iOS 13.3.1以降でVPNを利用する場合に一部の通信がVPNをバイパスしてしまう脆弱性をProtonVPNが公表している(ProtonVPNのブログ記事、 Mac Rumorsの記事、 Bleeping Computerの記事、 BetaNewsの記事)。

問題はVPNへ接続した際にiOSが既存の接続を閉じて再確立せず、そのまま維持してしまうことにより発生する。接続の多くは短時間で閉じられるが、中には数分～数時間にわたりVPNを経由せずに通信が行われることもある。これにより、サーバーとの通信がHTTP接続の場合は通信内容が暗号化されない、攻撃者がiOSデバイスとサーバーのIPアドレスを見ることができる、サーバーがiOSデバイスのIPアドレスを見ることができる、といったリスクが挙げられている。特に市民の監視や権利の侵害が一般的な国の人々はリスクが高いとのこと。

問題を発見したのはProtonVPNのコミュニティーメンバーで、最初にiOS 13.3.1で問題を確認しているが、最新のiOS 13.4でも修正されていないとのこと。ただし、ProtonVPNは脆弱性を昨年発見したとツイートしており、最初に確認されたのはベータ版なのかもしれない。そうであればベンダーに通知後90日日間は脆弱性を開示しないというProtonの開示ポリシーにも一致する。

iOSではVPNアプリ側で既存のネットワーク接続を切断することを認めておらず、ProtonVPN側で対策することはできないという。AppleはVPN常時接続を推奨しているが、モバイルデバイス管理を使用する必要があるため、サードパーティーのVPNアプリは利用できないとのこと。そのため、ProtonVPNでは100%の効果は保証できないとしつつ、VPNサーバー接続後に機内モードをオン・オフするという緩和策を紹介している。

サイバーセキュリティ企業Trustwaveによれば、贈り物を装って攻撃用のUSBデバイスを郵送するという攻撃が確認されたそうだ(SpiderLabs Blogの記事、 BetaNewsの記事)。

問題のUSBデバイスは一見USBメモリーのようだがPCに接続するとUSBキーボードとして認識され、攻撃者が事前に設定したキーストロークを送ることができるという、いわゆる「USB Rubbery Ducky」攻撃用のデバイスだ。マルウェアを格納したUSBメモリーを使用する攻撃と比べ、自動再生設定に依存せず、セキュリティソフトウェアに検出されないといったメリットがある。

このデバイスは米大手量販店Best Buyを装った手紙に同封されており、手紙には長年の愛顧に謝意を示すため50ドルのギフトカードを送ること、ギフトカードで購入可能な対象商品のリストは同梱したUSBメモリーに保存されていることが記載されている。怪しげな手紙を受け取ったTrustwaveの顧客はデバイスをPCに接続せずにTrustwaveへ報告したため、被害にあうことはなかったという。

デバイスをTrustwaveが調査したところ、同じ型番のものがオンラインモールShopeeの台湾版で「虚擬鍵盤」などとして数百円で販売されていることが判明。PCに接続すると2段階のPowerShellコード実行を経てWindows Scripting Host上で実行されるJScriptコード(マルウェア本体)が無限ループにより常駐する。このJScriptコードは2分おきにC&Cサーバーへ接続してコマンド(別のJScriptコード)を待つ。最初の接続時にはPCから収集した情報をC&Cサーバーに送信するコマンドを受け取ったとのこと。

このタイプのUSBデバイスはセキュリティ専門家の間で広く知られており、物理的な侵入テストで会社周辺に落とすといったことも行われるが、実際の攻撃が発覚するのは珍しいとのことだ。

Anonymous Coward曰く、

世界保健機関（WHO）の最高情報セキュリティ責任者Flavio Aggio氏は、ハッカーがWHOのシステムに侵入しようとしたことを認めた。しかし、その取り組みは失敗したとも語った。侵入しようとしたハッカーの身元は不明。Aggio氏によれば、新型コロナウイルスへの戦いの中、WHOへのハッキングの試みが急増しているという。

サイバーセキュリティの専門家Alexander Urbelis氏は3月13日、彼が追跡していたハッカーグループがWHO内部の電子メールシステムを模倣した悪意のあるサイトを立ち上げたのを確認した。Urbelis氏は誰が主犯であるかは不明だとしている。しかし別の二人の情報筋によれば、2007年からサイバースパイ活動を行っている「DarkHotel」という高度なハッカーグループの疑いがあると述べている。

