自身のTwitterアカウントが2要素認証を有効にしたせいでハックされたと「サイバーセキュリティのレジェンド」ジョン・マカフィー氏が主張している(HackReadの記事、 BetaNewsの記事、 BBC Newsの記事)。 マカフィー氏は12月21日から「Coin of the day」として、あまり知られていない今後が期待される仮想通貨を毎日Twitterで紹介していたが、26日をもっていったん休止し、毎週月曜日の朝(初回は1月1日)に「Coin of the week」として再開すると宣言していた。しかし、27日に偽の「Coin of the day」がマカフィー氏のアカウントで複数投稿されたらしい。 マカフィー氏はアカウントがハックされ、Twitterに通知したとツイートし、偽投稿は既に削除されている。別のツイートではセキュリティのエキスパートであってもTwitterのセキュリティ

Wi-Fiでクラウドに接続し、AIを使用した会話のできるマテルのバービー人形「Hello Barbie」で、専用アプリやサーバーにさまざまなセキュリティ上の問題が見つかったそうだ(Bluebox Securityのブログ記事、 The Registerの記事、 BetaNewsの記事、 Ars Technicaの記事)。 Hello Barbieは発表当初からプライバシー侵害が懸念されており、11月には実際に盗聴などが可能だと報じられていた。一方、Hello Barbieの技術面の開発を担当したToyTalkでは、報じられている「ハック」は人形への物理的なアクセスが必要なものや専用アプリの設定インターフェイスを使用するもので、録音された音声や登録メールアドレス、Wi-Fiパスワードといった情報にアクセスすることはできないと説明している。 モバイルアプリはToyTalkが開発したもので、サー

iPhoneやAndroidに接続されたイヤホンのケーブルに外部から電磁波を照射することで、意図的な音声操作を行わせる実験に成功したとTechCrunchが報じている。これにより、外部から任意の操作を行わせることが可能になるという。 論文は「IEMI Threats for Information Security: Remote Command Injection on Modern Smartphones」とのタイトルで、「IEMI」は「Intentional Electromagnetic Interference」の略らしい。とはいえ、これを使って外部から他人のスマートフォンを操作することは今のところ現実的ではないとのこと。

先日、Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響という話があったが、これとは別に、ラスベガスで開催中の「Black Hat USA 2015」でチェック・ポイントの研究チームが数百万台規模のAndroid端末に影響のある脆弱性「Certifi-gate」について報告した。 これは、事実上すべてのAndroidデバイスメーカーやネットワークサービスプロバイダが使用しているモバイル遠隔サポートツール（mRST）に関する脆弱性。Androidのセキュリティ制限をバイパスし、スーパーユーザー権限を取得することができる（Gigazine、HELP NET SECURITY）。 また、IBM X-Forceが「Android」のデシリアライゼーション処理に存在する脆弱性を発見したことも伝えられている。この脆弱性を利用することで、攻撃者は標的の端末で実行中のアプリケーションを置き

近年ではiPhoneやAndroid端末に押されている印章が強いBlackBerryだが、同社が今夏発売予定のタブレット新モデル「SecuTABLET」は、SamsungのGalaxy Tab S 10.5をベースに独自のセキュリティ技術を盛り込んだものになるそうだ（BlackBerryの発表、ITmedia）。 企業や政府機関がターゲットで、価格は2380ドル（約28万円）。企業向け暗号化システム「SecuSUITE」やIBMのセキュリティ技術を採用しているという。マイナビニュースによると、SecuSUITEは音声通話やテキストメッセージ、電子メール、スケジュールなどの機能を「安全に利用できる」というもの。現在ドイツ政府が定めるセキュリティ認定「VS-NfD」を受けているという。 またCNET Japanの記事によると、セキュアな業務用アプリを個人用アプリから分離できる「アプリラッピング

GNU Bashに新たな脆弱性が発見された（CVE-2014-6271）。環境変数を経由して関数定義を渡す場合に、細工をしてコマンドを実行させることができる。攻撃に使う環境変数の名前に制限はなく、たとえば内部的にshを実行するようなCGIに対してHTTP ユーザーエージェントを送る際や、ssh接続時に環境変数を渡す時など、環境変数を改変した状態でbashが呼ばれるようになっていれば攻撃ができる（ThreatPost、CSO Online）。 この脆弱性はすべてのバージョンの bashにあるとされ、Mac OS Xにも当該のバージョンが含まれるとされている。一部の Linux ディストリビューションではすでにアップデートを配布している。 Red Hat Security Blogによると、脆弱性のあるバージョンでは以下の"echo vulnerable"の部分が予期せず実行される。

