子供向けゲームアプリなどを装い、アダルト広告やユーザーを欺く内容の広告を表示するマルウェアがGoogle Playで60本以上見つかったそうだ(Check Point Researchの記事、 The Next Webの記事、 The Vergeの記事、 The Registerの記事)。

発見したCheck Pointが「AdultSwine」と名付けたマルウェアは、C&Cサーバーから表示する広告や表示条件、アンインストールされにくいようにアプリアイコンを隠すかどうか、といった設定をダウンロードする。広告の内容はアダルト広告のほか、端末がウイルスに感染したとしてウイルス除去とは無関係とみられるアプリをインストールさせるスケアウェアタイプ、賞品が当るなどと称して有料サービスに登録するもの。広告はアプリ本体がフォアグラウンドで実行されていないときにもポップアップ表示されるようだ。

リストアップされている「AdultSwine」アプリは63本で、ダウンロード数が最も多い「Five Nights Survival Craft」は100万～500万ダウンロードとなっており、63本合計で少なくとも300万回はダウンロードされている。子供向けアプリのインストールでアダルト広告が表示されるようになったといった苦情もGoogle Playのレビュー欄に投稿されていたらしい。

Googleはこれらのアプリを既に削除しており、開発者アカウントも停止したとのコメントを出しているそうだ。また、The Vergeに対しては、「親子向け」カテゴリーのアプリでは人の目で広告をチェックして子供の安全を守るようにしているが、問題のアプリはこのカテゴリーに含まれていなかったと説明したとのことだ。

Spectre/Meltdown脆弱性緩和策を含むWindowsの更新プログラムでは一部のウイルス対策ソフトウェアで互換性の問題が発生しており、Microsoftはベンダーに対して対応済みであることを示すレジストリ値のセットを要求している。これについて、セキュリティ専門家のKevin Beaumont氏が各製品の対応状況をまとめている(DoublePulsarの記事、 対応状況一覧、 The Registerの記事)。

リストアップされている製品では既に大半が互換性の問題を解決しており、未対応なのは11日時点で360 Total SecurityおよびCounterTack Sentinelのみとなっている。一方、対応済みであってもレジストリ値のセットをユーザー任せにしている製品も多い。そのため、ユーザーが自分でレジストリ値をセットしなければ今回の更新プログラムだけでなく、今後のセキュリティ更新プログラムも受け取ることができなくなる。

レジストリ値のセットをユーザー任せにしているのは、主に次世代エンドポイントプロテクションなどと呼ばれる製品だ。こういった製品は従来、もう一つの保護レイヤーとしてウイルス対策ソフトウェアに追加する使い方が提案されてきたが、最近ではセキュリティ関連の予算が厳しい企業にも受け入れられるようにウイルス対策ソフトウェアの置き換えを提案することが増えているという。しかし、ウイルス対策ソフトウェアと共存している環境では問題が発生する可能性もあるため、手動でのレジストリ設定を選択しているようだ。

互換性の問題は、ウイルス対策ソフトウェアがWindowsカーネルメモリにサポートされない呼び出しを行うことで発生する。そのため、Beaumont氏はウイルス対策ソフトウェアベンダーに対し、非公開APIなどを使ってメモリアドレスを特定するような手法をやめるよう呼び掛けている。また、「次世代」製品のベンダーには、ウイルス対策ソフトウェアの置き換えとして製品を売るならウイルス対策ソフトウェアベンダーとしてふるまうべきだと提案する。さらにMicrosoftに対しては、レジストリによる互換性チェックには終了日を設ける必要があると述べている。

なお、Windows Serverの場合、更新プログラムを適用しただけでは緩和策が有効にならず、有効にするには別途レジストリの設定が必要になるとのことだ(KB4072698)。

長年にわたり英国・ロンドンのエクアドル大使館で保護しているジュリアン・アサンジ氏の問題を解決するため、エクアドル政府はアサンジ氏を帰化させて外交官として登録するという裏技を繰り出したのだが、外交官登録は英政府にあっさり断られてしまったそうだ(エクアドル外務省の発表、 SlashGearの記事、 NPRの記事、 The Registerの記事)。

アサンジ氏はスウェーデンで性的暴行など4件の容疑をかけられ、2010年にロンドンで逮捕された。しかし保釈中の2012年、エクアドルへの政治亡命を求めてエクアドル大使館に入り、そのまま5年半にわたって滞在を続けている。スウェーデンでの容疑は3件が2015年に時効を迎え、残る1件については昨年5月にスウェーデンの検察が捜査をいったん打ち切ると発表しているが、保釈中に逃亡したことから英警察はアサンジ氏が大使館を出るのを待ち構えているという。

