あるAnonymous Coward 曰く、

自宅から固定回線でインターネットに繋ぐ場合はゲートウェイルーターはほぼ必須ではあるが、そのセキュリティは果たして大丈夫なのかという問題がNHKのトピックとなった（NHK）。国内にあるおよそ19万の機器がインターネットを通じて外部からアクセスできる状態になっていて、このうち14万台近くがすでにサポートが終了していたり最新のソフトウエアに更新されていないとのこと。横浜国立大学の吉岡克成准教授の実験でルーターの情報を書き換えることが実証され、悪用されると不正なサイトに誘導されるおそれがある。

吉岡教授いわく家庭用ルーターを安全に使うための対策として
(1) 初期設定の単純なIDやパスワードは変更する
(2) ソフトウエアを常に最新の状態に保つ
(3) サポートが終了している機器は買い替えを検討する

とのことだが、問題は(3)のサポートが終了しているかの判断が不明瞭なことだとタレコミACは懸念している。コレガのサポート期間短縮やNECの完売から7年後までが守られていないとスラドでは話題になったのを諸氏は覚えているように、現にメーカー任せとなっていて一般人でも判断ができないという問題がある。コンシューマ向けルーターはWifi6やIPoE対応で買い替えの機運があるが、それが必要と思っていない家庭は買い替えまで進まない。そんな家庭にどう言えばいいのかお聞かせ願いたい。

1月16日、パキスタン国際航空のPK9754便が、荒天のため予定を変更してサウジアラビアの空港に緊急着陸したそうだ。その後再出発する手はずだったが、機長が離陸を拒否をしたという。理由は機長を務めていたパイロットが「勤務時間はすでに終わった」と主張したためだという。このことは一部欧米メデイアでも報じられて話題になったらしい（ニューズウィーク）。

ただニューズウィークの記事によれば、機長としては職場放棄を意図したものではなく、安全上の規定を重視したかったのだそうだ。この機は出発当時から遅延が生じており、サウジアラビアに緊急着陸した時点で機長の規定の就業時間を超えていたという。パキスタン民間航空局では、勤務時間を超過した者が乗務員として活動することを認めない規定となっており、機長としても注意力の低下による事故を未然に防ぐ意図があったとしている。

少し前にユーザー名を数字で登録するとバグが発生するという話題を紹介したことがあったが、似たようなことがパスワードでも発生しているようだ。＠mainyさんの「Qiita」上の記事によれば、パスワードの1文字目に「~(チルダ)」を使用すると問題があるのだという。同氏によると踏み台サーバー経由でサーバーAに接続して作業をし、サーバーA上でroot権限になろうと「sudo su -」し、上記の「~.xxxxxxxxxx」のような「~」から始まる条件のパスワードを入力したらサーバーAから追い出されてしまったという（＠mainyさんの記事）。

結論としては「~.」 は ssh 接続を閉じるコマンドであり、パスワードを入力しているつもりなのに、2文字目の . を入力した途端 ssh がサーバーAの接続を閉じて踏み台サーバーに戻るという現象が発生、結果としてパスワード入力中に接続が閉じられるという状況になってしまったという。なおパスワードの途中に「~.」があっても問題は無いそうだ。

4日から開始される北京冬季五輪。参加国の一部ではセキュリティ上の観点から選手などの参加者が使い捨てのスマートフォンを使う予定であることが報じられている。報道によるとこの方針を取っているのは米国、英国、カナダ、スイス、スウェーデン、ドイツ、オランダの7カ国の選手・コーチら約1000人。これらの国は中国の通信回線を通じた個人情報抜き取りや、中国政府から関係者にインストールが義務づけられている公式アプリ「MY2022」などへの不信感から、自国選手に私用スマホを持ち込まないよう要請したという。米FBIも1月31日に使い捨て端末を使うよう各団体に促したと報じられている（産経新聞、WSJ）。

こうした動きが広がっていることから、日本でもアプリの使用は必要最小限にとどめることや、帰国後は速やかに削除する、アプリを導入する端末を別途用意するべきだといった注意点を2日、スポーツ庁がJOCなどを通じて改めて選手側に注意したらしい（NHK）。

