LastPass は 25 日、開発環境の一部が不正アクセスの被害にあったことを公表した (The LastPass Blog の記事、 Neowin の記事、 Ghacks の記事、 HackRead の記事)。

不正アクセスが発覚したのは 2 週間前。LastPass 開発環境の一部で異常な活動を検知して調査したところ、開発者アカウントの一つが侵害され、このアカウントを通じて不正アクセスが行われていたことが判明したという。これにより、侵入者がソースコードの一部とプロプライエタリな LastPass の技術情報の一部を取得したとみられる。

LastPass では既に侵入を防ぐ対策を行っており、サイバーセキュリティ・フォレンジック企業に依頼して調査を進めているとのこと。今後のためにさらなる緩和策の導入も検討しているそうだ。なお、顧客のデータにアクセスされた痕跡はなく、現時点でユーザーは何もする必要がないとのことだ。

イスラエル・ベングリオン大学の Mordechai Guri 氏はエアギャップ環境からデータを盗み出すさまざまな手法を考案しているが、このたび新たな 2 つの手法を相次いで発表した (論文 [1]、 [2]、 The Register の記事、 HackRead の記事)。

論文 [1] はエアギャップ環境のコンピューターでマルウェアが盗み出したデータを非可聴帯域の音声に乗せて再生し、マルウェアを感染させたスマートフォンのジャイロスコープを通じてデータを読み取らせる「GAIROSCOPE」という手法に関するものだ。非可聴帯域の音声の乗せたデータをスマートフォンのマイクを通じて読み取らせる方法は既に研究されているが、Android OS でも iOS でもマイク使用は厳しく制限されており、マルウェアを感染させてもマイクにはアクセスできない可能性がある。一方、ジャイロスコープは安全なセンサーとみなされており、常に問題なく使用できる。

論文では 18 kHz 以上の MEMS ジャイロスコープ共鳴周波数を用い、最大 8 ビット / 秒でデータを送信可能なことを示している。対策としては音声に反応しないようジャイロスコープをカバーする方法や、ガス型や光学式といった音声に反応しない非機械式ジャイロスコープを使用する方法が挙げられている。ただし、ジャイロスコープの種類でスマートフォンを選ぶことは難しく、根本的にはエアギャップ環境のコンピューター側でオーディオ出力を無効化するしかないだろう。

論文 [2] はマルウェアが盗み出したデータをエンコードしてネットワークカード (NIC) の LED を点滅させ、カメラで読み取ってデコードする「ETHERLED」という手法に関するものだ。この手法ではエアギャップ環境のコンピューターだけでなく、同じネットワークに接続されたプリンターやネットワークカメラ、サーバーなどネットワークインジケーター LED を搭載する機器を通じてデータを送信できる。

到達距離は LED の点滅を読み取るカメラの性能次第となり、100 m を超える距離で読み取ることも可能だという。転送速度は最高 100 ビット / 秒に達し、モールス符号で送信する場合は短点の点灯時間が 0.3 秒なら 4 WPM、0.03 秒なら 40 WPM となる。対策としては見える範囲でのカメラの使用制限や LED を覆う・取り外す、NIC のファームウェア改造による LED 点滅速度の一定化などが挙げられている。

ストリーミングメディアプラットフォームの Plex がユーザー全員にパスワード変更を要請している (Plex フォーラムでのアナウンス、 HackRead の記事、 Ars Technica の記事、 The Register の記事)。

Plex によれば 22 日にデータベースの一つで怪しい活動が見つかって調査したところ、3,000 万人以上の Plex ユーザーの半数を超える電子メールアドレスとユーザー名、暗号化されたパスワードを含むデータに特定の第三者がアクセス可能な状態にあったことが判明したという。実際の影響範囲は限定的とみられ、アクセスされた可能性のあるパスワードはすべてハッシュ化してベストプラクティスに従っていたものの、念のため全員にパスワード変更を要請するとのこと。この第三者が用いた Plex のシステムにアクセス可能な問題は既に対策済みであり、さらにセキュリティを強化すべく追加の調査を進めているとのことだ。

TikTokのアプリ内ブラウザに、キーロガー的な機能が組み込まれていることが判明して話題となっている。TikTokのiOSアプリでTikTok外のサードパーティWebサイトを開くと、アプリ内Webブラウザが特殊なJavaScriptコードを使い、TikTok側がユーザーのーボード入力や画面のタップ情報を入手できるようにしているのだという。この研究内容はプライバシー研究者のFelix Krause氏が8月19日に公開したもの（Felix Krause氏のレポート、CNET、ITmedia、PHILE WEB、ねとらぼ、GIZMODO）。

