Symantecの調査によると、ホテルが自社サイトで提供するオンライン予約システムの67%が予約番号を意図せず外部のサービスプロバイダーへ送信しているそうだ(Symantec Blogsの記事、 PCMag.comの記事、 SlashGearの記事)。

調査は54か国・1,500軒以上の2つ星～5つ星ホテルを対象に行われた。調査対象はランダムに目的地を決めてホテルをWeb検索し、検索結果上位に含まれるホテルを抽出したという。

予約が完了すると確認メールが送られてくるが、57%は予約情報ページへの直リンクを記載していたそうだ。リンクはURLに予約番号と客のメールアドレスが引数として付加されており、客はログインすることなく予約情報の閲覧・変更が可能となる。しかし、多くのWebサイトは外部サービスプロバイダーによる広告やWeb解析、ソーシャルメディアアイコンといった外部のリソースを配置しているため、リソースをリクエストする際に引数を含めたURLがサービスプロバイダーへ送信されることになる。

これ自体はサービスプロバイダー側の責任ではないのだが、サービスプロバイダーに悪意のある従業員がいれば、予約情報へログインして個人情報を閲覧することや予約をキャンセルすることも可能となる。中には予約情報ページに個人情報を記載しない予約システムもあるものの、大半が客の名前や電子メールアドレス、住所、携帯電話番号、クレジットカード番号の下4桁、パスポート番号といった個人情報を記載しているそうだ。

さらに29%はHTTPSリンクを使用せず、HTTPリンクを確認メールに掲載しているため、空港などの公衆Wi-Fi接続でリンクをクリックすると攻撃者に盗み見られる可能性もある。予約手続きの過程や、ユーザーが自分でログインした後に予約情報をサービスプロバイダーへ送信するものもあるという。ホテルの比較・予約サービス5社についても調査したところ、2社が予約番号をサービスプロバイダーへ送信し、1社はHTTPリンクを使用していたとのこと。

このほか、予約番号が単なる連番であることから、総当たり攻撃により予約情報ページへログインできる可能性もある。予約情報ページへのアクセスが可能になった攻撃者は個人情報を収集してスパム送信に使用することや、勝手に予約をキャンセルするいやがらせも可能になる。競合他社が妨害のため予約をキャンセルする可能性も指摘されている。Symantecは各ホテルへ調査結果を連絡しているが、ホテル側の反応は鈍いようだ。

サイト閲覧者の端末上でに無断で仮想通貨のマイニング（採掘）を行わせたとして不正指令電磁的記録保管の罪に問われていた男性に対し、横浜地裁が無罪判決を出したが（過去記事）、検察側はこれを不服として控訴したとのこと（弁護士ドットコム、ITmedia、日経新聞）。

横浜地裁はCoinhiveについて「人の意図に反する動作をさせるプログラム」としたもののの、不正な指令を与えるプログラムであるとは判断できないとの結論を出していた。

pongchang曰く、

群馬大などの研究グループが、寄生虫での体重増加抑制効果についての論文を発表した（群馬大学の発表、Infection and Immunity誌のInfection and Immunity誌掲載論文、 上毛新聞）。

研究では、あらかじめ太らせたマウスに寄生虫を感染させて観察したという。その結果、寄生虫の感染によって体重の増加が抑えられ、脂肪量も低下し、血中の中性脂肪や遊離脂肪酸が優位に低下することが分かったという。

寄生虫の感染によって血中のノルエピネフリン濃度が対照の2倍に増え、交感神経系の活動が活発になっていた。また脂肪の分解を促すミトコンドリア脱共役蛋白質（uncoupling protein；UCP1）の発現が脂肪組織で増加していた。腸内細菌叢をみると、エシュリキア（大腸菌）属とバシラス属（枯草菌などの仲間）が増加していたとのこと。

腸内細菌は腸管内容の脂肪濃度でも異なるが（pdf）寄生虫が脂肪を横取りするなり代謝して酢酸などに変えた結果として腸内細菌叢が変わったのか？　免疫応答なのか？　その辺は論文は触れていない。

