6 月にオーストラリアで大量の逮捕者を出して話題となった米連邦捜査局 (FBI) のバックドア付き暗号化通信アプリ「AN0M」だが、闇市場で取引されていた端末が格安の中古として一般の人に売却されるというケースもあったようだ。そのような端末の 1 台を Motherboard が入手し、ハンズオンリポートを公開している(Motherboard の記事、 Ars Technica の記事、 XDA Developers の記事、 Android Police の記事)。

こういった端末では ArcaneOS と呼ばれる機能の制限された Android OS がプリインストールされており、正常に動作しない改造 OS だと思った購入者がモバイル関係のオンラインフォーラムで相談するケースもみられる。3 月には Android-Hilfe.de で Pixel 3a 購入者、6 月には XDA Forum で Pixel 4a 購入者が相談していた。いずれのケースも最初の投稿は AN0M の存在が公表される前のことだ。Motherboard はオーストラリアでの購入者から Pixel 4a を入手しており、XDA Forum の相談者と条件が一致すると XDA Developers の記事でも指摘されているが、入手元は公表されていない。

端末には 2 種類の PIN が設定されており、その一つを入力すると通常の端末らしく見える「デコイ」モードに入る。このモードでは一般的なアプリが多数インストールされているように見えるが、実際にランチャーでアイコンをタップしてもアプリは起動しない。もう一つは AN0M モードに切り替えるためのもので、アイコンは「電卓」「時計」「設定」の3つのみ。電卓のアイコンをタップすると AN0M のログイン画面が表示されるという。

Ars Technica の記事に掲載されているスクリーンショットによると、「設定」アプリではストレージや位置情報、アカウントといった項目が削除されているようだ。その一方で、セキュリティ設定にはデコイモード用の PIN 設定や自動ワイプ設定、PIN 入力用キーパッドのランダム化設定などのオプションが追加されている。

すべて読む | セキュリティセクション | モバイル | 犯罪 | セキュリティ | 携帯電話 | 暗号 | Android |

関連ストーリー：
豪連邦警察、FBIが運営する組織犯罪専用暗号化通信アプリで犯罪組織を摘発 2021年06月10日
FBIはすでに自力でiPhoneのロック解除が可能、しかし政治的・コスト的な理由でAppleに解除を求める 2020年01月22日
米議会の暗号化ワーキンググループ、暗号に対する「バックドア」提供に反対との姿勢を示す 2016年12月28日
Apple 対 FBI のバックドア問題について、ビル・ゲイツはつまり何が言いたいのか 2016年02月27日
暗号化技術がなければパリ同時多発テロは起きなかった？ 2016年02月23日
Apple曰く、当局が容疑者のApple IDパスワードを変更したためデータにアクセスできなくなった 2016年02月21日

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | バグ | 暗号 |

関連ストーリー：
Thunderbird 78.8.1～78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた 2021年05月28日
Thunderbird 78でOpenPGPを標準サポートへ 2019年10月12日
OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 2018年05月16日
OpenPGPに設計上の脆弱性 2005年02月11日
OpenPGPに理論上のセキュリティホール 2002年08月14日

すべて読む | セキュリティセクション | セキュリティ | インターネット | 暗号 |

関連ストーリー：
レガシーMicrosoft Edgeのサポートが終了 2021年03月11日
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
無料SSL「Let's Encrypt」のDSTルート証明書の有効期限、3年間延長へ 2020年12月23日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
SSL/TLS証明書、9月1日以降の発行分は有効期間が実質1年間に。主要ブラウザの仕様変更で 2020年08月21日
Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 2020年08月12日
Safari、SSLサーバー証明書の有効期限を最大13か月間に短縮へ 2020年02月26日

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | 暗号 |

関連ストーリー：
Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 2021年02月21日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
IE11とEdgeでもついにSHA-1証明書使用サイトをブロックへ 2017年05月16日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日
NISTが次期ハッシュ関数選定のスケジュールを発表 2006年09月27日
フルバージョンのSHA-1にコリジョン発見 2005年02月16日
SHA-0、MD5、 MD4にコリジョン発見、reduced SHA-1も 2004年08月18日

Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。

リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | 暗号 | デベロッパー |

関連ストーリー：
国税庁、Mac版のSafari 14.0.3でe-Taxが利用できないトラブルがあると発表 2021年03月04日
Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 2021年02月21日
愛知県知事リコール運動で大量の署名偽造が発覚。地方自治法違反で捜査へ 2021年02月17日
米政府、前大統領が署名したTikTokとWeChatに関する大統領令の正当性を見直し 2021年02月13日
南アフリカ歳入庁、Flash終了で業務に支障が出たので再有効化した専用ブラウザを用意 2021年02月05日
Google、診断鍵のダウンロードに問題が発生したCOVID-19接触通知システムを修正 2021年01月16日
国税庁がM1 Macで確定申告書類を提出する場合の注意ページを作成 2021年01月06日
Mozilla、Rustベースのブラウザエンジン「Servo」をLinux Foundationに引き継ぎ 2020年11月20日
FSF、優先度が高いフリーソフトウェアプロジェクトのリスト更新に向けたフィードバックを募集 2020年11月03日
LINEで住民票申請を行うシステム開発企業が総務省を提訴。電子署名の要否が争点 2020年09月12日
Googleがオープンソースプロジェクトの商標管理団体を設立。すでに3種類の商標を移管 2020年07月15日
Open Mainframe Project、米国各地の公共機関がCOBOLプログラマーを確保できるよう協力 2020年04月18日

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 暗号 | お金 |

関連ストーリー：
ジョン・マカフィー、スペインで逮捕 2020年10月07日
逃亡者ジョン マカフィー、キューバから米大統領選出馬を目指す 2019年07月09日
米裁判所、ベリーズでの殺人事件についてジョン・マカフィー氏の法的責任を認める 2018年11月17日
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
プロセッサの表面を削って固有IDを読み取ればiPhoneのロックは解除できるという話 2016年03月11日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは？ 2016年03月05日
ジョン・マカフィー曰く: iPhoneにバックドアは不要、うちのチームが3週間で暗号化を解除する 2016年02月20日
ジョン・マカフィー氏、2016年米大統領選への出馬を表明 2015年09月12日

先日、SHA-1署名されたコンテンツのダウンロードセンターからの提供中止に伴い、SHA-1署名されたDirectX SDKとDirectXエンドユーザーランタイムもダウンロードセンターから削除されたが、影響の大きさをかんがみてか、これらのダウンロードはSHA-2で署名され直して提供が再開された模様である。

なおタレコミ時点では、DirectXエンドユーザーランタイムWebインストーラー日本語版のダウンロードページおよびそのページへの短縮リンクは復活していないが、英語版のページからダウンロードできる。以前からどの言語版のページでもダウンロードできるファイルは結局同じだったので、とくに問題はない。

すべて読む | セキュリティセクション | Windows | ゲーム | 暗号 |

関連ストーリー：
Microsoftダウンロードセンター、SHA-1署名のダウンロードを「本当に」提供中止 2021年02月08日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
IE11とEdgeでもついにSHA-1証明書使用サイトをブロックへ 2017年05月16日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日
Microsoft EdgeとIE11、来年2月からSHA-1証明書を使用するWebサイトをブロック 2016年11月22日
Chrome 46ではSHA-1証明書などを利用したHTTPSはHTTPと同様の表示になる 2015年10月17日
SHA-1はもう安全ではない？　専門家チームが利用廃止の前倒しを提言 2015年10月13日
フルバージョンのSHA-1にコリジョン発見 2005年02月16日

NECなどの3社が2月18日「秘密計算研究会」を立ち上げたと発表した。この研究会はデータを暗号化したまま運用する「秘密計算」の普及を目的とした組織であるという。参加企業はNEC、デジタルガレージ、ソフトウェア開発企業のレピダム（秘密計算研究会、ITmedia、TECH+）。

公式サイトによれば、

秘密計算は、高度な暗号理論を用いて、データを暗号化した状態のままでデータベース処理、統計分析、AIによる分析などができる技術です。データ保護性が非常に高いクラウドサービスや、複数組織のデータを安全に共有・統合して1つのビッグデータとして利活用できるシステムを実現する技術として、期待されています。

とのこと。

秘密計算には「秘密分散」や「準同型暗号」を元に下した異なる方式が複数存在しているが、それぞれ独立して研究されてきたことから、安全性や性能などを一定のの基準で定量的に評価する方法が確立されていなかったという。秘密計算研究会は秘密計算における評価基準を策定し、秘密計算がクラウドなどの社会インフラ上に広く実装されることを目指すとしている。

すべて読む | セキュリティセクション | 暗号 | IT |

関連ストーリー：
Microsoft、人体の活動データを用いて暗号通貨を採掘するシステムの特許を出願 2020年04月05日
米内国歳入庁（IRS）、暗号通貨を利用した脱税行為が疑われる1万人以上に警告を送付 2019年11月15日
OpenSSHにメモリ上の暗号鍵を暗号化する機能が追加される 2019年06月28日
NICT、格子理論に基づく耐量子計算機暗号「LOTUS」を発表 2018年01月15日
30桁の複雑なパスワードで暗号化されたTrueCryptの隠しボリューム、FBIが復号に成功？ 2015年08月08日
京大や筑波大、KEKのスパコンで不正アクセスが発覚 2013年12月19日

