Amnesty International の The Pegasus Project でイスラエル NSO Group のスパイウェア Pegasus が人権抑圧国家でジャーナリストを沈黙させ、活動家を監視して反対派をつぶすために使われていることが明らかにされたが、iOS がイメージほどセキュアでないことにも注目が集まっている(The Guardian の記事、 Ars Technica の記事、 9to5Mac の記事、 Recode の記事)。 The Pegasus Project はフランスの非営利メディア Forbidden Stories のコーディネートにより 10 か国 17 メディア組織から 80 人以上のジャーナリストが参加し、Amnesty International が最新のフォレンジック調査を実施したものだ。The Guardian などのプロジェクト参加メディアは今後数週間にわたって調査結果を報じていく計画だという。 Pegasus に関連して Apple は 2019 年、同社の OS は世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないと述べていた。 しかし、プロジェクトでは今年 5 月時点で最新版の iOS を実行する iPhone で 10 台以上の Pegasus 感染を確認しており、2018 年以降 2021 年に至るまで複数の脆弱性がゼロクリック攻撃に使われてきたという。そのため、Amnesty International では全世界で数千台の iPhone が感染している可能性があるとの見解を示している。 Apple は今回の調査結果に対しても 2019 年と同様の説明を繰り返した。しかし、ゼロクリック攻撃を止めるための Apple の対策が不十分だという意見や、Apple は他社と協力して問題に対応すべきだといった意見も出ている。 なお、NSO Group では以前から顧客は犯罪やテロの調査に製品を使用する民主的な政府だと主張しており、今回も人権抑圧国家にツールを提供しているとの指摘に反論している。また、人権抑圧国家として名指しされた政府のいくつかはスパイウェアの使用を否定する回答を出している(The Guardian の記事 [2])。

すべて読む | アップルセクション | セキュリティ | iOS | 政府 | プライバシ |

関連ストーリー：
イスラエルのNSO Group、Facebookのログインページを偽装してフィッシング行為 2020年05月26日
EFFなど53団体、Androidのプリインストールアプリを制限するよう求める 2020年01月16日
欧州の当局がテロ容疑者追跡にスパイウェアを使用、WhatsAppがこれを警告するメッセージを出す 2020年01月11日
各国政府機関が愛用するスマートフォン用スパイウェア、クラウドのデータも取得可能に 2019年07月21日
WhatsApp、音声通話の着信でリモートからのコード実行が可能な脆弱性 2019年05月18日
Googleのセキュリティ研究者、Appleのセキュリティに対する姿勢を批判 2018年08月15日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日

Google は 19 日、インカの人々が情報の記録に用いたヒモのオンライン展覧会「The Khipu Keepers」を Google Arts & Culture で公開した(The Keyword の記事)。 Khipu (キープ) は結び目という意味で、ヒモに作った結び目やその間隔、染色の違いで異なる意味を表す。結び目の種類は3種類 (single / long / figure-eight)。single は一重結び、figure-eight は8の字結びで、long は巻き付けるようにヒモの先を繰り返し輪の中に通して結び目を長くしたもののようだ。 現存するものの 85 % は数値情報の記録に用いられており、figure-eight が数字の 1、long の巻き数で数字の 2 ～ 9 を表し、結び目のないヒモが数字の 0 を表すこともわかっている。一方、残り 15 % は言語による情報が記録されているとみられるが、現在のところ解読できていない。 The Khipu Keepers ではペルー・リマ美術館 (MALI) が 8 月 15 日まで開催している特別展「Khipus」のオンラインツアーが体験できるほか、Khipu の歴史や構造の解説ページなども用意されている。

すべて読む | セキュリティセクション | サイエンス | インターネット | 暗号 |

関連ストーリー：
Motorola、Android 11でブラジルの先住民族言語サポートを追加 2021年03月28日
Google、電子音楽史の学習や簡単なループシーケンス作成ができる「Music, Makers & Machines」を公開 2021年03月14日
Google、カンディンスキーが絵画「黄 赤 青」制作時に聴いた(と思われる)サウンドを体験できる「Play a Kandinsky」を公開 2021年02月13日
失われた言語で書かれた文書を解読するアルゴリズム 2020年10月25日
スコットランドの伝統言語「ゲール語」が消滅の危機 2020年07月08日
Google、危機に瀕する言語を救う「Endangered Languages Project」を公開 2012年06月24日
インカ文字は7ビット2進法？ 2003年07月02日

