Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。 ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。

すべて読む | セキュリティセクション | Chrome | セキュリティ | スラッシュバック | インターネット | Chromium |

関連ストーリー：
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
Google Chrome、Web検索時にアドレスバー内に検索キーワードを表示するテストを実施 2020年02月06日
Chrome Canary、Web検索時に検索語句だけをOmniboxに表示する機能をテスト中 2018年09月24日
Google Chrome、URLの表示されないアドレスバーが標準となるか 2014年05月06日

多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。 polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。 この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。 Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー：
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
Debian Project、次期リリース「Bullseye」で使用するアートワークの人気調査を実施 2020年10月29日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

headless 曰く、米国のジョー・バイデン大統領は9日、米国人のセンシティブ情報を外国の敵から保護するための大統領令に署名した(大統領令、 ファクトシート)。 この大統領令は2019年にドナルド・トランプ大統領(当時)が署名した情報通信技術とサービスのサプライチェーンの安全を保つための大統領令13873を踏襲するもので、米政府や企業の機密情報や米市民のセンシティブ情報を扱うアプリケーションと外国の敵との結び付きをリスクベースで分析するよう監督官庁に命じている。 一方、中国のソフトウェア計10本を国家安全保障上の脅威と位置付けるトランプ大統領時代の大統領令3件は、本大統領令で取り消される。具体的には昨年8月に署名されたTikTokが対象の大統領令13942とWeChatが対象の大統領令13943、トランプ大統領退任直前の今年1月に署名された大統領令13971の3件。大統領令13971で対象となるソフトウェアはAlipayとCamScanner、QQ Wallet、SHAREit、Tencent QQ、VMate、WeChat Pay、WPS Officeの計8本だ。

すべて読む | セキュリティセクション | セキュリティ | 政治 | アメリカ合衆国 | 中国 | プライバシ |

関連ストーリー：
米政府、前大統領が署名したTikTokとWeChatに関する大統領令の正当性を見直し 2021年02月13日
米連邦地裁、TikTokによる米国でのサービス提供を禁ずる米商務省の措置にさらなる事前差止命令 2020年12月10日
米商務省曰く、大統領令に基づくTikTokへの措置は新たな法的判断が出るまで発効しない 2020年11月15日
米連邦地裁、TikTokによる米国でのサービス提供を禁ずる米商務省の措置に事前差止命令 2020年11月01日
TikTokとWeChat、米国向けアプリストアでの提供禁止を一時回避 2020年09月21日
米商務省、米国向けアプリストアでのWeChatおよびTikTokの提供を9月20日以降禁止 2020年09月19日
TikTok売却問題、オラクルに決定で決着。ただし米政府が認める内容かは不透明 2020年09月15日
トランプ大統領、中国のアプリ「TikTok」、「微信」運営企業との取引禁止の大統領令に署名 2020年08月12日

headless 曰く、オーストラリア連邦警察(AFP)は8日、組織犯罪限定で用いられる暗号化通信を読み取る特別作戦「Operation Ironside」により、224人を逮捕したと発表した(メディアリリース、 The Registerの記事、 Neowinの記事、 BBC Newsの記事)。 Operation Ironsideは米連邦捜査局(FBI)との協力により3年前から行われていたという。AFPとFBIは犯罪組織が用いる暗号化通信プラットフォームを共同で摘発しており、その過程でFBIは「AN0M」と呼ばれる暗号化通信アプリを入手してひそかに運営を始めたそうだ。 AN0Mは機能を制限した携帯電話にインストールして闇市場で取引されており、摘発により競合の暗号化通信プラットフォームが減少する中、犯罪者の間で人気を博していた。しかし、犯罪者はAFPをポケットに入れているのも同然であり、AFPは2018年以降、3.7トンの麻薬や4,493万豪ドルの現金などを押収しているとのことだ。

