slashdot(security)

日本郵便は17日、同社のインターネット上で転居届を受け付けるサービス「e転居」で、本人確認を導入すると発表した。この本人確認は9月24日より導入される。本人確認に利用される書類は運転免許証、運転経歴証明書、マイナンバーカード、在留カードとなっている（日本郵便リリース[PDF]）。 この本人確認には、スマートフォンなどの各端末の写真撮影機能が必要で、転居申請者の顔写真と本人確認書類を撮影する必要があるようだ。こうした機能がない場合はオンラインでの手続きはできない。これに合わせて、従来の自動音声応答による電話番号認証は廃止されるとしている。こうした本人確認が必要となった背景には、e転居サービスをストーカーに悪用した事例があったためと思われる。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 通信 | プライバシ |

関連ストーリー：
空きがある駐車場であえて高級車の横に停める『トナラー』 2021年08月14日
紛失防止タグ「AirTag」はストーカー用途に悪用できるか？ 2021年04月23日
任天堂が3DSハッカーにストーカーまがいの身辺調査を行っていたことを示す文書が流出 2020年12月26日
元警察官ストーカー男が日本郵政の転居サービス「e転居」を悪用。逮捕される 2020年07月21日
米サンフランシスコ市、警察など公的機関での顔認証技術の使用を禁止 2019年05月20日
米人気歌手テイラー・スウィフトのコンサート会場でテロ対策用の顔認証システムが使われる 2018年12月21日

LINEは10日、QRコードログインにおける2要素認証に脆弱性が存在しており、それにより不正ログインが発生していたと発表した。脆弱性に関してはすでに修正済みとのこと。QRコードを用いたログイン時に、PINコードを用いた2要素認証に脆弱性が存在したという。脆弱性により、本来実行されるべきPINコード確認の処理が省略され、不正ログインが行われる状況にあったとしている（LINEリリース、窓の杜）。 不正ログインの手法に関しては、LINEのリリースに詳しいのでそちらを見ていただきたい。発表によると被害ユーザー数は556件で、日本ユーザーの被害は確認されていないという。詳細に関してはタイで11、インドネシアで466、その他で79だったとのこと。影響期間は2019年11月25日〜2021年7月9日だったとしている。 goldenslamber 曰く、なおLINEからの声明は以下の通り。「本件の攻撃内容を踏まえ、フィッシングおよびソーシャルハッキングなどの悪用による非技術的な残存リスクの確認をより一層強化する」 非技術的な残存リスクとは何を指すのだろう。

すべて読む | セキュリティセクション | セキュリティ | バグ | 携帯通信 |

関連ストーリー：
省令改正でLINEを使った住民票の写しの交付申請を不可に、渋谷区は反発 2021年09月16日
東京都、コロナ自宅療養者への医師の派遣調整にLINEを使う仕組み作りへ 2021年09月08日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
LINE、トークやKeep関連のデータ移転に2024年までかかる見込みと発表 2021年06月15日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 2021年05月27日
政府、LINE等のサービスで機密情報の取り扱いを決めるガイドライン策定 2021年05月07日
LINEのトークなどを含む個人情報、中国の委託先技術者が閲覧できる状況に 2021年03月17日

Lumen Technologies の Black Lotus Labs は 16 日、Windows Subsystem for Linux (WSL) をターゲットとするマルウェアが複数見つかったことを発表した (プレスリリース、 Lumen のブログ記事、 The Register の記事)。 一連のマルウェアは主に Python 3 で書かれ、PyInstaller で Linux の ELF (Executable and Linkable Format) バイナリに変換されている。サンプルの中には MSFVenom や Meterpreter で生成した軽量ペイロードを含むものや、リモートサーバーからシェルコードのダウンロードを試みるものがあったという。初期のサンプルでは純粋に Python 3 のみで書かれていたが、最新のサンプルでは ctypes を用いて Windows API を呼び出すものや、PowerShell スクリプトをホストマシン上で実行するようなものに進化しているそうだ。 Windows 向けのエンドポイントエージェントは ELF ファイルを分析するシグネチャを持っていないとみられ、VirusTotal での各サンプル検知率は非常に低い。一方、同様の機能を持つ WSL 向けでないマルウェアはよく検知されているとのこと。

