台湾・台南市立医院で左耳の騒音を訴える64歳女性を診察したところ、外耳道にクモが入り込んでいたそうだ (NEJM の記事、 Ars Technica の記事、 動画)。

女性は 4 日前から左耳の中で生き物が動き回る感覚があり、パチパチ・カチカチ・カサカサといった騒音が聴こえるようになって眠れなくなってしまったという。

耳鼻咽喉科で耳の中を調べると、左耳の外耳道に小さなクモと抜け殻が見つかる。鼓膜に異常はなく、クモと抜け殻は耳鏡を通じて挿し入れた吸引カニューレで取り除き、女性の症状は解消したとのこと。このクモは非常に小さく、巣を作らないハエトリグモの若い個体とみられる。

外耳道にもっと大きなクモや昆虫が入り込んだ場合は暴れて耳を損傷しないよう、事前にリドカインやエタノールの滴下で殺しておくことが推奨される。ただし、鼓膜に穴が開いている場合に液体の使用は禁物とのことだ。

Annals of Improbable Research は 14 日、2023 年イグノーベル賞を 10 組の研究者に授与した (プレスリリース、 受賞者リスト、 Ars Technica の記事、 動画)。

スラドで紹介した研究では、排泄物を分析するスマートトイレの研究が公衆衛生賞、クモの死体を用いたロボットハンドの研究が機械工学賞を受賞している。また、栄養賞を受賞した明治大学の中村裕美氏と宮下芳明氏の研究は、電気刺激により塩味を増強する箸型デバイスの開発につながっている。

なお、教育賞の受賞者にも日本の研究者が含まれている。論文のリンクの一つは間違っており、元の論文を見ても発表当時に日本の研究施設に所属していた研究者は記載されていないが、クリスチャン・チャン氏が 2022 年から国際基督教大学の准教授に就任したためとみられる。

各部門の受賞者と授賞理由は以下の通り。

部門	受賞者	授賞理由
化学・地質学賞	Jan Zalasiewicz 氏(ポーランド・英国)	多くの科学者が石を舐めたがる理由の説明
文学賞	Chris Moulin 氏、Nicole Bell 氏、Merita Turunen 氏、Arina Baharin 氏、Akira O’Connor 氏 (フランス・英国・マレーシア・フィンランド)	1個の単語を何度も何度も何度も何度も繰り返した時にその人が受ける感覚の研究
機械工学賞	Te Faye Yap 氏、Zhen Liu 氏、Anoop Rajappan 氏、Trevor Shimokusu 氏、Daniel Preston 氏 (インド・中国・マレーシア・米国)	機械的なグリッピングツールとして用いるための死んだクモの復活
公衆衛生賞	Seung-min Park 氏 (韓国・米国)	人々の排泄物を素早く分析するためさまざまなテクノロジーを用いたデバイス「Stanford Toilet」の発明
コミュニケーション賞	María José Torres-Prioris 氏、Diana López-Barroso 氏、Estela Càmara 氏、Sol Fittipaldi 氏、Lucas Sedeño 氏、Agustín Ibáñez 氏、Marcelo Berthier 氏、Adolfo García 氏 (アルゼンチン・スペイン・コロンビア・チリ・中国・米国)	(言葉を逆順に発音する)逆さ言葉を得意とする人における精神活動の研究
医学賞	Christine Pham 氏、Bobak Hedayati 氏、Kiana Hashemi 氏、Ella Csuka 氏、Tiana Mamaghani 氏、Margit Juhasz 氏、Jamie Wikenheiser 氏、Natasha Mesinkovska 氏 (米国・カナダ・マケドニア・イラン・ベトナム)	人間の鼻毛の本数が2つの鼻の穴で同数かどうかを調べるための死体の使用
栄養賞	Homei Miyashita 氏、Hiromi Nakamura 氏 (日本)	電気を流した箸やストローがどのように飲食物の味を変化させるのかを調べるための実験
教育賞	Katy Tam 氏、Cyanea Poon 氏、Victoria Hui 氏、Wijnand van Tilburg 氏、Christy Wong 氏、Vivian Kwong 氏、Gigi Yuen 氏、Christian Chan 氏 (中国・カナダ・英国・オランダ・アイルランド・米国・日本)	教師と生徒の退屈に関する系統的な研究
心理学賞	Stanley Milgram 氏、Leonard Bickman 氏、Lawrence Berkowitz 氏 (米国)	市街地の道路で見知らぬ人が空を見上げている場合、通りがかった人が何人立ち止まるかを確認する実験
物理学賞	Bieito Fernández Castro 氏、Marian Peña 氏、Enrique Nogueira 氏、Miguel Gilcoto 氏、Esperanza Broullón 氏、Antonio Comesaña 氏、Damien Bouffard 氏、Alberto C. Naveira Garabato 氏、Beatriz Mouriño-Carballido 氏 (スペイン・スペインのガリシア州・スイス・フランス・英国)	カタクチイワシの生殖活動によりかき混ぜられる海水の範囲の測定