Windows で新たに見つかった特権昇格のゼロデイ脆弱性について、Microsoft が回避策を紹介している(CVE-2021-36934、 CERT: VU#506989、 DoublePulsar のブログ記事、 BetaNews の記事)。 この脆弱性は SAM や SYSTEM などのレジストリハイブファイルに対し、読み取りと実行のアクセス権 (RX) が BUILTIN\Users などの本来付与すべきでないユーザーに付与されていることが原因だ。影響を受けるシステムはWindows 10 バージョン1809以降で、Windows 11 Insider Previewも影響を受ける。 起動中の Windows のレジストリハイブファイルはロックされているため権限があっても読み取ることはできないが、ボリュームシャドウコピーが有効であれば標準ユーザーの権限で読み取り可能となる。SAM には認証関連の情報が含まれるため、攻撃者が悪用すれば SYSTEM の権限で任意コード実行が可能だ。脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ、PoC も公開されている。 回避策としては %windir%\system32\config 内のすべてのファイルのアクセス権を修正し、システムの復元ポイントをすべて削除するというものだ。復元ポイントは必要に応じて作り直せばいい。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows |

関連ストーリー：
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日
Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 2021年02月16日
Microsoft、ドメインコントローラー強制モードのデフォルト有効化に向けて対応を呼びかけ 2021年01月22日
Microsoft、SolarWindsの悪用攻撃によりソースコードを閲覧される 2021年01月05日

19日に米政府は同盟国と共同で3月に発生したMicrosoftのExchange Serverに対するサイバー攻撃は、中国の情報機関である国家安全省が関与していたとして、中国政府を非難する声明を発表した。今回の声明は北大西洋条約機構（NATO）と欧州連合（EU）、英国、オーストラリア、日本、ニュージーランド、カナダが共同で出したとされる。NATOが中国のサイバー攻撃に言及したのは今回が初めてだという（ロイター、Bloomberg、TechCrunch、NHK、産経新聞、朝日新聞）。 中国の国家安全省は「Hafnium」と呼ばれるハッカーを雇用し攻撃を実行。米国だけで計2万以上の金融機関や中小企業などが被害を受けたとしている。また世界的に展開しているランサムウェア攻撃などにも関与しているとされる。今回、複数国が共同で声明を発表したのは、米国側の1か国だけでは中国の振る舞いを変えることはできないとする考えがあったためのようだ。

すべて読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ | EU | アメリカ合衆国 | 中国 |

関連ストーリー：
中国共産党員の男を書類送検。JAXAらのサイバー攻撃に関与の疑いで 2021年04月21日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日
Bloomberg、2年前に全方向から否定された「Super Microのマザーボードにスパイチップ」という話に再び挑戦 2021年02月13日
トランプ政権下でCIAはサイバー攻撃の自由度を高めた。破壊的な活動も認められる 2020年07月17日
2009年に起きたカナダ・ノーテル破綻は中国のサイバー攻撃が原因か。市場を引き継いだのはファーウェイ 2020年07月07日
WHOを狙ったサイバー攻撃が相次ぐ 2020年03月28日

headless 曰く、Microsoft は 14 日、Windows Server 製品の拡張セキュリティ更新プログラム (ESU) 提供計画を発表した(Microsoft Windows Server Blog の記事、 Microsoft SQL Server Blog の記事、 Microsoft Azure Blog の記事、 The Register の記事)。 SQL Server 2012 の延長サポートは 2022 年 7 月 12 日に終了し、Windows Server 2012 / 2012 R2 の延長サポートは 2023 年 10 月 10 日に終了する。これら製品の ESU 提供はそれぞれ延長サポート終了から3年間。オンプレミス製品の ESU 利用料金は年額でライセンス料金の 75% ～ 125% となるが、Azure 上で使用する場合は無料となる。 また、現在 ESU が提供されている製品のうち、SQL Server 2008 / 2008 R2 は2022 年 7 月 12 日、Windows Server 2008 / 2008 R2 は 2023 年 1 月 10 日に ESU 提供が終了するが、Azure 上で使用する場合に限り ESU を追加で 1 年間無料提供することも発表された。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | クラウド | Windows | IT |

