あるAnonymous Coward 曰く、

米国の告訴の手から逃れるため、WikiLeaksのサーバを海上に移設する計画があるそうだ（Fox News、本家/.）。

WikiLeaksの活動に詳しいというハッカーコミュニティの複数の情報筋によると、WikiLeaksの創設者ジュリアン・アサンジ（Julian Assange）氏の財政的支援者らはサーバを公海へと移設すべく船舶を購入する手はずを整えているそうだ。

移設先は第二次世界大戦中に海上要塞として建設されたシーランド公国が一つの候補ではないかと見られているそうだ。シーランド公国は英国沖10kmに浮かんでいるが、1968年の英裁判での判決にて英国司法の管轄外とされており、また周辺諸国も領有を主張していない。
公海にサーバを移設すれば、海事法による取り締まりの対象となり、海事法でアサンジ氏を告訴することは難しくなるとのことの考えのようだが、一方「告訴は人に対して行うのでありサーバーを訴えるわけではない」とのことでデータの在処は関係ないとする見方もある。

danceman 曰く、

携帯電話はもはや電話というよりもコンピューターに近いものに進化しつつあるが、それと同時に世界中で既に何百万台もの携帯電話がウィルス感染の被害を受けているという。専門家らの予測によれば、同問題はさらに深刻化し 2012 年の災難になるだろうとのこと (The New York Times の記事、本家 /. 記事より) 。

通常、携帯電話には PC 以上に多くの個人情報が保有されているため、防御策をとらないまま携帯電話をぞんざいに操作した結果、盗聴といったプライバシーの侵害、データの破壊及び流出などの被害を受ける可能性があるのだそうだ。こういった被害を受けないための策はいくつかあり、その一つとして人気アプリの無料非公式版を避けることが挙げられている。こうしたアプリのコードにはマルウェアが隠されていることがよくあるのだそうだ。また不正侵入を受ける危険性があるため、スターバックスや空港での公共 Wi-Fi の使用を避けるべきとのこと。加えて、電話をかけることやインターネットへの接続、または身分や位置情報を明らかにすることの権限を要求するアプリには気をつけた方がよいとのこと。

dodonga 曰く、

5 年ほど前の /.J 記事で紹介されたソニーの共通鍵ブロック暗号「CLEFIA」だが、ISO/IEC での最終承認を経て軽量暗号 (Lightweight Cryptography) の国際標準規格 ISO/IEC 29192 の一つとして採択された (ソニーのニュースリリースより) 。

CLEFIA は、米国政府標準暗号 AES と同じインタフェースに対応し、ブロック長が 128 ビット、鍵長は 128 ビット、192 ビット、256 ビットから選択可能なブロック暗号。CLEFIA は最新の暗号設計理論をベースとして高い安全性を保ちつつ、コンパクトな実装に適した一般化 Feistel 構造を採用し、演算量を低く抑えつつ安全性を確保できる「拡散行列切り替え法」や、データ処理部と鍵スケジュール部の部品の共通化などを行っている。従来は両立が困難であったハードウェアとソフトウェアでの効率的な実装を同時に達成しているとのことだ。

リソースが限られた機器や省電力性が求められる機器においても高い性能を発揮することが可能で、スマートカードやRFIDタグ、センサーネットワーク、医療機器などでの利用にも適しているという。

マルウェア「Android.Counterclank」を組み込んだアプリが13本、公式のAndroidマーケットで発見された。リストアップされているアプリのうち、現在も8本が公開されている(Symantec Official Blogの記事、 Computerworldの記事、 本家/.)。

Android.Counterclankは「Android.Tonclank」の亜種で、端末情報などを収集して攻撃者のWebサイトに送信するものだという。発見されたアプリは「iApps7 Inc」、「Ogre Games」、「redmicapps」という3開発者により公開されている。1ヶ月以上公開されていたアプリもあるとのことで、Symantecは100万人から500万人のユーザーがダウンロードしたと推定している。

(追記 1/29 17:17) iApps7 Incのアプリが1本に減り、公開中のアプリは6本となっている。

あるAnonymous Coward 曰く、

Symantecは、同社製品のソースコード流出を受け、リモートアクセスソフトウェア「pcAnywhere」の無効化をユーザーに呼びかけている(ホワイトペーパー: PDF、 CNET Japanの記事、 本家/.)。

流出したソースコードは2006年バージョンのもので現行版への影響は少ないが、pcAnywhereの場合は通信傍受や不正アクセスなどを受ける可能性があるという。pcAnywhereはPC同士が直接接続して通信を行うため、エンコード技術や暗号化技術に関するソースコードを攻撃者が入手していれば、通信内容が読み取られる可能性がある。また、傍受によりログイン情報が盗まれた場合は、不正なリモートセッションが確立される可能性もあるとのこと。

