米連邦航空局(FAA)の発表によると、民間機の手荷物や貨物に含まれるバッテリーが過熱・発煙・発火・爆発する事故は、今年に入って少なくとも17件あったそうだ(リポート: PDF、 Consumeristの記事)。

データは5月22日時点のもので、FAAが把握している事故のすべてが記載されているわけではないとのこと。このうち旅客機に関連する事故は12件で、貨物機関連が2件、残り3件は不明となっている。ただし、不明のうち2件は事故の内容からみて、旅客機の乗客が持っていたバッテリーが地上で発煙または爆発したもののようだ。また、飛行中に発生した事故は9件、地上での事故は7件、不明が1件となる。なお、飛行中の事故はいずれも旅客機で発生している。

バッテリーの種類はすべてリチウムイオンで、製品としてはモバイルバッテリー4件、携帯電話3件、モバイルバッテリー+携帯電話1件のように、モバイルバッテリーや携帯電話での事故が最も多い。携帯電話の種類はiPhoneが2件、未確認(Samsungと報告されている)1件、不明1件。iPhoneのうち1件は座席に押しつぶされて発煙、もう1件は充電中に過熱したという。Samsungと報告されている1件は郵便物らしい。

このほか、電子タバコが3件、ノートPCが2件、電動工具用のスペアバッテリー1件、カメラ1件、ノイズキャンセリングヘッドフォン1件、不明1件。ノイズキャンセリングヘッドフォンは日付や経路、事故の内容からみて、先日Beats製のヘッドフォンと報じられた事故とみられる。ただし、情報源はメディアになっており、航空会社や当局から報告を受けたものではないようだ。

ノートPCのうち1件は貨物で、94Whのバッテリーを搭載したノートPC13箱のうち1箱が地面に叩き付けられたことが原因だという。もう1件のノートPCは機内で飲み物をこぼしたことが原因らしい。不明の1件はバッテリーを含む貨物を爆発するまでドリー(台車)で引きずってしまったとのことだ。

SymantecがTorrentユーザーをセキュリティリスクから保護する方法とシステムの特許を取得した(United States Patent 9,661,004、 TorrentFreakの記事)。

BitTorrentプロトコルによるトラフィックはインターネットトラフィックの50%を占めるとも試算されており、ファイルの配布手段として広く使われている。その一方でマルウェアも数多く配布されているが、torrentファイルをホスティングするサイトではファイルの信頼性に関する十分な情報を提供していない。

特許ではtorrentファイルをホスティングサイトへ最初にアップロードしたシードやターゲットファイルをダウンロード/アップロードしようとするピア、ホスティングサイト、トラッキングサイトなどを識別。それぞれの信頼性に関するスコアを評価データベースから取得してファイルのセキュリティリスクを判定する。たとえば、過去にマルウェアを配布していたかどうかといった情報が評価として使われるとのこと。

評価情報が十分でない場合は、ターゲットファイルの一部をダウンロードしてセキュリティリスクを判定することも可能だという。判定の結果、セキュリティリスクの高さに応じてユーザーに警告を表示する、該当のネットワークトラフィックをブロックする、ターゲットファイルを検疫/削除するといった対策を行うとのことだ。

なお、特許の出願は2013年だが、こういったシステムは現在のところ提供されていないようだ。

headless曰く、

Kaspersky Labは6日、MicrosoftがWindows 10のセキュリティソフトウェアについて反競争行為を行っているとして、欧州委員会およびドイツ連邦カルテル庁に訴状を提出したことを明らかにした（プレスリリース、ユージン・カスペルスキー氏のブログ、The Verge、Register）。

Kaspersky Labでは昨年、同様の訴えをロシアの独占禁止当局に提出し、当局が調査を開始している。その結果、Microsoftはいくつかの点で修正を行ったものの、問題の多くが修正されていないとして今回の行動に至ったという。

