Mozillaの元開発者 Robert O'Callahan氏が、Microsoft以外のアンチウイルス製品は使用すべきではないと主張している(Eyes Above The Wavesの記事、 Ars Technicaの記事、 The Registerの記事、 Softpediaの記事)。

これはGoogleのJustin Schuh氏が昨年、安全なブラウザーを出荷する最大の障害はアンチウイルスだと指摘した一連のツイートに呼応するものだ。O'Callahan氏はMicrosoft以外のアンチウイルス製品がセキュリティーを改善するとの証拠はほとんどなく、むしろセキュリティーを低下させると主張する。

たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。

GoogleのProject Zeroで指摘されるようなアンチウイルス製品のバグは、開発者が一般的なセキュリティープラクティスを守っていないことを示すものだが、(おそらく最近のGoogleを除く)ソフトウェアベンダーは問題解決にアンチウイルスベンダーの協力が必要なため、声を大にして指摘できないとのことだ。

なお、Windows 7やWindows XPの場合はサードパーティーのアンチウイルス製品を使用することで、少しはましになるかもしれないともO'Callahan氏は述べている。つまり、Windows 8.1/10では標準のセキュリティー対策機能のみを使用すべきということだ。スラドの皆さんはどう思われるだろうか。

今週リリースされたMozilla Firefox 51とGoogle Chrome 56では、パスワード入力フィールドを含むHTTP接続のページを表示すると警告が表示されるようになっている(The Vergeの記事、 Ars Technicaの記事、 9to5Googleの記事、 Softpediaの記事)。

これまでのバージョンではFirefox、Chromeともに、パスワード入力フィールドの有無にかかわらずHTTP接続のページでアドレスバー左端の情報アイコンをクリックすると接続が安全でない旨表示されていた。Firefox 51では、パスワード入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に赤い斜線の入った錠前アイコンが追加される。これらのアイコンをクリックすると、接続が安全でないという情報に加え、「このページのログインフォームは安全ではありません」と表示される。

Chrome 56の場合、パスワード入力フィールドを含むHTTP接続のページでは、情報アイコンの右側に「保護されていません」と表示される。HTTPS接続のページで「保護された通信」と表示されるのと同様だ。情報アイコンをクリックしたときの表示内容はパスワード入力フィールドの有無にかかわらず、従来のバージョンと違いはないようだ。

今週はArs TechnicaやThe Next WebがHTTPSをデフォルトにしたことをアナウンスしている。スラドでもいつの間にかHTTPSがデフォルトになっていたようだ。

headless 曰く、

暗号化電子メールサービスの米Lavabitが20日、復活を宣言した（復活宣言、Register、The Next Web、Softpedia）。

復活の日に20日を選んだのは、平和裏に政権を委譲するという、米国で最も神聖な民主的伝統の一つである大統領就任式の日であり、政治的立場にかかわらず、合衆国憲法が保障する自由と正義を共有する価値として認識する日であるからだという。

LavabitのLadar Levison氏は2013年8月、FBIに要求されたエドワード・スノーデン氏に関する情報の提供を拒否し、サービスを閉鎖した。Levison氏は2014年にKickstarterで資金調達し、エンドツーエンドの暗号化を可能にするメッセージングプロトコル「Dark Internet Mail Environment （DIME）」とDIMEに対応したFOSSのメールサーバー「Magma」の開発に着手している。新生LavabitではDIMEとMagmaが利用できるようになるとのこと。

現在、Lavabitはユーザーデータベースの復元やDIMEへの移行作業などを行っており、閉鎖前にLavabitを使用していた既存のユーザーを対象に限定オープンしている。既存のユーザーは以前のアカウントでアクセス可能だ。新規ユーザーは移行期間中に事前登録することで、サブスクリプション費用が半額になる。

あるAnonymous Coward 曰く、

Gmailが「.js」という拡張子を持つファイルの添付を2月13日より禁止するとのこと。すでにセキュリティ上の理由で「.exe」などの実行ファイルの添付は禁止されており、これに新たに「.js」が加わることになる（ITmedia）。

