Appleは10日、香港の民主化デモと警察の動きを地図上に表示するアプリ「HKmap 即時地圖」をApp Storeから削除した(South China Morning Postの記事、 The Vergeの記事、 Reutersの記事、 Mac Rumorsの記事)。

このアプリはWebサイト「HKmap.live」の公式アプリ。Webサイトで提供されている地図データをアプリ内で表示できるようにしたもので、ユーザーから提供された情報をもとにデモの実施状況や警察の動きを確認できる。当初の審査でAppleは、警察の取り締まりを逃れるための情報を提供して非合法な活動を支援するものだとして却下していた。開発者は香港での安全情報を提供するためのもので違法行為を推奨してはいないなどと主張しており、その後の再審査で反論が認められてアプリは10月5日ごろ公開された。

アプリは香港のApp Storeで「旅行」カテゴリ1位(Googleキャッシュ)になるなど人気を集める一方、暴徒を支援しているなどと中国国営メディアから強く批判されることになる。アプリが削除されたのはその翌日だが、Appleではアプリの情報が警察官への攻撃や、警察の見回りがない区域での犯罪に悪用されているとの確証を得たと述べており、中国政府からの圧力には触れていないようだ。なお、Apple CEOのティム・クック氏が従業員に宛てたとされるメモもPastebinで公開されているが、このメモにも同様の記述がみられる。このメモの出所は不明だが、最後に「Tim」と書かれている以外はBloomberg Newsが入手したというメモの内容と同一だ。

公式アプリのパブリッシャー、BackupHKが別途公開した非公式アプリもApp Storeから削除されているが、Android版の非公式アプリは現在もGoogle Playで公開されており、HKmap.liveサイトも引き続き利用可能だ。

Anonymous Coward曰く、

Thunderbirdプロジェクトは、Thunderbird 78でOpenPGPを標準サポートすると発表した。2020年夏のリリースが予定されている。

Thunderbird向けにはOpenPGPのサポートを追加する「Enigmail」プラグインが存在するが、この拡張機能は、Thunderbird 68系まででサポートを終了する。S/MIMEは引き続き標準サポートする。また、Enigmailのユーザーは、Thunderbird 78へ既存のキーと設定の移行がサポートされる。Enigmailを使用したことがないユーザーは、オプトインするすることによりOpenPGPが使用できるようになるという。

Thunderbirdプロジェクトは「2019年は積極的な開発を行う」とし、メールの暗号化についても言及していた（過去記事）。

9月末にAmazon.co.jpで他人の注文履歴が表示されるトラブルが発生したが（過去記事）、このトラブルでは注文履歴だけでなく他ユーザーの名前や連絡先なども閲覧可能だったことが報じられている（INTERNET Watch）。

トラブル発生後、Amazon側はこの問題の詳細については発表しておらず、10月8日にINTERNET Watchが問い合わせを行ったことで、「一部ユーザーの名前、購入履歴、配送先住所、連絡先、クレジットカード下4桁の情報が他のユーザーから閲覧可能な状態になっていた」ことが明らかとなった。ただ、閲覧された情報の約半数は「名前のみ」だったという。被害件数などについては公開されていない。

ランサムウェアの被害にあったとある開発者が、そのランサムウェアを使って脅迫してきたサイバー犯罪者ののサーバーを攻撃し、暗号化されたファイルを復号するための鍵を奪取して公開したそうだ（ZDNet）。

問題のランサムウェアは台湾・QNAP製のNASを狙ったもの。QNAPのNASにはphpMyAdminというサービスがプリインストールされており、これに対しパスワード総当たり攻撃を行うことで権限を奪取し、ファイルを暗号した上で復号のためには金銭を支払えと脅迫するという。

この攻撃による被害を受けたドイツのソフトウェア開発者、Tobias Frömel氏は、攻撃者に金銭を支払って暗号化されたデータの解除を求めると同時にランサムウェアの分析を行い、そのデータベースから見つけ出した復号に必要な鍵データを公開した。