このレポートに対しTikTok側は反論をおこなった。曰く、そうした機能がコード内に存在することは認めたものの、TikTokはそれをユーザー追跡に使用していないと主張。指摘されているJavaScriptコードは、ページの読み込み速度やクラッシュするかどうかのチェックなどに使用されているとしている。この反論に対し、ニューヨーク・タイムズ記者がツッコミを入れている。曰く「フェリック氏は入力内容の収集を実施したと主張していない」「収集ができるコードがアプリ内に含まれていると指摘しているのみだ」と指摘している。

あるAnonymous Coward 曰く、

TikTok側は「このコードはデバッグ、トラブルシューティング、パフォーマンス監視にのみ使用されている」とコメントしていますが、故意に収集はしていないというだけで、デバッグ用にキー入力を取っていた可能性は否定していない？

headless 曰く、

多要素認証 (MFA) エンロールの仕組みを悪用し、MFA を有効にした組織のアカウントを攻撃者が入手する手法をセキュリティ企業 Mandiant が解説している (Mandiant のブログ記事、 Neowin の記事、 On MSFT の記事)。

MFA を破る手法の一つに、ユーザー名とパスワードを知る攻撃者が MFA のプッシュ通知を送り続けてユーザーが許可してしまうのを待つという方法が知られるが、Microsoft は一致する数字を入力させることによる対策をロールアウトする計画だ。一方、最近増加傾向のみられる MFA エンロールの仕組みを悪用する手法では、初回ログイン時の MFA エンロールを可能にした組織で作成されたまま使われていない休眠アカウントを狙う。こういったアカウントのユーザー名とパスワードを何らかの方法で入手してログインすれば MFA のエンロールも可能となるというわけだ。

記事ではロシアのハッキンググループ APT29 がパスワード推測攻撃で休眠アカウントにログインしてMFAにエンロールし、Azure AD 認証と MFA で守られた組織の VPN インフラストラクチャーへのアクセスを確保した例を紹介している。このような攻撃を回避するため、MFA デバイスの登録時に信頼されたネットワークの場所やデバイスからのアクセスを必須とする条件付きアクセスや、一時アクセスパスの利用が推奨されるとのことだ。

JR東日本は6月から運転士向けの時刻表を電子化し、タブレット端末に切り替えていたそうだ。ところが同社が21日に発表したところによると、福島県郡山市の水郡線の運転士が、業務用タブレットのパスワードを忘れて時刻表が見られなくなり、普通列車が最大23分遅れ、乗客約60人に影響が出るトラブルがあったという（福島民報、朝日新聞、iPhone Mania）。

福島民報の記事によると、この業務用タブレット端末は、端末の起動やアプリの利用に使うパスワードが複数あり、端末を起動するためのパスワードを運転士が失念してしまったことから起きたトラブルだそうだ。JR側は「パスワードを忘れないようにするなど指導を徹底する」としている。

読売新聞の記事によれば、政府が導入を決定している長射程巡航ミサイルに関して、1000発以上の保有することを検討しているという。現在、日米と中国のミサイル攻撃能力の差には大きな開きが生じている。米国防総省によると、中国は日本を射程に収める地上発射型の中距離弾道ミサイルを約1900発、中距離巡航ミサイルを約300発保有し、北朝鮮も日本を射程に収める弾道ミサイルを数百発ほど配備しているとされる（読売新聞）。

一方の日本は敵基地攻撃能力を保有しない方針だったため、長射程ミサイルを持っていなかった。同盟国である米国も1987年の中距離核戦力（INF）全廃条約に調印して以降、射程500~5500キロメートルの地上発射型ミサイルを保有をしていない（準備中）。

このため陸上自衛隊に配備されている「12式地対艦誘導弾」の射程を現在の百数十キロメートルから1000キロメートル程度に延伸する形で対応する。これにより、北朝鮮や中国沿岸部への攻撃能力を有することになるという。

あるAnonymous Coward 曰く、

＃南鳥島から南西諸島までは3000kmあるので、射程3000kmのミサイルは専守防衛の範囲内

中国の浙江大学とドイツのダルムシュタット工科大学の研究チームは、直接触らずタッチ操作を行う攻撃「GhostTouch」という攻撃手法を開発したという。この攻撃手法は、電磁波を用いて他人のスマートフォンを遠隔操作できるというもので、機器を仕掛けたテーブル上にスマートフォンが伏せて置かれると、そのスマートフォンのスクリーンに直接触れずにタッチ/スライド操作が行えるのたという（USENIX、ITmedia）。

