ユーロポールが暗号通貨追跡の訓練に使用するため、まじめな(遊びではない)ゲームを開発しているそうだ(プレスリリース、 The Next Webの記事)。

プロジェクトの存在はユーロポール本部で14日まで開催された第6回暗号通貨カンファレンスで明らかにされた。このゲームは英シェフィールド・ハラム大学に設置されたCENTRIC(テロリズム・回復力・情報・組織犯罪に関する中核的研究拠点)と緊密に連携して共同開発されているという。ゲームは10月のユーロポールとインターポールの第7回サイバー犯罪カンファレンスでの公開を計画しており、捜査員が暗号通貨の捜査をゲーム化により訓練できる初の機会になるとのことだ。

一部の環境でFirefoxをバージョン67.0.2にアップデートすると、Firefoxに保存されていたログイン情報が消えてしまうトラブルが発生していたそうだ(gHacksの記事、 MozillaのBugzilla — Bug 1558765、 BetaNewsの記事、 Softpediaの記事)。

当初AvastやAVGが原因だと考えられていたが、AVGによるとAVGアンチウイルス本体ではなく、AVG Password Protectionというオプション機能を購入したユーザーだけが影響を受け、Avastユーザーは影響を受けないという。トラブルの原因は、Firefoxが新しいバージョンのブラウザーにサインインするための証明書を更新したが、AVGが新しい証明書に信頼できるとマークしていなかったためとのこと。

影響を受けた環境では、Firefoxのプロファイルフォルダー(通常は「C:\Users\<ユーザー名>\AppData\Roaming\Mozilla\Firefox\Profiles\<ランダムな文字列>.default」)内のログイン情報を格納するファイル「logins.json」がFirefoxにより「logins.json.corrupt」のようにリネームされている。データ自体は削除されていないため、Firefoxを終了してファイルを元の名前に戻せば復旧するそうだ。AVGでは問題を修正する更新プログラムを既に配布しており、製品バージョン「VPS 190614-02」以降では影響を受けないとのことだ。

広告ブロック拡張機能の動作を制限するものだと批判されているChrome拡張機能プラットフォームのマニフェスト新バージョンManifest V3について、広告ブロックをだめにするのではなく、より安全にするものだとChrome拡張チームのDevlin Cronin氏が説明している(Google Security Blogの記事、 VentureBeatの記事、 The Registerの記事、 Neowinの記事)。

Manifest V3のドラフトではブロッキング用途でのWeb Request API使用が非推奨(かつ制限される可能性あり)となり、ブロッキング用にはDeclarative Net Request APIが新たに追加される。Web Request APIによるブロッキングではページコンテンツを受け取った拡張機能が広告を除去するのに対し、Declarative Net Request APIでは拡張機能からブロッキング処理内容を受け取ったChrome側が広告を除去することになる。これにより処理は高速化するが、複雑なブロッキングアルゴリズムは使用できなくなる。ルールの数も3万件に制限され、現在広く使われているルール(EasyListだけでも7万件を超える)をすべて使用できない点も批判されている。また、5月下旬にはChrome拡張開発者支援を担当するSimeon Vincent氏が企業ユーザーにはWeb Request APIのブロッキング機能を引き続き提供すると述べたことも批判の対象となった。

Cronin氏はブロッキングをWeb Request APIからDeclarative Net Request APIへ移行すべき理由としてパフォーマンス向上に加え、プライバシーの改善を挙げている。Web Request APIではユーザーの個人情報を含む可能性のあるページコンテンツへのアクセス許可を拡張機能へ与える必要がある。一方、Declarative Net Request APIでは拡張機能のリクエストに応じてChrome側でブロッキングを実行するため、拡張機能に個人情報へのアクセス許可を与える必要がなくなるとのこと。なお、ブロッキングルールについては、グローバルで最大15万件に拡大する計画をChromiumブログでVincent氏が明らかにしている。

headless曰く、

アカウント情報流出を確認できるWebサイト「Have I been pwned?」（HIBP）を運営するトロイ・ハント氏が11日、HIBPの買収先を探す「Project Svalbard」を発表した（ハント氏のブログ、Register）。

