Facebookは8日に発表したビデオコミュニケーションデバイス「Potral」について、プライバシーとセキュリティを念頭に置いて作ったと主張しているが、それでもユーザーのデータは収集してターゲティング広告に使用するという(Recodeの記事、 The Vergeの記事、 Android Policeの記事)。

Portalのマーケティングを率いるDave Kaufman氏はRecodeのKurt Wagner氏に対し、通話ログやアプリ利用状況などPortalが収集する一切のデータをターゲティング広告に使用することはない、と説明していたが、その説明は誤りだったそうだ。

後日Facebookの広報担当者がRecodeに電子メールで伝えたところによると、Portalの通話機能はMessengerのインフラストラクチャー上に構築されているため、通話ログはMessengerを実行する他のデバイスと同様に収集されるのだという。通話ログに加え、アプリ利用状況などPortalで収集されるデータは、Facebookのプラットフォーム上で広告を表示するための情報として使われるとのこと。

これについて製品担当VPでPortalの責任者を務めるRafa Camargo氏は、不正確な情報を提供したことをWagner氏に電話で謝罪。技術的にデータを広告ターゲティングに利用可能であっても、実際に使われることは知らなかったという。Portal自体は広告を表示しないため、Portalチームではデータをターゲティングに使用する計画はなく、それが混乱の原因になったとのことだ。

英国・ロンドンのエクアドル大使館が、長年保護しているジュリアン・アサンジ氏に対し、11日付で出したとされる大使館内での行動に関する指令書がリークしている(Código Vidrioの記事、 The Gateway Punditの記事、 The Guardianの記事、 The Vergeの記事)。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めてエクアドル大使館に入り、現在まで滞在を続けている。大使館の外では保釈中に逃亡したアサンジ氏を逮捕しようと英警察が待ち構えているため、アサンジ氏は大使館外に出ることはできないものの、大使館内では比較的自由に行動できていたようだ。しかし大使館は3月、アサンジ氏がエクアドルと他国の間で外交問題を引き起こすような政治的発言をしないという約束を破ったとして、アサンジ氏のインターネットアクセスをブロックする。また、訪問者をアサンジ氏の弁護団に限定し、警備会社の契約も打ち切ったという。

リークした文書は(PDF)はスペイン語で書かれたもので、全9ページ、規定は32項目におよび、守られない場合はアサンジ氏に対する外交的庇護を打ち切ると明記されている。英訳が添付されるとの記載もみられ、英訳の文書(PDF)も公開されているが、(文書自体が本物だとして)アサンジ氏に渡された英訳と同じものなのか、リークしたスペイン語の文書を英訳したものなのか明確ではない。

規定は訪問者・通信・医療の3つに大きく分けられており、訪問者に関しては事前に書面による承認が必要なことや、訪問者を大使館が記録すること、規定を守らない訪問者は英当局に通報することなどが定められている。通信についてはWi-Fiサービス提供やアサンジ氏が使用できる通信機器、3月にブロックの原因となった外交上の問題を引き起こす発言を控えることなどが記載されている。

headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された（Google Security Blog、Microsoft Edge Dev Blog、WebKit公式ブログ、VentureBeat）。

GoogleはChrome 72（2019年1月に安定版リリース見込み）でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81（2020年1月に早期リリース見込み）ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ（Mozilla Security Blogの記事）。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。

朝鮮日報日本語版によると、2000年代に建造された韓国海軍の「KDX-Ⅱ」駆逐艦に搭載されているコンピュータ指揮システムは最悪の場合0.8日に1回の頻度で作動停止しているという。

この「0.8日に1回」というのは駆逐艦「王建」のケースだが、このシステムの2013年の作動停止頻度は21.7日に一回のペースだったとのことで、年々作動停止の間隔が短くなっているようだ。他の駆逐艦についても、平均停止件数は2013年時点で5.3日に1回、今年は1.4日に1回とのことで、全体的にシステム停止が増加している模様。また、KDX-Ⅱの前身となるKDX-Ⅰについても同様にシステム停止が頻繁に発生しているという。

