カスペルスキーは 1 日、管理職など複数の同社従業員が使用する iPhone で見つかったというスパイウェアの最初の分析結果を公表した (Nota Bene の記事、 Securelist の記事、 Ars Technica の記事、 HackRead の記事)。

カスペルスキーが「Triangulation」と名付けたスパイウェアは iMessage 添付ファイルを通じたゼロクリック攻撃によりインストールされるという。iOS の脆弱性を突いた攻撃はユーザーの操作を必要とせず、スパイウェアはひそかに個人情報をリモートサーバーへ送り始める。iOS の特質上、効果的にマルウェアを検出・除去可能なソフトウェアは存在しないが、カスペルスキーは同社製の SIEM ソリューション Kaspersky Unified Monitoring and Analysis Platform (KUMA)で社内の Wi-Fi ネットワークに接続した iPhone による怪しい挙動を検出したとのこと。

iOS の制限などもあって感染には持続性がなく、複数のデバイスのタイムラインは再起動後に感染を繰り返していたことを示しているそうだ。もっとも古い感染の痕跡は 2019 年のものだという。ユージン・カスペルスキー氏はこのスパイウェアに「Triangulation」と名付けた理由として、攻撃するシステムのソフトウェアとハードウェアのスペックを認識するために HTML5 の canvas エレメントによるフィンガープリンティング技術を用い、デバイスのメモリに黄色い三角形を描画するためだと説明している。なお、カスペルスキーでは同社が Triangulation の主要なターゲットではないと確信しているとのことだ。

これとは別にロシア連邦保安庁 (FSB) は同日、Appleのモバイル機器の脆弱性を用いた米情報機関の偵察活動をロシア連邦警護庁 (FSO) とともに確認したと発表した。FSB では米企業である Apple が米国の情報機関、特に米国家安全保障局 (NSA) と緊密に連携していることや、ユーザーの個人情報の機密性を守るという Apple のポリシーが虚偽であることを示すものだなどと主張している (FSB の発表、 The Register の記事、 Neowin の記事、 Reuters の記事)。

headless 曰く、

Mozilla は 5 月 30 日、Firefox バージョン 115 が Windows 7 ～ 8.1 をサポートする最後の Firefox バージョンになると発表した (Mozilla Support の記事、 Neowin の記事、 Ghacks の記事)。

7 月リリース予定の Firefox 115 では Windows 7～8.1 ユーザーが ESR チャネルに移動し、2024 年 9 月までセキュリティアップデートが提供される。以降はセキュリティアップデートが提供されなくなるため、サポートされるバージョンの Windows への移行が推奨される。

Mozilla は 2019 年から Firefox での Windows 7 サポート終了時期に関する議論を続けてきた。今年 3 月には Firefox 115 ESR リリースより前に Windows 7～8.1 のサポートを終了することなく、少なくとも 2024 年第 3 四半期までサポートを継続すると決定していたが、正式な発表は今回が初めてだ。

headless 曰く、

マルウェア QBot (QakBot、QuackBot などとも) が Windows 10 の「write.exe」を悪用したフィッシングキャンペーンを実行していたそうだ (BleepingComputer の記事、 Ghacks の記事)。

write.exe はワードパッドに置き換えられた Microsoft Write との互換性を維持するために用意されている実行ファイルで、実行時に読み込まれる edputil.dll を DLL ハイジャックにより置き換えることが可能だという。ただし、write.exe は Windows ディレクトリおよび System32 ディレクトリに格納されており、edputil.dll は System32 ディレクトリに格納されているため通常は置き換え不可能だ。

そのため、QBot ではダウンロードさせる ZIP ファイルに「document.exe」とリネームした Windows 10 の write.exe と偽の edputil.dll を格納することで、DLL ハイジャックを実現している。document.exe を実行すると偽の DLL が読み込まれ、curl.exe を使用してリモートホストから PNG ファイルをダウンロードする。このファイルは PNG に偽装したDLLであり、rundll32.exe を使用して実行することで QBot が常駐するという仕組みだ。

