あるAnonymous Coward 曰く、

先日公開されたWindows 10 Anniversary UpdateではLinuxサブシステムが搭載され、Windows上でBashやUbuntu環境が利用できるようになっている。しかし、これによって新たな脆弱性も生まれている模様。eWeekの記事によると、米国で開催されたセキュリティ関連イベント「Black Hat USA」にて、早速これらについての指摘があったようだ。

記事によると、すでにいくつかのセキュリティ問題がMicrosoftに報告されており修正されているようだ。また、これ以外にも未発見の脆弱性が潜んでいる可能性はある。さらに、Linuxサブシステム上で実行されるアプリケーションはWindowsのセキュリティ機能であるAppLockerの対象外であることから、Linuxサブシステムを経由してWindows本体側を攻撃するようなアプリケーションが登場する可能性もあると指摘されている。

headless曰く、

Microsoftは15日、Windows 7/8.1（Windows Server 2008 R2/2012/2012 R2を含む）を対象に、10月から更新プログラム提供をロールアップモデルに移行し、セキュリティ関連の修正と信頼性関連の修正を1つにまとめたロールアップパッケージとして提供することを発表した（Windows for IT Pros、Windows Central、V3、Ars Technica）。

Microsoftでは5月にWindows 7 SP1以降の更新プログラムをまとめた「便利な更新プログラムのロールアップ」を提供開始した際にロールアップモデルへの移行を発表していたが、この時点ではセキュリティに関連しない修正プログラムのみが含まれると説明していた。しかし、ユーザーからのフィードバックを受けてセキュリティ関連の修正プログラムも含めるようにしたとのこと。サービススタックやAdobe Flashなど個別に提供される更新プログラムもあるが、ロールアップパッケージにセキュリティ関連の修正も含まれるということで、毎月の更新プログラムの本数は大幅に少なくなるとみられる。これによりパッチの依存関係などの問題が発生しにくくなり、パッチの適用やテストは単純化される。一方、問題発生時に特定のパッチだけを削除するといった対応は難しくなる。

ロールアップパッケージは11月以降、前月までのロールアップによる修正をすべて含むものとなる。来年にはそれ以前のパッチも順次追加されていき、最終的には完全な累積的な更新プログラムとして提供することを目指すという。ロールアップパッケージはWindows Updateで配布されるほか、WSUSやSCCM、Microsoft Updateカタログでも配布される。

なお、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供される。こちらは当該月にリリースされたパッチのみが含まれ、WSUSやSCCMおよびMicrosoft Updateカタログで配布される。更新プログラムの配布方式変更に伴い、ロールアップとセキュリティのみの更新プログラムについては、Windows 10と同様のリリースノート形式で変更点の説明が行われるようになるとのこと。

このほか、同時に.NET Frameworkの更新プログラムもロールアップモデルへ移行する。こちらもセキュリティ関連のパッチだけをまとめた更新プログラムがMicrosoft UpdateカタログおよびWSUSで提供される。また、近いうちにMicrosoft UpdateカタログはActiveXコントロールに依存せず実行できるようになるそうだ。現在のMicrosoft UpdateカタログはActiveXコントロールを必要とするため、使用できるのはInternet Explorerのみ。Microsoft Edgeでも使用できなかった。

Electronic Frontier Foundationは17日、Windows 10に関連してMicrosoftがユーザーの選択とプライバシーを露骨に無視していることを批判するブログ記事を掲載した(Deeplinks Blogの記事、 Neowinの記事、 BetaNewsの記事、 The Registerの記事)。

「ユーザーの選択を無視」というのは、7月29日に終了したWindows 10の無償アップグレードキャンペーンに関するものだ。Microsoftは更新プログラムとして「Windows 10を入手」アプリをWindows 7/8.1に提供し、Windows 10への無償アップグレードを1年以上にわたって勧め続けた。このほかにも、アップグレード推奨にはさまざまな方法が使われている。 2月にはWindows 10へのアップグレードが「推奨される更新プログラム」となり、Windows Updateを実行すると設定によっては自動的にアップグレードが開始されるようになった。5月には強制アップグレードが開始され、中央アフリカで密猟者から攻撃されているレンジャーに指示を出せなくなるというトラブルも発生した。

(続く...)

