いちです。

本日もセキュリティニュースをまとめていきます。

• iPhoneユーザーは直ちにiOS11にアップデートすべし

• Go Keyboardがユーザーデータを吸い出す

• ファストフードSonicのドライブスルーでカード情報漏えい

1. iPhoneユーザーは直ちにiOS11にアップデートすべし

Google Project ZeroのGal Beniamini氏が、AppleのiPhoneに致命的な脆弱性を発見した（CVE-2017-11120）。PoCも公開されている。

攻撃対象となるのはiOS10を使用しているユーザーで、攻撃者はiPhoneのMACアドレスとネットワークのポートIDさえあればiPhoneを遠隔操作できるようになる。

ちなみにネットワークの傍受をすれば、ネットワークに接続された端末のMACアドレスは容易に確認できる。

したがってターゲットのiPhone が接続しているネットワークのトラフィックを傍受すれば、この脆弱性をエクスプロイトするのに必要なMACアドレスを特定できる。

また、デバイスがネットワーク通信をする際に使うプロトコルはTCPかUDPの2種類しかなく、iPhoneが通信を行う時にどのポートIDを使用するかはAppleによって定められている。（→Apple ソフトウェア製品で使われている TCP および UDP ポート）

つまりBeniamini氏が発見して脆弱性をエクスプロイトするのに必要な2種類の情報は簡単に手に入る事になる。

したがって、まだiOS10を使っている人はiOS11にすぐアップデートするべきであろう。

2. Go Keyboardがユーザーデータを吸い出す

Android用アプリのGo Keyboardが、Google Play Storeのポリシーに反してユーザーデータを収集している事がAdguardのセキュリティ研究者によって明らかにされた。

Go Keyboardは中国のGOMOという会社が開発したアプリで、Go Keyboardは1億以上ダウンロードされている。

ユーザーがアプリをダウンロードすると、アプリはユーザーの知らない所でインターネット上の”あるサーバー”から悪意のあるコードをダウンロードしスマホ上で実行する。

またダウンロードされた中にはAndroid上で動くプラグインも含まれており、それらはアドウェアやPUP(=potentially unwanted program)として分類されるという。

勿論、この一連の挙動はGoogle Play Storeで開発者に対して課されている規則に反している。

更にAdguardの研究者の指摘によると「Go Keyboardがキーボードである性質が更にこの問題の危険性を増している」という。

なぜならキーボードアプリはその性質上、他のアプリに対してもアクセス権を持つからだ。例えば、FacebookやInstagram等のSNSを始め、電話、メッセージアプリ等に対してもアクセス権を持つことになる。

このように大きな権限を与えられたアプリがユーザーの情報を収集しているとなると非常に危険であるので、使用している人はすぐにアンインストールすべきであろう。

3. ファストフード店でクレジットカードのスキミング被害

https://krebsonsecurity.com/2017/09/breach-at-sonic-drive-in-may-have-impacted-millions-of-credit-debit-cards/

アメリカのファストフード店のSONICを使用した客がクレジットカードのスキミング被害に合っている可能性がある事が明らかになった。

このニュース記事を書いたセキュリティ研究者Krebs氏は、金融機関が発行するクレジットカード不正利用レポートを見た際、不正利用されたカードの全てがSONICで使われたものである事に気づいた。

Krebs氏はそれらの金融機関に、クレジットカード闇取り引きサイト”JOKER’s STASH”で９月１８日に新たに扱われ始めたクレジットカード番号を照合するよう指示。

すると２つの金融機関がJOKER’s STASHでやり取りされているクレジットカードが、SONICで使用された履歴がある事が明らかになった。

お疲れ様です。いちです。

本日もサイバーセキュリティニュースのまとめを書いていきます。

ここ2日間、時差の関係で海外のニュースはそこまで多くなかったのですが、あちらも平日となったので多くの新しいニュースが出ていました。

私の関心が高い分野がランサムウェアなので、ランサムウェア関連のニュースについてまとめることがこれから多くなっていくと思います。

なぜ数多くあるセキュリティトピックの中でもランサムウェアの関心が高いかというと、1つのインシデントでも技術面、心理面、犯罪面、経済面等、1つの問題でも様々な面から切り分ける事が出来るからです。これについては、今後どこかで記事にして共有していきたいと思いますので楽しみにしてて下さい。

