headless曰く、

オランダのマーストリヒト大学がランサムウェアによる大規模な攻撃を受け、Windowsマシンのほとんどが影響を受けたそうだ（大学の発表[1]、[2]、[3]、[4]、Softpedia）。

攻撃が発生したのは12月23日。大学はすべてのシステムを一時的にオフラインにしたほか、科学的データを保護するための追加措置を取り、1月6日の再開を目指して調査と修復を進めている。Windowsマシンが受けた影響について具体的には記載していないが、生徒や職員には学内・学外を問わず大学のコンピューターやシステムを使用しないよう求めている。

米国防総省が直販型DNA検査キットにはセキュリティリスクがあるとして、使用すべきではないと注意喚起するメモを軍人に送ったそうだ。この件は米Yahoo Newsが入手したメモを元に報じ、国防総省報道官がThe New York Timesに事実関係を認めている(Yahoo Newsの記事、 The New York Timesの記事、 The Vergeの記事、 SlashGearの記事)。

直販型DNA検査キットは綿棒で採取した口腔内細胞や唾液のサンプルを送るだけで手軽にDNA検査ができるが、中には検査結果を捜査機関と共有したり、第三者に販売したりする企業も存在する。国防総省が懸念するのもこの点のようで、遺伝子情報が外部に漏れることは個人的および戦略的なリスクにつながるという。

メモによれば、こういった直販型DNA検査はほとんど規制されておらず、個人情報や遺伝子情報が漏れる可能性や予期せぬセキュリティ上の問題を引き起こす可能性があるほか、統合軍や作戦に対するリスクを増加させるとのこと。また、DNA検査キット会社の中には軍人をターゲットにした値引きを提供するところもあり、国防総省内で広まっているそうだ。

報道官は不正確な検査結果が軍人の士気に影響する可能性や、その情報が開示される可能性を指摘する。国防総省はDNA検査全般に反対しているわけではなく、消費者向け製品を使用せずに認可を受けた専門家に依頼することを推奨しているとのこと。なお、メモでは具体的なリスクを説明していないが、報道官も明言を避けたようだ。

これに対し、DNA検査キットを提供する23andMeでは米食品医薬品局(FDA)の認可を受けた同社の検査は99%以上正確だとし、検査は米国内で行われ、別途明確な承諾を得ない限りは情報を外部と共有することもないと反論。同じくDNA検査キットを提供するAncestryは軍人向けの値引きは行っていないと述べ、外部との情報共有も否定したとのことだ。

headless曰く、

米国・サンフランシスコ市では市の行政機関による監視技術の使用を禁ずる条例が5月に成立した結果、顔認識機能を搭載する携帯電話は公用で使用できなくなっていたが、条例を改正して限定的に使用できるようにしたそうだ（改正案、9to5Mac、SlashGear、Wired）。

5月に成立した条例（PDF）では市の行政機関すべてに対し、顔認識技術であればどのようなものでも取得・保持・アクセス・使用を（意図せずに行った場合を除き）禁じていた。これにより、Face IDを搭載するiPhoneなど、顔認証で端末のロックを解除する携帯電話の取得・保持・アクセス・使用が禁じられることとなっていた。

顔認識機能を搭載する携帯電話を限定的ながら使用できるようにした条例の改正点は以下の通り。

1. 顔認識技術が標準搭載されたソフトウェア・製品・デバイスで、顔認識技術と無関係な機能が市の業務を実行するのに欠かせないこと
2. のソフトウェア・製品・デバイスは顔認識機能を使用するために導入したのではないこと
3. 顔認識技術をソフトウェア・製品・デバイスから削除できないこと
4. その行政機関が顔認識技術を使用しないこと

このような条件を満たす場合に限り、市の行政機関は顔認識機能を搭載した携帯電話を使用しても条例違反とはならない。つまり、顔認証による端末のロック解除のような機能は引き続き使用できないが、端末自体は使用できるということになる。

Anonymous Coward曰く、

経済産業省が、IT関連ハードウェアにスパイ行為のための機能を仕込むような行為を排除するための体制を強化するという（日経新聞）。

記事によると、産業技術総合研究所（産総研）を中心としてほかの研究機関や企業、大学と協力して対応を行うという。まずは2021年ごろに部品を調査・検証する設備を整備するようだ。また、セキュリティソフトウェアの国産化にも取り組むという。

日本にちゃんとしたものを作れる技術力があるのだろうか。

headless曰く、

Microsoft Storeで公開されているダミーアプリから、MicrosoftがWindows 10の新機能をMicrosoft Storeで提供する計画ではないかという見方が出ている（WalkingCat氏のツイート、BetaNews、On MSFT）。

