headless曰く、

日本時間4月22日ごろ、自分のアカウントが突然スパムを送信し始めたとの報告がGmailユーザーから相次いだ（Mashable、9to5Google、SlashGear、The Verge）。

スパムの送信元が偽装されているケースはよくあるが、報告によると問題のスパムは「送信済みメール」フォルダーに格納されていたようだ。パスワードをリセットして二要素認証を有効にしてもスパム送信は止まらなかったという報告や、アクセス履歴を確認しても外部からアクセスされた様子はなかったとの報告もみられる。

Googleによれば、問題のスパムは受信者自らが送ったようにヘッダーが偽装されているもので、誤って送信済みメールとして区分されたのだという。今回の件でアカウントへの不正アクセスはなかったとGoogleはみており、該当するメッセージを特定してスパムに区分し直したとのこと。

また、スパムがtelos.com経由で送信されていたとの報告も数多い。このドメインを所有するカナダの通信会社TELUSでは、スパムは同社が生成したものでも同社のサーバーから送信されたものでもないことを確認したと説明しているとのことだ。

あるAnonymous Coward曰く、

オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている（MBSD、JPCERT/CC）。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。

Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている（Ars Technica、Netlab 360、Slashdot）。

この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの（knqyf263's blog）。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。

headless曰く、

Twitterが具体的な理由の説明なくKaspersky Labの公式アカウントや関連アカウントにプロモツイートの利用を禁じたとして、ユージン・カスペルスキー氏がTwitter CEOのジャック・ドーシー氏と幹部にあてた公開書状をブログに掲載している（Kaspersky Lab公式ブログ、Register、Reuters、BetaNews）。

Kaspersky LabがTwitterから通知を受けたのは1月末。担当者の名前はなく、Kaspersky LabのビジネスモデルがTwitterの広告ビジネス習慣では受け入れがたいものだと判断し、SeurelistやKaspersky Dailyなどを含むKaspersky Labのアカウントに対するプロモツイートの利用を禁じる結論に達したという内容だったという。

しかし、具体的にどのようなビジネスモデルが問題になっているのかは記載がなく、カスペルスキー氏はKaspersky Labのビジネスモデルはサイバーセキュリティ産業共通のもので、理解しがたいとの意を示す。また、通知ではTwitterを利用するユーザーの安全を守り、広告主が価値をもたらすことを期待しているといった記述もみられるが、Kaspersky Labのプロモツイートは新しいサイバーセキュリティ上の脅威から身を守る方法を伝えるものであり、Twitterの広告方針に反するものではないと反論している。

Kaspersky LabではTwitterに説明を求めているが、現在まで具体的な理由は説明されないままだという。カスペルスキー氏はTwitterが政治的圧力などに対処しなくてはならないことを理解できるとしつつ、本件のような決定における透明性を高めるよう求めている。このような問題が一日も早く解決することを期待しているが、もし決定が変更されることになっても今年いっぱいはTwitterへの広告出稿を取りやめ、確保していた予算はインターネット上の検閲と戦うEFFへ寄付するとのことだ。

一方、TwitterもKaspersky Labの広告を禁止したことをReutersやRegisterに認めている。記事で引用されている回答はKaspersky Labへ通知した内容と同じだが、昨年9月に米国土安全保障省（DHS）がKaspersky Lab製品を米政府の情報システムに対する脅威としたことに呼応するものだとも述べているようだ。しかし、DHSからKaspersky Lab製品が脅威になることを示す確かな証拠は示されていない。Kaspersky Lab側は一貫して否定しており、昨年12月にはDHSを提訴している。

2020年度よりマイナンバーカードを健康保険証がわりに利用できるようにすることを厚生労働省が明らかにしたという（時事通信）。

診療報酬の審査業務を行う「社会保険診療報酬支払基金」のシステムを利用し、保険運営者にマイナンバーと保険証番号を紐付けて登録してもらう。医療機関はこのシステムに問い合わせを行なって保険情報を照会できるようにするという。

ハッキングなどに関する技術情報を提供していたWebサイト「Wizard Bible」が、4月22付で閉鎖した。Wizard Bibleは2003年にスタートしたWebマガジンで、主催のIPUSIRON氏だけでなく、複数のエンジニア・研究者などがセキュリティやハッキングなどに関連する記事を寄稿していた。

