3月のCODASPY 2018で発表された論文なので旧聞となるが、パーキンソン病に対する脳深部刺激療法などで用いられる植え込み型神経刺激装置で、攻撃者がプログラムを書き換えたり、データを読み取ったりすることが可能な問題が発見されたそうだ(論文: PDF、 The Registerの記事)。

無線通信機能を備える植え込み型医療機器(IMD)では、主にプロプライエタリーなプロトコルを用いて通信を行う。研究グループではノートPCとUSBデータ収集(DAQ)デバイス、簡易な自作アンテナの組み合わせで、大手IMDメーカー製の広く使われている植え込み型神経刺激装置の通信内容を解析。通信には認証も暗号化も使われておらず、ブラックボックスアプローチでプロトコルのすべてをリバースエンジニアリングすることに成功したという。

解析結果を用いれば、植え込み型神経刺激装置と装置のプログラマーとの間で送受信されるデータを盗聴することが可能だが、ソフトウェア無線デバイスからプログラマーを装ったメッセージを送信することも可能となる。これにより、装置にセットされた患者名の書き換えや、プライバシーにかかわるデータの要求などが可能だったそうだ。メッセージは装置のシリアルナンバーを含むが、シリアルナンバーが空でも有効なメッセージとして受け入れられたとのこと。

将来は治療の効果を上げるため、脳波から抽出したデータを取得する機能が神経刺激装置に搭載される可能性もある。この場合、個人的な知識の有無や、感情、考えなども明らかにできる可能性も論文は指摘する。過去の研究では、脳コンピューターインターフェイス(BCI)に対するサイドチャネル攻撃で、パスワードなどを明らかにできるといったものも発表されている。

このような攻撃を避けるため、論文ではランダムなセッションキーの生成と安全なキー交換、暗号化プロトコルによる安全な通信を含むセキュリティアーキテクチャーを提案している。

MicrosoftがGoogle Chrome用拡張機能「Windows Defender Browser Protection」をChromeウェブストアで公開した(公式サイト、 The Vergeの記事、 BetaNewsの記事)。

Windows Defender Browser ProtectionはユーザーがアクセスしようとするWebサイトをフィッシングサイトやマルウェアホスティングサイトなど有害なサイトのリストと照合し、一致する場合はブロックするというもの。つまり、SmartScreenをGoogle Chromeで使用できるようにするということのようだ。同様の機能はGoogle Chromeにも備わっているが、Microsoft Edge 99%、Google Chrome 87%というフィッシング攻撃からの保護率(NSS Labs調べ)を提示し、Windows Defender Browser Protection拡張機能をインストールすることでMicrosoft Edge並みの安全性が保たれると説明している。

公式サイトの動画ではWindows 10 PCでMicrosoft Edgeを使用すれば常に最も安全だと説明しているが、3月のデスクトップブラウザーシェアでMicrosoft Edgeは4%台(StatCounter、Net Applications)。一方Google Chromeは60%を超える圧倒的なシェアを獲得しており、このままではWindows 10ユーザーの保護が不十分だと考えたのかもしれない。

なお、Microsoft EdgeとInternet Explorerで公式サイトにアクセスした場合、Microsoft Edgeの導入ページにリダイレクトされてしまう。そのため、公式サイトの内容を見るにはGoogle ChromeやMozilla Firefoxなど別のWebブラウザーでアクセスする必要がある。

人気の広告ブロック拡張機能「Adblock Plus」の偽物がChromeウェブストアで配布されていたことが半年ほど前に話題となったが、現在も状況は改善されていないようだ。AdGuardの調べによれば、合計2,000万人以上がChromeウェブストアから悪意あるコードを含む偽拡張機能をインストールしていたという(AdGuard Blogの記事、 BetaNewsの記事、 HackReadの記事)。

ここでいう偽拡張機能は、主に広告ブロック拡張機能など人気の拡張機能をクローンして多少のコードを付け加え、本物と紛らわしい名前を付けたものだ。こういった偽拡張機能に対抗するには商標権侵害でGoogleに削除を求めるしかなく、対応には数日かかるという。しかし、最近では紛らわしい名前を付けるのではなく、拡張機能の説明で検索結果上位になるようなキーワードを含めるものも増えているそうだ。

