GoogleのProject Zeroは23日、Windows 10のプリンタードライバーホスト「splwow64.exe」に存在する未修正脆弱性を公表した(Project Zero - Issue 2096、 Neowinの記事、 HackReadの記事、 Bleepng Computerの記事)。

この脆弱性は整合性レベル(信頼性)の低いプロセスがsplwow64(整合性レベル「中」)にLPCメッセージを送ることで、splwow64のメモリ空間に任意のデータを書き込めるというものだ。これにより、ローカルでの特権昇格が可能になる。もともとMicrosoftはCVE-2020-0986としてsplwow64の脆弱性も6月に修正していたが、完全には修正されていなかったそうだ。CVE-2020-0986との違いとしては、ポインタの代わりにオフセットを送信する点だという。

Project Zeroでは9月24日にMicrosoft Security Response Center(MSRC)へ報告し、脆弱性にはMSRC-61253/CVE-2020-17008が割り当てられた。MSRCは12月の月例更新で修正する計画を示していたが、テストで問題が見つかったため修正は1月に延期される。12月23日で90日の開示期限を迎えることから14日間の猶予期間追加についてMSRCとProject Zeroは協議したが、Microsoftが期間内のパッチ提供を計画していない(次の月例更新は2021年1月12日)ため、猶予期間の追加は行われなかったとのことだ。

ドメイン登録やホスティングサービスを提供するGoDaddyが従業員を対象に実施したソーシャルエンジニアリング攻撃対応訓練で、年末ボーナスを受け取るには申請が必要、といった趣旨の電子メールを送信したことが批判されている(The Copper Courierの記事、 12 Newsの記事、 The Vergeの記事、 Mashableの記事)。

GoDaddyはCOVID-19パンデミック下で記録的成長を遂げる一方、大規模な人員削減を発表している。今年はボーナスも支給しないと従業員に伝えていたそうだ。しかし、14日に従業員へ送られたフィッシング詐欺テストメールには、GoDaddyにとっては記録的な1年だったがパーティーを開くこともできないので650ドルのボーナスを支給すると記載。ボーナスを受け取るには地域別のリンク先で12月18日までに情報を入力する必要があると説明している。

しかし、リンクをクリックして情報を入力した500人ほどの従業員は、ボーナスではなくトレーニングを再受講する必要があるとの通知を受け取ることになる。

近年は従業員を対象にしたソーシャルエンジニアリング攻撃がサイバー攻撃の重要なベクターとなっており、GoDaddyも被害にあって顧客情報を流出させている。ソーシャルエンジニアリング攻撃対応訓練の重要度も増しているが、このような状況下でボーナス支給に言及する訓練用メールが気に障った従業員も多いようだ。

任天堂が3DSのハッカーに言うことを聞かせるため、覆面調査員などを使用してストーカーまがいの行為を含む徹底的な身辺調査を行っていたことを示す内部文書が流出した(TorrentFreakの記事、 流出文書: PDF)。

調査対象となったのは任天堂製品のエクスプロイト開発などで知られる「Neimod」ことベルギーのDomien Nowicki氏。2013年1月までに行われた調査では、Neimod氏のかかわったエクスプロイトや学歴、受賞歴のほか、勤務時間や休日の過ごし方、自宅への訪問者がいないことなど、多岐にわたって調べ上げられている。また、ベルギーでサイバー犯罪となるNeimod氏の行為もリストアップされており、最終的には直接話し合って犯罪行為を通報しないことや利益供与することなどを条件に協力者にする計画だったようだ。

Neimod氏が協力者となっても任天堂側が情報を提供する必要はないことから機密情報が流出するリスクはなく、ソニーがPS3ハッカー「Geohot」ことGeorge Hotz氏への対応で失敗したような状況を避けてハッカーを大切にする企業としての評価が得られるなど、計画のメリットがいくつも挙げられている。ただし、流出した文書が本物だとすれば、評価を得る計画も台無しということになる。

あるAnonymous Coward 曰く、

ImpressWatchによると、Microsoftが「2020年末に期限切れになるルート証明書を削除しないで」と呼び掛けているそうだ。(Microsoft)
記事によれば、Windows 7、Windows Vista、Windowser Server 2008/2008 R2には2020年末に有効期限が切れるルート証明書が存在しており、ユーザーがこれらのルート証明書を削除してしまうと、動作しないアプリが出たり、最悪の場合OSが壊れるといった危険性を挙げている。
よほど詳しい人でない限りは削除するとは考えにくいと思われるが、皆さん気を付けましょう。

