Googleは12日、デスクトップ版Chrome 86(Dev/Canary)で一部のユーザーを対象に、Omnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを実施していることを発表した(Chromium Blogの記事、 Ghacksの記事、 Neowinの記事、 SlashGearの記事)。

URLに細工してユーザーを混乱させる攻撃手法は無数にあり、Googleとイリノイ大学アーバナシャンペーン校の共同研究によると、ブランド名を含むURLパスを見たユーザーの60%以上がだまされるという結果が出ている。ドメイン部分のみの表示はこういった攻撃への対策の一つで、現実の使用でユーザーを悪意あるWebサイトへのアクセスに気付かせ、保護できるかどうかを確認するのが目的だという。

テスト対象になったユーザーの環境ではデフォルトでURL表示がドメイン部分のみになり、OmniboxをポイントしたときにのみフルURLが表示されるようになる。常にフルURLを表示するには、Omniboxのコンテキストメニューで「URL全体を常に表示」を選べばいい。

テスト対象になっていないユーザーは「chrome://flags」で「#omnibox-ui-sometimes-elide-to-registrable-domain」および「#omnibox-ui-reveal-steady-state-url-path-query-and-ref-on-hover」の両方をEnabledにすれば試すことができる。また、「#omnibox-ui-hide-steady-state-url-path-query-and-ref-on-interaction」をEnabledにすると、ページ内で何らかの操作をするまではフルURLが表示されるようになる。これらのフラグはChromium 86ベースのMicrosoft Edge Dev/Canaryにも用意されている。

ドメイン名のみの表示にするフラグは6月にChrome 85 Dev/Canaryで見つかり、話題となっていた。ただし、当時は上述の最初のフラグがなく、代わりに「chrome://flags/#omnibox-ui-hide-steady-state-url-path-query-and-ref」というフラグが用意されていた。なお、現在BetaチャンネルではChrome 85が提供されているが、対応するフラグは後の2つのみとなっている。

米国務省外交安全保障局は米国時間8月5日、正義への報酬（Rewards for Justice：RFJ）プログラムを米国内の選挙に適用すると発表した。このプログラムは米国政府や州、または地方の選挙に対して干渉を行う外国勢力の組織下にいる人物の身元や居場所などの情報に対して、最大1000万ドルの報酬を提供するというもの（米国務省、アメリカ大使館Twitter、正義への報酬日本語サイト、ZDNet）。

RFJプログラムは1984年に創設されて以来、テロの防止や米国の国家安全保障への脅威の解決につながった情報提供者100人以上に1億5000万ドル以上の報酬を支払ってきたとしている。今年に入ってハッカー情報に多額の報奨金が支払われるのはこれが3回目。4月には北朝鮮のハッカーの特定に500万ドル、7月にはウクライナのハッカー2人の情報にそれぞれ100万ドルの報奨金を提供したとしている。

キヤノンUSAがランサムウェア攻撃を受け、その影響で米国でのさまざまなサービスに障害が出ているようだ。

12日段階ではキヤノンUSAのWebサイトにアクセスできない状態となっている。同サイトにアクセスするとサイトが利用できない旨が表示され、ドライバーとソフトウェアのダウンロードに関しては、キヤノンカナダのサイトから落とすように誘導されている。ただし米国で購入した製品のサポートは受けられないとも記載されている。

ただし、デジカメWatchによると、デジカメのWebカメラ化ソフト「EOS Webcam Utility Beta」に関しては、キヤノンカナダのサイトには置かれておらず、入手ができない状態になっているとしている（デジカメ Watch）。

BleepingComputerによると、キヤノンUSAは5日朝に「Maze」と名乗るきサイバー犯罪者グループの攻撃を受けたという。犯人はキヤノンUSAから10TBのデータを盗んだと主張しており、キヤノンUSAが身代金を支払わない場合、Mazeは盗んだファイルを、公開すると主張している。複数のアプリケーション、チームとの連絡、電子メール、およびその他のシステムに影響が出ているとしている。BleepingComputerによれば、停止の影響を受けているキヤノンのドメインは24に及ぶとしている（BleepingComputer、Forbes JAPAN）。