関連ストーリー：
次期Windows 10 Enterprise LTSCのサポート期間は5年に 2021年02月22日
Google Chrome、Windows 7のサポートを2022年1月まで延長 2020年11月22日
新Microsoft Edge、Windows 7のサポートは2021年7月15日まで 2020年04月14日
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
FSF、Windows 7をフリーソフトウェア化して「価値を高める」よう求める 2020年01月28日
Chromiumベースの新Microsoft Edge、延長サポート終了後もWindows 7をサポート 2020年01月16日
Google Chrome、Microsoftによるサポート終了から少なくとも18か月はWindows 7をサポート 2020年01月12日

Schneider Electric製の産業用コントローラなどに利用されているPLC「Modicon」シリーズにに、リモートコード実行につながる可能性のある脆弱性が発見された。共通脆弱性識別子は（CVE-2021-22779）となっている（Schneider Electricリリース、Help Net Security、Lemonde Informatique、GIGAZINE）。 この脆弱性はセキュリティ企業のArmisが発見したもので、Schneider ElectricがDoS攻撃に対処するために用意したパッチの欠陥を突いたものであるという。UMASと呼ばれるプロトコルを悪用することで完全な乗っ取りが可能になるとしている。Modiconシリーズは工場、電力会社、HVAC（暖房、換気、空調）システムなどに利用されており、出回っている台数も多いことから影響が心配されるとのこと。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ |

関連ストーリー：
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
Zerodium、iOSのエクスプロイトが多すぎて買取を一時停止 2020年05月17日
Microsoft、Windowsの未修正脆弱性を公表 2020年03月27日
Microsoft、SMBv3の脆弱性を修正する更新プログラムを公開 2020年03月14日
Mozilla、リモートコードを実行する拡張機能をブロックリストに追加 2019年11月08日
Ciscoのルーターで多数の脆弱性が見つかる 2019年05月17日
ゲームでキャラクターを倒すとリモートコード実行が可能になるSource Engineの脆弱性 2017年07月23日

Google は14日、Chrome 94 以降で HTTPS 優先モード(HTTPS-First Mode)を利用可能にする計画を発表した(Chromium Blog の記事、 The Verge の記事、 SlashGear の記事)。 Chrome では現在、Omnibox にプロトコルを省略した URL を入力した場合に HTTPS 接続を優先して接続するようになっているが、HTTP プロトコルを指定した場合にはサイト側でリダイレクトされない限り HTTP 接続となる。HTTPS 優先モードは HTTP プロトコルを指定した場合でもまず HTTPS で接続し、対応していない場合は HTTP でページを表示する前に全画面で警告を表示するという。 同様のオプションは既にFirefox が搭載しており、Microsoft Edge もプレビュー版(Beta/Dev/Canary)でedge:flagsのAutomatic HTTPS (edge://flags/#edge-automatic-https")を Enabled にすることでオプションが利用可能になる。Google では Chrome 94 以降でテストを行い、デフォルトで有効にするかどうかを決めるとのこと。 また、Chrome 93 では HTTPS 接続時の南京錠のアイコン表示をやめ、ドロップダウンボタンのようなニュートラルな表示に置き換える実験をするそうだ。これは南京錠のアイコンが通信の暗号化を示すだけなのにもかかわらず、サイトが信頼可能であるような印象を与えてしまいことを避けるためだという。その一方で、HTTP 接続時の「保護されていない通信」という表示は維持していくとのことだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | インターネット | 暗号 |

