あるAnonymous Coward曰く、

Appleが同社の全従業員にパスワード管理アプリ「1Password」を提供するという（ITmedia）。

1Passwordには企業向けの料金プランがあり、これをAppleが導入した模様。1Passwordはクロスプラットフォームで利用できるほか、管理者が各メンバーの利用状況を管理できる機能もある。下手に個人に管理を任せるよりはこういったサービスを導入した方が企業用途でもセキュアになると思うが、皆様のお勤めの企業ではこういったサービスを利用しているだろうか。

あるAnonymous Coward曰く、

CPUの投機的実行機能が原因の脆弱性「Spectre」の新たな亜種が報告された。「Spectre 1.1」「Spectre 1.2」などと名付けられており、IntelのほかAMDやARM系のプロセッサも影響を受けるという（Bleeping Ccomputer、ITmedia、Slashdot）。

Spectre 1.1では、本来プロセスがアクセスできない領域に格納されているデータを読み取れる可能性があり、現時点ではこれを使った攻撃を効率的な手段はないという。また、Spectre 1.2ではCPUメモリ上にあるリードオンリーに設定されたデータを書き換えることができるという。

7月14日、フランス革命記念日(パリ祭)のパレードにフランス軍のサイバー防衛部隊(COMCYBER)が初めて参加したそうだ(La Revue du Digitalの記事、 LCIの記事、 RTLの記事、 The Vergeの記事)。

2017年に発足したCOMCYBERは情報システムの防衛、サイバー攻撃の無力化、サイバー空間での作戦行動などを担う。3,400人以上の隊員のうち、パリのシャンゼリゼ通りで行われたパレードに参加したのは56人。中には一度も行進をしたことがない隊員もいたため、2か月以上にわたる行進の訓練が行われたとのことだ。

偽のモバイルデバイス管理(MDM)サーバーを用い、インド国内で使われている13台のiPhoneをターゲットにして行われていた攻撃についてCisco Talosが報告している(Cisco's Talos Intelligence Group Blogの記事、 The Registerの記事、 Ars Technicaの記事)。

この攻撃はオープンソースのMDMサーバーにターゲットのiPhoneを登録させ、正規アプリの改変版を送り込んでデータを収集するというものだ。どのようにしてiPhoneがMDMに登録されたのかは判明していないが、デバイスへの直接アクセスまたはソーシャルエンジニアリング的手法で誘導したものとみられている。

改変されたアプリはWhatsAppとTelegram、礼拝の時刻を知らせるPrayTimeの3本。BOptionsによりライブラリーをサイドローディングする手法で改変が行われ、ターゲットの端末にインストールされている正規版を置き換える形で送り込まれたという。このほか、テスト用とみられるアプリ2本も確認されている。

デスクトップ版のChrome 67ではSpectre/Meltdownなどの脆弱性を狙う投機的実行のサイドチャネル攻撃を緩和するため、すべてのサイトを別プロセスで読み込む「Site Isolation」が有効になっているそうだ(Google Security Blogの記事、 Ars Technicaの記事、 The Registerの記事、 BetaNewsの記事)。

Chromeでは以前からタブごとに別のプロセスを使用しているが、タブ内のiframeやポップアップで別のサイトが読み込まれる場合はメインタブと同一プロセスが使われていたという。通常は同一オリジンポリシーによりクロスサイトiframeやポップアップの内容にメインドキュメントからアクセスすることはできないが、何らかの脆弱性を狙われた場合にはSpectreに限らず、Site Isolationが有効な緩和策となる。また、Webページがサブリソースとして読み込もうとするクロスサイトのHTML/XML/JSONレスポンスをブロックするCross-Origin Read Blocking(CORB)も含まれる。なお、同一ドメインのサブドメインについては同一サイト扱いになるとのこと。

Site IsolationはChrome 63 で実験的な企業向けのポリシーとして実装されており、多くの問題が解決されたことから、デスクトップ版Chromeの全ユーザーで有効にできるレベルに達したという。ただし、現時点で有効になっているのは99%のユーザーで、1%はパフォーマンス改善などのため無効のままにしているそうだ。プロセス増加により、メモリー使用量は10～13%程度の増加が見込まれる。

