slashdot(security)

Kaseyaは7月4日、同社のIT環境管理・自動化サービス「Kaseya VSA」が2日に高度なサイバー攻撃を受けたと発表した。Kaseya VSAはソフトの更新を管理・配信するときに使用されるもので、サイバー攻撃により約40の顧客が影響を受けたことが判明しているとのこと。犯行は5月に鹿島建設の海外子会社を攻撃したロシアの犯罪集団「REvil」が関わっていると見られている（Kaseya、ITmedia、日経新聞）。 同社はサーバーを停止し、ソフトの使用停止や怪しいリンクをクリックしたりしないよう呼びかけた。また侵害検出ツールを公開するなどの対応を進めている。今回の攻撃により、中小企業を中心に1000社以上が影響を受けた模様。日経新聞によれば、Kaseyaと直接取引のないスウェーデンのスーパーマーケットがレジを動かせないことから、一時閉店することになったなどとしている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | アメリカ合衆国 |

関連ストーリー：
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
米パイプラインのサイバー攻撃事件、FBIが身代金の大半を奪還に成功 2021年06月09日
米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 2021年06月07日
鹿島建設、サイバー攻撃を受けてデータ流出か。犯行グループは身代金要求 2021年05月01日
ランサムウェア被害にあった外貨両替サービス大手Travelex、店頭では手書きの伝票で対応 2020年01月11日
ランサムウェア耐性が売りの歯科医院向けクラウドバックアップサービス、ランサムウェアの被害にあう 2019年09月01日

Windows の Print Spooler サービスで最近見つかったゼロデイ脆弱性「PrintNightmare」について、Microsoftがセキュリティアドバイザリーを公開している(CVE-2021-34527、 The Verge の記事、 BleepingComputer の記事、 BetaNews の記事)。 PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないことが原因で、リモートから SYSTEM の権限で任意コード実行が可能になるというもの。発見した中国・Sangfor Technologies のセキュリティ研究者は 8 月の Black Hat 2021 USA での発表を予定している。しかし、6月の月例更新で修正された Print Spooler サービスのリモートコード実行脆弱性 (CVE-2021-1675) をこの脆弱性と取り違え、修正済みだと思ってPoCを公開してしまったのだという。研究者は間違いに気付いて PoC を削除したものの、既にアクティブな攻撃が行われているようだ。 影響を受けるのは現在サポートされるすべての Windows バージョンで、Windows 7 SP1 / Server 2008 / 2008 R2 も含まれる。現時点で更新プログラムの提供時期は示されておらず、回避策として Print Spooler サービスの停止および無効化(対策1)と、グループポリシー(コンピューターの構成 → 管理用テンプレート → プリンター)の「印刷スプーラーにクライアント接続の受け入れを許可する」を無効に設定(対策2)の2つの方法が示されている。なお、対策1を適用するとローカル・リモートともに印刷ができなくなる。一方、対策2を適用したシステムはプリントサーバーとしては動作しなくなるが、ローカルでの印刷は可能だ。 サードパーティパッチを提供する 0patch は特に影響が大きい Windows Server 2008 R2 / 2012 / 2016 / 2019 向けマイクロパッチの提供を開始している。0patch によれば Windows 10 への攻撃はドメイン環境で成功せず、非ドメイン環境ではローカルユーザーの認証情報が必要だったという。Windows 7 には影響しないように見えるが、さらなるテストが必要とのこと。2020 年 1 月の更新を適用した Windows Server 2008 R2 も影響を受けるとのことで、脆弱性は少なくとも 1 年半以上前から存在したようだ(0patch Blog の記事)。

すべて読む | ハードウェアセクション | セキュリティ | ソフトウェア | プリンター | バグ | 変なモノ | Windows |

関連ストーリー：
Google、連続殺人犯に関するナレッジパネルに同姓同名の別人の写真を掲載 2021年06月26日
Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ 2021年06月12日
Microsoft、特定のプリンター使用時にブルースクリーンが出る問題に対処。更新プログラム提供へ 2021年03月18日
Windows 10の月例パッチに問題、特定のプリンター使用時にブルースクリーンが発生 2021年03月15日
GoogleのProject Zero、6月の更新プログラムで完全に修正されていなかったWindows 10の脆弱性を公表 2020年12月27日
GoogleのProject Zero、Windowsカーネルのゼロデイ脆弱性を公表 2020年11月01日
オーストラリア・メルボルン市政府、駐車料金支払いアプリで「0」と「O」を取り違えて入力して駐車違反となったケースで反則金を返金へ 2020年09月18日
Windows 10 Insider Preview、初の20H2ビルドが登場 2020年06月20日
Windowsで印刷不能になる不具合、これを修正する更新プログラムがリリースされる 2020年06月19日
勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題 2020年03月31日
Microsoft、Internet Explorerのゼロデイ脆弱性を公表 2020年01月19日
カメラやセンサーを騙すことでTeslaのAutopilotを混乱させる攻撃 2019年04月05日
Google、Chromeのゼロデイ脆弱性と組み合わせて攻撃に使われていたWindowsのゼロデイ脆弱性を公表 2019年03月10日
Microsoft Edgeで特定のPDFファイルを印刷すると一部違う内容が出力される問題が見つかる 2017年05月06日
Googleの有害コメント判定ツールを混乱させる方法 2017年03月05日
Windowsをクラッシュさせるゼロデイ・エクスプロイトコードがGitHubで公開 2017年02月10日
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日

