画像処理関連APIのバグにより、リモートからの任意コード実行が可能となるOS XやiOSなどの脆弱性が発見され、Appleが各OSの最新版で修正している(Talosのブログ記事、 The Guardianの記事、 9to5Macの記事、 BetaNewsの記事)。

TALOS-2016-0171(CVE-2016-4631)はImage I/O APIにおけるTIFFファイルの処理に関する脆弱性で、細工したTIFFファイルを読み込ませることでヒープベースのバッファーオーバーフローを引き起こし、リモートからのコード実行が可能となる。iMessageやMMSで攻撃用のファイルを送り付ければ、ターゲットが操作を行わなくても攻撃が実行される可能性も指摘されている。脆弱性の内容は異なるものの、攻撃のベクターが似通っていることから、昨年話題になったAndroidのStagefright脆弱性を引き合いに出す記事が多いようだ。

このほかTalosが今回公表した中で、幅広いApple製OSに影響を及ぼす脆弱性としては、Core Graphics APIの脆弱性(CVE-2016-4637)が挙げられる。こちらは細工したBMPファイルにより領域外メモリーへの書き込みが発生し、リモートからのコード実行が可能というもの。CVE-2016-4631とCVE-2016-4637はOS X El Capitan v10.11.6およびiOS 9.3.3、tvOS 9.2.2、watchOS 2.2.2で修正されている。CVE-2016-4629 / CVE-2016-4630はOS X 10.11.6で修正されており、CVE-2016-1850はOSX 10.11.5で修正されているとのことだ。

以前、導電性インクと専用の回路用紙を使用してスマートフォンの指紋認証を突破する方法を発表したミシガン州立大学教授のAnil Jain氏とその生徒が、警察の依頼を受けて指紋認証用の「指」を3Dプリンターで作成しているそうだ(Mashableの記事、 Fusionの記事)。

具体的な地域は明らかにされていないが、依頼したのはミシガン州内の警察で、殺人事件の容疑者を特定するために被害者が使用していたGalaxy S6のロックを解除しようとしているらしい。警察は被害者を別の事件で逮捕した際にすべての指の指紋を採取していたが、導電性インクを使用する手法ではロック解除に成功しなかったため、Jain氏に依頼したとのこと。

Jain氏はさまざまな3Dプリンターで被害者の10本指のモデルを作成し、指先部分に導電性素材を適用する。使用する3Dプリンターは数十万ドルもする非常に高価なもので、他の研究者などと共有しているため、10本の指をすべて作成するにはさらに数週間を要する見込みだ。導電性素材も複数試す計画だが、完成した指でロックを解除できる保証はないという。

銃乱射事件の容疑者が使用していたiPhone 5cのロック解除をAppleが拒否するなど、捜査当局による携帯電話のロック解除はさまざまな議論を呼んでいる。容疑者などにロック解除を強制することは、不利な証言を強制されないことを保証した合衆国憲法修正第5条に抵触する可能性もある。ただし、過去の裁判では、PINコードなど本人が記憶している情報は保護の対象になる一方、生体情報によるものは保護の対象にならないといった判断が示されている。

そのため、指紋によるロック解除は本人の同意がなくても修正第5条には反しないと考えられるという。さらに今回の場合は本人が死亡しているため、別の犯罪に関する不利な証拠が出ても被害者が訴追されることもない。その一方で、携帯電話に保存された情報は所有者の内心を拡張したものとして修正第5条のほか、不当な押収や捜査を禁じた修正第4条でも保護されるべきだとする意見もあるようだ。

KDDI研究所と九州大学の研究チームが、「これまで誰も解読に成功していなかった」という60次元のLearning with Errors（LWE）問題の解読に成功したと発表した。

n次元のLWE問題とは、m×nサイズの行列Aとn×1サイズのベクトルbが与えられた場合にA・x＋e＝bを満たすxを求めるというものである。Aおよびe、bがすべて既知であれば単純な問題であるが、LWE問題ではAおよびbのみが与えられ、eについては未知（非公開）であることがポイントとなる。

現在、この問題を解くためのコンテスト「TU Darmstadt Learning with Errors Challenge」が行われており、KDDI研究所と九州大学だけが解読に成功している状況だ。このコンテストでは次元数およびeの分散が異なる複数の問題が用意されているが、次元数や分散が多いほど解を得るのが難しく、60次元のLWE問題を解いたのは同チームが初めてだという。

KDDIおよび九州大学が開発した手法についての詳細は明らかにされていないが、分枝限定法という、解を探索しながら条件を満たす解の候補の集合を小さくしていく手法に分類されるもののようだ。

