headless 曰く、

多要素認証 (MFA) エンロールの仕組みを悪用し、MFA を有効にした組織のアカウントを攻撃者が入手する手法をセキュリティ企業 Mandiant が解説している (Mandiant のブログ記事、 Neowin の記事、 On MSFT の記事)。

MFA を破る手法の一つに、ユーザー名とパスワードを知る攻撃者が MFA のプッシュ通知を送り続けてユーザーが許可してしまうのを待つという方法が知られるが、Microsoft は一致する数字を入力させることによる対策をロールアウトする計画だ。一方、最近増加傾向のみられる MFA エンロールの仕組みを悪用する手法では、初回ログイン時の MFA エンロールを可能にした組織で作成されたまま使われていない休眠アカウントを狙う。こういったアカウントのユーザー名とパスワードを何らかの方法で入手してログインすれば MFA のエンロールも可能となるというわけだ。

記事ではロシアのハッキンググループ APT29 がパスワード推測攻撃で休眠アカウントにログインしてMFAにエンロールし、Azure AD 認証と MFA で守られた組織の VPN インフラストラクチャーへのアクセスを確保した例を紹介している。このような攻撃を回避するため、MFA デバイスの登録時に信頼されたネットワークの場所やデバイスからのアクセスを必須とする条件付きアクセスや、一時アクセスパスの利用が推奨されるとのことだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表 2022年05月08日
Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 2021年06月13日
Microsoft Authenticatorの偽拡張機能、Chromeウェブストアで見つかる 2021年05月21日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日

headless 曰く、

VirusTotal の報告書「Deception at scale: How malware abuses trust」によれば、似せたアイコンを使用するマルウェアが多い正規アプリトップ 3 は Skype と Adobe Acrobat、VLC だったそうだ (VirusTotal Blog の記事、 HackRead の記事)。

調査はダウンロード回数の多い正規の Windows アプリケーション 25 本に似せたアイコンを使用するサンプルが対象だ。マルウェアとして判定されたサンプルに占める割合でみると、Skype (28.0 %)・Adobe Acrobat (18.2 %)・VLC (17.6 %) の 3 本で 63.8 % を占め、7zip (11.5 %)・Team Viewer (7.5 %)・CCleaner (5.6 %) を含めると 88.4 % にのぼる。

一方、正規アプリと似たアイコンのサンプルに占めるマルウェアの割合が高いのは Adobe Acrobat・Skype・7zip の 3 本で、いずれも 75 % 以上がマルウェアだったという。具体的な数字は記載されていないが、Adobe Acrobat と似たアイコンのサンプルでは 90 % 以上がマルウェアだったようだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
パレスチナ過激派の工作員、10代の女性を装ってSNSでイスラエル兵に接触してスマホにスパイウェアをインストールさせる活動を展開中 2020年02月21日
Google Playで公開されている偽アプリ、1割以上にマルウェアの疑いがあるとの調査結果 2019年06月28日
元NSAハッカーが開発したEvil Maid攻撃対策ツール「Do Not Disturb」 2018年05月03日
仮想通貨の採掘をバックグラウンドで行うツールを同梱するフリーウェアが登場 2018年03月14日
子供向けアプリを装ってアダルト広告を表示するマルウェア、Google Playで60本以上見つかる 2018年01月14日

英自動車協会会長のエドムンド・キング氏は自動車盗難を恐れるあまり、キーフォブを電子レンジにしまっているそうだ (The Guardian の記事、 The Telegraph の記事)。

