WikiLeaksは3日、米中央情報局(CIA)がターゲットのPCに直接アクセスする作戦を実施する際、現場のエージェントが使用していたというツール「Dumbo」のドキュメントをVault 7プロジェクトで公開した(Vault 7 — Dumbo、 V3の記事、 BetaNewsの記事、 Softpediaの記事)。

これまでにVault 7プロジェクトで公開されたCIAのツールには、ターゲットマシンへの物理的なアクセスが必要とみられるものもある。Dumboは物理アクセス作戦を行うPAG(Physical Access Group)のエージェントがUSBメモリーから起動して使用するものだという。

対応OSはWindows XP(32ビット版のみ)およびWindows Vista以降のWindows OSで、SYSTEMの権限で実行する必要がある。Administrator権限で実行した場合、DumboはSYSTEMでの再起動を自動的に試行するとのこと。

Dumboの機能としては、ターゲットマシン上で実行されている監視システムの検出・操作やネットワーク/Bluetoothアダプターの無効化、ローカルまたはネットワーク(有線/無線/Bluetooth)で接続されたWebカメラやマイクによる記録の停止、実行中に記録されたファイルの削除など。これにより、作戦実行の証拠を隠滅するとのことだ。

Google Chrome拡張機能開発者のChromeウェブストアアカウントが乗っ取られ、アドウェア入りの拡張機能が配信されるトラブルが1週間で2件発生している(The a9t9 Automation Blogの記事、 Blog on chrispederick.comの記事、 The Registerの記事、 Ars Technicaの記事)。

乗っ取りが発生したのは「Copyfish」を開発するa9t9のアカウントと、「Web Developer」を開発するChris Pederick氏のアカウント。いずれもGoogleを装って拡張機能の更新を求めるフィッシングメールにだまされ、リンク先のWebページでログイン情報を入力した結果だという。

Pederick氏は異変に気付いて数時間で新バージョンの差し替えを完了している。一方、a9t9はCopyfishが攻撃者のアカウントに移されていたため、差し替えが完了したのは3日後だったそうだ。さらに開発者アカウントが一時停止されるトラブルも発生したとのこと。なお、a9t9は改変部分のコードを含め、実際にどのような改変が行われていたのかについても紹介している。

Googleでは開発者に無料で二要素認証機能を提供しているが、必須ではなく、両者とも有効にしていなかったようだ。今回配信された不正な拡張機能はWebページに広告を表示するだけのものだが、Ars Technicaの記事ではセキュリティ面で高く評価されるChromeに対する容易な攻撃ベクターとして拡張機能が狙われる可能性も指摘している。

WannaCryptの拡散を偶然食い止めたセキュリティ研究者が、別のマルウェアの作者として米国で逮捕されたそうだ(The Vergeの記事、 The Guardianの記事、 Ars Technicaの記事、 V3の記事)。

「MalwareTech」こと英国のセキュリティ研究者Marcus Hutchins氏は5月、WannaCryptのサンプルからハードコードされた未登録のドメイン名を発見。このドメインの用途は不明だったが、マルウェアに関する何らかの情報が得られると考えて登録したところ、マルウェアの拡散は停止した。その後、マルウェアの作者が拡散を停止するために用意していたものだと判明する。

Hutchins氏が逮捕されたのは8月2日。米国・ラスベガスで開催されたBlack HatやDEF CONに参加し、帰国する直前だったようだ。その後公表された起訴状によれば、Hutchins氏はバンキングマルウェア「Kronos」を作成し、もう1人の被告が販売したとされる。

ただし、起訴状が示す時期にKronosのサンプルを入手しようとしていたことをうかがわせるHutchins氏自身のツイートがあり、Hutchins氏はKronosの調査をしていただけで、作者ではないとの見方も出ている。

米BLU Products製のAndroidスマートフォン「BLU R1 HD」や「BLU Life One X2」などが、ユーザーの許諾無しに個人情報を中国のサーバーに送信していたことが判明したという（ITmedia、日経ITpro）。これを受けて、この端末を販売していた米Amazon.comは同社製のスマートフォン販売を停止したとのこと。

セキュリティ関連のカンファレレンスBlack Hatで発表されたもので、送信されている情報はユーザーが入力したテキストメッセージの全文、通話履歴、電話番号、アドレス帳データ、端末識別情報（IMSIおよびIMEI）など。

この情報収集はファームウェアレベルで行われているとのこと。これはファームウェアをネットワーク経由で更新するための機能の1つとして実装されており、この機能を利用することで外部から端末をHTTP経由で操作し、各種情報を引き出したり、アプリをインストールさせられるようになっていたという。

