機械学習により有害コメントを判定するGoogle/JigsawのPerspectiveだが、人間が元の意味を認識できる程度に微妙な改変を加えたadversarial exampleを使用することで、判定を混乱させる攻撃に関する研究結果が発表された(論文: PDF、 Ars Technicaの記事、 The Registerの記事)。

現在のところ、Perspectiveは研究開発初期の段階だが、入力した文と人々が有害と考えるコメントの類似性をパーセンテージ(以降、有害率スコア)で表示する実験的なツールがWebサイトで公開されている。研究グループは同サイトでリストアップされている有害なコメント例を用い、改変による有害判定の変化を調べている。

Perspectiveの判定に大きく影響するのは単語だ。特に「idiot」「stupid」といった単語を含むコメントは有害率スコアが高くなる。しかし、これらの単語にミススペルを加えたり、途中に「.」「-」「/」といった記号やスペースを挿入したりすると(idiiot、stu.pidなど)、人間の目には元の単語が認識できるのにもかかわらず、有害率スコアは大きく低下する。例文の多くは有害率スコアが80%台で、改変により10%台まで低下するが、中には86%(※)から2%に低下するものもある。

Microsoftが2月の月例更新を3月に延期する一方で、GoogleのProject ZeroがWindowsの未修正脆弱性を2月14日 (CVE-2017-0038)と23日 (CVE-2017-0037)に相次いで公表した。これらの脆弱性のうち、CVE-2017-0038に対するパッチをACROS Securityの0patch Teamが公開している(0patch Blogの記事、 BetaNewsの記事、 Softpediaの記事)。

CVE-2017-0038はgdi32.dllのバグにより、リモートの攻撃者が細工したEMFイメージファイルを使用してプロセスのヒープメモリーから情報を取得できるというもの。バグは昨年3月に発見され、Microsoftは6月の月例更新で修正したものの、修正が不完全だったという。そのため、Project Zeroでは11月にMicrosoftへ再度通知したが、90日間の期限が過ぎたとして2月14日に公表した。

Project Zeroで公開されているPoC(poc.emf)は1×1ピクセルのビットマップを含むが、DIBデータは16×16ピクセルに改変されている。影響を受けるシステムのInternet Explorer 11に画像をドロップすると、255ピクセル分がヒープ内のジャンクデータに基づいて描画されることになる。

0patchのパッチは、0patch.comで公開されている「0patch Agent」(ベータ版)をインストールして実行することで適用できる。ただし、利用にはユーザー登録が必要となる。0patch Agentは常駐し、パッチ適用の有無も切り替え可能だ。パッチを適用した状態では空のイメージが描画され、エクスプロイトをブロックしたことがポップアップ表示される。

パッチが提供されるのは、Windows 7および64ビット版のWindows 8.1/10のみ。なお、パッチは脆弱性のあるバージョンのDLLに対してのみ適用され、Microsoftから公式の修正プログラムがリリースされれば適用されなくなるとのこと。

ちなみに、CVE-2017-0037はMicrosoft EdgeとInternet Explorer 11に存在する型の取り違えの脆弱性だ。この脆弱性を利用すると、リモートの攻撃者は細工したCSSとJavaScriptにより、任意コードの実行が可能になるとのこと。

あるAnonymous Coward曰く、

米国家安全保障局（NSA）で、人材流出が問題となっているそうだ（ロイター、Slashdot）。

以前にも「スノーデン事件」の影響で士気の低下や人材流出が起きているという話があったが、トランプ大統領の就任がこれらに拍車をかけているという。

トランプ大統領の就任によって情報当局の予算などを含む「行く末」に懸念が出ていることが理由の1つのようで、シリコンバレーなどの高賃金職に転職するケースもあることから当局は職員の引き止めに苦労しているようだ。

headless 曰く、

本日発売された任天堂の新型ゲーム機「Nintendo Switch」のゲームカートリッジは、誤飲防止のため強い苦みが付けてあるそうだ(Kotaku、The Verge、Guardian、インサイド)。

Nintendo Switchのカートリッジの味については、数日前から実際になめてみたゲームジャーナリストなどから激マズだという報告が出ていた。Kotakuの記事ではオレンジの皮を絞ったオイルのような味だが、柑橘系の香りはないものと表現している。

これについて任天堂はKotakuに対し、カートリッジの誤飲を防止するため小さな子供の手の届かないところに置くことを求めるとともに、非常に苦みの強い物質として知られ、誤飲防止剤として使われる安息香酸デナトニウムを添加していることを明らかにしたそうだ。

Twitterなどでは実際に舐めてみた人達による報告も投稿されている（Togetterまとめ）。

あるAnonymous Coward曰く、

昨年11月、ドイツで90万人以上が被害を受けた大規模なサイバー攻撃が発生していたそうだ（Bleeping Computer、マイナビニュース、ESET、Slashdot）。

