あるAnonymous Coward 曰く、

三井住友銀行が、印鑑を使用せずに手書きの署名のみで本人確認を行う「サイン認証」を年度内に導入するという（マイナビニュース）。

このシステムはNECとNTTデータ、日本総合研究所（日本総研）が共同で開発したもので、タブレットなどの端末に手書きで署名を行い認証を行うという。本人確認には文字の画像データだけでなく、距離や方向、筆圧といった時系列の筆運びなども使われるそうだ。

私個人の感想としては、印鑑が廃止されたのは良いとして、サインに果たして電子的に、どれ位の信頼度が有るかだ。先日たまたま、「有名故人の偽サインがオークションサイトなどで出回っている」という話に成ったが、素人では分からない微妙な筆跡の部分を見るととか全体のイメージ、有名人はサインを変えるし、年代ごとに微妙に変化もするだろう、このような性質の物を電子的にどこまで評価できるか、諸氏にお聞きしたところです。

あるAnonymous Coward 曰く、

「サイバーセキュリティ基本法及び情報処理の促進に関する法律の一部を改正する法律案」が4月15日に成立し、新たなサイバーセキュリティ人材の国家資格「情報処理安全確保支援士」が設置されることになった(経済産業省のニュースリリース、 ITproの記事)。

情報処理安全確保支援士は情報セキュリティスペシャリスト(SC)とは異なり、合格後は登録や定期的な講習の受講が義務付けられ、守秘義務も課せられる。講習を受講しなかった場合や信用失墜行為があった場合には登録の取消や名称の使用停止といった措置が取られるほか、守秘義務違反に対する罰則もある。

一方、SCは支援士に置き換えられる形となる。2017年度よりSC試験は廃止され、情報処理技術者試験と同日に支援士の試験が行われるようになるという。試験内容も現行のSC試験をベースにしたものとなり、既存のSC試験合格者（旧セキュアドやTEも含む）は支援士試験を免除されるとのこと。

改正法では日本年金機構での情報流出事案を踏まえ、これまで行政機関のみに限られていた内閣サイバーセキュリティセンター(NISC) によるセキュリティ評価・監査を独立行政法人や特殊法人にまで拡大する既定が盛り込まれている。業務拡大に伴い、一部の事務作業はIPAへ委託可能になるとのことだ。

Androidの弱点として指摘されることも多いOSの断片化だが、セキュリティの面ではむしろ強みであるとの見解をモバイルペイメント企業Squareでセキュリティ責任者を務めるDino Dai Zovi氏がBlack Hat Asiaでの基調講演で示したそうだ(The Registerの記事)。

Androidでは2013年にリリースされたKitKatが3分の1以上を占めており、さらに古いバージョンも30%近いシェアを保っている。その結果、最近注目を集めたStageFright機能の脆弱性のように、危険な脆弱性がAOSPで修正されているにも関わらずデバイスメーカーからパッチが提供されないデバイスは多い。

ただし、StageFrightの脆弱性は1つではなく、攻撃に使用できる脆弱性はデバイスごとに異なる。最初のStageFrightの脆弱性が公表された際にはMMSによる簡単な攻撃が可能だったが、GoogleがHangoutsアプリやMessengerアプリ側での対策を行ったため、より高度な攻撃が必要となっている。Zovi氏によれば、Androidの断片化がこういった脆弱性に対する攻撃をさらに困難にしているという。

Zovi氏はStageFrightの脆弱性で世界が終わるかのような警告をやめるようにとまでは言わなかったが、幅広いAndroidプラットフォームを攻撃するエクスプロイトの開発には高いコストがかかるという説明にも重点を置くべきだという点を強調していたとのことだ。

パナマの法律事務所から企業によるマネーロンダリングや租税回避に関する大量の文書が流出した、通称「パナマ文書」事件が話題だが、この文書の流出はWordPressのプラグインに存在した脆弱性によるものだったという話があるという（ASCII.jp）。

問題のプラグインは、Slider Revolutionというもの。このプラグインの古いバージョンにはリモートからシェルを操作できる脆弱性があるそうで、パナマ文書の流出元であるモサク・フォンセカ法律事務所のWebサイトではこの古いバージョンのSlider Revolutionが使われていたという。

あるAnonymous Coward 曰く、

Akamaiが「BillGates」というトロイの木馬について警告を出したそうだ（ZDNet Japan、AkamaiのSecurity/Threat Advisory PDF）。

