3月から実施されていた米国への直行便での大型ポータブル電子機器の機内持ち込み制限は、テロ組織がバッテリーに爆発物を隠す技術を確立したのが理由とされる。これについてAspen Security ForumでNBCニュースのピート・ウィリアムズ氏と対談した米国土安全保障省(DHS)のジョン・F・ケリー長官が、事前に行った実験や新しい保安検査の技術を説明している(対談テキスト: PDF、 The Registerの記事、 動画)。

運輸保安局(TSA)は連邦捜査局(FBI)などと協力して、実際に2台のデバイスを試作。ケリー氏は爆発物の分量からみて、実際に航空機を破壊できるだけの威力があるとは信じられなかったという。しかし、与圧した本物の航空機を用いて地上で実施した実験では、実際に航空機が破壊されたそうだ。その結果、10空港を出発する9航空会社の運航便について機内持ち込み制限の実施に踏み切ることになる。

ケリー氏は5月、機内持ち込み制限を米国発着の全便に拡大する可能性を示唆したが、6月には保安検査を強化することで制限を撤廃する意向を示していた。7月に入ってDHSの求める保安基準を満たした空港から順に機内持ち込み制限の解除を進め、サウジアラビア・リヤドのキングハーリド国際空港で20日に機内持ち込み制限が解除されたのを最後に機内持ち込み制限は終了した(DHSのファクトシート)。

新しい保安検査の詳細は公表されていなかったが、ケリー氏によればCT技術を使用したものだという。ケリー氏は危険なデバイスを確実に検出できると自信満々だが、「CT」は何かというウィリアムズ氏の質問に答えられず、X線を使用したものだと説明していた。会場に来ていた元TSA局長のジョン・ピストール氏にウィリアムズ氏が話を振ると、ピストール氏は「Computer Tomography (コンピューター断層撮影)」だとあっさり回答。ここでケリー氏はピストール氏を「ナード」と呼び、会場の笑いを誘った。

ゲーム内キャラクターを倒すことでリモートからのコード実行が可能となるValveのSource SDKの脆弱性について、発見したOne Up Securityが解説している(One Up Securityの記事、 The Vergeの記事)。

脆弱性が存在するのは倒されたキャラクターに適用されるラグドールモデルの処理に関する部分だ。Source Engineではマップファイルにカスタムコンテンツを格納することでユーザーがマップにコンテンツを追加できる。ラグドールモデルファイルをオリジナルと同じリソースパスでマップファイルに格納すれば、オリジナルを置き換えることが可能となる。

ラグドールモデルのルールはトークン化して読み込まれるが、トークン化の際に適切な境界チェックが行われない。そのため、特別に細工したラグドールデータを読み込ませるとバッファーサイズを超えるトークンが生成され、バッファーオーバーフローが発生する。さらにsteamclient.dllではASLRが有効になっていないため、メモリーアドレスは予測可能だという。PoCは30日以内の公開が予告されており、Shell32.dllを読み込ませてcmd.exeを実行するものとのこと。

報告を受けたValveでは、Counter Strike: Global OffensiveやTeam Fortress 2、Half-Life 2: Deathmatch、Portal 2、Left 4 Dead 2などの修正を行い、パッチの提供を6月に開始している。

GNOMEのファイルマネージャー「GNOME File (Nautilus)」で任意のVBScriptコードを実行可能な脆弱性「Bad Taste」が発見された(発見者による解説記事、 The Registerの記事、 Neowinの記事、 Bleeping Computerの記事、 CVE-2017-11421)。

問題はWindowsの実行ファイル(.exe)やWindowsインストーラーパッケージ(MSIファイル: .msi)などのアイコンをGNOME File上で表示するために使われる「gnome-exe-thumbnailer」のバージョン0.9.4-2以前に存在し、Wineがインストールされた環境で再現する。また、GNOME Fileのほか、「Cinnamon Nemo」や「MATE caja」といったファイルマネージャーも影響を受けるとのこと。

