あるAnonymous Coward 曰く、

人気のパスワード管理ツール「1Password」に、「トラベルモード」が実装された(AgileBits Blogの記事)。

1Passwordではパスワードを区分別に格納する「Vault」と呼ばれる機能が備わっており、Travel Mode用のオプションとして「Safe for Travel」が追加された。Travel Modeを有効にすると、Safe for TravelとマークされていないVaultがすべての端末から削除される。これにより、移動中に空港などで端末が検査を受けた際、機密情報などへにアクセスされることを避けられるというものだ。目的地に到着後、Travel Modeを無効にすれば、すべての端末にすべてのVaultが復元される。1Password Teamsでは、管理者がTravel Modeをオン/オフしたり、Vaultに対するSafe for Travel設定を行ったりすることも可能だ(Travel Mode使用方法)。

Samsungの新フラッグシップスマートフォン、Galaxy S8には虹彩認証機能が搭載されているのだが、Chaos Computer Club(CCC)のstarbug氏が写真を使って突破することに成功したそうだ(CCCのニュース記事、 デモ動画ページ)。

虹彩認証を突破する手法としては、虹彩の写った目の写真をレーザープリンターで実寸印刷し、眼球のカーブを真似るために普通のコンタクトレンズを載せるというものだ。コンタクトレンズにより、虹彩認証システムに本物の目と認識させることができたとのこと。レーザープリンターはSamsungの製品で最もよい結果が得られたそうだ。

必要な写真はデジタルカメラの夜間撮影モードを有効にするか、赤外線フィルターを除去すれば簡単に撮影できるという。デモでは200mmのレンズを搭載したデジタルカメラを用い、5mほどの距離から撮影した写真を使用している。

高解像度の顔写真がインターネットで公開されていれば使用できることもあるが、瞳の色が濃い場合は虹彩の詳細な画像が得られないこともある。デジタルカメラで赤外線領域をキャプチャーできるようにすることで、こういった瞳でも虹彩認証突破に使用可能な写真が撮影できるとのこと。

starbug氏はiPhone 5sの発売直後にTouch IDの指紋認証を突破している。指紋の写真と比べて虹彩の写真は入手しやすいため、認証が突破されるリスクは高い。今回の手法は指紋認証突破よりも簡単だ。スマートフォンに保存されているデータや支払い機能を保護したいなら、指紋認証や虹彩認証といった生体認証ではなく、PINコードを使用するようCCCのDirk Engling氏は推奨している。

これについてSamsungでは、デモ動画では簡単に見えるが、現実的なシナリオではないと述べているとのことだ(The Korea Heraldの記事)

headless曰く、

VLC media playerなど、動画再生ソフトウェアのオンライン字幕読み込み機能の脆弱性を悪用した攻撃の可能性をセキュリティ企業Check Pointが指摘し、注意を促している（Check Pointブログ、TorrentFreak、Register）。

攻撃の詳細は明らかにされていないが、攻撃用に細工した字幕ファイルを読み込ませることで、任意コード実行が可能になるのだという。字幕ファイルには25種類以上の形式があり、それぞれ独自の機能を提供する。さまざまな字幕ファイル読み込みに対応するため、脆弱性が混入しやすいようだ。

オンライン字幕読み込み機能を搭載したメディアプレイヤーにはオンライン字幕リポジトリがプリセットされており、基本的には信頼できるソースとして扱う。また、字幕ファイルはテキストファイルであり、セキュリティソフトウェアも安全なファイルと判定してしまうとのこと。

攻撃者は細工した字幕ファイルを字幕リポジトリにアップロードし、ランキングを操作してユーザーに選択されやすいようにする。自動で字幕を検索して読み込むメディアプレイヤーの場合、ユーザーが何も操作をしなくても攻撃が成立することもある。PCだけでなく、スマートTVやモバイルデバイスでも脆弱性の影響を受けるそうだ。

