GoogleのCOVID-19接触通知システムを使用するAndroidアプリで「Loading...」という通知が表示されたままになるトラブルが発生し、Googleが修正したそうだ(The Vergeの記事、 The Registerの記事、 Neowinの記事)。

GoogleがThe Vergeに説明したところによると、問題は署名鍵の構成で発生したものだという。接触通知システムではCOVID-19陽性と診断されたユーザーが診断鍵(diagnosis key)を鍵サーバーにアップロードし、他のユーザーに情報が提供される。しかし、12日夕方から鍵サーバーからの診断鍵ダウンロードで問題が発生し、接触の通知が遅れる結果になったとのこと。

今回の問題でGoogleのCOVID-19接触通知システムを使用するアプリは全世界で影響を受けたとみられるが、英国の「NHS Covid-19」アプリやオランダの「CoronaMelder」アプリ、ドイツの「Corona-Warn」アプリで影響が報告されている。Googleでは既に問題を修正したが、復旧に問題が発生しているアプリの開発者には直接手助けを行うそうだ。また、ユーザーに対してはアプリのデータを消去しないよう求めているとのことだ。

1月12日に元ソフトバンク社員が社内の営業秘密を不正に持ち出したとして警視庁に逮捕されたそうだ。この人物は2019年末にソフトバンクを退職し、楽天モバイルに社員として転職していたという（ケータイ Watch、ITmedia）。

12日のソフトバンク側の発表によれば、この人物はソフトバンクの4Gおよび5Gネットワーク用の基地局設備の情報を持ち出したとしている。顧客などの個人情報についてはアクセス権がなかったことから持ち出しはされていないとのこと（ソフトバンク）。

この発表を受けて、楽天モバイル側も同日にリリースを出している。従業員1名が、不正競争防止法違反の容疑により逮捕されたことは認めつつも、この従業員が前職により得た営業情報を業務に利用していたことはないと否定している（楽天モバイル）。

東洋経済の記事では、持ち出しの手法についての解説が行われている。これによれば、容疑者はソフトバンク在籍の最終日に社内サーバーに接続し、機密情報を自分の別メアドに送信するという単純な手法であったようだ。同記事ではソフトバンク側の情報管理体制にも問題があったと指摘している（東洋経済）。

AppleのワイヤレスヘッドフォンAirPods Maxで、数時間使用するとイヤーカップ内部に結露が発生することが話題になっている(Mac Rumorsの記事、 Forbesの記事、 9to5Macの記事、 iPhone in Canada Blogの記事)。

報告によれば、結露が発生するまでの使用時間は1時間～数時間で、外気温にかかわらず発生するという。耳を覆う形のヘッドフォンを気温の高いときに使用するとイヤークッションが汗で湿って不快なこともあるが、AirPods Maxのイヤークッションは湿っておらず、取り外すとアルミニウム製のイヤーカップ内部に結露がみられるとのこと。水滴が流れるほどの結露が発生することもあるようで、防水でないAirPods Maxでは故障の可能性もある。水と無関係な故障でも水没と判定されることを懸念する人もいるようだ。

日産の北米法人であるNissan North Americaで、社内ツールのソースコードがネット上に流出したと報じられている。原因はGitサーバーの設定ミスで、デフォルトのユーザ名「admin」とパスワード「admin」のままとなっていたという。この情報は1月4日からTelegramのチャンネルやハッキングフォーラムで共有され始めたそうだ。日産は5日に気がつき、サーバーをオフラインにした模様（ZDNet、GIGAZINE）。

