headless 曰く、

GoogleのCOVID-19接触通知システムで、プライバシーリスクにつながるデータがサードパーティーのプリインストールアプリから読み取れる状態になっていたそうだ(The AppCensus Blogの記事、 The Markupの記事、 The Vergeの記事、 SlashGearの記事)。

問題のデータは近くにいるユーザー同士が送受信する近接識別子「Rolling Proximity Identifier (RPI)」と、RPIを送ってきたユーザーのMACアドレスだ。GoogleのシステムではこれらのデータをAndroidのシステムログへ書き込むようになっていたという。ユーザーがインストールしたアプリはシステムログを読み取ることはできないが、プリインストールアプリは読み取り可能だ。発見者のAppCensusによれば、システムログ読み取りのパーミッションを得たプリインストールアプリは数多くあるようだ。

RPIは公開されるデータなので一見問題なさそうだが、MACアドレスと組み合わせて大量のデータを照合すればユーザー同士の相関図を作ることができる。また、RPIは10～20分ごとに更新されるものの、陽性者が保健当局に秘密鍵「Temporary Exposure Key (TEK)」を提供し、診断鍵として公開された場合、その陽性者に複数のRPIを結び付けることも可能になる。さらに、ユーザーに接触の有無を通知する際、そのデータもシステムログに記録されるとのこと。そのため、個人を特定可能なデータをログに記録しない、というAndroidのベストプラクティスをGoogle自身が守っていないとAppCensusは批判する。

AppCensusは今回の調査を米国土安全保障省(DHS)科学技術局(S&T)から受注して実施しており、この問題を2月に報奨金プログラムを通じてGoogleへ報告したという。しかし、Googleは報告を却下し、自らバグ報告後の修正期限として推奨する60日以上経過しても修正する様子がなかったため、倫理面について議論した末に開示を決めたとのこと。一方、Googleは報告を受けて数週間前に修正をロールアウトし、今後数日中に完了する見込みだとThe Markupに伝えたとのことだ。

あるAnonymous Coward 曰く、

バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。

JPCERTによると
CVE-2021-3511：第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512：第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716：第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。

基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。

JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

内閣府は4月22日、内閣府の職員らが使用しているファイル共有サーバー（FileZen）に不正アクセスがあり、231人の個人情報が流出した可能性があると発表した。このFileZenはソリトンシステムズが提供しているもので、内閣府、内閣官房、個人情報保護委員会、復興庁の職員がファイルの送受信を行うために使用していた。内閣府のネットのワークの外に設置されていたものであるという（内閣府、piyolog、ITmedia）。

今回の不正アクセスは1月に発生したものであるという。ストレージの脆弱性を突く形で発生しているとしている。内閣府のリリースによると、

開発元において3月までに修正パッチの提供等所要の対応がとられました（同社から公表済み）。

ソリトンシステムズは昨年12月にFileZenの脆弱性が含まれていることを確認しており、至急アップデートするよう求めていた（ソリトンシステムズ）。タレコミによると、セキュリティアナリストのhiro_(@papa_anniekey)氏は、そのリリースの翌日となる12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた模様。この対策をしていなかったことが原因となっている可能性が高そうだ。なおpiyologの記事によれば、FileZenは主に国内で約1100台が稼働、その内6割は地方自治体など公共系組織が利用しているとのこと。

あるAnonymous Coward 曰く、

なお、セキュリティアナリストのhiro_(@papa_anniekey)氏は昨年12月3日に内閣府のFileZenに数年間パッチが当たっていない可能性を指摘していた。

情報元へのリンク

あるAnonymous Coward 曰く、

各国現地時間の25日正午、世界各地で猛威を振るったマルウェア「Emotet」の自己削除プログラムが起動し、最恐と呼ばれたコンピュータウイルスが根絶された記念すべき日となった。

既報の通り、欧州刑事警察機構を中心とした欧米8か国の合同捜査チームが今年1月27日に「Operation LadyBird」を実行。ウクライナにある活動拠点とオランダにあるC&Cサーバの制圧に成功していた。この時、オランダの警察当局は押収したC&Cサーバから世界中のEmotetを無害化、さらに時限的な自己削除を行うプログラムを配信。Emotetの感染端末に別のマルウェアを注入する攻撃が確認されていたことから、感染端末を特定し、別途注入されたマルウェアを駆除するための猶予期間として、2021年4月25日12時00分が活動限界に設定されていた（ZDNet）。

