AMDが提供している「Platform Secure Boot(PSB)」は、同社製CPUの一部を他のシステムで使用できないようにするセキュリティ機能。このPSBがLenovo製PCの一部でデフォルトで有効化されているという。具体的にはLenovoの一般ユーザー向け製品とAMD Ryzen Proの組み合わせで有効化されているそうだ。問題はこのPSBが一度でも設定されてしまうと、そのCPUは設定されたメーカー以外のPCでは動作しなくなる点。このため特定メーカーでしか動作しないベンダーロックされたCPUが中古市場に出回るようになってしまったらしい。ロックさせた製品は外観では見分けが付かないことも問題になっている模様（Serve The Home、Cloudflare、reddit、GIGAZINE）。

あるAnonymous Coward 曰く、

組込屋的にオオッと思ったニュースを一つ
AMDのCPUにはセキュリティ関係の目的で一度書き込んだら消去不能なOTPメモリが搭載されているそうです
自分が明確に意図したつもりは無いのに、勝手にデバイスに消去不能なID設定みたいなことがされるとはちょっと薄気味悪い気もします

FPGAなどのデバイスにはかなり前から同様にセキュリティ用途の再書き込み・消去不能・ユーザー回路／アプリケーションからは読み出し不可能なメモリ／ヒューズが搭載されているのですが、PC用プロセッサでは初耳でした（IntelのCPUはどうなんでしょ？）
通常この種のメモリには普通のCMOSプロセスで製造可能で、書き換え可能とした場合の読み書き保証回数は1000回程度のものが使われています

主な Linux ディストリビューションに標準でインストールされるツールキット Polkit (旧名: PolicyKit) の最初のバージョン (12 年前) から存在したメモリ破損の脆弱性 (CVE-2021-4034) について、発見した Qualys が解説している (Qualys Security Blog の記事、 Red Hat のアドバイザリー、 Neowin の記事、 Ars Technica の記事)。

Qualys が Pwnkit と名付けた脆弱性は非特権ユーザーがrootの権限でコマンドを実行できるようにする Polkit の コマンドラインツール pkexec に存在する。pkexec の main() 関数ではコマンドライン引数の数 (argc) を適切に処理せず、常に 1 以上として扱うため、引数リスト (argv) が空の状態でも境界外のメモリを引数 (argv[1]) として読み書きしてしまう。

境界外の直近にあるのは 1 つ目の環境変数 (envp[0]) であり、pkexec は読み取った値を実行ファイルの名前として PATH 環境変数で指定されたディレクトリを探し、一致する実行ファイルが見つかったらパスを付加して envp[0] を上書きする。これにより、通常は main() 関数実行前に除去される「安全でない」変数を pkexec の環境に再導入することが可能であり、悪用することでローカルでの権限昇格が可能になる。

Polkit では argc が 1 未満の場合に処理を終了する修正を行っており、修正済みの Polkit パッケージが入手可能になり次第更新することが推奨される。

朝日新聞の記事によると、交通系ICカードをキーとして利用できるタイプのコインロッカーが出回っているが、そこから荷物の盗難が増加しているという。このタイプのロッカーでは、施錠完了の前に「使用可」のランプが消えることから、ロックしたと勘違いして被害に遭う事例があるとされ、同様の被害が増えているそうだ（朝日新聞）。ユーザーインターフェース的に問題があるような気がするとの指摘が出ており、はてなブックマーク上でこの問題に対する改善案の提示が行われている（はてなブックマーク）。改善案込みの人気コメントとしては、

最初にカード認証してから空きロッカーの扉が開く仕組みにしなきゃだめ。旧式のコインロッカーの延長線で開発するから変な手順になってミスが起こる。

や

施錠完了前にランプを消してしまうのではなく,点滅させるなど作業が完了していないことをわかりやすくするといいと思う。

といったものが出ている。

欧州宇宙機関 (ESA) が超小型人工衛星 OPS-SAT に対するサイバー攻撃のアイディアを募集している (ESA の記事、 The Register の記事、 特設サイト)。

OPS-SAT はフライトコンピューターの性能向上によるミッションコントロール機能などの改善をデモするため 2019 年に打ち上げられた 3U の CubeSat で、現行の ESA の他の宇宙機よりも 10 倍以上高性能なフライトコンピューターを搭載している。強固なセキュリティを誇る OPS-SAT は倫理的ハッカーが安全かつ現実的な環境でスキルをデモするのに最適な空飛ぶプラットフォームだという。

ESA が募集しているのはフランス・パリで 4 月に開催される CYSAT で実施するデモのアイディアで、日本を含む全世界から応募可能だ。締め切りは 2 月 18 日。アイディアは攻撃のシナリオが創造的で現実的かどうか、技術的に 2 か月間で実現可能かどうか、宇宙空間におけるサイバーセキュリティの重要性を誰にでも理解できるよう伝える可能性があるかどうかといった点で審査される。

2 月 25 日にはラウンド 1 として 6 つのアイディアが選定され、選定された各チームは ESA がトラブルシュートとテストのためミッションコントロールに保持している OPS-SAT のコピー「flatsat」を用いてデモの開発とテストを行う。3 月 31 日にはラウンド 2 として CYSAT でデモを行う 3 チームが発表される。3 チームにはパリまでの旅費が全額支給され、4 月 6 日 ～ 7 日の CYSAT で各 6 分間のデモを行うことになる。

昨年12月に埼玉県内の郵便局で、配達員が施錠された郵便受けを勝手に開け、定形外郵便を入れていたというトラブルが起きていたという。NHKの情報提供窓口「ニュースポスト」に投稿されたもので、投稿主の女性は3回同じことが続いたとしている。この郵便受けはダイヤルを回し、数字を合わせることで開閉するタイプだったそうだ（NHK）。