WebカメラやキーボードなどのUSBデバイスを攻撃プラットフォームにするための技術「BadUSB」が開発され、デモが2日から7日まで開催されるBlack Hat 2014 USAで行われる予定だ(Ars Technicaの記事、 Black Hat - BadUSB、 本家/.)。 記事によるとファームウェアを改ざんするものであるらしい。このBadUSBハッキングは、理論的にどんなタイプのUSBデバイスにも有効で、ハッキングされたUSB機器を検知するのはほとんど不可能だという。その上、仕掛けられたものを解除することも難しいとしている。 BadUSBはUSBデバイスのファームウェアを書き換えることで、システムから種類の異なるUSBデバイスとして認識されるようにするというもの。例えば、USBメモリーをUSBキーボードとして動作させ、悪意のあるコマンドを入力させるといったことが可能になるとのこと

Open Source Vulnerability Database(OSVDB)では、ボランティアモデルによる運営が十分に機能していないため、非商用の個人に限ってデータを無償で提供しており、それ以外はライセンス契約が必要となっている。しかし、ライセンス契約を結んでいない組織によるデータの取得が増加しており、先日はMcAfeeによる2,000件以上の無断データ取得も確認されたそうだ(OSVDBのブログ記事、 The Registerの記事、 本家/.)。 McAfeeは昨年、商用利用に関する問い合わせをOSVDBにしていたが、処理が完全には自動化されていない点に難色を示したそうだ。OSVDBでは30日間のトライアル期間を提案したが、McAfeeが受け入れることはなく、話はそれで終わりになったという。しかし、5月4日になってMcAfeeのIPアドレスからリクエストが送信され始めたとのこと。リ

Microsoftは4月末に発見されたIEの脆弱性について、既にサポートが終了したWindows XP向けにも更新プログラムの提供を開始した(/.J記事)。Microsoftの決断を歓迎する声が聞かれる一方で、Windows XPユーザーを強制的に新しいOSへ移行させる大きな機会を逃してしまったとの見方もあるようだ(ExtremeTechの記事、 Dwight Silverman's TechBlogの記事、 本家/.)。 MicrosoftではWindows XP向けの更新プログラムを提供した理由として、サポート終了から間もないことを挙げているが、脆弱性は今後も発見されるだろう。数年前からサポート終了に向けて危険性の周知が行われてきたにもかかわらず、例外を一度作ってしまえば今後も同様の対応が必要となる可能性がある。TechNet Blogsの「日本のセキュリティチーム」では「Window

米国安全性評議会(NSC)が発表したInjury Facts 2014年版によると、自動車事故の4分の1以上が携帯電話の使用中に発生したものと推計されるそうだ(NSCのニュースリリース、 CBS New Yorkの記事、 本家/.)。 携帯電話の使用中に発生した自動車事故は推計で26%。前年から1%増加している。テキストメッセージ利用時の事故が推計で5%なのに対し、通話中の事故は推計で21%を占める。通話中の事故には携帯電話を手で持って使用している場合と、ハンズフリーを利用している場合の両方が含まれるという。そのため、ハンズフリーは集中力低下を軽減しないとして、運転中の携帯電話使用を全面禁止する動きもみられるとのこと。

リバプール大学の研究者らが、無線LANアクセスポイントを経由して感染する「Chameleon」と呼ばれるウイルスの実証実験に成功した（ScienceBlog、slashdot DC、EURASIP Journal、slashdot）。 このウイルスは、アクセスポイント（AP）を攻撃してそのファームウェアを書き換える機能を持っており、ファームウェアの書き換え後には攻撃されたことを認識されないよう、通常通りAPとして動作するという。しかし、この「感染した」APは接続してくるクライアントの認証情報を収集するという。さらに、周囲にある別のAPに対し攻撃を行い、同様にファームウェアの書き換えを試みるそうだ。 大きな問題点として、このようなウイルスはAP上にしかその痕跡を残さないので、PCのセキュリティソフトでは検出が難しいということがあるという。

東京地裁で12日、遠隔操作ウイルス事件の初公判が開かれた。被告は「徹頭徹尾、事実無根です」と述べ、起訴事実を否認したそうだ（毎日新聞、NHKニュース、日刊スポーツ、時事ドットコム）。 冒頭陳述で検察側は、被告の職場のパソコンにウイルスの痕跡が残されていた点や、江の島で首輪に記録媒体を付けられた猫に被告が接近する様子などが写された防犯カメラの映像などの状況証拠を提示。猫に首輪を付けることができたのは被告だけだと主張したという。弁護側は猫の首輪に記録媒体を貼り付けたテープから別人のDNAが検出された点や、首輪を取り付ける場面が防犯カメラの映像に写っていない点などを指摘。被告のパソコンに残された痕跡も遠隔操作による可能性があると反論したとのこと。 また、被告自身も1時間にわたって冒頭陳述を行い、ウイルス作成に使われたプログラミング言語について、まったく理解できないわけではないが「ウイルスのような

さまざまな機器をネットに接続できるようにする「モノのインターネット（Internet of Things）」が、スパムやマルウェアの温床になっているそうだ（slashdot、日経ITpro）。 BBCの記事によると、スパムを送信する冷蔵庫が発見されたという。冷蔵庫だけで無く、スマートTVやルーターなどさまざまなガジェットがスパム送信に使われていたという。スパム攻撃が確認されたのは昨年12月23日から今年1月6日の間で、トータルで75万通のメッセージが送信されていたそうだ。調査によるとその25％はPCやスマートフォンを経由せず、感染したガジェットから送信されていたという（元ネタのproofpoint記事）。

