slashdot(security)

米コロニアル・パイプラインがサイバー攻撃を受けた事件で、FBIはロシアのハッカー集団「Darkside」が関与したと断定したそうだ。同パイプラインは現在も停止中で供給停止が長期化した場合は経済への影響も懸念される事態となっている（FBI、CNBC、NHK）。 CNBCの報道によれば、このDarksideは比較的新しいハッカーグループとされ、ランサムウェア運用に特化したビジネスモデルを持つ組織化されたハッカー集団であるとしている。DarkSideは自らが運営するWebサイト上で、我々には政治的な意思はなく、社会に問題を引き起こさずにお金を稼ぎたいだけだと主張しているそうだ。また病院、ホスピス、学校、大学、非営利団体、政府機関に関しては攻撃しないなどとも主張している模様。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 | 情報漏洩 |

関連ストーリー：
米最大の石油パイプラインがサイバー攻撃で停止。石油供給に影響する可能性も 2021年05月10日
鹿島建設、サイバー攻撃を受けてデータ流出か。犯行グループは身代金要求 2021年05月01日
中国共産党員の男を書類送検。JAXAらのサイバー攻撃に関与の疑いで 2021年04月21日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日
Bloomberg、2年前に全方向から否定された「Super Microのマザーボードにスパイチップ」という話に再び挑戦 2021年02月13日
北朝鮮、韓国に対して1日150万件ものサイバー攻撃を実施との報道 2021年02月02日

CNETの記事によれば、Amazonの偽の商品レビュー詐欺に関与したと見られる、約20万人以上の個人情報が流出したらしい（CNET）。 流出したデータには、約20万~25万人分のユーザーとAmazonマーケットプレイス出品者のユーザー名、電子メールアドレス、PayPalアドレス、Amazonプロフィールへのリンク、「WhatsApp」と「Telegram」の番号などの記録などがあったという。また偽レビューの投稿を受けた顧客と謝礼を支払う出品者のメッセージなども含まれていたとしている。記事内では、サーバーの所有者は不明だが、流出したメッセージが中国語だったことから、中国を拠点とした組織ではないかと推測されている。

すべて読む | セキュリティセクション | ビジネス | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
Amazonでライバル会社の商品に「星一つ」のやらせレビュー、依頼者が刑事罰に 2020年09月06日
AnkerがAmazon上の第三者によるカスタマーレビューの不当な操作を報告、依頼を受けたら連絡を 2020年05月14日
Amazonの偽レビュー、ライバルをけなすやらせレビューも存在 2020年02月12日
米 トランプ政権、Amazonの「悪質な市場」リスト入りを検討 2019年12月09日
Amazon.co.jpで購入したものが不良品だったとのレビューを書いたところ、「2倍の金額を返金するからレビューを消して」との依頼が来たという話 2019年12月04日
Amazonマーケットプレイスでの不正行為、他社への嫌がらせ行為もあるとの話が出る 2019年07月23日
Amazonマーケットプレイスの偽レビュー問題、☆5レビューを集めたあとに商品を変更する手口が確認される 2018年08月06日
米Amazon.com、メーカーなどから特典をもらって書かれたレビューを大量削除 2016年11月29日

Windows Defenderを標準のセキュリティシステムとして利用している場合、特定のバージョンで勝手にファイルが作成され、Windowsのシステムストレージ容量が不足する可能性があるとの指摘が出ている。今回発見されたWindows Defenderのバグによると、何千もの小さなファイルをC:\ ProgramData \ Microsoft \ Windows Defender \ Scans \ History \ Storeフォルダ内に作成、Windows 10ストレージスペースをギガ単位で浪費するとしている。BetaNewsの記事によれば、一晩で400万個のファイルが作成され、11GBもの容量を占有したとする例もあるようだ。このバグはWindowsDefenderのバージョン1.1.18100.5で発生する。18100.6ではすでに対処されている模様。WindowsDefenderのバージョン確認方法に関してはマイナビの記事内にて言及されている（BetaNews、BleepingComputer、マイナビ）。

すべて読む | セキュリティセクション | セキュリティ | バグ | Windows | ストレージ |

関連ストーリー：
Windows 10 Insider Preview、エクスプローラーで表示されるシステムアイコンを刷新 2021年03月26日
Windows 10 Insider Preview、初の21H1ビルドが提供開始 2021年02月20日
Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 2021年02月16日
Windowsのインストールイメージに適用可能なMicrosoft Defenderのアップデートパッケージが公開 2020年10月05日
Microsoft、Windows Defender ウイルス対策を無効にするレジストリ設定を削除 2020年08月22日
Microsoft Defender Antivirus、Microsoft関連ホストが指定されたhostsファイルを脅威として検出 2020年08月07日