Windowsでは.jsファイルがダブルクリックで実行でき、これを悪用してマルウェアをダウンロードさせたり、何らかの脆弱性を突いて攻撃するというケースがあるらしい。

IoTデバイスを狙ったマルウェア「Mirai」やその亜種による不審なアクセスが多数観測されているという（ITmedia、警察庁の発表）。

昨年12月10日ごろより、デジタル監視カメラ（デジタルビデオレコーダ、DVR）のリモートアクセスなどに使われるTCPの37777番ポートを狙った不審なアクセスが多数確認されているとのこと。また、TCPの23231番ポートや6789番ポートを狙った攻撃も多数観測されているようだ。6789番ポートへのアクセスの発信元の多くはTCPの19058番ポートにアクセス可能な状態になっており、このポートを使ったバックドアが設定されている可能性があるという。

流出したタクシー車内のドライブレコーダー映像を放送した放送局に対し、放送倫理・番組向上機構（BPO）の放送倫理検証委員会はこの問題を同組織での審議対象にはしないことを明らかにした。「報道内容について公益性も否定できない」という理由から、放送倫理違反を問うことは難しいと判断したという（読売新聞、朝日新聞）。

問題となったのは、昨年11月末に歌手のASKA氏が覚醒剤使用の疑いで逮捕された事件。容疑者が逮捕直前に乗ったタクシー車内のドライブレコーダー映像が放送局に流出、複数の放送局でこの映像が放映された（過去記事）。

タクシー業者側は不適切な提供と認めていたほか、視聴者からはプライバシー侵害では無いかと行った声が寄せられていたという。

先日最新版Adobe Readerをインストールすると勝手にChrome拡張がインストールされるという話があったが、この拡張を悪用した脆弱性が存在することが指摘されている（ZDNet Japan）。

発見された脆弱性は、閲覧しているページとは無関係の任意のJavaScriptコードを実行可能にできるクロスサイトスクリプティング（XSS）脆弱性（Chromiumのバグトラッカー）。すでにAdobeは1月19日付けでこの問題に対処するアップデートをリリースしている。

エアインディアは18日、国内線エコノミークラスで座席1列を女性の乗客専用に割り当てるサービスを開始した(プレスリリース、 エアインディアのツイート、 The Hinduの記事、 Times of Indiaの記事)。

女性専用に割り当てられるのはエコノミークラスの3列目。1人で搭乗し、予約記録に乗客1人のみ登録されている女性客は追加料金なしで利用できる。また、2人分で予約している場合でも、乗客が2人とも女性の場合は利用できるとのこと。乳児を連れている場合も利用は可能だが、バシネット(乳児用ベッド)のない席になる。子供連れの場合は対象外だ。

女性専用列は国内線のエアインディア運航便に設定されるが、国際線から国内線に接続し、国内で機材変更が行われない便については設定されないとのこと。既に複数の航空会社が子供禁止ゾーンを設定しているが、女性専用ゾーンを設定するのはエアインディアが初めてのようだ。

エアインディアでは男性の乗客が女性の乗客や乗務員の体を触るといったトラブルが続発しており、女性専用列の設定はこういったトラブルに対応するためとみられる。また、暴れる乗客への対策として、エアインディアはプラスチック製の手錠などの拘束具を国際線にのみ装備していたが、国内線にも装備することを明らかにしているとのことだ。

headless 曰く、

パスワードマネージャー「Keeper」を開発するKeeper Securityの調査によると、2016年も最もよく使われているパスワードは「123456」だったそうだ（Keeper Securityのブログ記事、BetaNewsの記事、The Register、Softpedia）。

今回の調査は、2016年に発生したさまざまな情報流出により公開されたパスワード1,000万件を対象としており、2016年に公表された過去の情報流出は除外されている。また、1件の情報流出でのみ出現するパスワードも対象外にしているという。記事では特に説明されていないが、流出したパスワードはハッシュ化されていることが多いため、クラック済みのパスワードのみが調査対象とみられる。

パスワード「123456」は全体の17%近くを占めるという。上位8件には6桁の「123456」から10桁の「1234567890」まで、キーボード上段の数字を順に並べたものがすべて入っており、逆行パターンや繰り返し、往復を含めると上位19件中9件。「111111」のように同じ数字を6つ並べただけのものも4件あり、数字だけのパスワードは上位20件中13件を占める。

