フロッピーディスクコントローラー (FDC) へ低レベルコマンドを送る ioctl「FDRAWCMD」で脆弱性が確認され、修正ではなくデフォルト無効にする構成オプションが Linux 5.18 のメインラインにマージされた(Phoronix の記事、 コミットメッセージ)。

FDRAWCMD では use-after-free 脆弱性の存在が数年前から報告されていたが、最近改めて報告されるまで見過ごされてきたようだ。FDC への低レベルコマンド送信は Amiga のフロッピーやコピープロテクトされたフロッピーなど、非標準フォーマットのフロッピーを扱う場合に用いられる。しかし、そのような標準的でない用途が現在はほとんどなく、この機能の有用性を脆弱性の危険性が上回ることからデフォルト無効化が決まった。この機能は非推奨となり、近い将来カーネルから削除される。どうしても必要な場合は有効にできるが、ディストロレベルでは無効にしておくべきとのことだ。

サードウェーブは25日、同社がセキュリティソフト大手のマカフィーを相手取り賠償を求めていた裁判で、マカフィーに対し約2347万円の損害賠償を命ずる判決を行ったと発表した。判決は東京地方裁判所で22日に行われた（サードウェーブリリース、PC Watch）。

この裁判では同社製のPCにマカフィー製のセキュリティソフトを搭載する契約を行った際、マカフィーが事実に反する説明を繰り返したとするもの。ユーザーライセンスの更新率について実態とは異なる他社の実績値が提供されるなどしていたという。これにより、複数年にわたり同社の経営判断に不当な影響を与え損害を受けたとしている。東京地方裁判所は、「原告によるライセンス料の支払は被告の不法行為による損害といえる」と判断、損害賠償を命ずる判決を言い渡したとしている。

headless 曰く、

Google は 20 日、信頼できる拡張機能を見つけやすくするバッジの表示を Chrome ウェブストアで開始した (The Keyword の記事、 The Verge の記事、 Android Police の記事、 Ghacks の記事)。

バッジは 3 月に発表されていたもので、「おすすめ (Featured)」バッジと「定評のあるパブリッシャー (Established Publisher)」バッジの 2 種類。「おすすめ」バッジは Chrome ウェブストアのベストプラクティスガイドラインを厳守し、ストアの詳細情報ページが明確でユーザーの役に立つことを示す。「定評のあるパブリッシャー」はパブリッシャーが確認済みであること、Google サービスで良好な評価を受け、デベロッパープログラムポリシーを順守していることを示すものだ。

パブリッシャーがバッジを買うことはできないが、「おすすめ」バッジを表示できるよう Chrome ウェブストア サポート センターからリクエストを送ることはできる。なお、リクエストは最初のページで「自分のアイテム」を選び、次のページで「おすすめ」バッジ表示対象に自己推薦するという流れだが、現在のところ日本語表示では自己推薦の項目が表示されない。

headless 曰く、

「秘密の質問」のような知識ベースの認証 (KBA) がセキュリティを低下させると言われて久しいが、コールセンター向けの認証技術を提供する Pindrop によれば、本人よりも詐欺師の方がより正確に秘密の質問に答えられるそうだ (2022 Voice Intelligence & Security Report、 BetaNews の記事)。

Pindrop が 2021 年に顧客の小規模なサンプル 3 か月分を調べたところ、秘密の質問に正しく回答できた割合は本物の顧客よりも詐欺師の方がわずかに高かったという。さらに、あるコールセンターと Pindrop が実施した 1 か月にわたる比較研究の結果では詐欺師が KBA を通過できた割合が 92 % だったのに対し、本物の顧客が KBA を通過できた割合は 46 % にとどまったとのこと。

そのため、詐欺を防ぎつつ迅速なサービスを可能にする方法として、KBA をパッシブ認証に置き換えることを推奨している。First National Bank of Omaha (FNBO) の導入例では、ワンタイムパスワード (OTP) の使用が 75 % 減り、平均処理時間 (AHT) が 30 秒短くなったほか、アカウント乗っ取り詐欺 (ATO) の検知率が 59 % 向上し、ATO による損失は全体で 16 % 減少、アカウント平均で 47 % 減少したそうだ。

