米国・アイオワ州の州裁判所庁舎で侵入テストを請け負った業者のスタッフ2名が物理的な侵入テスト中に逮捕されるという事件が11日に発生したのだが、これについて発注側の州裁判所事務局と受注側のセキュリティ企業Coalfireが契約の適用範囲の解釈に違いがあったとの声明を発表した(州裁判所事務局の声明、 Coalfireの声明、 Des Moines Registerの記事、 Ars Technicaの記事、 The Registerの記事)。

11日午前0時30分頃、アイオワ州エイデルのダラス郡裁判所庁舎でアラームが作動したため保安官が駆け付けたところ、侵入用の工具を所持して庁舎3階の廊下を歩いている2名を発見。2名は契約書を見せて侵入許可を得ていると説明し、裁判所事務局も2名を逮捕しないよう求めたが、保安官はダラス郡の納税者のものである建物への侵入許可を出せるものはいないなどとして2名を逮捕してしまう。現在、2名は保釈中だが、9日にポーク郡裁判所庁舎へ侵入した容疑もかけられているという。

Microsoftは20日、選挙の電子投票システムに使われているWindows 7に対し、2020年いっぱいセキュリティ更新プログラムを無償提供することを発表した(Microsoft On the Issuesの記事、 Windows Centralの記事)。

Microsoftによれば、Windows 7を使用する投票システムは少数だが、無視できない数が残されているという。しかし、投票システムの認証には時間がかかるため、今から更新したのでは2020年の選挙に間に合わないため、Defending Democracy Programの一環として更新プログラム無償提供を決めたとのこと。更新プログラムが無償提供されるのは国による認証済みのWindows 7ベースの電子投票機で、米国だけでなくEIU Democracy Indexで民主国家と定義されている国も対象になるとのこと。また、MicrosoftではWindows 7ベースの電子投票機へ確実に更新プログラムが提供されるよう、大手電子投票機メーカーとも協力しているそうだ。

ソフトウェアの未修正脆弱性に対し「マイクロパッチ」と呼ばれるサードパーティーパッチを提供するACROS Securityの0patchが20日、Windows 7/Server 2008のサポート終了後もこれらのOSに対するパッチを提供し続ける計画を明らかにした(0patch Blogの記事、 Windows Centralの記事)。

NetApplicationsのデスクトップOSバージョン別シェアデータによれば、Windows 7のシェアは昨年8月 (37.80%)から今年8月 (30.34%)の1年間で7.46ポイントしか減少しておらず、サポートが終了する来年1月時点でも高いシェアを維持し続けるとみられる。MicrosoftではWindows 7向けにサポート終了後の有料セキュリティアップデートオプション(Windows 7 ESU)を最大3年間にわたって提供するが、ボリュームライセンスのWindows 7 Professional/Enterpriseのみが対象であり、価格も毎年上昇する。

0patchのパッチ作成計画としては、Windowsの月例更新に合わせて出されるMicrosoftのセキュリティアドバイザリからWindows 7/Server 2008にも適用されそうな脆弱性を特定し、Windows 10の更新プログラムの変更部分から同じコードがWindows 7/Server 2008にも存在するかどうかを確認する。あとはPOCの収集とマイクロパッチの作成を行い、POCによるテストとその他の副作用に関するテストを経てパッチをリリースするとのこと。0patchのマイクロパッチは常駐プログラム「0patch Agent」により、実行中のプロセスに対して直接適用される。パッチ適用に再起動は必要なく、適用の有無も切り替え可能だ。

0patchは現在、個人と非営利の教育向け利用に限って無料で利用できるFree版と、有料のPro版が提供されており、大きな組織向けにパッチの中央管理が可能なEnterprise版も第4四半期に提供開始が予定されている。

headless曰く、

Microsoftは16日、Exchange Server 2010の延長サポート終了日を2020年1月14日から2020年10月13日に変更することを明らかにした（Exchange Team Blog、Computerworld、gHacks、Register）。

延長の決定は数多くの顧客の環境におけるデプロイ状態を調査・分析した結果によるものだといい、一部の顧客がアップグレードの最中であることを考慮したとのこと。変更は既に製品ライフサイクル検索結果にも反映している。サポートが終了してもExchange Server 2010が動作しなくなるわけではないが、一刻も早いアップグレードが推奨されている。なお、Windows Server 2008/2008 R2のサポート終了日は2020年1月14日のまま変更されていない。これらのOS上でExchange Server 2010を実行している場合、OS側の対策も必要となる。

