KDDIが日本国内の携帯契約者のユーザー情報を香港にあるサーバーで管理していたことが分かったそうだ。日経新聞やNHKの報道によれば、保管していたのは海外ローミングサービスを利用しているユーザーデータのうち、携帯番号と通信利用量のデータ。氏名など個人を特定できる情報は含まれていないとしているが、LINE問題を受けてKDDIはデータの国内への移管を検討するとしている（日経新聞、NHK）。

あるAnonymous Coward 曰く、

エン・ジャパン社が運営する求人サービス「engage」は4月5日、外部からの不正アクセスにより画像・動画が全て消失する事態が発生したと発表した（プレスリリース, ITmediaの記事）。

詳細は不明だが、サーバー内の画像及び動画データを格納するフォルダが全て消失しているという。削除されたデータの復旧を試みたものの、完全に復旧することも不可能な状態だという。個人情報を管理しているサーバーへのアクセスは無く、個人情報の流出は確認されていないとしている。

再発防止策に「セキュリティ強化の実施」「全ての情報を定期的に保管」とあるので、画像や動画はバックアップを取っていなかった系だろうか？スラド諸氏もご注意されたし。

情報元へのリンク

あるAnonymous Coward 曰く、

4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ（ITmedia、Twitterのまとめ）。

「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで（デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる）、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。

採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。

情報元へのリンク

富士薬品は3月24日、ビジネス版LINEである「LINE WORKS」で、誤操作により友だち登録している顧客160人を含めたトークルームを作成、それによりニックネームとアイコンといった顧客情報が相互に閲覧できる状態となってしまったと発表した（富士薬品、Security NEXT）。

顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。

京都市立芸術大学は31日、4月に入学予定の学生135人の個人情報を流出させたと発表した。原因はメールアドレスの打ち間違い。事務局職員から教員にクラス分け用の情報をメールで送信した。そのときメールアドレスのドメインを本来は「gmail.com」とするところ「gmai.com」と誤入力したまま送信してしまったそうだ（京都市立芸術大学、朝日新聞）。

流出したのは美術学部に入学の学生135人の志望科・氏名・ふりがな・性別・出身校名。大学のリリースによれば、誤送信先にメールの消去を依頼するメールを送信したものの、返答などは無かったとのこと。現時点では不正利用などは確認されていないとしている。

headless 曰く、

PHPメインテナーのNikita Popov氏は3月28日、独自にgitインフラストラクチャーを維持するのは不要なセキュリティリスクになるとして、git.php.netを廃止してこれまでミラーだったGitHubのリポジトリを正規のリポジトリにする計画を発表した(PHPのニュース記事、 The Registerの記事)。

GitHubへの移行のきっかけとなったのは、3月28日にPHPクリエイターのRasmus Lerdorf氏とPopov氏の名前で不正なコミットが行われたことだ。不正なコミットに含まれるのは、User-Agent HTTPヘッダーの文字列が「zerodium」から始まっている場合にヘッダー内のコードを実行するコード。まずLerdorf氏の名前でコミットされ、Popov氏がコミットを取り消したが、Popov氏の名前で取り消しが取り消されている。まだ攻撃の全容は明らかになっていないが、個別のアカウントが侵害されたのではなく、git.php.netのサーバーが侵害されたとしか考えられないという。そのため、調査を続ける一方でGitHubへの移行を決めたとのこと。

GitHubに移行することで、リポジトリへの書き込みアクセスを行うにはphp organization(組織アカウント)のメンバーに含まれるGitHubアカウントが必要となる。まだ組織アカウントのメンバーになっていない場合や、可能なはずのアクセスができない場合にはPopov氏に連絡してほしいとのこと。なお、組織アカウントのメンバーになるには2要素認証を有効にする必要があるとのことだ。

英国の中央銀行であるイングランド銀行は25日、50ポンド新ポリマー紙幣の最終デザインを公開した(ニュースリリース、 The new £50 note、 The Registerの記事、 The Vergeの記事)。

イングランド銀行は50ポンド新ポリマー紙幣に科学者の肖像をデザインするため人気投票を2018年に実施し、2019年にアラン・チューリングを選定してコンセプトデザインを公開していた。最終デザインでもチューリングに関連する部分はコンセプトデザインから大きく変更されておらず、1951年に撮影されたチューリングの写真とAutomatic Computing Engine (ACE) プロトタイプの写真やBritish Bombeの設計図、チューリングの論文に記された表と計算式、チューリングの生年月日を2進数表記したティッカーテープなどが配される。

