デスクトップ版のChrome 67ではSpectre/Meltdownなどの脆弱性を狙う投機的実行のサイドチャネル攻撃を緩和するため、すべてのサイトを別プロセスで読み込む「Site Isolation」が有効になっているそうだ(Google Security Blogの記事、 Ars Technicaの記事、 The Registerの記事、 BetaNewsの記事)。

Chromeでは以前からタブごとに別のプロセスを使用しているが、タブ内のiframeやポップアップで別のサイトが読み込まれる場合はメインタブと同一プロセスが使われていたという。通常は同一オリジンポリシーによりクロスサイトiframeやポップアップの内容にメインドキュメントからアクセスすることはできないが、何らかの脆弱性を狙われた場合にはSpectreに限らず、Site Isolationが有効な緩和策となる。また、Webページがサブリソースとして読み込もうとするクロスサイトのHTML/XML/JSONレスポンスをブロックするCross-Origin Read Blocking(CORB)も含まれる。なお、同一ドメインのサブドメインについては同一サイト扱いになるとのこと。

Site IsolationはChrome 63 で実験的な企業向けのポリシーとして実装されており、多くの問題が解決されたことから、デスクトップ版Chromeの全ユーザーで有効にできるレベルに達したという。ただし、現時点で有効になっているのは99%のユーザーで、1%はパフォーマンス改善などのため無効のままにしているそうだ。プロセス増加により、メモリー使用量は10～13%程度の増加が見込まれる。

Site Isolationの動作はhttp://csreis.github.io/tests/cross-site-iframe.htmlを開いて「Go cross-site (complex page)」をクリックし、Chromeのメニューから「その他のツール→タスクマネージャ」を選んでタスクマネージャを起動すれば確かめられる。有効になっていればiframeに読み込まれたサイトが「サブフレーム」として表示されるはずだ。

あるAnonymous Coward曰く、

空港のシステムに接続するための情報がダークウェブ上で10ドルで販売されていたとMcAfeeが伝えている。

発見されたのは、ネットワーク経由でコンピュータのデスクトップに接続するプロトコル「RDP（Remote Desktop Protocol）」の接続情報。これを利用することで、空港システム内のコンピュータを外部から操作できるという。そのほか、ビルオートメーションシステムや監視カメラ、交通管制システムなどにアクセスするための情報も販売されていたそうだ（Engadget Japanese、AXIOS、Slashdot）。

headless曰く、

性的暴行を受けた時に警察へ通報する機能を搭載するスマートブラをシンガポールのデータサイエンティスト、スコット・ファン氏が開発したそうだ（South China Morining Post）。

ファン氏の作成したプロトタイプは圧力センサーと心拍センサーを搭載。胸にかかる圧力の増加と心拍数の増加が同時発生した場合に警察へ通報する仕組みだ。任意の連絡先に通知を送ることも可能だという。

スマートウォッチなどのウェアラブルデバイスで同様の通報機能を利用できるものもあるが、ファン氏のスマートブラは着用が一見してわからないため、事前に外されてしまうといった事態を避けることができるとのこと。

ファン氏のスマートブラはプロトタイプでのテストが完了しており、製品化に向けた改良の段階に入っているそうだ。このデバイスは任意のブラジャーに装着可能で、着用時の不快感もないとのことだ。

headless曰く、

Appleが9日に一般リリースしたiOS 11.4.1で、以前からたびたび話題に上っていたiOSのUSB制限モードが搭載された（AppleサポートドキュメントHT208857、The Vergeの記事[1]、Mac Rumors、Ars Technica）。

USB制限モードはパスワード保護された端末のロックを解除せずに一定時間経過すると、Lightningポートの機能が充電のみに制限されるというものだ。iOS 11.4.1の場合、USBアクセサリーやPCと接続するには少なくとも1時間以内にロックが解除されている必要があり、そうでない場合はロックを解除しなければUSBデバイスが認識されない。状況によっては充電もできない可能性があるそうだが、USB電源アダプターを接続した場合は問題なく充電できるとのこと。なお、「設定」アプリの「Face ID/Touch IDとパスコード」で端末ロック時のUSB使用を許可する設定にすることも可能だ。

