三重県の9月27日の発表によると、三重県立高校でメールを誤送信する問題が再発したという。最初の問題は、同校が9月19日に高校生活入門講座に参加登録した中学生421人に対してアンケートメールを送信。その際、BCCに記載するべきアドレスを宛先部分に誤って記載したことから、メールアドレスが漏洩。同校はこの問題を公表、謝罪していた。ところが同月26日に再び誤送信が発生しまったという（三重県リリース、Security NEXT）。

2回目の誤送信の原因は、学校の教頭が「Microsoft Outlook」の「メッセージの取り消し機能」を誤って利用していたことにある。この機能は、同一ドメイン内で同じ「Microsoft Exchange」環境を使用している場合、一部の条件下でメールを削除できるものだが、外部宛のメールには適用されない。この際、19日付メールの送信先全員に「このメールを取り消します」という内容が自動的に送信される仕組みが発動したことで、再びメールアドレスが漏洩した。学校側は対象者に謝罪し、誤送信したメールの削除を依頼しているという。

headless 曰く、

Cloudflare による保護のメカニズムを Cloudflare を用いてバイパスする手法について、発見した Certitude が解説している (Certitude Blog の記事、 Bleeping Computer の記事)。

Cloudflare を利用して Cloudflare のバイパスが可能になる原因は、すべてのテナントが利用可能な共有インフラストラクチャーにある。攻撃が成立するにはターゲットが特定の保護の仕組みを使用していることに加え、攻撃者がターゲットの IP アドレスを知っている必要はあるものの、攻撃者は Cloudflare でカスタムドメインを作成して DNS A レコードでターゲットの IP アドレスを指定するだけでいい。あとはすべての保護を無効化したカスタムドメインを通じて攻撃を実行すれば、ターゲットのオリジンサーバーを攻撃できる。

攻撃が可能になる問題を含む保護機能としては、トランスポート層の「Authenticated Origin Pulls」とネットワーク層の「Allowlist Cloudflare IP addresses」が挙げられている。前者は「非常にセキュア」と区分されているが、証明書のオプションで Cloudflare の証明書を選択すると攻撃が可能になる。顧客が自前で用意したカスタム証明書を使用することで攻撃は回避できるが、使用は API で設定する必要があり、多くの顧客が Cloudflare の証明書を選択していると考えられるとのこと。

「中程度にセキュア」と区分される後者の場合、Cloudflare の IP アドレス範囲からの接続のみをオリジンサーバーが許可することによる保護機能だ。そのため、Cloudflare を利用した接続はすべて許可されてしまう。攻撃は Cloudflare Aegis を使用すれば回避できるが、すべての顧客が利用できるわけではない。

Certitude は HackerOne 報奨金プログラムを通じて報告したが、Cloudflare が報告を緊急の対応を必要としない「参考になる (Informative)」と区分してバグをクローズしたため、一般公開することにしたという。Cloudflare に対しては、これらの攻撃から保護する仕組みの導入を推奨している。

headless 曰く、

Google が WebP コーデック (libwebp) のヒープバッファーフロー脆弱性を 9 月 22 日に CVE へ報告したが、CVE-2023-4863 と重複するとして数日後に却下された (CVE-2023-5129)。

この脆弱性は libwebp を使用する多数のアプリに影響するものの、Google は CVE-2023-4863 を Google Chrome における WebP の脆弱性として報告した (Internet Archive のスナップショット)。Google はプラットフォームによって WebP の実装が異なるため、Chromium 以外の製品への脆弱性の影響を判断できないなどと説明したが、他の製品が影響を受けないような印象を与えると批判を受けた。

そのため、CVE-2023-5129 は CVE-2023-4863 と同じ脆弱性を libwebp の脆弱性として報告するもので、詳細な動作の説明が添えられていた (Internet Archive のスナップショット)。しかし、CVE では 2 件を重複するものと判断して CVE-2023-5129 を削除。CVE-2023-4863 側は対象に libwebp を追加するのにとどまり、詳細な説明は参照できなくなっている。