このほか、見る角度によって「Fifty」と「Pounds」に切り替わるホログラムや、表面と同じエリザベス女王の肖像とコンピューターチップがデザインされた大きな透かし、ブレッチリーパークの建築的特徴をフィーチャーした小さな透かしといった偽造防止機能を備える。50ポンド新ポリマー紙幣はチューリングの誕生日でもある2021年6月23日に発行される。これにより、英国のポリマー紙幣はすべての額面(5・10・20・50ポンド)が揃うことになる。

headless 曰く、

Googleは23日、Chrome 90以降でプロトコルを省略したURLが入力された場合のデフォルトをHTTPSにすると発表した(Chromium Blogの記事、 Neowinの記事、 Android Policeの記事、 Softpediaの記事)。

現在のところChromeを含む多くのブラウザーではプロトコルを省略したURLが入力された場合、HTTPで接続する。HTTPSをサポートする多くのサイトでは自動でHTTPSにリダイレクトされ、Chromeではリダイレクトを記憶して次回からはHTTPSでアクセスする仕組みを備える。ただし、Internet ArchiveのようにHTTPSをサポートしながらHTTPアクセスをリダイレクトしないサイトもある。

現在ではHTTPSをサポートするサイトが主流になっているため、デフォルトをHTTPSにすることで最初のアクセス時の読み込み速度が改善するほか、セキュリティも向上する。そのため、GoogleではChromeのデフォルトHTTPS化計画を進めていた。

デフォルトHTTPS化は当初、デスクトップ版とAndroid版のChrome 90でロールアウトし、その後iOS版が続く計画だという。HTTPSをサポートしないサイトや、証明書エラーが発生した場合にはHTTPにフォールバックする仕組みも備える。

なお、現在Chrome Betaはバージョン90、Chrome Devはバージョン91となっているが、まだデフォルトはHTTPのままのようだ。一方、Chrome Canary 91ではデフォルトがHTTPSになっている。Chrome 90安定版は4月13日にリリース予定だ(Chrome Platform Status)。

ネット証券大手の松井証券の業務委託先企業の社員が、顧客のIDなどを不正に入手して勝手に有価証券の売却や現金の不正送金などを行ったとして3月24日に逮捕された。逮捕されたのは開発会社「SCSK」の社員相根浩二（42）で、電子計算機使用詐欺・不正アクセス禁止法違反などの容疑がかけられている（松井証券リリース[PDF]、SCSKリリース[PDF]、NHK、ITmedia、時事ドットコム、日経新聞）。

松井証券の発表によれば、同容疑者は2017年6月29日から2019年11月12日の期間、業務上付与された権限を利用して、顧客IDやパスワード、暗証番号を入手し顧客の有価証券の売却。その売却代金を不正に入手していたとしている。同社や警察の調査によれば被害に遭った顧客の人数は15人で被害総額は約2億円に及ぶとのこと。

SCSK側も同時にリリースを発表している。同社は2020年1月に松井証券から身に覚えのない取引があったと連絡があり、それから調査を開始したという。調査の過程で相根容疑者が不正出金していたことが判明したことから警察に届け出たとしている。

3月20日に開催されたKernel/VM探検隊online part2で、HDMI探検隊と題するセッションがあったようだ。発表者は元セキュリティ系エンジニアで現在は映像系に関わっているというみっきー（mzyy94）さん。テーマはHDMIに関するもの、Raspberry Piを使用してHDMIの信号などを調査した内容となっている。同氏はHDMIのテレビやレコーダーなどの機器コントロールを行うCEC（Consumer Electronics Control）[PDF]などのセキュリティ上の問題点を指摘している（発表の動画[01:55:07あたりから]、発表時のスライド資料）。

曰くHDMI-CECでは機器間の認証機能が無いので、CECフレームというコマンドを送り放題で、それを受理するかどうかは受け取る側の機器が判断するという。悪意を持ったフレームを送りつけることにより、別の機器の操作を妨害したりすることができるようだ。またデータ送信が低速であるため、連続でCECフレームを送り続けるとパスが詰まりやすくなるという。別の機器から連続してデータを送り続けた場合、意図的に送信を妨害できる可能性があるといった指摘が行われている。このほかDDC（Display Data Channel）信号に関する調査なども行われている。こちらではHDCPのデータのやりとりを途中で止めるとディスプレイ側の挙動が不安定になることなど、比較的容易にHDMI関連の信号に介入できる点などが指摘されている模様。

headless 曰く、

Tesla CEOのイーロン・マスク氏は20日、中国の開発フォーラム 中国発展高層論壇 2021にビデオ通話で出演し、同社が諜報活動にかかわることはないと述べた(動画: 該当部分は1分28秒以降、 South China Morning Postの記事、 Mashableの記事、 The Vergeの記事)。

この発言は機密漏洩の懸念から中国政府が軍の施設など国家安全保障上の機密を扱う施設でTesla車の入構を禁じたとの報道を受けたものとみられる。マスク氏はもしもTeslaが車を諜報活動に使うようなことがあれば、中国に限らずどこの国でも廃業に追い込まれることになるだろうと述べ、どのような情報であっても同社には秘密を守る強い動機があるとの考えを示した。該当部分の動画は見つからなかったが、米前政権がTikTokを国家安全保障上の脅威と位置付けたことにも触れ、無用の懸念だったとも述べたそうだ。

