ユーザーの目につきにくい位置にWebブラウザーのポップアップウィンドウを開き、仮想通貨採掘スクリプトを実行する手法が確認されたそうだ(Malwarebytes Labsの記事、 Ars Technicaの記事、 The Registerの記事、 Windows Centralの記事)。

Webページ閲覧者の合意を得ずに仮想通貨採掘スクリプトを実行する「cryptojacking」や「drive-by cryptomining」などと呼ばれる手法は、サーバーの脆弱性を突いて第三者がスクリプトを埋め込む例が数千件確認されて問題になっている。ただし、マルウェアで仮想通貨を採掘するのとは異なり、仮想通貨採掘スクリプトは別のページに移動したり、ブラウザーを終了したりすれば停止させることができる。

新たに発見された手法は、Windowsのタスクバーに隠れる位置を指定してポップアップウィンドウを開くというものだ。ポップアップウィンドウの存在はタスクバーのボタンで確認でき、タスクバーを半透明にしていれば透けて見える。また、タスクマネージャーでもWebブラウザーのプロセスが残っていることは確認できるが、注意を払っていなければそのままになる可能性もある。演算量を絞ることで気付かれにくいようにする手法も用いられているようだ。なお、動作はGoogle Chrome上で確認されており、別のWebブラウザーでは結果が異なる可能性もある。

無断で行われる仮想通貨採掘には、仮想通貨「Monero」を採掘するCoinhiveのスクリプトが使われることが多いようだ。Coinhiveのスクリプトをブロックする方法は9月にAdblock Plusが紹介しているが、スクリプトを別のサイトでホストし、JQueryやGoogle Analyticsに偽装することでブロックを迂回する手法も確認されている。仮想通貨採掘スクリプトはWeb広告に代わる存在となることも期待されているが、現在のところ悪い話の方が目立っている。

あるAnonymous Coward曰く、

Torなどを使った匿名ネットワークはダークWebなどと言われているが、元Facebookのエンジニアによって、このダークWeb上で安全にWikipediaにアクセスできるシステムが構築されているという（MOTHERBOARD、開発者のAlec Muffett氏による告知）。

Wikipediaはいくつかの国・地域ではアクセスが制限されている。また、シリアではWikipedia貢献者が処刑されるという出来事もあった。こういった背景の下、利用者のプライバシが保たれ安全に閲覧・編集ができるWikipediaが求められているという。

TorはWebサイトへの匿名アクセスを実現するためにも使われており、この仕組みを使ってWikipediaにアクセスすることもできるが、この場合Torネットワークを抜けてWikipediaのサーバーに接続する部分は暗号化されていないという。一方、今回開発された仕組みではトラフィックはTorネットワーク外を通らないため、より安全にWikipediaにアクセスできるようだ。ただ、Wikipediaは現在Tor経由での書き込みができないようになっているという。

なお、これを開発したのはTorによる匿名回線からFacebookへ接続する仕組み（過去記事）を作ったエンジニアだそうだ。

macOS 10.13.1（High Sierra）で、パスワードの入力が求められるユーザー認証ダイアログをバイパスできる不具合が発見された。ユーザー名に「root」と入力し、何度かボタンをクリックするだけでパスワードを入力することなしに認証が通ってしまうという（TechCrunch、Register、この問題を発見したLemi Orhan ErginのTweet、Slashdot）。

この操作はログイン画面でも行えるそうで、そうすると勝手にシステム管理権限を持つ「root」アカウントが有効となり、rootユーザーでのログインに成功してしまうという。修正がリリースされるまでの当面の対策としてはrootユーザーを手動で有効にしてパスワードを設定しておくというものがあるようだ。

headless曰く、

偽のSymantecブログを通じ、Macのマルウェア「OSX.Proton」の亜種が配布されていたそうだ（Malwarebytes Labs、HackRead、本物のSymantec Blogs）。

このブログは「symantecblog.com」というドメインで運営されており、本物のSymantecブログのコンテンツをミラーリングするなど巧妙な作りになっていたという。Whois情報を見ると組織名はSymantec Corporation、住所はSymantec本社のものになっているが、レジストラントの連絡先電子メールアドレスはフリーメールのものが使われている。さらに、証明書はSymantec発行のものではなく、Comodoが発行したものを使用していたとのこと。

マルウェアが配布されていたのはCoinThiefマルウェアの亜種が新たに発見されたという偽ブログ記事だ。CoinThiefは2014年に発見されたBitcoin関連のログイン情報を盗み出すマルウェアだが、Malwarebytesによると新種が発見されたという情報はなく、記事そのものが虚偽の内容とみられる。

偽ブログ記事には「Symantec Malware Detector」という偽プログラムのリンクが用意されており、このプログラムをダウンロードしてインストールするとマルウェアに感染する仕組みになっていたそうだ。偽プログラムを実行するとSymantecロゴ入りのダイアログボックスが表示され、「Check」をクリックすると管理者アカウント名とパスワードの入力が求められる。

