headless 曰く、

hostsファイルでMicrosoft関連ホストを指定すると、Windows Defender Antivirus(Microsoft Defender Antivirus)やMicrosoft Security Essentialsが脅威として検出するようになっている(Bleeping Computerの記事、 Ghacksの記事、 BetaNewsの記事)。

Windows Defender Antivirusの場合は変更がリアルタイムで検出されることはなかったが、ファイルを選択してスキャンすると「SettingsModifier:Win32/HostsFileHijack」として検出される。ここで「削除」(デフォルト)または「検疫」を選択して「操作の開始」をクリックするとhostsファイルが再生成されるようで、既定の内容に戻されてしまう。Microsoft Security Essentialsの場合は変更を保存するとすぐに検出され、自動で既定の内容に戻された。

この脅威を解説するMicrosoftの記事は1月に公開されているが、脅威として検出されるエントリの具体的な内容には触れられていない。ただし、6月から更新していなかったWindows Defender Antivirus(Windows 8.1)とMicrosoft Security Essentials(Windows 7)でも検出されたので、最近の変更ではなさそうだ。スラドでは2009年にWindows Defenderがhostsファイルを書き換えるという話題が出ていたが、この時の脅威(SettingsModifier:Win32/PossibleHostsFileHijack)とは別物だ。2012年にはWindows 8のWindows Defenderがhostsファイルの変更をブロックすることも話題になっている。

なお、Bleeping Computerの記事では15件のMicrosoft関連ホストが検出対象として挙げられているが、手元の環境で試した限りでは「www.microsoft.com」「microsoft.com」「us.vortex-win.data.microsoft.com」のいずれかを追加した場合のみ脅威として検出された。また、「www.microsoft.com」と「microsoft.com」に関しては、エントリを追加しても無視されるようだ。

あるAnonymous Coward 曰く、

三井住友海上火災保険がWeb会議向けの専用サイバー保険を提供するそうだ（マイナビ）。

この専用サイバー保険はエイネットのWeb会議システム「Lite FreshVoice」と組み合わせて提供されるもので、同サービスを利用中に会議内容の漏洩やサイバー攻撃が起きた場合、情報漏えい等による損害賠償にかかる費用、原因調査費用、サーバー復旧費用などが保険の補償として提供されるとのこと。

あるAnonymous Coward 曰く、

米国のトランプ大統領は、ユーザーの個人情報を中国に送信しているなどのセキュリティ疑惑からサービス禁止が検討されている動画投稿アプリ「TikTok」について、9月15日までに米事業の売却が成立しなければ、大統領権限により米国事業を禁止することを表明した（ロイターの記事, ブルームバーグの記事, TechCrunchの記事, ITmediaの記事）。

TikTokは中国のByteDance（北京字節跳動科技）社が提供するソフトウェアだが、中国政府による検閲の懸念や、個人情報などが中国政府に送信されるという懸念から、使用禁止を巡る議論となっている。トランプ大統領は元々8月1日にも事業禁止を命令するとしていたが、MicrosoftがTikTok買収の意思を示したことを受けて、今回の話となったようだ。

MicrosoftはTikTokの米国・カナダ・オーストラリア・ニュージーランド事業を買収する方向で交渉を進めているという。一方で、価格などでは合意に至っておらず、またトランプ大統領は「適切な取引でなければならず、米財務省が多額の資金を得るものでなければならない」「30%（米加豪新）と言わず、TikTokのすべてを買収する方が簡単だ」とも語っているため、買収が成立しない可能性もあるなど、TikTokは厳しい決断を強いられそうである。

情報元へのリンク

headless 曰く、

英消費者保護団体Which?が英国で中古スマートフォンを販売する大手3社の取り扱い機種を調べたところ、既にセキュリティアップデートが提供されなくなっている(サポート終了)機種の比率が高く、1社では30%を超えていたそうだ(Which?のニュース記事、 The Registerの記事)。

調査で対象となったのは、系列にリサイクル会社もあるオンライン専業の中古電子機器販売店SmartFoneStoreと、中古CDから電子機器等にも取扱品目を拡大したオンラインの中古販売店musicMagpie、大通りに多数の小売店舗を出すチェーンの中古販売店CeXの3社。SmartFoneStoreでは59機種中10機種(17%)、musicMagpieでは82機種中16機種(20%)がサポート終了しており、CeXでは取り扱い機種の31%をサポート終了した機種が占めていたそうだ。

なお、この調査結果は機種単位で集計されているため、在庫1台でも在庫100台でも1機種としてカウントされる。CeXの店頭に並ぶスマートフォンの3割がサポート終了しているというわけではない。

