Avast Softwareは7日、AVG Technologiesを買収することで合意に達したことを発表した(プレスリリース、 The Next Webの記事、 V3.co.ukの記事、 VentureBeatの記事)。

AvastはAVGの発行済み普通株すべてについて、現金での買収を株主に提案する。買収額は1株当たり25ドル。7月6日の終値に対して33％、過去6か月の平均価格に対して32%のプレミアムが加算されており、総額およそ13億ドルと見込まれる。

AvastとAVGはともにチェコ共和国で設立(設立当時はチェコスロバキア)されたセキュリティソフトウェア企業であり、文化やミッションには共通性がある。AvastのユーザーにAVGのユーザーが加わることで、Avastのエンドポイントは合計4億件、うちモバイルデバイス1億6千万件まで増加する。規模が大きくなることで、Avastは技術的により進んだ個人向けセキュリティ/プライバシー製品を開発できるようになるとのことだ。

中国・百度（バイドゥ）は「Baidu Browser」なるWebブラウザを提供しているのだが、このブラウザのセキュリティが酷いことになっているようだ（「黒翼猫のコンピュータ日記 2nd Edition」ブログ）。

このブラウザはChromeをベースにしているようなのだが、同梱されているFlash Playerのバージョンが古かったり、使われているSSLライブラリのバージョンも古かったりといった問題があるという。

さらに、インストール時に「Customer Experience Improvement Program」への参加を有効化した際に利用状況データが暗号化されずに送信される点も指摘されている。これは以前セキュリティ研究者らからの指摘があり、百度側も修正するとしていたそうなのだが、放置されているようだ。

セキュリティ的に不備のある設定がされたまま放置されているインターネット接続カメラは以前から問題となっているが、このようなカメラを乗っ取ってボットネットを構築し攻撃を行う事例が確認されたという（GIGAZINE、Sucuri Blog）。

いわゆるIoTデバイスを使ってサイバー攻撃を行う例は今までもあったそうだが、カメラのみを使用して長期に渡って攻撃を行う例はこれまで観測されていなかったという。攻撃に使われたカメラは台湾や米国、インドネシア、メキシコなどのもので合計で2万5000台以上が使われたと見られている。

なお、攻撃には複数のメーカーのカメラが使われていたようだが、すべてで「Cross Web Server」というWebサーバーが稼動していたという。

Googleのセキュリティ調査チーム「Project Zero」が、Symantec製品全般に極めて重大な脆弱性があることを発見した（Project Zeroのブログ、Symantecのセキュリティアドバイザリ、ITmedia）。

発見された脆弱性の多くはリモートからの任意のコード実行を可能にするもので、ユーザーからの操作を必要とせずに攻撃を行える点や、セキュリティ製品には通常大きな権限が与えられている点などが指摘されている。

なお、Symantecはすでにこの脆弱性を修正するアップデートを提供している。

「Google デバイスがハッキングされた可能性があります」などとの画面を表示してセキュリティソフトのようなものをインストールさせようとする広告は以前からあったが、このような広告を使ってインストールを行わせている「GO Security」というAndroidアプリがGoogle Playのレビューでは大好評となっている。

GO Securityについては、6月10日に「情報科学屋さんを目指す人のメモ」ブログにて、「Google デバイスがハッキングされた可能性があります」という旨のメッセージを出す広告を表示していることが指摘されている。この広告画面は、実際にセキュリティ的な問題がなくとも表示されるようだ。しかしGoogle PlayのGO Securityページを見ると、8万件近くの「★5」レビューが付いており、「助かった」というコメントも多数寄せられている。

Go Securityは無料でインストールできるためインストールするだけでは特に金銭的損害はなく、セキュリティスキャン機能も動いているように見えるが、実際にどの程度の効果があるかどうかは不明だ。

CEOを装ったフィッシングメールによる「CEO詐欺」では、決裁権のある重役が主なターゲットとなる。AlienVaultがセキュリティプロフェッショナルを対象に行った調査によれば、自分の会社の重役がCEO詐欺のようなフィッシング詐欺に引っかかったことがあるとの回答が37%に上ったそうだ(AlienVaultのブログ記事、 V3.co.uk)。

