あるAnonymous Coward 曰く、

Chrome拡張機能のNano DefenderとNano Adblockerが悪意ある者に売却され、マルウェア化してしまったようだ(元の開発者によるプロジェクト譲渡に関するアナウンス、 280blockerの記事[1]、 [2]、 gHacksの記事)。

Firefox用Nano DefenderとNano Adblockerは大丈夫みたい。

有名拡張が買収で…といえばStylishを思い出した。uBlockも委譲されたかと思ったら結局元の開発者がuBlock Originを立ち上げていたな。

元の開発者はNanoプロジェクトに割り当てる時間がなくなってバックログがたまり続けたためメインテナーを探しており、新しい開発者から申し出がなければ開発停止をアナウンスする計画だったという。金銭的なやりとりはあったようだが、新しい開発者がいい仕事をすれば寄付の形で大半を返金することも考えていたそうだ。

Nanoプロジェクトのフォーク元であるuBlock Origin開発者のRaymond Hill(gorhill)が更新後の拡張機能を分析した結果、拡張機能読み込み時にhttps://def.dev-nano.com/からリストを取得し、リストで指定された条件に一致するネットワークリクエストがあると情報をhttps://def.dev-nano.com/に送信するコードなどが追加されていたという。

なお、新しい開発者のGitHubアカウントは既に削除されており、Nano DefenderおよびNano AdblockerはChromeウェブストアから削除されている。Microsoft Edgeのアドオンストアに関しては元の開発者がアカウントを維持しており、ストアで表示されないようにしたと説明しているが、現在のところ削除はされていないようだ。

防衛省が来年度に向けて、サイバーセキュリティ担当の技官を募集しているそうだ。セキュリティ指導を隊員に行ったり、情報システムなどの防護を行う業務に就くことになるという。12月10日まで募集が行われる。審査に合格した場合、勤務は4月1日からになる模様（ITmedia）。

ただし、条件は結構限定的だ。民間企業や官公庁などで、正社員もしくは正職員として13年以上の勤務した経験があり、1962年4月2日～89年4月1日までに生まれた人。現在31歳～58歳以上の人が対象となるようだ。必要な技能は情報処理推進機構（IPA）のITスキル標準「レベル3」以上に相当する資格持つものとされる。係長相当職員として採用され、東京都特別区に勤務した場合の給与は30万6000円とのこと。

headless 曰く、

Microsoftは13日、10月の月例更新でInternet Explorer(IE) 11のJscript(jscript.dll)実行をブロックするオプションをWindowsおよびWindows Serverに追加したことを発表した(Windows IT Pro Blogの記事、 KB4586060)。

jscript.dllはECMA-262のMicrosoftによるレガシーな実装であり、IE11ではレガシードキュメントモード(IE9以前のバージョン)を使用するサイトでのみ使われる。jscript.dllの脆弱性はたびたび見つかっているが、パッチが提供されるまでの緩和策としてはファイルのアクセス許可を変更するしか方法がなく、Windows Scripting HostのJavaScriptエンジンが使用できなくなるなどの問題があった。ただし、オプションが追加されたといっても「インターネットオプション」からは設定できず、レジストリの編集が必要であり、インターネットゾーンと制限付きサイトゾーンでの無効化が推奨されている。

KB4586060には2017年にリリースされたIEの累積的なセキュリティ更新プログラムが必要と書かれているが、該当のレジストリ値は10月の更新プログラムをインストールした環境にしか存在しなかった。また、「MSXMLのスクリプト」で解説されているレジストリキーは10月の更新プログラムインストールしても追加されなかった。なお、64ビット環境で実行される32ビットアプリケーションに関する手順は間違っているが、その上で解説されている手順のレジストリキーを読みかえて設定すればよさそうだ。

10月11日、IT企業に対してエンドツーエンドで暗号化（E2EE）されたコンテンツに対し、法執行機関がアクセスできるようにすることを求める国際声明を発表した（米国政府リリース、イギリス政府リリース、ZDNet、ITmedia、日経新聞）。