「qwerty」のようにキーボード上の英字を順に並べたものは3件、「1q2w3e4r」のような2列を交互に並べたパターンも4件ある。単語を使用したパスワードは「password」と「google」で、「mynoob」というパスワードはゲーム関連サイトの2件の情報流出でのみみられるパターンだという。

上位25件の中には「18atcskd2w」「3rjs1la7qe」というパスワードも含まれるが、これらはボットがスパムを投稿する目的で作成したアカウントのパスワードとみられるとのこと。

よく使われるパスワード上位25件は以下の通り。

1. 123456
2. 123456789
3. qwerty
4. 12345678
5. 111111
6. 1234567890
7. 1234567
8. password
9. 123123
10. 987654321
11. qwertyuiop
12. mynoob
13. 123321
14. 666666
15. 18atcskd2w
16. 777777
17. 1q2w3e4r
18. 654321
19. 555555
20. 3rjs1la7qe
21. google
22. 1q2w3e4r5t
23. 123qwe
24. zxcvbnm
25. 1q2w3e

あるAnonymous Coward曰く、

先週の金曜日、キーストロークを監視するスパイウェアを販売したとして、21歳の大学生Zachary Shames氏がバージニア州で起訴された。米エネルギー省によれば、このスパイウェアは3000人以上に販売され1万6000台以上のPCが感染しているという（MOTHERBOARD、米国司法省、Slashdot）。

彼は2013年の高校生の時からスパイウェアの販売を始め、最近は大学寮で通販を行っていたとされる。公開情報が少ないため詳細は不明だが、MOTHERBOARDの記事によればスパイウェアは「Limitless Keylogger Pro」という名前だったという。

犯人のLinkedInのページによれば、彼は2015年5月から2016年8月までノースロップ・グラマン社のインターンとして仕事をしていたようだ。6月16日に刑を言い渡され、有罪となった場合、最長10年の懲役刑が課せられる可能性がある。

あるAnonymous Coward曰く、

Facebook傘下のWhatsAppが提供する人気メッセージングアプリ「WhatsApp」にセキュリティ上の問題があるという指摘が出ている（TechCrunch）。

指摘されているのは、暗号化プロトコル「Signal Protocol」の実装方法に問題があるという点。そのため、暗号化されたメッセージが第三者に傍受された場合に、その内容が漏えいしてしまう可能性があるという。

この問題は昨年4月にFacebookに報告したが、同社は修正を行わない意向を示したという。WhatsApp側はこれをメッセージの紛失を防ぐために意図的に実装したものであると述べているという。また、これについては「政府の意向を受けたバックドアではないか」と主張する声も出ている。

headless曰く、

Windows 7のサポート終了まで残り3年となった13日、早めにWindows 10へ乗り換えようという記事をドイツのMicrosoft Germanyが掲載した。Windows 7の延長サポートは2020年1月14日で終了する（Microsoft Germanyのニュース記事、BetaNews、Softpedia）。

記事によれば、クラウド時代への最初の一歩となったWindows 7だが、現在要求されるセキュリティー要件についていくことができないのだという。Windows 7を使い続ければ維持やサポート、マルウェア攻撃によるダウンタイムなどにより運用コストが上昇するだけでなく、新しいデバイスが使用できないこともある。さらに多くのプログラムはWindows 7よりも新しいバージョンのWindowsを対象に開発されているとのこと。

Windows 7は古いセキュリティーアーキテクチャーをベースにしており、サポート終了まで3年も使い続けることは、3年間危険を放置しておくことと同様だという。Windows 10は多くのセキュリティー機能が統合されているだけでなく、ユーザーはさまざまな新機能による利益を受けられるので、3年後ではなく今が移行に適切な時期とのことだ。StatCounterのデータによると、ドイツでは12月にWindows 10のシェアが3分の1を超え、初めてWindows 7を上回っている。

ちなみに米国のMicrosoftでは13日、11月に修正された権限昇格の脆弱性2件、CVE-2016-7255（MS16-135）とCVE-2016-7256（MS16-132）のエクスプロイトを用い、未パッチのWindows 10 Anniverssary Updateが攻撃を回避できたことを発表している（Microsoft Malware Protection Centerの記事）。