スウェーデンの検察は後日アサンジ氏に接触できるようであれば捜査を再開すると述べているが、それ以上にアサンジ氏は米国へ身柄送還されることを懸念しているようだ。アサンジ氏が大使館の外に出れば身柄を拘束される危険があるため、エクアドル外務省ではさまざまな案の中から外交官特権によりアサンジ氏の人権を守るという方法を選択したとのこと。

エクアドル外務省の発表によれば、アサンジ氏は昨年9月16日にエクアドルへの帰化申請をし、12月12日に承認された。しかし、英国での外交官登録については12月21日に却下されたという。一方、英政府では、保釈中に逃亡したアサンジ氏が大使館を出て裁判を受けることが問題解決への道だとし、彼にエクアドルの市民権を与えることが長年にわたる問題を解決する道だなどと主張すべきではないとの声明を出したと報じられている。それでもエクアドル側は他の解決の道を探っているとのことだ。

あるAnonymous Coward曰く、

サイバーセキュリティ関連のクイズイベントで商品として提供されていたUSBメモリにマルウェアが混入していたそうだ（BBC、The Register、Slashdot）。

このイベントは昨年の12月11～15日に開催されたもの。感染していたウイルスは中国の古いウイルスサイト「Liberty Times」で配布されていた「XtbSeDuA.exe」で、32ビットマシンから個人情報を盗み出すタイプのものだという。クイズの受賞者に提供された250個のうち少なくとも54台がウイルスに感染していたものとみられている。まだ回収されていないものが34台ほどある模様。

headless曰く、

Windows 8.1のメインストリームサポートが1月9日で終了した（Windowsライフサイクルのファクトシート、Neowin、Softpedia、On MSFT）。

Windows 8.1が一般向けに提供開始されたのは2013年10月18日。Windows製品は通常最低5年間のメインストリームサポートが提供されるが、Windows 8.1はWindows 8のサービスパック扱いになっているため、Windows 8が一般向けに提供開始された2012年10月26日が基準になっているようだ。今後5年間は延長サポート期間となり、2023年1月10日までセキュリティ更新プログラムが提供される。なお、Windows 8のサポートは昨年1月12日で終了しており、更新プログラムを受け取るにはWindows 8.1へのアップグレードが必要になる。

StatCounterの12月分Windowsバージョン別シェアデータでWindows 8+8.1のシェアは12.02%。デスクトップOS全体に換算すると9.94%となる。Windows 7とWindows XPが大きなシェアを占める中、Windows 8+8.1のシェアは2015年6月にようやく20%を超えたが、Windows 10の一般提供開始後は大きくシェアを減らすことになった。

1月9日にはWindows 10 Mobile（Enterprise版含む） バージョン1511のサポートも終了した。バージョン1511は一般向けに提供されたWindows 10 Mobileの最初のバージョン。2015年11月にはLumia 950/950 XLなど複数の搭載モデルが発売されたが、Windows Phone向けの提供が始まったのは翌2016年3月だった（Microsoftサポート、2018年にサポートが終了する製品、Neowinの記事[2]、Windows Central）。

Windows 10 Mobileでは延長サポートが提供されず、サポートを受け続けるにはより新しいバージョンへのアップグレードが必要になる。モバイル版バージョン1511向けの更新プログラムは2016年12月13日のビルド10586.713が最後のようで、Spectre/Meltdown脆弱性対策を含む1月の更新プログラムは提供されていない。なお、1月の更新プログラムでモバイル版にも提供されるとの記述があるのはバージョン1607とバージョン1703のみになっており、バージョン1709には記述がない。

headless曰く、

Microsoftは9日、一部のAMDベースのデバイスに対し、Spectre/Meltdown脆弱性対策を含む更新プログラムの提供を一時停止することを発表した （Microsoftサポート— KB4073707: 日本語版、英語版）。

Microsoftによれば、Spectre/Meltdown脆弱性の緩和策を開発するためにAMDから提供されたドキュメントに一部のAMDチップセットが準拠していないことが判明したという。その結果、該当するAMDチップセット搭載デバイスに更新プログラムを適用するとWindowsが起動できなくなるとのこと。

影響を受けるAMDデバイスへの提供が一時停止されているのは以下の更新プログラムだ。タレコミ時点では日本語版ドキュメントにAMDデバイスでの問題が記載されていないため、リンク先は英語版ドキュメントになっている。なお、1月の月例更新で提供されるマンスリーロールアップ以外は、4日に提供が始まっていた。

