maia 曰く、

三菱電機は9月29日、同社製の複数の家電製品で脆弱性が見つかったと発表した (CVE-2022-33321: PDF、 CVE-2022-29859 / CVE-2022-33322: PDF、 ITmedia NEWS の記事、 TECH+の記事、 日本経済新聞の記事)。

対象は 2013 年以降に出荷したエアコン、無線 LAN アダプター、冷蔵庫、給湯器、バス乾燥機、炊飯器、換気システム、スマートスイッチ、太陽光発電システム、IH クッキングヒーターなど 20 種類約 300 万台。対策としては、ユーザーが管理アプリからのシステム更新や、無線 LAN ルーターの設定見直し等をする必要がある。

20 種類は製品種別であり、製品型番別では 100 機種を超える。20 種類の製品が影響を受ける CVE-2022-33321 は重要な情報の平文送信の脆弱性で、HTTP 接続でベーシック認証を使用していることに起因するものだ。また、8 種類の製品が影響を受ける 2 件の脆弱性は、CVE-2022-29859 が解放済みメモリの使用の脆弱性、CVE-2022-33322 が XSS 脆弱性。CVE-2022-29859 は 3 月に修正された amb1_sdk の脆弱性となっている。

あるAnonymous Coward 曰く、

先日発生した Uber や Rockstar Games への不正アクセスについて、多要素認証疲れ (MFA Fatigue) 攻撃が用いられたと報じられている (ITmedia NEWSの記事、 Yahoo! ニュースの記事)。

Uber への攻撃では、攻撃者が事前になんらかの手段で入手したユーザー名とパスワードに対して、短時間に大量のログインを実施。ユーザーが大量の MFA 通知に疲れ果てたころに、システム管理者を装った指示で承認させたという。同一犯とされる Rockstar Games への攻撃でも同じ手口が用いられた可能性がある。

ハッカーグループのチャットでは「従業員が寝ようとしている午前 1 時に 100 回電話をかければ、大抵は受け入れる。その従業員が承認すれば、MFA ポータルにアクセスして、別の端末を登録できる」などと言ったやり取りもされていたという。最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

警視庁は 9 月 30 日、回転ずしチェーン「かっぱ寿司」の運営会社カッパ・クリエイト社長ら 3 人をライバルチェーンの営業秘密不正持ち出しに関連する容疑で逮捕した (東京新聞の記事、 NHK ニュースの記事、 読売新聞オンラインの記事)。

社長はライバルチェーン「はま寿司」の親会社ゼンショーホールディングスからカッパ・クリエイトに移籍。それに先立ち、はま寿司の仕入れに関するデータを不正に持ち出した疑いがもたれている。逮捕されたのは社長のほか、カッパ・クリエイト商品企画部長と、はま寿司時代の社長の部下の 3 人。

社長と商品企画部長の逮捕容疑は持ち出したデータを同社データと比較するなどして使用した不正競争防止法違反、元部下の逮捕容疑はデータを開くためのパスワードを教えるなどした不正競争防止法違反ほう助となっている。警視庁は昨年、はま寿司側からの刑事告訴を受けて捜査を進めており、食材の原価や使用料に関するデータが営業秘密に当たると判断したとのことだ。

headless 曰く、

Fast Company は 9 月 27 日夜、同社のコンテンツ管理システムが不正アクセスを受け、わいせつで人種差別的な 2 通の通知が Apple News のフォロワーに送信されたことを明らかにした(Fast Company の声明、 The Verge の記事、 Neowin の記事、 9to5Mac の記事)。

27 日の不正アクセスは 25 日午後に発生した FastCompany.com への不正アクセスに関連するとみられる。25 日の不正アクセスでも今回と同様のわいせつで人種差別的な表現がホームページ (Internet Archive のスナップショット) やその他のページに表示され、同社は 2 時間ほどサイトを閉鎖して復旧作業を行ったという。

Fast Company は攻撃者による表現が同社の考えに一致するものでなく、このような表現が同社プラットフォームや Apple News で表示されたことに遺憾の意を示し、取り消される前に見てしまった人に謝罪している。現在、FastCompany.com では本件に関する声明のみが表示されるようになっており、問題が解決するまでは閉鎖を続け、ソーシャルメディアチャンネルのみで記事を配信するとのこと。

Apple News は本件を受け、Fast Company のチャンネルを無効化したと発表している。攻撃者によるメッセージがソーシャルメディアや公式サイトに表示されることは多いが、Apple News を通じて表示されたのは初とみられるとのことだ。

アイリスオーヤマが販売するBluetoothスピーカー付きシーリングライトを購入したところ、他人に勝手にペアリングされて音楽を流されたとするトラブルがネットで話題となっている。この問題を指摘した幽らり@人形狂の狂想曲さんによると、Bluetoothにパスワードが設定されていないため、集合住宅だと隣家などから勝手に接続され音楽を流されるとしている（幽らり@人形狂の狂想曲さんのツイート、J-CASTニュース、Togetter）。