北朝鮮の国営平壌放送が、6月24日の未明に「2桁か3桁のページ数」と「1桁か2桁の番号」を次々と読み上げるラジオ放送を3分半にわたり行ったという。また、7月15日にも同様の放送を12分にわたって行ったそうだ（NHK）。

放送された数字は何らかの情報を暗号化したものと推測されており、「暗号放送」「乱数放送」と呼ばれている。工作員はこの数字を乱数表を使って解読することで、その内容を知ることができるという。しかし、近年北朝鮮はインターネットを使って工作員とやり取りしていると言われており、今回の暗号放送は単なる「心理戦」の一環だとの指摘もある。

あるAnonymous Coward曰く、

国防高等研究計画局（DARPA）が、自動でゼロデイ脆弱性を発見し、さらにそれへの対処パッチも自動で作成するという技術の開発を競う「DARPA Cyber Grand Challenge（CGC）」を開催する（ロボスタ、Yahoo!FINANCE、TECH INSIDER、Slashdot）。

ゼロデイ脆弱性が悪用されてからベンダーがその脆弱性に気がつくまでに平均して312日かかっているとされる。その間はハッカーは脆弱性を利用できることになる。CGCは数分以内にこの問題を自動で対処できるようにし、長年にわたる問題を解決することが目的だという。

CGCは8月4日に決勝戦が行われ、優勝チームは賞金200万ドルが、2位・3位にはそれぞれ100万ドル、75万ドルが贈られる。エントリーは「アメリカに基盤を置くチーム」のみが可能で、一次予選には104チームが出場していたという。

あるAnonymous Coward 曰く、

総務省情報流通行政局情報流通振興課情報セキュリティ対策室が「情報セキュリティに関する施策」に関する非常勤職員の募集を開始した。勤務時間は10時00分から16時45分まで（土日休日を除く）、休憩時間60分で賃金は日給8000円とのこと。

職務内容は「高度な専門的知識を必要とする以下の事務に従事させる」とし、「情報セキュリティに関する施策」とそれに関する「周知広報に関する業務」「その他、関連業務」となっており、募集対象者は「情報通信ネットワークの構築・運用に関する専門的知識、実務経験を有する」などとしている。

これ応募したい人いる？

あるAnonymous Coward曰く、

JPCERT/CCが、CGI等を利用するWebサーバの脆弱性（CVE-2016-5385等）に関する注意喚起を行っている。

UNIX/Linux系環境で動作するHTTPクライアントの多くは、通信を行う際に「HTTP_PROXY」環境変数を参照し、もしこの環境変数が設定されていればここで指定されているホストをプロクシとして使用するという動作を行う。このHTTP_PROXY環境は本来はサーバーやアプリケーションを実行する側が設定するものであるが、HTTPリクエストヘッダを利用してこれを外部から任意の値に書き換えることができるという（INTERNET Watch、ITmedia、JPCERT/CC）。

kb.cert.orgの説明が分かりやすいが、CGIの動作について記述したRFC3875の4.1.18.では、HTTPヘッダの形でサーバーに渡されたメタ変数について、その変数名を大文字にし、「-」を「_」に置換し、先頭に「HTTP_」を付ける、というルールが明記されている。もしサーバーに対して送信されるリクエストヘッダ内に「proxy:」というヘッダが存在した場合、このルールに従うと「HTTP_PROXY」という変数名に送信されたヘッダの内容が格納されることになる。CGIの多くではこのような変数を環境変数に格納するため、結果としてHTTP_PROXY環境変数が外部から送信された値に書き換えられてしまうことになる。

また、同様にして「HTTP_」で始まるHTTP_PROXY以外の環境変数についても外部から書き換えることが可能になり、これを悪用することで攻撃者は中間者攻撃やサーバーに対し意図しない挙動を実行させることが可能になる可能性がある。

現時点ではApache HTTP ServerやPHP、GO、Pythonなど多くのソフトウェアが影響を受けるとのこと。対策としてはリクエストヘッダ内の「proxy:」ヘッダを無視するよう設定する、HTTP_PROXYや「HTTP_」で始まる環境変数を使用しない、などが挙げられている。

Windows 10 Anniversary Updateでは深刻なエラーが発生したときに表示されるブルースクリーン(BSoD)にQRコードが追加されるようだが、これを悪用した攻撃が行われる可能性をPanda Securityが指摘している(Panda Securityのニュース記事、 BetaNewsの記事)。

