Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモがリークしている (The Verge の記事、 Mac Rumors の記事、 Neowin の記事)。

この内部メモは先週開催された Apple 従業員全員会議の内容がメディアにリークしたことを受けたものだ。クック氏は新製品情報のリークにも触れ、多くの従業員が感じるフラストレーションを自身も共有していると語る。

クック氏は人々をチームとして結びつける非常に重要な機会だと全員会議を位置付ける一方で、その機会は会議の内容が Apple 社内にとどまってこそ機能すると指摘。知っての通り Apple は社外秘の情報をリークした人物を決して許さず、その特定に惜しまず力を注ぐと述べている。

リーカーが少数の人々で構成されていることはわかっており、社外秘の情報をリークする人々がここに所属していないこともわかっているとのことだ。

米中央情報局 (CIA) 局長のビル・バーンズ氏が今月インドを訪問した際、同行したチームのメンバーがハバナ症候群のような症状を訴えて治療を受けたと報じられている (Ars Technica の記事、 CNN の記事、 The New York Times の記事)。

「ハバナ症候群」は正式な病名ではないが、2016 年から 2017 年にかけてキューバで米大使館職員が被害にあった異常健康インシデント (AHI) を指す。症状は耳鳴りや難聴から軽い脳外傷や神経中枢の障害まで幅広く、音響やマイクロ波などによる「攻撃」を受けたと考えられるが、具体的な攻撃方法や防御方法、誰がどのような目的で実行しているのかといった点は不明なままだ。

2019 年 ～ 2020 年には米国内でも攻撃が発生したと話題になった。今年 8 月には現地で AHI 発生との報告を受け、シンガポールからベトナム・ハノイへ向かうカマラ・ハリス米副大統領の出発が遅れるトラブルも発生している。同様の症例は数百件に上り、CIA などが調査を進めている。しかし、今回の AHI は誰一人として安全ではないとのメッセージを直接バーンズ氏に送るものだと考える CIA 高官もおり、バーンズ氏は怒りに燃えているとのことだ。

Apple は 23 日、古い iOS デバイス向けに iOS 12.5.5 をリリースした (HT212824、 9to5Mac の記事、 Mac Rumors の記事)。

対象となるのは iPhone 5s / 6 / 6 Plus / iPad Air / iPad mini 2 / 3 / iPod Touch (第6世代)。3 件のゼロデイ脆弱性が修正されており、全ての該当デバイスユーザーにアップデートが推奨される。

iOS 12.5.5 で修正されたのは、任意コード実行が可能となる CoreGraphics の脆弱性 (CVE-2021-30860) と WebKit の脆弱性 (CVE-2021-30858)、カーネル権限で任意コード実行が可能となる XNU の脆弱性(CVE-2021-30869)の 3 件だ。CVE-2021-30860 と CVE-2021-30858 はアクティブな攻撃が確認されており、CVE-2021-30869 はエクスプロイトの存在が確認されているとのこと。

CVE-2021-30860 と CVE-2021-30858 は新しいバージョンの Apple 製品にも存在し、9 月 13 日リリースの iOS 14.8 / iPadOS 14.8 / macOS Big Sur 11.6 / セキュリティアップデート 2021-005 Catalina / watchOS 7.6.2 / Safari 14.1.2 で修正されている。また、CVE-2021-30869 は セキュリティアップデート 2021-006 Catalina でも修正されている。

iPhone 5s / iPad Air / iPad mini 2 は 2013 年発売だが、これらのデバイスをサポートする iOS 12 のアップデートは今年に入って 5 件目となる。

KAMUI 曰く、

ロイターの記事に依ると、リトアニアのサイバーセキュリティー機関が出した報告書で、中国・シャオミの携帯電話に検閲機能の搭載や外部へのデータ送信が行なわれているとして、国民に対し「中国製携帯電話の不買」「現在使用しているものの早急な処分」を勧告した。

シャオミが欧州で販売する携帯電話で「Free Tibet（自由チベット）」、「Long live Taiwanindependence（台湾独立万歳）」、「democracy movement（民主運動）」といったワードを検出・検閲する機能が組み込まれていたほか、シンガポールにあるサーバに暗号化した利用データが送信されていたとしている。また、ファーウェイのスマホについてもセキュリティ上の問題が指摘された。
なお、8月に「台湾代表処」（大使館に相当）がリトアニアに置かれることが発表され、中国政府は駐リトアニア中国大使を召還する方針を表明、駐中国リトアニア大使を引き揚げることを要求するなど、両国関係は悪化している。

