パッチ不可能なBoot ROM(SecureROM)の脆弱性を利用し、古いiOSデバイスの脱獄を可能にするという「checkm8 (チェックメイト)」が発表された(開発者のツイート、 GitHubリポジトリ、 Mac Rumorsの記事、 Ars Technicaの記事)。

脆弱性はA5～A11チップのBoot ROMに存在し、iPhoneではiPhone 4S～iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。

あるAnonymous Coward 曰く、

ゲーマー同士の争いが発端のスワッティング(swatting)により、カンサス州ウィチタの無関係な男性が警官に射殺された2017年の事件で、虚偽の通報を依頼した男に15か月の実刑判決が言い渡された(CNNの記事)。

この事件では虚偽の通報をした男が既に20年の実刑判決を受けている。虚偽の通報でターゲットの家に警官隊を出動させるスワッティングは、米国の一部ゲーマーの間で気に入らない相手を黙らせる方法として横行し、問題化していた。

headless曰く、

Mozillaは9月27日にリリースしたFirefox Nightlyで、TLS 1.0/1.1をデフォルトで無効化した（Bug 1579270、Firefox Site Compatibility、Neowin、gHacks）。

無効化はFirefoxの設定（about:config）で「security.tls.version.min」の既定値が「1」（TLS 1.0）から「3」（TLS 1.2）に変更されただけで、TLS 1.0/1.1サポートが削除されたわけではない。SSL Pulseの9月分データではSSL 1.2をサポートするサイトが95.8%に上るものの、影響の大きな変更であることから幅広い確認が呼びかけられている。

主要Webブラウザでは昨年10月、2020年にTLS 1.0/1.1を無効化する計画が発表されており、FirefoxのTLS 1.0/1.1無効化は2020年3月に設定されている。Nightlyでは10月に無効化する計画が発表されていたが、少し繰り上げられたようだ。

現在のFirefox Nightlyの製品バージョンは71.0a1。今後はベータチャンネルのFirefox 71以降でフィードバックを確認しつつ徐々にTLS 1.0/1.1を無効化するユーザーの比率を高めていき、来年3月までにすべての切り替えを完了してリリースチャンネルでの無効化に備える計画だ。来年3月にリリースが予定されているのはFirefox 74だが、無効化をどのように、いつ実施するのかという計画については確定していないようだ。

Anonymous Coward曰く、

スタジオジブリのアニメ映画「天空の城ラピュタ」では、天空の城である「ラピュタ」を崩壊させるための滅びの呪文「バルス」が登場するが、このシステムは多要素認証の観点からして安全だとする説がTwitterに投稿されて議論になっている（Togetterまとめ）。

曰く、「王家の人間が（生体：What you are）」「飛行石を握り（物理鍵：What you have）」「呪文を唱える（パスワード：What you know）」という、現代のセキュリティ概念の3要素が含まれているという。

Amazon.co.jpで、注文履歴ページを開くと他人の注文履歴が表示されるというトラブルが発生しているようだ（CNET Japan、INTERNET Watch）。

すべてのユーザーで発生しているわけではないが、CNET Japanの記事では問題が発生しているユーザーが確認できたという。Amazon側はこの問題を確認しており、調査中だという。

SMSでは容易に送信元を偽装でき、正規の送信元からのメッセージに偽装したメッセージを紛れ込ますことができるという（SMSで送信元を偽装したメッセージを送る）。

SMSでは任意の英数字を送信元として表示するための仕様（Sender ID）があり、これに従ってメッセージを送信するだけで任意の文字列を送信元として指定できるという。また、iOSのメッセージアプリなど、昨今のスマートフォンに搭載されているSMSアプリではチャットのような体裁でメッセージのやり取りを表示するものがあるが、iOSのメッセージアプリではこのSender IDを元にスレッド表示を行うため、正規の送信元からのメッセージと同じSender IDを使用することで、偽装したメッセージがスレッドに混入してしまうという。

