TidBITS: Apple News for the Rest of Us  TidBITS#1264/23-Mar-2015

新しい 12 インチ MacBook の USB-C コネクタへの依存に起因する BadUSB 攻撃への脆弱性についていろいろと騒がしく取り沙汰されてきたが、詳しく検討してみるとそれが大体において誇張に過ぎなかったと分かった。また、それと同様の話として Rich Mogull が、Apple Pay の「セキュリティ欠陥」と言われているものが実際には銀行による処理の部分に関係したものであることを明かす。Julio Ojeda-Zapata は新しい感圧タッチ (Force Touch) トラックパッドを試してみて、テクノロジーには感銘を受けたものの、マウスを引退させるほどではないと感想を述べる。今週は元 Macworld 編集者であった Dan Moren が寄稿記事で BusyContacts をレビューする。新たに出たパワーユーザー向けの、Apple の Contacts アプリの代替品だ。最後にもう一つ、Joe Kissell の "Take Control of Security for Mac Users" の最新の章が TidBITS 会員用に出て、iCloud アカウントのセキュリティを増すために何ができるかを解説する。今週注目すべきソフトウェアリリースは、Safari 8.0.4, 7.1.4, 6.2.4、Skype 7.6、Voila 3.8.3、セキュリティアップデート 2015-003 (Yosemite)、Typinator 6.5、Audio Hijack 3.0.3、それに Nisus Writer Pro 2.1 だ。

記事:

----------------- 本号の TidBITS のスポンサーは: ------------------

---- 皆さんのスポンサーへのサポートが TidBITS への力となります ----


Mac は BadUSB 攻撃に対して脆弱でない

  文: TidBITS Staff: editors@tidbits.com
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

The Verge の記事が「新しい MacBook の一個しかないポートがセキュリティの重大なリスクとなる」と宣言している。Gizmodo がこの The Verge の話をさらにもう一歩進めて「NSA はこの USB-C 充電ケーブルに大喜び」と続ける。では、何がそんなに大問題なのか、そして、このような大騒ぎの裏には本当に火の元があるのか?

あの二つの記事は純粋に「クリック誘発」記事に過ぎない。問題の中心となるセキュリティの弱点は BadUSB と呼ばれ、8 ヵ月前に発見されたものだ。理論的には、ほとんどの USB デバイスを攻撃するために使われる可能性があって、Mac も、iPad も、Windows PC その他も同じことだ。けれども新型の 12 インチ MacBook を、あるいはそれほど重要視されていなくても Google の新しい Chromebook Pixel を、単に USB-C を使っているというだけの理由で何か新しい脆弱性を持っているかのように言うのは、どんなにひいき目に見ても誠実な言い方ではない。

では、BadUSB とは何か? これは、あるデバイス、例えば USB サムドライブの、USB コントローラを悪意あるコードで上書きするタイプの攻撃だ。すると、その攻撃を受けたデバイスはそれが差し込まれたどんなものにでも、マルウェアを注入したり、キー入力をしたり、その他 USB デバイスができるあらゆる手段を使って攻撃するようになる。動作するためには、BadUSB が標的とする USB デバイスのファームウェアにアクセスできる必要がある。

Gizmodo は 12 インチ MacBook がこの直接攻撃に対して脆弱であると考えているようで、NSA がハッキング済みの USB-C 電源アダプタを配布することによりあなたのノートブック機を乗っ取るだろうとさえほのめかしている。けれども、脆弱性ある Mac に対する Thunderstrike 攻撃(2015 年 1 月 9 日の記事“Thunderstrike 概念実証攻撃は深刻だが、限定的”参照)とは違って、USB ポートは Intel の xHCI (eXtensible Host Controller Interface) を使っており、これを DFU (device firmware upgrade) モードに入れて MacBook のファームウェアを上書きすることはできない。従って MacBook 自体が BadUSB に感染することはあり得ず、正体不明の電源アダプタを差し込んだとしてもそれで誰かに MacBook のコントロールを明け渡すことにはならない。

これ以外にも攻撃の方法はあるけれども、重大な懸念のあるものはない。例えば、USB-C は direct memory access (DMA) に対応しており、 過去に DMA がコンピュータへの攻撃に使われたこともある 。接続されたどんなデバイスでも、コンピュータのメモリへの直接アクセスができるからだ。理論的には、攻撃者が DMA 攻撃によってメモリを読み取ったり、メモリの一部を独自のコードで上書きしたりできるはずだ。しかしながら、Mac は今では Intel の VT-dを使っており、DMA デバイスのアクセスできるメモリを仮想化して、それを既知のメモリ位置のみに制限することで、DMA 攻撃が実行可能メモリを上書きして攻撃を開始することを防いでいる。

もう一つの攻撃方法としては、BadUSB に支配されたデバイスが接続されたコンピュータにマルウェアをインストールするやり方がある。けれども Mac は遠隔ストレージ上のファイルを自動的に実行することはなく、従ってこの攻撃を成功させるためにはユーザーを騙して予期せずマウントされたドライブからアプリを起動するよう誘導する必要がある。それはあり得ることだけれども、比較的可能性の低いことに思える。

最後にもう一つ、BadUSB に支配されたデバイスが Mac 上でキー入力を実行することがあり得る。けれどもこの攻撃が意味を持つには、Mac が動作中であって、かつスクリーンのロックが外れていて、しかも一連のキー入力が何か悪いことをするのにユーザーが気付かないか、あるいは気付いても何もしないかのいずれかでなければならない。これもやはり、可能性の高い攻撃とは思えない。

私たちが見逃していることはあるかもしれない。でも、The Verge と Gizmodo の記事は思い違いをしているし、USB-C が Mac に新たなリスクを持ち込んだということはない。NSA にしても、感染済みの USB-C 電源アダプタを国中のコーヒーショップに置いておくような馬鹿げたアイデアより、もう少しましなことを考えた方がよい。

コメントリンク15505 この記事について | Tweet リンク15505


"Take Control of Security for Mac Users" の Chapter 9、入手可に

  文: Adam C. Engst: ace@tidbits.com, @adamengst
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

