リワードプログラムで参加者を集める、ゲーミフィケーション(ゲーム化)されたDDoS攻撃がトルコで実行されていることが確認されたそうだ(Forcepoint Security Labsのブログ記事、 BBC Newsの記事、 BetaNewsの記事、 V3の記事)。

Forcepoint Security Labsによると、このプログラムは「Sath-ı Müdafaa (Surface Defense)」と呼ばれ、サインアップしたユーザーは「Balyoz (Sledgehammer)」というDoSツールを用いてリストアップされたWebサイトを攻撃することでポイントを獲得できるという。獲得ポイントは10分間の攻撃で1ポイントとなっており、集めたポイントは任意のサイトを攻撃可能なスタンドアロンバージョンのBalyoz DoSツールや、クリック詐欺ボットなどと交換できるとのこと。

「Balyoz」は2003年のクーデター計画の呼称にもなっており、Webサイトでは20世紀のトルコ軍の英雄の写真も使われているという。攻撃のターゲットも政治関連のWebサイトが大半となっている。ただし、DDoS攻撃をゲーム化して参加者を競争させている点や、プログラムで提供される賞品にクリック詐欺ボットのように金銭的な利益を得るためのものが含まれている点などから、本当に政治的な目的で実行されているのかどうかは不明とのこと。また、Balyoz DoSツールにはバックドアが存在し、参加者のコンピューターを乗っ取ることができる点も指摘されている。

ITプロフェッショナル向けオンライントレーニングサービスを提供するCBT Nuggetsの調査によれば、オンラインに流出した電子メール用パスワードの半数近くがユーザーの名前を含んでいたそうだ(CBT Nuggetsのブログ記事、 Softpediaの記事)。

調査では流出した電子メールアドレス/パスワードでWeb検索により発見できるものを入手し、約5万件の電子メールアドレスについて分析を行っている。ユーザーの性別や年齢、名前、場所といった情報はfullcontact.comのAPIで取得したとのこと。対象が米国のユーザーに限定されているかどうかは明記されていないが、分析は米国を中心としたものになっている。

分析の結果、約5万件のパスワードの42.1%がユーザーの名前(ユーザー名または本名)を含んでいたという。Amyという名前の人は59.83%が自分の名前を含むパスワードを使用しており、Lisa(58.74%)、Scott(55.80%)、Mark(53.97%)が続く。1位と2位は女性の名前だが、上位25件中20件は男性の名前となっている。

単語別でみると「love」が最もパスワードで使われる頻度の高い単語となっており、「star」「girl」「angel」「rock」「miss」「hell」「Mike」「John」が続く。Mike/MichaelとJohn/Jonathanはパスワードに自分の名前を使う割合では23位と21位だが、米国人に多いファーストネームで男性の4位と2位であり、人数の多さが反映したものとみられる。

また、ファーストネーム別で流出パスワード件数を見てもMike/Michaelは665件と最も多く、Chris/Christopher(506件)、John/Jonathan(498件)、Dave/David(426件)と、米国人男性に多いファーストネームが上位を占める。男女別では53%が男性であり、年齢層では25～34歳が64.84%と圧倒的に多い。人口10万人あたりの流出パスワード件数を州別にみると、ハワイが28.71件と最も多く、カリフォルニア(18.18件)、ネバダ(12.42件)が続いている。

英国・ロンドン警視庁が容疑者にiPhoneのロックを解除させる新たな方法を考案したそうだ(BBC Newsの記事、 9to5Macの記事)。

この方法は6月に偽造クレジットカード密売事件を捜査していた時に生まれたもので、証拠は捜査対象となっている容疑者のiPhoneに保存されているとみられていた。容疑者を逮捕してiPhoneを押収しても容疑者はロック解除を拒否できるため、証拠を確保できない可能性がある。指紋センサーに指をあてるよう強制できるかどうかも検討したが、そのような権限はないと判明したとのこと。

そこで考え出されたのは容疑者をすぐに逮捕せず、容疑者がiPhoneのロックを解除するまで尾行するという方法だ。尾行していた警察官の一人は、ロックを解除して通話を開始した容疑者に駆け寄ってiPhoneを奪い、同僚が容疑者を拘束。証拠の確保が完了する前にiPhoneが再びロックされないよう、警察官は画面をスワイプし続けたとのことだ。

アクセンチュアが「訂正可能なブロックチェーン」を開発していると発表した（ITmedia）。

ブロックチェーンは全トランザクション履歴を多数のノードが保持する構造になっているため、過去のトランザクションを改ざんすることが事実上不可能とされていた。アクセンチュアはこの耐改ざん性を「課題」とし、非常時に訂正が行えるブロックチェーンのプロトタイプを開発したという。

