Google Playでマルウェアが見つかり、多数インストールされていたという話はたびたび報じられるが、実際のインストール件数は少ないという説をSlashGearが提唱している(SlashGearの記事)。

最近ではドライビングゲームを装った同一の開発者によるマルウェア13本がGoogle Playで発見された。実際にはゲームとして動作せず、起動するとバックグラウンドで別のAPKをダウンロードしてインストールするというものだが、合計56万回以上インストールされ、2本はTrendingのランキングにも入っていたという。Google Playでは星2～3.5個の評価が付けられていたようだ。

マルウェア1本あたり数万人がインストールしていたとすれば、相当数の苦情が出てもおかしくないが、特に騒ぎになる様子もない。そのため、SlashGearでは、表示されるインストール件数に対して実際のユーザー数はごくわずかである可能性を指摘している。アプリのインストール件数や評価を水増ししたり、偽のレビューを投稿したりといった行為もしばしば問題となるが、インストール件数の多いマルウェアでも水増し行為が行われている可能性があるとのことだ。

NASAがSpaceXとBoeingに対し、職場環境の安全性評価を行うそうだ(The Vergeの記事、 Ars Technicaの記事、 GeekWireの記事、 The Washington Postの記事)。

The Washington Postに情報を提供した3名の職員によると、9月にYouTubeのライブ番組に出演したイーロン・マスク氏がカメラの前でマリファナを喫煙したことが評価実施の理由だという。番組の収録されたカリフォルニア州では娯楽用途での大麻利用は合法だが、国レベルでは禁止されている。NASAでは違法薬物のない職場環境実現のため、職員に対して大麻やコカインなど5種の薬物検査を行っている。

NASAは評価実施の理由について回答を避けているが、違法薬物のない環境を含め、職場の安全性がNASAの基準を満たしているかどうかを確認するため、企業文化の評価を民間パートナーに対して実施すると述べているとのことだ。

なお、NASAは21日、米民間宇宙船による国際宇宙ステーション(ISS)へのクルー輸送ミッションについて、SpaceXによる1回目のテストフライト(Demo-1、無人)を2019年1月7日に実施すると発表した。その他のスケジュールに関しては10月の発表から変更されていない。

米国や欧州のAmazonが電子メールアドレスなどをWebサイトで誤って公開したことを謝罪する通知を顧客に送り、受信者を驚かせたようだ(BetaNewsの記事、 The Vergeの記事、 GeekWireの記事、 CNBCの記事)。

内容としては、技術的な問題であなたの電子メールアドレス(または名前と電子メールアドレス)をうっかりAmazonのWebサイトに表示してしまったというもの。さらに、既に問題は修正済みであること、あなたがしたこと(設定など)が原因ではなく、パスワード変更やその他の対応は不要であることが記載されている。

しかし、具体的にどのページで公開されたのか、誰がアクセスした可能性があるのか、といった情報がないうえ、お知らせするが何もすることはないという文面が混乱を招くことになる。米国版の通知のフッターに記載されたURLが「http://Amazon.com」という表記である点も指摘されている。

通知を受信したという報告は米国や英国、イタリア、フランスの出品者向けフォーラムに投稿されているが、影響範囲が出品者だけなのかどうかは不明だ。Amazonはメディアの問い合わせに対し、問題は修正済みであり、影響を受けた可能性のある顧客に通知したとのみ回答しているという。

Microsoftは16日、6日にリリースしたOffice 2010向け更新プログラム2本の提供中止を発表した(KB4461522、 KB2863821、 Ars Technicaの記事、 BetaNewsの記事)。

KB4461522とKB2863821はいずれも日本の新元号に備えるもので、新元号開始時に正しく元号が表示されるようにOffice 2010の和暦カレンダーを修正する。ただし、実際の新元号を表示するには新元号発表後に提供される更新プログラムが必要となるようだ。

しかし、これらの更新プログラムをインストールすると、Accessやその他のアプリケーションがクラッシュする可能性があるという。そのため、提供を中止しただけでなく、更新プログラムのアンインストールが推奨されている。

nemui4曰く、

Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ（GIGAZINE、ギズモード・ジャパン、iPhone Mania）。

ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。

問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。

このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。

headless曰く、

Mozillaは14日、9月にサービスを開始した「Firefox Monitor」のデスクトップ版Firefox限定機能として、最近情報漏洩が判明したWebサイトへのアクセス時に通知する機能の追加を発表した（The Mozilla Blog）。

Firefox MonitorはHave I Been Pwned?のデータを使用して既知の個人情報流出の影響を通知するサービスだ。2017年の計画発表時には今回の通知機能がメインの機能だったが、9月のサービス開始時にはFirefoxに限定せず任意のブラウザーで利用可能なアカウント情報流出スキャンサービスおよび、電子メールによる登録型の通知サービスのみが提供されていた。

通知は12か月以内に情報漏洩が報告されたサイトへアクセスした際に一度だけ表示される。通知からFirefox Monitorサイトにアクセスすることや、通知を今後一切表示しないように設定することも可能だ。この機能は今後数週間かけてFirefoxユーザーに順次提供開始するとのこと。なお、Firefox Monitorサイトで日本語を含む26言語のサポートを追加したことも同時に発表されている。

