先日、iPhoneが技適不適合リスト入りしていたが、GoogleのPixel 6に関しても技適不適合確認リスト入りしたことが報じられている。原因に関してはiPhoneのときと同じく、デュアルSIM機能利用時の不具合によるもので、一部のデータ通信専用SIMをデュアルSIMの設定で利用した場合、110・118・119番号といった緊急電話への発信ができない問題があることが確認されたとしている。Googleはこの問題をすでに確認しており、今後のソフトウェア更新で修正を図るとしている（Google Pixel コミュニティ、ケータイ Watch、総務省、au）。

すべて読む | ITセクション | モバイル | バグ | 携帯電話 |

関連ストーリー：
iPhoneも技適不適合リスト入り。eSIM利用時の緊急通報不可問題で 2021年11月01日
iPhone、デュアルSIM利用時に緊急通報ができない問題が発覚 2021年09月14日

Impress Watchの記事によれば、間違いがなくてもマイナンバーカードの暗証番号がロックされているように見える事例がよく起きているらしい。マイナンバーカードの4桁の暗証番号は「3回連続」で間違えるとロックされる仕組みで、ロックされた場合は市役所へ行って解除の手続きが必要となる。しかし、実際に窓口に行って手続をしてみると、実際には暗証番号がロックされていないことが判明することがあるそうだ（Impress Watch）。

このトラブルはスマホやPCから認証する場合に限って発生するもので、暗証番号を入れると「ロックされている」と表示される。このためe-Taxなどは利用できない。しかし、コンビニの店頭で住民票を発行するなどの機能などには使用可能な状態であるという。原因は不明で記事によると役所側は同様の症状の人はけっこういるという話しているらしい。

修復の手続きとしては通常の「暗証番号のロック解除」と同じ作業が必要で、市役所で4桁と6桁の暗証番号の2種類を上書きすることで直るとしている。

すべて読む | ITセクション | 日本 | バグ | IT | 政府 |

関連ストーリー：
FOMA(ドコモの3G)のサービス終了で、タバコの成人識別用ICカード taspo も終了へ 2021年10月13日
令和3年分確定申告、医療費通知情報の自動取得などオンライン利用がより便利に 2021年10月12日
iOS 15.1ベータにワクチンパスポート機能が追加 2021年09月24日
日本郵便のインターネット転居届『e転居』、オンラインによる本人確認を導入 2021年09月23日
マイナンバーカードの交付申請数が5千万枚超え、交付枚数では9月ごろに 2021年06月10日
恋活・婚活マッチングアプリ「Omiai」で不正アクセス被害、171万人分の個人情報漏洩の可能性 2021年05月24日
総務省、デジタル格差解消のため高齢者向け講習会開催へ。全国5000か所で 2021年05月20日

Apple は AirPods Pro の音の問題に関する修理サービスプログラムを昨年 10 月から実施しているが、最近になって適用期間を静かに延長したようだ (Mac Rumors の記事、 The Verge の記事、 Neowin の記事)。

この問題は 2020 年 10 月より前に製造された AirPods Pro が対象で、「パチパチ」などという異音が周囲の騒音が大きい時や通話中などに大きくなったり、アクティブノイズキャンセリングが正常に機能しなくなったりするというもの。Apple は当初、対象製品の最初の小売販売日から 2 年間適用すると説明していたが、現在は適用期間が 3 年間に延長されている (Wayback Machine)。

すべて読む | アップルセクション | ハードウェア | バグ | アップル | 音楽 |

関連ストーリー：
Apple、iPhone 12 / 12 Pro の音の問題に対する修理サービスプログラムを開始 2021年08月30日
Apple、省電力モードになって充電されなくなったApple Watch Series 5/SEを無償修理 2021年02月17日
Apple、充電レベルが1％を超えない2016年/2017年モデルMacBook Proのバッテリーを無料交換 2021年02月11日
AirPods Max、数時間の使用でイヤーカップ内が結露すると話題に 2021年01月10日
Apple、AirPods Proの音の問題に関する修理サービスプログラムを開始 2020年11月01日
米税関・国境警備局、OnePlus Buds Whiteを偽の「AirPod」として押収 2020年09月15日
ヘッドフォンメーカーKoss、特許侵害でAppleを訴える 2020年07月26日
Apple、製品のお手入れ方法に消毒剤の使い方を追記・取り消し 2020年03月13日
Appleがワイヤレスイヤホン上位モデル「AirPids Pro」を発表、ノイズキャンセリング対応 2019年10月30日

