Agile Cat — in the cloud

Dropbox の パスワード 700万件 が流出: いまこそ、二段階認証を考えるべきとき!

Posted in .Selected, Security, Storage by Agile Cat on October 15, 2014

You Should Change Your Dropbox Password Right Now — Here’s How To Do It
http://wp.me/pwo1E-7X9
Lisa Eadicicco – Oct. 14, 2014, 11:15 AM
http://www.businessinsider.com/change-dropbox-password-set-up-two-factor-authentication-2014-10

_ Business Insider

On Monday night, news broke that hackers had reportedly obtained nearly 7 million Dropbox usernames and passwords. Dropbox says its service wasn’t hacked, but that the usernames and passwords had been stolen from various third-party services.

月曜日(10/13)の夜に、Dropbox における約 700万の User/Password のセットを、ハッカーたちが取得したというニュースが流れた。Dropbox は、サービス自体はハッキングされていなかったと述べているが、それらの User/Password のセットは、各種のサードパーティ・サービスから、すでに盗み出されているようだ。

Kevin Smith
Business Insider

There are a ton of apps and services that integrate with Dropbox, making it nearly impossible to track down which ones have been compromised.

Dropbox には、膨大な量のアプリとサービスが統合されているため、どこに脆弱性が潜んでいるのかを特定することは、ほとんど不可能な状態である。

To play it safe, you should probably change your Dropbox password and enable two-step authentication if you haven’t already done so. The process takes less than five minutes, and is well worth it.

あなたの安全を確保するために、Dropbox のパスワードを変更することを強く推奨する。 そして、まだ 二段階認証を用いていないなら、それも同時に行うべきだろう。 そのプロセスは、わずか 5分で完了し、とても意味のある結果をもたらす。

Two-step authentication is a method in which an app or service requests a separate means of authentication besides your password to log into your account. In most cases, this includes sending a text message with a code to your smartphone.

二段階認証とは、あなたの Dropbox アカウントに、アプリやサービスを介してログインする際に、別の認証手段を要求するという方式のことである。ほとんどの場合、あなたのスマホ(あなたの携帯番号)に、認証コードを含んだテキスト・メッセージが送信されることで、認証プロセスが完了する。

Learn how to change your Dropbox password and enable two-step verification

ーーーーー

追記:2014年10月15日 5:30PM
TechCrunch から 「Dropbox、われわれはハックされていない。漏洩パスワードは他サービスからの使い回しと発表」という記事がポストされました。「DropboxのAPIを利用しているサービスから漏洩したわけではなく」とのことですが、そう言い切れる理由を、もう少し明確に説明してほしいですね。 いずれにしても、何はともあれです :)

ーーーーー

この記事を読む限り、ハッカーたちは Dropbox 本体ではなく、そこに接続されているアプリ/サービスに侵入することで、Dropbox にログインする際の User/Password のセットを盗みだした、ということなのでしょう。 ストレージやスケジュールのような、すでにユーザー・データをストアしているサービスに、サードパーティのアプリ/サービスからアクセスする場合、大元のサービス(ここでは Dropbox)の User/Password を設定する必要が生じます。 そして、それらの User/Password は、サードパーティにストアされるわけですが、今回の場合は、いくつかのサードパーティがハックされてしまった、、、ということのようです。

こうした、サービス間の連携が可能だからこそ、クラウドは便利なのですが、たとえば Dropbox の User/Password を預けているサードパーティのセキュリティが、強固なのか脆弱なのかを見分けることは、ほとんど不可能という状況です。 したがって、ユーザーとして取るべき対策は、サードパーティ・サービスをむやみに増やさず(必要なものだけに絞り込む)、Dropbox のようなサービスには二段階認証を用いる、ということなのでしょう。二段階認証さえ行なっておけば、こうした騒ぎが起こる度に、パスワードを書き換えるという面倒もなくなるはずです。

Agile_Cat の場合は、Google の二段階認証を使っています。 そして、それを、Gmail だけではなく、WordPress や Evernote などに用いています。 設定の方式は、Ajaxtower のガイドが親切なので、お勧めです。 また、Dropbox での二段階認証については、ここに日本語ガイドがあります。この二段階認証を設定すると、右のイメージ(クリックで拡大)のように、それぞれのアカウントが要求する、30秒間のみ有効な 6桁のワンタイム・パスワードが、携帯番号に対して発行されます(アカウント名は伏せています)。いつものように、User/Password を入力した後に、スマホに送られてくるワンタイム・パスワードを見ながら、その度に入力することになるので、現時点では最も強固なロックがかけられるはずです。

