AdobeのProduct Security Incident Response Team(PSIRT)がPGP公開鍵とともに、誤ってPGP秘密鍵をブログへ投稿するトラブルが発生していたそうだ(Juho Nurminen氏のツイート、 Ars Technicaの記事、 The Registerの記事)。

PGP鍵はブラウザー拡張機能「Mailvelope」を使用してPSIRTのWebメールアカウントからエクスポートしたものとみられる。Mailvelopeのエクスポート画面では「Public」「Private」「All」という選択肢があり、ここで「All」を選択してしまったようだ。発見者のJuho Nurminen氏は、このPGP鍵がPSIRTの電子メールアドレスに関連付けられていたことも確認している。

なお、その後ブログ記事は更新され、現在はGPGToolsから直接出力した新しいPGP公開鍵のみが掲載されている。

ビル・ゲイツ氏がCtrl+Alt+Deleteについて、もしも過去に戻って小さな修正を行えるなら1キーで操作できるようにすると発言している(Bloombergの動画記事、 The Registerの記事、 Mashableの記事、 CNN Techの記事)。

この発言はBloomberg Global Business Forumのインタビューで飛び出したもの。インタビューはカーライル・グループ共同CEOのデビッド・ルーベンスタイン氏を聞き手に、ゲイツ氏のほかダンゴートグループCEOのアリコ・ダンゴート氏、ペプシコCEOのインドラ・ヌーイ氏、ソフトバンクグループ会長の孫正義氏が参加して行われた。

インタビューでは現在の地位や名誉、財産などを捨ててでも30～40年にわたる新たなイノベーションを再び行いたいかといった質問や、この10年間に目にした重要なイノベーションに関する質問などに続き、かつてWindows NTのログインダイアログを表示するのに使われていたキーコンビネーションとしてのCtrl+Alt+Deleteが話題に上った(該当部分は動画の8分15秒あたりから)。

なぜCtrl+Alt+Deleteを選んだのかというルーベンスタイン氏の質問に対し、ゲイツ氏はIBMのPCキーボードで確実に割り込みを発生させるにはその方法しかなかったと説明。開発に携わっていた人々は1つのキーで動作するようにすべきだったとし、現在は多くのマシンがそれをより明確な機能として備えているとも述べている。

さらにルーベンスタイン氏は、Ctrl+Alt+Deleteを選んだことを後悔しているかと尋ねる。これに対しゲイツ氏は、他のことに影響を与えず過去に戻って小さな変更ができるのであれば、1キーで操作できるようにするだろうと答えた。

headless曰く、

AppleがApp Store審査ガイドラインを改訂し、実際にはアプリが提供しないサービスやコンテンツが含まれるかのように宣伝することを明確に禁じた（英語版ガイドライン、Hacking with Swift、Mac Rumors、9to5Mac）。

現在のところ日本語版のガイドラインには変更が反映されていないが、該当部分はアプリのメタデータに関連する2.3.1だ。具体例としては「iOSベースのウイルス/マルウェアスキャナー」が挙げられている。Appleは春からApp Storeでウイルス/マルウェアスキャンアプリの削除を開始しており、ガイドラインでも明確に禁じたことになる。

iOSアプリはサンドボックス内で動作するため、サードパーティーのiOSアプリが他のiOSアプリをスキャンすることは困難だが、3月に「VirusBarrier」を削除されたIntegoではiOSがウィルスに感染すると思われたくないとAppleが考えているとみているようだ。

また、不適切なコンテンツを規定する1.1.1で差別的な内容が禁じられたほか、攻撃のターゲットになるグループに出身国/民族が追加され、ターゲットグループへの侮辱や脅迫にあたるアプリも禁じられている。顔認識機能やARKit、ユーザー間の送金といった新機能を使用するアプリへの制限事項も追加されている（2.5.13、3.2.1、4.2.1、5.1.1、5.1.2）。

さらに、法的事項ではアプリが人身売買や子供からの搾取を促進するものと判明した場合にしかるべき当局に通報することが明記された。なお、5.2.5ではApple製品の名前を間違えないようにという記述が削除された。このほか、細かい文言の追加や変更も行われている。

headless曰く、

Piriformは18日、旧バージョンの32ビットWindows版CCleanerおよびCCleaner Cloudがマルウェアに感染していたことを明らかにした（Piriformのアナウンス、Talos Intelligence Group Blog、Ars Technica、BetaNews）。