J-CASTニュースの記事によると、北海道大のキャンパス内の新築トイレが設計上の不手際により、通路から内部が見えてしまう構造になってしまったそうだ。このトイレは4日ごろから利用開始されたものの、通路から男子用便器が丸見えであることが判明。また併設された女子トイレでも、手洗い場の鏡から内部が丸見えになる問題が指摘されたとのこと。北大施設整備課は「このままというわけにはいかない」として、再工事を含めた本格的な対処も検討しているとのこと（J-CASTニュース）。

すべて読む | ITセクション | バグ | 教育 |

関連ストーリー：
トイレの個室に使用時間と空室率を表示することで混雑解消に効果 2021年09月03日
女性個室トイレに動画広告を配信することでナプキンを無償配布するサービス 2021年07月06日
米国製トイレットペーパー、在日米軍基地のトイレを詰まらせる 2021年04月19日
アルコール消毒のしすぎで幼稚園の樹脂製ドアノブが破損。国民生活センターが注意呼びかけ 2021年04月13日
トイレのスマホ置き忘れを防ぐ画期的なドアロック機構 2021年03月24日
国土交通省、不適切な利用が相次ぐ多目的トイレの名称変更を求める 2021年02月11日
男女マークが描かれた女子トイレを誤って利用した男性に無罪判決 2021年01月24日

影響範囲はそれほど広くないようだが、iPad mini 6で液晶画面の一定範囲を軽く押すと表示が変色して歪む問題が報告されている (Reddit のスレッド、 9to5Mac の記事、 Mac Rumors の記事、 動画)。

(特に非タッチの) 液晶画面を強く押すと、その部分の液晶が偏って波紋のような変色や歪がみられることもある。しかし、報告されているのは押した場所とは関係なく、画面上の特定の個所で発生するものだ。

具体的には iPad mini 6 の電源ボタン側が上になるよう縦置きにした状態で、上端から 1 ～ 2 cm 下の 3 点 (写真) で発生する。Reddit で問題を報告したユーザーは、問題の発生する個体ではディスプレイモジュール裏側の部品の突起とのクリアランスが十分でなく、画面を軽く押すだけで突起がディスプレイモジュールに当たる可能性を指摘している。

Genius スタッフは報告者の iPad で問題を確認して交換品を注文したが、報告者は届いた交換品よりも元の個体の方がましだったため交換をやめたという。その後 Genius スタッフは店内の展示品をすべて調べ、同様の問題が発生することが確認されたことから、リコールが行われる可能性を示唆したそうだ。ただし、問題を再現できた Reddit ユーザーは少なく、Mac Rumors でも再現できなかったとのこと。

報告者は問題を確認しやすくするため、ダークモードに設定して「メモ」アプリで新規メモを表示した状態で試すことを推奨している。jelly scrolling 問題のストーリーでは iPad mini 6 をお持ちの方から詳しい実験リポートをいただいたが、こちらの問題は発生するだろうか。

すべて読む | アップルセクション | ハードウェア | バグ | アップル | モニター |

関連ストーリー：
iPad mini 6 の jelly scrolling、原因は？ 2021年10月02日

Twitterの投稿によると、povo2.0の申込み時に「佐々木」さんのように名前に「々」が入っている場合、一時できない状況になっていたようだ。似たような事例は過去にゆうちょ銀行の「ゆうちょペイ」の時にも発生していた。ゆうちょの時には「々」を「ひらがな、カタカナ、漢字、アルファベット」として認識していなかったことからトラブルが起きていたとみられており、同じことが起きていたと想像される。問題の発見者のgakuさんが、povoのチャットサポートに問い合わせたところ、即日対応が図られたとしている。実際に申し込みもできており、目的のSIMカードも無事に届いたようだ（gakuさんのツイート）。

