Webカメラやマイクなどが第三者によって遠隔から操作されて盗撮・盗聴が行われるという問題については以前から議論されていた。そのため、多くのPCではカメラが作動していることが分かるよう、カメラの横にLEDインジケータを設けるなどの対策を行っている。この対策をかいくぐるため、ユーザーが明示的にカメラを有効にしたことを検知して撮影内容をこっそり記録・送信するようなマルウェアの危険性が指摘されている（ITmedia）。 このようなマルウェアはすでに登場しているそうで、ビデオチャットアプリケーションや写真・動画撮影アプリケーションが動作している裏でこっそりと動画や音声を取得するため、ユーザーが気付きにくい点が問題とされている。対策としては、初めてカメラにアクセスするアプリケーションについてはその旨をユーザーに警告する、といった方法があるという。

個人用ノートPCのWebカメラをテープでふさいでいる米連邦捜査局(FBI)局長のジェームズ・コミー氏が、自分と同じように誰もがWebカメラをテープでふさいでプライバシーを守るべきとの考えを示している(The Hillの記事、 The Next Webの記事、 Ars Technicaの記事、 Neowinの記事)。 4月にコミー氏は、個人用ノートPCのWebカメラをテープでふさいでいることを明らかにした。しかし、IT企業にバックドア設置を求めるFBI局長でも自分のプライバシーは心配していることを皮肉に感じた人も多く、ずいぶんからかわれたらしい。 第10回目となる国家安全保障に関するカンファレンス「National Security Division at 10」で基調講演をしたコミー氏は、Webカメラのテープについて質問される。これに対しコミー氏は、FBIの局長が個人的なセキュリティを気に

脆弱性問題から使用が非推奨となっているアーカイバ（圧縮ソフト）のLHA（ファイル拡張子は.LZH）だが、国土交通省の入札説明書等の電子的提供ではLHAがまだ使われている模様（「黒翼猫のコンピュータ日記 2nd Edition」ブログ）。 また、それ以外でもLZH形式の圧縮ファイルで入札関連の情報を公開している組織が複数存在するようだ。

セキュリティ的に不備のある設定がされたまま放置されているインターネット接続カメラは以前から問題となっているが、このようなカメラを乗っ取ってボットネットを構築し攻撃を行う事例が確認されたという（GIGAZINE、Sucuri Blog）。 いわゆるIoTデバイスを使ってサイバー攻撃を行う例は今までもあったそうだが、カメラのみを使用して長期に渡って攻撃を行う例はこれまで観測されていなかったという。攻撃に使われたカメラは台湾や米国、インドネシア、メキシコなどのもので合計で2万5000台以上が使われたと見られている。 なお、攻撃には複数のメーカーのカメラが使われていたようだが、すべてで「Cross Web Server」というWebサーバーが稼動していたという。

「Google デバイスがハッキングされた可能性があります」などとの画面を表示してセキュリティソフトのようなものをインストールさせようとする広告は以前からあったが、このような広告を使ってインストールを行わせている「GO Security」というAndroidアプリがGoogle Playのレビューでは大好評となっている。 GO Securityについては、6月10日に「情報科学屋さんを目指す人のメモ」ブログにて、「Google デバイスがハッキングされた可能性があります」という旨のメッセージを出す広告を表示していることが指摘されている。この広告画面は、実際にセキュリティ的な問題がなくとも表示されるようだ。しかしGoogle PlayのGO Securityページを見ると、8万件近くの「★5」レビューが付いており、「助かった」というコメントも多数寄せられている。 Go Securityは無料

近年医療環境に対するサイバー攻撃は増加する一方だという（HELP NET SECURITY、Slashdot）。 サイバー犯罪者にとって、医療データにはクレジットカード詐欺やほかのネット詐欺よりもはるかに価値があるという。医療情報には患者の病歴や処方箋などさまざまな情報が含まれているからだそうだ。近年病院の情報化が進んでおり、医療機器を含むさまざまな機器が病院内ネットワークに接続されていることも病院が狙われる理由だという。 にも関わらず、病院側は真剣な対処を行っていないという。強力な認証設定や複数の装置に並列のログインの抑制、重要な装置と医療データ格納サーバーをインターネット接続から切り離すなどの基本的なセキュリティ対策にも失敗している。処方薬自動分配器のようなシステムが改ざんされる自体になれば、人命の損失につながる可能性もあると指摘されている。

