富士薬品は3月24日、ビジネス版LINEである「LINE WORKS」で、誤操作により友だち登録している顧客160人を含めたトークルームを作成、それによりニックネームとアイコンといった顧客情報が相互に閲覧できる状態となってしまったと発表した（富士薬品、Security NEXT）。

顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。

京都市立芸術大学は31日、4月に入学予定の学生135人の個人情報を流出させたと発表した。原因はメールアドレスの打ち間違い。事務局職員から教員にクラス分け用の情報をメールで送信した。そのときメールアドレスのドメインを本来は「gmail.com」とするところ「gmai.com」と誤入力したまま送信してしまったそうだ（京都市立芸術大学、朝日新聞）。

流出したのは美術学部に入学の学生135人の志望科・氏名・ふりがな・性別・出身校名。大学のリリースによれば、誤送信先にメールの消去を依頼するメールを送信したものの、返答などは無かったとのこと。現時点では不正利用などは確認されていないとしている。

headless 曰く、

PHPメインテナーのNikita Popov氏は3月28日、独自にgitインフラストラクチャーを維持するのは不要なセキュリティリスクになるとして、git.php.netを廃止してこれまでミラーだったGitHubのリポジトリを正規のリポジトリにする計画を発表した(PHPのニュース記事、 The Registerの記事)。

GitHubへの移行のきっかけとなったのは、3月28日にPHPクリエイターのRasmus Lerdorf氏とPopov氏の名前で不正なコミットが行われたことだ。不正なコミットに含まれるのは、User-Agent HTTPヘッダーの文字列が「zerodium」から始まっている場合にヘッダー内のコードを実行するコード。まずLerdorf氏の名前でコミットされ、Popov氏がコミットを取り消したが、Popov氏の名前で取り消しが取り消されている。まだ攻撃の全容は明らかになっていないが、個別のアカウントが侵害されたのではなく、git.php.netのサーバーが侵害されたとしか考えられないという。そのため、調査を続ける一方でGitHubへの移行を決めたとのこと。

GitHubに移行することで、リポジトリへの書き込みアクセスを行うにはphp organization(組織アカウント)のメンバーに含まれるGitHubアカウントが必要となる。まだ組織アカウントのメンバーになっていない場合や、可能なはずのアクセスができない場合にはPopov氏に連絡してほしいとのこと。なお、組織アカウントのメンバーになるには2要素認証を有効にする必要があるとのことだ。

英国の中央銀行であるイングランド銀行は25日、50ポンド新ポリマー紙幣の最終デザインを公開した(ニュースリリース、 The new £50 note、 The Registerの記事、 The Vergeの記事)。

イングランド銀行は50ポンド新ポリマー紙幣に科学者の肖像をデザインするため人気投票を2018年に実施し、2019年にアラン・チューリングを選定してコンセプトデザインを公開していた。最終デザインでもチューリングに関連する部分はコンセプトデザインから大きく変更されておらず、1951年に撮影されたチューリングの写真とAutomatic Computing Engine (ACE) プロトタイプの写真やBritish Bombeの設計図、チューリングの論文に記された表と計算式、チューリングの生年月日を2進数表記したティッカーテープなどが配される。

このほか、見る角度によって「Fifty」と「Pounds」に切り替わるホログラムや、表面と同じエリザベス女王の肖像とコンピューターチップがデザインされた大きな透かし、ブレッチリーパークの建築的特徴をフィーチャーした小さな透かしといった偽造防止機能を備える。50ポンド新ポリマー紙幣はチューリングの誕生日でもある2021年6月23日に発行される。これにより、英国のポリマー紙幣はすべての額面(5・10・20・50ポンド)が揃うことになる。

headless 曰く、

Googleは23日、Chrome 90以降でプロトコルを省略したURLが入力された場合のデフォルトをHTTPSにすると発表した(Chromium Blogの記事、 Neowinの記事、 Android Policeの記事、 Softpediaの記事)。

現在のところChromeを含む多くのブラウザーではプロトコルを省略したURLが入力された場合、HTTPで接続する。HTTPSをサポートする多くのサイトでは自動でHTTPSにリダイレクトされ、Chromeではリダイレクトを記憶して次回からはHTTPSでアクセスする仕組みを備える。ただし、Internet ArchiveのようにHTTPSをサポートしながらHTTPアクセスをリダイレクトしないサイトもある。

