WikiLeaksではトルコの与党、公正発展党(AKP)のメールサーバーから流出した電子メールのコピーを公開しているが、添付されたマルウェアがそのままの状態になっているそうだ(GitHub — Malware hosted by WikiLeaks、 The Registerの記事、 Softpediaの記事、 HackReadの記事)。

電子メールのコピーは、Hacking Teamのサーバーをサイバー攻撃して脆弱性情報などを流出させたハッカーのPhineas Fisher氏が入手したものだ。Fisher氏はトルコとシリアのクルド系住民をサポートするため、、AKPのメールサーバーに侵入して情報を収集していた。ダウンロードしたデータの半分はクルド系の人物に渡され、受け取った人物が分析のためにWikiLeaksに渡したのだという。WikiLeaksでは公開しない条件でデータを受け取っていたが、7月に発生したトルコでのクーデター未遂事件後にデータを公開した。

公開された電子メールの添付ファイルを分析し、マルウェアが多数含まれることを発見したのは、ブルガリア・National Laboratory of Computer VirologyのVesselin Bontchev教授。Bontchev氏はマルウェアであることが確認された3,000件以上の添付ファイルをリストにし、GitHubで公開している。

(続く...)

Electronic Frontier Foundationは17日、Windows 10に関連してMicrosoftがユーザーの選択とプライバシーを露骨に無視していることを批判するブログ記事を掲載した(Deeplinks Blogの記事、 Neowinの記事、 BetaNewsの記事、 The Registerの記事)。

「ユーザーの選択を無視」というのは、7月29日に終了したWindows 10の無償アップグレードキャンペーンに関するものだ。Microsoftは更新プログラムとして「Windows 10を入手」アプリをWindows 7/8.1に提供し、Windows 10への無償アップグレードを1年以上にわたって勧め続けた。このほかにも、アップグレード推奨にはさまざまな方法が使われている。 2月にはWindows 10へのアップグレードが「推奨される更新プログラム」となり、Windows Updateを実行すると設定によっては自動的にアップグレードが開始されるようになった。5月には強制アップグレードが開始され、中央アフリカで密猟者から攻撃されているレンジャーに指示を出せなくなるというトラブルも発生した。

(続く...)

あるAnonymous Coward曰く、

以前、米国家安全保障局（NSA）がネット監視を行っていたことが話題になったが、このNSAが使用していたと見られるサイバー攻撃ツールが流出した模様。これを入手したハッカー集団はオークション形式でこのツールを売却するという（Business Insider、日本経済新聞、Slashdot）。

このツールはルーターの脆弱性を使ってシステムに侵入するものと見られており、NSAが外国機関のシステムから情報を収集するために使っていたという。ハッカー集団は「Shadow Brokers」と名乗っているが、ロシア政府と関連がある可能性もあり、FBIが捜査を進めているという。なお、Business Insiderによると、このツールは本物だろうと元NSA関係者が発言しているそうだ。

headless曰く、

Microsoftは15日、Windows 7/8.1（Windows Server 2008 R2/2012/2012 R2を含む）を対象に、10月から更新プログラム提供をロールアップモデルに移行し、セキュリティ関連の修正と信頼性関連の修正を1つにまとめたロールアップパッケージとして提供することを発表した（Windows for IT Pros、Windows Central、V3、Ars Technica）。

Microsoftでは5月にWindows 7 SP1以降の更新プログラムをまとめた「便利な更新プログラムのロールアップ」を提供開始した際にロールアップモデルへの移行を発表していたが、この時点ではセキュリティに関連しない修正プログラムのみが含まれると説明していた。しかし、ユーザーからのフィードバックを受けてセキュリティ関連の修正プログラムも含めるようにしたとのこと。サービススタックやAdobe Flashなど個別に提供される更新プログラムもあるが、ロールアップパッケージにセキュリティ関連の修正も含まれるということで、毎月の更新プログラムの本数は大幅に少なくなるとみられる。これによりパッチの依存関係などの問題が発生しにくくなり、パッチの適用やテストは単純化される。一方、問題発生時に特定のパッチだけを削除するといった対応は難しくなる。

