Appleは4日、App Store審査ガイドラインを改定した。日本語版にはまだ反映されていないが、改定版ではプライバシー関連の項目が大幅に加筆されており、アプリ内での絵文字使用やアプリのトライアル版提供、リモートアプリのミラーリング表示など、最近話題になった問題について明記されている(英語版ガイドライン、 Mac Rumorsの記事[1]、 [2]、 The Vergeの記事)。

プライバシーについては、ユーザーから収集したデータの不正使用を避けるための適切なセキュリティ基準を設けるよう求める項目(1.6)や、録音・録画・アクティビティ記録などを行う場合はユーザーの明確な合意を必要とし、記録中であることが見てわかるようにすることを求める項目(2.5.14)が新設された。また、データの収集及び保存(5.1.1)やデータの使用と共有(5.1.2)にも多くの制限が追加され、EUの一般データ保護規則(GDPR)に関する記述も追加されている。

絵文字の使用については、アプリやメタデータでAppleの絵文字を使用する場合にUnicodeで指定するよう求め、他のプラットフォームで使用したり、アプリのバイナリーに埋め込んだりすべきはでないとする項目(4.5.6)が新設された。アプリのトライアル版は、3.1.1(App内課金)で定期購読タイプ以外のアプリ、3.1.2(定期購読)で定期購読タイプのアプリについてそれぞれ提供可能との記述が追加されている。

あるAnonymous Coward曰く、

法執行機関などによる、所有者の許諾を得ないままiPhoneのロックを解除する行為については長らく議論になっていた。iPhoneのアンロックを解除する「GrayKey」などと呼ばれるデバイスも登場しており（過去記事）、米連邦捜査局（FBI）などはこういったデバイスを導入しているとも言われているが、iOS 12では新たなセキュリティ機能が導入され、こういったデバイスによるロック解除を行えなくなるという（Motherboard、iPhone Mania、Slashdot）。

この機能はロックされてから一定時間が経過すると、Lightning端子からのiOSデバイスへのアクセスを完全に禁止するというもの。こういった機能は以前から導入が噂されていたが、実際には導入されていなかった。

この設定が有効になると、FBIなどの捜査機関は捜査対象の人物からロックされてから1時間以内にiPhoneを入手してGrayKeyなどの機器に接続しない限り、データにアクセスできなくなる。いっぽう、コンピュータにiPhoneを接続してバックアップする場合などもiPhoneのロックを解除する必要があるが、iPhoneの所有者であればロックを解除できるので、ユーザーにとって実質的なデメリットは無いと考えられる。

無償でSSL/TLS証明書を提供するサービス「Let's Encrypt」の利用が広まっているが、このサービスで発行された証明書を利用する上場企業や官公庁が登場したことが一部で話題になっている（上原哲太郎氏のTweet、Shigeki Ohtsu氏のTweet）。

SSL/TLS証明書の役割の1つは暗号化通信に利用するための鍵を提供することだが、別の役割としてその接続先を保証するというものもある。Let's Encryptは接続先サーバーがそのドメイン名に適切に紐づけられていることについては保証するが、証明書の所有者については保証しない。そのため、企業などでの利用には適さないとされている。

（以下、追記と訂正＠6/8 0:55）セキュリティ研究家の高木浩光氏によると、「TLS（SSL）における証明書の役割は中間者攻撃を防ぐことであり、それを上回りもしないし下回りもしない。（実在証明の機能はTLS（SSL）の機能ではない。）」とのこと（指摘Tweet）。

SSL/TLS証明書にはドメインの認証のみを行うDV証明書と運営者の実在性審査を行うOV証明書、厳格に運営者の審査を行うEV証明書があるが（解説記事）、高木氏によるとOV証明書は無意味とのことで、DV証明書を利用するのであれば無料の証明書でも十分だという。そのため、企業サイトにおけるLet's Encryptの証明書の利用も問題ないようだ。

フォントを特定のルールにしたがって微妙に変形させることで、文章内にまったく別の情報を埋め込むという手法が開発された（CNET Japan）。

この手法は「FontCode」と呼ばれており、文章内のそれぞれ文字を埋め込むデータの値に応じて微妙に変形させることで値を埋め込むという。埋め込まれた情報は、ディスプレイに表示された、もしくは印刷された文字をカメラやスキャナなどで画像として取得し、元のフォントと比較して分析することで取り出せる。一般的に使われるさまざまな英文フォントで情報を埋め込めることを確認できたという。

