Twitterで、非公開のダイレクトメッセージやダウンロードしたデータが、Firefoxのキャッシュに保存されるという問題が発生していたそうだ。個人が1人で使用するようなPCで利用している場合は大きな問題にはならないが、多人数で共有しているようなPCでTwitterを使用している場合、問題となる可能性がある（CNET Japan）。

この問題はすでに修正されているとのこと。なお、Google ChromeやSafariなど他のブラウザではこの問題は発生しないという。

Mozillaは3日、2件のゼロデイ脆弱性を修正したFirefox 74.0.1およびFirefox ESR 68.6.1をリリースした(Mozillaのセキュリティアドバイザリ、 Neowinの記事、 Ghacksの記事)。

修正された2件の脆弱性はいずれも解放後メモリー使用の脆弱性で、CVE-2020-6819はnsDocShellデストラクター実行時に、CVE-2020-6820はReadableStreamを扱う際に、それぞれ特定の条件下で競合が発生することで引き起こされる。いずれも脆弱性を狙った攻撃が確認されているとのこと。報告者はFirefox以外のブラウザーが影響を受けることも示唆しているが、影響を受けるのがFirefoxベースのブラウザーなのか、Firefoxとは無関係のブラウザーなのかについては言及していない。

人体の活動データを用いて暗号通貨を採掘する、というシステムの特許をMicrosoftが出願している(WO/2020/060606、 On MSFTの記事)。

仕組みとしては、サーバーから提供された何らかのタスクをユーザーが実行する際の身体活動データをクライアント側のセンサーで取得し、暗号通貨システムへ送信して一定の条件を満たすことが確認されたらユーザーに暗号通貨が支払われるというもの。サーバーはWebサーバーやゲームサーバー、アプリケーションサーバーなどで、ユーザーは特に暗号通貨採掘を意識することなくサービスを利用するだけでいい。センサーで取得する活動データとしては体の動きのほか、血流や脳波といったものも挙げられている。暗号通貨の採掘には膨大な計算が必要となるが、身体活動から生成されたデータに置き換えることで必要な演算能力を削減できるとのことだ。

Microsoftは3月31日、同社製WebブラウザーのTLS 1.0/1.1デフォルト無効化を延期すると発表した(Microsoft Edge Blogの記事、 Ghacksの記事、 Neowinの記事、 On MSFTの記事)。

Apple/Google/Microsoft/Mozillaのメジャーブラウザー4社はTLS 1.0/1.1無効化計画を2018年10月に発表しており、Microsoftは2020年上半期にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトで無効化する計画を示していた。

しかし、現在の世界を取り巻く状況(COVID-19パンデミック)を考慮して、上半期中にはデフォルト無効にしないことを決めたそうだ。そのため、Chromiumベースの新Microsoft Edgeでは7月にリリース予定のバージョン84よりも前にデフォルト無効にすることはなく、Internet Explorer 11とレガシーEdgeでは9月8日(9月の月例更新提供開始日)にデフォルト無効にする計画だという。

TLS 1.0/1.1がデフォルト無効になった後もユーザーは再度有効化できるが、組織に対しては現実的に可能な限り早くTLS 1.0/1.1の使用をやめるようMicrosoftは推奨している。ちなみに、Mozillaはデフォルト無効にしていたTLS 1.0/1.1をFirefox 74で再度有効化している。

なお、MicrosoftはGoogleがChrome 81の安定版リリース延期を発表したのに合わせて新Microsoft Edge 81の安定版リリースを延期していたが、Googleのメジャーアップデート再開に伴い、Microsoft Edge 81を4月初めにリリースし、Microsoft Edge 83を5月半ばにリリースする計画を同日発表している。また、Chrome 82に合わせてMicrosoft Edge 82もリリースしないとのことだ(Microsoft Edge Blogの記事[2])。

Anonymous Coward曰く、

新型コロナウイルスの感染拡大による外出自粛を受けて、オンラインでのミーティングを行えるビデオチャットサービスが注目されている。その1つに「Zoom」があるが、このZoomに対しセキュリティ面での懸念の声が出ている。

その1つに、通信内容の暗号化に関するものがある。Zoomの公式サイトには、すべてのミーティングはエンドツーエンド（E2E）で暗号化されると明示されているものの、The Interceptによると、実際にはエンドツーエンドでの暗号化は行われていないという（ITmedia、Slashdot）。

