あるAnonymous Coward 曰く、

イギリスのランカスター大学の研究者チームが、「革新的なデータ暗号化方式」を開発したという。この方式は人間の心臓や肺がリズムを調整する「生物学的カップリング」の数学的モデルを応用しているという（Physical Review X、SDTimes、ランカスター大学、slashdot）。

この生物学的カップリング機能を使用した暗号化はこれまで使われてきた暗号化手順とは異なり、複数の暗号化された信号を同時に送受信する。共有暗号鍵を無制限に作成することで解読を困難にするとしているという。開発者の一人であるTomislav Stankovski氏は、攻撃者がクラックするのは「事実上不可能」だと説明している。この暗号化方式は米国物理学会誌に掲載され、特許を出願中だとのこと。

Android向けの人気セキュリティアプリとされていた「Virus Shield」が、実は見せかけだけの詐欺的ソフトだったことが発覚したという（GIGAZINE、Appllio）。Android Policeというサイトの解析で発覚した。すでにGoogle Play上からは削除されている。

Virus Shieldは3.99ドルで配信されていた有料アプリで、レビューでは星5つが818件、4つが452件と高いスコアを得ている（キャッシュ）。

アプリの説明欄（Description）では、「有害なアプリのインストールを防ぐ」「アプリや設定、ファイル、メディアをリアルタイムでスキャン」「個人情報を守る」「強力なアンチウイルスシグネチャ検出」「バッテリーへの影響は最小限」「バックグラウンドで動作」「迷惑な広告は一切無し」などがうたわれていた。しかし、このアプリが持っている機能は実際は「画面上に表示される『X』アイコンをタップすると、チェック済みアイコンに変わる」というだけで、セキュリティ対策機能のための機能は一切無いという。

Android Policeの記事によると、このアプリは3月28日に初めてリリースされ、その後数日で1万件以上のダウンロードを達成。4月2日にはアップデートが行われ、人気有料アプリランキングにも入っていたという。記事では逆コンパイルの結果得られたコードも示されている。

あるAnonymous Coward 曰く、

OpenSSL 1.0.1および1.0.2 betaで、外部からOpenSSLが使用しているメモリの内容を読めてしまうという深刻なバグが見つかった（TechCrunch、slashdot、解説サイト）。

これにより、通信に使用される秘密鍵や利用者のユーザー名/パスワード、暗号化によって保護されるはずのコンテンツなどが閲覧できてしまう可能性がある。

このバグはTLS heartbeat機能のバウンドチェック処理の欠如によるもので、接続したクライアントもしくはサーバーから64KB単位でメモリの内容を取得できてしまうという。この攻撃は繰り返し実行でき、かつログなどにはその痕跡が残らないとのこと。悪用された場合秘密鍵など重要なデータが大量に盗み出される恐れがあるとのことだ。

バグは2011年以来存在しており、4月8日に初めて公表された。該当するバージョンのOpenSSLを使用しているDebian WheezyやUbuntu 12.04.4、Centos 6.5、Fedora 18、SuSE 12.2、OpenBSD 5.4、FreeBSD 8.4、NetBSD 5.0.2およびこれら以降のリリースはすべて攻撃される恐れがあるという。OpenSSL 0.9.8を利用しているDebian Squeeze vintageはこの脆弱性に該当しない。

Open SSLはこの脆弱性を修正した1.0.1gをリリースしており、Debianの修正も近くリリース予定とのこと。Fedoraの修正はまだであるが 脆弱性回避用のパッチが提供されているとのことだ。

Xbox Oneで、「スパースバーを連打する」ことで正しいパスワードを知らなくてもアカウントにログインできるという脆弱性が発見されたそうだ（TechCrunch）。

記事によると、5歳の子がその父親のXbox Oneアカウントにログインしようとしてパスワードを求められた際、1337回スペースバーを叩いたらログインできてしまったという。これを発見したKristoffer Wilhelm von Hasselさんの名前はMicrosoftのWebサイトにてオンラインサービスに関するセキュリティ強化を助けてくれた人たちのリストに入っている。