Twitterは5月7日、応援したいアカウントに対して送金が可能となるチップ機能「Tip Jar」を発表した（Tip Jar）。現時点では一部のクリエイター、ジャーナリスト、非営利団体などがこの機能を利用できるようになっている。このTip Jar機能では、送金手段としてBandcamp、Cash App、Patreon、PayPal、Venmoなどが選択可能となっているが、PayPal経由で送金を行った場合、送金相手に送り主の住所が表示される問題が出ているという。この問題は米セキュリティ会社のCEOであるRachel Tobac氏によって指摘されたものだという（Rachel Tobac氏のツイート、ITmedia）。 これを報じたITmediaの記事によれば、この問題はPayPal側の利用規約の影響によるものだそうで、Tobac氏はPayPalはユーザーのデータの共有をやめるべきだとする一方で、Tip Jarの決済手段にPayPalを使えるようにしたTwitter側にも、ユーザーにこうした情報を伝える責任があると指摘している。

すべて読む | ITセクション | Twitter | IT | お金 | 情報漏洩 |

関連ストーリー：
Twitter、アプリ上で縦長画像のサムネイル表示に対応へ 2021年05月08日
Twitterがテスト中の「ツイート取り消しボタン」はサブスク会員用との説 2021年03月25日
Twitter、画像をクロップせずにタイムライン表示する機能をAndroidとiOSでテスト中 2021年03月13日
Twitterがメンバーシップ的な機能「Super Follow」を発表。今年中の導入を予定 2021年02月26日
中国で過熱気味の投げ銭に規制。投げ銭のみで約1兆円の市場に 2020年12月05日
日本のVチューバー、世界の投げ銭ランキングでトップ3を独占 2020年11月20日
ドワンゴが「投げ銭」を商標登録。その意図はどこに？ 2020年08月11日

米石油パイプライン最大手「コロニアル・パイプライン」が現地時間8日、サイバー攻撃をうけ、すべてのパイプラインオペレーションが一時的に停止したと発表した。ランサムウェアによる攻撃を受けたとされ、操業する全てのパイプラインが稼働停止に追い込まれたという。同社は約8850キロという米国内最大の石油パイプラインを運営、東海岸の燃料消費の半分近くのシェアを占めているとされる。報道によると、「ダークサイド」と呼ばれるサイバー犯罪グループが、ランサムウェアによる攻撃を行い、同社から大量のデータを盗んだとされている（コロニアル・パイプラインのリリース、日経新聞、CNN、ロイター、時事ドットコム）。 NOBAX 曰く、米パイプライン最大手のコロニアル・パイプラインが、サイバー攻撃を受けて操業を全面的に停止した。 コロニアル・パイプラインはメキシコ湾岸の製油所と米東部と南部を結ぶ全長8850キロのパイプライン。 ガソリンを含む燃料を１日250万バレル輸送している。東海岸の燃料の半分近くはこの石油パイプラインが供給。 停止が長引けばガソリン価格が急騰する可能性がある。 ランサムウエアによる攻撃とみられている。 情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 | 情報漏洩 |

関連ストーリー：
ランサムウェアによって奪われた機密情報で警察が脅迫される 2021年04月30日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
総務省の業務委託先会社がランサムウェアに感染、個人情報流出の可能性 2021年04月12日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
perl.comがドメインを乗っ取られる。ランサムウェア配布の可能性があるためアクセスしないよう警告 2021年02月02日
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
米パイプラインのサイバー攻撃事件、FBIがロシアのDarksideグループが関与と判断 2021年05月11日

Microsoftは6日、EU域内の民間・公共部門の顧客が利用する同社のオンラインサービスについて、すべてのデータをEU域内で処理・保存可能にする「EU Data Boundary for the Microsoft Cloud」計画を発表した(EU Policy Blogの記事、 Microsoft Tech Communityのブログ記事、 Neowinの記事、 Windows Centralの記事)。 Microsoftのオンラインサービスの多くは既に顧客が指定した地理的な場所に顧客のデータを保存するオプションを提供しており、Azureサービスの多くで顧客のデータを処理・保存する地理的な場所を選択可能になっている。2022年末までに完了するEU Data Boundaryはこれをさらに進めるもので、EU域内の組織ユーザーはデータをEU域内から一切出さずにMicrosoftの主要なクラウドサービス(Azure/Microsoft 365/Dynamics 365)を利用できるようになる。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | EU | 政治 | プライバシ |

