MicrosoftのJETデータベースエンジンで発見されたゼロデイ脆弱性をZero Day Initiative(ZDI)が公表した(ZDIのブログ記事、 アドバイザリー、 Softpediaの記事、 The Registerの記事)。

この脆弱性はJETデータベースエンジンのインデックス管理機能に存在する境界外書き込みの脆弱性で、現在のユーザーの権限でリモートからのコード実行が可能になるというもの。攻撃者は細工したデータを含むJETデータベース形式のファイルをOLEDB経由で開かせることで、脆弱性を悪用できる。ZDIはWindows 7で脆弱性を確認しているが、現在サポートされるすべてのWindowsバージョンに影響すると考えているそうだ。

ZDIは5月8日、この脆弱性をJETデータベースエンジンの他の脆弱性2件とともにMicrosoftへ報告。他2件は9月の月例更新で修正されている。しかし、この脆弱性に関しては修正版で問題が見つかったため、9月の月例更新には含めないとMicrosoftがZDIに連絡してきたという。この時点でZDIの公表期限120日を過ぎており、ゼロデイになる可能性をMicrosoftに伝えたが、Microsoftが今月はパッチをリリースしないと明言したため、事前に公表日を通知したうえで20日に公表したとのことだ。

セキュリティ製品の評価リポートを提供するNSS Labsが18日、CrowdStrikeやSymantec、ESET(以降、「3社」)などのセキュリティベンダーおよびAnti-Malware Testing Standards Organization(AMTSO)を反トラスト法違反で提訴した(NSS Labsのブログ記事、 訴状: PDF、 The Registerの記事)。

AMTSOはアンチマルウェア評価の改善を目的とした業界団体。NSS LabsのほかAV-TESTやAV-Comparativesなどのセキュリティ製品評価企業数社も加盟しているが、メンバー企業の大半はセキュリティベンダーだ。理事会メンバーも大半がセキュリティベンダーの代表者であり、3社の代表者は理事会で主導的立場にあるという。

NSS Labsの主張によれば、3社は名称不明なまま提訴されている他のセキュリティベンダーとともに(総合して「共謀企業」)製品のライセンスを変更し、比較テストの実施を制限したそうだ。また、AMTSOが採択したアンチマルウェア製品評価方法の標準、AMTSO Testing Standardでは、セキュリティベンダーが事前にテストの実施日や実施方法を知り、有利なテスト結果が出るよう調整できるようになっているとのこと。

他のボットネットを攻撃することが目的とみられるボットネット「Fbot」について、360 Netlabが報告している(360 Netlab Blogの記事、 The Next Webの記事)。

Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。

侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイルとして実行されている特定のプロセスを強制終了する。このマルウェアはMiraiの亜種であり、Miraiから継承したDDoSモジュールが含まれているが、これまでにC&CサーバーからDDoSコマンドが発行された形跡はないとのこと。

FbotのC&Cサーバー「musl.lib」は通常のDNSではなくブロックチェーン技術を使用したEmerDNSを使用して名前解決する。これにより、セキュリティリサーチャーがボットネットを検出・追跡することや、ドメインの無効化による拡散防止などが困難になる。また、Fbotが使用するIPアドレスによれば、同じくMiraiの亜種であるSatoriとも強い関連があるとみられるとのことだ。

仮想通貨取引所「Zaif」を運営するテックビューロが20日、Zaifを狙った不正アクセスによって多額の仮想通貨が流出したことを発表した（Zaifの発表、CNET Japan、朝日新聞）。

流出が起こったのは14日午後で、ビットコインおよびモナコイン、ビットコインキャッシュが盗まれたという。発表によると被害額は約67億円相当で、うち約22億円がテックビューロの資産、約45億円がユーザーの預かり資産とのこと。

