中国軍指示で日本製セキュリティーソフトを購入しようとした元留学生に逮捕状 114
指示 部門より
読売新聞によると、中国人民解放軍のサイバー攻撃部隊「61419部隊」に所属する妻が「国に貢献しなさい」「国が守ってくれる」などとSNSやメールなどを通じて指示を出していたそうだ。企業向けのセキュリティ対策ソフトを研究し、日本企業のシステムの脆弱性を把握することが目的だとされている。
追記 by headless: 容疑は詐欺未遂とのこと。
アナウンス:スラドとOSDNは受け入れ先を募集中です。
ギャレットのゲート型金属探知機で見つかった 9 件の脆弱性を発見者の Cisco Talos が解説している(Cisco Talos のブログ記事、 HackRead の記事)。
脆弱性が見つかったのは金属探知機本体ではなく、オプションの遠隔監視用 iC モジュールだ。もちろん金属探知機が脆弱性を発見したわけではない。このiCモジュールはゲート型金属探知機 PD6500i および Multi Zone (旧 MZ6100) に対応し、施設内のネットワーク環境に組み込むことで遠隔での設定や検知結果などの確認が可能になる。
脆弱性のうち 4 件 (CVE-2021-21901、 CVE-2021-21903、 CVE-2021-21905、 CVE-2021-21906) はバッファーオーバーフローの脆弱性で、リモートからコードを実行できる可能性がある。CVE-2021-21901 と CVE-2021-21902 は認証の前に発生するという。また、別の 4 件 (CVE-2021-21904、 CVE-2021-21907、 CVE-2021-21908、 CVE-2021-21909) はディレクトリトラバーサルの脆弱性で、認証済みの攻撃者が特定の条件でデバイス上のファイルを読み取り・書き込み・削除できる。最後の 1 件(CVE-2021-21902)は認証バイパスの脆弱性で、競合状態により認証済みユーザーのセッションを攻撃者が乗っ取ることが可能とのこと。
攻撃者はこれらの脆弱性を悪用することで、遠隔から金属探知機の動作状況を監視できるほか、金属探知機の感度を変更するなど、セキュリティを低下させる操作を実行することが可能となる。既に修正版のファームウェアが提供されており、ユーザーにはできるだけ早く更新することが推奨されている。
昔からある電話機型おもちゃに Bluethooth 機能を搭載したフィッシャープライス (マテル) の「Chatter Telephone with Bluetooth」で、盗聴などに悪用可能なセキュリティ上の問題が見つかったそうだ (Pen Test Partners のブログ記事、 The Register の記事)。
Chatter Telephone with Bluetooth はスマートフォンなどに接続して使用する固定電話機型のデバイスで、フックから受話器を上げて電話を受け、受話器を置いて電話を切るほか、ダイヤルを回して電話をかけることも可能だ。しかし、安全なペアリングプロセスが用意されておらず、電源を入れると電波が届く範囲でペアリングを待っている Bluetooth デバイスに接続してしまうという。
同時に接続可能な Bluetooth デバイスは1台のみだが、Chatter Telephone の電源を入れたままでペアリングしたスマートフォンを持って出かけてしまった場合など、近所にいる攻撃者がスマートフォンやPCなど自分のBluetoothデバイスを接続することが可能になる。なお、Chatter Telephone の電源を入れたままにした場合、電池切れになるまで電源が自動で切れることはないそうだ。
そのため、攻撃者は自分のスマートフォンを Chatter Telephone とペアリングし、別の回線から電話をかければ知らずに受話器を取った子供と話をすることができる。また、受話器がフックから上がった状態で着信すると自動応答するため、ペアリングしたスマートフォンに電話をかけることで盗聴が可能になる。
問題を発見した Pen Test Partners がマテルに連絡したところ、Chatter Telephone with Bluetooth は大人向けの製品であり、子供の使用は想定していないといった回答が返ってきたという。しかし、大人が飽きたら子供のおもちゃになる可能性が高く、自動応答による盗聴の問題は使用者が大人でも子供でも発生する。
