パスワードを忘れた? アカウント作成

みんなの日記の更新状況はTwitterの@sradjp_journalsでもチェックできます。

15359017 story
プリンター

HP / Samsung / Xerox のプリンタードライバーに 16 年前から存在した脆弱性 26

ストーリー by headless
長寿 部門より
HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事BetaNews の記事)。

この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。

脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリーXerox のアドバイザリー: PDF)。
15358946 story
犯罪

昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 3

ストーリー by headless
追加 部門より
昨年 7 月に発生した Twitter アカウントの大規模侵害事件に関連して、スペインで新たな逮捕者が出たそうだ(米法務省のニュースリリースThe Verge の記事Mac Rumors の記事The Register の記事)。

この事件では攻撃者が電話によるスピア型フィッシングの手法で Twitter 従業員から認証情報を入手し、内部ツールを用いて 130 アカウントを攻撃。このうちパスワードリセットに成功した著名人のアカウントを含む 45 アカウントでビットコインの詐取を目的とした投稿が行われた。昨年 8 月に 3 人が起訴されており、主犯格とされる未成年者 (当時) は今年 3 月に 3 年の実刑判決を受けている。

一方、今回逮捕されたのは 22 歳の英国人男性で、米国の要請を受けたスペイン国家警察がエステポナで逮捕したという。この人物は事件発生直後、関与している可能性のある SIM スワッパー「PlugWalkJoe」として KrebsOnSecurity に取り上げられていたが、事件に直接関与してはいないと The New York Times のインタビューに答えていた。KrebsOnSecurity によれば男性は昨春までスペインの大学に通っていたが、昨年7月時点では COVID-19 パンデミックによる渡航制限で帰国できずにいたという。

米法務省によれば、男性は Twitter のアカウント侵害だけでなく、TikTok や Snapchat のアカウント乗っ取りや未成年者に対するサイバーストーキングにも関与しており、コンピューターの不正アクセスと共謀、脅迫など計 10 件で訴追されているとのことだ。
15357741 story
iOS

NSO Group のスパイウェアがジャーナリスト監視に使われていた問題で、iOS のセキュリティがイメージほど高くないことにも注目が集まる 79

ストーリー by headless
対策 部門より
Amnesty International の The Pegasus Project でイスラエル NSO Group のスパイウェア Pegasus が人権抑圧国家でジャーナリストを沈黙させ、活動家を監視して反対派をつぶすために使われていることが明らかにされたが、iOS がイメージほどセキュアでないことにも注目が集まっている(The Guardian の記事Ars Technica の記事9to5Mac の記事Recode の記事)。

The Pegasus Project はフランスの非営利メディア Forbidden Stories のコーディネートにより 10 か国 17 メディア組織から 80 人以上のジャーナリストが参加し、Amnesty International が最新のフォレンジック調査を実施したものだ。The Guardian などのプロジェクト参加メディアは今後数週間にわたって調査結果を報じていく計画だという。

Pegasus に関連して Apple は 2019 年、同社の OS は世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないと述べていた。

しかし、プロジェクトでは今年 5 月時点で最新版の iOS を実行する iPhone で 10 台以上の Pegasus 感染を確認しており、2018 年以降 2021 年に至るまで複数の脆弱性がゼロクリック攻撃に使われてきたという。そのため、Amnesty International では全世界で数千台の iPhone が感染している可能性があるとの見解を示している。

Apple は今回の調査結果に対しても 2019 年と同様の説明を繰り返した。しかし、ゼロクリック攻撃を止めるための Apple の対策が不十分だという意見や、Apple は他社と協力して問題に対応すべきだといった意見も出ている。

なお、NSO Group では以前から顧客は犯罪やテロの調査に製品を使用する民主的な政府だと主張しており、今回も人権抑圧国家にツールを提供しているとの指摘に反論している。また、人権抑圧国家として名指しされた政府のいくつかはスパイウェアの使用を否定する回答を出している(The Guardian の記事 [2])。
15357078 story
暗号

