ドイツ・デュッセルドルフで大学病院のシステムがランサムウェアによる攻撃を受けて救急患者を受け入れられなくなり、遠くの病院へ搬送されることになった78歳の女性患者が死亡した件について、ケルンの検察が過失致死容疑での捜査を開始したそうだ(APの記事、 Kölner Stadt-Anzeigerの記事、 HackReadの記事、 The Registerの記事、 デュッセルドルフ大学病院のプレスリリース)。

このランサムウェアが表示するランサムメッセージの宛先はデュッセルドルフ大学(ハインリッヒハイネ大学)になっており、誤ってデュッセルドルフ大学病院を攻撃してしまったようだ。ランサムウェア攻撃者の中には医療機関を攻撃しないと明言している者もいるが、この攻撃者も地元警察から連絡を受けて攻撃を中止し、復号鍵を提供している。しかし、死亡した女性が救急搬送されてきた11日深夜の時点でシステムは復旧しておらず、約30km離れたブッパータールの病院に搬送されることになる。これにより処置が1時間ほど遅れ、病院到着後しばらくして女性は死亡した。医療機関へのランサムウェア攻撃により救急患者が別の医療機関へ搬送されるのは今回が初めてではないが、ランサムウェア攻撃の直接的・間接的な結果として死者が出るのは初とみられる。

ケルンの検察官は当初、恐喝やコンピューター破壊容疑で捜査していたが、過失致死容疑が十分に成立すると判断したそうだ。ただし、女性が死亡した当時の状況がまだ完全には明らかになっていないことを強調したとのこと。なお、攻撃者は復号鍵の提供後、連絡が取れなくなっている。また、ランサムウェアが悪用した脆弱性はCitrix ADP/Gateway/SD-WAN WANOPアプライアンスで見つかった任意コード実行の脆弱性(CVE-2019-19781)で、1月に修正済みビルドがリリースされている。

複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している（高木浩光＠自宅（テレワークを除く）の日記）。

同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。

編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。

なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。

ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。

通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ（TechCrunch）。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ（Togetter）。

ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。

なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。

高市早苗総務大臣は9月15日の記者会見で、ゆうちょ銀行からドコモ口座を含む6つの決済サービスから不正な預金引き出しが起きていたと発表した（高市総務大臣記者会見[該当部分は7分12秒あたりから]、ITmedia、ケータイ Watch）。

これは11日に行ったゆうちょ銀行からのヒアリングで判明したという。ゆうちょ銀行が即時口座振替（銀行口座連携）を提供している12の決済サービスのうち、6サービスで不正出金が確認されたとしている。ゆうちょ銀行側は被害が発生したサービスについては現在調査中であるとして、どのサービスで不正出金が起きたのかは公開していない。

なお、ITmediaによるとゆうちょ銀行が提供している12の決済サービスは以下の通り。このうちドコモ口座とKyashに関しては新規の口座振替の申し込みを停止しているという。Kyashは不正な貯金の引き出しがあったかは現在調査中という（日経新聞）。

• 支払秘書（ウェルネット）
• ドコモ口座（NTTドコモ）
• Kyash
• PayB（ビリングシステム）
• FamiPay（ファミマデジタルワン）
• pring
• PayPal
• PayPay
• メルペイ
• ゆめか（ゆめカード）
• LINE Pay
• 楽天Edy

高市総務大臣は、ユーザーに対して記帳などをして不審な出金がないか確認するよう求めている。ただしこれはゆうちょ銀行に限らずだが、未記帳件数が一定行を超えると、取引額がまとめて表示され合算されてしまう仕様がある。ドコモ口座問題でこの仕様により、不正取引が見つけにくくなっているという指摘が出ている（Togetter、ゆうちょ銀行「お取引履歴（通帳未記帳分）のご案内」の送付廃止）。

