昨年から日本国内でもEmotetの感染事例が急増していたが、2021年1月27日に欧州刑事警察機構（Europol）と欧州司法機構（Eurojust）による合同捜査作戦「Operation LadyBird」が行われ、これが成功を収めたと発表されたという（欧州刑事警察機構、JPCERT/CC、ITmedia）。

この作戦は欧州刑事警察機構（Europol）と欧州司法機構（Eurojust）が主導、オランダ、ドイツ、米国、英国、フランス、リトアニア、カナダ、ウクライナの8カ国の法執行機関が参加した。この作戦の成功により、Emotetをコントロールしていたサーバーの差し押さえに成功したという。トレンドマイクロによると、Operation LadyBird作戦の成功以降は、EMOTETのbotネットへのC&Cサーバからの指令は見られなくなったという（トレンドマイクロ）。

一方で総務省や警察庁、ICT-ISACなどの各団体から2月19日に、マルウェアへの感染を誘導する攻撃メールが出ているとする警告が一斉に発表された。背景にはEmotetの感染端末に別の攻撃者が別のマルウェアを注入するといった攻撃が指摘されているためのようだ。

JPCERT/CCによると今のところIPアドレス数で最大約1000、コンピュータ数では約500件のEmotet感染端末が残っているようだ。このため警視庁サイバー犯罪対策プロジェクトは、マルウェアに感染している機器の利用者に対してISPを経由して感染端末を持つユーザーに警告を行うという。警告は2月下旬から準備が整い次第行うとしている（総務省、警視庁サイバー犯罪対策プロジェクト）。

bigface 曰く、

JPCERT/CC WEEKLY REPORT 2021-02-25の【今週のひとくちメモ】より。

2021年2月19日、総務省は、「マルウェアに感染している機器の利用者に対す
            る注意喚起の実施」を公開しました。今月までに、海外の捜査当局から警察庁
            に対して、国内のEmotetに感染している機器の情報提供があり、今月下旬から
            準備が整い次第、ISPを通じて機器の利用者を特定し、注意喚起を行うとのこ
            とです。

        参考文献 (日本語)
            総務省
            マルウェアに感染している機器の利用者に対する注意喚起の実施
            https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00095.html

            警察庁
            マルウェアに感染している機器の利用者に対する注意喚起の実施について
            https://www.npa.go.jp/cyber/policy/mw-attention.html

            一般社団法人ICT-ISAC
            マルウェアに感染している機器の利用者に対する注意喚起の実施
            https://www.ict-isac.jp/news/news20210219.html

            JPCERT/CC Eyes
            マルウェアEmotetのテイクダウンと感染端末に対する通知
            https://blogs.jpcert.or.jp/ja/2021/02/emotet-notice.html

//　踏み台にされてる機器の調査を行うような話が以前ありましたが、その関連かな？

個人情報の送信などの問題が指摘された結果、昨年12月にサービスの提供が終了した「Smooz」。運営のアスツールは2月19日、Smoozが得たユーザーデータの取り扱いに関する発表を行った。第三者による調査結果から情報の取り扱いについて不適切な点が複数見つかったとし、この後に記載するプレミアムサービス・Smoozポイントの返金に必要なデータ以外は全て削除をしたとしている。また返金処理が終了後、関連するすべてのデータを削除するとのこと（SMOOZユーザーデータの取り扱いに関する調査結果とお詫び）。

同日にプレミアムサービスとSmoozポイントの返金手続きについても発表を行った（プレミアムプラン返金・SMOOZポイント交換についてのご案内）。返金の内容は次の通り。

• 返金の対象
  • 返金対象プレミアムサービス：2020年12月1日以降のお支払い済みの期間分を日割りで返金
  • Smoozポイント：残っているSmoozポイントを1ポイント単位で交換
• 返金のお支払い方法
  • 返金額分のAmazonギフト券を発行
• 返金の受付期間
  • 2021年2月19日から2021年4月20日まで

headless 曰く、

Samsungは22日、同社のAndroidスマートフォン・タブレットで最初のリリースから最低4年間のセキュリティアップデートを提供する計画を発表した(プレスリリース、 Android Policeの記事、 Neowinの記事、 Softpediaの記事)。