調査は6月に開催されたInfo Security Europe 2016の会場で行われ、セキュリティプロフェッショナル300名近くが回答した。重役がCEO詐欺の被害者になったことはないという回答も39.1%あったものの、23.9%は「わからない」と答えたそうだ。重役がCEO詐欺に引っかかる可能性についての質問では、重役らが危険性を熟知しているという回答は18.5%に過ぎず、可能性としては他の人々と変わらないという回答が51.9%、巧妙に準備されたものであれば可能性があるという回答も29.6%となっている。

しかし、AlienVaultではCEO詐欺の多くが巧妙に準備されたものであることを指摘する。攻撃者は同じように見えるドメインを取得することが多く、重役のバックグラウンドについて十分な調査を行う。また、多くの重役は秘書に日々の業務を任せているが、秘書は重役よりもソーシャルエンジニアリングに弱いことが多いという。そのため、組織にセキュリティ上の弱点を残さないため、全ユーザーを対象にトレーニングを実施することが重要だとしている。

なお、組織をフィッシングの脅威から守るための準備に関する設問では、自分が主導したトレーニングにより、悪意のあるメールを多くの従業員が特定できるという回答が35.4%、CEOを含めて組織内の全員がフィッシングメールを見分けられるという回答が44.9%に上る一方で、問題が発生してから対処するという回答も19.7%あったとのこと。

イスラエル・ベングリオン大学のCyber Security Research Centerでは、PCの冷却ファンが発するノイズを利用してネットワークから物理的に隔離されたエアギャップ環境のPCからデータを盗み出す「Fansmitter」を実証を行っている(論文アブストラクト、 Softpediaの記事、 Hackadayの記事)。

エアギャップ環境のPCからデータを盗むサイドチャネル攻撃の技術としては、電磁波を使用するものが最も古くから研究されており、光や熱、音声を使用する方法も研究されている。音声を使用する方法は可聴域外の音に変調をかけてデータを乗せ、近くに置いた携帯電話などで収音・復調して攻撃者のサーバーに転送するといったものだ。そのため、エアギャップ環境ではオーディオハードウェアを無効化したり、スピーカーを取り外して使用することもある。ソフトウェアでコントロール可能な冷却ファンを利用するFansmitterの場合、デスクトップPCの多くで利用できる可能性が高い。

変調方式はASK変調とFSK変調を用い、冷却ファンの速度を2段階に切り替えてデータを送信する。FSKはASKよりも高速で環境ノイズに強い一方、ASKはファンの違いに強いため、事前にファンの種類がわからない場合に使用するとのこと。7ブレードの冷却ファンの場合、ブレードによる風切り音の周波数(BPF)は1,000 RPMで116 Hz、1,600 RPMで187 Hzとなる。BPFを上げると音量も増加するため気付かれやすくなる一方、低BPFでは収音距離が短くなる。このほか、気付かれにくくするための工夫として、周囲に人がいない時間を選ぶことや、2段階のBPFで近い周波数を選ぶことが挙げられている。

結果としては1,000～1,600 RPMで1分間に3ビット、2,000～2,500 RPMで1分間に10ビット、4,000～4,250 RPMで1分間に15ビットと非常に遅い。ビットレートはファン速度の遷移時間の影響を受けるため、簡単に速度を上げることはできないようだ。

英国のEU離脱をめぐる国民投票は離脱派が過半数を占める結果となったが、英国会の請願サイトでは国民投票の再実施を求める署名の受け付けが行われている。署名は400万件を超えているが不正な署名も多いようで、英国会の請願委員会では既に77,000件を削除したという(請願委員会のツイート、 The Registerの記事[1]、 [2]、 VentureBeatの記事)。

