Android 4.3ではユーザーの権限に対するより強力な制限機構が追加されているそうで、root権限でのプログラム実行や、プロセスが実行できる操作がより強く制限されているそうだ。これを受け、Androidのカスタムファームウェア「CyanogenMod」の開発者Steve Kondik氏が、「root権限の死」というエントリをGoogle+で公開した。 このような制限下では、root権限を取得したとしても実行できる処理は限られるという。さらに、バックアップやリストアツール、ファイアウォール/DNS解決者管理、カーネル・チューニングといった必要とされる多くの機能はroot権限なしでも実現できるそうだ。このためリスクの大きなrootの開示は必要ないのではないかと氏は考えているようだ。そのため、今後はAPIや拡張機能を提供することによって必要な機能を追加していくほうがよいのではと考えているとい

FBIやNSAはインターネット企業から、ユーザーのプライベートWeb通信を保護するために使用されているHTTPSに使用されているSSLのマスター暗号化キーを取得しようと試みていたらしい。IPS関係者は匿名を条件に「政府からSSLキーを要求されたことがある」とCNETに証言。加えて「インターネット関連の大企業に関しては、こうした要求に対して抵抗したという話が出ているが、中小のインターネット企業の場合、それに抵抗できるかは疑問だ」とコメントしている（CNETの記事、本家/.）。 MicrosoftとGoogleは政府からの要求があったかどうかについては回答しなかったが、要求があってもマスター暗号化キーを渡すことはないと回答したという。一方、Facebookでは政府からの要求を受けていないとした上で、そういった要求に対しては強く抵抗すると述べたそうだ。Apple、Yahoo、AOL、Verizo

古い暗号化技術（DES）が使われているSIMカードにおいて、なりすましや乗っ取りが可能なセキュリティ上の脆弱性が存在すると、ドイツのSecurity Research Labs創設者のKarsten Nohl氏が指摘している（マイナビニュース）。SIMカードを乗っ取ることで電話のタダがけや通話/SMSの傍受などが行える可能性がある。 同氏によれば、SIMカードに対してSMSによるテキストメッセージを送信するだけで、2分程度で乗っ取りが可能だという。また、全世界の8分の1の携帯電話がこれに該当するという。 なお、最新のSIMでは暗号化アルゴリズムにトリプルDES（DES3）以上の規格が採用されているため、この脆弱性は影響しない模様。

JPCERTが、Apache Struts の脆弱性 (S2-016) に関する注意喚起を行っている。脆弱性があるサイトに対し、細工した HTTPリクエストを送るだけで任意のOSコマンドが実行されるという、かなり危険な脆弱性だそうで、影響を受ける対象もApache Struts 2.0.0から2.3.15と広い。Apache Struts 2.3.15.1では修正されているとのことなので、利用者は確認のうえアップデートをおすすめする。 なお、Strutsの公式Webサイトには脆弱性の例としてHTTP経由で任意のコマンドを実行させる方法が掲載されているため、簡単に試すことができてしまう（wakatonoの戯れメモ）。注意されたし。

Androidでアプリケーションパッケージ(APK)の署名が正しく照合されず、改変されたアプリをインストールできてしまうという脆弱性の存在をセキュリティー企業Bluebox Securityが明らかにしたが(/.J記事)、同社が作成した脆弱性の有無を確認するAndroidアプリ「Bluebox Security Scanner」がGoogle Playで公開された( eSecurity Planetの記事、本家/.)。 Androidでは署名のないAPKファイルからアプリをインストールできず、元のAPKファイルと異なる証明書を使用して署名されたアプリを上書きすることもできない。しかし、この脆弱性を利用すると、改変したAPKファイルでも元の署名が有効な署名として扱われるというもので、Bluebox Securityでは「マスターキー」のセキュリティー欠陥などと呼んでいる。その後、セキュリティ

