米政府は21日から、外国人が入国する際に提示を求める情報としてソーシャルメディアのアカウント情報を追加したそうだ(POLITICOの記事、 The Vergeの記事、 BetaNewsの記事)。

対象となるのは、ビザなしで米国に入国するビザ免除プログラム対象国(日本を含む)のパスポート所有者。現在、ビザなしでの入国に必要となるESTA電子渡航認証システムの申請ページでは、オプションとして「ソーシャルメディア」が追加されており、FacebookやTwitter、Google+、Instagramのほか、GitHubなども選択肢に含まれる。

米国土安全保障省の税関・国境取締局では、入国者にソーシャルメディアアカウント情報を申告させるオプションの追加を6月に提案したが、パブリックコメントでは反対意見が多かったようだ。税関・国境取締局によれば、変更は19日に政府が承認したとのことで、潜在的な脅威を特定するためのものだという。なお、ソーシャルメディアアカウント情報の提供はあくまでオプションとなっており、入力しなくてもESTAの取得手続きを進めることができる。税関・国境取締局では以前、提供しない旅行者の入国を拒否することはないと述べていたとのことだ。

Mozillaは23日、FirefoxのWindows XP/Vistaサポートに関する今後の予定を発表した(Mozillaブログ — Future Releasesの記事、 Firefoxヘルプの記事、 VentureBeatの記事)。

9月にFirefoxのWindows XPサポート縮小・廃止計画が話題となったが、Firefox 52がWindows XP/Vistaをサポートする最後のメジャーバージョンになるようだ。2017年3月頃にWindows XP/VistaのFirefoxユーザーは自動的に延長サポート版(ESR)へ移行し、セキュリティアップデートは2017年9月まで提供される予定だという。なお、Firefox 52のリリース予定は2017年3月7日となっている。

9月以降の予定については、2017年中ばにWindows XP/VistaのFirefoxユーザー数を再評価し、最終のサポート終了日を発表するとのこと。ただし、MicrosoftによるWindows XPのサポートは既に終了しており、Windows Vistaのサポートも2017年4月11日に終了する。サポートの終了したOSを使い続けることは危険であり、MozillaではMicrosoftがサポートするバージョンのWindowsに移行することを強く推奨している。Firefoxを使用している企業に対しては、2017年9月をFirefoxによるWindows XP/Vistaのサポート終了日と考えるべきだとも述べている。

多くの航空会社が採用しているPanasonicの機内エンターテインメントシステムの脆弱性により旅客機の乗っ取りが可能になるとするIOActiveの主張に対し、Panasonic Avionicsが反論している(Runway Girlに転載されたPanasonicの声明、 Mashableの記事、 Softpediaの記事)。

IOActiveが発見した脆弱性は有料サービスでのクレジットカードのチェックをバイパスするというものや、任意ファイルアクセス、SQLインジェクションなど。IOActiveによれば、機内のデータネットワークは飛行制御システムとPAシステム、エンターテインメントシステム、各席に設置されたデバイスの4つのドメインに分離されているが、機体によってはゲートウェイを通じて相互に接続されているものもあるという( IOActiveのブログ記事、 The Registerの記事、 Softpediaの記事[2])。

IOActiveはジープ・チェロキーの車載システムの脆弱性を利用して遠隔操作するデモを行っており、SATCOMの脆弱性も発見している。そのため、ドメインを超えて飛行制御システムや機内PAシステムを乗っ取られる可能性もあると述べている。また、乗客が機内で使用したクレジットカードの情報が盗まれる可能性にも言及している。IOActiveでは2015年3月に脆弱性をPanasonic Avionicsへ報告しており、修正に十分な期間が経過したとして情報を開示したが、すべての旅客機で修正が適用されていない可能性があるとも述べている。

ただし、システムの乗っ取りやクレジットカード情報の摂取の可能性についてはあくまで仮説であり、実証されたものではない。Panasonicでは発見された脆弱性の影響範囲は各席のデバイスに送られる情報のみであり、エンターテインメントシステムやPAシステム、飛行制御システムへの影響は及ばないと説明。PanasonicはAviation ISACのメンバーであり、脆弱性などの情報は共有して対策を行っているとし、報道に対して仮説の部分を強調した説明をするIOActiveが乗客に誤った警告を与えているなどと批判している。

taraiok 曰く、

Ubuntuが2000人の消費者を対象にした調査で、所有している機器のファームウェア更新を行うユーザーはわずか31％ほどしかいなかったことが明らかになった。さらに、全体の40％は所有する機器のファームウェア更新を行ったことはないと回答。つまり、多くのユーザーは所有する機器から個人情報の盗難が行われたり、DDoS攻撃に悪用されることに無関心だとしている（Slashdot）。

