海賊版サイトへのアクセスをブロックするマルウェアキャンペーンについてSophosが解説している(Sophos News の記事、 TorrentFreakの記事、 HackRead の記事、 Ars Technica の記事)。 Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージを表示し、バックグラウンドで処理が行われる。処理の内容としては、キルスイッチとみられるファイル名やレジストリ値の検索を行い、見つかればそこで処理を終了し、見つからなければ hosts ファイルの書き換えを行う。 また、インターネットに接続している場合はファイル共有サービス 1fichier のタイポスクワッティングサイトに接続して「ProcessHacker.jpg」という名前の実行ファイルをダウンロードするほか、マルウェアのファイル名を送信する。ただし、このサイトは既にアクセスできなくなっているとのこと。マルウェアの圧縮ファイルにはハッシュ値を変えて別ファイルとして配布するためのデータが同梱されている。.nfo という拡張子のファイルには先頭1,150バイトをゴミデータで埋めた後に人種差別的表現が1,000回以上繰り返されているそうだ。 hosts ファイルに追加されるエントリは ThePirateBay など数100～1,000件以上の海賊版サイトドメインを localhost アドレスの127.0.0.1に割り当てるものだ。ただし、マルウェアが常駐することはなく、ユーザーが hosts ファイルの変更を元に戻した場合、再びマルウェアを実行しない限り攻撃が続くことはない。Sophos の Andrew Brandt 氏は10年以上前に同様のマルウェアを発見しているが、そこから特に進化した様子は見られないとのことだ。

すべて読む | YROセクション | セキュリティ | 海賊行為 | idle |

関連ストーリー：
Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出 2020年08月07日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
フライトシミュレーターのアドオンにマルウェア、開発元は海賊版対策だと説明 2018年02月22日
Symantec、Torrentユーザーをセキュリティリスクから保護するシステムの特許を取得 2017年06月10日
ストリートファイターVのアップデートで追加された不正防止対策がルートキットのようだと批判される 2016年09月25日
米司法省が差し押さえていたはずのMegaupload関連ドメイン、サイバー犯罪者に悪用される 2015年05月30日
米エンターテインメント業界、海賊版撲滅のためルートキットの使用合法化を求める 2013年05月29日
作業に集中するために、自主的にサイトブロックする「なまけWebごろし」 2011年07月22日
3/10のWindows Defender更新でhostsが書き換えられる!? 2009年03月11日
Sony Music、パブリック DNS リゾルバー Quad9 に対する海賊版サイトのブロック命令を勝ち取る 2021年06月22日
イランの国営メディア「Press TV」、米国政府によりドメインを没収される 2021年06月24日

自動運転自動車が物体を検出する機械学習モデルに対し、超音波を用いて誤った結果を導くという「ポルターガイスト」攻撃の研究成果を中国・浙江大学などの研究グループが発表している(GitHub プロジェクトページ、 The Registerの記事、 論文: PDF)。 ポルターガイスト攻撃は研究チームが AMpLe (injecting physics into Adversarial Machine Learning) 攻撃と呼ぶ、機械学習モデルに対する物理的な攻撃の一つ。超音波のほか、可視光や赤外線、レーザー、電波、磁場、熱、液体などを用いてセンサーの出力を操作し、誤った結果を導くというものだ。今回の研究は現行の製品ではなく、まだ見ぬ将来の自律走行車がどのように映像スタビライズシステムへの音響攻撃を回避していくかの理解を深めることが目的だという。 映像スタビライザーの加速度センサーやジャイロスコープは音響共鳴攻撃に弱いことが知られており、ポルターガイスト攻撃もこの仕組みを用いてセンサーをコントロールし、被写体ぶれした映像を出力させる。機械学習モデルによる物体検出は映像のぶれの有無に左右されるため、攻撃者は物体を消す (Hiding Attacks: HA)・存在しない物体を作り出す (Creating Attacks: CA)・物体の種類を変える (Altering Attacks: AA)という3種類の攻撃が可能になる。 実験で使用した物体検出モデルは研究用の YOLO V3/V4/V5 と R-CNN、商用の Apollo で用いられている YOLO 3D の5種類。シミュレーションでの攻撃成功率は HA で100%、CA で87.9%、AA で95.1%。実際に走行する自動車で Samsung Galaxy S20 を用いた実験では HA 98.3%、CA 43.7%、AA 43.1%という結果になったとのこと。ポルターガイスト攻撃はさまざまな場面や天候、時刻、カメラ解像度にかかわらず安定した結果を出したそうだ。

