あるAnonymous Coward 曰く、

最近急速に使われだしているビデオ会議ツール「ZOOM」だが、Web検索結果から「怪しいZOOM」をインストールしてしまうケースが報告されているとして、IPAが注意を呼びかけている(ITmedia NEWSの記事、 IPAのツイート[1]、 [2])。

この「怪しいZOOM」は、起動すると警告画面が表示され、そこに表示された電話番号に連絡するとサポート料金が要求されるというもの。いわゆる「テクニカルサポート詐欺」の一種と見て良いだろう。IPAによると、こういった相談がここ2週間で7件寄せられているという。

IANAはCOVID-19のリスクを最低限にするため、第41回のルートKSKセレモニーで物理的な参加者数を7人に制限して実施した(Root KSK Ceremony 41、 ICANN Blogの記事、 The Registerの記事、 動画)。

ルートKSKセレモニーはルートゾーンの署名に使用するゾーン署名鍵(ZSK)を3か月に1回更新するため、ルート鍵署名鍵(ルートKSK)を用いて署名するものものだ。2月の第40回ルートKSKセレモニーでは物理的なセキュリティ上の問題により10年間の歴史で初めて期日を変更して実施されており、スラド記事ではタイミング的にCOVID-19の影響かと思ったというコメントもみられたが、今回は本当にCOVID-19の影響を受けることになった。

ルートKSKセレモニーの実施計画は6か月前に始まり、第41回は4月に実施が予定されていたが、2月になってCOVID-19が計画に影響を与える可能性を認識したという。セレモニーにおける様々な役割は通常の運用に対するリスクを低下させるため、世界中のTrusted Community Representatives(TCR: 信頼されたコミュニティの代表者)に分散している。しかし、セレモニー会場となる施設があるカリフォルニア州ではどうしても必要な場合を除いて自宅にとどまるよう命ずる行政命令「Stay home order」が出されており、旅行も制限される中、TCRの分散が逆に通常のセレモニー実施に困難をもたらすことになる。

そのため、IANAはICANNの承認を得たうえで、実際に施設内でセレモニーに参加するのは作業に必要な7人のみに限り、そのほかの役割はオンラインストリーミングを通じたリモートでの参加に変更した。セレモニーは日本時間24日2時に開始され、3時間ほどで無事終了したようだ。

iOSのメール機能に新たな脆弱性が確認された。細工されたメールを開いたり受け取ることで悪意のあるコードが実行される可能性があるという（ITmedia）。

この脆弱性はセキュリティ企業のZecOpsが発見したもの。メールの内容に細工を加えることでiOSでの処理時に大量のメモリを消費させ、それによって意図しないコード実行を引き起こせるという。実際に大きいサイズのメールを作成する必要はなく、意図的に細工を加えたRTFやマルチパートメッセージなどを含むメールで実現できるそうだ。

iOS 12ではメールをメールアプリで開くことでこの不具合が発生するが、iOS 13ではメールアプリがバックグラウンドでメールを読み込むことで不具合が発生することから、ユーザーが気づかないまま攻撃を受ける可能性もあるという。

Anonymous Coward曰く、

任天堂関連のハードウェアやサービスで使われる「ニンテンドーアカウント」で、不正ログインが多発しているという（ZDNet、IGN Japan、Slashdot）。

不正ログインは3月中旬ごろから発生、4月の第2週の週末にはピークに達したという。これによって、未知のIPアドレスからのアクセスがあったとする警告の出るユーザーが増えているという。実際に不正ログインを受け、連携済みのPayPalアカウントで不正な支払いが行われたとの報告もある。任天堂側も問題を確認しており、状況を調査しているとのこと。

攻撃にどのような手法が使われているかはまだ分かっていないが、いわゆる総当たり攻撃やリスト型攻撃ではない手法が使われている可能性もあるようだ。

米任天堂はこれに対し、対策方法の1つとして2段階認証の利用を推奨している。

3月末に青森県で新型コロナウイルス感染者のカルテが流出する事件があったが（過去記事）、流出元は感染症病棟勤務の看護師だったことが判明した（毎日新聞）。

この看護師は、「心構えを」という趣旨でこのカルテの画像を病棟内の看護師にLINEで送信したが、その後この画像が看護師間で転送され、その後その親族などに転送されるなどして拡散してしまったという。これら看護師に対しては懲戒処分が行われるようだ。

Anonymous Coward曰く、

自動運転技術を開発しているスタートアップ企業「Zoox」が、テスラから機密文書を持ち出していたことを認めた。テスラから移籍した新入社員の一部が、内部の手順書などを持ち込んだという。持ち込まれたドキュメントは倉庫管理に関するもので、出荷や受け取りなどの手順が含まれていたとしている。

