人間とボットの識別に使われている「CAPTCHA」。中でもGoogleの「reCAPTCHA」の知名度は高い。そんな中、独立したCAPTCHAサービスを展開している「hCaptcha」がreCAPTCHAから顧客を奪うことでシェアを伸ばしているという。同社のCAPTCHAはGoogle以外のものとしては最大のシェア15％を獲得することに成功したそうだ（hCaptcha、GIGAZINE）。 同社はプライバシーに焦点を当てることで成長を遂げることができたと説明している。EU一般データ保護規則（GDPR）やカリフォルニア州の消費者プライバシー法（CCPA）などの規制により、Googleを含むオンライン広告およびマーケティング業界が、ユーザーから得たビッグデータなどをどのように利用してきたか知られるようになってきた。加えてGoogleがCloudflareなどの大手に対して「reCAPTCHA」の有料化を通告したこともシェアが伸びた一因である模様。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | ボットネット |

関連ストーリー：
CAPTCHAを悪用してセキュリティ機構を回避するマルウェアが登場。マイクロソフトが警告 2020年06月25日
チケット販売サイト「e+」、ボット対策の導入によりチケット自動購入ボットをほぼ殲滅 2018年12月30日
「人間には突破できないCAPTCHA認証」を人力で突破しようと挑戦する人達 2018年02月14日
Googleが新型CAPTCHAを開発 2014年12月05日

あるAnonymous Coward 曰く、IT系ニュースサイトのGIGAZINEによると、NURO光加入者に貸与されるHuawei製のONU兼無線LANルータ「EchoLife HG8045Q」には権限昇格が可能な脆弱性が存在するという（NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え＆root権限も奪取可能 — GIGAZINE）。 GIGAZINEの公開した再現手順では2つの脆弱性が利用されている。1つ目は今年9月に博士研究者であるAlex Orsholits氏が発見したマスターアカウントの資格情報がハードコードされている問題（meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q）、2つ目はGIGAZINE編集部（log1n_yi氏）が独自に発見した入力値検証の不備に起因する権限昇格の問題だ。 マスターアカウントというのは、ISPが加入者に貸与しているONUの設定を変更するために利用する特権アカウントのことで、ウェブ管理画面からマスターアカウントを用いてログインすると、通常は制限されている様々な機能が利用できる。NURO光のONUでは一体不可分のルータ機能を無効化するためこの手のハックに需要があり、Alex氏はNANDから吸い出したダンプから、マスターアカウントのIDが「admin_iksyomuac13」であること、そしてパスワードがハードコードされた文字列「iksyomuac13_admin_」に機器固有のMACアドレスのサフィックス4文字を付け足したものであることを発見していた。 更にこれを用いてSSHログインすると、Huawei製のネットワーク機器特有の「WAP」というシェルで特定のコマンドを実行できる。マスターアカウントであっても通常はごく限られたコマンドしか実行できないが、log1n_yi氏がシェルスクリプトを調査した結果、pingコマンドの後ろに「大量の文字列」「"」「> |」「実行したいBusyBoxコマンド」を入力することで、BusyBoxに実装されたコマンドをroot権限で実行できることを発見したという。 NURO光提供側にこの脆弱性を報告したところ、1か月ほど放置された挙句、修正予定が「あり」から「なし」に変わったという。問題の機器ではWAN側のSSHポートは閉じられているため、直ちに外部から不正なアクセスをされるわけではないというのが理由のようだ。逆に言えば、内部からアクセス可能な場所――例えば公共施設や商業施設などでネットワークを訪問者に開放している場合は注意が必要になりそうだ。 GIGAZINEではNURO光がバグ報奨金プログラムを用意していない点にも触れ、「脆弱性に対する窓口対応の弱さが目立ちました」と結んでいる。 情報元へのリンク

すべて読む | ITセクション | セキュリティ | バグ |

関連ストーリー：
WavlinkとJetstreamという二つの中国製ブランドのルーターに不審なバックドアが存在。悪用も確認済み 2020年11月26日
中国でハッキング大会が開催。主要OSやブラウザ、仮想環境で脆弱性が見つかる 2020年11月12日
ソニーとキオクシア、米国当局に半導体の輸出許可を申請へ 2020年11月04日
ファーウェイがスマホ事業から撤退するという観測 2020年09月16日
在宅勤務が増えて自宅用回線の契約が増える。すぐに使えるホームルーター選択者も多い 2020年06月23日

