国際宇宙ステーション(ISS)で東部夏時間8月29日夜(日本時間30日朝)に検出され、翌日補修が行われた空気漏れについて、NASAがリポートしている(NASAのブログ記事)。

ヒューストンとモスクワのフライトコントローラーは東部夏時間29日19時頃、ISSで微量の空気漏れが発生している兆候に気付く。フライトコントローラーはデータを監視した結果、危険はないとして第56次長期滞在クルーを就寝させることを決定。翌朝定時に起床したクルーとともに、ヒューストンとモスクワ郊外のミッションコントロールセンターは空気漏れの発生場所を特定する作業を開始した。

ISSコマンダーのアンドリュー・フューステル宇宙飛行士をはじめとする6人の第56次長期滞在クルーは、ISSのロシア側セクションで広範な調査を実施。ロシア側のラスベットモジュールにドッキングしているソユーズMS-09の軌道モジュール(地球には帰還しない)に開いた直径2mmほどの穴が空気漏れの原因と特定する。カプトンテープによる仮補修により、午前中には空気漏れが減少した。

GoogleのChromiumチームが「Google Credential Provider for Windows」という機能を開発しているようだ(BleepingComputerの記事、 Android Policeの記事、 BetaNewsの記事、 Chrome Storyの記事)。

Windows Vistaで導入されたCredential Providerは、Windows XPまでのGINAに代わってログオンなどのユーザー認証を実行する仕組み。Windows 10ではローカルアカウントやMicrosoftアカウントのほか、Windows Helloなどによる認証を可能にするCredential Providerが追加されている。OEMや企業が独自のCredential Providerを追加することも可能だ。

Google Credential ProviderについてGoogle側からの情報はほとんどないようだが、BleepingComputerではChromium Gerritにコミットされたコードから、G Suite管理者が作成したGoogle Accounts and ID Administration(GAIA) IDでWindows 10へのログインを可能にするものだと推測する。

今年3月、群馬県・前橋市教育委員会の情報ネットワークに対する不正アクセス事件が発生した。この事件の経緯についてはpiyologが詳しいが、公開されていたWebサイト用のサーバーが最初に攻撃を受けて不正アクセスされ、このサーバー経由でネットワークに侵入されたようだ。

この問題に対し、前橋市教委はサーバーの保守管理委託先であるNTT東日本に損害賠償を請求するという（上毛新聞）。

教委側は損害額を約1億6500万円と算定している。これは「この問題の対応費用」約1億円に加えて、ネットワークの再構築費など約5000万円、それに諸経費を加えたものだという。なお、不正アクセスによって小中学生らの個人情報が流出した可能性が高いとされているものの、流出したという証拠となるものは現在のところないようだ。

問題となった公開サーバーは2014年から更新されておらず、またファイアウォールも有効に機能していなかったという。また、教育委員会が事件発生前にNTT東に対して安全性を確認したところ、同社は問題ないと回答していたそうだ。

あるAnonymous Coward曰く、

サイバー攻撃の増加を背景に、経済産業省は2016年に「2020年には国内で19万3000人のセキュリティ人材が不足する」との予測を発表しているのだが、日経新聞が報じたところによると、実際の企業は人手不足にあると感じていないようだ（日経新聞）。

こうした温度差が生じたのは、経産省の予測は一般企業の各部門にもセキュリティ人材が必要、という「あるべき姿」に基づいて算出されたためだという。ところが実際には、多くの企業が自社でセキュリティ人材を揃えず外部に委託するという選択肢を選んだため、人手不足が発生していないという。またAI技術の進歩により、単純な監視業務などには人手が要らなくなったことも挙げられている。

セキュリティ予算を増やす企業も限られており、記事では、自社でセキュリティ人材を揃えたものの深刻な問題が起きないことから削減を検討している、といった例まで言及している。一方でサイバー攻撃の被害は年々深刻化しており、また今後はオリンピックに向けて攻撃が増えることも懸念されている。

