Chaos Computer Club (CCC) は 4 日、独キリスト教民主同盟 (CDU) のソフトウェアに脆弱性があっても今後知らせることはないと宣言した (CCC のブログ記事、 The Register の記事、 heise online の記事 [1]、 [2])。 発端は 5 月、CCC の活動家 Lilith Wittmann 氏が CDU のキャンペーンアプリ「CDU-connect」のデータベースに格納された大量の個人情報がインターネットで公開状態になっていることを発見したことだ。個人情報には選挙スタッフ18,500人と支持者1,350人のほか、戸別訪問した数十万人の反応を記録したデータも含まれる。Wittmann氏はCDUと当局に責任ある開示を行い、データベースはオフラインとなった。 しかしWittmann氏は3日、CDU-connectアプリに関して容疑者リストに含まれるので住所を連絡するようにとの通知を捜査当局から受け取ったことを明らかにする。CDUのStefan Hennewig氏は被害届がWittmann氏を対象にしたものではないと主張しつつ、Wittmann氏の名前を記載したのは誤りだったと謝罪した。 それでもCCCは将来的な法的問題を回避するため、CDUのシステムに関連する脆弱性の報告は回避せざるを得ないとし、匿名での無責任な脆弱性開示が増えてもCCCの責任ではないと述べている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | EU | 政治 | 情報漏洩 | プライバシ |

関連ストーリー：
ミツロウ製のダミーで静脈認証を突破 2019年01月03日
ドイツ・ニーダーザクセン州、税務所で使う1万3千台近いLinux PCをWindowsへ移行する計画 2018年07月29日
ドイツ、違法コンテンツの報告を受けても削除しないソーシャルメディアに罰金を科す法案が可決 2017年07月02日
Chaos Computer Club、Galaxy S8の虹彩認証を突破 2017年05月27日
Appleのソフトウェアをハッキングする動画を視聴できるアプリ、Appleに却下される 2015年11月04日
Chaos Computer Club、iPhone 5sの指紋認証を突破 2013年09月23日
マイクロソフト、緊急のセキュリティ更新プログラムを公開 2011年12月31日
ドイツ、複数の州当局がスパイウェアを捜査に使用していることを認める 2011年10月12日
ドイツで「ハッカー・ツール」が違法に 2007年08月13日
Kindleに脆弱性。電子書籍をインストールするだけで実行可能 2021年08月12日

Microsoft Browser Vulnerability Research (VR) チームがプレビュー版の Microsoft Edge でテスト中のセキュリティ強化モード「Super Duper Secure Mode (SDSM)」について解説している(VR のブログ記事、 The Verge の記事、 On MSFT の記事、 The Register の記事)。 Web ブラウザーに対する攻撃の主なターゲットは JavaScript エンジンのバグだ。中でもパフォーマンスを向上させる「JIT (Just-In-Time Compilation)」に関連する問題が大きな割合を占め、V8 に関する脆弱性で 2019 年以降に発行された CVE の 45 % を JIT エンジンが占めているという。さらに、Intel によるハードウェアベースのエクスプロイト緩和技術 Control-flow Enforcement Technology (CET) のように、V8 JIT と共存させることのできない脆弱性緩和技術も多い。 SDSM は JIT を無効化して脆弱性緩和技術を有効化するというもので、現在の SDSM では 2 つの JIT (TurboFan / Sparkplug)を無効化するとともに、CET が有効化される。パフォーマンス向上技術の JIT だが、無効化しても通常のブラウジングで体感できるような差は出ないようだ。今後はさらなる脆弱性緩和技術の有効化や、Web Assembly サポートの追加を行う計画だという。 SDSM を有効にするには、プレビュー版 Microsoft Edge (Bata / Dev / Canary) で「試験段階の機能 (edge://flags)」の「Super Duper Secure Mode (edge://flags/#edge-enable-super-duper-secure-mode)」を「Enabled」にしてブラウザーを再起動すればいい。 VR チームでは SDSM プロジェクトを楽しんで進めていく計画で、公式にするにはまだ早すぎることもあって面白い名前を付けたとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | Chromium | デベロッパー |

関連ストーリー：
Microsoft Edge Canary、自動HTTPSオプションのテストを開始 2021年05月05日
レガシーMicrosoft Edgeのサポートが終了 2021年03月11日
Chromium系ブラウザー全般に影響するV8のゼロデイ脆弱性 2021年02月06日
Firefox 72、リリース翌日にゼロデイ脆弱性修正版がリリースされる 2020年01月11日
Microsoft、Google Chromeのパッチ提供方針を批判 2017年10月21日
Mobile Pwn2Own: Android版Chromeでリモートから任意のアプリをインストール可能な脆弱性 2015年11月15日
Kindleに脆弱性。電子書籍をインストールするだけで実行可能 2021年08月12日