（追記@11:30）CNN.co.jpによると、Kristofferさんには報酬としてゲーム4本と50ドル、Xbox Liveの1年間の利用権が贈られたそうだ。また、Kristofferさんはほかにも「スマートフォンのロックをかわす手段を見つける」といったことにも成功しているという。

あるAnonymous Coward 曰く、

パスワードの管理において、「PolyPassHash」と呼ばれる新しい管理手法が提案された（slashdot、論文PDF）。

この手法が提案通りに機能するならば、個別のパスワードを対象としたクラッキングがほぼ無効化されるようだ。またサービスを利用するユーザー側でなにかを変更する必要はなく、パスワードを保存・管理する側（サービス提供側）でこの手法を採用すればいいだけとのこと。

すでにCおよびPythonによる実装も公開されている。

安全性の高さの説明として、「6文字のランダム文字列のパスワードが3アカウント分あったとして、salt＋なんらかのhashで保管されている場合は3つのパスワードすべてをクラックするのに1台のノートPCで1時間ほどの時間しかかからなかったが、 PolyPassHashで保管した場合は地球上の計算機資源をすべて使って宇宙の終わりまでアタックしてもクラックされることはない」とある。

PolyPassHashでは、パスワードのハッシュ値を単純に保存するのでは無く、Adi Shamir氏が提案した秘密分散法に基づいて分割・分散して保存することでセキュリティを高めるという。これにより、攻撃者は複数のパスワード群に対し同時にクラックを行わなければならなくなり、その困難さが大きく向上するという。

英国政府は4月8日でサポート期間の終了するMicrosoft製品について、セキュリティー更新プログラムの提供を受けることのできる12か月間のカスタムサポート契約を約550万ポンドでMicrosoftと結んだそうだ(Crown Commercial Serviceのニュースリリース、 Custom Support、 Computer Weeklyの記事、 本家/.)。

カスタムサポートの対象となるのはWindows XP SP3/Office 2003 SP3/Exchange Server 2003 SP2。政府機関および地方行政機関、教育機関、国民健康サービス(NHS)の使用するパソコンで「緊急」および「重要」とされる更新プログラムを2015年4月14日まで利用できるという。対象となるパソコンが250台以上の場合はMicrosoft Premierを通じてサービスを利用する。250台未満の場合の利用方法については確認中とのこと。契約を担当した英政府機関のCrown Commercial Service(CCS)によれば、今回の契約内容では標準的な価格よりも2,000万ポンド以上の節約になることが見込まれるとのことだ。

LINEは4日、「LINE電話」サービスで発信者番号を偽装可能な問題に対応するため、今後確認プロセスを強化していくことを明らかにし、第1弾の不正利用防止策を発表した( LINE公式ブログの記事)。

LINE電話ではSMS認証により確認された電話番号を発信者番号として通知する機能を利用できるが、LINEを使用していないユーザーの電話番号を不正に利用してSMS認証される可能性や、解約済みの電話番号をLINE電話で継続利用できるといった問題が指摘されていた。不正利用防止策は段階的に実行され、第1弾として4月中をめどにアプリをアップデートし、「 端末のSIM情報の確認」「ネットワーク接続状況の確認」「不正使用検知アルゴリズムによる確認」という3つの確認プロセスを追加するという。これらの確認要件が満たされない場合、電話番号を利用した再認証を行い、再認証が完了しなければ非通知での発信となる。また、新バージョンの公開後は現行バージョンでの発信はすべて非通知になるほか、アップデート後に再度の電話番号認証が必要になることもあるとのことだ。

あるAnonymous Coward 曰く、

やや旧聞となるが、かねてよりニュースになっていた自衛隊のサイバー防衛隊が3月26日より90名で24時間体制のもと国家・政府のコンピュータシステムの防衛にあたる活動を開始した（自衛隊の報道資料、MSN産経ニュース）。

