エアインディアは18日、国内線エコノミークラスで座席1列を女性の乗客専用に割り当てるサービスを開始した(プレスリリース、 エアインディアのツイート、 The Hinduの記事、 Times of Indiaの記事)。

女性専用に割り当てられるのはエコノミークラスの3列目。1人で搭乗し、予約記録に乗客1人のみ登録されている女性客は追加料金なしで利用できる。また、2人分で予約している場合でも、乗客が2人とも女性の場合は利用できるとのこと。乳児を連れている場合も利用は可能だが、バシネット(乳児用ベッド)のない席になる。子供連れの場合は対象外だ。

女性専用列は国内線のエアインディア運航便に設定されるが、国際線から国内線に接続し、国内で機材変更が行われない便については設定されないとのこと。既に複数の航空会社が子供禁止ゾーンを設定しているが、女性専用ゾーンを設定するのはエアインディアが初めてのようだ。

エアインディアでは男性の乗客が女性の乗客や乗務員の体を触るといったトラブルが続発しており、女性専用列の設定はこういったトラブルに対応するためとみられる。また、暴れる乗客への対策として、エアインディアはプラスチック製の手錠などの拘束具を国際線にのみ装備していたが、国内線にも装備することを明らかにしているとのことだ。

headless 曰く、

パスワードマネージャー「Keeper」を開発するKeeper Securityの調査によると、2016年も最もよく使われているパスワードは「123456」だったそうだ（Keeper Securityのブログ記事、BetaNewsの記事、The Register、Softpedia）。

今回の調査は、2016年に発生したさまざまな情報流出により公開されたパスワード1,000万件を対象としており、2016年に公表された過去の情報流出は除外されている。また、1件の情報流出でのみ出現するパスワードも対象外にしているという。記事では特に説明されていないが、流出したパスワードはハッシュ化されていることが多いため、クラック済みのパスワードのみが調査対象とみられる。

パスワード「123456」は全体の17%近くを占めるという。上位8件には6桁の「123456」から10桁の「1234567890」まで、キーボード上段の数字を順に並べたものがすべて入っており、逆行パターンや繰り返し、往復を含めると上位19件中9件。「111111」のように同じ数字を6つ並べただけのものも4件あり、数字だけのパスワードは上位20件中13件を占める。

「qwerty」のようにキーボード上の英字を順に並べたものは3件、「1q2w3e4r」のような2列を交互に並べたパターンも4件ある。単語を使用したパスワードは「password」と「google」で、「mynoob」というパスワードはゲーム関連サイトの2件の情報流出でのみみられるパターンだという。

上位25件の中には「18atcskd2w」「3rjs1la7qe」というパスワードも含まれるが、これらはボットがスパムを投稿する目的で作成したアカウントのパスワードとみられるとのこと。

よく使われるパスワード上位25件は以下の通り。

1. 123456
2. 123456789
3. qwerty
4. 12345678
5. 111111
6. 1234567890
7. 1234567
8. password
9. 123123
10. 987654321
11. qwertyuiop
12. mynoob
13. 123321
14. 666666
15. 18atcskd2w
16. 777777
17. 1q2w3e4r
18. 654321
19. 555555
20. 3rjs1la7qe
21. google
22. 1q2w3e4r5t
23. 123qwe
24. zxcvbnm
25. 1q2w3e

あるAnonymous Coward曰く、

先週の金曜日、キーストロークを監視するスパイウェアを販売したとして、21歳の大学生Zachary Shames氏がバージニア州で起訴された。米エネルギー省によれば、このスパイウェアは3000人以上に販売され1万6000台以上のPCが感染しているという（MOTHERBOARD、米国司法省、Slashdot）。

彼は2013年の高校生の時からスパイウェアの販売を始め、最近は大学寮で通販を行っていたとされる。公開情報が少ないため詳細は不明だが、MOTHERBOARDの記事によればスパイウェアは「Limitless Keylogger Pro」という名前だったという。

犯人のLinkedInのページによれば、彼は2015年5月から2016年8月までノースロップ・グラマン社のインターンとして仕事をしていたようだ。6月16日に刑を言い渡され、有罪となった場合、最長10年の懲役刑が課せられる可能性がある。

あるAnonymous Coward曰く、

Facebook傘下のWhatsAppが提供する人気メッセージングアプリ「WhatsApp」にセキュリティ上の問題があるという指摘が出ている（TechCrunch）。

