Windows 11の「Windowsセキュリティ」でローカルセキュリティ機関 (LSA) 保護機能のオン・オフにかかわらず、オフなのでデバイスが脆弱だと警告され続ける問題が発生している (Microsoft Learn の記事、 The Register の記事、 Ghacks の記事、 BetaNews の記事)。

この問題は Windows 11 バージョン 22H2 で「Update for Microsoft Defender ウイルス対策マルウェア対策プラットフォーム — KB5007651 (バージョン 1.0.2302.21002)」のインストール後に発生するという。

バージョン 1.0.2302.21002 をインストールすると、Windows セキュリティの「デバイス セキュリティ > コア分離」の「ローカル セキュリティ機関の保護」に「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」と警告が表示される。このオプションをオンにすると「この変更を適用するにはデバイスを再起動してください。」と表示されるのだが、再起動後にも警告は消えず、再起動の要求も表示されたままになる。通知も表示されるような説明になっているが、手元の環境では確認できなかった。なお、警告には「無視」というリンクがあり、クリックすることで警告表示を消すこともできるが、再起動要求が消えることはない。

Microsoft によれば再起動後は警告を無視できるとのことだが、実際に保護が有効であるかどうかはイベント ビューアーの「Windows ログ」でイベントID 12 のイベントを確認する必要がある。イベントID 12で「LSASS.exe がレベル 4 で保護されたプロセスとして起動されました。」というイベントが記録されていれば LSA 保護は有効だ。Microsoft は問題の解決に取り組んでいるといい、更新プログラムがリリースされるまではこの状態が続くことになる。

GitHub が日本時間 24 日 14 時頃、GitHub.com の Git 操作で使用する RSA SSH ホスト鍵を更新したそうだ (The GitHub Blog の記事、 The Register の記事)。

今週 GitHub は RSA SSH 秘密鍵がGitHubの公開リポジトリで短時間見える状態になっていたことを発見し、すぐに修正を行って原因と影響の調査を行ったという。その結果、GitHubのシステムや顧客の情報が不正にアクセスされたのではなく、誤って秘密鍵を公開してしまった結果だと判断したとのこと。秘密鍵が不正に用いられたという証拠もないが、攻撃者がGitHubになりすましたり、ユーザーのGit操作を盗聴する可能性があることから、念のためホスト鍵を更新したとのこと。この変更はRSA鍵を使用してSSHでGit操作をする場合にのみ影響し、GitHub.comへのウェブトラフィックやHTTPSでのGit操作は影響を受けない。

RSA鍵を使用してSSHでGitHub.comにアクセスすると警告が表示されるので、古い鍵を削除して新しい鍵を追加する必要がある。ECDSA鍵やEd25519鍵を使用している場合には影響がなく、特に何も変更する必要はないとのことだ。

headless 曰く、

Google Play で中国のソーシャルショッピングアプリ「拼多多 (Pinduoduo)」が公開停止となっている (Bloomberg の記事、 HackRead の記事、 The Register の記事)。

Google によれば、同アプリの Google Play で提供されていないバージョンでマルウェアが見つかり、調査を進める間、念のために Google Play での公開も停止したのだという。Google Play Protect ではマルウェアを含むバージョンのインストールをブロックしており、インストール済みの場合は削除を促すとのこと。Pingduoduo ではアプリ自体に悪意ある機能が組み込まれているという疑いを否定してGoogle の対応を批判し、同時にブロックされたアプリが複数あるのにもかかわらず Pinduoduo だけを記事で取り上げた Bloomberg も批判しているとのことだ。

加工前のスクリーンショットが復元できてしまう脆弱性が、Windowsの画像編集ツール「Snipping Tool」で見つかっているという。先日取り上げたGoogle Pixelのマークアップツールで編集前の画像が復元できる脆弱性（CVE-2023-21036）に類似した内容だとされている（発見者のDavid Buchanan氏のツイート、PC Watch、GIGAZINE）。

この脆弱性はトリミングや塗りつぶしといった加工を行なったスクリーンショットを、加工前の状態に部分的に復元できてしまうとしている。スクリーンショットに写り込んだクレジットカード番号や住所、その他の見られたくない箇所をSnipping Toolでトリミングしたり、ぼかしたりして投稿することがあるが、編集後の画像から元画像を復元できるこの脆弱性は、非常に深刻なセキュリティリスクをもたらす可能性があるとしている。

サンリオのキャラクター「ポムポムプリン」をユーザー名やアイコンに使用して活動していたハッカーフォーラムのオーナーが米ニューヨーク州ピークスキルの自宅で逮捕されたそうだ (HackRead の記事、 news12 Westchester の記事、 Bloomberg の記事、 The Register の記事、 裁判所文書: PDF)。

このハッカーフォーラム「BreachForums」は閉鎖された Raidforums の代替として開設されたもので、企業やウェブサイトから盗まれたデータベース 1,000 件近くをホストする現在最も活発なハッカーフォーラムだという。昨年中国で流出した 10 億人規模の個人情報や、1 月に米航空会社から流出した米国の飛行禁止リストも同フォーラムで公開されている。pompomprin は 2021 年に fbi.gov ドメインで偽メールが大量送信された事件の実行者としても知られる人物だ。BreachForums では pompomprin の逮捕を受け、他のシステム管理者が新オーナーとして運営を続けていくと発表している。