Apple が米国内の Apple デバイスを対象として、子供を性的虐待から守る取り組みの強化を発表した(Apple - Child Safety、 9to5Mac の記事、 Mac Rumors の記事、 The Verge の記事)。 取り組みの中心となるのは自動性的虐待素材 (CSAM) の拡散防止だ。まず、「メッセージ」アプリでは子供が性的に露骨な写真を送受信しようとすると警告して保護者にも通知し、受信した写真にはぼかしがかけられる。性的に露骨な写真はデバイス上の機械学習によって検出され、Apple に写真が送信されることはない。 また、iOS /iPadOS デバイスで写真を iCloud 写真へ保存する際には、全米失踪・被搾取児童センター (NCMEC) などが提供する既知の CSAM 画像のハッシュとの照合をデバイス上で実行する。照合結果は暗号化されたセーフティーバウチャーに格納されて写真とともに iCloud 写真へ保存される。Apple は iCloud 写真に保存された CSAM コンテンツが閾値を超えた場合にのみセーフティーバウチャーへのアクセスが可能となり、確認の上でアカウントの無効化や NCMEC への通報などを行うとのこと。 最後はオンラインでの危険を避けるための Siri と検索による 児童と保護者へのリソース提供だ。Siri と検索はユーザーが CSAM 関連の検索を実行しようとしたときの介入も行う。これらの機能は iOS 15 / iPadOS 15 / watchOS 8 / macOS Montereyで利用可能になる。米国以外での提供に関しては国や地域ごとに決定するとのこと。 しかし、善意の計画であっても悪用される可能性があるため、EFF やエドワード・スノーデン氏、WhatsApp 責任者のウィル・キャスカート氏、ジョンズ・ホプキンズ大学で教鞭をとる暗号専門家のマシュー・グリーン氏などをはじめとして、さまざまな懸念が示されている。主な懸念点としては誤検知やハッシュのコリジョンによる攻撃、独裁政権による悪用、テキストへの対象拡大といったものが挙げられる。

すべて読む | アップルセクション | セキュリティ | MacOSX | アップル | 暗号 | iOS | プライバシ |

関連ストーリー：
NSO Group のスパイウェアがジャーナリスト監視に使われていた問題で、iOS のセキュリティがイメージほど高くないことにも注目が集まる 2021年07月23日
FacebookアプリとInstagramアプリ、iOS 14.5でユーザートラッキング許可を求める理由の表示を開始 2021年05月04日
開発者の正直さに依存するApp Storeのプライバシー情報表示、どれぐらい意味がある？ 2021年02月01日
アプリのユーザートラッキング許可を求めるiOS 14のプロンプト、一部で表示されるようになる 2020年12月27日
EFF曰く、スモールビジネスを守ると称してAppleを批判するFacebookのキャンペーンはお笑い草 2020年12月23日
Apple、App Storeで表示するアプリのプライバシー方針情報の受付を開始 2020年11月08日
米国と欧州の日付フォーマットの違いにより、児童ポルノ送信容疑をかけられたスペインの家族 2020年09月17日
TumblrアプリがApp Storeから突然消えた理由は児童ポルノ 2018年11月23日
Google、児童ポルノ画像検出APIを公開。一定時間の検出率が大幅に増加 2018年09月07日
オーストラリア、Facebookでのリベンジポルノ拡散を未然に防ぐ取り組み 2017年11月11日
違法コンテンツ確認業務が原因でPTSDになったとして、元担当者がMicrosoftを提訴 2017年01月14日
Microsoft、OneDriveに保存されていた児童ポルノ画像を通報、ユーザーが逮捕される 2014年08月09日
Facebook、児童ポルノの拡散防止へ画像自動検出・ブロック機能を導入 2011年05月24日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
Apple、波紋を呼んだ児童虐待画像（CSAM）の検出技術に関してFAQを公開 2021年08月12日

コロナ禍により一躍人気となったリモート会議サービス「Zoom」では、過去に実際にはエンドツーエンドの暗号化していないにも関わらず、暗号化しているとの説明をしていたことから集団訴訟を起こされていた。この裁判で原告とZoomは8500万ドル（約92億7,800万円）の和解金を支払うことで同意したという。この和解金は集団訴訟に参加したZoomアカウントを持っているすべてのユーザーに対して分配する形で支払われる。参加ユーザーはサブスクリプションの15％もしくは25ドル（約2800円）のうち、金額の多い方の払い戻しが受けられるとしている（Reuters、Ars Technica、Engadget、iPhone Mania）。

