1月に延長サポートが終了するWindows 7だが、サポート終了に向けた通知表示がWindows 7 Professionalでも始まったようだ(KB4524752、 BetaNewsの記事、 gHacksの記事、 Softpediaの記事)。

MicrosoftはWindows 7サポート終了に向けた通知を表示する更新プログラムKB4493132の提供を3月に開始したが、その後Windows 7の企業向けエディション(Professional/Enterprise)は配信対象から除外されていた。通知を表示するプログラムはタスクスケジューラに登録されるが、プログラムが起動しても通知が表示されるとは限らないようだ。手元のWindows 7 Home Premium環境ではKB4493132が何度かインストールされていたが、実際に通知が表示されたのは10月18日だった。

先日リリースされた更新プログラムKB4524752はWindows 7 Professionalを対象とし、サポート終了の通知を表示するものだ。ただし、この更新プログラムがインストールされたすべての環境で通知が表示されるわけではなく、ドメインに参加しているデバイスやキオスクモードのデバイス、Windows 10無料アップグレードの通知(GWX)を無効化していたデバイスでは表示されないという。

通知の内容はKB4524752とKB4493132で共通だが、3月のものからは変更されている。現在は「Windows 7のサポート終了は来年、2020年1月となります。」「2020年1月14日以降、マイクロソフトからのWindows 7のセキュリティ更新プログラムや技術サポートは提供されなくなります。移行の準備として、各種ファイルのバックアップをとっておくことをお勧めします。」という内容だ。「詳細を見る」をクリックすると、「Windows 7のサポート終了情報」ページが表示される点は以前と同様だ。

通知は「今後、このメッセージを表示しない」にチェックを入れてウィンドウを閉じれば以降は表示されなくなるが、ITプロフェッショナル向けにはGWX無効化のレジストリ設定も紹介されている。なお、KB4524752をアンインストールしても次の更新プログラムチェックで再インストールされるため、推奨されないとのことだ。

Googleが先日発表したPixel 4/Pixel 4 XLでは指紋センサーが省略された代わりに顔認証が利用できるようになっているが、目をつぶっていても認証できてしまうことがある仕様らしい(BBC Newsの記事、 Android Policeの記事、 9to5Googleの記事、 SlashGearの記事)。

iPhoneのFace IDではデフォルトで画面注視認識機能が有効になっており、意識して画面を見ている場合にのみ認証される仕組みになっている。Face IDが初めて搭載されたiPhone Xの発売当初には偽の目玉で突破できたという実験結果が公表されており、最近も眠っている人に細工した眼鏡をかけることで突破する方法が公表されているが、実際に不正利用するには所有者が目を覚ましてしまう危険が伴う。

一方、Pixel 4の場合はGoogleのヘルプドキュメントに「お持ちのスマートフォンが自分以外の人によって顔の前に掲げられたとき、目を閉じている場合でもロックが解除されることがあります」と明記されている。Pixel 4の正式発表前にリークした画像では、顔認証でのアンロック時に目を開いていることを必須とするオプションが設定アプリに含まれていた。しかし、BBC Newsへの貸し出し機材には該当オプションがなく、Googleはリリース版には含まれないことをBBC Newsに伝えている。そのため、不正使用される可能性がある場合は顔認証自体を無効化するしかないようだ。

目をつぶった状態でPixel 4のロックを解除する検証動画を公開したBBC NewsのChris Fox氏は、眠っていても死んでいても認証されてしまうのは問題だと批判している。

Samsung Galaxy S10では超音波指紋センサーをスクリーン内部に搭載しているが、サードパーティー製のスクリーンプロテクターを使用すると登録されていない指紋でもアンロック可能な問題が発生しているそうだ(Samsungの発表、 9to5Googleの記事、 The Vergeの記事、 BetaNewsの記事)。

この問題を最初に報じたThe Sunの記事によれば、英国の女性がeBayで購入したシリコン製の全面保護ケース(こんな感じのもの)を装着してから指紋を登録したところ、登録していない夫の指でもロックが解除できたという。故障ではないかとSamsungのカスタマーサービスに電話すると、担当者はリモート操作で設定を確認したうえでセキュリティ上の問題を認めたとのこと。Samsungの広報担当者はThe Sunに対し、内部で調査を行っていること、顧客にはSamsungが認定した専用のアクセサリーを使用するよう推奨していることを伝えていた。

