Microsoft は 7 月 27 日、商用サイバー兵器 Subzero の使用阻止を発表した (Microsoft On the Issues の記事、 Microsoft Security Blog の記事、 The Verge の記事、 Neowin の記事)。

Subzero は Microsoft が KNOTWEED と呼ぶ民間のサイバー攻撃者 (PSOA) グループにより開発・販売されているもので、ゼロデイを含む Windows の脆弱性や Adobe Reader の脆弱性を悪用して攻撃を行う。KNOTWEED の実体はオーストリアのサイバーセキュリティ企業 DSIRF とみられ、攻撃の対象はオーストリアや英国、パナマの法律事務所・銀行・コンサルタント会社が確認されているという。

サイバー傭兵とも呼ばれる PSOA はさまざまなビジネスモデルでハッキングツールやサービスを提供する。最も一般的なビジネスモデルは購入者自らサイバー攻撃を実行可能なハッキングツールを販売する access-as-a-service と、PSOAがサイバー攻撃を実行する hack-for-hire の 2 種類。KNOTWEED は両方のビジネスモデルを用いているそうだ。Microsoft では攻撃を阻止するため脆弱性の修正とマルウェアのシグニチャを発行したほか、米下院の情報委員会に証言書 (PDF) を提出したとのことだ。

イスラエルのサイバーセキュリティ企業Cymulateによると、サイバー攻撃を経験した企業の多くは、複数回被害に遭うことが多いのだという（Cymulateのレポート、ITmedia）。

Cymulateは2022年4月に世界のIT、金融、政府機関など幅広い業種のセキュリティ担当者858人を対象に調査をおこなったところ、過去1年の間にサイバー攻撃に遭ったことがあるという回答は40％におよんだそうだ。そのうち分の2に当たる67％が2回以上の被害に遭っていたという。また1年間に10回以上の攻撃を経験したという回答も10％ほどあったそうだ。攻撃方法としてはマルウェアが55％と最多で、次いでランサムウェアが40％、DDoS攻撃が32％の順だった。

記事では被害企業は1度攻撃されても対策が進まず、簡単に食い物にできるとみられているのではないかとしている。

ネット仕手株として話題となった米ゲームソフト小売大手「GameStop」が、7月11日からNFTマーケットプレイス『GameStop NFT』のベータ版を公開している。サービス公開からわずか2日間で約3,167ETH（約383万ドル）に達したとの報告もあるようだ。しかし公開されているNFTの中には悪質なものも含まれているようで、その一つとして炎上しているのが「Falling Man」と呼ばれるアートワーク（Engadget）。

このNFTはアメリカ同時多発テロ事件（9.11）当時、ビルから落ちる男性を撮影した写真を元に作られたものとみられている。販売されたNFTの説明には、ロシアの宇宙ステーション・ミールから落下したものとの説明書きがあったようだ。この作品の制作者は、2種類のバージョンの「Falling Man」を販売していたとされ、事故で亡くなった人の最後の瞬間を利益化しようとしたとして炎上したようだ。

このNFTに関しては現在は販売リストから削除された模様。GameStop側は公式のコメントを出していないようだが、個人への返答として「このNFTは、マーケットプレイスから完全に削除された。作者はマイニング機能をすでに削除しており、NFT販売などの行為に関して現在直接連絡を取り合っている」とするコメントを返していた模様。

マインクラフトの開発元であるMojangは20日、「マインクラフトとNFTの統合を認めない」とする内容の声明を発表した。Mojangはマインクラフト上のコンテンツは、コミュニティの誰でもアクセスできる必要があるとし、NFTに紐付くことで限られた人しかアクセスできない仕組みはマインクラフトの精神に反するとしている（MINECRAFT公式による声明、GIGAZINE、AUTOMATON、CNET）。