流出したビットコインは取引を匿名化するサービスなどを経由して送金されているとのことで、追跡は困難な可能性があるという。

テックビューロに対してはフィスコデジタルアセットグループが支援を行い、顧客資産の保護に務めるという（朝日新聞）。一方でZaifの利用規約が事件発生日の前日に更新されていたことが明らかになっており、事件を知りながら利用規約の更新を行ったのではないかという疑惑も出ている（サインのリ・デザイン）。

Webサイト内に「Coinhive」と呼ばれるスクリプトを設置し、サイト閲覧者の端末で仮想通貨を採掘させる行為が不正指令電磁的記録供用やを不正指令電磁的記録（ウイルス）保管に当たるとされて摘発された事件で、横浜区検察庁が容疑者を不正指令電磁的記録（ウイルス）保管の罪で略式起訴、罰金30万円の支払いが命じられた。また、不正指令電磁的記録供用容疑については不起訴になったという（毎日新聞）。

Coinhiveが不正指令電磁的記録に相当するかどうかはセキュリティ研究者の高木浩光氏が検証を行なっているが、検察や簡易裁判所は違法だと判断したことになる。なお、Coinhiveの設置を巡っては複数の人が摘発されているが、うち1人は命令を不服として裁判を申し立ててているという。

maia曰く、

Lenovoの幹部がメディアから中国政府の指示に応じて中国向け製品にバックドアを仕込んでいることについて尋ねられた際、「中国にある多国籍企業はみんな同じことをやるでしょう」として否定しなかったことが報じられている（GIGAZINE）。また、他国においては「現地の法律を遵守する」としている。

当たり前じゃないか、という感想。中国で商売する企業は皆やってるはず。もっとも、そこは西側でも同様じゃないのかな（例外はあるらしいが）。言ってみれば、どっちの陣営に見られる方がマシかという選択になる。あと、バックドアのオンオフが可能なら（おそらくその通りだろう）、それは脆弱性の所在になるのではないかな。

米Amazon.com社員が、同サイトのマーケットプレイスに出品している業者から金銭を受け取って内部情報を提供していたと報じられている（ロイター、ウォール・ストリート・ジャーナル、CNET Japan）。

こうした不正行為は中国の業者に対して行われており、また提供されていたのは販売や検索に関する情報とのこと。提供された業者はこれらを使って競合に対して有利になっていたという。さらに、Amazon社員とつながりのあるブローカーが否定的なレビューの削除や停止されたアカウントの復活などを手配していたという話もある。ブローカーはメッセージサービスWeChatを使ってAmazon従業員と連絡を取り作業を依頼していたそうだ。

スリープ状態や再起動直後のマシンのメモリ（RAM）にアクセスしてメモリ内の情報を盗む「コールドブート攻撃」の危険性は以前より指摘されていた（2008年のITmedia記事）。そのため、最近のOSでは対策のための機能が導入されているのだが（Microsoftのドキュメント）、こういった対策機能を無力化する手法が見つかったという（CNET Japan、エフセキュアの発表、Security NEXT、TechCrunch）。

OSによる対策としてはスリープ前にメモリ内の情報を上書きするといったものがあるが、今回発見された手法はこの上書きプロセスを無効にするというもののようだ。これを悪用することで、たとえばメモリ内に保存されている暗号鍵を読み出し、それを使って暗号化されたストレージ内のデータを読み出すといったことが行える可能性がある。

この脆弱性はファームウェアの欠陥が原因で、ほぼすべてのノートPC/デスクトップPC、WindowsとmacOSの両方が影響を受けるという。すでにMicrosoftやApple、Intelなどにこの脆弱性は報告されているとのこと。対策の1つとしてはPCをスリープさせず、シャットダウン/休止状態にし、Windowsの起動時・リストア時にWindowsの暗号化機能「Bitlocker」のPIN（暗証番号）を毎回入力させることが提案されている。

