英国防省(MOD)は8日、MODのシステムやサービスに関する脆弱性開示ポリシーを発表した(ガイダンス、 The Registerの記事、 HackerOne報告ページ)。

MODへの脆弱性報告はHackerOneを使用するが、あくまで脆弱性開示プログラムであり、報奨金は支払われない。手間暇をかけて脆弱性を報告する人を評価すると述べる一方、脆弱性開示と引き換えに金銭的補償を求めることは禁じている。

このほか、違法行為や必要以上のデータアクセス、データ改変、MODスタッフやインフラストラクチャーに対するソーシャルエンジニアリング攻撃や物理的な攻撃、DoSなどが禁じられる。また、悪用できない脆弱性やTLS構成の弱さなどに関する報告は受け付けない。データ保護のルールに従ってデータを扱い、必要のなくなったデータを破棄することなども求められる。

このようなポリシーに従って脆弱性を報告する限り、報告者が訴追されることはないとのことだ。

ブラウザアプリ「Smooz」個人情報を数多く送信しているとして話題になっているようだ。Smoozは検索するだけでポイントがもらえるサービスなどを提供しており、人気を博しているのだという。一方でこのことを指摘しているreliphone (for iPhone) の記事によれば、その利用情報がすべて開発元のアスツール社に送信されているそうだ。

reliphone (for iPhone) の複数回にわたって行われた検証記事では、Smoozがどのような挙動を見せているのかなどの点を指摘している。記事冒頭の何が行われているかをまとめてある部分を引用すると次のようになる（reliphoneその1、その2、その3）。

• デフォルトの設定では、設定・操作・閲覧情報がユーザーID、デバイスIDと共にアスツール社のサーバーへ送信されている
• 検索窓に入力した文字は、検索ボタンを押さなくても、その内容が逐一アスツール社のサーバーへ送信されている
• 検索内容がアダルト関連ワードかどうかがアスツール社のサーバーに送信され判定されている
• サービス利用データの提供設定をオフにしても、閲覧情報がアスツール社のサーバーに送信されている
• プライベートモードにしても、閲覧情報がアスツール社のサーバーに送信されている
• https通信であろうとも閲覧したURLは完全な形でアスツール社のサーバーに送信されている

ただしユーザーはこのアプリを利用する時点で、同社の規定しているプライバシーポリシーには同意しており、個人情報の流出はユーザー自身が認めたものとなっている。また公式Twitterの説明でも、収益を得る方法として、

①アプリ内のフィード等に表示される広告 ②プレミアムサービスの月額課金

としており、個人情報を利用して広告を表示することで収益を得ていること自体は明記されている。ただしSmoozによって送られた情報は非常に多く、送られたその情報がどのように扱われているかは不透明な部分が多い。こうした指摘を受けて、開発元のアスツール社は声明を発表した。

ただし、20日夜の段階では

ご指摘により新たな問題が見つかったので、App StoreおよびGoogle PlayでのSmoozの配信を停止いたしました。

とTwitterで発表している。

パスワード付きZIPとパスワードを別メールで送信するPPAP廃止の動きが広まってきている。代替策として提案されるようになってきたのが、民間のストレージサービスでファイルを共有、圧縮ファイルを解凍するパスワードをメールで送信する、パスワードを電話などで口頭で伝えるという方法だ（過去記事、ITmedia）。

パスワードを電話で伝える方法は、相手がリアルタイムで電話に出なければならない、口頭で伝えられたパスワードをメモる必要がある等々面倒すぎることから、現実的ではないと思われていた。しかしTogetterのまとめによれば、実際にこの方法を採用している例も出ている模様。パスワードのアルファベットを間違いなく口頭で伝えるために

取引先「フォックスロット、タンゴ、アルファ、ナイン、ナイン。復唱お願いします」

といったフォネティックコードを使う必要があるのではという意見も出ている。

中国に進出した企業が導入を義務づけられている税務ソフトに、GoldenSpyと呼ばれるスパイウェアを自動インストールする機能が備わっているという。日経新聞によれば、こうした行為から、これまで中国との関係の良かったドイツでも中国への不信感が広がっているという（日経新聞）。