Mac のセキュリティに関して言えば、Apple のオンラインサービス iCloud が注目に値する。それは Apple が iCloud をセキュアにするためにした仕事に手落ちがあるからではなく、iCloud が頻繁に利用され大量の個人データを保存しているからであり、攻撃者の目に魅力的なものとなっているからである。そこで、"Take Control of Security for Mac Users" の今週分 Chapter 9, "Manage iCloud Security" で、Joe Kissell は Apple のセキュリティ方針を理解する手助けをし、iCloud がどこでセキュア度が高くどこでそうでもないかを調べ、全体的なセキュリティレベルを上げるため何をすればよいかを示す。

とりわけ、Joe は二段階認証を有効にする方法について手順を追って解説する。これは、たとえパスワードが攻撃を受けてもあなたのアカウントを保護できる。それから、セキュリティが特に心配な場合に iCloud サービスのうちどれを使わずに済ますべきか(それはなぜか)を概観する。二段階認証を有効にした場合は、iCloud に依存して動作するサードパーティのアプリ、例えば BusyCal と BusyContacts、Outlook、Thunderbird、その他で必要となるアプリごとのパスワードを生成する方法も学ぶ。

"Take Control of Security for Mac Users" を読み始めたばかりの人のために言っておくと、最初の 2 つのチャプティクルは誰にでも読んで貰えるが、それ以降の章は TidBITS 会員限定である。TidBITS 会員にはその他の特典もある(一流の Mac ソフトウェアの割引もある)が、最も重要なのは TidBITS 会員が寄付してくれた収入がここ数年の間 TidBITS を走らせ続けてくれたと言うことである - あなたのサポートこそが大事なのだ。もし既に TidBITS の会員なのであれば、申し込んだ時のメールアドレスを使って TidBITS サイトにログインし、これらの章を読み、そしてコメントして欲しい。

まだ 3 つの章が残っているが、これらが完成した暁には、"Take Control of Security for Mac Users" 電子本は、完成版として PDF, EPUB, そして Mobipocket (Kindle) フォーマットにて一般向けに売り出される。

コメントリンク15511 この記事について | Tweet リンク15511


感圧タッチトラックパッドで MacBook の魅力が増す

  文: Julio Ojeda-Zapata: julio@ojezap.com
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

私はいつも Apple のトラックパッドを見るたびに葛藤を感じている。快適さと正確さは素晴らしいと思うけれども、やはりマウスを使った方が効率は良い。それに、トラックパッドの機能はあまりにもたくさんあり過ぎて圧倒される。複数の指を使ってするタップやジェスチャーなど、とても全部は覚え切れないし、ましてや実用的に使いこなすなんて無理だ。だから、Apple が感圧タッチ (Force Touch) トラックパッドを発表してさらに多くの入力オプションを提供した時も、私は懐疑的な気持ちだった。

この感圧タッチ (Force Touch) トラックパッドは、今のところつい最近更新されたばかりの 13 インチ Retina ディスプレイモデル MacBook Pro のみにある。また、来月発売予定の新型 12 インチ MacBook(2015 年 3 月 9 日の記事“新型 12 インチ MacBook 登場、MacBook Air と MacBook Pro 更新”参照)にも搭載される。私はここ数日間、13 インチ Retina ディスプレイモデル MacBook Pro で感圧タッチトラックパッドを使ってみた。

名前の "Force Touch" は、まるでカンフー映画の中の技の名前のように聞こえるが、トラックパッドの表面がほとんど動かないにもかかわらず、機械的なクリックの感覚をシミュレーションできるという、新しい機能を意味する。ほとんど動かない代わりに、このトラックパッドはセンサーを使って指の圧迫を探知し、触覚的なバイブレーションによってそれに反応する。

image

これは、物理的なクリックとほとんど区別がつかないほどで、新しいトラックパッドになっていると知らない人ならばたぶん誰もそれと気付かないだろう。私は新しいトラックパッドの上で自分の指がクリックする様子を観察しながら、これが従来型の機械的な動きを使った私の古い Apple トラックパッドでないことを確認しなければならなかった。

TechCrunch の Matthew Panzarino が、 このトラックパッドのテクノロジーの分かりやすい説明を書いている:

裏側に一連の振動モーターがあって、これらが「力のフィードバック」を提供する。応用目的によっては「触覚フィードバック」とも呼ばれるものだ。このフィードバックがあなたの指を騙して、まるでヒンジの付いたボタンを押し下げたかのように信じさせ、トラックパッドが今まさにそう動いているかのように錯覚させる。このフィードバックは lateral force fields (LFF、横方向の力の場) と呼ばれる現象に依存していて、人間は振動を触覚の「手触り」として体感する。結果として「クリック可能な」面の感覚や、さらには面の深みすらも感じるようになる。新しいトラックパッドのこの Force Touch 機能は、あなたの指が「より深く」面を押し下げる、すなわちただのタップとは違うレベルのフィードバックの感覚も作り出すことができる。その効果はあまりにもうまく実行されていて、トラックパッドを深く押し下げている感覚がするにもかかわらず、それでもトラックパッドが全く動いていないのを目で確かめることができる。あまりにもよく出来ていて、ちょっと薄気味悪い。

Force Touch は単なる手品ではない。これのお陰で、新たな機能がもたらされる。標準的にシミュレーションされたクリックの他に、もう少し強く押し下げた「強めのクリック」(force-click) をすることもできる。これをすると、指先は一回でなく二回のクリックを感じる。そして、その際にカーソルが何を指しているかに応じて、さまざまの異なることが起きる。