対象機種のリストには2019年以降に発売された機種の大半が含まれ、AシリーズやMシリーズといった低価格シリーズも含まれる。ただし、A0x型番やM0x型番のローエンドモデルで対象となっているのはA02のみ。2019年よりも前に発売された機種は含まれていない。対象機種は定期的に見直されるが、今年4年目に入る2018年モデルが今後リストに追加される可能性は低いだろう。最低4年間のセキュリティアップデート提供はGoogle Pixelのセキュリティアップデート提供期間(最低3年間)よりも長い。

セキュリティパッチは月毎または四半期毎に提供され、機種や市場によって提供状況は異なる。国内で発売されているSamsung製品はほぼキャリアモデルなので、実際に提供されるかどうかはキャリア次第になると思われる。たとえば2018年発売のGalaxy S9は現在も月例セキュリティアップデートの対象となっており、2021年2月のセキュリティパッチが海外では提供されているが、国内モデルの最新セキュリティパッチレベルはドコモ・auともに2020年6月となっている。

現在のところマルウェアとしての活動は開始していないが、3万台近いMacコンピューターに感染しているというマルウェア「Silver Sparrow」の情報をRed Canaryが発表し、実際の攻撃が始まる前に対策するよう呼び掛けている(Red Canaryのブログ記事、 Mac Rumorsの記事、 Mashableの記事、 The Vergeの記事)。

Silver Sparrowはバージョン1(updater.pkg)とバージョン2(update.pkg)の2つのインストールパッケージが見つかっており、バージョン1がx86_64アーキテクチャー(Intel Mac)向けにコンパイルされたMach-Oバイナリを含むのに対し、バージョン2はx86_64とM1の両アーキテクチャー向けにコンパイルされたMach-Oバイナリ(Universal 2バイナリ)を含む点が大きな違いだという。ただし、これらのバイナリに特別な機能はなく、バージョン1は「Hello, World!」と表示し、バージョン2は「You did it!」と表示するだけのものとのこと。

従来のmacOSマルウェアでみられなかった点として、実行にmacOSインストーラーのJavaScript API(Installer JS)を使用する点が挙げられている。Red CanaryはMalwarebytesおよびVMwareのCarbon Blackと協力して調査を進めており、Malwarebytesの調べによると2月17日時点で153か国で29,139台のmacOSエンドポイントが感染しているそうだ。特に米国・英国・カナダ・フランス・ドイツで感染数が多いという。

M1チップにネイティブ対応するマルウェアとしては、Silver Sparrowとは異なるマルウェアの発見をPatrick Wardle氏が先に報告している。Intel Mac用バイナリはRosetta 2による変換でM1 Macでもそのまま動作するが、Xcode 12を使用すればコードを変更することなくUniversal 2バイナリが作成できるため、今後増加していくとみられる。

現時点でSilver Sparrowが悪意あるペイロードをダウンロードする様子はないものの、将来を見据えたM1チップ互換性や世界での感染の広がりと感染数の多さ、運用の成熟性などを考慮して、Red Canaryでは大きな影響を与える可能性のある深刻な脅威とみなしている。これを受けてAppleは該当する開発者の署名を失効させており、公証機能などによりユーザーを保護できるとの考えを示しているとのことだ。

BraveのTorモードに、ローカルマシンで設定されたDNSサーバーへ.onion URLのDNSクエリを送信してしまうバグが発見された(Bleeping Computerの記事、 HackReadの記事、 The Daily Swigの記事、 RAMBLEの記事)。

BraveのTorモードはハンバーガーメニューから「Torで新しいプライベートウィンドウを開く」を選択すれば利用できる。Torモードではプライバシー向上のため、非Torのインターネットデバイスに情報を一切送るべきではないが、このバグによりアクセスしたTorサイトの情報がDNSサーバー/DoHサーバーに送られてしまう。

