パスワードを忘れた? アカウント作成

今週も投票をしましたか?

15272676 story
Google

GoogleのCOVID-19接触通知システム、プライバシーリスクにつながるデータをプリインストールアプリが読み取り可能 7

ストーリー by nagazou
日本はプリインストールアプリ多いからなあ 部門より
headless 曰く、

GoogleのCOVID-19接触通知システムで、プライバシーリスクにつながるデータがサードパーティーのプリインストールアプリから読み取れる状態になっていたそうだ(The AppCensus Blogの記事The Markupの記事The Vergeの記事SlashGearの記事)。

問題のデータは近くにいるユーザー同士が送受信する近接識別子「Rolling Proximity Identifier (RPI)」と、RPIを送ってきたユーザーのMACアドレスだ。GoogleのシステムではこれらのデータをAndroidのシステムログへ書き込むようになっていたという。ユーザーがインストールしたアプリはシステムログを読み取ることはできないが、プリインストールアプリは読み取り可能だ。発見者のAppCensusによれば、システムログ読み取りのパーミッションを得たプリインストールアプリは数多くあるようだ。

RPIは公開されるデータなので一見問題なさそうだが、MACアドレスと組み合わせて大量のデータを照合すればユーザー同士の相関図を作ることができる。また、RPIは10~20分ごとに更新されるものの、陽性者が保健当局に秘密鍵「Temporary Exposure Key (TEK)」を提供し、診断鍵として公開された場合、その陽性者に複数のRPIを結び付けることも可能になる。さらに、ユーザーに接触の有無を通知する際、そのデータもシステムログに記録されるとのこと。そのため、個人を特定可能なデータをログに記録しない、というAndroidのベストプラクティスをGoogle自身が守っていないとAppCensusは批判する。

AppCensusは今回の調査を米国土安全保障省(DHS)科学技術局(S&T)から受注して実施しており、この問題を2月に報奨金プログラムを通じてGoogleへ報告したという。しかし、Googleは報告を却下し、自らバグ報告後の修正期限として推奨する60日以上経過しても修正する様子がなかったため、倫理面について議論した末に開示を決めたとのこと。一方、Googleは報告を受けて数週間前に修正をロールアウトし、今後数日中に完了する見込みだとThe Markupに伝えたとのことだ。

15272674 story
セキュリティ

バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 61

ストーリー by nagazou
現役と思われる機種も多いので確認を 部門より
あるAnonymous Coward 曰く、

バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。

JPCERTによると
CVE-2021-3511:第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512:第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716:第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。

基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。

JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

15271223 story
情報漏洩

内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 51

ストーリー by nagazou
流出 部門より

内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー(FileZen)に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという(内閣府piyologITmedia)。

今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、

開発元において3月までに修正パッチの提供等所要の対応がとられました(同社から公表済み)。

ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた(ソリトンシステムズ)。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。

あるAnonymous Coward 曰く、

なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。

情報元へのリンク

15270412 story
インターネット

最恐のウイルスと呼ばれた「Emotet」終息の日を迎える 21

ストーリー by nagazou
[終] 部門より
あるAnonymous Coward 曰く、

各国現地時間の25日正午、世界各地で猛威を振るったマルウェア「Emotet」の自己削除プログラムが起動し、最恐と呼ばれたコンピュータウイルスが根絶された記念すべき日となった。

既報の通り、欧州刑事警察機構を中心とした欧米8か国の合同捜査チームが今年1月27日に「Operation LadyBird」を実行。ウクライナにある活動拠点とオランダにあるC&Cサーバの制圧に成功していた。この時、オランダの警察当局は押収したC&Cサーバから世界中のEmotetを無害化、さらに時限的な自己削除を行うプログラムを配信。Emotetの感染端末に別のマルウェアを注入する攻撃が確認されていたことから、感染端末を特定し、別途注入されたマルウェアを駆除するための猶予期間として、2021年4月25日12時00分が活動限界に設定されていた(ZDNet)。

なお、Emotetの感染拡大防止にあたっては海外の「Cryptolaemus」と日本の「ばらまきメール回収の会」という有志のグループが大きく貢献しており、後者についてはNHKが13日付でその活動を詳しく報じて讃えている(NHKニュース)。

15269280 story
法廷

米連邦最高裁、FTCが詐欺被害者を助ける最も強力なツールを奪う

ストーリー by nagazou
なんだこれ 部門より
headless 曰く、

米連邦最高裁は22日、連邦取引委員会法(FTC法)第13条(b)は詐欺被害者への返金を詐欺師から確保する権限を連邦取引委員会(FTC)に与えていないとの判断を示した(Ars Technicaの記事The Registerの記事FTCの声明裁判所文書: PDF)。

