あるAnonymous Coward 曰く、

SafariはサードパーティCookie（閲覧しているWebページのドメインとは異なるドメインが発行するCookie）をデフォルトでブロックするようになっているのだが、Wall Street Journalが「GoogleはSafariが本来ブロックするはずのサードパーティCookieを特殊なコードを使って有効にしている」との旨を報じている（2月17日付けの日本語記事、記事原文）。

WSJの記事では技術的な内容についてはあまり触れられていないが、EngadgetやWSJのブログ記事によると、Safariは通常はサードパーティCookieをブロックするが、フォームを用いてユーザーが情報を送信した場合は例外としてサードパーティCookieを受け入れる仕様になっているそうだ。問題のコードはIFRAMEとJavaScriptを使って不可視のフォームを自動的に送信するというもので、これによりSafariはその後GoogleによるサードパーティCookieを受け入れてしまうようになるという。

Googleはトラッキングのためにこれを用いていたわけではなく、広告にGoogle+の「+1」ボタンを埋め込むためだけに使っていたと主張している。送受信されるCookieは「Googleのサーバーと一時的に通信を行うためだけに利用し、送信される情報は匿名のものでトラッキングに利用するようなものではない」と述べている。しかし、これによる副作用でその後GoogleのサードパーティCookieが受け入れられるようになり、その結果Safariのユーザーはトラッキング用のCookieも受け入れてしまうという。

技術的な内容について詳しくはmala氏がまとめているが、フォームの送信でサードパーティCookieがブロックされない件はGoogleのエンジニアによってバグとされ、WebKitレベルでは修正されているという。

この問題を受け、20日にMicrosoftもIEBlogで「GoogleはIEでもプライバシ設定を迂回している」と非難している。IE6以降はデフォルトでサードパーティCookieをブロックするようになっており、「P3P」という規格に準じた形で設定されたサードパーティCookieのみ受け入れるようになっているそうなのだが、「機械可読でないP3Pポリシーが設定されたサードパーティCookieは受け入れる」という仕様になっていたため、簡単に迂回できてしまうそうだ。Engadgetが詳しく解説しているが、このP3P規格はすでに時代遅れとなりほとんど使われていないとのこと。ちなみに、Facebookなどもこの迂回手段を使っているそうだ。

kieru_haim 曰く、

ハッカー集団Anonymousが、「ルートDNSサーバーを3月31日にダウンさせる」と宣言したそうだ（ITmedia）。

Anonymousを名乗る声明では、この攻撃を「グローバルブラックアウト作戦」と命名。「SOPA（米国議会で審議されている海賊行為防止法案）、ウォール街、無責任な指導者そして銀行家に抗議するため」と称し、13あるインターネットのルートDNSサーバを3月31日にダウンさせると宣言した。

とのこと。

ルートDNSサーバーがダウンすれば、ドメイン名でのホストへのアクセスが不可能になるため、まさに「インターネットがダウン」する状態となる。ただ、セキュリティ企業などはこれに成功するかについて懐疑的で、すべてのルートDNSをダウンさせることは難しいのではという見方をしているようだ。

danceman 曰く、

セキュリティーの脆弱性を突いて Facebook のシステムに侵入した 26 歳の英国人男性に、8 ヶ月の禁固刑が下された。同氏は Facebook の「計り知れない程の価値がある」知的財産を、外部のハードディスクにダウンロードしていた。氏は侵入した痕跡を隠したが、Facebook はシステムチェックを通して犯行があったことを発見したとのこと (BBC News の記事、本家 /. 記事より) 。

ソフトウェア開発専攻の学生 Glenn Mangham 氏は昨年の 4 月から 5 月にかけて、ヨークシャーにある自宅のベッドルームから Facebook のシステムに不正侵入して内部の機密情報を入手したことを認めているものの、自身を「倫理的ハッカー」であるとし、金銭目的ではなかったと主張している。同システムの脆弱性を検証して Facebook に警告するつもりだったという。過去にも Yahoo のシステムに同様に侵入したが、その時は脆弱性を報告しており報酬として 7,000 ドルを受け取っている。

