Archive for March, 2012

建設現場での設計図

Friday, March 30th, 2012

PlanGrid (プラン・グリッド) という新興企業は、建設工事の設計図をクラウドで管理する機能を提供している。利用者は、これら設計図をiPadにダウンロードし、建設現場で閲覧することができる。

g258_plangrid_01

PlanGridという新興企業

まず設計責任者は、デスクトップで作成した設計図を、PlanGridクラウドに登録して管理する。次に建設現場の責任者は、クラウドに登録された設計図を、iPadのPlanGridアプリにダウンロードして閲覧する仕組みとなる。上のスクリーンショット (出展はいずれもVentureClef) は、iPadに搭載しているPlanGridアプリを起動して、IDとパスワードでログインしている様子である。iPadからPlanGridにログインすると、プロジェクト一覧が表示される。建設現場責任者は、プロジェクトの中から希望の設計図を選択してiPadに表示する。下のスクリーンショットがその様子で、設計図(L2.1)を選択し、設計図がiPad画面全体に表示されている。この設計図を指でスナップすると、その部分が拡大する。建設現場責任者は、紙の設計図を広げる代わりに、iPadで設計図を閲覧しながら建設を進めることができる。

g258_plangrid_02

工事現場の責任者はPlanGridに表示された設計図に従って工事を進めていく。工事中に設計図に間違いがある場合や、工事の変更が必要な際には、iPad上の設計図に手書きで修正を入れることができる。下の画面がその様子で、画面右端のパレットからオプションを選択し、図形や文字を書き込む。修正した設計図はPlanGridアプリから、電子メールで設計責任者に送信する。

g258_plangrid_03

CADの登場で設計図はコンピュータ化されているが、建設現場では設計図を印刷した紙を見ながら作業を進めている。そのため、最新設計図と現場で閲覧している設計図の版数が異なり、工事をやり直すケースが発生し、建設費が嵩む原因となっている。PlanGridはこの問題を解決するために登場した。一方、iPadの画面サイズが限られているため、設計図を移動しながら、拡大・縮小の操作を繰り返すことになる。使いにくい面はあるものの、建設現場でのIT化という意味では、画期的な技術である。

遠距離恋愛ツール

Friday, March 30th, 2012

今週、Y Combinator (ワイ・コンビネータ、新興企業向けインキュベータ) がDemo Dayというイベントを、Mountain View (カリフォルニア州) にあるComputer History Museumで開催した。Demo Dayでは、Y Combinatorが投資している新興企業65社が、ベンチャー・キャピタリストの前でデモを行い開発したばかりの製品をアピールした。

g257_pair_01

Pairという新興企業

Pairという新興企業は、同名のPairというiPhoneアプリをデモした。Pairは恋人同士のコミュニケーション・ツールで、簡単な操作で、マルチ・メディアでの会話ができる。Pairは恋人同士のクローズな通信手段で、遠距離恋愛には必須のアプリである。上のスクリーンショット (出展はいずれもPair) がPairを使っている様子で、画面下のボックスにテキスト・メッセージを書き込み、Sendボタン押して送信する。SMSの要領でで交信する方法である。また、ビデオ・アイコンにタッチするとビデオ・メッセージを送ることができる。左画面の再生ボタンを押すと、ビデオ・メッセージが始まる。カメラ・アイコンにタッチすると写真を送信できる。右画面は送信された写真が掲載されている様子である。ペン・アイコンにタッチすると、作画画面が開き、ここにスケッチを行なうことができる。スケッチした手書きメッセージ (下のスクリーンショット右側) を送信することができる。リップ・アイコンにタッチすると、空白な画面が現れ、ここにThumbkiss (指先でのキス) できる。本人と相手がThumbkissした位置が、ここに表示 (左画面) される。Thumbkissした位置が重なると、iPhoneが振動する仕組みとなっている。

g257_pair_02

米国においては、遠距離恋愛での通信手段として、電話、Skype、電子メール、Facebookが使われている。カップルはこれらを使い分けて、コミュニケーションを行なっている。これに対してPairは、カップル専用のコミュニケーション・ツールで、各種通信機能を統合した、恋愛ソリューションを形成している。遠距離だけでなく短距離でも使える構成となっている。Pairのデザインはシンプルで、簡単な操作で、マルチ・メディアで会話することができる。ここ最近のアプリの特徴は、デザインが洗練され、インターフェイスがシンプルなものが多く、Pairもこの流れに沿って開発されている。Pairで通信した写真やテキストなどは、二人だけで共有され、データはアプリ内に留まり、外部に出ることは無い。二人の交際が破局を迎えた場合には、Pairに連絡してデータを消去するというオプションも提供されている。

