イスラエル・ベングリオン大学のCyber Security Research Centerでは、PCの冷却ファンが発するノイズを利用してネットワークから物理的に隔離されたエアギャップ環境のPCからデータを盗み出す「Fansmitter」を実証を行っている(論文アブストラクト、 Softpediaの記事、 Hackadayの記事)。

エアギャップ環境のPCからデータを盗むサイドチャネル攻撃の技術としては、電磁波を使用するものが最も古くから研究されており、光や熱、音声を使用する方法も研究されている。音声を使用する方法は可聴域外の音に変調をかけてデータを乗せ、近くに置いた携帯電話などで収音・復調して攻撃者のサーバーに転送するといったものだ。そのため、エアギャップ環境ではオーディオハードウェアを無効化したり、スピーカーを取り外して使用することもある。ソフトウェアでコントロール可能な冷却ファンを利用するFansmitterの場合、デスクトップPCの多くで利用できる可能性が高い。

変調方式はASK変調とFSK変調を用い、冷却ファンの速度を2段階に切り替えてデータを送信する。FSKはASKよりも高速で環境ノイズに強い一方、ASKはファンの違いに強いため、事前にファンの種類がわからない場合に使用するとのこと。7ブレードの冷却ファンの場合、ブレードによる風切り音の周波数(BPF)は1,000 RPMで116 Hz、1,600 RPMで187 Hzとなる。BPFを上げると音量も増加するため気付かれやすくなる一方、低BPFでは収音距離が短くなる。このほか、気付かれにくくするための工夫として、周囲に人がいない時間を選ぶことや、2段階のBPFで近い周波数を選ぶことが挙げられている。

結果としては1,000～1,600 RPMで1分間に3ビット、2,000～2,500 RPMで1分間に10ビット、4,000～4,250 RPMで1分間に15ビットと非常に遅い。ビットレートはファン速度の遷移時間の影響を受けるため、簡単に速度を上げることはできないようだ。

米NIST（国立標準技術研究所）が、SMSを用いた二要素認証は安全ではないとして非推奨とする方針を出したという（TechCrunch）。

SMSは電話番号だけで送信でき、すでに機械的にSMSを自動送信する手段が普及しているため、手軽な二要所認証手段として使用されている。しかし、通信内容の盗み見や傍受、改ざんなどの可能性があるなどとして、NISTのガイドラインではSMSを使った二要素認証について非推奨とし、さらに今後は不許可とする方針だそうだ。

あるAnonymous Coward 曰く、

総務省情報流通行政局情報流通振興課情報セキュリティ対策室が「情報セキュリティに関する施策」に関する非常勤職員の募集を開始した。勤務時間は10時00分から16時45分まで（土日休日を除く）、休憩時間60分で賃金は日給8000円とのこと。

職務内容は「高度な専門的知識を必要とする以下の事務に従事させる」とし、「情報セキュリティに関する施策」とそれに関する「周知広報に関する業務」「その他、関連業務」となっており、募集対象者は「情報通信ネットワークの構築・運用に関する専門的知識、実務経験を有する」などとしている。

これ応募したい人いる？

北朝鮮の国営平壌放送が、6月24日の未明に「2桁か3桁のページ数」と「1桁か2桁の番号」を次々と読み上げるラジオ放送を3分半にわたり行ったという。また、7月15日にも同様の放送を12分にわたって行ったそうだ（NHK）。

放送された数字は何らかの情報を暗号化したものと推測されており、「暗号放送」「乱数放送」と呼ばれている。工作員はこの数字を乱数表を使って解読することで、その内容を知ることができるという。しかし、近年北朝鮮はインターネットを使って工作員とやり取りしていると言われており、今回の暗号放送は単なる「心理戦」の一環だとの指摘もある。