Check Pointが脆弱性を確認したのはVLCのほか、Kodi（XBMC）、Popcorn Time、Streamioの4本だが、その他のメディアプレイヤーにも脆弱性が存在する可能性もある。Check Pointは脆弱性の存在を各開発元に連絡しており、VLCとStreamioは最新版で修正済みだという。Kodiも21日に修正版の公開を発表している。Popcorn Timeの公式サイトではまだ修正版が公開されていないようだ。

あるAnonymous Coward曰く、

世界中で「サイバー銀行強盗」活動を行っていたハッカーグループに対し、ロシア当局が摘発を行ったという（CNET Japan、Reuters、Slashdot）。

このハッカーグループは使用するマルウェアにちなんで「Cron」と呼ばれている。Cronのメンバーの大半は2016年11月22日に逮捕されたほか、それ以外のメンバーも4月までに逮捕されたそうだ。

CronはAndroid向けのトロイの木馬型マルウェアで、感染すると銀行にテキストメッセージを送信して送金を依頼するという。これにより、5000万ロシアルーブル（約89万2000ドル）以上を盗んでいたという。2016年初めの時点では対象はロシアの銀行だけだったが、ロシア外の銀行を狙う計画もあったという。

WannaCryptの問題を受け、英政府通信本部元本部長のデビッド・オマンド氏がサポート期間終了後のシステムであってもMicrosoftのようなベンダーはセキュリティに責任を持つべきだと主張する一方、米国では上院議員2名が政府機関の発見した脆弱性の開示などに関する法案を提出している(The Registerの記事[1]、 [2]、 米上院国土安全保障・政府問題委員会のメディアリリース、 法案: PDF)。

オマンド氏はWindows XPが数多く使われていた2014年の段階でMicrosoftがサポートを終了したのは早すぎたと考えているようだ。また、MicrosoftではWindows XPなどサポート期間が終了したOSについて、WannaCryptが悪用した脆弱性を修正する更新プログラムをカスタムサポート契約者以外にも提供しているが、1か月前に提供していればよかったとも述べているとのこと。

米上院国土安全保障・政府問題委員会委員長のロン・ジョンソン上院議員(共和党)とブライアン・シャッツ上院議員(民主党)が提案したのは、「Protecting Our Ability to Counter Hacking(PATCH) Act of 2017」というもの。法案では脆弱性の開示等について判断する委員会の設置が主題となっている。委員会は国土安全保障省(DHS)長官または長官が指名した人物が委員長を務め、捜査機関や諜報機関などの責任者が常任メンバーとなり、脆弱性を開示するかどうかに関するポリシーを確立することが義務付けられる。

開示のタイミングや開示先などについては、捜査・諜報活動で脆弱性を使用する必要性や、米政府機関以外に脆弱性が発見される可能性、悪用された場合の危険性などを考慮して判断することになるとのこと。今回、WannaCryptが使用したとされるエクスプロイトを流出させた米国家安全保障局(NSA)では、発見した脆弱性の中には公表せず情報収集に使用するものもあることを2014年に明らかにしている。

Windowsのシェルコマンドファイル(.scf、SCFファイル)とGoogle Chromeの組み合わせにより、SMB認証情報を取得する攻撃手法をセキュリティ企業のDefenseCodeが公開している(DefenseCodeの記事、 Threatpostの記事、 The Registerの記事、 Softpediaの記事)。

SCFファイルはWindows 98で導入され、主にクイック起動ツールバーの「デスクトップの表示」で使われていた。SCFファイルの内容はINIファイルと同様のテキストファイルで、セクションごとに値の名前と値のデータの組み合わせが記述されている。ファイルのアイコンは「Shell」セクションの「IconFile」で指定するのだが、アイコンをUNCパスで指定した場合、アイコンの保存されたフォルダーをエクスプローラーで開く際に、指定されたリモートサーバーへSMB認証情報が送られる。そのため、攻撃者が自分の支配下にあるサーバーのIPアドレスを指定すれば、ターゲットのユーザー名とNTLMv2パスワードハッシュを取得することが可能となる。パスワードハッシュはオフラインでクラックするほか、SMBリレー攻撃に使用することも可能だ。

