Microsoft の WHQL で署名されたルートキット (ドライバー) 「FiveSys」が見つかり、発見者の Bitdefender が報告している (Bitdefenderのブログ記事、 ホワイトペーパー、 Neowin の記事)。

FiveSys は中国のゲームプレイヤーをターゲットにしており、1 年以上前から活動しているとみられる。ルートキットの動作としてはプロキシを使用してインターネットトラフィックをリダイレクトし、認証情報の窃取やゲーム内購入のハイジャックを狙うというものだ。

6 月にも同様のルートキット「Netfilter」が見つかっているが、Bitdefender によればこのようなルートキットは増加しているという。その理由として、x64 ベースの Windows ではカーネルモードのドライバーに Microsoft の署名が必須な点が挙げられる。FiveSys や Netfilter の作者は Microsoft のチェックを迂回して署名を取得したとみられ、署名はユーザーに正規のソフトウェアだと信じさせる効果もあるとのことだ。

あるAnonymous Coward 曰く、

ビットコインの値上がりが止まらない。何度も暴落しては最高値を更新し続けている仮想通貨ビットコインだが、２０日未明に６万6976ドルまで上昇し、史上最高値を更新したそうだ（Bloomberg）。

背景には米SECがビットコインETFを初めて承認したことで市場が好感したそうだが、実のところ、コロナ禍で各国政府が通貨を過剰供給（ばら撒いた）ことで各国通貨の信用不安が起きているのではないかと推察している。
諸兄らはどう考えるだろうか。

アイキューブドシステムズのモバイルデバイス管理システム「CLOMO MDM」で不具合が発生し、法人向けAndroid端末の一部で操作ができなくなる問題が発生したという。ドコモの法人向け端末などに影響が出ており、その一つである政府が運用するワクチン接種記録システム（VRS）でもロックが発生したと報じられている（アイキューブドシステムズ、ケータイ Watch、時事ドットコム）。

CLOMO MDMは法人向けに提供されているセキュリティサービス。CLOMOでは、Android Enterpriseにより、何らかの不正が検知されると自動的にロックされる仕組みだが、この機能が何らかの理由によって動きロックがかかってしまったとしている。

このロック問題は17日午後10時ごろから18日午前7時ごろに発生。ドコモがアイキューブドシステムズから受けた報告によれば、最大77社の顧客に影響が起きている可能性があるという。対策のため、18日11時2分にアイキューブドシステムズ側からロック解除のコマンドが一斉送信されたとしている。詳細な原因については現在調査中とのこと。

LINEの親会社であるZホールディングは18日、3月に発覚したLINEの個人情報保護問題（その1、その2）に関して特別委員会による最終報告を発表した（Zホールディングリリース、Bloomberg、NHK）。

報告書では委託先の中国の企業がLINEのデータにアクセスしていたことに関しては、経済安全保障への配慮が不足していたと指摘。また、各種データが韓国のデータセンターに保存されていたにもかかわらず、ユーザーや中央省庁などに対して主要サーバーやユーザーデータは日本国内にあるとする事実に反する説明を一部で行っていたと認定し、それによりLINEの企業としての社会的な信頼を損なうものとなったとしている。

その上で中国企業からのアクセス問題に関しては、経済安全保障への適切な配慮ができていなかった、これを見直す体制が整備できていなかったとした。また顧客の個人データが韓国内に保存されていた件に関しては報告書の中で、

LINE 社が、LINE アプリが日本のサービスとして受け入れられることを重視し、韓国とのかかわりを正面に出さないコミュニケーションをしていたことに、本質的な問題点があったと判断しました。

としている。

日立グループは2021年12月13日から、送受信ともにパスワード付きZIPファイル（いわゆるPPAP）の利用を廃止すると発表した。その日付以降は、パスワード付きZIPファイルが添付されたメールを送受信した場合は、直接担当者などに届くこともなく、また送信もされることはない。代わりに配送を抑止したという通知がされるとしている（日立リリース）。

自治体などの行政手続きで利用されているデジタルIDサービス「xID」に、法的な問題があるとして自治体の利用停止の動きが広がっているようだ（高木浩光@自宅の日記、読売新聞、なか2656のblog）。

xIDは本人がスマホアプリにマイナンバーを入力しxIDを生成する仕組み。このxIDのシステムに関して高木浩光氏がマイナンバー法2条8項にある「裏個人番号」に該当するのではないかと指摘している。同氏によれば「裏個人番号」は、法的にはマイナンバーと同等のものになるという。マイナンバーは桁数が少ないことから、不可逆なハッシュでも総当たりによって元の番号を特定することができるためのようだ。

マイナンバー法では、マイナンバーは税・社会保障・災害対応の3項目の利用目的以外は認められていない。また先の目的以外に本人や行政機関・事業者などがマイナンバーを提供することを禁止している。xIDアプリにマイナンバーを入力させることが違法なマイナンバーの収集にあたるのではないかということになる。

xIDは加賀市や三田市、町田市などが自治体の電子申請システムや施設予約システムなどに導入済。しかし高木氏などの指摘を受けて利用停止する動きが出ているという。読売新聞によれば、加賀市は9月末に全申請を停止。愛媛県はこのアプリ経由の登録者のデータを削除、別方式で再登録を行った。東京都渋谷区はアプリ導入を撤回。川崎市や岐阜県も使用できないように設定変更したとしている。