関連ストーリー：
Microsoft Edge Canary、自動HTTPSオプションのテストを開始 2021年05月05日
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 2021年05月01日
Chrome 90、プロトコルを省略したURLが入力された場合のデフォルトがHTTPSに 2021年03月26日
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は13日、Windows の Print Spooler の脆弱性 PrintNightmare (CVE-2021-34527) への対策を命じる緊急指令を発出した(緊急指令 21-04、 Windows Central の記事)。 PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないことにより、リモートから SYSTEM 権限で任意コード実行が可能になるというもの。CISA によれば、この脆弱性を狙う攻撃が複数の攻撃者により活発に行われており、政府機関のシステムが脆弱性を放置したままにすることは受け入れがたいとのこと。CISA の緊急指令は年に数本程度しか発出されないが、最近では SolarWinds Orion の脆弱性に対する緊急指令 21-01 や Microsoft Exchange Server の脆弱性に対する緊急指令 21-02 のほか、Pulse Connect 製品の脆弱性に対する緊急指令 21-03 が発出されている。 緊急指令 21-04 ではすべての連邦政府機関に対し、東部夏時間 (以下同) 7 月 14 日 23 時 59 分までに 1) Active Directory (AD) のドメインコントローラー (DC) で Print Spooler サービスを停止・無効化するよう命じている。また、20 日 23 時 59 分までに 2) Windowsの 7 月の累積更新プログラムをすべての Windows マシンに適用、3) 1) 以外の Windows ホストで Print Spooler サービスの停止・無効化、または「ポイント アンド プリントの制限」グループポリシーを(グループポリシーエディターまたはレジストリエディターで)有効化、4) グループポリシーまたはレジストリ設定が適切に行われていることを確認、5) Windows マシンを新規または再びネットワークに接続する場合は上述の対策を事前に行うことが必要だ。また、6) 対策完了の報告を 21 日 12 時までに提出する必要がある。 なお、PrintNightmare は発見者が修正済みと勘違いして PoC を公表したことによりゼロデイ脆弱性となった。当初 Microsoft はセキュリティ更新プログラムガイドの謝辞に発見者の名前を記載していなかったが、現在は記載されている。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | アメリカ合衆国 | 政府 |

関連ストーリー：
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日
マイクロソフト、SolarWinds OrionをDefender Antivirusでブロックへ。大規模サイバー攻撃に利用されたバージョン 2020年12月17日
Microsoft、Netlogon特権昇格の脆弱性に活発な攻撃が確認されていると注意喚起 2020年09月27日
米国土安全保障省、政府機関にWindows Serverの更新プログラム適用を命じる 2020年09月24日
米国土安全保障省、Windows DNS Serverの深刻な脆弱性問題を受けて緊急指令を発表 2020年07月22日
Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権 2021年07月22日

読売情報開発大阪は14日、同社のECサイト「よみファネット」が不正アクセスを受けたと発表した。同社は読売新聞系列の企業。これにより1301人分のクレジットカード情報が流出した可能性が高く、なおかつ少なくとも58人分のカード情報が不正利用された。6月末の段階で被害も計767万4605円分が確認されているという。流出確認が判明した段階でよみファネットは閉鎖したとしている（読売ファミリー、ITmedia、東京新聞）。 流出した可能性が高い情報は、2020年10月24日から2021年3月2日までの期間に同サイト上にカード情報を入力した利用者。発表によれば、カード名義人、カード番号、有効期限、セキュリティコードが流出したとされる。2021年3月2日に決済代行事業者からの指摘うけたところ不正アクセスを受けていたことが4月13日に確定したという。 あるAnonymous Coward 曰く、とあるが、なぜセキュリティコードが保存されているのか理解に苦しむところではある。読売情報開発大阪は発表が遅れた理由について、漏えいした可能性のある件数を特定するのに時間がかかっていたと説明。 第一報において、漏洩した可能性の件数など分かっている必要はなく、不審な請求がないか注意喚起することはできたはずだ。しかし結果的に三ヶ月も経過してから公表するとは、非常に不誠実な姿勢ではないだろうか？

すべて読む | セキュリティセクション | セキュリティ | お金 | 情報漏洩 |

関連ストーリー：
楽天モバイル、販売開始したばかりのiPhoneを不正購入する事例が発生 2021年05月12日
ニンテンドーネットワークIDへの不正アクセス、約30万件 2020年06月11日
ICチップ搭載クレカでも不正利用は止められない 2018年11月14日
聖教新聞社のECサイトが改ざんされる。カード情報を盗む偽の決済画面が設置される 2018年10月17日

headless 曰く、Twitter が 6 つの偽アカウントを認証済みアカウントとして誤って認定していたことを認めたそうだ(Daily Dot の記事、 The Verge の記事、 The Register の記事)。 Twitter ユーザー「Conspirador Norteño」が指摘した 6 つの偽アカウントはいずれも 6 月 16 日に作成されたばかりで 1 件もツイートしておらず、フォロワーが 1,000 アカウント程度という怪しいものだ。977 アカウントのフォロワーは 6 アカウントに共通しており、すべての認証済みアカウントを自動的にフォローする Twitter Verified (@verified) アカウントを除く 976 アカウントは6月19日から6月20日の間に作成され、すべてが同じ 190 アカウントをフォローしていたという。976 アカウントは astroturf ボットネットを構成する 1,212 以上のアカウントの一部とみられ、多くが AI 生成による重複するプロフィール写真を使用していたとのこと。 Twitter は Daily Dot に対し、少数の偽アカウントによる認証申請を誤って承認してしまったが、問題のアカウントを凍結し、認証済みバッジを外したと述べたという。しかし、元 Facebook の最高セキュリティ責任者 Alex Stamos 氏は内部の人間がかかわっている可能性を指摘する。また、一連のアカウントにはトルコ語の人名が多くみられることから、国家のかかわる作戦である可能性も示唆している。