これについてWhich?が各社に連絡したところ、SmartFoneStoreでは機種と状態を選択した時点でサポート終了に関する情報が表示されるようシステムを更新し、musicMagpieはサポート終了している製品をすべてリストから外したそうだ。musicMagpieでは影響を受けるデバイスは在庫の1%未満だと説明しているという。CeXからは回答がなかったとのこと。

Which?では消費者に対し、中古スマートフォンを購入する前に下調べし、セキュリティアップデートの提供が終了した機種を避けるようアドバイスしている。

7月中旬からマルウエア「Emotet」を感染させるための迷惑メールが大量に配信されているそうだ。情報処理推進機構やJPCERTコーディネーションセンターによれば、2020年2月上旬以降は攻撃メールは観測されていなかったという（情報処理推進機構、JPCERTコーディネーションセンター、マイナビ、過去記事）。

攻撃メールには、添付ファイルまたは本文中にリンクが張られており、添付ファイルもしくはリンクからダウンロードされるファイル（エクセルやワード形式など）を実行した場合、Emotet の感染に繋がるとしている。

感染した場合、情報漏洩だけでなく、自身のPCがスパムメール配信の踏み台と化す可能性や他のマルウェアにも感染する可能性がある。各種セキュリティサービスが提供している情報をもとに警戒してほしいとしている（マルウエアEmotetへの対応FAQ）。

Microsoftが7月27日付で公開したドキュメントによれば、Microsoft Defender Antivirus(Windowsセキュリティ)で望ましくない可能性のあるアプリ(PUA)のブロックを有効にすると、CCleanerの特定のバージョンのインストーラーが「PUA:Win32/CCleaner」としてブロックされるそうだ(Microsoft Security Intelligenceの記事、 Softpediaの記事、 Ghacksの記事、 BetaNewsの記事)。

PUAのブロックはWindows 10 May 2020 Update(バージョン2004)で追加された。デフォルトで有効にはなっていないが、「Windowsセキュリティ」の「アプリとブラウザーコントロール→評価ベースの保護設定」で「望ましくない可能性のあるアプリのブロック」をオンにすれば利用可能になる。

問題のインストーラーはCCleanerのフリー版または14日トライアル版で、Google Chrome/Google Toolbar/Avast Free Antivirus/AVG Antivirus Freeといったアプリがバンドルされているものだという。これらのアプリは通常のアプリであり、Microsoft Defender Antivirusが検出することもない。CCleanerのインストーラーではバンドルアプリをオプトアウトするためのオプションも用意されているが、意図せずインストールしてしまう可能性が高いためPUAに区分したとのこと。

ただし、PUAのブロックを有効にした状態でCCleaner最新版のインストーラーをダウンロードしてインストールしてみたが、PUAとしてブロックされることはなかった。インストール時にはAVG Freeのインストールが提案されたのみで、Google ChromeやAvastがインストールされることもない。Google Toolbarのバンドルは2019年6月25日リリースのCCleanerバージョン5.59.7230で削除されている(CCleanerのバージョン履歴)。Microsoftのドキュメントに掲載されているスクリーンショットでは現行版インストーラーに存在しないPiriformのロゴが表示されており、Google Chromeのインストールオプションが表示される画面では「CCleaner v5.59 Setup」となっていることから、古いバージョンのようだ。

米国・カリフォルニア北部地区連邦検事局は7月31日、Twitterの大規模なアカウント侵害事件にかかわったとみられる3名の起訴を発表した(プレスリリース、 動画、 フロリダ州検察官のプレスリリース)。

7月15日に発生したTwitterのアカウント侵害事件では、攻撃者が複数のTwitter従業員からソーシャルエンジニアリングの手法を用いて入手した認証情報を用い、内部のサポートチーム専用ツールにアクセスして130アカウントを攻撃。パスワードリセットに成功した著名人のアカウントを含む45アカウントでビットコインの詐取を目的とした投稿を行っている。従業員に対する攻撃手法について、当初Twitterはソーシャルエンジニアリングとのみ説明していたが、その後の更新情報で電話を使用したスピア型フィッシングの手法が用いられたことを明らかにしている。

カリフォルニア北部地区連邦検事局が起訴したのは英国の19歳とフロリダ州オーランドの22歳。3人目は未成年者であり、未成年犯罪に関する連邦法に従ってフロリダ州第13司法管轄区の州検察官が起訴したとのこと。未成年犯罪では例外を除いて被告の情報は開示されず、本件に例外は適用されないとして、連邦検事局のプレスリリースには名前が記載されていない。一方、本件のような金融詐欺の場合、フロリダ州の州法では未成年者を成人として起訴可能であり、州検察官はこの被告を本件の首謀者として組織的詐欺や通信詐欺、個人情報の不正使用など合計30件の罪状で起訴。プレスリリースには被告の名前入りでタンパ在住の17歳などと記載されている。

