あるAnonymous Coward 曰く、

マイナポータルによると、Windows で最新版の Firefox 114.0 を使用すると IC カードリーダライタによるログインができないとのこと (メンテナンス・重要なお知らせ)。

ログインボタンを押すと一瞬ログインウインドウが表示されたのち消え、その後は反応がないため、タレコミ子は「メンテナンス・重要なお知らせ」の後ろの方の記述を見るまで途方に暮れていた。

Firefox 114 は日本時間 6 月 7 日にリリースされたところなので、対応中なんだろう。Beta 版では動作していたんだろうか。

コクヨは8日、同社グループのシステムがランサムウェアを使った攻撃を受けたと発表した。影響範囲や情報漏えいの有無は確認中とのこと。報告によると6月5日から6日にかけてランサムウェアによる外部攻撃を受けたという。コクヨがランサムウェア攻撃を受けるのはこれが初めて。対策本部を設けてシステムの復旧を進めており、バックアップのシステムで作業するなど業務に支障は出ていないとしている。現時点で流出は確認されていない。全社の対策本部を設置し、外部専門家の助言を受けながら、影響の範囲等の調査と復旧への対応を進めていくとしている（コクヨリリース、ITmedia、ABCニュース）。

headless 曰く、

Eclypsium が報告した マザーボードのバックドア様挙動について、GIGABYTE がセキュリティ強化対策を発表している (プレスリリース、 BleepingComputer の記事)。

問題の挙動はシステムのスタートアッププロセスでファームウェアが Windows のネイティブ実行ファイルを投下・実行し、この実行ファイルがセキュアでない方法で追加のペイロードをダウンロードして実行するというもの。

この実行ファイルは UEFI ファームウェアに埋め込まれており、ベンダーと OEM が UEFI レイヤーで .exe ファイル実行を可能にする Windows プラットフォームバイナリテーブル (WPBT) により実行される。しかし、実行ファイルが追加のペイロードをダウンロードするリモートサーバーは HTTP 接続、またはリモートサーバーの証明書が適切に検証されない HTTPS 接続であり、ペイロードのデジタル署名を検証する機能もファームウェアには実装されていない。そのため、攻撃者は中間者攻撃 (MITM) や Living Off the Land 手法によりシステムを永続的に感染させることが可能になるという。

GIGABYTE では対策としてリモートサーバーからダウンロードしたファイルの検証プロセスを強化し、リモートサーバー証明書の標準的な暗号化検証を有効にしたそうだ。対象となるのは「APP Center Download & Install」機能 (APP Center 後継の GIGABYTE Control Center 含む) を搭載したマザーボード製品で、順次 UEFI BIOS 更新をダウンロードページで公開しているとのこと。更新完了までの対策としては、UEFI BIOS の設定で「APP Center Download & Install」機能の無効化が推奨されている。

エーザイは6日、同社グループが所有するサーバがランサムウェアに感染、暗号化されたと発表した。被害状況は調査中で、情報漏えいの有無も不明とのこと。被害の全容を把握するにはいましばらく時間を要する見込みとしている。発表によると6月3日深夜に、グループの複数のサーバーが暗号化される被害が発生していることが確認された。同社では物流に関連するシステムや国内外の一部の社内システムをサーバーから切り離して対応した。なお公式Webサイトやメールシステムは通常通り稼働しているとのこと（エーザイリリース、ITmedia）。

カスペルスキーは 1 日、管理職など複数の同社従業員が使用する iPhone で見つかったというスパイウェアの最初の分析結果を公表した (Nota Bene の記事、 Securelist の記事、 Ars Technica の記事、 HackRead の記事)。