このバグはCNAMEクローキングブロック機能に存在し、この機能をTorモードで無効化して問題に対応する。バグ自体は1月に報告されており、修正は現在ベータ版のBrave 1.21.xで提供する計画だったが、Redditでバグが公開されたことから20日リリースのV1.20.108で修正されている。

過去記事の通り、NVIDIAはビデオカード不足への対応のため、近く販売されるGeForce RTX 3060では意図的に暗号資産のマイニング性能を低下させ、ゲーマーなどに製品が行き渡るようにする措置を取った。そのマイニングユーザーへのビデオカードの代替品として18日にマイニング専用のGPU「CMP HX」シリーズを発表している（NVIDIA、PC Watch）。

このCMP HXシリーズではすでに4モデルについて発表が行われており、まず第1四半期中に「30HX」と「40HX」の2モデルが投入、続いて第2四半期に「50HX」と「90HX」が投入される。数字が大きいモデルほどEthereum Hash Rateが高く、メモリの搭載量の多いスペックの高いモデルとなる。特徴は電力効率をマイニング用途向けに最適化しているため、市販ビデオカードより投資コストが下げられるとしている。また、一つのCPUからより多くのGPUを制御できるようになっているという。

フランスの民間航空総局（DGAC）は16日、第5世代（5G）端末が「周波数が電波高度計と近いもしくは同等であることから信号干渉を起こす可能性がある」として対応端末の電源を切るよう求めている。これにより着陸時に影響を及ぼす可能性があるという。DGACはこの問題を航空会社に告知、飛行中は5G端末の電源を切るか機内モードに設定することを求めている（AFPBB News、QUEENS CITIZEN）。

あるAnonymous Coward 曰く、

先日、SHA-1署名されたコンテンツのダウンロードセンターからの提供中止に伴い、SHA-1署名されたDirectX SDKとDirectXエンドユーザーランタイムもダウンロードセンターから削除されたが、影響の大きさをかんがみてか、これらのダウンロードはSHA-2で署名され直して提供が再開された模様である。

なおタレコミ時点では、DirectXエンドユーザーランタイムWebインストーラー日本語版のダウンロードページおよびそのページへの短縮リンクは復活していないが、英語版のページからダウンロードできる。以前からどの言語版のページでもダウンロードできるファイルは結局同じだったので、とくに問題はない。

nagazou 曰く、

NECなどの3社が2月18日「秘密計算研究会」を立ち上げたと発表した。この研究会はデータを暗号化したまま運用する「秘密計算」の普及を目的とした組織であるという。参加企業はNEC、デジタルガレージ、ソフトウェア開発企業のレピダム（秘密計算研究会、ITmedia、TECH+）。

公式サイトによれば、

秘密計算は、高度な暗号理論を用いて、データを暗号化した状態のままでデータベース処理、統計分析、AIによる分析などができる技術です。データ保護性が非常に高いクラウドサービスや、複数組織のデータを安全に共有・統合して1つのビッグデータとして利活用できるシステムを実現する技術として、期待されています。

とのこと。

秘密計算には「秘密分散」や「準同型暗号」を元に下した異なる方式が複数存在しているが、それぞれ独立して研究されてきたことから、安全性や性能などを一定のの基準で定量的に評価する方法が確立されていなかったという。秘密計算研究会は秘密計算における評価基準を策定し、秘密計算がクラウドなどの社会インフラ上に広く実装されることを目指すとしている。

Salesforce関連の設定不備による情報流出が相次いでいる問題で、両備システムズが第三者による不正アクセスがあったと発表した（両備システムズ 2021.02.12、両備システムズ 2021.02.15）。

対象となったのは同社が提供している自治体向けの健診・検診インターネット予約システム「Web住民けんしん予約」、住民生活総合支援アプリ「i-Blend」、緊急通報システム「Net119」の三つ。この3システムを導入しているのは71団体に上るという。2月12日の19時点でこの71団体様のうち13の団体から第三者からの不正アクセスがあったと発表しているという（毎日新聞、Security NEXT、ScanNetSecurity、NHK）。

