Samsung が当初従業員に禁じていた ChatGPT 使用を半導体部門に限って 3 月 11 日に解除したところ、20 日もたたないうちに 3 人の従業員が社内情報を流出させるトラブルが発生したそうだ (The Register の記事、 エコノミストの記事、 The Korea Times の記事)。

2 人の従業員はそれぞれソースコードを送信して ChatGPT にプログラム修正を依頼しており、もう 1 人は会議の文字起こしを送信して議事録作成を依頼していたという。ChatGPT のサービスを提供する OpenAI は ヘルプ記事でシステム改善のため会話の内容を閲覧し、学習にも使用すると説明しており、特定のプロンプトだけを削除することはできないのでセンシティブな情報を送信しないよう求めている。

この問題を受けて Samsung では 1 回の質問で送信できるデータを 1,024 バイトに制限したといい、LG や SK hynix なども ChatGPT を含む AI チャットボット利用を制限してガイドライン策定を急いでいるとのことだ。

報じているのは HackRead のみのようだが、Adobe がユーザーのパスワードをリセットしたと通知しているそうだ (HackRead の記事)。

Adobe から届いたというメッセージによると、Adobe ID で使われているものと同じユーザー名またはパスワードが他のオンラインサービスのデータ侵害で流出した可能性があるということのようだ。Adobe はウェブサイトごとに異なる認証情報を使うべきだと述べ、この機会に Adobe ID と同じユーザー名やパスワードを使用しているすべてのウェブサイトでパスワードを変更することを推奨している。さらにセキュリティ強化を図りたい場合は Adobe の二要素認証を有効化すればいいとも述べている。

headless 曰く、

Google が Chrome 拡張の Manifest V2 (MV2) から Manifest V3 (MV3) への移行計画を再び先送りするようだ (Google グループ — Chrome Extensions、 Ghacks の記事)。

Google は 2018 年に MV3 を発表し、当初は 2023 年 6 月に MV2 サポートを完全終息する計画だった。しかし、MV3 の API 実装や最も影響を受けるコンテンツブロッカーの MV3 移行は進んでおらず、昨年 9 月には MV2 終息の半年先送りを発表している。12 月に更新された MV2 サポートタイムラインでは MV2 無効化実験開始や MV2 エンタープライズポリシー終了などが「検討中」に変更され、2023 年 3 月までに新しいスケジュールを発表する計画を示していた。

今回 Google は MV3 の API 実装や改良が進んだとしつつ、MV2 のフェーズアウトに関してはタイムラインの検討を続けているとして、新たなスケジュールを今後数か月のうちに発表する計画を示した。Google では開発者が十分な移行時間をとれるよう、MV2 無効化実験を開始する少なくとも 6 か月前には情報を提供したいとも述べている。

徳丸浩の日記の記事によると、CookieやlocalStorage等でセッションを管理しているサイトがクリックジャッキング攻撃に対する防御対策をしていないと、ほぼ全ての条件でクリックジャッキングの影響を受けるようになるという。このサイトではGoogle Chrome、Edge、Firefox、Safariで設定を変更することで防御対策を無効化し、その影響に関しての調査をおこなった。その結果自体は元記事を見ていただきたいが、

その中でもSafariに備わっているトラッキングの抑制機能「ITP」の無効化をおこなうと、セキュリティを弱くする結果になるリスクが存在する。しかし、ITPの無効化を推奨しているサイトも複数存在する。メジャーどころとしてはYahoo! JAPANがそうで、iOS 11以降に対して「サイト越えトラッキングを防ぐ」を設定してあると、サービス内の機能が限定されるなど、一部のサービスを利用できなくなるという。このためサイト上の説明で「サイト越えトラッキングを防ぐ」機能をオフにしてからYahoo! JAPANのサービスをご利用くださいとの記載も見られる。その一方で

「サイト越えトラッキングを防ぐ」機能の設定変更は、お客様ご自身の責任において変更してください。

との責任回避のための注釈もされている。徳丸浩の日記の記事では、ブラウザのトラッキング機能を解除するとクリックジャッキング攻撃の影響を受けやすくなるとした上で、サイト運営者は、ブラウザの設定変更を促さすべきではないこと、利用者側もブラウザの設定を安易に変更しないことを警告している。

headless 曰く、

中国網絡安全審査弁公室は 3 月 31 日、中国で販売される米 Micron 製品についてネットワークセキュリティ審査を行うと発表した (公告、 Neowin の記事、 Reuters の記事)。

