Googleが「Playストア」アプリのアプリ管理画面を刷新し、アプリのAPKファイルを近くのAndroidデバイスとオフラインでピアツーピア(P2P)共有する機能の搭載を進めているようだ(9to5Googleの記事、 Neowinの記事、 Android Policeの記事)。

新機能は9to5Googleが最新版のPlayストアアプリをデコンパイルして発見したものだ。9to5Googleは隠されているアプリ管理画面を有効化し、実際に操作を試している。ただしGoogleが正式に発表したものではないため変更の可能性もあり、一般提供時期も不明だ。

現在のアプリ管理画面(マイアプリ＆ゲーム)には「アップデート」「インストール済み」「ライブラリ」という3つのタブ(ベータプログラム参加アプリがある場合は「ベータ版 」タブも)があり、それぞれのタブを選択して操作を行う。新しいアプリ管理画面は「Manage apps & device」という名前になっており、タブは「Overview」「Manage」の2つのみ。「Manage」タブにはアプリが一覧表示され、インストール済み・未インストール・アップデート利用可能などのフィルターオプションが用意されている。

操作はチェックボックスでアプリを選択し、オーバーフローメニューから操作を選択するというもので、「Share」を選択するとアプリのP2P共有が可能になる。相手は「Overview」タブの「Share apps」で「Receive」をクリックすれば受信できるようだ。通信コストの高い地域や通信速度の遅い地域ではAndroidアプリをインストールするため、APKファイルを共有することも多い。Googleは安全にアプリを共有する機能としてP2P共有を2018年から提供しており、「SHAREit」や「Files by Google」などのアプリが対応している。

セキュリティソフトウェアBitdefenderがWindows 10の累積更新プログラムをマルウェアとしてブロックするトラブルが発生したそうだ(The Bitdefender Expert Communityのスレッド、 Bleeping Computer Technical Support Forumのスレッド、 Techdowsの記事、 Softpediaの記事)。

ブロックされたのは9月の月例更新で提供されたWindows 10 バージョン1903/1909の累積更新プログラム(KB4574727、ビルド18362.1082/18363.1082)。BitdefenderのExpert Communityフォーラムでの報告によると、KB4574727のCABファイルがTrojan.Ciusky.Gen.13として検出され、ブロックされたという。また、TiWorker.exe(ビルド18363.1073)もランサムウェア様の挙動がみられるとしてブロックされたとのこと。一方、Bleeping Computerのフォーラム投稿によると、CABファイルはブロック後も元の場所から移動されていなかったそうだ。

この動作は誤検知とみられていたものの、Bitdefender側の見解が出ないまま2日間放置されていたが、11日になって誤検知を修正したことが報告された。Bitdefenderが無害なファイルをTrojan.Ciusky.Gen.13として誤検知する問題は過去にも繰り返し発生しているようだ。

Mozillaは9日、拡張機能開発者が料金を支払ってaddons.mozilla.org(AMO)で拡張機能を宣伝できるようにする「Promoted Add-ons」のパイロットプログラム開始を発表した(Mozilla Add-ons Blogの記事、 Ghacksの記事)。

Mozillaは厳選した拡張機能を定期的に厳しくレビューして「おすすめ」バッジを表示する「おすすめ拡張機能」プログラムを昨年開始しているが、コスト面から対象の拡大は難しいという。その一方で、おすすめ拡張機能プログラムが有料でも参加したいという開発者もいることから、Promoted Add-onsを考案したようだ。Promoted Add-onsに参加した拡張機能は厳しいレビューを経て「Verified」バッジが表示されるようになる。追加料金を支払うとAMOホームページの「Sponsored extensions」セクションに表示することも可能となる。

パイロットプログラムは9月末～11月末まで実施され、少数の開発者に無料で提供される。参加したい開発者はサインアップが必要だ。参加するには拡張機能が現在AMOに登録されており、米国・カナダ・ニュージーランド・オーストラリア・英国・マレーシア・シンガポールのいずれかの国に住んでいる必要がある。これらは本格導入の際にMozillaが料金を受け取り可能な国だという。ただし、Mozillaはプログラム対象国の拡大を模索しており、これらの国以外に在住する開発者もサインアップすればウェイティングリストに登録することができる。

