英国の中央銀行であるイングランド銀行は25日、50ポンド新ポリマー紙幣の最終デザインを公開した(ニュースリリース、 The new £50 note、 The Registerの記事、 The Vergeの記事)。

イングランド銀行は50ポンド新ポリマー紙幣に科学者の肖像をデザインするため人気投票を2018年に実施し、2019年にアラン・チューリングを選定してコンセプトデザインを公開していた。最終デザインでもチューリングに関連する部分はコンセプトデザインから大きく変更されておらず、1951年に撮影されたチューリングの写真とAutomatic Computing Engine (ACE) プロトタイプの写真やBritish Bombeの設計図、チューリングの論文に記された表と計算式、チューリングの生年月日を2進数表記したティッカーテープなどが配される。

このほか、見る角度によって「Fifty」と「Pounds」に切り替わるホログラムや、表面と同じエリザベス女王の肖像とコンピューターチップがデザインされた大きな透かし、ブレッチリーパークの建築的特徴をフィーチャーした小さな透かしといった偽造防止機能を備える。50ポンド新ポリマー紙幣はチューリングの誕生日でもある2021年6月23日に発行される。これにより、英国のポリマー紙幣はすべての額面(5・10・20・50ポンド)が揃うことになる。

headless 曰く、

Googleは23日、Chrome 90以降でプロトコルを省略したURLが入力された場合のデフォルトをHTTPSにすると発表した(Chromium Blogの記事、 Neowinの記事、 Android Policeの記事、 Softpediaの記事)。

現在のところChromeを含む多くのブラウザーではプロトコルを省略したURLが入力された場合、HTTPで接続する。HTTPSをサポートする多くのサイトでは自動でHTTPSにリダイレクトされ、Chromeではリダイレクトを記憶して次回からはHTTPSでアクセスする仕組みを備える。ただし、Internet ArchiveのようにHTTPSをサポートしながらHTTPアクセスをリダイレクトしないサイトもある。

現在ではHTTPSをサポートするサイトが主流になっているため、デフォルトをHTTPSにすることで最初のアクセス時の読み込み速度が改善するほか、セキュリティも向上する。そのため、GoogleではChromeのデフォルトHTTPS化計画を進めていた。

デフォルトHTTPS化は当初、デスクトップ版とAndroid版のChrome 90でロールアウトし、その後iOS版が続く計画だという。HTTPSをサポートしないサイトや、証明書エラーが発生した場合にはHTTPにフォールバックする仕組みも備える。

なお、現在Chrome Betaはバージョン90、Chrome Devはバージョン91となっているが、まだデフォルトはHTTPのままのようだ。一方、Chrome Canary 91ではデフォルトがHTTPSになっている。Chrome 90安定版は4月13日にリリース予定だ(Chrome Platform Status)。

ネット証券大手の松井証券の業務委託先企業の社員が、顧客のIDなどを不正に入手して勝手に有価証券の売却や現金の不正送金などを行ったとして3月24日に逮捕された。逮捕されたのは開発会社「SCSK」の社員相根浩二（42）で、電子計算機使用詐欺・不正アクセス禁止法違反などの容疑がかけられている（松井証券リリース[PDF]、SCSKリリース[PDF]、NHK、ITmedia、時事ドットコム、日経新聞）。

松井証券の発表によれば、同容疑者は2017年6月29日から2019年11月12日の期間、業務上付与された権限を利用して、顧客IDやパスワード、暗証番号を入手し顧客の有価証券の売却。その売却代金を不正に入手していたとしている。同社や警察の調査によれば被害に遭った顧客の人数は15人で被害総額は約2億円に及ぶとのこと。

SCSK側も同時にリリースを発表している。同社は2020年1月に松井証券から身に覚えのない取引があったと連絡があり、それから調査を開始したという。調査の過程で相根容疑者が不正出金していたことが判明したことから警察に届け出たとしている。

3月20日に開催されたKernel/VM探検隊online part2で、HDMI探検隊と題するセッションがあったようだ。発表者は元セキュリティ系エンジニアで現在は映像系に関わっているというみっきー（mzyy94）さん。テーマはHDMIに関するもの、Raspberry Piを使用してHDMIの信号などを調査した内容となっている。同氏はHDMIのテレビやレコーダーなどの機器コントロールを行うCEC（Consumer Electronics Control）[PDF]などのセキュリティ上の問題点を指摘している（発表の動画[01:55:07あたりから]、発表時のスライド資料）。

