Appleは25日、iOS 9.3.5をリリースした。このバージョンで修正された3件のゼロデイ脆弱性は、連携させることでリモート脱獄が可能となるものだ(Appleサポートの記事、 Lookout Blogの記事、 The Citizen Labの記事、 Ars Technicaの記事)。

脆弱性はカーネル関連2件とWebKit関連1件で、それぞれアプリケーションによるカーネルメモリー漏洩(CVE-2016-4655)、アプリケーションによるカーネル特権での任意コード実行(CVE-2016-4656)、Webサイトを訪問することによる任意コード実行(CVE-2016-4657)となっている。これらの脆弱性はイスラエルのNSOグループによる「Pegasus」スパイウェアで使われており、脆弱性を確認したCitizen LabとSophosでは3件の脆弱性をまとめて「Trident」と呼んでいる。

NSOグループは「合法的な傍受」を可能にするスパイウェア製品を政府機関専門に販売するサイバー戦争企業だという。Pegasusはターゲットを攻撃用のWebサイトに誘導してiOSデバイスにスパイウェアをインストールすることで、メッセージや通話、電子メール、アプリのデータなどへのアクセスを可能にする。

(続く...)

Dropboxでは、4年以上パスワードを変更していないユーザーに対し、パスワード変更を促している(Dropboxヘルプセンター、 Neowinの記事、 The Registerの記事、 BetaNewsの記事)。

これは2012年に発生したメールアドレス流出に関連するもののようだ。この件は他のWebサイトから流出したユーザー名とパスワードがDropboxアカウントへのサインインに使われたとの結論が出ているが、当時取得されたとみられるDropboxの認証情報(メールアドレスとソルトを加えてハッシュ化されたパスワード)の存在が確認されたとのこと。対象は2012年半ば以前にDropboxに登録し、2012年半ば以降パスワードを変更していないユーザーとなっている。

Dropboxによると現在のところ不正アクセスの発生は確認されていないが、該当するユーザーには予防措置としてパスワード変更を必須としているとのこと。対象ユーザーにはメールで通知されるほか、dropbox.comへの次回ログイン時にパスワード変更が促される。ただし、対象とならないアカウントのユーザーにもメールで通知されることがあるようだ。

詳しくはDropboxヘルプセンターの記事に記載されているが、日本語版にはあいまいな部分があるため、不明な点が出た場合は英語版もあわせて参照してほしい。言語設定はページ下部のリンクから変更できる。

headless 曰く、

昨年、パスワードの強度を判定するツールの問題点が話題になったが、jQueryプラグインとして提供される人気のパスワード強度メーターでは現在もあまり改善されていないようだ（Naked Security、Guardian、Register）。

デジタルコンサルタント会社、英Compound EyeのMark Stockley氏は昨年、スラドで紹介したカナダ・コンコルディア大学の研究とは異なる方法でパスワード強度メーターを調査し、Naked Securityで結果を発表している。先日新たに掲載された記事によれば、前回の調査から1年以上たった現在も状況は変わっていないという。

判定に問題のあるパスワード強度判定ツールの弱点は、文字種や文字数の多さといったエントロピーにばかり注目するところだ。Stockley氏の行ったテストは、jQueryプラグインとして公開されているパスワード強度メーターで人気の高いもの5本を選び、よく使われるパスワード上位10,000件のリストから特定の条件を満たすパスワード5本を選んで判定させるというものだ。パスワード強度メーターはGoogleで「jquery strength meter」を検索し、上位5本を選んでいる。

選ばれたパスワードは「abc123 （14位、英字と数字の組み合わせで最上位）」「trustno1 （29位、英字と数字の組み合わせで2位）」「ncc1701 （158位、エンタープライズ号の登録番号）」「iloveyou! （8,778位、英数字以外の文字種が使われた中で最上位）」「primetime21 （8,280位、英字と数字の組み合わせで一番長い）」となっている。これらのパスワードはパスワードクラックツール「John the Ripper」で1秒以内にクラックできてしまうという。

これらのパスワードは確実に弱いパスワードだが、5本のパスワード強度メーターは少なくとも1つのパスワードでパスワード強度「中」と判定している。今回使用したパスワード強度メーターのうち2本は前回と同じものだが、前回とまったく同じ結果が出ている。今回はDropboxなどでも使われ、評価の高いオープンソースのパスワード強度メーター「zxcvbn」を比較対象として同じテストを行っており、こちらはすべて「非常に弱い」と判定したとのこと。

