スコットランド警察は14日、「サイバーキオスク」技術の段階的なロールアウトを20日から開始することを発表した(ニュースリリース、 BBC Newsの記事、 Holyrood Magazineの記事、 The Registerの記事)。

サイバーキオスクは各地の警察署に配備される41台のデスクトップコンピューターで、専用ソフトウェアを使用してモバイルデバイスのロックを解除することなく情報を確認できるというものだ。製品名についての記載はないが、解説動画ではCellebriteのロゴが見える。サイバーキオスクの操作は特別にトレーニングを受けた警察官だけに認められ、捜査担当者の申請により実行される。

これまでは事件・事故の関係者からデバイスを押収または自主的な提出を受けた場合、長期間預かる必要があった。サイバーキオスクを使用すれば捜査の初期の段階で関連性のある情報が含まれるかどうかを迅速に確認でき、早期に返却できるようになる。読み込まれたデータは操作終了時に消去されるため、プライバシーへの影響も最低限で済むとスコットランド警察は説明している。関連性のある情報が見つかった場合はスコットランド警察のサイバー犯罪課に送り、詳細な調査が行われるとのこと。

当初サイバーキオスクの導入は2018年に計画されていたが、英情報コミッショナーやスコットランド議会、人権団体などから警察がパスワードをバイパスしてデータを読み取ることは違法の可能性があるとの指摘を受けて計画は中断していた。スコットランド警察ではスコットランド政府のCrown Office and Procurator Fiscal Service などからサイバーキオスク使用の法的根拠が認められたと説明しているが、法的根拠が明確に示されていないとして人権団体などからは批判されているとのことだ。

Microsoftは17日、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2020-0674)を公表するとともに、回避策を発表した( セキュリティアドバイザリ、 Softpediaの記事)。

CVE-2020-0674はスクリプトエンジン(jscript.dll)がIEでメモリ内のオブジェクトを処理する方法に存在する。この脆弱性を悪用してメモリ破損を引き起こすことで、現在のユーザーのコンテキストで任意コードの実行が可能になるという。既にターゲットを限定した攻撃が確認されており、攻撃者が電子メールなどを通じて特別に細工したWebサイトにアクセスするようターゲットを誘導するといったシナリオが提示されている。

回避策としてはtakeownコマンドでjscript.dllの所有者になり、caclsコマンドでeveryoneのアクセス権を「なし」にするというもの。jscript.dllでは同様の脆弱性が過去にも発見されており、回避策も同様の内容だ。元に戻すにはcaclsコマンドでeveryoneのアクセス権を失効させればいい。Microsoftでは更新プログラムをインストールする前に変更を元に戻しておくことを推奨している。なお、IEはデフォルトでjscript9.dllを使用するため、jscript.dllをスクリプトエンジンとして使用するWebサイト以外は回避策の影響を受けないとのこと。

この脆弱性はWindows 7以降およびWindows Server 2008以降のIE 9～11が影響を受ける。脆弱性の深刻度はクライアント系Windowsで「重大」、サーバー系Windowsで「中」となっている。この脆弱性に対する更新プログラムは月例更新で提供する計画のようだ。

Microsoftは1月のセキュリティ更新プログラムで合計14件の脆弱性を修正しているが、このうちCVE-2020-0601には報告者として米国家安全保障局(NSA)が挙げられている(セキュリティ更新プログラムガイド CVE-2020-0601、 Microsoft Security Response Centerのブログ記事、 NSAのアドバイザリー: PDF、 NSAのニュース記事、 SlashGearの記事)。

CVE-2020-0601はWindows 10/Server 2016以降のCryptAPI(Crypt32.dll)が楕円曲線暗号(ECC)証明書を検証する方法に存在するなりすましの脆弱性。攻撃者は本物を装った偽のコードサイニング証明書で悪意ある実行ファイルに署名することで中間者攻撃が可能となり、影響を受けるソフトウェアに接続するユーザーの機密情報を復号できるという。Microsoftは脆弱性の深刻度を2番目に高い「重要」と評価するのに対し、CVSS 3.xスコアは「8.1 High」であり、NSAは「critical」「serious」と表現している。現在のところアクティブな攻撃は確認されていないとのことだが、脆弱性公表後にPoCが開発され、偽の証明書で偽のWebページを正規のWebページに見せかけるデモが何件か行われている。

