Microsoftは10日、Windows 10およびSurfaceデバイスが米国家安全保障局(NSA)のCommercial Solutions for Classified Program(CSfC)に認定されたことを発表した(Windows For Your Businessの記事、 CSfC — Components List、 Softpediaの記事、 Neowinの記事)。

CSfCは米政府機関が機密情報を扱うのに適した安全な商用製品を認定するプログラム。Windows 10はVPNクライアントおよびSurfaceデバイスのOSとしてリストに掲載されている。Surfaceデバイスでは既にWindows 8.1を搭載したSurface Pro 3が認定済みで、今回Windows 10を搭載したSurface Book/Pro 3/Pro 4が追加されている。モバイルデバイスとしてはAppleのiPhone/iPadシリーズやSamsungのGalaxyシリーズ、LGのGシリーズなどがリストに掲載されているが、デスクトップOSを搭載しているのはSurfaceデバイスのみのようだ。

米航空宇宙局(NASA)の重要な制御システムのセキュリティについて、NASA監察総監室(OIG)が監査結果を公表している(リポート: PDF、 V3の記事)。

従来の運用技術(OT)は人の手による直接的な操作が中心となっていたが、近年ではデバイスの「スマート」化が進み、ITインフラを通じた操作の導入が進んでいる。NASAにおけるOTシステムはロケット推進テストシステムや宇宙船制御・通信システム、地上の支援設備など重要なインフラを数多く制御しており、物理的なセキュリティ対策に加え、サイバーセキュリティ対策の重要性が増している。

しかし、NASAではOTを適切に定義しておらず、設備の管理システムや保護計画なども作られていないという。ITとOTの区分も明確になっていないため、OTに特化したトレーニングなどは行われず、OTシステムに対してITシステム向けのセキュリティ対策をそのまま適用することによるトラブルも発生しているそうだ。

たとえば、大型電気炉の温度管理を行うOTシステム稼働中、セキュリティパッチが適用されたコンピューターが再起動し、温度調整ソフトウェアが動作しなくなったことで火災が発生。再起動でアラーム機能も動作しなかったため、職員が発見するまで3時間半を要し、内部に置かれていた宇宙船のハードウェアが破損したとのこと。脆弱性スキャンが開始されたことで地球軌道上の宇宙機との通信が失われ、次の軌道通過までデータが収集できないトラブルも発生したという。

監査の結果、OIGではOTシステムの範囲を明確にし、セキュリティ計画や組織全体で協調的にセキュリティ対策を行うためのフレームワークを策定すること、OTシステムに特化したトレーニングを実施することなどを勧告している。

insiderman 曰く、

IPAが無償で提供している脆弱性体験学習ツール「AppGoat」に脆弱性が発見された（JVN#39008927：脆弱性体験学習ツール AppGoat におけるクロスサイトリクエストフォージェリの脆弱性）。

AppGoatは「学習テーマ毎に用意された演習問題に対して、埋め込まれた脆弱性の発見、プログラミング上の問題点の把握、対策手法の学習を対話的に実施できる」という学習アプリケーション。意図的に脆弱性を含んだWebアプリケーションに対して攻撃を行う、といったことを試しながら、脆弱性について学べるという（過去記事）。

今回発見された脆弱性は「脆弱性体験学習ツール AppGoat ウェブアプリケーション用学習ツール」にログインした状態で細工された別のページにアクセスすると意図しない操作が行われる可能性がある、いわゆるクロスサイトリクエストフォージェリ（CSRF）。AppGoatは内部的にApache Webサーバーを使用しており、そこでのリクエスト処理に問題があったようだ。

身をもって脆弱性を教えてくれる良い教材というか、ミイラ取りがミイラになるというパターンというか……。

「Windows Server 2016のマーケティングの事情からMicrosoftによるパッチ適用が遅れた」という、Windowsに存在する脆弱性が公開された（PC Watch、VU#867968）。

この脆弱性はWindowsのファイル共有やプリンタ共有などで使われているSMBプロトコルに関連するもので、悪用することで認証されていない攻撃者が遠隔から該当システムに対するDoS攻撃を行えるという（INTERNET Watch）。

