あるAnonymous Coward 曰く、

セキュリティ業界において「悪玉ハッカー」「善玉ハッカー」を意味する「black hat」「white hat」という用語を置き換える提案に対し、セキュリティ界隈が反発、ちょっとした議論になっている（ZDNet Japan）。

英語圏では現在、黒人暴行死事件を受けて、人種差別に繋がるIT用語を排除する動きが広がっている（関連リンク：英国家サイバーセキュリティセンター、用語「whitelist」「blacklist」を使用中止へ、Gitのデフォルトブランチを「master」から「trunk」に変更する動き）。

Googleのセキュリティ責任者を務めるDavid Kleidermacher氏は米国時間7月3日、世界最大規模のセキュリティカンファレンス「Black Hat USA 2020」での講演を辞退するとともに、「black hat」「white hat」という用語の変更をTwitterで呼び掛けた。

しかし、専門家の大多数は同氏の主張に賛同しなかったという。これらの用語は西部劇のお約束（正義の味方役が白い帽子を、悪役が黒い帽子を身に付けること）に由来しており、人種差別や肌の色とは関係がないことが理由として挙げられている。同氏は、由来がどうあれ、こうした用語が「ブラック＝悪」「ホワイト=善」という固定観念を生むと反論している。

なお、事件以前から黒人による抗議の声はあるようで、「倫理的/非倫理的なハッカー」を意味する「Ethical / unethical hacker」が価値中立的な用語とされているようだ。

タレこみ子としては和製英語の「ブラックハッカー」「ホワイトハッカー」に違和感を覚えるが、日本にまで飛び火してくることは当分ないだろう。

情報元へのリンク

あるAnonymous Coward 曰く、

VPNサービスのニュース・レビューサイト「vpnMentor」のブログ記事によると、香港を拠点とする複数の無料VPNアプリの個人情報が流出していたのを発見されたそうだ。各サービスの公称利用者数を合計すると約2000万人分の個人情報が流出している可能性がある（Digital Trends）。

各サービスでは本来はログは保存していないと説明されていたようだ。しかし、流出したデータには、ユーザ登録時のIPアドレスやアカウント名とパスワード、有料版利用者のビットコインの支払い情報やPayPalのURLなどが含まれていた。容量では1テラバイト、内容的には10億行のデータが含まれていたという。

これらのVPNサービスは異なる企業によって提供されていたものの、アプリの配布元はすべて同一の香港の会社だった。また支払いに関してはDreamfii HKという企業だったという共通点があった。さらに各サイトは同じIPアドレスで似たデザインになっていることから、同一提供者によるホワイトラベルだったのではないかとvpnMentorでは予想している。

それぞれのVPNサービスのアプリ名をアプリストアで見てみると、iOS版やGoogle Playでも日本語のレビューが見られることから、日本でも利用者が結構いた可能性があるようだ。利用していた方はパスワード変えるなど対策が必要だろう。

今回データが流出したのは以下のサービス

• UFO VPN
• FAST VPN
• Free VPN
• Super VPN
• Flash VPN
• Secure VPN
• Rabbit VPN

あるAnonymous Coward 曰く、

セキュリティ研究者の報告によれば、ここ2週間ほどの間に、インターネット上に保護されずに公開されている脆弱なデータベースに対して、ほぼ全てのデータが削除された上に「Meow (ニャー)」という猫の鳴き声だけが書き残される「Meow Attack (ニャー攻撃)」が相次いでいるという（GIGAZINE、Slashdot）。

最初に発見されたのは香港のVPN業者UFO VPNのDBへの犯行で、研究者がDBがインターネット上に公開されている旨を企業とやり取りしていたところ、7月21日にDBのデータが削除され、「meow」の文字が残されているのを発見したという。ニャー攻撃はその後も拡大を続けており、27日現在までに、ElasticsearchやMongoDB、Apache Cassandraも含めて4000件以上が被害を受けたとのこと。

当然ながら、インターネット上に保護なく公開されたDBは以前から攻撃を受けているが、だいたいの場合はランサムウェアで身代金を要求されるか、単純に削除されるかとのことで、わざわざ「ニャー」とメッセージを残していく動機は不明。一方で手段については、スクリプトでProtonVPNを経由して行われているとの分析がされている。発見した研究者は「簡単に攻撃可能なほど無防備なので、面白半分でやっているのでしょう」と語っている。