AUTOMATONの記事によれば、年初にマインクラフトの非公式NFTプロジェクト「Blockverse」が多額詐欺の疑いをかけられた騒動があったことも今回の禁止の決定に影響しているのではないかとしている。

headless 曰く、

Microsoft の David Weston 氏は 21 日、Windows 11 Insider Preview でアカウントロックアウトのポリシーをデフォルト有効にしていたことを明らかにした (Weston 氏のツイート、 Ghacks の記事、 BetaNews の記事、 Softpedia の記事)。

アカウントロックアウトのポリシー有効化は、リモートデスクトッププロトコルを通じたものも含め、パスワード総当たりによるログイン試行を困難にするものだ。現在、Dev チャネルのデフォルトでは 10 分以内に連続で 10 回ログオンに失敗すると、管理者アカウントを含めて 10 分間ロックアウトされる設定となっている。設定はグループポリシーの「ローカル コンピューター ポリシー \ コンピューターの構成 \ Windows の設定 \ セキュリティの設定 \ アカウント ポリシー \ アカウント ロックアウトのポリシー」で確認・設定できる。

なお、Weston氏 はビルド 22528.1000 で変更が導入されたと説明しているが、このビルドはどのチャネルでもリリースされていない。また、現在のビルドは Beta チャネル・Dev チャネルともにこれより新しいビルドとなるが、手元の環境で有効になっていたのは Dev チャネルのビルドのみだった。Twitter でも 22528.1000 以降のビルドで有効になっていないというコメントが見られる。ただし、Weston 氏によると Windows 10 にもバックポートするとのことなので、Beta チャネル (Windows 11 バージョン 22H2) にも今後適用される可能性がある。

窓の杜の記事によると、ISO標準のファイル形式であるオープンドキュメント形式で作られたマルウェアが発見されたそうだ。確認されたマルウェアはテキスト文書（ODT）の体裁をとっており、開いてしまうと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが表示される。ユーザーが［はい］ボタンを押してしまうと「Excel」が起動、今度はマクロを有効にするかを問うダイアログが表示される。さらにマクロを有効にすると、「AsyncRAT」と呼ばれるマルウェアが実行されるとしている（窓の杜）。

Google Playではアプリの権限セクションの廃止が強い反発を受けていたが、結局復活することになったそうだ (Android Developers のツイート、 Android Police の記事、 The Verge の記事、 Ars Technica の記事)。

Google Play ではアプリ開発者の自己申告による「データセーフティ」が導入されているが、7 月 20 日の新規・更新アプリに対する申告義務付け開始を前にアプリの権限セクションが削除された。しかし、データセーフティセクションではアプリが収集するユーザーデータなどを確認できるものの、具体的な権限を確認することはできないため、ユーザーによる安全確認が難しくなるなどと批判されていた。これに対し、 Google の Android Developers 公式 Twitter アカウントはアプリの権限セクションがユーザーにとって有用なことを確認したなどとして、近いうちに復活させる計画を示した。

Atlassian の Questions for Confluence アプリでハードコードされた認証情報使用の脆弱性が確認されたそうだ (セキュリティアドバイザリー、 Jira、 Neowin の記事、 CVE-2022-26138)。

Questions for Confluence はコラボレーションツール Confluence に Q&A 機能を追加するアプリ。脆弱性のあるバージョン (2.7.34 / 2.7.35 / 3.0.2) を Confluence Server または Data Center で有効にすると、パスワードがハードコードされた「disabledsystemuser」という名前のユーザーを confluence-users グループに作成するという。そのため、ハードコードされたパスワードを知るリモートの攻撃者は、これを悪用してログインし、confluence-users グループのユーザーのアクセスが認められたすべての情報へアクセス可能になる。

脆弱性はバージョン 2.7.38 / 3.0.5 で修正されており、アップデートすればアカウント disabledsystemuser が作成されなくなるほか、作成済みの場合は削除される。ただし、Confluence が Atlassian Crowd など読み取り専用の外部ディレクトリを使用する構成になっている場合、外部ディレクトリからユーザーを手作業で削除する必要があるとのことだ。