なお、このような行為に対しては違法ではないかとの懸念があり、セキュリティ研究者らはもしこのようなことをする場合は法執行機関と協力して行うべきと指摘している。

headless曰く、

PayPalが4日、暗号通貨「Libra」の推進を目指すLibra協会への参加取りやめを表明したと報じられている（CNBC、Reuters、The Verge、Mashable）。

Facebookが中心となって設立したLibra協会は、世界中で利用可能な暗号通貨「Libra」と金融インフラの提供を目指す。PayPalはLibra協会の設立趣意書の完成後に創立者となる初期メンバー28団体の1つだった。Libraネットワークの運用開始後はFacebookもほかの創立者と同等の立場になるとされているものの、実質的にLibra協会をコントロールしているのはFacebookだと言われており、米政府などが懸念を示している。そのため、予定通り2020年前半に運用を開始することは難しいとみられている。

PayPalは現時点でこれ以上Libra協会に関わることをやめ、同社のビジネスにおける優先事項に注力するなどと述べており、具体的な理由については説明していない。ただし、発表の前日にFinantial Timesが報じた内容によると、PayPalはLibraが各国政府から受けている批判、とりわけ資金洗浄への懸念についてFacebookの対応が不十分と感じて距離を置き始めていたとされる。

PayPalのWebサイトやソーシャルメディアアカウントではLibra協会への参加取りやめに関する発表は出ていないが、Libra協会への参加を発表した6月のニュース記事は削除されている。一方、Libra協会はホワイトペーパーを更新し、初期メンバーからPayPalの名前を削除したほか、Libraに参加する企業はそれぞれがリスクと利益の評価を行うなどとツイートしている。

なお、初期メンバーではPayPalのほか、MastercardやStripe、VisaもLibra協会に正式参加するかどうかを決め兼ねていると報じられているが、実際に参加取りやめを表明したのはPayPalが初めてだ。

Anonymous Coward曰く、

総務省が2013年に運用を開始した「政府共通プラットフォーム」では、インターネットから遮断された環境を提供する「セキュアゾーン」という機能があるが、この機能が1度も使われることのないまま廃止されていたことが報じられている（NHK、MSN）。

ガチガチにし過ぎて誰も使わないというダメなセキュリティ対策の典型みたいな事例。導入を推進した総務省すら使わなかったというのはちょっと酷い。

報道によると、この機能は2015年度に約18億円の予算を計上して開発がスタート。2017年度に完成した。利用には専用回線でのアクセスが必要で、またデータの入力や修正には担当者が直接設置場所に出向いて作業を行う必要があるといった手間があり敬遠されたようだ。

なお、2016年12月14日の政府官報では、「政府共通プラットフォームにおけるセキュアゾーンの整備に係る作業請負及び機器・ソフトウェア賃貸借の調達」について東京センチュリーリースが20億685万5,294円で落札したとされている。

Googleは3日、Gooogle Chromeで混合コンテンツを完全にブロックする計画を発表した(Chromium Blogの記事、 VentureBeatの記事、 Android Policeの記事、 SlashGearの記事)。

混合コンテンツはHTTPSページのサブリソースがHTTP接続で読み込まれる状況を指し、Chromeを含む現在のブラウザーのほとんどがスクリプトやiframeといった危険性の高い混合コンテンツをブロックする。一方、比較的危険性が低いと考えられる画像や音声、動画については読み込みが許可されるが、偽の画像への差し替えや、トラッキングcookieの挿入といった攻撃を受ける可能性もある。

Chromeでの混合コンテンツ完全ブロック計画は段階的に行われる。まず、12月に安定版がリリースされるChrome 79ではサイト単位で混合コンテンツのブロックを解除可能なオプションが設定に追加され、現在はブロックされているスクリプトやiframeの読み込みを許可できるようになる。

Chrome 80ではHTTPSページで音声と動画のリソースをHTTP接続で読み込むよう指定されている場合、HTTPS接続に自動アップグレードして読み込みを試みる。HTTPSでの読み込みが失敗した場合はデフォルトでブロックされるが、先述のオプションで読み込みを許可することも可能だ。画像の混合コンテンツは引き続き許可されるが、読み込まれた場合はHTTPページと同様に「保護されていない通信」という表示がOmnibox左端に追加される。