こうした行為は「スミッシング」と呼ばれ、今年6月に日本サイバー犯罪対策センターから注意喚起も出されている、

なお、SMSを送信する上記の記事で検証に使用したSMS送信サービスTwilioでは電話番号をSender IDに設定することはできないとのこと。

米国・アイオワ州の州裁判所庁舎で侵入テストを請け負った業者のスタッフ2名が物理的な侵入テスト中に逮捕されるという事件が11日に発生したのだが、これについて発注側の州裁判所事務局と受注側のセキュリティ企業Coalfireが契約の適用範囲の解釈に違いがあったとの声明を発表した(州裁判所事務局の声明、 Coalfireの声明、 Des Moines Registerの記事、 Ars Technicaの記事、 The Registerの記事)。

11日午前0時30分頃、アイオワ州エイデルのダラス郡裁判所庁舎でアラームが作動したため保安官が駆け付けたところ、侵入用の工具を所持して庁舎3階の廊下を歩いている2名を発見。2名は契約書を見せて侵入許可を得ていると説明し、裁判所事務局も2名を逮捕しないよう求めたが、保安官はダラス郡の納税者のものである建物への侵入許可を出せるものはいないなどとして2名を逮捕してしまう。現在、2名は保釈中だが、9日にポーク郡裁判所庁舎へ侵入した容疑もかけられているという。

米国で歯科医院向けにクラウドバックアップサービスを提供する企業がランサムウェア攻撃を受け、サービスを利用する歯科医院がカルテなどのデータにアクセスできなくなったそうだ(PerCSoftのFacebookページ、 The Digital Dental Recordとウィスコンシン歯科医師会の声明: PDF、 Krebs on Securityの記事、 The Next Webの記事)。

攻撃を受けたのは米ウィスコンシン州のPerCSoftとThe Digital Dental Record(2社の住所は同じ)が提供する「DDS Safe」という製品だ。クラウドとローカルドライブ、外付けドライブの3か所にバックアップを保存することで、ランサムウェアの影響を最小限に抑えることができるというのが売りとなっている。

The Digital Dental Recordは8月26日8時44分、クライアントデータをバックアップするリモート管理ソフトウェアにランサムウェアが展開されたことに気付いたという。すぐに調査を行って脅威を排除したが、多くの歯科医院が影響を受けることになる。ウィスコンシン歯科医師会(WDA)によると、全米でおよそ400軒の歯科医院がデータにアクセスできなくなったとのこと。PerCSoftはデクリプターを入手してデータの復号を進めており、相当部分が復旧しているようだ。

ZDNetの記事は2社が身代金を払ったと報じており、Krebs on Securityの記事では歯科業界で働くITプロフェッショナル向けFacebookグループに投稿された、身代金を払っていることをPerCSoftが説明したものだというスクリーンショットを掲載している。ただし、2社は表立って身代金支払いを認めてはいない。WDAでは調査が進められている最中なので攻撃の詳細を説明することはできないが、会が身代金を支払ったことはなく、問題解決に会費が使われることはないとも述べている。

現在、クラウドのデータやバックアップサービスはランサムウェアの主要なターゲットになっているという。なお、上述のFacebookグループに投稿されたデクリプターのスクリーンショットから、攻撃に使われたのは「REvil」「Sodinokibi」などと呼ばれるランサムウェアとみられている。

9月26日、Amazon.co.jpで他人のアカウントの注文履歴や住所、名前などが表示されるというトラブルが発生したことが報じられていたが（過去記事）、9月28日にこのトラブルは解消されたとのこと（ITmedia）。

原因は「Amazon内での技術的な原因によるもの」とのこと。問い合わせたユーザーには連絡を行っているとのことだが、どの程度の規模で問題が発生したかは依然不明のままだ。

Anonymous Coward曰く、

中国・華為技術（Huawei、ファーウェイ）製品に対しては以前よりバックドアが存在するのではないかとの疑惑があったが、同社はこの疑惑を晴らすため日本政府に自社製品のソースコードを公開することを提案しているという（日経新聞、共同通信）。

「通信会社など顧客企業の要望があれば製品の様々な検証に対応する」との方針。すでにファーウェイは英国などで製品のソースコードを公開し第三者機関などの検証を受けているという。