すべて読む | セキュリティセクション | 犯罪 | オーストラリア | セキュリティ |

関連ストーリー：
警察庁、SMS認証の代行業者の取締まり強化を全国の警察に指示 2021年04月23日
PUBGのチートツールを販売していたグループが摘発される、51億円の資産を押収 2021年04月02日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
中国で偽コロナワクチンの販売グループが摘発。注射器3000本以上が押収される 2021年02月05日
米覆面捜査官2人が闇サイトの摘発中にビットコインを詐取していたことが明らかに 2015年04月01日
米連邦捜査局、闇サイト「シルクロード2.0」を摘発 2014年11月12日

The Telegraphの報道によると、米国オレゴン州に住む当時10代の女子大生が2016年に、Appleに自分のiPhoneの修理を依頼したところ、修理業者の手によって中にあった写真と動画が勝手に取り出され、しかも彼女本人が投稿したかのようにFacebookアカウントに投稿されたという事件が起きていたという（The Telegraph、クーリエ・ジャポン、Афиша Daily、detikcom）。 その後の経緯はタレコミにあるとおりで、最終的にAppleが数百万ドルの補償金を支払ったとしている。Appleが彼女に最終的に支払った金額自体は不明だが、報道によれば彼女の弁護士は500万米ドルを要求していたとのこと。Appleはこの事件のあと、セキュリティシステムを強化し、同様のリーク事件が再発しないよう対策を取ったとしている。 tamaco 曰く、2016年アップルにiPhoneの修理に出した女子大学生、アップル公認の修理業者により、彼女のフェイスブックアカウントから、まるで彼女自身がアップしたと思われるような形で勝手に「さまざまな段階の脱衣姿の写真10枚とセックスビデオ」を投稿した。 友人から彼女に連絡が入り、これらの画像はすぐに削除された。事件をおこした修理業者の技術者2人はすぐに解雇され、より監視体制を厳格にした この事件による「深刻な精神的苦痛」の慰謝料として、アップルが女子学生に数百万ドルを支払ったと英紙「デイリー・テレグラフ」が報じている。 iPhoneのロックはFBIでも解除困難と聞いていたので、修理に出す前にはロックするようにしている。しかしまさか修理業者が端末のデータに簡単にアクセスできるなんて想定外だし怖い話ではある。 情報元へのリンク

すべて読む | アップルセクション | 犯罪 | スラッシュバック | アップル | お金 | 情報漏洩 |

関連ストーリー：
ブラジル・サンパウロ州の消費者保護当局、Appleに消費者保護法違反で約1,050万レアルの制裁金 2021年03月23日
Apple、フランスのWebサイトでiPhoneとMacBookの修理しやすさスコアを公開 2021年02月28日
Apple、iPhone 6s/6s Plusの無償修理プログラムを開始 2019年10月07日
AppleCare+のiPhoneなどを対象にした規約改訂、米国の月ぎめプランではAppleがサービス可能な限り無期限で自動継続に 2019年09月14日
Apple、サードパーティーのiPhone修理業者が正規サービスプロバイダーと同等のサービス提供を可能にする新修理プログラムを発表 2019年08月31日
Apple、サードパーティーがバッテリーを交換したiPhoneの表示変更はユーザーを守るためだと説明 2019年08月17日
Apple、iPhoneの速度低下を招くiOSアップデートを提供する場合は事前に告知すると英競争・市場庁に約束 2019年05月26日
Appleが修理担当者に対し、非正規バッテリーに交換されたiPhoneも修理するよう指示したとの報道 2019年03月10日

5月にサイバー攻撃を受けて操業停止に追い込まれた米パイプライン最大手コロニアル・パイプライン。ロシアに拠点を置くハッカー集団「Darkside」に身代金を支払っていたことも発表されていたが、その身代金のうち2億5000万円相当をFBIが回収することに成功したそうだ（米司法省、AFPBB News、NHK、CNN、BBC、ニューズウィーク日本版）。 米司法省が7日に発表したもので、支払われた75ビットコイン（当時の相場で440万ドル相当）のうち、FBIが63.7ビットコインを押収したとしている。この回収は最近になって新設された「ランサムウェア＆デジタル恐喝タスクフォース」によって行われ、暗号通貨ウォレットへの支払いを追跡、回収に成功したとしている。 あるAnonymous Coward 曰く、金額を見ると半分ぐらいじゃんと思ったら、ビットコインが急落した影響でそう見えるだけで、75ビットコインのうち63.7ビットコインが奪還されたそうだ。 情報元へのリンク

