第三者のIDを使ってNTTドコモのオンラインショップに不正アクセスし、他人名義でスマートフォン（iPhone X）の購入を行うという事件が発生している（共同通信、読売新聞、マイナビニュース、朝日新聞）。

piyologにて状況がまとめられているが、「約1000件」という被害件数は不正購入されたiPhone Xの台数であり、不正ログイン自体は約1800件だという。不正購入されたiPhone Xはドコモショップやコンビニなどで受け取られたとのことで、多くがすでに犯人の手に渡っているようだ。

NTTドコモはこれに対し、被害者には請求を行わない方針だという。

headless曰く、

米国の2019年度国防授権法（H.R.5515 — John S. McCain National Defense Authorization Act for Fiscal Year 2019）に13日、ドナルド・トランプ大統領が署名し、成立した（ホワイトハウスの発表、トランプ大統領の声明、副大統領の演説、The Verge）。

2019年度国防授権法では、Huawei製およびZTE製の通信機器について、政府機関のシステムで重要な要素として使用・調達・契約更新などを禁じている。政府機関は両社製の通信機器をシステムの重要な要素として使用する団体との契約も禁じられる。

また、HyteraやHikvision、Dahuaといった中国企業製のビデオ監視システム、国防長官や国家情報長官、FBI局長が中国政府の影響下またはつながりがあるとみなす企業の通信機器及びビデオ監視システムも同様の扱いとなる。

6月に上院で可決した国防授権法修正案ではZTEの輸出特権停止解除阻止が盛り込まれていたが、今回成立した下院の法案には含まれていない。その代わり、中国企業製の通信機器やビデオ監視システムの使用禁止条項が最終的に盛り込まれたようだ。

なお、2019年度国防授権法は現在闘病中のジョン・マケイン上院議員に敬意を払った名称となっている。トランプ氏は2015年、ベトナム戦争で捕虜になったマケイン氏を英雄とは認めないと発言し、その後英雄と認めたが、謝罪はしなかった。今回の法律に関する声明でも、マケイン氏については一切触れられていない。

grapefruit7曰く、

「海賊版サイトをブロッキングする代わりに、権利者が海賊版サイトに直接DoS攻撃を仕掛ける」という提案が、「インターネット上の海賊版対策に関する勉強会」で出されている（ITmediaの記事1、記事2、日経xTECH）。

この提案は、日本IT団体連盟から出されたもの。海賊版サイトの対策として、権利者が自ら「権利者による海賊版サイトへのDoS攻撃」をするという提案だが、「犯罪行為だ」「正当防衛にならないのでは」「法治国家の発想ではない」という批判も出ている。

DoS攻撃はCloudflareのようなCDNサービスに対しては効果が薄いとされており、現実的ではないとういう批判もある。さらに、EDoS攻撃（相手に経済的損失を与えるDos攻撃）でも、CloudflareはDDoS攻撃を受けて生じた損害分は無料とするサービスを開始しており、有効ではないと考えられる（TechCrunch Japan）

なお、日本IT団体連盟はヤフーの川邊健太郎社長が代表理事/会長を、コンピュータソフトウェア協会や日本インターネットプロバイダー協会などの国内のIT関連組織関係者が理事を務めており、「参加企業数5000社、従業員数400万人に及ぶ国内最大のエンジニア集団を代表する団体であり、様々なノウハウを持っているため、より効果的なアクセス集中手段の実装について技術的支援を行える」などとも提案している。

headless曰く、

ネットワーク接続されたFaxを入り口として、電話回線からローカルネットワークに侵入する攻撃「Faxploit」の仕組みをCheck Pointが解説している（Check Pointブログ、技術詳細、BetaNews）。

Check Pointが使用したのはHPのプリンター（デジタル複合機）で、カラーFax（JPEG）の送受信に対応している。しかし、TIFFデータを使用するモノクロFaxではネゴシエーションでメタデータを決定するのに対し、JPEGの場合はファイルがそのまま送信されるのだという。ITU-Tの標準では受信側でサポートしないJPEGマーカーや特定のJPEGマーカーを削除すべきと規定する一方、特に整合性チェックなどは規定されていないようだ。

