Facebookの二段階認証に携帯電話番号を登録すると、その番号にFacebookからスパムが送られてくるようになるという報告が出ている(Mashableの記事、 The Vergeの記事、 SlashGearの記事、 報告者のツイート)。

報告者のGabriel Lewis氏によれば、携帯電話を使用する二段階認証を有効にしてから半月あまり経過後、友達の投稿に関する通知がFacebookからSMSで送られてくるようになったという。さらに、このSMSに返信すると、そのままLewis氏のウォールに投稿されたそうだ。同様の問題は他にも報告されており、SMSに返信することで家族や友人を罵ってしまう結果になったという報告もみられる。

Lewis氏はFacebookからのSMS通知にオプトインしていないとのことで、設定自体も無効のままのようだ。米国では電話消費者保護法(TCPA)により、企業が受信者の合意を得ずにSMSを送信することは違法行為となる。今回の件は訴訟という話には至っていないようだが、Facebookが無断で送信するSMSについてはこれまでに複数の訴訟が提起されているとのこと。

FacebookではMashableやThe Vergeに対し、この問題がバグによるものか、意図的なものなのかについては触れず、通知をユーザーが制御できるようにしており、何か改善できる点があるかどうかこの問題を調査していると伝えたという。また、The Vergeに対しては、コードジェネレーターとセキュリティキーを使用すれば、電話番号を登録することなく二段階認証を利用できるとも述べたとのこと。

その後、Facebookの最高セキュリティ責任者 Alex Stamos氏が、この現象はバグであると説明。ユーザーがオプトインしない限りセキュリティと無関係なSMSが送信されないように対策を進めていると述べている。また、SMSへの返信がFacebook投稿になることについては、スマートフォンが広く普及する前には便利な機能だったが、現在ではあまり有用でなくなっているため、近く廃止すべく作業を進めているとのことだ(Stamos氏のFacebook投稿)。

あるAnonymous Coward曰く、

Skypeのアップデート機能に脆弱性があることが判明した。攻撃者がこの脆弱性を利用すれば、特権を持たないローカルユーザを完全なシステムレベルの権限に昇格させ、OSのあらゆる場所にアクセスが可能となるという。発見したのはセキュリティ研究者のStefan Kanthak氏（ZDNet、Neowin、Slashdot）。

攻撃者は、悪意のあるDLLをユーザーがアクセス可能な一時フォルダーにダウンロードさせ、そのあと特権を持たないユーザーでも名前が変更可能な「UXTheme.dll」などの正当なDLLに名前を変更することでDLLハイジャックを行う。インストーラが関連ファイルを見つけようとすると最初にハイジャックされたDLLが見つかるため、問題のコードがインストールされるのだという。

Microsoftは9月にKanthak氏からこのセキュリティ上の欠陥を伝えられていたが、修正には大量のコードを書き直す必要があるという。このため、次のメジャーアップデートまでは対応しない方針のようだ

現在経済制裁下にある北朝鮮が、仮想通貨を利用して外貨獲得を狙っているという話はたびたび話題になっているが、このたび仮想通貨「Monero」を採掘しそれを北朝鮮の大学に送信するというソフトウェアが確認されたという（ロイター、Alien Vault、CNBC）。

このマルウェアは昨年12月24日にビルドされたもので、実行するとシステムに「intelservice.exe」というファイルをコピーし、このファイル経由でMoneroの採掘ソフトウェアが実行されるという。採掘した仮想通貨はbarjuok.ryongnamsan.edu.kpというホストに送信するよう設定されているようだ。

ただ、このホスト名は現在は解決できないとのことで、次の可能性があるとされている。

1. このソフトウェアは特定のネットワークでのみ動く
2. このホスト名は以前は利用できたが、何らかの理由で使えなくなった
3. セキュリティ研究者を欺くために指定されている

headless曰く、

ビル・ゲイツ氏がAxiosのインタビューに答え、Appleなどの大手テクノロジー企業が尊大にふるまえば、Microsoftがかつて経験した悪夢のような政府の介入を招くリスクを冒すことになると警告したそうだ（Axiosの記事、GeekWire、Verge、VentureBeat）。

