あるAnonymous Coward 曰く、

岐阜県大垣市で開催された「ロボフェスおおがき2017」で4日午後、菓子を上空から撒いていた小型無人航空機(ドローン)が制御を失って墜落する事故が発生した(NHKニュースの記事、 朝日新聞デジタルの記事、 毎日新聞の記事)。

事故発生時、無人航空機はイベント会場の真上を飛行して菓子をばら撒いていたが、突然機体が傾いて来場者の頭上に墜落し、6人が軽傷を負った。幸いにも被害者は擦り傷程度ということだが、一歩間違えば大惨事になった可能性もある(Twitter投稿動画 [1]、 [2]、 [3]、 [4]、 [5])。

航空法では無人航空機のイベント上空の飛行は禁止されている。イベントで使われた無人航空機による菓子のばら撒きサービス提供元では囲いをして飛行直下に参加者を入れないように、とのただし書きをしていたが、今回の事故では全く守られていなかったようだ。

ちなみに、無人航空機から物を投下することも航空法で禁じられている。航空法(PDF)第132条の2第6には「地上又は水上の人又は物件に危害を与え、又は損傷を及ぼすおそれがないものとして国土交通省令で定める場合を除き」投下禁止とあるが、現時点で省令により投下禁止から除外されるものはなく(PDF)、個別に申請し、許可を得る必要がある。

Google PlayにWhatsApp Messengerの偽アプリが複数出現しているようだ(The Registerの記事)。

The Registerが紹介しているのは「Update WhatsApp Messenger」という名称のアプリで、Redditユーザーの調査によると開発者名は正規の開発者と同じ「WhatsApp Inc.」の後ろに「0xC2」「0xA0」の2バイトが付加されていたという。付加された2バイト分は画面上で表示されないので、正規の開発者によるアプリのようにみえる。アプリの内容は基本的に他のアプリの広告を表示するだけのもので、「whatsapp.apk」をダウンロードするコードも含まれていたそうだ。このアプリは既に削除されているが、The Registerによれば100万回以上ダウンロードされていたとのこと。

ただし、偽アプリはこれだけではない。Google Playで「whatsapp」を検索すると、別の「Update WhatsApp Messenger」のほか、「WhatsApp」「WhatsApp Messenger」といった名称のアプリが複数ヒットする。検索結果トップに表示される「WhatsApp Messenger」と2番目の「WhatsApp Wallpaper」は本物のWhatsApp Inc.によるものだが、3位以下は偽開発者によるものだ。

米中央情報局(CIA)は1日、米軍などが2011年にオサマ・ビン・ラディン氏を殺害した際にパキスタン・アボタバードの隠れ家で回収した47万点近いデータファイルを公開した(プレスリリース、 The Vergeの記事、 The Registerの記事、 Ars Technicaの記事)。

回収したデータファイルの一部は印刷物などのリストと合わせ、米国家情報長官室のWebサイトで「Bin Laden's Bookshelf」として、機密指定が解除されたものから順次公開されていた。ただし、これまでに公開されていたデータファイルは計265点であり、文書ファイルが大半を占めていたが、今回公開されたデータは多数の音声/動画/画像ファイルを含む幅広い内容となっている。

公開ページは技術上の問題が発生したとしてアクセスできない状態が続いているが、公開された文書ファイルにはビン・ラディン氏個人の日記も含まれており、およそ79,000点の音声/画像ファイルには演説の練習や連絡用の録音、アルカイダがさまざまな目的で収集または作成した画像などが含まれるという。1万点を超える動画の中にはアルカイダの「ホームビデオ」やビンラディン氏の声明ビデオなどが含まれているそうだ。

今回の資料はこれまで公開されていたものと同様、アルカイダとISISの間に生じた亀裂の原因やビン・ラディン氏が殺害された当時アルカイダが直面していた困難を知ることができる。また、組織内や関係組織間の団結を維持するためのビン・ラディン氏の努力や、失墜したイスラム教のイメージを回復するためのアルカイダの努力といったテーマの資料を見ることもできるとのこと。

なお、国防上の影響がある資料のほか、著作権保護されている資料、ポルノ、マルウェア、空のファイル、破損または重複したファイルは公開から除外されている。著作権保護された資料の中には映画やテレビ番組などが含まれるとのことで、リストの一部がプレスリリースに掲載されている。

BlackBerry CEOのJohn Chen氏がForbesに対し、暗号を破ってターゲットを盗聴するよう裁判所から命じられればそれに従うと明言したそうだ(Forbesの記事、 Softpediaの記事)。

ただし、その前日の10月24日、BlackBerryがロンドンで開催したBlackBerry Security Summitの報道陣向け質疑応答で、Chen氏は自社製品だからといって簡単にセキュリティを無効化できるわけではないと述べていたという。裁判所命令は尊重し、それに従って暗号の解除は試みるが、実際に解除できることを意味するわけではないとのこと。

