headless 曰く、

北米では主要な病院の 80 % が使用しているという Swisslog Healthcare の気送管システム TransLogic Pneumatic Tube System (PTS) で見つかった一連の脆弱性「PwnedPiper」について、発見者の Armis が解説している(Armis のリポート、 Swisslog Healthcare のアドバイザリー、 The Register の記事、 Softpedia の記事)。

日本ではエアシュートなどとも呼ばれる気送管システムは、空気圧をかけたパイプのネットワークで物品を格納したパケットを送る仕組み。かつては人力によるルーティングが行われていたが、現代的なシステムは IP ネットワークに接続され、コンピューターにより制御が行われる。

TransLogic PTS の脆弱性は制御用の Linux デバイス Nexus Control Panel に存在し、検証なしのファームウェア更新 (CVE-2021-37160) や、リモートからのコード実行または DoS が可能となるメモリ破損の脆弱性 (CVE-2021-37161 / 37162 / 37164 / 37165 / 37166)、ハードコードされた Telnet パスワード (CVE-2021-37163)、特権昇格の脆弱性 (CVE-2021-37167) といったもの。Armis は 9 件の脆弱性と述べているが、CVE-ID が割り当てられた脆弱性は 8 件となっている。全ての脆弱性は認証されていないネットワークパケットを送るだけで引き起こすことが可能で、ユーザーの操作は必要ないとのこと。

これらの脆弱性を悪用することで、攻撃者は送り先の変更や速度の変更といった攻撃が可能だ。血液製剤など低速で送るべき物品を高速で送ってしまうと、患者に被害が及ぶ可能性もある。また、PTSのユーザー認証システム WhoTube に登録されたスタッフの認証情報取得や病院のコミュニケーションソリューションに統合された PTS のアラートシステム悪用による業務妨害、ランサムウェア攻撃なども可能になる。

脆弱性のほとんどはファームウェアバージョン 7.2.5.7 で修正されているが、CVE-2021-37160 だけは修正されていないという。Armis ではパッチの適用のほか、Telnet のブロックや ACL のデプロイ、Snort による攻撃検知といった対策を推奨している。

ケータイ Watchにスマートロックに関するトラブルが報告されている。その記事によると、著者は玄関ドアのスマートロック「Qrio Lock」を導入、Apple Watchからの操作で便利に使っていたという。そんな中、スマートロックを導入したが故に家に入れないトラブルに遭遇したそうだ（ケータイ Watch）。

原因は玄関側に取り付けるスマートロックの電池切れ。市販されているスマートロックの多くは後付けで、鍵を回すモーターは内蔵された電池で駆動させるため、電池切れを起こすとスマートロックとしての機能は使えない。物理キーを持っていれば問題なかったが、著者が遭遇したトラブルでは、郵便物を受け取りにちょっと出ただけのため、Apple Watchしか持っておらず結果として家から閉め出されてしまったようだ。そのときは子どもの帰宅時間が近く、子どもに持たせていた物理キーで入ることができた。

同氏はさらに翌日も解錠操作に失敗するトラブルが発生したという。このときはApple Watchのアプリから自宅の鍵情報が消えてしまったとしている。同氏はスマートスピーカーとスマートロックの連携をしていたことを思い出し、玄関の外からインターホン経由で解錠の指示を何回か出した結果、解錠に成功し家に入ることができたとしている。

同様のスマートロック関連のトラブルがネット上でも報告されている。こちらはスクートフォンアプリで鍵の開閉を行う方式のレンターカーで、車種はヤリスだったそうだ。被害に遭ったのはKenn Ejimaさん。Togetterのまとめ記事によれば、飛騨の山奥でBluetoothの接続ができなくなり、仕方なく業者を呼んで鍵を開けてもらったはいいが、今度はセキュリティ機能が働きエンジンが掛からなかったことから、諦める結果となったようだ。車両はレッカー輸送となり、本人はその場に放置されることになったとのこと（Kenn Ejimaさんのツイート、Togetter）。

headless 曰く、

Microsoft が Windows 10 の望ましくない可能性のあるアプリケーション(PUA) 対策に関するサポート記事を更新し、8 月からコンシューマー向け環境で PUA のブロックを既定で有効にする計画を明らかにした(Microsoft のサポート記事[1]、 [2]、 BetaNews の記事、 Softpedia の記事)。

PUAのブロックは Windows 10 May 2020 Update (バージョン 2004) で「Windows セキュリティ」に追加された。エンタープライズ向けの環境では既定で有効になっているものもあったそうだが、コンシューマー向けの環境では有効化が推奨されるのみで既定では無効となっていた。

既定値の変更後に PUA のブロックを無効化したい場合は、Windows セキュリティの「アプリとブラウザーコントロール→評価ベースの保護→評価ベースの保護設定」で設定を変更すればいい。

手元の環境では 1 台のみ有効化されていたが、これは自分で有効化したように記憶している。スラドの皆さんの環境はいかがだろうか。