taraiok曰く、

昨今では「虹彩認証」を搭載したスマートフォンが製品化されているが、この認証システムを「だます」方法についても数多く議論されているという。分かりやすい例としては目の高解像度写真を使ったり、殺害した後の死体の目を使う方法などだ。そのため、「認証対象の目が生きているか」をチェックする手法が開発されているという（IEEE SPECTRUM、Slashdot）。

虹彩が印刷物かを判定する方法として、湿った角膜からの反射を探したり、温度検出をするなどの方法が考えられている。しかし、こうした技術でも6％ほどは印刷物を生きているものと認識してしまうという。そこで開発されたのが、光条件の変化に応じて瞳孔が収縮することに着目した技術。虹彩の登録時に光の点滅に対する応答も同時に記録することで、実験室レベルではほぼ生存性の判定に成功したとしている。今後は照明条件が変化する現実の環境への対応が課題であるという。

headless 曰く、

Windows 10のディスククリーンアップ自動実行機能に対するDLLハイジャックによりUACをバイパスする方法を、セキュリティ研究家のMatt Nelson氏とMatt Graeber氏が発見したそうだ（Nelson氏のブログ記事、Softpedia）。

DLLハイジャックでUACをバイパスする方法の多くは、ファイルの置き換えなどで特権が必要となる。しかし、ディスククリーンアップ自動実行機能を利用する方法では、標準ユーザーの権限でファイルを置き換え可能だという。

ディスククリーンアップの自動実行はタスクスケジューラの「Microsoft\Windows\DiskCleanup」に「SilentCleanup」として登録されており、最上位の特権で実行される。タスクが起動するプログラムは「cleanmgr.exe」だが、実行時に「DismHost.exe」および関連するDLLを「%TEMP%\」フォルダーにコピーし、最上位の特権でDismHost.exeを起動する。

しかし、コピー先フォルダーの内容を書き換えるのに特権は必要ない。DismHost.exeはフォルダー内のDLLを特定の順番で読み込んでいくため、コピー先フォルダーの生成をWMIイベントで監視し、DLLを置き換えることでDLLハイジャックが可能となる。調査の結果、「LogProvider.dll」が最後に読み込まれる（時間に余裕がある）ことが判明しており、このファイルをターゲットとしたPoCがPowerShellスクリプトで作られている。このスクリプトはGitHubで入手可能だ。なお、「標準」ユーザーアカウントではファイルのコピーが実行されず、タスクも最上位の特権で実行されることはないそうだ。Windows 10以外のWindowsバージョンにも適用されるのかどうかについては言及されていない。

この手法については7月20日にMicrosoftに報告しているが、MicrosoftではUACをセキュリティの境界とみなしていないため、セキュリティ脆弱性ではないとの回答があったとのこと。そのため、Nelson氏は緩和策としてタスクを無効化するか、「最上位の特権で実行する」オプションを無効にすることを推奨している。

headless 曰く、

マーク・ザッカーバーグ氏のTwitterアカウントやサンダー・ピチャイ氏のQuoraアカウントなど、著名人のソーシャルメディアアカウントを次々に乗っ取っている「OurMine」が、今度はTechCrunchのWebサイトをハックしたそうだ（Register、BetaNews）。

ただし、OurMineのロゴとともに「セキュリティをテストしている」といった内容の記事が1本掲載されただけで、TechCrunchのWebサイト全体が乗っ取られたわけではないようだ。記事の自動投稿機能により、TechCrunchのTwitterアカウントにも同様のメッセージが掲載されたとのこと。記事はいずれもすでに削除されている。

TechCrunchのWebサイトはWordPress.comでホストされており、デフォルトのログインページはWordPress CMSの弱点としてしばしば攻撃対象になっているという。今回の攻撃がどのように実行されたのかは不明だが、記事を掲載する権限のあるスタッフのアカウントが乗っ取られたものとみられる。

OurMineのWebサイトではソーシャルメディアアカウントやWebサイトなどのセキュリティチェックサービスを宣伝しており、宣伝の一環として攻撃を実行しているようだ。

利根川の堤防で狐の巣穴が次々と見つかっているそうだ。大雨の際に堤防が決壊する原因になる危険性もあるという（朝日新聞、茨城新聞）。

茨城県古河市の利根川河川敷堤防では巣穴3か所が発見され、うち2か所は少なくとも3メートル以上の奥行きがあったという。そのため、河川事務所は埋め戻しを進めるそうだ。