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 |

関連ストーリー：
米パイプラインのサイバー攻撃事件、身代金4.8億円が支払われる。米保険会社でも支払いとも 2021年05月22日
米パイプラインのサイバー攻撃事件、FBIがロシアのDarksideグループが関与と判断 2021年05月11日
米最大の石油パイプラインがサイバー攻撃で停止。石油供給に影響する可能性も 2021年05月10日

メルカリは8日、同社の決済サービス「メルペイ」に関して、一部加盟店での利用制限を行うと発表した。リリースによれば、メルカリを装った不審なメール・SMSが急増しており、ユーザーのメルペイアカウントにログインされ、不正利用される事例が発覚したためであるという。現時点で再開時期は未定だとしている。利用制限となる店名や被害の件数については公開されていないとのこと（メルカリ、ITmedia）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | お金 |

関連ストーリー：
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
PayPayとKyash、LINE Payでもゆうちょ銀行からの不正預金引き出しが発生。Kyashはイオン銀行からも 2020年09月16日
ゆうちょ銀行で「ドコモ口座」以外のサービスでも不正預金引き出しが発生 2020年09月15日
メルペイとd払いが9月にQRコード共通化へ。決済手数料も2.6％に統一 2020年07月04日
Origami Payが全サービス終了。有終の美はとらのあな新宿店で 2020年07月03日
NTTドコモのd払い、相次ぐ不正利用を受け利用規約を改定、補償を明記。PayPayも追随 2019年08月30日
7payと同じく7月1日よりスタートしたFamiPay、現時点で不正ログインなどのトラブルはなし 2019年07月09日

NortonLifeLock（旧:Symantec）は2日、同社のウイルス対策ソフトウェア「ノートン360」に専用の暗号資産マイニング機能「Norton Crypto」を追加したと発表した。このNorton Cryptoでは、暗号資産Ethereum(イーサリアム)を、PCがアイドル状態のときに自動的に採掘する機能が利用できる。新機能は今後数週間のうちにユーザーに提供される予定だという（Business Wire、TechCrunch、ZDNet）。 マイニングソフトの中には利用時にウイルス対策ソリューションを無効にすることを求められることがある。しかし無効化した状態でマイニングした場合、精査されていないコードがシステム内に侵入し、せっかく掘り出したコインの窃盗や消失につながる可能性がある。Norton Cryptoでは、ウイルス対策と暗号資産のマイニングを両立させることができる上、クラウドベースのウォレット「Norton Crypto Wallet」に転送する機能も備えているとしている。

すべて読む | ITセクション | ソフトウェア | 暗号 | IT | お金 |

関連ストーリー：
HDDの大容量モデルで在庫不足と高騰化の傾向 2021年06月03日
早くも暗号資産Chiaのマイニング対応か。32基のSATAドライブを接続できるマザーボード 2021年05月01日
暗号資産「Chia」のマイニング需要増加で、今度はHDDやSSDが品薄になる可能性 2021年04月21日
ビットコインが過去最高値を更新。しかし電力消費量はGoogle全体の10倍に 2021年04月15日
NVIDIAがマイニング専用GPU「CMP HX」を発表。映像出力を省きシステムも効率化 2021年02月23日
品不足が予想される「GeForce RTX 3060」、暗号資産マイニング性能が強制半減される仕様に 2021年02月19日