ロールアップパッケージは11月以降、前月までのロールアップによる修正をすべて含むものとなる。来年にはそれ以前のパッチも順次追加されていき、最終的には完全な累積的な更新プログラムとして提供することを目指すという。ロールアップパッケージはWindows Updateで配布されるほか、WSUSやSCCM、Microsoft Updateカタログでも配布される。

なお、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供される。こちらは当該月にリリースされたパッチのみが含まれ、WSUSやSCCMおよびMicrosoft Updateカタログで配布される。更新プログラムの配布方式変更に伴い、ロールアップとセキュリティのみの更新プログラムについては、Windows 10と同様のリリースノート形式で変更点の説明が行われるようになるとのこと。

このほか、同時に.NET Frameworkの更新プログラムもロールアップモデルへ移行する。こちらもセキュリティ関連のパッチだけをまとめた更新プログラムがMicrosoft UpdateカタログおよびWSUSで提供される。また、近いうちにMicrosoft UpdateカタログはActiveXコントロールに依存せず実行できるようになるそうだ。現在のMicrosoft UpdateカタログはActiveXコントロールを必要とするため、使用できるのはInternet Explorerのみ。Microsoft Edgeでも使用できなかった。

あるAnonymous Coward 曰く、

中国が16日未明、世界初という量子科学実験衛星「墨子」の打ち上げに成功したという（産経新聞、ウォール･ストリート･ジャーナル、CNET Japan）。

墨子は量子鍵配送システムによる量子暗号通信を行うことを目的とした衛星。これを利用することで、非常に堅牢な暗号化通信が可能となる。光ファイバーを利用した量子鍵配送システム自体はすでに一部商業利用されているが、量子鍵配送を目的とした人工衛星の打ち上げは初めてという。

中国は関連施設の建設も行っており、今後衛星と地上を結ぶ量子暗号通信の実験システム構築を目指すという。

あるAnonymous Coward曰く、

TCPのセキュリティを向上させるはずの仕様であるRFC 5961に重大な脆弱性が発見され、その仕様を実装していたLinuxカーネル3.6以上を搭載する端末が影響を受けることが明らかになっていたが、この脆弱性がAndroid 4.4以降にも存在することが報じられている（Register、ZDNet Japan、INTERNET Watch）。

この脆弱性は7月12日に公開されていたもので、短い所要時間・高い成功率で通信の妨害や乗っ取りが可能とのこと。既にパッチや回避策が提供されているが、Android向けの修正プログラムはまだ未提供とのこと。

なお、WindowsやMac OS X、FreeBSDなどのLinux以外のOSではRFC 5961の実装が遅れていたため、影響は無い。

headless曰く、

PCの冷却ファンを操作してエアギャップ環境からデータを盗み出す「Fansmitter」を考案したイスラエル・ベングリオン大学のCyber Security Research Centerが、今度はハードディスクのシーク音を利用してエアギャップ環境からデータを盗み出す「DiskFiltration」を発表した（論文要旨、Ars Technica、Register）。

ネットワークから隔離されたエアギャップ環境のPCからデータを盗み出す方法は、ターゲットのPCでデータ送信用のソフトウェア（マルウェア）を実行し、電磁波や光、熱、音声に乗せてPCから収集したデータをエンコードして送信するといったものだ。あとは受信用のハードウェアでデータをデコードして外部に転送すればいい。

実験では2つのトラック間を移動する際のシーク音を使い、シーク音が出ている部分を「1」、出ていない部分を「0」としてデータを送信する。ディスクキャッシュによる影響を避けるため、送信時にはOSのキャッシュとハードディスクのキャッシュは無効化している。データは4ビット（1010）のプリアンブルに36ビットのペイロードを組み合わせたものを1フレームとし、受信側のスマートフォンではバンドパスフィルターを用いて最もSN比の高かった2,050～2,100Hzを取り出して処理を行ったとのこと。

送信可能なビットレートは周辺ノイズやターゲットのPCと受信用ハードウェアとの距離にも影響されるが、静かな場所では3ビット/秒=180ビット/分程度のビットレートが実現できたとのことだ。

あるAnonymous Coward曰く、

米国では銃乱射事件が発生し、FBIがAppleに容疑者のiPhoneの暗号化を解除するようAppleに要請する事件があった。この件は第3者の解析により解決に至ったが、ほかのサービス、例えばクラウド・ベンダーなどでも今後、同様の問題は起きていく可能性は高い。この問題に対し米国では専門家の考えも分かれているようだ。

