読者です 読者をやめる 読者になる 読者になる

5月11日の気になるセキュリティニュース

メッセンジャーの暗号化、電話網の穴で台無しに

「SS7プロトコルへの攻撃、WhatsAppやTelegramの暗号化を出し抜く」

news.softpedia.com

スノーデン告発以降、(日本はともかく)欧米圏では暗号化通信が日常的な話題になり、FBIとAppleの係争も起きました。メッセンジャー系アプリも主要なものは全領域(end-to-end)で暗号化が完了しています。

しかし、実はこれらの方法を使っても安全ではないことが判明しました。理由は世界の電話網の共通プロトコル「SS7」。

https://ja.wikipedia.org/wiki/%E5%85%B1%E9%80%9A%E7%B7%9A%E4%BF%A1%E5%8F%B7No.7ja.wikipedia.org

2014年から脆弱性が知られていましたが、今回、その脆弱性を用いることでメッセンジャーアプリが通信を始める際の通信を傍受、鍵を取得できることが実証されたとか。

ランサムウェアでもいたちごっこ

「CryptXXX 2.0:ランサムウェア作者、無料解除ツールに反撃」

www.proofpoint.com

「身代金」を要求する「ランサムウェア」が全世界的に流行ですが、同時にセキュリティ企業などが暗号化されたファイルを無料で復号できるツールを提供する動きも色々出ています。

これに対して、CryptXXXは、バージョン2において、カスペルスキーの暗号解除ツールへの対策に加えてPCをロックして使用不能にしています。「身代金」の支払いは他のPCかスマートフォンでやれ、ということなのでしょう。ちなみに身代金支払い画面には「JP」の文字があり、「日本語対応」していることが伺われます。

もっとも、短期間での対策なので、再度これを破るツールがリリースされる可能性もあるだろうと思います。

Windows 10の累積パッチにまた不具合

Windows 10の累積的なアップデート(KB3156421)、PCを劇的に遅くする可能性」

news.softpedia.com

Windows 10では主要なWIndows Updateパッチが「累積」となり、全部まとめてインストールされます。このためトラブルがあった場合でも「トラブルを甘受するか脆弱性を放置するか」という恐怖の2択になってしまいます。

今回も問題が出ているようですが、この件、マイクロソフトの技術者によれば……

...problem that I’ve been trying to track down for a couple of weeks.
(……この問題は、私がこの2週間ほど追跡していたものです)

問題があると分かっているのに累積パッチに含めて公開するのは、そこまで切羽詰まった事情でもあったのでしょうか……?