Kaspersky LabはMicrosoftに対し、以下のような点の改善を求めているそうだ。

• Windows Defenderの方がより優れているかのような宣伝で既にインストールされている他社のセキュリティソフトウェアと置き換えさせようとする点
• ウイルス定義データベースが古くなっているといった通知をわかりにくくし、他社のセキュリティソフトウェアのアップグレードやダウンロード、インストールを困難にしている点
• Windows 10の新バージョンのファイナルビルドをリリース数日前までサードパーティーに提供しない点
• インストールされているバージョンのアンチウィルスソフトウェアが新しいバージョンのWindows 10との互換性がない場合はアップグレード時に削除されるが、アップグレード完了後に互換性のあるバージョンの再インストールが必要になることの通知が不十分な点
• Windows Defenderを完全に無効化/削除できない点

フリーマーケットアプリ「メルカリ」のアカウント1000件以上を転売したとして、私電磁的記録不正作出・同供用容疑で和歌山県の男性2人が逮捕された（朝日新聞、ITmedia）。

メルカリのアカウントがネットオークションで多数販売されていたことから発見されたという。不正に取得したアカウントは1件あたり800〜900円で販売していたとのこと。こういったアカウントはアカウント停止になったユーザーが購入するほか、自己取引など悪用目的で利用するための購入もあるようだ。

あるAnonymous Coward曰く、

国土交通省は6月6日、Apache Struts 2の脆弱性により、同省の「土地総合情報システム」サイトからアンケートや登記情報など最大約20万件の情報が流出した恐れがあることを明らかにした（プレスリリース、時事通信、ITpro）。

Struts 2の脆弱性を利用した攻撃は3月上旬より相次いでおり、国交省も同月には運営委託業者の調査により同サイトがStruts 2を利用していることを認識していたという。しかし、肝心の脆弱性対策は2017年度予算での機能追加と合わせて行うものとされてしまい、5月の契約後にシステム改修が着手されたものの、既に悪意のあるプログラムが仕込まれていたことが判明、というお粗末な結果となった。

漏洩に対して同省の担当者は「もっと早く手を打てばよかった」と話しているという事だが、ネット社会において余りにも遅すぎる対応と言わざる得ないだろう。ただ、登記情報は公開もされており、アンケートも4月6日以前の分はサーバーから取り除かれていたということで、被害が限定されたのだけは救いである。

headless曰く、

WikiLeaksは1日、米中央情報局（CIA）のハッキングツールなどを公開するプロジェクト「Vault 7」で「Pandemic」と呼ばれるツールのドキュメントを公開した（WikiLeaks Vault 7、Ars Technica、Softpedia）。

Pandemicは共有フォルダーをローカルネットワークで公開しているWindows PC（感染PC）に対し、ファイルシステムミニフィルタードライバーをインストールする。共有フォルダー内のファイルは一切変更されないが、対象のリモートユーザーが共有フォルダーから特定のPE実行ファイルをコピーまたは直接実行すると、マルウェアにオンザフライで置き換えることが可能になるという。

対象のリモートユーザーはSIDで指定し、最大64ユーザーまで指定可能だ。Pandemic 1.0では置き換えるPE実行ファイルを1つのみ指定でき、置き換え後のPE実行ファイルのサイズは最大30MBに制限されているが、Pandemic 1.1では最大20ファイル、1ファイルあたりの最大サイズは800MBまで拡張されている。ファイルの置き換えを開始するまでの待機時間や、置き換えの実行時間を指定することもできる。指定した実行時間が経過するとドライバーは自動でアンインストールされるとのこと。

なお、ドキュメントではインストールするバイナリーファイルの生成手順やインストール手順について解説されているが、具体的にどうやって感染PCにアクセスするのかといった点については記載されていない。セキュリティー企業Rendition InfoSecのマルウェア専門家で、米国家安全保障局（NSA）のハッキングチームに所属していたこともあるJake Williams氏は、さらに詳細なドキュメントがあるとの見方を示している。また、大きな組織ではWindowsの共有フォルダーを使用してファイルを共有することはあまりないことから、比較的小さな組織を狙って作られたものとWilliams氏はみているようだ。

eggy 曰く、

Tsar Teamを名乗る ハッカーグループが5月30日、リトアニアの美容整形クリニックのサーバーから今年盗み出したという、クリニック利用者のデータを公開した(The Guardianの記事、 Daily Mail Onlineの記事、 15minn.ltの記事)。

