FBIは14日、米国内の法執行機関や刑事司法機関に提供しているFBIのポータルサービスの設定ミスを悪用され、外部から偽メールが配信されてしまったと発表した。この偽メールはポータルサイト「Law Enforcement Enterprise Portal（LEEP）」の脆弱性によるもので、偽の電子メール送信を一時的に許可する設定ミスから@ic.fbi.govで終わる正規のメールアドレスから発信されたとしている（ITmedia、Krebs on Security、PC Watch）。

この偽メールは10万人以上に送信されたとしている。偽メール配信を実行したのは「pompompurin」を語る個人。サンリオキャラクターと同名だが無関係。pompompurinはセキュリティジャーナリストのブライアン・クレブス氏を経由してその手口を明らかにしている。その詳細に関してはKrebs on Securityに掲載された。pompompurinはFBIのシステムのひどい脆弱性を指摘するため、ハッキングしたと説明しているとのこと。

すべて読む | ITセクション | 犯罪 | セキュリティ | spam | インターネット | IT |

関連ストーリー：
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日
Twitter、15日のアカウント侵害インシデントに関する情報や対策を発表 2020年07月19日
フランス警察がボットネットを乗っ取り、85万台のPCからマルウェアを削除 2019年09月02日
60万サイトで使われるWordpress多言語プラグインWPML、サイトがハッキングされ情報流出 2019年01月28日
2本のGoogle Chrome拡張機能、開発者アカウント乗っ取りでアドウェアが配信される 2017年08月05日

Apple は 6 日、App Store でアプリの問題を容易に報告できるようにするリンクのロールアウトを開発者向け更新情報で発表した (News and Updates、 9to5Mac の記事)。

リンクが表示されるのは iOS 15 / iPadOS 15 / macOS Monterey 上の App Store で、アプリの情報ページから直接問題を報告できるようになる。この機能は現在のところオーストラリア・カナダ・ニュージーランド・米国のユーザーに提供されており、いずれは他の地域でも利用可能にする計画だという。

また、reportaproblem.apple.com から報告する問題の種類として詐欺的なアプリや侮蔑的・違法なコンテンツを選択可能になっており、アプリ内購入を提供しない無料アプリでも問題を報告できるようになったとのこと。この変更は全世界のユーザーに適用される。

問題が報告された場合は Apple が調査を行い、App Store Review ガイドライン違反が確認された場合には開発者に修正を求める。故意の違反が疑われる場合には開発者に通知し、アプリの削除やガイドライン 5.6 に従った開発者アカウントの停止などの措置を行うとのこと。

また、6 月のガイドライン改訂では 5.1.1 (v) に「アカウントの作成に対応したAppの場合は、App内でアカウントの削除もできるようにする必要があります」という文言が追加されており、2022 年 1 月 31 日以降に提出されるアプリに義務付けを適用開始することも同日発表された (News and Updates [2]、 Mac Rumors の記事)。

すべて読む | アップルセクション | セキュリティ | ソフトウェア | spam | アップル | デベロッパー |

関連ストーリー：
Apple、App Storeの特集記事でガイドライン違反アプリを紹介していると指摘される 2021年08月09日
App Storeの高収益アプリトップ1000、2％近くが詐欺アプリ 2021年06月08日
Apple、App Storeで不当に高額な課金をするアプリへの対策を開始か 2021年02月22日

Apple CommunityでグループFaceTimeによるスパムの報告が増加している(Apple Communityのスレッド、 Ars Technicaの記事、 Mac Rumorsの記事、 SlashGearの記事)。

報告されているのは、連絡先に登録済みの電話番号と未知の電話番号の両方を含むグループ、または未知の電話番号のみのグループからグループFaceTimeが次々に着信するというものだ。Apple Communityに最初の質問が投稿されたのは昨年3月で、同じ質問があると投票したユーザーは2,000人を超えている。コメントは昨年末までに60件だったが今年に入って150件以上にまで増加した。

Appleは電話番号を個別に指定して着信をブロックする機能を提供しているが、特定の電話番号からのみ受信するオプションはなく、300件以上の電話番号をブロックしても回避できないとの報告もみられる。ランダムな電話番号からの着信をブロックするにはFaceTime自体を無効にするしかないようだ。