例えば「イッカツ＋合算された期間の取引金額」といった表示パターンだ。このため、記帳だけでなく、取引がまとめて合算表示されている部分に関しては、記載が抜け部分の履歴に関しても、銀行の窓口で発行しないと完全に確認できない場合があるので注意したい。

h-harry 曰く、

日本電子決済推進機構が推進しているQRコード決済「Bank Pay」にa href="https://security.srad.jp/story/20/09/09/2032247/">ドコモ口座と同じ問題が見つかり現在新規受け付けを停止している(日本電子決済推進機構[PDF]、読売新聞)。

「Bank Pay」もメールアドレスだけで新規アカウント作成が可能で、一部金融機関の口座と紐付けで本人確認が不十分だったようだ。現在、セキュリティー強化の為に「SMS 認証の導入」、「 eKYC の導入検討」、「不正取引モニタリングの高度化」など行っているようだ。

日本電子決済推進機構によると、14日時点ではBank Payを利用した不正取引は発生していないという。仮に不正取引があった場合でも不正取引で発生した損害に関しては全額補償するとしている。Bank Payの利用者数は14日時点でおよそ1万1000人だとしている。

野村証券は10日、元社員によって同社の顧客の取引情報が、競合他社である日本インスティテューショナル証券に流出していたと発表した（野村証券、Bloomberg、日経新聞）。

流出件数は法人顧客275社分の情報だという。野村証券と取引がある金融機関の上場投資信託（ETF）の取引状況などの情報が、今年の1～7月までの期間に複数回に渡って流出したことが分かっている。流出経路についても判明しており、野村證券にいた部長が元部下2名に情報を与えていたとされる。野村証券は法的措置を含めた対応も検討するとしている。

野村証券と日本インスティテューショナル証券は、情報の二次流出等は確認されていないとしている。

headless 曰く、

米ルイジアナ州第4司法管轄区裁判所(州地裁)のWebサイト(www.4jdc.com)がランサムウェアの被害にあったようだ(HackReadの記事、 Computer Business Reviewの記事、 Infosecurity Magazineの記事)。

州地裁サイトから盗み出されたとみられる裁判所文書は、ランサムウェア「Conti」を運用するハッキンググループがダークWebのリークサイトで公開している。州地裁サイトは現在ダウンしているが、マルウェアの攻撃を受けてダウンしたのか、サイト管理者が用心のためオフラインにしたのかは不明だ。また、関連は不明だがルイジアナ州最高裁のWebサイト(www.lasc.org)もダウンしている。なお、州地裁の管轄下であるワシタ郡の法廷書記官Webサイトでは特に何も触れられていない。

Contiは昨年12月に初めて検出されて以来、企業や公共機関に被害を広げている。ターゲットのネットワークに侵入するとさまざまな手口でドメイン管理者の認証情報を取得し、ネットワーク内のデバイスにランサムウェアを展開していくという。Contiが表示するランサムメッセージはランサムウェアRyukと共通しており、Ryukと同じグループが運営しているとみられる。

裁判所がランサムウェア被害にあった例は過去にもあるが、Emsisoftによれば裁判所文書が流出・公開されるのは初めてとのことだ。

Googleが「Playストア」アプリのアプリ管理画面を刷新し、アプリのAPKファイルを近くのAndroidデバイスとオフラインでピアツーピア(P2P)共有する機能の搭載を進めているようだ(9to5Googleの記事、 Neowinの記事、 Android Policeの記事)。

新機能は9to5Googleが最新版のPlayストアアプリをデコンパイルして発見したものだ。9to5Googleは隠されているアプリ管理画面を有効化し、実際に操作を試している。ただしGoogleが正式に発表したものではないため変更の可能性もあり、一般提供時期も不明だ。

現在のアプリ管理画面(マイアプリ＆ゲーム)には「アップデート」「インストール済み」「ライブラリ」という3つのタブ(ベータプログラム参加アプリがある場合は「ベータ版 」タブも)があり、それぞれのタブを選択して操作を行う。新しいアプリ管理画面は「Manage apps & device」という名前になっており、タブは「Overview」「Manage」の2つのみ。「Manage」タブにはアプリが一覧表示され、インストール済み・未インストール・アップデート利用可能などのフィルターオプションが用意されている。