Androidへの攻撃と脆弱性

Friday, March 23rd, 2012

スマートフォンの出荷台数が増えるに連れて、クラッカーからの攻撃も増えている。スマートフォンの中でも、Androidが標的とされている。クラッカーはどのような手法で攻撃を行い、なぜAndroidが狙われるのかを考察する。

g256_mobile_malware_01

DroidDreamというマルウェア

今まで登場したマルウェアの中で特に問題となったのがDroidDream (ドロイド・ドリーム) である。DroidDreamは、名前が暗示しているように、Androidデバイスを攻撃するマルウェアである。DroidDreamは、Android OSのルート権限を奪い、利用者の許諾無くアプリをインストールする機能を持っている。またデバイスの固有情報などを外部のサーバに送信する機能も持っている。DroidDreamはGoogle Play (当時のAndroid Market) で提供されているアプリに組み込まれて広まった。アプリの開発者名はKingmall2010やMyournetなどで、50以上のアプリにDroidDreamが組み込まれていた。上のスクリーンショット (出展:Android Police) はその事例で、Myournetが開発したSuper Guitar Soloというアプリで、この中にDroidDreamが組み込まれて配布されていた。このアプリは2011年2月時点で、最大1万回ダウンロードされている。Googleは翌月に、このマルウェアの存在を認識し、マルウェアを含む全てのアプリをGoogle Playから削除したと発表した。GoogleによるとこのマルウェアはAndroidの脆弱性を突くもので、Android 2.2.2以上のバージョンでは影響がないと述べている。

g256_mobile_malware_02

Malvertisementという新たな手法

最近では新たなマルウェアとして、Malvertising (マルバタイジング) という手法が登場している。ゲームの中の広告をクリックすると、Google Playによく似たサイトにリンクする仕組みである。上のスクリーンショット (出展: Magma Mobile) は、Bubble Blastというゲームアプリで、スクリーン最下部の広告にタッチすると、Google Playのフィッシング・サイト (Google Playにそっくりな偽のウェブサイト) にリンクする。このフィッシング・サイトにはBattery Saverというアプリが掲示されている。利用者はこのアプリをインストールすると、この中にGGTrackerというマルウェアが潜んでいる。GGTrackerは、利用者の知らないうちに、高額なSMSサービスに加入し、利用者はSMSサービスから高額な請求を受けることになる。SMSサービスに加入する際には、様々な手続きが必要だが、GGTrackerはこれらを背後で行なう仕組みになっている。

Androidの問題点:アプリの配布方式

DroidDreamなどのマルウェアがアプリに組み込まれ、Google Playで簡単に配布されるのは、Googleのアプリ配布方式によるところが大きい。Google Playではアプリがサイトに登録されてからセキュリティ・チェックが行なわれる。GoogleはBouncer (バウンサー) というツールで、Google Playに登録されたアプリをスキャンして、アプリにマルウェアやスパイウェアが含まれていないかをチェックしている。DroidDreamのケースでは、このチェックを潜り抜けたことになる。更にGoogleはアプリ配布について、Open Application Distributionという方式を取っており、アプリはGoogle Playだけでなく、Amazon Appstoreなど第三者サイトからも配布される。GoogleやAmazonのような著名なサイトだけでなく、無名のサイトからもアプリが配布されるため、マルウェアを含んだアプリが蔓延する可能性が高くなる。この方式の弱点を突いて、クラッカーは、Repackagingといわれる手口で、マルウェアをアプリに忍び込ませる。クラッカーはGoogle Playに登録されている、正常なアプリをダウンロードし、そのアプリにマルウェアを挿入し、これを第三者のサイトに登録する。多くの場合、有償アプリを無償で配布し、利用者がこのアプリをダウンロードすると、デバイスにマルウェアが感染することになる。多くのマルウェアは、利用者の位置情報や住所録をサーバに送信したり、有償のSMSサービスを使ったり、また、スマートフォン内のファイルを送信し機密情報を盗む目的で使用される。