ロシア連邦警護庁（FSO）が、電子タイプライター20台の購入を決めた。元米中央情報局職員が暴露した情報監視問題を受けて、PCで作成した極秘文書を第三者に読み取られるリスクを回避するための措置だそうである（時事通信の記事）。 電子タイプライターは現在でも、ロシア国防省などで極秘文書作成に使われている．そして元ロシア連邦保安局長官のコワレフ下院議員は「セキュリティの観点からいうと、電子的なコミュニケーションには脆弱性がある」「秘密保持のためには、手書きやタイプライターのような原始的な方法が好ましい」などと述べている（Telegraphの記事）。 /.Jer諸氏には，ハイテクな問題へのローテクな対処法や、「一方ロシアは……」をネタにして盛り上がっていただければ幸いである． 時事通信の記事では「ワープロ」となっているが、電子タイプライターはワープロとは異なるもので、ディスプレイは搭載されておらず、

先日、共同通信や朝日新聞記者がPC遠隔操作事件の取材としてメールサーバーに侵入、不正アクセス容疑に問われた事件で、東京地検はこれら記者計5人について、起訴猶予処分とする方針を固めたそうだ（時事通信）。 悪質性が低いとの判断だとのこと。

公開メーリングリストに個人情報や内部情報を流してしまって大騒ぎに、というのはよくある話だが、政府の職員がどうようのことをGoogle Groupでやらかしていた模様。 読売新聞によると、少なくとも4省庁の職員が業務に関する内容を閲覧制限なしのGoogle Groupでやり取りしていたことが確認されていたという。政府だけでなく、医療機関や介護施設、学校など、さまざまな組織にて個人情報や内部情報が公開されていることが確認されたという。 初期設定が「公開」になっているのが悪いという的外れなツッコミもありそうだが、安易に無料サービスを使うのが元凶だろう。かといって、政府などで予算を付けるのは大変なのかもしれないが……。

シマンテックの調査によると、Android版のFacebookアプリが端末の電話番号を外部へ送信していることが検出されたそうだ(Symnantec Official Blogの記事、 マイナビニュースの記事、 ケータイWatchの記事)。 初めてFacebookアプリを起動すると、ログイン操作などをしなくても端末の電話番号がインターネット経由でFacebookのサーバーに送信されるとのこと。Facebookでは電話番号の利用などはしておらず、すでにサーバーから電話番号を削除したとのことで、アプリは次期リリースで修正を行う予定だという。ケータイWatchの記事によれば、Facebook側はバグが原因と説明しているそうだ。シマンテックでは、ほかのアプリについても調査を進め、個人情報の漏えいにつながるアプリに関する情報を発表する予定とのことだ。

キーレスエントリーを装備した自動車のドアを、手の平に納まる小さな装置を使って楽々と開けてしまう泥棒の様子を、カルフォルニア州ロングビーチの監視カメラが撮影していた。同装置を車の方に向けるだけで、泥棒は遠隔操作でいとも簡単に解錠していた。不審な行動を伴わないため、持ち主が普通にドアを開けているようにしか見えないという（本家/.、Today News記事）。 地元警察によれば、どういった技術が使われているのか一切分かっていないとのこと。同装置はAcura SUVには対応していたがFord SUVやCadillacには対応しておらず、また泥棒が常に助手席側のドアを開けているなど謎な点が幾つかある。警察もセキュリティー専門家もまったくのお手上げ状態であり、警察が一刻も早く同装置を入手してどういった技術が使われているのか調べる必要があるとのこと。

ある著名学術機関に勤めるアメリカ人女性に一通のメールが届いた。そのメールは、harvard.eduの代わりに「hardward.edu」と記載されたフィッシングメールだった。女性が調査会社にこのメールを確認してもらったところ、遠隔制御システムをインストールする「DaVinci」というマルウェアにアクセスするというものである可能性が高いという（WIRED、本家/.）。 ここまではよくある話だが、今回の話のポイントはDaVinciがイタリアのHackingTeam社が軍事・諜報といった用途向けに開発・販売したものだということだ（Dr.WebによるDaVinciマルウェアの解説）。米国の公的機関が中東の政治活動家などを監視するために使用されており、「合法的マルウェア」として扱われているという。このため、ウイルス対策ソフトやセキュリティ保護による対策をバイパスしてしまう場合があるそうだ。 DaVi