すべて読む | ITセクション | spam | アップル |

関連ストーリー：
米連邦地裁、グループFaceTimeのバグで盗聴被害にあったと主張する男性の訴えを棄却 2019年05月15日
AppleのグループFaceTime機能に不具合、応答していない着信側の音声や映像を発信側で受信可能 2019年01月31日
ロシアのセキュリティ企業曰く、AppleはiPhoneの通話履歴をiCloudに保存している 2016年11月23日

大量のダイレクトメールに悩まされている方は多いと思うが、勝手にアドレスを登録されて、大量のメールが届いたという話が掲載されている（ITmedia）。短いメールアドレスを持つこの記事の筆者によると、それまでは中古車の見積もり一括登録サービスに勝手に登録されたものが一番ひどい事例だったが、それを上回るものが出てしまったという。

最近のネットサービスは、開始時にメールアドレスを登録、次にワンタイムURLを送り認証する仕組みがある。しかし、電子書籍サービス「honto」にはそうした仕組みがなくメールアドレス一つだけで簡単に登録できてしまうという。また、解除にはパスワードや会員IDだけでなく、生年月日も必要なことから非常に解除が困難だったとしている。

最終的に記事の筆者は別アカウントから連絡して本人と認められて解除に成功したという。作者はワンタイムURLのような機能が無いのであれば、同じアドレスで登録されないようにと希望したが、弊社では対策ができないとして、推測されにくいようメールアドレスの文字数を増やすことを逆提案されたとのこと。

//このあたりのRFC違反のメールアドレスもエロスパム対策から生まれたのを思い出しました。

すべて読む | ITセクション | spam | インターネット | IT |

関連ストーリー：
AOLに訴えられたスパムメール王、2017年にカナダで亡くなっていた 2020年11月13日
RFC違反のキャリアメールアドレスという負の遺産、iOS 14で再び顕在化 2020年11月06日
本レビューサイト「ブクログ」、2年弱ソースコード上にメールアドレスが表示された状態に 2020年10月27日
川崎市の野球場予約システムで不正アクセスが多発。利用不能となり紙での申し込みに変更 2020年09月24日
日本電子決済推進機構の「Bank Pay」、ドコモ口座問題と同じリスクがあるとして新規受け付けを停止 2020年09月15日
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
新型コロナ関連の迷惑メールが大きく増加 2020年04月22日
世界の迷惑電話、18％も増加 2019年12月05日
Office 365のセキュリティ機能、組織に送られたスパムメールの25％を見逃す 2019年04月17日

あるAnonymous Coward 曰く、

ペニス増大剤のスパムメールを何億通も送って月に50万ドルも稼ぎ、2004年にはAOLに訴えられ13億円ほど支払うことになった、ユダヤ人だけどネオナチグループのリーダーをしていた過去を持つデイビス・ホークス氏。

スパムメール商売廃業後は登山家になり、ジェシー・ジェームズの名前で「誘惑の心理学」という本を書いたりしてたそうだが、カナダのスコーミッシュで2017年に発見された銃で撃たれ焼かれた死体の身元がようやく判明し、本人だと確認されたそう。自殺か殺されたかは不明（Slashdot）。

オライリーから出版された「スパマーを追いかけろ: スパムメールビジネスの裏側」に登場していた人なので覚えている人もいるかもしれない。

すべて読む | ITセクション | spam | IT |

関連ストーリー：
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
新型コロナ関連の迷惑メールが大きく増加 2020年04月22日
中国・劉慈欣氏によるSF作品、米国でも注目される 2019年12月07日
世界の迷惑電話、18％も増加 2019年12月05日
Office 365のセキュリティ機能、組織に送られたスパムメールの25％を見逃す 2019年04月17日

KAMUI 曰く、

新型コロナ対策として実施された「特別定額給付金」だが、「2回目の給付金」を騙るメールが送られているとして総務省が注意喚起をおこなっている。

メールの内容としては「二回目特別定額給付金の特設サイトを開設しました。」という内容でメール中に偽の特設サイトに誘導するリンクが含まれているそうだ・・・って、ウチにも2通来てました。参考までにウチに来てたものには

