スコットランド環境保護庁(SEPA)は14日、クリスマスイブにランサムウェアの被害にあっていたことを発表した(メディアリリース、 BankInfoSecurityの記事、 The Registerの記事、 SEPAのツイート)。

攻撃が判明したのはクリスマスイブの0時1分。すぐにSEPAの緊急事態対応チームがスコットランド政府やスコットランド警察、英国家サイバーセキュリティセンター(NCSC)と協力して対応にあたった。影響を受けたシステムを分離し、洪水警戒システムのように優先度の高いシステムは短時間で復旧したが、完全復旧には時間がかかると見込まれる。

電子メールシステムはオフラインのままであり、クリスマスイブ以降に受信した情報にはアクセスできないという。また、オンラインの汚染報告システムは復旧したが、攻撃の早い段階で送信された情報は現在のところアクセスできないとのこと。

攻撃は組織化された国際的なサイバー犯罪グループによるものとみられ、失われたデータは約1.2GB。容量としては少なめだが、これには一般公開されているデータのほか、スタッフの個人情報なども含まれ、少なくとも4,000件のファイルがサイバー犯罪者に盗まれた可能性がある。データの一部はContiランサムウェアを運用するグループがリークサイトで公開しているそうだ。

本件についてSEPA CEOのテリー・アハーン氏はBBCラジオスコットランドのインタビューに対し、公共の資金を身代金として支払うつもりはないと述べている。

富士通が不審な動きをする人を検知するシステム「不審者検知ソリューション」を開発したそうだ（富士通、ITmedia）。

このシステムは、人がストレスや恐怖を感じたときに発する特有振動パターンを元に人の行動・動作を数値化。監視カメラの映像から、不審な行動を起こしそうな人物を事前に検知できるという。これにより、重大事故や犯罪の発生の予防に役立つとしている。20日からすでにこのシステムをNTTドコモに提供しているとのこと。

headless 曰く、

Microsoftは14日、Netlogonの特権昇格の脆弱性(CVE-2020-1472)対策として2月9日のセキュリティ更新プログラムでWindowsドメインコントローラー(DC)強制モードをデフォルト有効化するのに向け、対応を呼びかけた(Microsoft Security Response Centerのブログ記事)。

CVE-2020-1472は安全なRPCを使用しないNetlogonセキュアチャネル接続に存在するMicrosoft Netlogon Remote Protocol(MS-NRPC)の脆弱性だ。Microsoftでは2020年8月の月例更新で修正したが、悪用の可能性は低いと評価していた。しかし、9月には米国土安全保障省(DHS)が政府機関に更新プログラム適用を命ずる緊急指令20-04を発出し、Microsoftも活発な攻撃が確認されていると注意喚起していた。

DC強制モードではNetlogonセキュアチャネル接続を使用するすべてのデバイスで安全なRPCの使用が必要になる。これにより、アカウントを明示的に脆弱なままとする非対応デバイスリストに追加しない限り、安全なRPCを使用できないデバイスからの接続はブロックされる。Microsoftでは昨年のうちにFAQを公開し、2月からの強制モード有効化計画を示していたが、実施が近づいたことから改めて対応を呼びかけている。

対応の主なポイントとしては、ドメインコントローラーに昨年8月以降の更新プログラムを適用する、脆弱な接続を使用するデバイスをイベントログで特定する、脆弱な接続を使用する非対応デバイスの対策を行う、事前に強制モードを有効化する、といったものだ。

headless 曰く、

米国や欧州を中心に電動スクーターのレンタルサービスを展開するBirdは15日、タイヤのスリップ検出(Skid Detection)システムの追加を発表した(Birdのブログ記事、 SlashGearの記事)。

スリップはタイヤの摩耗で発生するほか、危険運転や強すぎるブレーキングで発生することもある。スリップ検出システム搭載により、早期にタイヤの摩耗を検出して整備可能になるほか、ライダーによる危険行為の検出も可能となる。Birdでは状況に応じ、危険行為を繰り返すライダーへのレンタルを取り消すことも可能とのことだ。

headless 曰く、

Windows 10でアクセスするとBSoDが発生するというパスをBleeping Computerが紹介している(Bleeping Computerの記事、 BetaNewsの記事)。