Samsungの発表によると、特定のシリコン製スクリーン保護ケースの3Dパターンを超音波指紋センサーが指紋パターンと認識・登録してしまうことが原因だという。つまり、プロテクター装着後に指紋を登録したのが問題のようだ。そのため、Galaxy S10シリーズ/Note10シリーズで同様のケースを使用している場合はスクリーン側のカバーを取り外し、登録済みの指紋をすべて削除して再度登録すること、この問題に対応するパッチを適用するまではカバーの使用を避けることを推奨している。パッチは早ければ来週提供できる見込みとのことだ。

Anonymous Coward曰く、

NTTドコモ子会社のドコモCSの契約社員が、同社の別の契約社員になりすまして福利厚生として提供されていたポイントを利用したとして不正アクセス禁止法違反の疑いで逮捕された（毎日新聞、日経新聞、産経新聞）。

ドコモCSはドコモショップの運営や各種サポートサービスなどを提供している企業。ドコモショップでは従業員に対し「ポイント」を使ったインセンティブ制度があり、容疑者は不正に入手した別の従業員のID/パスワードを使って他人のポイントをギフト券に交換して入手したという。

ポイントを管理するサイトでは、各ユーザーのIDと初期パスワードが従業員番号に設定されており、容疑者は社内回覧文書でIDを把握、パスワートを変更していないアカウントにアクセスしたようだ。容疑者の口座には計600万円の振り込みがあり、これは不正に入手したギフト券を換金したものだと見られているという。

headless曰く、

Microsoftは14日、企業向けのエンドポイントセキュリティソリューションMicrosoft Defender ATPで改ざん防止機能が一般利用可能になったと発表するとともに、（Windows 10 May 2019 Updateの）ホームユーザー環境ではWindowsセキュリティの「改ざん防止」をデフォルト有効に順次切り替えていくと発表した（Microsoft Tech Community、Neowin、gHacks、Softpedia）。

改ざん防止機能はマルウェアによるWindows Defenderウイルス対策の無効化など、セキュリティ設定の無断変更を防ぐ機能で、Windows 10 May 2019 Update以降で利用可能となっている。設定は「Windowsセキュリティ」の「ウイルスと脅威の防止→設定の管理→改ざん防止」で変更できる。Windows 10 Insider Preview（19H1ビルド: May 2019 Update）では2月のビルド18342でデフォルトオンになったと説明されており、Microsoftのサポートドキュメント（最終更新日6月6日）では改ざん防止がデフォルトでオンになっているとの記述もみられるが、一般向けリリースでは違っていたようだ。手元の環境でもオンになっているものとオフになっているものの両方があった。

taraiok曰く、

2018年、Supermicro製のマザーボードにスパイ行為を可能にする不正なチップが埋め込まれて出荷さえているとの報道があった（過去記事）。報道当時、Apple、Amazon、およびSupermicroはこのレポートは不正確だとして強く否定。米国家安全保障局（NSA）も同様に否定した。Bloombergはこの不正確な報道をフォローする記事について今になっても書いていない（WIRED、Slashdot）。

ただ、Bloombergが報じた内容は技術的に実現可能であると考える意見は多い。実際、セキュリティ研究者Monta Elkins氏は、適切なアクセス環境とわずか200ドル相当の機器さえあれば、実現は可能だという結論を出した。彼は150ドルの熱風はんだ付けツール、40ドルの顕微鏡、2ドルの約5ミリ角のATtiny85マイコンチップを使用し、Cisco ASA 5505ファイアウォールのマザーボードをハッキングした。そして、ほとんどのIT管理者が気づかないうちにCiscoファイアウォールを変更することに成功したとしている。

元記事でははんだ付けした後のマザーボードの写真も掲載されている。Elkins氏はこれについて「見やすいように配置した」そうだが、もっともバレないように巧妙に隠すこともできると述べている。

Anonymous Coward曰く、

iOS 12.2ベータ2以降では、詐欺サイトの確認のためにWebサイトの閲覧前にそのアドレスを「Tencent Safe Browsing」に送信するようになっているという（iPhone Mania）。これはiOS 13でも同様だという。

