Googleは10日、MicrosoftによるWindows 7のサポート終了後少なくとも18か月、2021年7月15日まではGoogle ChromeでWindows 7をサポートする計画を明らかにした(Google Cloud Blogの記事、 9to5Googleの記事)。

1月14日で延長サポートが終了するWindows 7だが、Net Applicationsの12月分デスクトップOSシェアデータでは26.26%を占めるなど依然として高いシェアを維持している。サポートの終了したOSの使用は危険が伴うが、Google Chromeを使用すれば組み込みのセキュリティ機能によりWeb上ではユーザーの安全が保たれるとのこと。Googleの発表はエンタープライズを対象としたもので、エンタープライズ向けのセキュリティ機能やポリシー管理機能も引き続き利用可能なことも明記されている。このほか、ChromeならWindows 7とWindows 10でシームレスに作業できること、クラウド管理機能によりWindowsバージョンやOSの種類を問わずにITチームによる一括管理が可能になることもChromeを使用するメリットとして挙げられている。

米政府のライフライン補助プログラムで販売された低所得家庭向けスマートフォンにマルウェア2本がプリインストールされていたとMalwarebytesが報告している(Malwarebytes Labsの記事、 Ars Technicaの記事、 BetaNewsの記事)。

マルウェアがプリンストールされていたのはAssurance Wireless by Virgin Mobileが販売するUMX(Unimax) U686CLというモデルで、価格は35ドルだという。Malwarebytesでは昨年10月、政府提供の携帯電話にプリインストールされたアプリがマルウェアとして検出されるという報告をサポートシステムで受け、実際に購入して調査したそうだ。

調査の結果、OSアップデート用のアプリ「Wireless Update」と「設定」アプリの機能の一部がマルウェアだったそうだ。Wireless UpdateはOSアップデートを実行するだけでなく、ユーザーに無断でアプリをインストールする機能が備わっているという。インストールされるアプリはマルウェアではなかったそうだが、インストール前の確認画面なども表示されないため、マルウェアがインストールされる可能性も否定できない。設定アプリには別のマルウェアをインストールするトロイの木馬が組み込まれているとのこと。

Malwarebytesによれば、これらのアプリをADBコマンドラインツールを使用してアンインストールすることも可能とのことだが、それぞれの機能からみてアンインストールすると端末が使いものにならなくなってしまう。マルウェアの出どころは明確でないが、Malwarebytesでは変数名に中国語が使われている点から中国製だと予測している。端末自体は中国製。製造元のUnimax Communicationsは米企業だが、本社は香港のようだ。

Mozillaは7日にFirefox 72.0をリリースしたが、翌8日にはゼロデイ脆弱性を修正するFirefox 72.0.1をリリースしている(Mozillaのセキュリティアドバイザリー、 Softpediaの記事、 Ars Technicaの記事、 Windows Centralの記事)。

修正された脆弱性CVE-2019-17026はIonMonkey JITコンパイラーにおける誤ったエイリアス情報により型の取り違えが引き起こされるというもので、既にこの脆弱性を狙った攻撃が確認されているという。同じ脆弱性を修正したFirefox ESR 68.4.1も同時にリリースされた。深刻度は最も高い「critical」となっており、迅速なアップデートが望ましい。

Firefox 72では新機能として、フィンガープリンティングを実行するスクリプトがデフォルトでブロックされるようになっており、Webサイトからの通知リクエストポップアップもデフォルトで非表示化される。また、WindowsではFirefox 71から利用できていた動画のピクチャーインピクチャー表示がMacとLinuxでも利用可能になった。ちなみに、Googleも通知リクエストポップアップの非表示化機能をChrome 80に搭載する計画を発表している。

なお、Mozillaはカリフォルニア州消費者プライバシー法(CCPA)の施行に伴い、Firefox 72にテレメトリーデータの削除オプションを追加すると事前に説明していたが、リリースノートには記載されていない。

ToTokチームは5日、通話・メッセンジャーアプリ「ToTok」がGoogle Playで再び入手可能になったことを発表した(ToTokのニュース記事、 The Vergeの記事、 Android Policeの記事、 Computingの記事)。