なお、Dropbox のページでは、この Google Authenticator (Android / iPhone / BlackBerry)のほかにも、Duo Mobile(Android / iPhone)や、Amazon AWS MFA (Android)や、Authenticator (Windows Phone 7)などが推奨されています。

ーーーーー

<関連>

iCloud ハッカーたちが悪用した、シンプルな 4-Steps 侵入プロセスとは?
より優れたメールの暗号化を、大手プロバイダーが提供し始めているが・・・
Google 調査: メール・エクスチェンジの約 50% が、依然として暗号化されていない
IoT の調査: 依然として見えてこない、セキュリティとプライバシーの方向性

Security の調査: より優れたメールの暗号化を、大手プロバイダーが提供し始めているが・・・

Posted in On Monday, Security by Agile Cat on September 8, 2014

Security: Better Email Encryption to be available by Large Email Providers
http://wp.me/pwo1E-7Pn

By Dick Weisinger – September 4th, 2014
http://formtek.com/blog/security-better-email-encryption-to-be-available-by-large-email-providers/

_ formtek

US tech giants are under pressure to incorporate more secure features into their products.  Email, in particular, is one technology that is closely scrutinized, particularly after revelations of snoopings by the NSA.

US のテック・ジャイアントたちは、それぞれのプロダクトに、よりセキュアな機能を組み込むべきというプレッシャーに晒されている。とりわけ、電子メールは、NSA による盗み見が発覚した後、さらに詳細まで精査されるべき、テクノロジーの1つとなってしまった。

Google, Microsoft and most recently Yahoo have announced plans to provide options for sending encrypted emails.  Smaller email providers like ProtonMail and LavaBit (used by Snowden) have are already offering encryption.  The tools being developed by Google and now Yahoo rely on technology called PGP.  Microsoft has adopted something called Transport Layer Security (TLS), although the PGP option offers more security

GoogleMicrosoft が、そして最近になって Yahoo が、暗号化された電子メールを送信するための、オプションを提供するという計画を発表している。また、小規模な電子メール・プロバイダである ProtonMail LavaBit (used by Snowden) などは、以前から暗号化を提供している。それらのツールは Google により開発され、いまは Yahoo も開発しているが、いずれも PGP と呼ばれるテクノロジーに依存している。PGP オプションは、より充実したセキュリティを提供するが、Microsoft は Transport Layer Security (TLS) と呼ばれるものを採用している。

As for PGP, until now it has demonstrated a high level of security, but it has also been clumsy and time-consuming to use.  PGP requires that users, rather than tech companies, store encryption keys on their laptop and smartphone devices.  Those extra steps needed by users though have made it too hard to use for most people

これまで、高度なレベルでのセキュリティを実証している PGP ではあるが、それは使い易いものとはいえず、また、使うには時間も消費してしまう。PGP はハイテク企業側ではなく、ユーザー側に対する要求が大きいのだ。 つまり、それぞれのユーザーには、自身のラップトップやスマートフォンに、暗号化キーをストアする必要が生じる。そして、このユーザーが必要とする追加のステップだが、大半の人々に使ってもらうには、あまりにも難しいと考えられている。

Christopher Soghoian, a security and privacy researcher at the American Civil Liberties Union, commented that “how do you get children to eat their spinach?  PGP is even less tasty than spinach.”

American Civil Liberties Union の Security and Privacy Researcher である Christopher Soghoian は、「どうやって、子どもたちにホウレン草を食べさせるのかという問題に似ている。さらに言えば、PGP は ホウレン草よりも不味いのだ」とコメントしている

Jeremy Gillula, staff technologist at the Electronic Frontier Foundation, said that “for Internet users, this is a huge dea… Before, the NSA was able to easily gather up tons and tons of email. [But with encryption], the NSA can’t read and analyze everyone’s emails without discernment.”

Electronic Frontier Foundation の Staff Technologist である Jeremy Gillula は、「 インターネット・ユーザーにとって、それは、大がかりな DEA(Data Encryption Algorithm?)となる。以前の NSA は、膨大な電子メールを、容易に収集することが可能であった。(しかし暗号化が実現されると)、何らかの洞察力を持たない限り、NSA は人々の電子メールを読解/分析できなくなる」と述べている。

One worry is that the NSA (and possibly others) are already able to crack PGP encryption, although PGP has never known to be hacked.  But even if they can, cracking PGP messages would likely require massive amounts of computing power, so that it wouldn’t be feasible, at least now, to decrypt large numbers of emails, and if it is done, it would need to be done more selectively.