すべて読む | セキュリティセクション | セキュリティ | 人工知能 | アナウンス | 交通 |

関連ストーリー：
キューバで米大使館職員に健康被害を与えた「攻撃」が米国内でも発生していた 2021年05月03日
Amazon、実店舗用スマートショッピングカート「Amazon Dash Cart」を発表 2020年07月17日
Googleの自己進化するAI「AutoML Zero」 2020年04月17日
勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題 2020年03月31日
カメラやセンサーを騙すことでTeslaのAutopilotを混乱させる攻撃 2019年04月05日
自動車向けのレーザーセンシング装置が原因でデジカメのセンサーが損傷したという報告 2019年01月17日
欧州の火星探査車、サハラ砂漠で自律走行テストを実施 2018年12月27日
中国・寧波の歩行者信号無視監視システム、バスのラッピング広告に印刷された人物を違法横断者と誤認識 2018年11月24日
自動車の車載カメラ、「天下一品」の看板を進入禁止の標識と誤認識 2018年09月18日
スピーカから音を流すだけでHDDを破壊する音響攻撃「ブルーノート」 2018年06月01日
ディープラーニングによりラーメン二郎の店舗の識別に成功 2017年08月11日
Googleの有害コメント判定ツールを混乱させる方法 2017年03月05日
反捕鯨活動に対抗して超音波兵器が使用された 2009年02月08日

ブラジル・サンパウロでは本体の売却益ではなく、インストールされたバンキングアプリによる銀行口座へのアクセスを目的としたスマートフォン窃盗が増加しているそうだ(TecMundo の記事[1]、 [2]、 9to5Mac の記事、 Folha de S. Paulo の記事)。 犯行はハッカー集団により組織的に行われており、COVID-19 パンデミックが始まったころから増加している。主なターゲットはロック解除の容易な Android 端末だが、iPhone のロック解除も可能だという。路上などで被害者が使用中のロックされていないスマートフォンをひったくることもあるとのこと。 ある被害者はバンキングアプリを開くのにパスワードを入力し、取引の確認には別のパスワードを入力するので大丈夫だと思っていたが、警察の勧めに従って口座を確認したところ、盗難から30分以内に5,000レアル(約11万円)ほどが送金されていたそうだ。 そのためサンパウロ州の消費者保護当局 Procon-SP では、Apple/Motrola/Samsung の3社や、アプリを提供する銀行などに対し、スマートフォンが盗難被害にあった場合の保護機能について報告を求めている。

すべて読む | アップルセクション | モバイル | 犯罪 | セキュリティ | 携帯電話 | iPhone | お金 |

関連ストーリー：
ブラジル・サンパウロ州の消費者保護当局、Appleに消費者保護法違反で約1,050万レアルの制裁金 2021年03月23日
Apple、ブラジルではiPhoneへの電源アダプタ同梱が義務付けられる可能性 2020年12月06日
FBIはすでに自力でiPhoneのロック解除が可能、しかし政治的・コスト的な理由でAppleに解除を求める 2020年01月22日
スコットランド警察、パスワードロックされたモバイルデバイスからデータを読み取り可能な「サイバーキオスク」を導入 2020年01月19日
米捜査機関では遺体の指を使用したiPhoneのアンロック試行が一般的になりつつある 2018年03月25日
ロンドン警視庁考案、容疑者にiPhoneのロックを解除させる新たな方法とは？ 2016年12月10日
指紋認証突破用の「指」を3Dプリンターで作成していたミシガン州立大学、結局2Dプリントで認証突破 2016年08月05日
カナダ警察、2010年からBlackBerryのメッセージを復号するマスターキーを持っていた 2016年04月17日
GoogleとMS、スマートフォン用OSに遠隔ロック機能の導入へ 2014年06月23日
盗難にあったスマートフォンを自ら取り戻そうとする人が米国で増加 2014年05月06日
米カリフォルニア州、盗まれたスマートフォンを使用できなくする「キルスイッチ」機能搭載を義務付ける法案が提出される 2014年02月09日
米国でスマートフォンを狙う路上強盗が増加中 2012年10月22日

