SIMカードの脆弱性とそれを悪用する攻撃「Simjacker」について、通信会社向けのサイバーセキュリティ企業AdaptiveMobile Securityが解説している(AdaptiveMobile Securityのブログ記事、 Android Policeの記事、 The Next Webの記事、 Ars Technicaの記事)。

Simjackerの脆弱性とは、一連のSIM Toolkit (STK)コマンドを含む特別に細工したSMSを受信することで、それらのSTKコマンドが実行されてしまうというものだ。コマンドの実行環境としては、SIMカード内のS@T (SIMalliance Toolbox) Browserというソフトウェアが使われる。S@Tは2009年以降更新されていないという古い規格で、機能の多くが新しいテクノロジーで置き換えられているものの、現在も広く使われているという。

具体的な攻撃としては、ターゲットにSimjacker用に細工したSMSを送り付け、ターゲットに気付かれることなくIMEIや位置情報などを記載したSMSを送信させるというものが挙げられている。エクスプロイトは複数の国の政府が特定の個人を監視するために使用しているそうだ。攻撃用SMSに含めるSTKコマンドを変えることで、偽情報を記載したSMS/MMSを送信することや、ターゲット側から電話をかけさせて音声を聞くこと、Webブラウザーを起動して別のマルウェアを実行させること、SIMカードを無効化することなども可能となる。マルウェアのリンクを送付するなど、SMSがサイバー攻撃に使われるのは珍しくないが、マルウェアそのものを含むSMSが現実の攻撃で使われるのは初めてのようだ。

こういった攻撃を防ぐためAdaptiveMobile Securityでは顧客の携帯通信会社と協力しているほか、GSM Association(GSMA)やSIMallianceと脆弱性情報を共有している。その結果、GSMAではGSMA CVDプログラムを通じたモバイルコミュニティー全体での情報共有が行われ、SIMallianceではS@T仕様に関する新しいセキュリティガイドライン(PDF)を公開している。

なお、Simjackerの詳細については、10月2日～4日に英国・ロンドンで開催されるVirus Bulletin International Conference (VB2019)で10月3日に発表予定とのことだ。

headless曰く、

米連邦巡回区第9控訴裁判所は9日、hiQ LabsがLinkedInを訴えていた裁判で、LinkedIn公開プロフィールへのスクレイピングをブロックしないようLinkedInに命じた一審の事前差止命令を支持し、連邦地裁へ差し戻した（裁判所文書：PDF、The Next Web、BetaNews、The Verge）。

hiQ LabsはLinkedInユーザーの公開プロフィールをスクレイピングして分析し、クライアント企業に従業員の転職する可能性などを通知するサービスを行っている。これに対しLinkedInは2017年、無許可でデータをスクレイピングする行為はユーザー規約やコンピューター詐欺と濫用に関する法律 （CFAA）、デジタルミレニアム著作権法 （DMCA）、カリフォルニア州法に違反するなどとして、スクレイピングを即時中止するよう通告し、ボットによるアクセスをブロックするなどの措置をとった。そのため、hiQは同社の行為が違法でないことの確認を求めてLinkedInを提訴。一審のカリフォルニア北部地区連邦地裁がLinkedInにブロックの中止を命ずる事前差止命令などを出したため、LinkedIn側が上訴していた。

控訴裁判所ではスクレイピングのブロックがhiQに回復不可能な損害を与えるという連邦地裁の判断を支持。プロフィールの公開を選択しつつ一定のプライバシーを期待するLinkedInユーザーがいるにしても、hiQがビジネスを継続することの重要性を上回ることはないと判断した。さらにCFAAが定める「許可のない」アクセスの範囲について、パスワード認証などによるアクセス許可を得ていない場合に限定されるのかどうか、といった重要な問題提起をhiQが行っているとも述べ、連邦地裁に審理を継続するよう命じている。

Instagramで「非公開」設定で投稿した写真や動画は、そのURLを知っていれば誰もがアクセスできるという（BuzzFeed News、GIZMODO、GIGAZINE、Slashdot）。

そのため、たとえば非公開設定で投稿された写真や動画を閲覧できるユーザーがそのURLを拡散すれば、そのコンテンツは誰もが閲覧できてしまうという。Facebookでも同様の仕組みになっているとのこと。また、その場合誰がそのコンテンツを閲覧したかを追跡することもできないという。

taraiok曰く、

米ハバフォード大学の学生が、トランプ大統領の納税申告書をハッキングによって手に入れようとして逮捕されていたそうだ（The Philadelphia Inquirer、Slashdot）。

