あるAnonymous Coward 曰く、

YouTubeに未発売のiPhone Xを手にする動画が公開され話題となったが、この動画をアップしたBrooke Amelia Petersonさんの父親はiPhone X開発チームの無線通信エンジニアだったそうで、この動画が発端となって父親は解雇される結果になったという（Engadget Japanese、Slashdot）。

問題の動画ではiPhone Xに関して新しい情報は含まれていなかったが、このiPhone Xは従業員だけに配布されるバージョンのもので、非公開のコードネームやソフトウェア、さらにスタッフ固有のQRコードなどが記されていたため、そこから機密情報が漏れる可能性もあったのが解雇の理由とされている。また、Appleの敷地内で撮影が行われた点についても問題とされたようだ。

GMOインターネットが運営しているサービス「サイトM&A」で顧客情報流出が発覚した。10月30日付けで同社からの発表が公開されている。

サイトM&AはWebサイト売買を仲介するサービス。流出したのは同サービスの会員情報14612件で、10月26日から流出した会員への通知を行っていたが、対応が進行中とのことで公表を控えていたという。

日経ITproによると、流出したのは氏名・ユーザー名・法人名・住所・生年月日・電話番号・メールアドレス・登録案件・問い合わせ内容・クイック査定内容とのこと。Webサイトで顧客情報が閲覧可能な状態になっているとの通報があり発覚したという。発覚後も、漏洩した個人情報は閲覧可能な状態が続いているようだ。

先日、Kaspersky Labのセキュリティソフトによって米国家安全保障局（NSA）の機密情報が盗まれたという報道があったが（過去記事）、Kasperskyがこれを否定する内容の内部調査報告を発表した（ZDNet、CNET Japan、Reuters、Slashdot）。

問題となっているのは、NSA職員の個人用PCにインストールされていたKaspersky LabのセキュリティソフトがNSAが使用するハッキングツールをマルウェアと判断し、そのハッキングツールの情報をKasperskyに送信していたというもの。ここで送信された情報がKaspersky経由でロシア政府のハッカーに渡った疑いがもたれている。

Kaspersky Labの発表などによると、一連の問題はNSA職員が個人のPCにMicrosoft Officeのアクティベーションキーを不正に作成するツールをダウンロードしたことが発端だという。このツールにはマルウェアが含まれており、その後Kasperskyのセキュリティソフトがシステムをスキャンしてそれを検知。この際にNSAのハッキングツールもマルウェアとして検出され、解析のために自動的にKasperskyにその情報が送信されたとのこと。

ただし、KasperskyはNSAのハッキングツールの情報を取得したことは認めたものの、ロシア政府や「ロシアのスパイ」への流出は否定している。Kaspersky側は、アクティベーションキー作成ツールに含まれていたマルウェア経由でツールが流出したのではないかと見ている。

あるAnonymous Coward曰く、

Dellのアフターサポート用Webサイトが1か月ほど乗っ取られていた可能性があるという。これを報じたKrebs On Securityによれば、Dellは2017年6月にドメイン更新を忘れたため、第三者によって乗っ取られたとしている。Krebs On Securityは、このアドレスを入力するとマルウェアをホスティングしているサイトにリダイレクトされたとしている（Krebs On Security、Register、Slashdot）。

このアフターサポート用Webサイトは、Dell製PCのほぼすべてにインストールされているバックアップソフト「Dell Backup and Recovery Application」に利用されるほか、PCを工場出荷状態に戻すときにも使われている。Dellは該当ドメイン失効を認めたものの、一時的なもので問題の期間中にマルウェアがユーザーデバイスに転送されたとは考えていないとしている。

ドイツの独立系ITセキュリティ機関 AV-TESTが実施したAndroid向けアンチウイルスソフトウェアのテスト結果によると、Googleの「Google Playプロテクト」では流行中のマルウェアの3分の1以上を検出できなかったそうだ(The best antivirus software for Android、 The Next Webの記事、 Tom's Guideの記事)。

