オーストラリアの「News media bargaining code」法案(2月25日に可決)の支持を打ち出し、米国でも取り入れるべきだと主張するMicrosoftに対し、ライバルを蹴落とすためにオープンなWebの仕組みを破壊するつもりだとGoogleが批判している(The Keywordの記事、 On MSFTの記事、 9to5Googleの記事、 The Vergeの記事)。

法案はニュースコンテンツ使用料の交渉にあたり、パブリッシャーが有利な条件でデジタルメディアプラットフォームと契約可能にする仲裁モデルを盛り込んでいる。最終的には商業的な契約を優先するなどの修正も加えられたが、Googleは修正されなければオーストラリアでのサービス提供を中止する可能性にも言及していた。しかし、スコット・モリソン首相がBingでGoogleの穴を埋めることが可能との見方を示し、Microsoftが法案の支持を表明した結果、Googleは強硬姿勢を改めざるを得なくなった。

GoogleはMicrosoftがLinkedInやMSN、Microsoft News、Bingなどのサービスで常にニュースコンテンツを消費・共有しているが、Googleと比べて大幅に少ない金額しかニュース産業に払っていないと指摘。Microsoftは自社のジャーナリストを支援することもなく、AIで置き換えている。それにもかかわらず法案を支持するMicrosoftの姿勢は、企業の日和見主義をむき出しにしたものだと批判する。さらに、MicrosoftがSolarWinds製ソフトウェアの脆弱性を悪用した攻撃を受けてソースコードを流出させたことや、Exchange Serverの脆弱性で大規模な被害が報じられる中、突如としてジャーナリズム支援を打ち出したのは偶然ではないという。

Exchange Serverの脆弱性を悪用した攻撃は1月から確認されていたにもかかわらず、Microsoftがパッチの提供を開始したのは3月に入ってからだ。最終的に1週間早く提供を開始したが、当初は3月の月例更新まで待つ計画だったとも報じられている。Googleによれば、Microsoftはダメージコントロールに努めており、一連の問題から目をそらすために昔の「Scroogled」作戦を再び持ち出してきたのは驚くべきことではないとのことだ。

クラウド型のビル監視・運用ツールを提供しているスタートアップ企業のVerkadaが外部からハッキングされたそうだ。これにより同社の利用者15万台以上のカメラ映像が流出したと報じられている（Bloomberg、ブルームバーグ、Engadget）。

犯行はSuper Administratorの権限を入手する手法で実行されたとされる。被害は電気自動車メーカーのテスラが利用している222台ものカメラのほか、Cloudflareをはじめ病院、警察、刑務所、学校、そしてVerkada自身がオフィス等に設置している監視用ネットワークカメラに関しても映像が流出したとされる。また全顧客の映像記録全てにもアクセスできたそうだ。

病院を含む一部のカメラでは、Verkadaが提供している顔認識技術を使用して、映像でキャプチャされた人物を識別および分類することもできた。Bloombergの記事によれば、Verkadaは不正アクセスを防止するため、すべての内部管理者アカウントを無効にしたとする声明を出しているという。なおVerkadaの公式サイト上には今のところリリース等は出されていない。

この件に関して、被害にあった一社であるCloudflareが自社ブログで、事件の経緯や被害状況について解説する記事を掲載した。Cloudflareは、サンフランシスコ、オースティン、ニューヨーク、ロンドン、シンガポールのオフィスの監視にVerkadaのサービスを使用しているという。同社はVerkadaからハッキングの連絡を受けると、すべての場所のカメラをシャットダウンした。なお先の話題にあった顔認識アプリは同社では使用していないと説明している（Cloudflare、GIGAZINE）。

headless 曰く、

Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。

リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。

千葉県警は9日、NTTドコモの電子決済サービス「d払い」を不正利用した疑いで、ベトナム国籍の元技能実習生ら2人を逮捕した（千葉県警）。

読売新聞やテレ朝newsの報道によると、2人は昨年9月に他人名義のスマートフォン99台を使用、計約293万円分・567カートンのたばこなどを他人名義のd払いで購入しようとしたとしている。この事件でスマートフォン270台が押収されたという。大量のスマートフォンの入手方法については不明。また二人は容疑を否認しているとしている（読売新聞、テレ朝news）。