すべて読む | Linuxセクション | Linux | Debian | セキュリティ | Windows | Python |

関連ストーリー：
Windows 10 Insider Preview ビルド21376、WSLのLinux GUIアプリサポートで発生していた問題を解決 2021年05月08日
Windows 10 Insider PreviewのLinux GUIアプリ実行サポート、現時点ではHaswell世代以降のCPUが必要 2021年04月29日
ESR曰く、WindowsはそのうちLinuxカーネルになる 2020年09月30日
Microsoft、WSL 2をWindows 10バージョン1903/1909にバックポート 2020年08月24日
Windows 10 Build 20150、WSL上でCUDAが利用可能に 2020年06月26日
Windows 10 Insider Preview ビルド19603、エクスプローラーにLinuxアイコンが追加される 2020年04月11日
WSL 2のLinuxカーネル、Windows Update経由での配布に変更へ 2020年03月20日
Microsoft、技術イベント「Build 2019」でさまざまな発表を行う 2019年05月07日
Windows 10上での実行に特化したLinuxディストリビューション「WLinux」 2018年09月27日
Windows 10 Insider Preview、AF_UNIXソケットによるWSLアプリとWin32アプリの相互通信が可能に 2018年02月11日
WindowsストアでLinuxが提供されてもWindows 10 Sでは使用できない 2017年05月24日
Windows 10のLinuxサブシステムは新たな攻撃経路となるか 2016年08月09日
Windows 10 Insider Preview ビルド14316、Bashが利用可能に 2016年04月09日
Canonical、仮想化ではない「Ubuntu on Windows」を発表 2016年04月01日

Google は 17 日、Android で使用していないアプリの権限 (アクセス許可) を自動でリセットする機能の対象バージョン拡大を発表した (Android Developers Blog の記事、 The Verge の記事、 Ars Technica の記事、 9to5Google の記事)。 アプリの権限自動リセット機能は Android 11 (API 30) で導入されたもので、制限付きデータへのアクセスや制限付きアクションの実行といった実行時の権限 (危険な権限) が対象だ。通常はユーザーの選択が記憶されるが、数か月間使われなかったアプリは権限がリセットされるため、再び権限のリクエストが必要になる。 対象として追加されるのは Google Play 開発者サービスを使用する Android 6.0 (API 23) 以降のデバイスで、12 月から順次有効化される。自動リセット機能は API 30 以降をターゲットにしたアプリのデフォルトで有効になり、API 23 ～ 29 をターゲットにしたアプリではユーザーが手動で有効化できる。 主にバックグラウンドで動作し、ユーザーの操作を必要としないアプリの開発者は必要に応じて自動リセットの無効化をユーザーにリクエストできるが、リクエストしない場合はコードを変更する必要はない。なお、自動リセットの無効化をリクエストする API は API 30 以降での使用を想定したものであり、デフォルトで自動リセットが無効になる API 23 ～ 29 では不要とのこと。 現在、クロスプラットフォームの自動リセット API は Jetpack Core 1.7.0 ベータライブラリでベータ版として提供されており、10 月には Jetpack Core 1.7.0 の安定版で利用可能になる。12 月にはGoogle Play 開発者サービスを使用する Android 6.0 ～ Android 10 デバイスへ段階的にロールアウトし、2022 年第 1 四半期には全デバイスに導入される見込みだという。自動リセットはデバイスに導入されてから数週間後に開始されるとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | デベロッパー | Android | プライバシ |

関連ストーリー：
Google、Android 12 Beta 1を提供開始 2021年05月20日
Android 11正式版リリース 2020年09月10日
Android 11 Beta リリース 2020年06月13日
Google、Android 11 Developer Preview 3を公開 2020年04月29日
Android Pのベータプログラム、対応端末が大幅に増加 2018年05月12日

米証券取引委員会 (SEC) は 14 日、モバイルアプリ関連の調査会社 App Annie および共同設立者で前 CEO 兼会長 Bertrand Schmitt 氏との和解を発表した(プレスリリース、 The Verge の記事、 The Register の記事)。 App Annie はモバイルアプリのパフォーマンスデータを金融取引会社に販売する企業としては最大手の一つで、企業の公式発表に含まれない「alternative data」と呼ばれるデータを販売している。しかし、企業から第三者にデータを開示しない約束でデータ提供を受け、集約・匿名化して統計データに使用すると説明していたにもかかわらず、2014 年 ～ 2018 年半ばにかけて集約も匿名化もしないデータを用いて統計モデルを改変し、より価値あるデータとして販売していたという。 さらに、App Annie は企業が業績発表前に提供したデータを用いて「予測値」を生成し、その予測値を利用して取引することを推奨していたとのこと。そのため、SEC では App Annie と Schmitt 氏を証券詐欺で訴追していた。今回の和解により、App Annie が 1,000 万ドル、Schmitt 氏が 30 万ドルの罰金を支払うほか、Schmitt 氏は今後 3 年間にわたり公開企業で役員を務めることが禁じられる。

