Kaspersky Lab の調べによると、ランサムウェア攻撃の被害を受けたことがある企業の重役の 88 % は再び攻撃を受けたら身代金を支払うと回答したそうだ (Kaspersky official blogの記事、 The Register の記事)。

調査は北米・南米・アフリカ・ロシア・欧州・アジア太平洋地域の従業員 50 ～ 1,000 人の企業のIT管理者でない重役および経営者・共同経営者 900 人が対象で、4 月に実施されたものだ。

回答者の 60 % はランサムウェアの脅威をメディアが実際よりも大きく見せていると考えているが、64 % の組織が既にランサムウェア被害にあっており、うち 79 % が身代金を支払っているという。再び被害にあった場合に身代金を支払うとの回答は 88 % だが、過去の被害で身代金を払ったことのある組織では 97 % が再び支払うと回答したとのこと。一方、データが復旧できなくても身代金を支払わないとの回答は、被害にあったことのない組織で 28 %、過去の被害で身代金を支払わなかった組織では 44 % にのぼる。

米国立標準技術研究所 (NIST) による新しい暗号規格にバックドアはないと、米国家安全保障局 (NSA) サイバーセキュリティ責任者のロブ・ジョイス氏が保証している (Bloomberg の記事)。

NSA が開発した暗号アルゴリズムはバックドアの懸念から 2014 年に連邦規格から除外された。一方、NIST はポスト量子を見据えた新しい暗号規格のコンテストを 2016 年から実施していた。NSA も機密扱いの量子耐性暗号アルゴリズムを既に開発しているものの、NIST のコンテストには応募していないという。コンテストでは暗号アルゴリズムのテストに NSA の数学者も協力しており、ジョイス氏はすべての候補が量子耐性の要件を満たしていたと述べているが、規格の策定自体には関与していないとのこと。米政府は 4 日、既存の公開鍵暗号を用いるすべてのデジタルシステムについて、量子耐性暗号へ移行する方針を示している。

headless 曰く、

Windows 10 バージョン 20H2 Home / Pro (Pro Education / Pro for Workstations を含む) エディションが 5 月10日でサービス終了した。また、Windows 10 バージョン 1909 は既に Home / Pro エディションでサービス終了していたが、10 日には全エディションでサービス終了となった (Windows message center、 Windows 10 Home / Pro のライフサイクル、 Windows 10 Enterprise / Education のライフサイクル)。

これらのバージョン・エディションは 5 月 10 日の月例更新を最後に月例のセキュリティ・品質更新プログラムが提供されなくなるため、引き続き更新プログラムを受け取るにはサービス期間内のバージョンへアップデートする必要がある。

コンシューマーデバイスと非マネージド環境のビジネスデバイスではサービス終了数か月前から自動更新で機能更新プログラムがインストールされることになっているが、今までバージョン 20H2 で頑張ってきた人もいるのだろうか。スラドの皆さんはいかがだろう。

headless 曰く、

米中央情報局 (CIA) が安全に情報提供をするための手順をロシア語で解説している (CIA の Instagram 投稿、 HackRead の記事)。

まず、自宅や職場のコンピューターを使用しない、最新版のブラウザーを使用する、プライベートブラウジングモードを使用する、終了後に検索履歴を消去する、といった基本的な注意事項に続き、当局や第三者に追跡されない安全な接続を確保する手順を紹介している。

CIA に情報提供する場合の安全な接続方法は Tor ネットワーク経由または信頼できる VPN 経由の 2 種類。Tor で接続する場合の .onion アドレスは「ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion」となっているが、https 接続に対応せず、http でしか接続できないようだ。VPN はロシアや中国など米国との関係が友好的でない国のプロバイダーやサーバーを避けるべき、有料サービスのほうが比較的安全性が高いといった説明がみられる。

情報提供にあたっては、提供する情報のほか、提供者の所在する国名やフルネームと役職、CIA 側から安全に連絡可能な連絡先を知らせるよう求めている。

headless 曰く、

Android 13 ではサイドローディングしたアプリの Accessibility API 使用が制限されるそうだ (Esper Blog の記事、 Neowin の記事、 9to5Google の記事)。