あるAnonymous Coward 曰く、

総務省は日本郵政が顧客のデータを企業に販売できるように法改正を目指しており、そのため個人情報保護ガイドラインを来年夏までに見直すことがわかった（産経新聞）。

日本郵政グループは郵便物の配達状況から全国各地の住所について居住実態・自動車の保有状況・店舗の開店閉店情報などを把握している。
今後、その居住者情報を災害時に自治体に提供することで安否確認に利用したり、自動車保有状況をデータベース化して自動車販売ディーラーに販売し営業に利用してもらうなどの新規事業を想定している。

郵便配達という誰しもが利用しているサービスが個人情報を吸い上げ売り物にする、というのはいささかセンシティブで議論の余地がありそうだ。せめて各顧客の同意を得てからでないとダメなのでは？

なおこうした総務省の方針に対して、高木浩光氏は郵便局員への住民の見方が変わってしまう点や住居侵入などの犯罪に当たる可能性があるといった問題提起を行っている（高木浩光氏のツイート）。

headless 曰く、

Medtronic がインスリンポンプ用リモートコントローラーの緊急リコールを米国で発表している(Medtronic の通知、 FDA のリコール情報、 CISA のアドバイザリー、 HackRead の記事)。

対象となるリモートコントローラーはインスリンポンプ MiniMed 508 用の MMT-500 および MiniMed Paradigm ファミリー用の MMT-503 で、2 件の脆弱性 (CVE-2018-10634 / CVE-2018-14781) により攻撃者がユーザーに対しインスリンの追加注入 (ボーラス) を実行できる。CVE-2018-10634 はセンシティブな情報を平文で送信する脆弱性で、CVE-2018-14781 はキャプチャ-リプレイによる認証のバイパスが可能な脆弱性だ。

脆弱性は 2018 年に報告され、Medtronic はリコールを発表したが、これらのデバイスが旧型ということもあって対応は緩和策の紹介にとどまり、インスリンポンプ本体が保証期間内のユーザーにのみ通知していた。しかし、その後の調査でリモートコントローラーを使用する利点を上回るリスクが判明したことから、全ユーザーに使用中止を呼び掛け、製品回収を実施することにしたという。米食品医薬品局 (FDA) の区分では最も深刻な Class I のリコールとなっている。

実際に攻撃が成立するのは、ターゲットとなるユーザー側でポンプのリモート操作オプションを有効 (デフォルトでは無効) にしてリモートコントロール ID を登録し、リモートボーラスをオンにして注入量を設定している場合だ。これにより、攻撃者はポンプとリモートコントローラーが通信する電波の到達範囲内で信号を記録・再生することで攻撃を実行できる。ただし、ユーザーにはリモートボーラス実行が通知されるため、攻撃に気付かれる可能性もある。なお、MiniMed Paradigm の簡易マニュアル (PDF) によると、日本ではリモートオプション自体が使用できないようだ。

ちなみに、MiniMed 508およびMiniMed Paradigm では近距離から認証なく無線アクセスが可能な脆弱性が 2019 年に見つかっており、米国でリコールが行われている。

年金の振込通知書に、他人の年金の金額などが記載されたまま送付されるというトラブルがが発生したそうだ。こうした誤記があったのは愛知県と三重県、福岡県の53の市区町村の10月分の振込通知書。97万2023人に発送されたとしている（日本年金機構、メーテレ、朝日新聞、朝日新聞その2）。

委託業者の印刷ミスが原因で、日本年金機構によれば個人情報の流出はないとしている。誤記の項目は年金の種類に加え、2カ月分（8、9月）の年金額や個人ごとに違う基礎年金番号、振込先の金融機関名と支店名とされている。氏名や口座番号は含まれていない。原因は表と裏で別の人の情報を印字したオペレートミスだった。年金機構は今月15日の支払いに関しては「正しい金額で支払われるので安心してほしい」としている。通知書に関しては正しい内容のものを再送付するという。なお再発送費用は計5千万円以上になる見込みとのこと。

NFLabsの記事によれば、macOSで作られた暗号化zipファイルは、特定の二つの条件を満たすとパスワード無しで簡単に解凍できるのだそうだ。その条件の一つはzipの暗号化方式がzipcryptoであること、二つ目はzip内のディレクトリの中身が.DS_Storeファイル＋何らかのファイルが1個であるといった条件だという（NFLabs）。

細かい仕組みに関しては元記事を見ていただきたいが、結論としてはシステム構成に関する情報が含まれる「.DS_Store」ファイルを利用するもので、zipファイル内の.DS_Storeを既知平文攻撃を外部ツールを利用して行うことにより、暗号化zipファイルをパスワード無しで解凍できるとしている。

Apple は 6 日、App Store でアプリの問題を容易に報告できるようにするリンクのロールアウトを開発者向け更新情報で発表した (News and Updates、 9to5Mac の記事)。

