Birdhead 曰く、

Flashback問題の記憶もまだ新しいところですが、Safari 5.1.7が登場しました（更新内容）。 Mac版においては「最新のアップデートが適用されていない Flash Player を無効にし、最新バージョンをダウンロードするオプションを表示」という機能が追加されたそうです。

あるAnonymous Coward 曰く、

2ちゃんねるのスレッドで、未使用のB-CASカードを書き換えて、有料放送を無課金で視聴できるカードにするという方法が話題になっているようだ（「カスカ 懐石・研究 3枚目」過去ログ、「カスカ 懐石・研究 4枚目」過去ログ）。

スレッドではいくつかの成功報告が挙げられている。ただ、B-CASカードの製造時期や未使用（BSには使っていない）であるといった動作条件がある模様。

以前タダでBSやCSを視聴できる「Magic B-CAS」カードや同種の「BLACKCAS」と同様、この書き換えを行うと有料放送を登録無しに 2038年まで視聴できるようになるという。BLACKCASに関する技術的な背景はまるも製作所が詳しい。

hiromichi-m 曰く、

FBI が Facebook や Skype に対し、「監視用」のバックドアを作るよう要求しているらしい (CNET の記事、WIRED の記事より) 。

米国には通信事業者に対し監視・盗聴をやりやすくするよう定めた CALEA (Communications Assistance for Law Enforcement Act) というルールがあるそうだが、Web サービスを提供する企業についてはこれは適用範囲外だそうで、FBI は監視・盗聴のやりにくさに不満を抱いているという。

あるAnonymous Coward 曰く、

先日武雄市が図書館の利用カードをTポイントカードに置き換える計画を発表したが、セキュリティ研究家高木浩光氏がこれに対しプライバシ保護の観点から苦言を呈した。これを知った武雄市長が高木氏に対し「公開討論をしましょうよ」と呼びかけた。高木氏は「専門外のことを話すことは許されていません」とこれを断ったのだが、武雄市長側はこれに反発、「上京してあなたの職場にこのblogを持って行きます」「国会議員に働きかけます」との発言を連発、失笑を浴びている（Togetterまとめ）。ちなみに高木氏が所属している産業技術総合研究所（産総研）は非特定独立行政法人であり、その職員は国家公務員ではない。

なお、図書館の利用カードをTポイントカード化する件に関する問題点は高木氏の最新の日記でまとめられている。

eggy 曰く、

ソルトレークシティー国際空港で、コロラド州在住の 10 代の女性が TSA 透視検査を受けたところ、身につけていた糖尿病患者用インスリンポンプが故障してしまうという問題が起きていたとのこと (本家 /. 記事、ABC4.com の記事より) 。

糖尿病患者である Savannah Barry さんは、TSA 職員に医師の診断書を提示したが、通常なら (TSA 職員が手で行う) パットダウン検査となるところが、今回に限っては TSA 透視検査を受けることになってしまったのだという。糖尿病患者の血糖値変化に合わせて 24 時間持続的にインスリンを自動投与するインスリンポンプが停止すれば、糖尿病患者の生命を左右することにもなりかねない。

Barry さんは二度とこうした過ちが起きる事がないよう、TSA 職員に対する研修プログラムの必要性を強く訴えている。

あるAnonymous Coward 曰く、

IPAがソースコードセキュリティ検査ツール「iCodeChecker」なるものを公開している。Cのソースコードをスキャンし、バッファオーバーフローや配列インデックスの検証不備、書式文字列問題といったセキュリティ問題を検出するというものだ。

ただし検出可能なソースコードには制限があり、100ファイル以下、構造体やgotoを使用していない、というものでなければ診断ができない。そのため、（学習用といえども）利用できるケースは相当に制限されそうな感じではある。

あるAnonymous Coward 曰く、

Twitterのユーザーアカウントおよびパスワード、電子メールアドレスが含まれると思われる情報が流出しているという（CNET Japan）。

流出した情報は、テキスト共有サイトpastebin.comにて公開されており、カウント名およびパスワードと見られるものが確認できる。この情報を伝えたセキュリティ情報ブログAirdemon.net（キャッシュ）によると、5万5000以上のアカウント情報が漏洩しているとのこと。

ただしTwitterの広報担当によると、このリストには2万件以上の重複があり、またすでに停止されているスパムアカウントや正しくないパスワード情報も多く含まれているとのこと。

また、一部のユーザーについてはパスワードのリセットが行われているとのことだ。該当するユーザーには個別に連絡が行っている模様。

ある Anonymous Coward 曰く、

もしあなたがテロリスト集団を動かしているのなら、自分の書類を暗号化しておくべきでしょう。しかし、オサマ・ビン・ラディンは暗号化していませんでした (本家 /. 記事より) 。

2011 年 5 月にネイビーシールがパキスタンのアジトで彼を殺したときに発見した USB、メモリーカード、HDD などに含まれていたデータのうち 17 の書類がアラビア語から英語に翻訳され米陸軍士官学校の CTC (Combating Terrorism Center) で公開されました。CTC のサイトより両言語の書類がダウンロードできます。

ある Anonymous Coward 曰く、

情報通信研究機構 (NICT) のプレスリリースによると、NICT の MASTAR プロジェクトが使っていたサーバー mastarpj.nict.go.jp が 5 月 1 日に改竄されたようだ (Zone-H.orgによる改竄時のミラー) 。

プレスリリースによれば、他サーバへの侵入および個人情報等のデータ漏洩は確認されていない、とのこと。

Kidzuki_Nihiru 曰く、

PHPをCGIとして使用する場合にリモートからコマンドライン引数を指定してPHP-CGIバイナリーを実行できるという脆弱性(CVE-2012-1823)が発見され、PHP開発チームはPHP 5.3.12とPHP 5.4.2を公開した。しかし、脆弱性が完全には修正されておらず、改めて脆弱性情報データベースにCVE-2012-2311として登録されたとのこと( threatpostの記事、 Die Eindbazenの記事、 Yet Another PHP Security Blogの記事、 徳丸浩氏のブログ記事)。