Chen氏はBlackBerryバージョンのAndroidは最もセキュアなAndroidというだけでなく、Appleや競合他社の製品よりも確実にユーザーのデータを保護できると自慢する。一方、王立カナダ騎馬警察(RCMP)が2010年からBlackBerry Messengerのメッセージを復号可能なマスターキーを持っていたと昨年4月に報じられた際、Chen氏はブログ記事でBlackBerry Enterprise Serverがかかわった可能性を否定したものの、政府による市民のプライバシー侵害は防止すると述べたのみで、マスターキーの存在については否定も肯定もしていない。

英国・ロンドンで、ヒースロー空港のセキュリティに関する文書を保存したUSBメモリーが道に落ちていたそうだ(Mirror Onlineの記事、 The Regisiterの記事、 Ars Technicaの記事、 Softpediaの記事)。

発見者の男性によれば、USBメモリーは図書館へ向かう道で落ち葉の間に落ちていたのだという。男性が図書館のPCで確認したところ、機密情報を含む文書が多数保存されていることがわかり、Sunday Mirrorに知らせたそうだ。USBメモリーには地図や動画、文書など2.5GBのデータが保存されており、機密扱いとマークされているものも含め、暗号化されていなかったとのこと。

内容としては女王や内外の要人が空港を利用する際の移動経路やセキュリティ基準、制限エリア内へ立ち入る際に必要なIDの種類、パトロールのタイムテーブル、監視カメラや避難用通路の位置を記載した地図といったものが挙げられている。

Sunday Mirrorではファイルを空港の責任者に渡し、男性も聴取を受けたという。警察や空港の責任者と協力して流出元の特定を急いでいるが、ファイルがダークウェブを通じてテロリストの手に渡ることを懸念しているとのことだ。

あるAnonymous Coward曰く、

最近、一般的なアプリに偽装し、その裏でこっそり仮想通貨のマイニング（採掘）を行うようなスマートフォンアプリが登場しているようだ（ITmedia）。

トレンドマイクロによると、こういったアプリはGoogle Play上に複数存在しており、動的にマイニングのためのスクリプトを読み込む仕組みになっているようだ。また、正規のアプリに第三者が勝手にマイニングライブラリを追加して配布するケースもある模様。

すでにGoogleには通報済みで、Goolge Playからは削除されているという。マイニングされた仮想通貨は24時間で170ドル相当とあまり大きな収益にはなっていないようだが、インストールした端末のバッテリ消耗が激しくなったり、反応が悪くなるといった弊害があるという。

hylom 曰く、

セキュリティ関連サービスを提供するディアイティ（dit）の社員が不正指令電磁的記録（ウイルス）保管容疑で逮捕された（毎日新聞、日経新聞、京都新聞）。

容疑は勤務先のパソコンを使い、ファイル共有ソフト「Share」上に画像や動画、文書ファイルなどを流出させるウイルス3個を保管したというもの。Share利用者がこのファイルをダウンロードするとウイルスに感染するという。また、このPCにはウイルス入りのファイル約2000個が保管されていたという。

ditは実際にShareでファイルが送信可能な状態になっていたことについては認めているものの、同社はファイル流出監視サービスを行っており、それに基づいた取得・保管だという。

あるAnonymous Coward 曰く、

YouTubeに未発売のiPhone Xを手にする動画が公開され話題となったが、この動画をアップしたBrooke Amelia Petersonさんの父親はiPhone X開発チームの無線通信エンジニアだったそうで、この動画が発端となって父親は解雇される結果になったという（Engadget Japanese、Slashdot）。

問題の動画ではiPhone Xに関して新しい情報は含まれていなかったが、このiPhone Xは従業員だけに配布されるバージョンのもので、非公開のコードネームやソフトウェア、さらにスタッフ固有のQRコードなどが記されていたため、そこから機密情報が漏れる可能性もあったのが解雇の理由とされている。また、Appleの敷地内で撮影が行われた点についても問題とされたようだ。

GMOインターネットが運営しているサービス「サイトM&A」で顧客情報流出が発覚した。10月30日付けで同社からの発表が公開されている。

サイトM&AはWebサイト売買を仲介するサービス。流出したのは同サービスの会員情報14612件で、10月26日から流出した会員への通知を行っていたが、対応が進行中とのことで公表を控えていたという。

日経ITproによると、流出したのは氏名・ユーザー名・法人名・住所・生年月日・電話番号・メールアドレス・登録案件・問い合わせ内容・クイック査定内容とのこと。Webサイトで顧客情報が閲覧可能な状態になっているとの通報があり発覚したという。発覚後も、漏洩した個人情報は閲覧可能な状態が続いているようだ。

先日、Kaspersky Labのセキュリティソフトによって米国家安全保障局（NSA）の機密情報が盗まれたという報道があったが（過去記事）、Kasperskyがこれを否定する内容の内部調査報告を発表した（ZDNet、CNET Japan、Reuters、Slashdot）。

問題となっているのは、NSA職員の個人用PCにインストールされていたKaspersky LabのセキュリティソフトがNSAが使用するハッキングツールをマルウェアと判断し、そのハッキングツールの情報をKasperskyに送信していたというもの。ここで送信された情報がKaspersky経由でロシア政府のハッカーに渡った疑いがもたれている。