米NIST（国立標準技術研究所）が、SMSを用いた二要素認証は安全ではないとして非推奨とする方針を出したという（TechCrunch）。

SMSは電話番号だけで送信でき、すでに機械的にSMSを自動送信する手段が普及しているため、手軽な二要所認証手段として使用されている。しかし、通信内容の盗み見や傍受、改ざんなどの可能性があるなどとして、NISTのガイドラインではSMSを使った二要素認証について非推奨とし、さらに今後は不許可とする方針だそうだ。

画像処理関連APIのバグにより、リモートからの任意コード実行が可能となるOS XやiOSなどの脆弱性が発見され、Appleが各OSの最新版で修正している(Talosのブログ記事、 The Guardianの記事、 9to5Macの記事、 BetaNewsの記事)。

TALOS-2016-0171(CVE-2016-4631)はImage I/O APIにおけるTIFFファイルの処理に関する脆弱性で、細工したTIFFファイルを読み込ませることでヒープベースのバッファーオーバーフローを引き起こし、リモートからのコード実行が可能となる。iMessageやMMSで攻撃用のファイルを送り付ければ、ターゲットが操作を行わなくても攻撃が実行される可能性も指摘されている。脆弱性の内容は異なるものの、攻撃のベクターが似通っていることから、昨年話題になったAndroidのStagefright脆弱性を引き合いに出す記事が多いようだ。

このほかTalosが今回公表した中で、幅広いApple製OSに影響を及ぼす脆弱性としては、Core Graphics APIの脆弱性(CVE-2016-4637)が挙げられる。こちらは細工したBMPファイルにより領域外メモリーへの書き込みが発生し、リモートからのコード実行が可能というもの。CVE-2016-4631とCVE-2016-4637はOS X El Capitan v10.11.6およびiOS 9.3.3、tvOS 9.2.2、watchOS 2.2.2で修正されている。CVE-2016-4629 / CVE-2016-4630はOS X 10.11.6で修正されており、CVE-2016-1850はOSX 10.11.5で修正されているとのことだ。

以前、導電性インクと専用の回路用紙を使用してスマートフォンの指紋認証を突破する方法を発表したミシガン州立大学教授のAnil Jain氏とその生徒が、警察の依頼を受けて指紋認証用の「指」を3Dプリンターで作成しているそうだ(Mashableの記事、 Fusionの記事)。

具体的な地域は明らかにされていないが、依頼したのはミシガン州内の警察で、殺人事件の容疑者を特定するために被害者が使用していたGalaxy S6のロックを解除しようとしているらしい。警察は被害者を別の事件で逮捕した際にすべての指の指紋を採取していたが、導電性インクを使用する手法ではロック解除に成功しなかったため、Jain氏に依頼したとのこと。

Jain氏はさまざまな3Dプリンターで被害者の10本指のモデルを作成し、指先部分に導電性素材を適用する。使用する3Dプリンターは数十万ドルもする非常に高価なもので、他の研究者などと共有しているため、10本の指をすべて作成するにはさらに数週間を要する見込みだ。導電性素材も複数試す計画だが、完成した指でロックを解除できる保証はないという。

銃乱射事件の容疑者が使用していたiPhone 5cのロック解除をAppleが拒否するなど、捜査当局による携帯電話のロック解除はさまざまな議論を呼んでいる。容疑者などにロック解除を強制することは、不利な証言を強制されないことを保証した合衆国憲法修正第5条に抵触する可能性もある。ただし、過去の裁判では、PINコードなど本人が記憶している情報は保護の対象になる一方、生体情報によるものは保護の対象にならないといった判断が示されている。

そのため、指紋によるロック解除は本人の同意がなくても修正第5条には反しないと考えられるという。さらに今回の場合は本人が死亡しているため、別の犯罪に関する不利な証拠が出ても被害者が訴追されることもない。その一方で、携帯電話に保存された情報は所有者の内心を拡張したものとして修正第5条のほか、不当な押収や捜査を禁じた修正第4条でも保護されるべきだとする意見もあるようだ。

KDDI研究所と九州大学の研究チームが、「これまで誰も解読に成功していなかった」という60次元のLearning with Errors（LWE）問題の解読に成功したと発表した。

n次元のLWE問題とは、m×nサイズの行列Aとn×1サイズのベクトルbが与えられた場合にA・x＋e＝bを満たすxを求めるというものである。Aおよびe、bがすべて既知であれば単純な問題であるが、LWE問題ではAおよびbのみが与えられ、eについては未知（非公開）であることがポイントとなる。

現在、この問題を解くためのコンテスト「TU Darmstadt Learning with Errors Challenge」が行われており、KDDI研究所と九州大学だけが解読に成功している状況だ。このコンテストでは次元数およびeの分散が異なる複数の問題が用意されているが、次元数や分散が多いほど解を得るのが難しく、60次元のLWE問題を解いたのは同チームが初めてだという。