Oracle が 4 月のアップデートで修正した Java SE と GraalVM Enterprise Edition の脆弱性 (CVE-2022-21449) について、発見した ForgeRock の Neil Madden 氏が英 BBC の SF ドラマ「ドクター・フー」に登場する「サイキックペーパー」にちなんだ「Psychic Signatures」と名付けている (Madden 氏のブログ記事、 Ars Technica の記事、 The Register の記事)。

ドクター・フーのサイキックペーパーは白紙のカードだが、相手に見せたい任意の内容を表示できるというもの。一方、Psychic Signatures 脆弱性は楕円曲線デジタル署名アルゴリズム (ECDSA) 署名検証の脆弱性により、攻撃者が「白紙」の署名を使用して容易に認証をバイパスできるというものだ。

具体的には ECDSA 署名を構成する 2 つの値 (r、s) はいずれも 0 であってはならないが、影響を受けるバージョンの Java が実装する署名検証ではこれらの値が 0 でないことを確認しない。そのため、攻撃者は両方の値を 0 にした署名を作ることで、任意のメッセージと任意の公開鍵に対する有効な署名として利用できる。

Oracle では影響を受けるバージョンを Java SE: 17.0.2 / 18、GraalVM Enterprise Edition 21.3.1 / 22.0.0.2 としているが、サポートの終了した Java SE 15 /16 にも脆弱性は存在する。OpenJDK では影響を受けるバージョンを 15 / 17 / 18 としている。なお、この脆弱性の CVSS スコアを Oracle が 7.5 と評価するのに対し、ForgeRock では満点の 10.0 と評価しているとのことだ。

ブロックチェーンワレットアプリの MetaMask は 18 日、アプリのデータを iCloud にバックアップした場合の危険性について注意喚起した (HackRead の記事、 9to5Mac の記事、 MetaMask のツイート)。

これは Apple を名乗る電話を受けた MetaMask ユーザーが Apple ID パスワードリセットの確認コードを教えてしまい、総額 65 万ドル相当の暗号通貨や NFT を失ったという報告を受けたものだ。

MetaMask によればアプリデータの iCloud バックアップにはパスワードで暗号化された MetaMask 保管庫データが含まれ、パスワードの強度が低い場合はフィッシングで iCloud の認証情報が奪取されると資金を盗まれることになるという。

しかし、ワレットの鍵であり、MetaMask が保存しないと説明しているシードフレーズが実際にはファイルに保存されていたとの指摘もあり、被害にあったユーザーは無断保存を批判している。

GitHubは15日、OAuthインテグレーターであるHerokuとTravis-CIからに発行されたOAuthユーザートークンが盗まれ、リポジトリのコンテンツを不正にダウンロードされたと発表した。GitHub側は影響を受けたアプリケーションに対し、関連するすべてのOAuthユーザートークンを失効させ、加えてユーザーへ通知する措置を講じたとしている（GitHubブログ、窓の杜）。

同社は13日から14日にかけてHerokuとTravis-CIに調査結果を開示した。これらのアプリを使用していた数十の組織が被害に遭った可能性があるという。4月15日段階で影響を受けるOAuthアプリケーションは以下の通りとなっている。

• Heroku Dashboard（ID: 145909）
• Heroku Dashboard（ID: 628778）
• Heroku Dashboard - Preview（ID: 313468）
• Heroku Dashboard - Classic（ID: 363831）
• Travis CI（ID: 9216）

headless 曰く、

Microsoft は 19 日、Windows 11 Insider Preview Home エディションで新規インストール時に SMB1 クライアントがインストールされなくなったと発表した (Storage at Microsoft の記事、 Neowin の記事、 The Register の記事、 On MSFT の記事)。

Microsoft は段階的に SMB1 の廃止計画を進めている。Windows 10 バージョン 1709 (Fall Creators Update) 以降では Home / Pro エディションで SMB1 サーバー、Enterprise / Education /Pro for Workstation では SMB1 サーバー・クライアントの両方がデフォルトでインストールされなくなり、バージョン 1809 (October 2018 Update) 以降では Pro エディションのデフォルトで SMB1 クライアントがインストールされなくなった。Home エディションでは引き続き SMB1 クライアントがデフォルトでインストールされていたが、延べ 15 日以上の稼働期間に一度も SMB1 クライアントが使われない場合は自動でアンインストールされるようになっていた。