バージョン0.9.4-2までのgnome-exe-thumbnailerはMSIファイルを処理する際、Wineが利用できる場合には一時ファイルとしてVBSファイルをテンプレートから生成し、スクリプトを実行して「WindowsInstaller.Installer」オブジェクトからファイルバージョンを抽出する。しかし、スクリプトにはMSIファイルのファイル名が記述されるため、VBScriptコードとして解釈可能なファイル名にすることで任意のVBScriptコードを実行可能になる。

Appleは19日、CVE-IDにして合計69件、延べ208件の脆弱性を修正するiOSやmacOSなど7本のソフトウェアのセキュリティアップデートを公開した(The Registerの記事、 Neowinの記事、 The Vergeの記事、 9to5Macの記事)。

修正件数が最も多いのはiOS 10.3.3の47件。半数以上の24件をWebKit関連の脆弱性が占める。次に多いのはtvOS 10.2.2の38件で、37件のmacOS Sierra 10.12.6が続く。ただし、macOSでは25件の脆弱性を修正するSafari 10.1.2の修正情報が別途公開されているため、合計ではmacOS関連の脆弱性が最も多い。なお、これらの修正の一部は同日公開されたOS X El Capitan/Yosemiteのセキュリティアップデート(2017-003)にも含まれる。

今回のセキュリティアップデートはWindowsユーザーも無縁ではない。iTunes 12.6.2 for Windowsでは23件、iCloud for Windows 6.2.2では22件の脆弱性が修正されている。iTunes/iCloudで修正された脆弱性はほとんどがWebKit関連だ。このほか、watchOS 3.2.3でも16件の脆弱性が修正されている。

今回修正された脆弱性のうち、任意コード実行につながる可能性があるものは全69件中46件。WebKit関連では24件中19件となっている。iOS/macOS/tvOS/watchOSでは、BroadcomのWi-FiチップBCM43xxで発見されたリモートからの任意コード実行を可能にする脆弱性CVE-2017-9417(Broadpwn)も修正された。なお、GoogleはBroadpwnの脆弱性に対処したAndroidのセキュリティパッチを7月5日にリリースしている。

hylom 曰く、

4K/8K放送では現在のB-CASカードによる方式とは別の暗号化/契約者識別方式が採用される可能性があるといわれている。しかし、来年にも実用放送開始が予定されているにもかかわらず、その詳細が未決定であることが過去に話題となった。本田雅一氏の取材によると、ICチップをチューナー部分に直接搭載し、コストを製品価格に上乗せする方式がNHK主導で進められているという(東洋経済オンラインの記事)。

現状のB-CASカードについては、そのコストは放送事業者や機器メーカーが負担している。一方、NHKや有料放送事業者の業界団体「新CAS協議会」が現在提案している方式では、メーカーが商社経由でICチップを購入し、チューナー部分に直接搭載することが求められる。その結果、コストは製品価格として消費者に転嫁されることになる。

ymasa 曰く、

「日本オセロ連盟」の会員サイトで、会員登録案内に「※生年月日は今後パスワードとなりますので必ずご登録ください。」と掲載されていることが話題になっている（SairiMedia）。

現在は「※ 生年月日は会員登録に必要な情報となりますので必ずお書きください。」と修正されておりパスワードがどうなっているかは不明。生年月日は推測されやすいとしてパスワードに使わないようにと言われているがサイト自らが「生年月日はパスワード」と言っているのはいまどきありえないだろう。

headless曰く、

一部の空港を出発する米国への直行便では大型電子機器の機内持ち込み制限が実施されていたが、間もなくすべての空港で制限解除となるようだ（DHSのファクトシート、Consumerist、The Register、Neowin）。

3月に開始された機内持ち込み制限は、中近東や北アフリカなど10空港からの出発便が 対象となっていた。これらの空港では米国土安全保障省（DHS）の求める基準に合わせた保安検査の強化を進め、7月5日にはイスタンブールとドバイ、アブダビで制限が解除されている。続いて6日にはドーハ、9日にはアンマンとクウェート、13日にはカサブランカでも制限が解除された。残るサウジアラビアの2空港のうち、ジッダのキングアブドゥルアズィーズ国際空港では17日に制限が解除されており、リヤドのキングハーリド国際空港でも近く制限が解除されるとみられている。

