米国で歯科医院向けにクラウドバックアップサービスを提供する企業がランサムウェア攻撃を受け、サービスを利用する歯科医院がカルテなどのデータにアクセスできなくなったそうだ(PerCSoftのFacebookページ、 The Digital Dental Recordとウィスコンシン歯科医師会の声明: PDF、 Krebs on Securityの記事、 The Next Webの記事)。

攻撃を受けたのは米ウィスコンシン州のPerCSoftとThe Digital Dental Record(2社の住所は同じ)が提供する「DDS Safe」という製品だ。クラウドとローカルドライブ、外付けドライブの3か所にバックアップを保存することで、ランサムウェアの影響を最小限に抑えることができるというのが売りとなっている。

The Digital Dental Recordは8月26日8時44分、クライアントデータをバックアップするリモート管理ソフトウェアにランサムウェアが展開されたことに気付いたという。すぐに調査を行って脅威を排除したが、多くの歯科医院が影響を受けることになる。ウィスコンシン歯科医師会(WDA)によると、全米でおよそ400軒の歯科医院がデータにアクセスできなくなったとのこと。PerCSoftはデクリプターを入手してデータの復号を進めており、相当部分が復旧しているようだ。

ZDNetの記事は2社が身代金を払ったと報じており、Krebs on Securityの記事では歯科業界で働くITプロフェッショナル向けFacebookグループに投稿された、身代金を払っていることをPerCSoftが説明したものだというスクリーンショットを掲載している。ただし、2社は表立って身代金支払いを認めてはいない。WDAでは調査が進められている最中なので攻撃の詳細を説明することはできないが、会が身代金を支払ったことはなく、問題解決に会費が使われることはないとも述べている。

現在、クラウドのデータやバックアップサービスはランサムウェアの主要なターゲットになっているという。なお、上述のFacebookグループに投稿されたデクリプターのスクリーンショットから、攻撃に使われたのは「REvil」「Sodinokibi」などと呼ばれるランサムウェアとみられている。

Twitter CEO ジャック・ドーシー氏のTwitterアカウントが8月31日4時44分ごろから少なくとも15分にわたってハックされ、攻撃者が多数のツイート・リツイートを投稿した(Twitter Commsのツイート、 The Vergeの記事[1]、 [2]、 Windows Centralの記事)。

ドーシー氏のTwitterアカウントは2016年にもハックされている。2016年の攻撃はOutMineによるもので、ドーシー氏のVineアカウントを乗っ取ってTwitterへの投稿が行われた。今回の攻撃はSMSを使用して携帯電話からTwitterに投稿する機能にSIMスワッピングを組み合わせたものだという。

SMSによるTwitter投稿は日本ではサポートされていないが、Twitterでは専用のショートコード宛にSMSを送信することで、携帯電話の電話番号と結びつけられたTwitterアカウントに投稿できる。SIMスワッピングとは本人に成りすまして携帯電話キャリアをだまし、新しいSIMカードへ携帯電話番号を移動するというものだ。Twitterでは今回の件について、携帯電話キャリアのミスだと説明している。

攻撃者は最近ソーシャルメディアの有名人のTwitterアカウントを次々にハックしているChucklingSquadなどと名乗るグループとみられている。Internet Archiveのスナップショットによると、ドーシー氏のTwitterアカウントには日本時間8月31日4時44分以降15分間にわたり、攻撃者が立て続けにツイート・リツイートを投稿している。すべて確認したわけではないが、リツイートされた元の投稿者はアカウント停止になっているようだ。

Anonymous Coward曰く、

NTTドコモは8月28日、同社が提供する決済サービス「d払い」などにおける不正利用の被害を補償する制度を導入すると発表した（ドコモからのお知らせ、NHKニュース、ケータイWatch、マイナビニュース）。

同日、ソフトバンクグループ傘下のPayPayも不正利用による被害を補償する制度の導入を発表した（プレスリリースPDF、日本経済新聞、朝日新聞、ITmedia NEWS、ケータイWatch、マイナビニュース）。

NTTドコモのd払いに関しては、昨今NTTドコモを騙るフィッシングSMSによるアカウント乗っ取り、不正利用被害が多発しており、同社による注意喚起や、不正利用被害がAmazon.co.jpによるものに集中していたことからAmazonにおけるd払い設定時の認証方法を変更する対策も取られていた。