公開されたデータには裸の写真を含むクリニック利用者の写真25,000点以上やパスポートのコピー、社会保障番号なども含まれる。当初Tsar Teamは、データを公開しないことと引き換えに300ビットコインを支払うようクリニックを恐喝していたが失敗に終わったため、恐喝相手をクリニック利用者に切り替え、最高2,000ユーロをビットコインで支払うよう要求していたとのこと。

データの一部は3月に公開されており、今回公開されたのはその残りとみられる。被害者の居住国はリトアニアだけでなく、英国やノルウェー、ドイツ、デンマークなど60カ国以上にも及ぶとのことだ。

「Tsar Team」は米民主党全国委員会(DNC)をサイバー攻撃したAPT28またはFancy Bearなどと呼ばれるグループの別名として知られているが、同グループなのか、別のグループなのかは不明だ。

米国土安全保障省(DHS)は5月30日、旅客機の客室内への大型電子機器持ち込み禁止を欧州からの便に当面拡大しないことを明らかにした(DHSのプレスリリース、 欧州委員会のプレスリリース、 Politicoの記事、 Consumeristの記事、 Neowinの記事)。

DHSのケリー長官が航空の安全について欧州委員会のディミトリス・アヴラモプロス委員(移民・内務・市民権担当)およびヴィオレタ・ブルツ委員(運輸担当)と電話で会談した結果だという。

3人は航空の安全を世界的に高める必要があることや、今後も引き続き協力していくことに合意。旅客機客室内への大型電子機器持ち込み禁止についても議論したが結論は出ず、この日の段階では欧州から米国に到着する便への拡大は発表しないことになったようだ。

ただし、持ち込み禁止の拡大は現在も検討中であり、今後脅威のレベルが高まったことが確実になれば、持ち込み禁止を含めてあらゆる安全対策を取るとケリー長官が断言したとのこと。ケリー長官は5月28日、Fox Newsのインタビューで、持ち込み禁止を米国発着の全便に拡大する意向を示していた。

なお、欧州から米国に到着する便で大型電子機器の客室内持ち込みが禁じられた場合、10億ドルのコストを旅行者が負担することになるとの試算も出ている。

headless曰く、

先日、Google Project ZeroがWindowsのマルウェア対策エンジンに「最悪」の脆弱性を発見し、Microsoftが2日で修正したことが話題となったが、報告されていた脆弱性はそれだけではなかったようだ（Issue 1260、Softpedia）。

Issue 1260はマルウェア対策エンジンに搭載されているx86エミュレーターに関するもの。このエミュレーターはPE実行ファイルに見える不審なファイルを実行して確認するために使われるが、NT AUTHORITY\SYSTEMとして実行され、サンドボックス化されていない。Project ZeroのTavis Ormandy氏によれば、このエミュレーターがサポートするWin32 APIのntdll!NtControlChannelを使用すると、ioctlのようにエミュレートされたコードからエミュレーターを制御可能なのだという。

このAPIのコマンド0x0CではMicrosoftの正規表現ライブラリGRETAに攻撃者の制御下にある正規表現をパースさせることが可能だ。GRETAは信頼できない正規表現を安全にパースできないことが知られており、マルウェア対策エンジンをクラッシュさせるPoCが公開されている。また、コマンド0x12では追加のマイクロコードを読み込んで演算コードを置き換えることが可能であり、ほかにもさまざまなコマンドに問題がみられるとのこと。