主に捜査機関が使用するGrayKeyなどのiPhoneアンロックツール対策とみられるUSB制限モードだが、ElcomSoftによるとUSB制限モードに入る前であればLightning to USB 3 Camera AdapterのようなLightningポート用のアクセサリーを接続するだけで制限時間の延長が可能になる問題があるという。Lightningポート用アクセサリーであれば何でもよいというわけではないようだが、捜査機関は押収したiPhoneに充電も可能なアクセサリーを接続することで、アンロックツールが使える場所へ移動するまで制限時間を延長できる。押収時点でロック解除から1時間以上経過していればどうにもならないが、2年前の調査によるとiPhoneのロック解除は1日平均80回とのことで、持ち歩いているiPhoneが1時間以上ロックされたままになっている可能性は低いようだ（ElcomSoft blog、The Vergeの記事[2]、 SlashGear）。

headless曰く、

Googleの次期モバイルOS「Android P」ではWPS（Wi-Fi Protected Setup）のサポートが廃止されるようだ（Android Police）。

Android Pでは5月のDeveloper Preview 2（DP2、API 28）でWifiManagerクラスのWPS関連メソッドやフィールド、WifiManager.WpsCallbackクラス、WpsInfoクラスが非推奨になっており、設定→Wi-FiでもWPSオプションが削除されていたらしい。これらの点はDP2の段階でIssue Trackerに上がっているが、動作変更点としては記載されないままDP4までWPSオプションは復活していない。

Wi-Fi機器間での暗号化設定をPINやボタンで容易に実行できるようにするため策定されたWPS規格だが、PIN認証では総当たり攻撃が可能な脆弱性が発見されている。しかし、WPS規格ではPIN認証が必須となっていることから、新しいルーターの中にはWPS搭載を避ける機種も増えているそうだ。

最近ではNintendo Switch向け人気ゲーム「スプラトゥーン2」でのチートが増えているほか、Nintendo Switch向けゲームの海賊版などが出回り始めているという噂がある。しかし、安易にこれらに飛びつくと最悪利用した本体で任天堂のネットワークサービスが一切利用できなくなる可能性もあるようだ。

Nintendo Switchには端末毎に認証用のクライアント証明書が埋め込まれており、これを使って不正な行為を行った端末のブロックが行えることがハッカーによる分析で明らかになっている（Ars Technica）。この情報は、Nintendo Switchのハックを試みているSciresMというハッカー集団が公開したもの。これによると、Nintendo Switchでは非常に強固な海賊版対策機構が導入されており、海賊版ソフトウェアの実行を検知できるという。

Switchでは、ゲームプレイ時にオンライン接続を行う際に次のような手順を踏むという。

1. インターネットに接続されているかを確認する
2. 本体固有の認証トークンを取得する（BANされた本体ではこのトークンを取得できない）
3. ニンテンドーアカウントの認証を行う
4. プレイするタイトルごとのアプリケーション認証トークンを取得する

2.の本体固有の認証トークンの取得には、本体内に暗号化されて格納されている秘密鍵データを使用し、このデータは工場出荷時に書き込まれるため改変ができないという。このデータはARMの「TrustZone」という技術を使った、アクセスに特別な手順が必要な領域に格納されている。Switch上で動作する一般のソフトウェアからこのデータにアクセスすることは不可能だという。

また、3.のタイトルごとのアプリケーション認証トークン取得については、ゲームカートリッジからゲームを起動する場合はそのカートリッジ毎にユニークな認証データを、ダウンロード購入したゲームを起動する場合はタイトルIDや本体の情報、ニンテンドーアカウント情報などが含まれる「チケット」データを任天堂のサーバーに送信して認証が行われるという。

最近ではこういった不正防止技術が実際に使われ、海賊版の作成に使われたと見られるゲームカートリッジが無効にされるという例も発生しているという（Nintendo Life）。

6月28日に発生したGentoo GitHub Organization(組織アカウント)への不正アクセスについて、Gentooが原因や対策をまとめている(Gentoo Wikiの記事、 The Registerの記事、 Neowinの記事)。

原因は攻撃者が組織アカウント管理者のパスワードを入手したことだ。Gentooが収集した証拠によると、あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていたとみられるとのこと。

管理者アカウントの制御を取得した攻撃者はGentooの開発者から組織アカウントへのアクセス権限をすべて削除し、リポジトリに不正なコミットを行う。攻撃者はリポジトリに「rm -rf」を追加してユーザーのコンテンツを消去しようとしているが、このコードが実際に実行されることはないとみられる。