一方、Google Chrome側の問題は、デフォルトでファイルのダウンロード先を確認せずにダウンロードが実行される点だ。そのため、攻撃用に細工したSCFファイルのリンクをChrome上でクリックさせれば、ファイルがユーザーの「ダウンロード」フォルダーに保存される。このフォルダーをユーザーが開いた時点で、攻撃者はSMB認証情報を取得できることになる。Windowsのショートカットファイル(.lnk、LNKファイル)もSCFファイルと同様の動作をするが、ChromeではStuxnetの感染が問題になった際にLNKファイルをサニタイズする仕組みが導入されているとのこと。

MicrosoftがAzureユーザーに対し、WannaCrypt対策ガイダンスを公開している(Microsoft Azureブログの記事、 The Registerの記事、 On MSFTの記事)。

Microsoftが推奨する対策は以下の8点。WannaCryptの影響を受けていない場合でも、同様の攻撃から保護するために対策の実施が推奨されている。

1. MS17-010をインストールする
2. すべてのAzureサブスクリプションでSMB関連のポートがインターネットに開いていないか確認し、必要のないポートを閉じる
3. SMBv1を無効化する
4. Windows UpdateでWindowsを最新の状態に保つ
5. Azure Security Centerを使用して脅威を継続的に監視する
6. Network Security Groups(NSG)を使用してネットワークアクセスを制限する
7. マルウェア対策ソフトウェアが最新の状態に保たれていることを確認する
8. Azure Backupを使用している場合、多要素認証を有効にする

Azure向けのマルウェア対策とWindows Defenderでは、先週リリースされたアップデートでWannaCryptを「Ransom:Win32/WannaCrypt」として検出できるようになっているとのこと。他社のセキュリティソフトウェアを使用している場合、WannaCryptへの対策がされているかどうか確認する必要がある。

headless曰く、

オーストラリアが旅客機客室内への電子機器持ち込み制限を検討しているそうだ（The Sydney Morning Herald、news.com.au、ABC News、Register）。

オーストラリアのマルコム・ターンブル首相が16日に明らかにしたもので、政府は国際的に得たすべての情報とアドバイスを勘案しており、同盟国と緊密に連携して検討を進めているという。ただし、具体的な内容については運輸大臣から発表されると述べるにとどまった。一方、インフラ・運輸大臣のダレン・チェスター氏は同日、政府が脅威を取り巻く環境の変化を国内外ともに監視しており、問題に見合ったセキュリティ対策を行うと述べている。

米国と英国では3月、中東・北アフリカ数か国からの直行便について電子機器の客室内持ち込み制限を開始した。オーストラリアも同様の地域からの直行便に対する制限を検討しているとみられるが、米国が欧州からの直行便にも制限の拡大を検討していると報じられるなど、中東・北アフリカ以外の出発地が対象になる可能性もある。

米国と英国の電子機器持ち込み制限は、テロ組織によるバッテリーに爆発物を隠す技術の確立が理由とされているが、貨物室での電子機器保管は大事故につながる可能性も指摘される。欧州航空安全局ではリチウム電池を搭載する電子機器の客室内持ち込みを推奨しており、客室内に持ち込めない場合の安全対策を勧告している。搭乗手続きや保安検査などの見直しも必要となり、乗客や航空会社への影響が大きいとの意見も出ている。また、バッテリーに隠した爆発物を発見できないとすれば、保安検査そのものの有効性が問われるとも指摘されている。