この声明に参加しているのは英、米、カナダ、オーストラリア、ニュージーランドの5カ国に加えてインド、日本。声明によれば、暗号化技術の実装は、ジャーナリスト、人権擁護家、その他の脆弱な人々を保護する役割を果たしている。しかし、暗号化技術の実装は、法執行機関にとっては犯罪捜査が困難になる問題を抱えている。法執行機関に対する暗号化は、性的搾取、虐待などの深刻な犯罪を捜査する場合に重大な影響を与えかねないと主張した。

その上で英国の声明では、その上でユーザーのプライバシーやサイバーセキュリティを損なうことなく、市民の安全を確保するための解決策を見つけるため協力するようよう求めている。

headless 曰く、

海賊版アニメサイト9AnimeがすべてのページにDDoS攻撃用コードを追加し、閲覧者にライバルサイトAniMixPlayへのDDoS攻撃を実行させていたそうだ(TorrentFreakの記事、 r/9animeのスレッド、 r/animepiracyのスレッド)。

9Animeは月間ビジター数が3,900万人を超えるメジャーな海賊版アニメサイト。一方、夏にオープンしたAniMixPlayは急速にトラフィックを増やし、月間アクティブユーザーは140万人程度だという。DDoS攻撃らしい挙動はRedditのr/9animeでユーザーから報告され、9Anime側が事実関係を認めた。ここでは「やり返しただけ」だと説明するにとどまったが、r/animepiracyで立ち上がった別のスレッドで詳細を説明している。

9Animeの説明によると、AniMixPlayは当初から9Animeのコンテンツを大量にスクレイピングし、DDoS攻撃のように9Animeの速度を低下させていたのだという。AniMixPlayからのリクエストに中止を呼びかけるメッセージを表示するようにしたところ、メッセージが表示されないよう別の方法で大量スクレイピングを継続したため、DDoS攻撃用のコードを追加したとのこと。数か月にわたるスクレイピングに対し、数時間のDDoS攻撃は正当だと主張しているが、同意するコメントは少ない。

KAMUI 曰く、

ORICON NEWSの記事によると、休憩室に置かれていた『鬼滅の刃』の単行本が盗まれたとツイートした温泉施設に、全国から単行本が送られているそうだ。

山口県山口市にある日帰り温泉施設の「おんせんの森」では休憩室に2000冊ほどの漫画単行本を置いていたのだが、さる9月25日に『鬼滅の刃』1巻から20巻の20冊が盗難被害に遭った。温泉側では「間違えて持って帰ってしまったのかも」と言うことで警察には届けなかったが、ツイッターでこの件についてつぶやいたところ、全国から単行本が送られてくる事態になった。その数なんと10月8日時点で9セット180冊に達したという。

7月頃から活動が活発化しているマルウエア「Emotet」だが、米国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁（CISA）は10月6日、急激に活発化していると改めて警告を行った。州政府や地方自治体を標的にした悪意のあるサイバー攻撃者が大幅に増加しているという（National Cyber?? Awareness System、Security NEXT）。

被害の拡大を受けてCISAとMS-ISACでは、Emotetから保護するために、疑わしい添付ファイルをブロックするプロトコルの適用、ウイルス対策ソフトウェアの使用、疑わしいIPアブレスのブロックなどの対策を行うことを推奨している。

Emotetでは新しい戦術として、パスワードで保護されたアーカイブファイル（Zipファイルなど）を電子メールに添付、電子メールセキュリティゲートウェイを回避する方法をとっているという。このため、パスワード設定されたzipファイルをブロックするなどの対策を取ることを求めている。

ZDNet Japanの記事に、Javaの生みの親であるJames Gosling氏へのインタビュー記事が掲載されている（ZDNet Japan）。その中で同氏はJavaを開発の前に、家電メーカーなどを視察したという。日本では東芝やシャープ、三菱、ソニーなどの企業を見て回ったようだ。その中で家電業界とコンピューティング業界では思考が全く異なる点に気がついた。