Google PlayプロテクトはGoogle Playに組み込まれたセキュリティサービスで、7月から提供が開始されている。今回のテストは9月分で、Google Playプロテクトは初の評価となる。テストではマルウェア検出率(テスト時点で流行しているマルウェア/4週間以内に発見された新しいマルウェア)による「Protection」と、パフォーマンスへの影響と誤検出数(Google Playで公開されているアプリ/Google Play以外で公開されているアプリ)による「Usability」の2項目について各6点満点で評価される。なお、テスト環境はAndroid 6.0.1で、各ソフトウェアはテスト時点の最新版を使用している。

Google Playプロテクトのテスト結果は、パフォーマンスへの影響なし、誤検出0件で、Usabilityのスコアは6点満点を獲得している。しかし、マルウェア検出率は流行中のマルウェアが65.8%、新しいマルウェアが79.2%で、Protectionのスコアは0点となった。今回テストされた21本のうち、認定証を獲得できなかったのはGoogle Playプロテクトのみだ。なお、そのほかのセキュリティ機能もチェックされているが、評価の対象にはなっていない。

ロシアKaspersky Labsが23日、「comprehensive transparency initiative」（包括的な透明性構想）」についてブログで発表した。ソースコードのレビューや内部プロセスなどを外部機関に行ってもらうことで透明性を計るというものだ。

Kaspersky Labsはウイルス対策ソフトなどセキュリティ関連製品を開発・販売しているが、ロシア政府とつながりがあるとの疑いが出ており、米国で政府機関での導入禁止や量販店Best Buyでの取り扱い中止といった事態になっている。Kasperskyは第三者機関にソースコードや同社内の開発・決定プロセスを開示することでこういった疑惑を払拭したいようだ。さらに、今後3年のうちに世界3カ所で透明性に関する拠点を設置すること、バグ発見者に対する報奨金の増加なども行うという。

あるAnonymous Coward 曰く、

NHKが、クレジットカード継続払いを申請したユーザーの申し込み書類3306枚を紛失したと発表した。氏名や住所、電話番号、メールアドレス、クレジットカード番号、有効期限が記載されており、これらが流出した可能性があるという（ITmedia、日経ITpro）。

紛失したのは2011年4月22日～28日にNHKのWebサイトで申し込みをした顧客のもの。これら書類を廃棄業者に依頼して廃棄する途中、1箱分が行方不明になったという。「静岡県沼津市内の路上に申し込み書が落ちている」との通報で発覚したそうだ。これが事実なら業者側の不手際でNHKはとばっちりを受けた形だが、しかしWebサイトで申し込んだものをなぜ印刷したのかという疑問が……。

taraiok曰く、

国土安全保障省と米連邦捜査局（FBI）が、ハッカーがエネルギー関連企業を標的にしているという警告を発表した。政府がこうした警告を出すのは珍しい（Reuters、Slashdot）。

これによると、ターゲットになっているのは原子力、エネルギー、航空、水道などの公共インフラ。すでにハッカーたちはすでに標的に侵入することに成功し、ネットワークの状況を視察済みだとしている。また政府の警告メールには、攻撃に使用されたマルウェアに関する6つの技術文書が添付されていたという。サイバーセキュリティー企業のCEOは、この報告書は、ロシア政府の利益のために働いているハッカーについて記述しているようだと述べている

Microsoftはセキュリティに関連する不具合修正パッチについて、最新OS向けのものをまず優先して提供する方針なのだそうだ。そのため、Windows 7や8.1向けのセキュリティパッチの提供は遅くなる可能性があるという（ITmedia）。また、これを利用して攻撃者が未発表の脆弱性を知ることができるという危険性もあるようだ

GoogleのProject Zeroブログに掲載されたUsing Binary Diffing to Discover Windows Kernel Memory Disclosure Bugsという記事によると、たとえばWindowsカーネル内でのmemset関数呼び出しに関する脆弱性は、Windows 10ではすでに修正パッチが提供されているにもかかわらず、Windows 7や8.1ではまだ修正パッチが提供されていないと見られるそうだ。そのほか、Windows 8.1では修正されているがWindows 7では修正されていないと思われる脆弱性もあるという。

このようにバージョンによって修正タイミングが異なると、たとえばWindows 10のバイナリとWindows 7のバイナリを比較したり差分を取ることで、Windows 10だけで修正されている未発表の脆弱性を特定するといったことが可能になってしまう。