レビューする人員の関係でパイロットプログラムに参加可能な拡張機能は最大12本、選ばれた開発者には9月16日から順次通知するとのこと。なお、おすすめ拡張機能プログラムに選ばれている場合、既にPromoted Add-onsと同様の恩恵を受けているため、改めてサインアップする必要はないとのことだ。

フィッシング対策協議会は9日、インターネットサービスの認証方法に関するアンケート調査の結果を発表した（インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果、フィッシング対策協議会）。調査は02月28日～03月2日の約1か月の間、ネット上で行われたもので、回答者数は562名となっている。調査の目的としては、各種Webサービスの事業者が採用している認証方法についての利用状況の把握と、提供者側と利用者側の意識の違いなどを知るために行われたものだという。

よく利用するインターネットサービスに関する回答結果では、メールが65.3％、ニュースが60.9％、SNSが51.4％となっている。この中でも18～29歳ではSNSが79.3％と高い割合となっている。これらの若い世代に関しては、LINE、Facebook、TwitterといったSNSを利用したサービス認証の利用が77.5％と多くなっている。全体の平均では59.4％で、40～49歳になると59.6％、50～59歳になると46.4％にまで低下する。

各種Webサービスが「ログインしたままの状態」に設定できる場合、設定できると答えた人は、年齢全体では34.3％だったのに対して、18～29歳では49.5％と大幅に多いことが分かった。こちらに関しては30～30歳になると36.0％まで一気に下がり、それ以上の年代でもログインしたままの状態にしておく人の割合は低い。

ブラウザにパスワードを記録させることが多いかについては、こちらも18～29歳は46.8％、30～30歳も39.6％ほどと高めになっている。記憶力に自信がなくなってきていると思われる60～69歳の高齢層も39.3％と高めになっている。40～59歳の年代の人はこうした機能の利用に比較的抵抗があるようだ。

スマホの画面ロック方法については、パスコード方式が42.2％、指紋認証が34.7％、顔認証が23.1％、ロックしていないが23.1％となっており、顔認証や指紋認証についての質問に関しては、顔認証については18.9％の利用者は嫌っており、生体データをサービスへ預けることに嫌悪感を持っているとする回答もあったとしている。

ドコモ口座を悪用した不正引き落とし問題が大ごとになっている。当初は七十七銀行のみの問題とみられたが、全国の地方銀行でも同様の引き落としが発生していることが判明した。このため現在は35行すべてで連携が停止している。ドコモは再発防止策として本人確認を厳格化するとしている。（朝日新聞、共同通信t）。

当初ドコモ側は一部銀行の銀行口座登録などを行うことで対処していたが、最終的にはすべての提携金融機関でのサービス申込受付が停止されたなど対応が二転三転した。ただ10日の午前段階では、すでに口座連携済みのドコモ口座に関してはまだチャージが可能とされ、口座の持ち主が気がついておらず、発覚していない場合は引き落としが可能。このため被害拡大が収まったとはとても言えない状況だ。

今回の件の大きな問題は、ドコモのキャリア契約をしていなくてもドコモ口座のアカウントは作りたい放題だったこと、ドコモ口座を利用していないどころか携帯やスマホを持っていなくても、ドコモ口座の提携銀行に口座を持っていれば誰でも被害に遭う可能性がある点にある。このほか、去年の5月にもりそな銀行から同様の不正引き出しが起きていたとも報じられている（NHK、毎日新聞）。

当初の被害は地方銀行口座がほとんどだったが、今はゆうちょ銀行とイオン銀行などでも被害が報告されている（朝日新聞）。9日時点のITmediaによるドコモへの取材によると、被害にあった地方銀行に関してはいずれも『Web口振受付サービス』を使ってドコモ口座と連携していたそうだ。

このシステムの場合、ドコモ口座側から預金口座振替の新規登録が可能となっていた。つまりネットバンキング口座のないユーザーでも被害に遭う可能性がある。また、いずれも登録には口座番号と名義、4桁の暗証番号の3点を利用していたとも話しているとのこと。

これらの話や被害者などの発言などから、ネット上では4桁の暗証番号だけを固定して口座番号を総当たりするリバースブルートフォースとIPアドレスを変えて攻撃を気付かれにくくするパスワードスプレーが使われたのではないかという推測が出回っている模様。