1月19日にリリースされたオープンソースの暗号ライブラリLibgcrypt 1.9.0で深刻なヒープバッファーオーバーフロー脆弱性(CVE-2021-3345)が見つかり、29日に修正版のバージョン1.9.1がリリースされた(アナウンス、 Project Zero - Issue 2145、 The Registerの記事)。

GoogleのProject Zeroが発見した脆弱性は汎用ブロックバッファー抽象化コードに含まれており、ブロックバッファー内で占有されたスペースがアルゴリズムのブロックサイズを超えることがないという誤った前提が原因で、データを復号する際に発生する。オーバーフローするバッファーは直後に呼び出される関数のポインターと隣接しているため、容易に悪用が可能だという。

Project Zeroから1月28日に連絡を受けたGnuPG Projectは翌29日に使用中止の呼び掛けを行い、数時間後にバージョン1.9.1をリリースしている。バージョン1.9.0がリリースされたのは1月19日だが、脆弱性は1.9の開発段階でおよそ2年前に導入されていたそうだ。そのため、1.8 LTSブランチは影響を受けないが、GnuPG Projectでは少なくともバージョン1.8.5以降を使用するよう求めている。

リリース直後ということもあって影響範囲は広くないが、既にバージョン1.9.0を使用していたGentooや、macOS用パッケージマネージャーのHomebrewでは対策が行われている。Fedora 34にもバージョン1.9.0が含まれていたが、正式リリース前だったため影響は小さかったとのこと。ただし、バージョン1.9.1では脆弱性修正と無関係な変更も行われており(リリースノート)、Intel CPUでコンパイルエラーが発生するという問題も確認されているとのことだ。

すべて読む | オープンソースセクション | オープンソース | セキュリティ | バグ | 暗号 |

関連ストーリー：
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
Web会議サービスZoom、虚偽のセキュリティを主張した問題等でFTCと和解 2020年11月13日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
オーストラリア政府、パプアニューギニア設置のデータセンター脆弱性でファーウェイを非難。意図的な不具合か 2020年08月24日
QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 2020年08月12日
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日

Libra Associationは1日、名称をDiem Associationへ変更することを明らかにした(プレスリリース、 SlashGearの記事、 The Vergeの記事)。

Facebookなどにより昨年設立されたLibra Associationは今年前半にデジタル通貨「Libra」の運用開始を目指していた。しかし、Facebookが中心となっていることに各国政府からの懸念が相次ぎ、いまだに運用は開始されていないが、来年にも限定的な運用を開始する見込みだと先週Finantial Timesが報じていた。

Diem Associationによれば、新しい名前はプロジェクトにとって新しい日(Diem)を示すものだという。Libra Associationでは初期メンバー28団体のうち決済企業の多くが参加を取りやめるなど一時は20団体まで減少していたが、現在は27団体となっている。ただし、5月の段階と比較するとTagomiが抜けてBlockchain Capitalが加わっている。

Webサイトのドメインもlibra.orgからdiem.comに変わっており、libra.orgへのアクセスはdiem.comにリダイレクトされる。サイトの内容はほぼ変わっていないようだが、日本語版を含む複数の言語版が用意されていた旧サイトとは異なり、現在のところ英語版のみとなっている。

すべて読む | セキュリティセクション | ビジネス | スラッシュバック | Facebook | 暗号 | お金 |

関連ストーリー：
Facebook、デジタル通貨Libraに対応するデジタルワレットの名称をCalibraからNoviに変更 2020年05月29日
決済関連企業の大半がLibra協会への参加を取りやめ 2019年10月13日
PayPal、Libra協会への参加を取りやめ 2019年10月09日
米議会、大手IT企業の仮想通貨参入を防ぐための法案作りに動き出す 2019年07月17日
政府、Libraに関する連絡会を設置 2019年07月15日
Facebook、新しい暗号通貨「Libra」に対応するデジタルワレット「Calibra」を発表 2019年06月21日

すべて読む | セキュリティセクション | セキュリティ | 通信 | 暗号 |

関連ストーリー：
東芝など12事業者、量子暗号通信に関する研究開発委託事業に参加。総務省主導 2020年07月31日
東芝や東北大、量子暗号通信で500GBのデータ送受信に成功 2020年01月16日
中国が解読不可能な暗号通信の実現へ向けた量子科学実験衛星を打ち上げ 2016年08月18日
Google、Chrome Canaryでポスト量子暗号を実験 2016年07月16日
実環境において安全を定量的に保証する量子暗号鍵配布システムが開発 2007年01月19日

