読売新聞社は15日、同社のニュースサイト「読売新聞オンライン (https://www.yomiuri.co.jp/)」に似せた偽サイトが確認されたとして、注意喚起した(読売新聞オンラインの記事、 読売新聞オンラインからのお知らせ)。

「読売新聞オンライン」のロゴが表示される偽サイトには暗号通貨取引を推奨する記事が掲載されており、名前やクレジットカード番号などの入力を求める記載もあるという。読売新聞は偽サイトにアクセスしたり、個人情報を入力したりしないよう注意喚起するとともに、JPCERT/CCに対処を要請したとのことだ。

米消費者製品安全委員会(CPSC)は12日、ガソリンをプラスチック製の袋に入れたりせず、燃料用として認可された容器のみをメーカーの指示に従って使用するよう注意喚起した(CPSCのツイート、 CBS Newsの記事、 The Washington Postの記事、 USA TODAYの記事)。

CPSCは注意喚起に至った理由に触れていないが、米東海岸に燃料を届けるColonial Pipeline Companyが7日にランサムウェア攻撃を受けてパイプラインシステムが一時停止したことが原因のようだ。これによりガソリン不足や価格上昇が発生し、ガソリンスタンドには車の行列ができているという。

CPSCはガソリンを裸火の近くで容器に注がないようにとも述べ、人々が必死になると単純なこともわからなくなるとして、ガソリン用ではない容器を持って行こうとする人たいたら危険を知らせるよう求めている。

なお、ガソリンを満たしたプラスチック製の袋が車のトランクに積み込まれた写真や、女性が給油所でプラスチック製のレジ袋にガソリンを注ぐ動画がソーシャルメディアに投稿されているが、いずれも2019年に撮影されたもので、今回のガソリン不足とは無関係だ。後者は少なくとも米国で撮影されたものではあるが、前者はメキシコで逮捕されたガソリン窃盗犯のものであり、米国ですらない。

Colonialは14日、全パイプラインシステムを安全に再起動したと発表している。一方、ランサムウェア攻撃の実行者とされるDarkSideは金銭が目的であって社会に混乱を招く意図はなかったとし、今後は社会的影響に配慮するなどと述べているとのことだ。

イーロン・マスク氏は13日、TeslaでBitcoin決済による自動車の販売を停止すると発表した(マスク氏のツイート、 The Vergeの記事、 The Guardianの記事、 The Registerの記事)。

Teslaは3月から米国でBitcoin決済を選択可能にしたばかりだが、Bitcoinの採掘・決済で化石燃料(特に温室効果ガス排出量の最も多い石炭)の急速な使用量増加を懸念しているという。暗号通貨は素晴らしいアイディアであり、将来性が期待されるが、環境に対する大きなコストは受け入れがたいとしている。

マスク氏はTeslaが保有するBitcoinを売却する計画はなく、持続可能エネルギーによる採掘への転換が進めば決済に使用する計画も示した。また、決済当たりのエネルギー使用量がBitcoinの1%未満となる暗号通貨も探しているとのこと。Dogecoin開発者と決済効率を向上させるべく協力しているともツイートしている。

TeslaのWebサイトではBitcoin決済に関するPDFファイルが残されているものの、サポートページのBitcoin FAQ(Googleキャッシュ)や、注文ページのBitcoin決済ボタンは削除されている。

ベルギーのセキュリティ研究者「Mathy Vanhoef」氏は、「FragAttacks」(fragmentation and aggregation attacks)と呼ばれる新たな脆弱性を発見したと発表した。この脆弱性を突くことにより、最新の暗号化方式である「WPA3」でも影響及ぼす可能性があるとしている（FragAttacks.com、元論文、Mathy Vanhoef氏による動画、サイオス セキュリティブログ、TECH+）。

同氏はWi-Fi規格の仕様上の欠陥が三つほどあり、この欠陥をつくことにより、アグリゲーション攻撃、混合鍵攻撃、フラグメントキャッシュ攻撃という攻撃が可能になるという。実装上の脆弱性に関しても同じく三つ指摘している。今回発見された脆弱性は、WPA3だけでなく、旧来の「WEP」でも影響のある問題であるとしている。

今回発見された脆弱性に関する共通脆弱性識別子は次のものが割り振られている。

• CVE-2020-24588
• CVE-2020-24587
• CVE-2020-24586
• CVE-2020-26145
• CVE-2020-26144
• CVE-2020-26140
• CVE-2020-26143
• CVE-2020-26139
• CVE-2020-26146
• CVE-2020-26147
• CVE-2020-26142
• CVE-2020-26141

headless 曰く、

Googleは10日、デスクトップ版Google ChromeでSharedArrayBuffer APIを使用するサイトに対するクロスオリジン分離義務付け開始をM92(Chrome 92)に延期すると発表した(Chromium Blogの記事)。

