GnuPG 2.2.0 リリース 9
旧版ユーザーはご注意を 部門より
GnuPGのバージョン2.2.0がリリースされました(アナウンス、OSDN Magazine)。これは長らくmodern版として開発されてきた2.1系が新たな安定板になったことを意味します。
2.0系は今年いっぱいでサポートが終わるので、ユーザは2.2へ移行する必要があります。
アナウンス:スラドとOSDNは受け入れ先を募集中です。
GnuPGのバージョン2.2.0がリリースされました(アナウンス、OSDN Magazine)。これは長らくmodern版として開発されてきた2.1系が新たな安定板になったことを意味します。
2.0系は今年いっぱいでサポートが終わるので、ユーザは2.2へ移行する必要があります。
昨今ではさまざまな電子機器に搭載されている加速度センサやジャイロセンサには、超音波を照射されると誤動作するという脆弱性があるという(日経ITpro)。
中国アリババ集団のセキュリティ部門であるアリババセキュリティーがセキュリティカンファレンスBlack Hat 2017で実験内容などを発表したもの。加速度センサやジャイロセンサでは極小サイズのバネや重りを使って加速度や角速度を検出するが、これらには超音波を加速度や各速度として検出してしまう問題があるという。これを悪用することで、これらセンサの出力する値を外部から操作できる可能性があるという。
実証実験ではきわめて近距離から超音波を照射しているが、大規模なシステムを構築することでより遠距離から攻撃を行える可能性もあるようだ。
コードを1行も書くことなく、オプションを指定するだけでAndroidをターゲットにしたランサムウェアを作成できるツールの登場により、モバイルランサムウェアの亜種が多数出回る可能性をSymantecのDinesh Venkatesan氏が指摘し、注意を喚起している(Symantec Security Response、Softpedia)。
Venkatesan氏が「Trojan Development Kits(TDK:トロイの木馬開発キット)」と呼ぶツールはAndroid用の無料アプリとしてハッキングフォーラムや、中国で人気のあるメッセージングサービスの広告などを通じて配布されているという。現在のところVenkatesan氏が確認しているのは中国のユーザーを対象にしたTDKのみだが、ローカライズは容易であり、他言語版が出回る可能性が高いとのこと。
TDKの使い方は簡単で、Android端末にインストールして起動してオプションを指定するだけでいい。オプションはランサムメッセージとアンロックコード、アプリアイコン、コードをランダム化するのに使うカスタム演算式、感染したデバイスで表示するアニメーションのみ。あとは「生成」をタップすればAPKが生成されるのだが、初回のみTDKの開発者に料金を支払う必要がある。
生成されるランサムウェアはLockdroidと同様のもので、SYSTEM_ALERT_WINDOWを使用してデバイスをロックし、アンロックコードを入力するまで端末が使用できなくなる。配布方法などはTDKの利用者が用意する必要があるものの、カスタマイズしたランサムウェアを作成できるようになることで、サイバー犯罪への参入が容易になるだけでなく、既存のサイバー犯罪者の効率も向上することになる。
米連邦捜査局(FBI)が米国の企業に対し、Kaspersky Labの製品を使用しないよう要請しているとCyberScoopが報じている(CyberScoop、V3、Softpedia、Consumerist)。
要請はエネルギー産業やSCADAなどの産業制御システムを使用する企業を優先して行われており、これらの企業のシステムから可能な限り早くKaspersky製品を排除することや、新製品などでKaspersky製品が使われなくなるようにすることを目標にしているという。
また、Kasperskyと提携する大手テクノロジー企業に対しては、ロシアの情報機関とKasperskyが深い関係にあるといった米情報コミュニティーの見解などを含む脅威の評価を説明しているほか、Kasperskyが偽のマルウェアでライバルを妨害していたといった事実関係の定かでない情報も挙げているそうだ。
こういった要請に対し、産業制御システムを使用する企業などは協力的な姿勢を示している一方、大手テクノロジー企業の反応は鈍いとのこと。
米国では2018年度国防授権法(NDAA)案でロシア政府の影響に対して脆弱であるとして、国防省でKaspersky製品の使用を禁ずる条項が盛り込まれる(PDF)など、Kaspersky製品の排除の動きが進んでいる。
ドイツの独立系ITセキュリティ機関AV-TESTがWindows版の家庭向けセキュリティスイート18製品を対象に、6か月にわたる耐久テストを実行した結果を発表している(Softpedia)。