すべて読む | ITセクション | バグ | IT |

関連ストーリー：
KDDI新プラン『povo 2.0』、高速データ通信もトッピング。最大180日間0円運用可能 2021年09月14日
納税額決定通知書のグリフ違いによるトラブル。千葉市 2021年05月25日
全国で唯一戸籍の電子化がされていなかった御蔵島村が電子化。全国1896市区町村のデジタル戸籍化が完了へ 2020年10月03日
Microsoft、Shift_JISや外字からUnicodeへの移行を呼びかけ 2020年03月06日
メガソフト、iOS向けテキストエディタをリリース 2019年05月31日
ゆうちょPayアプリで「々」が含まれる氏名の登録が行えない不具合 2019年05月10日
新元号は「令和」に、施行は5月1日 2019年04月01日
世界のWebサイトで文字コードがUTF-8のページが90%を超える 2017年10月18日

Apple が先日公開した iTunes for Windows 12.12.0.6 で、環境によって起動しない問題が発生していたそうだ (Neowin の記事)。

発生していた問題は必要なファイルが見つからないため iTunes を実行できないとして、再インストールを求められるというもの。ただし、再インストールしても効果はなかったようだ。問題は Microsoft Store 版・Win32 版ともに発生していたという。

あるユーザーの調べによると、エラーは Windows の表示言語が米国 - 英語 (en-us) 以外の環境で発生するそうだ。当初は英語以外の言語(ドイツ語・イタリア語・韓国語・スペイン語・フランス語・中国語・日本語)でのエラー発生が確認されていたが、その後英国 - 英語 (en-gb) など米国以外の英語でも発生することが確認されたとのこと。

Apple は原因等について説明していないが、現在 AppleのWeb サイトでダウンロード可能なインストーラーはバージョン 12.11.4.15 になっており、Microsoft Store では公開停止となっている。

すべて読む | ITセクション | バグ | idle | アップル | Windows | 音楽 |

関連ストーリー：
Apple、iTunesに代わるWindows向けメディアアプリの開発を計画か 2019年11月23日
Windows版の「Apple Software Update」ツールに脆弱性 2019年10月16日
AppleがWWDCでiTunesアプリ廃止を発表するとの報道 2019年06月02日
iTunes、ついにMicrosoft Storeで提供開始 2018年04月29日
iTunes、年内のMicrosoft Storeでの提供は無理 2017年12月17日
Apple、iOSアプリ管理機能を維持したバージョンのiTunesを静かにリリースしていた 2017年10月12日
Apple、iOSやmacOSなどの脆弱性を多数修正 2017年07月22日

LINEは10日、QRコードログインにおける2要素認証に脆弱性が存在しており、それにより不正ログインが発生していたと発表した。脆弱性に関してはすでに修正済みとのこと。QRコードを用いたログイン時に、PINコードを用いた2要素認証に脆弱性が存在したという。脆弱性により、本来実行されるべきPINコード確認の処理が省略され、不正ログインが行われる状況にあったとしている（LINEリリース、窓の杜）。

不正ログインの手法に関しては、LINEのリリースに詳しいのでそちらを見ていただきたい。発表によると被害ユーザー数は556件で、日本ユーザーの被害は確認されていないという。詳細に関してはタイで11、インドネシアで466、その他で79だったとのこと。影響期間は2019年11月25日〜2021年7月9日だったとしている。

goldenslamber 曰く、

なおLINEからの声明は以下の通り。
「本件の攻撃内容を踏まえ、フィッシングおよびソーシャルハッキングなどの悪用による非技術的な残存リスクの確認をより一層強化する」

非技術的な残存リスクとは何を指すのだろう。

すべて読む | セキュリティセクション | セキュリティ | バグ | 携帯通信 |

関連ストーリー：
省令改正でLINEを使った住民票の写しの交付申請を不可に、渋谷区は反発 2021年09月16日
東京都、コロナ自宅療養者への医師の派遣調整にLINEを使う仕組み作りへ 2021年09月08日
LINEで台湾要人約100人の個人情報がハッキングにより流出、国内では握手会動画が中国に流出 2021年07月30日
LINE、トークやKeep関連のデータ移転に2024年までかかる見込みと発表 2021年06月15日
ドコモ、フィッシング詐欺対策として「ドコモメール公式アカウント」提供へ 2021年05月27日
政府、LINE等のサービスで機密情報の取り扱いを決めるガイドライン策定 2021年05月07日
LINEのトークなどを含む個人情報、中国の委託先技術者が閲覧できる状況に 2021年03月17日