Site Isolationの動作はhttp://csreis.github.io/tests/cross-site-iframe.htmlを開いて「Go cross-site (complex page)」をクリックし、Chromeのメニューから「その他のツール→タスクマネージャ」を選んでタスクマネージャを起動すれば確かめられる。有効になっていればiframeに読み込まれたサイトが「サブフレーム」として表示されるはずだ。

あるAnonymous Coward曰く、

空港のシステムに接続するための情報がダークウェブ上で10ドルで販売されていたとMcAfeeが伝えている。

発見されたのは、ネットワーク経由でコンピュータのデスクトップに接続するプロトコル「RDP（Remote Desktop Protocol）」の接続情報。これを利用することで、空港システム内のコンピュータを外部から操作できるという。そのほか、ビルオートメーションシステムや監視カメラ、交通管制システムなどにアクセスするための情報も販売されていたそうだ（Engadget Japanese、AXIOS、Slashdot）。

headless曰く、

性的暴行を受けた時に警察へ通報する機能を搭載するスマートブラをシンガポールのデータサイエンティスト、スコット・ファン氏が開発したそうだ（South China Morining Post）。

ファン氏の作成したプロトタイプは圧力センサーと心拍センサーを搭載。胸にかかる圧力の増加と心拍数の増加が同時発生した場合に警察へ通報する仕組みだ。任意の連絡先に通知を送ることも可能だという。

スマートウォッチなどのウェアラブルデバイスで同様の通報機能を利用できるものもあるが、ファン氏のスマートブラは着用が一見してわからないため、事前に外されてしまうといった事態を避けることができるとのこと。

ファン氏のスマートブラはプロトタイプでのテストが完了しており、製品化に向けた改良の段階に入っているそうだ。このデバイスは任意のブラジャーに装着可能で、着用時の不快感もないとのことだ。

headless曰く、

Appleが9日に一般リリースしたiOS 11.4.1で、以前からたびたび話題に上っていたiOSのUSB制限モードが搭載された（AppleサポートドキュメントHT208857、The Vergeの記事[1]、Mac Rumors、Ars Technica）。

USB制限モードはパスワード保護された端末のロックを解除せずに一定時間経過すると、Lightningポートの機能が充電のみに制限されるというものだ。iOS 11.4.1の場合、USBアクセサリーやPCと接続するには少なくとも1時間以内にロックが解除されている必要があり、そうでない場合はロックを解除しなければUSBデバイスが認識されない。状況によっては充電もできない可能性があるそうだが、USB電源アダプターを接続した場合は問題なく充電できるとのこと。なお、「設定」アプリの「Face ID/Touch IDとパスコード」で端末ロック時のUSB使用を許可する設定にすることも可能だ。

主に捜査機関が使用するGrayKeyなどのiPhoneアンロックツール対策とみられるUSB制限モードだが、ElcomSoftによるとUSB制限モードに入る前であればLightning to USB 3 Camera AdapterのようなLightningポート用のアクセサリーを接続するだけで制限時間の延長が可能になる問題があるという。Lightningポート用アクセサリーであれば何でもよいというわけではないようだが、捜査機関は押収したiPhoneに充電も可能なアクセサリーを接続することで、アンロックツールが使える場所へ移動するまで制限時間を延長できる。押収時点でロック解除から1時間以上経過していればどうにもならないが、2年前の調査によるとiPhoneのロック解除は1日平均80回とのことで、持ち歩いているiPhoneが1時間以上ロックされたままになっている可能性は低いようだ（ElcomSoft blog、The Vergeの記事[2]、 SlashGear）。

headless曰く、

Googleの次期モバイルOS「Android P」ではWPS（Wi-Fi Protected Setup）のサポートが廃止されるようだ（Android Police）。

Android Pでは5月のDeveloper Preview 2（DP2、API 28）でWifiManagerクラスのWPS関連メソッドやフィールド、WifiManager.WpsCallbackクラス、WpsInfoクラスが非推奨になっており、設定→Wi-FiでもWPSオプションが削除されていたらしい。これらの点はDP2の段階でIssue Trackerに上がっているが、動作変更点としては記載されないままDP4までWPSオプションは復活していない。