Androidの問題点:OS管理方式

Androidの問題の二点目はOS版数管理である。Bit9というベンチャー企業は、スマートフォンに搭載されているOSの脆弱性を評価して、Dirty Dozenというレポートを発表した。スマートフォンが搭載しているOSの版数と、最新OS適用の早さを評価し、スマートフォンの安全性を指標化した。スマートフォンが最新のOSを搭載しているか、また、最新OSがリリースされて何日後に適用しているかが評価された。

g256_mobile_malware_03

上のテーブル (出展:Bit9) がその纏めで、縦軸にスマートフォンの機種を示し、横軸にAndroid OSの版数を示している。タイルの色は最新OSがリリースされ適用されるまでの日数を示している。赤色が315日以上で一番長く、色が薄くなるにつれて、日数が短くなる。緑色は45日以内で、Nexus SだけがこのスケジュールでOSを更新している。ワースト・スリーはSamsung Galaxy Mini、HTC Desire、Sony Ericsson Xperia X10で、古いOSを使い続け、しかも、新OSへのアップグレードに時間がかかっている。クラッカーはセキュリティ・ホールのある古いAndroid OSを標的に攻撃を行なっている。

このようにAndroidは、クラッカーからの攻撃を受けやすいという、構造的な問題を内包している。一方で、多くのAndroidアプリ開発者は、Google Playは自由度が高く、また、Androidはオープンソースであり、アプリ開発を行ないやすいと述べている。Androidのオープンな仕組みと技術がイノベーションを生み出し、斬新なアプリが登場している要因であることも事実である。今、オープンな構造とセキュリティ機能のバランスが問われている。

スマートフォン・セキュリティー

Friday, March 16th, 2012

パソコンにセキュリティ・ソフトウエアをインストールして、外部からの攻撃を防御しているように、スマートフォンに対しても、多くのセキュリティ・アプリが提供されている。その中で一番人気のセキュリティ・アプリがLookout (ルックアウト) である。LookoutのAlicia diVittorioとJonathan Stullが、スマートフォンでデモをしながら、Lookoutの製品概要を説明してくれた。

g255_lookout_01

Lookoutというベンチャー企業

LookoutはSan Franciscoに拠点を置くベンチャー企業で、AndroidとiPhoneを対象に、セキュリティ機能、バックアップ機能、紛失場所表示機能を実装した、Lookoutというアプリを提供している。上のスクリーンショット (出展はいずれもVentureClef) は、Androidデバイス向けのLookoutで、ホーム画面 (左側) には、Lookoutが提供しているセキュリティ機能の一覧が表示される。ホーム画面最上段のSecurityカラムにタッチすると、デバイスにインストールされているアプリをスキャン (右側) して、マルウェアが含まれているかをチェックする。スキャンが終了すると、検査結果とスキャンしたアプリの本数が表示される。Lookoutがスキャンした情報は、同社が運営するMobile Threat Networkに送信される。Mobile Threat Networkとはアプリのデータベースで、全世界で稼動している100万本のアプリが登録されている。Mobile Threat Networkはアプリのスキャンを行い、マルウェアを検出すると、この情報をデータベースに統合する。利用者がLookoutでデバイスのスキャンを行なうと、それを格納している情報と照合し、検査結果をデバイスに送信する。スマートフォンへの攻撃は、アプリにマルウェアを忍ばせて行なうケースが多いため、この機能はモバイル・セキュリティで重要な位置づけとなる。

g255_lookout_02

Lookoutの機能概要

ホーム画面二段目のPrivacy Advisorは、利用者のプライバシー保護に関する情報を表示する。Privacy Advisorカラムにタッチするとダッシュボード (上のスクリーンショット左側) が開き、利用者の位置情報、個人情報、メッセージ、住所録など、プライバシー情報一覧が表示される。この中でTrack Locationカラムにタッチすると、利用者の位置情報にアクセスしているアプリの一覧が表示 (右側) される。10本のアプリが位置情報にアクセスしていることが分かる。この中でFacebookにタッチすると、このアプリがアクセスしている内容が表示される。それによると、Facebookアプリは、デバイスのGPSを使って位置情報を収集し、電話番号やデバイス・シリアル番号にアクセスし、テキスト・メッセージを読み、住所録を閲覧している。Facebookアプリをインストールした際に、これらの情報にアクセスすることを許諾しているが、改めて説明を読むと、多くの個人情報を開示していることに気が付く。

