headless 曰く、

米国立標準技術研究所 (NIST) は 15 日、限定的な場面で使われている SHA-1 アルゴリズムをより新しくセキュアなアルゴリズムに置き換えるよう IT プロフェッショナルに勧告すると発表した (ニュースリリース、 The Register の記事)。

SHA-1 は 2017 年に現実的な時間でハッシュの衝突を生成する方法が公開されるなど、十分な安全性が確保できないとして置き換えが進められている。NIST は今回、SHA-1 を 2030 年 12 月 31 日までに廃止すべきだと発表し、SHA-1 にセキュリティを依存するすべての人に対して可能な限り早く SHA-2 または SHA-3 へ移行することを推奨している。

NIST はこれに伴い、2030 年 12 月 31 日までに SHA-1 仕様を削除した FIPS 180-5 を発行し、SHA-1 廃止計画を反映するため SP 800 131A などの出版物を改訂、暗号モジュールとアルゴリズムを検証するための戦略を作成・発行する。これにより、2030 年以降は米連邦政府機関で SHA-1 を使用するモジュールの購入も禁じられることになる。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | アメリカ合衆国 | 政府 |

関連ストーリー：
Microsoft、5月10日からSHA-2アルゴリズムへ全面移行 2021年04月18日
Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 2021年02月21日
Microsoftダウンロードセンター、SHA-1署名のダウンロードを「本当に」提供中止 2021年02月08日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日

ExpressVPN の調査によると、米国人の 40 % が自分の苗字がパスワードに含まれると回答したそうだ (ExpressVPN のブログ記事、 HackRead の記事)。

調査はモバイル投票サービス Pollfish を利用し、米国の成人 1,000 名にパスワードの選択について質問したものだという。調査報告書はまだ完成していないようだが、その一部が紹介されている。

パスワードに含められることが最も多い個人情報は誕生日 (43.90 %) で、ペットの名前 (43.80 %) が続く。本人の名前ではファーストネームが 42.30 % で最も多く、ラストネーム (苗字) とミドルネーム (31.60 %) の順になっている。また、子供の名前 (37.50 %) や元パートナーの名前 (26.10 %) といった自分以外の名前も多く使われているが、現パートナーの名前はリストに出現しない。このほか、電話番号 (32.20 %) や社会保障番号 (30.30 %) を使う人も多い。

その結果、5 人に 2 人はパスワードを作るときに自分の名前を少し変えたものを使うと回答し、43 % は自分の愛する人がパスワードを推測できるだろうと回答しているという。平均的な人は 6 サイト/プラットフォームで同じパスワードを使っているとのこと。それでも 81 % は現在のパスワードでセキュリティとプライバシーが十分に守られていると考えているそうだ。

日本人はキーボードの並びをパスワードで使用する人が多いといい、自分の名前をパスワードに含める人は少ないかもしれないが、スラドの皆さんはいかがだろう。なお、世界全体で最も多く使われているパスワードは相変わらず「123456」だが、日本では「159753qq」が最も多いとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | スラドに聞け！ |

関連ストーリー：
ASCII.jp、「パスワードはo(オー)を０(ゼロ)に置き換えると破られにくい」という記事を掲載 2022年09月01日
本人よりも詐欺師の方が高い「秘密の質問」の正解率 2022年04月26日
英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 2021年11月30日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた 2021年03月02日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
米調査、パスワードに「COVID」を含めたことのある人は14％ 2020年10月24日
リバースブルートフォース攻撃で狙われやすい暗証番号は？ RockYouから流出したパスワードから解析 2020年09月17日
最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 2020年07月06日
利用サービスで情報漏洩が発生しても、パスワードを変えるユーザーは3分の1程度 2020年06月05日
2019年の最悪パスワードは1位は今年も「123456」、2位は「qwerty」に。 2019年12月23日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
「最もよく使われているパスワード」、2016年調査でもトップは「123456」 2017年01月19日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日

ランサムウェア攻撃でドイツの新聞印刷システムが停止したそうだ。Malwarebytesが19日に発表したもので、新聞社の「Heilbronn Stimme」社の印刷システムがランサムウェア攻撃の影響を受け、メディアグループ全体に影響が出ているという（Malwarebytes、TECH+）。