製品に隠された問題が引き起こすネットワークセキュリティリスクを防ぎ、重要な情報インフラサプライチェーンを守り、国の安全を維持するため、国家安全法とネットワーク安全法に従ってネットワークセキュリティ審査を行うとのこと。具体的な製品名等については明らかにされていない。

中国に輸入される Micron 製品のほとんどは非中国企業が購入し、製品の製造に用いられるという。Micron は上海と深センにオフィスを置き、西安にチップパッケージング施設を置いているが、昨年 1 月には上海での DRAM 設計を中止することが明らかにされている。

横浜市のコンビニの証明書交付サービス「Fujitsu MICJET コンビニ交付」で3月27日、別人の住民票が発行されるトラブルが発生したそうだ。日経クロステックの報道によると、このサービスを提供しているベンダーの富士通Japanは3月30日、このトラブルに関する原因を発表した。それによると、システムへのアクセス集中により印刷処理の待ちが生じ、印刷イメージファイルのロックが解除され、同時期に交付を申請した別の利用者が当該ファイルを印刷できてしまったという（日経クロステック、その2）。

当該ファイルは申請者しか印刷できないようロックがかかる仕様だが、システムにはタイムアウトの上限が設定されていたため、アクセス集中で処理が遅れた際にタイムアウトとなってロックが解除されたという。同社は対策としてタイムアウトでロックが解除されないようプログラムを改修したとしている。

kawakazu 曰く、

NTTドコモは、3月31日、「ぷらら」および「ひかりTV」契約者の住所や氏名、電話番号などの個人情報が最大で約529万件流出した可能性があると発表した（ NTTドコモ、ケータイ Watch、ITmedia）。

3月30日に、業務委託先企業で使用しているPCから情報が流出した可能性があることを確認したという。流出元のPCはネットワークから隔離済み。原因などについては調査を続け、分かり次第随時公表するとしている。
流出した可能性があるのは、ひかりTV・ぷららユーザーの氏名、住所、電話番号、メールアドレス、生年月日、フレッツ光回線ID、お客さま番号など最大で約529万件。クレジットカード情報や、金融機関の口座情報は含んでいないとしている。
なお、

タレコミ者的には、以前利用していたISPで今もメールサービスを利用しているのでこのニュースを見た時にログインパスワードとメールパスワードを念のため更新したが、ぷららからのお知らせにはこの件が書いてなくてどういう事となった。

クラウドセキュリティ企業 Wiz の調べによると、Azure AD のマルチテナントアプリは25%が適切なアクセス制限をするよう構成されていないそうだ (Wiz のブログ記事、 MSRC Blog の記事)。

マルチテナントアプリの誤構成は Microsoft の複数のアプリでもみられ、Wiz が発見した Bing の脆弱性「BingBang」は「Bing Trivia」アプリの誤構成が原因となっている。Bing Trivia アプリには Bing 検索結果に表示されるカルーセルの内容を設定する機能が含まれており、検索結果を改変して XSS 攻撃を実行することで Office 365 ユーザーのデータにアクセス可能な JWT トークンが取得できたという。

Wiz は MSRC へ Bing の脆弱性を 1 月 31 日に報告し、MSRC は最初の修正を同日行っている。2 月 25 日には Microsoft の他のアプリの脆弱性も報告しており、3 月 20 日までにすべてのアプリで修正が完了したとのこと。Wiz Research は報奨金として 40,000 ドルを受け取ったそうだ。

管理者はAzure Portalでマルチテナントアプリの有無を確認できる。アクセスを意図しない組織外のアカウントでログインできるマルチテナントアプリは脆弱だ。この場合、アクセス可能なユーザーの制限や条件付きアクセスの使用、クレームベースの承認、アクセストークン内のクレームの確認などが必要になる。Wiz では関連する Microsoft のドキュメントも参照することを推奨している。なお、組織外のアカウントでのアクセスが必要ない場合はマルチテナントの登録を解除してシングルテナントに戻せばいい。

headless 曰く、

Mozilla は Firefox の Windows 7～8.1 サポート延長を検討してきたが、少なくとも 2024 年第 3 四半期まで継続することに決定したようだ (Bug 1594270、 Neowin の記事)。