Apple のサイトにはたくさんの機能が列挙されているが、中でも重要な例を挙げれば、ファイルのアイコンを強めにクリックすれば Quick Look プレビューが見られ、マップ上の位置を強めにクリックすればその場所にピンが立ち、リマインダーやイベントを強めにクリックすれば詳細情報インスペクタが開き、Safari や Mail の中でリンクを強めにクリックすればウェブのインラインプレビューが見られ、ウェブページやメールメッセージの中のテキストを強めにクリックすればそのテキストに関連する辞書あるいは Wikipedia の情報を表示したウィンドウが開く。Apple がどのようにしてこれらのアクションを選んだのか、またこれらが Control-クリック/右クリックと概念的にどう違うのかははっきりしない。

image

トラックパッド上で指の圧力を増せば、QuickTime Player や iMovie のビデオの早送りや巻き戻しが速くなり、Maps アプリでは地図のズームが加速される。また、PDF で注釈を整列させたり、iMovie でクリップを最大長までドラッグしたり、iMovie タイトルを正しい場所にスナップさせたり、その他の場合には触覚のフィードバックが感じられる。

image

将来的には、サードパーティの開発者たちもこのトラックパッドの新機能に触れることができるようになり、例えばお絵描きアプリケーションに感圧機能を追加したりできるだろう。その種の機能は Apple の Preview アプリに既に存在していて、線を描きながらトラックパッド上の指の圧力を変えれば線の太さが変わる。同じことが Mail の添付ファイルをマークアップする際にも起こる。

image

もっと基本的なレベルに立ち返れば、この新しい感圧タッチトラックパッドは従来の機械的トラックパッドにあるお馴染みの機能、例えばファイルを親指と人指し指でドラッグするといったようなこともそのまま再現する。実際には感圧タッチトラックパッドの方が少々快適で、それはクリックの圧力がシステム環境設定の Trackpad 枠の中で "light" から "firm" まで調整できるからだ。機械的クリックでは実現できないことだ。私の場合、好みの設定は "medium" の圧力だ。

この感圧タッチトラックパッドは従来の機能を保持している。二本指で軽くタップすれば、従来通りマウスの右ボタンのクリックと同等だ。それと、一本指で「タップしてクリック」する機能もある。他の Mac ユーザーの中にはこれが大嫌いな人たちもいるが、私はずっと以前からこれが大好きだ。他のさまざまなジェスチャー、ドラッグ、ズーム、回転、その他も、やはり従来通りある。ただ、私はそれらすべてを私の指に覚えさせたいと思うほど価値があると感じたことは一度もない。

私が感圧タッチを必須のものと思うようになるのか、それとも無意味なものと思うようになるのかは分からない。たった数日使ってみただけではまだ答は出ない。でも、今の時点では自分が結局これらの新しい機能を中くらいに好きだけれども、必要としてはいない、そんな状態に向かうのではないかという気がしている。

例えば、私は普段 Quick Look を使う際にはファイルやフォルダを選択してからスペースバーを押している。その動作の代わりに、ファイルを強めにクリックすることもできるわけだが、はたしてそれはより簡単か? より便利か? まあ、ほんの少しは便利になるのだろうと思う。

感圧タッチによるアクションのリストをずうっと眺めてみても、自分が「おお、これが出来るなんて素晴らしい!」と叫び出すと思えるものは見当たらない。でも、これらのアクションが次第に Mac の風景の中に染み込んで行くにつれて、そのいくつかを私が取り込むようになることも十分あり得る。これらは、それだけで状況を一変させるようなものではないけれど、クールで楽しいものであるには違いない。

言い替えれば、この感圧タッチトラックパッドのみでは、急いで新型 MacBook を買いに走る理由にはならない。でも、これらの新機能はむしろ、Apple が先導してトラックパッドのデザインの道を切り開いていることの証しと言える。きっとそう遠くないうちに PC ノートブックのメーカーがこぞって感圧タッチ機能の真似をするようになるのではないかと思う。

実行こそがすべてだ。そして、感圧タッチトラックパッドは私がここ数日間に見た限りでは完璧に実装されている。とにかく動くし、MacBook シリーズには諸手を挙げて歓迎すべき追加機能だ。いずれ Apple が新しい Magic Trackpad を出して、デスクトップ Mac のユーザーも Force Touch パーティーに加われるようにしてくれることを願いたい。

感圧タッチトラックパッドは確かに素晴らしいけれども、私はやはりマウス使いの男だ。そうは言っても、もしも主要な Mac アプリが次々に興味深い感圧タッチ機能を提供して、それらが Apple の基本的機能を超えるようになったならば、その時は私も考え直すべきかもしれない。

コメントリンク15510 この記事について | Tweet リンク15510


BusyContacts、Mac の連絡先管理をターボブースト

  文: Dan Moren: dan@danshotfirst.com, @dmoren
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

連絡先管理は一般的にそれほどエキサイティングな分野でもないし、気付け薬を常備していないと扱えないようなものでもない。でも、控え目な程度の必要しかない私のような者の目から見ても、Apple 自身の解決法、つまり iOS と OS X の Contacts (連絡先) アプリが、ところどころ不十分であることは認めざるを得ない。幸いにも、BusyMac 社の人たちが、独自に Calendar (カレンダー) アプリの代替としてあの素晴らしい BusyCal を作るだけに満足することなく、連絡先についても独自の代替に取り組み、今回新たに $49.99 のアプリ BusyContacts を出してくれた。

BusyContacts にできることのすべてをあなたが必要とはしないだろう。なぜなら非常にたくさんのことができるからだ。でも、もしもあなたが Apple の Contacts では機能が足りないと思うなら(またはとにかくそのインターフェイスが気に入らないなら - TidBITS 出版者の Adam Engst はそう思っている)あなたが直面したギャップのいくつかを BusyContacts が埋めてくれるかもしれない。とりわけ、もしも何人かの人たちのグループで、例えば小さな企業の中で、連絡先を共有する必要があるなら、またはもしも他の人たちとのやり取りのログを取ってそれを管理する必要があるなら、その場合は BusyContacts があなたの望むものとなる可能性が高い。

私には BusyContacts の提供する機能のすべてを利用する必要はないが、素敵なところもたくさんあるし、Apple の Contacts に比べて良いところも多いので、Contacts から BusyContacts へ切り替えた方が良いのかどうか悩んだ。