情報元へのリンク

ストーカーが引っ越し時に使用する各種サービスなどを悪用、ストーカーの対象となった女性の郵便物を盗んだり、クレジットカードや銀行口座を使用不能にするなどの行為をしていたことが分かった（FNN、MSNニュース、piyokangoの備忘録）。

犯人は元警察官で36歳の男。出会い系サイトで知り合った20代の女性の郵便物を手に入れるため、日本郵便の提供している転居手続きサイト「e転居」を悪用。女性宛の郵便物を自分の実家の住所に転送していた。男は7月15日に私電磁的記録不正作出・同供用の疑いで逮捕されている。

「e転居」は引っ越しの時に荷物の転送手続きに使用できるサービス。電話確認のみで申請が可能となっており、本人確認の証明書を提示する必要は無かったという。この男はe転居だけでなく、女性に対して複数のサービスで紛失や解約など申請や手続きを行っていた。まとめ記事によると、被害者女性はクレジットカード、携帯電話、水道、電気、銀行口座、NHK（衛星放送）などのサービスが使用不能になっていたとしている。

Microsoftは7月の月例更新で、Windows Serverに17年前から存在していたワーム可能な脆弱性を修正した(セキュリティ更新プログラムガイド CVE-2020-1350、 Microsoft Security Response Centerの記事、 Check Point Blogの記事、 Check Point Researchのブログ記事、 Softpediaの記事)。

発見したCheck Point Researchが「SIGRed」と呼ぶこの脆弱性 CVE-2020-1350はWindows Server 2003以降のDNS Serverに存在し、DNSリクエストのSIGレコードを適切に処理しないことでヒープベースのバッファーオーバーフローが発生する。攻撃者は細工したDNSリクエストをサーバーへ送信することで、リモートからSYSTEM権限で任意コードを実行可能になる。

CVSSスコアは10。ユーザーが操作しなくても脆弱性のあるシステム間でワームが拡散する可能性がある。Microsoftではこの脆弱性を悪用した攻撃を確認していないが、悪用される可能性が高いと判断している。この脆弱性の修正を含む更新プログラムはWindows Server 2008 SP2以降、サポートされるすべてのバージョンのWindows Serverに提供されているほか、レジストリでDNSサーバーが受信するTCPパケットサイズを制限する回避策も紹介されている。

isi 曰く

ウェラブル端末メーカーGarminのサーバーがサイバー攻撃を受けた模様(ZDNetの記事)。

サービスの状況はSystem Statusで確認できるが、現在全サービスがダウンしている。

Garminは23日にコールセンターを含む全サービスの停止を告知したのち3日間沈黙していたが、日本時間26日になってプレスリリースを更新し、FAQページを公開した。FAQページは日本語版も用意されているものの、Garminの日本のWebサイト(https://www.garmin.co.jp/)のトップページにはサービス停止に関する情報自体出ておらず、簡単にはたどりつけない。なお、サービス停止の原因はランサムウェアによるものとの見方が強く出ているが、現在のところGarminではサイバー攻撃を受けたことを認めていない。

//大本の記事を見るとやや時間が経過しているようですが、直接取り上げられていないこと、先日あったマイナンバーカードに運転免許証の機能を持たせる話とも関係するようなのでので触れておこうと思います。

経済産業省が6月22日に、スマートフォンを身分証明書として利用できる国際規格案が標準化に向けて審議されたと発表した。この規格は日本から提案したもので、複製・偽造・改ざん等を防ぐ国際的な仕組みを整備することを目的としている（経済産業省、セキュリティ通信、ケータイ Watch）。 日本が提案したものは、今まで国際標準化機構（ISO）・国際電気標準会議（IEC）の合同専門委員会で議論されていたデータ形式や、証明書の発行者や運用者、プロトコルなどの議論に追加するもので、セキュアエリアの信頼度を確認するための仕組みが提示されているという。

この規格が成立し、関連規格が実装された機器が普及すれば、各種免許などを含む身分証明機能を安全に利用できるとしている。経産省のリリースでは2022年に国際標準化を目指すとしている。

先日あったマイナンバーカードと運転免許証を一体化するという報道は、この経産省のリリースの翌日に行われている（時事通信）。この施策についても政府が22年度末に全国民がカードを保有することを想定しているとされており、国際規格案の進展に合わせた内容になっている模様。

あるAnonymous Coward 曰く、

世界ではバッタの大量発生による蝗害が話題になっているが、実は国内でもカメムシ類が大量発生する問題が指摘されている（令和2年度 病害虫発生予報第4号[PDF]、読売新聞、まいどなニュース）。