クレジットカード基盤を提供するメタップスペイメントは28日、同社のデータベースから最大46万件のクレジットカード情報が流出したと発表した。外部からの不正アクセスを受けて流出したとされている（メタップスペイメントリリース、ITmedia）。

流出した情報は2021年8月2日から22年1月25日までに決済で使われたクレジットカードの番号、有効期限、セキュリティコードなど46万395件。21年5月6日から22年1月25日までに実行された決済情報593件と加盟店情報38件であるとしている。同社の調査によれば、サーバへの不正ログイン、SQLインジェクション、バックドアの設置などさまざまな攻撃を受けていたことが判明しているという。今年の1月の段階で社内システムへの不正ログインやバックドアの存在などが確認されたとしている。

この影響で多くのサービスに影響が出ている。ITmediaの記事によれば、28日までにメタップスペイメントのクレジット決済サービス「トークン方式」や「イベントペイ」「会費ペイ」などを利用していた企業が謝罪のプレスリリースを公開する事態になっている。目立つものとしてAKB48グループチケットセンター、福山市スポーツ協会、日本赤十字社などの名前が挙がっている（ITmedia）。

あるAnonymous Coward 曰く、

攻撃の内容もサーバへの不正ログイン、SQLインジェクション、バックドアの設置など多岐にわたるようでいろいろ酷そうだ。カードの情報漏洩対策としては自前で実装せずに決済代行会社を使うのがまず定石だが、その決済代行会社がこれでは事態は深刻である。

headless 曰く、

Microsot は 7 日、主要な 5 つの Office アプリケーションでインターネットから取得した VBA マクロの実行をデフォルトでブロックする計画を発表した (Microsoft 365 Blog の記事、 Microsoft Docs、 Windows Central の記事、 Neowin の記事)。

対象となる Office アプリケーションは Windows 上の Access / Excel / PowerPoint / Visio / Word の 5 本。変更は 4 月初めに最新チャネル (プレビュー) での提供を皮切りにバージョン 2203 へのロールアウトを開始し、他のチャネルにも拡大していく。時期は未定だが Office LTSC / 2021 / 2019 / 2016 / 2013 での変更も計画しているという。

ブロックされるのはインターネットからダウンロードして NTFS パーティションに保存したファイルに含まれるマクロで、対象の Office アプリケーションで開くと通知バーにセキュリティリスクがある旨表示されて実行がブロックされる。通知バーにはサポート記事を表示する「詳細情報」ボタンが用意されるのみで、この画面でマクロの実行を許可することはできない。

マクロをデフォルトでブロックする動作はグループポリシーで有効化可能で、既に有効化している場合は変更の影響を受けない。なお、マクロを含むファイルのプロパティで他のコンピューターから取得したファイルへのアクセスを許可すれば、マクロは実行可能になる。

caret 曰く、

2022 年第 1 四半期の提供計画が示されていた Google Pixel 3 と Google Pixel 3 XL 最後のセキュリティ アップデート、通称サンセット (日没) アップデートの OTA 配信が開始された (9to5Google の記事)。

Google は配信内容を明らかにしていないが、これまでに発見された Android 12 のさまざまな不具合の修正が含まれているものと思われる。タレコミ子の手元の Pixel 3 にもアップデートが配信されていることを確認できたが、9to5Google が伝えている内容とは異なり、インストール後も Android セキュリティ アップデートの日付は "2021年10月5日" のままとなっている (※) 。このアップデートをもって、Google Pixel 3 / 3 XL に対するセキュリティ アップデートの提供は完全に終了した。

無料で Google フォトに写真と動画を元の画質で無制限にバックアップできる Google Pixel 3 / 3 XL 向けの購入特典も予告通り 1 月 31 日に終了した。Google フォトでは引き続き無料で「保存容量の節約画質」(旧名称「高画質」)で無制限にバックアップすることができる。

