Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事、 TALOS-2017-0306、 The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。

Abbott(St. Jude Medical)の植え込み型心臓ペースメーカーに外部からの不正アクセスが可能な脆弱性が発見されたとして、米食品医薬品局(FDA)がファームウェア更新のためのリコールを発表した(FDAの発表、 Abbottのプレスリリース、 The Vergeの記事、 Consumeristの記事)。

この脆弱性を悪用すると、市販の機器を用いて患者のペースメーカーに不正アクセスが可能になる。これにより、バッテリー消費を増加させたり、不適切なペーシングを実行させたりといった攻撃が実行される可能性がある。

対象となるのは無線テレメトリー機能を搭載したSt. Jude Medicalブランドの植え込み型心臓ペースメーカーおよび心臓再同期療法ペースメーカー(CRT-P)で、米国では465,000台が使われているという。なお、植え込み型心臓除細動器(ICD)および心臓再同期療法ICD(CRT-D)は対象外となる。

ファームウェアの更新は医療機関で行う必要があり、所要時間は3分ほど。この間ペースメーカーはバックアップモードで動作(67BPM)し、生命維持機能は引き続き利用できる。更新が完了すると以前の設定で動作が再開される。更新が失敗する可能性は非常に低く、文鎮化の確率は0.003%とのことだ。

キューバで昨年末から今年春にかけて米国の大使館職員を狙い、健康被害を与える謎の「攻撃」が行われていたそうだ(米国務省報道官ブリーフィング — 9月14日、 APの記事、 The Vergeの記事、 Ars Technicaの記事)。

米国務省が最初にこの問題を認めたのは8月上旬。8月下旬の段階で米職員の被害者は少なくとも16人と説明していた。しかし、14日のブリーフィングでは21人に増加している。

米大使館書記官が「Health Attack」と呼ぶ攻撃や被害の状況について国務省は公式な見解を示していないが、耳鳴りや難聴から軽い脳外傷、神経中枢の傷害まで幅広い被害が出ていると報じられている。APの記事によれば、室内のきわめて狭い範囲で大音量の騒音を聞いた被害者や、振動を感じた被害者もいるとのこと。

被害は職員の自宅のほか、少なくとも1件はホテルで発生しているという。カナダ大使館職員の家族にも被害者が出ているそうだ。音響兵器のようなものが使われたとも推測されるが、装置は大掛かりで隠すのは困難だ。APの記事では超強力な超音波発生装置を並べたプールに頭を突っ込みでもしない限り、脳が損傷を受けることはないとする音響心理学専門家の意見も紹介している。

あるAnonymous Coward 曰く、

JPCERTからの注意喚起が出ているが、さまざまなOSで使われているBluetoothの実装に脆弱性が判明した。この脆弱性は「BlueBorne」と呼ばれており、この脆弱性を悪用することで外部から端末を乗っ取られる可能性もあるという（CNET Japan、ITmedia、TechCrunch、PC Watch）。

影響を受けるOSはLinux Kernel 3.3-rc1以降、BlueZのすべてのバージョン、iOS 9.3.5以前、tvOS 7.2.2以前、9月のセキュリティ更新を適用していないWindow Vista以降、9月のセキュリティパッチを適用していないAndroidと非常に幅広い。物理的な接続なしに攻撃が行えるため、ネットワーク的に隔離されている環境でも攻撃を受ける可能性がある。

Kaspersky Labが特許侵害で同社を訴えたパテントトロールWetro Lanに対し、訴訟を取り下げたいなら金を支払えと逆に要求。5千ドルを支払わせたそうだ(Nota Beneの記事、 Ars Technicaの記事、 The Registerの記事)。

問題の特許US Patent 6,795,918(918特許)は受信したデータパケットから送信元や宛先、プロトコル情報を抽出してユーザーの変更不可能な判定ブロックを生成し、フィルタリングに使用するというもの。これは出願された2000年には既に広く使われていたネットワークファイアーウォールの仕組みそのもので、EFFが2015年6月にStupid Patent of the Monthに選んでいる。918特許は発明者が維持費の支払いをやめ、2012年9月に失効しているのだが、2015年に設立されたばかりのWetro Lanが買収。特許侵害に対する補償を6年前までさかのぼって請求できるという仕組みを利用し、ファイアーウォール技術を使用する企業を訴え始めたそうだ。多くの企業は訴訟になるのを嫌ってWetro Lanに賠償金を支払っていたらしい。

hylom 曰く、

以前、人工知能を搭載したラブドールが開発されているという話があったが、こうした人工知能搭載ラブドールがハッキングされ、ユーザーを襲う危険性が懸念されている（DailyStar、カラパイア）。

