米非営利組織Freedom of the Press Foundationは15日、ニュースサイトのHTTPS導入状況によるセキュリティランキングを発表した(Freedom of the Press Foundationのブログ記事、 Leaderboard、 BetaNewsの記事、 The Guardianの記事)。

ランキングは自動化されたツールで判定されたもので、有効なHTTPSの有無、HTTPSの利用可否、HTTPS接続がデフォルトかどうかという3点が基本のチェックポイントになっている。グレードはHTTPSが導入されていないか導入されていても証明書が無効の場合に「F」、HTTPSがデフォルトなら「B」となり、HSTS(HTTP Strict Transport Security)の導入状況によるボーナスポイントが加算されると「B+」以上が与えられる。

全105サイトのうち、すべての項目が「YES」で「A+」を獲得したのはThe Interceptのみ。The GuardianとTechCrunch、ProPublicaが「A-」、WiredとBuzzFeedが「B+」で続く。「B」はWashington PostやThe Atlantic、Bloombergなど9サイトに過ぎず、HTTPSがデフォルトになっているサイトは14%。HTTPSを利用できるもののデフォルトではない「C」となったThe IndependentやThe Economist、BBCなど15サイトを加えても、HTTPSを利用できるサイトは29%にとどまる。

一方、The Wall Street JournalやReuters、Associated Press、Huffington Post、CNNなど、全体の48%にあたる50サイトが「F」となっている。

米国・フロリダ州の控訴裁判所が、iPhoneのパスコードは合衆国憲法修正第5条の「自分に不利な証言を強制されない」権利の対象にならないという判断を示した(裁判所文書: PDF、 Courthouse News Serviceの記事、 Consumeristの記事、 Softpediaの記事)。

被告は買い物をしている女性のスカートの中をiPhone 5で撮影した容疑で逮捕・起訴されているが、証拠は女性の証言と監視カメラの映像のみで、iPhone 5に保存された写真が直接的な証拠となる。当初、被告はiPhone 5の内容を調べることに同意したが、その後修正第5条を理由にパスコードの開示を拒否。1審では修正第5条によりパスコードを強制的に開示させることはできないとの判断が示されたため、州側が上訴していた。

控訴裁判所の意見書では、1988年の連邦最高裁判決で判事が書いた「金庫の鍵の引き渡しを強制することはできても、キーコンビネーションを強制的に開示させることはできない」という件がその後の裁判で繰り返し引用されていることを認めたうえで、鍵の引き渡しとキーコンビネーションの開示にどれほどの違いがあるのか疑問だと述べている。

また、その違いがテクノロジーが進歩しても有効であり続けるのかという点がさらに重要な疑問であると述べ、指紋をパスコードとして使用する人と比べて、数字や文字の組み合わせをパスコードとして使用する人の方がより強い保護を修正第5条から受けられるとは考えにくいとしている。結論としてパスコードの開示は証言ではなく、(証拠の)引き渡しに該当するとのことだ。指紋によるロック解除については、強制可能との判断が過去にも示されている。

今年9月、米Yahoo!が5億人以上のユーザー情報が流出したことを明らかにしたが、これとは別に10億人分のユーザー情報が流出したことが明らかになった（ITmedia、産経新聞）。

流出の原因は2013年8月に行われたサイバー攻撃で、流出した情報にはユーザー名や生年月日、メールアドレス、電話番号など。クレジットカード番号や銀行口座情報は含まれていないとのこと。Yahoo!は対象となったユーザーに対しパスワード変更などを促しているという。なお、米Yahoo!とYahoo! JAPANは運営が異なっているので、Yahoo! JAPANユーザーについては漏洩の影響はない。

headless 曰く、

Internet ExplorerやMicrosoft Edgeでは、危険なWebサイトを警告する「SmartScreen」機能が搭載されているが、Microsoft EdgeのSmartScreenで、URLを偽装した警告画面を表示可能な問題が発見された（Broken Browser、Softpedia）。

SmartScreenの警告ページが表示される際、アドレスバーにはアクセスしようとしているURLが表示される。この表示内容自体は実行ファイルやDLLのリソースから取得されたもので、Edgeの場合警告ページは「ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm」のようなURLに格納されている。このURLをMicrosoft Edgeのアドレスバーに直接入力してもWeb検索結果が表示されるだけだが、「.」を「%2e」に置き換えてリンク先に指定すると警告ページが表示される。