Check PointはプリンターのJPEGパーサーで発見したリモートからのコード実行が可能になる2件の脆弱性（CVE-2018-5924、CVE-2018-5925）の1件を利用し、送信したJPEGファイルに格納したペイロードを読み取って実行するエクスプロイトを作成。ペイロードにはプリンターのLCD画面に任意の画像を表示、プリンターにネットワークケーブルが接続されているかどうかのチェック、Shadow Brokersが昨年公開した米国家安全保障局（NSA）のサイバー攻撃ツール「Eternal Blue」と「DoublePulsar」を使用したネットワーク内コンピューターの攻撃といった処理が実装されているとのこと。動画ではネットワーク内のコンピューターから機密情報ファイルを探し出し、攻撃者にFax送信させている。

この脆弱性についてCheck Pointは事前にHPへ報告しており、既にファームウェアのアップデートが公開されている。ただし、同様の脆弱性は他社のプリンターに存在する可能性があるほか、Faxをメールで受信できるサービスや、スタンドアロンのFax専用機にも存在する可能性があるとのことだ。

Intel CPUの「Software Guard Extensions（SGX）」や仮想化関連機能に脆弱性が発見された（ITmedia）。

発見された脆弱性は、CVE-2018-3615およびCVE-2018-3620、CVE-2018-3646の3つ。SGXはほかのプロセスからのアクセスが制限されたメモリ領域を作成する機能で、例えばWindows向けのUHD Blu-ray再生ソフトでは暗号化されたコンテンツの復号時に鍵が漏洩しないようこの機能を使っているという（PC Watch）。

今回の脆弱性を悪用することで、マシン上で動作しているOSやアプリケーションのデータを漏洩させることができるという。また、仮想マシン上で動作しているプロセスから、ホストマシンのメモリにアクセスすることもできるという。

2018年8月付で、「The Transport Layer Security (TLS) Protocol Version 1.3」（TLS 1.3）に関する文書であるRFC8446が発行されている（Internet Engineering Task Forceのブログ、ITmedia、TechCrunch、CNET Japan、Cloudflare Blog）。これによって標準化プロセスが完了し、TLS 1.3が「完成」したことになる。

すでに主要WebブラウザはTLS 1.3のドラフト版に対応しており、またFacebookやCloudflareなどのサーバー側でもTLS 1.3のサポートが導入されている。

あるAnonymous Coward曰く、

Googleのセキュリティ研究部門「Project Zero」に所属する「バグハンター」のIan Beer氏が、Appleのセキュリティ対応について批判している。

氏によると、Appleのセキュリティに対するアプローチが業界全体を後退させているという。同氏はBlack Hatの講演で、この2年間にiOSでは30件以上のバグが発見されたと述べた。その上で、Appleがこれまでの脆弱性の開示から学んでいないと感じていると話した。

氏曰く、Appleの個々の技術者は、強力なエンジニアリングセキュリティスキルを持っているものの、彼らはバグが悪用される背景を理解しておらず、また問題の根本的な原因を見つけることもしていないという。

同氏は、AppleのCEO、Tim Cookに対する挑発的な呼びかけの中で、アムネスティ・インターナショナルに250万ドルを寄付するよう要望した。これは、同氏の発見した30件以上のiOS脆弱性におけるバグ賞金収入とほぼ同額だ（The Verge、threat post、Slashdot）。

2001年にVIAが発表したx86互換CPU「C3」の「Nehemiah」版に非公表の機能が存在し、これを利用することで特権を得ることができるという脆弱性が発見された（デモや詳細公開しているGitHubリポジトリ、tom's HARDWRE）。

昨今のCPUには「リングプロテクション」という特権レベル管理機構があるが、この命令を実行することで最高の特権を得ることができ、例えば一般プロセスから無制限にハードウェアやほかのプロセスにアクセスするといったことが可能になるそうだ。