ひとつの懸念は、すでに NSA(もしくは他者が)が PGP 暗号の解読に成功しているという可能性であるが、いまのところ、PGP がハッキングされたという話は聞いたことがない。そして、もし、それが可能だとしても、PGP メッセージのクラッキングには、膨大なコンピューティング・パワーが必要になるので、いまのテクノロジーでは、実質的に対応できない話となるだろう。つまり、電子メールを復号化するにしても、その処理に入る前に、復号化するものを選ぶという必要性が生じてしまう。

Bruce Schneier, a well-known cryptographer, however warns that “these big companies [Google, Microsoft, Yahoo] don’t want to encrypt your stuff because they spy on you, too… Hopefully, the NSA debate is creating incentives for people to build more encryption.”

しかし、暗号研究家として著名な Bruce Schneier は、「 Google/Microsoft/Yahoo といった大手は、ユーザーのために暗号をかけたりしないだろう。 それをすれば、今度は、彼らがスパイの疑いをかけられてしまう。 願わくば、この NSA に関連する議論を契機として、人々に暗号化の重要性を理解してもらいたい」と警告している。

ーーーーー

簡単に使いたいなら、セキュリティとプライバシーが疎かになるし、それらを強化すれば、使い勝手が悪くなる。 まぁ、一番効果的なのは、他者に解読されて不都合なものは、メールなどでは送らないという考え方ですが、ビジネスになると、そうも言っていられません。 とは言え、いまの世の中、通信手段がメールだけに限定されているわけでもありません。 なるべく、情報をカタマリで送受信せず、ソーシャルやメッセンジャーなども活用しながら、断片化された情報をやりとりすれば、ずいぶんとリスクが減るのではないかと思いますが、どうなんでしょうね?

ーーーーー

<関連>

Government の調査: 米政府がクラウドを活用すれば、年間で約2兆円が節約できる
Public Cloud の調査: このマーケットは、年率 23% で伸び続ける
Software Licensing の調査: SaaS により、海賊版という問題は根絶できる
Cloud の調査: クラウドだからといって、プロジェクトの失敗が減るわけではない
Hybrid の調査: 企業データを分析すると、20-60-20 の 仕分けシナリオが見えてくる

Google による調査: メール・エクスチェンジの約 50% が、依然として暗号化されていない

Posted in Google, Privacy, Security by Agile Cat on August 27, 2014

Google Data Shows That Around 50% Of Email Exchanges Aren’t Encrypted
http://wp.me/pwo1E-7MT

Karyne Levy – Jun. 3, 2014
http://www.businessinsider.com/encrypted-gmail-data-2014-6

_ Business Insider

Google announced today that it has added a "Safer Email" section to its Transparency report. This section will help keep track of the percentage of incoming and outgoing email that’s encrypted — or not encrypted.

今日(6/3)、Google は、その Transparency レポートに、"Safer Email” というセクションを追加したとアナウンスしている。このセクションは、(Gmail における)送受信メールの暗号/平文の割合に関する、トラッキングを支援していくことになる。

Encryption is a common process of encoding messages so that they can’t be read by anyone but you, or whomever you decide to share it with.

暗号化とは、メールの送信者と、指定された受信者を除いて、誰からも盗み読まれないようにするために、メッセージを符号化する、一般的なプロセスのことである。

In the past 30 days, for example, 65% of all outgoing messages were encrypted; 50% of incoming messages from other services to Gmail were encrypted.

たとえば、この 30日間においては、Gmail から送信されたメッセージの 65% が暗号化されており、また、他サービスから Gmail が受信したメッセージの 50% が暗号化されていた。

The key to email encryption is that both sides of the email exchange need to support it. Just because Google does, doesn’t mean your email is automatically safe.

メールを暗号化するためのカギは、送信と受信を処理する双方のメール・エクスチェンジにより、サポートされる必要がある。 まさにGoogle が証明しているように、あなたのメールが自動的に安全なるという話ではない。

"Many providers have turned on encryption, and others have said they’re going to, which is great news," wrote Gmail Delivery Team tech lead Brandon Long in a blog post announcing the update to the report.

「数多くのプロバイダーが暗号化をオンにしており、また、これから取り組むというケースも報告されている。 それは、素晴らしいニュースだ」と、Gmail Delivery Team の Tech Lead である Brandon Long が、このレポートに関するアップデート・ポストで述べている

The report also shows the top domains that are sending and receiving email to and from Gmail, and their respective encryption rates. If you’re a Yahoo email user, rest assured that fewer than 1 in 100 emails a Yahoo account sends to Gmail is unencrypted. The same can’t be said for Comcast.net, unfortunately.

