英国・イングランドのロンドン自治区と都市自治区では、4分の1でMicrosoftがサポートを終了したサーバーソフトウェアを使用しているそうだ(Comparex UKのプレスリリース、 The Registerの記事)。

この数字はComparex UKによる各議会への情報公開(FOI)請求により明らかになったもので、首都ロンドンでは32自治体のうち10自治体でWindows Server 2003およびMicrosoft SQL Server 2005の少なくともどちらか1本を使用しているという。ロンドン以外の都市自治区では36自治体のうち7自治体が同様の状況で、さらにロザラムとサンドウェル、シェフィールドではWindows Server 2000も使用しているそうだ。情報公開請求は27の州議会にも行われており、全体では95自治体のうち46%がWindows Server 2000/2003/Microsoft SQL Server 2005の少なくともいずれか1本を使用しているとのこと。

MicrosoftがIntelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートをMicrosoft Updateカタログで提供開始した(Microsoftサポートの記事、 Neowinの記事)。

今回のマイクロコードアップデートでは既に提供されているSpectre Variant 2に対応する修正に加え、5月21に公表されたSpectre Variant 3a/4および8月14日に公表されたL1TF(L1 Terminal Fault)に対応する修正が含まれる。なお、Microsoftが提供しているSpectre Variant 2のマイクロコードアップデート(Windows 10 バージョン1803/ 1709/ 1703/ 1607/ 1507)は第2世代Coreプロセッサー以降に対応しているが、今回のマイクロコードアップデートは第6世代以降の対応となっている。ただし、Windows 10 バージョン1507(RTM)向けでは第6世代のみとなっており、4月にサービスが終了したバージョン1511向けには提供されないようだ。

Windows 10の各バージョンに対応するKB番号は以下の通り。なお、バージョン1803に対応するKB4346084のみ、Microsoft Updateカタログのほか、Windows UpdateとWSUSでも配布される。

• KB4346084: Windows 10 バージョン1803/Server バージョン1803
• KB4346085: Windows 10 バージョン1709/Server 2016 バージョン1709
• KB4346086: Windows 10 バージョン1703
• KB4346087: Windows 10 バージョン1607/Server 2016
• KB4346088: Windows 10 バージョン1507(RTM)

headless曰く、

Windows Defender ATPによるファイルの誤検知を避けるため、ソフトウェア開発者側で実行可能な対策をMicrosoftが紹介している（Microsoft Secure、Neowin）。

誤検知を避けるにはセキュリティベンダーだけでなくソフトウェア開発者の協力が不可欠だ。MicrosoftではアプリケーションをMicrosoft Storeで公開するのが誤検知を避けるのに最も良い方法だとしつつ、セキュリティベンダーやユーザーからの信頼を高めるのに有効なポイントを取り上げている。

最初に挙げられているのはファイルへのデジタル署名だ。署名によりファイルが改変されていないことを確認できるが、Microsoftでは署名に使われたデジタル証明書の信頼性評価もファイルの信頼性評価に使用するのだという。特にEV証明書が使われている場合、過去に評価されていないファイルやパブリッシャーであっても、Windows Defender ATPは高い評価を与えるとのこと。

また、バンドルしたソフトウェアに評価の低いものがあると、本体ソフトウェアの評価も低下する。さらに、インストーラーに署名した証明書の評価も下げられることになる。このほか、ファイルの難読化や標準以外のインストール場所の使用、ソフトウェアの目的とは異なる名称の使用といったマルウェアが使用するようなテクニックを使用した場合、誤検知される可能性が高くなるとのことだ。

ロシアが米大統領選など他国の選挙を狙い、サイバー攻撃で盗み出した情報をリークしたり、SNSなどを使って世論の誘導を試みているという疑惑はたびたび報じられているが、中国もこういった手法を行っていると見られているそうだ（日経新聞、NHK、テレビ朝日）。

