英国・ダンディー大学の研究によると、眠っている子供の多くが一般的な煙報知器の警報音に反応しないことが判明したそうだ(ダンディー大学のニュース記事、 Derbyshire Fire & Rescure Serviceの記事、 The Guardianの記事、 BBC Newsの記事)。

研究者のDave Coss氏はダービーシャーの消防・救急サービスに勤務して火災現場の調査などを行っており、2012年に5歳～13歳の子供6人が亡くなった火災で全員の遺体がベッドの上で発見されたことから研究を始めたそうだ。研究の第1段階は2歳～13歳の子供34人を対象に各家庭で実施された。その結果、全体の80%、男子は全員が警報音で目を覚まさなかったという。

大人と子供では反応する警報音の周波数や鳴動パターンが異なるとみられ、より低い周波数(520Hz)の警報音と火事だから起きるように(Wake up! The house is on fire.)告げる女性の声を組み合わせたものでは90%が目を覚ましたとのこと。研究の第2段階としては、2歳～16歳の子供がいる500以上の家庭をボランティアとして募集し、この警報音の効果を調べる計画だ。

CloudflareのHTMLパーサーのバグにより、同社のリバースプロキシを使用するWebサイトにアクセスすると、別のユーザーのCookieや認証トークン、パスワード、APIキーなどを含むデータが送信される状態になっていたそうだ(Cloudflareのブログ記事、 Project Zero — Issue 1139、 The Registerの記事、 The Vergeの記事)。

このバグはバッファー終端のチェックで「>=」ではなく「==」を使用していたため、ポインターがバッファー終端を超えていることを認識できないというものだ。そのため、破損したHTMLタグを含むページを処理するとバッファーオーバーランによるメモリーリークが発生し、別のユーザーのデータが一緒に送信されることになる。バグを発見したGoogleのTavis Ormandy氏は、Heartbleedのようなバグと説明しつつ、「Cloudbleed」と呼ばないように求めているが、既にロゴも作られてしまっている。

オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事、 Google Security Blogの記事、 Phoronixの記事、 Ars Technicaの記事、 論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても2⁶³回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。

Google Chromeで必要なフォントが見つからないなどと表示して、Windowsユーザーにマルウェアをインストールさせようとする攻撃が確認されている(NeoSmartのブログ記事、 The Next Webの記事、 Neowinの記事、 Softpediaの記事)。

攻撃の内容としては、JavaScriptを使用してページ内のテキストを文字化けしたように見せかけ、正しく表示するには「Chrome Font Pack」を更新する必要があるとのプロンプトを表示するというもの。プロンプトには現在使用しているChromeのバージョンが反映されておらず、クローズボタンがプロンプトの内部にあるといった問題はあるものの、不足しているというフォントは実在のフォントであり、プロンプト内のテキストや配色なども本物らしい仕上がりとなっている。

しかし、「Update」ボタンをクリックすると攻撃のクオリティは急激に低下するという。プロンプトはインストール手順を説明する内容に切り替わるが、実行するよう指示されるファイルと実際にダウンロードされるファイルの名前が異なる。しかも、Chromeのダウンロードバーには「一般的にダウンロードされておらず、危険を及ぼす可能性」があるとの警告が表示される。また、説明で使われている警告ダイアログボックスの画像は別の実行ファイルのもので、ファイル名や発行者名の部分にぼかしがかけられている。

ただし、Chromeは危険性に関する警告を表示するにとどまり、ChromeもWindows Defenderもマルウェアとは認識しないという。VirusTotalのスキャン結果では59本のセキュリティソフト中、このファイルをマルウェアと認識したのは9本にとどまる。この攻撃を発見したNeoSmart TechnologiesのMahmoud Al-Qudsi氏は、Chromeのセーフブラウジング機能でブロックできるよう、このファイルのコピーをChromeのセキュリティチームに送っているとのこと。なお、Al-Qudsi氏はクラックされたWordPressサイトをブラウズしているときにこの攻撃を発見したそうだ。

Microsoftは22日、Adobe Flash Playerのセキュリティ更新プログラムを定例外で公開した(セキュリティ情報の概要、 脆弱性情報、 MS17-005、 TechNetブログ — 日本のセキュリティチームの記事)。

