Mozillaは9日、オープンソースのセキュリティ向上を進めるための基金「Secure Open Source Fund (SOS Fund)」の開始を発表した(The Mozilla Blogの記事、 BetaNewsの記事、 Softpediaの記事、 V3.co.ukの記事)。

HeartbleedやShellshockのように一般向けのニュースにも取り上げられるようなオープンソースソフトウェアの重大な脆弱性が見つかっているにも関わらず、現在でもオープンソースソフトウェアのセキュリティを向上させるための十分な援助が行われているとはいい難い状況だという。

SOS FundはMozilla Open Source Support(MOSS)プログラムの一部となる。当初は50万ドルが割り当てられ、重要なオープンソースプロジェクトについて、セキュリティ監査と修正、修正の検証という3つのステップで必要な資金や人材を提供する。既に3件のオープンソースソフトウェアでテストを行い、合計43のバグを発見・修正したとのこと。

MozillaではSOS Fundがきっかけとなり、オープンソースソフトウェアを使用する多くの企業や政府がセキュリティ向上のための資金を援助するようになることを望んでいるとのことだ。

あるAnonymous Coward 曰く、

シンガポールが公務用端末でインターネット接続をブロックすることを決めた（BBC、AFP）。

政府はマルウェアによる情報漏洩やサイバー攻撃を防止することで「より安全な職場環境」を実現できるとしている。公務関連のメールを私用メールに転送することも禁じられる。すで公務に携わる特定グループの作業端末でインターネット接続の切断を始めており、今後1年かけて残りの端末でも順次実施していくとのこと。対象となる端末は10万に上るとのことで、2017年5月には完了予定という。

電子メールは今後も利用でき、インターネット接続に関しては専用の端末が設置されるとのこと。また個人の端末でのインターネット接続は制限されない。

シンガポールはインターネットが非常に普及しており、医療や行政などインターネットを通じて利用できるサービスも多い。今回の決定は同国で驚きや懐疑的な反応を呼んでいるとのことだ。

headless 曰く、

ノートPCなどに搭載されたWebカメラが乗っ取られて盗撮に使われる可能性は以前から指摘されており、スラドでも「使わないWebカメラはテープでふさげ」といった話題にもなっているが、実際にWebカメラを物理的にふさぐ人が増えているそうだ（The Guardianの記事）。

Webカメラをふさぐ方法としてはテープやステッカーのほか、必要に応じて開閉可能なシャッター式の専用カバーや貼り直し可能な素材の専用カバーといったものもある。EFFでは2013年から専用ステッカーを販売しており、宣伝用のノベルティー商品を企業向けに販売するIdeaStageではシャッター式のWebカメラ専用カバーが最も人気のある商品になっているという。

米連邦捜査局（FBI）局長のジェームズ・コミー氏は4月に講演で自分の使用するノートPCのWebカメラにテープを貼っていることを明らかにしており、オリバー・ストーン監督の次回作映画「SNOWDEN」の予告編ではタイトルロールのエドワード・スノーデンがWebカメラを不安げに見つめる場面が登場する。個人的には普段使用するノートPC1台のみWebカメラにステッカーを貼っているが、スラド読者の皆さんは何かしているだろうか。

caret曰く、

セキュリティ企業Duo Securityの研究部門Duo Labsが5月31日、PCにプリインストールされているソフトウェアに関する調査書「Out-of-Box Exploitation: A Security Analysis of OEM Updaters」を発表した（Duo Labsの投稿、ITmedia、ZDNet Japan、マイナビニュース、GIGAZINE）。

この調査書では、Acer、ASUS、Dell、HP、Lenovo製のPCにプリインストールされているソフトウェアに深刻な脆弱性が存在することが指摘されている。これを受け、Lenovoはセキュリティアドバイザリで「Lenovo Accelerator Application」をアンインストールするようアナウンスした（レノボ セキュリティ アドバイザリ、ZDNet Japan、ITmedia、マイナビニュース）。

また、Acerは脆弱性が指摘された「Acer Care Center」の問題を解決するアップデートを配信した（日本エイサー株式会社のお知らせ）。

DELLは「現時点において当社の顧客がこの問題の影響を受けることはない」という旨の声明を発表している（デル株式会社の声明）。Duo Labsが報告する前に、脆弱性を解決するアップデートをリリースしていたためだという。

ASUSは脆弱性を認めたが、まだ修正が完了していないもようだ。HPは、すでに脆弱性を修正しているとのこと。

headless 曰く、

三菱自動車のハイブリッド車、アウトランダーPHEVのリモートコントロール機能で見つかったセキュリティ上の深刻な問題が公表されている（Pen Test Partnersのブログ記事、BBC News、Register）。

