Microsoftは20日、企業向けエンドポイントセキュリティソリューションMicrosoft Defender Advanced Threat Protection(ATP)のLinux版パブリックプレビュー開始をアナウンスするとともに、Android/iOS向けのセキュリティソリューションも開発していることを明らかにした(Microsoft Securityのブログ記事、 Bleeping Computerの記事、 Neowinの記事、 On MSFTの記事)。

Microsoft Defender ATPは以前Windows Defender ATPと呼ばれていたが、昨年Mac向けにも提供開始したのに合わせて改称され、Ignite 2019ではLinuxサーバー向けの提供計画が明らかにされていた。今回のパブリックプレビューでは6つのLinuxサーバーディストリビューション(RHEL 7+ / CentOS Linux 7+ / Ubuntu 16 LTSおよび以降のLTS / SLES 12+ / Debian 9+/ Oracle EL 7)に対応するとMicrosoft Defender ATPブログでアナウンスされたようだが、該当記事は見当たらない。モバイル向けのソリューションについては、24日から米サンフランシスコで開催されるRSA Conference(RSAC) 2020にて何らかの披露を行う計画のようだ。

なお、RSAC 2020では新型コロナウイルス(SARS-CoV-2)の影響でIBMやAT&T Cybersecurity、Verizonがスポンサーとしての参加を取りやめるなど、米国7社・中国6社・カナダ1社の計14社が21日までにスポンサーまたは出展者としての参加取りやめを表明している。中国の6社はいずれも渡航制限により参加できなくなったという。一方、ロンドン・ブリード市長はサンフランシスコでのCOVID-19の感染リスクは低いと説明する書状をRSAC参加者あてに送っており、会場となるモスコーネセンターではコロナウイルスに効果のある消毒剤を清掃に使用するなどの対策も取られるとのことだ。

Symphony Technology Group(STG)は18日、同社の率いる投資コンソーシアムがDell TechnologiesからRSAを買収することで最終合意に入ったことを発表した(プレスリリース、 RSA Conferenceのニュース記事、 RSAのブログ記事、 Direct2Dellの記事)。

買収総額は20億7,500万ドルで、すべて現金で支払われる。買収内容にはRSA Archer / RSA NetWitness Platform / RSA SecurID / RSA Fraud and Risk Intelligence / RSA Conferenceが含まれる。慣習的な取引完了条件と当局の承認を前提とし、今後6か月から9か月の間に取引完了が見込まれるとのこと。合意の各条件については公表されない。

2018年3月に群馬県前橋市教育委員会のサーバーに不正アクセスが行われ、児童生徒など約4万7000人の個人情報が流出する事件があった（過去記事）。これを受けて前橋市教委はサーバーの設計や構築、保守管理の委託先であるNTT東日本に対し損害賠償を請求する方針だったが（過去記事）、NTT東側は責任を認めず、支払いを拒否しているそうだ。そのため、前橋市教委は約1億7700万円の損害賠償支払いを求めてNTT東を提訴する方針だという（上毛新聞、ITmedia）。

第三者による調査委員会の調査では、問題のサーバーについて外部からのアクセス制限やセキュリティアップデートを適切に行っていなかったと指摘されていた。しかし、NTT東側は前橋市教委による請求に対し、「当社が責任を負うものではなく、市の請求は理由がない」として応じていなかった。

headless曰く、

Microsoftは15日、2月の月例更新の一つとして提供していたスタンドアロンのWindows 10向けセキュリティ更新プログラム（KB4524244）の提供中止を発表した（Microsoftのサポート記事、BetaNews、Neowin、Ghacks）。

KB4524244はUEFIを有効にしたコンピューターをサードパーティーのUEFIブートマネージャーが脆弱性にさらす可能性を修正するもので、Windows 10バージョン1607以降のすべてのバージョンが対象になっている。しかし一部の環境で、この更新プログラムをインストールすると「このPCを初期状態に戻す」が失敗する問題や、インストール時・インストール後の問題が発生するという。実際にMicrosoft Communityではインストール後の再起動時に問題が発生したという報告があり、同様の質問があるというユーザーは150人を超えている。