著名Twitterアカウントを通じた詐欺ツイート投稿が続発している問題について、TwitterはThe Next WebのHard Forkに対し、サードパーティーソフトウェアプロバイダーが原因だと伝えたそうだ(The Next Webの記事)。

詐欺ツイートの内容としてはビットコインを送金するとその10倍のビットコインをプレゼントするといったものだ。最近では米小売大手TargetやGoogle G Suiteなどのアカウントから詐欺ツイートが投稿されたことが報じられている。当初、Targetでは同社のアカウントが不正アクセスを受けたとの見解を示していた。しかし、Twitterと協力して調査した結果、投稿を代行するサードパーティーのマーケティングアプリが不正アクセスを受けたとの結論に達したとHard Forkに伝えたという。

TwitterはTargetだけでなく一連の詐欺投稿がサードパーティーアプリを通じたものだと認める一方、具体的なアプリの名称については回答しなかったとのこと。

米連邦検事補のミスにより、米政府が既にジュリアン・アサンジ氏を刑事告発したのではないかとの憶測が広がっている(The Guardianの記事、 The Washington Postの記事、 The Registerの記事、 The Telegraphの記事)。

発端となったのは、連邦検事補が作成し、連邦検事の名前でバージニア西地区連邦地裁へ8月に提出されたアサンジ氏と無関係な事件に関する文書(PDF)だ。この文書は児童虐待事件に関するもので、被疑者のKokayi氏による証拠隠滅や逃亡などを防ぐため刑事告発状や宣誓供述書、逮捕状の秘匿を申し立てている。しかし、文書の「3」と「5」では唐突に「Assange」という人物を対象とした記述が出現する。

文書には「Assange」としか書かれていないが、事件の注目度が高い点や国外からの身柄引き渡しに言及していることから、ジュリアン・アサンジ氏について書かれているようだ。アサンジ氏が実際に刑事告発されているのか、刑事告発の準備が進められている段階なのかは不明だが、この連邦検事補はWikiLeaksの事件も担当しており、今回の文書は過去の秘匿申立書を元に作成されたものとみられる。

本来はこの文書自体も秘匿の対象だが、不明な理由で秘匿が解除され、存在が明るみに出ることとなった。バージニア西地区連邦検事局の報道官は、文書が誤って作成されたものであり、(アサンジ氏の名前は)この申し立てで意図した名前ではないと述べているとのこと。なお、この件と前後して、米司法省がアサンジ氏を米国の法廷に立たせるべく起訴する準備を進めている、とWSJが報じている。

ニューヨーク大学とミシガン州立大学の研究グループが機械学習を用い、スマートフォンなどの指紋認証機能で「マスターキー」のように多数の指紋と一致する「DeepMasterPrints」の生成に成功したそうだ(論文: PDF、 The Guardianの記事、 Android Policeの記事、 Motherboardの記事)。

指紋認証デバイスの中でもスマートフォンなどに搭載されるものは操作性の問題で小型に作られており、指紋全体ではなく一部分だけで一致を判定する。指紋の一部分では情報エントロピーが低下するため、別の指の指紋と一致する可能性が高くなる。また認識失敗を防ぐため、エンロール時に複数の指の指紋を登録させるものもあり、さらに誤一致の可能性が高まる。

今回の研究グループ5名のうち3名は昨年、多数のユーザーの指紋に一致する合成指紋「MasterPrints」を生成する研究成果を発表している。ただし、MasterPrintsは指紋テンプレートの細部を変更することで生成するもので、画像は生成されなかったという。一方、DeepMasterPrintsは本物の指紋画像セットを敵対的生成ネットワーク(GAN)に学習させ、潜在変数進化(LVE)を用いて一致する指紋の数を最大にしたもので、外見は普通の指紋画像に似ており、より多くの指紋に一致するとのこと。

米国のフロリダ中部地区連邦地裁は14日、ベリーズで2012年に米国人男性が殺害された事件について、ジョン・マカフィー氏に法的責任があるとの判断を示した(裁判所文書: PDF、 The Registerの記事)。

この事件は2012年11月、ベリーズに住んでいた米国籍の男性が頭部に銃弾を受けて死亡しているのを清掃に来たハウスキーパーが発見したというもの。男性は当時隣の家に住んでいたマカフィー氏の迷惑行為に対する訴状を提出していたこともあり、マカフィー氏は事件の重要参考人だった。しかし、地元警察による事情聴取が行われる前にマカフィー氏は出国してしまう。これにより捜査は行き詰る一方で、男性の相続人がマカフィー氏を相手取った民事訴訟を米国で提起していた。

The Registerによると、マカフィー氏は弁護士も雇わず、法廷に一切顔を見せなかったようで、原告は法的責任に関する懈怠判決と損害額に関する陪審員裁判を請求していた。審理を担当するGregory Presnell判事は懈怠判決の請求については認めたが、このような状況で連邦法は陪審員裁判を必要としないとして、来年1月10日に裁判官による審理で損害額を確定するよう命じている。

