Googleは19日、ChromeのUser Agent(UA)文字列に含まれる情報を削減する計画の再開を発表した(Chromium Blogの記事、 User-Agent Reduction)。

GoogleはUA文字列の情報削減計画を昨年1月に発表したが、COVID-19の影響で2021年以降に先送りされていた。その間もGoogleはUA文字列の代替として提案しているUser-Agent Client Hints API(UA-CH)の改善を進めてきたそうだ。

UA文字列削減は段階的に進められ、第1・第2段階は準備段階、第3～第6段階でロールアウトし、第7段階で完了する。第1段階はChrome 92で「navigator.userAgent」「navigator.appVersion」「navigator.platform」へのアクセスに対し、デベロッパーツールの「Issues」タブで将来的なUA文字列の情報削減に関する警告を表示する。この警告は既にChrome Canaryで表示されるようになっている。今後数週間のうちにアナウンスする第2段階では、Origin Trialにオプトインしたサイトが最終版の削減されたUA文字列をテストできるようにする。テストに十分な時間が取れるよう、Origin Trialは少なくとも6か月続くとのこと。

第3段階は移行に時間が必要なサイトが従来のUA文字列を少なくとも6か月間利用できるようにする逆Origin Trialを開始する。続く第4段階ではMINOR.BUILD.PATCHバージョン番号が「0.0.0」になり、第5段階でデスクトップUA文字列の情報量削減、第6段階でモバイルUA文字列の情報量削減をロールアウトする。これにより、逆Origin TrialにオプトインしていないサイトではUA文字列と関連するJavaScript APIで情報量が削減される。第7段階では逆Origin Trialが終了し、すべてのページで情報量が削減される。

中国・深センの高層ビル SEG Plazaで18日、原因不明の揺れにより数千人が避難する騒ぎが発生したのだが、調査ではビルの構造や周辺の環境に問題は見つからなかったそうだ(South China Morning Postの記事[1]、 [2]、 [3]、 [4]、 動画)。

世界有数の電気街である華強北の中心部に建つ79階建てのSEG Plazaは深センで5番目に高い高層ビルだという。謎の揺れが発生したのは18日13時50分頃。当時の風速は時速27kmで高層ビルを揺らすほどではなく、地震も発生していなかったそうだ。低層階で揺れはあまり感じられなかったようだが、SEG Plazaだけでなく近くの建物からも緊急退避が行われ、人々が走って逃げだす様子を撮影した動画がソーシャルメディアに投稿された。ただし、建物の揺れは動画ではわからない。

揺れは共振によるものとみられるが、同日21時から翌19日15時まで行われた当局の依頼を受けた複数の専門家によるリアルタイムモニターによれば、振動周波数や傾き、地盤沈下は法定の範囲内に収まっていたとのこと。初期の調査では風と建物の下を通る地下鉄、建物の内外の温度差、という3つの要素の組み合わせによりカルマン渦が発生したことを示していると中国証券報が報じているという。ただし、現在のところ揺れの原因について公式な説明はなされていない。

19日にはタワーの基部にあたる10階建ての電気街部分にテナントの従業員が入ることは認められたものの、開店は認められなかったそうだ。20日には翌21日朝から調査終了まで建物への立ち入り禁止と通知されるが、21日午後には製品を持ち出すテナントが相次いだという。広州市の米領事館では19日、安全が確認されるまで華強北地域に近付かないよう警告を出しており、21日にもほぼ同じ内容の警告を再び出している。

先日サイバー攻撃を受けていた米コロニアル・パイプライン（関連記事その1、その2）だが、ハッカーに440万ドル（約4億8000万円）の「身代金」を支払っていたそうだ。ウォールストリート・ジャーナル（WSJ）の報道を元に複数紙が伝えている。システム侵入の程度や復旧に要する時間が把握できていなかったことから、ジョセフ・ブラント最高経営責任者（CEO）が、支払いを許可したとしている。同CEOは非常に物議を醸す決断だったとした上で、国にとって正しい行いだったと話しているとのこと（WSJ、Bloomberg、CNN、朝日新聞）。

追記
Bloombergは、米保険会社CNAファイナンシャルもランサムウエア被害を受けて身代金を支払っていたと報じている。身代金は4000万ドル（約43億5000万円）で3月下旬に支払っていたという。CNAの広報担当は「身代金についてはコメントしない」と話しているとのこと（Bloomberg）。

headless 曰く、

Microsoftの多要素認証アプリ「Microsoft Authenticator」の名前とアイコンを使用した偽のChrome拡張機能がChromeウェブストアで公開され、少なくとも1か月近く公開され続けていたそうだ(Ghacksの記事、 The Registerの記事、 Windows Centralの記事、 Neowinの記事)。

