AC0x01曰く、

ユーザー数5万人、平均レビュー評価が星4つの人気Chrome拡張「HTTP Headers」が、最近のアップデートで突然マルウェア化し、ビットコインを盗まれそうになったという興味深い話が出ている（「clock-up-blog」ブログ）。

「HTTP headers」はその名の通りHTTPヘッダーを閲覧する開発者向けのChrome拡張で、ユーザー数や評価も高く、レビューも10月26日の最新アップデートまでは特に何事もないごく普通のアプリだったようである。が、記事によると、29日に取引所からセッションハイジャックに起因するとみられるビットコイン不正送金の連絡があり、それから数日後に不審な通信を行っているChrome拡張があることを発見。調査の結果、画像ファイルに埋め込まれている謎のコードを実行しているという限りなく黒と思われる状況証拠に辿り着いたとのこと。

現状では状況証拠しか残っておらず、この拡張が本当に不正送金に関係していたとは言い切れないが、こうした自動アップデートによる攻撃が実際に行われているのであれば、どのように対策をしていけばよいだろうか？

なお、これ以外にも複数のChrome拡張において同様に「マルウェア化」の疑いがある模様。Webブラウザの拡張についてはユーザーの情報を盗むなどの行為が可能であることから、GoogleはChrome Web Store以外からの拡張インストールをブロックしている（過去記事）。過去にはアドウェアやマルウェアを仕込むために人気の拡張開発者に対し拡張の買い取りをオファーするという話もあった。

Windows 10でサードパーティーのセキュリティ製品を排除し、Windows Defenderを使わせようとするMicrosoftの姿勢をユージン・カスペルスキー氏が強く批判している(カスペルスキー氏の個人ブログ記事、 Kaspersky Labのプレスリリース、 The Registerの記事、 Softpediaの記事、 RAPSIの記事)。

Windows 10にアップグレードする際、互換性がないセキュリティ製品は削除され、Windows Defenderが有効になる。Microsoftでは互換性のあるバージョンがリリースされていればアップグレード後に通知されると説明しているが、カスペルスキー氏は事前に明確な通知が必要だと主張する。また、外部の開発者にはリリース直前までRTM版が提供されないため、十分な互換性テストを実行するのが困難だという。

互換性のあるセキュリティ製品を使用している場合でも、アップグレード後には通知が表示され、Windows Defenderに切り替えさせようとする。また、保護の有効期限が切れる前の通知もセキュリティセンターに隠れてわかりにくいようになっており、期限が切れるとWindows Defenderに切り替えられてしまう。

イスラエルの研究者が、PCに接続されたヘッドホンを使って盗聴を行う手法を公開した（GIGAZINE、TechCrunch、Slashdot）。

マイクとスピーカーは構造が似ており、スピーカーをマイクとして利用できることはよく知られている。そして、昨今のサウンドカードやマザーボード搭載のオーディオインターフェイスの多くで、本来オーディオ出力用として用意されているジャックをオーディオ入力として使用したり、逆にオーディオ入力用として用意されているジャックをオーディオ出力に使用できる機能が搭載されているという。この機能はドライバソフトウェアで操作を行うだけで利用できるため、マルウェアなどを使ってスピーカーやヘッドホンが接続されているオーディオ出力端子をオーディオ入力端子として使うよう設定することで、マイクが接続されていないPCでも周囲の音を盗聴できるようになるという。

この手法を解説する論文によると、問題のオーディオ出力端子をオーディオ入力として利用できる機能は「jack retasking」や「jack remapping」などと呼ばれており、Realtekのオーティオチップセットでサポートされているという。この機能は公式ドキュメントにも記載されている正式な機能で、任意のポートに任意の機能を割り当てられるようにすることで、物理的に端子を移動させることなしにユーザーが使いやすい位置に各機能を割り当てられるというもののようだ。

これを悪用することで、たとえば盗聴を恐れてマイクを接続していないようなPCでも、ヘッドホンやスピーカー経由で盗聴を行えるという。

あるAnonymous Coward 曰く、

人気スマートフォンゲーム「パズル＆ドラゴンズ（パズドラ）」向けの不正ツール（チートツール）を販売していたソフトウェア開発会社の社長らに対し、組織犯罪処罰法違反（組織的業務妨害）の疑いで逮捕状が出たという（西日本新聞、朝日新聞、NHK、4Gamer）。

チートツールでの逮捕者はすでに複数例があるが、組織犯罪処罰法違反での逮捕は初となる。組織犯罪処罰法違反は団体の活動として賭博や殺人、逮捕・監禁、誘拐、信用棄損や業務妨害、詐欺、恐喝、建造物等損壊といった犯罪行為を行った場合により重い刑罰を科すことなどが定められており、主に暴力団やテロ組織、会社に偽装した犯罪組織などに適用されるものとされている。

NHKの記事によると、問題のソフトウェアは「ゴーストルーター」というものだそうだ。このソフトウェアを開発したインターナル社は、過去にも「リッピングしない」 というDVD/Blu-rayコピーソフトで話題になったほか、「電子書籍をコピーできる」というソフトを販売して社長やプログラマーらが逮捕されている。

headless曰く、

イタリア国防省では生産性とセキュリティ向上のため、職員や軍が使用するPCをWindows 10に移行するそうだ（Microsoftのプレスリリース、Softpedia）。

