Googleは2月28日、Google Playで公開されるアプリのセキュリティを向上させるApplication Security Improvement Program (アプリセキュリティ向上プログラム)により修正されたアプリが累計100万本を超えたことを明らかにした(Android Developers Blogの記事、 VentureBeatの記事)。

Application Security Improvement ProgramはGoogle Playに送信されたアプリをスキャンし、脆弱性が見つかった場合には開発者に通知して修正を助けるというもの。その後も定期的なスキャンが行われ、新たに脆弱性が見つかれば通知される。脆弱性の種類によっては、修正が完了するまでアップデートは公開されなくなるが、公開済みのAPKには影響しない。

Googleは5年前にプログラムを開始してから、現在までに30万人以上の開発者による100万本以上のアプリの脆弱性修正を助けており、昨年1年間だけでも3万人以上の開発者による7万5千本以上のアプリが修正されたとのことだ。

EFFは2月28日、テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう要求するキャンペーン「Fix It Already」を開始した(Deeplinks Blogの記事、 Mac Rumorsの記事、 Softpediaの記事)。

キャンペーンの対象は9社。AppleにはiCloudバックアップの暗号化、Android (Google)にはAndroidでアプリの「INTERNET」パーミッションをユーザーが無効化できるようにすること、Microsoft (Windows 10)には「デバイスの暗号化」で暗号鍵をMicrosoftのサーバーに送信しないことを求めている。

このほかの6社に対する要求は以下の通り。

• Facbook: セキュリティ目的でユーザーが提供した連絡先情報を他の目的に使用しない
• Slack: 無料ワークスペースの管理者にもメッセージ保持期限の設定を可能にする
• Twitter: ダイレクトメッセージをエンドツーエンドで暗号化する
• Venmo: 友達リストを非公開化できるようにする
• Verizon: 端末へのスパイウェアインストールをやめる
• WhatsApp: グループへ追加する前にユーザーの了承を受ける

セキュリティソフトウェアを手がけるAvastによると、日本の世帯の29%が1台以上の脆弱なデバイスを保有しているという（Avastの発表）。また、日本の家庭用ルーターの57%が脆弱な状態なのだそうだ。

日本の家庭で使用されているスマートホームデバイスの84%は、パスワードなどの認証が脆弱だったり二要素認証を使用しておらず、また16％がパッチをセキュリティ修正パッチを適用していないという。

脆弱なデバイスとしてはプリンターが42％と最も多く、続いてネットワーク機器（37％）、メディアストリーミング端末（13％）、防犯カメラ（5％）、NAS（1%）が続いている。

この調査は、Avastのセキュリティソフトユーザーが同ソフトに搭載されている「Avast Wi-Fi Inspector」というネットワークスキャン機能を使って収集したデータを元に集計しているという。

headless曰く、

米国・カリフォルニア州リバーサイドで、盗難にあったTesla車のオーナーが専用アプリで車両の位置情報を取得し、警察に知らせたことが容疑者逮捕につながったそうだ（リバーサイド警察のFacebookページ、Mashable、The Press-Enterprise）。

オーナーは自動車が駐車場で盗難にあったと届け出たのち、アプリで現在位置を追跡し、通報センターにリアルタイムで報告したという。警察はこの情報を用いて車両を特定したが、運転していた容疑者は警察の制止に従わず逃走を続ける。容疑者の運転をみて追跡は危険と判断した警察はパトカーによる追跡をやめ、ヘリコプターからの監視を続けた。最終的にTesla車はバッテリー切れで動かなくなり、ハイウェイパトロールが容疑者を拘束して警察に引き渡したとのことだ。

あるAnonymous Coward曰く、

昨年1月に「Spectre」などと呼ばれるCPUの脆弱性の存在が報じられた。その後、これらと同様の手法を使った攻撃手法が次々と見つかっているが、Googleの研究者らが2月15日付けで発表した論文によると、これらの脆弱性は修正が難しいという（I Programmer）。

