headless 曰く、

Acer は 11 月 24 日、個人向けノート PC 5 機種でセキュアブート設定を変更可能な脆弱性 CVE-2022-4020 が発見されたことを発表した (Acer Community の記事、 ESET のツイート、 HackRead の記事)。

この脆弱性は NVRAM 変数を作成することでセキュアブート設定を変更可能というものだ。変数の値は重要でなく、影響を受けるファームウェアのドライバーは変数の存在のみをチェックするのだという。影響を受けるのは Aspire A315-22 と A115-21、A315-22G、および Extensa EX215-21 と EX215-21G の計 5 機種。Acer では BIOS 更新プログラムの開発を進めており、準備ができ次第 Acer サポートサイトで公開する。

発見者の ESET によれば、脆弱性は DXE ドライバー HQSwSmiDxe に存在し、NVRAM 変数「BootOrderSecureBootDisable」を追加することで、ドライバーがセキュアブートを無効化するとのこと。ESET は Lenovo のノート PC でも同様の脆弱性を発見しているが、「BootOrderSecureBootDisable」は Lenovo の CVE-2022-3431 でセキュアブートを無効化する変数と同じ名前だ。

警察庁と内閣サイバーセキュリティセンターは30日、学術関係者・シンクタンク研究員等を標的としたサイバー攻撃が増加しているとして注意喚起をおこなった。国内の学術関係者、シンクタンク研究員、報道関係者等に対し、「【依頼】インタビュー取材をお願いします」「研究会へのゲスト参加のお願い」「【ご出講依頼】○○勉強会」といった内容の講演依頼や取材依頼等を装ったメールを送り、その過程でマルウェアを実行させるサイバー攻撃が増加しているという（警察庁、標的型サイバー攻撃、不審メールにご注意ください[PDF]、内閣サイバーセキュリティセンター、時事ドットコム）。

具体的には日程や内容の調整に関するやりとりのメールの中で、資料や依頼内容と称したURLリンクが記載されたり、資料・原稿等という名目のファイルが添付されており、これらを踏んだり開いたりするとマルウェアに感染するとしている。

発表によれば、全国の警察が把握したこのような攻撃は2019年以降で数十件に及ぶとされる。安全保障、国際政治、経済、エネルギーなどの専門家を中心に狙われており、マルウエアの種類やメールの文面などから複数の攻撃集団が関与しているとみられるという。国家の関与の有無については現時点では解明中とのこと。

青森県の一部地域で、9月下旬~11月下旬にかけて皮膚の腫れなどを訴えて受診する患者が大幅に増加している。寄生した魚を生で食べると顎口虫が体内に侵入し、皮下を動き回って皮膚が腫れたり、場合によっては目に移動して失明することもあるという。青森県保健衛生課は身体にかゆみや痛みを伴うみみず腫れのような症状がある場合、速やかに医療機関を受診するよう警告している（読売新聞、Web東奥）。

pongchang 曰く、

青森県食の安全・安心推進課　安心推進グループによると９月以降皮膚爬行症の患者約１３０名が上北郡内及び八戸市内の医療機関を受診している。顎口虫によるものと考えられ患者の多くはシラウオを加熱せずに食べていたことが判明している。

クラウド型会計・人事サービスを提供するfreeeでは、広報や営業・顧客対応も含めた包括的な障害対応訓練を実施した。昨年も10月に実戦的な訓練を実施していたが、このとき一番きついユーザー対応部分に踏み込めなかったことから、今年のシナリオは全体的な課題に取り組む内容になっているという（ITmedia）。

同社はfreeeには2018年10月にサービスが停止する障害を発生させ混乱したことがあるため、その反省から定期的に全社規模での障害対応訓練を実施している。2022年の演習は、freeeのサービスに含まれるWebフォームが（実際には存在しないが）脆弱性を付かれて改ざんされ、ログインしてきたユーザーIDとパスワードが盗まれてしまったという想定で行った。前回訓練で横道にそれたりした反省から、調査や対応に当たる現場のエンジニアや担当者が、集中を乱されずに作業を進められる方法も実践するといった対応も取られたという。

headless 曰く、

米ニューヨーク州のキャシー・ホークル知事が11月22日、州内で化石燃料を燃やした電力による暗号通貨採掘を2年間にわたって禁ずる州法案に署名し、州法が成立した (Senate Bill S6486D、 The Verge の記事、 Neowin の記事、 The Register の記事)。

米国では大量の電力を消費する暗号通貨の採掘業者が古い火力発電所を買い取って使用することによる環境への影響が懸念されている。州法はこの問題に対応するためのものだ。そのため、対象となるのはプルーフ・オブ・ワーク認証により取引を記録する暗号通貨の採掘となっており、このような暗号通貨を採掘するための火力発電所に排出許可を与えない、または排出許可を更新しないとのことだ。