サイバーセキュリティを専門とするオーストラリア・Deakin UniversityのNick Patterson教授によると、人間の労働者が人間のようなロボットに置き換えられる時代はすぐ来るという。それらには携帯電話やタブレット、PCのようにOSが搭載され、またこれらがインターネットに接続されることは容易に想定できる。そのときに問題となるのが、サイバー攻撃の標的となることだという。そして、「セックスロボット」の登場や、それがハッキングされる可能性も十分に考えられるという。

リアルな人間のような動きが可能なロボットがもし実現したとすると、それらは人間に危害を加える能力を十分に備えている。セックスロボットのユーザーは無防備な状態でロボットと対面する可能性が高いと思われ、そのような状態でロボットがハッカーの制御下になった場合、危険性は高い。

AdobeのProduct Security Incident Response Team(PSIRT)がPGP公開鍵とともに、誤ってPGP秘密鍵をブログへ投稿するトラブルが発生していたそうだ(Juho Nurminen氏のツイート、 Ars Technicaの記事、 The Registerの記事)。

PGP鍵はブラウザー拡張機能「Mailvelope」を使用してPSIRTのWebメールアカウントからエクスポートしたものとみられる。Mailvelopeのエクスポート画面では「Public」「Private」「All」という選択肢があり、ここで「All」を選択してしまったようだ。発見者のJuho Nurminen氏は、このPGP鍵がPSIRTの電子メールアドレスに関連付けられていたことも確認している。

なお、その後ブログ記事は更新され、現在はGPGToolsから直接出力した新しいPGP公開鍵のみが掲載されている。

あるAnonymous Coward曰く、

GoogleがSymantecによって発行された証明書を無効化する計画を発表した（Google Security Blog、GIGAZINE、DigiCert、Slashdot）。この問題は、Symantecやその傘下の認証局が適切でないプロセスによって大量にSSL証明書を発行していたというもの（過去記事）。

まず、2018年4月17日前後に安定版がリリースされる予定のChrome 66以降では2016年6月1日以前にSymantecによって発行された証明書が無効化され、2018年10月23日前後に安定版がリリースされる予定のChrome 70では、Symantecが発行したすべての証明書は信頼できないものとして取り扱われる。

また、今年8月、Symantecは認証関連の事業をDigiCertに売却することを発表しているが（過去記事）、DigiCertのシステムに移管される2017年12月1日以降は、Symantecから発行された証明書はChromeでは信頼されないものとして扱われ、この証明書を使用しているサイトの閲覧時などに警告やエラーが表示されるとのこと。

あるAnonymous Coward 曰く、

ARM系プロセッサに搭載されている電力管理機構「DVFS」の脆弱性を利用することで、CPUに備えられているセキュリティ機構を突破できるという報告が出ている（the morning paper、Usenix、Slashdot）。

DVFSは、システムの状況に応じて動作クロックを変えたり、回路ブロックごとに電源のON/OFFや電源電圧を動的に変動させることで消費電力を削減するというもの（マイナビニュース）。今回報告されている脆弱性は、プログラム側で特定のパターンの負荷を与えることでDVFSによる回路ブロックの電圧変動を発生させ、それによってプロセッサの回路に意図しない動作を起こさせるというもの。これによって別のスレッドの実行結果に干渉することができるという。

報告では、ARM系プロセッサに使われているセキュリティ機構の「TrustZone」（PC Watchの解説記事）で保護された領域から秘密鍵を抽出、Trustzoneに自己署名コードをロードして権限昇格ができるとしている。ARM Trustzoneだけでなく、Intel SGX（ソフトウェア保護拡張）でも同様の問題があるようだ。

taraiok曰く、

周辺機器や産業機器をインターネットに接続するのは簡単だ。しかし、こうしたIoTデバイスが引き起こす問題に誰が責任を負うのか。デンマークの研究者は、「The Internet of Hackable Things（PDF）」と題された調査書を公開した。この調査書ではIoT機器の抱えるユーザーインタフェースのクロスサイトスクリプティングや一部証明書の脆弱性、パスワード解析ソフトで70％の機器がパスワードを簡単に解析されてしまう、多くの機器が暗号化されていないネットワークを使用していることなどを指摘している（NETWORKWORLD、Slashdot）。

デバイスメーカー側にも責任の一端があると指摘する。開発段階からセキュリティのことを考慮している組織は48％。デバイスのリモートアップデートを提供している企業は49％。IoTのセキュリティ専門家を雇う企業は20％ほどしかいない。またセキュリティ研究者にデバイスの脆弱性を特定する企業は35％しかいない。

著者らは、IoTのセキュリティ問題は技術的なものよりも文化的な側面が大きいとし、人間の理解とアルゴリズムを統合することが解決策に繋がるとしている。セキュリティを一つの課題として扱うのではなく、IoT製品の開発ライフサイクル全体を通してセキュリティを考慮することが必要だとしている。