Google Playではアプリの権限セクションの廃止が強い反発を受けていたが、結局復活することになったそうだ (Android Developers のツイート、 Android Police の記事、 The Verge の記事、 Ars Technica の記事)。

Google Play ではアプリ開発者の自己申告による「データセーフティ」が導入されているが、7 月 20 日の新規・更新アプリに対する申告義務付け開始を前にアプリの権限セクションが削除された。しかし、データセーフティセクションではアプリが収集するユーザーデータなどを確認できるものの、具体的な権限を確認することはできないため、ユーザーによる安全確認が難しくなるなどと批判されていた。これに対し、 Google の Android Developers 公式 Twitter アカウントはアプリの権限セクションがユーザーにとって有用なことを確認したなどとして、近いうちに復活させる計画を示した。

Atlassian の Questions for Confluence アプリでハードコードされた認証情報使用の脆弱性が確認されたそうだ (セキュリティアドバイザリー、 Jira、 Neowin の記事、 CVE-2022-26138)。

Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。

脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。

Microsoft は 20 日、Microsoft Office によるインターネットから取得した VBA マクロのデフォルトブロック再開計画を発表した (Microsoft 365 Blog の記事、 Neowin の記事)。

マクロのデフォルトブロック計画は 2 月に発表され、4 月 12 日に最新チャネル (プレビュー)、6 月 6 日に最新チャネルでロールアウトを開始した。7 月には月次エンタープライズチャネルでのロールアウト開始も予定していたが、7 月 8 日に一時ロールバックを発表。最新チャネル (プレビュー) 以外ではロールバックし、提供時期未定に変更された。

一時ロールバックにあたり、Microsoft はフィードバックを受けて変更を取り消し、再度提供すべく準備を進めるといった説明をしていた。再開にあたってはフィードバックを確認した結果、異なるシナリオでどのようなオプションがあるのかの説明をエンドユーザー向けドキュメント・ITプロフェッショナル向けドキュメントの両方で明確化したとのこと。提供再開のスケジュールが示されているのは現在のところ最新チャネルのみで、7 月 27 日ロールアウト開始となっている。

GIGAZINEの記事によると、一部のIntel製CPU内部のマイクロコードを抽出可能なソフトウェアが公開されたそうだ。このソフトウェア「MicrocodeDecryptor」は、研究者のMaxim Goryachy氏、Mark Ermolov氏、Dmitry Sklyarov氏らによって開発されたものだという。Goryachy氏によると、Intel製CPUの脆弱性の一つである「Red Unlock」を利用し、バッグモードをアクティブにすることでマイクロコードを抽出できるようになったとしている。開発チームはApollo Lake世代とGemini Lake世代の復号化キーを取得することに成功したとしている（Github、GIGAZINE）。

headless 曰く、

SATA ケーブルをアンテナとして用い、エアギャップ環境からデータを盗み出す手法「SATAn」をイスラエル・ベングリオン大学の Mordechai Guri 氏が発表した (論文アブストラクト、 論文: PDF、 Neowin の記事)。

インターネットから隔離されたエアギャップ環境でもマルウェアの攻撃に対して無敵ではなく、2010 年の Stuxnet をはじめとして被害が繰り返し報じられている。ただし、エアギャップ環境ではマルウェアの侵入に成功してもデータを外部に送信できない。Guri 氏はこのような環境でデータを外部に送信するさまざまな手法を開発しており、SATA ケーブルはその最新の手法となる。今回の実験で使われたのは SATA 3.0 インターフェイスとケーブルの組み合わせだ。

SATA 3.0 ケーブルからは 1 GHz ～ 6 GHz のさまざまな周波数帯域の電磁波が発せられるが、データ転送との強い相関関係がみられたのは 5.9995 GHz ～ 5.9996 GHz の範囲だったという。そのため、マルウェアがファイルシステムアクセスを継続的に実行するシェルコードを用いて発生させた電波に変調・符号化したデータを乗せて送信し、ソフトウェア無線 (SDR) 受信機を搭載したノート PC などで 5.9 GHz ～ 6 GHz の周波数帯域を受信して復調すればデータが得られる。

SATA インターフェイスは多くの PC が搭載しており、データ送信に特別な権限を必要としない。仮想マシン上で実行することも可能だ。このような攻撃を防ぐためには、多層のセキュリティにより最初の侵入を防ぐこと、エアギャップ環境の近くで無線受信機の使用を禁ずることが挙げられている。あまり現実的ではないが、電波の検出やジャミングといった手法も挙げられている。

headless 曰く、

Google Play でアプリのデータセーフティ表示が義務付けられるのを前に、アプリの権限セクションが削除された (9to5Google の記事、 Ars Technica の記事、 Blue Space のブログ記事)。

データセーフティ表示は Apple が 2020 年末に導入した App Store のプライバシー方針情報表示と同様のもので、開発者の自己申告によりアプリが収集または共有するユーザーデータやプライバシー・セキュリティの方針を表示するものだ。Google Play では 4 月から表示が始まっており、7 月 20 日以降は新規アプリと更新アプリで申告が義務付けられる。

