エアバスがA350型機で操縦室内の液体禁止ゾーンを定義する航空機運航マニュアル(AFM)暫定リビジョン(TR)を発行したことを受け、EU航空安全機関(EASA)が緊急の耐航空性改善命令(AD)を出し、AFM TRに従ってAFMを訂正するよう運航会社に命じた(AD、 The Registerの記事、 Flight Globalの記事)。

同型機では2つの操縦席の間にある制御パネルの組み込まれた台に誤って液体をこぼした後、運航中にエンジンの1つが停止し、再始動することもできずに緊急着陸するトラブルが2件報告されているという。異常の原因は液体が制御パネルにこぼれたことが原因とみられ、修正が行われなければ大きな事故につながる可能性もある。そのため、エアバスではAFM TRで操縦室内の液体禁止ゾーンを定義し、誤って液体をこぼした場合の対応を追加したほか、操縦室内での液体の扱いに関する航空会社への通達も発行したとのこと。

操縦室内で液体をこぼしたことによる緊急着陸はエアバスA330でも昨年発生しているが、こちらは電子回路の短絡・過熱による発煙が原因であり、エンジンの問題は報告されていない。

sudoに10年以上前から存在した脆弱性(CVE-2019-18634)が1月30日リリースのsudo 1.8.31で修正されている(sudoのアドバイザリ、 Ars Technicaの記事、 Softpediaの記事)。

この脆弱性はsudoでパスワード入力時にアスタリスク(*)を表示するオプション「pwfeedback」が有効になっている場合、ユーザーがスタックベースのバッファーオーバーフローを引き起こす可能性があるというもの。sudoが許可されていないユーザーでも実行でき、悪用することで特権のないユーザーがroot権限に昇格する可能性がある。

脆弱性の原因となるバグ自体はsudo 1.7.1～1.8.30に存在するが、sudo 1.8.26で導入された変更により、実際に悪用可能なのはsudo 1.7.1～1.8.25p1となる。pwfeedbackはアップストリームのsudoや多くのパッケージのデフォルトでは有効になっていないものの、Linux MintやElementary OSなどデフォルトで有効になっているシステムも存在するとのこと。

影響を受けるバージョンのsudoは1.8.31へのアップグレードが推奨されるが、sudoerファイルでpwfeedbackを無効にすることで悪用の回避には十分だ。pwfeedbackが有効になっているかどうかは「sudo -l」コマンドで確認できる。「Matching Defaults entries」の出力にpwfeedbackが含まれていれば有効になっているので、sudoerファイルの「Defaults pwfeedback」を「Defaults !pwfeedback」に変更すれば無効化できるとのことだ。

Twitterは3日、連絡先に登録した電話番号からユーザーを見つける機能を悪用してユーザー名と電話番号を照合する行為に対策を実施したことを発表した(Twitter Privacy Centerの記事、 The Registerの記事、 SlashGearの記事、 Mashableの記事)。

Twitterは昨年12月24日、何者かがTwitter APIを悪用してユーザー名と電話番号を照合するため、大規模な偽アカウントのネットワークを使用していることに気付いたという。Twitterでは問題のアカウントを即刻凍結。調査を進めた結果、同じAPIエンドポイントを悪用するアカウントが他にも存在することが判明したそうだ。問題のアカウントは幅広い国々に存在したが、特にイラン・イスラエル・マレーシアのIPアドレスから大量のリクエストが送られていたといい、Twitterでは一部のIPアドレスが国家を背後に持つ人物と結び付けられる可能性があるとみている。

電話番号からユーザーを見つける機能はTwitterの「設定→プライバシーとセキュリティ→見つけやすさと連絡先 (要ログイン)」で「あなたの電話番号を連絡先に保存している利用者がTwitter上であなたを見つけ、つながれるようにします。」で設定可能で、設定をオフにしている場合やアカウントに電話番号を関連付けていない場合は脆弱性の影響を受けない。調査ののち、Twitterはクエリに対して特定のアカウント名を返さないようエンドポイントに複数の変更を行い、エンドポイントを悪用していたとみられるアカウントを凍結したとのこと。

Twitterの電話番号でユーザーを見つける機能に関しては昨年、ランダムに生成した20億件の電話番号をアップロードしたところ、1,700万件が一致したとセキュリティ研究者が明らかにしている。このセキュリティ研究者の試みは12月20日にブロックされたとのことで、今回の発表とは別のようだ。

taraiok曰く、

米大統領選挙に向けて、野党・民主党の候補者選びのスタートとなったアイオワ州の党員集会が混乱している。理由はスマートフォンアプリを使った集計に食い違いが発生したためだ（The Atlantic、NHK、Business Insider Japan、Slashdot）。

