Windows版Firefoxの今後のバージョンでは、企業の環境でインストールされたルート証明書の扱いが変更されるそうだ(Mike's Musingsの記事、 Softpediaの記事)。

Windows版のFirefoxはWindowsの証明書ストアを使用せず、独自の証明書ストアを使用している。そのため、企業のシステム管理者がプライベートネットワークやアプリケーションで使用するルート証明書をWindowsにインストールした場合、Firefoxからはアクセスできなかった。

この問題を解決するため、Firefoxの今後のバージョンではWindowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。また、これによりWindows 8.1のMicrosoft Family Safety機能もFirefoxで使用可能となる。

現在この機能はベータ版のFirefox 49でテストが行われている。オプションを有効にするには、about:configで「security.enterprise_roots.enabled」をtrueにセットすればいい。

ジョン・マカフィー氏が自らCEOを務める会社の名前に自分の名前を使用する権利があることの確認を求め、Intelを訴えたそうだ(VentureBeatの記事、 Bloombergの記事)。

マカフィー氏は5月、セキュリティ企業への転換を進めるMGT Capital InvestmentsのCEOへの就任を提案される。MGTは社名をJohn McAfee Global Technologiesに変更する計画を発表していた。これに対し、2010年にMcAfee Inc.を買収したIntelが、「McAfee」の名前を使用することは商標権の侵害になると書面で通知したという。

一方、マカフィー氏とMGTは1991年にMcAfee Inc.の前身であるMcAfee Associatesの資産をMcAfee Associates LPへ売却した際の文書を示し、この際にMcAfeeの名前を使用する権利は譲渡されておらず、マカフィー氏が自分の名前を使用したビジネスを行うことも禁じられていないことを指摘。さらに、Intelは2014年にMcAfee製品の名称をIntel Securityに変更した点も指摘している。John McAfee Global Technologiesという名称が国際的な著名人であるマカフィー氏との結びつきを示すことは明白であり、マカフィー氏にはその権利があると主張しているようだ。

taraiok 曰く、

セキュリティ企業AVGの研究者らが、Windows Updateを模したランサムウェアを発見したそうだ（HotHardWare、Slashdot）。

このランサムウェアは「Fantom」と呼ばれており、Windowsの重要なアップデートのように見せかけたポップアップを表示するという。ユーザーがもしこの表示に従ってアップデートを実行してしまうと、アップデートがインストールされるような画面が表示されるが、その裏ではPC内のファイルを暗号化する処理が実行され、最後に暗号化を解除して欲しければ金を払えという表示を行うという。

なお、Fantomはオープンソースのランサムウェア「EDA2」を元にしており、犯人の助けなしにファイルを復号化する方法はないという。

insiderman 曰く、

無料でマルチドメイン対応のSSL証明書を発行してくれるとして一部で話題になっていた中国の認証局「WoSign」で、サブドメインに紐付けられているサーバーの管理権限があれば、そのメインのドメインに対するSSL証明書も取得できてしまうという問題が明らかになっている。たとえばgithub.ioでは、利用者に対し＜プロジェクト名/ユーザー名＞.github.ioや＜プロジェクト名/ユーザー名＞.github.comというドメインを提供しているが、これを悪用することでgithub.ioやgithub.comに対するSSL証明書も取得できてしまうことになる（GIGAZINE、Schrauger.com、Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and Alibaba）。

さらにこの問題が明らかになった後も、WoSign側は問題のある証明書に対して適切な対処を行わなかったとして批判されているようだ。これを受けてMozilla開発者らの間でWoSignが発行した証明書の扱いをどうするかが議論されているが、WoSignは中国でも大手の認証局と言うことで、対応に苦慮している模様。

「世界最高レベルのコピープロテクト」として以前話題になった「Denuvo」を採用した新作ゲームの海賊版が、発売後6週間で登場したそうだ（GIGAZINE、TorrentFreak、Ars Technica）。

Denuvoは「絶対クラックできない」というわけではないが、たとえば「Rise of the Tomb Raider」というタイトルではプロテクトが解除された海賊版が登場するまでに発売後193日間がかかっており、海賊版が出始めるまでの時間を稼ぐことには成功している。しかし、今回クラック対象となった「Inside」というゲーム（リリース日は7月7日）については、その約6週間後の8月23日に海賊版が登場する事態になってしまったそうだ。

クラックに掛かる時間が短縮された理由としてゲーム自体のファイルサイズが小さかったことが挙げられているものの、今回海賊版を公開した「CONSPIR4CY」というハッカー集団はDenuvoの解除方法をすでに確立していると見られている。また、実際には2週間ほどでクラックは完了していたが、同じくDenuvoが採用されている大型タイトル「Deus Ex Mankind Divided」が発売されるまで公表を控えていたという話も出ている。

人気のECサイト構築ソフトウェア「EC-CUBE」に関する既知の脆弱性の詳細が発表されたのだが、これに対しEC-CUBEの開発元から公開中止の要請があったという（記事の追記、Togetterまとめ）。

