Python パッケージの公式リポジトリ PyPI で公開されているパッケージの半数近くに何らかのセキュリティ上の問題が含まれるとの調査結果が発表された(The Register の記事、 論文)。

対象は PyPI に保存されている全パッケージ 19 万 7 千件以上のスナップショットで、静的コード解析ツール Bandit を用いて調査している。セキュリティ上の問題は exec 関数の使用やパスワードのハードコードといったものから、セキュアでない例外処理やハッシュ関数の使用、SQL インジェクションや XSS が可能といったものまで幅広い。調査の結果、約 75 万件の問題が見つかり、46 % のパッケージが少なくとも 1 つの問題を含んでいたとのこと。

ただし、見つかった問題の半数以上を占める約 44 万件は深刻度の低いものであり、約 23 万件が深刻度中、約 8 万件が深刻度高に分類される。深刻度低の問題を含むパッケージは全体の 35.8 %、深刻度中は 25.3 %、深刻度高は 11.4 % にとどまる。また、今回の調査では誤検出・検出漏れや実際の使用では実行されないコードが検出されている可能性のほか、調査時に展開されなかったファイルが含む問題や Python 以外の言語で書かれたコードに含まれる問題は検出できないといった制約もあるとのことだ。

取引先企業のウェブサイトを閲覧不能にした疑いで男が逮捕された。容疑者は2020年3月8日、運営用サーバーに不正アクセスを行い、13時間にわたって閲覧不能にしたと報じられている。このとき男は端末側に秘密鍵、サーバー側に公開鍵を勝手に設定、外部から不正アクセスを行い閲覧不能にしたとしている。公開鍵認証の不正利用による逮捕者は全国初とされる。男と被害に遭った企業の間では、業務内容をめぐってトラブルがあった模様。なお本人は容疑に対して「思い出せません」と否認しているとのこと（毎日新聞、FNNプライムオンライン）。

この件に関しては別の視点の報道も行われている。読売新聞によると会社側のサーバーが「IPv4」だったのに対して、男の端末では「IPv6」が使用されていたたため、加害者の特定が難しかったとのこと。なお、この男は6と7月にも同社のサーバーに不正アクセスしたとして逮捕されていたしている（読売新聞）。

headless 曰く、

台湾電力は 7 月 28 日、前日発生した第二原子力発電所 2 号機が停止するトラブルは、スタッフが制御室を清掃する際に主蒸気隔離弁スイッチのカバーを誤って動かしてしまったことが原因だと発表した(台湾電力のニュースリリース、 The Register の記事、 Taipei Times の記事)。

制御室には発電所設備の操作資格を持った技術者のみ入ることが認められており、清掃も技術者自ら行う必要があるという。ところが、27 日の担当者は清掃の際に注意を怠り、椅子を移動したときに主蒸気隔離弁スイッチの保護カバーに誤って触れてしまう。その結果カバーが傾いて主蒸気隔離弁が閉じられ、2 号機が停止する結果になった。2 号機の設備に問題はなく、環境への影響もないが、再起動した 2 号機がフル出力になるのは 31 日夕方以降になるとのこと。台湾電力ではトラブル発生を謝罪し、再発防止に努めると述べている。

LINE関係のトラブルが2件報じられている。台湾で政府要人が利用しているLINEのアカウント約100名分がハッキング攻撃に遭い、個人情報が流出していることが判明した。台湾の内務省刑事局は28日が発表した。ハッキングされたのは台湾の当局者や軍の高官などのアカウントで、暗号化機能が無効化され、個人情報が流出していたとされる。攻撃にはイスラエル「NSO Group」のスパイウェア「Pegasus」が使用されていた可能性があるようだ（中央通訊社、NHK、日経新聞）。

こちらは日本の話題で、LINEは昨年10月、同社のチケット制ライブサービス「LINE Face2Face」において、外部から特定の方法を使うことで動画がダウンロードできる状態となっていたと発表した。同サービスはコロナ禍でやりにくいトークイベントや握手会の代替イベント向けサービスとして提供されていたもので、アイドルや俳優などと1対1で会話ができた（LINE、Security NEXT、ケータイ Watch）。