幸いにも、その切り替えは不可逆なものではないし、互いに相容れない決断ですらない。BusyContacts は基本的に OS X 内蔵の連絡先データベースの上に便乗した形で働くので、単に BusyContacts が既存の連絡先を取り込むことを許可する以外にあなたには何もする必要がない。そして、BusyContacts の中で施した変更はすべて、Apple の Contacts にも(類似のフィールドがあるとすればの話だが)反映される。

けれども、BusyContacts はただ単に Apple 自身の内部的連絡先情報と統合されるだけではない。内蔵の Contacts アプリと同様、Google、Yahoo、Office 365 などのサービスから、さらにはどんな Exchange または CardDAV サーバからでもデータを取り込むことができる。その上、今はソーシャルネットワーキングの時代なので、あなたがそう指示しさえすれば、Twitter、Facebook、LinkedIn から連絡先情報をダウンロードすることもできる。

それらさまざまのサービスから取り込んだ連絡先を見れば混乱してしまうこともあるが、Apple の Contacts と違って BusyContacts では同一人物に属する異なるサービスから来た カードをリンクさせる ことができる。だから、例えば Facebook からの John Smith と Google Contacts からの John Smith を別々の項目として見る(上のスクリーンショット)代わりに、双方の連絡先情報を組み合わせて表示した結合版(下のスクリーンショット)が見られるようにもできる。(リンクされた連絡先情報は 永続的に統合される訳ではないが、そうしたければそうすることもできる。)

image

image

私はとりわけ BusyContacts がこれらさまざまのアカウントを色分けして表示できるところが気に入っている。その情報がどこから来たものなのかが一目で分かるからだ。この点はさらに細かなレベルにも持ち込まれていて、カードを編集する際に、さまざまな項目の隣にあるアイコンが、そのデータがソーシャルネットワーキングから来たものかどうか、もしそうならばどのサービスから来たものかを示す。

image

連絡先に Twitter を統合させるのはちょっと変な感じだ。その理由の一つは、私が Twitter でフォローしている人たちのすべてを実際に知っている訳ではないからだ。連絡先をスクロールしていて、母親の名前や昔の上司の名前の隣に Nathan Fillion や Neil Gaiman といった有名人の名前が並ぶのを見ると非現実的な感覚に襲われる。

そういう場合に役に立つのが、BusyContacts の便利なフィルター分けツールタグ付けツールだ。タグは、基本的に Apple の Contacts におけるグループと同様に働く。一方フィルターは Smart Groups に相当し、一連の基準を設定すればそれらにマッチする連絡先のみを手軽に一覧することができる。けれども、BusyContacts のフィルターはそれよりもっと強力だ。一つには、Apple の場合は一つのカードが一つの基準にマッチするような Smart Groups しか作れないが、BusyContacts は複数の条件にも対応しているので、基準のいずれかにマッチする、すべてにマッチする、あるいはどれにもマッチしないカードを選び出すことができる。また、Contacts が扱っていない要因にマッチさせることもでき、例えば写真が付いていない連絡先だけを見るフィルター分けもできる。

image

BusyContacts のもう一つの傑出した機能は Activity List だ。他のアプリやサービスにリンクして、選択された連絡先とのあなたのやり取りの一覧を示し、カレンダーイベントや電子メールメッセージ、Twitter や Facebook のアップデート、Messages など、関連した情報を表示する。これで、その人とのやり取りを手軽に探すことができ、明日の夜にどこでその人とディナーの約束をしているか、あるいはその人と最後に連絡を取ったのがいつだったかを思い出すこともできる。

image

ただ、このリストには二つほど欠点がある。一つは、例えばカレンダーイベントを下へ、Messages を上へといったような並べ替えができない。もう一つは、BusyContacts がイベントの情報を BusyCal からしか取り寄せることができず、Apple 独自の Calendar データベースからは取り込めないことだ。(それに、あらかじめ BusyCal の中で連絡先をイベントに付随させておく必要もある。)また、BusyCal も動作中でなければならない。そうでないと "Show Calendar Events" ハイパーリンクが表示され、それをクリックすれば BusyCal が開く。

BusyContacts をテストしながら、私は他にもいくつか奇妙な点に気付いた。例えば、連絡先の記録に "local time" という便利なフィールドを追加でき、それを見ればロンドンにいる従姉妹に電話する前に向こうでは真夜中であることが分かったりするのだが、そうするために BusyContacts は彼女の記録にリストされた最初の電話番号の市外局番を逆引きする。でも私の友人たちの中には学生時代や以前の職場で使っていた電話番号をそのままにしているケースもかなり多く、彼らが今住んでいるところとはタイムゾーンが違っていることもよくある。

また、BusyContacts の連絡先記録の中で情報の項目を手軽に配置し直すことができればいいのにと思う。電話番号を並べ替えるには、あちこちコピーしてペーストする面倒な作業が要求される。もしも、さきほどの市外局番の問題を解決するために友人の自宅の電話番号をただドラッグするだけでリストの最初の項目に並べ替えられたらどんなに素敵だろうにと思う。

最後に、共有についてだが、BusyContacts では複数のユーザーの間で(例えば夫婦で)アドレスブックを共有できるのだが、そのためには各種のサービス自体が持つ制約を回避しなければならない。例えば Google や iCloud では、双方のユーザーが BusyContacts を使っているどれかのマシンからそれぞれ自分のアカウントにログインしている必要がある。ローカルネットワーク上での共有は可能だが、それはローカルなアドレスブックに限られるので、iPhone と同期することはできない。

それに関係して私が不満に思うことがもう一つある。私は複数の Mac を使っている。BusyContacts は、私の MacBook と私の iMac の双方の上でいったんセットアップを済ませれば問題なく働くけれど、そのセットアップはなかなかの難行だ。どちらのマシンでもそれぞれ私のアカウントすべてに一つ一つログインしておかなければならないからだ。二番目の Mac でログイン手順が簡単に処理されるようになればいいのにと思う。