GoogleのチャットAI「Bard」が、ユーザーの会話内容を共有する機能を追加したことで、その会話内容がGoogle検索にインデックスされ、公開されてしまう問題が発生している。検索エンジン最適化(SEO)コンサルタントのGagan Ghotra氏が指摘した（Gagan Ghotra氏のポスト、VentureBeat、GIGAZINE）。

曰く、共有された会話がGoogleのクローラーによって収集され、検索結果ページに表示されることを警告。個人情報などの機密情報が意図せず公開される危険性があるとしている。Google検索の広報担当者はこの問題に対し、共有会話がインデックスされるのは意図しないもので、修正作業が進行中であるとしている。Googleはrobots.txtファイルを使用して共有会話のインデックス化を制御する対策を実施した模様（Google SearchLiaisonのポスト）。

あるAnonymous Coward 曰く、

共有で誰でも見れる設定にしていてGoogleのクローラがURLを見つけてしまった場合、検索結果に載ってしまう模様。

site:bard.google.com/shareで検索すると、日本語を含むたくさんの質問結果が表示されている
https://www.google.com/search?q=site:bard.google.com/share

関連ストーリー
タスク管理ツール「Trello」を公開設定で使っている企業が多数見つかり漏洩騒ぎに
https://security.srad.jp/story/21/04/06/0411257/

警察庁は21日、「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」の報告書を発表した。この報告書は、サイバー脅威の指標、事例、警察の対策をまとめたもので、大きく分けて次の３項目で構成されている（サイバー空間をめぐる脅威の情勢等、令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について[PDF]）。

第1部では脅威の要点のほか、DDoS攻撃、クレジットカード不正利用、ランサムウェア被害などを、第2部では脅威の情勢ごとに指標や特徴を説明、第3部ではサイバー特別捜査隊の活動と検挙状況について取り上げている。特に最近ではDDoS攻撃やフィッシング被害、インターネットバンキングの不正送金被害が増加していることから、それに対する警察の対策なども紹介されている。具体的な被害データに関してはタレコミにあるような内容となっている。

takehora 曰く、

警察庁は、9月21日に「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を発表した。

クレジットカード不正利用被害額

- 436.7億円(令和4年)
- 121.4億円(令和5年Q1)

インターネットバンキングに係る不正送金

- 2322件29億9600万円(令和5年Q1)

脆弱性探索行為

- 8219.0件/1日1IPあたり
- 海外が大部分を占める

ランサムウェア被害

- 103件(令和5年上半期)

フィッシング報告件数

- 530,804件(令和5年上半期)

サイバー事案の検挙件数

- 1181件(令和5年上半期)

国立研究開発法人情報通信研究機構（NICT）は9月21日、業務委託先であるTBSグロウディアが、NICTのセキュリティ人材育成プログラム「SecHack365」の2023年度受講生の情報を含むノートPCを9月16日に紛失したことが判明したと発表した。TBSグロウディアは警察署に遺失届を提出したが、現時点でノートPCは見つかっていない（NICT）。

このノートPCにはSecHack365の2023年度受講生の氏名、フリガナ、受講コース・ゼミの情報が保存されている。ただ、情報漏洩対策がされていたため、情報の不正使用の兆候は確認されていないという。情報漏洩対策としては、以下の措置が取られていたという。

・OSのディスク暗号化機能の有効化とPINによるデータの保護
・OSへのログインパスワードの長さと複雑さの確保
・OSへの2段階認証の設定（トークンなどの紛失はない）
・商用のIT資産管理ツールの導入によるログ管理
・紛失時にノートPCがシャットダウンし、OSからログオフされていたこと

以上の措置により、情報漏洩の危険性は最小限に抑えられたが、引き続き対策の強化に努めるとしている。

ITmediaの記事によると、2021年にサービスを終了したNTTドコモのウォレットサービス「ドコモ口座」のドメイン「docomokouza.jp」が、購入可能な状態になっていたという。このドメインのリンクが現在でも金融機関などでリンクが掲載されているため、第三者の手に渡ると、詐欺サイトやドコモ口座を模倣したフィッシングサイトが作成されるリスクがある（ITmedia）。

