14日頃からSNS上で多くのユーザーが「Amazon.co.jpを不正利用された」との報告が出ているという。一部の被害者は「Amazonギフトカードを大量購入された」または「二段階認証を設定していたにもかかわらず、それを突破された」と話している。中でも注文履歴が非表示にされ、被害者が不正利用に気付かないままクレジットカードの請求が届いたという報告もあったことが注目されている（ITmedia、Togetter）。

この被害者がAmazonのサポートに問い合わせたところ、似たような事例が多発していると説明されたという。最終的に被害額は全額返金されたと報告されている。Amazonはセキュリティ対策の一環として二段階認証機能を提供しているが、何らかの手段を使って二段階認証を突破されるケースが相次いでいる模様。また、不正利用分の購入履歴が非表示になることも共通しており、攻撃者はこれを利用して被害の発覚を遅らせている可能性があるとしている。

福井市に拠点を置く体臭対策関連サービス「ベネフィット-イオン」は9月4日、自社のECサイト「体臭対策ドットコム」が不正アクセスを受け、顧客のクレジットカード情報244件が漏えいした可能性があると発表した。漏えいした情報には、カードの有効期限とセキュリティコードも含まれている可能性があるという（ベネフィット-イオンリリース、ITmedia）。

2023年3月17日、一部のクレジットカード会社から、クレジットカード情報の漏洩懸念について連絡を受け、同日に「体臭対策ドットコム」でのカード決済を停止した。第三者調査機関による調査が5月19日に完了。その結果、2022年11月5日から2023年3月17日までの期間においてクレジットカード情報が漏洩、顧客情報が不正利用された可能性があることが確認されたとしている。

米テキサス州ルボックで、電子デバイスを使用して地域全体のATMから現金を盗んでいたとして2023年8月3日、3人の男が逮捕された。逮捕されたのはAbel Valdes（38歳）、Yordanesz Sanchez（41歳）、およびCarlos Jordano Herrera-Ruiz（33歳）（Nexstar）。

裁判所の文書によれば、彼らは西テキサス地域のATMを狙う窃盗グループとして知られていたという。裁判所の記録によれば、3人は犯行にRaspberry Piを使用、ラズパイをATMに接続してセキュリティシステムを無効にし、キャッシュドロアと呼ばれる現金の保管ブロックを取り外すことに成功していた。容疑者には逮捕される直前、50番街のATMから5700ドル以上を盗んでいたとされている。

昨年発生した LastPass の不正アクセスで攻撃者がコピー可能だったとされるパスワード保管庫について、実際にコピーされたデータの一部がクラックされ、暗号通貨の窃盗に用いられているとの見方が出ている (KrebsOnSecurity の記事、 The Verge の記事)。

ブロックチェーンワレットアプリ MetaMask の Taylor Monahan 氏によると、昨年末から 150 人以上が合計で 3,500 万ドル以上の暗号通貨盗難にあっているそうだ。被害者は長年の暗号通貨投資者でセキュリティ意識の高い人ばかりだといい、電子メールや携帯電話のアカウント侵害といった暗号通貨盗難の前触れとなるような攻撃も受けていない。

そのため、Monahan 氏は被害者の共通点を特定するのに苦労していたが、ほぼすべての被害者が「シードフレーズ」の保存に LastPass を使用しており、攻撃者が複数の被害者から盗んだ資金を同じブロックチェーンアドレスに送っているという結論に達したとのこと。

暗号通貨ワレット復元サービス Unciphered の Nick Bax 氏は Monahan 氏らが収集したデータを独自に分析し、Monahan 氏と同じ結論に達した。Bax 氏や Monahan 氏らはこのような特徴から新たな被害者を特定することにも成功している。

Bax 氏によればインタビューに合意した被害者の回答から得られた唯一の明白な共通点は LastPass にシードフレーズを保存していたことだといい、LastPass を使用する家族や知人にはパスワードの変更や暗号通貨の移行を強く勧めているとのことだ。

企業の公式サイトなどが改ざんされ、「破産手続きを開始しました」といったう虚偽の情報が表示される被害が相次いでいるという。鹿児島県で中華料理チェーン「餃子の王将」を運営する鹿児島王将は1日、不正アクセスによりホームページが改ざんされたと発表。破産手続きの情報はまったくの事実無根であると説明して警察に被害届を提出したとしている（ねとらぼ）。

ねとらぼの記事によれば、同様の被害が全国で報告されており、映像教材を提供する新宿スタジオや精肉店・ミートプラザニシジマ、多目的施設「湘南国際村センター」なども同様の改ざん被害を受けたとされる。改ざんされたページには実在する弁護士の名前が代理人として記載されているケースもあるが、そのような業務を受任したという事実はございませんと関係を否定している。

JR東の複数の連携サービスに対して一つのIDでログインできるようにするサービス「My JR-EAST」だが、公式ページによると来年以降にサービスの終了を検討しているという。このため新規会員登録を2023年10月3日から停止するとしている。終了時期と取り扱いについては後日通知される（My JR-EAST公式の新規会員登録の停止について）。

