sudoに10年近く前から存在したヒープベースのバッファーオーバーフロー脆弱性(CVE-2021-3156)がsudo 1.9.5p2で修正された(Sudo Stable Release、 Qualys Security Advisory、 The Registerの記事、 BetaNewsの記事)。

発見者のQualysが「Baron Samedit」と名付けたこの脆弱性はsudoが引数のエスケープを処理する方法に存在し、「sudoedit -s」コマンドにエスケープされていないバックスラッシュで終わる引数を指定して実行することによりヒープベースのバッファーオーバーフローが引き起こされる。この脆弱性を悪用することで、任意のユーザー権限の攻撃者がroot権限を取得できる可能性があるという。

脆弱性が導入されたのは2011年7月で、sudoのレガシー版1.8.2～1.8.31p2および安定版1.9.0～1.9.5p1が影響を受ける。上流では安定版のみが修正されているが、レガシー版を同梱するLinuxディストリビューションでは個別に修正が行われている。

あるAnonymous Coward 曰く、

近年ではGitHubと連携するサービスが多々あるが、あるユーザーが「GitHubのコードで年収を査定してくれるサービスを使うため」という理由で、手元にあった会社のソースコードをそのままpublicリポジトリにアップロードして放置してしまい、それが発見されるという事件があり大騒ぎになっている（Togetter、経緯のまとめっぽいツイート）。

発端となったのはゲームを巡るTwtter上での炎上事件だったようで、炎上した結果個人情報などが調べられた末に、28日夜にGitHubに会社のコピーライト表記が入ったソースコードが公開されているのが判明。慌てた周囲の人が本人に問い合わせるも「それ単体では動かない」「商用利用していない」「GitHubは非公開にした」「デフォルトで公開になるとは思ってなかった」「コードから推定年収を計算してくれるサイトを使うために、手元にあったコードをすべてアップした」「どこで作ったコードか覚えていない」「明日営業さんに聞いてみる」と全く問題を理解していない感じの返答が続いて、逆に周囲が騒然となる事態となっている。

アップロードされていたソースのコピーライトとしては、SMBCやNTTといった企業の名が挙がっている。SNS上では、本人の危機意識の無さを嘆く一方、とばっちりでGitHub禁止令が出るのではと危惧する声や、多重請や派遣が溢れるのにコンプライアンス教育が徹底できるわけがないと業界構造の問題を訴える声も上がっている。

情報元へのリンク

日経クロステックによれば、この件を受けて三井住友銀行（SMBC）は流出したコードが行内システムのソースコードの一部と一致していたことを認めているという。セキュリティーに影響を与えるものではないことは確認済みだとしている。公開されていたコードは、複数ある事務系のシステムのエラーチェックに関するものだとしている。ITmediaによると関連する流出コードに対し、コピーライトに名前の出ている関係各社は対応に追われている模様（日経クロステック、ITmedia）。

あるAnonymous Coward 曰く、

仮想通貨取引所bitFlyerは12月時点で預かり資産残高が2892億円を突破し、過去最大を記録したと発表した（bitFlyerリリース、ITmedia、coindesk JAPAN）。

一時低迷していたビットコインだったが、2020年後半に上昇を始め、2021年1月8日に史上最高値435万円を付けている(Coincheck リアルタイムチャート)。現在は若干下がりタレコミ時点で300～350万円程度で推移しているが、それでも前回バブル期よりも高値が続いている。

果たして今回もバブルで崩壊するのか、まだまだ上昇途中なのかは分からないが、それだけ既存通貨の信用が落ちているということなのだろうか？
皆さんはどう感じるだろうか。

中でもバブル感の強いビットコインについては、国際決済銀行（BIS）のアグスティン・カルステンス総支配人が27日、破綻もあり得るとして警告を行っている。同氏はビットコインの発行総量が上限とされている2100万BTCに近づいており、外部からさまざまな攻撃を受けやすい状況だと指摘している（Bloomberg）。

headless 曰く、

英教育省(DfE)ではCOVID-19による自宅学習でリモート教育環境へのアクセスを支援するため、必要なデバイスを用意できない子供たちにノートPCを支給しているが、その一部にマルウェアがプリインストールされているのが見つかり注目されている(HackReadの記事、 The Registerの記事、 The Guardianの記事、 The Telegraphの記事)。

