headless 曰く、

Microsoft の脆弱性報告報奨金プログラムに不満を感じていたセキュリティリサーチャーの Abdelhamid Naceri 氏が Windows のゼロデイ脆弱性の PoC を公開したのだが、翌日にはこれを使用したマルウェアサンプルが検出され始めたそうだ (BleepingComputer の記事 [1]、 [2]、 Cisco Talos Intelligence Group の記事、 Neowin の記事)。

Naceri 氏は Trend Micro の Zero Day Initiative でいくつもの脆弱性を報告しており、11 月の月例更新で Microsoft が修正した脆弱性 CVE-2021-41379 もその一つだ。この脆弱性は Windows Installer サービスに存在し、攻撃者はジャンクションを作成することでサービスにファイルやディレクトリを削除させることができる。脆弱性を利用して SYSTEM のコンテキストで任意コードを実行することも可能だという。

Naceri 氏が 11 月の月例更新での修正を調査したところ、バグは完全に修正されておらず、修正のバイパスが可能であることに加えてゼロデイとなる脆弱性のバリアントも発見する。そこで Naceri 氏はバイパスではなくバリアントの PoC を公開することにしたそうだ。脆弱性は CVE-2021-41379 と同様、最新のパッチをすべて適用した Windows 11 / Server 2022 を含めてサポートされる Windows 全バージョンに影響する。

PoC は Microsoft Edge Elevation Service の DACL を上書きし、それ自身をサービスの場所にコピーして実行することで昇格した権限を取得する。このサービスがない Windows Server 2016 / 2019 などでも任意のファイルを指定して権限の昇格が可能なようにしてあるとのこと。

脆弱性はその複雑さからバイナリに直接パッチを当てると Windows Installer が機能しなくなる可能性も高く、Naceri 氏は Microsoft の修正を待つのが最も安全な対策だと述べている。ゼロデイ脆弱性を公表した理由について、Naceri 氏は Microsoft の報奨金プログラムが 2020 年 4 月に大幅劣化したと述べ、それがなければゼロデイを公表することもなかったと BleepingComputer に説明したそうだ。

Cisco Talos によれば、マルウェアサンプル数の少なさから見て現時点では本格的な攻撃キャンペーンに向けた準備を行っている段階とみられるが、攻撃者が入手可能になったエクスプロイトの悪用を始めるまでに要する時間がわずかであることを示すものとのことだ。

情報元へのリンク

headless 曰く、

ローマカトリックの女性修道会 Congregation of the Sisters of St. Joseph of Peace (CSJP) が Microsoft のポリシーに関し、2 件の株主提案を行っているそうだ (The Next Web の記事、 Protocol の記事、 CSIP Sisters のツイート、 動画)。

CSJP は平和のための社会活動を行うほか、株主として企業の意思決定に関与する活動を数十年にわたって行っているという。今回 CSJP は Microsoft に対し、1) Microsoft が主張する人権や環境の取り組みに反するロビー活動を行わないこと (PDF)、2) すべての政府機関に対する顔認識技術の提供を取りやめること (PDF)、の 2 件を株主提案しており、11 月 30 日の株主総会で採決が行われるとのことだ。

headless 曰く、

Googleによれば、攻撃者に乗っ取られたGoogle Cloud インスタンスの大半が暗号通貨採掘に使われることになるそうだ (Google - Threat Horizons November 2021 Issue 1、 Neowin の記事、 The Guardian の記事)。

Google の 2021 年 11 月版 Threat Horizons によると、乗っ取り被害にあった直近の 50 インスタンスのうち、86 % が暗号通貨採掘に使われていたという。また、10 % がインターネット上の他のターゲットするポートスキャンを、8 % が攻撃を実行していたそうだ。このほか、6 % がマルウェア、4 % が不正コンテンツをホストし、DDoS ボットの実行やスパムの送信に使われるものもそれぞれ 2 % あったとのことだ。

headless 曰く、

Collins Dictionary は 11 月 24 日、2021 年を代表する言葉「Word of the Year 2021」として「NFT」を選んだと発表した。 (Collins Dictionary Language Blog の記事、 Neowin の記事、 Mashable の記事、 Ars Technica の記事)。

NFT は Non-Fungible Token (代替不可能なトークン) の頭字語で、Collins Dictionary では略語として「アートワークやコレクターズアイテムの所有者を示すためにブロックチェイン上に記録されたユニークなデジタル証明書」、名詞として 「NFT によりその所有権が記録された資産」と定義している。2021 年はインターネットミームなどが NFT としてオークションに出品され、高額で落札されて注目を集めた。

