Medtronicのインスリンポンプで近距離から認証なく無線アクセス可能な脆弱性(CVE-2019-10964)が見つかり、米国ではリコールが行われている(Medtronicのお知らせ、 ICSMA-19-178-01、 The Registerの記事、 SlashGearの記事)。

対象となるMiniMed 508およびMiniMed Paradigmでは無線を使用して血糖値モニターなどに接続する機能が搭載されているが、適切な認証の仕組みが実装されていない。攻撃者は脆弱性を悪用することで、近距離から無線アクセスして設定変更やインスリン投与の制御が可能になる。インスリンが過剰に投与されれば低血糖症、インスリン投与量が不足すれば高血糖症や糖尿病性ケトアシドーシスを引き起こす可能性がある。

米国内で利用する患者および医療関係者に対しては脆弱性のない製品への交換が呼びかけられており、米国外の利用者に対しては各国・地域に合わせた手順を含む通知が送られるとのこと。一部の機種では特定のソフトウェアバージョンにのみ脆弱性が存在するものの、ソフトウェア更新では対応できないようだ。

このほか、すべての利用者に対し、インスリンポンプ及び接続した機器を常に制御下に置くこと、シリアル番号を他人に知らせないこと、ポンプからの通知や警告に注意を払うこと、意図しない投与はすぐキャンセルすること、などの対策が推奨されている。

FireEyeの2019年第1四半期分Email Threat Reportによると、信頼されるクラウドストレージ・ファイル共有サービスを攻撃用ファイルの保存先として利用し、リンクを電子メールに記載する攻撃が急増したそうだ(プレスリリース、 On MSFTの記事、 Bleeping Computerの記事)。

攻撃者はユーザー数が多く信頼されるファイル共有サービスを選択することで、セキュリティソフトウェアによるドメインの信頼性チェックを通過できる。サービスによってはファイルのプレビュー機能を提供するものもあり、攻撃を効率化するだけでなく検出を困難にしているとのこと。このような攻撃で最も多く使われているのはDropboxだが、OneDriveが2018年第4四半期比で数十倍に急増。その結果、WeTransferやGoogle Driveを上回り、Dropboxに次いで攻撃用に使われるサービスとなっている。

Anonymous Coward曰く、

世界各国のIT企業や政府に対しサイバー攻撃を行っていた中国政府の支援を受けたサイバー犯罪集団「APT10」が、富士通やNTTデータに対しても攻撃を行っていたとロイターが報じている（英語版Reutersの詳細記事、ウォール・ストリート・ジャーナル、CNET Japan）。

APT10に対しては昨年末に外務省などが警戒を呼びかけていたが（日経xTECH、ZDNet Japan）、FIREEYEによると米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁が攻撃対象と見られている。

ロイターによると、昨年12月時点で米ヒューレット・パッカード・エンタープライズが攻撃に遭っていたことが判明。その後、今回、富士通やNTTデータ、印タタ・コンサルタンシー・サービシズ、南アのディメンションデータ、米コンピュータ・サイエンス・コーポレーション、DXCテクノロジーにも不正侵入が行われたという。

headless曰く、

オーストラリア連邦科学産業研究機構（CSIRO）とシドニー大学の研究グループが2年間かけて実施した調査によると、Google Playで公開されている偽アプリの1割以上はマルウェアを含む可能性があるようだ（シドニー大学のニュース記事、The Next Web、論文アブストラクト、論文PDF）。

Google Playでは人気アプリの偽物がたびたび発見されているが、研究グループはアプリアイコンを学習した畳み込みニューラルネットワークによるコンテンツとスタイルのマルチモーダル埋め込みを用いた偽アプリ検出方法を提唱している。この手法でGoogle Playで公開されているアプリ120万本以上のアイコンを使用して調査したところ、人気上位アプリ10,000本の偽物の疑いのあるアプリ60,638本を検出。そのうちAPKを入手できたアプリ49,608本をVirusTotalでスキャンした結果、アンチウイルスツールの少なくとも5本がマルウェアの可能性があるとタグ付けしているものが2,040本あったそうだ。

このうち1,565本ではオリジナルのアプリが要求しない5件以上の危険なパーミッションを要求しており、1,407本はサードパーティー製の広告ライブラリー5件以上が追加されていたとのこと。なお、少なくとも1本のアンチウィルスツールがマルウェアの可能性があるとタグ付けしていたアプリ7,246本のうち、論文執筆時点では3,358本がGoogle Playで入手できなくなっているという。研究で用いた手法は既存の手法と比べ、高い効率で偽アプリを検出可能とのことだ。

Anonymous Coward曰く、

昨今ではCPUのキャッシュ機構を悪用するサイドチャネル攻撃手法がたびたび発見されているが、OpenSSHがこういった攻撃への対策として暗号鍵をメモリ内で暗号化する手法を導入するとのこと（OpenBSD Journal、マイナビニュース）。

新たな緩和策では、16KBの原始鍵（prekey）がメモリ上に置かれ、通信に用いる秘密鍵などの鍵はこの原始鍵によって適宜暗号化・複号される。理論上はこの鍵もMeltdownやSpectreなど一連のサイドチャネル攻撃によって盗み出すことが可能だが、データ量が大きく、また求められる精度が高くなるため、攻撃の脅威が緩和される仕組み。

アナウンスは「願わくば数年のうちに計算機設計が多少は非安全でなくなり機能が除去できることを」と締めくくられている。

headless曰く、

GeekWireが入手した「Microsoftが日常業務で禁止または非推奨としているソフトウェア・オンラインサービス」のリストによると、コラボレーションツールのSlackや文法チェックツールのGrammarly、Kasperskyのセキュリティソフトウェアが禁止のカテゴリーに含まれるそうだ（GeekWire、The Verge、BetaNews、On MSFT）。

記事によれば、禁止のカテゴリーに含まれるものはITセキュリティや企業秘密保護の観点が第一に考慮されているという。たとえばSlackの場合、Slack FreeとSlack Standard、Slack PlusはMicrosoftの知的財産（IP）を適切に保護するために必要な手段が与えられていないとして使用を禁ずる一方、Slack Enterprise GridはMicrosoftのセキュリティ要件を満たすものの競合ソフトウェアを使用するよりもMicrosoft Teamの使用を推奨するとなっている。Grammarlyについては、電子メールやドキュメント内のInformation Rights Management（IRM）で保護されたコンテンツにアクセス可能であることから、機密情報が外に漏れる可能性があるという理由で使用を禁じている。

記事ではこのほか、非推奨のソフトウェア・オンラインサービスとしてGitHubやAmazon Web Services、Google Docsを挙げている。Amazon Web ServicesとGoogle DocsはMicrosoft製品と競合することが非推奨の理由で、使用するには正当な理由が必要とされているとのこと。Microsoft傘下のGitHubについてはクラウド版（GitHub.com）のみが対象で、機密度の高い情報やコードなどを保存しないように注意を促している。そのため、オンプレミス版のGitHubについてはリストに掲載されていないとのことだ。

Anonymous Coward曰く、

タンカー攻撃やその後の無人機撃墜など、緊張が高まるばかりのイラン情勢であるが、米サイバー軍がイランへの報復攻撃を行ったことが報じられている（CNN、AFP、時事通信）。

イラン周辺では、13日に日本などのタンカーが何者かの攻撃を受けたほか、20日には米空軍の無人偵察機グローバルホークがイランの革命防衛隊により撃墜されている（米側は国際空域を飛行、イラン側は領空侵犯と主張）。トランプ大統領は報復として、米軍のイランへの軍事攻撃を承認したものの、無人機撃墜に対する報復としては過剰であるとして攻撃10分前にに撤回したと報じられており、まさに一触即発の状態にある。

一方で、ワシントンポスト等が報じたところによると、米サイバー軍の攻撃は撤回はされなかったようで、サイバー攻撃によりイランのミサイル制御コンピュータが機能不全に陥ったほか、タンカーの追跡に用いられたというイランのスパイ組織に対しても攻撃が行われたという。死傷者は出ていない模様。

ただし、米国土安全保障省のサイバーセキュリティー部門責任者によると、そもそもイラン政府や関連組織によるとみられる米政府機関や企業や狙ったサイバー攻撃も相次いでいるのだという。最近はデータや資金を盗むだけでなく、コンピュータ網を破壊するような手口も目立つということで、イラン側の動きに注視しているとのこと。

NASAのジェット推進研究所（JPL）で、ネットワーク内に無許可で設置されていたRaspberry Pi端末を経由した外部からの不正アクセスがあり、それによってJPL内の多数のデータにアクセスされるという事件が発生していたことが明らかになった（ITmedia）。

この端末は2018年4月に接続されたもので、使用目的やその設置者は不明だという。

JPLのネットワークではネットワーク内に接続する端末をデータベースに登録して管理するルールだったが、問題の端末は登録が行われていなかったという。また、それ以外にもNASAのシステムではセキュリティ的な問題が多数存在しているとも指摘されているそうだ。

NASAに対しては、昨年サイバー犯罪集団による攻撃のターゲットになっているとの報道があった（CNET Japan）。

先日、東京オリンピックのチケット抽選申込み結果が発表されたが、それに乗じた詐欺メールが出回っているそうだ（朝日新聞、NHK、産経新聞）。

大会組織委員会からの正式なメールでは抽選結果と当選枚数、支払い金額のみが記されており、詐欺メールを防ぐため公式サイトのURLや問い合わせ電話番号は記載されていないという。そのため、メール内にURLなどが記載されているものは偽メールだそうだ。

また、TVでは『「tokyo2020」のドメインで送られてくれば本物』などと紹介されたそうだが、メールの送信元アドレスはいくらでも詐称できるため、これでは判別できないため注意したい（Togetterまとめ）。

Appleは20日、15インチMacBook Proバッテリー自主回収プログラムを開始した(プレスリリース)。

対象は主に2015年9月から2017年2月の間に販売された15インチMacBook Pro(Retina, 15-inch, Mid 2015)で、バッテリーが過熱して防火安全上の問題が発生する(つまり発火する)可能性があるとのこと。該当モデルの場合はシリアル番号を自主回収プログラムのページで入力すれば対象かどうかを確認できる。自主回収プログラムの対象になる場合、Apple正規サービスプロバイダまたはApple直営店、Appleサポートで修理を依頼すれば無償でバッテリー交換が行われる。

Dell製PCの多くにプリインストールされているサポートツール「Dell SupportAssist」に存在する、DLLハイジャックの脆弱性(CVE-2019-12280)が公表された(DSA-2019-084、 SafeBreachの記事、 The Next Webの記事、 BetaNewsの記事)。

Dell SupportAssistでは4月にも不適切なオリジン検証の脆弱性(CVE-2019-3718)とリモートコード実行の脆弱性(CVE-2019-3719)が公表され、Dell SupportAssist Client バージョン3.2.0.90で修正されている(DSA-2019-051)が、今回の脆弱性はサードパーティー製のPC-Doctorモジュールに存在するものだ。

脆弱性のあるPC-DoctorではDLLの安全な読み込みや署名の検証が行われないため、システムのPATH環境変数で指定されたディレクトリーから任意の無署名DLLを読み込ませることが可能だという。PC診断ツールのPC-DoctorはローレベルのハードウェアにアクセスするためSYSTEMの権限で実行されており、悪用することで権限昇格も可能となる。脆弱性を発見したSafeBreach Labsでは、物理メモリの任意アドレスからデータを読み取るPoCを作成している。ただし、PC-Doctorのプレスリリースでは、管理者権限のないユーザーが書き込み可能なフォルダーをシステムのPATH環境変数で指定する必要があることから、実際に攻撃に使われる可能性は低いとの見解を示している。

脆弱性は開発元のPC-Doctorが直接提供するPC-Doctor Toolbox for Windowsのほか、他社ブランドで提供されているOEM製品にも存在するが、PC-DoctorがDellを通じて脆弱性を通知されたのは5月21日のことであり、既に修正版がリリースされている。Dell Support Assistでは5月28日にリリースされたビジネスPC向けのバージョン2.0.1、ホームPC向けのバージョン3.2.1で脆弱性が修正されており、SupportAssistの自動更新が有効になっていれば何もする必要はないとのこと。なお、これらのバージョンでは不適切な権限管理によりローカルユーザーがSYSTEMに権限昇格可能な脆弱性(CVE-2019-3735)も修正されている(DSA-2019-088)。

Mozillaは18日、Firefoxの脆弱性(CVE-2019-11707)を公表し、修正版のFirefox 67.0.3/ESR 60.7.1をリリースした(Mozillaのセキュリティアドバイザリ、 CISのセキュリティアドバイザリ、 Hacker Noonの記事、 Android Policeの記事)。

脆弱性はArray.popにおける型の取り違えの脆弱性で、JavaScriptオブジェクトを操作する際に発生する。これにより、攻撃に利用可能なクラッシュを引き起こすことができ、成功すれば任意コード実行が可能になるという。Mozillaではこの脆弱性を悪用したターゲット型の攻撃を既に確認しているとのこと。

報告者のSamuel Groß氏(Google Project Zero)のツイートによると、脆弱性を発見して4月15日にMozillaへ報告したが、攻撃の具体的な内容については知らないそうだ。報告者として併記されているCoinbase Securityが何らかの攻撃を確認した可能性もあるが、この時点ではCoinbase側から特に情報は出ていなかった。

さらに20日、Mozillaはサンドボックス迂回の脆弱性(CVE-2019-11708)を修正するFirefox 67.0.4/ESR 60.7.2をリリースした。この脆弱性は親プロセスと子プロセス間のIPCメッセージ「Prompt:Open」で渡されるパラメーターのチェックが不十分なことにより、侵害された子プロセスが選んだWebコンテンツをサンドボックス化されていない親プロセスが開いてしまうというもの。他の脆弱性と組み合わせることで任意コード実行が可能になるとのこと(Mozillaのセキュリティアドバイザリ[2])。

CoinbaseのPhilip Martin氏によると、これら2つの脆弱性を組み合わせた攻撃が同社従業員をターゲットに実行されていることを17日に検出し、ブロックしていたという。また、元NSAハッカーで現在はMac用のセキュリティツールを開発しているPatrick Wardle氏によれば、同じ脆弱性を利用してmacOSにバックドアを送り込む攻撃のサンプルをユーザーから入手したとのことだ(Philip Martin氏のツイート、 Object-See's Blogの記事、 Ars Technicaの記事)。

headless曰く、

医療用の輸液ポンプ/シリンジポンプに電源とネットワーク接続機能を提供するBD社のAlaris Gateway Workstation（AGW）で、悪用すると輸液速度をリモートから変更することも可能になる脆弱性CVE-2019-10959が公表されている（BDのサポート記事[1]、CyberMDXの発表[1]、ICS-CERTのアドバイザリ、The Register）。

点滴スタンドのポールを2本にしたような形状のAGWはドックを備えており、RS-232または赤外線で輸液ポンプ/シリンジポンプと接続することでスマート輸液システムを構成する。CVE-2019-10959は任意ファイルをアップロード可能な脆弱性で、認証なしのSMB共有フォルダーが存在するようだ。この脆弱性を悪用すると、ローカルネットワークに接続した攻撃者がWindows CEで実行可能な不正なファームウェア更新プログラムを含むCABファイルをアップロードすることで、ファームウェアの書き換えが可能になるという。ただし、脆弱性を発見した医療関連のサイバーセキュリティ企業CyberMDXはアップロードするだけでファームウェアが書き換えられるように説明しているが、BDは何らかの方法でアップデートを実行する必要があるように説明しており、CVEの説明ではファームウェア更新中に任意のファイルをアップロード可能となっている。