このアプリは「Windows Feature Experience Pack」という名称で、Microsoftウォッチャーとして知られるWalkingCat氏によると、そのアイコンがダウンロードを示すものに最近変更されたという。このことから、Windows 10のランゲージパックが「ローカルエクスペリエンスパック」としてMicrosoft Store経由で更新されているのと同様、Windows 10の機能更新を提供するものではないかと推測されている。

現在のところ、アプリ自体は起動してもDiCE Package Management Platformのパッケージ情報が表示されるだけで特に機能しない。また、Windows 10バージョン1909とWindows 10 Insider Previewビルド19041（20H1）にはインストールできたが、Windows 10 Insider Previewビルド19536ではファイルのコピーやアンインストール情報の登録が行われるものの、起動可能な状態にはならなかった。

なお、このアプリはMicrosoftが公開したものと推定されているが、公開元には「Microsoft Windows」と記載されており、パッケージ名も「MicrosoftWindows.Client」となっている。通常のMicrosoft製アプリの公開元は「Microsoft Corporation」であり、パッケージ名は「Microsoft.*」となる。少し調べてみた限り、公開元が「Microsoft Windows」となっているアプリは「Windows Feature Experience Pack」のほか、やはりWalkingCat氏が発見した「Client.Extensions」というもの以外は見つからなかった。

以前、ロシアがサイバー軍事演習の一環として一時的に国外とのネット通信を切断する実験を実施するという話があったが、12月23日にロシア政府がこの実験に成功したことを発表したという（CNET Japan）。

この実験は数日間かけて行われたとのこと。ロシアは11月に国内ネットワークのインターネットからの切り離しを可能にする法制度を整えていた（産経新聞）。

Anonymous Coward曰く、

首都大学東京の教授が、試験前日の飲み会の場で大学院入学試験の内容を受験予定者に漏らしていたという（NHK、読売新聞、産経新聞）。

この受験者が大学に報告して発覚した。この受験者は試験に合格したが、その後退学していたという。また、この教授は2016年の参議院選挙で学生に対し特定候補者への投票を呼びかける行為も行っていたとのことで、これら行動を理由としてこの教授は懲戒解雇処分となっている。

macOS Catalina（10.15）では、デフォルトでは署名が付けられAppleのチェックを通過した（公証を得た）アプリケーションのみが実行できるようになっている。この公証（Notarization）のための要件が、2020年2月3日より厳格化される（Appleの発表、Engadget日本版）。

デフォルトで公証を取得済みアプリケーションのみを実行可能にするという話は以前よりあったが、Engadget日本版の記事にあるように移行のため公証を取得するための要件が一時的に緩和されており、古いSDKや署名されていないコンポーネントを含むアプリケーションでも公証が得られるようになっていた。しかし、2020年2月3日より厳格に要件を適用することになるという。公証を得るための手順などはQiitaの「macOS の App Notarization について」という記事が詳しい。

なお、現状では公証がないアプリケーションでもCtrlキーを押しながら起動することで実行が可能。この方針が今後どうなるかについては明かされていないが、今回の発表では触れられていないので、少なくとも直ちに公証のないアプリケーションが起動できなくなるわけではなさそうだ。

Anonymous Coward曰く、

中国政府が関与するハッカー集団「APT20」が、2要素認証（2FA）を破ってサイバー攻撃を行っていたという。オランダのサイバーセキュリティ企業Fox-ITが発表した（CNET Japan、Slashdot）。

ハッカー集団のターゲットは政府機関やシステム管理・保守を請け負うマネージドサービスプロバイダで、さまざまな手法で攻撃を行っていたという。調査によると、その1つとしてアプリケーションプラットフォーム「JBoss」の脆弱性を使って内部ネットワークに侵入し、さらにそこからVPNの認証情報を盗み出す行為を行っていたという。さらに、2要素認証で保護されているVPNアカウントも乗っ取っていたことが確認できたそうだ。

2要素認証の突破には、内部ネットワークから認証に必要なトークンを盗みだし、さらに認証に使用するソフトウェアを改変するといった手法が使われているという。

メールでパスワード付きZIPファイルとそれを展開するためのパスワードを別々に送信するというやり方はセキュリティ的にまったく無意味であるが、このやり方は未だによく使われているそうだ。このやり方については、

