Slack は 4 日、およそ 0.5 % のユーザーにパスワードをリセットしたと通知したそうだ (Slack のブログ記事、 The Register の記事)。

この対応はユーザーがワークスペースの共有招待リンクを作成または取り消すと、ユーザーのパスワードハッシュを他のワークスペースメンバーへ送信するというバグを受けたものだという。ただし、パスワードハッシュが Slack クライアントから見えることはなく、実際に取得するには暗号化されたネットワークトラフィックを監視し続ける必要がある。

このバグは外部のセキュリティリサーチャーが発見して 7 月 17 日に Slack へ通知したもので、Slack は直ちにバグを修正して影響範囲の調査を開始。2017 年 4 月 17 日 ～ 2022 年 7 月 17 日に共有招待リンクを作成または取り消したすべてのユーザーが影響を受けることが判明したとのこと。この問題で誰かが Slack ユーザーのパスワードを平文で取得できたと考える理由はないが、念のため影響を受けるユーザーのパスワードをリセットしたとのことだ。

headless 曰く、

Snap は 9 日、Snapchat のアプリ内に追加する新ツール「ファミリーセンター」を発表した (Snap のブログ記事、 The Verge の記事、 Neowin の記事、 機能紹介動画)。

ファミリーセンターは保護者が子供の行動を把握して子供の安全を保つためのツールだ。オフラインで子供が遊んでいる友達を保護者が知るのと同様に、子供と友達の会話の内容を見ることなく相手を確認できるほか、懸念されるアカウントの報告も可能になるという。

ファミリーセンターを使用するには、保護者が自分のスマートフォンにインストールしたSnapchatアプリで子供を招待すればいい。子供が招待に応じれば、保護者が友達や会話の相手を確認できるようになる。保護者以外でも信頼される25歳以上の家族であれば子供を招待できるという。

ファミリーセンターは今後数週間のうちに利用可能となり、今秋にはコンテンツコントロールなどの機能を追加する予定とのことだ。

headless 曰く、

Twitter は 5 日、システムの脆弱性が悪用され、電話番号や電子メールアドレスに関連付けられた Twitter アカウントが悪意ある人物に知られた可能性があると発表した (Twitter のブログ記事、 The Verge の記事、 BetaNews の記事、 HackRead の記事)。

この脆弱性はログインのフローで電話番号や電子メールアドレスを入力すると、既存の Twitter アカウントに関連付けられている場合はそのアカウントが表示されるというものだ。2021 年 6 月の更新で導入されており、2022 年 1 月に脆弱性報告報奨金プログラムを通じて報告を受けてすぐに修正したという。しかし、7 月になってこの脆弱性を悪用して収集したとみられる 540 万人分のデータが 3 万ドルで販売されていると BleepingComputer に報じられ、データのサンプルを調べたところ悪用が確認されたとのこと。

Twitter は影響が確認されたアカウントの所有者に直接通知しているが、影響を受けたすべてのアカウントを確認することはできないことや、特に仮名を使用している人が国家などの監視対象になっている可能性にも配慮してブログで発表することにしたそうだ。既に仮名のアカウントが知られてしまった場合は新たにアカウントを作成するしかないと思われるが、仮名で活動する場合には一般に知られた電話番号や電子メールアドレスをアカウントに追加しないよう Twitter は推奨している。

Twilio は 7 日、フィッシングで奪われた従業員の認証情報による不正アクセスで少数の顧客に関連する情報が漏洩したことを発表した (Twilio のブログ記事、 The Verge の記事、 HackRead の記事、 The Register の記事)。

フィッシングは SMS でログインの期限切れやスケジュールの変更などを知らせ、偽サイトの偽サインインページに誘導して認証情報を入力させるというもの。偽サイトは「Twilio」「Okta」「SSO」といった単語を組み合わせたドメイン名だったという。このようなフィッシング SMS は従業員や元従業員から報告されており、幅広く送信されていたようだ。発信元は米国の携帯電話キャリアを使用しており、電話番号を含むデータを従業員の名前と一致させる技術も持っているとみられる。