寄生虫症でノルエピネフリンが上がるのが本当なら高血圧など併発症も懸念される。一方でヒトのやせ薬としてのβ3受容体アゴニストは不成功に終わっている。

オンラインストレージサービス「宅ふぁいる便」利用者の個人情報約480万件が漏洩した事件（過去記事）では、システム構築のためサービスが「当面」休止される事態となっている。そのため、利用者が退会などを行うための特設サイトが設置されたのだが（宅ふぁいる便を運営するオージス総研による告知）、このサイトの「利用時間」が9時から17時45分までとなっていることや、「パスワードの確認」ができることが物議を醸している（はてなブックマーク）。

このサイトでは「宅ふぁいる便に登録されているパスワードをご確認いただける機能」「退会のお申し込み受付機能」「宅ふぁいる便ポイント交換機能」が提供されている。パスワードの確認については、入力されたものが登録されたものと一致するかどうかを確認できるものだが、パスワードの一部がヒントとして平文で表示されることから、未だに平文でパスワードを保存しているのではないか、またとの危惧も出ている。

4月3日に再開された米中通商協議において、中国が過去の知的財産権侵害や米企業に対する技術移転の強要、ハッキング行為を認めたと報じられている（ロイター、時事通信、テレビ東京）。

これまでの米中通商協議においては知的財産関連の問題が議題とされていたが、これまで特に大きな進展はなかった（ブルームバーグ）。

中国・華為技術（Huawei、ファーウェイ）のノートPCにプリインストールされているドライバに脆弱性があり、これを悪用することで不正に管理者権限を取得できる可能性があることをMicrosoftの研究者らが見つけた（Microsoft Defener Research Teamによるブログ、大紀元）。

ファーウェイに対してはその製品に中国政府がアクセスできるバックドアが設置されているという疑惑がかけられているが、ファーウェイはこの脆弱性については意図的に仕掛けたバックドアであることを否定、単純なソフトウェア上の欠陥であるとしている（Tom's Hardware）。また、この問題は2019年1月に修正パッチをリリースしているとのこと。

RubyGemsで3月26日、任意コード実行可能なバックドアを含むbootstrap-sass 3.2.0.3が公開されたそうだ(Snykの記事、 GitHub — Issue 1195、 Computingの記事、 CVE-2019-10842)。

発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。

この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。

headless曰く、

TeslaのAutopilot機能を車載システムに侵入することなく攻撃する手法について、Tencent Keen Security Labが研究結果を公表している（Keen Security Lab Blog、SlashGear、Ars Technica、動画）。

Keen Security LabではTesla車のセキュリティ調査を以前から行っており、昨年のBlack Hat USA 2018ではTesla車のWi-Fi/3G通信機能を経由してAutopilot ECU（APE）に侵入し、のルート権限を取得する研究の成果を発表している。今回の研究ではルート権限を利用して外部からゲームコントローラーでハンドルを操作する手法に加え、車載カメラにadversarial exampleを撮影させ、自動ワイパー機能や車線検出機能のニューラルネットワークを混乱させる手法が検証されている。

従来の自動ワイパーではフロントガラスに落ちた雨粒による光の反射の変化を光センサーで検出する手法が用いられているのに対し、Teslaではカメラで撮影したフロントガラスの映像をニューラルネットワークで処理して降雨を判断しているという。研究ではカメラからの映像にわずかなノイズを加えることで降雨スコアが上昇することを確認しているが、映像を改変する攻撃は現実的ではない。そのため、車両前方に配置したテレビにノイズの画像を表示する実験を行い、ウォーリーノイズを表示した場合に降雨スコアが大きく上昇することを確認した。動画ではウォーリーノイズを画面に表示するとワイパーが動き出しており、先行車両のリアウィンドウや道路脇など、Teslaの魚眼カメラに写る場所へノイズ画像を表示することでワイパーを作動させることができるとみられている。

