headless 曰く、

英国・イングランド中部のウェストミッドランズ警察は5月27日、違法な大麻栽培の疑いで捜査した工業団地の1棟が暗号通貨採掘場だったと発表した(ニュースリリース、 The Guardianの記事、 Neowinの記事、 Daily Mail Onlineの記事)。

警察では現場に多くの人が異なる時間帯に訪れているとの情報を得ており、配線や換気のダクトが多数見えていたほか、かなりの排熱があることをドローンで確認していたという。これらはすべて大麻栽培工場の特徴だが、5月18日に捜査令状を執行して建物に入ると、中にはBitcoin採掘に用いる100台ほどのコンピューターユニットが並べられていたとのこと。

暗号通貨採掘自体は違法ではないが、採掘には電力メーターを迂回して盗んだ電力が使われており、被害額は数千ポンドに及ぶという。そのため、警察は証拠として押収した機器の没収も視野に入れているそうだ。現場には当時誰もいなかったため逮捕者は出ていないが、建物の所有者に問い合わせる計画だとも述べている。

Daily Mailによれば、盗まれた電力は1か月で16,000ポンドに相当するが、採掘されたBitcoinは最高値時で1か月8,000ポンド程度にとどまるとのことだ。

富士通は25日、同社が運営する情報共有ツール「ProjectWEB」で大規模な不正アクセスが発生したと発表した（富士通、国土交通省、外務省、内閣サイバーセキュリティセンター[PDF]、ITmedia、成田国際空港、piyolog、iPhone Mania、NHK）。

現在ProjectWEBに関しては原因究明のため運用を停止しているという。この影響で顧客である企業や官公庁の情報流出が相次いでいるという。国土交通省は26日に内外関係者約7.6万件分のメールアドレスが流出したと発表、外務省もデジタルガバメントに関連する検討資料が流出。その中には個人を特定できる情報も含まれていたとしている。被害が出ていることから、内閣サイバーセキュリティセンターも情報システムを構成する機器類の情報が漏れていたと発表した。このほかにも成田空港も運航情報管理システムに関係する情報などが不正アクセスを受けたと発表している。

「Apple M1」プロセッサ上にLinuxを移植する過程で、M1プロセッサに設計上の脆弱性があることが判明したそうだ。この脆弱性を発見したHector Martin氏は「M1RACLES」と名付けている。M1RACLESはすでにCVE-2021-30747識別子として割り当てられているという（CVE-2021-30747、Phoronix、TECH+、Ubergizmo JAPAN）。

この脆弱性では、OS上で実行されている2つのプロセス間で、OS側の機能を必要とせずにデータ交換できるというもの。これは異なる権限レベルで動作するプロセス間でも動くとされている。ただ、この脆弱性を悪用するためには、システムが侵害されている状態でなければならず、そうでない状況では悪用は難しいとされている。この脆弱性がM1プロセッサの後継モデルで修正されるかは不明。

5月23日にギリシャ・アテネ発リトアニアビリニュス行きライアンエアー4978便がベラルーシ航空管制から機内に安全上の脅威が存在する可能性を伝える虚偽の通報を受け、ベラルーシ・ミンスクで強制着陸させられた問題について、ベラルーシ政府への批判が強まっている。

これについて あるAnonymous Coward 曰く、

4978便はベラルーシ領空を飛行していたもののEUの航空会社がEU域内の空港間を運航する便であり、機内で爆発物などの脅威は見つからず、搭乗していた反政府ジャーナリストと同行者を治安当局が逮捕するにとどまった。そのため、EUは初めからこの人物を逮捕することが目的だったとして「国家による海賊行為だ」などと批判している(NHKニュースの記事、 毎日新聞の記事、 Bloombergの記事)。

この事件を受け、欧州各国がベラルーシ領空の飛行回避や経済制裁強化などの対応に動いている。一方でロシアはベラルーシを擁護するなど、また東西対立の火種になりそうな状況である。

G7外相とEU上級代表はベラルーシ当局を非難する声明を発出しており、米政府は米市民に対するベラルーシへの渡航禁止や6月3日以降のベラルーシ国有9企業に対する制裁措置再適用などを発表した。ライアンエアーはEUのガイダンスに従い、ベラルーシ領空を飛行しないと発表している。

イランのハッサン・ローハニ大統領は5月26日、今夏の電力需要増加に対応するため夏の終わりまで暗号通貨採掘を禁止することを明らかにした(イラン大統領府のニュース記事、 Al Jazeeraの記事、 The Registerの記事、 The Vergeの記事)。