AdGuardが悪意あるコードを発見した偽拡張機能のうち、「AdRemover for Google Chrome」はAdBlockをクローンしたもので、ユーザー数は1,000万人以上だったという。付け加えられた悪意あるコードは、リモートサーバーから画像に埋め込んだコードを受け取って実行するもので、バックグラウンドページとして任意の操作を実行できる。つまり、偽拡張機能のインストールによりボットネットに組み込まれることになる。

同様のアプローチをとる偽拡張機能は他に4本発見されており、うち2本は広告ブロック、あとの2本はそれ以外の拡張機能だったという。なお、AdGuardは問題をGoogleに報告済みで、5本すべて削除されている。ユーザー数は偽広告ブロック拡張機能3本だけで2,000万人を超えるが、1億人以上が使用しているというAdblock Plusのユーザー数もChromeウェブストアでは1,000万人以上と表示されているので、AdRemoverのユーザー数だけで2,000万人を超える可能性もある。

Googleは17日、危険なWebサイトへのアクセスをブロックするGoogle Safe BrowsingをAndroidのWebViewでデフォルト有効にすることを発表した（Chromium Blog、9to5Google、Android Police）。

WebViewはAndroid 5.0以降でGoogle Playを通じたアップデートが提供されており、昨年6月からSafe Browsingは利用可能だが、デフォルトでは無効になっていた。今月リリースのWebView 66ではデフォルトでSafe Browsingが有効になり、WebViewを使用する開発者は特に変更の必要なく保護機能を利用できるようになるとのこと。

WebViewのSafe Browsingは既に、APIドキュメントではデフォルトで有効との記述に変更されている。開発者はベータ版のWebViewを使用してテストURL（chrome://safe-browsing/match?type=malware）にアクセスすれば、アプリでの動作を確認できる。

あるAnonymous Coward曰く、

JCBプリペイドカードのWebサービスのセキュリティ設定が残念な感じになっているという話が、とあるTwitterユーザーによって報告されている。

報告されている問題は、カード種別と氏名、生まれた年、「秘密の質問」とその回答が分かれば、任意のメールアドレスにパスワード再設定用のURLを送信できる点。「秘密の質問」は任意には設定できず、「母親の旧姓」や「初めて買ったペットの名前」「卒業した小学校の名前」など、ソーシャルハッキングで比較的容易に入手できるような情報ばかりとなっている。

JCBプリペイドカードは退会しても15ヶ月間はマイページにログインして利用明細が確認できる仕組みで、アカウント情報を削除することはできないという。その間のメールアドレスやパスワードの変更を可能とするために、確認メールの送信先を任意に指定できるようにしてしまったのではないか、とツイート主は推測している。

陸マイラーの間では「楽天カード」から「ANA JCBプリペイドカード」を経由して「nanacoチャージ」するルートで人気が高い一方、未だに一定期間でログインパスワードを強制変更させるセキュリティ仕様が物議を醸していた。

なお、今月16日にはデザイナー向けソフトウェア販売代理店のA&Aが、ユーザID・パスワードを忘れた場合の通知機能を悪用した不正アクセスを受けたことを発表している。

「秘密の質問」については第三者に推測される危険性が高いことが以前から問題とされており、SNSなどを使って「秘密の質問」の回答を聞き出す手法がたびたび話題となっている（2014年の記事、2015年の記事）。また、Googleは2015年に「秘密の質問」には根本的欠陥があるという分析結果を公表しているほか、米政府機関によるセキュリティ指針でも使用すべきではないとされている。

ちなみに、2016年には『JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される』という話が話題になっていた。

MicrosoftやFacebook、OracleなどのIT企業やSymantec、Trendmicroなどのセキュリティ企業、HPやDell、Ciscoなどのハードウェア企業、BTやCloudfareなどのネットワークインフラ企業などが「Cybersecurity Tech Accord」（サイバーセキュリティテック協定）に調印した。

Cybersecurty Tech Accordはサイバー空間における民間管理やセキュリティ及び安定性、回復力の向上を目指すというもので、サイバー攻撃に対する防衛力向上、政府による民間人や民間組織を狙ったサイバー攻撃を支援しないこと、開発者や人々などに対するセキュリティ向上のための啓蒙を行うこと、こういった目的のために強調して企業が動くことなどを宣言している（ITmedia、Slashdot）。

