headless 曰く、

「秘密の質問」のような知識ベースの認証 (KBA) がセキュリティを低下させると言われて久しいが、コールセンター向けの認証技術を提供する Pindrop によれば、本人よりも詐欺師の方がより正確に秘密の質問に答えられるそうだ (2022 Voice Intelligence & Security Report、 BetaNews の記事)。

Pindrop が 2021 年に顧客の小規模なサンプル 3 か月分を調べたところ、秘密の質問に正しく回答できた割合は本物の顧客よりも詐欺師の方がわずかに高かったという。さらに、あるコールセンターと Pindrop が実施した 1 か月にわたる比較研究の結果では詐欺師が KBA を通過できた割合が 92 % だったのに対し、本物の顧客が KBA を通過できた割合は 46 % にとどまったとのこと。

そのため、詐欺を防ぎつつ迅速なサービスを可能にする方法として、KBA をパッシブ認証に置き換えることを推奨している。First National Bank of Omaha (FNBO) の導入例では、ワンタイムパスワード (OTP) の使用が 75 % 減り、平均処理時間 (AHT) が 30 秒短くなったほか、アカウント乗っ取り詐欺 (ATO) の検知率が 59 % 向上し、ATO による損失は全体で 16 % 減少、アカウント平均で 47 % 減少したそうだ。

窓の杜の記事によると、オープンソースの解凍・圧縮ソフト「7-Zip」に特権昇格とコマンドの実行が可能になる未修正の脆弱性（CVE-2022-29072）が存在することが分かったという（窓の杜、Penetration Testing、Github）。

v21.07までのWindows版「7-Zip」にはファイルマネージャープロセス（7zFM.exe/7-zip.dll）のヒープオーバーフローと「Microsoft HTML ヘルプ」（HTML Help Executable Program/hh.exe）のコマンド実行機能を組み合わせることで、管理者モードでコマンドが実行できる機能が存在する。ここに拡張子を.7zにしたファイルをドラッグ＆ドロップすると特権昇格とコマンドの実行が可能になるとのこと。7-Zipの開発側は原因はMicrosoftのヘルプビューワー側にあると主張している。緩和策としては7-zip.chmのヘルプファイルを削除する方法があるが、最終的には7-zipとMicrosoftのヘルプビューワー両方の修正が必要になる模様。

米WIREDによると、海外では詳細な個人データと引き換えに、信用度の低い人々に給与の前払いの形で無利子融資を行っている企業アプリが増加しているらしい。記事中では「B9」というアプリが取り上げられている。米国ではコロナ禍の影響で経済的な苦境に陥っている労働者が増加しているようで、こうした給与の前払いと引き換えに個人データを民間企業に引き渡す米国の労働者の数が増えているとされる。調査会社Aite-NovaricaGroupによると、2019年の63億ドルから、翌年の2020年には95億ドルにまでこの手のアプリの市場規模が拡大しているそうだ（WIRED）。

B9のような企業は、給与明細から豊富なデータを抽出できる技術を持っている。抽出されるデータとしては勤務シフト、休日、収入や昇進の履歴、医療費や退職金、さらには定時退社率、ギグワーカーとしての評価、職歴といった個々の評価に関わる指標まで含まれている。銀行データよりもさらに上流にあたる労働者の収入、控除、行動の全体像を把握することができることから、こうした給与データは100億ドルの価値があるとの試算もある模様。

NTTグループがロシアの「カスペルスキー」製品に関する取り引きを中止する方針を発表した。グループ会社でカスペルスキーのウイルス対策ソフトを使用していたという（NHK、朝日新聞、時事ドットコム、産経新聞）。 過去記事にもあるように米連邦通信委員会（FCC）は3月25日、カスペルスキーを国家安全保障上の脅威のリストに加えている。またNTTグループは同社のITサービスと組み合わせたカスペルスキー製品の代理販売も行っていた。今後はこれに関しても見直す方針であるとしている。またカスペルスキー製品に関しては、大阪府豊中市や東京都立川市といった一部の自治体でも使用されていたという。こちらに関しても見直しが検討されているとのこと。なお、カスペルスキーの、導入事例一覧を見ると、ここまで名前の出た以外の企業や行行政機関の名前などが含まれている。

Windows 11 の Android アプリ実行環境で Google Play ストアを利用可能にするツールの一つである「Powershell Windows Toolbox」が実行時にマルウェアをインストールしていたことが判明し、GitHub から削除されている (Bleeping Computer の記事、 On MSFT の記事、 Neowin の記事、 Windows Central の記事)。

Powershell Windows Toolbox はその名の通り PowerShell スクリプトで、Google Play ストアをインストールするほか、Windows のプリインストールアプリ削除・再インストールや各種カスタマイズなどの機能を備える。GitHub リポジトリに置かれていたのはドキュメントのみで、スクリプト自体は Cloudflare Workers でホストされているものを実行するよう説明していた。スクリプトは一見無害だが、難読化された部分に Cloudflare Workers でホストされた悪意あるスクリプトや、GitHub でホストされたツール類をダウンロードするコードが含まれていたという。

