モバイルフォレンジックを専門とするCellebriteのサーバーが不正アクセスを受け、情報が流出したとMotherboardが報じている。Motherboardはハッカーから900GBのデータを入手したという(Motherboardの記事[1]、 [2]、 Cellebriteのプレスリリース)。

Cellebriteは2015年12月に米国で発生した銃乱射事件の犯人が使用していたiPhone 5cのロック解除技術を持つ企業として注目を集めた。実際にはこのiPhone 5cのロック解除にCellebriteの技術は使われなかったとも報じられているが、米国ではFBIなどの連邦捜査機関だけでなく、各州の警察もCellebrite製品を利用しているという。

世界各国の捜査機関が導入し、テロ事件の捜査などで使われているというCellebrite製品だが、バーレーンでは拷問にかけた反体制活動家を起訴するのに使われたと12月にThe Interceptが報じている。

Motherboardが入手したデータにはCellebriteのユーザーアカウント情報やサポートチケットなどが含まれているという。これらのデータからMotherboardでは、バーレーンのほかにもロシアやトルコ、UAEなど抑圧的な政権下の政府機関がCellebrite製品を購入している可能性を指摘する。

Cellebriteでは抑圧的な政権に製品を販売しているかどうかについて回答を拒否しており、同社の重役もその質問には答えられないとBBCのインタビューで述べている。しかし、CellebriteのEULAには人権尊重に関する言及はなく、ジャーナリストなど特定の人々への使用も禁じていないとのこと。

Cellebriteではライセンス管理システムデータベースのバックアップを保存したWebサーバーが不正アクセスの被害にあったことを認めたうえで、既に新しいユーザーアカウントシステムに移行しているため、流出したのは基本的な情報のみであり、ユーザーに重大なリスクをもたらすものではないとの見解を示している。

hylom 曰く、

ホスティングサービスやドメイン名取得代行、認証局などを手がける米GoDaddyは10日、SSL証明書発行の際のドメイン所有者確認システムのバグが判明したため、バグを修正し、発行済み証明書8,850件を失効させたことを明らかにした(GoDaddy Blog - The Garbageの記事、徳丸浩の日記の記事、 ITmediaエンタープライズの記事)。

徳丸浩氏の日記が詳しいが、GoDaddyではSSL証明証発行申請者にランダムなコードを発行し、申請者がこのコードを含むファイルを対象ドメインのサーバーの指定位置に配置したことを確認することで、申請者をドメイン所有者として認証する仕組みを採用している。

しかし、修正前のシステムではWebサーバーのレスポンスコードを確認せず、コードをそのままファイル名にするよう指定していたため、サーバーの設定によってはファイルが設置されていないにもかかわらず、認証成功の扱いになることがある。たとえば、404エラーとともに「The requested URL /<コード>.html was not found on this server. 」というレスポンスが返された場合、レスポンスにコードが含まれるため、ファイルが設置されたものと認識してしまう。これにより、ファイルを設置しなくても証明書を入手することが可能だったという。

問題が発生しはじめたのは2016年7月29日とのことで、この期間に発行された証明書を失効させる手続きが取られたそうだ。

なお、この期間中に発行された証明書のうち、申請者を正しく認証しないまま発行された証明書は2%程度とのことだ。

あるAnonymous Coward 曰く、

ロシアのセキュリティ企業Kasperskyが、映画「スター・ウォーズ」エピソード4のクライマックスである、巨大宇宙要塞「デス・スター」が主人公らの工作によって陥落したエピソードについて、サイバーセキュリティの観点から分析している。これによると、デス・スターが破壊された原因は、「指揮系統の純然たる怠慢とずさんなサイバーセキュリティ対策」が原因の一つだったという（Kasperskyのブログ）。

デス・スターが破壊された直接の原因は反応炉にミサイルを撃ち込まれたことだが、反応炉の脆弱性自体については「あの規模の物体に1つも脆弱性がなかったら、かえっておかしい」とし、それよりも標的型攻撃への対策が行われていなかったことが大きな問題だとしている。具体的に挙げられているのは下記の点だ。