今回は米連邦捜査局 (FBI) 及び英国捜査当局を巻きこむ大事態に発展し、また Facebook は同不正侵入の調査に 20 万ドルの費用がかかったとしており、実際に金銭目的の犯行ではなかったのにせよ、Facebook に実質的な被害を及ぼし、また深刻な被害をもたらす可能性もあったことから、裁判官は氏の行動を「無害ではなかった」と判断したとのこと。

danceman 曰く、

Google はユーザーを面倒なパスワード管理から解放するために OpenID を広めようとしているが、それまでの一時的な解決策として、登録や認証を要求するサイト用に強いパスワードを作ってくれるツールの開発を行っているとのこと (本家 /. 記事、Threat Post の記事より) 。

同ツールが完成すれば、Chrome を使用しているユーザーがパスワードを必要とするサイトに新規登録またはパスワードを登録し直す際、小さな鍵のアイコンが表示されるようになるのだという。そのアイコンをクリックすると、Chrome がユーザーの代わりにパスワードの候補を幾つか挙げてくれるのだそうだ。

danceman 曰く、

オランダのTwente大学で、学生らに大学職員のノート型パソコンを盗み出す課題を与えたところ、職員に配布されたパソコン30台はたった60回の試みにして全て盗まれてしまったとのこと（本家/.、University of Twente公式サイト）。

同実験は、Trajce Dimkov教授による、団体組織のセキュリティ対策に関する研究の一環として行われた。ユーザーの調査という名目で任意に選ばれた大学職員30名にノートパソコンを貸し出し、必ずパソコンを机にチェーンで繋ぎ、パスワードロックをかけ、部屋を退出するときにはドアに鍵をかけるよう指示した。一方の学生らには、科学的実験の一環であると説明して職員のパソコンを盗み出す課題を与えた。

パソコンを盗み出すには、「話をデッチ上げて」清掃員や管理人の協力を得られるようにすると上手くいくようだ。例えば技術者の振りをしたり、「指導教授の部屋にパソコンを置き忘れてしまったが、宿題を終わらせなくてはならずパソコンが今すぐ必要だ」などの嘘をついて部屋の鍵を開けてもらうのである。

この実験の結果、団体組織のセキュリティがどんなに強化されようとも、人間行動が要因となってセキュリティが活かされないことが露呈されることとなった。また同実験に協力した学生らには単位が与えられたとのこと。

あるAnonymous Coward 曰く、

2月18日から19日にかけて、九州工業大学でセキュリティ競技会「SECCON CTF」が開催されるという（読売新聞）。

先日、米DEFCONのハッカー競技会「DEFCON CTF」で日本人が予選を突破したことが話題になったが、日本ではこのような競技会が行われておらず、若い世代の不足や攻撃技術の実戦経験不足といった課題があるという。そのため、日本国内でもこのような競技会を開催することになったそうだ（なぜ SECCON CTF を開催するのか？）。

「エントリの締め切りは、会場隣接の宿泊先（先着13名、1チーム4名まで）を希望する場合は2012/2/15(水) 17:00までです。その他の場合は2012/2/17(金) 12:00まで」（申込みページ）とのこと。出題ジャンルは「ファイル解析（バイナリ）、フォレンジックス、ネットワーク、トリビア、Web、プログラミング、その他（OS、暗号など）」とのことだ。学生補助もあるとのことなので、興味のある学生の方は検討してみてはいかがだろうか。

あるAnonymous Coward 曰く、

ジャストシステムがセキュリティソフト「JUSTインターネットセキュリティ」をリリースした。「初期費用も更新料も無料」で、広告で収入を得るビジネスモデルだという。また、広告表示がなくなり、また電話/メールによるサポートを受けられる有償版も月額315円で提供する（プレスリリース）。対応OSはWindows XP/Vista/7で、Vistaおよび7については64ビット版も対応する。

