headless 曰く、

27 のブランド名のミスタイプを狙った 200 以上のドメインによるタイポスクワッティングキャンペーンが確認されたそうだ (Bleeping Computer の記事、 Ghacks の記事、 Neowin の記事)。

Bleeping Computer によれば、今回確認されたタイポスクワッティングドメイン名はブランド名の1文字を別の文字に置き換えたり、末尾に「s」を付加したりといったもので、サイト自体も本物に似せて作られているという。今回のキャンペーンは当初 CYBLE が Android のマルウェア配布に使われていると報告していたが、Bleeping Computer の調査により、Androidに限定されないマルウェア配布で使われていることが判明したとのこと。

モダンブラウザーの多くが確認済みドメインのほとんどをブロックするが、新しく作られたドメインはブロックされない可能性もある。なお、Microsoft Edge にはタイポスクワッティングチェック機能が搭載されており、設定画面 (プライバシー、検索、サービス > Typosquatting Checker) で有効にすると SmartScreen とは別に一般的なドメイン名のミススペルが警告されるようになる。

Apple がサポート記事「Appleプラットフォーム導入」について、英語版の複数の地域向け記事 (例: アジア向け英語版) を更新し、以前のバージョンの macOS では既知の脆弱性がすべて修正されるとは限らないと明記した (Ars Technica の記事、 The Register の記事)。

記事ではソフトウェアの更新を、機能や外観などに大幅な変更があり、メジャーバージョン番号が変わる「アップグレード」と、脆弱性の修正を主として比較的頻繁に提供され、マイナーバージョン番号のみが変わる「アップデート」に分類。ユーザーは新しいメジャーバージョンがリリースされた際にアップグレードするか、アップデートを続けるかの選択が可能だが、新しいバージョンの macOS で変更されたアーキテクチャーやシステムの依存性により、以前のバージョンへのアップデートでは既知のセキュリティ上の問題がすべて修正されるとは限らないとのこと。

Intel のグラフィックスドライバーの脆弱性 CVE-2022-22674 は 3 月に macOS Monterey で修正されたが、旧バージョンの macOS Catalina / Big Sur で修正されたのは 5 月だった。今回ドキュメントに明記されたことで、サポートされるバージョンであっても既知の脆弱性が修正されないケースが出てくるだろうか。なお、記事は日本語版など英語版以外の言語版では更新されておらず、対応する記述は存在しないようだ。また、英語版でも英国向けなどの記事は更新されていない。

DHLは6月末、同社を名乗るフィッシング詐欺の増加を注意喚起していたが、2022年第3四半期にフィッシングで名前を使われたブランドとなったそうだ (Check Point のブログ記事、 The Register の記事)。

Check Point の Brand Phishing Report によると、第 3 四半期は全世界のフィッシング試行のうち 22 % が DHL を名乗っていたという。2 位は Microsoft (16 %)、3 位は LinkedIn (11 %)。LinkedIn は第 1 四半期に 52 %、第 2 四半期に 45 % と圧倒的な多さで 1 位になっていたが、第 3 四半期は大幅に減少した。なお、DHL は 2021 年第 4 四半期にも、第 1 四半期 ～ 第 3 四半期まで 1 位を占めていた Microsoft を抜いて 1 位 (23 %) となっている。

6 月末の DHL の注意喚起によれば、荷物が届けられなかったと主張して個人情報や支払情報の提供を求める電子メールが届いたら、ほぼ詐欺だと考えられるとのことだ。

個人的には Microsoftアカウントの Outlook メールで最近スパムフィルターを通過してくるフィッシングメールが急増してイライラしているが、ブランド名としては「Walmart」「Costco」「T-Mobile」あたりが目立つ。DHL はスパムフィルターがブロックしているのかどうかはわからないが、最近は見かけない。スラドの皆さんはいかがだろうか。

凸版印刷と情報通信研究機構（NICT）は24日、「耐量子計算機暗号（PQC:Post-Quantum Cryptography）」を搭載したICカード「PQC CARD」を世界で初めて開発したと発表した。PQC CARDでは量子コンピューターでも解読が困難になるとされる。2025年に医療や金融などの用途における限定的な実用化、2030年に本格的な提供開始を目指すとしている（凸版印刷、INTERNET Watch）。