キング氏は既にファラデーポーチを使用しており、家の外からのスキャンを防ぐため玄関からできるだけ離れた場所に保管していたが、それでも妻の Lexus がハッカーに盗まれたという。そのため、現在はファラデーポーチに入れたキーフォブを金属製の手提げ金庫に入れ、それをさらに電子レンジに入れるという多重の保護になっている。さらに安全を守るため、金属製のハンドルロックも使用しているとのこと。キング氏は自動車メーカーに対し、キーフォブを無効化して簡単にはハックできない従来のシンプルなセキュリティを選択可能にするよう要望しているとのことだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
ホンダ車のリモートキーレスエントリーシステムに脆弱性が発見される 2022年07月15日
ホンダ・シビックのキーレスシステムを乗っ取り可能な脆弱性 2022年03月28日
Tesla のサーバー障害、アプリで Tesla 車に接続できなくなる 2021年11月21日
電磁場を防ぐため、Wi-Fiルーターをファラデーケージに入れる人々 2020年12月06日
複数メーカーの自動車のイモビライザに脆弱性、RFIDリーダーを使って暗号鍵を推測可能 2020年03月12日
米KFC、カーネル・サンダースがあなたをショッピングの誘惑から守る「Internet Escape Pod」を発売、ただし…… 2017年11月19日

マザーボードのUEFIを狙ったマルウェアが出回っているという。このマルウェアはルートキット機能を持つことから一般に「UEFIルートキット」と呼ばれているが、Kasperskyの研究者は今回発見したUEFIルートキットに「CosmicStrand」という名称を与えているという（Kaspersky、BleepingComputer、Ars Technica、GIGAZINE）。

マザーボード上のファームウェアに当たるUEFIにマルウェアを仕込まれると特定が困難な上、OSの再インストールやストレージドライブの交換では削除できない。Kasperskyによると、今回発見されたCosmicStrandは、ASUSとGIGABYTE製のH81チップセットを搭載する古いマザーボードから発見されたという。2016年の終わり頃から何年にもわたって運用されてきた形跡があるとしている。その構造から中国語を話すハッキンググループが作成したものである可能性が高いとしている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
検出が非常に困難な Linux のマルウェア「Symbiote」 2022年06月12日
Microsoft の署名入りルートキット、また見つかる 2021年10月24日
トレンドマイクロ製品のドライバーでWindowsの「ドライバーの検証ツール」実行の有無をチェックするコードが見つかる 2020年05月26日
米サイバー軍、民間企業とマルウェアサンプルを共有へ 2018年11月14日
ストリートファイターVのアップデートで追加された不正防止対策がルートキットのようだと批判される 2016年09月25日
1997年から2010年までのIntel製CPUに脆弱性？ 2015年08月12日
Windows 8のプリインストールマシンで他のOSがブートできない可能性 2011年09月25日

窓の杜の記事によると、ISO標準のファイル形式であるオープンドキュメント形式で作られたマルウェアが発見されたそうだ。確認されたマルウェアはテキスト文書（ODT）の体裁をとっており、開いてしまうと他のファイルへの参照を含むフィールドを更新するかを問うダイアログが表示される。ユーザーが［はい］ボタンを押してしまうと「Excel」が起動、今度はマクロを有効にするかを問うダイアログが表示される。さらにマクロを有効にすると、「AsyncRAT」と呼ばれるマルウェアが実行されるとしている（窓の杜）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
IBM、社内ドキュメント管理はMS OfficeからLotus Symphony採用へ 2009年09月15日
Openoffice.org 導入の会津若松市、作成される MSOffice 文書の比率が半数以下に 2009年01月27日

イスラエルのMinerva Labsが20日、Adobe Acrobat Readerにはウイルス対策ソフトによるチェックをブロックする処理が組み込まれており、セキュリティ上の問題があるとする指摘をしたことが話題となっている（Minerva Labs、窓の杜、GIGAZINE）。

Acrobat Readerが内部的に利用している「Chromium Embedded Framework」（CEF）には、特定のDLLと競合する問題を回避するためのブロックリストがハードコードされている。指摘によれば、Adobeは2022年3月以降、このブロックリストを独自に拡張し、著名なセキュリティソフトのDLLを大量に追加。セキュリティソフトのDLLインジェクションを無効化している可能性がある。PDFファイルに仕込まれた悪意のあるアクティビティが監視できなくなり、セキュリティ上のリスクが高まることが懸念されるとしている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoft PowerToys、Outlook の PDF プレビューエラーの原因となる 2022年03月26日
Adobe、MS-DOS版Acrobat Reader 1.0の「海賊版」へのリンクにDMCA削除要請 2021年03月16日
最新版Adobe Readerをインストールすると勝手にChrome拡張がインストールされる 2017年01月16日

