バグ / 脆弱性（用語） | SEO-LPO.net

アップルがiOS 14.7で「悪意SSIDに繋ぐとWi-Fi機能破壊」バグを修正、公式なセキュリティ文書公開

アップルがiOS 14.7で「悪意SSIDに繋ぐとWi-Fi機能破壊」バグを修正、公式なセキュリティ文書公開今年5月に配信されたiOS 14.6では、iPhoneが特定のSSID（ネットワーク名）を持つWi-Fiネットワークに接続するとWi-Fi機能が無効化される不具合が報告されていました。

この不具合は先日から配信されたiOS 14.7での修正が噂されていたのですが、今回、アップルがiOS 14.7での解決を公式に認めるセキュリティ文書を公開しました。

これはiOS 14.7およびiPadOS 14.7のセキュリティアップデートに関する文書の中で言及されています。以下、該当する箇所の抜粋です。

対応機種：iPhone 6s以降、iPad Pro（全モデル）、iPad Air 2以降、iPad 第5世代以降、iPad mini 4以降、iPod touch（第7世代）。

影響について：悪意のある Wi-Fi ネットワークに参加すると、サービス拒否や任意のコード実行が発生する可能性があります。

説明：この問題はチェックを改善することで対応しました。

問題のバグは、6月初めにセキュリティ研究者のCarl Schou氏が初めて発見して報告したものです。

Schou氏は「%p%s%s%s%s%n」というSSIDを持つWi-Fiネットワークに繋ぐとiPhoneのすべてのWi-Fi機能が無効になり、再起動しても症状は直らず、復旧するにはネットワーク設定をリセットするしかない、と警鐘を鳴らしていました。

さらに、新たな有害SSIDが発見されたとの続報もありました。これらに限らず「%」記号を含むSSID一般にメモリ破壊バグなどを引き起こす可能性が指摘されており、警戒が呼びかけられていた経緯があります。

その後、iOS 14.7ベータ版ではこれらのバグが解決しているとの検証もありましたが、アップルは表向きには沈黙を守ったままでした。また正式版iOS 14.7の公式リリースノートでもなぜか言及されておらず、今回ようやく公式声明が出たしだいです。

ほかiOS 14.7およびiPadOS 14.7は、オーディオファイル、「探す」アプリやPDF、Webイメージなどに関連する他のセキュリティ脆弱性も修正されているため、iPhoneとiPad のユーザーは速やかなアップデートが推奨されます。

アップルがiOS 14.7で「悪意SSIDに繋ぐとWi-Fi機能破壊」バグを修正、公式なセキュリティ文書公開

（Source：Apple。Via MacRumors。Engadget日本版より転載）

カテゴリー：セキュリティ

タグ：iOS（製品・サービス）、iPad（製品・サービス）、iPhone（製品・サービス）、Apple / アップル（企業）、OS / オペレーティングシステム（用語）、バグ / 脆弱性（用語）

フェイスブックがバグ懸賞プログラムに「支払い遅延ボーナス」を追加

ことバグ探し懸賞に関して、Facebook（フェイスブック）はMicrosoft（マイクロソフト）やGoogle（グーグル）と比べて、報奨金の支払額においても受け取ったバグ報告の数においても遅れを取っている。2020年MicrosoftとGoogleが、それぞれ1360万ドル（約15億3000万円）と670万ドル（約7億4000万円）の賞金を支払ったのに対して、Facebookが支払ったのは2020年11月時点でわずか198万ドル（約2億2000万円）だった。

一方で、Facebookは若い会社であり、懸賞ハンターたちの目にとまるためのシステム改善に取り組んでいる。最新の進展として、Facebookは7月14日、支払いが報告を受け取ってから30日以上過ぎた場合にボーナス賞金を追加することを発表した。