なお先日発生した「image.canon」でのデータ障害とは無関係であるとのこと。

あるAnonymous Coward 曰く、

米国国家安全保障局（NSA）が、位置情報を保護するためのガイダンス「Limiting Location Data Exposure」を発表したそうだ。このガイダンスは政府機関や一般ユーザーなどの位置情報漏洩を防ぐためのものだという（NSA、マイナビ、ガイダンス全文[PDF]）。

マイナビによると具体的な対策例としては、

• デバイスの位置情報サービス設定を無効にする
• Wi-FiやBluetoothを頻繁に使用していない場合にはオフにする
• デバイスを使用していない時は機内モードにする
• アプリには最低限必要な権限しか許可しないようにする
• "デバイスを探す"などの追跡機能をオフにする
• デバイスでのWebブラウジングは最小限にとどめ、ブラウザへの位置情報サービスへのアクセスは許可しない
• 匿名のVPNを使用する
• 可能であれば、クラウドに保存される位置情報を最小限にする

というものとなっている。

あるAnonymous Coward 曰く、

ESETの研究者がQualcommとMediatekのWi-FiチップでもKrØØkに似た脆弱性が存在することを公表した。

KrØØkはBroadcom及びCypressのWi-Fiチップにおいて、接続解除後にチップ内の暗号化用鍵が消去されゼロとなるににもかかわらず、チップ内の送信バッファに残ったデータが鍵の消去後も送信され続けるため、結果として000...で暗号化されたデータが送信されてしまうという脆弱性（関連ストーリー）であり、様々なスマートフォンやWi-Fiアクセスポイントが影響を受けた。

今回ESETの研究者が発見した脆弱性の内、QualcommのWi-Fiチップを対象としたものは接続の解除時に平文のデータを送信させることが出来るというもので、D-Link DCH-G020とTurris Omniaで脆弱性の存在が確認されている。記事内では具体的なチップの型番は明らかにされていないが、D-Link DCH-G020はQCA9531、Turris OmniaはAR9287とQCA9880 v2が搭載されているため、これらのWi-Fiチップを採用している他のデバイスも影響を受ける可能性がある。

この脆弱性に関してQualcommが公表した情報によれば、特別に細工されタイミングが計られたトラフィックがWi-Fiチップ内でエラーを発生させ、正常でない暗号化が行われたデータが送信されることにより情報の漏洩が発生する可能性がある（CVE-2020-3702）とのことで、以下のチップが対象となる。

APQ8053, IPQ4019, IPQ8064, MSM8909W, MSM8996AU, QCA9531, QCN5502, QCS405, SDX20, SM6150, SM7150

これらのチップのうち、QCA9531は802.11n世代のWi-Fiアクセスポイント、QCA9880・IPQ4019・IPQ8064は802.11ac世代のWi-Fiアクセスポイントに多数採用されており、特にIPQ4019に関しては大半のメッシュ対応Wi-Fiアクセスポイントが使用しているため影響は広範に及ぶと思われる。

記事では、Qualcommは7月中に脆弱性の修正を含んだプロプライエタリなドライバをリリースしたが、いくつかのデバイスはFLOSS版のドライバを使用しており、それらのドライバに修正が提供されるかは不明であるとしている。

MediatekのWi-Fiチップについては記事内の情報が少なく具体的にどのような問題があるのかは定かではないが、いくつかのチップで暗号化の不足などの脆弱性があるとしている。影響を受けるデバイスとしてはASUS RT-AC52UとMicrosoft Azure Sphereが挙げられており、Microsoft Azure Sphereが使用するMT3620及び、ASUS RT-AC52Uが使用し、安価なWi-Fiアクセスポイントに多数採用されているMT7620を使用する他のデバイスも影響を受ける可能性がある。

ESETの記事によると、Mediatekは脆弱性の修正を3~4月にリリースしておりAzure Sphere OSの20.07にはこの修正が含まれているとしている。

これらの脆弱性を修正するには更新用のファームウェアをWi-Fiアクセスポイントのメーカーが提供する必要があり、QualcommやMediatekが修正をリリースしただけでは不十分であることに注意する必要がある。