Canon USAは11月25日、7月下旬から8月上旬にかけて同社のネットワークに不正アクセスがあり、従業員に関するデータが流出していたことを明らかにした(Canon USAの発表、 Softpediaの記事)。 Canon USAでは8月4日にランサムウェア攻撃を確認し、対策を行うとともに調査を進めていたそうだ。同社ネットワークでは7月20日から8月6日の間に不正な活動が確認されており、この間にファイルサーバー上のファイルへの不正なアクセスが行われていたという。ファイルサーバーの調査は11月2日に完了し、2005年～2020年にCanon USAまたは特定の子会社・前身会社・関連会社に勤務していた従業員(現・元)および、その受取人や扶養家族に関する情報を含むファイルへのアクセスが判明したとのこと。 ファイルには個人の名前および、その人の社会保障番号・運転免許証番号・政府発行の身分証明書番号・振込先金融機関の口座番号・電子署名・生年月日のうち少なくとも1つ以上のデータが含まれていたという。Canon USAでは影響を受けた人に謝罪するとともに、Experianの信用情報保護サービスIdentityWorksのメンバーシップ12か月分を無償提供すると述べている。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | 情報漏洩 | プライバシ |

関連ストーリー：
Spotifyでアカウントデータが流出。30～35万人規模 2020年11月26日
チケット販売プラットフォーム「Peatix」に不正アクセス、最大677万件の個人情報が漏洩 2020年11月20日
フィリピン保健庁運営の医療従業者向けコロナアプリ、APIのURL直打ちで個人情報が見れる状態に 2020年11月16日
Mashable、ユーザーデータ流出に関する調査結果を報告 2020年11月10日
キヤノンUSAがサイバー攻撃を受け米国でのサービスに影響。一部ソフトウェア入手に問題も 2020年08月13日
キヤノンの写真クラウド「image.canon」、保存データの一部が消失 2020年08月07日
キヤノンのデジタルカメラにランサムウェア攻撃が可能な脆弱性 2019年08月15日

Sophosが内部で使用するツールに設定ミスがあり、ごく一部の顧客に関するデータが流出したそうだ(Sophos Communityでのアナウンス、 HackReadの記事)。 このツールはカスタマーサポートが連絡を受けた顧客の情報を保存するもので、アクセス許可の問題があるという情報提供を11月24日に受けたという。既に問題は修正済みだが、ごく一部の顧客について姓名と電子メールアドレスが(顧客から伝えられた場合は電話番号を含む)流出したそうだ。Sophosでは影響を受けた顧客に電子メールで連絡しており、連絡がない場合は影響を受けていないとのこと。影響を受けた顧客に対しては、現時点で特別な対策は必要ないと説明している。

すべて読む | セキュリティセクション | セキュリティ | プライバシ |

関連ストーリー：
月例パッチでWindows 7などが起動不能に。一部ウイルス対策ソフト利用者の間で発生 2019年04月19日
信頼に足るWebブラウザーは？ 2015年10月25日
ソフォスのディスク暗号化ツールに不具合、ノートPC紛失によって発覚 2014年06月30日
Sophos、自社製品をマルウェアと誤検出 2012年09月22日
Sophosのサポートエンジニア曰く、ライブチャットは電話サポートよりも効率が悪い 2012年08月04日

headless 曰く、米連邦捜査局(FBI)は23日、同局になりすます偽ドメインが多数確認されているとして注意喚起した(FBIのアナウンス、 Softpediaの記事)。 FBIのアナウンスに掲載されている偽ドメインは92件。うち14件が現在解決できなくなっているという。正規のFBIのメインWebサイトはwww.fbi.gov(アナウンスが掲載されているのはwww.ic3.gov)だが、偽ドメインのトップレベルドメインは「com」が半数近くを占め、「us」を含む各国の国別コードトップレベルドメインや、汎用トップレベルドメインも多い。ドメイン名としては「fbi」に別の単語を組み合わせたものがほとんどだが、「fbi」だけのものもある。 攻撃者は容易に正規のドメインと間違えやすい偽ドメインを悪用し、虚偽の情報を広めたり個人情報を収集したりするほか、マルウェアの拡散に使用することもある。対策としてはスペルの確認やOS・セキュリティソフトウェアの更新、電子メールで受け取った文書のマクロを有効にしない、知らない人からの電子メールや添付ファイルを開かない、電子メールで個人情報を知らせない、などが挙げられている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | アメリカ合衆国 | 政府 |

