osdn曰く、

GnuPGのバージョン2.2.0がリリースされました（アナウンス、OSDN Magazine）。これは長らくmodern版として開発されてきた2.1系が新たな安定板になったことを意味します。

2.0系は今年いっぱいでサポートが終わるので、ユーザは2.2へ移行する必要があります。

昨今ではさまざまな電子機器に搭載されている加速度センサやジャイロセンサには、超音波を照射されると誤動作するという脆弱性があるという（日経ITpro）。

中国アリババ集団のセキュリティ部門であるアリババセキュリティーがセキュリティカンファレンスBlack Hat 2017で実験内容などを発表したもの。加速度センサやジャイロセンサでは極小サイズのバネや重りを使って加速度や角速度を検出するが、これらには超音波を加速度や各速度として検出してしまう問題があるという。これを悪用することで、これらセンサの出力する値を外部から操作できる可能性があるという。

実証実験ではきわめて近距離から超音波を照射しているが、大規模なシステムを構築することでより遠距離から攻撃を行える可能性もあるようだ。

headless曰く、

コードを1行も書くことなく、オプションを指定するだけでAndroidをターゲットにしたランサムウェアを作成できるツールの登場により、モバイルランサムウェアの亜種が多数出回る可能性をSymantecのDinesh Venkatesan氏が指摘し、注意を喚起している（Symantec Security Response、Softpedia）。

Venkatesan氏が「Trojan Development Kits（TDK：トロイの木馬開発キット）」と呼ぶツールはAndroid用の無料アプリとしてハッキングフォーラムや、中国で人気のあるメッセージングサービスの広告などを通じて配布されているという。現在のところVenkatesan氏が確認しているのは中国のユーザーを対象にしたTDKのみだが、ローカライズは容易であり、他言語版が出回る可能性が高いとのこと。

TDKの使い方は簡単で、Android端末にインストールして起動してオプションを指定するだけでいい。オプションはランサムメッセージとアンロックコード、アプリアイコン、コードをランダム化するのに使うカスタム演算式、感染したデバイスで表示するアニメーションのみ。あとは「生成」をタップすればAPKが生成されるのだが、初回のみTDKの開発者に料金を支払う必要がある。

生成されるランサムウェアはLockdroidと同様のもので、SYSTEM_ALERT_WINDOWを使用してデバイスをロックし、アンロックコードを入力するまで端末が使用できなくなる。配布方法などはTDKの利用者が用意する必要があるものの、カスタマイズしたランサムウェアを作成できるようになることで、サイバー犯罪への参入が容易になるだけでなく、既存のサイバー犯罪者の効率も向上することになる。

米国・ワシントン州のピュージェット湾内、サイプレス島付近で、養殖業者Cooke Aquacultureが所有する養殖施設から大量のアトランティックサーモンが流出し、太平洋側の在来種への影響が懸念されている(Cooke Aquacultureの発表、 WDFWのニュースリリース、 The Guardianの記事、 CBC Newsの記事、 The Seattle Timesの記事)。

養殖場は30年ほど前から使われていたもので、昨年Cooke Aquacultureが購入したという。同社は事故の発生を19日にワシントン州魚類野生生物局(WDFW)に報告し、異例の高潮や潮流により養殖場の構造が破損したと発表している。ただし、米海洋大気庁(NOAA)は19日の潮流について、非常に速かったが特別速かったわけではないと述べており、既に7月下旬には問題が発生していたとも報じられている。

養殖場に囲われていたアトランティックサーモンは305,000匹で、うち4,000～5,000匹が流出したとみられるが、実際の流出数は潮の状態が改善後に養殖場内に残っている数を確認する必要がある。個体は4kg前後であり、食用可能。既にキングサーモンなどパシフィックサーモンの漁で捕獲されているという。WDFWではアトランティックサーモンを侵略的外来種に指定しているが、流出による影響がどの程度のものかはわかっていないようだ。

WDFWは流出したアトランティックサーモンが釣り人により回収されることを期待しており、捕獲したアトランティックサーモンの数を報告するよう釣り人に求めている。漁獲可能なアトランティックサーモンの大きさや数に制限は設けられていないが、パシフィックサーモンやトラウトの漁が許可されている区域に限定し、パシフィックサーモンまたはトラウトの漁獲高が1日の制限に達したら漁を終了するようにとのことだ。

WikiLeaksは24日、米中央情報局(CIA)が他の米政府機関に対して使用していたという「ExpressLane」をVault 7プロジェクトで公開した(Vault 7 — ExpressLane、 The Vergeの記事、 Softpediaの記事)。