テストは通常のAV-TESTによるテストと同様、保護能力を評価する「Protection」、パフォーマンスへの影響を評価する「Performance」、誤検出の少なさなどを評価する「Usability」の3つのカテゴリーで行われ、各カテゴリー6点満点、合計18点満点でスコアが付けられる。ただし、通常のテストが2か月間なのに対し、今回のテストは2017年1月~6月の6か月間継続して実施された。
総合1位となったのは18点満点を獲得したKaspersky Internet Security。Norton SecurityとTrend Micro Internet Securityが17.8点、Bitdefender Internet Securityが17.7点で続く。2位~4位はいずれもProtectionとPerformanceで6点満点を獲得しており、Usabilityのスコアで順位が分かれた。5位のAviraはUsabilityで6点満点を獲得したが、Protectionが5.7点、Performanceが5.8点で合計17.5点となっている。これら5製品は通常のテストで18点満点を獲得することが多いトップグループの常連だ。
上位4製品以外では、総合6位のF-Secure Safe(16.8点)と総合9位のAvast(16.5点)がProtectionで6点満点を獲得している。BitdefenderとF-Secure、Kaspersky、Nortonは未知のマルウェア/既知のマルウェアともに100%の検出率となっており、検出率ではF-SecureがTrend Microを上回る。なお、Protectionのスコアが4.7点と最も低く、総合13位のMcAfee Internet Security(16.1点)でも検出率は97.7%/99.8%であり、全体に検出率は高い。
KasperskyとAvira以外でUsabilityの6点満点を獲得したのは、総合16位のESET Internet Security(15.6点)のみ。Performanceで6点満点を獲得したのは総合1~4位の4製品のみとなっている。
MicrosoftのWindows Defender Antivirusは15.5点で総合17位。最下位のComodo Internet Security PremiumはProtectionとUsabilityで5.2点を獲得したものの、Performanceが3.2と低く、総合13.6点で唯一15点を下回った。
Windows用PDFリーダー「Foxit Reader(日本語版)」の未修正脆弱性2件をZero Day Initiativeが公表した(ZDI-17-691/CVE-2017-10951、ZDI-17-692/CVE-2017-10952、Register、AusCERT — ESB-2017.2088)。
CVE-2017-10951の問題はapp.launchURLメソッドに存在し、システムコールを実行する前にユーザーが与えるデータを適切に確認しないというもの。CVE-2017-10952の問題はJavaScriptで書かれたsaveAs関数に存在し、ユーザーが与えるデータに対する適切な確認が行われないため、攻撃者の制御下にある場所に任意のファイルを保存できるというものだ。2件とも攻撃用のWebページまたはドキュメントをターゲットに開かせることで、リモートの攻撃者は現在のプロセスのコンテキストで任意コード実行が可能になる。
Zero Day InitiativeではCVE-2017-10951を5月18日、CVE-2017-10952を6月22日にFoxitへ通知している。しかし、何度かのやり取りののち、Foxit側がFoxit Readerのデフォルトで有効になっている「保護モード」により緩和できるため修正は行わないとの考えを示したという。そのため、Zero Day Initiativeは通常の公表期限である120日を待たず、ゼロデイ脆弱性として公表に踏み切ったようだ。
なお、Foxit Readerの保護モードはセットアップ時にオプションとして提示され、デフォルトでオンになっている。セットアップ後は「ファイル」メニューから「環境設定」を開き、「トラストマネージャー」で設定を変更できる。
米国で、ターゲットの携帯電話番号を不正に調べだし、その番号の情報を使ってアカウントを乗っ取るという手法によるアカウント盗用が頻発しているという(The NewYork Times、FTC、Slashdot)。
昨今ではTwitterやFacebook、Googleなど携帯電話番号の登録を求めるサービスが増えているが、こういったサービスでは携帯電話番号があればパスワードをリセットできてしまう。FTCによると携帯電話番号の「盗難」は2013年1月には1,038件で、ID盗難事件全体の3.2%を占めたという。そして2016年1月までにその数は2,658件に増加、ID盗難事件全体の6.3%を占めるようになった。
さまざまな人々がこの種の攻撃にあっているが、とくに仮想通貨に投資しているような人たちがターゲットになっているようだ。仮想通貨はクレジットカードなどと異なり、一度喪失すると元には戻せないことなども理由であるようだ。またBlack Lives Matter運動の活動家などもターゲットにされ、SNSアカウントなどが乗っ取られたようだ。
