昨年発生した LastPass の不正アクセスで攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている (KrebsOnSecurity の記事、 The Verge の記事)。

ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。

そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複数の被害者から盗んだ資金を同じブロックチェーンアドレスに送っているという結論に達したとのこと。

暗号通貨ワレット復元サービス Unciphered の Nick Bax 氏は Monahan 氏らが収集したデータを独自に分析し、Monahan 氏と同じ結論に達した。Bax 氏や Monahan 氏らはこのような特徴から新たな被害者を特定することにも成功している。

Bax 氏によればインタビューに合意した被害者の回答から得られた唯一の明白な共通点は LastPass にシードフレーズを保存していたことだといい、LastPass を使用する家族や知人にはパスワードの変更や暗号通貨の移行を強く勧めているとのことだ。

企業の公式サイトなどが改ざんされ、「破産手続きを開始しました」といったう虚偽の情報が表示される被害が相次いでいるという。鹿児島県で中華料理チェーン「餃子の王将」を運営する鹿児島王将は1日、不正アクセスによりホームページが改ざんされたと発表。破産手続きの情報はまったくの事実無根であると説明して警察に被害届を提出したとしている（ねとらぼ）。

ねとらぼの記事によれば、同様の被害が全国で報告されており、映像教材を提供する新宿スタジオや精肉店・ミートプラザニシジマ、多目的施設「湘南国際村センター」なども同様の改ざん被害を受けたとされる。改ざんされたページには実在する弁護士の名前が代理人として記載されているケースもあるが、そのような業務を受任したという事実はございませんと関係を否定している。

JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される（My JR-EAST公式の新規会員登録の停止について）。

終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。

あるAnonymous Coward 曰く、

JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログインのみに戻すとのこと。
えきねっと、モバイルSuica、JREポイント、ビューカード、各種MaaSアプリなど、JR東日本グループは大量のネットサービスを抱えているが、共通IDの構築は失敗して乱立は解消できなかったようだ。

情報元へのリンク

トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8％がパスワードを複数のWebサービスで再利用しており、その中でも41.9％が2～3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8％、異なるパスワードを考えるのが面倒が48.6％を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている（日経クロステック）。

あるAnonymous Coward 曰く、

インテリジェンスデザイン株式会社は渋谷駅周辺に100台のAIカメラを設置してリアルタイムで人流データを取得・解析するプロジェクトを発表しているが、そのホームページで紹介されている事例が「ヤバい」と評判になっている。

「オフライン顧客の見える化」として紹介されているのが「性別・年代・同席者の性別・年代・着用している衣服のブランド・渋谷までの交通機関・昼食を取った場所・移動ルート・今月何回目の渋谷訪問か・前回の訪問日時・今年何度目の渋谷訪問か・商業ビルへの来店回数・前回の買い物履歴」などという実に生々しいもの。

「通年の行動データがリアルタイムで蓄積」とうたわれているだけあり、渋谷の公道を移動してるだけでこれだけの粒度で個人情報が保存されて前回訪問や同行者もデータ化されるというのは恐ろしい。

なおこの記述は高木弘光氏が
https://twitter.com/HiromitsuTakagi/status/1697213910267642105
と、問題視したことを受けたのか

https://idea.i-d.ai/shibuya-project/
「当サイト内にて誤解を招く表現がある箇所について内容を一部修正致しました。」と削除されている。

過去のヤバイ記述はこちら。
https://web.archive.org/web/20230804024613/https://idea.i-d.ai/shibuya-project/

ニュースとして報道されたときにはイベント警備の問題解決が主目的のように報じられていたが、詳細な通行人のデータを企業に売ることが目的だったとはビックリだ。
https://www.excite.co.jp/news/article/Techable_210770/
「渋谷駅周辺にAIカメラ100台設置！人流データを解析し、イベント混雑時の警備問題の解決へ」

伝統的な銭湯の下駄箱の鍵をデジタルガジェットにしてしまうというアイデアを実行した人がいるらしい。銭湯や居酒屋などでは、⽊札（下⾜札）を挿すタイプの下駄箱が使用されていることが多い。あの木製のカギはやや大きいが持ったときの物質感や⼿触り感があり独特の存在感がある（EMEDINE Style、動画）。

このため制作者であるNEKOPLA（ねこぷら）氏は、こうした下駄箱の鍵のデザインや感触に魅了され、これを日常的なアクションに応用できないか考えた。その結果、コンピュータのロック装置として使えるデジタル下駄箱を作成したという。木製の下駄箱の鍵を作り、この鍵をUSB接続してコンピュータに接続。鍵の挿抜動作を検知するスイッチを内部に組み込み、鍵を抜くとコンピュータがロックされ、鍵を挿すとロックが解除されるようにプログラムしたそうだ。実用性はなさそうだが記事では実際の制作過程についても紹介されている。

英教育省は 8 月 31 日、強化された軽量気泡コンクリート (RAAC) に対する安全対策が行われていない教育機関の建物について、イングランドでの使用中止を勧告する新ガイダンスを発表した (ガイダンス、 ニュースリリース、 The Education Hub の記事、 The Guardian の記事)。