なお、システム停止後の再起動には10〜30分ほどが必要になるそうだ。そのため、韓国海軍は2〜3日1回手動でシステムを再起動しているとのこと。

聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した（日経xTECH）。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。

今回の攻撃手法については、サイトの運営を委託されていたトランスコスモスが調査結果を発表している（発表PDF）。これによると、偽のカード決済画面の設置とECサイトのシステムの改ざんが行われており、決済時に偽の決済画面に遷移するようになっていたという。偽の決済画面ではカード情報を入力するとその情報を記録、もしくは攻撃者に送信した上で決済エラーが発生した旨を表示して正規の決済画面に遷移させていたようだ。

昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまうとし、徳丸氏は『クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。』と述べている。

headless曰く、

Facebookは12日、9月に発生した「プロフィールを確認」ツールの脆弱性を狙った攻撃について、より詳細な被害範囲などを明らかにし、アカウントの被害状況を確認可能なヘルプページを公開した（Facebookのニュース記事）。

「プロフィールを確認」（View As）ツールは自分のプロフィール画面を他のユーザーが見た時の見え方を確認するツールだが、2017年7月から2018年9月まで複数のバグにより、指定した「他のユーザー」のアクセストークンを取得可能な状態になっていた。Facebookでは9月14日から異常なアクティビティーを検知、9月25日には攻撃と断定して脆弱性を特定し、対策を行った。当初の発表ではアクセストークンを不正に取得されたユーザーの数を約5,000万人としていたが、実際には3,000万人程度だったという。

攻撃者はFacebook上の「友達」とつながる複数のアカウントを制御下におき、自動処理によりアカウントを切り替えていくことで友達やその友達のアクセストークンおよそ40万人分を取得できる状態にあった。ただし、この段階ではアクセストークンを取得するのではなく、各ユーザーのプロフィール画面を読み取って友達のリストを収集し、そのリストの一部を使用しておよそ3,000万人のアクセストークンを不正に取得したそうだ。

攻撃者はそのうち1,500万人についてプロフィールに設定された連絡先（電話番号または電子メールアドレス、またはその両方）にアクセスしており、1,400万人は連絡先の情報に加えてユーザー名や性別、誕生日などを含むさらに詳細な情報にアクセスしていたという。残りの100万人については、一切のユーザー情報にアクセスされた形跡がないとのこと。

自分のアカウントが影響を受けたかどうかについては、Facebook Help Centerで確認（要ログイン）できる。本件は現在、米連邦捜査局（FBI）が捜査しており、攻撃者の背後関係などは公表しないよう求められているとのことだ。

taraiok曰く、

フィットネス関連サービスを提供している米FitMetrixが、パスワードなしで顧客情報を管理するサーバーを運用していたためにユーザー情報が大量に漏洩する事態になったという（The Tribune、TechCrunch、Hacken.io、Slashdot）。

漏洩したデータは数百万件にも上るようだ。同社は同社は心拍数やその他のフィットネスメトリック情報を表示するフィットネス追跡ソフトウェアを開発している企業。今年の初めにスポーツ関連サービスの予約・決済・スタッフ管理・顧客管理などを行う大手企業Mindbodyにより1530万ドルで買収されている。

10月5日にこのことを発見したセキュリティ研究者は、FitMetrixの3つのサーバーで顧客データが漏れていることを発見した。どのくらいの期間、サーバーが公開されたのかは不明だが、9月にIoT検索エンジンであるShodanにデータが登録されていたことが判明しているという。発見者であるHacken.ioのサイバーリスク研究担当ディレクターのBob Diachenko氏によると、1億1,350万のデータベースを発見した。

直接影響を受けるユーザー数は不明。各レコードにすべてにユーザーデータが含まれているわけではないものの、名前、電子メール、誕生日、電話番号、緊急連絡先、身長、体重、靴のサイズなどの情報が部分的に含まれていたとしている。Mindbodyの最高情報セキュリティ責任者Jason Loomisは、木曜日の電子メールで、リスクを認識しており、「この脆弱性を解消するための即時の対策」を講じたと述べている。

headless曰く、

Medtronic製の植込み型心臓電気生理学デバイス（CIED）用プログラマーのソフトウェアアップデート機能で、リモートから患者を攻撃可能な脆弱性が見つかったそうだ（セキュリティ情報PDF、FDAの発表、Register、Softpedia）。