実際に効果があるかどうかは不明だが、QBot 運用者は write.exe のような信頼された実行ファイルを通じてマルウェアを起動することで、セキュリティソフトウェアに検知されにくくなることを期待しているとみられる。なお、Windows 11 の write.exe でも同様の動作になる可能性はあるが、Windows 11 版の write.exe は Windows 10 上で実行できない。また、curl.exe は Windows 10 以降にしか搭載されていないため、ターゲットは Windows 10 以降となる。

ゆうちょ銀行とSocioFuture、日本ATMビジネスサービスは26日、ATMを使った特殊詐欺への対策として、AI画像分析を活用した特殊詐欺防止のための実証実験を開始したと発表した。特殊詐欺では犯人が被害者をATMに誘導し、携帯電話で指示して送金させる手口がある。今回検証する技術では防犯カメラ等の画像をAIで分析、ATM前での携帯電話の通話動作を高い確率で検知できるようになったという。これを使って利用者に告知をおこなうなどの特殊詐欺の被害防止に向けた実証実験をおこなうとしている（ゆうちょ銀行リリース[PDF]）。

はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている（はてな匿名ダイアリー）。

あるAnonymous Coward 曰く、

- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

Google Play で無害なアプリとしてリリース後、1 年近くたってマルウェア化したアプリについて、発見した ESET が報告している (WeLiveSecurity の記事、 Ars Technica の記事、 The Verge の記事、 The Register の記事)。

このアプリ「iRecorder - Screen Recorder」(Internet Archive) は 2021 年 9 月 19 日に Google Play で最初にリリースされ、2022 年 8 月頃にはバージョン 1.3.8 でマルウェア化していたという。当初は名前の通りデバイスの画面を録画するアプリだったが、その後カメラからのビデオ撮影機能なども追加されたらしい。

マルウェア化したバージョンはオープンソースの遠隔操作ツール AhMyth Android RAT をベースにしたコードが追加されたもので、ESET は AhRAT と名付けている。AhRAT は C&C サーバーに接続してマイクから録音した音声 (調査時点では 60 秒) を送信するとともに新しい設定ファイルを受信する。指定された拡張子のファイルを送信する機能も搭載されていたほか、設定ファイルには実装されていないコマンドも含まれていたそうだ。

アプリ開発者が無害なアプリを Google Play でリリースし、1 年近く待ってからマルウェアに変えるのは珍しいという。以前 Google Play で公開されていたバーコードスキャナーアプリのマルウェア化や Chrome ウェブストアで公開されていた拡張機能のマルウェア化が話題になったが、これらの場合は途中で開発元が変わっている。なお、「iRecorder」という名称のアプリは Google Play で複数公開されているが、このアプリは削除済みだ。

Rubrik Japanが22日発表した調査によると、ランサムウェアの身代金支払い後、攻撃者からの復号化ツールで全データを復旧できたのは日本国内ではわずか13%ほどしかなかったという（Rubrik Zero Labs調査結果、ITmedia）。

あるAnonymous Coward 曰く、

この調査は10カ国1600人以上のITおよびセキュリティリーダー
（最高情報責任者（CIO）および最高情報セキュリティ責任者（CISO）が約半数、
ITおよびセキュリティ担当副社長やディレクタが約半数）が調査対象となっている。
2023年2月10日～2月21日にかけて日本や米国、英国、フランス、ドイツ、イタリア、オランダ、オーストラリア、シンガポール、インドで実施された。

タレコミ子のポイントだけ引用すると
・悪意のあるアクターのサイバー攻撃に際し、（日本の）組織の9割で、データバックアップに影響する試みが確認されており、50%では、こうした試みに少なくとも一部が成功したと回答。
・（日本の）組織の87%は、ランサムウェアの身代金支払いに応じました。
・（日本の）組織のうち、攻撃者からの復号化ツールによって自社の全データを復旧した割合は、わずか13%でした。

さて、身代金を払っても復旧できないのはなぜか？
a,不特定多数型のフィッシングでハナから復旧方法がないタイプの攻撃だった
b,交渉不成立（支払後追加請求された等）で時間切れ
c,スラド民様お願いします。
枠外,提供された復号化ツールの使い方がわからなかった