同サイトの告知によると、閉鎖の理由一部の記事が「不正指令電磁的記録提供」に該当すると判断され、検察から閉鎖を要求されたという（現在これらの説明は削除済み）。「問題のある記事が投稿された場合、記事の内容を改めたとしても、投稿者のPC内のそのファイルが存在するのでアウト。通報しなければならない」「アンダーグラウンドな内容を含むWizard Bibleを続けることは反省が足りない」などとされたという（eagle0wl氏のブログ）。

また、2017年にフィッシングサイトを開設した高校生が逮捕されるという事案があったが（河北新報）、この高校生がWizard Bibleに寄稿していたという話もあるようだ。

この事件を受けて、セキュリティ研究者の高木浩光氏は「本件は別にしても、不正指令電磁的記録の罪については、このところ妥当性を欠く検挙例の話が聞こえてきており、いよいよ放置できない段階に来た」とコメントしている。

Facebookによる情報収集および収集されたデータの漏洩が問題となっているが、米国の「LocalBlox」という企業がFacebookやLinkedIn、TwitterといったSNSから収集した4800万人相当の個人情報をAmazonのクラウドストレージサービスであるS3上にアップロードし、パスワードなしでアクセスできる状況にしていたという（Forbes Japan、ZDNet）。

アップロードされたデータは合計で1.2TBというサイズで、プライバシや情報流出対策のコンサルティングを行うUpGuard社のチームが発見したという。UpGuardによると、このデータには氏名、住所、誕生日といったデータが含まれていたという。LocalBloxは世界中の企業や消費者データをグラフ構造化して提供するといったビジネスを手がけている企業で、そのためにこれらデータが使われていたようだ。また、そこに含まれていたデータからacebookやLinkedIn、Twitterからデータをスクレイピングして集めていたことが推測できたという。

headless曰く、

20日まで米国・サンフランシスコで開催されたRSA Conference USA 2018の公式モバイルアプリで、登録ユーザーの姓名を含むリストにアクセス可能な脆弱性が見つかったそうだ（発見者のツイート、Ars Technica、Register）。

このアプリはイベント用アプリを専門にするEventbase Technologyが開発したもの。一部の機能でログインが必要となっており、RSA Conferenceの公式サイトで作成したアカウントでログインするとトークンを含むXMLファイルが生成される。このトークンを指定してEventbase TechnologyのWeb APIにアクセスするとSQLiteデータベースファイルのURLを含むJSONレスポンスが返される。データベースファイルは暗号化されているが、レスポンスヘッダーにデータベースハッシュが含まれており、復号に必要な情報がすべて取得可能な状態だったという。

発見者は100件以上の姓名を確認したところで調査を打ち切り、報告を受けたRSA ConferenceとEventbase Technologyは問題を数時間で修正したとのこと。RSA Conferenceの公式Twitterアカウントは、アクセスされた姓名が114件だったと報告している。RSA Conferenceの公式モバイルアプリでは別の開発元による2014年版でも、アプリがダウンロードするイベントデータのデータベースファイルに登録ユーザーの個人情報が含まれるという問題が発覚している。

3月のCODASPY 2018で発表された論文なので旧聞となるが、パーキンソン病に対する脳深部刺激療法などで用いられる植え込み型神経刺激装置で、攻撃者がプログラムを書き換えたり、データを読み取ったりすることが可能な問題が発見されたそうだ(論文: PDF、 The Registerの記事)。

無線通信機能を備える植え込み型医療機器(IMD)では、主にプロプライエタリーなプロトコルを用いて通信を行う。研究グループではノートPCとUSBデータ収集(DAQ)デバイス、簡易な自作アンテナの組み合わせで、大手IMDメーカー製の広く使われている植え込み型神経刺激装置の通信内容を解析。通信には認証も暗号化も使われておらず、ブラックボックスアプローチでプロトコルのすべてをリバースエンジニアリングすることに成功したという。

解析結果を用いれば、植え込み型神経刺激装置と装置のプログラマーとの間で送受信されるデータを盗聴することが可能だが、ソフトウェア無線デバイスからプログラマーを装ったメッセージを送信することも可能となる。これにより、装置にセットされた患者名の書き換えや、プライバシーにかかわるデータの要求などが可能だったそうだ。メッセージは装置のシリアルナンバーを含むが、シリアルナンバーが空でも有効なメッセージとして受け入れられたとのこと。

