ニュージーランド航空がラグビーへの愛を世界に示すため、「オールブラックス航空」に改名する、という新作の機内安全ビデオ「Air All Blacks」を公開している(ニュージーランド航空の記事、 Mashableの記事、 動画)。

豪華キャストで知られるニュージーランド航空の機内安全ビデオだが、今回はタイトル通りラグビーニュージーランド代表「オールブラックス」の選手やOBをフィーチャーしている。また、テレビドラマ「Suits」でルイス・リットを演じるリック・ホフマンが顧問弁護士役で出演しており、ジュリアン・デニソンが出演した昨年の機内安全ビデオを批判する場面もみられる。

以前は乗務員が実演する代わりに動画で出演しただけ、という感じのものが多かった機内安全ビデオだが、近年は凝った作りのものも増えている。最近実際に観たものでは、タイ国際航空の機内安全ビデオが面白いと思った。スラドの皆さんが面白いと感じた機内安全ビデオにはどのようなものがあるだろうか。

Tesla車に搭載された「Dog Mode (犬モード)」に深刻なバグが発見され、イーロン・マスク氏が修正を約束している( 発見者のツイート、 Mashableの記事、 The Vergeの記事 )。

犬モードは車内を犬が快適に過ごせる温度に保つほか、ディスプレイに犬が閉じ込められているわけではないことを通行人に知らせる機能を搭載し、安心して駐車中の車内に犬を残して車を離れられるようにするものだ。しかし、エアコンのファンを調整すると犬モード中にエアコンが動作しなくなることをTesla車のオーナーが発見する。このオーナーは犬を車内に残して車を離れたが、室温をチェックしていて問題に気付いたため、犬は無事だったという。Twitterで報告を受けたイーロン・マスク氏は修正中だと返信しているが、期日は示していない。そのため、現時点ではエアコンのファンを自動設定にしておく必要があるとのことだ。

追記: 既にOTAで修正が提供されたようだ。

LibreOfficeで任意コード実行が可能な脆弱性(CVE-2019-9848)が見つかり、バージョン6.2.5で修正されたのだが、完全には修正されていないようだ(The Registerの記事)。

LibreOfficeに標準でインストールされるオプションのコンポーネント「LibreLogo」では、WriterにLOGOのプログラムコードを書くことでタートルグラフィックスの描画ができる。コードはPythonのコードへ変換後に実行されるのだが、適切なチェックが行われていないため、Writer上に書いたPythonのコードは一部がそのまま実行される。これをイベントハンドラーによるマクロ実行と組み合わせ、LibreLogoの「run」マクロを指定すれば警告なしに任意コードが実行可能だ(JRE不要)。

これについてLibreOffice 6.2.5では、ドキュメントのイベントハンドラーからLibreLogを呼び出せないように修正したと説明されているが、Pythonコードのチェックについては触れられていない。実際にLibreLogoツールバーからプログラムを実行すれば、以前のバージョンと同様にPythonコードが実行される。また、脆弱性を発見したERNWが公開しているハイパーリンクのイベントハンドラーを利用するPoCはブロックされるものの、「文書を開いた時」などのイベントにマクロを割り当てれば実行可能だった。この脆弱性を使用するエクスプロイトはMetasploitにも追加され、バージョン6.2.5でも動作するようだと説明されている。そのため、この脆弱性を悪用する攻撃を回避するには、LibreLogoを削除するのが確実だ。

The Document FoundationはThe Registerに対し、バージョン6.2.5では部分的な修正にとどまることを認めている。その理由として別の方法でも脆弱性を呼び出せることを挙げ、近日リリース予定のバージョン6.3/6.2.6で修正するとも述べているが、Pythonコードがそのまま実行される問題を修正するつもりはないようだ。また、マクロのセキュリティ設定にかかわらず実行されることに関しては、実行されるのはマクロではなく、プログラムがPythonを呼び出すのだと主張している。ただし、安全性を高めるためLibreLogoを拡張機能として分離することも検討しているそうだ。

Anonymous Coward曰く、

二要素認証で利用できる物理セキュリティドングル「Titanセキュリティーキー」が日本でも発売された。価格は6,000円で、Googleストアから購入できる（ITmedia、Slashdot）。

昨年7月に米国で販売開始されていた製品で、Googleのアプリやサービスだけでなく、認証規格「FIDO」に対応するさまざまなサービスおよびハードウェアで利用できる。USB接続のセキュリティキーとBluetooth接続のセキュリティキーがセットになっており、片方をメインで使用し片方は安全に保管することが推奨されている。

GoogleはTitanセキュリティキーについて、ハッキングやフィッシングからGoogleアカウントを保護するのに最も優れた方法の1つだとし、Google内で運用されているものと同等レベルのセキュリティを提供するという。

headless曰く、

AV-TESTによる家庭向けWindowsアンチウイルスソフトウェアのテスト結果6月分で、Windows Defenderが初めて満点を獲得している（リポート、Softpedia）。