操作はチェックボックスでアプリを選択し、オーバーフローメニューから操作を選択するというもので、「Share」を選択するとアプリのP2P共有が可能になる。相手は「Overview」タブの「Share apps」で「Receive」をクリックすれば受信できるようだ。通信コストの高い地域や通信速度の遅い地域ではAndroidアプリをインストールするため、APKファイルを共有することも多い。Googleは安全にアプリを共有する機能としてP2P共有を2018年から提供しており、「SHAREit」や「Files by Google」などのアプリが対応している。

セキュリティソフトウェアBitdefenderがWindows 10の累積更新プログラムをマルウェアとしてブロックするトラブルが発生したそうだ(The Bitdefender Expert Communityのスレッド、 Bleeping Computer Technical Support Forumのスレッド、 Techdowsの記事、 Softpediaの記事)。

ブロックされたのは9月の月例更新で提供されたWindows 10 バージョン1903/1909の累積更新プログラム(KB4574727、ビルド18362.1082/18363.1082)。BitdefenderのExpert Communityフォーラムでの報告によると、KB4574727のCABファイルがTrojan.Ciusky.Gen.13として検出され、ブロックされたという。また、TiWorker.exe(ビルド18363.1073)もランサムウェア様の挙動がみられるとしてブロックされたとのこと。一方、Bleeping Computerのフォーラム投稿によると、CABファイルはブロック後も元の場所から移動されていなかったそうだ。

この動作は誤検知とみられていたものの、Bitdefender側の見解が出ないまま2日間放置されていたが、11日になって誤検知を修正したことが報告された。Bitdefenderが無害なファイルをTrojan.Ciusky.Gen.13として誤検知する問題は過去にも繰り返し発生しているようだ。

Mozillaは9日、拡張機能開発者が料金を支払ってaddons.mozilla.org(AMO)で拡張機能を宣伝できるようにする「Promoted Add-ons」のパイロットプログラム開始を発表した(Mozilla Add-ons Blogの記事、 Ghacksの記事)。

Mozillaは厳選した拡張機能を定期的に厳しくレビューして「おすすめ」バッジを表示する「おすすめ拡張機能」プログラムを昨年開始しているが、コスト面から対象の拡大は難しいという。その一方で、おすすめ拡張機能プログラムが有料でも参加したいという開発者もいることから、Promoted Add-onsを考案したようだ。Promoted Add-onsに参加した拡張機能は厳しいレビューを経て「Verified」バッジが表示されるようになる。追加料金を支払うとAMOホームページの「Sponsored extensions」セクションに表示することも可能となる。

パイロットプログラムは9月末～11月末まで実施され、少数の開発者に無料で提供される。参加したい開発者はサインアップが必要だ。参加するには拡張機能が現在AMOに登録されており、米国・カナダ・ニュージーランド・オーストラリア・英国・マレーシア・シンガポールのいずれかの国に住んでいる必要がある。これらは本格導入の際にMozillaが料金を受け取り可能な国だという。ただし、Mozillaはプログラム対象国の拡大を模索しており、これらの国以外に在住する開発者もサインアップすればウェイティングリストに登録することができる。

レビューする人員の関係でパイロットプログラムに参加可能な拡張機能は最大12本、選ばれた開発者には9月16日から順次通知するとのこと。なお、おすすめ拡張機能プログラムに選ばれている場合、既にPromoted Add-onsと同様の恩恵を受けているため、改めてサインアップする必要はないとのことだ。

フィッシング対策協議会は9日、インターネットサービスの認証方法に関するアンケート調査の結果を発表した（インターネットサービス利用者に対する「認証方法」に関するアンケート調査結果、フィッシング対策協議会）。調査は02月28日～03月2日の約1か月の間、ネット上で行われたもので、回答者数は562名となっている。調査の目的としては、各種Webサービスの事業者が採用している認証方法についての利用状況の把握と、提供者側と利用者側の意識の違いなどを知るために行われたものだという。