国立天文台は11月22日、世界最大級の電波望遠鏡「アルマ」がサイバー攻撃を受け、1か月近く科学観測ができない状態が続いていると発表した。現地時間の10月29日に攻撃を受け、望遠鏡の運用や計算に使うシステムに障害が出た。チリにある観測所のWebサイトも影響を受け、停止している。ハードウェア部分や過去の観測データには影響はなかったとしている。チリ合同アルマ観測所の危機管理チームは、年内の観測再開を目指して復旧計画を策定中だとしている（アルマ望遠鏡、読売新聞、ITmedia、産経新聞）。

米国政府は25日、ファーウェイやZTE、ハイクビジョン、ダーファ・テクノロジー、ハイテラの中国企業5社の通信機器や監視カメラについて米国内で販売を事実上禁じたと発表した。これらの子会社や関連会社も禁止対象に含まれる。2021年11月に成立した法律を元に米連邦通信委員会（FCC）が具体的な規制を決めるとしていたがルールが確定して施行されたことになるようだ。FCCは安全性を確保するため、米国内で使える通信機器を認証している。上記の企業は当局の認証を受けられないことから、新ルールの開始により新規の販売が事実上困難になる（Bloomberg、産経新聞、日経新聞）。

国際線旅客機の多くでは 100 ml を超える液体の機内持ち込みを禁じているが、英空港では 2024 年にも制限を撤廃する計画だという (The Register の記事、 The Times の記事、 Chronicle Live の記事、 Evening Standard の記事)。

液体持ち込み制限は 2006 年にロンドン警視庁が阻止した旅客機爆破テロ計画を受けて導入されたものだ。テロは液体物を用いて旅客機を爆破する計画だったと発表されており、液体だけでなくジェルも制限の対象になっている。ただし、イタリア・ジェノバでは地元特産のソース「ペスト」限定で 100 ml を超えても機内に持ち込むことを認めており、米運輸保安庁 (TSA) はハンドサニタイザー限定で大きな容器での機内持ち込みを認めている。

制限の撤廃は 3D 映像での検査が可能な新型の CT セキュリティスキャナー導入によるもので、乗客は液体物やノート PC などを手荷物から取り出す必要がなくなる。これにより保安検査の所要時間を大幅に短縮できるほか、機内持ち込み用の「トラベルサイズ」容器や袋が不要となるためプラスチックごみの削減につながることも期待される。新型スキャナーはロンドン・ヒースロー空港とガトウィック空港でテストが行われており、年内にアイルランド・シャノン空港に本格導入される予定とのこと。CT スキャナーの導入は米国でも進められている。

NordPass が 2022 年版の流出パスワードトップ 200 を公開している (Top 200 Most Common Password List、 The Register の記事)。

今回のランキングは NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、3TB のデータベースを調査したという。各社調査では 10 年以上にわたり「123456」「12345」といったパスワードがトップを占めているが、今回の調査では「password」が約 493 万件で 1 位となった。2 位の「123456」は約 152 万件であり、大きな差がついた。3 位以下は「123456789」「guest」「qwerty」が続く。

日本では昨年「password」が 1 位だったが、今年は「123456」が逆転して 1 位になり、順位が入れ替わった。ただし、「123456」が 1,210 件、「password」が 926 件と流出件数が少なく、ランキングはトップ 50 までになっている。性別を含むデータでは男性の 1 位が「123456」で 2 位が「password」で昨年と順位が入れ替わったのに対し、女性は「mikeym0128」が初登場で 1 位となり、昨年 1 位の「password」が 2 位に後退している。女性のデータではトップ 10 に数字だけのパスワードが少ない(「123456」のみ)のも特徴的だ。性別を含まないデータでは 1 位が「123456」で 2 位が「1234」となっている。先日のストーリーで話題になった「159753qq」はトップ50に含まれていない。

WhatsApp ユーザーのものとされる世界 84 か国、計 4 億 8,700 万件の電話番号データが売りに出されているそうだ (Cybernews の記事、 Neowin の記事)。

電話番号データの販売情報は、ある人物が 11 月 16 日によく知られたハッキングコミュニティに投稿したものだという。件数の最も多いのはエジプト (約 4,482 万件) で、イタリア (約 3,568 万件) と米国 (約 3,232 万件) が続く。数は少ないものの日本の電話番号も約 43 万件含まれている。

この人物は Cybernews に対し、米国のデータセットが 7,000 ドル、英国 (約 1,152 万件) が 2,500 ドル、ドイツ (約 605 万件) が 2,000 ドルだと説明したそうだ。Cybernews は英国 1,097 件分、米国 817 件分のサンプル提供を受け、確かに WhatsApp ユーザーのものであることを確認したとのこと。販売者は入手法について説明しなかったが、Cybernews はスクレイピングによるものだと考えているようだ。

カナダ・グェルフ大学の研究グループが電子機器修理サービスプロバイダーによる個人ファイルの扱いを調べたところ、修理担当者が作業に必要ない個人ファイルにしばしばアクセスしており、修理依頼者が女性の場合は特に多いことが判明したそうだ (U of G News の記事、 Ars Technia の記事、 PCMag の記事、 論文アブストラクト)。

研究グループの調べによると、カナダで利用可能な電子機器修理サービスプロバイダーでは規模の大小にかかわらず、デバイスに顧客が保存した個人データを保護するプライバシーポリシーが用意されていないという。また、Windows 10 のプリインストールされた新品のノート PC を 6 台を購入し、オーディオドライバーを無効化して実際に修理を依頼する実験も行っている

