家電量販店大手のヤマダ電機が、同社のネットショッピングサイトに不正アクセスがあり顧客の情報が漏洩したとの発表を行った。

これによると、不正アクセスによって決済アプリケーションが改ざんされており、3月18日から4月26日の間に同サイトに登録されたクレジットカードの情報が流出した可能性があるという。流出した可能性があるクレジットカード情報はクレジットカード番号および有効期限、セキュリティコード最大37832件とのこと。

同サイトではセキュリティコードの保存は行っていなかったが、アプリケーションの改ざんによって顧客が入力した情報が抜き取られてしまったようだ（Yahoo!ニュース）。

nemui4曰く、

ゴム印などで知られるシャチハタが、護身用のスタンプを開発するという（毎日新聞）。

どうか冤罪ネタには使われませんように。このネタ関係のtogetter見たけど、安全ピンでグサグサやっていいと思うよ。痴漢するやつは階段でコケて足くじいてしまえ。

痴漢された際にこのスタンプを相手の手などに押すことで証拠を残すというもの。まだ具体的な完成形については検討中だそうだが、真剣に商品化を目指すそうだ。

taraiok曰く、

国土安全保障省（DHS）の国境担当は、米国に出入りする旅行者に対して、令状なしでスマートフォンやラップトップPCといったデジタル機器の中身を自由に検閲できる。米上院議員の二人は超党派的な法案により、この状況を変えることを望んでいる。この二人はオレゴン州の民主党員であるRon Wyden、ケンタッキー州の共和党員であるRand.Par Paulの両氏。二人はProtecting Data at the Border Act[PDF]という法案を発表した（CNET、CNETその2、Slashdot）。

DHSによる国境での電子機器の検閲数は、ここ4年間で急増しているという。2015年には4,764件であったのに対し、2018年の検閲数は33,000件にまで増加。Ron Wyden上院議員は、「国境は頻繁に移動するアメリカ人にとって、権利のない地域になりつつある。休暇を取った、仕事のために移動しなければならないという理由で、政府があなたの電子機器を検閲することはおかしい」とWyden上院議員は声明で述べている。

h-harry曰く、

流出したクレジットカード番号がPayPay経由で使われる懸念が出ていたPayPayだが、去年12月の「100億円あげちゃうキャンペーン」時に0.996％あった不正利用率が、「3Dセキュア」導入後は0.003％に改善され、現在行っている「第2弾100億円キャンペーン」では0.0004％になったようだ（PayPayの発表、ITmedia）。

当初の不正利用率が1％近くだったことは驚愕の事実で、カード会社が利用額を全社合計で5万円にするのは当然だったと思われる。

米国で子供や世話の必要な人を乗用車内に忘れて閉じ込めてしまうことを防ぐため、警告装置搭載を義務付ける法案が提出された(上院商業・科学・運輸委員会のプレスリリース、 ティム・ライアン下院議員のプレスリリース、 SlashGearの記事、 法案: PDF)。

超党派の上院・下院議員による法案「Helping Overcome Trauma for Children Alone in the Rear Seat(HOT CARS) Act of 2019」は、成立から2年以内に新車への警告装置搭載義務付けに関する最終規則の制定を運輸長官に求めている。警告装置は運転者がエンジンを切った後で作動して後部座席を確認するよう促すもので、光や音による警告が必須、振動による警告がオプションとなる。このほか、各州に対してはエンジンを切った車内へ子供や世話の必要な人を残していくことの危険性に関する教育プログラムの実施を求める条項や、運輸長官には既存の乗用車への警告装置追加に関する第三者機関による調査の実施を求める条項が盛り込まれている。

全世界で重大な被害を与えた6種のマルウェアに感染しているノートPC、という芸術作品「The Persistence of Chaos」がオークションにかけられており、入札額は120万ドルを超えている(オークションページ、 HackReadの記事、 Motherboardの記事)。