また、回答者の3分の2はファームウェアの更新についてユーザー側の責任ではなく、デバイスメーカーやソフトウェア開発者の仕事だと考えているという。これを受け、UbuntuではIoTデバイスの安全性を保つためにはファームを自動的に更新するような仕組みが必要だとしている。また、同社がUbuntu Core 16で行ったようにデフォルトのパスワードという仕組みは廃止していく必要があるとも述べている。

あるAnonymous Coward 曰く、

最近のIoTブームにより、IoTを活用したアダルトグッズも登場しているそうだ。しかし、こういったIoTアダルトグッズにおいてはセキュリティ的な問題も出ているという（Kaspersky）。

問題とされているのは、スマートフォン経由で遠隔操作できるというバイブレーター「We-Vibe 4 Plus」。スマートフォンで振動パターンや回数などを設定できるそうなのだが、このバイブレーターには脆弱性があり、第三者がバイブレーターを外部から操作できてしまうという。また、このアプリケーションは「デバイスの温度」や「振動の違いに関するデータ」を開発元に送信していたという。開発元はデータ収集について製品の改善や利用方法の把握のためとして認めている。

ちなみにこのバイブレーターは200万人の利用者がいるそうだ。

maia曰く、

ドナルド・トランプ候補が当選した米大統領選では、ロシアが秘密裏にさまざまな工作を行っていたとの疑惑が出ている。これに対しオバマ米大統領は、CIAによる「ロシアがトランプ候補を勝利させるためにサイバー攻撃を行った」という分析を支持し、ロシアに対し報復を行う可能性も示唆している（ハフィントンポスト）。

また、9月に中国で開催されたG20サミットで、オバマ大統領はロシアのプーチン大統領に対し攻撃の中止を求め直談判を行っていたそうだ（AFP）。さらに投票日の8日前（10月31日）、米国政府は冷戦時代以来の「いわゆる赤い電話」（ホットライン）を使ってロシア側に警告を伝えていたという（NBC、読売新聞）。

送られた警告は「サイバー攻撃は紛争をめぐる国際法の適用対象であり、ロシアに国際法遵守を求める」といったもののようだ。投開票そのものに対してまでロシアが干渉する事を抑止したとも言うが、ロシアの意図がトランプ当選であればその目的は達成されており、オバマ政権による「ロシアへの警告」リークには今更感が拭えない。なおホットラインの使用は2001年の9.11事件以来だという。

あるAnonymous Coward 曰く、

PGPが事実上唯一の暗号化メッセージ手段だった時代は終わり、暗号の専門家たちは「前からPGPには利点よりも問題のほうが多いと思っていた」（Bruce Schneier）、「長期に渡って安全に保管しなければならない鍵のモデルには見切りをつけることにした」（Filippo Valsorda）などとPGPに対する疑問を表明している（Ars Technica）。彼らはSignalなどのメッセージングアプリを好む傾向があるようだ。読者諸氏は、暗号化メッセージが必要な場面でどのようなツールを選択しているだろうか。

最近はGnuPGもTOFUを取り入れるなどトラストモデルを改善しているものの、Valsordaによれば「GnuPG単独の問題ではない。PGPそのものがうまくいっていないのだ」という。「暗号化メールが来るのは多くても年に二通。UXも昔からひどいまま。しかし本当の問題点は、鍵を大事にすればするほどアタックサーフェスを広げることになるという、長期鍵の根本にある危険性だ」として、クラウド業界では有名なペットと家畜の比喩を持ち出している。鍵に名前を付けて、障害があったときに手間暇かけて対応するのはナンセンスだ、鍵は使い捨てにすべきだという意見だ。

insiderman 曰く、

任天堂がバグ報告に対する報奨金支払いプラットフォームHackerOneを使い、ニンテンドー3DS本体や3DS向けゲームソフト、関連ハードウェアに関する脆弱性報告に対して報奨金を支払うという（HackerOneのブログ、TechCrunch）。