Chrome 81では画像の混合コンテンツも自動アップグレードの対象となり、HTTPS接続で読み込めない場合はデフォルトでブロックされるとのこと。Chrome 81は2020年3月に安定版リリース予定となっている。

Googleは1日、Google ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表した(Chromium Blogの記事、 Neowinの記事、 gHacksの記事)。

主要Webブラウザーでは昨年10月に2020年のTLS 1.0/1.1無効化計画が発表されている。Mozillaはこれに先立ち、先日Firefox NightlyのデフォルトでTLS 1.0/1.1を無効化した。

GoogleはChrome 72でTLS 1.0/1.1を非推奨とし、開発者ツールのコンソールに警告を表示しているが、2020年1月13日にはChrome 79以降でTLS 1.0またはTLS 1.1接続のページに警告メッセージが表示されるようになる。警告メッセージはページ情報アイコンの右側にHTTP接続ページと同様に「保護されていません」と表示されるほか、ページ情報には接続が完全に安全ではないことが記載されるとのこと。

3月に一般リリース予定のChrome 81では、予定通りTLS 1.0/1.1のブロックが始まる。UI要素による警告メッセージは削除され、ページいっぱいに警告メッセージが表示されるようになる。なお、組織で管理しているChromeではポリシー「SSLVersionMin」の値を「tls1.2」にすることで、無効化後の状態を今すぐ確認できる。逆に無効化後はこのポリシーを使用して2021年1月までTLS 1.0またはTLS 1.1を再び有効化できるとのことだ。

headless曰く、

ドイツ・コブレンツの検察とラインラント-プファルツ州の警察は9月27日、ダークウェブのホスティングや大規模なサイバー攻撃に使われていたトラーベン-トラーバッハのデータセンターを9月26日に強制捜査し、7名を逮捕したと発表した（プレスリリース、ZEIT ONLINE、WELT、AP、Register）。

「Cyberbunker」と呼ばれるこのデータセンターは、かつてNATOの掩体壕（bunker）だった建物を利用したもので、地上1階、地下5階。提供されるサービスは防弾ホスティングサービスとうたわれ、違法薬物の取引サイトなどが利用していたという。運営者は以前オランダで同様の施設跡を用いたサービスを提供していた人物とみられ、Krebs on Securityの記事では「Cyberbunker 2.0」と表現している。

トラーベン-トラーバッハのデータセンターが運用を開始したのは2013年。敷地内に猛犬を放すといった厳重な警戒が尋常ではないとも噂されたが、市の調査では扱われているデータの内容まで確認することはできなかったそうだ。ダークネットの仕組み上、捜査は容易ではなかったが、コブレンツ検察のサイバー犯罪対策センターとラインラント-プファルツ州警察は共同で5年近くに及ぶ捜査を行い、データセンターを掘り起こすことに成功したとのこと。

既に逮捕された7名のほか6名にも逮捕状が出されており、容疑者は計13名となる。9月26日には各地の捜査機関が連携して数百名を投入した捜査がドイツと近隣各国で行われ、およそ200台のサーバーや多額の現金などを押収したとのことだ。

2020年1月にWindows 7のサポートが終了し、それ以降はセキュリティアップデートなどが提供されなくなるが、Microsoftが10月1日、Windows 7 Professional/Enterpriseを利用している全ユーザーに対し、有料での延長サポートを2023年1月まで提供することを発表した（日経xTECH、Publickey）。

ボリュームライセンス契約を行っている企業に対してはすでにWindows 7の有料延長サポートの提供がアナウンスされていたが（過去記事）、この対象を広げた形になる。なお、サポート料金は毎年値上げされていく予定。

米Yahoo!で働いていたソフトウェアエンジニアが、システムへのアクセス権限を悪用してユーザーのパスワードを解読し、そのアカウントに不正にアクセスしていたという。このエンジニアはコンピュータ侵入や有線通信の傍受の罪で起訴されている（Mashable、Verge、ITmedia）。