また今回の被害について、ドコモに被害を通知しても無関係だと言われ、当初はドコモ側に信じてもらえない事例も複数発生していたようだ（NHK）。

ドコモは10日、被害者に全額補償する方向で銀行と協議を開始した模様（共同通信）。

headless 曰く、

特別に細工したWindowsのデスクトップテーマファイルを利用して、Windowsアカウントの認証情報を盗みとれる可能性が指摘されている(BleepingComputerの記事、 Neowinの記事、 発見者のツイート)。

細工の内容としては、デスクトップテーマで使用する背景画像などにログインの必要なリモートサーバー上のパスを指定するというものだ。攻撃者は自分の支配下にあるサーバーを指定することで、Windowsのログインユーザー名とパスワードハッシュ(NTLMハッシュ)を取得できる。BleepingComputerが2016年に実施したテストによると、弱いパスワードを使用している場合はNTLMハッシュから秒単位でパスワードを復号できたという。WindowsへのログインにMicrosoftアカウントを使用している場合は特に問題が大きい。

発見者はMicrosoftに報告しているが、仕様なので修正しないとの回答があったそうだ。そのため、発見者は拡張子「.theme」「.themepack」「.desktopthemepackfile (.deskthemepackの間違い)」の関連付け解除を推奨している。ただし、関連付けを解除すると新たなデスクトップテーマを追加できなくなる。一方、BleepingComputerではグループポリシーでリモートサーバーにNTLMトラフィックを送信しない設定(コンピューターの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプション→ネットワークセキュリティ: NTLMを制限する: リモートサーバーに対する送信NTLMトラフィック)にする方法を紹介している。こちらも万能ではなく、エンタープライズ環境で共有ファイルを使用する場合に問題が発生する可能性があるとのことだ。

Googleは2日、Chrome 85でSecure DNSをAndroid版Chromeでも利用可能にする計画を示した(Chromium Blogの記事、 Ghacksの記事、 Android Policeの記事)。

Secure DNSはDNS-over-HTTPS(DoH)プロトコルを利用するもので、デスクトップ版ではChrome 83から順次導入されている。Android版でも同様に順次導入されていき、デフォルトでは現在使用しているDNSプロバイダーがDoHをサポートしていれば自動で切り替えられる。自動モードの場合は状況に応じて通常のDNSにフォールバックし、定期的にDoHでの接続を試みるという。フォールバックなしでSecure DNSを使用するには、DNSプロバイダーをマニュアル設定するオプションを選択すればいい。Secure DNS自体をオフにすることも可能だ。

headless 曰く、

AppleはDeveloper IDで署名されたMac用ソフトウェアに対する「公証」の仕組みを用意しているが、この公証を受けたマルウェアによるアドウェアキャンペーンが確認されたそうだ(Objective See's Blogの記事、 Malwarebytes Labsの記事、 WIREDの記事、 The Vergeの記事)。

公証は審査ではなく、Appleが提出を受けたソフトウェアを自動的にスキャンしてセキュリティチェックを実行するというもので、数分で完了するという。公証済みソフトウェアにはチケットが添付され、Gatekeeperが認識できるようになる。macOS Mojave 10.14以降では公証済みソフトウェアを初めて実行する際にGatekeeperが既知のマルウェアでないことを表示するようになっている。macOS Catalina 10.15以降ではDeveloper IDで署名されたソフトウェアの実行に公証が必須となっており、今年2月には要件が厳格化された。

発見された公証済みマルウェアはFlash Playerアップデートに偽装するアドウェアOSX.Shlayerのバリアント。TwitterユーザーのPeter H. Dantini氏(@PokeCaptain)が発見し、元NSAハッカーでセキュリティ研究者のPatrick Wardle氏が詳細な調査結果を公表した。Wardle氏から報告を受けたAppleは署名に使われた開発者の証明書を8月28日に失効させているが、8月30日には別の公証済みマルウェアによるアドウェアキャンペーンが継続していることが確認されたという。Wardle氏の記事はここで終わっているが、Appleは後者の署名に使われた証明書も失効させたとWIREDに説明しているとのことだ。