リンクが表示されるのは iOS 15 / iPadOS 15 / macOS Monterey 上の App Store で、アプリの情報ページから直接問題を報告できるようになる。この機能は現在のところオーストラリア・カナダ・ニュージーランド・米国のユーザーに提供されており、いずれは他の地域でも利用可能にする計画だという。

また、reportaproblem.apple.com から報告する問題の種類として詐欺的なアプリや侮蔑的・違法なコンテンツを選択可能になっており、アプリ内購入を提供しない無料アプリでも問題を報告できるようになったとのこと。この変更は全世界のユーザーに適用される。

問題が報告された場合は Apple が調査を行い、App Store Review ガイドライン違反が確認された場合には開発者に修正を求める。故意の違反が疑われる場合には開発者に通知し、アプリの削除やガイドライン 5.6 に従った開発者アカウントの停止などの措置を行うとのこと。

また、6 月のガイドライン改訂では 5.1.1 (v) に「アカウントの作成に対応したAppの場合は、App内でアカウントの削除もできるようにする必要があります」という文言が追加されており、2022 年 1 月 31 日以降に提出されるアプリに義務付けを適用開始することも同日発表された (News and Updates [2]、 Mac Rumors の記事)。

Amazon傘下のゲーム実況配信配信サイト「Twitch」が外部からハッキングされ、大規模な情報漏洩が発生している。犯行を行った人物は、Twitch全般に対して不満を持っていたとみられており、批判のコメントとジェフ・ベゾス氏を揶揄するような画像とともに流出したデータのリンクを「4chan」上にリンク（削除済み）したとしている（VGC、Game Spark 、ITmedia、日経新聞）。

Twitchの運営会社である米Video Games Chronicleはデータが本物であることを認めているという。今回、流出した情報の中には、Twitch自体に関連するソースコードや、動画配信者に支払われた金額、独自SDKと内部AWSサービス、Amazonが準備していたSteam対抗サービスのソースコード、セキュリティツールなどが含まれ、そのデータサイズは約125GBにも及ぶとしている。各メディアではTwitchユーザーにはパスワードの変更などを行うといった対策を推奨している。

以前から問題となっているLet's Encryptのルート証明書「DST Root CA X3」問題だが、ZDNetの記事によると、この証明書が9月30日に期限切れになったことにより、多くのウェブサイトやサービスに問題が起きているそうだ。Security Headersの創業者Scott Helme氏の調査によると以下のサイトで影響があったとしている（ZDNet、TECH+）。

Palo Alto、Bluecoat、Cisco Umbrella、Catchpoint、Guardian Firewall、Monday.com、PFsense、Google Cloud Monitoring、Azure Application Gateway、OVH、Auth0、Shopify、Xero、QuickBooks、Fortinet、Heroku、Rocket League、InstaPage、Ledger、Netlify、Cloudflare Pages

headless 曰く、

Lansweeper の推計によると、企業で使われている Windows デバイスの半数以上が自動更新で Windows 11 にアップグレードできないそうだ (Lansweeper のブログ記事、 The Register の記事)。

推計値は 6 万件の組織で使われている Windows デバイス 3,000 万台のデータを元にしたものだ。ワークステーションの 91.05 % が Windows 11 の RAM 要件を満たす一方で、CPU 要件を満たすのは 44.4 %、TPM 要件を満たすのは 52.55 % に過ぎないという。ただし、TPM を搭載しているものの互換性がないか、有効になっていないワークステーションも 28.19 % あり、まったく TPM 要件を満たさないのは 19.26 % となっている。

仮想マシンのワークステーションでは 44.9 % が CPU 要件を満たす一方、RAM 要件を満たすのは 66.4 % にとどまり、99.74 % で TPM が有効になっていない。ただし、Windows ではこれまで TPM が要件になったことがなく、仮想マシンでも TPM パススルーにより TPM が利用できるもののほとんど使われていなかったため、驚くべき結果ではないとのこと。

サーバーで TPM が有効になっているものはほとんどなく、今後 Microsoft が Windows Server に Windows 11 と同じ要件を設定した場合、大半がそのままではアップグレードできないことになるとのことだ。

三井住友銀行は終活向けサービスとして、利用している資産や葬儀の希望に関する遺言などやSNSやECサイトのID・パスワードを遺族に残すためのサービス「SMBCデジタルセーフティボックス」を10月1日から提供し始めた。利用料金は2022年2月までの利用は無料でそれ以後は月額990円（三井住友銀行リリース、SMBCデジタルセーフティボックス　商品説明書（お客さま用）[PDF]、ITmedia）。

このサービスでは、テキストベースで様々な情報を登録できる。指定したタイミングや相続発生時などに、事前に指定した受取人にのみ内容が閲覧できる仕組み。ただ現時点の機能一覧を見る限り、2月以降の正式リリースにならないと情報の登録は三井住友銀行の情報端末でしか行えない模様。受取人に関しては、PCやタブレット・スマートフォン等で情報を見ることができるようだ。24時間利用可能となっているが、毎週日曜日の21時～翌月曜日7時まではシステムメンテナンスのため利用停止になるとしている。