Heilbronn Stimmeの編集長であるUwe Ralf Heer氏によれば、10月14日に「有名なサイバー犯罪グループ」が攻撃を実行したという。犯行者は身代金メモを残しているものの、身代金の要求はされていない模様。同社は専門家と協力し、攻撃から4日後には再び印刷した新聞の配達が再開できるまでにシステムを復旧させているとのこと。

あるAnonymous Coward 曰く、

放送局でも今度ありそう。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 論説 | 暗号 |

関連ストーリー：
千葉南房総市の情シスにランサムウェア攻撃、身代金払わねば成績表公開と脅迫 2022年09月02日
Microsoft 曰く、ランサムウェア攻撃の 80 % 以上が誤った構成を狙う 2022年08月31日
サイバー攻撃、同じ企業が何度も被害に 2022年07月29日
2019 年にランサムウェア被害にあったマーストリヒト大学、身代金を取り戻せることに 2022年07月08日
徳島県の病院のランサムウェア被害、VPN過信でほぼ無防備状態だった 2022年06月21日

被害者に 3 つの善行を求め、実行の様子を撮影した動画や写真などをソーシャルメディアへ投稿することを条件に復号ツールを提供するというランサムウェア「GoodWill」をCloudSEKが分析している (CloudSEKのブログ記事、 Neowin の記事)。

3 つの善行とは (1) ホームレスに新しい衣服や毛布を提供する、(2) 貧しい 13 歳未満の子供を 5 人、ドミノピザかピザハット、KFC のいずれかへ連れて行って好きなものを食べさせる、(3) 病院で治療費を支払えずに困っている人を見つけて肩代わりする、というものだ。(1) から順に実行して相手と一緒に撮影した動画や写真をソーシャルメディアに投稿し、スクリーンショットやリンクを攻撃者に送ると確認後に次の善行が指示される。最後に「GoodWill という名のランサムウェアの被害にあったことで自身をどのように親切な人間へ変えたか」というテーマのソーシャルメディア投稿が求められ、合格すれば復号ツールとパスワードファイル、手順を説明するビデオチュートリアルを含む復号キットが提供されるとのこと。

CloudSEK のランサムウェア分析によると 1,246 個の文字列のうち 91 個がオープンソースの HiddenTear ランサムウェアと重複しており、これを元に GoodWill が作られたとみられる。ランサムウェアグループの電子メールアドレスを追跡するとインドの IT セキュリティサービス企業に結び付き、GoodWill のダッシュボードページなどをホストする IP アドレスはインド・ムンバイに所在するサーバーのものだという。また、文字列の中にはインド英語 (ヒングリッシュ) で書かれたものもあり、インド出身でヒンディー語を話す運用者を示すとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 暗号 |

関連ストーリー：
ランサムウェア市場は職業化が進み、犯罪ビジネスモデルが確立 2022年02月11日
ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス 2018年12月08日
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日
ランサムウェアの身代金を横取りするTorプロキシサイト 2018年02月04日
「偽ランサムウェア」による攻撃が増加 2017年02月06日
身代金ではなくセキュリティ記事を読むように要求するランサムウェア「Koolova」 2017年01月09日
他のユーザーを感染させることで無料暗号化解除を提供するランサムウェアが登場 2016年12月15日
データを復元できないのに身代金を要求する新種のランサムウェア 2016年07月16日
オープンソースの「脅迫型マルウェア」が生んだ脅迫トラブル 2016年01月28日

アルゼンチンで新聞販売店を営む男性が、169件のクレジットカード詐欺をおこなったとして逮捕されたそうだ。発表によると容疑者のFernando Falsettiは、クレジットカード詐欺により日本円で約100万円相当の被害を発生させたという。話題になったのはその詐欺の手法（LA NACION、Infobae、GIGAZINE）。

警察が押収したノートから、同容疑者がクレジットカード番号とセキュリティコードを生成するアルゴリズムを見つけ、それを元に紙とペンで計算して有効なクレジットカード番号を割り出していたことが分かったとのこと。

すべて読む | セキュリティセクション | 犯罪 | 暗号 |

関連ストーリー：
NSA曰く、新しい暗号規格にバックドアはない 2022年05月15日
「白紙」の万能署名が作れるJavaの脆弱性「Psychic Signatures」 2022年04月23日
中国政府、大手ネット企業のアルゴリズムを規制へ 2022年04月12日
Twitter、デフォルト表示を再度おすすめ順にしようと企てるも批判により撤回へ 2022年03月16日