NSAは発見したソフトウェアの脆弱性のほとんどを公表する一方で、状況によっては公表せず情報収集に使用することを明らかにしている。2017年にハッカーグループShadow Brokerが公開したNSAのエクスプロイト「EternalBlue」はWindowsの脆弱性(CVE-2017-0145)を利用しており、このエクスプロイトを利用したランサムウェアWannaCrypt/WannaCryは世界規模で被害が拡大することになった。なお、Microsoftが修正した脆弱性で、報告者としてNSAが記載されるのは今回が初めてのようだ。

流出したIDとパスワードの組み合わせリストを使ってほかのサービスへの不正ログインを狙う攻撃は「リスト型攻撃」と呼ばれるが、これを使ってメールアカウントを奪取し、さらにそのアカウントでやりとりされているメールの内容を自動で分析してネットバンキングや電子決済サービスなどの攻撃対象を自動分類するという攻撃プログラムが確認されたそうだ（NHK）。

問題の攻撃プログラムでは、メール内容から事前に使用しているサービスを特定することで試行数を減らして効率的に攻撃が行える。また、IPアドレスを自動的に変えながら攻撃を行う機能も付いているという。

このプログラムは、昨年5月に無届けで中継サーバーを運用しているとして摘発された中国人業者のサーバーから見つかったとのこと。また、このサーバーからは6500万件にも上るID・パスワードのリストも見つかっているという。

headless曰く、

Windows 7の延長サポート終了翌日に正式版がリリースされるChromiumベースの新Microsoft Edgeだが、延長サポート終了後もWindows 7をサポートするそうだ（Neowin、Softpedia）。

GoogleはMicrosoftによるサポート終了から少なくとも18か月はGoogle ChromeでWindows 7をサポートする計画を明らかにしている。Microsoftは当初、少なくともGoogle Chromeと同じ期間は新Microsoft EdgeでWindows 7をサポートするとNeowinに声明を出していたそうだが、その後声明から期間に関する部分を削除したとのこと。Neowinでは有料セキュリティアップデートオプションWindows 7 Extended Security Updates（ESU）が提供される3年間、新Microsoft EdgeでWindows 7をサポートするのではないかとの見方を示している。

なお、Vivaldiも少なくともGoogle Chromeと同期間、Windows 7をサポートする方針とのことだ。

Anonymous Coward曰く、

最近の医療機関ではデジタル化が進み、さまざまな医療画像もすべてデジタルで記録・保存されるようになっている。しかし、少なくない医療機関でセキュリティ上の問題があり、簡単にこうしたデータが保存されているストレージにアクセスできてしまうという話がTechCrunchで紹介されている（Slashdot）。

たとえばとあるセキュリティ企業による調査では、7億2000万件以上の医療画像が発見されたという。その2か月後には、流出した画像の数は11億9000万に増加したという。

昨年1月、オージス総研が運営するファイル転送サービス「宅ふぁいる便」に不正アクセスがありユーザー情報が漏洩する事件があった（過去記事）。同社はシステムの再構築を目指し一時的にサービスを休止していたが、このたび同サービスを終了することが発表された（Yahoo!ニュース）。

お客さまに安心してお使いいただけるサービスを将来にわたって提供していくためには相当程度のシステムの再構築が必要であり、再構築に要する時間・費用等を踏まえ総合的に判断した結果、本サービスを終了させていただくことといたしました。

とのこと。別のシステムで運用されている有償サービス「オフィス宅ふぁいる便」についてはサービスは継続される。

「Paidy」という、翌月払いで商品購入が行えるサービスを使った詐欺がフリマアプリなどで発生しているようだ（ITmedia、Togetterまとめ）。

手口としては、悪意のある出品者が何らかの商品をメルカリなどに出品し、購入者からはメルカリ経由で支払いを受けた上でPaidyで商品を購入して購入者に発送する。このときPaidyへの支払いは行わない点がポイントだ。Paidyを利用した購入では、請求を無視すると商品の発送先住所に請求書が送られる。つまり、購入者に対してはメルカリ上で悪意のある出品者宛に支払いを済ましているにも関わらず、2重の請求が行われることになる。

このトラブルを受けて、Paidyは悪用の恐れがある取引で決済サービスの提供を制限もしくは停止すると発表した（ITmediaの続報）。また、Paidyに対応していた一部通販サイトではトラブルを受けてPaidyの利用を停止する事態にもなっているようだ。

Anonymous Coward曰く、

西日本新聞が、新幹線の車両内へのライターオイル持ち込みについて取り上げている。これによると、東海道新幹線に市販の缶入りオイルライター用オイル133mlを持ち込んだところ車掌に注意され、増運賃など含め、約6万円を請求されたとのことで、まことにご愁傷さまとしか言いようがない。