指摘されているのは、暗号化プロトコル「Signal Protocol」の実装方法に問題があるという点。そのため、暗号化されたメッセージが第三者に傍受された場合に、その内容が漏えいしてしまう可能性があるという。

この問題は昨年4月にFacebookに報告したが、同社は修正を行わない意向を示したという。WhatsApp側はこれをメッセージの紛失を防ぐために意図的に実装したものであると述べているという。また、これについては「政府の意向を受けたバックドアではないか」と主張する声も出ている。

headless曰く、

Windows 7のサポート終了まで残り3年となった13日、早めにWindows 10へ乗り換えようという記事をドイツのMicrosoft Germanyが掲載した。Windows 7の延長サポートは2020年1月14日で終了する（Microsoft Germanyのニュース記事、BetaNews、Softpedia）。

記事によれば、クラウド時代への最初の一歩となったWindows 7だが、現在要求されるセキュリティー要件についていくことができないのだという。Windows 7を使い続ければ維持やサポート、マルウェア攻撃によるダウンタイムなどにより運用コストが上昇するだけでなく、新しいデバイスが使用できないこともある。さらに多くのプログラムはWindows 7よりも新しいバージョンのWindowsを対象に開発されているとのこと。

Windows 7は古いセキュリティーアーキテクチャーをベースにしており、サポート終了まで3年も使い続けることは、3年間危険を放置しておくことと同様だという。Windows 10は多くのセキュリティー機能が統合されているだけでなく、ユーザーはさまざまな新機能による利益を受けられるので、3年後ではなく今が移行に適切な時期とのことだ。StatCounterのデータによると、ドイツでは12月にWindows 10のシェアが3分の1を超え、初めてWindows 7を上回っている。

ちなみに米国のMicrosoftでは13日、11月に修正された権限昇格の脆弱性2件、CVE-2016-7255（MS16-135）とCVE-2016-7256（MS16-132）のエクスプロイトを用い、未パッチのWindows 10 Anniverssary Updateが攻撃を回避できたことを発表している（Microsoft Malware Protection Centerの記事）。

90曰く、

WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。

モバイルフォレンジックを専門とするCellebriteのサーバーが不正アクセスを受け、情報が流出したとMotherboardが報じている。Motherboardはハッカーから900GBのデータを入手したという(Motherboardの記事[1]、 [2]、 Cellebriteのプレスリリース)。

Cellebriteは2015年12月に米国で発生した銃乱射事件の犯人が使用していたiPhone 5cのロック解除技術を持つ企業として注目を集めた。実際にはこのiPhone 5cのロック解除にCellebriteの技術は使われなかったとも報じられているが、米国ではFBIなどの連邦捜査機関だけでなく、各州の警察もCellebrite製品を利用しているという。

世界各国の捜査機関が導入し、テロ事件の捜査などで使われているというCellebrite製品だが、バーレーンでは拷問にかけた反体制活動家を起訴するのに使われたと12月にThe Interceptが報じている。

Motherboardが入手したデータにはCellebriteのユーザーアカウント情報やサポートチケットなどが含まれているという。これらのデータからMotherboardでは、バーレーンのほかにもロシアやトルコ、UAEなど抑圧的な政権下の政府機関がCellebrite製品を購入している可能性を指摘する。

Cellebriteでは抑圧的な政権に製品を販売しているかどうかについて回答を拒否しており、同社の重役もその質問には答えられないとBBCのインタビューで述べている。しかし、CellebriteのEULAには人権尊重に関する言及はなく、ジャーナリストなど特定の人々への使用も禁じていないとのこと。

Cellebriteではライセンス管理システムデータベースのバックアップを保存したWebサーバーが不正アクセスの被害にあったことを認めたうえで、既に新しいユーザーアカウントシステムに移行しているため、流出したのは基本的な情報のみであり、ユーザーに重大なリスクをもたらすものではないとの見解を示している。

hylom 曰く、

ホスティングサービスやドメイン名取得代行、認証局などを手がける米GoDaddyは10日、SSL証明書発行の際のドメイン所有者確認システムのバグが判明したため、バグを修正し、発行済み証明書8,850件を失効させたことを明らかにした(GoDaddy Blog - The Garbageの記事、徳丸浩の日記の記事、 ITmediaエンタープライズの記事)。