終了の理由等に関しては告知されていないものの、同じページ上でビューカードを装ったメールを送信し、偽のVIEW's NETログイン画面へ誘導するフィッシング詐欺への警告がおこなわれていること、2014年に「My JR-EAST」サービスで大規模な不正ログイン事件なども起きていたことも影響している可能性がある。

あるAnonymous Coward 曰く、

JR東日本がグループの共通IDサービス「My JR-EAST」を廃止し、各サービスごと別々のIDでのログインのみに戻すとのこと。
えきねっと、モバイルSuica、JREポイント、ビューカード、各種MaaSアプリなど、JR東日本グループは大量のネットサービスを抱えているが、共通IDの構築は失敗して乱立は解消できなかったようだ。

情報元へのリンク

トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8％がパスワードを複数のWebサービスで再利用しており、その中でも41.9％が2～3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8％、異なるパスワードを考えるのが面倒が48.6％を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている（日経クロステック）。

あるAnonymous Coward 曰く、

インテリジェンスデザイン株式会社は渋谷駅周辺に100台のAIカメラを設置してリアルタイムで人流データを取得・解析するプロジェクトを発表しているが、そのホームページで紹介されている事例が「ヤバい」と評判になっている。

「オフライン顧客の見える化」として紹介されているのが「性別・年代・同席者の性別・年代・着用している衣服のブランド・渋谷までの交通機関・昼食を取った場所・移動ルート・今月何回目の渋谷訪問か・前回の訪問日時・今年何度目の渋谷訪問か・商業ビルへの来店回数・前回の買い物履歴」などという実に生々しいもの。

「通年の行動データがリアルタイムで蓄積」とうたわれているだけあり、渋谷の公道を移動してるだけでこれだけの粒度で個人情報が保存されて前回訪問や同行者もデータ化されるというのは恐ろしい。

なおこの記述は高木弘光氏が
https://twitter.com/HiromitsuTakagi/status/1697213910267642105
と、問題視したことを受けたのか

https://idea.i-d.ai/shibuya-project/
「当サイト内にて誤解を招く表現がある箇所について内容を一部修正致しました。」と削除されている。

過去のヤバイ記述はこちら。
https://web.archive.org/web/20230804024613/https://idea.i-d.ai/shibuya-project/

ニュースとして報道されたときにはイベント警備の問題解決が主目的のように報じられていたが、詳細な通行人のデータを企業に売ることが目的だったとはビックリだ。
https://www.excite.co.jp/news/article/Techable_210770/
「渋谷駅周辺にAIカメラ100台設置！人流データを解析し、イベント混雑時の警備問題の解決へ」

伝統的な銭湯の下駄箱の鍵をデジタルガジェットにしてしまうというアイデアを実行した人がいるらしい。銭湯や居酒屋などでは、⽊札（下⾜札）を挿すタイプの下駄箱が使用されていることが多い。あの木製のカギはやや大きいが持ったときの物質感や⼿触り感があり独特の存在感がある（EMEDINE Style、動画）。

このため制作者であるNEKOPLA（ねこぷら）氏は、こうした下駄箱の鍵のデザインや感触に魅了され、これを日常的なアクションに応用できないか考えた。その結果、コンピュータのロック装置として使えるデジタル下駄箱を作成したという。木製の下駄箱の鍵を作り、この鍵をUSB接続してコンピュータに接続。鍵の挿抜動作を検知するスイッチを内部に組み込み、鍵を抜くとコンピュータがロックされ、鍵を挿すとロックが解除されるようにプログラムしたそうだ。実用性はなさそうだが記事では実際の制作過程についても紹介されている。

英教育省は 8 月 31 日、強化された軽量気泡コンクリート (RAAC) に対する安全対策が行われていない教育機関の建物について、イングランドでの使用中止を勧告する新ガイダンスを発表した (ガイダンス、 ニュースリリース、 The Education Hub の記事、 The Guardian の記事)。

RAAC は教育機関の建物で 1950 年代から 1990 年代半ばにかけて用いられており、この期間に建設または増改築された学校などの建物には例外なく含まれているという。英政府ではこのような建物の危険性を認識して対策を進めてきたが、最近の状況から未対策の RAAC を含む場所を使用し続けるべきではないと判断したとのこと。

イングランドでは 156 の学校で RAAC が用いられているが、安全対策が行われているのは 52 校に過ぎない。ただし、残り 104 校でも全面閉鎖が必要になるわけではなく、中には教室単位での使用中止で済むものもあるとのことだ。

朝日新聞などの記事によると、セイコーソリューションズが発売している業務用ルーター「SkyBridge」と「SkySpider」の脆弱性を突いて、東京電力福島第一原発の処理水放出に対する抗議メッセージが表示されるように画面が改ざんされる被害が多発しているそうだ。原因となった脆弱性に関しては2023年2月には問題が判明しており、セイコーソリューションズからは対応ファームウェア等は提供済みだった（IPA、朝日新聞、TECH+、【再掲】SkyBridge MB-A100/110/200・MB-A130シリーズ・SkySpider MB-R210の脆弱性と対応について）。