それからもちろん、iOS デバイス上で BusyContacts の利点を得るのも、またかなりの難行だ。これは、Apple のモバイルプラットフォームの持つ制約による。BusyContacts データベース全体を iPhone や iPad に「同期」させるための手軽な方法としては、既存の同期用アカウント(例えば iCloud、Google、Exchange など)のどれかの中にすべての連絡先を統合しておく(そんな統合をすれば予期せぬ結果が起こりかねない)か、またはFruuxなど同期の必要のすべてを一手に処理してくれるサービスを使うかしかない。正直言って、ここで本当に必要とされているのは Mac 版が提供するのと同じ機能を iOS ユーザーも利用できる iOS 版の BusyContacts だろう。

では、BusyContacts はあなたに向いているのか? その答は、あなたが連絡先リストをどの程度集中的に使っているかによる。もしもあなたが他の人々との会話をすべて記録しておくことが重要な職種で働いているなら、BusyContacts は Apple のものに比べてはっきりとしたステップアップとなるだろう。その上、もしもあなたが既に BusyCal のユーザーなら、間違いなく BusyContacts にすぐ愛着がわくだろう。とりわけ両者は互いに相乗効果を及ぼすのだから。BusyCal が Apple の Calendar のプロ版という位置を確立しているのと同様、BusyContacts も Contacts のプロ版として働くことだろう。

BusyContacts 1.0 の新規購入価格は $49.99 で、BusyMac から直接にも、また Mac App Store からも購入できる。アップグレード、数量割引、特別提供などは BusyMac から直接の購入となる。例えば、BusyCal のオーナーならば $29.99 のサイドグレードがあるし、追加のライセンスを割引価格で購入することもできるし、教育機関のスタッフや学生には 20 パーセント割引となり、また BusyContacts と BusyCal をバンドル購入すれば $79.98 となる。

コメントリンク15483 この記事について | Tweet リンク15483


Apple Pay、安全でない銀行の方針を露呈

  文: Rich Mogull: rich@tidbits.com
  訳: 亀岡孝仁<takkameoka@kif.biglobe.ne.jp>

2 March 2015 に、The Guardian は Apple Pay が異常に高いクレジットカード詐欺に悩まされていると報じた。The Guardian の記事は、2 月に Cherian Abraham が載せたブログに基づいたものの様に見え、そして私は最初、どうも両方とも怪しいと思った。しかし、金融サービス業界とより密接に関わっている人達と接触してみたら、詐欺は増えていることが確認出来た... そして責任のなすりつけあいにも溢れていた。

これは、見たところ相反する二つの理由から興味をそそられる問題である。Apple Pay は米国において最も安全な、一番 安全な方法とまでは言えないまでも、支払い方法の一つであるのに、その存在そのものが支払いシステムにおける大きな弱点を浮き出させることとなった。もしより多くの銀行が有効化するなら、なぜ、そしてどうして Apple Pay の余り目立たない機能が詐欺を劇的に減らすことが出来るかを探求してみたいと思う。

米国におけるクレジットカードは、他の殆どの国のものとは異なっている。米国では、我々は ゼロ責任として知られているものに守られている。連邦法の下では、クレジットカードの所有者は、不正購入に対して $50 しか責任を問われないが、デビットカードの使用者は最高 $500 迄責任を問われる。しかし、多くの銀行は、法的に求められるもの以上の保護を提供している。もし誰かがあなたのクレジットカード (或いは、カード番号) を不正に使用しても、かなり寛大な時間内にあなたがそれに気づく限り、あなたはその詐欺に対して責任を問われることはない。代わりに、その商取引に係わった売り主と支払いの取扱者がその不正のコストを支払うこととなる (殆どの場合、まず間違いなく売り主)。従って、もし誰かがあなたのカード番号を盗み、オンラインで何かを買ったとしても、あなたがそれに 2 ヶ月以内に気づいたとすれば、あなたはその請求を覆し、そしてオンライン販売者がそのコストを負うことになる。

もし、カード会社 (Visa, MasterCard, American Express, 等々) やその発行銀行が、彼らの内部システムを使って詐欺を見つけた場合にも同じことが言えるが、これはたとえ販売時点で決済を止められなかったとしてもである。これらの詐欺検知システムのお陰で、詐欺行為は大量にあっても、詐欺の発生率は歴史上ほぼ最低レベルに抑えられてきたのだが、私が話した業界のお偉いさん達によると、この率がここ 10 年来で初めて上昇し始めたというのである。

他の多くの国では、これとは正反対に、詐欺に対しては カード所有者が責任を負う。他にゼロ責任を保証している国は殆どないが、多くの銀行がそのカードの特典の一つとして詐欺に対する保護を提供している。これが、他の多くの国ではより進化したクレジットカード安全化技術が使われている理由でもある。これらの技術には、カード埋め込みの Chip and PIN (IC カードと暗証番号) システム、そしてモバイル支払いが含まれる。一方米国では、単純な磁気ストライプ署名カードに依存し続けているが、これの偽造は極めて簡単である。消費者がより大きな責任を負う場合、セキュリティは不可欠なセールスポイントとなる。

私の話は勿論、問題を単純化している。実際には、支払決済には幾つもの異なったやり方があり、処理のための要件もそれぞれに異なる。Chip and PIN カードも、オンライン購入では (業界用語では "カード所有者不在" と言う) 磁気ストライプカードよりも安全だとは言いがたいし、殆どの米国での Chip and PIN カードには磁気ストライプも付いている。システムには、これを補うものとして、種々の本人確認要件、限度額、詐欺分析、そして取引手数料が付け加えられている。それが、オンラインで買い物をする場合、一般的には請求先の住所とカードの裏にある CVV (card verification value) 番号を要求される理由である。この CVV 番号は磁気ストライプや支払いチップの中には保存されていないので、理想の世界では、これを言えると言うことは、あなたがそのカードの現物を目の前に持っており、誰かがそのカードを盗み見しても手に入らない情報を知っているということを証明する。