6 月 23 日はジョン・マカフィー氏の一周忌にあたるが、遺体は現在もバルセロナで冷凍保存されているそうだ (elDiario.es の記事、 BetaNews の記事、 Reuters の記事、 Sky News の記事)。

米司法省に脱税行為で起訴されたマカフィー氏は 2020 年にスペインで逮捕され、その後暗号通貨関連の詐欺行為でも起訴されていた。しかし、裁判所が米国への身柄引渡を認めた昨年 6 月 23 日に独房で首を吊っているのが見つかり、死亡が確認された。死因は自殺と判断され、今年 2 月 13 日にはカタルーニャ法医学研究所 (IMLCFC) による司法解剖の結果を裁判所が承認した。

しかし遺族はマカフィー氏が自殺などするわけがないと異議を唱えて上訴しており、遺体は現在も司法機関の集中するバルセロナの司法地区 Ciutat de la Justícia で IMLCFC が保管しているとのことだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
訃報:ジョン・マカフィー氏。拘留先のスペインで 2021年06月24日
ジョン・マカフィー、暗号通貨関連の詐欺などで起訴される 2021年03月07日
ジョン・マカフィー、スペインで逮捕 2020年10月07日
逃亡者ジョン マカフィー、キューバから米大統領選出馬を目指す 2019年07月09日
ジョン・マカフィー氏、毒を盛られたとTwitterに投稿 2018年06月29日
ジョン・マカフィー曰く、2要素認証を有効にしたらTwitterアカウントがハックされた 2017年12月31日
ジョン・マカフィー、自分の会社に自分の名前を使う権利があることの確認を求めてIntelを訴える 2016年09月04日
プロセッサの表面を削って固有IDを読み取ればiPhoneのロックは解除できるという話 2016年03月11日
サイバーセキュリティーのレジェンドが考えるiPhoneのロック解除法とは？ 2016年03月05日
ジョン・マカフィー曰く: iPhoneにバックドアは不要、うちのチームが3週間で暗号化を解除する 2016年02月20日
2016年米大統領選挙、変わった候補者名が数多く登録される 2015年10月31日
ジョン・マカフィー氏、2016年米大統領選への出馬を表明 2015年09月12日
逃亡中のJohn McAfee氏、ブログで真犯人発見者に2万5000ドルの報酬を出すと発表 2012年11月22日
John McAfee 氏、殺人容疑で指名手配 2012年11月13日
インテル、マカフィーの買収を発表 2010年08月20日

国民生活センターは5月26日、古いスプレー缶の利用に関する警告を出している。同センターでは一度に中身がすべて噴出した制汗スプレーがあったとの報告から調査をおこなっていた。問題となった制汗スプレーでは、本体はアルミ製で開封後の最初の使用時に噴射ボタンを1回押しただけで中身が出続けるという問題があったという（国民生活センター）。

X線の装置により当該品の内部を観察したところ、ハウジングが脱落していたとしている。切り開き直接内部を確認したところ、分離したハウジングは樹脂製で脆くなって破断していたことが原因だとしている。問題となった製品は20年以上前に製造者名が変わっているとても古いものだったという。同センターでは、製造から長期間経過したものや製造時期が不明なもの、異常が見られるスプレー缶は使用しないよう警告している。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
スプレー缶をバケツに入れたお湯で温めて破裂事故。福島県の自動車整備工場 2021年11月26日
大阪の倉庫でスプレー缶ガス抜き作業中に爆発、近隣200mにわたる被害 2019年07月09日
札幌でガス爆発による建物倒壊炎上が発生、原因はスプレー缶の処理作業後の湯沸かし器点火 2018年12月18日
米政府、今度はノートPCを旅客機の預入手荷物に入れないよう求める 2017年10月22日
出火から3日たっても鎮火の見通しが立たないアスクルの倉庫、未明には爆発も 2017年02月19日
スプレー式の紅茶が登場 2016年09月24日
スプレー缶に中身排出機構付与の業界自主規制 2007年01月15日

