Microsoft は 16 日、来年 2 月 14 日に予定している Internet Explorer 11 (IE11) 完全無効化の詳細を発表した (Windows message center、 Windows IT Pro Blog の記事)。

以前の発表では 2 月の月例更新プログラム (B リリース) で IE11 を完全無効化する計画だったが、Microsoft Edge アップデートを通じた完全無効化に変更された。これに伴い、1 月 17 日に予定されていたオプションの更新プログラム (C リリース) での一足早い IE11 完全無効化はとりやめとなった。

IE11 のサポートは 6 月に終了しており、現在は IE11 から Microsoft Edge へのリダイレクトを順次増加させている段階だ。まだリダイレクトされていないデバイスに関しては、2 月 14 日以降の Microsoft Edge アップデートが適用された段階でリダイレクトが行われるようになる。そのため、IE11 を必要とする組織は 2 月 14 日までに IE モードによる Microsoft Edge への移行を済ませなければ業務に支障が出る可能性もある。

いささか旧聞ではあるが、Akamai の研究者がボットネット KmsdBot を監視していたところ、突然クラッシュしてしまったそうだ。調査の結果、ボットネット運用者によるコマンドのタイプミスが原因と判明したという (Akamai のブログ記事、 Ars Technica の記事、 The Register の記事)。

KmsdBot は DDoS 攻撃を実行する機能も備える暗号通貨採掘ボットネット。弱い認証情報を使用する SSH 接続を通じてシステムに感染していくという。リバースエンジニアリングの困難さから攻撃者に選ばれることが増えつつある Go 言語で書かれている。Akamai ではハニーポットに感染した KmsdBot を分析していた。

クラッシュの原因を調べるため、Akamai ではボットネットの C2 に代わって機能し、攻撃の実行コマンドを送信する自前の C2 を作成。2 つの仮想マシンを用意して 1 つにボットを感染させ、もう 1 つを C2 としてコマンドを送信する実験を実行したところ、「!bigdata www.bitcoin.com443 / 30 3 3 100」というコマンドでボットネットが停止したそうだ。

一目でお気付きになった方も多いと思われるが、このコマンドはドメイン名とポート番号がスペースで区切られていない。ボットは構文エラーをチェックする機能を備えておらず、引数の数が正しくないコマンドを受け取った Go バイナリはインデックス範囲外の指定エラーによりクラッシュする。

これにより、C2 と通信したすべての感染マシンでボットのコードがクラッシュし、ボットネット全体が停止したとみられる。ボットは感染マシンで実行を持続する機能を備えておらず、ボットネットを復元するには再度感染させて再構築する必要があるとのことだ。

熊本県立大学は13日、学生や教職員などのべ5288人分の情報が漏洩したと発表した。同大名誉教授のメールアカウントが何者かに不正利用されたとみられている。今月7日に名誉教授から不審なメールが大量に送信されているとの連絡を受け、大学側が調査したところ、本人が把握していないメールが1276件送られていたという（朝日新聞）。

調査により8月30日以降、海外のサーバーを経由したログインが約1000件あったことも判明したとしている。同大では2要素認証を原則としているが、この名誉教授は携帯電話を所持していなかったことから、例外扱いになっていたとのこと。

楽天では楽天のサービスにログインした際に、ログイン日時等の情報をメールで知らせるログインアラート機能を全員に提供する方針だという。ヘルプ・問い合わせトップに記載された内容によると2023年1月以降、すべての楽天会員を対象に段階的に適用を開始するとしている（楽天ヘルプ・問い合わせ）。

この新しいログインアラート機能(ベータ版)では、普段利用していない環境から天IDを使ったログインが確認された場合、登録のメールアドレスにログイン通知メールを送信するもの。内容としてはログイン日時、IPアドレス、ログインの場所:国名（英表記）となるという。なお、楽天会員情報の管理画面からの設定可能なログインアラート機能に関しては2023年1月中旬頃に廃止される予定であるとしている。

これとは別の話題となるが、楽天関係なのでまとめて。日経クロステックの記事によれば、楽天グループが自社所有環境のプライベートクラウド「One Cloud」を拡充していく方針であるという。同社ではブリッククラウドで稼働させているシステムが多数あるが、今後は原則としてOne Cloudにまとめていくとしている。グループ全社の集約を進めてコスト効率を高めるほか、IT基盤のノウハウを蓄積し安定稼働やセキュリティー強化につなげるとしている（日経クロステック）。

headless 曰く、

マルウェア検出・削除の仕組みを悪用して非特権ユーザーが任意ファイルを削除可能な脆弱性が複数のセキュリティソフトウェアで見つかり、報告を受けた各社が修正を行ったそうだ (SafeBreachのブログ記事、 Neowin の記事、 Dark Reading の記事、 Black Hat Europe 2022 の告知記事)。

