米商務省のウィルバー・ロス長官は9日、大統領令に基づいて9月に出したTikTok/ByteDanceに対する措置は新たな法的判断が出ない限り発効しないことを明確にした(商務省の発表: PDF、 The Guardianの記事、 The Vergeの記事)。

措置は8月の大統領令13942に基づくもので、9月20日以降(その後9月27日以降に変更)米国向けアプリストアでのTikTokアプリ提供を禁止、11月12日以降はアプリ機能有効化や最適化を目的とする米国向けホスティングサービスやCDNサービスの提供禁止のほか、米国内でのインターネットトランジット/ピアリングサービスの直接的な契約・手配やアプリを活用するためのソフトウェア・サービスの開発を禁止、といった内容だ。

しかし、9月27日にはコロンビア特別区連邦地裁がTikTokの請求を認めてアプリ提供禁止に事前差止命令を出しており、10月30日にはペンシルベニア東部地区連邦地裁がTikTok利用者の請求を認めてすべての措置に事前差止命令を出している。商務省では前者について大統領令は合法だとしつつ裁判所の判断に従う考えを9月27日に示していたが、後者についてはこれまで公式な見解を示していなかった。

選挙インフラのセキュリティに関する米国土安全保障省(DHS)の政府組織調整評議会(GCC)執行委員会と民間組織調整評議会(SCC)のメンバーが連名で、11月3日に実施された選挙は米国史上最もセキュアな選挙だったとする共同声明を出している(共同声明、 The Vergeの記事、 Ars Technicaの記事、 The Registerの記事)。

声明によれば現在、選挙の最終結果を出すのに先立って全米の選挙当局が選挙全体のプロセスを再調査し、二重の確認を行っているという。得票差が小さい州の多くでは再集計を行うことになるが、2020年大統領選挙に関しては各投票について紙の記録がすべて残されており、必要に応じて各票を確実に数え直すことが可能とのこと。

票の削除・紛失・変更を含め、投票システムが侵害されたという証拠は一切なく、投票機器の事前チェックがさらなる信頼性を与えているとも述べている。両機関では選挙のプロセスに関する根拠のない主張や偽情報がはびこっていることを把握しているが、選挙のセキュリティと整合性に関しては最大限の自信を持っており、米市民も自信を持つべきとのことだ。

ジョー・バイデン前副大統領勝利という開票結果に対し、ルディ・ジュリアーニ氏をはじめとするトランプ陣営では選挙が不正に行われたことを主張するが、DHSのCybersecurity & Infrastructure Security Agency(CISA)はこのような主張を偽情報として否定する特設ページも公開している。そのため、ホワイトハウスがCISAに圧力をかけているとも報じられている。

Windows 7/Server 2008 R2 拡張セキュリティ更新プログラム(ESU)の1年目が終了に近付いたことにともない、Microsoftが2年目の利用に関する注意事項を解説している(Windows IT Pro Blogの記事)。

ESUは延長サポート終了後のWindowsでセキュリティ更新プログラム(緊急・重要のみ)を最大3年間利用可能にする有料オプションで、ボリュームライセンスプログラムを通じて購入できる。Windows 7/Server 2008 R2用のESUは1年ごと(2020年、2021年、2022年)に個別のSKUとして提供されるため、1年目のESUを利用している場合でも、2年目のESUを購入後に新しいライセンスキーでライセンス認証する必要があるという。現在ESUを利用しておらず、2年目から導入する場合は1年目と2年目の両方を購入する必要があり、ライセンス認証には2年目のキーを使用することになる。

あるAnonymous Coward 曰く、

Google ChromeはTLSで使用されるルート証明書を伝統的にOSの証明書ストアから参照していたが、近い将来GoogleはiOS版を除いて独自のルート証明書プログラムへの移行を計画しているようだ(公式ページ)。これはFirefoxと類似のモデルである。

