米連邦航空局(FAA)が国際民間航空機関(ICAO)に対し、大型のパーソナル電子機器を国際線旅客機の預入手荷物に入れることを禁止するよう提案しているそうだ(Chicago Tribuneの記事、 Consumeristの記事)。

FAAでは満充電のノートPCを入れたスーツケースを用い、10種類のテストを実施。ヒーターでバッテリーが熱暴走するまで加熱してバッテリーの過熱状態を再現している。ドライシャンプーのスプレー缶(預入手荷物に入れることが認められている)をノートPCにくくり付けたテストでは、ほぼ瞬時に発火して燃え広がり、缶は40秒以内に爆発したそうだ。

このケースでは火の回りが速く、スプレー缶が爆発する前に消火システムが動作しなかったという。爆発は機体にダメージを与えるほどではないが、貨物室にダメージを与えるには十分であり、消火システムのハロンガスが抜けて消火できなくなる可能性もある。また、預入手荷物に入れることが認められているマニキュアリムーバーやハンドサニタイザーなどと組み合わせたテストでは、爆発はしなかったものの火が大きく燃え広がったとのこと。

FAAはテスト結果を踏まえ、航空会社が許可しない限り乗客が大型のパーソナル電子機器を預入手荷物に入れることは認められるべきではないと述べているそうだ。この提案には欧州航空安全局(EASA)やエアバスなどが賛同しているという。ただし、FAAによればスマートフォンよりも大きなパーソナル電子機器はほとんどが機内に持ち込まれているとのことで、預入を禁止しても大きな影響はなさそうだ。

米国ではこの春、中東から米国への直行便でスマートフォンよりも大きなパーソナル電子機器の機内持込を禁止し、預入手荷物に入れるよう求めていた。持込制限は7月に終了しているが、EASAはリチウム電池を含む機器を機内持込にすることが望ましいと述べていた。

Microsoftが9月に発見したGoogle Chromeの脆弱性を例に、Googleのパッチ提供方針を批判している(Windows Security blogの記事、 The Vergeの記事、 Neowinの記事、 The Registerの記事)。

CVE-2017-5121はChromeのV8 JavaScriptエンジンで境界外メモリーアクセスが可能になるというもの。MicrosoftはGoogleのProject Zeroチームがよく使用するFuzzingという手法で脆弱性を検出し、リモートからのコード実行が可能になることも確認したとのこと。

GoogleはMicrosoftから9月14日に脆弱性の通知を受け、9月21日に安定版をリリースしたChrome 61.0.3163.100で修正している。ただし、この脆弱性に関するバグトラッカーは一般公開されていないが、修正がGitHubでコミットされたのは9月18日。Microsoftはコードの修正部分は修正版の一般提供後に公開すべきだと主張する。

本件ではバグの修正内容から直接脆弱性を知ることはできなず、修正版が一般提供開始されるまでの期間も短い。しかしMicrosoftによれば、Chromeでは修正がコミットされてから1か月近くたって修正版の一般提供が開始されたものもあるという。

MicrosoftではMicrosoft EdgeのJavaScriptエンジン「Chakra」のコア部分を「ChakraCore」としてオープンソース化しているが、修正版の提供を開始するまではリポジトリの更新を行わないとのことだ。

Googleが最近Windows版のChromeに追加したという、セキュリティ機能の強化を紹介している(The Keywordの記事、 ESETのプレスリリース、 9to5Googleの記事、 BetaNewsの記事)。

強化されたセキュリティ機能はユーザー設定の無断変更の検出・復元機能と、望ましくないソフトウェアの検出・削除機能だ。Chromeの拡張機能の中にはユーザーに無断で設定を変更するものがある。このような無断変更が行われた場合、Chromeが検出して設定を復元するかどうかのダイアログボックスが表示されるようになったという。この機能により、過去1か月で望まない設定を元に戻したユーザーは数百万人に上るそうだ。なお、「chrome://settings/resetProfileSettings」にアクセスすることで、いつでもユーザー設定をリセットできる。