この事件では、SIMカードが入っていないドコモのスマホが使用された。またd払いで利用可能な電話料金合算払いの仕組みを悪用したものだそうだ。電話料金合算払いは月々の携帯電話料金に合算して請求を行うもので、読売新聞の報道によれば、d払いではIMカードがなくてもWi-Fi環境があれば利用できるという仕組みを悪用したものだとしている。

また請求までのタイムラグが発生するため、しばらくは発覚しにくい利点あったとしている。ドコモはスマートフォンを転売するときは必ず端末の初期化を行うよう警告しているとのこと。

headless 曰く、

デスクトップ版のレガシーMicrosoft Edgeのサポートが3月9日で終了した(Microsoft Edge Blogの記事)。

レガシーEdgeはInternet Explorerを置き換えるモダンブラウザーとしてWindows 10に導入された。MicrosoftはWebのモノカルチャーには貢献しないとしてレンダリングエンジンにはWebKitを採用せず、従来のMSHTML(Trident)エンジンをフォークしたEdgeHTMLエンジンを採用する一方で、WebKitとの完全互換を目指していた。しかし、期待された拡張機能サポートの搭載は遅れ、Windows 10の標準ブラウザーでありながら大きなシェアを獲得することはできなかった。その結果、より互換性が向上するなどとしてMicrosoft EdgeはChromiumベースへ転換することになる。

レガシーEdgeに対するセキュリティ更新プログラムは同日提供が始まった3月のWindows 10向け累積更新プログラム(Bリリース)が最後となる。Microsoftは4月の月例更新ではレガシーEdgeを完全に削除し、Chromiumベースの新Microsoft Edgeに置き換える計画を示している。

なお、3月の累積更新プログラムをインストールした環境でレガシーEdgeを起動すると、「このバージョンのMicrosoft Edgeは、サポートされなくなったか、セキュリティ更新プログラムを受信していません。今すぐ最新バージョンのMicrosoft Edgeをダウンロードしてください。」と通知が表示され、新Microsoft Edgeをダウンロードするよう促される。

総務省は3月10日、楽天モバイルに対して個人情報および通信の秘密の保護の徹底を行うよう指導を行う文書を発表した。この文書によると、楽天モバイルが提供している「Rakuten Link」アプリケーションにおいて、2020年10月に個人情報の漏洩が、11月には通信の秘密の漏洩が発生していたという（総務省、楽天モバイル）。

10月に発生した第1事案では、回線契約を解約した利用者がRakuten Link上に登録してあった個人情報が、同じ電話番号を割り当てられた新たな契約者が閲覧できるようになっていたとしている。具体的には登録名、プロファイル画像、連絡先情報が見られるようになっていたとしている。

11月の第2事案では、Rakuten Linkの機能強化のためのサーバー側システムの再起動中、新たにアプリの利用を開始した利用者から、別の利用者の発着信履歴、登録名、プロファイル画像、電話帳、チャット履歴が閲覧可能な状態となっていたとしている。

総務省はこの二つの事案が個人情報および通信の秘密の保護に違反したとして、再発防止に努めるよう文書で指導を行った。総務省の発表後に楽天モバイルもリリースを出している。これによると第1事案が発生したのは2020年10月5日で個人情報が漏れたのは1名であるという。第2事案は2020年11月13日に発生、情報漏洩が確認されたユーザー数は15名だったとしている。なお日経新聞によれば、楽天モバイルへの行政指導が行われるのは今回で7度目だとしている（日経新聞）。

SMBC信託銀行とSMBC日興証券で、第三者から不正にアクセスがあったことが分かった。二社のシステムは同一企業が提供しているという（SMBC信託銀行[PDF]、SMBC日興証券[PDF]、SankeiBiz、時事ドットコム）。

不正アクセスにより、Webサイト上から口座開設手続きを行ったユーザーの一部情報が外部に漏れていたとしている。流出した中には手続きを中断したユーザーの個人情報も含まれている可能性がある。原因はアクセス権設定の不備によるものだとしている。今年2月に安全対策を強化する対応を取ったとしている。

SMBC信託銀行で最大101人分の氏名や電話番号、住所、勤務先など、SMBC日興証券側では最大50人分の氏名やメールアドレスが漏えいした可能性がある。技術的な問題が発生しており、不正アクセスされたのは誰かについては把握できなかったことから、可能性のある顧客全員に連絡するとしている。