なお、フォントの形を微妙に変化させて情報を埋め込む手法は2003年に日立も開発している。

はてながブログサービス「はてなブログ」では、無料のSSL/TLS証明書発行サービス「Let's Encrypt」を使い、独自ドメインで運用されているブログについてもHTTPSへの対応を行なっている。そういった背景から、はてながLet's Encryptを運営するInternet Security Research Group（ISRG）への寄付を実施したとのこと（はてなの発表）。

同プロジェクトへの寄付はDonateページから行える。なお、同プロジェクトでは「スポンサー」枠もあるが、今のところそこにははてなの名は入っていない。ちなみに日本企業としてはさくらインターネットや時雨堂が名を連ねている。

CSSの「mix-blend-mode」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している(Evonideの記事、 Ars Technicaの記事、 SlashGearの記事)。

Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、iframeに別の要素をオーバーレイし、mix-blend-modeプロパティを使用すると色のブレンドが可能となる。「multiply」のように単純なブレンドモードでは処理時間に違いはみられないが、カラーチャネルを分離せずに処理する「saturation」のようなブレンドモードでは下のレイヤーの色によって処理時間が変動するのだという。

これを利用してピクセル単位でレンダリングを実行させ、処理時間を測定すれば、iframe上のターゲットピクセルの色を識別できる。PoCではFacebookのソーシャルプラグインを埋め込んだ攻撃用ページから、Facebookユーザーの名前やプロフィール写真を読み取っている。ただし、1回のレンダリングでは処理時間の違いを測定できないため、多数のsaturationレイヤーを重ねている。また、別のブレンドモードを指定したレイヤーをiframeとsaturationレイヤーの間に入れることで、特定のカラーチャネルを抽出するなどの処理を事前に行っている。

この脆弱性はGoogle ChromeとMozilla Firefoxで確認され、昨年12月リリースのChrome 63と今年5月リリースのFirefox 60でぞれぞれ修正されている。脆弱性は昨年3月に別の発見者がChromiumメーリングリストで報告していたが、Mozillaには手違いで11月まで報告されていなかったため、修正が遅れたとのこと。なお、Safariは発見時点で既に対策済みだったようで、Microsoft Edge/Internet Explorerではmix-blend-mode自体が実装されていない。

米コロンビア地区連邦地裁は5月30日、米政府機関でKaspersky Lab製品の使用を禁じたのは違法だとして同社が米政府などを訴えていた2件の訴訟を棄却した(裁判所文書: PDF、 The Registerの記事、 BetaNewsの記事)。

1件目の訴訟は2017年9月に米国土安全保障省(DHS)が出した指令「Binding Operational Directive 17-01」(BOD)が米行政手続法(APA)および、適正な法手続きを定めた合衆国憲法修正第5条に違反するとしてDHSを訴えたもの(BOD訴訟)。BODでは政府機関におけるKaspersky製品の使用中止・削除を命じている。2件目は2017年12月に成立した2018年度国防授権法(NDAA)で、政府機関におけるKaspersky製品の使用を禁じる条項が違憲な私権剥奪法にあたるとして米政府を訴えていたものだ(NDAA訴訟)。

2件の訴訟は独立したものだが、政府側はNDAA訴訟の棄却およびBOD訴訟の棄却または略式判決、Kaspersky側はBOD訴訟の略式判決をそれぞれ申立ている。これらの申立を含めて重複・関連する事項が多いことから、判事の意見書は2件をまとめたものになっている。

headless曰く、

SoftBankのロボット「Pepper」で、認証なしにリモートからのPepperの操作を可能にし、人に危害を加えるなどの攻撃も行えるという脆弱性が見つかっているそうだ。スウェーデンとデンマークの研究チームによる調査結果は5月10日にarXiv.orgで公開されている（Register、 論文）。

研究チームはポートスキャンや脆弱性スキャナーの実行結果をもとに、各サービスへの攻撃が可能かどうかを評価している。リモートからの操作は9559番ポートからアクセス可能なNAOqiのサービスによるもの。このポートにTCPメッセージを送信するとPepperはそれに従って動作する。Pepperの体の動きを指定できるだけでなく、カメラやマイクを含むすべてのセンサーへのアクセスが可能なAPIが提供されているという。特に認証は行われず、APIの仕様に従っている限り、誰が送信したものであっても受け入れられるとのこと。

