あるAnonymous Coward曰く、

昨年1月に「Spectre」などと呼ばれるCPUの脆弱性の存在が報じられた。その後、これらと同様の手法を使った攻撃手法が次々と見つかっているが、Googleの研究者らが2月15日付けで発表した論文によると、これらの脆弱性は修正が難しいという（I Programmer）。

論文では、Spectre脆弱性は投機実行機能を持つすべてのCPUに存在する、プロセス分離という概念は滅びた、個々のソフトウェア実装どころかプログラミング言語でもハードウェアでも解決できない、という事実を改めて明らかにしたうえで、まずサイドチャネル攻撃を模擬して分析できるCPUの状態モデルを作り、その状態モデルを操作できるようにするところから始めないと、脆弱性の解消どころか研究すら手が付けられないとしている。

あるAnonymous Coward曰く、

生体認証規格「FIDO」を策定しているFIDO Allianceが、Androidに対しFIDO2認証を与えたことを発表した。対応するAndroidのバージョンは7.0（Nougat）以降で、アップデートによってFIDO2の認証機能が利用できるようになる（TechCrunch、マイナビニュース、Slashdot）。

これにより、開発者はFIDOの仕様に準拠した形でアプリケーションを開発するだけでAndroidでの生体認証が利用できるようになる。ネイティブアプリだけでなく、Webサービスなどでも利用が可能で、すでに主要ブラウザはFIDOに対応している。

あるAnonymous Coward曰く、

DNSを狙った攻撃が増加しているとして、インターネットの名前空間などの管理・運用を行う団体であるICANNが警告を出している（ICANNの発表、Engadget日本版、ITmedia、TechCrunch）。

米国やその友好国であるレバノン、UAEを狙った攻撃も行われているとの話もあるようだ。

発表では、DNSレコードを改ざんしてドメイン名に紐付けられたIPアドレスを書き換えるような攻撃が行われているとし、セキュリティを強化したDNSSECの利用を推奨している。ただ、DNSの使用率はまだ少なく、Cloudflareなどまだ一部がサポートしているだけという状況だという（TechCrunch）。

マカフィーのセキュリティソフトの体験版では、試用期間が終了すると動作しなくなるだけでなく、アンインストールしない限りWindowsに標準搭載されているセキュリティ機能が利用できなくなるという。その結果、試用期間終了後はシステムが無防備な状況になってしまうようだ（黒翼猫のコンピュータ日記 2nd Edition）。

同様の問題はトレンドマイクロのウイルスバスターでも発生するという。一方、ESET Internet Securityでは試用期間が終了するとその旨が表示されてWindows Defenderが有効になるという。

あるAnonymous Coward曰く、

複数のパスワード管理ツールに脆弱性があり、パスワードを盗み出す攻撃が可能という調査結果が発表された（ITmedia、ZDNet、Slashdot）。

この調査結果によると、「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」といったパスワード管理ツールで、それぞれを起動させた状態でメモリをスキャンすることで生パスワードを取得できる可能性があるという。

一方でこれらツールを提供する4社「この問題を解決すれば、もっと大きなセキュリティリスクが発生する」「この問題による現実的な脅威は限られている」などと反論しているという。

Googleは21日、Google Playで新規公開/更新するアプリのターゲットAPIレベル引き上げ計画を発表した(Android Developers Blogの記事、 9to5Googleの記事、 VentureBeatの記事、 Neowinの記事)。

Googleは2017年12月にGoogle Playで新規公開/更新するアプリについて、AndroidManifest.xmlの「targetSdkVersion」で最新APIの指定を必須とする計画を発表し、2018年にはAPI 26(Android 8.0)が最低要件となっていた。これにより、2018年中に15万本以上のアプリで実行時パーミッションのサポートが追加されるなど、ユーザーが最新APIのメリットを享受できるようになったという。

2019年には8月から新規アプリでターゲットAPIをAPI 28(Android 9)以上にすることが必須となり、11月からは既存アプリのアップデートに対しても適用される。更新されない既存アプリについては影響を受けず、「minSdkVersion」により旧バージョンのAndroidも引き続きサポートできる。

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)が5Gネットワークの機材調達について、Huawei製品を使用するリスクは対応可能なレベルとの結論に達した、とFinancial Timesが報じている(BetaNewsの記事、 The Vergeの記事、 Mashableの記事)。