この情報にアクセスしたソフトウェア・エンジニアTillie Kottmann氏は、ZDNetに対してGitリポジトリには次のようなデータがあったと回答している。

• Nissan NA Mobile apps（日産NAモバイルアプリ）
• some parts of the Nissan ASIST diagnostics tool（日産アシスト診断ツールの一部）
• the Dealer Business Systems / Dealer Portal（ディーラービジネスシステム・ディーラーポータル）
• Nissan internal core mobile library（日産の内部コアモバイルライブラリ）
• Nissan/Infiniti NCAR/ICAR services（日産インフィニティのNCAR/ICARサービス）
• client acquisition and retention tools（顧客獲得と保持のためのツール）
• sale / market research tools + data（営業とマーケティング調査のツールとデータ）
• various marketing tools（さまざまなマーケティングツール）
• the vehicle logistics portal（車両ロジスティクスポータル）
• vehicle connected services / Nissan connect things（自動車の接続サービス関連）
• and various other backends and internal tools（その他のバックエンドと内部ツール）

headless 曰く、

Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691、 Ghacksの記事、 Windows Latestの記事)。

Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。

5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。

あるAnonymous Coward 曰く、

TBS系列のJNNによると、新型コロナウイルス陽性患者・数千人分の個人情報の記載された福岡県の内部文書が少なくとも1か月以上に渡ってインターネットに公開されていたという（TBS NEWS）。

報道されたニュース映像では、氏名、年齢、性別、市区町村レベルの住所、詳しい症状といった要配慮個人情報がGoogle スプレッドシートで管理され、適切なアクセス制限が行われていなかったことが伺える。しかし、Google スプレッドシート文書は誤ってアクセス制限を行わなずに公開したとしても、ランダムに発行される共有URLを知らなければアクセスすることはできない。

発覚のきっかけは、去年11月末に神奈川県在住の無関係の男性の元に内部文書が送られてきたことだという。この男性は福岡県に連絡したものの、第三者が内部文書にアクセスできる状態が1か月あまりも続き、（おそらくは男性からの情報提供を受けた）JNNが取材したところ、1月6日になってネット上から削除されたとのこと。

漏洩の件数や内容を考えると重篤なインシデントと言えるが、男性に文書を送ったのは何者なのか？ どうして共有URLを知っていたのか？ なぜ無関係の男性に文書を送ったのか？ なぜ県は1ヶ月も放置したのか？ など、謎が尽きない。

情報元へのリンク

過去に物議を醸したこともある愛知県の芸術祭「あいちトリエンナーレ」。同実行委員会は1月4日、運営するメール配信システムへ不正アクセスがあったと発表した。メールの登録者に対して、実行委員会を装ったなりすましのメールが送付されたとしている（あいちトリエンナーレ実行委員会、NHK、ITmedia）。

リリースによればこのメール配信の登録者は約3,500件であるという。なりすましメールが送付された件数については現在確認中とのこと。漏洩した可能性のある個人情報は、メールアドレス及び登録された氏名だとしている。リリースによれば、現在はメール配信システムを停止したほか、登録者に注意喚起のメールを送信したとしている。

一部地域の郵便局では、マイナンバーカードの交付申請ができるようなっているが、同様の手続きを携帯ショップでも申請できるようにするという話があるそうだ。カードを発行している地方自治体の窓口は平日対応のみ。そこで休日も営業している携帯ショップを活用するという流れであるようだ。今年度中に方向性をまとめ、21年度中の実現を目指すとしている（SankeiBiz）。

携帯ショップが選ばれた理由として、本人確認の業務に慣れている点もあるという。政府はスマートフォンとマイナンバーカードの一体化を目指していることから、将来的には手続きの効率化も図れるという読みもあるようだ。

headless 曰く、

英中央刑事裁判所のバネッサ・バライツァー地方判事は4日、米国によるジュリアン・アサンジ氏の身柄引渡要求を却下した(AP Newsの記事、 The Guardianの記事)。

アサンジ氏は2010年に英国・ロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めて在英エクアドル大使館に入り、そのまま7年近く滞在し続けた。しかし、2019年4月に保釈中の逃亡容疑で逮捕され、米国の引渡令状により再逮捕された。米政府はWikiLeaksで数多くの機密文書を公開したアサンジ氏をスパイ活動法違反など計17件の罪で起訴しているが、身柄引渡に関する審理はCOVID-19の影響で遅れていた。なお、もともとの逮捕容疑であるスウェーデンでの性的暴行容疑はすべて時効となっている。

