米運輸保安局(TSA)は26日、手荷物として旅客機の機内に持ち込まれる電子機器について、米国内の空港における保安検査強化の方針を発表した(プレスリリース、 Consumeristの記事、 Ars Technicaの記事、 The Vergeの記事)。

現在、一般の保安検査レーンではノートPCをバッグから取り出してX線検査用トレイに載せることを求めているが、新しい保安検査基準では携帯電話よりも大きなすべての電子機器を取り出してX線検査トレイに載せる必要がある。機内持ち込み可能な物品については変更されない。

新基準による保安検査はロサンゼルス国際空港など10空港で既に実施されており、その成果を踏まえて米国内の全空港に今後数週間から数か月かけて拡大する計画だ。TSAでは旅行者に対し、スムーズに電子機器を取り出せるよう事前にバッグを整理しておくことを推奨している。なお、手順が変更されるのは一般の保安検査レーンのみで、事前チェックにより保安検査を簡略化するTSA Pre✓のレーンには適用されないとのことだ。

スウェーデン政府の情報システムに記録されていた同国民の個人情報が大量に流出する事故が発生していたとのこと（AFP、Independent、Financial Times）。

この情報漏洩事故は2015年に発生していたが、発覚したのは先週だという。流出したのはスウェーデン政府および警察のデータベースで、運転免許に関するデータに加え、軍人の個人情報、有事の際の対応計画なども含まれていた可能性があるという。影響はほぼすべての国民におよぶとされている。

このシステムはIBMスウェーデンが落札し、同社がチェコやルーマニアの企業に業務を外注していたという。その際の設定に不備があり、これらデータに誰もがほぼ無制限にアクセスできる状況になっていたという。システムを迅速に構築するため、いくつかの法律や内部手続きが省略されていたことが流出事故の引き金になった可能性もあるようだ。

Twitter上に、有料ポルノサイトや偽の出会い系サイトへの誘導を行うようなボットネットが存在することが確認されたそうだ。このボットネットは約9万のアカウントから構成されており、女性の写真や名前を偽っていたという（ITmedia、ZeroFOX、Krebs on Security）。

これらのアカウントは「思わせぶり」な投稿を行い、こういった投稿にリプライすると有料のポルノサイトや偽出会い系サイトに誘導されてしまうという。このボットネットはギリシャ神話の海の怪物「SIREN（セイレーン）」から、「SIREN」と名付けられている。総投稿数は850万を超えており、また投稿されたリンクのクリック数は3000万以上だったという。

すでにTwitterへの通報が行われており、Twitter運営による対処が行われているとのこと。

danceman曰く、

サイバー脅威検知技術を提供するDarktraceが発表した「Global Threat Report 2017」（PDF）にて、インターネットに接続されたカジノの水槽がサイバー攻撃を受けていたことが明かされている。カジノの名前は明記されていないが、北アメリカに存在するという（CNN）。

この水槽は温度調整や水質調整、自動餌やりなどの機能を備えており、インターネット経由でこれらの設定や監視ができるというものだったようだ。このカジノではVPNを利用してこの水槽をほかのネットワークとは分離していたようだが、Darktraceが調査したところ不審なネットワーク通信が検出されたという。通信先はフィンランドで、10GBほどのデータが送信されていたほか、水槽が外部からコントロールできる状態になっていたようだ。

Darktraceによると、この水槽から脆弱性を持つほかのデバイスを探索していたことも確認されたという。ネットに接続して制御する電気機器の普及が進むにつれ、こうした手口のセキュリティー問題が増えてくるのだろう。

taraiok曰く、

トレンドマイクロによると、WhatsAppやポケモンGoといったアプリに偽装したマルウェアが登場しているという（マイナビニュース、Neowin、SUN、トレンドマイクロ、Slashdot）。

このマルウェアは「GhostCtrl」と呼ばれており、インストールするとバックドアが作成されて、外部からカメラやWebブラウザの履歴SMS/MMSなどにアクセス可能になるという。また、音声やオーディオを秘密裏に録音し、サーバーにアップロードすることもできるようだ。

このマルウェアはAndroid用のリモート管理ツールであるOmniRATの変種で、6月にイスラエルの病院を襲ったRETADUPと類似しているとされる。また、今後さらに進化する可能性があるとも指摘されている。

3月から実施されていた米国への直行便での大型ポータブル電子機器の機内持ち込み制限は、テロ組織がバッテリーに爆発物を隠す技術を確立したのが理由とされる。これについてAspen Security ForumでNBCニュースのピート・ウィリアムズ氏と対談した米国土安全保障省(DHS)のジョン・F・ケリー長官が、事前に行った実験や新しい保安検査の技術を説明している(対談テキスト: PDF、 The Registerの記事、 動画)。

