insiderman 曰く、

先日、セキュリティ関連ブログが最大620Gbpsにも達する巨大なトラフィックを使ったDDoS攻撃の対象になった話が報じられていたが、この攻撃に使われたマルウェアのソースコードがハッカーフォーラムに投稿されたという（ITmedia）。

このDDoS攻撃はDNSの脆弱性などではなく、直接多数のマシンを操作して行われたことが明らかになっている。このマルウェアは「Mirai」と呼ばれており、インターネットに接続されているルーターや防犯カメラ、プリンタなどを狙って感染するそうだ。デフォルト設定のままパスワード等が変更されていないデバイスなどは、これに見つかると簡単に乗っ取られてしまうおそれがあるという。

あるAnonymous Coward曰く、

内部告発サイト「ウィキリークス」創設者のジュリアン・アサンジ氏が4日、年内に「3カ国」の政府および米大統領選に関する文書100万件程度を今後10週間、毎週公開する方針を明らかにした（CNET、ロイター、FOXNEWS、時事通信、Slashdot）。

公開される情報には、武器取引や監視社会に関連した情報も含まれているという。NBCのJesse Rodriguez氏によれば、この発表は3日にロンドンのエクアドル大使館のバルコニーから行われる予定だったが、セキュリティ上の問題が生じたとしていったん延期されたという。4日の発表では同サイト開設10年に合わせたベルリンでの記者会見にインターネット中継で参加している。

なおSputnikによれば、2010年11月にクリントン氏は米国当局と会談し、ドローンによってアサンジ氏を「除去する」ことは出来ないのかと尋ねたことがあると報じられている

人事院が国家公務員に対する懲戒処分の指針を改正し、国家公務員の秘密漏洩について、「具体的に命令され、又は注意喚起された情報セキュリティ対策を怠ったことにより、職務上の秘密が漏えいし、公務の運営に重大な支障を生じさせた職員は、停職、減給又は戒告とする」との内容を追加したとのこと（日経ITpro）。

従来は故意に秘密漏洩を行った場合のみが処分対象だった。厳重な情報管理を促すのが狙いだという。

Kaspersky Labなどが21か国・1万2546人を対象に行った調査結果によると、自分がサイバー犯罪者の標的になりうると考えていると考えていると回答したのは21％で、また中高年ユーザーにおいては14％だったそうだ（BIGROBEセキュリティ）。

また、マルウェアに感染したことがあるというユーザーは22％、中高年ユーザーにおいては12％だったが、回答者全体のうち20％が「脅威に遭遇した中高年層の近親者がいる」と回答しているとのこと。

さらに日本の回答者については、自分がサイバー犯罪の標的になりうると回答したのはわずか11％で、またコンピューター、タブレット、スマートフォンに一切パスワードや認証を設定しない人は25%に上るという。

カプコンの人気ゲーム「ストリートファイターV」のPC版で、アップデートを行うとrootkitのようなチート対策ツールが導入されるとして批判される事態が発生していたが（過去記事）、カプコンが10月1日、該当のファイルを削除するための削除ツールを配信したと発表した（4Gamer）。

カプコンは当初、多数のプレーヤーからゲームが起動できないという報告を受けての対策としていたが、その後セキュリティ上の問題があることを認め、新たに削除ツールを提供した形となった。

あるAnonymous Coward曰く、

先日、中国大手SSL認証局「WoSign」で不正に証明書を取得できてしまう問題が明らかになったが、これを受けてFirefoxが同社の発行した証明書をブロックする方針を固めたようだ（GIGAZINE、Threatpost）。

WoSignで明らかになった問題点として、あるドメインに対しそのサブドメインに対応付けられたサーバーの管理権限を持っていれば、そのルートドメインに対するSSL証明書を取得できるというものが挙げられていた、これ以外にもSSL証明書無料発行サービスを提供しているイスラエルのStartComを買収していたにも関わらずそれを公開していなかったり、「2016年以降発行すべきではない」とされていたSHA-1を使った証明書を日付を偽装して発行していたことなども判明しているという。

各種ゼロデイ脆弱性を利用したエクスプロイトの買い取りを行うZERODIUMが、買い取り価格をiOSで3倍、Andoridで2倍にするなど大幅な価格改定を行っている(ZERODIUM — エクスプロイト買い取りプログラム、 Ars Technicaの記事、 V3の記事、 MacRumorsの記事)。

