政府のクラウドサービス認定制度に登録されている富士通クラウドサービスに、不正アクセスがあったことが報じられている。パブリッククラウド「ニフクラ」「FJcloud-V」を運営する富士通クラウドテクノロジーズが16日、不正アクセスを受けたことを発表した。ロードバランサーの脆弱性を突かれ、一部ユーザーのデータや認証情報を盗まれた可能性があるとしている（富士通クラウドテクノロジーズリリース、ITmedia）。

PayPayカードは16日、ユーザーの信用情報を信用情報機関のシステムに誤って登録したと発表した。この影響により誤登録されたユーザーのクレジットカードの契約などに影響した可能性がある（PayPayカードリリース、日経クロステック、[ITmedia、ケータイ Watch）。

同社は、ユーザーの契約情報を指定信用情報機関のシー・アイ・シー(CIC)に月次で提供しているそうだ。4月17日から5月2日の期間、登録設定の誤りにより一部ユーザーの債務残高や支払い情報が間違ってCICに登録されてしまったという。日経クロステックの記事によれば「2022年4月分のデータを作成している際にシステム不具合が生じ、そのリカバリー手順を誤った」とのこと。これにより最大で28万9873人の与信判断に影響が生じた可能性があるとしている。同社は判明後に速やかに修正を行い、現在は正しい内容が登録されているとしている。

中国に住む北朝鮮のIT技術者が、日本人の知人の名義を使用し、日本でスマートフォンアプリの開発業務を請け負った疑いが出ている。神奈川県警は18日、国外に不正送金したとして、知人の韓国籍の57歳の男性とIT技術者の親族に当たる75歳の女性を銀行法違反などの容疑で書類送検した。2人は容疑を認めているとのこと（時事ドットコム、NHK、毎日新聞、読売新聞）。

読売新聞の記事によれば、この北朝鮮のIT技術者は、先の韓国籍男性の名義を使って技術者らをマッチングする日本のサービスに登録。2019年以降、地図アプリの更新や大手通販サイトの出品者サポートシステムの保守管理など7件の業務を請け負っていたとされる。この少し前に当たる16日、米国政府は北朝鮮出身のIT技術者が身元を隠し、リモートワークの仕事を得ようとしているとして警戒を呼びかけていた（BBC）。また22日から米バイデン大統領が来日を予定しており、これに合わせて北朝鮮がICBMの発射に踏み切る可能性があるとの報道も出ていることから北朝鮮関係の警戒態勢が取られていたのかもしれない（NHK、時事ドットコム）。

NVIDIAは16日、同社のGPUドライバに複数の脆弱性があると発表した。すでに対策を施した最新版のドライバーがリリースされている。発表された脆弱性が対策済みとなるのはバージョンが「512.77」以降。R470ブランチ版でも同様の脆弱性を修正したv473.47が提供されているとのこと。窓の杜の記事によると、脆弱性はCVE番号ベースで10件が存在するとしている。これらの脆弱性により、任意コードの実行や情報の漏洩、データの改ざんなどにつながる恐れがあることから早めのアップデートをおこなうよう求めている（NVIDIA、窓の杜）。

headless 曰く、

電源を切った iPhone でマルウェアを実行する手法について、ドイツ・ダルムシュタット工科大学の研究グループが研究成果を発表している (論文アブストラクト、 HackRead の記事、 ACM WiSec 2022 でのプレゼンテーション動画)。

iOS 15 以降では電源をオフにしてから 24 時間後まで「探す」ネットワークが利用でき、iOS 15.2 以降ではバッテリー残量がなくなって電源が切れた状態の省電力モードでも 5 時間後まで「探す」ネットワークが利用できる。また、iOS 14 以降ではウォレットアプリに入れたカードやパス、キーが省電力モードで利用できる。つまり、電源が切れた (ように見える) iPhoneでも、予備電力が消耗しない限り一部の機能は稼働し続けていることになる。