BSoDのQRコードは、スマートフォンのQRコードリーダーアプリなどでスキャンするとMicrosoftのトラブルシューティングページにリダイレクトされるというものだ。しかし、偽のBSoDを表示させることはそれほど難しいことではなく、QRコードでフィッシングサイトに誘導したり、ドライブバイダウンロードでマルウェアに感染させるなどの攻撃に悪用される可能性もある。

QRコードを悪用した攻撃は以前から注意喚起されているが、深刻なエラーが発生したと思い込まされることで、偽サイトであることに気付かず個人情報などを入力してしまう可能性もある。現在のところ、本物のBSoDに表示されるQRコードはエラーの内容にかかわらず同じページを示しているのでわざわざスキャンするまでもないが、今後変更される可能性もある。そのため、実際の処理を実行する前に読み取り内容を確認できるQRコードリーダーアプリを使用したり、スキャンする前にCtrl+Alt+Delキーを押すなどするといいだろう。

データの復元手段を持っていないのに身代金を要求する新種のランサムウェア「Ranscam」の詳細について、Talosが報告している(Cisco Talos Blogの記事、 Ars Technicaの記事、 The Registerの記事)。

RanscamはWindows上で動作し、ユーザーのファイルを暗号化するのではなく削除してしまう。削除されるのは「ドキュメント」「ダウンロード」「ピクチャ」「ミュージック」といったフォルダー内のファイルとサブフォルダーのほか、「システムの復元」で使用する実行ファイルやシャドウコピーなども削除し、ユーザーによる復元を困難にする。また、セーフモードでの起動に関連するレジストリキーの削除やタスクマネージャーを起動できないようにする設定なども行われるという。

ファイルは既に削除されているにもかかわらず、Ranscamは「隠しパーティションに移動して暗号化された」などと表示し、復元のためにビットコイン(0.2 BTC)の支払いを要求する。しかし、ビットコインを支払って確認用のボタンをクリックしても実際の確認処理は行われず、「支払いは確認されなかった」といったメッセージが表示されるとのこと。そもそもRanscamの作者はファイルの復元手段を持っていないのだが、Talosがビットコインの支払いができなかったと連絡すると、支払い手順を電子メールで丁寧に説明してくれたそうだ。

なお、Talosが入手したすべてのサンプルで同じビットコインワレットのアドレスが使われており、トランザクションを確認したところ、実行ファイルの署名の発行日以降に被害者が支払いを行った形跡はなかったという。また、現段階ではRanscamが広く拡散している様子はないとのこと。

TalosではRanscamのようなランサムウェアの出現により、身代金を支払えばランサムウェアの作者が正直にファイルを復元してくれる段階は過ぎたとしている。Ranscamのようなランサムウェアでは暗号化処理のように高度な技術を必要としないため、手軽に収入を得ようとする亜種が今後増加する可能性もある。そのため、完全に復元可能なオフラインバックアップを用意し、ランサムウェア作者が収入を得られないようにする必要があると述べている。

あるAnonymous Coward 曰く、

Googleは7日、デベロッパー版のChrome Canaryに「ポスト量子暗号」の暗号技術を搭載したことを発表した(日経コンピュータDigitalの記事、 TechCrunch Japanの記事)。

ポスト量子化暗号が使われるのは、Chrome CanaryとGoogleドメインとの通信の一部だ。TLSなどで使われる公開鍵暗号を復号するには、鍵を取り出すために大きな数を因数分解する必要がある。現在のコンピューターでは非常に長い時間がかかるため公開鍵暗号は安全とされているが、量子ゲート方式の量子コンピューターが実現すると、妥当な時間内で鍵を取得できてしまう可能性がある。そのため、量子コンピューターでも破れない暗号として開発が進められているのがポスト量子暗号だ。Chrome Canaryでは実験にあたり、「New Hope」アルゴリズムを選択している。

Googleによれば、実験は現在の暗号化された通信を記録し、大規模な量子コンピューターが実現した際に復号するといった問題を想定したものだという。現在の量子コンピューターは小規模で実験的なものだが、情報の中には数十年にわたって機密扱いとなるものもあるため、将来を見据えた準備が必要とのこと。Chrome CanaryとGoogleのサーバーとの通信で既存の楕円曲線暗号に加えてポスト量子暗号を用いることで、現在のコンピューターでポスト量子暗号が破られることがあっても、通信のセキュリティを犠牲にすることなく実験が行えるとのことだ。なお、GoogleではNew Hopeをデファクトスタンダードにするつもりはなく、よりよいアルゴリズムに置き換える形で2年以内に実験を終える計画だという。