関連ストーリー：
Microsoft、人力処理する音声データをセキュリティ基準なしに中国へ送っているとの報道に対し、現在は違うと説明 2020年01月13日
Microsoft、ユーザーから収集した音声データの人力処理を「プライバシーに関する声明」などに明記 2019年08月17日
米国の捜査令状で米企業が国外サーバーに保存した情報の開示要求が可能かどうかをめぐる裁判、終結に向かう 2018年04月08日
欧州委員会、米企業が米国外に保存したデータに対する米捜査令状の有効性をめぐる米国での裁判に法廷助言書 2017年12月10日
米司法省、Googleが米国の捜査令状に従って米国外サーバーのデータを開示する姿勢を見せていると主張 2017年09月18日
米下級判事、Google利用者のデータは米国外に保存されていても米国の令状で開示を強制できると判断 2017年02月07日
米控訴裁判所全法廷、米捜査令状は米企業が国外サーバーに保存した情報の開示要求には無効との判断を支持 2017年01月29日
米控訴裁判所、米国の捜査令状では米企業が米国外のサーバーに保存したデータの開示を要求できないとの判断 2016年07月16日
米裁判所、Microsoftに対し米国外のサーバーに保存しているメールの提出を要求 2014年09月03日
米企業が米国外のサーバーに保存したデータの開示、米国の捜査令状で要求可能とする地裁判決 2014年08月03日
米下級判事、米国の捜査令状で米国外のサーバーに保存されたデータの開示を求めることが可能との判断を示す 2014年04月29日

headless 曰く、Dellは4日、ファームウェア(BIOS/Thunderbolt/TPM/ドッキングステーション)更新プログラムに同梱されていたドライバーに不十分なアクセス制御の脆弱性(CVE-2021-21551)が存在することを公表した(DSA-2021-088、 FAQ、 SentinelLabsの記事)。 問題のドライバー「dbutil_2_3.sys」はファームウェア更新プログラムまたはDellのアップデートツールにより、一時フォルダー(%temp%または%windir%\temp)に展開されるもので、権限を確認せずにIOCTLリクエストを受け付けてしまうという。この脆弱性を悪用することで、ローカルでの権限昇格やサービス拒否、意図しない情報開示が行われる可能性がある。 このドライバーは遅くとも2009年からPCやドッキングステーションのファームウェア更新プログラムで使われており、影響を受けるモデルは現在もサービスが行われている381モデルに加え、既にサービスが終了している195モデルと幅広い。SentinelLabsによれば、影響を受けるPCは数億台に上るという。381モデルの最新ファームウェア更新プログラムでは脆弱性が修正されているが、dbutil_2_3.sys自体は削除されないようだ。なお、ドライバーサービス「DBUtil_2_3」のレジストリ設定は最初のWindows再起動時に削除されるため、実際にどの程度影響があるのかは不明だ。 対処方法としては「Dell Security Advisory Update - DSA-2021-088」を実行または手作業でdbutil_2_3.sysを削除し、現在もサービスが行われているモデルでは再導入を防ぐために最新のファームウェアをインストールする。サービスの終了しているモデルではファームウェア更新プログラムを実行するたびにdbutil_2_3.sysの削除が必要になる。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | ソフトウェア | バグ |

関連ストーリー：
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 2021年04月30日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日
ミネソタ大研究者、研究のためとしてLinuxカーネルに意図的に脆弱性コードをコミット 2021年04月26日
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
小規模ウェブサイトの約1割はノーガード戦法 2021年04月12日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日

pixivが安全なパスワードへの変更のお願いという案内を掲示している。第三者に推測されやすいパスワードを使用している場合、2021年5月10日からpixiv及び関連サービスにログインできなくなくなるという。発表文によると、ログインできなくなったアカウントで接続すると「セキュリティ上の理由により、お使いのパスワードはご利用いただけません」などとする案内が表示されるとしている（pixiv）。 パスワードの変更が必要なアカウントに関しては、現時点でパスワード変更の案内画面が表示されるように変更されているという。案内が表示されないユーザーに関しては変更の対象外であるとしている。ねとらぼが安全なパスワードの判定基準についてpixivに取材したところ、他社におけるデータ侵害により漏えいしたパスワードのハッシュ値のデータベースを元に判定しているという（ねとらぼ）。

すべて読む | セキュリティセクション | セキュリティ | アニメ・マンガ |

関連ストーリー：
pixiv、脆弱なパスワードの登録を行えない仕組みを導入 2020年01月28日
ネットミーム「シャミ子が悪いんだよ」、「ネット流行語100」に選ばれる 2019年12月20日
DMCAを悪用した個人情報抜き取りを狙ったと思われる虚偽の削除依頼 2019年08月14日
pixivの社長、セクハラで提訴される 2018年05月31日
中国がPixivへのアクセスを遮断？ 2017年09月20日
URL短縮サービスp.tlが終了、888万件以上のアドレスが無効に 2017年09月19日
日本でMastodonが流行っているのはエロ系イラストが理由という考察 2017年08月22日