研究グループが調査したところ、稼働し続けるモジュールはBluetoothとNFC、超広帯域 の 3 つであることが判明する。NFC と超広帯域のファームウェアは署名されているが、Bluetooth のファームウェアは署名されておらず、CRC をチェックするのみだという。iPhone が採用する Broadcom の Bluetooth チップにはファームウェアに RAM 上でパッチを適用する Patchram という機能があり、電源が切れた iPhone で Bluetooth チップへ容易にマルウェアを読み込ませ、実行させることが可能とのこと。

なお、研究グループが分析に使用したツール InternalBlue は脱獄した iOS を必要とするが、Bluetooth ファームウェアのパッチに iOS の脱獄が必要かどうかは明記されていない。ただし、脱獄ユーザーが少ないにもかかわらず、研究グループはハードウェアベースでバッテリーを切断できるスイッチの必要性を訴えており、非脱獄 iPhone を攻撃することも可能とみられる。

サーバ証明書の発行を悪用し、WordPressで作られたサイトをターゲットにする攻撃が指摘されている（The Daily Swig、matsuu序二段さんのツイート）。

The Daily Swig の記事によれば、この攻撃はCertificate Transparency（CT）システムを悪用したもの。CTでは不正な証明書を迅速に発見するため、証明書を直ちに公開ログに記録することが義務づけられている。今回指摘されている攻撃では、悪意のあるハッカーが先の公開ログを監視し、WordPressの新規ドメインを検出すると即座にアクセス、初期インストール状態のWordPressにバックドアを仕掛けるという手法であるようだ。

この攻撃により、TLS証明書が要求されてから数秒から数分のうちにサイトがハッキングされたという証言も複数出てきているとのこと。証明書認証局のLet's EncryptのJosh Aas氏は「もし攻撃者がCT公開ログを直接監視しているのであれば、新しい証明書エントリをいち早く確認可能であり、攻撃を成功させるための時間的余裕を与えてしまうことになる。（中略）安全が確保されるまではWordPressによる新規サイト公開は避けるべきだろう」と述べている。

オープンソースのメディアプレイヤーであるVLC media player（以下VLC）を利用したサイバー攻撃が発生したという。セキュリティソフトのPC Maticの報告によれば、同社製のアプリであるPC Matic個人版を利用しており、同ソフトと他社セキュリティソフトを併用している日本のユーザーでVLCの深刻な脆弱性を悪用され、リモートソフトであるVNCがインストールされ、端末が遠隔操作されるという事案が9日に発生したとのこと。この事案では、ユーザーが画面上で遠隔操作されていることに気がついたとしている。PC Maticは本アプリの利用時、SuperShield 保護モードから切り換えないよう求めている（PC Matic：VLC media playerを利用したサイバー攻撃確認のご報告）。

TECH+の記事によれば、セキュリティサービスのMalwarebytesが、ヨルダンの外務省の政府関係者を標的としたサイバー攻撃を発見したという。このサイバー攻撃は「Saitama」と呼ばれる新しいバックドアを利用している。電子メールに悪意のあるアクティビティを実行するマクロ月のExcelファイルを添付。ドキュメントには、被害者にマクロを有効にするように求める内容の画像が含まれているという。Malwarebytesは今回の攻撃はイランに所属するとみられる「APT34」グループによるものだと分析している（Malwarebytes、TECH+）。

韓国のTerraform Labsによる暗号通貨「Terra（LUNA）」が一夜にして資産価値がゼロになるという事態が起きたそうだ。LUNAは米ドルなどの価格にペッグしたステーブルコインを発行するプロジェクトとのことで、4月には時価総額が5兆円を超え、仮想通貨全体のランキングでも10位に入っていたこともあった。しかし、5月13日朝時点でLUNAの価格は2円にまで下落、5日前の1万円以上価値があったものが99％以上下落したとしている（ITmedia、GIGAZINE、あたらしい経済）。

