毎年のように中止のお知らせが出回るDEF CONだが、今年のDEF CON 28は8月にラスベガスで予定されていたイベントが本当に中止となり、Discord上のバーチャルイベント「DEF CON 28 Safe Mode」として開催することが発表された(DEF CONのアナウンス、 DEF CON 28 Safe Mode FAQ、 Mashableの記事、 The Registerの記事)。

DEF CON中止のお知らせ(DEF CON is cancelled)は長年繰り返されたジョークであり、FAQページにも「Is DEF CON cancelled?」という質問に「No.」と回答する項目が存在した(Internet Archiveのスナップショット)。しかし、今年はCOVID-19の影響によりラスベガスでのイベントは開催不能との判断が示され、回答もそれを反映したものに変更されている。

DEF CON創始者のDark Tangent氏は4月11日の時点で中止を決断していたが、どのように中止するのかを検討するため発表までに時間がかかったとのこと。DEF CON 28 Safe Modeは8月6日のオリエンテーションに続いて7日～9日にリモート開催される。DEF CONのDiscordサーバーは8月6日に一般公開されるとのこと。なお、同時期にラスベガスで開催予定だったBlack Hat USAも中止となり、バーチャルイベントとして実施することが発表されている。

今年1月、三菱電機に対しサイバー攻撃が行われ情報が漏洩する事件が発生した（過去記事）。この事件についてはトレンドマイクロのセキュリティソフトの脆弱性が悪用されていたことも報じられているが、三菱電機のサイバー攻撃対策チームが攻撃を受けた際に見つかった不審なファイルをトレンドマイクロに送付して解析を依頼したところ、「異常なし」という回答を受けていたという話が報じられている（朝日新聞）。三菱電機の対策チームはこの回答を受け、独自に調査を行なった結果サイバー攻撃の痕跡を見つけ、情報漏洩が明らかになったそうだ。

問題の不審なファイルの正体はWindowsのコンポーネントの1つである「powershell.exe」だったとのことで、特に改変などもされていなかったことからトレンドマイクロは「異常なし」と判断したという。ただ、このプログラムはファイル名が「chrome.exe」に書き換えられており、また本来存在しないはずの「C:\ProgramData」ディレクトリ内に隔離されていたという。このファイルは、トレンドマイクロの「ウイルスバスター」は不審なものとして検出したことで存在が発覚したそうだ。

なお、このサイバー攻撃ではPowerShellに対し悪意のある命令を実行させるという手法が使われていたことが先に明らかになっている。

Anonymous Coward曰く、

愛知県が運営している新型コロナウイルス関連の情報サイトで、感染者の氏名や入院先などを含んだExcel形式ファイルが誤って公開されていたようだ（NHK、ハフィントンポスト、J-CASTニュース）。

本来は個人情報が載ったExcelファイルから個人情報部分を削除して、ダブルチェックの上で公式サイトにアップロードするはずが、連休で担当者が不在のため、一人で作成/承認して修正漏れに気づかずそのままアップロードしてしまったという。対策として、今後はダブルチェックを徹底するとのこと。

任天堂のゲーム機、Wiiの設計情報やソースコードなどが流出したという話が海外のゲーム関連情報サイトで報じられている（Nintendo Everything、resetera）。

流出したとされているのはファームウェアやOS、SDKのソースコード、システムコンポーネント図およびデータシート、内部ソフトウェアのAPIや実装に関するドキュメントなど。また、NINTENDO64のデモもいくつか流出しているという。流出元はWiiのハードウェアおよびソフトウェアの開発に関わっていたBroadOnという企業と見られている。

AppleとGoogleが協力して開発を進める新型コロナウイルス(SARS-CoV-2)感染者との接触検出技術について、さらなるプライバシー保護およびセキュリティ対策が必要だとEFFが主張している(Deeplinks Blogの記事、 Computingの記事)。

