海賊版サイトへのアクセスをブロックするマルウェアキャンペーンについてSophosが解説している(Sophos News の記事、 TorrentFreakの記事、 HackRead の記事、 Ars Technica の記事)。

Sophos が「Vigilante」と呼ぶマルウェアはさまざまなゲームの海賊版を装って BitTorrent で配布されており、リンクが Discord で共有されているという。マルウェアを実行すると「MSVCR100.dll」が見つからないといった偽のエラーメッセージを表示し、バックグラウンドで処理が行われる。処理の内容としては、キルスイッチとみられるファイル名やレジストリ値の検索を行い、見つかればそこで処理を終了し、見つからなければ hosts ファイルの書き換えを行う。

また、インターネットに接続している場合はファイル共有サービス 1fichier のタイポスクワッティングサイトに接続して「ProcessHacker.jpg」という名前の実行ファイルをダウンロードするほか、マルウェアのファイル名を送信する。ただし、このサイトは既にアクセスできなくなっているとのこと。マルウェアの圧縮ファイルにはハッシュ値を変えて別ファイルとして配布するためのデータが同梱されている。.nfo という拡張子のファイルには先頭1,150バイトをゴミデータで埋めた後に人種差別的表現が1,000回以上繰り返されているそうだ。

hosts ファイルに追加されるエントリは ThePirateBay など数100～1,000件以上の海賊版サイトドメインを localhost アドレスの127.0.0.1に割り当てるものだ。ただし、マルウェアが常駐することはなく、ユーザーが hosts ファイルの変更を元に戻した場合、再びマルウェアを実行しない限り攻撃が続くことはない。Sophos の Andrew Brandt 氏は10年以上前に同様のマルウェアを発見しているが、そこから特に進化した様子は見られないとのことだ。

自動運転自動車が物体を検出する機械学習モデルに対し、超音波を用いて誤った結果を導くという「ポルターガイスト」攻撃の研究成果を中国・浙江大学などの研究グループが発表している(GitHub プロジェクトページ、 The Registerの記事、 論文: PDF)。

ポルターガイスト攻撃は研究チームが AMpLe (injecting physics into Adversarial Machine Learning) 攻撃と呼ぶ、機械学習モデルに対する物理的な攻撃の一つ。超音波のほか、可視光や赤外線、レーザー、電波、磁場、熱、液体などを用いてセンサーの出力を操作し、誤った結果を導くというものだ。今回の研究は現行の製品ではなく、まだ見ぬ将来の自律走行車がどのように映像スタビライズシステムへの音響攻撃を回避していくかの理解を深めることが目的だという。

映像スタビライザーの加速度センサーやジャイロスコープは音響共鳴攻撃に弱いことが知られており、ポルターガイスト攻撃もこの仕組みを用いてセンサーをコントロールし、被写体ぶれした映像を出力させる。機械学習モデルによる物体検出は映像のぶれの有無に左右されるため、攻撃者は物体を消す (Hiding Attacks: HA)・存在しない物体を作り出す (Creating Attacks: CA)・物体の種類を変える (Altering Attacks: AA)という3種類の攻撃が可能になる。

実験で使用した物体検出モデルは研究用の YOLO V3/V4/V5 と R-CNN、商用の Apollo で用いられている YOLO 3D の5種類。シミュレーションでの攻撃成功率は HA で100%、CA で87.9%、AA で95.1%。実際に走行する自動車で Samsung Galaxy S20 を用いた実験では HA 98.3%、CA 43.7%、AA 43.1%という結果になったとのこと。ポルターガイスト攻撃はさまざまな場面や天候、時刻、カメラ解像度にかかわらず安定した結果を出したそうだ。

ブラジル・サンパウロでは本体の売却益ではなく、インストールされたバンキングアプリによる銀行口座へのアクセスを目的としたスマートフォン窃盗が増加しているそうだ(TecMundo の記事[1]、 [2]、 9to5Mac の記事、 Folha de S. Paulo の記事)。

犯行はハッカー集団により組織的に行われており、COVID-19 パンデミックが始まったころから増加している。主なターゲットはロック解除の容易な Android 端末だが、iPhone のロック解除も可能だという。路上などで被害者が使用中のロックされていないスマートフォンをひったくることもあるとのこと。

ある被害者はバンキングアプリを開くのにパスワードを入力し、取引の確認には別のパスワードを入力するので大丈夫だと思っていたが、警察の勧めに従って口座を確認したところ、盗難から30分以内に5,000レアル(約11万円)ほどが送金されていたそうだ。

そのためサンパウロ州の消費者保護当局 Procon-SP では、Apple/Motrola/Samsung の3社や、アプリを提供する銀行などに対し、スマートフォンが盗難被害にあった場合の保護機能について報告を求めている。