Google、インカの人々が情報を記録したヒモ「キープ」のオンライン展覧会を公開 14

ストーリー by headless
結目 部門より
Google は 19 日、インカの人々が情報の記録に用いたヒモのオンライン展覧会「The Khipu Keepers」を Google Arts & Culture で公開した(The Keyword の記事)。

Khipu (キープ) は結び目という意味で、ヒモに作った結び目やその間隔、染色の違いで異なる意味を表す。結び目の種類は3種類 (single / long / figure-eight)。single は一重結び、figure-eight は8の字結びで、long は巻き付けるようにヒモの先を繰り返し輪の中に通して結び目を長くしたもののようだ。

現存するものの 85 % は数値情報の記録に用いられており、figure-eight が数字の 1、long の巻き数で数字の 2 ~ 9 を表し、結び目のないヒモが数字の 0 を表すこともわかっている。一方、残り 15 % は言語による情報が記録されているとみられるが、現在のところ解読できていない

The Khipu Keepers ではペルー・リマ美術館 (MALI) が 8 月 15 日まで開催している特別展「Khipus」オンラインツアーが体験できるほか、Khipu の歴史構造の解説ページなども用意されている。
15357028 story
Windows

Windowsに特権昇格の新たなゼロデイ脆弱性、原因はレジストリハイブファイルのアクセス権 16

ストーリー by headless
発見 部門より
Windows で新たに見つかった特権昇格のゼロデイ脆弱性について、Microsoft が回避策を紹介している(CVE-2021-36934CERT: VU#506989DoublePulsar のブログ記事BetaNews の記事)。

この脆弱性は SAM や SYSTEM などのレジストリハイブファイルに対し、読み取りと実行のアクセス権 (RX) が BUILTIN\Users などの本来付与すべきでないユーザーに付与されていることが原因だ。影響を受けるシステムはWindows 10 バージョン1809以降で、Windows 11 Insider Previewも影響を受ける。

起動中の Windows のレジストリハイブファイルはロックされているため権限があっても読み取ることはできないが、ボリュームシャドウコピーが有効であれば標準ユーザーの権限で読み取り可能となる。SAM には認証関連の情報が含まれるため、攻撃者が悪用すれば SYSTEM の権限で任意コード実行が可能だ。脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ、PoC も公開されている。

回避策としては %windir%\system32\config 内のすべてのファイルのアクセス権を修正し、システムの復元ポイントをすべて削除するというものだ。復元ポイントは必要に応じて作り直せばいい。
15354619 story
EU

米国、中国のサイバー攻撃関与を非難する声明発表。日本を含む同盟国と共同で 33

ストーリー by nagazou
発表 部門より
19日に米政府は同盟国と共同で3月に発生したMicrosoftのExchange Serverに対するサイバー攻撃は、中国の情報機関である国家安全省が関与していたとして、中国政府を非難する声明を発表した。今回の声明は北大西洋条約機構(NATO)と欧州連合(EU)、英国、オーストラリア、日本、ニュージーランド、カナダが共同で出したとされる。NATOが中国のサイバー攻撃に言及したのは今回が初めてだという(ロイターBloombergTechCrunchNHK産経新聞朝日新聞)。

中国の国家安全省は「Hafnium」と呼ばれるハッカーを雇用し攻撃を実行。米国だけで計2万以上の金融機関や中小企業などが被害を受けたとしている。また世界的に展開しているランサムウェア攻撃などにも関与しているとされる。今回、複数国が共同で声明を発表したのは、米国側の1か国だけでは中国の振る舞いを変えることはできないとする考えがあったためのようだ。
15353500 story
Windows

Microsoft、Windows Server と SQL Server 2012/2012 R2 の拡張セキュリティ更新プログラム提供計画を発表

ストーリー by nagazou
発表 部門より
headless 曰く、

Microsoft は 14 日、Windows Server 製品の拡張セキュリティ更新プログラム (ESU) 提供計画を発表した(Microsoft Windows Server Blog の記事Microsoft SQL Server Blog の記事Microsoft Azure Blog の記事The Register の記事)。

