Mozillaが先日リリースしたFirefox 82で複数の問題が報告され、ロールアウトを制限しているようだ(Softpediaの記事、 Ghacksの記事)。

22日のFirefox Channel Meetingによると、印刷関連の問題やセキュリティソフトウェアとの組み合わせでFirefoxがクラッシュする問題、実験的なプライバシー設定を有効にしている場合にWebサイトからログアウトしてしまう問題が報告されている。

手元の環境では既にFirefox 82に更新されており、特に問題もなさそうだが、スラドの皆さんは何か問題があっただろうか。

エドワード・スノーデン氏が22日、無期限のロシア居留許可を取得したそうだ(TASSの記事、 The Registerの記事)。

米国家安全保障局(NSA)のシステム管理者として勤務していたスノーデン氏は2013年6月にNSAの大規模な米国民監視を内部告発して訴追され、その直後にロシアへ渡航して滞在を続けている。2014年には3年間の居留許可を取得し、延長を繰り返していた。

スノーデン氏の弁護士によると、直近の居留許可は4月末が期限だったが、COVID-19パンデミックにより自動で6月15日まで延長されていたという。ロックダウンが終わってすぐにスノーデン氏は延長を申請しており、無期限の居留許可が下りたとのこと。

無期限の居留許可は永住許可も同然だが、現時点でスノーデン氏がロシアの市民権を申請する計画はないとのことだ。

Security.orgが米国人750名を対象に実施したパスワードの習慣に関する調査で、パスワードに「COVID」を含めたことがある回答者が14%いたそうだ(America's Password Habits: 2020、 BetaNewsの記事)。

パスワードに含めたことがあるフレーズとしては、冒涜的な言葉が20%と最も多く、誕生年とペットの名前が16%で続く。なお、昨年の調査ではペットの名前が33%、誕生年が27%だった。回答方法はリストから当てはまるものをすべて選ぶというもので、昨年は冒涜的な言葉が選択肢に含まれていなかったため、ランキングにも入っていない。

COVIDは4位だが、上位はそれぞれ特定のフレーズを示していないため、フレーズ別では一番多い可能性もある。このほか「Trump」が12%、「Biden」が9%となっており、注目度の高い単語が多く使われているようだ。一方、パスワードジェネレーターを使用しているという回答は15%にとどまる。

パスワードの長さでは8文字以下45%を占め、12文字以上は22%に過ぎない。パスワードの管理方法としては暗記が36.9%と最も多く、紙のメモ帳(20.1%)とメモ帳アプリ(12.5%)が続く。パスワード管理ツールを使用している回答者は12.1%にとどまるが、Webブラウザー任せという回答者も10.0%にのぼる。また、個人用パスワードを他の人と共有している回答者が25%いたとのことだ。

米国のドナルド・トランプ大統領が個人用のTwitterアカウント(@realDonaldTrump)に安易なパスワード(maga2020!)を設定し、二要素認証も有効化していなかったとオランダのメディアが報じているのだが、ホワイトハウスやTwitterは否定的なコメントを出したそうだ(Vrij Nederlandの記事、 de Volkskrantの記事、 The Vergeの記事、 Mashableの記事)。

この件はオランダの倫理的ハッカーVictor Gevers氏が16日、メディアで注目を集める人物のアカウントをランダムに選んでセキュリティチェックをした際に発見したとされる。Gevers氏は倫理的ハッカー界では国際的な権威とみなされており、虚偽の報告とは考えにくいという。

headless 曰く、

Googleは21日、Google Chrome 86における不正な通知許可リクエストをブロックする機能の強化を発表した(Chromium Blogの記事)。

Webサイトからの通知許可リクエストは必要としないユーザーにも表示されるため、苦情の多い機能の一つになっているという。中にはユーザーをだますようなメッセージで通知を許可させようとする不正な通知許可リクエストや、通知自体がユーザーをだますことを目的とした不正な通知を表示するWebサイトもある。

