英高等法院は 10 日、米政府が要求するジュリアン・アサンジ氏の身柄引渡が不可能ではないとの判断を示した (裁判所文書、 The Register の記事、 Ars Technica の記事、 The Verge の記事)。

米政府は WikiLeaks で数多くの機密文書を公開したアサンジ氏をスパイ活動法違反などで起訴しており、英国で逮捕されたアサンジ氏の身柄引渡を要求している。アサンジ氏側は米国で公正な裁判を受けられない可能性や、過酷な環境に拘置される可能性を主張して身柄引渡に反対しており、1月に英中央刑事裁判所のバネッサ・バライツァー判事が後者の理由を認めて身柄引渡要求を却下したため、米政府が控訴していた。

米政府は控訴の根拠として

1. 対象者の肉体的・精神的状態によって身柄引渡を免除する身柄引渡法 91 条を判事が誤って適用した
2. 91 条の要件を満たすと判断するなら、米国側に判事の懸念解消を保証する提案の機会を与えるべきだった
3. アサンジ氏の精神科医が判事をミスリードして 91 条の要件を満たすと判断させた
4. 判事がアサンジ氏の自殺リスクに関する証拠を誤って評価した
5. 米国はアサンジ氏を非常に制約された独房監禁状態にしないことや ADX フローレンス刑務所に送らないこと、オーストラリアでの実刑を可能にすることなど、判事の懸念を解消する保証パッケージを提案している

という 5 つを挙げている。高等法院では根拠 1 ・ 3 ・ 4 を却下してバライツァー判事の判断を支持する一方で根拠 2 と 5 を認め、これを踏まえて身柄引渡の是非を判断するよう中央刑事裁判所へ差し戻した。

Debian が現在、Web ブラウザーサポートで悲しい状況となっているそうだ (Phoronix の記事)。

Debian に同梱されているブラウザー (Chromium、Firefox ESR、Falkon など) はいずれも、パッケージメインテナーが簡単に修正できないセキュリティ上の問題を抱えているという。Debian の Chromium はいまだにバージョン 90.0.4430.212-1であり、Debian Wiki では Firefox や Brave、ungoogled-chromium などへの移行を検討するよう求めている。

Debian の Firefox ESR はバージョン 78.15.0 (安定版の Debian 11 Bullseye では 78.14.0)で止まっており、91.x ESR ブランチへの移行が遅れている。これは Firefox ESR 91.3 で安定性の問題が報告されたためだ。ESR 91.3 はデフォルトで EGL を使用するよう変更されており、Bullseye の mesa (バージョン 20.3.5) が EGLの要件 (mesa 21.x 以上)を満たさないためではないかとも指摘されていたが、問題は ESR 91.4 で解決済みになっている。

このほか Falkon など Debian に同梱される他のブラウザーも長らくセキュリティパッチが適用されていないとのこと。Phoronix に問題を提起した読者はこの状況の非常に悲しい部分として、非自由なソフトウェアをデフォルトでユーザーから遠ざけるという哲学を持つ Debian が逆に人々を Google Chrome や Opera といったクローズドソースへ向かわせている点を指摘し、Debian プロジェクトにとって厳しい時期であると述べている。

政府によるとマイナンバーカードの普及率が4割に達したという。今月20日からはマイナンバーカードとスマートフォンを使って、電子化されたワクチン接種証明書を入手可能にになるなど機能の追加も進んでいる。一方でマイナンバーカードではパスワードの記入欄が4種類用意されており、それが覚えきれないとする指摘も出ている。NHKでは総務省のマイナンバー担当にマイナンバーカードのパスワードに関する質問を行ったそうだ（NHK、Impress Watch、時事ドットコム）。

それによれば、現在マイナンバーカードに設定されているパスワードは、「署名用電子証明書」、「利用者証明用電子証明書」、「住民基本台帳用」、「券面事項入力補助用」の4種。NHK側が覚えられないと問うと、担当者曰く署名用電子証明書以外は共通のものでも大丈夫であるという。それなら、なぜ統合していないかという問いに関しては、担当者曰く、マイナンバーカードはいくつかのアプリが合体したようなもので、それぞれにパスワードが必要と理解してください、とのことだそうだ。

headless 曰く、

返品交換保証 (RMA) を受けるためにGoogleの修理拠点へデバイスを送ったユーザーのアカウントが侵害された問題について、少なくともうち 1 件はRMAと無関係だという (The Verge の記事、 9to5Google の記事)。