「インターポール」の名でも知られる国際刑事警察機構（ICPO）が、サイバー犯罪捜査を中心とする機関を9月にシンガポールに設立する（読売新聞、NHK）。 発足時は約70人、2016年には150人態勢にするとのこと。サイバー関係業務に携わるのは人員のおよそ半数。アジア各国の捜査当局からの出向者に加え、民間の情報セキュリティ会社からも10名をスタッフとして受け入れる。初代の総局長は警察庁からICPOに出向中の中谷昇氏。 「ルパン三世」の銭形警部など国際捜査官というイメージのあるICPOだが、実際にはそのような人員は存在せず、各国捜査当局の連絡協議体でしかない。リヨンの本部職員も約700人で、サイバー犯罪に専従する職員は4人しかいなかった。サイバー犯罪には国境の壁がなく、国際間の連携強化が必要であるため、「第二本部」ともいえる規模の機関設立となった。 新機関では従来のリヨン本部やブエノスアイレス事

イスラエル・テルアビブ大学の研究チームが、GnuPGが暗号文を処理する際に変化するパソコンの「電源鳴き」を取り込んで処理することで、4096ビットのRSA秘密鍵を1時間以内に解析できたそうだ(RSA Key Extraction via Low-Bandwidth Acoustic Cryptanalysis、 論文PDF、 Hack a Dayの記事、 本家/.)。 多くのCPUでは与える命令や結果によって消費電力、発熱、発するノイズなどが変化し、これを観察することで実行中の命令やデータを外部から推測することができる(サイドチャネル攻撃と呼ばれる)。通常この攻撃はスマートカードや小さなセキュリティチップなどに対して行われるが、このチームでは過去に処理するRSAキーによってPCの発する音が変化することを発見していた。 今回の実験では主に高感度マイクを標的PCの排気口に向け、アンプやデータ収

Dennis Technology Labs(DTL)が実施したセキュリティーソフトウェア9製品のテスト結果によると、Microsoft Security Essentialsの検出率が最も低く、100種類のマルウェアのうち、61種類しか検出できなかったそうだ(DTLのリポート: PDF、 PC Proの記事、 本家/.)。 テストはWindows 7上で行われ、マルウェアの検出率と正規ソフトウェアの誤検出率からトータルの正確性が算出されている。9製品中8製品が87種類以上のマルウェアを検出したのに対し、Microsoft Security Essentialsが検出できたのは61種類。このうち実行前にブロックできたのは46種類だったという。誤検出率は低かったものの、トータルでは66%の正確性で8位となった。最も成績が良かったのはKaspersky Internet Security 20

Vicarious社というソフトウェア企業が、90％以上の精度でCAPTCHAを識別することが可能になったと発表している（Science、本家/.）。 解除には人工知能を利用したコンピュータアルゴリズムが採用されているとのこと。GoogleやYahoo!、PaypalなどのCAPTCHAを解除する様子が動画で公開されている。 このシステムの開発には著名な研究者が数多く関わっているそうだ。これにより、新しいセキュリティシステムが必要とされるようになるかもしれない。 なおGoogleが10月25日に改良型CAPTCHAを発表しているが、これには対応できるのだろうか。

古い暗号化技術（DES）が使われているSIMカードにおいて、なりすましや乗っ取りが可能なセキュリティ上の脆弱性が存在すると、ドイツのSecurity Research Labs創設者のKarsten Nohl氏が指摘している（マイナビニュース）。SIMカードを乗っ取ることで電話のタダがけや通話/SMSの傍受などが行える可能性がある。 同氏によれば、SIMカードに対してSMSによるテキストメッセージを送信するだけで、2分程度で乗っ取りが可能だという。また、全世界の8分の1の携帯電話がこれに該当するという。 なお、最新のSIMでは暗号化アルゴリズムにトリプルDES（DES3）以上の規格が採用されているため、この脆弱性は影響しない模様。

イスラエルの民放局「Channel 10」が、3Dプリント銃をイスラエルの国会内に持ち込むことに成功した（本家/.）。 Channel 10はセキュリティ実験として実射可能な3Dプリント銃「Liberator」を製作、金属探知機を通過しイスラエル首相ベンヤミン・ネタニヤフの演説壇上から数メートルしか離れていない席に座り鞄から取り出した（元記事掲載動画6:30あたりから）。同チームはLiberatorの射撃場での実射実験も実行、発射に成功する様子も伝えている。 議会のセキュリティ当局はこの現象を新しい問題と認識し、早急に対策を練りたいとコメントしたとのことだ。 なお、実射実験では発射とともに銃身が激しく分離しており、実射には細心の注意を要する模様だ（実験では離れた場所から糸を使い引き金を引いている）。