アマゾン傘下ビデオドアベルRingは最新アップデートでセキュリティ改善、しかし暗号化にはオンの必要あり
今回は「アマゾン傘下ビデオドアベルRingは最新アップデートでセキュリティ改善、しかし暗号化にはオンの必要あり」についてご紹介します。
関連ワード (Ring、アップデート、アマゾン等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
「米国史上最大の民間監視ネットワーク」と呼ばれるビデオドアベルメーカーのRing(リング)が、新しい、しかし長い間待ち望まれていたセキュリティとプライバシー機能のロールアウトを開始した。
Amazon傘下の同社は、2019年末にハッカーがRingのユーザーアカウントに侵入し、自宅にいる子どもたちに嫌がらせをするというアカウント侵害が相次いで発生し、評判を落とした。その後、Ringの脆弱なセキュリティ対策を利用してハッカーらはオーダーメイドのソフトウェアを開発し、その時点ではユーザーのパスワードでしか保護されていなかったRingアカウントのパスワードをブルートフォース攻撃した。その間、Ringのユーザーパスワードのキャッシュが、ダークウェブ上にいくつか出回っていた。Ringは当初、ユーザーが脆弱なパスワード(「password」や「12345678」など、同社がユーザーにパスワードとして設定することを許していたもの)を使用していたことを非難し言い訳にしていたが、数ヵ月後、企業としての不備を認め、テキストメッセージによる必須の2ファクタ認証を導入した。これは、アカウントハイジャックをわずかではあるがより困難にし、自動化された攻撃の大部分を抑制することを目指す良いスタートだった。
しかしこれから、Ringはさらに一歩進んで、多くの企業がすでに提供している(そしてだいぶ前からそうしている)アプリベースの2ファクタ認証を提供開始する。傍受される可能性のあるテキストメッセージに比べ、暗号化された接続を使用して確認コードをはるかに安全に配信できるためだ。
Ringはさらに、CAPTCHAをアプリ内で有効にし、ユーザーにロボットではないことを証明してもらうことで、自動ログインをより困難にするための新たなハードルを追加する。
また、Ringが2021年初めにテクニカルプレビューとして公開した、ビデオのエンド・ツー・エンド暗号化の開始も発表された。Ringが最も誇示している(が、大いに物議を醸している)機能の1つは、ユーザーがビデオ映像をRingと提携している1800以上の地域警察と直接共有できることだ。とはいえ、警察は捜索令状があれば、代わりにRingから映像を要求することもできる。ビデオのエンド・ツー・エンドの暗号化により、Ringのデバイスで撮影されたビデオにアクセスできるのはアカウントの所有者だけになり、Ringやそのパートナーである警察はアクセスできなくなる。
関連記事
・防犯カメラのRingがビデオのエンドツーエンド暗号化を今年中に導入
・アマゾン傘下Ringが警察に映像を取得されたユーザー数についての情報開示を拒否
同社のCTOであるJosh Roth(ジョシュ・ロス)氏はブログ記事の中で、Ringは「誰が自分のビデオを見るかは、お客様がコントロールすべきである」と考えている、と述べている。もしそれが本当なら、Ringはすべてのユーザーにエンド・ツー・エンド暗号化を適用し、すべてのアカウント所有者にデフォルトでプライバシーを与えるはずだ。しかしそれでは、警察とのパートナーシップを拡大し、そのパートナーシップを通じて地域住民にRingデバイスを普及させようとしている同社の取り組みに支障をきたすことになる。
これまでのセキュリティアップデートが十分な効果を上げていなかったのに比べ、Ringの新機能は意味のある変更であり、ユーザーにとっては自分のアカウントをより安全にし、データを保護するための選択肢を得られるものだ。しかし、ここでのキーワードは「選択」である。なぜなら、ユーザーは新機能を利用するためにオプトインする必要があるからだ。これ自体は珍しいことではない。企業はユーザー体験に摩擦が生じることを恐れるため、ユーザーにセキュリティ上の変更を強要することはめったにないが、セキュリティ管理が不十分なためにアカウントがハッキングされた場合、そこからの回復は間違いなくもっと大きな問題だ。
アプリベースの2ファクタ認証への切り替えは簡単で、Ringのアカウント設定を開き、テキストメッセージで送られてくる確認コードを認証アプリ経由のコードに切り替えるだけだ。なぜそれが重要なのか、なぜアプリを使わなければならないのか、どのアプリを使うのがいいのかについては、以前こちらの記事で解説した。
しかし、Ringユーザーが今回できる最大の変更は、Ringコントロールセンターの詳細設定で、アカウントのエンド・ツー・エンド暗号化をオンにすることだ。エンド・ツー・エンド暗号化をオンにすることで、アカウントでできることが制限されたり、友人や家族、警察とビデオ映像を共有できなくなったりすることはないが、自分のデータやそれを何に使うか管理するのはRingではなく、自分がコントロールしているという安心感を得ることができる。
関連記事:アマゾン傘下Ringの近隣住民監視アプリ「Neighbors」にバグ、投稿者の位置情報や住所に流出の可能性
画像クレジット:Ring / file photo
【原文】
Ring, the video doorbell maker dubbed the “largest civilian surveillance network the U.S. has ever seen,” is rolling out new but long overdue security and privacy features.