Microsoftダウンロードセンターは8月3日から、SHA-1で署名されたWindows向けコンテンツの提供を中止するそうだ(Microsoft Tech Communityの記事、 Softpediaの記事、 The Registerの記事)。

SHA-1の危険性は古くから指摘されており、2017年には現実的な時間でSHA-1ハッシュの衝突を生成するShatterd攻撃も発表されている。CA/Browser Forumは2016年からSHA-1のHTTPS証明書の発行を禁じていたが、Internet Explorer 11とMicrosoft Edgeでは2017年5月のアップデートでSHA-1証明書をブロックするようになった。

Windowsの更新プログラムでは昨年、Windows 7/Server 2008/2008 R2およびWSUS向けにSHA-2署名のサポートが導入され、昨年7月以降は更新プログラムのインストールにSHA-2署名のサポートが必須になった。また、それまでデュアル署名(SHA-1/SHA-2)だったWindowsの更新プログラムはSHA-2のみに変更されている(Windows および WSUS の 2019 SHA-2 コード署名サポートの要件)。

なお、Microsoftダウンロードセンターで「人気のあるWindowsダウンロード」をみると、1位の「DirectX エンド ユーザー ランタイム Web インストーラ」はSHA-1のみで署名されており、2位以下はデュアル署名の更新プログラムが多いようだ。

東芝をはじめとする12の事業者が次世代暗号技術「量子暗号通信網」の実用化に向けた研究開発を始めるそうだ。総務省の委託による事業で研究期間は5年間、初年度の予算は14億4000万円だという。（東芝プレスリリース、ITmedia、古河電気工業プレスリリース、総務省）。

実用的な量子コンピュータが実現した場合、従来型の暗号による機密データがすべて解析されてしまうリスクがある。これに備えて、広域的な量子暗号通信ネットワーク技術の確立を行うことが目的だという。具体的には100台以上の量子暗号装置、万単位のユーザ端末を収容可能な装置の開発と検証を行うことだとしている。

東芝以外の事業者としてはNEC、三菱電機、古河電気工業、浜松ホトニクス、東京大学、北海道大学、横浜国立大学、学習院大学、情報通信研究機構、産業技術総合研究所、物質・材料研究機構が研究開発に参画するとしている。

あるAnonymous Coward 曰く、

やや旧聞に類する話だが、通販番組を手がける「ショップチャンネル」の通販サイトに不正ログインが発生していたそうだ。サイト上に登録されている顧客情報が流出した可能性があるという。7月15日に海外から不正ログインが試行されていることが定期チェックで判明、そこから調査した結果、不正ログインが判明したようだ（リリース[PDF]、ScanNetSecurity）。

運営会社ジュピターショップチャンネルによると、不正ログインはリスト型攻撃によって行われたと推測されている。発表によれば不正ログインされた情報は264件。そのうち22件が氏名、郵便番号、住所、電話番号、メールアドレス、生年月日、クレジットカード番号の下4桁と有効期限と本人以外へのお届け先として登録されている氏名や住所、郵便番号の情報も閲覧されている可能性があるとしている。

不正ログインされたユーザーのパスワードは7月16日にリセットされたとしている。

headless 曰く、

EU航空安全機関(EASA)は7月21日、エアバスA350型機の制御パネルにカバーを装備するよう運航会社に命ずる耐航空性改善命令(AD)を発行した(AD、 The Registerの記事)。

同型機では2つの操縦席の間にある制御パネルの組み込まれた台に液体をこぼした場合、運航中にエンジンが停止して再始動できなくなる可能性がある。エアバスは操縦室内の液体禁止ゾーンを定義する航空機運航マニュアル(AFM)暫定リビジョン(TR)を発行しており、EASAはAFM TRに従ったAFM修正を運航会社に命ずるADを2月に発行していた。

その後、エアバスは制御パネルを完全に液体から保護できる取り外し可能なカバー(mod 116010)を開発し、作業指示書(SB)を発行している。また、液体禁止ゾーンの定義に加えてカバーの使用方法や誤って液体をこぼしたときの対応などを含むAFM TRも同時に発行したという。エアバスはさらに、制御パネル自体を耐水化するmod 116038も開発したとのこと。

今回のADは2月のADを置き換えるもので、mod 116038を適用済みのものを除くすべてのA350-941/1041にカバーを装備し、AFMを更新するよう運航会社に命じている。

