東海大学の研究者らが行った新たな研究によれば、最大100メートル離れた場所からQRコードに不可視光レーザーを照射することで、偽装QRコードを作成、悪性サイトへの誘導する攻撃が可能であることが分かった。この攻撃は、肉眼では見えないレーザー光を使用し、QRコードを書き換えることにより、悪性サイトへのURLを表示させ誘導するというもの（ITmedia）。

今回の研究では、10～100メートルの距離からレーザーを照射するテストを実施。100メートル距離の実験では、50メートル地点に鏡を設置し、レーザー光を折り返して照射した。使用されたレーザー光の波長は、635nmと785nmの2種類。QRコードを通常通り読み込むとURL1（正規サイト）にアクセスし、攻撃が成功するとURL2（悪性サイト）に誘導される。

実験の結果、635nmと785nmの波長で、10メートル、20メートル、30メートル、40メートルの距離ではURL2が読み込まれた。しかし、50と100メートルの距離では、URL1とURL2が交互に読み込まれたとしている。

大阪市在住の26歳の中国籍の女性が自宅で在留カードとマイナンバーカードを偽造していたとして逮捕された。警視庁による偽造マイナンバーカードの工場の摘発はこれが初めてだという。容疑者は在留カード13枚とマイナンバーカード9枚を偽造した疑いが持たれている。警視庁が押収したパソコンからは約3000件の偽造カードの画像などのデータ等が見つかり、容疑者は出入国管理法違反と有印公文書偽造の疑いがかけられている（NHK、テレ朝news、TBS NEWS DIG）。

容疑者は2023年6月ごろから1日に1万2000円から1万6000円の報酬を得ながら偽造を繰り返していたとされる。自宅からは750枚の偽のICチップが付いた未印刷のカードも発見されたとのこと。警視庁は国際的な犯罪組織が容疑者に偽造させていた可能性もあるとみている。

11月26日にイエメン沖のアデン湾でタンカーがソマリア人と見られる武装勢力によって乗っ取られるという事件があった。その際、アデン湾で海賊対処の任務にあたっている海上自衛隊の護衛艦「あけぼの」と哨戒機が情報収集を実施していたが、その際、米軍から弾道ミサイルが発射されたという情報が寄せられ、護衛艦から18キロ以上離れた海域に落下したとみられることが28日に判明した（NHK）。

NHKの報道によると、護衛艦は発射の情報を受けたあと、速度を最大近くの時速およそ55キロまで上げて現場海域から離脱したとしている。海上自衛隊は「安全上の懸念はない」として、海賊対処任務を継続する方針。イージス艦があれば弾道ミサイルを追尾して迎撃可能だが、これまで海賊対処の任務にイージス艦が派遣されたことは無いという。防衛省はイージス艦は北朝鮮の弾道ミサイルへの対応が主なため、アデン湾への派遣は困難であると述べている。

headless 曰く、

ニフティが同社をかたるフィッシングメールに注意喚起している (ニフティのお知らせ)。

ニフティをかたるフィッシングメールは主にメールの使用状況や支払い方法変更を促すもので、明らかに言葉遣いが不自然なものから、本物のニフティのメールをコピーしたものまで様々だ。本物の見分け方としては、ウェブメールで差出人名の先頭にニフティのマークがあれば本物だと紹介されている。ただし、このようなフィッシングメールはニフティのシステムを通過してユーザーに届いているので、ユーザーに注意喚起する前にもう少し対策できないものかと思う。

たとえば差出人名が「Nifty ○○」で、プロバイダー他社のドメインの電子メールアドレスから送信されたメールは迷惑メールに振り分けられることもなく、当然のように受信トレイに配信される。個人的にはニフティユーザーでメールを Gmail と Outlook に転送して利用しているが、こういったメッセージを転送先の受信トレイで目にすることはない。

