Googleは2日、Android OEM特有のセキュリティ問題に対応する「Android Partner Vulnerability Initiative (APVI)」の開始を発表した(Android Developers Blogの記事、 9to5Googleの記事、 Monorail - apvi)。

GoogleはAndroid OSやAndroidアプリに関する脆弱性報告報奨金プログラムを行っており、報告されたAndroid Open Source Project (AOSP)ベースのコードに関する問題はAndroidのセキュリティに関する公開情報(ASB)を通じて開示している。一方、個別のAndroid OEMによるAOSP外のコードで見つかった問題に対処する明確な手段は最近まで用意されていなかった。

APVIはそのギャップを埋めるものであり、Googleが発見した問題の修正をOEMパートナーに促し、ユーザーに透明性を提供するものだという。APVIの取り組みは1年以上前から進められていたようで、既に8件の問題が修正されている。

headless 曰く、

NASAとロスコスモスは9月29日、国際宇宙ステーション(ISS)で標準よりも若干高いレートで空気漏れが発生している問題について、空気漏れしているモジュールを特定したと発表した(NASAのブログ記事、 ロスコスモスのニュース記事)。

ISSでは昨年9月から標準よりも若干高いレートでの空気漏れが確認されており、今年8月と9月に全ハッチを閉じて調査が行われていた。8月の調査では米国側の米国・欧州・日本のモジュールで空気漏れチェックが行われ、9月はロシア側モジュールで空気漏れチェックが行われたようだ。クルーは次々とハッチを閉じて超音波リーク検出装置によるデータ収集を行い、データは米国とロシアの専門家により分析された。

その結果、空気漏れしているのはズヴェズダサービスモジュールであることが判明する。ロスコスモスによると8時間に1㎜(ママ)の速さで気圧が低下しているが、クルーやミッションに危険がおよぶことはないとのこと。現在、空気漏れ位置を特定するための調査が行われているそうだ。なお、2回の調査はともに、第63次長期滞在クルー3名がズヴェズダサービスモジュールに滞在して行われていた。

日本政府は、2021年度から政府が購入するドローンのセキュリティ対策を強化するという（毎日新聞、ビバ! ドローン）。

ドローンによって収集されたデータが、外部に盗み取られるのを防ぐため、2021年度から政府機関・全省庁、すべての独立行政法人がドローンを購入する際、内閣官房に計画書を提出した上で審査を受ける必要があるとしている。これにより、中国製ドローンの新規購入が実質的に禁止されたとしている。

安全保障に関わるもの、犯罪捜査、発電所や鉄道などの重要インフラの点検、人命救助といった分野で使用されるドローンに関しては、計画書の提出が必須になるという。また関連業務を外部に委託する場合も、セキュリティ対策を施されたドローンを使用する必要があるとしている。

ドローンに関しては現在、中国製がシェアの7割を占めているとされる。しかし、国をあげて国産ドローンの開発を進め、保有済みのドローンも1～2年内にこうした国産品などに置き換えていく方針だとしている。米国でも中国製ドローンの使用が禁止されており、日本の米国の動きに歩調を合わせたものとみられる（TechCrunch）。

あるAnonymous Coward 曰く、

「全省庁、すべての独立行政法人が対象」だそうな。

情報元へのリンク

国際宇宙ステーション(ISS)の空気漏れについて、再び調査が行われている(NASAのブログ記事、 ロスコスモスのニュース記事)。

与圧されているISSで微量の空気漏れが発生するのは異常ではないが、現在は標準よりも若干高いレートになっている。8月に全ハッチを閉じて各モジュールの気圧変化の調査が行われたものの、原因は特定できなかったようだ。現在ISSに滞在中の第63次長期滞在クルー3名は8月と同様、ロシア側の居住棟ズヴェズダサービスモジュールに金曜日夜から月曜日朝まで滞在する。今回も全ハッチを閉じてミッションコントロールが各モジュールの気圧変化を調べ、空気漏れ増加の原因となっている場所の特定を試みる。ロスコスモスの発表によれば、クルーはロシア側にドッキングしている有人宇宙船ソユーズMS-16やプログレス補給船を含め、ロシア側モジュールのほとんどにアクセスできるようだ。