同社では2月1日中にシステムの設定変更を行ったとしている。日経新聞によればトラブルの発端は、Salesforceが2016年1月に投入したUIに含まれる「Lightning Experience」にあった可能性が高いとしている（日経新聞）。

headless 曰く、

Microsoftが2月の月例更新でMicrosoft Defenderのマルウェア対策エンジン「Microsoft Malware Protection Engine」で発見された脆弱性CVE-2021-24092を修正している(セキュリティ更新プログラムガイド、 SentinelLabsのブログ記事、 HackReadの記事)。

Microsoftのセキュリティ更新プログラムガイドでは特権昇格の脆弱性とのみ説明されているが、発見したSentinelLabsによれば権限なしに任意ファイルを上書き可能な脆弱性だという。

Microsoft Malware Protection Engineは内部名BTR.sysというドライバーをランダムなファイル名で読み込んでマルウェア削除などの修復処理を実行する。この際にログファイル「BootClean.log」をシステムのTempディレクトリーに生成するのだが、既に同名のファイルが存在する場合はファイルが実体なのかハードリンクなのかを確認せずに削除して新しいログファイルを作成してしまうそうだ。これにより、攻撃者はBootClean.logという名前のハードリンクを作成することで任意ファイルを上書き可能となる。この脆弱性を任意コードの実行に悪用するのは困難だが、不可能ではないとのこと。

この脆弱性がいつ導入されたのかは不明だが、SentinelLabsがVirusTotalにアップロードされたファイルを検索したところ、遅くとも2009年には脆弱性が存在していたそうだ。SentinelLabsでは長年にわたって脆弱性が発見されずにいた理由として、ドライバーファイルが常時存在せず、必要な場合のみランダムなファイル名で読み込まれる点を指摘する。

脆弱性はマルウェア対策エンジンのバージョン1.1.17800.5で修正されている。Windows 10でバージョンを確認するには「Windowsセキュリティ」を開き、「設定」で「バージョン情報」をクリックして「エンジンのバージョン」を確認すればいい。この脆弱性が実際の攻撃で使われている形跡はなく、自動更新が有効になっていれば既に修正済みのはずだが、確認しておくといいだろう。

米Mastercardは2月10日、2021年中に暗号資産（仮想通貨）での決済を行える機能を提供すると発表した。同社は暗号資産をはじめとするデジタル資産が、決済の世界でより重要な役割を果たしているとしており、特にビットコインの価値の急上昇中により、同社のカードを使用して暗号資産を購入する人が増えており、また通常の貨幣に変換することも増えてきたことから無視できないと判断しているようだ（Mastercard Newsroom、ITmedia、Impress Watch）。

なお、どの暗号資産をサポートするかについては明確にはされていない。消費者保護とコンプライアンスなどを考慮した上で決定するとしている。その条件として四つの項目を挙げている。一つはクレジットカードと同等のプライバシーとセキュリティを含む消費者保護。二つ目はKYC（Know Your Customer）を含む厳格なコンプライアンスプロトコルに対応していること。三つ目は使用される地域の地域の法律および規制に準拠していること。最後に支出のための手段としての安定性が提供されることだとしている。

Bloomberg Businessweekは2018年、Super MicroがAppleやAmazonに納入したサーバー用マザーボードにスパイチップが埋め込まれていたと報じて全方向から否定されているが、この話をBloombergが何か新しい情報でもあるかのように再び報じている(9to5Macの記事[1]、 [2])。

2018年の記事では、スパイチップは削った鉛筆の先よりも小さいマイクロチップで、中国人民解放軍の工作員が多層基板の層間に埋め込んだと主張していた。しかし、スパイチップを発見したとされるAppleとAmazonは記事の内容を否定しており、Super Microや米英の情報機関も否定した。技術上可能であるとしてもより簡単な方法があるのにこの方法を用いる必然性がないことや、調査のために情報を開示していなかったとしてもいったん報じられた後で否定するメリットがないことも指摘された。また、情報提供者の情報はすべて二次情報であり、存在を直接確認した人の証言はなかった。

