「PHP 8.1」がリリース ～PHPの持続的発展を支援する非営利団体「PHP Foundation」も設立

列挙型、交差型、Fibers、読み取り専用プロパティなど新しい言語機能が多数実装

 

2021/11/26　

 

 

 

　スクリプト言語「PHP」の新しいメジャーバージョン「PHP 8.1」が、11月25日にリリースされた。以下の新機能と改善が導入されている。

• Enumerations：定数セットの代わりに利用できる列挙型
• Readonly properties：初期化後は変更できない読み取り専用プロパティ
• Fibers：非同期コードを手軽に書ける仕組み
• Pure Intersection Types：交差型。複数の制約を同時に満たす型
• never return type：呼び出し元に返らない関数の返り値の型「never」
• First-class Callable Syntax：「Closure::fromCallable」をシンプルに書くための糖衣構文
• "final" modifier for class constants：子クラスでオーバーライドできないクラス定数「final」
• New fsync and fdatasync functions：「fsync」「fdatasync」関数を実装
• New array_is_list function：配列（実体はハッシュ）が0キーから始まるリスト化を判定する関数
• Explicit Octal numeral notation：8進数を明示するプレフィックス

　以前の「PHP」よりいかにシンプルに書けるようになったかは、リリースアナウンスに詳しい。

 

　パフォーマンスも向上しており、「Symfony」デモアプリのリクエストタイムではこれまでのバージョンに比べ20％以上もの時間短縮が図られている。

 

　なお、「PHP 8.1」のリリースに先立ち、主要な貢献者であったNikita Popov氏のJetBrains退社と「PHP Foundation」の設立もアナウンスされている。

　著名なOSS（オープンソースソフトウェア）プロジェクトであっても、実体は個人または少数の開発者の貢献――ときには犠牲と表現した方が似つかわしい――でかろうじて成り立っているものはおおい。なかにはメンテナンスする開発者が「燃え尽きて」しまい、プロジェクトが断絶してしまうことも少なくない。

　そうした事態を避けるため、新しい開発者を迎え入れ、既存のメンテナーの負担を減らし、健全な財務状況の下プロジェクトを継続させるために、「PHP」でも財団を設立しようという動きは以前からあったという。しかし、とくに緊急の課題ということもなかったので先送りされていた。

　Popov氏はまだ高校生だった2011年頃から「PHP」に関わっており、3年前にJetBrains社に加わって「PHP 7.4」、「PHP 8.0」および「PHP 8.1」で中心的な役割を果たしてきた。しかし、近年はこれに加え「Rust」や「LLVM」でも積極的に貢献を行っており、とうとう「LLVM」での活動に集中することになったようだ。氏が「PHP」に費やす時間は大幅に減るとみられている。

　主要な貢献者を失ったことは打撃だが、PHP言語の持続的な発展を使命とする非営利団体ができたのは大きな成果といえるだろう。財団にはJetBrains社のほか、以下の企業が参加する。

• Automattic
• Laravel
• Acquia
• Zend
• Private Packagist
• Symfony
• Craft CMS
• Tideways
• PrestaShop

　寄付金は年間で30万ドルを見込んでおり、JetBrains社は10万ドルの拠出を予定しているとのこと。同社は財団へのスポンサー参加を呼び掛けている。

 

 

 

 

 

 

 

プログラミング言語「PHP」を支える非営利団体「PHP Foundation」設立

2021/11/26　

 

 

　広く普及しているプログラミング言語の1つであるPHPの未来を保証するために、新たな非営利団体が設立された。

　PHPは1995年、Rasmus Lerdorf氏によって生み出された。ウェブ技術調査企業W3Techsによると、世界のウェブサイトの約78％で用いられていることもあり、人気言語の1つとなっている。

　チェコ共和国に拠点を置き、統合開発環境（IDE）を手がけるJetBrainsが、PHP Foundationの設立を発表した。PHPの今後の開発に向け支援する数社で構成されている。JetBrainsのほか、Automattic、Laravel、Acquia、Zend、Private Packagist、Symfony、Craft CMS、Tideways、PrestaShopが名を連ねている。

　PHPの非営利団体を設立するというアイデアは何年も前から存在していたものの、PHPの主要な貢献者であるNikita Popov氏がPHP以外の道に進むと決断したことで、団体設立が喫緊の課題となっていた。

　Popov氏は、JetBrainsでの約3年間を含め、10年間にわたってPHPに携わってきたが、LLVMに軸足を移すという決断を下した。

　JetBrainsは、「Nikita（Popov氏）はPHP以外にも、RustやLLVMに長期間にわたって貢献してきた。そしてPHPの時と同様に、LLVMが趣味の対象から本当の仕事になったことで、同氏はLLVMに関するプロフェッショナルなアクティビティーに注力していくと決断した」としている。Popov氏は12月にJetBrainsを退社する予定だという。

