窓の杜の記事によると、ISO標準のファイル形式であるオープンドキュメント形式で作られたマルウェアが発見されたそうだ。確認されたマルウェアはテキスト文書（ODT）の体裁をとっており、開いてしまうと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが表示される。ユーザーが［はい］ボタンを押してしまうと「Excel」が起動、今度はマクロを有効にするかを問うダイアログが表示される。さらにマクロを有効にすると、「AsyncRAT」と呼ばれるマルウェアが実行されるとしている（窓の杜）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
IBM、社内ドキュメント管理はMS OfficeからLotus Symphony採用へ 2009年09月15日
Openoffice.org 導入の会津若松市、作成される MSOffice 文書の比率が半数以下に 2009年01月27日

イスラエルのMinerva Labsが20日、Adobe Acrobat Readerにはウイルス対策ソフトによるチェックをブロックする処理が組み込まれており、セキュリティ上の問題があるとする指摘をしたことが話題となっている（Minerva Labs、窓の杜、GIGAZINE）。

Acrobat Readerが内部的に利用している「Chromium Embedded Framework」（CEF）には、特定のDLLと競合する問題を回避するためのブロックリストがハードコードされている。指摘によれば、Adobeは2022年3月以降、このブロックリストを独自に拡張し、著名なセキュリティソフトのDLLを大量に追加。セキュリティソフトのDLLインジェクションを無効化している可能性がある。PDFファイルに仕込まれた悪意のあるアクティビティが監視できなくなり、セキュリティ上のリスクが高まることが懸念されるとしている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoft PowerToys、Outlook の PDF プレビューエラーの原因となる 2022年03月26日
Adobe、MS-DOS版Acrobat Reader 1.0の「海賊版」へのリンクにDMCA削除要請 2021年03月16日
最新版Adobe Readerをインストールすると勝手にChrome拡張がインストールされる 2017年01月16日

6 月 23 日はジョン・マカフィー氏の一周忌にあたるが、遺体は現在もバルセロナで冷凍保存されているそうだ (elDiario.es の記事、 BetaNews の記事、 Reuters の記事、 Sky News の記事)。

米司法省に脱税行為で起訴されたマカフィー氏は 2020 年にスペインで逮捕され、その後暗号通貨関連の詐欺行為でも起訴されていた。しかし、裁判所が米国への身柄引渡を認めた昨年 6 月 23 日に独房で首を吊っているのが見つかり、死亡が確認された。死因は自殺と判断され、今年 2 月 13 日にはカタルーニャ法医学研究所 (IMLCFC) による司法解剖の結果を裁判所が承認した。

しかし遺族はマカフィー氏が自殺などするわけがないと異議を唱えて上訴しており、遺体は現在も司法機関の集中するバルセロナの司法地区 Ciutat de la Justícia で IMLCFC が保管しているとのことだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
訃報:ジョン・マカフィー氏。拘留先のスペインで 2021年06月24日
ジョン・マカフィー、暗号通貨関連の詐欺などで起訴される 2021年03月07日
ジョン・マカフィー、スペインで逮捕 2020年10月07日
逃亡者ジョン マカフィー、キューバから米大統領選出馬を目指す 2019年07月09日
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
プロセッサの表面を削って固有IDを読み取ればiPhoneのロックは解除できるという話 2016年03月11日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは？ 2016年03月05日
ジョン・マカフィー曰く: iPhoneにバックドアは不要、うちのチームが3週間で暗号化を解除する 2016年02月20日
2016年米大統領選挙、変わった候補者名が数多く登録される 2015年10月31日
ジョン・マカフィー氏、2016年米大統領選への出馬を表明 2015年09月12日
逃亡中のJohn McAfee氏、ブログで真犯人発見者に2万5000ドルの報酬を出すと発表 2012年11月22日
John McAfee 氏、殺人容疑で指名手配 2012年11月13日
インテル、マカフィーの買収を発表 2010年08月20日