すべて読む | モバイルセクション | モバイル | ビジネス | ソフトウェア | 統計 | セキュリティ | アメリカ合衆国 | お金 |

関連ストーリー：
スマホアプリ世界トップパブリッシャーランキング、トップ3はTencent、NetEase、Activision Blizzard 2020年03月26日
インド国内で中国製アプリのシェアが低下。同国製アプリがシェアトップに 2019年12月28日
WhatsApp、偽ニュース対策としてメッセージの転送制限を世界中で適用 2019年01月25日
2016年のスマホアプリ収益トップは中国のTencent、日本トップはmixi 2017年03月09日
ポケモンGOのアプリ内課金による収益は1日あたり10億円以上？ 2016年08月04日
Google Playでのゲームアプリ収益、トップはパズドラ 2016年05月16日
2015年第3四半期のモバイル音楽ストリーミング利用状況、日本ではLINEとAWAが上位入り 2015年12月06日

Microsoft は 15 日、Microsoft アカウントからパスワードを完全に削除し、パスワードレスアカウントとして設定可能になったことを発表した (Microsoft Security Blog の記事、 ブログ記事抄訳、 Azure Active Directory Identity Blog の記事、 Microsoft サポートの記事)。 パスワードに代わるサインイン方法としてはモバイルデバイス上の Microsoft Authenticator アプリを使用するほか、Windows Hello やセキュリティキー、電話や電子メールで受け取った確認コードが挙げられている。ただし、現在のところ実際にパスワードレスアカウントを利用するには Microsoft Authenticator が必要だ。 パスワードレスアカウントを設定するには Microsoft アカウントにサインインして「セキュリティ→高度なセキュリティオプション」に移動し、「追加のセキュリティ→パスワードレスアカウント」で「有効にする」をクリックする。あとは指示に従って Microsoft Authenticator でサインインできるように設定すればいい。 なお、新規 Microsoft アカウント作成時にパスワードレスを選択することも可能と説明されているが、サインアップ画面でパスワードを入力しないオプションは見当たらなかった。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト |

関連ストーリー：
ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた 2021年03月02日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
Microsoftアカウント、不適切なOAuthの設定のため第三者がアカウントに不正にアクセスできる状態になっていた 2019年12月09日
Microsoft、過去に流出したパスワードを使用するMicrosoftアカウントを多数発見 2019年12月08日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日
Microsoftアカウント、2年以上サインインしないと削除される可能性 2019年07月08日
Windows 10のストアアプリ、Microsoftアカウントなしで無料アプリがインストール可能に 2016年12月01日
SkypeアカウントをMicrosoftアカウントとして使用可能に 2016年10月23日
Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 2016年05月28日

headless 曰く、Google は 14 日、Chrome の User Agent (UA) 文字列情報削減に向け、より具体的なスケジュールとオリジントライアルの詳細を発表した (Chromium Blog の記事、 Chrome Developers のブログ記事)。 Google が昨年 1 月に発表した UA 文字列情報削減計画は COVID-19 の影響で 2021 年以降に先送りされていた。Google は 5 月に再開を発表し、7 段階に分けて計画を進める計画を示したが、Chrome 92 で実施する第 1 段階を除き、具体的な実施時期は示されていなかった。 今回発表された計画では、第 2 段階以降を実施する予定の Chrome バージョンが示されている。まず、削減済み UA 文字列によるオリジントライアルを実施する第 2 段階は Chrome 95 ～ Chrome 100 で少なくとも 6 か月間続けられる。Chrome 100 では移行に時間が必要なサイトが従来の UA 文字列を利用可能にする第 3 段階の逆オリジントライアルも始まる。 逆オリジントライアルにオプトインしていないサイトでは、UA 文字列から Chrome バージョン番号を削減する第 4 段階が Chrome 101 で、デスクトップ版の UA 文字列と関連 JavaScript API を削減する第 5 段階が Chrome 107 で、Android 版でも削減が始まる第 6 段階がChrome 110 で開始予定だ。逆オリジントライアルが終了し、すべてのページで UA 文字列と関連 JavaScript API が削減される第 7 段階は Chrome 113 となる。 安定版のリリーススケジュールは Chrome 95 が 2021 年 10 月 19 日、Chrome 100 が 2022 年 3 月 29 日、Chrome 101 が 2022 年 4 月 26 日、Chrome 107 が 2022 年 10 月 18 日、Chrome 110 が 2023 年 2 月 7 日となっており、移行が完了する Chrome 113 は 2023 年 5 月 2 日に設定されている。

すべて読む | セキュリティセクション | セキュリティ | インターネット | Chromium | Chrome | YRO | 広告 | デベロッパー | プライバシ |