　JetBrainsは、「同氏は豊富な知識と専門性を有しているため、同氏のようなPHPの主要な貢献者を失うのはコミュニティーにとって痛手だ。これによって、ウェブの78％で用いられているこの言語が危うい状況に陥る。また、メンテナーに大きな重荷がのしかかるのは言うまでもない。OSSの世界では、こうした重荷が、残念ながら人々の燃え尽き症候群につながる場合もたびたびある」と述べている。

　PHP Foundationが設立される背景には、PHPのある重要な部分の保守に専心できる開発者層が薄いという現実がある。PHPのコントリビューターであるJoe Watkins氏が5月、この課題について提示していた。

　Watkins氏は、「PHPのソースコードには、少数の人々しか理解できない部分があるという状況が常態化している」と述べている。そして、この言語の将来は特にDmitry Stogov氏とNikita Popov氏の2人にかかっているとWatkins氏は指摘する。両氏は、PHPのJITコンパイラーの保守で欠かせない存在だ。JITはPHPの将来に不可欠であり、なくすことはできない。

　PHP Foundationは「Open Collective」で資金を募っており、年間30万ドル（約3400万円）の調達を見込んでいる。JetBrainsは毎年10万ドル（約1100万円）を寄付する。

　「PHPのコア開発者に、市場相場の給与を支払えるようになると期待している。資金が集まるほど、より多くの開発者がフルタイムでPHPに取り組めるようになる」

 

 

 

 

 

 

 

 

 

Facebookが嫌になったなら--アカウントを削除する方法とその前にすべきこと

2021/11/27　

 

 

 

　Facebookとほとんどのユーザーの関係は愛憎半ばするものである、と言っても差し支えないと思う。Facebookを使用すると、世界のあらゆる場所にいる旧友や家族と連絡を取り合うことが非常に簡単になるだけでなく、「Facebook Groups」で全く知らない人と友達になることもできる。しかし、Facebookがこの数年間にいくつかの重大な過ちを犯したことを受けて、一部のユーザーは同ソーシャルネットワークを永久に離れることを誓った（おそらく同ソーシャルネットワークを罵倒もしたはずだ）。

 

　しかし、アカウント設定にアクセスしてアカウントを削除する前に、いくつかやらなければならないことがある。例えば、同ソーシャルネットワークで共有した写真などの個人データのコピーをダウンロードしたり、さまざまなアプリやウェブサイトで利用できるFacebookのログインサービスの設定を変更したりすることが必要になる。

　Facebookアカウントの利用を解除してもアカウントは削除されないということにも注意が必要だ。

利用解除と削除の違い

　Facebookから一時的に離れたくなることもある。そのような場合は、アカウントを完全に削除するよりも、アカウントの利用を解除した方がいい。これらのオプションのいずれかを実行する前に、両者の違いを簡単に説明しておこう。

　Facebookアカウントの利用を解除した場合は、将来、アカウントを再開して、以前と全く同じ状態に復元することができる。アカウントの利用が解除されている間、ほかのユーザーがあなたを検索したり、あなたのFacebookタイムラインを閲覧したりすることはできない。あなたが管理している「Facebook Pages」の利用も解除されるので、Pageを利用可能な状態に維持する必要がある場合は、必ずほかのユーザーに管理者権限を割り当ててほしい。

　アカウントの利用を解除しても、「Facebook Messenger」にアクセスできる。

　Facebookアカウントの削除は、永続的なオプションだ。アカウントと関連データのすべてが90日以内にFacebookのサーバーから削除される。ただし、削除を要請してから30日以内にアカウントに再度ログインすると、削除要請はキャンセルされ、アカウントが完全に復元される。しかし、その30日間が過ぎると、削除要請を取り消す手段はない。アカウントとすべての情報が失われる。

　アカウントを削除すると、Facebook Messengerにもアクセスできなくなる。

　もう1つ重要な注意事項がある。Facebookは「Oculus」プラットフォームでFacebookへのログインを要求するのをやめる予定だが、それが実行されるまで、Facebookアカウントの利用を解除したり、削除したりすると、Oculusヘッドセットを使用できなくなる。

Facebookアカウントを削除する前にやるべきこと

　Facebookアカウントを削除することに決めた場合は、少し時間をかけて、プロセスができるだけ円滑に進むようにする必要がある。Facebookは私たちのオンライン生活と密接に絡み合っているため、アカウントを失うと、いくつかの問題が発生する可能性もある。例えば、Facebookのログインサービスを使用してSpotifyなどのアプリやサービスにサインインしている場合は、ログイン設定を編集して、Facebookアカウントにアクセスできなくなる状況に備える必要がある。アカウントへのログインに加えて、Facebookアカウントにリンクされているすべての個人データのコピーもダウンロードしておいた方がいいだろう。