対象となるプログラマーはCareLink 2090とCareLink 29901で、脆弱性が見つかったのは同社のソフトウェア配布ネットワーク（SDN）からインターネット経由でアップデートする機能だ。Medtronicは当初、外部からの脆弱性報告を受けてセキュリティ情報を2月に公開し、6月にも更新情報を公開していた。この段階では特定のファイルを定期的にチェックするだけで対応可能と考えられていたようだ。しかし、米食品医薬品局（FDA）とともに脆弱性を精査した結果、脆弱性を悪用することでリモートから患者に危害を加えることが可能なことが判明したという。

Medtronicは対策としてインターネット経由のアップデート配布を無効化しており、アップデートが必要な場合は同社の担当者がUSB経由でインストールする。脆弱性自体を修正するアップデートは現在のところ開発されていないようだ。CIEDのプログラム設定にネットワーク接続は必要なく、そのほかのネットワーク接続が必要な機能は今回の脆弱性の影響を受けないとのことだ。

採掘のできない暗号通貨を含むAndroid向けの偽採掘アプリが多数発見されたとして、Fortinetが注意喚起している(Fortinetのブログ記事、 Softpediaの記事)。

膨大な計算が必要となる暗号通貨取引等の検証に協力することで報酬を得る採掘(マイニング)は、消費電力増大やWebサイトへのスクリプト埋め込みなどが話題になることも多い。ただし、暗号通貨の中にはRipple(XRP)やTether(USDT)のように採掘の仕組みを用意していないものもあり、こういった暗号通貨への対応をうたう採掘アプリは確実に偽物だ。Rippleの偽採掘アプリはESETが2月にGoogle Playで公開されているのを発見・報告しているが、今回の偽採掘アプリはGoogle Play以外でAPKを配布する、いわゆる野良アプリらしい。

偽採掘アプリの画面には、採掘した暗号通貨の金額とハッシュ値の計算速度表示、「START」ボタンが配置されている。STARTを押すと現在の計算速度が表示されるのだが、数字は単に乱数を生成して表示しているだけだという。また、暗号通貨の採掘量は関数が実行されるたびに一定の数値を加算するだけのようだ。メニューには採掘した暗号通貨を引き出すオプションも用意されているが、確認画面で「Yes」を選ぶとワレットのアドレスが正しくないといったエラーメッセージが必ず表示され、決して引き出すことはできない。

このアプリの開発者「lovecoin」は暗号通貨の名前部分を入れ替えた同様のアプリを複数公開しているという。アプリには広告を表示するコードが含まれており、広告収入を得ることが目的とみられる。そのため、Fortinetではこれらのアプリについて、ユーザーをだましてアドウェアをダウンロードさせるものだと述べている。

Windows 10 バージョン1703(Creators Update) Home/Proエディションのサポートが10月9日で終了した(Windowsライフサイクルのファクトシート、 Computerworldの記事、 Softpediaの記事、 Neowinの記事)。

Windows 10 バージョン1703のHome/Proエディションに対する更新プログラム提供は、9日にリリースされたKB4462937(OSビルド 15063.1387)が最後となる。一方、Enterprise/Educationエディションは2019年10月までバージョン1703のサポートが続く。また、Windows 10 Mobile バージョン1703は2019年6月までサポートされることになっている。

ただし、2016年8月にリリースされたWindows 10 Mobile バージョン1607(Anniversary Update)のサポートも10月9日で終了となっているが、こちらは4月の更新プログラムKB4093119(OSビルド 14393.2189)を最後に更新プログラムは提供されていないようだ。Home/Proエディションではバージョン1607のサポートが4月に終了しており、これに合わせて終了してしまった感じにも見える。

Googleが8日、Google+の一般向けサービスを終了すると発表した。Google+が消費者の期待に応えるようなサービスでありつづけるには大きなチャレンジが必要であり、その一方でGoogle+はあまり使われていないことからサービス終了を決めたという（AFP、ITmedia）。