いささか旧聞ではあるが、Akamai の研究者がボットネット KmsdBot を監視していたところ、突然クラッシュしてしまったそうだ。調査の結果、ボットネット運用者によるコマンドのタイプミスが原因と判明したという (Akamai のブログ記事、 Ars Technica の記事、 The Register の記事)。

KmsdBot は DDoS 攻撃を実行する機能も備える暗号通貨採掘ボットネット。弱い認証情報を使用する SSH 接続を通じてシステムに感染していくという。リバースエンジニアリングの困難さから攻撃者に選ばれることが増えつつある Go 言語で書かれている。Akamai ではハニーポットに感染した KmsdBot を分析していた。

クラッシュの原因を調べるため、Akamai ではボットネットの C2 に代わって機能し、攻撃の実行コマンドを送信する自前の C2 を作成。2 つの仮想マシンを用意して 1 つにボットを感染させ、もう 1 つを C2 としてコマンドを送信する実験を実行したところ、「!bigdata www.bitcoin.com443 / 30 3 3 100」というコマンドでボットネットが停止したそうだ。

一目でお気付きになった方も多いと思われるが、このコマンドはドメイン名とポート番号がスペースで区切られていない。ボットは構文エラーをチェックする機能を備えておらず、引数の数が正しくないコマンドを受け取った Go バイナリはインデックス範囲外の指定エラーによりクラッシュする。

これにより、C2 と通信したすべての感染マシンでボットのコードがクラッシュし、ボットネット全体が停止したとみられる。ボットは感染マシンで実行を持続する機能を備えておらず、ボットネットを復元するには再度感染させて再構築する必要があるとのことだ。

Twitch Support アカウントが Twitch でサポートされるブラウザーは Chrome/Firefox/Edge のみだとツイートし、ユーザーを混乱させたようだ (The Verge の記事)。

ツイートの内容としては、ログインに問題が発生したら最新のアップデートが適用されたサポートされるブラウザー (Chrome/Firefox/Edge) を使用しているか確認しよう、といったものだ。

Twitch の Tom Verrilli 氏のツイートによれば、組織的にボットアカウントを大量作成してボットネットを構築しようとする動きが検知され、そのセキュリティホールを閉じる過程で一部のブラウザーからのログインを一時的に制限することになったのだという。

一方、Twitch Support は「サポートされるブラウザー」が動作の可否を示すものではなく、問題発生時にサポートを提供可能なブラウザーであることを示すものだと説明。Chrome/Firefox/Edge 以外のブラウザーに関する問題については各ブラウザーのサポートチームに相談してほしいとのこと。その後のツイートで、サポートされるブラウザーとして Safari を付け加えている。

Twitch が新たに公開した「サポートされるブラウザー」に関するヘルプページでは、最新 2 バージョンの Google Chrome と Mozilla Firefox、最新バージョンの Microsoft Edge と Apple Safari がサポートされるブラウザーであると明記された。これらのブラウザーに関しては、バージョンの確認と拡張機能の無効化、キャッシュと cookie の消去といったトラブルシューティング方法を解説している。

なお、最初のツイートにつけられたコメントでは、Opera GX への言及が多いようだ。

headless 曰く、

Twitter が 6 つの偽アカウントを認証済みアカウントとして誤って認定していたことを認めたそうだ(Daily Dot の記事、 The Verge の記事、 The Register の記事)。

Twitter ユーザー「Conspirador Norteño」が指摘した 6 つの偽アカウントはいずれも 6 月 16 日に作成されたばかりで 1 件もツイートしておらず、フォロワーが 1,000 アカウント程度という怪しいものだ。977 アカウントのフォロワーは 6 アカウントに共通しており、すべての認証済みアカウントを自動的にフォローする Twitter Verified (@verified) アカウントを除く 976 アカウントは6月19日から6月20日の間に作成され、すべてが同じ 190 アカウントをフォローしていたという。976 アカウントは astroturf ボットネットを構成する 1,212 以上のアカウントの一部とみられ、多くが AI 生成による重複するプロフィール写真を使用していたとのこと。