この問題を受けてMicrosoftではWindows UpdateのほかMicrosoft Update CatalogやWSUSでの提供を中止し、問題を修正したバージョンの開発を進めているという。問題が発生した場合にKB4524244をアンインストールしても、2月の月例更新で提供された他の更新プログラムは影響を受けないとのこと。現在のところ、日本向けのサポート記事では提供中止に関する追記はされていない。なお、手元の環境で問題は発生していないが、更新履歴（設定→更新とセキュリティ→更新の履歴を表示する）でKB4524244の項目をクリックするとWindows 10向けではない古い更新プログラム（KB4504418）の情報が表示される。

headless曰く、

昨年12月にUAE政府のスパイウェアだという疑惑が報じられた通話・メッセンジャーアプリ「ToTok」が再びGoogle Playから削除された（9to5Goole、The Verge、Mashable、Android Police）。

ToTokはスパイウェア疑惑が報じられる前にGoogle PlayとAppleのApp Storeから削除され、Google Playでは1月初めに再公開されていた。Googleは削除理由についてストアのポリシー違反と説明していたが、具体的な理由は示しておらず、1月に再公開した理由も特に説明していない。再び削除された理由も不明だ。

今回の削除は9to5Gooleが14日12時39分（PST）付の記事で報じており、14日16時18分（GMT）時点のGoogleキャッシュが残っていることから、日本時間で15日1時過ぎ～5時過ぎに削除されたようだ。17日午後の段階でToTok公式サイトに今回の削除に関する情報は出ておらず、1月5日付の再公開を知らせる記事が最新の情報となっている。

Anonymous Coward曰く、

パレスチナ過激派「ハマス」の工作員が、SNSで若い女性のふりをしてイスラエル軍兵士に接触し、それによって兵士のスマートフォンにスパイウェアを仕込まれるというトラブルが多発しているとイスラエル国防軍（IDF）が報告している（ZDNet、GIGAZINE、Slashdot）。

工作員はFacebookやInstagram、Telegramで10代の若い女性を装ったアカウントを作成し、それらを使ってIDFの兵士に接触。SNS上での会話から、写真をシェアするなどと言って「Catch & See」や「Grixy」、「Zatu」といったアプリのインストールを促すという。これらはアプリをインストールして実行する即座にクラッシュし、アプリのアイコンはそこで削除されるのだが、実際には端末上でバックグラウンドで動作し、写真やSMSメッセージ、連絡先などの情報を秘密裏に外部に送信したり、ほかのマルウェアをインストールしたり、端末の位置をリアルタイムで追跡したり、こっそりとカメラで撮影を行う、などの活動を行うという。

マシンのリソースや実行されているプロセスなどの情報を確認できるWindows向けソフトウェア「Process Hacker」のフォーラム（https://wj32.org/processhacker/forums/）などに対し攻撃が行われる状態となっているようだ。そのため、現在Webブラウザでアクセスすると「セキュリティリスクがある」などと警告が表示される事態になっている（GitHubのprocesshackerリポジトリに投稿されているIssue）。

Anonymous Coward曰く、

現在継続的に中間者攻撃がフォーラムに行われているようです。情報収集等の閲覧の際にはお気をつけください。いまのところProcess Hackerの自動更新等には問題はないそうです。

headless曰く、

チェコの個人情報保護当局は11日、Avastが子会社Jumpshotを通じてユーザーデータを販売していたことについて、事前調査を開始したことを発表した（当局の声明、PCMag、Motherboard、Softpedia）。

Avastはオプトインした同社製品ユーザーのWebアクセスデータを匿名化してJumpshotに提供することをプライバシーポリシーに明記しており、CEOのOndrej Vlcek氏は匿名化したデータを販売していると述べていた。しかし、MotherboardとPCMagによる調査の結果、容易にユーザーを特定可能な状態だと指摘され、AvastはJumpshotの廃業を発表した。既にJumpshotは業務を停止しており、AvastのプライバシーポリシーからもJumpshotに関する記述は削除されている。

当局の発表によれば、現在は情報を収集している段階であり、ユーザーの個人情報保護に対する深刻で大規模な侵害があったとの疑いがあるという。調査の結果によってはさらなる調査を行い、時期を見て一般に公表するとのこと。Avastは当局からの通知を受け取っており、調査には全面的に協力すると述べているとのことだ。

