2019年6月に国会で改正動物愛護法（「動物の愛護及び管理に関する法律等の一部を改正する法律」）が成立した。この法律では犬や猫に対して、飼い主などの情報を付与したマイクロチップ埋め込みの義務付けが求められる。合わせて環境省は8日、指定登録機関に関する省令の公布を行った。2021年6月1日から犬や猫に飼い主情報を記録したマイクロチップの装着が求められる（環境省、読売新聞）。

具体的には、犬猫の繁殖業者等に識別番号が記録されたマイクロチップの装着・登録が求められるほか、登録された猫を所有した場合も情報の登録や変更届出を義務付けている。読売新聞によると、このマイクロチップは直径約2ミリ、長さ約8~10ミリほどで、犬猫の背中付近に埋め込むという。識別番号は環境省のデータベースで管理されており、専用リーダーで読み込むことで飼い主情報が把握できるとのこと。

2021年から「安全帯の規格」が法令が改正され、高所作業などで工事業者などの装着する墜落防止器具（ハーネス）に関しては「フルハーネス」型が原則義務化されることとなった。なぜかこのことが話題になっているらしい。理由は人体への固定方法がシドニアの騎士に出てくるような胴ベルト型安全帯（旧:A種安全帯）から進撃の巨人の立体機動装置のようなフルハーネス型に変更されたからであるようだ（Togetter、厚生労働省 「安全帯の規格」を改正した新規格「墜落制止用器具の規格」を告示しました、安全帯が「墜落制止用器具」に変わります！[PDF]）。

Togetterなどのまとめによれば、22年1月から装着が義務化されることもあり、関係する仕事をする人たちの間でフルハーネス型安全帯の装着講習が行われている模様。進撃の巨人のあのイメージもあって、スムーズに移行が進んでいる模様。なお旧来のベルト型は落下時の衝撃で内臓とか背骨にダメージが起きやすい問題が指摘されていたそうだ。フルハーネス型ではダメージが減らせるとしている。

IPA（独立行政法人情報処理推進機構）とJPCERT/CCは9日、NEC製無線LANルータ「Aterm」の一部機種に複数の脆弱性があるとする報告を行った。情報の詳細は脆弱性情報サイト「JVN」にて公開されている（JVN、JVNその2、ケータイ Watch、マイナビニュース）。

報告されている脆弱性は、任意のスクリプトが実効可能となるクロスサイトスクリプティング（CVE-2021-20680）とUPnPが有効となっていると第三者から任意のOSコマンドが実行となるOSコマンドインジェクション（CVE-2014-8361）の二つ。JVNに記載されている影響を受ける機種とファームウェアの対応状況はケータイ Watchの記事に詳しい。すでに対策のためのファームウェアが提供されているものも多いが、提供予定なしとする機種も多いので各自確認することをお勧めしたい。

総務省は8日、業務を委託していた企業がランサムウェアに感染し、業務関係者約6700人余りの個人情報が流出した可能性が高まっていると発表した（総務省、ランドブレイン、NHK、Security NEXT）。

感染したのはコンサル会社であるランドブレインのサーバーで、2月23日にサーバがランサムウェアへ感染したのを確認、2月25日に総務省に連絡があったとしている。ランドブレインが受託していた三つの事業で6745人分の個人情報が流出した可能性があるとしている。流出したのは氏名、電話番号、メールアドレスとされているが、消防庁担当4名ほどに関しては口座情報も流出した模様。

NHKによれば、その他の自治体や省庁から委託された業務関係の個人情報が流出した可能性もあるとしている。

情報処理推進機構（IPA）は30日、8年ぶりに「企業ウェブサイトのための脆弱性対応ガイド」を改訂した。この改訂はIPAが実施した従業員50人以下の小規模ウェブサイト運営者を対象としたアンケート調査結果を踏まえたものだという（小規模ウェブサイト運営者の脆弱性対策に関する調査報告書[PDF]、Security NEXT）。

こうした運営者に脆弱性対策の状況について聞いたところ、「構築時も運用時も脆弱性対策をしている」とした回答者は48.8％。「運用時にのみ脆弱性対策している」とした回答は22.9％であった。「一切脆弱性対策をしていない」とした回答者は全体の9.6％ほどいたとしている。脆弱性対策を行わない理由としては、「個人情報を扱っていないから」（51.8％）、「クレジットカード等の決済を行っていないから」（38.6％）、「サイトが著名でないので、被害に遭うとは考えにくいから」（27.7％）とする回答が上位を占めたとしている。

KDDIが日本国内の携帯契約者のユーザー情報を香港にあるサーバーで管理していたことが分かったそうだ。日経新聞やNHKの報道によれば、保管していたのは海外ローミングサービスを利用しているユーザーデータのうち、携帯番号と通信利用量のデータ。氏名など個人を特定できる情報は含まれていないとしているが、LINE問題を受けてKDDIはデータの国内への移管を検討するとしている（日経新聞、NHK）。