すべて読む | ITセクション | セキュリティ | Twitter | ボットネット |

関連ストーリー：
Twitter、認証済みアカウントプログラムを再開 2021年05月24日
Twitterが認証済みアカウントポリシー最終版を公開、1月20日以降は要件を満たさないアカウントの認証済みバッジを外す計画も 2020年12月19日
Twitter、認証済みアカウントプログラムの再開に向けた新ポリシーのドラフトを公開し、フィードバックを求める 2020年11月28日
Twitterでは認証済みアカウントでも凍結される。トランプ大統領風刺で 2020年11月05日
Twitter、15日のアカウント侵害インシデントに関する情報や対策を発表 2020年07月19日
Twitter、フィッシングサイトへ誘導するプロモツイートが出現 2016年11月03日
Twitterの新機能フリート、採用から8か月で廃止が決定 2021年07月16日
Facebook、COVID-19 の虚偽情報を拡散しているとの米政権の批判に反論 2021年07月20日

headless 曰く、Microsoft がボットネット TrickBot 撲滅作戦の一環で、戸別訪問によるルーター交換も行っていたそうだ(The Verge の記事、 The Daily Beast の記事)。 TrickBot はルーターや IoT に感染するボットネットで、ランサムウェアRyukを拡散することでも知られる。Microsoft は昨年10月、米大統領選に向けてサイバーセキュリティ各社や各国の通信事業者と協力して TrickBot 撲滅作戦を実施した。C&C サーバーの IP アドレス無効化などにより封じ込めは成功したように見えたが、ボットネットは再び勢いを取り戻しているという。 ボットネットを構成するルーターは TrickBot に感染したままであり、ユーザーによる除去作業は困難だ。そのため、Microsoft はこの数か月、ブラジルなど南米の ISP と協力して感染したルーターを一軒一軒交換して回ったとのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | マイクロソフト | 通信 | ボットネット | インターネット |

関連ストーリー：
リモートからファクトリーリセット攻撃にあった Western Digital の古い NAS、新しい脆弱性が見つかる 2021年07月02日
米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 2021年06月07日
フランス警察がボットネットを乗っ取り、85万台のPCからマルウェアを削除 2019年09月02日
ハッキング集団、米大手アンチウィルス企業3社からソースコードなどを入手したと主張 2019年05月12日
Drupalの脆弱性「Drupalgeddon2」を狙った攻撃が活発に 2018年04月25日

Amazon Echo等のIoTデバイスも普及して製品も世代を重ねていることから、中古が市場に流れることが多くなった。しかし、ノースイースタン大学の研究者の研究によると中古で流れているAmazon Echo Dotは出荷時状態にリセットされていることは少ないそうだ。このため、元の所有者の無線LAN情報、Amazonアカウントの認証情報、ルーターのMACアドレスなどにアクセスできる事例も多かったそう。また出荷時状態にリセットされていた製品であっても、専門的な知識があれば個人情報を復元することはできたそうだ（ノースイースタン大学研究論文[PDF]、PC Watch、GIZMODO）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
ロボットがエレベーターを操作するための共通規格が策定。経済産業省 2021年06月08日
中国が国際電気通信連合（ITU）に対し新たなInternet Protocolを提案、IETFはこれを拒否 2020年04月09日
ロシア連邦保安庁の下請け企業、IoT機器を狙った攻撃ツールを開発していた 2020年03月25日
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 2020年03月02日
IPAが「情報セキュリティ10大脅威 2020」を発表、「スマホ決済の不正利用」1位に 2020年01月31日
ハッキングコンテスト「Pwn2Own」、優勝チームが獲得した賞金は合計約2,100万円 2019年11月15日
レーザーでスマートスピーカーを遠隔操作する攻撃手法 2019年11月06日
AmazonのスマートスピーカーがDVを通報したとされる事件、問題のスマートスピーカーには通報機能はなかった？ 2019年08月15日
Amazon、GDPRに基づいた個人データ開示請求に対し他人の大量の音声データを送付 2018年12月25日