1970年代後半以降の主要政党における米国大統領候補者は、選挙日の前に納税申告書を公開してきた。しかし、トランプ大統領は、大統領選の段階でも「税務申告書から学ぶべきことはない」として、自身の納税記録の公開を拒んできた経緯がある。

逮捕された1人のAndrew Harrisは、連邦政府の学生援助の申請を提出したとき、フォーム入力時にアメリカ合衆国内国歳入庁（IRS）にリダイレクトされて、自分の納税申告情報が自動的にインポートされることに気がついた。そこで、2016年11月の大統領選挙の6日前、HarrisとJustin Hiemstraは、トランプの血縁を偽装してドナルド・トランプ氏の納税申告書を入手することを企てた。

彼らは、学生支援無料アプリケーション（FAFSA）にアクセス。トランプの子供の名前で登録しようとしたところ、すでにユーザー登録されていたという。そこで、パスワードリセットに挑戦した。必要な質問項目はGoogleで検索して答えを推測した。しかし、セキュリティ関係の質問の一つは4回挑戦して失敗。結局あきらめることになった。しかし、彼らの行動は監視されており、IRSはすぐに連邦捜査官をハバフォード大学に派遣、彼らは逮捕されたという。

Bill Hates曰く、

INTERNET Watchによれば、トレンドマイクロの法人向けセキュリティ製品「ウイルスバスターコーポレートエディション」などを含む複数の製品の脆弱性に対する攻撃が確認されており、検索設定など任意の設定を変更される恐れがあるという。

2019年4月4日に情報が公開され、すでに修正プログラムが公開されているにも関わらず、法人向けセキュリティシステムが約5か月更新されないというのはどのような事情があるのだろうか。

GoogleのProject Zeroチームが8月末に公表したiOSの脆弱性を狙う攻撃について、実際よりもはるかに大規模な攻撃が行われているように印象付けているとして、AppleがGoogleを批判している(Appleの声明、 The Vergeの記事[1]、 [2]、 Ars Technicaの記事)。

Project Zeroはブログ記事で、バージョンごとに異なるiOS(10～12)の脆弱性を組み合わせたエクスプロイトチェーンにより、ハックされたWebサイトを訪れただけでユーザーのiPhoneに監視ツールをインストールする攻撃キャンペーンが少なくとも2年間行われていたと主張している。Webサイトの数は少数で、週間ビジター数は数千人程度、特定のグループを対象にした攻撃、などといった記述がみられる一方、すべてのiPhoneが攻撃の対象になっていたような記述もみられる。

Appleは攻撃に使われていたのがウイグル族向けのWebサイトで幅広いiPhoneユーザーがターゲットになっていたわけではないとし、攻撃に使われていたWebサイトは1ダースもなく、攻撃が行われていた期間も2か月程度だったと主張する。また、エクスプロイトで使われていたiOS 12のゼロデイ脆弱性はGoogleから通知を受けた時点で既に修正作業が進んでいたとも述べ、脆弱性の影響が小さいと印象付けつつiOSの安全性を強調している。

一方、GoogleはProject Zeroの投稿がセキュリティ脆弱性に関する理解を深めるためのものであり、防御戦略を向上させるなどとして、Project Zeroを支持する声明を出したとのことだ。なお、攻撃はWindowsユーザーやAndroidユーザーもターゲットにしていたとForbesが報じていたが、これに関する言及はない。

各種ゼロデイ脆弱性を利用したエクスプロイトの買取を行うZERODIUMが3日、モバイル向けエクスプロイトの買い取り価格一部改訂を発表した(ZERODIUMのツイート、 価格改定内容、 Ars Technicaの記事、 The Registerの記事)。

これまでの最高額はiOSのエクスプロイト緩和策をすべて迂回してユーザーの操作なしに任意のアプリを永続的にインストール可能なエクスプロイト(iOS FCP Zero Click)の最高200万ドルだったが、新たに追加されたAndroidに対する同様のエクスプロイト(Android FCP Zero Click)が最高250万ドルに設定されており、Androidのエクスプロイト買取価格がiOSを初めて上回った。