個人間売買仲介サービス「メルカリ」で、突然利用制限を適用されるユーザーが増えているという（大人んサー）。

メルカリでの出品を行う場合、電話番号の登録およびSMSによる認証が必要となるが、アカウントに対し制限がかけられた場合、本人確認書類の提出を求められるという。メルカリは「利用規約違反の可能性があるため本人確認をしている」としているそうだが、詳細については明らかにしていない。

米連邦緊急事態管理庁(FEMA)は東部夏時間20日14時18分、携帯電話を通じて緊急警報メッセージを送るWireless Emergency Alerts(WEA)のテストを初めて全米規模で実施する(FEMAの告知、 Mashableの記事、 The Vergeの記事)。

WEAには異常気象発生時など地域限定で送られる警報と児童誘拐などの際に送られるAMBER Alertのほか、国家規模の非常事態発生時に大統領の決定により送られるPresidential Alertがある。地域限定の警報やAMBER Alertはこれまでも実際に送信されているが、Presidential Alertが送信されたことは一度もないという。

WEAメッセージは専用の着信音とバイブレーションとともに、通常のテキストメッセージとは異なるダイアログボックスに表示される。Presidential Alertの表示や着信音は他のWEAメッセージと同じだが、受信をオプトアウトすることはできない。今回はPresidential Alertのテストになるため、オプトアウト不可となっている。

iida 曰く、

OpenSSL 1.1.1が11日、正式にリリースされた(OpenSSL Blogの記事)。

新しい特長は第一に、先月発行されたTLS 1.3 (RFC 8446) のサポートだ。また、乱数生成子は全面的に書き直されているほか、SHA-3やEdDSA (TLS1.3でも使われる) など新しいアルゴリズムのサポートも追加されている。ブログ記事によると、1.1.0からの差分で200人を超える貢献者が5,000回近くコミットしたとのこと。

なにはともあれ関係各位の努力とご苦労に敬意を表したい。

OpenSSL 1.1.1は新たな長期サポート(LTS)版となり、少なくとも5年間のサポートが提供される、

NASA長官のジム・ブライデンスタイン氏とロスコスモスCEOのドミートリ・ロゴジン氏は12日、国際宇宙ステーション(ISS)にドッキング中のソユーズMS-09に開いた穴の問題について話し合うため、初めてビデオ会談を行ったそうだ(NASAのプレスリリース、 ロスコスモスのプレスリリース、 GeekWireの記事)。

ブライデンスタイン氏とロゴジン氏は穴の開いた原因に関する憶測がメディアに出回っていることに触れたうえで、ロスコスモスの調査委員会による調査が完了するまでは事前に情報を出すことを控えることで合意したという。

ソユーズMS-09の軌道モジュールで見つかった2mmの穴は内側から開けられたものとみられているが、ロゴジン氏が宇宙空間で開けられた可能性を排除しないと述べたことから出所不明な情報が付け加えられ、ソユーズで地球に帰還するクルーに危害を加えようとしたNASAのクルーによる妨害工作だ、などといった陰謀論が出回ることとなった。

会談ではISS滞在クルー全員がミッション成功のため、ステーションおよびドッキングしている宇宙船の安全な運用に尽力していることを確認したという。ISSコマンダーのドリュー・フューステル宇宙飛行士もABC Newsのインタビューに対し、クルーがかかわっていないことは間違いなく、そんな話で時間を無駄にしている人がいることは残念だなどと述べている。

また、ソユーズロケットによる次のクルー輸送ミッションに先立ってブライデンスタイン氏がロシアとカザフスタンを訪れるのに合わせ、両氏は10月10日にバイコヌール宇宙基地で初の直接会談を行うとのことだ。