Twitter は Daily Dot に対し、少数の偽アカウントによる認証申請を誤って承認してしまったが、問題のアカウントを凍結し、認証済みバッジを外したと述べたという。しかし、元 Facebook の最高セキュリティ責任者 Alex Stamos 氏は内部の人間がかかわっている可能性を指摘する。また、一連のアカウントにはトルコ語の人名が多くみられることから、国家のかかわる作戦である可能性も示唆している。

headless 曰く、

Microsoft がボットネット TrickBot 撲滅作戦の一環で、戸別訪問によるルーター交換も行っていたそうだ(The Verge の記事、 The Daily Beast の記事)。

TrickBot はルーターや IoT に感染するボットネットで、ランサムウェアRyukを拡散することでも知られる。Microsoft は昨年10月、米大統領選に向けてサイバーセキュリティ各社や各国の通信事業者と協力して TrickBot 撲滅作戦を実施した。C&C サーバーの IP アドレス無効化などにより封じ込めは成功したように見えたが、ボットネットは再び勢いを取り戻しているという。

ボットネットを構成するルーターは TrickBot に感染したままであり、ユーザーによる除去作業は困難だ。そのため、Microsoft はこの数か月、ブラジルなど南米の ISP と協力して感染したルーターを一軒一軒交換して回ったとのことだ。

微小重力下でクモがどのような網(巣)を張るのかについて、国際宇宙ステーション(ISS)で2011年に行われた実験の研究成果が発表された(論文、 バーゼル大学のニュース記事、 SlashGearの記事)。

ISSでは2008年にもクモの巣に関する実験が行われている。この時は成虫と幼虫各1匹をISSに送り、幼虫は予備の小部屋に入れて成虫が死んでからメインの実験ケースの中に出す計画だったという。しかし、幼虫がメインのケースに逃げ出してしまい、2匹同時の実験になってしまったそうだ。さらに、餌として用意したショウジョウバエが育ちすぎ、2週間後にはケース内にあふれ出したショウジョウバエの幼虫で観察窓が塞がれて観察不可能となっている。観察窓が塞がれるまでは観察が行われており、微小重力下でクモが網を張ることも確認できたが、低解像度の写真では2匹を識別するのが難しく、地球上の対照群と比べて形状の非対称性の違いはわずかしか確認できなかったとのこと。

2011年の実験ではアメリカジョロウグモ(Trichonephila clavipes)2匹を用い、2つの実験ケースでそれぞれ同時に観察を行っている。アメリカジョロウグモは地球上で中心が上に寄った非対称の網を張るが、ISSではより対称に近い網になったという。ただし、網の対照性は光の有無で異なり、照明が当たっている間は光の方向に中心が寄った網になっていたそうだ。また、照明なしの状態でクモはランダムな方向を向いているのに対し、照明があると光と反対の方向を向く。さらに、らせん状に張られる横糸の間隔は地球上の対照群と比べて規則性が低かったとのこと。ISS・対照群ともに時間の経過につれて間隔の規則性が失われていったが、これは実験ケースが狭い(17.3cm×12cm×5.5cm)ことと、自然の環境のように風雨や他の動物によって古い糸が除かれないことが理由として考えられるとのことだ。

SamsungのフラッグシップスマートフォンGalaxy S20 Ultraで、手荒に扱ったわけでもないのにリアカメラのカバーガラスが破損したという苦情が米国のサポートフォーラムなどで相次いでいる(SamMobileの記事、 SlashGearの記事、 Softpediaの記事、 Android Policeの記事)。

報告されているのは購入から数日～2週間の通常使用でガラスが破損したというもので、カメラのレンズがある部分に穴が開いた写真が複数公開されている。中には夜ワイヤレス充電器に載せ、朝起きたらガラスが割れていたという報告もみられる。Galaxy S20 Ultraのリアカメラはメイン108メガピクセル/望遠48メガピクセル/超広角12メガピクセル/深部センサーのクアッドカメラ構成で、米国での価格は1,399.99ドルから。国内発売済みのGalaxy S20+ 5Gと比較してカバーガラス部分が大きくなっており、ガラスの面積に対して強度が不足しているのではないかとの見方も出ている。しかし、Samsung側は外観の破損だとして製品保証による修理を拒否し、100ドル～400ドルの修理料金を要求しているとのことで、影響を受けたユーザーの不満は高まっているようだ。

Anonymous Coward曰く、

この半年間でマルウェア「Emotet」の感染が広がっている。EmotetはメールやWebブラウザに保存された個人情報を盗み取って悪用することで、実在の相手の氏名、メールアドレス、メールの内容等の一部を使って攻撃メールを作成するのが特徴で、さらに同一の無線LANに接続されている別の端末に攻撃を行って感染するという。

