Googleは5日、任意のWebサイトへログインする際、過去に流出したユーザー名とパスワードの組み合わせを使用していないかどうか確認するChrome拡張機能「Password Checkup」をChromeウェブストアで公開した(Google Security Blogの記事、 Googleアカウントヘルプ、 The Keywordブログの記事、 Ars Technicaの記事)。

Mozillaは任意のブラウザーで利用可能な個人情報流出を通知するサービス「Firefox Monitor」や、個人情報が流出したWebサイトにアクセスすると通知するデスクトップ版Firefox限定機能の「Firefox Monitor Notification」でHave I Been Pwned?のデータを使用しているが、Googleは独自に収集したデータを使用しているそうだ。

Googleはデータ侵害により流出したユーザー名とパスワードを発見すると、ハッシュ化したうえで暗号化し、ハッシュの先頭2バイト分(プリフィックス)とともに保存しているという。Password Checkupはユーザーが任意のWebサイトにログインする際、ユーザー名とパスワードをハッシュ化してからユーザー側の暗号鍵で暗号化し、ハッシュのプリフィックスと暗号文をGoogleへの問い合わせに使用する仕組みだ。

問い合わせを実行するとプリフィックスが一致するデータに加え、暗号文をGoogleの暗号鍵でさらに暗号化した暗号文が返される。この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。これによりGoogleにユーザー名やパスワードを知らせることなく、ローカルでGoogleのデータとの照合を実行可能になるとのこと。

現在公開されているのは最初のバージョンであり、今後数か月の間にさらなる改善が行われるとのことだ。

ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクト、 The Registerの記事)。

IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。 

研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。

以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。

northern曰く、

カナダ最大の仮想通貨の交換会社「クアドリガCX」で、同社が持つ仮想通貨のコールドウォレットを管理する唯一の人物だった創業者が亡くなったため、同社が持つ200億円相当の仮想通貨を引き出せなくなるというトラブルが発生しているという（NHK、GIGAZINE）。

同社はカナダの裁判所に破産を申請したそうだが、管理体制への批判が集まりそうだ。

同社に対しては以前より支払いの遅れなどが指摘されており、裁判沙汰にもなっていたという。コールドウォレットはオフラインで仮想通貨を管理するための仕組みだが、コールドウォレット自体もどこにあるのか分からないそうだ。

あるAnonymous Coward曰く、

欧州連合（EU）当局が、ドイツ・ENOXの子供向けスマートウォッチ「Safe-Kid-One」の回収を決めた。通信が暗号化されておらず、容易に外部からプライバシに関わるデータにアクセスできる可能性があるためだという（CNET、Slashdot）。

このスマートウォッチは一見普通のアナログ式時計に見えるが、SIMやGPSが内蔵されており、定期的に位置情報をクラウドサーバーに送信して保護者が確認できたり、あらかじめ指定した相手に電話をかける機能などを備えているという。

EU当局によると、このデバイスはクラウドサーバーと暗号化せずにデータをやりとりしており、位置情報履歴や電話番号、シリアル番号などのデータを簡単に取得したり変更できるという。

あるAnonymous Coward曰く、

昨今人気のいわゆるスマート電球を分解調査したところ、内部ストレージには無線LANのパスワードなどが全く暗号化されず保存されていたという（TechCrunch）。

また、データをクラウドに送信する際に使われる秘密鍵に簡単にアクセスできてしまうような製品もあったという。こういった問題はスマート電球だけに限るものではなく、「IoTデバイスの9割はセキュリティを考慮せずに開発されている」とも指摘されている。

あるAnonymous Coward曰く、

会員制ファンクラブなどで、ログイン画面でわざと間違ったIDやパスワードを入力することで他人のアカウントを一時的にロックさせ、他人のチケット申込みを妨害するという攻撃方法があるそうだ（INTERNET Watch、Togetterまとめ）。

パスワードアタックは不正アクセス行為の禁止等に関する法律に違反する行為だと思っていたのだが、法律の「不正アクセス行為」の定義では「当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」とあり、今回のような「アタックに成功しない」ものは「不正アクセス行為」にはならないのかもしれない。

Togetterまとめでは、自分ではログインを行っていないのにアカウントをロックされた/パスワードの変更を求められたという報告もまとめられている。

先日リリースされたFirefox 65でセキュリティソフトウェアによる問題が発生し、MozillaがWindows版の自動更新による提供を一時中止したそうだ(Bug 1523701、 Softpediaの記事、 Techdowsの記事)。

この問題はHTTPSページで「安全な接続ではありません」(エラーコード: SEC_ERROR_UNKNOWN_ISSUER)と表示され、アクセスできないというものだ。原因はセキュリティソフトウェアがWebページのSSL証明書を独自のものに置き換えて安全性を確認するHTTPSスキャンなどと呼ばれる機能で、置き換えられたSSL証明書がFirefoxに信頼されないために発生しているようだ。MozillaのBugzillaではAvastとAVGでの発生が報告されており、KasperskyやESETでは発生しなかったとのコメントもみられる。ただし、セキュリティ製品の有無が記載されていない報告もあるため、影響範囲ははっきりしない。

Firefoxヘルプではこの機能を無効にする、サードパーティー製セキュリティ製品を削除してMicrosoftのウイルス対策機能を使用する、セキュリティ製品を再インストールする、といった対策が紹介されているが、再インストールでは解決しなかったというコメントもみられる。Avast社員とみられる人のコメントによれば、AvastとAVGのアップデートでFirefoxでのHTTPSスキャン機能を無効化し、正式な修正も進めているとのことだ。