ダウンロードが指定されたスクリプトの中には既に入手できなくなっているものもあり、攻撃の全貌は確認できないが、悪意あるスクリプトは米国のユーザーをターゲットにしているそうだ。具体的な活動としてはタスクスケジューラーに複数のタスクを登録するほか、「C:\systemfile」フォルダーを作成して Chrome / Edge / Brave のデフォルトプロファイルをコピーし、拡張機能を生成する。また、「C:\Windows\security」以下に「pywinvera」「pywinveraa」「winver.png」という名前の Python ファイルをインストールするとのことだ。

headless 曰く、

Microsoft は 19 日、Windows 11 Insider Preview Home エディションで新規インストール時に SMB1 クライアントがインストールされなくなったと発表した (Storage at Microsoft の記事、 Neowin の記事、 The Register の記事、 On MSFT の記事)。

Microsoft は段階的に SMB1 の廃止計画を進めている。Windows 10 バージョン 1709 (Fall Creators Update) 以降では Home / Pro エディションで SMB1 サーバー、Enterprise / Education /Pro for Workstation では SMB1 サーバー・クライアントの両方がデフォルトでインストールされなくなり、バージョン 1809 (October 2018 Update) 以降では Pro エディションのデフォルトで SMB1 クライアントがインストールされなくなった。Home エディションでは引き続き SMB1 クライアントがデフォルトでインストールされていたが、延べ 15 日以上の稼働期間に一度も SMB1 クライアントが使われない場合は自動でアンインストールされるようになっていた。

今回の変更により、Windows 11 Insider Preview で SMB1 クライアントがデフォルトでインストールされるエディションはなくなった。必要な場合はコントロールパネルの「Windows の機能の有効化または無効化」で SMB1 クライアントを有効化することもできるが、将来のリリースで SMB1 のバイナリを削除する計画も同時に発表された。これに伴って非サポートの SMB1 インストールパッケージを別途提供する計画もあるといい、より詳しい情報は数か月のうちに発表できるとのこと。

Microsoft のNed Pyle 氏によれば、Home エディションのユーザーの中には非常に古い NAS を使い続け、それに新しい Windows 11 PC が接続できない理由を理解するのが難しい人もいるため、SMB1 クライアントを最後まで残しておく必要があったという。そのため、このようなユーザーへの周知に協力を求めている。

ブロックチェーンワレットアプリの MetaMask は 18 日、アプリのデータを iCloud にバックアップした場合の危険性について注意喚起した (HackRead の記事、 9to5Mac の記事、 MetaMask のツイート)。

これは Apple を名乗る電話を受けた MetaMask ユーザーが Apple ID パスワードリセットの確認コードを教えてしまい、総額 65 万ドル相当の暗号通貨や NFT を失ったという報告を受けたものだ。

MetaMask によればアプリデータの iCloud バックアップにはパスワードで暗号化された MetaMask 保管庫データが含まれ、パスワードの強度が低い場合はフィッシングで iCloud の認証情報が奪取されると資金を盗まれることになるという。

しかし、ワレットの鍵であり、MetaMask が保存しないと説明しているシードフレーズが実際にはファイルに保存されていたとの指摘もあり、被害にあったユーザーは無断保存を批判している。

Microsoft が Microsoft Update カタログのダウンロードリンクを HTTPS に変更した (Ghacks の記事、 Deskmodder.de の記事、 Borns IT- und Windows-Blog の記事)。

Microsoft Update カタログの Web サイト自体は以前から HTTPS で提供されていたが、生成されるダウンロードリンクが HTTP だったため、多くの環境でブラウザーにブロックされてファイルがダウンロードできない状況になっていた。今回の変更に伴ってダウンロードリンクのドメインがこれまでの「download.windowsupdate.com」から「catalog.s.download.windowsupdate.com」に変わったが、旧リンクからのダウンロードも可能なようだ。

サードウェーブは25日、同社がセキュリティソフト大手のマカフィーを相手取り賠償を求めていた裁判で、マカフィーに対し約2347万円の損害賠償を命ずる判決を行ったと発表した。判決は東京地方裁判所で22日に行われた（サードウェーブリリース、PC Watch）。

この裁判では同社製のPCにマカフィー製のセキュリティソフトを搭載する契約を行った際、マカフィーが事実に反する説明を繰り返したとするもの。ユーザーライセンスの更新率について実態とは異なる他社の実績値が提供されるなどしていたという。これにより、複数年にわたり同社の経営判断に不当な影響を与え損害を受けたとしている。東京地方裁判所は、「原告によるライセンス料の支払は被告の不法行為による損害といえる」と判断、損害賠償を命ずる判決を言い渡したとしている。

週刊文春電子版の記事によると、ロシアで位置情報を用いた出会い系アプリ「Tinder（ティンダー）」が人気なのだそう。ウクライナ情勢で戦争の長期化や補給の不足、そもそもの士気の低さなどロシア兵の問題は様々な報道で指摘されているが、記事によるとTinderはプライベートな通信であることから、普段以上に気を許してしまう傾向が強まるらしい（週刊文春 電子版）。

文春記事では位置情報をウクライナ第2の都市ハルキウに設定し、実際に試してみたらしいのだが、表示される相手の10人に一人はロシア兵と思われる状況になったそうだ。国籍や出身地を明記していたり、ロシア国旗入りの服を着ていたりしており、またほぼ間を置かずに「マッチング成立」の通知が届く状態だったとしている。なお英国の諜報機関などはTinderや同性愛者向けの出会い系アプリGrindrを使ってロシア兵の情報収集などを行っている模様（Daily Mail Online）。