EmotetはSSIDや信号強度、暗号化方法を調査し、よく使用されるユーザー名とパスワードの組み合わせで無線LANへの不正な接続を試みる。接続に成功すると、その無線LANアクセスポイントに接続されているデバイスを調査し、共有されているストレージなどへのアクセスを試みるという。

このような感染を行うモジュールは2年前はに作成されていたようだが、先月までその使用は確認できていなかったという（Ars Technica）。

Anonymous Coward曰く、

フランス警察がAvastの協力のもと、マルウェアのボットネットを利用して、マルウェアに感染した85万台のコンピューターを操作し、そのマルウェアを消去した（ ZDNet）。

問題になったマルウェアは2017年から確認されている「Retadup」と呼ばれるもので、Windowsマシンで暗号通貨を採掘・送信する。技術的な情報と実行された対処については、Avastが8月28日付けで詳しいレポートを出している（公開されたファイル情報やレジストリのキーなど）。

ウィルス対策ソフトを意識してサンドボックス下での動作を嫌って大人しくしているところや、フォルダに見えるショートカットをC:以外の全てのドライブに作成する（つまり、USBメモリなどを通じてゆっくり増殖する）など、物語として読んでもわりと面白い。BBCによると当局が説明した侵入経路は「儲け話やエロ画像を餌にしたメールと、感染済みのUSBドライブ」らしい。2017年のトレンドマイクロの解説では標的型、いわゆるスピアフィッシングが疑われていたので、ピンポイントな攻撃があったかどうかは気になるところ。

犯人は逮捕されていないが、Avastは作者のTwitterアカウントを特定した、としている。確かに、よく見るとトレンドマイクロとのやり取りでは犯行声明（曰く、「自分はハッカーではなく採掘の初心者」）らしきものもある。

ただ、感染地域を見ると、フランスを含むEU地域はほぼゼロで、中南米を中心にアメリカやロシアにも広がっていたようだ。法的にはどうなんだろうか。

モスクワ在住者が運営するとも伝えられるハッキング集団「Fxmsp」が米国の大手アンチウィルス企業3社のシステムに侵入し、ソースコードなどを入手したと主張しているそうだ(AdvIntelのブログ記事、 Ars Technicaの記事、 The Registerの記事 、 HackReadの記事)。

米セキュリティ企業のAdvanced Intelligence(AdvIntel)によれば、Fxmspは数年にわたって政府や企業から盗み出した機密情報を販売し、ロシア語圏と英語圏のアンダーグラウンドコミュニティでの評価を高めているという。Fxmspは最近、企業内ネットワークの認証情報を盗み出すことを可能にする大規模なボットネット構築に成功したと主張しており、3月には米大手アンチウィルス企業3社からソフトウェア開発に関連するソースコードなどを入手したと述べていたそうだ。4月24日には第1四半期中の絶え間ない尽力により、米大手アンチウィルス企業3社の内部ネットワークへのアクセスを確実にしたことを明らかにしており、30万ドル以上でソースコードとネットワークアクセスを販売していたとのこと。

Fxmspは具体的な企業名を明かしていないものの、入手したファイルのリストやスクリーンショットから特定可能であり、AdvIntelでは3社や米連邦捜査局(FBI)に通報したとのことだ。

他のボットネットを攻撃することが目的とみられるボットネット「Fbot」について、360 Netlabが報告している(360 Netlab Blogの記事、 The Next Webの記事)。

Fbotは侵入先で「com.ufo.miner」というボットネット(マルウェア)を削除することが唯一の目的とみられている。com.ufo.minerはAndroidのADBインターフェイスが使用するTCP 5555番ポートを通じて侵入し、暗号通貨を採掘するボットネット「ADB.Miner」の亜種で、Fbotも同様の仕組みでAndroid端末に侵入する。

侵入後はC&Cサーバーからダウンロードしたスクリプトを使い、メインのマルウェアfbot.{アーキテクチャー}のダウンロードと実行やcom.ufo.minerのアンインストール、使用したファイルの削除を実行する。fbot.{アーキテクチャー}は一時ファイルとして実行されている特定のプロセスを強制終了する。このマルウェアはMiraiの亜種であり、Miraiから継承したDDoSモジュールが含まれているが、これまでにC&CサーバーからDDoSコマンドが発行された形跡はないとのこと。

FbotのC&Cサーバー「musl.lib」は通常のDNSではなくブロックチェーン技術を使用したEmerDNSを使用して名前解決する。これにより、セキュリティリサーチャーがボットネットを検出・追跡することや、ドメインの無効化による拡散防止などが困難になる。また、Fbotが使用するIPアドレスによれば、同じくMiraiの亜種であるSatoriとも強い関連があるとみられるとのことだ。