ジャストシステムが自社で開発したセキュリティソフトだが、エンジンなどはパートナー企業から提供されているという。搭載する機能はウイルス/スパイウェア対策およびファイアウォール、フィッシング対策、個人情報保護など。ウイルス対策については常時監視と手動スキャンの両方を備えている。

軽量さや使いやすいインターフェイスなどをうたっており、また一時的にリアルタイム保護やスキャンを抑制する「ゲームモード」も備えているそうだ。無料のセキュリティソフトはすでに複数あるが、これらに対抗できるのだろうか？

先週、シリア大統領府のメールサーバーがサイバー攻撃を受け、大統領側近やスタッフのメールアカウント情報が流出したことが報じられたが、3分の1以上のアカウントでパスワードに「12345」が設定されていたという(Foreign Policyの記事、 Haaretzの記事、 本家/.)。

LulzFinancialが公開したリストに掲載されているメールアドレスは78件。これらのうち、パスワードに「12345」と設定されていたのは28アカウント。また、5つのアカウントには「123456」というパスワードが設定されていた。

ちなみに、パスワードが「12345」だったことから、本家/.では映画「スペースボール(1987)」の話題で持ちきりとなっている。

danceman 曰く、

Foxconnをサイバー攻撃して取得したとするデータがThe Pirate Bayに投稿された(9to5Macの記事、 SecurityWeekの記事、 Computerworldの記事、 本家/.)。

サイバー攻撃はSwaggSecと名乗るグループによるもので、Foxconn社内で使われているInternet Explorerの未修正の脆弱性を突いてアクセス権を取得したという。Foxconnの過酷な労働環境に抗議するメッセージが添えられたデータには、メールサーバーや顧客向けの発注用サイト、イントラネットのログイン情報が含まれるとのこと。これらの情報により、Foxconnに対して虚偽の発注を行うことも可能だとSwaggSecは主張している。公開された情報を使用してログインできることを9to5Macが確認しているが、その後サーバーはオフラインになっている模様。

一方、米ニューヨークでは9日、Foxconnの労働環境改善を求める約25万件の署名が、デモ隊によりアップルストアのグランドセントラル店に届けられた。数百枚に及ぶ署名は郵便受けに入らなかったため、店長に手渡されたとのこと。この日はニューヨークよりも先にバンガロールとロンドンのアップルストアに署名が届けられており、ワシントンDCとサンフランシスコ、シドニーが続くという(CNNMoneyの記事)。

774THz 曰く、

三菱重工は、船舶の復元力回復装置と同装置を搭載したロールオン・ロールオフ一般貨物船(RORO船)を開発した( ニュースリリース、 日本経済新聞の記事)。

復元力回復装置は、損傷により浸入した海水を船底部の空きスペースに導くことで、重心をすばやく下げて復元性を高めるというもの。海上人命安全条約(SOLAS)の改正により、航行時の安全性に関する規制が強化されたことを受けて開発された。復元力回復装置が搭載されるのはRORO船のほか、自動車専用運搬船およびフェリーの3船種。いずれも船の上部に自動車の積載スペースがあり、浸水時に船体が傾きやすい構造となっている。

あるAnonymous Coward 曰く、

シマンテックはスマートフォンのWeb利用状況監視や遮断を行う無料アプリ、「ノートンセーフティーマインダー」をAndroidマーケットで提供開始した(ニュースリリース、 ITProの記事、 ITmediaの記事)。

「ノートンオンラインファミリー」の一機能として追加されたもので、現在のバージョンはAndroid 2.2および2.3に対応。監視や遮断に対応するのはAndroid標準ブラウザーのみとなっている。Web利用状況の管理はノートンオンラインファミリーWebサイトにログインして行う。現在米国で提供している有料サービス「ノートンオンラインファミリープレミア」も年内に提供開始するという。この有料サービスと組み合わせることで、SMS/MMSやアプリの監視も可能になる。時期は未定だが、iOS対応版のノートンセーフティーマインダーも提供予定とのことだ。