 

　最初に、コンピューターでFacebookアカウントにサインインして、アカウント設定にアクセスする。具体的には、画面右上の下向きの矢印＞「Settings & Privacy」（設定とプライバシー）＞「Settings」（設定）の順に進む。画面の左側にあるメニューから「Apps and Websites」（アプリとウェブサイト）を選択する。

　Facebookアカウントにリンクしたアプリとサービスのリストが表示される。特定のアカウントでFacebookログインから離れる方法が分からない場合は、同社のサポート部門に連絡して、詳しい手順を確認することをお薦めする。

　次に、Facebookアカウントデータのコピーをリクエストしてダウンロードする。これを行うには、ウェブサイト上部の矢印をクリックして、「Settings & Privacy」（設定とプライバシー）＞「Settings」（設定）＞「Your Facebook Information」（あなたのFacebook情報）の順に進み、「Download Your Information」（個人データをダウンロード）オプションの「View」（見る）をクリックする。

　次のページには、リクエストの期間を選択するためのカレンダーが表示される。アカウントが作成された日から現在までにアカウントと関連付けられたデータをすべてダウンロードしたい場合は、「All Time」（全期間）オプションを選択する。メディアの画質オプションは「High」（高）のままにしておこう。フォーマットも「HTML」のままにしておくことをお薦めする。カレンダーの下には、リクエストできるさまざまな種類の情報のリストがある。デフォルトでは、すべてのカテゴリーが選択されている。先ほどと同様、このセクションもそのままにしておくことをお薦めする。最後に、「Create File」（ファイルを作成）をクリックして、Facebookにリクエストを送信する。

　Facebookは、リクエストの処理にだいたいどれくらいの時間がかかるのかを明示していないが、リクエストしたデータの量に応じて、1日～2日程度で完了するのではないだろうか。筆者は、古いGoogleアカウントで同様の情報をリクエストしたときの経験に基づいて、そのように推測している。

　情報の準備が整ったら、Facebookからダウンロード方法を知らせるアラートが届く。ダウンロード可能な期間は、数日しかない。

　アカウントを削除する数日前にやっておくべきが、もう1つある。Facebookを去ることをほかの人に知らせることだ。友達向けに投稿を作成するか、あるいは、Facebookの友達の一部に個人的に連絡して、連絡を取り合う別の方法を伝えるといい。アカウントを削除すると、Facebook Messengerにもアクセスできなくなることを忘れないでほしい。

Facebookアカウントを削除する方法

　自分の情報のコピーを受け取り、自分がサイトを去ることが親しい人々に伝わったと感じたら、Facebookアカウントを実際に削除する手順を開始しよう。

　コンピューターでこちらのページにアクセスして、Facebookアカウントにログインする。Facebookは注意事項を表示する。例えば、アカウントの利用解除であればMessengerを引き続き利用できることや、自分の情報をダウンロードできることをユーザーに伝える。また、アカウントとともに削除されるFacebook Pagesのリストも表示する。

　時間をかけて、それらすべての注意事項を再確認し、準備ができたら、「Delete Account」（アカウントを削除）ボタンをクリックする。その後、プロンプトが表示されたら、パスワードを入力する。

　30日間は削除の要請を取り消せることを覚えておいてほしい。取り消したい場合は、アカウントにログインして、「Cancel Deletion」（削除をキャンセル）ボタンをクリックするだけで、アカウントが復元される。

　削除の要請後、30日間が経過すると、アカウントは永久に失われる。

 

 

 

 

 

 

「FacebookはInstagramが10代の若者に有害だと認識していた」件についてInstagramの代表が連邦議会で証言へ

2021/11/25　

 

 

「Instagramが子どもに与える悪影響を親会社のMetaは認識していた」と報じられている件について、Instagram社の代表であるアダム・モセリ氏が、2021年12月にオンライン上で開催される「子どもたちの保護に関する一連の公聴会」に出席して証言することに同意したことを明かしました。
 

Adam Mosseri, Instagram's Head, Agrees to Testify Before Congress - The New York Times
https://www.nytimes.com/2021/11/24/technology/adam-mosseri-instagram-congress.html

What Is Instagram Chief's Message To Congress Before Testimony On Online Safety
https://www.ibtimes.com/what-instagram-chiefs-message-congress-testimony-online-safety-3344668

問題の発端は、「Facebook(Meta)はInstagramが10代に与える影響を事前調査しており、Instagramが若者に与える悪影響を看過していた」とウォール・ストリート・ジャーナルが報じたことでした。Facebookはこの報道に対し、調査報告書の内容を公開して反論しましたが、ウォール・ストリート・ジャーナルは疑惑を裏付ける内部資料をさらに公開しています。

Facebookが「Instagramが10代に与える影響の調査報告書」を公開して反論、しかし直後に報道側がさらなる内部資料を公開 - GIGAZINE

 

