あるAnonymous Coward曰く、

会員制ファンクラブなどで、ログイン画面でわざと間違ったIDやパスワードを入力することで他人のアカウントを一時的にロックさせ、他人のチケット申込みを妨害するという攻撃方法があるそうだ（INTERNET Watch、Togetterまとめ）。

パスワードアタックは不正アクセス行為の禁止等に関する法律に違反する行為だと思っていたのだが、法律の「不正アクセス行為」の定義では「当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」とあり、今回のような「アタックに成功しない」ものは「不正アクセス行為」にはならないのかもしれない。

Togetterまとめでは、自分ではログインを行っていないのにアカウントをロックされた/パスワードの変更を求められたという報告もまとめられている。

あるAnonymous Coward曰く、

昨年1月に「Spectre」などと呼ばれるCPUの脆弱性の存在が報じられた。その後、これらと同様の手法を使った攻撃手法が次々と見つかっているが、Googleの研究者らが2月15日付けで発表した論文によると、これらの脆弱性は修正が難しいという（I Programmer）。

論文では、Spectre脆弱性は投機実行機能を持つすべてのCPUに存在する、プロセス分離という概念は滅びた、個々のソフトウェア実装どころかプログラミング言語でもハードウェアでも解決できない、という事実を改めて明らかにしたうえで、まずサイドチャネル攻撃を模擬して分析できるCPUの状態モデルを作り、その状態モデルを操作できるようにするところから始めないと、脆弱性の解消どころか研究すら手が付けられないとしている。

あるAnonymous Coward曰く、

昨今人気のいわゆるスマート電球を分解調査したところ、内部ストレージには無線LANのパスワードなどが全く暗号化されず保存されていたという（TechCrunch）。

また、データをクラウドに送信する際に使われる秘密鍵に簡単にアクセスできてしまうような製品もあったという。こういった問題はスマート電球だけに限るものではなく、「IoTデバイスの9割はセキュリティを考慮せずに開発されている」とも指摘されている。

northern曰く、

カナダ最大の仮想通貨の交換会社「クアドリガCX」で、同社が持つ仮想通貨のコールドウォレットを管理する唯一の人物だった創業者が亡くなったため、同社が持つ200億円相当の仮想通貨を引き出せなくなるというトラブルが発生しているという（NHK、GIGAZINE）。

同社はカナダの裁判所に破産を申請したそうだが、管理体制への批判が集まりそうだ。

同社に対しては以前より支払いの遅れなどが指摘されており、裁判沙汰にもなっていたという。コールドウォレットはオフラインで仮想通貨を管理するための仕組みだが、コールドウォレット自体もどこにあるのか分からないそうだ。

Googleは5日、任意のWebサイトへログインする際、過去に流出したユーザー名とパスワードの組み合わせを使用していないかどうか確認するChrome拡張機能「Password Checkup」をChromeウェブストアで公開した(Google Security Blogの記事、 Googleアカウントヘルプ、 The Keywordブログの記事、 Ars Technicaの記事)。

Mozillaは任意のブラウザーで利用可能な個人情報流出を通知するサービス「Firefox Monitor」や、個人情報が流出したWebサイトにアクセスすると通知するデスクトップ版Firefox限定機能の「Firefox Monitor Notification」でHave I Been Pwned?のデータを使用しているが、Googleは独自に収集したデータを使用しているそうだ。

Googleはデータ侵害により流出したユーザー名とパスワードを発見すると、ハッシュ化したうえで暗号化し、ハッシュの先頭2バイト分(プリフィックス)とともに保存しているという。Password Checkupはユーザーが任意のWebサイトにログインする際、ユーザー名とパスワードをハッシュ化してからユーザー側の暗号鍵で暗号化し、ハッシュのプリフィックスと暗号文をGoogleへの問い合わせに使用する仕組みだ。

問い合わせを実行するとプリフィックスが一致するデータに加え、暗号文をGoogleの暗号鍵でさらに暗号化した暗号文が返される。この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。これによりGoogleにユーザー名やパスワードを知らせることなく、ローカルでGoogleのデータとの照合を実行可能になるとのこと。

現在公開されているのは最初のバージョンであり、今後数か月の間にさらなる改善が行われるとのことだ。

セキュリティソフトウェアを手がけるAvastによると、日本の世帯の29%が1台以上の脆弱なデバイスを保有しているという（Avastの発表）。また、日本の家庭用ルーターの57%が脆弱な状態なのだそうだ。

日本の家庭で使用されているスマートホームデバイスの84%は、パスワードなどの認証が脆弱だったり二要素認証を使用しておらず、また16％がパッチをセキュリティ修正パッチを適用していないという。

脆弱なデバイスとしてはプリンターが42％と最も多く、続いてネットワーク機器（37％）、メディアストリーミング端末（13％）、防犯カメラ（5％）、NAS（1%）が続いている。

この調査は、Avastのセキュリティソフトユーザーが同ソフトに搭載されている「Avast Wi-Fi Inspector」というネットワークスキャン機能を使って収集したデータを元に集計しているという。

マカフィーのセキュリティソフトの体験版では、試用期間が終了すると動作しなくなるだけでなく、アンインストールしない限りWindowsに標準搭載されているセキュリティ機能が利用できなくなるという。その結果、試用期間終了後はシステムが無防備な状況になってしまうようだ（黒翼猫のコンピュータ日記 2nd Edition）。

同様の問題はトレンドマイクロのウイルスバスターでも発生するという。一方、ESET Internet Securityでは試用期間が終了するとその旨が表示されてWindows Defenderが有効になるという。

あるAnonymous Coward曰く、

複数のパスワード管理ツールに脆弱性があり、パスワードを盗み出す攻撃が可能という調査結果が発表された（ITmedia、ZDNet、Slashdot）。

この調査結果によると、「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」といったパスワード管理ツールで、それぞれを起動させた状態でメモリをスキャンすることで生パスワードを取得できる可能性があるという。

一方でこれらツールを提供する4社「この問題を解決すれば、もっと大きなセキュリティリスクが発生する」「この問題による現実的な脅威は限られている」などと反論しているという。

ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクト、 The Registerの記事)。

IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。 

研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。

以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)が5Gネットワークの機材調達について、Huawei製品を使用するリスクは対応可能なレベルとの結論に達した、とFinancial Timesが報じている(BetaNewsの記事、 The Vergeの記事、 Mashableの記事)。

この情報は結論に詳しい2名が語ったもので、公式発表されたものではない。ファイブアイズ5か国では米国とオーストラリアが中国製品を5G調達から排除するよう圧力をかけており、ニュージーランドが同調している。一方、カナダでは国防省サイバーセキュリティセンターの責任者が昨年、5G調達からHuaweiを排除する必要はないとの考えを示していた。Huawei CFOの拘束を発端としてカナダと中国の外交関係は悪化しているものの、現在のところHuaweiを排除する計画はないようだ。

欧州各国でも米豪に同調する動きがある一方で、ドイツではHuaweiを全面的に排除するよりも監視を厳しくして参入を認める方がいいとの考えに傾いている。英国が米国などからHuaweiを排除しない場合のリスクに関する情報を提供されたうえで、そのリスクは対応可能と判断したとすれば、各国政府の判断にも影響を与える可能性がある。