アイリスオーヤマは9月28日、同製品にペアリング制御機能を実装していないことを認め、問題となっている指摘の内容は事実だと認めた。ITmediaによると今後、ペアリング制御機能の追加を検討しているという。ただし、実装の可否や方法、時期などは「コメントできない」としている。今のところ返品対応も検討していないとしている（ITmedia）。

デジタル庁は26日、同庁が運用する「GビズID」のメール中継サーバーが不正アクセスを受けたと発表した。これにより「gbiz-id.go.jp」ドメインから迷惑メールが1万3000件送信される問題が発生したとしている。迷惑メールは9月24日16時30分から17時00分までの間に送信された。個人情報の漏えいは確認されていないとしている（デジタル庁、時事ドットコム）。

SSDやHDDなどのストレージ機器を含んだPCを中古で売買する場合、そのデータ内容の扱いがよく問題になるが、PC Watchの記事では個人情報や企業の機密情報をストレージ機器の廃棄や譲渡によって露呈させないようにするにはどうすればいいのか、データ復旧事業に聞くという記事がまとめられている（PC Watch）。

基本的に他人に譲渡する場合はストレージの記憶領域全体を「別の情報で上書きする」ことが大事だが、SSDの場合は、領域情報を管理している「Trim(SATA SSDの場合)」や「UNMAP(NVMe SSDの場合)」という標準機能を利用することで、データの上書きをしなくてもデータを意味のないものにすることができるという。またSSDでは、Secure EraseやFormatNVMなどのコマンドを実行することもデータを抹消する上で有効な手段になるとしている。

警察庁は10月1日から「110番」の通報者がスマートフォンで交通事故などの現場の映像・画像を送信できる新システムを試験運用する。試行運用後に課題などを改善し、来年の4月から本格運用につなげる方針（110番映像通報システムの試行運用の開始について、mpress Watc）。

このシステムでは、110番通報を受けた担当者が、通報内容に応じて、通報者に映像等の送信が可能かどうかを確認。通報者が同意した場合、通報者にSMSでワンタイムURLを送信、通報者はそのURLと口頭で伝えられるアクセスコードを入力してログインする。ログイン後は、通報者のスマホのカメラが起動し、通報者がリアルタイムで映像を撮影し送信するのだという。既に撮影済みの映像や写真も送信できる。

headless 曰く、

Meta が Instagram の DM で送りつけられるヌード写真を自動でブロックする機能の開発を進めているそうだ。 (The Verge の記事、 9to5Mac の記事、 Alessandro Paluzzi 氏のツイート)

見知らぬ相手に性的な嫌がらせメッセージを送りつける「cyberflashing」は大きな問題になっている。Instagram が提供するテキストベースの嫌がらせメッセージをブロックする機能は効果が低いと指摘されており、画像ベースの嫌がらせメッセージへの対策は行われていない。

現在開発が進められているのは実際のメッセージを Meta が閲覧したり、外部と共有したりすることなくヌード写真を検出する機能だ。ユーザーのプライバシーを侵害することなく、受信したメッセージをユーザー自らコントロールできるよう、専門家の協力も得て開発を進めているという。より具体的な情報は今後数週間のうちにも公表できる見込みとのことだ。

暗号通貨であるイーサリアムは9月中旬、大型アップグレードである「The Merge」を実施し、プルーフ・オブ・ワーク（PoW）からプルーフ・オブ・ステーク（PoS）へと歴史的な転換を完了させた（Data Center Café、CoinPost、coindesk JAPAN、coindeskその2）。

PoWではマイナー（採掘者）は複雑なアルゴリズムを解いて取引を検証することで報酬としてイーサリムを手に入れ、それを定期的に現金化して運用資金に充てていた。PoSでは高価なマイニング用のコンピューターがなくてもネットワークに参加できる。Mergeでは平行して動作していた従来型のPoWからPoSへの統合が図られた。

今回おこなわれたMergeにより、イーサリアムに関連する二酸化炭素排出量が99％以上削減され、世界のエネルギー消費量が0.2%減少すると予測されているという。またMergeによって、イーサリアムの1日あたりの発行量は95％減少したとされる。coindesk JAPANの記事によれば、The Mergeにより結果としてイーサリアムのデフレ効果を生み、長期的には強気派に有利な動きを導くと考えられているという。なお一部でこの影響により、ビデオカードの価格下落などの噂が出ているが、これに関してはNVIDIAのCEOが19日に開かれたカンファレンスイベント「GTC 2022」で、「もうGPUの価格低下傾向はおわった」とする発言があったようだ（AUTOMATON）。

ゲームパブリッシャー 2K は 21 日、同社の使用するヘルプデスクプラットフォームが不正アクセスを受け、一部のプレイヤーに悪意あるリンクが送信されたと発表した (The Verge の記事、 BleepingComputer の記事、 2K Support のツイート)。