なお、Emotetの感染拡大防止にあたっては海外の「Cryptolaemus」と日本の「ばらまきメール回収の会」という有志のグループが大きく貢献しており、後者についてはNHKが13日付でその活動を詳しく報じて讃えている（NHKニュース）。

headless 曰く、

米連邦最高裁は22日、連邦取引委員会法(FTC法)第13条(b)は詐欺被害者への返金を詐欺師から確保する権限を連邦取引委員会(FTC)に与えていないとの判断を示した(Ars Technicaの記事、 The Registerの記事、 FTCの声明、 裁判所文書: PDF)。

この裁判は契約した7倍の利息を消費者に支払わせていたペイデイローン会社をFTCが訴えていたもの。第13条(b)はFTCが管轄する違法行為について、違法行為者への一時的な禁止命令や事前差止命令を出す権限をFTCに与えている。しかし、FTCでは過去40年にわたり、この条項で被害者への返金を確保してきたという。一審・二審ともにFTCの請求を認めていたが、連邦最高裁はFTCに権限がないと判断し、下級審へ差し戻した。

連邦最高裁の意見書では第5条と第19条で返金を確保することは可能だと指摘しつつ、議会が動けば容易に抜本的な解決が可能だと述べている。この判決についてFTC委員長代行のRebecca Kelly Slaughter氏は、FTCが消費者を助ける最も強力なツールを奪ったと批判する一方、被害にあった消費者を助ける権限をFTCに与えるよう議会に要請している。

Twitterが必要のないアカウント確認メールを多数のユーザーに誤って送り、フィッシングではないかと疑われる事態になっていたそうだ(The Vergeの記事、 BleepingComputerの記事、 SlashGearの記事)。

メッセージは電子メールアドレスを確認してTwitterアカウントを完成させようといったもので、ボタンをクリックするよう求めている。内容としては新規アカウント作成時に送られるもののようだ。

これについてTwitter Supportは、アカウント確認メールを予期していなかったユーザーが受信した場合は誤送信だと説明して謝罪。このようなメールを受信してもアカウントを確認する必要はなく、無視してかまわないと述べている(Twitter Supportのツイート)。

米Appleは20日、紛失防止タグ「AirTag」を発表した。4月30日からの発売で、アップルストアでの価格設定は1個3800円（税込）、4個セットの場合は1万2800円（税込）となる（ケータイ Watch、ITmedia）。

iPhoneなどの「探す」アプリと組み合わせることにより、忘れ物や紛失物を見つけ出すことができるようになる。こうした紛失防止タグ自体は従来からあるが、AirTagではAppleの製品同士が持つネットワークを活用し、iPhoneの「探す」アプリから落とし物を見つけ出せるのが最大の特徴。通常の落とし物タグが、Bluetoothで通信を行うのに対し、AirTagはUWB（Ultra Wideband）を使用することで、広い範囲での通信と正確な位置把握ができる特徴を持っている。

一方でこの仕組みを悪用してストーカーなどに悪用されないかとする懸念も出ているようだ。Appleもこの問題に関してはあらかじめ想定していたようで、一定の対策が行われている模様。Engadgetの記事が具体的なストーカーの事例と対策例を紹介している（Engadget）。この記事によれば、Phoneから離れたAirTagは、設定した親機から離れて一定の時間が経過すると、AirTagが鳴り続ける仕組みであることからストーカー用途には不向きであるという。タレコミにあるようにModを用いて音を消している場合でも、本人がiPhoneを所持している場合、登録していないAirTagを「知らないAirTag」として検知するが機能が用意されており、この「知らないAirTag」が自分と一緒に動いている場合、iPhoneに通知が行われる仕組みであるらしい。

あるAnonymous Coward 曰く、

Appleが忘れ物防止タグ AirTag を発表しました
ネットワークの利用に関して高度のセキュリティを備えているそうですが、ならばストーカー御用達の道具にもなり得るのではないでしょうか？
AirTagはスピーカーを内蔵して音を出すことが出来るそうですが、ならば持たせた人にAirTagを気づかせないようにスピーカーを無効化するmodもすぐに出てくるのでは？
https://k-tai.watch.impress.co.jp/docs/news/1320035.html
https://www.apple.com/jp/airtag/

headless 曰く、

Microsoft Storeなどの偽ページを通じた情報窃取キャンペーンが確認されたとしてESETが注意喚起している(BleepingComputerの記事、 SlashGearの記事、 Windows Centralの記事、 ESET researchのツイート)。