米国立標準技術研究所 (NIST) による新しい暗号規格にバックドアはないと、米国家安全保障局 (NSA) サイバーセキュリティ責任者のロブ・ジョイス氏が保証している (Bloomberg の記事)。

NSA が開発した暗号アルゴリズムはバックドアの懸念から 2014 年に連邦規格から除外された。一方、NIST はポスト量子を見据えた新しい暗号規格のコンテストを 2016 年から実施していた。NSA も機密扱いの量子耐性暗号アルゴリズムを既に開発しているものの、NIST のコンテストには応募していないという。コンテストでは暗号アルゴリズムのテストに NSA の数学者も協力しており、ジョイス氏はすべての候補が量子耐性の要件を満たしていたと述べているが、規格の策定自体には関与していないとのこと。米政府は 4 日、既存の公開鍵暗号を用いるすべてのデジタルシステムについて、量子耐性暗号へ移行する方針を示している。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | アメリカ合衆国 | 政府 |

関連ストーリー：
米国家安全保障局、リバースエンジニアリングツール「Ghidra」を予告通り公開 2019年03月10日
米国家安全保障局、WikiLeaksが存在を明らかにしたリバースエンジニアリングツールを公開へ 2019年01月13日
数学者は全市民を監視する諜報機関と距離を置くべきか 2014年04月29日
NSAとRSAへの抗議のためセキュリティ専門家8名がセキュリティ会議への参加を拒否 2014年01月15日
RSA、乱数生成アルゴリズム採用とNSAとの関係を否定 2013年12月25日
バックドアのある乱数生成アルゴリズムの採用に対し、RSAがNSAから1千万ドルを受け取っていたとReutersが報じる 2013年12月22日
SF作家チャールズ・ストロス氏、作品のアイディアをNSAが先に実行してしまったために執筆を断念 2013年12月15日
乱数生成アルゴリズム「Dual_EC_DRBG」にバックドアの恐れがあるとして注意を呼びかけ 2013年09月25日
EFFのジョン·ギルモア氏、IPSEC規格にNSAが関与していたと示唆 2013年09月12日
Google、NSA関連事件によりデータ暗号化計画を前倒しへ 2013年09月12日
Linuxに対し米当局がバックドアを仕掛けたとされるIvyBridgeの乱数生成命令を使うなという要望、Linusキレる 2013年09月11日

ブロックチェーンワレットアプリの MetaMask は 18 日、アプリのデータを iCloud にバックアップした場合の危険性について注意喚起した (HackRead の記事、 9to5Mac の記事、 MetaMask のツイート)。

これは Apple を名乗る電話を受けた MetaMask ユーザーが Apple ID パスワードリセットの確認コードを教えてしまい、総額 65 万ドル相当の暗号通貨や NFT を失ったという報告を受けたものだ。

MetaMask によればアプリデータの iCloud バックアップにはパスワードで暗号化された MetaMask 保管庫データが含まれ、パスワードの強度が低い場合はフィッシングで iCloud の認証情報が奪取されると資金を盗まれることになるという。

しかし、ワレットの鍵であり、MetaMask が保存しないと説明しているシードフレーズが実際にはファイルに保存されていたとの指摘もあり、被害にあったユーザーは無断保存を批判している。

すべて読む | セキュリティセクション | セキュリティ | バグ | 暗号 | お金 |

関連ストーリー：
App Store での成人向けアプリインストール、14 歳として登録された Apple ID でもブロックされない 2021年08月29日
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 2021年06月30日
「連打」で不正に引き出せる不具合を使って仮想通貨「モナコイン」を詐取した少年が書類送検される 2019年03月15日
カナダの仮想通貨取引所、コールドウォレットを管理していた創業者が死亡し200億円相当の仮想通貨が引き出せなくなる 2019年02月09日
仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される 2018年01月29日
中国訪問経験者のiCloudデータ、中国サーバに移動する恐れ 2018年01月16日
仮想通貨マイニングプール「NiceHash」、システムが乗っ取られ約76億円相当のビットコインが盗まれる 2017年12月11日
iOSで突然表示されるログインポップアップにご注意を 2017年10月11日
BGPハイジャックでビットコインの採掘結果を奪う攻撃、攻撃者は83,000ドル以上の利益を得る 2014年08月11日