隊旗授与式の際に行われた小野寺防衛省の訓示では、サイバー攻撃への対処の重要性が強調された。攻撃は平素から武力攻撃事態までのあらゆる状況で行われる可能性があり、迅速で効果的な対処を可能とするための中核部隊として新設するとのことで、武力を用いないサイバー攻撃に対しても常時の防衛が必須であることの認識を示したものと思われる。

貧困化、草食化、企業のブラック化が激しく進行する昨今ではあるが、休日にはメイド喫茶でも猫カフェでも自由に出かけることができる、悟りを得るまでとっくり引きこもることもできる平和な国「日本」と、そんな日々を安々穏々と送り、毎日過ごすことができる国、社会は数日、数年で実現できるものではなく、何よりも得難いものであると思います。24時間体制で監視してくれる90名のサイバー防衛隊の隊員さんたちと一緒に/.Jer諸君も自宅で職場でこの国をあらゆる脅威から守っていこうではありませんか。

taraiok 曰く、

ロシア政府関係者は、これまで使用してきたAppleのiPadの使用を取りやめ、Samsung製のの端末に切り替えたという。閣議に出席した閣僚たちがそれまで使っていたiPadを使用していないことに記者たちが気付き、ニコライ・ニキフォロフ通信情報相に確認したところ、端末の切り換えを認めたという。同相によれば、Samsung製の端末は機密情報を扱うために特別に保護された端末であるとしている（SECURITYWEEK、Livedoor News、SECURITYWEEK、SECURITYWEEK、slashdot）。

「政府の会議内容は機密性が高く、このデバイスは機密性を保持するために必要な厳密な認定要求を満たしている」という。また、今回の対応はクライナ・クリミア情勢に関連したものではないとしている。ロシアは2012年には独自の暗号化されたAndroid導入の検討をしているほか、スノーデン事件以降はコンピュータからの情報漏洩を防ぐために、昔ながらのタイプライターによる記録方法を導入を検討するなどしている。

insiderman 曰く、

先日、「LINE電話」サービスで発信者番号通知を偽装できる問題が話題となっていたが、これに対しLINE側が悪用は「現実的には極めて困難」との見解を示している(LINE公式ブログの記事)。

LINE側は、「もとの端末を保持している本人のLINEが利用できなくなるため、全く誰にも気づかれずに悪用され続ける可能性は非常に低い」と述べている。SIMカードの差し替えなどを使ってほかの端末でLINEにログインした場合、元々の端末ではLINEやLINE電話が利用できなくなる(再度のSMS認証が必要となる)ため、他人のSIMを拝借してLINEアカウントを窃取してもすぐにそれが気付かれてしまうため現実的には悪用は難しい、ということのようだ。

しかし、拝借されたSIMカードの元々の所有者がLINEを利用していなかった場合に関しての説明はない。これについてはどう考えているのか、意見を聞きたいところである。

LINEが説明しているように、全く無関係な人物が本人に気付かれずにSIMカードを使用してSMS認証を行えるとすれば、多くの場合は端末を紛失した状態といえるだろう。LINE電話ではアカウントに登録した携帯電話番号が発信者番号として通知されるために問題となったが、SMS認証は他のモバイル向けインスタントメッセンジャーアプリなどでも広く使われている。再度SMS認証をすることで以前の認証が無効になるといっても、タレこみ人の言うように該当するアプリを使用していない人もいるだろう。また、紛失時はすぐに新しい端末が使用できるようになるとは限らないので、回線を停止する前にSMS認証されてしまえば無効にするまでのタイムラグが生ずる。そのため、正規の利用者がアプリを使用できない状態でも、なりすましを防ぐ仕組みが必要となるように思われる。

本家/.「Ask Slashdot: Preparing For Windows XP EOL?」より

IT関連の仕事をしている人のほとんどがご存じの通り、Microsoftは2014年4月8日でWindows XPのサポートを終了する。このことはかなり前から告知されていたにもかかわらず、Windows XPは現在もホームユーザーの間で比較的高いシェアを保っており、ATMも当面はWindows XPを使い続けることになるものが多い。企業やユーザーの多くはコストに見合う利点がなく、現在動いているシステムを変更する理由がないなどとしてアップグレードをためらっている。このように残されるWindows XPの安全性をできるだけ保つにはどうすればいいだろう。最新のパッチを適用し、ファイアウォールやユーザーアカウントの設定を確認するのは言うまでもないが、セキュリティー製品の変更は効果があるだろうか。