あるAnonymous Coward 曰く、

Windows 10では、すべてのカーネルモードドライバに対しMicrosoftによる署名が必要となるとされている。ただ、Windows 10のリリース時にはこれは適用されず、「今後のアップデートなどによって適用される予定」とされていたが、ついにその時がやってくる模様。

Windows Hardware Certification blogによると、Windows 10のバージョン1607より適用が開始されるとのこと。ただしすでにインストール済みのOSについてはアップデートによる影響はなく、新規インストールの場合のみ未署名ドライバのブロックが行われるようだ。また、テストモードでは未署名ドライバも利用可能とのこと。

caret曰く、

先日リリースされたWindows 10 Anniversary Update（Windows 10バージョン1607）ではWindows Inkという新機能が導入され、アクティブペンのサポートが強化された。だがその陰で、Windows XP Tablet PC Editionより標準搭載されてきた手書き入力ノートアプリ「Windows Journal」がひっそりとその役割を終えることとなった（山市良のえぬなんとかわーるど、Redmondmag.com、Redmond Channel Partner）。

サポート技術情報の記事（KB3161102）によれば、Windows Journalで使用されるファイル形式のJournalドキュメント（.jnt）は脆弱で、多くのセキュリティ攻撃を受けることからWindows 7および8.1のWindows Journalコンポーネントを削除する更新プログラムを配信したとのこと。

Windows 10バージョン1607においてもWindows Journalが削除されており、Windows 10の以前のバージョンをAnniversary Updateに機能アップグレードすることでも削除される。Windows VistaやWindows 10バージョン1507（RTM）、Windows 10バージョン1511向けのKB3161102は本タレコミ執筆時点で提供されていない。

Microsoftは無料で利用できるOneNoteへの移行を推奨しているが、引き続きWindows Journalを利用する必要があるユーザはKB3162655のインストールによりWindows Journalを再び有効化できる。この更新ではJournalドキュメント（.jnt）、Journalテンプレート（.jtp）ファイルを開く際に信頼できるファイルのみを開くようユーザに促すメッセージボックスが追加されており、オリジナルのWindows Journalに比べてセキュリティ上のリスクが低減される。ただし現在はベータ版となっており、対応言語は英語 （米国） のみとなっている。

Microsoftによるデジタルペンへの取り組みは長い歴史があり、Windows Journalはそれを象徴するアプリだった。また、付箋アプリもWindows XP Tablet PC Editionからの歴史あるアプリだが、Windows VistaでのWindowsサイドバー ガジェットとしての登場、Windows 7でのリニューアルを経て、Windows 10バージョン1607ではUWPアプリのSticky Notesとして刷新されている（従来のデスクトップ アプリは削除された）。

headless 曰く、

昨年、パスワードの強度を判定するツールの問題点が話題になったが、jQueryプラグインとして提供される人気のパスワード強度メーターでは現在もあまり改善されていないようだ（Naked Security、Guardian、Register）。

デジタルコンサルタント会社、英Compound EyeのMark Stockley氏は昨年、スラドで紹介したカナダ・コンコルディア大学の研究とは異なる方法でパスワード強度メーターを調査し、Naked Securityで結果を発表している。先日新たに掲載された記事によれば、前回の調査から1年以上たった現在も状況は変わっていないという。

判定に問題のあるパスワード強度判定ツールの弱点は、文字種や文字数の多さといったエントロピーにばかり注目するところだ。Stockley氏の行ったテストは、jQueryプラグインとして公開されているパスワード強度メーターで人気の高いもの5本を選び、よく使われるパスワード上位10,000件のリストから特定の条件を満たすパスワード5本を選んで判定させるというものだ。パスワード強度メーターはGoogleで「jquery strength meter」を検索し、上位5本を選んでいる。

選ばれたパスワードは「abc123 （14位、英字と数字の組み合わせで最上位）」「trustno1 （29位、英字と数字の組み合わせで2位）」「ncc1701 （158位、エンタープライズ号の登録番号）」「iloveyou! （8,778位、英数字以外の文字種が使われた中で最上位）」「primetime21 （8,280位、英字と数字の組み合わせで一番長い）」となっている。これらのパスワードはパスワードクラックツール「John the Ripper」で1秒以内にクラックできてしまうという。

