Anonymous Coward曰く、

新型コロナウイルスの感染拡大による外出自粛を受けて、オンラインでのミーティングを行えるビデオチャットサービスが注目されている。その1つに「Zoom」があるが、このZoomに対しセキュリティ面での懸念の声が出ている。

その1つに、通信内容の暗号化に関するものがある。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド（E2E）で暗号化されると明示されているものの、The Interceptによると、実際にはエンドツーエンドでの暗号化は行われていないという（ITmedia、Slashdot）。

エンドツーエンド暗号化の定義としては、暗号化された情報を復号できる鍵は利用者（クライアント）のみが所有することになっている。しかし、Zoomのビデオ会議はTCP接続ではTLSを使い、UDP接続ではTLS接続でネゴシエートされたキーを使ってAESで暗号化していると答えた。これではエンドツーエンド暗号化の要件には当てはまらないことになる。

また、これ以外にもWindows版のクライアントには悪意のあるリンクをチャット画面に送信することで接続情報を奪うことができるという脆弱性が存在するという話や（Business Insider）、Mac版クライアントでは攻撃者が外部から管理者権限を取得できる脆弱性や、利用者の同意なしにカメラやマイクへのアクセス権を取得できるという脆弱性も存在するという（TechCrunch、ITmediaの別記事）。

あるAnonymous Coward 曰く、

最近急速に使われだしているビデオ会議ツール「ZOOM」だが、Web検索結果から「怪しいZOOM」をインストールしてしまうケースが報告されているとして、IPAが注意を呼びかけている(ITmedia NEWSの記事、 IPAのツイート[1]、 [2])。

この「怪しいZOOM」は、起動すると警告画面が表示され、そこに表示された電話番号に連絡するとサポート料金が要求されるというもの。いわゆる「テクニカルサポート詐欺」の一種と見て良いだろう。IPAによると、こういった相談がここ2週間で7件寄せられているという。

Anonymous Coward曰く、

青森県で3月30日に新型コロナウイルスへの感染が確認された20代男性のカルテが、SNSなどに流出した（NHK、河北新報、毎日新聞）。

地方では感染者を特定しろというような声が出ているという話も聞くのでそういう感じで出しちゃったのだろうか。

報道によると、流出しているのは電子カルテを印刷したものの一部を撮影したもので、データは30日午前時点のものだったという。このカルテは指定医療機関のほか4病院の医師や看護師、約500人が閲覧できた。

パナソニックが製造・販売している、専用工具不要で結線できるCAT6/CAT5eケーブル向けモジュラープラグ「ぐっとすプラグ」を利用して、数秒でLANケーブルにパケット盗聴器を接続するという手法があるそうだ（DARK MATTER）。

ぐっとすプラグは、プラグに取り付けられた接点にケーブル芯線をはめ込んでキャップをつけるだけでケーブルへのプラグ接続が完了するというもの。このプラグは構造上芯線を切断せずにプラグを取り付けられるため、盗聴したいケーブルに対し2箇所で被覆を剥いてプラグを接続し、その後接続した2つのプラグ間のケーブルを切断すると共に2つのプラグをリピータハブに接続することで、数秒でケーブルにリピーターハブを取り付けられるという。

実際にこの作業を行なった実験では、この作業によってLANケーブルによって接続されていた機器間のリンクが切断された時間は5秒だったとのこと。

人気のRubyGemパッケージに似たパッケージ名を付け、タイプミスを狙ってダウンロードさせようとする悪質なRubyGemパッケージが短期間に多数公開され、多数ダウンロードされていたそうだ(ReversingLabs Blogの記事、 Ars Technicaの記事)。

有名ドメイン名やパッケージ名のタイプミスを狙う攻撃は「タイポスクワッティング」などと呼ばれる。2017年にはこの手法を使用した悪質なパッケージがPyPIで発見されたことがスラドでも話題になった。調査を行ったReversingLabsもこの手法を使用する悪質なパッケージをPyPIやNPMで発見しているという。

タイポスクワッティングに絞って行われた今回の調査では、人気のRubyGemパッケージのリストを作り、名前の似たパッケージのアップロードを2月16日から25日まで監視。その結果、700以上の悪質なパッケージが2つのアカウントからアップロードされたそうだ。悪質なパッケージのダウンロード数は2アカウント合計で10万件近くに上り、たとえば悪質なパッケージ「atlas-client」は本物の「atlas_client」のダウンロード数の3分の1近くダウンロードされていたとのこと。