今回、この脆弱性を使った攻撃を行う実証コードも公開されている。この脆弱性は2月14日に配信されるセキュリティパッチで修正されるとのことだが、実証コードを公開したLaurent Gaffie氏によると、この脆弱性は以前より確認されていたにもかかわらず、Microsoftが「マーケティングの事情」でパッチのリリースを遅らせていたと指摘している。

insiderman 曰く、

コピーガードを開発するDenuvo社のWebサイトから、顧客からのメールや営業情報などが流出した模様（TorrentFreak、Ars Technica）。

Webサイトの公開設定に不備があったようで、一部のディレクトリに対して制限無しにアクセスができる状態になっていたようだ。流出したファイルの1つである「Ajax.log」（ファイル名と内容から見るに、問い合わせフォーム等のログと思われる）にはカプコンなど複数のゲームメーカーやGoogleが同社の技術に対して興味を持ち問い合わせを行う内容が含まれていたという。そのほか、営業用の資料なども含まれていたようだ。

流出した情報の中にDenuvoのコピーガードをクラックするために使える情報が含まれているかどうかは不明。今回の件は単にWebサーバーの権限設定ミスのようなので、これ以上の重要な情報はない気はする。

ストレージ内のデータを暗号化したり、システムをロックした上で復元のために「身代金」を要求するマルウェアは「ランサムウェア」と呼ばれている。こういったランサムウェアによる被害は近年増えているが（ITmedia）、最近では実際には暗号化やロックなどを行っていないにも関わらず金銭を要求する「偽ランサムウェア」も増えているという。要求に応じて金銭を支払ってしまう例も少なくないようだ（ZDNet Japan）。

偽ランサムウェアはデータの暗号化を行ったといった表示は行うものの、実際にはデータの暗号化や削除などは行わないという。しかし記事によると、英国の大企業のうち5分の2が偽ランサムウェアの攻撃を受けており、その3分の2弱が身代金を支払っているという。

Googleのエンジニア Justin Schuh氏によれば、経験上得られた多数のデータからみて、行儀のいいアンチウイルスと呼べるのはMicrosoft Defender(Windows Defender)だけだという(On MSFTの記事)。

先日、Microsoft以外のアンチウイルス製品は使用すべきではないというRobert O'Callahan氏のブログ記事が話題となった。このO'Callahan氏の発言を誘発したのが、安全なブラウザーを出荷する最大の障害はアンチウイルスなどと指摘したSchuh氏の一連のツイートだ。

Schuh氏の新たな発言は、O'Callahan氏のブログ記事を話題にした一連のツイートからの流れで飛び出したもの。行儀のいい唯一のアンチウイルスなので、ブラウザーメーカーはWindows Defenderに苦情を言わないと述べている。また、Windows Defenderは「第一に害を及ぼさない」というルールを守っている、Chromeのセキュリティメカニズムを壊したことのない唯一の存在、などとも述べている。

headless曰く、

オーストリア・トゥラッハーヘーエの4つ星豪華ホテルSeehotel Jägerwirtがサイバー攻撃を受け、キーカードシステムを乗っ取られたそうだ（The Local、Neowin、The Next Web、V3）。

同ホテルがサイバー攻撃の被害にあうのは今回で3回目だが、キーカードシステムを乗っ取られるのは初めてだったという。これにより、宿泊客は部屋に入れなくなり、新たにキーカードをプログラムすることもできなくなった。そのため、ホテルは攻撃者の要求に従い、1,500ユーロ相当の身代金をビットコインで支払ってシステムを復元してもらうことになる。

当日、同ホテルは満室であり、他に選択肢がなかったと支配人は説明する。以前に攻撃を受けた際はシステムを復元するのに数千ユーロを要したが、保険ではカバーされなかったという。そのため、身代金の支払いが最も安上がりで手早い方法だったとのこと。同ホテルではサイバー攻撃の危険性を周知させるため、公表に踏み切ったが、同様の被害にあって身代金で解決したホテルは他にもあるそうだ。

