オランダのマーストリヒト大学、ランサムウェア攻撃を受けてほぼすべてのWindowsマシンが汚染される 24
どうしてそんなことに 部門より
アナウンス:スラドとOSDNは受け入れ先を募集中です。
headless曰く、
米国・サンフランシスコ市では市の行政機関による監視技術の使用を禁ずる条例が5月に成立した結果、顔認識機能を搭載する携帯電話は公用で使用できなくなっていたが、条例を改正して限定的に使用できるようにしたそうだ(改正案、9to5Mac、SlashGear、Wired)。
5月に成立した条例(PDF)では市の行政機関すべてに対し、顔認識技術であればどのようなものでも取得・保持・アクセス・使用を(意図せずに行った場合を除き)禁じていた。これにより、Face IDを搭載するiPhoneなど、顔認証で端末のロックを解除する携帯電話の取得・保持・アクセス・使用が禁じられることとなっていた。
顔認識機能を搭載する携帯電話を限定的ながら使用できるようにした条例の改正点は以下の通り。
- 顔認識技術が標準搭載されたソフトウェア・製品・デバイスで、顔認識技術と無関係な機能が市の業務を実行するのに欠かせないこと
- のソフトウェア・製品・デバイスは顔認識機能を使用するために導入したのではないこと
- 顔認識技術をソフトウェア・製品・デバイスから削除できないこと
- その行政機関が顔認識技術を使用しないこと
このような条件を満たす場合に限り、市の行政機関は顔認識機能を搭載した携帯電話を使用しても条例違反とはならない。つまり、顔認証による端末のロック解除のような機能は引き続き使用できないが、端末自体は使用できるということになる。
Anonymous Coward曰く、
経済産業省が、IT関連ハードウェアにスパイ行為のための機能を仕込むような行為を排除するための体制を強化するという(日経新聞)。
記事によると、産業技術総合研究所(産総研)を中心としてほかの研究機関や企業、大学と協力して対応を行うという。まずは2021年ごろに部品を調査・検証する設備を整備するようだ。また、セキュリティソフトウェアの国産化にも取り組むという。
日本にちゃんとしたものを作れる技術力があるのだろうか。
headless曰く、
Microsoft Storeで公開されているダミーアプリから、MicrosoftがWindows 10の新機能をMicrosoft Storeで提供する計画ではないかという見方が出ている(WalkingCat氏のツイート、BetaNews、On MSFT)。
このアプリは「Windows Feature Experience Pack」という名称で、Microsoftウォッチャーとして知られるWalkingCat氏によると、そのアイコンがダウンロードを示すものに最近変更されたという。このことから、Windows 10のランゲージパックが「ローカルエクスペリエンスパック」としてMicrosoft Store経由で更新されているのと同様、Windows 10の機能更新を提供するものではないかと推測されている。
現在のところ、アプリ自体は起動してもDiCE Package Management Platformのパッケージ情報が表示されるだけで特に機能しない。また、Windows 10バージョン1909とWindows 10 Insider Previewビルド19041(20H1)にはインストールできたが、Windows 10 Insider Previewビルド19536ではファイルのコピーやアンインストール情報の登録が行われるものの、起動可能な状態にはならなかった。
なお、このアプリはMicrosoftが公開したものと推定されているが、公開元には「Microsoft Windows」と記載されており、パッケージ名も「MicrosoftWindows.Client」となっている。通常のMicrosoft製アプリの公開元は「Microsoft Corporation」であり、パッケージ名は「Microsoft.*」となる。少し調べてみた限り、公開元が「Microsoft Windows」となっているアプリは「Windows Feature Experience Pack」のほか、やはりWalkingCat氏が発見した「Client.Extensions」というもの以外は見つからなかった。
以前、ロシアがサイバー軍事演習の一環として一時的に国外とのネット通信を切断する実験を実施するという話があったが、12月23日にロシア政府がこの実験に成功したことを発表したという(CNET Japan)。
この実験は数日間かけて行われたとのこと。ロシアは11月に国内ネットワークのインターネットからの切り離しを可能にする法制度を整えていた(産経新聞)。