Microsoft が Microsoft Update カタログのダウンロードリンクを HTTPS に変更した (Ghacks の記事、 Deskmodder.de の記事、 Borns IT- und Windows-Blog の記事)。

Microsoft Update カタログの Web サイト自体は以前から HTTPS で提供されていたが、生成されるダウンロードリンクが HTTP だったため、多くの環境でブラウザーにブロックされてファイルがダウンロードできない状況になっていた。今回の変更に伴ってダウンロードリンクのドメインがこれまでの「download.windowsupdate.com」から「catalog.s.download.windowsupdate.com」に変わったが、旧リンクからのダウンロードも可能なようだ。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | インターネット | Windows | 暗号 |

関連ストーリー：
Chrome 95がリリース、FTPのサポートがついに終了 2021年10月25日
Google、Chrome 94 以降で HTTPS 優先モードを導入する計画 2021年07月18日
Microsoft、7月にはサポートされるすべてのWindowsバージョンでFlashを削除する計画 2021年05月06日
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
Microsoft、2月の月例更新でInternet Explorerのゼロデイ脆弱性を修正 2020年02月14日
Windows 7の壁紙が黒一色で表示される問題を修正する更新プログラム、すべてのユーザーに提供開始 2020年02月11日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
Google、Chromeで混合コンテンツを完全にブロックする計画 2019年10月06日
Microsoft、既に攻撃が確認されているIEの脆弱性に対する更新プログラムをリリース 2019年09月26日
Google Chrome、FTPサポートを削除する計画 2019年08月21日
Windows版Firefox 65、セキュリティソフトウェアによる問題が発生して自動更新を一時中止 2019年02月02日
Firefox、HTTP/HTTPSページでのFTPサブリソース読み込みをブロックする計画 2018年04月15日
Intelのマイクロコードアップデート、Microsoft Updateカタログで提供開始 2018年03月03日
Chrome 68ではすべてのHTTP接続ページで安全性に関する警告が表示される 2018年02月12日
今後のFirefoxの新機能は原則としてHTTPSでのみで利用可能に 2018年01月23日
FirefoxとChrome、パスワード入力フィールドを含むHTTP接続のページで警告を表示 2017年01月28日
みずほ銀行のWebサイト、HTTPSでのアクセスをブロックして話題に 2015年01月16日
GoogleがHTTP接続時に「安全でない」と明示することを提案 2014年12月18日

Samsung 製 Android スマートフォンで TrustZone OS (TZOS) の暗号機能に見つかった 2 件の脆弱性について、発見したイスラエル・テルアビブ大学のチームが論文 (PDF) と POC を公開している (The Register の記事、 Android Police の記事、 SlashGear の記事)。

ARM ベースの Android スマートフォンでは Android OS から独立して Trusted Execution Environment (TEE) 上で実行する TZOS にセキュリティ上重要な暗号機能が実装されるが、その暗号機能実装はベンダーに任されており、非公開でプロプライエタリな設計になっているという。研究チームは Samsung のフラッグシップデバイス Galaxy S シリーズを調査し、ハードウェアベースのキーストア (Keymaster TA) の暗号設計と実装を明らかにした。

2 件の脆弱性は Galaxy S9 の AES-GCM で見つかった IV 再利用の脆弱性 (CVE-2021-25444) と、より新しい Galaxy S10 / S20 / S21 でも IV 再利用攻撃を可能にするキーブロブダウングレード攻撃の脆弱性 (CVE-2021-25490)。前者は昨年 5 月に Samsung へ報告し、Galaxy S9 のほか Galaxy J3 Top / J7 Top / J7 Duo / TabS4 / Tab-A-S-Lite / A6 Plus / A9S を対象としたパッチが 8 月に公開されている。後者は 7 月に報告し、Android P 以降をプリインストールしたデバイスを対象としたパッチが 10 月に公開された。こちらのパッチではレガシーなキーブロブ実装が完全に削除されたとのこと。いずれの脆弱性も Galaxy S9 よりも古い S8 には存在しない。