車線検出機能を混乱させる攻撃としては、車線を見失わせる攻撃と偽の車線を認識させる攻撃を検証している。車線を見失わせる攻撃では、カメラからの映像に強いノイズを加えたり、ペイント部分にパッチを加えたりすることで、ペイントが検出されなくなることが確認された。ただし、現実の道路でAPEが混乱するレベルまでペイント部分にステッカーなどのパッチを貼った場合、ドライバーが気付いてしまう可能性が高い。Teslaではペイントが消えかかっているなど状態の悪い道路の画像を学習させているとみられ、車線を見失わせる攻撃には強いようだ。一方、道路上に小さなステッカーをいくつか配置することで車線のペイントと誤認識することが確認されており、動画では車線を斜めに横切る形で数個のステッカーを貼るだけで対向車線に進ませるデモも行われている。

コンテンツ配信サービスを手がけるCloudflareが、無料VPNサービス「Warp」を発表した（ITmedia）。

CloudFlareは昨年4月1日にAPNICと協力してパブリックDNSサービス「1.1.1.1」を立ち上げており（過去記事）、また11月にはiOSおよびAndroid向けの設定アプリも公開したが、Warpはこの設定アプリ経由で利用できるようになる予定。

まずはは招待者向けのみに提供される予定で、アプリ経由で招待の申請が行える。

あるAnonymous Coward 曰く、

公開鍵暗号では公開鍵が一般公開され不特定多数がアクセスできることを前提としているが、それにも関わらず「公開鍵を公開したくない」「公開鍵を平文で送るな」「公開鍵をそのままサーバに保管するな」「公開鍵が盗聴される恐れがある」「公開鍵だけ送るのでは復号ができない」など、主張する人がいるそうだ（@illness072氏のTweet）。

これに対し、「そーゆー間抜けな人たちって、パスワード付きZipで暗号化すると満足したりしません？」という指摘も出ている（@masanork氏のTweet）。

あるAnonymous Coward曰く、

Microsoftが、サイバー犯罪集団が取得していたMicrosoftや米Yahooなど有名ブランドの名前が含まれたドメインの差し押さえに成功したという。米国時間3月27日に公開された裁判書類から明らかになった（ZDNet Japan、Slashdot）。

これらサイバー犯罪集団は「APT35」「Phosphorus」「Charming Kitten」「Ajax Security Team」などと呼ばれている組織で、問題のドメインは「outlook-verify.net」「yahoo-verify.net」「verification-live.com」「myaccount-services.net」といったものだそうだ。裁判所命令を受けて、これらドメインの管理を行っていたドメイン名登録業者はその管理権限をMicrosoftに移管したという。

headless曰く、

フランス・ブルターニュ地方のイロワーズ海沿岸へ30年以上にわたって漂着し続けていたガーフィールド型電話機の流出元が見つかったそうだ（Franceinfo、France 3 Bretagne、The Verge、BBC News、動画）。

この電話機は漫画「ガーフィールド」のタイトルロール、オレンジ色で太ったトラネコの形をした有線電話機で、受話器を上げると目を開き、受話器を置くと目を閉じる仕掛けが搭載されている。1980年代に海へ落ちたコンテナから少しずつ流出していると考えられていたが、コンテナの場所は特定されておらず、昨年だけでも鮮やかなオレンジ色をした大小さまざまなパーツが200個ほど、海岸で回収されているという。

発見のきっかけとなったのは今年2月、海岸の清掃に取り組む環境団体Ar ViltansoùがFranceinfoを通じて情報提供を呼び掛けたことだ。Franceinfoの記事は話題となり、1980年代の初めにコンテナを見たという男性から情報が提供された。当時19～20歳だった男性は嵐の後でガーフィールド型電話機が散乱しているのを砂浜で見つけ、兄弟で探しに行ってコンテナが洞窟に漂着しているのを発見したとのこと。ただし、兄弟がこの発見を誰かに話すことはなく、そのまま忘れ去られていたようだ。

洞窟はイロワーズ海洋公園の中心部にあり、干満の差が大きい日の干潮時にしか入れないため、Ar ViltansoùとFranceinfoは大潮の3月22日を選んで現地調査を実施。洞窟ではコンテナの残骸やばらばらになった電話機のパーツが多数見つかっており、今後回収作業を行う計画だという。ただし、これまでにガーフィールド型電話機が見つかっている海岸と海流の関係を見ると、流出元がここだけではない可能性もあるとのことだ。