あるAnonymous Coward 曰く、

エン・ジャパン社が運営する求人サービス「engage」は4月5日、外部からの不正アクセスにより画像・動画が全て消失する事態が発生したと発表した（プレスリリース, ITmediaの記事）。

詳細は不明だが、サーバー内の画像及び動画データを格納するフォルダが全て消失しているという。削除されたデータの復旧を試みたものの、完全に復旧することも不可能な状態だという。個人情報を管理しているサーバーへのアクセスは無く、個人情報の流出は確認されていないとしている。

再発防止策に「セキュリティ強化の実施」「全ての情報を定期的に保管」とあるので、画像や動画はバックアップを取っていなかった系だろうか？スラド諸氏もご注意されたし。

情報元へのリンク

あるAnonymous Coward 曰く、

4月5日の夜頃から、5chなどでAtlassian社のタスク管理ツール「Trello」を公開設定で使っている企業の情報がGoogle検索などで表示されることが見つかり、就活生の個人情報や不採用理由などが丸見えになっていると漏洩騒ぎになっているようだ（ITmedia、Twitterのまとめ）。

「Trello」は無料で使用可能なカード型のタスク管理ツール。ボードの公開範囲を「private」にすることで関係者のみに閲覧させることができるが、何故か「public」にしている例が多々あるようで（デフォルトがpublicという話もあるが、タレコミ子が確認した限り現時点ではデフォルトはprivateで、publicに変える時も警告がでる）、それがGoogle検索でヒットしてしてしまい、どうみても部外秘の情報が見えてしまっているらしい。

採用などに使われている例が多々あるようで、漏洩した情報としては「就活生の個人情報」「採用/不採用理由」「パスワードやクレカ情報のメモ書き」「パスワードリスト」「水商売やAV女優の個人情報」「ネタ帳」「社員の愚痴」「スケジュール表」「パパ活情報」「役所の情報」「アムウェイの勧誘リスト」等々多岐にわたっているという。Trelloを利用している方は、直ちに公開範囲を再チェックしましょう。

情報元へのリンク

富士薬品は3月24日、ビジネス版LINEである「LINE WORKS」で、誤操作により友だち登録している顧客160人を含めたトークルームを作成、それによりニックネームとアイコンといった顧客情報が相互に閲覧できる状態となってしまったと発表した（富士薬品、Security NEXT）。

顧客側で公開範囲を「全体公開」として設定している場合、LINEタイムラインへの投稿が、トークルーム内の顧客間でお互いに見られる状態になっていた。ただしトークルーム内での投稿などは行われなかったとしている。Security NEXTの記事によれば、富士薬品側がLINE WORKSを提供しているワークスモバイルジャパンにトークルームの削除方法を問い合わせたところ、削除手段は提供されていなかったとしている。このため、富士薬品は対象となる160名の顧客に対して個別にトークルームから退出してもらうように電話で案内したとしている。

京都市立芸術大学は31日、4月に入学予定の学生135人の個人情報を流出させたと発表した。原因はメールアドレスの打ち間違い。事務局職員から教員にクラス分け用の情報をメールで送信した。そのときメールアドレスのドメインを本来は「gmail.com」とするところ「gmai.com」と誤入力したまま送信してしまったそうだ（京都市立芸術大学、朝日新聞）。

流出したのは美術学部に入学の学生135人の志望科・氏名・ふりがな・性別・出身校名。大学のリリースによれば、誤送信先にメールの消去を依頼するメールを送信したものの、返答などは無かったとのこと。現時点では不正利用などは確認されていないとしている。

headless 曰く、

PHPメインテナーのNikita Popov氏は3月28日、独自にgitインフラストラクチャーを維持するのは不要なセキュリティリスクになるとして、git.php.netを廃止してこれまでミラーだったGitHubのリポジトリを正規のリポジトリにする計画を発表した(PHPのニュース記事、 The Registerの記事)。

GitHubへの移行のきっかけとなったのは、3月28日にPHPクリエイターのRasmus Lerdorf氏とPopov氏の名前で不正なコミットが行われたことだ。不正なコミットに含まれるのは、User-Agent HTTPヘッダーの文字列が「zerodium」から始まっている場合にヘッダー内のコードを実行するコード。まずLerdorf氏の名前でコミットされ、Popov氏がコミットを取り消したが、Popov氏の名前で取り消しが取り消されている。まだ攻撃の全容は明らかになっていないが、個別のアカウントが侵害されたのではなく、git.php.netのサーバーが侵害されたとしか考えられないという。そのため、調査を続ける一方でGitHubへの移行を決めたとのこと。

GitHubに移行することで、リポジトリへの書き込みアクセスを行うにはphp organization(組織アカウント)のメンバーに含まれるGitHubアカウントが必要となる。まだ組織アカウントのメンバーになっていない場合や、可能なはずのアクセスができない場合にはPopov氏に連絡してほしいとのこと。なお、組織アカウントのメンバーになるには2要素認証を有効にする必要があるとのことだ。

英国の中央銀行であるイングランド銀行は25日、50ポンド新ポリマー紙幣の最終デザインを公開した(ニュースリリース、 The new £50 note、 The Registerの記事、 The Vergeの記事)。

