Googleによれば、昨年Google Playストアへ登録申請があったアプリのうち、却下したアプリの数は前年よりも55%以上多かったそうだ(Android Developers Blogの記事、 VentureBeatの記事、 SlashGearの記事、 Softpediaの記事)。

現在もGoogle Playでのマルウェアを含むアプリの発見はたびたび報じられるが、昨年Googleでは新たな不正の手口からユーザーを守るほか、悪意ある開発者を発見・排除し、ストアで悪意あるアプリの増加を防ぐための新たなポリシーを導入したという。

その結果、却下したアプリが前年比55%以上増加したのに加え、公開停止したアプリも前年比66%以上増加したとのこと。さらに、Google Play Protectが毎日500億本以上のアプリをスキャンしており、Google Playで入手したアプリは他の場所で入手したアプリよりもユーザーを害する可能性が8分の1以下になっているとのこと。

2019年は不正行為で排除された開発者が別アカウントで再参入することを防ぐ技術の強化や、不正アプリを検出する技術の強化などを行うほか、ユーザーのプライバシーを保護するため、新たなポリシーの追加も行っていくとのことだ。

taraiok曰く、

米セキュリティ企業Zimperium社は、Xiaomi製の人気電動スクーター「M365」に大きなバグを発見した。このバグを悪用するとスクーターを遠隔操作で乗っ取ることが可能だという。攻撃が成功した場合、スクーターの加速や停止などの制御が外部から行えるとしている（WIRED、Slashdot）。

Zimperium社のRani Idan氏によると、M365にはスクーターとスマートフォンアプリ間で通信するためにBluetoothモジュールが搭載されている。しかし、パスワードなどによる認証の仕組みがなく、さらにファームウェアに関してもメーカー公式のものかどうかをチェックする機能が無く、外部製のファームウェアに入れ替えできると説明している。これを悪用すれば意図的に事故を起こしたり、交通渋滞を引き起こすこともできるとしている。

ゲイ向けの出会い系アプリ「Jack'd」で、特定の友人のみに閲覧を許可するように設定されていた非公開写真に対し不特定多数がアクセスできてしまうという不具合が見つかったという（Buzzap!、register、BBC）。

この不具合では同アプリに登録していないユーザーでも非公開写真を閲覧できてしまうという。Ars Technicaの記事に技術的な説明があるが、このアプリはAmazon Web Services（AWS）のS3ストレージを利用しており、その際にストレージへのアクセス制限を設定していなかったとのこと。そのため、特定のURLにアクセスするだけで非公開写真をダウンロードできてしまう。

また、アプリが収集した位置情報やユーザーに関するメタデータの管理にも不備があり、これらの情報へのアクセスも可能になっていたようだ。

以前、人気少女漫画誌「ちゃお」に付録としてATM型貯金箱が付いてくることが話題になったが、昨年末に発売された「ちゃお」2月号ではさらにパワーアップした「指認証ボタン」付きのATM型貯金箱が付録として付いてくるそうだ（小学館コミックの告知）。

この貯金箱はロック解除に「カード」と「指」、「暗証番号」の3つの要素が必要。もちろん玩具ではあるため実際には指紋認証は行われていないのだが、「暗証番号」も一律ではなく複数が設定されているなど、一部では「セキュリティ意識が高い」と高評価されているという（ITmedia）。

ただ、ちゃお編集部では特にセキュリティを意識した訳ではなく、リアリティを追求したらこうなっただけのようだ。

Googleは5日、任意のWebサイトへログインする際、過去に流出したユーザー名とパスワードの組み合わせを使用していないかどうか確認するChrome拡張機能「Password Checkup」をChromeウェブストアで公開した(Google Security Blogの記事、 Googleアカウントヘルプ、 The Keywordブログの記事、 Ars Technicaの記事)。

Mozillaは任意のブラウザーで利用可能な個人情報流出を通知するサービス「Firefox Monitor」や、個人情報が流出したWebサイトにアクセスすると通知するデスクトップ版Firefox限定機能の「Firefox Monitor Notification」でHave I Been Pwned?のデータを使用しているが、Googleは独自に収集したデータを使用しているそうだ。

Googleはデータ侵害により流出したユーザー名とパスワードを発見すると、ハッシュ化したうえで暗号化し、ハッシュの先頭2バイト分(プリフィックス)とともに保存しているという。Password Checkupはユーザーが任意のWebサイトにログインする際、ユーザー名とパスワードをハッシュ化してからユーザー側の暗号鍵で暗号化し、ハッシュのプリフィックスと暗号文をGoogleへの問い合わせに使用する仕組みだ。