macOS Catalina(10.15)では、デフォルトでは署名が付けられAppleのチェックを通過した(公証を得た)アプリケーションのみが実行できるようになっている。この公証(Notarization)のための要件が、2020年2月3日より厳格化される(Appleの発表、Engadget日本版)。
デフォルトで公証を取得済みアプリケーションのみを実行可能にするという話は以前よりあったが、Engadget日本版の記事にあるように移行のため公証を取得するための要件が一時的に緩和されており、古いSDKや署名されていないコンポーネントを含むアプリケーションでも公証が得られるようになっていた。しかし、2020年2月3日より厳格に要件を適用することになるという。公証を得るための手順などはQiitaの「macOS の App Notarization について」という記事が詳しい。
なお、現状では公証がないアプリケーションでもCtrlキーを押しながら起動することで実行が可能。この方針が今後どうなるかについては明かされていないが、今回の発表では触れられていないので、少なくとも直ちに公証のないアプリケーションが起動できなくなるわけではなさそうだ。
Anonymous Coward曰く、
中国政府が関与するハッカー集団「APT20」が、2要素認証(2FA)を破ってサイバー攻撃を行っていたという。オランダのサイバーセキュリティ企業Fox-ITが発表した(CNET Japan、Slashdot)。
ハッカー集団のターゲットは政府機関やシステム管理・保守を請け負うマネージドサービスプロバイダで、さまざまな手法で攻撃を行っていたという。調査によると、その1つとしてアプリケーションプラットフォーム「JBoss」の脆弱性を使って内部ネットワークに侵入し、さらにそこからVPNの認証情報を盗み出す行為を行っていたという。さらに、2要素認証で保護されているVPNアカウントも乗っ取っていたことが確認できたそうだ。
2要素認証の突破には、内部ネットワークから認証に必要なトークンを盗みだし、さらに認証に使用するソフトウェアを改変するといった手法が使われているという。
メールでパスワード付きZIPファイルとそれを展開するためのパスワードを別々に送信するというやり方はセキュリティ的にまったく無意味であるが、このやり方は未だによく使われているそうだ。このやり方については、
PasswordつきZIP暗号化ファイルを送ります
Passwordを送ります
Aん号化(暗号化)
Protocol
の略だとして「PPAP方式」などとも揶揄されているという(デジタル・フォレンジック研究会)。
headless曰く、
必要以上のデータを収集しているとAdblock Plus開発者のWladimir Palant氏によって指摘されてたAvast/AVGのWebブラウザ拡張機能がChromeウェブストアから一時削除され、数日で復活したようだ(Android Police、Softpedia)。
同拡張のFirefox版は12月初めにaddons.mozilla.org(AMO)から削除されたが、現在は復活している。Chrome版については先週になってAVG Online Securityを除くAvast/AVGの拡張機能がChromeウェブストアから削除されたと報じられたが、週末までに復活した。ただし、AVG SafePriceは削除されたまま(追記: 現在は復活している)のようだ。
Avastによれば、拡張機能で収集するユーザーデータを制限し、プライバシーポリシーに記載するなどの変更を行ったという。その結果、Chromeウェブストアで拡張機能が復活したほか、AMOでは17日時点で復活していたとのこと。
なお、Avast CEOのOndrej Vlcek氏は収集したデータを匿名化して販売していたとForbesに語っており、Softpediaではデータの販売でAvastが昨年得た収入を4,050万ドルと試算している。
minet曰く、
セキュリティサービス会社SplashDataが第9回年間最悪パスワードリストを発表した(ギズモード・ジャパン)。
1位は今年も「123456」。昨年まで2位の「password」は順位を下げ、代わりに「qwerty」が2位となった。他にも「1q2w3e4r」や「qwertyuiop」といったパスワードが初めて25位内に入っている。
なお、現アメリカ大統領の名前である「donald」は今年は34位だった(1〜49位までのリスト、50〜100位までのリスト)。
神奈川県庁のサーバーで使われていたHDDが廃棄業者から流出した事件を受け、岡山県がHDDなどの記録メディアの破棄を外部に委託せず、職員が物理的に破棄することを決めたという(NHK)。
岡山県も過去にHDD流出を起こした廃棄業者であるブロードリンク社に廃棄を委託していたことも明かされたが、現時点で流出は報告されていないという。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家