運輸保安局(TSA)は連邦捜査局(FBI)などと協力して、実際に2台のデバイスを試作。ケリー氏は爆発物の分量からみて、実際に航空機を破壊できるだけの威力があるとは信じられなかったという。しかし、与圧した本物の航空機を用いて地上で実施した実験では、実際に航空機が破壊されたそうだ。その結果、10空港を出発する9航空会社の運航便について機内持ち込み制限の実施に踏み切ることになる。

ケリー氏は5月、機内持ち込み制限を米国発着の全便に拡大する可能性を示唆したが、6月には保安検査を強化することで制限を撤廃する意向を示していた。7月に入ってDHSの求める保安基準を満たした空港から順に機内持ち込み制限の解除を進め、サウジアラビア・リヤドのキングハーリド国際空港で20日に機内持ち込み制限が解除されたのを最後に機内持ち込み制限は終了した(DHSのファクトシート)。

新しい保安検査の詳細は公表されていなかったが、ケリー氏によればCT技術を使用したものだという。ケリー氏は危険なデバイスを確実に検出できると自信満々だが、「CT」は何かというウィリアムズ氏の質問に答えられず、X線を使用したものだと説明していた。会場に来ていた元TSA局長のジョン・ピストール氏にウィリアムズ氏が話を振ると、ピストール氏は「Computer Tomography (コンピューター断層撮影)」だとあっさり回答。ここでケリー氏はピストール氏を「ナード」と呼び、会場の笑いを誘った。

ゲーム内キャラクターを倒すことでリモートからのコード実行が可能となるValveのSource SDKの脆弱性について、発見したOne Up Securityが解説している(One Up Securityの記事、 The Vergeの記事)。

脆弱性が存在するのは倒されたキャラクターに適用されるラグドールモデルの処理に関する部分だ。Source Engineではマップファイルにカスタムコンテンツを格納することでユーザーがマップにコンテンツを追加できる。ラグドールモデルファイルをオリジナルと同じリソースパスでマップファイルに格納すれば、オリジナルを置き換えることが可能となる。

ラグドールモデルのルールはトークン化して読み込まれるが、トークン化の際に適切な境界チェックが行われない。そのため、特別に細工したラグドールデータを読み込ませるとバッファーサイズを超えるトークンが生成され、バッファーオーバーフローが発生する。さらにsteamclient.dllではASLRが有効になっていないため、メモリーアドレスは予測可能だという。PoCは30日以内の公開が予告されており、Shell32.dllを読み込ませてcmd.exeを実行するものとのこと。

報告を受けたValveでは、Counter Strike: Global OffensiveやTeam Fortress 2、Half-Life 2: Deathmatch、Portal 2、Left 4 Dead 2などの修正を行い、パッチの提供を6月に開始している。

GNOMEのファイルマネージャー「GNOME File (Nautilus)」で任意のVBScriptコードを実行可能な脆弱性「Bad Taste」が発見された(発見者による解説記事、 The Registerの記事、 Neowinの記事、 Bleeping Computerの記事、 CVE-2017-11421)。

問題はWindowsの実行ファイル(.exe)やWindowsインストーラーパッケージ(MSIファイル: .msi)などのアイコンをGNOME File上で表示するために使われる「gnome-exe-thumbnailer」のバージョン0.9.4-2以前に存在し、Wineがインストールされた環境で再現する。また、GNOME Fileのほか、「Cinnamon Nemo」や「MATE caja」といったファイルマネージャーも影響を受けるとのこと。

バージョン0.9.4-2までのgnome-exe-thumbnailerはMSIファイルを処理する際、Wineが利用できる場合には一時ファイルとしてVBSファイルをテンプレートから生成し、スクリプトを実行して「WindowsInstaller.Installer」オブジェクトからファイルバージョンを抽出する。しかし、スクリプトにはMSIファイルのファイル名が記述されるため、VBScriptコードとして解釈可能なファイル名にすることで任意のVBScriptコードを実行可能になる。

Appleは19日、CVE-IDにして合計69件、延べ208件の脆弱性を修正するiOSやmacOSなど7本のソフトウェアのセキュリティアップデートを公開した(The Registerの記事、 Neowinの記事、 The Vergeの記事、 9to5Macの記事)。

修正件数が最も多いのはiOS 10.3.3の47件。半数以上の24件をWebKit関連の脆弱性が占める。次に多いのはtvOS 10.2.2の38件で、37件のmacOS Sierra 10.12.6が続く。ただし、macOSでは25件の脆弱性を修正するSafari 10.1.2の修正情報が別途公開されているため、合計ではmacOS関連の脆弱性が最も多い。なお、これらの修正の一部は同日公開されたOS X El Capitan/Yosemiteのセキュリティアップデート(2017-003)にも含まれる。

今回のセキュリティアップデートはWindowsユーザーも無縁ではない。iTunes 12.6.2 for Windowsでは23件、iCloud for Windows 6.2.2では22件の脆弱性が修正されている。iTunes/iCloudで修正された脆弱性はほとんどがWebKit関連だ。このほか、watchOS 3.2.3でも16件の脆弱性が修正されている。