支給されるノートPCには複数のモデルがあり、マルウェアがプリインストールされているのは「GeoBook 1E」という教育機関向けノートPCだという。マルウェアは「Gamarue」と呼ばれるワームで、Microsoftでは2012年からマルウェアとして検出しているとのこと。GeoBook 1EにはWindows 10がプリインストールされており、初回起動時にプリインストールされたマルウェアを検出するため、注目を集めているようだ。DfEによれば、マルウェアがプリインストールされたノートPCは全体の10%であり、初回起動時に削除される(ため安全)とのことだ。

あるAnonymous Coward 曰く、

映画雑誌『映画秘宝』の岩田編集長が1月5日にラジオ出演後、出演番組に対して否定的なツイートをしていたツイッターユーザーにダイレクトメッセージ（DM）で「誹謗中傷され傷ついた。死にたい」というメッセージを送り付けた。

ユーザーが「こんなDMが映画秘宝公式アカウントから送られてきた」と晒したことから炎上。1月25日に映画秘宝編集部が謝罪をすることとなったが、その際にも編集部に問い合わせをしてきたユーザーの電話番号に謝罪のため直接電話をしたことが「個人情報の悪用で暴力的だ」とさらなる批判を受けることになった。

翌日の26日に映画秘宝編集部が再び謝罪することになったが、この騒動で『映画秘宝』が廃刊になるのではないかとの声も上がっている。
https://twitter.com/eigahiho/status/1353840069652541442

『映画秘宝』は1995年に洋泉社が創刊したが2020年2月に同社が宝島社に吸収合併したことから2020年3月号をもって休刊、岩田編集長が同年4月にオフィス秘宝を設立し6月号から復刊していた。

情報元へのリンク

なお雑誌「映画秘宝」の制作会社であるオフィス秘宝は、映画秘宝公式Twitterでの説明で岩田編集長はダイレクトメッセージ送付相手の電話番号を取得し、謝罪のために直接電話をかけるという行為もしていたと説明している。電話番号の入手の経緯などについては書かれていない。オフィス秘宝はこの件を看過することができないと判断しており、今回の件で岩田編集長に対して、断固たる処分を下すとする方針だとしている（映画秘宝公式Twitter、双葉社、日刊スポーツ、ITmedia）。

あるAnonymous Coward 曰く、

埼玉県の新型コロナウイルス新規感染者情報ページで、一部の患者の氏名や検査機関と思われる個人情報が公開されてしまっていたらしい。公開されていた期間は25日午後5時から同10時半ごろまでの5時間半程であるようだ。(埼玉新聞、NHK、テレ朝NEWS)。

あるAnonymous Coward 曰く、

2018年1月に発生した仮想通貨取引所のコインチェックから不正アクセスで約580億円相当のNEMが盗まれた事件で、警視庁は盗まれたNEMと知りながら別の仮想通貨との交換に応じたとして、31人を組織犯罪処罰法違反の疑いで検挙した（NHK、日経新聞）。

盗まれたNEMは最終的に全額が換金されてしまったとみられるが、今回検挙された人々はそのうち計190億円分のマネーロンダリングに応じたとみられている。一方で、NEMを盗んだ犯人は未だ特定に至っていない。

情報元へのリンク

スコットランド環境保護庁(SEPA)は14日、クリスマスイブにランサムウェアの被害にあっていたことを発表した(メディアリリース、 BankInfoSecurityの記事、 The Registerの記事、 SEPAのツイート)。

攻撃が判明したのはクリスマスイブの0時1分。すぐにSEPAの緊急事態対応チームがスコットランド政府やスコットランド警察、英国家サイバーセキュリティセンター(NCSC)と協力して対応にあたった。影響を受けたシステムを分離し、洪水警戒システムのように優先度の高いシステムは短時間で復旧したが、完全復旧には時間がかかると見込まれる。

電子メールシステムはオフラインのままであり、クリスマスイブ以降に受信した情報にはアクセスできないという。また、オンラインの汚染報告システムは復旧したが、攻撃の早い段階で送信された情報は現在のところアクセスできないとのこと。