この脆弱性は検出したマルウェアがロックされていて削除されない場合、Windows の再起動後に削除を実行する処理に存在する。攻撃者は一時ディレクトリ内に削除するターゲットファイルと同じ名前のマルウェアファイルを作成し、そのままハンドルを閉じずに待機する。セキュリティソフトウェアがマルウェアを検出し、再起動後の削除を予約したら一時ディレクトリを削除し、同じパスでターゲットファイルが格納されているディレクトリを示すようにディレクトリジャンクションを作成する。あとは Windows が再起動されるとターゲットファイルが削除されるという仕組みだ。

発見した SafeBreach は 11 本のセキュリティソフトウェアをテストし、Microsoft Defender・Microsoft Defender for Endpoint・SentinelOne EDR・TrendMicro Apex One・Avast Antivirus・AVG Antivirus の 6 本が影響を受けることを確認。Palo Alto XDR・Cylance・CrowdStrike・McAfee・BitDifender の 5 本は影響を受けなかったという。なお、Microsoft 製品の場合、ターゲットファイルだけでなくファイルが格納されているディレクトリごと削除されるとのこと。

この脆弱性を利用して SafeBreach が作成したワイパーツールは日本の合気道にちなんで「Aikido Wiper Tool」と呼ばれている。ファイル削除はセキュリティソフトウェアが実行するため検知されることはなく、非特権ユーザーとして実行してシステムを起動不可能にしたり、特権ユーザーにアクセスが制限されている重要なデータを消去したりといったことが可能だ。セキュリティソフトウェアが検疫したファイルを格納するフォルダーを削除することも可能だという。

報告を受けた Microsoft は CVE-2022-37971、TrendMicro は CVE-2022-45797、Avast と AVG は CVE-2022-4173 を割り当て、それぞれ脆弱性を修正している。SentinelOne からは連絡が来ていないとのことだ。

Appleは12月7日、クラウド内のユーザーデータ保護のため三つのセキュリティ機能を導入すると発表した。「iCloud」で提供される「Advanced Data Protection」機能では、クラウドに保存したデータをエンドツーエンド暗号化（E2EE）で保護し、信頼できるデバイスでしか復号できないようにする（Appleリリース、CNET）。

二つ目は「iMessage」の新たな「Contact Key Verification」機能では、第三者がクラウドサーバーに侵入してメッセージを傍受しようとした際に自動でアラートを送信する。三つ目は2要素認証の強化で、サードパーティのハードウェアセキュリティキーが使用可能になる。この二つに関しては、主に高度な脅威にさらされているジャーナリストや人権活動家、政府関係者を対象にしたものであるようだ。

Advanced Data Protectionは7日、米国のApple Beta Software Programのメンバーに提供される。2023年初頭に世界中で提供予定。Contact Key Verificationは2023年中、セキュリティキーは2023年初頭に提供が予定されているとのこと。

AirTag を悪用したストーカーの被害にあった 2 人の米女性が Apple を提訴している (訴状: PDF、 Ars Technica の記事、 Neowin の記事、 Mac Rumors の記事)。

訴状によれば、Apple が AirTag を発表するとストーカーによる悪用を懸念する声がサイバーセキュリティーの専門家やドメスティックバイオレンス被害者の支援団体などから寄せられたが、Apple は AirTag が「ストーカープルーフ」だなどと称して製品を発売。しかし、Apple のストーカー対策は十分ではなく、AirTag を悪用した追跡の被害が相次いだ。Apple はさまざまな対策を発表したが、いずれも十分な効果を上げるには至っていない。米国では AirTag によるストーキングの末に被害者が殺害された事件が少なくとも 2 件発生しているという。

原告はいずれも AirTag を悪用した元パートナーからのストーキング被害にあっており、原告が AirTag を取り除いても次々と新しい AirTag で追跡されたという。Apple デバイスによる Find My ネットワークで追跡を行う AirTag は他社製品と比べて効果が高く、Apple のデバイスを所有していれば簡単に追跡を実行できる。また、AirTag は価格が安く、被害者が見つけて破棄しても簡単に代替品を投入できる。一方、Apple は悪用を防ぐ十分な仕組みを搭載していない。