それでは本日も始めましょう！

1. ランサムウェアが”煙幕”として使われる？
2. 米デロイトがサイバー攻撃の被害に4ヶ月も気づかず
3. ISISのハッキング技術は「そこそこ」

ランサムウェアが”煙幕”として使われる？

1. Ransomware: Where It's Been and Where It's Going

先週木曜日に発表された統計によると、2016年〜2017年の一年間、ランサムウェアの被害者が暗号化されたデータを復号化するために支払った”身代金”は、およそ3億円であったという（注１）。

ランサムウェアの対処法として、①感染経路のセキュリティを向上する予防策と、②被害にあった際に最新のバックアップ地点まで戻す、2種類の方法が一般的だ。

だが最近のトレンドとしては、②最新のバックアップ地点まで戻す処置が取られているという。つまり、ランサムウェアに感染してファイルを暗号化された時の為に、常にデータのバックアップをとっておくという事だ。

バックアップを取るためには各クライアントのデータを保存する容量を持たなくてはならないし、安全に管理するファイルが増えてしまう面でコストが増してしまうデメリットがある。

ランサムウェアに感染しなければいいといった意見が聞こえて来そうだが、なかなか簡単ではない。

なぜならランサムウェアの感染は、スパムメール・フィッシングメール等に記載されたURLをクリックしたり、添付されているドキュメントを開いてしまう等のシステムではコントロールしづらい「人的な要因」によって引き起こされるからだ。

更に、ランサムウェアの設計手法がファイルレスであるケースが増加している為、クライアント端末にインストールされている、エンドポイントセキュリティのスキャンを通過してしまう可能性があるのだ。

更に、セキュリティ専門家のBaskinとSinghは、今後はランサムウェアが”煙幕”のように使われる可能性があると予測している。

煙幕とは、戦国時代中の戦場でよく使われた、煙を焚いて相手の目をくらませる戦法を意味する。

つまり、ランサムウェア感染をカモフラージュにより大きな攻撃を仕掛けるのだ。

言い換えれば、表向きはランサムウェアでクライントPCをロックしたように見せかけて、感染したクライアントPC内部の情報を抜き出したりバックドアを仕込んで、他のサービスにDDoS攻撃を仕掛けるボットネットとして使われる可能性があるという事になる。

(注１)：この統計は、Datto’s State of the Channelによって発表された。同社は、世界中の100,000社以上もの小規模〜中規模程度の企業を対象とし、1700社以上の企業のManaged Serviceから提供されたデータを解析して算出した。ちなみに、統計の対象となった企業の96%はバックアップ等のリカバリ処置によってランサムウェア被害から回復している。

米デロイトがサイバー攻撃の被害に4ヶ月も気づかず

Deloitte was breached last year, but investigators didn't find out until March

昨年末、アメリカのコンサルティングファームのデロイトがサイバー攻撃を受け、顧客情報などの機密情報が流出していた事が判明した。しかし、デロイトは本年3月になるまで攻撃を受けた事に気が付かなかったという。

攻撃手法、流出の規模は明らかにされていないが、デロイトの広報によると「攻撃によって流出した情報量は少なく、被害を受けたクライアントの数も少ない」という。

ISISのハッキング技術は「そこそこ」

Researcher: ISIS hackers not 'as capable as most cybercriminal groups'

セキュリティ研究者のKyle Wilhoitは、ISISが過去２年間行なったサイバー攻撃を分析し、最近研究結果を発表した。

彼の発表によると、ISISとして活動しているクラッカー達の技術は「そこまで洗練されていない」という。また「世界中に無数に存在する他のクラッカー集団の方が優れている技術を持つ」と述べた。

ISISのクラッカー集団が行なったサイバー攻撃のケース数で最も多いのは、Webサイトの改ざんである。Webサイトの改ざんは、インシデント以降に情報漏洩を伴わず、高度なクラッキング技術も必要としない事からも、「そこまで洗練されていない」という研究結果には頷ける。

しかし同時にWilhoit氏は「ISISの技術は向上してきている」とも述べており、今後も注意が必要なのは変わらない。

こんにちは。いちです。

週末はいかがでしたしょうか。私の住んでいる東京では秋晴れで、優しくてうららかな陽気を感じた日曜日でした。

コーヒーとドーナツを食べにミスドに入ったのですが、店内の装飾がハロウィン仕様になっていて、売られているドーナツのテイストもかぼちゃ風味や栗風味とあって、食欲の秋が本格的に始まりました。