問い合わせを実行するとプリフィックスが一致するデータに加え、暗号文をGoogleの暗号鍵でさらに暗号化した暗号文が返される。この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。これによりGoogleにユーザー名やパスワードを知らせることなく、ローカルでGoogleのデータとの照合を実行可能になるとのこと。

現在公開されているのは最初のバージョンであり、今後数か月の間にさらなる改善が行われるとのことだ。

ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクト、 The Registerの記事)。

IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。 

研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。

以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。

northern曰く、

カナダ最大の仮想通貨の交換会社「クアドリガCX」で、同社が持つ仮想通貨のコールドウォレットを管理する唯一の人物だった創業者が亡くなったため、同社が持つ200億円相当の仮想通貨を引き出せなくなるというトラブルが発生しているという（NHK、GIGAZINE）。

同社はカナダの裁判所に破産を申請したそうだが、管理体制への批判が集まりそうだ。

同社に対しては以前より支払いの遅れなどが指摘されており、裁判沙汰にもなっていたという。コールドウォレットはオフラインで仮想通貨を管理するための仕組みだが、コールドウォレット自体もどこにあるのか分からないそうだ。

あるAnonymous Coward曰く、

欧州連合（EU）当局が、ドイツ・ENOXの子供向けスマートウォッチ「Safe-Kid-One」の回収を決めた。通信が暗号化されておらず、容易に外部からプライバシに関わるデータにアクセスできる可能性があるためだという（CNET、Slashdot）。

このスマートウォッチは一見普通のアナログ式時計に見えるが、SIMやGPSが内蔵されており、定期的に位置情報をクラウドサーバーに送信して保護者が確認できたり、あらかじめ指定した相手に電話をかける機能などを備えているという。

EU当局によると、このデバイスはクラウドサーバーと暗号化せずにデータをやりとりしており、位置情報履歴や電話番号、シリアル番号などのデータを簡単に取得したり変更できるという。

あるAnonymous Coward曰く、

昨今人気のいわゆるスマート電球を分解調査したところ、内部ストレージには無線LANのパスワードなどが全く暗号化されず保存されていたという（TechCrunch）。

また、データをクラウドに送信する際に使われる秘密鍵に簡単にアクセスできてしまうような製品もあったという。こういった問題はスマート電球だけに限るものではなく、「IoTデバイスの9割はセキュリティを考慮せずに開発されている」とも指摘されている。

あるAnonymous Coward曰く、

会員制ファンクラブなどで、ログイン画面でわざと間違ったIDやパスワードを入力することで他人のアカウントを一時的にロックさせ、他人のチケット申込みを妨害するという攻撃方法があるそうだ（INTERNET Watch、Togetterまとめ）。

パスワードアタックは不正アクセス行為の禁止等に関する法律に違反する行為だと思っていたのだが、法律の「不正アクセス行為」の定義では「当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」とあり、今回のような「アタックに成功しない」ものは「不正アクセス行為」にはならないのかもしれない。

Togetterまとめでは、自分ではログインを行っていないのにアカウントをロックされた/パスワードの変更を求められたという報告もまとめられている。

先日リリースされたFirefox 65でセキュリティソフトウェアによる問題が発生し、MozillaがWindows版の自動更新による提供を一時中止したそうだ(Bug 1523701、 Softpediaの記事、 Techdowsの記事)。

この問題はHTTPSページで「安全な接続ではありません」(エラーコード: SEC_ERROR_UNKNOWN_ISSUER)と表示され、アクセスできないというものだ。原因はセキュリティソフトウェアがWebページのSSL証明書を独自のものに置き換えて安全性を確認するHTTPSスキャンなどと呼ばれる機能で、置き換えられたSSL証明書がFirefoxに信頼されないために発生しているようだ。MozillaのBugzillaではAvastとAVGでの発生が報告されており、KasperskyやESETでは発生しなかったとのコメントもみられる。ただし、セキュリティ製品の有無が記載されていない報告もあるため、影響範囲ははっきりしない。

Firefoxヘルプではこの機能を無効にする、サードパーティー製セキュリティ製品を削除してMicrosoftのウイルス対策機能を使用する、セキュリティ製品を再インストールする、といった対策が紹介されているが、再インストールでは解決しなかったというコメントもみられる。Avast社員とみられる人のコメントによれば、AvastとAVGのアップデートでFirefoxでのHTTPSスキャン機能を無効化し、正式な修正も進めているとのことだ。