IPAが「情報セキュリティ10大脅威2019」を発表した。

情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーによる「10大脅威選考会」が選んだもので、まず個人に対する10大脅威については以下のようになっている（括弧内は昨年順位）。

1. クレジットカード情報の不正利用（1位）
2. フィッシングによる個人情報等の詐取（1位）
3. 不正アプリによるスマートフォン利用者の被害（4位）
4. メールやSNSを使った脅迫・詐欺の手口による金銭要求
5. ネット上の誹謗・中傷・デマ（3位）
6. 偽警告によるインターネット詐欺（10位）
7. インターネットバンキングの不正利用（1位）
8. インターネットサービスへの不正ログイン（5位）
9. ランサムウェアによる被害（2位）
10. IoT機器の不適切な管理（9位）

なお、昨年の1位は「インターネットバンキングやクレジットカード情報等の不正利用」だったが、これは今年から「インターネットバンキングの不正利用」「クレジットカード情報の不正利用」「仮想通貨交換所を狙った攻撃」「仮想通貨採掘に加担させる手口」「フィッシングによる個人情報等の詐取」に細分化されている。また、組織に対する10大脅威は以下の通り。

1. 標的型攻撃による被害（1位）
2. ビジネスメール詐欺による被害（3位）
3. ランサムウェアによる被害（2位）
4. サプライチェーンの弱点を悪用した攻撃の高まり
5. 内部不正による情報漏えい（8位）
6. サービス妨害攻撃によるサービスの停止（9位）
7. インターネットサービスからの個人情報の窃取（6位）
8. IoT機器の脆弱性の顕在化（7位）
9. 脆弱性対策情報の公開に伴う悪用増加（4位）
10. 不注意による情報漏えい（12位）

今年新たにランクインしたのは、個人では「メールやSNSを使った脅迫・詐欺の手口による金銭要求」、組織では「サプライチェーンの弱点を悪用した攻撃の高まり」となっている。

あるAnonymous Coward曰く、

匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された（ITmedia）。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。

このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。

同サービスでは、以前より脆弱性問題が指摘されていたという。

なお、この問題に対しジラフは最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表している（ITmedia）。

ハッカー集団Anonymous（アノニマス）が、ロシアの政治家やジャーナリスト、財閥、宗教的指導者およびウクライナの愛国者/テロリストがやり取りしたメッセージやファイルを公開したとの声明を出している（AnonymousのTweet、New York Times）。このデータはInternet Archiveのミラーサイトからダウンロードできる状態になっていたようだが、現時点ではアクセスできないようだ。

これらのデータの合計サイズは108GBとのことで、「The Dark Side of the Kremlin」と名付けられている。

25日、ファイルアップローダサービス「宅ふぁいる便」でユーザー情報が漏洩していたことが発覚したが（過去記事）、漏洩した情報には「暗号化されていない」パスワードが含まれていたという（宅ふぁいる便による「お知らせ」）。

これによると、「流出したログインパスワードは、暗号化されておりませんでした」とのこと。なお、1月29日17時時点で復旧の目処は立っておらず、また復旧するまで登録しているアドレス帳の内容や退会手続き、領収書の発行などが行えない状況だという。

FNN PRIMEの記事によると、同サービスは開始当初からパスワードを暗号化していなかったとのこと。この仕様が問題だという認識はあったようだが、具体的な対応はまだ行われていなかったという。また、アップロードされたファイルについては漏洩は確認されていないようだ。

2019年1月末で、商用ユーザー向けのJava SE 8の公式アップデートが終了する（Oracle Java SE サポート・ロードマップ）。

なお、有償のPremier SupportおよびExtended Supportではアップデートがそれぞれ2022年3月、2025年3月まで提供される（過去記事）。また、個人ユーザー向けには2020年12月末まで公式アップデートおよび自動更新が提供される。

大塚商会が提供しているホスティングサービス「アルファメール」および「アルファメールダイレクト」が1月19日に不正アクセスを受け、不正にファイルが設置されるという事案が発生した（piyolog、INTERNET Watch）。20日の時点で不正に設置されたファイルの削除などの措置が取られているという。

大塚商会の発表によると、利用者が設置していたWordPressの脆弱性を狙った攻撃が行われ、その結果他の利用者の領域にも不正にファイルが設置されたという。また、この攻撃を行なったと主張する者がPastebinに攻撃を行なったWebサイトのリストを掲載していたという。

有効期限が過ぎたまま放置されたドメインが第三者に乗っ取られることはよくあるが、かつてJavaScriptコードを第三者向けに配信していたドメインが乗っ取られ、悪意のあるコードが配信されるというケースがあるようだ（tike blog）。

画像やコンテンツなどの場合、意図したものではないものに置き換えられていた場合は閲覧者が比較的容易に判別できるが、JavaScriptコードについては注意してチェックしない限り気付きにくいという問題があるという。先のブログでは、放置されたドメインを大量に取得し、これとCDNを組み合わせて情報を送信させるような例が紹介されている。

サイトを多言語対応させるためのWordPress向けプラグイン「The WordPress Multilingual Plugin（WPML）」の開発チームで働いていた元従業員がWPMLのWebサイトを乗っ取り、その顧客に修正されていないセキュリティホールの存在を知らせるメールを大量送信したそうだ（ZDNet、welivesecurity）。

このメールでは、プラグインを利用することで脆弱性が生じる可能性があるということを伝えていたという。WPMLの開発者によると、WPMLのサイトに元従業員によってバックドアが仕掛けられており、これが悪用されたという。

また、これに関連して顧客の氏名やメールアドレス、さらにWPMLのアカウントが流出した可能性もあるとし、顧客に対してはパスワード変更などを行うことを推奨している。