よく利用するインターネットサービスに関する回答結果では、メールが65.3％、ニュースが60.9％、SNSが51.4％となっている。この中でも18～29歳ではSNSが79.3％と高い割合となっている。これらの若い世代に関しては、LINE、Facebook、TwitterといったSNSを利用したサービス認証の利用が77.5％と多くなっている。全体の平均では59.4％で、40～49歳になると59.6％、50～59歳になると46.4％にまで低下する。

各種Webサービスが「ログインしたままの状態」に設定できる場合、設定できると答えた人は、年齢全体では34.3％だったのに対して、18～29歳では49.5％と大幅に多いことが分かった。こちらに関しては30～30歳になると36.0％まで一気に下がり、それ以上の年代でもログインしたままの状態にしておく人の割合は低い。

ブラウザにパスワードを記録させることが多いかについては、こちらも18～29歳は46.8％、30～30歳も39.6％ほどと高めになっている。記憶力に自信がなくなってきていると思われる60～69歳の高齢層も39.3％と高めになっている。40～59歳の年代の人はこうした機能の利用に比較的抵抗があるようだ。

スマホの画面ロック方法については、パスコード方式が42.2％、指紋認証が34.7％、顔認証が23.1％、ロックしていないが23.1％となっており、顔認証や指紋認証についての質問に関しては、顔認証については18.9％の利用者は嫌っており、生体データをサービスへ預けることに嫌悪感を持っているとする回答もあったとしている。

ドコモ口座を悪用した不正引き落とし問題が大ごとになっている。当初は七十七銀行のみの問題とみられたが、全国の地方銀行でも同様の引き落としが発生していることが判明した。このため現在は35行すべてで連携が停止している。ドコモは再発防止策として本人確認を厳格化するとしている。（朝日新聞、共同通信t）。

当初ドコモ側は一部銀行の銀行口座登録などを行うことで対処していたが、最終的にはすべての提携金融機関でのサービス申込受付が停止されたなど対応が二転三転した。ただ10日の午前段階では、すでに口座連携済みのドコモ口座に関してはまだチャージが可能とされ、口座の持ち主が気がついておらず、発覚していない場合は引き落としが可能。このため被害拡大が収まったとはとても言えない状況だ。

今回の件の大きな問題は、ドコモのキャリア契約をしていなくてもドコモ口座のアカウントは作りたい放題だったこと、ドコモ口座を利用していないどころか携帯やスマホを持っていなくても、ドコモ口座の提携銀行に口座を持っていれば誰でも被害に遭う可能性がある点にある。このほか、去年の5月にもりそな銀行から同様の不正引き出しが起きていたとも報じられている（NHK、毎日新聞）。

当初の被害は地方銀行口座がほとんどだったが、今はゆうちょ銀行とイオン銀行などでも被害が報告されている（朝日新聞）。9日時点のITmediaによるドコモへの取材によると、被害にあった地方銀行に関してはいずれも『Web口振受付サービス』を使ってドコモ口座と連携していたそうだ。

このシステムの場合、ドコモ口座側から預金口座振替の新規登録が可能となっていた。つまりネットバンキング口座のないユーザーでも被害に遭う可能性がある。また、いずれも登録には口座番号と名義、4桁の暗証番号の3点を利用していたとも話しているとのこと。

これらの話や被害者などの発言などから、ネット上では4桁の暗証番号だけを固定して口座番号を総当たりするリバースブルートフォースとIPアドレスを変えて攻撃を気付かれにくくするパスワードスプレーが使われたのではないかという推測が出回っている模様。