そのため、原告は Apple が被害を防ぐための責任を果たしていないことや、欠陥のある製品の販売、不当利益、原告のプライバシーの侵害など、合計 12 件の不当行為で Apple を訴えている。訴訟はクラスアクション訴訟の形をとっており、ストーキング被害にあった全米の iOS ユーザーのクラスと Android ユーザーのクラス、ストーキングのリスクがある全米の iOS ユーザーのクラスと Android ユーザーのクラス、ストーキング被害にあった 36 州 の住民のサブクラスとニューヨーク州住民のサブクラスの認定を求めるほか、AirTag の販売差止や損害賠償などを求めている。

Android Police がスマートフォンを購入する際にアップデート提供を重視するかどうかという投票を実施しているのだが、60 % 近くが最も重要な要素だと回答している (Android Police の記事)。

10 日 17 時の段階で 3,049 票が投じられており、アップデート提供によるサポートが最も重要な要素だという選択肢が 1,780 票 (58 %) を獲得している。ある程度重要だという回答も 1,106 票 (36 %) を獲得しており、ある程度以上アップデートを重視している人は 95 % にのぼる。スマートフォンの購入にあたってアップデート提供によるサポートは重要ではないという回答は 134 票 (4 %) だが、意外に多い気もする。スラドの皆さんは、スマートフォン購入時にアップデート提供の頻度をどの程度気にするだろうか。

headless 曰く、

Sirius XM の自動車リモート管理システムで、車体識別番号 (VIN) だけわかればさまざまなリモート操作が可能になる脆弱性が発見されていたそうだ (HackRead の記事、 Sam Curry 氏のツイート)。

発見者の Sam Curry 氏は異なるメーカーの自動車に影響する複数の脆弱性を調査しているうち、いずれも Sirius XM が供給するシステムであることを確認。Sirius XM のリモート管理システムは数多くの自動車メーカーが採用しているが、影響が確認されたのはホンダ (アキュラ含む) と日産 (インフィニティ含む) の製品のみ。これらの車両では HTTP リクエストの「customerId」パラメーターで実際の顧客 ID の代わりに VIN を使用できること、これにより顧客の名前や電話番号、住所などの取得やリモート操作コマンドの実行が可能であることが判明したという。

ドアのロック解除やエンジンの始動が可能なキーレスシステムの脆弱性は複数の車種でたびたび発見されているが、今回の脆弱性では加えて現在地の確認やクラクションを鳴らす、ライトを点滅させるといった操作も可能だったそうだ。Curry 氏は Sirius XM へ事前に問題を報告しており、既に修正されているとのことだ。

海上保安庁が天文航法で船位を測定するため暦である「天測暦」と「天測略暦」の刊行物を廃刊すると発表した。GPS等の衛星航法の普及により、国際条約等での船舶への備置の必要が無くなったことが理由であるという。現在刊行中の令和4年版（2022年）が最後の刊行物になるという。同時に「天測計算表」及び「天測位置決定用図」に関しても今年末をもって廃刊するとしている（海上保安庁、編暦業務の歴史[PDF]）。

海上保安庁は、航海の目的で天測計算を行う必要がある場合、英国等が刊行している天測暦（The Nautical Almanac）を活用するよう求めている。なお過去記事によれば、米国でもGPSの普及により、米海軍兵学校での天測航法の授業を停止していたことがある。しかし、GPSが使用できない場合の代替手段がないことから2015年に復活させているそうだ。

11月末、東京都の杉並区職員が住基ネットにログインし、個人情報を知人に漏洩した事件で、警視庁は杉並区職員とその知人を再逮捕した（産経新聞、日刊ゲンダイ、朝日新聞）。

容疑者は20人以上の個人情報を不正に閲覧していたという。容疑者は暴力団関係者からの依頼を受けて人探しをしていたと見られている。閲覧対象の中には暴力団関係者や過去に逮捕されていた人物も含まれていた模様。区職員の容疑者は静脈認証で住基ネットにログインできる権限を持っており、2018年以降、二十数人の個人情報を業務目的以外で閲覧していたとされる。

headless 曰く、

やや旧聞であるが、ドイツのデータ保護機関 (DSK) が Microsoft 365 は欧州の一般データ保護規則 (GDPR) に違反するとの報告書を 11 月 25 日に公開したところ、Microsoft が即日反論している (DSK の報告書概要: PDF、 Microsoft のニュース記事、 heise online の記事、 Ghacks の記事)。

