intra」を公開--ネット検閲に対抗
Googleが設立し、Alphabet傘下の子会社として運営されているテクノロジインキュベーターのJigsawが米国時間10月3日、ISPレベルのDNS操作への対抗策として、DNSクエリを暗号化できるAndroidアプリ「Intra」をリリースした。 DNS操作は、独裁的な政権や悪質なISPがネット検閲に用いる最も一般的な手法の1つで、ニュースサイト、情報ポータル、ソーシャルメディアプラットフォーム、望ましくないソフトウェアなどへのアクセスを遮断するのに利用されている。 Intraは、独裁政権が支配する国のISPなど、国家レベルの監視能力を備えた第3者からDNSのトラフィックを隠すことで、DNSが操作されるのを防ぐ。 技術的に見ると、Intraは「DNS over HTTPS」(DoH)というまだ新しいテクノロジを実装している。この技術はまもなく、Internet Engineering
欧州議会、「リンク税」導入など含むEU著作権指令の改正案を否決
欧州議会は現地時間7月5日午前、欧州連合(EU)の著作権をめぐる規則の改正案を否決し、改正案は計画段階に差し戻されることとなった。 この著作権指令に関する投票で、改正への反対票は318、賛成票278、棄権31票となった。 改正案には、批評家らの理解が得られなかった2つの側面があった。インターネットコンテンツのアグリゲーションサービスなどに、リンクを共有するための料金をパブリッシャーに支払わせることを可能にする11条(「リンク税」として批判された)と、ユーザーによる他人の著作権侵害について、プラットフォームに責任を負わせる可能性のある13条だ。これにより、ミームやGIFの使用が制限される可能性があった。 改正案は議員らによる見直しを経て、9月に再度議論される予定だ。 欧州議会議員のJulia Reda氏(欧州海賊党)は投票後、「大成功:みんなの抵抗が実った! 欧州議会は著作権法を振り出しに戻
PCをクラッシュさせる音響攻撃「ブルーノート」--スピーカから音を流すだけで
セキュリティ企業のESETは、ハードディスク搭載PCをクラッシュさせる音響攻撃「ブルーノート」に関して注意を呼びかけた。PCのスピーカやPCの近くに置かれたスピーカからある種の音を流すだけで、PCを使用不能な状態に陥れられるという。なお、攻撃を受けるのはハードディスクなので、SSDのみを搭載しているPCはクラッシュしない。 この攻撃は、ミシガン大学と浙江大学の研究チームがデモンストレーションしたもの。音楽である音程を意味する用語“ブルーノート”と、Windowsのクラッシュ画面“ブルースクリーン”から、ブルーノート攻撃と呼ばれるようだ。 研究チームによると、音の振動でハードディスクの読み書きヘッドとプラッターがそれぞれ振動し、振幅が限界を超えるとハードディスクそのものが損傷したり、ソフトウェアが誤作動したりして、ファイルシステムが破壊されクラッシュやリブートに至るという。攻撃を実行するにあ
Facebookメッセンジャーで広まる「FacexWorm」--パスワードを盗み無断マイニング
McAfeeは、Facebookの「Messenger」経由で広まるマルウェア「FacexWorm」について、警戒するよう呼びかけた。感染してしまうと、パスワードが盗まれたり、仮想通貨(暗号通貨)の無断マイニング(採掘)に利用されたり、といった被害を受ける。 Facebook Messengerは、Facebookと連携して機能するメッセージングアプリ。ユーザーが多く、利用者は1日当たり12億人以上とのデータがある。そのため、サイバー犯罪者がフィッシング手段として悪用するようになってきたそうだ。 攻撃は、まずFacebook Messengerで著名サイトの偽サイトへ誘導するところから始まる。例えば、YouTubeに似せたウェブサイトへアクセスさせ、ビデオ再生に必要だとしてウェブブラウザ「Chrome」用の拡張機能をダウンロードさせる。この偽サイトそのものは危険な動きをせず、拡張機能がFa
FBIなど米情報機関、ファーウェイとZTEの端末を使わないよう警告