昨年イタリアではサイバー犯罪が30%増加し、ランサムウェアが135%増加しているとのことで、MicrosoftのプレスリリースはWindows 10によるセキュリティ強化に重点を置いた内容になっている。イタリア国防省ではOfficeスイートをMicrosoft OfficeからLibreOfficeへ移行する計画を明らかにしているが、今回のプレスリリースではOfficeアプリケーションへの言及はない。そのため、LibreOffice移行計画については現在のところ変更はないようだ。

ポルノ動画共有サイト「xHamster」から、38万件のユーザー情報が漏洩、ネット上で公開されたという。流出したのはユーザー名およびメールアドレス、MD5アルゴリズムでハッシュ化されたパスワード（TechCrunch、Motherboard）。また、漏洩した情報に含まれるメールアドレスは米軍や各国政府のものと思われるものも含まれているという。

Motherboardはこの漏洩データから50のメールアドレスをランダムに抜き出し、そのメールアドレスを使ってxHamsterのサイトにユーザー登録を試みたところ、そのすべてで「このメールアドレスはすでに登録されている」という旨のメッセージが表示されたという。また、ユーザー名についても1つを除いてすでに同サイト上で使われていたという。

xHamsterの全登録ユーザーは1200万人とのことで、流出したのはその一部だという。xHamster側はハッシュ化されたパスワードについて「解読はほぼ不可能」としているが、これに対しMD5は安全ではないとの指摘も出ているようだ。

いっぽうxHamster側は漏洩しているデータについて、xHamsterから漏洩したものとは確認できなかったと主張、情報漏洩の事実を否定している。

Googleが公開している「Google透明性レポート」の「HTTPSの使用状況」によると、日本は他国と比べてHTTPSの使用率が少ないという。

このレポートは、Google Chromeユーザーから送信された使用統計情報をまとめたもの。レポートの「国別の使用状況」ではGoogle Chromeのユーザー数が多いブラジル、ドイツ、フランス、インドネシア、インド、日本、メキシコ、ロシア、トルコ、米国の10か国のユーザーについて、「HTTPS経由で読み込まれたページの割合」や「HTTPSサイトの閲覧時間の割合」が示されている。これによると、日本はどちらも他国と比べて最低の割合となっており、日本でまだHTTPSがあまり普及していないことを示す結果となっている。

なお、レポートではOS別のHTTPS経由で読み込まれたページの割合やHTTPSサイトの閲覧時間の割合も示されているが、Androidの場合どちらも低く、Windowsは「HTTPS経由で読み込まれたページの割合」が、Linuxは「HTTPS サイトの閲覧時間の割合」がもっとも多いという傾向となっている。

コレガの無線LANルーター「CG-WLBARGMH」および「CG-WLBARGNL」でクロスサイトスクリプティングの脆弱性が発見された。両製品はすでにサポートが終了されており、修正パッチなどは提供されない。そのため、対策としては「現行製品への置き換え」が提示されている（JVN#25060672、コレガの発表）。

CG-WLBARGMHは2006年、CG-WLBARGNLは2007年に発売された製品で、それぞれ2010年・2011年でサポートは終了となっている。コレガの無線LANルーターについては、以前にもサポート終了機種で脆弱性が見つかっていた（過去記事）。

Microsoftは脆弱性緩和ツールEMETをWindows 10で使用する必要はないとし、2018年7月31日のサポート終了を明らかにしているが、Windows 10でもEMETのようなツールが必要だとCERTのWill Dormann氏が反論している(CERT/CC Blogの記事、 The Registerの記事、 Neowinの記事、 BetaNewsの記事)。

Microsoftでは、EMETと同等かそれ以上の機能が多く統合されたWindows 10でEMETを使用する必要はないと主張。EMETの機能が統合されていないWindows 8.1までのOSでは、パフォーマンスや信頼性が低下するとしてWindows 10への移行を推奨している。

しかし、Dormann氏によれば、Windows 10にEMETを組み合わせることで、Windows 10単体と比べて13種類12種類(※)の緩和策が追加されるという。Windows 10のControl Flow GuardはEMETのROP緩和策と同様の保護機能を提供するが、アプリケーション側でCFGを有効にしていなければ利用できない。緩和策の数で比較すれば、Windows 7+EMETもWindows 10を上回る。

そのため、Windows 10でEMETが不要になるというMicrosoftの説明は正しくないとのこと。また、サポートが終了したアプリケーションで未修正脆弱性が発見されるとゼロデイ脆弱性ではなく「forever-day」脆弱性になるとし、こういったアプリケーションを保護するためにもEMETのようなツールが必要だと述べている。

※元記事のWindows 10単体で対応可能な緩和策に「NullPage」が追加されたので訂正

あるAnonymous Coward曰く、

クラウドファンディングサービスKickstarterで、で普通の手袋でもスマートフォンの指紋認証や操作を可能にする「TAPS - Touchscreen Sticker w/ Touch ID」の出資募集が始まっている（CNET Japan、Slashdot）。

最近では脱がなくてもタッチパネルを操作できる手袋が登場しているが、こういった手袋であっても指紋認証機能はそのままでは利用できなかった。この「TAPS」は「指紋として認識される模様が設けられたステッカー」で、これを手袋に貼り付け、指紋認証に使用する指紋として登録することで手袋を脱がずに指紋認証ができるという。一般的なスマートフォンは複数の指紋を記憶できることが多いので、その1つとしてTAPSのパターンを登録すれば良いそうだ。

TAPS表面のパターンは1つ1つ異なっているという。そのため、本物の指紋同様、ほかのユーザーに不正認証される心配はないとしている。