「ゲームの吸い出し」や違法コピーされたゲームの実行、チート、子供に対して不適切なコンテンツの提供などを防ぐことを目的としているという。具体的な脆弱性の例としてはユーザーランドにおける特権昇格やカーネルの奪取などが挙げられている。また、ハードウェアの模倣品/コピー品を低コストで作る方法などについても対象のようだ。ただし、発見した脆弱性を任天堂以外に公表することはできないという縛りがある。支払われる報奨金は100～2万ドル。

低価格のAndroidスマートフォン十数機種において、ファームウェアに「ダウンローダー」がこっそりと埋め込まれている、という話が出ている（GIGAZINE、Ars Technica）。

最初にこれを伝えたセキュリティ企業Dr.WEBのブログによると、このダウンローダは26の端末で確認され、これ以外の端末にも含まれている可能性があるとしている。このダウンローダは制御サーバーに接続して設定ファイルを受け取り、それに従って密かにプログラムをダウンロードしてインストールできるという。また、広告表示機能も備えられているようだ。

このダウンローダは、広告を表示させたり特定のアプリケーションをダウンロード/インストールさせることで収益を得る目的で、システムイメージを作成した業者が仕込んでいるのではないかとDr.WEBのブログでは分析されている。

ネットギアが同社の無線LANルーター「Nighthawk R7500」について、後継機種への無償交換を行うという。MU-MIMO（Multi User MIMO）を謳って発売されたにも関わらず、不具合で同機能が利用できないままになっていたため（INTERNET Watch、ネットギアの無償交換受付ページ）。

Nighthawk R7500は2014年12月に発売されたIEEE 802.11ac対応無線LANルーター。MU-MIMO利用時に「通常の無線通信に悪影響が出る不具合」が発見されたため、発売当初よりこの機能を無効とし、アップデートで対応するという方針となっていたが、アップデートがリリースできないという状況となったため「同等以上の機能・性能を持つ後継機種『R7800-100JPS』」への無償交換で対応することになったという。

あるAnonymous Coward 曰く、

映画製作者やフォトジャーナリストの団体が、キヤノンやニコン、ソニーなどのカメラメーカーに対して「撮影したデータを暗号化して保護する機能を純正で搭載してほしい」とする要望を訴えているそうだ（TechCrunch、CNET Japan、GIGAZINE、Slashdot）。

ドキュメンタリー映画製作者や戦場カメラマンの多くは、危険な現場に足を運んで現地の生の様子を伝えている。そのため、場合によっては身柄を拘束されたり、撮影機材を没収されたりすることもある。たとえば世界で拘束されているジャーナリストは2016年12月1日現在で257人に上るという（ロイター）。その際には撮影したデータが抜き取られてしまうことも少なくないという。

現在市販されているカメラは、例えプロ向けの機材であっても暗号化機能が一切搭載されていない状況に対し、150人を超えるジャーナリストが声をあげたとしている。

これに対し、暗号化は役に立たず、むしろ撮影されたデータの確認に手間が掛かってしまう可能性があるほか、カメラや記録メディアを破壊するといった方法でデータを消しさることも可能だという指摘がある（TechCrunchの別記事）

米非営利組織Freedom of the Press Foundationは15日、ニュースサイトのHTTPS導入状況によるセキュリティランキングを発表した(Freedom of the Press Foundationのブログ記事、 Leaderboard、 BetaNewsの記事、 The Guardianの記事)。

ランキングは自動化されたツールで判定されたもので、有効なHTTPSの有無、HTTPSの利用可否、HTTPS接続がデフォルトかどうかという3点が基本のチェックポイントになっている。グレードはHTTPSが導入されていないか導入されていても証明書が無効の場合に「F」、HTTPSがデフォルトなら「B」となり、HSTS(HTTP Strict Transport Security)の導入状況によるボーナスポイントが加算されると「B+」以上が与えられる。

全105サイトのうち、すべての項目が「YES」で「A+」を獲得したのはThe Interceptのみ。The GuardianとTechCrunch、ProPublicaが「A-」、WiredとBuzzFeedが「B+」で続く。「B」はWashington PostやThe Atlantic、Bloombergなど9サイトに過ぎず、HTTPSがデフォルトになっているサイトは14%。HTTPSを利用できるもののデフォルトではない「C」となったThe IndependentやThe Economist、BBCなど15サイトを加えても、HTTPSを利用できるサイトは29%にとどまる。