昨今では定額制の動画配信サービスが普及しつつあるが、少なくない数の若者がこれらサービスのアカウントを家族以外と共有して利用しているそうだ（ロイター）。

ロイター/イソプスが米国で4453人を対象に行った調査によると、18～24歳の動画配信サービス利用者のうち21％が同居家族以外のアカウントを共有して利用したことがあるという。こういった問題について動画配信サービス各社は認識しているものの、積極的な取り締まりはあまり行われていない状況だそうだ。しかし今後こういったアカウントの不正共有が増加すれば対策が講じられる可能性があるという。

防衛省が「サイバー防衛隊」の人員を現在の約110人から1000人規模にまで拡充し、さらにサイバー攻撃を行う研究部門も設置すると報じられている（防衛省、毎日新聞）。

防衛省ではすでに「実践的サイバー演習」の整備を進めており、訓練環境の設置などを進めているが（朝日新聞）、2020年の東京オリンピックに向けてさらにサイバー攻撃に対する対応力を強化する方針のようだ。

中国政府が個人のVPNアクセスを禁止するよう国内通信キャリアに命じたという国外メディアの報道について、そのような通知は出していないと中国情報通信部が否定したそうだ(TorrentFreakの記事、 Bloombergの記事[1]、 [2]、 The Paperの記事)。

Bloombergの記事では中国政府が中国3大キャリアを含む国営通信会社に対し、2月1日までに個人のVPNアクセスをブロックするよう命じたという内容を情報通の話として報じている。記事では1月に出された未認可インターネットサービスに対する規制強化に触れ、GreenVPNが7月1日をもってサービスを終了すると発表したことに言及している。ただし、1月の通知は企業向けに提供されるサービスが対象であり、GreenVPNのような個人向けサービスは対象になっていないとみられる。

情報通信部は報じたメディアを名指ししなかったものの、そのような通知は出しておらず、誤った報道だと澎湃新聞(The Paper)に対して述べたという。また、Blooombergに対しては、1月の通知はビジネスや一般のユーザーに影響するものではなく、VPNなどを必要とする企業は認可された通信会社のサービスを利用すればいいなどと説明したとのことだ。

セキュリティ企業Preemptが数か月前に発見したというNTLM関連の脆弱性2件を解説している(Preempt Blogの記事、 The Registerの記事、 BetaNewsの記事)。

CVE-2017-8563はドメイン認証でKerberosからNTLM認証へフォールバックした際に特権昇格が発生するというもの。攻撃者は特別に細工したアプリケーションを使い、悪意あるトラフィックをドメインコントローラーに送信することで、この脆弱性を悪用できる。

この問題が発生するのはLDAPがNTLM中継攻撃から保護されないことが原因だという。グループポリシーの「ドメインコントローラー: LDAPサーバー署名必須」で「署名を必要とする」に設定すると、中間者攻撃(MitM)および資格情報中継攻撃から保護されるようになる。この設定ではセッションキーで署名されたLDAPセッション(LDAP署名)か、全体がTLSで暗号化されたLDAPセッション(LDAPS)のいずれにも該当しないセッションをドメインコントローラーが拒否するが、LDAPSの場合は資格情報中継攻撃から保護されないとのこと。

Microsoftではこの問題を確認し、7月の月例更新で修正している。CVE-2017-8563にはSSL/TLSを使用したLDAP認証のセキュリティを強化するレジストリ設定が導入されているが、設定を有効にするにはMicrosoftのサポート記事4034879に従い、レジストリを直接変更する必要がある。

もう1件はリモートデスクトップの制限付き管理モード接続に関するもの。このモードでは接続先マシンに資格情報が送信されないため、接続先が攻撃者の支配下にある場合でも接続元が保護される。そのため、サポートエンジニアが管理者権限でリモートマシンを操作する際などによく使われている。

しかし、このモードではNTLM認証へのダウングレードが認められており、NTLM中継攻撃やパスワードクラックなどが可能になるという。これについてMicrosoftでは既知の問題であるとし、NTLM中継攻撃を避けるための設定を推奨したとのことだ。