Microsoftはこの協定について文民の保護を定めた「ジュネーブ条約」のデジタル版だとし、業界が連携して対策を強化する必要性を説いている。

ただし大手IT企業のうち、AppleおよびAmazon、Googleなどは同協定に参加していない。

IntelがCPU内蔵GPUを使ったマルウェアスキャン技術を提供する（PC Watch、The Verge）。

この技術はGPUを使ってメモリ内のマルウェアスキャンを実行するというもので、CPU負荷を2％にまで低減でき、消費電力も削減できるという。まずはWindows Defenderがこの機能をサポートするが、今後ほかのセキュリティソフトやOSでも利用できるようになるという。対応するプロセッサは第6世代（Skylake）から第8世代（Coffee Lake-S）のCoreプロセッサになるようだ。

米英仏の3か国が共同で、シリアに対し空爆を行った。シリアには化学兵器の使用の疑いがあり、これに関連する施設を狙ったという（ロイター、朝日新聞、毎日新聞）。これに関連し、米国などと対立しているロシアがサイバー攻撃を強めるのではないかという懸念が出ているようだ（ITmedia、Newseeek、日経新聞、ブルームバーグ）。

米国防総省によると、シリアへの空爆後ロシアによる「トロール（SNSやネット掲示板における荒らし的な行為）」が「2000％増加した」という。また、ロシアがITインフラを狙ったサイバー攻撃を計画しているとの話もあるようだ。ロシアがこういった行為を行っているという証拠もあるというが、詳細は明かされていない。

headless曰く、

Appleが製品計画などのリーク防止を従業員に呼び掛ける内部メモをBloombergが入手し、全文を掲載している（9to5Mac、Mac Rumors、Ars Technica）。

メモではAppleの仕事をする人は報道関係者やアナリスト、ブロガーのターゲットになっているとし、親しげに近付いてきても狙いはAppleの未発表情報なので、だまされないようにと警告する。リーカーの多くは見つかるとは考えていないようだが、Appleではリーク元の特定能力を上げるために投資しており、逃れることは難しいという。ネットワーク侵入や企業秘密の窃取は犯罪とみなされるため、リーカーは単に仕事を失うだけで済まされないこともある。2017年にAppleが捕まえたリーカー29人のうち、12人は逮捕されているそうだ。ただし、皆が自分の行動の影響をよく考えればリークは完全に回避可能だとし、Appleで働く13万5千人の貢献をたたえる最もいい方法はリークしないことだと締めくくっている。

メモでリーク先と名指しされた9to5Macの記事では、該当のリークにより執筆された記事2本のリンク（[1] [2]）を掲載しているが、情報提供者については特に触れていない。

MozillaがFirefox 61を目標に、HTTP/HTTPSページでFTPからのサブリソース読み込みをブロックする計画を進めているそうだ(mozilla.dev.platformのGoogleグループ投稿、 The Registerの記事、 Bleeping Computerの記事)。

Google Chromeでは既にFTPサブリソース読み込みをブロックしている。Firefoxでは攻撃者がFTPを使用することでクロスサイト認証(XSA)攻撃(※)の警告表示をバイパスできる問題(バグ1361848)があり、この解決方法としてChromium.orgの議論などから発想を得てBugzillaで提案されたらしい。このバグ以外にも、サブリソースをブロックすることでFTP関連のセキュリティ問題は多くが解決できると考えられるとのこと。

FTPサブリソースのブロッキングはFirefox Nightlyでは既に実装されているようで、サンドボックス化されたiframeを含め、HTTP/HTTPSページのFTPサブリソース読み込みはデフォルトですべてブロックされるという。Chromium.orgの議論ではブロッキングによる問題が発生したという報告が出ていることもあり、ブロッキングの有効/無効を切り替えるプリファレンスも追加されるようだ。

※ クロスサイト認証攻撃はCSRF攻撃の一種。攻撃者はコントロール下のホストにHTTP認証を設定して画像を保存し、Web掲示板などに投稿する。投稿にユーザーがアクセスすると攻撃者のホストのログインフォームが表示され、Web掲示板のものと誤解したユーザーが入力するログイン情報を取得できる。Firefoxではこのようなログインフォームに対し他のサイトからのものだという警告を表示するが、バグ1361848は攻撃にFTPを使用することで警告表示をバイパスできるというものだ。

岩手県八幡平市の職員が、1日限定で管理者権限を与えられた際に閲覧制限のある共有フォルダや「全職員の業務用パソコンのパスワード一覧」を自分のPC内に保存し、その後約1年間それらの情報を使って本来アクセスできない情報にアクセスしていたという（八幡平市の発表PDF、Security NEXT、岩手日報）。