あるAnonymous Coward 曰く、4月29日、ダークウェブに関する研究や報道を目的とした複数のウェブサイトのドメインが乗っ取られ、フィッシングサイトへの誘導が行われるという事件が発生した（NjallaのPeter Sunde氏のツイート、dark.failによる警告、dark.failを所有するdark.fail氏のツイート、TechNadu、VICE）。 被害を受けたのはdark[.]failとdarknetlive[.]com。dark[.]failの場合、攻撃者は掲載されていたTor hidden serviceへのリンクをフィッシングサイトのものに置き換えたページを作成し、乗っ取ったドメインでホストしていた。 両サイトがNjallaという共通のドメインリセラーを使用していたことや、乗っ取られたサイトの運営者が2FAを使用していたことから、NjallaやレジストラであるTucowsへの不正アクセスが疑われたが、実際には偽の裁判所令状を用いてTucowsから乗っ取りに必要な情報を聞き出すという手口であることが明らかになった。 Njallaの創業者であるPeter Sunde氏によると、乗っ取りの時系列は以下の通りである。 https://twitter.com/brokep/status/1389314362561777665 1. 4月28日、Tucowsがドイツ・ノルトライン＝ヴェストファーレン州の地方裁判所を装った偽の令状を受け取る。令状にはTucowsがレジストラとなっている複数のドメインを引き渡すよう書かれており、メールの発信元は正式なドメインであるag-koeln[.]nrw[.]deによく似たagkoeln-nrw[.]deで、agkoeln-nrw[.]deにアクセスするとag-koeln[.]nrw[.]deにリダイレクトされるようになっていた。 2. 古典的なフィッシングメールに騙されたTucowsの担当者がドメインの乗っ取りに必要な情報（移管用のコードと思われる）を返信する。 3. 攻撃者がdark[.]failをNamecheapに、darknetlive[.]comをepik.comに移管する。 4. 攻撃者が各ドメインのレコードを偽のサイトのものに書き換える。 偽の令状は過去にkino[.]toというドメインを差し押さえる際に使用されたものをベースにしており、フィッシングにありがちなスペルミスが無く、ドイツ語話者であるTucowsの担当者が見抜けなかったほど精巧に作られたものとのことだ。また令状には偽のGag order（箝口令）が添付されており、リセラーであるNjallaには一切の通知が無かった。 この件に関しては、epik.comが乗っ取りに関する情報提供を受け速やかにドメインを返還したのに比べ、令状が偽物である点やドメインがフィッシングに悪用されていることを頑なに認めず、結果的にドメインの返還に4日もかかったNamecheapが批判を受けている。 ----もしこのタレコミを読んでいる方の中に各種サービスのabuse対応をされている方がいらっしゃいましたら、令状や照会書が真正なものであるのかについて対応前に重々確認するようお願い申し上げます。 情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 法廷 | 海賊行為 | インターネット |

関連ストーリー：
perl.comがドメインを乗っ取られる。ランサムウェア配布の可能性があるためアクセスしないよう警告 2021年02月02日
Microsoft Teams、サブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントの乗っ取り可能な問題を修正 2020年04月29日
ルーターのDNSを乗っ取り、COVID-19感染情報と称してダウンロードさせるマルウェア 2020年03月27日
Microsoftのサブドメイン、670件以上が乗っ取り可能な状態との調査結果 2020年03月07日
ドメイン名登録サービスVALUE-DOMAINの会員サイトに脆弱性 2016年04月11日
ネットのドメインの85%は乗っ取り攻撃から逃れられない 2006年04月29日

headless 曰く、MicrosoftはサポートされるすべてのWindowsバージョンに同梱された(Internet Explorer/レガシーEdge用の)Flash Playerを7月に削除する計画のようだ(Microsoft Edge Blogの記事、 Windows Centralの記事、 The Vergeの記事、 BleepingComputerの記事)。 MicrosoftはFlash Playerを削除する更新プログラム(KB4577586)をMicrosoft Update Catalogで昨年10月に提供開始し、2月には自動更新での提供を開始している。これまでKB4577586は単体の更新プログラムとして配布されていたが、今後は累積更新プログラムに組み込まれることになる。 まず、6月にはWindows 10 バージョン1809以降のプレビュー版累積更新プログラムにKB4577586が組み込まれ、以降の累積更新プログラムに含められる。7月にはWindows 10 バージョン1507/1607の累積更新プログラムやWindows 8.1/Server 2012/Embedded 8 Standardのマンスリーロールアップ/セキュリティのみの更新プログラムにもKB4577586が含められるとのことだ。