Twilio では同様のフィッシング攻撃を受けた他社とも協力して携帯電話キャリアに送信を止めるよう働きかけたほか、レジストラントやホスティングプロバイダーに偽サイトを停止するよう働きかけたが、攻撃はキャリアやホスティングプロバイダーなどを切り替えて続けられた。そのため、攻撃者は組織化されて高度な技術を持っていると考えられるとのこと。

Twilio が不正アクセスに気付いたのは 8 月 4 日。セキュリティチームが問題確認後に侵害された従業員のアカウントからのアクセスを無効化し、フォレンジック企業にも調査への協力を依頼したという。データにアクセスされた顧客には個別に連絡しており、Twilio から連絡がない限りは影響なしと考えていいようだ。日本では KDDI ウェブコミュニケーションズが Twilio の代理店となっているが、8 月 9 日 10 時 30 分時点の調査の結果では同社を通じて契約したアカウントに影響を受けたものはないそうだ。

なお、Cloudflareも同様の攻撃を受けて従業員がフィッシングに引っかかったが、同社は全従業員に物理的なセキュリティキーを発行しており、アプリケーションへのアクセス時に必須としていたことで難を逃れたとのことだ (The Cloudflare Blog の記事)。

Microsoft は 5 日、Microsoft Edge バージョン 104.0.1293.47 を Stable チャネルでリリースした (リリースノート、 Microsoft Edge でより安全に閲覧する、 The Register の記事、 Windows Central の記事)。

本バージョンでは「強化されたセキュリティ」モードの既定のオプションとして「基本」が追加されており、JavaScript の JIT コンパイル無効化といった追加の防御機能がアクセスの少ないサイトにのみ適用される。従来の規定のオプションであった「バランス」とは異なり、ユーザーのアクセス頻度は考慮されない。これにより、一般に人気の高いサイトが影響を受けることはなく利用できるとのこと。

なお、強化されたセキュリティモード自体は既定でオフになっている。使用するには Edge の設定画面で「プライバシー、検索、サービス」にある「Web 上のセキュリティを強化する」をオンにすればいい。

このほか、本バージョンでは最初の実行エクスペリエンスで Chrome を使用せず、Google アカウントにログインして Chrome のデータをインポートできるようになっているとのことだ。

政府は長射程ミサイルとして開発中の地対艦ミサイルに関して、開発完了前でも一定の性能を獲得できた段階で導入する「アジャイル開発」を用いて、配備の時期を前倒しする方針を固めたそうだ。12式地対艦誘導弾の改良型がそれにあたり、計画では12式の約200キロを大きく上回る900~1500キロの射程延長を目標としている。政府は従来は26年度以降の量産・配備開始を目指していたが、23年度以降に前倒しすることを目指すとしている（毎日新聞、Yahoo!ニュース）。

あるAnonymous Coward 曰く、

開発完了を待たず100%の性能が得られなくても実戦配備をおこなってアジャイル化・スパイラル開発をおこなうそうです

＃射程1500kmの対艦ミサイルを対地攻撃に転用すれば日本列島からソウル、ピョンヤン、台北、北京、南京、ウラジオストックに届く

米国で韓国車の盗難が大幅に増加しているそうだ。原因はTikTok上でトレンドとなった「起亜チャレンジ」で、韓国の起亜自動車と現代自動車の一部車種の盗難が増加しているという（NextShark、News4JAXの動画、かいこれ！）。

両社の自動車にUSBケーブルまたは電話充電器を使用することで簡単に車を始動することができるバグがあることが発覚、この手法がSNSで拡散したことにより、韓国車の盗難件数が全米で急上昇したようだ。米国のルイビルメトロ警察署の発表によれば、7月1日から7月25日までの間に52台の車両が盗難されたという。この52台は起亜と現代製のものが半々であるとのこと。

headless 曰く、

VirusTotal の報告書「Deception at scale: How malware abuses trust」によれば、似せたアイコンを使用するマルウェアが多い正規アプリトップ 3 は Skype と Adobe Acrobat、VLC だったそうだ (VirusTotal Blog の記事、 HackRead の記事)。

