hylom 曰く、

Googleは12月1日に2段階認証プロセスを変更し、キャリアメールへのログイン確認コード送信を廃止する(Google Japan Blogの記事、 Impress Watchの記事)。

これにより携帯電話キャリアが提供する「docomo.ne.jp」「ezweb.ne.jp」「softbank.ne.jp」などのドメインのメールアドレスを確認コードの送信先として設定しているユーザーはログインできなくなるため、12月1日までに変更するようアナウンスが行われている。

Twitter社の従業員2名が、Twitterでサウジアラビア王室を批判するような投稿を行っていたTwitterユーザーのメールアドレスや生年月日、電話番号などをサウジアラビア当局関係者に提供し、見返りに腕時計や現金などを受け取っていたという（日経新聞）。

この従業員2名は米司法省によってスパイ容疑で起訴されているとのこと。不正にアクセスされた個人情報は6000件以上に上るという。

nemui4曰く、

東急電鉄が2020年7月までにLED蛍光灯一体型の防犯カメラを導入する（東急電鉄の発表、ITmedia）。

さすが東急、電鉄系で一番稼いでるんでしたっけ。痴漢が多いとの噂のJR路線にもこれ入れないのかな。

この防犯カメラはソフトバンクの4Gデータ通信モジュールを内蔵しており、トラブル発生時に遠隔地からでもほぼリアルタイムで記録映像を確認できるという。2019年に一部車両ですでに試験導入が行われていたが、今回正式導入が決まったとのこと。

Mozillaがリモートでコードを実行するようなFirefox拡張機能について、すべて禁止にする方針を示しているという（mozillaZine.jp）。

すでに「Page Translator」や「Google Translate this page」、「Babelfox」、「Google Translate Element」、「Bridge Translate」といった拡張がインストールできない「不正な拡張機能」のブラックリストに追加されているという。

Firefoxの「Add-on Policies」ではリモートコード実行を行ってはいけないと明示されており、このポリシーが厳格に適用されることになるようだ。

Trend Microの従業員が無許可で個人情報を含む顧客情報を持ち出して売却していたことが発覚した（Trend Microの発表、piyolog）。

発表によると、売却された個人情報は詐欺組織によってサポート詐欺に使われたという。この組織は同社のカスタマーサポートに成りすまして顧客と積極したようだ。影響を受けた顧客は英語圏の顧客最大12万人で、日本向けの製品を利用している顧客は含まれていないという。これを受けて問題の従業員は解雇されたとのこと。

電通大の研究者らが、「レーザーを用いて音声コマンドを挿入する攻撃」について警鐘を鳴らしている（ITmedia、論文）。

この攻撃手法は、スマートスピーカーに対し遠隔からレーザー光を照射することで、あたかも音声でコマンドが入力されたように振る舞わせることができるというもの。スマートスピーカーに内蔵されているマイクがレーザー光にも反応してしまうことを悪用したもので、実験では75m離れた場所からスマートスピーカーに対しドアの開錠や車の操作を行うといったコマンドを実行させることに成功したそうだ。

また、Google HomeやAmazon Echoなどさまざまなデバイスでも検証が行われているが、製品によってはレーザーポインタなどで使われる5mWという弱い出力レーザーでも110m離れた場所から操作できるケースがあったという。さらに、十分強い光であればレーザーでなくても同様の攻撃は実行できるとも記している。

Anonymous Coward曰く、

重要生活機器連携セキュリティ協議会（CCDS）が、サイバー保険付きの認証プログラムを開始する。保険部分は三井住友海上火災保険が提供する（ニュースリリース、マイナビニュース、日経新聞）。

CCDSが定めたセキュリティ要件ガイドラインを満たし認証を取得したIoT機器に対し自動でサイバー保険が付帯され、そのIoT機器の製造・販売に際して被った損害賠償責任や、問題発生時にかかる費用を補償する。

同認証では、第1弾として決済端末やATMなど5製品が認証を受けているという。

Googleは10月31日、安定版Google Chrome for Windows/Mac/Linuxをバージョン78.0.3904.87に更新した(Chrome Releasesの記事、 Securelistの記事、 Mashableの記事、 BetaNewsの記事)。