一連の報道を受けて、アメリカ連邦議会は2021年9月に、Facebookに対する調査を開始しました。

「Instagramは10代のメンタルヘルスに有害」だとFacebookが隠していたとして議会が新たな調査をスタート - GIGAZINE

 

Metaの広報担当者であるダニ・リーバー氏は「私たちは、モセリ氏がInstagramの重要なステップについて証言する日程を合わせるため、連邦議会と協力し続けています」と述べ、モセリ氏が証言することを認めました。モセリ氏は「私たちは若者がオンラインで安全であることを望んでいるので、証言を楽しみにしています」「私は公聴会に参加する上院議員と目標を共有しています」と述べています。

モセリ氏の公聴会への出席は、Metaのグローバルセーフティ責任者であるアンティゴーン・デイヴィス氏と、Facebookの内部告発文書「The Facebook Papers」を公開した元従業員のフランシス・ハウゲン氏への公聴会に続くものです。デイヴィス氏はInstagramが10代の若者に有害であるという前提に異議を唱え、流出した研究には因果関係を示すデータが存在しないと主張しています。

公聴会議長を務めるリチャード・ブルメンタール上院議員は、「ザッカーバーグ氏やモセリ氏はInstagramのトップであり、Instagramをはじめとするテクノロジープラットフォームが強力なアルゴリズムによって有害なコンテンツを子どもたちに提供し、なぜこれほどまでに子どもたちに危険と被害をもたらしたのかという全国民の疑問に答えるべきです」と述べています。

なお、ブルメンタール上院議員は、モセリ氏に対してInstagramのランキングやおすすめを決定するアルゴリズムを、一般の人々や専門家に対して透明化することを約束してもらうと述べています。ブルメンタール上院議員によると、これまでの公聴会で証言したTikTokやYouTubeの幹部たちは、アルゴリズムの透明化を約束しているとのことです。

 

 

 

 

 

「password」や「admin」など安易なパスワードをデフォルトに設定することを禁じる法案をイギリス政府が提出

2021/11/26　

 

 

 

イギリス政府が、スマートホーム機器のセキュリティ向上を目的とした「製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案」を議会に提出したと発表しました。この法案ではスマートフォンやテレビ、スマートスピーカーなどのデジタルデバイスのデフォルトパスワードに「password」「admin」などの推測しやすい文字列を設定することが禁止され、違反した企業に対しては厳しい罰金が科されます。

New cyber laws to protect people’s personal tech from hackers - GOV.UK
https://www.gov.uk/government/news/new-cyber-laws-to-protect-peoples-personal-tech-from-hackers

 

New UK law will hit smart home device makers with big fines for using default passwords | Engadget
https://www.engadget.com/uk-law-imposes-stiff-fines-on-insecure-smart-home-devices-200031873.html

イギリス政府は、インターネットに接続できるハイテク製品の使用率は近年劇的に増加しており、2030年までに世界全体で最大500億デバイスが使われるようになると予測しています。しかし、こうした接続可能な製品に適切なセキュリティ対策を講じているのはわずか20％ほどしかないとイギリス政府は述べています。イギリスの国家サイバーセキュリティセンターは、2021年前半だけでイギリス国内のIoTデバイスへの侵害が15億回も行われており、被害件数がすでに2020年のほぼ2倍に達していると報告しています。

今回提出されたPSTI法案は2020年に起草されたもので、「password」「admin」といった古典的なものを含む推測しやすいデフォルトパスワードの使用を禁止し、「パスワードはデバイスに一意的かつ工場出荷時の設定にリセットできないものでなければならない」と定めています。規制の対象となる製品はスマートフォン、ルーター、監視カメラ、ゲーム機、ホームスピーカー、ベビーモニター、洗濯機、冷蔵庫など、IoT対応の家電製品です。また、スマート電球やウェアラブルフィットネストラッカーなど、直接インターネットに接続しない製品も対象となります。

 

メーカーは販売時に顧客に対してセキュリティパッチやアップデートの最低必要期間を伝達し、常に最新の情報を提供することが義務付けられます。もし製品にセキュリティパッチやアップデートが含まれていない場合は、その事実を開示する必要があります。また、メーカーはバグや脆弱(ぜいじゃく)性を発見したセキュリティ研究者が連絡する窓口を用意する必要があります。違反した企業には最大1000万ポンド(約15億円)あるいは総売上高の4％分の罰金が科されることとなり、継続的に違反した場合は1日最大2万ポンド(約300万円)の罰金が科せられます。また、この法律はメーカーだけではなく、ハイテク製品をイギリスに輸入販売する小売企業にも適用されます。