AV-TESTのテストはマルウェアに対する防御率・検出率を評価する「Protection」および、実行による速度低下の小ささを評価する「Performance」、誤検知の少なさを評価する「Usability」の3カテゴリで各6点満点、合計18点満点で評価される。今回のテストはWindows 10を対象に5月と6月に実施された。

Windows Defender/Microsoft Security Essentialsは2013年から2015年にかけてProtectionのスコアが非常に低くなっていたが、最近2年間は常に5点以上で推移している。PerformanceとUsabilityは以前から比較的高い評価を受けており、トッププロダクトの認定を獲得することも増えている。今回テストされたバージョン4.18は防御率・検出率ともに100%、誤検知0で速度低下も小さく、Microsoft Security Essentialsを含めて初の18点満点となった。

今回、Windows Defender以外で満点を獲得したのは、F-Secure SAFE 17、Kaspersky Internet Security 19.0、Norton Security 22.17の3本。17.5点でAvast Free Antivirus 19.5とAVG Internet Security 19.5、Bitdefender Internet Security 23.0、Trend Micro Internet Security 15.0、VIPRE AdvancedSecurity 11.0の5本が続き、これら9本がトッププロダクトに認定されている。今回テストされたのは合計20本であり、トッププロダクトが半数近くを占める。

16点未満はPC Pitstop PC Matic 3.0（14点）、Malwarebytes Premium 3.7.1（13点）、Webroot SecureAnywhere 9.0（11.5点）のみで、これらの製品も推奨プロダクトの認定は獲得している。

朝日ネット技術者ブログによると、インターネットに接続された機器が数百GBにも上るアップロードトラフィックを発生させるという事例があるそうだ。

事例としてはNTPの脆弱性を悪用した攻撃の踏み台にされているケースや、オープンリゾルバを使ったDoS攻撃に使われているケースなどがあるという。また、LDAPサービスを誤ってインターネットに公開していたり、UPnPで使われるSSDPサービスを悪用されるといったケースもあるという。

対策方法としては、機器のファームウェアを最新のものに更新することが挙げられている。

Anonymous Coward曰く、

電子メールにおける「なりすまし」を防ぐための技術として「DMARC」があるが、世界の企業でこれを採用している例はまだ少ないという。

セキュリティ分析会社250okが、Fortune 500にランクインしている企業や米国政府などが使用するドメインを対象にDMARCの利用状況を調査した。それによると、約79.7％がDMARCを利用していないという（調査結果PDF）。これは、ほとんどの企業がビジネス用電子メールのBEC攻撃、フィッシングEメール、およびEメール詐欺に対して脆弱であることを意味している。

DMARCの普及が進まないのは、DMARCを採用するメリットがあまり理解されていないためだという。それでもDMARCの採用率は、以前より改善しているそうだ。FTCの2017年の調査データによると、重要なオンラインプレゼンスを持つ569の企業のうち、自社ドメインにDMARCポリシーを展開しているのは10％だった。また、2018年11月に行われたAgariのレポートでは、Fortune 500企業の半数がDMARCをサポートしていたという。

ただし、偽装ドメインからのスパム、フィッシング、および詐欺を防ぐためのポリシーを設定しているのは、そのうちの13％に過ぎないとのことで、まだまだ改善の余地があるようだ（ZDNet、Slashdot）。

不正利用問題が発覚したセブン＆アイ・ホールディングスのスマートフォン決済サービス「7pay」について、9月末でのサービス終了が発表された（セブン＆アイ・ホールディングスの発表、Engadget日本版、ITmedia）。

記者会見では、不正利用の被害額が3861万5473円、被害人数は808人だったことや、原因はリスト型攻撃だったと結論に達したこと、先日報じられていたソースコードの流出が事実だったことなどが伝えられた。また、サービス廃止の要因としては「認証そのものに脆弱性があること」だとしている。

一方で、他のサービスで使用されていないIDやパスワードを設定していたにも関わらず不正利用されてしまったケースについては説明されていない。また、Twitterで指摘されていた「チャージしていない人が決済できてしまった」問題については7payに関連する問題ではないと説明されている。

なお、同グループの各サービス横断で使える「7iD」については「他のサービスと比べても十分なセキュリティレベルの水準に達していると内外で評価されている」と主張されている。

IT関連コンサルタント事業を行っているSpiceworkdsによる「The Future of Network and Endpoint Security」というレポートによると、32％の組織で少なくとも1台以上のWindows XPマシンが稼働しているという（TecgRepublic、GIGAZINE）。

なお、2020年にサポートが終了するWindows 7が稼動している組織は79％で、これはWindows 10の78％を上回っているという。

先日、フィッシング詐欺被害にあったにも関わらず被害者ではないとして被害届を受理されないという事案が発生していることが話題となったが、昨今携帯電話のキャリア決済を悪用するフィッシング詐欺が多発しているという（西日本新聞）。

