秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの最弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。

Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。

ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。

記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。

8月末より、国内の複数サイトに向けDDoS攻撃が行われ、サイトが閲覧できないなどのトラブルが発生した（piyolog）。特に家電量販店大手のヨドバシカメラが攻撃された件についてはIT関連メディアだけでなく一般メディアでも報じられている（産経ニュース、ASCII.jp）。なお、現在では多くのサイトが復旧している。

スラドも9月1日の21日ごろよりDDoS攻撃と思われる大量のトラフィックにより閲覧がしにくい状況となっていた。スラドにおける攻撃および対処に関するタイムラインは以下のとおり。

9/1 21:00ごろ

srad.jpおよびosdn.jpへのアクセスが行えなくなっていることを確認

9/1 21:50ごろ

srad.jpおよびosdn.jpで利用しているコロケーションサービスの提供元であるIIJから弊社（OSDN）の担当者に「大量のトラフィックが来て回線設備に問題が発生したため、上位で一時的にトラフィックを止めている」という連絡が入る。この時点では弊社ネットワーク向けのトラフィックがすべて止まった状態になり、巻き添えによってosdn.jpもアクセス不能になる。弊社内でのログ解析によりDDoS攻撃らしき痕跡は確認されたものの、トラフィックは上位で止められているため弊社では対応できず

9/1 23:40ごろ

攻撃が収束したため、IIJによるフィルタがいったん解除される

9/2 0:00ごろ

再度攻撃が行われ、IIJによるフィルタが再度適用される。フィルタが適用される前のネットワーク状況を調査したところ、srad.jpに割り当てられている202.221.179.13に対し、約4.7万のユニークIPアドレスからのDNSの戻りクエリが殺到していることが判明、DNS Ampによる攻撃の可能性が高いと推測される。また、IIJ網内からはsrad.jpにアクセスできることから、IIJ網とインターネットとの境界でトラフィックのフィルタリングを行っていると推測

個人用ノートPCのWebカメラをテープでふさいでいる米連邦捜査局(FBI)局長のジェームズ・コミー氏が、自分と同じように誰もがWebカメラをテープでふさいでプライバシーを守るべきとの考えを示している(The Hillの記事、 The Next Webの記事、 Ars Technicaの記事、 Neowinの記事)。

4月にコミー氏は、個人用ノートPCのWebカメラをテープでふさいでいることを明らかにした。しかし、IT企業にバックドア設置を求めるFBI局長でも自分のプライバシーは心配していることを皮肉に感じた人も多く、ずいぶんからかわれたらしい。

第10回目となる国家安全保障に関するカンファレンス「National Security Division at 10」で基調講演をしたコミー氏は、Webカメラのテープについて質問される。これに対しコミー氏は、FBIの局長が個人的なセキュリティを気にするのはおかしなことではなく、人々は自身の安全やセキュリティに責任を持つべきだと答えている。

コミー氏によると、Webカメラをテープでふさぐのは、車をロックしたり、ドアに鍵をかけたりするのと同様、誰もがすべき常識ある対応の一つだという。また、政府機関で使用するPCではすべてWebカメラがふさがれているとし、無断でのぞき見されないようにすることは良いことだとも述べている。

脆弱性問題から使用が非推奨となっているアーカイバ（圧縮ソフト）のLHA（ファイル拡張子は.LZH）だが、国土交通省の入札説明書等の電子的提供ではLHAがまだ使われている模様（「黒翼猫のコンピュータ日記 2nd Edition」ブログ）。

また、それ以外でもLZH形式の圧縮ファイルで入札関連の情報を公開している組織が複数存在するようだ。

オランダでは悪質なドローンを捕獲するため、警察がハクトウワシを配備したそうだ(ニュースリリース、The Next Webの記事)。

オランダ警察は1年ほど前にドローン対策としてワシの利用を検討しており、検証が成功したためハクトウワシを購入して訓練を行っていたという。ワシはドローンを餌とみなして空中で捕らえ、群衆の頭上にドローンを落とすことなどがないよう、指示された場所に運ぶように訓練されている。9日にはドローンによる要人の攻撃を想定したシナリオでデモンストレーションが行われたそうだ。

迅速な対応を可能とするため、ワシは国内各地に配備される。現在訓練中の若鳥もおり、プロペラから爪を保護するためのプロテクターの開発も行われているという。このような目的で猛禽類を利用するのはオランダ警察が世界で初めてとのことだ。

Windows版Firefoxの今後のバージョンでは、企業の環境でインストールされたルート証明書の扱いが変更されるそうだ(Mike's Musingsの記事、 Softpediaの記事)。

Windows版のFirefoxはWindowsの証明書ストアを使用せず、独自の証明書ストアを使用している。そのため、企業のシステム管理者がプライベートネットワークやアプリケーションで使用するルート証明書をWindowsにインストールした場合、Firefoxからはアクセスできなかった。

この問題を解決するため、Firefoxの今後のバージョンではWindowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。また、これによりWindows 8.1のMicrosoft Family Safety機能もFirefoxで使用可能となる。

現在この機能はベータ版のFirefox 49でテストが行われている。オプションを有効にするには、about:configで「security.enterprise_roots.enabled」をtrueにセットすればいい。