TECH+の記事によれば、セキュリティサービスのMalwarebytesが、ヨルダンの外務省の政府関係者を標的としたサイバー攻撃を発見したという。このサイバー攻撃は「Saitama」と呼ばれる新しいバックドアを利用している。電子メールに悪意のあるアクティビティを実行するマクロ月のExcelファイルを添付。ドキュメントには、被害者にマクロを有効にするように求める内容の画像が含まれているという。Malwarebytesは今回の攻撃はイランに所属するとみられる「APT34」グループによるものだと分析している（Malwarebytes、TECH+）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
NSA曰く、新しい暗号規格にバックドアはない 2022年05月15日
メタップスペイメントの不正アクセスでクレカ情報46万件が流出。AKB48関連や日本赤十字社などが影響 2022年03月02日
米連邦政府のネットワークにバックドア見つかる 2021年12月27日
中国進出した企業に義務化されている税務ソフトにスパイウェア。ドイツとの関係も悪化 2020年12月11日
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日

headless 曰く、

米中央情報局 (CIA) が安全に情報提供をするための手順をロシア語で解説している (CIA の Instagram 投稿、 HackRead の記事)。

まず、自宅や職場のコンピューターを使用しない、最新版のブラウザーを使用する、プライベートブラウジングモードを使用する、終了後に検索履歴を消去する、といった基本的な注意事項に続き、当局や第三者に追跡されない安全な接続を確保する手順を紹介している。

CIA に情報提供する場合の安全な接続方法は Tor ネットワーク経由または信頼できる VPN 経由の 2 種類。Tor で接続する場合の .onion アドレスは「ciadotgov4sjwlzihbbgxnqg3xiyrg7so2r2o3lt5wz5ypk4sxyjstad.onion」となっているが、https 接続に対応せず、http でしか接続できないようだ。VPN はロシアや中国など米国との関係が友好的でない国のプロバイダーやサーバーを避けるべき、有料サービスのほうが比較的安全性が高いといった説明がみられる。

情報提供にあたっては、提供する情報のほか、提供者の所在する国名やフルネームと役職、CIA 側から安全に連絡可能な連絡先を知らせるよう求めている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
IIJmio、「危険 SMS 拒否設定」機能を 3 月中旬から提供予定 2022年02月20日
政府、消費者契約法改正でサブスク解約方法を明示へ 2022年01月31日
米 MVNO Mint Mobile、全国広告審議会の勧告に従って「Unlimited」表記をやめる 2021年12月25日
新幹線の車掌、乗務中にスマホで位置情報ゲーム。 10年間ほどプレイとも 2021年11月18日
中国で暗号資産が全面禁止に。マイニングも決済も相場情報提供も全てNG 2021年09月27日
総務省、スマホ契約時の「オプション契約強要」などの不適切行為向け通報フォームを開設 2021年09月17日
Google Play、ロシアで購入済み有料アプリのダウンロードやアップデートをブロック 2022年05月12日

米国の政府機関が共同で行った発表によると、産業用システムを乗っ取るためのマルウェア「Pipedream」が見つかったという。米国土安全保障省（CISA）、国家安全保障局（NSA）、連邦捜査局（FBI）、エネルギー省（DOE）が共同でサイバーセキュリティアドバイザリーを出している（米国土安全保障省、BleepingComputer、Dragos、GIGAZINE）。

