マルウェアの情報サイトvx-undergroundがTwitterで、パスワードにはコンマを入れておけば、漏洩した資格情報がCSVにダンプされたときにぶっ壊れるからいいよ、とするツイートをして話題となっている。日本語に訳してツイートした新山祐介さんのツイートのレスには「なるほど。「この行を削除したら動く!」みたいな感じで削除される確率も増えるといった納得できる意見も出ている。このほかにも、カンマだけ入れるより「 ,"'--\\\n 」くらい入れるともうちょい防御力上がるのではといったコメントもついている。もっともこの手の文字はパスワードには使えない事例も多いので実用性があるかは議論の余地がありそうだ（vx-underground、新山祐介さんのツイート、Togetter）。

スクリプト言語「Python」のセキュリティアップデートが、10月11日に公開された（Python Insider、窓の杜）。「Python 3.10.8」は定例のリリース扱いだが、他のバージョンでもいくつかの修正があったため、v3.10.8、v3.9.15、v3.8.15、v3.7.15の4バージョン同時のリリースとなった。なおタレコミがされた時点ではx64用は公開されていなかったが、現時点では利用可能となっている。今回修正された脆弱性は次の通りとなっている。

あるAnonymous Coward 曰く、

CVE-2022-40674：同梱の「libexpat」ライブラリにヒープ解放後メモリ利用（use-after-free）。「libexpat」v2.4.7からv2.4.9への更新で解決。
gh-97616：「list *= int」で発生する可能性のあるバッファーオーバーフローを修正。
gh-97612：サンプルスクリプト「get-remote-certificate.py」におけるシェルインジェクション（CVE番号が割り当てられていたが撤回）。
gh-96577：「msilib」におけるバッファーオーバーラン。

headless 曰く、

ルフトハンザ航空では AirTag の機内持ち込みについて、Twitter ユーザーの質問に回答した公式 Twitter アカウントとメディアの問い合わせに回答した広報担当者の見解が分かれている (9to5Mac の記事、 The Register の記事)。

この件はルフトハンザが預け入れ手荷物に AirTag を入れ (て荷物を追跡す) ることを禁じたという噂が流れ、事実関係を確認しようとした Twitter ユーザーからの質問に端を発する。これに対してルフトハンザ公式アカウント (Mony) は電源の入った AirTag が危険物に区分されるため荷物に入れることを禁じており、電源を切る必要があると回答した。

危険物に区分される理由を尋ねる別のユーザーの返信にルフトハンザ公式アカウント (Ana) は、ICAO (国際民間航空機関) ガイドラインによれば (AirTag のような) 手荷物追跡デバイスが危険物規制の対象になると回答。さらにデバイスが電波を発信する機能を備えることから、預け入れ手荷物に入れる場合は飛行中に電源を切る必要があるため (預け入れ手荷物の追跡には) 使用できないと説明した。

一方、一連のツイートと前後して公開された Airways Magazine の記事ではルフトハンザの回答として、AirTag を禁止しておらず、AirTag を禁止するルフトハンザのガイドラインや規定がないこと、このようなデバイスに対する ICAO の規定は存在するが、ルフトハンザやその他の航空会社には適用されないことを紹介している。

The Points Guy の Ethan Klapper 氏も AirTag の使用が禁じられていないとルフトハンザの広報担当者に言われたとツイートしていたが、一連のツイートの後に公開された The Points Guy の記事はこれに反する内容となる。記事 (Internet Archive のスナップショット) ではルフトハンザ公報の Boris Ogursky 氏のコメントとして、手荷物追跡デバイスが携帯型電子機器に含まれるため ICAO の危険物規制の対象となること、電波を発することから携帯電話やノートPC、タブレットなどと同様に飛行中は電源を切る必要があるといった説明を掲載していた。

しかし、これを覆すコメントが掲載翌日にルフトハンザから送られてきたという。それによれば、ルフトハンザグループでは独自のリスク評価を行い、手荷物追跡デバイスのバッテリー容量や送信電力が非常に小さいことから預け入れ手荷物に入れても危険はないと判断しており、さらにはこのようなデバイスをこれまでに禁じたこともないという。これに伴って記事は大幅に差し替えられ、Ogursky 氏のコメントはすべて削除された (The Points Guy の記事)。

