アイリスオーヤマが販売するBluetoothスピーカー付きシーリングライトを購入したところ、他人に勝手にペアリングされて音楽を流されたとするトラブルがネットで話題となっている。この問題を指摘した幽らり@人形狂の狂想曲さんによると、Bluetoothにパスワードが設定されていないため、集合住宅だと隣家などから勝手に接続され音楽を流されるとしている（幽らり@人形狂の狂想曲さんのツイート、J-CASTニュース、Togetter）。

アイリスオーヤマは9月28日、同製品にペアリング制御機能を実装していないことを認め、問題となっている指摘の内容は事実だと認めた。ITmediaによると今後、ペアリング制御機能の追加を検討しているという。ただし、実装の可否や方法、時期などは「コメントできない」としている。今のところ返品対応も検討していないとしている（ITmedia）。

デジタル庁は26日、同庁が運用する「GビズID」のメール中継サーバーが不正アクセスを受けたと発表した。これにより「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したとしている。迷惑メールは9月24日16時30分から17時00分までの間に送信された。個人情報の漏えいは確認されていないとしている（デジタル庁、時事ドットコム）。

SSDやHDDなどのストレージ機器を含んだPCを中古で売買する場合、そのデータ内容の扱いがよく問題になるが、PC Watchの記事では個人情報や企業の機密情報をストレージ機器の廃棄や譲渡によって露呈させないようにするにはどうすればいいのか、データ復旧事業に聞くという記事がまとめられている（PC Watch）。

基本的に他人に譲渡する場合はストレージの記憶領域全体を「別の情報で上書きする」ことが大事だが、SSDの場合は、領域情報を管理している「Trim(SATA SSDの場合)」や「UNMAP(NVMe SSDの場合)」という標準機能を利用することで、データの上書きをしなくてもデータを意味のないものにすることができるという。またSSDでは、Secure EraseやFormatNVMなどのコマンドを実行することもデータを抹消する上で有効な手段になるとしている。

警察庁は10月1日から「110番」の通報者がスマートフォンで交通事故などの現場の映像・画像を送信できる新システムを試験運用する。試行運用後に課題などを改善し、来年の4月から本格運用につなげる方針（110番映像通報システムの試行運用の開始について、mpress Watc）。

このシステムでは、110番通報を受けた担当者が、通報内容に応じて、通報者に映像等の送信が可能かどうかを確認。通報者が同意した場合、通報者にSMSでワンタイムURLを送信、通報者はそのURLと口頭で伝えられるアクセスコードを入力してログインする。ログイン後は、通報者のスマホのカメラが起動し、通報者がリアルタイムで映像を撮影し送信するのだという。既に撮影済みの映像や写真も送信できる。

headless 曰く、

Meta が Instagram の DM で送りつけられるヌード写真を自動でブロックする機能の開発を進めているそうだ。 (The Verge の記事、 9to5Mac の記事、 Alessandro Paluzzi 氏のツイート)

見知らぬ相手に性的な嫌がらせメッセージを送りつける「cyberflashing」は大きな問題になっている。Instagram が提供するテキストベースの嫌がらせメッセージをブロックする機能は効果が低いと指摘されており、画像ベースの嫌がらせメッセージへの対策は行われていない。

現在開発が進められているのは実際のメッセージを Meta が閲覧したり、外部と共有したりすることなくヌード写真を検出する機能だ。ユーザーのプライバシーを侵害することなく、受信したメッセージをユーザー自らコントロールできるよう、専門家の協力も得て開発を進めているという。より具体的な情報は今後数週間のうちにも公表できる見込みとのことだ。

暗号通貨であるイーサリアムは9月中旬、大型アップグレードである「The Merge」を実施し、プルーフ・オブ・ワーク（PoW）からプルーフ・オブ・ステーク（PoS）へと歴史的な転換を完了させた（Data Center Café、CoinPost、coindesk JAPAN、coindeskその2）。

PoWではマイナー（採掘者）は複雑なアルゴリズムを解いて取引を検証することで報酬としてイーサリムを手に入れ、それを定期的に現金化して運用資金に充てていた。PoSでは高価なマイニング用のコンピューターがなくてもネットワークに参加できる。Mergeでは平行して動作していた従来型のPoWからPoSへの統合が図られた。

今回おこなわれたMergeにより、イーサリアムに関連する二酸化炭素排出量が99％以上削減され、世界のエネルギー消費量が0.2%減少すると予測されているという。またMergeによって、イーサリアムの1日あたりの発行量は95％減少したとされる。coindesk JAPANの記事によれば、The Mergeにより結果としてイーサリアムのデフレ効果を生み、長期的には強気派に有利な動きを導くと考えられているという。なお一部でこの影響により、ビデオカードの価格下落などの噂が出ているが、これに関してはNVIDIAのCEOが19日に開かれたカンファレンスイベント「GTC 2022」で、「もうGPUの価格低下傾向はおわった」とする発言があったようだ（AUTOMATON）。