GentooではGitHubをミラーとしてのみ使用していたので大きな影響はなかったが、5日にわたってGitHubが使用できなくなり、特に多くの貢献者がプルリクエストを送るのにGitHubを使用しているProxy Maintainersプロジェクトが影響を受けたという。

ただし、攻撃者が開発者のアクセス権限をすべて削除したことから早期に攻撃が発覚し、Gentoo・GitHubともに迅速な対応を行うことができたそうだ。一方、当初の発表ではユーザーが入手したコピーが安全かどうかを確認する方法や、悪意あるコミットが実行されることはないことが明確にされていなかった点などが問題点とされている。

対策としては2要素認証の導入や、GitHubのオーナー権限を持つ人の数を減らすこと、活動していない人をGentooインフラから積極的に退役させること、明確なパスワードポリシーの制定、アカウント監査の強化などを挙げている。

hylom 曰く、

風力・太陽光発電プラントの監視システムをGoogle Cloud Platform(GCP)上で構築・運営していた企業が突然アカウントを一時停止され、システムを運用できなくなるというトラブルが発生したそうだ(Mediumの記事、 The Registerの記事)。

このシステムは、8か国にわたって設置された数百の設備を1か所で24時間/365日監視するという大規模なもので、状況に応じて発電量を調整するといったクリティカルな作業も行っていたという。

しかし、6月28日に全サイトがダウンしているとUptime Robotからの警告があり、Googleからは「potential suspicious activity (潜在的に疑わしい活動)」を検出したので全システムを停止したと知らせる電子メールが届く。その時点で既にクラウド上のアプリケーションやデータベースに接続できない状態になっており、カスタマーサービスチャットや電話連絡もできなかったそうだ。

Googleが検出した疑わしい活動はサービス料金の支払いに関するもので、クレジットカードと政府が発行したクレジットカード名義人の写真入り身分証明書の写真を3営業日以内にアップロードするよう求めていた。そこでシステムの運営担当者がカードの名義人に連絡を取って情報を送信したところ、20分後にはシステムが復帰したそうだ。このときはカード名義人のCFOにすぐに連絡が付いたため数時間のダウンタイムで済んだようだが、情報送付が遅れたらすべてのアプリケーションやデータを削除するとも記載されていたとのこと。

なお、これを報告しているユーザーによれば、AWSではサービスをブロックする前に警告し、ユーザーが事情を説明したり問題を解決したりする猶予を与える、より「人間的な」方法で決済に関する問題を解決するという。こういった問題が解決されない限り、今後新しいプロジェクトをGCPで構築することはないとも述べている。

あるAnonymous Coward曰く、

日本経済新聞の社員男性が別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していたことが明らかになった（読売新聞、朝日新聞、時事通信）。

窃取されたデータは日経新聞社員約3000人の賃金などのデータ。このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。この社員は情報漏えいを理由に6月5日に懲戒解雇されるとともに、警視庁への刑事告訴も行われているとのこと。

この男性はこれ以外にも、日経新聞電子版の読者の個人情報（約34万人分）や日経ヴェリタスの読者情報（約3万6000人分）も持ち出していたという。

分解したPCは情報をコピーした後元に戻していたとのことで、そのため発覚が遅れたようだ。この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

なお、この事件を受けて日経新聞は謝罪記事を公開したが、公開当初は有料会員以外は記事の一部しか読めない「会員限定」の記事となっており、「お詫び記事も有料か」などとの指摘が出ていた（J-CASTニュース）。

あるAnonymous Coward曰く、

Google Chrome 67がリリースされたばかりだが、Chrome 65で修正されたはずの「Download bomb（ダウンロード爆弾」バグが復活したという。Bleeping Computerのテストによると、Firefox、Vilvadi、Opera、Braveなどのブラウザにも影響を与えているとしている。Internet ExplorerとEdgeには影響はない（Bleeping Computer、FOSSBYTES、Appuals、Slashdot）。

Download bombはファイルをダウンロードしてローカルに保存するAPIを悪用したもので、悪意のあるページにアクセスした際に何百から何千ものダウンロードを行わせてブラウザをフリーズさせるとともに、この問題を解決するための「サポート電話番号」を提示、ブラウザのロックを解除するために一定の金額を要求するといった「テクニカルサポート詐欺」などで使われていた（ 過去記事）。