Huawei(ファーウェイ)は世界のスマートフォン市場で第3位のシェアを獲得しているが、米国ではほとんど存在感がない。米上院情報委員会に対し、情報機関の幹部が米国時間2月13日に行った報告の内容を見る限り、Huaweiが米国の消費者の信頼を得てシェアを伸ばす可能性は低そうだ。この報告は、米中央情報局(CIA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)の長官、ならびに米国家情報長官らが行ったものだ。 各情報機関のトップらはまず、米国政府の職員や国の機関がHuaweiやZTEの製品を使用することについて懸念を表明した上で、この懸念は一般市民にも及ぶとして、両社の製品を使用しないようにと警告した。 FBI長官のChristopher Wray氏は、両社の製品を使わないよう推奨する理由について、以下のように回答した。 われわれと同じ価値観を共有しない外国政府の管轄下にある企業や組織が、わ
モジラ、「Firefox」に通知なく拡張機能をインストール--非難殺到で中止
Mozillaが米国で実施した、テレビドラマ「MR. ROBOT」のハッカーが登場するオンラインゲームとのタイアップ計画は、ほぼ開始直後に逆効果になった。 「Firefox」のユーザーから、米国時間12月13日より、明確な許可の確認や機能の説明もなしに、「MY REALITY IS DIFFERENT THAN YOURS」(私の現実はあなたのものと違う)と書かれているだけの謎めいた拡張機能が同ブラウザにインストールされたと苦情が出るようになった。あるFirefoxユーザーがRedditに、「私にはそれ(拡張機能)が何か、どこから来たものかまったく分からない。怖くなって、すぐにアンインストールした」と書き込んだところ、Mozillaに非難が殺到した。 MozillaはMR. ROBOTとの提携を通じて、先週「Looking Glass」という拡張機能をリモートで米国のユーザーのマシンにイン
Wi-Fiを脅かす脆弱性「KRACK」、各社の対応状況は--MS、アップル、グーグルなど
米国時間10月16日の朝はIT管理者にとって、いつにも増して憂鬱な月曜日の朝となった。WPA2の無線セキュリティを実質的に打ち破るバグが公開されたからだ。 「KRACK」(Key Reinstallation Attackの略)と名付けられたこのバグは、WPA2(Wi-Fi Protected Access II)の仕組みにおける根本的な脆弱性となる。 WEPを改善して策定された同セキュリティプロトコルは、ルータ、携帯端末、IoT(モノのインターネット)デバイスからのあらゆる通信を保護するために使われているが、このシステムの4ウェイ・ハンドシェイクに問題が存在する。 各ベンダーの対応は以下のとおり。 Apple:「iPhone」と「iPad」を提供する同社は米CNETに対し、「iOS」「macOS」「watchOS」「tvOS」に対する修正がベータ段階にあり、数週間のうちにソフトウェアアッ
DNAに埋め込んだマルウェアがコンピュータを攻撃--米で実験に成功
科学者らは、遺伝子内でソフトウェアエクスプロイトをコード化し、コンピュータをリモートでハッキングすることに成功した。 何のために、悪意のあるDNA鎖でコンピュータをハッキングしようなどと考える者がいるのだろうか? そうしたDNA鎖を開発した研究者らによると、攻撃者はこれを利用して、DNA解析工程内のあらゆるコンピュータをハッキングするおそれがあるのだという。 この工程には、コンピュータベースの遺伝子解析および処理に用いるDNAサンプルを受け入れるあらゆる施設が含まれる。攻撃者は、コンピュータ上で遺伝子解析されることが分かっている血液、毛髪、唾液のサンプルを、悪意のあるDNAを注入して汚染することで、警察の捜査をかく乱できる。 ワシントン大学のPaul G. Allen School of Computer Science & Engineeringの研究者らは、次のように述べている。「DN
「Android」をセキュリティスキャンする「Google Play Protect」提供へ