Microsoft は17日、Windows Update を通じた Windows 7 SP1/Server 2008/2008 R2 のドライバー提供を同日終了すると発表した(Windows Hardware Certification ブログの記事、 Bleeping Computer の記事、 BetaNews の記事、 Windows Central の記事)。 Microsoft が5月10日からSHA-2 アルゴリズムへ全面移行したことで、信頼されたルートプログラム参加パートナーが未パッチの Windows デバイスに互換性のない SHA-2 署名入りドライバーを配信してしまう可能性が出てくる。これにより、該当するデバイスでは機能が低下したり、起動時間が長くなったりといった問題が発生することもある。 Microsoft は問題を回避するため、Windows 7 SP1/Server 2008/2008 R2 を対象に含む SHA-2 署名入りドライバーの Windows Update への発行を6月17日に中止するとのこと。このようなドライバーを発行するパートナーには変更が通知され、サポートの終了したバージョンをターゲットから除外して再送信する必要がある。 なお、Windows ハードウェア互換性プログラム (WHCP) では2023年1月まで Windows 7 SP1/Server 2008/2008 R2 ドライバーを受け付け、拡張セキュリティ更新プログラム (ESU) を利用する顧客へ提供できるようにする(ドライバーへの署名方法変更に関する解説記事)。ESU 利用者は WSUS などの手段で管理下のデバイスに引き続きドライバーを展開可能だ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | マイクロソフト | ソフトウェア | Windows | 暗号 |

関連ストーリー：
NVIDIA、Windows 7/8/8.1をサポートするGame Ready Driverの更新を8月で終了 2021年06月13日
Microsoft、5月10日からSHA-2アルゴリズムへ全面移行 2021年04月18日
Microsoft、DirectXエンドユーザーランタイムにSHA-2で署名し直して提供再開 2021年02月21日
Microsoftダウンロードセンター、SHA-1署名のダウンロードを「本当に」提供中止 2021年02月08日
Windows 7 拡張セキュリティ更新プログラム1年目、間もなく終了 2020年11月14日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
Microsoft Edge、Windows UpdateでWindows 7/8.1に提供開始 2020年06月21日
新Microsoft Edge、Windows 7のサポートは2021年7月15日まで 2020年04月14日
Microsoft、2月の月例更新でInternet Explorerのゼロデイ脆弱性を修正 2020年02月14日
Windows 7のサポートが本日で終了 2020年01月14日
Windows 7延長サポート終了後の有料セキュリティアップデートオプション、4月1日から販売開始 2019年03月09日
AMD曰く、RyzenはWindows 7をサポートしない 2017年02月11日
AMD、Radeon Software で Windows 7 のサポートを終了 2021年06月24日

サイバー攻撃防御サービス Cybereason の調べによると、ランサムウェア攻撃者に身代金を支払う被害者は「お得意様」として繰り返しターゲットになる可能性が高いそうだ(プレスリリース、 BetaNewsの記事)。 ランサムウェアに身代金を支払ってもデータが復元できるとは限らず、半数以上がデータを失うという調査結果も出ている。CISAやFBIなどは身代金支払いを推奨していないが、早期復旧を目指す被害者は支払ってしまうケースも多い。 Cybereason の依頼でCensuswideが4月に実施した調査は米国(24%)・英国(24%)・スペイン(12%)・ドイツ(12%)・フランス(12%)・UAE(8%)・シンガポール(8%)のセキュリティプロフェッショナル計1,263人を対象としたものだ。 回答者の半数以上がランサムウェアの被害にあっており、身代金を支払った回答者のうち51%はデータが完全に復旧できたと回答している。46%はデータの一部またはすべてが破損していたと回答しており、暗号化されたデータに一切アクセスできなかったという回答は3%に過ぎなかったという。 身代金を支払ったうちの80%は2回目のランサムウェア攻撃に見舞われており、46%は同じ攻撃者によるものだと考えているそうだ。一方、全く別の攻撃者によるものだと考えている回答者は34%に過ぎなかったとのことだ。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | お金 |

関連ストーリー：
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
米パイプラインのサイバー攻撃事件、身代金4.8億円が支払われる。米保険会社でも支払いとも 2021年05月22日
鹿島建設、サイバー攻撃を受けてデータ流出か。犯行グループは身代金要求 2021年05月01日
スマート貞操帯がハッキングされ身代金を要求される。支払うも解除されず 2021年02月02日
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
ランサムウェア被害に遭った米企業、復旧に失敗し従業員300人を一時解雇 2020年01月07日
ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう 2019年09月01日
米国市長会議、ランサムウェア攻撃者への身代金支払に反対する決議を採択 2019年07月15日
ランサムウェア作者から復号鍵を買い、マージンを乗せて被害者に売るデータ復元サービス 2018年12月08日
ランサムウェアに身代金を支払っても半数以上がデータを失うという調査結果 2018年03月11日