ハント氏がHIBPを開始した2013年以来、現在までHIBPチームなどというものはなく、一人ですべての作業をこなしてきたという。しかし、今年に入ってサイトへのアクセス数や問い合わせが急増。ハント氏はTwitterへの投稿数を減らすなど負荷を減らそうとしたものの、燃え尽き寸前の状態になっていたそうだ。そのため、買収先として見込みのありそうな組織と非公式な話し合いを始めていたとのこと。

プロジェクト名のSvalbardはノルウェー領のスバールバルにちなんだものだ。スバールバルには世界種子貯蔵庫があることや、発音が難しく「pwned」的であること、ハント氏が初めて国際的な講演を行ったのがノルウェーであることが理由に挙げられている。

買収先を探すにあたり、ハント氏が重視しているのは以下のような点だという。

1. 消費者向けに無償提供しているアカウント情報流出確認機能は今後も無償で提供し続けること
2. ハント氏がHIBPの一員であり続けること
3. ハント氏一人では無理だった機能の大幅拡張が実現できること
4. 現在よりもずっと多くのオーディエンスに到達できること
5. 消費者のオンラインアカウント管理に対する態度をさらに大きく改善できること
6. 多くの組織がHIBPによる現在よりも大きな利益を受けられるようになること
7. より多くの情報開示とデータの収集が実現できること

ハント氏が自ら会社を設立してHIBPを運営していくという選択肢もあるが、それを選ばない理由として、自身の負担を減らすという目的を達成するまでに時間（とお金）がかかる点を挙げている。

Anonymous Coward曰く、

ゲームの未発表情報を次々とリークしていたTwitterユーザーに対し、任天堂の弁護士からリークをやめるよう連絡が来たそうだ。このユーザーは素性を明かしておらず、さらに自分の国籍とは異なる国、登録していない住所にいたにも関わらず、任天堂の弁護士から電話で連絡が来たという。

これを受けてこのユーザーは任天堂関連のリークは止めるとしたものの、任天堂以外のリークについては今後も行っていくと述べている模様。

あるAnonymous Coward曰く、

BuzzFeed Newsが入手した文書によると、ブリュッセルにある欧州連合（EU）の在ロシア大使館がサイバー攻撃を受け、ネットワーク経由で情報が盗まれたという。しかし、EUの対外安全保障政策機関である欧州対外行動局（EEAS）はこの事件について開示していないようだ（BuzzFeed News、Slashdot）。

この「サイバースパイ活動」は今年4月に行われた欧州議会選挙の前週に発見された。EUの外交安全保障政策上級代表であるFederica Mogherini氏はBuzzFeed Newsの問い合わせに対し事件の存在を認め、「モスクワ代表団の機密扱いではないネットワークに接続された。すでに対策は講じられており、現在は調査が行われている最中である。現段階ではこれ以上のコメントはできない」と回答している。

匿名情報筋や流出した文書によれば、攻撃の背後にはロシアがいるという。最初の攻撃は2017年2月から開始され、少なくとも2台のコンピュータに対し情報が盗まれた痕跡があるとのこと。攻撃でどれだけの情報が流出したのかは不明だという。

一般的なSSDではデータの書き換え時に既存のデータを物理的には削除せず、削除フラグのような仕組みを使って論理的にデータを見えなくするような処理を行っている。これを利用し、マルウェアによってデータを意図せずに書き換えられた場合にデータを復元する手法が考案された（@IT）。

昨今ではデータを暗号化し、それを解除する対価として金銭の支払いを求めるような「ランサムウェア」が問題となっている。この手法を利用することで、データがランサムウェアによって暗号化された場合でもデータを復元できる可能性があるという。ただし、事前にSSDのコントローラにデータを保存しておくような仕組みを導入しておく必要があるようだ。

headless 曰く、

Googleが安全保障上の問題を理由に、Android OSをHuaweiに対する輸出制限から除外するよう米商務省と交渉しているとFinancial Timesが報じている(VentureBeatの記事、 Ars Technicaの記事、 The Vergeの記事、 Bloombergの記事)。