Google が確認したのはゲームデザイナーのジェーン・マゴニガル氏が Twitter で報告したものだ。当初 Google は The Verge に調査中だと回答していたが、徹底的な調査の結果デバイスの RMA とは無関係との結論に達したとのこと。

ただし、この件についてマゴニガル氏は Google に届いているはずのデバイス (Pixel 5a) が行方不明になっていると (削除したツイートで) 報告しており、このデバイスは行方不明のままのようだ。なお、もう 1 件は Reddit で報告されたものだが、投稿者は投稿だけでなくアカウントも削除しているため、続報もない。

IoT InspectorとドイツのIT雑誌CHIPが共同で行ったWi-Fiルーター9機種に対するセキュリティテストの結果、226もの脆弱性が見つかったとの報告が出ている。テスト対象となったのはASUS、AVM、D-Link、Netgear、Edimax、TP-Link、Synology、Linksys製のWi-Fiルーター（IoT Inspector、PC Watch）。

最も問題が指摘されたのはTP-Link製のArcher AX6000で32個の脆弱性が発見された。続いてSynology製のRT-2600acで30個の脆弱性が指摘されている。テストの時点では、すべてのデバイスで重大なセキュリティ上の脆弱性を示しており、ハッカーの生活を楽にする可能性があると指摘している。

各製品の共通の問題として、古いバージョンのLinuxカーネルやBusyBoxを使用されているケースが多かったとしている。また初期パスワードに「admin」といった強度の低いものが使われていることが多いと指摘した。対象となったメーカーに関しては、テスト結果が伝えられており修正対応する機会が与えられた。このため多くのメーカーでファームウェアパッチが適用されたようだ。しかし重要度の低いものなどに関しては、まだ完璧な対応はされていない模様。

あるAnonymous Coward 曰く、

Edimaxとかは国内のブランドも使っているので影響ありそう

国土交通省は3日、鉄道会社が新規に導入する鉄道車両に関して、防犯カメラの設置を義務付ける方針を決めたそうだ。10月に起きた京王線刺傷事件を受けてのものであるという。国土交通省によると、現時点では鉄道会社によって防犯カメラの設置率には差があるとされ、先の事件のあった京王線車両には防犯カメラはなかったという。同省では車両設備を定める鉄道営業法の省令改正を行う方向で検討したいとしている（時事ドットコム）。

headless 曰く、

返品交換保証 (RMA) を受けるために Google のテキサスの修理拠点へ送った Pixel スマートフォンが不正にアクセスされ、Google アカウントやその他のアカウントが侵害されたとの報告が 2 件出ている (Android Police の記事、 The Verge の記事、 9to5Google の記事、 SlashGear の記事)。

1 件は Reddit で報告されたもので投稿は既に削除されているが、投稿者の妻が故障した Pixel を Google へ送ってから 1 か月ほどして妻のソーシャルメディアアカウントに妻のヌード写真が投稿され、妻の PayPal アカウントで誰かに 5 ドルが送金されたという。Facebook と Instagram のデータはテキサスからのログインを示しており、古い端末の位置情報は投稿日にも送付先の建物を示していたとのこと。

もう 1 件はゲームデザイナーのジェーン・マゴニガル氏が Twitter で報告したものだ。マゴニガル氏は Google に返送した Pixel 5a が届かなかったとして代金を課金された上、1 か月以上経っても新しい端末は送られてこないと報告していたが、その後 Googleアカウントなどに誰かがログインし、下着姿などを含む多数のセルフィーが閲覧されていたという。なお、こちらもアカウント侵害関連の投稿は削除済みとなっている。

Google は修理・交換のため端末を送る前にはバックアップを取ってから初期化するよう推奨しているが、いずれの端末も故障のために操作不可能だった点が共通している。前者は新しい端末を受け取ったようだが、修理拠点で何者かが古い端末を修理してアカウントにアクセスしたとみられる。後者に関して Google は The Verge に調査中だと回答しているが、端末が現在どこにあるのかも把握できていないようだ。