すべて読む | ITセクション | ビジネス | セキュリティ | 法廷 | インターネット |

関連ストーリー：
Web会議サービスZoom、虚偽のセキュリティを主張した問題等でFTCと和解 2020年11月13日
Zoom、法執行機関への協力のため無料ユーザーの通信はE2Eでの暗号化をしないと説明 2020年06月05日
オンライン会議サービスを提供するZoom、セキュリティ問題を誇張していたとして株主から訴えられる 2020年04月10日
Web会議サービスZoomに対しさまざまな懸念、使用禁止にする組織も登場 2020年04月07日
Web会議サービスZoomに対し複数の脆弱性があるとの指摘、暗号化への懸念の声も 2020年04月03日

headless 曰く、Microsoft が Windows 10 の望ましくない可能性のあるアプリケーション(PUA) 対策に関するサポート記事を更新し、8 月からコンシューマー向け環境で PUA のブロックを既定で有効にする計画を明らかにした(Microsoft のサポート記事[1]、 [2]、 BetaNews の記事、 Softpedia の記事)。 PUAのブロックは Windows 10 May 2020 Update (バージョン 2004) で「Windows セキュリティ」に追加された。エンタープライズ向けの環境では既定で有効になっているものもあったそうだが、コンシューマー向けの環境では有効化が推奨されるのみで既定では無効となっていた。 既定値の変更後に PUA のブロックを無効化したい場合は、Windows セキュリティの「アプリとブラウザーコントロール→評価ベースの保護→評価ベースの保護設定」で設定を変更すればいい。 手元の環境では 1 台のみ有効化されていたが、これは自分で有効化したように記憶している。スラドの皆さんの環境はいかがだろうか。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | Windows |

関連ストーリー：
Windows 10 バージョン20H2、幅広い展開の準備が整う 2021年05月23日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
シンガポール政府、オープン標準「HealthCerts」を開発。COVID-19検査結果とワクチン接種の証明書を相互運用可能に 2021年03月03日
オーディオチャットアプリClubhouse、中国でアクセス不能に 2021年02月10日
開発者の正直さに依存するApp Storeのプライバシー情報表示、どれぐらい意味がある？ 2021年02月01日
Google Play、対応字幕形式が性的なコンテンツと冒涜的な表現ポリシーに違反するとして動画プレイヤーアプリを一時公開停止 2021年01月29日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日

ケータイ Watchにスマートロックに関するトラブルが報告されている。その記事によると、著者は玄関ドアのスマートロック「Qrio Lock」を導入、Apple Watchからの操作で便利に使っていたという。そんな中、スマートロックを導入したが故に家に入れないトラブルに遭遇したそうだ（ケータイ Watch）。 原因は玄関側に取り付けるスマートロックの電池切れ。市販されているスマートロックの多くは後付けで、鍵を回すモーターは内蔵された電池で駆動させるため、電池切れを起こすとスマートロックとしての機能は使えない。物理キーを持っていれば問題なかったが、著者が遭遇したトラブルでは、郵便物を受け取りにちょっと出ただけのため、Apple Watchしか持っておらず結果として家から閉め出されてしまったようだ。そのときは子どもの帰宅時間が近く、子どもに持たせていた物理キーで入ることができた。 同氏はさらに翌日も解錠操作に失敗するトラブルが発生したという。このときはApple Watchのアプリから自宅の鍵情報が消えてしまったとしている。同氏はスマートスピーカーとスマートロックの連携をしていたことを思い出し、玄関の外からインターホン経由で解錠の指示を何回か出した結果、解錠に成功し家に入ることができたとしている。 同様のスマートロック関連のトラブルがネット上でも報告されている。こちらはスクートフォンアプリで鍵の開閉を行う方式のレンターカーで、車種はヤリスだったそうだ。被害に遭ったのはKenn Ejimaさん。Togetterのまとめ記事によれば、飛騨の山奥でBluetoothの接続ができなくなり、仕方なく業者を呼んで鍵を開けてもらったはいいが、今度はセキュリティ機能が働きエンジンが掛からなかったことから、諦める結果となったようだ。車両はレッカー輸送となり、本人はその場に放置されることになったとのこと（Kenn Ejimaさんのツイート、Togetter）。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ | スラッシュバック |