初期ルートストアにはLet's EncryptのISRG Root X1が含まれているので、移行が完了すればChromeがサポートするAndroid 5.0以降ではLet's Encryptの証明書の有効期限切れ問題は解消すると思われる。

情報元へのリンク

headless 曰く、

SMSや音声通話による多要素認証(MFA)はMFAの方式の中で最弱だとして、MicrosoftのAlex Weinert氏が他の方式によるMFAへの移行を推奨している(Azure Active Directory Identity Blogの記事、 Neowinの記事、 Softpediaの記事)。

Weinert氏によれば、SMSや音声通話は公衆交換電話網(PSTN)をベースにしたシステムであり、これを使用するMFAメカニズムは他の認証方式が持つすべての脆弱性を備えるうえ、PSTN特有の問題も存在するという。

Weinert氏はPSTNを使用するMFAの問題点として、メッセージの形式や長さに制約があること、通信内容が暗号化されないこと、カスタマーサポート担当者に対するソーシャルエンジニアリングが容易なこと、即時かつ確実に着信するかどうかはモバイルキャリアの信頼性やスパム対策を目的とした法規制の影響を受けることを挙げている。

こういった制約により、SMSや音声通話を使用するMFAで可能なのはワンタイムパスワード(OTP)を知らせる程度にとどまり、技術の進化や脅威の変化などに柔軟な対応ができない。また、ソーシャルエンジニアリングによるSIM乗っ取りなどの可能性もある。

そのため、モバイルデバイスをMFAに使用するなら、アプリベースの認証が適切だという。その中でもMicrosoft的な正解はMicrosoft Authenticatorアプリとのことだ。なお、リンク先ページで携帯電話番号を入力すると、ダウンロードリンクをSMSで受け取ることができる。

11月9日、連邦取引委員会（FTC）はZoomと和解した。Zoomが不公正で欺瞞的な行為を行ったという申し立てを解決できたためだという（連邦取引委員会、JDSupra、TechCrunch）。

コロナ渦の影響で利用が急激に増えたZoomだが、利用者やFTCなどからさまざまな問題が指摘されていた。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド（E2E）で暗号化されると明示されていたが、実際にはエンドツーエンドでの暗号化は行われていない（過去記事）、Zoomが一部会議の記録を暗号化をせずに最大60日間サーバー内に保存していたこと、ミーティング参加を高速化するために、ユーザー側のPCに無断でソフトウェアをインストールするなどだ。

今回、Zoomは今後20年間に渡り、FTCの提示した以下の条件を守ることに同意することで和解が設立した。

• 包括的なセキュリティプログラムを確立して実装すること
• セキュリティリスクを毎年評価および文書化すること
• 脆弱性管理プログラムを実装すること
• ソフトウェアアップデート時にはセキュリティ上の欠陥を確認すること
• すべての従業員向けの定期的なセキュリティトレーニングを実施
• サードパーティー製のアプリケーションの利用を妨げないこと
• プライバシーとセキュリティの慣行について虚偽の表示をしないこと
• 第三者によりセキュリティプログラムを2年ごとに確認を行う
• データ侵害が発生した場合、FTCに通知すること

などが定められた。

中国成都市で今月の7日と8日の二日間にわたってハッキングコンテスト「天府杯 2020（Tianfu Cup 2020）」が開催された。このコンテストでは34の国際チームが参加し、数百万ドルの賞金をかけてテクニックを競い合ったという。ターゲットにされた16の製品のうち、下の11の製品がこれまでにないエクスプロイトによって攻略されたとしている（四川オンライン、Tianfu Cup公式Twitter、ZDNet、窓の杜）。

• Google Chrome
• Safari
• Firefox
• Adobe PDF Reader
• Docker CE
• VMware EXSi
• Qemu
• CentOS 8
• iPhone 11 Pro（iOS 14）
• Galaxy S20
• Windows 10 バージョン 2004
• TP-Link製のルーター
• ASUS製のルーター