ZERODIUMは昨年、iOS 9のリモート脱獄報奨金プログラムを期間限定で実施し、1チームに100万ドルを支払っているが、通常の買取価格は50万ドルとなっていた。今回の改定により、iOS 10では期間が限定されることなく最高150万ドルが支払われることになる。また、Androidのリモート脱獄でも、Android 7では従来の10万ドルから倍増し、20万ドルとなっている。大幅な買取価格の上昇は、iOS 10とAndroid 7のセキュリティ向上に伴うものだという。

このほか、リモートコード実行+サンドボックス迂回については、Flashで2万ドル増の10万ドル、Microsoft Edge/Internet Explorer/Safariでは3万ドル増えて8万ドルとなるなど、そのほかの脆弱性についても価格改定が行われている。

秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの最弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。

Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。

ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。

記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。

headless 曰く、

インターネット史上最大規模というDDoS攻撃を受けてオフラインになっていたジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」が25日、DDoS緩和サービスをAkamaiからGoogleのProject Shieldに変更して復活した（Krebs on Securityの記事1、記事2）。

DDoS攻撃はKrebs on SecurityがDDoSサービス「vDos」について報じた直後から始まっており、9月20日には620Gbpsに到達。Akamaiが過去に防いだ最大のDDoS攻撃のトラフィックは363Gbpsであり、今回の攻撃はその2倍近いものだったという。また、363Gbpsの攻撃では乗っ取ったシステムで構築したボットネットからDNSリフレクション攻撃やDNSアンプ攻撃と呼ばれる手法を用いてトラフィックを増幅していたのに対し、今回は非常に多くのIoTデバイスを乗っ取って構築したボットネットから直接攻撃を受けたとみられるとのこと。

DDoS攻撃のトラフィックには逮捕されたvDosの運営者のハンドルネーム「Applej4ck」を含む「freeapplej4ck」という文字列が含まれており、Krebs氏は攻撃がvDosに関連したものとみているようだ。この攻撃をAkamaiは防いでいたが、これ以上攻撃が続くと数百万ドルの損害が出るとしてサイトはオフラインとなった。Krebs氏はAkamaiから無料でサービスの提供を受けていたため、この判断に異論はなく、代替となるDDoS緩和サービスプロバイダーを探すことになる。

しかし、援助を申し出てくれたプロバイダーは攻撃に対抗するのに十分な力がなく、Akamaiと同レベルの保護を提供可能な1社は、最初の2週間のみ無料でサービスを提供するが、その後は年間15万ドル～20万ドルかかると言われたとのこと。これは独立したジャーナリストが支払える金額ではなく、非営利団体の設立やクラウドファンディングでの資金調達も考えたそうだ。

最終的にKrebs氏が利用を決めたProject Shieldは、Googleのインフラを利用して独立ニュースサイトをDDoS攻撃から保護し、言論の自由を守ることを目的にしたサービスだ。レイヤー3/4およびレイヤー7攻撃を含むマルチレイヤーでの防御システムを備え、無制限に無料で利用できる。

Krebs氏はEFFの共同創設者であるJohn Gilmore氏の「インターネットは検閲をダメージとみなし、それを迂回する」という言葉を引用し、現在では「実際には検閲がインターネットを迂回できる」と述べている。かつて権力者のものであった検閲だが、現在のインターネットでは誰もがDDoS攻撃でWebサイトをオフラインに追い込むことが可能となった。Krebs氏はこのような「検閲の民主化」は歓迎できないとも述べている。

キヤノンITソリューションズが販売するセキュリティソフト「ESET」シリーズは、9月21日にリリースされたMac OS Xの新バージョン「macOS Sierra（10.12 ）」に対応していないそうだ。このことについてITmediaで、『果たしてOS自体のアップグレードによる「脆弱性が多数修正される」というメリットを取るべきか、セキュリティ総合対策ソフトによる「OSではカバーしきれない安全、安心」を取るべきか』と取り上げられている。

なお、記事によるとESETの英語版はSierraのリリース前に対応版が公開されているとのことで、日本向けローカライズが遅れているのが問題のようだ。

あるAnonymous Coward曰く、

総務省が「無線LANビジネスガイドライン」の意見募集結果と、意見募集などを踏まえた第2版を公表した。このガイドラインは、公衆無線LANサービスを提供する事業者が円滑に事業展開し、利用者が安心・安全なサービスを享受できる環境づくりに資することを目的としている。