関連ストーリー：
Google、ChromeのUser Agent文字列情報削減計画を再開 2021年05月23日
新Microsoft Edge、デスクトップブラウザーシェアでFirefoxを超える 2021年04月04日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
従来のモバイル版ツイッター終了へ 2020年11月15日
NetMarketShare、User Agent文字列の情報量削減を見据えて10月分を最後にブラウザーやOSなどのシェアデータ提供を終了 2020年11月03日
新Microsoft Edge、Windows 10上のChromeやFirefoxなどで直接ダウンロードできなくなる 2020年10月18日
iOS版Chrome 85、デスクトップ版サイトをリクエストした場合のUser Agent文字列が変更される 2020年09月16日
Google、ChromeでUser Agent文字列を凍結する計画 2020年01月17日
SeaMonkeyでGoogle検索にアクセスするとFirefoxでアクセスした場合とは異なるCSSが送信される 2018年12月06日

headless 曰く、Xiaomi が米輸出管理規則 (EAR) 対象国・地域でスマートフォンのアクティベーションロックを開始したとの報道に対し、特定の地域を対象にしたものではないと否定したそうだ (Global Times の記事、 XDA-Developers の記事)。 Xiaomi のスマートフォンは EAR の対象となる米国のテクノロジーを含むため、EAR 対象国・地域 (クリミア・キューバ・イラン・北朝鮮・スーダン・シリア) に輸出することはできない。Xiaomi の利用規約 14.2 にもこれら 6 か国・地域への輸出は事前に許可を得る必要があると記載されている。 キューバ在住の Reddit ユーザーが投稿したアクティベーションロック画面の画像によると、「Xiaomi のポリシーはアクティベートしようとした地域での販売を認めていない」「購入店に直接連絡するように」といった説明が表示されている。この画面を見る限りは特定の地域を対象としてアクティベーションロックを実施しているようにしか見えない。 しかし、Xiaomi が Global Times に説明したところによれば、ユーザーのセキュリティや消費者の権利を損なう可能性のある密輸を調査するため、一時的にロックしたのだという。調査は十分な成果を上げており、影響を受けた端末はロック解除可能な状態になっているとのことだ。なお、StatCounter のモバイルベンダー別シェア 8 月分によると、Xiaomi のシェアはキューバで 18.27 %、イランで 15.78 % となっている。

すべて読む | セキュリティセクション | モバイル | セキュリティ | 政治 | 携帯電話 | アメリカ合衆国 |

関連ストーリー：
米国防総省によるXiaomiの「中国共産党の軍事企業」指定、正式に取り消される 2021年05月29日
2021年第1四半期のスマートフォン出荷台数は前年同四半期比25.5％増、Huaweiがトップ5から消える 2021年05月05日
日本人デザイナーの手がけたXiaomiの新ロゴ、あまりに変化に乏しく炎上 2021年04月15日
米連邦地裁、Xiaomiの「中国共産党の軍事企業」指定に事前差止命令 2021年03月16日
Xiaomi、充電器から数メートル離れて充電可能な遠隔無線充電技術を発表 2021年02月02日
シャオミ、中国共産党の軍事企業リストへの指定取り消し求めて提訴 2021年02月01日

暗号メールサービス ProtonMail では匿名性の高さをセールスポイントの一つにしており、IP アドレスのログを保存しないと説明していたが、これらの記述が公式サイトトップページから最近削除された (ProtonMail のブログ記事、 6日時点のInternet Archive スナップショット、 The Register の記事、 HackRead の記事)。 ProtonMailは先日、フランスで逮捕されたYouth for Climateの環境活動家のIPアドレスなどの情報を警察に渡していたとして批判を浴びた。 スイスにサーバーを置き、スイスの厳しい個人情報保護法でプライバシーが守られるとする ProtonMail だが、スイス当局が犯罪捜査のために情報提出を命じた場合は異議を申し立てる余地がなく、従うしかないのだという。ProtonMail は外国政府に情報を渡すことはないと説明しているが、この件ではフランス警察がユーロポールを通じてスイス当局に依頼したものだそうだ。 ProtonMail はユーザーの IP アドレスをデフォルトで記録しないが、当局から命じられれば記録して提出する必要がある。そのため ProtonMail は IP アドレスのログを記録しないことを含め、サービス自体の匿名性が高いという記述を削除する一方で、匿名性を重視する場合は ProtonMail と Tor を組み合わせて使用するべきだと述べている。 なお、現在のスイスの法律では電子メールと VPN は異なる扱いになるため、ProtonVPN がユーザーデータの記録を強制されることはないという。また、ProtonMail はその厳しいプライバシーにより、捜査対象が環境活動家であることも知らなかったとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 通信 | プライバシ |