アクセンチュアが開発したのは、特権を持つ管理者が存在する環境で利用できるシステム向けの技術で、管理者だけが持つ暗号鍵を利用することでチェーンを破壊せずに過去のトランザクションの訂正、削除が可能だという。また、訂正時にはその記録が残るそうだ。この仕組みは米国とEUで特許申請中とのこと。

あるAnonymous Coward 曰く、

今年はDDoS攻撃に関するニュースが多かった気がするが、昨今のDDoS攻撃については対策が限定されてるケースも多い。そんななか、AmazonがDDoS攻撃対策システム「AWS Shield」を発表した。

AWS ShieldはすべてのAWSユーザーが追加料金無しで利用できる「AWS Shield Standard」と、より高度な機能を提供する年額3000ドルの有料サービス「AWS Shield Advanced」の2つがある。Standard版はデフォルトですべてのAWSユーザーに適用され、「今日最も一般的な攻撃の96％」を防ぐことができるという。

taraiok曰く、

Newcastle大学の研究者らが、数秒でVISAカードのセキュリティコードを推測できるという研究結果を公表している（Independent、Slashdot、ExtremeTech）。

論文では現行のオンライン支払いシステムにおける問題点として、まず異なるWebサイトにわたってのエラー検出ができないことを指摘している。多くのWebサイトでは決済に10～20回失敗するとそれ以降の決済ができなくなるが、複数のWebサイトを使って不正な決済を試みることで、事実上無制限に決済を試みることができるという。

また、、サイトによって決済の際に検証する情報が異なる点をについても問題としている。多くのサイトではカード番号と有効期限とセキュリティコードを求められることが多いが、決済の際にこれらの情報のうち一部だけしか使わないサイトもあるという。

研究者らはこれらの問題点を使い、数千のサイトを使ってクレジットカード番号を推測するシステムを開発したそうだ。その結果、クレジットカード番号と有効期限が分かっているケースでは数秒でセキュリティコードを割り出すことができたという。

研究者は、この手法が最近発生した英Tesco銀行のハッキング事件に使用されたと見ているそうだ。

盗難されたBMWの自動車に対し、遠隔からその位置を割り出したうえでドアロックをかけ、犯人を逃亡できない状態にして警察に逮捕させるという出来事が米シアトルで起きたそうだ（Seattle Crime News、Engadget Japanese、Slashdot）。

盗難されたのは、BMWの「550i」という車種。車内にうっかりキーを置き忘れていたために盗難されたそうだが、通報を受けた警察がBMWに連絡してその位置を割り出し、ドアをロックして犯人が逃げられないようにしたという。

今回使われた遠隔からの位置割り出し機能やドアロック機能はBMWコネクテッド・ドライブと呼ばれており、BMWコールセンター経由で位置を追跡できるだけでなく、遠隔から施錠を行ったりクラクションを鳴らす、ライトを点灯させるといったことができるそうだ。

以前「Amazon.comのApple純正充電器・ケーブルはAmazon.comが直接販売しているものも含めて大半が偽物」という話があったが、こういった偽物の充電器のほぼすべてで安全性に問題があるという調査結果が出ている（PC Watch、ITmedia）。

英Chartered Trading Standards Institute（CTSI）によると、「Apple充電器の偽造品」の99％は基本的な安全性テストを通過できない品質だったそうだ。具体的には、400個の充電器のうち397個がテストを通過できなかったという。また、リサイクルショップや中古販売店で売られている中古電化製品のうち15％が安全基準に準拠していなかったとの調査結果も記されている。

Windows 10のアップデート時にSHIFTキーを押しながらF10キーを押すだけで、認証なしに管理者権限でコマンドプロンプトにアクセスでき、さらにBitLockerで暗号化されているストレージへのアクセスも可能になるという脆弱性が確認された（GIGAZINE、Win-Fu Official Blog、FOSSBYTE、Register）。

この問題はWindowsの「Feature Update」と呼ばれる新機能追加のためのアップデート時にのみ発生するという。Feature Updateのインストール時にはWindows PEベースの代替環境が起動して作業が行われるのだが、この環境にはトラブルシューティングのための機能としてSHIFT＋F10でコマンドプロンプトを起動する機能が用意されており、またアップデート時には暗号化が一時的に解除された状態になるため、このような問題が発生するという。

この脆弱性を利用するためには直接対象のハードウェアにアクセスする必要があるものの、アップデートさえ実行できれば管理者権限でないユーザーが管理者権限を容易に得られる点が問題となる。

