モバイルセキュリティ企業Wanderaは24日、AppleのApp Storeで発見したマルウェア感染アプリ17本の詳細を公表した(Wanderaのブログ記事、 Help Net Securityの記事、 9to5Macの記事、 Softpediaの記事)。

アプリを公開していたのはインドのAppAspect Technologies Pvt. Ltd.という開発者。Wanderaのテストによれば、17本が広告を勝手にクリックするクリッカー型トロイの木馬のコードに感染しており、C&Cサーバーと通信する機能も備えていたという。通信先のC&Cサーバーは8月にDoctor Webが存在を報告したものと同一で、この時はAndroidをターゲットにした同様のクリッカーキャンペーンで使われていたとのこと。

App Storeにはマルウェアを報告するための窓口がないそうだが、Wanderaは過去にApple製品のセキュリティに関して協力したことのあるAppleのチームに連絡を取り、監視を続けていた2本を除きすべて削除されたと述べている。ただし、現在は17本すべてが削除されているようだ。一方、AppleはHelp Net Securityに対し、偽の広告クリックを発生させるアプリ18本をガイドライン違反で削除し、今後同様のアプリを検出できるようツールを更新したことを伝えたという。なお、Wanderaではテストした無料アプリ51本のうち17本が感染アプリだったと述べているが、17本のうち5本は有料アプリだった。また、現在App Storeで公開されているAppAspectのアプリは2本のみとなっており、大半のアプリが削除されたことになる。

AppAspectのWebサイトで公開されているアプリのリストには、App Storeへのリンクが記載されたアプリが28本(1本は別の開発者名で公開されているもの)あり、26本がApp Storeから削除済みになっている。うち10本がWanderaのリストと重複し、5本はWanderaのリストにある有料アプリの無料版だ。AppAspectはGoogle Playでも28本のアプリを公開しているが、WanderaのテストではC&Cサーバーと通信している形跡は見つからなかったそうだ。ただし、過去にはアプリがマルウェアに感染してGoogle Playから削除されたこともあるという。

今回の感染コードが意図的に組み込まれたものかどうかは不明だが、開発者アカウントがApp Storeから削除されていないことから意図的ではなかったと判断された可能性もある。

10月15日にバチカンが発表したスマートロザリオ（過去記事）に、個人情報の漏洩に繋がる可能性のある脆弱性が見つかったという（ITmedia、CNET）。

このスマートロザリオはスマートフォンアプリと連携させて使用するようになっている。このスマートフォンアプリはメールアドレスもしくはFacebookやGoogleアカウントの登録が必要となっており、メールアドレスを登録した場合はログイン時にそのメールアドレスにPINコードが送信され、それを使って認証する仕組みになっている。しかし、この際にスマートフォンアプリとバックエンドサーバーとでやり取りされる情報にPINコードが含まれており、これら情報は暗号化されていないために通信を傍受することで簡単に読み取れてしまうそうだ。これを悪用することで第三者のメールアドレスでサインインでき、個人情報を閲覧できる可能性があるという。

また、そもそもPINコードは4桁の数字であるため、総当たりで簡単に突破できるとも指摘されている。

headless曰く、

GoogleはPixel 4/Pixel 4 XLの顔認識機能について、目を開いているかどうかを識別しないのが仕様であるかのように説明していたが、結局修正するようだ（The Verge、Android Police）。

GoogleのヘルプドキュメントにはPixel 4で顔認証を使用する場合、目を閉じていてもロックが解除されることがあると明記されており、危険な状況に備える場合は顔認証が一時的に無効化されるロックダウン機能の使用を推奨している。Pixel 4の公式発表前にリークした設定アプリのスクリーンショットでは、顔認証でアンロックする際にユーザーの目が開いていることを必須とするオプションが含まれていたが、リリース版には含まれないとGoogleがBBC Newsに伝えていた。しかし、Googleがその後The VergeやAndroid Policeに送った声明によると、同等のオプションは追加が進められているようだ。ただし、すぐ利用可能になるわけではなく、今後数か月の間にアップデートを通じて提供する予定とのことだ。

headless曰く、

Avastは21日、同社のネットワークがサプライチェーン攻撃を受けていたことを明らかにした（Avastのブログ記事、Computing）。

9月23日に同社ネットワークでの怪しいふるまいを確認したAvastはチェコの情報機関や外部のフォレンジックチームなどと協力して調査を開始。10月1日には以前誤検知として処理されていたMicrosoft Advanced Threat Analytics（ATA）の警告が実際の攻撃だったことが確認されたという。警告は同社のVPNアドレス範囲に含まれる内部IPアドレスから悪意あるディレクトリサービスの複製が行われているというもの。攻撃者は特権昇格を成功させ、該当ユーザーに割り当てられていなかったドメイン管理者の権限を取得していたそうだ。分析の結果、攻撃者は侵害された複数の認証情報を用い、誤って保持されていた二要素認証を必要としないVPNの一時プロファイルを通じて5月14日には内部ネットワークにアクセスしていたことが判明する。