なお、Google による公式のサポートは提供されないものの、カスタム ROM をフラッシュすることによりユーザーはデバイスをさらに延命することが可能になる。個人的には Google Pixel 6 Pro を後継デバイスとして購入したが、端末のサイズが大きいため Google Pixel 3 をまだサブ端末として使用しており、近い将来 カスタム ROM のいずれかに移行することを検討している。

Google Pixel 3 / 3 XL を所有しているスラド諸氏は後継デバイスをすでに購入しただろうか。または今後もデバイスを継続利用する予定だろうか。

※ 編注: Android Open Source Project のビルド情報によれば、Pixel 3 / 3 XL 向けに配信された2月のアップデート(ビルド SP1A.210812.016.C1 / SP1A.210812.016.B1) のセキュリティパッチレベルは「2021-10-05」となっている。なお、Pixel 3 / 3 XL には緊急通報番号へ発信すると発生する問題のみを修正するパッチが 1 月に配信されていた。

北京冬季五輪の参加者に対して、中国当局が使用を義務づけている健康管理アプリ「MY2022」のセキュリティリスクから、先日、一部の参加国では選手団向けに使い捨てのスマートフォンを提供しているという話題を取り上げた。日本ではソフトウェアのチェックを行うとしたものの、他の国のように使い捨てのスマートフォンの提供などはしていなかった（内閣官房内閣サイバーセキュリティセンター[PDF]、読売新聞）。しかし、来月開催のパラリンピック以降は、日本選手団全員にアプリを入れるためのスマートフォンを貸与することを決めたとしている（NHK、テレ朝NEWS）。

この方針は日本パラリンピック委員会（JPC）が決めたもので、来月4日に開幕する北京パラリンピックに出場する日本選手25人やチーム関係者など合わせて66人に対し「MY2022」を入れるためのスマートフォンを貸与するとしている。

あるAnonymous Coward 曰く、

ロシアとの緊張が続くウクライナで15日、国防省や大手銀行などを狙った同国の歴史上過去最大規模のDDoS攻撃があり、WebサイトやATMなどが利用できなくなる事態となっていた（ブルームバーグ, ロイター, Engadget）。

現時点では攻撃元は特定されていないが、現在の情勢から当然ながらロシアからの攻撃であった可能性が指摘されている。ただしロシア側は否定している。

なおウクライナを巡る情勢では、ロシア軍は先週にも全部隊の集結を完了して、現在は拠点を出て攻勢開始地点まで移動しているとも報じられている。各国からの在留国民への退避期間も過ぎ、水曜日にも開戦との話があった一方、ロシア軍が一部で撤退した／撤退していないとの情報も出るなど、引き続き予断を許さない状況が続いている。

ウクライナ情勢に関しては日々変化している状態だが、ロイターなどによると17日にウクライナ東部の新ロシア派勢力は、ウクライナ政府軍から砲撃を受けたと主張しているそうだ。攻撃を受けたのはウクライナの東南部ドンバス地方にいる新ロシア派の独立主張勢力で、彼らはルガンスク人民共和国を自称している。ウクライナ東部紛争に関する停戦合意（ミンスク合意）に反して、迫撃砲で自分たちの領土を砲撃したと非難しているとされる（RIA通信、Sputnik、ロイター、The Jerusalem Post）。

これらの報道の発信元はSputnikやRIA通信といったロシア系メディアとなっている。米国は以前からロシアがウクライナ侵攻を正当化する ための「偽旗作戦」を準備しているとみており、今回の件はそれに当たる可能性がある。こうした報道を受けて17日の日経平均も一時下げている（CNN、市況かぶ全力2階建）。

ドコモが15日から迷惑メールを展示するWebサイト「迷惑メール展」を開催中だ（ITmedia、iPhone Mania）。個人情報の搾取を目的とするフィッシングメールやウイルスに感染させることを目的とするメールなど24件を展示している。展示されているメールは「通販」「クレジットカード・銀行」「ETC」「携帯キャリア」「その他いろいろ」といったカテゴリごとに分類されている。中にはメルカリなど具体名を出した事例もあるようだ。それぞれの実際の迷惑メールの文面と内容やフィッシングの具体的な手口、それぞれに関する対策方法などを紹介している。なお開催期間は3月18日までとなっている。