今回修正された脆弱性のうち、任意コード実行につながる可能性があるものは全69件中46件。WebKit関連では24件中19件となっている。iOS/macOS/tvOS/watchOSでは、BroadcomのWi-FiチップBCM43xxで発見されたリモートからの任意コード実行を可能にする脆弱性CVE-2017-9417(Broadpwn)も修正された。なお、GoogleはBroadpwnの脆弱性に対処したAndroidのセキュリティパッチを7月5日にリリースしている。

hylom 曰く、

4K/8K放送では現在のB-CASカードによる方式とは別の暗号化/契約者識別方式が採用される可能性があるといわれている。しかし、来年にも実用放送開始が予定されているにもかかわらず、その詳細が未決定であることが過去に話題となった。本田雅一氏の取材によると、ICチップをチューナー部分に直接搭載し、コストを製品価格に上乗せする方式がNHK主導で進められているという(東洋経済オンラインの記事)。

現状のB-CASカードについては、そのコストは放送事業者や機器メーカーが負担している。一方、NHKや有料放送事業者の業界団体「新CAS協議会」が現在提案している方式では、メーカーが商社経由でICチップを購入し、チューナー部分に直接搭載することが求められる。その結果、コストは製品価格として消費者に転嫁されることになる。

ymasa 曰く、

「日本オセロ連盟」の会員サイトで、会員登録案内に「※生年月日は今後パスワードとなりますので必ずご登録ください。」と掲載されていることが話題になっている（SairiMedia）。

現在は「※ 生年月日は会員登録に必要な情報となりますので必ずお書きください。」と修正されておりパスワードがどうなっているかは不明。生年月日は推測されやすいとしてパスワードに使わないようにと言われているがサイト自らが「生年月日はパスワード」と言っているのはいまどきありえないだろう。

headless曰く、

一部の空港を出発する米国への直行便では大型電子機器の機内持ち込み制限が実施されていたが、間もなくすべての空港で制限解除となるようだ（DHSのファクトシート、Consumerist、The Register、Neowin）。

3月に開始された機内持ち込み制限は、中近東や北アフリカなど10空港からの出発便が 対象となっていた。これらの空港では米国土安全保障省（DHS）の求める基準に合わせた保安検査の強化を進め、7月5日にはイスタンブールとドバイ、アブダビで制限が解除されている。続いて6日にはドーハ、9日にはアンマンとクウェート、13日にはカサブランカでも制限が解除された。残るサウジアラビアの2空港のうち、ジッダのキングアブドゥルアズィーズ国際空港では17日に制限が解除されており、リヤドのキングハーリド国際空港でも近く制限が解除されるとみられている。

昨今では定額制の動画配信サービスが普及しつつあるが、少なくない数の若者がこれらサービスのアカウントを家族以外と共有して利用しているそうだ（ロイター）。

ロイター/イソプスが米国で4453人を対象に行った調査によると、18～24歳の動画配信サービス利用者のうち21％が同居家族以外のアカウントを共有して利用したことがあるという。こういった問題について動画配信サービス各社は認識しているものの、積極的な取り締まりはあまり行われていない状況だそうだ。しかし今後こういったアカウントの不正共有が増加すれば対策が講じられる可能性があるという。

防衛省が「サイバー防衛隊」の人員を現在の約110人から1000人規模にまで拡充し、さらにサイバー攻撃を行う研究部門も設置すると報じられている（防衛省、毎日新聞）。

防衛省ではすでに「実践的サイバー演習」の整備を進めており、訓練環境の設置などを進めているが（朝日新聞）、2020年の東京オリンピックに向けてさらにサイバー攻撃に対する対応力を強化する方針のようだ。

中国政府が個人のVPNアクセスを禁止するよう国内通信キャリアに命じたという国外メディアの報道について、そのような通知は出していないと中国情報通信部が否定したそうだ(TorrentFreakの記事、 Bloombergの記事[1]、 [2]、 The Paperの記事)。

Bloombergの記事では中国政府が中国3大キャリアを含む国営通信会社に対し、2月1日までに個人のVPNアクセスをブロックするよう命じたという内容を情報通の話として報じている。記事では1月に出された未認可インターネットサービスに対する規制強化に触れ、GreenVPNが7月1日をもってサービスを終了すると発表したことに言及している。ただし、1月の通知は企業向けに提供されるサービスが対象であり、GreenVPNのような個人向けサービスは対象になっていないとみられる。

情報通信部は報じたメディアを名指ししなかったものの、そのような通知は出しておらず、誤った報道だと澎湃新聞(The Paper)に対して述べたという。また、Blooombergに対しては、1月の通知はビジネスや一般のユーザーに影響するものではなく、VPNなどを必要とする企業は認可された通信会社のサービスを利用すればいいなどと説明したとのことだ。