調査はダウンロード回数の多い正規の Windows アプリケーション 25 本に似せたアイコンを使用するサンプルが対象だ。マルウェアとして判定されたサンプルに占める割合でみると、Skype (28.0 %)・Adobe Acrobat (18.2 %)・VLC (17.6 %) の 3 本で 63.8 % を占め、7zip (11.5 %)・Team Viewer (7.5 %)・CCleaner (5.6 %) を含めると 88.4 % にのぼる。

一方、正規アプリと似たアイコンのサンプルに占めるマルウェアの割合が高いのは Adobe Acrobat・Skype・7zip の 3 本で、いずれも 75 % 以上がマルウェアだったという。具体的な数字は記載されていないが、Adobe Acrobat と似たアイコンのサンプルでは 90 % 以上がマルウェアだったようだ。

福岡県太宰府市で外部から店舗の無線LANに侵入し、プリンターでエロ画像など約100枚を印刷されたという事件が発生したそうだ。この事件で福岡県大野城市在住の45歳の男が業務を妨害した疑いで書類送検されたという。容疑者は動機に関して「数年前から勉強したネットの知識を試すため、いたずら目的でやった」などと述べているという。男は2020年12月以降、脆弱な他人のネットワークを探して100回以上にわたり侵入を試みていたとされる（読売新聞、テレビ西日本）。

headless 曰く、

Microsoft が 7 月の月例更新に合わせて公開したサポートドキュメント (KB5017259) が今になって注目されている (Neowin の記事、 Softpedia の記事、 The Register の記事)。

KB5017259 は Windows 11 / Server 2022 でサポートされる最新の CPU を搭載したデバイスでデータ破損が発生しやすいというものだ。具体的には最新の VAES インストラクションセット (AES-XTS または AES-GCM) をサポートするデバイスが対象となる。Neowin によれば、Intel では第 10 世代の Ice Lake 以降、AMD では ZEN 3 アーキテクチャーの Ryzen 5000 シリーズ以降が影響を受けるとのこと。

問題は 5 月 24 日リリースの累積更新プログラムのプレビュー (リリース C) および 6 月の月例更新で修正されているが、AES ベースの操作に 2 倍の時間がかかるようになり、BitLocker や TLS、ディスクのスループットでパフォーマンス低下が発生する可能性があるという。

パフォーマンス低下の問題は 6 月 23 日リリースの累積更新プログラムのプレビューおよび 7 月の月例更新で修正されているとのことで、最新の累積更新プログラム適用が推奨される。

フィッシング対策協議会は3日、2022年7月に同協議会に寄せられたフィッシング報告件数 (海外含む) は、前月より1万9698件増加し、10万7948件となったと発表した。発表によれば、「クレジットカードの利用確認を装うフィッシング」の報告が急増、特にVISA、マスターカード、JCBをかたるメール文面が多くみられたという。以前からフィッシング報告の多かった Amazon、三井住友カードをかたるものと合わせると全体の約73.2％を占めるとしている（フィッシング対策協議会）。

フィッシングURL数に関しては、6月と比較して約1.8倍と急増している。ショートメッセージ (SMS) から誘導されるフィッシングでは、宅配便関連の不在通知を装うものや、Appleをかたる内容、モバイルキャリア、Amazon、Yahoo! JAPANをかたる文面のものが多かったとしている。

以前からSNSに上げられた写真等からアップした人物の活動範囲や居住場所が特定されてしまうことが問題となっている（関連過去記事、関連その2）が、テレ朝NEWSの記事によると、Twitterなどでは特定の個人の住所特定などを目的とした「特定屋」も数多く存在するという（テレ朝NEWS）。