PasswordつきZIP暗号化ファイルを送ります
Passwordを送ります
Aん号化（暗号化）
Protocol

の略だとして「PPAP方式」などとも揶揄されているという（デジタル・フォレンジック研究会）。

headless曰く、

必要以上のデータを収集しているとAdblock Plus開発者のWladimir Palant氏によって指摘されてたAvast/AVGのWebブラウザ拡張機能がChromeウェブストアから一時削除され、数日で復活したようだ（Android Police、Softpedia）。

同拡張のFirefox版は12月初めにaddons.mozilla.org（AMO）から削除されたが、現在は復活している。Chrome版については先週になってAVG Online Securityを除くAvast/AVGの拡張機能がChromeウェブストアから削除されたと報じられたが、週末までに復活した。ただし、AVG SafePriceは削除されたまま(追記: 現在は復活している)のようだ。

Avastによれば、拡張機能で収集するユーザーデータを制限し、プライバシーポリシーに記載するなどの変更を行ったという。その結果、Chromeウェブストアで拡張機能が復活したほか、AMOでは17日時点で復活していたとのこと。

なお、Avast CEOのOndrej Vlcek氏は収集したデータを匿名化して販売していたとForbesに語っており、Softpediaではデータの販売でAvastが昨年得た収入を4,050万ドルと試算している。

minet曰く、

　セキュリティサービス会社SplashDataが第9回年間最悪パスワードリストを発表した（ギズモード・ジャパン）。

1位は今年も「123456」。昨年まで2位の「password」は順位を下げ、代わりに「qwerty」が2位となった。他にも「1q2w3e4r」や「qwertyuiop」といったパスワードが初めて25位内に入っている。

なお、現アメリカ大統領の名前である「donald」は今年は34位だった（1〜49位までのリスト、50〜100位までのリスト）。

神奈川県庁のサーバーで使われていたHDDが廃棄業者から流出した事件を受け、岡山県がHDDなどの記録メディアの破棄を外部に委託せず、職員が物理的に破棄することを決めたという（NHK）。

岡山県も過去にHDD流出を起こした廃棄業者であるブロードリンク社に廃棄を委託していたことも明かされたが、現時点で流出は報告されていないという。

Twitterは20日、攻撃者が非公開のアカウント情報を参照したり、メッセージを送信したりできるAndroid版Twitterアプリの脆弱性を最近修正したとしてアップデートを呼びかけた(Twitterプライバシーセンターのブログ記事、 9to5Googleの記事、 Mashableの記事、 SlashGearの記事)。

脆弱性の詳細は公表されていないが、Android版Twitterアプリの制限されたストレージ領域に悪意のあるコードを埋め込むことで、攻撃者による情報へのアクセスやアカウントの制御が可能な状態だったようだ。実際に脆弱性が悪用された形跡はないものの、影響を受けた可能性のあるユーザーにはTwitterアプリまたは電子メールで通知しているとのこと。iOS版Twitterアプリは影響を受けない。

Twitter Supportは今週初めにGoogle Playでリリースされたバージョンでは脆弱性が修正されているとツイートしていたが、その後のバージョン7.93.4(11月4日リリース、KitKat向け)とバージョン8.18(10月21日リリース、Lollipop以降向け)で修正済みだとツイートした。なお、KitKatよりも古いバージョンのAndroidはサポートが終了しているとのことだ。

ドイツ・ギーセン大学(Justus-Liebig-Universität Gießen: JLU)ではセキュリティ上の問題により学内ITシステムをオフラインにしていたが、学生や職員が電子メールシステムを再び利用できるようにするため、全電子メールアカウント38,000件のパスワードを手渡しで再発行しているそうだ(JLU仮サイト: トップページ / 以前のニュース、 heise onlineの記事、 The Registerの記事)。

JLUのITシステムはサイバー攻撃とみられる重大なセキュリティ上の問題が発生し、8日からオフラインになっていた。Webサイトもいったんオフラインになっていたが、9日には本件に関する情報を掲載するための仮サイトがオープンしている。被害に関する初期の評価は完了しており、早期にサーバーの電源を切ったことで大規模なデータ消失は防ぐことができたという。職員の使用するWindows PCではウイルススキャンを実行したとのことで、具体的な原因については説明されていないが、heise onlineではマルウェアEmotetに感染した可能性を指摘している。

パスワード再発行は電子メール機能をできるだけ早く復旧させるためのもので、ITサービスセンターが全パスワードを再割り当てし、学生や職員は身分証明書を提示して新しいパスワードを受け取る必要がある。この方法を使用するのはセキュリティ上の理由とドイツ研究ネットワーク(DFN)で必須とされているためだといい、他に安全な方法はないとのことだ。