Twitter は 6 月 30 日、セキュリティキーのみで 2 要素認証 (2FA) が利用可能になったと発表した( Twitter のブログ記事)。 以前は Web 版でのみ 2FAに利用可能だったセキュリティキーだが、昨年 12 月には Android/iOS アプリでもセキュリティキーを 2FA に利用できるようになっている。今年 3 月には複数のセキュリティキーが登録可能になり、複数人で管理するアカウントでの 2FA 利用が容易になった。 今回、セキュリティキーを唯一の 2FA 手段として使用することが可能になり、バックアップの 2FA 手段を登録する必要がなくなる。セキュリティキーによる 2FA を設定すれば、携帯電話番号の登録も不要になる。

すべて読む | ITセクション | ハードウェア | セキュリティ | Twitter |

関連ストーリー：
Twitter、用もないのにアカウント確認メールを多数のユーザーへ送るトラブル 2021年04月25日
Twitter、携帯電話番号なしで2要素認証を利用可能に 2019年11月24日
Twitterアカウント乗っ取り犯、被害者に「パスワードマネージャーと2要素認証を使え」と指導 2018年08月08日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日

警視庁や全国銀行協会、日本フランチャイズチェーン協会は29日、東京都内のATMコーナーで携帯電話の通話自粛を求める共同宣言を発表した。税金の還付があるなどと被害者に電話をかけATMに誘導する「還付金詐欺」を防ぐためで、両協会に加盟する銀行やコンビニなどに対し、東京都内全域のATM周辺での通話の自粛要請に取り組むよう周知を行うとしている。警視庁でも、ATMでの通話はしない、させないとして「ストップ!ATMでの携帯電話」運動を行う（FNNプライムオンライン、警視庁生活安全課Twitter、日経新聞、朝日新聞）。 昨年はコロナ禍の影響で給付金制度が多数用意されたが、それを悪用するたちで還付金詐欺も増加したという。2021年1月から5月までに起きた都内における詐欺の認知件数は前年同期比で44％増の444件となった。還付金詐欺を含む特殊詐欺の被害総額は2020年より4億3700万円増加して29億円相当になっているとしている。ここ数日間だけでも還付金詐欺だけでなく、ワクチン接種を悪用した同様の特殊詐欺の事例がいくつか報じられている（読売新聞、FNNプライムオンライン）。

すべて読む | セキュリティセクション | モバイル | 日本 | 犯罪 | セキュリティ | 携帯通信 |

関連ストーリー：
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 2021年06月30日
警察庁、SMS認証の代行業者の取締まり強化を全国の警察に指示 2021年04月23日
d払いの抜け穴を利用、約300万円相当のたばこをだまし取ろうとした詐欺未遂事件 2021年03月11日
特殊詐欺対策で転売電子ギフト券が無効化、購入後に使用不能に。救済もなし 2020年12月10日
南オーストラリア州警察、テクニカルサポート詐欺の電話を受ける 2020年11月08日
日本には偽装された国際電話番号からの着信を防ぐ仕組みが存在しない 2020年10月13日
米国でテレワーカーをターゲットにした詐欺が横行。偽VPNページにアクセスさせて情報搾取 2020年08月28日
特殊詐欺の電話にだまされたふりをして犯人の検挙につながれば1万円の報奨金、愛知県 2021年07月06日
市長がワクチン打ってるの意味が違った件。京都府舞鶴市 2021年07月08日
新型コロナワクチンの不足が深刻化？、職域接種の新規受付中止に自治体接種の停止も 2021年07月06日