今年2月に不自然なアクセス履歴から問題が発覚。これを受けて一部の職員がパスワードの変更を強いられるなどで公務の運営に支障が生じたとして、この職員には給料の10分の1の額の減給1ヶ月という懲戒処分が行われた。

headless曰く、

Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった（Register）。

この脆弱性（CVE-2018-0492）はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。

Debianでは1.3-3+deb7u1（Wheezy）/1.3-3+deb8u1（Jessie）/1.3-4+deb9u1（Stretch）で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをrootとして書き込み用に開くことが可能とみられることが報告される。さらに整数オーバーフローの問題も報告された。

これらの問題を受けてoss-secメーリングリストでは、現在はビープ用スピーカーを備えるPCがほとんどない点や、周波数や長さなどの指定はできないものの「printf '\a'」で置き換え可能な点を指摘して、むしろbeepを廃止すべきではないかという意見が投稿されている。

headless曰く、

T-Mobile Austria（オーストリア）の公式Twitterアカウント（@tmobileat）がユーザーパスワードを平文で保存しているとツイートしたことで、各国の系列会社が次々に「うちは違う」との返信を投稿する事態となった（Neowin）。

発端となったのはDeutsche Telekom（ドイツ）のユーザーパスワードに関する制約を問題視するツイートに対し、T-Mobile Austriaでは従業員がパスワードを確認できることから平文で保存しているらしいとの返信が寄せられたことだ。

この返信を引用する形でツイート主が事実関係をT-Mobile Austriaに確認すると、サービスチームの一人 （Kathe）が「カスタマーサービス担当者はパスワードの最初の4文字を見る（ことができる）。ログインに必要なのでパスワード全体を保存している」といった趣旨の回答をする。さらに、ツイート主や他のユーザーからパスワードの平文保存を問題視する返信に対し、Katheは「何が問題なのか理解できない」「パスワードは安全に保存されているので心配ない」「（同社の）従業員からの警告なのか？」などと返信している。

Katheからの返信はこれで終わっているが、T-Mobile US（米国、@TMobileHelp/@TMobile）やT-Mobile Nederland（オランダ、@tmobile_webcare）、Deutsche Telekom（@Telekom_hilft）の公式アカウントがこの問題を懸念する各国のユーザーに対し、「パスワードは暗号化して（ハッシュ化して）保存しており、従業員が平文のパスワードにアクセスすることはできない」といった内容の返信を繰り返し投稿。@TMobileでは「T-Mobile USはT-Mobile Austriaとは独立して運営されている」とまで投稿している。

T-Mobile Austriaではこの件について、「データベースは暗号化して安全に保存されており、データ侵害はない」とサービスチームの別のメンバー （Helmut）が別途ツイートしている。また、セキュリティ基準について真剣に議論し、必要があればさらに保護を強めていくとも述べている。

画面には表示されない「ゼロ幅文字」を使ってコピー＆ペーストを検出するという手法があるそうだ（秋元@サイボウズラボ・プログラマー・ブログ、Medium）。

この技術は、非公開の掲示板に投稿された情報が漏れていたという出来事を発端として開発されたという。非公開のサイトにアクセスするためのユーザー名をゼロ幅文字による連続した文字列に変換し、表示するテキストに埋め込むことで、その文字列がコピー＆ペーストされた際にコピーを行ったユーザーアカウントを追跡できるという仕組みだ。この仕組みを導入した結果、流出したテキストから流出させたアカウントを特定できたという。

Ciscoのネットワーク機器を狙った大規模なサイバー攻撃が発生したそうだ。この攻撃はロシアやイランなどをターゲットとしたものとされており、被害を受けた機器には米国旗の画像や「我々の選挙に干渉するな」といったメッセージが残されていたという（MOTHERBOARD、Engadget Japanese、Slashdot）。

MOTHERBOARDでは攻撃を行なったグループへ取材を行なった記事が掲載されているが、これによると米国や他の国で頻発している、政府の支援を受けたハッカーによるサイバー攻撃に対し不満を持ちこういった攻撃に及んだという。また、ハッカーらは「単にメッセージを送りたかっただけだ」とも述べているという。

この攻撃は「Cisco Smart Install Client」というソフトウェアの脆弱性を狙って行われたもので、被害にあった機器は修正パッチが適用されていない状況だったという。ハッカーグループは「Shodan」や「Talos」といった検索ツールを使って脆弱性のある機器を検索、攻撃を行なったとしている。被害を受けたマシンは約20万台とのこと。