KAMUI曰く、

TSUTAYAが、アルバイト店員による「Twitter上での脅迫発言」について謝罪している（TSUTAYAによる謝罪文、ニッカンスポーツ、J-CASTニュース）

件のアルバイトは原爆Tシャツなどが騒動になっていた韓国の防弾少年団（BTS）のファンだったらしく、店内で男性客がBTSに否定的な話をしていたのを聞いて「個人情報を取り扱う仕事上、名前から性癖まで暴露可能だ」とツイートしたという。これだけでも大概なのだが、他にも「大学を燃やす」や「大学の講師を殺す」といったツイートも行なっていた。しかも別のツイートでは地震のアルバイト先の店名を出していたそうで、まぁ何というか……頭悪いなぁとしか。

れはさて置き、先の謝罪文では「社員・アルバイトスタッフへの啓蒙教育を通じて、再発防止に努める」旨の内容になっているのだけど、そもそも「アルバイトが顧客の個人情報にフルアクセス可能」ならば、それはTSUTAYAの情報管理体制に問題ありと言えるんでないかぃ？

headless曰く、

最近のMacには「T2 Securityチップ」と呼ばれるコンポーネントが搭載されている。これによってサードパーティ修理業者による修理がブロックされるのではという話が出ていたが、AppleがThe Vergeの取材に対しこれを認めた（9to5Mac、Softpedia）。

T2チップ搭載Macの修理については10月上旬、Mac RumorsやMotherboardがAppleの内部文書を入手し、特定の部品を交換した際に正規サービスプロバイダーだけに提供される専用の診断プログラムを実行しなければシステムが使用できなくなると報じていたが、Appleがこれについて認めるのは初めて。

Appleによれば、ロジックボードやTouch IDセンサーといった特定のコンポーネントにかかわる修理について、修理を完了するには診断プログラムの実行が必要になるとのこと。ただし、内部文書で対象として記載されていたディスプレイユニットに関しては、診断プログラムを実行せずに修理を完了できると説明しているそうだ。

現在、iMac Proと2018年モデルのMacBook Pro、新MacBook Air、新Mac miniがT2チップを搭載する。ただし、Appleは具体的にどの機種のどのコンポーネントが影響を受けるのか、この制限が既に開始されているのかどうかといった点については明言しなかったようだ。

今年8月、NTTドコモのオンラインショップに対する不正アクセスが発生し、その結果約1000台のiPhone Xが不正に購入される事件があったが、この事件に関わったとされる中国籍の男性4人が逮捕されたことが報じられている（朝日新聞、産経新聞）。

逮捕された4人は不正購入されたiPhoneをコンビニエンスストアで受け取っていたとのことで、罪状は窃盗容疑となっている。逮捕された4人のうち3人は中身は知らなかったなどとして容疑を否認している。4人が受け取ったとされているのは不正に購入されたiPhone Xのうち165台と見られている。

あるAnonymous Coward曰く、

米国では2015年からEMV規格のICチップ搭載のクレジットカードが提供され、クレジットカードの不正利用は終わるものと考えられていた。しかし、実際にはそうはならなかったようだ。

調査会社Gemini Advisoryによれば、この1年間で4580万件のクレジットカード情報が傍受やPOSを狙った攻撃によって盗まれており、盗まれたカード情報の90％（4160万件）はEMVチップを搭載したものだったそうだ。

EMV規格では、カード上のICチップと販売者のPOS端末との通信が暗号化されるため、本来であればこういった情報漏洩は減るはずだが、多くの加盟店がシステムを適切に構成できていないという問題があるという。そのため、スキミングでカード情報を盗んだり、専用ネットワークを攻撃するといった攻撃が可能になっているという。

レポートによると、大手企業はEMVシステムの実装を強化し始めたという。一方で中小企業は対策が遅れることが多く、犯罪者は今後、中小企業をターゲットにしていくことだろうとしている（FORTUNE、Slashdot）。

taraiok曰く、

オンライン脅威の予防や検出、そして対応などに対し、米軍の役割はますます重要となってきている。米サイバー軍司令部（USCYBERCOM）は、オンライン脅威への対応には民間部門の協力が必要であることを理解している。そのため、USCYBERCOMの下部組織として設立されたサイバー・ナショナル・ミッションフォース（CNMF）は、サイバーセキュリティ企業とマルウェアのサンプルを共有する方針を決めたという（米サイバー軍司令部、Forbes、ZDNet、Slashdot）。

CNMFは今週、Googleが所有するオンラインスキャンサービスであるVirusTotalに初のマルウェアサンプルをアップロードし共有を行った。共有するにも一般のサイトに上げれば問題が出るためだ。VirusTotalであれば、55種類もの検出エンジンを使用してファイルを同時にチェックしてくれるなどの機能がある。最初にアップロードされたマルウェアサンプルは、盗難車両回収システム「Lojack」の脆弱性を悪用するマルウェアだという。「LoJax」と呼ばれるルートキットの仲間。LoJaxは、ロシアのサイバー攻撃集団「APT28」などが関与しているとされている。