• Windows 7 SP1/Server 2008 R2 SP1
  • KB4056897（セキュリティのみの更新プログラム）
  • KB4056894（マンスリーロールアップ）
• Windows 8.1/Server 2012 R2
  • KB4056898（セキュリティのみの更新プログラム）
  • KB4056895（マンスリーロールアップ）
• Windows 10
  • KB4056893（ビルド10240.17738）
  • KB4056888（ビルド10586.1356）
  • KB4056890（ビルド14393.2007、Server 2016を含む）
  • KB4056891（ビルド15063.850）
  • KB4056892（ビルド16299.192）

なお、更新プログラムが送信されない可能性があるのは、影響を受けるAMDシステムに「互換性のある」ウイルス対策ソフトウェアを「インストールしている」場合と説明されている。少しわかりにくいが、上記の更新プログラムは互換性の問題が確認されている一部のウイルス対策ソフトウェアをインストールした環境にはチップセットにかかわらず提供されていないため、このような説明になっているようだ。

一部のウイルス対策ソフトウェアで確認されている互換性の問題とは、Windowsカーネルメモリに対してサポートされない呼び出しが行われることで、BSoDが発生してWindowsを起動できなくなる可能性があるというものだ （Microsoftサポート— KB4072699: 日本語版、英語版）。

Windows 8.1/10のWindows DefenderやMicrosoft Security Essentialsなど、問題のないウイルス対策ソフトウェアでは、レジストリの「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat」にDWORD値「cadca5fe-87d3-4b96-b7fb-a231484277cc」があり、値のデータに「0」がセットされている。この値がセットされていない場合、今後のセキュリティ更新プログラムも受け取ることができないとのこと。

何らかの理由でウイルス対策ソフトウェアをインストールできない環境では、上述のレジストリ値をセットすることで更新プログラムを受け取ることができるようになる。このレジストリ値は互換性のないウイルス対策ソフトウェアをインストールした環境で更新プログラムを受け取れるようにするためのものではないので、注意が必要だ。

中国や東アジア地域で、タイガー魔法瓶製品の偽物が多く流通しているという。そのため同社は模倣品対策として、製品に「真贋判定シール」を導入することを発表した。このシールは製品のパッケージなどに貼り付けられており、シールをめくると現れるQRコードをスキャンしてWebサイトにアクセスすることで、製品が正規品かどうかを判定できるという。

同じQRコードが複数回スキャンされるとその旨が表示され注意が促されるほか、登録されていないコードだった場合は不正なものとの警告を出すという仕組み。

三井住友カードがパスコード認証機能付きのクレジットカードを発表した。日経新聞では「電源付きクレカ」などとして紹介されているが、このクレジットカードには入力ボタンや数字を表示するディスプレイ、スイッチが組み込まれている。クレジットカード番号は一部のみが表示されており、正しいパスコードを入力するとクレジットカード番号の残りがディスプレイに表示される仕組み（ITmedia）。

パスコードを入力しないと、磁気ストライプやICチップ機能を使った決済もできないとのこと。これにより、盗難クレジットカードなどによる不正決済を防止できるという。

米国土安全保障省科学技術局(DHS S&T)が米陸軍研究所(ARL)および民間のCole Engineering Services, Inc(CESI)とともに、学校に侵入した乱射犯人に対応するためのトレーニングプログラムを開発しているそうだ(APの記事、 SlashGearの記事、 The Vergeの記事、 Rolling Stoneの記事、 動画)。

このプログラム「First Responder Sandbox Trainer (FRS)」は、Unrealエンジンを使用して構築された「Enhanced Dynamic Geo-Social Environment (EDGE)」トレーニングプラットフォーム上で動作する。EDGEは警察官や消防隊員、救急隊員といったファーストリスポンダーが乱射・人質・火災などを想定したトレーニングをPC上で行えるようにするマルチプレイヤーFPSゲーム風プラットフォームだ。昨年6月には26階建てホテルでの乱射事件というシナリオがファーストリスポンダー向けに公開されていた。

学校バージョンのシナリオでは教師役と乱射犯人役、警察官役が用意されている。教師役は子供たちを落ち着かせて安全な方向に誘導し、乱射犯人役は銃を乱射、警察官役は犯人を確保することが目的となる。乱射犯人役は事件の現場を知っている警察官が担当することが望ましいとのこと。学校バージョンのシナリオは当初2017年秋の公開となっていたが、今春に延期されたようだ。なお、プログラムはCESIのWebサイトで公開されるが、トレーニングの必要なファーストリスポンダーや学校関係者にのみ提供され、一般に提供されることはないとのことだ。