BBCの記事によると検閲機能を持った製品名としてXiaomi Mi 10T Proの名前を挙げている。検閲対象となる用語は449個以上設定されている模様。ヨーロッパ向けに出荷されたモデルではこの検閲機能はOFFとなっているが、リモート操作で作動させることもできる主張している（BBC）。

日本郵便は17日、同社のインターネット上で転居届を受け付けるサービス「e転居」で、本人確認を導入すると発表した。この本人確認は9月24日より導入される。本人確認に利用される書類は運転免許証、運転経歴証明書、マイナンバーカード、在留カードとなっている（日本郵便リリース[PDF]）。

この本人確認には、スマートフォンなどの各端末の写真撮影機能が必要で、転居申請者の顔写真と本人確認書類を撮影する必要があるようだ。こうした機能がない場合はオンラインでの手続きはできない。これに合わせて、従来の自動音声応答による電話番号認証は廃止されるとしている。こうした本人確認が必要となった背景には、e転居サービスをストーカーに悪用した事例があったためと思われる。

LINEは10日、QRコードログインにおける2要素認証に脆弱性が存在しており、それにより不正ログインが発生していたと発表した。脆弱性に関してはすでに修正済みとのこと。QRコードを用いたログイン時に、PINコードを用いた2要素認証に脆弱性が存在したという。脆弱性により、本来実行されるべきPINコード確認の処理が省略され、不正ログインが行われる状況にあったとしている（LINEリリース、窓の杜）。

不正ログインの手法に関しては、LINEのリリースに詳しいのでそちらを見ていただきたい。発表によると被害ユーザー数は556件で、日本ユーザーの被害は確認されていないという。詳細に関してはタイで11、インドネシアで466、その他で79だったとのこと。影響期間は2019年11月25日〜2021年7月9日だったとしている。

goldenslamber 曰く、

なおLINEからの声明は以下の通り。
「本件の攻撃内容を踏まえ、フィッシングおよびソーシャルハッキングなどの悪用による非技術的な残存リスクの確認をより一層強化する」

非技術的な残存リスクとは何を指すのだろう。

Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリース、 Lumen のブログ記事、 The Register の記事)。

一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。

Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。

Google は 17 日、Android で使用していないアプリの権限 (アクセス許可) を自動でリセットする機能の対象バージョン拡大を発表した (Android Developers Blog の記事、 The Verge の記事、 Ars Technica の記事、 9to5Google の記事)。

アプリの権限自動リセット機能は Android 11 (API 30) で導入されたもので、制限付きデータへのアクセスや制限付きアクションの実行といった実行時の権限 (危険な権限) が対象だ。通常はユーザーの選択が記憶されるが、数か月間使われなかったアプリは権限がリセットされるため、再び権限のリクエストが必要になる。

対象として追加されるのは Google Play 開発者サービスを使用する Android 6.0 (API 23) 以降のデバイスで、12 月から順次有効化される。自動リセット機能は API 30 以降をターゲットにしたアプリのデフォルトで有効になり、API 23 ～ 29 をターゲットにしたアプリではユーザーが手動で有効化できる。

主にバックグラウンドで動作し、ユーザーの操作を必要としないアプリの開発者は必要に応じて自動リセットの無効化をユーザーにリクエストできるが、リクエストしない場合はコードを変更する必要はない。なお、自動リセットの無効化をリクエストする API は API 30 以降での使用を想定したものであり、デフォルトで自動リセットが無効になる API 23 ～ 29 では不要とのこと。

現在、クロスプラットフォームの自動リセット API は Jetpack Core 1.7.0 ベータライブラリでベータ版として提供されており、10 月には Jetpack Core 1.7.0 の安定版で利用可能になる。12 月にはGoogle Play 開発者サービスを使用する Android 6.0 ～ Android 10 デバイスへ段階的にロールアウトし、2022 年第 1 四半期には全デバイスに導入される見込みだという。自動リセットはデバイスに導入されてから数週間後に開始されるとのことだ。