動画には配信者と参加者が見える状態で音声に関してもそのままだったようだ。オンライン握手会の参加者などが写った動画132件が中国の「bilibili」にアップロードされていたことが判明していたという。見つかった動画に関してはすべて削除されたとしている。なお公表まで9カ月かかった理由に関しては、問題発覚時の確認や社内の議論が不十分だったためだとしている。

旧聞に類する話題ではあるが、オンラインサービスのボット対策などのために使用されている「CAPTCHA」認証だが、Cloudflareのブログによると、CAPTCHAは多くのユーザーの時間を無駄に奪っているのだそうだ。同社の調査によれば、ユーザーがCAPTCHAのチャレンジを完了するのに必要な平均時間は32秒。世界には46億人のインターネットユーザーがおり、一般的なインターネットユーザーは、10日に1回はCAPTCHAの捜査を求められる状況に遭遇しているという（Cloudflare）。

このためインターネットサービスに自分が人間であることを証明するために、人類は単純計算で毎日500年分の時間をCAPTCHAに費やしているとしている。またCAPTCHAは画面サイズが小さいと識別が困難、視覚障害を持つ場合は(音声機能はあるが）クリアが難しい、消火栓の色や形状、タクシーの色などは地域や文化によって違いがあることから、特定の英語圏の国以外の人がわかりにくいといった問題があるとしている。なお、同社はこの問題への対策としてWebブラウザに標準的に採用されている「WebAuthn」とCloudflareによって信頼されたハードウェアキーを用いることで人間の認証を行うシステムの実験を行っている。

5月にランサムウェア攻撃を受けて操業が停止し、当時440万ドル相当の身代金をBitcoinで支払い、その後にFBIによって身代金の大半を奪還することに成功したことで話題となった「コロニアル・パイプライン」に対して訴訟が起こされているようだ。原告となっているのはガソリンスタンド経営者で、コロニアル・パイプラインからの燃料供給が停止されたことで営業ができなくなったとのこと（The Washington Post、CoinPost）。

訴状によればパイプラインの停止により地域では燃料が不足し、それにより1万1000軒以上のガソリンスタンドがその影響を受けたとしている。コロニアル・パイプラインは重要なインフラを守るための義務があったが被告はそれを怠り、ランサムウェア攻撃を受けることとなったとしている。また同社は一般消費者からもガソリン価格の上昇したとして損害賠償を求める訴訟が起こされているそうだ。

headless 曰く、

偽の Windows 11 インストーラーが出回っているとして、Kaspersky Lab が注意喚起している(Kaspersky official blog の記事、 Neowin の記事、 BetaNews の記事、 On MSFT の記事)。

現在のところ Windows 11 をインストールするには Windows Insider Program にエンロールする必要があるが、他の方法でインストールしようとする人も多いようだ。Kaspersky 製品は偽の Windows 11 インストーラーの実行を既に数百件ブロックしているという。偽インストーラーは主にダウンローダーであり、実行すると別のプログラムをダウンロードして実行する。ダウンロードされる別のプログラムが Windows 11 とは限らず、アドウェアからマルウェアまで幅広いとのこと。

例に挙げられている「86307_windows 11 build 21996.1 x64 + activator.exe」という偽インストーラーはファイルサイズが 1.75 GB と、それらしいサイズにみえるが、その大半は役に立たない情報を含む1つの DLL ファイルが占めているそうだ。この偽インストーラーがダウンロードして実行するプログラムは使用許諾画面を表示し、バンドルソフトウェアのインストールを促すとのことだ。

多数の戦車・航空機・艦艇などが登場するMMO対戦ゲーム「War Thunder」で、熱心なファンがモデリングのミスを指摘するため、軍の機密文書を公開してしまうというやらかしをしてしまったようだ。報道によると問題となったのは、英国製の主力戦車「チャレンジャー2」。モデルのミスを指摘するため、英国陸軍に所属していた経歴を持つユーザーが、チャレンジャー2のマニュアルの写真を投稿してしまったのだという（War Thunderのチャレンジャー2スレッド、UK Defence Journal、GIGAZINE、GameSpark、DNA）。