BleepingComputer によると、ターゲットとなったプレイヤーにはまずサポートチケット作成を知らせる電子メールメッセージが届き、その続報としてパスワードを盗むマルウェア RedLine のリンクを含むメッセージが届いたという。

2K サポートではリンクをクリックしてしまった人に対し、念のため下記のような対応を推奨している。

• ブラウザーに保存されているすべてのユーザーアカウントパスワードのリセット
• 利用可能なすべてのアカウントで多要素認証を有効化。テキストメッセージによる認証は避け、認証アプリを使用すること
• 信頼できるアンチウイルスソフトウェアのインストールと実行
• 電子メールアカウントで転送設定が変更されていないか確認

関連会社の Rockstar Games も先日不正アクセスを受けているが、こちらとの関連は不明だ。なお、2K はサポートサイトの再開を 24 日に発表している。サイト保護強化の一環として、サポートサイトへの次回ログイン時にはすべてのユーザーにパスワードリセットが求められる。新しいパスワードに関しては、複雑さの要件が強化されているとのことだ。

標的型暴力とテロリズムを防ぐプロジェクトに対する米国土安全保障省 (DHS) の補助金プログラムで、ビデオゲームを通じた過激主義者の活動拡大を防ぐプロジェクトに補助金 699,763 ドルが支給される (Ars Technica の記事、 Motherboard の記事)。

プロジェクトは Middlebury Institute of International Studies at Monterey の Center on Terrorism, Extremism, and Counterterrorism (CTEC) および、ビデオゲームにおける精神衛生を専門にする非営利組織 Take This と オンラインでの問題行動解決に取り組む Logically が共同で実施し、ゲームにおける過激主義を理解するための枠組みを開発する。

ゲームを通じた暴力的過激主義の拡大は昨年 12 月に国連が開催した専門家による円卓会議でも議題となっているが、ゲーム開発者は規模にかかわらず、過激主義者がどのようにゲームを悪用してその思想を広げていくのかについて理解が遅れているという。プロジェクトでは過激主義者を監視してゲームの悪用を防ぐためのリソースの開発や、ゲーム開発者やコミュニティマネージャーなどが過激主義を防ぐためのワークショップ開催なども行うとのことだ。

人気ゲーム「Grand Theft Auto（グランド・セフト・オート）」シリーズの発売予定の次回作に関して、大量の画像や映像などが出回ったそうだ。開発元であるRockstar Gamesは19日、新作の開発中映像が流出したことを認めた。画像は海外フォーラムなどで出回っていたものとされる。Rockstar Gamesの発表によると、リークは「権限のない第三者」がシステムに侵入、機密情報をダウンロードした結果だとしている。流出した映像は開発初期のものだったとしている（Rockstar Games公式Twitter、AUTOMATON、Game Spark、IGM）。

このリークをおこなったハッカーは、先日、Uberが被害を受けた大規模なサイバー攻撃についても自分の犯行だと述べているという。UberはFBIおよび米司法省と積極的に協力して問題の解決にあたっている。Uberによるとこのハッカーは、ここ最近になってNVIDIA、マイクロソフト、Samsungを攻撃したハッカー集団Lapsus$に所属していると考えていると述べているそうだ（IGM）。

台風14号が日本を通過したばかりだが、FNNプライムオンラインで台風のときに「川の様子」を見たくなる現象についての記事が掲載されている。危険であるにもかかわらず、このような行動をとってしまう人がいるのは、一体なぜなのか（FNNプライムオンライン）。

山口大学・人文学部の高橋征仁教授によると、一般には川や用水路の様子を見に行ってしまう心理は、仕事上の責任感から見に行ってしまうとされているが、進化心理学の観点では自分の縄張りを維持するためのスカウティング（偵察・哨戒行動）の一種なのだという。

教授によると、田んぼや川の様子を見に行って亡くなるのは基本的に男性であり、「若い男性」と「初老の男性」がこうした行為をおこないやすいのだという。教授によると女性の場合は、子どもや親の救出・安否確認が関心の焦点となることから、田んぼや川の様子を見に行って死亡することは聞いたことがないとしている。

headless 曰く、

Microsoft Edge の新しいタブページで、ニュースフィードに表示される広告を悪用した不正広告攻撃が確認されたそうだ (Malwarebytes Labs の記事、 Neowin の記事)。

不正広告は広告ネットワーク Taboola を通じて配信され、ユーザーの興味を引き付けそうな奇妙なストーリーへのリンクとして表示される。広告がクリックされるとユーザー環境のチェックが行われ、不正広告のターゲットにならないと判定した場合は広告に表示されていた通りの無害なページを表示する。一方、ターゲットと判定した場合はテクニカルサポート詐欺のページにリダイレクトするとのこと。Malwarebytes によれば、このような活動が少なくとも 2 か月間は行われていたとのことだ。