Salesforceが提供しているサービスで、設定不備により顧客情報などが流出するトラブルが複数起きているようだ。内閣サイバーセキュリティセンター（NISC）も1月29日に注意喚起を求める文書を公開した（NISC[PDF]）。この文章では具体的な設定項目についての詳細は触れられていないが、日経クロステックの記事によれば、

「Salesforceサイトを有効に設定（インターネットに公開している）」などの3条件がそろうと、「セールスフォースが提供するクラウドサービスに保存した情報に第三者が特定の機能を用いてアクセス可能となり、情報が漏洩する可能性がある」

としている。同じ日経クロステックの別記事によると、1日までに楽天やPayPay、イオン、バンダイとBANDAI SPIRITSや 日本政府観光局（JNTO）[PDF]で、この設定不備の問題により顧客情報の流出が起きたとしている。この中の一番新しい被害と思われるバンダイの29日の発表によれば、氏名、住所、電話番号、メールアドレス、対応記録が第三者からアクセスされた可能性があるという。

なおITmediaの記事によると、NISCの担当者は現在の状況は「明らかになっているのは氷山の一角」と話している模様。Salesforce側は12月25日にこの問題に関する声明を発表しており、それによると、プラットフォームの脆弱性に起因するものではなく、公開サイト機能を利用ユーザーが適切な設定をしていないためことが原因としている（Salesforce）。

GitHubへの社内コード流出の件は、さまざまなところで波紋を呼んでいるようだ。コンピュータソフトウェア協会（CSAJ）は2日、「GitHubに関する対応とお願い」という声明を発表した（一般社団法人コンピュータソフトウェア協会、INTERNET Watch）。

簡単に言えば大手の発注元は、下請け企業などに対して、GitHubなどへのアクセスを禁止する方向に動かないでほしいというものとなっている。どうも今回の件で大手企業がGitHubへのアクセスを禁止する方向に動いている気配がある模様。このため、先のGitHubに関する対応とお願いでは、日本の抱える多重下請け構造のことやGitHubはソースコードを共有し合うサービスであり、開発の速度や質の面でも欠かせないサービスであると言うことを説得するような内容となっている。

同様にITmediaに掲載された「GitHubは悪者か? SMBCのソースコード流出から学ぶ、情報漏えいのリスク」という記事でも、

GitHubなどのエンジニアが利用するサービスを悪者にして一切の接続を禁止するといった“やったつもりのセキュリティ対策”はお薦めしません。

と同し懸念を指摘する一文が含まれている。こちらの記事では教育に力を入れて対処していくすべきだとしている。

nagazou 曰く、

NECなどの3社が2月18日「秘密計算研究会」を立ち上げたと発表した。この研究会はデータを暗号化したまま運用する「秘密計算」の普及を目的とした組織であるという。参加企業はNEC、デジタルガレージ、ソフトウェア開発企業のレピダム（秘密計算研究会、ITmedia、TECH+）。

公式サイトによれば、

秘密計算は、高度な暗号理論を用いて、データを暗号化した状態のままでデータベース処理、統計分析、AIによる分析などができる技術です。データ保護性が非常に高いクラウドサービスや、複数組織のデータを安全に共有・統合して1つのビッグデータとして利活用できるシステムを実現する技術として、期待されています。

とのこと。

秘密計算には「秘密分散」や「準同型暗号」を元に下した異なる方式が複数存在しているが、それぞれ独立して研究されてきたことから、安全性や性能などを一定のの基準で定量的に評価する方法が確立されていなかったという。秘密計算研究会は秘密計算における評価基準を策定し、秘密計算がクラウドなどの社会インフラ上に広く実装されることを目指すとしている。

先日のGitHubへの社内コード流出騒ぎを受けて、早速ソースコードがGitHub上に流出していないかをチェックするというサービス「LeakCop（リークコップ）」を始める企業が登場している。ASCIIの記事によれば、このサービスを始めるのはメタエクスという企業で、サービスは3月から開始予定とのこと。利用方法は利用者が監視用のキーワードをサービス上に登録すればよいという（PR TIMESに掲載されたリリース、ASCII）。

例えば、サービスに自社名などを含むソースコードのコピーライトを登録すれば自動でモニタリングを行うそうだ。流出検知時にはメールまたはSlackで通知するとのこと。現時点では料金体系などの詳細については不明。