今回の脆弱性は 1 億台程度の Samsung 製デバイスに適用されるのみだが、ベンダー各社が TZOS や TA (Trusted Application) のセキュリティや暗号の設計・実装を秘密にすることが危険な落とし穴になっている。各社はプロプライエタリシステムのリバースエンジニアリングの難しさに依存するのではなく、外部の研究者によって十分な検査ができるようにすべきだと研究チームは結論付けている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | 暗号 |

関連ストーリー：
イスラエル・テルアビブ、家庭や小規模オフィスの Wi-Fi は 70 % が容易にクラックできるとの調査結果 2021年11月02日
メモリバスが発する電磁波を利用してエアギャップ環境からデータを盗む「AIR-FI」 2020年12月22日
Snapdragonに400個を超える脆弱性「Achilles」が見つかる。Check Pointが発見 2020年08月18日
Nintendo Switchでは不正行為に対し本体やゲーム単位でのBANが行える 2018年07月10日
電力管理システムを悪用してARM系CPUのTrustZoneをハックする手法が報告される 2017年09月27日
市庁舎が巨大テトリスに変わるイスラエル・テルアビブ 2016年09月16日
パソコンの電位の揺らぎからRSA秘密鍵などが解析される 2014年09月18日
パソコンの電源鳴きから4096ビットのRSA秘密鍵が解析される 2013年12月23日
AMD、ARM のセキリュリティ技術を 2013 年以降の APU に統合 2012年06月18日
ソースコードを元にソフトウェアの異常な動作を検知する侵入検知システム 2008年09月30日

headless 曰く、

The Verge の Corin Faife 氏が「NFT」を「neft」と発音することに決めたと主張している (The Verge の記事)。

3 音節の「NFT」は長過ぎて、繰り返されるとうっとうしいので、母音を足して短く発音できるようにしたいという趣旨だ。候補は neft のほか、「naft」「nift」「noft」「nuft」「nifty」「nafta」といったものが挙げられ、少なくとも 10 人のThe Vergeスタッフの意見を聞いて決定したとのこと。

日本語では「エヌエフティ―」が5音節、「ネフト」が3音節なのであまり短くなった気はしないが、スラドの皆さんは何と読むだろうか。

すべて読む | Slashdotに聞けセクション | 暗号 | スラドに聞け！ |

関連ストーリー：
NVIDIAのモデル名の「Ti」をどう発音する？ 2022年01月07日
暗号資産企業4社が「日本メタバース協会」設立。VR空間利活用の当事者らは困惑中 2021年12月10日
米国で正式承認されたコミナティ、ブランド名が読みにくいと SNS や米メディアで不評を買う 2021年08月29日
証明支援システムCoq、新しい名称を検討中 2021年06月17日
Microsoft Azure、どう発音してる？ 2021年02月07日

Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事、 Neowin の記事、 Mashable の記事、 Ars Technica の記事)。

NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。

新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。

• double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した
• hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること
• pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知
• climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態
• neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの
• Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811～1820) の上流階級の衣服をイメージした服装
• cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの

すべて読む | セキュリティセクション | テレビ | ニュース | サイエンス | 医療 | 暗号 | お金 |

関連ストーリー：
J.R.R. トールキン作品をテーマに使った暗号通貨 JRR Token、滅びの裂け目に投げ込まれていた 2021年11月26日
NFTブームの欺瞞がアーティスト側から批判される 2021年11月05日
ウォズ曰く、名前を変える会社は信頼できないかもしれない 2021年11月03日
NFTアートは投機？詐欺？イラスト界隈で議論に 2021年10月27日
TwitterCEOの初ツイートを約2億1800万円で落札した人物、逮捕された可能性 2021年05月25日
Twitterの最初のツイートが約2億1800万円で落札 2021年03月24日
データ分析プラットフォーム Splunk、偏見のないドキュメントを書くためのスタイルガイドを公開 2021年03月06日
NFTS形式のファイルシステムインデックスを破壊できるコマンド 2021年01月18日
Oxford University Press、2020年を代表する言葉は多すぎて1つに絞れないとして報告書にまとめる 2020年11月27日
Collins Dictionaryが選ぶ2020年を代表する言葉は「lockdown」 2020年11月13日
Merriam-Webster、2019年を代表する言葉に「they」を選ぶ 2019年12月12日
Collins Dictionaryが選ぶ2019年を代表する言葉は「climate strike」 2019年11月10日
Merriam-Webster、三人称単数代名詞「they」の新定義など533の新語句や新定義を追加 2019年09月20日
Collins Dictionary、2018年を代表する単語に「Single-use」を選定 2018年11月10日