関連ストーリー：
トランプ大統領の赤い帽子の制作資金、ハッカーにより2億円超が奪われる 2020年10月31日
FBIがホテルのWi-Fiを使ったテレワークにはリスクがあると警告 2020年10月10日
アメリカ、中国のスパイと化した元CIA工作員を逮捕。米司法省はリリースでぶち切れ 2020年08月19日
米ニュージャージー州最高裁判所、押収した携帯電話のパスコード開示強制は不利な証言の強制にあたらないと判断 2020年08月16日

headless 曰く、米カリフォルニア州サンタクララ郡の検事局は23日、大陪審がAppleの最高セキュリティ責任者Thomas Moyer氏を贈賄罪で起訴したことを発表した(ニュースリリース、 The Vergeの記事、 The Registerの記事、 起訴状: PDF)。 Moyer氏は保留になっていたAppleの従業員の銃器携帯(CCW)許可4件と引き換えに、総額7万ドル近い200台のiPadを郡保安官事務所へ寄付すると2人の郡保安官事務所職員(保安官代理と警部)に約束したという。ただし、両者は検事局が捜査令状を執行してCCW許可関連の記録をすべて押収したことを知り、寄付は取りやめになったとのこと。2人の職員は本件の収賄罪で起訴されているほか、CCW許可に関する別件の収賄罪でも贈賄側とともに起訴されている。 本件についてMoyer氏の弁護士は、Moyer氏が保安官事務所と検事局の争いの巻き添えになったと指摘。Moyer氏は何も悪いことをしておらず、彼のキャリアは常に高い誠実さを保っており、裁判で無罪になるのは間違いないと述べているとのこと。Moyer氏は2018年にAppleが従業員にリーク防止を呼び掛けた内部メモの中で、リークが犯罪となり、その記録が一生ついて回る可能性を警告していた。

すべて読む | アップルセクション | 犯罪 | セキュリティ | 法廷 | アップル | アメリカ合衆国 |

関連ストーリー：
JAXAの元理事、災害対策事業に関連する収賄の疑いで逮捕される 2018年07月31日
東京医科大学で裏口入学が発覚、毎年10人前後を不正に合格させていた 2018年07月18日
リーク防止を呼び掛けるAppleの内部メモがリーク 2018年04月16日
日本から国際陸上競技連盟関係者に多額の送金があったと報じられる、五輪招致に向けた贈賄？ 2016年05月13日
マイナンバーのシステム発注に絡む贈収賄が明らかに 2015年10月14日
暴力ゲーム規制法案を作成したLeland Yeeカルフォルニア州議員、非合法組織とのつながりが発覚して逮捕される 2014年03月28日

大手町の再開発事業で、平将門の首塚として知られる「将門塚」の改修工事がスタートしたそうだ。将門塚保存会によれば、今年は平将門公没後1081年にあたるという。今回の改修工事は1961年の第1次整備工事から数えて6度目になるという。工事は令和2年11月から令和3年4月末まで行われるとのこと。現場にアクセスできる菊千代さんのツイートによれば、21日頃から改修工事が始まった模様。22日にはすっかり何もない状態になっていたようだ（将門塚保存会、Togetter）。

すべて読む | セキュリティセクション | 日本 | セキュリティ |

関連ストーリー：
台風による倒木が停電復旧の妨げに 2019年09月24日
鈴木姓発祥の地の「鈴木屋敷」、修復費用を募る 2019年02月13日
京急電鉄、沿線に住む小中学生から駅名を募集 2018年09月21日
名古屋市主導の名古屋城木造化計画、予算計上へ 2017年03月23日
万里の長城、風化や人為的な破壊対策としてコンクリートで塗り固める 2016年09月27日

過去にウォルマートが独占販売していた「Jetstream」ブランドのWiFiルーター、およびAmazonやeBayで販売されている「Wavlink」ブランドのWiFiルーターに不審なバックドアが見つかったそうだ。いずれも古い製品だが、手頃な価格で入手可能であったことから当時は人気があったようだ（Cyber​​News、Mashable、GIGAZINE）。 この二つのブランドのルーターには、ルーターを通じて接続されている機器すべてのデバイスを制御可能なバックドアが仕掛けられていたとしている。このバックドアを発見したCyber​​Newsのチームは、Jetstreamの販売元であるウォルマートに状況を把握しているかどうか認識しているか確認を取ったが、現在確認中という回答があったという。製品については現在販売していないとしている。 もう一つのWavlinkルーターでは、近くのWi-Fiを一覧表示し、それらをネットワークに接続する機能を備えたスクリプトが含まれていた。これらのバックドアが積極的に悪用されているという証拠も見つかっているという。これらのルーターは、接続しているデバイスをマルウェアMiraiのボットネットに端末を追加しようとする試みるという。リモート制御された端末はボットネットの一部として被害者のルーターをリモートで制御されてしまう。実際に2016年に発生したDynDNSへのDDoS攻撃で悪用されたとしている。 この二つのブランドであるWavlinkとJetstreamは「Winstars Technology Ltd.」という深圳の企業の子会社らしいが、他に「Ematic」と言うブランドもあり、対象ブランド、製品は今回の報告に留まらない可能性が高いとしている。