チャレンジャー2は現役であったことから、デベロッパーのGaijin Entertainmentが英国国防省に確認をとったところ、現在も機密扱いの情報であったことが判明し、削除などの対策を取ったとのこと。ちなみに主砲を支える構造が正確ではないとの主張だったそうだ。同社によると機密扱いではない資料が出てこない限り、指摘されたチャレンジャー2のミスの修正は行わないとしている。

東京五輪・大会組織委員会は22日、観戦チケット購入者やボランティアのIDとパスワードなどが流出したことを発表した。シンガポールのセキュリティー企業「ダークトレーサー」の調査により判明したもの。原因については組織委員会システムからの流出ではないことを確認したとしている。詳細は調査中であるとしているが、ダークトレーサーによるとフィッシングサイト経由で購入者やボランティアのパソコンが不正アクセスを受けた可能性があるようだ。流出が確認されたのは10件とされている。（日経新聞、朝日新聞、ITmedia、共同通信）。

HP / Samsung / Xerox のプリンタードライバーに 2005 年から存在していた特権昇格の脆弱性 (CVE-2021-3438) について、発見した SentinelLabs が解説している(Sentinel Labs のブログ記事、 BetaNews の記事)。

この脆弱性は IOCTL を通じてユーザーモードから送信されたデータのサイズをカーネルドライバーが検証しないために発生する。攻撃者は実際の入力サイズよりも大きなサイズをパラメーターに指定することでバッファーオーバーランを引き起こし、SYSTEM の権限でコードを実行できる。ただし、単独で攻撃に使用する手法は見つかっておらず、実際の攻撃で使用するには他のバグと組み合わせる必要があるとのこと。

脆弱性の影響を受ける約 400 機種はすべて HP 製で、5 月 19 日に 修正版ドライバーがリリースされた。HP / Samsung のプリンターに関しては、対象機種がその後追加されている(HP / Samsung のアドバイザリー、Xerox のアドバイザリー: PDF)。

昨年 7 月に発生した Twitter アカウントの大規模侵害事件に関連して、スペインで新たな逮捕者が出たそうだ(米法務省のニュースリリース、 The Verge の記事、 Mac Rumors の記事、 The Register の記事)。

この事件では攻撃者が電話によるスピア型フィッシングの手法で Twitter 従業員から認証情報を入手し、内部ツールを用いて 130 アカウントを攻撃。このうちパスワードリセットに成功した著名人のアカウントを含む 45 アカウントでビットコインの詐取を目的とした投稿が行われた。昨年 8 月に 3 人が起訴されており、主犯格とされる未成年者 (当時) は今年 3 月に 3 年の実刑判決を受けている。

一方、今回逮捕されたのは 22 歳の英国人男性で、米国の要請を受けたスペイン国家警察がエステポナで逮捕したという。この人物は事件発生直後、関与している可能性のある SIM スワッパー「PlugWalkJoe」として KrebsOnSecurity に取り上げられていたが、事件に直接関与してはいないと The New York Times のインタビューに答えていた。KrebsOnSecurity によれば男性は昨春までスペインの大学に通っていたが、昨年7月時点では COVID-19 パンデミックによる渡航制限で帰国できずにいたという。

米法務省によれば、男性は Twitter のアカウント侵害だけでなく、TikTok や Snapchat のアカウント乗っ取りや未成年者に対するサイバーストーキングにも関与しており、コンピューターの不正アクセスと共謀、脅迫など計 10 件で訴追されているとのことだ。

Amnesty International の The Pegasus Project でイスラエル NSO Group のスパイウェア Pegasus が人権抑圧国家でジャーナリストを沈黙させ、活動家を監視して反対派をつぶすために使われていることが明らかにされたが、iOS がイメージほどセキュアでないことにも注目が集まっている(The Guardian の記事、 Ars Technica の記事、 9to5Mac の記事、 Recode の記事)。

The Pegasus Project はフランスの非営利メディア Forbidden Stories のコーディネートにより 10 か国 17 メディア組織から 80 人以上のジャーナリストが参加し、Amnesty International が最新のフォレンジック調査を実施したものだ。The Guardian などのプロジェクト参加メディアは今後数週間にわたって調査結果を報じていく計画だという。

Pegasus に関連して Apple は 2019 年、同社の OS は世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないと述べていた。

