Microsoftは17日、Windows 7 SP1以降、2016年4月までの更新プログラムをまとめた「便利な更新プログラムのロールアップ」の提供を開始した(TechNet blog — Windows for IT Prosの記事、 KB3125574、 InfoWorldの記事、 Ars Technicaの記事)。

このロールアップにはセキュリティ関連およびセキュリティに関連しない修正プログラムがほぼすべて含まれている。そのため、このロールアップインストール後は5月以降の更新プログラムをインストールするだけでWindows 7 SP1を最新の状態にすることができるという。また、Windows 7 SP1のWIMファイルへの統合にも対応し、Windows Server 2008 R2向けのパッケージも用意されている。

便利な更新プログラムのロールアップを適用するには、Windows 7 SP1に加えて2015年4月のサービススタック更新(KB3020369)を事前にインストールしておく必要がある。また、完全なオプションとして提供されるもので、Windows Update経由で提供されることはなく、Microsoft Updateカタログから個別にダウンロードする必要がある。なお、32ビット版のWindows 7 Professionalで実際に試してみたところ、インストール後に更新プログラムの確認を実行すると54個の更新プログラムが検出された。中には古いものも含まれており、網羅されているというわけではないようだ。

また、Windows 7 SP1/8.1(Windows Server 2008 R2 SP1/2012/2012 R2も含む)向けに、セキュリティにかかわらない更新プログラムをまとめたロールアップパッケージを毎月提供することも同時に発表されている。こちらはMicrosoft Updateカタログだけでなく、Windows UpdateやWSUS、SCCMでも提供されるとのことだ。

B-CASカードを利用せず、無料で有料放送の視聴を可能にするプログラム「FreeCAS」を独自に開発したという17歳少年が、不正競争防止法違反（技術的制限手段回避装置の提供）容疑で逮捕された。有料放送を無料で視聴できるよう改造したB-CASカードを販売して摘発された例はすでに何件もあるが、B-CASカードを使用しないで有料放送を視聴できるようにしたプログラムでの摘発は全国初だという（日経新聞、NHK、朝日新聞）。

この少年はデジタル放送の仕様書を読むなどして、独自にプログラムを作成したと見られている。このプログラムを利用した放送の視聴には別途暗号鍵の情報が必要だが、この情報はネットで不正に公開されているという。

あるAnonymous Coward 曰く、

先日公開されたWindows 10 Anniversary UpdateではLinuxサブシステムが搭載され、Windows上でBashやUbuntu環境が利用できるようになっている。しかし、これによって新たな脆弱性も生まれている模様。eWeekの記事によると、米国で開催されたセキュリティ関連イベント「Black Hat USA」にて、早速これらについての指摘があったようだ。

記事によると、すでにいくつかのセキュリティ問題がMicrosoftに報告されており修正されているようだ。また、これ以外にも未発見の脆弱性が潜んでいる可能性はある。さらに、Linuxサブシステム上で実行されるアプリケーションはWindowsのセキュリティ機能であるAppLockerの対象外であることから、Linuxサブシステムを経由してWindows本体側を攻撃するようなアプリケーションが登場する可能性もあると指摘されている。

美少女ゲームメーカーあかべぇそふとつぅが、強力なコピープロテクトを同社製ゲームに導入することが話題になっている（おたぽる）。

同社ゲームに限らず、PC向け美少女ゲーム分野では違法コピーが蔓延しており、同社が1月29日に発売したゲームは同社社長が「今度実装するプロテクトは、割られないと思います」と述べていたにも関わらず、その2日後には違法コピーがされていたという。そこで、現在最高レベルというコピープロテクト技術「Denuvo」を導入することに決めたそうだ。Denuvoは2014年に発売された「Dragon Age: Inquisition」というゲームに採用され、ハッカー集団がこのプロテクトを解除するのに1か月間を費やしたことが話題になった（AUTOMATON）。さらに、2015年11月末に発売されたDenuvo採用タイトル「Just Cause 3」の場合、プロテクトを解除したというハッカー集団が現れるまでに2か月以上がかかったそうだ。