総務省は、訪日外国人が一度の利用開始手続で複数の事業者の無料公衆無線LANサービスに接続できるよう実験を行っている（「無線LANビジネスガイドライン第2版」PDF 26ページ）。ところが、その認証仕様の詳細はセキュリティの観点から公表しないという。

これに対し、その方針は不適切ではないかという意見が出たが、提出意見を踏まえた案の修正は無かった（「無線LANビジネスガイドライン」の改正案に対する意見募集の結果と総務省の考え方」PDF 5ページ）。

米Yahoo!が22日、同社サービスの利用者5億人超の個人情報が流出していたことを発表した（読売新聞、朝日新聞、TechCrunch）。

流出したのは名前および電話番号、生年月日、メールアドレス、暗号化されたパスワード、本人確認のために利用者が設定した質問と答えなど。銀行口座やクレジットカードなどについては流出していないという。

5億件以上の個人情報流出というのは最大規模で、政府の支援を受けたサイバー攻撃の可能性もあるという。また、いつ流出が確認されたかは明らかにされていない（ロイター）。Yahoo!は米Verizonとの間で事業売却に合意しており、これに影響が出る可能性もある。さらに、ユーザーらがYahoo!に対し、顧客データの保護を怠ったとして提訴する動きも相次いでいる（ブルームバーグ）。

headless 曰く、

iTunesアプリで作成したiOS 10の暗号化バックアップファイルがiOS 9のものと比べて最大2,500倍容易にクラックできることが判明したそうだ（Elcomsoftブログ、Softpedia、The Next Web、MacRumors）。

この問題はElcomsoftが同社の「Elcomsoft Phone Breaker」をiOS 10に対応させるための調査を行っていた際に判明したものだという。iOS 10では従来のパスワード認証メカニズムに加え、新たなパスワード認証メカニズムが導入されているのだが、新しいメカニズムでは特定のセキュリティチェックが行われないのだという。その結果としてパスワードの試行にかかる時間が大幅に短くなるそうだ。

現在のところ、iOS 10のバックアップをクラックする場合にはGPUアクセラレーションが使用できず、CPUのみでの処理となる。それでも秒間600万個のパスワードが試行でき、GPUアクセラレーションを使用してiOS 9のバックアップをクラック(秒間15万個)するのと比べて40倍高速だという。CPUのみでiOS 9のバックアップをクラック(秒間2,400個)するのと比べれば2.500倍高速とのこと。

Appleでもこの問題を認識しており、今後のセキュリティアップデートで修正する予定とのことだ。

カプコンが23日に配信した「ストリートファイターV」のPC版アップデートがルートキット/マルウェアのようだと批判され、翌日にはロールバックする事態になっている(Ars Technicaの記事、 Polygonの記事、 The Registerの記事)。

カプコンのWebサイトでのアップデート告知には「セキュリティの強化を行いました」としか説明されていないが、Steamコミュニティの告知ではチート防止およびゲーム内通貨やコンテンツの不正取得防止のためのアンチクラックソリューションが含まれると説明されている。

この「ソリューション」はカーネルレベルで動作するドライバーを使用し、ゲーム起動時に改変をチェックするものだ。しかし、このドライバーについて、初回登録時にランダムな名前が割り当てられる、基本的なセキュリティチェックが行われない、SMEPを一時的に無効化するといった問題が指摘される。また、Webサイトで説明されている「ゲーム起動時に告知ウィンドウが毎回表示されるようになります。」というのはUACのウィンドウのことだったようだ。

これによりゲームを起動できなくなったユーザーもいるようで、苦情が寄せられる結果となる。カプコンはアンチウイルスソフトウェアやDEPによりブロックされている可能性もあるとして、「StreetFighterV.exe」をアンチウイルスソフトウェアやDEPの除外リストに入れるという回避策をブログで紹介していたが、最終的にはアンチクラックソリューションを除去したアップデートを24日にリリースすることとなった。

あるAnonymous Coward曰く、

大手ドメインレジストラ/レンタルサーバー業者の米GoDaddyが2016年9月13日、DNS設定を行うためのAPI「Domain Connect」を発表した（ProgrammableWeb、 PR Newswire、Slashdot）。

このAPIではIPアドレスとドメイン名の紐付けなどのDNS関連設定を容易に行うことができるという。サービスプロバイダとしてすでにMicrosoftやshopify、WiXなどのホスティング業者がこの規格に対応しているとのことで、またGoDaddyだけでなくname.comやUnited Domainsなどのドメインレジストラもこの規格をサポートしているようだ。今後この規格をIETF標準にすることも目指しているという。