WHOのAggioは、ロイターからこの事件について尋ねられると、Urbelis氏が発見したサイトが複数の代理店スタッフからパスワードを盗む目的で使用されていたたことを確認したと回答している。同氏は「明確な数字ではないが、ハッキング目的でWHOを偽装するサイトの数は2倍以上に増えたのではないか」と答えた。

カスペルスキーによるとDarkHotelは、特にコロナウイルスの影響を受けた地域である東アジア、具体的には、中国、北朝鮮、日本、米国などの政府職員や幹部を対象に活動を行っているという。コロナウイルスに関連する治療法や検査、ワクチンに関する情報は貴重で価値が高い。影響を受ける国の情報機関としては情報収集の優先事項に当たるとしている（Reuters、Slashdot）。

AMDが3月25日、同社の現行および将来のグラフィックス関連製品の一部に関するテストファイルを所有すると主張する人物からコンタクトがあったとの発表を行なった。この人物は何らかの情報でAMDの非公開情報を取得したとみられており、AMDは法執行機関と協力して調査を行なっているという（AUTOMATON、IGN Japan 、Game*Spark、TorentFreak）。

TorrentFreakによると、これらはAMDの「Navi」および「Arden」GPUに関するソースコード。Ardenは年末に発売されるXbox Series Xに搭載される予定のものだ。この情報を所有すると主張する人物は、「買い手がつかなければオンラインですべてを公開する」などと述べており、またこの情報には1億ドルの価値があるなどと述べているようだ。一部のデータはGitHubなどに公開されたようだが、これに対しAMDは「盗まれたもの」としてDMCAに基づく削除申請を行った。

Anonymous Coward曰く、

「COVID-18の情報を配信するアプリ」を詐称するマルウェアをダウンロードさせる攻撃が登場しているという（PC Watch、Bleeping Computer、Slashdot）。

この攻撃はまずターゲットのネットワークのルーターを狙い、DNS情報を書き換えてネットワークの利用者が特定のドメインにアクセスした際に詐欺サイトに接続するよう誘導。この詐欺サイトでは、WHO（世界保健機関）を装ってコロナウイルスによる新型肺炎（COVID-10）関連アプリを装ったマルウェアをダウンロードさせるという。このマルウェアは「Oski」と呼ばれるもので、ブラウザやレジストリからユーザーの認証情報などを盗み出す活動を行うそうだ。

headless曰く、

Microsoftは23日、Windowsの未修正脆弱性を公表した（ADV200006、Neowin、Ars Technica、The Verge）。

脆弱性はAdobe Type Manager LibraryがAdobe Type 1 PostScriptフォントを扱う方法に存在する2件のリモートコード実行脆弱性で、既にWindows 7をターゲットにした限定的な攻撃が確認されているという。攻撃者は特別に細工したドキュメントをターゲットに開かせたり、エクスプローラーのプレビューウィンドウに表示させたりすることで脆弱性を悪用できる。

脆弱性の影響を受けるのはWindows 7/Server 2008以降すべてのバージョンのWindowsとなっているが、Windows 10およびServer 2016以降では攻撃が成功してもコードはAppContainerサンドボックス内で実行されるため影響は小さい。ただし、Windows 10バージョン1607以前とServer 2016の場合、インストールされたフォントはカーネルモードで処理されるそうだ。

回避策としてはエクスプローラーでの詳細ウィンドウ/プレビューウィンドウや縮小版の非表示、WebClientサービスの無効化、ATMFD.DLLのリネームといったものが挙げられている。この脆弱性を修正する更新プログラムは未公開であり、現時点では今後の月例更新で修正する計画のようだ。ただし、攻撃が確認されている場合は報告から7日間で情報を公開するというポリシーに従い、影響を受けるWindowsバージョンや回避策などを公開したとのこと。

なお、Microsoftでは公衆衛生上の大きな問題が発生している現状を考慮し、（現在Cリリース/Dリリースとして月2回提供している）セキュリティコンテンツを含まないオプションの更新プログラムの提供を5月以降は一時停止し、セキュリティ修正に注力するとのことだ（Windowsメッセージセンター）。

Anonymous Coward曰く、

昨年7月、ロシア連邦保安庁（FSB）の下請け企業SyTechがサイバー攻撃を受けた。FSBは旧ソ連国家保安委員会（KGB）の後継的な立ち位置の組織で、海外での電子情報収集も職務に含まれている。プーチン大統領に直接報告できる権限もあるようだ。攻撃を受けた結果、7.5TBものデータが流出する結果となり、FSBが進めていたいくつかのプロジェクトが明らかになっている。