このスパイウェアは6月にサイバーセキュリティ企業Trustwaveによって発見されたもので、発見時のレポートによれば、中国のドメインにシステム情報を送信する機能を持っているとされる。システムに隠しバックドアがインストールされ、攻撃者がWindowsコマンドを実行したり、任意のバイナリをアップロードするなどの行為が可能になる。

中国公認の税務ソフトには、航天信息と百望雲という2社の企業のものが提供されているが、いずれもGoldenSpyをインストールする機能が備わっているという。スパイウェアは税務ソフトをインストールしてから2時間後に自動インストールされ、検知しにくくしているらしい。またスパイウエアは2つのプログラムに分かれていて、どちらかを消しても自動的に復活してしまうとされる。また税務ソフト本体を削除した場合でも、スパイウエアだけは残るとしている。

こうした背景から8日、ドイツ政府は中国国有企業の中国航天科工集団（CASIC）の子会社による人工衛星やレーダー関連技術企業IMSTの買収を阻止していたことが判明した。日経新聞の記事によれば、CASICは先の税務ソフトメーカーの一つである航天信息の親会社だとしている（ロイター）。

Dharma-store 曰く、

どういう所から入手してくるのか分からないのですが、大学入試センターが関係者に提示した「情報」の試作問題が報道されています（【独自】共通テスト「情報」で試作問題示す…プログラミングによる課題解決など : ニュース : 教育 : 教育・受験・就活 : 読売新聞オンライン）。

【独自】のアオリがなんとも勇ましい。

で、以下の設定のうち、動画サイズが小さい順に並べなさいというのが、設問だそうです。

1）16,777,216色(24bit) 60fps 1280× 720ピクセル
2）16,777,216色(24bit) 30fps 1920×1080ピクセル
3） 256色 30fps 3840×2160ピクセル

256で3840×2160って、どういう4K動画なんでしょうか。いっそ、白黒映画なんかは、グレースケールでこれで行くというのもアリなんですかね。

ちなみに解答は、1）＜ 2）＜ 3）ということで、やはり256は最強であるということで宜しいかと存じ上げる次第であるあるある（残響音含む）

とか書いてみたものの、「256が最強」というエビデンスが見当たらず、なんかアレを読んで、自分は２の倍数や二進法に心引かれてたような気がするのですが、もしかしたら別のナニかを見ていたのかも知れないと不安に駆られるのですが、30年近く前の記憶なので、もはや修正の仕様もなく。

ドメイン登録やホスティングサービスを提供するGoDaddyが従業員を対象に実施したソーシャルエンジニアリング攻撃対応訓練で、年末ボーナスを受け取るには申請が必要、といった趣旨の電子メールを送信したことが批判されている(The Copper Courierの記事、 12 Newsの記事、 The Vergeの記事、 Mashableの記事)。

GoDaddyはCOVID-19パンデミック下で記録的成長を遂げる一方、大規模な人員削減を発表している。今年はボーナスも支給しないと従業員に伝えていたそうだ。しかし、14日に従業員へ送られたフィッシング詐欺テストメールには、GoDaddyにとっては記録的な1年だったがパーティーを開くこともできないので650ドルのボーナスを支給すると記載。ボーナスを受け取るには地域別のリンク先で12月18日までに情報を入力する必要があると説明している。

しかし、リンクをクリックして情報を入力した500人ほどの従業員は、ボーナスではなくトレーニングを再受講する必要があるとの通知を受け取ることになる。

近年は従業員を対象にしたソーシャルエンジニアリング攻撃がサイバー攻撃の重要なベクターとなっており、GoDaddyも被害にあって顧客情報を流出させている。ソーシャルエンジニアリング攻撃対応訓練の重要度も増しているが、このような状況下でボーナス支給に言及する訓練用メールが気に障った従業員も多いようだ。

Avastによれば、ChromeウェブストアやMicrosoft Edgeアドオンストアで公開されていた拡張機能28本でマルウェアが確認されたそうだ(Avastのプレスリリース、 Ars Technicaの記事、 SlashGearの記事)。

28本中15本がChromeウェブストア、13本がMicrosoft Edgeアドオンストアで公開されていた拡張機能で、ダウンロード件数は合計で300万件ほどだという。拡張機能はInstagram/Facebook用が半数以上を占め、種類としてはダウンロードツールが多い。マルウェアの機能としては広告やフィッシングサイトにリダイレクトしたり、個人情報を盗んだりといったもので、別のマルウェアをダウンロードする機能も確認されたそうだ。