過去にスラドでも「JR、可燃性液体の持ち込みを全面禁止へ」という話題があったが、まさにそのときの懸念通りになった格好だ。

この規則改正は、東海道新幹線火災事件を契機としている。JR各社の他、私鉄やバスでも危険品の手回り品を制限する規則は基本的に同じ。

たとえば、JRの告知による持ち込めない荷物と具体的なJR東日本の旅客営業規則では、別表第4号 危険品がこれに相当し、パンフレットも用意されている。

一時的に判断が揺れたようだが、今回の件で判断は確定したものと思われる。市販の缶のままのであっても「可燃性液体を含む製品」とはみなさず、可燃性液体そのものの携行と判断されるようだ。

記事の主張にもあるように確かに国交省や事業者も周知不足な面があり、マスコミも事件に比べて規則改正に対しては著しく反応が薄い。ガスコンロ用のカートリッジは一定制限内でOKなのに、可燃性液体は単独で存在する場合は一律禁止になっているので、一律禁止と条件付き許容が混在していてわかりにくいこともあると感じるが、この手も話ではある程度仕方がない。

可燃性液体の基準も総務省（消防法）なのか国交省（航空法など）なのか今一つ不明確。列車・バスの管轄は航空機や船舶と同じく国土交通省の管轄だが、トラックの輸送規制と同じであれば消防法となる（フェリーもトラックのまま積み込むなら消防法を準用してOKになっている）。

規則がわかっていれば回避手段を考えるのが王道だが、一律禁止されるものは意外に多いので注意が必要。燃料系では、ライター用オイル以外にもアルコールランプ用メタノール、登山ストーブ用ケロシン、ホワイトガソリン。燃料以外にも、消毒用エタノール、油性ペンキ、うすめ液（シンナー）、ペンキの剥離剤、一部の試薬類など。

例えば、喫煙者は出張時マッチかガスライター携行、カイロは追加燃料の携行不可（燃料の現地調達or使い捨てカイロor電化など）、電車バスでの山行は燃料ガス化or現地調達、特定品目の調達はネット通販活用orご近所or自家用車でのお買い物が安心などtipsが出てきそうです。

Anonymous Coward曰く、

ついに本日1月14日でWindows 7のサポートが終了する（INTERNET Watch）。今後は一部法人向けの有償サポート契約者向け以外にはセキュリティアップデートは提供されず、新たな脆弱性が見つかっても原則として対応は行われなくなる。

また、明日15日の12時以降は、Windows 7マシンを起動すると全画面で「お使いのWindows 7 PCはサポート対象外になっています」との案内が表示されることになるようだ。

人力で処理されるSkype翻訳やCortanaの音声データが何のセキュリティ基準もなく中国へ送られているとの報道に対し、Microsoftは中国での人力処理を現在は行っていないと説明したそうだ(The Guardianの記事、 The Vergeの記事、 Mashableの記事、 The Next Webの記事)。

Skype翻訳やCortanaの人力処理に関しては、下請け業者が音声データを聞いているとMotherboardが昨年8月に報じ、その後Microsoftは収集した個人データを人力処理していることを「プライバシーに関する声明」などに明記している。Microsoftは欧州の法律で規定される高いプライバシー基準を満たすベンダーに限り、ベンダーおよび従業員と秘密保持契約を結んだうえで匿名化した音声データを共有するとMotherboardに説明していた。

しかし、中国で2年以上にわたって人力処理の仕事をしていたという英国人の男性はThe Guardianに対し、電子メールで送られてきたユーザー名とパスワードを使い、北京の自宅からログインして音声データにアクセスしていたと述べている。ユーザー名は簡単なスキーマで生成されており、パスワードは全スタッフ共通だったという。Microsoftからセキュリティに関する手助けはなく、Microsoft従業員による監督が行われることもなかったとのこと。

これについてMicrosoftでは、人力処理のプロセス見直しを昨夏行い、「プライバシーに関する声明」を更新したと説明。人力処理は少数の国の安全な施設でのみ行われるよう変更しており、中国はこれに含まれていないとのことだ。

Googleは10日、MicrosoftによるWindows 7のサポート終了後少なくとも18か月、2021年7月15日まではGoogle ChromeでWindows 7をサポートする計画を明らかにした(Google Cloud Blogの記事、 9to5Googleの記事)。