headless 曰く、6 月にオーストラリアで大量の逮捕者を出して話題となった米連邦捜査局 (FBI) のバックドア付き暗号化通信アプリ「AN0M」だが、闇市場で取引されていた端末が格安の中古として一般の人に売却されるというケースもあったようだ。そのような端末の 1 台を Motherboard が入手し、ハンズオンリポートを公開している(Motherboard の記事、 Ars Technica の記事、 XDA Developers の記事、 Android Police の記事)。 こういった端末では ArcaneOS と呼ばれる機能の制限された Android OS がプリインストールされており、正常に動作しない改造 OS だと思った購入者がモバイル関係のオンラインフォーラムで相談するケースもみられる。3 月には Android-Hilfe.de で Pixel 3a 購入者、6 月には XDA Forum で Pixel 4a 購入者が相談していた。いずれのケースも最初の投稿は AN0M の存在が公表される前のことだ。Motherboard はオーストラリアでの購入者から Pixel 4a を入手しており、XDA Forum の相談者と条件が一致すると XDA Developers の記事でも指摘されているが、入手元は公表されていない。 端末には 2 種類の PIN が設定されており、その一つを入力すると通常の端末らしく見える「デコイ」モードに入る。このモードでは一般的なアプリが多数インストールされているように見えるが、実際にランチャーでアイコンをタップしてもアプリは起動しない。もう一つは AN0M モードに切り替えるためのもので、アイコンは「電卓」「時計」「設定」の3つのみ。電卓のアイコンをタップすると AN0M のログイン画面が表示されるという。 Ars Technica の記事に掲載されているスクリーンショットによると、「設定」アプリではストレージや位置情報、アカウントといった項目が削除されているようだ。その一方で、セキュリティ設定にはデコイモード用の PIN 設定や自動ワイプ設定、PIN 入力用キーパッドのランダム化設定などのオプションが追加されている。

すべて読む | セキュリティセクション | モバイル | 犯罪 | セキュリティ | 携帯電話 | 暗号 | Android |

関連ストーリー：
豪連邦警察、FBIが運営する組織犯罪専用暗号化通信アプリで犯罪組織を摘発 2021年06月10日
FBIはすでに自力でiPhoneのロック解除が可能、しかし政治的・コスト的な理由でAppleに解除を求める 2020年01月22日
米議会の暗号化ワーキンググループ、暗号に対する「バックドア」提供に反対との姿勢を示す 2016年12月28日
Apple 対 FBI のバックドア問題について、ビル・ゲイツはつまり何が言いたいのか 2016年02月27日
暗号化技術がなければパリ同時多発テロは起きなかった？ 2016年02月23日
Apple曰く、当局が容疑者のApple IDパスワードを変更したためデータにアクセスできなくなった 2016年02月21日

新潟県の立加茂病院で5日、COVID-19ワクチン保管用の冷凍庫の内部温度が約22℃になっていることが見つかり、モデルナ製ワクチン約1000回分が使用不能となったことが報じられている。原因は電源のつなぎ部分が緩んでいたためと報じられていたが、朝日新聞が報じたところによれば、緩んだ原因として清掃業者が「モップが冷凍庫のACアダプターに当たった」と話していることが分かったそうだ。病院の聞き取りでは、清掃業者が3日午後1時30分ごろに清掃に入り、その後の午後1時36分から冷凍庫の温度が上がり始めていたことが分かったとしている（朝日新聞）。

すべて読む | セキュリティセクション | セキュリティ | 医療 | idle |

関連ストーリー：
札幌でマスクをしないワクチン反対派抗議団体に職員が対応、それにより3名感染か 2021年07月09日
市長がワクチン打ってるの意味が違った件。京都府舞鶴市 2021年07月08日
スマートニュースが職域接種のコロナワクチンを過剰申請、近隣住民への提供を美談のように発表して炎上 2021年07月05日
全国でワクチン冷蔵庫をめぐる不審なトラブルが相次ぐ。麦茶入れて温度上昇も 2021年06月30日

