東芝をはじめとする12の事業者が次世代暗号技術「量子暗号通信網」の実用化に向けた研究開発を始めるそうだ。総務省の委託による事業で研究期間は5年間、初年度の予算は14億4000万円だという。（東芝プレスリリース、ITmedia、古河電気工業プレスリリース、総務省）。

実用的な量子コンピュータが実現した場合、従来型の暗号による機密データがすべて解析されてしまうリスクがある。これに備えて、広域的な量子暗号通信ネットワーク技術の確立を行うことが目的だという。具体的には100台以上の量子暗号装置、万単位のユーザ端末を収容可能な装置の開発と検証を行うことだとしている。

東芝以外の事業者としてはNEC、三菱電機、古河電気工業、浜松ホトニクス、東京大学、北海道大学、横浜国立大学、学習院大学、情報通信研究機構、産業技術総合研究所、物質・材料研究機構が研究開発に参画するとしている。

あるAnonymous Coward 曰く、

やや旧聞に類する話だが、通販番組を手がける「ショップチャンネル」の通販サイトに不正ログインが発生していたそうだ。サイト上に登録されている顧客情報が流出した可能性があるという。7月15日に海外から不正ログインが試行されていることが定期チェックで判明、そこから調査した結果、不正ログインが判明したようだ（リリース[PDF]、ScanNetSecurity）。

運営会社ジュピターショップチャンネルによると、不正ログインはリスト型攻撃によって行われたと推測されている。発表によれば不正ログインされた情報は264件。そのうち22件が氏名、郵便番号、住所、電話番号、メールアドレス、生年月日、クレジットカード番号の下4桁と有効期限と本人以外へのお届け先として登録されている氏名や住所、郵便番号の情報も閲覧されている可能性があるとしている。

不正ログインされたユーザーのパスワードは7月16日にリセットされたとしている。

headless 曰く、

EU航空安全機関(EASA)は7月21日、エアバスA350型機の制御パネルにカバーを装備するよう運航会社に命ずる耐航空性改善命令(AD)を発行した(AD、 The Registerの記事)。

同型機では2つの操縦席の間にある制御パネルの組み込まれた台に液体をこぼした場合、運航中にエンジンが停止して再始動できなくなる可能性がある。エアバスは操縦室内の液体禁止ゾーンを定義する航空機運航マニュアル(AFM)暫定リビジョン(TR)を発行しており、EASAはAFM TRに従ったAFM修正を運航会社に命ずるADを2月に発行していた。

その後、エアバスは制御パネルを完全に液体から保護できる取り外し可能なカバー(mod 116010)を開発し、作業指示書(SB)を発行している。また、液体禁止ゾーンの定義に加えてカバーの使用方法や誤って液体をこぼしたときの対応などを含むAFM TRも同時に発行したという。エアバスはさらに、制御パネル自体を耐水化するmod 116038も開発したとのこと。

今回のADは2月のADを置き換えるもので、mod 116038を適用済みのものを除くすべてのA350-941/1041にカバーを装備し、AFMを更新するよう運航会社に命じている。

あるAnonymous Coward 曰く、

夏になると車内に子供を置き去りにして、死亡事故を引き起こす事例が毎年発生しているが、これを防ぐための技術が開発されているそうだ。自動車各社ともに2022年をめどに導入を検討しているという（日経新聞）。

この2022年という具体的な理由としては、欧州の自動車アセスメントEuroNCAPに「幼児置き去り検知」が試験項目に追加されるようになるためだそうだ。仮に出ている測定基準としては、後席にチャイルドシートを設置しそこに幼児ダミーを寝かせる。幼児ダミーには毛布をかぶせる。この状態で運転者が数分間離れた場合、システム的な警告を行うといったものであるようだ。

実現の手法としては、60GHz帯のミリ波レーダーによる検知の採用が検討されているという。カメラや超音波センサーの場合、寝ているなどの動きのない場合などの検出に問題が出るためだとしている。また他の周波数帯は各国の利用条件をクリアできないようだ。