モバイルアプリによるリモートコントロール機能を備える自動車の多くはモバイル通信モジュールを搭載し、Webサービスを経由して操作を実行する。一方、アウトランダーPHEVは無線LANアクセスポイントを搭載しており、スマートフォンと直接接続して操作を行う仕組みになっている。無線LAN接続方式は通信費やWebホスティングの費用がかからず、開発費用も抑えられるが、アウトランダーPHEVの場合はセキュリティ面があまり考慮されていないのだという。

アウトランダーPHEVでは、無線LANアクセスポイントのSSIDとパスワードがキーレスオペレーションキーに添付された登録情報カードに記載されている。SSIDの変更は可能だが、パスワードを変更することはできないそうだ。問題を発見したPen Test Partnersによれば、パスワードは単純で非常に短いため、GPUを使ったクラックツールを用いて4日以内で解読に成功したという。

SSIDは「REMOTEnnaaaa」(nは数字、aは小文字の英字)となっており、WiGLEのような無線ネットワークマップを利用すれば場所を簡単に特定できる。モバイルデバイスの認証はアクセスポイントへの接続だけで完了し、あとはメッセージを送信して操作を実行可能となる。操作はライトやエアコンのオン/オフ、充電時刻の変更といったもののほか、盗難防止アラームの無効化も可能だったとのこと。

Pen Test Partnersによれば、この問題に対する短期的な対応としては、すべてのモバイルデバイスの登録を解除することだ。これにより、Wi-Fiモジュールはオフになり、キーレスオペレーションキーのLockとUnlockを交互に10回押さなければオンにならない。ただし、モバイルアプリからのリモートコントロール機能は利用できなくなる。中期的な対応としては無線LANモジュールのファームウェア更新、長期的な対応としては無線LAN方式をやめることが提案されている。

当初、Pen Test Partnersから問題を報告された三菱自動車は、あまり興味を示さなかったが、BBCに連絡して報道してもらったところ、問題を深刻に受け止めるようになったという。現在、三菱自動車では上述の中期的な対応を準備しているとのことで、オーナーには短期的な対応の適用を勧めているとのことだ。

B-CASカードを利用せず、無料で有料放送の視聴を可能にするプログラム「FreeCAS」を独自に開発したという17歳少年が、不正競争防止法違反（技術的制限手段回避装置の提供）容疑で逮捕された。有料放送を無料で視聴できるよう改造したB-CASカードを販売して摘発された例はすでに何件もあるが、B-CASカードを使用しないで有料放送を視聴できるようにしたプログラムでの摘発は全国初だという（日経新聞、NHK、朝日新聞）。

この少年はデジタル放送の仕様書を読むなどして、独自にプログラムを作成したと見られている。このプログラムを利用した放送の視聴には別途暗号鍵の情報が必要だが、この情報はネットで不正に公開されているという。

headless 曰く、

マーク・ザッカーバーグ氏のTwitterアカウントとPinterestアカウントが一時乗っ取られた。実行したOurMine Teamでは、LinkedInから流出したパスワードを使用したと主張しているそうだ（VentureBeat、Guardian、Softpedia）。

LinkedInでは2012年に情報流出事件が発生したが、この際に別途取得したというアカウント情報が売りに出されていたことが5月に報じられている。2012年当時は約650万件の暗号化されたパスワードファイル（SHA-1、ソルトなし）のみがオンラインで公開され、LinkedInでは具体的な流出数を明らかにしていなかった。しかし、ダークウェブで売り出されたアカウント情報は1億6,700万件。このうち1億1,700万件はメールアドレスと暗号化されたパスワードが含まれていたという。

LinkedInでは影響を受けるユーザーのパスワードをリセットするなどの措置を取っているが、共通のパスワードを使用している他のWebサービスは放置されるケースも多い。

OurMine Teamはサウジアラビアのハッキンググループで、現在凍結されているTwitterアカウント（Googleキャッシュ）では、このほかにもビル・ゲイツ氏のアカウントなどを乗っ取ったとも主張している。また、ザッカーバーグ氏のInstagramアカウントも乗っ取ったと述べていたらしいが、Facebookでは同社の運営する各サービスに関しては不正にアクセスされた形跡はないとコメントしているとのこと。

なお、ザッカーバーグ氏のTwitterアカウントは2012年以来投稿がなく、Pinterestについてもあまり使っていなかったようだ。

masakun 曰く、

福井県池田町で議会事務局のPCがマルウェアに感染し、議員住所録が流出した恐れがあることが明らかになった（福井県池田町のお詫び、中日新聞、読売新聞）。

議会事務局長（55）が6月3日にアダルトサイトを閲覧したところ、画面に「ウイルス感染している。対応方法を電話で教える」というメッセージとIP電話の電話番号が表示されたという。そのため事務局長はこの連絡先に電話し、片言の日本語を話す相手の言いなりで遠隔操作アプリをインストールさせられ、電話がつながったまま90分ほど相手の操作を見守っていたという。

