クラウドセキュリティサービスを提供するCoronetの調査によると、米国の空港でパブリックWi-Fiの危険度が最も高いのはサンディエゴ国際空港だったそうだ(プレスリリース、 HackReadの記事、 リポート: PDF)。

調査では最も旅客数の多い45空港を利用した個人ユーザーおよび企業ユーザー25万人以上から5か月にわたってデータを収集・分析。危険度は空港を利用するユーザーのデバイスにおける脆弱性と、偽ホットスポットなどに接続する危険性について各5点満点、計10点満点(高い方が危険)で評価している。

Wi-Fiの利用が危険な空港トップ10とスコアは以下の通り。いずれもデバイスに適切な保護を行っていなければWi-Fiの利用を避けるべき、危険度スコア5.9以上となっている。

空港	スコア
サンディエゴ国際空港(SAN)	10
サンタアナ・ジョンウェイン空港(SNA)	8.7
ヒューストン・ホビー空港(HOU)	7.5
フォートマイヤーズ・サウスウェストフロリダ国際空港(RSW)	7.1
ニューアーク・リバティー国際空港(EWR)	7.1
ダラス・ラブフィールド空港(DAL)	6.8
フェニックス・スカイハーバー国際空港(PHX)	6.5
シャーロット・ダグラス国際空港(CLT)	6.4
デトロイト・メトロ空港(DTW)	6.4
ボストン・ローガン国際空港(BOS)	6.4

5位のリバティー国際空港では中リスクのネットワークに接続する可能性が1%、高リスクのネットワークに接続する可能性が0.6%なのに対し、一位のサンディエゴ国際空港ではそれぞれ30%、11%に跳ね上がる。サンディエゴは危険度スコア満点であり、正規のWi-Fiアクセスポイントと同名の偽(Evil Twin)アクセスポイント「#SANfreewifi」がARPポイズニング攻撃を実行しているとのこと。

Microsoftは17日、ユーザー認証サービスの脆弱性に関する報奨金プログラムMicrosoft Identity Bounty Programを発表した(MSRCの記事、 Neowinの記事、 On MSFTの記事、 Softpediaの記事)。

報奨金の対象となるのはMicrosoftアカウントまたはAzure Active Directoryアカウントの乗っ取りが可能になる未発見・未報告の脆弱性や、OpenID標準関連の未発見・未報告の脆弱性など。報奨金額は500ドル～100,000ドルとなっている。

一方、セキュリティへの影響が明確でないものや、ユーザーによるサービスの構成ミスが原因となっているもの、パスワードポリシー・アカウントポリシーに関するものなどは対象外となる。調査にあたっては、Microsoft従業員へのソーシャルエンジニアリング攻撃、DoSテスト、大量のトラフィックを生む自動化テスト、自分のアカウント以外への不正アクセスが禁じられる。

take-ash曰く、

NTTは新たなSNSアカウント特定手法「Silhouette」を発見し、そのリスクを評価する手法を開発したと発表した（ニュースリリース、技術解説、NHKニュース）。

あるアカウントが別のアカウントをブロックしているか/していないかでSNSサイトからの応答時間が異なることを利用する。攻撃者は予めSNSサイトに複数のアカウント特定補助用アカウントを作成しておく。被攻撃者がアカウント特定スクリプトが仕込まれたサイトを訪問すると、SNSサイトのアカウント特定補助用アカウント群への応答時間が測定される。被攻撃者のブロック状況によって応答時間のパターンが異なることから攻撃者が被攻撃者のアカウントを特定可能である。

ユーザ側の対策としてはこまめにログアウトすることを推奨している。

昨年末に 8 万件余の個人情報漏洩インシデントを発生させた大阪大学だが (2017 年 12 月 14 日のスラド記事参照)、その顛末と後始末 (の一部?) と大阪大学が目指すインシデント対応チーム (Computer Security Incident Response Team: CSIRT) の在り方に関する記事が掲載されている (ITmedia 記事前編, 後編) 。