The Persistence of Chaosは中国のインターネットアーティスト郭偶東(Guo O Dong)氏の作品だ。米サイバーセキュリティ―企業Deep Instinctの協力により、ネットオークションが行われている。本体は10.2インチディスプレイ(WSVGA)を搭載したSamsungのネットブックNC10-14GB(2008年製)で、OSはWindows XP SP3。総額950億ドルの金銭的被害を出した6種のマルウェア「ILOVEYOU」「MyDoom」「SoBig」「WannaCry」「DarkTequila」「BlackEnergy」に感染しており、オークションページでは感染が広がらないようエアギャップ環境でのライブ中継が行われている。

現在はニューヨークで保管されているようだが、米国ではマルウェアを運用目的で販売することは違法となる。そのため、入札にあたっては芸術作品として、または学術目的での購入であり、マルウェア拡散が目的ではないことに合意する必要があるとのことだ。

あるAnonymous Coward曰く、

米国政府がHuaweiに対する制裁を発表したが、次の制裁ターゲットは世界シェアの7割を占めているとも言われる中国のドローンメーカーDJIではないかとみられている。米国土安全保障省が米企業などに対し、中国製のドローンによって情報流出が発生する可能性があると警告したとのこと（読売新聞）。

DJIはこういった「情報流出」に対し否定、第三者機関の調査でもそのような行為は認められなかったとしている（ギズモード・ジャパン）。

なお、DJIのドローンには過去に脆弱性が見つかっているが、これは意図的なものではなく、セキュリティ企業からの指摘を受けて修正されたとしている（チェックポイントの発表）。

Googleが企業・団体向けサービスであるG Suiteにおいて、同社のポリシーに反してハッシュ化せず平文で保存していたことを明らかにした（Google Cloudブログでの発表、CNET Japan）。

G Suiteではかつて企業・団体のドメイン管理者に向けたツールを提供しており、そのツールの機能の1つにその組織のユーザーを手動で設定できるというものがあったそうだ。このツールでパスワードをハッシュせずに管理していたという。なお、この機能はすでに廃止されており、またパスワードに対する不正アクセスや、これらを悪用されたも確認はないとのこと。

あるAnonymous Coward曰く、

PCにプリインストールされているソフトウェアの脆弱性問題は以前にも指摘されているが、また新たな問題が発覚した。ESETのセキュリティ研究者らによると、ASUS製PCにインストールされている「ASUS WebStorage」の脆弱性が狙われており、PCに不正なソフトウェアをインストールする攻撃が確認されたという（PC Watch、ESET）。

ASUS WebStorageはASUSが提供しているオンラインストレージサービスのクライアントソフトウェア。このソフトウェアは自動アップデート機能を備えているが、その際にHTTPでバイナリをダウンロードするうえ、ダウンロードしたバイナリを検証せずに実行してしまうという。問題の攻撃はこれを悪用するもので、アップデートのダウンロード時にネットワークトラフィックの改変などを行った悪意のあるアップデータを送り込むというもの。具体的には、まず脆弱性のあるルーターに侵入し、そこでトラフィックを改変するような処理を行うようにしていたという。

やや旧聞となるが、衣料品店「ユニクロ」や「GU」を手がけるファーストリテイリングが、同社の通販サイトに不正アクセスがあったことを明らかにした（毎日新聞、INTERNET Watch、日経xTECH）。

他のサービスなどから流出したID・パスワードのリストを使ってログインを試みる、いわゆる「リスト型攻撃」によって不正ログインを試みるという手法で、攻撃は4月23日から5月10日にかけて行われたという。顧客からの問い合わせで発覚した。不正ログインによって氏名や住所、クレジットカード番号の一部といった登録情報が閲覧された可能性があるという。

headless曰く、

Fedoraは今秋リリースのFedora 31に向け、rootユーザーによるsshパスワードログインをデフォルトで無効化すべく検討を開始したようだ（Phoronix、Fedora Wiki、develメーリングリストのスレッド）。

OpenSSHでは2015年からrootユーザーのパスワードログインをデフォルトで無効化しているが、Fedoraはデフォルト設定を変更してパスワードログインを許可し続けていた。しかし、Linuxのrootログインは攻撃者に狙われやすい部分であり、パスワードはその弱点となっている。Fedoraがパスワードログインを許可し続けてきたのにはさまざまな実用的な理由があるものの、OpenSSHのデフォルトとの違いが許容できない段階に達しており、ユーザーの期待するデフォルト設定にも反するため変更が必要になったとのこと。変更後も公開鍵認証やGSS-API認証は影響を受けない。