The Amazon-owned company’s reputation was bruised after a spate of account breaches in late 2019, in which hackers broke into Ring user accounts and harassed children in their own homes. Then, taking advantage of Ring’s weak security practices, hackers developed bespoke software to brute-force the passwords on Ring accounts, which at this point were only protected by the user’s password. All the while, there were several caches of Ring user passwords floating around the dark web. Ring initially blamed its users for using weak passwords (like “password” and “12345678,” which Ring allowed users to set as passwords), but a couple of months later the company acknowledged its failings by rolling out mandatory two-factor authentication by text message. It was a good start, aimed at making it more difficult — albeit only slightly — to curb the bulk of automated account hijacks.
But now Ring is going a step further by rolling out app-based two-factor authentication, which many companies already offer (and have for some time) as it provides the far more secure delivery of two-factor codes using an encrypted connection, compared to text messages, which are susceptible to interception.
Ring is also enabling CAPTCHA in its apps to add another hurdle aimed at making automated login attempts more difficult by prompting users to prove they aren’t a robot.
Also announced is the launch of video end-to-end encryption, which Ring first rolled out earlier this year as a technical preview. One of Ring’s most flaunted (though highly controversial) features is allowing users to share video footage directly with more than 1,800 local police departments that are partnered with Ring. That said, police with a search warrant can always just demand the footage from Ring instead. Video end-to-end encryption will mean that any video captured from a Ring device can only be accessed by the account owner — and not Ring, or any of its law enforcement partners.
Ring’s CTO Josh Roth said in a blog post that Ring believes that “our customers should control who sees their videos.” If that were true, Ring would have switched on end-to-end encryption to all users, giving every account owner privacy by default. But that would interfere with the company’s efforts to expand its police partnerships, which in turn help to get Ring devices into the hands of local residents.
Compared to past security updates, which didn’t go nearly far enough, Ring’s new features make meaningful changes that give users the choice to make their accounts more secure and their data private. But the keyword there is “choice,” since users will have to opt-in to the new features. That isn’t unusual in itself; companies seldom force security changes on users, fearing that it would add friction to the user experience — though recovering from an account hack because of poor security controls is undoubtedly worse.
Switching to app-based two-factor authentication is easy, just go to Ring’s account settings and switch from codes sent by text message to codes delivered by an authenticator app. We have a whole explainer on why it’s important, why you should use an app and which apps you might want to use.
But the biggest change Ring users can make is to switch on end-to-end encryption on their accounts by going through the advanced settings of Ring’s control center. Switching on end-to-end encryption won’t limit what you can do with your account or stop you from sharing video footage with friends, family or the police, but it will give you peace of mind knowing that you will have control of your data and what you do with it, and not Ring.
(文:Zack Whittaker、翻訳:Aya Nakazato)
Amazon | 本, ファッション, 家電から食品まで | アマゾン
Amazon.co.jp 公式サイト。アマゾンで本, 日用品, ファッション, 食品, ベビー用品, カー用品ほか一億種の商品をいつでもお安く。通常配送無料(一部を除く)
アマゾン - Amazon.co.jp: プライム・ビデオ: Prime Video
アマゾン ウェブ サービス(AWS) クラウドコンピューティング サービス Amazonアウトレット 訳あり商品を お手頃価格で販売 Amazonビジネス(法人購買) 請求書払い 法人価格・数量割引 AmazonGlobal 65か国/地域以上への 海外配送
Amazonビジネス|法人・個人事業主様向け通販サービス
Amazonビジネスで商品を販売し個人会員だけでなく法人会員にもリーチ. あなたがAmazonの既存または新規のいずれの販売業者であっても、Amazonビジネスは、購買担当者にリーチし、チャネル戦略を補い、企業の成長をさらに拡大するための優れた手段となり ...
Amazonサインイン
次に進むにはCookieを有効にしてください
お問い合わせ — 購入者様 | Amazon Pay ヘルプ - アマゾンペイ
サポート. 購入者向けヘルプ. アカウントの管理. 利用規約とポリシー. プライバシーとセキュリティ. 取引とアカウントのセキュリティ. インターネット詐欺とフィッシング詐欺. Amazon Payに関するよくある質問. Amazon Payで購入する.
Amazonサインイン
パスワード. パスワードを忘れた場合. パスワードを入力してください. ログイン. 続行することで、 Amazonの 利用規約 および プライバシー規約 に同意するものとみなされます。. ログインしたままにす …
Amazonに出品する | ECビジネスを始める
Amazonでの出品をお考えですか?何百万ものカスタマーにリーチし、AmazonでのECビジネスの拡大と共に、収益を上げ続ける方法をご覧ください。
Amazon Pay | 購入者様向け | アマゾン ペイ
はじめてのECサイトでも簡単・安心にお買い物。Amazonアカウントをお持ちなら、面倒な情報入力は不要。登録された配送先情報やクレジットカード情報を利用してお買い物できます。また条件を満たす購入にはAmazonマーケットプレイス保証が適用されます。
Amazon出品者になる | Amazon出品サービスの販売方法
Amazonに出品するには、プランを選び、アカウントを登録し、出品する商品を追加する必要があります。ここでは、Amazonに出品する方法をご紹介します。
AMZN:NASDAQ GS 株価 - アマゾン・ドット・コム - …
アマゾン・ドット・コム (AMZN:NASDAQ GS) の株価、株式情報、チャート、関連ニュースなど、企業概要や株価の分析をご覧いただけます。
50591:
2021-07-16 22:24この「表現のコードが違う」問題はいまの世の中蔓延していて、親身に相談に乗ろうとしたらプライバシー侵害だったり、場を盛り上げようとしたらパワハラだったり日常茶飯事なわけです。そこで「意識をアップデート」と言うのはいいけれど、過去の記録はアップデートできない…