自動車用品などを手掛けるユピテルは7日、同社の会員サイト会員サイト「My Yupiteru」が2017年10月にサーバが不正アクセスを受け、約52万件分の個人情報が外部に流出していたことを発表した。流出したデータは住所、氏名、性別、生年月日、電話番号、メールアドレスで、退会済みや入会途中のデータも含まれていたという（プレスリリース, ITmedia）。 ITmediaの記事によると、不正アクセスから3年以上も経過後という異例の状況で発表されたのは、当時の調査では不正アクセスはあったものの、個人情報がダウンロードされた痕跡は認められないとの結論に至ったためだったとしている。 ところが2021年5月になってから、犯人からと思われる「2017年末にサーバをハッキングし、顧客情報を持っている」との脅迫メールが届き、実際に流出されたデータを確認できたことから公開に踏み切った模様。要求金額については明言を避けたものの、「かなりの金額」であるとしている。 あるAnonymous Coward 曰く、金額を支払ったかは報じられていない。発覚時点で公表すれば大きな問題にならなかっただろうに、こういう会社は結構ありそうである。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
カプコン、著作物の写真無断使用で提訴へ。昨年の不正アクセス事件により判明 2021年06月07日
富士フイルム、ランサムウェアによる攻撃を受けた可能性があると発表 2021年06月03日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日

headless 曰く、米国のリサ・モナコ司法副長官がすべての連邦検事に対し、ランサムウェアとデジタル恐喝対策強化のためのガイダンスを3日付で発行している(ガイダンス: PDF、 Reutersの記事、 The Guardianの記事、 Ars Technicaの記事)。 ガイダンスの目的は内外を問わず各地で発生しているランサムウェア・デジタル恐喝に対する情報を中央に集約し、捜査の調整を可能にすることだ。ランサムウェアやデジタル恐喝スキームでしばしば使われるカウンターアンチウイルスサービスやオンラインフォーラム・マーケットプレース、暗号通貨取引所、防弾ホスティングサービス、ボットネット、オンライン資金洗浄サービスなども対象としている。 連邦地方検事補など関連事件の捜査に割り当てられた担当者は大きな進展があるたび、司法省のコンピューター犯罪および知的財産セクション(CCIPS)と連邦検事事務局の国家安全保障およびサイバー犯罪コーディネーターへの報告が求められる。CCIPSは個別に捜査されている事件が関連すると判明した場合に各当局間の調整などの役割も担う。 これにより、ランサムウェア・デジタル恐喝対策をテロ対策と同様の優先度で行うようになるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 法廷 | アメリカ合衆国 |

関連ストーリー：
富士フイルム、ランサムウェアによる攻撃を受けた可能性があると発表 2021年06月03日
米パイプラインのサイバー攻撃事件、FBIがロシアのDarksideグループが関与と判断 2021年05月11日
ランサムウェアによって奪われた機密情報で警察が脅迫される 2021年04月30日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
総務省の業務委託先会社がランサムウェアに感染、個人情報流出の可能性 2021年04月12日
警察庁、サイバー攻撃に関する統計を発表。コロナ禍便乗やランサムウェア関連など 2021年03月09日
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
Canon USA、7月から8月に不正アクセスを受けて従業員の個人情報が流出 2020年11月29日

中米にあるエルサルバドル共和国のナジブ・ブケレ（Nayib Bukele）大統領が、米国で開催されていたビットコインカンファレンス「Bitcoin 2021」で、ビットコイン（Bitcoin）を「法定通貨」として採用することを検討しているという（ナジブ・ブケレ大統領ツイート、読売新聞、COINPOST、コインテレグラフ ジャパン）。 同大統領は来週にも国会に法案を提出する考えだとしている。現時点では議会や金融当局の承認が得られるかについては不明だが、可決・施行されることがあれば世界初の事例となる。同大統領は先月、5人の裁判官と司法長官を解雇するなどの強権的な制限運営をしているものの、国内での支持率は高いとしているので、実現する可能性は十分にある模様。 ブケレ大統領は、この新たな法案は銀行口座を持っていない70％以上のエルサルバドル人にとってて重要なものになると話しているという。