発表によると、問題のCPUにはx86コアとは別の小型のコアが組み込まれており、レジスタの特定のビットを操作することでこのコアが有効になるという。このコアを有効にして特定の形式でx86命令を与えると、その命令は全てのメモリ保護や特権チェックをバイパスした状態で実行されるという。

C3はすでに生産終了となっているため今後影響が拡大する可能性は少ないものの、C3を採用しているシステムはまだ現存する可能性があるため注意は必要なようだ。

Google Playで「Fortnite」を検索すると、検索結果の上に警告が表示されるようになっている(Android Policeの記事、 9to5Googleの記事、 The Vergeの記事、 Neowinの記事)。

Google Playを経由せず、開発元のEpic Gamesが直接配信することを決めた人気ゲーム「Fortnite Battle Royale」のAndroid版だが、偽物や紛らわしい名前のアプリが出現することも予想される。偽アプリがGoogle Playに登録されてしまう例は過去にもあるため、ユーザーが誤って偽アプリをインストールしないよう予防的に警告を表示しているとみられる。ただし、Googleがこのような警告を表示するのは珍しい。

警告が表示されるのは「Playストア」アプリで検索した場合のみ。現在、「fortnite」「fortnite battle royale」などの語句を検索すると「Fortnite Battle Royale (デベロッパー: Epic Games, Inc) はGoogle Playではご利用いただけません」と表示される。ただし、「fortnite beta」「fortnite battle royale game」「fortnite battle royale the real game」などの場合、警告は表示されない。

ゲノム編集したカイコガを用いることで、高い割合でクモ糸タンパク質を含むシルク繊維を得ることに中国の研究グループが成功したそうだ(論文、 Ars Technicaの記事)。

クモ糸は高い強度や伸展性など優れた特性を持ち、バイオ素材として注目を集めている。しかし、クモの生態上、飼育による大規模なクモ糸繊維の生産は困難だ。他の生物にクモの遺伝子を挿入してクモ糸タンパク質を生成させる場合、多くは繊維を作る工程が必要になる。カイコガを使用すれば直接繊維を採取可能となるが、トランスポゾンを用いてクモの遺伝子を挿入する従来の方法ではクモ糸タンパク質を効率よく得られなかったという。

研究グループではヌクレアーゼを用いた相同性依存的な修復(HDR)により、カイコガのフィブロインH鎖遺伝子をアメリカジョロウグモ(Nephila clavipes)の牽引糸タンパク質(MaSp1)遺伝子で置き換えた。その結果、遺伝子組み換えカイコガの繭では最大35.2%をMaSp1が占めたという。繭から得られるシルク繊維を通常のカイコガのものと比較したところ、直径が15.8%小さく、強度が17.4%低下する一方、破断ひずみは22.5%から32.2%に増加し、破壊エネルギーも22.5%増加したとのこと。

異種発現系による大規模なクモ糸生産の可能性を示す今回の研究成果は、将来のクモ糸を含む新たなバイオ素材の開発に役立つとのことだ。

あるAnonymous Coward曰く、

セキュリティ企業であるCheckmarxによる最新の調査によると、大多数の企業がDevOpsにセキュリティ工程を組み込むことに苦労しているという。調査ではDevOpsは開発速度の向上に貢献しているが、ソフトウェア的な複雑さも増し、セキュリティ上での問題も増えているという。調査の回答者の96％は、開発者がセキュアなコードを作成する方法についての適切な訓練を受けていることが「望ましい」または「非常に望ましい」と答えた。また、回答者は運用担当者やセキュリティ専門家といった分野よりも、開発者の教育や権限の強化が必要だとしている。