この問題はMicrosoftが5月25日にリリースしたマルウェア対策エンジンバージョン1.1.13804.0で修正されたそうだ。このほか、バージョン1.1.13804.0ではIssue 1258（CVE-2017-8540）、Issue 1259（タレこみ時点では未公開）、Issue 1261（CVE-2017-8535、8536、8537、8538）なども修正されている。

headless曰く、

米調査会社Morning Consultが実施した調査によると、WannaCryptの問題を受けて米国人の半数以上がMicrosoftのハードウェア製品を使用することに懸念を示す一方、Microsoft製品の購買意思には大きな影響を与えないという結果が出たそうだ（Morning Consult、調査結果: PDF、Neowin、Softpedia）。

調査は5月18日～22日にオンラインで米国の成人2,148名を対象に実施されたもので、年齢や人種/民族、性別、学歴、地域について人口比に近づくよう重み付けがされている。

MicrosoftのOSを狙った世界規模のサイバー攻撃についてどれぐらい見聞きしたかという設問では、多数見聞き（28%）、いくらか見聞き（40%）の合計は68%。あまり見聞きしなかった人は18%、まったく見聞きしなかった人も15%いるようだ。

サイバー攻撃により、古いWindowsを実行する20万台のコンピューターがランサムウェアの被害を受けたことを踏まえ、将来Microsoftのハードウェア製品を使用することに懸念を感じるかという設問では、非常に懸念（24%）、いくらか懸念（33%）と懸念している人が57%を占める。あまり懸念しない（22%）と全く懸念しない（8%）の合計は30%。わからない/意見なしが13%となっている。

一方、今回の事件が将来のMicrosoft製品の購買意思に変化をもたらしたかどうかという設問では、変化なしという回答が39%を占める。これに対し、購買意思が増したという回答は19%（非常に: 8%、いくらか: 11%）、購買意思が減ったという回答は25%（いくらか: 16%、非常に: 9%）となり、わからない/意見なしも17%を占める。なぜ懸念に関する設問がハードウェア限定になっているのかについては説明されていない。

なお、今回の調査でセキュリティソフトウェアをインストールしている人は68%、更新プログラムが提供され次第適用する人は54%、ユニークなパスワードを5個以上使っているという人は36%だったとのことだ。

ちなみに、セキュリティ企業Carbon Blackが米国の成人5,000名を対象に実施した調査によれば、57%がWannaCryptで初めてランサムウェアというものを知り、およそ70%がランサムウェアの被害を受けた金融・医療・小売店の利用をやめることを考えると回答している。

headless曰く、

IETFのNetwork Working GroupがNTPクライアントのフィンガープリンティングや偽の応答パケットを使った攻撃を防ぐため、NTPクライアントからNTPサーバーに送られる要求パケットに含めるデータを最小限にすることを提案している（ドラフト、Register）。

RFC5905で規定されているNTPパケットは、ヘッダーのフィールドがすべてのモードで共通となっている。サーバーからクライアントへの応答パケット（モード4）などでは正確で信頼性の高い時刻同期を行うために欠かせないが、クライアントからの要求パケット（モード3）では多くのフィールドが不要なのだという。サーバー側の実装でも、こういった要求パケットの不要なフィールドの確認が必須とされたことはないとのこと。

ドラフトではヘッダー先頭の「leap（LI）」「version（VN）」「mode」を含むオクテットを0x23とし、「xmt（transmit timestamp）」にランダムな値のセットを推奨する。「poll」にセットする値は実際のポーリング間隔または0のいずれかで、「precision」には0x20をセットすることが推奨される。このほかのフィールドについては、0をセットするよう推奨している。