Payout Time Bonus（支払時期ボーナス）とFacebookが呼ぶその仕組みはスライド制になっており、支払われるまでの期間が30～59日間の場合は5％、60～89日間なら7.5％、90日間以上なら10％のボーナスが追加される。Facebookは基本となる報奨金額を公表していないが、懸賞の最新ラウンドでは、バグ1件あたり最大級の支払額は現在のボーナスプログラムで8万ドル（約880万円）や6万ドル（約660万円）、4万ドル（約440万円）に上った例がある。しかし、賞金は500ドル（約5万5000円）のこともある。

追加の賞金は、バグ報告で暮らしを支えている懸賞ハンターにとって一種のインセンティブになるだろう。Facebookの有効な報告に対するFacebookの支払いが遅れている時、ハンターはより多くの報酬を期待できるので、Facebookでバグ探しをする気が失せることもなくなるかもしれない。

バグ・ハンティングはセキュリティ研究者にとってビッグビジネスになっており、懸賞プログラムで年間100万ドル（約1億1000万円）を稼ぐ人もいる。しかし、賞金稼ぎは諸刃の剣だ。優秀な人材を特定のプラットフォームに集中させることは間違いないが、そうすることで脆弱性を探すのにかける時間が場所によって変わることになりかねない。その結果、大規模プラットフォームは、バグに苦しむ自らの環境を他社と同じく、あるいはより「魅力的」にすることで協力者を増やそうとする結果を招く。

Facebookは、賞金の金額はさまざまな要素に基づいて決めているという。影響度、悪用の容易さ、レポートの質などだ。「賞金を支払う場合、最低金額は500ドルです」と同社は私に話した。

「研究者に支払う報酬は、個々のバグに対する我々の内部調査で見つけた最大の影響の可能性に基づいて決定します。報告された影響度に基づくものではありません。時には我々の調査によって著しく金額が大きくなることもありますが、そのためには時間もかかります。Payout Time Bonusには、このプロセス中にの研究者たちの忍耐に対する報酬という意味もあります」。

「公開されている一連の支払いガイドラインには、外部研究者が当社の支払決定方法を理解するための詳細情報が書かれています。これまでに3種類のガイドラインを発行しており、今後もさらに発行する予定です。

カテゴリー：セキュリティ

タグ：Facebook、バグ、バグバウンティ

画像クレジット：TechCrunch

［原文へ］

（文：Ingrid Lunden、翻訳：Nob Takahashi / facebook ）

iPhoneのWi-Fiを無効化する有害なSSIDが新たに発見、Wi-Fi範囲内に入るだけで関連機能が使えなくなる

先日、iPhoneを特定のSSID（ネットワーク名）を持つWi-Fiネットワークに繋ぐと、Wi-Fi接続機能が完全に無効化されるバグが報告されていました。それから約2週間後、同様の問題を引き起こすSSIDが発見されたと伝えられています。

今回報告したのは、前回と同じセキュリティ研究者のCarl Schou氏です。Schou氏はTwitterで、「%secretclub%power」という名前を持つWi-Fiネットワークの範囲内に入ると、iPhoneがWi-Fi関連の機能が使えなくなるとの警告を発しています。

Seriously, I still don’t have WiFi pic.twitter.com/AaF9IQBvCp

— Carl Schou (@vm_call) July 4, 2021

新たなバグでは全てのネットワーク設定をリセット（「設定」アプリの「一般」>「リセット」>「ネットワーク設定をリセット」）しても症状は治らないとのことです。この問題を解決するのはiPhoneを工場出荷状態に初期化する他ないと思われますが、実際に誰かが試したという報告もないため、同じ症状となっても早まって行わない方がよさそうです。

前回の問題は、iPhoneが「%p%s%s%s%s%n」というSSIDを持つWi-Fiネットワークがあり、ユーザーがそこに接続したとき初めて症状が発生し、しかも上記のネットワーク設定リセットにより復旧できました。しかし今回の新たな問題は、Wi-Fiの範囲内にiPhoneが入っただけで直ぐに発生してしまうため、より深刻度が高いと思われます。