これだけではアドレスバーに表示されるURLが元のページのままとなるが、ハッシュで別のURLを指定することで任意のURLを表示させることが可能となる。さらに、クエリパラメーターとして「BlockedDomain」を指定することでブロックされたドメイン、「Host」を指定することで追加情報（日本語環境では「ホスト元」として表示される）をそれぞれページ上に表示させることが可能だ。また、これらのクエリパラメーターに電話番号のような文字列を含めると自動でリンク化され、電話アプリなどを直接呼び出すことも可能となる。そのため、Broken Browserの記事では詐欺師にとって非常に便利な機能だと述べている。

なお、Broken Browserの記事ではwindow.openメソッドを使用する必要があるような記述になっているが、リンクでも警告ページの表示は可能だった。「PhishSiteEdge.htm」のままで動作しない理由としては、リソース内の特定のファイルが直接呼び出されないようブロックリストに登録されており、「PhishSiteEdge%2ehtm」とすることでチェックが回避できるものとみられる。

あるAnonymous Coward曰く、

トランプ氏が勝利した今年の米大統領選挙においては、ロシアによる世論誘導や関連部署へのサイバー攻撃が行われたのではないかとの疑惑が出ている。これに対しオバマ米大統領は9日、これについて徹底的に調べるよう政府諜報部門に指示を出したそうだ（TechCrunch 、CNET、朝日新聞）。

オバマ大統領は、自身の任期が満了する1月20日までに報告書を提出するよう求めている。トランプ候補が勝利するようロシアがサイバー攻撃を行ったと報じたワシントン・ポスト紙によると、ロシア政府に関係する人物らがWikiLeaksに対しトランプ氏と対立する候補に関連する数千通のメールを提供していたことが分かったという。

なお、トランプ側は当然ながらこれに反論し「報告は信用できない」と述べている。

東京都とは関係のない「zei.tokyo.jp」というドメインとそこで公開されているページが話題になっている（INTERNET Watch）。このドメインは立命館大学情報理工学部の上原哲太郎教授が私的に取得したものだそうで、「フィッシングサイトなどを作られかねない状況だったので私的に確保した」そうだ。

現在「***.＜都道府県名＞.jp」という形の「都道府県型JPドメイン名」は日本国内に住所があれば個人・組織問わず誰もが取得できてしまう（JPRSの「都道府県型JPドメイン名について」ページ）。そのため、東京都が運営する税務関連のWebサイト「zei.tokyo」というドメインと紛らわしい「zei.tokyo.jp」というドメインを取得したという流れのようだ。

JNICでは、地方公共団体やその下部組織のみが利用できるドメインとして「metro.tokyo.jp」や「city.shinagawa.tokyo.jp」のような「地方公共団体型ドメイン名」を用意しているが、都道府県型JPドメインの解放によりこれらと紛らわしいドメインを誰もが簡単に取得できるようになってしまっているのが問題の原因のようだ。

都道府県ドメインについては、過去にも「www.city.machida.kanagawa.jp」という、実在する地方自治体と紛らわしいドメインが実際に運用されるネタがあった。

あるAnonymous Coward 曰く、

NETGEAR製の複数の家庭向けルーター製品に、外部から任意のコマンドを管理者権限で実行できるという脆弱性が発見された（JVNVU#94858949）。

問題のある製品はR6250およびR6400、R6700、R6900、R7000、R7100LG、R7300DST、R7900、R8000、D6220、D6400。脆弱性の内容は、「http://＜ルーターのIPアドレス＞/cgi-bin/;＜実行するコマンド＞」というURLにアクセスするだけで任意のコマンドが実行できるというもの。認証などは行われず、コマンドは管理者権限で実行されるという。

対策としてはリモート管理機能を無効にする、アップデートが提供されるまで製品を使用しないといったもののほか、この脆弱性を利用してkillallコマンドを実行しhttpdを停止させる、といったものが挙げられている。ただしこの場合、ルーターを再起動するとhttpdは再起動されてしまうとのこと。

headless 曰く、

被害者が「身代金」を支払わなくても、他のユーザーを感染させれば無料で暗号化を解除するというランサムウェアが登場したそうだ（Bleeping Computer、Register、Guardian）。

