headless 曰く、

MicrosoftがMicrosoft Edge 85以降を対象に、限定的ながらSHA-1証明書で保護された接続を許可できるようにするグループポリシーを追加していたようだ(Microsoft Edge - ポリシー、 Microsoft Tech Communityの記事、 The Registerの記事、 ビジネス向けEdge ダウンロードページ)。

SHA-1証明書で保護された接続が許可される条件となるのは、ローカルにインストールされたルート証明書にチェーンした有効なSHA-1証明書であること。ポリシーは既存のアプリケーションとの互換性を保つためにSHA-1証明書を必要とする企業のために追加されたといい、Active Directoryドメインに参加しているWindowsインスタンスやデバイス管理に登録されているWindows 10 Pro/Enterpriseインスタンス、MDMを使用するmacOSインスタンスのみが利用できる。

Internet Explorer 11とレガシーMicrosoft Edgeでは2017年からSHA-1証明書をブロックしており、新ポリシーは追加時点で非推奨という珍しいことになっている。MicrosoftではSHA-1チェーンが安全ではないことを周知するためにポリシーをセキュリティベースラインに追加しており、一刻も早くSHA-1証明書への依存から脱却するよう呼びかけている。このポリシーは2021年中頃リリースのMicrosoft Edge 92で削除される予定とのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | 暗号 |

関連ストーリー：
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
IE11とEdgeでもついにSHA-1証明書使用サイトをブロックへ 2017年05月16日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日
Microsoft EdgeとIE11、来年2月からSHA-1証明書を使用するWebサイトをブロック 2016年11月22日
証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ 2016年10月04日

日経新聞の記事によれば、国内の38社が不正アクセスを受け、テレワークで使用されていたVPN接続用のパスワードなど流出した可能性があるそうだ。今回VPNの情報が流出した企業は、米パルスセキュアのVPNサービスを使っていたという（日経新聞）。

内閣サイバーセキュリティセンター（NISC）によると、8月中旬ごろにダークウェブで、900者を超える世界中の企業のVPN情報がやり取りされているのが判明したとしている。NISCがこのデータを調査したところ、日本企業38社が含まれていることが分かった模様。

先の記事によれば販売リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があったとしている。今後、この38社を踏み台にして取引先などへの不正アクセスが行われる可能性があると指摘されている。

すべて読む | セキュリティセクション | セキュリティ | 通信 | 暗号 |

関連ストーリー：
米国国家安全保障局（NSA）、位置情報を漏らさないようにするためのガイダンスを公開 2020年08月13日
セキュリティ対策されていないデータベースを「ニャー」に書き換えるニャー攻撃が相次ぐ 2020年07月28日
Mozilla VPNサービスを6カ国で正式提供開始。Windows 10とAndroidに対応 2020年07月21日
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年07月21日
NTT東とIPAなどが「シン・テレワークシステム」を開発、無償提供 2020年04月22日

headless 曰く、

Linux 5.9に向け、ドキュメンテーションなどに多数含まれるHTTPリンクをHTTPSリンクへ置き換える作業が進められている(Phoronixの記事、 Neowinの記事、 The linux-next integration testing tree)。

置き換えの理由としては、細工することが難しいHTTPSに置き換え、リンクを開くカーネル開発者が中間者攻撃にあう可能性を減らすことが挙げられている。ただし、実際にカーネル開発者がこのような攻撃を受けている様子はなく、先を見越した変更のようだ。

置き換え作業はAlexander Klimov氏が一人で進めており、既に148件のパッチが存在する。Klimov氏はスクリプトを使用してHTTPリンクを探し、SVGファイルなどではないことを確認したうえで、HTTPSでHTTP版と同じ内容が表示される場合にのみ置き換えを行っているとのこと。osdn.jpへのリンクもHTTPSに置き換えられている。