Microsoftは24日、Netlogonの特権昇格の脆弱性(CVE-2020-1472、Zerologon脆弱性)に対する活発な攻撃が確認されているとして注意喚起した(Microsoft Security Intelligenceのツイート、 Ars Technicaの記事、 The Registerの記事、 BetaNewsの記事)。

この脆弱性はMicrosoft Netlogon Remote Protocol(MS-NRPC)の安全なRPCを使用しないNetlogonセキュアチャネル接続に存在し、Windows Serverでは8月の月例更新で修正されている。脆弱性の深刻度を示すCVSSスコアは最も高い10.0となっており、米国土安全保障省のCybersecurity & Infrastructure Security Agency(CISA)は政府機関に対して8月の月例更新プログラムを適用するよう命じる緊急指令20-04を発出しているが、これまでMicrosoftは悪用の可能性が低いと評価していた。今回の注意喚起も一連のツイートはMicrosoft 365の宣伝のような感じになっている。

なお、Zerologon脆弱性はプロトコルレベルの脆弱性であり、MS-NRPCを実装するSambaも影響を受ける。ただし、影響を受けるのはドメインコントローラーとして使用する場合で、ファイルサーバーとしてのみ使用する場合は直接的な影響を受けない。また、2018年3月リリースのSamba 4.8以降ではデフォルトで安全なRPCの使用が強制されるため、smb.confで「server schannel = auto」または「server schannel = no」が指定されていない限り影響を受けない。一方、Samba 4.7までのバージョンはsmb.confに「server schannel = yes」を指定しなければ影響を受けるとのことだ。

流出したWindows XP/Server 2003のソースコードとされるものがオンラインで出回っているそうだ(The Vergeの記事、 BleepingComputerの記事、 Neowinの記事、 BetaNewsの記事)。

複数のファイル共有サイトで公開されているというtorrentファイルにはWindows XP/Server 2003のほか、過去に流出が報じられたWindows NT 4.0/2000のソースコードやXbox/Windows NT 3.5のソースコード、Windows 10 Shared Source Kitなども含まれており、合計サイズは43GBだという。また、ビル・ゲイツ氏に関する陰謀論の動画も含まれており、偽情報の拡散が目的とも指摘されている。アップローダーとされる4chanユーザーは数年前からハッカーの間で流通していたファイルをまとめたものだと述べているとのこと。

BleepingComputerによれば、別途Windows XP/Server 2003のソースコードのみを含む2.9GBの7zファイルも流通しているようだ。BleepingComputerではソースコードを見ても本物かどうかは確認できなかったと述べているが、The Vergeは本物だと確認したという。ただし、本物と断定する根拠については示されていない。Microsoftでは報じられた内容について承知しており、調査を行っているとのことだ。

headless 曰く、

米国土安全保障省(DHS)のCybersecurity & Infrastructure Security Agency(CISA)は18日、政府機関で使用するWindows Serverに8月の月例更新プログラムを適用するよう命じる緊急指令20-04を発出した(SlashGearの記事、 The Registerの記事、 Ars Technicaの記事)。

8月の月例更新プログラムではNetlogonの特権の昇格の脆弱性(CVE-2020-1472)が修正されている。この脆弱性はMicrosoft Netlogon Remote Protocol(MS-NRPC)に存在し、攻撃者はこの脆弱性を悪用してドメインコントローラーに接続することで、特別に細工したアプリケーションをネットワーク上のデバイスで実行できる可能性がある。

Microsoftではこの脆弱性が悪用される可能性が低いと評価しているが、CISAでは攻撃に利用可能なエクスプロイトコードが出回っていること、脆弱性のあるドメインコントローラーが政府機関で幅広く使われていること、攻撃が成功した場合の影響が重大であること、更新プログラム適用が進んでいないことなどを理由に緊急指令が必要と判断したという。

緊急指令の対象となるのは国防総省と中央情報局(CIA)、国家情報局を除く政府機関で、東部時間21日23時59分までにドメインコントローラーとして機能するすべてのWindows Serverへ更新プログラムを適用し、適用不可能なバージョンはネットワークから切断すること、東部時間23日23時59分までに完了報告書を提出することなどを命じている。

CISAでは7月にもWindows Serverへの更新プログラム適用を命じる緊急指令を発出している。

headless 曰く、

米ニューヨーク南部地区連邦検事局は17日、サイバー詐欺防止サービスを提供する企業NS8 Inc.の元CEOを詐欺罪で逮捕・起訴したことを発表した(プレスリリース、 米証券取引委員会のプレスリリース、 NS8のプレスリリース、 The Registerの記事、 HackReadの記事)。