関連ストーリー：
保存されないはずの無料VPNアプリの個人情報が流出。被害者は2000万人以上におよぶ可能性 2020年07月21日
iOSでVPN利用時、一部の通信がVPNをバイパスする脆弱性 2020年03月29日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
Mozilla、実験的にVPNサービスの販売を計画 2018年10月26日
OpenPGPとS/MIMEに脆弱性、適切な実装をしていないクライアントが原因 2018年05月16日
一切のログを記録しないとするVPNサービスがFBIに提出したログとは？ 2017年10月18日

headless 曰く、Microsoft Outlook が IDN ホモグラフ攻撃によるフィッシングドメインを正規ドメインと区別しないという 2 件の報告が相次いで公開されている (報告 1、 報告 2、 Ars Technica の記事、 Windows Central の記事)。 IDN ホモグラフ攻撃は国際化ドメイン名 (IDN) で利用可能な ASCII 外の文字でラテン文字と似た字形の文字をドメイン名に用い、(なりすましの対象となる) 正規ドメインに偽装するものだ。フォントによっては全く同じ字形で表示されるため、人の目で識別することは困難なこともある。ただし、ソフトウェアが騙されることはないと考えられていた。 しかし 2 件の報告によれば、Outlook ではホモグラフ攻撃によるフィッシングドメインからの電子メールを受信した場合かつ、その正規ドメインで同じユーザー名の連絡先がアドレス帳に登録されている場合、フィッシングメールを既知の正規ドメインから送られたものとして表示するのだという。つまり、アドレス帳に登録されている連絡先の写真などがフィッシングメールに表示されることになる。 Microsoftはいずれの報告に対しても「なりすましが発生する可能性があるにしてもデジタル署名なしに送信者を信頼することはできない」「修正を行えば別の問題を引き起こす可能性が高い」などとし、修正は行わないと回答したという。ただし、8 月 24 日の時点で最新版の Outlook バージョン 16.0.14228.20216 では問題が発生しなくなっていたようだが、Microsoft は修正の有無を回答しなかったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | バグ | インターネット |

関連ストーリー：
KADOKAWAの小説投稿サイト「カクヨム」を模倣したフィッシングサイト 2021年09月07日
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
埼玉県警がサイバー攻撃の手口をピクトグラムで表現 2021年08月12日
昨年 7 月の Twitter アカウント大規模侵害事件、新たな逮捕者が出る 2021年07月25日
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 2021年06月30日
メルぺイが一部加盟店で利用制限へ。フィッシングメール急増のため 2021年06月09日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 2021年05月27日
聖火リレー動画配信サイトを装うフィッシング詐欺が増加。地方自治体などが注意喚起 2021年05月13日

headless 曰く、昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。 このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。 FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | 交通 |

関連ストーリー：
北米でリコール対象となった20ブランドの除湿器、すべて同じメーカー製 2021年08月10日
エチオピア航空のパイロット、目的地と間違えて開港前の新空港に着陸 2021年04月07日
米大統領専用機を運用する空軍基地、マウス耳の帽子をかぶった男性が5時間にわたってうろつく 2021年03月14日
Tesla、Tesla車で意図しない急加速が発生したという調査請求は虚偽だと反論 2020年01月24日
ボーイング737 NGで特定の滑走路へ計器進入する際にのみ発生する問題が確認される 2020年01月11日
航空機の操縦士、体調不良の原因は？ 2016年03月02日

headless 曰く、ドイツ政府は現在欧州委員会が検討しているスマートフォン・タブレットメーカーに対するサポート期間義務付けについて、より長い期間を設定すべく交渉しているそうだ (heise online の記事、 Android Police の記事、 The Next Web の記事、 9to5Google の記事)。 欧州委員会の計画はスマートフォン・タブレットメーカーに 5 年間のセキュリティアップデート提供を義務付け、修理用部品はスマートフォンで 5 年間、タブレットで 6 年間の提供を義務付けるというものだという。一方、ドイツ政府は 7 年間のセキュリティアップデートおよび修理用部品の提供義務付けを求めている。また、欧州委員会案では 5 営業日以内の修理用部品配送を義務付けるが、ドイツ政府ではさらに短くしたいとのこと。 これに対し Apple や Samsung、Huawei などが加盟するテクノロジー企業の業界団体 DigitalEurope では、2 年間の機能アップデートと 3 年間のセキュリティアップデートで十分ではないかとの見方を示しているそうだ。修理用部品についても、ディスプレイとバッテリーのみの義務付けにすべきだという。また、欧州委員会案ではユーザーが交換できない内蔵バッテリーについて、1,000 回の充電サイクル後に新品の 80 % の容量が維持されるよう義務付ける計画だが、DigitalEurope では移行期間は 800 回とするよう提案しているとのことだ。