SQL Server 2012 の延長サポートは 2022 年 7 月 12 日に終了し、Windows Server 2012 / 2012 R2 の延長サポートは 2023 年 10 月 10 日に終了する。これら製品の ESU 提供はそれぞれ延長サポート終了から3年間。オンプレミス製品の ESU 利用料金は年額でライセンス料金の 75% ~ 125% となるが、Azure 上で使用する場合は無料となる。

また、現在 ESU が提供されている製品のうち、SQL Server 2008 / 2008 R2 は2022 年 7 月 12 日、Windows Server 2008 / 2008 R2 は 2023 年 1 月 10 日に ESU 提供が終了するが、Azure 上で使用する場合に限り ESU を追加で 1 年間無料提供することも発表された。

15353488 story
ソフトウェア

シュナイダーエレクトリック製PLC「Modicon」に脆弱性。リモートコード実行される恐れ 8

ストーリー by nagazou
脆弱性 部門より
Schneider Electric製の産業用コントローラなどに利用されているPLC「Modicon」シリーズにに、リモートコード実行につながる可能性のある脆弱性が発見された。共通脆弱性識別子は(CVE-2021-22779)となっている(Schneider ElectricリリースHelp Net SecurityLemonde InformatiqueGIGAZINE)。

この脆弱性はセキュリティ企業のArmisが発見したもので、Schneider ElectricがDoS攻撃に対処するために用意したパッチの欠陥を突いたものであるという。UMASと呼ばれるプロトコルを悪用することで完全な乗っ取りが可能になるとしている。Modiconシリーズは工場、電力会社、HVAC(暖房、換気、空調)システムなどに利用されており、出回っている台数も多いことから影響が心配されるとのこと。
15352979 story
Chrome

Google、Chrome 94 以降で HTTPS 優先モードを導入する計画 54

ストーリー by headless
優先 部門より
Google は14日、Chrome 94 以降で HTTPS 優先モード(HTTPS-First Mode)を利用可能にする計画を発表した(Chromium Blog の記事The Verge の記事SlashGear の記事)。

Chrome では現在、Omnibox にプロトコルを省略した URL を入力した場合に HTTPS 接続を優先して接続するようになっているが、HTTP プロトコルを指定した場合にはサイト側でリダイレクトされない限り HTTP 接続となる。HTTPS 優先モードは HTTP プロトコルを指定した場合でもまず HTTPS で接続し、対応していない場合は HTTP でページを表示する前に全画面で警告を表示するという。

同様のオプションは既にFirefox が搭載しており、Microsoft Edge もプレビュー版(Beta/Dev/Canary)でedge:flagsのAutomatic HTTPS (edge://flags/#edge-automatic-https")を Enabled にすることでオプションが利用可能になる。Google では Chrome 94 以降でテストを行い、デフォルトで有効にするかどうかを決めるとのこと。

また、Chrome 93 では HTTPS 接続時の南京錠のアイコン表示をやめ、ドロップダウンボタンのようなニュートラルな表示に置き換える実験をするそうだ。これは南京錠のアイコンが通信の暗号化を示すだけなのにもかかわらず、サイトが信頼可能であるような印象を与えてしまいことを避けるためだという。その一方で、HTTP 接続時の「保護されていない通信」という表示は維持していくとのことだ。
15352449 story
Windows

米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 5

ストーリー by headless
指令 部門より
米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は13日、Windows の Print Spooler の脆弱性 PrintNightmare (CVE-2021-34527) への対策を命じる緊急指令を発出した(緊急指令 21-04Windows Central の記事)。

PrintNightmare は Print Spooler サービスが特権のあるファイル操作を適切に処理しないことにより、リモートから SYSTEM 権限で任意コード実行が可能になるというもの。CISA によれば、この脆弱性を狙う攻撃が複数の攻撃者により活発に行われており、政府機関のシステムが脆弱性を放置したままにすることは受け入れがたいとのこと。CISA の緊急指令は年に数本程度しか発出されないが、最近では SolarWinds Orion の脆弱性に対する緊急指令 21-01Microsoft Exchange Server の脆弱性に対する緊急指令 21-02 のほか、Pulse Connect 製品の脆弱性に対する緊急指令 21-03 が発出されている。