この事件では、IoTデバイスを狙うマルウェア「Mirai」が使われたという。攻撃対象となったのはドイツの大手ISPであるドイツテレコムのインターネット接続サービス利用者宅に設置されたルーター。攻撃者は大規模なボットネットの構築を狙ったとのことで、インターネット接続を利用できないといった被害が発生したという。

2月24日にはこの攻撃に関連すると見られる29歳の英国人男性がロンドン空港で逮捕されたとのこと。逮捕はドイツの連邦刑事警察局が発行した欧州逮捕令状に従って行われたものだという。

headless曰く、

Windows 10 Creators Updateでは、「ストア」アプリ以外で入手したアプリのインストールをブロックするオプションが搭載されるかもしれない（MSPoweruser、BetaNews、Windows Central、Softpedia）。

先日ファーストリング向けに提供が開始されたPC版のWindows 10 Insider Previewビルド15042には、アプリのインストール元を制限するオプションがすでに搭載されており、「設定」アプリの「アプリ→アプリと機能→アプリのインストール」で選択できる。

「ストアのアプリのみ許可する」を選択すると、ストア以外で入手したアプリをインストールしようとした際に警告が表示され、インストールはブロックされる。「ストアのアプリを優先するが、任意の場所のアプリを許可する」を選んだ場合、ダイアログボックスで警告が表示されるものの、そのままインストールに進むことが可能だ。デフォルトの「任意の場所のアプリを許可する」ではインストール元が制限されない。

ただし、手元の環境で試した限り、ブロックされるのは一部のアプリのインストーラーのみで、そのままインストールが進められるインストーラーも多かった。ビルド15042の更新情報には記載がないため、このオプションを搭載した理由は不明だが、セキュリティ向上を目的としたものとみられる。

あるAnonymous Coward 曰く、

NTTドコモが昨年末より提供を開始した「dカード プリペイド」で、カード番号を容易に推測できる可能性があることが指摘されている（架空のdカード プリペイドを作成してみよう！（帰納編）、架空のdカード プリペイドを作成してみよう！（演繹編））。

dカード プリペイドは専用Webサイトや対応店舗でチャージすることで、チャージした金額内の支払いが可能なプリペイドカード。NTTドコモの決済サービス「iD」だけでなく、クレジットカードの「Mastercard」加盟店でも利用が可能となっている。

今回指摘されているのは、カード番号に一定の法則がある点。そのため、実際に使われている可能性の高いカード番号を推測できるという。また、初回限定デザインではカード決済に必要な名義人や有効期限などの情報も特定が容易だとして注意を促している。

英国・ダンディー大学の研究によると、眠っている子供の多くが一般的な煙報知器の警報音に反応しないことが判明したそうだ(ダンディー大学のニュース記事、 Derbyshire Fire & Rescure Serviceの記事、 The Guardianの記事、 BBC Newsの記事)。

研究者のDave Coss氏はダービーシャーの消防・救急サービスに勤務して火災現場の調査などを行っており、2012年に5歳～13歳の子供6人が亡くなった火災で全員の遺体がベッドの上で発見されたことから研究を始めたそうだ。研究の第1段階は2歳～13歳の子供34人を対象に各家庭で実施された。その結果、全体の80%、男子は全員が警報音で目を覚まさなかったという。

大人と子供では反応する警報音の周波数や鳴動パターンが異なるとみられ、より低い周波数(520Hz)の警報音と火事だから起きるように(Wake up! The house is on fire.)告げる女性の声を組み合わせたものでは90%が目を覚ましたとのこと。研究の第2段階としては、2歳～16歳の子供がいる500以上の家庭をボランティアとして募集し、この警報音の効果を調べる計画だ。

CloudflareのHTMLパーサーのバグにより、同社のリバースプロキシを使用するWebサイトにアクセスすると、別のユーザーのCookieや認証トークン、パスワード、APIキーなどを含むデータが送信される状態になっていたそうだ(Cloudflareのブログ記事、 Project Zero — Issue 1139、 The Registerの記事、 The Vergeの記事)。

このバグはバッファー終端のチェックで「>=」ではなく「==」を使用していたため、ポインターがバッファー終端を超えていることを認識できないというものだ。そのため、破損したHTMLタグを含むページを処理するとバッファーオーバーランによるメモリーリークが発生し、別のユーザーのデータが一緒に送信されることになる。バグを発見したGoogleのTavis Ormandy氏は、Heartbleedのようなバグと説明しつつ、「Cloudbleed」と呼ばないように求めているが、既にロゴも作られてしまっている。

オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事、 Google Security Blogの記事、 Phoronixの記事、 Ars Technicaの記事、 論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても2⁶³回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。

Google Chromeで必要なフォントが見つからないなどと表示して、Windowsユーザーにマルウェアをインストールさせようとする攻撃が確認されている(NeoSmartのブログ記事、 The Next Webの記事、 Neowinの記事、 Softpediaの記事)。

