Check Point Software Technologiesは8月6日、Amazon Kindleに脆弱性が存在すると発表した。この脆弱性を悪用するとKindleの制御権は完全に乗っ取られるほか、Amazonアカウントなども盗まれる可能性があるとしている。発表によると一冊の電子書籍をインストールするだけで実行可能だそう。話題になりそうな電子書籍を無料で出版するだけで実行できるとしている。同社は問題をすでにAmazon側に報告しており、Amazon側も問題を修正したファームウェア5.13.5を配信済みだとしている（Check Point、TECH+）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Chaos Computer Club、独キリスト教民主同盟には2度と脆弱性を知らせない 2021年08月09日
プレビュー版 Microsoft Edge のセキュリティ強化モード「Super Duper Secure Mode」 2021年08月08日
漫画家の佐藤秀峰氏がAmazonを訴えていた裁判、東京地裁が棄却 2020年03月31日
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 2020年03月02日
Amazon、「Kindleインディーズマンガ」サービスを開始 2018年07月11日
Amazon.co.jpで漫画村ロゴ入りの電子書籍が販売される 2018年04月25日

多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。

polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。

この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。

Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
Debian Project、次期リリース「Bullseye」で使用するアートワークの人気調査を実施 2020年10月29日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

アカウント情報流出を確認できるWebサイト「Have I been pwned?」(HIBP)を運営するトロイ・ハント氏は4月27日、マルウェアEmotetにより盗み出された400万件以上の認証情報がHIBPで確認できるようになったと発表した(ハント氏のブログ記事、 HIBP - Emotet、 BetaNewsの記事)。

欧州刑事警察機構(Europol)に最も危険なマルウェアと呼ばれたEmotetだが、1月に各国の捜査機関が合同でサーバー差し押さえなどの作戦を実行し、4月25日には自己削除プログラムが起動して終息した。サーバー差し押さえの実行後、米連邦捜査局(FBI)がHIBPに連絡し、影響を受けた個人や企業に警告できないか相談したのだという。

これにより、Emotetのサーバーから押収した4,324,770件の電子メールアドレスとパスワードがHIBPで検索可能になった。これらの認証情報はEmotetが被害者のアカウントを通じてスパム送信に使用していた電子メールアカウントの認証情報と、Webブラウザーから収集したWebサイトの認証情報の2種類に分けられるとのこと。

HIBPが捜査機関からデータ提供を受けるのは今回が初めてではなく、2018年にはエストニア中央警察がデータを提供している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
最恐のウイルスと呼ばれた「Emotet」終息の日を迎える 2021年04月27日
警察庁などISPを通じてEmotet感染端末ユーザーへの警告を行うと発表。2月下旬から 2021年02月26日
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
マルウェア「Emotet」に無線LANネットワーク経由で拡散するタイプが発見される 2020年02月18日
トロイ・ハント氏、自身が運営する「Have I been pwned?」の買収先を探す 2019年06月14日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
Google、ユーザー名とパスワードの流出を通知するChrome拡張機能を公開 2019年02月09日
どこかで流出した電子メールアドレスとパスワードの組み合わせ27億行近くを含むデータ、古いものが大半 2019年01月20日
Mozilla、デスクトップ版FirefoxでWebサイトの情報漏洩を通知する機能の追加を発表 2018年11月20日
Mozilla、既知の個人情報流出の影響を通知するサービス「Firefox Monitor」を開始 2018年09月28日
フェチ・愛好家向けサイトから10万件以上の個人情報が流出 2016年05月25日

あるAnonymous Coward 曰く、

バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。

JPCERTによると
CVE-2021-3511：第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512：第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716：第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。

基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。

JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 2020年02月06日
Ciscoのルーターで多数の脆弱性が見つかる 2019年05月17日
家庭で使われている無線LANルータの83％に脆弱性、米NPO調査 2018年10月10日
国内メーカー4社の無線LANルーターのサポート期間、多くが不明瞭 2018年04月02日