緊急指令 21-04 ではすべての連邦政府機関に対し、東部夏時間 (以下同) 7 月 14 日 23 時 59 分までに 1) Active Directory (AD) のドメインコントローラー (DC) で Print Spooler サービスを停止・無効化するよう命じている。また、20 日 23 時 59 分までに 2) Windowsの 7 月の累積更新プログラムをすべての Windows マシンに適用、3) 1) 以外の Windows ホストで Print Spooler サービスの停止・無効化、または「ポイント アンド プリントの制限」グループポリシーを(グループポリシーエディターまたはレジストリエディターで)有効化、4) グループポリシーまたはレジストリ設定が適切に行われていることを確認、5) Windows マシンを新規または再びネットワークに接続する場合は上述の対策を事前に行うことが必要だ。また、6) 対策完了の報告を 21 日 12 時までに提出する必要がある。

なお、PrintNightmare は発見者が修正済みと勘違いして PoC を公表したことによりゼロデイ脆弱性となった。当初 Microsoft はセキュリティ更新プログラムガイドの謝辞に発見者の名前を記載していなかったが、現在は記載されている。
15349636 story
お金

読売新聞子会社でクレジットカードの情報漏洩が発生 50

ストーリー by nagazou
被害がかなり出ちゃってるのがな 部門より
読売情報開発大阪は14日、同社のECサイト「よみファネット」が不正アクセスを受けたと発表した。同社は読売新聞系列の企業。これにより1301人分のクレジットカード情報が流出した可能性が高く、なおかつ少なくとも58人分のカード情報が不正利用された。6月末の段階で被害も計767万4605円分が確認されているという。流出確認が判明した段階でよみファネットは閉鎖したとしている(読売ファミリーITmedia東京新聞)。

流出した可能性が高い情報は、2020年10月24日から2021年3月2日までの期間に同サイト上にカード情報を入力した利用者。発表によれば、カード名義人、カード番号、有効期限、セキュリティコードが流出したとされる。2021年3月2日に決済代行事業者からの指摘うけたところ不正アクセスを受けていたことが4月13日に確定したという。

あるAnonymous Coward 曰く、

とあるが、なぜセキュリティコードが保存されているのか理解に苦しむところではある。

読売情報開発大阪は発表が遅れた理由について、漏えいした可能性のある件数を特定するのに時間がかかっていたと説明。

第一報において、漏洩した可能性の件数など分かっている必要はなく、不審な請求がないか注意喚起することはできたはずだ。しかし結果的に三ヶ月も経過してから公表するとは、非常に不誠実な姿勢ではないだろうか?

15349705 story
Twitter

Twitter、偽アカウントを認証済みアカウントに認定していた 2

ストーリー by nagazou
やらかし 部門より
headless 曰く、

Twitter が 6 つの偽アカウントを認証済みアカウントとして誤って認定していたことを認めたそうだ(Daily Dot の記事The Verge の記事The Register の記事)。

Twitter ユーザー「Conspirador Norteño」が指摘した 6 つの偽アカウントはいずれも 6 月 16 日に作成されたばかりで 1 件もツイートしておらず、フォロワーが 1,000 アカウント程度という怪しいものだ。977 アカウントのフォロワーは 6 アカウントに共通しており、すべての認証済みアカウントを自動的にフォローする Twitter Verified (@verified) アカウントを除く 976 アカウントは6月19日から6月20日の間に作成され、すべてが同じ 190 アカウントをフォローしていたという。976 アカウントは astroturf ボットネットを構成する 1,212 以上のアカウントの一部とみられ、多くが AI 生成による重複するプロフィール写真を使用していたとのこと。

Twitter は Daily Dot に対し、少数の偽アカウントによる認証申請を誤って承認してしまったが、問題のアカウントを凍結し、認証済みバッジを外したと述べたという。しかし、元 Facebook の最高セキュリティ責任者 Alex Stamos 氏は内部の人間がかかわっている可能性を指摘する。また、一連のアカウントにはトルコ語の人名が多くみられることから、国家のかかわる作戦である可能性も示唆している。