あるAnonymous Coward 曰く、

東京電力傘下で送配電事業を行う東京電力パワーグリッドで、顧客情報が格納された外付けHDDを社員が執務室内で紛失するという事件が発生したとのこと（東京電力パワーグリッドの発表）。

問題のHDDに含まれていた情報は約21万軒の法人情報（契約名義、住所、郵送先、連絡先情報）や社内文書。外部のPC等では容易にデータ閲覧が行えないよう、セキュリティ対策が行われているためデータ流出の可能性は低いとしている。

しかし、外付けHDDを外に持ち出して紛失、という話なら分かるが、オフィス内で紛失して行方不明というのはどういう状況なのかよく分からない。さすがにこのご時世で清掃スタッフがゴミとして捨てる、ということはないだろうし。

ソースコードの改ざん防止や本人確認に使われるPGP署名で、鍵の偽造が問題になっているようだ。

問題となっているのは鍵IDが32ビットの鍵だそうで、Linuxの開発者であるLinux Torvalds氏やGrek K-H氏の偽造鍵が発見されているようだ（LKMLへの投稿、ZDNet Japan）。

すでに32ビットの鍵IDは脆弱であることが知られており、GPUを使った処理で容易に偽の鍵を生成できる状態になっているようだ。 対策としては鍵IDのビット数をより長いものにすれば良い。また、今回は偽造鍵が見つかっただけで、それ以外のトラブルや問題、これを利用した攻撃などは確認されていないようだ。

ただ、こういった脆弱な鍵が存在する状況で公開鍵サーバーを利用することについて懸念の声も上がっている。

あるAnonymous Coward 曰く、

米国家安全保障局（NSA）によるネット監視を告発したエドワード･スノーデン氏が、米当局による日本でのネット監視について答えたインタビュー記事が現代ビジネスに掲載されている。

スノーデン氏は米空軍横田基地内にある日本のNSA本部に勤務していた経験があるという。日本では横須賀基地や三沢基地、横田基地、キャンプ・ハンセン、嘉手納基地といった米軍基地や米大使館において約1000人が信号諜報に当たっているそうで、スノーデン氏によると主に国際海底ケーブルを通過する情報を記録してNSAのデータベースに転送する活動が行われていたという。また、スノーデン氏の勤務先には日本側の「パートナー企業」がたびたび訪れていたという。

また、スノーデン氏は「日本で近年成立した（特定）秘密保護法は、実はアメリカがデザインしたものです」といった発言も行っている。

とはいえ、発言には憶測によるものも多いため、どこまで信憑性があるかは判断が難しいところである。

taraiok 曰く、

Brigham Young University（BYU）がGoogle Chromeの開発者らと共同で行った研究結果によると、最大9割の人がソフトウェアの表示する警告メッセージを無視しているという（PHYS.ORG、Slashdot、論文要旨）。

論文によると、Webページを閉じるときのポップアップ警告については74％が無視、動画を見ている最中の警告は79％が無視、情報を転送するかどうかの確認については87％もの人が無視していたという。

多くのソフトウェアでは、ユーザーが行っている操作に関係なく強制的に警告メッセージを表示する。しかし、人間の脳はマルチタスクには向いていないため、このようなメッセージは無視される傾向が高いという。

警告の表示タイミングを工夫することによって、この問題を緩和させることは可能だそうだ。具体的には、動画の再生後に表示させたり、ページのロード時間中に表示させたり、設問中に表示させたりといった具合に、人間がタスクを中断したときに表示させるのが一番適切な表示方法だとしている。

WikiLeaksではトルコの与党、公正発展党(AKP)のメールサーバーから流出した電子メールのコピーを公開しているが、添付されたマルウェアがそのままの状態になっているそうだ(GitHub — Malware hosted by WikiLeaks、 The Registerの記事、 Softpediaの記事、 HackReadの記事)。

電子メールのコピーは、Hacking Teamのサーバーをサイバー攻撃して脆弱性情報などを流出させたハッカーのPhineas Fisher氏が入手したものだ。Fisher氏はトルコとシリアのクルド系住民をサポートするため、、AKPのメールサーバーに侵入して情報を収集していた。ダウンロードしたデータの半分はクルド系の人物に渡され、受け取った人物が分析のためにWikiLeaksに渡したのだという。WikiLeaksでは公開しない条件でデータを受け取っていたが、7月に発生したトルコでのクーデター未遂事件後にデータを公開した。

公開された電子メールの添付ファイルを分析し、マルウェアが多数含まれることを発見したのは、ブルガリア・National Laboratory of Computer VirologyのVesselin Bontchev教授。Bontchev氏はマルウェアであることが確認された3,000件以上の添付ファイルをリストにし、GitHubで公開している。

(続く...)