PQC CARDでは米国の国立標準技術研究所（NIST）がPQCの標準技術の候補にした「クリスタル・ダイリチアム（CRYSTALS-Dilithium）」という次世代の電子署名方式を採用。保健医療用の長期セキュアデータ保管・交換システム「H-LINCOS」で、PQC CARDの有用性の検証をおこなったところ、その有効性、および実導入に対する課題を確認することができたとしている。なお、PQC CARDではカードリーダー/ライター、通信プログラムなどは現行のものを利用でき、認証スピードも含めて従来同様に利用可能だという。

東京港区のIT企業、ショーケースは25日、同社が提供する電子商取引（EC）サイト向け入力フォームのプログラムが外部から改ざんされ、少なくとも3800件以上のクレジットカード番号やセキュリティーコードが流出した可能性があることが分かった。同社の入力フォームはエービーシー・マートなど複数の企業に導入されているとのこと（ショーケースリリース[PDF]、NHK、共同通信）。

pongchang 曰く、

「エービーシー・マート」のサイトで、ことし7月24日から26日までに入力フォームを使った利用者のおよそ2300件のクレジットカードの番号やセキュリティコードなどが流失したおそれがあるとされていた。

入力フォームを提供していたショーケースの報道発表(2022年10月25日)によると、「2022年7月26日顧客から、「フォームアシスト」のソースコードに不審な記述がある旨の指摘を受け、直ちに、当社において運営するサービスのソースコードを調査いたしました。調査の結果、冒頭に記載しましたとおり、対象サービスにおいてシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ソースコードの書き換えがなされ、一部のお取引先様のウェブサイト等において入力された情報が外部へ流出した可能性があることが判明いたしました。」としている。

ABCマートも「既に弊社ではショーケース社のサービスの切り離しを行っております。また、第三者調査機関によるフォレンジック調査を実施し、当該サービス以外の理由による個人情報の漏えいが無いことおよび本サイトのプログラム改ざん、サイト実行環境への不正アクセスが存在しないことを確認いたしました。上記を踏まえ、本サイトでのクレジットカード決済機能は、本日2022年10月25日再開予定となりますが正式な日程につきましては、あらためまして本サイトにてご案内いたします。 」としている。

NHKの報道では、「ユーキャン・富士フイルムイメージングシステムズ・出光クレジット」もこのショーケース社のフォームアシストの影響を受けたとしている。

headless 曰く、

Google は 10 月 25 日、2023 年 2 月 7 日に予定している Chrome 110 のリリースをもって公式に Windows 7 と Windows 8.1 のサポートを終了すると発表した (Google Chrome ヘルプコミュニティ投稿、 BetaNews の記事、 Neowin の記事、 Android Authority の記事)。

Google は当初、2020 年 1 月 14 日の Microsoft による Windows 7 の延長サポート終了から少なくとも 18 か月間は Windows 7 をサポートすると発表していたが、同年 11 月には 2022 年 1 月 15 日までの延長を発表し、2021 年 11 月にはさらに 1 年延長すると発表していた。

Chrome による Windows 7 / 8.1 のサポート終了スケジュールは、Microsoft による Windows 7 ESU のサポートと Windows 8.1 の延長サポートが終了する 2023 年 1 月 10 日にマッチするものだという。古いバージョンの Chrome は引き続き動作するが、アップデートが提供されることはないため、現在 Windows 7 / 8.1 を使用している場合、 2 月 7 日よりも前にサポートされるバージョンの Windows へ移行することが推奨される。

ケータイ Watchの記事によれば、総務省が25日に開催した会合では、通信障害時などのキャリア間ローミングについて議論されたという。議論の対象となったのは、緊急通報の対象となる警察庁と消防庁、海上保安庁の担当者から、緊急通報のしくみと「SIMなし緊急通報」実現の障壁となっている「呼び返し（コールバック）機能」についての討論があったとされる。呼び返しは、緊急通報を受けた機関から通報してきた人へかけ直せるようにする機能のこと（ケータイ Watch）。