スラドの皆さんはプロバイダーのメールを使用しているだろうか。プロバイダー側のフィッシング対策はいかがだろう。

バラクーダネットワークスジャパンは27日、悪意のあるボットが一般家庭のIPアドレスを利用してセキュリティブロックを回避し、攻撃を行っているとのレポートを発表した（バラクーダネットワークスジャパン発表、ScanNetSecurity）。

レポートによると、悪意あるボットが一般家庭のIPアドレスを使用することでセキュリティブロックを回避し、攻撃を行っていることが明らかになったという。そのIPを割り当てられたユーザーの多くは、悪意のある活動に使用されたとしてIPにレッドフラグが立てられ、GoogleやCloudflareからのCAPTCHAをパスできなくなる状況に陥っているとレポートは指摘している。

読売新聞の記事によれば、JAXAが夏頃にサイバー攻撃を受け、中枢サーバーに不正アクセスを受けていたことが判明したそうだ。これにより宇宙開発に関する機密情報が閲覧された可能性があるという（読売新聞）。

警察が秋に不正アクセスを察知し、JAXAに通報したことで発覚した。JAXAはそれまで攻撃に気づいていなかったという。関係者によれば、大半の情報が見られる状態だった恐れが強いとしている。非常に深刻な事態だと述べている。JAXAは政府や警察と連携し、情報漏洩の実態解明とネットワークの脆弱性を調査する方針。

headless 曰く、

ウイルスに感染したなどと偽の警告画面を表示して連絡させ、サポート名目で金銭をだまし取るテクニカルサポート詐欺(サポート詐欺)の被害が国内で増加しているそうだ (読売新聞の記事、 みんゆうNet の記事、 福島民報の記事、 西日本新聞の記事 [1]、 [2])。

国内での逮捕者は昨年が初とされるが、国民生活センターの集計によれば、本年度は 10 月末時点で相談件数が 3,573 件に上り、過去最多の 2021 年度を超える勢いだという。本年度の被害額は 10 月末時点で約 2 億 4 千万円。過去最高の 2022 年度 (約 5 億 9 千万円) よりも遅いペースだが、警察庁の最新の統計では架空請求詐欺の手口の半数近くを占めるとのこと。

偽サポート料金の支払い手段は電子マネーが主流だが、コンビニなどでの購入は店員の声掛けなど被害防止策が強化されたことを受けて、オンライン購入に移行しているようだ。修理に必要としてインストールさせた遠隔操作ソフトを用い、電子マネー購入時にゼロを追加して高額な支払いを行わせる手口もみられるとのことだ。

LINEヤフーは27日、第三者による不正アクセスにより、ユーザー情報や取引先情報が漏えいした可能性を発表した。個人情報302万569件（うち日本ユーザー129万894件）が含まれている。個人情報の内訳は、LINEユーザーの内部識別子に関する情報などが含まれている（LINEヤフー発表、時事ドットコム、Impress Watch）。

問題の原因は、NAVER Cloudの委託先企業のPCがマルウェア感染し、その企業が旧LINE社のシステムへのネットワーク接続を許可していたことにある。LINEヤフーは10月9日に不正アクセスがあったことを把握。10月27日に外部からの不正アクセスがほぼ確実と判断、被害状況の把握と拡大の抑止の対応を実施し、関係省庁には適宜、状況の報告をしたとしている。

漏えいした情報には口座情報やクレジットカード情報は含まれず、今後、二次被害のリスクがあると評価されたユーザーや取引先に個別に連絡する予定としている。

不正に改変したウェブページを通じて偽のブラウザーアップデートをダウンロードさせる ClearFake キャンペーンはこれまで Windows ユーザーをターゲットにしていたが、Mac ユーザーを対象にしたものが登場した (Malwarebytes のブログ記事、 9to5Mac の記事)。

Mac 版の ClearFake キャンペーンは Apple SafariやGoogle Chromeの偽アップデートをダウンロードさせるものだ。Safariの偽ダウンロードページに掲載されているアイコンは古いデザインだが、サポートページへのリンクもあり、ダウンロードファイルの説明も本物らしく見える。しかし、ダウンロードした.dmgファイルの内容はAtomic macOS Stealer (AMOS) と呼ばれる情報収集型マルウェア(stealer)だという。

AMOSはパスワードやキーチェーンのほか、さまざまなファイルを収集してサーバーに送信する。今春初めて発見され、9月にはGoogle検索を通じた不正広告キャンペーンで配布されていた。

headless 曰く、

Blackwing Intelligence が Windows Hello 指紋認証を用いるノート PC の指紋センサーを調査し、指紋認証の突破に成功したそうだ (Blackwing Intelligence のブログ記事、 The Verge の記事、 Ghacks の記事、 Bleeping Computer の記事)。

Windows Hello 指紋認証ではチップ上に指紋データを確認して認証を行う Match on Chip (MoC) と呼ばれる指紋センサーを用いる。MoC では指紋データがホストに送られることはなく、バイオメトリック情報の盗難を懸念する必要もない。MoC 自体にはセンサーのなりすましを識別する機能が搭載されていないが、指紋センサーのセキュリティを確実にする Secure Device Connection Protocol (SDCP) も用意されている。

Blackwing Intelligence は Microsoft Offensive Research and Security Engineering (MORSE) の依頼を受け、Dell Inspiron 15 と Lenovo ThinkPad T14、Microsoft Surface Pro 8 (指紋センサー搭載タイプカバー) を調査。3 機種はそれぞれ指紋センサーも実装も異なるが、最終的にはなりすましの指紋センサーで認証を突破できたという。なお、SDCP が完全にサポートされ、有効になっていたのは Inspiron 15 のみ。ThinkPad T14 と Surface Pro 8 では SDCP が使用できなかったとのことだ。

あるAnonymous Coward 曰く、

朝日新聞の記事によると、11月23日夜、岸田文雄首相が、急遽移動し、首相官邸に近いホテルに宿泊したそうだ。

関係者によると、首相公邸の設備不具合が理由で、詳細は安全上の理由から明らかにできないそうだ。夜になってから首相が急遽移動して、ホテルに泊まるのは極めて異例らしい。

政府が2026年に導入予定の新しいマイナンバーカードの概要が明らかになった。読売新聞の記事によれば、新しいカードでは、ICチップに組み込まれた電子証明書の有効期間が現行の5年から10年に延長される。マイナンバーカードは本人確認手段として広く利用されているため、カードの券面には氏名、生年月日、住所、顔写真が引き続き記載される。ただ、性的少数者への配慮を求める声が出ていることから、性別は記載されない方向で検討されているという（読売新聞）。

非公開の作業部会が21日、中間骨子案をまとめた。政府はパブリックコメントを募り、年内に中間取りまとめを行う予定。電子証明書はオンラインの行政手続きで使用され、更新時は役所などに出向く必要があるが、カードと有効期間を合わせることで更新が1回で済むようになるとしている。

headless 曰く、

ALPHV/BlackCat として知られるランサムウェアグループが攻撃を実行した企業について、重大なサイバーセキュリティインシデント発生時の開示義務を怠っていると米証券取引委員会 (SEC) に報告したそうだ (DataBreaches.net の記事、 Ghacks の記事)。

ALPHV によれば 11 月 7 日、金融機関向けにデジタルレンディングプラットフォームを提供する MeridianLink を攻撃し、ファイルの暗号化は行わずにファイルを盗み出したという。ALPHV は MeridianLink がその日のうちに攻撃を察知してパッチを当てたと主張している。ALPHV が 15 日までに行った SEC への報告では、重大なサイバーセキュリティインシデント発生後 4 営業日以内に義務付けられている Form 8-K での報告を MeridianLink が行わなかったと主張しているとのこと。

一方、MeridianLink では投資家向けページで 15 日に発表した第 1 報でサイバーセキュリティインシデント発生を報告し、本番環境のプラットフォームへの不正アクセスはなく、業務への影響は最低限だったと説明した。20 日の第 2 報では非特権ユーザーアカウントへの不適切なアクセスを 10 日に確認したこと、攻撃者は同社のネットワークやサーバーなどにはアクセスしておらず、ランサムウェアやマルウェアの侵入もないことなどを追記している。