今回の変更により、Windows 11 Insider Preview で SMB1 クライアントがデフォルトでインストールされるエディションはなくなった。必要な場合はコントロールパネルの「Windows の機能の有効化または無効化」で SMB1 クライアントを有効化することもできるが、将来のリリースで SMB1 のバイナリを削除する計画も同時に発表された。これに伴って非サポートの SMB1 インストールパッケージを別途提供する計画もあるといい、より詳しい情報は数か月のうちに発表できるとのこと。

Microsoft のNed Pyle 氏によれば、Home エディションのユーザーの中には非常に古い NAS を使い続け、それに新しい Windows 11 PC が接続できない理由を理解するのが難しい人もいるため、SMB1 クライアントを最後まで残しておく必要があったという。そのため、このようなユーザーへの周知に協力を求めている。

headless 曰く、

米連邦巡回区第 9 控訴裁判所は 18 日、hiQ Labs が LinkedIn を訴えた裁判の差し戻し審で、LinkedIn 公開プロフィールへのスクレイピングをブロックしないよう LinkedIn に命じた連邦地裁の判断を再び支持した (Neowin の記事、 The Register の記事、 CyberScoopの記事、 裁判所文書: PDF)。

この裁判は LinkedIn が hiQ による LinkedIn 公開プロフィールのスクレイピングをコンピューター詐欺と濫用に関する法律 (CFAA) などに違反すると主張してアクセスをブロックしたため、hiQ 側が違法でないことの確認を求めて提起したものだ。 一審の連邦地裁では 2017 年、アクセスブロックの即時中止とスクレイピング中止を求めた通告の即時取り下げを命ずる事前差止命令を出し、2019 年には控訴裁判所がこの判断を支持していた。

その後、業務と無関係なナンバープレート照会を実行した警察官 (当時) を米政府が訴えた裁判で、アクセスが認められている範囲内であれば目的外の使用も CFAA が定めるコンピューターの不正使用にあたらないとの判断を連邦最高裁が示して (Van Buren 判決) おり、LinkedIn 側がこれを踏まえて判断し直すよう最高裁に請求(PDF)。最高裁は請求を認めて控訴裁判所の判断を取り消し、Van Buren 判決を踏まえた再審理を控訴裁判所に命じた (PDF)。

控訴裁判所は 2019 年、CFAA の定める「許可のない」アクセスが許諾の有無なのか、認証の有無なのかという重要な問題をhiQが提起したと指摘していた。今回はさらに踏み込み、「許可のない」アクセスとなるのはパスワード認証などによるアクセス許可が必要なデータに対する認証を経ないアクセスであって、そもそもアクセスに認証を必要としないデータには適用されないと判断した。

Van Buren 裁判では「許可された」アクセスの範囲が争点だったが、これを踏まえたことで「許可のない」アクセスに対する解釈が補強されたという。その結果、事前差止命令が適切だったとの結論に再び達し、審理を継続するよう連邦地裁へ差し戻した。

あるAnonymous Coward 曰く、

テンプル大学の研究チームが「歯と歯をこすり合わせる音」や「歯と歯を衝突させる音」を利用した生体認証技術を開発するべく、市販のイヤホンにマイクを取り付けて口から顔の内部を通って耳まで届く音を検出するシステムを構築したとのこと（arXiv、論文[PDF]、GIGAZINE）。

構築したシステムでは「全ての歯をこすり合わせる」「一部の歯ををこすり合わせる」「全ての歯を衝突させる」「一部の歯を衝突させる」といった動作を行った際に生じる音を用いて個人を識別でき、1回音を鳴らすだけで93％の確率で個人を認識し、4回音を鳴らせば98.8％の確率で個人認識に成功することが確認された模様。

Citizen Labによると、英首相官邸のスタッフが使用するPCがスパイウェア「Pegasus」に感染していたと発表した。Pegasusは過去記事でも幾度か話題になっているが、イスラエルのセキュリティ企業であるNSO Group開発のスパイウェア（The Citizen Lab、TechTarget、GIGAZINE）。