この接触検出技術を使用するスマートフォンは毎日生成される秘密鍵を用いてRolling Proximity Identifier(RPID)と呼ばれる近接識別子を生成し、少なくとも5分ごとにRPIDを含むPingを送信する。RPIDは10～20分ごとに更新され、端末で生成した秘密鍵と他の端末から受信したRPIDは端末内にのみ2週間保存されるため、プライバシーリスクは最低限となる。

ただし、感染が判明したユーザーが保健当局に情報の共有を許可すると、秘密鍵が「diagnosis key (診断鍵)」として公開されることになる。他のユーザーはこの診断鍵を用いて接触の有無を確認できるのだが、悪意をもった人物が大量にRPIDを収集すれば、顔認識などの技術と組み合わせて感染者データベースを作ったり、感染者の行動範囲を地図上に表示したりといったことが可能になってしまう。そのため、EFFでは緩和策として秘密鍵の更新頻度を高くすることを提案している。

捜査当局が情報を利用してユーザー同士を関連付けることも可能となるが、ユーザーが必要に応じてアプリを無効化したり、特定期間のデータを削除したりできるようにすることで緩和できる。これではアプリの実効性が低下しそうだが、EFFは別の方法として強い暗号とパスワードによる保護も提案している。このほか、RPIDを生成したデバイスから送信されたかどうかを確認する手段がないため、受信したRPIDを再送信して精度を低下させるといった攻撃も考えられるとのこと。

この接触検出技術の第1段階はAPI提供で、AppleとGoogleは保健当局によるアプリ開発を意図したものだと説明している。ただし保健当局の多くは自前でのアプリ開発ができないため、開発を外部に発注することになる。そのため、外部の開発者がアプリを悪用しないように注意を払う必要もある。第2段階ではAppleとGoogleがOSに接触検出技術を組み込むことになるが、ユーザーの明示的な許可を確実に得る仕組みが必要だ。また、両社は感染拡大の危機的状況が終われば接触検出技術を削除すると述べているが、削除計画も明確にする必要があるとのことだ。

なお、AppleとGoogleは4日、それぞれサンプルコードを公開した。

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)は4月30日、サイバーセキュリティ用語としてこれまで使用してきた「whitelist」「blacklist」の使用をやめ、「allow list」「deny list」へ置き換えることをブログで発表した(NCSCのブログ記事、 The Registerの記事)。

現在、サイバーセキュリティの現場では「許可」「不許可」を示す用語として「whitelisting」「blacklisting」が普通に使われている。しかし、これは「white」を良い、「black」を悪いと結び付けた場合にのみ意味を成す表現であり、「allow list (許可リスト)」「deny list (不許可リスト)」と表現する方が明確だ。用語の置き換えはサイバーセキュリティから人種差別を取り除くのにも役立つという。

このような用語置き換えをする計画はないかと取引先から尋ねられたNCSCのEmma W氏は、なぜもっと前に気付かなかったかと自分の頭を叩き、すぐに変更すると喜んで回答したそうだ。W氏によれば、人種的ステレオタイプに影響を受けない人は幸運であり、悪い影響を受ける人にとっては価値ある変更とのこと。今後、NCSCはWebサイトでの用語置き換えを順次進めていく。ブログ記事が同様の変更を検討している組織を後押しすることにつながることも望んでいるとのことだ。

NCSCテクニカルディレクターのIan Levy氏は「これ(用語の置き換え)が狂ったポリティカルコレクトネスだと意見しようと思っているなら、その必要はない」と(NCSC運営委員会の全会一致による支持を受けたうえで)述べているそうだ。

イオン銀行が、指紋と静脈を使った2要素生体認証サービスを7月31日で終了することを発表した。

同サービスについては、一部顧客の利用時に認証に時間がかかるという問題があったそうだ。しかし、改良を加えてはいるものの、現在の認証技術ではすべての顧客に「均一なサービスを提供できない」としてサービス中止を発表した。

