headless曰く、

p>ペンシルベニア州最高裁判所は20日、暗号化パスワードの開示強制は合衆国憲法修正第5条が禁ずる「自分に不利な証言の強制」にあたり、除外の対象にもならないとの判断を示した（Ars Technica、裁判所文書）。

この裁判は児童ポルノのファイル共有で逮捕された容疑者に対し、州が証拠として押収したPCのハードディスクを復号するパスワードの開示を求めていたものだ。ハードディスクはTrueCryptで暗号化されており、捜査官がパスワード開示を求めたところ、容疑者は自分に不利な証拠となるのに64桁のパスワードを教えるつもりはないなどと拒否したという。1審・2審では政府が要求する証拠の存在を知っていること、その証拠が被告の所有または制御下にあること、証拠が本物であることを理由に、修正第5条の適用が除外される「foregone conclusiton（既定の結論）」にあたると判断したため、容疑者が上訴していた。

州最高裁判所ではまず、パスワード開示が金庫の鍵を引き渡すのとは異なり、コンビネーションロックのコンビネーションを開示するのと同様の「証言」にあたると判断。また、容疑者が記憶しているパスワードは内心に存在するため、手書き文字のサンプルを提出する行為などとは異なり、容疑者自ら入力させる行為も証言にあたるとも判断している。そのうえで、連邦最高裁が「foregone conclusion」による修正第5条の適用例外を認めた判例が少ないこと、認めた判例でも召喚された紙の文書に関するものに限られ、口頭での証言に適用されたことがないことを理由に、パスワード開示を強制することはできないと判断し、下級審に差し戻した。

ロシア・Kasperskyが、ドローンの不正侵入を防ぐシステム「Kaspersky Antidrone」を開発した（CNET Japan）。

このシステムはレーザーを使ったセンサーやカメラ、マイク、レーダーなどでドローンを検知して分類し、妨害電波を照射してドローンとリモートコントローラとの通信やGPSとの通信を妨害するという。

Anonymous Coward曰く、

自転車・バイク用ヘルメットメーカーのオージーケーカブトに対し、乗車用ヘルメットにおけるJIS認証の取り消しが行われた模様（経済産業省の発表）。

一般財団法人日本車両検査協会による検査の結果、長期間にわたり一部工程の管理が適切に行われていないなど、品質管理体制が基準を満たしていなかったことが分かったため。具体的には「長期間にわたり製品の組み立て場所に係る記録が適切に記載されていなかった」点が問題だという。製品の安全性や品質については、JIS規格を満たしており、問題がないとのこと。

今回問題となったのはバイク（原付および自動二輪等）向けのJIS T 8133。JIS認証の取得は任意であるため国内での販売停止などに繋がるわけではなく、また同社のヘルメットが安全ではないというわけでもないものの、取り消しによって同社への信頼性にはケチがついた格好。

ちなみに同社は自転車用ヘルメットでも有名だが、こちらについてはJIS T 8134という別の規格（ただしJIS T 8134ではJIS T 8133を一部引用している）。ただ、今回こちらへの言及はない。

Anonymous Coward曰く、

元勤務先のデータをすべて消去したとして、東京都の62歳自称会社員が逮捕された。元勤務先の社長や会社の対応に不満があり犯行に至ったという（産経新聞、毎日新聞、千葉日報）。

伝説には聞くけど、実際に逮捕されて報道されてるのは珍しい？

消去されたのは顧客情報や契約書など業務関連の全データだという。容疑者は同社のシステムを1人ですべて管理していた。1月の依願退社後もシステムにアクセスするためのIDやパスワードは変更されていなかった。

Anonymous Coward曰く、

米共和党の上院議員Josh Hawley氏が11月18日、National Security and Personal Data Protection Act（国家安全・個人データ保護法案）を発表した。この法案はAppleやTikTokのようなIT企業を通じて、米国民の機密情報が中国に渡らないようにするものであるという。この法案は、ロシアや中国を含む「米国の国家安全保障上の懸念」を有する国と関係する企業が対象（The Hill、Slashdot）。

Josh Hawley氏によれば、この法案が中国企業による「米国でのサービス提供に必要となる以上のデータ収集」や「収集したデータの副次的目的での利用」、「｢彼らの国へのユーザーデータや暗号化キーの転送や、そこでのデータ保存」を防止できるとしている。すでにマルコ・ルビオ議員などが賛成に署名している。

