CSSの「mix-blend-mode」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している(Evonideの記事、 Ars Technicaの記事、 SlashGearの記事)。

Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、iframeに別の要素をオーバーレイし、mix-blend-modeプロパティを使用すると色のブレンドが可能となる。「multiply」のように単純なブレンドモードでは処理時間に違いはみられないが、カラーチャネルを分離せずに処理する「saturation」のようなブレンドモードでは下のレイヤーの色によって処理時間が変動するのだという。

これを利用してピクセル単位でレンダリングを実行させ、処理時間を測定すれば、iframe上のターゲットピクセルの色を識別できる。PoCではFacebookのソーシャルプラグインを埋め込んだ攻撃用ページから、Facebookユーザーの名前やプロフィール写真を読み取っている。ただし、1回のレンダリングでは処理時間の違いを測定できないため、多数のsaturationレイヤーを重ねている。また、別のブレンドモードを指定したレイヤーをiframeとsaturationレイヤーの間に入れることで、特定のカラーチャネルを抽出するなどの処理を事前に行っている。

この脆弱性はGoogle ChromeとMozilla Firefoxで確認され、昨年12月リリースのChrome 63と今年5月リリースのFirefox 60でぞれぞれ修正されている。脆弱性は昨年3月に別の発見者がChromiumメーリングリストで報告していたが、Mozillaには手違いで11月まで報告されていなかったため、修正が遅れたとのこと。なお、Safariは発見時点で既に対策済みだったようで、Microsoft Edge/Internet Explorerではmix-blend-mode自体が実装されていない。

米コロンビア地区連邦地裁は5月30日、米政府機関でKaspersky Lab製品の使用を禁じたのは違法だとして同社が米政府などを訴えていた2件の訴訟を棄却した(裁判所文書: PDF、 The Registerの記事、 BetaNewsの記事)。

1件目の訴訟は2017年9月に米国土安全保障省(DHS)が出した指令「Binding Operational Directive 17-01」(BOD)が米行政手続法(APA)および、適正な法手続きを定めた合衆国憲法修正第5条に違反するとしてDHSを訴えたもの(BOD訴訟)。BODでは政府機関におけるKaspersky製品の使用中止・削除を命じている。2件目は2017年12月に成立した2018年度国防授権法(NDAA)で、政府機関におけるKaspersky製品の使用を禁じる条項が違憲な私権剥奪法にあたるとして米政府を訴えていたものだ(NDAA訴訟)。

2件の訴訟は独立したものだが、政府側はNDAA訴訟の棄却およびBOD訴訟の棄却または略式判決、Kaspersky側はBOD訴訟の略式判決をそれぞれ申立ている。これらの申立を含めて重複・関連する事項が多いことから、判事の意見書は2件をまとめたものになっている。

headless曰く、

SoftBankのロボット「Pepper」で、認証なしにリモートからのPepperの操作を可能にし、人に危害を加えるなどの攻撃も行えるという脆弱性が見つかっているそうだ。スウェーデンとデンマークの研究チームによる調査結果は5月10日にarXiv.orgで公開されている（Register、 論文）。

研究チームはポートスキャンや脆弱性スキャナーの実行結果をもとに、各サービスへの攻撃が可能かどうかを評価している。リモートからの操作は9559番ポートからアクセス可能なNAOqiのサービスによるもの。このポートにTCPメッセージを送信するとPepperはそれに従って動作する。Pepperの体の動きを指定できるだけでなく、カメラやマイクを含むすべてのセンサーへのアクセスが可能なAPIが提供されているという。特に認証は行われず、APIの仕様に従っている限り、誰が送信したものであっても受け入れられるとのこと。

また、SSH接続によるrootログインは無効化されており、ユーザー「nao」のみがSSH接続で利用できることになっているが、suコマンドを実行すれば権限の昇格が可能だ。naoの認証情報はWebベースの管理ページに接続する際にも使われるが、管理ページにはHTTPで接続するので盗聴される可能性がある。SSHのログインも総当たり攻撃への保護がされておらず、naoのパスワードは比較的容易に取得できるようだ。一方、rootのパスワードはマニュアルに記載されているが、管理ページから変更可能なnaoのパスワードとは異なり、変更にはターミナル上での操作が必要だという。

