danceman 曰く、

宮城県石巻市の女川原発は、福島第一原発と同じく東北の太平洋沿岸に立地し、東日本大震災では高さ 13 メートルの大津波に襲われたにも関わらず、福島第一原発のような事態に陥る事はなかった。津波から女川原発を守ったのは 1986 年に亡くなった元東北電力副社長、平井弥之助氏であったという (本家 /. 記事、The Mainichi Daily News の記事、毎日 jp 記事より) 。

869 年の貞観大津波を詳しく調べていた平井氏は、女川原発の設計段階で防波堤の高さは「12 メートルで充分」とする多数の意見に対して、たった 1 人で「14.8 メートル」を主張し続けていたとのこと。最終的には平井氏の執念が勝り 14.8 メートルの防波堤が採用されることとなったが、40 年後に高さ 13 メートル津波が襲来することになるとは。氏はさらに、引き波による水位低下も見越していたとのことで、取水路は冷却水が残るよう設計されていた。

「決められた基準」を超えて「企業の社会的責任」「企業倫理」を追求しつづけた平井氏の姿勢に敬服する。

nojiri 曰く、

ローソンがPonta会員用のAndroidアプリ（ローソン公式スマートフォンアプリ）をリリースしました。その「Ponta会員ローソンアプリ利用規約」に、禁止事項として次が規定されています。

「10) 手段のいかんを問わず他人からIDや電話番号・誕生月日を入手したり、他人にIDや電話番号・誕生月日を開示したり提供したりする行為。」（高木浩光氏による画面キャプチャ）

なぜ、こんな利用規約を設けたかというと、同アプリおよびローソン店頭のLoppiにログインするには、Ponta会員ID・電話番号・誕生月日の3つの情報が必要だからです。つまりこれらを入手できれば、他人に成り済ましてPontaポイントを利用できるということです。

Ponta会員IDはレシートに印字されています。つまり、電話番号と誕生日を知っている人の捨てたレシートを拾えば、その人に成り済ますことができます。

ちなみにセキュリティ専門家の高木浩光氏によると、ID・電話番号・誕生日は不正アクセス禁止法の「識別符号」に当たらないとのこと。

taraiok 曰く、

Windows XPは延長サポートが終了する2年後にも相当数が使われ続けることが予想され、ボットネットに組み込まれるなど、セキュリティー上の大きな脅威になる可能性が指摘されている(Network Worldの記事、 本家/.)。

NetMarketShareのデータによるとWindows XPのシェアは3月時点で43.09%。この1年で10%近く減少しているとはいえ、2年以内にサポートが完全終了するOSとしては依然として高いシェアを保っている。Microsoftはサポート終了の周知に努めているものの、何が問題なのか理解していないユーザーも多い。企業はサポート終了までにOSをアップグレードすることが予測される一方、費用に見合うメリットがないと考えるホームユーザーは少なくないとみられる。

そのため、サポートが終了し、セキュリティー更新プログラムが提供されなくなる2年後にもWindows XPマシンは相当数が稼動し続け、サイバー攻撃の標的となる可能性が高い。Network Worldの記事ではセキュリティー上の「悪夢」と表現しているが、最近のマルウェアは感染したシステムに対する破壊活動などを行わず、秘かに動作し続けるものが多いので、その悪夢にすら気づかない可能性もあるとのことだ。

Androidアプリにはネットワーク接続や個人情報データの読み取り、ストレージへの書き込みなどの処理に対するパーミッション設定があり、パーミッション要求の設定されていないアプリでは該当するリソースへのアクセスができないようになっている。しかし、パーミッション要求を一切しないアプリであっても、状況によって個人データを読み取ってサーバーに送信できる可能性があることをLeviathan Security Groupが指摘している(Leviathan Security Groupのブログ記事、 CNN.comの記事)。

たとえば、SDカードにはさまざまなデータが保存されるのにも関わらず、読み取りについてはパーミッション設定が存在しない。そのため、暗号化されていない情報は任意のアプリで読み取れる。本体メモリーにデータを保存する場合も、アプリが適切なアクセス許可を設定していなければ、他のアプリから読み取られる可能性がある。一方、アプリはURIを指定してWebブラウザーを起動できるが、こちらもパーミッションは要求されない。そのため、インターネットアクセスが許可されていないアプリであっても、URIにパラメーターとして指定することで、サーバーにデータを送信することが可能となる。