今回の党員集会では、集計を行うためのスマートフォンアプリを党員がスマートフォンにダウンロードし、このアプリを使って投票を行ってその結果を集計するはずだった。しかし、アプリケーションの不具合などが原因で翌朝に集計結果を出すことはできなかったという。報道によると、日本時間6日午後2時すぎの集計率は97％ほどだという。そのため、集計は党員集会から4日目に持ち越されることとなった。

一部ではロシアのハッキングがあったのではと疑いも声も出ているようだが、ロシアが原因であるならばむしろ解決は簡単で、現実はもっと悪い状況との報道も出ているようだ。今回の集計アプリ開発を依頼した企業はShadowという名の営利企業で、前回のヒラリー・クリントン氏の大統領選挙に参加したメンバーが関与しているとされる。

Shadowは今回ロシアのハッキングを恐れ、外部機関によるテストや独立したセキュリティ専門家を雇わずに開発した。その結果多数の脆弱性が生まれた可能性があるという。The Atlanticによれば、Shadowがアプリを専門家に公開していたならば、アプリははるかに強力なセキュリティを持っていただろうとしている。なお、民主党はアプリ開発のためにShadowに60,000ドルを支払ったそうだ。

Anonymous Coward曰く、

Nintendo Switchの情報をリークしていたなどとして起訴されていた米国人の男性が、違法な手段でNintendo Switchに関する情報を収集していたことや、児童ポルノを所持していたことを認めた（BBC、Slashdot）。

被告は2016年に任天堂の社員に対しフィッシングによる攻撃を行い、任天堂のサーバーにログインする情報を入手。これを用いて機密情報を窃取したという。2017年時点でFBIから被告に対し警告が行われたそうだが、2018年にも任天堂への攻撃を行っていたという。その結果2019年に被告の通信機器などが押収され、そこで児童ポルノ画像が発見されたことから児童ポルノ所持の疑いでも起訴されることとなった。

この事件によって被告が支払う賠償金は26万ドルになるほか、児童ポルノ所持によって禁固20年が言い渡される可能性があるという。

headless曰く、

Microsoft Teamsが日本時間3日夜から数時間にわたって利用できなくなったのだが、原因は証明書の期限切れによる失効だったそうだ（The Verge、SlashGear、GeekWire、The Register）。

Microsoft 365 StatusのTwitterアカウントが問題の原因を確認中であることを報告したのは日本時間3日23時19分。4日0時19分には証明書の期限切れであることを確認し、新しい証明書を準備中であることを報告している。4日1時19分に新しい証明書のデプロイ開始を報告し、修正の完了が報告されたのは4日6時27分となっている。

Anonymous Coward曰く、

北朝鮮から脱出（いわゆる「脱北」）したコンピュータサイエンス系の元大学教員が、北朝鮮のサイバー攻撃部隊に関する情報を明かしている（日経ビジネス）。

これによると、北朝鮮には数千人規模のサイバー攻撃部隊が存在し、インフラ破壊工作や情報窃取、技術開発、外貨獲得などの活動を行なっているという。インフラ破壊工作や情報窃取を行う部隊がもっとも人数が多いが、金融機関や仮想通貨関連企業を攻撃して金銭を稼ぐ外貨獲得部隊も存在するとのことで、ここで稼いだ外貨が兵器開発に使われているそうだ。

外貨獲得はサイバー攻撃だけでなく、ソフトウェア技術を海外に売ったり、関連するソフトウェア開発を請け負ったりすることでも行われているとのこと。日本にもフロント企業があり、「納期厳守と低価格」で日本企業からソフトウェア開発を請け負っているそうだ。こういったソフトウェアにはバックドアが組み込まれている可能性もあり、日本社会にこういった危険なソフトウェアが広まっているという。

そのほか、北朝鮮のハッカーは中国国境沿いで漏れてくる無線LANの電波を使ってネットにアクセスしているといったことも述べられている。ただ、これを語ったのは北朝鮮から脱出した元関係者を自称するものなので、どこまでが真実かは謎。

低価格なマイコンとして多く機器で使われているESP32に、修正が不可能な脆弱性が存在することが発見されたと報じられている。

ESP32はCPUおよびメモリ、各種インターフェイス、無線LANおよびBluetoothモジュールを統合したマイコンで、近年多くのIoT製品などで使われている。

ESP32ではブート時に実行するコードを認証するSecure Boot機能を備えているが、今回の脆弱性はこのSecure Bootを無効にできるというもの。物理的にハードウェアに改変を加えた上でこの脆弱性を利用することで、悪意のあるコードを実行させることが可能になる。ESP32ではフラッシュメモリの暗号化に対応しており、これを利用していれば脆弱性の影響を抑えられるという。