そして、このレポートは、Gmail との間で送受信するトップ・ドメインを明らかにし、それぞれにおけるメールの暗号化比率も開示している。あなたが Yahoo Mail のユーザーなら、そのアカウントから Gmail に送信されるメールのうち、平文で届くのは 1/100 にも満たないので安心して良いだろう。しかし、残念なことに、Comcast.net に対しては、同じことが言えないのだ。

This news coincides with Google’s effort to make encryption easier for people to implement. The company just released the code for a new tool that encrypts your emails until your intended recipient decrypts the message in his or her browser. The new Chrome extension, called End-To-End, is currently in testing. By releasing the code, developers can offer Google feedback.

この Google の取り組みと平行して、人々による暗号化の実装を容易にしていくための試みが、伝えられている。Google がリリースした、新しいツールのコードを使えば、あなたの電子メールを暗号化することが可能になり、受信者が自分のブラウザでメッセージを解凍するまで、カギがかかったままとなる。この End-To-End と呼ばれる新しい Chrome Extension が、いまテストの最中にある。つまり、そのコードがリリースされたことで、Google はデベロッパーたちからの、フィードバックを受け取ることができるのだ。

SEE ALSO:  Google is making it easier to keep your email messages private

ーーーーー

この 3月に、「Google が NSA に対抗措置:ガチガチの HTTPS 化を Gmail に施すとアナウンス!」という抄訳をポストしましたが、この記事を読むと、相手があってのことだけに、Gmail だけが頑張っても、どうしようもないケースもあるのだと理解できます。  文中では、Yahoo と Comcast の違いが、1つの事例として紹介されていますが、日本でも ISP のメールなどで、暗号化への取り組みが遅れているのかと想像してしまいます。 NSA の件がきっかけとなり、メールの暗号化が進むとよいですね!

ーーーーー

<関連>

Gmail の Unsubscribing 機能を活用し、不要なメールの配信を停止しよう
Gmail for Android のダウンロード数が、ついに 10億に達した!
Gmail for iPhone が、かなり高速化されたようだ : さっそく DL してみよう!
Gmail の新機能を、1分半の Youtube で簡単にチェック!
Wikileaks ボランティアの Gmail データが、Google から 米政府に開示された

木曜日の夕方に生じた Facebook のダウンは、中国からの DDoS 攻撃だったのか?

Posted in Facebook, Research, Security by Agile Cat on June 21, 2014

Facebook outage may have been hacker attack
http://wp.me/pwo1E-7AQ

ninemsn staff – 9:42am June 20, 2014
http://news.ninemsn.com.au/technology/2014/06/20/09/42/facebook-outage-may-have-been-hacker-attack

This visualisation shows the moment Facebook was temporarily shut down due to being the target of a ‘denial-of-service’ attack from China.

このビジュアライゼーションは、China からの DDoS 攻撃となった Facebook が、一時的にシャットダウンされた様子をを示している。

_  space

_  space

Facebook’s website and app were both unavailable for 31 minutes on Thursday evening from approximately 6:00pm AEST, making it the site’s longest outage in four years, according to the Guardian.

Facebook の Web サイトおよびアプリは、木曜日の夕方から(Australia east standard time で 6/19 の 18時から)31分間ほど使用できなくなっていた。Guardian によると、最近の 4年間で、このサイトが、これほど長時間にわたって停止したことはない。

The social network has not yet revealed what led to the downtime, prompting wild theories about its cause – including speculation that it may have been hit by a distributed denial-of-service (DDoS) attack.

Facebook は、このダウンタイムの原因について、また明らかにしていない。つまり、DDoS 攻撃に見舞われた可能性も含めて、あらゆる原因が考えられる。

DDoS attacks, which crash websites by bombarding them with so much artificial traffic that it overloads their servers, are regularly used to bring down major websites.

DDoS 攻撃とは、人工的に作られたトラフィックでサーバーに過大な負荷を生じさせ、対象となる Web サイトをクラッシュさせるものであり、大規模かつ著名な Web サイトをダウンさせるために悪用される手法のことである。

The "attack map" created by cyber security company Norse reportedly showed a spike in activity during the Facebook outage which could indicate a DDoS attack on the site originating from China.

この Attack Map は、サイバー・セキュリティ会社である Norse が作成したものであり、China からの DDoS 攻撃が、Facebook を停止に追い込んだ、ピーク時の状況を示すとされている。

"Earlier this morning, we experienced an issue that prevented people from posting to Facebook for a brief period of time. We resolved the issue quickly, and we are now back to 100 percent," Facebook said in a statement shortly after the outage. "We’re sorry for any inconvenience this may have caused."

「 私たちは、この今朝(米時間で)の問題を確認している。それにより、短時間ではあるが、ユーザーからの Facebook へのポストが妨げられている。ただし、この問題は直ちに解決され、いまは 100% の状態で稼働している。 この問題により迷惑をかけ、申し訳なく思う」と、この事件の直後に Facebook はステートメントを発している。

Facebook’s last major outage came in 2010, when a software error made the site unavailable for two-and-a-half hours.