将来は治療の効果を上げるため、脳波から抽出したデータを取得する機能が神経刺激装置に搭載される可能性もある。この場合、個人的な知識の有無や、感情、考えなども明らかにできる可能性も論文は指摘する。過去の研究では、脳コンピューターインターフェイス(BCI)に対するサイドチャネル攻撃で、パスワードなどを明らかにできるといったものも発表されている。

このような攻撃を避けるため、論文ではランダムなセッションキーの生成と安全なキー交換、暗号化プロトコルによる安全な通信を含むセキュリティアーキテクチャーを提案している。

MicrosoftがGoogle Chrome用拡張機能「Windows Defender Browser Protection」をChromeウェブストアで公開した(公式サイト、 The Vergeの記事、 BetaNewsの記事)。

Windows Defender Browser ProtectionはユーザーがアクセスしようとするWebサイトをフィッシングサイトやマルウェアホスティングサイトなど有害なサイトのリストと照合し、一致する場合はブロックするというもの。つまり、SmartScreenをGoogle Chromeで使用できるようにするということのようだ。同様の機能はGoogle Chromeにも備わっているが、Microsoft Edge 99%、Google Chrome 87%というフィッシング攻撃からの保護率(NSS Labs調べ)を提示し、Windows Defender Browser Protection拡張機能をインストールすることでMicrosoft Edge並みの安全性が保たれると説明している。

公式サイトの動画ではWindows 10 PCでMicrosoft Edgeを使用すれば常に最も安全だと説明しているが、3月のデスクトップブラウザーシェアでMicrosoft Edgeは4%台(StatCounter、Net Applications)。一方Google Chromeは60%を超える圧倒的なシェアを獲得しており、このままではWindows 10ユーザーの保護が不十分だと考えたのかもしれない。

なお、Microsoft EdgeとInternet Explorerで公式サイトにアクセスした場合、Microsoft Edgeの導入ページにリダイレクトされてしまう。そのため、公式サイトの内容を見るにはGoogle ChromeやMozilla Firefoxなど別のWebブラウザーでアクセスする必要がある。

人気の広告ブロック拡張機能「Adblock Plus」の偽物がChromeウェブストアで配布されていたことが半年ほど前に話題となったが、現在も状況は改善されていないようだ。AdGuardの調べによれば、合計2,000万人以上がChromeウェブストアから悪意あるコードを含む偽拡張機能をインストールしていたという(AdGuard Blogの記事、 BetaNewsの記事、 HackReadの記事)。

ここでいう偽拡張機能は、主に広告ブロック拡張機能など人気の拡張機能をクローンして多少のコードを付け加え、本物と紛らわしい名前を付けたものだ。こういった偽拡張機能に対抗するには商標権侵害でGoogleに削除を求めるしかなく、対応には数日かかるという。しかし、最近では紛らわしい名前を付けるのではなく、拡張機能の説明で検索結果上位になるようなキーワードを含めるものも増えているそうだ。

AdGuardが悪意あるコードを発見した偽拡張機能のうち、「AdRemover for Google Chrome」はAdBlockをクローンしたもので、ユーザー数は1,000万人以上だったという。付け加えられた悪意あるコードは、リモートサーバーから画像に埋め込んだコードを受け取って実行するもので、バックグラウンドページとして任意の操作を実行できる。つまり、偽拡張機能のインストールによりボットネットに組み込まれることになる。

同様のアプローチをとる偽拡張機能は他に4本発見されており、うち2本は広告ブロック、あとの2本はそれ以外の拡張機能だったという。なお、AdGuardは問題をGoogleに報告済みで、5本すべて削除されている。ユーザー数は偽広告ブロック拡張機能3本だけで2,000万人を超えるが、1億人以上が使用しているというAdblock Plusのユーザー数もChromeウェブストアでは1,000万人以上と表示されているので、AdRemoverのユーザー数だけで2,000万人を超える可能性もある。

Googleは17日、危険なWebサイトへのアクセスをブロックするGoogle Safe BrowsingをAndroidのWebViewでデフォルト有効にすることを発表した（Chromium Blog、9to5Google、Android Police）。

WebViewはAndroid 5.0以降でGoogle Playを通じたアップデートが提供されており、昨年6月からSafe Browsingは利用可能だが、デフォルトでは無効になっていた。今月リリースのWebView 66ではデフォルトでSafe Browsingが有効になり、WebViewを使用する開発者は特に変更の必要なく保護機能を利用できるようになるとのこと。