Zooxはテスラに金銭を払うことで和解したようだ。支払われた金額は非公開となっている。テスラはZooxの従業員がテスラの機密情報を保持していないか確認するための監査を行うとしている。Zoox側は「これらの従業員の行動を後悔している」とし、機密性トレーニングを実施して、すべてのZoox従業員が機密性の義務を認識できるようにするとしている（The Verge、Slashdot）。

Hamo73曰く、

Gitの「credential helper」コンポーネントにおけるURL処理に深刻度の高い不具合が見つかった。このコンポーネントはパスワードなどの認証情報を接続先サーバーに送信するものだが、URLの処理に問題があり、細工されたリポジトリURLなどに対しクローンを実行することで、意図しているものとは異なる任意のサーバーに認証情報を送信してしまうという（公開されている脆弱性情報、Security NEXT）。

この脆弱性を悪用し、エンコードした改行を含む細工したURLを用いることで、任意のサーバーの認証パスワードを取得し、他の任意のサーバーに送信させることができるという。対処済みのバージョンとしてバージョン2.17.4、2.18.3、2.19.4、2.20.3、2.21.2、2.22.3、2.23.2、2.24.2、2.25.3、2.26.1がリリースされている。また、とりあえずの回避策としてはcredential helperの無効化が挙げられている。

Gitではサブモジュールを含むリポジトリをクローンする場合やツール経由でクローンを行う場合など、URLを意識せずにクローン処理が実行されるケースがあり、こうした場合に細工されたURLであるとは認識せずにクローン処理を実行してしまう危険性もあるという。

人気のRubyGemパッケージに似たパッケージ名を付け、タイプミスを狙ってダウンロードさせようとする悪質なRubyGemパッケージが短期間に多数公開され、多数ダウンロードされていたそうだ(ReversingLabs Blogの記事、 Ars Technicaの記事)。

有名ドメイン名やパッケージ名のタイプミスを狙う攻撃は「タイポスクワッティング」などと呼ばれる。2017年にはこの手法を使用した悪質なパッケージがPyPIで発見されたことがスラドでも話題になった。調査を行ったReversingLabsもこの手法を使用する悪質なパッケージをPyPIやNPMで発見しているという。

タイポスクワッティングに絞って行われた今回の調査では、人気のRubyGemパッケージのリストを作り、名前の似たパッケージのアップロードを2月16日から25日まで監視。その結果、700以上の悪質なパッケージが2つのアカウントからアップロードされたそうだ。悪質なパッケージのダウンロード数は2アカウント合計で10万件近くに上り、たとえば悪質なパッケージ「atlas-client」は本物の「atlas_client」のダウンロード数の3分の1近くダウンロードされていたとのこと。

悪質なパッケージはいずれもWindowsユーザーをターゲットにしたものとみられ、インストールすると最終的にVBScriptがループで常駐してクリップボードを監視する。クリップボードで暗号通貨ワレットアドレスに一致する形式の文字列が検出されると、攻撃者の支配下にあるアドレスに置き換える処理が行われるとのことだ。

パナソニックが製造・販売している、専用工具不要で結線できるCAT6/CAT5eケーブル向けモジュラープラグ「ぐっとすプラグ」を利用して、数秒でLANケーブルにパケット盗聴器を接続するという手法があるそうだ（DARK MATTER）。

ぐっとすプラグは、プラグに取り付けられた接点にケーブル芯線をはめ込んでキャップをつけるだけでケーブルへのプラグ接続が完了するというもの。このプラグは構造上芯線を切断せずにプラグを取り付けられるため、盗聴したいケーブルに対し2箇所で被覆を剥いてプラグを接続し、その後接続した2つのプラグ間のケーブルを切断すると共に2つのプラグをリピータハブに接続することで、数秒でケーブルにリピーターハブを取り付けられるという。

実際にこの作業を行なった実験では、この作業によってLANケーブルによって接続されていた機器間のリンクが切断された時間は5秒だったとのこと。

Anonymous Coward曰く、

香川県警で、容疑者1人の名前や逮捕年月日、罪名、事件の被害を受けた法人名などが記載された内部資料を、誤って新聞折込チラシとして配達してしまうというトラブルが発生した（共同通信、朝日新聞、毎日新聞、NHK）。