すべて読む | Linuxセクション | Linux | セキュリティ | 暗号 | デベロッパー |

関連ストーリー：
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日
Windows 10 Insider Preview、DNS over HTTPSがテスト可能に 2020年05月16日
Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 2020年04月29日
Mozilla、Firefoxで「DNS-over-HTTPS」を有効に 2020年02月27日
Safari、SSLサーバー証明書の有効期限を最大13か月間に短縮へ 2020年02月26日

Microsoftが13日に提供開始したWindows 10 Insider Preview ビルド19628(アクティブな開発ビルド)では、DNS over HTTPS(DoH)の初期的なサポートが追加されている(Microsoft Tech Community - Networking Blogの記事、 BetaNewsの記事、 Softpediaの記事、 The Registerの記事)。

MicrosoftではDNSクエリを暗号化するDoHのサポート計画を昨年11月に発表していた。本ビルドのDoHサポートはデフォルトで無効になっており、テストするにはレジストリの「HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters」にDWORD値「EnableAutoDoh」を作成して値のデータに「2」をセットする必要がある。これでDoHクライアントが有効になり、ネットワーク接続で既知のDoHサーバーをDNSサーバーに指定すればDoHによる通信が行われるようになる。DNS(Client)サービスの再起動が必要になるとの記述もみられるが、手元の環境で試した限りでは上述のレジストリ値を設定/削除するとすぐ有効/無効になった。このレジストリ値はInsiderビルドでのテストを目的としたもので、一般リリースビルドではサポートされなくなるとのこと。

すべて読む | セキュリティセクション | セキュリティ | インターネット | Windows | 暗号 | デベロッパー | プライバシ |

関連ストーリー：
Windows 10 Insider Preview、リリース時期を示すコードネームのないビルドが提供される 2019年12月22日
Microsoft、WindowsでDNS over HTTPSをサポートする計画 2019年11月23日
IIJ、DNS over TLSやDNS over HTTPSに対応するパブリックDNSサービスを開始 2019年05月09日
FirefoxがDNS over HTTPなどをサポート、批判も 2018年08月09日

IANAはCOVID-19のリスクを最低限にするため、第41回のルートKSKセレモニーで物理的な参加者数を7人に制限して実施した(Root KSK Ceremony 41、 ICANN Blogの記事、 The Registerの記事、 動画)。

ルートKSKセレモニーはルートゾーンの署名に使用するゾーン署名鍵(ZSK)を3か月に1回更新するため、ルート鍵署名鍵(ルートKSK)を用いて署名するものものだ。2月の第40回ルートKSKセレモニーでは物理的なセキュリティ上の問題により10年間の歴史で初めて期日を変更して実施されており、スラド記事ではタイミング的にCOVID-19の影響かと思ったというコメントもみられたが、今回は本当にCOVID-19の影響を受けることになった。

ルートKSKセレモニーの実施計画は6か月前に始まり、第41回は4月に実施が予定されていたが、2月になってCOVID-19が計画に影響を与える可能性を認識したという。セレモニーにおける様々な役割は通常の運用に対するリスクを低下させるため、世界中のTrusted Community Representatives(TCR: 信頼されたコミュニティの代表者)に分散している。しかし、セレモニー会場となる施設があるカリフォルニア州ではどうしても必要な場合を除いて自宅にとどまるよう命ずる行政命令「Stay home order」が出されており、旅行も制限される中、TCRの分散が逆に通常のセレモニー実施に困難をもたらすことになる。

そのため、IANAはICANNの承認を得たうえで、実際に施設内でセレモニーに参加するのは作業に必要な7人のみに限り、そのほかの役割はオンラインストリーミングを通じたリモートでの参加に変更した。セレモニーは日本時間24日2時に開始され、3時間ほどで無事終了したようだ。

すべて読む | セキュリティセクション | セキュリティ | 医療 | インターネット | 暗号 |

関連ストーリー：
GDC Summer、結局デジタルイベントになる可能性 2020年04月22日
IANAのルートKSKセレモニー、10年間の歴史で初の延期 2020年02月15日