このほか、OpenSSHなどのソフトウェアが更新されていない点や、ユーザーがPepperの振付データや読み上げ用テキスト、胸のタブレットに表示する画像をアップロードできるSimple Animated Messages（SAM）アプリケーションでMIMEスニッフィング攻撃が可能な点も弱点として挙げられている。論文では上述のような問題への対策に加え、Portspoofのようなソフトウェアを使用してポートスキャンで攻撃者が得られる情報を少なくすること、開発段階で脆弱性スキャナーを実行して問題点を修正しておくことを提案している。

あるAnonymous Coward曰く、

音を使ってHDDを攻撃する手法が実際に有効であることが実証されたという（ITmedia、CNET、arsTechnica、Slashdot）。

これはミシガン大学や浙江大学のセキュリティ研究者によって行われたもの（論文PDF）。スピーカーから超音波や可聴域の音を発生させてHDDの磁気ヘッドやプラッタを振動させてダメージを与えることができるという。

この攻撃は「ブルーノート」と名付けられている。

あるAnonymous Coward曰く、

CSVファイルを開くだけでウイルスに感染するという話が報じられている。

ExcelではExcelの関数が記述されたCSVファイルを開くと、状況によってはその関数を実行する仕組みになっているようだ。そのため、Excelで開いた際に悪意のある処理を実行するようなCSVを意図的に作成できてしまうという。

開いた時の話で問題があるのはExcelの方であり、またExcelはちゃんと怪しいCSVファイルを開いた時に警告を出すためどちらかというと利用者側の問題のような気もするが、実際にこの手法を使った攻撃が今年第一四半期に行われていたそうだ。

対策としては、不審なCSVファイルはExcelで開かなければ良いと思われる。

なお、ExcelがCSVファイル内の関数を実行するという問題については以前から指摘されてはいたが、Microsoftはユーザーがマクロを有効にする必要があることから脆弱性ではないとしている（2016年のサイボウズエンジニアブログ）。また、「安全なファイル形式」などというものは存在しないという指摘もある（twitterセキュリティネタまとめ）。

headless曰く、

Chromeウェブストアではたびたび偽の拡張機能が公開されて問題となっているが（過去記事1 、過去記事2）、ここ数か月の間に怪しいサイトへ誘導しようとする「テーマ」が増加しているらしい（TorrentFreakの記事）。

問題のテーマは名称に映画のタイトルやオンラインで無料再生できることを示す表現が含まれる。たとえばキーワード「watch movie online」でテーマを検索すると15本がヒットする。

実際にテーマをインストールしてみてはいないが、15本中12本は詳細画面の「ウェブサイト」をクリックすると「vioos.co」というサイトの該当作品ページが表示される。このサイトは海賊版ストリーミングサイトのようにみえるが、再生ボタンをクリックしても映画は再生されず、別のサイトのサインアップページへリダイレクトされる。リダイレクト先は複数あり、安全ではない・信頼すべきではないと評価されているサイトが多いようだ。

これらの中にはユーザー数が千人以上のテーマが複数あり、「free Watch Rampage Online Full Movie Download」というテーマは2千人を超えている。レビュー欄には仲間が付けたらしい高評価レビューや、詐欺だと非難するレビューのほか、テーマ自体を評価するレビューもみられる。

残り3本のうち2本は本物の海賊版ストリーミング/Torrentサイトが宣伝を兼ねて公開しているテーマのようで、名称にはオンラインで映画を無料再生できることを示唆する表現は含まれない。あと1本は上述の12本と同じ提供者名（▼Click To Watch Full Movie Now▼）になっているが、リンクは張られていなかった。

あるAnonymous Coward 曰く、

財務省が、「黒塗りに時間がかかる」と発表を遅らせていた学校法人「森友学園」との交渉記録などに関する文書を23日にWebサイトで公開したが、この「黒塗り」が簡単に外せる状態になっていたことが分かった（NHK）。

この文書が黒塗りが外せる状態で公開されていたのは数時間だが、これを入手したメディアやジャーナリストによってすでに検証が行われている（AERA、ロイター）。黒塗りが外れた状態の書類が出回るのも時間の問題か。

あるAnonymous Coward曰く、

先日、家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃が話題になったが、これ以外にも「VPNFilter」と呼ばれる、ネットワーク機器を狙った攻撃が最近頻発しているという（ZDNet、Slashdot、INTERNET Watch、JPCERT/CC）。