また発表によると、GoogleはGoogle+のAPIの一部に不具合があり、ユーザーが一部ユーザーのみが閲覧できるように設定されたプロフィールが、API経由で本来閲覧権限のないユーザーからも閲覧できるようになっていたという。閲覧できたデータはPeaple APIで取得できるものだけとのこと。メッセージや電話番号、そのほかGoogleアカウントに紐付けたデータなどが対象外。この問題は2018年3月に修正されているとのこと。

Googleはこの問題が悪用された形跡はないとしている。この不具合の発表が遅れたのは、当時Facebookの情報流出問題が話題になっており、そのタイミングでの発表はまずいと思ったのが理由のようだ。

先日、米カリフォルニア州でネット接続機器の「デフォルトパスワード」を規制する法律が提案されるという話があったが、この法律が成立した。2020年より施行される（TechCrunch）。

この法律では、各デバイスの初期パスワードはデバイス毎に異なるものに設定する必要があり、さらに最初の使用時にユーザーに新しいパスワードの設定を求めるというものになっている。一方で、ソフトウェアに問題が発見された際にその修正を行うことについてはメーカーに義務付けていないとのこと。

米NPO・American Consumer Institute（ACI）の調査によると、家庭で使われている無線LANルータの83％で既知の脆弱性が修正されずに放置されているという（ITmedia）。

14メーカー・186台の製品を対象に調査した結果、155台に脆弱性が見つかったという。うち危険度が「クリティカル」の脆弱性は7％、「高」の脆弱性は21％だったという。オープンソースのコードを利用するルーターが増えており、こういった製品は脆弱性が見つかりやすい一方で、脆弱性が発覚しても放置しているメーカーも存在し、それがこのような状況を生んでいるようだ。

headless曰く、

インド・デリーでは国際的なテクニカルサポート詐欺ビジネスを行う偽コールセンターの存在が確認されており、デリー警察のサイバー犯罪対策班は過去1か月間に複数の拠点で計24名を逮捕しているそうだ（The Pioneer、Times of India、NDTV、Neowin）。

偽コールセンターはMicrosoftの正規のテクニカルサポートを偽り、勧誘電話やサーチエンジンの広告、Webブラウザーのポップアップを使用してターゲットに接触。ターゲットのPCでリモートアクセスを有効にさせ、マルウェアが見つかったと信じ込ませる。ターゲットは主に米国の年配者で、実際には存在しない脅威から守るためのサービス料金と称し、最高で月額499ドルを支払わせていたという。

警察はMicrosoft Indiaから多数の偽コールセンターがデリーで運営されているとの通報を受けて捜査を開始し、初動捜査で10か所の偽コールセンターを特定した。捜索による押収物には被害者から受け取ったMicrosoftテクニカルサポート宛の小切手や通話記録などのほか、Microsoftテクニカルサポートのトレーニング用教材も含まれるとのこと。

Times of Indiaの記事によれば、これらの偽コールセンターは個人情報を1件当たり200ルピー（約300円）ほどで購入して勧誘に使用していたといい、警察は個人情報の提供元を追跡しているとのことだ。

Mac RumorsやMotherboardが入手したAppleの内部文書によると、Apple T2チップを搭載したMacコンピューターでは、特定の部品を交換した場合に専用の診断プログラムを実行しなければシステムが使用できなくなると記載されているそうだ(Mac Rumorsの記事、 Motherboardの記事)。

現在のところT2チップを搭載しているのはiMac Proと2018年モデルのMacBook Pro。T2チップにはセキュアブートやストレージ暗号化、Touch IDの認証に用いられるSecure Enclaveコプロセッサが搭載されているほか、従来は独立したコンポーネントだったシステム管理コントローラや画像信号プロセッサ、オーディオコントローラ、SSDコントローラなどが統合されている。

そのため、特定の部品を修理した場合、Apple Service Toolkit 2 (AST 2)と呼ばれる診断プログラムを実行して診断を行わない限り修理は完了せず、システムが使用不能になるとのこと。iMac Proの場合はロジックボードやフラッシュストレージ、2018年モデルのMacBook Proの場合はディスプレイやロジックボード、Touch ID、トップケース(キーボードやトラックパッド、バッテリーなどを含む)が該当する。