情報元へのリンク

headless 曰く、

hostsファイルでMicrosoft関連ホストを指定すると、Windows Defender Antivirus(Microsoft Defender Antivirus)やMicrosoft Security Essentialsが脅威として検出するようになっている(Bleeping Computerの記事、 Ghacksの記事、 BetaNewsの記事)。

Windows Defender Antivirusの場合は変更がリアルタイムで検出されることはなかったが、ファイルを選択してスキャンすると「SettingsModifier:Win32/HostsFileHijack」として検出される。ここで「削除」(デフォルト)または「検疫」を選択して「操作の開始」をクリックするとhostsファイルが再生成されるようで、既定の内容に戻されてしまう。Microsoft Security Essentialsの場合は変更を保存するとすぐに検出され、自動で既定の内容に戻された。

この脅威を解説するMicrosoftの記事は1月に公開されているが、脅威として検出されるエントリの具体的な内容には触れられていない。ただし、6月から更新していなかったWindows Defender Antivirus(Windows 8.1)とMicrosoft Security Essentials(Windows 7)でも検出されたので、最近の変更ではなさそうだ。スラドでは2009年にWindows Defenderがhostsファイルを書き換えるという話題が出ていたが、この時の脅威(SettingsModifier:Win32/PossibleHostsFileHijack)とは別物だ。2012年にはWindows 8のWindows Defenderがhostsファイルの変更をブロックすることも話題になっている。

なお、Bleeping Computerの記事では15件のMicrosoft関連ホストが検出対象として挙げられているが、手元の環境で試した限りでは「www.microsoft.com」「microsoft.com」「us.vortex-win.data.microsoft.com」のいずれかを追加した場合のみ脅威として検出された。また、「www.microsoft.com」と「microsoft.com」に関しては、エントリを追加しても無視されるようだ。

あるAnonymous Coward 曰く、

三井住友海上火災保険がWeb会議向けの専用サイバー保険を提供するそうだ（マイナビ）。

この専用サイバー保険はエイネットのWeb会議システム「Lite FreshVoice」と組み合わせて提供されるもので、同サービスを利用中に会議内容の漏洩やサイバー攻撃が起きた場合、情報漏えい等による損害賠償にかかる費用、原因調査費用、サーバー復旧費用などが保険の補償として提供されるとのこと。

あるAnonymous Coward 曰く、

米国のトランプ大統領は、ユーザーの個人情報を中国に送信しているなどのセキュリティ疑惑からサービス禁止が検討されている動画投稿アプリ「TikTok」について、9月15日までに米事業の売却が成立しなければ、大統領権限により米国事業を禁止することを表明した（ロイターの記事, ブルームバーグの記事, TechCrunchの記事, ITmediaの記事）。

TikTokは中国のByteDance（北京字節跳動科技）社が提供するソフトウェアだが、中国政府による検閲の懸念や、個人情報などが中国政府に送信されるという懸念から、使用禁止を巡る議論となっている。トランプ大統領は元々8月1日にも事業禁止を命令するとしていたが、MicrosoftがTikTok買収の意思を示したことを受けて、今回の話となったようだ。

MicrosoftはTikTokの米国・カナダ・オーストラリア・ニュージーランド事業を買収する方向で交渉を進めているという。一方で、価格などでは合意に至っておらず、またトランプ大統領は「適切な取引でなければならず、米財務省が多額の資金を得るものでなければならない」「30%（米加豪新）と言わず、TikTokのすべてを買収する方が簡単だ」とも語っているため、買収が成立しない可能性もあるなど、TikTokは厳しい決断を強いられそうである。

情報元へのリンク

headless 曰く、

英消費者保護団体Which?が英国で中古スマートフォンを販売する大手3社の取り扱い機種を調べたところ、既にセキュリティアップデートが提供されなくなっている(サポート終了)機種の比率が高く、1社では30%を超えていたそうだ(Which?のニュース記事、 The Registerの記事)。

調査で対象となったのは、系列にリサイクル会社もあるオンライン専業の中古電子機器販売店SmartFoneStoreと、中古CDから電子機器等にも取扱品目を拡大したオンラインの中古販売店musicMagpie、大通りに多数の小売店舗を出すチェーンの中古販売店CeXの3社。SmartFoneStoreでは59機種中10機種(17%)、musicMagpieでは82機種中16機種(20%)がサポート終了しており、CeXでは取り扱い機種の31%をサポート終了した機種が占めていたそうだ。