また、ユーザーの操作なしに任意コード実行およびローカルでの権限昇格が可能なWhatsAppのエクスプロイト(WhatsApp RCE+LPE Zero Click)またはiMessageのエクスプロイト(iMessage RCE+LPE Zero Click)は、これまでの100万ドルから150万ドルにそれぞれ増額されている。一方、ユーザーの操作が必要なエクスプロイトに関しては、iOSのエクスプロイト(iOS FCP One Click)が150万ドルから100万ドルに減額され、iMessageのエクスプロイト(iMessage RCE+LPE)は100万ドルから50万ドルに減額された。

ZERODIUMでは今回の価格改定を市場の動向に従ったものだと説明している。

Anonymous Coward曰く、

中国・華為技術（Huawei、ファーウェイ）製品に対しては以前よりバックドアが存在するのではないかとの疑惑があったが、同社はこの疑惑を晴らすため日本政府に自社製品のソースコードを公開することを提案しているという（日経新聞、共同通信）。

「通信会社など顧客企業の要望があれば製品の様々な検証に対応する」との方針。すでにファーウェイは英国などで製品のソースコードを公開し第三者機関などの検証を受けているという。

SMSでは容易に送信元を偽装でき、正規の送信元からのメッセージに偽装したメッセージを紛れ込ますことができるという（SMSで送信元を偽装したメッセージを送る）。

SMSでは任意の英数字を送信元として表示するための仕様（Sender ID）があり、これに従ってメッセージを送信するだけで任意の文字列を送信元として指定できるという。また、iOSのメッセージアプリなど、昨今のスマートフォンに搭載されているSMSアプリではチャットのような体裁でメッセージのやり取りを表示するものがあるが、iOSのメッセージアプリではこのSender IDを元にスレッド表示を行うため、正規の送信元からのメッセージと同じSender IDを使用することで、偽装したメッセージがスレッドに混入してしまうという。

こうした行為は「スミッシング」と呼ばれ、今年6月に日本サイバー犯罪対策センターから注意喚起も出されている、

なお、SMSを送信する上記の記事で検証に使用したSMS送信サービスTwilioでは電話番号をSender IDに設定することはできないとのこと。

JR西日本のWebサイトが不正アクセスを受け、フィッシング詐欺サイトに誘導するよう改ざんされていたという（NHK、piyolog、ITmedia、JR西の発表）。

問題となったのは特急「パンダくろしお」号の運行スケジュールを掲載している『パンダくろしお「Smileアドベンチャートレイン」運行情報』というサイト。このサイトにアクセスすると、アンケートへの回答を求める不審なサイトが表示される状態になっていたという。

JR西がサイト運営会社に確認を求めたところ、サイトの改ざんが確認されたという。問題のアンケートサイトではクレジットカード情報の入力が求められていたようだ。

Anonymous Coward曰く、

スタジオジブリのアニメ映画「天空の城ラピュタ」では、天空の城である「ラピュタ」を崩壊させるための滅びの呪文「バルス」が登場するが、このシステムは多要素認証の観点からして安全だとする説がTwitterに投稿されて議論になっている（Togetterまとめ）。

曰く、「王家の人間が（生体：What you are）」「飛行石を握り（物理鍵：What you have）」「呪文を唱える（パスワード：What you know）」という、現代のセキュリティ概念の3要素が含まれているという。

Anonymous Coward曰く、

自動販売機の硬貨選別器（コインメック）に衝撃を与えることで誤作動させ中身の硬貨や飲料を盗む手口が広がっているという（朝日新聞）。

硬貨選別機を破壊することで、投入した硬貨は釣り銭口に戻ってくるにも関わらず該当金額を投入したと認識させることができるそうだ。特定の機種ばかりが狙われているとのことで、クチコミ等でこの脆弱性（？）がある自販機の情報が広がっている模様。

headless曰く、

Googleは8月29日、Google Playの脆弱性報告報奨金プログラム「Google Play Security Reward Program（GPSRP）」の対象拡大と、新しい報奨金プログラム「Developer Data Protection Reward Program（DDPRP）」を発表した（Android Developers Blog、Android Police、VentureBeat、The Register）。

これまでGPSRPではGoogle製のアプリおよびプログラム参加企業/開発者のアプリのみが対象となっていたが、今後はGoogle Playでのインストール件数が1億回を超えているすべてのアプリが対象となる。これによりアプリ開発者が報奨金プログラムを用意していない場合でも、Googleが開発者に対する脆弱性の責任ある開示の手助けをする。開発者が脆弱性を認めた場合、報告者はGoogleに報奨金を請求できる。開発者が報奨金プログラムを用意している場合、報告者は開発者からの報奨金に加えてGoogleからの報奨金も受け取ることが可能となる。