関連ストーリー：
スマート貞操帯がハッキングされ身代金を要求される。支払うも解除されず 2021年02月02日
Googleオフィスで導入されていたIoT錠、従業員によってハックされる 2018年09月06日
スマホで開錠できるスマートロック、配信されたアップデートに不具合があり開錠不能に 2017年08月18日
ソニー新会社Qrioが世界最小のスマートロックシステムを開発 2014年12月17日

headless 曰く、北米では主要な病院の 80 % が使用しているという Swisslog Healthcare の気送管システム TransLogic Pneumatic Tube System (PTS) で見つかった一連の脆弱性「PwnedPiper」について、発見者の Armis が解説している(Armis のリポート、 Swisslog Healthcare のアドバイザリー、 The Register の記事、 Softpedia の記事)。 日本ではエアシュートなどとも呼ばれる気送管システムは、空気圧をかけたパイプのネットワークで物品を格納したパケットを送る仕組み。かつては人力によるルーティングが行われていたが、現代的なシステムは IP ネットワークに接続され、コンピューターにより制御が行われる。 TransLogic PTS の脆弱性は制御用の Linux デバイス Nexus Control Panel に存在し、検証なしのファームウェア更新 (CVE-2021-37160) や、リモートからのコード実行または DoS が可能となるメモリ破損の脆弱性 (CVE-2021-37161 / 37162 / 37164 / 37165 / 37166)、ハードコードされた Telnet パスワード (CVE-2021-37163)、特権昇格の脆弱性 (CVE-2021-37167) といったもの。Armis は 9 件の脆弱性と述べているが、CVE-ID が割り当てられた脆弱性は 8 件となっている。全ての脆弱性は認証されていないネットワークパケットを送るだけで引き起こすことが可能で、ユーザーの操作は必要ないとのこと。 これらの脆弱性を悪用することで、攻撃者は送り先の変更や速度の変更といった攻撃が可能だ。血液製剤など低速で送るべき物品を高速で送ってしまうと、患者に被害が及ぶ可能性もある。また、PTSのユーザー認証システム WhoTube に登録されたスタッフの認証情報取得や病院のコミュニケーションソリューションに統合された PTS のアラートシステム悪用による業務妨害、ランサムウェア攻撃なども可能になる。 脆弱性のほとんどはファームウェアバージョン 7.2.5.7 で修正されているが、CVE-2021-37160 だけは修正されていないという。Armis ではパッチの適用のほか、Telnet のブロックや ACL のデプロイ、Snort による攻撃検知といった対策を推奨している。

すべて読む | セキュリティセクション | セキュリティ | バグ | 医療 | 交通 |

関連ストーリー：
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性 2019年03月23日
脳波検査システムのソフトウェアに脆弱性 2018年04月08日
Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 2016年04月05日
東大病院で大規模なワーム感染 2009年03月06日

headless 曰く、Intel の重役が Thunderbolt 5 の情報らしきものを含む写真を誤って Twitter に投稿し、その後削除している(AnandTech の記事、 Neowin の記事、 Mac Rumors の記事、 Windows Central の記事、 グレゴリー・ブライアント氏のツイート)。 写真を投稿したのは Intel のクライアントコンピューティンググループ担当エグゼクティブバイスプレジデントのグレゴリー・ブライアント氏。イスラエルの Intel の研究所を視察したブライアント氏は Thunderbolt に関するイノベーションを目にする機会を得たとして4 枚の写真を投稿し、うち 1 枚をその後削除した。 削除された 1 枚には「... 80G PHY Technology」と題するポスターが写りこんでいる。ポスターでは80G (bps) PHY Technology が既存の USB-C エコシステムをサポートし、PAM-3 変調技術に基づくこと、6nm のテストチップでテストが行われていること、期待できる結果が得られていること、といった説明が読み取れる。

すべて読む | セキュリティセクション | ハードウェア | Intel | Twitter | 情報漏洩 |

関連ストーリー：
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
EIZO、Apple M1チップ搭載Macで互換性問題があると発表。他社製品でも起こりうるとも 2020年12月14日
Windows 10の2004と20H2で、Thunderbolt接続のNVMe SSDを接続するとブルースクリーンが発生する可能性 2020年11月06日
Apple、税別12,800円のThunderbolt 3ケーブル(2m)を発売 2020年07月29日
Intelが新たなデータ伝送技術「Thunderbolt 4」を発表。Appleも採用か 2020年07月10日
13インチMacBook Proでバッテリー残量があっても電源が切れる問題、Appleが対処法を公開 2019年12月06日
高価だがUSB Type-Cケーブルの混沌を解決するThunderbolt 4ケーブルという選択肢 2021年08月06日