Apple の正規サービスプロバイダーでも 2016 年に同様の問題が発生しており、Appleが被害者に数百万ドルを支払ったと今年6月に報じられた。

LinuxではSpectreやMeltdown問題の対策として脆弱性対策を無効化するオプションパラメーターが存在している。2018年以前のインテル製CPUでは、SpectreやMeltdown対策は行われていないが、一部のLinuxユーザーはこの「mitigations=off」オプションをつけて起動することで、パフォーマンスを向上させていたという。この行為はセキュリティ上のリスクを伴うものだが、前世代のIntel CPUであれば測定可能な明確な性能差が出ることも分かっていたという（Phoronix）。

しかし、11月に発売された第12世代Core プロセッサ（Alder Lake-S）でもこのオプションを利用する意味があるのだろうか。Phoronixに掲載された記事では、その疑問に答えるためにオプションの有効・無効化によるパフォーマンスの差を調査している。Intel Core i9 12900K（Alder Lake-S）を搭載したシステムにUbuntu 21.10（Linuxカーネル5.15）をインストールした環境でテストが行われている。

それぞれのテスト内容やテスト項目に関しては元記事を見ていただきたいが、結論としてはIntel Core i9 12900K環境では「mitigations = off」の有無による差は、全体的にごくわずかなものだった。記事ではAlder Lake環境であれば、「mitigations = off」オプションを変更する価値はないと結論づけている。

headless 曰く、

Mozilla は 7 日、Firefox 95.0 をリリースした (リリースノート、 Mozilla Hacks の記事、 The Verge の記事、 Phoronix の記事)。

本バージョンでは「RLBox」と呼ばれる新しいサンドボックス技術が全プラットフォームで有効化されている。すべてのメジャーブラウザーは Web コンテンツをサンドボックス内で実行し、ブラウザーに脆弱性があってもコンピューターには影響を与えないようにしている。しかし、サンドボックス内のプロセスに影響を与える脆弱性とサンドボックスを迂回可能な脆弱性を組み合わせた攻撃もしばしば発生しており、さらなる保護の仕組みが必要となる。

次のステップとしては機能の境界でプロセスを分離することだが、パフォーマンスへの影響が大きい。そのため、RLBox ではコードを個別のプロセスに分離するのではなく、まず WebAssembly にコンパイルし、そこからさらにネイティブコードにコンパイルする。これにより、対象のコードはプログラムの予期しない部分へジャンプすることや、指定された領域外のメモリーにアクセスすることができなくなる。その結果、信頼されるコードと信頼されないコードの間で安全にアドレス空間を共有可能になるとのこと。

RLBox のプロトタイプは既に Firefox 74 で Linux ユーザーに、Firefox 75 で Mac ユーザーに提供されていた。Firefox 95 ではデスクトップおよびモバイルのサポートされるすべてのプラットフォームで有効化され、Graphite / Hunspell / Ogg の3つのモジュールを分離するとのことだ。

文部科学省は1日、パスワード付きZIPファイルの添付、いわゆる「PPAP」対策の一環として、メールの添付ファイルをクラウドストレージサービスに一度移動させ、受信者がファイルをクラウドストレージからダウンロードする仕組みを導入すると発表した（文部科学省リリース、日経クロステック、ScanNetSecurity）。

来年1月4日以降のすべてのメール送受信が対象となる。移動するクラウドストレージは米Boxの「Box」を採用。日経クロステックの記事によると、NECのMCメールフィルターのBox連携機能と組み合わせ、添付ファイルをBoxへ自動で移動させるという。同省とメール送受信をする関係者は事前にBoxへ接続が可能かどうか確認するよう求めている。

LINE Payは6日、同社のキャンペーン参加に関わる情報が閲覧できる状態になっていたと発表した。流出したのはLINE Payユーザー13万3484アカウント分の情報。流出の内訳としては、ユーザーの識別子、加盟店管理番号、キャンペーン情報（キャンペーンコード等）となっている。このうちキャンペーン情報には、キャンペーン名称、決済金額、決済日時が含まれている可能性がある。氏名・住所・電話番号・メールアドレス・クレジットカード番号・銀行口座番号等の情報は含まれていないそうだ。委託先であるグループ会社の従業員が「GitHub」上にアップロードしたものだとしている。すでに情報は削除され、該当ユーザーに関しては個別に連絡済みだとしている（LINE Payのプレスリリース）。