この数年における Facebook のダウンでは、ソフトウェアのエラーにより 約 2.5時間の停止が生じた、2010年の事故が最大であった。

Author: Sam Downing. Approving editor: Simon Black.

ーーーーー

先日の Evernote に続き、今度は Facebook が攻撃されたようですね。 この DDoS 攻撃は、日本時間だと 6/19 午後 5時ころになりますが、Agile_Cat は Facebook にアクセスしていなかったので、ダウンしていることに気づきませんでした。 そして、Evernote のときのように、正常に戻るまでの時間が長引かなかったことが、不幸中の幸いだと思います。 この Norse というサイトですが、DDoS 攻撃の状況をリアルタイムに示すページも提供されています。 それを見ると、小さな規模の攻撃が常に生じている、インターネットの世界が見えてきます。

ーーーーー

<関連>

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!
Apple が 明らかにした、A7 Processor の セキュリティ機能とは?
PayPal の決済アプリが、Galaxy S5 の指紋リーダーと連携する!

IoT の調査: 依然として見えてこない、セキュリティとプライバシーの方向性

Posted in IoT, On Monday, Privacy, Security by Agile Cat on June 16, 2014

Internet of Things (IoT): Balancing Security and Privacy with the Technology Benefits
http://wp.me/pwo1E-7A8

By Dick Weisinger – June 10th, 2014
http://formtek.com/blog/internet-of-things-iot-balancing-security-and-privacy-with-the-technology-benefits/

_ formtek

By 2020, the total world of interconnected devices, the Internet of Things, will reach 212 billion, according to IDC.  This year alone, 1.7 billion PCs, tablets and smartphones are expected to be shipped.  This growing base of interconnected devices causes many to worry about safety, security, privacy and vulnerability issues.

2020年までに、この世界における相互接続されたデバイスの合計は、つまり Internet of Things の数は、212 Billion に達するだろうと、IDC は言っている。なんせ、今年だけで、PC/Tablet/Smartphone が出荷数は、1.7 Billion になると予想されているのだ。そして、これらの相互接続されたデバイスの成長ベースに応じて、安全性/セキュリティ/プライバシー/脆弱性の問題が発生すると、数多くの人々が心配している。

 Paul Roberts, founder of IT security news site Security Ledger, reported by  Chris Gonsalves of CRN, said that ”I really believe that the combination of technologies that we refer to as the IoT is going to be transformative in ways that are profound…  I see the net effect of this next phase of the internet as a leap forward, rather than incremental change. But I also think that IoT will create significant challenges in areas like privacy and security.”

CRN の Chris Gonsalves のレポートによると、「 私たちが IoT と呼ぶテクノロジーの組み合わせは、深層からの変革になると、本気で考えている。そして、その実質的な効果は、インターネットにおける次のフェーズを飛躍的に推し進めるものとなり、また、漸進的な変化と異なるものになると捉えている。しかし、IoT がもたらすものには、プライバシーやセキュリティといった分野における、大きな課題も含まれると思っている」と、IT セキュリティ・ニュース・サイトである Security Ledger の設立者 Paul Roberts は述べている。

Earl Perkins, Gartner analyst on IoT security, said that “we are at the early stages of a major inflection point in security…  Every time we have a major infection point, we seem to make the same mistakes. We allow it to get away from us and end up playing catch up for the next five to 10 years.  Just like every new generation of technology, we’ve got to be sanguine about how to approach it.”

Gartner の IT Security アナリストである Earl Perkins は、「 私たちは、セキュリティが変化する、大きな節目の初期段階にある。これまで、このように大きな影響が生じるポイントを通過するごとに、私たちは同じ間違いを繰り返してきたと思える。私たちの手元からセキュリティが離れて行くことを許容し、5年〜10年後に取り戻すという形を繰り返してきた。まさに、新しい世代のテクノロジーという観点で、それにアプローチする方法について、楽観的であり続けている」と述べている

Vint Cerf, vice president and chief Internet evangelist for Google, said that smart interconnected devices will increasingly “improve our daily lives. [But] the risk is that inimical forces may gain control and create serious problems.”

Google の VP and Chief Internet Evangelist である Vint Cerf は、このスマート・インターコネクト・デバイスの成長について、「 それは、私たちの日常を進化させるものになる。しかし、有害と思われるパワーが、深刻な問題を生み出し、それを増幅していくという、リスクが残される」と述べている

Joshua Corman, Sonatype of CTO, said that  ”our dependence on these systems [interconnected devices] is growing faster than our ability to secure them.  That’s how I know we’re not getting better.  As we bring more of this software and connectivity into our homes, we’re inviting the devil into our homes.  The very things you use to keep bad guys out of your house can be converted to let them in.”