Accessibility API を使用するユーザー補助サービスは別のアプリ上のテキストを読み取るなど強力な権限を持ち、アプリの機能を大幅に拡張できるが、悪用された場合のリスクも大きい。Google は 2017 年にユーザー補助目的以外での使用を禁止する方針を示したが、強い反発を受けて一律禁止には至らなかった。現在は API ドキュメントでユーザー補助目的でのみ使用するよう解説する一方、デベロッパープログラムポリシーでは悪用を禁止するにとどまる。最近のポリシー改定では音声通話録音目的での使用禁止が追加された。

Android 12 ではユーザー補助サービスの権限を要求する非ユーザー補助アプリについて、信頼できるソースからインストールされていない場合は権限をユーザーが許可してから 24 時間後に通知する機能が追加されている。しかし、悪意あるアプリへの対策としては 24 時間後に通知してもあまり意味がなさそうだ。

Android 13 ではこれをさらに進め、サイドローディングされた非ユーザー補助アプリはユーザー補助サービスを有効にできなくなる。インストール時にセッションベースの PackageInstaller.Session API を使用しなかったアプリがサイドローディングと判定されるため、Google Play 以外でもこの API を使用するアプリストアからインストールしたアプリであればユーザー補助サービスを利用できる。

また、「Files by Google」のようなアプリではローカルの APK をインストールするのにセッションベースの API を使用するが、新しい setPackageSource() API を使用してサイドローディングアプリ扱いにする。この方法でインストールされたアプリの場合、後で「設定」から制限を解除できるとのこと。こういった動作の変更点については、11・12 日にオンライン開催の Google I/O で紹介されるとみられる。

Apple と Google、Microsoft は 5 日、FIDO Alliance と W3C が策定したパスワードレスサインイン標準のサポート拡大を共同でアナウンスした (プレスリリース、 The Verge の記事、 Ars Technica の記事、 VenturBeat の記事)。

パスワードのみを使用する認証はウェブのセキュリティで最大の問題の一つであり、多数のパスワードを管理するのは消費者の負担が大きく、しばしば異なるサービスでのパスワード再利用につながる。標準ベースのパスワードレス認証ではデバイスのアンロック操作と同様に指紋や顔、PIN による簡単な確認処理を用い、レガシーな多要素認証よりも大幅に高いセキュリティを実現するという。3 社のプラットフォームではすでにパスワードレス認証が実装されているが、従来の実装ではデバイスごとにウェブサイトやアプリにそれぞれサインインするまでパスワードレス認証が利用できなかった。

今回のアナウンスでは各プラットフォームの実装を拡張し、よりシームレスでセキュアなパスワードレスサインインを実現する 2 つの新たな機能追加を以下の通り発表している。

1. 新しいデバイスを含むユーザーが所有する多数のデバイス上で、各アカウントへの再エンロールを必要とすることなく、自分の FIDO サインイン情報 (パスキーとも呼ばれる) への自動的なアクセスを可能にする
2. ユーザーがモバイルデバイスで FIDO 認証を用い、近くにあるデバイスで OS プラットフォームやブラウザーの種類にかかわらずアプリやウェブサイトにサインインできるようにする

これらの機能は来年 1 年をかけて利用可能になっていくとのこと。

5 月の第 1 木曜日は World Password Day であり、今年は 5 日がそれにあたる。そのため、Google と Microsoft は共同アナウンスと別にパスワードレス化への取り組みを発表している (The Keyword の記事、 Microsoft Security Blog の記事、 Azure Active Directory Identity Blog の記事)。

中国政府が中央政府機関や国有企業に対し、業務で使用する PC を 2 年以内に国外ブランドから国内ブランドへ置き換えるよう命じたと Bloomberg が報じている (Neowin の記事、 On MSFT の記事、 Bloomberg の記事、 日本語版記事)。

報道によれば、命令は (国外ブランド PC 使用による) 情報セキュリティへの懸念と、国産ハードウェアへの信頼向上を反映したものだという。対象は PC のブランドとソフトウェアのみとなり、マイクロプロセッサーのように代替困難なコンポーネントは除外されるとしている。Windows を置き換える OS は Linux ベースのものが推奨されるとのこと。この報道を受けて Lenovo や Kingsoft の株価は上昇し、HP や Dell の株価は下落したそうだ。