言われてみればそのとおりなのだが、こういった点はあまり気にされていなかったと思う。アドレス帳データをバックアップした場合のように、個人情報が暗号化されずにSDカードに保存されることも多いので注意が必要だ。Leviathan Security Groupでは実証に使ったAndroidアプリおよびプロジェクトファイルも公開しているので、興味のある方は確認してみるといいだろう。

insiderman 曰く、

英国のPC誌、PC Proの編集者がメインのWebメールをGmailからHotmailに移行する実験を行ったが、2週間で断念したとのこと(PC Proの記事、 本家/.)。

最近ではHotmailのスパムが3%以下であることをMicrosoftのプロダクトマネージャーから聞かされたPC Proの編集者 Barry Collins氏は、Hotmailへの移行実験を行うことを決意した。メッセージの振り分け・並べ替えやSkyDriveとの統合といった新機能を試すという目的もあったという。しかし、実験を始めて2週間後、Collins氏のHotmailアカウントからスパムが送信されているという報告がTwitterで相次いだ。HotmailにログインしたCollins氏は、アカウントがハックされ、すべての連絡先に攻撃用サイトへのリンクを記載したスパムが送信されていることに気づいたという。実験を開始したときにGmailの連絡先をインポートし、Facebook、LinkedInの連絡先とも連動させていたことから被害が大きくなったそうだ。

もうHotmailは信用できないというCollins氏だが、WebメールだけでなくXboxやWindows 8のログインにWindows Live IDを使用する点も不安に感じているという。なお、Collins氏は元のHotmailパスワードが「小文字7文字」だったと追記している。

headless 曰く、

ロシアのアンチウイルスベンダーDoctor Webの調査によると、60万台以上のMacがマルウェア「BackDoor.Flashback.39」および亜種に感染し、ボットネットに組み込まれているという(ニュースリリース、 BBC Newsの記事、 CNNMoneyの記事、 本家/.)。

BackDoor.Flashback.39はJavaの脆弱性を利用して感染するもの。主に英語圏をターゲットにしているとみられ、感染数全体の95%以上が米国、カナダ、英国、オーストラリアの4カ国に集中している。その他の国はそれぞれ全体の1%以下で、日本では0.1%となっている。なお、脆弱性はアップルが4月3日に公開したアップデートで修正されており、Doctor Webでは早急なアップデートを推奨している。また、F-Secureが感染の確認方法や手動削除方法を公開しているので参考にしてほしい(Flashback.I、Flashback.K)。

eggy 曰く、

本家 /. 記事「Ask Slashdot: A Cheap, DIY Home Security Surveillance System?」より。

6 週間前のことだが私とフィアンセが仕事で出かけている間、家が何者かによって不法侵入されてしまった。盗まれたのはノートパソコンが 2 台、iPad、AC アダプタ、金庫 (中には数年分の税金、出生証明書、昔の運転免許証のコピーが入っていた) 、デジタル一眼レフ、その他高価なアイテムが幾つか。盗まれたアイテムの幾つかを巡って、大家の契約している保険会社と争っているが、我々は引き下がるつもりはなく弁護士を交えて交渉している。悪夢だった。だが今は、何者かが日中、私たちの家に足を運んでいることが分かっている。家裏のポーチに置いているテーブルにはゴミが残されていたし、風に飛ばされてきたとは考え難い。庭には、朝にはなかった足跡が残されていた。もし運があれば警察に通報することで我々の所有物を幾つか取り戻せるかもしれない。日中は基本的にご近所はどこも留守にしているのだが、我々が留守の間、いったい何者が私達の敷地内に侵入しているのかを突き止めたいと思っている。私はフィアンセに動作を検知して起動するビデオまたは高速 HD 静止画の録画機能に加え、不法侵入を知らせる機能の付いた動作感知型のホームセキュリティシステムを組み立てるよう言われた。目標としては ADT (誤通報の割合がとんでもなく高いからヤメた方がいい、と警察署にも言われた) のようなセキュリティー会社と契約するよりもっと効果的に機能するものを安く作りたい。私達は既に番犬と銃は用意しており、守りはしっかり固めている。そこでお訊ねしたい。ホームセキュリティーシステムを構築する上で何かアドバイスはあるだろうか。また過去にどんなものを作ったことがあるかも教えて欲しい。

