あるAnonymous Coward 曰く、

近年ではGitHubと連携するサービスが多々あるが、あるユーザーが「GitHubのコードで年収を査定してくれるサービスを使うため」という理由で、手元にあった会社のソースコードをそのままpublicリポジトリにアップロードして放置してしまい、それが発見されるという事件があり大騒ぎになっている（Togetter、経緯のまとめっぽいツイート）。

発端となったのはゲームを巡るTwtter上での炎上事件だったようで、炎上した結果個人情報などが調べられた末に、28日夜にGitHubに会社のコピーライト表記が入ったソースコードが公開されているのが判明。慌てた周囲の人が本人に問い合わせるも「それ単体では動かない」「商用利用していない」「GitHubは非公開にした」「デフォルトで公開になるとは思ってなかった」「コードから推定年収を計算してくれるサイトを使うために、手元にあったコードをすべてアップした」「どこで作ったコードか覚えていない」「明日営業さんに聞いてみる」と全く問題を理解していない感じの返答が続いて、逆に周囲が騒然となる事態となっている。

アップロードされていたソースのコピーライトとしては、SMBCやNTTといった企業の名が挙がっている。SNS上では、本人の危機意識の無さを嘆く一方、とばっちりでGitHub禁止令が出るのではと危惧する声や、多重請や派遣が溢れるのにコンプライアンス教育が徹底できるわけがないと業界構造の問題を訴える声も上がっている。

情報元へのリンク

日経クロステックによれば、この件を受けて三井住友銀行（SMBC）は流出したコードが行内システムのソースコードの一部と一致していたことを認めているという。セキュリティーに影響を与えるものではないことは確認済みだとしている。公開されていたコードは、複数ある事務系のシステムのエラーチェックに関するものだとしている。ITmediaによると関連する流出コードに対し、コピーライトに名前の出ている関係各社は対応に追われている模様（日経クロステック、ITmedia）。

あるAnonymous Coward 曰く、

TBS系列のJNNによると、新型コロナウイルス陽性患者・数千人分の個人情報の記載された福岡県の内部文書が少なくとも1か月以上に渡ってインターネットに公開されていたという（TBS NEWS）。

報道されたニュース映像では、氏名、年齢、性別、市区町村レベルの住所、詳しい症状といった要配慮個人情報がGoogle スプレッドシートで管理され、適切なアクセス制限が行われていなかったことが伺える。しかし、Google スプレッドシート文書は誤ってアクセス制限を行わなずに公開したとしても、ランダムに発行される共有URLを知らなければアクセスすることはできない。

発覚のきっかけは、去年11月末に神奈川県在住の無関係の男性の元に内部文書が送られてきたことだという。この男性は福岡県に連絡したものの、第三者が内部文書にアクセスできる状態が1か月あまりも続き、（おそらくは男性からの情報提供を受けた）JNNが取材したところ、1月6日になってネット上から削除されたとのこと。

漏洩の件数や内容を考えると重篤なインシデントと言えるが、男性に文書を送ったのは何者なのか？ どうして共有URLを知っていたのか？ なぜ無関係の男性に文書を送ったのか？ なぜ県は1ヶ月も放置したのか？ など、謎が尽きない。

情報元へのリンク

headless 曰く、

Google ChromeのOmnibox(アドレス・検索ボックス)にプロトコルを省略してURLを入力した場合、HTTPS接続をデフォルトにする計画が進められているようだ(Issue 1141691、 Ghacksの記事、 Windows Latestの記事)。

Chromeに限らず、多くのブラウザーではプロトコルを省略したURLが指定された場合はHTTPで接続する。たとえば、「example.com」を指定すれば「http://example.com」に接続する。ただし、HTTPSをサポートするWebサイトの多くはHTTP接続をHTTPSにリダイレクトするため、「srad.jp」を指定した場合は「http://srad.jp」経由で最終的に「https://srad.jp」が表示されることになる。Chromeではリダイレクトを記憶して次回からHTTPS接続する仕組みを備えるが、多くのWebサイトでHTTPSへの移行が進む中、デフォルトをHTTPSにすることでセキュリティとパフォーマンスの向上が期待できる。

5日にコミットされた最初の実装では「upgraded HTTPS navigations」という仕組みが導入され、ナビゲーションのデフォルトスキームとしてHTTPSが使われるようになる。HTTPSナビゲーションが失敗した場合にHTTPへフォールバックする仕組みや、この際のSSLエラーを無視する仕組みも備える。次のコミットではHTTPSナビゲーションに時間制限を設け、遅いHTTPSサイトでは一定時間経過後にHTTPへフォールバックする仕組みも追加された。ただし、現在の実装は最低限のものだといい、一般提供されるまでには時間がかかるようだ。