NHKがこの件に関して日本郵便に問い合わせたところ、該当地域を担当する配達員が、荷物が郵便受けに入らない大きさだったことから、施錠されていた郵便受けを勝手に開けて入れていたと話しているという。日本郵便は不適切な行為であると認め、各郵便局に対して再発防止を求めたとしている。

caret 曰く、

東京地下鉄（東京メトロ）は同社管理の全駅構内に設置しているゴミ箱を16日をもって撤去する。走行中の鉄道車両内での事件が相次いでおり、「セキュリティ強化の観点から撤去することとなった」という（J-CAST ニュース、BuzzFeed, 日テレNEWS24, 日本経済新聞）。

同社では1995年の地下鉄サリン事件の際や、2004年に発生したスペインでの列車爆破事件の後にゴミ箱を撤去。2005年からは不審物対策のため中身が見えるよう前面が透明パネルとなっているゴミ箱を設置していた。
また、国際会議など、要人来日時にもゴミ箱を使用できない状態にしていたが、今回は一概に特定の事件を受けて撤去するということではなく、現時点でゴミ箱を再設置する予定はないとしている。

なお、半蔵門線渋谷駅、東西線中野駅・西船橋駅などの他社管理の共同管理委託駅では引き続きゴミ箱が設置される。

米国ミズーリ州で昨年秋、州が管理するウェブサイトのソースコード上に学校教師、学校管理者、カウンセラーの社会保障番号の約10万人分の個人情報が平文で記述されている トラブルが起きていたという。この問題を発見して同州に報告し、被害を抑える立役者となったジャーナリストのジョシュ・ルノー氏が、なぜかミズーリ州から起訴されそうになっているらしい（Engadget）。

記事によれば、ミズーリ州のマイク・パーソン知事はルノー氏を「ウェブサイトをハッキングした」として犯罪者扱いしているそう。同州教育委員会のマギー・ヴァンデヴェン氏も、ウェブページにおけるソースコードの暗号化を解除し閲覧した」などと話していたとしているとのこと。ミズーリ州では、ウェブサイトのソースコードを見てしまうとその人は悪意あるハッカーとみなされてしまうのかもしれない。

2021年3月に発覚したLINE問題（その1、その2）をきっかけにして、総務省が「利用者情報」に関する法改正を進めようとしている。産経新聞によれば、規制強化策を基に電気通信事業法改正案がまとまり、17日に召集される通常国会に提出されることになったそうだ。この改正案では、サイト運営者やアプリ提供者などに対して、インターネットの閲覧履歴を第三者に提供する場合、閲覧者の同意を得ることが義務化されるとのこと（産経新聞）。

各紙の報道によれば、この最終方針がまとまる直前、経済団体などから個人情報の保護範囲について異論が出た。そのため内容が軌道修正されたようだ。具体的には楽天の三木谷浩史氏が代表理事を務める「新経済連盟」が強く反対したとされる（電気通信事業法の改正の方向性に対する懸念について）。一方でこの新経済連盟の意見に対して、一般社団法人MyDataJapanが反論するなど議論が噴出した（新経済連盟の「懸念」に対する懸念）。このため総務省は経済界などと調整のうえで改正案の内容を修正。

産経新聞の報道によれば、第三者提供で同意を得ることに関しては全ての企業に対してではなく、スタートアップ企業など小規模な事業者を例外とすることになったという（読売新聞、朝日新聞、ケータイ Watch）。

実は昨年から搭載が予告されていたことではあるのだが「ノートン 360」で、暗号通貨の採掘機能「Norton Crypto」が強制インストールされるよう仕様変更されたようだ。このNorton CryptoはPCがアイドル状態時にイーサリアムをマイニングする機能を持つものだそう。ネットでは簡単に削除できない、いったん有効化すると簡単にオフにできない部分も問題視されている。ノートン 360を購入したユーザーの多くはマルウェア対策やVPN、保護者機能などのセキュリティ対策目的で導入したと思われることから、このような暗号通貨機能が勝手にインストールされたことに対して批判が強まっている（Engadget、GIGAZINE、Krebs on Security）。

スイス軍が所属者全員に対し、公務での通信に WhatsApp やSignal、Telegram のような外国製のインスタントメッセージングアプリを使用せず、国産の Threema のみを使用するよう指示したそうだ (AP News の記事、 The Verge の記事)。

米国ではサーバーが米国外にあってもデータの開示を要求可能な CLOUD Act が 2018 年に成立するなど、法制次第で当局がテクノロジー企業の保持するどのようなデータにでもアクセス可能になることが懸念されており、スイス企業の Threema はその対象にならないことが指示の理由の一つだという。Threema はエンドツーエンドの暗号化に対応し、電話番号や電子メールアドレスを登録することなく完全匿名で利用できる。スイス連邦最高裁は昨年 4 月、インスタントメッセージングサービスは電気通信プロバイダーにあたらないとの Threema の訴えを認めており、スイスの電気通信法が義務付けるデータ保存の対象にもならない。

アプリは有料だが、スイス軍では所属者が無料で利用可能になったことを 12 月に Facebook ページで告知していた。なお、司令官に先月送られた通知では Threema の使用を義務付け、他のアプリの使用は認めないといった表現だったそうだが、軍の報道官は表現を「推奨」に和らげ、個人のデバイスで特定のアプリを使用するよう求めることはできないし、するつもりもないと述べたとのことだ。