あるAnonymous Coward 曰く、

エン・ジャパン社が運営する求人サービス「engage」は4月5日、外部からの不正アクセスにより画像・動画が全て消失する事態が発生したと発表した（プレスリリース, ITmediaの記事）。

詳細は不明だが、サーバー内の画像及び動画データを格納するフォルダが全て消失しているという。削除されたデータの復旧を試みたものの、完全に復旧することも不可能な状態だという。個人情報を管理しているサーバーへのアクセスは無く、個人情報の流出は確認されていないとしている。

再発防止策に「セキュリティ強化の実施」「全ての情報を定期的に保管」とあるので、画像や動画はバックアップを取っていなかった系だろうか？スラド諸氏もご注意されたし。

情報元へのリンク

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
ブラウザゲーム「チビファンタジー」、データ消失で13年分ロールバックへ 2021年01月05日
まるごとデータを消失した「ふくいナビ」、旧サーバにバックアップが発見される 2020年11月21日
NECの契約更新ミスでふくいナビの全データが消失。復旧も不能に 2020年11月09日
iOS版Adobe Lightroom、アップデートで写真やプリセットが消失するトラブル 2020年08月22日
キヤノンの写真クラウド「image.canon」、保存データの一部が消失 2020年08月07日
ケニア、新型コロナ対応として今年の授業分を消失させると発表。2020年度分の学歴はなかったことに 2020年07月10日
全身麻酔で意識が失くなる理由がついに解明される 2020年06月09日

あるAnonymous Coward 曰く、

中国のセキュリティ組織360 Netlabは5日、QNAP製NASの既知の脆弱性を狙った攻撃が観測されているとして利用者に注意を促している（360 Netlab Blog）。

同NASに搭載されているアプリ「Helpdesk」に存在するアクセス制御不備の脆弱性QSA-20-08(CVE-2020-2506, CVE-2020-2507)が悪用されているとみられ、攻撃者はCPU/メモリ使用率を隠匿しつつ暗号通貨マイニングを実行するという。

この脆弱性については昨年8月に修正版が提供され、昨年10月に概要が公表されていたが、脆弱性のあるオンラインのQNAP製NASが未だに数十万台あると推測されている。

対象となるモデルは広範に渡り、TS-221など日本で販売されていたモデルも含まれている。同社の調査によると日本の利用者は世界で6番目に多いようだ。

情報元へのリンク

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
アイ・オー・データのNAS管理サービスに不正アクセス、6万件の個人情報流出 2020年05月19日
外観からは識別できないSMR採用のHDDが増えている？ 2020年04月22日
ランサムウェア被害者が攻撃者のデータベースをハックして約3千人分の復号化キーを公開 2019年10月10日
nasne、「近日出荷完了予定」に 2019年06月26日
54か国・50万台超のルータに感染しているというマルウェア「VPNFilter」 2018年05月29日
NASのHDDでオーディオの音質が変わるのか検証するイベント、6日に開催 2015年06月05日

あるAnonymous Coward 曰く、

職場でEndpointセキュリティ製品として「Symantec Endpoint Protection」を使用している。2021年度の予算検討で販売代理店からSymantec Endpoint Protectionの見積もりをとろうとしたところ、販売代理店を通じ、2019年8月にSymantec社を買収したBroadcom(以降、ブロードコム)社から以下のような通知があった（Microsoft）。

「製品販売の制度ならびに提供価格の変更」(抜粋)
1.価格表やルールの刷新
2.追加契約や更新契約の廃止。全て新規買い直しへ変更
3.これまでの継続的な特別価格提供の廃止
※上記の変更に伴い、ブロードコム社による個別の販売店さまおよびお客さまとの交渉の実施、ならびに特別価格での提供などは今後行われません。また、上記変更に関しては例外措置も一切ございません。
以上

そして、販売代理店から「Symantec Endpoint Protection」の見積をとったら2020年度に対し2021年度は3倍程度の値上げとなっていた。また、2022年度以降も約10%程度の値上りが見込まれていると言う。
価格を出すとユーザーが特定されるので詳細情報は出せないが、数千ライセンスの購入で1ライセンスあたり2020年度が約500円だったのに対し、2021年度は約1500円になっている。