RAAC は教育機関の建物で 1950 年代から 1990 年代半ばにかけて用いられており、この期間に建設または増改築された学校などの建物には例外なく含まれているという。英政府ではこのような建物の危険性を認識して対策を進めてきたが、最近の状況から未対策の RAAC を含む場所を使用し続けるべきではないと判断したとのこと。

イングランドでは 156 の学校で RAAC が用いられているが、安全対策が行われているのは 52 校に過ぎない。ただし、残り 104 校でも全面閉鎖が必要になるわけではなく、中には教室単位での使用中止で済むものもあるとのことだ。

朝日新聞などの記事によると、セイコーソリューションズが発売している業務用ルーター「SkyBridge」と「SkySpider」の脆弱性を突いて、東京電力福島第一原発の処理水放出に対する抗議メッセージが表示されるように画面が改ざんされる被害が多発しているそうだ。原因となった脆弱性に関しては2023年2月には問題が判明しており、セイコーソリューションズからは対応ファームウェア等は提供済みだった（IPA、朝日新聞、TECH+、【再掲】SkyBridge MB-A100/110/200・MB-A130シリーズ・SkySpider MB-R210の脆弱性と対応について）。

報道によると、ハッキングにより内部認証画面が改ざんされ、日本政府の行動に対する非難メッセージが表示されるという。朝日新聞側の状況確認によると、29日午前の段階で少なくとも約1500台の機器の被害が確認されたとしている。修正プログラム未適用の機器が影響を受けた可能性があると述べている。

被害に関与したと見られる人物らは27日、SNS上で改ざんした画面と共に「これは私たちの最初の警告である」などとするメッセージを投稿していたという。セイコーソリューションズは新たな被害を避けるためにも早急なプログラム修正を呼びかけている。

日本医師会総合政策研究機構（日医総研）が8月24日に公開した「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために[PDF]」という文書が、SNS上で物議を醸しているようだ。その文章の内容は、医療機関とITベンダーの契約において、サイバー被害の責任をどのように分担するかについての内容。文書は、ベンダーからのリスク説明が不十分だった場合でも、「信義誠実の原則」に基づいて、既知の脆弱性についてベンダーが適切な情報提供を怠った場合、契約に明記されていなくても一定の責任を問うことができるように求めている（日医総研発表文書、上原 哲太郎氏のXポスト、ITmedia、The Key Questions）。

日医総研によると、保守契約の中に情報提供義務が明記されていないケースが多いという。こうした情報提供義務が明記されていない場合、ベンダー側に責任を問えるケースは「極めて少ない」。日医総研のアンケート調査（全数4件）によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったそうだ。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったとしている。

この文章に対してSNS上では文章で出す前に、情報提供義務を契約に明記すべきだという意見が多く見られる。ただ過去記事でも取り上げているように医療業界では、ランサムウェアを利用したサイバー攻撃による被害が増加しており、具体的な事例として、徳島県の拠点病院がサイバー攻撃を受けたり、大阪の医療センターが被害を把握できなかったりした例も出ている。とはいえ、医療機関側ではセキュリティ対策に予算が限られており、政府やITベンダーによる支援も必要ではないかといった意見も見られる模様。

東武鉄道と日立製作所は8月29日、2023年度内に共通プラットフォームを立ち上げて、生体認証を利用した「手ぶら決済」を実現することで合意した。同プラットフォームに個人の属性情報を登録すると、プラットフォームと接続された施設では、スマートフォンやICカードを使うことなく生体認証のみで、キャッシュレス決済やポイント付与、年齢確認などをワンストップで行うことができるようになる（東武鉄道リリース[PDF]、日立製作所リリース、Impress Watch、ITmedia）。

認証方式は指整脈認証と顔認証の2つの方式が利用できる。スマートフォンのブラウザに表示したQRコードを用いての認証も可能だという。最初に東武ストアに対応するセルフレジを導入する計画。セルフレジは年齢確認にも対応しており、店員による確認無しで酒類などが購入可能（特許出願中）だそうだ。このプラットフォームは将来的には鉄道や他の施設への導入を視野に入れており、社会インフラとしての役割を果たすことを目指しているとのこと。

総務省は8月30日、ヤフーに対して行政指導を実施した。発表文書によると、ヤフーは、Yahoo! JAPANの検索エンジン技術の開発・検証を目的として、NAVERに対して、特定の期間内に検索関連データを提供する試験を実施していた。この際、位置情報などの重要な情報について、事前にユーザー側に周知せずにNAVER社に提供したとされ、その情報の安全管理が不十分であったことが判明したとしている（総務省、ケータイ Watch）。

提供されたデータのなかには、約410万件の位置情報を含む約756万件のユニークブラウザの検索クエリなどが含まれていた。この間、提供されていた情報はNAVERにより物理的にコピーが可能だったことから、総務省は安全管理措置が不十分だったと指摘している。