SharedArrayBuffer APIは2018年にSpectre対策としてすべての主要ブラウザーで無効化されたが、Googleはサイト分離を導入したChrome 67で再び有効化している。クロスオリジン分離義務付けはSharedArrayBufferのような攻撃者に広い帯域を与えるAPIを制限し、Spectreなどのサイドチャネル攻撃を緩和するものだ。MozillaはFirefox 79でクロスオリジン分離義務付けを導入しており、SharedArrayBufferをM88で導入したAndroid版Chromeでは、当初からクロスオリジン分離が義務付けられている。

Googleはデスクトップ版ChromeでもM91からSharedArrayBufferやperformance.measureUserAgentSpecificMemory()といったAPI使用にクロスオリジン分離の義務付けを開始する計画を2月に発表していた。しかし、フィードバックや報告された問題を受けてSharedArrayBufferのクロスオリジン分離義務付けをM92に延期するとのこと。

なお、Chrome 92のリリースまでに対応が間に合わない場合、Chrome Origin Trialsで取得したオリジンのトークンを「Origin-Trial」HTTPヘッダーに追加することでChrome 96までは現在のAPIの挙動を維持できる。

毎日新聞によると、聖火リレーの配信サイトに「フィッシング詐欺」を目的とした偽サイトが存在しているようだ。このサイトには聖火リレーが通過する都道府県名が付けられており、10日の段階では「佐賀県聖火リレー放送（LIVE）」のタイトルが付けられていたとしている。このサイトでは、動画を閲覧するため個人情報やクレジットカード情報などの入力を求めてくるとしている（毎日新聞、西日本新聞、砺波市、有田町）。

こうした聖火リレーを悪用したフィッシング詐欺サイトは、4月頃から複数の地域の名義で発生しているようで、聖火リレーを行う各自治体や地方新聞などでは注意が促されていたようだ。毎日新聞によれば、現時点では被害は確認されていないものの、コロナ禍の影響で無観客のリレーが広まれば、被害も広がる恐れがあるとして注意を促している。

あるAnonymous Coward 曰く、

Yahoo! JAPANはセキュリティ向上のため、「秘密の質問と答え」を2021年6月に廃止することを発表した(Yahoo! JAPAN IDガイド)。携帯電話番号もメールアドレスも登録していないアカウントはパスワードを忘れるとログインできなくなるため、登録を促している。

「秘密の質問」はかねてからスラドでは不評であったが、とくにYahoo! JAPANの「秘密の質問」は変更が不可能という致命的な問題を抱えていた。スラドの諸氏は「秘密の質問」を導入しているサイトをいくつ利用しているだろうか。

情報元へのリンク

楽天モバイルは4月30日からiPhoneの取り扱いを開始したばかりだが、そのiPhoneを不正に購入されてしまうという事例が起きているようだ。同社は5月10日「不正な製品購入の対策強化について」とするリリースを出した。第三者が不正に入手した楽天IDとパスワード、もしくはクレジットカードの情報を利用することで、iPhoneを購入したケースが出ているという。被害件数や被害額などは現在確認しているとのこと。同社から個人情報漏洩等が発生していることはないとしている（楽天モバイルリリース、日テレNEWS24、ITmedia）。

オンラインストアでiPhoneを購入する場合は、回線とセットであれば本人確認書類の提示を求めているが、端末単体で購入する場合は本人確認は必要ない。同社は現在、複数台購入した場合、一部を出荷停止するなどの措置を取っているという。

米コロニアル・パイプラインがサイバー攻撃を受けた事件で、FBIはロシアのハッカー集団「Darkside」が関与したと断定したそうだ。同パイプラインは現在も停止中で供給停止が長期化した場合は経済への影響も懸念される事態となっている（FBI、CNBC、NHK）。

CNBCの報道によれば、このDarksideは比較的新しいハッカーグループとされ、ランサムウェア運用に特化したビジネスモデルを持つ組織化されたハッカー集団であるとしている。DarkSideは自らが運営するWebサイト上で、我々には政治的な意思はなく、社会に問題を引き起こさずにお金を稼ぎたいだけだと主張しているそうだ。また病院、ホスピス、学校、大学、非営利団体、政府機関に関しては攻撃しないなどとも主張している模様。

CNETの記事によれば、Amazonの偽の商品レビュー詐欺に関与したと見られる、約20万人以上の個人情報が流出したらしい（CNET）。

流出したデータには、約20万~25万人分のユーザーとAmazonマーケットプレイス出品者のユーザー名、電子メールアドレス、PayPalアドレス、Amazonプロフィールへのリンク、「WhatsApp」と「Telegram」の番号などの記録などがあったという。また偽レビューの投稿を受けた顧客と謝礼を支払う出品者のメッセージなども含まれていたとしている。記事内では、サーバーの所有者は不明だが、流出したメッセージが中国語だったことから、中国を拠点とした組織ではないかと推測されている。

Windows Defenderを標準のセキュリティシステムとして利用している場合、特定のバージョンで勝手にファイルが作成され、Windowsのシステムストレージ容量が不足する可能性があるとの指摘が出ている。今回発見されたWindows Defenderのバグによると、何千もの小さなファイルを