問題のパスは「\\.\globalroot\device\condrv\kernelconnect」というもので、先日NTFSの脆弱性を公表して話題になったJonas Lykkegaard氏が昨年10月、BSoDを引き起こす方法としてさらっとツイートしていた。当時は特に注目されなかったが、NTFSの脆弱性公表に伴って発掘されたようだ。このパスはコンソールドライバー(condrv.sys)を示すWin32デバイス名前空間パスだが、Lykkegaard氏はカーネルモード/ユーザーモードのプロセス間通信に使うものだと考えているという。このパスを使用するには属性の付加が必要だが、属性を付加しないでアクセスした場合に適切なエラーチェックが行われず、BSoDが発生するとのこと。

Bleeping Computerの記事ではBSoDが発生する操作の例としてGoogle Chromeでのアクセスと、インターネットショートカット(.urlファイル)の保存を挙げているが、手元の環境では新Microsoft EdgeやBraveなど他のChromium系ブラウザーや、FirefoxでもBSoDの発生が確認できた。一方、エクスプローラーやInternet Explorer、レガシーEdgeの場合、このパスをアドレスボックスに入力してEnterキーを押すとファイルが見つからないなどのエラーが表示されるのみで、BSoDは発生しなかった。ただし、このパスを示すインターネットショートカットをテキストエディターで作成して保存しようとするとBSoDが発生し、保存できなかった。

なお、Windows 10 Insider Preview(ビルド21292)上で試したところ、新Microsoft EdgeでBSoDは発生しなかったが、Google Chromeを含む他のChromium系ブラウザーやFirefoxでBSoDが発生する点は変わりなかった。また、Windows 8.1では上述のいずれの操作を実行してもBSoDが発生することはなかった。

GoogleのCOVID-19接触通知システムを使用するAndroidアプリで「Loading...」という通知が表示されたままになるトラブルが発生し、Googleが修正したそうだ(The Vergeの記事、 The Registerの記事、 Neowinの記事)。

GoogleがThe Vergeに説明したところによると、問題は署名鍵の構成で発生したものだという。接触通知システムではCOVID-19陽性と診断されたユーザーが診断鍵(diagnosis key)を鍵サーバーにアップロードし、他のユーザーに情報が提供される。しかし、12日夕方から鍵サーバーからの診断鍵ダウンロードで問題が発生し、接触の通知が遅れる結果になったとのこと。

今回の問題でGoogleのCOVID-19接触通知システムを使用するアプリは全世界で影響を受けたとみられるが、英国の「NHS Covid-19」アプリやオランダの「CoronaMelder」アプリ、ドイツの「Corona-Warn」アプリで影響が報告されている。Googleでは既に問題を修正したが、復旧に問題が発生しているアプリの開発者には直接手助けを行うそうだ。また、ユーザーに対してはアプリのデータを消去しないよう求めているとのことだ。

1月12日に元ソフトバンク社員が社内の営業秘密を不正に持ち出したとして警視庁に逮捕されたそうだ。この人物は2019年末にソフトバンクを退職し、楽天モバイルに社員として転職していたという（ケータイ Watch、ITmedia）。

12日のソフトバンク側の発表によれば、この人物はソフトバンクの4Gおよび5Gネットワーク用の基地局設備の情報を持ち出したとしている。顧客などの個人情報についてはアクセス権がなかったことから持ち出しはされていないとのこと（ソフトバンク）。

この発表を受けて、楽天モバイル側も同日にリリースを出している。従業員1名が、不正競争防止法違反の容疑により逮捕されたことは認めつつも、この従業員が前職により得た営業情報を業務に利用していたことはないと否定している（楽天モバイル）。

東洋経済の記事では、持ち出しの手法についての解説が行われている。これによれば、容疑者はソフトバンク在籍の最終日に社内サーバーに接続し、機密情報を自分の別メアドに送信するという単純な手法であったようだ。同記事ではソフトバンク側の情報管理体制にも問題があったと指摘している（東洋経済）。

AppleのワイヤレスヘッドフォンAirPods Maxで、数時間使用するとイヤーカップ内部に結露が発生することが話題になっている(Mac Rumorsの記事、 Forbesの記事、 9to5Macの記事、 iPhone in Canada Blogの記事)。