発表によるとこのPipedreamは、業用制御システム（ICS）および監視制御およびデータ取得（SCADA）デバイスに対する完全なシステムアクセスを獲得する能力があるとしている。ターゲットとなっている具体的な製品名として、Schneider Electric製プログラマブルロジックコントローラー（PLC）やオムロン製のSysmac NEX PLCを利用した製品、Open Platform Communications Unified Architecture（OPC UA）サーバーなどの名前が出ている。これらの機器を利用した製品は液化天然ガス（LNG）の生産施設で利用されることが多いことから、PipedreamはLNGの生産施設を標的にしたものではないかと推測されている。

BleepingComputerの記事によると今回の「Pipedream」は、2017年に産業安全システムを無効にしようとした「TRITON（Trisis）」、2016年にウクライナで停電を引き起こしたマルウェア「Industroyer」、2010年頃にイランの核開発計画を妨害した「Stuxnet」に匹敵するものであると指摘している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
トランプ政権下でCIAはサイバー攻撃の自由度を高めた。破壊的な活動も認められる 2020年07月17日
イランの核施設で火災が発生。サイバー攻撃が使われた可能性も 2020年07月07日
米国はマルウェア「Stuxnet」でイランに深刻なダメージを与えようとしていた 2016年07月13日
Stuxnet、ドキュメンタリー映画化 2016年02月22日
StuxnetやFlameと同郷の新型マルウェア「Gauss」 2012年08月13日
コンピューターウィルスの兵器化は戦争を変える 2012年06月28日

headless 曰く、

Node.js モジュールの node-ipc で、ホストシステムの IP アドレスがロシアまたはベラルーシであることを検出すると上書き可能なファイルの内容をすべてハートの絵文字に置き換えるコードがメインテナーにより追加され、深刻な脆弱性として CVE にも登録されることになった (The Register の記事、 NVD — CVE-2022-23812、 GitHub のアドバイザリー、 Snyk の脆弱性情報)。

脆弱性のあるバージョンは 10.1.1 および 10.1.2 となっており、GitHub のアドバイザリーではメインテナーにより導入された悪意あるコードに対して脆弱と説明されている。問題のコードはメインテナー自らバージョン 10.1.3 で削除したとのこと。現在のところ安定版ブランチと考えられているのは 9.x であり、この脆弱性の影響を受けた人は少ないとみられる。ベラルーシで活動する米国のNGOが影響を受けたとの報告も上がっているが、GitHub の要望でメッセージは削除されており、真偽も不明だ。

一方、その後リリースされたバージョン 9.2.2 および 11 では peacenotwar と呼ばれるモジュールが追加されており、ユーザーのデスクトップに 5 か国語の停戦呼び掛けを含むテキストファイル WITH-LOVE-FROM-AMERICA.txt を生成する。なお、npm ではバージョン 10.1.1 ～ 10.1.3 および 9.2.2 が削除されている。

すべて読む | セキュリティセクション | セキュリティ | YRO |

関連ストーリー：
経産省、住所の正規化などを行えるコンポーネントを公開 2020年06月02日
Node.js開発者による新JavaScriptランタイムDeno 1.0がリリース、後継となるか？ 2020年05月29日
GitHub、npmを買収 2020年03月17日
Node.jsの全バージョンに脆弱性、17日に対策済みバージョンを配信予定 2019年12月17日
AWS LambdaがCOBOLをサポートしたことが話題に 2018年11月30日
npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 2018年11月29日
GitHubのリポジトリ数が1億件に到達 2018年11月12日
ロシア半導体産業の内情 2022年03月23日

headless 曰く、

ドイツ連邦情報セキュリティ局 (BSI) は 15 日、ロシアに本社があるカスペルスキー製のセキュリティソフトウェア使用にはリスクがあると注意喚起した (プレスリリース、 FAQ、 The Register の記事、 HackRead の記事)。

