Googleは19日、Google Playで公開されるアプリのAPKファイルにセキュリティ関連メタデータの追加を始めたことを発表した(Android Developers Blogの記事、 Android Policeの記事、 SlashGearの記事、 The Registerの記事)。

セキュリティ関連メタデータの追加は昨年12月に発表されていたものだ。メタデータはAPK Signing Blockに挿入され、オフラインでAPKファイルを共有する場合にもGoogle Playから正規に入手したものであることが確認できるようになる。

通信コストの高い地域や通信速度の遅い地域では、Google Playから入手したアプリのAPKファイルを他の端末と共有してインストールするといったことが行われているという。メタデータの追加により、APKファイルの信頼性が高まるだけでなく、オフラインでインストールしたアプリもユーザーのGoogle Playライブラリーに追加され、アップデートを受け取ることが可能になる。

メタデータの追加はGoogle Play側で行われるため、開発者やユーザーは特に何もする必要はない。メタデータの追加に伴い、Google Playの最大APKサイズも調整されるとのことだ。

米移民関税執行局(ICE)がメキシコとの国境で2,000人近い不法移民の子供を親から引き離していると報じられたことで、Microsoftが批判にさらされている(Microsoftの声明、 ブラッド・スミス氏のLinkedIn記事、 The Vergeの記事、 Windows Centralの記事)。

Microsoftは1月、ICEによるAzure Governmentの採用を発表し、同社のクラウドが国土と公衆の安全をサポートすることを誇りに思うなどと述べていた。該当部分は18日に一時削除されていたそうだが、Microsoftは削除が手違いだったとしてすぐに復元し、本件に関する声明を別途公開した。

Microsoftは国境で子供を家族から引き離すことに関連する一切のプロジェクトにかかわっておらず、Azureがその用途で使われていることも認識していないと説明する。20年前から同社はテクノロジーを用い、家族と別れ別れになった難民や移民の子供が家族に再会できるよう取り組んでいると述べ、政権には政策変更、議会には子供たちが家族から引き離されないための法律制定を求めている。

これまで米国では不法移民の家族を子供と一緒に拘置することが難しいため、例外として子供がいる場合は拘置せず、出頭命令などに従わなかった場合に成人のみを拘置していた。しかし、4月にセッションズ司法長官が例外を認めないとする政策変更を発表し、5月には不法入国で訴追されれば子供から引き離すことになると述べていた。

なお、ドナルド・トランプ大統領は20日、拘束した不法移民を家族一緒に拘置することなどを盛り込んだ大統領令に署名した。

headless曰く、

Appleは18日、米国でiPhoneから緊急通報電話番号（911）への発信時、発信者位置情報を911センターに通知する機能をiOS 12に搭載すると発表した（プレスリリース、VentureBeat、9to5Mac、Mac Rumors）。

現在、911通報のおよそ80%がモバイルデバイスから発信されているが、有線電話時代の古いシステムでは正確に発信場所を把握するのが困難だという。AppleはAndroidが先行していたAML（Advance Mobile Location）にiOS 11.3で対応し、欧州などで通報センターへの位置情報提供が可能となっているが、米国ではAMLが導入されていない。

iOS 12では、業界標準のプロトコルに依存する911センターの既存のソフトウェアに緊急通報技術企業RapidSOSのシステムを統合することで、iPhoneの位置情報を迅速かつ安全に911センターに通知するという。位置情報はAppleが2015年に導入したHELO（Hybridized Emergency Location）によるもので、基地局やGPS、Wi-Fiアクセスポイントなどの情報から発信者の場所を予測する。

米連邦通信委員会（FCC）は2021年までに、少なくとも発信の80%について50m以内の誤差で発信者の場所を特定できるようキャリアに求めている。Appleによれば、FCCの要件よりも高い精度での位置情報取得を数年後ではなく、今年実現できるとのこと。911センターが発信者の位置を正確に把握できるようになることで、より多くの生命や財産が救えるようになると期待されている。

headless曰く、

MicrosoftがSSE2をサポートしない古いCPUを搭載したPCに対し、Windows 7の更新プログラム提供を打ち切ったのではないかという見方がでている（Computerworld、Softpedia）。