しんやさんのツイートによると、とあるセキュリティ研修で

問:下記のどちらが強力なパスワードですか?　という問題が出たようだ（しんやさんツイート、Togetter）。

1.「w6!j38?pa7J」
2.「CanYouCelebrate?」

この問題の正解は「2」。説明によると、

1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。

とのことだったようだ。このセキュリティ研修の問題はあちこちの企業で使われているらしく、Twitter上では「全く同じ問題出てみんな間違えてた」とする声が相次いでいた模様。

一方で2で正解なのが当然だとする指摘も出ている。その理由としてエクスリさんは

2は字数長い、全角半角記号まで使っている、生体情報的な単語がない、辞書攻撃リストにはあまりない文と固さの条件整っている上で忘れにくいわかりやすさだからなぁ

と解説している。また1のような複雑過ぎるパスワードは、メモされて画面やキーボードの裏とかに貼られたりする傾向があり、ソーシャルハックに弱いとする指摘もあった。

Google は Pixel の「マークアップ」ツールで発見された脆弱性 (CVE-2023-21036) を 3 月のアップデートで修正したが、これを利用するエクスプロイト「aCropalypse」が公開されている (エクスプロイト作者のブログ記事、 9to5Google の記事、 Android Police の記事、 Simon Aarons 氏のツイート)。

マークアップはスクリーンショット撮影時に表示され、画像のクロップや書き込み・塗りつぶし等を可能にする。CVE-2023-21036 では編集の結果を保存する際にファイルサイズを切り詰めずに新しい画像データを上書きするため、元のデータが一部残されてしまう。具体的な処理を知ることは難しいが、エクスプロイト作者の David Buchanan 氏は Android 10 以降で 2021 年に修正された ParcelFileDescriptor.parseMode のバグとみているようだ。

脆弱性が修正されても既に保存したファイルが更新されるわけではない。このような画像をソーシャルメディアアプリやメッセージングアプリなどで送信する場合、読み取れない元の画像データはメタデータとともに削除されるが、Discord では 1 月までこのような処理が行われていなかったという。そのため、それ以前にアップロードしたスクリーンショットでは、隠したつもりの部分が復元されてしまう可能性がある。

エクスプロイトの作者が過去に使用していた Pixel 3XL のスクリーンショットを Discord からダウンロードして復元処理を行ってみたところ、eBay の確認メールのスクリーンショットから自宅住所全体が復元されたそうだ。なお、復元処理はすべてローカルで行われるとのことだ。

日本シノプシスは14日、研究機関「Cybersecurity Research Center（CyRC）」が、企業の合併・買収の際に棚卸しした1703のソフトウェアを対象に匿名化したデータを分析したオープンソース·セキュリティ＆リスク分析レポートに関する説明会を開催した（オープンソース·セキュリティ＆リスク分析レポート、ZDNET Japan、IT Leaders）。

この分析によると、リスク診断を実施した1480のコード中、既知の脆弱性を一つ以上含んでいた割合は84％あったという。これは昨年比で4％の上昇だったそうだ。また、4年以上前のコードを含む割合は89％（こちらは昨年比4％上昇）だった。また、CyRCが2022年中に調査した企業が使用するソフトウェア1703本中、OSS（オープンソースソフトウェア）を含む割合は96％におよび、全コードにOSSが占める割合は76％だった。脆弱性を含むOSSの割合は84％で、ライセンスの競合が見つかったOSSは54％など増加傾向にあるとされる。

日本シノプシスの吉井雅人氏は「OSSを信頼すると同時に検証せよ。OSSのセキュリティはビジネスリスクに直結する。自らの責任でセキュリティを確保すべきだ。SBOM（ソフトウェア部品表）によるコンポーネントの可視化」が重要だと述べていたとのこと。

headless 曰く、

英国のリシ・スナク首相は 13 日、英国政府の新たなセキュリティ組織 National Protective Security Authority (NPSA) を MI5 内に設立すると発表した (プレスリリース、 NPSA の About ページ、 The Register の記事)。

NPSA は Center for the Protection of National Infrastructure (CPNI) が発展したもので、今日の英国が直面する脅威を反映し、国家の重要なインフラにとどまらずより幅広い権限を持つという。NPSA では現在の脅威を反映したガイダンスをセキュリティ知識がない人でもわかりやすく作成し、組織の規模や業種を限定せずにトレーニングなども提供していくとのことだ。

headless 曰く、

2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリース、 Neowin の記事)。

2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。

パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。

政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

ブラジルの電気通信庁（Anatel）がオープンソースのマルチツールデバイス「Flipper Zero」の輸入を差し止めたという。Flipper Zeroは「ギーク向けのポータブル・マルチツール・デバイス」として販売されている製品で、電子回路図やファームウェアがオープンソース化されている（Electronic Frontier Foundation、GIGAZINE）。