• データ漏洩に気付かずスルー
• トロイの木馬の可能性がある不審物を基地内に引き込む
• システムの認証がほぼなし 手作業での電源停止時にアラートの送信を行っていない
• 認証無しで操作できるシステムからデータだけでなく多くのシステムが制御可能

これを受けてカスペルスキーでは、帝国は多層的なセキュリティ保護の構築に失敗していたと結論付けられている。

無料でSSL証明書を発行するLet's Encryptが、2016年の活動レビューを発表している。

Let's Encryptは2016年4月にサービスを一般公開し、その後順調に利用者を増やしているという。現在では2000万のアクティブ（有効期限が切れていない）証明書がLet's Encryptによって発行されており、また毎秒7600のOCSPレスポンスを処理しているという。

Let's EncryptではすべてのWebサイトを暗号化に対応させることを目的としているとのことで、2017年も積極的に活動を進めていく方針のようだ。

近年のデジタルカメラの高解像度化により、「ピースサイン」を撮影した写真から指紋情報を採取される可能性があるとの指摘が出ている（産経新聞）。

国立情報学研究所によると、「3メートルの距離で撮影した画像でも読み取れる」という。そのため、「指紋の盗撮」を防ぐ技術も開発されているそうだ。

セキュリティ研究者のMichael Gillespie氏が12月、「身代金」の代わりにセキュリティ記事を読むよう要求するランサムウェア「Koolova」を発見していたそうだ(Michael Gillespie氏のツイート、 Neowinの記事、 Bleeping Computerの記事、 The Hacker Newsの記事)。

Koolovaはランサムメッセージでランサムウェア「Jigsaw」の良い方の双子だと自己紹介し、ファイルを復号するには2本のセキュリティ記事を読む必要があると表示する。Jigsawは身代金を支払わなければ1時間おきに暗号化したファイルを削除していくというもので、Koolovaも時間内に記事を読まなければファイルが削除されるという。

読むことを要求されるのはGoogle Security Blogのブラウズ中に安全を保つ方法を解説する記事と、Bleeping ComputerのJigsawに関する記事だ。記事を読むと「Decripta i Miei File (私のファイルを復号する)」ボタンが有効になり、クリックするとC&Cサーバーに接続して復号キーがダウンロードされるとのこと。ランサムメッセージは英語だが、ボタンのラベルなどはイタリア語になっている。

ただし、Koolovaは未完成のランサムウェアとみられ、Bleeping Computerではランサムメッセージを表示させるのにローカルのhttpサーバーを調整する必要があったという。なお、被害者を「教育」するのみで、金銭を要求しないランサムウェアはKoolovaが初めてではなく、昨年6月には「EduCrypt」というランサムウェアが発見されているとのことだ。

英国人の元兵士の男性が昨年9月、シリアの戦争被害者を救う目的で英国を出国しようとしたところ逮捕され、英国の2000年テロリズム法に違反したとして12月に有罪判決を受けたそうだ(The Registerの記事、 Wales Onlineの記事)。

罪状は警察官が要求したiPhoneのPINコード開示を拒否したというものであり、テロ行為そのものではない。2000年テロリズム法の附則7では、出入国の際に捜査員の求める情報を提示することを義務付けており、これに抵触したようだ。

警察では昨年7月から、男性がクルド人部隊を助けるためにシリアへ行こうとしているのではないかと考えていたそうだ。そのため、警察は何度か男性を訪ねており、男性は9月9日のフライトを予約していると伝えていたという。

フライト当日、男性がヒースロー空港に到着すると職務質問を受け、iPhoneのPINコードを要求される。男性はPINコードを伝え、指紋認証を行ったが、ロックを解除できなかったため逮捕されたようだ。男性はPINコードを忘れたなどとして、その後も正しいPINコードを伝えていないとのこと。

