欧州航空安全局(EASA)は5日、リチウム電池を搭載するポータブル電子機器(PED)を旅客機で安全に運搬するための勧告を発表した(ニュースリリース、 Neowinの記事、 The Registerの記事)。

米国と英国が中東からの直行便でスマートフォンよりも大きなPEDの機内持ち込みを禁止したことから、中東の航空会社ではビジネスクラス以上の乗客に対し機内で使用するノートPCなどを貸し出す動きが広がっている。一方、乗客が所有するPEDは預入手荷物に入れることになるため、リチウム電池(リチウムイオン充電池)を含む多数のPEDが貨物室に保管される可能性も出てくる。リチウムイオン充電池は衝撃などにより発火する可能性もあるが、預入手荷物は丁寧に取り扱われるとは限らない。客室内であれば発火時の対応もしやすいため、英パイロット協会では2015年にリチウム電池を機内持ち込みにすることを推奨している。

EASAではリチウム電池を含むPEDは機内持ち込みにすることが望ましいとしつつ、機内持ち込みが禁じられている場合には、以下のような対策を行うよう勧告している。航空会社がPEDを預入手荷物に入れる乗客に伝えるべき注意事項としては、PEDの電源を完全に切る、運搬中に誤って電源が入らないよう保護する、破損しないよう適切に梱包するといった点を挙げる。また、搭乗ゲートでPEDを回収する場合にも預入手荷物と同様の注意事項を適用することや、貨物室で一か所に集めず分散して格納すること、その他の危険物から離して格納することなども求めている。

なお、スペアバッテリーやモバイルバッテリー、電子タバコなどについては国際民間航空機関(ICAO)規則により預入手荷物に入れることが禁じられている。そのため、これらの物品の機内持ち込みが禁じられている場合には、一切持ち運べないことを事前に乗客へ伝えるべきとのことだ。

すでにサポートが終了しているWindows XPおよびWindows Server 2003に搭載されているIIS 6.0に、新たな脆弱性が発見された。IIS 6.0のサポートも両OSとともに終了しているが、未だにこれらを利用しているサイトがあり、それを狙った攻撃も行われているという（ZDNet Japan、実証コード、TREND MICROの脆弱性情報、CVE-2017-7269）。

今回発覚した問題は、IIS 6.0のWebDAV関連機能にバッファオーバーフローを引き起こす脆弱性があるというもの。攻撃者は「If: http://」という文字列で始まる長いヘッダとともにPROPFINDリクエストを送信することで、任意のコードを実行できるという。この脆弱性を狙った攻撃は2016年7月～8月ごろから存在していたとされている。すでにIIS 6.0のサポートは終了しているため、この脆弱性が修正される見込みはない。もっとも有効な対策はサポートの切れたOSやIIS 6.0の使用を止めることだろう。

先日Samsung Electronicsが発表したスマートフォン新モデル「Galaxy S8」の顔認証機能では、本人でなくとも顔写真を使ってスマートフォンのロック解除ができてしまうという話が出ている（ITmedia）。

Samsung側はこれについて、顔認証によりロック解除は「便利機能」でありセキュリティ機能ではないとし、安全性は劣るとしているとのこと。また、顔認証の登録時には安全性が低い旨が表示されるそうだ。

あるAnonymous Coward 曰く、

実際には存在しない「Nintendo Switch」のエミュレーターを提供すると騙ってアンケート入力を求めたり、マルウェアをダウンロードさせる詐欺が出回っているとしてシマンテックが注意喚起を行っている。

アンケートへの回答やマルウェアのダウンロードを行うと、その提供者に対し報酬が支払われるような仕組みになっていると推測されており、これを利用した小金稼ぎ目的でサイトが開設されていると思われる。また、現時点でNintendo Switchのエミュレータの存在は確認されておらず、またもし存在するとしてもその利用は違法である可能性が高い。

headless曰く、

米国のインターネット企業に対する多額の送金詐欺事件について、台湾のQuanta Computerが名前を騙られた取引先であると名乗りを上げたそうだ（Reuters）。

この事件は2013年から2015年にかけてリトアニア人の男が取引先を装い、米インターネット企業2社に対して製品代金などの名目で合計1億ドル以上を送金させていたもの。この男の弁護士はReutersに対し、男が2013年から2016年までラトビアでQuantaという名前の会社を所有していたことを認めている。ただし、会社は建設工学の学位を持つ男が事業を興すために買収したものであり、逮捕されるまでは建設業界で働いていたとし、起訴事実を強く否定しているそうだ。

Quanta Computerはサーバーなどのハードウェアを有名テクノロジー企業に供給しており、Facebookなどを中心としたサーバーやデータセンターのハードウェア技術をオープン化するOpen Compute Projectにも参加（子会社のQCT）している。また、2011年にはAmazon.comからKindle Fireの組み立てを発注しているという。同社は事件による金銭的被害は受けていないという。