設定アプリで「詐欺Webサイトの警告」がオフになってるスラドのプライバシーが硬い諸君には関係ない話だが。

今まで詐欺サイトの確認にはGoogle Safe Browsingが使われていたが、新たにTencent Safe Browsingも使われるようになったということのようだ。これに対しては、送信された情報がユーザーの特定や追跡などに使われる可能性があるのではないかとの危惧も出ている。

セキュリティ企業Morphisecが、「Apple Software Update」ツールにゼロデイ脆弱性が存在し、これがランサムウェアによる攻撃に悪用されていたことを報告している。

このツールはWindows版のiTunesやiCloudに同梱されており、10月7日にリリースされたiTunes for Windows 12.10.1やiCloud 10.7、iCloud 7.14ではこの脆弱性が修正されているとのこと。

問題の脆弱性は「unquoted path vulnerability」（引用符で囲まれていないパス）の処理に関連するもので、悪意のあるユーザーがこれを悪用することで悪意のあるプログラムを実行させることができるという。また、Apple Software UpdateはiTunesなどをアンインストールしても残されるとのこと（別途アンインストール作業が必要となる）。そのため、多くのマシンにこのコンポーネントが存在している可能性があるという。

Anonymous Coward曰く、

9月26日、Amazon.co.jpで他人の注文履歴や名前、住所、連絡先などが閲覧できてしまう不具合が発生していたが（過去記事）、これを受けて個人情報委員会が10月11日、同社に対し行政指導を行なった（日経新聞、CNET Japan）。

個人情報保護委員会の発表によると、別のユーザーに個人情報が表示された可能性のあるアカウントは約11万アカウントとのこと。個人情報保護委員会への報告が行われており、同委員会は再発防⽌策および利⽤者からの問い合わせへの対応を確実に履⾏するよう求めたとしている。

sudoコマンドで、任意のユーザー権限でのコマンド実行を許可されているユーザーに対し、ルート権限で指定したコマンドを実行できてしまう脆弱性が確認された（sudo公式サイトでの脆弱性報告、サイオスセキュリティブログ）。

この脆弱性は、実行するユーザーを指定するsudoコマンドの「-u」オプションで「-1」もしくは「4294967295」を指定すると、そのユーザーIDではなくルート権限で指定したコマンドを実行できてしまうというもの。

任意のユーザーがルート権限を取得できるわけでは無く、sudoersなどの設定ファイルで「ALL」キーワードを使って任意のユーザー権限でのコマンド実行が許可されたユーザーのみがルート権限を奪取できる。実行できるコマンドが指定されていた場合はそのコマンドのみがルート権限で実行できる対象となる。

また、この際にログにはroot権限ではなく指定したユーザーID（-1もしくは4294967295）で実行されたものとして記録される。こうしたユーザーIDは存在しない為、PAMセッションモジュールも実行されない。

この問題を悪用することで、たとえば「＜ユーザー名＞ = (ALL, !root) ＜コマンド名＞」のようにroot以外のユーザーでsudoコマンドを利用できるように指定されていた場合に、本来は不可能なはずのroot権限でのコマンド実行が可能になってしまう。

「Windows 10 更新アシスタント」(Windows 10 Update Assistant)にローカルでの特権昇格の脆弱性(CVE-2019-1378)が発見されたそうだ(セキュリティ更新プログラムガイド、 Bleeping Computerの記事、 Softpediaの記事)。

この脆弱性を悪用すると、ローカルの攻撃者がシステム権限で任意のコードを実行可能になるという。ただし、発見者のJimmy Bayne氏がBleeping Computerに語ったところによると、特権昇格はアップデート実行中にコンポーネントを乗っ取ることで実現されるといい、実際の攻撃に使われる可能性は低いようだ。また、更新アシスタントは実行ファイルごとにアップデート先のWindows 10バージョンが決まっているため、対象バージョンへのアップデート完了後は攻撃不可能になるとみられる。

それでも過去に更新アシスタントの実行ファイルをダウンロードしたことがある場合は削除し、実行済みの場合はアンインストールすることが推奨されている。Bleeping ComputerではKB4023814が適用されたWindows 10にも更新アシスタントがインストールされているとして、こちらも削除することを推奨している。なお、現在「Windows 10のダウンロード」ページでダウンロード可能な更新アシスタントは脆弱性が修正されているとのことだ。