Anonymous Coward曰く、

この半年間でマルウェア「Emotet」の感染が広がっている。EmotetはメールやWebブラウザに保存された個人情報を盗み取って悪用することで、実在の相手の氏名、メールアドレス、メールの内容等の一部を使って攻撃メールを作成するのが特徴で、さらに同一の無線LANに接続されている別の端末に攻撃を行って感染するという。

EmotetはSSIDや信号強度、暗号化方法を調査し、よく使用されるユーザー名とパスワードの組み合わせで無線LANへの不正な接続を試みる。接続に成功すると、その無線LANアクセスポイントに接続されているデバイスを調査し、共有されているストレージなどへのアクセスを試みるという。

このような感染を行うモジュールは2年前はに作成されていたようだが、先月までその使用は確認できていなかったという（Ars Technica）。

昨年に三菱電機の社内システムに外部からの不正アクセスがあり、それによって同社の社内情報が外部に漏洩していたことが明らかになったが、2月12日付けで三菱電機がこの攻撃の概要を公開した（発表PDF）。

この攻撃に関しては、トレンドマイクロのセキュリティソフトの脆弱性が悪用されていたとの指摘があったが、今回公開された文書によると、ウイルス対策管理サーバーが未公開の脆弱性を狙った攻撃を受け、それによって拠点内にマルウェアが実行される事態になったという。また、以前、不正なコードをファイルに書き込むことなく実行するマルウェアが増加傾向という話題があったが、このマルウェアではこの手法が用いられており、またPowerShellが攻撃に使われていたことも確認されている。

英国・イングランド中部ウェストミッドランズ地域の組織犯罪対策ユニット(WMROCU)がポスターを掲示し、子供のコンピューターでバーチャルマシン(仮想化ソフトウェア)などを見つけたら相談するよう保護者に呼びかけたそうだ(The Registerの記事)。

ポスターの趣旨としては子供のコンピューターでハッキングツールを見つけた場合や、子供がハッキングをしていると思われる場合、WMROCUに連絡すれば子供を良い方向に導くためのアドバイスをする、というものだ。ただし、バーチャルマシン以外にリストアップされているのはKali Linux・WiFi Pineapple・Metasploitといった情報セキュリティ関連ツールのほか、TorやDiscordといったものだ。

情報セキュリティ関連ツールを悪用すればハッキングに利用することもできるが、それ自体はハッキングツールではない。バーチャルマシンについては、通常ならコンピューター内で見つかることのないKali Linuxなどのオペレーティングシステムを隠すことが可能だという理由付けがされている。

ポスターには英国家犯罪対策庁(NCA)のロゴが印刷されているが、NCAはこのポスターの作成・公開には関与していないとしたうえで、テクノロジーに精通した子供が使用するツールは数多くあり、中には合法・違法両方の使い方が可能なものもあるので、保護者と子供が安全な使い方を知ることが重要だとツイートしている。

プエルトリコの政府所有会社2社が別の政府関係機関職員を装ったフィッシングメールにだまされ、合計400万ドル以上の送金詐欺被害にあっていたそうだ(AP Newsの記事、 Caribbean Businessの記事、 El Voceroの記事)。

プエルトリコ警察によれば、何者かが12月にプエルトリコ政府のEmployees Retirement System(RETIRO)職員のコンピューターへ侵入し、女性職員を装って送金先口座の変更を知らせる電子メールを複数の政府関係機関に送っていたという。

電子メールを受信したPuerto Rico Industrial Development Company(PRIDCO)は12月に63,000ドル、1月に260万ドル以上、Puerto Rico Tourism Companyも150万ドルを米国本土の詐欺師の銀行口座に送金してしまう。しかし、RETIROの担当者が送金されていないことに気付き、各社へ通知したことで詐欺が判明する。被害届は12日に提出され、13日に内容が公表された。

これについて米連邦捜査局(FBI)ではPRIDCOの送金した260万ドルを保護したとの声明を出したそうだ。APへの情報提供者によれば、捜査機関は少なくとも290万ドル分の銀行預金を凍結しているとのことだ。

IANAはルート鍵署名鍵(ルートKSK)を用いてゾーン署名鍵(ZSK)に署名する第40回のルートKSKセレモニーをカリフォルニア州エルセガンドーの施設で2月12日に実施する予定だったが、物理的なセキュリティ上の問題が発生して延期したそうだ(Kim Davies氏のメーリングリスト投稿[1]、 [2]、 ICANN Blogの記事、 The Registerの記事)。

