headless 曰く、

SATA ケーブルをアンテナとして用い、エアギャップ環境からデータを盗み出す手法「SATAn」をイスラエル・ベングリオン大学の Mordechai Guri 氏が発表した (論文アブストラクト、 論文: PDF、 Neowin の記事)。

インターネットから隔離されたエアギャップ環境でもマルウェアの攻撃に対して無敵ではなく、2010 年の Stuxnet をはじめとして被害が繰り返し報じられている。ただし、エアギャップ環境ではマルウェアの侵入に成功してもデータを外部に送信できない。Guri 氏はこのような環境でデータを外部に送信するさまざまな手法を開発しており、SATA ケーブルはその最新の手法となる。今回の実験で使われたのは SATA 3.0 インターフェイスとケーブルの組み合わせだ。

SATA 3.0 ケーブルからは 1 GHz ～ 6 GHz のさまざまな周波数帯域の電磁波が発せられるが、データ転送との強い相関関係がみられたのは 5.9995 GHz ～ 5.9996 GHz の範囲だったという。そのため、マルウェアがファイルシステムアクセスを継続的に実行するシェルコードを用いて発生させた電波に変調・符号化したデータを乗せて送信し、ソフトウェア無線 (SDR) 受信機を搭載したノート PC などで 5.9 GHz ～ 6 GHz の周波数帯域を受信して復調すればデータが得られる。

SATA インターフェイスは多くの PC が搭載しており、データ送信に特別な権限を必要としない。仮想マシン上で実行することも可能だ。このような攻撃を防ぐためには、多層のセキュリティにより最初の侵入を防ぐこと、エアギャップ環境の近くで無線受信機の使用を禁ずることが挙げられている。あまり現実的ではないが、電波の検出やジャミングといった手法も挙げられている。

Twitter上で30分間モバイルバッテリーを車内に放置したところ火災が発生し、その後の状況写真が共有されている。写真はライター・フォトグラファーのあずささんがアップしたモノで、公開された写真は車のシートが真っ黒に焼け焦げている様子が映し出されている。ツイートによると、昨年の夏に起こした事故だとのことで、車は全損となり廃車にしたとのこと。同氏は車の中にバッテリーを内蔵したカメラなどの機器を放置しないよう注意喚起をおこなっている（あずさ📷ライター・フォトグラファーさんのツイート、Togetter）。

あるAnonymous Coward 曰く、

言われればあたりまえだし、モバイルバッテリーに限らずバッテリーを持つ機器は置いちゃダメなのだけど。

headless 曰く、

Kaspersky の法人向けセキュリティ啓発プラットフォーム「Kaspersky Security Awaness Platform」のフィッシングシミュレーターが収集したデータによると、荷物が届けられなかったことを通知するフィッシングメールのクリック率が最も高かったそうだ (プレスリリース、 Ghacks の記事)。

フィッシングシミュレーションキャンペーンは 2021 年 1 月～ 2022 年 5 月に実施されたもので、企業の管理者がフィッシングのシナリオを選択し、事前の予告なく従業員に送信・結果を追跡する。収集されたデータは 100 か国の従業員 29,597 人分のものだという。

最もクリック率が高かった荷物の配達に関するフィッシングメールは 18.5 % がクリックしており、Google から電子メールが配信できなかったと知らせるフィッシングメールと、人事部からのアンケート調査を装ったフィッシングメールがそれぞれ 18 % で続く。このほか、会社からの新しい服装規定の通知 (17.5%) や避難訓練の通知 (16%)、予約確認や注文確認 (各11%) 、IKEA のコンテストのお知らせ (10%) のクリック率が高かったとのこと。

逆に受信者に対する脅迫や利益供与といったタイトルではクリック率が低い。たとえば、「あなたのコンピューターをハックして検索履歴を知っている」は 2 %、無料の Netflix や 1,000 ドルを提供するといったものは 1 % にとどまったとのことだ。