Googleは米国時間7月19日、「Google Play Protect」の提供を開始したと見られる。Google Play Protectは「Google Play」の新機能で、「Android」搭載デバイスに損害を与えるおそれのあるアプリを探すとともに、デバイスのセキュリティについてユーザーにより詳しい情報を提示する。 Play ProtectはユーザーのAndroidデバイスを自動的にスキャンして、デバイス、データ、アプリを安全な状態に保つ。Googleの「Verify Apps」機能に代わるもので、ユーザーが気づきやすくなったほか、セキュリティスキャンに関する詳細な情報を提供する。 機械学習を利用して毎日500億本のアプリをスキャンし、疑わしいマルウェアや悪意のあるマルウェアがないか確認する。マルウェアが「Google Play Store」に入り込まないようにするセーフチェック
米ヤフー、不正アクセス被害は3200万件--偽造クッキーでログイン
米Yahooは、ハッカーによって不正にアクセスされたユーザーのアカウントが、過去2年間で3200万件に達することを明らかにした。ハッカーらは、パスワードなしで偽造クッキーを使ってログインしていたという。 米国時間3月1日、Yahooは米証券取引委員会(SEC)に提出した資料のなかで、今回のハッカーが、2014年の漏えい事件に関与したとみられる「国家の支援を受けた者」とつながりがある可能性が高いと報告した。この事件では、約5億名のユーザーの情報が盗まれていた。 「調査の結果により、われわれは第三者が不正にYahooの非公開のコードにアクセスし、特定のクッキーを偽造する方法を学習したと考えている」と、YahooはSECへの提出資料で説明している。また、アカウントのさらなる悪用を防ぐため、この偽造クッキーを無効にしたと伝えている。 Yahooは偽造クッキーの存在を2016年12月の段階で明らかに
どこにでも持ち歩ける24型ディスプレイ「SPUD」--傘をさすように広げて使う
24インチのディスプレイを持ち歩く、と聞いて信じられるだろうか。クラウドファンディングサービス「Kickstarter」に登場した「Spontaneous Pop-up Display(SPUD)」なら、それが無理なく実現可能だ。
「地元を盛り上げたい」念願かなう--Ingress浜松アノマリーを支えた2人のエージェント
Ingressの公式イベント「Obsidian(オブシディアン)」が2月27日に静岡県浜松市で開かれた。イベント後の公式発表によれば、参加者は約5000人。全国各地からエージェント(ユーザー)が詰めかけ、あらかじめ決められた区画の“ポータル”を巡り、激しい攻防を繰り広げた。 Obsidianの開催にあたり、Ingressを運営するNianticの依頼で、浜松近辺で普段活動しているエージェントの一部が運営に参加。準備や受付対応などを担い、イベントの成功を陰で支えた。 浜松市はもともと、初心者に遊び方などを教えるエージェント主体のイベント「ファーストサタデー(FS)」で注目されていた。このイベントは世界各地で定期的に開かれており、初心者の育成にどれだけ貢献したかをスコアで競うルールがある。浜松市は過去に高いスコアをたたき出しことから、エージェントの間で“異次元浜松”と呼ばれることもあるという。
マイクロソフト、サポートポリシーを更新--新しいCPUに「Windows 10」搭載を求める
UPDATE 法人ユーザーはまだ、クライアントとサーバの両方の分野において、Microsoftの「Windows」事業の防壁の中にいる。 またこれらのユーザーはこれまで、最新版よりも何年も前にリリースされたバージョンのOSを使用するという最も保守的な環境の中にいた。Microsoftは各Windowsリリースに対して10年間という寛大なサポート期間を設けており、このサポートライフサイクルによってもこの慣行が後押しされてきた。 米国時間1月15日、このポリシーに小さいながら大きな意味を持つ変更が加えられた。「Windows 10」よりも前のバージョンのWindowsのサポートに関する新しいハードウェア要件が追加されたのだ。また同社は、アップデートとサポートに関して特別の配慮を受けることになる推奨システムのリストも公表した。 「Windows 7」(現在は延長サポート段階)は2020年1月14
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「iPad」版「iOS 11」で使える複数アプリの起動/終了ワザ