この更新プログラムは提供が3月に延期された2月の月例更新の一部だ。修正される脆弱性はリモートでのコード実行が可能というもので、深刻度は「緊急」となっている。対象はWindows 8.1/10/RT 8.1およびWindows Server 2012/2012 R2/2016で、適用後のFlashバージョンは24.0.0.221となる。

AdobeはMicrosoftの月例更新に合わせて脆弱性情報を公表したが、該当バージョンのWindowsではInternet Explorer/Microsoft Edge向けのFlash Playerが更新できない事態になっていた。

更新プログラムはWindows Updateで適用できるほか、Windows RT 8.1を除きMicrosoft Updateカタログからの入手も可能だ。

あるAnonymous Coward 曰く、

米トランプ大統領は、未だにセキュリティ対策が行われていないAndroidスマートフォン（Galaxy S3）を使っているようだ。これはトランプ氏が大統領に就任した直後から問題となっており、政府はスマートフォンを別のものに変えるよう働きかけているようだが、トランプ氏は未だ無視しているという（TechCrunch、AndroidCentral）。

ヒラリー・クリントン候補との大統領選挙時、ヒラリー候補は「安全でない私的なメールサーバー/メールアドレスを使用していた」問題（いわゆるメール問題）で大きく追求されており、トランプ大統領が「安全でない私的なスマートフォン」を使用していることについてツッコんでいる人もいるようだ。

Galaxy S3は2012年に発売されたモデルで、すでにセキュリティサポートも終了しているという。

taraiok曰く、

ドイツで無線通信によるインターネット接続機能やマイク、スピーカーを備えたおもちゃの人形「「My Friend Cayla」が、「盗聴器」に当たるとしてトラブルになっているという（THE VERGE、BBC、PHYS ORG、Slashdot）。

この人形はユーザーの「質問」に対し、インターネット経由でサーバーに接続してその回答を喋らせる機能を備えている。しかし、2015年にソフトウェアに脆弱性が発見され、この人形を「ハック」して音声を盗聴したり、任意の言葉を喋らせたりすることが可能になる状態になっているという。

IoTデバイスを狙うマルウェア「Mirai」は過去にも話題になっているが、新たにWindowsにも感染するMiraiマルウェアを拡散させるためのマルウェアが観測されたとトレンドマイクロが明らかにしている（ITmedia）。

今回発見されたマルウェアは、Miraiの感染対象となるIoT機器を探索して攻撃を行い、Miraiのボットネットを拡大させることを目的とするそうだ。このマルウェアは攻撃対象デバイスへのログインを試み、それがLinux端末だった場合はMiraiを設置し、Windows端末だった場合にはそこに自身のコピーを設置してIoT端末の探索作業を行わせるという。

このマルウェアはターゲットの探索のため、22番（SSH）、23番（Telnet）、135番（DCE/RPC）、445番（Active Directroy）、1433番（Microsoft SQL Server）、3306番（MySQL）、3389番（RDP）ポートをチェックするとのこと。

あるAnonymous Coward 曰く、

x86/ARM CPUの多くが行っているメモリ管理の仕組みを悪用し、アドレス空間配置のランダム化 (ASLR)をJavaScriptから無効化する攻撃が公表された(PC Watchの記事)。

ASLRはアドレス予測を困難にすることで攻撃を防ぐという技術で、2000年代前半から実装が進んでいる。ローカルからの攻撃により無効化する手法も発見されているが、Webブラウザーの脆弱性緩和などには有効な対策と考えられていた。記事によれば、CPUのキャッシュ階層を利用した「ASLR⊕Cache (AnC)」と名付けられた攻撃により、100秒未満という短い時間でアドレスのランダム化が解除されてしまったという。AnCはハードウェアの仕組みを使用した攻撃のため、ユーザー側では対処不能としている。

正直タレコミ子には説明が難しすぎて理解不能なのだが、技術レベルの高い攻撃者であれば公開された論文を元に数週間程度で攻撃コードが再現できるという事なので、今後はメモリ周りの脆弱性に一層注意が必要かもしれない。

AnCはソフトウェアの弱点を利用するものではないため修正は容易ではないが、CPU/OS/ブラウザーベンダーに対しては公表前に短期的・長期的な緩和策が通知されている。実際にAppleはiOS 10.2.1でWebKitの強化を行ったとのこと。ユーザーレベルでは信頼できないソースからのスクリプト実行をブロックするといった対策しかできないが、有効な攻撃を行うためには別途ブラウザーの脆弱性を利用することになるため、セキュリティ更新プログラム適用の重要性も増しているといえるだろう(VUSecの記事、 The Registerの記事、 Ars Technicaの記事)。

headless 曰く、

Microsoftは14日、2月のセキュリティ更新プログラム提供を延期すると発表した（MSRC、On MSFT、 Ars Technica、Softpedia）。