被害にあった2社の名前は公表されておらず、AmazonとFacebookからこの件に関するコメントは出ていないとのことだ。

headless曰く、

SamsungがGalaxy S8の発表を控えた28日、シンガポールの店舗でボヤ騒ぎが発生したそうだ（The Straits Times、TODAY、Channel News Asia、Softpedia）。

出火したのは28日午前1時25分頃。シンガポール・アンモーキオのショッピングモールAMK Hub地下1階に出店しているSamsung Experience Storeで、広さ1m×2mの物置に置かれていた物品から出火したとみられる。火はスプリンクラーで消し止められ、延焼することはなかったが、周辺は水浸しになったという。

ショッピングモールは午前中に開店したが、Samsungおよび周辺の店舗は煙の臭いが残っていることや漏電の懸念があることから一時休業となった。隣のフィットネスセンターFitness Firstは夕方までに一部再開したとFacebookに投稿している。出火の原因については現在調査中とのことだ。

ドイツの家電メーカーMiele（ミーレ）の業務用全自動食器洗い機のWebサーバー機能に、ディレクトリトラバーサルの脆弱性が発見された（Register、Seclist.org）。

問題が発見された製品はMiele Professional PG 8528という製品。大型の業務用製品で、ネットワーク接続機能や遠隔操作機能も搭載している。

脆弱性は昨年11月に発見され、Miele側に問い合わせが行われたものの、対応を行うかどうかの反応がなかったため3月23日付けで脆弱性が公開されたようだ。これによってハッシュ化されたパスワードが記録されたファイル（/etc/shadow）を外部から取得できるといった問題があるとのこと。

さすがに食器洗い機には機密情報は記録していないだろうし、外部から不特定多数がアクセスできるような環境にある食器洗い機も少ないとは思われるが、第三者によって食器洗い機が乗っ取られる可能性もないとは言えない。IoT技術の普及によって、IT関連に疎いメーカーがネットワークに接続できる機器を発売するケースは今後増えると思われるが、利用者のほうでも注意が必要だろう。

（追記＠4/10 17:00）問題の機器「Miele Professional PG 8528」は食器洗い機ではなく、「washer-disinfector」（洗浄消毒器）とのこと。3月29日付けでMiele社がこれについてのプレスリリースを出しており、「脆弱性があったことは事実だが、この機器は食器洗い機ではなく消毒器である」「問題の脆弱性によってハッカーがパスワードを取得し機器のソフトウェアにアクセスできる可能性はあるが、これによって問題の機器が『踏み台』として使われる可能性は低い」「ソフトウェアのアップデートにも取り組んでいる」としている。

あるAnonymous Coward 曰く、

米国大手ISPのコムキャストが、クラウドベースのビデオ監視システム「SmartOffice」を発表した。このシステムは中小企業向けで、オーナーが在庫の盗難や職場の生産性低下といった「組織の問題」を監督するためのものだという。同社は昨年、デトロイト警察と提携して一部ガソリンスタンドにビデオカメラを設置。警察本部からリアルタイムで監視できるという同様のシステムを提供している（Phily.com、Comcast、Philadelphia Business Journal、Slashdot）。

このサービスは、監視カメラの画像をクラウドサービス上に保存するもの。動画は720pのHD画質で録画でき、暗視補正機能付き動体検知機能も備わっている。録画データは標準で7日間、最大30日間保存できる。管理者はPCだけでなくスマートフォンやタブレットからもアクセスできるようになっているそうだ。

Google Chrome 57で、アドレスバーにSymantecのManaged PKI for SSLで発行されたEV SSL証明書の組織名が表示されないバグがあるとのこと（Symantecの発表）。

先日、Symantecや傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していたためにGoogle ChromeでSymantecが発行したSSL証明書の有効期限短縮やEVステータス無効化が提案されるという話があったが、今回のバグはこの件とは無関係のようだ。

あるAnonymous Coward曰く、

英国立サイバーセキュリティセンター（NCSC）によると、セキュリティ企業の多くは製品をより多く売るため、必要以上にサイバー攻撃者の脅威を誇張しているそうだ（ITmedia）。

最近ではベンチャーキャピタルがセキュリティ関連の新興企業に介入し、売り上げを増やすよう圧力をかけるケースが多く、そのためにリスクを誇張して表現している可能性があるという。その結果、多くの一般企業はサイバーセキュリティ製品を購入してしまうが、実は全く不要だったり、実際のリスク、事業形態、運用しているインフラに釣り合わないほどの重装備だったりするケースが少なくないとしている。

NCSCの技術責任者であるイアン・リーバイ氏は、「サイバーセキュリティを主な事業とする企業の話だけをうのみにするのは危険だ」と話し、サイバー攻撃者を腕の立つ達人の集団だと顧客に吹き込むセキュリティ企業を批判している。