請願サイトでは署名の集計をJSON形式で提供しており、国別および英国の選挙区別の署名数を確認することもできる。署名は英国からのものが圧倒的に多く、日本時間6月30日午前1時の時点で387万件を超えている。そのほかの国で1万件を超えているのはフランス(27,303件)、スペイン(17,095件)、オーストラリア(16,737件)、米国(16,475件)、ドイツ(10,840件)の5か国で、次はカナダの6,128件と大幅に少なくなる。

しかし、6月26日12時43分39秒(UTC)にInternet Archiveが保存したスナップショットを見ると、バチカン市国から42,260件、北朝鮮から24,868件の署名が行われている。現在ではいずれも2桁の署名となっており、削除された署名の大半がこれら2か国から行われたようだ。このほか、千件以上削除されているのはサウスジョージアおよびサウスサンドイッチ諸島、英領南極地域、セントビンセントとなっている。

これについてシリアのハッカーがWebサイトをハックして大量に署名したと主張しているようだが、請願委員会ではハッキングの可能性を否定している。このハッカーは通信が遅いとも述べていることから、主張が事実だとしてもボットなどを使用したものとみられる。

なお、この請願は投票率が75%未満で離脱・残留ともに60%以上得票できなかった場合に2度目の国民投票実施を求めるもので、皮肉なことに離脱派が開始したものだという。国民投票の投票率は72.9%、離脱派の得票率は51.9%となっており、いずれも請願の条件を満たす。また、署名が10万件を超えると国会で議論するかどうかを検討することになるとのことだ。

あるAnonymous Coward 曰く、

米国への入国時、税関で「SNSアカウントやユーザー名を申告させる」というプロセスが導入されるかもしれない（GIGAZINE、The Verge）。

国土安全保障省（DHS）が提案しているのは、観光・短期商用目的のビザ免除プログラムを使って米国へビザなしで入国する際に入力が必要な電子渡航認証システム（ESTA）および「I-94W」と呼ばれる出入国カードに、「オンライン上での活動に関する、ソーシャルメディア上でのIDなどの情報を入力してください」といった項目を追加するというもの（提案されている変更点）。

これは昨年12月に発生したサンバーナディーノ銃乱射事件事件を受けたものだという。この事件の容疑者は婚約者ビザで合法的にアメリカに移住していたが、乱射事件を起こす前にFacebookアカウントでISへの忠誠を誓う投稿を行っていたという。そのため、ビザを発行する前にFacebookの投稿を綿密に調査していれば事件を防げたのではないかという批判が出ているようだ。

なお申告は義務ではなく、また収集された情報は犯罪活動の抑止や調査に使用されるという。

headless曰く、

先日マーク・ザッカーバーグ氏のTwitterアカウントとPinterestアカウントを乗っ取って話題になったOurMine Teamが26日、Google CEOのサンダー・ピチャイ氏のTwitterアカウントで「セキュリティをテストしている」といった内容の投稿をしたそうだ（The Next Web、The Verge）。

ただし、ピチャイ氏のTwitterアカウントが乗っ取られたわけではなく、Quoraアカウントが乗っ取られ、連携させていたTwitterアカウントに自動投稿機能で投稿されたらしい。アカウントは数時間で復旧し、OurMineによる投稿は削除されている。ピチャイ氏自身がQuoraで最後に投稿したのは2010年となっている。

ザッカーバーグ氏の場合、LinkedInから流出したパスワードを使用したとOurMineは説明しているが、今回はQuoraの脆弱性を利用したものだという。OurMineはこの脆弱性をQuoraに報告したが、回答がなかったとも述べているとのこと。

OurMineでは19日に元Twitter CEOのディック・コストロ氏のTwitterアカウント、23日にはSpotify CEOのダニエル・エク氏のTwitterアカウントで同様のメッセージを投稿している。エク氏の方は詳細不明だが、コストロ氏の方は現在使用していない古いPinterestアカウントを乗っ取ってTwitterに投稿したようだ。

OurMineはセキュリティをテストしただけだとし、悪意がないことを強調しているが、Twitterアカウント停止後に作られたとみられるOurMineのWebサイトではSNSアカウントやWebサイトなどのスキャンサービスを有料で提供している。