この拡張機能は開発者名がMicrosoftではなく「Extension」となっており、多要素認証機能は搭載されていないという。Ghacksが確認したところ、拡張機能は「run Microsoft Authenticator」というオプションのあるシンプルなページを表示し、ボタンをクリックするとポーランドのWebページが開いて別のサインイン/アカウント作成ページにリダイレクトされたそうだ。Ghacksが発見した時点のユーザー数は448人で、星3つとレーティングされている。レビューには偽物だと警告するものがある一方で、高評価の偽レビューらしきものもみられたとのこと。拡張機能は既にストアから削除されているが、最終更新日の4月23日から1か月近く見つからずにいたようだ。

Chromeウェブストアの開発者プログラムポリシーでは、他人になりすましたり、他人から許可を得たふりをしたりといった行為が禁じられている。なお、本物のMicrosoft AuthenticatorはAndroid/iOSアプリのみがそれぞれGoogle Play/App Storeで公開されており、拡張機能版は提供されていない。Internet Archiveのスナップショット(要JavaScript無効化)でChromeウェブストアの拡張機能のページを見ると、拡張機能の説明はApp StoreのMicrosoft Authenticatorアプリからコピーされたもので、つじつまの合わない説明になっている。MicrosoftはThe Registerに対し、Microsoft AuthenticatorのChrome拡張機能を提供したことはなく、怪しい拡張機能をChromeウェブストアで見つけたら報告するようユーザーに推奨したとのことだ。

2020年の東京都知事選挙で使用されたドメイン「2020tochijisen[.]tokyo」が、5月22日にドメインを失効するようだ。この問題を指摘しているサイトでは、現状でも多くの政治家や政党などの公式Twitterがこのドメインにリンクしており、失効後に第三者にドメインが取得されてウイルスの配布に悪用されるリスクがあるとしている（政府・地方公共団体はドメインをどう取るべきか 、サイト運営者のOsumi, Yusuke氏のTwitter）。

同サイトでは、特定期間で終了するイベントのためためにドメインを取得する場合、とくに政府や市町村など公的機関は気軽にドメインを取得するべきではないと警告している。

無料SSL「Let's Encrypt」が古いルート証明書「DST Root CA X3」が2021年9月30日に終了することを告知している。大きな影響はないと見られる。公式ブログによると、Let's Encryptには、ISRG RootX1と呼ばれる現在使用されているルート証明書とDST Root CA X3と呼ばれると古いルート証明書がある。この古いDST Root CA X3が年9月30日に期限切れになるとしている（IdenTrustリリース）。

この問題は以前は重要な問題として警戒されていたが、過去記事にあるように、Let's Encryptを運営しているIdenTrustは、していることから、通常のWebサイトには影響はほぼないとのこと。ただし、APIを提供しているもしくはIoTデバイスをサポートしている場合は、APIを使用しているクライアントがISRG RootX1を信頼しているか、OpenSSLクライアントのバージョン1.1.0以降を使用しているかを確認しておく必要があるとのこと。

あるAnonymous Coward 曰く、

2021年9月30日に、後方互換性を失う変更を行う予定らしい。
普通のウェブサイトやブラウザなら特に変更にも気づかないであろう、とある。

情報元へのリンク

headless 曰く、

カスタムURIスキームを利用することで、異なるWebブラウザーにわたるユーザーの追跡が可能になるという「scheme flooding」脆弱性をFingerprintJSが公開している(FingerprintJSのブログ記事、 Ghacksの記事、 HackReadの記事、 デモページ)。

この脆弱性はカスタムURIスキームを使用して外部プロトコルのハンドラー呼び出しを試みることで、Webサイトがユーザーのシステムに対応アプリがインストールされているかどうかを知ることが可能というものだ。カスタムURIスキームを利用するアプリのリストを生成することで、システムにインストールされた複数の異なるWebブラウザーで共通の識別子を生成できる。FingerprintJSでは影響を受けるブラウザーとしてデスクトップ版のTor Browser/Safari/Chrome/Firefoxを挙げているが、Chrome以外のChromiumベースブラウザーも影響を受けるとみられる。

ChromiumベースのブラウザーではカスタムURIスキーム実行時にダイアログボックスが表示され、ユーザーの意志に反したアプリケーションの起動を防ぐ仕組みが備わっているが、いったん内蔵PDFビューアーを起動するとこの仕組みがバイパスされる問題があるという。これについてはFingerprintJSがバグとして報告している。