「%secretclub%power」と「%p%s%s%s%n」はともに「％」の記号を含んでいますが、iOSはこうした文字列をテキストではなく変数名またはコマンドとして解釈していると推測されます。つまりバグはこれら2つに限らず、「%s」、「%p」、「%n」といった文字列を使った亜種のSSIDは他にも複数が存在すると思われます。

ユーザー個人としては、なるべくSSIDに「％」の含まれているWi-Fiネットワークに繋がないことが（今回は範囲内に入っただけで発動してしまいますが）自衛策になりそうです。より根本的な解決として、アップルが問題に対処したソフトウェアアップデートを配信することを待ちたいところです。

（Source：Carl Schou(Twitter)。Via 9to5Mac。Engadget日本版より転載）

カテゴリー：セキュリティ

タグ：iOS（製品・サービス）、iPhone（製品・サービス）、Apple / アップル（企業）、バグ / 脆弱性（用語）

Androidスマホで「Googleが繰り返し停止しています」エラー多発、Google Japanが「不具合を修正中」として解決策を試すよう呼びかけ

Androidスマートフォンで「Googleが繰り返し停止しています」というエラーが表示されるとの報告がSNSで相次いでいます。

筆者の手元のスマートフォン（Galaxy S21 Ultra）でも同様のエラーを確認しており、一時Googleアプリが開けなくなっていましたが、現在（15時21分）は開けるようになっています。（更新：15：32）再びGoogleアプリが開けなくなりました。

また、NTTドコモも公式Twitterアカウントで、一部のGoogleアプリが利用しづらい状況にあることを案内しています。

お客さまには、大変ご迷惑をおかけしておりますことをお詫び申し上げます。

復旧の見込みについては、改めてお知らせいたします。

▷https://t.co/MozFWS7imv

— NTTドコモ (@docomo) June 22, 2021

このエラーは、同社が配信したGoogeアプリの最新バージョン「12.23.16.23.arm64」に起因している模様。ストアで更新をアンインストールするか、設定からGoogleアプリを無効にするといった対処方法がSNSで紹介されています。

同様のエラーは日本のみならず、全世界で報告されています。

Androidスマートフォンでは、今年3月にもGoogle PlayやGmailなど一部のアプリが起動できなくなる不具合が発生しています。その際はシステムアプリの不具合が原因とされていました。

Google Japanは「不具合を修正中」とツイートしたうえで、問題が発生した場合、下記解決策を試すよう呼びかけています。

Androidの設定アプリを起動
アプリと通知をタップ
〇〇個のアプリをすべて表示をタップ
アプリのリストから、Googleを探してタップ（あるいは右上の検索ボタンでGoogleを検索
ストレージとキャッシュをタップ
「ストレージを消去」または「容量を管理」をタップ
「データを全て消去」をタップ

注：これにより、Google アシスタントの設定を含む、Google アプリの設定のいくつかが初期化されます。設定を変更していた場合は、再度見直して頂くようお願いいたします。

Android の一部の利用者において、Google アプリの不具合が起きているという件につきまして、現在、修正作業を行っています。問題が発生している場合、下記のリンクの手順をお試しください。ご迷惑をおかけしています皆様にはお詫び申し上げます。https://t.co/QGd11QgyQp

— Google Japan (@googlejapan) June 22, 2021

（Engadget日本版より転載）

カテゴリー：ソフトウェア

タグ：アプリ / モバイルアプリ（用語）、Android（製品・サービス）、Google / グーグル（企業）、バグ / 脆弱性（用語）

iPhoneのWi-Fi機能にバグ、特定の名前を持つWi-Fiスポットに繋ぐとすべてのWi-Fi機能が無効化（回避策あり）

iPhoneを特定のSSID（ネットワーク名）を持つWi-Fiネットワークに接続すると、Wi-Fi接続機能が完全に無効化されるバグが発見されました。なお、この不具合は回避策が見つかっています（後述）。