あるAnonymous Coward曰く、

英国のイスラム教徒活動家ムハンマド・ラバニ（Muhammad Rabbani）氏は11月、ヒースロー空港で所有するノートPCと携帯電話のパスワードの引き渡しを拒否した結果、逮捕された。逮捕の根拠は疑惑の理由なしに入国港の個人を捜索できる広範な権限を持つ反テロ対策法「Schedule 7」によるものだという。同氏の所属する人権グループ「Cage」は、この件で英国の反テロ対策法に対して法的な対応を行うと表明した。ラバニ氏は一晩拘束された後に保釈された（guardian、Al Jazeera、Slashdot）。

同氏によれば「Schedule 7」の本当の目的はテロリストの英国入国を防ぐことではなく、英国市民の巨大データバンクを構築するための道具だいう。Cageは、先の法律が成立後、イスラム教徒の英国人50万人以上がこのような形で拘束されていると主張している。結果として逮捕されたのはそのうちの0.2％だったという。英国に本拠を置くOpen Rights Groupのエグゼクティブディレクター、ジム・キロック（Jim Killock）氏は、警察による調査は疑惑があるときに行われるべきだとしている。

政府がサイバー攻撃を受けた際に、国が同様の手段で対抗措置を行えるようにするための立法や法改正を検討しているという（TBS、日経新聞）。

現在ではサイバー攻撃は不正アクセス禁止法などで規制されているが、電力や鉄道といった重要インフラが攻撃を受けた際に対抗できるようにする。2020年までの法整備を目指すようだ。

headless曰く、

Microsoft Edgeの同一生成元ポリシー（SOP）を迂回し、別のドメインからCookieやログイン情報などを取得できるバグが発見された（Broken Browser、Register、On MSFTの記事[1]、[2]、Neowin）。

Microsoft EdgeやInternet Explorerには、サーバーリダイレクトの途中でwindow.locationの内容を書き換えると、リダイレクト先をリクエスト元と認識するバグがあるのだという。これをリダイレクト先ページ内のiframeに適用し、locationにデータURIスキームでJavaScriptコードを指定すれば、ほぼ親ドキュメント（リダイレクト先ページ）のコンテキストでコードが実行できるとのこと。ただし、リダイレクト先の読み込みが開始される前にlocationを書き換えてしまうと予期した通りの動作をしない。そのため、PoCではアラートを表示してコードの実行を待機させている。

PoCとしては、TwitterやFacebookのログインページにリダイレクトしてブラウザーが保存したログイン情報を表示するものや、Google reCAPTCHAのページにリダイレクトしてCookieを表示するもの、リファラーをmicrosoft.comに偽装するものが公開されている。コードを一部変更することで、Internet Explorerでも動作するようだ。

なお、テストした環境（Windows 10 Creators Update）ではFacebookのログイン情報が取得できず、Twitterは空のユーザー名とパスワードが表示されることもあった。また、Broken Browserの記事に掲載されているスクリーンショットとは異なり、リファラー偽装のPoC以外ではアドレスバーにURLが表示されず、ページタイトルも「空白のページ」となっていた。

今回のバグはMicrosoftも認識しているが、修正時期については明言していないようだ。バグを発見したセキュリティ研究者のManuel Caballero氏は、4月にもMicrosoft EdgeでSOPを迂回可能なバグを2件発見しているが、これらは未修正のままだという。ちなみに、昨年12月にCaballero氏が発見したMicrosoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題については、3月の月例更新での修正は迂回方法が同日発見され、さらに5月の月例更新での修正も迂回方法が同日発見されている。

headless曰く、

Microsoftのプレジデント兼最高法務責任者のブラッド・スミス氏が、脆弱性情報をベンダーに報告せずサイバー兵器として備蓄する政府を批判し、サイバー攻撃から市民を守るための集団的な対応を呼びかけている（Microsoft On the Issues）。

現在、世界規模で被害が拡大しているランサムウェアWannaCryptは、Shadow Brokerが公開したNSAのエクスプロイトを使用するものだ。また、WikiLeaksも米中央情報局（CIA）の使用するハッキングツールなどをVault 7プロジェクトで次々に公開している。