Google は 19 日、インカの人々が情報の記録に用いたヒモのオンライン展覧会「The Khipu Keepers」を Google Arts & Culture で公開した(The Keyword の記事)。

Khipu (キープ) は結び目という意味で、ヒモに作った結び目やその間隔、染色の違いで異なる意味を表す。結び目の種類は3種類 (single / long / figure-eight)。single は一重結び、figure-eight は8の字結びで、long は巻き付けるようにヒモの先を繰り返し輪の中に通して結び目を長くしたもののようだ。

現存するものの 85 % は数値情報の記録に用いられており、figure-eight が数字の 1、long の巻き数で数字の 2 ～ 9 を表し、結び目のないヒモが数字の 0 を表すこともわかっている。一方、残り 15 % は言語による情報が記録されているとみられるが、現在のところ解読できていない。

The Khipu Keepers ではペルー・リマ美術館 (MALI) が 8 月 15 日まで開催している特別展「Khipus」のオンラインツアーが体験できるほか、Khipu の歴史や構造の解説ページなども用意されている。

すべて読む | セキュリティセクション | サイエンス | インターネット | 暗号 |

関連ストーリー：
Motorola、Android 11でブラジルの先住民族言語サポートを追加 2021年03月28日
Google、電子音楽史の学習や簡単なループシーケンス作成ができる「Music, Makers & Machines」を公開 2021年03月14日
Google、カンディンスキーが絵画「黄 赤 青」制作時に聴いた(と思われる)サウンドを体験できる「Play a Kandinsky」を公開 2021年02月13日
失われた言語で書かれた文書を解読するアルゴリズム 2020年10月25日
スコットランドの伝統言語「ゲール語」が消滅の危機 2020年07月08日
Google、危機に瀕する言語を救う「Endangered Languages Project」を公開 2012年06月24日
インカ文字は7ビット2進法？ 2003年07月02日

headless 曰く、

6 月にオーストラリアで大量の逮捕者を出して話題となった米連邦捜査局 (FBI) のバックドア付き暗号化通信アプリ「AN0M」だが、闇市場で取引されていた端末が格安の中古として一般の人に売却されるというケースもあったようだ。そのような端末の 1 台を Motherboard が入手し、ハンズオンリポートを公開している(Motherboard の記事、 Ars Technica の記事、 XDA Developers の記事、 Android Police の記事)。

こういった端末では ArcaneOS と呼ばれる機能の制限された Android OS がプリインストールされており、正常に動作しない改造 OS だと思った購入者がモバイル関係のオンラインフォーラムで相談するケースもみられる。3 月には Android-Hilfe.de で Pixel 3a 購入者、6 月には XDA Forum で Pixel 4a 購入者が相談していた。いずれのケースも最初の投稿は AN0M の存在が公表される前のことだ。Motherboard はオーストラリアでの購入者から Pixel 4a を入手しており、XDA Forum の相談者と条件が一致すると XDA Developers の記事でも指摘されているが、入手元は公表されていない。

端末には 2 種類の PIN が設定されており、その一つを入力すると通常の端末らしく見える「デコイ」モードに入る。このモードでは一般的なアプリが多数インストールされているように見えるが、実際にランチャーでアイコンをタップしてもアプリは起動しない。もう一つは AN0M モードに切り替えるためのもので、アイコンは「電卓」「時計」「設定」の3つのみ。電卓のアイコンをタップすると AN0M のログイン画面が表示されるという。

Ars Technica の記事に掲載されているスクリーンショットによると、「設定」アプリではストレージや位置情報、アカウントといった項目が削除されているようだ。その一方で、セキュリティ設定にはデコイモード用の PIN 設定や自動ワイプ設定、PIN 入力用キーパッドのランダム化設定などのオプションが追加されている。