店頭から Apple Pay まで - Apple Pay は信じられないほど安全である、何故ならばそこにはあなたのクレジットカードの情報は保存されていないし、それを使う事もしないからである。代わりに、あなたのカードを登録する時、一枚の使い捨てのトークンがあなたの iPhone や (間もなく) Apple Watch に送られ、そして他のモバイル支払いやある種のカードによっても使われている超安全な同じ Secure Element チップの中に保存される。それ以降は、保存されたクレジットカードが露出されることは殆どない。たとえもし誰かがあなたの iPhone を盗んだとしても、あなたの銀行はそのトークンを遮断することが出来、全く新しいクレジットカードをあなたに再発行する必要もない ("Apple Pay が代金決済業界に揺さぶりをかける" 9 September 2014)。

分かったのは、弱点はあなたのカードを Apple Pay に登録する課程 (業界用語では "乗せる" という) にあったことである。Apple はフレームワークを作成したのであって、新しい支払いシステムを構築したわけではなく、ただ単にあなたの iPhone とあなたの銀行間の接続を仲介するだけである。あなたの銀行は、あなたがあなただと言っている本人であることを、Apple Pay 登録プロセスに基づき認証する役目を負っている。

あなたが自分のカード情報を入力すると、Apple はそれを暗号化し、Apple サーバーに送り、(カード番号に基づいて) あなたのクレジットカード会社を識別し、そのデータを再暗号化し、そして最終的にあなたの銀行に送り照合を求める。Apple の Support サイトにも明文化されておりそして iOS Security Guide に詳細が記されている様に、Apple はまた、その他の情報もあなたの銀行に提供している。この課程の説明として、iOS Security Guide には次の様に記されている:

加えて、Link and Provision プロセスの一部として、Apple は機器からの情報を発行銀行、又はネットワークと共有する。その内容は、電話番号の最後の 4 桁、機器の名前、そしてその機器がアクティベートされた時の緯度と経度を整数に丸めたものといったものである。この情報を使い、発行銀行は、そのカードを Apple Pay に追加することを承認するかしないかを決定する。

あなたの銀行は、Apple Pay のためにあなたのカードを直ちに承認する事も出来るし、或いは、登録されている住所に電子メールやテキストメッセージを送るといった追加の確認が必要だと判断することも出来る。この乗せる (承認する) かどうかの判断は一に銀行に任されている が、これは新しいプロセスだし、米国ではこの様な規模でこれ迄テストされたことも無い。

クレジットカード盗難は蔓延しており、過去 2 年間でカード番号が流出してしまった件数は数千万にも及ぶ。多くの場合、この流出した情報が不正取引に使われることは無い。盗まれたクレジットカード番号はインターネット上いたる所で売買されており、更に、住所とか CVV 番号の様なより豊富な情報を持ったカードに対してはより高い値が付く (通常これらの情報は、小売店のデータベースから、或いは決済を盗み読みすることで盗まれる。これらの情報は保存されないはずの時でさえも盗まれる)。だから、銀行は大きなセキュリティ侵害の後では多少の賭けをする。彼らは、カードの再発行のコスト (印刷と郵送のコスト、顧客を失うコスト、そして、繰り返す決済に対してカードを再登録するコスト) と、詐欺の確率を天秤にかけるのである。

銀行は、彼らの登録プロセスの規程を決定する責任を負う。厳格な所もあるし、それ程でもない所もあり、中には、乗せる不正への対処を十分に考えていない様に見える所もある。これは、Apple が iCloud アカウント乗っ取りで経験した同じ問題に似ている ("Apple にとって最大のセキュリティの難問はあなた" 14 October 2014)。誰かが目の前でその人物本人であると言っていても、それを確かめるのは難しいが、ましてインターネット上ではどうにもならない。

Apple Pay に関する詐欺があったとする話の核は、この乗せるプロセスとこれらの盗まれたカード全てに集約される。悪人達は、偽のカードを印刷する必要はない;彼らはただ、偽のカードを Apple Pay に登録するに必要なだけの情報があればいいのである。そのリスクは銀行間で違う、それは彼らがどの様にうまくこの乗せるプロセスを設定しているかによる。Apple Pay はより安全でそして信頼された支払い方法なので、一旦偽のカードがシステムに入り込むと、実際に詐欺を働くのはより簡単になる。

この事態は完全に予測出来た;たとえ最も初歩的な脅威モデルの演習でも、この潜在的な問題とその解決策は浮かび上がらせていたであろう。そして、明らかに直接の責任は、これら全ての盗まれたカードを有効のまま放置し、そして Apple Pay 登録プロセスで過ちを犯す銀行側にある。

しかしながら、支払いの世界にいる人の中には、彼らは Apple によって "無理に急がされた" と主張する人もいる;彼らの銀行は追加の安全管理を導入する間もなく急いで手を挙げさせられたと。銀行の間に苦汁があるのは確かである、それが正しいかどうかは別にして。しかし、たとえ銀行の経営者が、彼らの承認プロセスが未だ十分には管理出来る状態になっていないまま Apple Pay に飛び乗るよう内部組織をごり押ししたとしても、私は驚かない。

結論を言えば、Apple Pay のセキュリティ、速度、そして便利さが、銀行に対するストレステストとなり、結果として、こんなことがなければ表には出てこない彼らのプロセスと意思決定における弱みを露出させたのである。

一時的な状況 - Apple は既に、どの様にこのプロセスを改善し、詐欺を減らせるかを見るため、銀行と連携しようとしている。全ての銀行が、同じ様な割合で詐欺の影響を受けているわけではないので、問題は明らかに回避出来る。全ての銀行が一層手綱を締め、不正な登録を対処可能な範囲にまで下げる様になるまで、それ程長い時間はかからないであろう。

しかし、銀行には、盗まれたクレジットカードが Apple Pay に登録されるのを防止するだけでなく、クレジットカード詐欺全体を減らせられる追加の機能があるのも事実である。私は現在、Apple Pay に登録したカードが三つあるが、私の American Express カードは際立っている。私が支払いをする度に、American Express はプッシュ通知を送ってくる。これはほぼ同時に起こるので、私が直ちに知ることなく他の人が私のカードに課金することは不可能である。これらの通知は、全ての決済に対して行われる。Apple Pay が仲介するものだけに限らない。