Sonatype の CTO である Joshua Corman は、「 これらのシステムへの、つまり、相互接続されたデバイスへの依存性は、それらを安全に保つという意味で、私たちの能力を上回るスピードで成長している。それが示すのは、より良い方式を得るための術を、私たちが手にしていないという現実である。このようなソフトウェアやコネクティビティを家庭に持ち込むことは、悪魔を招き入れることと同じである。それは、害悪をなすものを家庭から遠ざけるという考え方を、取り入れるという考え方に、切り替えることに他ならない 」と述べている。

ーーーーー

この、Android の Location Service は、とても便利なのですが、つねに自分の居場所を配信し続けるという側面も持っています。ON にしておけば、自分の居場所を特定できるので、Maps などを使う意味が増してくるのですが、「ほんとうに、それで良いの」という疑問が付きまとっていることも確かです。 そんなわけで、もっとセンシティブになろうと心に決めて、普段は OFF にしているのですが、なにかのときに ON にして、そのまま切り忘れているというケースが多々あります。 だいたいは、あまりにも便利になっている自分のスマホに、「あれ?」と思って気づくわけですが、こんな重要なモードの選択が、奥の方に有るのも問題なので、先ほどですが GPS のトグル・ウィジェットをインストールしたところです。 正直な話、スマホひとつを取っても、こんな状況なのに、IP を背負った家電が大量に家庭の中に入り込んできたら、いったい、どうなるのだろうと心配になってしまいます。文中にもあるように、私たちの日常は、IoT により大きく変化するはずです。 しかし、大きなリスクを抱えていることも確かなので、くれぐれも慎重に進めて欲しいと思いますね。

ーーーーー

<関連>

Digital Universe の調査: データの生成は、人間からマシンへ、そして先進国から途上国へ
Data Center の調査: 未来のデータセンターは、小型で手元に置かれるものになる
IoT の調査:ベンダーごとの呼び方があるが、やはり IoT は IoT だ!
Cloud Computing の調査:クラウドはオンプレミスを置き換えるものへとシフトしている
Open Source の調査:ユーザーによる主導性の確立が、人々と組織を惹きつける

昨日に Evernote を襲った DDoS 攻撃も、400 Gbps 規模だったのか?

Posted in Research, Security, SOHO with Cloud by Agile Cat on June 12, 2014

Evernote Pounded By Aggressive Cyber Attack
http://wp.me/pwo1E-7zz
Leo King - 6/11/2014
http://www.forbes.com/sites/leoking/2014/06/11/evernote-pounded-by-aggressive-cyber-attack/

_ Forbes

Evernote, the note taking service with over 100 million users, has been pounded by an aggressive distributed denial of service cyber attack that stopped people from accessing its service and floored its operations.

Evernote は、1億人を超える人々が利用するノート・サービスであるが、大規模な DDoS (Distributed Denial of Service)攻撃の集中砲火を浴び、ユーザーたちからのサービスへのアクセスが不能となり、その業務も停滞した。

DDoS attacks – the increasingly dominant form of cyber threat – involve cyber criminals attempting to disable a business’ functionality, by programming or hijacking thousands of PCs to send an overwhelming amount of data to a company’s systems. The attackers often pursue an agenda or demand enormous sums of money, by crippling a business’ ability to operate.

DDoS 攻撃とは、このところ勢力を増しているサイバー・アタックの形式のことである。 具体的に言うと、プログラミングやハイジャックにより 数千台の PC を乗っ取り、ターゲットとする企業のシステムに、膨大なデータを送信することで、活動を停止させてしまうサイバー犯罪となる。そして、攻撃者たちは、企業の活動を壊滅させると脅しながら、なんらかの要求や、身代金を突きつけるのが常である。

Sixty per cent of companies were hit with a DDoS attack last year, a 71 per cent increase over 12 months, according to research by real time analytics business Neustar. Nearly all of those hit were attacked multiple times. The size of DDoS attacks are also on the up, with security firm Arbor Networks reporting sizes reaching 400 Gbps – enough to flatten many networks.

