GoogleはAndroidの「KRACK」脆弱性を11月のセキュリティパッチで修正しているが、Nexus/PixelデバイスにはKRACK対策を含むパッチが12月まで提供されないそうだ(Ars Technicaの記事)。

10月に公表されたKRACK(Key Reinstallation AttaCK)はWPA2の脆弱性で、偽アクセスポイントを使用してWi-FiクライアントにWPA/WPA2の暗号鍵を再インストールさせることで通信内容の復号が可能になる。wpa_supplicant 2.4以降を使用するバージョンのLinuxへの影響が特に大きいとされ、Androidでは6.0以降のすべてのバージョンにおける影響が大きいとして注意喚起されていた。

GoogleがAndroidのKRACK脆弱性を修正したのはセキュリティパッチレベル2017-11-06だが、11月に提供されるNexus/Pixelデバイス向けのセキュリティパッチはレベル2017-11-05までとなっている。その結果、OEMメーカーがKRACK対策パッチを続々と提供するのに対し、GoogleブランドのすべてのAndroidデバイスは12月まで対策されないことになる。これについてArs Technicaの記事では、KRACK脆弱性のAndroidに対する影響は大したことがないと指摘する。

maia 曰く、

米国土安全保障省(DHS)は米運輸保安庁(TSA)による空港の保安検査で武器や爆発物を発見できるかどうかの覆面調査を時々行っているが、最新の調査で約8割が検出されなかったという(Daily Mail Onlineの記事)。

今年の6月下旬にミネアポリス-セントポール国際空港で行われた調査では18個中17個を検出できず、失敗率約94％だったので少しは改善したかもしれない。2015年の覆面調査では70個中67個通過したので失敗率は約96％だった。

ちなみに2015年に米国の空港では銃2,653丁が発見されており、その83％は弾が装填されていたという。

今回の調査結果は非公表であり、ABC Newsが関係者に失敗率は80%程度かと尋ねたところ、「そんなものだ」との回答を得たとのこと。TSAでは空港の保安検査場で発見した武器の数を毎週ブログで公表しており、ほぼ毎週80丁前後の銃が発見されている。50丁を下回る週は少なく、150丁を超える週もある。2016年に保安検査場で発見した銃の数は3,391丁で、83%(2,815丁)が装填されていたとのことだ。

WikiLeaksは9日、米中央情報局(CIA)のハッキングツールに関する情報を公開するプロジェクトの新シリーズ「Vault 8」を開始した(Vault 8 - Hive、 The Registerの記事)。

WikiLeaksはVault 7でCIAのハッキングツールのドキュメントを公開しているが、Vault 8ではVault 7で公開したハッキングツールを含め、ソースコードや解析結果を公開する。第1弾は4月にドキュメントを公開した「Hive」に関するものだ。Hiveはターゲットホストに侵入させた他のマルウェアが安全にCIAと通信できるようにするバックエンドインフラストラクチャーとなっている。

HiveではターゲットホストからのトラフィックがVPSサーバーを通じてプロキシサーバー「Blot」に送られ、「HELLO」パケットにツールIDが埋め込まれていればツールハンドラー「Honeycomb」に転送する。それ以外のトラフィックは無害なコンテンツを提供する隠蔽用のサーバーに転送されるという仕組みだ。

今回新たに公開されたのはHiveのリポジトリのアーカイブとコミット履歴の2件。リポジトリの/client/ssl/CA以下にはKaspersky Labの偽証明書を生成するサンプルも含まれる。また、Vault 7で公開済みのドキュメント6件もあわせてリストアップされている。

Googleは8日、ユーザーから多くの不満が寄せられている3種類のWebページリダイレクトについて、来年からGoogle Chromeでブロック開始する計画を明らかにした(Chromium Blogの記事、 VentureBeatの記事、 The Vergeの記事、 Neowinの記事)。

来年1月23日リリース予定のChrome 64では、Webページに埋め込まれたサードパーティーのコンテンツによるリダイレクトをブロックするようになる。iframeからのリダイレクトはユーザーの操作によるものでない限りブロックされ、通知バーにその旨が表示されるとのこと。