すべて読む | セキュリティセクション | 暗号 | お金 |

関連ストーリー：
イーロン・マスクに振り回される暗号資産にウォール街が疑問を持ち始める 2021年05月19日
ビットコインの取引単位を「サトシ」に変更しようという提案が出る 2021年05月14日
暗号資産「Chia」のマイニング需要増加で、今度はHDDやSSDが品薄になる可能性 2021年04月21日
ビットコインが過去最高値を更新。しかし電力消費量はGoogle全体の10倍に 2021年04月15日
Twitterの最初のツイートが約2億1800万円で落札 2021年03月24日
Mastercardが暗号資産での決済に対応と発表。2021年中には 2021年02月16日
テスラ、ビットコインを15億ドル分購入と判明。ビットコイン価格は過去最高値を更新 2021年02月09日

headless 曰く、米連邦捜査局(FBI)がUSA TODAYの特定の記事へ35分の間にアクセスしたIPアドレスなどの情報に関する文書提出令状(PDF)を4月に取得していたのだが、別の方法で目的の人物を特定できたとして令状を取り下げたそうだ(USA TODAYの記事[1]、 [2]、 [3]、 The Vergeの記事)。 問題の記事は2月2日にフロリダ州で児童ポルノに関連する捜査令状を執行しようとしたFBI捜査員が容疑者と撃ち合いになり、捜査員2名と容疑者が死亡、捜査員3名が負傷したという事件に関するものだ。記事は2月2日9時29分に公開され、同日18時23分に更新されているが、提出が命じられていたのは同日19時3分～19時38分にアクセスした人物に関する情報となっている。 容疑者は記事公開時点で既に死亡しており、FBIがUSA TODAYの記事にアクセスした人物を調べている理由は不明だ。一方、USA TODAYの親会社Gannett Satellite Information Networkは令状が報道の自由を定めた合衆国憲法修正第1条に違反するとして、5月28日に令状無効化の申し立て(PDF)を行っていた。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | YRO | ニュース | アメリカ合衆国 | プライバシ |

関連ストーリー：
米ニュージャージー州最高裁判所、押収した携帯電話のパスコード開示強制は不利な証言の強制にあたらないと判断 2020年08月16日
捜査令状なしに履歴データを入手できる法案が米上院通過。大手IT企業が下院での阻止に動く 2020年05月28日
米連邦地裁、逮捕時に押収したスマートフォンのロック画面を捜査機関が後で確認するには令状が必要と判断 2020年05月24日
FBIから反対を受けたのち、AppleがiCloudバックアップのエンドツーエンド暗号化計画を取りやめていたとの報道 2020年01月25日
米捜査機関では遺体の指を使用したiPhoneのアンロック試行が一般的になりつつある 2018年03月25日
銃乱射事件犯のiPhoneロック解除を巡り再び騒動に 2017年11月25日

米国でカプコンが、デザイナーであるジュディ・A・ユラチェク氏によって写真を無断使用したとして提訴された。昨年起きたカプコンへの不正アクセス事件によるデータ流出により、無断使用が判明したのだという（AUTOMATON 、インサイド 、GameSpark）。 訴状によれば、同氏の写真集「Surfaces: Visual Research for Artists, Architects, and Designers」で使われた写真が、『バイオハザード4』など複数の作品に使われていたとしている。この「Surfaces」はさまざまなタイルや木目、レンガなど建築物など1200枚の写真が含まれる写真集で、1996年に出版されたもの。写真がデータ化されているCD-ROMも付属していたという。この写真データを商用利用する場合、著者へ連絡してライセンスを取得する必要があったそうだ。 療養されたものの中には、バイオハザード4の「4」の文字の表面に使われているテクスチャーがあるという。リメイク版の「biohazard」や「バイオハザード アンブレラ・クロニクルズ」、「デビル メイ クライ」などにも使用されていたとしている。ユラチェク氏は最大1200万ドルの損害賠償の支払いを求めているとしている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 著作権 | ゲーム | 情報漏洩 |

関連ストーリー：
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
カプコン、採用応募者の情報を破棄していなかったことが判明 2020年11月20日
カプコンのランサムウェア脅迫事件、情報流出が確定へ。最大約35万件の個人情報が流出する可能性 2020年11月17日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日