Symantecのサイバーセキュリティ事業が2019年8月にブロードコムに買収され、2020年1月には、その中のサービス事業のみがAccentureに買収された(2020年3月に買収完了)。法人向けセキュリティ製品はAccentureの買収対象外となっている。ブロードコム社はどのようなビジネスを想定しているのだろうか？これではエンタープライズ向け製品においてSymantecは大幅にシェアが低下するであろう。

Microsoftの「Symantec 製品ご利用中のお客様に捧げる Microsoft セキュリティへの移行のススメ」というプレゼンにもあるように、次回のライセンス更新時は3倍の値上げになるといったタレコミにあったような告知事例が多く発生しているようだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Accenture、Symantecのサイバーセキュリティ事業の一部を買収 2020年01月09日
Broadcom、Symantecのエンタープライズセキュリティ事業を107億ドルで買収へ 2019年08月11日
自己防御機能の強いセキュリティソフトは？ 2017年05月07日
Symantec Endpoint Protectionに権限昇格や任意コード実行などが可能となる複数の脆弱性 2016年03月21日
スモール・ビジネス向け中央管理型アンチウィルスソリューションは？ 2009年06月21日

ドコモ口座などの不正預金引き出し事件で、パスワードを固定しつつもユーザーIDを様々な辞書データなどから総当たり攻撃を行う方法をとるリバースブルートフォース攻撃の注目度が高まっているが、その固定するパスワードの選定も攻撃の成功率を高めるためには重要だ。

通常は過去に流出したデータなどを元にして解析が行われるらしい。2009年に3200万以上のユーザーアカウントの情報が盗まれ、流出しているソーシャル・ガジェットサイト「RockYou」データなどがよく使われている可能性があるようだ（TechCrunch）。Togetterのまとめによると、このRockYouから流出した4桁暗証番号の分布を解析した人たちがいるそうだ（Togetter）。

ACTIVE GALACTICさんによれば、月日(MMDD or DDMM)と比べて2文字の繰り返しや西暦年(YYYY)の方が高頻度だったという。また底灯天⛩徐嶺依さんの解析によれば、0101~1231までの誕生日ベースの数字が全体に多く、またヴァン・ヘイレンのアルバムから取ったと思われる5150といったものもあるようだ。 そのほか、ピンポイントで使われている2580、8520、7410はテンキー縦一列などから取られたものである模様。ほかにも、5683はラテン文字圏で "LOVE" の隠語、5254はタガログ語圏で「Mahal na mahal kita. (あなたをとても愛しています)」の隠語といったようにターゲットにしやすい怪しげな数字の組み合わせはいくつかあるようだ。

なおRockYouデータを元にした解析は過去にセキュリティ企業によっても行われているが、そのときの上位にいたのは123456、123456789、Password、abc123といったおなじみのものだった。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
PayPayとKyash、LINE Payでもゆうちょ銀行からの不正預金引き出しが発生。Kyashはイオン銀行からも 2020年09月16日
ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 2020年09月15日
日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 2020年09月15日
ドコモ口座を悪用した不正引き落とし問題、ゆうちょやイオン銀行など大手銀でも被害 2020年09月10日
七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ 2020年09月08日
漏えいした3200万のパスワードを米企業が分析、最も使われていたのは「123456」 2010年01月26日

イスラエルのセキュリティー企業であるCheck Pointによると、QualcommのSnapdragonに、400を超える脆弱性が見つかったという。同社はこの脆弱性問題を「Achilles（アキレス）」と名付けている（Check Point、PC Watch）。

発見された脆弱性はSnapdragonに含まれているDSPに集中しており、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどを入手可能になるほか、標的型サービス拒否攻撃などにより、保存されているすべての情報にアクセスできなくすることもできるとしている。このほか、マルウェアなどの悪意のあるコードを仕込まれて、削除できなくなる可能性があるとしている。

