headless 曰く、Xiaomi が米輸出管理規則 (EAR) 対象国・地域でスマートフォンのアクティベーションロックを開始したとの報道に対し、特定の地域を対象にしたものではないと否定したそうだ (Global Times の記事、 XDA-Developers の記事)。 Xiaomi のスマートフォンは EAR の対象となる米国のテクノロジーを含むため、EAR 対象国・地域 (クリミア・キューバ・イラン・北朝鮮・スーダン・シリア) に輸出することはできない。Xiaomi の利用規約 14.2 にもこれら 6 か国・地域への輸出は事前に許可を得る必要があると記載されている。 キューバ在住の Reddit ユーザーが投稿したアクティベーションロック画面の画像によると、「Xiaomi のポリシーはアクティベートしようとした地域での販売を認めていない」「購入店に直接連絡するように」といった説明が表示されている。この画面を見る限りは特定の地域を対象としてアクティベーションロックを実施しているようにしか見えない。 しかし、Xiaomi が Global Times に説明したところによれば、ユーザーのセキュリティや消費者の権利を損なう可能性のある密輸を調査するため、一時的にロックしたのだという。調査は十分な成果を上げており、影響を受けた端末はロック解除可能な状態になっているとのことだ。なお、StatCounter のモバイルベンダー別シェア 8 月分によると、Xiaomi のシェアはキューバで 18.27 %、イランで 15.78 % となっている。

すべて読む | セキュリティセクション | モバイル | セキュリティ | 政治 | 携帯電話 | アメリカ合衆国 |

関連ストーリー：
米国防総省によるXiaomiの「中国共産党の軍事企業」指定、正式に取り消される 2021年05月29日
2021年第1四半期のスマートフォン出荷台数は前年同四半期比25.5％増、Huaweiがトップ5から消える 2021年05月05日
日本人デザイナーの手がけたXiaomiの新ロゴ、あまりに変化に乏しく炎上 2021年04月15日
米連邦地裁、Xiaomiの「中国共産党の軍事企業」指定に事前差止命令 2021年03月16日
Xiaomi、充電器から数メートル離れて充電可能な遠隔無線充電技術を発表 2021年02月02日
シャオミ、中国共産党の軍事企業リストへの指定取り消し求めて提訴 2021年02月01日

暗号メールサービス ProtonMail では匿名性の高さをセールスポイントの一つにしており、IP アドレスのログを保存しないと説明していたが、これらの記述が公式サイトトップページから最近削除された (ProtonMail のブログ記事、 6日時点のInternet Archive スナップショット、 The Register の記事、 HackRead の記事)。 ProtonMailは先日、フランスで逮捕されたYouth for Climateの環境活動家のIPアドレスなどの情報を警察に渡していたとして批判を浴びた。 スイスにサーバーを置き、スイスの厳しい個人情報保護法でプライバシーが守られるとする ProtonMail だが、スイス当局が犯罪捜査のために情報提出を命じた場合は異議を申し立てる余地がなく、従うしかないのだという。ProtonMail は外国政府に情報を渡すことはないと説明しているが、この件ではフランス警察がユーロポールを通じてスイス当局に依頼したものだそうだ。 ProtonMail はユーザーの IP アドレスをデフォルトで記録しないが、当局から命じられれば記録して提出する必要がある。そのため ProtonMail は IP アドレスのログを記録しないことを含め、サービス自体の匿名性が高いという記述を削除する一方で、匿名性を重視する場合は ProtonMail と Tor を組み合わせて使用するべきだと述べている。 なお、現在のスイスの法律では電子メールと VPN は異なる扱いになるため、ProtonVPN がユーザーデータの記録を強制されることはないという。また、ProtonMail はその厳しいプライバシーにより、捜査対象が環境活動家であることも知らなかったとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 通信 | プライバシ |

関連ストーリー：
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年07月21日
iOSでVPN利用時、一部の通信がVPNをバイパスする脆弱性 2020年03月29日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
Mozilla、実験的にVPNサービスの販売を計画 2018年10月26日
OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 2018年05月16日
一切のログを記録しないとするVPNサービスがFBIに提出したログとは？ 2017年10月18日