ただし、情報源は匿名の関係者のみで、問い合わせた監督官庁からの回答はなかったという。この件に関する中国国内メディアの報道も「Bloomberg の報道によれば」というものばかりで、Bloomberg は誤報が多いといった指摘や、本件は間違いなく誤報だとの指摘もみられる。実際はどっちだろうか。

NHKの記事によれば、経済産業省は、日本の安全保障関連の技術流出を防止するための規制強化を1日から開始したそうだ。企業や大学などが対象となる。内容としては、年間所得の25％以上を外国政府などから受け取っている研究者などに重要な技術や情報を提供する場合、事前に国の許可が必要になるという。また日本国内の行動について海外から指示を受けている人なども規制の対象になるとしている（NHK）。

Wikimedia Foundation は 1 日、暗号通貨による直接的な寄付受付を中止すると発表した (Wikimedia Meta Wiki、 The Verge の記事、 Mashable の記事)。

Wikimedia は 2014 年にボランティアと寄付者のコミュニティからの要望を受け、寄付としての直接的な暗号通貨受け取りを開始していた。今回の決定も同じコミュニティからのフィードバックを受けて決定したとのこと。Wikimedia コミュニティでは、寄付受け取りが環境負荷の高い暗号通貨を支持していると受け取られ、Wikimedia ムーブメントに影響する可能性があるなどとして、暗号通貨による寄付受け取りの是非について 1 月から議論が行われていた。

Wikimedia Foundation は暗号通貨を直接的な寄付として受け取るのに必要な Bitpay アカウントを閉じる計画を示す一方、今後もこの問題を見守り、コミュニティのニーズに応えていくとも述べている。

5 月のメンタルヘルス月間にちなみ、Mozilla がメンタルヘルスアプリやお祈り・瞑想アプリ計 32 本のプライバシーとセキュリティについて調査結果を公表している (Mozilla Foundation のブログ記事、 The Verge の記事、 SlashGear の記事、 Ghacks の記事)。

アプリ 1 本あたり最低 8 時間行ったという調査の結果、ユーザーデータの管理に強い懸念が持たれる「*Privacy Not Included」警告ラベルが付けられたアプリが 32 本中 28 本におよび、Mozilla の最低セキュリティ基準を満たさないアプリも 25 本あったそうだ。評価は Mozilla によるものと、ユーザーの投票によるものとの 2 種類。警告ラベルは Mozilla の評価のみによると思われるが、その評価基準は非常にわかりにくい。

たとえば子供向けアプリ「Breathe, Think, Do with Sesame」は個人情報の必要なアクティビティが少なく、ターゲティング広告にも使用しないと明言しているが、警告ラベルの対象だ。評価の内容をみるとプライバシーポリシーが 2013 年から更新されていないことと、マイクの使用許可が含まれるためアプリの脆弱性により子供のプライバシーが侵害される可能性があることことが懸念点として挙げられている。

具体的にプライバシーポリシーの内容に問題があるわけでも、脆弱性が見つかっているわけではないが、Mozilla の問い合わせに回答がなかった点で警告ラベルの対象になった雰囲気だ。お祈り・瞑想アプリ「Glorify」には当初警告ラベルが付けられていたが、問い合わせへの回答があったので警告ラベルを外したと説明されている。

また、Mozilla の評価アイコンは「👍」「👎」「✋」というもので、👍と👎の意図は明確だが、✋の意図ははっきりしない。✋が付けられているのは瞑想アプリ「Headspace」のみ。このアプリは警告ラベルの対象になっていないものの、Glorify とともに合格点ではないらしい。なお、✋は人差し指から小指までを曲げ、親指で右側を差すハンドジェスチャーの可能性もある。

一方、Mozilla は合格点のアプリとして「PTSD Coach」と「Wysa」を挙げているが、これらのアプリはプライバシー・セキュリティともに問題が見つかっていないため、問い合わせへの回答があったかどうかにも言及がない。

インド政府のサイバーセキュリティ当局 CERT-In は 4 月 28 日、サイバーインシデント発生を認識後 6 時間以内に報告するよう企業や政府組織に義務付ける指令を発表した (プレスリリース、 The Register の記事、 指令: PDF)。

