英国・イングランド中部ウェストミッドランズ地域の組織犯罪対策ユニット(WMROCU)がポスターを掲示し、子供のコンピューターでバーチャルマシン(仮想化ソフトウェア)などを見つけたら相談するよう保護者に呼びかけたそうだ(The Registerの記事)。

ポスターの趣旨としては子供のコンピューターでハッキングツールを見つけた場合や、子供がハッキングをしていると思われる場合、WMROCUに連絡すれば子供を良い方向に導くためのアドバイスをする、というものだ。ただし、バーチャルマシン以外にリストアップされているのはKali Linux・WiFi Pineapple・Metasploitといった情報セキュリティ関連ツールのほか、TorやDiscordといったものだ。

情報セキュリティ関連ツールを悪用すればハッキングに利用することもできるが、それ自体はハッキングツールではない。バーチャルマシンについては、通常ならコンピューター内で見つかることのないKali Linuxなどのオペレーティングシステムを隠すことが可能だという理由付けがされている。

ポスターには英国家犯罪対策庁(NCA)のロゴが印刷されているが、NCAはこのポスターの作成・公開には関与していないとしたうえで、テクノロジーに精通した子供が使用するツールは数多くあり、中には合法・違法両方の使い方が可能なものもあるので、保護者と子供が安全な使い方を知ることが重要だとツイートしている。

プエルトリコの政府所有会社2社が別の政府関係機関職員を装ったフィッシングメールにだまされ、合計400万ドル以上の送金詐欺被害にあっていたそうだ(AP Newsの記事、 Caribbean Businessの記事、 El Voceroの記事)。

プエルトリコ警察によれば、何者かが12月にプエルトリコ政府のEmployees Retirement System(RETIRO)職員のコンピューターへ侵入し、女性職員を装って送金先口座の変更を知らせる電子メールを複数の政府関係機関に送っていたという。

電子メールを受信したPuerto Rico Industrial Development Company(PRIDCO)は12月に63,000ドル、1月に260万ドル以上、Puerto Rico Tourism Companyも150万ドルを米国本土の詐欺師の銀行口座に送金してしまう。しかし、RETIROの担当者が送金されていないことに気付き、各社へ通知したことで詐欺が判明する。被害届は12日に提出され、13日に内容が公表された。

これについて米連邦捜査局(FBI)ではPRIDCOの送金した260万ドルを保護したとの声明を出したそうだ。APへの情報提供者によれば、捜査機関は少なくとも290万ドル分の銀行預金を凍結しているとのことだ。

IANAはルート鍵署名鍵(ルートKSK)を用いてゾーン署名鍵(ZSK)に署名する第40回のルートKSKセレモニーをカリフォルニア州エルセガンドーの施設で2月12日に実施する予定だったが、物理的なセキュリティ上の問題が発生して延期したそうだ(Kim Davies氏のメーリングリスト投稿[1]、 [2]、 ICANN Blogの記事、 The Registerの記事)。

ZSKはDNSルートゾーンの署名に使用するもので、3か月に1回更新される。問題が発覚されたのは2月11日。定期的な管理上のメンテナンスを実施した際、機器の故障によりセレモニーで使用する資料を含む金庫にアクセスできないことが判明したという。今回の問題による施設内で保護されている要素が影響を受けることはなく、DNSSECに対するサービスが影響を受けることもないそうだ。

14日に予定されている修理が無事に完了すれば、セレモニーは15日18時(UTC)に実施される。状況は金曜日(14日)遅くには判明し、さらなる作業が必要な場合は数週間以内に新たな日程を発表するとしていたが、現地時刻(PST)で日付が変わっても特に続報はないので、予定通り実施されるようだ。YouTubeでのライブ中継も日本時間16日3時から予定されている。

KSK管理10年間の歴史の中で、スケジュール変更が必要になるのは今回が初めてとのことだ。

追記: 15日16:00(UTC)時点で修理の作業がまだ続いているとメーリングリストに続報が出た。セレモニー開始は2時間遅れ(日本時間16日5時)に設定されている。

追記2: さらに2時間遅れの日本時間16日7時に再設定。その後もスケジュール再設定が繰り返されている。

追記3: 最終的に開始時刻はUTCで日付の変わる16日0時(日本時間9時)までずれ込んだが、セレモニー自体は無事終了したようだ。

headless曰く、

Microsoftは11日に提供開始した2月の月例更新プログラムで、1月に公表していたInternet Explorer（IE）のゼロデイ脆弱性（CVE-2020-0674）を修正した（セキュリティ更新プログラムガイド）。

