あるAnonymous Coward 曰く、

やや旧聞となるが、ハッカーのavicoder氏が、不適切に公開されていたDockerイメージから動画共有サービス「Vine」の非公開のソースコードを入手することに成功していたそうだ(avicoder氏のブログ記事、 The Hacker Newsの記事)。

手法を簡単にまとめると以下のようになる。

1. Censysでエントリーポイントになりそうなサブドメインを検索し「docker.vineapp.com」を発見
2. Webブラウザーでアクセスすると「/* private docker registry */」と表示されるため、Dockerイメージのホストや共有をするためのサーバーと推定してアクセスしたところ、多数のDockerイメージが公開状態になっていることを確認
3. 「vinewww」というそれらしい名前のイメージをダウンロードして実行したところ、Vineで使われているソースコードがイメージ内に含まれていることが判明

avicoder氏はこの脆弱性をVineの運営元であるTwitterに報告し、脆弱性報告に対する報奨金を受け取ったとのこと。とりあえず、一般には公開していないドメインだからといってアクセス制限やセキュリティを怠ると、このように外部から発見されて狙われる、ということがあるので注意したい。

headless 曰く、

殺人事件の被害者が使用していたGalaxy S6の指紋認証を突破するため、米ミシガン州立大学教授のAnil Jain氏とその生徒が3Dプリンターで「指」を作成していたのだが、結果的には2Dプリントした指紋でロック解除に成功したそうだ（MSU Today、NPR、The Verge）。

Jain氏は導電性インクと専用の回路用紙を使用してスマートフォンの指紋認証を突破する方法に関する論文を発表している。今回の件はもともとミシガン州のランシング市警察がミシガン州立大学警察に依頼していたものだが、この研究を知ったミシガン州立大学警察がJain氏に依頼したらしい。

Jain氏らは導電性インクを使用する方法と3Dプリンターによる方法を試したが、いずれもうまくいかなかったという。指紋はインクを付けた指を紙に押し当てただけのものであり、品質に問題があると考えたJain氏らはデジタル処理で指紋の欠けている部分を再現したという。その結果、2Dプリントで十分解除できるという結果になったようだ。

このGalaxy S6は指紋認証の失敗時にパスコードを要求する仕組みになっていなかったので、処理結果の異なる複数の指紋を試せたことが幸運だったとJain氏は語ったという。Jain氏の今後の課題としては、パスコードの解読法になるだろうとのことだ。

あるAnonymous Coward 曰く、

オープンソースソフトウェアのファイルホスティングサービスを提供しているFossHubが攻撃され、公開されていたオープンソースソフトウェアの一部にマルウェアが組み込まれるというトラブルが発生した（ZDNet）。

マルウェア汚染が確認されたのはAudacityおよびClassic Shell。Audacityの説明によると、攻撃者はなんらかの手法でFossHub.com上のある1つのアカウントの情報を入手し、そのパスワードを使ってFossHubにログイン後、何らかの手法を使って権限昇格を行い、サーバー全体へのアクセス権限を得ていたとのこと。

FossHubはこれを受けてFossHub.comを停止させ、調査およびサーバー全体の初期化を行っているとのこと。また、攻撃者はFossHubが使用しているDNSプロバイダやCDNサービス、メールサービスなどにもアクセスを試みたが、すべて失敗していたという。

あるAnonymous Coward曰く、

米国の潜水艦が、海底ケーブルに外部からアクセスして通信を傍受しているという話が出ている（NDTV、Sputnik、Slashdot）。

米ワシントン・ポストが報じたもので、1970年代からソ連の海底ケーブルに接続し、情報を傍受するために使用されていたという。また、現在米国の潜水艦には暗号化されていない通信内容のデータを傍受・改ざんできるアンテナが装備されているという話も紹介されている。