headless 曰く、Microsoft Outlook が IDN ホモグラフ攻撃によるフィッシングドメインを正規ドメインと区別しないという 2 件の報告が相次いで公開されている (報告 1、 報告 2、 Ars Technica の記事、 Windows Central の記事)。 IDN ホモグラフ攻撃は国際化ドメイン名 (IDN) で利用可能な ASCII 外の文字でラテン文字と似た字形の文字をドメイン名に用い、(なりすましの対象となる) 正規ドメインに偽装するものだ。フォントによっては全く同じ字形で表示されるため、人の目で識別することは困難なこともある。ただし、ソフトウェアが騙されることはないと考えられていた。 しかし 2 件の報告によれば、Outlook ではホモグラフ攻撃によるフィッシングドメインからの電子メールを受信した場合かつ、その正規ドメインで同じユーザー名の連絡先がアドレス帳に登録されている場合、フィッシングメールを既知の正規ドメインから送られたものとして表示するのだという。つまり、アドレス帳に登録されている連絡先の写真などがフィッシングメールに表示されることになる。 Microsoftはいずれの報告に対しても「なりすましが発生する可能性があるにしてもデジタル署名なしに送信者を信頼することはできない」「修正を行えば別の問題を引き起こす可能性が高い」などとし、修正は行わないと回答したという。ただし、8 月 24 日の時点で最新版の Outlook バージョン 16.0.14228.20216 では問題が発生しなくなっていたようだが、Microsoft は修正の有無を回答しなかったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ | インターネット |

関連ストーリー：
KADOKAWAの小説投稿サイト「カクヨム」を模倣したフィッシングサイト 2021年09月07日
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
埼玉県警がサイバー攻撃の手口をピクトグラムで表現 2021年08月12日
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 2021年06月30日
メルぺイが一部加盟店で利用制限へ。フィッシングメール急増のため 2021年06月09日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 2021年05月27日
聖火リレー動画配信サイトを装うフィッシング詐欺が増加。地方自治体などが注意喚起 2021年05月13日

headless 曰く、昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。 このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。 FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | 交通 |

関連ストーリー：
北米でリコール対象となった20ブランドの除湿器、すべて同じメーカー製 2021年08月10日
エチオピア航空のパイロット、目的地と間違えて開港前の新空港に着陸 2021年04月07日
米大統領専用機を運用する空軍基地、マウス耳の帽子をかぶった男性が5時間にわたってうろつく 2021年03月14日
Tesla、Tesla車で意図しない急加速が発生したという調査請求は虚偽だと反論 2020年01月24日
ボーイング737 NGで特定の滑走路へ計器進入する際にのみ発生する問題が確認される 2020年01月11日
航空機の操縦士、体調不良の原因は？ 2016年03月02日

headless 曰く、ドイツ政府は現在欧州委員会が検討しているスマートフォン・タブレットメーカーに対するサポート期間義務付けについて、より長い期間を設定すべく交渉しているそうだ (heise online の記事、 Android Police の記事、 The Next Web の記事、 9to5Google の記事)。 欧州委員会の計画はスマートフォン・タブレットメーカーに 5 年間のセキュリティアップデート提供を義務付け、修理用部品はスマートフォンで 5 年間、タブレットで 6 年間の提供を義務付けるというものだという。一方、ドイツ政府は 7 年間のセキュリティアップデートおよび修理用部品の提供義務付けを求めている。また、欧州委員会案では 5 営業日以内の修理用部品配送を義務付けるが、ドイツ政府ではさらに短くしたいとのこと。 これに対し Apple や Samsung、Huawei などが加盟するテクノロジー企業の業界団体 DigitalEurope では、2 年間の機能アップデートと 3 年間のセキュリティアップデートで十分ではないかとの見方を示しているそうだ。修理用部品についても、ディスプレイとバッテリーのみの義務付けにすべきだという。また、欧州委員会案ではユーザーが交換できない内蔵バッテリーについて、1,000 回の充電サイクル後に新品の 80 % の容量が維持されるよう義務付ける計画だが、DigitalEurope では移行期間は 800 回とするよう提案しているとのことだ。

すべて読む | モバイルセクション | モバイル | ハードウェア | セキュリティ | ソフトウェア | EU | 携帯電話 | 政府 |

関連ストーリー：
Microsoft、Windows Server 2022 以降では半期チャネルを廃止して LTSC リリースのみにする計画 2021年07月29日
Apple、フランスのWebサイトでiPhoneとMacBookの修理しやすさスコアを公開 2021年02月28日
次期Windows 10 Enterprise LTSCのサポート期間は5年に 2021年02月22日
Indiegogoで資金調達した5Gスマートフォン/ポケットコンピューターのハイブリッド、スペックダウンに出資者が怒る 2021年01月19日
HTC、90Hzディスプレイ搭載のミッドレンジャー5Gスマートフォンを発表 2021年01月17日
Microsoft、Surfaceデバイスのライフサイクル情報を公開 2020年11月16日