東京都練馬区の中学校で、生徒に対してSNSのパスワードを書かせた書類を提出させようとしていたことが分かった。こうなった原因は複数あるが、最大の理由は東京都練馬区教委会が配布したSNS利用の啓発用のリーフレットに、SNSのパスワードを記入する欄があったこと。もともと区教委はパスワードを収集する意図があったが、パンフレットの内容がTwitterで出回り、人権侵害であるなどの指摘がでて炎上。その結果、区教委はパンフレットはそのままで提出時にパスワードを記載しない状態で提出してもらうと通知していたようだ（練馬区リリース[PDF]、弁護士ドットコム、毎日新聞）。

しかし練馬区内の中学校1校がこの通知を生徒や各家庭に伝達し忘れた。それによりパスワードが記載されたリーフレットが家庭に届き、学校側が生徒のパスワードを知り得る状態になってしまったという。練馬区のリリースによれば12月2日時点で276名からリーフレットの提出を受けていたとしている。このため区では3日、各家庭にあてて謝罪文を送付したとしている。

Amazon.comが9月から提供しているMMORPG「New World」。リリース直後は最大同時接続90万人を記録したほどの大規模なゲームとなっている。一般的なMMORPGでは、チート行為を防ぐため、アイテムやユーザーデータなどの管理はゲームサーバー上に保管され、サーバー側と通信をしないとアイテムの取引などはできないような仕組みになっている。ところが、A-Liaison BLOGの記事によれば、このゲームではちょっとした手続きをすることで、サーバーを介さずにユーザー間でアイテムのやりとりができてしまうという。具体的な問題に関しては元記事を見ていただきたいが、この影響により様々なアイテムの増殖技などが出回っており、ある種の無法地帯のような状態になってしまっているようだ（A-Liaison BLOG）。

グラウンドワークスは11月30日、同社が運営する「EVANGELION STORE」で、第三者による不正アクセスにより、利用者のクレジットカード情報1万7828件が流出した可能性があると発表した。同サイトはアニメ作品「エヴァンゲリオン」シリーズのグッズなどを扱う公式ストアとなっている（弊社株式会社グラウンドワークスが運営する「EVANGELION STORE(オンライン)」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ、ITmedia）。

流出は7月12日に一部のクレジットカード会社からの連絡で発覚、同日カード決済を停止した。第三者調査機関による調査が行われ、9月29日に一部のお客様のクレジットカード情報が不正利用された可能性があることが確認できたとしている。漏洩した可能性のある情報は以下の通りとなっている。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• ログオンID（EVANGELION STORE(オンライン)会員用メールアドレス）
• パスワード（EVANGELION STORE(オンライン)会員用）

ソニー子会社の「Qrio」が提供するスマートロックサービスで11月27日から障害が発生しているそうだ。このシステムはドアに設置し、モーターでカギを物理的に回して解施錠を行う「Qrio Lock」を用いたサービス。Qrio Lockは登録したスマートフォンを持って近づくと自動的に解錠し、ドアが閉まればオートロックをおこなうスマートロックシステム（Qrioリリース、ITmedia、Qrio Lockの公式動画、Qrio Lockのハンズフリー解錠って実際どういう仕組みで動いてるの？）。

同社ではQrio Lockをインターネット経由やスマートスピーカー経由で遠隔操作するためのユニット「Qrio Hub」をオプションとして提供していている。今回のシステム障害はこの「Qrio Hub」側で起きているという。リリースによればQrio Hubとサーバー間の通信エラーが発生し、Qrio Hubに対してネットからのリモート操作による解施錠とQrio Hubによる解施錠履歴更新ができない状態であるとしている。Qrio Lock単体で使える解施錠機能は従来通り利用できる。同社では調査及び復旧に向けた対応を行なっていくとしている（参考：「Qrio Smart Lock」は「Qrio Hub」を以て完成する!）。