Thunderbird 78.8.1～78.10.1がインポートしたOpenPGP秘密鍵を暗号化せずに保存する問題でRNPの脆弱性(CVE-2021-33589)が発覚し、修正版のRNP 0.15.1がリリースされている(RNPのアドバイザリー、 The Registerの記事)。 RNPの説明によれば、鍵を復号する2つの方法のうち、rnp_key_unlock が鍵の保護設定を上書きせず一時的に復号するのに対し、rnp_key_unprotect は鍵の保護設定を上書きするため、鍵のデータが保護されていない状態で保存される。しかし、RNP 0.15.1よりも前のバージョンでは、rnp_key_unprotect 実行後に rnp_key_protect を実行しても、鍵の保護状態が再設定されないのだという。RNP 0.15.1以降では、 rnp_key_unprotect で保護が解除された鍵を rnp_key_protectが再度保護する機能が実装されたとのこと。なお、ThunderbirdではRNPとは別にThunderbird 78.10.2で修正されているため、最新版にアップデートすればいい。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | バグ | 暗号 |

関連ストーリー：
Thunderbird 78.8.1～78.10.1、インポートしたOpenPGP秘密鍵を暗号化せずに保存していた 2021年05月28日
Thunderbird 78でOpenPGPを標準サポートへ 2019年10月12日
OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 2018年05月16日
OpenPGPに設計上の脆弱性 2005年02月11日
OpenPGPに理論上のセキュリティホール 2002年08月14日

米連邦最高裁は3日、従業員が業務用のコンピューターを使用する場合、アクセスが認められている範囲内であれば、業務目的外で使用してもコンピューター詐欺および濫用に関する法律(CFAA)が定めるコンピューター不正使用にはあたらないとの判断を示した(裁判所文書: PDF、 Voxの記事、 Ars Technicaの記事、 The Registerの記事)。 この裁判は業務と無関係なナンバープレート照会を実行したジョージア州警察の巡査部長(当時)を米政府がCFAA違反の重罪で訴追しているものだ。元巡査部長は警察が要注意人物としてマークしていた人物と親しくなってナンバープレート照会を依頼され、パトカーのコンピューターから州警察のデータベースにアクセスして取得した情報を渡して約5,000ドルを受け取ったという。下級審では米政府の主張が認められたため、被告側が上告していた。 被告が権限を持ってコンピューターにアクセスし、ナンバープレートの情報を取得したことや、被告にナンバープレートの情報を取得する権限があったことに関しては双方異論なく、裁判ではこれらの行為がCFAAにおける「権限を越えたアクセス」に該当するかどうかが争点となった。CFAAで権限を越えたアクセスとなるのは、許可を受けてコンピューターにアクセスし、そのアクセスで取得や変更が認められていない情報を取得または変更する行為となっている。 被告側はナンバープレート情報の取得が認められていることから権限を越えたアクセスには相当しないと主張したのに対し、米政府側は権限付与の目的から外れている場合は権限を越えたアクセスになると主張。連邦最高裁では、目的外の使用が権限を越えたアクセスとみなされれば、業務用のコンピューターで個人の電子メールを送信したり、ニュースを読んだりといった行為も不正使用になってしまうとして、被告の主張を支持している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 法廷 | アメリカ合衆国 | プライバシ |

関連ストーリー：
米最高裁判所、時代遅れとなったハッキング防止法の改正を目指す 2020年05月01日
米エプソン、ファームウェア更新でサードパーティー製インクカートリッジをブロックして訴えられる 2019年10月26日
米連邦控訴裁判所、LinkedIn公開プロフィールへのスクレイピングをブロックしないよう命じた一審の判断を支持 2019年09月13日
米連邦地裁、一般公開されているLinkedInプロフィールへのスクレイピングをブロックしないよう命ずる 2017年08月19日