米当局によるネット監視を暴露したエドワード・スノーデン氏も、原子力潜水艦潜水艦「アナポリス」が重要な役割を果たしていたと述べているという

あるAnonymous Coward曰く、

米大統領選挙の裏ではさまざまなサイバー戦争が行われているという（ハフィントンポスト、BBC、Slashdot）。

先日、共和党候補のドナルド・トランプ氏がロシアに対し民主党候補のヒラリー・クリントン氏に対し「ハッキング」を行うよう発言したことも話題になったが（BBC）、すでに民主党にはロシア系と見られる組織からサイバー攻撃が行われており、いくつかの情報が盗み出されているという。

民主党やクリントン氏はこれについて、「ロシアの情報機関によるもの」と断定、大統領選挙に影響を与えるためにロシアが国家ぐるみでサイバー攻撃を行っていると主張している（NHK）。

いっぽう、米国の国家安全保障局（NSA）がロシアに対して逆にサイバー攻撃をしかけているという話も報じられている（ABC）。また、ロシア連邦保安庁（FSB）は、"cyber-spying virus"が約20団体のネットワークで発見されたと発表、むしろハッキング攻撃の被害者であると主張している。

あるAnonymous Coward 曰く、

Windows 10では、すべてのカーネルモードドライバに対しMicrosoftによる署名が必要となるとされている。ただ、Windows 10のリリース時にはこれは適用されず、「今後のアップデートなどによって適用される予定」とされていたが、ついにその時がやってくる模様。

Windows Hardware Certification blogによると、Windows 10のバージョン1607より適用が開始されるとのこと。ただしすでにインストール済みのOSについてはアップデートによる影響はなく、新規インストールの場合のみ未署名ドライバのブロックが行われるようだ。また、テストモードでは未署名ドライバも利用可能とのこと。

あるAnonymous Coward曰く、

米ニューヨーク州のCyrus Vance Jr.マンハッタン地方検事がサイバーセキュリティに関する国際会議での講演で、スマートフォンで使われている暗号化を弱めるよう主張したという（Tom\'s Guide、Slashdot）。

氏によると、スマートフォン端末の暗号化解除が進まないことで、犯罪事件における加害者の特定が難しくなり、数千件の犯罪が未解決となっているという。氏は暗号化自体は否定せず、法執行機関に向けた「バックドア」の設置も否定、「現在のメーカー自身ですら解除できない」という暗号化レベルを、「メーカー側で解除できる水準」にまで落とすことを主張している。

headless曰く、

Android/iOS向けキーボードアプリ「SwiftKey Keyboard」で、一部のユーザーの予測入力候補に他人のメールアドレスや電話番号らしき文字列が表示されるトラブルが発生していたそうだ（SwiftKey Blog、Register、The Next Web、Telegraph）。

SwiftKey Keyboardはユーザーの入力履歴をクラウドに保存し、予測入力で使用する。SwiftKeyでは同期機能のバグが今回のトラブルの原因とみているようで、セキュリティ上の問題ではないとしつつ、クラウド同期サービスを無効化し、予測候補からメールアドレスを削除するためにアプリを更新した。また、今回の問題に大半のユーザーは影響を受けないが、見たことのない予測候補が表示された場合は連絡するよう呼び掛けている。

SwiftKeyとは関係ないが、個人的にはXperiaの「外国語キーボード」で最近、入力候補に何かのIDらしき（英字3文字+数字4桁のような）文字列や、2つの単語をハイフンでつないだ文字列など、見たことのない文字列が表示されるようになった気がしている（スワイプ入力なので再現が難しい）。また、学習データに含まれないにもかかわらず、自分のメールアドレスの一部（普通の単語ではない）が予測候補に出るのも気になるところだ。スラド読者の皆さんは、アプリの種類にかかわらず、予測入力で同様のトラブルに出会ったことがあるだろうか。

taraiok曰く、

昨今では「虹彩認証」を搭載したスマートフォンが製品化されているが、この認証システムを「だます」方法についても数多く議論されているという。分かりやすい例としては目の高解像度写真を使ったり、殺害した後の死体の目を使う方法などだ。そのため、「認証対象の目が生きているか」をチェックする手法が開発されているという（IEEE SPECTRUM、Slashdot）。