とはいえ、幼児置き去り検知のためだけにハードウェアを搭載するとコスト的に割が合わなくなる。このため、自動車メーカーは複数の機能をまとめたマルチファンクション化を検討しているとしている。

headless 曰く、

Garminは7月27日、23日から発生していたサービス停止の原因がサイバー攻撃だったと発表した(プレスリリース、 FAQ)。

サービス停止の原因は当初からサイバー攻撃だと考えられていたが、これまでGarminからの公式発表はなかった。ランサムウェアとは明記していないものの、システムの一部が暗号化されたとのことで、やはり予想通りランサムウェア攻撃だったようだ。ただし、支払い情報を含む顧客のデータが不正アクセスされた形跡は一切なく、失われたり盗まれたりもしていないとのこと。また、オンラインサービスにアクセスできなくなっただけで、Garmin製品の機能は影響を受けないとも説明している。

Garminでは影響を受けたシステムの復元を進めており、数日中に復旧できるとみている。ただし、復旧後はバックログの処理による遅れが予期されるとのこと。既にGarmin Connectなどのサービスは部分的に復旧している。Garmin AviationではFlyGarminがダウンしたことで最新のナビゲーションデータがダウンロードできなくなり、FlyGarminを使用するパイロットが米連邦航空局(FAA)の飛行要件を満たせなくなっていたが、現在は全サービスが復旧しているようだ。

Garminによれば、本件による同社の運営や決算への影響はないと考えているとのこと。なお、Gaminの日本のWebサイトにもサービス停止に関する情報がようやく表示されるようになった。

headless 曰く、

Linux 5.9に向け、ドキュメンテーションなどに多数含まれるHTTPリンクをHTTPSリンクへ置き換える作業が進められている(Phoronixの記事、 Neowinの記事、 The linux-next integration testing tree)。

置き換えの理由としては、細工することが難しいHTTPSに置き換え、リンクを開くカーネル開発者が中間者攻撃にあう可能性を減らすことが挙げられている。ただし、実際にカーネル開発者がこのような攻撃を受けている様子はなく、先を見越した変更のようだ。

置き換え作業はAlexander Klimov氏が一人で進めており、既に148件のパッチが存在する。Klimov氏はスクリプトを使用してHTTPリンクを探し、SVGファイルなどではないことを確認したうえで、HTTPSでHTTP版と同じ内容が表示される場合にのみ置き換えを行っているとのこと。osdn.jpへのリンクもHTTPSに置き換えられている。

あるAnonymous Coward 曰く、

セキュリティ研究者の報告によれば、ここ2週間ほどの間に、インターネット上に保護されずに公開されている脆弱なデータベースに対して、ほぼ全てのデータが削除された上に「Meow (ニャー)」という猫の鳴き声だけが書き残される「Meow Attack (ニャー攻撃)」が相次いでいるという（GIGAZINE、Slashdot）。

最初に発見されたのは香港のVPN業者UFO VPNのDBへの犯行で、研究者がDBがインターネット上に公開されている旨を企業とやり取りしていたところ、7月21日にDBのデータが削除され、「meow」の文字が残されているのを発見したという。ニャー攻撃はその後も拡大を続けており、27日現在までに、ElasticsearchやMongoDB、Apache Cassandraも含めて4000件以上が被害を受けたとのこと。

当然ながら、インターネット上に保護なく公開されたDBは以前から攻撃を受けているが、だいたいの場合はランサムウェアで身代金を要求されるか、単純に削除されるかとのことで、わざわざ「ニャー」とメッセージを残していく動機は不明。一方で手段については、スクリプトでProtonVPNを経由して行われているとの分析がされている。発見した研究者は「簡単に攻撃可能なほど無防備なので、面白半分でやっているのでしょう」と語っている。