FingerprintJSが公開しているデモでは24のアプリケーションに対応するカスタムURIスキームをチェックして24ビットの識別子を生成する。現在のところmacOSとWindowsにのみ対応しており、Linux上では正しく動作しない。

Bloombergの記事によれば、イーロン・マスク氏のツイートが、暗号資産市場に大きな影響を与えすぎていることから、ウォール街では暗号資産そのものに対する警戒感が強まっているらしい。先日、マスク氏がテスラ製自動車のビットコイン決済を中止する方針を示したことや、テスラがビットコイン売却を示唆したとも読めるツイートをしたことで、先週はビットコインからの資金流出額が9800万ドルに達したという。これはこれまでで過去最大の流出額だったそうだ。なおテスラによるビットコイン売却はその後に否定されている（Bloomberg）。

マスク氏の発言は冗談なのか本気なのか不明瞭であり、簡単に相場が変動してしまうビットコインをインフレの回避策として、金の代替となる投資先として見ていいのか、世界2位の富豪はツイッターで冗談をツイートしているだけではないかなどの疑いを持つ見方が資産運用会社などの間で広がっている模様。

Appleが4月に発表した紛失防止タグ「AirTag」では、Apple製品のネットワークを活用することにより、iPhoneの「探す」アプリから忘れ物や紛失物を見つけ出せる。このときに利用されるFindMyネットワークを利用して、近くのAppleデバイスに任意のデータをアップロード手法がセキュリティ企業のPositive Securityによって開発されたという。この手法を試すためのツールに関してもGitHub上で公開されている（Positive Security、GitHub、INTERNET Watch、GIGAZINE）。

AirTagが隣接した位置にあるiPhoneを経由して位置情報を送信する仕組みを利用し、任意のデータを送受信するというものだそう。INTERNET Watchの記事によれば、AirTagはセキュリティのため位置情報を暗号化して送信する仕組みを採用しており、AirTagに偽装したツールを使って位置情報代わりにメッセージを送信することで、Appleに把握させることなくメッセージの送受信が行える模様。

読売新聞社は15日、同社のニュースサイト「読売新聞オンライン (https://www.yomiuri.co.jp/)」に似せた偽サイトが確認されたとして、注意喚起した(読売新聞オンラインの記事、 読売新聞オンラインからのお知らせ)。

「読売新聞オンライン」のロゴが表示される偽サイトには暗号通貨取引を推奨する記事が掲載されており、名前やクレジットカード番号などの入力を求める記載もあるという。読売新聞は偽サイトにアクセスしたり、個人情報を入力したりしないよう注意喚起するとともに、JPCERT/CCに対処を要請したとのことだ。

米消費者製品安全委員会(CPSC)は12日、ガソリンをプラスチック製の袋に入れたりせず、燃料用として認可された容器のみをメーカーの指示に従って使用するよう注意喚起した(CPSCのツイート、 CBS Newsの記事、 The Washington Postの記事、 USA TODAYの記事)。

CPSCは注意喚起に至った理由に触れていないが、米東海岸に燃料を届けるColonial Pipeline Companyが7日にランサムウェア攻撃を受けてパイプラインシステムが一時停止したことが原因のようだ。これによりガソリン不足や価格上昇が発生し、ガソリンスタンドには車の行列ができているという。

CPSCはガソリンを裸火の近くで容器に注がないようにとも述べ、人々が必死になると単純なこともわからなくなるとして、ガソリン用ではない容器を持って行こうとする人たいたら危険を知らせるよう求めている。

なお、ガソリンを満たしたプラスチック製の袋が車のトランクに積み込まれた写真や、女性が給油所でプラスチック製のレジ袋にガソリンを注ぐ動画がソーシャルメディアに投稿されているが、いずれも2019年に撮影されたもので、今回のガソリン不足とは無関係だ。後者は少なくとも米国で撮影されたものではあるが、前者はメキシコで逮捕されたガソリン窃盗犯のものであり、米国ですらない。

Colonialは14日、全パイプラインシステムを安全に再起動したと発表している。一方、ランサムウェア攻撃の実行者とされるDarkSideは金銭が目的であって社会に混乱を招く意図はなかったとし、今後は社会的影響に配慮するなどと述べているとのことだ。

イーロン・マスク氏は13日、TeslaでBitcoin決済による自動車の販売を停止すると発表した(マスク氏のツイート、 The Vergeの記事、 The Guardianの記事、 The Registerの記事)。