NTTドコモが手がけるポイントサービス「dポイント」で、会員が保有するポイントが不正に使われるトラブルが発生していることが発表された（ケータイWatch、日経新聞）。

dポイントサービス加盟店のWebサイトが攻撃され、dポイントカードの番号と残高が盗まれて不正に利用された可能性があるとのこと。これを受けてドコモは約3万5000件のdポイントカード番号を対象に利用停止措置を行ったとのこと。

dポイントカードはバーコードを利用しているため、簡単に番号を盗み取ることができるとの指摘もある。

headless曰く、

MicrosoftがTechNetサイトで提供するユーザーコンテンツ公開機能がテクニカルサポート詐欺の宣伝に悪用されているらしい（発見者Cody Johnston氏のツイート、Neowin、ZDNet）。

悪用されているのは主にITプロフェショナル向けのスクリプトを公開できるTechNet Gallery（gallery.technet.microsoft.com）のようだ（日本語環境でTechNet Galleryを検索する場合、「英語の検索結果を含む」にチェックを入れる必要がある）。公開されているコンテンツはMicrosoftやMicrosoft以外の製品名と「Technical Support」「Customer Support」「Customer Service」「Phone Number」などの語句、電話番号が書き連ねられているだけのものだ。発見者のCody Johnston氏によれば、このようなページを3,000件以上確認したという。

Johnston氏から通知を受けたMicrosoftはその日のうちに問題のページを削除したとのことだが、現在もTechNet Galleryの検索機能で「phone number」を検索すると1,800件以上ヒットする。最初の105件分を見た限り、すべてテクニカルサポート詐欺の宣伝とみられ、削除されたものはごく一部のようだ。

Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していたという話があったが、こういった不正な処理を行っているアプリの存在をMac App Storeに通報しても、削除までに至る道のりは長いようだ。

headless曰く、

個人情報をユーザーに無断で送信していることが8月初めにAppleへ報告されていたセキュリティアプリ「Adware Doctor:Anti Malware &Ad」が1か月後になってようやくMac App Storeから削除された（Objective-See's Blog、9to5Mac、Mac Rumors、Softpedia News）。

Adware DoctorはSafariをはじめとするWebブラウザーの履歴やApp Storeの検索履歴、実行中プロセスの一覧などをZIPファイルに格納して中国のサーバーに送信していたという。ユーザーの同意なく個人情報を収集することは、App Store Reviewガイドライン5.1.1に違反する。なお、通常のアプリはサンドボックス化により他のアプリの情報を取得することはできないが、このアプリはマルウェアの検出に必要だなどとしてユーザーのパーミッションを得ていた。詳細については元NSAハッカーのパトリック・ウォードル氏が発見者のジョン・マックス氏（@privacyis1st）と協力して調査を行った結果を、Objective-See's Blogの記事にまとめている。

このアプリはもともと「Adware Medic」として公開されていた「Malwarebytes for Mac（当時の名称はAdwareMedic）」の偽物で、いったんMac App Storeから削除されていたが、その後「Adware Doctor」という名称で再公開されたものだという。削除前、日本のMac App Storeでは600円で販売されており、Mac App Storeの有料アプリランキングではスウェーデンで2位、カナダで4位、デンマークで6位に入る人気アプリだった。なお、アプリ自体は削除されているが、現在のところ上述の3か国向けページではランキングに入ったままだ。

マックス氏やウォードル氏から報告を受けたAppleは定型の返信をしたのみで特に動きはなかったが、Objective-Seeの記事を各メディアが一斉に報じた直後にアプリを削除したようだ。このほか、マックス氏は同じ開発者による「AdBlock Master:Block Popup Ads」と別の開発者による「Komros Anti Malware & Adware」（いずれも無料）についても同時に問題を指摘しており、これらも既に削除されている。さらに、トレンドマイクロの「Dr. Cleaner」と「Dr. Antivirus」でも同様の問題を指摘し、PoC動画をVimeoで公開している。なお、これら2本のアプリは日本のMac App Storeでは公開されていなかったようだ。

これとはまた別件だが、App Storeで公開されている人気iOSアプリ20本以上がユーザーの位置情報などをデータマネタイゼーション企業に販売していると、GuadianAppが指摘している。