Microsoftは3月の月例更新（マンスリーロールアップKB4088875またはセキュリティのみの更新プログラムKB4088878、以降はマンスリーロールアップのリンクのみ記載）を適用するとSSE2非サポート環境でSTOPエラーが発生するという問題について、当初は「解決に取り組んでおり、今後のリリースで更新プログラムを提供する」とサポート記事の「回避策」で説明していた。

この問題は4月～5月の月例更新でも解決せず、同じ説明が記載されていたが、5月下旬になって英語版の各サポート記事では回避策が「SSE2をサポートするマシンにアップグレードするか、マシンを仮想化する」というものに変更された。6月の月例更新のサポート記事には以前の回避策が記載されていたが、後に問題自体が削除され、修正もされていないようだ。

なお、この問題に関する日本語版サポート記事の回避策は変更されておらず、今後のリリースで更新プログラムを提供する計画が3月分～6月分すべてに記載されている。

あるAnonymous Coward曰く、

macOSのFinder（ファイルマネージャ）にはファイルの内容をプレビューする機能（「クイックルック」）がある。クイックルックではプレビュー内容のサムネイルを自動的にしてキャッシュするのだが、暗号化されたドライブやボリューム内に格納されたファイルに対してもキャッシュを作成しており、これによって保護されたストレージ内のファイルの内容が閲覧される可能性があるという（GIGAZINE、Bleeping Computer、Slashdot）。

サムネイル画像は通常は/var以下に作成されるテンポラリディレクトリ内に配置されているSQLiteデータベースファイル内に格納されるようだ。検証では、暗号化されたストレージ内のデータをクイックルックで閲覧後、そのストレージをアンマウントしたところ、その状態でもキャッシュ内に閲覧したファイルのサムネイルが残っていたことが確認できたという。

CPUの投機的実行が原因となる脆弱性の報告が続いているが、Intelが6月13日、同様の新たな脆弱性の存在を明らかにした（ITmedia、CVE-2018-3665）。

WindowsやLinuxなどさまざまなOSが影響を受けるが、OS側で対応が行えるようだ。また、Webブラウザ経由での悪用は難しいとされている。

九州大学では学生や教職員向けにセキュリティ対策ソフトを提供しているそうだが、これが原因で多数のトラブルが発生しているという（西日本新聞）。

Windows 10の更新にセキュリティ対策ソフトが対応できておらず、更新後にPCが正常に動作しなくなるというトラブルが約500件確認されているという。なお、同大学は職員や学生向けにトレンドマイクロの「ウイルスバスター」製品を提供しているようだ（九州大学情報統括本部）。

なお、筑波大学でも学生向けにウイルスバスターを提供しているそうだが、こちらでも似たようなトラブルが発生しているという（筑波大学情報環境機構学術情報メディアセンターによる障害情報）。

ちなみに、ウイルスバスターは現在でも一部の製品がWindows 10 April 2018 Updateに未対応となっている（トレンドマイクロの「Windows 10 Update対応予定」ページ）。トレンドマイクロのセキュリティ製品では、Windows 10の「Fall Creators Update」の際もトラブルが発生していた（過去記事）。

AppleがiOS 12への搭載を計画しているUSB Restricted Modeについて、iPhoneアンロックツール GrayKeyを提供するGrayshiftが既に迂回方法を発見したのではないかとMotherboardが報じている(Motherboardの記事、 SlashGearの記事、 9to5Macの記事、 The Next Webの記事)。

USB Restricted ModeはiOSデバイスが最後にアンロックされてから一定時間が経過するとLightningポートの機能が充電のみに制限され、USBアクセサリーやPC/Macと通信するにはパスコードの入力が必要になるというもの。iOSベータにはたびたび実装されており、iOS 12ベータの実装では制限時間が1時間となっている。米捜査機関が利用するGrayshiftやCellebriteのiPhoneアンロックツールはLightningポート経由でiOSデバイスと通信する必要があり、実装されれば押収したiPhoneから情報を引き出せる可能性が大幅に低下する。