やや旧聞に類する話題だが、AmazonやAppleのような大手IT企業や、国内でも島根県などでChatGPTのようなAIの利用を禁止する動きがある（Forbes JAPAN、過去記事、過去記事その2、Bloomberg）。禁止の背景には、利用者が個人情報などの機密情報を意図せずアップロードしてしまうことで、機密データを外部に流出させる可能性があるためとされている。そんな中、Cloudflareは15日、ChatGPTなど生成型AIへの機密情報漏洩を未然に防ぐ「Cloudflare One for AI」を発表した（Cloudflare、BRIDGE）。

このツールは、企業が知的財産や顧客データを保護しつつ、最新の生成型AIツールを安全に活用するためのものであるという。Cloudflare One for AIでは、AIツールの使用状況の可視化・計測、データ損失の防止、統合管理といった機能があり、企業に包括的なAIセキュリティを提供するという。加えてCloudflare Gatewayを通じて、組織はAIサービスを試用する従業員の数を把握することが可能としている。

headless 曰く、

Microsoft Edge の組み込み VPN 機能、Microsoft Edge セキュアネットワークはプレビュー版として一部ユーザーに月 1GB の通信量が無料提供されているが、中には 5GB に増量されたユーザーもいるようだ (Neowin の記事、 5GB 提供対象ユーザーの Reddit 投稿)。

1 年前に発表された Microsoft Edge セキュアネットワークは Cloudflareと の提携による通信の保護機能で、当初は Canary チャネルで提供されていた。現在は Canary チャネルでの提供はなくなり、安定版チャネルなど他のチャネルのインストールへランダムに提供されているという。

利用可能な環境では Microsoft Edge の設定画面で「プライバシー、検索、サービス」に「Microsoft Edge セキュアネットワーク」の項目が表示され、オンにすればオプションを選択できる。実際に利用するには Microsoft アカウントへのログインも必要だ。

オプションは指定サイトのみ適用する「サイトの選択」と、パブリックWi-Fi使用時などにストリーミングコンテンツを除いて自動で適用する「最適化」のほか、全トラフィックに適用する「すべてのサイト」が用意されているが、選択可能なオプションは環境によって異なる。手元の環境では安定版で 3 つとも表示されるのに対し、ベータ版では「すべてのサイト」が表示されない。

最近の新しい車両のスマートキーでは、鍵を施錠した車内に閉じ込めたためにドアが開かなくなる「インキー」の状態が起きないような仕組みが用意されている。新型「プリウス」の場合は、スマートキーを車内に置き忘れている場合に警告音が鳴るようになっている。しかしくるまのニュースの記事によると、実際にはスマートキーでもロックがかかってしまうケースも起きるそうだ（安全運転補完計画ユズリアイの該当ツイート、くるまのニュース）。

このハックは安全運転の知識などを発信する安全運転補完計画ユズリアイが7日にツイートしたもので、最初のシーンでは、スマートキーが車内に置かれていることを認識し、インキーにならないことを実演。続いてのシーンでは、運転席のワンタッチパワーウィンドウで窓を自動で閉めつつドアを閉め、外からロックをかけてから、スマートキーを窓が締まり切る前に室内に放り投げることでインキー状態が発生する様子が動画で公開されている。

このように現代の車両は、スマートキーの普及によりインキーになりにくくなっているが、JAFの2021年度のロードサービスの主な出動理由TOP10には、未だに「キー閉じ込み」が5位にランクインしているとのこと。原因としては、スマートキーの電池切れや何かしらのトラブルで車内からドアロックがかかってしまうなどの事例が考えられるという。

Microsoft が Windows 10 の Internet Explorer 11(IE11)無効化計画を再び変更している (Windows message center、 Windows IT Pro Blog の記事、 The Register の記事、 Ghacks の記事)。

2 月の段階ではスタートメニューやタスクバーの IE11 アイコンなど視覚的参照を 6 月の月例更新で削除する計画が示されていたが、更新プログラムによる視覚的参照の削除は取りやめになった。この変更は顧客からのフィードバックを受けたもので、組織は IE 無効化ポリシーを使用して任意のタイミングで視覚的参照を削除できる。また、現在も引き続き IE11 でのアクセスが可能な例外的シナリオの一部について、今後数か月の間に Microsoft Edge へのリダイレクトを開始するとのこと。