KDDIおよび九州大学が開発した手法についての詳細は明らかにされていないが、分枝限定法という、解を探索しながら条件を満たす解の候補の集合を小さくしていく手法に分類されるもののようだ。

北朝鮮の国営平壌放送が、6月24日の未明に「2桁か3桁のページ数」と「1桁か2桁の番号」を次々と読み上げるラジオ放送を3分半にわたり行ったという。また、7月15日にも同様の放送を12分にわたって行ったそうだ（NHK）。

放送された数字は何らかの情報を暗号化したものと推測されており、「暗号放送」「乱数放送」と呼ばれている。工作員はこの数字を乱数表を使って解読することで、その内容を知ることができるという。しかし、近年北朝鮮はインターネットを使って工作員とやり取りしていると言われており、今回の暗号放送は単なる「心理戦」の一環だとの指摘もある。

あるAnonymous Coward曰く、

国防高等研究計画局（DARPA）が、自動でゼロデイ脆弱性を発見し、さらにそれへの対処パッチも自動で作成するという技術の開発を競う「DARPA Cyber Grand Challenge（CGC）」を開催する（ロボスタ、Yahoo!FINANCE、TECH INSIDER、Slashdot）。

ゼロデイ脆弱性が悪用されてからベンダーがその脆弱性に気がつくまでに平均して312日かかっているとされる。その間はハッカーは脆弱性を利用できることになる。CGCは数分以内にこの問題を自動で対処できるようにし、長年にわたる問題を解決することが目的だという。

CGCは8月4日に決勝戦が行われ、優勝チームは賞金200万ドルが、2位・3位にはそれぞれ100万ドル、75万ドルが贈られる。エントリーは「アメリカに基盤を置くチーム」のみが可能で、一次予選には104チームが出場していたという。

あるAnonymous Coward 曰く、

総務省情報流通行政局情報流通振興課情報セキュリティ対策室が「情報セキュリティに関する施策」に関する非常勤職員の募集を開始した。勤務時間は10時00分から16時45分まで（土日休日を除く）、休憩時間60分で賃金は日給8000円とのこと。

職務内容は「高度な専門的知識を必要とする以下の事務に従事させる」とし、「情報セキュリティに関する施策」とそれに関する「周知広報に関する業務」「その他、関連業務」となっており、募集対象者は「情報通信ネットワークの構築・運用に関する専門的知識、実務経験を有する」などとしている。

これ応募したい人いる？

あるAnonymous Coward曰く、

JPCERT/CCが、CGI等を利用するWebサーバの脆弱性（CVE-2016-5385等）に関する注意喚起を行っている。

UNIX/Linux系環境で動作するHTTPクライアントの多くは、通信を行う際に「HTTP_PROXY」環境変数を参照し、もしこの環境変数が設定されていればここで指定されているホストをプロクシとして使用するという動作を行う。このHTTP_PROXY環境は本来はサーバーやアプリケーションを実行する側が設定するものであるが、HTTPリクエストヘッダを利用してこれを外部から任意の値に書き換えることができるという（INTERNET Watch、ITmedia、JPCERT/CC）。

kb.cert.orgの説明が分かりやすいが、CGIの動作について記述したRFC3875の4.1.18.では、HTTPヘッダの形でサーバーに渡されたメタ変数について、その変数名を大文字にし、「-」を「_」に置換し、先頭に「HTTP_」を付ける、というルールが明記されている。もしサーバーに対して送信されるリクエストヘッダ内に「proxy:」というヘッダが存在した場合、このルールに従うと「HTTP_PROXY」という変数名に送信されたヘッダの内容が格納されることになる。CGIの多くではこのような変数を環境変数に格納するため、結果としてHTTP_PROXY環境変数が外部から送信された値に書き換えられてしまうことになる。

また、同様にして「HTTP_」で始まるHTTP_PROXY以外の環境変数についても外部から書き換えることが可能になり、これを悪用することで攻撃者は中間者攻撃やサーバーに対し意図しない挙動を実行させることが可能になる可能性がある。

現時点ではApache HTTP ServerやPHP、GO、Pythonなど多くのソフトウェアが影響を受けるとのこと。対策としてはリクエストヘッダ内の「proxy:」ヘッダを無視するよう設定する、HTTP_PROXYや「HTTP_」で始まる環境変数を使用しない、などが挙げられている。

Windows 10 Anniversary Updateでは深刻なエラーが発生したときに表示されるブルースクリーン(BSoD)にQRコードが追加されるようだが、これを悪用した攻撃が行われる可能性をPanda Securityが指摘している(Panda Securityのニュース記事、 BetaNewsの記事)。