すべて読む | セキュリティセクション | インターネットエクスプローラ | ソフトウェア | アップグレード | セキュリティ | スラッシュバック | インターネット | Windows |

関連ストーリー：
iOSがFlashをサポートしなかったのはAdobeとAppleが力を合わせても残念な性能だったから 2021年04月29日
4月の月例更新プログラム、Windows 10からレガシー版Microsoft Edgeを削除 2021年04月17日
Windows 10の月例パッチに問題、特定のプリンター使用時にブルースクリーンが発生 2021年03月15日
火星の空飛ぶLinux 2021年03月12日
Microsoft、Windows 10標準のFlash Playerを削除する更新プログラムを自動更新で提供開始 2021年02月22日
南アフリカ歳入庁、Flash終了で業務に支障が出たので再有効化した専用ブラウザを用意 2021年02月05日
Firefox 85リリース、メジャーブラウザーの大半でFlashサポートが削除される 2021年01月29日
Microsoft、Flash PlayerをWindowsから削除する更新プログラムを提供開始 2020年10月30日

Microsoft Edge Canaryの最新版で、HTTPでのナビゲーション時に自動でHTTPSへ切り替える「自動HTTPS」オプションが使用できるようになっている(Ghacksの記事)。 このオプションを使用するには、「試験段階の機能 (edge://flags/)」「Automatic HTTPS」を「Enabled」に設定する。Microsoft Edgeを再起動すると設定画面の「プライバシー、検索、サービス」に「自動HTTPSを使用してセキュリティで保護された接続に自動的に切り替える」というオプションが追加され、機能のオン/オフのほか、すべてのWebサイトで常にHTTPからHTTPSに切り替えるか、HTTPSをサポートしている可能性が高いWebサイトでのみ切り替える(デフォルト)かを選択可能になる。 なお、動作を確認するにはHTTPSをサポートし、かつHTTPアクセス時にHTTPSへリダイレクトしないWebサイトを使用する必要がある。たとえばInternet Archiveや首相官邸、総務省統計局のWebサイトが該当するが、これらのサイトはHTTPSをサポートしている可能性が高いとは判定されなかった。常にHTTPSへ切り替えるオプションを選択すれば問題なく切り替えが行われるが、この設定ではHTTPSをサポートしないサイト(例: Vine Linux ML)にアクセスするとエラー画面が表示される。HTTPSをサポートしている可能性が高いと判定されるWebサイトを発見したらお教え頂きたい。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | インターネット | 暗号 |

関連ストーリー：
Microsoft、HTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加する計画 2021年05月01日
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
HTTPS Everywhereが自前ルールセットの更新を終了へ 2021年05月07日

英情報コミッショナー事務局(ICO)が英最高裁に対し、ユーザーが自分のデータをコントロールできなくなることを「損害」と認めなければデータ侵害を取り締まれなくなると示唆しているそうだ(The Registerの記事[1]、 [2]、 HackReadの記事)。 本件はGoogleがiPhoneのSafariでデフォルト設定のサードパーティcookieブロックを迂回し、ユーザーを追跡していたことについて2017年に提起された代表訴訟に関するものだ。一審では訴えが認められなかったが、二審で逆転したため、Googleが上告していた。ICOは訴訟当事者ではないが、代理人の弁護士が第三者として訴訟に加わっている。 オプトイン方式の日本の集団訴訟とは異なり、英国(イングランドとウェールズ)の代表訴訟は同じ損害を受けたすべての人を原告代表が代表する点で米国のクラスアクション訴訟に近いものだが、代表される全員がまったく同じ利害関係を持つ必要があるという。そのため、Google側はユーザー追跡による損害を受けた人が何人いるか確認しようがなく、訴訟は棄却されるべきだと主張しているとのこと。 しかし、ユーザーの意図に反してWebアクセスを追跡すれば、ユーザーが自分のデータをコントロールできなくなることになる。そのため、ユーザーの意図に反する追跡自体が損害と認められなければ、データ侵害が発生してもデータの悪用による被害が発生しない限り取り締まれなくなる、というのがICOの弁護士の見解のようだ。

すべて読む | YROセクション | 英国 | Google | セキュリティ | 法廷 | スラッシュバック | Safari | プライバシ |

関連ストーリー：
GoogleのFLoC、Chrome以外のメジャーブラウザーはサポートしない雰囲気 2021年04月19日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
2011～2012年の英在住iPhoneユーザーはGoogleから最大7.5万円受け取れる可能性 2017年12月04日
Google、SafariのサードパーティCookie問題で2250万ドルの制裁金を支払う方向へ。 2012年07月12日
米 Digital Advertising Alliance、ブラウザの「追跡拒否機能」サポートへ 2012年02月27日
Safariで意図せずGoogleのCookieがセットされる問題、MSも斜め上から非難 2012年02月22日