この背景について、ECサイト構築支援を行っているTHANK Uが「EC-CUBE脆弱性情報の公開の是非」として説明を行っているのだが、これによるとサイト構築後に適切な運用を行っていないEC-CUBEユーザーが存在し、修正パッチの適用やアップデートを行っていないサイトが少なからずあるという。そのため、脆弱性の再現手順を公開することはユーザーを危険にさらす可能性があると危惧されている。

ただ、解説されている脆弱性はすべて既知のものであり、JVNなどで情報が公開されている。EC-CUBEはオープンソースなので、詳細は明らかにされていなくても、ソースコードの差分を確認すれば修正された個所から脆弱性の内容を推測できる可能性があるため「脆弱性の再現手順の公開」を防ぐことに意味があるかどうかは不明だ。

Operaには異なるPCや端末間で設定を同期する機能「Opera Sync」が備えられているが、このOpera Syncのユーザー名やパスワードなどの情報が漏洩したと報じられている（TechCrunch、窓の杜）。

詳細については調査中とのことだが、サーバーに対し外部から攻撃が行われての漏洩だという。流出したパスワードは暗号化されていたとのこと。

Operaはこれを受けて、安全のためすべてのOpera Syncアカウントのパスワードをリセットしたとのこと。また、Opera Syncを利用していたユーザーに対しては、Operaに記録させていた各種パスワードをリセットすることを推奨している。

あるAnonymous Coward曰く、

GoogleがGoogleアカウントにおけるOAuth認証について、利便性とセキュリティ強化のために仕様変更を行うことを明らかにした。具体的には、今後数ヶ月内にいわゆる「WebView」など、アプリケーションにWebブラウザの機能を組み込むためのコンポーネントからのOAuthリクエストを受け付けないよう変更するとのこと（Google Developers Blog）。代わりに、端末のWebブラウザ経由で認証を行う手法が推奨されている。

WebViewでのログインでは、アプリ毎にGoogleのログイン画面にアクセスしてアカウント名やパスワードを入力する必要があった。いっぽう、端末のWebブラウザ経由で認証を行うことで、アプリ毎にログインを行う必要がなくなり、一度Webブラウザでログインすればアプリ毎のログインは不要となる（ただし確認画面は表示される）点がメリットだとされている。

WebViewを使ったログインでは、以前から悪意のあるアプリがログイン画面を偽造してアカウント名やパスワードを盗み取る可能性が指摘されていた（OAuthの認証にWebViewを使うのはやめよう）。

あるAnonymous Coward曰く、

自宅などの駐車スペースの貸し借りを仲介するサービス「軒先パーキング」からセキュリティコードを含むクレジットカード情報、パスワードなどの会員情報が流出したそうだ（運営者である軒先の発表）。

流出した可能性がある個人情報はクレジットカード情報最大38,201件、会員報最大111,959件。データベースサーバー内の会員情報が流出したわけではなく、WEBサイト上でデータをやりとりする過程においてシステムの脆弱性をついた不正アクセスによって流出したという（同社による説明）。このため、生のパスワードや、スラドでも何度も保持し続けてはいけないと指摘されているセキュリティコードも流出したと考えられる。

taraiok曰く、

NASAは2011年、当時のHP Enterprise Services（現HPE）と25億ドルでACESプログラムに基づいたPCや携帯端末などの提供および保守のための契約を行った。しかし、NASAはHPEの提供するサービスに不満を持っており両社の関係が悪化、NASAのセキュリティにも影響が出ているとの指摘があるようだ（Federal News Radio、Ars Technica、Slashdot）。

米国政府機関のビジネス機器を外部業者が保守するには、ATO（An Authorization to Operate）という認証を受ける必要がある。しかし、NASAのRenee Wynn CEOは、HPEに対してこの認証許可を出さず、HPEのATOは7月24日に失効したという。そのため現在HPEには「制限付き」ATOが付与されているそうだ。政府機関が大手代理店にATOを失効させるというのは前代未聞だとしている。

原因はACES契約条件に関する意見の相違で、具体的にはHPEが提供するサービス内容にNASAが不満を持っているという。たとえば、2016年4月現在、NASAの53,000台以上（うち38,000台以上はACES契約中）のシステムで426,000個の重要なパッチ見落としが発生していたそうだ。

Appleは25日、iOS 9.3.5をリリースした。このバージョンで修正された3件のゼロデイ脆弱性は、連携させることでリモート脱獄が可能となるものだ(Appleサポートの記事、 Lookout Blogの記事、 The Citizen Labの記事、 Ars Technicaの記事)。

脆弱性はカーネル関連2件とWebKit関連1件で、それぞれアプリケーションによるカーネルメモリー漏洩(CVE-2016-4655)、アプリケーションによるカーネル特権での任意コード実行(CVE-2016-4656)、Webサイトを訪問することによる任意コード実行(CVE-2016-4657)となっている。これらの脆弱性はイスラエルのNSOグループによる「Pegasus」スパイウェアで使われており、脆弱性を確認したCitizen LabとSophosでは3件の脆弱性をまとめて「Trident」と呼んでいる。

NSOグループは「合法的な傍受」を可能にするスパイウェア製品を政府機関専門に販売するサイバー戦争企業だという。Pegasusはターゲットを攻撃用のWebサイトに誘導してiOSデバイスにスパイウェアをインストールすることで、メッセージや通話、電子メール、アプリのデータなどへのアクセスを可能にする。

(続く...)