国民生活センターは5月26日、古いスプレー缶の利用に関する警告を出している。同センターでは一度に中身がすべて噴出した制汗スプレーがあったとの報告から調査をおこなっていた。問題となった制汗スプレーでは、本体はアルミ製で開封後の最初の使用時に噴射ボタンを1回押しただけで中身が出続けるという問題があったという（国民生活センター）。

X線の装置により当該品の内部を観察したところ、ハウジングが脱落していたとしている。切り開き直接内部を確認したところ、分離したハウジングは樹脂製で脆くなって破断していたことが原因だとしている。問題となった製品は20年以上前に製造者名が変わっているとても古いものだったという。同センターでは、製造から長期間経過したものや製造時期が不明なもの、異常が見られるスプレー缶は使用しないよう警告している。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
スプレー缶をバケツに入れたお湯で温めて破裂事故。福島県の自動車整備工場 2021年11月26日
大阪の倉庫でスプレー缶ガス抜き作業中に爆発、近隣200mにわたる被害 2019年07月09日
札幌でガス爆発による建物倒壊炎上が発生、原因はスプレー缶の処理作業後の湯沸かし器点火 2018年12月18日
米政府、今度はノートPCを旅客機の預入手荷物に入れないよう求める 2017年10月22日
出火から3日たっても鎮火の見通しが立たないアスクルの倉庫、未明には爆発も 2017年02月19日
スプレー式の紅茶が登場 2016年09月24日
スプレー缶に中身排出機構付与の業界自主規制 2007年01月15日

TECH+の記事によれば、セキュリティサービスのMalwarebytesが、ヨルダンの外務省の政府関係者を標的としたサイバー攻撃を発見したという。このサイバー攻撃は「Saitama」と呼ばれる新しいバックドアを利用している。電子メールに悪意のあるアクティビティを実行するマクロ月のExcelファイルを添付。ドキュメントには、被害者にマクロを有効にするように求める内容の画像が含まれているという。Malwarebytesは今回の攻撃はイランに所属するとみられる「APT34」グループによるものだと分析している（Malwarebytes、TECH+）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
NSA曰く、新しい暗号規格にバックドアはない 2022年05月15日
メタップスペイメントの不正アクセスでクレカ情報46万件が流出。AKB48関連や日本赤十字社などが影響 2022年03月02日
米連邦政府のネットワークにバックドア見つかる 2021年12月27日
中国進出した企業に義務化されている税務ソフトにスパイウェア。ドイツとの関係も悪化 2020年12月11日
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日

headless 曰く、

米中央情報局 (CIA) が安全に情報提供をするための手順をロシア語で解説している (CIA の Instagram 投稿、 HackRead の記事)。

まず、自宅や職場のコンピューターを使用しない、最新版のブラウザーを使用する、プライベートブラウジングモードを使用する、終了後に検索履歴を消去する、といった基本的な注意事項に続き、当局や第三者に追跡されない安全な接続を確保する手順を紹介している。

CIA に情報提供する場合の安全な接続方法は Tor ネットワーク経由または信頼できる VPN 経由の 2 種類。Tor で接続する場合の .onion アドレスは「ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion」となっているが、https 接続に対応せず、http でしか接続できないようだ。VPN はロシアや中国など米国との関係が友好的でない国のプロバイダーやサーバーを避けるべき、有料サービスのほうが比較的安全性が高いといった説明がみられる。

情報提供にあたっては、提供する情報のほか、提供者の所在する国名やフルネームと役職、CIA 側から安全に連絡可能な連絡先を知らせるよう求めている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
IIJmio、「危険 SMS 拒否設定」機能を 3 月中旬から提供予定 2022年02月20日
政府、消費者契約法改正でサブスク解約方法を明示へ 2022年01月31日
米 MVNO Mint Mobile、全国広告審議会の勧告に従って「Unlimited」表記をやめる 2021年12月25日
新幹線の車掌、乗務中にスマホで位置情報ゲーム。 10年間ほどプレイとも 2021年11月18日
中国で暗号資産が全面禁止に。マイニングも決済も相場情報提供も全てNG 2021年09月27日
総務省、スマホ契約時の「オプション契約強要」などの不適切行為向け通報フォームを開設 2021年09月17日
Google Play、ロシアで購入済み有料アプリのダウンロードやアップデートをブロック 2022年05月12日