一方、この設定に依存するものも多く存在するため、対策の検討も必要となる。最終的にはFedora Engineering Steering Committee（FESCo）での採決が必要になるが、develメーリングリストで強い反対意見は出ておらず、Fedora 31ではrootユーザーのsshパスワードログインがデフォルト無効になる可能性が高いとみられている。

5月9日、大手ウイルス対策ソフトベンダー3社がハッカー集団「Fxmsp」からサイバー攻撃を受けて製品ソースコードや機密情報などの流出が起きていたと米セキュリティ企業のAdvanced Intelligenceが伝えた（piyolog、過去記事）。その後この3社がTrendMicro、Symantec、McAfeeだったことが明らかになったが、これに対しトレンドマイクロは実際にサイバー攻撃を受けたことを認めたものの、ソースコードの流出は否定している（朝日新聞、トレンドマイクロの発表）。

トレンドマイクロは、「流出したものはデバック目的で利用される情報の一部」と述べている。これに対しFxmspとコンタクトを取ったAdvanced IntelligenceのYelisey Boguslavskiy氏はトレンドマイクロの発表について正しくないと主張、ハッカー集団がソースコードにアクセスした証拠があると述べている（Bleeping Computer

米サンフランシスコ市で、警察など公共機関に対し顔認証技術の使用を禁じる条例案が可決された（BBC、朝日新聞、ウォール・ストリート・ジャーナル）。

米国ではすでに法執行機関が顔認識を活用しているほか（過去記事）、コンサート会場においてストーカーを検出するために顔認識技術が使われていた事例もある（過去記事）。

サンフランシスコ市が顔認証技術を禁じた理由として、「恩恵よりも市民の権利や自由を侵すおそれのほうが大きい」ことが挙げられている。企業や連邦政府は対象外。

northern 曰く、

来年をめどに高速道路でのレベル３自動運転、過疎地でのレベル４自動運転の実用化を目指し、安全基準を定める改正道路運送車両法が成立した(日本経済新聞の記事)。

自動車メーカーの開発も間に合いそうとのこと。

改正道路運送車両法では自動運行装置を保安基準の対象装置に追加するほか、自動運行装置のプログラム改変による改造に対する許可制度の創設、自動車検査証の電子化等が盛り込まれている。プログラム改変による改造(特定改造等)許可のポイントとしては、1)申請者の特定改造等実施能力・体制が国土交通省の基準に適合していること、2)改変後の自動車が保安基準に適合すること、となっており、これらの審査は独立行政法人自動車技術総合機構が行う(参議院 - 議案情報、 国土交通省 - 法案閣議決定時の報道発表資料)。

また、国連自動車基準調和世界フォーラム(WP29)の自動運転分科会では自動車メーカーにサイバーセキュリティ対策を義務付ける国際基準案の策定を進めており、国土交通省では国際基準を保安基準に取り入れる方針だという(日本自動車会議所の記事)。

一見本物に見える「Call of Duty: Mobile」の偽物がGoogle Playストアに登場したそうだ(Android Policeの記事)。

開発者名は「Activision Publishing, Inc」となっており、Webサイトやメールアドレス、住所などは本物のActivisionのものが記載されていたという。さらに、アプリIDは本物と同じ「com.activision」から始まっている。ただし、本物の「Call of Duty: Mobile」は現在事前登録受付中の無料アプリなのに対し、偽物は31ドル99セントで販売されていたようだ。

また、本物のアプリIDは「com.activision.callofduty.shooter」だが、偽物は「com.activision.callofduty.shootrrrrr」となっており、Tencentのロゴが入ったアイコンや低解像度のスクリーンショット、GameSpotの動画記事がアプリの動画として使われているなど、怪しい点が数多くみられたとのこと。さらに、本物のActivisionは「Activision Publishing, Inc.」であり、偽物は最後のドット「.」が抜けている。

Android PoliceのRita El Khoury氏は偽物をPlayストアアプリから「不適切なコンテンツとして報告」し、読者にも同様のアクションを取るよう呼び掛けていたが、その後短時間で偽物は削除されたとのことだ。