PETAが動物に対する残酷な行為などを含む反動物的な慣用表現を動物にやさしい表現に置き換えるべきだと主張している(PETAのツイート、 PETA.orgの記事、 プレスリリース)。

PETAは人種差別や同性愛差別、障害者差別を含む表現が許容されなくなっているのと同様、種差別的な表現も排除する必要があると主張。「Kill two birds with one stone (1つの石で2羽の鳥を殺す: 一石二鳥)」ではなく「Feed two birds with one scone (1つのスコーンで2羽の鳥を満腹にする)」のように表現するといった例を挙げている。

独自の技術でランサムウェアにより暗号化されたファイルの復号ができると称し、実際にはランサムウェア作者から購入した復号鍵にマージンを乗せて被害者に売るサービスの存在をCheck Pointの研究者が発見したそうだ(BetaNewsの記事、 The Registerの記事、 TechRadarの記事、 SC Media UKの記事)。

研究者はランサムウェアDharmaについて調査中、ロシアでランサムウェア感染マシンの復旧サービスを提供するDr. ShifroのWebサイトを発見する。しかし、まだ復号鍵の公開されていないDharmaのバリアントにも対応することを謳うなど、怪しい点がみられたという。

そこで研究者はDharmaのアルゴリズムを使用した偽の感染ファイルと偽のランサムウェア作者の電子メールアドレスを用意し、被害者を装ってDr. Shifroに連絡。2日ほどのち、偽ランサムウェア作者に仲介人を名乗るメールが届いたそうだ。送信者は2015年からクライアントに代わって復号鍵を取得していると述べ、身代金を偽ランサムウェアが要求する0.2 BTCから0.15 BTCへ値引くよう交渉してきたという。その後、被害者としてDr. Shifroに再び連絡すると、値引き前の身代金に1,000ドルほど上乗せした金額を提示されたとのこと。

研究者はこのようなサービスの提供が非倫理的なだけではなくランサムウェア被害者の支払額を増大させ、サイバー犯罪者の資金源としてランサムウェアの利用を勧める結果になると批判しているとのことだ。

興和と農研機構が、ミノムシの糸の製品化に向けた研究開発を行っているという（興和のプレスリリース）。

昆虫由来の糸としては蜘蛛の糸の強度が強いという話が有名だが、ミノムシの吐く糸は蜘蛛の糸を凌駕する性能を持っており、今回両社はミノムシから1本の長い糸を採糸する技術を考案、特許出願したという。

ミノムシの糸はタンパク質から構成されている「シルク繊維」とのことで、さまざまな用途で活用が期待できるという。さらにミノムシの繁殖や採糸に関する技術も開発しており、今後の産業化に向けた生産体制の構築を予定しているそうだ。

あるAnonymous Coward曰く、

パスワードを強化するために「大文字/小文字/数字/記号を含めてください」といったサイトはよく見られるが、文字種を制限してしまうとすべて小文字/すべて大文字といった組み合わせが無くなるため、結果的に総当たり攻撃に弱くなるという（Webroot、lifehacker）。

特に文字数が8文字のように短い場合、上記全ての文字種を含めるようにすると、組み合わせ数が41%も減ってしまうという。対策としては文字種を増やすのではなく、パスワードをより長くすべきとしている。

メッセージングアプリのLINEが11月15日、「サービス向上のための位置情報利用に関するご案内」なるものを出している。位置情報の利用に同意すると、LINEが利用者の位置情報を収集するようになる、という案内だ。これに対し危険性があるとして位置情報の提供拒否を勧める意見が出ている（Togetterまとめ）。

この同意画面はLINEアプリのアップデート後に表示されるとのことで、拒否してもLINEの利用に支障はないが、デフォルトで「同意」にチェックが入っていることへの批判もある。

なお、ASCII.npの解説記事によると、LINEは収集した位置情報を使って関連する情報をユーザーに送信するほか、「LINE Beacon」を有効にすると近くの店舗から広告などの情報が送信されるという。

あるAnonymous Coward曰く、

米国財務省・外国資産管理室（OFAC）が、犯罪で使われていたビットコインアドレスを特定し、経済制裁の対象として公表した（COINPOST、COINTELEGRAPH）。