headless 曰く、旭化成グループ ZOLL Medical の除細動器管理ソフトウェア ZOLL Defibrillator Dashboard で見つかった6件の脆弱性が公表されている(ICSMA-21-161-01、 The Registerの記事)。 CISAによる深刻度評価が最も高い(CVSS v3: 9.9) CVD-2021-27489は、管理者以外のユーザーがWebアプリケーションを通じて悪意あるファイルをアップロード可能というものだ。攻撃者はアップロードしたファイルを利用してリモートからの任意コード実行が可能になる。 このほかの脆弱性は、暗号鍵のハードコード(CVE-2021-27481)、認証情報の平文保存(CVE-2021-27487)、権限の低いユーザーが悪意あるスクリプトを含むパラメーターをWebアプリケーションにインジェクトすることで高い権限のユーザーに実行させることが可能(CVE-2021-27479)、攻撃者が認証情報をWebブラウザーから取得できる状態でのパスワード保存をユーザーに許可(CVE-2021-27485)、不適切なファイルシステムのパーミッション設定により低い権限のユーザーが管理者権限に昇格可能(CVE-2021-27483)、といったものだ。 脆弱性はすべて Defibrillator Dashboard バージョン2.2以降で修正されており、最新版への更新が推奨されている。

すべて読む | セキュリティセクション | セキュリティ | バグ | 医療 |

関連ストーリー：
米FDA、強力磁石を内蔵した電子機器の植込み型医療機器に与えるリスクは低いとしつつ、15cm以上離すことなどを推奨 2021年05月17日
Apple、植込み型除細動器やペースメーカーにiPhone 12やMagSafeアクセサリを近付けないよう求める 2021年01月27日
iPhone 12のMagSafeが植込み型除細動器を停止させる可能性 2021年01月14日
5G携帯電話による植込み型心臓ペースメーカー・除細動器への影響はないとの調査結果 2020年03月07日
植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性 2019年03月23日
ペースメーカーの脆弱性を修正するファームウェア更新が提供される 2017年09月03日
千葉県、AEDを使ったために訴えられた場合訴訟費用を貸し付ける制度を導入へ 2016年11月17日

富士フイルムは14日、2日に発表した同社サーバへのランサムウェア攻撃による不正アクセスに関する続報を発表した。同社は特別対策チームを組んで調査を実施したが、これまでに完了した調査した結果では外部への情報流出の痕跡は認められなかったとしている。不正アクセスへの対策も実施したという。安全が確認されたサーバやPCに関しては順次復旧させていき、14日までに通常業務が行えるよう復旧したとしている（富士フイルム、ITmedia、ScanNetSecurity）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | IT |

関連ストーリー：
富士フイルム、ランサムウェアによる攻撃を受けた可能性があると発表 2021年06月03日
東大阪市の医療施設で不正アクセス発生。患者のCT画像などが閲覧できなる 2021年06月25日

ブロックチェーン分析サービス「Chainalysis」は7日、2020年にビットコイン（Bitcoin）で利益を得た25か国のランキングを発表した。このデータによると、米国人は昨年中に他のどの国よりもビットコインを利用していたという。暗号資産の価格が1万ドル未満から2万9000ドルにまで急騰した結果、米国人は41億ドルの利益を上げたとしている（Chainalysis、New York Post）。 続いて利益を上げていたのは中国で11億ドル。3位には意外なことに日本で9億ドルの収益を上げていたという。4位は英国（0.8億ドル）、5位はロシア（0.6億ドル）、以下ドイツ、フランス、スペイン、韓国、ウクライナと続く。 Chainalysisの分析では、従来の経済指標でのランキングと比較すると、低中所得国のランキング入りが目立つという。ベトナムが好例でChainalysisが行っている告別の暗号資産の導入率を示すGlobal Cryptocurrency Adoption Index[PDF]でベトナムは10位に付けている。ベトナムは2020年のビットコインの投資利益で13位となる3億5100万ドルの収益を上げた。オーストラリア、サウジアラビア、ベルギーなどの伝統的な経済指標を持つ国を上回っている。同様の傾向はそのほかの低中所得国でも見られるとのこと。