イギリスのメディア・データ・デジタルインフラストラクチャ担当大臣であるジュリア・ロペス氏は「ハッカーは人々のスマートデバイスに日々侵入しようとしています。私たちは販売されている製品は安全で安心だと思いがちですが、実際は詐欺や盗難の危機にさらされています。PSTI法案は、電話や暖房、食洗機やドアベルに至るまで、日常生活にある技術に厳しいセキュリティ基準を設け、違反した人には巨額の罰金を科します」とコメントしています。

 

 

 

 

 

 

IoT製品はデフォルトパスワード禁止　英当局が法案、高額罰金

2021/11/26　

 

 

英国の消費者団体Which?は11月24日、ほぼすべてのインターネット接続製品にセキュリティ対策を求める法案が提出されたと伝えた。ハッキングされない状態で出荷することを企業に求め、要件を満たさない場合は最高1千万ポンド（約15億2千万円）もの罰金を科す。さらにメーカーだけでなく輸入業者、販売業者にも法の網をかける。

Which?は「サイバー犯罪に無防備な消費者製品を取り締まる法案が提出されたことを歓迎する」とのコメントを出している。

この法案は英デジタル・文化・メディア・スポーツ省（DCMS）が24日に提出した「製品セキュリティ及び電気通信整備法案」（PSTI、The Product Security and Telecommunications Infrastructure Bill）。スマートフォン、通信機器、ゲーム機、おもちゃ、テレビ、カメラ、スピーカー、ベビーモニターなどインターネットに接続して使うほぼすべての製品を対象とし、製品出荷時のデフォルトパスワード（adminなど）を禁止するほか、セキュリティ更新情報に関する情報提供、バグや欠陥を報告するための連絡先の開示を求める。要件を守らない企業には最大1千万ポンドまたは世界総売上高の4％にあたる罰金を科し、メーカーだけでなく輸入業者、小売店、オンライン通販業者にも適用する。

一方、対象外となる製品はノートパソコン、デスクトップパソコン、自動車、スマートメーター（電力メーター）、医療機器、電気自動車充電設備など。

メディア・データ・デジタルインフラストラクチャ担当のジュリア・ロペス大臣は法案について「消費者の多くは販売されている製品は安全だと思っているが、実際はそうではない。この法案により電話から食器洗い機、ドアベルに至るまでファイアウォールが設定されるようになり、違反した企業には巨額の罰金を科していく」と発言している。

 

 

 

 

 

 

「admin」とか「password」とかは禁止

2021/11/26　

 

 

英国政府は11月24日（現地時間）、インターネットに接続するスマート家電のセキュリティを強化するため、こうした機器で推測しやすいデフォルトパスワードを禁止する製品セキュリティおよび通信インフラ法案」（Product Security and Telecommunications Infrastructure Bill： PSTI）を導入したと発表しました。この法案では、推測しやすいデフォルトパスワードの禁止とともに、セキュリティアップデートのリリース日などについてもユーザーへの開示を義務付けています。

IoT機器では、デフォルトパスワードのまま利用しているユーザーも多く、外部から容易にアクセス可能なことも少なくありません。実際、こうしたデフォルトパスワードを利用している個人所有のセキュリティカメラの映像を配信するサイトなども存在しています。また、こうした機器ではセキュリティパッチが当てられないことも多く、攻撃の踏み台にされるという問題も起こっています。このため、PSTI法案では、「password」や「admin」など、推測されやすいデフォルトパスワードの利用を禁止します。あわせて、新しい機器に搭載されるすべてのパスワードは、固有のものでなければならないともしています。

英国のデジタルインフラストラクチャ大臣Julia Lopez氏は、「私たちの多くは、製品が販売されていれば安全で安心だと思っています。しかし、多くの製品は安全ではなく、多くの人々が詐欺や窃盗の危険にさらされています」「私たちの法案は、電話、サーモスタット、食器洗い機、ベビーモニター、ドアベルなど、日常的に使われている機器にファイアウォールを設置し、厳しい新セキュリティ基準に違反した者には巨額の罰金を科すものです」と発表文の中で述べています。

英国政府によると、英国のすべての世帯が平均して9つのコネクテッド製品を所有しており、2030年までに世界中で最大500億台に達すると予想。しかし、適切なセキュリティ対策を行っているメーカーは、5社に1社（20%）だとしています。

デフォルトパスワードの禁止にあわせて、メーカーは販売時点で顧客に対し、セキュリティパッチやアップデートのリリース予定について通知しなければいけないともしています。アップデートが提供されない製品について、その旨を開示する必要もあります。

なお、この法案はメーカーだけではなく、英国向けに販売する小売店やオンラインショップにも適用されるとのこと。対象製品はスマートフォンやスマート家電だけではなく、ゲームコンソールやインターネット対応のおもちゃなども含まれます。違反した場合には、最大1000万ポンド（約15億円）、または世界市場での売上の4%が罰金として課せられます。違反が続く場合には、最大で1日当たり2万ポンド（約300万円）が課せられるとのことです。

