外出自粛によるリモートワークの推進を受け、リモート会議サービス「Zoom」の利用が増えているが、一方でこのZoomについてはセキュリティやプライバシ関連の問題が度々指摘されている（過去記事）。そのためZoomを使用禁止にする組織も登場しているが、このZoomを提供するZoom社の株主らが、同社がセキュリティを誇張しそれによって株価が暴落したとして訴訟を起こしたという（TechCrunch、Reuters）。

訴訟のきっかけになったのは、Zoomが同サービスのセキュリティを誇張し、また実際にはエンドツーエンドの暗号化を行なっていないにも関わらず、エンドツーエンドの暗号化を行なっていたと主張していたことだという。しかしZoomについてはプライバシやセキュリティの面で問題があるとの報告が相次ぎ、その結果同社の株式は下落したと株主らは主張している。

サイバーエージェントの広告配信システム「Ameba Infeed」や「AmebaDSP」に対し不正アクセスが発生したことが明らかになった（ITmedia、Security NEXT）。

これらサービスではインフラにAWSを使用していいたが、このデータの閲覧などに使われるアクセスキーなどが不正に使用されたとのことで、これによってユーザー名およびメールアドレス、アカウントに紐付けられた氏名、広告配信情報が外部から閲覧できる状態になっていたという。影響を受けたユーザー数は1027ユーザーだそうだ。

Anonymous Coward曰く、

昨今利用例の多いオンライン会議サービス「Zoom」に対しては以前よりセキュリティへの懸念が出ていたが、今度は暗号化キーがなぜか中国のサーバー経由で配信されたとの指摘が出ている（ITmedia）。もし中国政府がZoomの中国拠点に対しユーザー情報の開示を求めた場合、データが中国政府に渡る可能性があるという。

これに対しZoomのユアンCEOは、2月に需要拡大に対応するため緊急で中国のサーバ容量を追加した際の設定ミスで発生したと釈明している。

Zoomでは先日指摘されたセキュリティ問題などの懸念に加え、突然第三者がオンライン会議に乱入する行為も頻発しているという（piyolog）。Zoomではオンライン会議にアクセスするために使用される識別IDをランダムに生成して「総当たり」アクセスを試みることで、第三者の会議に乱入することが一定確率でできてしまうという。そのため、Zoomの利用時にはアクセスするためのパスワードを設定したり、参加者をホストが管理できるよう設定することが推奨されている（東洋経済）。

このような問題を受け、SpaceXやニューヨーク市など、Zoomを禁止する組織も出てきているようだ（ロイター、Engadget日本版）。

Cloudflareがスマートフォン向けに提供していたVPNサービス「WARP」が、WindowsおよびmacOSでも利用できるようになった（Cloudflareの発表）。

WARPはCloudflareがiOSおよびAndroid向けに提供するアプリ「1.1.1.1」から利用できるが、このたびWindowsおよびmacOS向けアプリのベータ版がリリースされた。これらプラットフォームにおいても、WARPは無料で利用できる。また、現在Linux版のクライアントも開発中だという。

なお、このベータ版は招待制での提供となっており、まずはWARPの有料サービスである「WARP+」の利用者に向けて提供するとのこと。

headless曰く、

Googleは3日、Google ChromeにおけるSameSite cookieの強制を一時的に中止することを発表した（Chromium Blog、9to5Google、Ghacks、Android Police）。

SameSite cookieは他サイトに対するリクエストでのcookie送信を「SameSite」属性により制御する仕組みで、CSRF攻撃を防ぐことが可能になる。2月リリースのChrome 80ではサードパーティーコンテキストで「SameSite=None; Secure」がセットされたcookieのみを許可するセキュリティ強化が追加され、徐々にロールアウトしていた。

ただし、この変更に対応することで一部のサービスでの問題発生が報告されており、新型コロナウイルス感染症（COVID-19）が世界的に困難な状況を生む中、必要なサービス提供が中断されないようにするため一時的なロールバックを決定したとのこと。ロールバックは3日から開始されており、この変更によるユーザーやサイトへの影響はないとみられている。SameSite cookie強制の再開など、今後の計画に関しては「SameSite Updates」ページで報告するとのことだ。

NTTドコモを装いフィッシングメールを送って「dアカウント」の情報を盗みとり、それを使ってプリペイドカードなどを不正購入したとして詐欺容疑で中国人男女5人が逮捕された（西日本新聞、日経新聞）。

昨年九州地方などでではこの手口を使った詐欺が頻発しており、一年間での被害件数は約500件、被害総額は約3500万円に上ったという。

Twitterで、非公開のダイレクトメッセージやダウンロードしたデータが、Firefoxのキャッシュに保存されるという問題が発生していたそうだ。個人が1人で使用するようなPCで利用している場合は大きな問題にはならないが、多人数で共有しているようなPCでTwitterを使用している場合、問題となる可能性がある（CNET Japan）。

この問題はすでに修正されているとのこと。なお、Google ChromeやSafariなど他のブラウザではこの問題は発生しないという。

Mozillaは3日、2件のゼロデイ脆弱性を修正したFirefox 74.0.1およびFirefox ESR 68.6.1をリリースした(Mozillaのセキュリティアドバイザリ、 Neowinの記事、 Ghacksの記事)。