あるAnonymous Coward曰く、

半田ごてメーカーの白光が運営するECサイトで不正アクセスが発生し、利用者の情報が漏洩とのこと。企業トップページには何にも書いていないが、ECサイトは閉鎖されて説明文が出ている。

この内容からすると、パスワードも平文で、しかも見えるところに置いていた？とも思えるが、第三者の不正アクセスが原因と、なんとも意味がわからない。未だに平文保存（少なくともハッシュ値ではない）されていたり、見える場所に置いていたりとお粗末さに驚く限りだが、諸兄の見たお粗末な事例はどんなものであろうか。

流出した可能性のあるユーザー情報は9,793名で、流出の可能性がある情報は氏名/住所/電話番号/生年月日/企業名/メールアドレス/ユーザーID/パスワードとのこと。利用者からWebサーバー上に個人情報の含まれたファイルが設置されているとの指摘があり発覚したという。

英国・ロンドンのブラックフライアーズ刑事法院が3月28日、元MalwarebyteのリサーチャーZammis Clark氏とWindowsのビルド番号情報サイトBuildFeedの創始者Thomas Hounsell氏に執行猶予付きの有罪判決を下したそうだ(The Vergeの記事、 The Registerの記事、 Ars Technicaの記事、 Evening Standardの記事)。

Clark氏はMalwarebyteのリサーチャーだった2017年1月、Microsoft内部のユーザー名とパスワードを入手してMicrosoftのサーバーに侵入、Webシェルを設置してWindowsの内部ビルドを格納するサーバーからファイルを盗み出した。さらにIRCを通じて他の人々とMicrosoftのサーバーへのアクセス情報を共有したという。Hounsell氏はClark氏から得た情報を使用して17日間以上にわたりMicrosoftのサーバーへ不正アクセスし、プリリリース版Windowsのビルド情報などを取得したとのこと。

Microsoftのサーバーへの侵入はClark氏がマルウェアをアップロードしたところで終わり、2017年6月にClark氏は英コンピューター不正使用法(CMA)違反の容疑で逮捕された。しかし、コンピューターの使用制限なしに保釈されたClark氏は昨年3月、任天堂の内部ネットワークに侵入したという。2015年に玩具メーカーVTechのサーバーへ不正アクセスした容疑者の逮捕が話題になったが、この容疑者もClark氏だったようだ。

BuildFeedは今年1月に閉鎖を発表し、Hounsell氏は最近2年間日々の運営にかかわっていなかったと述べているが、時期的にMicrosoftのサーバーへの不正アクセスが行われた時期と一致する。The Registerによれば、2017年6月にClark氏が逮捕された際、Hounsell氏も逮捕されていたとみられ、2人は昨年9月に罪状認否を行っていたという。さらに、BuildFeedの閉鎖が発表されたのは刑事法院での審理が始まる1週間ほど前だったとのこと。

Clark氏はCMA違反3件で禁錮15か月執行猶予18か月に加え、5年間の重大犯罪禁止命令と刑罰賦課金140ポンドの支払いも命じられている。Hounsell氏はCMA違反1件で禁錮6か月・執行猶予18か月のほか、100時間の奉仕活動と115ドルの刑罰賦課金が命じられたとのことだ。

ASUS製品にプリインストールされているアップデートツール経由でマルウェアがインストールされるという攻撃が確認されているとのこと（CNET Japan、PC Watch、PC Watchの続報記事）。

この攻撃はKasperskyによって発見されたもので、ASUS製品にプリインストールされている「ASUS Live Update Utility」がマルウェアを含むソフトウェアをインストールしてしまうというもの。このマルウェアはASUSのアップデートサーバーから配信されており、ASUSの証明書で署名もされていたという。

ASUSはこの攻撃の存在を認めており（ASUSの発表）、対策やセキュリティ診断ツールを公開した。また、この攻撃については「国際的組織や団体を標的とした、国家主導の攻撃」としている。