すべて読む | セキュリティセクション | セキュリティ | ボットネット |

関連ストーリー：
他のボットネットを攻撃するボットネット「Fbot」 2018年09月23日
ネットワークカメラを狙うマルウェア「PERSIRAI」 2017年05月16日
ドイツ・テレコムの90万台のルータが狙われたマルウェア感染事件、容疑者が捕まる 2017年03月02日
Windowsに感染してマルウェア「Mirai」を拡散させるマルウェアが確認される 2017年02月21日
IoTマルウェア「Mirai」やその亜種による攻撃が増加中 2017年01月26日
大規模なDDoS攻撃を受けたDyn、詳細を発表。狙われたのはDNSで使われる53番ポート 2016年11月02日
NURO光のHuawei製ONU「HG8045Q」に権限昇格の脆弱性、修正予定はなし 2020年11月30日

音楽ストリーミングサービス「Spotify」で、一部顧客のユーザーアカウントデータが流出したようだ。セキュリティ企業vpnMentorの研究者であるNoamRotem氏とRanLocar氏が発見した（vpnMentor、ZDNet、Engadget、マイナビ）。 流出したのはメールアドレスおよびユーザー名とパスワードのログイン資格情報のデータベース。データベースがどういう経緯で流出したかは不明だが、データ容量にして72GB、アカウント数にして300,000から350,000ユーザー分のデータが流出していたという。すでにSpotifyは該当するユーザーに関してはアカウントのローリングパスワードリセットを実行、流出した資格情報ではログインができなくなっている。このため、該当したユーザーはパスワードの再設定が必要となる。 ただし、ほかのサービス上で同様のユーザー名やパスワードを使用している場合、流出した資格情報を元にして不正侵入が行われるリスクがあるとしている。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
Mashable、ユーザーデータ流出に関する調査結果を報告 2020年11月10日
流失したGithubとGitHub Enterpのソースコード、Githubにうpされる(削除済み) 2020年11月06日
noteで投稿者のIPアドレスが閲覧できる問題が発生。そこから5ちゃんねるなどの書き込みが検索される事態に 2020年08月17日
イラン支援のハッカー組織、新人育成用動画を流出させる。驚くほどの手際の良さが判明 2020年07月30日
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年07月21日
アカウント情報流出通知サービス「Have I been pwned?」、通知メール内のテキストが原因でSQLインジェクション脆弱性を意図せず突く 2020年06月09日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日

オランダで国防相がTwitterに投稿した情報を元にして、欧州連合（EU）の機密会議に記者が勝手にログインするというかなりまずいトラブルがあったそうだ（AFPBB News）。 ログインを行ったのはオランダの民放「RTL Nieuws」の記者Daniel Verlaan氏。同氏はオランダ国防相がTwitterに投稿した写真をもとにログイン用アドレスと暗証番号の一部を入手することに成功。これをもとにEUの国防相機密会議にログインしたのだという。元記事によれば、オランダ国防相がTwitterに投稿した写真には、テーブルの上に書類が映り込んでおり、その書類から6桁の暗証番号のうち5桁を読み取ることができたとしている。 記者が侵入した時の映像では、記者がEUの国防相らに手を振る様子が映っていたそうだ。記者が名乗ったことで、その場は案外和やかに終わったようだが、会議はセキュリティー上の理由から中止されたとのこと。

すべて読む | セキュリティセクション | セキュリティ | Twitter | 政府 | 情報漏洩 |

関連ストーリー：
七十七銀行でドコモ口座を利用した不正な引き落し被害が相次ぐ 2020年09月08日
VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」？ 2019年06月17日
Facebookから収集された4800万人相当のユーザーデータがネット上に放置されていた 2018年04月24日
自力でトラブルシューティングできない人や組織は、自前でWordPresでサイトを構築してはいけない？ 2016年06月25日
米中央軍のTwitterなどが攻撃され乗っ取られる、「イスラム国」の声明掲載も 2015年01月15日
終わらないAnonymousのサイバー攻撃、今度はNATOのサーバーに侵入 2011年07月24日

沙和さんによると、大阪府や大阪市に何度が情報請求をかけても、知事も市長もメールが一切出てこないことから、ある考えに思い至ったという（沙和｜note）。この人たち、公用メールを使ってる? そこで沙和さんが情報請求などを通じていろいろと問い合わせた結果、市長は公用メールを使っておらず、知事には公的なメールアドレスが存在していないことが判明したという。担当者曰く、市長の公用メールは、市長室にあるPCでしか送受信できないことから使用しておらず、職員とのやりとりは電話とLINE WORKSが使われているそうだ。 メールは公文書に当たるため、市民情報プラザで全部観閲可能になっているのに対し、LINE WORKSに関しては全文公開対象ではないという。ただし、特定の事例を定めて請求を行って、それに該当する内容であればLINE WORKSのやりとりも公開されるのだそうだ。ちなみにLINE WORKSが導入されたのは吉村前市長になってからとのこと。吉村前市長の私用メールは過去に問題になったこともある。 知事に関しては知事の公用メールは一切使っていないという。基本的には口頭による指示で、緊急時には、LINE WORKSや私用メアドを使うこともあるという。こちらに関しても、行政に関わる内容であれば情報公開の対象になるそうだ。これによって生じる問題については沙和さんの元記事で触れられている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | IT | 情報漏洩 |