みずほリサーチ&テクノロジーズ（MHRT）が2016年に起きたシステム障害が原因で、受託先から預かったシステム開発に関連するデータを喪失していたことが分かった。MHRTはみずほフィナンシャルグループ（FG）の子会社でシステムの運用管理を業務にしている（日経新聞）。 日経新聞の報道によれば、受託先の日本カストディ銀行から預かっていた「要件定義書」と呼ばれる文書の電子データを、5年前にMHRTで発生した障害が原因となって喪失していたという。このときも先日のみずほ銀行のシステム障害のようにバックアップも機能しなかったとしている。 この問題は、日本カストディ銀行からの指摘で発覚し、MHRT側で調査していたという。その結果、MHRTは消失を認め、データの完全復旧はできないと判断した模様。日本カストディ銀行側は金融庁に報告したとのこと。

すべて読む | セキュリティセクション | テクノロジー | ビジネス | セキュリティ | バグ |

関連ストーリー：
みずほグループのシステム障害多発、担当者6割削減が一因か 2021年09月04日
みずほ経営陣、システムトラブルは人為的な問題だった 2021年08月27日
みずほ銀行で新たな障害。23日にATM130台一時使用不能に 2021年08月24日
20日のみずほ銀のシステム障害でバックアップ機能せず。金融庁は報告徴求命令 2021年08月23日
みずほ銀と同信託銀の窓口で大規模システム障害。窓口取引ができず 2021年08月20日
みずほシステム障害の第三者委調査報告書が発表。運用などの人為的側面が原因 2021年06月16日
みずほ証券、「まれに起こる」ソフトの起動処理の順序逆転でシステム障害 2021年05月17日
全国140市町村で9日に一時、住民票などを発行できない障害。TKC社のシステムを採用 2021年09月10日
みずほ銀行で今年7度目の障害 2021年09月08日

KADOKAWAのは9月3日、小説投稿サイト「カクヨム」の偽者が登場しているそうだ。ユーザーのアカウントやパスワードを盗み出すことが目的とみられている。この偽サイト上では、一部の作品がコピーされて掲載されているほか、外観上はかなりそっくりに作られている模様。ただし、作者名などを削除された形で表示されるような変更が行われているとされる（カクヨムからのお知らせ（3日）、同6日リリース、ITmedia）。 KADOKAWA側は関連して3日と6日に分けてリリースを公開している。3日のリリースによれば、コピーサイトが使用していたとみられるIPアドレスからのアクセスを遮断したほか、ホスティング企業に対し、削除要請の手続きを行っているとしている。6日のリリースでは、マルウェアやコンピューターウィルスに感染可能性があるといったコピーサイトにアクセスした場合の問題点などをまとめている。

すべて読む | セキュリティセクション | 犯罪 | アニメ・マンガ | インターネット | 娯楽 | IT | 情報漏洩 |

関連ストーリー：
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 2021年06月30日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
米国でテレワーカーをターゲットにした詐欺が横行。偽VPNページにアクセスさせて情報搾取 2020年08月28日
Microsoft Outlookがアドレス帳に登録された正規ドメインと似た字形の文字を使ったフィッシングドメインを区別しないという報告 2021年09月10日

headless 曰く、Wi-Fi ホットスポットや Web サーバー、ペイロード実行機能などを実現するチップを組み込んだ USB ケーブル「O.MG Cable」に USB Type-C 版が登場した (Motherboard の記事、 Mac Rumors の記事)。 このケーブルは USB Type-C コネクターのシェル内にチップが組み込まれているが大きさは通常のケーブルと変わらず、通常のケーブルとしても動作する。USB Type-C - Type-C 版 (C-to-C) と USB Type-C - Lightning 版の 2 種類があり、C-to-C では 一方のコネクター (シェルに USB ロゴ入り) にのみチップが組み込まれている。チップの組み込まれた側をホストに接続すると稼働を開始し、Ducky Script によるキーストローク送信などを実行できる。 内蔵機能の動作は Wi-Fi 接続によりリモートからコントロールできるほか、ジオフェンシングにより特定の場所以外で動作を停止させることも可能だ。また、ケーブル外付けタイプのキーボードとホストの接続に使用することで最大 65 万キーストロークを記録可能なキーロガーエディションも用意されている。価格は通常版が 139.99 ドル、キーロガーエディションが 179.99 ドル、USB Type-A / Type-C に対応するプログラマーが 24.99 ドルとなっている。 USB Type-A 版は既に発売されていたが、USB Type-C コネクターはチップを組み込むのに十分なスペースがないから安全だと考える人もいた。開発者のセキュリティリサーチャー MG 氏はそれが間違いであることを証明するために USB Type-C 版を開発したという。USB Type-C 版は Wi-Fi 機能が強化されており、2 km 以上離れた場所からペイロードのトリガーが可能とのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
高価だがUSB Type-Cケーブルの混沌を解決するThunderbolt 4ケーブルという選択肢 2021年08月06日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
USB Type-C規格が更新。USB PDに48V・5Aで240W流せるEPRモード追加へ 2021年05月28日
新型iMac同梱の編組ナイロンUSB-C to Lightningケーブル、耐久性は向上するか 2021年05月02日
iPhoneの同梱品、次になくなるのは？ 2020年12月12日
Raspberry Pi、キーボード一体型PCを発表 2020年11月03日