優勝したのは、中国のテクノロジー大手である奇虎360（Qihoo 360 Technology）所属の「360 ESG Vulnerability Research Institute」チーム。このチームは賞金総額121万ドル（約1億2500万円）のうち、74億4500ドル（約7700万円）を獲得することに成功したそうだ。審判チーム代表の鄭文濱氏は、iPhone 11 Pro（iOS 14）やGoogle Chrome、Docker CEなどの複数のプロジェクトで、世界初のブレークスルーを達成したことは注目すべきことだと話している。

あるAnonymous Coward 曰く、

https://japan.zdnet.com/article/35162119/
https://forest.watch.impress.co.jp/docs/news/1288055.html

多彩な対象にハックを成功させていて、今や普通にIT先進国ですね。

スマートフォンにマイナンバー機能を搭載するための有識者会議が10日から総務省でスタートした（NHK、テレ東NEWS、ITmedia）。

総務省の武田大臣は冒頭で、「マイナンバーカードの機能のスマートフォンへの搭載についてご議論いただき、実現に向けた方向性を得たいと考えております」と話した。マイナンバーカードには「署名用電子証明書」および「利用者証明用電子証明書」という二つの電子証明書が含まれており、有識者会議ではこの機能をスマートフォンに搭載するための仕組みなどを議論していく。

会議は一部を除いて非公開で行われた。NHKによると出席者から、「端末の機種変更などの際に必要な、セキュリティー確保のための手続きは、より簡単にすべきだ」といった意見が出たとしている。またテレ東NEWSによれば、AndroidとiPhoneのいずれの端末でも搭載できるような方策についても議論されるとしている。次の通常国会で法改正を行い、2022年度中の機能搭載を目指すとしている。

headless 曰く、

Mashableのユーザーデータベースとみられるファイルが4日、複数のハッカーフォーラムに投稿されて話題となっていた。これについてMashableが同サイトのものであることを認め、調査結果を報告している(Mashableの記事)。

Mashableによると、このデータベースはソーシャルメディアログインを利用するユーザーがMashableのコンテンツを容易に共有できるようにするため、かつて使われていたものだという。含まれるデータは姓名や大まかな場所(国名・都市名など)、電子メールアドレス、性別、登録日、IPアドレス、ソーシャルメディアのプロファイルページへのリンク、期限切れのOAuthトークン、ユーザーの誕生日(月日のみ)とのこと。

Mashableでは登録ユーザーに財務情報の入力を求めることはなく、保存することもない(ため、流出もしていない)。パスワードは流出したデータに含まれていなかったようだが、ユーザーのパスワードがアクセスされた形跡はないと説明している。

HackReadの記事によれば、データベースを投稿したのはShinyHuntersと名乗るハッカーで、データベースのサイズは5.22GBあったという。ShinyHunterは最近数か月の間にオンラインサービスなど十数件のユーザーデータベースを投稿して注目されている。

Mashableのデータベースにパスワードが含まれていなかったことはShinyHuntersも投稿時に説明していたそうだ。なお、HackReadではデータベースに含まれるアカウントの種類をスタッフ・ユーザー・サブスクライバーとしており、スクリーンショットでは mashable.comドメインの電子メールアドレスも確認できる。

ゲーム会社のカプコンのサーバーにランサムウェアが仕掛けられ、犯人グループから身代金が要求されているようだ。カプコンのリリースによれば、攻撃は11月2日未明に行われたとされ、同日より社内ネットワークの稼働を部分的に見合わせているという（BleepingComputer、Threatpost、朝日新聞）。

BleepingComputerによれば、犯人グループは9日午前に声明を出しており、日本、米国、カナダの各拠点のサーバーから合計1テラバイトの暗号化されていないデータを盗んだとしている。その中には会計ファイル、銀行取引明細書、機密として分類された予算および収益ファイル、税務書類、知的財産、専有事業情報、クライアントおよび従業員個人情報（パスポートとビザ）、取引企業とのメールやメッセンジヤーのデータなどが含まれているらしい。