Wi-Fi機器間での暗号化設定をPINやボタンで容易に実行できるようにするため策定されたWPS規格だが、PIN認証では総当たり攻撃が可能な脆弱性が発見されている。しかし、WPS規格ではPIN認証が必須となっていることから、新しいルーターの中にはWPS搭載を避ける機種も増えているそうだ。

最近ではNintendo Switch向け人気ゲーム「スプラトゥーン2」でのチートが増えているほか、Nintendo Switch向けゲームの海賊版などが出回り始めているという噂がある。しかし、安易にこれらに飛びつくと最悪利用した本体で任天堂のネットワークサービスが一切利用できなくなる可能性もあるようだ。

Nintendo Switchには端末毎に認証用のクライアント証明書が埋め込まれており、これを使って不正な行為を行った端末のブロックが行えることがハッカーによる分析で明らかになっている（Ars Technica）。この情報は、Nintendo Switchのハックを試みているSciresMというハッカー集団が公開したもの。これによると、Nintendo Switchでは非常に強固な海賊版対策機構が導入されており、海賊版ソフトウェアの実行を検知できるという。

Switchでは、ゲームプレイ時にオンライン接続を行う際に次のような手順を踏むという。

1. インターネットに接続されているかを確認する
2. 本体固有の認証トークンを取得する（BANされた本体ではこのトークンを取得できない）
3. ニンテンドーアカウントの認証を行う
4. プレイするタイトルごとのアプリケーション認証トークンを取得する

2.の本体固有の認証トークンの取得には、本体内に暗号化されて格納されている秘密鍵データを使用し、このデータは工場出荷時に書き込まれるため改変ができないという。このデータはARMの「TrustZone」という技術を使った、アクセスに特別な手順が必要な領域に格納されている。Switch上で動作する一般のソフトウェアからこのデータにアクセスすることは不可能だという。

また、3.のタイトルごとのアプリケーション認証トークン取得については、ゲームカートリッジからゲームを起動する場合はそのカートリッジ毎にユニークな認証データを、ダウンロード購入したゲームを起動する場合はタイトルIDや本体の情報、ニンテンドーアカウント情報などが含まれる「チケット」データを任天堂のサーバーに送信して認証が行われるという。

最近ではこういった不正防止技術が実際に使われ、海賊版の作成に使われたと見られるゲームカートリッジが無効にされるという例も発生しているという（Nintendo Life）。

6月28日に発生したGentoo GitHub Organization(組織アカウント)への不正アクセスについて、Gentooが原因や対策をまとめている(Gentoo Wikiの記事、 The Registerの記事、 Neowinの記事)。

原因は攻撃者が組織アカウント管理者のパスワードを入手したことだ。Gentooが収集した証拠によると、あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていたとみられるとのこと。

管理者アカウントの制御を取得した攻撃者はGentooの開発者から組織アカウントへのアクセス権限をすべて削除し、リポジトリに不正なコミットを行う。攻撃者はリポジトリに「rm -rf」を追加してユーザーのコンテンツを消去しようとしているが、このコードが実際に実行されることはないとみられる。

GentooではGitHubをミラーとしてのみ使用していたので大きな影響はなかったが、5日にわたってGitHubが使用できなくなり、特に多くの貢献者がプルリクエストを送るのにGitHubを使用しているProxy Maintainersプロジェクトが影響を受けたという。

ただし、攻撃者が開発者のアクセス権限をすべて削除したことから早期に攻撃が発覚し、Gentoo・GitHubともに迅速な対応を行うことができたそうだ。一方、当初の発表ではユーザーが入手したコピーが安全かどうかを確認する方法や、悪意あるコミットが実行されることはないことが明確にされていなかった点などが問題点とされている。

対策としては2要素認証の導入や、GitHubのオーナー権限を持つ人の数を減らすこと、活動していない人をGentooインフラから積極的に退役させること、明確なパスワードポリシーの制定、アカウント監査の強化などを挙げている。

hylom 曰く、

風力・太陽光発電プラントの監視システムをGoogle Cloud Platform(GCP)上で構築・運営していた企業が突然アカウントを一時停止され、システムを運用できなくなるというトラブルが発生したそうだ(Mediumの記事、 The Registerの記事)。