ビットコインアドレスはビットコインの送付先を指定するために使われる情報。米当局が犯罪に利用されたアドレスを公表したのは初めてだという。合わせて、このアドレスを所有しているとされる2名の氏名なども公開された。彼らはさまざまな組織に対しサイバー攻撃を行い、身代金としてビットコインを脅し取っていたという。

今回ビットコインアドレスが経済制裁対象として指定されたことで、この口座を対象とした取引が米国において禁じられたことになる。

米国のDriveSaversという企業が11月26日、パスコードロックされたあらゆるスマートフォンをアンロックできるというコンシューマー向けサービスを発表した(プレスリリース、 サービス紹介ページ、 The Vergeの記事、 Mac Rumorsの記事)。

DriveSaversによれば、プロプライエタリな新技術を用い、すべてのメーカー・モデル・OSのスマートフォンやタブレットデバイスでパスコードロックを100%解除できるという。パスコードの長さも問わず、長い複雑なパスコードでも対応可能とのこと。

捜査機関向けにパスコード解除サービスを提供している企業は既に存在するが、DriveSaversは捜査機関にサービスを提供することはなく、デバイスの所有者、もしくは死亡した所有者の相続人限定のサービスとなる。そのため、サービスを申し込むにはデバイスのデータにアクセスする法的権利を証明する書類などの提出が必要となる。

デバイスはアンロックされた状態で所有者に返され、データを外部メディアにコピーするオプションも用意されるという。アンロックの料金は3,900ドル(約44万円)ほどとのことで、安くはない。

しかし、米捜査機関の人気ガジェットとなっていたiPhoneアンロックツールGrayKeyはAppleがiOS 12で対策をして使用できなくなったとみられており、すべてのスマートフォンのパスコードロックを100%解除可能といった主張には疑問の目も向けられている。現在一般に知られていない技術をDriveSaversが持っている可能性もあるが、詳細については不明だ。

あるAnonymous Coward曰く、

JavaScript/Node.js向けパッケージリポジトリのnpmで公開されていた「event-strem」というJavaScriptパッケージにマルウェアが仕込まれる事件が発生した（Qiitaに投稿された解説記事、event-stremパッケージに対するチケット、Register、ZDNet）。

このパッケージでは最近メンテナの交代があったのだが、新メンテナが意図的に暗号通貨を盗むマルウェアをパッケージに仕込んでリリースを行っていたという。

問題のevent-streamパッケージはビットコインウォレットの「Copay」で利用されており、これを狙ってビットコインウォレットの情報を盗む攻撃を行うマルウェアが含まれていたようだ。

先日「Wizard Bible」管理人、ウイルス公開の疑いで略式起訴。問題のプログラムは一般的なサンプルコードという話題があったが、はてな村定点観測所の齊藤氏が、起訴されたIPUSIRON氏から直接聞いたという「検察と争わなかった理由」を明らかにしている。

理由の1つとしてPCが押収されて仕事に支障が出ているというものが報じられていたが、それ以外にも氏の母親が病気療養中であり起訴前に亡くなられていたこと、氏が住む地域のコミュニティにこの話が広まって自身や家族が孤立することを恐れたこと、の2つの理由があったという。

さくらインターネットが、セキュリティ対策なしにサーバーを放置しているユーザーに対して「お願い」として対策を求めている（INTERNET Watch）。

挙げられている対策は下記のとおり。

• パスワードはすべて適切な強度を満たすように設定してほしい
• なるべく自動アップデートを利用してほしい
• ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール（WAF）を活用すること
• 持続的な運用または終了方法を考えてほしい

背景には、管理者がいなくなってしまったサーバーや、管理者がやる気をなくしてしまったサーバーが運用状態のまま放置されているという問題があるという。こういったサーバーで利用されているソフトウェアで脆弱性が見つかった場合、管理権限が奪われて攻撃の踏み台にされるおそれもある。

Google Playでマルウェアが見つかり、多数インストールされていたという話はたびたび報じられるが、実際のインストール件数は少ないという説をSlashGearが提唱している(SlashGearの記事)。