フィッシングサイトに元々の本物のドメインが使用された場合、ブラウザのセキュリティ機能をすり抜けたり、パスワード管理ツールがIDやパスワードを自動入力したりする危険性も考えられる。このドメインは、ドコモ口座のサービスが終了した後に失効したと考えられ、このオークションは9月25日午後7時15分に終了した。132件の入札があり、最終的に402万円で落札されている（ITmedia）。

ugoo 曰く、

N-NOSE は尿サンプルから線虫が癌を判断する世界初のサービスである。開発会社によれば、線虫にはがん患者の尿の匂いを好む性質があり、患者尿には近づき、健常者の尿からは逆に離れていくという。その論文は Cancers や Oncotarget などに掲載された (論文一覧)。

しかし第 31 回日本がん検診・診断学会総会における「PET 検診と線虫検査」の研究発表によれば、信頼性に乏しいという。がんと診断されたばかりの 10 人の患者について、それぞれの患者尿で N-NOSE を受けたところ陽性判定はゼロ、全員が低リスク(陰性) の A または B 判定だったという (Newspicks の記事)。

なお、開発会社では N-NOSE の感度を 86.3% としている。

この手法はスラドでもたびたび取り上げられていた。

LTS 版 Linux カーネルのサポート期間が現在の 6 年間から 2 年間に戻されるそうだ (ZDNET の記事、 Ars Technica の記事、 Linuxiac の記事、 Linux Journal の記事)。

スペイン・ビルバオで開催された Open Source Summit Europe で Linux Weekly News の Jonathan Corbet 氏が明らかにしたもので、メインテナーに大きな負担をかけて誰も使わなくなった古いバージョンを更新する意味がないなどと説明したという。LTS 版カーネルのサポート期間は 2017 年に 2 年間から現在の 6 年間に延長されていた。現在サポートされている LTS 版カーネル 4.14 / 5.4 / 5.10 / 5.15 / 6.1 のサポート期間に変更はないが、今後の LTS 版カーネルのサポート期間は 2 年間となる。

個人情報保護委員会は13日、サーマルカメラの使用について注意喚起をおこなった。サーマルカメラを使用する場合、顔画像などの特定の個人情報を含む情報は「個人情報」に該当するとし、事業者に対して、サーマルカメラの使用や製造・販売において、個人情報保護法に関する留意点を示している（個人情報保護委員会、ScanNetSecurity、朝日新聞）。

主な注意点として挙げられている内容としては、サーマルカメラで取得したデータが特定の個人情報を検索できるように体系的に構成されている場合、それは「個人情報データベース等」とみなされる。サーマルカメラで個人情報を扱う場合、具体的な利用目的を本人に伝わるように告知することなどを案内している。

こうした告知をおこなうようになった背景には、コロナ禍で「サーマルカメラ」の利用が増加したものの、状況が一段落した後に使われなくなったサーマルカメラに、個人情報が入ったまま転売される事例が相次いだためとみられている（過去記事、その2）。

旧明石市立図書館の跡地利用に関する斎藤元彦知事と丸谷聡子市長の電話会話について、盗聴された疑惑が浮上しているという。会話内容を前市長の泉房穂氏がXでポストしたためだ。この問題について市は15日、情報漏洩の経緯を調査するため、庁舎内で盗聴器の有無を調べることを発表した（神戸新聞NEXT）。

市の説明によれば、丸谷市長は11日午後、庁舎内の応接室で斎藤知事からの電話を受け、受話器で会話をした。このとき部屋には高橋啓介政策局長のみがいたが、高橋局長は「知事との電話の件は話さなかった」と説明。丸谷市長も本会議で「泉氏とは話していない」と述べていた。

このため委員会は、2人でなければ盗聴器の可能性もあるとして、市は「業者を入れて盗聴器の有無を調査し、他に知り得た者がいるか聞き取り調査し、その結果を報告するとの方針を示しているという。

headless 曰く、

Abnormal Security の調査によると、ナイジェリア詐欺でも生成 AI が活用されるようになっているそうだ (Abnormal Security のブログ記事、 Beta News の記事)。

ナイジェリア詐欺は主にナイジェリアを舞台とし、当局に凍結された大きな資金の移動への協力を求める電子メールなどによる詐欺の手口だ。Abnormal Security によると、これまでのナイジェリア詐欺メールではスペルミスや文法ミスが多くみられたが、最近では生成 AI を使用したとみられるミスのない文面がみられるようになったという。

