英バーミンガム大学とサリー大学の研究チームが Apple Pay と Visa の脆弱性を組み合わせ、iPhone のロックを解除しないまま不正な非接触決済を実行する手法を発表している (バーミンガム大学のニュース記事、 研究成果、 9to5Mac の記事、 The Telegraph の記事)。

この手法は iPhone や Apple Watch を交通系 IC カードとして運賃支払いに使用するエクスプレスカード (英国では Express Travel) 機能を悪用するものだ。通常の Apple Pay 決済では端末のロック解除などユーザーの操作が必要だが、エクスプレスカードによる決済では必要ない。そのため、中間者攻撃により iPhone と交通系 IC カード決済端末との通信内容を一部改変し、一般の店舗で使用する EMV 非接触決済端末に中継することで、 iPhone をロックしたまま店舗での支払いを実行させることが可能になる。

具体的には偽の交通系 IC カード決済端末でターゲットの iPhone に接続し、カードエミュレーターを実行するスマートフォンに通信内容を中継する。あとは EMV 非接触決済端末にスマートフォンのカードエミュレーターを近付ければ、決済が行われて店舗の口座に入金されるという仕組みだ。

この攻撃は Apple Pay と Visa の組み合わせのみで成立し、Apple Pay と Mastercard の組み合わせや、Samsung Pay と Visa の組み合わせでは成立しないとのこと。しかし、Visa と Apple はこの攻撃が現実的なものではなく、不正利用の被害は Visa が補償するため、安全性に問題はないと述べているとのことだ。

headless 曰く、

米中央情報局 (CIA) はトランプ政権下の 2017 年、ジュリアン・アサンジ氏の拉致や殺害の計画を立てていたそうだ( Yahoo! News の記事、 The Verge の記事 )。

アサンジ氏は 2010 年に英国・ロンドンで逮捕されたが、保釈中の 2012 年に政治亡命を求めて在英エクアドル大使館に入り、2019 年に保釈中の逃亡罪で逮捕されるまで滞在し続けた。その間英警察はアサンジ氏が大使館から一歩でも出れば逮捕しようと待ち構えており、拉致や殺害など現実的な話ではなかった。

しかし、当時 CIA 局長に就任したばかりのマイク・ポンペオ氏を始め、CIA 上層部は WikiLeaks が CIA のハッキングツールを公開するプロジェクト「Vault 7」 に恥をかかされて冷静さを失っていたのだという。この計画は違法なだけでなく、アサンジ氏の訴追にも影響するとの懸念もあり、ホワイトハウスの法務チームの反対もあって最終的に実行は承認されなかったとみられる。さらにロシアがアサンジ氏をモスクワに逃がそうとしているとの情報が入り、CIA は計画変更を余儀なくされる。

その結果、エクアドル大使館の周囲にはアサンジ氏を逃がそうとするロシアとそれを防ごうとする米英の情報機関が集まり、半径3ブロック以内にいるすべての人は3国いずれかの情報機関関係者ともいわれる状況になっていたという。ただしアサンジ氏が実際に大使館を抜け出すことはなく、2019 年 4 月にロンドン警視庁が大使館内でアサンジ氏を逮捕している。

pongchang 曰く、

大正10年に後藤新平が水道に塩素消毒を加えて2021年で100年目になる。2021年10月4日(月)に標記公開シンポジウムが国立保健医療科学院生活環境研究部と東大水フォーラムの共催で開催される（飲料水安全対策情報）。

東京では、1900年頃からろ過した水道が給水されていたが、全国で年間10万人程度の水系感染症の患者発生があり、世の中が大きな不安に陥れられていた。1921年に民生用として水道水の殺菌に転用されこの頃を境に東京の乳幼児死亡率が改善した（浅見真理氏のnote)

headless 曰く、

デルタ航空が他の航空会社に搭乗拒否リストの共有を呼び掛けているそうだ (プレスリリース、 The Verge の記事)。

デルタが公開した 2 通の内部メモによると、同社はスタッフに対する乗客の暴力を許容することなく、物理的な危害を加えようとした乗客を搭乗拒否リストに追加しているそうだ。搭乗拒否リストには 1,600 人以上が掲載されており、今年はそのうち 600 人以上の名前を米連邦航空局 (FAA) の特別重点執行プログラムに送信しているとのこと。

しかし、現状では航空会社が個別に搭乗拒否リストを維持しており、禁止された乗客が他の航空会社を利用すれば効果が薄れる。そのため、デルタでは業界全体でスタッフを守る取り組みとして搭乗拒否リストの共有を提案しているとのことだ。

headless 曰く、

Apple が iTunes for Windows 12.12 を再リリースしている。

先日リリースされた iTunes for Windows 12.12.0.6 では環境によって起動しない問題が発生した。そのため、Apple は Webサイトで提供するインストーラーを旧バージョンに差し替え、Microsoft Store での公開を停止していた。