 

 

 

 

 

 

スマホの37％に使われているチップに「盗聴に利用され得る脆弱性」が存在することが判明

2021/11/26　

 

 

スマートフォンの37％に搭載されているチップに存在するセキュリティ上の脆弱性(ぜいじゃくせい)を、サイバーセキュリティ企業・Check Point Software Technologiesの脅威インテリジェンス調査部門であるCheck Point Research(CPR)が発見しました。この脆弱性は、悪意のあるハッカーによるユーザーの盗聴につながり得るものだったとのことです。

Check Point Research discover vulnerabilities in smartphones chips embedded in 37% of smartphones around the world - Check Point Software
https://blog.checkpoint.com/2021/11/24/check-point-research-discover-vulnerabilities-in-smartphones-chips-embedded-in-37-of-smartphones-around-the-world/

 

Researchers Finds Security Flaw Affecting 37% of Smartphones | PCMag
https://www.pcmag.com/news/researchers-finds-security-flaw-affecting-37-of-smartphones

CPRが脆弱性を発見したのは、台湾の半導体メーカーであるMediaTekが製造したシステム・オン・チップ(SoC)です。MediaTekは自らを「世界最大のSoCメーカー」と呼ぶほど高いシェアを持っており、Xiaomi・Oppo・Realme・Vivoなどのハイエンドモデルを含む37％ものスマートフォンやIoT機器に、MediaTek製のチップが搭載されています。

最近のMediaTek製SoCには、メディアパフォーマンスを向上させると共にCPU使用率を減少させるため、特殊なAI処理ユニットとオーディオ用のデジタル信号プロセッサ(DSP)が組み込まれています。CPRの研究チームは、MediaTekのオーディオ用DSPファームウェアをリバースエンジニアリングすることで、Androidスマートフォンのユーザースペースからアクセス可能な脆弱性を探しました。

 

 

分析の結果、研究チームはDSPファームウェアに3つ(CVE-2021-0661、CVE-2021-0662、CVE-2021-0663)、オーディオのHardware Abstraction Layer(ハードウェア抽象化レイヤー)に1つ(CVE-2021-0673)の脆弱性を発見したと報告しました。

今回発見された脆弱性について、研究チームは「不正なプロセッサ間メッセージが攻撃者によって利用され、DSPファームウェア内で悪意のあるコードが実行されたり、隠されたりする可能性があります。DSPファームウェアはオーディオのデータフローにアクセスできるため、DSPへの攻撃はユーザーの盗聴に使われる可能性があります」と述べています。

これらの脆弱性はOEMライブラリに存在する脆弱性と連動して、Androidアプリから不当なアクセス権限を得るローカル特権昇格を可能にすることも考えられると研究チームは指摘。ハッカーが特権昇格に成功することで、アプリがオーディオDSPファームウェアにメッセージを送信できるそうです。

なお、研究チームはMediaTekのチップ・MT6853を搭載しているXiaomi製スマートフォン「Redmi Note 9 5G」で、これらの脆弱性に対する概念実証エクスプロイトを作成しましたが、倫理的な理由から概念実証は差し控えたとのこと。

 

MediaTekは今回発見された脆弱性に対するパッチを2021年10月にリリースしています。また、10月のセキュリティ速報でDSPファームウェアの脆弱性について報告しているほか、12月にはハードウェア抽象化レイヤーの脆弱性についても詳細を公表する予定だそうです。

 

 

 

 

 

 

世界のスマホの3分の1に「盗聴の危険」、チップの脆弱性で

2021/11/26　

 

 

台湾の半導体大手メディアテック（MediaTek）が製造したチップに脆弱性があり、世界のスマホやToTデバイスの3分の1が、盗聴やスパイ行為の危険にさらされていると専門家が報告した。

イスラエルのサイバーセキュリティ企業チェックポイントの研究者によると、問題はメディアテックのチップの音声信号を処理する部分にあるという。この脆弱性を利用するハッカーは、対象となるアンドロイド端末にマルウェアを送り込むか、メディアテックのオーディオファームウェアにアクセスするという。

インストールされたマルウェアは、デバイスのメモリに悪意のあるコードを書き込み、ハッカーが通話を盗聴したり、別のマルウエアを送り込むことを可能にする。

チェックポイントのリサーチャーのSlava Makkaveevは、「パッチが適用されていない端末では、ハッカーがこの脆弱性を悪用してユーザーの会話を盗聴する可能性があった」と述べている。

彼らが指摘した3つの脆弱性は、メディアテックが10月に対処済みだが、チェックポイントの研究者は、アップデートを受け取っていないユーザーに、メーカーに確認することを勧めている。メディアテックのチップは、シャオミやOPPOなどの大手が製造する端末に搭載されている。