ポップアップブロック機能を迂回する「逆ポップアップ」とも呼ばれる動作もユーザーの不満が多く聞かれるリダイレクトの一つだという。これはリンクをクリックした際にリンク先ページを新しいタブで開き、元のタブでユーザーが望まないコンテンツへのリダイレクトを行うというものだ。3月6日にリリース予定のChrome 65では元のタブのリダイレクトがブロックされるようになり、iframeからのリダイレクトブロックと同様に通知される。

また、1月初めにはユーザーをだまして望まないポップアップウィンドウや新しいタブを開くといった不正行為に対し、Google Safe Browsingと同様の仕組みによるブロッキングも開始するという。対象には再生ボタンやその他のWebページコントロールを装ってクリックさせたり、全面に透明レイヤーを配してすべてのクリックを乗っ取ったりする手法が含まれる。この変更にサイト所有者が備えられるよう、Google Web Toolsに不正行為リポート(Googleアカウントへのログインが必要)を表示する機能も追加されている。報告された不正行為を修正せずに30日以上経過すると、ブロック対象になるとのことだ。

アイデンティティとアクセス管理(IAM)ソリューションを提供するOne Identityの調査によれば、ITセキュリティプロフェッショナルの18%が特権アカウントの資格情報管理を紙ベースで行っているそうだ(調査結果概要、 BetaNewsの記事)。

調査はOne Identityの依頼によりDimensional Researchがオンラインで実施したもので、IAMの知識がある米国およびカナダ、英国、ドイツ、フランス、オーストラリア、シンガポール、香港のITセキュリティプロフェッショナル913名が回答している。

紙ベースで特権アカウントを管理しているという回答はドイツが26%で最も高く、英国(23%)、シンガポール(22%)が続く。また、回答者の36%は表計算プログラムを使用して特権アカウントを管理しており、67%は2種類以上のツールに依存しているという。

企業システムへの侵入では全体のおよそ80%で特権アカウントがかかわっているが、回答者の57%は特権アカウントの一部のみ、またはまったく監視していないそうだ。また、回答者の21%は管理者アカウントが実行した処理を監視または記録できない点、32%は管理者として処理を実行するユーザーの一貫した識別ができない点を問題点として挙げている。

また、ミッションクリティカルなシステムの管理者アカウントを使用後に変更するという回答は14%にとどまり、ハードウェアやソフトウェアのデフォルト管理者パスワードの変更が確実に実行されていないとの回答も40%に上ったとのことだ。

あるAnonymous Coward曰く、

電子回路設計データの暗号化などの標準規格であるIEEE P1735に脆弱性が確認された。これによって暗号化された電子回路設計データが解読されたり、意図しない変更を加えられる可能性があるという（JVNVU#93593263、ITmedia）。

P1735は、さまざまな記述言語で実装された電子回路を暗号化するための標準規格。これによって、暗号化された回路設計データをさまざまなツールで扱えるようになる。攻撃手法としては、暗号化されたデータを設計支援ツールに読み込ませた際、処理内容に応じて異なるエラーが発生することを使って解読を行うというもののようだ。

utahime 曰く、

オープンソースのウィルス対策ソフトウェア「ClamAV」で、ウィルス検出に用いられるシグネチャファイルの配信でトラブルが発生しているようだ（公式ブログの記事）。

問題が発生したのは11月1日だが、現時点でも復旧の告知はされていない。何か深刻なトラブルが発生しているのかもしれない。

あるAnonymous Coward 曰く、

先日GMOインターネット、「サイトM&A」の登録情報を漏洩という話があったが、ここで漏洩したとされる個人情報がAmazon.co.jpで電子書籍として販売されていたことが確認された模様（日経ITpro）。

すでにGMOインターネットからからの削除依頼を受けてAmazon側での発売は停止されている。この電子書籍は個人が直接Amazonと契約して電子書籍を発売できる「Amazon Kindle ダイレクト・パブリッシング」を使って販売されたようだ。