Microsoft は17日、Windows Update を通じた Windows 7 SP1/Server 2008/2008 R2 のドライバー提供を同日終了すると発表した(Windows Hardware Certification ブログの記事、 Bleeping Computer の記事、 BetaNews の記事、 Windows Central の記事)。

Microsoft が5月10日からSHA-2 アルゴリズムへ全面移行したことで、信頼されたルートプログラム参加パートナーが未パッチの Windows デバイスに互換性のない SHA-2 署名入りドライバーを配信してしまう可能性が出てくる。これにより、該当するデバイスでは機能が低下したり、起動時間が長くなったりといった問題が発生することもある。

Microsoft は問題を回避するため、Windows 7 SP1/Server 2008/2008 R2 を対象に含む SHA-2 署名入りドライバーの Windows Update への発行を6月17日に中止するとのこと。このようなドライバーを発行するパートナーには変更が通知され、サポートの終了したバージョンをターゲットから除外して再送信する必要がある。

なお、Windows ハードウェア互換性プログラム (WHCP) では2023年1月まで Windows 7 SP1/Server 2008/2008 R2 ドライバーを受け付け、拡張セキュリティ更新プログラム (ESU) を利用する顧客へ提供できるようにする(ドライバーへの署名方法変更に関する解説記事)。ESU 利用者は WSUS などの手段で管理下のデバイスに引き続きドライバーを展開可能だ。

サイバー攻撃防御サービス Cybereason の調べによると、ランサムウェア攻撃者に身代金を支払う被害者は「お得意様」として繰り返しターゲットになる可能性が高いそうだ(プレスリリース、 BetaNewsの記事)。

ランサムウェアに身代金を支払ってもデータが復元できるとは限らず、半数以上がデータを失うという調査結果も出ている。CISAやFBIなどは身代金支払いを推奨していないが、早期復旧を目指す被害者は支払ってしまうケースも多い。

Cybereason の依頼でCensuswideが4月に実施した調査は米国(24%)・英国(24%)・スペイン(12%)・ドイツ(12%)・フランス(12%)・UAE(8%)・シンガポール(8%)のセキュリティプロフェッショナル計1,263人を対象としたものだ。

回答者の半数以上がランサムウェアの被害にあっており、身代金を支払った回答者のうち51%はデータが完全に復旧できたと回答している。46%はデータの一部またはすべてが破損していたと回答しており、暗号化されたデータに一切アクセスできなかったという回答は3%に過ぎなかったという。

身代金を支払ったうちの80%は2回目のランサムウェア攻撃に見舞われており、46%は同じ攻撃者によるものだと考えているそうだ。一方、全く別の攻撃者によるものだと考えている回答者は34%に過ぎなかったとのことだ。

headless 曰く、

旭化成グループ ZOLL Medical の除細動器管理ソフトウェア ZOLL Defibrillator Dashboard で見つかった6件の脆弱性が公表されている(ICSMA-21-161-01、 The Registerの記事)。

CISAによる深刻度評価が最も高い(CVSS v3: 9.9) CVD-2021-27489は、管理者以外のユーザーがWebアプリケーションを通じて悪意あるファイルをアップロード可能というものだ。攻撃者はアップロードしたファイルを利用してリモートからの任意コード実行が可能になる。

このほかの脆弱性は、暗号鍵のハードコード(CVE-2021-27481)、認証情報の平文保存(CVE-2021-27487)、権限の低いユーザーが悪意あるスクリプトを含むパラメーターをWebアプリケーションにインジェクトすることで高い権限のユーザーに実行させることが可能(CVE-2021-27479)、攻撃者が認証情報をWebブラウザーから取得できる状態でのパスワード保存をユーザーに許可(CVE-2021-27485)、不適切なファイルシステムのパーミッション設定により低い権限のユーザーが管理者権限に昇格可能(CVE-2021-27483)、といったものだ。

脆弱性はすべて Defibrillator Dashboard バージョン2.2以降で修正されており、最新版への更新が推奨されている。

富士フイルムは14日、2日に発表した同社サーバへのランサムウェア攻撃による不正アクセスに関する続報を発表した。同社は特別対策チームを組んで調査を実施したが、これまでに完了した調査した結果では外部への情報流出の痕跡は認められなかったとしている。不正アクセスへの対策も実施したという。安全が確認されたサーバやPCに関しては順次復旧させていき、14日までに通常業務が行えるよう復旧したとしている（富士フイルム、ITmedia、ScanNetSecurity）。

ブロックチェーン分析サービス「Chainalysis」は7日、2020年にビットコイン（Bitcoin）で利益を得た25か国のランキングを発表した。このデータによると、米国人は昨年中に他のどの国よりもビットコインを利用していたという。暗号資産の価格が1万ドル未満から2万9000ドルにまで急騰した結果、米国人は41億ドルの利益を上げたとしている（Chainalysis、New York Post）。