イランのエネルギー省によれば、イランでは今年に入ってから5月末までの電力需要ピークが前年比20%増加しており、2014年～2020年の4月・5月の電力需要が年平均1.8%程度しか増加していないのと比べて非常に大きな増加幅だという。今年の電力需要増加の要因として、気温上昇が例年より早かったことでエアコンの利用が増加したこと、降雨量が少なく灌漑用の井戸の稼働が早まったこと、大手製造業の生産量増加、暗号通貨採掘の増加が挙げられている。

ローハニ大統領は原子力発電所が間もなく最大出力に達し、点検中の発電所が再稼働すれば電力需要を賄えるとの考えを示しつつ、認可を受けているかどうかにかかわらず同日から夏の終わりまで暗号通貨採掘を禁じることで、国民が必要とする電力を確実に供給できるとの考えを示した。Al Jazeeraによれば、暗号通貨採掘の禁止期間はイラン暦で第6月の終わりにあたる9月22日までとのことだ。

headless 曰く、

Thunderbird 78.8.1～78.10.1では、インポートしたOpenPGP秘密鍵を暗号化せずにローカルディスクに保存するという脆弱性(CVE-2021-29956)があったそうだ(Bug 1710290、 The Registerの記事、 Mozilla Foundation Security Advisory 2021-22)。

この脆弱性によりインポートされた鍵がマスターパスワードで保護されないため、マスターパスワードを入力しなくてもメッセージが復号されると4月からメーリングリストで報告されていた。

脆弱性を追加し、修正したThunderbirdメインテナーのKai Engert氏がThe Registerに語ったところによれば、元はインポート時にローカルディスクへ保存してから暗号化していたものを、暗号化してから保存するよう変更してしまったのが原因だという。Engert氏とレビューアーは暗号化された状態で鍵が保存されると思い込んでいたが、実際にはそうではなかったとのこと。Engert氏はRNPソフトウェアのエラーにより暗号化が保存時に反映されないと説明しているそうだ。

この脆弱性はThunderbird 78.10.2で修正されており、暗号化なしで保存された鍵が見つかったら暗号化するとのことだ。

回線網を自社で所有している大手キャリア（MNO）などの所有する携帯電話の基地局は、ほかの施設に間借りして設置されていることが多い。また手続などの都合から、同じ場所に複数社の基地局が設置されることもある。Twitterでその基地局のある敷地へ出入りするための柵の鍵の管理方法が話題になっていたようだ（電波やくざさんのツイート）。

電波やくざさんのアップした写真によれば、東京電力の送電線鉄塔にau基地局がついていたという事例では、東京電力とauがそれぞれの所有する鍵で施設内には入れるように、左右の棒の端に南京錠を付けるという構造になっていた。これで2社間で鍵の貸し借りをしなくても施設内に入ることができるとしている。

こうした工夫はほかの施設でも行われているそうで、電波やくざさんは、ドコモ、au、SoftBankがオプテージの鉄塔を借りている4社が共有する施設の鍵も関しても写真をアップしている。その写真のレスでは海外の同様の施設の鍵の管理方法なども紹介されている。同様に鍵の貸し借りナシで施設内に入れるように工夫されているようだ。昔の記事だが、らばQでもこうした鍵の話が紹介されたことがあったようだ。

あるAnonymous Coward 曰く、

メルカリは、第三者から不正アクセスされ、GitHub上に保管されていた一部顧客情報やソースコードが流出したと発表。
不正アクセスの原因は、コードカバレッジ「Codecov」の脆弱性により第三者からBash Uploaderを不正に書き換えられ、
GitHubへのアクセス情報が漏洩、不正アクセスされ、情報が流出したとのこと。

情報元へのリンク

メルカリは21日、同社の利用するコードカバレッジツール「Codecov」が不正アクセスを受け、これにより顧客情報や加盟店情報など合計2万7889件が流出したと発表した。流出したのは、売上金の顧客口座への振込みに関連した情報17万85件（期間：2013年8月5日〜2014年1月20日）、カスタマーサービス対応に関連した情報217件（同2015年11月〜2018年1月）、メルカリ・メルペイの一部取引先等に関する情報7,966件、子会社を含む一部従業員に関する情報2615件となっている。流出した情報の悪用は確認されていないとしている（メルカリリリース）。

くるまのニュースの記事によると、新型オデッセイのある機能のせいで洗車中に車内が「水浸し」になる事例が出ているという。今のミニバンではパワースライドドアが一般化している。そのパワースライドドアをスマートキーでコントロールする機能が影響しているのだという。