報告書では Microsoft が 2022 年 9 月に更新したデータ保護追加契約(DPA)について、いくらかの改善はみられるものの Microsoft がどのような場面で個人データの処理者となるのか明確にされておらず、処理の目的も具体的でないと指摘。また、米国へデータを送信することなく Microsoft 365 を使用することはできず、Schrems II 判決により EU 域内で合法的に使用することが困難であるとし、Microsoft は 2022 年 12 月からEU域内の顧客のデータを原則として EU 域内で保存・処理するようになるが、実施状況は今後評価していく必要があるなどと結論付けている。なお、ジョー・バイデン米大統領は 10 月 7 日に米国と EU 間でのデータ保護の枠組みを作るよう命ずる大統領令に署名しているが、具体的に実施されていないことから報告書では考慮されていない。

一方、Microsoft は顧客データを顧客の所在地域内にとどめる Advanced Data Residencyやデジタル主権ソリューション Microsoft Cloud for Sovereignty、2022 年末までに EU 域内の顧客のデータをすべて EU 域内で保存・処理できるようにする EU Data Boundary を挙げ、Microsoft 365 が GDPR に準拠するだけでなくそれを上回る個人データ保護を提供していると反論する。Microsoft は米国と EU 間のデータ保護の枠組みを支持しており、米国では個人監視に関する法令が改正されて個人情報の保護も改善されている。そのため、2023 年には欧州委員会が GDPR に基づいて適切な判断を下すことを期待しているとのことだ。

楽天グループは2023年1月17日付で「楽天会員規約」を一部改定するという（「楽天会員規約」改定のお知らせ）。改訂されるのはパスワードに関連する項目で、改定前では、

アカウントを利用するためのIDおよびパスワードは、他人に知られることがないよう定期的に変更する等

の記載があったものが、改訂後は

第三者に推測されにくい複雑なパスワードにする、ログイン状態の端末を第三者に利用させないようにする、第三者の端末を利用してログインした場合には利用後にログアウトする

といった内容に変更された。パスワードの定期的な変更はさまざまなサイトで推奨されていたが、2018年に総務省の「国民のための情報セキュリティサイト」の内容が変更され、その必要性がないことが明示されている。内閣サイバーセキュリティセンター（NISC）からも、パスワードを定期変更する必要はない旨が告知されている（インターネットの安全・安心ハンドブック - NISC）。

headless 曰く、

LastPass は 11 月 30 日、傘下の GoTo と共用しているサードパーティのクラウドストレージが不正アクセスを受けたと発表した (The LastPass Blog の記事、 Neowin の記事、 The Register の記事、 HackRead の記事)。

LastPass は 8 月にも開発環境が不正アクセスの被害にあっているが、開発環境に顧客のデータは含まれず、プロダクション環境とも物理的に分離しているので顧客のデータは安全だと説明していた。今回の不正アクセスは攻撃者が 8 月に入手した情報を用いており、顧客情報の特定の部分へアクセス可能だったとみられるという。ただし、LastPass では顧客のパスワード保管庫のマスターパスワードを保持していないため、パスワードは安全だとの説明を繰り返している。LastPass はクラウドストレージサービスでの通常とは異なる活動を検知後すぐにサイバーセキュリティ企業 Mandiant と協力して調査を開始し、捜査機関に通報したとのことだ。

headless 曰く、

Acer は 11 月 24 日、個人向けノート PC 5 機種でセキュアブート設定を変更可能な脆弱性 CVE-2022-4020 が発見されたことを発表した (Acer Community の記事、 ESET のツイート、 HackRead の記事)。

この脆弱性は NVRAM 変数を作成することでセキュアブート設定を変更可能というものだ。変数の値は重要でなく、影響を受けるファームウェアのドライバーは変数の存在のみをチェックするのだという。影響を受けるのは Aspire A315-22 と A115-21、A315-22G、および Extensa EX215-21 と EX215-21G の計 5 機種。Acer では BIOS 更新プログラムの開発を進めており、準備ができ次第 Acer サポートサイトで公開する。

発見者の ESET によれば、脆弱性は DXE ドライバー HQSwSmiDxe に存在し、NVRAM 変数「BootOrderSecureBootDisable」を追加することで、ドライバーがセキュアブートを無効化するとのこと。ESET は Lenovo のノート PC でも同様の脆弱性を発見しているが、「BootOrderSecureBootDisable」は Lenovo の CVE-2022-3431 でセキュアブートを無効化する変数と同じ名前だ。