報告によれば、結露が発生するまでの使用時間は1時間～数時間で、外気温にかかわらず発生するという。耳を覆う形のヘッドフォンを気温の高いときに使用するとイヤークッションが汗で湿って不快なこともあるが、AirPods Maxのイヤークッションは湿っておらず、取り外すとアルミニウム製のイヤーカップ内部に結露がみられるとのこと。水滴が流れるほどの結露が発生することもあるようで、防水でないAirPods Maxでは故障の可能性もある。水と無関係な故障でも水没と判定されることを懸念する人もいるようだ。

日産の北米法人であるNissan North Americaで、社内ツールのソースコードがネット上に流出したと報じられている。原因はGitサーバーの設定ミスで、デフォルトのユーザ名「admin」とパスワード「admin」のままとなっていたという。この情報は1月4日からTelegramのチャンネルやハッキングフォーラムで共有され始めたそうだ。日産は5日に気がつき、サーバーをオフラインにした模様（ZDNet、GIGAZINE）。

この情報にアクセスしたソフトウェア・エンジニアTillie Kottmann氏は、ZDNetに対してGitリポジトリには次のようなデータがあったと回答している。

• Nissan NA Mobile apps（日産NAモバイルアプリ）
• some parts of the Nissan ASIST diagnostics tool（日産アシスト診断ツールの一部）
• the Dealer Business Systems / Dealer Portal（ディーラービジネスシステム・ディーラーポータル）
• Nissan internal core mobile library（日産の内部コアモバイルライブラリ）
• Nissan/Infiniti NCAR/ICAR services（日産インフィニティのNCAR/ICARサービス）
• client acquisition and retention tools（顧客獲得と保持のためのツール）
• sale / market research tools + data（営業とマーケティング調査のツールとデータ）
• various marketing tools（さまざまなマーケティングツール）
• the vehicle logistics portal（車両ロジスティクスポータル）
• vehicle connected services / Nissan connect things（自動車の接続サービス関連）
• and various other backends and internal tools（その他のバックエンドと内部ツール）

headless 曰く、

Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691、 Ghacksの記事、 Windows Latestの記事)。

Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。

5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。

あるAnonymous Coward 曰く、

TBS系列のJNNによると、新型コロナウイルス陽性患者・数千人分の個人情報の記載された福岡県の内部文書が少なくとも1か月以上に渡ってインターネットに公開されていたという（TBS NEWS）。

報道されたニュース映像では、氏名、年齢、性別、市区町村レベルの住所、詳しい症状といった要配慮個人情報がGoogle スプレッドシートで管理され、適切なアクセス制限が行われていなかったことが伺える。しかし、Google スプレッドシート文書は誤ってアクセス制限を行わなずに公開したとしても、ランダムに発行される共有URLを知らなければアクセスすることはできない。

発覚のきっかけは、去年11月末に神奈川県在住の無関係の男性の元に内部文書が送られてきたことだという。この男性は福岡県に連絡したものの、第三者が内部文書にアクセスできる状態が1か月あまりも続き、（おそらくは男性からの情報提供を受けた）JNNが取材したところ、1月6日になってネット上から削除されたとのこと。

漏洩の件数や内容を考えると重篤なインシデントと言えるが、男性に文書を送ったのは何者なのか？ どうして共有URLを知っていたのか？ なぜ無関係の男性に文書を送ったのか？ なぜ県は1ヶ月も放置したのか？ など、謎が尽きない。

情報元へのリンク

過去に物議を醸したこともある愛知県の芸術祭「あいちトリエンナーレ」。同実行委員会は1月4日、運営するメール配信システムへ不正アクセスがあったと発表した。メールの登録者に対して、実行委員会を装ったなりすましのメールが送付されたとしている（あいちトリエンナーレ実行委員会、NHK、ITmedia）。

リリースによればこのメール配信の登録者は約3,500件であるという。なりすましメールが送付された件数については現在確認中とのこと。漏洩した可能性のある個人情報は、メールアドレス及び登録された氏名だとしている。リリースによれば、現在はメール配信システムを停止したほか、登録者に注意喚起のメールを送信したとしている。