あるAnonymous Coward曰く、

Adobe Flash Player 18系拡張サポート版（ESR）の維持・更新が、2016年10月11日で終了する（Adobe Systemsの配布サイト）。

現在Flash Playerの最新版はバージョン22系（Linux番はバージョン11系）だが、互換性などの問題のために過去のバージョンを使い続けたいユーザーに向けて拡張サポート版としてバージョン18系もリリースされ続けていた。しかし、セキュリティ関連の修正が機能変更の数を上回るようになったため、ESRブランチを廃止し標準リリースのみに注力することにしたという。

headless曰く、

複数のWebサービスで共通のパスワードを使用する危険性は以前から指摘されているが、このような共通のパスワードを使用しているサービスを調べるコマンドラインツール「shard」がGitHubで公開された（GitHub — shard、Ars Technica、、Register）。

shardはユーザー名とパスワードを指定して実行することで、FacebookやLinkedIn、Reddit、Twitter、Instagramで共通の認証情報を使用していないかどうかを確認できる。認証情報の書かれたファイルを指定することで、複数の認証情報をまとめて確認することも可能だ。

作者のPhilip O'Keefe氏は多くのWebサービスで共通のパスワードを使用していたが、LinkedInから流出したパスワードの中に自分のパスワードが含まれていることを確認したためshardを開発したという。

shardはアカウントを保護するために開発されたツールだが、攻撃者が悪用することも容易だ。調査先のサイトはモジュール化されているため、モジュールを作成することで任意のサイトを追加できる。

headless曰く、

Mozillaは12日、Rust言語で開発されたコンポーネントを8月2日リリース予定のFirefox 48に初搭載すると発表した（Mozilla Hacks、Phoronix、Softpedia、Register）。

Firefoxに初搭載されるRustのコンポーネントはMP4パーサーだ。悪意のあるメディアコンテンツから保護するため、メディアスタックのコンポーネント開発ではメモリーセーフなRust言語が威力を発揮する。このMP4パーサーはオリジナルのC++で書かれたコンポーネントと遜色ない結果が得られ、Firefoxが収集した10億件以上のテレメトリーデータで問題が一切発生しなかったことが確認されているという。このコンポーネントはFirefox 48のすべてのデスクトッププラットフォームに搭載され、Androidでも近くサポート予定とのこと。

Mozillaは先日、Rustで書かれた新ブラウザーエンジン「Servo」のナイトリービルドを公開しているが、Servoの開発者は2016年中にServoのコンポーネントを少なくとも1つはGecko/Firefoxのリリース版に搭載することを目標にしているそうだ。

あるAnonymous Coward 曰く、

ロンドンのスタンステッド空港に拳銃型のiPhoneケースを持ち込んだ男性が、罪に問われる可能性が浮上している。地元エセックス警察はTwitterで男性の後ろ姿の写真を掲載しているが、確かに銃器のグリップにしか見えないものがポケットから見えている（CNET、iPhone Mania、Slashdot）。

こうした銃にしか見えないiPhoneケースは、以前から物議を醸してきた。昨年の9月には銃を模したiPhoneケースが本物の銃と勘違いされ、オランダの空港で非常線が張られるという騒ぎが起きているという。警察はこのような状況に直面した場合「瞬時に決断を下さなければならない」とし、こうした形状のケースを空港に携帯すれば「飛行機に乗れる可能性は非常に低くなる」と警告、今回の男性も罪に問われる可能性があるという。

あるAnonymous Coward 曰く、

マルウェア「Stuxnet」をテーマにしたドキュメンタリー映画「Zero Days」が米国で公開された。この映画では関係者の証言がまとめられているが、これによると米国はサイバー攻撃によってイランに深刻なダメージを与えようとしていたという（Network World、シネマトゥディ、Slashdot）。

このサイバー攻撃計画のコードネームは「Nitro Zeus」でイランの通信システム、電力網、輸送、金融システムといった主要インフラをダウンさせることを目指していた。また、イランのウラン濃縮施設内部コンピューターに侵入し、遠心分離機を損傷させる目的もあったという。

映画ではStuxnetを作成したのは誰なのか、ターゲットはどこなのかという全体像を把握するため、コード解明に注力したシマンテックの研究者などへのインタビューも行われている。研究者はこのコード解析を行った場合、政府に口封じされるのではないかと内心心配していたようで、シマンテックの研究者Eric Chien氏は「私が月曜日に死んでいたとしてもそれは自殺ではない」と同僚のLiam O Murchu氏に語っていたほど危機感を感じていたという。

また、映画は匿名のCIAとNSAの関係者による「サイバー攻撃によってインフラを攻撃した場合、甚大な被害が出るだろう。電力網が長期間落ちた場合、膨大な死者が出ていたはずだ」との発言も引用されている。