最近ではドライビングゲームを装った同一の開発者によるマルウェア13本がGoogle Playで発見された。実際にはゲームとして動作せず、起動するとバックグラウンドで別のAPKをダウンロードしてインストールするというものだが、合計56万回以上インストールされ、2本はTrendingのランキングにも入っていたという。Google Playでは星2～3.5個の評価が付けられていたようだ。

マルウェア1本あたり数万人がインストールしていたとすれば、相当数の苦情が出てもおかしくないが、特に騒ぎになる様子もない。そのため、SlashGearでは、表示されるインストール件数に対して実際のユーザー数はごくわずかである可能性を指摘している。アプリのインストール件数や評価を水増ししたり、偽のレビューを投稿したりといった行為もしばしば問題となるが、インストール件数の多いマルウェアでも水増し行為が行われている可能性があるとのことだ。

NASAがSpaceXとBoeingに対し、職場環境の安全性評価を行うそうだ(The Vergeの記事、 Ars Technicaの記事、 GeekWireの記事、 The Washington Postの記事)。

The Washington Postに情報を提供した3名の職員によると、9月にYouTubeのライブ番組に出演したイーロン・マスク氏がカメラの前でマリファナを喫煙したことが評価実施の理由だという。番組の収録されたカリフォルニア州では娯楽用途での大麻利用は合法だが、国レベルでは禁止されている。NASAでは違法薬物のない職場環境実現のため、職員に対して大麻やコカインなど5種の薬物検査を行っている。

NASAは評価実施の理由について回答を避けているが、違法薬物のない環境を含め、職場の安全性がNASAの基準を満たしているかどうかを確認するため、企業文化の評価を民間パートナーに対して実施すると述べているとのことだ。

なお、NASAは21日、米民間宇宙船による国際宇宙ステーション(ISS)へのクルー輸送ミッションについて、SpaceXによる1回目のテストフライト(Demo-1、無人)を2019年1月7日に実施すると発表した。その他のスケジュールに関しては10月の発表から変更されていない。

米国や欧州のAmazonが電子メールアドレスなどをWebサイトで誤って公開したことを謝罪する通知を顧客に送り、受信者を驚かせたようだ(BetaNewsの記事、 The Vergeの記事、 GeekWireの記事、 CNBCの記事)。

内容としては、技術的な問題であなたの電子メールアドレス(または名前と電子メールアドレス)をうっかりAmazonのWebサイトに表示してしまったというもの。さらに、既に問題は修正済みであること、あなたがしたこと(設定など)が原因ではなく、パスワード変更やその他の対応は不要であることが記載されている。

しかし、具体的にどのページで公開されたのか、誰がアクセスした可能性があるのか、といった情報がないうえ、お知らせするが何もすることはないという文面が混乱を招くことになる。米国版の通知のフッターに記載されたURLが「http://Amazon.com」という表記である点も指摘されている。

通知を受信したという報告は米国や英国、イタリア、フランスの出品者向けフォーラムに投稿されているが、影響範囲が出品者だけなのかどうかは不明だ。Amazonはメディアの問い合わせに対し、問題は修正済みであり、影響を受けた可能性のある顧客に通知したとのみ回答しているという。

Microsoftは16日、6日にリリースしたOffice 2010向け更新プログラム2本の提供中止を発表した(KB4461522、 KB2863821、 Ars Technicaの記事、 BetaNewsの記事)。

KB4461522とKB2863821はいずれも日本の新元号に備えるもので、新元号開始時に正しく元号が表示されるようにOffice 2010の和暦カレンダーを修正する。ただし、実際の新元号を表示するには新元号発表後に提供される更新プログラムが必要となるようだ。

しかし、これらの更新プログラムをインストールすると、Accessやその他のアプリケーションがクラッシュする可能性があるという。そのため、提供を中止しただけでなく、更新プログラムのアンインストールが推奨されている。

nemui4曰く、

Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ（GIGAZINE、ギズモード・ジャパン、iPhone Mania）。

ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。

問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。

このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。