エンドツーエンド暗号化の定義としては、暗号化された情報を復号できる鍵は利用者（クライアント）のみが所有することになっている。しかし、Zoomのビデオ会議はTCP接続ではTLSを使い、UDP接続ではTLS接続でネゴシエートされたキーを使ってAESで暗号化していると答えた。これではエンドツーエンド暗号化の要件には当てはまらないことになる。

また、これ以外にもWindows版のクライアントには悪意のあるリンクをチャット画面に送信することで接続情報を奪うことができるという脆弱性が存在するという話や（Business Insider）、Mac版クライアントでは攻撃者が外部から管理者権限を取得できる脆弱性や、利用者の同意なしにカメラやマイクへのアクセス権を取得できるという脆弱性も存在するという（TechCrunch、ITmediaの別記事）。

Anonymous Coward曰く、

青森県で3月30日に新型コロナウイルスへの感染が確認された20代男性のカルテが、SNSなどに流出した（NHK、河北新報、毎日新聞）。

地方では感染者を特定しろというような声が出ているという話も聞くのでそういう感じで出しちゃったのだろうか。

報道によると、流出しているのは電子カルテを印刷したものの一部を撮影したもので、データは30日午前時点のものだったという。このカルテは指定医療機関のほか4病院の医師や看護師、約500人が閲覧できた。

iOS 13.3.1以降でVPNを利用する場合に一部の通信がVPNをバイパスしてしまう脆弱性をProtonVPNが公表している(ProtonVPNのブログ記事、 Mac Rumorsの記事、 Bleeping Computerの記事、 BetaNewsの記事)。

問題はVPNへ接続した際にiOSが既存の接続を閉じて再確立せず、そのまま維持してしまうことにより発生する。接続の多くは短時間で閉じられるが、中には数分～数時間にわたりVPNを経由せずに通信が行われることもある。これにより、サーバーとの通信がHTTP接続の場合は通信内容が暗号化されない、攻撃者がiOSデバイスとサーバーのIPアドレスを見ることができる、サーバーがiOSデバイスのIPアドレスを見ることができる、といったリスクが挙げられている。特に市民の監視や権利の侵害が一般的な国の人々はリスクが高いとのこと。

問題を発見したのはProtonVPNのコミュニティーメンバーで、最初にiOS 13.3.1で問題を確認しているが、最新のiOS 13.4でも修正されていないとのこと。ただし、ProtonVPNは脆弱性を昨年発見したとツイートしており、最初に確認されたのはベータ版なのかもしれない。そうであればベンダーに通知後90日日間は脆弱性を開示しないというProtonの開示ポリシーにも一致する。

iOSではVPNアプリ側で既存のネットワーク接続を切断することを認めておらず、ProtonVPN側で対策することはできないという。AppleはVPN常時接続を推奨しているが、モバイルデバイス管理を使用する必要があるため、サードパーティーのVPNアプリは利用できないとのこと。そのため、ProtonVPNでは100%の効果は保証できないとしつつ、VPNサーバー接続後に機内モードをオン・オフするという緩和策を紹介している。

サイバーセキュリティ企業Trustwaveによれば、贈り物を装って攻撃用のUSBデバイスを郵送するという攻撃が確認されたそうだ(SpiderLabs Blogの記事、 BetaNewsの記事)。

問題のUSBデバイスは一見USBメモリーのようだがPCに接続するとUSBキーボードとして認識され、攻撃者が事前に設定したキーストロークを送ることができるという、いわゆる「USB Rubbery Ducky」攻撃用のデバイスだ。マルウェアを格納したUSBメモリーを使用する攻撃と比べ、自動再生設定に依存せず、セキュリティソフトウェアに検出されないといったメリットがある。

このデバイスは米大手量販店Best Buyを装った手紙に同封されており、手紙には長年の愛顧に謝意を示すため50ドルのギフトカードを送ること、ギフトカードで購入可能な対象商品のリストは同梱したUSBメモリーに保存されていることが記載されている。怪しげな手紙を受け取ったTrustwaveの顧客はデバイスをPCに接続せずにTrustwaveへ報告したため、被害にあうことはなかったという。