g255_lookout_03

ホーム画面三段目のSafe Browsingは、利用者がアクセスするウェブサイトが危険であれば、アラートを表示する機能である。危険なウェブサイトとは、フィッシング・サイト、Drive-by-Downloads (悪意あるコードを注入するサイト)、Direct Exploitations (ブラウザーやPDFリーダの脆弱性を突くサイト) などである。ホーム画面四段目はBackupで、デバイスのデータをLookoutクラウドにバックアップする機能である。ホーム画面一番下はMissing Deviceで、紛失したスマートフォンの位置を表示する。Lookoutのウェブサイトは、デバイス管理機能を提供している。このサイトにログオンして、Locateタブをクリックすると、紛失したスマートフォンの位置をGoogle Mapsに表示 (上のスクリーンショット) する。利用者はこの情報を頼りに、無くしたデバイスを探すことが出来る。この画面でScreamタブをクリックすると、紛失したスマートフォンのスピーカーから音声を発して位置を知らせる。広いオフィスでスマートフォンを置き忘れたときに便利である。Lockタブはデバイスを遠隔でロックする機能で、Unlockするためにはシステムが生成する暗証番号を入力する必要がある。Wipeタブは遠隔でスマートフォンのデータを消去する機能である。LookoutをGalaxy Nexusで使っているが、アプリの画面レイアウトがシンプルで、小さなディスプレーでも操作しやすい。Lookoutウェブサイトはデザインがお洒落で心地よい。StullはLookoutアプリ日本語版のデモを行なって、機能を紹介してくれた。日本語版は、丁度、先月リリースされたばかりの製品であるが、完成度が高いとの印象を受けた。

セキュリティー・トレンド

diVittorioはモバイル・セキュリティーの動向について、以下の通り、解説してくれた。モバイル・デバイスに対してマルウェアが増加しているのは、それだけスマートフォンやタブレットが増えているためである。現在登場しているマルウェアは、「トライアル・バージョン」で、製作者は試作品を使って、その効果を検証し、法令の境界線を探っている。今後、モバイル・ペイメントなどが普及すると、これらをターゲットとした、「プロダクション・バージョン」が登場する。これにより、モバイル・バンキングでの不正取引に繋がるなど、セキュリティ・トレンドを説明してくれた。実際、自分のスマートフォンのSquare、Pago、Starbucksで買い物を行ない、Bank of Americaで銀行口座にアクセスしている。これらアプリを使う時は、今でも少し不安な気持ちになる。今後、マルウェアの「プロダクション・バージョン」が登場すると、不正取引に遭遇する確率がぐんと増えることになる。いまスマートフォンで安心して買い物をするためにも、今後は、スマートフォンに対する本格的な攻撃から身を守るためにも、Lookoutのようなセキュリティ・アプリは必要不可欠のツールである。

企業内スマホ・タブレット管理

Friday, March 9th, 2012

先にレポートした通り、RSA Conferenceの最重要テーマは、企業内で増え続けるスマートフォンとタブレットのセキュリティ対策であった。Bring Your Own Device (BYOD) と呼ばれる、個人のスマートフォンやタブレットを企業に持ち込み、業務で使用するワークスタイルが急速に広まっている。このワークスタイルに対するセキュリティ技術が登場し始めた。

g254_good_technology_01

Good Technologyというベンチャー企業

その中で、Sunnyvale (カリフォルニア州) に拠点を置く、Good Technology (グッド・テクノロジー) は、企業内でスマートフォンやタブレットをセキュアに使用できる技術を開発している。カンファレンス会場では、同社のブースで、Good for Enterpriseという製品を出展 (上の写真、出展:VentureClef) していた。ブースでは、Colin Smith (コリン・スミス) がiPhoneに搭載したGood for Enterpriseを使って、企業内のスマートフォン管理とセキュリティ機能について説明をしてくれた。Good for Enterpriseは、iPhoneやiPad向けの製品で、利用者はこのアプリをApp Storeからダウンロードし、デバイスにインストールして利用する。写真右側がiPhoneのユーザ・インターフェイスである。これはiPhoneでメール機能を利用している様子である。iPhoneに搭載されているメールとよく似ているが、これはGood Technology独自のメールで、安全に社内メールにアクセスできる。