ZSKはDNSルートゾーンの署名に使用するもので、3か月に1回更新される。問題が発覚されたのは2月11日。定期的な管理上のメンテナンスを実施した際、機器の故障によりセレモニーで使用する資料を含む金庫にアクセスできないことが判明したという。今回の問題による施設内で保護されている要素が影響を受けることはなく、DNSSECに対するサービスが影響を受けることもないそうだ。

14日に予定されている修理が無事に完了すれば、セレモニーは15日18時(UTC)に実施される。状況は金曜日(14日)遅くには判明し、さらなる作業が必要な場合は数週間以内に新たな日程を発表するとしていたが、現地時刻(PST)で日付が変わっても特に続報はないので、予定通り実施されるようだ。YouTubeでのライブ中継も日本時間16日3時から予定されている。

KSK管理10年間の歴史の中で、スケジュール変更が必要になるのは今回が初めてとのことだ。

追記: 15日16:00(UTC)時点で修理の作業がまだ続いているとメーリングリストに続報が出た。セレモニー開始は2時間遅れ(日本時間16日5時)に設定されている。

追記2: さらに2時間遅れの日本時間16日7時に再設定。その後もスケジュール再設定が繰り返されている。

追記3: 最終的に開始時刻はUTCで日付の変わる16日0時(日本時間9時)までずれ込んだが、セレモニー自体は無事終了したようだ。

headless曰く、

Microsoftは11日に提供開始した2月の月例更新プログラムで、1月に公表していたInternet Explorer（IE）のゼロデイ脆弱性（CVE-2020-0674）を修正した（セキュリティ更新プログラムガイド）。

CVE-2020-0674はjscript.dllがIEでメモリ内のオブジェクトを処理する方法に存在するもので、回避策としてjscript.dllのアクセス権を変更する方法が紹介されていた。しかし、この回避策を使用するとMicrosoft Print to PDFやWindows Media Player、Windows Scripting HostのJavaScriptエンジンが動作しなくなる問題が発生するほか、サードパーティーアプリケーションでも動作しなくなる問題が報告されている。

月例更新プログラムでCVE-2020-0674が修正されたのは、バージョン1511と1703を除くWindows 10の全バージョンのほか、Windows 7 SP1/8.1/RT 8.1/Server 2008 SP2～2019となる。上述の回避策を使用している場合、セキュリティアドバイザリに従って更新の適用前に回避策を解除しておくことが必要となる。

ただし、Microsoftが事前に予告していた通り、Windows 7/Server 2008でCVE-2020-0674の修正を含む2月の更新プログラム（KB4537820 / KB4537813 / KB4537767）が提供されるのは有料セキュリティアップデート（ESU）が有効なマシンのみ。更新プログラム自体はMicrosoft Updateカタログから入手することもできるが、ESUが有効でないWindows 7/Server 2008に適用すると再起動後に「Windows更新プログラムの構成に失敗しました/変更を元に戻しています」と表示され、更新プログラムの適用は失敗する。

Windows 7では1月の更新プログラム適用後に一部の環境で壁紙が黒一色になる問題が発生し、プレビュー版のマンスリーロールアップですべてのユーザーに修正が提供されていたが、ESUが有効でない場合はこのプレビュー版が最後の更新プログラム提供となったようだ。

Anonymous Coward曰く、

多くの国で使われていた暗号化装置を開発していたスイスのCrypto社を米国およびドイツの諜報機関が1970年代に秘密裏に買収、同社の暗号化装置を使った外交公電などの通信内容解読していたことが判明した。同社の暗号装置は2000年代まで120か国以上に販売されており、一時は各国政府の暗号通信の約40％で使われるほどのシェアがあったという（Washington Post、BBC、東京新聞、Slashdot）。

実際、これによって1979年のイラン米大使館人質事件時にイラン当局の動きを監視したり、1982年のフォークランド紛争でアルゼンチン軍の機密情報を入手する、といった成果が上がっていたそうだ。ただ、ソ連（現ロシア）や中国、北朝鮮はCrypto社の暗号機器を導入していなかったという。

なお、Crypto社の機器が人気だったのは、スイスが精密機器に強いとされており、また永世中立国であることから信頼できるという点も大きかったようだ。