大阪信用金庫の調べ(PDF)によれば、大阪府内および兵庫県尼崎内の取引先企業の46%が現在もWindows XPを使用しており、そのうち53.5%が今後もWindows XPを使い続けると回答したとのこと。/.Jerの周囲ではどのようになっているだろう。また、どのように対応していく計画にしているだろうか。

米国安全性評議会(NSC)が発表したInjury Facts 2014年版によると、自動車事故の4分の1以上が携帯電話の使用中に発生したものと推計されるそうだ(NSCのニュースリリース、 CBS New Yorkの記事、 本家/.)。

携帯電話の使用中に発生した自動車事故は推計で26%。前年から1%増加している。テキストメッセージ利用時の事故が推計で5%なのに対し、通話中の事故は推計で21%を占める。通話中の事故には携帯電話を手で持って使用している場合と、ハンズフリーを利用している場合の両方が含まれるという。そのため、ハンズフリーは集中力低下を軽減しないとして、運転中の携帯電話使用を全面禁止する動きもみられるとのこと。

headless 曰く、

JCBは27日、JCBカード会員専用のWebサービス「MyJCB」に不審なアクセスが繰り返されたとして、25日23時53分から断続的にサービスを停止したことを発表した（「MyJCB（マイジェーシービー）」への不正アクセスについて、 読売新聞）。

読売新聞の記事によると、他社サービスから流出したIDとパスワードを使用した不正なログイン試行が繰り返されたものとみられ、ログインが実際に成功したのは3桁の前半程度。その一部でJCBカードのポイントをTポイントに交換する不正利用があったとのこと。Tポイントは身分証明なしで登録可能なYahoo! IDと連携しているため、犯罪者がポイント交換の足場として使っていることが多いという。

JCBではMyJCBへのアクセスを24時間体制で監視し、不審なアクセスを検知した場合はサービスを停止するなどの対応を行うとしている。また、不正にログインされた可能性のあるユーザーに対しては個別に確認の連絡をしているとのことだ。

あるAnonymous Coward 曰く、

現在裁判が進んでおり、たびたび話題となっているPC遠隔操作事件だが、その争点の1つには「被告は遠隔操作ウイルスを作成できるスキルを持っているのか」ということがあるそうだ。

この事件について追いかけているジャーナリストの江川紹子氏が公判についてレポートしているところによると、検察側は「被告は高いプログラミング技量を持つ」と主張、いっぽう弁護側は「被告のプログラミング技量は低い」とそれぞれ主張する事態になっているらしい。

検察側は「被告は業務で数千行のC#コードの修正を行った」との証言を出したという。ただ、この作業は5～6人のチームで行ったもので、被告がどれほどこれに関わったのかは不明だ。いっぽうで弁護側は、被告が書いたコードはバグだらけで使い物にならなかったためチームリーダーが書き直したということや、会社から出されたASP.NETとC#の『課題』について、初歩的なものについても『どういったことをやりたいのか、よく分からない』というようなコードを被告が提出していたという証言を出している。

これについて、無実を勝ち取るためには自分が無能であることを示さなければならないひどい話であるという声も挙がっている（おごちゃんの日記：遠隔操作裁判に行って来た）。

あるAnonymous Coward 曰く、

イオン銀行がセキュリティ強化のため、「秘密の質問」による認証を導入した。

以前パスワード再発行に必要な「秘密の質問」は役立たずという話題があったが、イオン銀行については

普段のご利用環境と異なると判断した場合に、事前にお客さまにご登録いただいた「質問」に対する「答え」（合言葉）をご入力いただくことで、お客さまご本人のご利用であることを確認します

という仕組みだそうだ。