徳丸浩氏の日記が詳しいが、GoDaddyではSSL証明証発行申請者にランダムなコードを発行し、申請者がこのコードを含むファイルを対象ドメインのサーバーの指定位置に配置したことを確認することで、申請者をドメイン所有者として認証する仕組みを採用している。

しかし、修正前のシステムではWebサーバーのレスポンスコードを確認せず、コードをそのままファイル名にするよう指定していたため、サーバーの設定によってはファイルが設置されていないにもかかわらず、認証成功の扱いになることがある。たとえば、404エラーとともに「The requested URL /<コード>.html was not found on this server. 」というレスポンスが返された場合、レスポンスにコードが含まれるため、ファイルが設置されたものと認識してしまう。これにより、ファイルを設置しなくても証明書を入手することが可能だったという。

問題が発生しはじめたのは2016年7月29日とのことで、この期間に発行された証明書を失効させる手続きが取られたそうだ。

なお、この期間中に発行された証明書のうち、申請者を正しく認証しないまま発行された証明書は2%程度とのことだ。

あるAnonymous Coward 曰く、

ロシアのセキュリティ企業Kasperskyが、映画「スター・ウォーズ」エピソード4のクライマックスである、巨大宇宙要塞「デス・スター」が主人公らの工作によって陥落したエピソードについて、サイバーセキュリティの観点から分析している。これによると、デス・スターが破壊された原因は、「指揮系統の純然たる怠慢とずさんなサイバーセキュリティ対策」が原因の一つだったという（Kasperskyのブログ）。

デス・スターが破壊された直接の原因は反応炉にミサイルを撃ち込まれたことだが、反応炉の脆弱性自体については「あの規模の物体に1つも脆弱性がなかったら、かえっておかしい」とし、それよりも標的型攻撃への対策が行われていなかったことが大きな問題だとしている。具体的に挙げられているのは下記の点だ。

• データ漏洩に気付かずスルー
• トロイの木馬の可能性がある不審物を基地内に引き込む
• システムの認証がほぼなし 手作業での電源停止時にアラートの送信を行っていない
• 認証無しで操作できるシステムからデータだけでなく多くのシステムが制御可能

これを受けてカスペルスキーでは、帝国は多層的なセキュリティ保護の構築に失敗していたと結論付けられている。

無料でSSL証明書を発行するLet's Encryptが、2016年の活動レビューを発表している。

Let's Encryptは2016年4月にサービスを一般公開し、その後順調に利用者を増やしているという。現在では2000万のアクティブ（有効期限が切れていない）証明書がLet's Encryptによって発行されており、また毎秒7600のOCSPレスポンスを処理しているという。

Let's EncryptではすべてのWebサイトを暗号化に対応させることを目的としているとのことで、2017年も積極的に活動を進めていく方針のようだ。

近年のデジタルカメラの高解像度化により、「ピースサイン」を撮影した写真から指紋情報を採取される可能性があるとの指摘が出ている（産経新聞）。

国立情報学研究所によると、「3メートルの距離で撮影した画像でも読み取れる」という。そのため、「指紋の盗撮」を防ぐ技術も開発されているそうだ。

セキュリティ研究者のMichael Gillespie氏が12月、「身代金」の代わりにセキュリティ記事を読むよう要求するランサムウェア「Koolova」を発見していたそうだ(Michael Gillespie氏のツイート、 Neowinの記事、 Bleeping Computerの記事、 The Hacker Newsの記事)。

Koolovaはランサムメッセージでランサムウェア「Jigsaw」の良い方の双子だと自己紹介し、ファイルを復号するには2本のセキュリティ記事を読む必要があると表示する。Jigsawは身代金を支払わなければ1時間おきに暗号化したファイルを削除していくというもので、Koolovaも時間内に記事を読まなければファイルが削除されるという。

読むことを要求されるのはGoogle Security Blogのブラウズ中に安全を保つ方法を解説する記事と、Bleeping ComputerのJigsawに関する記事だ。記事を読むと「Decripta i Miei File (私のファイルを復号する)」ボタンが有効になり、クリックするとC&Cサーバーに接続して復号キーがダウンロードされるとのこと。ランサムメッセージは英語だが、ボタンのラベルなどはイタリア語になっている。