CIAはOffice of Technical Services(OTS)が作成した生体情報収集システム「OTS/i2c」を国家安全保障局(NSA)や国土安全保障省(DHS)、連邦捜査局(FBI)といった連携する政府機関に提供しているという。CIAでは各機関に情報の共有を求めているが、共有を拒否された場合にも情報を確保できるようにするのがExpressLaneの役割だ。

ExpressLaneはOTS/i2cのアップグレードの一部としてOTSの担当者がインストールするが、生体情報収集ソフトウェアが更新されるわけではなく、スプラッシュスクリーンの背後でデータがUSBドライブの隠しパーティションに転送される。ExpressLaneはデフォルトで6か月間の期限が設定されており、期間内にウォーターマークの入ったUSBドライブを接続し、データを回収すれば期限が再設定される。

期間内に担当者が該当のPCにアクセスしなかった場合(拒否された場合を含む)はOTS/i2cが動作しなくなる。この場合、関係機関はCIAに修正を依頼する(CIAは修正するふりをしてデータを回収する)か、システムの使用をやめるかのどちらかを選択することになるとのことだ。

headless曰く、

米連邦捜査局（FBI）が米国の企業に対し、Kaspersky Labの製品を使用しないよう要請しているとCyberScoopが報じている（CyberScoop、V3、Softpedia、Consumerist）。

要請はエネルギー産業やSCADAなどの産業制御システムを使用する企業を優先して行われており、これらの企業のシステムから可能な限り早くKaspersky製品を排除することや、新製品などでKaspersky製品が使われなくなるようにすることを目標にしているという。

また、Kasperskyと提携する大手テクノロジー企業に対しては、ロシアの情報機関とKasperskyが深い関係にあるといった米情報コミュニティーの見解などを含む脅威の評価を説明しているほか、Kasperskyが偽のマルウェアでライバルを妨害していたといった事実関係の定かでない情報も挙げているそうだ。

こういった要請に対し、産業制御システムを使用する企業などは協力的な姿勢を示している一方、大手テクノロジー企業の反応は鈍いとのこと。

米国では2018年度国防授権法（NDAA）案でロシア政府の影響に対して脆弱であるとして、国防省でKaspersky製品の使用を禁ずる条項が盛り込まれる（PDF）など、Kaspersky製品の排除の動きが進んでいる。

headless曰く、

ドイツの独立系ITセキュリティ機関AV-TESTがWindows版の家庭向けセキュリティスイート18製品を対象に、6か月にわたる耐久テストを実行した結果を発表している（Softpedia）。

テストは通常のAV-TESTによるテストと同様、保護能力を評価する「Protection」、パフォーマンスへの影響を評価する「Performance」、誤検出の少なさなどを評価する「Usability」の3つのカテゴリーで行われ、各カテゴリー6点満点、合計18点満点でスコアが付けられる。ただし、通常のテストが2か月間なのに対し、今回のテストは2017年1月～6月の6か月間継続して実施された。

総合1位となったのは18点満点を獲得したKaspersky Internet Security。Norton SecurityとTrend Micro Internet Securityが17.8点、Bitdefender Internet Securityが17.7点で続く。2位～4位はいずれもProtectionとPerformanceで6点満点を獲得しており、Usabilityのスコアで順位が分かれた。5位のAviraはUsabilityで6点満点を獲得したが、Protectionが5.7点、Performanceが5.8点で合計17.5点となっている。これら5製品は通常のテストで18点満点を獲得することが多いトップグループの常連だ。

上位4製品以外では、総合6位のF-Secure Safe（16.8点）と総合9位のAvast（16.5点）がProtectionで6点満点を獲得している。BitdefenderとF-Secure、Kaspersky、Nortonは未知のマルウェア/既知のマルウェアともに100%の検出率となっており、検出率ではF-SecureがTrend Microを上回る。なお、Protectionのスコアが4.7点と最も低く、総合13位のMcAfee Internet Security（16.1点）でも検出率は97.7%/99.8%であり、全体に検出率は高い。

KasperskyとAvira以外でUsabilityの6点満点を獲得したのは、総合16位のESET Internet Security（15.6点）のみ。Performanceで6点満点を獲得したのは総合1～4位の4製品のみとなっている。