カスペルスキー製パスワードマネージャー「Kaspersky Password Manager（KPM）」に脆弱性が見つかり、新たにCVE-ID（CVE-2020-27020）が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている（Kaspersky、Donjon、The Register、窓の杜 ）。 発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。

すべて読む | セキュリティセクション | セキュリティ | バグ |

関連ストーリー：
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日
iPhone の Wi-Fi を無効化する SSID のバグ、影響範囲が広がる 2021年07月08日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
リモートからファクトリーリセット攻撃にあった Western Digital の古い NAS、新しい脆弱性が見つかる 2021年07月02日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日

プレスリリース・ニュースリリース配信サービスの PR TIMES は 9 日、会員企業が下書き保存登録していた発表前のプレスリリース情報が不正に取得されていたことを発表した(プレスリリース: PDF)。 原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。 不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ～ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。 このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。

すべて読む | ITセクション | セキュリティ | ニュース | バグ | 広告 |

関連ストーリー：
Instagramで非公開設定で投稿した写真や動画はURLを直接開けば誰もが閲覧できる 2019年09月13日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていた 2018年08月29日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
SCEJ がトルネの視聴ジャンル無断公開に「真摯にお詫び」 2011年11月18日
トルネを含むPS3ゲーム/アプリのトロフィー情報は一般公開されている 2011年11月09日
Googleドキュメントに新たなセキュリティ・ホール 2009年03月28日
Google Docsで非公開の文書が公開されてしまうトラブル発生 2009年03月09日
公開URLの掲載をハックと見なされる 2008年03月11日
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 2006年10月18日
ロイターがURL推測で不正アクセスとして告訴される 2002年10月29日

Microsoft は 6 日と 7 日、Windows の Print Spooler で発見された脆弱性「PrintNightmare」の修正を含むセキュリティ更新プログラムを定例外でリリースした(Windows message center、 CVE-2021-34527、 Microsoft Security Response Center のブログ記事)。 PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないため、リモートから SYSTEM の権限で任意コード実行が可能になるというもので、Windows 7 SP1 / Server 2008 / 2008 R2 を含む現在サポートされるすべての Windows バージョンが影響を受ける。発見者が 6 月の月例更新で修正された脆弱性と取り違え、修正済みだと思って PoC を公開してしまったため、ゼロデイ脆弱性となっていた。 6日に更新プログラムの提供が開始されたのは、Windows 10 バージョン 2004 / 20H1 / 21H1 (KB5004945)・バージョン 1909 (KB5004946)・バージョン 1809 / Server 2019 (KB5004947)・バージョン 1507 (KB5004950) のほか、Windows 8.1 / Server 2012 (マンスリーロールアップ KB5004954 / セキュリティのみの更新プログラム KB5004958、以下同)・Windows 7 SP1 / Server 2008 R2 SP1 (KB5004953 / KB5004951)・Windows Server 2008 SP2 (KB5004955 / KB5004959) となっている。7日にはWindows 10 バージョン 1607 (KB5004948) と Windows Server 2012 (KB5004956 / KB5004960) への提供も開始された。自動更新が有効になっていれば自動で適用されるため、何もする必要はない。8 日に提供が始まったWindows 11 Insider Preview ビルド 22000.65 にも修正が含まれる。 なお、更新プログラムを適用しても完全には脆弱性が修正されないとも報告されている。Microsoft の調べによれば更新プログラムは意図したとおりに機能しており、脆弱性が修正されないとの報告はポイント アンド プリントの安全性を低下させるレジストリ設定に依存するという。ただし、更新プログラムはこのようなレジストリ設定を変更しないため、適用後にレジストリ設定を確認する必要がある。該当のレジストリキーは「HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint」で、DWORD 値「NoWarningNoElevationOnInstall」および「UpdatePromptSettings」が存在しないか、値のデータが「0」であれば問題ない。デフォルトではレジストリキー自体が存在しないはずだ。また、グループポリシーの「コンピューターの構成→管理用テンプレート→プリンター」で「ポイント アンド プリントの制限」は未構成であれば問題ないが、KB5005010 には有効にしてセキュアな設定にする手順も記載されている。