WebViewのSafe Browsingは既に、APIドキュメントではデフォルトで有効との記述に変更されている。開発者はベータ版のWebViewを使用してテストURL（chrome://safe-browsing/match?type=malware）にアクセスすれば、アプリでの動作を確認できる。

あるAnonymous Coward曰く、

JCBプリペイドカードのWebサービスのセキュリティ設定が残念な感じになっているという話が、とあるTwitterユーザーによって報告されている。

報告されている問題は、カード種別と氏名、生まれた年、「秘密の質問」とその回答が分かれば、任意のメールアドレスにパスワード再設定用のURLを送信できる点。「秘密の質問」は任意には設定できず、「母親の旧姓」や「初めて買ったペットの名前」「卒業した小学校の名前」など、ソーシャルハッキングで比較的容易に入手できるような情報ばかりとなっている。

JCBプリペイドカードは退会しても15ヶ月間はマイページにログインして利用明細が確認できる仕組みで、アカウント情報を削除することはできないという。その間のメールアドレスやパスワードの変更を可能とするために、確認メールの送信先を任意に指定できるようにしてしまったのではないか、とツイート主は推測している。

陸マイラーの間では「楽天カード」から「ANA JCBプリペイドカード」を経由して「nanacoチャージ」するルートで人気が高い一方、未だに一定期間でログインパスワードを強制変更させるセキュリティ仕様が物議を醸していた。

なお、今月16日にはデザイナー向けソフトウェア販売代理店のA&Aが、ユーザID・パスワードを忘れた場合の通知機能を悪用した不正アクセスを受けたことを発表している。

「秘密の質問」については第三者に推測される危険性が高いことが以前から問題とされており、SNSなどを使って「秘密の質問」の回答を聞き出す手法がたびたび話題となっている（2014年の記事、2015年の記事）。また、Googleは2015年に「秘密の質問」には根本的欠陥があるという分析結果を公表しているほか、米政府機関によるセキュリティ指針でも使用すべきではないとされている。

ちなみに、2016年には『JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される』という話が話題になっていた。

MicrosoftやFacebook、OracleなどのIT企業やSymantec、Trendmicroなどのセキュリティ企業、HPやDell、Ciscoなどのハードウェア企業、BTやCloudfareなどのネットワークインフラ企業などが「Cybersecurity Tech Accord」（サイバーセキュリティテック協定）に調印した。

Cybersecurty Tech Accordはサイバー空間における民間管理やセキュリティ及び安定性、回復力の向上を目指すというもので、サイバー攻撃に対する防衛力向上、政府による民間人や民間組織を狙ったサイバー攻撃を支援しないこと、開発者や人々などに対するセキュリティ向上のための啓蒙を行うこと、こういった目的のために強調して企業が動くことなどを宣言している（ITmedia、Slashdot）。

Microsoftはこの協定について文民の保護を定めた「ジュネーブ条約」のデジタル版だとし、業界が連携して対策を強化する必要性を説いている。

ただし大手IT企業のうち、AppleおよびAmazon、Googleなどは同協定に参加していない。

IntelがCPU内蔵GPUを使ったマルウェアスキャン技術を提供する（PC Watch、The Verge）。

この技術はGPUを使ってメモリ内のマルウェアスキャンを実行するというもので、CPU負荷を2％にまで低減でき、消費電力も削減できるという。まずはWindows Defenderがこの機能をサポートするが、今後ほかのセキュリティソフトやOSでも利用できるようになるという。対応するプロセッサは第6世代（Skylake）から第8世代（Coffee Lake-S）のCoreプロセッサになるようだ。

米英仏の3か国が共同で、シリアに対し空爆を行った。シリアには化学兵器の使用の疑いがあり、これに関連する施設を狙ったという（ロイター、朝日新聞、毎日新聞）。これに関連し、米国などと対立しているロシアがサイバー攻撃を強めるのではないかという懸念が出ているようだ（ITmedia、Newseeek、日経新聞、ブルームバーグ）。

米国防総省によると、シリアへの空爆後ロシアによる「トロール（SNSやネット掲示板における荒らし的な行為）」が「2000％増加した」という。また、ロシアがITインフラを狙ったサイバー攻撃を計画しているとの話もあるようだ。ロシアがこういった行為を行っているという証拠もあるというが、詳細は明かされていない。