Mozilla の Bugzilla では Windows 7 の延長サポート終了を前にした 2019 年 11 月から議論が行われている。Windows 7の拡張セキュリティ更新プログラム (ESU) 提供と Windows 8.1 の延長サポートが 1 月で終了したことを受けて Google Chrome と Microsoft Edge では既に Windows 7～8.1 のサポートを終了しているが、Firefox はサポートを継続しており、Windows 7 ユーザーの多さからさらなるサポート延長を行う方向に傾いていた。

今回の決定は最近数か月の間に進められていた議論の内容に沿ったものだ。具体的には Windows 7/8 (8.1) のサポートを 7 月予定の Firefox 115 ESR リリースより前に終了することはなく、Firefox 115 ESR で少なくとも 2024 年第 3 四半期までサポートを継続するということになる。

朝日新聞によると、NECが構築した電子カルテシステムを使用している全国280の大規模病院のうち、半数以上の病院で同じIDとパスワードを使い回す状態になっていたことが判明したという。政府から派遣された専門家が昨年発生した大阪急性期・総合医療センターへの攻撃に関連する被害原因を調べる過程で判明した。専門家はNECと同センターにIDとパスワードの使い回しを問題点として指摘したという。NECは事実関係を認め、システムのセキュリティー対策を抜本的に見直すとしている（朝日新聞）。

また調査のきっかけとなった大阪急性期・総合医療センターが28日に公開した調査報告書によると、同センターではユーザー全てに管理者権限を付与していた他、数あるサーバやPCなどで共通のIDとパスワードを使用していたという。さらに侵入経路となったVPN機器は脆弱性が放置されているなどの問題もあったことが発覚している（大阪急性期・総合医療センター、ITmedia）。

昨年、柔道整復師の国家試験で、公益財団法人の元理事ら2人が試験問題を漏洩させていた事件が発覚している。この事件では2022年2月、柔道整復師の国家試験の問題に関する情報を事前に仙台市の専門学校に漏らすなどし、柔道整復師法違反の罪に問われている。1月におこなわれた公判では元理事ら2人は起訴内容を認めているという（TBS NEWS DIG[動画] 、NHK）。

この摘発後、初めての国家試験が今月おこなわれたが、国家試験の合格率が過去最低になっていたことが判明したという。厚労省によると、摘発後に初めて実施された国家試験では合格率が49.6％で、過去最低だった2017年度の58.4%をおよそ9ポイント下回っていたことが判明。合格率が急激に下がったことから、業界関係者は問題漏洩が全国的に広がっていた可能性があると指摘しているという（TBS NEWS DIG）。

あるAnonymous Coward 曰く、

漏洩事件に関わった元試験委員の男性が勤務していた「東京柔道整復専門学校」は、新卒の合格率が去年98.6%に上っていましたが、今年は66.9%となり、32ポイントも激減しました。
学校の担当者は「漏洩に関与したとされる教員ら5人は国家試験対策の授業をしていたが、摘発後に退職し、授業の質が落ちた」とコメントしています。

凄い反省の弁だ。

headless 曰く、

Twitter のソースコードの一部が GitHub で公開され、Twitter の DMCA 削除要請によりリポジトリが削除されたそうだ (TorrentFreak の記事、 Ars Technica の記事、 HackRead の記事、 The Guardian の記事)。

TorrentFreak の調べによると、FreeSpeechEnthusiast/PublicSpace リポジトリに Twitter のソースコードの一部とされるものが出現したのは 3 月 24 日 2 時 25 分 (タイムゾーン不明、TorrentFreak は英国の会社が運営) だという。DMCA 削除要請が送られた時刻は不明だが同日 10 時 15 分までに Twitter と GitHub の間で何らかのやり取りがあったとみられ、17 時 12 分にはリポジトリが削除され、その 1 分後にTwitterに通知されたとのこと。