マルウェアに感染していたのは8月15日に公開された32ビット版CCleaner v5.33.6162と、8月24日に公開された32ビット版CCleaner Cloud v.1.07.3191。CCleanerは9月12日、CCleaner Cloudは9月15日に感染コードを含まないバージョンが公開されている。

マルウェア感染バージョンでは米国に置かれたサードパーティーのサーバーにコンピューター名やIPアドレス、アプリケーション一覧などを送信することが確認されており、このサーバーは米捜査当局との協力により9月15日にシャットダウンされたという。

Piriformを7月に買収した親会社のAvastは、これらのソフトウェアがマルウェアに感染していると9月12日に結論付け、9月12～15日に非感染バージョンを公開するほか、ダウンロードサイトから感染バージョンを削除するなどの対応も行っている。感染バージョンを使用したユーザーは227万人と推計されており、32ビット版CCleanerのユーザーに対してはv5.34へのアップデートを呼び掛けている。CCleaner Cloudは自動更新でv1.07.3214に更新されているとのこと。

マルウェア感染についてAvastでは、洗練された方法が用いられたと述べている。CiscoのTalosチームでは感染バージョンがPiriformの有効なデジタル証明書で署名されていたことなどから、開発/ビルド環境の一部が感染していた可能性のほか、内部の犯行である可能性も指摘している。

キューバで昨年末から今年春にかけて米国の大使館職員を狙い、健康被害を与える謎の「攻撃」が行われていたそうだ(米国務省報道官ブリーフィング — 9月14日、 APの記事、 The Vergeの記事、 Ars Technicaの記事)。

米国務省が最初にこの問題を認めたのは8月上旬。8月下旬の段階で米職員の被害者は少なくとも16人と説明していた。しかし、14日のブリーフィングでは21人に増加している。

米大使館書記官が「Health Attack」と呼ぶ攻撃や被害の状況について国務省は公式な見解を示していないが、耳鳴りや難聴から軽い脳外傷、神経中枢の傷害まで幅広い被害が出ていると報じられている。APの記事によれば、室内のきわめて狭い範囲で大音量の騒音を聞いた被害者や、振動を感じた被害者もいるとのこと。

被害は職員の自宅のほか、少なくとも1件はホテルで発生しているという。カナダ大使館職員の家族にも被害者が出ているそうだ。音響兵器のようなものが使われたとも推測されるが、装置は大掛かりで隠すのは困難だ。APの記事では超強力な超音波発生装置を並べたプールに頭を突っ込みでもしない限り、脳が損傷を受けることはないとする音響心理学専門家の意見も紹介している。

utahime 曰く、

スロバキア政府のサイバーセキュリティ対策チーム SK-CSIRTは、Pythonパッケージの公式リポジトリ PyPI に悪意あるコードを含む10個の偽ライブラリパッケージがアップロードされていたことを発表した(SK-CSIRTアドバイザリー: skcsirt-sa-20170909-pypi、 Ars Technicaの記事、 The Registerの記事、 Bleeping Computerの記事)。

偽パッケージはいずれも有名パッケージのコピーで、オリジナルのパッケージ名を一部変えた名前が付けられている。コード自体はオリジナルと全く同じものだが、インストール時に実行されるスクリプトが悪意のあるコードを含むものに変えられていたとのこと。

SK-CSIRTの通報により既に問題のパッケージは全てリポジトリから削除されたが、公開されていた6月から9月の間に複数回のダウンロードが確認されているという。そのため、SK-CSIRTではインストールされているパッケージを確認し、偽パッケージが存在する場合は削除して正規のパッケージをインストールすることを推奨している。

The Registerの記事では、タイプミスによりインストールされることを狙ったTypesquattingという手法だと指摘。SK-CSIRTではpipを使用してPythonパッケージをインストールする際は十分な注意が必要だと述べている。なお、偽パッケージに追加されたコードスニペットはPython 3.xと互換性がなく、インストール時の問題が複数回報告されていたが、セキュリティ問題とは認識されていなかったとのことだ。

Enigma Software Group(ESG)によると、大型のハリケーンで大きな被害を受けた米国のテキサス州とフロリダ州では、ハリケーンの接近とともにマルウェア感染数が大きく減少したそうだ(ESGのブログ記事、 BetaNewsの記事)。