虹彩が印刷物かを判定する方法として、湿った角膜からの反射を探したり、温度検出をするなどの方法が考えられている。しかし、こうした技術でも6％ほどは印刷物を生きているものと認識してしまうという。そこで開発されたのが、光条件の変化に応じて瞳孔が収縮することに着目した技術。虹彩の登録時に光の点滅に対する応答も同時に記録することで、実験室レベルではほぼ生存性の判定に成功したとしている。今後は照明条件が変化する現実の環境への対応が課題であるという。

headless 曰く、

Windows 10のディスククリーンアップ自動実行機能に対するDLLハイジャックによりUACをバイパスする方法を、セキュリティ研究家のMatt Nelson氏とMatt Graeber氏が発見したそうだ（Nelson氏のブログ記事、Softpedia）。

DLLハイジャックでUACをバイパスする方法の多くは、ファイルの置き換えなどで特権が必要となる。しかし、ディスククリーンアップ自動実行機能を利用する方法では、標準ユーザーの権限でファイルを置き換え可能だという。

ディスククリーンアップの自動実行はタスクスケジューラの「Microsoft\Windows\DiskCleanup」に「SilentCleanup」として登録されており、最上位の特権で実行される。タスクが起動するプログラムは「cleanmgr.exe」だが、実行時に「DismHost.exe」および関連するDLLを「%TEMP%\」フォルダーにコピーし、最上位の特権でDismHost.exeを起動する。

しかし、コピー先フォルダーの内容を書き換えるのに特権は必要ない。DismHost.exeはフォルダー内のDLLを特定の順番で読み込んでいくため、コピー先フォルダーの生成をWMIイベントで監視し、DLLを置き換えることでDLLハイジャックが可能となる。調査の結果、「LogProvider.dll」が最後に読み込まれる（時間に余裕がある）ことが判明しており、このファイルをターゲットとしたPoCがPowerShellスクリプトで作られている。このスクリプトはGitHubで入手可能だ。なお、「標準」ユーザーアカウントではファイルのコピーが実行されず、タスクも最上位の特権で実行されることはないそうだ。Windows 10以外のWindowsバージョンにも適用されるのかどうかについては言及されていない。

この手法については7月20日にMicrosoftに報告しているが、MicrosoftではUACをセキュリティの境界とみなしていないため、セキュリティ脆弱性ではないとの回答があったとのこと。そのため、Nelson氏は緩和策としてタスクを無効化するか、「最上位の特権で実行する」オプションを無効にすることを推奨している。

headless 曰く、

マーク・ザッカーバーグ氏のTwitterアカウントやサンダー・ピチャイ氏のQuoraアカウントなど、著名人のソーシャルメディアアカウントを次々に乗っ取っている「OurMine」が、今度はTechCrunchのWebサイトをハックしたそうだ（Register、BetaNews）。

ただし、OurMineのロゴとともに「セキュリティをテストしている」といった内容の記事が1本掲載されただけで、TechCrunchのWebサイト全体が乗っ取られたわけではないようだ。記事の自動投稿機能により、TechCrunchのTwitterアカウントにも同様のメッセージが掲載されたとのこと。記事はいずれもすでに削除されている。

TechCrunchのWebサイトはWordPress.comでホストされており、デフォルトのログインページはWordPress CMSの弱点としてしばしば攻撃対象になっているという。今回の攻撃がどのように実行されたのかは不明だが、記事を掲載する権限のあるスタッフのアカウントが乗っ取られたものとみられる。

OurMineのWebサイトではソーシャルメディアアカウントやWebサイトなどのセキュリティチェックサービスを宣伝しており、宣伝の一環として攻撃を実行しているようだ。

利根川の堤防で狐の巣穴が次々と見つかっているそうだ。大雨の際に堤防が決壊する原因になる危険性もあるという（朝日新聞、茨城新聞）。

茨城県古河市の利根川河川敷堤防では巣穴3か所が発見され、うち2か所は少なくとも3メートル以上の奥行きがあったという。そのため、河川事務所は埋め戻しを進めるそうだ。