記事によれば、1人5000円とかiTunesカードといった報酬で活動を行っているという。最近のスマートフォンで撮れる写真は解像度も高いことから、背景の電柱に書かれている地域名などを読み取るのも難しくないとしている。またこの電線の影などから大体の撮影時刻が分かるともしている。

headless 曰く、

Microsoft Teams がセキュアな電子メール Tutanota の電子メールアドレスによる登録をブロックしているそうだ (Tutanota のブログ記事、 HackRead の記事)。

Microsoft Teams のアカウント作成時に Tutanota ドメイン (tutanota.de) の電子メールアドレスを入力すると、アドレスが組織のディレクトリに追加されていないと表示され、管理者に連絡するか、別の電子メールアドレスを入力するか促されるという。つまり、tutanota.de が電子メールサービスのドメインではなく、組織のドメインと誤認識されているとみられる。そのため、Microsoft が Tutanota のドメインを電子メールサービスとして扱うよう修正すれば解決とみられるが、Microsoft は修正が不可能だと述べ、Tutanota 側の度重なる要請を無視しているとのこと。このような Microsoft の対応に、市場支配力をもって小規模な競合他社を害するものだなどと Tutanota は批判し、巨大テクノロジー企業を規制する法律の必要性を示す好例だなどと述べている。

大阪・堺市の市営プールのスライダーで利用者がけがをするケースが連続で4件発生したそうだ。場所は堺市南区の市営「原山公園プール」で、該当施設は全長およそ120メートルのスライダー。7月3日から10日にかけて、40代の男性3人、小学6年生の男の子のあわせて4人が顔の左眉の部分に打撲したり出血したりするけがをしたとしている。施設やメーカーの点検では異常はなかったが現在はスライダーの利用を停止している（堺市プレスリリース[PDF]、朝日新聞、NHK）。

記事によれば、高低差がおよそ60センチある傾斜の部分でバランスを崩し顔を側壁にぶつけたという。同施設は2020年に設置されたが、コロナ禍の影響もあって実際の運用が開始されたのは今年の7月1日になってからだとしている。

AV-TEST の公式 Twitter アカウント (@avtestorg) が乗っ取られ、回復までに 1 週間を要したそうだ (PCMag の記事、 Neowin の記事)。

AV-TEST CEO の Andreas Marx 氏によると、アカウントがハックされたのは 7 月 25 日。10 分ほどのちによく知られたセキュリティリサーチャーが WhatsApp で異変を知らせてきたのをはじめとして、次々に通知が届いたという。

Marx 氏は Twitter にログインしようとしたが既に利用できなくなっており、Twitter からはロシア語の電子メールでパスワード変更や電子メールアドレス変更の通知が届く。ドイツ人の Marx 氏はドイツ語で Twitter を使用しており、攻撃者はアカウントへのアクセスを獲得後、言語変更を行ってからパスワードや電子メールアドレスを変更したとみられる。

Marx 氏はすぐに Twitter サポートへ連絡したが、乗っ取られたアカウントが明らかなスパム投稿に使われているにもかかわらず、Twitter 側の反応は鈍い。2 日待っても応答はなく、ドイツ語のツイートに使用している別アカウント (@avtestde) でも @TwitterSupport に呼び掛けているが、少なくともさらに 2 日間は反応がなかったようだ。

Twitter アカウントは強いパスワードを使い、2 要素認証も有効にしていたため、Marx 氏はセッションの乗っ取りによるアカウント乗っ取りとみているそうだ。しかし、電子メールアカウント変更で 2 要素認証が行われなかった理由は不明だ。また、電子メールアカウント変更時の元のアカウントへの通知では新しい電子メールアドレスが一部非表示となっており、元のアカウント側での確認処理は不要だったという。そのため、これらの点は Twitter のセキュリティ上の弱点だと Marx 氏は指摘している。