望ましくないソフトウェアを検出・削除するChrome Cleanupは、ユーザーインターフェイスがよりシンプルにわかりやすくなったという。さらにGoogleはESETと提携し、Chromeのサンドボックス技術とESETの検出エンジンの組み合わせにより、これまでよりも確実に望ましくないソフトウェアを検出・削除できるようになっている。なお、この検出エンジンは「望ましくないソフトウェアのポリシー」に従わないソフトウェアの検出に特化しており、汎用のウイルス検出プログラムとして動作するわけではないので注意が必要だ。新しい検出エンジンはChrome for Windowsのユーザーにロールアウトを開始しているとのことだ。

headless曰く、

先日話題になったWPA2の脆弱性「KRACK」だが、Microsoftはサポート対象のすべてのWindowsについて、既に10月の月例更新で修正済みだったそうだ。LinuxやAppleのOSなどでも対応が進められている（The Verge、Softpedia、Mac Rumors、Neowin、BetaNews）。

KRACK（Key Reinstallation AttaCK）攻撃は偽のアクセスポイントを使用してクライアントにWPA/WPA 2の暗号鍵を再インストールさせることで、通信内容の復号が可能になるというもの。アクセスポイントではなくクライアントを対象にした攻撃であり、クライアント側のパッチで回避可能になる。

Windowsが影響を受けるのはCVE-2017-13080で、Windows 7～Windows 10、Windows Server 2008～2016のうち、10月10日時点でサポートされているバージョンにパッチが提供されている。なお、Windows 10は最初にリリースされたバージョン（RTM）からバージョン1703（Creators Update）まで、すべてのバージョンにパッチが提供されたようだ（セキュリティ更新プログラムガイド）。

Windows以外のOSではOpenBSDやDebian、Ubuntu、Fedora、Red Hat、Linux Mint、elementary OS、Arch Linux、Solusなどがパッチの提供を発表しており、LinageOSもパッチをマージしている。Appleはベータ版のiOS/tvOS/watchOS/macOSで修正済みだといい、Googleは数週間のうちにAndroidのパッチをリリースすると述べているそうだ。

デバイス関連ではIntelやCisco、NETGEAR、Aruba、Ubiquitiが修正版ファームウェア提供などの対策を発表している。

ioi 曰く、

世界中の無線LAN機器で広く使われている暗号化規格「WPA2」に脆弱性があることが分かったという。セキュリティカンファレンスBlack hat EUROPE 2017にて「攻撃によりWPA2を突破した」との声明も出ている。

詳細については後ほど上がるとのこと。各自防衛されることをお勧めしたい。

Ars Technicaによると、「KRACK」と名付けられた実証コードが作成されており、コネクションの乗っ取りや改ざんが行えることが確認されているという。また、詳細はCVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、CVE-2017-13081、CVE-2017-13082、CVE-2017-13084、CVE-2017-13086、CVE-2017-13087、CVE-2017-13088として公表される模様（現時点ではまだ具体的な情報は公開されていない）。

Kaspersky Labの製品が原因で米国家安全保障局(NSA)の機密情報がロシアに盗まれたと先日報じられた件について、発見したのはKasperskyのネットワークに侵入したイスラエルの諜報機関だったとThe New York Timesが報じている(The New York Timesの記事、 The Registerの記事、 Ars Technicaの記事、 The Guardianの記事)。

記事によれば、イスラエルの諜報機関は2014年からKasperskyのネットワークに侵入し、2015年半ばにKasperskyが発見するまで監視活動を行っていたのだという。そこでロシア政府のハッカーが米諜報プログラムのコードネームをキーワードにし、Kasperskyが収集したマルウェアまたは疑わしいファイルのサンプルから米国の機密情報を検索・回収していたのを確認した、ということのようだ。

ただし、ロシア政府のハッカーによる活動に対し、Kasperskyが関与していたことを示す具体的な証拠はない。記事ではロシアの企業がロシア政府に協力を命じられた場合は拒否するのが困難であることも指摘するが、ロシア政府のハッカーがひそかにネットワークへ侵入していた可能性や、ロシアの諜報部員が企業内に入り込んでいた可能性も指摘している。