ジャーナリストや人権活動家などからは米国での起訴が政治的な動機によるもので、表現の自由を踏みにじるものだとして、アサンジ氏解放を求める声が強まっている。アサンジ氏側は米国で公正な裁判を受けられない可能性や、過酷な環境に拘置される可能性を主張して身柄引渡に反対したが、判事は前者を退けて後者のみを理由に身柄引渡要求を却下した。判事によれば、アサンジ氏の精神状態は過酷な拘置環境に耐えられず自殺する可能性があるうえ、米当局による自殺防止対策を迂回する知恵と決断力があるとのこと。

米政府は控訴する意思を示しているが、政権移行を間近に控えて先行きは不透明だ。アサンジ氏側の弁護士やアサンジ氏の支援者は判事の決定に満足してはいないものの歓迎しており、最終的にはアサンジ氏の解放を目指す。アサンジ氏との間に2人の息子を持つパートナーは、ドナルド・トランプ大統領が退任前にアサンジ氏を恩赦することを期待しているとのことだ。

headless 曰く、

米フロリダ南部地区連邦地裁のRodney Smith判事は12月29日、セキュリティ企業Corelliumが提供するiOS仮想化サービスはフェアユースにあたり、Appleの著作権を侵害しないとの判断を示した(裁判所文書: PDF、 HackReadの記事、 Ars Technicaの記事、 The Vergeの記事)。

CorelliumのiOS仮想化はAppleが無償提供しているiOSのソフトウェアイメージ(IPSWファイル)をダウンロードして利用するもので、製品にAppleのコードは含まれない。製品のターゲットは脆弱性調査を行うセキュリティ研究者となっており、App Storeや音声通話、カメラといった一般ユーザー向けの機能は利用できない。アプリ開発者に有用な機能は含まれるが、アプリ開発者には訴求しない価格設定になっているという。Appleは2018年にCorellium買収について交渉を行っていたが、最終的に買収金額が折り合わず、交渉は打ち切られている。AppleがCorelliumを訴えたのは翌2019年8月のことだ。

Appleの訴えの主なポイントは、CorelliumによるiOSの著作権侵害と、デジタルミレニアム著作権法(DMCA)1201条(迂回禁止条項)違反の2点だ。Apple側はDMCA迂回禁止条項違反について略式判決を請求していた。一方、Corellium側は著作権保護の対象となるApple製品の要素の利用がフェアユースに相当し、DMCA迂回禁止条項の免除対象になるなどと主張して略式判決を請求していた。

Smith判事はまず、CorelliumによるiOSの利用がフェアユースに相当することを確認し、Corelliumの略式判決請求を一部認めた。一方、DMCA迂回禁止条項違反の有無に関しては、両者の略式判決請求を却下している。

nMicrosoftはブログで12月31日、SolarWinds製のソフトウェア更新を悪用した大規模攻撃により、Microsoftのソースコードリポジトリーにアクセスされた可能性があると発表した。SolarWinds問題を調査する過程で、異常なアクティビティが検出された内部アカウントのうち一つが、ソースコードを表示するために使用されていたことが判明したとしている。このアカウントにはソースコードやエンジニアリングシステムを書き換える権限は無かったことから、変更は行われていないとしている。また顧客データなどへのアクセスはされていないとしている（Microsoftブログ、CNET）。

GoogleのProject Zeroは23日、Windows 10のプリンタードライバーホスト「splwow64.exe」に存在する未修正脆弱性を公表した(Project Zero - Issue 2096、 Neowinの記事、 HackReadの記事、 Bleepng Computerの記事)。

この脆弱性は整合性レベル(信頼性)の低いプロセスがsplwow64(整合性レベル「中」)にLPCメッセージを送ることで、splwow64のメモリ空間に任意のデータを書き込めるというものだ。これにより、ローカルでの特権昇格が可能になる。もともとMicrosoftはCVE-2020-0986としてsplwow64の脆弱性も6月に修正していたが、完全には修正されていなかったそうだ。CVE-2020-0986との違いとしては、ポインタの代わりにオフセットを送信する点だという。