現在ではHTTPSをサポートするサイトが主流になっているため、デフォルトをHTTPSにすることで最初のアクセス時の読み込み速度が改善するほか、セキュリティも向上する。そのため、GoogleではChromeのデフォルトHTTPS化計画を進めていた。

デフォルトHTTPS化は当初、デスクトップ版とAndroid版のChrome 90でロールアウトし、その後iOS版が続く計画だという。HTTPSをサポートしないサイトや、証明書エラーが発生した場合にはHTTPにフォールバックする仕組みも備える。

なお、現在Chrome Betaはバージョン90、Chrome Devはバージョン91となっているが、まだデフォルトはHTTPのままのようだ。一方、Chrome Canary 91ではデフォルトがHTTPSになっている。Chrome 90安定版は4月13日にリリース予定だ(Chrome Platform Status)。

ネット証券大手の松井証券の業務委託先企業の社員が、顧客のIDなどを不正に入手して勝手に有価証券の売却や現金の不正送金などを行ったとして3月24日に逮捕された。逮捕されたのは開発会社「SCSK」の社員相根浩二（42）で、電子計算機使用詐欺・不正アクセス禁止法違反などの容疑がかけられている（松井証券リリース[PDF]、SCSKリリース[PDF]、NHK、ITmedia、時事ドットコム、日経新聞）。

松井証券の発表によれば、同容疑者は2017年6月29日から2019年11月12日の期間、業務上付与された権限を利用して、顧客IDやパスワード、暗証番号を入手し顧客の有価証券の売却。その売却代金を不正に入手していたとしている。同社や警察の調査によれば被害に遭った顧客の人数は15人で被害総額は約2億円に及ぶとのこと。

SCSK側も同時にリリースを発表している。同社は2020年1月に松井証券から身に覚えのない取引があったと連絡があり、それから調査を開始したという。調査の過程で相根容疑者が不正出金していたことが判明したことから警察に届け出たとしている。

3月20日に開催されたKernel/VM探検隊online part2で、HDMI探検隊と題するセッションがあったようだ。発表者は元セキュリティ系エンジニアで現在は映像系に関わっているというみっきー（mzyy94）さん。テーマはHDMIに関するもの、Raspberry Piを使用してHDMIの信号などを調査した内容となっている。同氏はHDMIのテレビやレコーダーなどの機器コントロールを行うCEC（Consumer Electronics Control）[PDF]などのセキュリティ上の問題点を指摘している（発表の動画[01:55:07あたりから]、発表時のスライド資料）。

曰くHDMI-CECでは機器間の認証機能が無いので、CECフレームというコマンドを送り放題で、それを受理するかどうかは受け取る側の機器が判断するという。悪意を持ったフレームを送りつけることにより、別の機器の操作を妨害したりすることができるようだ。またデータ送信が低速であるため、連続でCECフレームを送り続けるとパスが詰まりやすくなるという。別の機器から連続してデータを送り続けた場合、意図的に送信を妨害できる可能性があるといった指摘が行われている。このほかDDC（Display Data Channel）信号に関する調査なども行われている。こちらではHDCPのデータのやりとりを途中で止めるとディスプレイ側の挙動が不安定になることなど、比較的容易にHDMI関連の信号に介入できる点などが指摘されている模様。

headless 曰く、

Tesla CEOのイーロン・マスク氏は20日、中国の開発フォーラム 中国発展高層論壇 2021にビデオ通話で出演し、同社が諜報活動にかかわることはないと述べた(動画: 該当部分は1分28秒以降、 South China Morning Postの記事、 Mashableの記事、 The Vergeの記事)。

この発言は機密漏洩の懸念から中国政府が軍の施設など国家安全保障上の機密を扱う施設でTesla車の入構を禁じたとの報道を受けたものとみられる。マスク氏はもしもTeslaが車を諜報活動に使うようなことがあれば、中国に限らずどこの国でも廃業に追い込まれることになるだろうと述べ、どのような情報であっても同社には秘密を守る強い動機があるとの考えを示した。該当部分の動画は見つからなかったが、米前政権がTikTokを国家安全保障上の脅威と位置付けたことにも触れ、無用の懸念だったとも述べたそうだ。

