転売のため人気イベントのチケットを買い占めるのに使われていたボットがターゲットを人気のおもちゃに切り替えているとして、米上院議員のチャック・シューマー氏が小売業界団体に対策を要請している( プレスリリース、 VentureBeatの記事、 Consumer Reportsの記事)。

米国ではシューマー氏らの提案によるBetter Online Ticket Sales Act of 2016(BOTS Act)が昨年成立し、ボットによる大量のチケット購入や転売が禁じられている。しかし、チケット以外の商品には適用されないため、ターゲットを変更したとみられるという。ボットはおもちゃの購入ページが公開される前にURLを推定し、Twitter APIを使用していち早く販売開始を察知する。購入ページではサイズの選択や送付先、決済情報などを瞬時に入力できるため、一般の購入者が入力を完了する前に品切れとなり、eBayやAmazonで数倍以上の価格で購入するしかなくなるとのこと。

ニューヨーク州選出のシューマー氏はボットをクリスマス嫌いのグリンチになぞらえ、「グリンチボットにクリスマスを盗ませたり、ニューヨーカーの財布から金を盗ませたりしてはならない」と述べている。

EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事、 Ars Technicaの記事)。

EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。

Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。

オランダ警察は昨年9月、悪質なドローンを捕獲するために訓練したハクトウワシを配備したことを発表していたが、実戦で役立つことなく引退が決まったと報じられている(NOSの記事、 DutchNews.nlの記事、 The Registerの記事)。

ワシはドローンを獲物と同様に空中で捕らえて安全な場所に運ぶよう訓練されていたが、常に訓練された通りの行動を取るとは限らないため、訓練環境以外で実力を発揮できるかどうかが問題だったという。この1年間、現場に配備されてはいたが、実際に活躍することはなかったとのこと。また、訓練は予想よりも費用がかかり、難しかったこともあってワシによるドローン捕獲計画は中止となったようだ。

また、オランダ警察ではネズミを使用して爆発物やドラッグなどを発見するための訓練を行っていたが、この計画も中止になったという。嗅覚が鋭く、体重が軽いネズミは地雷除去の現場で活躍しているが、警察ネズミとして訓練するのは無理だったとのこと。

ワシとネズミはそれぞれ新たな住処で余生を送ることになったそうだ。

あるAnonymous Coward 曰く、

大阪大学が不正アクセスを受け、教育用計算機システムの利用者69,549件の情報や、学外関係者の個人情報11558件が漏えいした可能性があると発表した（日経ITpro）。

漏えいした可能性があるのは同学教職員および学生、元教職員、元学生の氏名や所属、メールアドレス。また、学生/元学生については入学年度、学籍番号なども漏えいした可能性がある。これに加えて、漏洩したIDを使った不正ログインによって教職員59名のメールに含まれていた学外・学内関係者の氏名や所属、電話番号、メールアドレス等（学内関係者については人事情報や給与情報も）漏えいした可能性があるようだ。

あるAnonymous Coward 曰く、

HPのノートPCにプリインストールされているポインティングデバイスなどのドライバ（Synapticsドライバ）に、キーロガー的な機能が実装されていることが発見された（PC Watch）。

レジストリの「DebugMask」の値を「2」にセットすると、このドライバがキーボードの入力を取得するようになっていたという。デフォルトでは「3」に設定されていたため通常は問題ないと思われるが、別の脆弱性などと組み合わせて利用される可能性もありそうだ。

headless曰く、

正規のAndroidアプリの署名を維持したまま内容を改変できるというAndroidの脆弱性「Janus」を発見者のGuardSquareが解説している（GuardSquareブログ、BetaNews、Register）。

Androidのアプリケーションパッケージ（APK）ファイルはZIPファイルであり、ZIPエントリの外側に任意のデータを挿入できる。しかしJAR署名スキームではZIPエントリのみを使用して署名の整合性を確認するため、ZIPエントリの外にデータが挿入されても署名は有効のままとなる。一方、Dalvik実行可能ファイル（DEX）は末尾に任意のデータを追加できる。そのため、DEXファイルの末尾にAPKファイルをつなげて1つのファイルにすることでDEXファイルとしてもAPKファイルとしても有効なファイルとなり、署名も維持される。

