Microsoftは14日、SHA-2アルゴリズムへの全面移行計画を発表した(Windows IT Pro Blogの記事、 KB5003341)。

太平洋時間5月9日16時(日本時間5月10日8時)にMicrosoftのSHA-1の信頼されたルート証明書機関は失効し、Microsoftの主要なプロセスとサービスはTLS証明書やコード署名、ファイルハッシュを含めてSHA-2アルゴリズムのみを使用するようになる。そのため、SHA-1でのみ署名されたアプリケーション実行やドライバーインストールで警告が表示されたり、エラーが発生したりすることがある。

SHA-1にはセキュリティやパフォーマンスの問題があり、SHA-2への移行が進められている。主要なWebブラウザーでは2017年までにSHA-1証明書を廃止しており、Microsoftは2019年からWindowsの更新プログラムでSHA-2のみを使用しているほか、昨年8月にはダウンロードセンターでSHA-1コンテンツの提供を終了した。

影響を受けるSHA-1証明書はMicrosoftのSHA-1の信頼されたルート証明書機関にチェーンしたものだけであり、個別にインストールしたエンタープライズや自己署名のSHA-1証明書は影響を受けない。ただし、Microsoftでは組織で使用する証明書もSHA-2への移行を強く推奨している。

AppleのApp Storeで子供向けゲームに偽装したオンラインカジノアプリが見つかったそうだ(Kosta Eleftheriou氏のツイート、 9to5Macの記事、 The Vergeの記事、 SlashGearの記事)。

発見者はApp Storeで不当に高額な課金をする偽アプリの存在を指摘したKosta Eleftheriou氏。このゲーム「Jungle Runner 2k21」は既にApp Storeから削除されているが、横スクロールのランニングゲームで、対象年齢は4歳以上となっている(Googleキャッシュ)。しかし、Eleftheriou氏がVPNをトルコに設定してアプリを再起動したところ、Appleのアプリ内課金を使用しないオンラインカジノに変わったという。

単にWebサイトでも提供可能なオンラインカジノをわざわざApp Storeで提供する理由として、Eleftheriou氏はApp Storeの高いセキュリティとプライバシーのイメージを利用するためとみる。カジノ自体もフェアなものではなく、開発者はアプリがトルコのCNNで取り上げられたとする怪しい広告も出していたそうだ。事情は不明だが、同じ開発者によるパズルゲーム「Magical Forest - Puzzle」もApp Storeから削除されている(Googleキャッシュ)。

なお、IPアドレスによって別のアプリに変わるアプリがApp Storeで発見されるのは今回が初めてではない。1月にはイランのIPアドレスでアクセスすると米国の経済制裁で削除されたイランの配車サービスアプリ「Snapp」に変わるストリーミングラジオアプリ「RadickRadio」が見つかり、App Storeから削除されている。

カプコンは13日、2020年11月に外部からランサムウェアによる攻撃を受け、個人情報が流出した事件に関して、第三者による検証結果を発表した（カプコンリリース、ITmedia、過去記事その1、その2、その3）。

その発表によれば、不正アクセス攻撃を受けた原因は北米法人が保有していた予備の旧型VPN装置にあったという。この旧型VPN装置はコロナ禍で発生したネットワーク負荷の増大に対応するため、緊急避難用として1台のみ運用していたという。攻撃者はこの北米に設置された旧型VPN装置を経由し、同社の社内ネットワークに侵入したとしている。その後に米国や日本側の機器を乗っ取り、個人情報を取得したとしている。

あるAnonymous Coward 曰く、

>2020年10月、当社の北米現地法人（Capcom U.S.A., Inc.）が保有していた予備の旧型VPN（Virtual Private Network）装置に対するサイバー攻撃を受け、社内ネットワークへ不正侵入されたものと調査により判断されています。当時、同現地法人を含め当社グループでは既に別型の新たなVPN装置を導入済でしたが、同社所在地であるカリフォルニア州における新型コロナウイルス感染急拡大に起因するネットワーク負荷の増大に伴い、通信障害等が発生した際の緊急避難用として同現地法人においてのみ当該旧型VPN装置1台が残存しており、サイバー攻撃の対象となりました。なお、現時点で当該装置は既に廃棄済みです。

100-1は0なんだよなぁってどっかの偉い人に言われてしまう悲しみ

関連ストーリー
https://security.srad.jp/story/20/11/20/0439211/
https://security.srad.jp/story/20/11/16/2042202/
https://security.srad.jp/story/20/11/09/1755243/