イオン銀行は2016年に指紋認証のみで銀行取引を行える実証実験を開始しており（流通ニュース）、その後2017年11月より本格導入を初めていた（当時のプレスリリース）。

ウイルス対策ソフトがマルウェアなどを削除するタイミングで競合状態を発生させることで、OSに必要なファイルなどを破壊できるという攻撃手法が報告されている（PC Watch）。

ウイルス対策ソフトはマルウェアを含むファイルを検知した場合、そのファイルを削除もしくは隔離するが、そのタイミングで削除・隔離対象のファイルをジャンクションやシンボリックリンクに置き換えることで、そのジャンクションやシンボリックリンクが参照しているファイルやディレクトリを削除できるという。ウイルス対策ソフトは多くの場合特権を持っているため、この手法ではシステムファイルなども削除できてしまうことが問題だとされている。

ネットワークに接続されていないコンピュータから情報を盗み出す手法は過去にいくつか紹介されているが、新たな手法として「冷却ファン由来の振動を使ってPCからスマートフォンに情報を送信する」という手法が開発された（GIGAZINE、論文）。

こういった手法としては、PCの発する熱を利用するものやハードディスクのシーク音を利用するもの、冷却ファンのノイズを利用するものなどが過去に提案されていたが、今回提案されているものは冷却ファンの回転数を意図的に操作することでPCの筐体を振動させ、その振動をスマートフォンの加速度センサー経由で取得して解析することで情報をやり取りするというもの。

なお、この手法を利用してデータを盗む場合、対象のPCに対しあらかじめ送信したいデータを冷却ファンの回転数変化パターンにエンコードするマルウェアをインストールしておく必要がある。

Microsoft Teamsでサブドメイン乗っ取りの脆弱性を悪用してユーザーアカウントを乗っ取り可能な問題が見つかり、Microsoftが対策したそうだ(CyberArkのブログ記事、 HackReadの記事、 The Registerの記事、 On MSFTの記事)。

サブドメイン乗っ取りの脆弱性はサブドメインのDNSレコードがAzureなどのユーザーがWebページを作成・公開可能なサービスを指しており、そのページが存在しない場合などに発生するものだ。攻撃者はそのサービス上に新たなページを作成してサブドメインを指定すれば乗っ取りが可能となる。

Microsoft Teamsの場合、認証サーバーから発行されるアクセストークン(cookie)は、Microsoft Teamsのドメイン(teams.microsoft.com)およびサブドメイン(*.teams.microsoft.com)にHTTPSでアクセスする際に送信される。そのため、攻撃者は乗っ取ったサブドメインにアクセスさせることで攻撃対象者のアクセストークンを入手し、ユーザーアカウントの乗っ取りが可能な状態だった。

こういった場合の攻撃手法としてはリンクを含むメッセージの送付がよく用いられるが、リンクをクリックさせる手法は成功率が低くなる。ただし、Microsoft Teamsで画像を送信する場合には画像のURLを「src」属性に指定したIMGタグを使用するため、乗っ取ったサブドメイン上の画像を指定すればメッセージを開くだけで画像が表示され、アクセストークンの入手が可能だったという。

ベトナム政府がコロナウイルスによる新型肺炎（COVID-19）対策のため、中国政府機関へのサイバー攻撃を試みていたという話が出ている（QUARTZ、Register、New York Times）。

セキュリティ企業FireEyeがブログで公表した調査結果によると、ベトナム政府とつながりのある「APT32」というハッカー集団が、中国政府の緊急危機管理機関に対しフィッシングメールを送信していたという。このフィッシングメールのタイトルは中国語で書かれており、明確に中国内の組織・人物をターゲットにしていたそうだ。

攻撃が最初に確認されたのは1月6日で、このメールを開くとその旨が送信者に通知されるようなコードが含まれており、その後このメールを開いた人物をターゲットにマルウェアが送信されていたという。