VPNFilterはLinuxを採用したネットワーク機器を狙う攻撃で、LinksysやMikroTik、NETGEAR、TP-Link、QNAPなどのルーターやNASなどが攻撃された例が報告されているようだ。さらにVPNFilterではフラッシュメモリ内にデータを書き込むことで、機器を再起動しても継続して不正な活動を継続させるという。

また、このマルウェアにはロシアによるサイバー攻撃で使われたコードと多くの共通点があるとのこと。外部からの指示でネットワーク機器の活動を停止させる機能もあり、同時多発的にネットワークを停止させることができるという。

いっぽうで米連邦捜査局（FBI）は23日、こう言ったマルウェアに命令を出すコマンド＆コントロール（CC）サーバーのドメインを掌握したと発表している（ウォール・ストリート・ジャーナル）。

Pornhubは23日、無料VPNサービス「VPNhub」の提供開始を発表した(プレスリリース、 The Next Webの記事、 VentureBeatの記事、 The Vergeの記事)。

VPNhubは専用アプリから接続する仕組みで、Android/iOS/macOS/Windowsの各OS対応アプリが公開されている。ただし、モバイル版は無料で利用できるが、デスクトップ版を利用するには有料のVPNhub Premiumにサインアップする必要がある。VPNhub Premiumでは広告が非表示になるほか、米国以外のサーバーも選択できるようになり、より高速な通信速度が提供されるとのこと。なお、デスクトップ版にはVPNhub Premiumにサインアップする機能が用意されておらず、モバイル版でサインアップする必要があるようだ。

VPNhubはユーザーのセキュリティやプライバシーを守るPornhubの取り組みの一環だという。Pornhubを利用するかどうかにかかわらず世界中で利用できるが、米国でビジネスが禁じられているイラクや北朝鮮などでのサービスは未提供で、サウジアラビアや中国などでは接続がブロックされる可能性もあるとのことだ(FAQ)。

20日から22日にかけてAvastを使用している環境でWindows 10 バージョン1803にアップグレードすると正常に動作しなくなる問題が報告され、Microsoftが該当環境へのバージョン1803の配信を一時停止したそうだ(Avast Forum、 The Registerの記事、 BetaNewsの記事、 Softpediaの記事)。

症状としては、起動時に回復オプションが表示される、ログインすると「ごみ箱」アイコンとタスクバーのみの黒いデスクトップが表示される、といったもののようだ。ログイン時にはデスクトップにアクセスできないといったメッセージが表示されるとのことで、スタートメニューも機能しないとのこと。

Redditのスレッドでは症状が発生する環境の99%でAvastを使用しているとまとめられているが、AVGやMcAfee、Nortonで問題が発生したとの報告もみられる。Microsoft Communityでは 1)回復オプションから以前のバージョンに戻す、2)解決法が提供されるまで待つ、3)ファイルをバックアップしてWindows 10を再インストールする、という対処法が紹介されているが、アンチウイルス関連の記述はない。

Avastは当初、Microsoftと協力して調査しているが両社ともに症状を再現できていないこと、MicrosoftがAvast環境へのバージョン1803配信を一時的に停止したことをフォーラムで報告していた。しかし、その後バージョン1803の最新アップデートとAvast Behavior Shieldとの間で互換性の問題が確認されたとし、更新の提供開始を同スレッドで報告している。バージョン1803の配信が再開されたかどうかについては報告がない。

Avastによれば、タイミングやインターネット接続状況などによっては問題が発生しないこともあるという。既に問題が発生したユーザー向けには、The Computer CellarのWebサイトで解説されている修復手順を紹介している。手順としては黒いデスクトップ画面が表示された状態で、別途用意したWindows 10インストールメディアの「setup.exe」をタスクマネージャーの「新しいタスクの実行」から起動して再度アップグレードするというものだ。この方法ではユーザーファイルが失われることはないとのこと。

headless曰く、

5月21日、多くのモダンCPUに影響する投機的実行のサイドチャネル脆弱性（Spectre/Meltdown）の新バリアント2件が公表された（US-CERT TA-18-141A、Intelの発表、AMDの発表、ARMの発表、Project Zero — Issue 1528）。

CVE-2018-3639（Variant 4）はメモリー読み取りの投機的実行により、メモリー上の古いデータが読み取り可能になるというもので、Speculative Store Bypass（SSB）とも呼ばれる。