悪人共は、現時点では仕事をする機会はあるが、この先もずっとそうだとは言えない。銀行はその登録プロセスの管理を厳しくし、Apple Pay はカード及びカード番号盗難を減らし、そしてプッシュ通知を全ての決済に対して出す銀行は増えるであろう。その先では、詐欺の発生は全面的に下がるであろう。

コメントリンク15504 この記事について | Tweet リンク15504


TidBITS 監視リスト: 注目のアップデート、2015 年 3 月 23 日

  文: TidBITS Staff: editors@tidbits.com
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

Safari 8.0.4, 7.1.4, 6.2.4 -- Apple が Safari 8.0.4 を OS X 10.10 Yosemite 用に、また Safari 7.1.4 を 10.9 Mavericks 用、Safari 6.2.4 を 10.8 Mountain Lion 用に、それぞれ WebKit 関係の一連のセキュリティパッチを施してリリースした。これら三つのリリースはいずれも、メモリが壊されることによりアプリケーションが予期せず終了したり任意のコードが実行されたりする可能性のあった 16 件の脆弱性に修正を施している。(具体的な個々の CVE ID については Apple Support のセキュリティコンテンツページを参照。)今回のアップデートではまた、アタッカーが偽りの URL を伝えフィッシングすることを許していたユーザーインターフェイスの不一致も修正している。これら三つのバージョンの Safari は、いずれも Software Update から入手できる。(無料)

Safari 8.0.4, 7.1.4, 6.2.4 へのコメントリンク:

Skype 7.6 -- Microsoft が Skype 7.5 をリリースした。アニメーション化された絵文字の CPU 消費量を大幅に減らしている。このインターネット電話およびメッセージングアプリはまた、App Nap により Skype が再接続できなくなる状況を減らし、入力フィールドが時々消えていたバグを修正し、Screen Sharing ウィンドウがスクリーン外にあるとスクリーンにちらつきが起こった問題を修正し、新たに 14 ヵ国語(ヒンディー語、トルコ語、チェコ語、ウクライナ語、ギリシャ語、ハンガリー語、ルーマニア語、インドネシア語、カタロニア語、クロアチア語、スロバキア語、ベトナム語、タイ語、マレー語)に対応した。さらに、リリースノートには Skype 7.5 が OS X 10.9 Mavericks かそれ以降を要すると書かれているが、ダウンロードページには「使い始めるには Mac OS X 10.5.8 かそれ以上がありさえすれば十分」とある。このお知らせの記事を書いた後で私たちはうっかりと出版に含めるのを忘れていたが、今回 Microsoft は Skype 7.6 をリリースして、チャットのメモリ必要量を減らすとともに、チャット入力フィールドの高さの最大値を増やした。(無料、36.9 MB、7.57.6のリリースノート 、10.9+)

Skype 7.6 へのコメントリンク:

Voila 3.8.3 -- Global Delight が Voila 3.8.3 をリリースして 64-bit プロセッサ対応を追加した。これで、このスクリーンキャプチャ用ユーティリティの全体的なパフォーマンスと効率が改善されたはずだ。今回のアップデートではまた、メモリ使用量の管理を改善し、Skype に(リンクのみではなく)フル画像を送るようにし、システムオーディオの録音に関係するいくつかのバグを修正し、OS X 10.10 Yosemite のメニューバーと dark mode を改善し、Mac Pro での録画を改善している。(Global Delight から新規購入 $29.99、TidBITS 会員 25 パーセント割引、 Mac App Store からも購入可能、無料アップデート、30.2 MB、10.8+)

Voila 3.8.3 へのコメントリンク:

セキュリティアップデート 2015-003 (Yosemite) -- Apple が OS X 10.10 Yosemite 用にセキュリティアップデート 2015-003 をリリースした。今月二度目のセキュリティアップデートだ。(2015 年 3 月 10 日の記事“セキュリティアップデート 2015-002 (Mountain Lion, Mavericks, Yosemite)”参照。)今回のリリースは 10.10.2 Yosemite 専用で、元来セキュリティアップデート 2015-002 の一部であった 2 件の脆弱性の修正に向けての再度の対策、すなわち iCloud Keychain の境界チェックの改善と、IOSurface によるシリアル化オブジェクトの処理(いずれも任意のコードが実行されるのを防ぐため)を試みている。今回もまた、アップデートは二種類ある。一つは Early 2015 Mac 用 (2015 年 3 月 9 日の記事“新型 12 インチ MacBook 登場、MacBook Air と MacBook Pro 更新”参照)で、もう一つはそれ以前の Mac 用だ。(無料。10.10.2 Yosemite 用 5.3 MB、Early 2015 Mac 上の Yosemite 用 4.9 MB)

セキュリティアップデート 2015-003 (Yosemite) へのコメントリンク:ート 2015-003 (Yosemite) へのコメントリンク:

Typinator 6.5 -- Ergonis が Typinator 6.5 をリリースして、OS X のシステムワイドの "smart substitutions" 機能を制御できるオプションを新設し、標準の(スマートクォートでない)引用符を必要とする展開で問題が起きるのを予防した。Typinator 6.5 はデフォルトで smart substitutions をオフにするが、展開フィールド内で右クリックして Substitutions サブメニューからオプションを選べばオンにできる。引用符といえば、Typinator 6.5 はネストされた略語でフランス流の引用スタイル(二重山型引用符と非区切り空白文字を使う)にも対応するようになった。今回のアップデートではまた、新規の項目を作成した直後に "must not be empty" メッセージを表示しなくなり、"quick expansion" オプションが有効の場合に OS X 10.10 Yosemite の共有ウィンドウでテキストを展開するとクラッシュしたのを回避し、Fluid により作成されたアプリの中でカーソルの位置取りに関するバグがあったのを修正し、いくつか特定の状況下でログの書き込み量を減らしている。(新規購入 24.99 ユーロ、Audio Hijack 3.0.3には 25 パーセント割引、6.9 MB、リリースノート、10.6.8+)