Kickstarterでクラウドファンディングで資金調達に成功したFlipper Zeroは、2022年1月から順次注文した人への出荷が開始されていたそうだ。しかし、ブラジルの購入者からは「Flipper Zeroが届かない」という報告が相次いでいたという。Flipper Zeroは、その玩具のような外観に反して、NFC・Bluetooth・赤外線通信など多数の無線通信規格に対応する本格的な性能を備えており、デジタルキーをクローニングしたり、RFIDをエミュレーションしたりできる機能がある。このため第三者が自動車や玄関のスマートロックを解除するといった犯罪に使われることが懸念され、ブラジル当局により差し止められたようだ。

headless 曰く、

インド政府が主要なスマートフォンOSについて、アップデートの一般リリース前に審査の実施を義務付けることを検討していると報じられている (Neowin の記事、 Reuters の記事)。

Reutersによればインド政府ではスパイや個人情報の不正利用を懸念しており、プリインストールアプリをアンインストール可能にすることを義務付ける計画を進めているという。インドでは中国製アプリを中心に多数のアプリを禁じているが、プリインストールアプリはアンインストール不可のものも多い。新ルールではスマートフォンメーカーにプリインストールアプリのアンインストールオプション提供を義務付け、新モデルはインド規格局が検査を行うことになる。

OSアップデートの審査はプリインストールアプリのアンインストールオプションの義務付け計画とともに検討されているものだが、リリースまでの期間が長くなることを懸念する声も出ているとのこと。実際に現実的な時間で審査できるのだろうか。

米フォルクスワーゲン (VW) は 8 日、2020 年式 ～ 2023 式の多くの車両で Car-Net Safe & Secure サービスを 5 年間無料化すると発表した (VW の Facebook 投稿、 Ars Technica の記事)。

VW の Car-Net サービスは 2 月、子供を乗せたまま盗まれた VW Atlas の追跡を保安官事務所から要請されたが、試用期間が終了しているとして料金が支払われるまでサービスの有効化を拒否。捜査官がクレジットカード番号を入手して料金を支払い、GPS の位置情報を入手した時には既に子供が発見されていた。VW では追跡拒否が誤りであったことを認め、顧客の安全を重視していると述べていたが、無料化はそれを具体化するものとなる。

Safe & Secure 無料サービスの対象となるのは Car-Net ハードウェア搭載車に限られ、盗難車両追跡機能はガソリン車に限られるという。たとえば、2020 年式の Passat は多くが Car-Net ハードウェアを搭載しておらず、電気自動車の ID.4 は盗難車両追跡に対応しない。無料サービスは米国内限定で、6 月 1 日から有効になる。6 月 1 日時点で有料の Safe & Secure サブスクリプションが残っている場合、終了後に無料サービスが有効化されるとのことだ。

Google は 8 日、Windows 版 Chrome が搭載する望ましくないソフトウェア (UwS) の削除機能「Chrome Cleanup Tool」の廃止を明らかにした (Google Online Security Blog の記事、 The Verge の記事、 9to5Google の記事、 Android Police の記事)。

スラドでは Chrome Cleanup Tool を 2017 年に新機能として紹介しているが、Google によると予期せず変更された設定の復元や UwS を削除できるようにするため、2015 年に導入されたものだという。しかし、ここ数年は UwS に関する Chrome ユーザーからの苦情の減少や、UwS を事前に防ぐ Google セーフブラウジングのような積極的なセキュリティへの移行、拡張機能へ移行する UwS を防ぐための Chrome ウェブストアでのレビュー強化、マルウェアのトレンド変化などもあり、Chrome Cleanup Tool の廃止を決めたという。

Chrome 111 では設定の「リセットとクリーンアップ > パソコンのクリーンアップ (Chrome Cleanup Tool)」が削除されており、「プライバシーとセキュリティ > 安全確認」実行時にも「パソコンのクリーンアップ」が呼び出されなくなっている。定期的なスキャンを実行するコンポーネントも削除されるとのこと。Chrome Cleanup Tool がなくてもユーザーはセーフブラウジングで保護され、セーフブラウジングのオプション (設定 > プライバシーとセキュリティ > セキュリティ) で「保護強化機能」を有効にすることも可能とのことだ。

セキュリティベンダーであるLayerXが公開した2023年のWebブラウザに関するセキュリティレポートによると、企業のWebブラウザの半数以上は設定ミスをしているという。レポートではプロファイルの不適切な使用やパッチ適用ルーチンの不備などが主な設定ミスとして挙げられており、設定を誤ったWebブラウザからデータが盗まれる可能性があるとしている（2023 Browser Security Annual Report、TECH+）。

またサードパーティ製のSaaSアプリの利用やそのアプリでのIDの利用はデータ損失の第一の原因になると警告している。このほか、従来のセキュリティツールは攻撃者が侵入できる経路の半分以上を見逃しており、標的型攻撃が企業侵入の主要因になっていると分析。結果として、脆弱なパスワード、設定ミス、SaaSの脆弱性によってデジタルIDの盗難リスクが高まっており、Webブラウザのリスクのほとんどが、企業のアキレス腱となっているとしている。