LINEユーザーの個人情報が中国や韓国の関連会社などから閲覧可能な状態になっていた問題で、23日に行われたデータの取り扱いを検証する第三者委員会の初会合の結果、韓国にサーバーに置かれていたデータに、LINE Payの利用者の出入金情報やどこで何を買ったのかという決済情報も含まれていたことが分かったそうだ（朝日新聞、FNN）。

加えてLINE Pay加盟店の銀行口座番号などの企業情報に関しても韓国内のサーバーに置かれているという。こうしたサーバーの管理に関しては、韓国IT大手の「NAVER」が行っており、アクセス権は韓国にあるLINE子会社の社員が持っていたことも判明したとのこと。このことから金融庁はLINEに対して報告徴求命令を出したことが報じられている。決済サービスに関わる個人情報などの管理体制の報告を求める。報告の提出期限は29日となっている（NHK、時事ドットコム）。

関連して、政府の個人情報保護委員会事務局は22日、日本企業が中国企業に対して行っている業務委託などに関しても実態調査を検討するという。同事務局によれば、海外委託先の従業員が日本国内のデータセンターにアクセスして業務を行う例は一定数あるとしている（時事ドットコムその2）。

nagazou 曰く、

NEXCO東日本の北海道支社が、サービスエリアやパーキングエリアのトイレで多発していたスマートフォンの置き忘れに対処できる仕組みを作ったそうだ（テレ朝news）。

構造は動画を見てもらった方が手っ取り早いが、ドアのロック部分を回転式のトレイにし、そこにスマートフォンを置けるようにした。トイレから出るときはトレイをひっくり返して鍵を開けないとならないため、スマートフォンを置き忘れることはないという仕組みだ。開発を行った室蘭管理事務所では、トレイ設置前の約7カ月間で54件もの忘れ物があったが、このドアロック式トレイ設置後は0件になったとしている。

headless 曰く、

国立研究開発法人 海洋研究開発機構(JAMSTEC)は18日、同機構職員に成りすましたVPN接続による基幹ネットワークシステムへの不正アクセスが判明したことを明らかにした(プレスリリース)。

不正アクセスが判明したのは3月16日。現時点で機構役職員等の名前、職員番号、アカウント、メールアドレス、ハッシュ化されたパスワード(1,947件)が3月8日に窃取されたことを確認しており、外部の人の個人情報や機微情報等が窃取されていないかを確認中だという。本件について警察に報告するとともにすべてのVPN接続を停止しており、調査が完了次第適切な再発防止策を講じるとのことだ。

LINEの個人情報問題（関連記事[1]、[2]）で、同サービスをインフラとして利用してきた国や自治体で混乱が広がっている。野党はLINE責任者の国会招致にも言及しているという（時事ドットコム、時事ドットコムその2、朝日新聞、FNNプライムオンライン）。

加藤官房長官は17日、記者会見でこの問題について問われ、記者団に「事実関係を確認している状況だ」と回答した。さらにLINEを「個人的に使っている」と話したという。政府や自治体の関係者の会話内容が閲覧されたのではないかとする記事も出てきている。現在は閣僚間のLINEに関する申し合わせはなく、政府機関などで利用を見直すかどうかもこれから議論するとしている。

現在、LINEは約8600万人が利用しており、多くの自治体では独自サービスをLINEと提携して利用していることも多い。滋賀県大津市ではLINEで水道・ガスの開栓・閉栓を受け付けるほか、LINE Pay経由で市税などの納入もできる奈良市も国民健康保険の手続きができるほか、身分証の画像や口座番号のやり取りにも使用していたとしている。また神奈川県はCOVID-19感染者の健康状態の確認などに利用していた。福岡市はLINEと連携協定を締結しており、粗大ごみの回収受け付けなどに利用していたという（SankeiBiz、朝日新聞その2）。

全国で初めてLINEによる住民票の写しの申請受け付けを始めた千葉県市川市は17日、LINEを利用した行政サービスの受け付けを一時停止すると発表した。停止が発表されたのは、住民票関係証明書、駐輪場使用許可申請、り災証明交付申請の三つの手続き。市長は「リスクが払拭されない限り、市民に安心して利用していただけない」としているそうだ。

