パッチ不可能なBoot ROM(SecureROM)の脆弱性を利用し、古いiOSデバイスの脱獄を可能にするという「checkm8 (チェックメイト)」が発表された(開発者のツイート、 GitHubリポジトリ、 Mac Rumorsの記事、 Ars Technicaの記事)。

脆弱性はA5～A11チップのBoot ROMに存在し、iPhoneではiPhone 4S～iPhone 8/Xに該当する。現在公開されているのは開発途中のエクスプロイトの段階であり、MacにUSB接続したiOSデバイスからBoot ROMのダンプとキーバッグの復号、JTAGの有効化のみが可能となっている。Cydiaと組み合わせて利用できる完全な脱獄も可能だが、それにはまだまだ作業が必要だという。開発者のaxi0mX氏はiOS 12ベータでiBootのUSBコードに存在する脆弱性が修正された際にcheckm8の手法を発見したそうだ。

イタリアのITニュースブログサイトHTNovoは26日、MicrosoftコミュニティがCCleanerのWebサイト「www.ccleaner.com」をフィルター対象にしたと報じた24日の記事は誤りだったとして謝罪した(HTNovoの訂正記事)。

問題の記事はHTNovoを運営するMicrosoftコミュニティのモデレーターJo Val氏が執筆したもの。記事は既に削除されているが、Googleキャッシュで閲覧可能だ。

削除された記事によれば、CCleaner.comを含む11のドメインをフォーラムでフィルター対象に設定したという部外秘の連絡がモデレーター全員に送られたという。記事に掲載されていたモデレーター向けページのスクリーンショットでは、Microsoftはコミュニティーメンバーの安全を保つためにさまざまなフィルターを使用しており、一般のユーザーがブラックリストに登録されたWebサイトのURLを投稿した場合は一部分が「****」に置き換えられると説明されている。ブラックリストには「www.ccleaner.com」を含む11サイトが記載されているが、他の10サイトについてはマスクされている。

一方、同じくJo Val氏が執筆した訂正記事では、CCleanerがブラックリストに含まれていないだけでなく、Microsoft公式フォーラムにはWebサイトをフィルタリングするためのブラックリスト自体存在しないと説明されている。ただし、フォーラムでは以前からCCleanerのようなサードパーティーの最適化ツールの使用を推奨していないとのこと。

taraiok曰く、

Kaspersky Labsの研究者であるKonstantin Zykov氏によると、北朝鮮政府の下で働いていると目されるハッカー「Lazarus Group」が、インドのATMをターゲットにしたマルウェアを開発したという。このマルウェアは、ATMに挿入されたクレジットカードに含まれている個人情報を読み取って保存できる（Ars Technica、CISO MAG、Slashdot）。

Lazarus Groupは、2014年のSony Pictures Entertainmentへのサイバー攻撃や2017年のWannaCryランサムウェア攻撃などの容疑者とされている。Lazarus Groupは、昨年の夏ごろからインドのATMをターゲットにして広まっており、「ATMDtrack」という名称で呼ばれているという。ATMDtrackは、金融機関や研究センターをターゲットに広まっている、リモートアクセスを可能にする「Dtrack」と呼ばれるトロイの木馬の一種とされる。Dtrackは慎重に暗号化されているため、研究者によるマルウェアは困難だった。そこで感染したデバイスのメモリを分析してみたところ、ATMDtrackとDtrackに共通したコードがあることが判明した。

そのコードは2013年に韓国の銀行などの攻撃に使用されたコードの断片と同じだったとされる。こうした分析から最終的に、北朝鮮政府の主要なハッキング部門であるLazarus Groupの犯行だと結び付けられたとしている。

Amazon.co.jpで、注文履歴ページを開くと他人の注文履歴が表示されるというトラブルが発生しているようだ（CNET Japan、INTERNET Watch）。

すべてのユーザーで発生しているわけではないが、CNET Japanの記事では問題が発生しているユーザーが確認できたという。Amazon側はこの問題を確認しており、調査中だという。

headless曰く、

Microsoftは23日、Internet Explorerの脆弱性（CVE-2019-1367）を発表するとともに、セキュリティ更新プログラムをリリースした（セキュリティ更新プログラムガイド、Neowin、Windows Central、The Register）。

CVE-2019-1367はスクリプトエンジンのメモリ破損の脆弱性で、悪用すると現在のユーザーのコンテキストでリモートからの任意コード実行が可能になるというもの。既に攻撃が確認されており、深刻度の評価はクライアント系で「緊急」、サーバー系で「警告」となっているが、現在のところ更新プログラムはWindows Updateで提供されず、Microsoft Updateカタログからダウンロードして適用する必要がある。また、回避策として「jscript.dll」のアクセス許可を変更する方法が紹介されている。

