不正に改変したウェブページを通じて偽のブラウザーアップデートをダウンロードさせる ClearFake キャンペーンはこれまで Windows ユーザーをターゲットにしていたが、Mac ユーザーを対象にしたものが登場した (Malwarebytes のブログ記事、 9to5Mac の記事)。

Mac 版の ClearFake キャンペーンは Apple SafariやGoogle Chromeの偽アップデートをダウンロードさせるものだ。Safariの偽ダウンロードページに掲載されているアイコンは古いデザインだが、サポートページへのリンクもあり、ダウンロードファイルの説明も本物らしく見える。しかし、ダウンロードした.dmgファイルの内容はAtomic macOS Stealer (AMOS) と呼ばれる情報収集型マルウェア(stealer)だという。

AMOSはパスワードやキーチェーンのほか、さまざまなファイルを収集してサーバーに送信する。今春初めて発見され、9月にはGoogle検索を通じた不正広告キャンペーンで配布されていた。

headless 曰く、

Blackwing Intelligence が Windows Hello 指紋認証を用いるノート PC の指紋センサーを調査し、指紋認証の突破に成功したそうだ (Blackwing Intelligence のブログ記事、 The Verge の記事、 Ghacks の記事、 Bleeping Computer の記事)。

Windows Hello 指紋認証ではチップ上に指紋データを確認して認証を行う Match on Chip (MoC) と呼ばれる指紋センサーを用いる。MoC では指紋データがホストに送られることはなく、バイオメトリック情報の盗難を懸念する必要もない。MoC 自体にはセンサーのなりすましを識別する機能が搭載されていないが、指紋センサーのセキュリティを確実にする Secure Device Connection Protocol (SDCP) も用意されている。

Blackwing Intelligence は Microsoft Offensive Research and Security Engineering (MORSE) の依頼を受け、Dell Inspiron 15 と Lenovo ThinkPad T14、Microsoft Surface Pro 8 (指紋センサー搭載タイプカバー) を調査。3 機種はそれぞれ指紋センサーも実装も異なるが、最終的にはなりすましの指紋センサーで認証を突破できたという。なお、SDCP が完全にサポートされ、有効になっていたのは Inspiron 15 のみ。ThinkPad T14 と Surface Pro 8 では SDCP が使用できなかったとのことだ。

あるAnonymous Coward 曰く、

朝日新聞の記事によると、11月23日夜、岸田文雄首相が、急遽移動し、首相官邸に近いホテルに宿泊したそうだ。

関係者によると、首相公邸の設備不具合が理由で、詳細は安全上の理由から明らかにできないそうだ。夜になってから首相が急遽移動して、ホテルに泊まるのは極めて異例らしい。

政府が2026年に導入予定の新しいマイナンバーカードの概要が明らかになった。読売新聞の記事によれば、新しいカードでは、ICチップに組み込まれた電子証明書の有効期間が現行の5年から10年に延長される。マイナンバーカードは本人確認手段として広く利用されているため、カードの券面には氏名、生年月日、住所、顔写真が引き続き記載される。ただ、性的少数者への配慮を求める声が出ていることから、性別は記載されない方向で検討されているという（読売新聞）。

非公開の作業部会が21日、中間骨子案をまとめた。政府はパブリックコメントを募り、年内に中間取りまとめを行う予定。電子証明書はオンラインの行政手続きで使用され、更新時は役所などに出向く必要があるが、カードと有効期間を合わせることで更新が1回で済むようになるとしている。

headless 曰く、

ALPHV/BlackCat として知られるランサムウェアグループが攻撃を実行した企業について、重大なサイバーセキュリティインシデント発生時の開示義務を怠っていると米証券取引委員会 (SEC) に報告したそうだ (DataBreaches.net の記事、 Ghacks の記事)。

ALPHV によれば 11 月 7 日、金融機関向けにデジタルレンディングプラットフォームを提供する MeridianLink を攻撃し、ファイルの暗号化は行わずにファイルを盗み出したという。ALPHV は MeridianLink がその日のうちに攻撃を察知してパッチを当てたと主張している。ALPHV が 15 日までに行った SEC への報告では、重大なサイバーセキュリティインシデント発生後 4 営業日以内に義務付けられている Form 8-K での報告を MeridianLink が行わなかったと主張しているとのこと。