サプライチェーン攻撃のターゲットは2017年にも被害を受けたCCleanerとみられ、9月25日にはCCleaner新バージョンの公開を一時中止して過去のリリースが改変されていないことを確認。念のためクリーンなアップデートに再署名し、10月15日に自動更新でユーザーに提供開始した。これまで使用していた証明書は失効させ、内部のユーザーの認証情報もすべてリセットし、監視のため生かしてあったVPNの一時プロファイルも削除したという。ネットワークとシステムのセキュリティの見直しは引き続き行い、さらなるログの調査も実施するとのことだ。

Anonymous Coward曰く、

今年5月、神奈川県警サイバー犯罪捜査課の巡査部長が個人情報を含む捜査資料のコピーを内規に違反して持ち出し、酒を飲んだ後カバンごと紛失していたそうだ。この巡査部長は紛失を報告していなかったが、8月に盗難車からこの資料が見つかって事件が発覚したという（NHK、毎日新聞、産経新聞）。

これだけなら典型的なセキュリティ事故という感じなのだが、紛失したカバンが遺失物として届けられるも資料が抜き取られており、後日盗難車のトランクから発見されたということで、悪用されてしまった可能性がありそうだ。

この捜査資料には事件の供述調書と容疑者が収集していたというクレジットカード情報が含まれていたそうで、供述調書には氏名および住所、親族の氏名などが、クレジットカード情報にはカード番号、住所、氏名、生年月日、電話番号などが含まれていたという。巡査部長は「捜査資料のコピーを持ち出した覚えがなかった」などと述べているとのこと。

Anonymous Coward曰く、

昨今では多くの自動車メーカーが遠隔から自動車の情報確認や操作を行えるスマートフォンアプリを提供しているが、ダイムラー傘下のメルセデス・ベンツが提供するアプリで他人の所有する自動車の情報やそのユーザー情報が表示される不具合が発生したようだ（TechCrunch、GIGAZINE、Slashdot）。

問題が確認されたのは10月18日で、他人の名前や電話番号、車両の位置情報と行った最近のアクティビティが表示されていたという。ただ、遠隔から鍵を解除する機能やエンジンをスタート/ストップさせる機能については動作しなかったとのことで、情報漏洩以外の影響は少ないと見られている。

ダイムラーの担当者によると表示された情報はキャッシュされたものだったとのことで、すでに修正されているとしている。

H.I.S.ホテルホールディングスが運営する「変なホテル舞浜」の客室に設置されていたコミュニケーションロボットに脆弱性があり、NFC経由で特定の操作を行うことで設定画面へのアクセスが可能で、そこで任意のアプリをインストールできるという問題が見つかった（ITmedia、H.I.S.ホテルホールディングスの発表）。

このロボットは「Tapia」というMJIが開発・提供を行っているもの。OSにはAndroid を採用し、カメラやマイク、スピーカーを搭載する。不正なアプリをインストールすることで、ネットワーク経由でリモートからカメラやマイクにアクセスすることができる可能性があるという。

この脆弱性については7月に宿泊者から指摘があったものの、具体的な内容が書かれていなかったこともあって「報奨金を目的とした不審なメール」だと判断して対処していなかったという。

1月に延長サポートが終了するWindows 7だが、サポート終了に向けた通知表示がWindows 7 Professionalでも始まったようだ(KB4524752、 BetaNewsの記事、 gHacksの記事、 Softpediaの記事)。

MicrosoftはWindows 7サポート終了に向けた通知を表示する更新プログラムKB4493132の提供を3月に開始したが、その後Windows 7の企業向けエディション(Professional/Enterprise)は配信対象から除外されていた。通知を表示するプログラムはタスクスケジューラに登録されるが、プログラムが起動しても通知が表示されるとは限らないようだ。手元のWindows 7 Home Premium環境ではKB4493132が何度かインストールされていたが、実際に通知が表示されたのは10月18日だった。