なお、この調査結果は機種単位で集計されているため、在庫1台でも在庫100台でも1機種としてカウントされる。CeXの店頭に並ぶスマートフォンの3割がサポート終了しているというわけではない。

これについてWhich?が各社に連絡したところ、SmartFoneStoreでは機種と状態を選択した時点でサポート終了に関する情報が表示されるようシステムを更新し、musicMagpieはサポート終了している製品をすべてリストから外したそうだ。musicMagpieでは影響を受けるデバイスは在庫の1%未満だと説明しているという。CeXからは回答がなかったとのこと。

Which?では消費者に対し、中古スマートフォンを購入する前に下調べし、セキュリティアップデートの提供が終了した機種を避けるようアドバイスしている。

7月中旬からマルウエア「Emotet」を感染させるための迷惑メールが大量に配信されているそうだ。情報処理推進機構やJPCERTコーディネーションセンターによれば、2020年2月上旬以降は攻撃メールは観測されていなかったという（情報処理推進機構、JPCERTコーディネーションセンター、マイナビ、過去記事）。

攻撃メールには、添付ファイルまたは本文中にリンクが張られており、添付ファイルもしくはリンクからダウンロードされるファイル（エクセルやワード形式など）を実行した場合、Emotet の感染に繋がるとしている。

感染した場合、情報漏洩だけでなく、自身のPCがスパムメール配信の踏み台と化す可能性や他のマルウェアにも感染する可能性がある。各種セキュリティサービスが提供している情報をもとに警戒してほしいとしている（マルウエアEmotetへの対応FAQ）。

Microsoftが7月27日付で公開したドキュメントによれば、Microsoft Defender Antivirus(Windowsセキュリティ)で望ましくない可能性のあるアプリ(PUA)のブロックを有効にすると、CCleanerの特定のバージョンのインストーラーが「PUA:Win32/CCleaner」としてブロックされるそうだ(Microsoft Security Intelligenceの記事、 Softpediaの記事、 Ghacksの記事、 BetaNewsの記事)。

PUAのブロックはWindows 10 May 2020 Update(バージョン2004)で追加された。デフォルトで有効にはなっていないが、「Windowsセキュリティ」の「アプリとブラウザーコントロール→評価ベースの保護設定」で「望ましくない可能性のあるアプリのブロック」をオンにすれば利用可能になる。

問題のインストーラーはCCleanerのフリー版または14日トライアル版で、Google Chrome/Google Toolbar/Avast Free Antivirus/AVG Antivirus Freeといったアプリがバンドルされているものだという。これらのアプリは通常のアプリであり、Microsoft Defender Antivirusが検出することもない。CCleanerのインストーラーではバンドルアプリをオプトアウトするためのオプションも用意されているが、意図せずインストールしてしまう可能性が高いためPUAに区分したとのこと。

ただし、PUAのブロックを有効にした状態でCCleaner最新版のインストーラーをダウンロードしてインストールしてみたが、PUAとしてブロックされることはなかった。インストール時にはAVG Freeのインストールが提案されたのみで、Google ChromeやAvastがインストールされることもない。Google Toolbarのバンドルは2019年6月25日リリースのCCleanerバージョン5.59.7230で削除されている(CCleanerのバージョン履歴)。Microsoftのドキュメントに掲載されているスクリーンショットでは現行版インストーラーに存在しないPiriformのロゴが表示されており、Google Chromeのインストールオプションが表示される画面では「CCleaner v5.59 Setup」となっていることから、古いバージョンのようだ。

米国・カリフォルニア北部地区連邦検事局は7月31日、Twitterの大規模なアカウント侵害事件にかかわったとみられる3名の起訴を発表した(プレスリリース、 動画、 フロリダ州検察官のプレスリリース)。

7月15日に発生したTwitterのアカウント侵害事件では、攻撃者が複数のTwitter従業員からソーシャルエンジニアリングの手法を用いて入手した認証情報を用い、内部のサポートチーム専用ツールにアクセスして130アカウントを攻撃。パスワードリセットに成功した著名人のアカウントを含む45アカウントでビットコインの詐取を目的とした投稿を行っている。従業員に対する攻撃手法について、当初Twitterはソーシャルエンジニアリングとのみ説明していたが、その後の更新情報で電話を使用したスピア型フィッシングの手法が用いられたことを明らかにしている。