時価総額が600億ドルのメディアテックは、世界最大のモバイルチップのサプライヤーとして知られるが、フォーブスからのコメント要請にすぐには応じなかった。しかし、チェックポイントが発表したリリースの中で、メディアテックのセキュリティ・オフィサーのTiger Hsuは次のように述べている。

「当社は、この問題を検証し、すべてのメーカーに適切な対策を提供した。現時点でこの問題が悪用されたという証拠は確認できていない。ユーザーの皆さんには、パッチが利用可能になった時点で端末をアップデートし、Google Playストアなどの信頼できるストアからのみアプリをインストールすることを勧めたい」

チェックポイントはフォーブスに対し、同社がグーグルとシャオミに加え、メディアテックにこの問題を通知したことが、今回の修正につながったと述べている。なお、チェックポイントは、アンドロイドのセキュリティ・アップデートが自動的にダウンロードされるため、ほとんどのユーザーは被害を受けないはずだと述べている。

今回のような、デバイスの遠隔操作を可能にする脆弱性は、アンドロイド端末では珍しいものではないが、チップレベルの問題は稀だ。チェックポイントは、メディアテックのオーディオ・ソフトウェアを調査したのは同社が初めてで、「これは アンドロイドアプリを経由した新たな攻撃手法だ」と述べている。

昨年8月、チェックポイントは、クアルコムのSnapdragonチップの脆弱性を発見し、世界のスマホの約40％が盗聴されやすい状態にあることを明らかにした。

 

 

 

 

 

 

 

MediaTek製スマホオーディオチップに盗聴に繋がり得る脆弱性

2021/11/25　

 

 

　セキュリティ関連企業のCheck Point Researchは24日(現地時間)、MediaTek製SoCのオーディオDSPに存在する脆弱性について報告した。特権を持たないAndroidアプリからの盗聴などに繋がる恐れがあるとしている。

　非特権のAndroidアプリで一部オーディオ設定のパラメータを細工することで、オーディオHAL(Hardware Abstraction Layer)への攻撃が可能となるもの(CVE-2021-0673)と、オーディオDSPチップで悪意あるコードの実行などに繋がり得るオーディオDSPファームウェアの脆弱性(CVE-2021-0661、CVE-2021-0662、CVE-2021-0663)を報告している。

　これらを組み合わせることで、本来権限を持たないAndroidアプリからオーディオDSPに対するアクセスが可能となり、標的のスマートフォン上での盗聴などが行なえる可能性があるとしている。

　MediaTekでは、オーディオDSPファームウェアにおける3件の脆弱性については2021年10月のSecurity Bulletinにて修正を実施しており、オーディオHALにおける脆弱性についても2021年12月のSecurity Bulletinでの対応を予定しているという。

 

 

 

 

 

 

 

Windowsのインストーラーから管理者権限を取得できる脆弱性が発見される、攻撃の回避策は？

2021/11/25　

 

 

 

Windowsにソフトウェアを導入するためのインストーラーに、管理者権限を取得できる脆弱(ぜいじゃく)性があることが判明しました。発見者によるとMicrosoftのパッチを待つ以外に根本的な解決方法は存在しないとのこと。記事作成時点では発見された脆弱性を用いた攻撃が既に確認されており十分な警戒が必要です。

GitHub - klinix5/InstallerFileTakeOver
https://github.com/klinix5/InstallerFileTakeOver

Malware now trying to exploit new Windows Installer zero-day
https://www.bleepingcomputer.com/news/security/malware-now-trying-to-exploit-new-windows-installer-zero-day/

Cisco Talos Intelligence Group - Comprehensive Threat Intelligence: Attackers exploiting zero-day vulnerability in Windows Installer — Here’s what you need to know and Talos’ coverage
http://blog.talosintelligence.com/2021/11/attackers-exploiting-zero-day.html

Windowsの管理者権限を取得できる脆弱性を発見したのは、セキュリティ研究者のAbdelhamid Naceri氏です。Naceri氏はインストーラーに関連する脆弱性を発見してMicrosoftに報告し、Microsoftは2021年11月9日に脆弱性を「Windows インストーラーの特権の昇格の脆弱性(CVE-2021-41379)」として登録しました。MicrosoftはCVE-2021-41379の脅威について「攻撃者は、システム上の標的となるファイルを削除することしかできません。ファイルの内容を閲覧または変更する特権は得られません」と記し、「悪用される可能性は低い」と評価。CVE-2021-41379は2021年11月10日に公開したセキュリティ更新プログラムで修正されたはずでした。

 