うっかり募集のチラシと一緒に印刷してしまって配布したのかとも思ったのだが、印刷したチラシの中に2枚だけ内部資料が混入したという話だそうで。

この資料を印刷したプリンタではその前後に別の署員が折込チラシを印刷しており、折込チラシに資料が混ざった状態でそのまま配達所に持ち込まれてしまったと見られている。混入した資料は2枚とされているが、うち1枚を見つけた新聞読者が県警に連絡して発覚した。もう1枚はまだ見つかっていないという。

headless曰く、

MicrosoftがMicrosoft EdgeでサポートされるOSに関するドキュメントを公開し、Windows 7/Server 2008 R2のサポートを2021年7月15日で終了すると明記した（Microsoft Docs、Ghacks）。

Windows 7の延長サポート終了翌日にリリースされたChromiumベースの新Microsoft EdgeはWindows 7向けにも提供されている。GoogleはChromeで少なくとも18か月間Windows 7をサポートする計画を示しており、Microsoftも当初は同様のサポート期間を示したが、その後期間に関する説明を取り消していた。

そのため、Windows 7の有料セキュリティアップデートオプション（ESU）が提供される3年間は新Microsoft EdgeでWindows 7をサポートするのではないかという見方も出ていたが、2021年7月15日までであれば結局18か月間ということになる。なお、新Microsoft EdgeではWindows 7上でもIEモードを使用できるが、安全に使用するにはESUが必要となる。ESUを利用していない環境では機能しなくなる可能性もあるとのことだ。

外出自粛によるリモートワークの推進を受け、リモート会議サービス「Zoom」の利用が増えているが、一方でこのZoomについてはセキュリティやプライバシ関連の問題が度々指摘されている（過去記事）。そのためZoomを使用禁止にする組織も登場しているが、このZoomを提供するZoom社の株主らが、同社がセキュリティを誇張しそれによって株価が暴落したとして訴訟を起こしたという（TechCrunch、Reuters）。

訴訟のきっかけになったのは、Zoomが同サービスのセキュリティを誇張し、また実際にはエンドツーエンドの暗号化を行なっていないにも関わらず、エンドツーエンドの暗号化を行なっていたと主張していたことだという。しかしZoomについてはプライバシやセキュリティの面で問題があるとの報告が相次ぎ、その結果同社の株式は下落したと株主らは主張している。

サイバーエージェントの広告配信システム「Ameba Infeed」や「AmebaDSP」に対し不正アクセスが発生したことが明らかになった（ITmedia、Security NEXT）。

これらサービスではインフラにAWSを使用していいたが、このデータの閲覧などに使われるアクセスキーなどが不正に使用されたとのことで、これによってユーザー名およびメールアドレス、アカウントに紐付けられた氏名、広告配信情報が外部から閲覧できる状態になっていたという。影響を受けたユーザー数は1027ユーザーだそうだ。

Anonymous Coward曰く、

昨今利用例の多いオンライン会議サービス「Zoom」に対しては以前よりセキュリティへの懸念が出ていたが、今度は暗号化キーがなぜか中国のサーバー経由で配信されたとの指摘が出ている（ITmedia）。もし中国政府がZoomの中国拠点に対しユーザー情報の開示を求めた場合、データが中国政府に渡る可能性があるという。

これに対しZoomのユアンCEOは、2月に需要拡大に対応するため緊急で中国のサーバ容量を追加した際の設定ミスで発生したと釈明している。

Zoomでは先日指摘されたセキュリティ問題などの懸念に加え、突然第三者がオンライン会議に乱入する行為も頻発しているという（piyolog）。Zoomではオンライン会議にアクセスするために使用される識別IDをランダムに生成して「総当たり」アクセスを試みることで、第三者の会議に乱入することが一定確率でできてしまうという。そのため、Zoomの利用時にはアクセスするためのパスワードを設定したり、参加者をホストが管理できるよう設定することが推奨されている（東洋経済）。

このような問題を受け、SpaceXやニューヨーク市など、Zoomを禁止する組織も出てきているようだ（ロイター、Engadget日本版）。

Cloudflareがスマートフォン向けに提供していたVPNサービス「WARP」が、WindowsおよびmacOSでも利用できるようになった（Cloudflareの発表）。

WARPはCloudflareがiOSおよびAndroid向けに提供するアプリ「1.1.1.1」から利用できるが、このたびWindowsおよびmacOS向けアプリのベータ版がリリースされた。これらプラットフォームにおいても、WARPは無料で利用できる。また、現在Linux版のクライアントも開発中だという。

なお、このベータ版は招待制での提供となっており、まずはWARPの有料サービスである「WARP+」の利用者に向けて提供するとのこと。