デバイスをTrustwaveが調査したところ、同じ型番のものがオンラインモールShopeeの台湾版で「虚擬鍵盤」などとして数百円で販売されていることが判明。PCに接続すると2段階のPowerShellコード実行を経てWindows Scripting Host上で実行されるJScriptコード(マルウェア本体)が無限ループにより常駐する。このJScriptコードは2分おきにC&Cサーバーへ接続してコマンド(別のJScriptコード)を待つ。最初の接続時にはPCから収集した情報をC&Cサーバーに送信するコマンドを受け取ったとのこと。

このタイプのUSBデバイスはセキュリティ専門家の間で広く知られており、物理的な侵入テストで会社周辺に落とすといったことも行われるが、実際の攻撃が発覚するのは珍しいとのことだ。

Anonymous Coward曰く、

世界保健機関（WHO）の最高情報セキュリティ責任者Flavio Aggio氏は、ハッカーがWHOのシステムに侵入しようとしたことを認めた。しかし、その取り組みは失敗したとも語った。侵入しようとしたハッカーの身元は不明。Aggio氏によれば、新型コロナウイルスへの戦いの中、WHOへのハッキングの試みが急増しているという。

サイバーセキュリティの専門家Alexander Urbelis氏は3月13日、彼が追跡していたハッカーグループがWHO内部の電子メールシステムを模倣した悪意のあるサイトを立ち上げたのを確認した。Urbelis氏は誰が主犯であるかは不明だとしている。しかし別の二人の情報筋によれば、2007年からサイバースパイ活動を行っている「DarkHotel」という高度なハッカーグループの疑いがあると述べている。

WHOのAggioは、ロイターからこの事件について尋ねられると、Urbelis氏が発見したサイトが複数の代理店スタッフからパスワードを盗む目的で使用されていたたことを確認したと回答している。同氏は「明確な数字ではないが、ハッキング目的でWHOを偽装するサイトの数は2倍以上に増えたのではないか」と答えた。

カスペルスキーによるとDarkHotelは、特にコロナウイルスの影響を受けた地域である東アジア、具体的には、中国、北朝鮮、日本、米国などの政府職員や幹部を対象に活動を行っているという。コロナウイルスに関連する治療法や検査、ワクチンに関する情報は貴重で価値が高い。影響を受ける国の情報機関としては情報収集の優先事項に当たるとしている（Reuters、Slashdot）。

AMDが3月25日、同社の現行および将来のグラフィックス関連製品の一部に関するテストファイルを所有すると主張する人物からコンタクトがあったとの発表を行なった。この人物は何らかの情報でAMDの非公開情報を取得したとみられており、AMDは法執行機関と協力して調査を行なっているという（AUTOMATON、IGN Japan 、Game*Spark、TorentFreak）。

TorrentFreakによると、これらはAMDの「Navi」および「Arden」GPUに関するソースコード。Ardenは年末に発売されるXbox Series Xに搭載される予定のものだ。この情報を所有すると主張する人物は、「買い手がつかなければオンラインですべてを公開する」などと述べており、またこの情報には1億ドルの価値があるなどと述べているようだ。一部のデータはGitHubなどに公開されたようだが、これに対しAMDは「盗まれたもの」としてDMCAに基づく削除申請を行った。

Anonymous Coward曰く、

「COVID-18の情報を配信するアプリ」を詐称するマルウェアをダウンロードさせる攻撃が登場しているという（PC Watch、Bleeping Computer、Slashdot）。

この攻撃はまずターゲットのネットワークのルーターを狙い、DNS情報を書き換えてネットワークの利用者が特定のドメインにアクセスした際に詐欺サイトに接続するよう誘導。この詐欺サイトでは、WHO（世界保健機関）を装ってコロナウイルスによる新型肺炎（COVID-10）関連アプリを装ったマルウェアをダウンロードさせるという。このマルウェアは「Oski」と呼ばれるもので、ブラウザやレジストリからユーザーの認証情報などを盗み出す活動を行うそうだ。

headless曰く、

Microsoftは23日、Windowsの未修正脆弱性を公表した（ADV200006、Neowin、Ars Technica、The Verge）。

脆弱性はAdobe Type Manager LibraryがAdobe Type 1 PostScriptフォントを扱う方法に存在する2件のリモートコード実行脆弱性で、既にWindows 7をターゲットにした限定的な攻撃が確認されているという。攻撃者は特別に細工したドキュメントをターゲットに開かせたり、エクスプローラーのプレビューウィンドウに表示させたりすることで脆弱性を悪用できる。