そのため、Chrome 80では「静かな方法で通知する」オプションが追加された。このオプションは設定画面の「プライバシーとセキュリティ→サイトの設定→通知」で有効化できる。有効にすると通知許可リクエストがポップアップ表示されなくなり、Omnibox(アドレス・検索ボックス)に斜線の入ったベルのアイコンが追加されるようになる。このアイコンをクリックすると通知がブロックされた旨表示され、通知を許可するかどうかを指定できる。

さらにChrome 84では不正な通知許可リクエストに自動で静かな方法の通知を適用し、Omniboxのアイコンをクリックすると侵襲的な通知を表示するためにだまそうとしているといった内容の説明が表示されるようになっていた。Chrome 86では対象を拡大し、不正な通知のパターンに一致する通知を表示するWebサイトからの通知許可リクエストに対しても静かな方法の通知が適用されるようになったとのこと。なお、Chrome 84での変更を発表するブログ記事では不正な通知を表示するWebサイトも対象となるような記述もみられるが、これはなかったことになっているようだ。

英国のサイバーセキュリティセンター（NCSC）は19日、ロシア軍の情報機関、軍参謀本部情報総局（GRU）74555部隊が、東京オリンピック（五輪）・パラリンピックの妨害を狙いサイバー攻撃を仕掛けていたと発表した（NCSC、ドミニク・ラーブ外相の声明、BBC、NHK、毎日新聞）。

GRUは東京五輪・パラリンピックの主催者、ロジスティクスサービス、スポンサー関係者をターゲットに情報収集をしていたとしている。今回の発表は、米司法省によって行われたGRUの工作員6名に対する刑事告発に合わせて行われたものだという。この6人は2018に韓国で開催された平昌冬季五輪の開会式やウクライナの送電網、2017年のフランスの選挙攻撃にも関与していたとしている（米司法省、Washington Post、AFP、Engadget）。

ちなみに平昌冬季五輪のときは、北朝鮮による犯行に見せかける偽装も行っていたようだ。このほか、世界各地の企業のコンピューターにマルウエア「NotPetya」を感染させ、米企業3社だけで10億ドル（約1050億円）近くの損害を与えたとしている。なお犯行の動機に関しては、ロシアがドーピング問題で処分を受けたことによることが原因だと報じられている。なお、ロシア側はいかなる攻撃にも関与していないと否定ししている模様（乗りものニュース）。

miishika 曰く、

東京オリンピック・パラリンピックの関係者や関係団体に対して、ロシアのハッカーらがサイバー攻撃を仕掛けていたとイギリス外務省が発表した(詳細は非公表)。
日本ではサイバーセキュリティ専門家を国の支援で育てる代わりに、オリンピック・パラリンピック期間中はボランティアで警備させるという構想もあったそうですが、
大きな事故もなく実施できるのでしょうか。

情報元へのリンク

KAMUI 曰く、

新型コロナ対策として実施された「特別定額給付金」だが、「2回目の給付金」を騙るメールが送られているとして総務省が注意喚起をおこなっている。

メールの内容としては「二回目特別定額給付金の特設サイトを開設しました。」という内容でメール中に偽の特設サイトに誘導するリンクが含まれているそうだ・・・って、ウチにも2通来てました。参考までにウチに来てたものには

二回目特別定額給付金（新型コロナウイルス感染症緊急経済対策関連）

二回目特別定額給付金の特設サイトを開設しました。（令和2年10月14日）

と言った文言でサイトへのリンクが置かれており「特別定額給付金の概要」として「令和2年10月14日、「新型コロナウイルス感染症緊急経済対策」が閣議決定され～ 」と言った文章が続いているのだが、そもそも首相官邸ウェブサイトの閣議ページを見ると10月14日には閣議決定自体が行なわれておらず、その前後の閣議決定にも定額給付金に関するものが無い。それ以前の話として「二回目特別定額給付金」って書き方からして微妙におかしいんだが・・・多分、これ書いたのは日本語ネイティブじゃないんだろうなぁ。