なお、ルフトハンザ公式 Twitter アカウントでは特に訂正のコメントなどは投稿されておらず、ルフトハンザ公式サイトにも情報は出ていないようだ。

headless 曰く、

Apple と Google の公式アプリストアで Facebook のログイン情報を盗み取ろうとするアプリが今年 400 本以上見つかったとして、Meta がユーザーに注意喚起している (Meta のニュース記事、 The Verge の記事、 Neowin の記事、 9to5Mac の記事)。

これらのアプリは便利なツールや楽しいゲームのふりをしてインストールさせ、実行に必要だとして Facebook へのログインを要求するという。アプリストアでの否定的なレビューを隠すため偽レビューも投稿する。一度ログインを許可してしまうと、攻撃者はアカウントへのフルアクセスが可能となり、友達にメッセージを送ったり、個人情報にアクセスしたりすることも可能になる。

そのため、ソーシャルメディアのログイン情報を要求するアプリは疑ってかかるべきであり、アプリをダウンロードする前に否定的なレビューを含めてアプリの評価を確認すべきであるとのこと。また、約束している機能が本当に提供されるかどうかの確認も必要だ。

悪意あるアプリを万が一ダウンロードしてソーシャルメディアなどのログイン情報を入力してしまった場合、アプリを削除してパスワードをリセットし、2 要素認証 (認証アプリを使用するのが望ましい) やログインアラートを有効化するよう Meta では推奨している。

Meta が発見した悪意あるアプリは Android アプリが 355 本、iOS アプリが 47 本。フォトエディターが 42.6 % と多く、ビジネスアプリ (15.4 %) とスマートフォン活用ツール (14.1 %)、ゲーム (11.7 %)、VPN (11.7 %) が続く。Apple と Google には記事公開前に連絡しており、App Store と Google Play ではすべてのアプリが削除済みとのことだ。

Avast の DLL による Windows 版 Firefox のクラッシュが多数報告され、Mozilla が DLL をブロックする処置を行った (Bug 1794064、 Ghacks の記事)。

問題の DLL は aswjsflt.dll / aswjsflt64.dll で、JavaScript をブロックするフィルターライブラリのようだ。バージョン 18.0.1477.0 では問題が解消されているとみられることから、バージョン 18.0.1473.0 までのバージョンを対象にブロックしたとのこと。

修正済みの Firefox 105.0.3 は 7 日にリリースチャネルで公開された。リリースノートでは修正点として Avast または AVG のアンチウイルスソフトウェアをインストールした Windows ユーザーのクラッシュ頻発を緩和すると説明している。

IKEA の TRÅDFRI (トロードフリ) シリーズ スマートホーム製品 2 点で脆弱性が見つかり、発見者の Synopsys Cybersecurity Research Center (CyRC) が詳細を報告している (The Register の記事)。

CVE-2022-39064 はスマート電球 (LED1732G11) の脆弱性。不正な IEEE 802.15.4 (Zigbee) フレームを 1 回送ると電球が点滅を始め、同じフレームの送信を複数回繰り返すとファクトリーリセットが実行されてしまうという。これにより電球は Zigbee ネットワークに関する設定情報や輝度設定を失い、最大輝度で点灯するほか、ユーザーはアプリやリモコンでの操作ができなくなる。

CVE-2022-39065 はすべての IKEA Home Smart 製品をアプリから操作可能にするゲートウェイデバイス (E1526) の脆弱性。こちらは不正な Zigbee フレームを 1 回送ることでゲートウェイが応答しなくなり、接続したデバイスをアプリやリモコンで操作できなくなるというものだ。

不正な Zigbee フレームはいずれも認証のないブロードキャストメッセージであり、電波の届く範囲内の脆弱なデバイスすべてに影響する。電球はネットワーク設定をやり直せば再び使用可能になり、ゲートウェイは電源を入れなおすことで再び使用可能になるが、攻撃者は同じ攻撃をいつでも再び実行できる。

CyRC ではこれらの脆弱性を昨年 6 月に報告しており、今年 6 月には IKEA が修正ソフトウェアをリリースしている。ゲートウェイはソフトウェアをバージョン 1.19.26 以降に更新することで脆弱性が修正されるが、電球用の修正を含むソフトウェアバージョン V-2.3.091 では一部の不正フレームにのみ対応しており、完全には修正されないとのこと。