この攻撃ではハードウェアに対し物理的な操作が必要となるため遠隔からの攻撃は行えないようだが、例えば流通経路で改変が加えられるといった攻撃が行われる危険性がある。

headless曰く、

EFFによれば、「安全のために公衆Wi-Fiの使用を避けるべき」というアドバイスはほぼ時代遅れであり、以前ほど多くの人に適用できるものではないという（Deeplinks Blog、Softpedia）。

Webページの多くがHTTP接続だった時代、暗号化されていないWi-Fiネットワークに接続すると通信内容を盗み見られる可能性があった。しかし、2010年にFiresheepが公開されて以来、Web接続の暗号化の重要性が認識されてサイトのHTTPS化が進んだ。EFFは無料でサーバー証明書を発行するLet's Encryptの立ち上げに協力し、無料証明書の取得とインストールを容易にするCertbotを開発している。

その結果、現在米国から閲覧されるWebページの92%がHTTPS接続だという。インドなどHTTPS接続ページの閲覧率が低い（80%）国もあるが、それでも大半のページがHTTPSで保護されている。HTTPSでもメタデータは暗号化されないが、接続先ドメイン名やダウンロードサイズといったものであり、閲覧したページのURLや送受信したメッセージなどが盗み見られることはない。ただし、ソフトウェアに脆弱性があると公衆Wi-Fi接続中に攻撃を受ける可能性もあるため、常にソフトウェアを最新の状態に保つことが重要とのこと。

政府機関が人々を監視する場合はISPのコアルーターなどもっと上流で行われることが多く、暗号化されていない公衆Wi-Fiの盗聴リスクを心配することもない。人生には心配事がたくさんあるが、そのリストから公衆Wi-Fiを消しても問題ないとのことだ。

セキュリティ企業Sophosによるセキュリティ情報サイトnaked securityによると、国連が更新パッチを当てていないSharePointサーバー経由でサイバー攻撃を受けたという。

この話は匿名のIT関連従事者が国連傘下で人権に関する報道を行う組織のNew Humanitarianにリークして明らかになったもの。攻撃を受けたのは2019年8月30日で、ドメイン全体が攻撃によって汚染されたとされている。

攻撃は2019年7月中旬ごろに始まっており、数十台のサーバーが攻撃の影響を受けたという。攻撃に使われたのはSharePointのCVE-2019-0604という脆弱性で、この脆弱性については2019年2月に修正パッチがリリースされているが、攻撃を受けたサーバーではこれが適用されていなかったという。

なお、国連のITシステムを対象に2018年に行われた監査では、223台のサーバーでWindows 2000 Serverなどのサポートが終了されたOSが利用されていたことが発覚しており、適切な管理が行われていないことが露呈していた。さらに、セキュリティに関する適切な対応が行われていない傾向もあるとのことで、Webベースのシステムに対し適切にアップデートを行なっているかどうかを37のオフィスに対して確認したところ、完全に適切な対応を行なっていると答えたのは3つのオフィスだけで、また国連関連の1462のWebサイトのうち、外部のサイバーセキュリティチームによってチェックされていたのは1つだけだったという。

Anonymous Coward曰く、

Appleが、SMSを使ったワンタイムパスコード認証のフォーマットを標準化したい意向を示しているという（ZDNet、AppleInsider、Slashdot）。

昨今ではSMS経由で認証に使用するパスコードを送信する二要素認証を採用するサービスが増えている。認証時にサービス側があらかじめ登録しておいた電話番号にパスコードが記載されたSMSを送信し、利用者はそのパスコードをサービス側で入力することで認証が行われる。Appleはこの送信されるSMSのフォーマットをそろえることで、端末がSMSを受信した際に自動的にパスコードの入力を行えるようにする仕組みを構築できると主張している。

具体的なフォーマットとしては、次のようにSMSメッセージにパスコードとともに発信元URLを記述する、という形が考えられているようだ。

747723は[サイト名]認証コードです。
@ website.com#747723

メッセージの1行目は、着信メッセージを説明するための人間が読めるテキストで、2行目はプログラムがパスコードとそれを使用するサービスを識別するための文字列で、この場合は「747723」と「website.com」がそれに当たる。AppleとGoogleはこの提案に同意しているが、Mozillaはこの標準化に関する公式声明は出していない模様。

headless曰く、

MicrosoftはChromiumベースの新Microsoft Edgeに「望ましくない可能性のあるアプリケーション（PUA）」のダウンロードをブロックする機能を追加するようだ（The Verge、On MSFT）。