この裁判は契約した7倍の利息を消費者に支払わせていたペイデイローン会社をFTCが訴えていたもの。第13条(b)はFTCが管轄する違法行為について、違法行為者への一時的な禁止命令や事前差止命令を出す権限をFTCに与えている。しかし、FTCでは過去40年にわたり、この条項で被害者への返金を確保してきたという。一審・二審ともにFTCの請求を認めていたが、連邦最高裁はFTCに権限がないと判断し、下級審へ差し戻した。

連邦最高裁の意見書では第5条と第19条で返金を確保することは可能だと指摘しつつ、議会が動けば容易に抜本的な解決が可能だと述べている。この判決についてFTC委員長代行のRebecca Kelly Slaughter氏は、FTCが消費者を助ける最も強力なツールを奪ったと批判する一方、被害にあった消費者を助ける権限をFTCに与えるよう議会に要請している。

15268772 story
Twitter

Twitter、用もないのにアカウント確認メールを多数のユーザーへ送るトラブル 1

ストーリー by headless
無用 部門より
Twitterが必要のないアカウント確認メールを多数のユーザーに誤って送り、フィッシングではないかと疑われる事態になっていたそうだ(The Vergeの記事BleepingComputerの記事SlashGearの記事)。

メッセージは電子メールアドレスを確認してTwitterアカウントを完成させようといったもので、ボタンをクリックするよう求めている。内容としては新規アカウント作成時に送られるもののようだ。

これについてTwitter Supportは、アカウント確認メールを予期していなかったユーザーが受信した場合は誤送信だと説明して謝罪。このようなメールを受信してもアカウントを確認する必要はなく、無視してかまわないと述べている(Twitter Supportのツイート)。
15267001 story
スラッシュバック

紛失防止タグ「AirTag」はストーカー用途に悪用できるか? 80

ストーリー by nagazou
抜け穴はあるのかもしれないけれど 部門より
米Appleは20日、紛失防止タグ「AirTag」を発表した。4月30日からの発売で、アップルストアでの価格設定は1個3800円(税込)、4個セットの場合は1万2800円(税込)となる(ケータイ WatchITmedia)。

iPhoneなどの「探す」アプリと組み合わせることにより、忘れ物や紛失物を見つけ出すことができるようになる。こうした紛失防止タグ自体は従来からあるが、AirTagではAppleの製品同士が持つネットワークを活用し、iPhoneの「探す」アプリから落とし物を見つけ出せるのが最大の特徴。通常の落とし物タグが、Bluetoothで通信を行うのに対し、AirTagはUWB(Ultra Wideband)を使用することで、広い範囲での通信と正確な位置把握ができる特徴を持っている。

一方でこの仕組みを悪用してストーカーなどに悪用されないかとする懸念も出ているようだ。Appleもこの問題に関してはあらかじめ想定していたようで、一定の対策が行われている模様。Engadgetの記事が具体的なストーカーの事例と対策例を紹介している(Engadget)。この記事によれば、Phoneから離れたAirTagは、設定した親機から離れて一定の時間が経過すると、AirTagが鳴り続ける仕組みであることからストーカー用途には不向きであるという。タレコミにあるようにModを用いて音を消している場合でも、本人がiPhoneを所持している場合、登録していないAirTagを「知らないAirTag」として検知するが機能が用意されており、この「知らないAirTag」が自分と一緒に動いている場合、iPhoneに通知が行われる仕組みであるらしい。

あるAnonymous Coward 曰く、

Appleが忘れ物防止タグ AirTag を発表しました
ネットワークの利用に関して高度のセキュリティを備えているそうですが、ならばストーカー御用達の道具にもなり得るのではないでしょうか?
AirTagはスピーカーを内蔵して音を出すことが出来るそうですが、ならば持たせた人にAirTagを気づかせないようにスピーカーを無効化するmodもすぐに出てくるのでは?
https://k-tai.watch.impress.co.jp/docs/news/1320035.html
https://www.apple.com/jp/airtag/

15266852 story
お金

Microsoft StoreやSpotifyの偽ページ、広告で誘導して情報窃取マルウェアを配布 2

ストーリー by nagazou
巧妙化 部門より
headless 曰く、

Microsoft Storeなどの偽ページを通じた情報窃取キャンペーンが確認されたとしてESETが注意喚起している(BleepingComputerの記事SlashGearの記事Windows Centralの記事ESET researchのツイート)。