LINEユーザーの個人情報が中国や韓国の関連会社などから閲覧可能な状態になっていた問題で、23日に行われたデータの取り扱いを検証する第三者委員会の初会合の結果、韓国にサーバーに置かれていたデータに、LINE Payの利用者の出入金情報やどこで何を買ったのかという決済情報も含まれていたことが分かったそうだ（朝日新聞、FNN）。

加えてLINE Pay加盟店の銀行口座番号などの企業情報に関しても韓国内のサーバーに置かれているという。こうしたサーバーの管理に関しては、韓国IT大手の「NAVER」が行っており、アクセス権は韓国にあるLINE子会社の社員が持っていたことも判明したとのこと。このことから金融庁はLINEに対して報告徴求命令を出したことが報じられている。決済サービスに関わる個人情報などの管理体制の報告を求める。報告の提出期限は29日となっている（NHK、時事ドットコム）。

関連して、政府の個人情報保護委員会事務局は22日、日本企業が中国企業に対して行っている業務委託などに関しても実態調査を検討するという。同事務局によれば、海外委託先の従業員が日本国内のデータセンターにアクセスして業務を行う例は一定数あるとしている（時事ドットコムその2）。

nagazou 曰く、

NEXCO東日本の北海道支社が、サービスエリアやパーキングエリアのトイレで多発していたスマートフォンの置き忘れに対処できる仕組みを作ったそうだ（テレ朝news）。

構造は動画を見てもらった方が手っ取り早いが、ドアのロック部分を回転式のトレイにし、そこにスマートフォンを置けるようにした。トイレから出るときはトレイをひっくり返して鍵を開けないとならないため、スマートフォンを置き忘れることはないという仕組みだ。開発を行った室蘭管理事務所では、トレイ設置前の約7カ月間で54件もの忘れ物があったが、このドアロック式トレイ設置後は0件になったとしている。

headless 曰く、

国立研究開発法人 海洋研究開発機構(JAMSTEC)は18日、同機構職員に成りすましたVPN接続による基幹ネットワークシステムへの不正アクセスが判明したことを明らかにした(プレスリリース)。

不正アクセスが判明したのは3月16日。現時点で機構役職員等の名前、職員番号、アカウント、メールアドレス、ハッシュ化されたパスワード(1,947件)が3月8日に窃取されたことを確認しており、外部の人の個人情報や機微情報等が窃取されていないかを確認中だという。本件について警察に報告するとともにすべてのVPN接続を停止しており、調査が完了次第適切な再発防止策を講じるとのことだ。

LINEの個人情報問題（関連記事[1]、[2]）で、同サービスをインフラとして利用してきた国や自治体で混乱が広がっている。野党はLINE責任者の国会招致にも言及しているという（時事ドットコム、時事ドットコムその2、朝日新聞、FNNプライムオンライン）。

加藤官房長官は17日、記者会見でこの問題について問われ、記者団に「事実関係を確認している状況だ」と回答した。さらにLINEを「個人的に使っている」と話したという。政府や自治体の関係者の会話内容が閲覧されたのではないかとする記事も出てきている。現在は閣僚間のLINEに関する申し合わせはなく、政府機関などで利用を見直すかどうかもこれから議論するとしている。

現在、LINEは約8600万人が利用しており、多くの自治体では独自サービスをLINEと提携して利用していることも多い。滋賀県大津市ではLINEで水道・ガスの開栓・閉栓を受け付けるほか、LINE Pay経由で市税などの納入もできる奈良市も国民健康保険の手続きができるほか、身分証の画像や口座番号のやり取りにも使用していたとしている。また神奈川県はCOVID-19感染者の健康状態の確認などに利用していた。福岡市はLINEと連携協定を締結しており、粗大ごみの回収受け付けなどに利用していたという（SankeiBiz、朝日新聞その2）。

全国で初めてLINEによる住民票の写しの申請受け付けを始めた千葉県市川市は17日、LINEを利用した行政サービスの受け付けを一時停止すると発表した。停止が発表されたのは、住民票関係証明書、駐輪場使用許可申請、り災証明交付申請の三つの手続き。市長は「リスクが払拭されない限り、市民に安心して利用していただけない」としているそうだ。

関連して菅義偉首相は19日の参院予算委員会で、「政府ではLINEを含めたインターネット提供サービスを利用する際は機密情報を取り扱わないことになっている」と述べたとしている。武田総務相は総務省はLINEのサービスを、採用活動や意見募集などで使っているが、運用を停止するとの方針を示した。同時に全国の自治体に対しても、利用状況を26日までに報告するよう求めているとのこと（SankeiBizその2、SankeiBizその3）。