なおGIZMODOによれば、今月開かれた米下院議会の公聴会で国家安全保障・科学政策担当のシニアフェロー・Klon Kitchen氏が、中国政府がTikTokにある米軍兵の画像を使ってAIや自動兵器を学習させることは可能だという主旨の発言をしたという話があったとのこと（ギズモード・ジャパン）。

Twitterは21日、携帯電話番号なしで2要素認証(2FA)を利用可能になったことを発表した(Twitter Safetyのツイート、 The Vergeの記事、 Android Policeの記事、 9to5Macの記事)。

Twitterの2FAでは「テキストメッセージ」「認証アプリ」「セキュリティキー」の3種類の方法を利用できるが、現在のところ携帯電話番号が不要なのは認証アプリを使用する場合のみのようだ。テキストメッセージを利用する場合はもちろん携帯電話番号が必要となるが、セキュリティキーはWeb版でのみしか利用できないため、テキストメッセージまたは認証アプリを認証方法に追加しておく必要があるとのこと。なお、手元の環境では2要素認証を有効化する前にアカウントの携帯電話番号を削除するとアカウントがロックされてしまい、再度携帯電話番号を入力するまで設定が変更できなかった。

headless曰く、

Microsoftは17日、WindowsでDNS over HTTPS（DoH）をサポートする計画を明らかにした（Microsoft Tech Community、Softpedia、The Register、gHacks）。

DNSクエリを暗号化するDoHに対しては、対応DNSサーバーしか使用できないので集中化が進むといった批判もみられる。ただし、この問題はDoHの導入が進めば解消し、現在と同様の分散化が維持できる。そのためにはWindowsのようなクライアントOSによるDoHサポートが重要だという。

具体的なDoH導入時期は示されていないが、第一段階としてはDoHをサポートするDNSサーバーが指定されている場合、WindowsのDNSクライアントが自動でDoHにアップグレードするようになる。将来的にはDoH対応サーバーを明示的に指定できるようなDNS設定画面の追加も計画しているそうだ。

manmos曰く、

先日「自宅にカメラを設置して1ヶ月間私生活を撮影される対価として13万2,930円が支給されるという実験、被験者募集中」という話題があったが、この実験を主催する企業が応募者にメールで連絡を行う際、誤って複数のメールアドレスをCCに入れて送信、受信者が他の応募者のメールアドレスを知ることができる状態になってしまったそうだ（プレスリリース）。

ま、お金出せば納得するでしょうが。むしろ当選した人が、この後、戦々恐々かもしれない。

Anonymous Coward曰く、

11月13日にリリースされたMicrosoft Officeのセキュリティ更新プログラムをインストールすると、特定の環境でAccessのクエリでエラーが発生するようになる、との報告が出ている（Togetterまとめ）。

問題の更新プログラムは月例アップデートとしてMicrosoftの他製品のアップデートと同時に配信されたもの（窓の杜）。Microsoftも問題は把握しているらしく、サポート文書が出ている。これによると、単一のテーブルをUPDATEするクエリで、WHERE節があるとエラーが発生する模様。Access O365/2019（Version 1911）については11月24日、ほかについては12月10日に修正予定。また、クエリ文を修正することでも対応できるとされている。

iOS版のFacebookアプリが密かにカメラへアクセスすることが判明した(The Next Webの記事、 9to5Macの記事、 発見者 Joshua Maddux氏のツイート)。

発見者のJoshua Maddux氏がTwitterへ投稿した動画によると、Facebookアプリで 任意のアカウントのプロフィール写真を開き、写真をスワイプするとフィードの左側に空いた隙間にリアカメラからの映像が見える状態になるようだ。常時カメラがアクティブになっているのか、該当の操作を実行した場合にのみアクティブになるのかは不明だ。

Maddux氏によればiOS 13.2.2を実行する5台のiPhoneで再現したという。一方、iOS 12を実行するiPhoneでは再現しなかったが、カメラにアクセスしていないとは限らないとも述べている。なお、The Next Webによると、iOSの設定でFacebookアプリによるカメラの使用を許可しなければブロックできるとのこと。

FacebookのGuy Rosen氏はMaddux氏の報告に謝意を示しつつ、バグのようなので調査していると返信した。Maddux氏はこの回答について、バグ(bug: 盗聴器)を使って人々の生活を調査しているんだね、と面白がっている。