あるAnonymous Coward 曰く、

楽天カードで、第三者によって勝手に登録している住所を変更できてしまう問題が見つかったという（けんすう氏のTweet、Togetterまとめ）。

適当な楽天IDを取得し、他人の名前や生年月日等を使って楽天カードの申し込みをすると、その入力した個人情報に該当する個人がすでに楽天カードを保有していた場合、ここで入力された住所に勝手に登録住所が変更されてしまうと言う。

楽天カードからの郵便物は登録住所に送られるため、これによって情報漏洩が引き起こされる可能性もある。

ITmediaの取材によると、楽天は11日にシステムを見直し、この問題を修正したという。

あるAnonymous Coward曰く、

iOSでは、突然ユーザーのApple IDやパスワードの入力を求めるポップアップが表示されることがある。たとえばアプリをダウンロードする場合や、iCloudにアクセスする際などにこのポップアップは表示されるが、iOSユーザーはあまりにもこのポップアップの出現やそこにID/パスワードを入力することに慣れすぎているため、悪意のあるアプリなどはこのポップアップに似せたポップアップを表示するだけでIDやパスワードを手できてしまう可能性があるとの指摘が出ている。

この指摘を行っているFelix Krauseのブログでは、ポップアップを実際に作成してiOSが表示する正しいポップアップと比較しているが、スクリーンショットを見るだけではまったく区別は付かないものとなっている。

対策としては、ホームボタンを押してアプリを閉じることでそのポップアップが正当なものかどうかを判別できるとのこと。アプリと一緒に消えるポップアップは偽物で、アプリを閉じても表示されたままのポップアップはシステムによる正当なものだそうだ。また、このポップアップが表示されてもキャンセルし、「設定」アプリ経由でID/パスワードを入力することなどでもフィッシングを回避できるという。

headless曰く、

米大統領首席補佐官ジョン・ケリー氏の私物携帯電話が、何らかの「電子的な侵害」にあっていたそうだ（POLITICO、The Verge、Neowin）。

この問題は早ければケリー氏が国土安全保障省（DHS）長官に就任する前の昨年12月に発生していたとみられる。そのため、DHS長官を務めている間から首席補佐官就任後まで、ハッカーや外国政府がデータにアクセスしていた可能性が懸念されている。

発覚のきっかけはこの夏、数か月前から携帯電話の調子が悪いとして、ケリー氏がホワイトハウスのテクニカルサポートスタッフにチェックを依頼したことだ。その結果、データ侵害の可能性が確認されることになる。

ただし、ケリー氏は政権入りしてから私物の携帯電話をほとんど使っておらず、公式な通話では政府が用意した公用の携帯電話のみを使用していたそうだ。また、侵害発覚後は私物の携帯電話を変更したとのこと。

侵害がいつ、どのようにして発生し、どのようなデータがアクセスされていたのかについては調査が進められているが、携帯電話は多くの機能が正常に動作しなくなっているという。最悪のケースでは攻撃者がカメラやマイクを含む全機能を制御できていた可能性も指摘されている。

Google Chromeではセキュリティやプライバシ保護のため、公式の拡張ダウンロードサイトであるGoogleウェブストア以外からの拡張インストールが禁止されている。しかし、この公式Googleウェブストアで人気拡張である「Adblock Plus」に偽装した拡張が公開されていたことがセキュリティ研究者によって発見された（The Verge、GIGAZINE）。

Adblock Plusに見せかけて公開されていた拡張は「AdBlock Plus」という名称で、アイコンもAdblock Plusと同じものを使用。また、本物のAdblock Plusの提供元は「adblockplus.org」だが、偽物は「Adblock Plus」となっていたという。

この偽物は3万7000件以上ダウンロードされており、100件以上の評価も付けられている模様。

最新版macOSであるmac OS High Sierra 10.13で、パスワード入力ダイアログの「パスワードのヒント」ボタンを押すと、ヒントではなくパスワードが表示されるという不具合が発見された（PC Watch）。10月5日付けでこの問題を修正するアップデートがリリースされている（Appleのサポートページ）。

Appleによると、この問題はmacOS High Sierra 10.13で、ディスクユーティリティでAPFS形式の暗号化ボリュームを作成した場合にパスワードをヒントとして保存してしまうために発生するという。アップデートでこの問題が修正され、またヒントにパスワードが設定されていた場合はそのヒントを消去するとのこと。