headless 曰く、Google の広告を通じて Brave ブラウザー公式サイト (brave.com) の偽物「bravė.com」への誘導が行われていたそうだ(Ars Technica の記事、 Silent Push のブログ記事、 Braveのセキュリティエンジニア Yan Zhu 氏のツイート)。 偽サイトは Punycode で「xn--brav-yva.com」と表記される国際化ドメイン名 (IDN) だが、ブラウザーのアドレスバーでは「bravė.com」と表示される。このように字形の似た文字を使用したドメインによる攻撃はホモグラフ攻撃などと呼ばれ、以前から行われている。 しかし、今回確認された攻撃では「brave」の Google 検索結果に表示される Braveブラウザー の偽広告を通じて誘導が行われていたという。広告をクリックすると数回のリダイレクトの末に「bravė.com」へ移動する。bravė.com は brave.com に似せて作られており、ダウンロードボタンをクリックするとマルウェアがダウンロードされる仕組みだ。 「bravė.com」のほか、「bravē.com」「ēxodus.com」「torbrōwser.com」「tēlegram.com」などのドメインが同じレジストラ Namecheap で登録されていたが、指摘を受けて登録は解除されており、Google の広告も既にブロックされているとのこと。なお、現在 Brave ブラウザーで「bravė.com」にアクセスしようとすると、「偽のサイトにアクセスしようとしています」と警告画面が表示される。

すべて読む | セキュリティセクション | Google | セキュリティ | 広告 | インターネット |

関連ストーリー：
Microsoft StoreやSpotifyの偽ページ、広告で誘導して情報窃取マルウェアを配布 2021年04月23日
Google Playにある古参アプリ、マルウェアと誤認される。マルウェア化したアプリと同名 2021年02月12日
マルウェア感染アプリ17本がApp Storeで発見される 2019年10月27日
Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 2019年08月30日
Microsoftの広告SDKを通じた不正広告キャンペーン、1か月以上経過しても対策なし 2019年06月08日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日
ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法 2017年04月21日

Python パッケージの公式リポジトリ PyPI で公開されているパッケージの半数近くに何らかのセキュリティ上の問題が含まれるとの調査結果が発表された(The Register の記事、 論文)。 対象は PyPI に保存されている全パッケージ 19 万 7 千件以上のスナップショットで、静的コード解析ツール Bandit を用いて調査している。セキュリティ上の問題は exec 関数の使用やパスワードのハードコードといったものから、セキュアでない例外処理やハッシュ関数の使用、SQL インジェクションや XSS が可能といったものまで幅広い。調査の結果、約 75 万件の問題が見つかり、46 % のパッケージが少なくとも 1 つの問題を含んでいたとのこと。 ただし、見つかった問題の半数以上を占める約 44 万件は深刻度の低いものであり、約 23 万件が深刻度中、約 8 万件が深刻度高に分類される。深刻度低の問題を含むパッケージは全体の 35.8 %、深刻度中は 25.3 %、深刻度高は 11.4 % にとどまる。また、今回の調査では誤検出・検出漏れや実際の使用では実行されないコードが検出されている可能性のほか、調査時に展開されなかったファイルが含む問題や Python 以外の言語で書かれたコードに含まれる問題は検出できないといった制約もあるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | デベロッパー | Python |

関連ストーリー：
PyPI で暗号通貨採掘マルウェアを含む悪意あるパッケージが見つかる 2021年06月26日
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日
‘-‘ という中身が無いのに70万回もダウンロードされてる謎のnpmパッケージ 2021年08月06日

取引先企業のウェブサイトを閲覧不能にした疑いで男が逮捕された。容疑者は2020年3月8日、運営用サーバーに不正アクセスを行い、13時間にわたって閲覧不能にしたと報じられている。このとき男は端末側に秘密鍵、サーバー側に公開鍵を勝手に設定、外部から不正アクセスを行い閲覧不能にしたとしている。公開鍵認証の不正利用による逮捕者は全国初とされる。男と被害に遭った企業の間では、業務内容をめぐってトラブルがあった模様。なお本人は容疑に対して「思い出せません」と否認しているとのこと（毎日新聞、FNNプライムオンライン）。 この件に関しては別の視点の報道も行われている。読売新聞によると会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。なお、この男は6と7月にも同社のサーバーに不正アクセスしたとして逮捕されていたしている（読売新聞）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ |

関連ストーリー：
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
国内の銀行API連携が進まずフィンテック実現に遅れ。オープンAPI化に利害の壁 2021年07月16日
読売新聞子会社でクレジットカードの情報漏洩が発生 2021年07月15日
PR TIMES、公開状態になっていた発表前のプレスリリース情報が「不正アクセス」を受けたと発表 2021年07月10日

headless 曰く、台湾電力は 7 月 28 日、前日発生した第二原子力発電所 2 号機が停止するトラブルは、スタッフが制御室を清掃する際に主蒸気隔離弁スイッチのカバーを誤って動かしてしまったことが原因だと発表した(台湾電力のニュースリリース、 The Register の記事、 Taipei Times の記事)。 制御室には発電所設備の操作資格を持った技術者のみ入ることが認められており、清掃も技術者自ら行う必要があるという。ところが、27 日の担当者は清掃の際に注意を怠り、椅子を移動したときに主蒸気隔離弁スイッチの保護カバーに誤って触れてしまう。その結果カバーが傾いて主蒸気隔離弁が閉じられ、2 号機が停止する結果になった。2 号機の設備に問題はなく、環境への影響もないが、再起動した 2 号機がフル出力になるのは 31 日夕方以降になるとのこと。台湾電力ではトラブル発生を謝罪し、再発防止に努めると述べている。