あるAnonymous Coward 曰く、

南ドイツ新聞と非営利組織・国際調査報道ジャーナリスト連合（ICIJ）が、英領バミューダ諸島などの租税回避地に設立された法人に関する電子データを入手、その内容を報じている（朝日新聞）。

この文書は「パラダイス文書」と名付けられており、バミューダの大手法律事務所Appleby（アップルビー）の内部文書、シンガポールの法人設立業者の内部文書、バハマ・マルタなどの登記文書などが含まれているという。これに対しアップルビーはサイバー攻撃によって情報が違法に入手されたと主張しているようだ（朝日新聞の別記事）。

エリザベス英女王、鳩山由紀夫・元首相、ウィルバー・ロス米商務長官など、47カ国・127人の政治家・君主らの名前がこの文書内で確認できているという。

あるAnonymous Coward 曰く、

岐阜県大垣市で開催された「ロボフェスおおがき2017」で4日午後、菓子を上空から撒いていた小型無人航空機(ドローン)が制御を失って墜落する事故が発生した(NHKニュースの記事、 朝日新聞デジタルの記事、 毎日新聞の記事)。

事故発生時、無人航空機はイベント会場の真上を飛行して菓子をばら撒いていたが、突然機体が傾いて来場者の頭上に墜落し、6人が軽傷を負った。幸いにも被害者は擦り傷程度ということだが、一歩間違えば大惨事になった可能性もある(Twitter投稿動画 [1]、 [2]、 [3]、 [4]、 [5])。

航空法では無人航空機のイベント上空の飛行は禁止されている。イベントで使われた無人航空機による菓子のばら撒きサービス提供元では囲いをして飛行直下に参加者を入れないように、とのただし書きをしていたが、今回の事故では全く守られていなかったようだ。

ちなみに、無人航空機から物を投下することも航空法で禁じられている。航空法(PDF)第132条の2第6には「地上又は水上の人又は物件に危害を与え、又は損傷を及ぼすおそれがないものとして国土交通省令で定める場合を除き」投下禁止とあるが、現時点で省令により投下禁止から除外されるものはなく(PDF)、個別に申請し、許可を得る必要がある。

Google PlayにWhatsApp Messengerの偽アプリが複数出現しているようだ(The Registerの記事)。

The Registerが紹介しているのは「Update WhatsApp Messenger」という名称のアプリで、Redditユーザーの調査によると開発者名は正規の開発者と同じ「WhatsApp Inc.」の後ろに「0xC2」「0xA0」の2バイトが付加されていたという。付加された2バイト分は画面上で表示されないので、正規の開発者によるアプリのようにみえる。アプリの内容は基本的に他のアプリの広告を表示するだけのもので、「whatsapp.apk」をダウンロードするコードも含まれていたそうだ。このアプリは既に削除されているが、The Registerによれば100万回以上ダウンロードされていたとのこと。

ただし、偽アプリはこれだけではない。Google Playで「whatsapp」を検索すると、別の「Update WhatsApp Messenger」のほか、「WhatsApp」「WhatsApp Messenger」といった名称のアプリが複数ヒットする。検索結果トップに表示される「WhatsApp Messenger」と2番目の「WhatsApp Wallpaper」は本物のWhatsApp Inc.によるものだが、3位以下は偽開発者によるものだ。

米中央情報局(CIA)は1日、米軍などが2011年にオサマ・ビン・ラディン氏を殺害した際にパキスタン・アボタバードの隠れ家で回収した47万点近いデータファイルを公開した(プレスリリース、 The Vergeの記事、 The Registerの記事、 Ars Technicaの記事)。

回収したデータファイルの一部は印刷物などのリストと合わせ、米国家情報長官室のWebサイトで「Bin Laden's Bookshelf」として、機密指定が解除されたものから順次公開されていた。ただし、これまでに公開されていたデータファイルは計265点であり、文書ファイルが大半を占めていたが、今回公開されたデータは多数の音声/動画/画像ファイルを含む幅広い内容となっている。