米運輸保安庁(TSA)は、米国内のすべての空港で後方散乱X線を使用する全身スキャナーの撤去を完了し、ミリ波を使用する全身スキャナーに置き換えたとのこと(CNBCの記事、 Fox Newsの記事、 本家/.)。 2008年に導入された後方散乱X線を使用する全身スキャナーは、裸体に近い映像が映し出されることによるプライバシー侵害への反発が強く、検査を行う職員の健康被害も懸念されていた。昨年2月に成立した2012年FAA近代化改革法では2012年6月までの撤去を義務付けていたが、期限は2013年5月まで延長されていたとのこと。ミリ波を使用する全身スキャナーでは、ソフトウェア処理により検査対象者が抽象的な人型の輪郭で表示される(/.J記事)。

オーストラリアのニューサウスウェールズ大学は、弁護士や医者、会計士といったトップエリートを輩出してきた。しかし、創立から 64 年経った現在、同校は優れたハッカーを生み出す機関としても機能しているようだ (Sydney Morning Herald の記事、CySCA 2013 のページ、本家 /. 記事より) 。 オーストラリアの大学生などを対象にした国家サイバーセキュリティコンテスト「CySCA 2013」では、ニューサウスウェールズ大学のケンジントン・キャンパスの所属する学生グループが優勝した。コンテストには 20 の団体から 4 人の学生で作られた 43 のグループが参加、ニューサウスウェールズ大学は名門のシドニー大学を抑えて三つのグループがトップグループに入った。 IT セキュリティの講師をしている　Fionnbharr Davies　氏の実践的な教育方針がこうした好成績につなが

Fedora 19アルファ版のパスワード作成画面では、確認入力フィールドでパスワードがマスクされず、そのまま表示されるという。ただし、表示されるのは確認入力フィールドにフォーカスがある場合のみで、別のフィールドにフォーカスが移動するとマスクされるそうだ(Red Hat Bugzillaのバグリポート、 Fedora開発者向けメーリングリストのアーカイブ、 本家/.)。 Anacondaの開発者、Chris Lumens氏のバグリポートに対する回答によると、この動作はバグではなく意図したものだという。このような動作は採用例が増えており、パスワードをマスクしてもキーボード上の指の動きを見られてしまえば意味がないなどとしている。また、パスワードを表示することでキーボードレイアウト関連の問題を回避することもできるとのこと。これに対し、Fedoraコミュニティーの開発者向けメーリングリストでは、セキ

警視庁などの合同捜査本部は、PC遠隔操作事件で逮捕・起訴された被告を、伊勢神宮爆破予告の威力業務妨害容疑で近く再逮捕する方針を固めたそうだ(毎日jpの記事、 朝日新聞デジタルの記事)。 被告は2月10日に逮捕されたのち、3月3日と4月11日に再逮捕されている。3月22日にはハイジャック防止法違反などの罪で起訴されており、4月11日の逮捕容疑について2日に追起訴されている。合同捜査本部では不正指令電磁的記録作成や供用容疑での立件も検討しているとのこと(時事ドットコムの記事)。一方、被告は一貫して容疑を否認しており、1日に開かれた勾留理由開示の法廷でも「犯行に及んだとされる時間帯は派遣先の会社で仕事をしており、全く身に覚えがない」と述べたとのことだ(YOMIURI ONLINEの記事)。