このシステムは、8か国にわたって設置された数百の設備を1か所で24時間/365日監視するという大規模なもので、状況に応じて発電量を調整するといったクリティカルな作業も行っていたという。

しかし、6月28日に全サイトがダウンしているとUptime Robotからの警告があり、Googleからは「potential suspicious activity (潜在的に疑わしい活動)」を検出したので全システムを停止したと知らせる電子メールが届く。その時点で既にクラウド上のアプリケーションやデータベースに接続できない状態になっており、カスタマーサービスチャットや電話連絡もできなかったそうだ。

Googleが検出した疑わしい活動はサービス料金の支払いに関するもので、クレジットカードと政府が発行したクレジットカード名義人の写真入り身分証明書の写真を3営業日以内にアップロードするよう求めていた。そこでシステムの運営担当者がカードの名義人に連絡を取って情報を送信したところ、20分後にはシステムが復帰したそうだ。このときはカード名義人のCFOにすぐに連絡が付いたため数時間のダウンタイムで済んだようだが、情報送付が遅れたらすべてのアプリケーションやデータを削除するとも記載されていたとのこと。

なお、これを報告しているユーザーによれば、AWSではサービスをブロックする前に警告し、ユーザーが事情を説明したり問題を解決したりする猶予を与える、より「人間的な」方法で決済に関する問題を解決するという。こういった問題が解決されない限り、今後新しいプロジェクトをGCPで構築することはないとも述べている。

あるAnonymous Coward曰く、

日本経済新聞の社員男性が別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していたことが明らかになった（読売新聞、朝日新聞、時事通信）。

窃取されたデータは日経新聞社員約3000人の賃金などのデータ。このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。この社員は情報漏えいを理由に6月5日に懲戒解雇されるとともに、警視庁への刑事告訴も行われているとのこと。

この男性はこれ以外にも、日経新聞電子版の読者の個人情報（約34万人分）や日経ヴェリタスの読者情報（約3万6000人分）も持ち出していたという。

分解したPCは情報をコピーした後元に戻していたとのことで、そのため発覚が遅れたようだ。この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

なお、この事件を受けて日経新聞は謝罪記事を公開したが、公開当初は有料会員以外は記事の一部しか読めない「会員限定」の記事となっており、「お詫び記事も有料か」などとの指摘が出ていた（J-CASTニュース）。

あるAnonymous Coward曰く、

Google Chrome 67がリリースされたばかりだが、Chrome 65で修正されたはずの「Download bomb（ダウンロード爆弾」バグが復活したという。Bleeping Computerのテストによると、Firefox、Vilvadi、Opera、Braveなどのブラウザにも影響を与えているとしている。Internet ExplorerとEdgeには影響はない（Bleeping Computer、FOSSBYTES、Appuals、Slashdot）。

Download bombはファイルをダウンロードしてローカルに保存するAPIを悪用したもので、悪意のあるページにアクセスした際に何百から何千ものダウンロードを行わせてブラウザをフリーズさせるとともに、この問題を解決するための「サポート電話番号」を提示、ブラウザのロックを解除するために一定の金額を要求するといった「テクニカルサポート詐欺」などで使われていた（ 過去記事）。

皮肉なことに最新のChrome 67（67.0.3396.87）でこの問題が復活したことで、ブラウザーを最新の状態に保っている人ほど問題を引き起こす可能性があるとしている。

日本マイクロソフトによると、今年6月時点で2020年にWindows 7のサポートが終了することを認知している中小企業は全体の55％にすぎないそうだ（ITmedia、日経新聞）。

同社がメディア向けに行なったWindows 10に関する説明会で明かされたもの。調査は楽天リサーチの協力のもと行われている。なお、2020年にはWindows 7のほか、Windows Server 2008および2008 R2もサポートが終了する。

そのほか、同説明会ではウイルス対策ソフトについても触れられており、Windows標準のセキュリティ機能が十分な性能を持つこと、Microsoft社員はウイルス対策ソフトとしてWindows Defenderを使用しており、他社のウイルス対策ソフトは全く利用していないことなども明かされている。