Anonymous Coward曰く、

南米エクアドルで2000万人以上の個人情報が流出する事件が発生した。流出した個人情報は氏名・生年月日・出生地・住所・メールアドレス・身分証明書番号・納税者番号・銀行口座の番号および残高・学歴・携帯電話番号など。故人の情報もあり、それに関しては死亡日時や死因なども含まれていたという（NHK、CNN、CNET Japan）。

これについて、「国民の情報の管理を委託していた民間の会社」が攻撃された結果とエクアドル政府は発表している。情報の流出元はエクアドルのコンサルティング企業Novaestratで、同社はデータ分析などに使われるデータベースソフトウェア「Elasticsearch」のサーバーをパスワードなしで誰でもアクセスできる状態にしていたという。

エクアドルの現在人口は約1650万人で、ほぼすべての国民の情報が漏れたことになる。残りの数百万件についてはすでに亡くなった人とみられるが、現時点で正確な内訳は分かっていない。最近まで在英エクアドル大使館にこもっていたジュリアン・アサンジ被告の個人情報も含まれていたようだ。

Anonymous Coward曰く、

ミシガン大学の研究チームが、自動運転車のセンサーを騙すことで動作を混乱させるという手法を考案したという（CNET Japan、ミシガン大学の発表）。

記述の内容は、（一次）レーダーに対するジャミングにおける欺瞞手法を、LiDARに応用するようなもので、当然可能と思われる。（一次）レーダーでは、周波数ホッピングや直接スペクトラム拡散が対抗手段としてあるが、LiDARでそれを可能にするのは自由電子レーザーなどになり、当面量産自動車に載るような代物ではない。

この攻撃手法は、光を使った測距センサーであるLiDARの受光部に対し特定のパターンのレーザー光を照射するというもの。これによって、実在しない障害物をあたかも存在するかのように認識させることができるという。

Anonymous Coward曰く、

2016年12月29日、当時の米オバマ政権は、同年に行われた大統領選挙でのロシアの干渉に報復するため、ロシア外交官35人と家族に国外退去を命じる措置をとった。しかし、この裏には別の重要な理由があったのだという。元米当局者によると、少なくとも一部の追放された外交官は、ロシアの諜報活動において重要な役割を果たしていたとしている。

彼らはFBIの利用していた暗号化された通信を標的にした作戦を行っており、通信を復号化する能力を劇的に高めることに成功。FBIのエリート監視チームが使用する機器の位置など正確に追跡できていたとしている。米国当局はまた、ロシアがインターネットに接続されていないコンピュータへのハッキングを計画していた可能性があるとも指摘している。一方でロシア側はこれを否定。在米ロシア大使館は米国当局に説明を求めているという。

この話と直接関係あるかどうかは不明だが、読売新聞でロシア大統領府の元職員が米国のスパイとして2017年まで活動していたと報じられている。米CNNによると、元職員は「10年以上にわたり」、スパイとしてロシアの内部情報などを米情報機関に伝えていたとしている（Yahoo!News、Slashdot）。

あるAnonymous Coward 曰く、

ゲーマー同士の争いが発端のスワッティング(swatting)により、カンサス州ウィチタの無関係な男性が警官に射殺された2017年の事件で、虚偽の通報を依頼した男に15か月の実刑判決が言い渡された(CNNの記事)。

この事件では虚偽の通報をした男が既に20年の実刑判決を受けている。虚偽の通報でターゲットの家に警官隊を出動させるスワッティングは、米国の一部ゲーマーの間で気に入らない相手を黙らせる方法として横行し、問題化していた。

現在は削除されているが、Mozillaは9月初めからFirefoxの法人向けページに有料サポート (Firefox premium support for enterprise)の情報を掲載していた(Internet Arciveのスナップショット、 Neowinの記事、 gHacksの記事、 The Next Webの記事)。