BSI によれば現時点でカスペルスキー製品が具体的な脅威となっているわけではないが、ロシアからのサイバー攻撃リスクが高まる中、カスペルスキーがその意志に反して攻撃に加担させられたり、機密情報を提出させられたりする可能性が否定できないとのこと。そのため、カスペルスキー製品の使用を禁ずるものではないが、BSI では他の製品に置き換えることを推奨している。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
映画007シリーズのMI6の職員はサイバーセキュリティの基本を理解していない 2021年11月16日
カスペルスキー、偽の Windows 11 インストーラーを実行しないよう注意喚起 2021年07月26日
カスペルスキー製パスワードマネージャーに脆弱性。同じ時刻に同じパスワードを生成 2021年07月12日
WHOを狙ったサイバー攻撃が相次ぐ 2020年03月28日
カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える 2019年03月23日
カスペルスキー日本法人、会社概要のページからロシア本社の住所をなぜか削除 2022年03月18日

2 月に NVIDIA のネットワークに侵入してプロプライエタリ情報を盗み出したハッキンググループ Lapsus$ が同社に対し、現行および将来の GPU ドライバー (Windows / macOS / Linux) をオープンソース化し、FOSS ライセンスで公開するよう要求している (Ars Technica の記事、 Mashable の記事、 Android Police の記事、 Computing の記事)。

同グループは先に NVIDIA のドライバーから暗号通貨採掘のハッシュレート制限機能 LHR を削除するよう要求していたが、それに加えてドライバーのオープンソース化を要求することにしたという。期限は金曜日 (4 日。日本時間で 5 日) までとなっており、オープンソース化の要求に応じなければ企業秘密を含む GPU 等のファイルを公開すると脅している。

NVIDIA は 1 日に公開したサポート記事で攻撃を受けたことを認めており、攻撃者が従業員のパスワードを使ってプロプライエタリ情報を盗み出したことを明らかにしているが、ランサムウェア被害にあったことは否定している。同社の対応としてはセキュリティ強化や従業員全員に対するパスワード変更要求、当局への通報といったもので、業務やサービスには影響しないとのことだ。

すべて読む | セキュリティセクション | オープンソース | セキュリティ |

関連ストーリー：
NVIDIAがサイバー攻撃を受ける。NVIDIA側もサイバー攻撃で反撃とも 2022年03月02日
ソフトバンク、NVIDIA への Arm 売却を断念して上場へ 2022年02月09日
NVIDIAのモデル名の「Ti」をどう発音する？ 2022年01月07日
密輸されたNVIDIAのマイニング用製品300枚が漁船から押収される 2021年04月09日
NVIDIA、RTX 3060の制限解除ドライバーを誤ってリリース。その影響でアキバから在庫消える 2021年03月18日
Linus Sebastian氏、NVIDIAのマイニング対策を「ゲーマーをかばうフリをしている」と批判 2021年02月26日
NVIDIAがマイニング専用GPU「CMP HX」を発表。映像出力を省きシステムも効率化 2021年02月23日
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日
NVIDIAが品不足対応のため、GeForce RTX 2060とGTX 1050 Ti製品を増やす計画 2021年02月16日

headless 曰く、

ギャレットのゲート型金属探知機で見つかった 9 件の脆弱性を発見者の Cisco Talos が解説している(Cisco Talos のブログ記事、 HackRead の記事)。

脆弱性が見つかったのは金属探知機本体ではなく、オプションの遠隔監視用 iC モジュールだ。もちろん金属探知機が脆弱性を発見したわけではない。このiCモジュールはゲート型金属探知機 PD6500i および Multi Zone (旧 MZ6100) に対応し、施設内のネットワーク環境に組み込むことで遠隔での設定や検知結果などの確認が可能になる。

脆弱性のうち 4 件 (CVE-2021-21901、 CVE-2021-21903、 CVE-2021-21905、 CVE-2021-21906) はバッファーオーバーフローの脆弱性で、リモートからコードを実行できる可能性がある。CVE-2021-21901 と CVE-2021-21902 は認証の前に発生するという。また、別の 4 件 (CVE-2021-21904、 CVE-2021-21907、 CVE-2021-21908、 CVE-2021-21909) はディレクトリトラバーサルの脆弱性で、認証済みの攻撃者が特定の条件でデバイス上のファイルを読み取り・書き込み・削除できる。最後の 1 件(CVE-2021-21902)は認証バイパスの脆弱性で、競合状態により認証済みユーザーのセッションを攻撃者が乗っ取ることが可能とのこと。