被告はYahoo!のバックエンドツールとパスワードクラックツールを使ってパスワードを収集しており、アクセスしたアカウントは約6000と供述している。さらに、これらアカウントやパスワードを使ってGmailやiCloud、Dropboxのアカウントへのアクセスも試みていたとのこと。ターゲットは主に若い女性ユーザーのアカウントで、性的な写真や動画の収集を目的としていた。集めた写真や動画は自宅PCに保存していたという。

Anonymous Coward曰く、

Windowsには、BitLockerという名称の暗号化ツールが付属している。BitLockerはこれまで、ハードウェアベースの暗号化機能を持つというSSD製品に関しては、信頼して暗号化の対象にはしなかった。しかし、9月24日にリリースされたWindows 10「KB4516071」の更新でこの方針が変更された。すべてのSSDは暗号化していない前提であると仮定、デフォルトでBitLockerの適用対象にするようになった。

これに対し、セキュリティ情報を提供しているSwiftOnSecurityは「MicrosoftはSSDメーカーを信頼しなくなった」と説明、こうした方針変更はSSDの暗号化機能に脆弱性があることが昨年11月に発覚したことが原因としている。この脆弱性では、パスワードや秘密鍵を知らなくても暗号化されたストレージの内容を復号できたという研究が発表されている（TomsHardware、TechRadar、Slashdot）。

9月26日、Amazon.co.jpで他人のアカウントの注文履歴や住所、名前などが表示されるというトラブルが発生したことが報じられていたが（過去記事）、9月28日にこのトラブルは解消されたとのこと（ITmedia）。

原因は「Amazon内での技術的な原因によるもの」とのこと。問い合わせたユーザーには連絡を行っているとのことだが、どの程度の規模で問題が発生したかは依然不明のままだ。

headless曰く、

Mozillaは9月27日にリリースしたFirefox Nightlyで、TLS 1.0/1.1をデフォルトで無効化した（Bug 1579270、Firefox Site Compatibility、Neowin、gHacks）。

無効化はFirefoxの設定（about:config）で「security.tls.version.min」の既定値が「1」（TLS 1.0）から「3」（TLS 1.2）に変更されただけで、TLS 1.0/1.1サポートが削除されたわけではない。SSL Pulseの9月分データではSSL 1.2をサポートするサイトが95.8%に上るものの、影響の大きな変更であることから幅広い確認が呼びかけられている。

主要Webブラウザでは昨年10月、2020年にTLS 1.0/1.1を無効化する計画が発表されており、FirefoxのTLS 1.0/1.1無効化は2020年3月に設定されている。Nightlyでは10月に無効化する計画が発表されていたが、少し繰り上げられたようだ。

現在のFirefox Nightlyの製品バージョンは71.0a1。今後はベータチャンネルのFirefox 71以降でフィードバックを確認しつつ徐々にTLS 1.0/1.1を無効化するユーザーの比率を高めていき、来年3月までにすべての切り替えを完了してリリースチャンネルでの無効化に備える計画だ。来年3月にリリースが予定されているのはFirefox 74だが、無効化をどのように、いつ実施するのかという計画については確定していないようだ。

jailbreak（脱獄）をせずにiOSデバイスに任意のアプリをインストールできるという「AltStore」なるサービスのプレビュー版が公開されている（Engadget日本版、The Verge）。

iOSでは公式のAppStore以外からのアプリインストールが原則として認められておらず、そのためAppleの審査を受けて許可を得たアプリしか利用できない。サードパーティが提供するアプリストアも存在するものの、利用するにはOSの脆弱性などを利用した脱獄を行う必要があった。AltStoreはmacOSもしくはWindowsアプリケーションに「AltServer」というソフトウェアをインストールし、このAltServer経由でアプリをインストールする仕組み。

AltServerではiOSアプリ開発者が自身の端末でアプリをテストするための仕組みを使ってiOSデバイスにアプリをインストールしているという。