パスワードに『,』を含めておくと、流出時の被害確率が下がるかもしれない 60
日本語パスワードって最近話題にならないな 部門より
アナウンス:スラドとOSDNは受け入れ先を募集中です。
CVE-2022-40674:同梱の「libexpat」ライブラリにヒープ解放後メモリ利用(use-after-free)。「libexpat」v2.4.7からv2.4.9への更新で解決。
gh-97616:「list *= int」で発生する可能性のあるバッファーオーバーフローを修正。
gh-97612:サンプルスクリプト「get-remote-certificate.py」におけるシェルインジェクション(CVE番号が割り当てられていたが撤回)。
gh-96577:「msilib」におけるバッファーオーバーラン。
ルフトハンザ航空では AirTag の機内持ち込みについて、Twitter ユーザーの質問に回答した公式 Twitter アカウントとメディアの問い合わせに回答した広報担当者の見解が分かれている (9to5Mac の記事、 The Register の記事)。
この件はルフトハンザが預け入れ手荷物に AirTag を入れ (て荷物を追跡す) ることを禁じたという噂が流れ、事実関係を確認しようとした Twitter ユーザーからの質問に端を発する。これに対してルフトハンザ公式アカウント (Mony) は電源の入った AirTag が危険物に区分されるため荷物に入れることを禁じており、電源を切る必要があると回答した。
危険物に区分される理由を尋ねる別のユーザーの返信にルフトハンザ公式アカウント (Ana) は、ICAO (国際民間航空機関) ガイドラインによれば (AirTag のような) 手荷物追跡デバイスが危険物規制の対象になると回答。さらにデバイスが電波を発信する機能を備えることから、預け入れ手荷物に入れる場合は飛行中に電源を切る必要があるため (預け入れ手荷物の追跡には) 使用できないと説明した。
一方、一連のツイートと前後して公開された Airways Magazine の記事ではルフトハンザの回答として、AirTag を禁止しておらず、AirTag を禁止するルフトハンザのガイドラインや規定がないこと、このようなデバイスに対する ICAO の規定は存在するが、ルフトハンザやその他の航空会社には適用されないことを紹介している。
The Points Guy の Ethan Klapper 氏も AirTag の使用が禁じられていないとルフトハンザの広報担当者に言われたとツイートしていたが、一連のツイートの後に公開された The Points Guy の記事はこれに反する内容となる。記事 (Internet Archive のスナップショット) ではルフトハンザ公報の Boris Ogursky 氏のコメントとして、手荷物追跡デバイスが携帯型電子機器に含まれるため ICAO の危険物規制の対象となること、電波を発することから携帯電話やノートPC、タブレットなどと同様に飛行中は電源を切る必要があるといった説明を掲載していた。
しかし、これを覆すコメントが掲載翌日にルフトハンザから送られてきたという。それによれば、ルフトハンザグループでは独自のリスク評価を行い、手荷物追跡デバイスのバッテリー容量や送信電力が非常に小さいことから預け入れ手荷物に入れても危険はないと判断しており、さらにはこのようなデバイスをこれまでに禁じたこともないという。これに伴って記事は大幅に差し替えられ、Ogursky 氏のコメントはすべて削除された (The Points Guy の記事)。
なお、ルフトハンザ公式 Twitter アカウントでは特に訂正のコメントなどは投稿されておらず、ルフトハンザ公式サイトにも情報は出ていないようだ。
Apple と Google の公式アプリストアで Facebook のログイン情報を盗み取ろうとするアプリが今年 400 本以上見つかったとして、Meta がユーザーに注意喚起している (Meta のニュース記事、 The Verge の記事、 Neowin の記事、 9to5Mac の記事)。
これらのアプリは便利なツールや楽しいゲームのふりをしてインストールさせ、実行に必要だとして Facebook へのログインを要求するという。アプリストアでの否定的なレビューを隠すため偽レビューも投稿する。一度ログインを許可してしまうと、攻撃者はアカウントへのフルアクセスが可能となり、友達にメッセージを送ったり、個人情報にアクセスしたりすることも可能になる。
そのため、ソーシャルメディアのログイン情報を要求するアプリは疑ってかかるべきであり、アプリをダウンロードする前に否定的なレビューを含めてアプリの評価を確認すべきであるとのこと。また、約束している機能が本当に提供されるかどうかの確認も必要だ。
悪意あるアプリを万が一ダウンロードしてソーシャルメディアなどのログイン情報を入力してしまった場合、アプリを削除してパスワードをリセットし、2 要素認証 (認証アプリを使用するのが望ましい) やログインアラートを有効化するよう Meta では推奨している。
Meta が発見した悪意あるアプリは Android アプリが 355 本、iOS アプリが 47 本。フォトエディターが 42.6 % と多く、ビジネスアプリ (15.4 %) とスマートフォン活用ツール (14.1 %)、ゲーム (11.7 %)、VPN (11.7 %) が続く。Apple と Google には記事公開前に連絡しており、App Store と Google Play ではすべてのアプリが削除済みとのことだ。