iPhone 5sのA7チップに搭載されているセキュリティコプロセッサー「Secure Enclave」のファームウェアを復号するという復号鍵がThe iPhone WikiとTwitterで公開された(xerub氏のツイート、The Register、iClarified、Softpedia)。
Secure EnclaveはL4マイクロカーネルベースのOSを実行し、ファイルシステムに保存するデータの暗号化やTouch IDから送られた指紋データの処理などをiOSから独立して実行する(AppleによるiOSのセキュリティ文書PDF)。今回公開された復号鍵は暗号化されたSecure EnclaveのOSを復号するもので、セキュリティ研究者などが脆弱性を調査するのに役立つとみられる。
なお、暗号化されたファイルシステムの復号が可能になるわけではなく、Secure Enclave自体のセキュリティを低下させるものではないという。復号鍵を公開したxerub氏によれば、同氏がGitHubで公開しているimg4libとsepsplit.cを使用することで復号が可能になるとのことだ。
iOS 11では、指紋認証を使って「強引にロックを解除させる」ことを防ぐ機能が実装される可能性があるという。この機能はiOS 11のベータ版に搭載されており、「電源・スリープボタンを5回連続で押し込む」ことでこの機能が有効になる。この状態で緊急通報を行ったりキャンセルボタンを押すと、パスコードを入力するまで指紋認証によるロック解除が無効になるそうだ(ギズモード・ジャパン)。
この機能はiOS 10.2のベータ版でも実装されていたが、正式採用には至らなかったという。背景には、米国においてパスワードは黙秘権の対象とされているが、指紋認証によるロック解除は対象外という見解が出ていることがあると思われる。
中国ではQRコードをスマートフォンで読み取るだけで決済が完了するシステムが普及しているが、このサービス「支付宝(アリペイ)」を提供するアリババが日本でも同様の決済サービスを導入するという(日経新聞、東亜日報)。
日本では新しいブランドでサービスを開始するという。すでに日本でも中国人旅行者向けにアリペイによる決済を提供している店舗などはあるが、アリペイで決済を行うために必要なチャージには中国の銀行口座が必要となっていた。新サービスでは日本の銀行口座からでもチャージできるようになるという。
ただ、中国でQRコードによる決済が普及したのは同社のメッセージングアプリが広く普及していたからではないかという話もある(ASCII.jp)。また、QRコードの張り替えによる不正決済などもたびたびトラブルとなっており、日本ではこういった問題への対策が行われるのか、またセキュリティやプライバシ保護などについても適切に行われるのか、不安な点は多い。
Mozillaは14日、64ビットWindows環境にFirefoxをインストールする際、デフォルトで64ビット版のFirefoxがインストールされるようになったと発表した(The Firefox Frontier、Neowin、BetaNews)。
64ビット版のFirefoxを使用することで、32ビット版よりもセキュリティが向上し、クラッシュ発生率は低下する。Firefox 53以降では64ビットWindows環境でStubインストーラーを実行すると32ビット版/64ビット版を選択可能となっていたが、デフォルトでは32ビット版が選択されていた。
現在64ビットWindows環境で32ビット版のFirefoxを使用しているユーザーは、Firefoxを再インストールすることで64ビット版のFirefoxへ移行できる。また、Mozillaは今後のリリースで64ビット版WindowsユーザーのFirefoxをすべて64ビット版に移行する計画だという。そのため、待っていればいずれ64ビット版に自動で移行されることになる。その後も32ビット版を使い続けたいユーザーは、32ビット版のインストーラーを実行すればよいとのことだ。
Android端末向けのトロイの木馬「BankBot」が仕込まれたアプリがGoogle Playで多数配信されているという(ZDNet Japan)。
このトロイの木馬はたびたび話題になっており、2016年12月に見つかったとされている。今回問題が見つかったアプリはインストール直後は悪意のある行動は行わないが、その後ユーザーがアプリのアップデートを行うとBankBotが組み込まれ、端末から認証情報を盗み、その情報を使ってインターネットバンキングサイトなどにアクセスして不正送金などを行うという。
Google Playではマルウェアをブロックする仕組みがあるが、アップデート時にマルウェア的な機能を追加させることでこの制限を迂回しているようだ。また、ユーザーの端末が旧ソ連の国々で稼働している場合は、BankBotが作動しないという話も出ている。
身近な人の偉大さは半減する -- あるアレゲ人