Symantecはこの問題を脆弱性と認識しており、1月23日にバージョン12.5用のパッチを公開済み。バージョン12.0と12.1用のパッチも先週中に公開する予定とされていたが、現時点では提供開始のアナウンスはない。すべての更新完了までpcAnywhereクライアントだけでなく、リモートアクセスサーバーやサービスの停止なども推奨されている。

pianodrop 曰く、

1月24日の情報セキュリティ政策会議で、国の情報セキュリティ対策の官民連携強化策がまとまった。昨年の三菱重工業へのサイバー攻撃を受け、対応を検討していたもの。強化策の主な内容は、（1）国の安全に関する重要な情報を扱う契約に情報セキュリティ条項を定め、遵守することを求める。（2）国の最高情報セキュリティ責任者（CISO）を内閣官房に置き、全府省庁にサイバー攻撃への即応チーム（CSIRT）を設けるよう求める、など（毎日新聞の記事、読売新聞の記事、時事通信の記事）。

情報セキュリティ条項では情報システム関連のみならず、一般の調達等に関しても情報セキュリティ対策を求めることとなる。情報保全に向けた企業経営者の責任の明確化、情報漏えいや目的外使用があった場合は直ちに発注府省庁に報告することなどを契約要件とする。具体的な内容は各府省庁がこれから検討する。対象業種や報告基準がどう定まるのか注目される。

政府CISOには内閣官房情報セキュリティセンター（NISC）長の桜井修一氏が就任する。各府省庁のCSIRTの連絡調整などにあたる。また、企業でもCSIRTの様な専門的な部隊を整備するよう促進し、官民での専門的、実務的な連携を図っていくとのこと。

あるAnonymous Coward 曰く、

コンピューターウイルスを作成・送信したとして、大阪府在住の男性が不正指令電磁的記録供用の疑いで逮捕され、その後不正指令電磁的記録作成容疑と合わせて送検された。不正指令電磁的記録作成は「ウイルス作成罪」とも言われているが、この罪状の適用は初めてとなる（時事通信）。

読売新聞によると、容疑者は別の男性と共同で運営していたアニメサイトの運営方法を巡ってトラブルとなっていたという。問題となるウイルスはWebサイトに埋め込むタイプのもので、埋め込まれたWebサイトにアクセスすると「容疑者が運営していたサイトに書き込みをしたように発信記録を偽装する」という。

容疑者は男性に対しウイルスを設置したサイトに誘導するメールを送信、ウイルスを使って「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」との文言を男性が書き込んだように偽装し、「男性に脅迫された」と大阪府警に相談したという。

朝日新聞に、「〈ニュース圏外〉密かに続くネット流出　さらす側の本音」なる記事が掲載されている。以前、Winnyなどのファイル共有ソフトを利用しているユーザーが暴露ウイルスに感染、機密情報などを流出させる事件が発生したが、この記事は流出した情報を収集して「晒す」人たちを取材したものだ。

記事によると、「晒す側」の中心メンバーは2、3人で、そのうち2人に取材したという。1人は首都圏に住む50代男性、1人は東北地方の60代男性で、後者は情報流出を流出元に知らせ、「詳細について知りたければ契約を」という形で1件あたり5～15万円程度の収入を得ていたという。

また、この記事では記されていない取材の裏側について、朝日新聞記者の神田大介氏がTwitterで述べている。こちらも興味深い。

RainCat 曰く、

警察庁は24日、不正アクセス禁止法改正案の概要をまとめた（毎日新聞）。

この改正案が成立すれば、他人のIDやパスワードの不正な取得だけでなく、不正取得を試みる行為（いわゆるフィッシング）まで罪に問えるようになる。

なお、現在の法律では不正アクセスが行われた後にしか罪に問えないため、銀行業界などが未然防止などの対策を求めていた。

改正案ではフィッシング行為だけでなく「偽サイトを作成して閲覧可能にする」「偽サイトに誘導するメールの送信」も処罰対象で、いずれも「1年以下の懲役または50万円以下の罰金」となるという。

masakun 曰く、

昨年秋の「政府、職員向けにサイバー攻撃に対する訓練」というストーリーを覚えておられるだろうか。

その後伝えられるところによると、12の政府機関の6万人の職員を対象に、10～12月にかけて2度、訓練用の不審メールを無作為に送付したところ、その10.1％が初回の添付ファイルを開封して訓練用マルウェアに感染、さらに3.1％が2回目のリンクメールをクリックするという結果になったそうだ。職員の2割超が開封した機関もあったという（毎日.jpの記事、内閣官房情報セキュリティセンター報道発表資料）。

さらに今後の課題として、不審メールを開封するにとどまらず、「①不審メールの送信元に対しメールを返信する方法で差出人の確認をしているケース」や「②メールの自動返信機能を設定することで、攻撃者に対し、不在通知が自動発信されたケース」が発生。攻撃者に政府組織内で使用しているメールアドレスを通知した可能性が憂慮されている……というか実際に多くの政府省庁が攻撃にさらされている昨今、模擬訓練と対策は遅きに失した感があるのですがいかがでしょうか。

cheez 曰く、

ティーンエイジャーの間で互いへの信頼の証としてメールや SNS アカウントのパスワードを交換することが流行しているそうだ (The New York Times の記事、本家 /. 記事より) 。