あるAnonymous Coward 曰く、

一時は暗殺の噂まで流れた機密情報公開サイトWikiLeaksの創設者、ジュリアン・アサンジ氏が数週間ぶりに姿を現した。死亡説の原因は、米大統領選挙中にヒラリー・クリントン氏の金融大手向け講演内容を公表したことから、亡命先であるエクアドル大使館が内政干渉になることを恐れて同氏のネット回線を切断したためと見られている（INQUISITR、Slashdot）。

同氏は2016年11月26日にベイルートで開催されたFCM 2016というイベントに電話で参加。これにより生存が確認された。またTIME誌のパーソン・オブ・ザ・イヤーのオンライン投票でジュリアン・アサンジ氏は、ドナルド・トランプを抜いて首位に立ったことも分かった。クリントン氏関連のリークが投票を後押しした可能性があるようだ。

taraiok 曰く、

イギリスで「Investigatory Powers Act」という新たな法案が可決された。この法律は「スパイ憲章」とも呼ぶべきもので、すべての英国民のWebアクセス記録を1年間保存することを通信会社などに求めている（AP、ZeroHedge、Slashdot）。

この法案では、警察や情報機関、軍関係や税関、食品基準庁、社会福祉トラストなど48の機関に対し裁判所の令状無しで記録された閲覧履歴にアクセスすることを認めている。法執行機関に対し、テロや重大な犯罪と戦うためのツールを与えることを目的としているが、英国の市民団体は無実のインターネットユーザーを監視社会に追い込むものだと批判している。

ポルノ動画共有サイト「xHamster」から、38万件のユーザー情報が漏洩、ネット上で公開されたという。流出したのはユーザー名およびメールアドレス、MD5アルゴリズムでハッシュ化されたパスワード（TechCrunch、Motherboard）。また、漏洩した情報に含まれるメールアドレスは米軍や各国政府のものと思われるものも含まれているという。

Motherboardはこの漏洩データから50のメールアドレスをランダムに抜き出し、そのメールアドレスを使ってxHamsterのサイトにユーザー登録を試みたところ、そのすべてで「このメールアドレスはすでに登録されている」という旨のメッセージが表示されたという。また、ユーザー名についても1つを除いてすでに同サイト上で使われていたという。

xHamsterの全登録ユーザーは1200万人とのことで、流出したのはその一部だという。xHamster側はハッシュ化されたパスワードについて「解読はほぼ不可能」としているが、これに対しMD5は安全ではないとの指摘も出ているようだ。

いっぽうxHamster側は漏洩しているデータについて、xHamsterから漏洩したものとは確認できなかったと主張、情報漏洩の事実を否定している。

あるAnonymous Coward 曰く、

日本経済新聞社の社員が複数の芸能人の電子メールアカウントなどに不正アクセスを行ったとして不正アクセス禁止法違反などの疑いで逮捕された（日経新聞、NHK、毎日新聞）。

容疑者は2014年12月、何らかの手段で入手した電話番号と、生年月日やニックネームから類推したパスワードを使って携帯電話キャリアのネットサービスに不正にログインし、メールを盗み見たりパスワードを勝手に変更したりしたという。また、同様の手口でiCloudにも不正アクセスを行い、別の芸能人3人のデータを不正に閲覧したという。

過去には共同通信や朝日新聞の記者が不正アクセスを行い書類送検・起訴猶予になる事件があったが（過去記事）、こちらの件では「取材」という理由で朝日新聞は擁護を行っていた。今回の件は容疑者が新聞社の人間ではあるものの、取材でもなんでもないためさすがに日経新聞側も擁護できなかったようだ。

maia 曰く、

先週の金曜日、米サンフランシスコ市交通局のコンピュータシステムがランサムウェアに感染した影響で、ライトレール地下駅の自動券売機が使えなくなり、土曜日は一日中料金無料の措置がとられた（GIGAZINE、SFGATE）。措置は金曜の夜遅くに始まり、日曜朝にはどうやら回復していたようだ（NBC）。

攻撃を行ったハッカーは犯人は「Andy Saolis」と名乗り、身代金として100ビットコイン（7万3千ドル相当）を要求しているという（S.F.Examiner）。事件は捜査中で、詳細は不明。駅のコンピュータの画面に「You Hacked, ALL Data Encrypted...」と表示されている姿は結構衝撃的である。

あるAnonymous Coward 曰く、

チートツールに見せかけたコンピュータウイルスをネットで公開し、感染したPCから個人情報を盗み取った長野県在住の高校生が、不正アクセス禁止法違反容疑などで逮捕された（毎日新聞）。

容疑者は盗んた個人情報を使ってオンラインゲームサイトにアクセスしたり、「生きたコオロギ50匹や乾燥コオロギ600匹」を送りつけたり、個人情報を勝手に投稿すると言った行為を行っていたという。