MicrosoftはHTTPでのナビゲーション時に自動でHTTPSへアップグレードする機能をMicrosoft Edge 92に追加すべく開発を進めているそうだ(Microsoft 365 ロードマップ、 On MSFTの記事、 BleepingComputerの記事)。 詳細は記載されていないが、セキュリティ向上のためHTTPSをサポートする可能性のあるドメインにHTTPでアクセスした場合、自動でHTTPSにアップグレードするオプションを追加する計画だ。さらにすべてのドメインでHTTPSアクセスを試行する設定も可能になるという。よりセキュアな接続を使用することで、中間者攻撃などを防ぐことが可能になる。なお、Microsoft Edge Canaryは既にバージョン92となっているが、オプションはまだ追加されていないようだ。 現在では多くのWebサイトがHTTPSをサポートしており、HTTPプロトコルを指定またはプロトコルを省略してアクセスした場合に自動でHTTPSにリダイレクトするWebサイトも多いが、Internet ArchiveのようにリダイレクトしないWebサイトもある。ブラウザー側でHTTPSへの自動アップグレードをサポートすればセキュリティは向上するが、エラー発生時の処理も必要となる。Google Chromeではプロトコルを省略してURLを入力した場合のデフォルトをHTTPSにする計画が進められている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | 暗号 |

関連ストーリー：
レガシーMicrosoft Edgeのサポートが終了 2021年03月11日
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
無料SSL「Let's Encrypt」のDSTルート証明書の有効期限、3年間延長へ 2020年12月23日
Microsoft、Microsoft Edge 85以降でSHA-1証明書の使用を可能にする新たな(かつ非推奨の)グループポリシーを追加 2020年09月02日
SSL/TLS証明書、9月1日以降の発行分は有効期間が実質1年間に。主要ブラウザの仕様変更で 2020年08月21日
Let's Encrypt証明書を使用しているWebサイト、Android 7.1以前の端末での閲覧に影響か 2020年08月12日
Safari、SSLサーバー証明書の有効期限を最大13か月間に短縮へ 2020年02月26日
Microsoft Edge Canary、自動HTTPSオプションのテストを開始 2021年05月05日

アカウント情報流出を確認できるWebサイト「Have I been pwned?」(HIBP)を運営するトロイ・ハント氏は4月27日、マルウェアEmotetにより盗み出された400万件以上の認証情報がHIBPで確認できるようになったと発表した(ハント氏のブログ記事、 HIBP - Emotet、 BetaNewsの記事)。 欧州刑事警察機構(Europol)に最も危険なマルウェアと呼ばれたEmotetだが、1月に各国の捜査機関が合同でサーバー差し押さえなどの作戦を実行し、4月25日には自己削除プログラムが起動して終息した。サーバー差し押さえの実行後、米連邦捜査局(FBI)がHIBPに連絡し、影響を受けた個人や企業に警告できないか相談したのだという。 これにより、Emotetのサーバーから押収した4,324,770件の電子メールアドレスとパスワードがHIBPで検索可能になった。これらの認証情報はEmotetが被害者のアカウントを通じてスパム送信に使用していた電子メールアカウントの認証情報と、Webブラウザーから収集したWebサイトの認証情報の2種類に分けられるとのこと。 HIBPが捜査機関からデータ提供を受けるのは今回が初めてではなく、2018年にはエストニア中央警察がデータを提供している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
最恐のウイルスと呼ばれた「Emotet」終息の日を迎える 2021年04月27日
警察庁などISPを通じてEmotet感染端末ユーザーへの警告を行うと発表。2月下旬から 2021年02月26日
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
マルウェア「Emotet」に無線LANネットワーク経由で拡散するタイプが発見される 2020年02月18日
トロイ・ハント氏、自身が運営する「Have I been pwned?」の買収先を探す 2019年06月14日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
フェチ・愛好家向けサイトから10万件以上の個人情報が流出 2016年05月25日

各メディアの報道によると、大手ゼネコンの鹿島建設の海外子会社がサイバー攻撃を受けて、取引先の情報といった機密情報が流出した可能性があるという。鹿島建設本体は28日にメディア向けにコメントを出しているようだが、今のところリリースは出していない（NHK、読売新聞、日経新聞）。 メディアの報道によれば、REvil（レビル）と呼ばれる犯罪グループにより、ダークウェブ上に取引先の収支計画書などが公開されているという。NHKによれば、大手テーマパークの運営会社との秘密保持契約書のほか、労働契約書、それにメールや取引先のリストなどが含まれているとしている。 このREvilは鹿島建設の情報を130万件盗んだと書き込んでおり、5月1日までに身代金を支払わないと売却するとの内容の犯行声明を出している模様。鹿島建設側は情報などの詳細を「当局の捜査に協力中」として明らかにしていないとのこと。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース | インターネット | 情報漏洩 |