掲載されていた情報によれば、有料サポートの料金設定はサポート対象のFirefoxインストール1件につき10ドルからとなっており、24時間サポートが提供される。また、非公開でのバグ報告や回答時間の保証、サービスレベル契約 (SLA)による重大なセキュリティバグ修正、専用のポータルサイトなども提供される。

ただし、「Contact Sales」ボタンをクリックすると表示されるのは問い合わせフォームとFirefox Enterpriseのサインアップ画面を合わせたようなページで、有料サポートなどの法人向けサービスに興味があるかという設問もみられる。この件に関する発表も特に行われていないようで、本格的に開始している雰囲気ではない。

SIMカードの脆弱性とそれを悪用する攻撃「Simjacker」について、通信会社向けのサイバーセキュリティ企業AdaptiveMobile Securityが解説している(AdaptiveMobile Securityのブログ記事、 Android Policeの記事、 The Next Webの記事、 Ars Technicaの記事)。

Simjackerの脆弱性とは、一連のSIM Toolkit (STK)コマンドを含む特別に細工したSMSを受信することで、それらのSTKコマンドが実行されてしまうというものだ。コマンドの実行環境としては、SIMカード内のS@T (SIMalliance Toolbox) Browserというソフトウェアが使われる。S@Tは2009年以降更新されていないという古い規格で、機能の多くが新しいテクノロジーで置き換えられているものの、現在も広く使われているという。

具体的な攻撃としては、ターゲットにSimjacker用に細工したSMSを送り付け、ターゲットに気付かれることなくIMEIや位置情報などを記載したSMSを送信させるというものが挙げられている。エクスプロイトは複数の国の政府が特定の個人を監視するために使用しているそうだ。攻撃用SMSに含めるSTKコマンドを変えることで、偽情報を記載したSMS/MMSを送信することや、ターゲット側から電話をかけさせて音声を聞くこと、Webブラウザーを起動して別のマルウェアを実行させること、SIMカードを無効化することなども可能となる。マルウェアのリンクを送付するなど、SMSがサイバー攻撃に使われるのは珍しくないが、マルウェアそのものを含むSMSが現実の攻撃で使われるのは初めてのようだ。

こういった攻撃を防ぐためAdaptiveMobile Securityでは顧客の携帯通信会社と協力しているほか、GSM Association(GSMA)やSIMallianceと脆弱性情報を共有している。その結果、GSMAではGSMA CVDプログラムを通じたモバイルコミュニティー全体での情報共有が行われ、SIMallianceではS@T仕様に関する新しいセキュリティガイドライン(PDF)を公開している。

なお、Simjackerの詳細については、10月2日～4日に英国・ロンドンで開催されるVirus Bulletin International Conference (VB2019)で10月3日に発表予定とのことだ。

headless曰く、

米連邦巡回区第9控訴裁判所は9日、hiQ LabsがLinkedInを訴えていた裁判で、LinkedIn公開プロフィールへのスクレイピングをブロックしないようLinkedInに命じた一審の事前差止命令を支持し、連邦地裁へ差し戻した（裁判所文書：PDF、The Next Web、BetaNews、The Verge）。

hiQ LabsはLinkedInユーザーの公開プロフィールをスクレイピングして分析し、クライアント企業に従業員の転職する可能性などを通知するサービスを行っている。これに対しLinkedInは2017年、無許可でデータをスクレイピングする行為はユーザー規約やコンピューター詐欺と濫用に関する法律 （CFAA）、デジタルミレニアム著作権法 （DMCA）、カリフォルニア州法に違反するなどとして、スクレイピングを即時中止するよう通告し、ボットによるアクセスをブロックするなどの措置をとった。そのため、hiQは同社の行為が違法でないことの確認を求めてLinkedInを提訴。一審のカリフォルニア北部地区連邦地裁がLinkedInにブロックの中止を命ずる事前差止命令などを出したため、LinkedIn側が上訴していた。

控訴裁判所ではスクレイピングのブロックがhiQに回復不可能な損害を与えるという連邦地裁の判断を支持。プロフィールの公開を選択しつつ一定のプライバシーを期待するLinkedInユーザーがいるにしても、hiQがビジネスを継続することの重要性を上回ることはないと判断した。さらにCFAAが定める「許可のない」アクセスの範囲について、パスワード認証などによるアクセス許可を得ていない場合に限定されるのかどうか、といった重要な問題提起をhiQが行っているとも述べ、連邦地裁に審理を継続するよう命じている。