裁判で有罪判決を受けた男性は、50時間の無償労働を伴う12か月間の社会奉仕を命じられ、刑罰賦課金として85ポンドの支払いも命じられる。それだけでなく、男性はISISと戦う意思を公言したため、ISISを名乗る者からの脅迫を受けているとのことだ。

先日『都道府県型ドメインを使って紛らわしいドメインを作れる問題、今度は「zei.tokyo.jp」ドメインが登場』という話題があったが、今度は「kokuzei.noufu.jp」というドメインで運用されている「国税クレジットカードお支払サイト」なるサイトが登場した。

「紛らわしいドメイン」問題はたびたび指摘されており、そのたびに政府機関のサイトは「go.jp」ドメイン、地方公共団体のサイトは「lg.jp」ドメインを使うべきという話題が出ているが、今回のサイトは「国税庁長官が指定した納付受託者（トヨタファイナンス株式会社）が運営する国税のクレジットカード納付専用のサイトです」とされており、運営は民間であるためgo.jpドメインではなく汎用JPドメインが使われている模様。

また、このサイトはトヨタファイナンス株式会社と提携したGMOペイメントゲートウェイが制作・運営しており（INTERNET Watch）、そのためサイトのデジタル証明書は「GMO Payment Gateway, Inc.」に対して発行されたものになっている点も紛らわしい。

なお、セキュリティ研究者の高木浩光氏によると、国税のクレジットカード支払いは「国税庁が委託しているのではなく、納税者が委託するもの」だという。そのためgo.jpドメインを使わないのが正しいようだ（Togetterまとめ）。

Facebookが12月27日、1年以上前にバンコクで発生した爆弾テロ事件に対して安否確認機能を有効にし、嘘ニュースを拡散する結果となった(Bangkok Postの記事、 The Guardianの記事、 The Vergeの記事、 BetaNewsの記事)。

Facebookの安否確認機能は昨年11月からコミュニティーベースで有効化されるようになっている。仕組みとしては、Facebookがサードパーティーから事件発生の通知を受けると自動的にニュースアラートとして表示され、対象地域で多くのユーザーからの投稿があった場合に有効化されるとのこと。

情報の発信源はBangkok Informerというニュース記事の無断転載サイトとみられている。問題の記事はBBC NewsのYouTube動画からの転載で、12月27日に掲載されているが、内容は2015年8月に発生したエラワン廟での爆弾テロ事件を報じたものだ。記事についたコメントもYouTubeユーザーのコメントを転載しただけのようで、すべて2015年8月の日付になっている。Bangkok InformerのWebサイトはメンテナンス中となっているが、今回の記事だけでなく、同事件の記事を異なるソースからたびたび転載していたらしい。

本件について、Facebookは現地の英語メディア4社が報じていることを確認したと述べているという。しかし、報道の内容は土地をめぐるトラブルにあった男性が27日午前、政府により正義が行われることを求め、政府貯蓄銀行の屋上から大きな爆竹を政府の建物に向かって投げたというものだ。その1社であるBangkok Postによれば、この件を「爆発」と報じた記事は4社のうち1件もないとのこと。

Sony Music Globalとボブ・ディランの公式Twitterアカウントが侵入され、ブリトニー・スピアーズ死去との偽情報を侵入者が投稿していたそうだ(The Guardianの記事、 The Next Webの記事、 Hollywood Reporterの記事、 Softpediaの記事)。

Sony Musicのツイートは本文がすべて小文字で書かれており、「is dead」という表現や「#RIPBritney」というハッシュタグ、涙を流す絵文字など公式アカウントらしくないものだ。ボブ・ディランの公式アカウント(bobdylan.com)のツイートにも絵文字が使われている。また、それぞれのツイートが投稿されてから数十分後には、OurMineがアカウントのハックを検出したといった内容のツイートが両アカウントで投稿された。