同社はQualcommにこれらの調査結果を開示、同社はそれを認めたとしている。この件に関連するスマホメーカーなどの各ベンダーに連絡した上で、共通脆弱性識別子(CVE)を割り当てたとしている。具体的には、CVE-2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207、CVE-2020-11208、CVE-2020-11209となっているが、それぞれのベンダーがが対策するまでの期間は、これらの脆弱性に関する技術的詳細を公開しないとしている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
QualcommやMediatekのWi-Fiチップでも「KrØØk」に似た脆弱性が発見される 2020年08月12日
Intelから大量の機密データが流出。Kabylake関連のサンプルコードなども含まれる 2020年08月12日
米国土安全保障省、Windows DNS Serverの深刻な脆弱性問題を受けて緊急指令を発表 2020年07月22日
NETGEAR製品に幅広く影響するゼロデイ脆弱性が見つかる。ZDIが一斉公開 2020年07月03日

情報処理推進機構（IPA）が、7月7日に「TLS暗号設定ガイドライン第3.0版」を発表した。2018年5月の第2.0版から約2年ぶりの改訂となる。第2.0版移行のタイミングで設定されたSSL/TLS通信の規格化や、技術環境の変化を反映した内容になっている。

このほかSSL3.0を利用禁止としたほか、TLSバージョン1.0および1.1（TLS 1.0/1.1）の無効化を推奨しているとのこと（TLS暗号設定ガイドライン~安全なウェブサイトのために（暗号設定対策編）~、日経、過去記事）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
延期されていたTLS 1.0/1.1のデフォルト無効化、6月から順次実施 2020年06月15日
Microsoft、TLS 1.0/1.1のデフォルト無効化を延期 2020年04月04日
Mozilla FirefoxがTLS 1.0/1.1の有効化を検討、新型コロナウイルスの影響で 2020年03月23日
Google、ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表 2019年10月05日

あるAnonymous Coward 曰く、

最近急速に使われだしているビデオ会議ツール「ZOOM」だが、Web検索結果から「怪しいZOOM」をインストールしてしまうケースが報告されているとして、IPAが注意を呼びかけている(ITmedia NEWSの記事、 IPAのツイート[1]、 [2])。

この「怪しいZOOM」は、起動すると警告画面が表示され、そこに表示された電話番号に連絡するとサポート料金が要求されるというもの。いわゆる「テクニカルサポート詐欺」の一種と見て良いだろう。IPAによると、こういった相談がここ2週間で7件寄せられているという。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoft、TechNetギャラリーを6月に廃止 2020年03月19日
Bing検索結果にGoogle Chromeの偽広告が出現 2018年11月01日
スマートフォンの普及により、紛らわしいドメインを使った詐欺サイトの被害が増加中 2018年06月29日
Windows版Google Chromeユーザーを主なターゲットにしたテクニカルサポート詐欺の手法 2018年02月12日
Microsoft、エラーを誇張して有料版購入を強要するアプリを「望まれないソフトウェア」として削除へ 2018年02月03日
Google Playに偽WhatsAppが複数出現 2017年11月05日
Microsoft EdgeのSmartScreenに偽URLや偽連絡先を表示可能な問題 2016年12月16日
Microsoftの「Security Essentials」を装うマルウェア「Hicurdismos」が確認される 2016年10月28日
「端末が攻撃されている」という偽の表示を出してインストールを促すセキュリティアプリ、レビュー欄では大好評 2016年07月04日
マイナンバー関連のWeb検索結果に表示される無関係なサイトや広告にご注意を 2015年12月02日
偽のセキュリティソフト販売被害額、総額1億円ドル以上 2014年11月26日
検索すると危ないサッカー選手ランキング、McAfeeが発表 2014年06月15日
「MAC Defender」の被害報告、増大中 2011年05月20日
偽の駐車違反警告でマルウェアを広める新手法 2009年02月06日
偽Flash Playerをインストールさせる「flash-player-10.com」にご注意を 2008年10月23日
Google、検索結果がイマイチな場合は正直に表示する機能を米国でロールアウト 2020年04月26日