アプリの権限セクションは Android の「Play ストア」 アプリおよびウェブ版の Google Play (play.google.com) の両方で削除されている。データセーフティセクションで置き換えるつもりかもしれないが、具体的な権限を確認することはできず、その正確さは App Store と同様に開発者次第となる。

Microsoft が 13 日に Dev チャネルでリリースした Windows 11 Insider Preview ビルド 25158 では、DNS over TLS (DoT) が利用可能になっている (Windows Insider Blog の記事、 Networking Blog の記事)。

DoTを使用するには、「設定」の「ネットワークとインターネット」で「Wi-Fi > ハードウェアのプロパティ」または「イーサネット」を開き、「DNS サーバーの割り当て」の「編集」をクリックする。「DNS 設定の編集」ダイアログボックスが表示されるので「手動」を選び、「IPv4」または「IPv6」をオンにして「優先DNS」にDoTサーバーのIPアドレスを入力する。「保存」をクリックして設定を保存すると、「IPv4 DNS サーバー」または「IPv6 DNS サーバー」に「 (非暗号化)」と表示される。

あとは管理者権限のコマンドプロンプトで netsh コマンドを実行して DoT と暗号化を設定後、ipconfig コマンドで DNS キャッシュをフラッシュすれば完了だ。設定では引き続き「非暗号化」と表示されるが、これは予期した動作とのこと。実際に暗号化が有効になっているかどうかについては、「netsh dns show encryption」コマンドの実行結果で指定した DoT ホストの「自動アップグレード」が「yes」になっていることを確認する必要があるようだ。

Security Affairsによると、ホンダの車両に採用されているリモートキーレスエントリー（RKE: Remote Keyless Entry）システムに、Rolling-PWNと呼ばれる脆弱性（CVE-2021-46145）があることが発見されたそうだ。悪用された場合、勝手に車両のロックが解除されたり、車両が始動されたりする危険性がある模様Rolling PWN、実演動画、GIGAZINE、TECH+、Bleeping Computer）。

最近の自動車のキーレスエントリーシステムは、キーフォブのボタンを押すたびに乱数で一意のローリングコードが生成される。車両側には生成されたコードの時系列をチェックするカウンターがあり、新しいコードを受信するとカウントが増加する仕組み。ただし、誤ってキーフォブを押してしまった場合や、車両が圏外にある場合などのために時系列でないコードも受け付けるようになっているという。

研究者のKevin2600とWesley Li氏は、ホンダ車に使用されているカウンターには、ロックとアンロックコマンドを連続して受けると、カウンターを再同期させる仕組みがあることを見つけ出した。これを悪用すれば無効化したはずの以前のセッションからのコードを受け入れてしまうのだとしている。現在、この問題が確認されているのは以下の車種となっている。

• Civic 2012年型
• X-RV 2018年型
• C-RV 2020年型
• Accord 2020年型
• Odyssey 2020年型
• Inspire 2021年型
• Fit 2022年型
• Civic 2022年型
• VE-1 2022年型
• Breeze 2022年型

ドラッグストアチェーン「サンドラッグ」は11日、同社のECサイトやクーポン配信サイトなどが不正ログインを受け、個人情報、計1万9057件が流出した可能性があると発表した（サンドラッグリリース[PDF]、ITmedia）。

攻撃を受けたとされるのは「サンドラッグ e-shop 本店」および「サンドラッグお客様サイト」。同社の発表によれば「リスト型攻撃」を受けた可能性があるという。7月9日～7月11日の期間に攻撃を受け、氏名・住所・電話番号・メールアドレス・生年月日・購入履歴・現在の保有ポイントなどが流出した可能性があるとしている。またクレジットカード情報に関しても、カード番号の頭6桁と下2桁分が流出した可能性があるとのこと。同社によれば、該当者には11日中に個別にメールで連絡をおこなったとしている。

Linuxをターゲットにした新種のマルウェアが発見されたそうだ。このマルウェアは、さまざまなコマンドやユーティリティから情報を盗み出し、マシン上の特定のファイルに保存するという点で従来のマルウェアとは異なる挙動をするものだそうだ（Intezer.com、Threatpost、ZDNet Japan）。

発見したセキュリティ企業Intezerの研究者によれば、実行コマンドの出力を一時的に保存するために使用するファイル名から「OrBit」と名付けられているという。このマルウェアは、Linuxシステムへリモートアクセスしてユーザー名とパスワードを盗み出すといったことなどもできるほか、高度な回避技術を実装しており、主要な機能をフックすることから、感染後に削除するのは困難であるとしている。

headless 曰く、

Microsoft Pluton セキュリティプロセッサーを搭載する Lenovo の Thinkpad Z13 では、デフォルトのファームウェア設定で Linux が起動できないそうだ (Matthew Garrett 氏のDreamwidth 投稿、 Phoronix の記事、 Neowin の記事)。