それは、コンピューター業界ではパフォーマンスをのために信頼性を犠牲することは認められる風潮があったが、家電企業は決して安全性を犠牲にはしないということだった。この考え方はJavaの設計に取り入れられ、Javaのセキュリティの考え方にもつながっているという。

同氏によれば、1990年代の初めには、セキュリティ上の脆弱性が生まれる一番の原因がポインターであったことは分かっていたという。しかし、今年になって重大度の高いセキュリティバグの約70％は、メモリの安全性に関する問題（ポインタの誤り）に由来すると発表されたのを見て、

「Chromeは要するに巨大なC++のコードだが、そのセキュリティ上の脆弱性の60～70％が、ばかげたポインターの問題だった。30年経っても何も変わっていないのかと思わざるを得なかった」とGosling氏は述べた。

としている。

headless 曰く、

9月に流出が話題となったWindows XPのソースコードだが、GitHubに転載されたソースコードをMicrosoftが削除するまでに10日を要したようだ(TorrentFreakの記事、 BetaNewsの記事)。

GitHubリポジトリにソースコードがアップロードされたのは9月28日(Internet Archiveのスナップショット)。Microsoft Security Insident ResponseのスタッフがDMCA削除要請をGitHubに送ったのは10月8日となっている。同じユーザーはWindows XPと同時にリークしたWindows Server 2003のソースコードもGitHubに転載しているが、こちらのリポジトリは日本時間12日0時過ぎの時点でもアクセス可能な状態だ。

Microsoftは結果として、流出したWindowsのソースコードを傘下のGitHubでホストしていることになる。元々torrentで流出したため簡単に止めることはできないとはいえ、Microsoftが流出をあまり問題視していないようだとTorrentFreakは評している。

Electronic Frontier Foundation(EFF)は7日、Webサイトによるユーザー追跡を検出・遮断するブラウザー拡張機能「Privacy Badger」で、主要機能である新しいトラッカーを学習する機能のデフォルト無効化を発表した(Deeplinks Blogの記事、 The Registerの記事)。

EFFは2月、トラッカー学習機能に関連するセキュリティー上の問題が複数存在するとGoogle Security Teamから報告を受けていたという。その一つは深刻な問題であったため、すぐに該当機能を削除している。もう一つは今回デフォルト無効化の選択理由となった問題で、「アクセスしたWebサイトの挙動に応じてブロックするものを選択する」という動作がフィンガープリンティングに使われる可能性や、アクセスしたページに関する情報を(ファーストパーティーストレージから)抽出される可能性が指摘されていたそうだ。

Googleが報告した内容は純粋にPoCであり、実際にこの機能が悪用されている証拠をEFFでは確認していないという。トラッカー学習機能は「長大なトラッカーリストを維持しなくても新しいトラッカーをブロックできる」というPrivacy Badgerを特徴付ける機能だが、念のためデフォルトでの無効化を決めたとのこと。新しいトラッカーを学習しなくなる代わり、これまでインストール時から変更されることのなかった既知のトラッカーリストは将来のPrivacy Badgerアップデートで更新されるようになる。

なお、学習機能自体は残されており、Privacy Badgerの設定画面で「General Settings→Advanced→Learn to block new trackers from your browsing」にチェックを入れれば有効化できる。

あるAnonymous Coward 曰く、

COVID-19によって増加したホテルからのテレワークにFBIが警告を出しているそうだ。アメリカでは自宅で在宅勤務していた個人が、静かな環境を求めてホテルでの在宅勤務に切り替える例が増えているという。しかし、ホテルのワイヤレスネットワーク（Wi-Fi）を使用する際は注意が必要だとFBIは警告している（Crime Complaint Center (IC3)、iPhone Mania）。