すべて読む | セキュリティセクション | 暗号 | お金 |

関連ストーリー：
エルサルバドル、世界で初めてビットコインを法定通貨とする法案提出へ 2021年06月07日
ビットコインの取引単位を「サトシ」に変更しようという提案が出る 2021年05月14日
暗号資産「Chia」のマイニング需要増加で、今度はHDDやSSDが品薄になる可能性 2021年04月21日
ビットコインが過去最高値を更新。しかし電力消費量はGoogle全体の10倍に 2021年04月15日
Twitterの最初のツイートが約2億1800万円で落札 2021年03月24日
Mastercardが暗号資産での決済に対応と発表。2021年中には 2021年02月16日
暗号通貨$TITANが一晩で-100%の急落、暗号通貨を組み合わせた金融商品がハックされる 2021年06月18日

headless 曰く、次世代Windowsとされる「Windows 11」がオンラインにリークしている(The Vergeの記事、 Windows Centralの記事[1]、 [2]、 Baiduフォーラムの投稿)。 Windows 11は当初Baiduのフォーラムでスクリーンショットが共有され、その後ISOイメージも出回った。リークしたバージョンはWindows Insider ProgramのDevチャネルを示すバージョン「Dev」となっており、バージョン情報にははっきりと「Windows 11」と表示される。現在、DevチャネルのWindows 10 Insider Previewはビルド21390.2025なのに対し、リークしたWindows 11はビルド21996.1。ブランチはビルド21390.2025と同じCO_RELEASEとなっている。 Windows 11の外見は5月に計画中止が発表されたWindows 10Xと共通点が多く、センタリングされたタスクバーやスタートメニュー、再び角丸になったウィンドウが目立つ。スタートメニューはフローティング表示となり、ライブタイルは廃止された。「ニュースと関心事項」を置き換えるようにウィジェットが追加されている。 Microsoftは24日のデジタルイベントでWindows 11を発表するとみられている。The VergeやWindows Centralは今回のISOイメージが本物だと確認したとのことだ。

すべて読む | セキュリティセクション | アップグレード | OS | ソフトウェア | Windows | IT | 情報漏洩 |

関連ストーリー：
次世代WindowsはやっぱりWindows 11？ 2021年06月05日
Windows 10 バージョン21H1リリース、Windows 10Xの計画は中止に 2021年05月20日
Windowsのブランド名、今後もずっと「Windows 10」のままでいい？変える？ 2021年05月19日
Windows 11はTPM 2.0が必須か。旧式PCにリーク版インストールで関連エラー 2021年06月18日
Windows 11 の Cortana、Windows 11 の存在をニュースで知る 2021年06月19日
Windows 11 の ISO ファイルへのリンクをインデックスから削除するよう Google に求める DMCA 要請 2021年06月20日

立憲民主党は11日、「インターネット投票の導入の推進に関する法律案」を衆議院へ提出した。具体的なネット投票の準備を進める法案の提出はこれが初めてだとしている（立憲民主党リリース、日経クロステック、CoinPost）。 リリースではコロナ禍のような状況であっても、参政権を確保することが重要だとし、投票所及び開票所にて人々が集まることで、集団感染リスクを助長しかねないことから、インターネット投票の導入を推進する法律案を作成したとしている。 報道によれば、電子署名など本人認証の導入や罰則制度、外部干渉を受けた場合のやり直しの仕組み、紙での投票が優先される仕組み、ブロックチェーン技術などを用いた改竄防止、選挙公示・告示の翌日から投票日前日までの24時間投票を可能にするといった内容が提示されている。

すべて読む | セキュリティセクション | セキュリティ | 政治 | インターネット |

関連ストーリー：
選挙においてインターネットを使った投票システムの実現は困難？ 2020年06月17日
アメリカの電子投票機、DEF CONで簡単にハックされる 2017年08月03日
「本当に安全なオンライン投票システム」の実現は難しい 2015年05月20日
デス・スター建設で雇用創出の請願、規定署名数を超える 2012年12月20日
インターネット投票システムは簡単に攻撃されてしまう？ 2012年03月15日

先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事、 HackReadの記事、 Neowinの記事、 SlashGearの記事)。 グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。 グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。