C:\ ProgramData \ Microsoft \ Windows Defender \ Scans \ History \ Store

フォルダ内に作成、Windows 10ストレージスペースをギガ単位で浪費するとしている。BetaNewsの記事によれば、一晩で400万個のファイルが作成され、11GBもの容量を占有したとする例もあるようだ。このバグはWindowsDefenderのバージョン1.1.18100.5で発生する。18100.6ではすでに対処されている模様。WindowsDefenderのバージョン確認方法に関してはマイナビの記事内にて言及されている（BetaNews、BleepingComputer、マイナビ）。

Twitterは5月7日、応援したいアカウントに対して送金が可能となるチップ機能「Tip Jar」を発表した（Tip Jar）。現時点では一部のクリエイター、ジャーナリスト、非営利団体などがこの機能を利用できるようになっている。このTip Jar機能では、送金手段としてBandcamp、Cash App、Patreon、PayPal、Venmoなどが選択可能となっているが、PayPal経由で送金を行った場合、送金相手に送り主の住所が表示される問題が出ているという。この問題は米セキュリティ会社のCEOであるRachel Tobac氏によって指摘されたものだという（Rachel Tobac氏のツイート、ITmedia）。

これを報じたITmediaの記事によれば、この問題はPayPal側の利用規約の影響によるものだそうで、Tobac氏はPayPalはユーザーのデータの共有をやめるべきだとする一方で、Tip Jarの決済手段にPayPalを使えるようにしたTwitter側にも、ユーザーにこうした情報を伝える責任があると指摘している。

米石油パイプライン最大手「コロニアル・パイプライン」が現地時間8日、サイバー攻撃をうけ、すべてのパイプラインオペレーションが一時的に停止したと発表した。ランサムウェアによる攻撃を受けたとされ、操業する全てのパイプラインが稼働停止に追い込まれたという。同社は約8850キロという米国内最大の石油パイプラインを運営、東海岸の燃料消費の半分近くのシェアを占めているとされる。報道によると、「ダークサイド」と呼ばれるサイバー犯罪グループが、ランサムウェアによる攻撃を行い、同社から大量のデータを盗んだとされている（コロニアル・パイプラインのリリース、日経新聞、CNN、ロイター、時事ドットコム）。

NOBAX 曰く、

米パイプライン最大手のコロニアル・パイプラインが、サイバー攻撃を受けて操業を全面的に停止した。
コロニアル・パイプラインはメキシコ湾岸の製油所と米東部と南部を結ぶ全長8850キロのパイプライン。
ガソリンを含む燃料を１日250万バレル輸送している。東海岸の燃料の半分近くはこの石油パイプラインが供給。
停止が長引けばガソリン価格が急騰する可能性がある。
ランサムウエアによる攻撃とみられている。

情報元へのリンク

Microsoftは6日、EU域内の民間・公共部門の顧客が利用する同社のオンラインサービスについて、すべてのデータをEU域内で処理・保存可能にする「EU Data Boundary for the Microsoft Cloud」計画を発表した(EU Policy Blogの記事、 Microsoft Tech Communityのブログ記事、 Neowinの記事、 Windows Centralの記事)。

Microsoftのオンラインサービスの多くは既に顧客が指定した地理的な場所に顧客のデータを保存するオプションを提供しており、Azureサービスの多くで顧客のデータを処理・保存する地理的な場所を選択可能になっている。2022年末までに完了するEU Data Boundaryはこれをさらに進めるもので、EU域内の組織ユーザーはデータをEU域内から一切出さずにMicrosoftの主要なクラウドサービス(Azure/Microsoft 365/Dynamics 365)を利用できるようになる。

headless 曰く、

Dellは4日、ファームウェア(BIOS/Thunderbolt/TPM/ドッキングステーション)更新プログラムに同梱されていたドライバーに不十分なアクセス制御の脆弱性(CVE-2021-21551)が存在することを公表した(DSA-2021-088、 FAQ、 SentinelLabsの記事)。

問題のドライバー「dbutil_2_3.sys」はファームウェア更新プログラムまたはDellのアップデートツールにより、一時フォルダー(%temp%または%windir%\temp)に展開されるもので、権限を確認せずにIOCTLリクエストを受け付けてしまうという。この脆弱性を悪用することで、ローカルでの権限昇格やサービス拒否、意図しない情報開示が行われる可能性がある。

このドライバーは遅くとも2009年からPCやドッキングステーションのファームウェア更新プログラムで使われており、影響を受けるモデルは現在もサービスが行われている381モデルに加え、既にサービスが終了している195モデルと幅広い。SentinelLabsによれば、影響を受けるPCは数億台に上るという。381モデルの最新ファームウェア更新プログラムでは脆弱性が修正されているが、dbutil_2_3.sys自体は削除されないようだ。なお、ドライバーサービス「DBUtil_2_3」のレジストリ設定は最初のWindows再起動時に削除されるため、実際にどの程度影響があるのかは不明だ。

対処方法としては「Dell Security Advisory Update - DSA-2021-088」を実行または手作業でdbutil_2_3.sysを削除し、現在もサービスが行われているモデルでは再導入を防ぐために最新のファームウェアをインストールする。サービスの終了しているモデルではファームウェア更新プログラムを実行するたびにdbutil_2_3.sysの削除が必要になる。