情報元へのリンク

2019年6月に国会で改正動物愛護法（「動物の愛護及び管理に関する法律等の一部を改正する法律」）が成立した。この法律では犬や猫に対して、飼い主などの情報を付与したマイクロチップ埋め込みの義務付けが求められる。合わせて環境省は8日、指定登録機関に関する省令の公布を行った。2021年6月1日から犬や猫に飼い主情報を記録したマイクロチップの装着が求められる（環境省、読売新聞）。

具体的には、犬猫の繁殖業者等に識別番号が記録されたマイクロチップの装着・登録が求められるほか、登録された猫を所有した場合も情報の登録や変更届出を義務付けている。読売新聞によると、このマイクロチップは直径約2ミリ、長さ約8~10ミリほどで、犬猫の背中付近に埋め込むという。識別番号は環境省のデータベースで管理されており、専用リーダーで読み込むことで飼い主情報が把握できるとのこと。

2021年から「安全帯の規格」が法令が改正され、高所作業などで工事業者などの装着する墜落防止器具（ハーネス）に関しては「フルハーネス」型が原則義務化されることとなった。なぜかこのことが話題になっているらしい。理由は人体への固定方法がシドニアの騎士に出てくるような胴ベルト型安全帯（旧:A種安全帯）から進撃の巨人の立体機動装置のようなフルハーネス型に変更されたからであるようだ（Togetter、厚生労働省 「安全帯の規格」を改正した新規格「墜落制止用器具の規格」を告示しました、安全帯が「墜落制止用器具」に変わります！[PDF]）。

Togetterなどのまとめによれば、22年1月から装着が義務化されることもあり、関係する仕事をする人たちの間でフルハーネス型安全帯の装着講習が行われている模様。進撃の巨人のあのイメージもあって、スムーズに移行が進んでいる模様。なお旧来のベルト型は落下時の衝撃で内臓とか背骨にダメージが起きやすい問題が指摘されていたそうだ。フルハーネス型ではダメージが減らせるとしている。

IPA（独立行政法人情報処理推進機構）とJPCERT/CCは9日、NEC製無線LANルータ「Aterm」の一部機種に複数の脆弱性があるとする報告を行った。情報の詳細は脆弱性情報サイト「JVN」にて公開されている（JVN、JVNその2、ケータイ Watch、マイナビニュース）。

報告されている脆弱性は、任意のスクリプトが実効可能となるクロスサイトスクリプティング（CVE-2021-20680）とUPnPが有効となっていると第三者から任意のOSコマンドが実行となるOSコマンドインジェクション（CVE-2014-8361）の二つ。JVNに記載されている影響を受ける機種とファームウェアの対応状況はケータイ Watchの記事に詳しい。すでに対策のためのファームウェアが提供されているものも多いが、提供予定なしとする機種も多いので各自確認することをお勧めしたい。

総務省は8日、業務を委託していた企業がランサムウェアに感染し、業務関係者約6700人余りの個人情報が流出した可能性が高まっていると発表した（総務省、ランドブレイン、NHK、Security NEXT）。

感染したのはコンサル会社であるランドブレインのサーバーで、2月23日にサーバがランサムウェアへ感染したのを確認、2月25日に総務省に連絡があったとしている。ランドブレインが受託していた三つの事業で6745人分の個人情報が流出した可能性があるとしている。流出したのは氏名、電話番号、メールアドレスとされているが、消防庁担当4名ほどに関しては口座情報も流出した模様。

NHKによれば、その他の自治体や省庁から委託された業務関係の個人情報が流出した可能性もあるとしている。

情報処理推進機構（IPA）は30日、8年ぶりに「企業ウェブサイトのための脆弱性対応ガイド」を改訂した。この改訂はIPAが実施した従業員50人以下の小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえたものだという（小規模ウェブサイト運営者の脆弱性対策に関する調査報告書[PDF]、Security NEXT）。

こうした運営者に脆弱性対策の状況について聞いたところ、「構築時も運用時も脆弱性対策をしている」とした回答者は48.8％。「運用時にのみ脆弱性対策している」とした回答は22.9％であった。「一切脆弱性対策をしていない」とした回答者は全体の9.6％ほどいたとしている。脆弱性対策を行わない理由としては、「個人情報を扱っていないから」（51.8％）、「クレジットカード等の決済を行っていないから」（38.6％）、「サイトが著名でないので、被害に遭うとは考えにくいから」（27.7％）とする回答が上位を占めたとしている。

KDDIが日本国内の携帯契約者のユーザー情報を香港にあるサーバーで管理していたことが分かったそうだ。日経新聞やNHKの報道によれば、保管していたのは海外ローミングサービスを利用しているユーザーデータのうち、携帯番号と通信利用量のデータ。氏名など個人を特定できる情報は含まれていないとしているが、LINE問題を受けてKDDIはデータの国内への移管を検討するとしている（日経新聞、NHK）。