すべて読む | セキュリティセクション | セキュリティ | インターネット | ゲーム | 情報漏洩 |

関連ストーリー：
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
GitHub、内部向けSlackチャンネルでナチスへの懸念を示した従業員の解雇は誤りだったと謝罪 2021年01月19日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
今度は3DSのOSやソフトのソースコードが流出？ 2020年05月26日
Wiiの設計情報やソースコードが流出？ 2020年05月07日
Slack、2015年の不正アクセスに関連してアカウントの約1％でパスワードをリセット 2019年07月21日
Microsoftが日常業務でSlackを使用禁止し、GitHub.comを非推奨にしているとの報道 2019年06月26日
EA曰く、「ガチャ」は「驚きの仕組み」であり非常に倫理的 2019年06月21日
任天堂、loot box規制を受けてモバイルゲーム2本のベルギーでのサービス終了を発表 2019年05月24日
ベルギー当局がEAを捜査、ゲーム内アイテムがランダムで入手できるタイプの課金システムを問題視 2018年09月13日
EAの新作ゲーム「Star Wars バトルフロントII」、課金システムに対し強い批判が集まる 2017年11月20日
EA、PCやゲーム専用機の大型タイトルでもゲーム内課金で稼ぐ方針へ転換 2017年10月26日
Electronic Artsが標準ライブラリEASTLを公式にオープンソース化 2016年02月16日

Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。 ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。

すべて読む | セキュリティセクション | Chrome | セキュリティ | スラッシュバック | インターネット | Chromium |

関連ストーリー：
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
Google Chrome、Web検索時にアドレスバー内に検索キーワードを表示するテストを実施 2020年02月06日
Chrome Canary、Web検索時に検索語句だけをOmniboxに表示する機能をテスト中 2018年09月24日
Google Chrome、URLの表示されないアドレスバーが標準となるか 2014年05月06日

多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。 polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。 この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。 Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
Debian Project、次期リリース「Bullseye」で使用するアートワークの人気調査を実施 2020年10月29日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

headless 曰く、米国のジョー・バイデン大統領は9日、米国人のセンシティブ情報を外国の敵から保護するための大統領令に署名した(大統領令、 ファクトシート)。 この大統領令は2019年にドナルド・トランプ大統領(当時)が署名した情報通信技術とサービスのサプライチェーンの安全を保つための大統領令13873を踏襲するもので、米政府や企業の機密情報や米市民のセンシティブ情報を扱うアプリケーションと外国の敵との結び付きをリスクベースで分析するよう監督官庁に命じている。 一方、中国のソフトウェア計10本を国家安全保障上の脅威と位置付けるトランプ大統領時代の大統領令3件は、本大統領令で取り消される。具体的には昨年8月に署名されたTikTokが対象の大統領令13942とWeChatが対象の大統領令13943、トランプ大統領退任直前の今年1月に署名された大統領令13971の3件。大統領令13971で対象となるソフトウェアはAlipayとCamScanner、QQ Wallet、SHAREit、Tencent QQ、VMate、WeChat Pay、WPS Officeの計8本だ。

すべて読む | セキュリティセクション | セキュリティ | 政治 | アメリカ合衆国 | 中国 | プライバシ |

関連ストーリー：
米政府、前大統領が署名したTikTokとWeChatに関する大統領令の正当性を見直し 2021年02月13日
米連邦地裁、TikTokによる米国でのサービス提供を禁ずる米商務省の措置にさらなる事前差止命令 2020年12月10日
米商務省曰く、大統領令に基づくTikTokへの措置は新たな法的判断が出るまで発効しない 2020年11月15日
米連邦地裁、TikTokによる米国でのサービス提供を禁ずる米商務省の措置に事前差止命令 2020年11月01日
TikTokとWeChat、米国向けアプリストアでの提供禁止を一時回避 2020年09月21日
米商務省、米国向けアプリストアでのWeChatおよびTikTokの提供を9月20日以降禁止 2020年09月19日
TikTok売却問題、オラクルに決定で決着。ただし米政府が認める内容かは不透明 2020年09月15日
トランプ大統領、中国のアプリ「TikTok」、「微信」運営企業との取引禁止の大統領令に署名 2020年08月12日

headless 曰く、オーストラリア連邦警察(AFP)は8日、組織犯罪限定で用いられる暗号化通信を読み取る特別作戦「Operation Ironside」により、224人を逮捕したと発表した(メディアリリース、 The Registerの記事、 Neowinの記事、 BBC Newsの記事)。 Operation Ironsideは米連邦捜査局(FBI)との協力により3年前から行われていたという。AFPとFBIは犯罪組織が用いる暗号化通信プラットフォームを共同で摘発しており、その過程でFBIは「AN0M」と呼ばれる暗号化通信アプリを入手してひそかに運営を始めたそうだ。 AN0Mは機能を制限した携帯電話にインストールして闇市場で取引されており、摘発により競合の暗号化通信プラットフォームが減少する中、犯罪者の間で人気を博していた。しかし、犯罪者はAFPをポケットに入れているのも同然であり、AFPは2018年以降、3.7トンの麻薬や4,493万豪ドルの現金などを押収しているとのことだ。