あるAnonymous Coward 曰く、

情報処理推進機構（IPA）が8月27日、「脆弱性対処に向けた製品開発者向けガイド」というものを作ったそうだ。同様に一般消費者向けにもネット接続可能な製品を選ぶ上でのガイドや、製品を利用する上注意点をまとめたガイドについても公開している（脆弱性対処に向けた製品開発者向けガイド、ネット接続製品の安全な選定・利用ガイド -詳細版-）。

脆弱性対処に向けた製品開発者向けガイドでは、ネットに接続する機器の開発で、セキュリティ対策としてやるべき方向性などをチェックリスト化。中小規模の事業者でも脆弱性への対処をしやすくするためのもの。リストでは3段階のレベルが設定されており、レベルを段階的に上げていくことで、製品のセキュリティレベルをアップさせることができるとしている。ちなみに結構ざっくりとした内容だったりする。

例えば製品セキュリティポリシーのチェックリストを抜き出すとこんな感じだ。

製品セキュリティポリシーの策定

• レベル1 製品セキュリティに関する方針・考え方を、製品セキュリティポリシーとして策定します。
• レベル2 製品セキュリティに関する方針・考え方を、製品セキュリティポリシーとして策定し、外部に開示します。
• レベル3 製品セキュリティに関する方針・考え方に加え、実施事項を含めて製品セキュリティポリシーとして策定し、外部に開示します。

同じ日に一般消費者向けのネット対応製品購入時のガイドや、利用上の注意点をまとめたガイドを公開している。

製品選びをまとめた「デザインや性能、価格だけで選んでいませんか?」では、概要だけを求めた小冊子（PDF版）と詳細版（PDF版）の2種類が用意されている。詳細版ではチェック項目として、アップデート機能があるかどうかやセキュリティ関連の情報がメーカーの公式サイト上にあるかといった注意点などが記載されている。

利用上の注意をまとめた「購入した製品を、そのままの状態で使い続けていませんか?」でも小冊子（PDF版）と詳細版（PDF版）の2種類がある。こちらも詳細版によれば、購入時にデフォルトパスワードを変更することやアップデートの適用、サポートの終了時期のチェックなどを行うことを求めている。

headless 曰く、

MicrosoftがMicrosoft Edge 85以降を対象に、限定的ながらSHA-1証明書で保護された接続を許可できるようにするグループポリシーを追加していたようだ(Microsoft Edge - ポリシー、 Microsoft Tech Communityの記事、 The Registerの記事、 ビジネス向けEdge ダウンロードページ)。

SHA-1証明書で保護された接続が許可される条件となるのは、ローカルにインストールされたルート証明書にチェーンした有効なSHA-1証明書であること。ポリシーは既存のアプリケーションとの互換性を保つためにSHA-1証明書を必要とする企業のために追加されたといい、Active Directoryドメインに参加しているWindowsインスタンスやデバイス管理に登録されているWindows 10 Pro/Enterpriseインスタンス、MDMを使用するmacOSインスタンスのみが利用できる。

Internet Explorer 11とレガシーMicrosoft Edgeでは2017年からSHA-1証明書をブロックしており、新ポリシーは追加時点で非推奨という珍しいことになっている。MicrosoftではSHA-1チェーンが安全ではないことを周知するためにポリシーをセキュリティベースラインに追加しており、一刻も早くSHA-1証明書への依存から脱却するよう呼びかけている。このポリシーは2021年中頃リリースのMicrosoft Edge 92で削除される予定とのことだ。

Internet Archiveからnote関連のキャッシュがまるごと消えてしまったそうだ（5ちゃんねるの書き込み）。新たな登録もできないという。noteの以前のドメインであるnote.muに関しても完全にブロックされているとのこと。

5ちゃんねるのInternet Archive総合スレの書き込みによると、8月上旬まではnote.comドメインのキャッシュが共有されていたという。8月に発生したnoteのIPアドレス流出事故の後に対処されたのではないかとしている。実際にnote.comのrobots.txtを見るとInternet Archiveとウェブ魚拓のクロールを拒否する記述がされている。