スマホダイジェストの記事によると、Pixel 5aのユーザーの間で、家庭用機器のリモコンと干渉問題が発生しているという話が出ているようだ。Pixel 5aが近くにあると家電リモコンの操作ができない場合があるとされ、Pixel 5aの近接センサーと干渉しているのではないかとする指摘が出ている。Twitterなどでは2.5GHzおよび5GHz周波数帯を使っているリモコンだと干渉するという見方もあるが真偽については分かっていない（スマホダイジェスト）。

単に周波数だけであれば、ほかのスマートフォンでも同様のトラブルが起きる可能性はあるが、トラブル報告の大半はPixel 5aとPixel 3aのユーザーからのものだという。対策としては端末のディスプレイ面を下向きにしておくか、置く場所を変える、近接センサーを遮るものを置くといった消極的な対処方法しかない模様。

すべて読む | ITセクション | モバイル | バグ | 携帯電話 |

関連ストーリー：
スカパー!、50チャンネルが1ボタンで選局できるリモコンをプレゼント 2021年09月07日
動画配信サービスによるTVリモコンの場所取り戦争 2021年05月20日
テレビリモコンと乾電池型IoTデバイスを組み合わせて視聴情報を取得する実証実験 2021年02月26日
今どきのテレビは主電源を頻繁に操作すると電源基盤がすぐに故障する 2020年12月24日
AWS障害でスマートリモコンが動作不能に 電気が消せず眠れない夜を過ごす人々 2020年11月26日
約800万円で身長が15cm伸びる手術。リモコン操作で毎日1mm伸ばす 2020年10月09日

headless 曰く、

昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。

このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。

FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。

すべて読む | セキュリティセクション | セキュリティ | ソフトウェア | バグ | 交通 |

関連ストーリー：
北米でリコール対象となった20ブランドの除湿器、すべて同じメーカー製 2021年08月10日
エチオピア航空のパイロット、目的地と間違えて開港前の新空港に着陸 2021年04月07日
米大統領専用機を運用する空軍基地、マウス耳の帽子をかぶった男性が5時間にわたってうろつく 2021年03月14日
Tesla、Tesla車で意図しない急加速が発生したという調査請求は虚偽だと反論 2020年01月24日
ボーイング737 NGで特定の滑走路へ計器進入する際にのみ発生する問題が確認される 2020年01月11日
航空機の操縦士、体調不良の原因は？ 2016年03月02日

香港で16日、大量の塩をまいて複数のカタツムリを殺したとして26歳の大学院生が逮捕されたそうだ。香港警察の動物虐待専門のチームが捜査にあたったとのこと。テレ朝NEWSによると香港警察は動物虐待に厳しいらしい。有罪判決を受けた場合、最長で3年の懲役刑が科せられるらしい（テレ朝NEWS）。

すべて読む | ITセクション | 犯罪 | バグ | IT |

関連ストーリー：
YouTube、ロボットバトル動画を動物虐待として非公開に 2019年08月22日
改正動物愛護法が成立、犬猫へのマイクロチップ埋め込みが義務化 2019年06月13日
ジュリアン・アサンジ氏逮捕、大使館で飼われていた猫の行方は？ 2019年04月14日
英国の新5ポンド紙幣に微量の獣脂が含まれることが判明し、反対運動が起こる 2016年12月04日
動物愛護団体PETA、ポケモンGOに便乗してポケモンを捕まえる人間を倒すゲームを公開 2016年07月26日
意見募集：インターネット上の違法な情報への対応に関するガイドライン 2008年10月26日

headless 曰く、

台湾・New Widetech (NWT、鉅潞科技) は 4 日、北米で同社製除湿器のリコールを発表した(ニュースリリース、 リコール特設サイト、 米消費者製品安全委員会のリコール情報、 SlashGear の記事)。