使用されたランサムウェアはRagnarLockerだとしている。これにより、カプコンの社内ネットワーク上の機器約2000台がランサムウェアによって暗号化されてしまったという。犯人はこれらのデータの復号化のためにビットコインで1100万ドル（約11億6000万円）を要求しているとのこと。

Let's Encryptがルート証明書の切り替えに向け、古いバージョンのAndroidへの対策をサイトオーナーとユーザーに呼びかけている(Let's Encryptのブログ記事、 The Registerの記事)。

5年前にLet's Encryptが立ち上げられた際にはIdenTrustのクロス署名を得たルート証明書「DST Root X3」を使用することで、メジャーなソフトウェアプラットフォームすべてで信頼される証明書をすぐに発行することが可能だったという。しかし、DST Root X3は2021年9月1日に失効する(ただし、実際に証明書を見ると有効期限は日本時間2021/9/30 23:01:15となっている)。他のCAからクロス署名を得た証明書を使い続けることはリスクが高いため、Let's Encryptでは既に独自のルート証明書「ISRG Root X1」を発行している。このルート証明書はメジャーなソフトウェアプラットフォームから信頼されているが、2016年以降更新されていないソフトウェアには信頼されない。Androidではバージョン7.1.1よりも古いバージョンが該当するとのこと。

Androidは更新されない古いバージョンが多数存在することで知られるが、Android Studioのデータによると9月時点でAndroid 7.1よりも古いバージョンのシェア合計は33.8%(StatCounterの10月分Androidバージョン別シェアデータでは18.87%)だったという。DST Root X3が失効するまでにAndroidの古いバージョンが使われなくなることは期待できないため、Let's Encryptでは早めに情報を提供することでサイトオーナーと古いバージョンのAndroidユーザーに事前の対策を促している。

間もなくサポートが終了するWindows 10/Server バージョン1809/1903について、サポートされるバージョンへの早めの更新をMicrosoftが呼びかけている(Windows message centerのメッセージ[1]、 [2]、 Windows 10 リリース情報)。

Windows 10 バージョン1809(Home/Pro/Pro Education/Pro for Workstation/IoT Core) およびWindows Server バージョン1809(Datacenter Core/Standard Core)は5月にサポート終了予定だったが、世界的な公衆衛生上の問題を考慮して11月10日まで延長されていた。これらのエディションのサポート期間がさらに延長されることはなく、11月の月例更新が最後の更新プログラム提供となる。Windows 10 Enterprise/Education/IoT Enterpriseの各エディションについては、バージョン1809が2021年5月11日までサポートされる。

なお、バージョン1809ではサポート期間延長と同時に機能アップデート(バージョン1909)の自動更新による提供も一時中止となっていた。リリース情報では6月から機能アップデートの提供を段階的に再開すると説明(Internet Archiveのスナップショット)されていたが、現在は削除されている。

バージョン1903はすべてのエディションで12月8日にサポート終了となる。Neowinの記事によれば、バージョン1903を対象に自動更新によるバージョン1909の提供が始まったそうだ。バージョン1903から1909へのアップグレードはイネーブルメントパッケージをインストールするだけなので短時間で完了するが、バージョン1909(Home/Pro/Pro Education/Pro Workstation/IoT Core)のサポートは2021年5月11日に終了する。

玩具メーカーのマテルがランサムウェアの被害にあっていたそうだ。マテルが米証券取引委員会(FTC)に提出した2020年第3四半期の業績報告書(Form 10-Q)に記載している。