Microsoft は 20 日、Microsoft Office によるインターネットから取得した VBA マクロのデフォルトブロック再開計画を発表した (Microsoft 365 Blog の記事、 Neowin の記事)。

マクロのデフォルトブロック計画は 2 月に発表され、4 月 12 日に最新チャネル (プレビュー)、6 月 6 日に最新チャネルでロールアウトを開始した。7 月には月次エンタープライズチャネルでのロールアウト開始も予定していたが、7 月 8 日に一時ロールバックを発表。最新チャネル (プレビュー) 以外ではロールバックし、提供時期未定に変更された。

一時ロールバックにあたり、Microsoft はフィードバックを受けて変更を取り消し、再度提供すべく準備を進めるといった説明をしていた。再開にあたってはフィードバックを確認した結果、異なるシナリオでどのようなオプションがあるのかの説明をエンドユーザー向けドキュメント・ITプロフェッショナル向けドキュメントの両方で明確化したとのこと。提供再開のスケジュールが示されているのは現在のところ最新チャネルのみで、7 月 27 日ロールアウト開始となっている。

GIGAZINEの記事によると、一部のIntel製CPU内部のマイクロコードを抽出可能なソフトウェアが公開されたそうだ。このソフトウェア「MicrocodeDecryptor」は、研究者のMaxim Goryachy氏、Mark Ermolov氏、Dmitry Sklyarov氏らによって開発されたものだという。Goryachy氏によると、Intel製CPUの脆弱性の一つである「Red Unlock」を利用し、バッグモードをアクティブにすることでマイクロコードを抽出できるようになったとしている。開発チームはApollo Lake世代とGemini Lake世代の復号化キーを取得することに成功したとしている（Github、GIGAZINE）。

headless 曰く、

SATA ケーブルをアンテナとして用い、エアギャップ環境からデータを盗み出す手法「SATAn」をイスラエル・ベングリオン大学の Mordechai Guri 氏が発表した (論文アブストラクト、 論文: PDF、 Neowin の記事)。

インターネットから隔離されたエアギャップ環境でもマルウェアの攻撃に対して無敵ではなく、2010 年の Stuxnet をはじめとして被害が繰り返し報じられている。ただし、エアギャップ環境ではマルウェアの侵入に成功してもデータを外部に送信できない。Guri 氏はこのような環境でデータを外部に送信するさまざまな手法を開発しており、SATA ケーブルはその最新の手法となる。今回の実験で使われたのは SATA 3.0 インターフェイスとケーブルの組み合わせだ。

SATA 3.0 ケーブルからは 1 GHz ～ 6 GHz のさまざまな周波数帯域の電磁波が発せられるが、データ転送との強い相関関係がみられたのは 5.9995 GHz ～ 5.9996 GHz の範囲だったという。そのため、マルウェアがファイルシステムアクセスを継続的に実行するシェルコードを用いて発生させた電波に変調・符号化したデータを乗せて送信し、ソフトウェア無線 (SDR) 受信機を搭載したノート PC などで 5.9 GHz ～ 6 GHz の周波数帯域を受信して復調すればデータが得られる。

SATA インターフェイスは多くの PC が搭載しており、データ送信に特別な権限を必要としない。仮想マシン上で実行することも可能だ。このような攻撃を防ぐためには、多層のセキュリティにより最初の侵入を防ぐこと、エアギャップ環境の近くで無線受信機の使用を禁ずることが挙げられている。あまり現実的ではないが、電波の検出やジャミングといった手法も挙げられている。

headless 曰く、

Google Play でアプリのデータセーフティ表示が義務付けられるのを前に、アプリの権限セクションが削除された (9to5Google の記事、 Ars Technica の記事、 Blue Space のブログ記事)。

データセーフティ表示は Apple が 2020 年末に導入した App Store のプライバシー方針情報表示と同様のもので、開発者の自己申告によりアプリが収集または共有するユーザーデータやプライバシー・セキュリティの方針を表示するものだ。Google Play では 4 月から表示が始まっており、7 月 20 日以降は新規アプリと更新アプリで申告が義務付けられる。