あるAnonymous Coward 曰く、

夏になると車内に子供を置き去りにして、死亡事故を引き起こす事例が毎年発生しているが、これを防ぐための技術が開発されているそうだ。自動車各社ともに2022年をめどに導入を検討しているという（日経新聞）。

この2022年という具体的な理由としては、欧州の自動車アセスメントEuroNCAPに「幼児置き去り検知」が試験項目に追加されるようになるためだそうだ。仮に出ている測定基準としては、後席にチャイルドシートを設置しそこに幼児ダミーを寝かせる。幼児ダミーには毛布をかぶせる。この状態で運転者が数分間離れた場合、システム的な警告を行うといったものであるようだ。

実現の手法としては、60GHz帯のミリ波レーダーによる検知の採用が検討されているという。カメラや超音波センサーの場合、寝ているなどの動きのない場合などの検出に問題が出るためだとしている。また他の周波数帯は各国の利用条件をクリアできないようだ。

とはいえ、幼児置き去り検知のためだけにハードウェアを搭載するとコスト的に割が合わなくなる。このため、自動車メーカーは複数の機能をまとめたマルチファンクション化を検討しているとしている。

headless 曰く、

Garminは7月27日、23日から発生していたサービス停止の原因がサイバー攻撃だったと発表した(プレスリリース、 FAQ)。

サービス停止の原因は当初からサイバー攻撃だと考えられていたが、これまでGarminからの公式発表はなかった。ランサムウェアとは明記していないものの、システムの一部が暗号化されたとのことで、やはり予想通りランサムウェア攻撃だったようだ。ただし、支払い情報を含む顧客のデータが不正アクセスされた形跡は一切なく、失われたり盗まれたりもしていないとのこと。また、オンラインサービスにアクセスできなくなっただけで、Garmin製品の機能は影響を受けないとも説明している。

Garminでは影響を受けたシステムの復元を進めており、数日中に復旧できるとみている。ただし、復旧後はバックログの処理による遅れが予期されるとのこと。既にGarmin Connectなどのサービスは部分的に復旧している。Garmin AviationではFlyGarminがダウンしたことで最新のナビゲーションデータがダウンロードできなくなり、FlyGarminを使用するパイロットが米連邦航空局(FAA)の飛行要件を満たせなくなっていたが、現在は全サービスが復旧しているようだ。

Garminによれば、本件による同社の運営や決算への影響はないと考えているとのこと。なお、Gaminの日本のWebサイトにもサービス停止に関する情報がようやく表示されるようになった。

headless 曰く、

Linux 5.9に向け、ドキュメンテーションなどに多数含まれるHTTPリンクをHTTPSリンクへ置き換える作業が進められている(Phoronixの記事、 Neowinの記事、 The linux-next integration testing tree)。

置き換えの理由としては、細工することが難しいHTTPSに置き換え、リンクを開くカーネル開発者が中間者攻撃にあう可能性を減らすことが挙げられている。ただし、実際にカーネル開発者がこのような攻撃を受けている様子はなく、先を見越した変更のようだ。

置き換え作業はAlexander Klimov氏が一人で進めており、既に148件のパッチが存在する。Klimov氏はスクリプトを使用してHTTPリンクを探し、SVGファイルなどではないことを確認したうえで、HTTPSでHTTP版と同じ内容が表示される場合にのみ置き換えを行っているとのこと。osdn.jpへのリンクもHTTPSに置き換えられている。

あるAnonymous Coward 曰く、

セキュリティ研究者の報告によれば、ここ2週間ほどの間に、インターネット上に保護されずに公開されている脆弱なデータベースに対して、ほぼ全てのデータが削除された上に「Meow (ニャー)」という猫の鳴き声だけが書き残される「Meow Attack (ニャー攻撃)」が相次いでいるという（GIGAZINE、Slashdot）。

最初に発見されたのは香港のVPN業者UFO VPNのDBへの犯行で、研究者がDBがインターネット上に公開されている旨を企業とやり取りしていたところ、7月21日にDBのデータが削除され、「meow」の文字が残されているのを発見したという。ニャー攻撃はその後も拡大を続けており、27日現在までに、ElasticsearchやMongoDB、Apache Cassandraも含めて4000件以上が被害を受けたとのこと。

当然ながら、インターネット上に保護なく公開されたDBは以前から攻撃を受けているが、だいたいの場合はランサムウェアで身代金を要求されるか、単純に削除されるかとのことで、わざわざ「ニャー」とメッセージを残していく動機は不明。一方で手段については、スクリプトでProtonVPNを経由して行われているとの分析がされている。発見した研究者は「簡単に攻撃可能なほど無防備なので、面白半分でやっているのでしょう」と語っている。

情報元へのリンク