Typinator 6.5 へのコメントリンク:

Audio Hijack 3.0.3 -- Rogue Amoeba が Audio Hijack 3.0.3をリリースし、このオーディオ録音ユーティリティで全体的に待ち時間を大幅に減らした。さらに、待ち時間が増えないようにするための改善も施した。Audio Hijack にはまた夏時間への切り替えに関係したバグもあったが、バージョン 3.0.3 ではこれを修正してタイマーが一年中どの日にも正しく働くようにした。今回のアップデートではまた、AAC および ALAC 録音の最終段階(例えば分割したファイルに正しく名前付けするなど)を改善し、Recordings と Schedule のタブに Delete Recording と Delete Timer のボタンを追加し、Recordings と Schedule のタブで複数項目の選択が正しく働くようにし、その他さまざまのインターフェイス改善を加えている。(新規購入 $49、 TidBITS 会員には 20 パーセント割引、バージョン 3.0 のライセンスがあれば無料アップデート、旧バージョンからのアップグレード $25、14.3 MB、 リリースノート、10.9+)

Audio Hijack 3.0.3 へのコメントリンク:

Nisus Writer Pro 2.1 -- Nisus Software が Nisus Writer Pro 2.1をリリースし、 OS X の Auto Save および Versions 機能への対応を追加した。このワードプロセッサは今回から、開いているすべての書類に対して独自の方法でなく OS X の方法を使って変更点を自動的に保存するようになり、どんな書類でもその書類の旧バージョンをブラウズしたりそこへ復帰したりできるようになった。今回のアップデートではまた、Nisus Writer Pro を 64-bit に切り替え、iCloud への対応を追加し、従来は別個にあった Nisus Thesaurus を統合し、Edit > Repeat コマンドを追加して最後に使ったメニューまたはパレットのコマンドを繰り返すことができるようにし、ターゲットのブックマークの名前を表示する相互参照を挿入する機能を追加し、マクロに数多くの拡張を施している。(全般的な機能のリストは 2011 年 6 月 8 日の記事“Nisus Writer Pro 2.0 レビュー”を参照。)長々しいバグ修正リストの中から主なものを挙げれば、インライン画像がある種の組み合わせで含まれていた場合に書類を開くとハングする可能性があったのを修正、テキストレイアウトに関係していくつかクラッシュの可能性があったのを予防、また Apple のテキストエンジンがある種のバグに遭遇した際の挙動を改善している。注意したいのは Nisus Writer Pro 2.1 がサンドボックス化されたことで、そのためマクロファイルやその他アプリ自身のサンドボックス空間外にある場所にアクセスする際にアクセス権を認めたりする手間が必要となるかもしれない。今回からシステム要件が Mac OS X 10.7.5 Lion またはそれ以降と明記されたが、10.4 Tiger から 10.6 Snow Leopard までを走らせている人のために Nisus Writer Pro 2.0.2 も引き続き利用可能となっている。(新規購入 $79、無料アップデート、188 MB、リリースノート、10.7.5+)

Nisus Writer Pro 2.1 へのコメントリンク:


ExtraBITS、2015 年 3 月 23 日

  文: TidBITS Staff: editors@tidbits.com
  訳: Mark Nagata <nagata@kurims.kyoto-u.ac.jp>

今週のリンクまとめでは、Tim Cook が Steve Jobs について、Apple Watch について秘密を打ち明け、現代の Photoshop 専門家たちが Photoshop 1.0 を使ってみようと試み、編集主幹 Josh Centers が Subjective ポッドキャストに出演する。

Tim Cook、Jobs の遺産と Apple Watch について語る -- Fast Company のインタビューに応じて、Apple CEO の Tim Cook が Steve Jobs の遺産について、Apple Watch について、また Apple の未来についていろいろと質問に答えた。Cook は Apple Watch を初代の iPod と比較しつつ弁護し、当時もその目的と価格について疑問と批判が集中したと述べた。Apple が変わりつつあるのではないかという懸念に対しては、Cook は同社が Jobs の下でも変化していたと語り、Jobs を「世界最高のどんでん返しの名人」と形容した。ただ、Apple の本質的価値は決して変わることがないと Cook は述べた。

コメントリンク: 15502

Photoshop 専門家たちが Photoshop 1.0 を試す -- Photoshop の 25 周年を記念して、CreativeLive が 8 人の Photoshop 専門家たちに、あるプロジェクトを Photoshop 1.0 で完成させるよう依頼した。このビデオはとても愉快で、この四半世紀の間に写真の編集(とコンピューティング)がどれほど大きく進化したかがよく分かる。

コメントリンク: 15501

Josh Centers、Subjective ポッドキャストで Apple の発表を議論 -- 編集主幹 Josh Centers が Subjective ポッドキャストでホストの Victor Johnson と対談し、TidBITS の起源、HBO Now、Apple TV、Apple Watch、また Mac 製品シリーズに対する彼自身の不満について議論した。

コメントリンク: 15498


tb_badge_trans-jp2

TidBITS は、タイムリーなニュース、洞察溢れる解説、奥の深いレビューを Macintosh とインターネット共同体にお届けする無料の週刊ニュースレターです。ご友人には自由にご転送ください。できれば購読をお薦めください。
非営利、非商用の出版物、Web サイトは、フルクレジットを明記すれば記事を転載または記事へのリンクができます。それ以外の場合はお問い合わせ下さい。記事が正確であることの保証はありません。
告示:書名、製品名および会社名は、それぞれ該当する権利者の登録商標または権利です。

TidBITS ISSN 1090-7017©Copyright 2014 TidBITS: 再使用はCreative Commons ライセンスによります。

Valid XHTML 1.0! , Let iCab smile , Another HTML-lint gateway 日本語版最終更新:2015年 3月 27日 金曜日, S. HOSOKAWA