元CEOはNS8の共同創業者かつ取締役で、CFOも務めていたが、今回の問題が発覚後に健康上の理由で辞職した。NS8の銀行口座を預かっていた元CEOは銀行取引記録を改変し、存在しない売り上げや銀行残高それぞれ数千万ドルが存在すると財務部門に思わせていたという。NS8は2019年秋と2020年春の資金調達ラウンドでシリーズA優先株を発行して1億2,300万ドルを調達しているが、2019年1月から2020年2月までの期間にNS8のバランスシートに記載されていた資産の40%～95%は架空であり、銀行取引記録には4,000万ドルが記載されていたそうだ。資金調達終了後に実施した株式公開買い付けで。元CEOは個人的におよそ1,750万ドルを得ていたとのこと。連邦検事局は元CEOを証券詐欺など3件で起訴している。

Twitterで一部の銀行がハッカーに優しい仕様だとして話題になっていたようだ。イオン銀行やローソン銀行では、ユーザーの誕生月別に支店名が振り分けられる仕様であることから、支店名から名義人の誕生月が特定可能となる（発端となったriron博士のツイート、INTERNET Watch、イオン銀行、ローソン）。

先日のリバースブルートフォース攻撃で狙われやすい暗証番号の話でもあったように、生年月日を暗証番号を例にしているユーザーはとても多く1～31日の日付、いや月によってはもっと少ない数字だけの調査で「当たり」暗証番号を引く可能性はとても高い。つまり攻撃者にとって、攻めやすいとても親切な銀行というなる。

なお誕生月別よりは安全だと思われるが、セブン銀行も支店名から口座開設月の特定が可能となっているとのこと（セブン銀行）。

ドイツ・デュッセルドルフで大学病院のシステムがランサムウェアによる攻撃を受けて救急患者を受け入れられなくなり、遠くの病院へ搬送されることになった78歳の女性患者が死亡した件について、ケルンの検察が過失致死容疑での捜査を開始したそうだ(APの記事、 Kölner Stadt-Anzeigerの記事、 HackReadの記事、 The Registerの記事、 デュッセルドルフ大学病院のプレスリリース)。

このランサムウェアが表示するランサムメッセージの宛先はデュッセルドルフ大学(ハインリッヒハイネ大学)になっており、誤ってデュッセルドルフ大学病院を攻撃してしまったようだ。ランサムウェア攻撃者の中には医療機関を攻撃しないと明言している者もいるが、この攻撃者も地元警察から連絡を受けて攻撃を中止し、復号鍵を提供している。しかし、死亡した女性が救急搬送されてきた11日深夜の時点でシステムは復旧しておらず、約30km離れたブッパータールの病院に搬送されることになる。これにより処置が1時間ほど遅れ、病院到着後しばらくして女性は死亡した。医療機関へのランサムウェア攻撃により救急患者が別の医療機関へ搬送されるのは今回が初めてではないが、ランサムウェア攻撃の直接的・間接的な結果として死者が出るのは初とみられる。

ケルンの検察官は当初、恐喝やコンピューター破壊容疑で捜査していたが、過失致死容疑が十分に成立すると判断したそうだ。ただし、女性が死亡した当時の状況がまだ完全には明らかになっていないことを強調したとのこと。なお、攻撃者は復号鍵の提供後、連絡が取れなくなっている。また、ランサムウェアが悪用した脆弱性はCitrix ADP/Gateway/SD-WAN WANOPアプライアンスで見つかった任意コード実行の脆弱性(CVE-2019-19781)で、1月に修正済みビルドがリリースされている。

複数の銀行やサービスで発生している不正引き出し事件だが、セキュリティ研究家の高木浩光氏は、インターネットバンキングの普及でだいぶ影の薄くなっているテレフォンバンキングでも、先の不正引き出し事件同様にリバースブルートフォース攻撃によるハッキングの危険性があると指摘している（高木浩光＠自宅（テレワークを除く）の日記）。

同氏はこの問題を指摘するために、三井住友銀行のコールセンターに電話したという。その流れ自体は複雑な上にとても長いので割愛するが、途中で上席担当が出てきた上で、危険性があること自体は認める流れるとなっている。