Instagramで「非公開」設定で投稿した写真や動画は、そのURLを知っていれば誰もがアクセスできるという（BuzzFeed News、GIZMODO、GIGAZINE、Slashdot）。

そのため、たとえば非公開設定で投稿された写真や動画を閲覧できるユーザーがそのURLを拡散すれば、そのコンテンツは誰もが閲覧できてしまうという。Facebookでも同様の仕組みになっているとのこと。また、その場合誰がそのコンテンツを閲覧したかを追跡することもできないという。

taraiok曰く、

米ハバフォード大学の学生が、トランプ大統領の納税申告書をハッキングによって手に入れようとして逮捕されていたそうだ（The Philadelphia Inquirer、Slashdot）。

1970年代後半以降の主要政党における米国大統領候補者は、選挙日の前に納税申告書を公開してきた。しかし、トランプ大統領は、大統領選の段階でも「税務申告書から学ぶべきことはない」として、自身の納税記録の公開を拒んできた経緯がある。

逮捕された1人のAndrew Harrisは、連邦政府の学生援助の申請を提出したとき、フォーム入力時にアメリカ合衆国内国歳入庁（IRS）にリダイレクトされて、自分の納税申告情報が自動的にインポートされることに気がついた。そこで、2016年11月の大統領選挙の6日前、HarrisとJustin Hiemstraは、トランプの血縁を偽装してドナルド・トランプ氏の納税申告書を入手することを企てた。

彼らは、学生支援無料アプリケーション（FAFSA）にアクセス。トランプの子供の名前で登録しようとしたところ、すでにユーザー登録されていたという。そこで、パスワードリセットに挑戦した。必要な質問項目はGoogleで検索して答えを推測した。しかし、セキュリティ関係の質問の一つは4回挑戦して失敗。結局あきらめることになった。しかし、彼らの行動は監視されており、IRSはすぐに連邦捜査官をハバフォード大学に派遣、彼らは逮捕されたという。

Bill Hates曰く、

INTERNET Watchによれば、トレンドマイクロの法人向けセキュリティ製品「ウイルスバスターコーポレートエディション」などを含む複数の製品の脆弱性に対する攻撃が確認されており、検索設定など任意の設定を変更される恐れがあるという。

2019年4月4日に情報が公開され、すでに修正プログラムが公開されているにも関わらず、法人向けセキュリティシステムが約5か月更新されないというのはどのような事情があるのだろうか。

GoogleのProject Zeroチームが8月末に公表したiOSの脆弱性を狙う攻撃について、実際よりもはるかに大規模な攻撃が行われているように印象付けているとして、AppleがGoogleを批判している(Appleの声明、 The Vergeの記事[1]、 [2]、 Ars Technicaの記事)。

Project Zeroはブログ記事で、バージョンごとに異なるiOS(10～12)の脆弱性を組み合わせたエクスプロイトチェーンにより、ハックされたWebサイトを訪れただけでユーザーのiPhoneに監視ツールをインストールする攻撃キャンペーンが少なくとも2年間行われていたと主張している。Webサイトの数は少数で、週間ビジター数は数千人程度、特定のグループを対象にした攻撃、などといった記述がみられる一方、すべてのiPhoneが攻撃の対象になっていたような記述もみられる。

Appleは攻撃に使われていたのがウイグル族向けのWebサイトで幅広いiPhoneユーザーがターゲットになっていたわけではないとし、攻撃に使われていたWebサイトは1ダースもなく、攻撃が行われていた期間も2か月程度だったと主張する。また、エクスプロイトで使われていたiOS 12のゼロデイ脆弱性はGoogleから通知を受けた時点で既に修正作業が進んでいたとも述べ、脆弱性の影響が小さいと印象付けつつiOSの安全性を強調している。

一方、GoogleはProject Zeroの投稿がセキュリティ脆弱性に関する理解を深めるためのものであり、防御戦略を向上させるなどとして、Project Zeroを支持する声明を出したとのことだ。なお、攻撃はWindowsユーザーやAndroidユーザーもターゲットにしていたとForbesが報じていたが、これに関する言及はない。