公開ページは技術上の問題が発生したとしてアクセスできない状態が続いているが、公開された文書ファイルにはビン・ラディン氏個人の日記も含まれており、およそ79,000点の音声/画像ファイルには演説の練習や連絡用の録音、アルカイダがさまざまな目的で収集または作成した画像などが含まれるという。1万点を超える動画の中にはアルカイダの「ホームビデオ」やビンラディン氏の声明ビデオなどが含まれているそうだ。

今回の資料はこれまで公開されていたものと同様、アルカイダとISISの間に生じた亀裂の原因やビン・ラディン氏が殺害された当時アルカイダが直面していた困難を知ることができる。また、組織内や関係組織間の団結を維持するためのビン・ラディン氏の努力や、失墜したイスラム教のイメージを回復するためのアルカイダの努力といったテーマの資料を見ることもできるとのこと。

なお、国防上の影響がある資料のほか、著作権保護されている資料、ポルノ、マルウェア、空のファイル、破損または重複したファイルは公開から除外されている。著作権保護された資料の中には映画やテレビ番組などが含まれるとのことで、リストの一部がプレスリリースに掲載されている。

BlackBerry CEOのJohn Chen氏がForbesに対し、暗号を破ってターゲットを盗聴するよう裁判所から命じられればそれに従うと明言したそうだ(Forbesの記事、 Softpediaの記事)。

ただし、その前日の10月24日、BlackBerryがロンドンで開催したBlackBerry Security Summitの報道陣向け質疑応答で、Chen氏は自社製品だからといって簡単にセキュリティを無効化できるわけではないと述べていたという。裁判所命令は尊重し、それに従って暗号の解除は試みるが、実際に解除できることを意味するわけではないとのこと。

Chen氏はBlackBerryバージョンのAndroidは最もセキュアなAndroidというだけでなく、Appleや競合他社の製品よりも確実にユーザーのデータを保護できると自慢する。一方、王立カナダ騎馬警察(RCMP)が2010年からBlackBerry Messengerのメッセージを復号可能なマスターキーを持っていたと昨年4月に報じられた際、Chen氏はブログ記事でBlackBerry Enterprise Serverがかかわった可能性を否定したものの、政府による市民のプライバシー侵害は防止すると述べたのみで、マスターキーの存在については否定も肯定もしていない。

英国・ロンドンで、ヒースロー空港のセキュリティに関する文書を保存したUSBメモリーが道に落ちていたそうだ(Mirror Onlineの記事、 The Regisiterの記事、 Ars Technicaの記事、 Softpediaの記事)。

発見者の男性によれば、USBメモリーは図書館へ向かう道で落ち葉の間に落ちていたのだという。男性が図書館のPCで確認したところ、機密情報を含む文書が多数保存されていることがわかり、Sunday Mirrorに知らせたそうだ。USBメモリーには地図や動画、文書など2.5GBのデータが保存されており、機密扱いとマークされているものも含め、暗号化されていなかったとのこと。

内容としては女王や内外の要人が空港を利用する際の移動経路やセキュリティ基準、制限エリア内へ立ち入る際に必要なIDの種類、パトロールのタイムテーブル、監視カメラや避難用通路の位置を記載した地図といったものが挙げられている。

Sunday Mirrorではファイルを空港の責任者に渡し、男性も聴取を受けたという。警察や空港の責任者と協力して流出元の特定を急いでいるが、ファイルがダークウェブを通じてテロリストの手に渡ることを懸念しているとのことだ。

あるAnonymous Coward曰く、

最近、一般的なアプリに偽装し、その裏でこっそり仮想通貨のマイニング（採掘）を行うようなスマートフォンアプリが登場しているようだ（ITmedia）。

トレンドマイクロによると、こういったアプリはGoogle Play上に複数存在しており、動的にマイニングのためのスクリプトを読み込む仕組みになっているようだ。また、正規のアプリに第三者が勝手にマイニングライブラリを追加して配布するケースもある模様。

すでにGoogleには通報済みで、Goolge Playからは削除されているという。マイニングされた仮想通貨は24時間で170ドル相当とあまり大きな収益にはなっていないようだが、インストールした端末のバッテリ消耗が激しくなったり、反応が悪くなるといった弊害があるという。