情報元へのリンク

isi 曰く

ウェラブル端末メーカーGarminのサーバーがサイバー攻撃を受けた模様(ZDNetの記事)。

サービスの状況はSystem Statusで確認できるが、現在全サービスがダウンしている。

Garminは23日にコールセンターを含む全サービスの停止を告知したのち3日間沈黙していたが、日本時間26日になってプレスリリースを更新し、FAQページを公開した。FAQページは日本語版も用意されているものの、Garminの日本のWebサイト(https://www.garmin.co.jp/)のトップページにはサービス停止に関する情報自体出ておらず、簡単にはたどりつけない。なお、サービス停止の原因はランサムウェアによるものとの見方が強く出ているが、現在のところGarminではサイバー攻撃を受けたことを認めていない。

Googleは21日、認証済み組織からの電子メールにGmailでコーポレートロゴを表示するパイロットプログラムの実施を発表した(Google Cloud Blogの記事、 BIMI Groupのブログ記事、 SlashGearの記事、 Mac Rumorsの記事)。

パイロットプログラムはGoogleやLinkedIn、Verizon Mediaなどが参画するAuthIndicators Working Group(BIMI Group)のBIMI(Brand Indicators for Message Identification)を使用するものだ。BIMIを使用することで、DMARCで送信元ドメインを認証する組織がコーポレートロゴの正規所有者であることを立証し、Googleへ安全にコーポレートロゴを送信することが可能になるという。あとはGoogleによる別の不正チェックに合格すれば、Gmailのアバター表示部分にコーポレートロゴが表示されるようになるとのこと。

パイロットプログラムではEntrust DatacardとDigiCertの2社がコーポレートロゴの認証を担当し、送信者を限定して今後数週間のうちに開始する予定だという。GoogleではBIMIの正式サービス開始に向けて、組織にDMARCの導入を開始することを推奨している。

Mozillaがモバイル版Firefoxユーザーの一部に対し、Facebookボイコットを呼びかけるブログ記事のリンクを通知として表示したそうだ(Ghacksの記事、 Redditのスレッド)。

ブログ記事はFacebookにヘイトスピーチから利益を上げないよう求めるStop Hate for Profitキャンペーンに賛同するMozillaが行動を呼びかける内容だ。しかし、アプリと無関係な通知をFirefoxが表示したことで、強い反感を買う結果となる。このブログ記事を宣伝するFirefox公式アカウントのツイートには通知を批判するコメントが多数寄せられているものの、Firefox側からの返信はない。

Ghacksの記事ではAndroid版Firefoxの話として紹介されているが、TwitterやRedditではiOS版Firefoxで表示されたという報告もみられる。Android版Firefoxでは設定の「お知らせ→製品と機能のヒント」というオプションで通知の有無を設定できるとみられるが、iOS版には存在しないようだ。

英国の有名ファッションデザイナー、ヴィヴィアン・ウエストウッド氏が21日、ロンドンの中央刑事裁判所前に設置した巨大な鳥かごの中からジュリアン・アサンジ氏の解放を訴えた(Climate Revolutionの記事、 Mashableの記事、 ウエストウッド氏のツイート、 動画)。

カナリアのように鮮やかな黄色の上下に身を包んだウエストウッド氏は巨大鳥かごの中で地上3mの巨大鳥用ブランコに乗り、内部告発サイトWikiLeaks創始者のアサンジ氏を炭鉱で有毒ガスを検知するカナリアに例えて演説。アサンジ氏はパブリッシャーであり、政府による犯罪行為を公開することは犯罪ではないなどとして、アサンジ氏の身柄を米国に引き渡さないよう呼びかけた。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めて在英エクアドル大使館に入り、昨年4月に再び逮捕されるまで7年近くにわたってエクアドル大使館に滞在していた。もともとの逮捕容疑は4件中3件が2015年に時効となっており、もう1件も今年8月に時効を迎える。そのため昨年の逮捕容疑は保釈中の逃亡のみだが、米国の引渡令状により再逮捕された。米国はアサンジ氏をスパイ活動法違反など計17件の罪で起訴している。