被害が発覚したのは7月28日。ITシステムがランサムウェアによる攻撃を受け、多数のシステムが暗号化されてしまったという。マテルは攻撃を検出してすぐ攻撃対応プロトコルを実行に移し、攻撃の停止と影響を受けたシステムの復元を図る。攻撃の封じ込めは成功し、業務機能の一部が一時的に影響を受けただけで復旧したとのこと。インシデントに関するフォレンジック調査の結果、企業秘密や小売業者、サプライヤー、消費者、従業員のデータが盗み出された痕跡はなかったそうだ。また、このインシデントによるマテルの経営や財務状況に対する重大な影響はなかったとのことだ。

このインシデントについては第2四半期のForm 10-Qに第一報が記載されており、続報となる今回の報告書では攻撃の封じ込めと業務の復旧が確実に成功したことと、フォレンジック調査の結果が加筆されている。前回の報告書はWSJ Proに取り上げられた程度であまり話題にならなかったようだが、今回は複数のメディアで取り上げられている(Computingの記事、 ZDNetの記事、 SC Mediaの記事、 BleepingComputerの記事)。

ランダムな番号に発信するテクニカルサポート詐欺の電話をオーストラリア・南オーストラリア州警察のFinantial and Cybercrime Investigation Branch(FCIB)が受け、その手口を紹介している(南オーストラリア州警察のニュース記事、 The Registerの記事)。

南オーストラリア州ではアデレードの有線電話番号を狙い、National Broadband Network(NBN)を名乗るテクニカルサポート詐欺が多数報告されているそうだ。電話を受けたFCIBでは安全の確保されたコンピューター環境を用いて詐欺師の指示通りに操作し、詐欺師の手口を調べたという。

まず、捜査官は発信者からインターネットセキュリティの侵害があったと伝えられ、Windows+Rキーを押して「ファイル名を指定して実行」ダイアログボックスを開くよう指示される。指示に従って操作するとNBN関連を名乗る雑な仕上がりのWebサイトが表示されたが、ドメイン名はWebホスティングサービスWeeblyのものであり、明らかな偽サイトだったようだ。

次に指示された「サーバー3」をクリックすると「SupRemo」という名前の実行ファイルがダウンロードされる。捜査官が理由を尋ねると発信者は少し躊躇したのち、インターネットの問題を解決するのに使用すると回答。このプログラムが開けないことを捜査官が発信者に伝えると、さらに別のプログラムをダウンロードするよう指示されたという。それでもプログラムの実行に関する問題は解決せず、発信者側が電話を切ったそうだ。

SupRemoはリモートアクセスソフトウェアであり、他にも「TeamViewer」「AeroAdmin」「UltraViewer」「Zoho」といったリモートアクセスソフトウェアを詐欺師が利用していることが偽サイトの調査で判明したとのこと。

この結果を受けてFCIBは市民に対し、知らないソフトウェアをダウンロードしないこと、電話越しで知らない人の指示に従わないことのほか、組織名を名乗ってかかってきた電話の相手が確認できない場合はいったん電話を切り、信頼できる電話番号を調べて折り返し電話するようアドバイスしている。また、FCIBは調査のために専用ソフトウェアを用いており、一般の人は詐欺師の相手をしないことを推奨している。

「GitHub」のソースコードがGitHubのCEOであるNatFriedmanを名乗る人物によって公開された。もちろん偽物だ。このソースコードは削除されており、web archiveに残っていたものもアクセスできなくなっている。なお本物のNatFriedman氏は今回の経緯について、数か月前に一部の顧客宛に誤って出してしまったことがあり、それがアップされたものだとしている（Resynth、Hacker News、GIGAZINE）。

リポジトリの偽装については、もともとGitHubで課題とされていた「なりすまし」の方法が取られているという。GIGAZINEによれば、

手法としては、まず偽装したいリポジトリをフォークし、偽装したいアカウントのメールアドレスを利用してコミット。その後フォークしたリポジトリをGitHubに公開すれば、見た目上はリポジトリを偽装することができてしまいます。

とのこと。ただ、この流出を機にGitHubをオープンソースにすべきという意見も強まっているようだ。

あるAnonymous Coward 曰く、

1100人にフォークされた模様

情報元へのリンク