headless 曰く、未修正の脆弱性を突かれてリモートからファクトリーリセットが実行された Western Digital の WD My Book Live/Live Duo で、新たな脆弱性が見つかったそうだ(Western Digital のアドバイザリー、 Ars Technica の記事)。 この脆弱性(CVE-2021-35941)は認証なしにファクトリーリセットが可能になるというもので、2011年4月に認証ロジックのリファクタリングを行った際に導入されたという。リファクタリングの目的としては、複数ファイルで個別に実装されていた認証ロジックを単一のファイルにまとめるというものだ。しかし、ファクトリーリセットに関する system_factory_restore.php では認証ロジックを削除した一方で、このファイルの適切な認証タイプが component_config.php に追加されていなかったという。 当初、リモートからのファクトリーリセット攻撃には CVE-2018-18472 の脆弱性が使われたと考えられていたが、CVE-2021-35941 も使われていたようだ。被害にあったユーザーのログをWestern Digital が確認したところ、複数の国のさまざまな IP アドレスから攻撃が行われていたという。中には同じ攻撃者が CVE-2018-18472 で悪意あるバイナリーをインストールし、後に CVE-2021-35941 でデバイスをリセットしていたケースもあるとのこと。ボットネット運用者がライバルのボットネットを妨害するために実行したという説も出ている。 この問題を受けて Western Digital では影響を受けるデバイスをインターネットから切り離すことを推奨していたが、7月にはデータ復旧サービスとサポートされる My Cloud デバイスへのトレードインプログラムを開始するとのことだ。

すべて読む | ITセクション | セキュリティ | ネットワーク | スラッシュバック | バグ | ストレージ |

関連ストーリー：
Western Digital の古い NAS、リモートから攻撃を受けて初期化される 2021年06月26日
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日
Linux＋ApacheのWebサーバを標的とするルートキット 2008年01月28日
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日

あるAnonymous Coward 曰く、英シンクタンクの国際戦略研究所 (IISS) が28日に発表した、15カ国を対象にしたサイバー、デジタル分野の総合力に関する評価で、3段階評価の中で日本が最下位グループに属することが明らかになった（共同通信）。 この評価は、日米欧の主要国に加え中国や東南アジアなどの計15カ国のデジタル経済や安全保障の能力を分析したもの。米国がトップの評価を受けており、次いで2番手グループに中国、ロシア、イスラエル、英国、フランスなどが続く。そして最下位の3番手グループとして、日本はイランやインド、インドネシア、北朝鮮などが並んだ。日本は特にサイバー防衛の分野で遅れているためと説明されている。 主要国で最下位というのは納得してしまうが、その辺の国々と同列というのはちょっと悲しいものを感じなくもない。日本がこの先生きのこる道はあるのだろうか？ 情報元へのリンク

すべて読む | セキュリティセクション | 日本 | セキュリティ |

関連ストーリー：
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
中国共産党員の男を書類送検。JAXAらのサイバー攻撃に関与の疑いで 2021年04月21日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
スマホアプリ世界トップパブリッシャーランキング、トップ3はTencent、NetEase、Activision Blizzard 2020年03月26日
マカフィーが2018年10大セキュリティ事件を発表 2018年12月13日
米空港パブリックWi-Fi危険度ランキング、1位はサンディエゴ 2018年07月22日
メディアプレイヤーを狙った字幕ファイルを使用した攻撃の可能性が指摘される 2017年05月26日

宅配業者を装ったSMS詐欺が増加している。不在通知などを偽装したSMSを送りつけ、偽サイトに誘導するという手法。FNNプライムオンラインの記事によると、詐欺の手法はスマートフォンのOSによって分かれるという。Androidの場合は、不審なアプリケーションをインストールさせようとするという。iOS端末の場合は、フィッシングサイトに誘導、電話番号や、Apple ID・パスワードを入手しようとする手法がとられるようだ（FNNプライムオンライン、佐賀新聞）。 こうした詐欺の被害に遭った場合、その後の対策に苦労することになるようだ。Apple IDが奪われてしまった場合、手持ちのApple製品がすべて自分のものではなくなってしまう上、元のApple IDがないことから初期化も不可能であるとしている（Togetter）。 nemui4 曰く、宅配業者の不在連絡を偽装したSMSから個人情報やAppleIDを入力させて搾取する手口だそうな。Apple側従来のマニュアルでしか対応できなくて、やられたほうはめんどくさい地獄に落とされる様子。

すべて読む | アップルセクション | 犯罪 | セキュリティ | 変なモノ | アップル | 情報漏洩 |

関連ストーリー：
メルぺイが一部加盟店で利用制限へ。フィッシングメール急増のため 2021年06月09日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 2021年05月27日
聖火リレー動画配信サイトを装うフィッシング詐欺が増加。地方自治体などが注意喚起 2021年05月13日
Twitter、用もないのにアカウント確認メールを多数のユーザーへ送るトラブル 2021年04月25日
Slackがパスワードをリセットするよう通知へ。Android版アプリの一部ユーザーに対して 2021年02月09日
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
警視庁、東京都内全域のATMコーナーで携帯通話禁止を呼びかけ。特殊詐欺被害防止のため 2021年07月03日