二回目特別定額給付金（新型コロナウイルス感染症緊急経済対策関連）

二回目特別定額給付金の特設サイトを開設しました。（令和2年10月14日）

と言った文言でサイトへのリンクが置かれており「特別定額給付金の概要」として「令和2年10月14日、「新型コロナウイルス感染症緊急経済対策」が閣議決定され～ 」と言った文章が続いているのだが、そもそも首相官邸ウェブサイトの閣議ページを見ると10月14日には閣議決定自体が行なわれておらず、その前後の閣議決定にも定額給付金に関するものが無い。それ以前の話として「二回目特別定額給付金」って書き方からして微妙におかしいんだが・・・多分、これ書いたのは日本語ネイティブじゃないんだろうなぁ。

なお、偽サイトでは住所や氏名、生年月日入力や本人確認書類などが求められる。個人情報の取得が目的とみられる（ITmedia）。

すべて読む | ITセクション | 犯罪 | セキュリティ | spam | ボットネット |

関連ストーリー：
米国でテレワーカーをターゲットにした詐欺が横行。偽VPNページにアクセスさせて情報搾取 2020年08月28日
7月に発生したTwitterの大規模なアカウント侵害事件、米国で3人が起訴される 2020年08月01日
英携帯キャリアThree、SMSフィッシングへの注意を呼び掛けるフィッシング風SMSを顧客に送る 2020年07月09日
CAPTCHAを悪用してセキュリティ機構を回避するマルウェアが登場。マイクロソフトが警告 2020年06月25日

YouTubeが電子メールによる更新情報通知機能を8月13日で廃止するそうだ(YouTube Helpの記事、 9to5Googleの記事、 Neowinの記事)。

Googleによれば、実際に開封される通知メールは0.1%未満であり、受信トレイがいっぱいになってしまうとの苦情もあったという。更新情報のメール通知を廃止することで、アカウントに関する通知や全員に告知が必要なサービス内容の変更など、YouTubeからの重要な通知に注意が向くようになると期待しているとのこと。

メール通知廃止後もYouTubeアプリでのモバイル通知や、Chromeブラウザーでのデスクトップ通知は引き続き利用できる。Googleはメール通知を停止するテストを実施しているが、視聴時間に影響はみられず、逆にモバイルでのプッシュ通知や登録チャンネルの利用が増加したとのことで、クリエイターへの影響はないとみているようだ。

モバイル通知とデスクトップ通知のオプションはYouTubeの設定画面で「通知→モバイル通知とデスクトップ通知の管理→ユーザー設定」で変更できる。同じ画面にメール通知のオプションもあり、8月13日を待たなくてもここで無効化することが可能だ。

自分のアカウントには2年以上前から通知メールが届かなくなっていたが、設定を変更したまま忘れていたようだ。通知メールは削除せずに残してあったが、開封したものはほとんどなかった。スラドの皆さんはYouTubeのメール通知を利用していただろうか。

すべて読む | ITセクション | Google | spam | YouTube | アナウンス | IT |

関連ストーリー：
Google、新規アカウントはデフォルトでアクティビティを自動削除 2020年06月28日
YouTubeなど、ネットワーク帯域節約のため動画のデフォルト品質を下げる 2020年03月27日
YouTubeの「採算の合わない利用者のアカウントを閉鎖できる」という新規約で物議 2019年11月12日
ウェブ版YouTube Kids、九九で保護者（大人）であることの確認を行う 2019年09月04日
YouTube、0.05倍速刻みの再生速度調節機能をテスト中 2019年04月07日
YouTube、「スキップ不可の動画広告」を拡大 2018年08月28日

Mozillaがモバイル版Firefoxユーザーの一部に対し、Facebookボイコットを呼びかけるブログ記事のリンクを通知として表示したそうだ(Ghacksの記事、 Redditのスレッド)。

