Google はユーザーを面倒なパスワード管理から解放するために OpenID を広めようとしているが、それまでの一時的な解決策として、登録や認証を要求するサイト用に強いパスワードを作ってくれるツールの開発を行っているとのこと (本家 /. 記事、Threat Post の記事より) 。 同ツールが完成すれば、Chrome を使用しているユーザーがパスワードを必要とするサイトに新規登録またはパスワードを登録し直す際、小さな鍵のアイコンが表示されるようになるのだという。そのアイコンをクリックすると、Chrome がユーザーの代わりにパスワードの候補を幾つか挙げてくれるのだそうだ。

セキュリティーの脆弱性を突いて Facebook のシステムに侵入した 26 歳の英国人男性に、8 ヶ月の禁固刑が下された。同氏は Facebook の「計り知れない程の価値がある」知的財産を、外部のハードディスクにダウンロードしていた。氏は侵入した痕跡を隠したが、Facebook はシステムチェックを通して犯行があったことを発見したとのこと (BBC News の記事、本家 /. 記事より) 。 ソフトウェア開発専攻の学生 Glenn Mangham 氏は昨年の 4 月から 5 月にかけて、ヨークシャーにある自宅のベッドルームから Facebook のシステムに不正侵入して内部の機密情報を入手したことを認めているものの、自身を「倫理的ハッカー」であるとし、金銭目的ではなかったと主張している。同システムの脆弱性を検証して Facebook に警告するつもりだったという。過去にも Yahoo

オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと（本家/.、University of Twente公式サイト）。 同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。 パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き

先週、シリア大統領府のメールサーバーがサイバー攻撃を受け、大統領側近やスタッフのメールアカウント情報が流出したことが報じられたが、3分の1以上のアカウントでパスワードに「12345」が設定されていたという(Foreign Policyの記事、 Haaretzの記事、 本家/.)。 LulzFinancialが公開したリストに掲載されているメールアドレスは78件。これらのうち、パスワードに「12345」と設定されていたのは28アカウント。また、5つのアカウントには「123456」というパスワードが設定されていた。 ちなみに、パスワードが「12345」だったことから、本家/.では映画「スペースボール(1987)」の話題で持ちきりとなっている。

5 年ほど前の /.J 記事で紹介されたソニーの共通鍵ブロック暗号「CLEFIA」だが、ISO/IEC での最終承認を経て軽量暗号 (Lightweight Cryptography) の国際標準規格 ISO/IEC 29192 の一つとして採択された (ソニーのニュースリリースより) 。 CLEFIA は、米国政府標準暗号 AES と同じインタフェースに対応し、ブロック長が 128 ビット、鍵長は 128 ビット、192 ビット、256 ビットから選択可能なブロック暗号。CLEFIA は最新の暗号設計理論をベースとして高い安全性を保ちつつ、コンパクトな実装に適した一般化 Feistel 構造を採用し、演算量を低く抑えつつ安全性を確保できる「拡散行列切り替え法」や、データ処理部と鍵スケジュール部の部品の共通化などを行っている。従来は両立が困難であったハードウェアとソフトウェアでの効率的な実

朝日新聞に、「〈ニュース圏外〉密かに続くネット流出　さらす側の本音」なる記事が掲載されている。以前、Winnyなどのファイル共有ソフトを利用しているユーザーが暴露ウイルスに感染、機密情報などを流出させる事件が発生したが、この記事は流出した情報を収集して「晒す」人たちを取材したものだ。 記事によると、「晒す側」の中心メンバーは2、3人で、そのうち2人に取材したという。1人は首都圏に住む50代男性、1人は東北地方の60代男性で、後者は情報流出を流出元に知らせ、「詳細について知りたければ契約を」という形で1件あたり5～15万円程度の収入を得ていたという。 また、この記事では記されていない取材の裏側について、朝日新聞記者の神田大介氏がTwitterで述べている。こちらも興味深い。

Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという（Togetterまとめ：Amazonのほしい物リストを公開していると個人情報を抜かれます）。 必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。 これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい

無線LANの接続設定規格「WPS（Wi-Fi Protected Setup、WPS）」で用いられているPIN認証の仕様に脆弱性が確認された（JVNの脆弱性情報）。 WPSでの接続設定では、認証を行わせたい機器同士で同時にプッシュボタンを押す「プッシュボタン方式」と、4～8桁の暗証番号を利用する「PIN認証方式」がある。8桁のPIN認証を利用する場合、PINコードは10の8乗、1億通りの組み合わせがあるように見えるが、PIN認証に失敗したときにアクセスポイント側から送信される「EAP-NACK」メッセージを利用すれば、送信したPINコードの前半4桁部分が正しいか否かを判断できてしまうという。また、PINコードの最後の1桁はチェックサムであるため、結果として10の4乗＋10の3乗、計1万1000通りの組み合わせを試行すれば認証に成功してしまうという。 WPS対応機器では間違ったPINを送信し

さまざまな場所で使われているQRコードだが、マルウェアの作者もQRコードの利用を始めているらしい（Dark Readingの記事、本家/.）。 QRコードは携帯電話のカメラでスキャンするだけでWebサイトを表示できるなどの手軽さが受けているが、目で見ただけではスキャン結果がわからないという問題がある。そのため、マルウェアをダウンロードさせたり、フィッシングサイトに誘導したりといった攻撃に使われる例があるのだという。QRコードによる支払いサービスが利用される可能性も指摘されている。 謎のQRコードを見かけると、ついスキャンしてみたくなる人も多いだろう。しかし、未知のQRコードをスキャンすると攻撃のターゲットになってしまう可能性もある。そのため、読み取り結果を確認してから操作を実行できるQRコードリーダーが推奨されるとのことだ。

ハッカー集団Anonymousが、米民間調査機関Stratfor Global Intelligenceのサイト「stratfor.com」に不正アクセス、顧客のクレジットカード情報を入手し公開したという。さらにAnonymousのメンバーは盗んだクレジットカード情報で慈善団体に寄付を行ったとも述べている（ITmedia、日経新聞）。 同社は現在攻撃を受け、サーバーおよびメールの運用を停止して調査を行っているとのこと。

MIT の研究者らが、暗号化されたデータを復号せずに機密性を維持したまま検索やソート、演算処理などを行えるデータベースソフトウェア CryptDB を開発したとのこと。同ソフトウェアは 10 月に開催された Symposium on Operating System Principles でお披露目されている (Forbes の記事、本家 /. 記事 より) 。 CryptDB は、データを「タマネギの皮」のように何層にも暗号化し、各層をそれぞれに違った鍵で守るという仕組みとなっている。極めてセキュリティー性の高いソフトウェアであるもののどんな演算処理も行えるというものではなく、例えば平方根の計算はできないとのこと。こうした完全準同形暗号は既に Gentry が 2009 年に発表しているが (IBM のプレスリリース)、暗号化されたデータを処理するのに膨大な時間がかかってしまうという欠点

通信の安全性を考慮して電子メール暗号化ソフトを利用している人はどれ程いるのだろうか？ 本家/.にて、電子メールの暗号化についての議論が挙がっている。 初めてPGPのことを聞いた何年も前のことになるが、比較的簡単に電子メールを暗号化することのできる拡張機能を見つけた。今日、電子メールは安全性が極めて低い通信手段である一方で、また電子メールの暗号化ソフトは簡単に利用できるにも関わらず、私の知り合いで電子メールを暗号化しているのは一握りしかいない。私が初めて暗号化の設定を行った時には、まさかこのようなことになるとは予測できなかった。 そこで私は/.erの皆さんに問いたい。電子メールを暗号化していますか？もし暗号化していないのであれば何故ですか？そして、PGPの暗号処理、またはそれに準じた方法が当たり前の常識とならなかったのは何故だと思いますか？ 暗号を使用することが熱い話題となった時もあったのに