すべて読む | モバイルセクション | モバイル | ハードウェア | セキュリティ | ソフトウェア | EU | 携帯電話 | 政府 |

関連ストーリー：
Microsoft、Windows Server 2022 以降では半期チャネルを廃止して LTSC リリースのみにする計画 2021年07月29日
Apple、フランスのWebサイトでiPhoneとMacBookの修理しやすさスコアを公開 2021年02月28日
次期Windows 10 Enterprise LTSCのサポート期間は5年に 2021年02月22日
Indiegogoで資金調達した5Gスマートフォン/ポケットコンピューターのハイブリッド、スペックダウンに出資者が怒る 2021年01月19日
HTC、90Hzディスプレイ搭載のミッドレンジャー5Gスマートフォンを発表 2021年01月17日
Microsoft、Surfaceデバイスのライフサイクル情報を公開 2020年11月16日
Microsoft、Surface デバイスの商用ユーザー向けに提供するスペアパーツの種類を追加 2021年09月21日

みずほリサーチ&テクノロジーズ（MHRT）が2016年に起きたシステム障害が原因で、受託先から預かったシステム開発に関連するデータを喪失していたことが分かった。MHRTはみずほフィナンシャルグループ（FG）の子会社でシステムの運用管理を業務にしている（日経新聞）。 日経新聞の報道によれば、受託先の日本カストディ銀行から預かっていた「要件定義書」と呼ばれる文書の電子データを、5年前にMHRTで発生した障害が原因となって喪失していたという。このときも先日のみずほ銀行のシステム障害のようにバックアップも機能しなかったとしている。 この問題は、日本カストディ銀行からの指摘で発覚し、MHRT側で調査していたという。その結果、MHRTは消失を認め、データの完全復旧はできないと判断した模様。日本カストディ銀行側は金融庁に報告したとのこと。

すべて読む | セキュリティセクション | テクノロジー | ビジネス | セキュリティ | バグ |

関連ストーリー：
みずほグループのシステム障害多発、担当者6割削減が一因か 2021年09月04日
みずほ経営陣、システムトラブルは人為的な問題だった 2021年08月27日
みずほ銀行で新たな障害。23日にATM130台一時使用不能に 2021年08月24日
20日のみずほ銀のシステム障害でバックアップ機能せず。金融庁は報告徴求命令 2021年08月23日
みずほ銀と同信託銀の窓口で大規模システム障害。窓口取引ができず 2021年08月20日
みずほシステム障害の第三者委調査報告書が発表。運用などの人為的側面が原因 2021年06月16日
みずほ証券、「まれに起こる」ソフトの起動処理の順序逆転でシステム障害 2021年05月17日
全国140市町村で9日に一時、住民票などを発行できない障害。TKC社のシステムを採用 2021年09月10日
みずほ銀行で今年7度目の障害 2021年09月08日

KADOKAWAのは9月3日、小説投稿サイト「カクヨム」の偽者が登場しているそうだ。ユーザーのアカウントやパスワードを盗み出すことが目的とみられている。この偽サイト上では、一部の作品がコピーされて掲載されているほか、外観上はかなりそっくりに作られている模様。ただし、作者名などを削除された形で表示されるような変更が行われているとされる（カクヨムからのお知らせ（3日）、同6日リリース、ITmedia）。 KADOKAWA側は関連して3日と6日に分けてリリースを公開している。3日のリリースによれば、コピーサイトが使用していたとみられるIPアドレスからのアクセスを遮断したほか、ホスティング企業に対し、削除要請の手続きを行っているとしている。6日のリリースでは、マルウェアやコンピューターウィルスに感染可能性があるといったコピーサイトにアクセスした場合の問題点などをまとめている。

すべて読む | セキュリティセクション | 犯罪 | アニメ・マンガ | インターネット | 娯楽 | IT | 情報漏洩 |

関連ストーリー：
五輪チケット購入者やボランティアの個人情報が流出。フィッシングサイト経由か 2021年07月26日
宅配業者を装ったSMS詐欺が増加。Apple IDとパスワードを取られると対処が困難 2021年06月30日
偽の裁判所令状を使用したドメイン乗っ取りが発生 2021年05月06日
マルウェアを含む拡張機能計28本、ChromeウェブストアとEdgeアドオンストアで見つかる 2020年12月20日
米国でテレワーカーをターゲットにした詐欺が横行。偽VPNページにアクセスさせて情報搾取 2020年08月28日
Microsoft Outlookがアドレス帳に登録された正規ドメインと似た字形の文字を使ったフィッシングドメインを区別しないという報告 2021年09月10日