リアルタイム分析を事業とする Neustar の調査によると、昨年は企業の 60% が DDoS 攻撃に見舞われ、また、この 12ヶ月間の間に、その頻度は 71% も増大している。それらの攻撃は、ほとんどの場合、何度も繰り返される。最近の DDoS 攻撃は大規模化しており、セキュリティ事業を営む  Arbor Networks のレポートによると、400 Gbps にも達するという。 つまり、かなりの規模のネットワークであっても、簡単に機能不全に陥ってしまう。

The Evernote attack locked out many users, and stopped others who logged in from being able to synchronize their notes, reminders and web clippings, from one device to another. The reason for the attack is not known, and the problem is  the latest in a string of security questions Evernote has faced. [Now read: Evernote's Cybersecurity Collapse And 3 Business Steps You Must Take Now ]

この、Evernote への攻撃により、数多くのユーザーがロックアウトされ、また、ログインしていたユーザーも、ノート/リマインダ/Web クリッピングなどを、デバイス間で同期することができなくなってしまった。攻撃の理由は不明であるが、Evernote が直面するセキュリティ問題における、最新の事象であることは確かだ。[Now read: Evernote's Cybersecurity Collapse And 3 Business Steps You Must Take Now ]

Evernote is depended on by consumers and business people, using mobiles, tablets and PCs to set themselves reminders and save useful information or web clippings. For the seemingly lucky users able to log in yesterday, the attack still disabled one of the most essential functionalities: the ability to synchronize information between devices, so the user can keep organized and up to date.

Evernote は、普通のコンシューマやビジネスマンが頼りにしている環境である。彼らは、スマホ/タブレット/PC などを用いて、この Evernote 上でリマインダーを設定し、有益な情報や Web クリップなどを保存しているのだ。 昨日にログインできたユーザーは、ラッキーなのかもしれないが、最も重要な機能が、この攻撃により無効にされていた。 つまり、デバイス間で情報を同期させ、ユーザーのグループや組織を、最新の状態に保つという能力が失われていたのだ。

Evernote’s Twitter account tells users of the problems

The cyber attack began at 14.25 PST yesterday, and continues to cause problems. Evernote spokesperson Ronda Scott told the BBC that the company would continue “to mitigate the effects”.

このサイバー攻撃は、昨日(6/10)の 14.25 PST に始まり、なかなか収束しなかった。Evernote のスポークスマンである Ronda Scott は、「 被害を緩和するために、継続して対処している」と、 BBC に対して語っていた。

Evernote’s service is largely back up and running, though on its Twitter  account it notes that “there may be a hiccup or two” throughout today while work continues to get systems up and running.

Evernote のサービスは、適切にバックアップを取りながら機能している。そして、同社は Twitter アカウントを通じて、「 システムの継続的な運用を試みるが、二回ほど厳しい状況が生じるかもしれない」と、注意を呼びかけていた。

The cyber attack is the latest in a string of security problems for Evernote. Last year, hackers accessed the company’s database of usernames, e-mail addresses and passwords, and in January it said it would act to improve reliability and security.

このアタックは、Evernote が直面するセキュリティ問題における、最新の事象である。 しかし、昨年にもハッカーたちは、usernames/e-mail addresses/passwords の入ったデータベースにアクセスしている。そして、この 1月には、信頼性と安全性を改善すべきと発言していた。

ーーーーー

Agile_Cat の仕事は、この Evernote を中心に回っています。 昨日は Interop だったので、気付かなかった人も多かったでしょうが、そういえば朝から、なんとなく同期が重かったのです。 そして、午後 3時ころには、その同期も止まってしまうという状況に陥りました。 そこまできて、これは異変だと気づいたわけですが、DDoS 攻撃が起こっていると知ったのは、Evernote のフォーラムを見たときでした。 これまでにも、短時間の同期停止は何度もありましたが、今回のような長時間におよぶサービス停止というのは初めてのことです。 ほんと、DDoS は怖いです。

ーーーーー

<関連>

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!
Apple が 明らかにした、A7 Processor の セキュリティ機能とは?
PayPal の決済アプリが、Galaxy S5 の指紋リーダーと連携する!

PayPal の決済アプリが、Galaxy S5 の指紋リーダーと連携する:時代はバイオメトリクスだ!

Posted in .Selected, Mobile, Samsung, Security by Agile Cat on April 30, 2014

PayPal releases mobile payment app for the Samsung Galaxy S5 fingerprint reader
http://wp.me/pwo1E-7s1

By
Kevin C. Tofel – April 11, 2014
http://gigaom.com/2014/04/11/paypal-releases-mobile-payment-app-for-the-samsung-galaxy-s5-fingerprint-reader/

_ Giga Om

Summary: Now that Samsung’s Galaxy S5 is available, it’s time to make use of the integrated fingerprint scanner. PayPal is doing just that, releasing its app made specifically for biometric authentication.

Samsung Galaxy S5 が利用できるようになったが、そこに統合された指紋スキャナを利用も始まることになる。そして PayPal が、このバイオ認証のために開発された、新たなアプリをリリースする。

ーーーーー

With the Samsung Galaxy S5 now available, PayPal is making good on its promise to use the handset’s fingerprint reader. The company released mobile apps specifically for the Galaxy S5 and Samsung’s latest wearables on Friday. Using the phone app, you can log in to your PayPal account with a fingerprint scan instead of a typed password and make payments online or at participating retail locations that access PayPal payments.