CVE-2020-0674はjscript.dllがIEでメモリ内のオブジェクトを処理する方法に存在するもので、回避策としてjscript.dllのアクセス権を変更する方法が紹介されていた。しかし、この回避策を使用するとMicrosoft Print to PDFやWindows Media Player、Windows Scripting HostのJavaScriptエンジンが動作しなくなる問題が発生するほか、サードパーティーアプリケーションでも動作しなくなる問題が報告されている。

月例更新プログラムでCVE-2020-0674が修正されたのは、バージョン1511と1703を除くWindows 10の全バージョンのほか、Windows 7 SP1/8.1/RT 8.1/Server 2008 SP2～2019となる。上述の回避策を使用している場合、セキュリティアドバイザリに従って更新の適用前に回避策を解除しておくことが必要となる。

ただし、Microsoftが事前に予告していた通り、Windows 7/Server 2008でCVE-2020-0674の修正を含む2月の更新プログラム（KB4537820 / KB4537813 / KB4537767）が提供されるのは有料セキュリティアップデート（ESU）が有効なマシンのみ。更新プログラム自体はMicrosoft Updateカタログから入手することもできるが、ESUが有効でないWindows 7/Server 2008に適用すると再起動後に「Windows更新プログラムの構成に失敗しました/変更を元に戻しています」と表示され、更新プログラムの適用は失敗する。

Windows 7では1月の更新プログラム適用後に一部の環境で壁紙が黒一色になる問題が発生し、プレビュー版のマンスリーロールアップですべてのユーザーに修正が提供されていたが、ESUが有効でない場合はこのプレビュー版が最後の更新プログラム提供となったようだ。

Anonymous Coward曰く、

多くの国で使われていた暗号化装置を開発していたスイスのCrypto社を米国およびドイツの諜報機関が1970年代に秘密裏に買収、同社の暗号化装置を使った外交公電などの通信内容解読していたことが判明した。同社の暗号装置は2000年代まで120か国以上に販売されており、一時は各国政府の暗号通信の約40％で使われるほどのシェアがあったという（Washington Post、BBC、東京新聞、Slashdot）。

実際、これによって1979年のイラン米大使館人質事件時にイラン当局の動きを監視したり、1982年のフォークランド紛争でアルゼンチン軍の機密情報を入手する、といった成果が上がっていたそうだ。ただ、ソ連（現ロシア）や中国、北朝鮮はCrypto社の暗号機器を導入していなかったという。

なお、Crypto社の機器が人気だったのは、スイスが精密機器に強いとされており、また永世中立国であることから信頼できるという点も大きかったようだ。

羽田空港は発着回数の増加を目的として離着陸する航空機の「新ルート」導入を進めており、2月3日よりこの新ルートを使った「飛行確認」が実施されている。飛行確認では一般の旅客機が初めてこの新ルートを飛行し、運用手順の確認や騒音測定が行われている。ただ、これに対しては騒音が大きいといった指摘や墜落が怖いといった声も出ているほか（東京新聞）、着陸が難しいという指摘も出ている。（毎日新聞）。

毎日新聞の記事では新ルートについて、元機長による「これで羽田は世界一着陸が難しい空港になるでしょう」との意見も紹介されている。新ルートでは、着陸時の降下角をより急なものにすることで飛行高度を引き上げるという騒音対策が提案されているが、「着陸が難しい」理由としてこの角度が急すぎると指摘されている。実際、米デルタ航空はこの降下角度について「通常よりも急角度」として飛行確認での運用を見合わせていた（東京新聞）。

プライバシーマーク（Pマーク）を運用する日本情報経済社会推進協会（JIPDEC）が1月27日に公開した「プライバシーマーク審査員登録者一覧」に、公開を希望していない人の氏名175人分が含まれていたことが発覚。1月30日に修正したが、検索エンジンのキャッシュに公開を希望していない人の氏名情報が残っており、2月3日に審査員登録者から指摘を受けたという。その後同協会はキャッシュの削除を依頼、2月4日には実際に削除が行われたとのこと（Security NEXT、JIPDECの発表）。

同協会は個人情報の取扱い手順について、改めて全役職員に周知徹底するとしている。JIPDECが運用しているプライバシーマークは、「事業者の個人情報を取り扱う仕組みとその運用が適切であるかを評価し、その証として、事業活動においてプライバシーマークの使用を認める制度」となっている。

headless曰く、

Malwarebytesがサイバーセキュリティ上の脅威に関する現状をまとめた報告書「2020 State of Malware Report」によると、2019年はMacに対する脅威の数が初めてWindowsに対する脅威の数を上回ったそうだ（プレスリリース、ブログ記事、報告書: PDF、BetaNews）。