セキュリティ研究者のCarl Schou氏はTwitterで、特定のSSID（「%p%s%s%s%s%n」）のWi-Fiネットワークに参加すると、その時点からiPhoneのすべてのWi-Fi機能が無効になることを実証した動画を公開しています。そればかりか再起動しようが、SSIDを変更しようが症状は直らないとのことです。

After joining my personal WiFi with the SSID “%p%s%s%s%s%n”, my iPhone permanently disabled it’s WiFi functionality. Neither rebooting nor changing SSID fixes it :~) pic.twitter.com/2eue90JFu3

— Carl Schou (@vm_call) June 18, 2021

Schou氏は、この実験はiOS 14.4.2を搭載したiPhoneXSでも成功し（Wi-Fi環境が破壊された）、iOS 14.6でも同じ症状が確認できたと述べています。

ただし、全てのネットワーク設定をリセットして復旧はできると確認されています。すなわち「設定」アプリの「一般」>「リセット」>「ネットワーク設定をリセット」により工場出荷時状態に戻せば、再びWi-Fi接続機能が回復するとのことです。とはいえ、Wi-Fi設定ばかりかモバイル通信ネットワークやVPN設定も削除されることになり、ゼロからやり直すのは楽ではなさそうです。

なぜ、こうした不具合が起きるのか。記事執筆時点では明らかではありませんが、大手コンピュータヘルプサイトBleepingComputerはiOSがSSID名にある「％」記号がついた文字列をテキストではなく変数名またはコマンドとして解釈しているからではないかと推測しています。以前も、こうした特殊な文字列を受信するとiPhoneやiPad、Macなどがクラッシュするバグが発生した事例がありました。

かたやAndroidデバイスでは同じ名前のWi-Fiネットワークに繋いでも問題なかったとの報告もあり、iPhoneに固有の問題である模様です。

So I haven’t done any homework on this bug / wouldn’t even really know where to look but i’m guessing this is just an ios bug??
Old ass android had no issue connecting to and saving it both open and with wpa2. pic.twitter.com/ydegK7AR7x

— MobCat (@MobCat99) June 19, 2021

このバグが発生したからと言ってハードウェアが故障するわけではありませんが、アップルが公式にバグを修正したソフトウェアアップデートを配信するまでは、頭に「％」が付いたWi-Fiスポットには接続しない方が無難と言えそうです。

（Source：Carl Schou（Twitter）、BleepingComputer。Via AppleInsider。Engadget日本版より転載）

カテゴリー：セキュリティ

タグ：iOS（製品・サービス）、iPhone（製品・サービス）、Apple / アップル（企業）、Android（製品・サービス）、バグ / 脆弱性（用語）

Android版「Googleアプリ」にセキュリティバグ、検索履歴などほぼすべての個人情報が危険に晒されていた

50億以上のインストール数を誇るGoogle（グーグル）の名を冠したAndroidアプリに、最近まで攻撃者が被害者のデバイスから個人情報をこっそり盗み出すことができる脆弱性があったことが明らかになった。

モバイルセキュリティを専門とするスタートアップOversecuredの創業者であるSergey Toshin（セルゲイ・トーシン）氏は、ブログ記事の中で、この脆弱性は、Googleアプリがアプリ自体にバンドルされていないコードに依存していることと関係があると述べている。Googleアプリを含む多くのAndroidアプリは、Android端末にすでにインストールされているコードライブラリに依存することで、ダウンロードサイズや実行に必要なストレージ容量を削減している。

しかし、Googleアプリのコードにあった欠陥のため、正規のコードライブラリではなく、同じ端末上の悪意のあるアプリからコードライブラリを引き出すように騙される可能性があったという。すると悪意のあるアプリがGoogleアプリの権限を継承し、ユーザーのデータにほぼ完全にアクセスできるようになっていた。このアクセス権には、ユーザーのGoogleアカウント、検索履歴、メール、テキストメッセージ、連絡先、通話履歴へのアクセスの他、マイクやカメラの起動、ユーザーの位置情報へのアクセスなどが含まれる。