Appleは 3 日、子供を性的虐待から守る取り組みの強化計画を延期すると発表した(Apple - Child Safety、 The Guardian の記事、 The Verge の記事、 9to5Mac の記事)。 Apple が 8 月初めに発表した計画では、子供が「メッセージ」アプリで性的に露骨な写真を送受信しようとすると警告したり、iCloud 写真へ写真を保存する際に既知の CSAM 画像のハッシュと照合したりといった児童性的虐待素材 (CSAM) の拡散防止を取り組みの中心としていた。 写真のスキャンはデバイス上で行われるが、誤検知や悪用を懸念する声が数多く出ている。そのため Apple では今後数か月かけ、子供を守るための非常に重要な機能をリリースする前にさらなる情報収集と改善を行うとのことだ。

すべて読む | アップルセクション | セキュリティ | YRO | スラッシュバック | アップル | プライバシ |

関連ストーリー：
英国、オンラインでの子供のプライバシー保護を目的とする法律が施行 2021年09月05日
Apple、iCloud メールでは既に児童性的虐待素材をスキャンしている 2021年08月25日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
Apple、波紋を呼んだ児童虐待画像（CSAM）の検出技術に関してFAQを公開 2021年08月12日
Apple、米国内のデバイスで児童性的虐待画像をスキャンするなど子供を守る取り組みを強化 2021年08月08日

headless 曰く、米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。 単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。 現在、CISA がバッドプラクティスとしているのは以下 3 件。 サポートされないソフトウェアの使用既知/固定/デフォルトパスワードの使用単一要素認証の使用 重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 2021年06月13日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
米国土安全保障省の選挙インフラに関する評議会、11月3日には米史上最もセキュアな選挙が行われたと声明 2020年11月15日
中国政府関与のハッカー集団が2要素認証を突破してVPNアカウントを奪取していたとの報告 2019年12月26日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日

ゆうちょ銀行は8月27日、クラウドサービスを利用したメモアプリ上の暗証番号等を盗み取る手口の犯罪が多発していることから、注意喚起を促すリリースを出した（ゆうちょ銀行）。 クラウドサービスに、パスワード等の個人情報を保存しないように求めるもので、スマートフォン上のメモ等にパスワードを記録したりしている場合、クラウドサービス上に自動的にバックアップする設定になっていないか確認するよう求めている。なおこうしたクラウド上のデータを読み取られる形で不正利用の被害に遭った場合、ユーザー側の過失と見なされ補償の対象とならない可能性がある模様。

すべて読む | セキュリティセクション | セキュリティ | アナウンス |

関連ストーリー：
2021年秋の他行あて振込手数料の値下げ、四大銀行とゆうちょ出揃う 2021年08月24日
ゆうちょ銀行が各種手数料を新設・改定へ。ATM入出金や硬貨の預け入れ等も有料に 2021年07月08日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 2021年05月27日
ゆうちょ銀行、不正引き出し多発の「mijica」を廃止する方向 2020年11月09日
不正アクセスで連日発表の続くゆうちょ銀行、プレスリリースでUnicodeで互換用文字とされている半角カナを使用 2020年10月07日
SBI証券、不正アクセスで利用者の資産9864万円流出 “本人名義の偽口座”へ送金される 2020年09月17日

headless 曰く、Microsoft が Windows 11 上の Windows Insider Program から Windows 11 のハードウェア要件を満たさない非対応環境の締め出しを開始したようだ (The Verge の記事、 Neowin の記事、 Ars Technica の記事、 Windows Central の記事)。 Dev チャネルで Windows 11 Insider Preview をインストールしていた非対応環境では「設定 → Windows Update → Windows Insider Program」に「ハードウェア要件を満たさないのでWindows 11 上でWindows Insider Programに参加できない。Windows 10をインストールしてリリースプレビューチャネルのWindows Insider Programに参加するように」といった趣旨のメッセージが表示され、Windows Insider Programを有効にしていない状態となる。 一方、リリースプレビューチャネルを選択していた (本来は選択できないはずだが一時選択可能だった) 非対応環境では「お使いの PC は、Windows 11 の最小ハードウェア要件を満たしていません。チャネル オプションは制限されます。」と表示され、リリースプレビューチャネルのままになる。 ただし、現在のところ Windows 11 Insider Preview をインストールした環境では、Windows Insider Programに参加していない場合や、(まだビルドが提供されていないはずの) リリースプレビューチャネルを選択している場合でも、新しいビルド (累積更新プログラム) は提供されている。いつまで提供されるだろうか。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | Windows | デベロッパー |