関連ストーリー：
米トランプ大統領は未だにセキュリティ対策が行われていないスマートフォンを使っている 2017年02月24日
クリントン私用メール問題、政府とクリントン関係者の間で情報共有か？ 2016年11月08日
Wikileaks、ヒラリー・クリントン米大統領候補陣営のメールを公表 2016年10月20日
米民主党、ロシア系組織からサイバー攻撃を受けトランプ氏の調査資料を流出させる 2016年06月21日

headless 曰く、 Twitterの期限付き投稿「Fleet」で期限の24時間が過ぎても引き続き表示可能となるトラブルが発生していたそうだ(Twitter Supportのツイート)。 Twitterによれば、スケーリングの問題で太平洋時間20日午前にバックエンドシステムによる期限切れFleetの処理が追い付かなくなったのだという。その結果、Twitterアプリでは24時間過ぎたFleetが表示されなくなる一方で、期限内にFleetのURLを保存していれば期限が切れても表示可能だったそうだ。その後バックログの問題は解消し、再発の可能性を減らすためにシステムの更新を行ったとのこと。 Fleetに関してはこのほか、ログインしていないユーザーが閲覧できる可能性に対する懸念や、ユーザーが既読リストに表示されずに閲覧できる可能性に関する懸念が出ているという。前者については、APIを使用すればFleetのメタデータを取得できるが、リクエスト時に認証セッションが必要となるよう変更し、APIの使用に手間がかかるようにしたとのこと。後者についてはリストが長くなった場合に上限を設けるなど、リストが完全であることは保証できないと説明しつつ、改善を検討していると述べている。

すべて読む | ITセクション | セキュリティ | Twitter | バグ | プライバシ |

関連ストーリー：
従来のモバイル版ツイッター終了へ 2020年11月15日
英ジョンソン英首相、バイデン氏へのTwitter祝福メッセージに加工ミスが発生 2020年11月14日
Twitterが新機能フリートを国内にも投入。24時間で自動消去 2020年11月12日
Twitterでは認証済みアカウントでも凍結される。トランプ大統領風刺で 2020年11月05日
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
Twitter、誤解を招く情報などラベル付けされたツイートに「いいね」しようとすると確認プロンプトが表示されるように 2020年11月26日
Twitter、認証済みアカウントプログラムの再開に向けた新ポリシーのドラフトを公開し、フィードバックを求める 2020年11月28日

海上自衛隊は19日、新型護衛艦「くまの」の命名・進水式を行った。2022年3月に就役する予定となっている。船体がコンパクト化されているほか、オートメーション化が進み、従来型より少ない90人ほどでの運用が可能になっている（NHK、共同通信、動画[乗りものチャンネル]）。 この護衛艦は掃海艦艇が担当していた対機雷戦機能を持つことから、フリゲートの意味を持つFFと機雷の「Mine」、そして汎用型を意味する「Multi-purpose」を意味する「FFM」という艦種記号が与えられているという。なお「くまの」は2番艦として作られていたが、1番艦が試験中のトラブルから工事進捗に遅延が発生、2番艦が先に進水することになったそうだ。このため「くまの級」にはならない模様（航空新聞社）。 あるAnonymous Coward 曰く、 https://www.msn.com/ja-jp/news/national/e6-96-b0-e5-9e-8b-e8-ad-b7-e8-a1-9b-e8-89-a6-e3-80-8c-e3-81-8f-e3-81-be-e3-81-ae-e3-80-8d-e9-80-b2-e6-b0-b4/ar-BB1ba7x8 https://www3.nhk.or.jp/lnews/okayama/20201119/4020007115.html https://www.47news.jp/5513853.html https://www.47news.jp/news/5512932.html https://www.sankei.com/politics/news/201119/plt2011190026-n1.html ほぼ同時に建造開始した一・二番艦の二番艦が先に進水式が行われた（この後艤装を経て、一番艦とほぼ同時再来年3月就役予定）ので、このまま「くまの型」となるかは不明。 https://ja.wikipedia.org/wiki/3900%E3%83%88%E3%83%B3%E5%9E%8B%E8%AD%B7%E8%A1%9B%E8%89%A6 https://ja.wikipedia.org/wiki/%E3%81%8F%E3%81%BE%E3%81%AE_(%E8%AD%B7%E8%A1%9B%E8%89%A6%E3%83%BB2%E4%BB%A3) 同級はフリゲート級（FFMの「FF」はフリゲートを表す）で、米海軍の失敗に終わった沿海域戦闘艦程の冒険を避けたのは、実に日本人らしい。記事中にある通り、省人化に意を尽くしており、2チーム交代で乗艦する「クルー制」を採用、併せてスタートレックに出てくる艦の様な、円形CICが特徴となっているが、常識的に公開される事は殆ど無いであろう。 https://srad.jp/submission/82681/ 情報元へのリンク