交換相手は主に交際相手や親友であり、中には互いに同じパスワードを設定する者もいるとのこと。米非営利調査機関 Pew Internet & American Project が 12 〜 17 歳の 770 人のインターネットユーザを対象に行った調査によると、33 % がこのようなパスワード交換を行ったことがあると回答したそうだ。

専門家らによると交際関係において性交渉を迫るのと同種の「信頼しているなら何でもできるはず」というプレッシャーが生じていたり、禁止されていることだからやってみたいという好奇心が背景に存在するという。子供らはパスワード交換は危険であることは理解しているといい、だからこそ「愛情の印」や「信頼の証」としてパスワード交換をすることの象徴的意味合いが強くなっている様子が伺えるとのことだ。

ちなみに上記のような目的とは異なり、「期末試験の勉強のために」といった理由で自分の Facebook 等のパスワードを友人に変更してもらい、一定期間ログインできなくするといった行為も若者たちの間で行われていることも分かっているそうだ。

あるAnonymous Coward 曰く、

成人向けサイトの料金請求画面を表示させるコンピュータウイルスを作成・送信したとして、東京都のネット広告会社代表取締役ら6人が不正指令電磁的記録供用容疑で逮捕された。組織的にウイルス作成や不特定多数への送信を行っていたという（時事通信、朝日新聞、NHK）。

容疑者らは自ら運営する成人向けサイトで、「動画再生」をクリックすると料金請求画面を表示するファイルをダウンロードするよう設定。このファイルを実行するとPCに7～12万円を請求する画面が表示され、消去できなくなるという。これにより容疑者らは1200万円以上を稼いでいたとみられている。

あるAnonymous Coward 曰く、

米Symantecが、ウイルス対策ソフト「ノートンインターネットセキュリティ2006」、「ノートンアンチウイルスコーポレートエディション2006」、PC遠隔操作ソフト「pcAnywhere」などでソースコードの一部が流出していたと発表した（朝日新聞）。

流出したソースコードは古いものであるため、現行版への影響は少ないとのこと。ただし「pcAnywhere」では通信傍受や通信障害の可能性があるそうだ。

あるAnonymous Coward 曰く、

Amazon.co.jpにはユーザーの「ほしい物」リストを公開する機能がある。第三者がこのリストを見て商品を購入しプレゼントできる、というものなのだが、この「ほしい物リスト」には、登録してある発送先住所などの個人情報を盗み取れるという問題があるという（Togetterまとめ：Amazonのほしい物リストを公開していると個人情報を抜かれます）。

必要なのはマーケットプレイスの出品者アカウント。「ほしい物リスト」に入っている商品を購入してプレゼントする際、相手が発送先住所を登録していればプレゼントする側はその住所が分からなくてもそこに発送できるのだが、この際ほしい物リストに入っていない商品についても同時にプレゼントできてしまうという。

これを利用し、ほしい物リストに入っている商品とともに自分が出品する商品をプレゼントとして購入、ほしい物リストにある商品のほうを即座にキャンセルすることで、ほしい物リストに入っていない商品を勝手に送りつけることができる。このとき、自分が商品の出品者となっている商品を利用することで、実際に商品を購入することなしに、「発送先情報」という形で相手の個人情報を取得できてしまうという仕組みだ。

ちなみに先日Amazon ウィッシュリスト経由で砂 1 トンを送る方法というネタも一部で話題になっていた。「ほしい物リスト」に入っていない商品も送付できるという点が根本的な問題であるので、迅速な修正を期待したい。

対処方法としては、「ほしい物リスト」の設定で「お届け先住所」を設定しないようにするのが良さそうだ。

danceman 曰く、

IBM は昨年末、恒例の未来予測で「パスワード不要化」を挙げていたが (/.J 記事) 、カナダのカールトン大とマイクロソフトの研究者によれば、音声や顔認識、指紋、網膜認証といったものがパスワードに取って代わることは当分の間はないだろうとのこと (IEEE Security&Privacy Magazine の予稿[PDF]、本家 /. 記事より) 。

これまでパスワードはいずれなくなるものと考えられていたため、パスワードそのものにはこの 20 年間、何も進歩がみられなかった。一方、生体認証や PKI などパスワードに取って代わろうとした他の認証方法は、費用対効果、即時性、利便性といった点でパスワードには勝てなかったとしている。また、多くのシチュエーションにおいてパスワードの利用がふさわしいということを踏まえ、代わりとなる他認証方法を求めてさらに 20 年を無駄にすることはやめ、セキュリティー性をより高めるべくパスワード利用に対するサポート方法を考え直すべきであると結論づけている。加えて、パスワード認証が好ましくないようなシナリオの特定及びそういった場合の代替認証方法の特定を行うべきとしている。