現在 Apple の Web サイトではバージョン 12.12.1.1 のインストーラーが提供されており、旧バージョンを起動するとバージョン 12.12.1.1 への更新が提案される。Microsoft Store でも復活した。

なお、iTunes for Windows 12.12 では ImageIO の任意コード実行脆弱性 2 件 (CVE-2021-30835 / CVE-2021-30847) と WebKit の任意コード実行脆弱性 1 件 (CVE-2021-30849) が修正されている(リリースノート)。

政府は27日、サイバーセキュリティ戦略本部の会合で今後3年間の「次期サイバーセキュリティ戦略」の方向性を決定した。今回初めてサイバー攻撃の脅威として中国、ロシア、北朝鮮の国名を明記した。その上で米国やオーストラリア、インド各国との連携方針を示した。今後は重要インフラへの攻撃も想定されることから、自衛隊のサイバー関連部隊を強化する方針だとしている（サイバーセキュリティ戦略本部、読売新聞、産経新聞、時事ドットコム）。

なお、サイバーセキュリティ 2021（案）[PDF]の資料によると、政府機関等に対する攻撃の高度化・巧妙化が深刻化しているという。2020年度の政府への不審メールはマルウェアEmotetの影響 によりファイル添付型が大幅に増えた。フィッシングも例年以上に増加傾向にあるという。警戒を要する攻撃等の検知件数のうち、マルウェア感染の疑いとされるものは2018年度が111件、2019年度が55件だったのに対して、2020年度は245件に増加している。反対に標的型攻撃に関しては2018年度71件、19年度35件、20年度15件と減少する傾向にあるようだ。

富士通は24日、ProjectWEBの情報流出問題を受けて、専任の情報セキュリティー責任者を10月1日から置くことを決めた。従来は法務担当の役員が兼務していたが、情報セキュリティに関する体制を見直し、再発防止や初動対応の迅速化を行うようにするという。新たに置かれる最高情報セキュリティー責任者（CISO）には太田雅浩理事が就任するとしている（日経新聞）。

headless 曰く、

米国の連邦捜査局 (FBI) や中央情報局 (CIA)、国家安全保障局 (NSA) を含む米インテリジェンスコミュニティ (IC) ではネットワークベースの広告ブロックテクノロジーを導入しているそうだ。ロン・ワイデン上院議員が米行政予算管理局 (OMB) に宛てた書簡を Motherboard が入手したことで明らかになった (書簡、 Motherboard の記事、 Neowin の記事)。

NSA では 2018 年に不正広告攻撃 (malvertising) を防ぐため不要な広告のブロッキングを組織に勧告 (PDF) しており、米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) も COVID-19 パンデミックによるテレワーク増加を受けた同様の勧告 (PDF) を行っている。

これらの勧告は現在のところ米連邦機関に広告ブロックの実施を義務付けてはいないが、ワイデン上院議員が問い合わせたところ、IC の CIO から DNS を含む複数の階層でネットワークベースの広告ブロッキングテクノロジーを導入しているとの回答があったとのこと。ワイデン上院議員は OMB に対し、同様のテクノロジーを導入するよう求めている。

Apple CEO のティム・クック氏がリーカーへの不快感を従業員と共有した内部メモがリークしている (The Verge の記事、 Mac Rumors の記事、 Neowin の記事)。

この内部メモは先週開催された Apple 従業員全員会議の内容がメディアにリークしたことを受けたものだ。クック氏は新製品情報のリークにも触れ、多くの従業員が感じるフラストレーションを自身も共有していると語る。

クック氏は人々をチームとして結びつける非常に重要な機会だと全員会議を位置付ける一方で、その機会は会議の内容が Apple 社内にとどまってこそ機能すると指摘。知っての通り Apple は社外秘の情報をリークした人物を決して許さず、その特定に惜しまず力を注ぐと述べている。

リーカーが少数の人々で構成されていることはわかっており、社外秘の情報をリークする人々がここに所属していないこともわかっているとのことだ。

米中央情報局 (CIA) 局長のビル・バーンズ氏が今月インドを訪問した際、同行したチームのメンバーがハバナ症候群のような症状を訴えて治療を受けたと報じられている (Ars Technica の記事、 CNN の記事、 The New York Times の記事)。

「ハバナ症候群」は正式な病名ではないが、2016 年から 2017 年にかけてキューバで米大使館職員が被害にあった異常健康インシデント (AHI) を指す。症状は耳鳴りや難聴から軽い脳外傷や神経中枢の障害まで幅広く、音響やマイクロ波などによる「攻撃」を受けたと考えられるが、具体的な攻撃方法や防御方法、誰がどのような目的で実行しているのかといった点は不明なままだ。

2019 年 ～ 2020 年には米国内でも攻撃が発生したと話題になった。今年 8 月には現地で AHI 発生との報告を受け、シンガポールからベトナム・ハノイへ向かうカマラ・ハリス米副大統領の出発が遅れるトラブルも発生している。同様の症例は数百件に上り、CIA などが調査を進めている。しかし、今回の AHI は誰一人として安全ではないとのメッセージを直接バーンズ氏に送るものだと考える CIA 高官もおり、バーンズ氏は怒りに燃えているとのことだ。