先日のWindows 11の発表で、Windows 11ではTrusted Platform Module（TPM）2.0の搭載が必須であることが確定した。このため、Windows 11発表後はTPM関連の記事が増えている。そんな中、DellのTPMの説明記事の一文が注目を集めているようだ（Dell Trusted Platform Module(TPM)の概要）。 そこには一部の国では規制によりTPMはサポートされていないと記載されており、具体的な国名として中国とロシアの名前が挙げられている。中国政府の場合、政府が規定した代替品であるTCMが用意されているとしつつも、TCMはTPM互換アプリケーションとの互換性はないとしている。中国ではWindows 11の扱いがどのようになるのか気になるところ。なおロシアには中国におけるTCMに相当する製品はないそうだ。

すべて読む | セキュリティセクション | セキュリティ | Windows | 中国 |

関連ストーリー：
Microsoft、Windows 11 を正式発表 2021年06月25日
Windows 11はTPM 2.0が必須か。旧式PCにリーク版インストールで関連エラー 2021年06月18日
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
Microsoft、セキュリティプロセッサー「Microsoft Pluton」を発表 2020年11月20日
Microsoft、メーカーの認定業者以外による機器の修理はセキュリティリスクにつながると主張 2019年07月02日
Windows 11 Insider Preview 提供開始 2021年06月30日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日

Microsoftは25日、悪意あるゲーム向けドライバにWindowsハードウェア互換性プログラムの認証（WHCP）の署名を与えてしまったとする発表を行った。Bleeping Computerによると、セキュリティ企業G DATA Softwareのアナリストが発見、Microsoftに報告を行ったことで発覚したようだ。この記事によるとドライバの名称は「Netfilter」とされ、中国にあるC＆Cサーバと通信を行っていたことから判明した（Microsoft、Bleeping Computer、ITmedia）。 Microsoftの発表によれば、この攻撃者は中国におけるゲーム内での利用をターゲットに活動しており、企業を狙ったものではないとみられるとしている。また国家レベルの犯行ではないと考えているとしている。Microsoftは、現在攻撃者のアカウントを停止し、提出されたドライバーにマルウェアの兆候がないかを調査中。署名証明書が利用された形跡はいまのところはないとしている。またMicrosoft Defender for Endpointを介して、このドライバーおよび関連ファイルを検出、ブロックを行う措置を取ったとのこと。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | ニュース |

関連ストーリー：
Microsoft、Windows Update を通じた Windows 7 へのドライバー提供を終了 2021年06月20日
Microsoft、5月10日からSHA-2アルゴリズムへ全面移行 2021年04月18日
トレンドマイクロ製品のドライバーでWindowsの「ドライバーの検証ツール」実行の有無をチェックするコードが見つかる 2020年05月26日
米サイバー軍、民間企業とマルウェアサンプルを共有へ 2018年11月14日
ストリートファイターVのアップデートで追加された不正防止対策がルートキットのようだと批判される 2016年09月25日
1997年から2010年までのIntel製CPUに脆弱性？ 2015年08月12日

Googleは24日、Chromeにおけるサードパーティ cookie 廃止のタイムラインを含むPrivacy Sandbox構想の進捗状況を公開した(The Keyword の記事、 Recode の記事、 The Verge の記事、 Android Policeの記事)。 Privacy Sandbox は Web ユーザーのプライバシーを強化しつつ、広告による無料コンテンツ提供を守ることを目的として Google が提唱しているオープン標準だ。Privacy Sandbox の一環として、Google はサードパーティ cookie を2年以内に廃止する計画を昨年1月に発表しており、サードパーティ cookie を使用せずに関連性の高い広告を表示する FLoC (Federated Learning of Cohorts) の Origin Trial を今年3月から実施している。 しかし、Chrome 以外のメジャーブラウザーは FLoC をサポートしない雰囲気になっており、Privacy Sandbox が競争を阻害する可能性についても厳しい視線が注がれている。英競争・市場庁 (CMA) は1月から調査を開始、3月には米司法省が調査しているとも報じられた。22日には欧州委員会が調査開始を発表した。 サードパーティ cookie 廃止の新しいタイムラインでは、2022年後半にテストが完了して API が Chrome で利用可能になった時点でステージ1に入る。ステージ1はパブリッシャーや広告業界がサードパーティ cookie 廃止に向けた移行を進めるための期間で、9か月間は続く予定だ。移行とフィードバックの様子を見つつ、2023年半ばにはサードパーティ cookie サポートを段階的に廃止するステージ2に移行する。段階的な廃止は3か月かけて行われ、2023年末までに完了する計画とのことだ。