あるAnonymous Coward 曰く、

またこれで保存できなくなって2020年代のインターネットの歴史に空白が生まれましたとさ

情報元へのリンク

あるAnonymous Coward 曰く、

新型コロナウイルスの影響でテレワーカーが増加しているが、米国ではそのテレワーカーを狙ったビッシングキャンペーンと呼ばれる詐欺が7月から増えているそうだ（FBI[PDF]、マイナビ）。

この手法では、社内向けのVPNのログインページに似せたフィッシングサイトを作成する。SNS上のプロフィールなどを使って企業のヘルプデスクであるかのように装い、電話を使用してターゲットとなる人物に連絡を取る。ターゲットに対してVPNリンクを送信してログインさせる。このとき偽のVPNサイトにはSSLや二要素認証なども使用することで相手を信用させる工夫がされているとのこと。

FBIは対策として、ハードウェアを使用してVPN接続可能な機器を制限できるようにしたり、VPNへのアクセスを許可された時間以外は制限する、ドメイン監視を行うなどの対策を行うことを推奨している。

日経新聞の記事によれば、国内の38社が不正アクセスを受け、テレワークで使用されていたVPN接続用のパスワードなど流出した可能性があるそうだ。今回VPNの情報が流出した企業は、米パルスセキュアのVPNサービスを使っていたという（日経新聞）。

内閣サイバーセキュリティセンター（NISC）によると、8月中旬ごろにダークウェブで、900者を超える世界中の企業のVPN情報がやり取りされているのが判明したとしている。NISCがこのデータを調査したところ、日本企業38社が含まれていることが分かった模様。

先の記事によれば販売リストには、日立化成や住友林業、ゼンショーホールディングス、オンキヨー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があったとしている。今後、この38社を踏み台にして取引先などへの不正アクセスが行われる可能性があると指摘されている。

大元の記事は8月11日と旧聞に類する話題であるようだが、中国政府の支援でパプアニューギニアに設置されたデータセンターに不具合があったという（piyolog、 読売新聞、Capacity、大紀元）。

この脆弱性に関しては、オーストラリアのオーストラリア戦略政策研究所（ASPI）の調査で判明したとしている。この設備はパプアニューギニアの政府文書を保管するもので、施設の整備はファーウェイが行っていたという。確認された不具合は「外部からシステムに侵入できる不備」が存在した点。

具体的には、暗号化ソフトウエアがセンターが稼働する2年前の2016年にすでに失効した古いものであったこと、コファイアウォールの設計に問題があり、リモートアクセスを検出する能力がないなどの問題があったという。また資金不足のためこのデータセンターはほとんどメンテナンスされておらず、ソフトウェアのライセンス切れやバッテリーが交換されていないなどの問題が起きているそうだ。

今回のASPIによる調査書は、データセンターにあるパプアニューギニア政府のファイルが盗まれる可能性を示唆しており、これが中国政府のスパイ活動の一端であると指摘している。

headless 曰く、

Teslaが車内への子供置き去り検出システムなどでの使用を目的として、基準より高出力での短距離ミリ波レーダー使用許可を米連邦通信委員会(FCC)に申請している(申請書類: PDF、 The Vergeの記事、 Reutersの記事、 SlashGearの記事)。

ミリ波レーダーによる幼児置き去り検知機能の開発が進んでいることは以前にも話題となったが、Teslaの開発しているシステムも60GHz帯のミリ波レーダーを用い、モーションセンシング技術によりカメラやシート内センサーよりも正確に乗客を検知できる。しかし、Teslaによると米国で規定されている最大出力では十分な効果が得られないのだという。

FCCではGoogleがPixel 4に搭載したSoliレーダーなど、基準値を上回る近距離ミリ波レーダーについて、法規の適用を免除している。FCCのOffice of Engineering and Technology(OET)は過去に認可したものと同様の免除申請(me too申請)の場合は意見募集などを行わずに認可する権限を持っており、TeslaではOETの権限で迅速に認可するよう求めている。

Teslaが申請しているミリ波レーダーの用途は子供置き去り検出だけでなく、乗客の位置や体形に応じた最適なエアバッグ展開やシートベルトリマインダー、盗難防止システムの強化にも使われる。ミリ波レーダーの出力は車内に向けられるが、車両周辺についても最大2mまでスキャン可能とのことだ。