記事によると「CSIRT は疎まれてしまっては機能しない」「信頼関係重要」「構成員の利益を損ねるようなゴリ押しをしない」「一人 CSIRT よくない」「情報リテラシーが高い人に合わせるな」といった文言が並ぶが、理想論に過ぎず脳内にお花畑が咲いているのではないか、迅速な対応が困難なのではという感がある。

スラドをお読みの諸氏におかれましては今まさに CSIRT として働いている・働かされている方もおられるだろうし、インシデント対応に駆り出された経験がある方も少なくないと思う。やらかした組織の後始末としてこの対応はどう感じられるだろうか。

あるAnonymous Coward曰く、

Appleが同社の全従業員にパスワード管理アプリ「1Password」を提供するという（ITmedia）。

1Passwordには企業向けの料金プランがあり、これをAppleが導入した模様。1Passwordはクロスプラットフォームで利用できるほか、管理者が各メンバーの利用状況を管理できる機能もある。下手に個人に管理を任せるよりはこういったサービスを導入した方が企業用途でもセキュアになると思うが、皆様のお勤めの企業ではこういったサービスを利用しているだろうか。

あるAnonymous Coward曰く、

CPUの投機的実行機能が原因の脆弱性「Spectre」の新たな亜種が報告された。「Spectre 1.1」「Spectre 1.2」などと名付けられており、IntelのほかAMDやARM系のプロセッサも影響を受けるという（Bleeping Ccomputer、ITmedia、Slashdot）。

Spectre 1.1では、本来プロセスがアクセスできない領域に格納されているデータを読み取れる可能性があり、現時点ではこれを使った攻撃を効率的な手段はないという。また、Spectre 1.2ではCPUメモリ上にあるリードオンリーに設定されたデータを書き換えることができるという。

7月14日、フランス革命記念日(パリ祭)のパレードにフランス軍のサイバー防衛部隊(COMCYBER)が初めて参加したそうだ(La Revue du Digitalの記事、 LCIの記事、 RTLの記事、 The Vergeの記事)。

2017年に発足したCOMCYBERは情報システムの防衛、サイバー攻撃の無力化、サイバー空間での作戦行動などを担う。3,400人以上の隊員のうち、パリのシャンゼリゼ通りで行われたパレードに参加したのは56人。中には一度も行進をしたことがない隊員もいたため、2か月以上にわたる行進の訓練が行われたとのことだ。

偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事、 The Registerの記事、 Ars Technicaの記事)。

この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。

改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。

デスクトップ版のChrome 67ではSpectre/Meltdownなどの脆弱性を狙う投機的実行のサイドチャネル攻撃を緩和するため、すべてのサイトを別プロセスで読み込む「Site Isolation」が有効になっているそうだ(Google Security Blogの記事、 Ars Technicaの記事、 The Registerの記事、 BetaNewsの記事)。

Chromeでは以前からタブごとに別のプロセスを使用しているが、タブ内のiframeやポップアップで別のサイトが読み込まれる場合はメインタブと同一プロセスが使われていたという。通常は同一オリジンポリシーによりクロスサイトiframeやポップアップの内容にメインドキュメントからアクセスすることはできないが、何らかの脆弱性を狙われた場合にはSpectreに限らず、Site Isolationが有効な緩和策となる。また、Webページがサブリソースとして読み込もうとするクロスサイトのHTML/XML/JSONレスポンスをブロックするCross-Origin Read Blocking(CORB)も含まれる。なお、同一ドメインのサブドメインについては同一サイト扱いになるとのこと。

Site IsolationはChrome 63 で実験的な企業向けのポリシーとして実装されており、多くの問題が解決されたことから、デスクトップ版Chromeの全ユーザーで有効にできるレベルに達したという。ただし、現時点で有効になっているのは99%のユーザーで、1%はパフォーマンス改善などのため無効のままにしているそうだ。プロセス増加により、メモリー使用量は10～13%程度の増加が見込まれる。