悪質なパッケージはいずれもWindowsユーザーをターゲットにしたものとみられ、インストールすると最終的にVBScriptがループで常駐してクリップボードを監視する。クリップボードで暗号通貨ワレットアドレスに一致する形式の文字列が検出されると、攻撃者の支配下にあるアドレスに置き換える処理が行われるとのことだ。

headless曰く、

MicrosoftがMicrosoft EdgeでサポートされるOSに関するドキュメントを公開し、Windows 7/Server 2008 R2のサポートを2021年7月15日で終了すると明記した（Microsoft Docs、Ghacks）。

Windows 7の延長サポート終了翌日にリリースされたChromiumベースの新Microsoft EdgeはWindows 7向けにも提供されている。GoogleはChromeで少なくとも18か月間Windows 7をサポートする計画を示しており、Microsoftも当初は同様のサポート期間を示したが、その後期間に関する説明を取り消していた。

そのため、Windows 7の有料セキュリティアップデートオプション（ESU）が提供される3年間は新Microsoft EdgeでWindows 7をサポートするのではないかという見方も出ていたが、2021年7月15日までであれば結局18か月間ということになる。なお、新Microsoft EdgeではWindows 7上でもIEモードを使用できるが、安全に使用するにはESUが必要となる。ESUを利用していない環境では機能しなくなる可能性もあるとのことだ。

Microsoftは3月31日、同社製WebブラウザーのTLS 1.0/1.1デフォルト無効化を延期すると発表した(Microsoft Edge Blogの記事、 Ghacksの記事、 Neowinの記事、 On MSFTの記事)。

Apple/Google/Microsoft/Mozillaのメジャーブラウザー4社はTLS 1.0/1.1無効化計画を2018年10月に発表しており、Microsoftは2020年上半期にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトで無効化する計画を示していた。

しかし、現在の世界を取り巻く状況(COVID-19パンデミック)を考慮して、上半期中にはデフォルト無効にしないことを決めたそうだ。そのため、Chromiumベースの新Microsoft Edgeでは7月にリリース予定のバージョン84よりも前にデフォルト無効にすることはなく、Internet Explorer 11とレガシーEdgeでは9月8日(9月の月例更新提供開始日)にデフォルト無効にする計画だという。

TLS 1.0/1.1がデフォルト無効になった後もユーザーは再度有効化できるが、組織に対しては現実的に可能な限り早くTLS 1.0/1.1の使用をやめるようMicrosoftは推奨している。ちなみに、Mozillaはデフォルト無効にしていたTLS 1.0/1.1をFirefox 74で再度有効化している。

なお、MicrosoftはGoogleがChrome 81の安定版リリース延期を発表したのに合わせて新Microsoft Edge 81の安定版リリースを延期していたが、Googleのメジャーアップデート再開に伴い、Microsoft Edge 81を4月初めにリリースし、Microsoft Edge 83を5月半ばにリリースする計画を同日発表している。また、Chrome 82に合わせてMicrosoft Edge 82もリリースしないとのことだ(Microsoft Edge Blogの記事[2])。

人体の活動データを用いて暗号通貨を採掘する、というシステムの特許をMicrosoftが出願している(WO/2020/060606、 On MSFTの記事)。

仕組みとしては、サーバーから提供された何らかのタスクをユーザーが実行する際の身体活動データをクライアント側のセンサーで取得し、暗号通貨システムへ送信して一定の条件を満たすことが確認されたらユーザーに暗号通貨が支払われるというもの。サーバーはWebサーバーやゲームサーバー、アプリケーションサーバーなどで、ユーザーは特に暗号通貨採掘を意識することなくサービスを利用するだけでいい。センサーで取得する活動データとしては体の動きのほか、血流や脳波といったものも挙げられている。暗号通貨の採掘には膨大な計算が必要となるが、身体活動から生成されたデータに置き換えることで必要な演算能力を削減できるとのことだ。

3月末に青森県で新型コロナウイルス感染者のカルテが流出する事件があったが（過去記事）、流出元は感染症病棟勤務の看護師だったことが判明した（毎日新聞）。

この看護師は、「心構えを」という趣旨でこのカルテの画像を病棟内の看護師にLINEで送信したが、その後この画像が看護師間で転送され、その後その親族などに転送されるなどして拡散してしまったという。これら看護師に対しては懲戒処分が行われるようだ。

Twitterで、非公開のダイレクトメッセージやダウンロードしたデータが、Firefoxのキャッシュに保存されるという問題が発生していたそうだ。個人が1人で使用するようなPCで利用している場合は大きな問題にはならないが、多人数で共有しているようなPCでTwitterを使用している場合、問題となる可能性がある（CNET Japan）。

この問題はすでに修正されているとのこと。なお、Google ChromeやSafariなど他のブラウザではこの問題は発生しないという。