VPN比較サイトTheBestVPNの集計によると、2019年に報告された脆弱性が最も多い製品はAndroidだったそうだ(リポート、 9to5Googleの記事)。

データは米国立標準技術研究所(NIST)のNational Vulnerability Database(NVD)から抽出したもので、2019年に報告されたAndroidの脆弱性は414件。Debian Linuxが360件、Windows Server 2016とWindows 10が357件で続く。1999年～2019年の通算ではDebian Linux(3,067件)が最も多く、Android(2,563件)とLinuxカーネル(2,357件)、Mac OS X(2,212件)が続いている。

一方、ベンダー別で2019年に最も多くの脆弱性が報告されたのはMicrosoft(668件)で、Google(609件)とOracle(489件)、Adobe(441件)が続く。1999年～2019年の通算でも1位はMicrosoft(6,814件)で、2位以下はOracle(6,115件)、IBM(4,679件)、Google(4,572件)の順となっている。1999年～2019年のデータでCVSSスコアの加重平均が最も高かったのはAdobe Flash Player(9.4)。以下、Adobe Acrobat(9.2)、Microsoft Office(9.1)、Adobe Acrobat Reader(8.9)の順になっている。

なお、英消費者保護団体Which?によると、Androidで2019年にセキュリティ更新が提供されたのはAndroid 7.0 Nougat以降のみだったという。昨年5月にGoogleが発表したAndroidプラットフォームバージョン別データでAndroid 2.3.x Gingerbread～Android 6.0 Marshmallowが合計42.10%を占めていることから、10億台以上の脆弱性が放置されたままだと指摘している(Which?の記事)。

Let's Encryptでは標準に準拠せずに発行した可能性のある証明書およそ300万件を3月5日12時までに失効させる計画を示していたが、最終的に取りやめたそうだ(Let's Encrypt Community Supportの記事[1]、 [2]、 MozillaのBugzilla、 Ars Technicaの記事、 The Registerの記事)。

この問題はLet's EncryptのCAソフトウェアBoulderがCAAレコードを再チェックするコードのバグが原因で発生した。Let's Encryptではドメイン所有者確認を30日間有効としているが、CAAレコードは証明書発行の8時間以内のチェックが必要だ。そのため、ドメイン所有者確認から8時間以上経過した証明書発行申請に対してはCAAレコードの再チェックが行われることになる。しかし、申請にN個のドメインが含まれていた場合、Boulderは1個のみを選択してN回チェックしていたとのこと。これにより、ドメイン所有者確認後にLet's Encryptによる証明書発行を禁ずるCAAレコードがインストールされたドメインにも証明書を発行していた可能性がある。

Boulder にバグが追加されたのは2019年7月25日で、バグは2月29日に確認された。影響を受ける可能性のある証明書の大半にセキュリティリスクはないとみられるが、標準に準拠せずに発行した証明書は失効させる必要があるという業界の取り決めに従い、Let's Encryptが発行したアクティブな証明書の2.6%に相当する3,048,289件の失効処理を3月5日5時に開始すると発表。CAAレコードでLet's Encryptによる証明書発行が禁じられていた445件の証明書をはじめ、既に置き換えられているものや使われていないもの計1,711,396件はコンプライアンス期限の5日12時までに失効処理を完了した。しかし、残る1,336,893件のうち65%はインターネットスキャンで使用中であることが確認され、あとの35%は状態を確認できなかったとのこと。

そのため、強制的に証明書を失効させない方がインターネット利用者の利益にかなうと判断したそうだ。その後、295,799件の証明書を6日までに失効処理しており、37,499件は失効処理する前に期限切れになったという。Let's Encryptが発行する証明書の有効期限は90日間であり、影響を受ける証明書は今後、毎日数千～数万件が有効期限を迎えることになる。失効処理を行わなくても5月29日にはすべて期限切れとなるが、利用者に影響を与えないと確信し次第、より多くの証明書の失効処理を行う計画とのことだ。

エクスプロイト/脆弱性警告サービスを提供するVullnerabilityの「VULLNERAB1337」チームがMicrosoftのドメイン(microsoft.com/skype.com/visualstudio.com/windows.comなど)のサブドメインを調査したところ、670件以上にサブドメイン乗っ取りの脆弱性が見つかったそうだ(Vullnerabilityのブログ記事、 BetaNewsの記事、 The Registerの記事)。

サブドメイン乗っ取りの脆弱性は、AzureなどユーザーがWebページを作成・公開可能なサービスをサブドメインが指しており、該当ページが存在しない場合などに発生する。この場合に攻撃者がサブドメインを乗っ取るには、そのサービスに新たなページを作成してサブドメインを指定すればいい。 攻撃者は乗っ取ったサブドメインを利用してユーザーにアカウント情報やその他の個人情報を入力させたり、マルウェアをインストールさせることなどが可能となる。