情報元へのリンク

先日、閲覧情報を外部に送信しているとして話題となったポイ活Webブラウザ「Smooz」だが、提供元であるアスツールは23日、サービスの終了を発表した（Smooz BLOG）。

リリースによれば、

状況の確認と対策、原因調査を進めてまいりましたが、Smoozの提供を継続することは困難との結論にいたり、2020年12月23日をもってサービスを終了させていただきますことをご報告申し上げます。

これまでに収集したご利用者様の情報につきましては、返金に必要な情報以外はすべて削除が完了しております。返金対応が完了次第、全ての情報を削除いたします。収集したデータに関して悪用、個人情報の社外への流出は、現在のところ確認されていません。

としている。プレミアム会員に関しては返金処理を、交換可能なSmoozポイントを持っている場合は、交換に応じるとしている。返金手段や交換方法については後日通知するとしている。

あるAnonymous Coward 曰く、

兼ねてより問題になっていたLet's Encryptの有効期限切れ問題だが、この度、IdenTrustはDST Root CA X3から3年間のクロスルート証明書を発行することで合意したとのこと。
これにより、Android 7.1.1以前の端末でも今まで通りアクセスすることが可能となり、懸念されていた混乱は回避された。

情報元へのリンク

headless 曰く、

Wi-Fiを搭載しないエアギャップ環境のPCでメモリバスが発生する電磁波を利用してWi-Fi信号を生成し、近くにあるWi-Fi搭載デバイスで受信してデータを盗む手法「AIR-FI」をイスラエル・ベングリオン大学のMordechai Guri氏が発表した(論文アブストラクト、 The Registerの記事、 HackReadの記事)。

メモリバスはメモリクロック周波数およびその高調波の電磁波を放射する。電磁波はPCの電源が入っていれば一定して放射され続けるものと、メモリ活動に応じて変動するものと2種類があり、盗み出したいデータを用いてメモリ操作を実行することで電磁波に変調をかけることが可能だ。バーチャルマシン上のデータにも対応する。DDR4-2400が放射する電磁波はWi-Fiの周波数帯に近いため、エアギャップPCで攻撃用のコードを実行する必要があるものの特別な権限は必要ない。メモリクロックが異なる場合はオーバークロック/アンダークロックの手法を用いることになるため、BIOS/UEFIを操作するマルウェアが別途必要だ。

攻撃の準備段階としては、エアギャップPCと電磁波を受信可能な範囲にあるインターネット接続可能なWi-Fi搭載デバイスにマルウェアを送り込む。エアギャップPCにマルウェアを送り込むのは容易ではないが、サプライチェーン攻撃や内部の協力者などさまざまな手法が考えられる。これらの準備が整えば、エアギャップPCで収集したデータをAIR-FIで送信し、Wi-Fiデバイス側で受信後復調して外部に送信できる。実験では数mの距離にあるWi-Fiデバイスに毎秒1ビット～100ビットのデータを送信できたという。

Guri氏はこの攻撃に対する対策として、ゾーニングによりエアギャップシステムの近くでWi-Fi搭載機器の持ち込みを禁じること、Wi-Fiジャマーを使用すること、エアギャップPCのバックグラウンドプロセスでソフトウェア的にジャミングすること、ファラデーシールドを利用することを挙げている。

これまでにもGuri氏はエアギャップ環境からデータを盗み出すさまざまな手法を発表している。スラドで紹介しただけでも、熱を使う「BitWhisper」や冷却ファンのノイズを使う「Fansmitter」、ハードディスクのシーク音を使う「DiskFiltration」、冷却ファンユニットの振動を使う「AiR-ViBeR」など数多い。

headless 曰く、

カザフスタン政府が再び独自のルート証明書を発行して中間者攻撃を行っていたことが判明し、MozillaやApple、Google、Microsoftのブラウザーが証明書のブロックを開始したそうだ(Mozillaブログ Open Policy & Advocacyの記事、 Ars Technicaの記事、 ZDNetの記事、 Mac Rumorsの記事)。

カザフスタンでは2019年にも政府発行のルート証明書による中間者攻撃が判明して各社のブラウザーでブロックされている。今回、カザフスタン政府はサイバー攻撃増加を理由に首都ヌルスルタンで12月6日から訓練を行うと発表し、特定の国外Webサイトへのアクセスに問題が発生した場合はセキュリティ証明書をインストールすれば解決すると説明していた。