中国が介入を行った具体的な例としては、7月29日に行われたカンボジアの総選挙が挙げられている。中国は親中派のフン・セン首相を経済的に支援していることが知られているが（ニューズウィーク日本版）、選挙でもフン・セン陣営を支援するような工作が中国主導で行われていたという。

また、中国は他国もこういった工作のターゲットにしているのではないかと心配する声も出ている。その具体例として、来年のインドネシア大統領選、フィリピン中間選挙などが挙げられているほか、日本の沖縄県知事選、総裁選への影響もあるのではないかとの声もある。

サイトにCoinhiveを設置していたサイト管理者が不正指令電磁的記録取得・保管罪で摘発された事件では、警察がどのような基準で摘発を行っていたのかが注目されており、有志が神奈川県に対し開示請求を行っていた。そしてこのたび、その結果が公開された（Togetterまとめ）。

公開された文章では、要件である「不正な指令」について「社会的に許容し得るものであるか否かという観点から判断します」とされているなど、具体例に欠けるものが多く、これだけでは利用者や提供者が個々のプログラムについて違法かどうかを判断することは難しいと思われる。

第三者のIDを使ってNTTドコモのオンラインショップに不正アクセスし、他人名義でスマートフォン（iPhone X）の購入を行うという事件が発生している（共同通信、読売新聞、マイナビニュース、朝日新聞）。

piyologにて状況がまとめられているが、「約1000件」という被害件数は不正購入されたiPhone Xの台数であり、不正ログイン自体は約1800件だという。不正購入されたiPhone Xはドコモショップやコンビニなどで受け取られたとのことで、多くがすでに犯人の手に渡っているようだ。

NTTドコモはこれに対し、被害者には請求を行わない方針だという。

headless曰く、

米国の2019年度国防授権法（H.R.5515 — John S. McCain National Defense Authorization Act for Fiscal Year 2019）に13日、ドナルド・トランプ大統領が署名し、成立した（ホワイトハウスの発表、トランプ大統領の声明、副大統領の演説、The Verge）。

2019年度国防授権法では、Huawei製およびZTE製の通信機器について、政府機関のシステムで重要な要素として使用・調達・契約更新などを禁じている。政府機関は両社製の通信機器をシステムの重要な要素として使用する団体との契約も禁じられる。

また、HyteraやHikvision、Dahuaといった中国企業製のビデオ監視システム、国防長官や国家情報長官、FBI局長が中国政府の影響下またはつながりがあるとみなす企業の通信機器及びビデオ監視システムも同様の扱いとなる。

6月に上院で可決した国防授権法修正案ではZTEの輸出特権停止解除阻止が盛り込まれていたが、今回成立した下院の法案には含まれていない。その代わり、中国企業製の通信機器やビデオ監視システムの使用禁止条項が最終的に盛り込まれたようだ。

なお、2019年度国防授権法は現在闘病中のジョン・マケイン上院議員に敬意を払った名称となっている。トランプ氏は2015年、ベトナム戦争で捕虜になったマケイン氏を英雄とは認めないと発言し、その後英雄と認めたが、謝罪はしなかった。今回の法律に関する声明でも、マケイン氏については一切触れられていない。

grapefruit7曰く、

「海賊版サイトをブロッキングする代わりに、権利者が海賊版サイトに直接DoS攻撃を仕掛ける」という提案が、「インターネット上の海賊版対策に関する勉強会」で出されている（ITmediaの記事1、記事2、日経xTECH）。

この提案は、日本IT団体連盟から出されたもの。海賊版サイトの対策として、権利者が自ら「権利者による海賊版サイトへのDoS攻撃」をするという提案だが、「犯罪行為だ」「正当防衛にならないのでは」「法治国家の発想ではない」という批判も出ている。

DoS攻撃はCloudflareのようなCDNサービスに対しては効果が薄いとされており、現実的ではないとういう批判もある。さらに、EDoS攻撃（相手に経済的損失を与えるDos攻撃）でも、CloudflareはDDoS攻撃を受けて生じた損害分は無料とするサービスを開始しており、有効ではないと考えられる（TechCrunch Japan）