Bleeping Computerの記事によると、このランサムウェア「Popcorn Time（海賊版映画のストリーミングツールとは無関係）」は被害者に対し、ビットコインで身代金を支払って暗号化を解除するオプションに加え、無料で暗号化を解除するオプションを提示するという。

無料暗号化解除のオプションには被害者のユニークIDを含むURLが用意される。感染後、暗号化完了時に表示されるメッセージでは、このURLを他のユーザーに送って感染させ、2名以上が身代金を支払えば無料で暗号化を解除すると説明されている。ただし、Bleeping Computerが記事を執筆した時点でURLが示すサーバーはダウンしており、実際にこのオプションが利用できるかどうかは不明とのこと。

このランサムウェアは特定のフォルダー内の特定の拡張子のファイルをAES-256で暗号化する。現在も開発途中とみられ、当初はユーザーの「デスクトップ」フォルダー内のファイルのみを暗号化していたが、その後「ドキュメント」「ピクチャ」「ミュージック」が対象に追加されたという。また、未完成のコードには4回以上間違った解除キーを入力するとファイルを削除するといったものもみられるとのことだ。

あるAnonymous Coward 曰く、

大阪府国民健康保険団体連合会が今年11月から12月にかけて、約12万7800人分の個人情報が記録された光磁気ディスク（MOディスク）を紛失していたという（読売新聞、大阪府国民健康保険団体連合会の発表）。

どこかの国でフロッピーが現役だそうだが、日本も笑っていられない。

紛失したMOディスクには、後期高齢者医療の「柔道整復施術療養費」および「はり・きゅう、あん摩・マッサージ等施術療養費」支払い事務に関する2016年9月分の申請書などが格納されていたという。これらには被保険者証番号や被保険者氏名、世帯主、施術所名などの情報が含まれている。MOディスクは11月18日に受領したが、12月1日に紛失が発覚。その後事務所内の捜索を行ったものの発見できなかったという。

今後は対策としてMOディスクでのデータ授受を廃止し、専用回線を使ったデータ授受への変更を行うとのこと。ただ、一部関係機関では専用回線が敷設されていないため、その場合は授受簿による管理と保管や定期的な点検を徹底するという。

バッテリの過熱・炎上問題でリコールとなったSamsungのスマートフォン「Galaxy Note 7」だが、まだすべての端末が回収されたわけではない。そのため、Samsungが同端末の充電をできなくするアップデートをリリースすることを明らかにした（ITmedia、かみあぷ）。

アップデートは携帯キャリア経由でプッシュ配信され、適用されると充電ができなくなり、結果として携帯端末としては利用できなくなる。米大手キャリアのSprintやAT&T、T-Mobileはこのアップデートを配信することを明らかにしているが、いっぽうでVerizonは「他の端末に交換できないユーザーのリスク」を考えてアップデートを「推進しない」ことを発表している（TechCrunch）。

リワードプログラムで参加者を集める、ゲーミフィケーション(ゲーム化)されたDDoS攻撃がトルコで実行されていることが確認されたそうだ(Forcepoint Security Labsのブログ記事、 BBC Newsの記事、 BetaNewsの記事、 V3の記事)。

Forcepoint Security Labsによると、このプログラムは「Sath-ı Müdafaa (Surface Defense)」と呼ばれ、サインアップしたユーザーは「Balyoz (Sledgehammer)」というDoSツールを用いてリストアップされたWebサイトを攻撃することでポイントを獲得できるという。獲得ポイントは10分間の攻撃で1ポイントとなっており、集めたポイントは任意のサイトを攻撃可能なスタンドアロンバージョンのBalyoz DoSツールや、クリック詐欺ボットなどと交換できるとのこと。

「Balyoz」は2003年のクーデター計画の呼称にもなっており、Webサイトでは20世紀のトルコ軍の英雄の写真も使われているという。攻撃のターゲットも政治関連のWebサイトが大半となっている。ただし、DDoS攻撃をゲーム化して参加者を競争させている点や、プログラムで提供される賞品にクリック詐欺ボットのように金銭的な利益を得るためのものが含まれている点などから、本当に政治的な目的で実行されているのかどうかは不明とのこと。また、Balyoz DoSツールにはバックドアが存在し、参加者のコンピューターを乗っ取ることができる点も指摘されている。