ゲームパブリッシャー 2K は 21 日、同社の使用するヘルプデスクプラットフォームが不正アクセスを受け、一部のプレイヤーに悪意あるリンクが送信されたと発表した (The Verge の記事、 BleepingComputer の記事、 2K Support のツイート)。

BleepingComputer によると、ターゲットとなったプレイヤーにはまずサポートチケット作成を知らせる電子メールメッセージが届き、その続報としてパスワードを盗むマルウェア RedLine のリンクを含むメッセージが届いたという。

2K サポートではリンクをクリックしてしまった人に対し、念のため下記のような対応を推奨している。

• ブラウザーに保存されているすべてのユーザーアカウントパスワードのリセット
• 利用可能なすべてのアカウントで多要素認証を有効化。テキストメッセージによる認証は避け、認証アプリを使用すること
• 信頼できるアンチウイルスソフトウェアのインストールと実行
• 電子メールアカウントで転送設定が変更されていないか確認

関連会社の Rockstar Games も先日不正アクセスを受けているが、こちらとの関連は不明だ。なお、2K はサポートサイトの再開を 24 日に発表している。サイト保護強化の一環として、サポートサイトへの次回ログイン時にはすべてのユーザーにパスワードリセットが求められる。新しいパスワードに関しては、複雑さの要件が強化されているとのことだ。

標的型暴力とテロリズムを防ぐプロジェクトに対する米国土安全保障省 (DHS) の補助金プログラムで、ビデオゲームを通じた過激主義者の活動拡大を防ぐプロジェクトに補助金 699,763 ドルが支給される (Ars Technica の記事、 Motherboard の記事)。

プロジェクトは Middlebury Institute of International Studies at Monterey の Center on Terrorism, Extremism, and Counterterrorism (CTEC) および、ビデオゲームにおける精神衛生を専門にする非営利組織 Take This と オンラインでの問題行動解決に取り組む Logically が共同で実施し、ゲームにおける過激主義を理解するための枠組みを開発する。

ゲームを通じた暴力的過激主義の拡大は昨年 12 月に国連が開催した専門家による円卓会議でも議題となっているが、ゲーム開発者は規模にかかわらず、過激主義者がどのようにゲームを悪用してその思想を広げていくのかについて理解が遅れているという。プロジェクトでは過激主義者を監視してゲームの悪用を防ぐためのリソースの開発や、ゲーム開発者やコミュニティマネージャーなどが過激主義を防ぐためのワークショップ開催なども行うとのことだ。

人気ゲーム「Grand Theft Auto（グランド・セフト・オート）」シリーズの発売予定の次回作に関して、大量の画像や映像などが出回ったそうだ。開発元であるRockstar Gamesは19日、新作の開発中映像が流出したことを認めた。画像は海外フォーラムなどで出回っていたものとされる。Rockstar Gamesの発表によると、リークは「権限のない第三者」がシステムに侵入、機密情報をダウンロードした結果だとしている。流出した映像は開発初期のものだったとしている（Rockstar Games公式Twitter、AUTOMATON、Game Spark、IGM）。

このリークをおこなったハッカーは、先日、Uberが被害を受けた大規模なサイバー攻撃についても自分の犯行だと述べているという。UberはFBIおよび米司法省と積極的に協力して問題の解決にあたっている。Uberによるとこのハッカーは、ここ最近になってNVIDIA、マイクロソフト、Samsungを攻撃したハッカー集団Lapsus$に所属していると考えていると述べているそうだ（IGM）。

台風14号が日本を通過したばかりだが、FNNプライムオンラインで台風のときに「川の様子」を見たくなる現象についての記事が掲載されている。危険であるにもかかわらず、このような行動をとってしまう人がいるのは、一体なぜなのか（FNNプライムオンライン）。

山口大学・人文学部の高橋征仁教授によると、一般には川や用水路の様子を見に行ってしまう心理は、仕事上の責任感から見に行ってしまうとされているが、進化心理学の観点では自分の縄張りを維持するためのスカウティング（偵察・哨戒行動）の一種なのだという。

教授によると、田んぼや川の様子を見に行って亡くなるのは基本的に男性であり、「若い男性」と「初老の男性」がこうした行為をおこないやすいのだという。教授によると女性の場合は、子どもや親の救出・安否確認が関心の焦点となることから、田んぼや川の様子を見に行って死亡することは聞いたことがないとしている。

headless 曰く、

Microsoft Edge の新しいタブページで、ニュースフィードに表示される広告を悪用した不正広告攻撃が確認されたそうだ (Malwarebytes Labs の記事、 Neowin の記事)。