スミス氏は今回の件を米軍からトマホークミサイルが盗まれたようなものだとし、各国政府は現実世界で兵器に適用されるのと同じルールをサイバー空間にも適用する必要があると主張。各国政府に対し、脆弱性を備蓄してエクスプロイトを使用することによる市民への被害を考慮するよう求めている。各国政府が脆弱性を悪用せずにベンダーへ報告することは、スミス氏が提唱するデジタルジュネーブ条約の項目の一つだ。

今回の件は各国政府だけでなく、すべての人に対する警鐘であり、テクノロジー分野と顧客、各国政府が協力して集団的にサイバー攻撃へ対応する必要があるとスミス氏は主張する。Microsoftではこの警鐘への対応に協力する責任を認識し、役割を果たすとのことだ。

あるAnonymous Coward 曰く、

流行中のランサムウェア「WannaCrypt」（WannaCry）は非常に感染力が強いとされているが、フランスのセキュリティ研究者Benkow氏が実験を行ったところ、WannaCryはハニーポットサーバーに対して90分間に6回の攻撃を行い、さらにリセットしてもわずか3分後に新しい犠牲者に広がるように設定されていたという。さらに3分後には脆弱性を持つ家庭用ルータにも感染したとし、実際に強い感染力があることが確認されたようだ（BleepingComputer、benkow_、国内での感染実験、Slashdot）。

とはいえBenkow氏によれば、WannaCryを作成・拡散したグループは技術力的には今ひとつであるという。これによって実際に支払われた「身代金」もそこまで多くないようだ（ギズモード・ジャパン）。また、WannaCryから北朝鮮ハッカーの関与を示すコードが見つかったという話も出ている（Engadget Japanese）。

支払われた身代金が多くないのは、まだ利用のハードルが高いビットコインでの支払いを要求していることが影響しているとも言われている。

あるAnonymous Coward曰く、

ネットワーク接続カメラをターゲットとする新型マルウェア「PERSIRAI」（ペルシライ）が登場した。このマルウェアが悪用する脆弱性を持つ機器は全世界で12万台以上が稼動しているという（ZDNet Japan、トレンドマイクロセキュリティブログ CSO、Slashdot）。

PERSIRAIは今年1月に話題になった「Mirai」の派生種で、トレンドマイクロによれば、インターネット接続されている機器を検索できる「Shodan」を用いて4月下旬に調査を行った結果、PERSIRAIに感染する恐れのある機器は12万2069台見つかったという。うち約2割が中国内にある機器とのことだが、日本国内にも3.33％が存在している模様。

PERSIRAIでは、機器の脆弱性を利用してPERSIRAI自身のインストールと実行を行わせるという。PERSIRAIがインストールされた機器は他の機器を攻撃して感染を広げたり、中央サーバーから支持を受けてDDoS攻撃を行うという。

対策としては機器のパスワードをデフォルトのものから別のものに変更しておく、不用意にポートを外部に解放しないようルーターなどで設定する、UPnPを無効にするなどが挙げられている。

あるAnonymous Coward 曰く、

気がついたらAIが人間を管理する系統の技術が増えつつある。先日開催された「Build 2017」で発表された工事現場をモニタリングする「Microsoft Workplace Monitoring」テクノロジーもその一つ。カメラはクラウドに接続されており、従業員のIDチェックから現場の道具にいたるまで、24時間365日人工知能がリアルタイムでチェック。担当作業員ではない人間が入り込んでいる、誤った方法で道具が使われているなどを監督できる（GIZMODO）。

工事現場は従業員のミスや職場のルールを破ることで事故が起きれば命が失われることもあり、この技術のデモで工事現場というシチュエーションを選ばれたのは理解できる。しかし、工事現場以外にも応用が利く。仮に雇用者が利益を最大化しようとこれを一般的なオフィスに導入した場合、多くの従業員はトイレ休憩や井戸端会議といったわずかな自主性も奪われることになるだろう（ギズモード・ジャパン、Slashdot）。