海外ではスクリプトのソースコードやエラーメッセージを共有するために「Pastebin」というツールが使われることが多いという。WikipediaのPastebin項目によると、Pastebinは「ユーザーがソースコードのサンプルなどのテキストを公開するために使われているWebアプリケーション」と説明されている。最近ではTwitterユーザーが140文字に収まらないコードをPastebinを使って公開し、そこへのリンクをTweetする、といった使われ方が多いらしい。

この「Pastebin」を提供するサイトの1つに「Pasitebin.com」があるのだが、最近では不正利用に悩まされているようだ。

headless 曰く、

Pastebin.comのオーナー、Jeroen Vader氏はBBCの取材に対し、機密情報の投稿を監視するスタッフの増員計画を明らかにした(BBC Newsの記事)。

Pastebin.comでは利用者に対して「パスワードリストやソースコード、個人情報を送信しないように求めている」にもかかわらず、1日に寄せられる不正利用報告は平均で1,200件を超えるという。現在はサイト上の不正利用報告システムと電子メールに頼っているが、Vader氏は近いうちにスタッフを増員して監視を強化し、公開された機密情報を早急に削除できるようにする計画だという。

Pastebin.comはAnonymousやLulzSecなどがサイバー攻撃で取得したデータの公開に使用することで知られる一方、サイバー攻撃の被害者でもあるという。たとえば、この3ヶ月でDDoS攻撃を受けなかった日は1日もなく、過去にはVader氏自身の個人情報がPastebin.comに投稿されたこともあるとのことだ。

あるAnonymous Coward 曰く、

NHK等の報道によると、Androidアプリの公式マーケット「Google Play」に3月半ば頃から人気アプリ／コンテンツの名称を冠したマルウェアが出回っており、数十万人から数百万人の大量の個人情報が収集された可能性があるという（NHKの記事、産経新聞の記事、impressの記事、ITmediaの記事）。

問題となったのは「連打の達人 the Movie」「桃太郎電鉄 the Movie」といったソフト計16本。いずれも人気アプリの使い方解説などを装っていたが、内部では利用者の名前と電話番号、Android ID、電話帳に登録されている人の名前、電話番号、メールアドレスといった情報を外部サイトに送信していた。これらのアプリは問題発覚後の13日には全て削除されたが、すでに6万6000件から最大で27万件がダウンロードされており、延べ数十万人から数百万人の大量の個人情報が流出した可能性があるとみられている。

アプリの起動時には明らかに不要と思われるパーミッションが要求されていたとのことで、以前から啓蒙されているように公式マーケットであっても怪しいアプリは使用しないよう注意されたし。ただし、本件ではアドレス帳の情報も流出しているため、日ごろから自衛している人も知人経由で個人情報が漏洩している可能性がある。

eggy 曰く、

米カンザス州のウィチタ・ミッド・コンティエント空港の保安検査場で今月 14 日、パットダウン (全身くまなく触れられるボディチェック) を受けるよう指示された 4 歳の少女、Isabella Brademeyer ちゃんが泣いて嫌がった騒動が物議をかもしているとのこと (本家 /. 記事、The Associated Press の記事より) 。

最初、少女は通常の検査を問題なく通過していた。だがパットダウンによる再検査を指示され列に並んでいた祖母の Lori Croft 氏に駆け寄ってしまったため、少女も同様にパットダウン検査を受けることになってしまったのだそうだ。最も問題視されているのは、同検査場にいた TSA 職員の態度である。パットダウンを嫌がって逃げ出した少女の保護者に「子供を捕まえないと空港を閉鎖することになる」と大声を出したとのこと。騒動の一連を Facebook に投稿した母親の Michelle Brademeyer 氏によれば、検査に当たった TSA 職員は 4 歳の少女に対する思いやりのかけらもなく「まるでテロリストでもあるかのような」扱いだったという。

TSA は今週火曜日の声明で、12 歳以下の子供に対する検査手続きを修正し、子供へのパットダウン検査の必要性を軽減させたことを発表。一方で、「同事件の調査を行ったが、当職員は規定通りの検査手順に従い、加減したパットダウンを行っていたと判断」したとのことで、職員の行ったパットダウンは正当であったとの見解を示している。