あるAnonymous Coward 曰く、

宮城県名取市は29日、兵庫県尼崎市のUSBメモリ紛失問題を受け、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表したダイヤルキー付きで移動中の開封を制限するほか、GPSにより位置情報を追跡できるそうだ。ケースは３個導入（１個約１万円）され、担当者が個人情報データを暗号化したＤＶＤなどを持ち運び、受け渡し先に到着したら、ダイヤルキーの番号を市役所から電話で伝えられ開封するという運用法とのこと（河北新報オンラインニュース）。

なんというか「違う、そうじゃない」と言いたくなるようなセキュリティ対策だがスラドの皆様はいかがお感じだろうか？

マインクラフトの開発元であるMojangは20日、「マインクラフトとNFTの統合を認めない」とする内容の声明を発表した。Mojangはマインクラフト上のコンテンツは、コミュニティの誰でもアクセスできる必要があるとし、NFTに紐付くことで限られた人しかアクセスできない仕組みはマインクラフトの精神に反するとしている（MINECRAFT公式による声明、GIGAZINE、AUTOMATON、CNET）。

AUTOMATONの記事によれば、年初にマインクラフトの非公式NFTプロジェクト「Blockverse」が多額詐欺の疑いをかけられた騒動があったことも今回の禁止の決定に影響しているのではないかとしている。

Microsoft は主要な 5 つの Office アプリケーションでインターネットから取得した VBA マクロの実行をデフォルトでブロックする計画を 2 月に発表しているが、計画は取りやめとなり、静かにロールバックを開始したようだ (BleepingComputer の記事、 The Verge の記事、 Neowin の記事、 On MSFT の記事)。

計画中止は当初、Microsoft 365 のメッセージセンターで管理者向けに通知されるのみだったが、2 月に計画を発表したブログ記事では質問に答える形で変更が明らかにされ、記事本文にもその後追記された。Microsoft Docs の記事にも追記されている。内容としてはフィードバックを受けて変更を取り消し、再度提供すべく準備を進めているといったものだ。計画中止に至った具体的なフィードバックの内容には触れられておらず、Microsoft の広報担当者は追加で発表できるような情報はないと BleepingComputer に回答したという。

ただし、デフォルトブロックのロールアウト以降、Office アプリ内で直接マクロを有効化できなくなったため、混乱したユーザーが多かったようだ。VBA マクロは幅広い攻撃に使われており、デフォルトでのブロックはセキュリティ向上につながると評価される一方、コミュニケーション不足も指摘されていた。

Security Affairsによると、ホンダの車両に採用されているリモートキーレスエントリー（RKE: Remote Keyless Entry）システムに、Rolling-PWNと呼ばれる脆弱性（CVE-2021-46145）があることが発見されたそうだ。悪用された場合、勝手に車両のロックが解除されたり、車両が始動されたりする危険性がある模様Rolling PWN、実演動画、GIGAZINE、TECH+、Bleeping Computer）。

最近の自動車のキーレスエントリーシステムは、キーフォブのボタンを押すたびに乱数で一意のローリングコードが生成される。車両側には生成されたコードの時系列をチェックするカウンターがあり、新しいコードを受信するとカウントが増加する仕組み。ただし、誤ってキーフォブを押してしまった場合や、車両が圏外にある場合などのために時系列でないコードも受け付けるようになっているという。

研究者のKevin2600とWesley Li氏は、ホンダ車に使用されているカウンターには、ロックとアンロックコマンドを連続して受けると、カウンターを再同期させる仕組みがあることを見つけ出した。これを悪用すれば無効化したはずの以前のセッションからのコードを受け入れてしまうのだとしている。現在、この問題が確認されているのは以下の車種となっている。

• Civic 2012年型
• X-RV 2018年型
• C-RV 2020年型
• Accord 2020年型
• Odyssey 2020年型
• Inspire 2021年型
• Fit 2022年型
• Civic 2022年型
• VE-1 2022年型
• Breeze 2022年型