ついに Samsung Galaxy S5 が登場したことで、このハンドセットで指紋リーダーをサポートするという約束を、PayPal は守れるようになった。この金曜日(4/11)に同社は、Galaxy S5 および、Samsung の最新ウェアラブル・デバイスのための、特別なモバイル・アプリをリリースした。このフォン・アプリを使用することで、これまでのパス・ワード入力に換えて、指紋スキャンにより PayPal アカウントにログインし、この PayPal ペイメントでアクセスするリテーラーで支払いを行うことが可能となる。

PayPal actually announced the software in conjunction with the Galaxy S5 introduction at February’s Mobile World Congress. Until now, however, no devices were available to use the app. Here’s a short demonstration of how the PayPal app works:

実際に PayPal がアナウンスしたのは、この 2月の Mobile World Congress で紹介された、Galaxy S5 と組み合わせるソフトウェアである。つまり、これまでの間、このアプリを使用するデバイスが無かったのだ。 そこで、PayPal のアプリが機能する方式を、この Youtube デモで示す。

The idea of using a fingerprint for account authentication over a typed password is rather timely, given how many sites are now affected by the massive HeartBleed security flaw may have exposed passwords on two-thirds of the world’s servers.

パアカウント認証において、スワード入力に換えて指紋を使用するというアイデアは、とてもタイムリーなものである。世界中のサーバーの、2/3 のパスワードを開示されてしまうとも言われる、大規模な HeartBleed セキュリティ欠陥の影響を受けて、とても多くのサイトが震え上がっているのだ。

Clearly, neither PayPal nor Samsung knew this would happen when they announced the mobile payment feature in February. The situation could bring awareness to Samsung’s newest phone since it uses biometrics instead of a password. Even if that fingerprint data is stored on PayPal’s servers, they aren’t affected by HeartBleed according to LastPass.

PayPal も Samsung も、金曜日の発表とタイミングを合わせるかのように、このような問題が起こるとは知らなかったはずだ。そして、このペイメント方式では、パスワードに換えてバイオ・メトリクスを使用しているため、Samsung の最新スマホが注目されるという状況になっている。たとえ、指紋データが PayPal のサーバーにストアされていても、LastPass によると、HeartBleed の影響を受けることはない

Samsung’s newest handset isn’t the only device that can use a new PayPal new app, however. PayPal is available on the Samsung Gear 2 smartwatch and Gear Fit wearable so you can make payments, redeem offers and receive payment notifications on your wrist.

しかし、Samsung の最新スマホだけが、この PayPal の最新アプリを使用できる、唯一のデバイスというわけではない。PayPal アプリは、Samsung の Gear 2 スマート・ウォッチおよび、Gear Fit ウェアラブルでも利用できるのだ。 したがって、手首に装着されたデバイスから、ペイメントを実施し、支払い通知を受け取ることも可能となる。

Related research

Noteworthy mobile developments from the third quarter 2013 October 2013
Consumer privacy in the mobile advertising era August 2012
Bitcoin: why digital currency is the future financial system March 2014

ーーーーー

TAG index先週にポストした、「 Apple が 明らかにした、A7 Processor の セキュリティ機能とは? 」という抄訳ですが、とても多くの方に読んでもらえたようで、指紋リーダーによる認証が、大きな関心事になっているのだと思いました。そこには ーーー Apple はサードパーティのリテーラーにも、Touch ID でコントロールするペイメントをオープンにするようだ。しかし、Apple のペイメント・ソリューションが、何らかのサードパーティ・サービスに依存することはない。つまり、Apple 自身のペイメントは、最初から Touch ID と Security Enclave を用いてデザインされた、既存の iTunes インフラ内で容易に承認できるようになっている。 ーーー という一文がありましたが、まさに、ここで言うオープンな関係が、PayPal と Samsung の間に構築されるのでしょう。もちろん、PayPal は Apple との関係も構築したいはずであり、バイオメトリクスによる認証の時代に、まっしぐらという感じですね。とても興味深い展開です。__AC Stamp 2

ーーーーー

<関連>

この月曜日に、記録破りの DDoS 攻撃が仕掛けられた!
Huawei がアメリカ市場から撤退するらしい
手首にパスワード : ウェアラブル PassBan とは?
エンタープライズに必要なモバイル・セキュリティ : 6つの階層って知ってました?
Woz の言うクラウドへの懸念は、正しくもあり、間違いでもあり

%d bloggers like this: