headless曰く、

Microsoftは13日、6月の月例更新に合わせ、Windows XPなどサポートが終了した旧OS用の新たなセキュリティ更新プログラムの提供を開始した（MSRC、サポート技術情報4025687、セキュリティアドバイザリ4025685）。

対象はWindows XP/Vista/8/Server 2003。昨今の国家によるサイバー攻撃やエクスプロイトの公開によって悪用のリスクが高まった脆弱性を修正するため、カスタムサポート契約者に提供しているセキュリティ更新プログラムを一般のユーザーにも拡大するものだという。

今回提供される旧OS用の更新プログラムはWindows Updateでインストールすることはできず、ダウンロードセンターまたはMicrosoft Updateカタログから個別にダウンロードしてインストールする必要がある。ダウンロード方法や対象OSについてはサポート技術情報4025687（古いプラットフォームのためのガイダンス）を参照してほしい。

Microsoftでは5月、WannaCryptの被害拡大を受けて旧OS用の更新プログラムを公開しているが、WannaCryptの問題は5月分ですべて修正済みであり、今回提供される更新プログラムはWannaCryptとは無関係とのこと。

なお、今回の決定は現在の脅威を考慮した結果であり、サポート期間の延長や標準サービスポリシーの変更を意味するものではないことをMicrosoftは強調している。

北朝鮮はさまざまなサイバー攻撃活動を行っているとされているが、そういった攻撃に利用されたボットネットインフラをついて米当局が「HIDDEN COBRA」と命名、注意を呼びかけている（ITmedia、US-CERT）。

HIDDEN COBRAによる攻撃は2009年より行われており、さまざまな組織が攻撃を受けているという。手口としては「サポートが終了したMicrosoftのOS」（つまり古いバージョンのWindowsなど）やFlash Playerの脆弱性などを使用するもので、このインフラをベースとしたDDoSツール「DeltaCharlie」やそのほかさまざまな攻撃も行っているという。

あるAnonymous Coward曰く、

京都府警が、振り込み詐欺などの特殊詐欺グループが利用した電話番号に対し、集中的に電話をかけ続けることでその番号の利用を妨害するシステムを開発したという（NHK）。

ある意味サイバー攻撃なわけだが、まだ法的には犯罪者に対し法執行機関がサイバー攻撃を行うことって許されてないんじゃなかったっけ？

あるAnonymous Coward 曰く、

奈良市がメールを送る際に「Bcc:」と「To:」を間違え、ほかの登録者のメールアドレスが見えてしまうというトラブルが発生したとのこと（産経新聞）。

問題が発生したのは、同市が実施している健康キャンペーンの参加者に対して送信されたメール。事業に参加していた同課の職員の指摘で発覚した。これにより、メールの受信者が登録者507人の氏名やメールアドレスを確認でき状態になっていたという。その後、削除を要請するおわびのメールを送信したそうだ。

あるAnonymous Coward曰く、

カタールの衛星テレビ局アルジャジーラがサイバー攻撃を受けているという（CNN、アルジャジーラの発表）。

カタールメディアなので例の断交関連か。

攻撃を受けているのはWebサイトおよびデジタルプラットフォームとのこと。カタール関連では、以前国営カタール通信がサイバー攻撃を受けて偽ニュースを流した可能性があるとの話があった（過去記事）。

あるAnonymous Coward曰く、

小型・廉価なボードPCである「Raspberry Pi」をターゲットにしたマルウェアが登場したそうだ（ZDNet Japan、HOT HARDWARE、Slashdot）。

このマルウェアは「Linux.MulDrop.14」と名付けられており、外部からのSSH接続を許可しているRaspberry Piデバイスを狙い、デフォルトのログイン名/パスワードでログインを試みるという。もしログインに成功した場合、パスワードを別の物に変更した後ほかのデバイスを探索するという。

また、感染後に暗号通貨のマイニングを始めるという話もあるようだ。

headless曰く、

PowerPointのスライドショー形式ファイルを使い、マルウェアをインストールさせるスパムキャンペーンが5月下旬に発生していたそうだ（TrendLabs Security Intelligence Blog、Dodge This Security、Neowin、Ars Technica）。

使われたファイルは.pps/.ppsxファイルで、直接プレゼンテーション/スライドショーモードで起動する。マクロやVBAなどは使われておらず、ハイパーリンクのmouseoverアクションにPowerShellでマルウェアをダウンロードしてインストールさせる処理が指定されているという。なお、今回のスパムキャンペーンではZusyやOTLARD、Gootkitなどと呼ばれるインターネットバンキングを対象にしたトロイの木馬がインストールされるようになっていたそうだ。

このファイルは明細書のようなタイトルのスパムメールに添付して送付され、被害者がファイルを開くと「Loading...Please wait」というテキストがハイパーリンクとして表示される。あとは被害者がハイパーリンク上にマウスをホバーするだけでアクションが実行される仕組みだ。

PowerPoint 2010以降では保護ビューが既定で有効になっており、ハイパーリンクをホバーした際に外部プログラムの実行をブロックしたというメッセージが表示される。ただし、メッセージ上のボタンで実行の有効化を選択すればブロックは解除されてしまうとのこと。

Trend Microの観測によれば、このスパムキャンペーンはEMEA地域、特に英国、ポーランド、オランダ、スウェーデンの組織が影響を受けたといい、ピーク時の5月25日には1,444件の検出が報告されたそうだ。しかし翌26日には782件に減少し、29日には収束したとのことだ。

米連邦航空局(FAA)の発表によると、民間機の手荷物や貨物に含まれるバッテリーが過熱・発煙・発火・爆発する事故は、今年に入って少なくとも17件あったそうだ(リポート: PDF、 Consumeristの記事)。

データは5月22日時点のもので、FAAが把握している事故のすべてが記載されているわけではないとのこと。このうち旅客機に関連する事故は12件で、貨物機関連が2件、残り3件は不明となっている。ただし、不明のうち2件は事故の内容からみて、旅客機の乗客が持っていたバッテリーが地上で発煙または爆発したもののようだ。また、飛行中に発生した事故は9件、地上での事故は7件、不明が1件となる。なお、飛行中の事故はいずれも旅客機で発生している。

バッテリーの種類はすべてリチウムイオンで、製品としてはモバイルバッテリー4件、携帯電話3件、モバイルバッテリー+携帯電話1件のように、モバイルバッテリーや携帯電話での事故が最も多い。携帯電話の種類はiPhoneが2件、未確認(Samsungと報告されている)1件、不明1件。iPhoneのうち1件は座席に押しつぶされて発煙、もう1件は充電中に過熱したという。Samsungと報告されている1件は郵便物らしい。

このほか、電子タバコが3件、ノートPCが2件、電動工具用のスペアバッテリー1件、カメラ1件、ノイズキャンセリングヘッドフォン1件、不明1件。ノイズキャンセリングヘッドフォンは日付や経路、事故の内容からみて、先日Beats製のヘッドフォンと報じられた事故とみられる。ただし、情報源はメディアになっており、航空会社や当局から報告を受けたものではないようだ。

ノートPCのうち1件は貨物で、94Whのバッテリーを搭載したノートPC13箱のうち1箱が地面に叩き付けられたことが原因だという。もう1件のノートPCは機内で飲み物をこぼしたことが原因らしい。不明の1件はバッテリーを含む貨物を爆発するまでドリー(台車)で引きずってしまったとのことだ。

SymantecがTorrentユーザーをセキュリティリスクから保護する方法とシステムの特許を取得した(United States Patent 9,661,004、 TorrentFreakの記事)。

BitTorrentプロトコルによるトラフィックはインターネットトラフィックの50%を占めるとも試算されており、ファイルの配布手段として広く使われている。その一方でマルウェアも数多く配布されているが、torrentファイルをホスティングするサイトではファイルの信頼性に関する十分な情報を提供していない。

特許ではtorrentファイルをホスティングサイトへ最初にアップロードしたシードやターゲットファイルをダウンロード/アップロードしようとするピア、ホスティングサイト、トラッキングサイトなどを識別。それぞれの信頼性に関するスコアを評価データベースから取得してファイルのセキュリティリスクを判定する。たとえば、過去にマルウェアを配布していたかどうかといった情報が評価として使われるとのこと。

評価情報が十分でない場合は、ターゲットファイルの一部をダウンロードしてセキュリティリスクを判定することも可能だという。判定の結果、セキュリティリスクの高さに応じてユーザーに警告を表示する、該当のネットワークトラフィックをブロックする、ターゲットファイルを検疫/削除するといった対策を行うとのことだ。

なお、特許の出願は2013年だが、こういったシステムは現在のところ提供されていないようだ。

headless曰く、

Kaspersky Labは6日、MicrosoftがWindows 10のセキュリティソフトウェアについて反競争行為を行っているとして、欧州委員会およびドイツ連邦カルテル庁に訴状を提出したことを明らかにした（プレスリリース、ユージン・カスペルスキー氏のブログ、The Verge、Register）。

Kaspersky Labでは昨年、同様の訴えをロシアの独占禁止当局に提出し、当局が調査を開始している。その結果、Microsoftはいくつかの点で修正を行ったものの、問題の多くが修正されていないとして今回の行動に至ったという。

Kaspersky LabはMicrosoftに対し、以下のような点の改善を求めているそうだ。

• Windows Defenderの方がより優れているかのような宣伝で既にインストールされている他社のセキュリティソフトウェアと置き換えさせようとする点
• ウイルス定義データベースが古くなっているといった通知をわかりにくくし、他社のセキュリティソフトウェアのアップグレードやダウンロード、インストールを困難にしている点
• Windows 10の新バージョンのファイナルビルドをリリース数日前までサードパーティーに提供しない点
• インストールされているバージョンのアンチウィルスソフトウェアが新しいバージョンのWindows 10との互換性がない場合はアップグレード時に削除されるが、アップグレード完了後に互換性のあるバージョンの再インストールが必要になることの通知が不十分な点
• Windows Defenderを完全に無効化/削除できない点

フリーマーケットアプリ「メルカリ」のアカウント1000件以上を転売したとして、私電磁的記録不正作出・同供用容疑で和歌山県の男性2人が逮捕された（朝日新聞、ITmedia）。

メルカリのアカウントがネットオークションで多数販売されていたことから発見されたという。不正に取得したアカウントは1件あたり800〜900円で販売していたとのこと。こういったアカウントはアカウント停止になったユーザーが購入するほか、自己取引など悪用目的で利用するための購入もあるようだ。

あるAnonymous Coward曰く、

国土交通省は6月6日、Apache Struts 2の脆弱性により、同省の「土地総合情報システム」サイトからアンケートや登記情報など最大約20万件の情報が流出した恐れがあることを明らかにした（プレスリリース、時事通信、ITpro）。

Struts 2の脆弱性を利用した攻撃は3月上旬より相次いでおり、国交省も同月には運営委託業者の調査により同サイトがStruts 2を利用していることを認識していたという。しかし、肝心の脆弱性対策は2017年度予算での機能追加と合わせて行うものとされてしまい、5月の契約後にシステム改修が着手されたものの、既に悪意のあるプログラムが仕込まれていたことが判明、というお粗末な結果となった。

漏洩に対して同省の担当者は「もっと早く手を打てばよかった」と話しているという事だが、ネット社会において余りにも遅すぎる対応と言わざる得ないだろう。ただ、登記情報は公開もされており、アンケートも4月6日以前の分はサーバーから取り除かれていたということで、被害が限定されたのだけは救いである。

headless曰く、

WikiLeaksは1日、米中央情報局（CIA）のハッキングツールなどを公開するプロジェクト「Vault 7」で「Pandemic」と呼ばれるツールのドキュメントを公開した（WikiLeaks Vault 7、Ars Technica、Softpedia）。

Pandemicは共有フォルダーをローカルネットワークで公開しているWindows PC（感染PC）に対し、ファイルシステムミニフィルタードライバーをインストールする。共有フォルダー内のファイルは一切変更されないが、対象のリモートユーザーが共有フォルダーから特定のPE実行ファイルをコピーまたは直接実行すると、マルウェアにオンザフライで置き換えることが可能になるという。

対象のリモートユーザーはSIDで指定し、最大64ユーザーまで指定可能だ。Pandemic 1.0では置き換えるPE実行ファイルを1つのみ指定でき、置き換え後のPE実行ファイルのサイズは最大30MBに制限されているが、Pandemic 1.1では最大20ファイル、1ファイルあたりの最大サイズは800MBまで拡張されている。ファイルの置き換えを開始するまでの待機時間や、置き換えの実行時間を指定することもできる。指定した実行時間が経過するとドライバーは自動でアンインストールされるとのこと。

なお、ドキュメントではインストールするバイナリーファイルの生成手順やインストール手順について解説されているが、具体的にどうやって感染PCにアクセスするのかといった点については記載されていない。セキュリティー企業Rendition InfoSecのマルウェア専門家で、米国家安全保障局（NSA）のハッキングチームに所属していたこともあるJake Williams氏は、さらに詳細なドキュメントがあるとの見方を示している。また、大きな組織ではWindowsの共有フォルダーを使用してファイルを共有することはあまりないことから、比較的小さな組織を狙って作られたものとWilliams氏はみているようだ。

eggy 曰く、

Tsar Teamを名乗る ハッカーグループが5月30日、リトアニアの美容整形クリニックのサーバーから今年盗み出したという、クリニック利用者のデータを公開した(The Guardianの記事、 Daily Mail Onlineの記事、 15minn.ltの記事)。

公開されたデータには裸の写真を含むクリニック利用者の写真25,000点以上やパスポートのコピー、社会保障番号なども含まれる。当初Tsar Teamは、データを公開しないことと引き換えに300ビットコインを支払うようクリニックを恐喝していたが失敗に終わったため、恐喝相手をクリニック利用者に切り替え、最高2,000ユーロをビットコインで支払うよう要求していたとのこと。

データの一部は3月に公開されており、今回公開されたのはその残りとみられる。被害者の居住国はリトアニアだけでなく、英国やノルウェー、ドイツ、デンマークなど60カ国以上にも及ぶとのことだ。

「Tsar Team」は米民主党全国委員会(DNC)をサイバー攻撃したAPT28またはFancy Bearなどと呼ばれるグループの別名として知られているが、同グループなのか、別のグループなのかは不明だ。

米国土安全保障省(DHS)は5月30日、旅客機の客室内への大型電子機器持ち込み禁止を欧州からの便に当面拡大しないことを明らかにした(DHSのプレスリリース、 欧州委員会のプレスリリース、 Politicoの記事、 Consumeristの記事、 Neowinの記事)。

DHSのケリー長官が航空の安全について欧州委員会のディミトリス・アヴラモプロス委員(移民・内務・市民権担当)およびヴィオレタ・ブルツ委員(運輸担当)と電話で会談した結果だという。

3人は航空の安全を世界的に高める必要があることや、今後も引き続き協力していくことに合意。旅客機客室内への大型電子機器持ち込み禁止についても議論したが結論は出ず、この日の段階では欧州から米国に到着する便への拡大は発表しないことになったようだ。

ただし、持ち込み禁止の拡大は現在も検討中であり、今後脅威のレベルが高まったことが確実になれば、持ち込み禁止を含めてあらゆる安全対策を取るとケリー長官が断言したとのこと。ケリー長官は5月28日、Fox Newsのインタビューで、持ち込み禁止を米国発着の全便に拡大する意向を示していた。

なお、欧州から米国に到着する便で大型電子機器の客室内持ち込みが禁じられた場合、10億ドルのコストを旅行者が負担することになるとの試算も出ている。