AndroidランタイムはAPKファイルからDEXファイルを抽出して実行するが、ファイルの種類を識別する際にDEXヘッダーを見つけるとDEXファイルとして実行してしまうのだという。Androidでは署名が異なるAPKファイルでインストール済みアプリをアップデートすることはできないが、悪意あるDEXファイルを正規のAPKファイルと組み合わせることで、正規のアップデートとしてインストールさせることが可能となる。こういったAPKファイルがGoogle Playで配布されることはないものの、ユーザーをだましてインストールさせることで、高い権限を持つシステムアプリを置き換えたり、バンキングアプリを偽物に置き換えたりといった攻撃が可能だ。

Android 5.0以降がJanusの影響を受けるが、Android 7.0以降で利用可能なAPK署名スキームv2ではAPKファイル全体が署名の検証対象になるため、v2署名を使用したアプリは影響を受けない。GuardSquareではこの問題を7月31日にGoogleへ報告しており、12月のAndroidセキュリティアップデートでCVE-2017-13156として修正されている。

一般的なPCで仮想通貨の採掘（マイニング）を行えるソフトウェアや、このソフトウェアによるマイニング能力を取引できるサービスを展開しているNiceHashがサイバー攻撃を受け、システムが第三者に乗っ取られる事態になったようだ。これによってNiceHashに保管していたユーザーのビットコインが盗まれるなどの被害が起きている模様（ITmedia、GIGAZINE、Reddit）。

同サービスのWebサイトにセキュリティ的な脆弱性があったのが発端。盗難されたビットコインは別のアカウントに送金されており、その金額は約76億円に相当するという。

Google Project Zeroのセキュリティリサーチャー、Ian Beer氏の謎めいたツイートに、iOS脱獄コミュニティがざわついているようだ(Motherboardの記事、 9to5Macの記事、 Softpediaの記事、 The Next Webの記事)。

ツイートの内容は「iOS 11のカーネルセキュリティの調査に興味があるなら、iOS 11.1.2以前のデバイスを調査専用に確保しておくように。もうすぐPart I (tfp0)をリリースする」といったものだ。Motherboardによれば「tfp0」は「task for pid 0」の略でカーネルタスクポートを意味し、OSコアの制御が可能になるものだという。そのため、iOS 11の脱獄が可能なエクスプロイトが公開されるのではないかと期待されている。

iOSの脱獄はバージョンごとに難易度が増しており、現在一般に入手可能なツールで脱獄できるのはiOS 10.2までとなっている。11月に韓国・ソウルで開催されたPoC 2017でTencent Keen LabのLiang Chen氏がiOS 11.1.1の脱獄をデモしており、ツールの使用手順も公開されているが、ツール自体はまだ公開されていない。

Beer氏は最も多くiOSの脆弱性を発見しているセキュリティリサーチャーの一人。iOS 11.2で修正された14件の脆弱性のうち、5件(CVE-2017-13847 / CVE-2017-13861 / CVE-2017-13865 / CVE-2017-13867 / CVE-2017-13876 )を発見したのがBeer氏だ。 なおiOS 11.2では、iOS 11.1で未修正だった旧モデルのKRACK脆弱性 (CVE-2017-13080)が修正されている。

Androidアプリの開発に使われるIDEやAPKファイルの分析などに使われるツールにおけるXMLパーサーの処理に関連した脆弱性「ParseDroid」について、発見したCheck Point Researchが解説している(Check Point Researchの記事、 The Registerの記事[1]、 [2])。