セキュリティ業界では週末という事もあってそこまで大きなニュースはないようです。（サイバー攻撃というのは、金曜日の夕方17時に発生するものなので、まだ記事にされていないだけかもしれませんが笑）

なので、毎日マルウェア・脆弱性のニュースを取り上げていますが、今週末はそこまで脆弱性に関するニュースがありませんでした。

ですので今日は脆弱性以外のセキュリティニュースに目を通してみました。

今日取り上げるニュースは以下の二つです。

• iPhoneX顔認証（FaceID）のセキュリティあれこれ

• シリア人青年がビットコインで新たな経済圏を作り出す

それでは参りましょう！

1. How Apple Will Stop Companies Abusing Facial Recognition on New iPhone X

http://fortune.com/2017/09/23/face-id-privacy-iphone-x/

先日AppleのフラッグシップモデルとなるiPhoneXが発表された。

2017年にSteveJobsによって始めてiPhoneが発表されて以来、毎年9月にアップデートされ、その度に新機能を搭載してきたiPhoneだが、今回はOLED液晶画面、ワイヤレス充電、FaceIDが目新しい機能といえるだろう。

iPhoneXの発表に合わせて紹介されたiOS11も、iOS10で発見された8個の脆弱性を全てパッチ当てした事もあり、Appleのセキュリティに対する意識の強さが伺える。

そのことから、FaceIDの安全性はどれ程のものか、Appleファンの間でも関心が集まっている。

既にSamsungスマホに搭載されている顔認証機能だと、携帯の持ち主の写真のみで携帯がアンロックされてしまう程のセキュリティの甘さだった。

Twitterを見ていると、「果たしてAppleは顔認証のセキュリティをどのように向上させるのか？」というのが、iPhoneXの発売を待ち遠しく思っている人達が思っている事のように私は感じている。

報道によると、Samsungに搭載された顔認証みたいに携帯の持ち主の写真でアンロックできる程の陳腐な技術を使っていないという事だ。

iPhoneXに搭載されるFace IDは、顔認証をする時に、フロントカメラの’TrueDepth’という設定を使って3万ものドットを持ち主の顔画像に照射し、一瞬でカメラの被写体となる物体が持ち主の顔であるか否かを判断するという。

またセキュリティ界隈では「Face IDでスキャンされた顔のデータを収集してAppleは一体何をする気なのか」といった声もあがった。

そのような声に対して、Appleは正式に「Face IDで認証する顔データはAppleに送信される事は無く、iPhoneXの中に留まる」と解答している。

つまりiPhoneXのユーザーは、FaceIDに自分の顔を登録した際のデータはオフラインで保存されるということになる。

言い換えれば、Appleはユーザーの顔データを収集している事もないし、Appleのサーバーに顔データが送信される電波を傍受されて顔データが第三者の手に渡る事もなくなるという事だ。

2. This Hacker Wants To Create A Bitcoin Economy In Syria

http://www.ibtimes.com/hacker-wants-create-bitcoin-economy-syria-2593142

イギリス系シリア人の青年・Amir Taaki氏が、ビットコインで新たな経済圏を創り上げようとしている。

Taaki氏は、ビットコインの力を大きく信じている。

彼のビットコインへの信頼は、ダークウェブに社会では違法とされている商品を扱うマーケットを構築し、やり取りされる通貨をビットコインに限定する程だ。

そして彼はまた、ビットコインを使って新たな事をしようとしている。

それは新たな経済圏の創造だ。

Taaki氏は、イスラム国と戦うためにシリアのクルド人が住んでいるシリアの北部・Rojavaで、ビットコインを主要通貨とした経済圏を作り上げようとしているという。

何故、彼がRojavaを選んだかと言うと、この地域はイスラム国の影響下にあり、他国からの経済制裁によって経済的に困窮しているからだ。

一般的に、経済制裁を受けると、他国からお金が流入する機会が劇的に減ってしまう。

そこで、国家や政府という枠組に縛られずに自由に経済活動・金銭授受等を行うことが出来るビットコインが役に立つのだ。

ビットコインがRojavaで使われるようになれば、Rojavaに住んでいる人達は外国からお金を受け取ることが出来るようになり、その地域で新たなビジネスを始めることも出来るようになるだろう。