リコール理由は過熱により発火の可能性があるというものだ。リコール対象製品によるインシデントが既に 107 件報告されており、およそ 1,700 万ドルの被害が出ている。人的被害は報告されていないとのこと。100 機種以上にわたるリコール対象製品はすべて他社の 20 ブランドで 2009 年から 2017 年に販売されたものだが、リコールは NWT が実施する。所有者はすぐに使用をやめて返金を請求するよう求められており、利用期間に応じた割合で返金額が計算される。対象製品は米国でおよそ 200 万台、カナダで 38 万台、メキシコで 25,000 台が販売されたとのことだ。

すべて読む | ハードウェアセクション | ハードウェア | バグ |

関連ストーリー：
周知も修理キット提供もなかなか進まない米国での Philips の人工呼吸器リコール 2021年08月09日
Facebook、皮膚炎発生を受けて Oculus Quest 2 の接顔パーツを米国とカナダでリコール 2021年08月01日
リコール修理後にもバッテリー発火の可能性がある Chevrolet Bolt EV 、新たなリコールが発表される 2021年07月25日
ファイザー、禁煙補助剤 CHANTIX の一部ロットを米国でリコール 2021年07月24日
米消費者製品安全委員会、Fulfilled by Amazon プログラムを通じて販売された危険な製品のリコールを Amazon に要求 2021年07月19日

headless 曰く、

北米では主要な病院の 80 % が使用しているという Swisslog Healthcare の気送管システム TransLogic Pneumatic Tube System (PTS) で見つかった一連の脆弱性「PwnedPiper」について、発見者の Armis が解説している(Armis のリポート、 Swisslog Healthcare のアドバイザリー、 The Register の記事、 Softpedia の記事)。

日本ではエアシュートなどとも呼ばれる気送管システムは、空気圧をかけたパイプのネットワークで物品を格納したパケットを送る仕組み。かつては人力によるルーティングが行われていたが、現代的なシステムは IP ネットワークに接続され、コンピューターにより制御が行われる。

TransLogic PTS の脆弱性は制御用の Linux デバイス Nexus Control Panel に存在し、検証なしのファームウェア更新 (CVE-2021-37160) や、リモートからのコード実行または DoS が可能となるメモリ破損の脆弱性 (CVE-2021-37161 / 37162 / 37164 / 37165 / 37166)、ハードコードされた Telnet パスワード (CVE-2021-37163)、特権昇格の脆弱性 (CVE-2021-37167) といったもの。Armis は 9 件の脆弱性と述べているが、CVE-ID が割り当てられた脆弱性は 8 件となっている。全ての脆弱性は認証されていないネットワークパケットを送るだけで引き起こすことが可能で、ユーザーの操作は必要ないとのこと。

これらの脆弱性を悪用することで、攻撃者は送り先の変更や速度の変更といった攻撃が可能だ。血液製剤など低速で送るべき物品を高速で送ってしまうと、患者に被害が及ぶ可能性もある。また、PTSのユーザー認証システム WhoTube に登録されたスタッフの認証情報取得や病院のコミュニケーションソリューションに統合された PTS のアラートシステム悪用による業務妨害、ランサムウェア攻撃なども可能になる。

脆弱性のほとんどはファームウェアバージョン 7.2.5.7 で修正されているが、CVE-2021-37160 だけは修正されていないという。Armis ではパッチの適用のほか、Telnet のブロックや ACL のデプロイ、Snort による攻撃検知といった対策を推奨している。

すべて読む | セキュリティセクション | セキュリティ | バグ | 医療 | 交通 |

関連ストーリー：
ランサムウェア攻撃の結果として初の死者、ドイツ・ケルンの検察が過失致死容疑で捜査 2020年09月20日
医療用のスマート輸液システム、LAN内から不正なファームウェアに書き換え可能な脆弱性 2019年06月21日
植込み型除細動器などの通信プロトコルに患者を攻撃可能な脆弱性 2019年03月23日
脳波検査システムのソフトウェアに脆弱性 2018年04月08日
Windows XP等で動いている医薬品の自動分配システムに大量の脆弱性 2016年04月05日
東大病院で大規模なワーム感染 2009年03月06日