90曰く、

WFrontierという企業が、「セキュリティフォント」なるソリューションを提案している。

セキュリティ研究家の高木浩光氏が面白おかしく紹介しているこの商材は、日本語フォントのグリフIDを雑に入れ替えたものとみられる。「コピーすると文字化けしてしまう」「暗号化したまま検索できる」などと宣伝されているが、解読は容易で特別な技能も不要のようだ。カエサルに返した方が良いのではないだろうかと思うが、スラドの諸賢はどうお考えだろうか。

この「セキュリティフォント」は、各文字に対してASCIIやUnicodeで規定されているのとは異なるコードポイントを割り当てることで、表示上は意味のあるように見えるがシステム的には本来とは異なるデータとして扱われる、というもののようだ。

モバイルフォレンジックを専門とするCellebriteのサーバーが不正アクセスを受け、情報が流出したとMotherboardが報じている。Motherboardはハッカーから900GBのデータを入手したという(Motherboardの記事[1]、 [2]、 Cellebriteのプレスリリース)。

Cellebriteは2015年12月に米国で発生した銃乱射事件の犯人が使用していたiPhone 5cのロック解除技術を持つ企業として注目を集めた。実際にはこのiPhone 5cのロック解除にCellebriteの技術は使われなかったとも報じられているが、米国ではFBIなどの連邦捜査機関だけでなく、各州の警察もCellebrite製品を利用しているという。

世界各国の捜査機関が導入し、テロ事件の捜査などで使われているというCellebrite製品だが、バーレーンでは拷問にかけた反体制活動家を起訴するのに使われたと12月にThe Interceptが報じている。

Motherboardが入手したデータにはCellebriteのユーザーアカウント情報やサポートチケットなどが含まれているという。これらのデータからMotherboardでは、バーレーンのほかにもロシアやトルコ、UAEなど抑圧的な政権下の政府機関がCellebrite製品を購入している可能性を指摘する。

Cellebriteでは抑圧的な政権に製品を販売しているかどうかについて回答を拒否しており、同社の重役もその質問には答えられないとBBCのインタビューで述べている。しかし、CellebriteのEULAには人権尊重に関する言及はなく、ジャーナリストなど特定の人々への使用も禁じていないとのこと。

Cellebriteではライセンス管理システムデータベースのバックアップを保存したWebサーバーが不正アクセスの被害にあったことを認めたうえで、既に新しいユーザーアカウントシステムに移行しているため、流出したのは基本的な情報のみであり、ユーザーに重大なリスクをもたらすものではないとの見解を示している。

hylom 曰く、

ホスティングサービスやドメイン名取得代行、認証局などを手がける米GoDaddyは10日、SSL証明書発行の際のドメイン所有者確認システムのバグが判明したため、バグを修正し、発行済み証明書8,850件を失効させたことを明らかにした(GoDaddy Blog - The Garbageの記事、徳丸浩の日記の記事、 ITmediaエンタープライズの記事)。

徳丸浩氏の日記が詳しいが、GoDaddyではSSL証明証発行申請者にランダムなコードを発行し、申請者がこのコードを含むファイルを対象ドメインのサーバーの指定位置に配置したことを確認することで、申請者をドメイン所有者として認証する仕組みを採用している。

しかし、修正前のシステムではWebサーバーのレスポンスコードを確認せず、コードをそのままファイル名にするよう指定していたため、サーバーの設定によってはファイルが設置されていないにもかかわらず、認証成功の扱いになることがある。たとえば、404エラーとともに「The requested URL /<コード>.html was not found on this server. 」というレスポンスが返された場合、レスポンスにコードが含まれるため、ファイルが設置されたものと認識してしまう。これにより、ファイルを設置しなくても証明書を入手することが可能だったという。

問題が発生しはじめたのは2016年7月29日とのことで、この期間に発行された証明書を失効させる手続きが取られたそうだ。

なお、この期間中に発行された証明書のうち、申請者を正しく認証しないまま発行された証明書は2%程度とのことだ。