メガネの販売などを手がけるJINSのオンラインショップが不正アクセスを受けたことを発表している（JINSの発表）。不正アクセスが発覚したのは3月22日で、23日には修正を行ったとのこと。これによって顧客の氏名や住所、電話番号、生年月日、性別と言った個人情報が漏洩した可能性があるという。クレジットカード情報についてはサーバー上には保管していなかったために漏洩は確認されていないとのこと。

サイトが改ざんされ、データベース内のデータを列挙するようなページが設置されていたとの報告もある。

同社は2013年にもStruts 2の脆弱性を狙った攻撃によって顧客情報を漏洩させていた。

Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿、 The Registerの記事、 Softpediaの記事、 Ars Technicaの記事)。

チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。

提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。

提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。

OpenSSLがライセンス変更に向け、特設サイトで貢献者の合意を求めている(Core Infrastructure Initiativeによるアナウンス、 OpenSSL Blogの記事、 The Registerの記事、 Phoronixの記事)。

現在、OpenSSLにはOpenSSL LicenseとオリジナルのSSLeay Licenseの両方が適用されている。これを標準的なApache Software License v.2.0(ASLv2)に変更することで、幅広いFOSSプロジェクトや製品で利用できるようにすることがライセンス変更の目的とされる。OpenSSLプロジェクトではコミットした人全員に電子メールで通知しているが、半数が送信エラーで返ってきているという。メールアドレス変更によりメールが届いていない貢献者は、特設サイトで情報を入力すれば意見を表明できる。なお、23日午後の時点で変更に合意した人は265人、反対者も7人いるそうだ。

OpenSSLの貢献者でもあり、OpenSSLプロジェクトをフォークしてLibreSSLプロジェクトを立ち上げたOpenBSDのTheo de Raadt氏のように、変更プロセスに不満を感じる人もいる。de Raadt氏は開発者コミュニティーに相談せず、いきなりメールで合意を求めてきたことや、回答がなければ合意したとみなすとされている点などを批判している。The Registerの記事によれば、大企業(OracleやIntelが変更を支持している)やLinux Foundationなどに都合のいいライセンスだけが選択肢となっている点にも懸念を示しているという。また、現在のライセンスと比べ、ASLv2の制約の方が大きいとも考えているようだ。

チェックイン時間を短縮するためにセルフチェックインを導入する航空会社も増えているが、ブリティッシュ・エアウェイズでは搭乗時間短縮のため、ゲートに顔認識デバイスを導入したそうだ(Consumeristの記事、 Bloomberg Technologyの記事)。

Bloombergの記事によれば、ロンドン・ヒースロー空港では3つの出発ゲートに顔認識デバイスが配備されており、さらに33のゲートにも数か月中に配備する予定だという。乗客はターミナル5の保安検査場に設置されたバイオメトリックデバイスを利用して顔のスキャンと搭乗券を登録する。ゲートではスタッフによる搭乗券や身分証明書などの確認が不要となり、乗客はそのままゲートを通過して搭乗できる。これにより、搭乗の高速化やミスの減少が可能になる。当面は国内線のみで使われるが、いずれは国際線にも拡大する計画とのことだ。

ゼロデイ攻撃対策を提供するCybellumは22日、Windows XP以降で利用可能なコード検証ツール「Application Verifier」の仕組みを悪用してウイルス対策ソフトウェアをマルウェアに変える攻撃「DoubleAgent」の詳細を公表した(Cybellumのブログ記事[1]、 [2]、 BetaNewsの記事、 The Registerの記事)。

Application Verifierでは、レジストリを設定することで正規のコード検証ツール以外のDLLをプロセス起動時にインジェクト可能な非公開機能が存在することが、遅くとも2011年から知られている。DoubleAgentはこの非公開機能を悪用するもので、ウイルス対策ソフトウェアに検出されずにコードをインジェクトし、常駐させることが可能となる。

Windows 8.1以降ではウイルス対策ソフトウェアのプロセスを保護する「Protected Processes」などと呼ばれる機能が提供されており、Windows Defenderはこの機能を使用しているが、サードパーティのウイルス対策ソフトウェアではほとんど使われていないという。

攻撃を成功させるにはローカルでのアクセスと管理者権限が必要となるため、影響範囲は狭いとみられるが、Cybellumでは以下のベンダーの製品でPoCを実行し、脆弱性が存在することを確認したとのこと。

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

Cybellumは昨年11月に各ベンダーへ脆弱性を通知しており、最新版では既に修正されている製品もあるようだ。ESETとTrend Microは最新版で修正済みとしてセキュリティアドバイザリーを公開しており、AvastとKasperskyは最新版で修正済みであることをユーザーフォーラムで報告している。BleepingComputerの記事によれば、AVGとMalwarebytesも最新版で修正済みとのこと。また、Aviraはパッチを準備中とツイートしており、Bitdefenderは影響が少ないとしつつも、今後修正を行うとユーザーフォーラムに投稿している。一方、ComodoやNorton(Symantec)は攻撃をブロックできると反論するコメントをユーザーフォーラムに投稿している。