Appleは10日、香港の民主化デモと警察の動きを地図上に表示するアプリ「HKmap 即時地圖」をApp Storeから削除した(South China Morning Postの記事、 The Vergeの記事、 Reutersの記事、 Mac Rumorsの記事)。

このアプリはWebサイト「HKmap.live」の公式アプリ。Webサイトで提供されている地図データをアプリ内で表示できるようにしたもので、ユーザーから提供された情報をもとにデモの実施状況や警察の動きを確認できる。当初の審査でAppleは、警察の取り締まりを逃れるための情報を提供して非合法な活動を支援するものだとして却下していた。開発者は香港での安全情報を提供するためのもので違法行為を推奨してはいないなどと主張しており、その後の再審査で反論が認められてアプリは10月5日ごろ公開された。

アプリは香港のApp Storeで「旅行」カテゴリ1位(Googleキャッシュ)になるなど人気を集める一方、暴徒を支援しているなどと中国国営メディアから強く批判されることになる。アプリが削除されたのはその翌日だが、Appleではアプリの情報が警察官への攻撃や、警察の見回りがない区域での犯罪に悪用されているとの確証を得たと述べており、中国政府からの圧力には触れていないようだ。なお、Apple CEOのティム・クック氏が従業員に宛てたとされるメモもPastebinで公開されているが、このメモにも同様の記述がみられる。このメモの出所は不明だが、最後に「Tim」と書かれている以外はBloomberg Newsが入手したというメモの内容と同一だ。

公式アプリのパブリッシャー、BackupHKが別途公開した非公式アプリもApp Storeから削除されているが、Android版の非公式アプリは現在もGoogle Playで公開されており、HKmap.liveサイトも引き続き利用可能だ。

Anonymous Coward曰く、

Thunderbirdプロジェクトは、Thunderbird 78でOpenPGPを標準サポートすると発表した。2020年夏のリリースが予定されている。

Thunderbird向けにはOpenPGPのサポートを追加する「Enigmail」プラグインが存在するが、この拡張機能は、Thunderbird 68系まででサポートを終了する。S/MIMEは引き続き標準サポートする。また、Enigmailのユーザーは、Thunderbird 78へ既存のキーと設定の移行がサポートされる。Enigmailを使用したことがないユーザーは、オプトインするすることによりOpenPGPが使用できるようになるという。

Thunderbirdプロジェクトは「2019年は積極的な開発を行う」とし、メールの暗号化についても言及していた（過去記事）。

9月末にAmazon.co.jpで他人の注文履歴が表示されるトラブルが発生したが（過去記事）、このトラブルでは注文履歴だけでなく他ユーザーの名前や連絡先なども閲覧可能だったことが報じられている（INTERNET Watch）。

トラブル発生後、Amazon側はこの問題の詳細については発表しておらず、10月8日にINTERNET Watchが問い合わせを行ったことで、「一部ユーザーの名前、購入履歴、配送先住所、連絡先、クレジットカード下4桁の情報が他のユーザーから閲覧可能な状態になっていた」ことが明らかとなった。ただ、閲覧された情報の約半数は「名前のみ」だったという。被害件数などについては公開されていない。

ランサムウェアの被害にあったとある開発者が、そのランサムウェアを使って脅迫してきたサイバー犯罪者ののサーバーを攻撃し、暗号化されたファイルを復号するための鍵を奪取して公開したそうだ（ZDNet）。

問題のランサムウェアは台湾・QNAP製のNASを狙ったもの。QNAPのNASにはphpMyAdminというサービスがプリインストールされており、これに対しパスワード総当たり攻撃を行うことで権限を奪取し、ファイルを暗号した上で復号のためには金銭を支払えと脅迫するという。

この攻撃による被害を受けたドイツのソフトウェア開発者、Tobias Frömel氏は、攻撃者に金銭を支払って暗号化されたデータの解除を求めると同時にランサムウェアの分析を行い、そのデータベースから見つけ出した復号に必要な鍵データを公開した。

なお、このような行為に対しては違法ではないかとの懸念があり、セキュリティ研究者らはもしこのようなことをする場合は法執行機関と協力して行うべきと指摘している。