警察庁、消防庁、海上保安庁からは、呼び返しは利用頻度から緊急通報には重要な機能だとし、電話回線にとらわれない緊急通報の仕組みが必要だと説明があったという。加えて警察庁からは、7月のKDDI大規模障害時の110番通報件数も公開された。障害があった7月2日~3日のKDDI基地局からの通報件数は前週比マイナス45.1％なのに対し、ほかの基地局からは同プラス6.9％と増加しており、KDDI回線からの緊急通報ができなかったのは明白だと指摘されたという。

消防庁の担当者からも、KDDI大規模障害時の通報件数の変化が公表された。KDDI回線からの通報件数は平時比で約63％減少。それ以外からはそれぞれ20％以上増加したとし、KDDIからの通報が有意に減っていることが確認されたとの説明があったとしている。

マニュライフ生命保険は、一部契約者へ「マイページわくわくログインキャンペーン」のアンケートを回答するためのURLをメールで案内しようとしたところ、誤って管理者用サイトのURLを送信してしまったという。誤送信されたURLを開くと、アンケート回答者のメールアドレス2万1622件と回答結果を閲覧できる状態だったとしている。氏名やクレジットカード情報、契約情報などは含まれていないという。この管理者用サイトに対して複数のアクセスが判明しており、最大571件のメールアドレスを閲覧された可能性があるとしている（マニュライフ生命保険リリース、Security NEXT）。

1988年にPCエンジン向けとして発売されたナムコの「妖怪道中記」。同ゲームでは当時の開発スタッフが仕込んだ「裏ワザ」が存在するが、全33個あるはずのパスワードのうち、3つが判明していなかったという。YouTubeチャンネル「4ST（ヨンスタ）」が2021年12月17日に公開した動画内やSNSで協力者を募り、総数531垓4838京4174兆4323億9822万9504通りというパスワード候補の中から総当たりで探し出すという挑戦をおこなったそうだ（発売から35年、妖怪道中記・隠しパスワード完全解明までの一部始終～531垓分の1を探し求めた男たち～[動画]、おたくま経済新聞）。

隠された3つのパスワードは8桁、11桁、14桁という情報以外はなかったとのこと。最初は3人で調査していたが、最も発見が容易であるはずの8桁のパスワードすら見つからないことから、動画を公開して協力者を募ることになったという。結果、動画公開から約2か月後の2022年2月20日に最後の隠しパスワードを探し当てることに成功したそうだ。その経緯やチャンネルの運営者であるSheNaさんのインタビューに関しては、おたくま経済新聞の記事中に掲載されている。

ランサムウェア攻撃でドイツの新聞印刷システムが停止したそうだ。Malwarebytesが19日に発表したもので、新聞社の「Heilbronn Stimme」社の印刷システムがランサムウェア攻撃の影響を受け、メディアグループ全体に影響が出ているという（Malwarebytes、TECH+）。

Heilbronn Stimmeの編集長であるUwe Ralf Heer氏によれば、10月14日に「有名なサイバー犯罪グループ」が攻撃を実行したという。犯行者は身代金メモを残しているものの、身代金の要求はされていない模様。同社は専門家と協力し、攻撃から4日後には再び印刷した新聞の配達が再開できるまでにシステムを復旧させているとのこと。

あるAnonymous Coward 曰く、

放送局でも今度ありそう。

20日午前5時ごろ、品川駅発の東海道新幹線が品川駅に移動中、それぞれの列車の運行や所在を管理している運行管理システムに「駅の手前で別の新幹線が止まっている」と表示され停車する状況が発生したそうだ。ところが職員が現場を確認したが別の新幹線は存在しなかったとのこと。この車両はこのトラブルの影響で始発から52分遅れで出発した。何らかの原因で存在しないはずの新幹線がシステム上に表示されたとしている。この影響で上下線42本に遅れが生じたという（テレ朝NEWS、Yahoo!ニュース）。