シンガポールでハッカーをライセンス制にすることを含むサイバーセキュリティ法案が提案されている(The Straits Timesの記事[1]、 [2]、 The Next Webの記事、 Quartzの記事)。

法案は頻発化・高度化し、影響の大きくなるサイバー攻撃に備えるためのもの。重要な情報インフラ所有者に対する規制やサイバーセキュリティ庁(CSA)の権限強化、CSA職員によるサイバーセキュリティ情報の共有、サイバーセキュリティサービス提供者に対するライセンス制度の導入などが盛り込まれている。

ライセンス制度の導入が検討されているのはハッキング・フォレンジックといったサイバーセキュリティ調査に関するサービスと、セキュリティオペレーションセンターのようなサイバーセキュリティ監視に関するサービス。企業だけでなく個人でもこれらの活動を行う場合はライセンス取得が義務付けられ、違反した場合は最高5万シンガポールドル(現在の為替レートで約410万円)の罰金か最長2年の実刑、またはその両方が科せられるとのこと。

現在、シンガポール情報通信省(MCI)とCSAがこの法案の意見募集を実施している。

danceman 曰く、

アダルトチャットサービス「CamSoda」が、ユーザーがサイトにログインする際にペニスで生体認証を行うことのできる「Dick-ometrics」を導入した。「ペニス紋」は指紋と同様、生体認証技術を行うための身体的特徴の情報となり得るという（CNET）。

CamSodaのサーバに保存されたペニス画像が流出してしまう可能性が危惧されるが、CamSodaによるとペニス画像はハッシュ化され、画像形式で保存されることは決してないそうだ。そもそも、ユーザーの機密情報を安全に保護するためにDick-ometricsが導入されたのであり、その機密性が損なわれることがないようセキュリティーを徹底しているとのこと。

現在のところ精度は76%ほどで、目標は95%だとのこと。その時々のペニスの状態が異なれば、周囲、長さ、血管分布状態も異なってしまうため、この目標を達成するのはなかなか難しいようだ。そのため現在は、ログインの際は勃起したペニスで行うよう制限を設けているという。

昨年、中国の認証局「WoSign」で不正なSSL証明書が発行されていたことが明らかになった。これを受けてFirefoxが同社の証明書をブロックする方針を示していたが、GoogleもChrome 61以降で同社およびその子会社のStartComによって発行された証明書をすべてブロックする方針を示している（threatpost、CNET Japan）。

この問題が話題になった昨年9月には、すでにChromeではこの仕様変更を導入できる状況ではあったが、大きな変更ということでしばらく様子を見ていたようだ。まずは開発者向け版で導入され、今月末にはベータ版にこの変更が反映されるとのこと。

ChromeはすでにWoSignおよびStartComへの信頼を段階的に取り消しつつあり、現在は2016年10月21日以前に発行された証明書のみ信頼しているという。

headless曰く、

Microsoftは10日、企業向けにOffice 365とWindows 10、Enterprise Mobility + Securityを組み合わせた「Microsoft 365」をMicrosoft Inspire 2017イベントで発表した（Office Blogs、Official Microsoft Blog）。

大企業向けのMicrosoft 365 EnterpriseはOffice 365 EnterpriseとWindows 10 Enterprise、Enterprise Mobility + Securityを統合したもの。8月1日からMicrosoft 365 E3およびMicrosoft 365 E5の2つのプランで提供が開始される。

中小企業向けのMicrosoft 365 BusinessはOffice 365 Business PremiumにWindows 10のセキュリティ/管理機能、Enterprise Mobility + Securityを組み合わせたもので、最大ユーザー数は300名。8月2日からパブリックプレビューとして提供が開始され、年末までに全世界で一般提供される。価格は1ユーザー1か月あたり20ドルとなっている。

Microsoft 365 BusinessはWindows 7/8.1/10と組み合わせて使用する製品で、Windows 10のライセンスは含まれない。ただし、プレビュー版にはWindows 7/8/8.1からWindows 10 Proへのアップグレード権が付属するとのことだ。