関連ストーリー：
中国共産党員の男を書類送検。JAXAらのサイバー攻撃に関与の疑いで 2021年04月21日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
Exchange Serverの脆弱性「ProxyLogin」を悪用したゼロデイ攻撃で被害多発 2021年03月08日
北朝鮮、韓国に対して1日150万件ものサイバー攻撃を実施との報道 2021年02月02日
カザフスタン政府発行のルート証明書、中間者攻撃が判明して各社ブラウザーにブロックされる 2020年12月21日

headless 曰く、GoogleのCOVID-19接触通知システムで、プライバシーリスクにつながるデータがサードパーティーのプリインストールアプリから読み取れる状態になっていたそうだ(The AppCensus Blogの記事、 The Markupの記事、 The Vergeの記事、 SlashGearの記事)。 問題のデータは近くにいるユーザー同士が送受信する近接識別子「Rolling Proximity Identifier (RPI)」と、RPIを送ってきたユーザーのMACアドレスだ。GoogleのシステムではこれらのデータをAndroidのシステムログへ書き込むようになっていたという。ユーザーがインストールしたアプリはシステムログを読み取ることはできないが、プリインストールアプリは読み取り可能だ。発見者のAppCensusによれば、システムログ読み取りのパーミッションを得たプリインストールアプリは数多くあるようだ。 RPIは公開されるデータなので一見問題なさそうだが、MACアドレスと組み合わせて大量のデータを照合すればユーザー同士の相関図を作ることができる。また、RPIは10～20分ごとに更新されるものの、陽性者が保健当局に秘密鍵「Temporary Exposure Key (TEK)」を提供し、診断鍵として公開された場合、その陽性者に複数のRPIを結び付けることも可能になる。さらに、ユーザーに接触の有無を通知する際、そのデータもシステムログに記録されるとのこと。そのため、個人を特定可能なデータをログに記録しない、というAndroidのベストプラクティスをGoogle自身が守っていないとAppCensusは批判する。 AppCensusは今回の調査を米国土安全保障省(DHS)科学技術局(S&T)から受注して実施しており、この問題を2月に報奨金プログラムを通じてGoogleへ報告したという。しかし、Googleは報告を却下し、自らバグ報告後の修正期限として推奨する60日以上経過しても修正する様子がなかったため、倫理面について議論した末に開示を決めたとのこと。一方、Googleは報告を受けて数週間前に修正をロールアウトし、今後数日中に完了する見込みだとThe Markupに伝えたとのことだ。

すべて読む | ITセクション | Google | セキュリティ | 医療 | デベロッパー | Android | プライバシ |

関連ストーリー：
GMS非対応のHuawei製スマホにCOCOAは対応するべきか？ 2021年04月28日
厚労省がCOCOA不具合の調査結果を公表、認識不足や業者任せと指摘 2021年04月19日
英政府のCOVID-19接触通知アプリ、AppleとGoogleが規約違反で更新をブロック 2021年04月13日
厚労省、接触通知アプリCOCOAの業務体制を見直した結果、委託先を1社増加へ 2021年04月08日
接触追跡アプリCOCOA、APIへの対応がバージョン1に留まる。運用委託先は新年度から変更へ 2021年03月18日
COCOAのAndroid版に接触通知が送られない不具合。4か月間気がつかず 2021年02月04日
Google、診断鍵のダウンロードに問題が発生したCOVID-19接触通知システムを修正 2021年01月16日

あるAnonymous Coward 曰く、バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。 JPCERTによるとCVE-2021-3511：第三者により、当該機器の設定情報等を窃取されるCVE-2021-3512：第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行されるCVE-2021-20716：第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性といった、深刻な内容ばかりのようだ。 基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく使用を停止し、代替商品への買い替えを促している。 JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性 JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
Ciscoのルーターで多数の脆弱性が見つかる 2019年05月17日
家庭で使われている無線LANルータの83％に脆弱性、米NPO調査 2018年10月10日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日

内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー（FileZen）に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという（内閣府、piyolog、ITmedia）。今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、開発元において3月までに修正パッチの提供等所要の対応がとられました（同社から公表済み）。ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた（ソリトンシステムズ）。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。 あるAnonymous Coward 曰く、なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。 情報元へのリンク