ゲイツ氏は我々が頼りにしている種類の政府の機能について、それが適切な審理のもとに実施されることの妨げになる行為を支持しないよう企業は注意すべきだと述べ、大手テクノロジー企業が受けている批判の一部は合法的な監視に抵抗することで自ら招いていることだとの見解を示したとのこと。

また、テクノロジー企業は彼らの見方が政府の見方よりも重要だと考えたり、重要な分野で政府が機能を果たせることよりも重要だと考えたりしないように注意すべきだとし、例として大量殺人犯であっても通信内容を政府に開示すべきではないとする見方を挙げている。それはiPhoneをアンロックできることを念頭に置いているのか、との質問に対しては「能力の問題ではなく、意思の問題だ」と答えたそうだ。

ゲイツ氏がテクノロジーに対して懸念することとしては、小さなグループが核兵器やバイオ兵器、サイバー兵器を入手し、大きなダメージを世界に与えることだという。

なお、ビル・ゲイツ氏とメリンダ・ゲイツ氏は13日に年次報告書を公開し、トランプ大統領の政策がビル＆メリンダ・ゲイツ財団の活動に与える影響など、両氏が受けた答えにくい10の質問に回答している。

最近、仮想通貨を新規に発行して資金を集める「Initial Coin Offering（ICO）」という手法が注目されているが、同時にICOを使った詐欺的行為についても懸念されている。

よくあるものとしてはICOをすると言って資金を集めた後、その業者が行方をくらますといったもので、先月末にはProdeumというスタートアップが農産物向けにブロックチェーンを使ったシステムを開発するとしてICOを行ったが、その後に音信不通になるという出来事があった（Business Insider）。この事件は被害額がわずか11ドルで、またProdeumのWebサイトには「penis」というメッセージだけが残されていたということから「珍事件」で終わったが、今度は「LoopX」というスタートアップが450万ドルを集めた後に姿をくらますという事件が発生。こちらは金額が金額だけに大きな騒動になっているようだ（GIGAZINE、The Next Web）。

LoopXは資金を集めた後、FacebookやTwitter、YouTubeなどのアカウントを一斉に削除し、LoopXが存在していたことを示す情報は仮想通貨関連掲示板のスレッドやICOレビューサイトのエントリーだけになっているようだ。

LoopXは20016年9月にプロジェクトがスタートし、2018年1月から本格的な運用に向けたフェーズに入るとしていた。毎秒1万回以上の交換や100以上の通貨との換算が可能と主張し、投資することで10％以上の利益が得られるとしていたという。

headless曰く、

英国や米国の政府機関を含む4千以上のWebサイトで、仮想通貨採掘スクリプトが埋め込まれる問題が11日に発生したそうだ（Texthelpのブログ、発見者Scott Helme氏のブログ、Register、The Guardianの記事1、記事2）。

原因は英Texthelpがサイバー攻撃を受け、Webページの読み上げ機能などを提供する「Browsealoud」のJavaScriptファイル（ba.js）が改変されたことだ。そのため、Browsealoudを使用するWebサイトが軒並み被害にあう結果となった。改変により追加されたコードはCoinhiveの仮想通貨採掘スクリプトを実行するものだったようだ。

TexthelpではBrowsealoudをオフラインにして問題を修正したが、日本時間13日21時までサービスは再開しないと述べている。なお、攻撃者が顧客データにアクセスした形跡はなく、Browsealoud以外の製品への影響もないとのこと。

ba.jsを使用していたドメインはPublicWWWで確認できる。Browsealoudは日本語の読み上げにも対応しているが、.jpドメインはリストに含まれていなかった。セキュリティリサーチャーで発見者のScott Helme氏はWeb管理者に対し、改変された外部スクリプトの読み込みを防ぐため、SRI（Subresource Integrity）の使用を推奨している。