関連ストーリー：
Windows 11 の一般提供は 10 月 5 日から 2021年09月01日
Microsoft 曰く、非サポート CPU でも Windows 11 はインストール可能だが、更新プログラムが提供されるとは限らない 2021年08月29日
Windows 11 のスタートメニュー、どう思う？ 2021年08月28日
Windows 11、既定のWebブラウザーを変更しにくくしていると批判される 2021年08月21日
Windows 11 Insider Preview、初の ISO イメージ提供開始 2021年08月21日
Windows 10、デバイスのインストール制限ポリシーを階層順に適用可能に 2021年08月19日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日
Microsoft、Windows 11 を正式発表 2021年06月25日
Windows 10 / 11 バージョン 21H2、商用環境向けプレビュー提供開始 2021年09月05日
Windows 11 Insider Preview、初の開発ブランチビルドが提供開始 2021年09月04日

以前話題となった富士通の情報流出に関する報道が複数行われている。朝日新聞の記事によれば、ProjectWEBにアクセスしたハッカーが東京五輪や原発に関する情報を検索した履歴があることが判明したという。犯行を行った人物等が政府や重要インフラのネットワークに侵入する狙いがあった可能性があるとしている。この人物が中国系ではないかともしている（朝日新聞その1、朝日新聞その2）。 これとは別に、日経クロステックの記事によれば、富士通から流出したとみられるデータが暴露サイトに複数掲載されていることが分かったという。25日ごろから流出情報が掲載されたとしており、圧縮ファイルサイズで4GBほどあったという。データベース設計書などのシステム関連データが含まれており、東レなどの名前が含まれていたとのこと。流出経路などは分かっていない。東レ広報からは回答はなかった模様。ただし、富士通側は証拠はなく関連ないものと考えていると回答しているとのこと（日経クロステック）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日

冷蔵庫の製氷用のタンクに入れる水は水道水以外はダメというある話があるそうだ。そこでウェザーニュースが浄水器開発メーカーのイーテックに確認したそうだ。イーテックによると、以前は製氷機のタンクに入れる水は水道水以外はNGのものがあったのは事実だそうだ。理由としては、ミネラルウォーターや井戸水などの消毒されていない水を使用した場合、メンテナンスできないパイプなどに雑菌が繁殖する可能性があったためだという（ウェザーニュース）。 しかし最近の冷蔵庫では、給水タンクや浄水フィルタを掃除できるようになっていることから、きちんとメンテナンスできるのであれば、ミネラルウォーター使用可能な製品もあるようだ。ただし、浄水器の水はOKなものの、水の硬度が高すぎるミネラルウォーターはNGという場合もあるとしている。なお清掃可能な製品の場合でも、清掃時には水道水と布巾を使用、タワシや研磨スポンジの使用はしないように求めている。なおガンコな汚れのときは中性洗剤を使用すべしとのこと。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | サイエンス |

関連ストーリー：
台湾の原発、技術者が制御室を清掃する際に動かした椅子がスイッチのカバーに触れて停止するトラブル 2021年07月30日
全国でワクチン冷蔵庫をめぐる不審なトラブルが相次ぐ。麦茶入れて温度上昇も 2021年06月30日
Xbox Series X型のミニ冷蔵庫、今年のホリデーシーズン発売が予告される 2021年06月16日
Xbox Series X型のミニ冷蔵庫、生産へ 2021年04月04日
冷蔵庫に入れておいたカニが約25時間後に復活して動き出す 2021年02月26日
ファイザーとバイオンテック曰く、両社のCOVID-19ワクチンは普通の冷蔵庫で5日間、普通の冷凍庫で2週間保存可能 2021年02月21日

あるAnonymous Coward 曰く、読売新聞の26日朝刊のAI社会の解説記事内で、唐突に明らかにされたが、JR東日本は実は先月から、顔認証機能付きカメラで重要犯罪の容疑者や仮釈放者、挙動不審な人物などの顔を登録し、照合しているという（高木浩光氏のツィート）。 4月にはEUが監視社会防止のためにこうした事を原則禁止するという規制案を発表しているが、日本ではしれっと民間企業が運用開始していたようである。犯罪容疑者はともかく、仮釈放者や挙動不審者は法規制の対象ではないと思われるが、本人の同意なく勝手に照合して問題ないのだろうか？