今回はサービス側の脆弱性だったのでどうにもならないが、長期間使用していないアカウントを放置していたため問題が大きくなったともいえるだろう。

あるAnonymous Coward 曰く、

近年医療環境に対するサイバー攻撃は増加する一方だという（HELP NET SECURITY、Slashdot）。

サイバー犯罪者にとって、医療データにはクレジットカード詐欺やほかのネット詐欺よりもはるかに価値があるという。医療情報には患者の病歴や処方箋などさまざまな情報が含まれているからだそうだ。近年病院の情報化が進んでおり、医療機器を含むさまざまな機器が病院内ネットワークに接続されていることも病院が狙われる理由だという。

にも関わらず、病院側は真剣な対処を行っていないという。強力な認証設定や複数の装置に並列のログインの抑制、重要な装置と医療データ格納サーバーをインターネット接続から切り離すなどの基本的なセキュリティ対策にも失敗している。処方薬自動分配器のようなシステムが改ざんされる自体になれば、人命の損失につながる可能性もあると指摘されている。

あるAnonymous Coward 曰く、

宗教的な理由でエスコート（いわゆる売春）系のWebサイトを攻撃する活動を行っているハッカーがいるそうだ（Softpedia）。

このハッカーはイスラム教徒で、「ElSurveillance」と名乗っているという。氏は「男女ともに金のために体を売るべきではない、我々の体はアラーが我々に与えてくれたものであり、破壊されるべきではない」と主張しているという。氏は1月に79のサイトを攻撃したが（当時のSoftpedia記事）、そのときは氏の活動はほとんど注目されなかったようだ。その後氏はSoftpediaにコンタクトし、最近攻撃を行った37のサイトのリストを提示したという。

また、氏はこのようなサイトから漏洩した10万ユーザーの情報を公開することも計画しているそうだ。

あるAnonymous Coward 曰く、

NIST（米国国立標準技術研究所）の傘下部門であるCSD（Computer Security Division）は先週末、米国の政府機関がセキュリティ対策を実施する際の指針となるSpecial Publicationのドラフト版を公開したが、その中で「パスワードの定期変更」「秘密の質問」を明確に否定したことが注目を集めている（Special Publicationドラフト版、INTERNET Watch）。

この文書では、パスワードの定期変更を強いるとユーザーは「Password1」といった具体に末尾に数字を追加するなど意味のない対応を取ることが多いことから、システムはパスワードの定期的な変更をユーザーに要求すべきではないとしている。また合わせて秘密の質問も使用するべきではないとしているとのこと。

これらはいずれも以前から指摘されていた点ではあるが、政府機関が指針に記述したということで、現状はまだドラフト版ではあるものの、今後の認証システムの開発に大きな影響を与えることが予想される。

あるAnonymous Coward 曰く、

佐賀県教育委員会のシステムに不正アクセスを行い、氏名や住所と言った個人情報および成績情報などを不正に入手した疑いで17歳少年が再逮捕された。（NHK）。

この少年は、B-CASカード不要で有料放送を視聴できるプログラムを独自に開発・公開して逮捕されている。警視庁が少年のPCなどを調べたところ、流出したと見られるデータが発見されて発覚したようだ。また、この情報流出について佐賀県教育委員会は今まで公表していなかったという。

佐賀県は教育システムのデジタル化を進めており、「ICT化が最も進んでいる」とも言われていたようだ（Yahoo!ニュース）。

コレガの無線LANルーター「CG-WLBARGL」にコマンドインジェクション脆弱性が発見された（INTERNET Watch、JVN#76653039）。

この製品は2006年3月に発売された製品で、すでにサポート期間も終了していることから、コレガは使用停止を呼びかけている。なお、この脆弱性の情報が最初に情報処理推進機構（IPA）に寄せられたのは2007年9月だったとのこと。なお、ほかにも同社製の「CG-WLBARAGM」におけるDoSの脆弱性（JVN#24409899）および「CG-WLR300GNVシリーズ」における認証試行回数が制限されていない脆弱性（JVN#75028871）の情報が公開されている。