現在開催中の平昌五輪で、組織委員会などを狙ったサイバー攻撃が行われているのではないかという疑いが出ている。開会式開始直前に組織委員会のネットワークがダウン、使用する予定だったドローンを利用できない状況になるなどの影響が出ているようだ（産経新聞、AFP）。

また、WIREDによるとロシアや北朝鮮のハッカーが五輪をターゲットとしており、すでに内部文書のリークなどが行われているという。また、五輪関係団体を狙った複数のマルウェアも確認されている模様（産経新聞の別記事）。

Webブラウザーに偽の警告画面を表示して電話をかけさせるタイプのテクニカルサポート詐欺では、ユーザーの操作を困難にするためのさまざまな手法が用いられるが、Windows版のGoogle Chromeユーザーが主なターゲットとみられる新たな手法による攻撃をMalwarebytesが報告している(Malwarebytes Labsの記事、 Neowinの記事、 Ars Technicaの記事、 SlashGearの記事)。

この手法では、ウイルスに感染したのでISPがPCをブロックしたといった内容の警告とMicrosoftの偽の電話番号を表示するとともに、大量のファイルダウンロードを実行してCPU使用率を100%まで上昇させ、ウインドウやタブを閉じることができないようにする。ダウンロードするファイルは実体があるわけではなく、Blobオブジェクトを生成し、window.navigator.msSaveOrOpenBlobメソッドで保存するというものだ。これを繰り返すことで大量のファイルダウンロードが実行されることになる。

Googleが7月にリリースを予定しているChrome 68では、すべてのHTTP接続ページで安全性に関する警告が表示されるようになるそうだ(Chromium Blogの記事、 Softpediaの記事、 VentureBeatの記事、 The Registerの記事)。

GoogleはHTTP接続ページで情報アイコンの右側に警告メッセージ「Not Secure」(日本語版では「保護されていません」)を表示する場面を徐々に拡大しており、Chrome 56以降ではパスワード入力フィールドやクレジットカード入力フィールドを含むHTTP接続ページで警告が表示されるようになった。Chrome 62以降ではHTTP接続ページの任意の入力フィールドへの入力を開始すると警告が表示されるようになり、シークレットウィンドウではすべてのHTTP接続ページで警告が表示されるようになっている。

Chrome 68では現行版のシークレットウィンドウでHTTP接続ページを表示した場合と同様、すべてのHTTP接続ページで「保護されていません」と表示されることになる。

iPhoneの重要なソフトウェアコンポーネント「iBoot」のものとされるソースコードがGitHubで公開され、米デジタルミレニアム著作権法(DMCA)に基づくAppleの削除要請により削除されている(Motherboardの記事、 Mac Rumorsの記事、 9to5Macの記事、 The Registerの記事)。

iBootはiOSデバイスなどの第2段階ブートローダーとされ、リカバリーモードを実行するほか、カーネルが改変されていないかをチェックする役割を果たすという。公開されていたのはiOS 9のもので、不足しているファイルがあるためコンパイルすることはできない。ただし、最新のiOS 11でも共通部分があるとみられ、セキュリティ研究者による脆弱性発見などに役立つ可能性が指摘されている。

iBootのソースコードとされるものは昨年9月、リンクがRedditに投稿されていたものの、あまり注目を集めなかったようだ。今回のソースコードについては研究者らから本物らしいとされつつ確証はなかったが、Appleの削除要請により本物であることが確認される結果となる。AppleはiBootについて、iOSの安全なブート処理を確実にするもので、ソースコードは同社のプロプライエタリな著作物であり、オープンソースではないと削除要請で説明している。このソースコードはGitHubで多数フォークされたようで、Appleが別途削除を要請したリポジトリは合計200件を超える。

その後、Appleはソースコードが本物であることを認めたうえで、同社製品のセキュリティはソースコードを秘密にすることで守られているわけではないとし、製品にはハードウェアとソフトウェアによる保護レイヤーが数多く施されているとの声明を出したとのことだ(Mac Rumorsの記事[2])。

