巫女プログラマー？のYuzuさんが勤務先のサービスにおいて、パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したりできるといった致命的なセキュリティーホールを発見し、 本人の独断でサービスを停止した結果、会社に警察が来るという状況になっているそうだ。

はてなのAnonymous Diaryで「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。曰く、リクナビでJR東海にエントリーしたところ、「○○様 ＩＤ：12345678 パスワード：mypassword こんにちは！ＪＲ東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか潰せないものだろうか。

JVNのJVNVU#188937 GNU gzip における複数の脆弱性経由で知ったが、GNU ProjectのGNU gzip — News: gzip-1.4 released (stable/security)によると、GNU gzip 1.3.14 ～1.3.3 のバージョンに複数の脆弱性があり、修正がされた1.4がリリースされたとのこと。 この記事によると、脆弱性のあるバージョンでは、細工された gzip 圧縮ファイルを処理させることで、サービス運用妨害 (DoS) 攻撃を受けたり、ユーザの権限で任意のコードを実行されたりする可能性がある。また、脆弱性の一つは、64-bitシステム上でのみ影響を受ける模様。 gzip 1.3.3のリリースは2002年3月8日で、1.3.14は2009年10月30日のリリースなので、かなり長期間のものが対象になる。 ※なお、2/5 03時現在でCODEZINEの記事では「2009年10月に公開されたバージョン1.3.3以来の安定版」と書かれていますが、これは1.3.14のことと思われる。

時事通信の記事、共同通信の記事、INTERNET Watchの記事などによりますと、警察庁が、WinnyとShareのファイル共有ネットワークのファイル流通実態を把握するための「観測システム」を、今年1月初めから本格稼働したと2月4日に発表したそうです。この「観測システム」は昨年3月ごろから試験運用を開始していたのだそうで、Shareについて、1日あたり95万個が流通していたファイルが、2009年11月30日の一斉取り締まり後に約5万個減少したのを観測したとのことです。また、ノード数についても、一斉取り締まり後に約1割減少し、2010年1月1日の改正著作権法施行後に約2割減少したのを観測したとのことです。 したのを観測したとのことです。

ITmediaが報じるところによると、iTunes Storeで販売されているPerfumeのアルバム「GAME」は、レコード会社である徳間ジャパンコミュニケーションとは関係ない者によってアップロード/販売されているものだったことが判明したそうだ。

これらの楽曲は、配信元が「Tukuma Japan Communications」となっているほか、説明文などがすべて英語表記になっており、徳間ジャパン側も「違法アップロードだ」と述べているとのこと。

いささか旧聞ですが、本家記事Mobile: Second 3G GSM Cipher Crackedによれば

3G GSMにおいてトラフィックの安全性を保つ"Kasumi"暗号が新しく開発された解読法によって破られた。related-key attackというこの方法によって完全な復号鍵が得られるという。Kasumiが即時に危険な暗号となるようなことはないという。"Misty"と呼ばれる暗号の改良版であるこの暗号はA5/3とも呼ばれ、3G GSMにおける通信暗号の標準となっている。論文は"この論文ではsandwitch attackという新しい攻撃を提示し、それにより8つあるKASUMIのラウンドのうち7つを2^14という驚くべき高い確率で発見する単純な手順を組み、残り一つを解析することで、4つのrelated key、2^26のデータ、2^30バイトのメモリ、2^32の時間で128bitの完全なKASUMI復号鍵を発見できる。複雑さは非常に小さく、攻撃のシミュレーションは一台のPCを用いて2時間以内に完了し、実験的にその正しさと複雑性を確認した"と述べ、手法は一般のPC上で容易に実装できるとしている。

とのことである。また同じく本家記事IT: GSM Decryption Publishedによれば

NY Timesの記事によれば、ドイツの暗号専門家Karsten Nohl氏が今年で21歳になる、世界中のデジタル携帯電話で使われるGSMの暗号を解読し、公開したようだ。彼によればこれは43億の無線通信のうち35億を占めるシステムの脆弱性を示す試みであるという。GSMに使われるA5/1暗号化はすでに解読されているが、公開されたのはこれが初めてだ。Chaos Communication Congressに参加した約600人の前で氏は"これはGSMのセキュリティが不十分であることを示すものだ"と語り、"我々はキャリアにもっとセキュリティを改善するよう働きかけている"とした。ロンドンに本部を置き、アルゴリズムを採用したGSM AssociationはNohl氏の行為は違法であり、無線での電話に関する脅威を誇張しているという立場を取っている。スポークスマンのClaire Cranton女史は"これは理論上は可能だが現実的でない"とし、採用以来ほかに誰も破ったものはいないとした。CellCryptのCEO、Simon Bransfield-Garth氏は"彼のすることは英国と米国においては違法であり、プライバシーを念頭においてこういった行為をするというのは理解できない"と述べ、彼の行為が現在は政府と諜報機関にのみ広まっていた携帯電話の通信傍受技術を発展させ、大規模な犯罪組織もこれを備えられるることになるかもしれないという懸念を示し、"GSMの会話を破るのに要する時間は数週間から数時間に縮まるでしょう"とし、"最終的には分の単位まで縮むと思います"と言った。

ということで、いつのまにか電話をかけると「機密保持のため回線を切らせていただきます。ご協力ありがとうございます」といわれる日が来ていたようです。