あるAnonymous Coward曰く、

マイナンバーカードの読み出しライブラリを開発したことで知られるOSSTechの濱野司氏によると、パスポートの真正確認アプリを開発するため外務省に対しCSCA証明書（公開鍵）の情報公開請求を行ったところ、安全性及び国際慣行上の理由で不開示の決定を下されたとのこと（AAA Blog）。

しかし、公開鍵を公開しても安全と秩序が損なわれることはないし、国際的に外交手段でのみCSCA証明書を交換する慣行もないという。最終的にはドイツが公開しているマスターリストから日本国のCSCA証明書を抜き出すことで無事アプリを開発できたとのことだが、日本のPKIはどこへ向かっているのだろうか。

あるAnonymous Coward 曰く、

公開鍵暗号では公開鍵が一般公開され不特定多数がアクセスできることを前提としているが、それにも関わらず「公開鍵を公開したくない」「公開鍵を平文で送るな」「公開鍵をそのままサーバに保管するな」「公開鍵が盗聴される恐れがある」「公開鍵だけ送るのでは復号ができない」など、主張する人がいるそうだ（@illness072氏のTweet）。

これに対し、「そーゆー間抜けな人たちって、パスワード付きZipで暗号化すると満足したりしません？」という指摘も出ている（@masanork氏のTweet）。

サイト閲覧者の端末上でに無断で仮想通貨のマイニング（採掘）を行わせたとして不正指令電磁的記録保管の罪に問われていた男性に対し、横浜地裁が無罪判決を出したが（過去記事）、検察側はこれを不服として控訴したとのこと（弁護士ドットコム、ITmedia、日経新聞）。

横浜地裁はCoinhiveについて「人の意図に反する動作をさせるプログラム」としたもののの、不正な指令を与えるプログラムであるとは判断できないとの結論を出していた。

スマートフォン向けのマンガ配信アプリ「マンガワン」のAndroid版バイナリを改変して不正にマンガを閲覧していたとして、25歳男性が電磁的記録不正作出・同供用の疑いで書類送検された。

マンガワンでは毎日一定時間内はマンガを無料で閲覧できる仕組みになっているそうだが、この男性はアプリを改変することで閲覧可能時間を不正に「約6億秒」へ延長していたと報じられている（ITmedia、朝日新聞、産経新聞、共同通信）。男性はブログでその手口を公開していたという。

この男性はヤフーの社員とのことで、ヤフーは「疑いが事実であれば、大変遺憾であり、厳正に対処する予定」としている。

あるAnonymous Coward曰く、

Microsoftが配布した2019年4月のセキュリティ更新プログラムにより、Windows 7などのシステムが起動しなくなる問題が起きているようだ。

この問題は、SophosやAvastなどのアンチウイルスソフトウェアを使用し、かつWindows 7など一部のWindowsを利用しているユーザ。その上で4月の月例更新プログラムをインストールした場合に起きる模様。Microsoft側も13日にこの問題を認めている。

問題が発生する可能性があるのは、Windows 7/8.1およびWindows Server 2008 R2/2012/2012 R2で先のウイルス対策ソフトを導入しているユーザー。Microsoftは対策として、Windows 7と8.1のSophos、Aviraユーザー向けに、4月の更新プログラムを一時的にブロックする機能を実装したとしている（CNET Japan、窓の杜）。

FacebookがBusiness Insiderに対し、最大150万人のユーザーがサインアップする際に使用した電子メールアカウントから連絡先情報を無断収集していたことを認めたそうだ(Business Insiderの記事、 Mashableの記事、 The Guardianの記事、 SlashGearの記事)。

問題発覚のきっかけとなったのは、一部の電子メールサービスのアカウントを使用してFacebookにサインアップする際、電子メールアカウントのパスワード入力が求められると3月末に指摘されたことだ。パスワード入力が求められていたのはYandexなどoAuthに対応しない電子メールアカウントを確認するためとされていたが、批判を受けてFacebookは電子メールアカウントに送信したコードによる確認へ変更している。

ところが、変更前にBusiness InsiderがYandexで作成したアカウントを使用してFacebookへのサインアップを試したところ、パスワード入力後に「連絡先をインポート中」といったタイトルでキャンセル不能なダイアログボックスが表示されたのに続き、連絡先がなかった旨表示されたそうだ。Facebookによれば、電子メールパスワードによる確認とともに連絡先をアップロードするオプションを2016年5月以降削除したが、アップロード機能自体を削除しておらず、一部のユーザーが意図せずサインアップ時に連絡先をアップロードする結果となっていたようだ。

連絡先アップロード機能は電子メールパスワードによる確認処理の廃止に伴って機能しなくなったとみられるが、Facebookによれば最大150万人のユーザーが影響を受けるという。連絡先情報がアップロードされていたユーザーには個別に通知するが、連絡先情報は誰とも共有したことはなく、削除中だとも述べているとのことだ。

なお、Facebookが3月に数億人分のパスワードが可読状態で保存されていたと発表した際、影響を受けるInstagramのユーザーを数万人としていたが、18日にブログ記事が更新され、影響を受けるInstagramユーザーの数が数百万人に変更されている。

headless曰く、

英政府通信本部（GCHQ）の国家サイバーセキュリティセンター（NCSC）は21日、繰り返し使われているパスワード上位10万件のリスト「PwnedPasswordTop100k.txt」を公開した（NCSCのブログ記事、BetaNews、The Guardian）。