これまでUSB Restricted ModeがiOSの正式版に搭載されたことはないが、先日Appleが次の一般リリースで提供する計画を明らかにしたため捜査機関などの間で不安が広がっていた。Appleはユーザーの安全を第一に考えたもので、捜査機関の邪魔をする意図はないとも述べているが、ツールの利用が制限されることに違いはない。

これについて、Grayshiftとの面談を計画しているフォレンジック専門家がMotherboardにメールで伝えたところによれば、Grayshiftは同社の技術が長らく使用できるようあらゆる手を尽くしており、既にiOSベータのUSB Restricted Modeを突破したという。この話が事実かどうかは不明だが、メールではGrayshiftが自信満々のように見えるとも述べているそうだ。なお、GrayshiftはMotherboardのコメント要請を断ったとのことだ。

Googleは12日、Chrome拡張のインラインインストール機能を廃止する計画を発表した(Chromium Blogの記事、 Neowinの記事、 The Vergeの記事、 Softpediaの記事)。

インラインインストールを利用すると、Chromeウェブストアでホストされている拡張機能を作者のWebサイトなどから直接インストール可能になる。以前は任意のWebサイトでホストする拡張機能をインストールできていたが、不正な拡張機能が問題になったことから Googleはインラインインストールへの移行を推奨。2014年5月にはChromeウェブストア以外でホストされる拡張機能のブロックを開始していた。

さらに2015年にはユーザーをだますような説明で誘導する拡張機能のインラインインストールを無効化しているが、その後も同様の手法が後を絶たなかったようだ。Googleでは望まない拡張機能に関する大量の苦情を受けており、大半を不正なインラインインストールが占めているという。一方、Chromeウェブストアからインストールされた拡張機能は苦情が大幅に少ないとのこと。

インラインインストール廃止は3段階で進められる。まず、6月12日以降に新規公開された拡張機能では既にインラインインストールが無効化されており、chrome.webstore.install()メソッドを呼び出そうとすると自動でChromeウェブストアにリダイレクトされるようになっている。9月12日以降は既存の拡張機能でもインラインインストールが無効となり、Chromeウェブストアへのリダイレクトが行われる。12月初めに安定版リリース予定のChrome 71では、インラインインストール用のAPIメソッドが削除されるとのことだ。

インラインインストールを利用している拡張機能開発者に対しては、Chrome 71安定版リリースより前にWebサイトのインストールボタンをChromeウェブストアへのリンクに変更するよう求めている。

headless曰く、

シンガポール・セントーサ島で開催された米朝首脳会談のプレスキットにUSB扇風機が入っていたことで、陰謀論が持ち上がる騒ぎになったそうだ（Mashable、BetaNews）。

プレスキットには資料のほかにドナルド・トランプ大統領とキム・ジョンウン委員長の顔が印刷された穴あきうちわや、同じく2人の顔がラベルに印刷されたペットボトル入りの水、セントーサ島のガイドブックに加え、USB扇風機が入っていたという（袋には「Mini USB Fan」と印刷されているが、別の写真ではLightning端子にも見える）。

しかし、USB扇風機は中がどうなっているのかわからないことから、マルウェア感染の可能性が指摘され、使わないよう呼びかけが行われる騒ぎとなった。確実なセキュリティリスクだとの指摘も出ているが、実際に中身が確認されたわけではないようで、単なる扇風機の可能性もある。

セキュリティベンダーMcAfee（マカフィー）の公式ブログ記事で、JavaScriptを利用しているサイトは減少傾向にあるといった記述があり話題となっている（はてなブックマーク）。

問題の記事は「情報漏えいにつながる脆弱性「クロスサイトスクリプティング」」というもの。現在では修正されているが、WebArchiveで確認すると以下のような記述があったことが確認できる。