「盗聴器は発見するよりも妨害するほうが早い」という話がラジオライフ.comで紹介されている。そのため、「盗聴妨害機」なるものが販売されているそうだ。 この盗聴妨害機「TB-2000」は、スピーカーから人間の音声帯域をカバーする妨害音を出すことで盗聴を阻止するというデバイス。女性の声および男性の声に適した妨害音を鳴らせるそうだ。 また、壁に直接マイクを当てて隣室の会話を聞く「コンクリートマイク」に特化した妨害音発生器もあるそうだ。この製品「TBX-1000」は、壁に接触させた状態でスイッチを入れることでノイズを発するとともに振動してコンクリート越しでの盗聴を妨害するという。

WindowsのCLSID(GUID)の中にはフォルダー名に拡張子として設定することで、特殊なフォルダーやコントロールパネルなどとして機能させることができるものがある。この機能を悪用して、攻撃用のファイルを隠蔽する「Dynamer」と呼ばれるマルウェアが出てきているそうだ(McAfee Labs Blogの記事、 Softpediaの記事)。 こういったCLSIDとしては、コントロールパネルの全ページをまとめた「God Mode」と呼ばれるフォルダーを作成可能な「{ED7BA470-8E54-465E-825C-99712043E01C}」がよく知られている。特殊なCLSIDを拡張子に設定したフォルダーをエクスプローラー上でダブルクリックすると特殊フォルダーやコントロールパネルが開かれ、フォルダーの内容にアクセスすることはできなくなる。ただし、フォルダーに格納したファイルのパスを直接指定す

米ニュース系メディアCNBCが火曜日に「安全なパスワードを作成するためのヒント」という記事を掲載した。しかし、皮肉なことにその記事が人々のパスワードを暴露する結果になってしまったそうだ（PCWorld、TNW、EXTREMETECH、Slashdot）。 問題の記事では、パスワードの強度がどれくらい高いかを調べることができる対話型フォームが用意されていた。このフォームには「娯楽と教育目的のみ使用され、パスワードは保存しない」と記載されている。しかし、実際にはパスワードやトラフィック分析は、Googleドキュメントのスプレッドシートに入力されていたという。またサーバーとの接続は通常のHTTP接続で、データは暗号化されていなかったそうだ。 さらにセキュリティ研究者であるAshkan Soltani氏によれば、CNBCの広告ネットワークや他の関係者に入力されたパスワードが送信されていたという。そ

電子メール暗号化サービスのLavabitは、米連邦捜査局(FBI)による暗号鍵の要求を拒否し、2013年8月にサービスを閉鎖している。捜査対象はこれまで明らかにされていなかったが、裁判所の手違いにより、エドワード・スノーデン氏であったことが判明した(Cryptomeのファイルアーカイブ、 The Guardianの記事、 Neowinの記事、 WIREDの記事)。 スノーデン氏はLavabitを使用していたことが知られており、当初から関連が指摘されていた。しかし、裁判所が開示する文書では具体的な対象者の名前などが消去されているため、確認はされていなかった。 LavabitのLadar Levison氏は経緯を公表しないように命じられていたが、昨年12月に裁判所命令の取り消しを求める訴えを起こしており、1月には訴えが認められていた。これにより開示された文書をCryptomeが取得したところ、

他人のビックカメラのアカウント情報を不正に入手し、ポイントを勝手に使用したとして不正アクセス禁止法違反の容疑で中国人男性が逮捕された。男性は「チャットを通じて、日雇いの仕事として紹介を受けた」と述べているという（NHK）。 先月末に不正にポイントが使用される事件が数十件発生、被害額は約100万円とのこと。逮捕された容疑者は5人分のIDとパスワードをスマートフォンに保管していたとのこと。供述が事実であれば、ID/パスワードを不正に入手した犯人とそのポイントを実際に使用する犯人は別に存在することになり、今後も同様の事件が発生する可能性がある。

今年2月14日、Appleは同社が使用している中間証明書の期限切れに伴って証明書の更新を行ったのだが、これが原因で2月14日以前に作成されたOS Xのインストーラが利用できなくなっているという（Appleちゃんねる、TidBITS）。 OS X 10.11だけでなく、10.8以降（Mountain Lion、YosemiteやMavericks）のインストールメディアに含まれるインストーラも影響を受けるとのこと。