修正された2件の脆弱性はいずれも解放後メモリー使用の脆弱性で、CVE-2020-6819はnsDocShellデストラクター実行時に、CVE-2020-6820はReadableStreamを扱う際に、それぞれ特定の条件下で競合が発生することで引き起こされる。いずれも脆弱性を狙った攻撃が確認されているとのこと。報告者はFirefox以外のブラウザーが影響を受けることも示唆しているが、影響を受けるのがFirefoxベースのブラウザーなのか、Firefoxとは無関係のブラウザーなのかについては言及していない。

人体の活動データを用いて暗号通貨を採掘する、というシステムの特許をMicrosoftが出願している(WO/2020/060606、 On MSFTの記事)。

仕組みとしては、サーバーから提供された何らかのタスクをユーザーが実行する際の身体活動データをクライアント側のセンサーで取得し、暗号通貨システムへ送信して一定の条件を満たすことが確認されたらユーザーに暗号通貨が支払われるというもの。サーバーはWebサーバーやゲームサーバー、アプリケーションサーバーなどで、ユーザーは特に暗号通貨採掘を意識することなくサービスを利用するだけでいい。センサーで取得する活動データとしては体の動きのほか、血流や脳波といったものも挙げられている。暗号通貨の採掘には膨大な計算が必要となるが、身体活動から生成されたデータに置き換えることで必要な演算能力を削減できるとのことだ。

Microsoftは3月31日、同社製WebブラウザーのTLS 1.0/1.1デフォルト無効化を延期すると発表した(Microsoft Edge Blogの記事、 Ghacksの記事、 Neowinの記事、 On MSFTの記事)。

Apple/Google/Microsoft/Mozillaのメジャーブラウザー4社はTLS 1.0/1.1無効化計画を2018年10月に発表しており、Microsoftは2020年上半期にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトで無効化する計画を示していた。

しかし、現在の世界を取り巻く状況(COVID-19パンデミック)を考慮して、上半期中にはデフォルト無効にしないことを決めたそうだ。そのため、Chromiumベースの新Microsoft Edgeでは7月にリリース予定のバージョン84よりも前にデフォルト無効にすることはなく、Internet Explorer 11とレガシーEdgeでは9月8日(9月の月例更新提供開始日)にデフォルト無効にする計画だという。

TLS 1.0/1.1がデフォルト無効になった後もユーザーは再度有効化できるが、組織に対しては現実的に可能な限り早くTLS 1.0/1.1の使用をやめるようMicrosoftは推奨している。ちなみに、Mozillaはデフォルト無効にしていたTLS 1.0/1.1をFirefox 74で再度有効化している。

なお、MicrosoftはGoogleがChrome 81の安定版リリース延期を発表したのに合わせて新Microsoft Edge 81の安定版リリースを延期していたが、Googleのメジャーアップデート再開に伴い、Microsoft Edge 81を4月初めにリリースし、Microsoft Edge 83を5月半ばにリリースする計画を同日発表している。また、Chrome 82に合わせてMicrosoft Edge 82もリリースしないとのことだ(Microsoft Edge Blogの記事[2])。

Anonymous Coward曰く、

新型コロナウイルスの感染拡大による外出自粛を受けて、オンラインでのミーティングを行えるビデオチャットサービスが注目されている。その1つに「Zoom」があるが、このZoomに対しセキュリティ面での懸念の声が出ている。

その1つに、通信内容の暗号化に関するものがある。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド（E2E）で暗号化されると明示されているものの、The Interceptによると、実際にはエンドツーエンドでの暗号化は行われていないという（ITmedia、Slashdot）。

エンドツーエンド暗号化の定義としては、暗号化された情報を復号できる鍵は利用者（クライアント）のみが所有することになっている。しかし、Zoomのビデオ会議はTCP接続ではTLSを使い、UDP接続ではTLS接続でネゴシエートされたキーを使ってAESで暗号化していると答えた。これではエンドツーエンド暗号化の要件には当てはまらないことになる。

また、これ以外にもWindows版のクライアントには悪意のあるリンクをチャット画面に送信することで接続情報を奪うことができるという脆弱性が存在するという話や（Business Insider）、Mac版クライアントでは攻撃者が外部から管理者権限を取得できる脆弱性や、利用者の同意なしにカメラやマイクへのアクセス権を取得できるという脆弱性も存在するという（TechCrunch、ITmediaの別記事）。

Anonymous Coward曰く、

青森県で3月30日に新型コロナウイルスへの感染が確認された20代男性のカルテが、SNSなどに流出した（NHK、河北新報、毎日新聞）。

地方では感染者を特定しろというような声が出ているという話も聞くのでそういう感じで出しちゃったのだろうか。

報道によると、流出しているのは電子カルテを印刷したものの一部を撮影したもので、データは30日午前時点のものだったという。このカルテは指定医療機関のほか4病院の医師や看護師、約500人が閲覧できた。

iOS 13.3.1以降でVPNを利用する場合に一部の通信がVPNをバイパスしてしまう脆弱性をProtonVPNが公表している(ProtonVPNのブログ記事、 Mac Rumorsの記事、 Bleeping Computerの記事、 BetaNewsの記事)。