すでにBetaチャネルで利用可能になっており、いずれ安定版にも追加されるとみられる。この機能を使用するには設定画面の「プライバシーとサービス」で「望ましくない可能性のあるアプリをブロックする」をオンにすればいい。レガシー版を含めてMicrosoft EdgeではMicrosoft Defender SmartScreenにより既知のマルウェアのダウンロードをブロックするが、新機能ではマルウェアに区分されないものの「予期しない動作を引き起こす可能性がある低評価のアプリのダウンロードをブロック」すると説明されている。

Anonymous Coward曰く、

1月27日、おもにIntelの第6世代から第9世代までのCPUに影響する脆弱性（CVE-2020-0548）の存在が公表された。認証済みユーザーの情報が漏洩してしまう可能性があるという脆弱性で、CPUのマイクロコードのアップデートで対応できるという（Engadget、PCWatch、GIGAZINE、Slashdot）。

IntelのCPUにおいては2019年5月に投機実行の脆弱性「Microarchitectural Data Sampling（MDS）」が発覚していたほか、CVE-2020-0549という脆弱性も報告されており、この脆弱性は「CacheOut」と名付けられている。こちらは先の2つの脆弱性と異なり、Intelの最近のCPUでは動作しないことやWebブラウザを使用した攻撃が行えないなどから、危険性はやや低めになっている。Intelはこちらに関しても今後数週間で対策用の追加パッチを提供するとしている。

ただしセキュリティ研究者は、この問題は以前から指摘されており、情報の開示に時間が掛かりすぎている点や、学術的な影響もあるとして、Intelが取っている泥縄的な対策を批判している。

セキュリティ企業Coalfireは1月30日、米国・アイオワ州のダラス郡裁判所庁舎への侵入テスト中に逮捕された同社のスタッフ2名に対する不法侵入罪による起訴が取り下げられたことを発表した(プレスリリース、 Ars Technicaの記事、 Des Moines Registerの記事。 The Registerの記事)。

事件が起こったのは昨年9月11日。Coalfireは州裁判所事務局から侵入テストを依頼され、ダラス郡裁判所庁舎に2名を派遣していた。しかし、2名は物理的な侵入テストを実施中、アラームが作動して駆け付けたダラス郡保安官に逮捕され、侵入窃盗と侵入用具所持で起訴されてしまう。ただし、起訴事実はその後不法侵入に軽減された。Coalfireによる2名の派遣もダラス郡保安官による2名の逮捕も市民の安全を守るためだったことは明らかだが、不法侵入罪による起訴の継続は長期的な正義と公共の安全を実現するために最もよい方法とはいえない。これらを実現するには関係各所が対立するのではなく、連携して行動する必要がある。そのため、Coalfireの代理人とダラス郡保安官、ダラス郡検事との話し合いの末、検事が起訴の取り下げを決めたとのこと。

逮捕された2名にとっては災難だが、これによりサイバー犯罪との静かな戦いやレッドチームによる侵入テストの重要さに対する認知度が全米で高まることになったという。Coalfireでは今回の教訓を生かし、ベストプラクティスのさらなる改善や、捜査機関とセキュリティプロフェッショナルの連携強化に注力した新たな意見交換を始めているとのことだ。

MicrosoftはWindows 7の延長サポート終了後もMicrosoft Security Essentialsにウイルス定義ファイルの更新を提供すると発表しているが、AV-TESTのまとめによるとサードパーティー製セキュリティソフトウェアの多くが当面はWindows 7のサポートを継続するそうだ(AV-TESTのニュース記事、 BetaNewsの記事、 On MSFTの記事、 Ghacksの記事)。

ベンダーの多くはWindows 7の具体的なサポート終了時期を発表しておらず、TotalAVが少なくとも1年間、F-Secure/McAfeeが少なくとも2021年12月まで、AhnLab/AVG & Avast/Bitdefender/BullGuard/Carbon Black/ESET/FireEye/G Data/Ikarus/K7 Computing/Kaspersky/Microworld/PC Matic/Quickheal/Seqrite/Symantec(NortonLifeLock)/ThreatTrack(Vipre)/Trend Microが少なくとも2年間サポートを継続するという。一方、Sophosはオンプレミスサポートを2020年12月まで、クラウドマネージドサービスを2021年6月まで継続し、Aviraは2022年11月にサポートを終了するとのこと。

なお、日本語版の情報を出しているベンダーの中では、カスペルスキーがWindows 7対応バージョンのライフサイクル終了までWindows 7をサポート、トレンドマイクロは個人向け製品を2021年12月まで、企業向け製品を2024年1月までサポートすると発表している。ノートンの場合は期間を示していないが、マルウェア定義や脆弱性対策の更新版、互換性対応の修正は提供する。ただし、ソフトウェア更新版は提供しないとのこと。マカフィーからは企業向け製品に関する情報のみ出ており、2021年12月31日までサポートを継続し、2022年1月以降は延長サポートSKUの購入が必要だと説明している。