曰くHDMI-CECでは機器間の認証機能が無いので、CECフレームというコマンドを送り放題で、それを受理するかどうかは受け取る側の機器が判断するという。悪意を持ったフレームを送りつけることにより、別の機器の操作を妨害したりすることができるようだ。またデータ送信が低速であるため、連続でCECフレームを送り続けるとパスが詰まりやすくなるという。別の機器から連続してデータを送り続けた場合、意図的に送信を妨害できる可能性があるといった指摘が行われている。このほかDDC（Display Data Channel）信号に関する調査なども行われている。こちらではHDCPのデータのやりとりを途中で止めるとディスプレイ側の挙動が不安定になることなど、比較的容易にHDMI関連の信号に介入できる点などが指摘されている模様。

headless 曰く、

Tesla CEOのイーロン・マスク氏は20日、中国の開発フォーラム 中国発展高層論壇 2021にビデオ通話で出演し、同社が諜報活動にかかわることはないと述べた(動画: 該当部分は1分28秒以降、 South China Morning Postの記事、 Mashableの記事、 The Vergeの記事)。

この発言は機密漏洩の懸念から中国政府が軍の施設など国家安全保障上の機密を扱う施設でTesla車の入構を禁じたとの報道を受けたものとみられる。マスク氏はもしもTeslaが車を諜報活動に使うようなことがあれば、中国に限らずどこの国でも廃業に追い込まれることになるだろうと述べ、どのような情報であっても同社には秘密を守る強い動機があるとの考えを示した。該当部分の動画は見つからなかったが、米前政権がTikTokを国家安全保障上の脅威と位置付けたことにも触れ、無用の懸念だったとも述べたそうだ。

LINEユーザーの個人情報が中国や韓国の関連会社などから閲覧可能な状態になっていた問題で、23日に行われたデータの取り扱いを検証する第三者委員会の初会合の結果、韓国にサーバーに置かれていたデータに、LINE Payの利用者の出入金情報やどこで何を買ったのかという決済情報も含まれていたことが分かったそうだ（朝日新聞、FNN）。

加えてLINE Pay加盟店の銀行口座番号などの企業情報に関しても韓国内のサーバーに置かれているという。こうしたサーバーの管理に関しては、韓国IT大手の「NAVER」が行っており、アクセス権は韓国にあるLINE子会社の社員が持っていたことも判明したとのこと。このことから金融庁はLINEに対して報告徴求命令を出したことが報じられている。決済サービスに関わる個人情報などの管理体制の報告を求める。報告の提出期限は29日となっている（NHK、時事ドットコム）。

関連して、政府の個人情報保護委員会事務局は22日、日本企業が中国企業に対して行っている業務委託などに関しても実態調査を検討するという。同事務局によれば、海外委託先の従業員が日本国内のデータセンターにアクセスして業務を行う例は一定数あるとしている（時事ドットコムその2）。

nagazou 曰く、

NEXCO東日本の北海道支社が、サービスエリアやパーキングエリアのトイレで多発していたスマートフォンの置き忘れに対処できる仕組みを作ったそうだ（テレ朝news）。

構造は動画を見てもらった方が手っ取り早いが、ドアのロック部分を回転式のトレイにし、そこにスマートフォンを置けるようにした。トイレから出るときはトレイをひっくり返して鍵を開けないとならないため、スマートフォンを置き忘れることはないという仕組みだ。開発を行った室蘭管理事務所では、トレイ設置前の約7カ月間で54件もの忘れ物があったが、このドアロック式トレイ設置後は0件になったとしている。

headless 曰く、

国立研究開発法人 海洋研究開発機構(JAMSTEC)は18日、同機構職員に成りすましたVPN接続による基幹ネットワークシステムへの不正アクセスが判明したことを明らかにした(プレスリリース)。

不正アクセスが判明したのは3月16日。現時点で機構役職員等の名前、職員番号、アカウント、メールアドレス、ハッシュ化されたパスワード(1,947件)が3月8日に窃取されたことを確認しており、外部の人の個人情報や機微情報等が窃取されていないかを確認中だという。本件について警察に報告するとともにすべてのVPN接続を停止しており、調査が完了次第適切な再発防止策を講じるとのことだ。

LINEの個人情報問題（関連記事[1]、[2]）で、同サービスをインフラとして利用してきた国や自治体で混乱が広がっている。野党はLINE責任者の国会招致にも言及しているという（時事ドットコム、時事ドットコムその2、朝日新聞、FNNプライムオンライン）。

加藤官房長官は17日、記者会見でこの問題について問われ、記者団に「事実関係を確認している状況だ」と回答した。さらにLINEを「個人的に使っている」と話したという。政府や自治体の関係者の会話内容が閲覧されたのではないかとする記事も出てきている。現在は閣僚間のLINEに関する申し合わせはなく、政府機関などで利用を見直すかどうかもこれから議論するとしている。