米商務省は5月15日、米国のテクノロジーを販売・移転するのに産業安全保障局(BIS)のライセンスが必要となるエンティティリストにHuaweiを追加したが、5月20日には90日間の一時的な一般ライセンス(TGL)を発行している。これにより、Huaweiは8月18日まで輸出管理規則(EAR)で制限されない米国のテクノロジーを個別のライセンスなしで入手可能となっており、今後商務省ではTGLの期限を延長するかどうかの判断を行なう。

Googleが交渉しているのは、TGLの延長またはライセンスの免除だという。Financial Timesの情報提供者によれば、GoogleがAndroidを輸出制限から除外すべきと主張する根拠は以下のようなものだ。HuaweiがAndroidを入手できなくなればHuaweiはAndroidのオープンソース部分をフォークしたハイブリッド版のAndroidを開発することになる。ハイブリッド版はGoogle版と比べてバグが多くなることが予想され、Huaweiの端末が(特に中国により)ハッキングされる可能性が高まるとのこと。

GoogleはFinancial Timesに対し、商務省の措置を確実に順守するため同省と連携しているとしたうえで、同社が注力しているのは既存のHuawei端末を利用するGoogleユーザーのセキュリティを保護することだと述べたとのことだ。

一方、FacebookがWhatsAppやInstagramを含む同社のアプリについて、Huawei製端末へのプリインストールを停止したとReutersが報じている。ReutersではHuaweiに新たな一撃が加わったと述べているが、Android Policeの記事では最近のHuaweiに関するニュースの中で、ようやくいいニュース(ゴミアプリがプリインストールされなくなる)が出てきたと評している。

Microsoftがストアアプリ向けに提供している広告SDKを通じた不正広告攻撃キャンペーンが4月から発生しており、1か月以上経過しても対策は行われていないようだ(Softpediaの記事、 The Registerの記事、 Bleeping Computerの記事、 Born's Tech and Windows Worldの記事)。

不正広告攻撃の内容としては、アプリのバナー広告に触れなくてもデフォルトブラウザーでWebページが開き、「賞品が当たった」「ウイルスに感染している」などと表示されるというもの。サードパーティー開発者によるアプリだけでなく、Microsoft製のアプリや、Outlook.comなど広告の表示されるMicrosoftのWebサイトでも発生しているらしい。MSDNのフォーラムでは4月17日にアプリ開発者が報告しており、4月19日にはMSDNのコミュニティサポート担当者が広告チームに伝えると回答している。しかし、その後の更新情報はなく、開発者やユーザーから不満の声が数多く投稿されている。修正予定なしとSDKチームから聞いたとのコメントもみられる。当初の報告はドイツのユーザーからのものだったが、英国やオランダからの報告も出ているほか、4月末にはフランスでも発生していたようだ。

Microsoftコミュニティーにボランティアのモデレーターが投稿した記事によれば、不正広告ページの中にはWindows Defender SmartScreenでブロックされるものもあるが、ドメイン単位でのブロックは行われていないという。また、偽のウイルス警告ページがダウンロードページにリダイレクトする偽セキュリティアプリはMicrosoftが望ましくない可能性のあるアプリケーション(PUA)に区分しているものの、Windows Defenderがマルウェアとして検出することはないそうだ。

MicrosoftはThe Registerに対し、同社がユーザーに無断でメッセージを送ることはなく、そのようなメッセージが表示されたらブラウザーのウィンドウを閉じればいいと述べるのみで、広告SDKの問題については触れなかったとのことだ。

日本語版には未反映だが、Appleが3日付でApp Store Reviewガイドラインを改訂し、ペアレンタルコントロールアプリでのモバイルデバイス管理(MDM)機能の使用を認める文言を盛り込んだ(英語版ガイドライン、 The Vergeの記事)。