本バージョンでは深刻度評価「High」の脆弱性2件が修正された。いずれも解放済みメモリ使用の脆弱性で、CVE-2019-13720はオーディオコンポーネント、CVE-2019-13721はPDFiumコンポーネントに存在する。CVE-2019-13720はKaspersky Labが発見したエクスプロイトを発端に発覚したもので、64ビット版Windowsをターゲットにしたゼロデイ攻撃が確認されている。Kasperskyによれば、エクスプロイトは脆弱性を悪用してタスクスケジューラーにマルウェアの実行ファイルを登録するという。

Mozillaは10月31日、Firefoxでの拡張機能サイドローディング廃止計画を発表した(Mozilla Add-ons Blogの記事、 gHacksの記事、 BetaNewsの記事)。

ローカルに保存した拡張機能ファイルを使用してインストールするサイドローディングには、アドオンマネージャーでファイルを指定する方法と、標準の拡張機能フォルダーにファイルを格納する方法の2種類があり、Mozillaが説明しているのは後者のようだ。後者はユーザーに無断でインストール可能で、アドオンマネージャーから削除することができない。過去にはFirefoxにマルウェアをインストールするために使われたこともあるという。そのため、サイドローディングの廃止は悪用を防ぐことが目的だ。

2020年2月11日に一般リリース予定のFirefox 73では引き続きサイドローディングされた拡張機能を読み込み続けるが、拡張機能は個別のユーザープロファイルフォルダーにコピーされ、通常の拡張機能としてインストールされるようになる。3月10日に一般リリース予定のFirefox 74ではサイドローディングが廃止される。Firefox 73による移行段階を設けることで、インストール済みの拡張機能が失われることなく、ユーザーが自由に削除することも可能になる。サイドローディングで拡張機能を配布している開発者に対しては、自分のWebサイトかaddons.mozilla.org(AMO)を通じてダウンロードできるよう、インストールの流れを変更することが求められている。

Anonymous Coward曰く、

最近世界各国で人気の動画配信プラットフォーム「TikTok」に対し、米国で不安視する声が出ている。具体的には、中国政府の指示でデータが開示されたり、削除されたりする危険性があるのではないかというものだ。これに対し、TikTok側は懸念は存在しないとする声明を出した（マイナビニュース）。

TikTokは声明で、米国ユーザーのデータは米国内、バックアップデータはシンガポールに保存されており、どちらも中国の法律の対象外だと説明している。また、これまで中国政府からデータ削除の命令を受けたことはなく、今後求められても削除することはないとしている。

モバイルセキュリティ企業Wanderaは24日、AppleのApp Storeで発見したマルウェア感染アプリ17本の詳細を公表した(Wanderaのブログ記事、 Help Net Securityの記事、 9to5Macの記事、 Softpediaの記事)。

アプリを公開していたのはインドのAppAspect Technologies Pvt. Ltd.という開発者。Wanderaのテストによれば、17本が広告を勝手にクリックするクリッカー型トロイの木馬のコードに感染しており、C&Cサーバーと通信する機能も備えていたという。通信先のC&Cサーバーは8月にDoctor Webが存在を報告したものと同一で、この時はAndroidをターゲットにした同様のクリッカーキャンペーンで使われていたとのこと。

App Storeにはマルウェアを報告するための窓口がないそうだが、Wanderaは過去にApple製品のセキュリティに関して協力したことのあるAppleのチームに連絡を取り、監視を続けていた2本を除きすべて削除されたと述べている。ただし、現在は17本すべてが削除されているようだ。一方、AppleはHelp Net Securityに対し、偽の広告クリックを発生させるアプリ18本をガイドライン違反で削除し、今後同様のアプリを検出できるようツールを更新したことを伝えたという。なお、Wanderaではテストした無料アプリ51本のうち17本が感染アプリだったと述べているが、17本のうち5本は有料アプリだった。また、現在App Storeで公開されているAppAspectのアプリは2本のみとなっており、大半のアプリが削除されたことになる。

AppAspectのWebサイトで公開されているアプリのリストには、App Storeへのリンクが記載されたアプリが28本(1本は別の開発者名で公開されているもの)あり、26本がApp Storeから削除済みになっている。うち10本がWanderaのリストと重複し、5本はWanderaのリストにある有料アプリの無料版だ。AppAspectはGoogle Playでも28本のアプリを公開しているが、WanderaのテストではC&Cサーバーと通信している形跡は見つからなかったそうだ。ただし、過去にはアプリがマルウェアに感染してGoogle Playから削除されたこともあるという。

今回の感染コードが意図的に組み込まれたものかどうかは不明だが、開発者アカウントがApp Storeから削除されていないことから意図的ではなかったと判断された可能性もある。