なお、日本IT団体連盟はヤフーの川邊健太郎社長が代表理事/会長を、コンピュータソフトウェア協会や日本インターネットプロバイダー協会などの国内のIT関連組織関係者が理事を務めており、「参加企業数5000社、従業員数400万人に及ぶ国内最大のエンジニア集団を代表する団体であり、様々なノウハウを持っているため、より効果的なアクセス集中手段の実装について技術的支援を行える」などとも提案している。

headless曰く、

ネットワーク接続されたFaxを入り口として、電話回線からローカルネットワークに侵入する攻撃「Faxploit」の仕組みをCheck Pointが解説している（Check Pointブログ、技術詳細、BetaNews）。

Check Pointが使用したのはHPのプリンター（デジタル複合機）で、カラーFax（JPEG）の送受信に対応している。しかし、TIFFデータを使用するモノクロFaxではネゴシエーションでメタデータを決定するのに対し、JPEGの場合はファイルがそのまま送信されるのだという。ITU-Tの標準では受信側でサポートしないJPEGマーカーや特定のJPEGマーカーを削除すべきと規定する一方、特に整合性チェックなどは規定されていないようだ。

Check PointはプリンターのJPEGパーサーで発見したリモートからのコード実行が可能になる2件の脆弱性（CVE-2018-5924、CVE-2018-5925）の1件を利用し、送信したJPEGファイルに格納したペイロードを読み取って実行するエクスプロイトを作成。ペイロードにはプリンターのLCD画面に任意の画像を表示、プリンターにネットワークケーブルが接続されているかどうかのチェック、Shadow Brokersが昨年公開した米国家安全保障局（NSA）のサイバー攻撃ツール「Eternal Blue」と「DoublePulsar」を使用したネットワーク内コンピューターの攻撃といった処理が実装されているとのこと。動画ではネットワーク内のコンピューターから機密情報ファイルを探し出し、攻撃者にFax送信させている。

この脆弱性についてCheck Pointは事前にHPへ報告しており、既にファームウェアのアップデートが公開されている。ただし、同様の脆弱性は他社のプリンターに存在する可能性があるほか、Faxをメールで受信できるサービスや、スタンドアロンのFax専用機にも存在する可能性があるとのことだ。

Intel CPUの「Software Guard Extensions（SGX）」や仮想化関連機能に脆弱性が発見された（ITmedia）。

発見された脆弱性は、CVE-2018-3615およびCVE-2018-3620、CVE-2018-3646の3つ。SGXはほかのプロセスからのアクセスが制限されたメモリ領域を作成する機能で、例えばWindows向けのUHD Blu-ray再生ソフトでは暗号化されたコンテンツの復号時に鍵が漏洩しないようこの機能を使っているという（PC Watch）。

今回の脆弱性を悪用することで、マシン上で動作しているOSやアプリケーションのデータを漏洩させることができるという。また、仮想マシン上で動作しているプロセスから、ホストマシンのメモリにアクセスすることもできるという。

2018年8月付で、「The Transport Layer Security (TLS) Protocol Version 1.3」（TLS 1.3）に関する文書であるRFC8446が発行されている（Internet Engineering Task Forceのブログ、ITmedia、TechCrunch、CNET Japan、Cloudflare Blog）。これによって標準化プロセスが完了し、TLS 1.3が「完成」したことになる。

すでに主要WebブラウザはTLS 1.3のドラフト版に対応しており、またFacebookやCloudflareなどのサーバー側でもTLS 1.3のサポートが導入されている。

あるAnonymous Coward曰く、

Googleのセキュリティ研究部門「Project Zero」に所属する「バグハンター」のIan Beer氏が、Appleのセキュリティ対応について批判している。

氏によると、Appleのセキュリティに対するアプローチが業界全体を後退させているという。同氏はBlack Hatの講演で、この2年間にiOSでは30件以上のバグが発見されたと述べた。その上で、Appleがこれまでの脆弱性の開示から学んでいないと感じていると話した。