現在、LINEは約8600万人が利用しており、多くの自治体では独自サービスをLINEと提携して利用していることも多い。滋賀県大津市ではLINEで水道・ガスの開栓・閉栓を受け付けるほか、LINE Pay経由で市税などの納入もできる奈良市も国民健康保険の手続きができるほか、身分証の画像や口座番号のやり取りにも使用していたとしている。また神奈川県はCOVID-19感染者の健康状態の確認などに利用していた。福岡市はLINEと連携協定を締結しており、粗大ごみの回収受け付けなどに利用していたという（SankeiBiz、朝日新聞その2）。

全国で初めてLINEによる住民票の写しの申請受け付けを始めた千葉県市川市は17日、LINEを利用した行政サービスの受け付けを一時停止すると発表した。停止が発表されたのは、住民票関係証明書、駐輪場使用許可申請、り災証明交付申請の三つの手続き。市長は「リスクが払拭されない限り、市民に安心して利用していただけない」としているそうだ。

関連して菅義偉首相は19日の参院予算委員会で、「政府ではLINEを含めたインターネット提供サービスを利用する際は機密情報を取り扱わないことになっている」と述べたとしている。武田総務相は総務省はLINEのサービスを、採用活動や意見募集などで使っているが、運用を停止するとの方針を示した。同時に全国の自治体に対しても、利用状況を26日までに報告するよう求めているとのこと（SankeiBizその2、SankeiBizその3）。

headless 曰く、

NVIDIAがRTX 3060のベータ版ドライバーで暗号通貨Ethereum採掘時のハッシュレート制限を解除したと話題になったが、誤って開発用コードをリリースしてしまったものだったそうだ(The Vergeの記事[1]、 [2]、 Neowinの記事)。

NVIDIAではゲーマーが入手しやすくするためとして、ハッシュレート制限を発表。ドライバーだけの問題ではなく、ドライバーとチップ、BIOS(ファームウェア)のセキュアなハンドシェイクが行われるため容易には迂回できないと説明していた。しかし、PC Watchが具体的な内容には触れなかったもののドライバーやBIOSの改造なしに迂回する方法が発見されたと報じ、ComputerBaseがWindows Insider Programを通じてリリースされたベータ版ドライバーGeForce 470.05を使用するだけで迂回できることを確認していた。

NVIDIAによれば、470.05には内部の開発向けに一部の構成でRTX 3060のハッシュレート制限を解除するコードが誤って含まれていたという。ドライバーは削除されているが、既にオンライン上で共有されており、NVIDIAがこのドライバーの使用を止めることはできないとみられている。

AKIBA PC Hotline!によると、制限をかけたことで市場に出回っていたGeForce RTX 3060が、このベータ版ドライバ流出を受けて、秋葉原でも16日に一気に在庫がなくなったそうだ。記事によると16日だけで50本以上売れた店舗もあるそうだ（AKIBA PC Hotline!）。

朝日新聞やNHKの報道によれば、国内のLINE利用者の個人情報が、中国企業の技術者からアクセス可能な状態であったことが分かったという（朝日新聞、NHK）。

LINEの親会社Zホールディングスによれば、同社はサービスに使っているAIやシステムの運用のための社内ツールなどを上海の関連会社に委託していた。この委託先の中国人スタッフ4人が、2018年から開発の過程でトークや利用者の名前、電話番号、メールアドレス、LINE IDなどにアクセス可能であったとしている。朝日新聞の別の記事によれば、この中国人技術者4人が、日本国内の個人情報が含まれるデータベースに計32回接続していたとしている。どんなデータにアクセスしていたかは確認中であるとしている。なおZホールディングスは先月下旬にアクセスできない措置を取ったとしている（朝日新聞その2、朝日新聞その3）。

個人情報保護法では、国外への個人情報の移転が必要な場合、利用者への同意が必要とされる。しかし、利用者に十分な説明をしていなかったとして、政府の個人情報保護委員会に報告したとしている。

jizou 曰く、

LINE 個人情報 十分な説明無く中国の委託先でアクセス可能に
https://www3.nhk.or.jp/news/html/20210317/k10012918871000.html

------------------
2018年から中国人の技術者が日本国内のサーバーに保管されている利用者の名前や電話番号、それにメールアドレスといった個人情報のほか、利用者の間でやりとりされたメッセージや写真などにアクセスできる状態になっていたということです。
------------------
全部もれていたということでいいんだろうね。

------------------
個人情報保護法は外国への個人情報の移転が必要な場合には利用者の同意を得るよう定めていて、親会社のZホールディングスは、説明が不十分だったとして改善を図る方針です。
------------------
利用者の同意があれば、何でもできるように読み取れるけれど、
そういうものかな....