2020年11月以降のマイナーチェンジ以降のモデルでは、スマートキーを携帯したままスライドドアに接近するとセンサー部分のLEDが点灯、手をかざして左右に動かすことでパワースライドドアの開閉させることができる。しかし、車の洗車時には車体を吹いたりするときにこうした挙動を取ってしまうことが多く、いつのまにかパワースライドドアが開いているといった事例が発生しているようだ。一部のガソリンスタンドでは、洗車前に必ず自動開閉機能をOFFにするよう求める注意書きが掲出されているという。

ネットマーケティングは21日、恋活・婚活マッチングアプリ「Omiai」で会員情報171万人1756件が流出したと発表した。外部からの不正アクセスを受けたとしている。情報流出の対象となるのは2018年1月31日から2021年4月20日の期間に同サービスに提出された年齢確認書類の画像データ。リリースによると、提出時に求められているのは、主に運転免許証、健康保険証、パスポート、マイナンバーカード（表面）等であるという。6割が免許証の画像データが占めており、そのうち誤って提出されたマイナンバーカードの裏面画像データが1件含まれているとしている（ネットマーケティングリリース、BuzzFeed News）。

あわせてネットマーケティングは23日、お問い合わせフォーム内の個人情報が外部から閲覧できる状態にあったと発表した。不具合が起きたのは「ネットマーケティングHP（コーポレートサイト）」内の問い合わせフォームで、前述のOmiaiの問い合わせフォームとは別のものとなっている。先の「Omiai」への外部からの不正アクセスが原因ではなく、システム不具合によるものだという（ネットマーケティングリリースその2）。

流出した期間は2021年5月19日11時から5月22日15時までの期間で、閲覧可能となっていた情報は会社名、部署名、会社URL、名前、フリガナ、電話番号、メールアドレス、お問合せ内容の一部の計8項目。37名の情報が流出したとしている。

あるAnonymous Coward 曰く、

https://www.net-marketing.co.jp/news/5873/
https://www.buzzfeed.com/jp/yutochiba/omiai

件数自体は昨今では特別多いというわけではないが、年齢確認書類としてアップロードされた運転免許証や健康保険証の画像が大量に流出した可能性があるのは影響が大きそうだ。

情報元へのリンク

Googleは19日、ChromeのUser Agent(UA)文字列に含まれる情報を削減する計画の再開を発表した(Chromium Blogの記事、 User-Agent Reduction)。

GoogleはUA文字列の情報削減計画を昨年1月に発表したが、COVID-19の影響で2021年以降に先送りされていた。その間もGoogleはUA文字列の代替として提案しているUser-Agent Client Hints API(UA-CH)の改善を進めてきたそうだ。

UA文字列削減は段階的に進められ、第1・第2段階は準備段階、第3～第6段階でロールアウトし、第7段階で完了する。第1段階はChrome 92で「navigator.userAgent」「navigator.appVersion」「navigator.platform」へのアクセスに対し、デベロッパーツールの「Issues」タブで将来的なUA文字列の情報削減に関する警告を表示する。この警告は既にChrome Canaryで表示されるようになっている。今後数週間のうちにアナウンスする第2段階では、Origin Trialにオプトインしたサイトが最終版の削減されたUA文字列をテストできるようにする。テストに十分な時間が取れるよう、Origin Trialは少なくとも6か月続くとのこと。

第3段階は移行に時間が必要なサイトが従来のUA文字列を少なくとも6か月間利用できるようにする逆Origin Trialを開始する。続く第4段階ではMINOR.BUILD.PATCHバージョン番号が「0.0.0」になり、第5段階でデスクトップUA文字列の情報量削減、第6段階でモバイルUA文字列の情報量削減をロールアウトする。これにより、逆Origin TrialにオプトインしていないサイトではUA文字列と関連するJavaScript APIで情報量が削減される。第7段階では逆Origin Trialが終了し、すべてのページで情報量が削減される。

中国・深センの高層ビル SEG Plazaで18日、原因不明の揺れにより数千人が避難する騒ぎが発生したのだが、調査ではビルの構造や周辺の環境に問題は見つからなかったそうだ(South China Morning Postの記事[1]、 [2]、 [3]、 [4]、 動画)。

世界有数の電気街である華強北の中心部に建つ79階建てのSEG Plazaは深センで5番目に高い高層ビルだという。謎の揺れが発生したのは18日13時50分頃。当時の風速は時速27kmで高層ビルを揺らすほどではなく、地震も発生していなかったそうだ。低層階で揺れはあまり感じられなかったようだが、SEG Plazaだけでなく近くの建物からも緊急退避が行われ、人々が走って逃げだす様子を撮影した動画がソーシャルメディアに投稿された。ただし、建物の揺れは動画ではわからない。