しかし、41％は開発者に対してソフトウェアセキュリティに関して明確な責任を定義することは挑戦的な課題であるともしている。一方で、11％と少数ではあるが、開発者教育の必要性に適切に対処していると回答したものもいる。ソフトウェアセキュリティは経営上のビジネスリスク問題であると回答者の57％は考えているようだ。ソフトウェアのより良いセキュリティを確保するためには、開発者とセキュリティチームは経営者側の支援が必要だと感じているものの、45％は上級管理職にセキュリティトレーニングの資金調達を承認するのが難しいと感じているともしている（Betanews、Slashdot）。

あるAnonymous Coward曰く、

北海道に拠点を置く北洋銀行（第二地方銀行）では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。

ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご本人確認のため暗証番号の入力をお願いしております。暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。

はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。「ほくようID」の発行サイトを装ったサイトを作れば、口座番号も氏名も生年月日も、さらには暗証番号までも、すんなりと手に入れられてしまうだろう。

フィッシングに注意を促すべき銀行自体が、その手口を理解していないようにも思えるこの事案。あっちはダメでこっちはよいという、ダブルスタンダードを掲げる金融機関のセキュリティポリシーに疑問を感じざるを得ない。

最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが:p

あるAnonymous Coward曰く、

無料でSSL/TLS証明書を発行するLet's Encryptが、同プロジェクトのルート証明書がMicrosoftやGoogle、Apple、Mozilla、Oracle、blackberryなどを含む主要メーカーの製品から直接「信頼」されたことを発表した。

無料でHTTPSの利用ができるようになるとあって多くのユーザーからの支持を得ているLet's Encryptではあるが、すべての端末で直接信頼されるためにはさらに5年以上かかるという予想を出している。

Let's Encryptのルート証明書は比較的新しいOSやブラウザ、端末からは直接信頼されているものの、世の中にはそうでない古くからあるシステムも数多く稼働している。これに関しては古いシステム自体がWebエコシステムから退出するのを待つしかなく、これには5年以上かかるとLet's Encryptは見積もっているという（GIGAZINE、BLEEPING CPMPUTER、Slashdot）。

なお、Let's Encryptでは中間証明書が大手認証局IdenTrustによってクロス署名されているため、Let's Encryptのルート証明書を直接信頼していない製品であってもLet's Encryptで発行された証明書はほとんどのケースで信頼されるようになっている。

あるAnonymous Coward曰く、

米国防総省は、機密性の高い軍事施設などで、自分の位置を特定される可能性のあるフィットネストラッカーやスマートフォンアプリケーションの使用制限を命じる指令が出された。APが入手したメモによると、スマートウォッチにリンクされているフィットネストラッカーや携帯電話のアプリケーション、その他の電子機器の使用が禁止されるようだ（AP、Engadget Japanese、Slashdot）。

新たな指令では、組織や各部隊のリーダーは、担当地域のセキュリティ脅威に基づいて、各デバイスのGPS機能を使用できるかどうかを判断できるとしている。先のメモでは、各デバイスによる地理的位置情報は、個人情報、場所、ルーチン、国防総省の人員を暴露する結果をもたらし、作戦上のリスクを増大させる可能性があるとしている。

この指令が出た背景には、フィットネスバンドPolarの専用アプリ「Polar Flow」にセキュリティーリスクがあったことが影響しているようだ。この調査では、核兵器を保管している施設に出入りしている人や原子力発電所で働く管理職、北朝鮮の国境付近に駐留する兵士など、およそ6500人の個人情報を取得し、自宅の場所なども特定できたとされている。

無職・ニート生活に関する執筆活動などを行なっているpha氏が、Twitterアカウントを乗っ取られたという。最終的には乗っ取り犯に対し金銭を支払ってアカウントを取り戻したそうだ（Togetterまとめ）。

パスワードの使い回しが原因だったとのことで、「3文字アカウントでフォロワーが３万人以上いてbotをいくつも持っているから」という理由でアカウントが狙われたという。なお、この乗っ取り犯は交渉時に「use a password manager + 2 step authentication」（パスワードマネージャと2要素認証を使え）と「指導」してくれたそうだ。