攻撃者はこれらの脆弱性を悪用することで、遠隔から金属探知機の動作状況を監視できるほか、金属探知機の感度を変更するなど、セキュリティを低下させる操作を実行することが可能となる。既に修正版のファームウェアが提供されており、ユーザーにはできるだけ早く更新することが推奨されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
中国政府がアリババクラウドを処罰、log4jの脆弱性を政府より先にOSSコミュニティに報告したため 2021年12月24日
4 件の脆弱性を修正した X.Org Server 21.1.2、ディスプレイの物理 DPI を報告する機能が廃止に 2021年12月19日
log4jの脆弱性を狙った攻撃が急増、毎分100件以上のペースで観測。新たな脆弱性発覚も 2021年12月17日
Apache Log4j 2 で非常に深刻なリモートコード実行の脆弱性が見つかる 2021年12月11日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
Firefox 95 リリース、新しいサンドボックス技術 RLBox が全プラットフォームで有効に 2021年12月08日
第12世代CoreでLinuxのSpectre・Meltdown対策パッチを無効化する意味はない 2021年12月08日

headless 曰く、

crontab タスクにペイロードを隠し、Web スキミングにつながる可能性のあるマルウェア「CronRAT」を発見者の Sansec が解説している (Sansec のブログ記事、 BetaNews の記事)。

CronRAT がペイロードを隠す crontab タスクは 2 月 31 日の実行がスケジュールされている。タスクに文法上の間違いはないものの実行すればエラーとなるが、スケジュールされた 2 月 31 日は決して来ないため、実行されることもない。

タスクからデコードされるペイロードは洗練された Bash プログラムであり、ランダムなチェックサムを持つバイナリプロトコルで Alibaba がホストする IP アドレスの C&C サーバーと通信する。これにより、RAT のオペレーターは任意のコードを実行可能になるという。

CronRAT はある国で最大のオンラインストアを含む複数のオンラインストアで見つかっており、いくつかのケースで サーバーサイドコードへのペイメントスキマー (Magecart) のインジェクションにつながっているそうだ。

crontab タスクに隠れたマルウェアが管理者の注意を引くことはなく、これまではセキュリティ製品の多くが Linux の cron システムをスキャンしなかったが、現在では CronRAT を検出するセキュリティ製品も増加しているようだ。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
乗っ取られた Google Cloud インスタンスの大半が暗号通貨の採掘に使われる 2021年11月28日
Microsoft の報奨金プログラムに不満なセキュリティリサーチャー、Windowsのゼロデイ脆弱性の PoC を公開 2021年11月28日
Chromiumのソースツリーにテスト用マルウェア混入、ユーザーには影響なし 2021年11月23日
終息したはずのマルウェアEmotetが活動を再開。IPAが注意喚起 2021年11月23日
情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 2021年11月11日
UAParser.jsにマルウェアが混入 2021年10月29日
政府、次期サイバーセキュリティ戦略で中国とロシア、北朝鮮を脅威として明記 2021年09月28日

日立グループは2021年12月13日から、送受信ともにパスワード付きZIPファイル（いわゆるPPAP）の利用を廃止すると発表した。その日付以降は、パスワード付きZIPファイルが添付されたメールを送受信した場合は、直接担当者などに届くこともなく、また送信もされることはない。代わりに配送を抑止したという通知がされるとしている（日立リリース）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
原子力規制委、PPAPシステムの不具合でメールアドレス76件を漏洩 2021年06月25日
パスワード付きZIPは1秒未満で解けるのでPPAPは無意味 2021年06月24日
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日