米証券取引委員会 (SEC) は 14 日、モバイルアプリ関連の調査会社 App Annie および共同設立者で前 CEO 兼会長 Bertrand Schmitt 氏との和解を発表した(プレスリリース、 The Verge の記事、 The Register の記事)。

App Annie はモバイルアプリのパフォーマンスデータを金融取引会社に販売する企業としては最大手の一つで、企業の公式発表に含まれない「alternative data」と呼ばれるデータを販売している。しかし、企業から第三者にデータを開示しない約束でデータ提供を受け、集約・匿名化して統計データに使用すると説明していたにもかかわらず、2014 年 ～ 2018 年半ばにかけて集約も匿名化もしないデータを用いて統計モデルを改変し、より価値あるデータとして販売していたという。

さらに、App Annie は企業が業績発表前に提供したデータを用いて「予測値」を生成し、その予測値を利用して取引することを推奨していたとのこと。そのため、SEC では App Annie と Schmitt 氏を証券詐欺で訴追していた。今回の和解により、App Annie が 1,000 万ドル、Schmitt 氏が 30 万ドルの罰金を支払うほか、Schmitt 氏は今後 3 年間にわたり公開企業で役員を務めることが禁じられる。

Microsoft は 15 日、Microsoft アカウントからパスワードを完全に削除し、パスワードレスアカウントとして設定可能になったことを発表した (Microsoft Security Blog の記事、 ブログ記事抄訳、 Azure Active Directory Identity Blog の記事、 Microsoft サポートの記事)。

パスワードに代わるサインイン方法としてはモバイルデバイス上の Microsoft Authenticator アプリを使用するほか、Windows Hello やセキュリティキー、電話や電子メールで受け取った確認コードが挙げられている。ただし、現在のところ実際にパスワードレスアカウントを利用するには Microsoft Authenticator が必要だ。

パスワードレスアカウントを設定するには Microsoft アカウントにサインインして「セキュリティ→高度なセキュリティオプション」に移動し、「追加のセキュリティ→パスワードレスアカウント」で「有効にする」をクリックする。あとは指示に従って Microsoft Authenticator でサインインできるように設定すればいい。

なお、新規 Microsoft アカウント作成時にパスワードレスを選択することも可能と説明されているが、サインアップ画面でパスワードを入力しないオプションは見当たらなかった。

headless 曰く、

Google は 14 日、Chrome の User Agent (UA) 文字列情報削減に向け、より具体的なスケジュールとオリジントライアルの詳細を発表した (Chromium Blog の記事、 Chrome Developers のブログ記事)。

Google が昨年 1 月に発表した UA 文字列情報削減計画は COVID-19 の影響で 2021 年以降に先送りされていた。Google は 5 月に再開を発表し、7 段階に分けて計画を進める計画を示したが、Chrome 92 で実施する第 1 段階を除き、具体的な実施時期は示されていなかった。

今回発表された計画では、第 2 段階以降を実施する予定の Chrome バージョンが示されている。まず、削減済み UA 文字列によるオリジントライアルを実施する第 2 段階は Chrome 95 ～ Chrome 100 で少なくとも 6 か月間続けられる。Chrome 100 では移行に時間が必要なサイトが従来の UA 文字列を利用可能にする第 3 段階の逆オリジントライアルも始まる。

逆オリジントライアルにオプトインしていないサイトでは、UA 文字列から Chrome バージョン番号を削減する第 4 段階が Chrome 101 で、デスクトップ版の UA 文字列と関連 JavaScript API を削減する第 5 段階が Chrome 107 で、Android 版でも削減が始まる第 6 段階がChrome 110 で開始予定だ。逆オリジントライアルが終了し、すべてのページで UA 文字列と関連 JavaScript API が削減される第 7 段階は Chrome 113 となる。

安定版のリリーススケジュールは Chrome 95 が 2021 年 10 月 19 日、Chrome 100 が 2022 年 3 月 29 日、Chrome 101 が 2022 年 4 月 26 日、Chrome 107 が 2022 年 10 月 18 日、Chrome 110 が 2023 年 2 月 7 日となっており、移行が完了する Chrome 113 は 2023 年 5 月 2 日に設定されている。

headless 曰く、

Xiaomi が米輸出管理規則 (EAR) 対象国・地域でスマートフォンのアクティベーションロックを開始したとの報道に対し、特定の地域を対象にしたものではないと否定したそうだ (Global Times の記事、 XDA-Developers の記事)。