なお、IKEA ウェブサイトの製品情報にはこれらの製品型番が記載されておらず、商品番号はまったく異なる形式なので対象製品の特定は困難だが、LED1732G11 はオーストリアでの製品カタログ (PDF) に E27 口金との情報があるため国内で IKEA が販売したことはないと思われる。一方、E1526 は取扱説明書 (PDF) に日本語版が含まれており、おそらくこちらのゲートウェイ製品とみられる。

ポリエチレン (PE) の酸化と解重合を可能にする酵素がハチノスツヅリガの幼虫の唾液から発見された (論文、 マルガリータサラス生物学研究センターのプレスリリース、 The Register の記事)。

研究を率いた Federica Bertocchini 氏は趣味の養蜂家でもあり、蜜蝋を食べる養蜂の害虫であるハチノスツヅリガの幼虫 (以降、幼虫) を捕まえてPE製の袋に入れておいたところ、袋に穴をあけて逃げ出してしまったことが研究のきっかけとなった。

Bertocchini 氏の研究グループは幼虫が PE を食べて生分解できるという研究成果を 2017 年に発表しており、2020 年には別の研究グループが幼虫の腸内細菌叢とのかかわりを示唆する研究成果を発表している。

微生物による PE の生分解は非常に長い時間を要するだけでなく、紫外線照射や加熱といった非生物的な事前の酸化処理が必要となる。一方、幼虫による PE 分解は短時間で事前処理を必要としないため、腸内細菌のみでは実現できないと考えられていたが、酵素のかかわりについては明らかになっていなかった。

研究グループでは幼虫の唾液を電子顕微鏡で調査し、2 種類のフェノール酸化酵素「Demetra」と「Ceres」を特定。いずれの酵素も PE を酸化する働きを示すが、Demetra の働きは特に強く、PE 表面に肉眼で見える痕跡(小さなクレーター)を作る。

事前の非生物的処理を要せず、常温かつ中性の水溶液内で数時間以内に PE を分解できる酵素の存在は、研究者が知る範囲で初めて報告されるものだという。ただし、これらの酵素が PE を分解する仕組みを徹底的に理解するには、さらなる構造的・生化学的・機能的な研究が必要とのことだ。

Microsoft が Windows 11 でゲームのパフォーマンスを最適化するオプションとして、セキュリティ機能を一部無効にする手順を紹介している (Microsoft のサポート記事、 Neowin の記事、 On MSFT の記事、 Ghacks の記事)。

Windows 11 ではメモリ整合性といった仮想化ベースのセキュリティ機能や仮想マシンプラットフォーム (VMP) などで仮想化を使用するが、メモリ整合性と VMP がオンになっていると一部のシナリオや一部のゲーミングデバイス構成でパフォーマンスに影響することが判明したという。そのため、パフォーマンスを重視するゲーマーはプレイ時にこれらの機能を無効にし、プレイ終了後に復元するオプションを選択できる。ただし、無効化した場合は脅威に対して脆弱となる可能性があるとのこと。

なお、メモリ整合性は Windows セキュリティの「デバイスセキュリティ → コア分離の詳細」で、VMP はコントロールパネルの「プログラム → プログラムと機能 → Windows の機能の有効化または無効化」で有効・無効を切り替えられる。

英オックスフォード大学の研究チームは、電磁波干渉（EMI）を利用することで、外部から画像認識システムをだまして存在しないものを見せる攻撃手法を発見したそうだ。発表論文によると、真っ黒であるカメラフレームに文字を浮かび上がらせることもできるという。ターゲットとなるのはCCDイメージセンサー（ITmedia）。ITmediaの記事によると、

任意の入力画像から各画素の輝度を計算して送信する信号を抽出する。次に、抽出した信号を補間して異なるサンプルレートが一致するようにする。最後に、補間した信号を搬送波に変調して無線で送信する。

とのこと。これにより、元記事の上部にある画像のようにバナー画像の文字が読めるレベルの制御ができることが確認されたとしている。

ブロックチェーン領域全体におけるNFTの取引量が急落しているそうだ。Bloombergによると月間取引量は1月の170億ドルから今月は4億6600万ドルにまで減少、9か月間で97％もの大幅な減少を示している。Dune Analyticsの週間取引量データでも1月末の週間取引量が約62億ドルだったのに対して、9月には1億1400万ドルにまで減っており、同様の傾向を示しているという（PetaPixel、コインテレグラフ ジャパン）。