クラウドサービスへのデータ保護サービスを提供しているBitglassのIT専門家のうち反対者は55％。一方で35％の人は要求があればクラウド・ベンダーは復号化したデータを政府に渡す必要があるとしている。INFOSECのヨーロッパ、中東、アフリカ（EMEA）の担当専門家では反対者は42％、さらに米国担当専門家の64％が政府への協力に反対したという（Help Net Security、Slashdot）。

一方、FBIのジェームズ・コミー長官は8月5日、過去10カ月間にFBIの捜査対象となった電子デバイス5000台のうち650台にアクセスできなかったことを明らかにした。「暗号化技術について議論しなければ、この問題は悪化する一方だ」と発言している（ITmedia）。

あるAnonymous Coward曰く、

北海道・道立総合研究機構（道総研）が16日、同組織内のPCがウイルスに感染し外部と不正通信を行っていたことを発表した（発表資料、北海道新聞）。

ウイルスに感染したPCは音響用データ分析に用いられていたもので、種類や感染経路は調査中とのこと。北海道新聞によると、このPCはOSとしてWindows XPを使用しており、またインターネットへの接続も行っていたという。PC内には騒音等の音響データや当該パソコンを使用している職員の出張計画などの情報が保存されていたが、当該職員以外の個人情報や機密情報に該当する情報は保存されていたかったとのこと。

同機構は再発防止策として「今後は、ウィルスに感染する恐れのあるサイトの閲覧や標的型メールに対する注意喚起など情報セキュリティ意識の向上に関し、職員に対して、改めて通知するとともに、研修等を通じて情報セキュリティの向上を図りながら、再発防止に努めてまいります。」と発表した。セキュリティサポートが終了したWindows XPを更新せず研修で再発を防止するという内容に、疑問の声が上がっている。

一部自動車のリモコンキーについて、暗号方式などの情報が盗まれて容易に複製が可能になっているという報告が明らかにされた（時事通信）。

問題が指摘されているのはフォルクスワーゲングループおよび傘下のアウディで採用されているリモコンキーで、複製の恐れのある車は1億台に達するという。

また、ルノーやフォード、三菱、日産などが採用している別の方式のリモコンキーについても暗号解読に成功しているという。

やや旧聞になるが、ヒルトンホテルが7月下旬、ポイントプログラム「Hilton HHonors」の会員あてにフィッシングメールにしか見えない文面の電子メールを送信し、HHonorsのITサポート担当までフィッシングメールだと判断する事態になっていたそうだ(Lenny Zeltser氏のブログ記事、 The Registerの記事)。

この電子メールは「重要なメッセージ」のような件名で、冒頭のあいさつは会員のファーストネームのみ。本文は、あなたのアカウント情報が正しいかどうか確認したいので、Hilton HHonorsアカウントにログインして電子メールアドレスや住所、電話番号、受信する電子メールの選択を確認してほしいという内容だ。このほか、アカウントレベルやポイント数が記載されており、「ACCOUNT LOGIN」「UPDATE NOW」といったリンクも用意されている。

このメッセージを受け取った会員が正規のものかどうかHilton HHonorsのTwitterアカウントに質問したところ、HHonorsチームが送ったものではないので、アカウント情報を入力しないように警告されている。米NCRのLenny Zeltser氏はブログ記事で企業から送られた電子メールの良い例と悪い例を挙げ、フィッシングメールそっくりの正規のメールが増えると顧客の判断が鈍るので避けるべきだと述べている。

なお、元記事は正規の電子メールだった前提で書かれているが、そう判断した理由には触れられていない。Twitterでは別のユーザーが電子メールヘッダーのスクリーンショットを投稿し、Hiltonから送られたものかHiltonがハックされたのかどちらかだとコメントしているが、この件に関するHHonorsからの続報は出ていない。

適用することでWindowsマシンのセキュアブート機能を無効化できるというセキュアブートポリシーが流出し、解析結果が公開されている(Secure Golden Key Boot、 The Registerの記事、 Threatpostの記事、 Ars Technicaの記事)。