1月14日で延長サポートが終了するWindows 7だが、Net Applicationsの12月分デスクトップOSシェアデータでは26.26%を占めるなど依然として高いシェアを維持している。サポートの終了したOSの使用は危険が伴うが、Google Chromeを使用すれば組み込みのセキュリティ機能によりWeb上ではユーザーの安全が保たれるとのこと。Googleの発表はエンタープライズを対象としたもので、エンタープライズ向けのセキュリティ機能やポリシー管理機能も引き続き利用可能なことも明記されている。このほか、ChromeならWindows 7とWindows 10でシームレスに作業できること、クラウド管理機能によりWindowsバージョンやOSの種類を問わずにITチームによる一括管理が可能になることもChromeを使用するメリットとして挙げられている。

米政府のライフライン補助プログラムで販売された低所得家庭向けスマートフォンにマルウェア2本がプリインストールされていたとMalwarebytesが報告している(Malwarebytes Labsの記事、 Ars Technicaの記事、 BetaNewsの記事)。

マルウェアがプリンストールされていたのはAssurance Wireless by Virgin Mobileが販売するUMX(Unimax) U686CLというモデルで、価格は35ドルだという。Malwarebytesでは昨年10月、政府提供の携帯電話にプリインストールされたアプリがマルウェアとして検出されるという報告をサポートシステムで受け、実際に購入して調査したそうだ。

調査の結果、OSアップデート用のアプリ「Wireless Update」と「設定」アプリの機能の一部がマルウェアだったそうだ。Wireless UpdateはOSアップデートを実行するだけでなく、ユーザーに無断でアプリをインストールする機能が備わっているという。インストールされるアプリはマルウェアではなかったそうだが、インストール前の確認画面なども表示されないため、マルウェアがインストールされる可能性も否定できない。設定アプリには別のマルウェアをインストールするトロイの木馬が組み込まれているとのこと。

Malwarebytesによれば、これらのアプリをADBコマンドラインツールを使用してアンインストールすることも可能とのことだが、それぞれの機能からみてアンインストールすると端末が使いものにならなくなってしまう。マルウェアの出どころは明確でないが、Malwarebytesでは変数名に中国語が使われている点から中国製だと予測している。端末自体は中国製。製造元のUnimax Communicationsは米企業だが、本社は香港のようだ。

Mozillaは7日にFirefox 72.0をリリースしたが、翌8日にはゼロデイ脆弱性を修正するFirefox 72.0.1をリリースしている(Mozillaのセキュリティアドバイザリー、 Softpediaの記事、 Ars Technicaの記事、 Windows Centralの記事)。

修正された脆弱性CVE-2019-17026はIonMonkey JITコンパイラーにおける誤ったエイリアス情報により型の取り違えが引き起こされるというもので、既にこの脆弱性を狙った攻撃が確認されているという。同じ脆弱性を修正したFirefox ESR 68.4.1も同時にリリースされた。深刻度は最も高い「critical」となっており、迅速なアップデートが望ましい。

Firefox 72では新機能として、フィンガープリンティングを実行するスクリプトがデフォルトでブロックされるようになっており、Webサイトからの通知リクエストポップアップもデフォルトで非表示化される。また、WindowsではFirefox 71から利用できていた動画のピクチャーインピクチャー表示がMacとLinuxでも利用可能になった。ちなみに、Googleも通知リクエストポップアップの非表示化機能をChrome 80に搭載する計画を発表している。

なお、Mozillaはカリフォルニア州消費者プライバシー法(CCPA)の施行に伴い、Firefox 72にテレメトリーデータの削除オプションを追加すると事前に説明していたが、リリースノートには記載されていない。

ToTokチームは5日、通話・メッセンジャーアプリ「ToTok」がGoogle Playで再び入手可能になったことを発表した(ToTokのニュース記事、 The Vergeの記事、 Android Policeの記事、 Computingの記事)。

ToTokに関しては12月、UAE政府のスパイウェアだとの疑惑をThe New York Timesが報じており、Google PlayとAppleのApp Storeでは報道よりも前にToTokが削除されていた。一方、ToTok側は疑惑を一貫して否定している。12月29日付のKhaleej Timesの記事ではToTok共同設立者のGiacomo Ziani氏が独占インタビューに答え、UAEに対する陰謀に巻き込まれたと感じていることや、急速にユーザーを増やしていることに対する妬みもあって疑惑が作り上げられた可能性を指摘。疑惑を主張する人々が元NSA職員に分析を依頼した結果、スパイウェアではなく、バックドアやマルウェアも見つからなかったと結論付けられたとも述べている。アプリの再公開については、ホリデーシーズンでAppleとの話し合いは進んでいないとしつつ、Google Playではすぐにでも公開が再開されるとの見通しを示していた。