ToTokに関しては12月、UAE政府のスパイウェアだとの疑惑をThe New York Timesが報じており、Google PlayとAppleのApp Storeでは報道よりも前にToTokが削除されていた。一方、ToTok側は疑惑を一貫して否定している。12月29日付のKhaleej Timesの記事ではToTok共同設立者のGiacomo Ziani氏が独占インタビューに答え、UAEに対する陰謀に巻き込まれたと感じていることや、急速にユーザーを増やしていることに対する妬みもあって疑惑が作り上げられた可能性を指摘。疑惑を主張する人々が元NSA職員に分析を依頼した結果、スパイウェアではなく、バックドアやマルウェアも見つからなかったと結論付けられたとも述べている。アプリの再公開については、ホリデーシーズンでAppleとの話し合いは進んでいないとしつつ、Google Playではすぐにでも公開が再開されるとの見通しを示していた。

ボーイング737 NGで特定の滑走路へ計器進入する際にのみ、ディスプレイユニット(DU)の液晶パネル6枚すべての表示が消えてしまうバグが確認され、米連邦航空局(FAA)が12月27日付で耐航空性改善命令(AD)を出していたそうだ(AD、 The Registerの記事)。

FAAは昨年、アラスカ・ワイリーポスト-ウィルロジャースメモリアル空港に真西方向へ計器進入するとDUの表示がすべて消え、他の滑走路を選択するまで復旧しなかったというインシデント3件の報告を受けていたそうだ。調査の結果、ディスプレイエレクトロニックユニット(DEU)とフライトマネージメントコンピューター(FMC)で、特定のバージョンのソフトウェアの組み合わせにより発生する動作だと確認された。ボーイングはソフトウェアの修正を進めているという。

影響を受けるのは全世界で7か所(米国5、コロンビア1、ガイアナ1)のみ。7か所とも西向きに進入する滑走路だが、西向きに進入する滑走路のすべてが影響を受けるわけではなく、緯度と経度の値が原因として特定されている。該当の空港に向かう定期運航便の機材では既に問題のあるDEUのソフトウェアが削除されているが、FAAでは緊急着陸やボーイングビジネスジェットのフライトに対処するためにADを出したとのことだ。

外貨両替サービスTravelexは12月31日にランサムウェア感染が判明して全システムをオフラインにしたが、コンピューターなしで業務を継続するため店頭では手書きの伝票で対応しているそうだ(The Guardianの記事、 The Registerの記事、 The Vergeの記事、 The Next Webの記事)。

Travelexの米国版Webサイトのトップページに掲載された7日付のプレスリリース(Internet Archiveのスナップショット)によると、ランサムウェアはSodinokibiまたはREvilとして知られるもので、Travelexは感染拡大を食い止めることに成功しているという。これにより、一部のデータは暗号化されたものの、構造化された顧客データは暗号化されておらず、データが外部に送信された形跡はみつかっていないとのこと。一方、攻撃者が600万ドルの身代金を要求し、支払わなければ5GB分の個人情報を公開すると脅しているとBBC Newsが報じている。

Travelexはランサムウェアのエントリーポイントを公表していないが、SodinokibiはPulse Secure製VPNサーバーの脆弱性を利用して感染を広げているという。セキュリティ調査企業Bad PacketsはTravelexの使用しているVPNサーバーの脆弱性が未修正であることを昨年9月に通知したものの、Travelexからの応答はなかったとのこと。

Travelexの日本版Webサイトは9日の時点でトップページなど一部のページが不安定ながらもアクセス可能だったが、その後トップページは今回のランサムウェア被害の報告とサービスの提供状況を説明する内容に差し替えられている。

taraiok曰く、

欧州の法執行機関のチームは10月、クリスマスシーズン中のテロを恐れ、テロリスト容疑者の調査を強化していた。そんな中、Facebookのメッセンジャーアプリ「WhatsApp」は10月29日、約1,400人のユーザーに対し端末に高度な攻撃が行われた旨を通知した。この1,400人はジャーナリスト、活動家、政府関係者などを含むテロリスト容疑者に上がっていたユーザーだったという（MorningStar、Slashdot）。