カスペルスキーが「Triangulation」と名付けたスパイウェアは iMessage 添付ファイルを通じたゼロクリック攻撃によりインストールされるという。iOS の脆弱性を突いた攻撃はユーザーの操作を必要とせず、スパイウェアはひそかに個人情報をリモートサーバーへ送り始める。iOS の特質上、効果的にマルウェアを検出・除去可能なソフトウェアは存在しないが、カスペルスキーは同社製の SIEM ソリューション Kaspersky Unified Monitoring and Analysis Platform (KUMA)で社内の Wi-Fi ネットワークに接続した iPhone による怪しい挙動を検出したとのこと。

iOS の制限などもあって感染には持続性がなく、複数のデバイスのタイムラインは再起動後に感染を繰り返していたことを示しているそうだ。もっとも古い感染の痕跡は 2019 年のものだという。ユージン・カスペルスキー氏はこのスパイウェアに「Triangulation」と名付けた理由として、攻撃するシステムのソフトウェアとハードウェアのスペックを認識するために HTML5 の canvas エレメントによるフィンガープリンティング技術を用い、デバイスのメモリに黄色い三角形を描画するためだと説明している。なお、カスペルスキーでは同社が Triangulation の主要なターゲットではないと確信しているとのことだ。

これとは別にロシア連邦保安庁 (FSB) は同日、Appleのモバイル機器の脆弱性を用いた米情報機関の偵察活動をロシア連邦警護庁 (FSO) とともに確認したと発表した。FSB では米企業である Apple が米国の情報機関、特に米国家安全保障局 (NSA) と緊密に連携していることや、ユーザーの個人情報の機密性を守るという Apple のポリシーが虚偽であることを示すものだなどと主張している (FSB の発表、 The Register の記事、 Neowin の記事、 Reuters の記事)。

headless 曰く、

Mozilla は 5 月 30 日、Firefox バージョン 115 が Windows 7 ～ 8.1 をサポートする最後の Firefox バージョンになると発表した (Mozilla Support の記事、 Neowin の記事、 Ghacks の記事)。

7 月リリース予定の Firefox 115 では Windows 7～8.1 ユーザーが ESR チャネルに移動し、2024 年 9 月までセキュリティアップデートが提供される。以降はセキュリティアップデートが提供されなくなるため、サポートされるバージョンの Windows への移行が推奨される。

Mozilla は 2019 年から Firefox での Windows 7 サポート終了時期に関する議論を続けてきた。今年 3 月には Firefox 115 ESR リリースより前に Windows 7～8.1 のサポートを終了することなく、少なくとも 2024 年第 3 四半期までサポートを継続すると決定していたが、正式な発表は今回が初めてだ。

headless 曰く、

マルウェア QBot (QakBot、QuackBot などとも) が Windows 10 の「write.exe」を悪用したフィッシングキャンペーンを実行していたそうだ (BleepingComputer の記事、 Ghacks の記事)。

write.exe はワードパッドに置き換えられた Microsoft Write との互換性を維持するために用意されている実行ファイルで、実行時に読み込まれる edputil.dll を DLL ハイジャックにより置き換えることが可能だという。ただし、write.exe は Windows ディレクトリおよび System32 ディレクトリに格納されており、edputil.dll は System32 ディレクトリに格納されているため通常は置き換え不可能だ。

そのため、QBot ではダウンロードさせる ZIP ファイルに「document.exe」とリネームした Windows 10 の write.exe と偽の edputil.dll を格納することで、DLL ハイジャックを実現している。document.exe を実行すると偽の DLL が読み込まれ、curl.exe を使用してリモートホストから PNG ファイルをダウンロードする。このファイルは PNG に偽装したDLLであり、rundll32.exe を使用して実行することで QBot が常駐するという仕組みだ。

実際に効果があるかどうかは不明だが、QBot 運用者は write.exe のような信頼された実行ファイルを通じてマルウェアを起動することで、セキュリティソフトウェアに検知されにくくなることを期待しているとみられる。なお、Windows 11 の write.exe でも同様の動作になる可能性はあるが、Windows 11 版の write.exe は Windows 10 上で実行できない。また、curl.exe は Windows 10 以降にしか搭載されていないため、ターゲットは Windows 10 以降となる。

ゆうちょ銀行とSocioFuture、日本ATMビジネスサービスは26日、ATMを使った特殊詐欺への対策として、AI画像分析を活用した特殊詐欺防止のための実証実験を開始したと発表した。特殊詐欺では犯人が被害者をATMに誘導し、携帯電話で指示して送金させる手口がある。今回検証する技術では防犯カメラ等の画像をAIで分析、ATM前での携帯電話の通話動作を高い確率で検知できるようになったという。これを使って利用者に告知をおこなうなどの特殊詐欺の被害防止に向けた実証実験をおこなうとしている（ゆうちょ銀行リリース[PDF]）。