米NIST（国立標準技術研究所）が、SMSを用いた二要素認証は安全ではないとして非推奨とする方針を出したという（TechCrunch）。

SMSは電話番号だけで送信でき、すでに機械的にSMSを自動送信する手段が普及しているため、手軽な二要所認証手段として使用されている。しかし、通信内容の盗み見や傍受、改ざんなどの可能性があるなどとして、NISTのガイドラインではSMSを使った二要素認証について非推奨とし、さらに今後は不許可とする方針だそうだ。

画像処理関連APIのバグにより、リモートからの任意コード実行が可能となるOS XやiOSなどの脆弱性が発見され、Appleが各OSの最新版で修正している(Talosのブログ記事、 The Guardianの記事、 9to5Macの記事、 BetaNewsの記事)。

TALOS-2016-0171(CVE-2016-4631)はImage I/O APIにおけるTIFFファイルの処理に関する脆弱性で、細工したTIFFファイルを読み込ませることでヒープベースのバッファーオーバーフローを引き起こし、リモートからのコード実行が可能となる。iMessageやMMSで攻撃用のファイルを送り付ければ、ターゲットが操作を行わなくても攻撃が実行される可能性も指摘されている。脆弱性の内容は異なるものの、攻撃のベクターが似通っていることから、昨年話題になったAndroidのStagefright脆弱性を引き合いに出す記事が多いようだ。

このほかTalosが今回公表した中で、幅広いApple製OSに影響を及ぼす脆弱性としては、Core Graphics APIの脆弱性(CVE-2016-4637)が挙げられる。こちらは細工したBMPファイルにより領域外メモリーへの書き込みが発生し、リモートからのコード実行が可能というもの。CVE-2016-4631とCVE-2016-4637はOS X El Capitan v10.11.6およびiOS 9.3.3、tvOS 9.2.2、watchOS 2.2.2で修正されている。CVE-2016-4629 / CVE-2016-4630はOS X 10.11.6で修正されており、CVE-2016-1850はOSX 10.11.5で修正されているとのことだ。

以前、導電性インクと専用の回路用紙を使用してスマートフォンの指紋認証を突破する方法を発表したミシガン州立大学教授のAnil Jain氏とその生徒が、警察の依頼を受けて指紋認証用の「指」を3Dプリンターで作成しているそうだ(Mashableの記事、 Fusionの記事)。

具体的な地域は明らかにされていないが、依頼したのはミシガン州内の警察で、殺人事件の容疑者を特定するために被害者が使用していたGalaxy S6のロックを解除しようとしているらしい。警察は被害者を別の事件で逮捕した際にすべての指の指紋を採取していたが、導電性インクを使用する手法ではロック解除に成功しなかったため、Jain氏に依頼したとのこと。

Jain氏はさまざまな3Dプリンターで被害者の10本指のモデルを作成し、指先部分に導電性素材を適用する。使用する3Dプリンターは数十万ドルもする非常に高価なもので、他の研究者などと共有しているため、10本の指をすべて作成するにはさらに数週間を要する見込みだ。導電性素材も複数試す計画だが、完成した指でロックを解除できる保証はないという。

銃乱射事件の容疑者が使用していたiPhone 5cのロック解除をAppleが拒否するなど、捜査当局による携帯電話のロック解除はさまざまな議論を呼んでいる。容疑者などにロック解除を強制することは、不利な証言を強制されないことを保証した合衆国憲法修正第5条に抵触する可能性もある。ただし、過去の裁判では、PINコードなど本人が記憶している情報は保護の対象になる一方、生体情報によるものは保護の対象にならないといった判断が示されている。

そのため、指紋によるロック解除は本人の同意がなくても修正第5条には反しないと考えられるという。さらに今回の場合は本人が死亡しているため、別の犯罪に関する不利な証拠が出ても被害者が訴追されることもない。その一方で、携帯電話に保存された情報は所有者の内心を拡張したものとして修正第5条のほか、不当な押収や捜査を禁じた修正第4条でも保護されるべきだとする意見もあるようだ。