ESETによれば情報窃取キャンペーンは南米のユーザーをターゲットにしたもので、「cdnserverhostingdomainname[.]site」というドメインでホストされている。攻撃用ページはMicrosoft Storeのほか、SpotifyとオンラインPDFコンバーター「FreePDFConvert」の偽物が確認されているという。直接たどり着くことはなさそうな偽ページだが、BleepingComputerによれば広告を通じて誘導する仕組みのようだ。

Microsoft Storeの偽ページは本物そっくりに作られているが、「Get」ボタンは「Download Free」ボタンに置き換えられており、クリックするとマルウェア「Ficker」を含むZIPファイルがダウンロードされる。偽Spotifyや偽FreePDFConvertも同様だ。ダウンロードしたZIPファイルを展開してできる実行ファイルを実行すると、アプリや変換結果のPDFファイルが表示される代わりにマルウェアが活動を開始する。

Fickerは1月にロシア語のハッカーフォーラムでレンタル用として公開されたもので、開発者はWebブラウザーなどが保存した認証情報や暗号通貨ワレット、文書ファイルを盗み出すほか、実行中アプリのスクリーンショット撮影も可能だと説明しているとのことだ。

二段階認証の方法として「SMS認証」が使われるようになって久しい。本人確認のためのる仕組みであるにも関わらず、これを有料で代行する業者が増加しているという。しかし、SMS認証が本来の意味を喪失しかねないとして、警察庁が取り締まりなどの対策を強化する方針を決めた模様（時事ドットコム、産経新聞、日経新聞）。

こうした代行業者はユーザーの代わりに自分の端末の電話番号を伝えて手続きし、一手間かかる認証コードの入力を受け持つ。依頼者は入力の手間がなくなるほか、携帯電話がなくても匿名のままサービスを利用できるというメリットがある。

しかし、多くの場合は通話アプリを特殊詐欺に、電子決済アプリをマネーローンダリングに使用するなどの犯罪目的で悪用されているとのこと。トラブルが起きても利用者本人と登録名義が異なることから、警察の追跡が困難であるためだという。代行業者自体が仕組みを悪用して摘発された例も出ている。昨年、PayPayの認証コードを他人に提供し、認証代行を行った家族が埼玉県警に逮捕されている。

headless 曰く、

Mozillaは19日、Firefox 88.0をリリースした(リリースノート、 Mozilla Hacksの記事)。

本バージョンではFTPサポートがデフォルト無効になっている。現在のところ高度な設定(about:config)で「network.ftp.enabled」を「true」に変更すればFTPサポートが有効になるが、Firefox 90ではFTP実装が削除される。FTP無効化に伴い、Web拡張機能が自身をFTPのプロトコルハンドラーとして登録することが可能になっている。

Googleは1月リリースのChrome 88で全ユーザーのFTPサポートを無効化しており、Chrome 91でコードベースから削除する計画だ。現在のところフラグ「#enable-ftp」を「Enabled」に設定することでFTPサポートを有効化可能で、他のChromium系ブラウザー(Brave/Edge/Opera/Vivaldi)でも同様だった。このフラグはChrome Dev(バージョン91)でも利用可能だが、Chrome Canary(バージョン92)には存在しない。

宇宙航空研究開発機構（JAXA）をはじめとする国内約200の企業や研究機関に対し、サイバー攻撃を行った疑いで警視庁公安部は20日、中国共産党員でシステムエンジニアの男を書類送検した（読売新聞、NHK、日経新聞）。

この男は2016年9月~17年4月に5回、サイバー攻撃に使用されたレンタルサーバーを偽名で契約していたという。警視庁の事情聴取では、男は偽名でサーバーを契約、IDなどを転売したことを認めたものの、すぐに立件できなかった。このIDなどはハッカー集団に渡り、中国人民解放軍の指示でサイバー攻撃が行われたと推察されている模様。