一方、MeridianLink では投資家向けページで 15 日に発表した第 1 報でサイバーセキュリティインシデント発生を報告し、本番環境のプラットフォームへの不正アクセスはなく、業務への影響は最低限だったと説明した。20 日の第 2 報では非特権ユーザーアカウントへの不適切なアクセスを 10 日に確認したこと、攻撃者は同社のネットワークやサーバーなどにはアクセスしておらず、ランサムウェアやマルウェアの侵入もないことなどを追記している。

両者の主張するサイバーセキュリティインシデント判明日は異なっており、MeridianLink の主張する 11 月 10 日であれば、15 日が 4 営業日目となる。ただし、SEC の Form 8-K による報告義務付けルールが発効するのは 12 月 18 日であり、現時点で報告は義務付けられていない。ALPHV が DataBreaches.net に提供した SEC の応答も自動返信によるものであり、ルール違反が確認されたわけではないようだ。

headless 曰く、

NordPass が 2023 年版の流出パスワード トップ 200 を公開している (Top 200 Most Common Passwords、 The Register の記事)。

今回のランキングは外部リサーチャーの協力を得てダークウェブを含むさまざまなソースから抽出した流出パスワードのデータベース 4.3 TB を調査したもので、35 か国分のデータが含まれる。日本のデータは昨年も少なかったが、今年は含まれていないようだ。

昨年のランキングでは何年も1位を維持していた「12345」「123456」といったパスワードを抑えて「password」が 1 位となっていたが、今年は昨年 2 位の「123456」が 1 位に復帰した。「password」は 7 位に後退しており、過去 4 年間のランキング (PDF) に入っていなかった「admin」が 2 位となっている。

パスワードのクラックに要する時間でみると、139 件が 1 秒未満でクラック可能とされる。クラックに時間がかかるパスワードは 173 位の「theworldinyourhand」が数世紀、54 位の「admintelecom」が 23 日、56 位の「123meklozed」が 12 日、151 位の「undefined」が 16 時間となっている。

これらのクラックに時間がかかるパスワードは過去 4 年間のランキングには入っていないものばかりだ。このほか、過去 4 年間のランキングに見られないパスワードとしては、1秒未満でクラック可能な「*」の羅列が (19 位「********」、27 位「******」、52 位「**********」、63 位「*************」) が目立つ。

headless 曰く、

Electronic Frontier Foundation (EFF) が Amazon.com で販売されていた子供向けタブレット製品を調べたところ、複数の怪しいソフトウェアがプリインストールされていたとして注意喚起している (EFF のブログ記事、 HackRead の記事)。

この製品は Dragon Touch の KidsPad Y88x 10 という子供向け 10 インチタブレットで、既に製品ページは削除されている。7 インチモデルは現在も販売されているが、10 インチモデルの OS が Android 9 Pie なのに対し、7 インチモデルは Android 12 と新しく、プリインストールソフトウェアも異なる可能性がある。Amazon.co.jp でも 7 インチモデルは販売されていたが、こちらは Android 10.0 となっている。

最初に挙げられているのはマルウェア Corejava の痕跡だ。このタブレットには Corejava のディレクトリが存在し、初回起動時に Corejava の C2 サーバーにリクエストが送られたという。ただし、EFF がタブレットを最初に起動した 2023 年 5 月の時点で C2 サーバーは停止しており、現在のところペイロードが送られてくることもない。

また、このタブレットではデバイスを子供向けに変える KIDOZ アプリのプリインストールが売りになっている。KIDOZ アプリは米児童オンラインプライバシー保護法 (COPPA) 認証済みとされているが、プリインストールされているバージョンは古いもので、情報を広告サーバーに送るような古いアプリを含むアプリストア機能が搭載されている。そのため、このバージョンは 5 つのセキュリティベンダーがアドウェアと認識しているが、アプリストア機能の削除された最新バージョンでは 2 ベンダーに減少する。

このほか、過去にマルウェアであったこともある Adups アプリの「クリーンなバージョン」もファームウェア更新ソフトウェアとしてプリインストールされているとのこと。ただし、アプリにはシステムレベルのパーミッションが付与されており、Adups のサーバーから何でもインストールできるため、不安が残る。また、アプリのアンインストールや無効化は容易でなく、デバイスをファクトリーリセットすれば復活するとのことだ。