headless 曰く、Wi-Fi ホットスポットや Web サーバー、ペイロード実行機能などを実現するチップを組み込んだ USB ケーブル「O.MG Cable」に USB Type-C 版が登場した (Motherboard の記事、 Mac Rumors の記事)。 このケーブルは USB Type-C コネクターのシェル内にチップが組み込まれているが大きさは通常のケーブルと変わらず、通常のケーブルとしても動作する。USB Type-C - Type-C 版 (C-to-C) と USB Type-C - Lightning 版の 2 種類があり、C-to-C では 一方のコネクター (シェルに USB ロゴ入り) にのみチップが組み込まれている。チップの組み込まれた側をホストに接続すると稼働を開始し、Ducky Script によるキーストローク送信などを実行できる。 内蔵機能の動作は Wi-Fi 接続によりリモートからコントロールできるほか、ジオフェンシングにより特定の場所以外で動作を停止させることも可能だ。また、ケーブル外付けタイプのキーボードとホストの接続に使用することで最大 65 万キーストロークを記録可能なキーロガーエディションも用意されている。価格は通常版が 139.99 ドル、キーロガーエディションが 179.99 ドル、USB Type-A / Type-C に対応するプログラマーが 24.99 ドルとなっている。 USB Type-A 版は既に発売されていたが、USB Type-C コネクターはチップを組み込むのに十分なスペースがないから安全だと考える人もいた。開発者のセキュリティリサーチャー MG 氏はそれが間違いであることを証明するために USB Type-C 版を開発したという。USB Type-C 版は Wi-Fi 機能が強化されており、2 km 以上離れた場所からペイロードのトリガーが可能とのことだ。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ |

関連ストーリー：
高価だがUSB Type-Cケーブルの混沌を解決するThunderbolt 4ケーブルという選択肢 2021年08月06日
Amazonで中国AUKEY製品に続いて同RAVPower製品も削除へ。やらせレビュー問題で 2021年06月23日
USB Type-C規格が更新。USB PDに48V・5Aで240W流せるEPRモード追加へ 2021年05月28日
新型iMac同梱の編組ナイロンUSB-C to Lightningケーブル、耐久性は向上するか 2021年05月02日
iPhoneの同梱品、次になくなるのは？ 2020年12月12日
Raspberry Pi、キーボード一体型PCを発表 2020年11月03日

Appleは 3 日、子供を性的虐待から守る取り組みの強化計画を延期すると発表した(Apple - Child Safety、 The Guardian の記事、 The Verge の記事、 9to5Mac の記事)。 Apple が 8 月初めに発表した計画では、子供が「メッセージ」アプリで性的に露骨な写真を送受信しようとすると警告したり、iCloud 写真へ写真を保存する際に既知の CSAM 画像のハッシュと照合したりといった児童性的虐待素材 (CSAM) の拡散防止を取り組みの中心としていた。 写真のスキャンはデバイス上で行われるが、誤検知や悪用を懸念する声が数多く出ている。そのため Apple では今後数か月かけ、子供を守るための非常に重要な機能をリリースする前にさらなる情報収集と改善を行うとのことだ。

すべて読む | アップルセクション | セキュリティ | YRO | スラッシュバック | アップル | プライバシ |

関連ストーリー：
英国、オンラインでの子供のプライバシー保護を目的とする法律が施行 2021年09月05日
Apple、iCloud メールでは既に児童性的虐待素材をスキャンしている 2021年08月25日
デバイス上で児童性的虐待コンテンツをスキャンするAppleの計画に反対する公開書状、7,000人以上が署名 2021年08月13日
Apple、波紋を呼んだ児童虐待画像（CSAM）の検出技術に関してFAQを公開 2021年08月12日
Apple、米国内のデバイスで児童性的虐待画像をスキャンするなど子供を守る取り組みを強化 2021年08月08日

headless 曰く、米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。 単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。 現在、CISA がバッドプラクティスとしているのは以下 3 件。 サポートされないソフトウェアの使用既知/固定/デフォルトパスワードの使用単一要素認証の使用 重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
米国土安全保障省、ランサムウェア攻撃からセンシティブ情報と個人情報を守るためのファクトシートを公開 2021年08月23日
米国土安全保障省、政府機関に PrintNightmare 脆弱性対策を命じる 2021年07月17日
ランサムウェア攻撃者に身代金を支払うと「お得意様」になってしまう可能性 2021年06月19日
Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 2021年06月13日
PHP、不正なコミット発生を受けてリポジトリをGitHubへ移行 2021年03月31日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
米国土安全保障省の選挙インフラに関する評議会、11月3日には米史上最もセキュアな選挙が行われたと声明 2020年11月15日
中国政府関与のハッカー集団が2要素認証を突破してVPNアカウントを奪取していたとの報告 2019年12月26日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日