Bloomberg Businessweekは2018年、Super MicroがAppleやAmazonに納入したサーバー用マザーボードにスパイチップが埋め込まれていたと報じて全方向から否定されているが、この話をBloombergが何か新しい情報でもあるかのように再び報じている(9to5Macの記事[1]、 [2])。

2018年の記事では、スパイチップは削った鉛筆の先よりも小さいマイクロチップで、中国人民解放軍の工作員が多層基板の層間に埋め込んだと主張していた。しかし、スパイチップを発見したとされるAppleとAmazonは記事の内容を否定しており、Super Microや米英の情報機関も否定した。技術上可能であるとしてもより簡単な方法があるのにこの方法を用いる必然性がないことや、調査のために情報を開示していなかったとしてもいったん報じられた後で否定するメリットがないことも指摘された。また、情報提供者の情報はすべて二次情報であり、存在を直接確認した人の証言はなかった。

今回の記事では2018年の記事が否定されたことに言及しつつ、Businessweekの報道は氷山の一角しかとらえられていなかったなどしてスパイチップ埋め込みは事実だと主張する。ただし、新しい情報も二次情報ばかりで、スパイチップ埋め込みとは無関係らしいサイバー攻撃の話題に紙面の4分の3ほどを費やしている。

nagazou 曰く、

ネット操作できるスマート貞操帯を装着していた人物がハッキング被害に合い、貞操帯の操作権をハッカーに奪われたというトラブルがあったそうだ。このトラブルに巻き込まれたのはサム・サマーズ（男性）さん。ハッカーはサマーズさんに対して、スマート貞操帯を解放してほしければビットコインでおよそ1,000ドルを支払うよう要求してきたという（Vice、GIGAZINE）。

サマーズさんは当初、パートナーによるいたずらだと思っていた。しかし、彼女に問い合わせたところ自分ではないと否定されたという。そして本当に貞操帯がハッキングされてしまったことに気がついたようだ。彼の下半身は檻の中に閉じ込められ、逃げる手段を失ってしまったという。サマーズさんは犯人に手持ちのビットコインを支払ったが、犯人たちはさらに高額な身代金を要求してきたという。

サマーズさんは諦め、最終手段としてボルトカッターを購入、出血しつつもスマート貞操帯を破壊したとのこと。なおハッキングされたスマート貞操帯は中国Qiui社製の「Cellmate Chastity Cage」という製品だったそうだ。

人気のChrome拡張機能「The Great Suspender」がマルウェア化し、GoogleはChromeウェブストアから削除するだけでなく、インストール済みの拡張機能をリモートから無効化したそうだ(Android Policeの記事、 The Vergeの記事、 Neowinの記事、 SlashGearの記事)。

The Great Suspenderは使用していないタブをサスペンドしてメモリ使用量を削減するオープンソースの拡張機能で、ソースコードはGitHubで公開されている。しかし、昨年6月に開発者が正体不明な新オーナーへのプロジェクト譲渡を発表し、10月にはGitHubでリリースされていない更新が公開されて怪しい動作をするようになったとの報告が出始める。この頃にはほぼマルウェア化確定との見方が広がっていたが、Googleは調査の結果問題なしとみなしていたようだ。

しかし、Googleは2月4日になって拡張機能の実行をブロックし、Chromeウェブストアからも削除する。これにより、ユーザーはサスペンドしていたタブを復元できなくなるトラブル(サスペンドしたタブのURLには元のURLが含まれるので、手作業で復元することは可能)にも見舞われることになった。

オープンソースのChrome拡張機能では昨年、Nano Defender/Nano Adblockerが新オーナーへ譲渡後にマルウェア化している。このケースも今回のThe Great Suspenderのケースと同様だが、長年プロジェクトを維持していた元の開発者が徐々に時間を取れなくなったことが譲渡の主な理由となっている。このようなケースは今後増えていくのだろうか。なお、昨年11月にMicrosoft Edgeアドオンサイトで人気拡張機能の偽物が複数発見された際、The Great Suspenderも含まれていたが、本件との関係は不明だ。