Forbesによると、ここで流出した情報から、FSBが新たなハッキングツールを開発していたことが明らかになった。これはIoT機器をターゲットにしたもので、脆弱性を活用してサイバー攻撃を行うシステムだという。IoT機器は出荷時の設定のまま使われていることが多く、セキュリティが甘いとされている。このツールの目的はこれらのIoT機器にアクセスすることではなく、踏み台にして大きな標的を攻撃することだという。

先のハッキンググループによって入手された資料によれば、数十万台のマシンに対する強力な攻撃により、ソーシャルネットワーキングサイトやファイルホスティングサービスが数時間アクセス不能になる可能性があるとしている。また、米国および欧州のインターネットプラットフォーム、またはロシアに隣接する国家のインフラストラクチャが攻撃の対象になるとも推測されている（Forbes、Slashdot）。

Microsoftは19日、Windows 10 Enterprise/Education/IoT Enterpriseの3エディションについて、バージョン1709(Fall Creators Update)のサポートを10月13日まで延長すると発表した(Windows IT Pro Blogの記事、 Neowinの記事、 SlashGearの記事、 Computerworldの記事)。

Windows 10 バージョン1709ではHome/Pro/Pro Education/Pro for Workstationの4エディションが昨年4月9日にサポートを終了しており、Enterprise/Education/IoT Enterpriseの3エディションは今年4月14日のサポート終了が予定されていた。サポート延長の理由としてMicrosoftでは、現在の公衆衛生に関する状況を評価した結果、ユーザーの直面する多くの問題の一つを緩和するためと説明している。

なお、GoogleはChrome 81の安定版リリース延期を発表しているが、Microsoftもこれに合わせてChromium 81ベースのMicrosoft Edge 81安定版リリースを延期し、当面はEdge 80のセキュリティおよび安定性向上に注力するとのことだ。

Googleは18日、ChromeブラウザーおよびChrome OSの次バージョンリリースを一時停止すると発表した(Chrome Releaseの記事、 The Vergeの記事、 BetaNewsの記事、 Softpediaの記事)。

計画変更の理由としては作業スケジュールの調整が入ったためとのみ説明されているが、COVID-19の影響とみられる。現在の重点課題はChromeおよびChrome OSの安定性と安全性、信頼性を維持することであり、Chrome 80のセキュリティに関連する更新に注力していくとのこと。Chrome 81安定版は3月17日のリリースが見込まれていたが、当面はリリースされないことになる。

Mozillaは6月に安定版をリリース予定のFirefox 77でFTPサポートをデフォルト無効にし、2021年初めには完全に削除することを計画しているそうだ(Ghacksの記事、 Neowinの記事、 ZDNetの記事、Bug 1574475)。

Firefoxでは2018年のFirefox 60で「高度な設定 (about:config)」に「network.ftp.enabled」が追加されており、これを「false」にすることでFTPを無効にできるが、デフォルトでは有効のままになっている。Firefox 77ではこのプリファレンスを使用した無効化が行われるため、ユーザーが「true」に設定しなおせばFTPは利用できる。また、Firefox ESR 78のデフォルトはFTP有効になるようだ。2021年初めに予定されている変更ではFTP関連のコードがすべて削除されるため、再度有効化することはできなくなる。FTPサポート終了の理由としては、FTPプロトコルがセキュアではないことや、Firefoxで「ftp://」はほとんど使われていないことなどが挙げられている。

Google ChromeでもFTP無効化が進められており、2020年第2四半期リリースのChrome 82でFTP関連コードとリソースを削除する計画が示されている。ただし、現在のところChrome Canary(バージョン83)やChrome Dev(バージョン82)ではフラグ(chrome://flags/#enable-ftp)でFTPの有効・無効がコントロールされる状態のままになっている。

成人向け動画サービス「SODプライム」で個人情報流出トラブル

3月13日より一部コンテンツの無料公開キャンペーンを行なっていた成人向け動画配信サービス「SODプライム」で、ほかのユーザーのアカウント名やメールアドレス、動画閲覧履歴などが見えてしまうトラブルが発生していたという（J-CASTニュース）。

発生していたのは、会員情報ページを閲覧した際に自分の情報ではなく他人の情報が見えてしまうという現象で、ページをリロードするたびに別の情報が表示されていたという。

WhiteSourceの年次報告書「The State of Open Source Security Vulnerabilities」によると、2019年に報告されたオープンソースソフトウェアの脆弱性は前年から50%近く増加していたそうだ(BetaNewsの記事、 The Registerの記事)。