攻撃が機能するためには悪意のあるアプリを一度起動する必要がある、とトーシン氏は述べているが、この攻撃は被害者の知識や同意なしに行われるという。悪意のあるアプリを削除しても、Googleアプリから悪意のあるコンポーネントを取り除くことはできないとのこと。

Googleの広報担当者はTechCrunchに対し、同社は2021年5月にこの脆弱性を修正しており、この欠陥が攻撃者に悪用されたという証拠はないと述べている。Androidに内蔵されているマルウェアスキャナー「Google Play Protect」は、悪意のあるアプリのインストールを阻止するためのものだ。しかし、どんなセキュリティ機能も完璧ではなく、これまでにも悪意のあるアプリがその網をすり抜けたことがあった。

トーシン氏によると、今回のGoogleアプリの脆弱性は、2021年初めに同社がTikTok（ティックトック）で発見した別のバグと類似しているという。そちらのバグは、悪用されると攻撃者がTikTokユーザーのセッショントークンを盗み、そのアカウントを支配することが可能になるというものだった。

OversecuredはAndroidのGoogle Playアプリや、最近ではSamsung（サムスン）のモバイル端末にプリインストールされているアプリなど、他にもいくつか同様の脆弱性を発見している。

カテゴリー：セキュリティ

タグ：Android、アプリ、Google、バグ

画像クレジット：Nicolas Economou / Getty Images

［原文へ］

（文：Zack Whittaker、翻訳：Aya Nakazato）

サムスンのプリインストール済み純正アプリに7つのセキュリティ上の欠陥

モバイルセキュリティを専門とするスタートアップが、Samsung（サムスン）のプリインストールされたモバイルアプリの中に7つのセキュリティ上の欠陥を発見した。悪用された場合、攻撃者は被害者の個人情報に幅広くアクセスできる可能性があるという。

Oversecuredによるとこれらの脆弱性は、Samsungのスマートフォンやタブレットに同梱されている複数のアプリやコンポーネントに見つかったとのこと。Oversecuredの創業者であるSergey Toshin（セルゲイ・トーシン）氏はTechCrunchに対し、脆弱性はSamsung Galaxy S10+で確認されたが、あらかじめ組み込まれているアプリはシステム機能を担うため、Samsungのすべての端末が影響を受ける可能性があると述べている。

トーシン氏によると、これらの脆弱性により、同じデバイス上の悪意のあるアプリがSamsungの純正アプリの権限を乗っ取ることで、被害者の写真、動画、連絡先、通話記録、メッセージを盗み出し「ユーザーの同意や通知なし」に設定を変更できた可能性があるとのこと。

これらの欠陥の1つは、デバイス全体で「多数」の権限を持っている「Secure Folder（セキュリティフォルダ）」アプリの脆弱性を利用してデータの盗難を許していた可能性がある。トーシン氏は、このバグを利用して連絡先データを盗めることを実証実験で示した。Samsungのセキュリティソフトウェア「Knox」の別のバグは、他の悪意のあるアプリをインストールするために悪用された可能性があり「Samsung DeX」のバグは、メッセージアプリや電子メールの受信箱、さらにユーザー通知からデータをスクレイピングするために利用された可能性がある。

Oversecuredは脆弱性の技術的な詳細をブログで公開し、バグをSamsungに報告した。同社によれば、Samsungはこれらの欠陥を修正したという。

Samsungはこれらの脆弱性が「一部」のGalaxyデバイスに影響を与えたことを確認したが、具体的な機種のリストは提供していない。また「全世界で報告されている問題はなく、ユーザーのみなさまの機密情報が危険にさらされたことはないとご安心いただけます」としながらも、それを裏づける根拠は示さなかった。「当社は、この問題を確認した後、すぐに2021年4月と5月にソフトウェアアップデートによるセキュリティパッチを開発・発行することで、潜在的な脆弱性に対処しました」と同社は述べている。