米連邦航空局(FAA)が国際民間航空機関(ICAO)に対し、大型のパーソナル電子機器を国際線旅客機の預入手荷物に入れることを禁止するよう提案しているそうだ(Chicago Tribuneの記事、 Consumeristの記事)。

FAAでは満充電のノートPCを入れたスーツケースを用い、10種類のテストを実施。ヒーターでバッテリーが熱暴走するまで加熱してバッテリーの過熱状態を再現している。ドライシャンプーのスプレー缶(預入手荷物に入れることが認められている)をノートPCにくくり付けたテストでは、ほぼ瞬時に発火して燃え広がり、缶は40秒以内に爆発したそうだ。

このケースでは火の回りが速く、スプレー缶が爆発する前に消火システムが動作しなかったという。爆発は機体にダメージを与えるほどではないが、貨物室にダメージを与えるには十分であり、消火システムのハロンガスが抜けて消火できなくなる可能性もある。また、預入手荷物に入れることが認められているマニキュアリムーバーやハンドサニタイザーなどと組み合わせたテストでは、爆発はしなかったものの火が大きく燃え広がったとのこと。

FAAはテスト結果を踏まえ、航空会社が許可しない限り乗客が大型のパーソナル電子機器を預入手荷物に入れることは認められるべきではないと述べているそうだ。この提案には欧州航空安全局(EASA)やエアバスなどが賛同しているという。ただし、FAAによればスマートフォンよりも大きなパーソナル電子機器はほとんどが機内に持ち込まれているとのことで、預入を禁止しても大きな影響はなさそうだ。

米国ではこの春、中東から米国への直行便でスマートフォンよりも大きなパーソナル電子機器の機内持込を禁止し、預入手荷物に入れるよう求めていた。持込制限は7月に終了しているが、EASAはリチウム電池を含む機器を機内持込にすることが望ましいと述べていた。

Microsoftが9月に発見したGoogle Chromeの脆弱性を例に、Googleのパッチ提供方針を批判している(Windows Security blogの記事、 The Vergeの記事、 Neowinの記事、 The Registerの記事)。

CVE-2017-5121はChromeのV8 JavaScriptエンジンで境界外メモリーアクセスが可能になるというもの。MicrosoftはGoogleのProject Zeroチームがよく使用するFuzzingという手法で脆弱性を検出し、リモートからのコード実行が可能になることも確認したとのこと。

GoogleはMicrosoftから9月14日に脆弱性の通知を受け、9月21日に安定版をリリースしたChrome 61.0.3163.100で修正している。ただし、この脆弱性に関するバグトラッカーは一般公開されていないが、修正がGitHubでコミットされたのは9月18日。Microsoftはコードの修正部分は修正版の一般提供後に公開すべきだと主張する。

本件ではバグの修正内容から直接脆弱性を知ることはできなず、修正版が一般提供開始されるまでの期間も短い。しかしMicrosoftによれば、Chromeでは修正がコミットされてから1か月近くたって修正版の一般提供が開始されたものもあるという。

MicrosoftではMicrosoft EdgeのJavaScriptエンジン「Chakra」のコア部分を「ChakraCore」としてオープンソース化しているが、修正版の提供を開始するまではリポジトリの更新を行わないとのことだ。

Googleが最近Windows版のChromeに追加したという、セキュリティ機能の強化を紹介している(The Keywordの記事、 ESETのプレスリリース、 9to5Googleの記事、 BetaNewsの記事)。

強化されたセキュリティ機能はユーザー設定の無断変更の検出・復元機能と、望ましくないソフトウェアの検出・削除機能だ。Chromeの拡張機能の中にはユーザーに無断で設定を変更するものがある。このような無断変更が行われた場合、Chromeが検出して設定を復元するかどうかのダイアログボックスが表示されるようになったという。この機能により、過去1か月で望まない設定を元に戻したユーザーは数百万人に上るそうだ。なお、「chrome://settings/resetProfileSettings」にアクセスすることで、いつでもユーザー設定をリセットできる。