スクリプトとはJavaScriptのことで、Webサイト上でさまざまな機能を使用できるため、多くのサイトに導入されていました。ただし、現在は脆弱性の多さから減少傾向にあります。

また、現在のバージョンでも次のような理解しにくい記述が残っている。

最近ではJavaの脆弱性が多く発見されており、深刻な影響を受けるケースもあるため、スクリプトを無効にするWebサイトも増えています。

Webブラウザ上で仮想通貨の採掘を実行させる「Coinhive」を自身の管理するWebサイトに設置していたとあるWeデザイナーが、不正指令電磁的記録取得・保管罪で家宅捜索や取り調べを受け、罰金10万円の略式命令を受けていたことを報告している（ITmedia）。

この問題についてはセキュリティ研究家の高木浩光氏がまとめているが、Coinhiveの設置が不正指令電磁的記録取得・保管罪に該当するかどうかは明確ではなく、今回の摘発は不適当である可能性がある。

こういった「Coinhiveの摘発」はこの一件だけではなく、「合同捜査本部があって複数の県警に事件が割り振られており、結構な人数が検挙されているらしい」という話があるようだ。また、ウイルス対策ソフトウェアなどを提供しているメーカーがこういった仮想通貨採掘スクリプトについて過剰に危険だと煽っているとの指摘もある。

広告やスクリプトによるユーザー追跡をブロックするツールを提供しているGhosteryが、複数の顧客に送信するメールにおいて送信先メールアドレスをBcc:ではなくTo:で指定するというミスをしてしまったようだ。その結果、多数のメールアドレスが記載されたメールが顧客に届く事態となった（BleepingComputer、ScanNetSecurity）。

一括送信メールでBcc:ではなくTo:を利用してしまったためのトラブルはよく聞く話ではあるが、今回の件は送信されたメールが欧州の一般データ保護規則（GDPR）対応のための個人情報ポリシー変更通知メールであり、メール内には個人情報保護のための対応を済ませたなどと記載されていたことから話題となっている。

このメールはなんらかのバッチ処理で送信されたようで、各メールのTo:欄には500件のメールアドレスが入力されていたという。Ghosteryはこれに対し人的ミスだったとして謝罪した。

あるAnonymous Coward曰く、

イギリスのセキュリティベンダーSnykが、ZIPなどのアーカイブファイルの展開時における脆弱性について注意喚起を行っている（発表された情報、JPCERT/CC、窓の杜）。

この脆弱性は「Zip Slip」と名付けられており、アーカイブ内に格納されているファイルのパスを相対パスに設定することで、利用者の意図とは異なる場所にファイルを展開させるというもののようだ。アーカイブファイルを操作するツールの一部ではこういった相対パスで指定されたファイルを検証せずにその場所に展開するものがあり、こういったツールで問題が発生するという。また、こういった問題はZIP以外のファイル形式でも発生する可能性があるという。

すでに複数のベンダーに非公開で報告が行われているとのことで、その多くで対策が実施されているという。影響を受ける製品やそのバージョン、対策状況などは“GitHub”のプロジェクトページで公開されている。

この問題はプログラマ向け情報サイト「StackOverflow」などで公開されている脆弱性のあるサンプルコードがそのまま使われることで拡散したともされている。

maia曰く、

北京での国際警察装備品展示会において、スマートフォンに侵入してデータを読み取る中国製の「スキャナー」が展示されていた。こうした機器は西側含めて珍しいものではないそうだが、このスキャナーはiOSに強いという（ニューズウィーク）。

一般にiPhoneは最も安全と言われ、イスラエルと米国の数社しか侵入できないと報じられているが、北京の展示会では複数の会社が、iOS 6からiOS 8.1まで、4ケタのパスワードを破ることができると主張していた（実演はしなかったそうだが）。iOS 10については研究中としている。

こうしたブラックテクノロジー（黒科技）に中国は熱心に取り組んでいるそうで、すでにTwitterやFacebookのアカウント情報の窃取が可能だという。こうしたハッキングの技術が中国の「民間」で競いあって開発され、それらが展示会において公開されている状況である。