2月に始まった米国への身柄引渡に関する審理はCOVID-19の影響で遅れているうえ、アサンジ氏は病気を理由に6月に予定されていた審理に出席していない(The Independentの記事)。

nagazou 曰く、

過去記事にあるWindows Serverの脆弱性問題を受けて、米国土安全保障省が16日、Windows DNSサーバの深刻な脆弱性への対応を促す緊急指令「ED 20-03」を発令したそうだ。米国政府が緊急指令を出すのは非常にまれなことだそう。指令では米国内の政府機関に対して、Microsoftから14日にリリースされたSIGRed用の対策パッチを至急適用するよう求めている（プレスリリース、マイナビ、ZDNet）。

とくに政府機関がWindows Serverを動作させている場合、米国東部夏時間（EDT）の7月17日午後2時までに対策することが命じられている。もし対策パッチがインストールできない場合は、政府機関のネットワークから隔離する必要があるとのこと。国土安全保障省は、民間企業などでもWindows Serverを運用している場合は、早急にパッチ適用をする必要があると警告している。

あるAnonymous Coward 曰く、

ロボットや人工知能が人間の仕事を奪うと言われているが、人間のみならずお犬様の仕事も奪ってしまうかもしれない（キックスターター、GIZMODO、動画）。

完全自律型の｢Toadi｣は、端的にいうと芝刈りロボットで、フットボールのフィールドくらいの広さの芝刈り能力があるそうだ。45％という傾斜でも登れ、花壇の近くのような芝刈りを避けたい場所などをよける機能もあるようだ。うまくやればミステリーサークル製造にも使えそうではある。

このロボットには番犬機能も用意されているという。不審な動きをするものを検知すると、スマホに写真を送ってくれるとのこと。キックスターターネタなので、実用化されない方が助かるかもしれないワン。と思ったが、目標額は達成している模様。

ストーカーが引っ越し時に使用する各種サービスなどを悪用、ストーカーの対象となった女性の郵便物を盗んだり、クレジットカードや銀行口座を使用不能にするなどの行為をしていたことが分かった（FNN、MSNニュース、piyokangoの備忘録）。

犯人は元警察官で36歳の男。出会い系サイトで知り合った20代の女性の郵便物を手に入れるため、日本郵便の提供している転居手続きサイト「e転居」を悪用。女性宛の郵便物を自分の実家の住所に転送していた。男は7月15日に私電磁的記録不正作出・同供用の疑いで逮捕されている。

「e転居」は引っ越しの時に荷物の転送手続きに使用できるサービス。電話確認のみで申請が可能となっており、本人確認の証明書を提示する必要は無かったという。この男はe転居だけでなく、女性に対して複数のサービスで紛失や解約など申請や手続きを行っていた。まとめ記事によると、被害者女性はクレジットカード、携帯電話、水道、電気、銀行口座、NHK（衛星放送）などのサービスが使用不能になっていたとしている。

あるAnonymous Coward 曰く、

VPNサービスのニュース・レビューサイト「vpnMentor」のブログ記事によると、香港を拠点とする複数の無料VPNアプリの個人情報が流出していたのを発見されたそうだ。各サービスの公称利用者数を合計すると約2000万人分の個人情報が流出している可能性がある（Digital Trends）。

各サービスでは本来はログは保存していないと説明されていたようだ。しかし、流出したデータには、ユーザ登録時のIPアドレスやアカウント名とパスワード、有料版利用者のビットコインの支払い情報やPayPalのURLなどが含まれていた。容量では1テラバイト、内容的には10億行のデータが含まれていたという。

これらのVPNサービスは異なる企業によって提供されていたものの、アプリの配布元はすべて同一の香港の会社だった。また支払いに関してはDreamfii HKという企業だったという共通点があった。さらに各サイトは同じIPアドレスで似たデザインになっていることから、同一提供者によるホワイトラベルだったのではないかとvpnMentorでは予想している。

それぞれのVPNサービスのアプリ名をアプリストアで見てみると、iOS版やGoogle Playでも日本語のレビューが見られることから、日本でも利用者が結構いた可能性があるようだ。利用していた方はパスワード変えるなど対策が必要だろう。

今回データが流出したのは以下のサービス

• UFO VPN
• FAST VPN
• Free VPN
• Super VPN
• Flash VPN
• Secure VPN
• Rabbit VPN