Electronic Frontier Foundationは17日、Windows 10に関連してMicrosoftがユーザーの選択とプライバシーを露骨に無視していることを批判するブログ記事を掲載した(Deeplinks Blogの記事、 Neowinの記事、 BetaNewsの記事、 The Registerの記事)。

「ユーザーの選択を無視」というのは、7月29日に終了したWindows 10の無償アップグレードキャンペーンに関するものだ。Microsoftは更新プログラムとして「Windows 10を入手」アプリをWindows 7/8.1に提供し、Windows 10への無償アップグレードを1年以上にわたって勧め続けた。このほかにも、アップグレード推奨にはさまざまな方法が使われている。 2月にはWindows 10へのアップグレードが「推奨される更新プログラム」となり、Windows Updateを実行すると設定によっては自動的にアップグレードが開始されるようになった。5月には強制アップグレードが開始され、中央アフリカで密猟者から攻撃されているレンジャーに指示を出せなくなるというトラブルも発生した。

(続く...)

あるAnonymous Coward曰く、

以前、米国家安全保障局（NSA）がネット監視を行っていたことが話題になったが、このNSAが使用していたと見られるサイバー攻撃ツールが流出した模様。これを入手したハッカー集団はオークション形式でこのツールを売却するという（Business Insider、日本経済新聞、Slashdot）。

このツールはルーターの脆弱性を使ってシステムに侵入するものと見られており、NSAが外国機関のシステムから情報を収集するために使っていたという。ハッカー集団は「Shadow Brokers」と名乗っているが、ロシア政府と関連がある可能性もあり、FBIが捜査を進めているという。なお、Business Insiderによると、このツールは本物だろうと元NSA関係者が発言しているそうだ。

headless曰く、

Microsoftは15日、Windows 7/8.1（Windows Server 2008 R2/2012/2012 R2を含む）を対象に、10月から更新プログラム提供をロールアップモデルに移行し、セキュリティ関連の修正と信頼性関連の修正を1つにまとめたロールアップパッケージとして提供することを発表した（Windows for IT Pros、Windows Central、V3、Ars Technica）。

Microsoftでは5月にWindows 7 SP1以降の更新プログラムをまとめた「便利な更新プログラムのロールアップ」を提供開始した際にロールアップモデルへの移行を発表していたが、この時点ではセキュリティに関連しない修正プログラムのみが含まれると説明していた。しかし、ユーザーからのフィードバックを受けてセキュリティ関連の修正プログラムも含めるようにしたとのこと。サービススタックやAdobe Flashなど個別に提供される更新プログラムもあるが、ロールアップパッケージにセキュリティ関連の修正も含まれるということで、毎月の更新プログラムの本数は大幅に少なくなるとみられる。これによりパッチの依存関係などの問題が発生しにくくなり、パッチの適用やテストは単純化される。一方、問題発生時に特定のパッチだけを削除するといった対応は難しくなる。

ロールアップパッケージは11月以降、前月までのロールアップによる修正をすべて含むものとなる。来年にはそれ以前のパッチも順次追加されていき、最終的には完全な累積的な更新プログラムとして提供することを目指すという。ロールアップパッケージはWindows Updateで配布されるほか、WSUSやSCCM、Microsoft Updateカタログでも配布される。

なお、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供される。こちらは当該月にリリースされたパッチのみが含まれ、WSUSやSCCMおよびMicrosoft Updateカタログで配布される。更新プログラムの配布方式変更に伴い、ロールアップとセキュリティのみの更新プログラムについては、Windows 10と同様のリリースノート形式で変更点の説明が行われるようになるとのこと。