あるAnonymous Coward 曰く、

不正アクセスでカード情報46万人の流出が発生したメタップスペイメントが6月30日、経済産業省より行政処分(改善命令)を受けた。PCIDSSで求められているサーバーを対象としたネットワーク脆弱性スキャンをスキャンツールを用いて委託先で実施し「High」レベルの脆弱性が複数検出されていたにもかかわらず脆弱性なしと改竄して報告し、適切な対応しなかった結果不正アクセスの影響で流出に至ったとのこと（経済産業省、ITmedia）。

また、「会費ペイ」に係るシステムについては令和4年5月までPCIDSSに準拠しておらず、「イベントペイ」に係るシステムについてはPCIDSSに準拠していないとのこと。
クレジットカードに関わった者としては身につまされる思いではあるが、あまりにも杜撰すぎて呆れて物も言えない。

この業界に今現在関わっているスラド諸氏も気をつけていただきたい。

行政指導ではクレジットカードのデータセキュリティに関する国際的な基準「PCIDSS」を適切に維持・継続的に運用することを求めたほか、第三者機関の検証を踏まえた再発防止策の策定や実施を求めている。これを受けてメタップスペイメントは7月1日、公式Webサイトで謝罪文を公表した。「行政処分を真摯かつ厳粛に受け止め、改善命令に係る改善措置を速やかに講じて参る所存です」とするコメントを出している（メタップスペイメント、ITmedia）。

読売新聞社は 8 日、読売新聞オンラインの会員情報を管理するシステムへの不正アクセスによる個人情報流出を報告し、謝罪した (不正アクセスによる個人情報流出に関するおわびとご報告)。

不正アクセスは当初 7 月 2 日 ～ 4 日に確認され、4 日には一部会員のパスワード無効化、5 日には特定した発信元の遮断といった対策を発表していた。しかし、その後の調査で 6 月 25 日 ～ 27 日にも行われていたことが判明したという。

この期間内にログインして個人情報 (登録情報) を閲覧する操作が行われた読売 ID は 7,441 件。このうち不正なログインが強く疑われるものが 2,070 件だったとのこと。個人情報には氏名・住所・電話番号・生年月日・性別・メールアドレスが含まれ、クレジットカード情報は含まれない。該当する会員には個別にメールで連絡を始めているほか、情報流出の可能性がある 7,441 件に含まれるかどうかについては特設ページで確認できる。情報流出の可能性があると判定された場合、電話での問い合わせが必要だ。

今回の不正アクセスでは攻撃者が何らかの方法で入手した ID とパスワードを用いてログインしているといい、会員が外部サイトと共通で使用していた ID・パスワードの組み合わせが外部サイトから流出したとみられる。同社は既に個人情報保護委員会に報告し、警視庁にも被害を申告しており、より一層のセキュリティ強化に努めていくとのことだ。

Microsoft が 13 日に Dev チャネルでリリースした Windows 11 Insider Preview ビルド 25158 では、DNS over TLS (DoT) が利用可能になっている (Windows Insider Blog の記事、 Networking Blog の記事)。

DoTを使用するには、「設定」の「ネットワークとインターネット」で「Wi-Fi > ハードウェアのプロパティ」または「イーサネット」を開き、「DNS サーバーの割り当て」の「編集」をクリックする。「DNS 設定の編集」ダイアログボックスが表示されるので「手動」を選び、「IPv4」または「IPv6」をオンにして「優先DNS」にDoTサーバーのIPアドレスを入力する。「保存」をクリックして設定を保存すると、「IPv4 DNS サーバー」または「IPv6 DNS サーバー」に「 (非暗号化)」と表示される。

あとは管理者権限のコマンドプロンプトで netsh コマンドを実行して DoT と暗号化を設定後、ipconfig コマンドで DNS キャッシュをフラッシュすれば完了だ。設定では引き続き「非暗号化」と表示されるが、これは予期した動作とのこと。実際に暗号化が有効になっているかどうかについては、「netsh dns show encryption」コマンドの実行結果で指定した DoT ホストの「自動アップグレード」が「yes」になっていることを確認する必要があるようだ。