脆弱性の影響を受けるのはWindows 7/Server 2008以降すべてのバージョンのWindowsとなっているが、Windows 10およびServer 2016以降では攻撃が成功してもコードはAppContainerサンドボックス内で実行されるため影響は小さい。ただし、Windows 10バージョン1607以前とServer 2016の場合、インストールされたフォントはカーネルモードで処理されるそうだ。

回避策としてはエクスプローラーでの詳細ウィンドウ/プレビューウィンドウや縮小版の非表示、WebClientサービスの無効化、ATMFD.DLLのリネームといったものが挙げられている。この脆弱性を修正する更新プログラムは未公開であり、現時点では今後の月例更新で修正する計画のようだ。ただし、攻撃が確認されている場合は報告から7日間で情報を公開するというポリシーに従い、影響を受けるWindowsバージョンや回避策などを公開したとのこと。

なお、Microsoftでは公衆衛生上の大きな問題が発生している現状を考慮し、（現在Cリリース/Dリリースとして月2回提供している）セキュリティコンテンツを含まないオプションの更新プログラムの提供を5月以降は一時停止し、セキュリティ修正に注力するとのことだ（Windowsメッセージセンター）。

Anonymous Coward曰く、

昨年7月、ロシア連邦保安庁（FSB）の下請け企業SyTechがサイバー攻撃を受けた。FSBは旧ソ連国家保安委員会（KGB）の後継的な立ち位置の組織で、海外での電子情報収集も職務に含まれている。プーチン大統領に直接報告できる権限もあるようだ。攻撃を受けた結果、7.5TBものデータが流出する結果となり、FSBが進めていたいくつかのプロジェクトが明らかになっている。

Forbesによると、ここで流出した情報から、FSBが新たなハッキングツールを開発していたことが明らかになった。これはIoT機器をターゲットにしたもので、脆弱性を活用してサイバー攻撃を行うシステムだという。IoT機器は出荷時の設定のまま使われていることが多く、セキュリティが甘いとされている。このツールの目的はこれらのIoT機器にアクセスすることではなく、踏み台にして大きな標的を攻撃することだという。

先のハッキンググループによって入手された資料によれば、数十万台のマシンに対する強力な攻撃により、ソーシャルネットワーキングサイトやファイルホスティングサービスが数時間アクセス不能になる可能性があるとしている。また、米国および欧州のインターネットプラットフォーム、またはロシアに隣接する国家のインフラストラクチャが攻撃の対象になるとも推測されている（Forbes、Slashdot）。

Microsoftは19日、Windows 10 Enterprise/Education/IoT Enterpriseの3エディションについて、バージョン1709(Fall Creators Update)のサポートを10月13日まで延長すると発表した(Windows IT Pro Blogの記事、 Neowinの記事、 SlashGearの記事、 Computerworldの記事)。

Windows 10 バージョン1709ではHome/Pro/Pro Education/Pro for Workstationの4エディションが昨年4月9日にサポートを終了しており、Enterprise/Education/IoT Enterpriseの3エディションは今年4月14日のサポート終了が予定されていた。サポート延長の理由としてMicrosoftでは、現在の公衆衛生に関する状況を評価した結果、ユーザーの直面する多くの問題の一つを緩和するためと説明している。

なお、GoogleはChrome 81の安定版リリース延期を発表しているが、Microsoftもこれに合わせてChromium 81ベースのMicrosoft Edge 81安定版リリースを延期し、当面はEdge 80のセキュリティおよび安定性向上に注力するとのことだ。

Googleは18日、ChromeブラウザーおよびChrome OSの次バージョンリリースを一時停止すると発表した(Chrome Releaseの記事、 The Vergeの記事、 BetaNewsの記事、 Softpediaの記事)。

計画変更の理由としては作業スケジュールの調整が入ったためとのみ説明されているが、COVID-19の影響とみられる。現在の重点課題はChromeおよびChrome OSの安定性と安全性、信頼性を維持することであり、Chrome 80のセキュリティに関連する更新に注力していくとのこと。Chrome 81安定版は3月17日のリリースが見込まれていたが、当面はリリースされないことになる。