英オックスフォード大学の研究チームは、電磁波干渉(EMI)を利用することで、外部から画像認識システムをだまして存在しないものを見せる攻撃手法を発見したそうだ。発表論文によると、真っ黒であるカメラフレームに文字を浮かび上がらせることもできるという。ターゲットとなるのはCCDイメージセンサー(ITmedia)。ITmediaの記事によると、
任意の入力画像から各画素の輝度を計算して送信する信号を抽出する。次に、抽出した信号を補間して異なるサンプルレートが一致するようにする。最後に、補間した信号を搬送波に変調して無線で送信する。
とのこと。これにより、元記事の上部にある画像のようにバナー画像の文字が読めるレベルの制御ができることが確認されたとしている。
Microsoft が Exchange Server 2013 / 2016 / 2019 に影響する 2 件のゼロデイ脆弱性を公表し、緩和策を紹介している (Microsoft Security Response Center の記事、 Neowin の記事、 Ars Technica の記事、 HackRead の記事)。
2 件の脆弱性は特権昇格の脆弱性 (SSRF 脆弱性) CVE-2022-41040 と、PowerShell を利用したリモートコード実行 (RCE) の脆弱性 CVE-2022-41082 だ。認証された攻撃者は CVE-2022-41040 を悪用することで、リモートから CVE-2022-41082 を引き起こすことができる。
攻撃者は脆弱性のある Exchange Server で認証される必要があるため影響範囲は限定的だが、実際に攻撃が確認されているという。Exchange Online のユーザーは影響を受けない。
Microsoft では脆弱性の修正を緊急に進めているが、現時点で提供時期は未定のようだ。そのため、IIS Manager の URL 書き換えルールで既知の攻撃パターンをブロック対象に指定するという緩和策を紹介しており、この緩和策を適用する PowerShell スクリプトも提供している。また、Microsoft Exchange Emergency Mitigation Serviceを有効にしている顧客の Exchange Server 2016 / 2019 環境では、緩和策が自動で有効になるとのことだ。
三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDF、 CVE-2022-29859 / CVE-2022-33322: PDF、 ITmedia NEWS の記事、 TECH+の記事、 日本経済新聞の記事)。
対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。
20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-29859 は 3 月に修正された amb1_sdk の脆弱性となっている。
先日発生した Uber や Rockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている (ITmedia NEWSの記事、 Yahoo! ニュースの記事)。
Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。
ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。
Fast Company は 9 月 27 日夜、同社のコンテンツ管理システムが不正アクセスを受け、わいせつで人種差別的な 2 通の通知が Apple News のフォロワーに送信されたことを明らかにした(Fast Company の声明、 The Verge の記事、 Neowin の記事、 9to5Mac の記事)。
27 日の不正アクセスは 25 日午後に発生した FastCompany.com への不正アクセスに関連するとみられる。25 日の不正アクセスでも今回と同様のわいせつで人種差別的な表現がホームページ (Internet Archive のスナップショット) やその他のページに表示され、同社は 2 時間ほどサイトを閉鎖して復旧作業を行ったという。
Fast Company は攻撃者による表現が同社の考えに一致するものでなく、このような表現が同社プラットフォームや Apple News で表示されたことに遺憾の意を示し、取り消される前に見てしまった人に謝罪している。現在、FastCompany.com では本件に関する声明のみが表示されるようになっており、問題が解決するまでは閉鎖を続け、ソーシャルメディアチャンネルのみで記事を配信するとのこと。
Apple News は本件を受け、Fast Company のチャンネルを無効化したと発表している。攻撃者によるメッセージがソーシャルメディアや公式サイトに表示されることは多いが、Apple News を通じて表示されたのは初とみられるとのことだ。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家