IPv4アドレスの枯渇問題に対処すべく、中国がIPv6の拡張バージョンとして「IPv6+」の導入を発展途上国などに提案しているらしい。6月6日から16日にルワンダで開催される国際電気通信連合（ITU）の会合で、中国のHuaweiおよび中国国営企業のChinaUnicomとChinaTelecom、同国の産業情報技術省（MIIT）により提案された模様（EURACTIV、GIGAZINE）。

このプロトコルは中国のHuaweiが2019年9月に開発を表明、2022年にはIPv6+として発表されたものだという。ただIPv6とIPv6+は名称こそ似ているものの、中国側の主張とは異なりIPv6とは全く異なるプロトコルとされる。もちろん日本のv6プラスとも異なる。名称的にもミスリードを招きやすい非常に紛らわしいものとなっている。

2020年のFINANCIAL TIMESの記事によれば、英国のサイバーセキュリティ会社であるOxford Information Labsは、この新しいプロトコルは「ネットワークの基盤におけるきめ細かい制御」を可能にし、インターネットユーザーのトップダウン型の制御につながる可能性がある」都市的、検閲しやすい仕組みであるようだ。また現在のアーキテクチャと互換性がなく、インターネットの断片化につながる可能性があると指摘されている。

すべて読む | ITセクション | 検閲 | インターネット | 中国 |

関連ストーリー：
Amazon、Kindleの中国事業から撤退へ 2022年06月07日
中国版GitHub「Gitee」に中国政府が検閲？全てのOSSコードが公開前にレビュー必須と説明 2022年06月02日
スパイダーマン新作映画、中国当局からの検閲で上映できず 2022年05月09日
中国高官から性被害を受けたと告発した女子テニス選手が一時消息不明に。IOC介入も疑念深まる 2021年11月24日

ユーザー「アカウントを作成する前にそのアカウントを乗っ取る」という常識ではあり得ないような攻撃手法が発見されたそうだ。Avinash Sudhodanan氏とAndrew Paverd氏の二人のセキュリティ研究者が見つけたもので、二人はこの攻撃手法を「Pre-hijacking Attack」（プリハイジャック攻撃）」と呼んでいるそうだ（Malwarebytes、TECH+）。

この攻撃方法は5種類の方法に分類されており、一つはメールアドレスを使った2つのアカウントの相互作用の欠陥を使用する「Classic-Federated Merge (CFM)攻撃」。二つ目は先の攻撃手法のサイバー犯罪者とユーザの立場が逆になった「Non-Verifying Identity Provider (NV)攻撃」。三つ目はユーザーによるパスワードリセットの際に電子メール変更リクエストを無効化しない問題を悪用した「Unexpired Email Change (UEC)攻撃」。

四つ目は認証されたユーザーがパスワードリセット後に、アクティブなアカウントからサインアウトされないという欠陥を悪用する「Unexpired Session (US)攻撃」。最後はCFM攻撃とUS攻撃を組み合わせた「Trojan Identifier (TID)攻撃」となっている。研究者らが人気の高いWebサイト75か所を調査したところ、35以上のWebサイトが少なくとも1手法のプリハイジャック攻撃に対して脆弱な状態だったとしている。

あるAnonymous Coward 曰く、

5種類の攻撃方法が例示されているが、全体的に、同じメールアドレスで先にアカウントを登録しておいて正規アカウントが紐づけられたら乗っ取るみたいな方法のようだ？

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー：
着信転送サービスを悪用した WhatsApp アカウント乗っ取り、日本では大丈夫か 2022年06月05日
本人よりも詐欺師の方が高い「秘密の質問」の正解率 2022年04月26日
Google、2段階認証の標準化によりアカウントの乗っ取り被害が50%減少 2022年02月15日
福井県のTwitterアカウント「ふくいブランド」乗っ取り被害か 2022年02月10日
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
Twitter、15日のアカウント侵害インシデントに関する情報や対策を発表 2020年07月19日