Microsoftによれば、直前になって発見された一部のユーザーに影響する問題の修正が間に合わなかったため、提供の延期を決めたとのこと。具体的な問題の内容や新たな提供日などについては記載されていない。

Microsoftでは毎月第2週の火曜日（日本時間では水曜日）に更新プログラムを提供しており、月例更新プログラムなどと呼ばれる。Windows 10では累積的な更新プログラムが提供されているが、昨年10月からはWindows 7/8.1/Server 2008 R2/2012/2012 R2でもロールアップモデルに移行した。

ロールアップパッケージに加え、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供されているが、今月からはInternet Explorerの更新プログラムを分離する計画だった。

また、先日話題になったSMBの脆弱性に対応する更新プログラムも今月の月例更新に含まれる予定とされていた。

GitHubで「remove password」というキーワードでコミットを検索すると、大量の平文パスワードらしきものを見つけられるという話がHacker Newsで取り上げられている。

Gitでは変更履歴がすべて記録されているので、このようにして検索したコミットの変更点を見ることで削除したパスワードを見ることができてしまう可能性がある。もちろんその後パスワードが変更されたり、パスワードが必要なサービスへのアクセス自体が制限されている可能性もあるため大きな問題になるかどうかはケースバイケースだが、とりあえずバージョン管理しているファイル中のパスワードの扱いには注意が必要だ。

あるAnonymous Coward 曰く、

Torなどの匿名化技術を使って構築されたネットワークは「ダークウェブ」などと呼ばれ、違法コンテンツを提供するサイトや違法商品の販売サイトなどがダークウェブ上で運営されていると言われている。このダークウェブで多く使われているWebホスティングサービス「Freedom Hosting II」が攻撃され、ホスティングされているサイトのデータ流出などが発生した（ギズモード・ジャパン、ComputerWorld）。

攻撃者によると、Freedom Hosting II上でサイトを開設した上で、自身に割り当てられたディレクトリ内にルートディレクトリへのシンボリックリンクを作成したという。これだけでそのサーバー上でホスティングされているすべてのデータに対して読み取り権限が得られたとのこと。その後この攻撃者はサーバー上にあったデータをBitTorrentを使って公開。公開されたデータには74GBのファイル、2.3GBのデータベースが含まれてり、その中には児童ポルノコンテンツや詐欺サイト、違法な物品を販売するサイトに関するコンテンツも含まれていたという。

また、Freedom Hosting IIの利用者やオンラインフォーラムへの投稿内容も含まれていたとのことで、法執行機関などがこのデータを使った捜査に乗り出す可能性も高いという。

先日、「Microsoft以外のウイルス対策ソフトは使うべきではない」、「行儀のいいアンチウイルスはWindows Defenderだけ」といった話題があったが、これに対しセキュリティ企業Kasperskyが反論を行っている（INTERNETCOM）。

Kasperskyはセキュリティに注意している人のデバイスが感染するリスクは高くはないとしつつも、そうでない人々を保護するために重要とし、また同社の製品はMicrosoftのセキュリティソフトと比較しても優れた保護能力があると主張、（少なくともKasperskyの）セキュリティソフトについては導入する意義があると主張している。

あるAnonymous Coward 曰く、

アメリカでは、入国時にSNSのアカウント情報の提供が求められるという話が出ている（NBC News、毎日新聞、Slashdot）。

NBC Newsによると、アカウント名だけでなくパスワードの提示も求める可能性があるという。ジョン・ケリー国土安全保障長官は、特定七カ国のイスラム圏の難民やビザ申請者を摘発するための一案として存在すると認めた。彼らが回答を拒否した場合、入国は認められないだろうとしている。ただ、この案は「考えていること」の一つに過ぎず、具体的な計画にはなっていないと強調した。

トランプ米大統領は、中東・アフリカ7カ国からの米国入国を一時禁止する大統領令を出しているが司法判断で停止中。対抗策として国土安全保障省に入国審査を厳格化するよう命じた結果、今回の案が出てきた模様