ブログ記事はFacebookにヘイトスピーチから利益を上げないよう求めるStop Hate for Profitキャンペーンに賛同するMozillaが行動を呼びかける内容だ。しかし、アプリと無関係な通知をFirefoxが表示したことで、強い反感を買う結果となる。このブログ記事を宣伝するFirefox公式アカウントのツイートには通知を批判するコメントが多数寄せられているものの、Firefox側からの返信はない。

Ghacksの記事ではAndroid版Firefoxの話として紹介されているが、TwitterやRedditではiOS版Firefoxで表示されたという報告もみられる。Android版Firefoxでは設定の「お知らせ→製品と機能のヒント」というオプションで通知の有無を設定できるとみられるが、iOS版には存在しないようだ。

すべて読む | ITセクション | セキュリティ | Firefox | spam | Mozilla | 政治 | Facebook |

関連ストーリー：
MicrosoftがFacebookボイコットキャンペーンとは無関係にFacebook/Instagramへの広告出稿を停止していたとの報道 2020年07月02日
大手企業によるFacebookなどSNSへの広告出稿停止が相次ぐ 2020年06月30日
Windows版Firefox 75、タスクスケジューラにテレメトリーデータ送信タスクを追加 2020年04月11日
Mozilla、人員削減で人手不足に 2020年02月01日
Mozilla、拡張機能全滅問題に対応する旧バージョンFirefox向け修正を拡張機能としてリリース 2019年05月18日
Apple、プッシュ通知で元Apple Musicユーザーに2度目の無料トライアルを提案 2019年02月13日
Apple、iOSユーザーの一部に宣伝をプッシュ通知して批判を浴びる 2018年12月23日
Mozilla、ブログで推奨したプライバシー拡張機能でプライバシー問題が指摘され、説明なく記述を削除 2018年08月18日
Firefoxは利用者のハードウェア統計情報を収集・公開している 2018年01月23日
Mozilla、Firefoxにプロモーション的コンテンツのための拡張を勝手にインストールさせてトラブルに 2017年12月19日

Windows 10のフィードバックHubアプリでスパム投稿の問題が発生しているようだ(Softpediaの記事[1]、 [2]、 Redditのスレッド)。

英語でのスパム投稿は政治的コメントが多いようだ。Redditに投稿されたスクリーンショットのようにカテゴリで「Microsoft Edge」を選択しただけでトレンド上位にスパム投稿が並ぶ現象は確認できなかったが、「trump」などを検索すると同じユーザーが投稿した政治的コメントが多数ヒットする。フィードバックHubは迷惑行為を報告する機能も備えているが、報告を受けてMicrosoftが対策しているのかどうかは不明だ。なお、迷惑行為を報告できるのは「提案」として投稿されたフィードバックのみのようだ。「問題」として投稿されたフィードバックではリンクがグレイアウトしている。

日本語でのスパム投稿はまったくないわけではないが、あまり目立たない。それよりも具体的な内容が書かれていないフィードバックが目立つ。フィードバックの入力画面には「フィードバックを英語で送信すると、より多くのコミュニティメンバーが閲覧することができ、弊社ではより有用なフィードバックを受け取ることができるようになります。」と表示されるなど、日本語でのフィードバックは軽視されている雰囲気もある。

すべて読む | ITセクション | セキュリティ | spam | 政治 | Windows |

関連ストーリー：
Microsoft、TechNetギャラリーを6月に廃止 2020年03月19日
Office 365のセキュリティ機能、組織に送られたスパムメールの25％を見逃す 2019年04月17日
インド・デリーの偽コールセンター、偽のMicrosoftテクニカルサポートスタッフなど24名が逮捕 2018年10月09日
TechNetのユーザーコンテンツ公開機能、テクニカルサポート詐欺の宣伝に悪用される 2018年09月14日
Microsoft、CodePlexを終了へ。「GitHubがデファクトになった」 2017年04月04日
Microsoft ストアでフィードバック Hubがリリースされる。一般ユーザが利用可能に 2016年05月24日
Microsoft、米国でテクニカルサポート電話詐欺を行う企業を提訴 2014年12月21日
Microsoft、ユーザーをだますような名称のアプリ1,500本以上をWindowsストアから削除 2014年08月31日
Windowsアプリストアは詐欺アプリがいっぱい 2014年08月23日