カリフォルニア北部地区連邦検事局が起訴したのは英国の19歳とフロリダ州オーランドの22歳。3人目は未成年者であり、未成年犯罪に関する連邦法に従ってフロリダ州第13司法管轄区の州検察官が起訴したとのこと。未成年犯罪では例外を除いて被告の情報は開示されず、本件に例外は適用されないとして、連邦検事局のプレスリリースには名前が記載されていない。一方、本件のような金融詐欺の場合、フロリダ州の州法では未成年者を成人として起訴可能であり、州検察官はこの被告を本件の首謀者として組織的詐欺や通信詐欺、個人情報の不正使用など合計30件の罪状で起訴。プレスリリースには被告の名前入りでタンパ在住の17歳などと記載されている。

Microsoftダウンロードセンターは8月3日から、SHA-1で署名されたWindows向けコンテンツの提供を中止するそうだ(Microsoft Tech Communityの記事、 Softpediaの記事、 The Registerの記事)。

SHA-1の危険性は古くから指摘されており、2017年には現実的な時間でSHA-1ハッシュの衝突を生成するShatterd攻撃も発表されている。CA/Browser Forumは2016年からSHA-1のHTTPS証明書の発行を禁じていたが、Internet Explorer 11とMicrosoft Edgeでは2017年5月のアップデートでSHA-1証明書をブロックするようになった。

Windowsの更新プログラムでは昨年、Windows 7/Server 2008/2008 R2およびWSUS向けにSHA-2署名のサポートが導入され、昨年7月以降は更新プログラムのインストールにSHA-2署名のサポートが必須になった。また、それまでデュアル署名(SHA-1/SHA-2)だったWindowsの更新プログラムはSHA-2のみに変更されている(Windows および WSUS の 2019 SHA-2 コード署名サポートの要件)。

なお、Microsoftダウンロードセンターで「人気のあるWindowsダウンロード」をみると、1位の「DirectX エンド ユーザー ランタイム Web インストーラ」はSHA-1のみで署名されており、2位以下はデュアル署名の更新プログラムが多いようだ。

東芝をはじめとする12の事業者が次世代暗号技術「量子暗号通信網」の実用化に向けた研究開発を始めるそうだ。総務省の委託による事業で研究期間は5年間、初年度の予算は14億4000万円だという。（東芝プレスリリース、ITmedia、古河電気工業プレスリリース、総務省）。

実用的な量子コンピュータが実現した場合、従来型の暗号による機密データがすべて解析されてしまうリスクがある。これに備えて、広域的な量子暗号通信ネットワーク技術の確立を行うことが目的だという。具体的には100台以上の量子暗号装置、万単位のユーザ端末を収容可能な装置の開発と検証を行うことだとしている。

東芝以外の事業者としてはNEC、三菱電機、古河電気工業、浜松ホトニクス、東京大学、北海道大学、横浜国立大学、学習院大学、情報通信研究機構、産業技術総合研究所、物質・材料研究機構が研究開発に参画するとしている。

あるAnonymous Coward 曰く、

やや旧聞に類する話だが、通販番組を手がける「ショップチャンネル」の通販サイトに不正ログインが発生していたそうだ。サイト上に登録されている顧客情報が流出した可能性があるという。7月15日に海外から不正ログインが試行されていることが定期チェックで判明、そこから調査した結果、不正ログインが判明したようだ（リリース[PDF]、ScanNetSecurity）。

運営会社ジュピターショップチャンネルによると、不正ログインはリスト型攻撃によって行われたと推測されている。発表によれば不正ログインされた情報は264件。そのうち22件が氏名、郵便番号、住所、電話番号、メールアドレス、生年月日、クレジットカード番号の下4桁と有効期限と本人以外へのお届け先として登録されている氏名や住所、郵便番号の情報も閲覧されている可能性があるとしている。

不正ログインされたユーザーのパスワードは7月16日にリセットされたとしている。