認証情報を入力するとスキャン中を示すプログレスバーが表示されるが、実際にはProtonマルウェアがインストールされ、管理者アカウント情報や個人を特定可能な情報のほか、KeychainファイルやマスワードマネージャーのVault、GPGパスワードなどを収集し始めるとのこと。

既に偽ブログのWebサイトはブロックされているが、該当記事へのリンクがTwitterを通じて拡散していたそうだ。一部は偽アカウントから投稿されていたが、本物とみられるアカウントからの投稿もみられたという。マルウェアが収集したパスワードを悪用して投稿された可能性も指摘されているが、偽ブログ記事を本物と信じたユーザーが投稿した可能性もある。

あるAnonymous Coward曰く、

世界各国で配車サービスなどを手がける米Uberが、5700万人の個人情報を流出させていたという（ブルームバーグ、BBC、ITpro、PC Watch）。

Bloombergの記事によると、攻撃者はまずGitHubのプライベートリポジトリに侵入。そのリポジトリ内にAWSの認証情報が存在していたため、そこからさらにAWSに侵入された模様。

流出した情報は、5700万件の名前とメールアドレス、携帯電話番号、ならびに60万人の運転手の運転免許証情報だという。Uberは攻撃者を特定し、流出した情報を破棄させるために10万ドルを支払ったとのこと。

流出が起きたのは2016年10月だが、これを公にしていなかったことについても批判が出ている。また、今後この問題について当局がUberを調査するようだ。

北朝鮮はハッカー養成に力を入れるなど、サイバー攻撃力の強化を進めているとされるが、いっぽうで北朝鮮内のPCは脆弱なものが多いという（産経新聞）。

北朝鮮では、大学の学生や研究者、政府機関職員など一部のユーザーがインターネットを利用できる状況になっているという（トレンドマイクロ）。一方で、セキュリティ対策が不十分なPCも多く、たとえば外国によるサイバー攻撃の踏み台にされた例があるという。また、北朝鮮の一部在外大使館ではGmailやHotmailなどの無料メールサービスが使われているそうだ。

Mozillaでは、個人情報流出の発生したWebサイトにFirefoxでアクセスした際、その旨をユーザーに通知する機能の開発を進めているそうだ(Firefox Nightly Newsの記事、 The Registerの記事、 BleepingComputerの記事、 GitHub - BreachAlerts)。

この機能はアカウント情報流出を確認できるWebサイト「Have I been pwned?」のAPIを利用したものだ。現在、Firefox 58/59に拡張機能として追加可能なプロトタイプがGitHubで公開されている。目標としては個人情報流出の被害が最近発生したWebサイトを訪問するユーザーに情報提供し、ユーザーが希望すれば電子メールでの通知サービスも利用可能にすることとなっている。

ただし、プロトタイプではadobe.comやlinkedin.comのように、個人情報流出の発生から時間が経ったWebサイトでも通知が表示されるという。また、電子メールでの通知サービスを利用する場合、電子メールアドレスがHave I been pwned?に送られることになるため、プライバシーの問題が懸念される。このプロジェクトはまだ初期の段階だが、ユーザーのプライバシーに影響を与えずに有益な機能を提供する方法の模索が行われているようだ。

Intelの第6〜8世代CoreプロセッサやXeon、Pentium、Celeronプロセッサなどに脆弱性が発見された（Intel、4gamer）。

Intelの最近のCPUには「Intel Management Engine」などの管理機構が搭載されているが、今回の脆弱性はそれらに関するもののようだ。これによって外部からシステムを遠隔操作される可能性があるという（US-CERTの発表）。

Intelは対応として「intel-sa-00086 検出ツール」という使用しているシステムに脆弱性があるかどうかを判断できるツールを公開した。ただ、このツールでは脆弱性があるかどうかの判断のみが可能で、修正にはPCやマザーボードメーカーが提供するファームウェアアップデートが必要だという。

Windows 8以降でEMETを使用する場合や、Windows 10 Fall Creators UpdateのWindows Defender Exploit Protectionを使用する場合、「必須ASLR」を有効にしても適切なランダム化が行われないとして、CERT/CCが問題の詳細と緩和策を公開している(Vulnerability Notes Database VU#817544、 BetaNewsの記事、 BleepingComputerの記事、 Will Dormann氏のツイート)。

モジュールに割り当てるメモリーアドレスをランダム化して攻撃者によるデータの悪用を困難にするASRLだが、Windowsの既定では「/DYNAMICBASE」オプションを使用してコンパイルされた(ASLRの適用をオプトインした)モジュールにのみ適用される。必須ASLRを有効にするとオプトインしていないモジュールにもASLRを強制することが可能となるが、エントロピーを確保するにはボトムアップ型のメモリー割り当てでベースアドレスをランダム化する「ボトムアップASLR」も重要だ。