Check Point Researchでは当初、Apktoolを調査していたという。ApktoolはAndroidのアプリケーションパッケージ(APKファイル)のデコンパイルとビルドが主な機能で、サードパーティアプリのリバースエンジニアリングによく使われるツールだ。ソースコードを調べたところ、XMLパーサーで外部実体参照(XXE)が無効化されておらず、細工したAndroidManifest.xmlを含むAPKファイルを処理させることで攻撃者が任意のファイルを取得できることが判明する。

headless曰く、

英政府通信本部（GCHQ）の国家サイバーセキュリティセンター（NCSC）は1日、クラウドベース製品を政府機関が使用する場合のリスク管理に関するガイダンスを公開した。また、クラウドベース製品のサプライチェーンに対するリスク管理に関し、NCSC CEOのCiaran Martin氏が各政府機関の事務次官に宛てた書状や、テクニカルディレクターIan Levy氏のブログ記事も同日公開されている。

ガイダンスでは特に触れられていないが、書状やブログ記事ではロシア企業によるアンチウイルス（AV）製品のリスクを強調した内容になっている。主なポイントとしては、AV製品が確実に脅威を発見・除去するのに必要な能力を悪用されると国家機密の漏洩リスクにもつながるため、AV製品の原産国に注意を払う必要があるというものだ。

中でもロシアはサイバー攻撃の能力が高く、英国の国家機密をターゲットにする可能性も高いため、機密情報を扱うシステムではロシア製AV製品を使用すべきではないと勧告する。また、英国の重要なインフラストラクチャーがターゲットになる可能性もあるため、NCSCでは関連する部署からの相談を受ける用意もあるとのこと。逆に一般市民や組織の大多数がターゲットになる可能性は低いとも述べている。

今回の発表は、Kaspersky Labの製品が原因で米国家安全保障局（NSA）の機密情報がロシア側に渡ったと報じられた問題を踏まえたものとみられる。この件でロシア側にKaspersky Labが協力したという証拠はなく、NCSCでは英国のデータがロシアに送信されていないことを確認できるような枠組みの構築についてKaspersky Labと話し合っているそうだ。

ユーザーの目につきにくい位置にWebブラウザーのポップアップウィンドウを開き、仮想通貨採掘スクリプトを実行する手法が確認されたそうだ(Malwarebytes Labsの記事、 Ars Technicaの記事、 The Registerの記事、 Windows Centralの記事)。

Webページ閲覧者の合意を得ずに仮想通貨採掘スクリプトを実行する「cryptojacking」や「drive-by cryptomining」などと呼ばれる手法は、サーバーの脆弱性を突いて第三者がスクリプトを埋め込む例が数千件確認されて問題になっている。ただし、マルウェアで仮想通貨を採掘するのとは異なり、仮想通貨採掘スクリプトは別のページに移動したり、ブラウザーを終了したりすれば停止させることができる。

新たに発見された手法は、Windowsのタスクバーに隠れる位置を指定してポップアップウィンドウを開くというものだ。ポップアップウィンドウの存在はタスクバーのボタンで確認でき、タスクバーを半透明にしていれば透けて見える。また、タスクマネージャーでもWebブラウザーのプロセスが残っていることは確認できるが、注意を払っていなければそのままになる可能性もある。演算量を絞ることで気付かれにくいようにする手法も用いられているようだ。なお、動作はGoogle Chrome上で確認されており、別のWebブラウザーでは結果が異なる可能性もある。

無断で行われる仮想通貨採掘には、仮想通貨「Monero」を採掘するCoinhiveのスクリプトが使われることが多いようだ。Coinhiveのスクリプトをブロックする方法は9月にAdblock Plusが紹介しているが、スクリプトを別のサイトでホストし、JQueryやGoogle Analyticsに偽装することでブロックを迂回する手法も確認されている。仮想通貨採掘スクリプトはWeb広告に代わる存在となることも期待されているが、現在のところ悪い話の方が目立っている。

あるAnonymous Coward曰く、

Torなどを使った匿名ネットワークはダークWebなどと言われているが、元Facebookのエンジニアによって、このダークWeb上で安全にWikipediaにアクセスできるシステムが構築されているという（MOTHERBOARD、開発者のAlec Muffett氏による告知）。

Wikipediaはいくつかの国・地域ではアクセスが制限されている。また、シリアではWikipedia貢献者が処刑されるという出来事もあった。こういった背景の下、利用者のプライバシが保たれ安全に閲覧・編集ができるWikipediaが求められているという。