0をセットすることが推奨されるフィールドのうち、「org（origin timestamp）と「rec（receive timestamp）」は特に情報漏洩の可能性があるものだという。これらのフィールドはそれぞれ、直近のサーバーの応答からxmtと「dst（destination timestamp）」をコピーするよう指定されている。そのため、クライアントが別のネットワークに移動した場合、両方のネットワークを観察すると古いIPアドレスと新しいIPアドレスが同じシステムで使われていることがわかってしまう。「poll」の値がオプションになっているのは、ポーリング間隔を観察することで確認可能なためだとしている。

xmtのランダム化が推奨される理由としては、クライアントの要求パケットのxmtをサーバー側で応答パケットのorgにセットして確認に使用しているため、実際のタイムスタンプをセットすると偽の応答パケットにだまされる可能性があるからだという。現在もxmtの下位ビットではランダム化が行われているが、これらのビットをランダム化した偽パケットを大量に送ることで攻撃が成立する可能性もある。

nemui4 曰く、

今日5月30日より、改正個人情報保護法が施行される（NHK、産経新聞、日経新聞）。

情報管理部門の人はどっと疲れそうな気配。提供されるデータに個人情報が削除されているか確認したり、ビッグデータを解析したり、データ保護のためのシステムやデータマイニング系の案件とかの仕事も増えると良さげ。

改正個人情報保護法では、企業などが持つ個人情報に付いて、個人を特定できない形に加工することでその個人の同意無しで第三者への提供が可能になる。また、個人情報の漏えいといった不適切な取り扱いが発生した場合に対応を行う窓口が個人情報保護委員会に統一されたほか、今まで個人情報保護法の対象外であった中小企業や団体に対しても情報管理の徹底が義務付けられるようになるといった変更もある。

改正個人情報保護法については、企業の対応が進んでいないという話もあった（日経ITpro）。

あるAnonymous Coward曰く、

英マンチェスターの爆弾テロ事件で、現場で回収された証拠品（爆発物の現場写真）のものとされる写真が24日、米紙ニューヨーク・タイムズに掲載された。これに対し英政府が捜査を困難にするとして激怒しているという。さらに、実行犯とされるサルマン・アベディ容疑者（22）の名前が、攻撃の数時間後に米メディアにリークされたことも明らかになった。

英政府はこうした情報を米当局が情報をリークしたとみており、英警察は、米当局との情報交換を停止したという。メイ首相は25日、「英米の情報共有関係は厳重でなければならない」と話し、同日開催のNATO首脳会議でトランプ米大統領に再発防止を強く申し入れた。

この問題に関してトランプ大統領は声明を出した。「政府機関から漏れた疑いが高い。この問題を徹底的に再調査するよう、司法省や他の関連機関に要請しており、適切なら犯人を法の許す限り最大限の範囲で訴追すべきだ」と述べている（BBC、日経新聞、TPM、ロイター、Slashdot）。

taraiok 曰く、

7月末に開催されるハッキングカンファレンスであるDEFCONで、アメリカの投票機のハッキング大会が企画されている。ロシアのハッキング事件以降や大統領選への介入などの噂が出てきて以降、投票機のセキュリティは注目度が高まっている。主催者はハッカーたちによって、投票機がいかに脆弱であるかを証明させるつもりのようだ（POLITICO、Slashdot）。

現在は計画の初期段階にあり、主催者らはeBayなどで実物の投票機を探し出してきているという。アメリカの選挙で使用されている投票機には、湿度や耐衝撃性など基準はあってもセキュリティに関しては基準が存在していない。しかし、製造メーカーは投票機はすべての点で安全だと主張しているという。

あるAnonymous Coward 曰く、

人気のパスワード管理ツール「1Password」に、「トラベルモード」が実装された(AgileBits Blogの記事)。

1Passwordではパスワードを区分別に格納する「Vault」と呼ばれる機能が備わっており、Travel Mode用のオプションとして「Safe for Travel」が追加された。Travel Modeを有効にすると、Safe for TravelとマークされていないVaultがすべての端末から削除される。これにより、移動中に空港などで端末が検査を受けた際、機密情報などへにアクセスされることを避けられるというものだ。目的地に到着後、Travel Modeを無効にすれば、すべての端末にすべてのVaultが復元される。1Password Teamsでは、管理者がTravel Modeをオン/オフしたり、Vaultに対するSafe for Travel設定を行ったりすることも可能だ(Travel Mode使用方法)。