Windowsバージョン別のKB記事およびダウンロードリンクは以下の通り。

• KB4522007（Microsoft Updateカタログ）: Windows 7 SP1/8.1/ServerR2 SP1/2012（IE10/IE11）/2012 R2/2008 SP2（IE9）
• KB4522009（Microsoft Updateカタログ）: Windows 10（RTM、ビルド10240）
• KB4522010（Microsoft Updateカタログ）: Windows 10 バージョン1607/Server 2016
• KB4522011（Microsoft Updateカタログ）: Windows 10 バージョン1703
• KB4522012（Microsoft Updateカタログ）: Windows 10 バージョン1709
• KB4522014（Microsoft Updateカタログ）: Windows 10 バージョン1803
• KB4522015（Microsoft Updateカタログ）: Windows 10 バージョン1809/Server 2019
• KB4522016（Microsoft Updateカタログ）: Windows 10 バージョン1903

LINE傘下のLINE Creditが、個人向けローンサービス「LINE Pocket Money」申込者の個人情報を含むExcelファイルを、誤ってLINEのチャットサービス「OpenChat」に投稿してしまい、チャット参加者がファイルをダウンロードできる状態になっていたと発表した（LINE Creditの発表）。

誤って投稿されたファイルは2分後に削除されたが、削除までの間、4名がこのファイルをダウンロードしていたという。漏洩したデータは280人分で、氏名および生年月日、自宅/携帯電話番号、LINE Creditで扱う管理番号、指定信用情報機関から取得した情報の一部が含まれていたとのこと。

米国・アイオワ州の州裁判所庁舎で侵入テストを請け負った業者のスタッフ2名が物理的な侵入テスト中に逮捕されるという事件が11日に発生したのだが、これについて発注側の州裁判所事務局と受注側のセキュリティ企業Coalfireが契約の適用範囲の解釈に違いがあったとの声明を発表した(州裁判所事務局の声明、 Coalfireの声明、 Des Moines Registerの記事、 Ars Technicaの記事、 The Registerの記事)。

11日午前0時30分頃、アイオワ州エイデルのダラス郡裁判所庁舎でアラームが作動したため保安官が駆け付けたところ、侵入用の工具を所持して庁舎3階の廊下を歩いている2名を発見。2名は契約書を見せて侵入許可を得ていると説明し、裁判所事務局も2名を逮捕しないよう求めたが、保安官はダラス郡の納税者のものである建物への侵入許可を出せるものはいないなどとして2名を逮捕してしまう。現在、2名は保釈中だが、9日にポーク郡裁判所庁舎へ侵入した容疑もかけられているという。

Microsoftは20日、選挙の電子投票システムに使われているWindows 7に対し、2020年いっぱいセキュリティ更新プログラムを無償提供することを発表した(Microsoft On the Issuesの記事、 Windows Centralの記事)。

Microsoftによれば、Windows 7を使用する投票システムは少数だが、無視できない数が残されているという。しかし、投票システムの認証には時間がかかるため、今から更新したのでは2020年の選挙に間に合わないため、Defending Democracy Programの一環として更新プログラム無償提供を決めたとのこと。更新プログラムが無償提供されるのは国による認証済みのWindows 7ベースの電子投票機で、米国だけでなくEIU Democracy Indexで民主国家と定義されている国も対象になるとのこと。また、MicrosoftではWindows 7ベースの電子投票機へ確実に更新プログラムが提供されるよう、大手電子投票機メーカーとも協力しているそうだ。

ソフトウェアの未修正脆弱性に対し「マイクロパッチ」と呼ばれるサードパーティーパッチを提供するACROS Securityの0patchが20日、Windows 7/Server 2008のサポート終了後もこれらのOSに対するパッチを提供し続ける計画を明らかにした(0patch Blogの記事、 Windows Centralの記事)。

NetApplicationsのデスクトップOSバージョン別シェアデータによれば、Windows 7のシェアは昨年8月 (37.80%)から今年8月 (30.34%)の1年間で7.46ポイントしか減少しておらず、サポートが終了する来年1月時点でも高いシェアを維持し続けるとみられる。MicrosoftではWindows 7向けにサポート終了後の有料セキュリティアップデートオプション(Windows 7 ESU)を最大3年間にわたって提供するが、ボリュームライセンスのWindows 7 Professional/Enterpriseのみが対象であり、価格も毎年上昇する。

0patchのパッチ作成計画としては、Windowsの月例更新に合わせて出されるMicrosoftのセキュリティアドバイザリからWindows 7/Server 2008にも適用されそうな脆弱性を特定し、Windows 10の更新プログラムの変更部分から同じコードがWindows 7/Server 2008にも存在するかどうかを確認する。あとはPOCの収集とマイクロパッチの作成を行い、POCによるテストとその他の副作用に関するテストを経てパッチをリリースするとのこと。0patchのマイクロパッチは常駐プログラム「0patch Agent」により、実行中のプロセスに対して直接適用される。パッチ適用に再起動は必要なく、適用の有無も切り替え可能だ。

0patchは現在、個人と非営利の教育向け利用に限って無料で利用できるFree版と、有料のPro版が提供されており、大きな組織向けにパッチの中央管理が可能なEnterprise版も第4四半期に提供開始が予定されている。

headless曰く、

Microsoftは16日、Exchange Server 2010の延長サポート終了日を2020年1月14日から2020年10月13日に変更することを明らかにした（Exchange Team Blog、Computerworld、gHacks、Register）。