複数のバグバウンティを獲得して集めた100万ドル（約1億1000万円）の自己資金で2021年初めに立ち上げたOversecuredは、自動化されたプロセスを利用してAndroidコードの脆弱性を検索するスタートアップだ。トーシン氏はこれまでに、TikTok（ティックトック）やAndroidのGoogle Playアプリにも同様のセキュリティ上の欠陥を発見している。

カテゴリー：セキュリティ

タグ：Samsung、Galaxy、バグ、Oversecured、アプリ

画像クレジット：eanne Cao / TechCrunch

［原文へ］

（文：Zack Whittaker、翻訳：Aya Nakazato）

米サイバーセキュリティ庁CISAがハッカー向けにセキュリティバグを報告用プラットフォーム開設

米国土安全保障省（DHS）のサイバーセキュリティ・インフラストラクチャ・セキュリティ庁（CISA、Cybersecurity and Infrastructure Security Agency）は、倫理的なハッカーが米国連邦機関にセキュリティ上の脆弱性を報告できる脆弱性開示プログラム（VDP、vulnerability disclosure program）を開始した。

このプラットフォームはサイバーセキュリティ企業であるBugcrowdとEndynaの協力を得て立ち上げられたもので、米国政府の民生機関が、より広範なセキュリティコミュニティからセキュリティ脆弱性の届け出を受け、トリアージし、修正することを可能にする。

CISAとして知られる連邦サイバーセキュリティ機関がその監督下にある民生部門に対し、独自の脆弱性開示ポリシーを策定・公開するよう指示してから1年弱でこのプラットフォームは立ち上げられた。これらのポリシーは、どのようなオンラインシステムをどのようにテストしてよいのか、またはしていけないのかを示し、セキュリティ研究者の活動ルールを定めることを目的としている。

民間企業では、ハッカーがバグを報告するためのVDPプログラムを運営することは珍しくない。多くの場合、ハッカーに報酬を支払うバグバウンティ（報奨金）を併用している。米国防総省は長年ハッカーとの関係を受け入れているが、米国政府の民生機関は遅れをとっていた。

関連記事：バグ報奨金プラットフォームのBugcrowdが32.5億円を調達

2020年にシリーズDで3000万ドル（約32億8500万円）を調達したBugcrowdは、このプラットフォームによって「企業のセキュリティギャップを特定するために現在使用されているのと同じ商用テクノロジー、世界レベルの専門知識、助けになる倫理的ハッカーのグローバルコミュニティへのアクセスを、政府機関に提供することができる」と述べている。Bugcrowdの創業者であるCasey Ellis（ケイシー・エリス）氏は、今回の（CISAからの）指示についてTechCrunchにこう語った。「ハッカーがインターネットの免疫システムとして果たす役割にとって、これは新たな分岐点となるでしょう。Bugcrowdのチームは、CISA、DHSと提携して米国政府とこの取り組みを進めることを非常に誇りに思っています」。

CISAが今後、他の政府機関とセキュリティ上の脆弱性に関する情報を共有するのにもこのプラットフォームは役立つ。

このプラットフォームの立ち上げは、政府機関のサイバーセキュリティがここ数カ月で何度も大きな打撃を受けた後でのことになる。その中には、ロシアのスパイ活動によって米国の大手ソフトウェア企業SolarWindsの技術にバックドアが仕込まれ、少なくとも9つの連邦政府機関にハッキングされた事件や、中国政府に支援を受けたハッカーに関連して何千ものMicrosoft Exchangeサーバーが悪用された事件などが含まれていた。

カテゴリー：セキュリティ

タグ：米国土安全保障省、ハッカー、アメリカ、バグ、Bugcrowd

画像クレジット：Bryce Durbin / TechCrunch

［原文へ］

（文：Zack Whittaker、翻訳：Aya Nakazato）