MicrosoftのWindows Defender Antivirusは15.5点で総合17位。最下位のComodo Internet Security PremiumはProtectionとUsabilityで5.2点を獲得したものの、Performanceが3.2と低く、総合13.6点で唯一15点を下回った。

headless曰く、

Windows用PDFリーダー「Foxit Reader（日本語版）」の未修正脆弱性2件をZero Day Initiativeが公表した（ZDI-17-691/CVE-2017-10951、ZDI-17-692/CVE-2017-10952、Register、AusCERT — ESB-2017.2088）。

CVE-2017-10951の問題はapp.launchURLメソッドに存在し、システムコールを実行する前にユーザーが与えるデータを適切に確認しないというもの。CVE-2017-10952の問題はJavaScriptで書かれたsaveAs関数に存在し、ユーザーが与えるデータに対する適切な確認が行われないため、攻撃者の制御下にある場所に任意のファイルを保存できるというものだ。2件とも攻撃用のWebページまたはドキュメントをターゲットに開かせることで、リモートの攻撃者は現在のプロセスのコンテキストで任意コード実行が可能になる。

Zero Day InitiativeではCVE-2017-10951を5月18日、CVE-2017-10952を6月22日にFoxitへ通知している。しかし、何度かのやり取りののち、Foxit側がFoxit Readerのデフォルトで有効になっている「保護モード」により緩和できるため修正は行わないとの考えを示したという。そのため、Zero Day Initiativeは通常の公表期限である120日を待たず、ゼロデイ脆弱性として公表に踏み切ったようだ。

なお、Foxit Readerの保護モードはセットアップ時にオプションとして提示され、デフォルトでオンになっている。セットアップ後は「ファイル」メニューから「環境設定」を開き、「トラストマネージャー」で設定を変更できる。

米国で、ターゲットの携帯電話番号を不正に調べだし、その番号の情報を使ってアカウントを乗っ取るという手法によるアカウント盗用が頻発しているという（The NewYork Times、FTC、Slashdot）。

昨今ではTwitterやFacebook、Googleなど携帯電話番号の登録を求めるサービスが増えているが、こういったサービスでは携帯電話番号があればパスワードをリセットできてしまう。FTCによると携帯電話番号の「盗難」は2013年1月には1,038件で、ID盗難事件全体の3.2％を占めたという。そして2016年1月までにその数は2,658件に増加、ID盗難事件全体の6.3％を占めるようになった。

さまざまな人々がこの種の攻撃にあっているが、とくに仮想通貨に投資しているような人たちがターゲットになっているようだ。仮想通貨はクレジットカードなどと異なり、一度喪失すると元には戻せないことなども理由であるようだ。またBlack Lives Matter運動の活動家などもターゲットにされ、SNSアカウントなどが乗っ取られたようだ。

headless曰く、

iPhone 5sのA7チップに搭載されているセキュリティコプロセッサー「Secure Enclave」のファームウェアを復号するという復号鍵がThe iPhone WikiとTwitterで公開された（xerub氏のツイート、The Register、iClarified、Softpedia）。

Secure EnclaveはL4マイクロカーネルベースのOSを実行し、ファイルシステムに保存するデータの暗号化やTouch IDから送られた指紋データの処理などをiOSから独立して実行する（AppleによるiOSのセキュリティ文書PDF）。今回公開された復号鍵は暗号化されたSecure EnclaveのOSを復号するもので、セキュリティ研究者などが脆弱性を調査するのに役立つとみられる。

なお、暗号化されたファイルシステムの復号が可能になるわけではなく、Secure Enclave自体のセキュリティを低下させるものではないという。復号鍵を公開したxerub氏によれば、同氏がGitHubで公開しているimg4libとsepsplit.cを使用することで復号が可能になるとのことだ。

iOS 11では、指紋認証を使って「強引にロックを解除させる」ことを防ぐ機能が実装される可能性があるという。この機能はiOS 11のベータ版に搭載されており、「電源・スリープボタンを5回連続で押し込む」ことでこの機能が有効になる。この状態で緊急通報を行ったりキャンセルボタンを押すと、パスコードを入力するまで指紋認証によるロック解除が無効になるそうだ（ギズモード・ジャパン）。

この機能はiOS 10.2のベータ版でも実装されていたが、正式採用には至らなかったという。背景には、米国においてパスワードは黙秘権の対象とされているが、指紋認証によるロック解除は対象外という見解が出ていることがあると思われる。

4月に修正されたMicrosoft Office/ワードパッドの脆弱性(CVE-2017-0199)は、その後もスピア型攻撃で使われ続けており、新たな攻撃手法も発見されているようだ。