GoogleはGPSRPを通じて得た脆弱性情報から自動化された検査項目を生成し、同様の脆弱性をGoogle Playで公開されているすべてのアプリでスキャンする。脆弱性が発見された場合はApp Security Improvement（ASI）プログラムの一環としてPlay Consoleを通じて開発者に通知し、修正内容などの情報を提供するとのこと。

DDPRPはAndroidアプリやOAuthプロジェクト（Google API）、Chrome拡張によるユーザーデータ不正利用の発見・報告に対する報奨金プログラムだ。たとえば、ユーザーデータを暗号化せずに送信することや、ユーザーデータの無断収集、ユーザーデータの目的外使用などが該当する。Androidアプリの場合はGoogle Playストアで1億回以上インストールされていること、Google APIとChrome拡張の場合はユーザーが5万人以上いることが報奨金の条件となる。

Anonymous Coward曰く、

フランス警察がAvastの協力のもと、マルウェアのボットネットを利用して、マルウェアに感染した85万台のコンピューターを操作し、そのマルウェアを消去した（ ZDNet）。

問題になったマルウェアは2017年から確認されている「Retadup」と呼ばれるもので、Windowsマシンで暗号通貨を採掘・送信する。技術的な情報と実行された対処については、Avastが8月28日付けで詳しいレポートを出している（公開されたファイル情報やレジストリのキーなど）。

ウィルス対策ソフトを意識してサンドボックス下での動作を嫌って大人しくしているところや、フォルダに見えるショートカットをC:以外の全てのドライブに作成する（つまり、USBメモリなどを通じてゆっくり増殖する）など、物語として読んでもわりと面白い。BBCによると当局が説明した侵入経路は「儲け話やエロ画像を餌にしたメールと、感染済みのUSBドライブ」らしい。2017年のトレンドマイクロの解説では標的型、いわゆるスピアフィッシングが疑われていたので、ピンポイントな攻撃があったかどうかは気になるところ。

犯人は逮捕されていないが、Avastは作者のTwitterアカウントを特定した、としている。確かに、よく見るとトレンドマイクロとのやり取りでは犯行声明（曰く、「自分はハッカーではなく採掘の初心者」）らしきものもある。

ただ、感染地域を見ると、フランスを含むEU地域はほぼゼロで、中南米を中心にアメリカやロシアにも広がっていたようだ。法的にはどうなんだろうか。

米国で歯科医院向けにクラウドバックアップサービスを提供する企業がランサムウェア攻撃を受け、サービスを利用する歯科医院がカルテなどのデータにアクセスできなくなったそうだ(PerCSoftのFacebookページ、 The Digital Dental Recordとウィスコンシン歯科医師会の声明: PDF、 Krebs on Securityの記事、 The Next Webの記事)。

攻撃を受けたのは米ウィスコンシン州のPerCSoftとThe Digital Dental Record(2社の住所は同じ)が提供する「DDS Safe」という製品だ。クラウドとローカルドライブ、外付けドライブの3か所にバックアップを保存することで、ランサムウェアの影響を最小限に抑えることができるというのが売りとなっている。

The Digital Dental Recordは8月26日8時44分、クライアントデータをバックアップするリモート管理ソフトウェアにランサムウェアが展開されたことに気付いたという。すぐに調査を行って脅威を排除したが、多くの歯科医院が影響を受けることになる。ウィスコンシン歯科医師会(WDA)によると、全米でおよそ400軒の歯科医院がデータにアクセスできなくなったとのこと。PerCSoftはデクリプターを入手してデータの復号を進めており、相当部分が復旧しているようだ。

ZDNetの記事は2社が身代金を払ったと報じており、Krebs on Securityの記事では歯科業界で働くITプロフェッショナル向けFacebookグループに投稿された、身代金を払っていることをPerCSoftが説明したものだというスクリーンショットを掲載している。ただし、2社は表立って身代金支払いを認めてはいない。WDAでは調査が進められている最中なので攻撃の詳細を説明することはできないが、会が身代金を支払ったことはなく、問題解決に会費が使われることはないとも述べている。

現在、クラウドのデータやバックアップサービスはランサムウェアの主要なターゲットになっているという。なお、上述のFacebookグループに投稿されたデクリプターのスクリーンショットから、攻撃に使われたのは「REvil」「Sodinokibi」などと呼ばれるランサムウェアとみられている。