しかし、この証明書を用いてカザフスタン政府がFacebookやGoogle、Instagram、Mail.ru、Twitter、VK、YouTubeなどのドメインへのトラフィックを傍受していることが明らかになり、各社ブラウザーで証明書がブロックされる結果となった。証明書のブロックにより、カザフスタンから対象ドメインにアクセスしようとするとエラーメッセージが表示されることになる。Mozillaでは影響を受けるユーザーに対し、VPNの使用やTor Browserの使用を推奨している。

ブラウザアプリ「Smooz」個人情報を数多く送信しているとして話題になっているようだ。Smoozは検索するだけでポイントがもらえるサービスなどを提供しており、人気を博しているのだという。一方でこのことを指摘しているreliphone (for iPhone) の記事によれば、その利用情報がすべて開発元のアスツール社に送信されているそうだ。

reliphone (for iPhone) の複数回にわたって行われた検証記事では、Smoozがどのような挙動を見せているのかなどの点を指摘している。記事冒頭の何が行われているかをまとめてある部分を引用すると次のようになる（reliphoneその1、その2、その3）。

• デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている
• 検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている
• 検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている
• サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている
• プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている
• https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている

ただしユーザーはこのアプリを利用する時点で、同社の規定しているプライバシーポリシーには同意しており、個人情報の流出はユーザー自身が認めたものとなっている。また公式Twitterの説明でも、収益を得る方法として、

①アプリ内のフィード等に表示される広告 ②プレミアムサービスの月額課金

としており、個人情報を利用して広告を表示することで収益を得ていること自体は明記されている。ただしSmoozによって送られた情報は非常に多く、送られたその情報がどのように扱われているかは不透明な部分が多い。こうした指摘を受けて、開発元のアスツール社は声明を発表した。

ただし、20日夜の段階では

ご指摘により新たな問題が見つかったので、App StoreおよびGoogle PlayでのSmoozの配信を停止いたしました。

とTwitterで発表している。

Avastによれば、ChromeウェブストアやMicrosoft Edgeアドオンストアで公開されていた拡張機能28本でマルウェアが確認されたそうだ(Avastのプレスリリース、 Ars Technicaの記事、 SlashGearの記事)。

28本中15本がChromeウェブストア、13本がMicrosoft Edgeアドオンストアで公開されていた拡張機能で、ダウンロード件数は合計で300万件ほどだという。拡張機能はInstagram/Facebook用が半数以上を占め、種類としてはダウンロードツールが多い。マルウェアの機能としては広告やフィッシングサイトにリダイレクトしたり、個人情報を盗んだりといったもので、別のマルウェアをダウンロードする機能も確認されたそうだ。

マルウェアは調査しようとすると活動を控える仕組みを備えており、検出は困難なようだ。拡張機能は初めからマルウェアとして公開された可能性もあるが、人気が出るのを待ってアップデートでマルウェア化したり、元の作者から買い取ってマルウェアを仕込んだり、といったパターンも考えられるとのこと。

AvastではGoogleとMicrosoftに通知しており、19日朝の段階でChromeウェブストアからはリストアップされているすべての拡張機能が削除されている。Edgeアドオンストアでも19日午後にはすべて削除された。具体的な拡張機能の名称などはAvastのプレスリリースを参照してほしい。

ヤマハは16日、ギガビットアクセスVPNルーター「RTX1220」を発表した（ヤマハ、クラウドWatch）。

RTX1220は同社のベストセラーモデルである「RTX1210」から、利用頻度の低下しているISDN周辺の機能を取り外して低価格化を図ったもの。最大100対地のVPN接続といった基本機能については引き継がれている。価格は11万8000円（税別）。RTX1210は12万5000円（税別）だったことから7000円低価格化したことになる。リリースによれば、テレワーク用途を中心にリモートアクセスVPNの需要が増加したことに対応したモデルだという。発売日は2021年3月を予定している。

先日の米財務省に対する大規模攻撃では、SolarWinds Orionのソフトウェア更新が悪用されたことが判明している。これを受けて米Microsoftは12月15日、公式ブログで日本時間の17日午前1時からMicrosoft Defender AntivirusでSolarWindsバイナリのブロックを開始すると発表した。マルウェアである「Solorigate（SUNBURST）」が含まれているバージョンを判定、プロセスが実行されている場合であっても強制的にブロック・隔離を行うという（Microsoftブログ、CNET、ITmedia）。