偽サイトに誘導するようなSMSを送りつけ、そこでキャリア決済に必要なIDやパスワードの入力をさせるという手口。キャリア決済には限度額が設定されているが、たとえばNTTドコモのd払いの場合、クレジットカード登録がない場合の限度額は月あたり最大10万円となっているとのことで、被害者はこれに近い金額が請求されているようだ。対策としてはキャリア決済を無効にするなどの方法があるという（piyolog）。

こういったキャリア決済を悪用したフィッシング詐欺の場合、ユーザーが被害を受けたとしても規約上はユーザーの責任となり損失の補償などはないという。また、被害者はキャリアや不正使用によって購買が行われたAmazonなどのEC事業者という扱いになるそうで、フィッシング詐欺を受けたユーザーは被害届を出せないという状況になっているようだ（piyologの続報）。

Anonymous Coward曰く、

ペットボトル入りの水は常温で保管しても問題ないことはよく知られているが、賞味期限は設定されている。しかし、この賞味期限が経過した後でも、問題なく飲用できるという（Yahoo!ニュース）。

なぜペットボトル入りの水に賞味期限が設定されているのかというと、保管の過程で気化した水がペットボトルから漏れ出ていくことで中身が減少し、それによって中身の量が表示されている内容量を下回ることがあるためなのだそうだ。つまり、賞味期限を越えたペットボトル入りの水は内容量が表示以下になっている可能性はあるものの、品質に問題はないという。

とはいえ、たとえば「これは20年前の水です」と言われると躊躇してしまいそうな気もするので、適当なサイクルで上手く消費するのが良いような気もする。

セブン＆アイ・ホールディングスが7月30日、傘下の各種サービスで共通利用できる「7iD」利用者の全パスワードを強制的にリセットしたことを発表した（発表PDF、ITmedia）。セキュリティ強化の一環とされているが、なぜパスワードリセットを行ったかの具体的な説明はない。また、あわせてパスワードの設定条件の変更も行ったという。

一方でこれに関連して複数のトラブルが発生しているようだ（Togetterまとめ）。その中でも大きいものとして、パスワードを再設定しようとして誤って新規にアカウントを作成してしまい、7payの残高やクーポンが消えてしまったように見えるという問題が話題となっている。なお、セブン＆アイ・ホールディングスによると残高やバッジ、クーポンなどが消えたということはないという（ITmediaの別記事）。

また、パスワード再設定の際には生年月日と電話番号、IDの入力が必要で、これらを正しく入力するとメールでパスワード再設定メールが届くのだが、このメールが届かないというトラブルも発生している（Togetterまとめ）。セブンネットショッピング時代は生年月日のうち年と月のみが登録されており、この時代にアカウントを作成したユーザーについてはオムニ7への以降後勝手に生年月日のうち日がが「1日」に設定されていたという報告や、登録メールアドレスを変更していたにも関わらず初回登録時のメールアドレスにパスワード再設定メールが送信されていた、といった報告があるようだ。

Anonymous Coward曰く、

米大手金融機関Capital One Financialで、不正アクセスによる大規模な個人情報漏洩事件が発生した。漏洩件数は1億600万件にも上り、大手銀行による情報漏洩事件としては過去最大規模だという（日経新聞、TechCrunch、Bloomberg、Reuters）。

容疑者はすでにFBIに拘束されているとのこと。漏洩したデータは米Amazon Web Services（AWS）のクラウドサービスである「Amazon S3」上に保管されていたものだったという。この容疑者は米Amazon.comの元従業員都のことだが、AWSはAWSのシステムを狙った攻撃やAWSの脆弱性によるものではないと述べている。

先日ヤマト運輸の顧客向けサービス「クロネコメンバーズ」が不正アクセスを受ける事件があった（過去記事）。このサービスでは二段階認証によるセキュリティ強化が行われたものの、携帯端末向けサイトやアプリでは二段階認証を設定していても二段階認証を行わずにログインすることができたという（Togetterまとめ）。

クロネコメンバーズの「よくあるご質問（FAQ）」ページによると、「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。

Microsoft Edge (Spartan)のSmartScreenがアクセス先のフルURLなどに加え、WindowsにログインしたユーザーのSID(セキュリティ識別子)もサーバーに送信していることが発見された( Matt Wall氏のツイート、 Bleeping Computerの記事、 BetaNewsの記事、 Softpediaの記事)。

SmartScreenが送信するアクセス先サイトのURLはハッシュ化されていないものの、プライバシー保護のためSSL接続で暗号化して送信すると以前から説明されている。このほか、OS/ソフトウェアバージョン、ダウンロードしたファイルの情報などを送信することもドキュメントには記載されているが、SIDに関する記載はない。SIDの送信は匿名の統計情報を送信するとの説明にも反する。なお、ChromiumベースのMicrosoft Edgeプレビュー版ではSIDが送信されないとのことだ。