あるAnonymous Coward 曰く、

映画雑誌『映画秘宝』の岩田編集長が1月5日にラジオ出演後、出演番組に対して否定的なツイートをしていたツイッターユーザーにダイレクトメッセージ（DM）で「誹謗中傷され傷ついた。死にたい」というメッセージを送り付けた。

ユーザーが「こんなDMが映画秘宝公式アカウントから送られてきた」と晒したことから炎上。1月25日に映画秘宝編集部が謝罪をすることとなったが、その際にも編集部に問い合わせをしてきたユーザーの電話番号に謝罪のため直接電話をしたことが「個人情報の悪用で暴力的だ」とさらなる批判を受けることになった。

翌日の26日に映画秘宝編集部が再び謝罪することになったが、この騒動で『映画秘宝』が廃刊になるのではないかとの声も上がっている。
https://twitter.com/eigahiho/status/1353840069652541442

『映画秘宝』は1995年に洋泉社が創刊したが2020年2月に同社が宝島社に吸収合併したことから2020年3月号をもって休刊、岩田編集長が同年4月にオフィス秘宝を設立し6月号から復刊していた。

情報元へのリンク

なお雑誌「映画秘宝」の制作会社であるオフィス秘宝は、映画秘宝公式Twitterでの説明で岩田編集長はダイレクトメッセージ送付相手の電話番号を取得し、謝罪のために直接電話をかけるという行為もしていたと説明している。電話番号の入手の経緯などについては書かれていない。オフィス秘宝はこの件を看過することができないと判断しており、今回の件で岩田編集長に対して、断固たる処分を下すとする方針だとしている（映画秘宝公式Twitter、双葉社、日刊スポーツ、ITmedia）。

headless 曰く、

Windows 10でアクセスするとBSoDが発生するというパスをBleeping Computerが紹介している(Bleeping Computerの記事、 BetaNewsの記事)。

問題のパスは「\\.\globalroot\device\condrv\kernelconnect」というもので、先日NTFSの脆弱性を公表して話題になったJonas Lykkegaard氏が昨年10月、BSoDを引き起こす方法としてさらっとツイートしていた。当時は特に注目されなかったが、NTFSの脆弱性公表に伴って発掘されたようだ。このパスはコンソールドライバー(condrv.sys)を示すWin32デバイス名前空間パスだが、Lykkegaard氏はカーネルモード/ユーザーモードのプロセス間通信に使うものだと考えているという。このパスを使用するには属性の付加が必要だが、属性を付加しないでアクセスした場合に適切なエラーチェックが行われず、BSoDが発生するとのこと。

Bleeping Computerの記事ではBSoDが発生する操作の例としてGoogle Chromeでのアクセスと、インターネットショートカット(.urlファイル)の保存を挙げているが、手元の環境では新Microsoft EdgeやBraveなど他のChromium系ブラウザーや、FirefoxでもBSoDの発生が確認できた。一方、エクスプローラーやInternet Explorer、レガシーEdgeの場合、このパスをアドレスボックスに入力してEnterキーを押すとファイルが見つからないなどのエラーが表示されるのみで、BSoDは発生しなかった。ただし、このパスを示すインターネットショートカットをテキストエディターで作成して保存しようとするとBSoDが発生し、保存できなかった。

なお、Windows 10 Insider Preview(ビルド21292)上で試したところ、新Microsoft EdgeでBSoDは発生しなかったが、Google Chromeを含む他のChromium系ブラウザーやFirefoxでBSoDが発生する点は変わりなかった。また、Windows 8.1では上述のいずれの操作を実行してもBSoDが発生することはなかった。

sudoに10年近く前から存在したヒープベースのバッファーオーバーフロー脆弱性(CVE-2021-3156)がsudo 1.9.5p2で修正された(Sudo Stable Release、 Qualys Security Advisory、 The Registerの記事、 BetaNewsの記事)。

発見者のQualysが「Baron Samedit」と名付けたこの脆弱性はsudoが引数のエスケープを処理する方法に存在し、「sudoedit -s」コマンドにエスケープされていないバックスラッシュで終わる引数を指定して実行することによりヒープベースのバッファーオーバーフローが引き起こされる。この脆弱性を悪用することで、任意のユーザー権限の攻撃者がroot権限を取得できる可能性があるという。