すべて読む | idleセクション | セキュリティ | 電力 | idle | 原子力 |

関連ストーリー：
新型コロナワクチンを1日に2回接種するミスなど接種関連のトラブルが増加 2021年06月02日
ワクチン1000回分をダメにした件、原因は冷凍庫の故障ではなくタコ足配線 2021年03月03日
今どきのテレビは主電源を頻繁に操作すると電源基盤がすぐに故障する 2020年12月24日
イーサネット通信エラーにより緊急着陸モードになるスイス製ビジネスジェット 2020年09月27日
空きコンセントに差し込んでオーディオの再生品質を高めるアクセサリ。1個16万円なり 2020年06月22日
IBMはルンバベースのロボットでデータセンターの温湿度を管理している 2013年06月07日
ケーブルなどのネズミ対策、どうしてる？ 2009年02月14日
ギクリとするJR大阪駅大停電の原因 2007年04月11日

LINE関係のトラブルが2件報じられている。台湾で政府要人が利用しているLINEのアカウント約100名分がハッキング攻撃に遭い、個人情報が流出していることが判明した。台湾の内務省刑事局は28日が発表した。ハッキングされたのは台湾の当局者や軍の高官などのアカウントで、暗号化機能が無効化され、個人情報が流出していたとされる。攻撃にはイスラエル「NSO Group」のスパイウェア「Pegasus」が使用されていた可能性があるようだ（中央通訊社、NHK、日経新聞）。 こちらは日本の話題で、LINEは昨年10月、同社のチケット制ライブサービス「LINE Face2Face」において、外部から特定の方法を使うことで動画がダウンロードできる状態となっていたと発表した。同サービスはコロナ禍でやりにくいトークイベントや握手会の代替イベント向けサービスとして提供されていたもので、アイドルや俳優などと1対1で会話ができた（LINE、Security NEXT、ケータイ Watch）。 動画には配信者と参加者が見える状態で音声に関してもそのままだったようだ。オンライン握手会の参加者などが写った動画132件が中国の「bilibili」にアップロードされていたことが判明していたという。見つかった動画に関してはすべて削除されたとしている。なお公表まで9カ月かかった理由に関しては、問題発覚時の確認や社内の議論が不十分だったためだとしている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 政府 | 情報漏洩 | プライバシ |

関連ストーリー：
NSO Group のスパイウェアがジャーナリスト監視に使われていた問題で、iOS のセキュリティがイメージほど高くないことにも注目が集まる 2021年07月23日
イスラエルのNSO Group、Facebookのログインページを偽装してフィッシング行為 2020年05月26日
青森県での新型コロナ感染者のカルテ流出、流出元は感染症病棟の看護師 2020年04月23日
欧州の当局がテロ容疑者追跡にスパイウェアを使用、WhatsAppがこれを警告するメッセージを出す 2020年01月11日
各国政府機関が愛用するスマートフォン用スパイウェア、クラウドのデータも取得可能に 2019年07月21日
他人の携帯端末を勝手に操作してLINEのスクリーンショットを取得することは不正アクセスか 2016年01月14日
「LINEアカウントを乗っ取ってプリペイドカードを詐取」の台本が流出？ 2014年08月21日

旧聞に類する話題ではあるが、オンラインサービスのボット対策などのために使用されている「CAPTCHA」認証だが、Cloudflareのブログによると、CAPTCHAは多くのユーザーの時間を無駄に奪っているのだそうだ。同社の調査によれば、ユーザーがCAPTCHAのチャレンジを完了するのに必要な平均時間は32秒。世界には46億人のインターネットユーザーがおり、一般的なインターネットユーザーは、10日に1回はCAPTCHAの捜査を求められる状況に遭遇しているという（Cloudflare）。 このためインターネットサービスに自分が人間であることを証明するために、人類は単純計算で毎日500年分の時間をCAPTCHAに費やしているとしている。またCAPTCHAは画面サイズが小さいと識別が困難、視覚障害を持つ場合は(音声機能はあるが）クリアが難しい、消火栓の色や形状、タクシーの色などは地域や文化によって違いがあることから、特定の英語圏の国以外の人がわかりにくいといった問題があるとしている。なお、同社はこの問題への対策としてWebブラウザに標準的に採用されている「WebAuthn」とCloudflareによって信頼されたハードウェアキーを用いることで人間の認証を行うシステムの実験を行っている。