延長の決定は数多くの顧客の環境におけるデプロイ状態を調査・分析した結果によるものだといい、一部の顧客がアップグレードの最中であることを考慮したとのこと。変更は既に製品ライフサイクル検索結果にも反映している。サポートが終了してもExchange Server 2010が動作しなくなるわけではないが、一刻も早いアップグレードが推奨されている。なお、Windows Server 2008/2008 R2のサポート終了日は2020年1月14日のまま変更されていない。これらのOS上でExchange Server 2010を実行している場合、OS側の対策も必要となる。

Anonymous Coward曰く、

南米エクアドルで2000万人以上の個人情報が流出する事件が発生した。流出した個人情報は氏名・生年月日・出生地・住所・メールアドレス・身分証明書番号・納税者番号・銀行口座の番号および残高・学歴・携帯電話番号など。故人の情報もあり、それに関しては死亡日時や死因なども含まれていたという（NHK、CNN、CNET Japan）。

これについて、「国民の情報の管理を委託していた民間の会社」が攻撃された結果とエクアドル政府は発表している。情報の流出元はエクアドルのコンサルティング企業Novaestratで、同社はデータ分析などに使われるデータベースソフトウェア「Elasticsearch」のサーバーをパスワードなしで誰でもアクセスできる状態にしていたという。

エクアドルの現在人口は約1650万人で、ほぼすべての国民の情報が漏れたことになる。残りの数百万件についてはすでに亡くなった人とみられるが、現時点で正確な内訳は分かっていない。最近まで在英エクアドル大使館にこもっていたジュリアン・アサンジ被告の個人情報も含まれていたようだ。

Anonymous Coward曰く、

ミシガン大学の研究チームが、自動運転車のセンサーを騙すことで動作を混乱させるという手法を考案したという（CNET Japan、ミシガン大学の発表）。

記述の内容は、（一次）レーダーに対するジャミングにおける欺瞞手法を、LiDARに応用するようなもので、当然可能と思われる。（一次）レーダーでは、周波数ホッピングや直接スペクトラム拡散が対抗手段としてあるが、LiDARでそれを可能にするのは自由電子レーザーなどになり、当面量産自動車に載るような代物ではない。

この攻撃手法は、光を使った測距センサーであるLiDARの受光部に対し特定のパターンのレーザー光を照射するというもの。これによって、実在しない障害物をあたかも存在するかのように認識させることができるという。

Anonymous Coward曰く、

2016年12月29日、当時の米オバマ政権は、同年に行われた大統領選挙でのロシアの干渉に報復するため、ロシア外交官35人と家族に国外退去を命じる措置をとった。しかし、この裏には別の重要な理由があったのだという。元米当局者によると、少なくとも一部の追放された外交官は、ロシアの諜報活動において重要な役割を果たしていたとしている。

彼らはFBIの利用していた暗号化された通信を標的にした作戦を行っており、通信を復号化する能力を劇的に高めることに成功。FBIのエリート監視チームが使用する機器の位置など正確に追跡できていたとしている。米国当局はまた、ロシアがインターネットに接続されていないコンピュータへのハッキングを計画していた可能性があるとも指摘している。一方でロシア側はこれを否定。在米ロシア大使館は米国当局に説明を求めているという。

この話と直接関係あるかどうかは不明だが、読売新聞でロシア大統領府の元職員が米国のスパイとして2017年まで活動していたと報じられている。米CNNによると、元職員は「10年以上にわたり」、スパイとしてロシアの内部情報などを米情報機関に伝えていたとしている（Yahoo!News、Slashdot）。

あるAnonymous Coward 曰く、

ゲーマー同士の争いが発端のスワッティング(swatting)により、カンサス州ウィチタの無関係な男性が警官に射殺された2017年の事件で、虚偽の通報を依頼した男に15か月の実刑判決が言い渡された(CNNの記事)。

この事件では虚偽の通報をした男が既に20年の実刑判決を受けている。虚偽の通報でターゲットの家に警官隊を出動させるスワッティングは、米国の一部ゲーマーの間で気に入らない相手を黙らせる方法として横行し、問題化していた。

現在は削除されているが、Mozillaは9月初めからFirefoxの法人向けページに有料サポート (Firefox premium support for enterprise)の情報を掲載していた(Internet Arciveのスナップショット、 Neowinの記事、 gHacksの記事、 The Next Webの記事)。

掲載されていた情報によれば、有料サポートの料金設定はサポート対象のFirefoxインストール1件につき10ドルからとなっており、24時間サポートが提供される。また、非公開でのバグ報告や回答時間の保証、サービスレベル契約 (SLA)による重大なセキュリティバグ修正、専用のポータルサイトなども提供される。

ただし、「Contact Sales」ボタンをクリックすると表示されるのは問い合わせフォームとFirefox Enterpriseのサインアップ画面を合わせたようなページで、有料サポートなどの法人向けサービスに興味があるかという設問もみられる。この件に関する発表も特に行われていないようで、本格的に開始している雰囲気ではない。