セキュアブートはUEFIファームウェアの機能の1つ。有効にするとブート時に実行するソフトウェアの署名が確認され、認証された証明書で署名されていなければ実行できない。セキュアブートポリシーはバイナリ形式のファイルで、Windowsの起動プロセスの非常に初期の段階にbootmgrが読み込む。デバイスの中にはセキュアブートを無効にできないものもあるが、発見したセキュリティ研究者が「golden key」と呼ぶセキュアブートポリシーを読み込ませることでテスト署名を有効化し、セキュアブートをバイパス可能になるという。

golden keyの入手経路は明らかにされていないが、何らかの製品に誤って同梱されていたものとみられる。発見者は3月～4月にgolden keyの存在を確認してMicrosoft Security Response Centerに連絡したが、当初の反応は鈍かったという。しかし、6月～7月に再び返信があり、バグ発見の報奨金プログラムの対象になる。Microsoftでは7月(MS16-094)と8月(MS16-100)に修正プログラムをリリースしているが、影響を受けるポリシーやブートマネージャーをブラックリストに登録するといった内容であり、この方法での完全な修正は難しいと発見者はみているようだ。

セキュアブートポリシーは開発時などに必要なものだが、ブートキットなどのインストールに使われる可能性もある。発見者は政府機関などが要求するようなバックドアの設置が行われ、その鍵が流出した場合の問題を示す実例だと述べている。

一方、Microsoftは、この問題がデスクトップや企業のPCには適用されないと述べ、ARMおよびRTデバイスでも物理的アクセスおよび管理者権限が必要になる点を指摘。暗号化による保護が破られることはないとThreatpostに説明したとのことだ。

Microsoftは9日に配布開始したWindows 7/8.1/10の累積的な更新プログラムで、Internet Explorer 11とMicrosoft EdgeのRC4暗号をデフォルトで無効化した(Microsoft Edge Dev Blogの記事、 KB3151631、 Softpediaの記事、 Neowinの記事)。

Microsoftは昨年9月、GoogleやMozillaと同時にWebブラウザーでのRC4暗号無効化を2016年の早い時期に実施することを発表しており、今年3月には4月の月例更新でパッチを配布する計画を明らかにしていた。しかし、顧客からのフィードバックにより、RC4暗号の無効化は先送りされていたとのこと。Google ChromeとFirefoxは1月にリリースされたバージョンでRC4暗号を無効化しており、これにIE 11とEdgeも加わることになる。

nemui4曰く、

デンマークで、デンマーク国民約530万人分の個人情報が、手違いで本来送られるはずだったデンマーク統計局ではなく、中国のビザ申請局に郵送されるというトラブルが起きていたそうだ（GIGAZINE）。

このデータはCD-ROM2枚に格納されており、また暗号化はされていなかったとのこと。データには社会保障番号および健康に関する情報が含まれてていたという。受け取った中国のビザ申請局の職員はこれを誤って開封後、間違いに気付いて統計局に届けたそうだ。

お漏らししたデンマーク保健省傘下の研究所って民間なのかな。どこの国でも個人情報取り扱う仕事はプレッシャーきつそう。

headless 曰く、

英国・ロンドン警視庁では、組織内のパソコンの大半にあたる27,000台で現在もWindows XPが稼働しており、Microsoftとのカスタムサポート契約を結んで使用しているという(V3.co.uk、Register、Inquirer、Softpedia）。

ロンドン警視庁では2015年5月の段階で35,640台のパソコンのうち、Windows XPマシンが34,920台を占めており、2016年3月までにWindows 8.1への移行を完了する計画だった。しかし、現在までに移行が完了したのは8,000台にとどまり、さらに6,000台を9月末までに移行する予定だという。

ロンドン議会議員のAndrew Boff氏は、古いOSを使い続けることへの強い懸念を示す一方で、アップグレード先にWindows 8.1を選んだことにも疑問を呈す。Windows 8.1は最も広く使われているバージョンでもなく、最新版でもない。Boff氏はスタッフが使い慣れているのはWindows 10の方だろうとし、より先までサポートされる点が最も重要だと述べている。ちなみに、StatCounterのデータによれば、Windows 10は6月以降英国で最も多く使われているOSとなっている。