すべて読む | ITセクション | Chrome | セキュリティ | 広告 | Chromium | プライバシ |

関連ストーリー：
Chrome Canary、FLoCをコントロールするオプションを表示可能に 2021年06月02日
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Google曰く、サードパーティcookieに代わるユーザー追跡の仕組みは開発しないが、個別のユーザー追跡なしに関連性の高い広告を表示する仕組みを開発する 2021年03月06日
英競争・市場庁、Googleの提唱する「Privacy Sandbox」が競争を阻害しないか調査を開始 2021年01月10日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
Google、Webユーザーのプライバシーを強化しつつ関連性の高い広告を表示可能なオープン標準の開発を提唱 2019年08月28日
女性個室トイレに動画広告を配信することでナプキンを無償配布するサービス 2021年07月06日

Western Digital の古い NAS、WD My Book Live および WD My Book Live Duo が未修正の脆弱性(CVE-2018-18472)を突かれ、リモートからファクトリーリセットを実行されてデータがすべて消えたとの報告が複数出ている(セキュリティアドバイザリー WDC-21008、 BleepingComputer の記事、 Ars Technica の記事、 The Register の記事)。 両製品は2010年～2012年に発売され、2014年に販売終了しており、最後にファームウェアが更新されたのは2015年のことだという。CVE-2018-18472はリモートから root としてコマンドを実行可能な脆弱性で、2018年に報告され、PoC も公開されている。しかし、Western Digital は報告者に対し、ファイアーウォールでリモートからのアクセスを防ぎ、ローカルネットワーク内の信頼されたデバイスのみがアクセスできるようにするなどの対策を提示するにとどまった。 今回 Western Digital では問題を調査していると述べる一方、現時点ではインターネットから両製品を切り離すことを推奨している。

すべて読む | ハードウェアセクション | セキュリティ | ネットワーク | バグ | インターネット | ストレージ |

関連ストーリー：
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日
WDの公称「5400rpmクラス」の一部HDDが実際は7200rpmであると指摘される 2020年09月09日
Western Digital、WD Redの記録方式問題を受けて各HDDの記録方式を公開 2020年05月01日
9月に判明した古いiOSデバイスのBoot ROMに存在する脆弱性、CERT/CCが脆弱性情報を公開 2019年12月21日
Intel、古い製品向けのドライバーやBIOSアップデートなどのダウンロード提供終了を進める 2019年11月22日
古いiOSデバイスのBoot ROMに脱獄も可能な脆弱性、Appleにも修正不可能 2019年09月29日
1年以上前に修正済みのVLCのバグ、最新版のバグと誤って報告される 2019年07月26日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日
Western Digital、同社製品で採用するプロセッサをRISC-Vへ移行すると発表 2017年12月06日
Microsoft、Windows XPなど旧OS用の新たなセキュリティ更新プログラムをさらに公開 2017年06月16日
リモートからファクトリーリセット攻撃にあった Western Digital の古い NAS、新しい脆弱性が見つかる 2021年07月02日

Dell は24日、BIOS 搭載の機能で発見された4件の脆弱性と影響を受ける129機種のリストを公表した(DSA-2021-106、 Eclypsium のブログ記事、 Phoronix の記事、 BetaNews の記事)。 CVE-2021-21571 は Dell の BIOSConnect 機能と HTTPS Boot 機能が利用する UEFI BIOS の HTTPS スタックに存在する不適切な証明書検証の脆弱性だ。リモートの認証されていない攻撃者が中間者攻撃を利用して脆弱性を悪用することで、サービス拒否およびペイロードのタンパリングにつながる可能性がある。 CVE-2021-21572 / CVE-2021-21573 / CVE-2021-21574 は BIOSConnect 機能に存在するバッファーオーバーフローの脆弱性だ。ローカルでシステムにアクセス可能な認証されたユーザーがこの脆弱性を悪用することで、UEFI による制限を迂回して任意コードの実行が可能になる。 BIOSConnect は SupportAssist OS Recovery 機能を利用して BIOS 更新と OS の復旧を行う機能で、影響を受けるのは BIOSConnect 搭載機種の一部だという。HTTPS Boot は UEFI の HTTP Boot を利用してシステムを HTTP(S) サーバーからリモートブートする機能で、搭載機種は少ない。影響を受ける129機種のうち、HTTPS Boot を搭載しているのは46機種となっている。 いずれの脆弱性を悪用する場合も攻撃者は事前にユーザーのネットワークへ侵入し、Dell UEFI BIOS が信頼する証明書を取得するなどの準備が必要となり、システムに物理的アクセス可能なユーザーが各機能を使用するのを待つ必要があるとのこと。 CVE-2021-21573/CVE-2021-21574に関しては5月28日にサーバー側で修正が行われており、ユーザーが必要な操作はない。CVE-2021-21571/CVE-2021-21572に関しては BIOS 更新が必要となる。6月24日までに影響を受ける129機種すべてに対策版の BIOS 更新が提供されている。 Dellのプリインストールソフトウェアやファームウェア更新プログラムではたびたび脆弱性が発見されているが、今回の脆弱性の影響を受けるのはWindowsに限らない。特にセキュアブートを無効化している場合は影響が大きくなるとのことだ。