2番艦である「くまの」が先に進水していた海上自衛隊の多機能フリゲート艦「FFM」。工事中のトラブルなどで進水が遅れていた本来の1番艦となる護衛艦が3日、三菱重工長崎造船所で命名・進水式を行った。艦名は艦名は山形県を流れる「最上川」に由来「もがみ」になった。もがみは2022年以降に就役する予定。同艦はネームシップとなり、今後建造される同型艦は「もがみ型護衛艦」という名称になる。今後は22隻の同型艦建造が予定されているとのこと（共同通信、長崎経済新聞、KyodoNews[動画]）。

PC Watchの記事によれば、1bitずらしたドメインを取得することで、別ドメインのトラフィックを取得する「bitsquatting(ビットスクワッティング)」と呼ばれる手法があるそうだ。実際にこの手法を実験した人物がいるという（remy氏のサイト）。

その実験を行ったremy氏は「windows.com」を対象として検証をしたという。同氏によるとwindows.comの場合は、こうした32のドメインのうち、14は誰でも購入可能な状態だったことから、14のドメインをすべて購入し、アクセスしてくるパケットをキャプチャした。その結果、

その結果、「*.whndows.com」などを利用して、本来NTPサーバーの「time.windows.com」に対するアクセスの内、14日間で626のユニークなIPアドレスから、19万9,180のNTPクライアント接続が確認できたという。

同氏は、このようなアクセス数の多いドメインに関しては、bitsquattingという手法は実用性が十分にあるとしている。

あるAnonymous Coward 曰く、

中国のセキュリティ組織360 Netlabは5日、QNAP製NASの既知の脆弱性を狙った攻撃が観測されているとして利用者に注意を促している（360 Netlab Blog）。

同NASに搭載されているアプリ「Helpdesk」に存在するアクセス制御不備の脆弱性QSA-20-08(CVE-2020-2506, CVE-2020-2507)が悪用されているとみられ、攻撃者はCPU/メモリ使用率を隠匿しつつ暗号通貨マイニングを実行するという。

この脆弱性については昨年8月に修正版が提供され、昨年10月に概要が公表されていたが、脆弱性のあるオンラインのQNAP製NASが未だに数十万台あると推測されている。

対象となるモデルは広範に渡り、TS-221など日本で販売されていたモデルも含まれている。同社の調査によると日本の利用者は世界で6番目に多いようだ。

情報元へのリンク

米国で「Microsoft Exchange Server」のProxyLoginと呼ばれる脆弱性を突いた攻撃が広まっている。被害は米国企業だけでも3万の組織に及ぶとも報じられている。Microsoftによれば、中国に拠点を置くサイバー攻撃グループ「Hafnium」が米国に置かれているレンタルのVPSサーバーを経由して攻撃を行っているという（Microsoft、ProxyLogon.com、Security NEXT、日経新聞）。

この脆弱性ProxyLoginは攻撃者が認証をバイパスして管理者になりすますことが可能なもの。共通脆弱性識別子はCVE-2021-26855が割り振られている。Microsoftによれば、「Exchange Server 2013」「Exchange Server 2016」「Exchange Server 2019」でセキュリティ上の問題が発生している。同社は米国時間の2日にセキュリティ更新プログラムをリリースしており、JPCERT/CCや情報処理推進機構（IPA）も早急に修正プログラムを適用するよう求めている（IPA、JPCERT/CC）。

これに合わせて米サイバーセキュリティ・インフラセキュリティ庁（CISA）は3日、緊急指令「Mitigate Microsoft Exchange On-Premises Product Vulnerabilities」を発令。政府機関に直ちに脆弱性に対処することを求めている（ZDNet、TECH+ ）。

米司法省は5日、「サイバーセキュリティのレジェンド」ことジョン・マカフィー氏とその暗号通貨チームのエグゼクティブアドバイザーを暗号通貨に関連する詐欺やマネーロンダリングの共謀罪で起訴したことを明らかにした(プレスリリース、 The Vergeの記事、 Mashableの記事、 Ars Technicaの記事)。