攻撃の内容としては、JavaScriptを使用してページ内のテキストを文字化けしたように見せかけ、正しく表示するには「Chrome Font Pack」を更新する必要があるとのプロンプトを表示するというもの。プロンプトには現在使用しているChromeのバージョンが反映されておらず、クローズボタンがプロンプトの内部にあるといった問題はあるものの、不足しているというフォントは実在のフォントであり、プロンプト内のテキストや配色なども本物らしい仕上がりとなっている。

しかし、「Update」ボタンをクリックすると攻撃のクオリティは急激に低下するという。プロンプトはインストール手順を説明する内容に切り替わるが、実行するよう指示されるファイルと実際にダウンロードされるファイルの名前が異なる。しかも、Chromeのダウンロードバーには「一般的にダウンロードされておらず、危険を及ぼす可能性」があるとの警告が表示される。また、説明で使われている警告ダイアログボックスの画像は別の実行ファイルのもので、ファイル名や発行者名の部分にぼかしがかけられている。

ただし、Chromeは危険性に関する警告を表示するにとどまり、ChromeもWindows Defenderもマルウェアとは認識しないという。VirusTotalのスキャン結果では59本のセキュリティソフト中、このファイルをマルウェアと認識したのは9本にとどまる。この攻撃を発見したNeoSmart TechnologiesのMahmoud Al-Qudsi氏は、Chromeのセーフブラウジング機能でブロックできるよう、このファイルのコピーをChromeのセキュリティチームに送っているとのこと。なお、Al-Qudsi氏はクラックされたWordPressサイトをブラウズしているときにこの攻撃を発見したそうだ。

Microsoftは22日、Adobe Flash Playerのセキュリティ更新プログラムを定例外で公開した(セキュリティ情報の概要、 脆弱性情報、 MS17-005、 TechNetブログ — 日本のセキュリティチームの記事)。

この更新プログラムは提供が3月に延期された2月の月例更新の一部だ。修正される脆弱性はリモートでのコード実行が可能というもので、深刻度は「緊急」となっている。対象はWindows 8.1/10/RT 8.1およびWindows Server 2012/2012 R2/2016で、適用後のFlashバージョンは24.0.0.221となる。

AdobeはMicrosoftの月例更新に合わせて脆弱性情報を公表したが、該当バージョンのWindowsではInternet Explorer/Microsoft Edge向けのFlash Playerが更新できない事態になっていた。

更新プログラムはWindows Updateで適用できるほか、Windows RT 8.1を除きMicrosoft Updateカタログからの入手も可能だ。

あるAnonymous Coward 曰く、

米トランプ大統領は、未だにセキュリティ対策が行われていないAndroidスマートフォン（Galaxy S3）を使っているようだ。これはトランプ氏が大統領に就任した直後から問題となっており、政府はスマートフォンを別のものに変えるよう働きかけているようだが、トランプ氏は未だ無視しているという（TechCrunch、AndroidCentral）。

ヒラリー・クリントン候補との大統領選挙時、ヒラリー候補は「安全でない私的なメールサーバー/メールアドレスを使用していた」問題（いわゆるメール問題）で大きく追求されており、トランプ大統領が「安全でない私的なスマートフォン」を使用していることについてツッコんでいる人もいるようだ。

Galaxy S3は2012年に発売されたモデルで、すでにセキュリティサポートも終了しているという。

taraiok曰く、

ドイツで無線通信によるインターネット接続機能やマイク、スピーカーを備えたおもちゃの人形「「My Friend Cayla」が、「盗聴器」に当たるとしてトラブルになっているという（THE VERGE、BBC、PHYS ORG、Slashdot）。

この人形はユーザーの「質問」に対し、インターネット経由でサーバーに接続してその回答を喋らせる機能を備えている。しかし、2015年にソフトウェアに脆弱性が発見され、この人形を「ハック」して音声を盗聴したり、任意の言葉を喋らせたりすることが可能になる状態になっているという。

IoTデバイスを狙うマルウェア「Mirai」は過去にも話題になっているが、新たにWindowsにも感染するMiraiマルウェアを拡散させるためのマルウェアが観測されたとトレンドマイクロが明らかにしている（ITmedia）。

今回発見されたマルウェアは、Miraiの感染対象となるIoT機器を探索して攻撃を行い、Miraiのボットネットを拡大させることを目的とするそうだ。このマルウェアは攻撃対象デバイスへのログインを試み、それがLinux端末だった場合はMiraiを設置し、Windows端末だった場合にはそこに自身のコピーを設置してIoT端末の探索作業を行わせるという。

このマルウェアはターゲットの探索のため、22番（SSH）、23番（Telnet）、135番（DCE/RPC）、445番（Active Directroy）、1433番（Microsoft SQL Server）、3306番（MySQL）、3389番（RDP）ポートをチェックするとのこと。