身代金支払い後、キーカードシステムは復旧したが、バックドアは残された状態のようだ。再び攻撃を受ける危険に備え、同ホテルは次の改装で客室のキーシステムを従来の鍵を使うものに戻す計画とのことだ。

1月28、29日にセキュリティコンテスト「SECCON2016決勝大会」が開催され、韓国チーム「CyKor」が優勝した。2位は同じく韓国の「PwnPineappleApplePwn」、3位は中国の「eee」（Securty NEXT、日経新聞、Net IB News）。日本勢トップは5位だったという。

SECCON 2016決勝大会では、用意された仮想サーバー6台に対し、参加する24チームが攻撃を仕掛けるというもの。攻撃だけでなく防御でもポイントが加算されるルールで、最も多くポイントを獲得したチームが勝利となる（INTERNET Watch）。参加チームの国別内訳は日本9チーム、韓国4チーム、台湾3チーム、中国・米国・ポーランドがそれぞれ2チーム、ロシア1チーム、スイス・フランス合同チーム1チーム。優勝した韓国チームの獲得ポイントは攻撃ポイント900点＋防御ポイント2533点で、2位チーム（攻撃ポイント900点＋防御ポイント1334点）とは1000点以上の差を付けて勝利した。

あるAnonymous Coward 曰く、

Google Playストアで配信されているVPNアプリのほとんどが信頼できるものではないという研究結果が発表された（juggly.cn、Ars Technica）。

今回発表された研究はオーストラリア連邦科学産業研究機構やカルフォルニア大学バークレー校（UCB）の研究者らによるもので、283のAndroid向けVPNアプリを対象に調査を行ったという。その結果、うち18％は通信トラフィックをまったく暗号化できておらず、16％にはユーザーのWebトラフィックにデータを挿入できる脆弱性があったという。さらに、広告を表示したりユーザーをトラッキングするようなJavaScriptコードを埋め込むアプリも2つあったそうだ。さらに84％のアプリでIPv6ベースのトラフィックデータ漏洩が確認され、66％のアプリはシステム関連のドメイン名データ漏洩をブロックできなかったという。

また、67％のアプリでプライバシ保護機能が謳われていたが、そのうち75％はユーザーの活動をトラッキングするようなサードパーティライブラリを使用しており、また82％のアプリでユーザーアカウントやテキストメッセージのような情報にアクセスするための権限を要求していたという。

そのほか、38％のアプリにマルウェアとして分類されるようなコードが含まれており、SSLで暗号化された通信内容を傍受するためのデジタル証明書をインストールするアプリも4つあったとのこと。

taraiok 曰く、

ロシア当局がセキュリティ企業Kaspersky（カスペルスキー）所属の研究者、Ruslan Stoyanov氏をロシア連邦刑法第275条（国家反逆）罪容疑で逮捕していたという。同氏はカスペルスキーに入る前はロシアの政府機関で勤務務していたセキュリティ研究者で、Forbesによれば、英国の賭博業者にDoS攻撃を仕掛けたハッカーを逮捕するなどロシアで最も成功したサイバー犯罪捜査官の一人として知られていたようだ（BLEEPING COMPUTER、Engadget、Forbes、Slashdot）。

この事件は、12月に逮捕されたロシアシークレットサービス（FSB）Sergei Mikhailov次長の調査に関連したものだという。容疑の詳細については伝えられていないが、Mikhailov氏が海外の企業から得た資金を口座移転する際、Stoyanov氏がこれを手伝っていたとしている。またNew York Timesによれば、米民主党ハッキング事件の関係者として逮捕された可能性もあるという。カスペルスキー側は今回の件は同社とは無関係であるとしている。

Mozillaの元開発者 Robert O'Callahan氏が、Microsoft以外のアンチウイルス製品は使用すべきではないと主張している(Eyes Above The Wavesの記事、 Ars Technicaの記事、 The Registerの記事、 Softpediaの記事)。

これはGoogleのJustin Schuh氏が昨年、安全なブラウザーを出荷する最大の障害はアンチウイルスだと指摘した一連のツイートに呼応するものだ。O'Callahan氏はMicrosoft以外のアンチウイルス製品がセキュリティーを改善するとの証拠はほとんどなく、むしろセキュリティーを低下させると主張する。