すべて読む | セキュリティセクション | テクノロジー | 犯罪 | セキュリティ | 人工知能 |

関連ストーリー：
EUで包括的なAI規制案が提案へ。ハイリスクAI技術の利用には事前審査も 2021年04月23日
米シカゴ市で初となる顔認識システムでの検挙 2014年06月14日
警視庁などが「可搬型顔認証装置」を導入 2014年02月27日
テロ対策に駅改札口で顔画像自動照合実験 2005年10月16日

比較的新しい世代の CPU のみをサポートする Windows 11 だが、Microsoft は ISO ファイルを使用すれば非サポート CPU にもインストールできると述べる一方で、このような環境にはセキュリティパッチやドライバーを含む更新プログラムが提供されない可能性があると述べているそうだ (The Verge の記事 [1]、 [2]、 [3]、 The Register の記事、 Windows Cental の記事)。 Microsoft が Windows 11 正式発表時に公開したシステム要件では Intel の Kaby Lake Refresh (第8世代) 以降および AMD の 第1世代 Zen の一部と Zen+ 以降のみがサポートされ、5 年前の CPU がサポート外となる事態が衝撃を与えた。リストは 8 月 27 日に更新されたが(AMD、Intel)、追加された CPU の大半は新しいものであり、古い CPU で追加されたのは Intel の Kaby Lake (第7世代) Core プロセッサーの一部とSkylake (第6世代) のXeon W プロセッサーにとどまる。AMD の第 1 世代 Zen の追加も検討したが見送ったとのこと。 Windows Insider 向けの提供が 8 月 27 日に再開された「PC正常性チェック」アプリでは、Windows 11 の互換性チェックで CPU のサポート状況も確認できるようになっているが、Windows 11 Insider Preview を ISO イメージでインストールする場合に CPU のチェックは行われていないようだ。Windows 7 ～ 10 でサポートされる CPU のリストでも Intel は Broadwell (第5世代) 以降のみが掲載されており、Windows セットアップが CPU をチェックしているとは思えない。 Microsoft は Windows 11 の要件を満たす PC を使用するメリットとして、信頼性とセキュリティ、互換性の向上を挙げている。その一方で要件を満たさない PC にもインストール可能だと明言し、セキュリティ更新プログラムを提供しないというのもちぐはぐな気がする。Windows 7 / 8.1 を実行する Skylake 搭載 PC は特定メーカー製品を除いて Windows Update が利用できないという話もあったが、実際にはどうだったのだろうか。

すべて読む | ハードウェアセクション | ハードウェア | アップグレード | セキュリティ | Windows |

関連ストーリー：
Windows 11 のスタートメニュー、どう思う？ 2021年08月28日
Windows 11、既定のWebブラウザーを変更しにくくしていると批判される 2021年08月21日
Windows 11 Insider Preview、初の ISO イメージ提供開始 2021年08月21日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日
Windows 11 Insider Preview 提供開始 2021年06月30日
Microsoft、Windows 11 を正式発表 2021年06月25日
Windows 10 Insider Preview、初の21H1ビルドが提供開始 2021年02月20日
Windows 10 バージョン2004、32ビット版はプリインストール不可に 2020年05月17日
Microsoft、Windowsのプロセッサ要件を更新 2019年10月22日
Windows 7/8.1の月例更新、AMDマシンの一部で将来の更新プログラムがブロックされる問題 2017年04月16日
AMD曰く、RyzenはWindows 7をサポートしない 2017年02月11日
Skylakeプロセッサ搭載自作PCはDSP版Windows 7/8.1のサポート対象外 2016年08月24日
Windows 7/8.1搭載Skylake PCのサポート期間短縮は結局撤回に 2016年08月15日
Microsoft、Windows 7/8.1でのSkylakeサポートを1年間延長 2016年03月20日
Microsoft、Windows Serverではハードウェアサポートのポリシーを変更しない 2016年02月26日
Skylake搭載モデルでのWindows 7/8.1サポート状況をPCメーカーが公開 2016年01月24日
Windows 7/8.1がSkylake搭載デバイスをサポートするのは2017年7月まで 2016年01月17日
Microsoft、Windows 11 上の Windows Insider Program から非対応環境の締め出しを開始 2021年09月02日
Windows 11 の一般提供は 10 月 5 日から 2021年09月01日
Windows 10 / 11 バージョン 21H2、商用環境向けプレビュー提供開始 2021年09月05日
Windows 11 Insider Preview、初の開発ブランチビルドが提供開始 2021年09月04日