Apple や Google、Microsoft などはパスワードレス化への取り組みを進めているが、Delinea の報告書 The Future of Workplace Passwords: Not Dead, but Evolving によれば米国の IT 意思決定者 300 人の 68% がパスワードは死んでいないと答えたそうだ (ニュースリリース、 BetaNews の記事)。

53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。

スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。

Meta が 16 歳未満の使用するアプリについて、アプリストアが保護者の許可を得てから提供するようにすべきだと主張している (Meta のブログ記事、 The Guardian の記事、 The Register の記事)。

米国では各州がそれぞれ異なる法律を制定してアプリの年齢制限や年齢確認を義務付けており、州によって未成年者の保護範囲が異なる。年齢確認はアプリごとに異なるサインアッププロセスの中で行われ、それぞれ異なるセキュリティやプライバシープラクティスを持つアプリにセンシティブな身分証明書の情報を繰り返し送信する必要がある。

そのため、アプリストアでユーザーの年齢確認を行い、必要に応じて保護者の合意を義務付けることで、保護者の負担やセキュリティ・プライバシー上の不安を減らすことが可能になるというのが Meta の主張だ。これを実現するため、Meta では国レベルでの法制化を行うよう呼び掛けている。

Meta (Facebook と Instagram) は Google (YouTube) や ByteDance (TikTok)、Snap (Snapchat)とともに、欠陥のある設計で未成年者をソーシャルメディア依存に導いたとして30州の学区から訴えられている。被告側は米通信品位法 230 条で免責対象になるなどとして棄却を申し立てたが、カリフォルニア北部地区連邦地裁の Yvonne Gonzalez Rogers 判事が 14 日に申立を却下し、訴訟が継続することになった (Ars Technica の記事)。

あるAnonymous Coward 曰く、

プライバシーに配慮したメールサービスとして知られるTutanotaの名前がTutaと短くなった（Time to celebrate: Tutanota is now Tuta.）。

元の名前のTutanotaはラテン語で、"secure message"の意味だそうだが、電話で話すときにTutanotaといっても通じにくかったり、カジュアルな会話で覚えてもらうのが大変だったりしたそうで、覚えやすい名前にしたというのが変更した理由のようだ。Tutaのドメインはブラジルの人が所有しており、ちょうどブラジル旅行を予定していた人が持ち主とレストランで食事をしながら譲渡契約を結んだそうだ。

Tutaはメールボックス全体を暗号化していることで知られており、Eメール(件名と添付ファイル含む)、カレンダー、アドレス帳がエンドツーエンドで暗号化されている。暗号化されていないデータは、メールアドレスだけとなっている。

とはいえ、今時、対人でメールのやりとりをするのも稀だろうから、どれぐらい意味があるのか、という気もしなくもない。日本からTutaを使う場合、例えば日本のECサイトからの平文メールが、メールサーバーがあるドイツまで送られる間に、その気になれば盗み見されそうである（もちろん双方がTutaのメールアドレスの場合は、暗号化されてTutaも見ることはできない）。

そうなると復号化とドイツまでの距離の分、起動に時間がかかるメールサービスでしかない。そういう意味では、暗号化されたカレンダーの方が価値があるかもしれない。PCとAndroidのF-DroidのTutaアプリを使えば、PCとスマートフォンでカレンダーを共有できる。なお、もちろん、Google Play版もある。

8月に発覚したプライバシーマーク認証に関連する情報漏洩問題で、日本情報経済社会推進協会（JIPDEC）が13日、問題の続報を発表した。以前の記事の通り、漏洩の原因は、審査員が個人のパソコンで業務を行い、廃棄すべき資料を規則に違反してNASに保存、セキュリティ対策をしていなかったことから起きた（JIPDEC発表、ITmedia、日経クロステック）。

その結果、審査関連資料と審査員の個人情報が少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていた。また同期間中に、少なくとも3種類のランサムウエアによる攻撃を受けて暗号化されたファイルがあることも確認されたとのこと。最大888社の事業者の審査関連資料や審査員名簿が漏洩している可能性があるものの、現時点で不正利用の報告はないとしている。JIPDECは個人所有PCでの審査業務を全面禁止し、今後は貸与されたPCのみを利用して審査業務を行い、監視・点検を行う対策を実施するとしている。