ユーザーのパーミッションを得る必要がないスマートフォンの各種センサーから取得したデータと機械学習により、高い成功率でPINコードを推測できるという研究結果が発表された(論文: PDF、 南洋理工大学のニュースリリース、 HackReadの記事)。

画面に表示されたキーパッドからPINを入力する際には押すキーの位置によって端末の傾きの変化などが異なる。そのため、センサーから取得したデータを処理することでPINを推測する研究は過去にも発表されている。データの取得方法としては、PIN全体の入力パターンを1つのデータとして取得する方法と1桁ごとに取得する方法が考えられる。全体を取得する場合は4桁でも10,000パターンのデータが必要なため、過去の研究では50パターンに限定するという手法がとられていた。今回の研究では1桁ごとに取得する方法を用いており、少ないパターンのデータですべての組み合わせに対応できるほか、桁数の異なるPINにも対応可能となる。

攻撃のシナリオとしては、まずターゲットの端末に送り込んだ攻撃用アプリでプリセットしたPINのパターンを入力させてデータを取得し、アルゴリズムに学習させる。次に実際のPINコード入力時のデータを取得し、学習結果からPINを推測するというものだ。学習データを取得する際には、前後のキー入力の組み合わせによる変化をカバーするため、厳選した70パターンのPINコードを5回ずつ入力させ、検証用に50パターンのランダムなPINコードも入力させている。研究ではボタンをPIN入力用のキーパッドと同じ配置にしたアプリを使用しているが、カジュアルゲームなどを装って学習データを取得する方法が提示されている。

Intel CEOのBrian Krzanich氏が昨年11月、同社の株式を大量に売却していたことが再び話題になっている(V3の記事、 Softpediaの記事、 On MSFTの記事、 Business Insiderの記事)。

Intelの内規では重役や取締役に5年間一定数の株式を保有することが義務付けられており、CEOの場合は25万株だという。Krzanich氏がCEOに就任したのは2013年5月。そのため、2018年5月まで25万株を保有し続ける必要がある。

Krzanich氏は昨年11月29日にストックオプションを行使して得た合計644,135株を売却し、保有していた495,743株のうち合計245,743株を売却している。売却時のIntel株は44.05ドル～44.555ドル、ストックオプションの行使には1株当たり12.985ドル～26.795ドルを支払っているため、手元にちょうど25万株だけ残して2,500万ドル近くを得たことになる。

この件は昨年のうちに報じられていたが、Intelプロセッサーの脆弱性が公表されて同社株は下落しており、この脆弱性をProject ZeroがIntelに伝えたのが昨年6月だったため、脆弱性を知って売却したのではないかと疑惑を呼ぶことになった。ただし、IntelではKrzanich氏による株式の売却は以前から計画されていたもので、脆弱性の報告とは無関係だと述べているとのことだ。

osdn曰く、

PGPやGnuPGには近年いくらかの批判もありますが、開発は情熱的に続いています（過去記事：PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される、PGPは有害無益？）。

とはいえ、GnuPGは20年以上の開発によって内部構造が複雑になりすぎています。これに伴う種々の問題に取り組むため、NeoPGという新たなプロジェクトが発足しています。

スライドによると、GnuPGは49万行のコードから成り、400近くのコマンドラインオプション、2種類のOpenPGPパーザ、自前のHTTPクライアントやDNSリゾルバ関連コードを持つ、重厚長大なプロジェクトです。NeoPGでは、できるだけレガシーコードを減らし、外部ライブラリを積極的に利用することで、開発を容易にするつもりです。スライドの時点で、すでに行数はほぼ半減し、コマンドラインオプションも120ほど減っているそうです。

ブログでは、そのほかにもautoconfではなくCMake、CPPマクロではなくC++テンプレート、数多くの小さなバイナリではなく単一バイナリ、長生きするデーモンではなく、すぐ終了するヘルパープロセスといった劇的な設計変更の理由について説明しています。（このうちの一部はUNIX哲学からの逸脱と見られかねないことも理解したうえで、使い勝手や開発/メンテナンスのコスト、コンピュータ性能の発達などを考慮した結果とのことです。）

ライセンスについても、GitHubのREADME.mdによれば「今のところGPLやLGPLなど様々なライセンスのコードを含んでいるが、新規コードはSimplified BSDライセンスに限っている」という書き方からして、GPLからの脱却を目指しているようです。