Apple の App Store の抜け穴が子供を危険にさらすと Tech Transparency Project (TTP) が指摘している (TTP の記事、 Mac Rumors の記事、 The Guardian の記事)。 TTP では年齢を 14 歳に設定した架空のユーザーの Apple ID を作成し、App Store で「17+」にレーティングされているアプリ 75 本のインストールを試みた。しかし、アプリのインストールが年齢制限でブロックされることはなく、17 歳以上であることの確認ダイアログで「OK」をタップすれば 14 歳でもインストールできてしまったとのこと。 また、Apple ID でのユーザー登録に対応した 37 本のアダルトアプリでは、14 歳の Apple ID でも問題なく登録できてしまったという。初回起動時に年齢確認しないアダルトアプリも多く、いきなりポルノコンテンツが表示されるものもあったそうだ。一方、Facebook アカウントでのユーザー登録に対応した 31 本のアダルトアプリでは、14 歳のFacebookユーザーによる登録は 21 本でブロックされたという。ブロックされなかった 10 本のうち 7 本はアプリ側でブロックされたが、うち 6 本は年齢の再設定が可能だったようだ。 ギャンブルアプリでは法的な問題もあって年齢チェックが厳しくなるが、中には 14 歳の架空のユーザーにプレイや出入金を許可するものがあり、14 歳の架空のユーザーが使用する年齢制限のないアプリに 17+ のカジノアプリの広告が表示されるところも数回確認したとのこと。 Apple はこの調査結果について、ペアレンタルコントロールにより子供がダウンロード可能なアプリを制限できると Mac Romors に述べている。しかし、TTP は今回の調査でペアレンタルコントロールを有効にしていない。TTP ではペアレンタルコントロールを利用する保護者が少ないという 2016 年発表の米調査と 2018 年の英調査を (有効化しなかった理由として) 挙げているが、AppleがiOSのペアレンタルコントロール機能「Screen Time」を発表したのは 2018 年のことだ。

すべて読む | アップルセクション | セキュリティ | アップル | iOS |

関連ストーリー：
Apple、iCloud メールでは既に児童性的虐待素材をスキャンしている 2021年08月25日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
ロシア連邦反独占庁、App Storeでの反競争行為でAppleに13億円超の制裁金 2021年05月01日
子供向けゲームに偽装したオンラインカジノアプリがApp Storeで見つかる 2021年04月17日
成人向けWebサイトへのアクセスを制限したiOSで「Asian」を含む語句が検索できない問題、修正へ 2021年04月03日
App Storeのガイドライン違反で削除されたペアレンタルコントロールアプリ、機能が制限されることなくApp Storeに復活 2019年07月14日
Apple曰く、ペアレンタルコントロールアプリの削除理由は「MDMと呼ばれる高度に侵入する技術」の使用 2019年05月02日
カスペルスキー、App StoreにおけるAppleの反競争行為をロシア連邦反独占庁に訴える 2019年03月23日
子供向けアプリ「YouTube Kids」で成人向けコンテンツが視聴可能なことが判明 2015年05月20日
Apple、iPhoneユーザーの子供が勝手にアプリを購入した訴訟事案で原告と和解 2013年02月28日
英国、オンラインでの子供のプライバシー保護を目的とする法律が施行 2021年09月05日
Apple、米国内のデバイスで児童性的虐待画像をスキャンするなど子供を守る取り組みを強化 2021年08月08日

おなじみの高木浩光氏が、総務省がパプコメを募集していた「プラットフォームサービスに関する研究会 中間とりまとめ（案）[PDF]」（以下中間とりまとめ案）についての意見を上げている。中間とりまとめ案では、インターネット上の誹謗中傷への対応を念頭、インターネット上の違法有害情報への対応や利用者情報の取扱いに関して意見公募を行ったもの（高木浩光@自宅の日記）。 同氏によれば、現時点のとりまとめ案はEUで今年合意されたeプライバシー規則（案）を参考にして作られている部分があるという。日本の現行案が参考にしているのは、Cookie規制など表面的な扱いに参考にしただけだと指摘している。同氏は日本版ePrivacy立法を目指すのであれば、通信の秘密には機械的処理によって介入されることがあるといった部分を明確にするなど「通信の秘密」概念の再構成まで含めて検討するべきだと指摘している。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 通信 | 論説 |

