headless 曰く、

GE HealthcareのX線イメージングデバイスなど100機種以上に影響する脆弱性が2件公表された(CyberMDXのニュースリリース、 CISAのアドバイザリー、 Ars Technicaの記事、 GE Healthcareのセキュリティポータル)。

影響を受けるのはMRI装置やCT装置、PET/CT装置、マンモグラフィー装置、汎用X線装置、汎用超音波診断装置など。影響を受ける装置にはPCが組み込まれており、UnixベースのOS上で管理用ソフトウェアが実行される。管理用ソフトウェアはGEのサーバーに接続してソフトウェア更新などを実行するが、認証時の通信が保護されていないため、ネットワーク経路上で認証情報が読み取られる可能性がある(CVE-2020-25175)。

また、認証情報はデフォルト値が公開されており、変更はGEのサポートチームのみが可能だという。そのため、顧客からの依頼によって認証情報を変更していなければ、デフォルトのままとなる。これにより、攻撃者は読み取った認証情報やデフォルトの認証情報を利用して患者の状態などに関するデータへのアクセス・変更が可能となる(CVE-2020-25179)。

GEによれば、パスワードをデフォルトから変更しておらず、かつローカルネットワークが信頼できない場合のCVSS 3.1スコアは9.8だが、GEが推奨する緩和策をとれば7.5まで低下するという。GEではローカルネットワークのセグメンテーションや明示的なポートアクセスルールの作成、IPSec VPNの使用などを推奨しており、デフォルトパスワードの変更やネットワーク構成に関する情報、機種別の情報などを得るためGEの担当者へ連絡するよう求めている。なお、現時点でこれらの脆弱性を狙った攻撃は報告されていないとのことだ。

ICPO（国際刑事警察機構）は2日、ICPO加盟各国の法執行機関に対し、新型コロナウイルスワクチンの略奪を物理・オンラインの両方で試みる組織犯罪に備えるよう警告するグローバルアラートを発行した。警戒レベルはオレンジであるという。オレンジの警戒レベルは公共の安全に対し、深刻かつ切迫した脅威を示すものとされる（ICPO、Business Insider Japan、Sputnik）。

ICPOは各国政府がワクチン接種を展開する段階が近づいていることから、犯罪組織はサプライチェーンに侵入して混乱させることを計画しているとしている。また偽のWebサイトや偽の治療法を介して、一般の人々を標的にする可能性もある。COVID-19関連の詐欺が増加する傾向にあり、偽造医薬品などが出回ることについても注意を払う必要があると警告している。

中国に進出した企業が導入を義務づけられている税務ソフトに、GoldenSpyと呼ばれるスパイウェアを自動インストールする機能が備わっているという。日経新聞によれば、こうした行為から、これまで中国との関係の良かったドイツでも中国への不信感が広がっているという（日経新聞）。

このスパイウェアは6月にサイバーセキュリティ企業Trustwaveによって発見されたもので、発見時のレポートによれば、中国のドメインにシステム情報を送信する機能を持っているとされる。システムに隠しバックドアがインストールされ、攻撃者がWindowsコマンドを実行したり、任意のバイナリをアップロードするなどの行為が可能になる。

中国公認の税務ソフトには、航天信息と百望雲という2社の企業のものが提供されているが、いずれもGoldenSpyをインストールする機能が備わっているという。スパイウェアは税務ソフトをインストールしてから2時間後に自動インストールされ、検知しにくくしているらしい。またスパイウエアは2つのプログラムに分かれていて、どちらかを消しても自動的に復活してしまうとされる。また税務ソフト本体を削除した場合でも、スパイウエアだけは残るとしている。

こうした背景から8日、ドイツ政府は中国国有企業の中国航天科工集団（CASIC）の子会社による人工衛星やレーダー関連技術企業IMSTの買収を阻止していたことが判明した。日経新聞の記事によれば、CASICは先の税務ソフトメーカーの一つである航天信息の親会社だとしている（ロイター）。