ただし、Koolovaは未完成のランサムウェアとみられ、Bleeping Computerではランサムメッセージを表示させるのにローカルのhttpサーバーを調整する必要があったという。なお、被害者を「教育」するのみで、金銭を要求しないランサムウェアはKoolovaが初めてではなく、昨年6月には「EduCrypt」というランサムウェアが発見されているとのことだ。

英国人の元兵士の男性が昨年9月、シリアの戦争被害者を救う目的で英国を出国しようとしたところ逮捕され、英国の2000年テロリズム法に違反したとして12月に有罪判決を受けたそうだ(The Registerの記事、 Wales Onlineの記事)。

罪状は警察官が要求したiPhoneのPINコード開示を拒否したというものであり、テロ行為そのものではない。2000年テロリズム法の附則7では、出入国の際に捜査員の求める情報を提示することを義務付けており、これに抵触したようだ。

警察では昨年7月から、男性がクルド人部隊を助けるためにシリアへ行こうとしているのではないかと考えていたそうだ。そのため、警察は何度か男性を訪ねており、男性は9月9日のフライトを予約していると伝えていたという。

フライト当日、男性がヒースロー空港に到着すると職務質問を受け、iPhoneのPINコードを要求される。男性はPINコードを伝え、指紋認証を行ったが、ロックを解除できなかったため逮捕されたようだ。男性はPINコードを忘れたなどとして、その後も正しいPINコードを伝えていないとのこと。

裁判で有罪判決を受けた男性は、50時間の無償労働を伴う12か月間の社会奉仕を命じられ、刑罰賦課金として85ポンドの支払いも命じられる。それだけでなく、男性はISISと戦う意思を公言したため、ISISを名乗る者からの脅迫を受けているとのことだ。

先日『都道府県型ドメインを使って紛らわしいドメインを作れる問題、今度は「zei.tokyo.jp」ドメインが登場』という話題があったが、今度は「kokuzei.noufu.jp」というドメインで運用されている「国税クレジットカードお支払サイト」なるサイトが登場した。

「紛らわしいドメイン」問題はたびたび指摘されており、そのたびに政府機関のサイトは「go.jp」ドメイン、地方公共団体のサイトは「lg.jp」ドメインを使うべきという話題が出ているが、今回のサイトは「国税庁長官が指定した納付受託者（トヨタファイナンス株式会社）が運営する国税のクレジットカード納付専用のサイトです」とされており、運営は民間であるためgo.jpドメインではなく汎用JPドメインが使われている模様。

また、このサイトはトヨタファイナンス株式会社と提携したGMOペイメントゲートウェイが制作・運営しており（INTERNET Watch）、そのためサイトのデジタル証明書は「GMO Payment Gateway, Inc.」に対して発行されたものになっている点も紛らわしい。

なお、セキュリティ研究者の高木浩光氏によると、国税のクレジットカード支払いは「国税庁が委託しているのではなく、納税者が委託するもの」だという。そのためgo.jpドメインを使わないのが正しいようだ（Togetterまとめ）。

Facebookが12月27日、1年以上前にバンコクで発生した爆弾テロ事件に対して安否確認機能を有効にし、嘘ニュースを拡散する結果となった(Bangkok Postの記事、 The Guardianの記事、 The Vergeの記事、 BetaNewsの記事)。

Facebookの安否確認機能は昨年11月からコミュニティーベースで有効化されるようになっている。仕組みとしては、Facebookがサードパーティーから事件発生の通知を受けると自動的にニュースアラートとして表示され、対象地域で多くのユーザーからの投稿があった場合に有効化されるとのこと。

情報の発信源はBangkok Informerというニュース記事の無断転載サイトとみられている。問題の記事はBBC NewsのYouTube動画からの転載で、12月27日に掲載されているが、内容は2015年8月に発生したエラワン廟での爆弾テロ事件を報じたものだ。記事についたコメントもYouTubeユーザーのコメントを転載しただけのようで、すべて2015年8月の日付になっている。Bangkok InformerのWebサイトはメンテナンス中となっているが、今回の記事だけでなく、同事件の記事を異なるソースからたびたび転載していたらしい。

本件について、Facebookは現地の英語メディア4社が報じていることを確認したと述べているという。しかし、報道の内容は土地をめぐるトラブルにあった男性が27日午前、政府により正義が行われることを求め、政府貯蓄銀行の屋上から大きな爆竹を政府の建物に向かって投げたというものだ。その1社であるBangkok Postによれば、この件を「爆発」と報じた記事は4社のうち1件もないとのこと。