氏曰く、Appleの個々の技術者は、強力なエンジニアリングセキュリティスキルを持っているものの、彼らはバグが悪用される背景を理解しておらず、また問題の根本的な原因を見つけることもしていないという。

同氏は、AppleのCEO、Tim Cookに対する挑発的な呼びかけの中で、アムネスティ・インターナショナルに250万ドルを寄付するよう要望した。これは、同氏の発見した30件以上のiOS脆弱性におけるバグ賞金収入とほぼ同額だ（The Verge、threat post、Slashdot）。

2001年にVIAが発表したx86互換CPU「C3」の「Nehemiah」版に非公表の機能が存在し、これを利用することで特権を得ることができるという脆弱性が発見された（デモや詳細公開しているGitHubリポジトリ、tom's HARDWRE）。

昨今のCPUには「リングプロテクション」という特権レベル管理機構があるが、この命令を実行することで最高の特権を得ることができ、例えば一般プロセスから無制限にハードウェアやほかのプロセスにアクセスするといったことが可能になるそうだ。

発表によると、問題のCPUにはx86コアとは別の小型のコアが組み込まれており、レジスタの特定のビットを操作することでこのコアが有効になるという。このコアを有効にして特定の形式でx86命令を与えると、その命令は全てのメモリ保護や特権チェックをバイパスした状態で実行されるという。

C3はすでに生産終了となっているため今後影響が拡大する可能性は少ないものの、C3を採用しているシステムはまだ現存する可能性があるため注意は必要なようだ。

Google Playで「Fortnite」を検索すると、検索結果の上に警告が表示されるようになっている(Android Policeの記事、 9to5Googleの記事、 The Vergeの記事、 Neowinの記事)。

Google Playを経由せず、開発元のEpic Gamesが直接配信することを決めた人気ゲーム「Fortnite Battle Royale」のAndroid版だが、偽物や紛らわしい名前のアプリが出現することも予想される。偽アプリがGoogle Playに登録されてしまう例は過去にもあるため、ユーザーが誤って偽アプリをインストールしないよう予防的に警告を表示しているとみられる。ただし、Googleがこのような警告を表示するのは珍しい。

警告が表示されるのは「Playストア」アプリで検索した場合のみ。現在、「fortnite」「fortnite battle royale」などの語句を検索すると「Fortnite Battle Royale (デベロッパー: Epic Games, Inc) はGoogle Playではご利用いただけません」と表示される。ただし、「fortnite beta」「fortnite battle royale game」「fortnite battle royale the real game」などの場合、警告は表示されない。

ゲノム編集したカイコガを用いることで、高い割合でクモ糸タンパク質を含むシルク繊維を得ることに中国の研究グループが成功したそうだ(論文、 Ars Technicaの記事)。

クモ糸は高い強度や伸展性など優れた特性を持ち、バイオ素材として注目を集めている。しかし、クモの生態上、飼育による大規模なクモ糸繊維の生産は困難だ。他の生物にクモの遺伝子を挿入してクモ糸タンパク質を生成させる場合、多くは繊維を作る工程が必要になる。カイコガを使用すれば直接繊維を採取可能となるが、トランスポゾンを用いてクモの遺伝子を挿入する従来の方法ではクモ糸タンパク質を効率よく得られなかったという。

研究グループではヌクレアーゼを用いた相同性依存的な修復(HDR)により、カイコガのフィブロインH鎖遺伝子をアメリカジョロウグモ(Nephila clavipes)の牽引糸タンパク質(MaSp1)遺伝子で置き換えた。その結果、遺伝子組み換えカイコガの繭では最大35.2%をMaSp1が占めたという。繭から得られるシルク繊維を通常のカイコガのものと比較したところ、直径が15.8%小さく、強度が17.4%低下する一方、破断ひずみは22.5%から32.2%に増加し、破壊エネルギーも22.5%増加したとのこと。

異種発現系による大規模なクモ糸生産の可能性を示す今回の研究成果は、将来のクモ糸を含む新たなバイオ素材の開発に役立つとのことだ。