IIJは16日、7月15日から同社が提供している「IIJmioモバイルサービス ギガプラン」用の専用アプリ「My IIJmio」において、利用者とは別のユーザー情報が表示される不具合があったと発表した。この影響により「My IIJmio」の提供は15日18時55分に一時停止されている。影響が確認されているのは254名分。誤表示された情報は以下の通りとなっている（IIJリリース、ケータイ Watch）。

• 電話番号の一部 (4桁目から7桁目までがマスクされた状態)
• データ残量
• データ残量有効期限
• データ利用量
• ご請求金額
• 高速通信ON/OFFの状態
• 5Gオプション
• データシェアの設定状態
• ご契約情報 (mioID、サービスコード、サービス状態、料金プラン、申し込み日、利用開始日)

すべて読む | ITセクション | バグ | IT | 携帯通信 | プライバシ |

関連ストーリー：
注文履歴などの誤表示でAmazon.co.jpに行政指導、被害件数は11万件 2019年10月16日
世田谷区の通知書類で「平成3元年」との誤表示、和暦の一の位が「1」だった場合「元」に変換する処理だった 2019年04月16日
Googleの通貨換算機能、ガーナセディの価値を実勢の4分の1程度と表示するトラブル 2019年03月24日
NTTドコモ、翌月進呈ポイントが99億に誤表示される場合があると事前アナウンス 2018年05月25日
過去5年間で日本の上場企業から流出した個人情報は単純計算で7545万件 2017年04月14日

headless 曰く、

米昆虫学会 (ESA) は7日、「ジプシー (gypsy)」という単語を含む昆虫2種の一般名を昆虫および関連生物の一般名リストから削除したことを発表した(ESA のニュース記事、 Mashable の記事)。

削除された一般名はドクガ科のマイマイガ Lymantria dispar の「gypsy moth」と、アシナガアリ属のアリ Aphaenogaster araneoides の「gypsy ant」。ESA 理事会では3月に許容可能な昆虫の一般名に関する新しいポリシーを承認しており、民族や人種のグループを示す名前や恐怖を掻き立てるような名前が禁じられている。また、特に侵略的外来種について地理的な場所を示す名前の使用を非推奨としている。

一般名は専門家と一般人とのコミュニケーションを容易にするためのものだが、特定のグループを歓迎しないような一般名の使用はその目的に反する結果を生む。今回の変更は不適切であったり不快感を与えたりする昆虫の一般名を見直して置き換える新プログラムの開始と相前後して決定したもので、ロマの人々に対する侮蔑的な呼称「ジプシー」が不適切と判断された。

新プログラムは民族や人種に対する否定的なステレオタイプを持続させるような昆虫の一般名を特定し、代替の一般名を提案するもので、昆虫学者だけでなく関連する分野の科学者や一般の人々にも参加が呼び掛けられている。L. dispar に関しては、コミュニティグループを招集して新しい一般名の提案を要請する計画だという。A. araneoides の新しい一般名については言及されていない。

すべて読む | サイエンスセクション | バグ | サイエンス |

関連ストーリー：
中国のSNSで「株式市場」という単語が禁止された可能性 2021年03月11日
AI翻訳業のロゼッタ、全社員に「英語禁止令」発令。英語は本業の能力とは何の関係もない 2021年03月05日
FANZAでの禁止表現、犬とのカラミはNGだが蛇ならOK 2020年12月03日
Apple、包括的用語使用の義務付けを含むスタイルガイド更新 2020年07月19日
絵本における著作権侵害問題、著作権的にNGな「絵本の読み聞かせ動画」や個人製作グッズの販売などが多く確認される 2020年04月17日
劇場版「メイドインアビス」、レーティングが急遽R15+になり前売り券購入者のうち対象者は払戻しに 2019年12月31日
海外では技術系の単語を子供の名前に使う親が登場している 2018年12月26日
米ミズーリ州、肉代用食品を「meat」として販売することを禁ずる法律 2018年09月01日