発行しているTerraform Labsは13日の1時過ぎ、価格暴落を防ぐためにブロックチェーンの稼働を一時停止したという。しかし、世界最大の暗号資産取引所バイナンスでは、ユーザー保護の観点から、LUNAとUSTの取引停止するという状況に陥った（COINPOS、中央日報）。現在は一部取引を再開しているそうだが、バイナンスのChangpeng Zhao（CZ）CEOは14日、「バイナンスは常に中立的であろうと務めているが、同チームの対応を、非常に残念に思っている」としてTerraform Labsに対して異例の苦言を呈したとしている。

原因に関してはいろいろな話があるようだが、バイナンスによれば、テラプロトコルの設計に問題があり、膨大な量の新しいLUNAトークンが鋳造されたことが一因だとされている（BAINANCEリリース、COINPOST）。

headless 曰く、

Microsoftは 12 日、Canary チャネルの Microsoft Edge で少数のユーザーを対象とする Microsoft Edge セキュアネットワークのプレビュー版提供開始を発表した (Microsoft Edge Insider の記事、 Neowin の記事、 Windows Central の記事、 Ghacks の記事)。

セキュアネットワーク は Cloudflare との提携により毎月 1 GB まで無償提供される VPN サービスで、接続の暗号化と追跡の防止、位置情報 (IP アドレス) の隠ぺいを行い、ユーザーのセキュリティとプライバシーを保護する。VPN のサーバーはユーザーと同じ地域に位置するものが選ばれ、実際の IP アドレスをウェブサイトに知られることなく、地域限定のサービスを利用できる。なお、セキュアネットワークは Microsoft Edge を閉じるとオフになるため、起動するたびにオンにする必要がある。

利用には Microsoft アカウントでのサインインが必要となるが、利用データ容量を制限するためだけのもので、サーバーに送られる診断データも 25 時間以内に削除されるとのこと。このサービスは 4 月末にサポートドキュメントが見つかり、話題になっていた。

Kaspersky Lab の調べによると、ランサムウェア攻撃の被害を受けたことがある企業の重役の 88 % は再び攻撃を受けたら身代金を支払うと回答したそうだ (Kaspersky official blogの記事、 The Register の記事)。

調査は北米・南米・アフリカ・ロシア・欧州・アジア太平洋地域の従業員 50 ～ 1,000 人の企業のIT管理者でない重役および経営者・共同経営者 900 人が対象で、4 月に実施されたものだ。

回答者の 60 % はランサムウェアの脅威をメディアが実際よりも大きく見せていると考えているが、64 % の組織が既にランサムウェア被害にあっており、うち 79 % が身代金を支払っているという。再び被害にあった場合に身代金を支払うとの回答は 88 % だが、過去の被害で身代金を払ったことのある組織では 97 % が再び支払うと回答したとのこと。一方、データが復旧できなくても身代金を支払わないとの回答は、被害にあったことのない組織で 28 %、過去の被害で身代金を支払わなかった組織では 44 % にのぼる。

米国立標準技術研究所 (NIST) による新しい暗号規格にバックドアはないと、米国家安全保障局 (NSA) サイバーセキュリティ責任者のロブ・ジョイス氏が保証している (Bloomberg の記事)。

NSA が開発した暗号アルゴリズムはバックドアの懸念から 2014 年に連邦規格から除外された。一方、NIST はポスト量子を見据えた新しい暗号規格のコンテストを 2016 年から実施していた。NSA も機密扱いの量子耐性暗号アルゴリズムを既に開発しているものの、NIST のコンテストには応募していないという。コンテストでは暗号アルゴリズムのテストに NSA の数学者も協力しており、ジョイス氏はすべての候補が量子耐性の要件を満たしていたと述べているが、規格の策定自体には関与していないとのこと。米政府は 4 日、既存の公開鍵暗号を用いるすべてのデジタルシステムについて、量子耐性暗号へ移行する方針を示している。

headless 曰く、

Windows 10 バージョン 20H2 Home / Pro (Pro Education / Pro for Workstations を含む) エディションが 5 月10日でサービス終了した。また、Windows 10 バージョン 1909 は既に Home / Pro エディションでサービス終了していたが、10 日には全エディションでサービス終了となった (Windows message center、 Windows 10 Home / Pro のライフサイクル、 Windows 10 Enterprise / Education のライフサイクル)。