Site Isolationの動作はhttp://csreis.github.io/tests/cross-site-iframe.htmlを開いて「Go cross-site (complex page)」をクリックし、Chromeのメニューから「その他のツール→タスクマネージャ」を選んでタスクマネージャを起動すれば確かめられる。有効になっていればiframeに読み込まれたサイトが「サブフレーム」として表示されるはずだ。

あるAnonymous Coward曰く、

空港のシステムに接続するための情報がダークウェブ上で10ドルで販売されていたとMcAfeeが伝えている。

発見されたのは、ネットワーク経由でコンピュータのデスクトップに接続するプロトコル「RDP（Remote Desktop Protocol）」の接続情報。これを利用することで、空港システム内のコンピュータを外部から操作できるという。そのほか、ビルオートメーションシステムや監視カメラ、交通管制システムなどにアクセスするための情報も販売されていたそうだ（Engadget Japanese、AXIOS、Slashdot）。

headless曰く、

性的暴行を受けた時に警察へ通報する機能を搭載するスマートブラをシンガポールのデータサイエンティスト、スコット・ファン氏が開発したそうだ（South China Morining Post）。

ファン氏の作成したプロトタイプは圧力センサーと心拍センサーを搭載。胸にかかる圧力の増加と心拍数の増加が同時発生した場合に警察へ通報する仕組みだ。任意の連絡先に通知を送ることも可能だという。

スマートウォッチなどのウェアラブルデバイスで同様の通報機能を利用できるものもあるが、ファン氏のスマートブラは着用が一見してわからないため、事前に外されてしまうといった事態を避けることができるとのこと。

ファン氏のスマートブラはプロトタイプでのテストが完了しており、製品化に向けた改良の段階に入っているそうだ。このデバイスは任意のブラジャーに装着可能で、着用時の不快感もないとのことだ。

headless曰く、

Appleが9日に一般リリースしたiOS 11.4.1で、以前からたびたび話題に上っていたiOSのUSB制限モードが搭載された（AppleサポートドキュメントHT208857、The Vergeの記事[1]、Mac Rumors、Ars Technica）。

USB制限モードはパスワード保護された端末のロックを解除せずに一定時間経過すると、Lightningポートの機能が充電のみに制限されるというものだ。iOS 11.4.1の場合、USBアクセサリーやPCと接続するには少なくとも1時間以内にロックが解除されている必要があり、そうでない場合はロックを解除しなければUSBデバイスが認識されない。状況によっては充電もできない可能性があるそうだが、USB電源アダプターを接続した場合は問題なく充電できるとのこと。なお、「設定」アプリの「Face ID/Touch IDとパスコード」で端末ロック時のUSB使用を許可する設定にすることも可能だ。

主に捜査機関が使用するGrayKeyなどのiPhoneアンロックツール対策とみられるUSB制限モードだが、ElcomSoftによるとUSB制限モードに入る前であればLightning to USB 3 Camera AdapterのようなLightningポート用のアクセサリーを接続するだけで制限時間の延長が可能になる問題があるという。Lightningポート用アクセサリーであれば何でもよいというわけではないようだが、捜査機関は押収したiPhoneに充電も可能なアクセサリーを接続することで、アンロックツールが使える場所へ移動するまで制限時間を延長できる。押収時点でロック解除から1時間以上経過していればどうにもならないが、2年前の調査によるとiPhoneのロック解除は1日平均80回とのことで、持ち歩いているiPhoneが1時間以上ロックされたままになっている可能性は低いようだ（ElcomSoft blog、The Vergeの記事[2]、 SlashGear）。

headless曰く、

Googleの次期モバイルOS「Android P」ではWPS（Wi-Fi Protected Setup）のサポートが廃止されるようだ（Android Police）。

Android Pでは5月のDeveloper Preview 2（DP2、API 28）でWifiManagerクラスのWPS関連メソッドやフィールド、WifiManager.WpsCallbackクラス、WpsInfoクラスが非推奨になっており、設定→Wi-FiでもWPSオプションが削除されていたらしい。これらの点はDP2の段階でIssue Trackerに上がっているが、動作変更点としては記載されないままDP4までWPSオプションは復活していない。