攻撃は組織化された国際的なサイバー犯罪グループによるものとみられ、失われたデータは約1.2GB。容量としては少なめだが、これには一般公開されているデータのほか、スタッフの個人情報なども含まれ、少なくとも4,000件のファイルがサイバー犯罪者に盗まれた可能性がある。データの一部はContiランサムウェアを運用するグループがリークサイトで公開しているそうだ。

本件についてSEPA CEOのテリー・アハーン氏はBBCラジオスコットランドのインタビューに対し、公共の資金を身代金として支払うつもりはないと述べている。

富士通が不審な動きをする人を検知するシステム「不審者検知ソリューション」を開発したそうだ（富士通、ITmedia）。

このシステムは、人がストレスや恐怖を感じたときに発する特有振動パターンを元に人の行動・動作を数値化。監視カメラの映像から、不審な行動を起こしそうな人物を事前に検知できるという。これにより、重大事故や犯罪の発生の予防に役立つとしている。20日からすでにこのシステムをNTTドコモに提供しているとのこと。

headless 曰く、

Microsoftは14日、Netlogonの特権昇格の脆弱性(CVE-2020-1472)対策として2月9日のセキュリティ更新プログラムでWindowsドメインコントローラー(DC)強制モードをデフォルト有効化するのに向け、対応を呼びかけた(Microsoft Security Response Centerのブログ記事)。

CVE-2020-1472は安全なRPCを使用しないNetlogonセキュアチャネル接続に存在するMicrosoft Netlogon Remote Protocol(MS-NRPC)の脆弱性だ。Microsoftでは2020年8月の月例更新で修正したが、悪用の可能性は低いと評価していた。しかし、9月には米国土安全保障省(DHS)が政府機関に更新プログラム適用を命ずる緊急指令20-04を発出し、Microsoftも活発な攻撃が確認されていると注意喚起していた。

DC強制モードではNetlogonセキュアチャネル接続を使用するすべてのデバイスで安全なRPCの使用が必要になる。これにより、アカウントを明示的に脆弱なままとする非対応デバイスリストに追加しない限り、安全なRPCを使用できないデバイスからの接続はブロックされる。Microsoftでは昨年のうちにFAQを公開し、2月からの強制モード有効化計画を示していたが、実施が近づいたことから改めて対応を呼びかけている。

対応の主なポイントとしては、ドメインコントローラーに昨年8月以降の更新プログラムを適用する、脆弱な接続を使用するデバイスをイベントログで特定する、脆弱な接続を使用する非対応デバイスの対策を行う、事前に強制モードを有効化する、といったものだ。

headless 曰く、

米国や欧州を中心に電動スクーターのレンタルサービスを展開するBirdは15日、タイヤのスリップ検出(Skid Detection)システムの追加を発表した(Birdのブログ記事、 SlashGearの記事)。

スリップはタイヤの摩耗で発生するほか、危険運転や強すぎるブレーキングで発生することもある。スリップ検出システム搭載により、早期にタイヤの摩耗を検出して整備可能になるほか、ライダーによる危険行為の検出も可能となる。Birdでは状況に応じ、危険行為を繰り返すライダーへのレンタルを取り消すことも可能とのことだ。

headless 曰く、

Windows 10でアクセスするとBSoDが発生するというパスをBleeping Computerが紹介している(Bleeping Computerの記事、 BetaNewsの記事)。

問題のパスは「\\.\globalroot\device\condrv\kernelconnect」というもので、先日NTFSの脆弱性を公表して話題になったJonas Lykkegaard氏が昨年10月、BSoDを引き起こす方法としてさらっとツイートしていた。当時は特に注目されなかったが、NTFSの脆弱性公表に伴って発掘されたようだ。このパスはコンソールドライバー(condrv.sys)を示すWin32デバイス名前空間パスだが、Lykkegaard氏はカーネルモード/ユーザーモードのプロセス間通信に使うものだと考えているという。このパスを使用するには属性の付加が必要だが、属性を付加しないでアクセスした場合に適切なエラーチェックが行われず、BSoDが発生するとのこと。