「脅威」の数はMalwarebytes製品がインストールされたエンドポイントにおける検出件数で、マルウェアのほか、望ましくない可能性のあるプログラム（PUP）やアドウェアも含まれる。Macでの検出件数は2018年比で400%以上増加したそうだが、これはMalwarebytesを使用するMacの増加も影響しているという。ただし、エンドポイントあたりの検出件数も2018年の4.8件から2019年は11.0件と倍以上に増加しており、2019年のWindowsでの検出件数（5.8件）を2倍近く上回るとのこと。

脅威を種類別にみると、Windowsではアドウェアとトロイの木馬の検出件数が多いのに対し、MacではアドウェアとPUPの検出件数が多い。MalwarebytesではmacOSに組み込まれたセキュリティシステムによるアドウェアやPUPへの対応がマルウェアへの対応と同レベルでは行われず、ボーダーラインのプログラムに侵入を許してしまうためとみているようだ。さらにMacでの検出件数1位のAdware.NewTabと2位のPUP.PCVARKは、Macの脅威として初めて全体の検出件数トップリスト（2位と3位）に入ったとのこと。

このほか2019年の脅威に関する状況で注目すべき点としては、ビジネス向けエンドポイントでマルウェア検出件数が13%増加したこと（コンシューマー向けでは2%減少）、Androidデバイスにプリインストールされるマルウェアやアドウェアの増加が挙げられている。

ワコムのペンタブレット用ドライバが、使用しているPCで実行しているアプリケーションの情報を外部に送信していることが見つかり話題となっている（GIGAZINE、CNET Japan）。

これに対し、当初ワコムの海外向け公式アカウントはmacOSのセキュリティ上の問題だと説明をしていたが（説明Tweet。現在は削除済み）、その後ワコムは公式にこれについて説明する文書を公開した。

これによると、収集を行っているのは事実で、使用しているタブレット製品のモデル名と使用状況、使用中のソフトウェアの名称をGoogle Analyticsのサーバーに送信しているという。ただしデータの収集は匿名で行われており、また事前にユーザーからの許諾を取るための確認画面が表示されるという（マイナビニュース）。

昨年末、成田空港のどの建物の扉も解錠できる「グランドマスターキー」が紛失するトラブルが発生、現在までもこの鍵の行方は分からないままになっているという（朝日新聞）。

この鍵は空港内の警備を行なっている会社が預かって保管していたが、2019年12月13日から15日の間になくなっていることが分かったという。今のところ悪用された痕跡はないという。

エアバスがA350型機で操縦室内の液体禁止ゾーンを定義する航空機運航マニュアル(AFM)暫定リビジョン(TR)を発行したことを受け、EU航空安全機関(EASA)が緊急の耐航空性改善命令(AD)を出し、AFM TRに従ってAFMを訂正するよう運航会社に命じた(AD、 The Registerの記事、 Flight Globalの記事)。

同型機では2つの操縦席の間にある制御パネルの組み込まれた台に誤って液体をこぼした後、運航中にエンジンの1つが停止し、再始動することもできずに緊急着陸するトラブルが2件報告されているという。異常の原因は液体が制御パネルにこぼれたことが原因とみられ、修正が行われなければ大きな事故につながる可能性もある。そのため、エアバスではAFM TRで操縦室内の液体禁止ゾーンを定義し、誤って液体をこぼした場合の対応を追加したほか、操縦室内での液体の扱いに関する航空会社への通達も発行したとのこと。

操縦室内で液体をこぼしたことによる緊急着陸はエアバスA330でも昨年発生しているが、こちらは電子回路の短絡・過熱による発煙が原因であり、エンジンの問題は報告されていない。

sudoに10年以上前から存在した脆弱性(CVE-2019-18634)が1月30日リリースのsudo 1.8.31で修正されている(sudoのアドバイザリ、 Ars Technicaの記事、 Softpediaの記事)。

この脆弱性はsudoでパスワード入力時にアスタリスク(*)を表示するオプション「pwfeedback」が有効になっている場合、ユーザーがスタックベースのバッファーオーバーフローを引き起こす可能性があるというもの。sudoが許可されていないユーザーでも実行でき、悪用することで特権のないユーザーがroot権限に昇格する可能性がある。

脆弱性の原因となるバグ自体はsudo 1.7.1～1.8.30に存在するが、sudo 1.8.26で導入された変更により、実際に悪用可能なのはsudo 1.7.1～1.8.25p1となる。pwfeedbackはアップストリームのsudoや多くのパッケージのデフォルトでは有効になっていないものの、Linux MintやElementary OSなどデフォルトで有効になっているシステムも存在するとのこと。