米国の政府機関が共同で行った発表によると、産業用システムを乗っ取るためのマルウェア「Pipedream」が見つかったという。米国土安全保障省（CISA）、国家安全保障局（NSA）、連邦捜査局（FBI）、エネルギー省（DOE）が共同でサイバーセキュリティアドバイザリーを出している（米国土安全保障省、BleepingComputer、Dragos、GIGAZINE）。

発表によるとこのPipedreamは、業用制御システム（ICS）および監視制御およびデータ取得（SCADA）デバイスに対する完全なシステムアクセスを獲得する能力があるとしている。ターゲットとなっている具体的な製品名として、Schneider Electric製プログラマブルロジックコントローラー（PLC）やオムロン製のSysmac NEX PLCを利用した製品、Open Platform Communications Unified Architecture（OPC UA）サーバーなどの名前が出ている。これらの機器を利用した製品は液化天然ガス（LNG）の生産施設で利用されることが多いことから、PipedreamはLNGの生産施設を標的にしたものではないかと推測されている。

BleepingComputerの記事によると今回の「Pipedream」は、2017年に産業安全システムを無効にしようとした「TRITON（Trisis）」、2016年にウクライナで停電を引き起こしたマルウェア「Industroyer」、2010年頃にイランの核開発計画を妨害した「Stuxnet」に匹敵するものであると指摘している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
トランプ政権下でCIAはサイバー攻撃の自由度を高めた。破壊的な活動も認められる 2020年07月17日
イランの核施設で火災が発生。サイバー攻撃が使われた可能性も 2020年07月07日
米国はマルウェア「Stuxnet」でイランに深刻なダメージを与えようとしていた 2016年07月13日
Stuxnet、ドキュメンタリー映画化 2016年02月22日
StuxnetやFlameと同郷の新型マルウェア「Gauss」 2012年08月13日
コンピューターウィルスの兵器化は戦争を変える 2012年06月28日

headless 曰く、

Node.js モジュールの node-ipc で、ホストシステムの IP アドレスがロシアまたはベラルーシであることを検出すると上書き可能なファイルの内容をすべてハートの絵文字に置き換えるコードがメインテナーにより追加され、深刻な脆弱性として CVE にも登録されることになった (The Register の記事、 NVD — CVE-2022-23812、 GitHub のアドバイザリー、 Snyk の脆弱性情報)。

脆弱性のあるバージョンは 10.1.1 および 10.1.2 となっており、GitHub のアドバイザリーではメインテナーにより導入された悪意あるコードに対して脆弱と説明されている。問題のコードはメインテナー自らバージョン 10.1.3 で削除したとのこと。現在のところ安定版ブランチと考えられているのは 9.x であり、この脆弱性の影響を受けた人は少ないとみられる。ベラルーシで活動する米国のNGOが影響を受けたとの報告も上がっているが、GitHub の要望でメッセージは削除されており、真偽も不明だ。

一方、その後リリースされたバージョン 9.2.2 および 11 では peacenotwar と呼ばれるモジュールが追加されており、ユーザーのデスクトップに 5 か国語の停戦呼び掛けを含むテキストファイル WITH-LOVE-FROM-AMERICA.txt を生成する。なお、npm ではバージョン 10.1.1 ～ 10.1.3 および 9.2.2 が削除されている。