Wi-Fi機器間での暗号化設定をPINやボタンで容易に実行できるようにするため策定されたWPS規格だが、PIN認証では総当たり攻撃が可能な脆弱性が発見されている。しかし、WPS規格ではPIN認証が必須となっていることから、新しいルーターの中にはWPS搭載を避ける機種も増えているそうだ。

最近ではNintendo Switch向け人気ゲーム「スプラトゥーン2」でのチートが増えているほか、Nintendo Switch向けゲームの海賊版などが出回り始めているという噂がある。しかし、安易にこれらに飛びつくと最悪利用した本体で任天堂のネットワークサービスが一切利用できなくなる可能性もあるようだ。

Nintendo Switchには端末毎に認証用のクライアント証明書が埋め込まれており、これを使って不正な行為を行った端末のブロックが行えることがハッカーによる分析で明らかになっている（Ars Technica）。この情報は、Nintendo Switchのハックを試みているSciresMというハッカー集団が公開したもの。これによると、Nintendo Switchでは非常に強固な海賊版対策機構が導入されており、海賊版ソフトウェアの実行を検知できるという。

Switchでは、ゲームプレイ時にオンライン接続を行う際に次のような手順を踏むという。

1. インターネットに接続されているかを確認する
2. 本体固有の認証トークンを取得する（BANされた本体ではこのトークンを取得できない）
3. ニンテンドーアカウントの認証を行う
4. プレイするタイトルごとのアプリケーション認証トークンを取得する

2.の本体固有の認証トークンの取得には、本体内に暗号化されて格納されている秘密鍵データを使用し、このデータは工場出荷時に書き込まれるため改変ができないという。このデータはARMの「TrustZone」という技術を使った、アクセスに特別な手順が必要な領域に格納されている。Switch上で動作する一般のソフトウェアからこのデータにアクセスすることは不可能だという。

また、3.のタイトルごとのアプリケーション認証トークン取得については、ゲームカートリッジからゲームを起動する場合はそのカートリッジ毎にユニークな認証データを、ダウンロード購入したゲームを起動する場合はタイトルIDや本体の情報、ニンテンドーアカウント情報などが含まれる「チケット」データを任天堂のサーバーに送信して認証が行われるという。

最近ではこういった不正防止技術が実際に使われ、海賊版の作成に使われたと見られるゲームカートリッジが無効にされるという例も発生しているという（Nintendo Life）。

6月28日に発生したGentoo GitHub Organization(組織アカウント)への不正アクセスについて、Gentooが原因や対策をまとめている(Gentoo Wikiの記事、 The Registerの記事、 Neowinの記事)。

原因は攻撃者が組織アカウント管理者のパスワードを入手したことだ。Gentooが収集した証拠によると、あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていたとみられるとのこと。

管理者アカウントの制御を取得した攻撃者はGentooの開発者から組織アカウントへのアクセス権限をすべて削除し、リポジトリに不正なコミットを行う。攻撃者はリポジトリに「rm -rf」を追加してユーザーのコンテンツを消去しようとしているが、このコードが実際に実行されることはないとみられる。

GentooではGitHubをミラーとしてのみ使用していたので大きな影響はなかったが、5日にわたってGitHubが使用できなくなり、特に多くの貢献者がプルリクエストを送るのにGitHubを使用しているProxy Maintainersプロジェクトが影響を受けたという。

ただし、攻撃者が開発者のアクセス権限をすべて削除したことから早期に攻撃が発覚し、Gentoo・GitHubともに迅速な対応を行うことができたそうだ。一方、当初の発表ではユーザーが入手したコピーが安全かどうかを確認する方法や、悪意あるコミットが実行されることはないことが明確にされていなかった点などが問題点とされている。

対策としては2要素認証の導入や、GitHubのオーナー権限を持つ人の数を減らすこと、活動していない人をGentooインフラから積極的に退役させること、明確なパスワードポリシーの制定、アカウント監査の強化などを挙げている。