マルウェアは調査しようとすると活動を控える仕組みを備えており、検出は困難なようだ。拡張機能は初めからマルウェアとして公開された可能性もあるが、人気が出るのを待ってアップデートでマルウェア化したり、元の作者から買い取ってマルウェアを仕込んだり、といったパターンも考えられるとのこと。

AvastではGoogleとMicrosoftに通知しており、19日朝の段階でChromeウェブストアからはリストアップされているすべての拡張機能が削除されている。Edgeアドオンストアでも19日午後にはすべて削除された。具体的な拡張機能の名称などはAvastのプレスリリースを参照してほしい。

GoogleのProject Zeroは23日、Windows 10のプリンタードライバーホスト「splwow64.exe」に存在する未修正脆弱性を公表した(Project Zero - Issue 2096、 Neowinの記事、 HackReadの記事、 Bleepng Computerの記事)。

この脆弱性は整合性レベル(信頼性)の低いプロセスがsplwow64(整合性レベル「中」)にLPCメッセージを送ることで、splwow64のメモリ空間に任意のデータを書き込めるというものだ。これにより、ローカルでの特権昇格が可能になる。もともとMicrosoftはCVE-2020-0986としてsplwow64の脆弱性も6月に修正していたが、完全には修正されていなかったそうだ。CVE-2020-0986との違いとしては、ポインタの代わりにオフセットを送信する点だという。

Project Zeroでは9月24日にMicrosoft Security Response Center(MSRC)へ報告し、脆弱性にはMSRC-61253/CVE-2020-17008が割り当てられた。MSRCは12月の月例更新で修正する計画を示していたが、テストで問題が見つかったため修正は1月に延期される。12月23日で90日の開示期限を迎えることから14日間の猶予期間追加についてMSRCとProject Zeroは協議したが、Microsoftが期間内のパッチ提供を計画していない(次の月例更新は2021年1月12日)ため、猶予期間の追加は行われなかったとのことだ。

任天堂が3DSのハッカーに言うことを聞かせるため、覆面調査員などを使用してストーカーまがいの行為を含む徹底的な身辺調査を行っていたことを示す内部文書が流出した(TorrentFreakの記事、 流出文書: PDF)。

調査対象となったのは任天堂製品のエクスプロイト開発などで知られる「Neimod」ことベルギーのDomien Nowicki氏。2013年1月までに行われた調査では、Neimod氏のかかわったエクスプロイトや学歴、受賞歴のほか、勤務時間や休日の過ごし方、自宅への訪問者がいないことなど、多岐にわたって調べ上げられている。また、ベルギーでサイバー犯罪となるNeimod氏の行為もリストアップされており、最終的には直接話し合って犯罪行為を通報しないことや利益供与することなどを条件に協力者にする計画だったようだ。

Neimod氏が協力者となっても任天堂側が情報を提供する必要はないことから機密情報が流出するリスクはなく、ソニーがPS3ハッカー「Geohot」ことGeorge Hotz氏への対応で失敗したような状況を避けてハッカーを大切にする企業としての評価が得られるなど、計画のメリットがいくつも挙げられている。ただし、流出した文書が本物だとすれば、評価を得る計画も台無しということになる。

先日、閲覧情報を外部に送信しているとして話題となったポイ活Webブラウザ「Smooz」だが、提供元であるアスツールは23日、サービスの終了を発表した（Smooz BLOG）。

リリースによれば、

状況の確認と対策、原因調査を進めてまいりましたが、Smoozの提供を継続することは困難との結論にいたり、2020年12月23日をもってサービスを終了させていただきますことをご報告申し上げます。

これまでに収集したご利用者様の情報につきましては、返金に必要な情報以外はすべて削除が完了しております。返金対応が完了次第、全ての情報を削除いたします。収集したデータに関して悪用、個人情報の社外への流出は、現在のところ確認されていません。

としている。プレミアム会員に関しては返金処理を、交換可能なSmoozポイントを持っている場合は、交換に応じるとしている。返金手段や交換方法については後日通知するとしている。