IPAが「情報セキュリティ10大脅威2019」を発表した。

情報セキュリティ分野の研究者、企業の実務担当者など約120名のメンバーによる「10大脅威選考会」が選んだもので、まず個人に対する10大脅威については以下のようになっている（括弧内は昨年順位）。

1. クレジットカード情報の不正利用（1位）
2. フィッシングによる個人情報等の詐取（1位）
3. 不正アプリによるスマートフォン利用者の被害（4位）
4. メールやSNSを使った脅迫・詐欺の手口による金銭要求
5. ネット上の誹謗・中傷・デマ（3位）
6. 偽警告によるインターネット詐欺（10位）
7. インターネットバンキングの不正利用（1位）
8. インターネットサービスへの不正ログイン（5位）
9. ランサムウェアによる被害（2位）
10. IoT機器の不適切な管理（9位）

なお、昨年の1位は「インターネットバンキングやクレジットカード情報等の不正利用」だったが、これは今年から「インターネットバンキングの不正利用」「クレジットカード情報の不正利用」「仮想通貨交換所を狙った攻撃」「仮想通貨採掘に加担させる手口」「フィッシングによる個人情報等の詐取」に細分化されている。また、組織に対する10大脅威は以下の通り。

1. 標的型攻撃による被害（1位）
2. ビジネスメール詐欺による被害（3位）
3. ランサムウェアによる被害（2位）
4. サプライチェーンの弱点を悪用した攻撃の高まり
5. 内部不正による情報漏えい（8位）
6. サービス妨害攻撃によるサービスの停止（9位）
7. インターネットサービスからの個人情報の窃取（6位）
8. IoT機器の脆弱性の顕在化（7位）
9. 脆弱性対策情報の公開に伴う悪用増加（4位）
10. 不注意による情報漏えい（12位）

今年新たにランクインしたのは、個人では「メールやSNSを使った脅迫・詐欺の手口による金銭要求」、組織では「サプライチェーンの弱点を悪用した攻撃の高まり」となっている。

あるAnonymous Coward曰く、

匿名で質問を募集できるサービス「Peing -質問箱-」で、Webブラウザの開発者ツールなどの機能を使うことで簡単にそのアカウントにアクセスするためのTwitterアクセストークンを入手できるという脆弱性が発見された（ITmedia）。サービスを運営するジラフによると、1月28日22時10分に対応を行ったとのことで現在は問題はないという。

このトークンを悪用することで、相手のメールアドレスやハッシュ化されたパスワード、過去のTweetといった情報を入手できたり、Twitterへの書き込みやDMの送付も行えたという。このトークンを使ったTwitterへのログインやDMの閲覧などは行えない。

同サービスでは、以前より脆弱性問題が指摘されていたという。

なお、この問題に対しジラフは最大で149万件分のメールアドレスと94万件のハッシュ化されたパスワードが漏えいした可能性があると発表している（ITmedia）。

ハッカー集団Anonymous（アノニマス）が、ロシアの政治家やジャーナリスト、財閥、宗教的指導者およびウクライナの愛国者/テロリストがやり取りしたメッセージやファイルを公開したとの声明を出している（AnonymousのTweet、New York Times）。このデータはInternet Archiveのミラーサイトからダウンロードできる状態になっていたようだが、現時点ではアクセスできないようだ。

これらのデータの合計サイズは108GBとのことで、「The Dark Side of the Kremlin」と名付けられている。

25日、ファイルアップローダサービス「宅ふぁいる便」でユーザー情報が漏洩していたことが発覚したが（過去記事）、漏洩した情報には「暗号化されていない」パスワードが含まれていたという（宅ふぁいる便による「お知らせ」）。

これによると、「流出したログインパスワードは、暗号化されておりませんでした」とのこと。なお、1月29日17時時点で復旧の目処は立っておらず、また復旧するまで登録しているアドレス帳の内容や退会手続き、領収書の発行などが行えない状況だという。

FNN PRIMEの記事によると、同サービスは開始当初からパスワードを暗号化していなかったとのこと。この仕様が問題だという認識はあったようだが、具体的な対応はまだ行われていなかったという。また、アップロードされたファイルについては漏洩は確認されていないようだ。