アプリの権限セクションは Android の「Play ストア」 アプリおよびウェブ版の Google Play (play.google.com) の両方で削除されている。データセーフティセクションで置き換えるつもりかもしれないが、具体的な権限を確認することはできず、その正確さは App Store と同様に開発者次第となる。

Microsoft が 13 日に Dev チャネルでリリースした Windows 11 Insider Preview ビルド 25158 では、DNS over TLS (DoT) が利用可能になっている (Windows Insider Blog の記事、 Networking Blog の記事)。

DoTを使用するには、「設定」の「ネットワークとインターネット」で「Wi-Fi > ハードウェアのプロパティ」または「イーサネット」を開き、「DNS サーバーの割り当て」の「編集」をクリックする。「DNS 設定の編集」ダイアログボックスが表示されるので「手動」を選び、「IPv4」または「IPv6」をオンにして「優先DNS」にDoTサーバーのIPアドレスを入力する。「保存」をクリックして設定を保存すると、「IPv4 DNS サーバー」または「IPv6 DNS サーバー」に「 (非暗号化)」と表示される。

あとは管理者権限のコマンドプロンプトで netsh コマンドを実行して DoT と暗号化を設定後、ipconfig コマンドで DNS キャッシュをフラッシュすれば完了だ。設定では引き続き「非暗号化」と表示されるが、これは予期した動作とのこと。実際に暗号化が有効になっているかどうかについては、「netsh dns show encryption」コマンドの実行結果で指定した DoT ホストの「自動アップグレード」が「yes」になっていることを確認する必要があるようだ。

Security Affairsによると、ホンダの車両に採用されているリモートキーレスエントリー（RKE: Remote Keyless Entry）システムに、Rolling-PWNと呼ばれる脆弱性（CVE-2021-46145）があることが発見されたそうだ。悪用された場合、勝手に車両のロックが解除されたり、車両が始動されたりする危険性がある模様Rolling PWN、実演動画、GIGAZINE、TECH+、Bleeping Computer）。

最近の自動車のキーレスエントリーシステムは、キーフォブのボタンを押すたびに乱数で一意のローリングコードが生成される。車両側には生成されたコードの時系列をチェックするカウンターがあり、新しいコードを受信するとカウントが増加する仕組み。ただし、誤ってキーフォブを押してしまった場合や、車両が圏外にある場合などのために時系列でないコードも受け付けるようになっているという。

研究者のKevin2600とWesley Li氏は、ホンダ車に使用されているカウンターには、ロックとアンロックコマンドを連続して受けると、カウンターを再同期させる仕組みがあることを見つけ出した。これを悪用すれば無効化したはずの以前のセッションからのコードを受け入れてしまうのだとしている。現在、この問題が確認されているのは以下の車種となっている。

• Civic 2012年型
• X-RV 2018年型
• C-RV 2020年型
• Accord 2020年型
• Odyssey 2020年型
• Inspire 2021年型
• Fit 2022年型
• Civic 2022年型
• VE-1 2022年型
• Breeze 2022年型

ドラッグストアチェーン「サンドラッグ」は11日、同社のECサイトやクーポン配信サイトなどが不正ログインを受け、個人情報、計1万9057件が流出した可能性があると発表した（サンドラッグリリース[PDF]、ITmedia）。

攻撃を受けたとされるのは「サンドラッグ e-shop 本店」および「サンドラッグお客様サイト」。同社の発表によれば「リスト型攻撃」を受けた可能性があるという。7月9日～7月11日の期間に攻撃を受け、氏名・住所・電話番号・メールアドレス・生年月日・購入履歴・現在の保有ポイントなどが流出した可能性があるとしている。またクレジットカード情報に関しても、カード番号の頭6桁と下2桁分が流出した可能性があるとのこと。同社によれば、該当者には11日中に個別にメールで連絡をおこなったとしている。