町は「全職員に綱紀粛正を徹底させる」としているが、そもそも有害サイトフィルタリングをしていれば防げたんじゃないの、これ？

あるAnonymous Coward 曰く、

米PhishMeのレポートによると、今年3月末時点の全フィッシングメールの93％に暗号化を行い身代金を要求するためのランサムウェアが含まれているという。昨年12月の段階では59％だったとのことで、急激にランサムウェアの利用が広がっているようだ。さらにフィッシングメールの数も2015年の第4四半期から789％も増加し、630万件に達したという（CSO、Slashdot）。

ランサムウェアは、クレジットカード情報を盗むようなマルウェアよりも迅速であり、少ない投資で大きなリターンを得ることができる。クレジットカードは止められる前に現金を引き出さなければならないが、ランサムウェアは容易に金銭を取得できるうえ、メールで送信するだけで作業が完了する。このことがランサムウェア増加の原因だとしている。

PCを遠隔操作するソフトウェア「TeamViewer」を利用しているユーザーを狙い、外部から不正にPCを操作するケースが多発しているという（GIGAZINE）。

こういったケースの多くは他社サービスなどから流出したID/パスワードによってTeamViewerに不正ログインされているとのことで、PCを遠隔操作してネットショッピングサイトで不正に商品やギフト券などが購入される例が報告されている（Togetterまとめ、「独房の中」ブログ）。

なお、TeamViewer側は不正対策の1つに「推測されにくい安全なパスワードを設定して頻繁に変更する」ことを挙げているが、「ほかのサービスとは異なるパスワードを設定する」が基本的かつもっとも重要な対策ではないだろうか。

米国の空港では米運輸保安庁(TSA)による保安検査の効率が問題となっているが、デルタ航空が本拠地のアトランタ国際空港に保安検査を高速化する2列の「Innovation Lane」を設置したそうだ(ニュースリリース、 The Next Webの記事、 動画)。

Innovation Laneは1列に並んで順番を待つのではなく、5か所から同時に手荷物をX線検査用のコンベアに載せられる仕組みになっている。そのため、トレイに載せる手荷物を用意するのに手間取る人を待つ必要はなく、準備ができた人から順にボディースキャナーに向かうことができる。

手荷物はコンベアに載せた順に出てくるため、受け取り時の混乱もあまりないという。また、トレイの回収は自動化されており、追加の検査が必要になった場合のルート変更も自動で行われるとのこと。これにより、デルタ航空では効率の倍増を期待しているそうだ。

デルタ航空はInnovation Laneの設置にアトランタだけで100万ドルをかけているが、他の空港にも展開するかどうかは明らかにしていない。なお、保安検査自体はTSAが行っているようだ。

一方、シカゴのオヘア国際空港とミッドウェイ国際空港では、5月前半に保安検査の待ち時間が1時間を超え、5月15日にはアメリカン航空の乗客約450人がオヘア国際空港に一晩足止めされる事態になっていたという。そのため、TSAでは保安検査の要員を増員して対応し、5月下旬には両空港とも待ち時間が10分以内に短縮されたとのことだ(Chicago Tribuneの記事)。

ナチス・ドイツのアドルフ・ヒトラーらが使用していた暗号装置「ローレンツ」と見られるものがネットオークションに出品されており、10ポンド（約1600円）で落札されたという（AFP）。

落札したのは英国立コンピュータ博物館の研究者ら。この機械は物置小屋の床に置かれ、がらくたに囲まれていたという。

Microsoftでは他のWebサービスから流出したパスワードによる攻撃に対抗するため、ありがちなパスワードの使用を禁止する措置を取っているそうだ(Active Directory Team Blogの記事、 The Registerの記事、 Softpediaの記事)。

Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。

Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。

こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。

なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。

あるAnonymous Coward 曰く、

近年では偽造クレジットカード対策のためICチップが埋め込まれたカードが多いが、一方で店頭にあるクレジットカード端末においては、まだICチップ非対応のものが少なくない。そのため、経済産業省がクレジットカード端末のICチップ対応を義務付ける法改正を行う方針だという（NHK）。

2020年の東京オリンピックを念頭に、早ければ再来年にも義務化を始める方向だという。

「盗聴器は発見するよりも妨害するほうが早い」という話がラジオライフ.comで紹介されている。そのため、「盗聴妨害機」なるものが販売されているそうだ。

この盗聴妨害機「TB-2000」は、スピーカーから人間の音声帯域をカバーする妨害音を出すことで盗聴を阻止するというデバイス。女性の声および男性の声に適した妨害音を鳴らせるそうだ。

また、壁に直接マイクを当てて隣室の会話を聞く「コンクリートマイク」に特化した妨害音発生器もあるそうだ。この製品「TBX-1000」は、壁に接触させた状態でスイッチを入れることでノイズを発するとともに振動してコンクリート越しでの盗聴を妨害するという。