なお、偽サイトでは住所や氏名、生年月日入力や本人確認書類などが求められる。個人情報の取得が目的とみられる（ITmedia）。

東芝は7月に量子暗号通信網の共同研究開発の話をしていたが、10月19日には「量子暗号通信」を使った事業を始めると発表した。量子暗号通信を使ったシステムインテグレーション事業は日本では初めてだとのこと（東芝、ITmedia、日経新聞）。

東芝によれば、専用の光ファイバーを使用して2点間をつないで通信する「長距離用途向け」のものと既存の光ファイバー網を利用する「多重化用途向け」の2種類の量子鍵配送プラットフォームを開発しているという。専用システムでは伝送距離120kmを300kbpsで伝送でき、既存光ファイバー網利用タイプでは伝送距離70kmで速度は40kbpsになるとしている。

盗聴に強いとされる量子暗号通信を使うことで、安全保障や金融、医療分野などへの活用を計画しているという。2025年度までに日本だけでなく海外などでの展開も計画している。35年度に世界市場のシェア25％獲得を目指すとしている。

headless 曰く、

国際宇宙ステーション(ISS)の宇宙飛行士がティーバッグを用い、空気漏れの位置を特定したとTASSが報じている(TASSの記事[1]、 [2]、 [3]、 [4])。

ISSでは昨年9月から標準よりも若干高いレートでの空気漏れが確認されており、今年8月と9月に調査した結果、空気漏れはロシア側のズヴェズダサービスモジュールで発生していることが判明していた。

ロスコスモスのアナトーリ・イヴァニシン宇宙飛行士が15日にロシアの管制センターへ報告したところによると、ズヴェズダサービスモジュールにティーバッグを浮遊させ、ハッチを閉じてティーバッグの動きをカメラで記録したそうだ。その後、ティーバッグの動きから空気漏れの方向を特定し、小さな裂け目が存在することを確認したとロスコスモスのイヴァン・ヴァグナー宇宙飛行士が報告している。

管制センターの専門家からの指示を受けてウレタンフォームと粘着テープを用いて仮補修したところ、翌16日には空気漏れレートが大きく低下したという。それでも空気漏れは依然として標準よりも高い状態が続いているようだ。そのため、より効果的な補修が必要だと2人は考えており、パートナー(NASAの宇宙飛行士)がもっといい補修材を持っていないか相談してみるとのことだ。

なお、現在のところNASAやロスコスモスのWebサイトに公式発表は出ていない。

追記 by headless: ロスコスモスは19日、空気漏れの仮補修を実施したことと本格的な補修に向けて準備していることを発表した。NASAもISSのブログ記事でロスコスモスのツイートにリンクして補修の話題に触れている。両者とも補修の簡単な紹介にとどまり、具体的な発見方法や補修方法には触れていない。

あるAnonymous Coward 曰く、

Chrome拡張機能のNano DefenderとNano Adblockerが悪意ある者に売却され、マルウェア化してしまったようだ(元の開発者によるプロジェクト譲渡に関するアナウンス、 280blockerの記事[1]、 [2]、 gHacksの記事)。

Firefox用Nano DefenderとNano Adblockerは大丈夫みたい。

有名拡張が買収で…といえばStylishを思い出した。uBlockも委譲されたかと思ったら結局元の開発者がuBlock Originを立ち上げていたな。

元の開発者はNanoプロジェクトに割り当てる時間がなくなってバックログがたまり続けたためメインテナーを探しており、新しい開発者から申し出がなければ開発停止をアナウンスする計画だったという。金銭的なやりとりはあったようだが、新しい開発者がいい仕事をすれば寄付の形で大半を返金することも考えていたそうだ。