あるAnonymous Coward 曰く、

iPhone向けのSNSアプリ「Path」で、ユーザーに無断でiPhone内の連絡先データをサーバーに送信していたことが発覚、サービス提供元が謝罪して仕様変更を行うこととなった（ITmedia）。

PathはiPhoneおよびAndroidで利用できるSNSアプリで、ほかのSNSと同様、写真や位置情報、文章などを登録した「友人」と共有できるものだ。ほかのSNSとは異なり、友達として登録できるのが150人までと少なく、またiPhoneおよびAndroidからしか利用できないのが特徴。

Pathはアプリのインストール後にユーザー登録を行うが、このときに連絡先情報を送信する仕様になっていたという。このようにユーザーの了解を得ずに電話帳データを送信していることが明らかになっていないアプリはほかにもあるかもしれない。iPhoneユーザーは電話帳データの管理に注意した方が良さそうだ。

capra 曰く、

Symantec は、ダウンロード毎に変異を行う Android 向けマルウェアが見つかったことを明らかにした (TechWorld の記事、本家 /. 記事より) 。

このマルウェアは SMS を利用したトロイの木馬であり、毎回変異することによってアンチウィルスソフトウェアからの検出を免れる手口を使っているとのこと。「サーバサイド・ポリモーフィズム」と呼ばれるこの仕組みはデスクトップ向けマルウェアでは何年も前から存在していたが、モバイル端末向けのマルウェアで使われ始めたのはつい最近とのことだ。

ユーザがアプリケーションを手に入れる Android Market ではこのような手口のマルウェア配布は許可されていないため、直ちに広まる恐れはないとのこと。ただしデスクトップ向けマルウェアの様々な手口はこれからもモバイル端末向けに展開されることが予想されるため、今後はより一層高度なセキュリティ対策が求められるようになるとのことだ。

danceman 曰く、

求職中だった26歳のハンガリー人男性が、企業のシステムに悪意あるコードを注入し、それを元に採用を迫ったとして逮捕され、3かヶ月の禁固刑を言い渡されるという事件が米国で発生した（本家/.、SECURITY WEEK記事）。

男性の供述によれば、同社の特定の社員に宛てた電子メールを通じてシステムにマルウェアを仕込み、作成したバックドアから同社の情報に不正アクセスしていたという。騒動の解明や不正にアクセスされたデータを特定するのに、100人以上の従業員を巻き込んでの調査を行うこととなったそうだ。同社の訴えによれば、同事件に絡む給与やコンサルタント費用として40万ドルから100万ドルの支出があったとのこと。

罪の重さ、企業側の被害総額を考慮すれば、氏に言い渡された30ヶ月の禁固刑は比較的軽いと言えるかもしれない。

あるAnonymous Coward 曰く、

Facebookにて、マルウェアが仕込まれた偽のCNNニュースページへのリンクがシェアされて拡散する事態が発生したそうだ（Computerworld、本家/.）。

この偽ページには「米国がイランとサウジアラビアに対し攻撃を開始した」という内容と、その動画とされるものが掲載されており、ユーザが動画のサムネイルをクリックするとAdobe Flash Playerのアップデートを促すポップアップが表示され、これを承諾するとコンピュータにマルウェアがインストールされるという古典的な手法でユーザーを攻撃するものとなっている。

セキュリティ企業Sophosによると、登場から3時間内で6万人以上がこのページをフォローしたとのこと。Facebookは問題のリンクを削除したが、同様の他のリンクがまだ共有されており、Facebookによるリンク削除と新たな詐欺ページ登場のいたちごっことなっているようだ。

なお、Facebookはこの問題がどれだけ広まっているか、またFacebookのセキュリティが侵害されたのかといったIDG News Serviceからの質問には回答していないとのことだ。