あるAnonymous Coward曰く、

韓国の情報機関である国家情報院が5日、同国の国会報告の中で、日本で発生したコインチェックからの仮想通貨流失事件について「北朝鮮の仕業と推定される」との報告を行ったとのこと（TBS、東京新聞、日経新聞）。

北朝鮮は以前から韓国国内の仮想通貨取引所への攻撃を繰り返しており、少なくとも二カ所以上の取引所で計約260億ウォンの被害が発生していたという。

headless曰く、

ドイツの独立系ITセキュリティ機関AV-TESTでは、Spectre/Meltdown脆弱性をターゲットにしたとみられる139種類のユニークサンプルを1月31日までに発見したそうだ（AV-TESTのツイート、Google+への投稿、HackRead）。

ユニークサンプルの検出数は1月8日以降急激に増加して1月23日までに累計120種類を超え、その後は増加が緩やかになっている。サンプルの多くはWindowsやLinux、Mac OS用にコンパイルされたバイナリファイルだが、Spectreをターゲットにした実際に動作するJavaScriptのPoCも発見されているという。ただし、このPoCは最近リリースされたバージョンのGoogle ChromeやMozilla Firefoxでは動作しないようになっているとのこと。

なお、多くのマルウェア対策プログラムがこれらのサンプルをマルウェアとして検出対象に追加したとみられ、「139種のマルウェアを発見」と報じているメディアも多いが、サンプルの大半はPoCのようだ。そのため、この件についてAV-TESTでは「マルウェア」という用語の使用を避けているとのことだ。

Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた（過去記事）。このスケジュールではChrome 66でSymantecによって発行された証明書が無効化されることになっているが、これに先駆けて、開発者やアーリーアダプタに向けたGoogle Chromeの実験的ビルド「Google Chrome Canary」でSymantecやその傘下であるRapidSSLなどが発行した証明書の無効化が行われたようだ。

bonkure曰く、

Googleさんは、Chromeにおける「Symantec発行の証明書の無効化」を宣言しておりましたが、最近リリースされましたChromeのCanaryのバージョンがめでたく66となり、Googleさんは本気だったことが証明されました。スラドも見事にその毒牙にかかり、Chrome Canaryでスラドのサイトにアクセスすると、「この接続ではプライバシーが保護されません」「it.srad.jpでは、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。「NET::ERR_CERT_AUTHORITY_INVALID」などとなります。

うちにも、本件に該当するRapidSSLの証明書を使用したサイトが多数あり、今後、証明書の入換作業を余儀なくされる事となるのですが、証明書の再発行は無償でしていただくとして、証明書の入換作業のコストはお客様に請求するわけにもいかず、困惑しております。

なお、スラドでは2月6日までにすべての証明書について更新を行っており、現在はこの影響を受けないようになっている。

オーストラリアの中古家具販売店で販売されていた収納棚から、大量の機密文書が見つかった（NHK）。この棚には鍵がかけられていたが、購入した男性が鍵をこじ開けたところ大量の文書を発見、公共放送ABCにこれらの文書が持ち込まれたという。

ABCから政府はこれらの文書を回収、警察とともに経緯の調査を行っているとのこと。

あるAnonymous Coward曰く、

Adobe Flash PlayerにWeb閲覧によってDoS攻撃や任意のコードを実行される可能性があるという脆弱性（APSA18-01）があることが報告されている（IPA）。

Adobeは2月5日（米国時間）の週に修正プログラムを公開するとしているが、既に当該脆弱性を悪用した標的型攻撃が確認されているとの情報がある。このためIPAは、リスクが懸念される組織においては、修正プログラムが公開されるまで一時的にAdobe Flash Playerのアンインストールや無効化などの緩和策を実施するようアナウンスしている。

Adobe Flash PlayerがインストールされているかどうかはAdobeのWebサイトで確認できる。