OurMineはFacebook CEOやGoogle CEO、Twitter CEOなどのソーシャルメディアカウントを次々に乗っ取っており、TechCrunchやBuzzFeedのWebサイトなどにも侵入して記事を投稿した。先週はNetflixやMarvelおよびMarvelヒーローのTwitterアカウントを乗っ取ったことが話題となっている。そのため、今回もOurMineが犯人としている記事もあるが、嘘ニュースに抗議する声明を投稿したBuzzFeedの件を除き、普段のOurMineの投稿は「セキュリティをテストしている」といった内容であり、最初の投稿2件とは異なる。また、後の投稿についても、本物のOurMineなのかどうかは不明だ。

一連のツイートはその後削除されており、ブリトニー・スピアーズのマネージャーが本人の無事をCNNに伝えたという。ブリトニー本人も生存を証明するツイートを自身の公式アカウントに投稿している。両アカウントを管理していたSony Musicでは、侵入されたことを認めたうえで問題が修正済みであるとし、関係者に謝罪する声明を出しているとのことだ。

あるAnonymous Coward 曰く、

PCやスマートフォン経由で税金や公共料金などの支払いを行えるサービス「ペイジー」を使った、インターネットバンキング不正払出が多発しているとして、複数の金融機関がペイジーによる特定業者への代金払い込みを一時的に休止している（玉島信用金庫、千葉興業銀行、京都銀行、伊予銀行）。

ネットバンキングを不正操作してAmazonギフト券などを大量に購入し換金するという犯罪が多数発生しているとのことで、その被害防止のため。取引が休止されているのは収納代行業者のウェルネットやペイジェント、ベリトランス、NTTドコモなどの出納代行を行っている機関。

taraiok 曰く、

米議会の暗号化ワーキンググループ（EWG）が、FBIなどが求めていた司法当局へのバックドア提供についての報告書を発表した。同グループは「議会は暗号化という重要な技術を弱めるべきではない。ただし、法執行機関や情報機関が有している懸念を無視してはならない」とした（BetaNews、レポート[PDF]、slashdot）。

その上で、暗号専門家と情報セキュリティ専門家は、ハッカーや悪意のある行為者に対抗するため、安全性を損なうことなく、法執行機関に暗号化されたデータへの例外的なアクセスを提供するシステムを考案・実装する手段を考えるべき、非常に困難で非現実的ではあるが不可能ではない、としている。さらに、議会は法執行機関の技術企業間のコミュニティと協力を促進すべきであるともしている。

国内のあるメーカーが開発した地下水処理システムで、アクセス制限に不備がありインターネット経由で誰もがアクセスできる状況になっていたことが判明したとNHKが報じている。

メーカー名は明らかになっていないが、このシステムは病院やホテル、大型商用施設などおよそ170の施設に導入されているという。このシステムにはインターネット経由でモニタリングを行ったり、各種操作を行える機能があり、本来は権限が与えられた担当者のみがアクセスできるものであるはずが、設定の不備でIアドレスさえ分かれば誰もがアクセス・操作できる状態になっていたという。

メーカーによるとすでに修正が行われており、被害は発生していないとのこと。

headless曰く、

Appleは21日、App Storeで公開するアプリに対するApp Transport Security（ATS）サポート義務付けの延期を発表した（Apple Developer、Neowin、Register）。

ATSはアプリが通信する際にHTTPSの使用を必須とすることでユーザーのセキュリティとプライバシーを改善する仕組みで、iOS 9とOS X 10.11で導入された。Appleは6月のWWDC 2016で、2016年末までにApp Storeに送られるアプリのATSサポートを義務付けると発表していた。延期はアプリ開発者に準備のための猶予を与えるためとのことで、新たな期限は改めて発表するとのことだ。

情報処理推進機構（IPA）による「2016年度情報セキュリティに対する意識調査」によると、24.0％のユーザーが自宅の無線LANについて通信の暗号化を行っていないという（INTERNET Watch）。また、暗号化を行っているかどうか分からないというユーザーは31.5％で、暗号化を行っているというユーザーは半数以下だったという。

暗号化を行っていない理由は「対策方法が分からない」（54.0％）、「特に問題が起きていないから」( 25.9％）など。なお、「インターネット利用時の不安要素」でトップは「コンピュータウイルスへの感染」だったという。