この男とは別に、日本にいた中国人元留学生も偽名でサーバーを契約していた疑いがもたれている。警視庁はこの男に関しても任意で事情聴取していたが、こちらも立件はできなかったという。こちらに関しては隊「61419部隊」に所属する人物から指示を受けていたらしい。なお、二人はすでに日本を出国しており国内にはいないそうだ。

楽天グループが日米政府の監視対象となったそうだ。理由としては安全保障の観点から。同グループは3月に中国のIT大手テンセントから出資をされている点。楽天は株式の3.65％にあたる650億円余りの出資をテンセントから受けている（共同通信、NHK）。

報道によれば、日米の顧客情報がテンセントを通じて漏れることを警戒しての措置であるという。日本政府が外国為替法に基づいて楽天から定期的に聞き取りし、安全保障の観点から問題がないか調査するとしている。外国為替法では、国の安全保障に重要な企業が株式の1％以上を取得する場合、事前に政府の届け出が必要となるという。なお、今回の投資に関しては事前の届け出はなかったとしている。

在宅勤務を監視するためのアプリ「ManicTime Pro」がライフボードから発売されたそうだ（PR TIMES、PC Watch）。

ManicTime Proでは、PCを利用した作業時間や使用したアプリの種類、編集したファイルやURLごとに見ていた時間、各作業時のスクリーンショットなどを自動で保存し、結果をグラフやレポートとして確認できる。またレポーティング機能を利用して、週報や月報といった業務報告書の作成にも利用できるとしている。

なお以前炎上し、削除されることとなったMicrosoft 365の生産性スコア機能（productivity score）のように自動でレポートを送信する機能は持っていないが、リリースによれば、サーバーに転送する機能も別途リリースされる予定があるとしている。

headless 曰く、

GoogleのProject Zeroは15日、2021年版のバグ開示ポリシーを公表した(Project Zeroのブログ記事、 SlashGearの記事、 The Vergeの記事)。

元のバグ開示ポリシーではProject Zeroがバグを開示するタイミングをベンダーへの報告から90日後(既に攻撃が確認されている場合は7日後)またはパッチ提供開始のいずれか早い方としていたが、2020年にはパッチ提供の有無にかかわらず報告から90日後/7日後に開示するテストが1年間行われた。90日以内にパッチの提供が間に合わない場合は14日間の猶予期間を追加可能だが、猶予期間中はパッチ提供開始時点でバグが開示されていた。そのため、パッチがユーザーに行き渡る前にバグの詳細やPoCが公開される点が問題となっていた。

2021年版ポリシーでは、期限内(猶予期間を含む)にパッチが提供開始された場合、バグの開示はパッチ提供開始から30日後となる。これにより、バグ開示前のパッチ導入率を高めることが可能になる。また、既に攻撃が確認されているバグについても、ベンダーは3日間の猶予期間追加を請求できる。

新ポリシーはパッチ開発までの時間とパッチ導入までの時間を分離することでエンドユーザーが既知の攻撃に脆弱な期間を短縮し、バグを開示すれば攻撃者に情報を与える一方でバグを開示しなければ防御に必要な情報も得られなくなるという論争を減らすことができるとのことだ。

Microsoftは14日、SHA-2アルゴリズムへの全面移行計画を発表した(Windows IT Pro Blogの記事、 KB5003341)。

太平洋時間5月9日16時(日本時間5月10日8時)にMicrosoftのSHA-1の信頼されたルート証明書機関は失効し、Microsoftの主要なプロセスとサービスはTLS証明書やコード署名、ファイルハッシュを含めてSHA-2アルゴリズムのみを使用するようになる。そのため、SHA-1でのみ署名されたアプリケーション実行やドライバーインストールで警告が表示されたり、エラーが発生したりすることがある。

SHA-1にはセキュリティやパフォーマンスの問題があり、SHA-2への移行が進められている。主要なWebブラウザーでは2017年までにSHA-1証明書を廃止しており、Microsoftは2019年からWindowsの更新プログラムでSHA-2のみを使用しているほか、昨年8月にはダウンロードセンターでSHA-1コンテンツの提供を終了した。

影響を受けるSHA-1証明書はMicrosoftのSHA-1の信頼されたルート証明書機関にチェーンしたものだけであり、個別にインストールしたエンタープライズや自己署名のSHA-1証明書は影響を受けない。ただし、Microsoftでは組織で使用する証明書もSHA-2への移行を強く推奨している。