影響を受けるバージョンのsudoは1.8.31へのアップグレードが推奨されるが、sudoerファイルでpwfeedbackを無効にすることで悪用の回避には十分だ。pwfeedbackが有効になっているかどうかは「sudo -l」コマンドで確認できる。「Matching Defaults entries」の出力にpwfeedbackが含まれていれば有効になっているので、sudoerファイルの「Defaults pwfeedback」を「Defaults !pwfeedback」に変更すれば無効化できるとのことだ。

Twitterは3日、連絡先に登録した電話番号からユーザーを見つける機能を悪用してユーザー名と電話番号を照合する行為に対策を実施したことを発表した(Twitter Privacy Centerの記事、 The Registerの記事、 SlashGearの記事、 Mashableの記事)。

Twitterは昨年12月24日、何者かがTwitter APIを悪用してユーザー名と電話番号を照合するため、大規模な偽アカウントのネットワークを使用していることに気付いたという。Twitterでは問題のアカウントを即刻凍結。調査を進めた結果、同じAPIエンドポイントを悪用するアカウントが他にも存在することが判明したそうだ。問題のアカウントは幅広い国々に存在したが、特にイラン・イスラエル・マレーシアのIPアドレスから大量のリクエストが送られていたといい、Twitterでは一部のIPアドレスが国家を背後に持つ人物と結び付けられる可能性があるとみている。

電話番号からユーザーを見つける機能はTwitterの「設定→プライバシーとセキュリティ→見つけやすさと連絡先 (要ログイン)」で「あなたの電話番号を連絡先に保存している利用者がTwitter上であなたを見つけ、つながれるようにします。」で設定可能で、設定をオフにしている場合やアカウントに電話番号を関連付けていない場合は脆弱性の影響を受けない。調査ののち、Twitterはクエリに対して特定のアカウント名を返さないようエンドポイントに複数の変更を行い、エンドポイントを悪用していたとみられるアカウントを凍結したとのこと。

Twitterの電話番号でユーザーを見つける機能に関しては昨年、ランダムに生成した20億件の電話番号をアップロードしたところ、1,700万件が一致したとセキュリティ研究者が明らかにしている。このセキュリティ研究者の試みは12月20日にブロックされたとのことで、今回の発表とは別のようだ。

taraiok曰く、

米大統領選挙に向けて、野党・民主党の候補者選びのスタートとなったアイオワ州の党員集会が混乱している。理由はスマートフォンアプリを使った集計に食い違いが発生したためだ（The Atlantic、NHK、Business Insider Japan、Slashdot）。

今回の党員集会では、集計を行うためのスマートフォンアプリを党員がスマートフォンにダウンロードし、このアプリを使って投票を行ってその結果を集計するはずだった。しかし、アプリケーションの不具合などが原因で翌朝に集計結果を出すことはできなかったという。報道によると、日本時間6日午後2時すぎの集計率は97％ほどだという。そのため、集計は党員集会から4日目に持ち越されることとなった。

一部ではロシアのハッキングがあったのではと疑いも声も出ているようだが、ロシアが原因であるならばむしろ解決は簡単で、現実はもっと悪い状況との報道も出ているようだ。今回の集計アプリ開発を依頼した企業はShadowという名の営利企業で、前回のヒラリー・クリントン氏の大統領選挙に参加したメンバーが関与しているとされる。

Shadowは今回ロシアのハッキングを恐れ、外部機関によるテストや独立したセキュリティ専門家を雇わずに開発した。その結果多数の脆弱性が生まれた可能性があるという。The Atlanticによれば、Shadowがアプリを専門家に公開していたならば、アプリははるかに強力なセキュリティを持っていただろうとしている。なお、民主党はアプリ開発のためにShadowに60,000ドルを支払ったそうだ。

Anonymous Coward曰く、

Nintendo Switchの情報をリークしていたなどとして起訴されていた米国人の男性が、違法な手段でNintendo Switchに関する情報を収集していたことや、児童ポルノを所持していたことを認めた（BBC、Slashdot）。

被告は2016年に任天堂の社員に対しフィッシングによる攻撃を行い、任天堂のサーバーにログインする情報を入手。これを用いて機密情報を窃取したという。2017年時点でFBIから被告に対し警告が行われたそうだが、2018年にも任天堂への攻撃を行っていたという。その結果2019年に被告の通信機器などが押収され、そこで児童ポルノ画像が発見されたことから児童ポルノ所持の疑いでも起訴されることとなった。

この事件によって被告が支払う賠償金は26万ドルになるほか、児童ポルノ所持によって禁固20年が言い渡される可能性があるという。