一方、The Wall Street JournalやReuters、Associated Press、Huffington Post、CNNなど、全体の48%にあたる50サイトが「F」となっている。

米国・フロリダ州の控訴裁判所が、iPhoneのパスコードは合衆国憲法修正第5条の「自分に不利な証言を強制されない」権利の対象にならないという判断を示した(裁判所文書: PDF、 Courthouse News Serviceの記事、 Consumeristの記事、 Softpediaの記事)。

被告は買い物をしている女性のスカートの中をiPhone 5で撮影した容疑で逮捕・起訴されているが、証拠は女性の証言と監視カメラの映像のみで、iPhone 5に保存された写真が直接的な証拠となる。当初、被告はiPhone 5の内容を調べることに同意したが、その後修正第5条を理由にパスコードの開示を拒否。1審では修正第5条によりパスコードを強制的に開示させることはできないとの判断が示されたため、州側が上訴していた。

控訴裁判所の意見書では、1988年の連邦最高裁判決で判事が書いた「金庫の鍵の引き渡しを強制することはできても、キーコンビネーションを強制的に開示させることはできない」という件がその後の裁判で繰り返し引用されていることを認めたうえで、鍵の引き渡しとキーコンビネーションの開示にどれほどの違いがあるのか疑問だと述べている。

また、その違いがテクノロジーが進歩しても有効であり続けるのかという点がさらに重要な疑問であると述べ、指紋をパスコードとして使用する人と比べて、数字や文字の組み合わせをパスコードとして使用する人の方がより強い保護を修正第5条から受けられるとは考えにくいとしている。結論としてパスコードの開示は証言ではなく、(証拠の)引き渡しに該当するとのことだ。指紋によるロック解除については、強制可能との判断が過去にも示されている。

今年9月、米Yahoo!が5億人以上のユーザー情報が流出したことを明らかにしたが、これとは別に10億人分のユーザー情報が流出したことが明らかになった（ITmedia、産経新聞）。

流出の原因は2013年8月に行われたサイバー攻撃で、流出した情報にはユーザー名や生年月日、メールアドレス、電話番号など。クレジットカード番号や銀行口座情報は含まれていないとのこと。Yahoo!は対象となったユーザーに対しパスワード変更などを促しているという。なお、米Yahoo!とYahoo! JAPANは運営が異なっているので、Yahoo! JAPANユーザーについては漏洩の影響はない。

headless 曰く、

Internet ExplorerやMicrosoft Edgeでは、危険なWebサイトを警告する「SmartScreen」機能が搭載されているが、Microsoft EdgeのSmartScreenで、URLを偽装した警告画面を表示可能な問題が発見された（Broken Browser、Softpedia）。

SmartScreenの警告ページが表示される際、アドレスバーにはアクセスしようとしているURLが表示される。この表示内容自体は実行ファイルやDLLのリソースから取得されたもので、Edgeの場合警告ページは「ms-appx-web://microsoft.microsoftedge/assets/errorpages/PhishSiteEdge.htm」のようなURLに格納されている。このURLをMicrosoft Edgeのアドレスバーに直接入力してもWeb検索結果が表示されるだけだが、「.」を「%2e」に置き換えてリンク先に指定すると警告ページが表示される。

これだけではアドレスバーに表示されるURLが元のページのままとなるが、ハッシュで別のURLを指定することで任意のURLを表示させることが可能となる。さらに、クエリパラメーターとして「BlockedDomain」を指定することでブロックされたドメイン、「Host」を指定することで追加情報（日本語環境では「ホスト元」として表示される）をそれぞれページ上に表示させることが可能だ。また、これらのクエリパラメーターに電話番号のような文字列を含めると自動でリンク化され、電話アプリなどを直接呼び出すことも可能となる。そのため、Broken Browserの記事では詐欺師にとって非常に便利な機能だと述べている。

なお、Broken Browserの記事ではwindow.openメソッドを使用する必要があるような記述になっているが、リンクでも警告ページの表示は可能だった。「PhishSiteEdge.htm」のままで動作しない理由としては、リソース内の特定のファイルが直接呼び出されないようブロックリストに登録されており、「PhishSiteEdge%2ehtm」とすることでチェックが回避できるものとみられる。