NFTの最大の取引プラットフォームである「OpenSea」では、9月の売り上げがわずか2か月前と比べて75％も減少したそうだ。しかし、取引量が大幅に減ってもトレーダーの数はそれほど減っていないという。今年3月のピーク時では4万5000人強おり、9月の総取引者数は4万2000人強だった。NFT市場の再燃に期待する人たちがそれだけ残っているということのようだ。

headless 曰く、

Microsoft が Exchange Server 2013 / 2016 / 2019 に影響する 2 件のゼロデイ脆弱性を公表し、緩和策を紹介している (Microsoft Security Response Center の記事、 Neowin の記事、 Ars Technica の記事、 HackRead の記事)。

2 件の脆弱性は特権昇格の脆弱性 (SSRF 脆弱性) CVE-2022-41040 と、PowerShell を利用したリモートコード実行 (RCE) の脆弱性 CVE-2022-41082 だ。認証された攻撃者は CVE-2022-41040 を悪用することで、リモートから CVE-2022-41082 を引き起こすことができる。

攻撃者は脆弱性のある Exchange Server で認証される必要があるため影響範囲は限定的だが、実際に攻撃が確認されているという。Exchange Online のユーザーは影響を受けない。

Microsoft では脆弱性の修正を緊急に進めているが、現時点で提供時期は未定のようだ。そのため、IIS Manager の URL 書き換えルールで既知の攻撃パターンをブロック対象に指定するという緩和策を紹介しており、この緩和策を適用する PowerShell スクリプトも提供している。また、Microsoft Exchange Emergency Mitigation Serviceを有効にしている顧客の Exchange Server 2016 / 2019 環境では、緩和策が自動で有効になるとのことだ。

maia 曰く、

三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDF、 CVE-2022-29859 / CVE-2022-33322: PDF、 ITmedia NEWS の記事、 TECH+の記事、 日本経済新聞の記事)。

対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。

20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-29859 は 3 月に修正された amb1_sdk の脆弱性となっている。

あるAnonymous Coward 曰く、

先日発生した Uber や Rockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている (ITmedia NEWSの記事、 Yahoo! ニュースの記事)。

Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。

ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

警視庁は 9 月 30 日、回転ずしチェーン「かっぱ寿司」の運営会社カッパ・クリエイト社長ら 3 人をライバルチェーンの営業秘密不正持ち出しに関連する容疑で逮捕した (東京新聞の記事、 NHK ニュースの記事、 読売新聞オンラインの記事)。

社長はライバルチェーン「はま寿司」の親会社ゼンショーホールディングスからカッパ・クリエイトに移籍。それに先立ち、はま寿司の仕入れに関するデータを不正に持ち出した疑いがもたれている。逮捕されたのは社長のほか、カッパ・クリエイト商品企画部長と、はま寿司時代の社長の部下の 3 人。

社長と商品企画部長の逮捕容疑は持ち出したデータを同社データと比較するなどして使用した不正競争防止法違反、元部下の逮捕容疑はデータを開くためのパスワードを教えるなどした不正競争防止法違反ほう助となっている。警視庁は昨年、はま寿司側からの刑事告訴を受けて捜査を進めており、食材の原価や使用料に関するデータが営業秘密に当たると判断したとのことだ。

headless 曰く、

Fast Company は 9 月 27 日夜、同社のコンテンツ管理システムが不正アクセスを受け、わいせつで人種差別的な 2 通の通知が Apple News のフォロワーに送信されたことを明らかにした(Fast Company の声明、 The Verge の記事、 Neowin の記事、 9to5Mac の記事)。

27 日の不正アクセスは 25 日午後に発生した FastCompany.com への不正アクセスに関連するとみられる。25 日の不正アクセスでも今回と同様のわいせつで人種差別的な表現がホームページ (Internet Archive のスナップショット) やその他のページに表示され、同社は 2 時間ほどサイトを閉鎖して復旧作業を行ったという。

Fast Company は攻撃者による表現が同社の考えに一致するものでなく、このような表現が同社プラットフォームや Apple News で表示されたことに遺憾の意を示し、取り消される前に見てしまった人に謝罪している。現在、FastCompany.com では本件に関する声明のみが表示されるようになっており、問題が解決するまでは閉鎖を続け、ソーシャルメディアチャンネルのみで記事を配信するとのこと。

Apple News は本件を受け、Fast Company のチャンネルを無効化したと発表している。攻撃者によるメッセージがソーシャルメディアや公式サイトに表示されることは多いが、Apple News を通じて表示されたのは初とみられるとのことだ。