ニューアーク・リバティー国際空港で22日、上空からのドローン目撃情報による遅延が発生したそうだ(ABC Newsの記事、 The Vergeの記事、 SlashGearの記事、 CNNの記事)。

目撃情報は2件。いずれもニューアークへ向かう旅客機からの報告で、24kmほど離れたところにある同じニュージャージー州内のテターボロ空港上空約3,500フィートで目撃されたという。機長の1人は最終着陸態勢中にドローンのようなものが右翼の30フィート以内まで接近したと述べているそうだ。これを受けて連邦航空局ではニューアークへの到着便の受け入れを一時停止した。その後さらなる目撃情報がなかったため短時間で再開されたものの、ニューアークへ向かう一部の便は出発地で一時待機することになったとのこと。

しかし、FAAでは目撃された物体がドローンかどうか確認できていないという。また、DJIのBrendan Schulman氏は風船か何かをドローンと見間違えたのではないかとの見方を示しているそうだ。ドローンは高度3,500フィートで目撃されたが、FAAでは高度400フィートを超えるドローンの飛行を許可していない。個別に許可を得れば高度400フィート以上での飛行も可能とはいえ、その可能性は非常に低いとSchulman氏は語る。ロンドン・ガトウィック空港やヒースロー空港でのドローン侵入騒ぎ以降、人々は空を飛ぶ物体をドローンと判断してしまいがちになっているとのことだ(Chicago Tribuneの記事)。

オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせ、 YOMIURI ONLINEの記事)。

同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。

パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日～23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。

現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。

headless曰く、

Googleは22日、クイズ形式でフィッシングメールの見分け方を学習できる「Phishing Quiz」を公開した（Medium、The Verge、SlashGear、Mashable）。

クイズを開発したJigsawによれば、毎日数百万人がフィッシングメールのリンクをクリックしていることから、フィッシングメールが使用する偽装テクニックとともに見分け方を学習できるようにすることが目的だという。クイズは全8問。Jigsawがジャーナリストや活動家、政治的指導者を対象に世界中で実施しているセキュリティトレーニングをベースにしているそうだ。

なお、冒頭で名前と電子メールアドレスの入力を求められるが、これらはクイズで表示するためだけに使用され、外部に送信されることはないとのこと。そのため、必ずしも自分の名前と電子メールアドレスである必要はない。スラドの皆さんには物足りないかもしれないが、ご感想はいかがだろう。

新潟県警察のサーバーが攻撃を受けて乗っ取られ、荒らし行為などの踏み台として使われた可能性があるという（NHK、piyolog）。

新潟県警のWebサイトが改ざんされていたことが確認されたほか、5ちゃんねるなどのネット掲示板に対し不適切な投稿を行う荒らし行為の踏み台として使われていた可能性もあるようだ。

新潟県警によると、「ホームページ上の警察への情報提供や意見などを書き込む画面のプログラムに欠陥が見つかった」という。

あるAnonymous Coward曰く、

PHP向けのパッケージ管理ツールPEAR（Wikiepdiaページ）の公式サイトpear.php.netが19日、攻撃を受けた痕跡が見つかり、さらに改竄されたgo-pear.pharが発見されたことを明らかにした（今回のクラッキングに関するアナウンス）。

PEARは公式サイトをクリーンな状態で再構築しようと試みており、いまだサイトは停止中の状態にある。過去半年以内に公式サイトで配布されていたgo-pear.pharは改竄されていた可能性があるとのことで、ダウンロードしたユーザーにはGitHubのリリースページを元にハッシュのチェックや、再ダウンロードを行うよう呼びかけられている（改竄対策のアナウンス）。

最近ではPHPのライブラリ周りはComposerへの移行が進んでおり、PEARを使う機会は少ないかもしれないが、該当する方は注意されたし。

maia曰く、

ダウンロード件数が数億とも言われるAndroid向け人気ファイルマネージャー「ES File Explorer」が、バックグラウンドでWebサーバーを実行させているとの指摘が出ている。これによって外部から端末内のさまざまなデータにアクセスできるようになっていたという（TechCrunch）。

「ES File Explorer」の噂をチェックしてみると、以前にも「巷で危険なアプリだと騒がれて」いたらしいが、開発会社のES（EStrongs）は2013年1月に百度（Baidu）に買収されており（黒翼猫のコンピュータ日記2nd Edition）、その後BaiduのSDKを使っているようだ。

9to5GoogleやAndroid Policeによると、起動時に59777番ポートでの待ち受けを行い、ここにJSON形式で指定した命令をHTTPで送信することで、端末内のファイルを読み取ったり、端末の情報を取得できるようになっていたという。このアプリではファイル共有機能を新機能として実装していたようで、これに関する問題のようだ。開発者はこれに対し、問題を修正したバージョンをリリースするとしているという。

電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータがオンラインストレージサービスMEGAで公開(削除済)されていたそうだ(Troy Hunt氏のブログ記事、 KrebsOnSecurityの記事、 Ars Technicaの記事、 Mashableの記事)。