15348467 story
ボットネット

Microsoft、ボットネット撲滅作戦の一環で戸別訪問によるルーター交換も実施 24

ストーリー by nagazou
最後は人海戦術 部門より
headless 曰く、

Microsoft がボットネット TrickBot 撲滅作戦の一環で、戸別訪問によるルーター交換も行っていたそうだ(The Verge の記事The Daily Beast の記事)。

TrickBot はルーターや IoT に感染するボットネットで、ランサムウェアRyukを拡散することでも知られる。Microsoft は昨年10月、米大統領選に向けてサイバーセキュリティ各社や各国の通信事業者と協力して TrickBot 撲滅作戦を実施した。C&C サーバーの IP アドレス無効化などにより封じ込めは成功したように見えたが、ボットネットは再び勢いを取り戻しているという。

ボットネットを構成するルーターは TrickBot に感染したままであり、ユーザーによる除去作業は困難だ。そのため、Microsoft はこの数か月、ブラジルなど南米の ISP と協力して感染したルーターを一軒一軒交換して回ったとのことだ。

15347365 story
情報漏洩

Amazon Echoは工場出荷状態にリセットしても個人情報が残る 52

ストーリー by nagazou
捨てるときは壊すのが最善 部門より
Amazon Echo等のIoTデバイスも普及して製品も世代を重ねていることから、中古が市場に流れることが多くなった。しかし、ノースイースタン大学の研究者の研究によると中古で流れているAmazon Echo Dotは出荷時状態にリセットされていることは少ないそうだ。このため、元の所有者の無線LAN情報、Amazonアカウントの認証情報、ルーターのMACアドレスなどにアクセスできる事例も多かったそう。また出荷時状態にリセットされていた製品であっても、専門的な知識があれば個人情報を復元することはできたそうだ(ノースイースタン大学研究論文[PDF]PC WatchGIZMODO)。
15347420 story
暗号

FBI の組織犯罪摘発用バックドア付きスマートフォン、中古として販売されて購入者を悩ませていた 4

ストーリー by nagazou
そんなものが出回ってしまうとは 部門より
headless 曰く、

6 月にオーストラリアで大量の逮捕者を出して話題となった米連邦捜査局 (FBI) のバックドア付き暗号化通信アプリ「AN0M」だが、闇市場で取引されていた端末が格安の中古として一般の人に売却されるというケースもあったようだ。そのような端末の 1 台を Motherboard が入手し、ハンズオンリポートを公開している(Motherboard の記事Ars Technica の記事XDA Developers の記事Android Police の記事)。

こういった端末では ArcaneOS と呼ばれる機能の制限された Android OS がプリインストールされており、正常に動作しない改造 OS だと思った購入者がモバイル関係のオンラインフォーラムで相談するケースもみられる。3 月には Android-Hilfe.de で Pixel 3a 購入者6 月には XDA Forum で Pixel 4a 購入者が相談していた。いずれのケースも最初の投稿は AN0M の存在が公表される前のことだ。Motherboard はオーストラリアでの購入者から Pixel 4a を入手しており、XDA Forum の相談者と条件が一致すると XDA Developers の記事でも指摘されているが、入手元は公表されていない。

端末には 2 種類の PIN が設定されており、その一つを入力すると通常の端末らしく見える「デコイ」モードに入る。このモードでは一般的なアプリが多数インストールされているように見えるが、実際にランチャーでアイコンをタップしてもアプリは起動しない。もう一つは AN0M モードに切り替えるためのもので、アイコンは「電卓」「時計」「設定」の3つのみ。電卓のアイコンをタップすると AN0M のログイン画面が表示されるという。

Ars Technica の記事に掲載されているスクリーンショットによると、「設定」アプリではストレージや位置情報、アカウントといった項目が削除されているようだ。その一方で、セキュリティ設定にはデコイモード用の PIN 設定や自動ワイプ設定、PIN 入力用キーパッドのランダム化設定などのオプションが追加されている。

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...