また、SSH接続によるrootログインは無効化されており、ユーザー「nao」のみがSSH接続で利用できることになっているが、suコマンドを実行すれば権限の昇格が可能だ。naoの認証情報はWebベースの管理ページに接続する際にも使われるが、管理ページにはHTTPで接続するので盗聴される可能性がある。SSHのログインも総当たり攻撃への保護がされておらず、naoのパスワードは比較的容易に取得できるようだ。一方、rootのパスワードはマニュアルに記載されているが、管理ページから変更可能なnaoのパスワードとは異なり、変更にはターミナル上での操作が必要だという。

このほか、OpenSSHなどのソフトウェアが更新されていない点や、ユーザーがPepperの振付データや読み上げ用テキスト、胸のタブレットに表示する画像をアップロードできるSimple Animated Messages（SAM）アプリケーションでMIMEスニッフィング攻撃が可能な点も弱点として挙げられている。論文では上述のような問題への対策に加え、Portspoofのようなソフトウェアを使用してポートスキャンで攻撃者が得られる情報を少なくすること、開発段階で脆弱性スキャナーを実行して問題点を修正しておくことを提案している。

あるAnonymous Coward曰く、

音を使ってHDDを攻撃する手法が実際に有効であることが実証されたという（ITmedia、CNET、arsTechnica、Slashdot）。

これはミシガン大学や浙江大学のセキュリティ研究者によって行われたもの（論文PDF）。スピーカーから超音波や可聴域の音を発生させてHDDの磁気ヘッドやプラッタを振動させてダメージを与えることができるという。

この攻撃は「ブルーノート」と名付けられている。

あるAnonymous Coward曰く、

CSVファイルを開くだけでウイルスに感染するという話が報じられている。

ExcelではExcelの関数が記述されたCSVファイルを開くと、状況によってはその関数を実行する仕組みになっているようだ。そのため、Excelで開いた際に悪意のある処理を実行するようなCSVを意図的に作成できてしまうという。

開いた時の話で問題があるのはExcelの方であり、またExcelはちゃんと怪しいCSVファイルを開いた時に警告を出すためどちらかというと利用者側の問題のような気もするが、実際にこの手法を使った攻撃が今年第一四半期に行われていたそうだ。

対策としては、不審なCSVファイルはExcelで開かなければ良いと思われる。

なお、ExcelがCSVファイル内の関数を実行するという問題については以前から指摘されてはいたが、Microsoftはユーザーがマクロを有効にする必要があることから脆弱性ではないとしている（2016年のサイボウズエンジニアブログ）。また、「安全なファイル形式」などというものは存在しないという指摘もある（twitterセキュリティネタまとめ）。

headless曰く、

Chromeウェブストアではたびたび偽の拡張機能が公開されて問題となっているが（過去記事1 、過去記事2）、ここ数か月の間に怪しいサイトへ誘導しようとする「テーマ」が増加しているらしい（TorrentFreakの記事）。

問題のテーマは名称に映画のタイトルやオンラインで無料再生できることを示す表現が含まれる。たとえばキーワード「watch movie online」でテーマを検索すると15本がヒットする。

実際にテーマをインストールしてみてはいないが、15本中12本は詳細画面の「ウェブサイト」をクリックすると「vioos.co」というサイトの該当作品ページが表示される。このサイトは海賊版ストリーミングサイトのようにみえるが、再生ボタンをクリックしても映画は再生されず、別のサイトのサインアップページへリダイレクトされる。リダイレクト先は複数あり、安全ではない・信頼すべきではないと評価されているサイトが多いようだ。

これらの中にはユーザー数が千人以上のテーマが複数あり、「free Watch Rampage Online Full Movie Download」というテーマは2千人を超えている。レビュー欄には仲間が付けたらしい高評価レビューや、詐欺だと非難するレビューのほか、テーマ自体を評価するレビューもみられる。

残り3本のうち2本は本物の海賊版ストリーミング/Torrentサイトが宣伝を兼ねて公開しているテーマのようで、名称にはオンラインで映画を無料再生できることを示唆する表現は含まれない。あと1本は上述の12本と同じ提供者名（▼Click To Watch Full Movie Now▼）になっているが、リンクは張られていなかった。

あるAnonymous Coward 曰く、

財務省が、「黒塗りに時間がかかる」と発表を遅らせていた学校法人「森友学園」との交渉記録などに関する文書を23日にWebサイトで公開したが、この「黒塗り」が簡単に外せる状態になっていたことが分かった（NHK）。