Vullnerabilityでは13件のサブドメインを実際に乗っ取ってMicrosoftに報告し、問題は修正されたという。ただし、Microsoftはサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象にしていない。そのため、今回発見した脆弱性のうち残る660件以上に関しては、Microsoftがサブドメイン乗っ取りの脆弱性を報奨金プログラムの対象に加えるまでは報告しないとのこと。サブドメインが乗っ取られているかどうかを識別することは困難であることから、報奨金プログラムの対象になるまでMicrosoftのサブドメインを訪問しないことを推奨している。

FBIの技術部門が、パスワードやパスフレーズを使ったセキュリティ向上のための手法を解説している（ITmedia）。

ここで推奨されているのが、長いパスワードを使うという手法。短く複雑なパスワードは覚えにくいため、それよりも複数の単語から構成される長いパスワードを使う方が良いという。その長さは少なくとも15文字で、その中には辞書に載っているような単語が含まれていても問題ない。また、複数の関連性のない単語を入れるとより良いそうだ。

なお、ここではNIST（米国立標準技術研究所）による安全なパスワードに関する次のような提案も紹介されている。

• 15文字以上のパスワードを必須とする。大文字/小文字、特殊文字の混在を必須にする必要はない
• ネットワークへの不正侵入が発生したという場合を除き、パスワードを強制的に変更させる必要はない
• 辞書に載っているような単語や「安全でないパスワード」の使用は禁止
• 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない
• パスワードの「ヒント」は許可しない

無線LANチップの脆弱性を悪用して暗号通信を傍受する手法が公開された。この手法は「Kr00K」と呼ばれており、さまざまなデバイスが影響を受けるという（PC Watch、ESETの発表、welivesecurity、、ESETによるホワイトペーパー）。

特定の無線LANチップではセッションの切断（ディスアソシエーション）時に、不具合によってその値がすべて0の暗号鍵でデータが送信されてしまうという。BroadcomおよびCypress製の無線LANチップでこの脆弱性が確認されており、ESETの検証では複数のApple製品やGoogle Nexusシリーズ、Samsung　Galaxyシリーズ、Raspberry Pi 3、AmazonのEchoやKindleなどで問題が確認されたとのこと。

すでに主要メーカーはパッチのリリースを行なっているとのことで、メーカーからの告知を確認した上でアップデートやファームウェア更新を行うよう注意喚起が行われている。

米国フロリダ州オーランドのウォルトディズニーワールドで2月27日、アトラクション「ジャングルクルーズ」のボートがゲストを乗せたまま水没するトラブルが発生したそうだ(NBC Newsの記事、 Heavy.comの記事、 Daily Breezeの記事、 IGNの記事)。

ジャングルクルーズはパーク内を流れる総延長1万マイルにおよぶアマゾン川・ナイル川・メコン川の冒険の旅を10分間で体験できるというアトラクション。水没したのは15艘あるボートの1艘だという。ゲストは足元が水に漬かったものの全員無事に救出され、没入感あふれるトラブルを楽しんだようだ。

ジャングルクルーズは世界6か所のディズニーパークのうち上海とパリを除く4か所にあり、東京ディズニーランドでも体験できる。ただし、東京ディズニーランドは政府が新型コロナウイルス感染症対策として多くの人の集まるイベント等を中止・延期・規模縮小するよう要請したことを受け、2月29日から3月15日まで臨時休園することが発表されている。

hylom 曰く、

旅客機内への持込・預入の禁じられた除菌製品「クレベリン」を乗客が旅客機内に持ち込むトラブルが相次いでいるそうだ(NHKニュースの記事)。

二酸化塩素や亜塩素酸ナトリウムを含むものは航空法で航空機内への持ち込みが禁止されており、大幸薬品のクレベリンもこれに該当する。しかし、新型コロナウイルスによる感染症(COVID-19)が拡大する中、乗客が知らずに持ち込むケースが増加しているという。

クレベリンなど二酸化塩素による空間除菌製品に対しては2014年、密閉された空間でのみ効果が確認されているにもかかわらず、人の出入りや空気の流れがある生活空間でも除菌できるように宣伝したとして、消費者庁が景品表示法違反(優良誤認)で措置命令を出している(PDF)。