先日、Snapchatの従業員がCEOを装ったメールにだまされ、従業員や元従業員の個人情報を外部に送信してしまう事件が話題となったが、Seagateでも同様の事件が3月1日に発生していたそうだ（Krebs on Security、Register、BetaNews、Ars Technica）。 Seagateから流出したのは2015年の源泉徴収額などが記載されたForm W-2で、詐欺メールを正規の社内連絡だと思った従業員が外部に送信したという。具体的な数字は明らかにされていないが、2015年に米国で勤務していた従業員および元従業員全員が対象となっており、合計数千人分に及ぶとのこと。 影響を受けた従業員らに対しては、Seagateが最低2年間のProtectMyIDサービスを購入して提供する。ただし、ProtectMyIDはクレジットカードの不正利用などを監視するサービスで、税金の不正還付

写真を使用したコミュニケーションサービスを提供するSnapchatは2月28日、同社のCEOをかたるフィッシングメールに従業員がだまされ、一部の従業員や元従業員の個人情報を外部に送信していたことを明らかにした（Snapchatのブログ、Consumerist、V3.co.uk、Next Web）。 フィッシングメールは同社の給与課をターゲットにしたもの。攻撃者は2月26日、SnapchatのCEOを名乗って従業員の給与関連情報を送信するよう求めてきたという。しかし、給与課ではフィッシング詐欺であることに気付かず、一部の従業員と元従業員の給与関連情報を送信してしまったとのこと。なお、内部のシステムに対する侵入は受けておらず、ユーザー情報への不正アクセスもなかったことを強調している。 Snapchatでは情報流出の被害にあった従業員および元従業員に対し、2年間の個人情報盗難保険および監視サービ

ビットコインでは、「ウォレット（Wallet）」と呼ばれるツールで所有するビットコイン残高を管理するのが一般的だ。ウォレットにはバックアップ等に使われる「Brain wallet」という仕組みがあり、これを利用することで使用しているウォレットツールに万が一アクセスできなくなった場合でも、別のツールなどに情報を引き継ぐことが可能になる。このBrain walletで使われているパスフレーズを、高速かつ安価に解析する方法が発見されたという（SoftPedia、解説論文PDF、Slashdot）。 Brain walletは、任意の文字列（パスフレーズ）から生成された256ビットのハッシュを暗号鍵として使用する仕組み。256ビットのバイナリデータをデジタルデータ以外の形で管理するのは大変だが、文字列であれば管理しやすいため「脳で管理できるウォレット」という意味で「Brain wallet」と呼ば

英政府通信本部(GCHQ)は4日、昨年12月に出題していたクリスマスパズルの正解を公表した(正答集: PDF、 ニュースリリース、 The Registerの記事)。 クリスマスパズルはPart 1からPart 5まで5つのステージが用意され、最初のステージをクリアした人は60万人を超えるという。3万人以上が最終ステージまでたどり着いたが、最終ステージをクリアできた人はいなかったそうだ。ただし、クリアまであと一歩というところまで迫った挑戦者が3人おり、この3人が優勝者としてGCHQのペーパーウエイトおよびGCHQ局長のメッセージとサインが入ったアラン・チューリングのバイオグラフィー、優勝を自慢する権利が贈られるとのこと。 パズル自体は現在も公開されており、正答集には正解とともに説明も記載されている。数学や語学、通信、コンピューター、ロード・オブ・ザ・リングなど、さまざまな知識が要求されるが

2月29日から米国・サンフランシスコで開催されるRSA Conference USA 2016(RSAC 2016 )の参加登録ページで、登録者のTwitterアカウント情報を収集しているのではないかという疑惑が持ち上がり、OAuthで使用するためのものだとRSA Conferenceが反論している(CSO Online — Salted Hashの記事、 The Registerの記事、 RSA Conferenceのブログ記事)。 該当のページは参加登録完了後に表示され、RSAC 2016に誘う内容のツイートをするよう促す内容となっている。しかし、参加登録者からTwitterの認証情報を収集しているのではないかとの疑問が上がり、フォームに入力したユーザー名とパスワードがRSA Conferenceのサーバーに送信されることがその後確認された。 これについてメディアではRSA Confe