現在のスマートフォンのタッチパネルでは静電容量方式が主流だが、電磁波干渉（EMI）や充電器ノイズなどの環境影響を受けやすい。GhostTouchでは、このEMIを利用して、物理的な接触を伴わない制御可能な偽タッチを発生させるとしている。具体的にはカフェやオフィスなどのテーブルなどにEMI発生装置を仕込み、ターゲットとなるスマホが伏せてテーブルに置かれると攻撃が開始されるという。

headless 曰く、

iOS で VPN 使用時に一部の通信が VPN をバイパスする脆弱性が 2020 年に報告されたが、2 年半近くたった現在も修正されていないようだ (Proton のブログ記事、 Michael Horowitz 氏のブログ記事、 Ars Technica の記事、 The Register の記事)。

この問題は VPN へ接続した際に iOS が既存の接続を再確立せずに維持してしまうことにより発生し、該当の接続は閉じられるまで VPN を経由せず通信することになる。多くの接続は短時間で閉じられるが、中には数時間にわたって維持される接続もある。脆弱性は iOS 13.3.1 以降に存在し、Apple は直接的な修正の代わりにアプリ側から既存の接続を閉じることを可能にするキルスイッチを iOS 14 で追加した。

しかし、最初に問題を報告した Proton VPN によると、キルスイッチを使用しても Apple のサービスによる特定の DNS クエリは VPN の外で送られることが最近のテストで判明したという。状況としては iOS 13.3.1 と変わらず、問題の接続が閉じられるまで VPN 外での通信が続く。この問題は今年 5 月にセキュリティリサーチャーの Michael Horowitz 氏も別途報告していたが、先週 Ars Technica が取り上げたことで再び注目を集めることになった。

Proton は繰り返し Apple に問題を伝えているが、Apple 側は VPN の免除が予期した動作であり、Always On VPN は MDM ソリューションにエンロールしたデバイスでのみ使用可能だと述べているそうだ。そのため、Proton は完全に安全な接続をエンタープライズ向けサービス利用者だけでなく誰もが利用できるようにするよう Apple に求めている。ただし、Proton CEO の Andy Yen 氏は Ars Technica に対し、Apple の対応にあまり期待できないとの考えを示したという。一方、Horowitz 氏は iOS 上の VPN が壊れていると表現し、iOS デバイス上ではなくルーター側で VPN 接続することを推奨している。

英国で偽の Microsoft Office 製品パッケージを送り付けるテクニカルサポート詐欺が確認されたそうだ (Sky News の記事、 Neowin の記事)。

製品パッケージにはマルウェアを含む USB メモリーが入っており、PC に接続するとウイルスが見つかったとしてトールフリーの電話番号に電話するよう指示される。あとは通常のテクニカルサポート詐欺と同様で、指定の電話番号に電話をかけると偽のヘルプデスクがリモートアクセスプログラムを被害者の PC にインストールし、制御を奪う。

今回の被害者はパッケージと USB メモリーを回収したセキュリティコンサルタントの母親の知人で、引退した (高齢の) 男性だ。パッケージは実際の製品のようにも見えるが、Microsoft は偽物と断定して調査を開始したという。いずれにしてもパッケージの用意と郵送にはそれなりの費用がかかっているとみられ、個人をターゲットにした詐欺の手法としては珍しいといえる。

headless 曰く、

先日発生したフィッシング攻撃による Twilio の情報流出で、攻撃者がメッセージングアプリ Signal のユーザーおよそ 1,900 人分の携帯電話番号や SMS 認証コードを取得した可能性があるそうだ (Signal Support の記事、 The Verge の記事、 Ars Technica の記事、 The Register の記事)。

Signal は Twilio の電話番号認証サービスを利用しており、攻撃者は Twilio がアクセスをブロックするまでの間、取得した電話番号と SMS 認証コードを用いて別のデバイスへの登録を試みた可能性がある。攻撃者は明示的に 3 ユーザーの電話番号を検索しており、そのうちの一人からアカウントの再登録が行われたとの報告を受けているとのこと。

これを受けて Signal では影響を受けた可能性のあるおよそ 1,900 人分のデバイスを登録解除し、引き続き使用するデバイスでの再登録を求めたほか、SMS での通知も行ったという。再登録の要請は 8 月 15 日に行い、16 日には完了したそうだ。メッセージ履歴や連絡先、ユーザープロファイルなどの情報は読み取られていないが、攻撃者がアカウントの再登録に成功していた場合はそのアカウントからメッセージの送受信が行われた可能性がある。

Signal では Twilio やその他のプロバイダーとセキュリティプラクティスの改善を進めているが、ユーザーが自ら防御する方法として登録ロックの使用を推奨している。