MicrosoftがMicrosoft Edge 85以降を対象に、限定的ながらSHA-1証明書で保護された接続を許可できるようにするグループポリシーを追加していたようだ(Microsoft Edge - ポリシー、 Microsoft Tech Communityの記事、 The Registerの記事、 ビジネス向けEdge ダウンロードページ)。

SHA-1証明書で保護された接続が許可される条件となるのは、ローカルにインストールされたルート証明書にチェーンした有効なSHA-1証明書であること。ポリシーは既存のアプリケーションとの互換性を保つためにSHA-1証明書を必要とする企業のために追加されたといい、Active Directoryドメインに参加しているWindowsインスタンスやデバイス管理に登録されているWindows 10 Pro/Enterpriseインスタンス、MDMを使用するmacOSインスタンスのみが利用できる。

Internet Explorer 11とレガシーMicrosoft Edgeでは2017年からSHA-1証明書をブロックしており、新ポリシーは追加時点で非推奨という珍しいことになっている。MicrosoftではSHA-1チェーンが安全ではないことを周知するためにポリシーをセキュリティベースラインに追加しており、一刻も早くSHA-1証明書への依存から脱却するよう呼びかけている。このポリシーは2021年中頃リリースのMicrosoft Edge 92で削除される予定とのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | 暗号 |

関連ストーリー：
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
IE11とEdgeでもついにSHA-1証明書使用サイトをブロックへ 2017年05月16日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日
Microsoft EdgeとIE11、来年2月からSHA-1証明書を使用するWebサイトをブロック 2016年11月22日
証明書の不正発行や日付改ざんを行っていた認証局「WoSign」、Firefoxが同社による証明書をブロックへ 2016年10月04日

すべて読む | セキュリティセクション | セキュリティ | 通信 | 暗号 |

関連ストーリー：
米国国家安全保障局（NSA）、位置情報を漏らさないようにするためのガイダンスを公開 2020年08月13日
セキュリティ対策されていないデータベースを「ニャー」に書き換えるニャー攻撃が相次ぐ 2020年07月28日
Mozilla VPNサービスを6カ国で正式提供開始。Windows 10とAndroidに対応 2020年07月21日
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年07月21日
NTT東とIPAなどが「シン・テレワークシステム」を開発、無償提供 2020年04月22日

Linux 5.9に向け、ドキュメンテーションなどに多数含まれるHTTPリンクをHTTPSリンクへ置き換える作業が進められている(Phoronixの記事、 Neowinの記事、 The linux-next integration testing tree)。

置き換えの理由としては、細工することが難しいHTTPSに置き換え、リンクを開くカーネル開発者が中間者攻撃にあう可能性を減らすことが挙げられている。ただし、実際にカーネル開発者がこのような攻撃を受けている様子はなく、先を見越した変更のようだ。

置き換え作業はAlexander Klimov氏が一人で進めており、既に148件のパッチが存在する。Klimov氏はスクリプトを使用してHTTPリンクを探し、SVGファイルなどではないことを確認したうえで、HTTPSでHTTP版と同じ内容が表示される場合にのみ置き換えを行っているとのこと。osdn.jpへのリンクもHTTPSに置き換えられている。

すべて読む | Linuxセクション | Linux | セキュリティ | 暗号 | デベロッパー |

関連ストーリー：
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日
Windows 10 Insider Preview、DNS over HTTPSがテスト可能に 2020年05月16日
Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 2020年04月29日
Mozilla、Firefoxで「DNS-over-HTTPS」を有効に 2020年02月27日
Safari、SSLサーバー証明書の有効期限を最大13か月間に短縮へ 2020年02月26日

すべて読む | セキュリティセクション | セキュリティ | インターネット | Windows | 暗号 | デベロッパー | プライバシ |

関連ストーリー：
Windows 10 Insider Preview、リリース時期を示すコードネームのないビルドが提供される 2019年12月22日
Microsoft、WindowsでDNS over HTTPSをサポートする計画 2019年11月23日
IIJ、DNS over TLSやDNS over HTTPSに対応するパブリックDNSサービスを開始 2019年05月09日
FirefoxがDNS over HTTPなどをサポート、批判も 2018年08月09日

すべて読む | セキュリティセクション | セキュリティ | 医療 | インターネット | 暗号 |

関連ストーリー：
GDC Summer、結局デジタルイベントになる可能性 2020年04月22日
IANAのルートKSKセレモニー、10年間の歴史で初の延期 2020年02月15日