それによると、アラブ首長国連邦（UAE）に拠点を置くとみられる攻撃者により、2020年と2021年にかけて当時の英外務・英連邦省（FCO、現在の外務・英連邦・開発省）が使用するシステムへの標的型感染を行い、それが首相官邸のネットワーク内のシステムに侵入する攻撃に至ったとCitizen Labは説明している。FCOやその後継官庁にあたる外務・英連邦・開発省（FCDO）は、多くの国に職員を配置していることから、海外にあるFCO端末と外国SIMカードから感染が広まった可能性があると指摘している。ただThe Guradianによると、イギリス政府側はCitizen Labの報告に否定的な見解を示しているという（The Guradian）。

headless 曰く、

やや旧聞であるが、米国の倫理的ハッカーが高齢者から暗号通貨を盗んだ容疑で 4 月 8 日に逮捕されていたそうだ (HackRead の記事、 Tampa Bay Times の記事)。

この倫理的ハッカー (27歳男性) は被害者 (65歳+) 宅でセキュリティシステムのセットアップを依頼されて作業中、被害者のハードウェアワレット Trezor とその近くにあったパスワードを盗み、自分のコントロール下にある複数のワレットに計 575,910 ドル 61 セント相当の暗号通貨を送金したという。LinkedIn プロフィールによれば、彼は Cisco Networking Academy の倫理的ハッカー認定を受けているほか、Cisco Certified Network Associate Cyber Ops 認定や CompTIA の 3 つの認定資格 (CySA+ / Network+ / A+) を持っているとのことだ。

週刊文春電子版の記事によると、ロシアで位置情報を用いた出会い系アプリ「Tinder（ティンダー）」が人気なのだそう。ウクライナ情勢で戦争の長期化や補給の不足、そもそもの士気の低さなどロシア兵の問題は様々な報道で指摘されているが、記事によるとTinderはプライベートな通信であることから、普段以上に気を許してしまう傾向が強まるらしい（週刊文春 電子版）。

文春記事では位置情報をウクライナ第2の都市ハルキウに設定し、実際に試してみたらしいのだが、表示される相手の10人に一人はロシア兵と思われる状況になったそうだ。国籍や出身地を明記していたり、ロシア国旗入りの服を着ていたりしており、またほぼ間を置かずに「マッチング成立」の通知が届く状態だったとしている。なお英国の諜報機関などはTinderや同性愛者向けの出会い系アプリGrindrを使ってロシア兵の情報収集などを行っている模様（Daily Mail Online）。

窓の杜の記事によると、オープンソースの解凍・圧縮ソフト「7-Zip」に特権昇格とコマンドの実行が可能になる未修正の脆弱性（CVE-2022-29072）が存在することが分かったという（窓の杜、Penetration Testing、Github）。

v21.07までのWindows版「7-Zip」にはファイルマネージャープロセス（7zFM.exe/7-zip.dll）のヒープオーバーフローと「Microsoft HTML ヘルプ」（HTML Help Executable Program/hh.exe）のコマンド実行機能を組み合わせることで、管理者モードでコマンドが実行できる機能が存在する。ここに拡張子を.7zにしたファイルをドラッグ＆ドロップすると特権昇格とコマンドの実行が可能になるとのこと。7-Zipの開発側は原因はMicrosoftのヘルプビューワー側にあると主張している。緩和策としては7-zip.chmのヘルプファイルを削除する方法があるが、最終的には7-zipとMicrosoftのヘルプビューワー両方の修正が必要になる模様。

headless 曰く、

Microsoft は 14 日、Microsoft Dynamics 365 と Power Platform の報奨金プログラムおよび、M365 の報奨金プログラムにシナリオベースの報奨金を追加すると発表した (Microsoft Security Response Center の記事、 Softpedia の記事)。

シナリオベースの報奨金は影響が大きな特定のシナリオにおける脆弱性の発見に対し、報奨金を上乗せするものだ。Microsoft Dynamics 365 と Power Platformの報奨金 プログラムでは、テナント間情報漏洩のシナリオに最高 2 万ドルの報奨金が設定されており、M365 の報奨金プログラムではコードインジェクションによる信頼できない入力を通じたリモートからのコード実行シナリオにボーナス最高 30 % など、複数のシナリオで報奨金の 15 % ～ 30 % のボーナスが上乗せされる。