問題はVPNへ接続した際にiOSが既存の接続を閉じて再確立せず、そのまま維持してしまうことにより発生する。接続の多くは短時間で閉じられるが、中には数分～数時間にわたりVPNを経由せずに通信が行われることもある。これにより、サーバーとの通信がHTTP接続の場合は通信内容が暗号化されない、攻撃者がiOSデバイスとサーバーのIPアドレスを見ることができる、サーバーがiOSデバイスのIPアドレスを見ることができる、といったリスクが挙げられている。特に市民の監視や権利の侵害が一般的な国の人々はリスクが高いとのこと。

問題を発見したのはProtonVPNのコミュニティーメンバーで、最初にiOS 13.3.1で問題を確認しているが、最新のiOS 13.4でも修正されていないとのこと。ただし、ProtonVPNは脆弱性を昨年発見したとツイートしており、最初に確認されたのはベータ版なのかもしれない。そうであればベンダーに通知後90日日間は脆弱性を開示しないというProtonの開示ポリシーにも一致する。

iOSではVPNアプリ側で既存のネットワーク接続を切断することを認めておらず、ProtonVPN側で対策することはできないという。AppleはVPN常時接続を推奨しているが、モバイルデバイス管理を使用する必要があるため、サードパーティーのVPNアプリは利用できないとのこと。そのため、ProtonVPNでは100%の効果は保証できないとしつつ、VPNサーバー接続後に機内モードをオン・オフするという緩和策を紹介している。

サイバーセキュリティ企業Trustwaveによれば、贈り物を装って攻撃用のUSBデバイスを郵送するという攻撃が確認されたそうだ(SpiderLabs Blogの記事、 BetaNewsの記事)。

問題のUSBデバイスは一見USBメモリーのようだがPCに接続するとUSBキーボードとして認識され、攻撃者が事前に設定したキーストロークを送ることができるという、いわゆる「USB Rubbery Ducky」攻撃用のデバイスだ。マルウェアを格納したUSBメモリーを使用する攻撃と比べ、自動再生設定に依存せず、セキュリティソフトウェアに検出されないといったメリットがある。

このデバイスは米大手量販店Best Buyを装った手紙に同封されており、手紙には長年の愛顧に謝意を示すため50ドルのギフトカードを送ること、ギフトカードで購入可能な対象商品のリストは同梱したUSBメモリーに保存されていることが記載されている。怪しげな手紙を受け取ったTrustwaveの顧客はデバイスをPCに接続せずにTrustwaveへ報告したため、被害にあうことはなかったという。

デバイスをTrustwaveが調査したところ、同じ型番のものがオンラインモールShopeeの台湾版で「虚擬鍵盤」などとして数百円で販売されていることが判明。PCに接続すると2段階のPowerShellコード実行を経てWindows Scripting Host上で実行されるJScriptコード(マルウェア本体)が無限ループにより常駐する。このJScriptコードは2分おきにC&Cサーバーへ接続してコマンド(別のJScriptコード)を待つ。最初の接続時にはPCから収集した情報をC&Cサーバーに送信するコマンドを受け取ったとのこと。

このタイプのUSBデバイスはセキュリティ専門家の間で広く知られており、物理的な侵入テストで会社周辺に落とすといったことも行われるが、実際の攻撃が発覚するのは珍しいとのことだ。

Anonymous Coward曰く、

世界保健機関（WHO）の最高情報セキュリティ責任者Flavio Aggio氏は、ハッカーがWHOのシステムに侵入しようとしたことを認めた。しかし、その取り組みは失敗したとも語った。侵入しようとしたハッカーの身元は不明。Aggio氏によれば、新型コロナウイルスへの戦いの中、WHOへのハッキングの試みが急増しているという。

サイバーセキュリティの専門家Alexander Urbelis氏は3月13日、彼が追跡していたハッカーグループがWHO内部の電子メールシステムを模倣した悪意のあるサイトを立ち上げたのを確認した。Urbelis氏は誰が主犯であるかは不明だとしている。しかし別の二人の情報筋によれば、2007年からサイバースパイ活動を行っている「DarkHotel」という高度なハッカーグループの疑いがあると述べている。

WHOのAggioは、ロイターからこの事件について尋ねられると、Urbelis氏が発見したサイトが複数の代理店スタッフからパスワードを盗む目的で使用されていたたことを確認したと回答している。同氏は「明確な数字ではないが、ハッキング目的でWHOを偽装するサイトの数は2倍以上に増えたのではないか」と答えた。

カスペルスキーによるとDarkHotelは、特にコロナウイルスの影響を受けた地域である東アジア、具体的には、中国、北朝鮮、日本、米国などの政府職員や幹部を対象に活動を行っているという。コロナウイルスに関連する治療法や検査、ワクチンに関する情報は貴重で価値が高い。影響を受ける国の情報機関としては情報収集の優先事項に当たるとしている（Reuters、Slashdot）。