CVE-2018-3640（Variant 3a）はシステムレジスタ読み取りの投機的実行により、権限のないシステムパラメーター読み取りが可能になるというもので、Rogue System Register Read（RSRE）とも呼ばれる。こちらはMeltdown脆弱性（Variant 3: CVE-2017-5754）のサブバリアント扱いとなっている。AMD製のCPUはMeltdown脆弱性の影響を受けないが、Variant 3aについても影響を受けるものは確認されていないとのことだ。

脆弱性の深刻度は2件とも「Medium」となっているが、MicrosoftによればVariant 4はJavaScriptコードを使用したWebブラウザー上での攻撃も可能だという。ただし、メジャーなWebブラウザーでは既に攻撃を困難にする修正が行われているそうだ。これに対し、Variant 3aでは攻撃者がローカルでログオンして攻撃用プログラムを実行する必要がある。この攻撃の緩和策はマイクロコード/ファームウェアの更新に限られるとのことだ。

家庭用ルーターを攻撃してDNSサーバーなどの設定を変更し、そのルーター経由でAndroid端末に偽のアプリをインストールさせる攻撃が世界各国で発生しているという（ZDNet Japan）。

この攻撃は当初は日本や韓国などの東アジア各国を狙っており、今年3月に日本でも話題となった。その後偽アプリの言語が27言語に拡大。さらに、iOS端末やPCのWebブラウザから不正サイトにアクセスさせるような攻撃も確認されているという。PCのWebブラウザにアクセスさせた不正サイトでは仮想通貨採掘スクリプトを実行するようにもなっていたそうだ。

詳細な攻撃手法は明らかになっていないようだが、ルーターのデフォルトアカウントなどを使って侵入して設定を変更していると推測されている。

taraiok 曰く、

Microsoftは先週、Office 365でのFlash、ShockwaveおよびSilverlightコンテンツの使用をブロックすると発表した。これはOffice 365サブスクリプションクライアントのみ適用され、Office 2016、Office 2013またはOffice 2010には適用されない。また、ブロックされるのは「オブジェクトの挿入」機能で埋め込まれたもので「オンラインビデオの挿入」によって埋め込まれたコンテンツはブロックされないとしている（BleepingComputer、Slashdot）。

ブロックが行われるのは更新チャネル「Semi-Annual Channel」では2018年9月から、「Office 365 Semi Annua」では2019年1月から。理由としては悪用されることが多いにも関わらず、ユーザーによる利用は少なかったことを挙げている。

taraiok曰く、

米国防総省が、スマートフォンを使い個人認証を行う技術に資金を提供しているそうだ。これは米国で現役の軍人や政府職員が使用している認証システムであるCommon Access Card（CAC）を置き換えるものになるという（Nextgov、Slashdot）。

このシステムはCACと同様に個人の身元を証明できることに加えて、スマートフォンを持つ手の圧力や手首の緊張、歩いている人固有の歩行パターンなどを個人を識別するための情報として継続して収集・分析するという。

政府機関などの組織は、これら分析データを組み合わせてスマートフォン所有者に「リスクスコア（危険度）」を付与する。リスクスコアが十分に低い場合、組織は所有者に対し通話やコンピューター上の機密ファイルへのアクセスなどを許可するという仕組みらしい。反対にリスクスコアが高い場合、ロックアウトされるという。

識別情報を継続的に収集して検証できるためカードの盗難などによる偽証が難しくなる。この技術は数年以内にほとんどの市販スマートフォンに搭載されるようになるとのこと。

米ミシガン州の刑務所のシステムを狙ってサイバー攻撃を行った男性が逮捕された。この男性は服役中の友人の刑期を短くするためにシステムへの侵入を試みたという（THE ZERO ONE）。

手口としては刑務所のあるWashtenaw郡のWebサイトで使われているドメインに似たドメインを取得し、それを利用して標的型攻撃を行うというもの。具体的には職員に成りすまして同郡の職員にマルウェアを含んだ実行ファイルのダウンロードと実行を行わせたという。これにより郡のネットワークへのアクセス権を入手し、これを使って刑務所のシステムに侵入、ターゲットの受刑者の情報を改ざんしたという。

しかし、この改ざんはすぐに発見されてその後男性は逮捕されたそうだ。