Twitter の DMCA 削除要請によれば、公開されていたのは Twitter のプラットフォームと内部ツールのプロプライエタリなソースコードだという。ソースコードを流出させた人物は不明のようで、Twitter では特定するため裁判所に召喚状の請求 (PDF: [1]、[2])も行っている。

イーロン・マスク氏は 2 月 22 日に Twitter のソースコードを来週公開すると示唆していたが結局公開されず、先日はおすすめツイートのソースコードを 3 月 31 日に公開する計画を示している。

警視庁は28日、サイバー攻撃における家庭用Wi-Fiルーターの悪用被害に関する注意喚起を行った。それによると、サイバー攻撃事案の捜査の過程で、家庭用Wi-Fiルーターが、サイバー攻撃に悪用される事例が増えていることが判明したそうだ（警視庁リリース、Wi-Fi（無線LAN）ルーターをお使いの方へ、INTERNET Watch）。今回確認された手法は、攻撃者が外部からルーターの機能を不正に操作して有効化するもので、従来からの対策方法である

• 初期設定で使われている単純なIDやパスワードは変更
• 常に最新のファームウェアを使用
• サポートが終了したルーターは買い替えを検討

といった方法では対処ができないとしている。このため新たな対策として「見覚えのない設定変更がなされていないか定期的に確認する」ことが必要だとしている。具体的なチェックポイントとしては、

• 「VPN機能設定」や「DDNS機能設定」、「インターネット（外部）からルーターの管理画面への接続設定」の有効化がされていないか
• PN機能設定に見覚えのないVPNアカウントが追加されていないか
• 見覚えのない設定があった場合、ルーターの初期化を行い、ファームウェアを最新のものに更新した上、ルーターのパスワードを複雑なものに変更する

といった対策が必要だとしている。またメーカーのサポートが終了したルーターは、セキュリティリスクが高まるため、買い替えの検討をするよう求めている。

東海大学の研究チームは、遠隔からレーザー光をQRコードに当て一時的にだけ偽装QRコードに変える攻撃をすることで、任意のタイミングで悪性サイトへ誘導可能な偽装QRコードを生成する手法を考案したという。QRコードの誤り訂正機能を悪用、レーザー光を照射したときにだけ高確率に悪性サイトへ誘導するように設計されている。この方法を用いればQRコードを撮影しているときに遠くからレーザー光で照射。別の悪意あるサイトへ誘導することが可能になるとしている（ITmedia）。

以前から正規QRコードを外部から書き換える方法に関してはいくつか提案されてきたそうだ。正規QRコード上に偽装QRコードのステッカーを張り付ける方法や、QRコードの特定部位をマジックなどで塗りつぶす方法などが提示されてきた。しかし、こうした方法は継続して偽装QRコードに書き換わってしまうことから、偽装QRコードだと発見されやすい欠点があった。今回の方法は一時的に正規のQRコードを書き換えるため、一部のユーザーにしか悪性サイトに誘導されない。このことから、偽装QRコードだと見抜かれにくい特徴を持つとしている。

ランサムウェア被害が増加しているが、被害に遭った企業がバックアップを用意していたケースでも、被害直前の状況まで復元できたケースは2割に届いていないという。2022年に警察庁への報告があったランサムウェアの被害は、あわせて230件で前年の146件から57.5％増となった。直接的な金銭の要求が確認されたものは54件で、そのうちの50件については暗号通貨、のこる4件については米ドルによる支払いを迫るものだったという（令和４年におけるサイバー空間をめぐる脅威の情勢等について[PDF]、Security NEXT）。

ランサムウェアの感染経路に関して各期企業に聞いたところ102件の有効な回答があった。VPN機器からの侵入が63件で62％、リモートデスクトップからの侵入が19件で19％を占めた。テレワーク等に利用される機器等のぜい弱性等を悪用した侵入が81％と大半を占めているとされる。

復旧に要した期間は131件の有効な回答があり、うち復旧までに１か月以上を要したものが35件。被害に遭ったシステム又は機器のバックアップの取得状況に関しては、139件の有効な回答があり、バックアップがあったとの回答が116件で83％を占めた。そのうちバックアップから被害直前の水準まで復旧出来なかったものは90件で81％だったとしている。