すべて読む | セキュリティセクション | セキュリティ | YRO |

関連ストーリー：
経産省、住所の正規化などを行えるコンポーネントを公開 2020年06月02日
Node.js開発者による新JavaScriptランタイムDeno 1.0がリリース、後継となるか？ 2020年05月29日
GitHub、npmを買収 2020年03月17日
Node.jsの全バージョンに脆弱性、17日に対策済みバージョンを配信予定 2019年12月17日
AWS LambdaがCOBOLをサポートしたことが話題に 2018年11月30日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
GitHubのリポジトリ数が1億件に到達 2018年11月12日
ロシア半導体産業の内情 2022年03月23日

headless 曰く、

ドイツ連邦情報セキュリティ局 (BSI) は 15 日、ロシアに本社があるカスペルスキー製のセキュリティソフトウェア使用にはリスクがあると注意喚起した (プレスリリース、 FAQ、 The Register の記事、 HackRead の記事)。

BSI によれば現時点でカスペルスキー製品が具体的な脅威となっているわけではないが、ロシアからのサイバー攻撃リスクが高まる中、カスペルスキーがその意志に反して攻撃に加担させられたり、機密情報を提出させられたりする可能性が否定できないとのこと。そのため、カスペルスキー製品の使用を禁ずるものではないが、BSI では他の製品に置き換えることを推奨している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
映画007シリーズのMI6の職員はサイバーセキュリティの基本を理解していない 2021年11月16日
カスペルスキー、偽の Windows 11 インストーラーを実行しないよう注意喚起 2021年07月26日
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日
WHOを狙ったサイバー攻撃が相次ぐ 2020年03月28日
カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える 2019年03月23日
カスペルスキー日本法人、会社概要のページからロシア本社の住所をなぜか削除 2022年03月18日

2 月に NVIDIA のネットワークに侵入してプロプライエタリ情報を盗み出したハッキンググループ Lapsus$ が同社に対し、現行および将来の GPU ドライバー (Windows / macOS / Linux) をオープンソース化し、FOSS ライセンスで公開するよう要求している (Ars Technica の記事、 Mashable の記事、 Android Police の記事、 Computing の記事)。

同グループは先に NVIDIA のドライバーから暗号通貨採掘のハッシュレート制限機能 LHR を削除するよう要求していたが、それに加えてドライバーのオープンソース化を要求することにしたという。期限は金曜日 (4 日。日本時間で 5 日) までとなっており、オープンソース化の要求に応じなければ企業秘密を含む GPU 等のファイルを公開すると脅している。

NVIDIA は 1 日に公開したサポート記事で攻撃を受けたことを認めており、攻撃者が従業員のパスワードを使ってプロプライエタリ情報を盗み出したことを明らかにしているが、ランサムウェア被害にあったことは否定している。同社の対応としてはセキュリティ強化や従業員全員に対するパスワード変更要求、当局への通報といったもので、業務やサービスには影響しないとのことだ。

すべて読む | セキュリティセクション | オープンソース | セキュリティ |

関連ストーリー：
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日
ソフトバンク、NVIDIA への Arm 売却を断念して上場へ 2022年02月09日
NVIDIAのモデル名の「Ti」をどう発音する？ 2022年01月07日
密輸されたNVIDIAのマイニング用製品300枚が漁船から押収される 2021年04月09日
NVIDIA、RTX 3060の制限解除ドライバーを誤ってリリース。その影響でアキバから在庫消える 2021年03月18日
Linus Sebastian氏、NVIDIAのマイニング対策を「ゲーマーをかばうフリをしている」と批判 2021年02月26日
NVIDIAがマイニング専用GPU「CMP HX」を発表。映像出力を省きシステムも効率化 2021年02月23日
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日
NVIDIAが品不足対応のため、GeForce RTX 2060とGTX 1050 Ti製品を増やす計画 2021年02月16日

headless 曰く、

ギャレットのゲート型金属探知機で見つかった 9 件の脆弱性を発見者の Cisco Talos が解説している(Cisco Talos のブログ記事、 HackRead の記事)。

脆弱性が見つかったのは金属探知機本体ではなく、オプションの遠隔監視用 iC モジュールだ。もちろん金属探知機が脆弱性を発見したわけではない。このiCモジュールはゲート型金属探知機 PD6500i および Multi Zone (旧 MZ6100) に対応し、施設内のネットワーク環境に組み込むことで遠隔での設定や検知結果などの確認が可能になる。