この法執行機関チームは、イスラエル・NSOグループのスパイウェアを使用して容疑者を追跡していたとされる。欧州の裁判官は容疑者の電話に侵入するため、調査官に対して利用可能なあらゆる手段を承認した。しかし、このスパイウェアはFacebookには知られていなかったようだ。また、法執行機関の調査を妨害する可能性があることから、Facebookは政府機関に対し正式に苦情を申し立てることもできない状況になっているという。

NSOは中東、メキシコ、インドの政府機関にもスパイウェアを販売していたため批判されている。Facebookや人権研究グループのCitizen Labなどは、反体制派、宗教指導者、ジャーナリスト、政治的敵対者をスパイするためにスパイウェアを使用したと主張している。NSO側は、顧客のほとんどは犯罪やテロの調査に自社製品を使用する民主的な政府だと述べている。

headless曰く、

GoogleのProject Zeroが1月1日以降ベンダーに報告したバグについて、開示ポリシーの変更をテストしているそうだ（Project Zeroのブログ、The Verge、Softpedia、Android Police）。

これまでProject Zeroではパッチが迅速に開発されることを目標としており、ベンダーへの報告から90日後またはパッチ提供開始のいずれか短い期間経過後にバグを開示していた。2015年には報告から90日以内にパッチは完成したものの、提供開始が間に合わない場合などに限って14日間の猶予期間を追加できるようになっている。ただし、いずれの場合もパッチ提供開始時点でバグの詳細やPoCが公開されてしまうため、パッチが不完全であった場合に引き起こされる問題や、パッチ未導入のユーザーを危険にさらすといった問題があった。

1月1日からテストしている新ポリシーではパッチの迅速な開発のほか、徹底的にバグが修正されること、パッチがユーザーに浸透することを目標に加えている。そのため、パッチ公開済みかどうかにかかわらず、バグの開示は報告から90日後になる。ただし、猶予期間内に関しては、これまでパッチの公開からしばらくしてバグを開示することになっていたが、新ポリシーでは即時開示となる。また、パッチに不完全な部分が見つかった場合はベンダーに報告し、既存のバグリポートに追記されるが、バグリポートが既に公開されている場合はパッチの問題点もその時点で開示されることになるようだ。

なお、既に攻撃が確認されているバグについてはこれまでと同様、報告から7日後に開示される。新ポリシーのテストは12か月間にわたって行われ、その結果を踏まえて今後のポリシーを検討するとのことだ。

Anonymous Coward曰く、

Webブラウザ上でバイナリコードを実行させる「WebAssembly」が 昨年12月5日に標準化されたが、現在WebAssemblyを使用しているWebサイトのうち半分は悪意のある目的で使用されているという。独ブラウンシュヴァイク工科大学の研究者が人気サイトトップ500（Alexa The top 500 sites on the web）を対象にWebAssemblyの使用率を調査した結果明らかとなった。

研究チームは4日間、合計947,704サイトからランダムに3ページずつ選んだ合計3,465,320のページを対象に、WebAssemblyの使用量と各サイトがコードを実行するのにかかった時間を測定した。その結果、WebAssemblyの使用が確認できたのは1,639ページで、そのうちほかのサイトで重複して利用されていないものは150だったという。これは同一のコードが多くの異なるサイトで使用されているためで、あるコードは346のサイトで使用されていたという。

また、コードの内容を分析したところ、32％が暗号通貨の採掘（マイニング）に、29.3％がオンラインゲームに利用されていたことが分かった。マイニングに使用されるコードの一部は、ページを閲覧したユーザーにマイニングさせるCryptojacking（Drive-by Mining）攻撃に使われていたという。

ほかにも、難読化されたコードを使用してマルバタイジングを行うものもあった。研究チームによると、この2つのカテゴリのWebAssemblyコードが調査対象の38.7％を占め、これらのコードはWebAssemblyの使用が確認できた1,639ページの半数以上で使用されていたとしている（ZDNet、Slashdot）。