ITプロフェッショナル向けオンライントレーニングサービスを提供するCBT Nuggetsの調査によれば、オンラインに流出した電子メール用パスワードの半数近くがユーザーの名前を含んでいたそうだ(CBT Nuggetsのブログ記事、 Softpediaの記事)。

調査では流出した電子メールアドレス/パスワードでWeb検索により発見できるものを入手し、約5万件の電子メールアドレスについて分析を行っている。ユーザーの性別や年齢、名前、場所といった情報はfullcontact.comのAPIで取得したとのこと。対象が米国のユーザーに限定されているかどうかは明記されていないが、分析は米国を中心としたものになっている。

分析の結果、約5万件のパスワードの42.1%がユーザーの名前(ユーザー名または本名)を含んでいたという。Amyという名前の人は59.83%が自分の名前を含むパスワードを使用しており、Lisa(58.74%)、Scott(55.80%)、Mark(53.97%)が続く。1位と2位は女性の名前だが、上位25件中20件は男性の名前となっている。

単語別でみると「love」が最もパスワードで使われる頻度の高い単語となっており、「star」「girl」「angel」「rock」「miss」「hell」「Mike」「John」が続く。Mike/MichaelとJohn/Jonathanはパスワードに自分の名前を使う割合では23位と21位だが、米国人に多いファーストネームで男性の4位と2位であり、人数の多さが反映したものとみられる。

また、ファーストネーム別で流出パスワード件数を見てもMike/Michaelは665件と最も多く、Chris/Christopher(506件)、John/Jonathan(498件)、Dave/David(426件)と、米国人男性に多いファーストネームが上位を占める。男女別では53%が男性であり、年齢層では25～34歳が64.84%と圧倒的に多い。人口10万人あたりの流出パスワード件数を州別にみると、ハワイが28.71件と最も多く、カリフォルニア(18.18件)、ネバダ(12.42件)が続いている。

英国・ロンドン警視庁が容疑者にiPhoneのロックを解除させる新たな方法を考案したそうだ(BBC Newsの記事、 9to5Macの記事)。

この方法は6月に偽造クレジットカード密売事件を捜査していた時に生まれたもので、証拠は捜査対象となっている容疑者のiPhoneに保存されているとみられていた。容疑者を逮捕してiPhoneを押収しても容疑者はロック解除を拒否できるため、証拠を確保できない可能性がある。指紋センサーに指をあてるよう強制できるかどうかも検討したが、そのような権限はないと判明したとのこと。

そこで考え出されたのは容疑者をすぐに逮捕せず、容疑者がiPhoneのロックを解除するまで尾行するという方法だ。尾行していた警察官の一人は、ロックを解除して通話を開始した容疑者に駆け寄ってiPhoneを奪い、同僚が容疑者を拘束。証拠の確保が完了する前にiPhoneが再びロックされないよう、警察官は画面をスワイプし続けたとのことだ。

アクセンチュアが「訂正可能なブロックチェーン」を開発していると発表した（ITmedia）。

ブロックチェーンは全トランザクション履歴を多数のノードが保持する構造になっているため、過去のトランザクションを改ざんすることが事実上不可能とされていた。アクセンチュアはこの耐改ざん性を「課題」とし、非常時に訂正が行えるブロックチェーンのプロトタイプを開発したという。

アクセンチュアが開発したのは、特権を持つ管理者が存在する環境で利用できるシステム向けの技術で、管理者だけが持つ暗号鍵を利用することでチェーンを破壊せずに過去のトランザクションの訂正、削除が可能だという。また、訂正時にはその記録が残るそうだ。この仕組みは米国とEUで特許申請中とのこと。

あるAnonymous Coward 曰く、

今年はDDoS攻撃に関するニュースが多かった気がするが、昨今のDDoS攻撃については対策が限定されてるケースも多い。そんななか、AmazonがDDoS攻撃対策システム「AWS Shield」を発表した。

AWS ShieldはすべてのAWSユーザーが追加料金無しで利用できる「AWS Shield Standard」と、より高度な機能を提供する年額3000ドルの有料サービス「AWS Shield Advanced」の2つがある。Standard版はデフォルトですべてのAWSユーザーに適用され、「今日最も一般的な攻撃の96％」を防ぐことができるという。