データは同社のセキュリティソフトSpyHunterによるもので、テキサス州のヒューストンとフロリダ州のマイアミからのデータに絞って変動をまとめている。ハリケーン Harvey に襲われたヒューストンでは、8月28日～30日のマルウェア感染数は前週平均から26.2%減少。特に大きく減少したのは8月29日で、平均から52.5%減少したという。

マイアミではハリケーン Irma がプエルトリコ付近で5段階中最強のカテゴリー5となった9月6日から減少をはじめ、6日のマルウェア感染数は平均から49.1%減。フロリダ半島を Irma が直撃した10日には平均から89.3%減少し、数えるほどのマルウェアしか検出されなかったそうだ。5日間の平均では通常よりも48.8%少なくなったとのこと。

この現象について、ESGでは 1)インターネット接続手段が失われた 2)インターネット接続ができる人もマルウェアに感染するサイトなどを見ている余裕はなかった、という2つの要素が大きな原因との見方を示している。ESGは気象の影響によるマルウェア感染数の変動をしばしばまとめており、3月には冬の嵐 Stella によるマルウェア感染増という観測結果を発表している。

Kaspersky Lab CEOのユージン・カスペルスキー氏が米下院科学・宇宙・技術委員会の調査・監視小委員会で証言することになったそうだ(カスペルスキー氏のツイート、 V3の記事)。

カスペルスキー氏は同社がロシア政府の影響を受ける可能性があるとの疑惑が持ち上がった際、隠すことなど何もないと述べ、疑惑を晴らすために製品のソースコード開示や米連邦議会での証言などをたびたび提案していた。委員会の招へいもこれを受けたもので、9月27日のヒアリングに出席して証言することを求めている。

米国土安全保障省では13日、Kaspersky Lab製品の連邦政府機関における使用中止・削除計画を90日以内に策定し、90日目から計画を実行に移すように指令を出している。しかし、確固たる証拠があるわけではないようだ。カスペルスキー氏は米政府組織への同社製品販売本数は非常に少ないとツイートしている。

あるAnonymous Coward曰く、

GoogleがSymantecによって発行された証明書を無効化する計画を発表した（Google Security Blog、GIGAZINE、DigiCert、Slashdot）。この問題は、Symantecやその傘下の認証局が適切でないプロセスによって大量にSSL証明書を発行していたというもの（過去記事）。

まず、2018年4月17日前後に安定版がリリースされる予定のChrome 66以降では2016年6月1日以前にSymantecによって発行された証明書が無効化され、2018年10月23日前後に安定版がリリースされる予定のChrome 70では、Symantecが発行したすべての証明書は信頼できないものとして取り扱われる。

また、今年8月、Symantecは認証関連の事業をDigiCertに売却することを発表しているが（過去記事）、DigiCertのシステムに移管される2017年12月1日以降は、Symantecから発行された証明書はChromeでは信頼されないものとして扱われ、この証明書を使用しているサイトの閲覧時などに警告やエラーが表示されるとのこと。

あるAnonymous Coward曰く、

クレジットカードなどの信用情報を扱う米大手消費者信用情報会社Equifaxが不正アクセスによって個人情報を漏洩させたことが報じられている。流出したのは氏名や住所、生年月日のほか、社会保障番号や免許証番号、クレジットカード番号なども含まれているという。（ITmedia）。

これだけならまだ昨今ではよくある話なのだが、漏洩を知った同社役員らがメディアで報じられる前に同社の株式を売却していたことも発覚、批判されている（TechCrunch、THE HELL、米エネルギー・商業委員会、米下院金融サービス委員会、Slashdot）。

また、利用規約には集団訴訟の権利を放棄するという条項が含まれており、こうしたことから政府からも批判を受けているとのこと。Tammy Baldwin上院議員は「Equifaxはこの重大な違反数週間にわたって被害者に伝えなかった」と発言している。また、米エネルギー・商業委員会が書簡で問い合わせを行い、米下院金融サービス委員会は聴聞会を開催すると発表、Equifaxにデータセキュリティ違反がなかったか調べる方針だそうだ。

headless曰く、

Androidに対する「オーバーレイ攻撃」を容易に実行できるようにする脆弱性（CVE-2017-0752）についてPalo Alto Networksが解説している（Palo Alto Networksのブログ、Threatpost、V3、Register）。