先日リリースされた更新プログラムKB4524752はWindows 7 Professionalを対象とし、サポート終了の通知を表示するものだ。ただし、この更新プログラムがインストールされたすべての環境で通知が表示されるわけではなく、ドメインに参加しているデバイスやキオスクモードのデバイス、Windows 10無料アップグレードの通知(GWX)を無効化していたデバイスでは表示されないという。

通知の内容はKB4524752とKB4493132で共通だが、3月のものからは変更されている。現在は「Windows 7のサポート終了は来年、2020年1月となります。」「2020年1月14日以降、マイクロソフトからのWindows 7のセキュリティ更新プログラムや技術サポートは提供されなくなります。移行の準備として、各種ファイルのバックアップをとっておくことをお勧めします。」という内容だ。「詳細を見る」をクリックすると、「Windows 7のサポート終了情報」ページが表示される点は以前と同様だ。

通知は「今後、このメッセージを表示しない」にチェックを入れてウィンドウを閉じれば以降は表示されなくなるが、ITプロフェッショナル向けにはGWX無効化のレジストリ設定も紹介されている。なお、KB4524752をアンインストールしても次の更新プログラムチェックで再インストールされるため、推奨されないとのことだ。

Googleが先日発表したPixel 4/Pixel 4 XLでは指紋センサーが省略された代わりに顔認証が利用できるようになっているが、目をつぶっていても認証できてしまうことがある仕様らしい(BBC Newsの記事、 Android Policeの記事、 9to5Googleの記事、 SlashGearの記事)。

iPhoneのFace IDではデフォルトで画面注視認識機能が有効になっており、意識して画面を見ている場合にのみ認証される仕組みになっている。Face IDが初めて搭載されたiPhone Xの発売当初には偽の目玉で突破できたという実験結果が公表されており、最近も眠っている人に細工した眼鏡をかけることで突破する方法が公表されているが、実際に不正利用するには所有者が目を覚ましてしまう危険が伴う。

一方、Pixel 4の場合はGoogleのヘルプドキュメントに「お持ちのスマートフォンが自分以外の人によって顔の前に掲げられたとき、目を閉じている場合でもロックが解除されることがあります」と明記されている。Pixel 4の正式発表前にリークした画像では、顔認証でのアンロック時に目を開いていることを必須とするオプションが設定アプリに含まれていた。しかし、BBC Newsへの貸し出し機材には該当オプションがなく、Googleはリリース版には含まれないことをBBC Newsに伝えている。そのため、不正使用される可能性がある場合は顔認証自体を無効化するしかないようだ。

目をつぶった状態でPixel 4のロックを解除する検証動画を公開したBBC NewsのChris Fox氏は、眠っていても死んでいても認証されてしまうのは問題だと批判している。

Samsung Galaxy S10では超音波指紋センサーをスクリーン内部に搭載しているが、サードパーティー製のスクリーンプロテクターを使用すると登録されていない指紋でもアンロック可能な問題が発生しているそうだ(Samsungの発表、 9to5Googleの記事、 The Vergeの記事、 BetaNewsの記事)。

この問題を最初に報じたThe Sunの記事によれば、英国の女性がeBayで購入したシリコン製の全面保護ケース(こんな感じのもの)を装着してから指紋を登録したところ、登録していない夫の指でもロックが解除できたという。故障ではないかとSamsungのカスタマーサービスに電話すると、担当者はリモート操作で設定を確認したうえでセキュリティ上の問題を認めたとのこと。Samsungの広報担当者はThe Sunに対し、内部で調査を行っていること、顧客にはSamsungが認定した専用のアクセサリーを使用するよう推奨していることを伝えていた。

Samsungの発表によると、特定のシリコン製スクリーン保護ケースの3Dパターンを超音波指紋センサーが指紋パターンと認識・登録してしまうことが原因だという。つまり、プロテクター装着後に指紋を登録したのが問題のようだ。そのため、Galaxy S10シリーズ/Note10シリーズで同様のケースを使用している場合はスクリーン側のカバーを取り外し、登録済みの指紋をすべて削除して再度登録すること、この問題に対応するパッチを適用するまではカバーの使用を避けることを推奨している。パッチは早ければ来週提供できる見込みとのことだ。

Anonymous Coward曰く、

NTTドコモ子会社のドコモCSの契約社員が、同社の別の契約社員になりすまして福利厚生として提供されていたポイントを利用したとして不正アクセス禁止法違反の疑いで逮捕された（毎日新聞、日経新聞、産経新聞）。