この情報は結論に詳しい2名が語ったもので、公式発表されたものではない。ファイブアイズ5か国では米国とオーストラリアが中国製品を5G調達から排除するよう圧力をかけており、ニュージーランドが同調している。一方、カナダでは国防省サイバーセキュリティセンターの責任者が昨年、5G調達からHuaweiを排除する必要はないとの考えを示していた。Huawei CFOの拘束を発端としてカナダと中国の外交関係は悪化しているものの、現在のところHuaweiを排除する計画はないようだ。

欧州各国でも米豪に同調する動きがある一方で、ドイツではHuaweiを全面的に排除するよりも監視を厳しくして参入を認める方がいいとの考えに傾いている。英国が米国などからHuaweiを排除しない場合のリスクに関する情報を提供されたうえで、そのリスクは対応可能と判断したとすれば、各国政府の判断にも影響を与える可能性がある。

Googleによれば、昨年Google Playストアへ登録申請があったアプリのうち、却下したアプリの数は前年よりも55%以上多かったそうだ(Android Developers Blogの記事、 VentureBeatの記事、 SlashGearの記事、 Softpediaの記事)。

現在もGoogle Playでのマルウェアを含むアプリの発見はたびたび報じられるが、昨年Googleでは新たな不正の手口からユーザーを守るほか、悪意ある開発者を発見・排除し、ストアで悪意あるアプリの増加を防ぐための新たなポリシーを導入したという。

その結果、却下したアプリが前年比55%以上増加したのに加え、公開停止したアプリも前年比66%以上増加したとのこと。さらに、Google Play Protectが毎日500億本以上のアプリをスキャンしており、Google Playで入手したアプリは他の場所で入手したアプリよりもユーザーを害する可能性が8分の1以下になっているとのこと。

2019年は不正行為で排除された開発者が別アカウントで再参入することを防ぐ技術の強化や、不正アプリを検出する技術の強化などを行うほか、ユーザーのプライバシーを保護するため、新たなポリシーの追加も行っていくとのことだ。

taraiok曰く、

米セキュリティ企業Zimperium社は、Xiaomi製の人気電動スクーター「M365」に大きなバグを発見した。このバグを悪用するとスクーターを遠隔操作で乗っ取ることが可能だという。攻撃が成功した場合、スクーターの加速や停止などの制御が外部から行えるとしている（WIRED、Slashdot）。

Zimperium社のRani Idan氏によると、M365にはスクーターとスマートフォンアプリ間で通信するためにBluetoothモジュールが搭載されている。しかし、パスワードなどによる認証の仕組みがなく、さらにファームウェアに関してもメーカー公式のものかどうかをチェックする機能が無く、外部製のファームウェアに入れ替えできると説明している。これを悪用すれば意図的に事故を起こしたり、交通渋滞を引き起こすこともできるとしている。

ゲイ向けの出会い系アプリ「Jack'd」で、特定の友人のみに閲覧を許可するように設定されていた非公開写真に対し不特定多数がアクセスできてしまうという不具合が見つかったという（Buzzap!、register、BBC）。

この不具合では同アプリに登録していないユーザーでも非公開写真を閲覧できてしまうという。Ars Technicaの記事に技術的な説明があるが、このアプリはAmazon Web Services（AWS）のS3ストレージを利用しており、その際にストレージへのアクセス制限を設定していなかったとのこと。そのため、特定のURLにアクセスするだけで非公開写真をダウンロードできてしまう。

また、アプリが収集した位置情報やユーザーに関するメタデータの管理にも不備があり、これらの情報へのアクセスも可能になっていたようだ。

以前、人気少女漫画誌「ちゃお」に付録としてATM型貯金箱が付いてくることが話題になったが、昨年末に発売された「ちゃお」2月号ではさらにパワーアップした「指認証ボタン」付きのATM型貯金箱が付録として付いてくるそうだ（小学館コミックの告知）。

この貯金箱はロック解除に「カード」と「指」、「暗証番号」の3つの要素が必要。もちろん玩具ではあるため実際には指紋認証は行われていないのだが、「暗証番号」も一律ではなく複数が設定されているなど、一部では「セキュリティ意識が高い」と高評価されているという（ITmedia）。

ただ、ちゃお編集部では特にセキュリティを意識した訳ではなく、リアリティを追求したらこうなっただけのようだ。

Googleは5日、任意のWebサイトへログインする際、過去に流出したユーザー名とパスワードの組み合わせを使用していないかどうか確認するChrome拡張機能「Password Checkup」をChromeウェブストアで公開した(Google Security Blogの記事、 Googleアカウントヘルプ、 The Keywordブログの記事、 Ars Technicaの記事)。