たとえば、Firefoxに初めてASLRを実装した際、多くのアンチウイルスベンダーがFirefoxのプロセスにASLRを無効化したDLLをインジェクトして台無しにしたという。また、アンチウイルスソフトウェアはFirefoxのアップデートを何度もブロックしており、開発者はアンチウイルスに起因する問題に対処するために多くの時間を無駄にしていると述べている。

GoogleのProject Zeroで指摘されるようなアンチウイルス製品のバグは、開発者が一般的なセキュリティープラクティスを守っていないことを示すものだが、(おそらく最近のGoogleを除く)ソフトウェアベンダーは問題解決にアンチウイルスベンダーの協力が必要なため、声を大にして指摘できないとのことだ。

なお、Windows 7やWindows XPの場合はサードパーティーのアンチウイルス製品を使用することで、少しはましになるかもしれないともO'Callahan氏は述べている。つまり、Windows 8.1/10では標準のセキュリティー対策機能のみを使用すべきということだ。スラドの皆さんはどう思われるだろうか。

今週リリースされたMozilla Firefox 51とGoogle Chrome 56では、パスワード入力フィールドを含むHTTP接続のページを表示すると警告が表示されるようになっている(The Vergeの記事、 Ars Technicaの記事、 9to5Googleの記事、 Softpediaの記事)。

これまでのバージョンではFirefox、Chromeともに、パスワード入力フィールドの有無にかかわらずHTTP接続のページでアドレスバー左端の情報アイコンをクリックすると接続が安全でない旨表示されていた。Firefox 51では、パスワード入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に赤い斜線の入った錠前アイコンが追加される。これらのアイコンをクリックすると、接続が安全でないという情報に加え、「このページのログインフォームは安全ではありません」と表示される。

Chrome 56の場合、パスワード入力フィールドを含むHTTP接続のページでは、情報アイコンの右側に「保護されていません」と表示される。HTTPS接続のページで「保護された通信」と表示されるのと同様だ。情報アイコンをクリックしたときの表示内容はパスワード入力フィールドの有無にかかわらず、従来のバージョンと違いはないようだ。

今週はArs TechnicaやThe Next WebがHTTPSをデフォルトにしたことをアナウンスしている。スラドでもいつの間にかHTTPSがデフォルトになっていたようだ。

headless 曰く、

暗号化電子メールサービスの米Lavabitが20日、復活を宣言した（復活宣言、Register、The Next Web、Softpedia）。

復活の日に20日を選んだのは、平和裏に政権を委譲するという、米国で最も神聖な民主的伝統の一つである大統領就任式の日であり、政治的立場にかかわらず、合衆国憲法が保障する自由と正義を共有する価値として認識する日であるからだという。

LavabitのLadar Levison氏は2013年8月、FBIに要求されたエドワード・スノーデン氏に関する情報の提供を拒否し、サービスを閉鎖した。Levison氏は2014年にKickstarterで資金調達し、エンドツーエンドの暗号化を可能にするメッセージングプロトコル「Dark Internet Mail Environment （DIME）」とDIMEに対応したFOSSのメールサーバー「Magma」の開発に着手している。新生LavabitではDIMEとMagmaが利用できるようになるとのこと。

現在、Lavabitはユーザーデータベースの復元やDIMEへの移行作業などを行っており、閉鎖前にLavabitを使用していた既存のユーザーを対象に限定オープンしている。既存のユーザーは以前のアカウントでアクセス可能だ。新規ユーザーは移行期間中に事前登録することで、サブスクリプション費用が半額になる。

あるAnonymous Coward 曰く、

Gmailが「.js」という拡張子を持つファイルの添付を2月13日より禁止するとのこと。すでにセキュリティ上の理由で「.exe」などの実行ファイルの添付は禁止されており、これに新たに「.js」が加わることになる（ITmedia）。

Windowsでは.jsファイルがダブルクリックで実行でき、これを悪用してマルウェアをダウンロードさせたり、何らかの脆弱性を突いて攻撃するというケースがあるらしい。