AppleはiOS 12のペアレンタルコントロール機能「Screen Time」発表直後からサードパーティーのペアレンタルコントロールアプリにガイドライン違反を通告し、ペアレンタルコントロールアプリとして重要な機能の削除を要求してアプリ開発者から強い批判を浴びている。これについてAppleではこれらのペアレンタルコントロールアプリが「MDMと呼ばれる高度に侵入する技術」を使っており、「App Storeのポリシーに明確に違反」すると反論していた。

改訂版のガイドラインでは新たに「Mobile Device Management」という項が追加され、Appleの許可が必要となるものの、MDMの主目的であるモバイルデバイス管理アプリ以外にもペアレンタルコントロールサービスで利用可能なことが明記された。利用にあたっては収集するデータを事前に提示することや、収集したデータを第三者に提供しないことをプライバシーポリシーで約束することなどが求められている。VPN Appsの項ではペアレンタルコントロールアプリやコンテンツブロッキングアプリ、セキュリティアプリなどでもNEVPNManager APIを利用可能にする文言が追加された。

また、「子ども向け」カテゴリのアプリではサードパーティ広告とアナリティックスを含めることが禁止(これまでは行動ターゲティング広告のみ禁じられていた)され、収集したデータの第三者への送信禁止も明記された。これ以外の項目でもプライバシー関連の制限強化や明確化が行われた。このほか改訂版ガイドラインでは、2.5.5でIPv6完全対応が必須化されており、4.2.7ではリモートデスクトップアプリの接続先にゲームコンソールが追加、4.7ではHTML5ベースアプリで提供を禁止する機能として賭博・慈善活動への寄付・電子商取引の追加などの変更が行われている。

昨年Mozillaが開始した既知の個人情報流出の影響を通知するサービス「Firefox Monitor」が、「Firefox Monitor 2.0」にアップデートされた（窓の森、Mozilla Blog）。

メールアドレスを入力すると、そのメールアドレスが過去に発生した漏洩情報などに含まれていないかをチェックできるというサービス。登録したメールアドレスに関する新たな情報漏洩が確認された場合に通知を行う機能も備える。Firefox Monitor 2.0では複数のメールアドレスを登録してまとめて監視できるようになったほか、分かりやすく状況を確認できるダッシュボードが追加された。

headless曰く、

Googleは信頼できるChrome拡張にするための対策を昨年発表しているが、これに関連するChromeウェブストアのポリシー変更が発表された（The Keyword、The Verge、The Next Web、Android Police）。

Googleではサードパーティー開発者によるGoogleアカウントやAndroidデバイスのデータへのアクセスを見直すProject Strobeを昨年から実施しており、今回のポリシー変更はその一環だという。Google+のコンシューマー向けサービス終了もProject Strobeの成果によるものだ。

まず、拡張機能はその機能の実装に必要なデータへのアクセスのみを要求することが求められる。ある機能を実装するのに利用可能なパーミッションが複数ある場合、アクセスするデータの量が最も少ないものを選択する必要がある。このように選択することは従来から推奨されてきたが、今後はすべての拡張機能で必須となる。また、これまでは個人情報を扱う拡張機能のみプライバシーポリシーの公開が必須となっていたが、変更後は個人の通信やユーザーによるコンテンツを扱う拡張機能が追加される。新ポリシーは今夏のロールアウトが計画されており、開発者が対応する時間をとれるよう事前に発表したとのこと。このほか、サードパーティーアプリによるGoogle Drive APIへのアクセス制限も合わせて発表されている。GmailはGoogle API Servicesユーザーデータポリシーを変更し、今年1月からサードパーティーアプリのデータアクセスを制限しているが、これと同様の制限をGoogle Driveにも課す計画だ。こちらは2020年初めから適用される。

Project Strobeとは別に、拡張機能を不正にインストールさせる手法を禁ずるChromeウェブストアの新ポリシーも同日発表されている。Googleは昨年、Chromeウェブストアでホストされた拡張機能を他サイトから直接インストールするインラインインストールを廃止しているが、他サイトからChromeウェブストアへ誘導する際に不正な手法が使われることもあったという。新たに禁止されるのは、拡張機能が具体的に何をするものなのか不明瞭または目立たないように説明する、拡張機能のインストール以外のアクションを実行するボタンなどからChromeウェブストアへ移動させる、Chromeウェブストアを表示する画面を小さくしてメタデータが表示されないようにする、といった3種類の手法だ。新ポリシーは7月1日から適用され、これを守らない拡張機能はChromeウェブストアから削除されるとのことだ（Chromium Blog、FAQ、Android Policeの記事[2]）。