Bleeping Computerの記事ではBSoDが発生する操作の例としてGoogle Chromeでのアクセスと、インターネットショートカット(.urlファイル)の保存を挙げているが、手元の環境では新Microsoft EdgeやBraveなど他のChromium系ブラウザーや、FirefoxでもBSoDの発生が確認できた。一方、エクスプローラーやInternet Explorer、レガシーEdgeの場合、このパスをアドレスボックスに入力してEnterキーを押すとファイルが見つからないなどのエラーが表示されるのみで、BSoDは発生しなかった。ただし、このパスを示すインターネットショートカットをテキストエディターで作成して保存しようとするとBSoDが発生し、保存できなかった。

なお、Windows 10 Insider Preview(ビルド21292)上で試したところ、新Microsoft EdgeでBSoDは発生しなかったが、Google Chromeを含む他のChromium系ブラウザーやFirefoxでBSoDが発生する点は変わりなかった。また、Windows 8.1では上述のいずれの操作を実行してもBSoDが発生することはなかった。

GoogleのCOVID-19接触通知システムを使用するAndroidアプリで「Loading...」という通知が表示されたままになるトラブルが発生し、Googleが修正したそうだ(The Vergeの記事、 The Registerの記事、 Neowinの記事)。

GoogleがThe Vergeに説明したところによると、問題は署名鍵の構成で発生したものだという。接触通知システムではCOVID-19陽性と診断されたユーザーが診断鍵(diagnosis key)を鍵サーバーにアップロードし、他のユーザーに情報が提供される。しかし、12日夕方から鍵サーバーからの診断鍵ダウンロードで問題が発生し、接触の通知が遅れる結果になったとのこと。

今回の問題でGoogleのCOVID-19接触通知システムを使用するアプリは全世界で影響を受けたとみられるが、英国の「NHS Covid-19」アプリやオランダの「CoronaMelder」アプリ、ドイツの「Corona-Warn」アプリで影響が報告されている。Googleでは既に問題を修正したが、復旧に問題が発生しているアプリの開発者には直接手助けを行うそうだ。また、ユーザーに対してはアプリのデータを消去しないよう求めているとのことだ。

1月12日に元ソフトバンク社員が社内の営業秘密を不正に持ち出したとして警視庁に逮捕されたそうだ。この人物は2019年末にソフトバンクを退職し、楽天モバイルに社員として転職していたという（ケータイ Watch、ITmedia）。

12日のソフトバンク側の発表によれば、この人物はソフトバンクの4Gおよび5Gネットワーク用の基地局設備の情報を持ち出したとしている。顧客などの個人情報についてはアクセス権がなかったことから持ち出しはされていないとのこと（ソフトバンク）。

この発表を受けて、楽天モバイル側も同日にリリースを出している。従業員1名が、不正競争防止法違反の容疑により逮捕されたことは認めつつも、この従業員が前職により得た営業情報を業務に利用していたことはないと否定している（楽天モバイル）。

東洋経済の記事では、持ち出しの手法についての解説が行われている。これによれば、容疑者はソフトバンク在籍の最終日に社内サーバーに接続し、機密情報を自分の別メアドに送信するという単純な手法であったようだ。同記事ではソフトバンク側の情報管理体制にも問題があったと指摘している（東洋経済）。

AppleのワイヤレスヘッドフォンAirPods Maxで、数時間使用するとイヤーカップ内部に結露が発生することが話題になっている(Mac Rumorsの記事、 Forbesの記事、 9to5Macの記事、 iPhone in Canada Blogの記事)。

報告によれば、結露が発生するまでの使用時間は1時間～数時間で、外気温にかかわらず発生するという。耳を覆う形のヘッドフォンを気温の高いときに使用するとイヤークッションが汗で湿って不快なこともあるが、AirPods Maxのイヤークッションは湿っておらず、取り外すとアルミニウム製のイヤーカップ内部に結露がみられるとのこと。水滴が流れるほどの結露が発生することもあるようで、防水でないAirPods Maxでは故障の可能性もある。水と無関係な故障でも水没と判定されることを懸念する人もいるようだ。