農林水産省が発表している「病害虫発生予察情報」でも、6月10日の「病害虫予報第3号」では西日本を中心に14県に注意報が発令、その後の4号となる7月1日版でも6県から注意報が発令、関東や東北などでも発令が確認されている。また14日には群馬県でも発令が確認されている。群馬県での発令は6年ぶりだという。

過去のニュースによれば、昨冬が記録的な暖冬だったことで、冬を越した成虫が大量に発生したのが原因だとしている。カメムシが大量発生するとモモやブドウ、カキ、かんきつ類の果汁を吸い、吸われた果実は商品価値が喪失してしまうとされている。

7月14日時点で病害虫発生予察情報（カメムシ注意報）が発令されている府県は以下の通り
富山、岐阜、愛知、滋賀、兵庫、奈良、岡山、山口、香川、愛媛、福岡、佐賀、長崎、熊本、福島、栃木、長野、石川、京都府、鳥取、広島、群馬

headless 曰く、

未改造のPlayStation 2(PS2)で自作プログラム(ホームブルー)を実行可能にする脆弱性が新たに見つかり、これを利用するエクスプロイト「FreeDVDBoot」が公開されている(開発者による解説記事、 Ars Technicaの記事、 GitHubリポジトリ)。

利用する脆弱性はPS2のDVDプレイヤーに存在する境界外アクセスの脆弱性だ。細工したIFOファイルを含むDVDメディア(DVD-R推奨)をDVDビデオディスクとして認識させることで、任意の実行ファイル(ELFファイル)を実行可能になる。

GitHubで公開中のエクスプロイトではVTS_02_0.IFOにリネームしたランチャープログラム「uLaunchELF」が起動し、同じディスクに書き込んだELFファイルを選択して起動できるようになっている。uLaunchELFを他のELFファイルと置き換えれば直接起動させることも可能だという。

現在のところ対応するDVDプレイヤーのバージョンは3.10/3.11。すべてのリージョンに対応するが、PS2の言語は英語に設定する必要がある。開発者のCTurt氏は対応言語を増やすことよりも、対応バージョンを増やすことを優先したいと述べている。

PS2のハックは今更という感じでもあるが、コピープロテクトされたゲームのバックアップをプレイすることも可能だという。ネットワークを通じたファームウェアアップデートが一般的になる前のPS2で、このような脆弱性が全盛期に発見されなかったのはソニーにとって幸運だったとArs Technicaは評している。

80個近いネットギア製のネットワーク製品に脆弱性があること報じられている。脆弱性を悪用された場合、攻撃者に管理者権限で任意のコードを実行される可能性があるとされる（マイナビ）。

あるAnonymous Coward 曰く、

トレンドマイクロが運営するZero Day Initiative (ZDI)は6月15日、NETGEAR製品に幅広く影響する計10件の脆弱性を公開した（JVNの発表）。 この脆弱性はTeam FlashbackのPedro Ribeiro氏とRadek Domanski氏、およびVNPT ISCを通じてd4rkn3ss氏によって報告された。10件中8件はリモートからの任意コード実行が可能となるもので、Web管理画面のCGIプログラムに対するバッファオーバーフロー攻撃などで発生する。JVNによると以下の諸問題のため、影響が深刻化するおそれがあるという。

1. 当該製品では httpd が root 権限で動作している
2. Netgear 製品では、バッファオーバーフロー対策に用いられる Stack cookie (カナリア値) が使用されていないものが多い
3. 本脆弱性の攻撃には認証を必要としない
4. CSRF 対策のトークンがチェックされる前の段階で本脆弱性の攻撃が可能
5. 機器の情報が /currentsetting.htm ページを閲覧するだけで取得できるため、攻撃者にとって攻撃対象の選定が容易

すでにZDIによってZDI-20-709の解説と実証コードが公開されているほか、サイバーセキュリティ組織のGRIMMも独自にZDI-20-712に相当する脆弱性を発見・報告しており、その解説と実証コードが公開されている。 ZDIでは2019年11月から2020年2月にかけてNETGEARに脆弱性を報告して公表に向けた調整を進めていたが、報告から120日が経過したため、修正プログラムの提供を待たず公表に踏み切ったという。NETGEARは6月18日にセキュリティアドバイザリを公開、一部製品については修正プログラムの提供を開始し、残る製品についてはリモート管理機能をオフにする回避策を推奨している。最大で80種類近くの製品が影響を受ける可能性があり、米CERT/CCが脆弱性の影響を受ける製品一覧とそれらの対応状況をGoogle スプレッドシートで公開している。

情報元へのリンク