このほか、同時に.NET Frameworkの更新プログラムもロールアップモデルへ移行する。こちらもセキュリティ関連のパッチだけをまとめた更新プログラムがMicrosoft UpdateカタログおよびWSUSで提供される。また、近いうちにMicrosoft UpdateカタログはActiveXコントロールに依存せず実行できるようになるそうだ。現在のMicrosoft UpdateカタログはActiveXコントロールを必要とするため、使用できるのはInternet Explorerのみ。Microsoft Edgeでも使用できなかった。

あるAnonymous Coward 曰く、

中国が16日未明、世界初という量子科学実験衛星「墨子」の打ち上げに成功したという（産経新聞、ウォール･ストリート･ジャーナル、CNET Japan）。

墨子は量子鍵配送システムによる量子暗号通信を行うことを目的とした衛星。これを利用することで、非常に堅牢な暗号化通信が可能となる。光ファイバーを利用した量子鍵配送システム自体はすでに一部商業利用されているが、量子鍵配送を目的とした人工衛星の打ち上げは初めてという。

中国は関連施設の建設も行っており、今後衛星と地上を結ぶ量子暗号通信の実験システム構築を目指すという。

あるAnonymous Coward曰く、

TCPのセキュリティを向上させるはずの仕様であるRFC 5961に重大な脆弱性が発見され、その仕様を実装していたLinuxカーネル3.6以上を搭載する端末が影響を受けることが明らかになっていたが、この脆弱性がAndroid 4.4以降にも存在することが報じられている（Register、ZDNet Japan、INTERNET Watch）。

この脆弱性は7月12日に公開されていたもので、短い所要時間・高い成功率で通信の妨害や乗っ取りが可能とのこと。既にパッチや回避策が提供されているが、Android向けの修正プログラムはまだ未提供とのこと。

なお、WindowsやMac OS X、FreeBSDなどのLinux以外のOSではRFC 5961の実装が遅れていたため、影響は無い。

headless曰く、

PCの冷却ファンを操作してエアギャップ環境からデータを盗み出す「Fansmitter」を考案したイスラエル・ベングリオン大学のCyber Security Research Centerが、今度はハードディスクのシーク音を利用してエアギャップ環境からデータを盗み出す「DiskFiltration」を発表した（論文要旨、Ars Technica、Register）。

ネットワークから隔離されたエアギャップ環境のPCからデータを盗み出す方法は、ターゲットのPCでデータ送信用のソフトウェア（マルウェア）を実行し、電磁波や光、熱、音声に乗せてPCから収集したデータをエンコードして送信するといったものだ。あとは受信用のハードウェアでデータをデコードして外部に転送すればいい。

実験では2つのトラック間を移動する際のシーク音を使い、シーク音が出ている部分を「1」、出ていない部分を「0」としてデータを送信する。ディスクキャッシュによる影響を避けるため、送信時にはOSのキャッシュとハードディスクのキャッシュは無効化している。データは4ビット（1010）のプリアンブルに36ビットのペイロードを組み合わせたものを1フレームとし、受信側のスマートフォンではバンドパスフィルターを用いて最もSN比の高かった2,050～2,100Hzを取り出して処理を行ったとのこと。

送信可能なビットレートは周辺ノイズやターゲットのPCと受信用ハードウェアとの距離にも影響されるが、静かな場所では3ビット/秒=180ビット/分程度のビットレートが実現できたとのことだ。

あるAnonymous Coward曰く、

米国では銃乱射事件が発生し、FBIがAppleに容疑者のiPhoneの暗号化を解除するようAppleに要請する事件があった。この件は第3者の解析により解決に至ったが、ほかのサービス、例えばクラウド・ベンダーなどでも今後、同様の問題は起きていく可能性は高い。この問題に対し米国では専門家の考えも分かれているようだ。

クラウドサービスへのデータ保護サービスを提供しているBitglassのIT専門家のうち反対者は55％。一方で35％の人は要求があればクラウド・ベンダーは復号化したデータを政府に渡す必要があるとしている。INFOSECのヨーロッパ、中東、アフリカ（EMEA）の担当専門家では反対者は42％、さらに米国担当専門家の64％が政府への協力に反対したという（Help Net Security、Slashdot）。

一方、FBIのジェームズ・コミー長官は8月5日、過去10カ月間にFBIの捜査対象となった電子デバイス5000台のうち650台にアクセスできなかったことを明らかにした。「暗号化技術について議論しなければ、この問題は悪化する一方だ」と発言している（ITmedia）。