子供のおもちゃによる盗聴の問題は何年も前に My Friend Cayla で発生している。Chatter Telephone の場合は受話器を上げたりスピーカーボタンを押したりしなければ電話がつながらないものの、十分に問題を回避できるとは考えられないとのこと。
米Bloombergが報じたところによれば、今から約10年前、オーストラリアの大手通信会社でファーウェイによるソフトウエアのアップデートに悪質なコードが組み込まれ、システムに侵入される事件が起こっていたという。この未公表事件については2012年に米国家安全保障局に情報共有がされていたといい、米政府の主張を裏付ける証拠の一端だとしている(Bloomberg)。
米元当局者らによると、この悪質なコードは感染した通信設備機器を再プログラミングし全ての通信を記録し中国にデータを送信。こうしたコード自体が数日後に抹消される仕組みだったという。提供された情報を元に米情報機関が確認したところ、米国でも同様の攻撃が確認されていたという。豪情報当局はファーウェイの技術者にスパイ活動への関与があったと結論付けている。
なお、ファーウェイが企業ぐるみでスパイ活動に協力していたという証拠は見つかっていないといい、中国の情報機関が末端の技術者を買収した可能性を示唆する記事の流れとなっている。
中国の政府系メディアが報じたところによると、中国の規制当局は22日、EC大手アリババ・グループのクラウドサービス子会社「阿里雲(アリババ・クラウド・コンピューティング)」との情報共有パートナーシップを停止したという(ロイター、GIGAZINE、WSJ)。
注目すべきはその理由で、「同社が発見したlog4jの脆弱性をApache Software Foundationに報告した一方、すぐに政府に報告しなかったため」だという。中国の法律では、企業は発見から48時間以内に政府に新しい脆弱性を報告する必要があるとのことで、確かに法律違反ではあるようなのだが、IT業界ではOSSの脆弱性はまず開発元に連絡して対策、というのが当然と思われるので、これは違和感を覚える話である。
ターミナルエミュレータConEmuではマルチバイト文字の表示が上手く出来ていないのだが、GitHubでその事について論じているスレッドの1つにとんでもない画像がサンプルとして上げられている(Github)。
内容についてはセンシティブ(笑)なため各自でご覧頂きたい。スレッドの参加者達は日本語が読めないため気にしていないのだろうが、日本人だとまずこの画像が気になってしょうがないところだ。
シャープ製のAndroidTV搭載テレビには、非正規のradikoアプリがプリインストールされており、不具合の原因となっていたという記事がPC Watchに出ている。
問題のアプリは「Raziko」というradikoと誤認させるような名称の個人開発のアプリで、radiko側からの苦情によりGoogle Playストアでは数年前から新規のダウンロードはできない状態となっている(AndroidTVに対応した公式のradikoアプリは現時点ではリリースされていない模様)。
記事著者はテレビの電源が勝手に入ってしまうトラブルの原因を探す中で、「Raziko」アプリをアンインストールするようにというシャープのサポート文章を発見し、このアプリをシャープが製品にプリインストールしているとし、「シャープともあろう企業が一般家庭で使われるTVのような製品に、数年前に公開が停止されているアプリをプリインストールしていること」を「お粗末な状態」だと批判している。
しかしタレコミ子としては、同様の事例が他社のAndroidTV搭載機でも発生していることや、記事内でテレビのファクトリーリセットを試みた記述がないこと、シャープのサポート文章の末尾にも但し書きがあるが、テレビのセットアップ時に使用したGoogleアカウントに紐づいていた、ほかのデバイスで利用していたアプリが意図せずインストールされたなどの可能性も考えられることから、当該のアプリがシャープによって出荷時からプリインストールされていたと断言するにはいささか検証が不足していると思うのだが、いかがであろうか。
物事のやり方は一つではない -- Perlな人