Have I Been Pwned?のTroy Hunt氏によれば、ユニークな電子メールアドレス7億7,290万件以上、ユニークなパスワード2,122万件以上が含まれており、電子メールアドレスとパスワードのユニークな組み合わせは11億6,025万件以上だという。The Guardianの記事などでは過去最大の流出データなどと報じているが、大半は過去の個人情報流出でデータが公開されていたものらしく、Hunt氏が電子メールアドレス数十万件分をHave I Been Pwned?のデータと照合した結果、80%以上が既知のものだったとのこと。それでも1億4,000万件前後はこれまでに流出が知られていない電子メールアドレスとなる。パスワードに関しては、およそ半数が既知のものだったそうだ。

headless曰く、

米国・カリフォルニア北部地区のKandis Westmore下級判事は10日、生体認証によるデバイスのロック解除を強制することは合衆国憲法修正第5条に違反するとの判断を示した（裁判所文書、The Next Web、Ars Technica、The Register）。

本件は恐喝事件にかかわったとされる2名を対象とした捜査令状の請求に関するものだ。捜査当局（政府）は2名が使用するFacebook Messengerのログに証拠が含まれると考え、生体認証によるスマートフォンのロック解除強制を含む捜査令状を請求したが、判事は修正第5条だけでなく修正第4条にも違反すると判断している。

修正第4条では人々が不合理な捜査や押収から身体や家屋、文書、所有物を守る権利を保証している。請求された令状では、捜査対象者の自宅にいる人物全員に対し、その人物の持ち物だと考えられるデバイスを生体認証によりロック解除させることや、すべてのデバイスを持ち主にかかわらず押収することを求めており、判事は適用範囲が広すぎ、相当な理由がないと判断している。

修正第5条は自分に不利な証言を強制されない権利を保証しているが、これまで指紋などによる生体認証は対象外との判断も示されている。しかし、判事は連邦最高裁が「すでに使われているか、開発中のより洗練されたシステムを考慮すべき」と指示したことや、市民は新しいテクノロジーを利用するにあたって権利を放棄することになるとは考えていないと結論付けたことを挙げ、生体認証はパスコードのショートカットであり、パスコードと同様の証言に該当すると述べている。

また、指紋認証を実行させることは指紋データベースと照合するために指紋を提出させるのとは異なる点や、金庫を開けて文書を提出させるのとは異なる点なども指摘している。合法的に差し押さえたデバイスの内容にアクセスしたいという政府の考えには共感できるという判事だが、憲法に違反する行為は認められないとし、証拠がFacebook Messengerのログに含まれるなら手間がかかってもFacebookにログの開示を求めればいいとも述べている。

あるAnonymous Coward曰く、

サイト訪問者のWebブラウザ上で採掘を実行させる「Coinhive」をWebサイト上に設置して仮想通貨のマイニング（採掘）を行わせていたとして複数のサイト管理者が摘発される事件が発生しているが（過去記事、その続報）、現在Coinhiveを設置したとして不正指令電磁的記録保管の罪に問われたウェブデザイナーの男性に対する裁判が行われている。この裁判で、この事件について当初から懸念を示していたセキュリティ研究者の高木浩光氏に対し、証人尋問が行われたとのこと（弁護士ドットコムNEWS）。

高木氏は今回の逮捕は構成要件が曖昧であることを説明するとともに、今回のCoinhiveについて「取り返しのつかないほどの挙動はしない」「自動的に実行されるが、サイトを離脱すると停止されるため問題ない」として刑法犯で処罰されるものではないと主張している。

また、証人尋問を傍聴してきた@shonen_mochi氏のTweetによると、検察側は高木氏と全面対決する姿勢を見せていたようだ。

米国家安全保障局(NSA)のシニアアドバイザー、ロバート・ジョイス氏が3月のRSA Conference 2019で、リバースエンジニアリングツール「GHIDRA」のデモを行い、同時に一般提供も行うそうだ(RSA Conferenceのセッション情報、 BetaNewsの記事、 HackReadの記事)。

GHIDRAはWikiLeaksのVault 7プロジェクト第一弾として2017年3月に存在が明らかにされた米中央情報局(CIA)のハッキングツールの1本で、NSAが開発したものだ。WindowsやMac OS、Linuxを含むさまざまなOSに対応し、各種プロセッサーの命令セットをサポートするという。GHIDRAプラットフォームには、商用のハイエンドツールに期待されるすべての機能が含まれるとのこと。Vault 7で公開された情報によれば、実行にはJavaが必須となるようだ。

あるAnonymous Coward曰く、

脆弱性に関する情報やハッキングツールの売買を行っているZerodiumが、脆弱性の買い取り価格を引き上げた。背景には、モバイルデバイスのセキュリティが向上しており「ハック」が難しくなっていることがあるという（GIGAZINE、MOTHERBOARD、Slashdot）。