しかし、プロジェクトでは今年 5 月時点で最新版の iOS を実行する iPhone で 10 台以上の Pegasus 感染を確認しており、2018 年以降 2021 年に至るまで複数の脆弱性がゼロクリック攻撃に使われてきたという。そのため、Amnesty International では全世界で数千台の iPhone が感染している可能性があるとの見解を示している。

Apple は今回の調査結果に対しても 2019 年と同様の説明を繰り返した。しかし、ゼロクリック攻撃を止めるための Apple の対策が不十分だという意見や、Apple は他社と協力して問題に対応すべきだといった意見も出ている。

なお、NSO Group では以前から顧客は犯罪やテロの調査に製品を使用する民主的な政府だと主張しており、今回も人権抑圧国家にツールを提供しているとの指摘に反論している。また、人権抑圧国家として名指しされた政府のいくつかはスパイウェアの使用を否定する回答を出している(The Guardian の記事 [2])。

Google は 19 日、インカの人々が情報の記録に用いたヒモのオンライン展覧会「The Khipu Keepers」を Google Arts & Culture で公開した(The Keyword の記事)。

Khipu (キープ) は結び目という意味で、ヒモに作った結び目やその間隔、染色の違いで異なる意味を表す。結び目の種類は3種類 (single / long / figure-eight)。single は一重結び、figure-eight は8の字結びで、long は巻き付けるようにヒモの先を繰り返し輪の中に通して結び目を長くしたもののようだ。

現存するものの 85 % は数値情報の記録に用いられており、figure-eight が数字の 1、long の巻き数で数字の 2 ～ 9 を表し、結び目のないヒモが数字の 0 を表すこともわかっている。一方、残り 15 % は言語による情報が記録されているとみられるが、現在のところ解読できていない。

The Khipu Keepers ではペルー・リマ美術館 (MALI) が 8 月 15 日まで開催している特別展「Khipus」のオンラインツアーが体験できるほか、Khipu の歴史や構造の解説ページなども用意されている。

Windows で新たに見つかった特権昇格のゼロデイ脆弱性について、Microsoft が回避策を紹介している(CVE-2021-36934、 CERT: VU#506989、 DoublePulsar のブログ記事、 BetaNews の記事)。

この脆弱性は SAM や SYSTEM などのレジストリハイブファイルに対し、読み取りと実行のアクセス権 (RX) が BUILTIN\Users などの本来付与すべきでないユーザーに付与されていることが原因だ。影響を受けるシステムはWindows 10 バージョン1809以降で、Windows 11 Insider Previewも影響を受ける。

起動中の Windows のレジストリハイブファイルはロックされているため権限があっても読み取ることはできないが、ボリュームシャドウコピーが有効であれば標準ユーザーの権限で読み取り可能となる。SAM には認証関連の情報が含まれるため、攻撃者が悪用すれば SYSTEM の権限で任意コード実行が可能だ。脆弱性は HiveNightmare や SeriousSAM などとも呼ばれ、PoC も公開されている。

回避策としては %windir%\system32\config 内のすべてのファイルのアクセス権を修正し、システムの復元ポイントをすべて削除するというものだ。復元ポイントは必要に応じて作り直せばいい。

19日に米政府は同盟国と共同で3月に発生したMicrosoftのExchange Serverに対するサイバー攻撃は、中国の情報機関である国家安全省が関与していたとして、中国政府を非難する声明を発表した。今回の声明は北大西洋条約機構（NATO）と欧州連合（EU）、英国、オーストラリア、日本、ニュージーランド、カナダが共同で出したとされる。NATOが中国のサイバー攻撃に言及したのは今回が初めてだという（ロイター、Bloomberg、TechCrunch、NHK、産経新聞、朝日新聞）。

中国の国家安全省は「Hafnium」と呼ばれるハッカーを雇用し攻撃を実行。米国だけで計2万以上の金融機関や中小企業などが被害を受けたとしている。また世界的に展開しているランサムウェア攻撃などにも関与しているとされる。今回、複数国が共同で声明を発表したのは、米国側の1か国だけでは中国の振る舞いを変えることはできないとする考えがあったためのようだ。