あるAnonymous Coward 曰く、

エン・ジャパン社が運営する求人サービス「engage」は4月5日、外部からの不正アクセスにより画像・動画が全て消失する事態が発生したと発表した（プレスリリース, ITmediaの記事）。

詳細は不明だが、サーバー内の画像及び動画データを格納するフォルダが全て消失しているという。削除されたデータの復旧を試みたものの、完全に復旧することも不可能な状態だという。個人情報を管理しているサーバーへのアクセスは無く、個人情報の流出は確認されていないとしている。

再発防止策に「セキュリティ強化の実施」「全ての情報を定期的に保管」とあるので、画像や動画はバックアップを取っていなかった系だろうか？スラド諸氏もご注意されたし。

情報元へのリンク

あるAnonymous Coward 曰く、

4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ（ITmedia、Twitterのまとめ）。

「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで（デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる）、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。

採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。

情報元へのリンク

富士薬品は3月24日、ビジネス版LINEである「LINE WORKS」で、誤操作により友だち登録している顧客160人を含めたトークルームを作成、それによりニックネームとアイコンといった顧客情報が相互に閲覧できる状態となってしまったと発表した（富士薬品、Security NEXT）。

顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。

京都市立芸術大学は31日、4月に入学予定の学生135人の個人情報を流出させたと発表した。原因はメールアドレスの打ち間違い。事務局職員から教員にクラス分け用の情報をメールで送信した。そのときメールアドレスのドメインを本来は「gmail.com」とするところ「gmai.com」と誤入力したまま送信してしまったそうだ（京都市立芸術大学、朝日新聞）。

流出したのは美術学部に入学の学生135人の志望科・氏名・ふりがな・性別・出身校名。大学のリリースによれば、誤送信先にメールの消去を依頼するメールを送信したものの、返答などは無かったとのこと。現時点では不正利用などは確認されていないとしている。

headless 曰く、

PHPメインテナーのNikita Popov氏は3月28日、独自にgitインフラストラクチャーを維持するのは不要なセキュリティリスクになるとして、git.php.netを廃止してこれまでミラーだったGitHubのリポジトリを正規のリポジトリにする計画を発表した(PHPのニュース記事、 The Registerの記事)。

GitHubへの移行のきっかけとなったのは、3月28日にPHPクリエイターのRasmus Lerdorf氏とPopov氏の名前で不正なコミットが行われたことだ。不正なコミットに含まれるのは、User-Agent HTTPヘッダーの文字列が「zerodium」から始まっている場合にヘッダー内のコードを実行するコード。まずLerdorf氏の名前でコミットされ、Popov氏がコミットを取り消したが、Popov氏の名前で取り消しが取り消されている。まだ攻撃の全容は明らかになっていないが、個別のアカウントが侵害されたのではなく、git.php.netのサーバーが侵害されたとしか考えられないという。そのため、調査を続ける一方でGitHubへの移行を決めたとのこと。

GitHubに移行することで、リポジトリへの書き込みアクセスを行うにはphp organization(組織アカウント)のメンバーに含まれるGitHubアカウントが必要となる。まだ組織アカウントのメンバーになっていない場合や、可能なはずのアクセスができない場合にはPopov氏に連絡してほしいとのこと。なお、組織アカウントのメンバーになるには2要素認証を有効にする必要があるとのことだ。

英国の中央銀行であるイングランド銀行は25日、50ポンド新ポリマー紙幣の最終デザインを公開した(ニュースリリース、 The new £50 note、 The Registerの記事、 The Vergeの記事)。

イングランド銀行は50ポンド新ポリマー紙幣に科学者の肖像をデザインするため人気投票を2018年に実施し、2019年にアラン・チューリングを選定してコンセプトデザインを公開していた。最終デザインでもチューリングに関連する部分はコンセプトデザインから大きく変更されておらず、1951年に撮影されたチューリングの写真とAutomatic Computing Engine (ACE) プロトタイプの写真やBritish Bombeの設計図、チューリングの論文に記された表と計算式、チューリングの生年月日を2進数表記したティッカーテープなどが配される。

このほか、見る角度によって「Fifty」と「Pounds」に切り替わるホログラムや、表面と同じエリザベス女王の肖像とコンピューターチップがデザインされた大きな透かし、ブレッチリーパークの建築的特徴をフィーチャーした小さな透かしといった偽造防止機能を備える。50ポンド新ポリマー紙幣はチューリングの誕生日でもある2021年6月23日に発行される。これにより、英国のポリマー紙幣はすべての額面(5・10・20・50ポンド)が揃うことになる。