すべて読む | セキュリティセクション | 犯罪 | オーストラリア | セキュリティ |

関連ストーリー：
警察庁、SMS認証の代行業者の取締まり強化を全国の警察に指示 2021年04月23日
PUBGのチートツールを販売していたグループが摘発される、51億円の資産を押収 2021年04月02日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
中国で偽コロナワクチンの販売グループが摘発。注射器3000本以上が押収される 2021年02月05日
米覆面捜査官2人が闇サイトの摘発中にビットコインを詐取していたことが明らかに 2015年04月01日
米連邦捜査局、闇サイト「シルクロード2.0」を摘発 2014年11月12日

The Telegraphの報道によると、米国オレゴン州に住む当時10代の女子大生が2016年に、Appleに自分のiPhoneの修理を依頼したところ、修理業者の手によって中にあった写真と動画が勝手に取り出され、しかも彼女本人が投稿したかのようにFacebookアカウントに投稿されたという事件が起きていたという（The Telegraph、クーリエ・ジャポン、Афиша Daily、detikcom）。 その後の経緯はタレコミにあるとおりで、最終的にAppleが数百万ドルの補償金を支払ったとしている。Appleが彼女に最終的に支払った金額自体は不明だが、報道によれば彼女の弁護士は500万米ドルを要求していたとのこと。Appleはこの事件のあと、セキュリティシステムを強化し、同様のリーク事件が再発しないよう対策を取ったとしている。 tamaco 曰く、2016年アップルにiPhoneの修理に出した女子大学生、アップル公認の修理業者により、彼女のフェイスブックアカウントから、まるで彼女自身がアップしたと思われるような形で勝手に「さまざまな段階の脱衣姿の写真10枚とセックスビデオ」を投稿した。 友人から彼女に連絡が入り、これらの画像はすぐに削除された。事件をおこした修理業者の技術者2人はすぐに解雇され、より監視体制を厳格にした この事件による「深刻な精神的苦痛」の慰謝料として、アップルが女子学生に数百万ドルを支払ったと英紙「デイリー・テレグラフ」が報じている。 iPhoneのロックはFBIでも解除困難と聞いていたので、修理に出す前にはロックするようにしている。しかしまさか修理業者が端末のデータに簡単にアクセスできるなんて想定外だし怖い話ではある。 情報元へのリンク

すべて読む | アップルセクション | 犯罪 | スラッシュバック | アップル | お金 | 情報漏洩 |

関連ストーリー：
ブラジル・サンパウロ州の消費者保護当局、Appleに消費者保護法違反で約1,050万レアルの制裁金 2021年03月23日
Apple、フランスのWebサイトでiPhoneとMacBookの修理しやすさスコアを公開 2021年02月28日
Apple、iPhone 6s/6s Plusの無償修理プログラムを開始 2019年10月07日
AppleCare+のiPhoneなどを対象にした規約改訂、米国の月ぎめプランではAppleがサービス可能な限り無期限で自動継続に 2019年09月14日
Apple、サードパーティーのiPhone修理業者が正規サービスプロバイダーと同等のサービス提供を可能にする新修理プログラムを発表 2019年08月31日
Apple、サードパーティーがバッテリーを交換したiPhoneの表示変更はユーザーを守るためだと説明 2019年08月17日
Apple、iPhoneの速度低下を招くiOSアップデートを提供する場合は事前に告知すると英競争・市場庁に約束 2019年05月26日
Appleが修理担当者に対し、非正規バッテリーに交換されたiPhoneも修理するよう指示したとの報道 2019年03月10日

5月にサイバー攻撃を受けて操業停止に追い込まれた米パイプライン最大手コロニアル・パイプライン。ロシアに拠点を置くハッカー集団「Darkside」に身代金を支払っていたことも発表されていたが、その身代金のうち2億5000万円相当をFBIが回収することに成功したそうだ（米司法省、AFPBB News、NHK、CNN、BBC、ニューズウィーク日本版）。 米司法省が7日に発表したもので、支払われた75ビットコイン（当時の相場で440万ドル相当）のうち、FBIが63.7ビットコインを押収したとしている。この回収は最近になって新設された「ランサムウェア＆デジタル恐喝タスクフォース」によって行われ、暗号通貨ウォレットへの支払いを追跡、回収に成功したとしている。 あるAnonymous Coward 曰く、金額を見ると半分ぐらいじゃんと思ったら、ビットコインが急落した影響でそう見えるだけで、75ビットコインのうち63.7ビットコインが奪還されたそうだ。 情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 |