この脆弱性は2004年から発見されずに存在していたもので、Apache mod_cgiを使用している環境などが影響を受けるという。悪用されるとリモートからローカルディスク上のファイルを実行されたり、DoSを実行されたりする可能性がある。攻撃者がサーバーにファイルをアップロードできる場合、任意のコードを実行可能となる。広く使われているApache+mod_phpやnginx+php-fpmでは影響を受けないとのこと。

暫定的な回避方法については徳丸浩氏のブログやYet Another PHP Security Blogの記事を参照してほしい。Die Eindbazenの記事にはパッチも掲載されている。仕事やプライベートでPHPを利用されている方は急いで確認をしよう。

Symantecの分析によると、マルウェア「Flashback」の目的は広告クリックを乗っ取って収入を得ることだったという(BBC Newsの記事、 Symantec Connect Communityブログの記事、 ITmediaの記事)。

FlashbackはChrome、Firefox、Safariに広告クリックコンポーネントを組み込んで通信内容を監視する。ユーザーがGoogleで特定のキーワードを検索し、広告をクリックするとコントロールサーバーが指定したURLにリダイレクトされ、本来はGoogleが得るべき収入をFlashbackの作者が横取りするという仕組みだ。1クリックあたりの収入は0.8セント。4月上旬には60万台以上のMacがFlashbackに感染していたことが明らかになっており、感染規模が大きいことから1日あたり1万ドル以上の不正収入を得ていたとみられている。

一方、Dr. Webの調査によると、Flashbackのコントロールサーバーは2種類あり、1つが広告クリックのリダイレクト先を指定するためのもの、もう1つはバックドアへのコマンドを発行するためのものだという。後者のコントロールサーバーが正しく応答しない場合、Flashbackは日付から生成した文字列をハッシュタグに指定してTwitterを検索し、メッセージからコントロールサーバーのアドレスを取得する仕組みになっていたとのこと(Dr. Webのニュースリリース)。

原子力安全基盤機構(JNES)は、業務用パソコンが使用者の意図しない外部サイトと通信を行っていたことを発表した(プレスリリース: PDF、 時事ドットコムの記事、 毎日jpの記事)。

5月1日に外部の調査機関からマルウェア感染の可能性を指摘されて調査したところ、5台のパソコンが米国のサーバーと通信を行っていることが判明した。4月11日以降、1回あたり200バイトの情報が約1,000回送信されていたという。同機構は該当サイトとの通信を遮断したが、マルウェアはまだ検知されておらず、感染経路や種類も不明。資料等の流出は確認されていないとのこと。

ある Anonymous Coward 曰く、

CNET Japan の記事などによると、4 月 30 日午後に Apple がアプリ開発者宛てに送信された電子メールによれば、2012 年晩夏にリリースが予定されている新しい OS の Mountain Lion では、アプリケーション開発者に Developer ID での署名を対応を求めており、Gatekeeper という機能によりインストールできるアプリを制限する 3 段階のセキュリティが設けられているそうだ (CNET News の記事)。

アップル公式サイトの Gatekeeper の解説参照。MacPorts のように「他のソフトウェアをインストールするソフトウェア」の場合はどうなるのだろうかとふと思った。さて、Mountain Lion は晩夏登場とのことだがデベロッパーの皆様の準備は間に合うだろうか。

eggy 曰く、

米カンザス州のウィチタ・ミッド・コンティエント空港の保安検査場で今月 14 日、パットダウン (全身くまなく触れられるボディチェック) を受けるよう指示された 4 歳の少女、Isabella Brademeyer ちゃんが泣いて嫌がった騒動が物議をかもしているとのこと (本家 /. 記事、The Associated Press の記事より) 。

最初、少女は通常の検査を問題なく通過していた。だがパットダウンによる再検査を指示され列に並んでいた祖母の Lori Croft 氏に駆け寄ってしまったため、少女も同様にパットダウン検査を受けることになってしまったのだそうだ。最も問題視されているのは、同検査場にいた TSA 職員の態度である。パットダウンを嫌がって逃げ出した少女の保護者に「子供を捕まえないと空港を閉鎖することになる」と大声を出したとのこと。騒動の一連を Facebook に投稿した母親の Michelle Brademeyer 氏によれば、検査に当たった TSA 職員は 4 歳の少女に対する思いやりのかけらもなく「まるでテロリストでもあるかのような」扱いだったという。

TSA は今週火曜日の声明で、12 歳以下の子供に対する検査手続きを修正し、子供へのパットダウン検査の必要性を軽減させたことを発表。一方で、「同事件の調査を行ったが、当職員は規定通りの検査手順に従い、加減したパットダウンを行っていたと判断」したとのことで、職員の行ったパットダウンは正当であったとの見解を示している。

Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。

たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み取られる可能性がある。一方、アプリはURIを指定してWebブラウザーを起動できるが、こちらもパーミッションは要求されない。そのため、インターネットアクセスが許可されていないアプリであっても、URIにパラメーターとして指定することで、サーバーにデータを送信することが可能となる。

言われてみればそのとおりなのだが、こういった点はあまり気にされていなかったと思う。アドレス帳データをバックアップした場合のように、個人情報が暗号化されずにSDカードに保存されることも多いので注意が必要だ。Leviathan Security Groupでは実証に使ったAndroidアプリおよびプロジェクトファイルも公開しているので、興味のある方は確認してみるといいだろう。