インドで携帯電話の着信転送サービスを悪用した WhatsApp アカウント乗っ取りが発生しているそうだ (HackRead の記事、 Rahul Sasi 氏のツイート)。

CloudSEK の Rahul Sasi 氏によれば、攻撃者はターゲットに電話をかけ、「**67*<10 桁の電話番号>」または「*405*<10 桁の電話番号>」に発信するよう説得するという。ターゲットがこれに従うと数分のうちに WhatsApp アプリはログアウト状態になり、攻撃者にアカウントを乗っ取られてしまう。

これらの番号はインドの携帯電話キャリアで<10 桁の電話番号>を転送先に指定し、話中時の転送設定を有効にするサービスコードだ。前者は Airtel と BSNL、Vi が使用し、後者は Jio Mobile が使用するもので、発信するだけで転送設定が有効化される。なお、Sasi 氏のツイートでは前者の末尾の「#」が抜けており、実際には「**67*<10桁の電話番号>#」となる。攻撃者は自分が受信可能な電話番号を転送先に指定する一方で、ターゲットの電話番号を指定して WhatsApp の登録プロセスを実行し、音声通話での確認コード送信を指定する。全着信の転送でなく話中時の転送を選ぶ理由や、確認コード送信時の話中を仮定する理由は不明だが、攻撃者は受け取った確認コードで WhatsApp アカウントの乗っ取りを完了できる。

Sasi 氏によれば、攻撃者がターゲットの端末を操作して発信可能な場合は直接転送先を指定することも可能であり、他国でも同様のサービスコードを使用するキャリアに適用可能とのこと。ただし、日本の携帯電話キャリアでは音声ガイダンスに従った操作が必要なものや、アカウントにログインした状態での操作が必要なものが多い。ドコモは端末によってサービスコードでの操作にも対応するが事前の申し込みが必要であり、事前の申し込みなく特番発信で転送先指定と転送の有効化が同時にできるのは au とその MVNO ぐらいのようだ。

3DBio Therapeutics と Microtia-Congenital Ear Deformity Institute は 2 日、小耳症患者の外耳再建用インプラント AuriNovo のフェーズ 1 / 2a 臨床試験で最初の移植成功を発表した (プレスリリース、 The Verge の記事、 SlashGear の記事、 The New York Times の記事)。

小耳症は片方または両方の外耳がないか、未発達となる先天異常で、米国では年に 1,500 人程度がこの症状をもって生まれるという。現在の外耳再建手術では肋軟骨の移植や、多孔性ポリエチレン (PPE) 製インプラントが用いられる。AuriNovo は患者自身の耳介軟骨細胞を 3D バイオプリント技術で出力したもので、肋軟骨移植と比べて侵襲性が低く、PPE 製インプラントと比べて柔軟な外耳が形成できるとのこと。臨床試験はカリフォルニア州ロサンゼルスとテキサス州サンアントニオで計 11 人の患者に実施する計画とのことだ。

Atlas VPN の推計によると、Apple Safari のユーザー数が 10 億人を超えたと考えられるそうだ (Atlas VPN のブログ記事、 9to5Mac の記事、 Ars Technica の記事)。

。 推計値は StatCounter のデータに基づくもので、デスクトップ・タブレット・モバイルの全プラットフォーム合計だ。ユーザー数は 1 位の Google Chrome が 33 億 7,897 万人と圧倒的に多く、2 位の Safari が 10 億 623 万人で続く。3 位以下は大きく離れ、Microsoft Edge (2 億 1,270 万人)・Mozilla Firefox (1 億 7,908 万人)・Samsung Internet (1 億 4,967 万人)・Opera (1 億 871 万人) の順となっている。

ちなみに、StatCounter の 5 月分ブラウザーシェアデータによれば、全プラットフォーム合計では Chrome (64.95 %)・Safari (19.01 %)・Edge (3.99 %) の順、デスクトップでは Chrome (66.16 %)・Edge (10.12 %)・Safari (9.14 %) となり、タブレットではChrome (48.07 %)・Safari (37.58 %)・Android (12.29 %)、モバイルでは Chrome (64.87 %)・Safari (24.75 %)・Samsung Internet (4.83 %) のような順になっている。

あるAnonymous Coward 曰く、

愛知県半田市では指定ゴミ袋制を導入しているが、現在 30 リットルと 45 リットルのゴミ袋が不足しており、販売店では市からの指導で各種「1 人 1 つまで」に制限しているという (CBC News の記事)。

ゴミ袋の不足はコロナ禍の影響等で大分県の生産工場の生産能力が低下したためで、毎月 1,800 箱納品があったのが、昨年 10 月には 200 箱に減少。その後、少しずつ回復しているが、安定して供給できる量に達していない。

半年もあればゴミ袋ぐらい手配できないのかなというのと、地震等でこの生産工場が被災したら、どうするのだろう、という気はする。最終手段としては指定でないゴミ袋でもゴミ収集を受け付ければいいだけではあるのだが、だったら、今でも普通のゴミ袋に貼れば指定ゴミ袋になる"ゴミ"だし丸くんステッカーとか臨時に作ればいいと思わなくもない。

半田市指定ごみ袋の品薄に関する市長メッセージ（5月25日）によると、

できるだけ多くの皆さまにごみ袋がいきわたるよう、大量購入をせず必要な分だけ購入していただきますようお願いいたします。

また、これまで通り、指定袋でのごみ出しに変更はありませんのでご理解をお願いいたします。

とのこと。

Illumio の調査によると、ゼロトラストの考えが大半の組織に広がる一方で、実際にサイバーセキュリティ侵害を想定した運用をしていないという組織が半数近くに上るそうだ (BetaNews の記事、 Illumio のブログ記事、 プレスリリース、 日本語抄訳)。

調査は北米・欧州・日本を含むアジア太平洋地域の 1,000 組織を対象に行われたもので、90 % の回答者がゼロトラストを組織でのサイバーセキュリティ三大優先課題の一つであるとし、33 % は最大優先課題だと回答したという。しかし、サイバーセキュリティ侵害を想定した運用をしていないという回答も 47 % に上ったとのこと。

一方、日本の回答者は 83 % がゼロトラストをサイバーセキュリティ三大優先課題の一つに挙げており、セキュリティ予算の平均約 31 % がゼロトラストへの取り組みに当てているという。しかし、サイバーセキュリティ侵害を想定した運用をしていないという回答も 53 % に上る(PDF)。

これに対し、シンガポールの回答者ではサイバーセキュリティ侵害を想定していないという回答は 38 % にとどまり、日本は大幅に遅れをとっているとのこと。スラドの皆さんのところではいかがだろうか。

Microsoft のポイントプログラム Microsoft Rewards で、ポイントを引き換えるとアカウント停止になる問題が発生していたそうだ (Neowin の記事、 Reddit のスレッド)。

Reddit での報告によれば、ユーザーがポイントをリワードに引き換えようとすると警告が表示されてテクニカルサポートに連絡するよう促され、数時間後にはアカウント停止となる。テクニカルサポートに連絡すると規約違反を指摘されるが、リストアップした違反例のいずれかに違反しているとの説明のみで、具体的な違反内容は示されないという。

Microsoft の Daniel Martins 氏が Reddit で説明したところによれば、金曜日遅く(日本時間土曜日午後とみられる) に修正をデプロイしたそうだ。既に影響を受けてしまったユーザーに関しては月曜日以降に修正を行うことになるとのこと。

Microsoft Rewards はしばらく見ていなかったが、今回確認したところ、日本でも Bing 検索や デイリーストリーク によるポイント付与が行われるようになっていた。