しかし、Naceri氏がMicrosoftによる修正を解析した結果、正しく修正されていないことが判明。加えて、脆弱性の脅威はMicrosoftの想定よりも深刻で、攻撃者がWindowsの管理者権限を取得できることが明らかになりました。Naceri氏はGitHubで管理者権限の取得を可能とする概念実証コードを公開しており、以下のムービーでは実際にセキュリティ関連メディアのBleeping Computerが概念実証コードを用いてWindowsの管理者権限を取得した様子を確認できます。

 

通常のユーザー権限しか持っていない状態で概念実証コード「InstallerFileTakeOver.exe」を実行すると……

 

管理者権限を取得できてしまいました。

 

Naceri氏は、グループポリシーの変更による対策を試みたものの失敗したことをTwitterで報告しています。また、Naceri氏は概念実証コードを公開した投稿の中で「この投稿を記している時点で最善の回避策は、Microsoftによる修正パッチの公開を待つことです」と述べています。

 

セキュリティ企業のCiscoは公式ブログの中で「この脆弱性は、完全にパッチが適用されたWindows 11やWindows Server 2022を含む、Microsoft Windowsの全バージョンに影響を及ぼします」と述べて、Naceri氏が発見した脆弱性の影響の広さを強調しています。加えて「私たちは、この脆弱性を利用しようとしているマルウェアをすでに検出しています」と、既に問題の脆弱性が攻撃に使われていることを明かしています。

 

 

 

 

 

 

Windows 10、11などのゼロデイ脆弱性、パッチ公開前に報告者が概念実証コード公開

2021/11/25　

 

 

　米Microsoftが11月のセキュリティ更新プログラムで修正したはずのWindowsインストーラのローカル昇格特権の脆弱性「CVE-2021-41379」はまだ完全に修正されておらず、依然として悪用される危険があると、この脆弱性をMicrosoftに報告した研究者が11月21日（現地時間）、GitHubに概念実証コードを公開した。

 

　米Cisco Systemsのセキュリティ部門Cisco Talos Intelligence Groupは23日、このゼロデイ脆弱性を悪用する実際のマルウェアサンプルを既に検出していると発表した。

　この脆弱性を報告した自営のセキュリティ研究者、アブデルハミド・ナセリ氏は、Microsoftが公開したCVE-2021-41379のパッチを分析したところ、バグが正しく修正されていないことを発見したという。

　同氏が公開した概念実証では、最新のパッチを当てたWindows 10、11、Windows Server 2022で、Microsoft Edge Elevation Service DACL（任意のアクセス制御リスト）を上書きし、それ自体をサービスの場所にコピーして実行し、昇格された特権を取得できたとしている。

　ナセリ氏は米Bleeping Computerに対し、この脆弱性の修正を待たずに概念実証を公開した理由を、Microsoftがバグ報奨金を減額したことに対する不満だと語った。

 

 

 

 

 

 

 

Windowsの新しい特権昇格の脆弱性に関する概念実証コードが公開される

2021/11/25　

 

 

BleepingComputerは11月22日（米国時間）、「New Windows zero-day with public exploit lets you become an admin」において、Windowsに新しい特権昇格のゼロデイ脆弱性が報告され、研究者によってMicrosoftが対処する前に概念実証コードが公開されたと伝えた。この脆弱性を悪用されると、攻撃者によって対象のシステムで特権昇格が行われ、管理者権限を奪い取られる危険性があるという。

この脆弱性を発見したのはセキュリティ研究者のAbdelhamid Naceri氏である。Abdelhamid Naceri氏は「CVE-2021-41379」として追跡されているWindowsの別の脆弱性の発見者でもある。Naceri氏の報告を受けて、Microsoftは2021年11月の月例セキュリティアップデートの一貫としてCVE-2021-41379に対する修正をリリースした。

• CVE-2021-41379 - セキュリティ更新プログラム ガイド - Microsoft - Windows インストーラーの特権の昇格の脆弱性

Naceri氏はこの修正パッチの検証中に、問題が修正されておらず、より強力な特権昇格の脆弱性を含んでいることを発見したという。概念実証コードは、その証明のために作成され、GitHubで公開された。

 

BleepingComputerによれば、この概念実証コードを使用して、数秒の間に一般権限のユーザアカウントがSYSTEM権限を取得することに成功したという。この脆弱性は、Windows 10、Windows 11、およびWindows Server 2022を含む、サポートされているすべてのバージョンのWindowsに影響するとのことだ。

Naceri氏は、概念実証コードを公開した理由として、Microsoftがバグ報奨金プログラムの報酬額を下げたことに不信感を抱いているからと説明している。同プログラムの報酬額の減額について不満の声を挙げているのはNaceri氏だけではない。さらに言えば、MicrosoftだけでなくGoogleなどの他の企業に対しても同様の批判の声がある。どんな理由にしても業界の慣例から外れた脆弱性情報の公開は賛成できるものではないが、外部の協力者に対するベンダーの不誠実な姿勢は、結果として顧客のシステムを危険にさらすことにつながる可能性がある。