脆弱性のうち 4 件 (CVE-2021-21901、 CVE-2021-21903、 CVE-2021-21905、 CVE-2021-21906) はバッファーオーバーフローの脆弱性で、リモートからコードを実行できる可能性がある。CVE-2021-21901 と CVE-2021-21902 は認証の前に発生するという。また、別の 4 件 (CVE-2021-21904、 CVE-2021-21907、 CVE-2021-21908、 CVE-2021-21909) はディレクトリトラバーサルの脆弱性で、認証済みの攻撃者が特定の条件でデバイス上のファイルを読み取り・書き込み・削除できる。最後の 1 件(CVE-2021-21902)は認証バイパスの脆弱性で、競合状態により認証済みユーザーのセッションを攻撃者が乗っ取ることが可能とのこと。

攻撃者はこれらの脆弱性を悪用することで、遠隔から金属探知機の動作状況を監視できるほか、金属探知機の感度を変更するなど、セキュリティを低下させる操作を実行することが可能となる。既に修正版のファームウェアが提供されており、ユーザーにはできるだけ早く更新することが推奨されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 2021年12月24日
4 件の脆弱性を修正した X.Org Server 21.1.2、ディスプレイの物理 DPI を報告する機能が廃止に 2021年12月19日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
Apache Log4j 2 で非常に深刻なリモートコード実行の脆弱性が見つかる 2021年12月11日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
Firefox 95 リリース、新しいサンドボックス技術 RLBox が全プラットフォームで有効に 2021年12月08日
第12世代CoreでLinuxのSpectre・Meltdown対策パッチを無効化する意味はない 2021年12月08日

headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 2021年11月28日
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
Chromiumのソースツリーにテスト用マルウェア混入、ユーザーには影響なし 2021年11月23日
終息したはずのマルウェアEmotetが活動を再開。IPAが注意喚起 2021年11月23日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
UAParser.jsにマルウェアが混入 2021年10月29日
政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 2021年09月28日

日立グループは2021年12月13日から、送受信ともにパスワード付きZIPファイル（いわゆるPPAP）の利用を廃止すると発表した。その日付以降は、パスワード付きZIPファイルが添付されたメールを送受信した場合は、直接担当者などに届くこともなく、また送信もされることはない。代わりに配送を抑止したという通知がされるとしている（日立リリース）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日
パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 2021年06月24日
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日

headless 曰く、

Wi-Fi ホットスポットや Web サーバー、ペイロード実行機能などを実現するチップを組み込んだ USB ケーブル「O.MG Cable」に USB Type-C 版が登場した (Motherboard の記事、 Mac Rumors の記事)。

このケーブルは USB Type-C コネクターのシェル内にチップが組み込まれているが大きさは通常のケーブルと変わらず、通常のケーブルとしても動作する。USB Type-C - Type-C 版 (C-to-C) と USB Type-C - Lightning 版の 2 種類があり、C-to-C では 一方のコネクター (シェルに USB ロゴ入り) にのみチップが組み込まれている。チップの組み込まれた側をホストに接続すると稼働を開始し、Ducky Script によるキーストローク送信などを実行できる。

内蔵機能の動作は Wi-Fi 接続によりリモートからコントロールできるほか、ジオフェンシングにより特定の場所以外で動作を停止させることも可能だ。また、ケーブル外付けタイプのキーボードとホストの接続に使用することで最大 65 万キーストロークを記録可能なキーロガーエディションも用意されている。価格は通常版が 139.99 ドル、キーロガーエディションが 179.99 ドル、USB Type-A / Type-C に対応するプログラマーが 24.99 ドルとなっている。