すべて読む | ITセクション | セキュリティ | ソフトウェア | ボットネット | インターネット | IT |

関連ストーリー：
GoogleのreCAPTCHAの対抗馬「hCaptcha」、外的要因もあって市場シェア15％に 2020年11月30日
CAPTCHAを悪用してセキュリティ機構を回避するマルウェアが登場。マイクロソフトが警告 2020年06月25日
チケット販売サイト「e+」、ボット対策の導入によりチケット自動購入ボットをほぼ殲滅 2018年12月30日
「人間には突破できないCAPTCHA認証」を人力で突破しようと挑戦する人達 2018年02月14日
Googleが新型CAPTCHAを開発 2014年12月05日
Googleストリートビュー向けの画像認識アルゴリズムを使うと非常に高い精度でのCAPTCHAを解読できる 2014年04月21日

5月にランサムウェア攻撃を受けて操業が停止し、当時440万ドル相当の身代金をBitcoinで支払い、その後にFBIによって身代金の大半を奪還することに成功したことで話題となった「コロニアル・パイプライン」に対して訴訟が起こされているようだ。原告となっているのはガソリンスタンド経営者で、コロニアル・パイプラインからの燃料供給が停止されたことで営業ができなくなったとのこと（The Washington Post、CoinPost）。 訴状によればパイプラインの停止により地域では燃料が不足し、それにより1万1000軒以上のガソリンスタンドがその影響を受けたとしている。コロニアル・パイプラインは重要なインフラを守るための義務があったが被告はそれを怠り、ランサムウェア攻撃を受けることとなったとしている。また同社は一般消費者からもガソリン価格の上昇したとして損害賠償を求める訴訟が起こされているそうだ。

すべて読む | セキュリティセクション | セキュリティ | 法廷 | アメリカ合衆国 |

関連ストーリー：
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
米パイプラインのサイバー攻撃事件、身代金4.8億円が支払われる。米保険会社でも支払いとも 2021年05月22日
米パイプラインのサイバー攻撃事件、FBIがロシアのDarksideグループが関与と判断 2021年05月11日
米最大の石油パイプラインがサイバー攻撃で停止。石油供給に影響する可能性も 2021年05月10日

headless 曰く、偽の Windows 11 インストーラーが出回っているとして、Kaspersky Lab が注意喚起している(Kaspersky official blog の記事、 Neowin の記事、 BetaNews の記事、 On MSFT の記事)。 現在のところ Windows 11 をインストールするには Windows Insider Program にエンロールする必要があるが、他の方法でインストールしようとする人も多いようだ。Kaspersky 製品は偽の Windows 11 インストーラーの実行を既に数百件ブロックしているという。偽インストーラーは主にダウンローダーであり、実行すると別のプログラムをダウンロードして実行する。ダウンロードされる別のプログラムが Windows 11 とは限らず、アドウェアからマルウェアまで幅広いとのこと。 例に挙げられている「86307_windows 11 build 21996.1 x64 + activator.exe」という偽インストーラーはファイルサイズが 1.75 GB と、それらしいサイズにみえるが、その大半は役に立たない情報を含む1つの DLL ファイルが占めているそうだ。この偽インストーラーがダウンロードして実行するプログラムは使用許諾画面を表示し、バンドルソフトウェアのインストールを促すとのことだ。

すべて読む | セキュリティセクション | セキュリティ | Windows |

関連ストーリー：
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日
WHOを狙ったサイバー攻撃が相次ぐ 2020年03月28日
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
ロシア、VPNプロバイダに対し当局が禁止したサイトへの接続をブロックするよう要請 2019年06月18日
Bing検索結果にGoogle Chromeの偽広告が出現 2018年11月01日
米連邦地裁、米政府機関でのカスペルスキー製品使用禁止は違法だとする2件の訴訟を棄却 2018年06月02日
Microsoftの「Security Essentials」を装うマルウェア「Hicurdismos」が確認される 2016年10月28日

多数の戦車・航空機・艦艇などが登場するMMO対戦ゲーム「War Thunder」で、熱心なファンがモデリングのミスを指摘するため、軍の機密文書を公開してしまうというやらかしをしてしまったようだ。報道によると問題となったのは、英国製の主力戦車「チャレンジャー2」。モデルのミスを指摘するため、英国陸軍に所属していた経歴を持つユーザーが、チャレンジャー2のマニュアルの写真を投稿してしまったのだという（War Thunderのチャレンジャー2スレッド、UK Defence Journal、GIGAZINE、GameSpark、DNA）。 チャレンジャー2は現役であったことから、デベロッパーのGaijin Entertainmentが英国国防省に確認をとったところ、現在も機密扱いの情報であったことが判明し、削除などの対策を取ったとのこと。ちなみに主砲を支える構造が正確ではないとの主張だったそうだ。同社によると機密扱いではない資料が出てこない限り、指摘されたチャレンジャー2のミスの修正は行わないとしている。