また今回の被害について、ドコモに被害を通知しても無関係だと言われ、当初はドコモ側に信じてもらえない事例も複数発生していたようだ（NHK）。

ドコモは10日、被害者に全額補償する方向で銀行と協議を開始した模様（共同通信）。

headless 曰く、

特別に細工したWindowsのデスクトップテーマファイルを利用して、Windowsアカウントの認証情報を盗みとれる可能性が指摘されている(BleepingComputerの記事、 Neowinの記事、 発見者のツイート)。

細工の内容としては、デスクトップテーマで使用する背景画像などにログインの必要なリモートサーバー上のパスを指定するというものだ。攻撃者は自分の支配下にあるサーバーを指定することで、Windowsのログインユーザー名とパスワードハッシュ(NTLMハッシュ)を取得できる。BleepingComputerが2016年に実施したテストによると、弱いパスワードを使用している場合はNTLMハッシュから秒単位でパスワードを復号できたという。WindowsへのログインにMicrosoftアカウントを使用している場合は特に問題が大きい。

発見者はMicrosoftに報告しているが、仕様なので修正しないとの回答があったそうだ。そのため、発見者は拡張子「.theme」「.themepack」「.desktopthemepackfile (.deskthemepackの間違い)」の関連付け解除を推奨している。ただし、関連付けを解除すると新たなデスクトップテーマを追加できなくなる。一方、BleepingComputerではグループポリシーでリモートサーバーにNTLMトラフィックを送信しない設定(コンピューターの構成→Windowsの設定→セキュリティの設定→ローカルポリシー→セキュリティオプション→ネットワークセキュリティ: NTLMを制限する: リモートサーバーに対する送信NTLMトラフィック)にする方法を紹介している。こちらも万能ではなく、エンタープライズ環境で共有ファイルを使用する場合に問題が発生する可能性があるとのことだ。

Googleは2日、Chrome 85でSecure DNSをAndroid版Chromeでも利用可能にする計画を示した(Chromium Blogの記事、 Ghacksの記事、 Android Policeの記事)。

Secure DNSはDNS-over-HTTPS(DoH)プロトコルを利用するもので、デスクトップ版ではChrome 83から順次導入されている。Android版でも同様に順次導入されていき、デフォルトでは現在使用しているDNSプロバイダーがDoHをサポートしていれば自動で切り替えられる。自動モードの場合は状況に応じて通常のDNSにフォールバックし、定期的にDoHでの接続を試みるという。フォールバックなしでSecure DNSを使用するには、DNSプロバイダーをマニュアル設定するオプションを選択すればいい。Secure DNS自体をオフにすることも可能だ。

headless 曰く、

AppleはDeveloper IDで署名されたMac用ソフトウェアに対する「公証」の仕組みを用意しているが、この公証を受けたマルウェアによるアドウェアキャンペーンが確認されたそうだ(Objective See's Blogの記事、 Malwarebytes Labsの記事、 WIREDの記事、 The Vergeの記事)。

公証は審査ではなく、Appleが提出を受けたソフトウェアを自動的にスキャンしてセキュリティチェックを実行するというもので、数分で完了するという。公証済みソフトウェアにはチケットが添付され、Gatekeeperが認識できるようになる。macOS Mojave 10.14以降では公証済みソフトウェアを初めて実行する際にGatekeeperが既知のマルウェアでないことを表示するようになっている。macOS Catalina 10.15以降ではDeveloper IDで署名されたソフトウェアの実行に公証が必須となっており、今年2月には要件が厳格化された。

発見された公証済みマルウェアはFlash Playerアップデートに偽装するアドウェアOSX.Shlayerのバリアント。TwitterユーザーのPeter H. Dantini氏(@PokeCaptain)が発見し、元NSAハッカーでセキュリティ研究者のPatrick Wardle氏が詳細な調査結果を公表した。Wardle氏から報告を受けたAppleは署名に使われた開発者の証明書を8月28日に失効させているが、8月30日には別の公証済みマルウェアによるアドウェアキャンペーンが継続していることが確認されたという。Wardle氏の記事はここで終わっているが、Appleは後者の署名に使われた証明書も失効させたとWIREDに説明しているとのことだ。