リストはTroy Hunt氏の協力の元、Have I Been Pwned?が収集した流出データから抽出したものだ。トップの「123456」は毎年のように最悪のパスワードに挙げられているが、Have I Been Pwned?のデータでは2,300万回出現するそうだ。49,562位の「oreocookie」でも3,000回以上出現するといい、リストに含まれるパスワードを使用している場合は即刻変更する必要があるとのこと。

弱いパスワードは使用者のデータが侵害される原因となるだけでなく、組織のネットワークが侵害される可能性もある。そのため、以前からGCHQでは繰り返し使われるパスワードのブラックリストを用い、システム側で設定できないようにすることを推奨している。リストの件数を100万件ではなく10万件にとどめたのは、ユーザーによる良いパスワードの選択を難しくしすぎず、弱いパスワードの選択を避けられるようにできるようバランスを考慮したものとのことだ。

自分が使用しているパスワードはリストに含まれていなかったが、スラドの皆さんが使用しているパスワードはいかがだろうか。

中国・華為技術（Huawei、ファーウェイ）のノートPCにプリインストールされているドライバに脆弱性があり、これを悪用することで不正に管理者権限を取得できる可能性があることをMicrosoftの研究者らが見つけた（Microsoft Defener Research Teamによるブログ、大紀元）。

ファーウェイに対してはその製品に中国政府がアクセスできるバックドアが設置されているという疑惑がかけられているが、ファーウェイはこの脆弱性については意図的に仕掛けたバックドアであることを否定、単純なソフトウェア上の欠陥であるとしている（Tom's Hardware）。また、この問題は2019年1月に修正パッチをリリースしているとのこと。

headless曰く、

TeslaのAutopilot機能を車載システムに侵入することなく攻撃する手法について、Tencent Keen Security Labが研究結果を公表している（Keen Security Lab Blog、SlashGear、Ars Technica、動画）。

Keen Security LabではTesla車のセキュリティ調査を以前から行っており、昨年のBlack Hat USA 2018ではTesla車のWi-Fi/3G通信機能を経由してAutopilot ECU（APE）に侵入し、のルート権限を取得する研究の成果を発表している。今回の研究ではルート権限を利用して外部からゲームコントローラーでハンドルを操作する手法に加え、車載カメラにadversarial exampleを撮影させ、自動ワイパー機能や車線検出機能のニューラルネットワークを混乱させる手法が検証されている。

従来の自動ワイパーではフロントガラスに落ちた雨粒による光の反射の変化を光センサーで検出する手法が用いられているのに対し、Teslaではカメラで撮影したフロントガラスの映像をニューラルネットワークで処理して降雨を判断しているという。研究ではカメラからの映像にわずかなノイズを加えることで降雨スコアが上昇することを確認しているが、映像を改変する攻撃は現実的ではない。そのため、車両前方に配置したテレビにノイズの画像を表示する実験を行い、ウォーリーノイズを表示した場合に降雨スコアが大きく上昇することを確認した。動画ではウォーリーノイズを画面に表示するとワイパーが動き出しており、先行車両のリアウィンドウや道路脇など、Teslaの魚眼カメラに写る場所へノイズ画像を表示することでワイパーを作動させることができるとみられている。

車線検出機能を混乱させる攻撃としては、車線を見失わせる攻撃と偽の車線を認識させる攻撃を検証している。車線を見失わせる攻撃では、カメラからの映像に強いノイズを加えたり、ペイント部分にパッチを加えたりすることで、ペイントが検出されなくなることが確認された。ただし、現実の道路でAPEが混乱するレベルまでペイント部分にステッカーなどのパッチを貼った場合、ドライバーが気付いてしまう可能性が高い。Teslaではペイントが消えかかっているなど状態の悪い道路の画像を学習させているとみられ、車線を見失わせる攻撃には強いようだ。一方、道路上に小さなステッカーをいくつか配置することで車線のペイントと誤認識することが確認されており、動画では車線を斜めに横切る形で数個のステッカーを貼るだけで対向車線に進ませるデモも行われている。

RubyGemsで3月26日、任意コード実行可能なバックドアを含むbootstrap-sass 3.2.0.3が公開されたそうだ(Snykの記事、 GitHub — Issue 1195、 Computingの記事、 CVE-2019-10842)。

発覚のきっかけとなったのは、このバージョンのコードがGitHubに存在しないことだ。その日のうちにバックドアを含むことが確認され、RubyGemsから削除されている。このパッケージをRubyGemsにプッシュできるのは2名のみで、いずれかのアカウントが不正にアクセスされたとみられている。2名とも既にパスワードを変更しているが、RubyGemsではプッシュしたアカウントを記録していないため、攻撃者がどちらのアカウントを使用したのかは不明だという。

この時点で安全な3.2.0.2はダウンロードできなくなっていたため、3.4.1へのアップグレードが推奨されていたが、4月3日には3.2.0.2と同じ内容の3.2.0.4が公開された。影響を受けたRailsアプリケーションについては、互換性の問題がない3.2.0.4に即刻置き換えることが推奨されている。Snykの調べによると、直接影響を受けるGitHubリポジトリだけでも約1,670件あるとのことだ。