ドコモCSはドコモショップの運営や各種サポートサービスなどを提供している企業。ドコモショップでは従業員に対し「ポイント」を使ったインセンティブ制度があり、容疑者は不正に入手した別の従業員のID/パスワードを使って他人のポイントをギフト券に交換して入手したという。

ポイントを管理するサイトでは、各ユーザーのIDと初期パスワードが従業員番号に設定されており、容疑者は社内回覧文書でIDを把握、パスワートを変更していないアカウントにアクセスしたようだ。容疑者の口座には計600万円の振り込みがあり、これは不正に入手したギフト券を換金したものだと見られているという。

headless曰く、

Microsoftは14日、企業向けのエンドポイントセキュリティソリューションMicrosoft Defender ATPで改ざん防止機能が一般利用可能になったと発表するとともに、（Windows 10 May 2019 Updateの）ホームユーザー環境ではWindowsセキュリティの「改ざん防止」をデフォルト有効に順次切り替えていくと発表した（Microsoft Tech Community、Neowin、gHacks、Softpedia）。

改ざん防止機能はマルウェアによるWindows Defenderウイルス対策の無効化など、セキュリティ設定の無断変更を防ぐ機能で、Windows 10 May 2019 Update以降で利用可能となっている。設定は「Windowsセキュリティ」の「ウイルスと脅威の防止→設定の管理→改ざん防止」で変更できる。Windows 10 Insider Preview（19H1ビルド: May 2019 Update）では2月のビルド18342でデフォルトオンになったと説明されており、Microsoftのサポートドキュメント（最終更新日6月6日）では改ざん防止がデフォルトでオンになっているとの記述もみられるが、一般向けリリースでは違っていたようだ。手元の環境でもオンになっているものとオフになっているものの両方があった。

taraiok曰く、

2018年、Supermicro製のマザーボードにスパイ行為を可能にする不正なチップが埋め込まれて出荷さえているとの報道があった（過去記事）。報道当時、Apple、Amazon、およびSupermicroはこのレポートは不正確だとして強く否定。米国家安全保障局（NSA）も同様に否定した。Bloombergはこの不正確な報道をフォローする記事について今になっても書いていない（WIRED、Slashdot）。

ただ、Bloombergが報じた内容は技術的に実現可能であると考える意見は多い。実際、セキュリティ研究者Monta Elkins氏は、適切なアクセス環境とわずか200ドル相当の機器さえあれば、実現は可能だという結論を出した。彼は150ドルの熱風はんだ付けツール、40ドルの顕微鏡、2ドルの約5ミリ角のATtiny85マイコンチップを使用し、Cisco ASA 5505ファイアウォールのマザーボードをハッキングした。そして、ほとんどのIT管理者が気づかないうちにCiscoファイアウォールを変更することに成功したとしている。

元記事でははんだ付けした後のマザーボードの写真も掲載されている。Elkins氏はこれについて「見やすいように配置した」そうだが、もっともバレないように巧妙に隠すこともできると述べている。

Anonymous Coward曰く、

iOS 12.2ベータ2以降では、詐欺サイトの確認のためにWebサイトの閲覧前にそのアドレスを「Tencent Safe Browsing」に送信するようになっているという（iPhone Mania）。これはiOS 13でも同様だという。

設定アプリで「詐欺Webサイトの警告」がオフになってるスラドのプライバシーが硬い諸君には関係ない話だが。

今まで詐欺サイトの確認にはGoogle Safe Browsingが使われていたが、新たにTencent Safe Browsingも使われるようになったということのようだ。これに対しては、送信された情報がユーザーの特定や追跡などに使われる可能性があるのではないかとの危惧も出ている。

セキュリティ企業Morphisecが、「Apple Software Update」ツールにゼロデイ脆弱性が存在し、これがランサムウェアによる攻撃に悪用されていたことを報告している。

このツールはWindows版のiTunesやiCloudに同梱されており、10月7日にリリースされたiTunes for Windows 12.10.1やiCloud 10.7、iCloud 7.14ではこの脆弱性が修正されているとのこと。

問題の脆弱性は「unquoted path vulnerability」（引用符で囲まれていないパス）の処理に関連するもので、悪意のあるユーザーがこれを悪用することで悪意のあるプログラムを実行させることができるという。また、Apple Software UpdateはiTunesなどをアンインストールしても残されるとのこと（別途アンインストール作業が必要となる）。そのため、多くのマシンにこのコンポーネントが存在している可能性があるという。