すべて読む | セキュリティセクション | セキュリティ | プリンター | スラッシュバック | バグ | Windows |

関連ストーリー：
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日

河野太郎行政改革担当大臣は先月、全省庁に対して6月末でFAX利用の原則廃止を要請していた（内閣府、毎日新聞）。しかし、多数の反対意見が出たことから全廃に関しては断念することになったそうだ（北海道新聞）。 北海道新聞によるとFAX廃止に対して、各省庁から400件程度の反論が届いたという。曰く、民事裁判手続きや警察などの機密性の高い分野でFAXが使われているため、セキュリティーを確保する新システムが必要となるといった指摘があったとのこと。また通信環境が十分ではないことや危機管理に対応するため、複数の回線確保が必要などの声も出ており結局、電子メールに移行すると問題のある部署ではFAXの利用を認める方針に転換することになった模様。

すべて読む | セキュリティセクション | セキュリティ | 政府 | Digital |

関連ストーリー：
デジタル庁、ワクチン予約票読み取りのためのアナログ補助装置開発 2021年05月17日
政府、ワクチン予約システムを全国共通化へ。二重予約を防止できない問題も発生 2021年05月13日
「デジタル庁創設に向けた準備サイト」はJavaScript無効でも閲覧可能であるべきか？ 2021年04月30日
河野大臣、書類の枠と文字の間隔がキッチリ5mmの位置にあるか測っていた「青枠」の慣行廃止へ 2020年10月19日
FAXが多用される芸能界、事務所の送り状や形式がセキュアに 2020年10月07日
シャチハタが「おじぎ印」文化に対応した電子印鑑をリリース予定。ハンコ廃止時代に備え 2020年10月05日
新型コロナ管理支援システム「HER-SYS」、誤入力などさまざまな問題を抱える 2020年09月30日
新型コロナウイルス発生届、手書きFAX廃止にはさまざまな壁 2020年06月16日
日本企業はIT技術の導入が遅い？ 2015年11月12日

エレコムは6日、2013年6月～17年12月に発売された無線LANルーターなどの14製品に脆弱性があった判明したと発表した（エレコム、PC Watch、毎日新聞）。同社は該当製品はサポートが終了していることからアップデートなどの対策予定はないとしている。リリース文では以下の通りとなっている対象製品のアップデートサービスは終了しております。お客様が気づかない状態でも悪用される場合がありますのでセキュリティ保護のため対象製品のご利用を中止いただき、現行製品への切り替えをご検討いただけますようお願い申し上げます。対象となったのは2017年に発売された「WRC-1167FS-W」「WRC-1167FS-B」「WRC-1167FSA」の3機種と2014年発売の製品では「WRC-300FEBK」「WRC-F300NF」「WRC-733FEBK」の3機種。加えて2013年発売の「WRH-300RD」「WRH-300BK」「WRH-300SV」「WRH-300WH」「WRH-300BK-S」「WRH-300WH-S」「WRH-H300WH」「WRH-H300BK」の8機種となっている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | インターネット |

関連ストーリー：
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 2021年04月30日
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
ASUSのPCにプリインストールされているアプリの脆弱性を狙ったマルウェア攻撃が発見される 2019年05月22日
Ciscoのルーターで多数の脆弱性が見つかる 2019年05月17日
家庭で使われている無線LANルータの83％に脆弱性、米NPO調査 2018年10月10日

愛知県では1日から詐欺と想定されるような不審電話にだまされたふりをし、警察の捜査に協力した人などに報奨金を支払うという制度が開始されたそうだ。愛知県内のコンビニや金融機関で構成される「愛知県特殊詐欺撲滅プロジェクトチーム」が主導しているもので、先の「だまされたふり作戦」や犯行グループの拠点情報を提供して犯人の検挙につながった場合、報奨金1万円を支払うとしている（NHK、東京新聞）。

すべて読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ | お金 |

関連ストーリー：
警視庁、東京都内全域のATMコーナーで携帯通話禁止を呼びかけ。特殊詐欺被害防止のため 2021年07月03日
警察庁、SMS認証の代行業者の取締まり強化を全国の警察に指示 2021年04月23日
特殊詐欺対策で転売電子ギフト券が無効化、購入後に使用不能に。救済もなし 2020年12月10日
NHK契約者名簿を使って特殊詐欺のターゲットを選んでいたNHK集金受託会社社長、逮捕される 2019年11月11日
NTT各社、固定電話の通話を自動分析し詐欺を検出するシステムの実証実験を行う 2019年05月13日
NTTコミュニケーションズ、詐欺に悪用された疑いのある約5900回線を強制解約 2016年12月23日