はてな匿名ダイアリーに他人のTカードを乗っ取れる脆弱性があるという話が掲載されている。記事の筆者はTカードの運営や着信認証を提供している企業への問い合わせもしたが回答はなく、IPAなどにも連絡したものの報告を受理してもらえなかったので記事として掲載したとしている（はてな匿名ダイアリー）。

あるAnonymous Coward 曰く、

- モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
- 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
- ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

証拠動画
080-1234-5677 というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

Google Play で無害なアプリとしてリリース後、1 年近くたってマルウェア化したアプリについて、発見した ESET が報告している (WeLiveSecurity の記事、 Ars Technica の記事、 The Verge の記事、 The Register の記事)。

このアプリ「iRecorder - Screen Recorder」(Internet Archive) は 2021 年 9 月 19 日に Google Play で最初にリリースされ、2022 年 8 月頃にはバージョン 1.3.8 でマルウェア化していたという。当初は名前の通りデバイスの画面を録画するアプリだったが、その後カメラからのビデオ撮影機能なども追加されたらしい。

マルウェア化したバージョンはオープンソースの遠隔操作ツール AhMyth Android RAT をベースにしたコードが追加されたもので、ESET は AhRAT と名付けている。AhRAT は C&C サーバーに接続してマイクから録音した音声 (調査時点では 60 秒) を送信するとともに新しい設定ファイルを受信する。指定された拡張子のファイルを送信する機能も搭載されていたほか、設定ファイルには実装されていないコマンドも含まれていたそうだ。

アプリ開発者が無害なアプリを Google Play でリリースし、1 年近く待ってからマルウェアに変えるのは珍しいという。以前 Google Play で公開されていたバーコードスキャナーアプリのマルウェア化や Chrome ウェブストアで公開されていた拡張機能のマルウェア化が話題になったが、これらの場合は途中で開発元が変わっている。なお、「iRecorder」という名称のアプリは Google Play で複数公開されているが、このアプリは削除済みだ。

Rubrik Japanが22日発表した調査によると、ランサムウェアの身代金支払い後、攻撃者からの復号化ツールで全データを復旧できたのは日本国内ではわずか13%ほどしかなかったという（Rubrik Zero Labs調査結果、ITmedia）。

あるAnonymous Coward 曰く、

この調査は10カ国1600人以上のITおよびセキュリティリーダー
（最高情報責任者（CIO）および最高情報セキュリティ責任者（CISO）が約半数、
ITおよびセキュリティ担当副社長やディレクタが約半数）が調査対象となっている。
2023年2月10日～2月21日にかけて日本や米国、英国、フランス、ドイツ、イタリア、オランダ、オーストラリア、シンガポール、インドで実施された。

タレコミ子のポイントだけ引用すると
・悪意のあるアクターのサイバー攻撃に際し、（日本の）組織の9割で、データバックアップに影響する試みが確認されており、50%では、こうした試みに少なくとも一部が成功したと回答。
・（日本の）組織の87%は、ランサムウェアの身代金支払いに応じました。
・（日本の）組織のうち、攻撃者からの復号化ツールによって自社の全データを復旧した割合は、わずか13%でした。

さて、身代金を払っても復旧できないのはなぜか？
a,不特定多数型のフィッシングでハナから復旧方法がないタイプの攻撃だった
b,交渉不成立（支払後追加請求された等）で時間切れ
c,スラド民様お願いします。
枠外,提供された復号化ツールの使い方がわからなかった

やや旧聞に類する話題だが、AmazonやAppleのような大手IT企業や、国内でも島根県などでChatGPTのようなAIの利用を禁止する動きがある（Forbes JAPAN、過去記事、過去記事その2、Bloomberg）。禁止の背景には、利用者が個人情報などの機密情報を意図せずアップロードしてしまうことで、機密データを外部に流出させる可能性があるためとされている。そんな中、Cloudflareは15日、ChatGPTなど生成型AIへの機密情報漏洩を未然に防ぐ「Cloudflare One for AI」を発表した（Cloudflare、BRIDGE）。