たとえばWhatsAppやiMessage、SMS/MMSなどのメッセージングアプリの脆弱性に対しては100万ドル（約1億900万円）を支払うという。これは以前の価格設定である50万ドルから倍増している。そのほか、iOSを遠隔からjailbreakさせる脆弱性については200万ドル、Chromeの脆弱性では50万ドルを支払うともされている。

headless曰く、

ロンドン・ガトウィック空港へ無許可侵入したドローンによりおよそ1,000便が欠航した事件を受け、ガトウィック空港とヒースロー空港はそれぞれ数百万ポンドをかけてドローン対策システムを導入したそうだ（The Guardian、The Verge）。

ガトウィック空港では12月19日に無許可で滑走路に侵入したドローンが確認され、現地時刻同日21時から21日6時まで1日半にわたって滑走路が閉鎖された。これに伴い、20日から英空軍が出動してドローン対策システムを配備したが、3日後に撤収したという。このドローン対策システムはドローンを検知して妨害電波を発するイスラエル製のDrone Domeとも報じられているが、BBC Newsによると機器はまだ届いておらず、ガトウィック空港では別のシステムを使用したとのこと。両空港が導入したドローン対策システムについても詳細は明らかにされていないが、ガトウィック空港では軍が配備したものと同レベルの保護を可能にする機器だと回答しており、ヒースロー空港では軍用グレードの機器だという報道を認めているそうだ。

本件について英サセックス警察は12月22日に2名の逮捕を発表したが、23日には容疑が晴れて釈放している。ガトウィック空港では目撃情報に5万ポンドの賞金を懸けており、有力な情報も多数寄せられているようだが、現在のところ新たな容疑者逮捕にはつながっていない。なお、英政府では警察によるドローン対策の執行力を強化する方針だという。空港周辺のドローン飛行禁止区域はおよそ5km拡大され、滑走路の端ではさらに拡大される。警察はドローンによる軽微な違反行為に違反切符を切れるようになり、操縦者が警官の指示に従わない場合は最高100ポンドの罰金が科せられる。また、内務省では空港や刑務所におけるドローン対策システムのテストや評価を開始しているとのことだ。

URLなどを操作することで、Webページ内に任意の文字列を挿入して表示させられる不具合は「テキストインジェクション」と呼ばれている。このテキストインジェクションは危険な脆弱性としては認識されないことが多く、脆弱性報奨金制度で認定されづらいという（これを指摘する記事）。

多くの場合、テキストインジェクションではコンピュータに不正な処理を実行させることはできない。そのため、脆弱性としては認められないケースが多いようだ。しかし、たとえば「○○に移転しました」のようなメッセージを表示させてユーザーに不正なサイトへのアクセスを誘導したり、脅迫メッセージを表示するといった悪用が可能だ。そのため、テキストインジェクションだからといって脆弱性ではないと決めつけるのではなく、十分な評価が必要だと指摘されている。

USBインプリメンターズ・フォーラム（USB-IF）がUSB Type-C認証プログラムを立ち上げた（Engadget Japanese、プレスリリース、Forbes）。

このプログラムでは認定USB Type-C充電器／デバイス／ケーブル／電源を認証するための標準プロトコルが規定されており、認証システムを採用したUSB機器ではUSB Type-Cでの接続時にこのプロトコルを使って接続した機器を認証できるようになる。これにより、たとえば認証されていない充電器やケーブルに接続した場合には充電を行わない、といったことが可能になる。

headless曰く、

Chaos Computer Club（CCC）のJan Krissler（starbug）氏とJulian Albrecht氏が12月27日、ミツロウ製のダミーで静脈認証を突破したことをCCCのイベントChaos Communication Congressで発表した（発表スライド: PDF、動画、HackRead、Motherboard）。

starbug氏はiPhone 5sのTouchIDを発売直後に突破し、Galaxy S8の虹彩認証も突破したいるほか、ドイツ国防大臣の写真から指紋を複製したこともスラドで話題になった。今回の静脈認証突破では、手または指のダミーを手の甲側と手のひら側に分割してミツロウで作成し、レーザープリンターで印刷した静脈パターンをはさみ込んだものを使用する。静脈パターンの作成には赤外線フィルターを外したデジタル一眼レフカメラを用い、手のひらまたは指先の写真を撮影して画像調整したものを使用している。

これだけ書くと簡単そうだが、2人はさまざまなカメラを試し、2,500枚の写真を撮影したそうだ。写真は好条件で撮影しているため、通りすがりに撮影したような写真で静脈認証を突破するのは難しいとのこと。ダミーの素材についても、試行錯誤の末にミツロウにたどり着いたようだ。作業量としては1か月ぐらいでできる内容だが、余暇を利用して進めたため、完成までに半年かかったとのこと。

なお、ステージ上では手のひら静脈認証を何度試してもダミーが認証されず、照明を薄暗くしてもうまくいかなかった。そのため、机の下で試行してようやく認証されている。一方、指静脈認証は一発で成功しているが、残念なことに動画ではその場面が写っていない。