あるAnonymous Coward 曰く、

最近急速に使われだしているビデオ会議ツール「ZOOM」だが、Web検索結果から「怪しいZOOM」をインストールしてしまうケースが報告されているとして、IPAが注意を呼びかけている(ITmedia NEWSの記事、 IPAのツイート[1]、 [2])。

この「怪しいZOOM」は、起動すると警告画面が表示され、そこに表示された電話番号に連絡するとサポート料金が要求されるというもの。いわゆる「テクニカルサポート詐欺」の一種と見て良いだろう。IPAによると、こういった相談がここ2週間で7件寄せられているという。

IANAはCOVID-19のリスクを最低限にするため、第41回のルートKSKセレモニーで物理的な参加者数を7人に制限して実施した(Root KSK Ceremony 41、 ICANN Blogの記事、 The Registerの記事、 動画)。

ルートKSKセレモニーはルートゾーンの署名に使用するゾーン署名鍵(ZSK)を3か月に1回更新するため、ルート鍵署名鍵(ルートKSK)を用いて署名するものものだ。2月の第40回ルートKSKセレモニーでは物理的なセキュリティ上の問題により10年間の歴史で初めて期日を変更して実施されており、スラド記事ではタイミング的にCOVID-19の影響かと思ったというコメントもみられたが、今回は本当にCOVID-19の影響を受けることになった。

ルートKSKセレモニーの実施計画は6か月前に始まり、第41回は4月に実施が予定されていたが、2月になってCOVID-19が計画に影響を与える可能性を認識したという。セレモニーにおける様々な役割は通常の運用に対するリスクを低下させるため、世界中のTrusted Community Representatives(TCR: 信頼されたコミュニティの代表者)に分散している。しかし、セレモニー会場となる施設があるカリフォルニア州ではどうしても必要な場合を除いて自宅にとどまるよう命ずる行政命令「Stay home order」が出されており、旅行も制限される中、TCRの分散が逆に通常のセレモニー実施に困難をもたらすことになる。

そのため、IANAはICANNの承認を得たうえで、実際に施設内でセレモニーに参加するのは作業に必要な7人のみに限り、そのほかの役割はオンラインストリーミングを通じたリモートでの参加に変更した。セレモニーは日本時間24日2時に開始され、3時間ほどで無事終了したようだ。

iOSのメール機能に新たな脆弱性が確認された。細工されたメールを開いたり受け取ることで悪意のあるコードが実行される可能性があるという（ITmedia）。

この脆弱性はセキュリティ企業のZecOpsが発見したもの。メールの内容に細工を加えることでiOSでの処理時に大量のメモリを消費させ、それによって意図しないコード実行を引き起こせるという。実際に大きいサイズのメールを作成する必要はなく、意図的に細工を加えたRTFやマルチパートメッセージなどを含むメールで実現できるそうだ。

iOS 12ではメールをメールアプリで開くことでこの不具合が発生するが、iOS 13ではメールアプリがバックグラウンドでメールを読み込むことで不具合が発生することから、ユーザーが気づかないまま攻撃を受ける可能性もあるという。

Anonymous Coward曰く、

任天堂関連のハードウェアやサービスで使われる「ニンテンドーアカウント」で、不正ログインが多発しているという（ZDNet、IGN Japan、Slashdot）。

不正ログインは3月中旬ごろから発生、4月の第2週の週末にはピークに達したという。これによって、未知のIPアドレスからのアクセスがあったとする警告の出るユーザーが増えているという。実際に不正ログインを受け、連携済みのPayPalアカウントで不正な支払いが行われたとの報告もある。任天堂側も問題を確認しており、状況を調査しているとのこと。

攻撃にどのような手法が使われているかはまだ分かっていないが、いわゆる総当たり攻撃やリスト型攻撃ではない手法が使われている可能性もあるようだ。

米任天堂はこれに対し、対策方法の1つとして2段階認証の利用を推奨している。