すべて読む | セキュリティセクション | 日本 | 軍事 | セキュリティ |

関連ストーリー：
海自3000トンの新型潜水艦が進水式。艦名「たいげい（大鯨に由来）」に 2020年10月17日
航空自衛隊が海上自衛隊カレーに倣って独自の鶏肉料理を各基地等で提供中 2020年10月13日
航空自衛隊にRC-2電波情報収集機配備。C-2初の派生機 2020年10月08日
防衛省が財源確保のため不用装備品をオークションに。1回目は21品目で計581万円の売り上げ 2020年07月30日
海上自衛隊、護衛艦内での携帯電話使用制限を大幅緩和へ 2019年12月17日

LINEは11月17日に不審なBotにより、ユーザーの同意なく強制的に友だちとして追加される事案があったと発表した。リリースによれば、このトラブルは2020年10月15日の午後5時から2020年11月03日の午前10時までの期間に発生しており、約12万を超えるユーザーが影響を受けた可能性があるとしている（LINE、ケータイWatch）。 原因はAIアシスタント「CLOVA Assistant」の脆弱性にあるとされるが、今回の場合は発見者のミスによりこの脆弱性が悪用された模様。経緯としてはCLOVA Assistantの脆弱性を発見した研究者が、10月15日に検証のために一般ユーザを巻き込んでバグを確認、その過程で外部の人間に脆弱性について知られてしまい、11月2日に悪用されて大量の被害を出したとLINE側は説明している。LINEによれば、巻き込んだ一般ユーザの中に、11月2日に大規模な悪用を行った人物がいたのではないかとしている。 これを受けてLINEは、今回の発表で「セキュリティ研究者の方へ」という以下のような告知も行っている。今回の事案につきまして根本的な原因は、当然に当社サービスの不具合に起因するものではありますが、LINE利用者の保護と、当社サービスの円滑な運用のため、以下の点について、ご理解とご協力をお願いいたします。報告された脆弱性が修正されるまで、お時間をいただく場合もございますが、何卒ご理解ください。当社では全ての脆弱性報告に対して真摯に対応を行っております。脆弱性を検証する際には、他人のアカウントをに影響を与えることのないよう、ご自身のアカウントを用いたり、信頼のできる協力者の同意を得た上で検証を行ってください。当社が修正を完了するまでの間、第三者に脆弱性を漏らしたり、悪用方法が拡散されたりすることのないよう、細心の注意を払ってください。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | バグ | idle |

関連ストーリー：
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
LINEで住民票申請を行うシステム開発企業が総務省を提訴。電子署名の要否が争点 2020年09月12日
「ログインしたまま」「ブラウザにパスワードを記憶」を利便性重視と評価、フィッシング対策協議会 2020年09月11日
LINEの独自仮想通貨「LINK」、6日から国内で取引開始 2020年08月07日
香川県ゲーム規制条例「パブコメ」、LINEのチームがテキストマイニングで分析 2020年06月22日

headless 曰く、新Microsoft Edgeのアドオンストア「Microsoft Edgeアドオン」サイトで、人気拡張機能の偽物が出始めているようだ(Redditのスレッド、 Ars Technicaの記事)。 発覚のきっかけとなったのは、新Microsoft EdgeでGoogleのWeb検索結果からリンクをクリックすると、時々別のサイトにリダイレクトされるという報告がRedditで出たことだ。Redditユーザーから情報提供を受け、Microsoftは5本の拡張機能をEdgeアドオンストアから削除したことを報告している。 削除された拡張機能は NordVPNAdguard VPNTunnelBear VPNThe Great SuspenderFloating Player - Picture-in-Picture Mode となっており、いずれもChromeウェブストアで人気(かつEdgeアドオンストアでは公開されていない)の拡張機能と同じ名前だ。 Microsoft Storeで限られた数が提供されている旧Edge用の拡張機能に対し、新Edge用の拡張機能は大幅に増加している。Chromeウェブストアでは偽の拡張機能をはじめ、不正な拡張機能がたびたび発見されているが、今後はEdgeアドオンストアでも同様の状況になっていくのだろうか。