あるAnonymous Coward曰く、

JPCERT/CCが、CGI等を利用するWebサーバの脆弱性（CVE-2016-5385等）に関する注意喚起を行っている。

UNIX/Linux系環境で動作するHTTPクライアントの多くは、通信を行う際に「HTTP_PROXY」環境変数を参照し、もしこの環境変数が設定されていればここで指定されているホストをプロクシとして使用するという動作を行う。このHTTP_PROXY環境は本来はサーバーやアプリケーションを実行する側が設定するものであるが、HTTPリクエストヘッダを利用してこれを外部から任意の値に書き換えることができるという（INTERNET Watch、ITmedia、JPCERT/CC）。

kb.cert.orgの説明が分かりやすいが、CGIの動作について記述したRFC3875の4.1.18.では、HTTPヘッダの形でサーバーに渡されたメタ変数について、その変数名を大文字にし、「-」を「_」に置換し、先頭に「HTTP_」を付ける、というルールが明記されている。もしサーバーに対して送信されるリクエストヘッダ内に「proxy:」というヘッダが存在した場合、このルールに従うと「HTTP_PROXY」という変数名に送信されたヘッダの内容が格納されることになる。CGIの多くではこのような変数を環境変数に格納するため、結果としてHTTP_PROXY環境変数が外部から送信された値に書き換えられてしまうことになる。

また、同様にして「HTTP_」で始まるHTTP_PROXY以外の環境変数についても外部から書き換えることが可能になり、これを悪用することで攻撃者は中間者攻撃やサーバーに対し意図しない挙動を実行させることが可能になる可能性がある。

現時点ではApache HTTP ServerやPHP、GO、Pythonなど多くのソフトウェアが影響を受けるとのこと。対策としてはリクエストヘッダ内の「proxy:」ヘッダを無視するよう設定する、HTTP_PROXYや「HTTP_」で始まる環境変数を使用しない、などが挙げられている。

「Google デバイスがハッキングされた可能性があります」などとの画面を表示してセキュリティソフトのようなものをインストールさせようとする広告は以前からあったが、このような広告を使ってインストールを行わせている「GO Security」というAndroidアプリがGoogle Playのレビューでは大好評となっている。

GO Securityについては、6月10日に「情報科学屋さんを目指す人のメモ」ブログにて、「Google デバイスがハッキングされた可能性があります」という旨のメッセージを出す広告を表示していることが指摘されている。この広告画面は、実際にセキュリティ的な問題がなくとも表示されるようだ。しかしGoogle PlayのGO Securityページを見ると、8万件近くの「★5」レビューが付いており、「助かった」というコメントも多数寄せられている。

Go Securityは無料でインストールできるためインストールするだけでは特に金銭的損害はなく、セキュリティスキャン機能も動いているように見えるが、実際にどの程度の効果があるかどうかは不明だ。

Avast Softwareは7日、AVG Technologiesを買収することで合意に達したことを発表した(プレスリリース、 The Next Webの記事、 V3.co.ukの記事、 VentureBeatの記事)。

AvastはAVGの発行済み普通株すべてについて、現金での買収を株主に提案する。買収額は1株当たり25ドル。7月6日の終値に対して33％、過去6か月の平均価格に対して32%のプレミアムが加算されており、総額およそ13億ドルと見込まれる。

AvastとAVGはともにチェコ共和国で設立(設立当時はチェコスロバキア)されたセキュリティソフトウェア企業であり、文化やミッションには共通性がある。AvastのユーザーにAVGのユーザーが加わることで、Avastのエンドポイントは合計4億件、うちモバイルデバイス1億6千万件まで増加する。規模が大きくなることで、Avastは技術的により進んだ個人向けセキュリティ/プライバシー製品を開発できるようになるとのことだ。

利根川の堤防で狐の巣穴が次々と見つかっているそうだ。大雨の際に堤防が決壊する原因になる危険性もあるという（朝日新聞、茨城新聞）。

茨城県古河市の利根川河川敷堤防では巣穴3か所が発見され、うち2か所は少なくとも3メートル以上の奥行きがあったという。そのため、河川事務所は埋め戻しを進めるそうだ。

headless 曰く、

Windows 10のディスククリーンアップ自動実行機能に対するDLLハイジャックによりUACをバイパスする方法を、セキュリティ研究家のMatt Nelson氏とMatt Graeber氏が発見したそうだ（Nelson氏のブログ記事、Softpedia）。