これはファームウェアのデフォルトが Microsoft 3rd Party UEFI CA キーで署名されたブートローダーやドライバーを信頼しない設定になっているためだ。Thunderbolt 接続したサードパーティ製の外付機器からブートすることもできないとのこと。発見した Aurora Innovationのセキュリティ開発者 Matthew Garrett 氏はセキュリティ上のメリットがないと Lenovo を批判したが、MicrosoftがSecured-Core PCの要件として 2022 年から「Allow Microsoft 3rd Party UEFI CA」オプションのデフォルトオフを義務付けている (PDF) ためだという。

そのため、Lenovo の Mark Pearson 氏 (らしき Dreamwidth ユーザー) は Linux プリインストールマシンならオンにしておく必要があるが、Windows プリインストールマシンではオフだと説明する。一方、Dell の Rick Martinez 氏はすべての構成で 3rd Party UEFI CA のデフォルトオンを強く支持すると述べている。どちらが正解だろうか。

Microsoft は主要な 5 つの Office アプリケーションでインターネットから取得した VBA マクロの実行をデフォルトでブロックする計画を 2 月に発表しているが、計画は取りやめとなり、静かにロールバックを開始したようだ (BleepingComputer の記事、 The Verge の記事、 Neowin の記事、 On MSFT の記事)。

計画中止は当初、Microsoft 365 のメッセージセンターで管理者向けに通知されるのみだったが、2 月に計画を発表したブログ記事では質問に答える形で変更が明らかにされ、記事本文にもその後追記された。Microsoft Docs の記事にも追記されている。内容としてはフィードバックを受けて変更を取り消し、再度提供すべく準備を進めているといったものだ。計画中止に至った具体的なフィードバックの内容には触れられておらず、Microsoft の広報担当者は追加で発表できるような情報はないと BleepingComputer に回答したという。

ただし、デフォルトブロックのロールアウト以降、Office アプリ内で直接マクロを有効化できなくなったため、混乱したユーザーが多かったようだ。VBA マクロは幅広い攻撃に使われており、デフォルトでのブロックはセキュリティ向上につながると評価される一方、コミュニケーション不足も指摘されていた。

読売新聞社は 8 日、読売新聞オンラインの会員情報を管理するシステムへの不正アクセスによる個人情報流出を報告し、謝罪した (不正アクセスによる個人情報流出に関するおわびとご報告)。

不正アクセスは当初 7 月 2 日 ～ 4 日に確認され、4 日には一部会員のパスワード無効化、5 日には特定した発信元の遮断といった対策を発表していた。しかし、その後の調査で 6 月 25 日 ～ 27 日にも行われていたことが判明したという。

この期間内にログインして個人情報 (登録情報) を閲覧する操作が行われた読売 ID は 7,441 件。このうち不正なログインが強く疑われるものが 2,070 件だったとのこと。個人情報には氏名・住所・電話番号・生年月日・性別・メールアドレスが含まれ、クレジットカード情報は含まれない。該当する会員には個別にメールで連絡を始めているほか、情報流出の可能性がある 7,441 件に含まれるかどうかについては特設ページで確認できる。情報流出の可能性があると判定された場合、電話での問い合わせが必要だ。

今回の不正アクセスでは攻撃者が何らかの方法で入手した ID とパスワードを用いてログインしているといい、会員が外部サイトと共通で使用していた ID・パスワードの組み合わせが外部サイトから流出したとみられる。同社は既に個人情報保護委員会に報告し、警視庁にも被害を申告しており、より一層のセキュリティ強化に努めていくとのことだ。

福岡県小竹町の職員が、同町の人事・給与システムに不正にログインし、自身の有給休暇の記録を削除するトラブルが起きていたようだ。この容疑で同町の職員が6日に逮捕されている。不正ログインは人事担当者ら計24人のIDとパスワードを悪用して行われたものだという。産経新聞の報道によれば、容疑者は人事や給与を管理するシステムなどに計637回不正にアクセスしていた。利用されたIDやパスワードには容易に推測できるものもあったことから、町は対策を強化するとしている（産経新聞）。

headless 曰く、

オランダのマーストリヒト大学は 2019 年にランサムウェアの被害にあっているが、このたび支払った身代金を取り返せることになったそうだ (大学のニュース記事、 The Register の記事)。

2019 年 12 月 23 日に発生した大規模なランサムウェア攻撃では Windows マシンのほとんどが影響を受けた。大学は犯罪者に身代金を支払うことに対する倫理的なジレンマに直面し、捜査当局は身代金支払いに賛成しなかったが、学生や研究者などのデータやファイルを復元する必要性から身代金を支払った。

その一方で身代金支払いは容疑者の追跡を可能にし、オランダ検察はウクライナでの捜査の結果、2020 年 2 月に支払われた身代金の一部を含む暗号通貨ワレットを凍結する。凍結した暗号通貨は当時のレートで 4 万ユーロだったが、現在はおよそ 50 万ユーロまで増加しているという。

差し押さえた資金は現在検察の口座に入金されており、法務省が大学への返還に向けた手続きを開始したそうだ。為替の関係で資金は大幅に増加したとはいえ大学の損害額には及ばないが、大学では返還された資金で支援が必要な学生のための基金を作る計画とのことだ。