8月26日にはNHKニュースもこの問題について詳報しており、コメントで補償制度の導入を準備していると明らかにしていた。

PayPayは自社によるアンケート調査で、スマホ決済サービスを利用しない理由の一つに不正利用に対する不安があり、また不正利用発生時の補償対応へのニーズが高いことがわかったため利用規約の改定を決定したとしている。 メルカリが提供するメルペイも7payの不正利用問題を受け補償制度が存在しないことがTwitterなどで問題視されたが、先行して8月15日に利用規約を改定、補償を明記している。

なお、piyologにてキャッシュレス決済サービスの補償制度の状況がまとめられているが、現在規約で補償制度について言及されているのはPayPayおよびd払い、メルペイ、LINE Pay、J-COin Pay、＆Payの6社のみだったという。

headless曰く、

Google Playでのダウンロード件数が1億回を超える人気アプリ「CamScanner - Scanner to scan PDF」（CamScanner）の最近のバージョンにマルウェアが混入していたことが発覚した。これを受けて現在アプリの公開は停止されている（Kaspersky公式ブログ、Kaspersky Securelist、Android Police、CamScannerの告知ページ）。

CamScannerはスマートフォンのカメラをドキュメントスキャナーのように利用できるようにするアプリ。Kasperskyによると元々は特に問題のないアプリだったが、最近のバージョンでは広告ライブラリを通じて「ドロッパー」と呼ばれる悪意のある処理をするコードが組み込まれていたという。

Kaspersky製品がTrojan-Dropper.AndroidOS.Necro.nとして検出するこのドロッパーは、アプリが起動するとアプリのリソースに含まれるZIPファイル中のコードを展開・実行し、攻撃者のサーバーから追加のコードをダウンロードして実行する。CamScannerでドロッパーが具体的に何をしていたのかについては書かれていないが、侵襲的な広告を表示したり、有料サブスクリプションを登録して携帯電話のアカウントに課金したりといったことも可能とのこと。

Google Playからは既に削除されているが、8月26日に取得されたアプリページのGoogleキャッシュが残っていることから、最近まで公開されていたらしい。ただし、Android Policeの調査によると、マルウェアが混入していたのは6月17日公開のバージョン5.11.3.20190616から7月25日公開のバージョン5.12.0.20190725までで、削除時点で公開されていたバージョンは安全だったようだ。

CamScannerの告知によれば、Android版のバージョン5.11.7に組み込んだAdHubという広告SDKに広告クリックを発生させる悪意あるモジュールが見つかったそうだ。調査の結果、モジュールがドキュメントのデータを流出させた形跡は見つからなかったという。CamScannerではGoogle Playで認定されないすべての広告SDKを削除したとのことで、現在最新版のAPKをGoogle Play外でダウンロード提供している。また、Google Playでも再公開できると見込んでいるという。

Anonymous Coward曰く、

Microsoftが8月20日、多要素認証を使うことでアカウントに対する攻撃の99.9％は防ぐことができる、といった内容のブログを公開した（Microsoft Securityブログ）。

これによると、Microsoftのクラウドサービスに対しては毎日3億件以上の不正なサインインが試みられているという。また、ランサムウェアによる攻撃は一日4000件、マルウェアによる攻撃は1.67億件が発生しているそうだ。こうした攻撃には盗まれたパスワードが使われており、セキュリティ企業などの調査によると、情報漏洩事件のうち81％が盗まれた認証情報によって引き起こされているという。また、複数のサービスで重複したパスワードを使用しているケースも多い。

これを踏まえてMicrosoftは、多要素認証を有効にすることでこうしたパスワードの問題を解決でき、99.9％の攻撃をブロックできるとしている（ZDNet、マイナビ、Slashdot）。

headless曰く、

MicrosoftがWindows 10 Enterprise E5/Microsoft 365 E5/Microsoft 365 E5 Securityのサブスクライバーを対象に、Windows 7サポート終了後の有料セキュリティアップデートオプション1年目（Windows 7 ESU 2020）を無料で提供するプロモーションを実施している（Windows 7 and Office 2010 End of Support FAQ Final [DOCX]、[PDF]、Computerworld）。