IE11 はサポート終了から間もなく 1 年となり、2 月には恒久的な無効化が行われている。今回の変更はよりよいユーザーエクスペリエンスとモダンブラウザーへの円滑な移行を意図したものだといい、詳細は Windows や Microsoft Edge のリリースノートで案内されるとのことだ。

Windows 11 の「Windows セキュリティ」でローカルセキュリティ機関の保護機能が設定にかかわらず無効であるかのように表示される問題について、Microsoft はいったん解決済みとマークしていたが、現在は再び未解決となっている (Windows 11 バージョン 22H2、既知の問題と通知: 米国版、 日本版、 Neowin の記事)。

この問題は Windows セキュリティで「デバイス セキュリティ > コア分離」の「ローカル セキュリティ機関の保護」に「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」という警告が表示されるものだ。警告はこのオプションがオンになっていても表示され、オンにすると再起動が要求されるが、再起動後も警告と再起動の要求が表示されたままになる。警告は「無視」をクリックすれば非表示化できるが、再起動は要求され続ける。問題が導入されたのは Microsoft Defender ウイルス対策マルウェア対策プラットフォーム バージョン 1.0.2302.21002 で、4 月リリースのバージョン 1.0.2303.27001 で修正された。

しかし、バージョン 1.0.2303.27001 ではインストール後にブルースクリーンエラーの発生や、一部のゲームやアプリの実行時にシステムが再起動するといった問題が確認されたため、提供を取りやめたという。バージョン 1.0.2303.27001 インストール済みの環境で上述の問題が発生した場合、「コア分離」の「Kernel-mode Hardware-enforced Stack Protection (カーネルモードのハードウェア強制スタック保護)」をオフにする必要があるとのことだ。現在のところ、バージョン 1.0.2303.27001の問題は米国版など英語の記事にのみ記載されており、日本版など英語以外の言語の記事にはまだ反映されていない。

VirusTotal は AI が PowerShell スクリプトを分析して自然言語で解説する「Code Insight」を 4 月に発表し、先日対応スクリプト形式の追加を発表しているが、それ以外にも対応するスクリプト形式があるようだ (BleepingComputer の記事、 Ghacks の記事)。

VirusTotal が 12 日に追加を発表した Code Insight の対応スクリプト形式は以下の通り。

• バッチファイル(.BAT)
• Windowsコマンドスクリプト(.CMD)
• シェルスクリプト(.SH)
• VBScriptスクリプト(.VBS)

BleepingComputer の調べによると、AutoHotKey スクリプト (.AHK) や Python スクリプト (.PY) にも対応していることが判明したとのことだ。

CNNの報道によると、「TikTok」の親会社であるバイトダンスの元従業員が、中国共産党が保有する全てのデータに対して「至高のアクセス権」を持つとする告発をしているという。この告発は元従業員がバイトダンスの不当解雇の訴訟を起こす中で行われたという。バイトダンス側はこれを否定、争う構えを見せている（CNN）。

この元従業員は、この至高のアクセス権を使えば米国内のサーバーに保管されたデータにもアクセス可能であるという。TikTokに関しては、米モンタナ州でバイトダンスが州内で事業を行うことを全面的に禁止する法律が成立している。同州のジアンフォルテ知事は17日、一定の条件を満たすアプリのダウンロードを提供することなどを禁止する法案に署名した。実質的にTikTokを禁止する法律は全米の州で初めてとなる。これに対してバイトダンス側は強く反発しており法廷闘争に発展する可能性が高いとしている（NHK、朝日新聞）。

三井住友カードは16日、同社および提携しているクレジットカードの所有者に郵送したダイレクトメール（DM）に、誤ってクレジットカード番号を印字した状態で送付したと発表した。対象となるのは「AOYAMA VISAカード」「AOYAMA PiTaPaカード」 (VISA)「AOYAMA LiVE MAX VISAカード」「BLUE ROSE CARD」 (VISA)の4券種（三井住友カードリリース、ITmedia）。

DMはシーラーはがきタイプだったが、その表面宛先部にカード番号を印字してしまっていたそうだ。このDMは4月18日と4月20日に利用代金明細書のサービス内容の変更を告知するために発送されたもので、対象件数は29万771件に及ぶ。有効期限やセキュリティコードなどのカード番号以外の情報は記載していないとしている。