CVE-2017-0199はOLEインターフェイスに存在する脆弱性。攻撃者はOfficeドキュメントにリモートの攻撃用コードを記述したファイルを埋め込み、ターゲットにドキュメントを開かせることで、リモートコンテンツを表示するかどうかの選択にかかわらずリモートからのコード実行が可能となる。

攻撃用にはリモートのHTAファイルを埋め込んだRTFファイルが多く使われているが、トレンドマイクロが入手したサンプル(TROJ_CVE20170199.JVU)では、リモートのWindowsスクリプトコンポーネントファイルを埋め込んだPowerPointスライドショーファイル(.ppsx)が使われている。埋め込みオブジェクトのファイル名は「logo.doc」となっているが、実際にはWindowsスクリプトコンポーネントファイルであり、スクリプトはPowerShellコードを実行してリモートアクセスツール(RAT)を実行する仕組みとなっている(TrendLabs Security Intelligence Blogの記事)。

一方、CiscoのTalosグループが入手したサンプルでは、RTFファイル(Purchase_Order.doc)にリモートのRTFファイル(Order.doc)が埋め込まれた形になっている。Order.docは2012年に修正済みの脆弱性(CVE-2012-0158/MS12-027)を使用してリモートからシェルコードを実行する。このシェルコードは開いているRTFファイルからOrder.docを検索し、マルウェアをダウンロードするシェルコードを読み取って実行する仕組みだ(Cisco's Talos Intelligence Group Blogの記事)。

ただし、指定された条件にPurchase_Order.docが一致してしまうため、Wordがクラッシュして攻撃は失敗する。実際にCVE-2012-0158が未修正の環境であれば直接実行すれば済む話であり、攻撃者の目的は不明だ。Talosでは埋め込みのHTAファイルをダウンロードする挙動がセキュリティソフトに検出されるのを避けるのが目的である可能性や、新たな攻撃手法を実験している可能性などを指摘している。

あるAnonymous Coward 曰く、

中国ではQRコードをスマートフォンで読み取るだけで決済が完了するシステムが普及しているが、このサービス「支付宝（アリペイ）」を提供するアリババが日本でも同様の決済サービスを導入するという（日経新聞、東亜日報）。

日本では新しいブランドでサービスを開始するという。すでに日本でも中国人旅行者向けにアリペイによる決済を提供している店舗などはあるが、アリペイで決済を行うために必要なチャージには中国の銀行口座が必要となっていた。新サービスでは日本の銀行口座からでもチャージできるようになるという。

ただ、中国でQRコードによる決済が普及したのは同社のメッセージングアプリが広く普及していたからではないかという話もある（ASCII.jp）。また、QRコードの張り替えによる不正決済などもたびたびトラブルとなっており、日本ではこういった問題への対策が行われるのか、またセキュリティやプライバシ保護などについても適切に行われるのか、不安な点は多い。

headless曰く、

Mozillaは14日、64ビットWindows環境にFirefoxをインストールする際、デフォルトで64ビット版のFirefoxがインストールされるようになったと発表した（The Firefox Frontier、Neowin、BetaNews）。

64ビット版のFirefoxを使用することで、32ビット版よりもセキュリティが向上し、クラッシュ発生率は低下する。Firefox 53以降では64ビットWindows環境でStubインストーラーを実行すると32ビット版/64ビット版を選択可能となっていたが、デフォルトでは32ビット版が選択されていた。

現在64ビットWindows環境で32ビット版のFirefoxを使用しているユーザーは、Firefoxを再インストールすることで64ビット版のFirefoxへ移行できる。また、Mozillaは今後のリリースで64ビット版WindowsユーザーのFirefoxをすべて64ビット版に移行する計画だという。そのため、待っていればいずれ64ビット版に自動で移行されることになる。その後も32ビット版を使い続けたいユーザーは、32ビット版のインストーラーを実行すればよいとのことだ。

Android端末向けのトロイの木馬「BankBot」が仕込まれたアプリがGoogle Playで多数配信されているという（ZDNet Japan）。

このトロイの木馬はたびたび話題になっており、2016年12月に見つかったとされている。今回問題が見つかったアプリはインストール直後は悪意のある行動は行わないが、その後ユーザーがアプリのアップデートを行うとBankBotが組み込まれ、端末から認証情報を盗み、その情報を使ってインターネットバンキングサイトなどにアクセスして不正送金などを行うという。

Google Playではマルウェアをブロックする仕組みがあるが、アップデート時にマルウェア的な機能を追加させることでこの制限を迂回しているようだ。また、ユーザーの端末が旧ソ連の国々で稼働している場合は、BankBotが作動しないという話も出ている。