これらのパスワードは確実に弱いパスワードだが、5本のパスワード強度メーターは少なくとも1つのパスワードでパスワード強度「中」と判定している。今回使用したパスワード強度メーターのうち2本は前回と同じものだが、前回とまったく同じ結果が出ている。今回はDropboxなどでも使われ、評価の高いオープンソースのパスワード強度メーター「zxcvbn」を比較対象として同じテストを行っており、こちらはすべて「非常に弱い」と判定したとのこと。

あるAnonymous Coward曰く、

TCPのセキュリティを向上させるはずの仕様であるRFC 5961に重大な脆弱性が発見され、その仕様を実装していたLinuxカーネル3.6以上を搭載する端末が影響を受けることが明らかになっていたが、この脆弱性がAndroid 4.4以降にも存在することが報じられている（Register、ZDNet Japan、INTERNET Watch）。

この脆弱性は7月12日に公開されていたもので、短い所要時間・高い成功率で通信の妨害や乗っ取りが可能とのこと。既にパッチや回避策が提供されているが、Android向けの修正プログラムはまだ未提供とのこと。

なお、WindowsやMac OS X、FreeBSDなどのLinux以外のOSではRFC 5961の実装が遅れていたため、影響は無い。

あるAnonymous Coward曰く、

北海道・道立総合研究機構（道総研）が16日、同組織内のPCがウイルスに感染し外部と不正通信を行っていたことを発表した（発表資料、北海道新聞）。

ウイルスに感染したPCは音響用データ分析に用いられていたもので、種類や感染経路は調査中とのこと。北海道新聞によると、このPCはOSとしてWindows XPを使用しており、またインターネットへの接続も行っていたという。PC内には騒音等の音響データや当該パソコンを使用している職員の出張計画などの情報が保存されていたが、当該職員以外の個人情報や機密情報に該当する情報は保存されていたかったとのこと。

同機構は再発防止策として「今後は、ウィルスに感染する恐れのあるサイトの閲覧や標的型メールに対する注意喚起など情報セキュリティ意識の向上に関し、職員に対して、改めて通知するとともに、研修等を通じて情報セキュリティの向上を図りながら、再発防止に努めてまいります。」と発表した。セキュリティサポートが終了したWindows XPを更新せず研修で再発を防止するという内容に、疑問の声が上がっている。

あるAnonymous Coward曰く、

GoogleがGoogleアカウントにおけるOAuth認証について、利便性とセキュリティ強化のために仕様変更を行うことを明らかにした。具体的には、今後数ヶ月内にいわゆる「WebView」など、アプリケーションにWebブラウザの機能を組み込むためのコンポーネントからのOAuthリクエストを受け付けないよう変更するとのこと（Google Developers Blog）。代わりに、端末のWebブラウザ経由で認証を行う手法が推奨されている。

WebViewでのログインでは、アプリ毎にGoogleのログイン画面にアクセスしてアカウント名やパスワードを入力する必要があった。いっぽう、端末のWebブラウザ経由で認証を行うことで、アプリ毎にログインを行う必要がなくなり、一度Webブラウザでログインすればアプリ毎のログインは不要となる（ただし確認画面は表示される）点がメリットだとされている。

WebViewを使ったログインでは、以前から悪意のあるアプリがログイン画面を偽造してアカウント名やパスワードを盗み取る可能性が指摘されていた（OAuthの認証にWebViewを使うのはやめよう）。

headless 曰く、

英国・ロンドン警視庁では、組織内のパソコンの大半にあたる27,000台で現在もWindows XPが稼働しており、Microsoftとのカスタムサポート契約を結んで使用しているという(V3.co.uk、Register、Inquirer、Softpedia）。

ロンドン警視庁では2015年5月の段階で35,640台のパソコンのうち、Windows XPマシンが34,920台を占めており、2016年3月までにWindows 8.1への移行を完了する計画だった。しかし、現在までに移行が完了したのは8,000台にとどまり、さらに6,000台を9月末までに移行する予定だという。

ロンドン議会議員のAndrew Boff氏は、古いOSを使い続けることへの強い懸念を示す一方で、アップグレード先にWindows 8.1を選んだことにも疑問を呈す。Windows 8.1は最も広く使われているバージョンでもなく、最新版でもない。Boff氏はスタッフが使い慣れているのはWindows 10の方だろうとし、より先までサポートされる点が最も重要だと述べている。ちなみに、StatCounterのデータによれば、Windows 10は6月以降英国で最も多く使われているOSとなっている。