Anonymous Coward曰く、

警察庁が、「DockerAPI を標的とした探索行為の増加等について」という注意喚起を行なっている。

外部からDocker APIに認証無しでアクセスできる状態になっていると危ないので気を付けましょう。

Dockerのデフォルト設定ではUNIXドメインソケットを使用してDockerデーモンとの通信を行うが、設定を変更することでTCP経由でDockerデーモンにアクセスすることも可能。その場合、デフォルト設定ではTCPの2376番および2377番ポートが使われる。また、4243番ポートが使われることもあるそうなのだが、2019年11月上旬よりこれらのポートに向けた、Dockerデーモンのバージョンを取得しようとするようなアクセスが増加しているそうだ。これは、悪意のある攻撃者が脆弱性のあるバージョンのDockerデーモンを探していると考えられる。

そのほか警察庁では、Windowsのリモートデスクトップサービスの脆弱性を狙ったアクセスも増加しているとして同様に注意喚起を行なっている。

AccentureがSymantecのサイバーセキュリティ事業（Cyber Security Services）をBroadcomから買収すると発表した（ZDNet Japan、Security NEXT、ASCII.jp）。

Symantecのサイバーセキュリティ事業は2019年8月にBroadcomに買収されたばかりだが（過去記事）、今回Accentureが買収するのはそのなかのサービス事業のみで、法人向けセキュリティ製品は対象外。なお、Broadcomによる買収金額は107億ドルだったが、今回の買収金額については公表されていないようだ。

ヤフーが直近4年以上の利用実績が無いアカウントを2月より順次利用停止にしていく方針を発表した。不正利用対策が目的だという（INTERNET Watch、ヤフーの発表）。

対象となったアカウントは、アカウント自体は削除されず、各種サービスに投稿された内容などもそのまま維持されるが、ログインはできなくなる。ヤフーは今後もアカウントを利用したいユーザーに対し、1月中の再ログインを行うよう要請している。

不正にサーバーやPCに侵入してデータを暗号化しアクセスできないようにしたうえで、復旧させるための「身代金」を要求するランサムウェアの被害が近年多く報告されているが、米国のThe Heritage Companyという企業がランサムウェアによる攻撃を受け、その結果業務に多大な影響が出て従業員を一時解雇（レイオフ）する事態になっていたという（ZDNet、piyolog）。

同社は米アーカンソー州を拠点とするテレマーケティング会社。ランサムウェアの被害を受け始めたのは20019年10月で、サーバーが攻撃を受けて感染、社内の幅広い部門に影響したという。同社は身代金の支払いを行い、またデータの復旧も試みるも、12月25日までの復旧には失敗し、その損害は数十万ドルにも上ったという。そのため同社の幹部は同社のすべてのサービスを一時停止することを決め、300人以上の従業員の一時解雇に至ったようだ。

Googleのディスプレイ内蔵スマートホーム端末「Google Nest Hub」（Google Home Hub」にXiaomi（小米）製のスマートカメラを接続したところ、他人の家の映像が端末に表示されたという報告が出ている（reddit、Android Police、DH、The Verge、The Vergeの続報）。

これを受けてGoogleは不具合が修正されるまでNest HubとXiaomi製デバイスとの接続をブロックする措置を行ったことを発表した。また、Xiaomiはこれに対し不具合を認め、キャッシュの問題だったと述べたという。

Anonymous Coward曰く、

1月3日に放送された正月特番ドラマ「半沢直樹Ⅱ エピソードゼロ 狙われた半沢直樹のパスワード」でのITやセキュリティ、プログラミング関連描写が現実離れしていると、IT業界人からのツッコミが多数出ている模様（市況かぶ全力2階建、Togetterまとめ）。

『検索エンジン開発・運用を手がける新興IT企業が突然証券会社のトレーディングシステム開発のためのコンペに参加することになり、突如発生したシステムダウンのピンチを「プログラミング能力」で乗り切った新人プログラマーがプロジェクトリーダーとなって奮闘する』というあらすじからまずツッコミどころがあるが、作中ではプロジェクトの参加者が5人だったり、プロジェクトの総費用が数億円だったり、システム稼働日の朝にフィッシングが仕掛けられたりと、なかなかに現実離れしたストーリーだったようだ。

なお、現代っぽくKuberntesを使ったクラスタシステムで構築を行なうなど、出てくる単語だけは今時のトレンドワードが多く使われていた模様。