このファームウェアはShanghai ADUPSTechnologyによって実装されているもので、ほかのメーカーも採用しているとのこと。この問題については昨年11月にも話題となっていたが、BLUは対処したと発表していたという。

最近よく行われているという「標的型攻撃メール訓練」について、IPA（情報処理推進機構）が注意を促している（ZDNet Japan）。

最近ではこういった「訓練」を実施している企業が増えているそうだが、その訓練の際に「IPA」の名前を使っているケースがあり、そのためIPAに対し「IPAを語った不審なメールを受信した」という報告が寄せられることもあったという。

これに対しIPAは、「実在する組織名を使った訓練では、訓練メールに使われた実在の組織に問い合わせが入る可能性があります」「メール受信者が注意喚起等を目的としてSNSで訓練メールの内容を投稿した結果、SNS上の拡散により実在する組織の風評被害が発生する」などとし、「実施目的を明確にして訓練内容を決定する」ことに加えて、訓練による第三者への影響を考慮するよう求めている。

ymasa 曰く、

3月にStruts2の脆弱性によってサイトが停止していたニッポン放送の音声配信サービス「Radital（ラジタル）」が「セキュリティ保障の観点」から終了するとのこと（ニッポン放送の発表）。

音声サービスは終了し、ストア・ポイントなどは利用できなくなる。

Raditalはニッポン放送のラジオ番組や、配信専用番組などの配信を行っていたサービス。一部番組については今年7月31日よりスタートした新サービス「オールナイトニッポンi」で配信が行われるとのこと。

7月末に米国で開催された大規模セキュリティカンファレンス「DEF CON 25」で、アメリカの選挙で利用されている電子投票機のハッキングチャレンジが行われた。その結果、1時間程度で電子投票機への侵入や投票結果の改ざんに成功したという（GIGAINE、THE HILL、Slashdot）。

このイベントでは30台の投票機が用意されたが、最終的にはすべてがハックされてしまったという。これら投票機のファームウェアは2007年に作成されたもので、すでに多数の脆弱性が知られている状態だそうだ。

ただ、実際の選挙の際には電子投票機はインターネットには接続されず、独立したネットワークに接続されることや、電子投票機は地方毎に購入や利用が行われるため、全国の電子投票機を一斉に不正操作するといったことは難しい点などから、実際に電子投票機を攻撃して選挙結果を変えるようなことは簡単ではないという。

headless曰く、

先日安定版の提供が始まったGoogle Chrome 60では、アドレスバーからSSL証明書を確認できるようになっている（9to5Google、The Next Web）。

Chromeではもともとアドレスバーから証明書を確認できていたが、Chrome 48ベータでは「Security」タブがデベロッパーツールに追加され、ここに証明書確認機能が移動していた。Chrome 60ではデベロッパーツールに加え、アドレスバー左端で通信の保護状態をクリックすると表示されるメニューから証明書を確認することも可能だ。

ただし、この機能はデフォルトで無効になっており、「chrome://flags」（chrome://flags/#show-cert-link）を開いて「Show certificate link」を有効にする必要がある。この機能を有効にするとメニューに証明書のリンクが追加され、リンクをクリックすれば証明書のプロパティ画面が表示される。

headless曰く、

Appleが中国のApp StoreからVPNアプリの削除を始めたようだ。ExpressVPNが調べたところ、iOS向けのメジャーなVPNアプリはすべて削除されているという（ExpressVPNのブログ、9to5Mac、TorrentFreak、The Paper）。

ExpressVPNが受け取ったAppleからの通知によれば、ExpressVPNアプリには中国で違法となるコンテンツが含まれており、App Store審査ガイドラインに違反するため中国のApp Storeから削除されることになったとのこと。通知ではApp Store審査ガイドラインの「5.法的事項」を引用している。この項目では「アプリケーションは提供されるすべての地域におけるあらゆる法的要件に準拠している必要があります」といった記述がみられる。今回の削除対象は中国のApp Storeのみであり、他の国・地域向けApp Storeには影響しない。

この件についてApple中国は澎湃新聞（The Paper）に対し、基準を満たさない一部のVPNアプリを削除するよう要求されたと説明したそうだ。また、VPNサービスを提供する場合には当局の認可を受ける必要がある、との通知を中国情報通信部から今年初めに受け取っていたという。情報通信部によれば、7月25日には未認可のサービスを中心に、一部のVPNプロバイダーが中国でのサービスを停止したとのこと。