情報処理推進機構（IPA）が、ブラウザの通知機能を悪用して偽の通知を表示させ、不審なサイトに誘導する手口が増えているとして、安易に通知を許可しないことや表示された通知表示の内容をよく確認する、誘導先のサイトでアプリをインストールや個人情報の入力を避けるといったことを求めている。TECH+のまとめを引用すると手口は次のとおりとされる（IPA、TECH+）。

1. CAPTCHA認証などを装った画面を表示させ、通知表示の「許可」を押させるように誘導する
2. 通知許可が得られたら、閲覧中に「パソコンがウイルスに感染した」「スマートフォンをクリーンアップしてください」などの通知を表示する
3. 通知表示をクリックさせ、不審なサイトへ誘導する

オーストラリアの「News media bargaining code」法案(2月25日に可決)の支持を打ち出し、米国でも取り入れるべきだと主張するMicrosoftに対し、ライバルを蹴落とすためにオープンなWebの仕組みを破壊するつもりだとGoogleが批判している(The Keywordの記事、 On MSFTの記事、 9to5Googleの記事、 The Vergeの記事)。

法案はニュースコンテンツ使用料の交渉にあたり、パブリッシャーが有利な条件でデジタルメディアプラットフォームと契約可能にする仲裁モデルを盛り込んでいる。最終的には商業的な契約を優先するなどの修正も加えられたが、Googleは修正されなければオーストラリアでのサービス提供を中止する可能性にも言及していた。しかし、スコット・モリソン首相がBingでGoogleの穴を埋めることが可能との見方を示し、Microsoftが法案の支持を表明した結果、Googleは強硬姿勢を改めざるを得なくなった。

GoogleはMicrosoftがLinkedInやMSN、Microsoft News、Bingなどのサービスで常にニュースコンテンツを消費・共有しているが、Googleと比べて大幅に少ない金額しかニュース産業に払っていないと指摘。Microsoftは自社のジャーナリストを支援することもなく、AIで置き換えている。それにもかかわらず法案を支持するMicrosoftの姿勢は、企業の日和見主義をむき出しにしたものだと批判する。さらに、MicrosoftがSolarWinds製ソフトウェアの脆弱性を悪用した攻撃を受けてソースコードを流出させたことや、Exchange Serverの脆弱性で大規模な被害が報じられる中、突如としてジャーナリズム支援を打ち出したのは偶然ではないという。

Exchange Serverの脆弱性を悪用した攻撃は1月から確認されていたにもかかわらず、Microsoftがパッチの提供を開始したのは3月に入ってからだ。最終的に1週間早く提供を開始したが、当初は3月の月例更新まで待つ計画だったとも報じられている。Googleによれば、Microsoftはダメージコントロールに努めており、一連の問題から目をそらすために昔の「Scroogled」作戦を再び持ち出してきたのは驚くべきことではないとのことだ。

クラウド型のビル監視・運用ツールを提供しているスタートアップ企業のVerkadaが外部からハッキングされたそうだ。これにより同社の利用者15万台以上のカメラ映像が流出したと報じられている（Bloomberg、ブルームバーグ、Engadget）。

犯行はSuper Administratorの権限を入手する手法で実行されたとされる。被害は電気自動車メーカーのテスラが利用している222台ものカメラのほか、Cloudflareをはじめ病院、警察、刑務所、学校、そしてVerkada自身がオフィス等に設置している監視用ネットワークカメラに関しても映像が流出したとされる。また全顧客の映像記録全てにもアクセスできたそうだ。

病院を含む一部のカメラでは、Verkadaが提供している顔認識技術を使用して、映像でキャプチャされた人物を識別および分類することもできた。Bloombergの記事によれば、Verkadaは不正アクセスを防止するため、すべての内部管理者アカウントを無効にしたとする声明を出しているという。なおVerkadaの公式サイト上には今のところリリース等は出されていない。

この件に関して、被害にあった一社であるCloudflareが自社ブログで、事件の経緯や被害状況について解説する記事を掲載した。Cloudflareは、サンフランシスコ、オースティン、ニューヨーク、ロンドン、シンガポールのオフィスの監視にVerkadaのサービスを使用しているという。同社はVerkadaからハッキングの連絡を受けると、すべての場所のカメラをシャットダウンした。なお先の話題にあった顔認識アプリは同社では使用していないと説明している（Cloudflare、GIGAZINE）。

headless 曰く、

Linux Foundationは9日、無料のソフトウェア署名サービス「sigstore」を発表した( プレスリリース、 BetaNewsの記事、 Neowinの記事、 The Registerの記事)。

リリースするソフトウェアにデジタル署名する場合、鍵の管理や侵害発生時の失効処理、安全な公開鍵とハッシュの配布などに困難が伴うため、実行しているオープンソースプロジェクトは非常に少ない。sigstoreはすべてのソフトウェア開発者やソフトウェアプロバイダーが無料で容易に導入可能な署名サービスを提供し、サプライチェーンの安全性を高めるため、Red HatやGoogle、パデュー大学が中心となって設立された。sigstoreはコミュニティにより開発され、証明書を耐タンパー性のある公開ログに記録することで、ソフトウェア成果物への署名を安全に行うことが可能となる。