TorはWebサイトへの匿名アクセスを実現するためにも使われており、この仕組みを使ってWikipediaにアクセスすることもできるが、この場合Torネットワークを抜けてWikipediaのサーバーに接続する部分は暗号化されていないという。一方、今回開発された仕組みではトラフィックはTorネットワーク外を通らないため、より安全にWikipediaにアクセスできるようだ。ただ、Wikipediaは現在Tor経由での書き込みができないようになっているという。

なお、これを開発したのはTorによる匿名回線からFacebookへ接続する仕組み（過去記事）を作ったエンジニアだそうだ。

macOS 10.13.1（High Sierra）で、パスワードの入力が求められるユーザー認証ダイアログをバイパスできる不具合が発見された。ユーザー名に「root」と入力し、何度かボタンをクリックするだけでパスワードを入力することなしに認証が通ってしまうという（TechCrunch、Register、この問題を発見したLemi Orhan ErginのTweet、Slashdot）。

この操作はログイン画面でも行えるそうで、そうすると勝手にシステム管理権限を持つ「root」アカウントが有効となり、rootユーザーでのログインに成功してしまうという。修正がリリースされるまでの当面の対策としてはrootユーザーを手動で有効にしてパスワードを設定しておくというものがあるようだ。

headless曰く、

偽のSymantecブログを通じ、Macのマルウェア「OSX.Proton」の亜種が配布されていたそうだ（Malwarebytes Labs、HackRead、本物のSymantec Blogs）。

このブログは「symantecblog.com」というドメインで運営されており、本物のSymantecブログのコンテンツをミラーリングするなど巧妙な作りになっていたという。Whois情報を見ると組織名はSymantec Corporation、住所はSymantec本社のものになっているが、レジストラントの連絡先電子メールアドレスはフリーメールのものが使われている。さらに、証明書はSymantec発行のものではなく、Comodoが発行したものを使用していたとのこと。

マルウェアが配布されていたのはCoinThiefマルウェアの亜種が新たに発見されたという偽ブログ記事だ。CoinThiefは2014年に発見されたBitcoin関連のログイン情報を盗み出すマルウェアだが、Malwarebytesによると新種が発見されたという情報はなく、記事そのものが虚偽の内容とみられる。

偽ブログ記事には「Symantec Malware Detector」という偽プログラムのリンクが用意されており、このプログラムをダウンロードしてインストールするとマルウェアに感染する仕組みになっていたそうだ。偽プログラムを実行するとSymantecロゴ入りのダイアログボックスが表示され、「Check」をクリックすると管理者アカウント名とパスワードの入力が求められる。

認証情報を入力するとスキャン中を示すプログレスバーが表示されるが、実際にはProtonマルウェアがインストールされ、管理者アカウント情報や個人を特定可能な情報のほか、KeychainファイルやマスワードマネージャーのVault、GPGパスワードなどを収集し始めるとのこと。

既に偽ブログのWebサイトはブロックされているが、該当記事へのリンクがTwitterを通じて拡散していたそうだ。一部は偽アカウントから投稿されていたが、本物とみられるアカウントからの投稿もみられたという。マルウェアが収集したパスワードを悪用して投稿された可能性も指摘されているが、偽ブログ記事を本物と信じたユーザーが投稿した可能性もある。

あるAnonymous Coward曰く、

世界各国で配車サービスなどを手がける米Uberが、5700万人の個人情報を流出させていたという（ブルームバーグ、BBC、ITpro、PC Watch）。

Bloombergの記事によると、攻撃者はまずGitHubのプライベートリポジトリに侵入。そのリポジトリ内にAWSの認証情報が存在していたため、そこからさらにAWSに侵入された模様。

流出した情報は、5700万件の名前とメールアドレス、携帯電話番号、ならびに60万人の運転手の運転免許証情報だという。Uberは攻撃者を特定し、流出した情報を破棄させるために10万ドルを支払ったとのこと。

流出が起きたのは2016年10月だが、これを公にしていなかったことについても批判が出ている。また、今後この問題について当局がUberを調査するようだ。