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 | 情報漏洩 |

関連ストーリー：
9割の地域金融機関が営業担当者に個別のメールアドレスを設定していない。金融庁調査 2021年04月24日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日
「Rakuten Link」で個人情報と通信の秘密の漏洩、楽天モバイルに半年ぶり7度目の行政指導 2021年03月11日
ホンダでサイバー攻撃が発生か。リモート勤務ができないので有給推奨 2020年06月12日
前橋市教委のサーバーで発生した不正アクセスによる情報漏洩被害、管理委託先のNTT東は損害賠償の支払いを拒否 2020年02月21日
堺市、情報漏洩対策としてUSBポートをふさぐ 2016年02月13日
宮崎県えびの市民図書館利用者の個人情報もパスワードなしのFTPで公開状態になっていた 2010年10月01日
Dellのファームウェア更新プログラムに同梱されていたドライバーに脆弱性、500以上のモデルに影響 2021年05月07日

あるAnonymous Coward 曰く、各国現地時間の25日正午、世界各地で猛威を振るったマルウェア「Emotet」の自己削除プログラムが起動し、最恐と呼ばれたコンピュータウイルスが根絶された記念すべき日となった。 既報の通り、欧州刑事警察機構を中心とした欧米8か国の合同捜査チームが今年1月27日に「Operation LadyBird」を実行。ウクライナにある活動拠点とオランダにあるC&Cサーバの制圧に成功していた。この時、オランダの警察当局は押収したC&Cサーバから世界中のEmotetを無害化、さらに時限的な自己削除を行うプログラムを配信。Emotetの感染端末に別のマルウェアを注入する攻撃が確認されていたことから、感染端末を特定し、別途注入されたマルウェアを駆除するための猶予期間として、2021年4月25日12時00分が活動限界に設定されていた（ZDNet）。 なお、Emotetの感染拡大防止にあたっては海外の「Cryptolaemus」と日本の「ばらまきメール回収の会」という有志のグループが大きく貢献しており、後者についてはNHKが13日付でその活動を詳しく報じて讃えている（NHKニュース）。

すべて読む | セキュリティセクション | セキュリティ | ボットネット | インターネット |

関連ストーリー：
警察庁などISPを通じてEmotet感染端末ユーザーへの警告を行うと発表。2月下旬から 2021年02月26日
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 2020年11月20日
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウェア「Emotet」に無線LANネットワーク経由で拡散するタイプが発見される 2020年02月18日
セキュリティ上の問題が発生したドイツの大学、電子メールアカウント38,000件のパスワードを手渡しで再発行 2019年12月22日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日

headless 曰く、米連邦最高裁は22日、連邦取引委員会法(FTC法)第13条(b)は詐欺被害者への返金を詐欺師から確保する権限を連邦取引委員会(FTC)に与えていないとの判断を示した(Ars Technicaの記事、 The Registerの記事、 FTCの声明、 裁判所文書: PDF)。 この裁判は契約した7倍の利息を消費者に支払わせていたペイデイローン会社をFTCが訴えていたもの。第13条(b)はFTCが管轄する違法行為について、違法行為者への一時的な禁止命令や事前差止命令を出す権限をFTCに与えている。しかし、FTCでは過去40年にわたり、この条項で被害者への返金を確保してきたという。一審・二審ともにFTCの請求を認めていたが、連邦最高裁はFTCに権限がないと判断し、下級審へ差し戻した。 連邦最高裁の意見書では第5条と第19条で返金を確保することは可能だと指摘しつつ、議会が動けば容易に抜本的な解決が可能だと述べている。この判決についてFTC委員長代行のRebecca Kelly Slaughter氏は、FTCが消費者を助ける最も強力なツールを奪ったと批判する一方、被害にあった消費者を助ける権限をFTCに与えるよう議会に要請している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 法廷 | 政治 | アメリカ合衆国 | お金 |

関連ストーリー：
警察庁、SMS認証の代行業者の取締まり強化を全国の警察に指示 2021年04月23日
カナダの警察が飲酒運転を疑って停止させた車両、自動運転だった 2021年04月18日
松井証券口座から委託先企業のSEが不正引き出し。被害総額は約2億円 2021年03月25日
d払いの抜け穴を利用、約300万円相当のたばこをだまし取ろうとした詐欺未遂事件 2021年03月11日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
ジョン・マカフィー、暗号通貨関連の詐欺などで起訴される 2021年03月07日
ドコモ口座の不正出金容疑でグループの主犯格再逮捕。PayPayの不正入金にも関与 2021年01月08日
アイスキャンデー「ガリガリ君」の偽の当たり棒を製造元に大量に送った男が逮捕される 2021年01月07日