関連ストーリー：
テレフォンバンキングがリバースブルートフォース攻撃される可能性について 2020年09月18日
HTTPSやEV証明書を使っているのは「信頼できるサイト」なのか 2019年11月11日
Yahoo!知恵袋への投稿を元に信用行動スコアを算出するのは目的外利用となり個人情報保護法違反の可能性があるとの指摘 2019年06月13日
兵庫県警による「無限Alert」摘発事件に対する支援金寄付募集、1日で700万円近くが集まり終了 2019年03月26日
ダウンロード違法化対象拡大の混乱続く、リーチサイト規制にも問題 2019年03月11日
ネット中傷対策で侮辱罪の厳罰化を検討へ 2021年09月01日

headless 曰く、Microsoft Power Apps ポータルから個人情報を含む計 3,800 万件のレコードが流出した問題について、発見者の UpGuard がそのなりゆきを解説している(UpGuard のブログ記事、 The Verge の記事、 The Register の記事)。 Power Apps は開発者としてのスキルがなくてもビジネスアプリケーションを開発できるローコードアプリ開発ツール。OData (Open Data Protocol) API を使用することでポータルでのレコード公開が可能になるのだが、デフォルト無効の「テーブルのアクセス許可を有効にする」オプションを有効にしなければ匿名かつ認証なしでデータへのアクセスが可能になる。このことは Power Apps のドキュメントにも明記されているが、見過ごされることが多かったようだ。 個人情報が公開状態になっているとして UpGuard が通知したのは (Microsoftを含む) 企業や州政府など合計 47 エンティティにのぼる。UpGuard のアナリストは 5 月 24 日に最初の個人情報が公開状態になっている OData API を発見してオーナーに通知。通知を受けたオーナーは問題を修正した。UpGuard が調査を進めたところ、複数のポータルで OData API を通じた個人情報への匿名アクセスが可能になっていることが判明する。 UpGuard は Microsoft による顧客への通知に期待して MSRC (Microsoft Security Response Center) に脆弱性リポートを送るが、(設定を変更しなければデータが一般公開状態になるのは) 仕様であるとして、問題は解決済みとされてしまう。そのため、UpGuard 自ら各エンティティに通知を送ることになった。Microsoft のポータルで見つかった問題については脆弱性リポートへの返信という形で報告したものの回答はなく、新たな脆弱性リポートを送ったところ、不正利用リポートを送れと言われたそうだ。 Microsoft に脆弱性リポートを送り、あとは任せるという UpGuard の試みは失敗したが、UpGuard が複数のエンティティに最も深刻な複数の問題を報告したのち、Microsoft 側でも顧客の通知を開始したとみられる。また、Microsoft は匿名アクセスが許可されたリストを検出する ポータルチェッカーの提供を開始し、新規作成された Power Apps ポータルではテーブルのアクセス許可がデフォルト有効になっている。なお、現在は英語版のドキュメントに OData フィードを有効化した場合はテーブルのアクセス許可を無効にできないとの説明が追加されている。

すべて読む | YROセクション | セキュリティ | マイクロソフト | プログラミング | インターネット | デベロッパー | プライバシ |

関連ストーリー：
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
Amazonの商品レビュー詐欺に関与した20万人以上の個人情報が流出 2021年05月11日
内閣府のファイル共有ストレージFileZenに不正アクセス、231人分の個人情報が流出か 2021年04月28日

愛知県の知多半島周辺でエキノコックス症の原因となる多包条虫の検出が複数見つかっている。多包条虫はイヌやキツネに寄生することから、北海道近辺での発見例が多く、これまで本州での発見例はごく少数だった。愛知県衛生研究所の記事によれば、愛知県での初めての検出は2014年3月とされ、それ以降の2017年から2021年にかけて8例の感染例が分かっているそうだ（まとめまとめ、愛知県衛生研究所）。 このことに関連したツイートをしているnakanetakashiさんによれば、エキノコックスは 多包条虫のイヌ・キツネ体内での寿命は半年以内。しかし、中間宿主である野ねずみなどのげっ歯類の体内では長期に生存することができるという。同氏は知多半島で複数の感染例が長期に渡り見つかっていることから、同地域に住むげっ歯類の間で感染環が成立している恐れがあると指摘する。調査や薬剤散布などの対策をする必要があるほか、飼い犬の放し飼いや拾い食いに注意するよう警告している。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 医療 | ワーム |

関連ストーリー：
家畜用のイベルメクチンを飲むアメリカ人が急増、FDAが「あなたは牛や馬ではない」と警告 2021年08月24日
興和、イベルメクチンの治験開始。国内企業では初 2021年07月06日
パッケージの「生」で生食の勘違い。秋鮭を生で食べて食中毒に 2020年11月14日
杉並区立公園でセミを食用目的で大量捕獲しないよう看板が掲示される 2020年09月03日
ゴキブリと共生する新種の線虫、「チュウブダイガク」と命名される 2020年01月22日
犬の駆虫薬でがんが完治？ 2019年05月08日