すべて読む | セキュリティセクション | ハードウェア | アップグレード | セキュリティ | ソフトウェア | バグ | インターネット |

関連ストーリー：
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日
Dell SupportAssistでまた脆弱性が見つかる 2019年06月23日
HP製ノートPCにプリインストールされているドライバの1つにキーロガー的機能が見つかる 2017年12月12日
AcerやASUS、Dell、HP、LenovoのPCにプリインストールされているソフトウェアに脆弱性が見つかる 2016年06月09日
Dellや東芝、LenovoのPCなどにプリインストールされている管理ソフトに脆弱性が見つかる 2015年12月16日
MS、証明書信頼リストを更新してDellのPCにプリインストールされていた危険な証明書を無効化 2015年12月04日

Python パッケージの公式リポジトリ PyPI で見つかった暗号通貨採掘マルウェアを含む6つのパッケージについて、発見した Sonatype が解説している(Sonatypeのブログ記事、 Ars Technicaの記事)。 暗号通貨採掘マルウェアは Sonatype のマルウェア検出ツール Release Integrity により発見されたもので、「maratlib」「maratlib1」「matplatlib-plus」「mllearnlib」「mplatlib」「learninglib」の6本。いずれも同じ作者により早ければ4月に PyPI で公開されており、PePyによればSonatypeのブログ記事公開時点で合計5,000回近くダウンロードされている。 うち5本は「maratlib」との依存関係が設定されており、「maratlib」のダウンロード回数が2,371回と最も多い。また、「matplatlib-plus」と「mplatlib」は「matplotlib」の誤入力によりダウンロードさせるタイポスクワッティングを狙ったものとみられ、「matplatlib-plus」のダウンロード回数は913回で「maratlib」に次ぐ多さとなっている。 「maratlib」は激しく難読化されているが、最終的には作者の GitHub リポジトリから暗号通貨採掘 Bash スクリプトをダウンロードして実行する仕組みになっていたとのこと。 PyPIでは2017年にもタイポスクワッティングを狙った悪意ある偽パッケージが発見されているが、その後も悪意あるパッケージの新規公開が続いているようだ。Release Integrity は元々 npm に注力してきたが、この数週間 PyPI パッケージを対象に試験運用したところ、3,157本以上の悪意あるパッケージが見つかったとのことだ。

すべて読む | デベロッパーセクション | セキュリティ | Python |

関連ストーリー：
名前のタイプミスを狙った悪質なパッケージがRubyGemsで多数公開される 2020年04月19日
RubyGemパッケージrest-client、バックドアを含むバージョンが立て続けに公開される 2019年08月25日
バックドアを含むバージョンのbootstrap-sassパッケージがRubyGemsで見つかる 2019年04月07日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
「.com」のミスタイプを狙う「.cm」サイト、今年だけで1,200万回近くアクセスされていた 2018年04月08日
PyPIに悪意のあるパッケージがアップロードされていた 2017年09月18日
OSSのホスティングを行っているFossHubが攻撃を受ける、AudacityやClassic Shellにマルウェアが混入 2016年08月04日
オープンソースのSSHクライアントPuTTY、トロイの木馬が仕込まれたバージョンが配布される 2015年05月30日

YouTubeは24日、2017年1月1日以前にアップロードされている限定公開の動画を「非公開」に変更する処置を行うと発表した。該当する動画は7月23日以降に非公開に設定されるとのこと（YouTube 古い限定公開コンテンツに対する措置の変更、ITmedia、Impress Watch）。 こうした措置を行う理由としてセキュリティ上の都合を上げている。17年以降の限定公開動画ではセキュリティ対策が施されているが、16年以前の限定動画はリンクの共有を受けていない人でも発見されてしてしまう可能性があるための措置だという。非公開に変更された場合、限定公開動画として埋め込みや共有に使用していたリンクが使用できなくなるとしている。非公開にしたくない場合は、専用フォームで申請手続きを行う、全ユーザーに公開する設定に変更、アップロードし直すといった対応が必要だとしている。