続いて利益を上げていたのは中国で11億ドル。3位には意外なことに日本で9億ドルの収益を上げていたという。4位は英国（0.8億ドル）、5位はロシア（0.6億ドル）、以下ドイツ、フランス、スペイン、韓国、ウクライナと続く。

Chainalysisの分析では、従来の経済指標でのランキングと比較すると、低中所得国のランキング入りが目立つという。ベトナムが好例でChainalysisが行っている告別の暗号資産の導入率を示すGlobal Cryptocurrency Adoption Index[PDF]でベトナムは10位に付けている。ベトナムは2020年のビットコインの投資利益で13位となる3億5100万ドルの収益を上げた。オーストラリア、サウジアラビア、ベルギーなどの伝統的な経済指標を持つ国を上回っている。同様の傾向はそのほかの低中所得国でも見られるとのこと。

headless 曰く、

次世代Windowsとされる「Windows 11」がオンラインにリークしている(The Vergeの記事、 Windows Centralの記事[1]、 [2]、 Baiduフォーラムの投稿)。

Windows 11は当初Baiduのフォーラムでスクリーンショットが共有され、その後ISOイメージも出回った。リークしたバージョンはWindows Insider ProgramのDevチャネルを示すバージョン「Dev」となっており、バージョン情報にははっきりと「Windows 11」と表示される。現在、DevチャネルのWindows 10 Insider Previewはビルド21390.2025なのに対し、リークしたWindows 11はビルド21996.1。ブランチはビルド21390.2025と同じCO_RELEASEとなっている。

Windows 11の外見は5月に計画中止が発表されたWindows 10Xと共通点が多く、センタリングされたタスクバーやスタートメニュー、再び角丸になったウィンドウが目立つ。スタートメニューはフローティング表示となり、ライブタイルは廃止された。「ニュースと関心事項」を置き換えるようにウィジェットが追加されている。

Microsoftは24日のデジタルイベントでWindows 11を発表するとみられている。The VergeやWindows Centralは今回のISOイメージが本物だと確認したとのことだ。

立憲民主党は11日、「インターネット投票の導入の推進に関する法律案」を衆議院へ提出した。具体的なネット投票の準備を進める法案の提出はこれが初めてだとしている（立憲民主党リリース、日経クロステック、CoinPost）。

リリースではコロナ禍のような状況であっても、参政権を確保することが重要だとし、投票所及び開票所にて人々が集まることで、集団感染リスクを助長しかねないことから、インターネット投票の導入を推進する法律案を作成したとしている。

報道によれば、電子署名など本人認証の導入や罰則制度、外部干渉を受けた場合のやり直しの仕組み、紙での投票が優先される仕組み、ブロックチェーン技術などを用いた改竄防止、選挙公示・告示の翌日から投票日前日までの24時間投票を可能にするといった内容が提示されている。

先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事、 HackReadの記事、 Neowinの記事、 SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。

グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。

Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。

ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。

多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。

polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。

この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。

Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

headless 曰く、

米国のジョー・バイデン大統領は9日、米国人のセンシティブ情報を外国の敵から保護するための大統領令に署名した(大統領令、 ファクトシート)。

この大統領令は2019年にドナルド・トランプ大統領(当時)が署名した情報通信技術とサービスのサプライチェーンの安全を保つための大統領令13873を踏襲するもので、米政府や企業の機密情報や米市民のセンシティブ情報を扱うアプリケーションと外国の敵との結び付きをリスクベースで分析するよう監督官庁に命じている。

一方、中国のソフトウェア計10本を国家安全保障上の脅威と位置付けるトランプ大統領時代の大統領令3件は、本大統領令で取り消される。具体的には昨年8月に署名されたTikTokが対象の大統領令13942とWeChatが対象の大統領令13943、トランプ大統領退任直前の今年1月に署名された大統領令13971の3件。大統領令13971で対象となるソフトウェアはAlipayとCamScanner、QQ Wallet、SHAREit、Tencent QQ、VMate、WeChat Pay、WPS Officeの計8本だ。

headless 曰く、

オーストラリア連邦警察(AFP)は8日、組織犯罪限定で用いられる暗号化通信を読み取る特別作戦「Operation Ironside」により、224人を逮捕したと発表した(メディアリリース、 The Registerの記事、 Neowinの記事、 BBC Newsの記事)。

Operation Ironsideは米連邦捜査局(FBI)との協力により3年前から行われていたという。AFPとFBIは犯罪組織が用いる暗号化通信プラットフォームを共同で摘発しており、その過程でFBIは「AN0M」と呼ばれる暗号化通信アプリを入手してひそかに運営を始めたそうだ。

AN0Mは機能を制限した携帯電話にインストールして闇市場で取引されており、摘発により競合の暗号化通信プラットフォームが減少する中、犯罪者の間で人気を博していた。しかし、犯罪者はAFPをポケットに入れているのも同然であり、AFPは2018年以降、3.7トンの麻薬や4,493万豪ドルの現金などを押収しているとのことだ。