Apple は 23 日、古い iOS デバイス向けに iOS 12.5.5 をリリースした (HT212824、 9to5Mac の記事、 Mac Rumors の記事)。

対象となるのは iPhone 5s / 6 / 6 Plus / iPad Air / iPad mini 2 / 3 / iPod Touch (第6世代)。3 件のゼロデイ脆弱性が修正されており、全ての該当デバイスユーザーにアップデートが推奨される。

iOS 12.5.5 で修正されたのは、任意コード実行が可能となる CoreGraphics の脆弱性 (CVE-2021-30860) と WebKit の脆弱性 (CVE-2021-30858)、カーネル権限で任意コード実行が可能となる XNU の脆弱性(CVE-2021-30869)の 3 件だ。CVE-2021-30860 と CVE-2021-30858 はアクティブな攻撃が確認されており、CVE-2021-30869 はエクスプロイトの存在が確認されているとのこと。

CVE-2021-30860 と CVE-2021-30858 は新しいバージョンの Apple 製品にも存在し、9 月 13 日リリースの iOS 14.8 / iPadOS 14.8 / macOS Big Sur 11.6 / セキュリティアップデート 2021-005 Catalina / watchOS 7.6.2 / Safari 14.1.2 で修正されている。また、CVE-2021-30869 は セキュリティアップデート 2021-006 Catalina でも修正されている。

iPhone 5s / iPad Air / iPad mini 2 は 2013 年発売だが、これらのデバイスをサポートする iOS 12 のアップデートは今年に入って 5 件目となる。

KAMUI 曰く、

ロイターの記事に依ると、リトアニアのサイバーセキュリティー機関が出した報告書で、中国・シャオミの携帯電話に検閲機能の搭載や外部へのデータ送信が行なわれているとして、国民に対し「中国製携帯電話の不買」「現在使用しているものの早急な処分」を勧告した。

シャオミが欧州で販売する携帯電話で「Free Tibet（自由チベット）」、「Long live Taiwanindependence（台湾独立万歳）」、「democracy movement（民主運動）」といったワードを検出・検閲する機能が組み込まれていたほか、シンガポールにあるサーバに暗号化した利用データが送信されていたとしている。また、ファーウェイのスマホについてもセキュリティ上の問題が指摘された。
なお、8月に「台湾代表処」（大使館に相当）がリトアニアに置かれることが発表され、中国政府は駐リトアニア中国大使を召還する方針を表明、駐中国リトアニア大使を引き揚げることを要求するなど、両国関係は悪化している。

BBCの記事によると検閲機能を持った製品名としてXiaomi Mi 10T Proの名前を挙げている。検閲対象となる用語は449個以上設定されている模様。ヨーロッパ向けに出荷されたモデルではこの検閲機能はOFFとなっているが、リモート操作で作動させることもできる主張している（BBC）。

日本郵便は17日、同社のインターネット上で転居届を受け付けるサービス「e転居」で、本人確認を導入すると発表した。この本人確認は9月24日より導入される。本人確認に利用される書類は運転免許証、運転経歴証明書、マイナンバーカード、在留カードとなっている（日本郵便リリース[PDF]）。

この本人確認には、スマートフォンなどの各端末の写真撮影機能が必要で、転居申請者の顔写真と本人確認書類を撮影する必要があるようだ。こうした機能がない場合はオンラインでの手続きはできない。これに合わせて、従来の自動音声応答による電話番号認証は廃止されるとしている。こうした本人確認が必要となった背景には、e転居サービスをストーカーに悪用した事例があったためと思われる。

LINEは10日、QRコードログインにおける2要素認証に脆弱性が存在しており、それにより不正ログインが発生していたと発表した。脆弱性に関してはすでに修正済みとのこと。QRコードを用いたログイン時に、PINコードを用いた2要素認証に脆弱性が存在したという。脆弱性により、本来実行されるべきPINコード確認の処理が省略され、不正ログインが行われる状況にあったとしている（LINEリリース、窓の杜）。

不正ログインの手法に関しては、LINEのリリースに詳しいのでそちらを見ていただきたい。発表によると被害ユーザー数は556件で、日本ユーザーの被害は確認されていないという。詳細に関してはタイで11、インドネシアで466、その他で79だったとのこと。影響期間は2019年11月25日〜2021年7月9日だったとしている。

goldenslamber 曰く、

なおLINEからの声明は以下の通り。
「本件の攻撃内容を踏まえ、フィッシングおよびソーシャルハッキングなどの悪用による非技術的な残存リスクの確認をより一層強化する」

非技術的な残存リスクとは何を指すのだろう。

Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリース、 Lumen のブログ記事、 The Register の記事)。

一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。

Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。