ゆうちょ銀行は8月27日、クラウドサービスを利用したメモアプリ上の暗証番号等を盗み取る手口の犯罪が多発していることから、注意喚起を促すリリースを出した（ゆうちょ銀行）。 クラウドサービスに、パスワード等の個人情報を保存しないように求めるもので、スマートフォン上のメモ等にパスワードを記録したりしている場合、クラウドサービス上に自動的にバックアップする設定になっていないか確認するよう求めている。なおこうしたクラウド上のデータを読み取られる形で不正利用の被害に遭った場合、ユーザー側の過失と見なされ補償の対象とならない可能性がある模様。

すべて読む | セキュリティセクション | セキュリティ | アナウンス |

関連ストーリー：
2021年秋の他行あて振込手数料の値下げ、四大銀行とゆうちょ出揃う 2021年08月24日
ゆうちょ銀行が各種手数料を新設・改定へ。ATM入出金や硬貨の預け入れ等も有料に 2021年07月08日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 2021年05月27日
ゆうちょ銀行、不正引き出し多発の「mijica」を廃止する方向 2020年11月09日
不正アクセスで連日発表の続くゆうちょ銀行、プレスリリースでUnicodeで互換用文字とされている半角カナを使用 2020年10月07日
SBI証券、不正アクセスで利用者の資産9864万円流出 “本人名義の偽口座”へ送金される 2020年09月17日

headless 曰く、Microsoft が Windows 11 上の Windows Insider Program から Windows 11 のハードウェア要件を満たさない非対応環境の締め出しを開始したようだ (The Verge の記事、 Neowin の記事、 Ars Technica の記事、 Windows Central の記事)。 Dev チャネルで Windows 11 Insider Preview をインストールしていた非対応環境では「設定 → Windows Update → Windows Insider Program」に「ハードウェア要件を満たさないのでWindows 11 上でWindows Insider Programに参加できない。Windows 10をインストールしてリリースプレビューチャネルのWindows Insider Programに参加するように」といった趣旨のメッセージが表示され、Windows Insider Programを有効にしていない状態となる。 一方、リリースプレビューチャネルを選択していた (本来は選択できないはずだが一時選択可能だった) 非対応環境では「お使いの PC は、Windows 11 の最小ハードウェア要件を満たしていません。チャネル オプションは制限されます。」と表示され、リリースプレビューチャネルのままになる。 ただし、現在のところ Windows 11 Insider Preview をインストールした環境では、Windows Insider Programに参加していない場合や、(まだビルドが提供されていないはずの) リリースプレビューチャネルを選択している場合でも、新しいビルド (累積更新プログラム) は提供されている。いつまで提供されるだろうか。

すべて読む | セキュリティセクション | アップグレード | セキュリティ | Windows | デベロッパー |

関連ストーリー：
Windows 11 の一般提供は 10 月 5 日から 2021年09月01日
Microsoft 曰く、非サポート CPU でも Windows 11 はインストール可能だが、更新プログラムが提供されるとは限らない 2021年08月29日
Windows 11 のスタートメニュー、どう思う？ 2021年08月28日
Windows 11、既定のWebブラウザーを変更しにくくしていると批判される 2021年08月21日
Windows 11 Insider Preview、初の ISO イメージ提供開始 2021年08月21日
Windows 10、デバイスのインストール制限ポリシーを階層順に適用可能に 2021年08月19日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日
Microsoft、Windows 11 を正式発表 2021年06月25日
Windows 10 / 11 バージョン 21H2、商用環境向けプレビュー提供開始 2021年09月05日
Windows 11 Insider Preview、初の開発ブランチビルドが提供開始 2021年09月04日

以前話題となった富士通の情報流出に関する報道が複数行われている。朝日新聞の記事によれば、ProjectWEBにアクセスしたハッカーが東京五輪や原発に関する情報を検索した履歴があることが判明したという。犯行を行った人物等が政府や重要インフラのネットワークに侵入する狙いがあった可能性があるとしている。この人物が中国系ではないかともしている（朝日新聞その1、朝日新聞その2）。 これとは別に、日経クロステックの記事によれば、富士通から流出したとみられるデータが暴露サイトに複数掲載されていることが分かったという。25日ごろから流出情報が掲載されたとしており、圧縮ファイルサイズで4GBほどあったという。データベース設計書などのシステム関連データが含まれており、東レなどの名前が含まれていたとのこと。流出経路などは分かっていない。東レ広報からは回答はなかった模様。ただし、富士通側は証拠はなく関連ないものと考えていると回答しているとのこと（日経クロステック）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 情報漏洩 |

関連ストーリー：
富士通のProjectWEBへ不正アクセス、129の中央省庁や企業などから情報漏洩が判明 2021年08月12日
富士通の情報共有ツール「ProjectWEB」へ不正アクセス。国交省や外務省などから情報流出 2021年05月31日