すべて読む | セキュリティセクション | モバイル | 犯罪 | セキュリティ | 携帯電話 | 暗号 | Android |

関連ストーリー：
豪連邦警察、FBIが運営する組織犯罪専用暗号化通信アプリで犯罪組織を摘発 2021年06月10日
FBIはすでに自力でiPhoneのロック解除が可能、しかし政治的・コスト的な理由でAppleに解除を求める 2020年01月22日
米議会の暗号化ワーキンググループ、暗号に対する「バックドア」提供に反対との姿勢を示す 2016年12月28日
Apple 対 FBI のバックドア問題について、ビル・ゲイツはつまり何が言いたいのか 2016年02月27日
暗号化技術がなければパリ同時多発テロは起きなかった？ 2016年02月23日
Apple曰く、当局が容疑者のApple IDパスワードを変更したためデータにアクセスできなくなった 2016年02月21日

Thunderbird 78.8.1～78.10.1がインポートしたOpenPGP秘密鍵を暗号化せずに保存する問題でRNPの脆弱性(CVE-2021-33589)が発覚し、修正版のRNP 0.15.1がリリースされている(RNPのアドバイザリー、 The Registerの記事)。

RNPの説明によれば、鍵を復号する2つの方法のうち、rnp_key_unlock が鍵の保護設定を上書きせず一時的に復号するのに対し、rnp_key_unprotect は鍵の保護設定を上書きするため、鍵のデータが保護されていない状態で保存される。しかし、RNP 0.15.1よりも前のバージョンでは、rnp_key_unprotect 実行後に rnp_key_protect を実行しても、鍵の保護状態が再設定されないのだという。RNP 0.15.1以降では、 rnp_key_unprotect で保護が解除された鍵を rnp_key_protectが再度保護する機能が実装されたとのこと。なお、ThunderbirdではRNPとは別にThunderbird 78.10.2で修正されているため、最新版にアップデートすればいい。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | バグ | 暗号 |

関連ストーリー：
Thunderbird 78.8.1～78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた 2021年05月28日
Thunderbird 78でOpenPGPを標準サポートへ 2019年10月12日
OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 2018年05月16日
OpenPGPに設計上の脆弱性 2005年02月11日
OpenPGPに理論上のセキュリティホール 2002年08月14日

MicrosoftはHTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加すべく開発を進めているそうだ(Microsoft 365 ロードマップ、 On MSFTの記事、 BleepingComputerの記事)。

詳細は記載されていないが、セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画だ。さらにすべてのドメインでHTTPSアクセスを試行する設定も可能になるという。よりセキュアな接続を使用することで、中間者攻撃などを防ぐことが可能になる。なお、Microsoft Edge Canaryは既にバージョン92となっているが、オプションはまだ追加されていないようだ。

現在では多くのWebサイトがHTTPSをサポートしており、HTTPプロトコルを指定またはプロトコルを省略してアクセスした場合に自動でHTTPSにリダイレクトするWebサイトも多いが、Internet ArchiveのようにリダイレクトしないWebサイトもある。ブラウザー側でHTTPSへの自動アップグレードをサポートすればセキュリティは向上するが、エラー発生時の処理も必要となる。Google Chromeではプロトコルを省略してURLを入力した場合のデフォルトをHTTPSにする計画が進められている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 暗号 |

関連ストーリー：
レガシーMicrosoft Edgeのサポートが終了 2021年03月11日
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
無料SSL「Let's Encrypt」のDSTルート証明書の有効期限、3年間延長へ 2020年12月23日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
SSL/TLS証明書、9月1日以降の発行分は有効期間が実質1年間に。主要ブラウザの仕様変更で 2020年08月21日
Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 2020年08月12日
Safari、SSLサーバー証明書の有効期限を最大13か月間に短縮へ 2020年02月26日

Microsoftは14日、SHA-2アルゴリズムへの全面移行計画を発表した(Windows IT Pro Blogの記事、 KB5003341)。

太平洋時間5月9日16時(日本時間5月10日8時)にMicrosoftのSHA-1の信頼されたルート証明書機関は失効し、Microsoftの主要なプロセスとサービスはTLS証明書やコード署名、ファイルハッシュを含めてSHA-2アルゴリズムのみを使用するようになる。そのため、SHA-1でのみ署名されたアプリケーション実行やドライバーインストールで警告が表示されたり、エラーが発生したりすることがある。

SHA-1にはセキュリティやパフォーマンスの問題があり、SHA-2への移行が進められている。主要なWebブラウザーでは2017年までにSHA-1証明書を廃止しており、Microsoftは2019年からWindowsの更新プログラムでSHA-2のみを使用しているほか、昨年8月にはダウンロードセンターでSHA-1コンテンツの提供を終了した。