プロモーション期間は2019年6月1日～12月31日で、この間に上述のSKU（EDU E5を除く）の有効なサブスクリプションがあればWindows 7 ESU 2020無料提供の資格が得られる。有資格者は2020年1月14日以降、ボリュームライセンスサービスセンター（VLSC）でWindows 7 ESUのキーが表示されるようになるとのこと。プロモーションを利用した場合、2020年分のESUを購入しなくても2021年～2022年のESUを購入可能だ。なお、ESUを購入した場合の提供期間は1年間に固定されているが、プロモーションによるESU提供はサブスクリプション終了時点で終了となる。

プロモーションは3か月近く前から実施されているが、Windows 7サポート終了の特設ページからリンクしているFAQのPDFはプロモーションに関する記述のない古いバージョンであり、Computerworldが取り上げるまで特に注目されなかったようだ。

SNSで知り合った中学1年生女子（12歳）に対し、上半身裸の画像を撮影させて送信させた小学校教諭が児童買春・ポルノ禁止法違反（児童ポルノ製造）の疑いで逮捕された（神奈川新聞、NHK、しらべえ）。

容疑者は勤務先の校長から出会い系アプリの利用について指摘されたが、端末が乗っ取られたなどと主張し警察に相談したという。しかし警察が端末を調べたところ実際には乗っ取られた形跡はなく、容疑者自身が画像を送信させていたことが分かったため逮捕に至ったようだ。容疑者は容疑を認めている。

headless曰く、

Appleは26日、iOS 12.4.1をリリースした（サポートドキュメントHT210549、Pwn20wnd氏のツイート、Mac Rumors、Softpedia）。

iOS 12.4.1ではiOS 12.3でいったん修正され、iOS 12.4で復活していた脱獄を可能にする脆弱性（CVE-2019-8605）が再度修正されている。このほか、同日リリースされたmacOS Mojave 10.14.6 Supplemental UpdateおよびtvOS 12.4.1でもCVE-2019-8605の再修正が行われた。Appleのサポートドキュメントでは元の脆弱性発見者Ned Williamson氏とともに、脱獄ツール開発者のPwn20wnd氏も修正の協力者に挙げている。なお、watchOS 5.3.1も同日リリースされており、重要なセキュリティ更新が行われたと説明されているが、公表されているCVEエントリはないとのこと。

企業が株主に向けて発表する文書のPDFにプロパティとして余計な情報や不適切な情報が含まれていたという事例は過去度々発生している。そのため東京証券取引所（東証）が適時開示文書PDFのプロパティを登録時に確認できる機能を提供するそうだ。

不適切な情報の例は市況かぶ全力２階建で紹介されているが、開示文書のタイトルとは関係ないタイトルが設定されていたり、タイトルに「リーク」や「提出断念」といった文字が含まれていたり、作成者が別企業名だったり、謎の単語が入っているといったケースがあったという。

セキュリティ企業FIREEYEが公開したレポートによると、ヘルスケア業界がサイバー犯罪グループなどのターゲットになっているという。中国のスパイ組織が医療研究者をターゲットにしていることや、ヘルスケア関連のデータベースが2000ドル以下で闇市場で販売されていることなどもレポートでは言及されている（ニューズウィーク日本版）。

レポートでは攻撃によって盗まれたデータやその価値も取り上げられている。こうした流出データはビットコインで売買されているそうだ。また、中国による攻撃は少なくとも2013年より行われており、そこからほぼ毎年のように確認されているという。

headless曰く、

Honda North Americaは23日、頭部をキャッチャーミットのように包んで乗客を保護する新設計の助手席用エアバッグを発表した（ニュースリリース、SlashGearの記事、動画）。

このエアバッグはHonda R&D Americasのオハイオセンターのエンジニアが中心となり、同社のセーフティーシステムサプライヤーの一つであるAutolivの協力を得て開発されたという。膨張する袋状のコンパートメントのみで構成される従来のエアバッグとは異なり、新設計のエアバッグはコの字型に配置した中央（正面）と側面（左右）計3つのコンパートメントに加え、側面2つのコンパートメントをつなぐ布状の「sail panel」という4つのコンポーネントで構成される。このsail panelがキャッチャーミットのように乗客の頭部を捉えて減速し、左右のコンパートメントで頭部を包み込む。これにより斜め前方からの衝撃を受けた場合に乗客が首を激しくひねったり、頭部が滑ってエアバッグから外れたりすることを避け、負傷の可能性を軽減できるという。ホンダでは新設計のエアバッグを2020年に米国向けの新製品で採用開始する計画とのことだ。

nemui4曰く、

コンビニエンスストアチェーンのローソンが、セルフレジを活用することで深夜の店舗を店員を配置せずに運営する実証実験を開始する（ITmedia、Engadget日本版、Impress Watch）。