そのような輝かしい未来は確かに存在するが、現実はそこまで甘くないだろう。

ビットコインには中央銀行のようにお金の流通をコントロールする組織が存在せず、まだ投機の対象とされている事から値段の上下が激しい。

また、テクノロジーに詳しくない人達が暗号通貨を簡単に使いこなせる仕組みも未だ存在しない為、IT化が進んだ日本でも一部の人しか所有していない。

貧困に喘ぐRojavaでビットコインを導入するのは遥か遠い道のりとなるだろう。

そこで彼は既にヨーロッパの各地を周り、暗号通貨に関するカンファレンスでビットコインをRojavaの通貨にする為のビジョンを説いて回っているという。

そうする事で、共感の輪を広げ、彼のプロジェクトを後押ししてくれるスポンサーを募っていくようだ。

過去にダークウェブで違法商品を扱うマーケットを創設したことで彼に対する社会的な信用は低いが、私は個人的にTaaki氏の取り組みには注目していきたい。

彼のプロジェクトがもし成功すれば、ビットコインが社会貢献するユースケースが作られ、より多くの人にビットコインの良さを認知してもらえるからだ。

・・・勿論、そこには暗号通貨が認知される事で価値が上がり、私の保有するコインの価値もあがるという自己中心的な願いもあるのだが（笑）。

だが、多くの人達に知られる事でより一層、ビットコインを始めとするイノベーションが進んで行き、新たな世界を作っていくことが出来ると私は確信している。

1. Microsoft Kills Potential Remote Code Execution Vulnerability in Office (CVE-2017-8630)

https://securingtomorrow.mcafee.com/mcafee-labs/microsoft-kills-potential-remote-code-execution-vulnerability-in-office-cve-2017-8630/

McAfeeの報告によって明らかになったMSOffice2016の脆弱性のパッチが発表された。対象は32bit、64bitのOffice2016となる。脆弱性が浮き出るコンディションを作るには、特定のオプションを選択する必要があるのでエクスプロイトは起きにくい。

・CVE-2017-8630

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8630

2. The Dark Overlord cybergang threatens kids in its latest attack

https://www.scmagazine.com/the-dark-overlord-cybergang-threatens-kids-in-its-latest-attack/article/690482/

ハッカー集団のThe Dark Overlord Solution（以下、TDO）が、モンタナ州のコロンビアフォールズ地区にある小学校生徒、両親、教員達の個人情報を人質にして、身代金を請求している事が明らかになった。

手紙によると、TDOは地区で働く役所員に長文の手紙を送付し、150,000アメリカドル(≒1680万円)もの金額を請求し、生徒数名に関する個人情報を開示している。専門家によれば、そうする事で実際にハッキングに成功していることをアピールする狙いだ。

この手紙を受け取ったCurry氏は、脅迫文の全文をインターネットに公開した。目的は、対象となる自治体の住民たちに注意喚起を促しつつ、自治体外の人達にも犯行グループの手口を知ってもらう為だ。

TDOはコロンビアフォールズ地区に限らず、セキュリティホールをパッチしていない他の自治体に対しても同様の手口を行っている模様。そのことから、脅迫されているコロンビアフォールズ地区は、身代金の支払いは行わないとしている。

・実際にTDOから送られてきた脅迫文のリンクはこちら

http://missoulian.com/news/local/ransom-letter-from-flathead-county-cyber-attackers-details-motive/article_ba037e6f-2267-5db3-95f2-ddbb20cba6a3.html

3. What It Means To Have A Culture Of Cybersecurity

https://www.forbes.com/sites/forbestechcouncil/2017/09/21/what-it-means-to-have-a-culture-of-cybersecurity/#1a138415efd1

今、40秒に一回、ランサムウェア攻撃の被害が発生していると言われている。年商10億以上もの企業がその標的にされており、ランサムウェア攻撃の発生増加率は毎年350％超。つまり2021年までにはサイバー犯罪による被害総額は60兆円にもなる見込みだ（Cyber Ventures）。

ランサムウェアの主な発生原因は、ヒューマンエラーである。

つまりスパムメールのリンク先を確認せずにクリックしてしまったり、いかがわしいサイトにアクセスしたり、信用できないソースからソフトウェアをダウンロードするような事だ。