脆弱性が導入されたのは2011年7月で、sudoのレガシー版1.8.2～1.8.31p2および安定版1.9.0～1.9.5p1が影響を受ける。上流では安定版のみが修正されているが、レガシー版を同梱するLinuxディストリビューションでは個別に修正が行われている。

日産の北米法人であるNissan North Americaで、社内ツールのソースコードがネット上に流出したと報じられている。原因はGitサーバーの設定ミスで、デフォルトのユーザ名「admin」とパスワード「admin」のままとなっていたという。この情報は1月4日からTelegramのチャンネルやハッキングフォーラムで共有され始めたそうだ。日産は5日に気がつき、サーバーをオフラインにした模様（ZDNet、GIGAZINE）。

この情報にアクセスしたソフトウェア・エンジニアTillie Kottmann氏は、ZDNetに対してGitリポジトリには次のようなデータがあったと回答している。

• Nissan NA Mobile apps（日産NAモバイルアプリ）
• some parts of the Nissan ASIST diagnostics tool（日産アシスト診断ツールの一部）
• the Dealer Business Systems / Dealer Portal（ディーラービジネスシステム・ディーラーポータル）
• Nissan internal core mobile library（日産の内部コアモバイルライブラリ）
• Nissan/Infiniti NCAR/ICAR services（日産インフィニティのNCAR/ICARサービス）
• client acquisition and retention tools（顧客獲得と保持のためのツール）
• sale / market research tools + data（営業とマーケティング調査のツールとデータ）
• various marketing tools（さまざまなマーケティングツール）
• the vehicle logistics portal（車両ロジスティクスポータル）
• vehicle connected services / Nissan connect things（自動車の接続サービス関連）
• and various other backends and internal tools（その他のバックエンドと内部ツール）

一部地域の郵便局では、マイナンバーカードの交付申請ができるようなっているが、同様の手続きを携帯ショップでも申請できるようにするという話があるそうだ。カードを発行している地方自治体の窓口は平日対応のみ。そこで休日も営業している携帯ショップを活用するという流れであるようだ。今年度中に方向性をまとめ、21年度中の実現を目指すとしている（SankeiBiz）。

携帯ショップが選ばれた理由として、本人確認の業務に慣れている点もあるという。政府はスマートフォンとマイナンバーカードの一体化を目指していることから、将来的には手続きの効率化も図れるという読みもあるようだ。

1月12日に元ソフトバンク社員が社内の営業秘密を不正に持ち出したとして警視庁に逮捕されたそうだ。この人物は2019年末にソフトバンクを退職し、楽天モバイルに社員として転職していたという（ケータイ Watch、ITmedia）。

12日のソフトバンク側の発表によれば、この人物はソフトバンクの4Gおよび5Gネットワーク用の基地局設備の情報を持ち出したとしている。顧客などの個人情報についてはアクセス権がなかったことから持ち出しはされていないとのこと（ソフトバンク）。

この発表を受けて、楽天モバイル側も同日にリリースを出している。従業員1名が、不正競争防止法違反の容疑により逮捕されたことは認めつつも、この従業員が前職により得た営業情報を業務に利用していたことはないと否定している（楽天モバイル）。

東洋経済の記事では、持ち出しの手法についての解説が行われている。これによれば、容疑者はソフトバンク在籍の最終日に社内サーバーに接続し、機密情報を自分の別メアドに送信するという単純な手法であったようだ。同記事ではソフトバンク側の情報管理体制にも問題があったと指摘している（東洋経済）。

AppleのワイヤレスヘッドフォンAirPods Maxで、数時間使用するとイヤーカップ内部に結露が発生することが話題になっている(Mac Rumorsの記事、 Forbesの記事、 9to5Macの記事、 iPhone in Canada Blogの記事)。

報告によれば、結露が発生するまでの使用時間は1時間～数時間で、外気温にかかわらず発生するという。耳を覆う形のヘッドフォンを気温の高いときに使用するとイヤークッションが汗で湿って不快なこともあるが、AirPods Maxのイヤークッションは湿っておらず、取り外すとアルミニウム製のイヤーカップ内部に結露がみられるとのこと。水滴が流れるほどの結露が発生することもあるようで、防水でないAirPods Maxでは故障の可能性もある。水と無関係な故障でも水没と判定されることを懸念する人もいるようだ。