あるAnonymous Coward 曰く、

まあ逆（実在する列車が検知されていない）より遥かにマシなのだが、当然東海道新幹線の安全を保障するATC-NSの信頼性にも関わってくる話。

洗濯機の取扱説明書では防水加工の衣類を洗うのは禁止されているが、こうしたの記載を読まないまま洗濯してしまう事例は非常に多い。 フリーアナウンサー・高木聖佳さんは、防水加工の衣類を洗濯してしまいその結果、操作盤は浮き上がるなど洗濯機が爆発したような惨状になってしまったそうだ。J-CASTがこの件に関して、家電メーカー4社に見解を聞いている。いずれも取扱説明書などで注意喚起しているとしている上で、防水加工品の具体的な品目を挙げている（高木聖佳さんのツイート、J-CASTニュース、Togetter）。

「レインコート/サウナスーツ/ウィンドブレーカー/スキーウェア/ダウンジャケット/理美容用クロス/オムツカバー/自転車、自動車などのカバー/寝袋/防水シーツ/防水エプロン」

米テキサス州のダラス・フォートワース国際空港 (DFW) 周辺の広い範囲で現地時間 17 日から GPS 干渉が発生し、およそ 1 日半にわたって続いたそうだ (Ars Technica の記事、 John Wiseman 氏のツイート、 GPSJam の GPS 干渉マップ)。

干渉が発生したのは現地時間 17 日 12 時 ～ 13 時とみられ、連邦航空局 (FAA) は DFW から 40 海里以内で GPS が信頼できない状態だというアドバイザリーを 14 時 51 分付で出したそうだ。干渉は翌日まで続き、DFW の滑走路 1 本が使用できなくなっていたが、23 時頃には解消したという。FAA によれば故意に妨害が行われた証拠はなく、原因の調査を進めているとのこと。GPSJam の John Wiseman 氏は今回のように広い範囲に影響し、軍のテストや訓練との関連が明らかでない GPS 干渉が米国内で発生するのは珍しいと指摘している。

ドイツ内務大臣のナンシー・フェーザー氏が連邦セキュリティ局 (BSI) 局長のアーネ・シューンブーム氏を 18 日に解任したと報じられている (SPIEGEL の記事、 The Guardian の記事、 Neowin の記事、 The Register の記事)。

きっかけになったとされるのは ZDF が 10 月 7 日に放送したテレビ番組「ZDF Magazin Royale」でシェーンブーム氏とロシアの関係が指摘されたことだ。番組では「ドイツ製のテクノロジー」を売りにしていたセキュリティ企業 Protelion (3 月まで Infotecs)が 元KGB職員でプーチン大統領から勲章を授与された人物が設立したロシア企業 O.A.O.Infotecs の子会社であること、シェーンブーム氏が共同設立したロビー団体 Cyber-Sicherheitsrat Deutschland e.V. (ドイツサイバーセキュリティ協議会) の会員に Protelion が名を連ねていることを指摘。この指摘を受けた協議会は Protelion の除名を発表した。

シェーンブーム氏に関しては彼を批判する人々から「Cyberclown (サイバー道化)」と呼ばれているなどとして、ロシアとの関係を誇張して面白おかしく伝えている。実際にシェーンブーム氏の違法行為が確認されたわけではなく、現在のところ BSI 局長解任については内務省の報道官が報道陣に語ったとの情報のみだ。BSI のウェブサイトではシェーンブーム氏が局長として掲載されたままになっているが、21 日になって副局長の紹介が追加された。

headless 曰く、

Microsoft Security Response Center (MSRC) は 12 日、セキュリティ更新プログラムガイド (SUG) の最新情報を RSS フィードでも提供開始すると発表した (Microsoft Security Response Center のブログ記事、 Ghacks の記事)。

MSRC の更新情報通知サービスは Microsoft アカウント / Live ID が必要な従来の通知サービスから、任意の電子メールアドレスで登録可能な Azure ベースのサービスへの移行が 9 月に完了している。その一方で、一部の顧客からは RSS フィードでの情報提供を求めるフィードバックが届いていたという。少数ではあるものの、中には RSS フィードをデフォルトの情報発信手段にしてほしいという要望もあったとのこと。

SUG 最新情報の RSS フィードは https://api.msrc.microsoft.com/update-guide/rssで提供されており、このURLを任意の RSS リーダーに読み込ませることで最新情報を取得できるようになる。現在、セキュリティ更新プログラムガイドのトップページでは、タイトルの右側に不自然なほど大きな RSS アイコンが燦然と輝いている。