大幸薬品が2月12日にクレベリンの航空機での扱いに関する注意喚起をしたためか、国内航空各社はクレベリンのみ名指しで持込・預入不可を明記している。多くの航空会社(ANA、 JAL、 ピーチ、 スカイマーク、 AIRDO、 天草、 FDA、 IBEX、 ORC )はCOVID-19への対応に関する告知に記載しているが、ソラシドエアは独立した告知を出している。ちなみに、ピーチ・天草・AIRDO以外は「クレべリン」という表記になっており、探しにくくなっている。

なお、直接肌につけるジェルタイプの除菌剤などは持込・預入ともに可能と記載されているが、これは二酸化塩素を使用しないクレベリンの姉妹品「クレベ＆アンド」を指すとみられる。ただし、クレベ＆アンドのハンドジェルは容量300mlの容器で販売されているため、100ml以下の容器に詰め替えなければ国際線の客室内へ持ち込むことはできない。

Anonymous Coward曰く、

先日、Samsungの端末にインストールされている独自アプリ「Find my Mobile」が、謎の数字の「1」を受信したというニュースがあった。Samsungの公式見解によると、この「謎のプッシュ配信」は、社内でテストを行っていたものが、一部の端末に対して意図せず送信されてしまっただけで問題ないと発表した。ところがこの話には続きがあるという。この現象が起きた端末のユーザーがハッキングされたのではないかと考えてパスワードを変更するためにSamsungのWebサイトにログインした。するとほかの端末所有者の個人情報にアクセスできてしまったという。

現在、Samsungはこのデータ侵害が発生したことを認めている。具体的には電話番号、メール、配送先住所、最近の注文履歴、クレジットカードの最後の4桁を見ることができたという。同社広報担当者によると「技術的なエラーにより、少数のユーザーが別のユーザーの情報にアクセスできるようになってしまった。インシデントに気付いた段階で、当社のWebサイトへのログイン機能を削除して対策を取った」としている。

しかしこれでは先週の説明と矛盾する。「内部テスト」に起因する問題と述べていたにもかかわらず、それとは無関係と思われるデータ侵害が発生しているためだ。Samsungはこのデータ侵害の影響を受けたユーザーに詳細を連絡する予定だとしているものの、現時点では詳細を明らかにしていない（The Register、9TO5google、Slashdot）。

Anonymous Coward曰く、

内閣サイバーセキュリティセンター（NISC）は2月17日、サイバーセキュリティ月間の週替わりコラムで「セキュリティ心理学～だましの心理学～」を公開した。

しかし、このコラムにおいてSMS（ショートメッセージサービス）を利用しただましとして掲載された図が、全国銀行協会のフィッシング詐欺解説サイトに掲載された「銀行を装った偽のSMS例」の図と酷似している。また、全国銀行協会の図ではSMSの送信元が「marumarubank」と例示されているが、コラム内の図では「○○bank.co.jp」と改変され、コラム本文で「図に示すようにSMSは送信元も明確でなく、だまされ易いのです。 」と実際の攻撃のように紹介されており、捏造の疑いも持たれる。

なお、コラムの副題である「だましの心理学」は、同名の書籍が2007年に別の著者によって刊行されており、コラム内で引用もない。

このコラムは情報セキュリティ大学院大学名誉教授の内田勝也氏によって執筆されたものである。だましの危険性について普及啓発するコラムでだましを行ったとなれば、セキュリティ専門家としての資質に疑念を抱かざるを得ない。

AppleのSafariブラウザで、HTTPSで使われるサーバー証明書の有効期限を最大13か月間（398日間）に制限する変更が行われるとの話が出ている（ITmedia、digicert、Apple Magazine、9to5Mac）。セキュリティ強化が目的。

サーバー証明書の有効期限はかつては39か月間だったが、2018年3月からは業界内の自主規制で最大825日間（約27か月間）に短縮されている。一方でAppleやMicrosoft、Googleなどは有効期限をより短くしたい意向を示していた。

Anonymous Coward曰く、

米当局曰く、TwitterやFacebook、InstagramといったSNS上で、ロシア関係者による偽アカウントが新型コロナウイルスに関する偽情報を組織的に拡散しているという（AFP、時事通信、JBPress）。

偽情報としては「中国との経済戦争を遂行するための米国の試み」、「米中央情報局（CIA）が製造した生物兵器」、あるいは「欧米が主導する反中活動の一環」などという感じらしい。

Googleのセキュリティ調査チーム「Project Zero」の研究者が、セキュリティの観点からAndroid端末メーカーに対し勝手にAndroidのLinuxカーネルを変更すべきではないと主張している（Project Zeroのブログ、ZDNet Japan）。