また、ナイジェリアや周辺のアフリカ諸国にとどまらず、国連やウクライナ、スイス、米国などの人になりすました同様の内容の詐欺メールも増えているとのこと。その一方で従来のスペルミスや文法ミスを含む詐欺メールも並行して送られており、犯罪組織がテクノロジーをテストしている様子がうかがえるとのことだ。

AC0x01 曰く、

ドイツの研究者が人工衛星のサイバーセキュリティの現状を分析したところによると、現役の衛星の中にも適切なセキュリティ対策が施されていないとみられるものがあることが明らかになったという（UchuBizの記事）。

人工衛星のセキュリティ対策はもともと、そもそも人工衛星と通信することは難しく、そのアクセス手段なども知られていない、ということを前提とした「隠蔽によるセキュリティ」に頼ってきた傾向があるという。しかし今日では、超小型衛星やキューブサットを中心にオープン化したコンポーネントが用いられ、また教育機関などで衛星開発についてかかわった人も増えてきていることから、こうした過去の常識が通用しなくなっているとのこと。

今回の調査ではキューブサットに提供されている既存のファームウェアの脆弱性をエミュレータで調査。結果は任意コードの実行が可能で、外部から制御を奪うことが可能だったという。また衛星エンジニアへのアンケート調査では、セキュリティ対策をしているとの回答は約半数（17機中9機）に留まり、その他は対策されていないや分からないといった回答が寄せられたとのこと。また実施しているセキュリティ対策も、「プロトコルの隠蔽」と「プロトコルの暗号化」が半々で、隠蔽に頼った対策が現在でも多く取られているようだ。

ビジネスソフトウェア構築プラットフォームを提供する Retool がスピア型のフィッシング攻撃を受けたのだが、Google Authenticator によりその被害が大きくなったそうだ (Retool のブログ記事、 Ars Technica の記事、 Bleeping Computer の記事)。

複数の Retool 従業員は 8 月 27 日、ユーザーアカウントの問題で健康保険関連の登録が妨げられているといった内容のフィッシング SMS を受信する。社内ログインシステムの Okta への変更が告知された直後であり、社内ポータルに似せた偽の URL が添付されていたそうだ。一人だけ騙された従業員が多要素認証 (MFA) フォームを含む偽ポータルにログインすると、ディープフェイクボイスで社員になりすました偽の IT スタッフから電話がかかってくる。話をする間に従業員は疑いを深めていったものの、結局ワンタイムパスワード (OTP) を教えてしまったという。

OTP を入手したことで攻撃者は自分のデバイスを従業員の Okta アカウントに追加することが可能となり、Google アカウントにもアクセス可能となる。Google は Google Authenticator を複数デバイスで利用可能にする OTP 同期機能を 4 月に追加しており、普通にセットアップすると同期が有効になるよう誘導される。同期を有効にした状態で Google アカウントが侵害されれば、OTP コードもすべて侵害されることになる。

Retool ではさまざまな場面で OTP を使用しており、攻撃者は内部の管理システムにもアクセス可能になったという。これにより、27 の顧客アカウントも乗っ取りの被害にあったとのことだ。

14日頃からSNS上で多くのユーザーが「Amazon.co.jpを不正利用された」との報告が出ているという。一部の被害者は「Amazonギフトカードを大量購入された」または「二段階認証を設定していたにもかかわらず、それを突破された」と話している。中でも注文履歴が非表示にされ、被害者が不正利用に気付かないままクレジットカードの請求が届いたという報告もあったことが注目されている（ITmedia、Togetter）。

この被害者がAmazonのサポートに問い合わせたところ、似たような事例が多発していると説明されたという。最終的に被害額は全額返金されたと報告されている。Amazonはセキュリティ対策の一環として二段階認証機能を提供しているが、何らかの手段を使って二段階認証を突破されるケースが相次いでいる模様。また、不正利用分の購入履歴が非表示になることも共通しており、攻撃者はこれを利用して被害の発覚を遅らせている可能性があるとしている。