同社の三舛啓社長によるTwitterへの投稿によると、Denuvoが美少女ゲームで採用されるのは初めてだという。三舛氏はまた、「業界の為にゲームは無料では遊べないように 新しいプロテクトを試していくことに意義があると思います」とも述べている。

あるAnonymous Coward 曰く、

地方税の電子申告を行えるeLTAX 地方税ポータルシステムでは、利用の際に特定のバージョンのJavaランタイムを必要としていたのだが、3月14日よりJava実行環境が不要となったという。Javaランタイムではかねてから脆弱性問題が指摘されていたためこれは素晴らしい……と思いきや、その代わりにActiveXを利用するように変更されたとのこと（eLTAXサイトの設定方法解説ページ、高木浩光＠自宅の日記）。以前はセキュリティ対策のため、「利用時に指定のJava実行環境をインストールし、利用が完了したら直ちに最新版をインストールするか実行環境を削除せよ」との指示が出ており、それよりはマシという判断だろうか。

なお、必要要件はWindows Vista SP2、Windows 7 SP1、Windows 8.1およびInternet Explorer 9.0もしくは11.0（64bit版は除く）となっている。最近のWindowsマシンはほぼ64ビット版OSがインストールされているため、32ビットでIEを動作させるよう設定を変更し、拡張保護機能も無効化しなければならない。ちなみにMicrosoftは最新ブラウザのEdgeでActiveXコントロールのサポートを廃止していることからも分かるとおり、ActiveXについては今後のサポートを縮小させる雰囲気である。さらにWindows 8.1のサポートは約7年後（2023年1月10日）までなので、少なくともそこまでにはサイトを刷新しなければならないのだが、どうするのだろうか。

headless曰く、

Microsoftは15日、Windows 7/8.1（Windows Server 2008 R2/2012/2012 R2を含む）を対象に、10月から更新プログラム提供をロールアップモデルに移行し、セキュリティ関連の修正と信頼性関連の修正を1つにまとめたロールアップパッケージとして提供することを発表した（Windows for IT Pros、Windows Central、V3、Ars Technica）。

Microsoftでは5月にWindows 7 SP1以降の更新プログラムをまとめた「便利な更新プログラムのロールアップ」を提供開始した際にロールアップモデルへの移行を発表していたが、この時点ではセキュリティに関連しない修正プログラムのみが含まれると説明していた。しかし、ユーザーからのフィードバックを受けてセキュリティ関連の修正プログラムも含めるようにしたとのこと。サービススタックやAdobe Flashなど個別に提供される更新プログラムもあるが、ロールアップパッケージにセキュリティ関連の修正も含まれるということで、毎月の更新プログラムの本数は大幅に少なくなるとみられる。これによりパッチの依存関係などの問題が発生しにくくなり、パッチの適用やテストは単純化される。一方、問題発生時に特定のパッチだけを削除するといった対応は難しくなる。

ロールアップパッケージは11月以降、前月までのロールアップによる修正をすべて含むものとなる。来年にはそれ以前のパッチも順次追加されていき、最終的には完全な累積的な更新プログラムとして提供することを目指すという。ロールアップパッケージはWindows Updateで配布されるほか、WSUSやSCCM、Microsoft Updateカタログでも配布される。

なお、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供される。こちらは当該月にリリースされたパッチのみが含まれ、WSUSやSCCMおよびMicrosoft Updateカタログで配布される。更新プログラムの配布方式変更に伴い、ロールアップとセキュリティのみの更新プログラムについては、Windows 10と同様のリリースノート形式で変更点の説明が行われるようになるとのこと。