この問題についてFacebookは、11月8日にリリースしたバージョンに誤って追加されてしまったバグであり、修正版を今日(12日)にAppleへ送ったとThe VergeのJay Peters氏に伝えたとのこと。Peters氏は翌日に修正版が公開されたようだと書いているが、本人は問題の挙動を確認できていないとのことなので実際に修正されたかどうかは不明だ。なお、現在の最新版は11月12日付のバージョン247.0(その前のバージョンは11月7日付)となっている。

Anonymous Coward曰く、

東京で開催されたハッキングコンテスト「Pwn2Own 2019」で、Amat Cama氏とRichard Zhu氏のチーム「Fluoroacetate」が複数の機器の攻撃に成功、賞金19万5,000ドル（約2,100万円）を獲得した（ZDNet、GIGAZINE、Slashdot）。

Fluoroacetateは前回・前々回の大会でも優勝したチームで、今回はソニーのスマートTV「X800G」、スマートスピーカー「Amazon Echo Show 5」、スマートフォン「Xiaomi Mi9」および「Samsung Galaxy S10」、ルーター「NETGEAR Nighthawk Smart WiFi Router（(R6700）」の攻撃に成功している（1日目の結果、2日目の結果）。

なお、今回のPwn2Own 2019ではさまざまなデバイスで合計で18の不具合が発見され、支払われた賞金総額は31万5,000ドルに達したとのこと。発見された不具合に対してはメーカーに詳細が通知され、修正が行われたあとで詳細が公表される形になるという。

taraiok曰く、

MicrosoftがWindows向けに提供しているセキュリティ機能「Defender」のLinux版が今後提供される予定だという（ZDNet、FOSSBYTES、Slashdot）。

MicrosoftのコーポレートバイスプレジデントであるRob Lefferts氏が述べたもの。すでにMac向けに「Microsoft Defender ATP for Mac」がアナウンスされているが（過去記事、Linux版については2020年に利用可能になるという。

なおTechSpotの10月の記事によると、DefenderはAV-Comparativeによって行ったテストで、オンライン保護率99.96％を達成。トップ10入りに成功したとしている。具体的には8位でAviraと同率だった。

headless曰く、

Googleは6日、ESET・Lookout・Zimperiumのセキュリティ企業3社と提携し、不正なアプリがユーザーのデバイスに届く前に阻止する「App Defense Alliance」の開始を発表した（Google Security Blog、ESETのプレスリリース、Lookout Blog、Zimperium's Mobile Security Blog）。

GoogleはGoogle Playストアで不正アプリの公開を防ぐためのさまざまな対策を行っているが、それでもマルウェアがたびたび発見されている。App Defense Allianceの最大の目的はGoogle Playストアの安全性を確実なものにすることだ。そのため、既存のGoogle Playプロテクトの不正アプリ検知システムに3社のマルウェアスキャンエンジンを統合するという。複数のヒューリスティックエンジンが協力することで有害な可能性のあるアプリの検出効率が向上し、アプリベースのマルウェアによるリスクの低減や新たな脅威の特定が可能になるとのことだ。

Abema TVやAbema TIMESの記事で「信頼できるサイトの見分け方」として、「アドレスバーにカギのアイコンが付いているかどうか」というものが紹介されたのだが、これに対し正しくないとの批判が寄せられている（Togetterまとめ）。

「アドレスバーにカギのアイコンが付いている」というのは、そのWebサイトがSSLを使っていることを示している。また、『カギのアイコンが付いているWebサイトで緑色になっていれば「ある程度の安全の指標」になるが「注意は必要だ」』ともコメントされている。これは、そのサイトがEV証明書を使用していることを示している。

EV証明書に関しては単にサイトの運営社名を保証するだけであり、「アドレスバーが緑色になるサイトなら大丈夫」というのは無責任であると2008年にセキュリティ研究者の高木浩光氏が解説しており、EV SSLを緑色だというだけで信用してはいけない実例も紹介している。また、氏は「実在証明の機能はTLS（SSL）の機能ではない」とも述べている。

hylom 曰く、

Googleは12月1日に2段階認証プロセスを変更し、キャリアメールへのログイン確認コード送信を廃止する(Google Japan Blogの記事、 Impress Watchの記事)。

これにより携帯電話キャリアが提供する「docomo.ne.jp」「ezweb.ne.jp」「softbank.ne.jp」などのドメインのメールアドレスを確認コードの送信先として設定しているユーザーはログインできなくなるため、12月1日までに変更するようアナウンスが行われている。