g254_good_technology_02

Good for Enterprise機能概要

Good for EnterpriseはiPhoneメールと同じように、メールを閲覧・返信・転送する機能や、メールをサブ・フォルダーに格納する機能などを備えている。Good for Enterpriseは、セキュリティ機能が強化されており、メールはサーバで暗号化 (AES-192方式) され送られる。iPhoneデバイス上に格納しているメールも暗号化されるため、社外からも安全に利用できる。メールにMicrosoft Officeファイルを添付することもできる。上のスクリーンショット (以下出展はGood Technology) は、iPad上のメールでPowerPointファイルなどを受信した様子である。Good for Enterpriseは、Quickofficeと連携して、Officeファイルの閲覧だけでなく、編集や作成をすることができる。QuickofficeとはPlano (テキサス州) に拠点を置くベンチャー企業で、スマートフォン向けのオフィス・スイートを提供している。QuickofficeはMicrosoft Officeと互換があり、携帯端末で幅広く利用されている。Good for EnterpriseはMicrosoft Outlookの他に、Lotus Notesをサポートしている。

Good for EnterpriseはCalendar機能を提供しており、iPhone・iPad Calendarに相当する機能を提供している (下のスクリーンショット) 。カレンダーで特定の日にタッチすると、その日の日程が、カレンダー下部にリストされ、右側に時間毎に表示される。これらのイベントにタッチすると、その詳細情報が表示される。カレンダー右横の赤色は、予定が入っている時間帯を示している。

g254_good_technology_03

Good for Enterpriseが提供するブラウザーを使って、安全にウェブサイトにアクセスできる。このブラウザーは企業内のウェブページにアクセスするために利用する。IT管理者は、このブラウザーからアクセスできるサイトを事前に設定しておく。一方で、社外のインターネットにアクセスする際には、iPhoneやiPadに搭載されているSafariブラウザーを利用する。メールを受信して、ウェブ・リンクをクリックし、社外サイトにアクセスしようとすると、Safariを利用するようメッセージが表示される仕組みになっている。社内外でブラウザーを使い分けるのは面倒であるが、セキュアな運用をするためには、多少の不便さが伴う。社員はGood for Enterpriseが提供するメール、カレンダー、ブラウザーを使って安全に業務を行なう。

Good for Enterpriseシステム構成

このシステムを利用するためには、社員はIT管理者からメールを受信し、App StoreからGood for Enterpriseをダウンロードするよう指示を受ける。アプリをダウンロードして起動し、利用者のメール・アドレスとPINの入力を行なう。IT管理者は、社員が持ち込むiPhone・iPadに対して、VPNやセキュリティに関する各種設定を行い、Profileファイルとして準備しておく。社員はこれらProfileファイルをデバイスにダウンロードすることで、デバイスのVPN設定やセキュリティ設定を自動で行なうことができる。

g254_good_technology_04

IT管理者はセキュリティの設定において、iPhone・iPadで、カメラ機能を使用できるか否かをなどを設定できる。また、App Storeからダウンロードできるアプリの種類を指定できる。他に、スクリーン・キャプチャ機能、Face Time、音声ダイアリングなどの機能を使えるか否かを設定できる。IT管理者はGood Mobile Control (上のスクリーンショット) というソフトウェアを使って、企業内のスマートフォンやタブレットを一元管理する。上の画面は社員がデバイスで利用できるアプリを定義しているところで、Quickofficeの使用を認める設定をすることができる。

iPhone上のGood for Enterpriseのデモを見て、デザインがスマートで、iPhone固有アプリの操作性に近く、使いやすい印象を受けた。社内に持ち込まれているスマートフォンやタブレットを管理するには、必要不可欠なシステムである。一方で、BYODワークスタイルで、個人が企業に持ち込むデバイスの機能をどこまで制限するのか、様々な課題を含んでいるのも事実である。