なお、「情報セキュリティ人材の不足」に関しては以前より「情報セキュリティ人材」の定義が幅広すぎるのではないか、という指摘もある（デジタル・フォレンジック研究会）。

headless曰く、

Windowsのタスクスケジューラに存在するゼロデイ脆弱性がTwitterで公表された（Register、VU#906424、Softpedia、BetaNews）。

この脆弱性はタスクスケジューラによるAdvanced Local Procedure Call（ALPC）の処理に存在し、ローカルユーザーがSYSTEM権限を取得できるというものだ。引退したセキュリティリサーチャーだという発見者は、GitHubでPOCも公開している。Microsoftの報奨金プログラムに不満があるようで、Microsoftには報告しないとも述べている。

CVSSスコアは6.4（Environmental）～6.8（Base）で、いずれも深刻度は中となっている。CERT/CCでは公表されているエクスプロイトが動作することを64ビット版Windows 10およびWindows Server 2016で確認しているが、ほかのバージョンのWindowsでも改造により動作する可能性があると説明している。

MicrosoftはThe Registerに対し、できるだけ早く更新するという定型のコメントを出したそうだが、深刻度が高くないことから9月の月例更新までは修正されないとみられている。

headless曰く、

バグを開発元に報告してから90日後、またはパッチが広く入手可能になった時点でバグを公表する、というGoogleのバグ開示方針をEpic Gamesが批判している（Mashable）。

Epic Gamesは人気ゲーム「Fortnite」のAndroid版を直接配信しており、ユーザーがインストーラーアプリ「Fortnite Installer」をインストールして実行し、インストーラーがゲーム本体のAPKを外部ストレージにダウンロードしてインストールする仕組みになっていた。しかし、外部ストレージへの書き込み権限を持つ攻撃用アプリが存在すると、ダウンロードして検証した正規のAPKを偽APKに置き換え可能という脆弱性をGoogleが発見する。

報告を受けたEpic Gamesは2日後の17日、APKの保存先を内部ストレージに変更した修正版を配信。その一方で、ユーザーがパッチをインストールする時間をとれるよう、特別に脆弱性開示を90日後まで待ってほしいとGoogleに要望したのだが、Googleはパッチの配信開始から7日経過したとして該当のIssue Trackerを24日に一般公開（閲覧にはGoogleアカウントでのログインが必要）した。

Epic Games CEOのTim Sweeney氏はGoogleの迅速な脆弱性発見と報告に感謝する一方、多くのユーザーにパッチが行き渡っていない時点でバグを開示したことは無責任だと批判。Google Playで配信されていないFortniteを妨害するため、ユーザーを危険にさらしたなどと主張するコメントをMashableに送ったとのこと。

しかし、Google Play以外で入手したアプリをインストールするにはAndroidの設定で「提供元不明のアプリ」のインストールを許可する必要がある。Epic GamesはGoogle Playでの売り上げに課される手数料を回避するために直接配信を選んだとみられており、ユーザーの安全よりも利益を重視したとの批判も出ている。

Googleが自ら定めたルールに従ってバグを開示するのはよくあることであり、Google Playで配信されないアプリを妨害する意識が働いたのかどうかは不明だ。また、GoogleはGoogle PlayでFortniteが配信されていないことを警告するなど、偽アプリのインストール防止に努めている。Mashableの記事はGoogleとEpic Gamesのどちらが正しく、どちらが間違っているともいえないと評している。

あるAnonymous Coward曰く、

米T-Mobileで顧客情報の流出事件が発生した（ITmedia）。

不正アクセスが原因で、流出した個人情報は約200万件。流出した情報には氏名、郵便番号、電話番号、メールアドレス、ハッシュ化されたパスワードなどが含まれていたという。ハッシュ化アルゴリズムには容易にクラックが可能なMD5が使われていたという話もある。