両者の主張するサイバーセキュリティインシデント判明日は異なっており、MeridianLink の主張する 11 月 10 日であれば、15 日が 4 営業日目となる。ただし、SEC の Form 8-K による報告義務付けルールが発効するのは 12 月 18 日であり、現時点で報告は義務付けられていない。ALPHV が DataBreaches.net に提供した SEC の応答も自動返信によるものであり、ルール違反が確認されたわけではないようだ。

headless 曰く、

NordPass が 2023 年版の流出パスワード トップ 200 を公開している (Top 200 Most Common Passwords、 The Register の記事)。

今回のランキングは外部リサーチャーの協力を得てダークウェブを含むさまざまなソースから抽出した流出パスワードのデータベース 4.3 TB を調査したもので、35 か国分のデータが含まれる。日本のデータは昨年も少なかったが、今年は含まれていないようだ。

昨年のランキングでは何年も1位を維持していた「12345」「123456」といったパスワードを抑えて「password」が 1 位となっていたが、今年は昨年 2 位の「123456」が 1 位に復帰した。「password」は 7 位に後退しており、過去 4 年間のランキング (PDF) に入っていなかった「admin」が 2 位となっている。

パスワードのクラックに要する時間でみると、139 件が 1 秒未満でクラック可能とされる。クラックに時間がかかるパスワードは 173 位の「theworldinyourhand」が数世紀、54 位の「admintelecom」が 23 日、56 位の「123meklozed」が 12 日、151 位の「undefined」が 16 時間となっている。

これらのクラックに時間がかかるパスワードは過去 4 年間のランキングには入っていないものばかりだ。このほか、過去 4 年間のランキングに見られないパスワードとしては、1秒未満でクラック可能な「*」の羅列が (19 位「********」、27 位「******」、52 位「**********」、63 位「*************」) が目立つ。

headless 曰く、

Electronic Frontier Foundation (EFF) が Amazon.com で販売されていた子供向けタブレット製品を調べたところ、複数の怪しいソフトウェアがプリインストールされていたとして注意喚起している (EFF のブログ記事、 HackRead の記事)。

この製品は Dragon Touch の KidsPad Y88x 10 という子供向け 10 インチタブレットで、既に製品ページは削除されている。7 インチモデルは現在も販売されているが、10 インチモデルの OS が Android 9 Pie なのに対し、7 インチモデルは Android 12 と新しく、プリインストールソフトウェアも異なる可能性がある。Amazon.co.jp でも 7 インチモデルは販売されていたが、こちらは Android 10.0 となっている。

最初に挙げられているのはマルウェア Corejava の痕跡だ。このタブレットには Corejava のディレクトリが存在し、初回起動時に Corejava の C2 サーバーにリクエストが送られたという。ただし、EFF がタブレットを最初に起動した 2023 年 5 月の時点で C2 サーバーは停止しており、現在のところペイロードが送られてくることもない。

また、このタブレットではデバイスを子供向けに変える KIDOZ アプリのプリインストールが売りになっている。KIDOZ アプリは米児童オンラインプライバシー保護法 (COPPA) 認証済みとされているが、プリインストールされているバージョンは古いもので、情報を広告サーバーに送るような古いアプリを含むアプリストア機能が搭載されている。そのため、このバージョンは 5 つのセキュリティベンダーがアドウェアと認識しているが、アプリストア機能の削除された最新バージョンでは 2 ベンダーに減少する。

このほか、過去にマルウェアであったこともある Adups アプリの「クリーンなバージョン」もファームウェア更新ソフトウェアとしてプリインストールされているとのこと。ただし、アプリにはシステムレベルのパーミッションが付与されており、Adups のサーバーから何でもインストールできるため、不安が残る。また、アプリのアンインストールや無効化は容易でなく、デバイスをファクトリーリセットすれば復活するとのことだ。