報告が義務付けられるインシデントとしては、不正アクセスやマルウェア攻撃、DoS/DDoS、データ侵害、データ漏洩、ウェブサイト改変、偽モバイルアプリなど20 種類が挙げられている。報告には電子メールや電話、Fax が利用できる。6 時間以内の報告義務付けは EU (72 時間) や米国 (24 時間) と比べて大幅に短い。CERT-In ウェブサイトのインシデント報告に関するページには報告書式の PDF も用意されているが、書式で挙げられているインシデントの種類は報告が義務付けられるインシデントの種類とは異なる。指令は 60 日後に発効する。

大阪市で市民からの情報公開請求が行われた結果、「新型コロナウイルス感染者等情報把握・管理システム（HER-SYS）」の認証情報がそのまま記載されてしまい、ログインに必要なIDやパスワードなどが外部に流出していたことが判明した（Security NEXT、産経新聞）。

情報公開請求に応じて交付した資料に本来行うべきマスキングしていなかったことが原因だった。4月20日に請求者に対して資料を送付したところ、問題が指摘されて発覚。遡って調査したところ、3月24日や4月20日に行われた情報公開請求を行った6人に対しても、マスキングなしで情報公開していたことが判明したとしている。同市ではすでにパスワードを変更し、新たなIDを厚生労働省に申請しているとのこと。

フロッピーディスクコントローラー (FDC) へ低レベルコマンドを送る ioctl「FDRAWCMD」で脆弱性が確認され、修正ではなくデフォルト無効にする構成オプションが Linux 5.18 のメインラインにマージされた(Phoronix の記事、 コミットメッセージ)。

FDRAWCMD では use-after-free 脆弱性の存在が数年前から報告されていたが、最近改めて報告されるまで見過ごされてきたようだ。FDC への低レベルコマンド送信は Amiga のフロッピーやコピープロテクトされたフロッピーなど、非標準フォーマットのフロッピーを扱う場合に用いられる。しかし、そのような標準的でない用途が現在はほとんどなく、この機能の有用性を脆弱性の危険性が上回ることからデフォルト無効化が決まった。この機能は非推奨となり、近い将来カーネルから削除される。どうしても必要な場合は有効にできるが、ディストロレベルでは無効にしておくべきとのことだ。

サードウェーブは25日、同社がセキュリティソフト大手のマカフィーを相手取り賠償を求めていた裁判で、マカフィーに対し約2347万円の損害賠償を命ずる判決を行ったと発表した。判決は東京地方裁判所で22日に行われた（サードウェーブリリース、PC Watch）。

この裁判では同社製のPCにマカフィー製のセキュリティソフトを搭載する契約を行った際、マカフィーが事実に反する説明を繰り返したとするもの。ユーザーライセンスの更新率について実態とは異なる他社の実績値が提供されるなどしていたという。これにより、複数年にわたり同社の経営判断に不当な影響を与え損害を受けたとしている。東京地方裁判所は、「原告によるライセンス料の支払は被告の不法行為による損害といえる」と判断、損害賠償を命ずる判決を言い渡したとしている。

headless 曰く、

Google は 20 日、信頼できる拡張機能を見つけやすくするバッジの表示を Chrome ウェブストアで開始した (The Keyword の記事、 The Verge の記事、 Android Police の記事、 Ghacks の記事)。

バッジは 3 月に発表されていたもので、「おすすめ (Featured)」バッジと「定評のあるパブリッシャー (Established Publisher)」バッジの 2 種類。「おすすめ」バッジは Chrome ウェブストアのベストプラクティスガイドラインを厳守し、ストアの詳細情報ページが明確でユーザーの役に立つことを示す。「定評のあるパブリッシャー」はパブリッシャーが確認済みであること、Google サービスで良好な評価を受け、デベロッパープログラムポリシーを順守していることを示すものだ。

パブリッシャーがバッジを買うことはできないが、「おすすめ」バッジを表示できるよう Chrome ウェブストア サポート センターからリクエストを送ることはできる。なお、リクエストは最初のページで「自分のアイテム」を選び、次のページで「おすすめ」バッジ表示対象に自己推薦するという流れだが、現在のところ日本語表示では自己推薦の項目が表示されない。