すべて読む | ITセクション | セキュリティ | YouTube | IT |

関連ストーリー：
映画の内容をまとめたファスト映画、YouTube投稿で初の逮捕者 2021年06月24日
YouTubeプレミアムの「広告なし」を訴求したテレビCMに各方面からツッコミ 2021年06月11日
YouTubeが動画変換のためのチップを独自開発。利用者急増に対処 2021年04月27日
キッザニアのオンラインプログラムに「映像クリエイター」が登場 2021年04月22日
YouTubeが日本の配信者に税務情報の提出を求める。提出しない場合は一律24％米国から課税される場合も 2021年03月12日
YouTubeの生放送で漢字読み間違えをした結果、グループアイドル1名が活動休止に 2021年02月05日
著作権保護が不十分だと著作権者に訴えられたYouTube、著作権侵害者と著作権者が同じIPアドレスを使用していたことを示す 2020年12月26日

原子力規制委員会は22日、いわゆるPPAP方式を採用したメールシステムに不具合が発生し、地方公共団体ならびに報道機関のメールアドレス計76件が漏洩したと発表した（原子力規制委員会リリース、PC Watch、Security NEXT）。 6月16日に記者懇談会の案内を地方公共団体と報道機関に送信した。このときシステムの不具合により、復号パスワードの通知を行うメールに、本来はBCCにすべきメールアドレスが表示されてしまったという。Security NEXTの記事によると、根本的な原因は不明だとしており、システムを開発した東芝ITサービスに対して原因究明を求めているそうだ。なおこのシステムでは、添付ファイルを送信すると必ず暗号化されてしまうとのこと。PPAP廃止にはシステムごと入れ替える必要があるらしい。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | idle | 情報漏洩 |

関連ストーリー：
パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 2021年06月24日
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 2020年11月20日
JetBrains日本総代理店のサムライズム、Zip添付メールに展開手数料を請求へ 2020年04月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日
大量の「商標出願登録」で話題のベストライセンス、今度は「PPAP」を商標出願 2017年01月26日
GPU で ZIP パスワードを高速解析 2011年07月25日

東大阪市にある市立東大阪医療センターは22日、外部からの不正アクセスにより医用画像参照システム用のサーバーがダウンし、患者のCT画像などが閲覧できなくなったとして警察に被害届を出したと発表した（市立東大阪医療センターその1、その2、朝日新聞、関西テレビ）。 医用画像参照システムのサーバーダウンは5月31日未明に発生、過去に撮影した画像データの一部が閲覧できなった上、患者30人が診察日を変更するなどの影響がでたとしている。同センターがセキュリティー調査会社に調査を依頼したところ、外部からの不正アクセスがあったと判明したとのこと。調査によれば個人情報の情報漏洩はなかったとしている。現在は仮サーバーを立てて通常の診療を行っているものの、一部の撮影画像データが閲覧できない状態が続いているとしている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 医療 |

関連ストーリー：
富士フイルム、不正アクセスによる外部への情報流出は見当たらなかったと発表 2021年06月18日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
カプコン、著作物の写真無断使用で提訴へ。昨年の不正アクセス事件により判明 2021年06月07日
富士フイルム、ランサムウェアによる攻撃を受けた可能性があると発表 2021年06月03日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日

デジタルアーツは23日、パスワード付きZIPファイルをメールで送信するPPAPに関する分析レポートを公開した。同社はオープンソースで誰でも入手できるパスワード回復のソフトウェアとCPUにCore i5-10210Uを搭載した一般的な仕様のPCを組み合わせて、どれくらいの時間でZIPファイルのパスワードを解読できるかテストしたという（デジタルアーツ、PC Watch、週刊アスキー）。 サンプルで設定した「zansin」という英語小文字6ケタのパスワードであれば、1秒未満で解読することができたとしている。パスワードを12ケタにした場合でも2分51秒で解読可能だとのこと。同社では何度でもパスワードの入力を試すことができることから総当り方式の解読が可能であり、偶発的な事故が起きやすいとして、自社の提供するソリューションを利用することを勧めている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 情報漏洩 |

関連ストーリー：
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
JetBrains日本総代理店のサムライズム、Zip添付メールに展開手数料を請求へ 2020年04月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日
ZIPのパスワードを直後のメールで送る不思議 2018年12月25日
GPU で ZIP パスワードを高速解析 2011年07月25日
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日

スペインで抑留されていたマカフィー創業者で伝説的な人物でもあるジョン・マカフィー氏が23日、拘留施設内で亡くなっていたことが判明した。75歳だった。スペイン司法省は死因は自殺とみられる。刑務所の医療従事者が彼を蘇生させようとしたものの、蘇生は成功しなかったと話している（BBC、The Guardian、AFPBB News、コインテレグラフ ジャパン）。 マカフィー氏は昨年10月、スペインでトルコ行きの飛行機に搭乗しようとしたところ逮捕。同氏は米国で暗号通貨に関連する詐欺などの罪で起訴されていたことから、スペインの裁判所は23日に同氏の身柄引き渡しを認める判断をしたばかりだった。有罪となった場合、最高で禁錮30年を言い渡される可能性があった模様。