論文では、Spectre脆弱性は投機実行機能を持つすべてのCPUに存在する、プロセス分離という概念は滅びた、個々のソフトウェア実装どころかプログラミング言語でもハードウェアでも解決できない、という事実を改めて明らかにしたうえで、まずサイドチャネル攻撃を模擬して分析できるCPUの状態モデルを作り、その状態モデルを操作できるようにするところから始めないと、脆弱性の解消どころか研究すら手が付けられないとしている。

あるAnonymous Coward曰く、

生体認証規格「FIDO」を策定しているFIDO Allianceが、Androidに対しFIDO2認証を与えたことを発表した。対応するAndroidのバージョンは7.0（Nougat）以降で、アップデートによってFIDO2の認証機能が利用できるようになる（TechCrunch、マイナビニュース、Slashdot）。

これにより、開発者はFIDOの仕様に準拠した形でアプリケーションを開発するだけでAndroidでの生体認証が利用できるようになる。ネイティブアプリだけでなく、Webサービスなどでも利用が可能で、すでに主要ブラウザはFIDOに対応している。

あるAnonymous Coward曰く、

DNSを狙った攻撃が増加しているとして、インターネットの名前空間などの管理・運用を行う団体であるICANNが警告を出している（ICANNの発表、Engadget日本版、ITmedia、TechCrunch）。

米国やその友好国であるレバノン、UAEを狙った攻撃も行われているとの話もあるようだ。

発表では、DNSレコードを改ざんしてドメイン名に紐付けられたIPアドレスを書き換えるような攻撃が行われているとし、セキュリティを強化したDNSSECの利用を推奨している。ただ、DNSの使用率はまだ少なく、Cloudflareなどまだ一部がサポートしているだけという状況だという（TechCrunch）。

マカフィーのセキュリティソフトの体験版では、試用期間が終了すると動作しなくなるだけでなく、アンインストールしない限りWindowsに標準搭載されているセキュリティ機能が利用できなくなるという。その結果、試用期間終了後はシステムが無防備な状況になってしまうようだ（黒翼猫のコンピュータ日記 2nd Edition）。

同様の問題はトレンドマイクロのウイルスバスターでも発生するという。一方、ESET Internet Securityでは試用期間が終了するとその旨が表示されてWindows Defenderが有効になるという。

あるAnonymous Coward曰く、

複数のパスワード管理ツールに脆弱性があり、パスワードを盗み出す攻撃が可能という調査結果が発表された（ITmedia、ZDNet、Slashdot）。

この調査結果によると、「1Password4」「1Password7」「Dashlane」「KeePass」「LastPass」といったパスワード管理ツールで、それぞれを起動させた状態でメモリをスキャンすることで生パスワードを取得できる可能性があるという。

一方でこれらツールを提供する4社「この問題を解決すれば、もっと大きなセキュリティリスクが発生する」「この問題による現実的な脅威は限られている」などと反論しているという。

Googleは21日、Google Playで新規公開/更新するアプリのターゲットAPIレベル引き上げ計画を発表した(Android Developers Blogの記事、 9to5Googleの記事、 VentureBeatの記事、 Neowinの記事)。

Googleは2017年12月にGoogle Playで新規公開/更新するアプリについて、AndroidManifest.xmlの「targetSdkVersion」で最新APIの指定を必須とする計画を発表し、2018年にはAPI 26(Android 8.0)が最低要件となっていた。これにより、2018年中に15万本以上のアプリで実行時パーミッションのサポートが追加されるなど、ユーザーが最新APIのメリットを享受できるようになったという。

2019年には8月から新規アプリでターゲットAPIをAPI 28(Android 9)以上にすることが必須となり、11月からは既存アプリのアップデートに対しても適用される。更新されない既存アプリについては影響を受けず、「minSdkVersion」により旧バージョンのAndroidも引き続きサポートできる。

英政府通信本部(GCHQ)の国家サイバーセキュリティセンター(NCSC)が5Gネットワークの機材調達について、Huawei製品を使用するリスクは対応可能なレベルとの結論に達した、とFinancial Timesが報じている(BetaNewsの記事、 The Vergeの記事、 Mashableの記事)。