ホテルのWi-Fiは認証方法や暗号化方式が古いためにセキュリティが低い可能性もある。ハッカーなどがこうしたセキュリティの甘いホテルのネットワークに目をつけ、機密情報や個人情報を盗み取る危険性があると指摘している。通信の傍受だけではなく、最悪の場合利用しているPCをリモート操作されてしまう可能性もあるとしている。

日本ではおなじみのアズマフトミミズがアメリカに進出した結果、生態系に影響を与えてしまっているという（ナゾロジー、ScienceDirect）。

日本国内の場合、ミミズは木が落とした葉を食べてフンに変えることで、窒素やリンといった栄養素を土に供給する役割を持っている。しかし、アメリカの場合、落ち葉の絨毯が地面にしみこんだ水の蒸発など防いでおり、落葉樹の種が発芽するのに必要な湿度を維持するために使われていたという。しかし、ミミズは落ち葉をあっという間に食べ尽くしてしまうため、土壌の乾燥や病原菌の蔓延を引き起こしたり、世代交代を阻害することにつながっているとしている。

またミミズは土壌を日本型に変化させてしまうという問題も指摘されている。ウィスコンシンの森林土壌を使った実験によると、アズマフトミミズが1年以上いた環境では、土壌細菌と真菌などの微生物群の構成が全く違うものになっていたとされる。これはアズマフトミミズの腸内にいた微生物群が広がった結果だとしている。

headless 曰く、

Mozillaは5日、安全なFirefox拡張機能を選びやすくする「アドオンバッジ」を新たに2種類追加したことを発表した(Mozilla Add-ons Blogの記事、 Neowinの記事、 Ghacksの記事)。

追加されたアドオンバッジは「Verified」と「by Firefox」の2種類。おすすめ拡張機能に付けられる「おすすめ」バッジと合わせ、バッジは計3種類となる。「Verified」バッジは9月に発表された拡張機能の定期的な厳しいレビューを有料で行う「Promoted Add-ons」プログラムによる検証済み拡張機能だ。Promoted Add-onsは11月末まで最大12個の拡張機能に絞り、無料のパイロットプログラムとして実施されている。

「by Firefox」バッジは文字通りMozillaが開発した拡張機能を示す。こちらは現在ロールアウト中とのことで、Mozillaが開発した拡張機能の中にもバッジが付いていないものがある。これらのバッジはaddons.mozilla.org(AMO)で表示されるほか、Firefoxのアドオンマネージャー(about:addons)にも表示されるとのことだが、現在のところ表示されない(「おすすめ」バッジは表示される)ようだ。

航空自衛隊は10月1日、RC-2（電波情報収集機）の入間基地への配備記念式典を実施した（航空自衛隊、公式Twitter）。航空自衛隊は配備記念式典のリリースで、現代の戦闘領域はこれまでの陸海空だけではなく、宇宙・サイバー・電磁波といった領域範囲にまで拡大している。RC-2はこうした新しい領域のうち、 電磁波領域の優勢を確保するために不可欠な装備品であるとしている。

RC-2は、入間基地で運用されてきたYS-11をベースとして28年近く運用されてきたYS-11EBの後継機に当たる機体で、C-2をベースとしている。航続距離は5,700キロメートルとなっており、YS-11EBの約2,200キロメートルや海上自衛隊の所有するEP-3電子情報収集機の4,400キロメートルよりも長く、行動範囲が広いとされている。2021年度、2022年度にそれぞれ1機ずつ、計3機のRC-2が入間基地に配備されるという（FlyTeam）。

NTTドコモは1日にドコモ口座の被害申告状況を更新しているが、10月1日18時時点の被害件数が11件減少して238件となっていたことが判明した。同様に被害総額も34万円減の2904万円に変更されたという（ドコモ口座 被害申告状況[PDF]、Security NEXT）。

その理由としては、これらの減額分は本人が利用していたものであったと判明したため。ただSecurity NEXTによると、具体的な内訳は不明であるとしている。このため11件すべてが本人利用だったのか、それとも増加分と減少分との差し引きの結果の数字なのかについては分からないそうだ。