こういったカーネルの改変は、独自のハードウェアをサポートしたり、特権が必要で本来利用できないカーネルの機能を利用するために行われている。しかし、それによって脆弱性が生まれることが頻繁にあるそうだ。たとえばSamsungが2020年2月にリリースしたアップデートで修正された脆弱性は、Samsungが独自に実装した「PROCA」というプロセス認証機構が原因となっていたという。Project Zeroのブログでは、実際にどのような問題が発生していたのかも詳細に説明されている。

このような独自実装は、カーネルのアップデートに追従することを難しくするほか、新たな攻撃ルートとなる可能性があり、SamsungのPROCAについても「不要なものであり、削除してもまったく損はない」うえ、脆弱性を有無だけのものだと指摘。また、特定のデバイスに対応させるための修正を行う場合にはアップストリームでの対応か、もしくはユーザースペースでの処理で対応すべきとしている。

Gitではコミットに対し「コミットハッシュ」と呼ばれるIDが付与されるが、このIDの先頭を「ゾロ目の数字」など特定の文字の並びにするという手法が開発された（Qiitaへの投稿：「お前らのコミットは汚い」）。

コミットハッシュは修正内容とコミット者の情報などをハッシュ関数に与えて出力したもの。開発された手法は、ハッシュ値の先頭が指定した文字と一致するまでコミット時の「Committer」情報を書き換えながらハッシュ値を計算するというもの。コミットハッシュ全体を指定した文字にするには最大で16の40乗ほどの試行が必要となるが、7桁であれば最大で16の7乗（2億6843万5456）回の試行で足りるとのことで、現実的に可能であることからこの手法を思いついたという。

The Linux FoundationがLaboratory for Innovation Science at Harvardと共同で実施したフリー・オープンソースソフトウェア(FOSS)のセキュリティに関する調査報告書の暫定版「Preliminary Report and Census II of Open Source Software」を公開している(報告書: PDF、 The Registerの記事)。

The Linux Foundationは2014年、Heartbleed脆弱性の問題を受けてオープンソースプロジェクトを援助するCore Infrastructure Initiative(CII)を設立。2015年には調査プロジェクト(Census I)を実施して報告書を公開しており、今回のCensus IIはその第2弾となる。冒頭で「典型的なアプリケーションの80％～90%は(オープンソースの)コンポーネントでできている」というSonatypeによる2016年の報告書(PDF)からの引用を掲げている通り、セキュリティ上の問題点特定に活用するため、どのようなFOSSパッケージが幅広く使われているのかを特定することが主目的となっている。

報告書では付録として最も広く使われているFOSSパッケージ(JavaScript: 10、JavaScript以外: 10)がまとめられている。JavaScriptとそれ以外を分けたのは、使用したデータソースでJavaScriptが多くを占めており、どのようなランキングを作成しても使用したJavaScriptが上位を独占する状態になってしまうからだという。ただし、JavaScript以外のパッケージでも同じ問題があり、すべてがJavaのパッケージとなっている。

Microsoftは20日、企業向けエンドポイントセキュリティソリューションMicrosoft Defender Advanced Threat Protection(ATP)のLinux版パブリックプレビュー開始をアナウンスするとともに、Android/iOS向けのセキュリティソリューションも開発していることを明らかにした(Microsoft Securityのブログ記事、 Bleeping Computerの記事、 Neowinの記事、 On MSFTの記事)。

Microsoft Defender ATPは以前Windows Defender ATPと呼ばれていたが、昨年Mac向けにも提供開始したのに合わせて改称され、Ignite 2019ではLinuxサーバー向けの提供計画が明らかにされていた。今回のパブリックプレビューでは6つのLinuxサーバーディストリビューション(RHEL 7+ / CentOS Linux 7+ / Ubuntu 16 LTSおよび以降のLTS / SLES 12+ / Debian 9+/ Oracle EL 7)に対応するとMicrosoft Defender ATPブログでアナウンスされたようだが、該当記事は見当たらない。モバイル向けのソリューションについては、24日から米サンフランシスコで開催されるRSA Conference(RSAC) 2020にて何らかの披露を行う計画のようだ。

なお、RSAC 2020では新型コロナウイルス(SARS-CoV-2)の影響でIBMやAT&T Cybersecurity、Verizonがスポンサーとしての参加を取りやめるなど、米国7社・中国6社・カナダ1社の計14社が21日までにスポンサーまたは出展者としての参加取りやめを表明している。中国の6社はいずれも渡航制限により参加できなくなったという。一方、ロンドン・ブリード市長はサンフランシスコでのCOVID-19の感染リスクは低いと説明する書状をRSAC参加者あてに送っており、会場となるモスコーネセンターではコロナウイルスに効果のある消毒剤を清掃に使用するなどの対策も取られるとのことだ。