原因となってしまったSolarWinds側は「Orion Platform v2019.4 HF5」「Orion Platformv2020.2」を使用している顧客に対して、セキュリティを確保するため可能な限り早く、OrionPlatformバージョン2020.2.1HF2にアップグレードするよう告知している（SolarWinds Security Advisory）。

FireEyeによれば、この攻撃は世界中の公的および私的組織に影響を与えているという。この件では13日には米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁（CISA）が、緊急指令21-01を発表している。この緊急指令では、侵入の痕跡がないかネットワークを確認し、SolarWinds Orion製品をただちに切断または電源を切るように求めている（ITmedia、FireEye、Security NEXT）。

Reutersによると、財務省と商務省のの国家通信情報管理局（NTIA）といった米国政府機関が、ロシア支援のハッキング集団により監視されていた可能性があるという。犯行グループはAPT29またはCozy Bearなどと呼ばれるグループとされる（Reuters、ITmedia）。

Reutersによれば、攻撃者は行政機関向けのネットワーク・マネージメントを行っていたIT企業SolarWindsがリリースした監視ソフトウェアのアップデートを改ざん、これにより政府機関のネットワークに侵入したとしている。この結果、NTIAの事務に使用されていたOffice 365がハッキングされ、電子メールを数カ月にわたって監視していたとしている。

SolarWindsは今年3月から6月の間​​にリリースされた監視ソフトウェアのアップデートは、国家による洗練されたサプライチェーン攻撃によって破壊された可能性があるとしている。SolarWindsは、米国のFortune 500企業の大半と米国の通信プロバイダーのトップ10、米軍の5つの支部すべて、国務省、国家安全保障局、および米国大統領府を顧客に持っているとのこと。

headless 曰く、

ゾディアックキラーの暗号 Z340 が米国・オーストラリア・ベルギーのプログラマー3人により、51年の時を経て解読された(ZodiacKillerCiphers.comの記事、 ZodiacKillerFacts.comの記事、 Motherboardの記事、 The Registerの記事、 FBI SanFranciscoのツイート、 動画)。

ゾディアックキラーは米国・カリフォルニアで1960年代末に発生した未解決連続殺人事件の犯人で、1969年と1970年に合計4件の暗号を新聞社などに送っている。1969年8月に届いた408文字・記号の Z408 は1週間ほどで解読されているが、1969年11月に届いた340文字・記号の Z340 は長年にわたって解読が試みられたものの決定的な解読結果は出ていなかった。なお、1970年に届いた Z13 と Z32 は短すぎるため、他に情報がなければ解読はできないと考えられている。

Z340 の解読は、ゾディアックキラーの暗号に関するWebサイトZodiacKillerCiphers.comを運営する米国のDavid Oranchak氏がオーストラリアのSam Blake氏とベルギーのJarl Van Eycke氏の協力を得たことで実現した。Blake氏が65万種以上の並べ替えパターンを列挙し、Van Eycke氏による暗号解読ソフトウェアAZdecryptで処理していくうち、ゾディアックキラーが原文を3分割してから並べ替えていたことが判明したという。

暗号の主な内容としては、テレビ番組に電話出演したゾディアックキラーを名乗る人物は自分ではないこと、その人物がガス室を恐れていると述べたことに対し、死ねば楽園に行けるので自分はガス室を恐れていないことなど。この解読結果は米連邦捜査局(FBI)にも送られ、FBIがZ340初の有効な解読結果だと認めている。

英国防省(MOD)は8日、MODのシステムやサービスに関する脆弱性開示ポリシーを発表した(ガイダンス、 The Registerの記事、 HackerOne報告ページ)。

MODへの脆弱性報告はHackerOneを使用するが、あくまで脆弱性開示プログラムであり、報奨金は支払われない。手間暇をかけて脆弱性を報告する人を評価すると述べる一方、脆弱性開示と引き換えに金銭的補償を求めることは禁じている。

このほか、違法行為や必要以上のデータアクセス、データ改変、MODスタッフやインフラストラクチャーに対するソーシャルエンジニアリング攻撃や物理的な攻撃、DoSなどが禁じられる。また、悪用できない脆弱性やTLS構成の弱さなどに関する報告は受け付けない。データ保護のルールに従ってデータを扱い、必要のなくなったデータを破棄することなども求められる。

このようなポリシーに従って脆弱性を報告する限り、報告者が訴追されることはないとのことだ。