Project Zeroでは9月24日にMicrosoft Security Response Center(MSRC)へ報告し、脆弱性にはMSRC-61253/CVE-2020-17008が割り当てられた。MSRCは12月の月例更新で修正する計画を示していたが、テストで問題が見つかったため修正は1月に延期される。12月23日で90日の開示期限を迎えることから14日間の猶予期間追加についてMSRCとProject Zeroは協議したが、Microsoftが期間内のパッチ提供を計画していない(次の月例更新は2021年1月12日)ため、猶予期間の追加は行われなかったとのことだ。

ドメイン登録やホスティングサービスを提供するGoDaddyが従業員を対象に実施したソーシャルエンジニアリング攻撃対応訓練で、年末ボーナスを受け取るには申請が必要、といった趣旨の電子メールを送信したことが批判されている(The Copper Courierの記事、 12 Newsの記事、 The Vergeの記事、 Mashableの記事)。

GoDaddyはCOVID-19パンデミック下で記録的成長を遂げる一方、大規模な人員削減を発表している。今年はボーナスも支給しないと従業員に伝えていたそうだ。しかし、14日に従業員へ送られたフィッシング詐欺テストメールには、GoDaddyにとっては記録的な1年だったがパーティーを開くこともできないので650ドルのボーナスを支給すると記載。ボーナスを受け取るには地域別のリンク先で12月18日までに情報を入力する必要があると説明している。

しかし、リンクをクリックして情報を入力した500人ほどの従業員は、ボーナスではなくトレーニングを再受講する必要があるとの通知を受け取ることになる。

近年は従業員を対象にしたソーシャルエンジニアリング攻撃がサイバー攻撃の重要なベクターとなっており、GoDaddyも被害にあって顧客情報を流出させている。ソーシャルエンジニアリング攻撃対応訓練の重要度も増しているが、このような状況下でボーナス支給に言及する訓練用メールが気に障った従業員も多いようだ。

任天堂が3DSのハッカーに言うことを聞かせるため、覆面調査員などを使用してストーカーまがいの行為を含む徹底的な身辺調査を行っていたことを示す内部文書が流出した(TorrentFreakの記事、 流出文書: PDF)。

調査対象となったのは任天堂製品のエクスプロイト開発などで知られる「Neimod」ことベルギーのDomien Nowicki氏。2013年1月までに行われた調査では、Neimod氏のかかわったエクスプロイトや学歴、受賞歴のほか、勤務時間や休日の過ごし方、自宅への訪問者がいないことなど、多岐にわたって調べ上げられている。また、ベルギーでサイバー犯罪となるNeimod氏の行為もリストアップされており、最終的には直接話し合って犯罪行為を通報しないことや利益供与することなどを条件に協力者にする計画だったようだ。

Neimod氏が協力者となっても任天堂側が情報を提供する必要はないことから機密情報が流出するリスクはなく、ソニーがPS3ハッカー「Geohot」ことGeorge Hotz氏への対応で失敗したような状況を避けてハッカーを大切にする企業としての評価が得られるなど、計画のメリットがいくつも挙げられている。ただし、流出した文書が本物だとすれば、評価を得る計画も台無しということになる。

あるAnonymous Coward 曰く、

ImpressWatchによると、Microsoftが「2020年末に期限切れになるルート証明書を削除しないで」と呼び掛けているそうだ。(Microsoft)
記事によれば、Windows 7、Windows Vista、Windowser Server 2008/2008 R2には2020年末に有効期限が切れるルート証明書が存在しており、ユーザーがこれらのルート証明書を削除してしまうと、動作しないアプリが出たり、最悪の場合OSが壊れるといった危険性を挙げている。
よほど詳しい人でない限りは削除するとは考えにくいと思われるが、皆さん気を付けましょう。

情報元へのリンク