Mozillaは任意のブラウザーで利用可能な個人情報流出を通知するサービス「Firefox Monitor」や、個人情報が流出したWebサイトにアクセスすると通知するデスクトップ版Firefox限定機能の「Firefox Monitor Notification」でHave I Been Pwned?のデータを使用しているが、Googleは独自に収集したデータを使用しているそうだ。

Googleはデータ侵害により流出したユーザー名とパスワードを発見すると、ハッシュ化したうえで暗号化し、ハッシュの先頭2バイト分(プリフィックス)とともに保存しているという。Password Checkupはユーザーが任意のWebサイトにログインする際、ユーザー名とパスワードをハッシュ化してからユーザー側の暗号鍵で暗号化し、ハッシュのプリフィックスと暗号文をGoogleへの問い合わせに使用する仕組みだ。

問い合わせを実行するとプリフィックスが一致するデータに加え、暗号文をGoogleの暗号鍵でさらに暗号化した暗号文が返される。この暗号文をユーザー側の暗号鍵で復号すれば、Google側の暗号鍵のみで暗号化された状態となる。これによりGoogleにユーザー名やパスワードを知らせることなく、ローカルでGoogleのデータとの照合を実行可能になるとのこと。

現在公開されているのは最初のバージョンであり、今後数か月の間にさらなる改善が行われるとのことだ。

ブラジル・ペルナンブコ連邦大学と米ミシガン大学の研究グループが人気IoTデバイスのコンパニオンアプリを調べたところ、半数が通信を暗号化していないか、暗号鍵をハードコードしていたそうだ(論文アブストラクト、 The Registerの記事)。

IoTデバイスの多くはスマートフォンから操作できるよう、コンパニオンアプリを提供している。IoTデバイスの脆弱性はファームウェアを解析することで調査できるが、実機を入手する必要があるため多数のデバイスを調査するのは困難だ。一方、アプリストアから無料で入手できるコンパニオンアプリの調査は容易だ。同一メーカー製品ではコンパニオンアプリを共有することが多いので、効率よく調査を行うことができる。 

研究グループはAmazonでIoTデバイス売り上げトップ100からWi-FiまたはBluetoothでの通信に対応した96製品を抽出し、対応するAndroid版のコンパニオンアプリ32本を調査している。このうち10本が通信を暗号化しておらず、6本が暗号鍵をハードコードしていたという。これら16本で37製品に対応する。なお、調査ではネイティブコードを除外しているため、他のアプリでも暗号鍵がハードコードされている可能性が指摘されている。

以上はアプリのみの分析だが、うち5製品については実際に購入して通信内容も含めて分析し、エクスプロイトによる任意の操作に成功している。5製品はWi-Fiを使用するスマートプラグ/電球/赤外線リモコンという条件で絞り込んだ中からランダムに選択したもので、対応するコンパニオンアプリはTP-LinkのKasa for Mobile(現在の名称はKasa Smart)、Lifi LabsのLIFX、BelkinのWemo、Broadlinkのe-Controlの4本となる。研究グループは論文公開前に各メーカーへ脆弱性を伝えたが返答はなく、修正された様子もないとのことだ。

northern曰く、

カナダ最大の仮想通貨の交換会社「クアドリガCX」で、同社が持つ仮想通貨のコールドウォレットを管理する唯一の人物だった創業者が亡くなったため、同社が持つ200億円相当の仮想通貨を引き出せなくなるというトラブルが発生しているという（NHK、GIGAZINE）。

同社はカナダの裁判所に破産を申請したそうだが、管理体制への批判が集まりそうだ。

同社に対しては以前より支払いの遅れなどが指摘されており、裁判沙汰にもなっていたという。コールドウォレットはオフラインで仮想通貨を管理するための仕組みだが、コールドウォレット自体もどこにあるのか分からないそうだ。

あるAnonymous Coward曰く、

欧州連合（EU）当局が、ドイツ・ENOXの子供向けスマートウォッチ「Safe-Kid-One」の回収を決めた。通信が暗号化されておらず、容易に外部からプライバシに関わるデータにアクセスできる可能性があるためだという（CNET、Slashdot）。

このスマートウォッチは一見普通のアナログ式時計に見えるが、SIMやGPSが内蔵されており、定期的に位置情報をクラウドサーバーに送信して保護者が確認できたり、あらかじめ指定した相手に電話をかける機能などを備えているという。

EU当局によると、このデバイスはクラウドサーバーと暗号化せずにデータをやりとりしており、位置情報履歴や電話番号、シリアル番号などのデータを簡単に取得したり変更できるという。