編集子が個人的に興味深かったのは、三井住友銀行の場合は、インターネットバンキングは継続し、テレフォンバンキングだけを止めるといったこともできるということ。キャッシュカードがICカードに切り替わってる場合は、磁気ストライプ型のキャッシュカードを偽造されても引き出せない基本設定になっていることなどだった。ほかの銀行でもそういうものなのだろうか。

なお高木氏は自衛策として、自分の暗証番号を複数回間違えて口座をロックしてしまう方法をおすすめしている。ネットバンキングやテレフォンバンキングがロックされていても、ATMからの引き出しはできるから問題ないそうだ。

ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。

通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ（TechCrunch）。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ（Togetter）。

ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。

なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。

高市早苗総務大臣は9月15日の記者会見で、ゆうちょ銀行からドコモ口座を含む6つの決済サービスから不正な預金引き出しが起きていたと発表した（高市総務大臣記者会見[該当部分は7分12秒あたりから]、ITmedia、ケータイ Watch）。

これは11日に行ったゆうちょ銀行からのヒアリングで判明したという。ゆうちょ銀行が即時口座振替（銀行口座連携）を提供している12の決済サービスのうち、6サービスで不正出金が確認されたとしている。ゆうちょ銀行側は被害が発生したサービスについては現在調査中であるとして、どのサービスで不正出金が起きたのかは公開していない。

なお、ITmediaによるとゆうちょ銀行が提供している12の決済サービスは以下の通り。このうちドコモ口座とKyashに関しては新規の口座振替の申し込みを停止しているという。Kyashは不正な貯金の引き出しがあったかは現在調査中という（日経新聞）。

• 支払秘書（ウェルネット）
• ドコモ口座（NTTドコモ）
• Kyash
• PayB（ビリングシステム）
• FamiPay（ファミマデジタルワン）
• pring
• PayPal
• PayPay
• メルペイ
• ゆめか（ゆめカード）
• LINE Pay
• 楽天Edy

高市総務大臣は、ユーザーに対して記帳などをして不審な出金がないか確認するよう求めている。ただしこれはゆうちょ銀行に限らずだが、未記帳件数が一定行を超えると、取引額がまとめて表示され合算されてしまう仕様がある。ドコモ口座問題でこの仕様により、不正取引が見つけにくくなっているという指摘が出ている（Togetter、ゆうちょ銀行「お取引履歴（通帳未記帳分）のご案内」の送付廃止）。

例えば「イッカツ＋合算された期間の取引金額」といった表示パターンだ。このため、記帳だけでなく、取引がまとめて合算表示されている部分に関しては、記載が抜け部分の履歴に関しても、銀行の窓口で発行しないと完全に確認できない場合があるので注意したい。

h-harry 曰く、

日本電子決済推進機構が推進しているQRコード決済「Bank Pay」にa href="https://security.srad.jp/story/20/09/09/2032247/">ドコモ口座と同じ問題が見つかり現在新規受け付けを停止している(日本電子決済推進機構[PDF]、読売新聞)。

「Bank Pay」もメールアドレスだけで新規アカウント作成が可能で、一部金融機関の口座と紐付けで本人確認が不十分だったようだ。現在、セキュリティー強化の為に「SMS 認証の導入」、「 eKYC の導入検討」、「不正取引モニタリングの高度化」など行っているようだ。

日本電子決済推進機構によると、14日時点ではBank Payを利用した不正取引は発生していないという。仮に不正取引があった場合でも不正取引で発生した損害に関しては全額補償するとしている。Bank Payの利用者数は14日時点でおよそ1万1000人だとしている。

野村証券は10日、元社員によって同社の顧客の取引情報が、競合他社である日本インスティテューショナル証券に流出していたと発表した（野村証券、Bloomberg、日経新聞）。

流出件数は法人顧客275社分の情報だという。野村証券と取引がある金融機関の上場投資信託（ETF）の取引状況などの情報が、今年の1～7月までの期間に複数回に渡って流出したことが分かっている。流出経路についても判明しており、野村證券にいた部長が元部下2名に情報を与えていたとされる。野村証券は法的措置を含めた対応も検討するとしている。

野村証券と日本インスティテューショナル証券は、情報の二次流出等は確認されていないとしている。