すべて読む | セキュリティセクション | 軍事 | 英国 | セキュリティ | idle | ゲーム | 情報漏洩 |

関連ストーリー：
Microsoft、Xboxゲームでも手数料率引き下げを計画していた 2021年05月05日
英判事、米国によるジュリアン・アサンジ氏の身柄引渡要求を却下 2021年01月05日
Intelから大量の機密データが流出。Kabylake関連のサンプルコードなども含まれる 2020年08月12日
自動運転スタートアップ「Zoox」、元従業員が移籍時にテスラの機密文書を持ち出したことを認める 2020年04月21日
英政府から流出した文書がRedditで拡散される、Reddit運営はロシアの工作と判断 2019年12月11日

東京五輪・大会組織委員会は22日、観戦チケット購入者やボランティアのIDとパスワードなどが流出したことを発表した。シンガポールのセキュリティー企業「ダークトレーサー」の調査により判明したもの。原因については組織委員会システムからの流出ではないことを確認したとしている。詳細は調査中であるとしているが、ダークトレーサーによるとフィッシングサイト経由で購入者やボランティアのパソコンが不正アクセスを受けた可能性があるようだ。流出が確認されたのは10件とされている。（日経新聞、朝日新聞、ITmedia、共同通信）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
求人サービス「engage」の画像・動画が全て消失、不正アクセスによる被害 2021年04月07日
東京五輪が開幕、開会式でゲームBGMが流れアレゲ界隈が盛り上がる 2021年07月27日
取引先会社のサーバーに公開鍵を勝手に設定、不正アクセスし13時間サイトを閲覧不能に 2021年07月30日

HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事、 BetaNews の記事)。 この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。 脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリー、Xerox のアドバイザリー: PDF)。

すべて読む | ハードウェアセクション | セキュリティ | HP | ソフトウェア | プリンター | バグ |

関連ストーリー：
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
11年前にLinux版のFirefox 2で報告されたバグ、Firefox 57で修正へ 2017年09月09日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
Firefox 41、14年前に報告されたバグの修正でAdblock Plus使用時のメモリー消費量が大幅に減少 2015年09月26日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

昨年 7 月に発生した Twitter アカウントの大規模侵害事件に関連して、スペインで新たな逮捕者が出たそうだ(米法務省のニュースリリース、 The Verge の記事、 Mac Rumors の記事、 The Register の記事)。 この事件では攻撃者が電話によるスピア型フィッシングの手法で Twitter 従業員から認証情報を入手し、内部ツールを用いて 130 アカウントを攻撃。このうちパスワードリセットに成功した著名人のアカウントを含む 45 アカウントでビットコインの詐取を目的とした投稿が行われた。昨年 8 月に 3 人が起訴されており、主犯格とされる未成年者 (当時) は今年 3 月に 3 年の実刑判決を受けている。 一方、今回逮捕されたのは 22 歳の英国人男性で、米国の要請を受けたスペイン国家警察がエステポナで逮捕したという。この人物は事件発生直後、関与している可能性のある SIM スワッパー「PlugWalkJoe」として KrebsOnSecurity に取り上げられていたが、事件に直接関与してはいないと The New York Times のインタビューに答えていた。KrebsOnSecurity によれば男性は昨春までスペインの大学に通っていたが、昨年7月時点では COVID-19 パンデミックによる渡航制限で帰国できずにいたという。 米法務省によれば、男性は Twitter のアカウント侵害だけでなく、TikTok や Snapchat のアカウント乗っ取りや未成年者に対するサイバーストーキングにも関与しており、コンピューターの不正アクセスと共謀、脅迫など計 10 件で訴追されているとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 | 英国 | 法廷 | Twitter | スラッシュバック |

関連ストーリー：
Twitterのアカウント侵害事件、米国で起訴された英国の被告は逮捕されていない 2020年08月08日
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
ウォズ、無断で名前や外見を使用したビットコインプレゼント詐欺動画を放置したとしてYouTubeを訴える 2020年07月24日
Twitter、15日のアカウント侵害インシデントに関する情報や対策を発表 2020年07月19日
バイデン氏やイーロン・マスクなどのTwitterアカウント、まとめてハッキングされる 2020年07月16日
取引先会社のサーバーに公開鍵を勝手に設定、不正アクセスし13時間サイトを閲覧不能に 2021年07月30日