関連ストーリー：
米パイプラインのサイバー攻撃事件、身代金4.8億円が支払われる。米保険会社でも支払いとも 2021年05月22日
米パイプラインのサイバー攻撃事件、FBIがロシアのDarksideグループが関与と判断 2021年05月11日
米最大の石油パイプラインがサイバー攻撃で停止。石油供給に影響する可能性も 2021年05月10日

メルカリは8日、同社の決済サービス「メルペイ」に関して、一部加盟店での利用制限を行うと発表した。リリースによれば、メルカリを装った不審なメール・SMSが急増しており、ユーザーのメルペイアカウントにログインされ、不正利用される事例が発覚したためであるという。現時点で再開時期は未定だとしている。利用制限となる店名や被害の件数については公開されていないとのこと（メルカリ、ITmedia）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | お金 |

関連ストーリー：
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
PayPayとKyash、LINE Payでもゆうちょ銀行からの不正預金引き出しが発生。Kyashはイオン銀行からも 2020年09月16日
ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 2020年09月15日
メルペイとd払いが9月にQRコード共通化へ。決済手数料も2.6％に統一 2020年07月04日
Origami Payが全サービス終了。有終の美はとらのあな新宿店で 2020年07月03日
NTTドコモのd払い、相次ぐ不正利用を受け利用規約を改定、補償を明記。PayPayも追随 2019年08月30日
7payと同じく7月1日よりスタートしたFamiPay、現時点で不正ログインなどのトラブルはなし 2019年07月09日

NortonLifeLock（旧:Symantec）は2日、同社のウイルス対策ソフトウェア「ノートン360」に専用の暗号資産マイニング機能「Norton Crypto」を追加したと発表した。このNorton Cryptoでは、暗号資産Ethereum(イーサリアム)を、PCがアイドル状態のときに自動的に採掘する機能が利用できる。新機能は今後数週間のうちにユーザーに提供される予定だという（Business Wire、TechCrunch、ZDNet）。 マイニングソフトの中には利用時にウイルス対策ソリューションを無効にすることを求められることがある。しかし無効化した状態でマイニングした場合、精査されていないコードがシステム内に侵入し、せっかく掘り出したコインの窃盗や消失につながる可能性がある。Norton Cryptoでは、ウイルス対策と暗号資産のマイニングを両立させることができる上、クラウドベースのウォレット「Norton Crypto Wallet」に転送する機能も備えているとしている。

すべて読む | ITセクション | ソフトウェア | 暗号 | IT | お金 |

関連ストーリー：
HDDの大容量モデルで在庫不足と高騰化の傾向 2021年06月03日
早くも暗号資産Chiaのマイニング対応か。32基のSATAドライブを接続できるマザーボード 2021年05月01日
暗号資産「Chia」のマイニング需要増加で、今度はHDDやSSDが品薄になる可能性 2021年04月21日
ビットコインが過去最高値を更新。しかし電力消費量はGoogle全体の10倍に 2021年04月15日
NVIDIAがマイニング専用GPU「CMP HX」を発表。映像出力を省きシステムも効率化 2021年02月23日
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日

自動車用品などを手掛けるユピテルは7日、同社の会員サイト会員サイト「My Yupiteru」が2017年10月にサーバが不正アクセスを受け、約52万件分の個人情報が外部に流出していたことを発表した。流出したデータは住所、氏名、性別、生年月日、電話番号、メールアドレスで、退会済みや入会途中のデータも含まれていたという（プレスリリース, ITmedia）。 ITmediaの記事によると、不正アクセスから3年以上も経過後という異例の状況で発表されたのは、当時の調査では不正アクセスはあったものの、個人情報がダウンロードされた痕跡は認められないとの結論に至ったためだったとしている。 ところが2021年5月になってから、犯人からと思われる「2017年末にサーバをハッキングし、顧客情報を持っている」との脅迫メールが届き、実際に流出されたデータを確認できたことから公開に踏み切った模様。要求金額については明言を避けたものの、「かなりの金額」であるとしている。 あるAnonymous Coward 曰く、金額を支払ったかは報じられていない。発覚時点で公表すれば大きな問題にならなかっただろうに、こういう会社は結構ありそうである。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
カプコン、著作物の写真無断使用で提訴へ。昨年の不正アクセス事件により判明 2021年06月07日
富士フイルム、ランサムウェアによる攻撃を受けた可能性があると発表 2021年06月03日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日