カスペルスキー製パスワードマネージャー「Kaspersky Password Manager（KPM）」に脆弱性が見つかり、新たにCVE-ID（CVE-2020-27020）が割り当てられた。生成されるパスワードに偏りが生じているという。カスペルスキーは脆弱性の報告を受けて、すでに対策を取ったバージョンを配布している。影響を受けるのはのWindows版では9.0.2パッチF以前のバージョン、Android用ではバージョン9.2.14.872以前、iOS用では9.2.14.31以前のものだとしている（Kaspersky、Donjon、The Register、窓の杜 ）。

発見者であるLedger社のセキュリティチーム「Ledger Donjon」によれば、KPMのパスワードジェネレーターには時刻をキーに用いるロジックに欠陥があり、生成する数値に偏りが生じていた。攻撃者はパスワード生成時期を知ることができれば、総当たり攻撃により数分で解析できるとしている。同社では最新版への更新を行うと同時にランダムパスワードを再生成するよう呼び掛けている。

すべて読む | セキュリティセクション | セキュリティ | バグ |

関連ストーリー：
Microsoft、Windows のゼロデイ脆弱性「PrintNightmare」を修正する更新プログラムを緊急リリース 2021年07月10日
Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから？ 2021年07月08日
iPhone の Wi-Fi を無効化する SSID のバグ、影響範囲が広がる 2021年07月08日
Windows の Print Spooler で見つかった脆弱性、研究者の勘違いでゼロデイに 2021年07月04日
リモートからファクトリーリセット攻撃にあった Western Digital の古い NAS、新しい脆弱性が見つかる 2021年07月02日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日

プレスリリース・ニュースリリース配信サービスの PR TIMES は 9 日、会員企業が下書き保存登録していた発表前のプレスリリース情報が不正に取得されていたことを発表した(プレスリリース: PDF)。

原因は画像一括ダウンロード機能と PDF ダウンロード機能のセキュリティホールで、プレスリリースの公開状態にかかわらず URL ロジックを推測および解析することでダウンロードが可能になっていたという。7 月 5 日に会員企業から発表前の情報が SNS 投稿されているとの報告を受けて調査を行い、6 日には公開状態でない場合に画像一括ダウンロードができないよう緊急改修が行われている。PDF ダウンロード機能のバグは8日に判明し、URL を予測困難なロジックへ変更する緊急改修を実施したとのこと。

不正に取得されたプレスリリース情報は会員企業 13 社 14 アカウントのプレスリリース 230 件に紐づく画像の ZIP ファイル 230 点と、うち 4 社のプレスリリース 28 件に紐づく PDF ファイル 28 点。「不正取得」は 5 月 4 日 ～ 7 月 6 日に特定の IP アドレスから行われており、プロバイダーにも申告したという。

このような形で情報が取得されることはシステム開発段階では想定していなかったとのことで、今後は人員を増強してセキュリティホールの存在を迅速に発見できる体制へと強化するそうだ。なお、緊急改修は暫定的なものであり、今後はセキュリティを強化しつつ利便性を高める機能に刷新するとのことだ。

すべて読む | ITセクション | セキュリティ | ニュース | バグ | 広告 |

関連ストーリー：
Instagramで非公開設定で投稿した写真や動画はURLを直接開けば誰もが閲覧できる 2019年09月13日
ゲイ向け出会い系アプリ「Jack'd」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる 2019年02月14日
スマホ監視アプリSpyFoneで取得されたデータ、ネットで誰もがアクセスできる状態になっていた 2018年08月29日
プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響 2018年06月10日
SCEJ がトルネの視聴ジャンル無断公開に「真摯にお詫び」 2011年11月18日
トルネを含むPS3ゲーム/アプリのトロフィー情報は一般公開されている 2011年11月09日
Googleドキュメントに新たなセキュリティ・ホール 2009年03月28日
Google Docsで非公開の文書が公開されてしまうトラブル発生 2009年03月09日
公開URLの掲載をハックと見なされる 2008年03月11日
ミクシィ、画像に認可制御なしの欠陥を改修できず、ヘルプで弁解 2006年10月18日
ロイターがURL推測で不正アクセスとして告訴される 2002年10月29日