BSoDのQRコードは、スマートフォンのQRコードリーダーアプリなどでスキャンするとMicrosoftのトラブルシューティングページにリダイレクトされるというものだ。しかし、偽のBSoDを表示させることはそれほど難しいことではなく、QRコードでフィッシングサイトに誘導したり、ドライブバイダウンロードでマルウェアに感染させるなどの攻撃に悪用される可能性もある。

QRコードを悪用した攻撃は以前から注意喚起されているが、深刻なエラーが発生したと思い込まされることで、偽サイトであることに気付かず個人情報などを入力してしまう可能性もある。現在のところ、本物のBSoDに表示されるQRコードはエラーの内容にかかわらず同じページを示しているのでわざわざスキャンするまでもないが、今後変更される可能性もある。そのため、実際の処理を実行する前に読み取り内容を確認できるQRコードリーダーアプリを使用したり、スキャンする前にCtrl+Alt+Delキーを押すなどするといいだろう。

データの復元手段を持っていないのに身代金を要求する新種のランサムウェア「Ranscam」の詳細について、Talosが報告している(Cisco Talos Blogの記事、 Ars Technicaの記事、 The Registerの記事)。

RanscamはWindows上で動作し、ユーザーのファイルを暗号化するのではなく削除してしまう。削除されるのは「ドキュメント」「ダウンロード」「ピクチャ」「ミュージック」といったフォルダー内のファイルとサブフォルダーのほか、「システムの復元」で使用する実行ファイルやシャドウコピーなども削除し、ユーザーによる復元を困難にする。また、セーフモードでの起動に関連するレジストリキーの削除やタスクマネージャーを起動できないようにする設定なども行われるという。

ファイルは既に削除されているにもかかわらず、Ranscamは「隠しパーティションに移動して暗号化された」などと表示し、復元のためにビットコイン(0.2 BTC)の支払いを要求する。しかし、ビットコインを支払って確認用のボタンをクリックしても実際の確認処理は行われず、「支払いは確認されなかった」といったメッセージが表示されるとのこと。そもそもRanscamの作者はファイルの復元手段を持っていないのだが、Talosがビットコインの支払いができなかったと連絡すると、支払い手順を電子メールで丁寧に説明してくれたそうだ。

なお、Talosが入手したすべてのサンプルで同じビットコインワレットのアドレスが使われており、トランザクションを確認したところ、実行ファイルの署名の発行日以降に被害者が支払いを行った形跡はなかったという。また、現段階ではRanscamが広く拡散している様子はないとのこと。

TalosではRanscamのようなランサムウェアの出現により、身代金を支払えばランサムウェアの作者が正直にファイルを復元してくれる段階は過ぎたとしている。Ranscamのようなランサムウェアでは暗号化処理のように高度な技術を必要としないため、手軽に収入を得ようとする亜種が今後増加する可能性もある。そのため、完全に復元可能なオフラインバックアップを用意し、ランサムウェア作者が収入を得られないようにする必要があると述べている。

あるAnonymous Coward 曰く、

Googleは7日、デベロッパー版のChrome Canaryに「ポスト量子暗号」の暗号技術を搭載したことを発表した(日経コンピュータDigitalの記事、 TechCrunch Japanの記事)。

ポスト量子化暗号が使われるのは、Chrome CanaryとGoogleドメインとの通信の一部だ。TLSなどで使われる公開鍵暗号を復号するには、鍵を取り出すために大きな数を因数分解する必要がある。現在のコンピューターでは非常に長い時間がかかるため公開鍵暗号は安全とされているが、量子ゲート方式の量子コンピューターが実現すると、妥当な時間内で鍵を取得できてしまう可能性がある。そのため、量子コンピューターでも破れない暗号として開発が進められているのがポスト量子暗号だ。Chrome Canaryでは実験にあたり、「New Hope」アルゴリズムを選択している。

Googleによれば、実験は現在の暗号化された通信を記録し、大規模な量子コンピューターが実現した際に復号するといった問題を想定したものだという。現在の量子コンピューターは小規模で実験的なものだが、情報の中には数十年にわたって機密扱いとなるものもあるため、将来を見据えた準備が必要とのこと。Chrome CanaryとGoogleのサーバーとの通信で既存の楕円曲線暗号に加えてポスト量子暗号を用いることで、現在のコンピューターでポスト量子暗号が破られることがあっても、通信のセキュリティを犠牲にすることなく実験が行えるとのことだ。なお、GoogleではNew Hopeをデファクトスタンダードにするつもりはなく、よりよいアルゴリズムに置き換える形で2年以内に実験を終える計画だという。