Xiaomi のスマートフォンは EAR の対象となる米国のテクノロジーを含むため、EAR 対象国・地域 (クリミア・キューバ・イラン・北朝鮮・スーダン・シリア) に輸出することはできない。Xiaomi の利用規約 14.2 にもこれら 6 か国・地域への輸出は事前に許可を得る必要があると記載されている。

キューバ在住の Reddit ユーザーが投稿したアクティベーションロック画面の画像によると、「Xiaomi のポリシーはアクティベートしようとした地域での販売を認めていない」「購入店に直接連絡するように」といった説明が表示されている。この画面を見る限りは特定の地域を対象としてアクティベーションロックを実施しているようにしか見えない。

しかし、Xiaomi が Global Times に説明したところによれば、ユーザーのセキュリティや消費者の権利を損なう可能性のある密輸を調査するため、一時的にロックしたのだという。調査は十分な成果を上げており、影響を受けた端末はロック解除可能な状態になっているとのことだ。なお、StatCounter のモバイルベンダー別シェア 8 月分によると、Xiaomi のシェアはキューバで 18.27 %、イランで 15.78 % となっている。

暗号メールサービス ProtonMail では匿名性の高さをセールスポイントの一つにしており、IP アドレスのログを保存しないと説明していたが、これらの記述が公式サイトトップページから最近削除された (ProtonMail のブログ記事、 6日時点のInternet Archive スナップショット、 The Register の記事、 HackRead の記事)。

ProtonMailは先日、フランスで逮捕されたYouth for Climateの環境活動家のIPアドレスなどの情報を警察に渡していたとして批判を浴びた。

スイスにサーバーを置き、スイスの厳しい個人情報保護法でプライバシーが守られるとする ProtonMail だが、スイス当局が犯罪捜査のために情報提出を命じた場合は異議を申し立てる余地がなく、従うしかないのだという。ProtonMail は外国政府に情報を渡すことはないと説明しているが、この件ではフランス警察がユーロポールを通じてスイス当局に依頼したものだそうだ。

ProtonMail はユーザーの IP アドレスをデフォルトで記録しないが、当局から命じられれば記録して提出する必要がある。そのため ProtonMail は IP アドレスのログを記録しないことを含め、サービス自体の匿名性が高いという記述を削除する一方で、匿名性を重視する場合は ProtonMail と Tor を組み合わせて使用するべきだと述べている。

なお、現在のスイスの法律では電子メールと VPN は異なる扱いになるため、ProtonVPN がユーザーデータの記録を強制されることはないという。また、ProtonMail はその厳しいプライバシーにより、捜査対象が環境活動家であることも知らなかったとのことだ。

headless 曰く、

Microsoft Outlook が IDN ホモグラフ攻撃によるフィッシングドメインを正規ドメインと区別しないという 2 件の報告が相次いで公開されている (報告 1、 報告 2、 Ars Technica の記事、 Windows Central の記事)。

IDN ホモグラフ攻撃は国際化ドメイン名 (IDN) で利用可能な ASCII 外の文字でラテン文字と似た字形の文字をドメイン名に用い、(なりすましの対象となる) 正規ドメインに偽装するものだ。フォントによっては全く同じ字形で表示されるため、人の目で識別することは困難なこともある。ただし、ソフトウェアが騙されることはないと考えられていた。

しかし 2 件の報告によれば、Outlook ではホモグラフ攻撃によるフィッシングドメインからの電子メールを受信した場合かつ、その正規ドメインで同じユーザー名の連絡先がアドレス帳に登録されている場合、フィッシングメールを既知の正規ドメインから送られたものとして表示するのだという。つまり、アドレス帳に登録されている連絡先の写真などがフィッシングメールに表示されることになる。

Microsoftはいずれの報告に対しても「なりすましが発生する可能性があるにしてもデジタル署名なしに送信者を信頼することはできない」「修正を行えば別の問題を引き起こす可能性が高い」などとし、修正は行わないと回答したという。ただし、8 月 24 日の時点で最新版の Outlook バージョン 16.0.14228.20216 では問題が発生しなくなっていたようだが、Microsoft は修正の有無を回答しなかったとのことだ。

headless 曰く、

昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。

このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。

FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。