それではヒューマンエラーを防ぐためにどうしたらいいだろうか？

この記事では、従業員に対してのセキュリティ教育が一番効果的であるとしている。攻撃の防衛最前線に立っているため、一番標的にされやすいからだ。

トップダウンで、従業員のセキュリティ教育を行えば、従業員の勤務態度は少しでもいい方向に変えることが出来る。

他には、ヒューマンエラーが起きた時のリスクを減らす構造を作り上げる事が良いだろう。

例えば、安全性の検証されたソフトウェアしかダウンロードできない仕組みの構築、スパムメールフィルターの導入、社内PCから業務に関係ないウェブサイトにアクセスすることが出来ないようフィルタリングする等の処置が行える。

4. Adjust these iOS 11 settings to make your iPhone as secure as possible

https://finance.yahoo.com/news/adjust-ios-11-settings-iphone-secure-possible-152329009.html

先日iOS11が発表されたが、多くの脆弱性がパッチされるなど、Appleのセキュリティ意識の強さが伺えるアップデートだと私は考えている。

ここで質問したいのだが、あなたはどのようにしてiPhoneのセキュリティを保っているだろうか。

この記事では、iPhoneのセキュリティを向上させる為に幾つかのヒントを提案している。

①画面アンロック時のパスコードを、”カスタムの英数字コード”に設定する

ロック画面をアンロックする時のパスコードを、数字だけのパスコードにせず、カスタムの英数字パスコードに変更しよう。

”カスタム英数字のパスコード”の設定方法は以下に示す。

1. ［設定］画面を開き、”Touch IDとパスコード”画面にいく。

 ２．”パスコードを変更”をタップする

３．”カスタムの英数字コード”をタップする。

以上のステップを踏むと、数字だけじゃなく、大文字・小文字のアルファベットもパスコードとして使えるようになり、iPhoneのロックが破られる可能性を劇的に下げることが出来る。

②TouchIDを無効化する

TouchIDでロック画面を解除出来るのは非常に便利だが、実は指紋登録しておく事はiPhoneの安全性を下げてしまった。なぜなら、寝ている時や、意識を失っている時に指を当ててアンロックしたり、更には警察等の権力を持った人があなたに対して命令してアンロックする事が出来るからだ。

③ロックスクリーンに通知を表示させない

ロックスクリーンに、LINEやMessangerアプリのダイジェストメッセージを表示させている人はいるだろうが、第三者がメッセージを盗み見ることが出来てしまうという事になる。

④ウィジェットを無効化する

通知を表示させない理由と同じで、ウィジェットの設定も解除しよう。

⑤iCloudの２段階認証を設定する

iCloudアカウントに第三者がログインしようとすると、あなたに認証コードが書かれたSMSが送られて来ることになる。携帯電話が盗まれている状態だと意味をなさないが、そうでない場合は、iCloudアカウントがハッキングされた恐れがあることがわかるので効果的だ。

1. Behind the Modern Botnet

https://umbrella.cisco.com/blog/2017/09/19/behind-modern-botnet/

ボットネットのライフサイクルについてまとめられている。

①感染・拡大フェーズ・・・攻撃者がシステムに潜入する段階。Eメールボックスやウェブサイトに侵入する。既に感染しているボットは、他の攻撃者に対してお金と引き換えにレンタルで貸し出す。

②コマンド＆コントロールフェーズ・・・ホストIPアドレス、通信のTTLを頻繁に変更し、攻撃者が管理するボットネットに加わる。

③レポート＆コマンド待機・・・メールホストとして機能出来るならスパムメールを送り、他にはProxyサーバーとして他の通信の踏み台となる。DDoS攻撃もこのフェーズで行われる。

④管理・検知回避フェーズ・・・引き続きボットネットの一員として利用するために、本来の所有者の目を盗んでコントロール権を確保し続ける。

2. EU Commission just presented its cybersecurity strategy — here are 10 things they missed

https://thenextweb.com/contributors/2017/09/19/eu-commission-just-presented-cybersecurity-strategy-10-things-missed/

EUがサイバーセキュリティに関する条約を発表した。

恐らく、今年の春から夏にかけてヨーロッパ各国で甚大な被害があったWannaCryに対抗するEUとしての姿勢を表明した形だろう。

この記事の筆者は、EUが発表した条約にある10個の欠点をあげている。

例を挙げると、DRM(デジタル著作権管理)の廃止、アップデートの定期的な実施、脆弱性の公表とパッチの実施、監視を目的としたバックドア埋め込みの禁止、といった点を指摘する。