実験では 3 台ずつ男性と女性の所有者という設定で個人ファイルやインターネットサービスのアカウント、ブラウザーの閲覧履歴などのほか、男女にかかわらず露出度の高い女性の写真 (非ヌード) を格納し、これに合わせた性別の実験者が合計 16 の修理サービスプロバイダー (全国規模 4、地域規模 4、地元業者 8) に修理を依頼。Windows のステップ記録ツールと監査ポリシーを用いて修理担当者の操作内容を記録している。なお、実験にあたっては修理担当者のプライバシーにも配慮したとのこと。

このうち 2 件のサービスプロバイダー (地域 1、地元 1) では実験者の目の前で修理を終わらせており、別の地元修理業者 2 件では記録したデータが取り出せなかったという。残り 12 件のうち、4 件で修理担当者が「ドキュメント」フォルダーにアクセスしており、5 件で「ピクチャ」フォルダと露出度の高い女性の写真にアクセスしたそうだ。

こういった個人ファイルへのアクセスは修理依頼者が女性の場合に多く、男性の場合はそれぞれ 1 件にとどまる。一方、ブラウザーの閲覧履歴に修理担当者がアクセスしたのは 2 件で、修理依頼者はいずれも男性だった。このほか、2 件では修理担当者が顧客のデータをコピーしており、5 件ではアクセスしたファイルの履歴などを消去したという。

このような状況を消費者も不安に感じているようだ。112 名を対象に実施したアンケート調査では、故障したデバイスを修理しなかった人の 33 % (スマートフォン/タブレット: 79 人中 26 人、PC: 70 人中 23 人)がプライバシーを理由に挙げているとのことだ。

headless 曰く、

フランスの学校では無料の Microsoft Office 365 Education を使用できないとの見解を国民教育・青年省が示している (国民教育・青年省の回答、 The Register の記事、 Siècle Digital の記事)。

この見解は 8 月にフィリップ・ラトンベ下院議員が示した懸念 (PDF) に答える形で出されたものだ。ラトンベ氏は無償提供がダンピングに相当し、競争を阻害する可能性があること、データが米国のサーバーに保存されてデジタル主権が損なわれる可能性があることなどを指摘していた。

国民教育・青年省では、無償のサービスが公共調達の対象にならないと説明。また、デジタル省庁間総局 (DINUM) は Microsoft Office 365 が政府のクラウド中心政策の要件を満たさないとの見解を示しており、政府の政策がEU域から米国へ個人情報を転送する根拠となっていた Privacy Shield を無効と判断した EU 司法裁判所の Schrems II 判決にも合致すること、データ保護当局 (CNIL) が米国にデータを送信しない Office スイートを使用するよう勧告していることなどを挙げ、GDPR に違反する Microsoft や Google のソリューションを展開しないよう要請しているとのこと。

ラトンベ下院議員の質問はもともと国民教育・青年大臣のパプ・エンジャイ氏にあてたものだが、エンジャイ氏も省の見解に同意しているとのことだ。

サンフランシスコ警察（SFPD）が容疑者を殺害するためのロボット配備の許可を市の監督委員会に請願しているという。SFPD側は一般市民や警官の命が失われる危険が差し迫っていると主張している。この提案にはすでに理事会の内外から大きな反発が出ているようだ。SFPDは現在、爆弾処理などに用いる十数台の遠隔操作ロボットを保持している。爆弾処理ユニットには、爆弾処理のために空砲のショットガンが装備されているが、これを実弾に変更すれば当然のことながら攻撃用として転用もできるとのこと（サンフランシスコ警察による方針案[PDF]、Engadget）。

経済産業省の委託事業「コンテンツ緊急電子化事業」特設サイトのドメインが第三者によって取得され、別のウェブサイトが運用されているとして経産省が注意を呼びかけている。運営されているサイトは、元のコンテンツ緊急電子化事業のページをほぼそのままのかたちで復元。その中に別のサイトへのリンクを紛れ込ませるという手法でフィッシングをおこなう手段を用いている模様（経済産業省リリース、INTERNET Watch）。

INTERNET Watchの記事によれば、該当の偽サイトでは更新履歴の最上段にさりげなくリンクを紛れ込ませるという手法が取られているという。また記事中では、当事者である経済産業省が「アクセスしないよう、御注意ください」で済ましているのがあまりにもお粗末だと指摘している。

埼玉大学は21日、GoogleのGmailドメインのタイプミスの結果、メールの転送ミスが起きていたと発表した。本来「@gmail.com」のドメインに送るはずだったメールを、「@gmai.com」のアドレスに約10カ月間自動転送し続けていたという（埼玉大学リリース、ITmedia）。

この誤転送問題は2021年5月6日から22年3月3日まで発生しており、この間4890件のメールを送っていたとしている。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。

nemui4 曰く、

WHOISによれば、gmai.comのドメインはホンジュラスのドメイン名レジストラを名乗る「BoteroSolutions.com S.A.」が所有している（11月21日時点）。