ESETによれば情報窃取キャンペーンは南米のユーザーをターゲットにしたもので、「cdnserverhostingdomainname[.]site」というドメインでホストされている。攻撃用ページはMicrosoft Storeのほか、SpotifyとオンラインPDFコンバーター「FreePDFConvert」の偽物が確認されているという。直接たどり着くことはなさそうな偽ページだが、BleepingComputerによれば広告を通じて誘導する仕組みのようだ。

Microsoft Storeの偽ページは本物そっくりに作られているが、「Get」ボタンは「Download Free」ボタンに置き換えられており、クリックするとマルウェア「Ficker」を含むZIPファイルがダウンロードされる。偽Spotifyや偽FreePDFConvertも同様だ。ダウンロードしたZIPファイルを展開してできる実行ファイルを実行すると、アプリや変換結果のPDFファイルが表示される代わりにマルウェアが活動を開始する。

Fickerは1月にロシア語のハッカーフォーラムでレンタル用として公開されたもので、開発者はWebブラウザーなどが保存した認証情報や暗号通貨ワレット、文書ファイルを盗み出すほか、実行中アプリのスクリーンショット撮影も可能だと説明しているとのことだ。

15266977 story
情報漏洩

警察庁、SMS認証の代行業者の取締まり強化を全国の警察に指示 32

ストーリー by nagazou
春の取り締まり 部門より
二段階認証の方法として「SMS認証」が使われるようになって久しい。本人確認のためのる仕組みであるにも関わらず、これを有料で代行する業者が増加しているという。しかし、SMS認証が本来の意味を喪失しかねないとして、警察庁が取り締まりなどの対策を強化する方針を決めた模様(時事ドットコム産経新聞日経新聞)。

こうした代行業者はユーザーの代わりに自分の端末の電話番号を伝えて手続きし、一手間かかる認証コードの入力を受け持つ。依頼者は入力の手間がなくなるほか、携帯電話がなくても匿名のままサービスを利用できるというメリットがある。

しかし、多くの場合は通話アプリを特殊詐欺に、電子決済アプリをマネーローンダリングに使用するなどの犯罪目的で悪用されているとのこと。トラブルが起きても利用者本人と登録名義が異なることから、警察の追跡が困難であるためだという。代行業者自体が仕組みを悪用して摘発された例も出ている。昨年、PayPayの認証コードを他人に提供し、認証代行を行った家族が埼玉県警に逮捕されている。
15264758 story
Firefox

Firefox 88リリース、FTPサポートが無効化 27

ストーリー by nagazou
無効 部門より
headless 曰く、

Mozillaは19日、Firefox 88.0をリリースした(リリースノートMozilla Hacksの記事)。

本バージョンではFTPサポートがデフォルト無効になっている。現在のところ高度な設定(about:config)で「network.ftp.enabled」を「true」に変更すればFTPサポートが有効になるが、Firefox 90ではFTP実装が削除される。FTP無効化に伴い、Web拡張機能が自身をFTPのプロトコルハンドラーとして登録することが可能になっている。

Googleは1月リリースのChrome 88で全ユーザーのFTPサポートを無効化しており、Chrome 91でコードベースから削除する計画だ。現在のところフラグ「#enable-ftp」を「Enabled」に設定することでFTPサポートを有効化可能で、他のChromium系ブラウザー(Brave/Edge/Opera/Vivaldi)でも同様だった。このフラグはChrome Dev(バージョン91)でも利用可能だが、Chrome Canary(バージョン92)には存在しない。

15264798 story
インターネット

中国共産党員の男を書類送検。JAXAらのサイバー攻撃に関与の疑いで 27

ストーリー by nagazou
足止めとかできなかったのかなあ 部門より
宇宙航空研究開発機構(JAXA)をはじめとする国内約200の企業や研究機関に対し、サイバー攻撃を行った疑いで警視庁公安部は20日、中国共産党員でシステムエンジニアの男を書類送検した(読売新聞NHK日経新聞)。

この男は2016年9月~17年4月に5回、サイバー攻撃に使用されたレンタルサーバーを偽名で契約していたという。警視庁の事情聴取では、男は偽名でサーバーを契約、IDなどを転売したことを認めたものの、すぐに立件できなかった。このIDなどはハッカー集団に渡り、中国人民解放軍の指示でサイバー攻撃が行われたと推察されている模様。

この男とは別に、日本にいた中国人元留学生も偽名でサーバーを契約していた疑いがもたれている。警視庁はこの男に関しても任意で事情聴取していたが、こちらも立件はできなかったという。こちらに関しては隊「61419部隊」に所属する人物から指示を受けていたらしい。なお、二人はすでに日本を出国しており国内にはいないそうだ。
15264956 story
アメリカ合衆国