不正なファームウェアを使用することで、攻撃者はAGWに接続された輸液ポンプ/シリンジポンプの調整コマンドの範囲を変更できるほか、古いバージョンのソフトウェアを使用するシリンジポンプ4機種では輸液速度を変更することも可能とのこと。CVSS v3スコアは10.0（Critical）となっているが、最新のファームウェア（バージョン1.3.2または1.6.1）では脆弱性の影響を受けず、攻撃者が病院内のネットワークへ接続する必要があることや、ファームウェア更新プログラムに関する知識が必要になることから、BDは攻撃を受ける可能性は低いと考えているようだ。BDでは最新ファームウェアへの更新、SMBプロトコルのブロック、VLANネットワークの分離、適切な関係者のみにネットワークへのアクセスを認める、といった対策の実施を推奨している。

また、ローカルネットワークに接続した攻撃者がIPアドレスを知っていればWebベースのAGW設定画面に認証なく接続できる、という脆弱性CVE-2019-10962も同時に公表されている。設定画面ではポンプの状態を監視できるほか、設定の変更やAGWの再起動などが可能になる。こちらのCVSS v3スコアは7.3（High）で、CVE-2019-10959と同様に最新ファームウェアでは影響を受けないとのことだ（BDのサポート記事[2]、CyberMDXの発表[2]）。

headless曰く、

Facebookは18日、新たに設立した子会社Calibraで2020年にデジタルワレット「Calibra」を提供開始する計画を発表した（ニュースリリース）。

Calibraは同日Libra協会が発表（PDF）した暗号通貨「Libra」に対応し、Facebook MessengerやWhatsApp、スタンドアロンアプリから利用可能になるという。Calibraを使用することで、スマートフォンを持っている人ならほぼ誰にでも無料または少額の手数料で簡単に送金ができるようになる。いずれは請求書の支払いや、店頭での支払い、公共交通機関への乗車にも利用できるようにしたいとのこと。

Calibraでは銀行やクレジットカードなどで使われる不正利用防止の仕組みを取り入れるほか、詐欺行為を検出・防止する自動化されたシステムを用いてユーザーを保護する。誰かがユーザーをだましてアカウントにアクセスし、その結果Libraが失われた場合には返金する仕組みも用意されるそうだ。なお、限定的な場面を除き、Calibraがユーザー同意なくアカウント情報や財務データをFacebookやサードパーティーと共有することはないとのこと。限定的な場面としては、人々の安全を守るために必要な場合や、法令順守に必要な場合、基本的な機能を提供するのに必要な場合が挙げられている。

Libra協会はFacebookのほか決済サービス企業やテクノロジー・マーケットプレース企業、通信企業、ブロックチェーン関連企業などにより設立された非営利組織。暗号通貨のLibraは資産を裏付けとした価格変動の小さいステーブルコインで、オープンソースのLibra Blockchain上に構築されており、エントリーレベルのスマートフォンとデータ通信があれば世界中で利用可能な暗号通貨と金融インフラの提供を目指すとのことだ（ホワイトペーパー）。

headless曰く、

Windowsの更新プログラムではBluetoothデバイスとのペアリングや接続ができなくなるバグも発生しているが、6月の月例更新では脆弱性のある一部のBluetoothデバイスからの接続を拒否するよう修正を行ったそうだ（KB4507623、SlashGear、Softpedia）。

該当する脆弱性CVE-2019-2102は、Bluetooth Low Energy（BLE）規格で提供されているサンプルのLong Term Key（LTK）をデバイスが実際のLTKとしてハードコードしている場合、ペアリングされたAndroidデバイスに対し近くにいる攻撃者がキーストロークを送信可能というものだ。Androidで影響を受けるのはAndroid 7.0～9で、セキュリティパッチレベル2019-06-01以降で修正（A-128843052）されている。

Microsoftによると、更新プログラムをインストールすることで、既知のキーを使用して通信を暗号化するデバイスのすべてが影響を受ける可能性があるとのこと。更新プログラムのインストール後にBluetooth接続の問題が発生した場合、デバイスの製造元に更新プログラムの有無を問い合わせるよう求めている。

この修正が含まれるのはWindows 10/Server 2016/Server 2019の累積更新プログラムおよび、Windows 8.1/Server 2012/Server 2012 R2/Embedded 8 Standardのマンスリーロールアップとセキュリティのみの更新プログラム。対象がBLEデバイス限定とは書かれていないが、Windows 7はBLEに対応していない。