皮肉なことに最新のChrome 67（67.0.3396.87）でこの問題が復活したことで、ブラウザーを最新の状態に保っている人ほど問題を引き起こす可能性があるとしている。

日本マイクロソフトによると、今年6月時点で2020年にWindows 7のサポートが終了することを認知している中小企業は全体の55％にすぎないそうだ（ITmedia、日経新聞）。

同社がメディア向けに行なったWindows 10に関する説明会で明かされたもの。調査は楽天リサーチの協力のもと行われている。なお、2020年にはWindows 7のほか、Windows Server 2008および2008 R2もサポートが終了する。

そのほか、同説明会ではウイルス対策ソフトについても触れられており、Windows標準のセキュリティ機能が十分な性能を持つこと、Microsoft社員はウイルス対策ソフトとしてWindows Defenderを使用しており、他社のウイルス対策ソフトは全く利用していないことなども明かされている。

headless曰く、

Sony Pictures Entertainmentの公式YouTubeアカウントが3日、予告編と間違えて（？）映画本編をYouTubeで無料公開するトラブルが発生したそうだ（TorrentFreak、Ars Technica、The Verge、CBR）。

この映画「Khali the Killer」は引退を決めたイーストロサンゼルスのヒットマンが最後の仕事で難しい選択を迫られるといった内容で、約90分の作品だ。IMDBによると昨年11月にドイツとオランダでDVD/Blu-rayが発売され、今年2月にMammoth Film Festivalで上映されているが、現在まで劇場公開はされておらず、8月31日に米国で劇場公開予定となっている。

しかし、YouTubeで公開された「予告編」のタイトルは「KHALI THE KILLER: OFFICIAL RED BAND TRAILER Now on DVD & Digital」となっていたようだ。動画は6時間ほどで削除されたが、本物の予告編はアップロードされないままだ。

公開から削除までの時間が長すぎることから、実際には間違ったのではなく宣伝ではないかとの見方も出ている。そもそも間違うような場所に映画全編の動画が保存されているのか、8月に本当に劇場公開されるのかなどといった疑問もある。スラドの皆さんはどう思われるだろうか。

Windows 10で使われる、拡張子が「.SettingContent.ms」のファイルには任意のコードを記述できるという危険性があるという。Microsoftはこれを仕様としており、修正される予定はないようだ（マイナビニュース

この拡張子を持つファイルは「設定コンテンツファイル」などと呼ばれ、Explorerから実行することでWindows 10の各種設定画面を呼び出すことができる（利用法の解説記事）。このファイルにはXML形式で各種情報が記述されているのだが、この中の「DeepLink」要素には任意のコードが記述でき、ファイルを実行した際にこのコードが実行される仕組みになっているという。

これを悪用し、ターゲットのPCに何らかの方法で悪意のある処理を行う.SettingContent.msファイルを送り込んで実行させることで、マルウェアに感染させるといったことが可能になるという。

あるAnonymous Coward 曰く、

GoogleはHTTPSプロトコルの採用を促進することで、ウェブ上のセキュリティを強化する方針を打ち出している。これに対し反対する声がSlashdotで紹介されている（Slashdot）。

反対の理由としては、まずGoogleが勝手にWebのルールを決めることに対する反感が挙げられている。それに加えて、Web上にはメンテナンスされていないWebサイトのコンテンツがあり、こういったコンテンツはHTTPに対応できないといったことが挙げられている。そのため、GoogleのHTTP廃止計画が成功すれば、多くの過去のWebサイトのコンテンツにアクセスできなくなる可能性があるとし、Googleの試みは、大量の本を燃やす焚書のようなものだと指摘している。

またSlashdot読者の一人は、HTTPで運用されているの多くは、ユーザーデータを収集したり、ユーザーとのやりとりを提供していないことから、HTTPSを使用しない「リスク」は無関係であると指摘している。

オンラインゲームのチートツールに仮想通貨を採掘（マイニング）するための機能を隠して埋め込んで配布していた兵庫県の男性に対し、仙台地裁が懲役1年、執行猶予3年の判決を下した（河北新報、@niftyニュース）。

被害者がこのツールを自分のPCにダウンロードして実行するとマイニングが実行され、被告がそれによって仮想通貨を得られるようになっていたという。

なお、先日Webサイトに採掘用のスクリプトを埋め込んでWebブラウザに採掘を実行される行為が摘発されたが、今回の案件はこれとは異なるもの。