望ましくないソフトウェアを検出・削除するChrome Cleanupは、ユーザーインターフェイスがよりシンプルにわかりやすくなったという。さらにGoogleはESETと提携し、Chromeのサンドボックス技術とESETの検出エンジンの組み合わせにより、これまでよりも確実に望ましくないソフトウェアを検出・削除できるようになっている。なお、この検出エンジンは「望ましくないソフトウェアのポリシー」に従わないソフトウェアの検出に特化しており、汎用のウイルス検出プログラムとして動作するわけではないので注意が必要だ。新しい検出エンジンはChrome for Windowsのユーザーにロールアウトを開始しているとのことだ。

headless曰く、

先日話題になったWPA2の脆弱性「KRACK」だが、Microsoftはサポート対象のすべてのWindowsについて、既に10月の月例更新で修正済みだったそうだ。LinuxやAppleのOSなどでも対応が進められている（The Verge、Softpedia、Mac Rumors、Neowin、BetaNews）。

KRACK（Key Reinstallation AttaCK）攻撃は偽のアクセスポイントを使用してクライアントにWPA/WPA 2の暗号鍵を再インストールさせることで、通信内容の復号が可能になるというもの。アクセスポイントではなくクライアントを対象にした攻撃であり、クライアント側のパッチで回避可能になる。

Windowsが影響を受けるのはCVE-2017-13080で、Windows 7～Windows 10、Windows Server 2008～2016のうち、10月10日時点でサポートされているバージョンにパッチが提供されている。なお、Windows 10は最初にリリースされたバージョン（RTM）からバージョン1703（Creators Update）まで、すべてのバージョンにパッチが提供されたようだ（セキュリティ更新プログラムガイド）。

Windows以外のOSではOpenBSDやDebian、Ubuntu、Fedora、Red Hat、Linux Mint、elementary OS、Arch Linux、Solusなどがパッチの提供を発表しており、LinageOSもパッチをマージしている。Appleはベータ版のiOS/tvOS/watchOS/macOSで修正済みだといい、Googleは数週間のうちにAndroidのパッチをリリースすると述べているそうだ。

デバイス関連ではIntelやCisco、NETGEAR、Aruba、Ubiquitiが修正版ファームウェア提供などの対策を発表している。

ioi 曰く、

世界中の無線LAN機器で広く使われている暗号化規格「WPA2」に脆弱性があることが分かったという。セキュリティカンファレンスBlack hat EUROPE 2017にて「攻撃によりWPA2を突破した」との声明も出ている。

詳細については後ほど上がるとのこと。各自防衛されることをお勧めしたい。

Ars Technicaによると、「KRACK」と名付けられた実証コードが作成されており、コネクションの乗っ取りや改ざんが行えることが確認されているという。また、詳細はCVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、CVE-2017-13081、CVE-2017-13082、CVE-2017-13084、CVE-2017-13086、CVE-2017-13087、CVE-2017-13088として公表される模様（現時点ではまだ具体的な情報は公開されていない）。

Kaspersky Labの製品が原因で米国家安全保障局(NSA)の機密情報がロシアに盗まれたと先日報じられた件について、発見したのはKasperskyのネットワークに侵入したイスラエルの諜報機関だったとThe New York Timesが報じている(The New York Timesの記事、 The Registerの記事、 Ars Technicaの記事、 The Guardianの記事)。

記事によれば、イスラエルの諜報機関は2014年からKasperskyのネットワークに侵入し、2015年半ばにKasperskyが発見するまで監視活動を行っていたのだという。そこでロシア政府のハッカーが米諜報プログラムのコードネームをキーワードにし、Kasperskyが収集したマルウェアまたは疑わしいファイルのサンプルから米国の機密情報を検索・回収していたのを確認した、ということのようだ。

ただし、ロシア政府のハッカーによる活動に対し、Kasperskyが関与していたことを示す具体的な証拠はない。記事ではロシアの企業がロシア政府に協力を命じられた場合は拒否するのが困難であることも指摘するが、ロシア政府のハッカーがひそかにネットワークへ侵入していた可能性や、ロシアの諜報部員が企業内に入り込んでいた可能性も指摘している。