オーバーレイ攻撃は他のウィンドウの手前に描画したオーバーレイウィンドウを用いてクリックジャッキングを実行したり、ユーザーの操作を不可能にするといった攻撃だ。これまで知られているAndroidのオーバーレイ攻撃では、攻撃者のアプリで「他のアプリの上に重ねて表示（SYSTEM_ALERT_WINDOW）」のアクセス権限が必要だった。

新たなオーバーレイ攻撃の手法はAndroidでポップアップ通知に使われるToastを使用するものだ。Toastは最前面に表示されるが、特別なアクセス権限は必要ない。Palo Alto NetworksではToastを全画面表示し、オーバーレイウィンドウと同様に使用できることを確認したとのこと。

この脆弱性はAndroid 8.0を除くすべてのバージョンのAndroidが影響を受け、9月のセキュリティパッチで修正されている。なお、この脆弱性を狙った攻撃は現在のところ確認されていないとのことだ。

あるAnonymous Coward 曰く、

JPCERTからの注意喚起が出ているが、さまざまなOSで使われているBluetoothの実装に脆弱性が判明した。この脆弱性は「BlueBorne」と呼ばれており、この脆弱性を悪用することで外部から端末を乗っ取られる可能性もあるという（CNET Japan、ITmedia、TechCrunch、PC Watch）。

影響を受けるOSはLinux Kernel 3.3-rc1以降、BlueZのすべてのバージョン、iOS 9.3.5以前、tvOS 7.2.2以前、9月のセキュリティ更新を適用していないWindow Vista以降、9月のセキュリティパッチを適用していないAndroidと非常に幅広い。物理的な接続なしに攻撃が行えるため、ネットワーク的に隔離されている環境でも攻撃を受ける可能性がある。

不正入手した他人のカード情報をiPhoneの決済機能「Apple Pay」に登録して使用する詐欺事件が発生していたという。背景には中国人らによる犯罪組織が関わっているようだ（ITmedia）。

Apple Payの登録時にはカード発行会社が送信する認証コードが必要だが、カード所有者の個人情報を用意した上でカードの発行会社に対し「電話番号を変更した」などと連絡し、本人が所有していないスマートフォンに認証コードを送信させていたという。使われた個人情報はフィッシングサイトなどで集められていたようだ。

あるAnonymous Coward曰く、

水産庁が、漁船に対し自動でミサイル発射を無線で通知するシステムを導入するという（時事通信、TBS、FNN、琉球新報）。

導入されるのは、内閣官房からミサイル発射情報が発信された場合、それを漁業無線局が自動で音声化して通知するというものだそうだ。

無論ミサイルには弾道弾だけでなく、誤動作で漁船に命中しかねない対艦ミサイルもある。漁民・船員を守る為の船舶用ミサイル警報装置に反対はできまいが、コストエフェクティブかどうかは検討の余地があると思う。

headless曰く、

米大手量販店Best BuyがKaspersky Lab製品の取り扱いをすべて中止したそうだ（Star Tribune、Windows Central、The Register、Neowin）。

米国ではKaspersky Labがロシア政府の影響を受ける可能性があるとして、政府機関でのKaspersky製品排除の動きが進んでいる。2018年国防授権法（NDAA）案には国防省でKaspersky製品の使用を禁ずる条項が盛り込まれており、8月下旬には連邦捜査局（FBI）が米企業にKaspersky製品を使用しないよう要請していることも報じられている。

Star Tribuneによると、Best BuyはKaspersky製品の取り扱いを中止したことを認めたのみで、理由等については回答していないという。ただし、今回の決定に詳しい情報提供者によれば、Best Buyは自ら調査を行ったわけではないが、不明な点があまりにも多いため取り扱い中止の決定を下したとのこと。

10日時点では、Best BuyのWebサイトで「kaspersky」の検索結果は0件であり、GoogleでBest BuyのWebサイトを検索した場合、検索結果に表示される製品ページは削除されているか、品切れとなっているようだ。

なお、Best Buyで購入したKaspersky製品がサブスクリプション期間内の場合は今後45日間無料で他社製品への交換を行うとStar Tribuneは述べているが、Best BuyのWebサイトにそのような告知は見当たらない。また、この件に関連するフォーラムでの質問に対しても、Best Buyからの回答はまだない。