すべて読む | ITセクション | セキュリティ | マイクロソフト | インターネット | デベロッパー | プライバシ |

関連ストーリー：
Chrome拡張機能のNano Defenderがマルウェア化 2020年10月18日
Chromeウェブストアで怪しいサイトへ誘導しようとする「テーマ」が増加中 2018年05月30日
悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール 2018年04月21日
アンインストールを困難にする機能を備えたブラウザー拡張機能 2018年01月21日
「Adblock Plus」の偽物がChromeウェブストアで配布される 2017年10月11日

ローマ教皇フランシスコの公式Instagramアカウントが下着姿の女性モデルの写真(NSFW)に「いいね！」した問題について、聖座がInstagramに調査を依頼したそうだ(Catholic News Agencyの記事、 The Guardianの記事、 Daily Mail Onlineの記事 - NSFW、 Il Postの記事)。 ローマ教皇のソーシャルメディアカウントは聖座のスタッフによるチームが管理しており、ローマ教皇自ら運用することはないという。問題の「いいね！」は13日に確認されて幅広く報じられたが、14日には取り消されている。聖座報道室がCatholic News Agencyに語ったところによると、内部調査の結果「いいね！」が聖座から付けられた可能性が排除できたため、このような事態になった原因の調査をInstagramに依頼したとのこと。なお、Instagramでは写真をダブルタップしただけで「いいね！」したことになるが、誰かがそれを知らず「いいね！」していた可能性がないことまで確認したかどうかは不明だ。

すべて読む | idleセクション | セキュリティ | 変なモノ | Facebook | idle | SNS |

関連ストーリー：
イタリアで聖職者のコロナウイルス死が増加 2020年03月25日
ローマ法王、忍耐を失う 2020年01月05日
ローマ法王、バチカン秘密文書館の名称から「秘密」を外すと宣言 2019年11月01日
ローマ法王、初めてコードを書く 2019年03月27日
バチカン・サンピエトロ広場付近にマクドナルドが出店計画、聖職者などは反発 2016年10月22日
ローマ教皇曰く「インターネットは神からの贈り物」 2014年01月28日
ローマ法王、Twitter を始める 2011年07月01日

Googleは21日、Google ChromeのWindows 7サポートを少なくとも2022年1月15日まで延長すると発表した(Google Cloud Blogの記事、 9to5Googleの記事)。 Googleは今年1月、MicrosoftによるWindows 7の延長サポート終了後少なくとも18か月間、2021年7月15日まではChromeでWindows 7をサポートする計画を示していた。しかし、COVID-19パンデミックによる労働環境の変化のサポートなど、ITリーダーがさまざまな困難に直面する中、Googleは現状の評価とエンタープライズ顧客からのフィードバックを元に6か月のサポート期間延長を決めたそうだ。 Windows 10への移行は多くの組織で今年のロードマップに含まれていたが、優先順位の変更により21%の組織がWindows 10への移行途中であり、1%は近く移行を始める計画だという。サポート期間延長により、エンタープライズ顧客は移行がまだ済んでいないWindows 7で引き続きChromeのセキュリティや生産性に関する利益を享受でき、エンタープライズ向け機能を活用できるとのこと。Googleでは今後も継続してエンタープライズ顧客が直面する状況の評価を行い、さらなる変更があれば発表するとのことだ。 なお、MicrosoftはChromiumベースの新Micosoft EdgeでWindows 7を2021年7月15日までサポートする計画を示している。この件が記載されたMicrosoft Docsの記事は11月16日に更新されているが、Windows 7/Server 2008 R2のサポート終了日については変更されていない。

すべて読む | セキュリティセクション | ビジネス | Chrome | Google | セキュリティ | Windows | IT |

関連ストーリー：
Windows 7 拡張セキュリティ更新プログラム1年目、間もなく終了 2020年11月14日
Microsoft Edge、Windows UpdateでWindows 7/8.1に提供開始 2020年06月21日
新Microsoft Edge、Windows 7のサポートは2021年7月15日まで 2020年04月14日
セキュリティソフトウェアの多くが当面はWindows 7をサポート 2020年02月01日
Windows 7の壁紙が黒くなる問題、全ユーザーに対し修正パッチを提供へ 2020年01月28日
FSF、Windows 7をフリーソフトウェア化して「価値を高める」よう求める 2020年01月28日
Windows 7、最後の更新プログラム適用で壁紙が黒一色になったとの報告 2020年01月23日
Windows 7のサポート終了でユーザー増を期待するLinuxディストロメーカー 2020年01月18日
2019年のPC出荷台数は8年ぶりに増加 2020年01月16日
Chromiumベースの新Microsoft Edge、延長サポート終了後もWindows 7をサポート 2020年01月16日
Windows 7のサポートが本日で終了 2020年01月14日
Google Chrome、Microsoftによるサポート終了から少なくとも18か月はWindows 7をサポート 2020年01月12日