関連して菅義偉首相は19日の参院予算委員会で、「政府ではLINEを含めたインターネット提供サービスを利用する際は機密情報を取り扱わないことになっている」と述べたとしている。武田総務相は総務省はLINEのサービスを、採用活動や意見募集などで使っているが、運用を停止するとの方針を示した。同時に全国の自治体に対しても、利用状況を26日までに報告するよう求めているとのこと（SankeiBizその2、SankeiBizその3）。

headless 曰く、

NVIDIAがRTX 3060のベータ版ドライバーで暗号通貨Ethereum採掘時のハッシュレート制限を解除したと話題になったが、誤って開発用コードをリリースしてしまったものだったそうだ(The Vergeの記事[1]、 [2]、 Neowinの記事)。

NVIDIAではゲーマーが入手しやすくするためとして、ハッシュレート制限を発表。ドライバーだけの問題ではなく、ドライバーとチップ、BIOS(ファームウェア)のセキュアなハンドシェイクが行われるため容易には迂回できないと説明していた。しかし、PC Watchが具体的な内容には触れなかったもののドライバーやBIOSの改造なしに迂回する方法が発見されたと報じ、ComputerBaseがWindows Insider Programを通じてリリースされたベータ版ドライバーGeForce 470.05を使用するだけで迂回できることを確認していた。

NVIDIAによれば、470.05には内部の開発向けに一部の構成でRTX 3060のハッシュレート制限を解除するコードが誤って含まれていたという。ドライバーは削除されているが、既にオンライン上で共有されており、NVIDIAがこのドライバーの使用を止めることはできないとみられている。

AKIBA PC Hotline!によると、制限をかけたことで市場に出回っていたGeForce RTX 3060が、このベータ版ドライバ流出を受けて、秋葉原でも16日に一気に在庫がなくなったそうだ。記事によると16日だけで50本以上売れた店舗もあるそうだ（AKIBA PC Hotline!）。

朝日新聞やNHKの報道によれば、国内のLINE利用者の個人情報が、中国企業の技術者からアクセス可能な状態であったことが分かったという（朝日新聞、NHK）。

LINEの親会社Zホールディングスによれば、同社はサービスに使っているAIやシステムの運用のための社内ツールなどを上海の関連会社に委託していた。この委託先の中国人スタッフ4人が、2018年から開発の過程でトークや利用者の名前、電話番号、メールアドレス、LINE IDなどにアクセス可能であったとしている。朝日新聞の別の記事によれば、この中国人技術者4人が、日本国内の個人情報が含まれるデータベースに計32回接続していたとしている。どんなデータにアクセスしていたかは確認中であるとしている。なおZホールディングスは先月下旬にアクセスできない措置を取ったとしている（朝日新聞その2、朝日新聞その3）。

個人情報保護法では、国外への個人情報の移転が必要な場合、利用者への同意が必要とされる。しかし、利用者に十分な説明をしていなかったとして、政府の個人情報保護委員会に報告したとしている。

jizou 曰く、

LINE 個人情報 十分な説明無く中国の委託先でアクセス可能に
https://www3.nhk.or.jp/news/html/20210317/k10012918871000.html

------------------
2018年から中国人の技術者が日本国内のサーバーに保管されている利用者の名前や電話番号、それにメールアドレスといった個人情報のほか、利用者の間でやりとりされたメッセージや写真などにアクセスできる状態になっていたということです。
------------------
全部もれていたということでいいんだろうね。

------------------
個人情報保護法は外国への個人情報の移転が必要な場合には利用者の同意を得るよう定めていて、親会社のZホールディングスは、説明が不十分だったとして改善を図る方針です。
------------------
利用者の同意があれば、何でもできるように読み取れるけれど、
そういうものかな....

情報処理推進機構（IPA）が、ブラウザの通知機能を悪用して偽の通知を表示させ、不審なサイトに誘導する手口が増えているとして、安易に通知を許可しないことや表示された通知表示の内容をよく確認する、誘導先のサイトでアプリをインストールや個人情報の入力を避けるといったことを求めている。TECH+のまとめを引用すると手口は次のとおりとされる（IPA、TECH+）。

1. CAPTCHA認証などを装った画面を表示させ、通知表示の「許可」を押させるように誘導する
2. 通知許可が得られたら、閲覧中に「パソコンがウイルスに感染した」「スマートフォンをクリーンアップしてください」などの通知を表示する
3. 通知表示をクリックさせ、不審なサイトへ誘導する