中国では今年1月から未認可VPNサービスへの規制を強化している。7月中旬には個人のVPNアクセスを禁止すると報じられたが、情報通信部は否定していた。

あるAnonymous Coward 曰く、

露Kaspersky Labが無料のウイルス対策ソフト「Kaspersky Free」を公開した（窓の杜)。

機能はマルウェアの検出および感染防止、定義の自動更新程度に絞られているが、広告無しはフリーのセキュリティソフトとしては珍しい方だろう。Kaspersky社と言えばWindows Defender以外不要論に反論を行ったことが記憶に新しいが（過去記事) 、本ソフトの登場で、ユーザーはどのように動いていくか気になるところである。

なお、日本語版も10月後半にリリースされるようだ。

米運輸保安局(TSA)は26日、手荷物として旅客機の機内に持ち込まれる電子機器について、米国内の空港における保安検査強化の方針を発表した(プレスリリース、 Consumeristの記事、 Ars Technicaの記事、 The Vergeの記事)。

現在、一般の保安検査レーンではノートPCをバッグから取り出してX線検査用トレイに載せることを求めているが、新しい保安検査基準では携帯電話よりも大きなすべての電子機器を取り出してX線検査トレイに載せる必要がある。機内持ち込み可能な物品については変更されない。

新基準による保安検査はロサンゼルス国際空港など10空港で既に実施されており、その成果を踏まえて米国内の全空港に今後数週間から数か月かけて拡大する計画だ。TSAでは旅行者に対し、スムーズに電子機器を取り出せるよう事前にバッグを整理しておくことを推奨している。なお、手順が変更されるのは一般の保安検査レーンのみで、事前チェックにより保安検査を簡略化するTSA Pre✓のレーンには適用されないとのことだ。

スウェーデン政府の情報システムに記録されていた同国民の個人情報が大量に流出する事故が発生していたとのこと（AFP、Independent、Financial Times）。

この情報漏洩事故は2015年に発生していたが、発覚したのは先週だという。流出したのはスウェーデン政府および警察のデータベースで、運転免許に関するデータに加え、軍人の個人情報、有事の際の対応計画なども含まれていた可能性があるという。影響はほぼすべての国民におよぶとされている。

このシステムはIBMスウェーデンが落札し、同社がチェコやルーマニアの企業に業務を外注していたという。その際の設定に不備があり、これらデータに誰もがほぼ無制限にアクセスできる状況になっていたという。システムを迅速に構築するため、いくつかの法律や内部手続きが省略されていたことが流出事故の引き金になった可能性もあるようだ。

Twitter上に、有料ポルノサイトや偽の出会い系サイトへの誘導を行うようなボットネットが存在することが確認されたそうだ。このボットネットは約9万のアカウントから構成されており、女性の写真や名前を偽っていたという（ITmedia、ZeroFOX、Krebs on Security）。

これらのアカウントは「思わせぶり」な投稿を行い、こういった投稿にリプライすると有料のポルノサイトや偽出会い系サイトに誘導されてしまうという。このボットネットはギリシャ神話の海の怪物「SIREN（セイレーン）」から、「SIREN」と名付けられている。総投稿数は850万を超えており、また投稿されたリンクのクリック数は3000万以上だったという。

すでにTwitterへの通報が行われており、Twitter運営による対処が行われているとのこと。

danceman曰く、

サイバー脅威検知技術を提供するDarktraceが発表した「Global Threat Report 2017」（PDF）にて、インターネットに接続されたカジノの水槽がサイバー攻撃を受けていたことが明かされている。カジノの名前は明記されていないが、北アメリカに存在するという（CNN）。

この水槽は温度調整や水質調整、自動餌やりなどの機能を備えており、インターネット経由でこれらの設定や監視ができるというものだったようだ。このカジノではVPNを利用してこの水槽をほかのネットワークとは分離していたようだが、Darktraceが調査したところ不審なネットワーク通信が検出されたという。通信先はフィンランドで、10GBほどのデータが送信されていたほか、水槽が外部からコントロールできる状態になっていたようだ。

Darktraceによると、この水槽から脆弱性を持つほかのデバイスを探索していたことも確認されたという。ネットに接続して制御する電気機器の普及が進むにつれ、こうした手口のセキュリティー問題が増えてくるのだろう。

taraiok曰く、

トレンドマイクロによると、WhatsAppやポケモンGoといったアプリに偽装したマルウェアが登場しているという（マイナビニュース、Neowin、SUN、トレンドマイクロ、Slashdot）。

このマルウェアは「GhostCtrl」と呼ばれており、インストールするとバックドアが作成されて、外部からカメラやWebブラウザの履歴SMS/MMSなどにアクセス可能になるという。また、音声やオーディオを秘密裏に録音し、サーバーにアップロードすることもできるようだ。

このマルウェアはAndroid用のリモート管理ツールであるOmniRATの変種で、6月にイスラエルの病院を襲ったRETADUPと類似しているとされる。また、今後さらに進化する可能性があるとも指摘されている。