店内には多数の防犯カメラが設置されており、これを外部の警備会社が監視、万引などがあれば警備員が駆けつけるそうな。

この実証実験は、ローソン氷取沢町店（神奈川県）で、8月23日から約半年間実施される。無人で営業されるのは0時から5時の間。現状はバックヤードに1名の店員が常駐するとのことだが、完全無人運営の実験も行われる。

深夜営業中の店舗を利用するには、入店のQRコード、もしくは入り口での顔写真の登録が必要となる。このQRコードはスマートフォン向けの「ローソンアプリ」で表示できるほか、近隣の顧客にはQRコードを印刷したカードを手渡すことも考えられているようだ。また、年齢確認ができないため酒やタバコ類の購入はできず、店内で調理するタイプの商品の提供も行われないという。

三井住友カードが、同カードの会員向けスマートフォンアプリ「Vpassアプリ」にて不正ログインがあったことを発表した（三井住友カードの発表、 Yahoo!ニュース、INTERNET Watch）。

問題が発覚したのは8月19日で、モニタリングによって同アプリに対する不正ログインが検出されたという。不正ログインに使用されたID・パスワードには実際に同サービスに登録されていないものが多数含まれていたため、リスト型攻撃によるものだと判断されている。

不正ログインの思考総数は約500万件で、不正にログインされた可能性のあるID数は16756件。不正アクセスに成功した場合でも、アクセスできるのは会員の氏名、カード名、クレジットカードの利用情報等のみで、クレジットカード番号の流出はないという。

Bill Hates曰く、

昨年度からドライブレコーダーをふるさと納税の返礼品に用意している海老名市では、今年度に入ってから毎月の申込件数が前年同月を上回っているそうだ(カナロコの記事)。

返礼品のドライブレコーダーは市内に本社を置くオウルテックの製品。8月の申込件数は22日の段階で昨年8月の6倍に達し、本年度のドライブレコーダー分寄附金額は既に昨年度1年分に並んだという。海老名市商工課はあおり運転対策でドライブレコーダーが選ばれているとみるが、スラド諸氏はドライブレコーダーの選定時にどのような機能を重視するだろうか。

RubyGemパッケージ「rest-client」のメインテナーのRubyGem.orgアカウントが不正アクセスを受け、悪意あるコードを含むバージョンが立て続けに公開されていたそうだ(rest-client Issue#713、 The Registerの記事、 CVE-2019-15224)。

不正に公開されたのはバージョン1.6.10/1.6.11/1.6.12/1.6.13の4バージョン。1.6.13では外部にデータを送信するコードをpastebinからダウンロードして実行するコードが含まれていたという。1.6.x系列は2014年に1.7.0で置き換えられた非常に古いバージョンで、何らかの理由により最新版へアップグレードできない場合のために残されているものだが、1.6.13は1,061回ダウンロードされていたそうだ。

不正アクセスを受けたメインテナーのHacker Newsへの投稿によると、RubyGems.orgアカウントと他サービスでパスワードを共有しており、そのパスワードは他サービスから漏洩していたという。RubyGems.orgアカウントは10年以上前に作成したもので、最近はほとんど活動していなかったことからパスワードの安全性にも注意を払っていなかったとのこと。攻撃の流れとしては、価値の高いターゲットライブラリを選んでアカウント名を取得し、流出パスワードのリストと照合したとの見方を示している。

RubyGems.orgは影響を受けるバージョンをすべて公開停止し、1.6.9と同じ内容の1.6.14を新バージョンとしてリリースしている。さらに、二要素認証の使用などメインテナーに求めるセキュリティプラクティスの確立や、アクティブなメインテナーの維持に関するポリシーの導入などを計画しているとのこと。なお、これに関連して不正なコードを含むパッケージが多数見つかり、すべて公開停止となっている。

RubyGems.orgアカウントへの不正アクセスとしては、3月にバックドアを含むbootstrap-sass 3.2.0.3が公開されたことがスラドでも話題になったが、6月にもバックドアを含むstrong_password 0.0.7が公開されていたとのことだ。不正アクセスを受けたstrong_passwordのオーナーも他サービスで流出した古いパスワードの使用していた点や最近活動していなかった点など、rest-clientのメインテナーと状況が似通っている。