イングランド銀行は50ポンド新ポリマー紙幣に科学者の肖像をデザインするため人気投票を2018年に実施し、2019年にアラン・チューリングを選定してコンセプトデザインを公開していた。最終デザインでもチューリングに関連する部分はコンセプトデザインから大きく変更されておらず、1951年に撮影されたチューリングの写真とAutomatic Computing Engine (ACE) プロトタイプの写真やBritish Bombeの設計図、チューリングの論文に記された表と計算式、チューリングの生年月日を2進数表記したティッカーテープなどが配される。

このほか、見る角度によって「Fifty」と「Pounds」に切り替わるホログラムや、表面と同じエリザベス女王の肖像とコンピューターチップがデザインされた大きな透かし、ブレッチリーパークの建築的特徴をフィーチャーした小さな透かしといった偽造防止機能を備える。50ポンド新ポリマー紙幣はチューリングの誕生日でもある2021年6月23日に発行される。これにより、英国のポリマー紙幣はすべての額面(5・10・20・50ポンド)が揃うことになる。

headless 曰く、

Googleは23日、Chrome 90以降でプロトコルを省略したURLが入力された場合のデフォルトをHTTPSにすると発表した(Chromium Blogの記事、 Neowinの記事、 Android Policeの記事、 Softpediaの記事)。

現在のところChromeを含む多くのブラウザーではプロトコルを省略したURLが入力された場合、HTTPで接続する。HTTPSをサポートする多くのサイトでは自動でHTTPSにリダイレクトされ、Chromeではリダイレクトを記憶して次回からはHTTPSでアクセスする仕組みを備える。ただし、Internet ArchiveのようにHTTPSをサポートしながらHTTPアクセスをリダイレクトしないサイトもある。

現在ではHTTPSをサポートするサイトが主流になっているため、デフォルトをHTTPSにすることで最初のアクセス時の読み込み速度が改善するほか、セキュリティも向上する。そのため、GoogleではChromeのデフォルトHTTPS化計画を進めていた。

デフォルトHTTPS化は当初、デスクトップ版とAndroid版のChrome 90でロールアウトし、その後iOS版が続く計画だという。HTTPSをサポートしないサイトや、証明書エラーが発生した場合にはHTTPにフォールバックする仕組みも備える。

なお、現在Chrome Betaはバージョン90、Chrome Devはバージョン91となっているが、まだデフォルトはHTTPのままのようだ。一方、Chrome Canary 91ではデフォルトがHTTPSになっている。Chrome 90安定版は4月13日にリリース予定だ(Chrome Platform Status)。

ネット証券大手の松井証券の業務委託先企業の社員が、顧客のIDなどを不正に入手して勝手に有価証券の売却や現金の不正送金などを行ったとして3月24日に逮捕された。逮捕されたのは開発会社「SCSK」の社員相根浩二（42）で、電子計算機使用詐欺・不正アクセス禁止法違反などの容疑がかけられている（松井証券リリース[PDF]、SCSKリリース[PDF]、NHK、ITmedia、時事ドットコム、日経新聞）。

松井証券の発表によれば、同容疑者は2017年6月29日から2019年11月12日の期間、業務上付与された権限を利用して、顧客IDやパスワード、暗証番号を入手し顧客の有価証券の売却。その売却代金を不正に入手していたとしている。同社や警察の調査によれば被害に遭った顧客の人数は15人で被害総額は約2億円に及ぶとのこと。

SCSK側も同時にリリースを発表している。同社は2020年1月に松井証券から身に覚えのない取引があったと連絡があり、それから調査を開始したという。調査の過程で相根容疑者が不正出金していたことが判明したことから警察に届け出たとしている。

3月20日に開催されたKernel/VM探検隊online part2で、HDMI探検隊と題するセッションがあったようだ。発表者は元セキュリティ系エンジニアで現在は映像系に関わっているというみっきー（mzyy94）さん。テーマはHDMIに関するもの、Raspberry Piを使用してHDMIの信号などを調査した内容となっている。同氏はHDMIのテレビやレコーダーなどの機器コントロールを行うCEC（Consumer Electronics Control）[PDF]などのセキュリティ上の問題点を指摘している（発表の動画[01:55:07あたりから]、発表時のスライド資料）。

曰くHDMI-CECでは機器間の認証機能が無いので、CECフレームというコマンドを送り放題で、それを受理するかどうかは受け取る側の機器が判断するという。悪意を持ったフレームを送りつけることにより、別の機器の操作を妨害したりすることができるようだ。またデータ送信が低速であるため、連続でCECフレームを送り続けるとパスが詰まりやすくなるという。別の機器から連続してデータを送り続けた場合、意図的に送信を妨害できる可能性があるといった指摘が行われている。このほかDDC（Display Data Channel）信号に関する調査なども行われている。こちらではHDCPのデータのやりとりを途中で止めるとディスプレイ側の挙動が不安定になることなど、比較的容易にHDMI関連の信号に介入できる点などが指摘されている模様。