影響を受けるSHA-1証明書はMicrosoftのSHA-1の信頼されたルート証明書機関にチェーンしたものだけであり、個別にインストールしたエンタープライズや自己署名のSHA-1証明書は影響を受けない。ただし、Microsoftでは組織で使用する証明書もSHA-2への移行を強く推奨している。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | 暗号 |

関連ストーリー：
Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 2021年02月21日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
IE11とEdgeでもついにSHA-1証明書使用サイトをブロックへ 2017年05月16日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日
NISTが次期ハッシュ関数選定のスケジュールを発表 2006年09月27日
フルバージョンのSHA-1にコリジョン発見 2005年02月16日
SHA-0、MD5、 MD4にコリジョン発見、reduced SHA-1も 2004年08月18日

headless 曰く、

Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。

リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | 暗号 | デベロッパー |

関連ストーリー：
国税庁、Mac版のSafari 14.0.3でe-Taxが利用できないトラブルがあると発表 2021年03月04日
Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 2021年02月21日
愛知県知事リコール運動で大量の署名偽造が発覚。地方自治法違反で捜査へ 2021年02月17日
米政府、前大統領が署名したTikTokとWeChatに関する大統領令の正当性を見直し 2021年02月13日
南アフリカ歳入庁、Flash終了で業務に支障が出たので再有効化した専用ブラウザを用意 2021年02月05日
Google、診断鍵のダウンロードに問題が発生したCOVID-19接触通知システムを修正 2021年01月16日
国税庁がM1 Macで確定申告書類を提出する場合の注意ページを作成 2021年01月06日
Mozilla、Rustベースのブラウザエンジン「Servo」をLinux Foundationに引き継ぎ 2020年11月20日
FSF、優先度が高いフリーソフトウェアプロジェクトのリスト更新に向けたフィードバックを募集 2020年11月03日
LINEで住民票申請を行うシステム開発企業が総務省を提訴。電子署名の要否が争点 2020年09月12日
Googleがオープンソースプロジェクトの商標管理団体を設立。すでに3種類の商標を移管 2020年07月15日
Open Mainframe Project、米国各地の公共機関がCOBOLプログラマーを確保できるよう協力 2020年04月18日

米司法省は5日、「サイバーセキュリティのレジェンド」ことジョン・マカフィー氏とその暗号通貨チームのエグゼクティブアドバイザーを暗号通貨に関連する詐欺やマネーロンダリングの共謀罪で起訴したことを明らかにした(プレスリリース、 The Vergeの記事、 Mashableの記事、 Ars Technicaの記事)。

訴状によれば、マカフィー氏は自身が購入したことを隠して暗号通貨をソーシャルメディアで宣伝し、価格が上昇すると売却していたほか、新規暗号通貨発行(ICO)実施者から報酬を得ていることを隠してソーシャルメディアで宣伝していたという。マカフィー氏が宣伝した暗号通貨の価値は急上昇するもののすぐに下落して投資家に損害を与える一方、マカフィー氏とその暗号通貨チームは詐欺的行為により1,300万ドル以上を得たとされる。

マカフィー氏は米国での脱税および申告漏れにより昨年スペインで逮捕されており、現在も米国への身柄引き渡し待ちで収監されている。アドバイザーは4日にテキサス州で逮捕されたとのこと。本件に関しては別途、米商品先物取引委員会(CFTC)が民事訴訟を提起している(PDF)。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 暗号 | お金 |

関連ストーリー：
ジョン・マカフィー、スペインで逮捕 2020年10月07日
逃亡者ジョン マカフィー、キューバから米大統領選出馬を目指す 2019年07月09日
米裁判所、ベリーズでの殺人事件についてジョン・マカフィー氏の法的責任を認める 2018年11月17日
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
プロセッサの表面を削って固有IDを読み取ればiPhoneのロックは解除できるという話 2016年03月11日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは？ 2016年03月05日
ジョン・マカフィー曰く: iPhoneにバックドアは不要、うちのチームが3週間で暗号化を解除する 2016年02月20日
ジョン・マカフィー氏、2016年米大統領選への出馬を表明 2015年09月12日