気に入らない相手に動物の糞尿にメッセージを添えて送り付けられるサービス「ShitExpress」が、脆弱性を突かれてデータベースをダウンロードされてしまい、ハッキングフォーラムに一部が公開されてしまったらしい。公開された内容には個人情報のほか「俺の○○の味はどうだった?お前は俺が俺の乱交写真を送る前に俺をブロックしたが……」などのメッセージも含まれていた模様（BleepingComputer、TechnoEdge、GIGAZINE）。

このサービスは日本も利用可能な地域に含まれていたそうだ。犯行は投資アプリであるRobinhoodから700万人分の顧客データを盗んだこともあるハッカーのpompompurinで、ハッキングに至るまではいろいろな経緯があった模様。pompompurinはShitExpressの所有者にハッキングについて連絡したとのこと。なおShitExpressは何事もなかったかのように運営を続けているという。

あるAnonymous Coward 曰く、

匿名だからって変なことはしないよう注意しましょう。

headless 曰く、

Microsoft が延期していた Internet Explorer (IE) と EdgeHTML のTLS 1.0 / 1.1 デフォルト無効化をついに実施するそうだ (Microsoft Edge Blog の記事、 Neowin の記事、 Softpedia の記事)。

メジャーブラウザーは 2018 年 10 月、TLS 1.0 / 1.1 を 2020 年前半にデフォルト無効化する計画を一斉に発表したが、COVID-19 パンデミックの影響で各社それぞれ実施スケジュールを変更している。

Microsoft が再設定したスケジュールでは 2020 年 7 月に Microsoft Edge 84 (Chromiumベース) でデフォルト無効化し、2020 年 9 月に IE とレガシー Edge (EdgeHTML ベース) でデフォルト無効化する計画だった。しかし、予定通り無効化されたのは Chromium Edge のみで、IE とレガシー Edge での無効化はさらに延期された。

今回の計画では 9 月 13 日以降、IE と EdgeHTML で TLS 1.0 / 1.1 をデフォルト無効にする。レガシー Edge は既にサポートが終了しているため無効化計画から除外されたが、EdgeHTML は WebView のレンダリングエンジンとして使われているため対象となっている。

なお、Microsoft では TLS 1.0 / 1.1 をデフォルト無効にするだけで、サポートは終了しない。そのため、必要な場合はグループポリシーやインターネットオプションを使用して再度有効化できる。ただし、Chromium Edge ではバージョン 91 でレガシープロトコルバージョンの有効化を許可するポリシー「SSLVersionMin」が削除されているとのことだ。

AMDのZen 1、Zen 2、またはZen 3コアを使用するCPUで、サイドチャネル攻撃に対する脆弱性が報告されている。CVE IDはCVE-2021-46778で深刻度は中程度（SQUIP: Exploiting the Scheduler Queue Contention Side Channel[PDF]、AMDリリース、WCCF TECH、Tom's Hardware、PC Watch）。

ジョージア工科大学やグラーツ工科大学などの研究者らによって発見されたもので、この脆弱性には「SQUIP（Scheduler Queue Usage via Interference Probing）」という名称が付けられている。この脆弱性は同時マルチスレッディング（SMT）が有効な場合に機能するという。攻撃者がスケジューラキューの競合レベルを測定するサイドチャネル攻撃がおこなった場合、機密情報が漏洩する可能性があるとしている。AMDによれば、この潜在的な脆弱性を緩和するためには、ソフトウェアがシークレットに依存する制御フローを回避する、一定時間のアルゴリズムなどを使うことで軽減できるとしており、関連する案内を開発者向けにおこなっているという。

Googleのレンタルブログサービス「Blogger」で、19年前のブログ記事のリンク先がマルウェアサイトになっているとして記事が非公開化されてしまうという事例があったそうだ。報告をおこなっているのはdiamond geezer氏で、2003年5月に投稿した記事が非公開にされたとのメールが運営から送られてきたという。非公開になった理由として、該当記事がマルウェアやウイルスに関するポリシーに違反したためだとしている（diamond geezer）。

削除された記事は人気テレビ番組に関する話題を集めたいわゆるリンク集だったようだ。同氏はマルウェアやウイルスにリンクした覚えはなく、同氏はかつてリンクしたサイトが消滅し、ドメインの所有者が悪意のあるユーザーに変わってしまったのではないかと推測したようだ。

そこで問題の記事中のリンクをチェックしたところ、31あったリンクのうち12が完全に消失、9サイトは存在しているものの記事自体はなくなっていた。The Guardianからリンクした4サイトは無事だった。しかし6つのサイトがまったく別のWebページに置き換えられていたという。問題が指摘されたのはこのうちの一つだったとしている。同様の問題はほかのBloggerの投稿者も抱えていると思われる。

あるAnonymous Coward 曰く、

「Bloggerが危険コンテンツへの問題を処理しているのは素晴らしいが、多数の記事が将来公開されなくなるリスクがある」