揺れは共振によるものとみられるが、同日21時から翌19日15時まで行われた当局の依頼を受けた複数の専門家によるリアルタイムモニターによれば、振動周波数や傾き、地盤沈下は法定の範囲内に収まっていたとのこと。初期の調査では風と建物の下を通る地下鉄、建物の内外の温度差、という3つの要素の組み合わせによりカルマン渦が発生したことを示していると中国証券報が報じているという。ただし、現在のところ揺れの原因について公式な説明はなされていない。

19日にはタワーの基部にあたる10階建ての電気街部分にテナントの従業員が入ることは認められたものの、開店は認められなかったそうだ。20日には翌21日朝から調査終了まで建物への立ち入り禁止と通知されるが、21日午後には製品を持ち出すテナントが相次いだという。広州市の米領事館では19日、安全が確認されるまで華強北地域に近付かないよう警告を出しており、21日にもほぼ同じ内容の警告を再び出している。

先日サイバー攻撃を受けていた米コロニアル・パイプライン（関連記事その1、その2）だが、ハッカーに440万ドル（約4億8000万円）の「身代金」を支払っていたそうだ。ウォールストリート・ジャーナル（WSJ）の報道を元に複数紙が伝えている。システム侵入の程度や復旧に要する時間が把握できていなかったことから、ジョセフ・ブラント最高経営責任者（CEO）が、支払いを許可したとしている。同CEOは非常に物議を醸す決断だったとした上で、国にとって正しい行いだったと話しているとのこと（WSJ、Bloomberg、CNN、朝日新聞）。

追記
Bloombergは、米保険会社CNAファイナンシャルもランサムウエア被害を受けて身代金を支払っていたと報じている。身代金は4000万ドル（約43億5000万円）で3月下旬に支払っていたという。CNAの広報担当は「身代金についてはコメントしない」と話しているとのこと（Bloomberg）。

headless 曰く、

Microsoftの多要素認証アプリ「Microsoft Authenticator」の名前とアイコンを使用した偽のChrome拡張機能がChromeウェブストアで公開され、少なくとも1か月近く公開され続けていたそうだ(Ghacksの記事、 The Registerの記事、 Windows Centralの記事、 Neowinの記事)。

この拡張機能は開発者名がMicrosoftではなく「Extension」となっており、多要素認証機能は搭載されていないという。Ghacksが確認したところ、拡張機能は「run Microsoft Authenticator」というオプションのあるシンプルなページを表示し、ボタンをクリックするとポーランドのWebページが開いて別のサインイン/アカウント作成ページにリダイレクトされたそうだ。Ghacksが発見した時点のユーザー数は448人で、星3つとレーティングされている。レビューには偽物だと警告するものがある一方で、高評価の偽レビューらしきものもみられたとのこと。拡張機能は既にストアから削除されているが、最終更新日の4月23日から1か月近く見つからずにいたようだ。

Chromeウェブストアの開発者プログラムポリシーでは、他人になりすましたり、他人から許可を得たふりをしたりといった行為が禁じられている。なお、本物のMicrosoft AuthenticatorはAndroid/iOSアプリのみがそれぞれGoogle Play/App Storeで公開されており、拡張機能版は提供されていない。Internet Archiveのスナップショット(要JavaScript無効化)でChromeウェブストアの拡張機能のページを見ると、拡張機能の説明はApp StoreのMicrosoft Authenticatorアプリからコピーされたもので、つじつまの合わない説明になっている。MicrosoftはThe Registerに対し、Microsoft AuthenticatorのChrome拡張機能を提供したことはなく、怪しい拡張機能をChromeウェブストアで見つけたら報告するようユーザーに推奨したとのことだ。

2020年の東京都知事選挙で使用されたドメイン「2020tochijisen[.]tokyo」が、5月22日にドメインを失効するようだ。この問題を指摘しているサイトでは、現状でも多くの政治家や政党などの公式Twitterがこのドメインにリンクしており、失効後に第三者にドメインが取得されてウイルスの配布に悪用されるリスクがあるとしている（政府・地方公共団体はドメインをどう取るべきか 、サイト運営者のOsumi, Yusuke氏のTwitter）。

同サイトでは、特定期間で終了するイベントのためためにドメインを取得する場合、とくに政府や市町村など公的機関は気軽にドメインを取得するべきではないと警告している。