すべて読む | セキュリティセクション | セキュリティ | 法廷 | ニュース | 暗号 |

関連ストーリー：
ジョン・マカフィー、暗号通貨関連の詐欺などで起訴される 2021年03月07日
ジョン・マカフィー、スペインで逮捕 2020年10月07日
逃亡者ジョン マカフィー、キューバから米大統領選出馬を目指す 2019年07月09日
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
Intel、Intel Security（旧McAfee）株式の過半数をTPGに売却、共同で新企業「McAfee」創設へ 2016年09月13日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日

あるAnonymous Coward 曰く、スマートホームカメラ「ATOM Cam」を開発・販売するATOM Tech（アトムテック）は6月12日、同社の提供する「ATOM – スマートライフ」アプリ（Android版、iOS版）において、事前の説明と異なる目的で位置情報を利用していたことを謝罪し、位置情報の利用を停止した修正版のアプリを公開した（ATOM Techのニュースリリース）。 発端は5月29日、Googleのソフトウェアエンジニアである河本健氏がAndroid上でのパケットキャプチャにより、同アプリが起動時に端末の緯度・経度をアトムテックのサーバーに送信していることを発見したことに始まる。 同アプリでは事前に「スマートフォンのWi-Fi情報を取得するため」として初期設定時に位置情報の取得の許可を求めていたが、そのために位置情報を送信する必要性を同社に問い質したところ、実は「ユーザーのタイムゾーンを判定するため」という回答があったという。 しかしながら、タイムゾーンを判定する目的であればタイムゾーン取得用の関数を利用したスマートな方法が存在することや、事前の説明を逸脱した位置情報の利用について、同社からの返信が途絶えたため、河本氏が6月11日にこれまでの経緯をツイートしたところ、1,000リツイートを超える炎上状態となっていた。 同社の説明によれば、問題の原因は社内体制の不備にあり、タイムゾーン判別後の位置情報はサーバーに保存しない仕様であったという。また、問題提起を行った河本氏に対しては、こうした報告を無視せずにすぐ対応できるよう連絡ラインを見直すとの回答があったようだ。 情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ | YRO | バグ | 携帯電話 | 携帯通信 | プライバシ |

関連ストーリー：
Google、Android 12 Beta 2を提供開始 2021年06月12日
改正ストーカー規制法が成立、無断でGPS機器の取り付けや位置情報アプリも規制対象 2021年05月21日
AirTagのネットワークをハックしてデータを送受信する 2021年05月18日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
日本への入国者全員にCOCOAやSkypeなどをインストールしたスマホの携行を義務付け 2021年03月19日
LINE、個人情報の取り扱い状況を発表。トーク投稿の画像と動画は韓国サーバーで保管 2021年03月18日
メルセデス・ベンツ、不正確な位置情報を通報する可能性のある緊急通報システム搭載車を米国でリコール 2021年02月16日

厚生労働省で議論が行われていたITエンジニアやフードデリバリー関連業種の労災保険加入が確実になったようだ。タレコミにもあるように、今年9月から加入を認める方針であるという（NHK、東京新聞）。 Hamo73 曰く、18日に行われた労働政策審議会（厚生労働大臣の諮問機関）の部会で、労災保険の特別加入制度の対象にITエンジニアおよび自転車配達員を加えることが了承された。省令を改正し9月から施行される(読売新聞)。 労災保険は企業が保険料を負担し、企業に雇用された労働者が給付対象となる保険制度である。このため個人事業主や自営業などは対象外となるが、建設業の一人親方など労働者に準じて保護対象とするべき業種がある。そこで自ら保険料を支払うことで労災保険への加入を認めるのが特別加入制度である。 ITエンジニアは長時間労働で精神疾患などを発症する事例が多く、業界団体から要望があがっていた。

すべて読む | ITセクション | ビジネス | セキュリティ | 医療 | IT |

関連ストーリー：
ITフリーランスが一人親方として労災特別加入制度の対象となる方向に 2021年05月18日
労災、芸能関係作業従事者やアニメーション制作作業従事者も加入可能に 2021年04月23日
労災認定において直行直帰の移動時間は労働時間に含まれないとの判断 2019年03月14日
三菱電機、2014年からの4年間で5人の労災認定、長時間労働が原因 2018年09月28日
裁量労働制が適用されていたシステムエンジニアが過労死、長時間労働が原因か 2018年05月18日