全体的に、ここ10年程度のトレンドを慎重に取捨選択して、そつなくリファクタリングしているように見えますが、皆さまはどう評価されるでしょうか。

あるAnonymous Coward 曰く、

どうも報道規制があるようでよく分からないのだが、少なくとも現行のIntel製CPUに脆弱性があり、カーネルメモリをユーザプロセスやWebページに組み込まれたJavaScriptなど様々なユーザ空間プロセスから読み出せる可能性があるようだ（4chan.org、TechCrunch）。対策としてLinuxカーネルやWindows NT系OSにおいてカーネルメモリ空間へASLRの導入がひっそりと進んでおり、Amazon、Google、Microsoftなどクラウドサービス事業各社は大規模なアップグレードを早いところでは来週にも計画している。

影響される利用形態はVPSにとどまらずデスクトップも含まれるが、対象のハードウェアがIntel Coreシリーズプロセッサやその一部で収まるのか、Core 2 Duoやそれ以前、またVIA Technologiesなど他社へ拡張されるかは不明だ。AMDは自社製品についてそのようなバグの影響を受けないと回答している。Linux Kernelにおいてはこの機能を有効にするフラグは X86_BUG_CPU_INSECURE と名付けられ、AMD製ではないすべてのx86プロセッサで有効になるよう設定されている。有効にすることによる性能低下は最大で35%弱となるようだ。

この脆弱性はGoogleのセキュリティチームProject Zeroによって発見されたもので、3日付けで解説記事が公開されている。昨今の多くのCPUに搭載されている投機的実行機能を悪用するもので、2017年6月にIntelおよびAMD、ARMにこの脆弱性を報告していたとのこと。この脆弱性を突く実証コード（PoC）も開発されている。

Project Zeroの発表では、3種類の脆弱性が提示されている。これに対しAMDは声明を発表、AMDのCPUにおいてこれらのうち1つは影響があるもののソフトウェアやOSの修正で対応できるとし、その場合の性能への影響もほとんどないとしている。また、1つは未検証ながらリスクは0に近く、1つは影響しないとしている。

また、ARMもこれについての情報を公開している。これによると、一部のCortexシリーズプロセッサがこの脆弱性の影響を受けるとのことだが、Linuxにおいてはすでに対応パッチが提供されているという。

自身のTwitterアカウントが2要素認証を有効にしたせいでハックされたと「サイバーセキュリティのレジェンド」ジョン・マカフィー氏が主張している(HackReadの記事、 BetaNewsの記事、 BBC Newsの記事)。

マカフィー氏は12月21日から「Coin of the day」として、あまり知られていない今後が期待される仮想通貨を毎日Twitterで紹介していたが、26日をもっていったん休止し、毎週月曜日の朝(初回は1月1日)に「Coin of the week」として再開すると宣言していた。しかし、27日に偽の「Coin of the day」がマカフィー氏のアカウントで複数投稿されたらしい。

マカフィー氏はアカウントがハックされ、Twitterに通知したとツイートし、偽投稿は既に削除されている。別のツイートではセキュリティのエキスパートであってもTwitterのセキュリティまでは手が届かないとし、自身がハッカーの恨みを買って攻撃のターゲットになっているとも述べている。マカフィー氏の偽アカウントもたびたび出現しているようだ。状況に関する質問に対しては、携帯電話が乗っ取られたらしいと返信しており、BBCの取材には2要素認証を有効にした際に認証コードがハッカーに盗み見られたとの見解を示したとのこと。その後マカフィー氏はすべてのアカウントで2要素認証を無効にしたそうだ。

どのような攻撃を受けたのかは不明だが、HackReadの記事では共通線信号No.7(SS7)の脆弱性が使われた可能性を指摘している。マカフィー氏が最高サイバーセキュリティビジョナリーを務めるMGT Capitalではセキュリティに主眼を置いたスマートフォン「Privacy Phone」バージョン2を2018年に発売する計画だが、攻撃にあった携帯電話の機種に関する質問には回答していない。レジェンドの思わぬ失態を面白がっているセキュリティ専門家もいるようだ。

あるAnonymous Coward 曰く、

一部のモバイルWiFiルーターは、PCにUSB経由で接続して利用した際にPCに直接グローバルIPアドレスを割り当てるという挙動をするそうだ。一部のマルウェアはこれを利用してPCを狙った攻撃を行っているという（徳丸浩のTweet、INTERNET Watch）。

PCに直接グローバルIPアドレスが割り当てられることで、PCの設定によってはインターネットから直接PCの全ポートへのアクセスが可能になるおそれがある。これを利用し、PCにインストールされているソフトウェアの脆弱性を攻撃してマルウェアに感染させるという攻撃が実際に発生しているそうだ。具体的には、IT資産管理ソフト「SKYSEA Client View」の脆弱性が狙われたとの報告があるという。