Microsoft Office 2007およびOffice for Mac 2011のサポートが10月10日に終了する(サポート終了の重要なお知らせ — Office 2007、 Office 2007サポート終了のロードマップ、 Office 2016にアップグレードする方法、 Office for Mac 2011のサポート情報)。

Office 2007は2012年10月9日にメインストリームサポートが終了し、延長サポート期間に入っていた。Office for Mac 2011は延長サポートがなく、2016年1月にメインストリームサポートの終了が予定されていたが、標準ライフサイクル以降タイムラインを全ユーザーに提供するためとして2017年10月10日まで延長されていた。

Microsoftでは該当製品のユーザーに対し、Office 365サブスクリプションまたはパッケージ版Office 2016への移行を推奨している。なお、10月31日にはOffice 365でRPC over HTTPが廃止されるため、以降はOutlook 2007でOffice 365メールボックスに接続できなくなるとのこと。

Kaspersky Labのアンチウイルスソフトウェアが原因で米国家安全保障局(NSA)の機密情報がロシアのハッカーに盗まれたというThe Wall Street Journalの報道を、ユージン・カスペルスキー氏が批判している(Nota Beneの記事、 Ars Technicaの記事、 The Next Webの記事、 The Guardianの記事)。

報道の内容は、NSAの契約スタッフが機密情報を持ち帰って自宅のコンピューターに移したところ、インストールされていたKaspersky製品に検出され、それを知ったロシア政府のハッカーが機密情報を盗んだというもの。機密情報には他国のネットワークに侵入する方法や、攻撃に対応する方法が含まれていたという。元NSA職員の証言として、Kaspersky製品が非常にアグレッシブにマルウェアを探し出す点なども指摘されている。

ただし、このハッカーがどのようにして機密情報の存在を知ったのかについては不明とされており、Kaspersky Labがロシア政府に協力していたことを示す証言はない。事件は2015年に発生したが、明らかになったのは2016年初めとだといい、米政府機関でKaspersky製品の使用が禁止された根拠の一つとみられている。

これについてセキュリティ関係者や安全保障関係者などからは、スタッフが機密情報を持ち出せるNSAのセキュリティに対する批判や、情報源が匿名で明確な証拠がない、Kasperskyは自分の仕事をしただけだ、といった指摘が出ているようだ。

カスペルスキー氏は事件の内容をC級映画の脚本のようだと批判する一方、アグレッシブにマルウェアを探し出すという指摘は誉め言葉だと述べている。セキュリティ企業が脅威を発見したら、出元や目的にかかわらずユーザーを保護するのは当然のことであり、重大な脅威については業界の仲間たちとも情報を共有するとのこと。もしもユーザーの信頼を裏切るようなことがあれば、他社が容易に発見し、Kasperskyは廃業することになるだろうとも述べている。

Mozillaは4日、FirefoxでのWindows XP/Vistaのサポートを2018年6月に終了すると発表した(Future Releasesの記事、 VentureBeatの記事、 The Registerの記事)。

Mozillaは昨年12月にFirefoxのWindows XP/Vistaサポート終了計画を発表していた。Windows XP/Vistaでは今年3月にリリースされたFirefox 52が延長サポート版(ESR)となり、サポートが提供される最後のメジャーバージョンとなっている。セキュリティアップデートについては少なくとも今年9月までは提供されることになっていたが、来年6月まで延長されることになる。ただし、MozillaではWindows XP/Vistaユーザーに対し、MicrosoftがサポートするバージョンのWindowsにアップグレードすることを強く推奨している。

ymasa 曰く、

東京メトロポリタンテレビジョン（TOKYO MX）の公式Webサイトがサイバー攻撃を受けたとのこと（ITmedia、TOKYO MXの発表PDF）。メールアドレスなど最大37万件あまりが流出した可能性があるという。

「サーバーの脆弱性」を狙われ、一部番組のコメント投稿フォームから投稿されたメールアドレスおよびニックネーム37万件と、1270件の氏名およびメールアドレスを不正に取得された可能性があるという。流出した情報に住所、電話番号、クレジットカード番号などは含まれていない。