米食品医薬品局(FDA)が甲殻類アレルギーの人に対し、セミを食べないよう注意喚起している(FDAのツイート、 The Washington Postの記事、 NBC Newsの記事、 The Vergeの記事)。 米国東部では今年が17年周期で大量発生する周期ゼミ Brood Xの発生年となっており、セミを使った料理が注目されている。甲殻類に似た味と表現されることも多い昆虫だが、アレルゲンとしても甲殻類に近いようだ。国連食糧農業機関(FAO)では食料としての昆虫を食品安全性の観点でまとめた報告書(PDF)の中で、昆虫と甲殻類がともに節足動物であることから、昆虫の摂取によるアレルギーの発生リスクについてさらなる研究が必要だとしている。甲殻類アレルギーの人はアレルゲンの交差反応性により、昆虫を食べることでもアレルギー反応が出やすいとのこと。 個人的には甲殻類アレルギーの友人がおり、エビを食べて顔がパンパンに腫れたところを見たこともある。この友人はバッタの素揚げが好きで、食べても平気なようだが、人によってはアレルギー反応が起きる可能性もあるので注意すべきだろう。

すべて読む | ITセクション | バグ | 医療 | idle | アメリカ合衆国 | ワーム |

関連ストーリー：
アメリカで「17年ゼミ」の大規模グループが目覚める。数十億匹から数兆匹が発生へ 2021年05月19日
杉並区立公園でセミを食用目的で大量捕獲しないよう看板が掲示される 2020年09月03日
上野アメ横に昆虫食自販機登場 2020年03月20日
タガメ、希少動物として規制対象に 2020年01月22日
無印良品、コオロギせんべいを開発中 2019年11月25日
コオロギ50匹分の粉末が入ったプロテインバー 2019年03月07日
コオロギを食べると腸内環境が改善したとの研究結果 2018年08月05日
昆虫や微細藻類を使用した「未来のファーストフード」 2018年03月24日
人工培養肉、昆虫、海藻、「明日のミートボール」とは 2015年12月13日

デンマークの公共放送DRなどの欧州メディアが5月30日に、米国家安全保障局（NSA）がデンマークの情報機関DDISと協力する形で、フランスやドイツ、スウェーデン、ノルウェーなど高官に対してスパイ活動をしていたと報じている。ロイターによると、デンマークには、各国につながる海底通信ケーブルの地上局が複数あるという（AFPBB News、ロイター）。 このスパイ活動は2012年から2014年にかけてインターネット回線を盗聴する形で行われていたようだ。フランスのマクロン大統領とドイツのメルケル首相は5月31日、リモートで仏独首脳会談の際にこの件に触れ、アメリカ・デンマークの両政府に説明を求めたとしている。

すべて読む | セキュリティセクション | 軍事 | セキュリティ | EU | 情報漏洩 | プライバシ |

関連ストーリー：
エドワード・スノーデン氏、無期限のロシア居留許可を取得 2020年10月24日
トランプ大統領、エドワード・スノーデン氏の恩赦を検討すると表明 2020年08月20日
米国国家安全保障局（NSA）、位置情報を漏らさないようにするためのガイダンスを公開 2020年08月13日
Microsoft、1月のセキュリティ更新プログラムで米NSAから報告された脆弱性を修正 2020年01月18日
米NSA事件から6年、スノーデンは大衆監視を防ぐことはできなかった 2019年06月06日
米国家安全保障局、リバースエンジニアリングツール「Ghidra」を予告通り公開 2019年03月10日
米国家安全保障局、収集した通話記録を破棄。収集禁止の内容も含まれていた 2018年07月05日

富士フイルムが2日、同社のサーバーに対して外部から不正なアクセスがあったとする発表を行った。ランサムウェアによる攻撃を受けた可能性があるという。6月1日深夜に攻撃を受けた可能性があり、現在は影響の可能性のあるサーバ等の停止、ネットワークの遮断をしたという。現在、被害の内容や範囲等の特定を行っているとしている（富士フイルム、毎日新聞）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | IT |

関連ストーリー：
米パイプラインのサイバー攻撃事件、FBIがロシアのDarksideグループが関与と判断 2021年05月11日
米最大の石油パイプラインがサイバー攻撃で停止。石油供給に影響する可能性も 2021年05月10日
ランサムウェアによって奪われた機密情報で警察が脅迫される 2021年04月30日
カプコン、昨年発生の不正アクセス事件の調査結果を発表。古いVPN装置が原因 2021年04月15日
総務省の業務委託先会社がランサムウェアに感染、個人情報流出の可能性 2021年04月12日
perl.comがドメインを乗っ取られる。ランサムウェア配布の可能性があるためアクセスしないよう警告 2021年02月02日
ランサムウェア被害にあったスコットランド環境保護庁、身代金は支払わないと明言 2021年01月23日
米司法省、ランサムウェア対策をテロ対策と同様の優先度で行う方針 2021年06月07日
ユピテル、2017年の不正アクセスを非公開とするも、脅迫メールにより一転公開へ 2021年06月09日