Kaspersky Labの発表などによると、一連の問題はNSA職員が個人のPCにMicrosoft Officeのアクティベーションキーを不正に作成するツールをダウンロードしたことが発端だという。このツールにはマルウェアが含まれており、その後Kasperskyのセキュリティソフトがシステムをスキャンしてそれを検知。この際にNSAのハッキングツールもマルウェアとして検出され、解析のために自動的にKasperskyにその情報が送信されたとのこと。

ただし、KasperskyはNSAのハッキングツールの情報を取得したことは認めたものの、ロシア政府や「ロシアのスパイ」への流出は否定している。Kaspersky側は、アクティベーションキー作成ツールに含まれていたマルウェア経由でツールが流出したのではないかと見ている。

あるAnonymous Coward曰く、

Dellのアフターサポート用Webサイトが1か月ほど乗っ取られていた可能性があるという。これを報じたKrebs On Securityによれば、Dellは2017年6月にドメイン更新を忘れたため、第三者によって乗っ取られたとしている。Krebs On Securityは、このアドレスを入力するとマルウェアをホスティングしているサイトにリダイレクトされたとしている（Krebs On Security、Register、Slashdot）。

このアフターサポート用Webサイトは、Dell製PCのほぼすべてにインストールされているバックアップソフト「Dell Backup and Recovery Application」に利用されるほか、PCを工場出荷状態に戻すときにも使われている。Dellは該当ドメイン失効を認めたものの、一時的なもので問題の期間中にマルウェアがユーザーデバイスに転送されたとは考えていないとしている。

ドイツの独立系ITセキュリティ機関 AV-TESTが実施したAndroid向けアンチウイルスソフトウェアのテスト結果によると、Googleの「Google Playプロテクト」では流行中のマルウェアの3分の1以上を検出できなかったそうだ(The best antivirus software for Android、 The Next Webの記事、 Tom's Guideの記事)。

Google PlayプロテクトはGoogle Playに組み込まれたセキュリティサービスで、7月から提供が開始されている。今回のテストは9月分で、Google Playプロテクトは初の評価となる。テストではマルウェア検出率(テスト時点で流行しているマルウェア/4週間以内に発見された新しいマルウェア)による「Protection」と、パフォーマンスへの影響と誤検出数(Google Playで公開されているアプリ/Google Play以外で公開されているアプリ)による「Usability」の2項目について各6点満点で評価される。なお、テスト環境はAndroid 6.0.1で、各ソフトウェアはテスト時点の最新版を使用している。

Google Playプロテクトのテスト結果は、パフォーマンスへの影響なし、誤検出0件で、Usabilityのスコアは6点満点を獲得している。しかし、マルウェア検出率は流行中のマルウェアが65.8%、新しいマルウェアが79.2%で、Protectionのスコアは0点となった。今回テストされた21本のうち、認定証を獲得できなかったのはGoogle Playプロテクトのみだ。なお、そのほかのセキュリティ機能もチェックされているが、評価の対象にはなっていない。

ロシアKaspersky Labsが23日、「comprehensive transparency initiative」（包括的な透明性構想）」についてブログで発表した。ソースコードのレビューや内部プロセスなどを外部機関に行ってもらうことで透明性を計るというものだ。

Kaspersky Labsはウイルス対策ソフトなどセキュリティ関連製品を開発・販売しているが、ロシア政府とつながりがあるとの疑いが出ており、米国で政府機関での導入禁止や量販店Best Buyでの取り扱い中止といった事態になっている。Kasperskyは第三者機関にソースコードや同社内の開発・決定プロセスを開示することでこういった疑惑を払拭したいようだ。さらに、今後3年のうちに世界3カ所で透明性に関する拠点を設置すること、バグ発見者に対する報奨金の増加なども行うという。

あるAnonymous Coward 曰く、

NHKが、クレジットカード継続払いを申請したユーザーの申し込み書類3306枚を紛失したと発表した。氏名や住所、電話番号、メールアドレス、クレジットカード番号、有効期限が記載されており、これらが流出した可能性があるという（ITmedia、日経ITpro）。

紛失したのは2011年4月22日～28日にNHKのWebサイトで申し込みをした顧客のもの。これら書類を廃棄業者に依頼して廃棄する途中、1箱分が行方不明になったという。「静岡県沼津市内の路上に申し込み書が落ちている」との通報で発覚したそうだ。これが事実なら業者側の不手際でNHKはとばっちりを受けた形だが、しかしWebサイトで申し込んだものをなぜ印刷したのかという疑問が……。

taraiok曰く、

国土安全保障省と米連邦捜査局（FBI）が、ハッカーがエネルギー関連企業を標的にしているという警告を発表した。政府がこうした警告を出すのは珍しい（Reuters、Slashdot）。

これによると、ターゲットになっているのは原子力、エネルギー、航空、水道などの公共インフラ。すでにハッカーたちはすでに標的に侵入することに成功し、ネットワークの状況を視察済みだとしている。また政府の警告メールには、攻撃に使用されたマルウェアに関する6つの技術文書が添付されていたという。サイバーセキュリティー企業のCEOは、この報告書は、ロシア政府の利益のために働いているハッカーについて記述しているようだと述べている