DLLハイジャックでUACをバイパスする方法の多くは、ファイルの置き換えなどで特権が必要となる。しかし、ディスククリーンアップ自動実行機能を利用する方法では、標準ユーザーの権限でファイルを置き換え可能だという。

ディスククリーンアップの自動実行はタスクスケジューラの「Microsoft\Windows\DiskCleanup」に「SilentCleanup」として登録されており、最上位の特権で実行される。タスクが起動するプログラムは「cleanmgr.exe」だが、実行時に「DismHost.exe」および関連するDLLを「%TEMP%\」フォルダーにコピーし、最上位の特権でDismHost.exeを起動する。

しかし、コピー先フォルダーの内容を書き換えるのに特権は必要ない。DismHost.exeはフォルダー内のDLLを特定の順番で読み込んでいくため、コピー先フォルダーの生成をWMIイベントで監視し、DLLを置き換えることでDLLハイジャックが可能となる。調査の結果、「LogProvider.dll」が最後に読み込まれる（時間に余裕がある）ことが判明しており、このファイルをターゲットとしたPoCがPowerShellスクリプトで作られている。このスクリプトはGitHubで入手可能だ。なお、「標準」ユーザーアカウントではファイルのコピーが実行されず、タスクも最上位の特権で実行されることはないそうだ。Windows 10以外のWindowsバージョンにも適用されるのかどうかについては言及されていない。

この手法については7月20日にMicrosoftに報告しているが、MicrosoftではUACをセキュリティの境界とみなしていないため、セキュリティ脆弱性ではないとの回答があったとのこと。そのため、Nelson氏は緩和策としてタスクを無効化するか、「最上位の特権で実行する」オプションを無効にすることを推奨している。

データの復元手段を持っていないのに身代金を要求する新種のランサムウェア「Ranscam」の詳細について、Talosが報告している(Cisco Talos Blogの記事、 Ars Technicaの記事、 The Registerの記事)。

RanscamはWindows上で動作し、ユーザーのファイルを暗号化するのではなく削除してしまう。削除されるのは「ドキュメント」「ダウンロード」「ピクチャ」「ミュージック」といったフォルダー内のファイルとサブフォルダーのほか、「システムの復元」で使用する実行ファイルやシャドウコピーなども削除し、ユーザーによる復元を困難にする。また、セーフモードでの起動に関連するレジストリキーの削除やタスクマネージャーを起動できないようにする設定なども行われるという。

ファイルは既に削除されているにもかかわらず、Ranscamは「隠しパーティションに移動して暗号化された」などと表示し、復元のためにビットコイン(0.2 BTC)の支払いを要求する。しかし、ビットコインを支払って確認用のボタンをクリックしても実際の確認処理は行われず、「支払いは確認されなかった」といったメッセージが表示されるとのこと。そもそもRanscamの作者はファイルの復元手段を持っていないのだが、Talosがビットコインの支払いができなかったと連絡すると、支払い手順を電子メールで丁寧に説明してくれたそうだ。

なお、Talosが入手したすべてのサンプルで同じビットコインワレットのアドレスが使われており、トランザクションを確認したところ、実行ファイルの署名の発行日以降に被害者が支払いを行った形跡はなかったという。また、現段階ではRanscamが広く拡散している様子はないとのこと。

TalosではRanscamのようなランサムウェアの出現により、身代金を支払えばランサムウェアの作者が正直にファイルを復元してくれる段階は過ぎたとしている。Ranscamのようなランサムウェアでは暗号化処理のように高度な技術を必要としないため、手軽に収入を得ようとする亜種が今後増加する可能性もある。そのため、完全に復元可能なオフラインバックアップを用意し、ランサムウェア作者が収入を得られないようにする必要があると述べている。