このマルウェアはLinuxを標的とするもので、SSH経由でrootアカウントによる総当たり攻撃を行って侵入を試みるそうだ。このマルウェアに感染すると、ボットネット管理者の指示を受けてDDoS攻撃を行うようになるという。

このボットネットはかなり大きくなっており、100Gbpsを超える「攻撃トラフィック」を発生させられる規模になっているとのこと。

あるAnonymous Coward 曰く、

クレジットカード大手のVISAが、ICカード化対応されていない店舗側端末で偽造カードが利用された場合の補償責任を、カード発行会社ではなく加盟店側が負うように変更を行うという。10月1日より適用される（東洋経済）。

現在多くのクレジットカードに偽造対策のためのICチップが搭載されているが、日本では店舗の端末のIC対応が遅れている状況だという。そのため偽造カードリスクが増えているとのことで、店舗でのIC対応を進めるための制度変更になるようだ。

あるAnonymous Coward 曰く、

パナマのMossack Fonseca法律事務所から、企業によるマネーロンダリングや租税回避などに関する大量の文書が流出したという（TechCrunch、AFP、ロイター）。

法律事務所側はサーバー攻撃による流出と主張、パナマ検察当局が捜査に乗り出すと発表したことも伝えられている（AFP、CNET Japan）。

headless 曰く、

銃乱射事件容疑者が使用していたiPhoneのロック解除成功の喜びもつかの間、FBIが誤ってiPhoneに水をこぼしたため、使い物にならなくなってしまったそうだ（The New Yorker — The Borowitz Report）。

ロック解除成功後、喜びに沸く現場はハイタッチの嵐となり、その勢いで水の入ったグラスが倒れてiPhoneを水没させてしまったという。これについてFBIのスポークスマンは、FBI史上最も恥ずかしい出来事の一つだと語る。FBIではなんとかiPhoneを起動しようと繰り返し試みたが成功せず、Appleのサポートフォーラムの情報も当たったが役には立たなかったそうだ。ティム・クック氏はFBIとの関係を改善するため、新品のiPhoneとの交換を749ドルまたは2年契約付きで299ドルで提案しているとのこと。

The Borowitz ReportはコメディアンのAndy Borowitz氏がThe New Yorkerに寄稿する風刺記事。もちろんロック解除に成功したiPhoneは水没しておらず、FBIがデータの読み取りを進めている。ちなみに、Harland Dorrinson氏はいろいろな仕事をしているようだ。

あるAnonymous Coward 曰く、

昨年1年間に凍結されて失権手続きに入ったネット銀行の口座は約1万件に上るそうだ（朝日新聞）。

全国の金融機関の口座凍結数は合計は3万件強で横ばいだが、ネット銀行6行の合計は15年は9528件で、12年の3459件の2.7倍に。メガバンク3行（みずほ、三菱東京UFJ、三井住友）の合計5152件、ゆうちょ銀行の4946件を上回った。

凍結が増えている理由としては、ネット銀行が独自に不審な取引を探す対策を進めていることが背景にあるという。ネット銀行の口座開設は一般の銀行と比べて容易であるため、口座を悪用される危険性も高いためだ。

ただし凍結の判断は各ネット銀行で異なり、犯罪とは無関係な口座まで凍結するケースも出ているそうだ。全国銀行協会によると、昨年秋に「突然口座が凍結され、生活費を出せない」「事業に支障が出る」といった苦情が増えたという。

Printable is bad. 曰く、

無料でSSL/TLS証明書を発行するプロジェクト「Let's Encrypt」が、オープンベータテストを終えて正式サービスを開始した（公式発表、公式発表の和訳、GIGAZINE）。

2015年9月のベータテスト開始以来、Let's Encryptの証明書発行数は急増しており、380万以上のウェブサイトに対して、170万枚以上のサーバ証明書を発行するに至っている。

Let's Encryptでは、IETFで標準化されているACMEというオープンプロトコルで証明書の発行手続きを完全自動化しており、いくつかのコマンドを実行するだけで簡単に証明書を取得することができる。

ファーストサーバやWordPress.comなど、ホスティングサービスへのLet's Encryptの導入も進んでおり、Webサイトの常時暗号化が一般的になる日もそう遠くないかもしれない。