Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事、 Neowin の記事、 Mashable の記事、 Ars Technica の記事)。

NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。

新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。

• double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した
• hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること
• pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知
• climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態
• neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの
• Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811～1820) の上流階級の衣服をイメージした服装
• cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの

Googleによれば、攻撃者に乗っ取られたGoogle Cloud インスタンスの大半が暗号通貨採掘に使われることになるそうだ (Google - Threat Horizons November 2021 Issue 1、 Neowin の記事、 The Guardian の記事)。

Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。

Microsoft の脆弱性報告報奨金プログラムに不満を感じていたセキュリティリサーチャーの Abdelhamid Naceri 氏が Windows のゼロデイ脆弱性の PoC を公開したのだが、翌日にはこれを使用したマルウェアサンプルが検出され始めたそうだ (BleepingComputer の記事 [1]、 [2]、 Cisco Talos Intelligence Group の記事、 Neowin の記事)。

Naceri 氏は Trend Micro の Zero Day Initiative でいくつもの脆弱性を報告しており、11 月の月例更新で Microsoft が修正した脆弱性 CVE-2021-41379 もその一つだ。この脆弱性は Windows Installer サービスに存在し、攻撃者はジャンクションを作成することでサービスにファイルやディレクトリを削除させることができる。脆弱性を利用して SYSTEM のコンテキストで任意コードを実行することも可能だという。

Naceri 氏が 11 月の月例更新での修正を調査したところ、バグは完全に修正されておらず、修正のバイパスが可能であることに加えてゼロデイとなる脆弱性のバリアントも発見する。そこで Naceri 氏はバイパスではなくバリアントの PoC を公開することにしたそうだ。脆弱性は CVE-2021-41379 と同様、最新のパッチをすべて適用した Windows 11 / Server 2022 を含めてサポートされる Windows 全バージョンに影響する。

PoC は Microsoft Edge Elevation Service の DACL を上書きし、それ自身をサービスの場所にコピーして実行することで昇格した権限を取得する。このサービスがない Windows Server 2016 / 2019 などでも任意のファイルを指定して権限の昇格が可能なようにしてあるとのこと。

脆弱性はその複雑さからバイナリに直接パッチを当てると Windows Installer が機能しなくなる可能性も高く、Naceri 氏は Microsoft の修正を待つのが最も安全な対策だと述べている。ゼロデイ脆弱性を公表した理由について、Naceri 氏は Microsoft の報奨金プログラムが 2020 年 4 月に大幅劣化したと述べ、それがなければゼロデイを公表することもなかったと BleepingComputer に説明したそうだ。

Cisco Talos によれば、マルウェアサンプル数の少なさから見て現時点では本格的な攻撃キャンペーンに向けた準備を行っている段階とみられるが、攻撃者が入手可能になったエクスプロイトの悪用を始めるまでに要する時間がわずかであることを示すものとのことだ。

Appleが23日、イスラエルのNSO Groupに対し、Appleユーザーを監視・標的にした責任を問う訴訟を起こした。この件に関しては過去記事でも何度か取り上げられているが、同グループは個人データ、写真、メッセージ、正確な位置情報などを把握できるスパイウェア「Pegasus」を開発し、人権抑圧国家に売却していた（関連その1、その2）。ジャーナリスト、活動家、反体制派、学者、政府関係者といった反体制派の言論抑制などに用いられたとされる（Appleリリース、Reuters、TechCrunch、Engadget、日経新聞、GIGAZINE、ITmedia）。

今回の訴訟でAppleはユーザーへのさらなる悪用と被害を防止するため、同グループがAppleのソフトウェアやサービス、デバイスの使用を禁止する恒久的な差止命令や賠償金支払い命令を求めている。訴状では、NSO Groupが被害者の機器にスパイウェア「Pegasus」を感染させる方法に関する情報なども記載されているという。Appleはリリースの中で、NSO Groupのような国家に支援されている組織が、説明責任を果たさず高度な監視技術に何百万ドルも費やしているとし、この状況を変える必要があるとしている。

headless 曰く、

世界知的所有権機関 (WIPO) が 9 月、ドメイン名「jrrtoken.com」が商標「J R R TOLKIEN」を侵害しているとして、商標を保有する J.R.R. トールキンの遺産管理団体への移転を命じていたようだ (WIPO の裁定、 The Verge の記事、 Ars Technica の記事)。