USB Type-A 版は既に発売されていたが、USB Type-C コネクターはチップを組み込むのに十分なスペースがないから安全だと考える人もいた。開発者のセキュリティリサーチャー MG 氏はそれが間違いであることを証明するために USB Type-C 版を開発したという。USB Type-C 版は Wi-Fi 機能が強化されており、2 km 以上離れた場所からペイロードのトリガーが可能とのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
高価だがUSB Type-Cケーブルの混沌を解決するThunderbolt 4ケーブルという選択肢 2021年08月06日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
USB Type-C規格が更新。USB PDに48V・5Aで240W流せるEPRモード追加へ 2021年05月28日
新型iMac同梱の編組ナイロンUSB-C to Lightningケーブル、耐久性は向上するか 2021年05月02日
iPhoneの同梱品、次になくなるのは？ 2020年12月12日
Raspberry Pi、キーボード一体型PCを発表 2020年11月03日

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。

単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。

現在、CISA がバッドプラクティスとしているのは以下 3 件。

1. サポートされないソフトウェアの使用
2. 既知/固定/デフォルトパスワードの使用
3. 単一要素認証の使用

重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 2021年06月13日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
米国土安全保障省の選挙インフラに関する評議会、11月3日には米史上最もセキュアな選挙が行われたと声明 2020年11月15日
中国政府関与のハッカー集団が2要素認証を突破してVPNアカウントを奪取していたとの報告 2019年12月26日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日

iida 曰く、

X.509 証明書の識別名の OU 属性 (organizationalUnitName: OID 2.5.4.11) の使用停止が CA/Browser Forum で決議された (Ballot SC47v2: Sunset subject:organizationalUnitName、 Baseline Requirement 1.7.9版: PDF、 EV SSL 1.7.7版: PDF)。

2022-09-01 以降に OU 属性のある識別名の証明書を発行してしまうと、証明機関が BR や EV に不適合になってしまい、対応するルート認証局がブラウザや OS などから信頼されなくなる危険性が高まる。ルート証明機関は下位の証明機関に BR や EV へ準拠するようはたらきかけるだろうから、現在 OU の有無や値を使って鍵や証明書を管理している TLS サーバー側の管理者や、それらで認証認可している (たいていは TLS クライアント側の) システムは、対応を迫られることになろう。

またもし 1 年モノの証明書を新規に発行してもらうばあいは、最初から OU なしで発行してもらうほうが更新が楽になろうから、ご検討いただきたい。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoftダウンロードセンター、3日からSHA-1署名のWindows向けコンテンツ提供を中止 2020年08月01日
HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 2019年11月11日
Google Chrome 77ではURLバーのEV証明書の組織表示を廃止へ 2019年08月13日
Microsoft、無害なファイルがマルウェアと誤検知されるのを避けるための対策を紹介 2018年08月22日
上場企業やgo.jpドメインでもLet's Encryptのサーバ証明書の利用が広がる 2018年06月07日
EV証明書を使用して既知の企業になりすませる可能性が指摘される 2017年12月16日
Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 2017年05月05日
SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 2017年02月25日

Check Point Software Technologiesは8月6日、Amazon Kindleに脆弱性が存在すると発表した。この脆弱性を悪用するとKindleの制御権は完全に乗っ取られるほか、Amazonアカウントなども盗まれる可能性があるとしている。発表によると一冊の電子書籍をインストールするだけで実行可能だそう。話題になりそうな電子書籍を無料で出版するだけで実行できるとしている。同社は問題をすでにAmazon側に報告しており、Amazon側も問題を修正したファームウェア5.13.5を配信済みだとしている（Check Point、TECH+）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Chaos Computer Club、独キリスト教民主同盟には2度と脆弱性を知らせない 2021年08月09日
プレビュー版 Microsoft Edge のセキュリティ強化モード「Super Duper Secure Mode」 2021年08月08日
漫画家の佐藤秀峰氏がAmazonを訴えていた裁判、東京地裁が棄却 2020年03月31日
WPA2による暗号化通信の内容を解読を可能にするWi-Fiチップの脆弱性「KrØØk (Kr00k)」をESETが公表 2020年03月02日
Amazon、「Kindleインディーズマンガ」サービスを開始 2018年07月11日
Amazon.co.jpで漫画村ロゴ入りの電子書籍が販売される 2018年04月25日