米国家安全保障局 （NSA）の元局員エドワード・スノーデン氏がNSAによる国民監視を暴露してから6年が経過した。彼の予言した大衆監視社会は実現化しつつある。一方でスノーデンが公開した情報は風化しつつある。情報公開元の一つであったThe Interceptは3月、取締役会の決定によりスノーデン関連のアーカイブの公開を取りやめた。

スノーデンの啓示によって歴史はまったく変わらなかった。告発対象となったアメリカ諜報機関はほとんど無傷だ。制度上の変化もなかった。2015年6月、愛国者法第215条の失効により、政府のメタデータの収集能力は喪失した。が、それも大衆の監視を抑えることにはつながらなかった。今でもプライバシーは広告収入、四半期ごとの収益というシリコンバレーのビジネスを継続させる一種の「希望」となり、そしてスパイたちへの対抗力として使われ続けている。

むしろスノーデンの監視社会への警告は、テロリストに悪用されつつあるとも言える。ISISのリーダーであるアブー・バクル・アル=バグダーディーは、アメリカのOPSECを信奉し、それにより今でも生存している。彼はOPSECを参考にして自分の位置を特定するリスクのある電子機器を制限したり、ウサーマ・ビン・ラーディンが死亡する原因となった宅配便の利用を避けるようになった。スノーデンは強力な暗号化を推進していたが、より高いレベルのセキュリティを達成するには、テクノロジを放棄する必要があることを、ISISリーダーの例は示している（CounterPunch.org、Slashdot）。

headless曰く、

Microsoftが5月の月例更新で修正したRemote Desktop Servicesの脆弱性（CVE-2019-0708）について、影響を受ける旧バージョンWindowsにパッチを適用するよう呼び掛けている（MSRCのブログ記事、The Verge、Ars Technica、BetaNews）。

BlueKeepとも呼ばれるこの脆弱性は、悪用するとリモートからの任意コード実行が可能になるものだ。Microsoftでは脆弱性をワームに転用することが可能であり、SMBv1の脆弱性を悪用するWannaCryのようにネットワークに接続したコンピューター間での感染拡大が起こる可能性があるとしてパッチ公開時に注意喚起していた。今回改めて注意喚起したのは、5月28日にErrata Securityが公表した「BlueKeep脆弱性が修正されていないコンピューターが100万台近くインターネットに直接接続している」という調査結果がきっかけとみられる。

Microsoftによれば、現在のところワームによる攻撃は確認されていないものの、脆弱性を狙った攻撃が可能であることは間違いないという。実際には脆弱性を悪用するマルウェアが出現しない可能性もあるが、確実とはいえない。WannaCryの元になったEternalBlueエクスプロイトの場合、Microsoftがパッチを提供してから1か月後に公開されたが、さらにその1か月後にWannaCryの大規模感染が発生した。つまり、パッチの提供開始から2か月経過しても未適用の環境が多かったということになる。そのため、同様な事態になることを避けることが注意喚起の目的のようだ。

あるAnonymous Coward曰く、

英政府通信本部（GCHQ）は各種メッセージングサービスで送受信されるメッセージを法執行機関などが閲覧可能にするシステムの導入を提案しているが、これに対しApple、Google、Microsoft、Facebook傘下のWhatsAppといったIT大手やセキュリティ専門家らが共同でこの提案を放棄することを求めた書簡を送付した（CNBC、CNET、ITmedia、Slashdot）。

問題となっている提案は、ユーザーに見えない形で法執行機関などのユーザーをメッセージの送受信先に追加するというもの。書簡ではこういった行為がサービスプロバイダとユーザーの信頼を損なうほかセキュリティにも問題が出る可能性があるとして反対している。