これらのバージョン・エディションは 5 月 10 日の月例更新を最後に月例のセキュリティ・品質更新プログラムが提供されなくなるため、引き続き更新プログラムを受け取るにはサービス期間内のバージョンへアップデートする必要がある。

コンシューマーデバイスと非マネージド環境のビジネスデバイスではサービス終了数か月前から自動更新で機能更新プログラムがインストールされることになっているが、今までバージョン 20H2 で頑張ってきた人もいるのだろうか。スラドの皆さんはいかがだろう。

headless 曰く、

米中央情報局 (CIA) が安全に情報提供をするための手順をロシア語で解説している (CIA の Instagram 投稿、 HackRead の記事)。

まず、自宅や職場のコンピューターを使用しない、最新版のブラウザーを使用する、プライベートブラウジングモードを使用する、終了後に検索履歴を消去する、といった基本的な注意事項に続き、当局や第三者に追跡されない安全な接続を確保する手順を紹介している。

CIA に情報提供する場合の安全な接続方法は Tor ネットワーク経由または信頼できる VPN 経由の 2 種類。Tor で接続する場合の .onion アドレスは「ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion」となっているが、https 接続に対応せず、http でしか接続できないようだ。VPN はロシアや中国など米国との関係が友好的でない国のプロバイダーやサーバーを避けるべき、有料サービスのほうが比較的安全性が高いといった説明がみられる。

情報提供にあたっては、提供する情報のほか、提供者の所在する国名やフルネームと役職、CIA 側から安全に連絡可能な連絡先を知らせるよう求めている。

headless 曰く、

Android 13 ではサイドローディングしたアプリの Accessibility API 使用が制限されるそうだ (Esper Blog の記事、 Neowin の記事、 9to5Google の記事)。

Accessibility API を使用するユーザー補助サービスは別のアプリ上のテキストを読み取るなど強力な権限を持ち、アプリの機能を大幅に拡張できるが、悪用された場合のリスクも大きい。Google は 2017 年にユーザー補助目的以外での使用を禁止する方針を示したが、強い反発を受けて一律禁止には至らなかった。現在は API ドキュメントでユーザー補助目的でのみ使用するよう解説する一方、デベロッパープログラムポリシーでは悪用を禁止するにとどまる。最近のポリシー改定では音声通話録音目的での使用禁止が追加された。

Android 12 ではユーザー補助サービスの権限を要求する非ユーザー補助アプリについて、信頼できるソースからインストールされていない場合は権限をユーザーが許可してから 24 時間後に通知する機能が追加されている。しかし、悪意あるアプリへの対策としては 24 時間後に通知してもあまり意味がなさそうだ。

Android 13 ではこれをさらに進め、サイドローディングされた非ユーザー補助アプリはユーザー補助サービスを有効にできなくなる。インストール時にセッションベースの PackageInstaller.Session API を使用しなかったアプリがサイドローディングと判定されるため、Google Play 以外でもこの API を使用するアプリストアからインストールしたアプリであればユーザー補助サービスを利用できる。

また、「Files by Google」のようなアプリではローカルの APK をインストールするのにセッションベースの API を使用するが、新しい setPackageSource() API を使用してサイドローディングアプリ扱いにする。この方法でインストールされたアプリの場合、後で「設定」から制限を解除できるとのこと。こういった動作の変更点については、11・12 日にオンライン開催の Google I/O で紹介されるとみられる。