楽天グループ、日米両政府の監視対象になる 74

ストーリー by nagazou
日本郵政との提携も問題に? 部門より

楽天グループが日米政府の監視対象となったそうだ。理由としては安全保障の観点から。同グループは3月に中国のIT大手テンセントから出資をされている点。楽天は株式の3.65%にあたる650億円余りの出資をテンセントから受けている(共同通信NHK)。

報道によれば、日米の顧客情報がテンセントを通じて漏れることを警戒しての措置であるという。日本政府が外国為替法に基づいて楽天から定期的に聞き取りし、安全保障の観点から問題がないか調査するとしている。外国為替法では、国の安全保障に重要な企業が株式の1%以上を取得する場合、事前に政府の届け出が必要となるという。なお、今回の投資に関しては事前の届け出はなかったとしている。

15263872 story
テクノロジー

在宅勤務PCの監視アプリが登場。URL閲覧時間や自動スクリーンショット機能付き 88

ストーリー by nagazou
私物PCに入れるのはちょっと 部門より
在宅勤務を監視するためのアプリ「ManicTime Pro」がライフボードから発売されたそうだ(PR TIMESPC Watch)。

ManicTime Proでは、PCを利用した作業時間や使用したアプリの種類、編集したファイルやURLごとに見ていた時間、各作業時のスクリーンショットなどを自動で保存し、結果をグラフやレポートとして確認できる。またレポーティング機能を利用して、週報や月報といった業務報告書の作成にも利用できるとしている。

なお以前炎上し、削除されることとなったMicrosoft 365の生産性スコア機能(productivity score)のように自動でレポートを送信する機能は持っていないが、リリースによれば、サーバーに転送する機能も別途リリースされる予定があるとしている。
15262736 story
バグ

GoogleのProject Zero、バグの開示はパッチ提供開始の30日後に 17

ストーリー by nagazou
30日後 部門より
headless 曰く、

GoogleのProject Zeroは15日、2021年版のバグ開示ポリシーを公表した(Project Zeroのブログ記事SlashGearの記事The Vergeの記事)。

元のバグ開示ポリシーではProject Zeroがバグを開示するタイミングをベンダーへの報告から90日後(既に攻撃が確認されている場合は7日後)またはパッチ提供開始のいずれか早い方としていたが、2020年にはパッチ提供の有無にかかわらず報告から90日後/7日後に開示するテストが1年間行われた。90日以内にパッチの提供が間に合わない場合は14日間の猶予期間を追加可能だが、猶予期間中はパッチ提供開始時点でバグが開示されていた。そのため、パッチがユーザーに行き渡る前にバグの詳細やPoCが公開される点が問題となっていた。

2021年版ポリシーでは、期限内(猶予期間を含む)にパッチが提供開始された場合、バグの開示はパッチ提供開始から30日後となる。これにより、バグ開示前のパッチ導入率を高めることが可能になる。また、既に攻撃が確認されているバグについても、ベンダーは3日間の猶予期間追加を請求できる。

新ポリシーはパッチ開発までの時間とパッチ導入までの時間を分離することでエンドユーザーが既知の攻撃に脆弱な期間を短縮し、バグを開示すれば攻撃者に情報を与える一方でバグを開示しなければ防御に必要な情報も得られなくなるという論争を減らすことができるとのことだ。

15262062 story
暗号

Microsoft、5月10日からSHA-2アルゴリズムへ全面移行 40

ストーリー by headless
移行 部門より
Microsoftは14日、SHA-2アルゴリズムへの全面移行計画を発表した(Windows IT Pro Blogの記事KB5003341)。

太平洋時間5月9日16時(日本時間5月10日8時)にMicrosoftのSHA-1の信頼されたルート証明書機関は失効し、Microsoftの主要なプロセスとサービスはTLS証明書やコード署名、ファイルハッシュを含めてSHA-2アルゴリズムのみを使用するようになる。そのため、SHA-1でのみ署名されたアプリケーション実行やドライバーインストールで警告が表示されたり、エラーが発生したりすることがある。

SHA-1にはセキュリティやパフォーマンスの問題があり、SHA-2への移行が進められている。主要なWebブラウザーでは2017年までにSHA-1証明書を廃止しており、Microsoftは2019年からWindowsの更新プログラムでSHA-2のみを使用しているほか、昨年8月にはダウンロードセンターでSHA-1コンテンツの提供を終了した。

影響を受けるSHA-1証明書はMicrosoftのSHA-1の信頼されたルート証明書機関にチェーンしたものだけであり、個別にインストールしたエンタープライズや自己署名のSHA-1証明書は影響を受けない。ただし、Microsoftでは組織で使用する証明書もSHA-2への移行を強く推奨している。
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...