この文書が黒塗りが外せる状態で公開されていたのは数時間だが、これを入手したメディアやジャーナリストによってすでに検証が行われている（AERA、ロイター）。黒塗りが外れた状態の書類が出回るのも時間の問題か。

あるAnonymous Coward曰く、

先日、家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃が話題になったが、これ以外にも「VPNFilter」と呼ばれる、ネットワーク機器を狙った攻撃が最近頻発しているという（ZDNet、Slashdot、INTERNET Watch、JPCERT/CC）。

VPNFilterはLinuxを採用したネットワーク機器を狙う攻撃で、LinksysやMikroTik、NETGEAR、TP-Link、QNAPなどのルーターやNASなどが攻撃された例が報告されているようだ。さらにVPNFilterではフラッシュメモリ内にデータを書き込むことで、機器を再起動しても継続して不正な活動を継続させるという。

また、このマルウェアにはロシアによるサイバー攻撃で使われたコードと多くの共通点があるとのこと。外部からの指示でネットワーク機器の活動を停止させる機能もあり、同時多発的にネットワークを停止させることができるという。

いっぽうで米連邦捜査局（FBI）は23日、こう言ったマルウェアに命令を出すコマンド＆コントロール（CC）サーバーのドメインを掌握したと発表している（ウォール・ストリート・ジャーナル）。

Pornhubは23日、無料VPNサービス「VPNhub」の提供開始を発表した(プレスリリース、 The Next Webの記事、 VentureBeatの記事、 The Vergeの記事)。

VPNhubは専用アプリから接続する仕組みで、Android/iOS/macOS/Windowsの各OS対応アプリが公開されている。ただし、モバイル版は無料で利用できるが、デスクトップ版を利用するには有料のVPNhub Premiumにサインアップする必要がある。VPNhub Premiumでは広告が非表示になるほか、米国以外のサーバーも選択できるようになり、より高速な通信速度が提供されるとのこと。なお、デスクトップ版にはVPNhub Premiumにサインアップする機能が用意されておらず、モバイル版でサインアップする必要があるようだ。

VPNhubはユーザーのセキュリティやプライバシーを守るPornhubの取り組みの一環だという。Pornhubを利用するかどうかにかかわらず世界中で利用できるが、米国でビジネスが禁じられているイラクや北朝鮮などでのサービスは未提供で、サウジアラビアや中国などでは接続がブロックされる可能性もあるとのことだ(FAQ)。

20日から22日にかけてAvastを使用している環境でWindows 10 バージョン1803にアップグレードすると正常に動作しなくなる問題が報告され、Microsoftが該当環境へのバージョン1803の配信を一時停止したそうだ(Avast Forum、 The Registerの記事、 BetaNewsの記事、 Softpediaの記事)。

症状としては、起動時に回復オプションが表示される、ログインすると「ごみ箱」アイコンとタスクバーのみの黒いデスクトップが表示される、といったもののようだ。ログイン時にはデスクトップにアクセスできないといったメッセージが表示されるとのことで、スタートメニューも機能しないとのこと。

Redditのスレッドでは症状が発生する環境の99%でAvastを使用しているとまとめられているが、AVGやMcAfee、Nortonで問題が発生したとの報告もみられる。Microsoft Communityでは 1)回復オプションから以前のバージョンに戻す、2)解決法が提供されるまで待つ、3)ファイルをバックアップしてWindows 10を再インストールする、という対処法が紹介されているが、アンチウイルス関連の記述はない。

Avastは当初、Microsoftと協力して調査しているが両社ともに症状を再現できていないこと、MicrosoftがAvast環境へのバージョン1803配信を一時的に停止したことをフォーラムで報告していた。しかし、その後バージョン1803の最新アップデートとAvast Behavior Shieldとの間で互換性の問題が確認されたとし、更新の提供開始を同スレッドで報告している。バージョン1803の配信が再開されたかどうかについては報告がない。

Avastによれば、タイミングやインターネット接続状況などによっては問題が発生しないこともあるという。既に問題が発生したユーザー向けには、The Computer CellarのWebサイトで解説されている修復手順を紹介している。手順としては黒いデスクトップ画面が表示された状態で、別途用意したWindows 10インストールメディアの「setup.exe」をタスクマネージャーの「新しいタスクの実行」から起動して再度アップグレードするというものだ。この方法ではユーザーファイルが失われることはないとのこと。