一部地域の郵便局では、マイナンバーカードの交付申請ができるようなっているが、同様の手続きを携帯ショップでも申請できるようにするという話があるそうだ。カードを発行している地方自治体の窓口は平日対応のみ。そこで休日も営業している携帯ショップを活用するという流れであるようだ。今年度中に方向性をまとめ、21年度中の実現を目指すとしている（SankeiBiz）。

携帯ショップが選ばれた理由として、本人確認の業務に慣れている点もあるという。政府はスマートフォンとマイナンバーカードの一体化を目指していることから、将来的には手続きの効率化も図れるという読みもあるようだ。

headless 曰く、

英中央刑事裁判所のバネッサ・バライツァー地方判事は4日、米国によるジュリアン・アサンジ氏の身柄引渡要求を却下した(AP Newsの記事、 The Guardianの記事)。

アサンジ氏は2010年に英国・ロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めて在英エクアドル大使館に入り、そのまま7年近く滞在し続けた。しかし、2019年4月に保釈中の逃亡容疑で逮捕され、米国の引渡令状により再逮捕された。米政府はWikiLeaksで数多くの機密文書を公開したアサンジ氏をスパイ活動法違反など計17件の罪で起訴しているが、身柄引渡に関する審理はCOVID-19の影響で遅れていた。なお、もともとの逮捕容疑であるスウェーデンでの性的暴行容疑はすべて時効となっている。

ジャーナリストや人権活動家などからは米国での起訴が政治的な動機によるもので、表現の自由を踏みにじるものだとして、アサンジ氏解放を求める声が強まっている。アサンジ氏側は米国で公正な裁判を受けられない可能性や、過酷な環境に拘置される可能性を主張して身柄引渡に反対したが、判事は前者を退けて後者のみを理由に身柄引渡要求を却下した。判事によれば、アサンジ氏の精神状態は過酷な拘置環境に耐えられず自殺する可能性があるうえ、米当局による自殺防止対策を迂回する知恵と決断力があるとのこと。

米政府は控訴する意思を示しているが、政権移行を間近に控えて先行きは不透明だ。アサンジ氏側の弁護士やアサンジ氏の支援者は判事の決定に満足してはいないものの歓迎しており、最終的にはアサンジ氏の解放を目指す。アサンジ氏との間に2人の息子を持つパートナーは、ドナルド・トランプ大統領が退任前にアサンジ氏を恩赦することを期待しているとのことだ。

headless 曰く、

米フロリダ南部地区連邦地裁のRodney Smith判事は12月29日、セキュリティ企業Corelliumが提供するiOS仮想化サービスはフェアユースにあたり、Appleの著作権を侵害しないとの判断を示した(裁判所文書: PDF、 HackReadの記事、 Ars Technicaの記事、 The Vergeの記事)。

CorelliumのiOS仮想化はAppleが無償提供しているiOSのソフトウェアイメージ(IPSWファイル)をダウンロードして利用するもので、製品にAppleのコードは含まれない。製品のターゲットは脆弱性調査を行うセキュリティ研究者となっており、App Storeや音声通話、カメラといった一般ユーザー向けの機能は利用できない。アプリ開発者に有用な機能は含まれるが、アプリ開発者には訴求しない価格設定になっているという。Appleは2018年にCorellium買収について交渉を行っていたが、最終的に買収金額が折り合わず、交渉は打ち切られている。AppleがCorelliumを訴えたのは翌2019年8月のことだ。

Appleの訴えの主なポイントは、CorelliumによるiOSの著作権侵害と、デジタルミレニアム著作権法(DMCA)1201条(迂回禁止条項)違反の2点だ。Apple側はDMCA迂回禁止条項違反について略式判決を請求していた。一方、Corellium側は著作権保護の対象となるApple製品の要素の利用がフェアユースに相当し、DMCA迂回禁止条項の免除対象になるなどと主張して略式判決を請求していた。

Smith判事はまず、CorelliumによるiOSの利用がフェアユースに相当することを確認し、Corelliumの略式判決請求を一部認めた。一方、DMCA迂回禁止条項違反の有無に関しては、両者の略式判決請求を却下している。