あるAnonymous Coward曰く、

総務省が「無線LANビジネスガイドライン」の意見募集結果と、意見募集などを踏まえた第2版を公表した。このガイドラインは、公衆無線LANサービスを提供する事業者が円滑に事業展開し、利用者が安心・安全なサービスを享受できる環境づくりに資することを目的としている。

総務省は、訪日外国人が一度の利用開始手続で複数の事業者の無料公衆無線LANサービスに接続できるよう実験を行っている（「無線LANビジネスガイドライン第2版」PDF 26ページ）。ところが、その認証仕様の詳細はセキュリティの観点から公表しないという。

これに対し、その方針は不適切ではないかという意見が出たが、提出意見を踏まえた案の修正は無かった（「無線LANビジネスガイドライン」の改正案に対する意見募集の結果と総務省の考え方」PDF 5ページ）。

headless 曰く、

インターネット史上最大規模というDDoS攻撃を受けてオフラインになっていたジャーナリストBrian Krebs氏のWebサイト「Krebs on Security」が25日、DDoS緩和サービスをAkamaiからGoogleのProject Shieldに変更して復活した（Krebs on Securityの記事1、記事2）。

DDoS攻撃はKrebs on SecurityがDDoSサービス「vDos」について報じた直後から始まっており、9月20日には620Gbpsに到達。Akamaiが過去に防いだ最大のDDoS攻撃のトラフィックは363Gbpsであり、今回の攻撃はその2倍近いものだったという。また、363Gbpsの攻撃では乗っ取ったシステムで構築したボットネットからDNSリフレクション攻撃やDNSアンプ攻撃と呼ばれる手法を用いてトラフィックを増幅していたのに対し、今回は非常に多くのIoTデバイスを乗っ取って構築したボットネットから直接攻撃を受けたとみられるとのこと。

DDoS攻撃のトラフィックには逮捕されたvDosの運営者のハンドルネーム「Applej4ck」を含む「freeapplej4ck」という文字列が含まれており、Krebs氏は攻撃がvDosに関連したものとみているようだ。この攻撃をAkamaiは防いでいたが、これ以上攻撃が続くと数百万ドルの損害が出るとしてサイトはオフラインとなった。Krebs氏はAkamaiから無料でサービスの提供を受けていたため、この判断に異論はなく、代替となるDDoS緩和サービスプロバイダーを探すことになる。

しかし、援助を申し出てくれたプロバイダーは攻撃に対抗するのに十分な力がなく、Akamaiと同レベルの保護を提供可能な1社は、最初の2週間のみ無料でサービスを提供するが、その後は年間15万ドル～20万ドルかかると言われたとのこと。これは独立したジャーナリストが支払える金額ではなく、非営利団体の設立やクラウドファンディングでの資金調達も考えたそうだ。

最終的にKrebs氏が利用を決めたProject Shieldは、Googleのインフラを利用して独立ニュースサイトをDDoS攻撃から保護し、言論の自由を守ることを目的にしたサービスだ。レイヤー3/4およびレイヤー7攻撃を含むマルチレイヤーでの防御システムを備え、無制限に無料で利用できる。

Krebs氏はEFFの共同創設者であるJohn Gilmore氏の「インターネットは検閲をダメージとみなし、それを迂回する」という言葉を引用し、現在では「実際には検閲がインターネットを迂回できる」と述べている。かつて権力者のものであった検閲だが、現在のインターネットでは誰もがDDoS攻撃でWebサイトをオフラインに追い込むことが可能となった。Krebs氏はこのような「検閲の民主化」は歓迎できないとも述べている。

福島第二原発で、不審者の侵入を知らせる監視装置の一部機能が無効化されていたことが明らかになった（朝日新聞、河北新報、産経ニュース）。

調査によると、伸びた草木にセンサーが反応する事例が相次いでいたために警報音を切る運用が状態化していたという。また、反応があった地点の映像を大画面に表示する機能も無効化されていたとのこと。

さらに、『警備責任者は周辺環境の改善を訴えたが、上司が「手続きが必要になる。我慢してくれ」などと退けた』という話もあるようだ。

原子力規制委員会はこれに対し、人の侵入を確認するのが困難な状態になっていたとし、「核物質防護規定違反」として厳重注意を行うとともに、再発防止策の徹底を申し入れている。

米Yahoo!が22日、同社サービスの利用者5億人超の個人情報が流出していたことを発表した（読売新聞、朝日新聞、TechCrunch）。

流出したのは名前および電話番号、生年月日、メールアドレス、暗号化されたパスワード、本人確認のために利用者が設定した質問と答えなど。銀行口座やクレジットカードなどについては流出していないという。

5億件以上の個人情報流出というのは最大規模で、政府の支援を受けたサイバー攻撃の可能性もあるという。また、いつ流出が確認されたかは明らかにされていない（ロイター）。Yahoo!は米Verizonとの間で事業売却に合意しており、これに影響が出る可能性もある。さらに、ユーザーらがYahoo!に対し、顧客データの保護を怠ったとして提訴する動きも相次いでいる（ブルームバーグ）。