Ashley Madisonから流出した3,600万件以上のアカウント情報から、パスワードクラックが進められている。既に1,170万件以上のパスワードをクラックしたというCynoSure Primeというグループによれば、使うべきではない弱いパスワードとして紹介されることの多い人気パスワードが上位を占めている一方で、サイト利用者の心情を表すような興味深いパスワードも数多く見つかっているそうだ（CynoSure Prime: クラック手法の解説、クラックされたパスワードの解説、Ars Technicaの記事[1]、[2]、[3]）。 Ashley Madisonのパスワードハッシュ生成にはbcryptが使われており、すべてのパスワードをクラックするには何世紀もかかるとみられていた。しかし、CynoSure Primeはソースコードを解析し、「$loginkey」と名付けられたハッシュ値の生成

INAXのスマホ対応便器に対し、米情報セキュリティ企業Trustwaveがセキュリティに関する注意勧告を発表したそうだ（本家/.、セキュリティアドバイザリ）。 問題とされているのは、スマートフォンリモコンなる機能が搭載されているINAXの便器「SATIS」シリーズ。スマートフォンから専用アプリケーション「My SATIS」を使い、Bluetooth経由でシャワートイレの設定を変更したり、トイレを操作したり、スマートフォンに保存している音楽を再生できるというものだ。 問題となっているのは、この「スマートトイレ」ではBluetoothのPINが「0000」にハードコードされている点。そのため、攻撃者はMy SATISアプリケーションを利用して任意のトイレを思うままに制御できるという。例えば連続して水洗させて水道使用量を増加させたり、おしり洗浄やビデ洗浄、温風乾燥といった機能を操作したり、蓋の開

Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。 たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み

時事通信によれば、1/1にとうとう在日米国大使館からの公電がWikileaksのサイトで初めて公表されたようだ。公表されたのは、09TOKYO2529、09TOKYO2588、10TOKYO171のリファレンスIDが付いたもので、いずれもIWC（国際捕鯨委員会）における米国との交渉に絡むもののようだ。その関連で日本の立場に影響を与える外的要因の一つにシー・シェパードが挙げられており、米国側がシー・シェパードに対して税制上の問題の有無を調べていたことが示されている。それに対して、日本側はシー・シェパードが米国で訴追されればIWCでの交渉の前進が容易になるとの見通しを出していたようだ。 おそらく、Wikileaks側が国際的に関心が高いものを選んだ結果の公表だと思うが、今後はさらなる爆弾が待っているかもしれない。