10月15日にバチカンが発表したスマートロザリオ（過去記事）に、個人情報の漏洩に繋がる可能性のある脆弱性が見つかったという（ITmedia、CNET）。

このスマートロザリオはスマートフォンアプリと連携させて使用するようになっている。このスマートフォンアプリはメールアドレスもしくはFacebookやGoogleアカウントの登録が必要となっており、メールアドレスを登録した場合はログイン時にそのメールアドレスにPINコードが送信され、それを使って認証する仕組みになっている。しかし、この際にスマートフォンアプリとバックエンドサーバーとでやり取りされる情報にPINコードが含まれており、これら情報は暗号化されていないために通信を傍受することで簡単に読み取れてしまうそうだ。これを悪用することで第三者のメールアドレスでサインインでき、個人情報を閲覧できる可能性があるという。

また、そもそもPINコードは4桁の数字であるため、総当たりで簡単に突破できるとも指摘されている。

headless曰く、

GoogleはPixel 4/Pixel 4 XLの顔認識機能について、目を開いているかどうかを識別しないのが仕様であるかのように説明していたが、結局修正するようだ（The Verge、Android Police）。

GoogleのヘルプドキュメントにはPixel 4で顔認証を使用する場合、目を閉じていてもロックが解除されることがあると明記されており、危険な状況に備える場合は顔認証が一時的に無効化されるロックダウン機能の使用を推奨している。Pixel 4の公式発表前にリークした設定アプリのスクリーンショットでは、顔認証でアンロックする際にユーザーの目が開いていることを必須とするオプションが含まれていたが、リリース版には含まれないとGoogleがBBC Newsに伝えていた。しかし、Googleがその後The VergeやAndroid Policeに送った声明によると、同等のオプションは追加が進められているようだ。ただし、すぐ利用可能になるわけではなく、今後数か月の間にアップデートを通じて提供する予定とのことだ。

headless曰く、

Avastは21日、同社のネットワークがサプライチェーン攻撃を受けていたことを明らかにした（Avastのブログ記事、Computing）。

9月23日に同社ネットワークでの怪しいふるまいを確認したAvastはチェコの情報機関や外部のフォレンジックチームなどと協力して調査を開始。10月1日には以前誤検知として処理されていたMicrosoft Advanced Threat Analytics（ATA）の警告が実際の攻撃だったことが確認されたという。警告は同社のVPNアドレス範囲に含まれる内部IPアドレスから悪意あるディレクトリサービスの複製が行われているというもの。攻撃者は特権昇格を成功させ、該当ユーザーに割り当てられていなかったドメイン管理者の権限を取得していたそうだ。分析の結果、攻撃者は侵害された複数の認証情報を用い、誤って保持されていた二要素認証を必要としないVPNの一時プロファイルを通じて5月14日には内部ネットワークにアクセスしていたことが判明する。

サプライチェーン攻撃のターゲットは2017年にも被害を受けたCCleanerとみられ、9月25日にはCCleaner新バージョンの公開を一時中止して過去のリリースが改変されていないことを確認。念のためクリーンなアップデートに再署名し、10月15日に自動更新でユーザーに提供開始した。これまで使用していた証明書は失効させ、内部のユーザーの認証情報もすべてリセットし、監視のため生かしてあったVPNの一時プロファイルも削除したという。ネットワークとシステムのセキュリティの見直しは引き続き行い、さらなるログの調査も実施するとのことだ。

Anonymous Coward曰く、

今年5月、神奈川県警サイバー犯罪捜査課の巡査部長が個人情報を含む捜査資料のコピーを内規に違反して持ち出し、酒を飲んだ後カバンごと紛失していたそうだ。この巡査部長は紛失を報告していなかったが、8月に盗難車からこの資料が見つかって事件が発覚したという（NHK、毎日新聞、産経新聞）。

これだけなら典型的なセキュリティ事故という感じなのだが、紛失したカバンが遺失物として届けられるも資料が抜き取られており、後日盗難車のトランクから発見されたということで、悪用されてしまった可能性がありそうだ。

この捜査資料には事件の供述調書と容疑者が収集していたというクレジットカード情報が含まれていたそうで、供述調書には氏名および住所、親族の氏名などが、クレジットカード情報にはカード番号、住所、氏名、生年月日、電話番号などが含まれていたという。巡査部長は「捜査資料のコピーを持ち出した覚えがなかった」などと述べているとのこと。