Teslaは3月から米国でBitcoin決済を選択可能にしたばかりだが、Bitcoinの採掘・決済で化石燃料(特に温室効果ガス排出量の最も多い石炭)の急速な使用量増加を懸念しているという。暗号通貨は素晴らしいアイディアであり、将来性が期待されるが、環境に対する大きなコストは受け入れがたいとしている。

マスク氏はTeslaが保有するBitcoinを売却する計画はなく、持続可能エネルギーによる採掘への転換が進めば決済に使用する計画も示した。また、決済当たりのエネルギー使用量がBitcoinの1%未満となる暗号通貨も探しているとのこと。Dogecoin開発者と決済効率を向上させるべく協力しているともツイートしている。

TeslaのWebサイトではBitcoin決済に関するPDFファイルが残されているものの、サポートページのBitcoin FAQ(Googleキャッシュ)や、注文ページのBitcoin決済ボタンは削除されている。

ベルギーのセキュリティ研究者「Mathy Vanhoef」氏は、「FragAttacks」(fragmentation and aggregation attacks)と呼ばれる新たな脆弱性を発見したと発表した。この脆弱性を突くことにより、最新の暗号化方式である「WPA3」でも影響及ぼす可能性があるとしている（FragAttacks.com、元論文、Mathy Vanhoef氏による動画、サイオス セキュリティブログ、TECH+）。

同氏はWi-Fi規格の仕様上の欠陥が三つほどあり、この欠陥をつくことにより、アグリゲーション攻撃、混合鍵攻撃、フラグメントキャッシュ攻撃という攻撃が可能になるという。実装上の脆弱性に関しても同じく三つ指摘している。今回発見された脆弱性は、WPA3だけでなく、旧来の「WEP」でも影響のある問題であるとしている。

今回発見された脆弱性に関する共通脆弱性識別子は次のものが割り振られている。

• CVE-2020-24588
• CVE-2020-24587
• CVE-2020-24586
• CVE-2020-26145
• CVE-2020-26144
• CVE-2020-26140
• CVE-2020-26143
• CVE-2020-26139
• CVE-2020-26146
• CVE-2020-26147
• CVE-2020-26142
• CVE-2020-26141

headless 曰く、

Googleは10日、デスクトップ版Google ChromeでSharedArrayBuffer APIを使用するサイトに対するクロスオリジン分離義務付け開始をM92(Chrome 92)に延期すると発表した(Chromium Blogの記事)。

SharedArrayBuffer APIは2018年にSpectre対策としてすべての主要ブラウザーで無効化されたが、Googleはサイト分離を導入したChrome 67で再び有効化している。クロスオリジン分離義務付けはSharedArrayBufferのような攻撃者に広い帯域を与えるAPIを制限し、Spectreなどのサイドチャネル攻撃を緩和するものだ。MozillaはFirefox 79でクロスオリジン分離義務付けを導入しており、SharedArrayBufferをM88で導入したAndroid版Chromeでは、当初からクロスオリジン分離が義務付けられている。

Googleはデスクトップ版ChromeでもM91からSharedArrayBufferやperformance.measureUserAgentSpecificMemory()といったAPI使用にクロスオリジン分離の義務付けを開始する計画を2月に発表していた。しかし、フィードバックや報告された問題を受けてSharedArrayBufferのクロスオリジン分離義務付けをM92に延期するとのこと。

なお、Chrome 92のリリースまでに対応が間に合わない場合、Chrome Origin Trialsで取得したオリジンのトークンを「Origin-Trial」HTTPヘッダーに追加することでChrome 96までは現在のAPIの挙動を維持できる。

毎日新聞によると、聖火リレーの配信サイトに「フィッシング詐欺」を目的とした偽サイトが存在しているようだ。このサイトには聖火リレーが通過する都道府県名が付けられており、10日の段階では「佐賀県聖火リレー放送（LIVE）」のタイトルが付けられていたとしている。このサイトでは、動画を閲覧するため個人情報やクレジットカード情報などの入力を求めてくるとしている（毎日新聞、西日本新聞、砺波市、有田町）。

こうした聖火リレーを悪用したフィッシング詐欺サイトは、4月頃から複数の地域の名義で発生しているようで、聖火リレーを行う各自治体や地方新聞などでは注意が促されていたようだ。毎日新聞によれば、現時点では被害は確認されていないものの、コロナ禍の影響で無観客のリレーが広まれば、被害も広がる恐れがあるとして注意を促している。