いちおう、「当社の責任」って項目で、「ベンダ選定時の調査・分析、システムの保守サポート業務品質の管理義務が充分になされていなかったという不備が認められると指摘されております。」ってうたってるよ。 ちなみに自分は業態は全然違うけど、委託する側の小さな会社のシステム企画部門にいます。 で、自分の会社でもWebSiteについては開発・運用・脆弱性診断をそれぞれ別な会社（←ココ重要）に外部委託しています。 利用するミドルウェアの選定なんかはコンテンツ制作会社のノウハウに依存せざるをえないので、コンテンツ制作会社に任せっきりです。 しかしウェブのコンテンツ制作会社なんかは、どちらかと言うとデザインよりの集団な事が多いので、彼らに全部任せっきりは結構危ない事が多い。 だからこそ、それぞれ別々な会社に委託している。 診断専門の会社には、リリース前は勿論、定期的に脆弱性診断を受けて確認し、 サーバーの運用

セキュリティーベンダーMalwarebytesが15日に公開したウイルス定義ファイルにより、正規のWindowsシステムファイルがマルウェアと誤認されて数千台のコンピューターが動作しなくなってしまったそうだ(Malwarebytesのブログ記事、 V3.co.ukの記事、 The Inquirerの記事、 本家/.)。 ウイルス定義ファイルが公開されたのは太平洋標準時15日午後3時ごろ。8分後に削除されたが、同社のヘルプデスクやフォーラムに問い合わせが殺到したという。Malwarebytesは数時間後に修復ツールと修復手順を同社フォーラムで公開している。トラブルが発生した原因は、ウイルス定義ファイルを圧縮および暗号化するツールに問題があり、ファイルが破損したことを検出できなかったためだという。Malwarebytesではツールを修正したほか、テスト用サーバーの構築や、サポートチームの増強な

JR東日本の会員向けサービス「My JR-EAST」で3月31日に不正ログインが発生していたそうだ(JR東日本 — My JR-EASTでの不正ログイン発生とご利用のパスワード変更のお願い: PDF、 YOMIURI ONLINEの記事、 INTERNET Watchの記事、 朝日新聞デジタルの記事)。 大手Webサイトで不正アクセスが相次いでいることからJR東日本が調査したところ、3月31日12:26～13:52の間に国内の特定IPアドレスから約26,000件のアクセスがあり、97名のアカウントに対して不正ログインが行われていたことが4月16日に確認されたという。このうち5アカウントについてはユーザーの個人情報が閲覧された可能性があるそうだ。ただし、乗車券などが購入された形跡はないという。JR東日本では、該当する97アカウントについてはログイン停止の措置をとって会員に連絡しており、ほかの

電話のボタン一つで飛行機をハックしハイジャック、という映画などで見かけるシーンが現実に一歩近づいたようだ (Help Net Security の記事、本家 /. 記事より) 。 アムステルダムで行われたハッキングカンファレンス Hack in the Box にて、セキュリティ専門家であり商用航空機パイロットでもある Hugo Teso 氏が Android 端末を利用した攻撃を発表した。Teso 氏は航空通信システムの脆弱性を攻撃するフレームワーク SIMON を構築、さらに航空機のフライトマネジメントシステムに攻撃メッセージを送信する PlaneSploit という Android アプリケーションを開発したとのこと。 この攻撃は ADS-B (Automatic Dependent Surveillance-Broadcast）と ACARS (Aircraft Communica

昨年発生したPCの遠隔操作事件を追っていた共同通信記者が、真犯人を名乗る人物が利用していたメールサーバーに不正アクセスを行っていたことが明らかになった（産経新聞、読売新聞、NHK）。同社は「厳密に言えば法に抵触するが、今のところ記者の処分は考えていない」として記者を擁護している。 ログインに使用したパスワードは犯行声明文から推測して発見したようですが、どう言い訳しても不正アクセス禁止法に抵触する案件だと思われます……。 不正アクセスのターゲットとなったのは、真犯人を名乗る人物が犯行予告などの送信に利用した無料メールサービス。共同通信記者は昨年10～11月ごろに「パスワードを推測し、何度か試しに打ち込む」攻撃を実行してアカウントを不正に奪取した疑いがもたれている。