この事件を受けて、WIRIDに掲載された記事では電話番号が流出したことは、パスワードの流出よりも大きな問題だと批判している。今の電話番号は他人と話すだけでなく、スマートフォンでの二要素認証などに使われているためだ。アイデンティティ管理の専門家は、電話番号の過度の依存について何年も前から警告してきた。電話番号が個人のロックとキーという両方の役割を果たしている現状は、攻撃者が電話番号を盗むいわゆるSIMスワップ攻撃を引き起こす原因ともなっているとしている（WIRID、Slashdot）。

あるAnonymous Coward曰く、

子供や従業員などのスマートフォン利用状況を監視するアプリ「SpyFone」で収集されたデータが、ネット上で誰もがアクセスできる状態で公開されていたという（GIGAZINE、MOTHERBOARD）。

このデータはAmazonのストレージサービス「S3」上にアップロードされていたもの。これを発見した研究者によると、このデータが実際にダウンロードできることや、少なくとも2208件の利用者のデータが格納されていたことが確認できたそうだ。このデータにはスマートフォン内の写真やテキストメッセージ、音声録音、連絡先、位置情報などが含まれていたという。

JPCERT/CCが行っているSTOP! パスワード使い回し!キャンペーン2018では、パスワード使い回しの危険性とともに「安全なパスワードの条件」も提示されている。この条件として「パスワードに記号を使う」ことを必須としていないことが方針転換だと話題になっている。

提示されている「安全なパスワードの条件」は次の通り。

• パスワードの文字列は、長めにする（12文字以上を推奨）
• インターネットサービスで利用できる様々な文字種（大小英字、数字、記号）を組み合わせると、より強固になる
• 推測されやすい単語、生年月日、数字、キーボードの配列順などの単純な文字の並びやログインIDは避ける
• 他のサービスで使用しているパスワードは使用しない

この理由についても説明されており、結局のところ記号を使って覚えやすさを損なうよりは、単純に文字数を増やした方がパスワード強度が高くなるということだそうだ。

あるAnonymous Coward曰く、

Intelが同社CPUの脆弱性対策のために公開した修正パッチのライセンスには、ベンチマーク結果の公表を禁止する条項が含まれているそうだ。この条項はパッチによってCPUの性能が低下することを隠す目的があるのではないかと指摘されているほか、こうしたライセンスがパッチ配布・適用の障害になるとも指摘されている（ZDNet、Linux向けマイクロコード、CNET、Slashdot）。

また、このライセンスはオープンソースライセンスとは矛盾するため、Debianではこのパッチの配布を保留したようだ（Register）。

Intelはこうした反応を受けてライセンスを修正、問題は解消されることとなった。

最近ルーターなどのネットワーク機器を狙ったマルウェアが増加しているが（過去記事）、こういったマルウェアによって閲覧中のWebページ内に仮想通貨の採掘コードを埋め込まれるケースが報告されている（「マルウェアに感染したと思ったら（多分）してなかった話」）。このケースでは自宅のルーターを使わずにマンションの共有ルータに直接接続した場合でも問題が発生し続けていたため、共有ルータがマルウェアに感染したのではないかと疑われている。

ISPに報告を行い、共有ルータのファームウェアのアップデートを行なったところ問題が解決したとのことだが、ISPなどからの報告はないため本当に共有ルータが問題だったのかは確認できなかったとのこと。

英国・イングランドのロンドン自治区と都市自治区では、4分の1でMicrosoftがサポートを終了したサーバーソフトウェアを使用しているそうだ(Comparex UKのプレスリリース、 The Registerの記事)。

この数字はComparex UKによる各議会への情報公開(FOI)請求により明らかになったもので、首都ロンドンでは32自治体のうち10自治体でWindows Server 2003およびMicrosoft SQL Server 2005の少なくともどちらか1本を使用しているという。ロンドン以外の都市自治区では36自治体のうち7自治体が同様の状況で、さらにロザラムとサンドウェル、シェフィールドではWindows Server 2000も使用しているそうだ。情報公開請求は27の州議会にも行われており、全体では95自治体のうち46%がWindows Server 2000/2003/Microsoft SQL Server 2005の少なくともいずれか1本を使用しているとのこと。

MicrosoftがIntelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートをMicrosoft Updateカタログで提供開始した(Microsoftサポートの記事、 Neowinの記事)。

今回のマイクロコードアップデートでは既に提供されているSpectre Variant 2に対応する修正に加え、5月21に公表されたSpectre Variant 3a/4および8月14日に公表されたL1TF(L1 Terminal Fault)に対応する修正が含まれる。なお、Microsoftが提供しているSpectre Variant 2のマイクロコードアップデート(Windows 10 バージョン1803/ 1709/ 1703/ 1607/ 1507)は第2世代Coreプロセッサー以降に対応しているが、今回のマイクロコードアップデートは第6世代以降の対応となっている。ただし、Windows 10 バージョン1507(RTM)向けでは第6世代のみとなっており、4月にサービスが終了したバージョン1511向けには提供されないようだ。

Windows 10の各バージョンに対応するKB番号は以下の通り。なお、バージョン1803に対応するKB4346084のみ、Microsoft Updateカタログのほか、Windows UpdateとWSUSでも配布される。

• KB4346084: Windows 10 バージョン1803/Server バージョン1803
• KB4346085: Windows 10 バージョン1709/Server 2016 バージョン1709
• KB4346086: Windows 10 バージョン1703
• KB4346087: Windows 10 バージョン1607/Server 2016
• KB4346088: Windows 10 バージョン1507(RTM)

headless曰く、

Windows Defender ATPによるファイルの誤検知を避けるため、ソフトウェア開発者側で実行可能な対策をMicrosoftが紹介している（Microsoft Secure、Neowin）。

誤検知を避けるにはセキュリティベンダーだけでなくソフトウェア開発者の協力が不可欠だ。MicrosoftではアプリケーションをMicrosoft Storeで公開するのが誤検知を避けるのに最も良い方法だとしつつ、セキュリティベンダーやユーザーからの信頼を高めるのに有効なポイントを取り上げている。

最初に挙げられているのはファイルへのデジタル署名だ。署名によりファイルが改変されていないことを確認できるが、Microsoftでは署名に使われたデジタル証明書の信頼性評価もファイルの信頼性評価に使用するのだという。特にEV証明書が使われている場合、過去に評価されていないファイルやパブリッシャーであっても、Windows Defender ATPは高い評価を与えるとのこと。

また、バンドルしたソフトウェアに評価の低いものがあると、本体ソフトウェアの評価も低下する。さらに、インストーラーに署名した証明書の評価も下げられることになる。このほか、ファイルの難読化や標準以外のインストール場所の使用、ソフトウェアの目的とは異なる名称の使用といったマルウェアが使用するようなテクニックを使用した場合、誤検知される可能性が高くなるとのことだ。

ロシアが米大統領選など他国の選挙を狙い、サイバー攻撃で盗み出した情報をリークしたり、SNSなどを使って世論の誘導を試みているという疑惑はたびたび報じられているが、中国もこういった手法を行っていると見られているそうだ（日経新聞、NHK、テレビ朝日）。

中国が介入を行った具体的な例としては、7月29日に行われたカンボジアの総選挙が挙げられている。中国は親中派のフン・セン首相を経済的に支援していることが知られているが（ニューズウィーク日本版）、選挙でもフン・セン陣営を支援するような工作が中国主導で行われていたという。

また、中国は他国もこういった工作のターゲットにしているのではないかと心配する声も出ている。その具体例として、来年のインドネシア大統領選、フィリピン中間選挙などが挙げられているほか、日本の沖縄県知事選、総裁選への影響もあるのではないかとの声もある。