このツールは、企業が知的財産や顧客データを保護しつつ、最新の生成型AIツールを安全に活用するためのものであるという。Cloudflare One for AIでは、AIツールの使用状況の可視化・計測、データ損失の防止、統合管理といった機能があり、企業に包括的なAIセキュリティを提供するという。加えてCloudflare Gatewayを通じて、組織はAIサービスを試用する従業員の数を把握することが可能としている。

headless 曰く、

Microsoft Edge の組み込み VPN 機能、Microsoft Edge セキュアネットワークはプレビュー版として一部ユーザーに月 1GB の通信量が無料提供されているが、中には 5GB に増量されたユーザーもいるようだ (Neowin の記事、 5GB 提供対象ユーザーの Reddit 投稿)。

1 年前に発表された Microsoft Edge セキュアネットワークは Cloudflareと の提携による通信の保護機能で、当初は Canary チャネルで提供されていた。現在は Canary チャネルでの提供はなくなり、安定版チャネルなど他のチャネルのインストールへランダムに提供されているという。

利用可能な環境では Microsoft Edge の設定画面で「プライバシー、検索、サービス」に「Microsoft Edge セキュアネットワーク」の項目が表示され、オンにすればオプションを選択できる。実際に利用するには Microsoft アカウントへのログインも必要だ。

オプションは指定サイトのみ適用する「サイトの選択」と、パブリックWi-Fi使用時などにストリーミングコンテンツを除いて自動で適用する「最適化」のほか、全トラフィックに適用する「すべてのサイト」が用意されているが、選択可能なオプションは環境によって異なる。手元の環境では安定版で 3 つとも表示されるのに対し、ベータ版では「すべてのサイト」が表示されない。

最近の新しい車両のスマートキーでは、鍵を施錠した車内に閉じ込めたためにドアが開かなくなる「インキー」の状態が起きないような仕組みが用意されている。新型「プリウス」の場合は、スマートキーを車内に置き忘れている場合に警告音が鳴るようになっている。しかしくるまのニュースの記事によると、実際にはスマートキーでもロックがかかってしまうケースも起きるそうだ（安全運転補完計画ユズリアイの該当ツイート、くるまのニュース）。

このハックは安全運転の知識などを発信する安全運転補完計画ユズリアイが7日にツイートしたもので、最初のシーンでは、スマートキーが車内に置かれていることを認識し、インキーにならないことを実演。続いてのシーンでは、運転席のワンタッチパワーウィンドウで窓を自動で閉めつつドアを閉め、外からロックをかけてから、スマートキーを窓が締まり切る前に室内に放り投げることでインキー状態が発生する様子が動画で公開されている。

このように現代の車両は、スマートキーの普及によりインキーになりにくくなっているが、JAFの2021年度のロードサービスの主な出動理由TOP10には、未だに「キー閉じ込み」が5位にランクインしているとのこと。原因としては、スマートキーの電池切れや何かしらのトラブルで車内からドアロックがかかってしまうなどの事例が考えられるという。

Microsoft が Windows 10 の Internet Explorer 11(IE11)無効化計画を再び変更している (Windows message center、 Windows IT Pro Blog の記事、 The Register の記事、 Ghacks の記事)。

2 月の段階ではスタートメニューやタスクバーの IE11 アイコンなど視覚的参照を 6 月の月例更新で削除する計画が示されていたが、更新プログラムによる視覚的参照の削除は取りやめになった。この変更は顧客からのフィードバックを受けたもので、組織は IE 無効化ポリシーを使用して任意のタイミングで視覚的参照を削除できる。また、現在も引き続き IE11 でのアクセスが可能な例外的シナリオの一部について、今後数か月の間に Microsoft Edge へのリダイレクトを開始するとのこと。

IE11 はサポート終了から間もなく 1 年となり、2 月には恒久的な無効化が行われている。今回の変更はよりよいユーザーエクスペリエンスとモダンブラウザーへの円滑な移行を意図したものだといい、詳細は Windows や Microsoft Edge のリリースノートで案内されるとのことだ。