データはWhiteSourceがNVD(National Vulnerability Database)のほか、セキュリティアドバイザリやピアレビュー型の脆弱性データベース、バグトラッカーから収集したもので、2019年のオープンソースソフトウェアの脆弱性は6,000件を超えているという。オープンソースソフトウェアの脆弱性は85%が公表時点で修正されている一方、NVDに掲載されるのは84%にとどまる。当初はNVDに報告されないものも45%にのぼり、29%はいずれNVDに掲載されるものの数か月のタイムラグがあるとのこと。

オープンソースソフトウェアの脆弱性で最も多いのはCで書かれたものだ。ただし、2009年～2018年のデータでは脆弱性の47%を占めていたのに対し、2019年は30%まで減少している。一方、PHPは15%から27%に増加した。脆弱性の種類ではC以外の言語(C++/Java/JavaScript/PHP/Python/Ruby)でXSS(CWE-79)が最多、不適切な入力確認(CWE-20)と情報漏洩(CWE-200)が続く(Rubyのみ逆順)のに対し、Cではバッファーエラー(CWE-119)・領域外読み込み(CWE-125)・NULLポインター参照(CWE-476)の順になっている。

Microsoftは12日、SMBv3(Microsoft Server Message Block 3.1.1)の脆弱性(CVE-2020-0796)を修正する更新プログラム(ビルド18362.720/18363.720)を公開した(KB4551762、 セキュリティ更新プログラムガイド)。

この脆弱性はSMBv3プロトコルが特定のリクエストを扱う方法に存在するリモートコード実行の脆弱性で、攻撃者が悪用すればSMBサーバー上またはSMBクライアント上でのコード実行が可能になるという。SMBサーバーを攻撃するには細工したパケットを送り付ければよく、SMBクライアントの攻撃では攻撃用のSMBv3サーバーを設置してターゲットに接続させればいい。脆弱性の影響を受けるのはSMBv3圧縮が導入されたバージョン1903以降のWindows 10/Serverのみとなっている。

もともとCVE-2020-0796は3月の月例更新プログラム(KB4540673)で修正予定だったようだ。KB4540673には修正が含まれていなかったのだが、脆弱性情報が予期せず公開されてしまったため、Microsoftは緩和策を含むセキュリティアドバイザリ(ADV200005)を公開していた(Ars Technicaの記事、 BetaNewsの記事[1]、 [2])。

RSA Conferenceは10日、2月に開催したRSA Conference 2020参加者のうち2名が最近になって新型コロナウイルス感染症(COVID-19)の検査で陽性と判定されたことを公表した(RSA ConferenceのCOVID-19更新情報)。

RSA Conference 2020はCOVID-19感染拡大の懸念から出展取りやめが相次ぐ中、米国・サンフランシスコのモスコーネセンターで2月24日に開幕。2月25日にはサンフランシスコ市長がCOVID-19に関する非常事態宣言を出したものの、予定通り2月28日まで開催された。同じ会場で3月16日から開催が予定されていたGDC 2020は延期となっている。

2名がイベント来場時に症状が出ていたのか、潜伏期間中だったのかといった情報は現在のところ得られておらず、保健当局の調査に協力している段階だという。RSA Conferenceでは状況を引き続き監視しており、すべてのイベント参加者が必要な対策を取れるよう情報を随時公表すると述べている。

一方、RSA Conference 2020に出展していたExabeamによると、感染者2名は同社の従業員のようだ。感染時期がイベント前なのかイベント後なのかは判明していないが、同社ブース訪問者やパーティー参加者などには個別に連絡しているとのこと。Bloombergによるとうち1名は深刻な状況だという(Exabeamのツイート[1]、 [2]、 Bloombergの記事、 The Registerの記事)。

RSA Conferenceでは7月に予定していたRSA Conference 2020 Asia Pacific & Japanをバーチャルイベントにすることも発表している。

Anonymous Coward曰く、

メモリの特定アドレスに特定のパターンで頻繁にデータを書き込むことで、その周辺アドレスの内容を書き換えられるという脆弱性「ロウハンマー（Row Hammer）」攻撃はDD4メモリでも有効だという報告がなされた（窓の杜、JVNVU#99239584）。

ロウハンマー攻撃はメモリの物理的構造に由来するもので、単にデータを破損させてシステムをクラッシュさせる攻撃に使えるだけでなく、これを悪用してAndroidにおいて非特権プロセスから本来得られない特権を取得する手法が見つかっている（PC Watchによる解説記事）。

DDR4メモリを使用するシステムではこの攻撃への対策として「 TRR（Target Row Refresh）」という機能を備えているものが多いそうだが、このTRRには複数の実装形態があり、実装形態に応じてパターンを工夫することで攻撃が可能になっているという。