ゲノム編集したカイコガを用いることで、高い割合でクモ糸タンパク質を含むシルク繊維を得ることに中国の研究グループが成功したそうだ(論文、 Ars Technicaの記事)。

クモ糸は高い強度や伸展性など優れた特性を持ち、バイオ素材として注目を集めている。しかし、クモの生態上、飼育による大規模なクモ糸繊維の生産は困難だ。他の生物にクモの遺伝子を挿入してクモ糸タンパク質を生成させる場合、多くは繊維を作る工程が必要になる。カイコガを使用すれば直接繊維を採取可能となるが、トランスポゾンを用いてクモの遺伝子を挿入する従来の方法ではクモ糸タンパク質を効率よく得られなかったという。

研究グループではヌクレアーゼを用いた相同性依存的な修復(HDR)により、カイコガのフィブロインH鎖遺伝子をアメリカジョロウグモ(Nephila clavipes)の牽引糸タンパク質(MaSp1)遺伝子で置き換えた。その結果、遺伝子組み換えカイコガの繭では最大35.2%をMaSp1が占めたという。繭から得られるシルク繊維を通常のカイコガのものと比較したところ、直径が15.8%小さく、強度が17.4%低下する一方、破断ひずみは22.5%から32.2%に増加し、破壊エネルギーも22.5%増加したとのこと。

異種発現系による大規模なクモ糸生産の可能性を示す今回の研究成果は、将来のクモ糸を含む新たなバイオ素材の開発に役立つとのことだ。

あるAnonymous Coward曰く、

オープンソースのCMSであるDrupalにリモートから任意のコードが実行可能になる深刻な脆弱性が報告されている（MBSD、JPCERT/CC）。この脆弱性は「Drupalgeddon2」と呼ばれており、Drupal 8.5.1/8.4.6/8.3.9/7.58ですでに修正されているものの、これよりも前のバージョンすべてで影響があるようだ。中国のNetlab 360によると、この脆弱性を悪用して活動している攻撃グループが少なくとも3つ存在し、Muhstikと名付けられたグループはとくに活発な行動をしているとされる。

Muhstikは、ボットネットに見られる感染技術を応用しており、感染したCMSが別の脆弱なサイトを攻撃するようなワームのような動作する兆候があるとしている。Drupalgeddon2の対策パッチは3月下旬に提供されている。しかし、攻撃グループ同士でハッキング競争が行われており、対策パッチを適用していないDrupalは現時点でハッキングされていると考えたほうがいいとしている（Ars Technica、Netlab 360、Slashdot）。

この脆弱性はHTTPリクエスト中に特定のパラメータを入れることで任意のコードを実行できるというもの（knqyf263's blog）。警察庁もこの脆弱性を狙ったアクセスを確認しているようだ。

人気の広告ブロック拡張機能「Adblock Plus」の偽物がChromeウェブストアで配布されていたことが半年ほど前に話題となったが、現在も状況は改善されていないようだ。AdGuardの調べによれば、合計2,000万人以上がChromeウェブストアから悪意あるコードを含む偽拡張機能をインストールしていたという(AdGuard Blogの記事、 BetaNewsの記事、 HackReadの記事)。

ここでいう偽拡張機能は、主に広告ブロック拡張機能など人気の拡張機能をクローンして多少のコードを付け加え、本物と紛らわしい名前を付けたものだ。こういった偽拡張機能に対抗するには商標権侵害でGoogleに削除を求めるしかなく、対応には数日かかるという。しかし、最近では紛らわしい名前を付けるのではなく、拡張機能の説明で検索結果上位になるようなキーワードを含めるものも増えているそうだ。

AdGuardが悪意あるコードを発見した偽拡張機能のうち、「AdRemover for Google Chrome」はAdBlockをクローンしたもので、ユーザー数は1,000万人以上だったという。付け加えられた悪意あるコードは、リモートサーバーから画像に埋め込んだコードを受け取って実行するもので、バックグラウンドページとして任意の操作を実行できる。つまり、偽拡張機能のインストールによりボットネットに組み込まれることになる。

同様のアプローチをとる偽拡張機能は他に4本発見されており、うち2本は広告ブロック、あとの2本はそれ以外の拡張機能だったという。なお、AdGuardは問題をGoogleに報告済みで、5本すべて削除されている。ユーザー数は偽広告ブロック拡張機能3本だけで2,000万人を超えるが、1億人以上が使用しているというAdblock Plusのユーザー数もChromeウェブストアでは1,000万人以上と表示されているので、AdRemoverのユーザー数だけで2,000万人を超える可能性もある。