朝日新聞によると、公共図書館が警察などに対して利用者が借りていた本の書名や予約状況を提供したことが、「表現の自由」「内心の自由」を脅かす恐れがあるとして問題となっているらしい。問題となった理由としては、北海道県警が求めた提供要請は、裁判官が出す「捜索差し押さえ令状」に基づくものではなく、任意捜査である「捜査関係事項照会」によるものだったためだそうだ（朝日新聞）。 札幌弁護士会が2020年に札幌市と周辺自治体にある公立図書館と大学図書館102施設を対象にアンケートを行ったところ、回答のあった43館のうち10館が令状なしの照会を受けていた。そのうちの5館は捜査当局に情報を提供していたとしている。札幌弁護士会は利用者情報はプライバシーに関わることから、令状なしの照会には応じないよう図書館に求めたとしている。

すべて読む | セキュリティセクション | 書籍 | 犯罪 | セキュリティ |

関連ストーリー：
Internet Archive、2500万枚の論文を検索できるサイトを公開 2021年03月13日
東京大学総合図書館の所蔵資料、インターネットアーカイブから利用可能に 2021年02月25日
図書館の「覚え違いタイトル集」、司書はよく見つけられるなレベルの内容が多数 2021年02月25日
全面ガラスタイプの図書館の蔵書が青白く退色。ネットで話題に 2021年02月15日
コンピュータ・サイエンス誌「bit」が電子化・復刻の動き 2020年12月18日
国会図書館、年間納本数の約5％弱しか電子化能力がないことが判明 2020年08月14日

headless 曰く、英国・イングランド中部のウェストミッドランズ警察は5月27日、違法な大麻栽培の疑いで捜査した工業団地の1棟が暗号通貨採掘場だったと発表した(ニュースリリース、 The Guardianの記事、 Neowinの記事、 Daily Mail Onlineの記事)。 警察では現場に多くの人が異なる時間帯に訪れているとの情報を得ており、配線や換気のダクトが多数見えていたほか、かなりの排熱があることをドローンで確認していたという。これらはすべて大麻栽培工場の特徴だが、5月18日に捜査令状を執行して建物に入ると、中にはBitcoin採掘に用いる100台ほどのコンピューターユニットが並べられていたとのこと。 暗号通貨採掘自体は違法ではないが、採掘には電力メーターを迂回して盗んだ電力が使われており、被害額は数千ポンドに及ぶという。そのため、警察は証拠として押収した機器の没収も視野に入れているそうだ。現場には当時誰もいなかったため逮捕者は出ていないが、建物の所有者に問い合わせる計画だとも述べている。 Daily Mailによれば、盗まれた電力は1か月で16,000ポンドに相当するが、採掘されたBitcoinは最高値時で1か月8,000ポンド程度にとどまるとのことだ。

すべて読む | セキュリティセクション | 犯罪 | 英国 | 電力 | 暗号 | お金 |

関連ストーリー：
早くも暗号資産Chiaのマイニング対応か。32基のSATAドライブを接続できるマザーボード 2021年05月01日
暗号資産「Chia」のマイニング需要増加で、今度はHDDやSSDが品薄になる可能性 2021年04月21日
ビットコインが過去最高値を更新。しかし電力消費量はGoogle全体の10倍に 2021年04月15日
密輸されたNVIDIAのマイニング用製品300枚が漁船から押収される 2021年04月09日
QNAP製NASの既知の脆弱性を狙った攻撃が発生、研究機関が修正版の適用を呼びかけ 2021年03月08日
Linus Sebastian氏、NVIDIAのマイニング対策を「ゲーマーをかばうフリをしている」と批判 2021年02月26日