今回の記事では2018年の記事が否定されたことに言及しつつ、Businessweekの報道は氷山の一角しかとらえられていなかったなどしてスパイチップ埋め込みは事実だと主張する。ただし、新しい情報も二次情報ばかりで、スパイチップ埋め込みとは無関係らしいサイバー攻撃の話題に紙面の4分の3ほどを費やしている。

headless 曰く、

Google Playで1千万回以上インストールされているアプリ「Barcode Scanner」が12月4日のアップデートでマルウェア化し、デフォルトブラウザーで広告を表示するようになったとMalwarebyteが報告したところ、同名の古参アプリがマルウェアと誤解されてしまう事態になったようだ( The Vergeの記事、 The Registerの記事、 Android Policeの記事)。

マルウェアと誤解された同名アプリはZXing Teamによるもので、Android Market(現Google Play Store)スタート当初から公開されている最古参アプリのひとつだ。インストール件数は1億件を超えており、マルウェア化したアプリとは一桁違う。日本語版では「QRコードスキャナー」という名称になっているが、Google Playを英語表示にするとマルウェア化したアプリと同じ「Barcode Scanner」という名称が表示される。

Malwarebyteは最初の報告時点でマルウェア化した方のアプリは既に削除されていると説明しており、開発者を含め別物のアプリであることはスクリーンショットから確認できる。しかし、Google Playで「Barcode Scanner」を検索すると最初に表示される同名アプリということもあってか、マルウェアだと糾弾する1つ星レビューと間違いを指摘する5つ星レビューが多数投稿されることになる。

ただし、ZXingのアプリをアドウェア/マルウェアとする1つ星レビューが増加し始めたのは12月下旬のことだ。中には「ロゴが変わった(変わっていない)」「最近のアップデートをインストールしたらマルウェア化(最新版は2年近く前に公開された)」など別のアプリと間違えていると思われるレビューもあるが、詳細は不明だ。ZXingの開発者はAndroidのインテントが乗っ取られ、ZXintのアプリがデフォルトブラウザーで広告を表示しているように見えている可能性も否定できないとThe Vergeに語っている。

なお、マルウェア化した方のBarcode Scannerアプリについて、Malwarebyteでは開発者/提供元の変更により悪意あるコードが追加された可能性に言及していないが、Internet ArchiveでGoogle Playのスナップショットを見ると開発者/提供元が最近変更されているようだ。一番古い2017年5月のスナップショットではアプリ名の下に表示される開発者名と追加情報に表示される提供元がともに「Barcode Scanner」だが、2020年11月のスナップショットではGoogle Play Passで利用可能というバナーが追加され、提供元のみ「Google Commerce Ltd」になっている。ここまで開発者の住所や電子メールアドレスは変わっていないが、Malwarebyteの記事に掲載されているスクリーンショットでは開発者・提供元ともに「LAVABIRD LTD」となっており、住所や電子メールアドレスも変更されている。

なお、LAVABIRD LTDは現在4本のアプリをGoogle Playで公開しており、アプリケーションIDからみて他の開発者から買収したアプリのような雰囲気だが、特に問題が発生しているようには見受けられない。

Snapは2月9日のSafer Internet Dayに合わせ、これまでにSnapchatの友達リストへ追加した友達が現在も必要かどうかの見直しを推奨する「Friend Check Up」機能を発表した(Snapのニュース記事、 The Vergeの記事、 SlashGearの記事)。

Friend Check Upは、もうSnapchatで連絡することがなくなった友達や、間違ってリストに追加してしまった友達がいないか見直しを推奨するもので、1月28日のGlobal Privacy Day(Data Privacy Day)に開始したオンラインでの安全やプライバシー教育キャンペーンの一環だという。ユーザーはアプリのプロファイル画面に表示されるツールチップをタップすることで、容易に友達リストを整理できる。Friend Check Up機能は今後数週間の間にAndroidデバイスへ、今後数か月の間にiOSデバイスへロールアウト開始予定とのことだ。