短縮URLサービス利用時に不正サイトへの誘導がおこなわれる事例が増えているそうだ。過去に紹介されているようなQRコードのシール上書きと行った手法ではなく、短縮URLが乗っ取られた可能性が高いという。piyologでこの問題に関する記事がまとめられている（piyolog、Haruhiko Okumuraさんのポスト、shao as a serviceさんのポスト、情報通信工学科さんのポスト）。 この事例の一つであるいなげやは11月9日、一部店舗で掲示していたQRコードにアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表した。短縮URLサービス中の広告表示が原因と考えられている（いなげや：ネットスーパー入会案内における注意のお知らせ[PDF]）。

確認された情報によると、QRコードの短縮URLは無料のサードパーティ短縮URLサービス「オンラインツール(onl.jp)」を使用しており、このサービスではGoogle Adsを含む悪質な広告が表示されることが確認された。11月12日には広告の挿入が停止されている。

同様の事案は他の組織でも発生しており、学習院大学も不正なリンク先に転送されるQRコードを大学案内2024に掲載していたことが判明。このほかオートバックスなどでも同様の事例が起きていたとしている。いなげやは短縮URLの利用について再点検を行うことを推奨している（学習院大学リリース、オートバックスセブンリリース[PDF]）。

headless 曰く、

Google の検索広告を悪用し、トロイの木馬化した CPU-Z のインストーラーをダウンロードさせる不正広告攻撃キャンペーンが確認された (Malwarebytes のブログ記事、 BleepingComputer の記事)。

不正広告は CPU-Z の Google 検索結果に表示される。リンク先は普通のブログのように見えるが、リンクをクリックしたのが実際に CPU-Z をダウンロードしようとするユーザーだと判定すると偽の CPU-Z ダウンロードページにリダイレクトされる。偽ページは Windows Report の CPU-Z ダウンロードページをコピーしたものだ。

今回の不正広告攻撃との関連は不明だが、コピー元となった Windows Report の正規のページは最近削除されたようだ。11 月 6 日に保存された Google キャッシュでみると、ダウンロードリンクは CPU-Z の公式サイトにリンクしているが、ダウンロードされるファイルは CPU-Z 1.91 で、2019 年にリリースされた古いものだ。

一方、偽ページからダウンロードできるファイルはデジタル署名された MSIX インストーラーで、FakeBat として知られる悪意ある PowerShell スクリプトのローダーが含まれていたそうだ。スクリプトのペイロードは情報窃取型マルウェア Redline Stealer だという。

Google は BleepingComputer に対し、マルウェアを含む広告を許容しないと述べ、問題の広告を削除して関連するアカウントに適切な対応を行ったなどと説明したとのことだ。

NTT西日本の子会社であるNTTマーケティングアクトProCXで発生した個人情報流出の問題に対応するため、NTTの島田明代表取締役社長は、7日のNTT決算会見でUSBメモリの業務使用を一切禁じる方針を発表した（ケータイ Watch）。

島田社長は会見で事件について謝罪。NTTグループ内では、記録媒体の持ち込み禁止や操作を検知するソフトウェアの導入などルール化はされていたと説明。実際にガバナンスがきちんと効いていなかったこととして、対策として、グループ全体でのルールの確認と見直しを行うことを明らかにした。

さらにUSBメモリーの業務使用に関しては、従来の「業務のなかで基本的には原則使わない」とする方針から、「原則」もなく一切使わないような形にすると説明した。例外的に使用する場合は許可制とする考えを示した。同時に、操作検知の仕組みの徹底と抜き打ち監査も検討していると述べている。

農林水産省は、世界的な穀物不作や紛争による深刻な食料不足時に、国内の生産者に対し、高カロリー作物への転換を指示できる制度を検討する方針を決定した（NHK）。

食料安全保障の有識者会議で示された対応案によれば、極端な食料不足時には政府対策本部を設置し、さつまいもやコメといった高カロリー作物の生産者に対し増産を指示することが考えられている。同時に、野菜などほかの作物の生産者に対しても、高カロリー作物への転換を指示する可能性が検討されている。ただし、指示時には生産効率や栄養バランス、食生活への影響などを考慮する必要があるとしている。異論は出なかったとされ、今後は具体的な制度の検討が進められる予定としている。