不正広告は広告ネットワーク Taboola を通じて配信され、ユーザーの興味を引き付けそうな奇妙なストーリーへのリンクとして表示される。広告がクリックされるとユーザー環境のチェックが行われ、不正広告のターゲットにならないと判定した場合は広告に表示されていた通りの無害なページを表示する。一方、ターゲットと判定した場合はテクニカルサポート詐欺のページにリダイレクトするとのこと。Malwarebytes によれば、このような活動が少なくとも 2 か月間は行われていたとのことだ。

headless 曰く、

LastPass が 8 月に発生した不正アクセスの調査について続報を発表している (The LastPass Blog の記事、 Ghacks の記事)。

不正アクセスは開発者アカウントの一つが侵害され、開発環境の一部が侵入を受けたというもの。LastPass がサイバーセキュリティ企業 Mandiantと協力して進めていた調査は完了しており、不正アクセスは 4 日間に限られることが確認できているという。最初のエンドポイント侵害手法について結論は出ていないものの、攻撃者は開発者が多要素認証に成功してから継続的になりすましを続けたとのこと。

LastPass では不正アクセスが開発環境に限られ、顧客データにアクセスされた痕跡はないと説明していたが、根拠は示していなかった。今回の発表では、開発環境がプロダクション環境と物理的に分離していて直接接続する手段がないこと、開発環境に顧客データや暗号化されたパスワード保管庫は含まれないこと、LastPass は顧客のマスターパスワードを保持していないため、パスワード保管庫を復号できるのはオーナーのみであること、を挙げている。

また、攻撃者がソースコードに悪意あるコードを挿入しようとした痕跡はないが、開発者の権限では開発環境からプロダクション環境にソースコードをプッシュすることもできないとのこと。LastPass では今回の問題を受け、エンドポイントのセキュリティコントロールと監視の強化を含むセキュリティ強化をデプロイしたとのことだ。

あるAnonymous Coward 曰く、

朝日新聞の記事によると、米Uber Technologiesがハッキング攻撃を受けたそうだ。>配車サービス等への影響は不明のようだ。Uberは、2017年にもハッキング攻撃を受け個人情報を盗まれたが、1年以上隠蔽していたらしい。

攻撃を受けたのは15日で、ニューヨーク・タイムズが接触した攻撃者を名乗る人物によれば、この攻撃者は自分は18歳のハッカーだと話しているという。Slackのアカウントをを乗っ取り、従業員らにシステム侵害を宣言、Uberの運転手に対してもっと高い報酬を払うべき的な主張していたらしい。各種アプリやサービスはすべて稼働を続けているとのこと。16日午前の段階では機密データにアクセスした形跡はないとしている（日経新聞）。

ビデオ会議中、眼鏡に映り込んだ画面から漏洩する情報について、米ミシガン大学と中国浙江大学の研究グループが研究成果を発表している (論文アブストラクト、 The Register の記事)。

Amazon Mechanical Turk のワーカーと OCR モデルにより研究室環境で用意した 720p のウェブカメラ映像を処理する実験では、画面上での表示サイズが高さ 10 mm のテキストを 75 % の正確さで復元できたという。そのため、ビデオ会議参加者が大きなフォントを用いるウェブサイトを画面に表示している場合、十分にテキスト読み取りが可能とみられる。また、テキストではなくグラフィカルなコンテンツから Alexa トップ 100 ウェブサイトを当てる実験では、94 % の正確さでサイトを推定できたとのこと。

このような情報は上司による部下の監視から、ビジネスの交渉に重要な情報の読み取りにまで用いられる可能性があり、将来的により高解像度な 4K などのウェブカメラが普及すればその危険性はさらに高まる。研究グループでは対策として、照明の位置変更などで眼鏡の反射を低減する物理的な方法や、映像の眼鏡部分にぼかしをかけるソフトウェア的な方法を提案している。眼鏡にぼかしをかけるフィルターのプロトタイプは GitHub で公開されている。

最新の Android 版 Chrome ブラウザーではシークレットタブをロックし、画面ロック時と同じ操作でロックの解除が可能になっている (9to5Google の記事、 Ars Technica の記事、 Android Police の記事)。

この機能を使用するには、Chrome の設定画面で「プライバシーとセキュリティ」の「Chrome を終了するときにシークレットタブをロックする」をオンにすればいい。これにより、アプリ切り替え後やロック画面解除後などには開いている Chrome のシークレットタブがロックされた状態となり、指紋認証や PIN 認証などを行わなければ表示できなくなる。

なお、このオプションは現在ロールアウト中だといい、最新の Chrome でも表示されないことがあるようだ。この場合は「chrome://flags」で「Enable device reauthentication for Incognito」(chrome://flags/#incognito-reauthentication-for-android)を「Enabled」にして Chrome を再起動すれば表示されるようになる。