過去記事の通り、NVIDIAはビデオカード不足への対応のため、近く販売されるGeForce RTX 3060では意図的に暗号資産のマイニング性能を低下させ、ゲーマーなどに製品が行き渡るようにする措置を取った。そのマイニングユーザーへのビデオカードの代替品として18日にマイニング専用のGPU「CMP HX」シリーズを発表している（NVIDIA、PC Watch）。

このCMP HXシリーズではすでに4モデルについて発表が行われており、まず第1四半期中に「30HX」と「40HX」の2モデルが投入、続いて第2四半期に「50HX」と「90HX」が投入される。数字が大きいモデルほどEthereum Hash Rateが高く、メモリの搭載量の多いスペックの高いモデルとなる。特徴は電力効率をマイニング用途向けに最適化しているため、市販ビデオカードより投資コストが下げられるとしている。また、一つのCPUからより多くのGPUを制御できるようになっているという。

headless 曰く、

Google Playで1千万回以上インストールされているアプリ「Barcode Scanner」が12月4日のアップデートでマルウェア化し、デフォルトブラウザーで広告を表示するようになったとMalwarebyteが報告したところ、同名の古参アプリがマルウェアと誤解されてしまう事態になったようだ( The Vergeの記事、 The Registerの記事、 Android Policeの記事)。

マルウェアと誤解された同名アプリはZXing Teamによるもので、Android Market(現Google Play Store)スタート当初から公開されている最古参アプリのひとつだ。インストール件数は1億件を超えており、マルウェア化したアプリとは一桁違う。日本語版では「QRコードスキャナー」という名称になっているが、Google Playを英語表示にするとマルウェア化したアプリと同じ「Barcode Scanner」という名称が表示される。

Malwarebyteは最初の報告時点でマルウェア化した方のアプリは既に削除されていると説明しており、開発者を含め別物のアプリであることはスクリーンショットから確認できる。しかし、Google Playで「Barcode Scanner」を検索すると最初に表示される同名アプリということもあってか、マルウェアだと糾弾する1つ星レビューと間違いを指摘する5つ星レビューが多数投稿されることになる。

ただし、ZXingのアプリをアドウェア/マルウェアとする1つ星レビューが増加し始めたのは12月下旬のことだ。中には「ロゴが変わった(変わっていない)」「最近のアップデートをインストールしたらマルウェア化(最新版は2年近く前に公開された)」など別のアプリと間違えていると思われるレビューもあるが、詳細は不明だ。ZXingの開発者はAndroidのインテントが乗っ取られ、ZXintのアプリがデフォルトブラウザーで広告を表示しているように見えている可能性も否定できないとThe Vergeに語っている。

なお、マルウェア化した方のBarcode Scannerアプリについて、Malwarebyteでは開発者/提供元の変更により悪意あるコードが追加された可能性に言及していないが、Internet ArchiveでGoogle Playのスナップショットを見ると開発者/提供元が最近変更されているようだ。一番古い2017年5月のスナップショットではアプリ名の下に表示される開発者名と追加情報に表示される提供元がともに「Barcode Scanner」だが、2020年11月のスナップショットではGoogle Play Passで利用可能というバナーが追加され、提供元のみ「Google Commerce Ltd」になっている。ここまで開発者の住所や電子メールアドレスは変わっていないが、Malwarebyteの記事に掲載されているスクリーンショットでは開発者・提供元ともに「LAVABIRD LTD」となっており、住所や電子メールアドレスも変更されている。

なお、LAVABIRD LTDは現在4本のアプリをGoogle Playで公開しており、アプリケーションIDからみて他の開発者から買収したアプリのような雰囲気だが、特に問題が発生しているようには見受けられない。

東京ガスの運営する恋愛ゲーム「ふろ恋 私だけの入浴執事」で、ウェブ会員1万365件分のメールアドレスとニックネームが流出していたことが判明したという。同社リリースによれば、1月28日にウェブ版アプリ内で海外アダルトサイトに誘導するリンクがあったことが判明。不正アクセスが疑われることから調査をしたところ、29日の夜に不正アクセスが確認されたとしている。対応としてウェブ版アプリの運用を停止したとしている。原因等は調査中だとしている（東京ガス、公式Twitter、東京新聞）。

なお「ふろ恋 私だけの入浴執事」は

入浴執事「フロピスト」の男性達と交流することで癒やされる、“頑張るあなたへ贈るおかえり入浴アプリ”です。

だそうです（4Gamer）。