Dropboxでは、4年以上パスワードを変更していないユーザーに対し、パスワード変更を促している(Dropboxヘルプセンター、 Neowinの記事、 The Registerの記事、 BetaNewsの記事)。

これは2012年に発生したメールアドレス流出に関連するもののようだ。この件は他のWebサイトから流出したユーザー名とパスワードがDropboxアカウントへのサインインに使われたとの結論が出ているが、当時取得されたとみられるDropboxの認証情報(メールアドレスとソルトを加えてハッシュ化されたパスワード)の存在が確認されたとのこと。対象は2012年半ば以前にDropboxに登録し、2012年半ば以降パスワードを変更していないユーザーとなっている。

Dropboxによると現在のところ不正アクセスの発生は確認されていないが、該当するユーザーには予防措置としてパスワード変更を必須としているとのこと。対象ユーザーにはメールで通知されるほか、dropbox.comへの次回ログイン時にパスワード変更が促される。ただし、対象とならないアカウントのユーザーにもメールで通知されることがあるようだ。

詳しくはDropboxヘルプセンターの記事に記載されているが、日本語版にはあいまいな部分があるため、不明な点が出た場合は英語版もあわせて参照してほしい。言語設定はページ下部のリンクから変更できる。

headless 曰く、

昨年、パスワードの強度を判定するツールの問題点が話題になったが、jQueryプラグインとして提供される人気のパスワード強度メーターでは現在もあまり改善されていないようだ（Naked Security、Guardian、Register）。

デジタルコンサルタント会社、英Compound EyeのMark Stockley氏は昨年、スラドで紹介したカナダ・コンコルディア大学の研究とは異なる方法でパスワード強度メーターを調査し、Naked Securityで結果を発表している。先日新たに掲載された記事によれば、前回の調査から1年以上たった現在も状況は変わっていないという。

判定に問題のあるパスワード強度判定ツールの弱点は、文字種や文字数の多さといったエントロピーにばかり注目するところだ。Stockley氏の行ったテストは、jQueryプラグインとして公開されているパスワード強度メーターで人気の高いもの5本を選び、よく使われるパスワード上位10,000件のリストから特定の条件を満たすパスワード5本を選んで判定させるというものだ。パスワード強度メーターはGoogleで「jquery strength meter」を検索し、上位5本を選んでいる。

選ばれたパスワードは「abc123 （14位、英字と数字の組み合わせで最上位）」「trustno1 （29位、英字と数字の組み合わせで2位）」「ncc1701 （158位、エンタープライズ号の登録番号）」「iloveyou! （8,778位、英数字以外の文字種が使われた中で最上位）」「primetime21 （8,280位、英字と数字の組み合わせで一番長い）」となっている。これらのパスワードはパスワードクラックツール「John the Ripper」で1秒以内にクラックできてしまうという。

これらのパスワードは確実に弱いパスワードだが、5本のパスワード強度メーターは少なくとも1つのパスワードでパスワード強度「中」と判定している。今回使用したパスワード強度メーターのうち2本は前回と同じものだが、前回とまったく同じ結果が出ている。今回はDropboxなどでも使われ、評価の高いオープンソースのパスワード強度メーター「zxcvbn」を比較対象として同じテストを行っており、こちらはすべて「非常に弱い」と判定したとのこと。

あるAnonymous Coward 曰く、

東京電力傘下で送配電事業を行う東京電力パワーグリッドで、顧客情報が格納された外付けHDDを社員が執務室内で紛失するという事件が発生したとのこと（東京電力パワーグリッドの発表）。

問題のHDDに含まれていた情報は約21万軒の法人情報（契約名義、住所、郵送先、連絡先情報）や社内文書。外部のPC等では容易にデータ閲覧が行えないよう、セキュリティ対策が行われているためデータ流出の可能性は低いとしている。

しかし、外付けHDDを外に持ち出して紛失、という話なら分かるが、オフィス内で紛失して行方不明というのはどういう状況なのかよく分からない。さすがにこのご時世で清掃スタッフがゴミとして捨てる、ということはないだろうし。

ソースコードの改ざん防止や本人確認に使われるPGP署名で、鍵の偽造が問題になっているようだ。

問題となっているのは鍵IDが32ビットの鍵だそうで、Linuxの開発者であるLinux Torvalds氏やGrek K-H氏の偽造鍵が発見されているようだ（LKMLへの投稿、ZDNet Japan）。

すでに32ビットの鍵IDは脆弱であることが知られており、GPUを使った処理で容易に偽の鍵を生成できる状態になっているようだ。 対策としては鍵IDのビット数をより長いものにすれば良い。また、今回は偽造鍵が見つかっただけで、それ以外のトラブルや問題、これを利用した攻撃などは確認されていないようだ。

ただ、こういった脆弱な鍵が存在する状況で公開鍵サーバーを利用することについて懸念の声も上がっている。