このドメイン名を使用していた暗号通貨「JRR Token」は「すべてを支配する一つのトークン (The One Token That Rules Them All)」をキャッチフレーズとし、トールキン作品のさまざまな要素をテーマに用いていた。そのため、トークンの提供が開始された直後の 8 月 7 日、トールキンの遺産管理団体が WIPO の調停仲裁センターに申立てを行っていたという。このドメインはセンターが裁定を行った時点で「thetokenofpower.com」にリダイレクトされており、トールキン作品「ホビット」に登場するガンダルフに似た人物を含む複数の魔法使いの画像や、トールキン作品に関連するそのほかの画像が使われていたそうだ。

訴えられたドメイン保有者 (被告) は「jrrtoken.com」が商標の「L」と「I」を含まず、混乱するほど似ていないと主張したほか、トールキン作品のイメージを使用したのはパロディであり、不誠実さをもって使用したのではないなどと主張した。しかし、被告は著名な商標の 1 ～ 2 文字を置き換えたドメイン名が必ずしも商標を侵害しないという WIPO の過去の裁定を依拠としていたが、現在は当時と異なる認知可能性テストにより判定が行われるようになっている。そのため、審査委員は現在の基準で混乱するほど似ていると判断した。また、被告がパロディだと主張した点も商標の想起を認識していたことを裏付けるものとされた。

このほか、ドメイン名に対する正当な権利が被告にないこと、ドメイン名が不誠実に登録・使用されたことも認定され、ドメイン名移転の申立要件がすべて満たされたとのことだ。

taka2 曰く、

シンガポール国立大学と韓国の延世大学の研究チームは、スマホの深度センサーを用いて隠しカメラを発見する「Laser Assisted Photography Detection (LAPD) 」という技術を、ACM SenSys 2021で発表した（論文、Forbes JAPAN、INTERNET Watch）。

LiDARの出すレーザーがカメラレンズに反射したときのパターンを機械学習することで、隠しカメラ検出を実現している。
実験では、肉眼では46%しか見つけられなかった隠しカメラを、スマホカメラを用いたLAPDで88.9%検出できている。

サンダーバード一号の自動カメラ探知機が現実のものになるとは…

Chromium のソースツリーに 9 月 9 日から 11 月 18 日まで、マルウェアを含むテスト用の Office ドキュメントが誤ってコミットされていたそうだ(Google グループでのアナウンス、 9to5Google の記事)。

このマルウェアが Chrome のリリースに含まれることはなく、Google Chrome や派生版ブラウザーのユーザーが影響を受けることはないという。また、マルウェアサンプルは 5 年前の古いものであり、Windows 上で Chromium のソースコードから Microsoft Office を使用して開かかなければ実行されることはないが、Chromium 開発者にはリベースの実行が推奨されている。

過去記事でも取り上げたようにマルウェア「Emotet」は、欧米8か国の合同捜査チームに一度制圧され活動を停止した。4月26日以降は国内での感染はほとんど観測されていなかった。ところが情報処理推進機構（IPA）の16日に発表によると、14日ごろからマルウェア「Emotet」の攻撃活動再開の兆候がみられるという（IPA、INTERNET Watch、JPCERT/CC 分析センターTwitter、BOMさんのツイート）。

それによるとEmotetへの感染を狙う攻撃メールが複数着信。IPAで攻撃メールに添付されていたWordおよびExcelファイルを入手して解析したところ、悪意のあるマクロが仕組まれていたとしている。IPAでは信用のおけないメールの添付ファイルは開かない、編集を有効にする、コンテンツの有効化というボタンはクリックしないよう注意するよう促している。

headless 曰く、

数千人の Firefox ユーザーが誤ってアップロードしたとみられる Firefox の cookie データベースファイル「cookies.sqlite」が GitHub の公開リポジトリで見つかったそうだ (The Register の記事)。

発見した英国の列車・長距離バス予約アプリ Trainline のセキュリティエンジニア Aidan Marlin 氏は問題を HackerOne で報告したが、GitHub からはユーザーが自ら公開した認証情報は脆弱性報告報奨金プログラムの対象にならないと言われたうえ、公表も自由にしていいと言われたため、怒って The Register にタレ込んだらしい。

Marlin 氏は個人情報が関わっていることから英情報コミッショナーオフィス (ICO) にも報告したといい、誤ってデータベースをアップロードしたユーザーの責任ではあるものの、個人情報を含むファイルが 4,500 件近く見つかっている以上、GitHub も何らかの対応をすべきだと主張する。

GitHub ではユーザーが誤ってアップロードしたクラウドの認証情報をスキャンし、公開リポジトリで見つかった場合は該当のクラウドプロバイダーに通知して失効させるサービスを 2015 年から行っている。クラウドの認証情報とは異なるものだが、The Register では Firefox の cookie データベースもスキャン対象に追加すべきだと述べている。

パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事、 HackRead の記事、 Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。

Google が Google Chrome の Windows 7 サポートを 1 年間延長すると以前のブログ記事に追記する形で発表している (Google Cloud Blog の記事 [1]、 [2]、 Softpedia の記事)。

Google は Windows 7 の延長サポート終了直前の昨年 1 月、Microsoft によるサポートが終了してから少なくとも 18 か月、2021 年 7 月 15 日までは Google Chrome で Windows 7 をサポートすると発表した。しかし昨年 11 月には COVID-19 パンデミックにより Windows 10 への移行が遅れたことを踏まえ、少なくとも 2022 年 1 月 15 日までサポート期間を延長すると発表していた。今回の延長により、Windows 7 上の Google Chrome は少なくとも 2023 年 1 月 15 日までセキュリティと安定性に関する更新を受け取ることができるようになる。

なお、Microsoftも Microsoft Edge の Windows 7 / Server 2008 R2 サポート期間を当初は 2021 年 7 月 15 日までとしていたが、その後延長が繰り返されて現在では 2023 年 1月 15 日までとなっている。

7月にランサムウェアによるサイバー攻撃を受け、決算発表を延期していた製粉大手のニップン。そのニップンは12日、さらに2022年3月期第2四半期報告書の提出期限を約2か月半の延長を求める申請を関東財務局に行ったと発表した。同社はランサムウェア被害により、大半のシステムが被害にあい、その後も復旧が難航。現在は財務システムに自動入力されていた帳票を手作業で作成している状況であるという。8月の段階では決算発表を約3カ月延期して11月15日に行う予定であった（ニップンリリース[PDF]、Security NEXT、市況かぶ全力2階建）。

FBIは14日、米国内の法執行機関や刑事司法機関に提供しているFBIのポータルサービスの設定ミスを悪用され、外部から偽メールが配信されてしまったと発表した。この偽メールはポータルサイト「Law Enforcement Enterprise Portal（LEEP）」の脆弱性によるもので、偽の電子メール送信を一時的に許可する設定ミスから@ic.fbi.govで終わる正規のメールアドレスから発信されたとしている（ITmedia、Krebs on Security、PC Watch）。

この偽メールは10万人以上に送信されたとしている。偽メール配信を実行したのは「pompompurin」を語る個人。サンリオキャラクターと同名だが無関係。pompompurinはセキュリティジャーナリストのブライアン・クレブス氏を経由してその手口を明らかにしている。その詳細に関してはKrebs on Securityに掲載された。pompompurinはFBIのシステムのひどい脆弱性を指摘するため、ハッキングしたと説明しているとのこと。

IIJは15日、「PPAPに対する当社運用の変更について」とするリリースを出し、自社や自社向けの取引先で利用されているいわゆる「PPAP」を廃止すると発表した。制限がかかるのは2022年1月26日以降のメール。PPAPメールが送信されると、添付されたパスワード付きZIPファイルがフィルターにより削除され、メール本文のみを受信するとしている（IIJリリース、ITmedia）。

リリースタイトルにあるように自社のビジネス取引関係向けのもので、先日発表された日立のPPAP対応と類似したものとなっている。IIJが提供しているIIJmioのサービス契約者のPPAPメールが弾かれるといった性質のものではない。なお、グループ企業への方針拡大は未定だとしている。今後は顧客や取引先企業と協議しながら、共有ストレージサービスへの移行する方針だとしている。

headless 曰く、

Windows 7 / Server 2008 / 2008 R2 の拡張セキュリティ更新 (ESU) プログラム 2 年目が間もなく終了するのに向け、3 年目に向けた準備を進めるよう Microsoft が呼び掛けている (Windows IT Pro Blog の記事、 Ghacks の記事、 Softpedia の記事)。

ESU の 2 年目は 2022 年 1 月 11 日に終わり、3 年目は 2022 年 2 月 8 日から 2023 年 1 月 10 日までとなる。Windows Server 2008 / 2008 R2 については Azure 上で使用する場合に限り、ESU 4 年目を追加提供(無料)することが発表されているが、Windows 7 の ESU は利用形態にかかわらず 3 年目が最後となる。

ESU は各年が別の SKU になっており、1 ～ 2 年目を利用している場合でも 3 年目は別途購入してアクティベーションする必要がある。また、3 年目で初めて ESU を利用する場合、1 年目と 2 年目の購入も必要だ。

スラドの皆さんは個人または仕事で Windows 7 を使用しているだろうか。手元には何か確認が必要な場合に備えて 1 つだけ Windows 7 環境が残してあるが、実際に確認が必要なことは何もなく、消してしまってもいいかな、と思っている。