3. Erdogan arrests 75,000 people for using ByLock messaging app

https://hotforsecurity.bitdefender.com/blog/erdogan-arrests-75000-people-for-using-bylock-messaging-app-18988.html

秘匿性の高いメッセージ・電話アプリであるByLockをダウンロードしたとして、75000人のトルコ市民が先日トルコ警察によって逮捕、又は勤めていた会社から解雇された。ByLockは、2016年にトルコの政治クーデターが起きて以来、違法とされていた。

4. Viacom Leak May Have Exposed Hundreds of Digital Properties—Paramount Pictures, Comedy Central, MTV, and More

https://gizmodo.com/viacom-leak-may-have-exposed-hundreds-of-digital-proper-1818504796

セキュリティ会社UpGurardによれば、アメリカのエンタメ業界の頂点に君臨するViacomのサーバーから情報漏えいしている事が判明した。

Viacomとはパラマウント・ピクチャーズ、MTV等と行った会社を有し、他にもデジタル著作権を多数保有している企業だ。

サーバーには社員・顧客情報は保存されていなかったものの、サーバーをホストしているAWSのサーバー管理者用アカウントIDやパスワードが流出した模様。

これだけでも、攻撃者がその先にある情報を掴みにいったと危惧されている。過去にサイバー攻撃を受けたエンタメ企業の例として、ソニーイラストレーションとHBOが挙げられる。

どちらの企業も顧客情報や機密情報を漏洩し、何週間もニュースに取り上げられ、甚大な被害を受けた為、Viacomは慎重にならざるを得ない。

5. Apache “Optionsbleed” vulnerability – what you need to know

https://wp.me/p120rT-1BUm

Apache Web Serverの脆弱性”OptionsBleed”に関する簡潔な説明をする記事。httpdに起きたバグで、OPTIONSリクエストによって情報を引き出せるので、2013年に発生したHeartBleedにちなんで”OptionsBleed”と名付けられた。

OPTIONSリクエストを送ると、本来はサーバーが受けるリクエストの種類を返してくるはずなのだが、このバグは、HTTP Replyのボディとして帰ってくる情報が帰ってきてしまうのだ。

記事によれば、100万件のサーバーに対して行なったOPTIONSリクエストのうち、バグの発生したサーバーは466件だったという。つまり、発生確率は0.12％ということだ。

しかし万が一の自体に備えて、Webサーバーの管理者はApacheソースコードデータベースから公開されているパッチ(https://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/server/core.c?r1=1805223&r2=1807754&pathrev=1807754&view=patch)を当てたほうがいいだろう。

6. Chrome Extension Embeds In-Browser Monero Miner That Drains Your CPU

https://www.bleepingcomputer.com/news/security/chrome-extension-embeds-in-browser-monero-miner-that-drains-your-cpu/

The Pirate Bayのページでも同様のコードが埋め込まれていたのは記憶に新しいが、同様の手口がGoogle Chromeのとあるエクステンションでも行われていた。

SafeBrowseというGoogle Chromeのエクステンション（拡張機能）のコードの中に、ユーザーPCのCPUにアクセスして暗号通貨Moneroをマイニングするコマンドが入っている事が判明したのだ。

コードはバックグランドで実行され、採掘されたMoneroはSafeBrowseの作成者のアドレスに送信されるよう実装される仕組みとなっていた。

エクステンションをインストールすると、直ちにCPUを60％程使用するので、インストールしている人は直ちにアンイストールすべきだ。

7 Here’s what your identity sells for on the dark web

http://mashable.com/2017/09/19/how-much-personal-info-sells-for-on-dark-web/

不正に入手された日本人のクレジットカード情報は、裏インターネット（ダークウェブ）ではUSD10〜20の値段で取引されている。

クレジットカードを使う時、使用する店とカード会社の間にいくつもの仲介業者がいる。

という事は、どんなにクレジットカード番号が流出しないように個人とカード会社が気をつけても、仲介業者のサーバーが攻撃を受けて流出させれば無意味なのだ。

「そうなった場合には、残された手段はカードの停止だけ」とセキュリティ専門家は言う。カード明細はこまめにチェックし、不正利用があった場合にはすぐに連絡し、止めることで被害は防げるので気をつけよう。

8. IOS 11 UPDATE INCLUDES PATCHES FOR EIGHT VULNERABILITIES

https://threatpost.com/ios-11-update-includes-patches-for-eight-vulnerabilities/128036/