この問題に関して総務省は、利用者に対し、提供される位置情報や利用目的を事前に十分に理解できるよう適切な方法で周知すること、情報提供に同意しない手段を用意すること、NAVERによる位置情報のコピーを物理的に不可能な状態にする措置を講じること、NAVERへの監査体制を構築することなどの対応を求めている。

日本情報経済社会推進協会（JIPDEC）は、プライバシーマークの審査員が、審査関連資料を漏洩したことを明らかにした。同協会に登録されたプライバシーマークの審査員1人が、同協会との契約に反して審査に関連する資料を自宅で保管。1事業者の審査関連資料が漏洩したことが判明したという。同協会では対象となる事業者に連絡、謝罪したとしている。詳細については外部協力のもと調査を進めているとのこと（JIPDECリリース、Security NEXT）。

Google Play で最近、不要ファイル削除や空きメモリ確保などを実行するシステムクリーナーアプリが多数削除されているようだ。

Internet Archive が昨年 10 月に保存した Google Play での「cleaner」検索結果のスナップショットをみると、リストアップされているアプリ 30 本のうち、現在は 20 本が削除されている。削除されたアプリの中にはインストール件数が 1 億回を超える「One Booster」や「Nox Cleaner」といったアプリも含まれる。また、「cleaner site:play.google.com」のGoogle検索結果では、最初の 10 本のアプリのうち 4 本が削除 (最初の 20 本では 10 本が削除) されている。

削除されたアプリ「SD Maid」「SD Maid 2/SE」の作者 Matthias Urhahn 氏 (darken) によれば、これらのアプリが「ストーカーウェア」ポリシーに違反するため公開を停止したという 2 件のメールが (おそらく 8 月 21 日の) 21 時 44 分に届き、16 分後の 22 時には 12 年間にわたりアプリを公開していた開発者アカウント darken の削除が通知されたという (作者の Google Play Developer Community 投稿、 Reddit のスレッド [1]、 [2]、 Android Police の記事)。

削除理由は開発者アカウントに関連付けられた高リスクまたは悪用のパターンを特定したため、Google Play デベロッパー販売 / 配布契約の 8.3 / 10.3 に従って削除する、というものだ。Reddit のスレッドでは明確にアプリ名は挙げられていないものの、他の開発者からもストーカーウェアポリシーでアプリが削除されたという報告がみられる。

Play Console ヘルプによれば、ストーカーウェアとは「適切な通知や同意なく、永続的な通知を表示せずに、デバイス上の個人情報や機密性の高いユーザーデータを収集、送信するコード」とされる。しかし、SD Maid のデータ セーフティ情報によれば収集するデータはアプリに関するもののみとなっており、プライバシーポリシーでも個人情報は収集しないと明記している。SD Maid 2/SE はオープンソースアプリでもある。

Urhahn 氏はGoogleに異議を申し立てているが、現在のところ受信確認と調査中の報告のみで、特に進捗はみられないとのこと。システムクリーナーアプリは効果が疑問視されることもあり、中には広告が多すぎると批判されるものもあるが、削除されていないアプリもある。最近削除されたすべてのアプリで実際にポリシー違反が確認されたのだろうか。スラドの皆さんのご意見はいかがだろう。

スラドでもたびたび話題になっている5ちゃん発のネタ宗教「恒心教」だが、その恒心教を名乗って、爆弾を仕掛けたという内容のファクスを東京音楽大学に送付、業務を妨害したとして、無職の大熊翔容疑者（26歳）と大学院生の佐藤直容疑者（22歳）が逮捕された（朝日新聞、産経新聞、テレ朝NEWS）。

二人は2023年1月、東京音楽大学に「高機能爆弾を334個仕掛けたナリ」と書かれた脅迫FAXを送信。金銭的な支払いも要求していた。警視庁によると、2人はネット経由で大量のFAXを送信するサービスを使用して脅迫FAXを送付。またTorやVPNを用いて発信元を特定できないようにしていた。2人は容疑を認め、同様の手法で送信された30万件以上のFAXについても関与を認めている。朝日新聞の見出しによると、二人の立件の鍵となったのは「聖地巡礼」で残した痕跡だったようだ（朝日新聞、その2）。

あるAnonymous Coward 曰く、

なお、逮捕されたうちの一人は、2021年度にサイバーセキュリティー人材育成を目的とした国立法人主催のプログラムに参加していたとのことで、いろいろこの方面で問題になるかもしれない

5月に静岡県で起きた住居侵入事件において、容疑者の36歳の男性が一人暮らしの女性宅に侵入する際、特殊な手法を用いて暗証番号を突き止めていたことが判明した（読売新聞）。

記事によると、容疑者は女性宅の玄関の暗証番号ボタンに透明な塗料を塗り、その後女性が帰宅して暗証番号を入力した後、特殊な光を当てることで光の反射の濃淡から4桁の番号を推定していたという。また、別の集合住宅でも同様の手法で女性を狙った事件が確認されているとのこと。地元警察は、玄関の暗証番号を複雑に設定するなどの防犯に関する啓発活動を行うとしている。