このほか、同時に.NET Frameworkの更新プログラムもロールアップモデルへ移行する。こちらもセキュリティ関連のパッチだけをまとめた更新プログラムがMicrosoft UpdateカタログおよびWSUSで提供される。また、近いうちにMicrosoft UpdateカタログはActiveXコントロールに依存せず実行できるようになるそうだ。現在のMicrosoft UpdateカタログはActiveXコントロールを必要とするため、使用できるのはInternet Explorerのみ。Microsoft Edgeでも使用できなかった。

nemui4 曰く、

アクセス制限が行われておらず、誰もが閲覧できる防犯カメラ映像をまとめたサイト「Insecam」が最近また話題になっている模様（ネタとぴ、ITmedia）。

Insecamは公開されているカメラを国別に探すことができ、日本国内に設置されているカメラは5000件以上登録されている。屋外に設置されているものが多いが、工場やオフィスなど、室内に設置されているものもある。

Insecamは2014年にも話題になり、その際もパスワードなどの設定が呼びかけられていた（TechCrunch）。

秘密の質問と答えのような知識ベースの認証(knowledge-based authentication: KBA)は、以前から認証システムの最弱点とみなされているにもかかわらず、採用しているWebサービスは相変わらず多い。米Yahooのアカウント情報流出のストーリーでは、秘密の質問の答えにどのような内容を入力すべきかについて話題になった。コメントでは「パスワードのようにランダムな文字列を設定する」という選択肢が挙げられているが、InfoWorldの記事でもKBAを採用するWebサービスを利用せざるを得ない場合、質問の答えをパスワードのように扱うことを提案している。

Webサービスでプリセットされている秘密の質問は、秘密といえないものがほとんどだ。元アラスカ州知事サラ・ペイリン氏の電子メールアカウントに侵入して有罪判決を受けたハッカーは、秘密の質問として設定されていた誕生日がWikipedia記事に記載されており、ハッキングといえるものではないと主張したそうだ。また、元米大統領候補のミット・ロムニー氏のアカウントは、攻撃者がロムニー氏の好きな動物を知っていたために乗っ取られたという。

ペイリン氏やロムニー氏のような著名人でなくても、こういった情報をソーシャルメディアで公表している人も多いだろう。記事では質問の答えに本当の答えを使用しないのはもちろんのこと、本当らしく見える嘘の答えも使用してはいけないと主張する。嘘の答えであっても、質問の趣旨にあった物であれば推測が可能となるからだ。KBAで3つの質問と答えが要求されている場合、それぞれ個別に無意味でパスワードっぽい答えを用意すべきとのこと。

記事を執筆したRoger A. Grimes氏はKBAが許可するなら複数の質問に同じ答えを入力しても構わないと考えているが、同じ答えを認めないKBAも25%程度存在するそうだ。なお、複数のWebサイトで答えを共有してはいけない。質問の答えは暗号化されないことが多いようなので、流出時のリスクはパスワードよりも高くなる。また、ありがちなパスワードにみられるような文字列も避けた方がいいと思われる。スラドの皆さんのご意見はいかがだろう。

東京、神奈川、愛知、大阪、福岡など17都府県のコンビニATMで、15日午前5時過ぎから8時前の約2時間半の間に偽造クレジットカードによる大量の不正引き出しが発生した。引き出された総額は約14億4000万円に上るという（読売新聞、東京新聞）。

一部のカードは偽造カードとして検知されATMが回収していたそうだが、回収されたカードは「中国系焼き肉店の顧客カード」ものだったそうだ。また、使われたクレジットカード情報は南アフリカ・スタンダード銀行のもの約1600枚分だったという。行われたのは預金からの引き出しではなく、カード会社から現金を借りる「キャッシング」での引き出しで、各ATMから引き出されたのは限度額の10万円だが、1万4000回以上の取引が行われていたとのこと。

カスペルスキーのセキュリティソフト「カスペルスキー2016」（Windows版）を導入すると、閲覧するWebサイトのHTMLコードが勝手に変更され、カスペルスキーのサーバーと通信するようなJavaScriptが読み込まれるという（バイナリ覚書）。

カスペルスキー2016をインストールすると同時にInternet ExplorerおよびFirefox、Chrome向けのアドオンがインストールされるが、これらを無効化してもJavaScriptコードの読み込みは止められないとのこと。null-x.ccによると、この問題はカスペルスキー2015のときから存在していたようだ。また、プラグインを完全に削除することができないという話もあるという。