Windows 8以降では必須ASLR/ボトムアップASLRがOSの機能に組み込まれているため、EMET/Exploit Protectionはオプションをレジストリに設定する機能のみを提供する。設定が格納されるレジストリ値は「HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\kernel」の「MitigationOptions」という値なのだが、EMET/Exploit Protectionともにデフォルトではこの値が作成されない。

Exploit Protectionのデフォルトでは必須ASLRが「既定でオフにする」、ボトムアップASLRが「既定でオンにする」に設定されている。必須ASLRはMitigationOptionsが存在しなければオフになるため問題ないが、ボトムアップASLRはUI上の表示に反してオフになっている。CERT/CCでは有効な設定を含む.regファイルの内容を公開しているが、Exploit ProtectionでボトムアップASLRをいったんオフにし、再度オンにすることで有効なレジストリ値をセットすることも可能だ。なお、「既定値を使用する(<オン>)」を選択した場合は有効なレジストリ値がセットされないので注意が必要だ。

あるAnonymous Coward 曰く、

シャープのロボット掃除機「COCOROBO」シリーズに、セッション管理不備の脆弱性が確認されたとのこと（JVN#76382932 ロボット家電 COCOROBO におけるセッション管理不備の脆弱性）。

この問題を利用することで、同一LAN内の第三者が別のユーザーに成りすまして製品にアクセスできる可能性があるという。すでに修正済みファームウェアが公開されているとのことで、アップデートが推奨されている。

さまざまな航空会社で採用されているジェット旅客機「Boeing 757」にはサイバー攻撃に対する脆弱性があるという（Avionics、Sputnik、Slashdot）。

米国土安全保障省（DHS）がセキュリティ関連イベントで発表したもので、2016年9月に調査を行った時点では遠隔から同機のシステムへの侵入や外部からの操作に成功していたという。システムへのアクセスにはRF無線通信を使用したようだ。

ただ、航空機のシステムの脆弱性修正には非常にコストがかかるという問題があるようだ。そのため、外部からの攻撃を想定していない旧型の航空機については脆弱性が放置されたままになっているという。

Kaspersky Labは16日、同社の製品が原因で米国家安全保障局(NSA)の機密情報がロシア側へ渡ったと10月に報じられた件について、調査結果を発表した(Securelistの記事、 Ars Technicaの記事、 V3の記事)。

Kaspersky Labでは10月下旬、機密情報流出の原因となったNSA契約スタッフとされる人物の自宅PCが多数のマルウェアに感染していたことや、NSAのマルウェアが検出されたためにサンプルとして同社へ送られた7-ZipアーカイブにNSAの機密情報ファイルやソースコードも格納されていたことなどを含む調査結果を事前発表していた(過去記事)。今回の発表はさらに踏み込んだ内容となっている。

閉じたまぶたの上にブラックオリーブなどを載せ、iPhone XのFace IDに目が開いていると誤認識させるという実験動画を顔認証アプリ「ZoOm」の開発元FaceTecが公開している(動画[1]、 [2]、 FOODBEASTの記事)。

iPhone Xでは画面注視認識機能がデフォルトで有効になっており、Face IDを使用する際に目が開き、意識して画面を見ているかどうかを識別する。これにより、眠っている間に無断でロック解除されることを回避できるとされる。画面注視認識機能は設定で無効化することも可能だが、当然ながら実験では有効に設定されている。

Microsoftは14日、Windows 10 バージョン1511の更新プログラム提供期限を6か月間延長することを明らかにした(Windows for IT Prosの記事、 Neowinの記事、 On MSFTの記事、 Windows Centralの記事)。

バージョン1511は2015年11月に一般リリースされたWindows 10初の大規模アップデートで、10月10日のサポート終了が予定されていた。サポート期間の延長は「サービスとしてのWindows」への移行がまだ完了していない企業に時間的な余裕を提供するためとのことで、Windows 10 EnterpriseとWindows 10 Educationが対象となる。

Windows for IT Prosの記事では2018年4月まで延長とのみ記載されているが、月例更新が提供される第2火曜日の4月10日に最後の更新プログラムが提供されるとみられる。なお、Windowsライフサイクルのファクトシートでは、現在のところ2017年10月10日サポート終了のまま更新されていない。また、バージョン1607(Anniversary Update)のサポート終了は「2018 年 3 月 (仮)」となっている。このままではバージョン1511よりも先にサポートが終了することになるが、今後変更される可能性もある。

総務省が暗号化されていない公衆無線LANアクセスポイントを規制する方針だと報じられている（産経新聞）。

暗号化されていない公衆無線LANでは、第三者が通信内容を盗み見できる可能性があるといった問題点がある。そのため、今年中に課題をまとめ、来年度に公衆無線LAN事業者向けのガイドラインを改定するという。

なお、産経新聞の記事では「パスワード不要の公衆無線LANアクセスポイントを原則として規制」とされているが、パスワード不要という点が問題なのではなく、暗号化されない無線LANを問題視している模様。