訴状によれば、マカフィー氏は自身が購入したことを隠して暗号通貨をソーシャルメディアで宣伝し、価格が上昇すると売却していたほか、新規暗号通貨発行(ICO)実施者から報酬を得ていることを隠してソーシャルメディアで宣伝していたという。マカフィー氏が宣伝した暗号通貨の価値は急上昇するもののすぐに下落して投資家に損害を与える一方、マカフィー氏とその暗号通貨チームは詐欺的行為により1,300万ドル以上を得たとされる。

マカフィー氏は米国での脱税および申告漏れにより昨年スペインで逮捕されており、現在も米国への身柄引き渡し待ちで収監されている。アドバイザーは4日にテキサス州で逮捕されたとのこと。本件に関しては別途、米商品先物取引委員会(CFTC)が民事訴訟を提起している(PDF)。

Googleは4日、Chromeのマイルストーン(メジャーバージョン)リリース間隔を現在の6週おきから4週おきに短縮する計画を発表した(Chromium Blogの記事、 The Vergeの記事、 9to5Googleの記事、 Android Policeの記事)。

現在、Googleではオープンソースコードにセキュリティバグの修正が適用されてから安定版に反映するまでのパッチギャップを小さくするため、2週間おきにChromeのセキュリティアップデートをリリースしている。また、テストとリリースのプロセスも改善していることから、リリース間隔を短縮して新機能をより早く提供できるのは明らかだという。新しいリリース間隔は第3四半期のChrome 94から開始する予定とのこと。

これに加え、アップデートの管理に時間が必要な企業のIT管理者とChromium埋め込みアプリ開発者向けに、8週間おきにメジャーバージョンをリリースする「Extended Stable」オプションを追加する計画も示された。Extended Stable向けには重要な問題を修正するアップデートが2週間おきにリリースされるが新機能は含まれず、4週間隔のオプションに提供されるセキュリティ修正のすべてが含まれることにはならないという。また、Chrome OSでは複数の安定版リリースをサポートする計画だといい、詳細は今後発表するとのことだ。

先日のソフトバンクの顧客情報流出の件では、持ち出した情報が他人に渡り、不正利用されたとみられている。新たな話としては、決済サービス「PayPay」などの不正チャージに悪用された可能性があるという。なおFNNプライムオンラインによると、銀行口座から現金を引き出された被害に遭ったユーザーは、口座と携帯電話の暗証番号が同じだったことが分かったそうだ（NHK、FNNプライムオンライン）。

なお、顧客情報を流出させた疑いで逮捕された販売代理店の稲葉修作容疑者は、「違法になるとは知らなかった」として容疑を否認しているとのこと。

数学者で暗号学者であるClaus Peter Schnorr氏の発表した未査読の論文が話題となっている。この論文はRSA暗号を破壊するレベルで劇的に高速化したアルゴリズムを開発したとするものだ。筆者であるClaus Peter Schnorr氏はドイツ・フランクフルト大学の有名な暗号の専門家として知られていることからも大きな話題を呼んだようだ。RSA暗号技術はHTTPS、VPN、SSHなどにも使用され、現在のネットのセキュリティにおいて重要な役割を持つことから、仮に論文の内容が正しかった場合は大事になりかねない（未査読の論文、The Daily Swig、heise online）。

結論からいうとおそらくは誤報である可能性が高い。heise onlineの記事によれば、もともとアップロードされた論文がドイツ語の混ざった誤記などがあるものだった上、作者のSchnorr氏が3月3日に最終改訂版としてアップロードしたものも、Googleの暗号研究者であるSophieSchmieg氏などによって多くの数学的矛盾が指摘されている。記事によれば、Schnorr氏は比較的小さな数に対してのみ計算を実行した可能性があるという（SophieSchmieg氏のツイート）。

国内で話題のきっかけになった情報セキュリティの研究者のTsukasa #01氏の関連する新たなツイートでは、

【重要】RSA 破壊を主張する未査読論文ですが、現状再現成功の報告なし (失敗報告あり https://github.com/lducas/SchnorrGate)。また証明内の誤りを指摘する意見 (https://crypto.stackexchange.com/questions/88582/does-schnorrs-2021-factoring-method-show-that-the-rsa-cryptosystem-is-not-secur) もあり。どう少なく見積もっても、未査読論文を不適切なまでにセンセーショナルに扱ってしまいました。申し訳ありません。

としている。なお、同氏の話題のきっかけとなった関連ツイートも一応記載しておくとこちらになる（該当ツイート）。