あるAnonymous Coward 曰く、 カプコンのランサムウェア被害の絡みで流出した情報に採用応募者情報（氏名、生年月日、住所、電話番号、メールアドレス、顔写真など）が約12万5000件含まれていたが、これについて流出自体とは別に話題になっているそうだ（J-CASTニュース）。 話題になって理由としてカプコンの応募サイトには、「採用選考の結果、採用に至らなかった方、及び、採用を辞退された方の応募書類等は、選考後、当社において責任をもって破棄致します」と書かれていたためで、「（説明に反して）破棄されていなかったのでは?」という指摘が出ているようだ。 カプコン広報IR室によれば、履歴書などの書類は破棄した後も、「再応募いただける方もいらっしゃり、確認をスムーズにするため」電子化して一定期間（期間は非公表）保管しているという。流出の可能性があるのは電子データになる。」とのことだが、タレコミ人としてはそれ（電子データ）で保存していること自体、破棄していない事でしかないと思う。 そもそも、再応募事は再応募時で新しい履歴書来るのだからそれで判断すればいい話で保存する必要はないと思われ、（不採用や辞退後に）保管する必要性は見当たらない。 情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | 情報漏洩 |

関連ストーリー：
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
カプコンがランサムウェアの被害に。1100万ドルの身代金を要求 2020年11月10日
マテル、ランサムウェア攻撃の封じ込めに成功していた 2020年11月08日
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
Windows 10の9月の累積更新プログラム、Bitdefenderにブロックされる 2020年09月12日

政府機関や企業などでパスワード付きzipファイル廃止の動きが広がっているようだ。　平井卓也デジタル改革担当相が17日の会見で廃止について触れている（ITmedia）。政府の意見募集サイトである「デジタル改革アイデアボックス」に送られてきたアイデアを採用したものだという。マルウエア「Emotet」がパスワード付きzipファイルを使用して、セキュリティを回避していることなどが一因と思われる。 またクラウド会計ソフトなどのスモールビジネス向けの事業を手がけている「freee」も、メールによるパスワード付きファイルの受信を廃止すると発表している。こちらに関してはEmotet感染の緩和策であると明言している（freee株式会社、日経新聞）。 なおプライバシーマーク付与事業を行っているJIPDECは11月18日、こうした発表を受けてメール添付のファイル送信についてという発表を行った。曰く昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。 プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。 としてそもそもパスワード付きのZipファイルなどに意味はないと強調している。

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー：
マルウェアEmotetの再拡大で米政府機関、パスワード付きzip添付ファイルはウイルスチェックできないとしてブロックを推奨 2020年10月13日
マルウエア「Emotet」を拡散させる攻撃メール、7月中旬から拡散再開を観測 2020年08月03日
JetBrains日本総代理店のサムライズム、Zip添付メールに展開手数料を請求へ 2020年04月03日
パスワード付きZIPファイルとパスワードを別のメールで送るやり方、PPAP方式と揶揄される 2019年12月25日
セキュリティ上の問題が発生したドイツの大学、電子メールアカウント38,000件のパスワードを手渡しで再発行 2019年12月22日

イベントチケット販売などを行っている「Peatix」は17日、外部からの不正アクセスによって顧客情報が流出したと発表した。不正アクセスは10月16～17日にかけて発生、氏名、メールアドレス、暗号化されたパスワードが最大で677万件引き出されたとしている。詳細については現在も調査中。すべてのユーザーにパスワードの再設定が必要となる措置を取ったとしている（Peatix、CNET）。 この影響でイベントやチケット販売などをPeatixに委託していた国内各自治体がお詫びと被害状況の告知などを行っている。TechCrunchの記事によれば、鹿児島県や埼玉県、栃木県宇都宮市、福井県福井市、宮崎県宮崎市などのイベント申込者の個人情報が流出したと見られている（TechCrunch）。

すべて読む | セキュリティセクション | セキュリティ | 情報漏洩 |

関連ストーリー：
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
不正アクセスで連日発表の続くゆうちょ銀行、プレスリリースでUnicodeで互換用文字とされている半角カナを使用 2020年10月07日
東映子会社のサイトから10,395件のクレジットカード情報が漏洩した疑い。なぜかセキュリティコードまで保存 2020年10月06日
川崎市の野球場予約システムで不正アクセスが多発。利用不能となり紙での申し込みに変更 2020年09月24日
SBI証券、不正アクセスで利用者の資産9864万円流出 “本人名義の偽口座”へ送金される 2020年09月17日