今日（2017/09/20）付けで、日本でもiOS11へのアップデートが始まった。iOS11では、以下の8個のバグへのパッチが当てられている。

・Webkitの脆弱性

CVE-2017-7106(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7106)

・悪意のウェブコンテンツ処理をするWebkitを使ったXSSの脆弱性

CVE-2017-7089(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7089)

・アドレス・スプーフィングの脆弱性

CVE-2017-7106（https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7106）（Webkit）

CVE-2017-7085(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7085)　(Safari)

・Exchange ActiveSyncの脆弱性

CVE-2017-7088(https://cve.mitre.org/cgi-bin/cvename.cgi?name=2017-7088)

・Mail Message UIのメモリ破損の脆弱性

CVE-2017-7097(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7097)

・Messagesのアドレス検証の脆弱性

CVE-2017-7118(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7118)

・iBooksのメモリ処理の脆弱性

CVE-2017-7072(https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-7072)

9. BlueBorne Vulnerability Is Patched in All Supported Ubuntu Releases, Update Now

http://news.softpedia.com/news/blueborne-vulnerability-is-patched-in-all-supported-ubuntu-releases-update-now-517764.shtml

Ubuntuの全バージョンを対象にした脆弱性（CVE-2017-1000251）のパッチが発表。

この脆弱性を使うと、攻撃者はLinuxカーネルのBluetoothのスタックを悪用したバッファオーバーフローを仕掛ける事が出来た。Ubuntuユーザーは一刻も早くアップデートを行いたい。

CVE-2017-1000251(https://oss.sios.com/security/kernel-security-vulnerability-20170912)

1. ChromeのアップデートでFTPが”Not Secure”カテゴリに追加へ

Chrome will label Resources delivered via FTP as “Not Secure” http://securityaffairs.co/wordpress/63119/security/chrome-ftp-unsecure.html

2017年12月にリリースされるChrome63バージョンで、FTPが”Not Secure”カテゴリに追加される。背景は、HTTPSをウェブサイト運営者に使ってもらう為である。Googleのレポートによれば、先月の全通信の5％がFTPによるダウンロードだったという。

2. 病院のスタッフが患者の個人情報を盗み見

Hospital employee unnecessarily accessed patient information http://www.miamiherald.com/news/article173813061.html

カナダ・バンクーバー州の病院勤務のスタッフが、同病院の患者2000名程の個人情報を盗み見た疑いがあると報道された。盗み見られた情報は、患者の名前、年齢、患者番号、入院及び退院日、病気の進行具合、診断名。盗み見たスタッフは、2011年11月から2017年7月もの間、情報を盗み見ていたと言われている。

3. Equifaxがいかに使えないか

The learned helplessness of Equifax http://tcrn.ch/2f2HhC5

最近セキュリティ業界のニュースメディアで頻繁に取り上げられているEquifaxの情報漏えいで明らかになった、C/S方式に対する疑問を投げかける記事。ソーシャルセキュリティナンバーのような大事な情報を、中央のサーバーに保存しておく事の是非を問うている。筆者の見解では、完璧な解決策とは言えなくても、2段階認証方式を導入する事が良いと提案している。

4. アメリカ合衆国財務省がイラン国籍企業と個人7名に制裁

US Treasury announced sanctions against seven Iranian nationals and other entities http://securityaffairs.co/wordpress/63126/cyber-warfare-2/iranian-nationals-sanctions.html

アメリカ合衆国財務省が、イラン政府、及びイスラム革命防衛隊と関係があるとされる7人のイラン人及びイラン系セキュリティ企業に対して制裁を行うと発表。理由は、2012年にアメリカの金融機関に対してDDoS攻撃を行なったとされる。ちなみに今回制裁を受けたイラン人は、2016年に米国司法省から金融機関やダムのシステムにハッキングを行なった容疑で起訴されていたとの事だ。

5. トレントサイト「PirateBay」上で自動マイニング

The Pirate Bay Added a CPU-Hijacking Bitcoin Miner to Some Pages http://gizmodo.com/the-pirate-bay-added-a-cpu-hijacking-bitcoin-miner-to-s-1818488143