報道によると、ハッキングにより内部認証画面が改ざんされ、日本政府の行動に対する非難メッセージが表示されるという。朝日新聞側の状況確認によると、29日午前の段階で少なくとも約1500台の機器の被害が確認されたとしている。修正プログラム未適用の機器が影響を受けた可能性があると述べている。

被害に関与したと見られる人物らは27日、SNS上で改ざんした画面と共に「これは私たちの最初の警告である」などとするメッセージを投稿していたという。セイコーソリューションズは新たな被害を避けるためにも早急なプログラム修正を呼びかけている。

日本医師会総合政策研究機構（日医総研）が8月24日に公開した「サイバー事故に関し システムベンダーが負う責任:医療DXを推進するために[PDF]」という文書が、SNS上で物議を醸しているようだ。その文章の内容は、医療機関とITベンダーの契約において、サイバー被害の責任をどのように分担するかについての内容。文書は、ベンダーからのリスク説明が不十分だった場合でも、「信義誠実の原則」に基づいて、既知の脆弱性についてベンダーが適切な情報提供を怠った場合、契約に明記されていなくても一定の責任を問うことができるように求めている（日医総研発表文書、上原 哲太郎氏のXポスト、ITmedia、The Key Questions）。

日医総研によると、保守契約の中に情報提供義務が明記されていないケースが多いという。こうした情報提供義務が明記されていない場合、ベンダー側に責任を問えるケースは「極めて少ない」。日医総研のアンケート調査（全数4件）によると、システムの保守契約において、ベンダーが脆弱性情報などのリスクについて医療機関に知らせる義務を明記している事例はなかったそうだ。実際に脆弱性情報を知らせた事例は1件で、サイバー攻撃による損害の一定割合をベンダーが負担した事例も1件にとどまったとしている。

この文章に対してSNS上では文章で出す前に、情報提供義務を契約に明記すべきだという意見が多く見られる。ただ過去記事でも取り上げているように医療業界では、ランサムウェアを利用したサイバー攻撃による被害が増加しており、具体的な事例として、徳島県の拠点病院がサイバー攻撃を受けたり、大阪の医療センターが被害を把握できなかったりした例も出ている。とはいえ、医療機関側ではセキュリティ対策に予算が限られており、政府やITベンダーによる支援も必要ではないかといった意見も見られる模様。

東武鉄道と日立製作所は8月29日、2023年度内に共通プラットフォームを立ち上げて、生体認証を利用した「手ぶら決済」を実現することで合意した。同プラットフォームに個人の属性情報を登録すると、プラットフォームと接続された施設では、スマートフォンやICカードを使うことなく生体認証のみで、キャッシュレス決済やポイント付与、年齢確認などをワンストップで行うことができるようになる（東武鉄道リリース[PDF]、日立製作所リリース、Impress Watch、ITmedia）。

認証方式は指整脈認証と顔認証の2つの方式が利用できる。スマートフォンのブラウザに表示したQRコードを用いての認証も可能だという。最初に東武ストアに対応するセルフレジを導入する計画。セルフレジは年齢確認にも対応しており、店員による確認無しで酒類などが購入可能（特許出願中）だそうだ。このプラットフォームは将来的には鉄道や他の施設への導入を視野に入れており、社会インフラとしての役割を果たすことを目指しているとのこと。

総務省は8月30日、ヤフーに対して行政指導を実施した。発表文書によると、ヤフーは、Yahoo! JAPANの検索エンジン技術の開発・検証を目的として、NAVERに対して、特定の期間内に検索関連データを提供する試験を実施していた。この際、位置情報などの重要な情報について、事前にユーザー側に周知せずにNAVER社に提供したとされ、その情報の安全管理が不十分であったことが判明したとしている（総務省、ケータイ Watch）。

提供されたデータのなかには、約410万件の位置情報を含む約756万件のユニークブラウザの検索クエリなどが含まれていた。この間、提供されていた情報はNAVERにより物理的にコピーが可能だったことから、総務省は安全管理措置が不十分だったと指摘している。

この問題に関して総務省は、利用者に対し、提供される位置情報や利用目的を事前に十分に理解できるよう適切な方法で周知すること、情報提供に同意しない手段を用意すること、NAVERによる位置情報のコピーを物理的に不可能な状態にする措置を講じること、NAVERへの監査体制を構築することなどの対応を求めている。

日本情報経済社会推進協会（JIPDEC）は、プライバシーマークの審査員が、審査関連資料を漏洩したことを明らかにした。同協会に登録されたプライバシーマークの審査員1人が、同協会との契約に反して審査に関連する資料を自宅で保管。1事業者の審査関連資料が漏洩したことが判明したという。同協会では対象となる事業者に連絡、謝罪したとしている。詳細については外部協力のもと調査を進めているとのこと（JIPDECリリース、Security NEXT）。