新語 7 つを含む 10 の 2021 年を代表する言葉のショートリストでは、テクノロジー関連用語 として NFT のほかに「metaverse (名詞: メタバース)」と「crypto (名詞、口語: 暗号通貨 cryptocurrency の短縮形)」が含まれているとのこと。そのほかショートリストに残った言葉は以下の通り。

• double-vaxxed (形容詞、口語) : ある疾病に対するワクチンを2回接種した hybrid working (名詞) : 自宅とオフィスなど複数の異なる環境で交互に仕事をすること
• pingdemic (名詞、口語) : (COVID-19) 接触通知アプリにより広範囲の人々に送られる通知
• climate anxiety (名詞) : 気候変動への懸念により苦痛を感じている状態
• neopronoun (名詞) : 最近作られた代名詞、特に「xe」「ze」「ve」などジェンダーの明示を避けるよう作られたもの
• Regencycore (名詞) : テレビドラマ「ブリジャートン家」でみられる英摂政時代 (1811～1820) の上流階級の衣服をイメージした服装
• cheugy (形容詞、スラング) : 以前はかっこいい・ファッショナブルだと考えられていたが、今はそうではなくなっているもの

あるAnonymous Coward 曰く、

https://twitter.com/MIKITO_777/status/1464378241364672513
https://web.archive.org/web/20211126103848/https://www3.nhk.or.jp/hiroshima-news/20211126/4000015213.html

hifun 曰く、

当方PRIME会員ながら、世間に疎くまったくブラックフライデーなんて気づきもせず、いつものとおりにAmazonに趣味の自転車用品を注文してPRIME会員特典で翌日配達そしていつものPUDOボックスに投函してもらおうとしたところ（26NOV2021夕方）、

まず翌日夜、27NOV2021 20:00になっても『出荷準備中』とAmazonのステータスが更新されず、PUDOに届けた旨のEメールもない。

うわー…やな予感、と思い、すぐAmazonのカスタマーサポートに電話連絡したところ「発送してない模様、原因不明」「けど在庫はあるから必ず発送します」とのこと。

生活必需品じゃなかったのでまあいいか、ただし約束反故にしてるのは許さないので原因調べてメールで教えてね、と約束して問い合わせ終了。

これで終わってりゃまだ良かったんだが、

こんどは、発送したけど指定した住所に送れませんでしたというメールが届く。（28NOV2021 20:00）これまで30回ぐらいは少なくとも利用してるPUDOボックスなんだがどういうことだ？
配達担当のヤマト運輸配送店に電話したら「Amazonからの配送情報が流れてこなかったものだからPUDOボックスに投函できなかった」とのこと。やだ……こんなのはじめて。

すぐAmazonカスタマーサポートに再度電話したが「担当部署からまだ原因についてレポート上がってきてない、ただこの手の問い合わせはブラックフライデーのせいか増えている」とか。

いまのところ、ヒューマンエラーかシステムエラーかわかんないしブラックフライデーだからなのかもわからんのでなんとも感想はないのだけど、皆さんのとこには普通に配送されてるもんなんですかねえ。

headless 曰く、

Apple はトルコでの通貨危機深刻化を受けて製品の販売を一時中止していたが、大幅な値上げを実施して販売を再開したようだ (Report.az の記事、 Mac Rumors の記事、 Neowin の記事、 9to5Mac の記事)。

1 トルコリラは対米ドル比で 2 月に 0.14 ドル台まで上昇したものの 3 月には下落し、4 月 ～ 9 月は 0.11ドル ～ 0.12 ドル台で推移していた。しかし、10 月下旬には 0.10 ドル台まで下落しており、11 月 18 日にトルコ中央銀行がインフレ下にもかかわらず政策金利引き下げを発表したため、23 日には 0.080 ドル台まで暴落した。年初との比較ではおよそ 40 % の下落となる。

これを受けて Apple はトルコのオンラインストアでの販売を 23 日に停止。翌 24 日には実店舗での販売も停止した。そのためイスタンブールに 3 か所ある Apple Store では店の前に行列ができ、スタッフは Genius Bar でのサービスが目的の客のみを入店させていたという。Apple Store で販売を停止した理由は不明だが、品切れになったためだという話も出ている。

その後 26 日には販売が再開されているが、平均で 25 % の値上げが行われたとのことだ。