P2Pネットワークを使ってファイルシェアを行う為に必要なトレントファイルをダウンロード出来るPirateBay上のページを表示すると、ブラウザ上からユーザーPCのCPUを使ってマイニングを行うコードを実行する機能がユーザーへの通知無しで実装された事が明らかになった。ブラウザからマイニングを行うコードを実行するのは珍しくない（昨日分のブログ記事で、ウクライナ系の動画ストリーミングサイトに掲載されている広告が勝手にユーザーPCのCPUを使ってマイニングを行っている事が示されていた）。しかしユーザーへの通知無しで行う事に、ユーザーからは不満の声が上がる。

6. カリフォルニア州、SilkRoad, AlphaBay上で違法取引に徹底抗戦の姿勢

Feds in California are aggressively going after Silk Road, AlphaBay vendors https://arstechnica.com/?post_type=post&p=1167889

Tor等の匿名Proxyを使用してアクセスできるAlphaBay、SilkRoad等の、違法な商品を扱うオンラインショッピングサイトで取引を行なった人達の裁判が行われている模様。現在進行形では11件も行われており、そのうち4件が有罪とされているようだ。

今日まで、毎日のようにブロックチェーン技術に関する文献を読み漁ったり、値動きを見たり、Slackのチャットに参加してきたわけだが、正直疲れてしまった。

その原因は、昨日の中国のICO禁止例である。

http://www.itmedia.co.jp/news/articles/1709/05/news040.html

このニュースによれば、暗号通貨によるICOを一斉に禁止したことになる為、暗号通貨取引自体が禁止になったことでは無い。だが、昨日は中国関連のコイン（NEOやBNB等）の値段が一斉に下がった。それにつられて、BTCやETH等、代表格である暗号通貨の値段も一斉に暴落してしまった。私が保有しているコインはDNTが殆どで、既にDNTの値段は暴落していたので幸い損失はなかったし、これから先を展望すると暗号通貨の値段は上がっていくと思うので、全く心配はしていない。

だが、今回のイベントで気づいてしまった事がある。それは、結局、暗号通貨は政府に依存しているということだ。前提として、今のところ暗号通貨を支持している人達の多くは、リバタリアンというカテゴリに分類される。リバタリアンとは、政府や中央銀行、メガバンクや大企業等、中央集権的なアクターに大きな力が集まっている事を批判している人達のことである。IT業界の界隈では多く見られる人種なのだが、暗号通貨が、個人として持てる力を増幅させる役割を持っている事から、リバタリアニズムとの相性も良い。その結果、暗号通貨の多くの支持者はリバタリアンによって構成されている。

リバタリアンの多くは政府や大企業の力に頼らずに、金銭的な独立を持って社会的に大きな力を持つことを望んでいる。昨日の中国政府によるICOの禁止によって大きく値段が下がってしまった事で、結局暗号通貨は政府の方針によって叩き潰されてしまうものであるという事だ。言い換えれば、政府が暗号通貨をサポートする政策を打ち出せば暗号通貨の値段は上がるし、その一方で、政府がその気になれば今つけている値段の何十分の一にも下げる事が出来るという事になる。

更に言えば、フィアットマネー（米ドルや日本円等の国によって発行される通貨）のように、暗号通貨を利用できるサービスが一気に広がって行く事には時間がかかると思っている。つまり、暗号通貨投資で幾ら含み益を増やしたとしても、ある時点で暗号通貨の投資家達は、フィアットマネーへの換金をすることになると思う。勿論のことだが、フィアットマネーの価値も、政府の政策によって決まる。という事は、暗号通貨にせっせと投資しているリバタリアンの多くの運命は、つまるところ政府によって握られている事になる。

この状況は私からすれば、皮肉としか思えない。それは、本来リベラリスト達は、政府のような中央集権的な役割を持つ組織の影響力から免れる為に暗号通貨に投資をしているにも関わらず、結局はリバタリアンは政府によって暗号通貨が政策としてサポートされる事を望んでいる事に他ならないからだ。無論、暗号通貨がリバタリアン以外の人達にも普及して、更なる投資が行われば値段も相応に上がっていくことだろう。しかしながら、そうした状況にあっても政府や大企業の手の上で暗号通貨投資家達が転がらされていることに他ならないと私には思える。

上記に述べた状況は、「中央集権的なイデオロギー」を打破しようとする、リバタリアン思想を持つ暗号通貨投資家の多くが抱えている矛盾であり、この矛盾の解消はされないであろう事を感じてしまった私からすると、少し興ざめする様な状況である。今後、この矛盾の折り合いが、どのように付けられていくのかはまだ想像できないので、暗号通貨投資をしつつ、今後の動向も見守っていきたい。