この情報は結論に詳しい2名が語ったもので、公式発表されたものではない。ファイブアイズ5か国では米国とオーストラリアが中国製品を5G調達から排除するよう圧力をかけており、ニュージーランドが同調している。一方、カナダでは国防省サイバーセキュリティセンターの責任者が昨年、5G調達からHuaweiを排除する必要はないとの考えを示していた。Huawei CFOの拘束を発端としてカナダと中国の外交関係は悪化しているものの、現在のところHuaweiを排除する計画はないようだ。

欧州各国でも米豪に同調する動きがある一方で、ドイツではHuaweiを全面的に排除するよりも監視を厳しくして参入を認める方がいいとの考えに傾いている。英国が米国などからHuaweiを排除しない場合のリスクに関する情報を提供されたうえで、そのリスクは対応可能と判断したとすれば、各国政府の判断にも影響を与える可能性がある。

Googleによれば、昨年Google Playストアへ登録申請があったアプリのうち、却下したアプリの数は前年よりも55%以上多かったそうだ(Android Developers Blogの記事、 VentureBeatの記事、 SlashGearの記事、 Softpediaの記事)。

現在もGoogle Playでのマルウェアを含むアプリの発見はたびたび報じられるが、昨年Googleでは新たな不正の手口からユーザーを守るほか、悪意ある開発者を発見・排除し、ストアで悪意あるアプリの増加を防ぐための新たなポリシーを導入したという。

その結果、却下したアプリが前年比55%以上増加したのに加え、公開停止したアプリも前年比66%以上増加したとのこと。さらに、Google Play Protectが毎日500億本以上のアプリをスキャンしており、Google Playで入手したアプリは他の場所で入手したアプリよりもユーザーを害する可能性が8分の1以下になっているとのこと。

2019年は不正行為で排除された開発者が別アカウントで再参入することを防ぐ技術の強化や、不正アプリを検出する技術の強化などを行うほか、ユーザーのプライバシーを保護するため、新たなポリシーの追加も行っていくとのことだ。

taraiok曰く、

米セキュリティ企業Zimperium社は、Xiaomi製の人気電動スクーター「M365」に大きなバグを発見した。このバグを悪用するとスクーターを遠隔操作で乗っ取ることが可能だという。攻撃が成功した場合、スクーターの加速や停止などの制御が外部から行えるとしている（WIRED、Slashdot）。

Zimperium社のRani Idan氏によると、M365にはスクーターとスマートフォンアプリ間で通信するためにBluetoothモジュールが搭載されている。しかし、パスワードなどによる認証の仕組みがなく、さらにファームウェアに関してもメーカー公式のものかどうかをチェックする機能が無く、外部製のファームウェアに入れ替えできると説明している。これを悪用すれば意図的に事故を起こしたり、交通渋滞を引き起こすこともできるとしている。

ゲイ向けの出会い系アプリ「Jack'd」で、特定の友人のみに閲覧を許可するように設定されていた非公開写真に対し不特定多数がアクセスできてしまうという不具合が見つかったという（Buzzap!、register、BBC）。

この不具合では同アプリに登録していないユーザーでも非公開写真を閲覧できてしまうという。Ars Technicaの記事に技術的な説明があるが、このアプリはAmazon Web Services（AWS）のS3ストレージを利用しており、その際にストレージへのアクセス制限を設定していなかったとのこと。そのため、特定のURLにアクセスするだけで非公開写真をダウンロードできてしまう。

また、アプリが収集した位置情報やユーザーに関するメタデータの管理にも不備があり、これらの情報へのアクセスも可能になっていたようだ。

以前、人気少女漫画誌「ちゃお」に付録としてATM型貯金箱が付いてくることが話題になったが、昨年末に発売された「ちゃお」2月号ではさらにパワーアップした「指認証ボタン」付きのATM型貯金箱が付録として付いてくるそうだ（小学館コミックの告知）。

この貯金箱はロック解除に「カード」と「指」、「暗証番号」の3つの要素が必要。もちろん玩具ではあるため実際には指紋認証は行われていないのだが、「暗証番号」も一律ではなく複数が設定されているなど、一部では「セキュリティ意識が高い」と高評価されているという（ITmedia）。

ただ、ちゃお編集部では特にセキュリティを意識した訳ではなく、リアリティを追求したらこうなっただけのようだ。