Nanoプロジェクトのフォーク元であるuBlock Origin開発者のRaymond Hill(gorhill)が更新後の拡張機能を分析した結果、拡張機能読み込み時にhttps://def.dev-nano.com/からリストを取得し、リストで指定された条件に一致するネットワークリクエストがあると情報をhttps://def.dev-nano.com/に送信するコードなどが追加されていたという。

なお、新しい開発者のGitHubアカウントは既に削除されており、Nano DefenderおよびNano AdblockerはChromeウェブストアから削除されている。Microsoft Edgeのアドオンストアに関しては元の開発者がアカウントを維持しており、ストアで表示されないようにしたと説明しているが、現在のところ削除はされていないようだ。

防衛省が来年度に向けて、サイバーセキュリティ担当の技官を募集しているそうだ。セキュリティ指導を隊員に行ったり、情報システムなどの防護を行う業務に就くことになるという。12月10日まで募集が行われる。審査に合格した場合、勤務は4月1日からになる模様（ITmedia）。

ただし、条件は結構限定的だ。民間企業や官公庁などで、正社員もしくは正職員として13年以上の勤務した経験があり、1962年4月2日～89年4月1日までに生まれた人。現在31歳～58歳以上の人が対象となるようだ。必要な技能は情報処理推進機構（IPA）のITスキル標準「レベル3」以上に相当する資格持つものとされる。係長相当職員として採用され、東京都特別区に勤務した場合の給与は30万6000円とのこと。

headless 曰く、

Microsoftは13日、10月の月例更新でInternet Explorer(IE) 11のJscript(jscript.dll)実行をブロックするオプションをWindowsおよびWindows Serverに追加したことを発表した(Windows IT Pro Blogの記事、 KB4586060)。

jscript.dllはECMA-262のMicrosoftによるレガシーな実装であり、IE11ではレガシードキュメントモード(IE9以前のバージョン)を使用するサイトでのみ使われる。jscript.dllの脆弱性はたびたび見つかっているが、パッチが提供されるまでの緩和策としてはファイルのアクセス許可を変更するしか方法がなく、Windows Scripting HostのJavaScriptエンジンが使用できなくなるなどの問題があった。ただし、オプションが追加されたといっても「インターネットオプション」からは設定できず、レジストリの編集が必要であり、インターネットゾーンと制限付きサイトゾーンでの無効化が推奨されている。

KB4586060には2017年にリリースされたIEの累積的なセキュリティ更新プログラムが必要と書かれているが、該当のレジストリ値は10月の更新プログラムをインストールした環境にしか存在しなかった。また、「MSXMLのスクリプト」で解説されているレジストリキーは10月の更新プログラムインストールしても追加されなかった。なお、64ビット環境で実行される32ビットアプリケーションに関する手順は間違っているが、その上で解説されている手順のレジストリキーを読みかえて設定すればよさそうだ。

10月11日、IT企業に対してエンドツーエンドで暗号化（E2EE）されたコンテンツに対し、法執行機関がアクセスできるようにすることを求める国際声明を発表した（米国政府リリース、イギリス政府リリース、ZDNet、ITmedia、日経新聞）。

この声明に参加しているのは英、米、カナダ、オーストラリア、ニュージーランドの5カ国に加えてインド、日本。声明によれば、暗号化技術の実装は、ジャーナリスト、人権擁護家、その他の脆弱な人々を保護する役割を果たしている。しかし、暗号化技術の実装は、法執行機関にとっては犯罪捜査が困難になる問題を抱えている。法執行機関に対する暗号化は、性的搾取、虐待などの深刻な犯罪を捜査する場合に重大な影響を与えかねないと主張した。

その上で英国の声明では、その上でユーザーのプライバシーやサイバーセキュリティを損なうことなく、市民の安全を確保するための解決策を見つけるため協力するようよう求めている。

headless 曰く、

海賊版アニメサイト9AnimeがすべてのページにDDoS攻撃用コードを追加し、閲覧者にライバルサイトAniMixPlayへのDDoS攻撃を実行させていたそうだ(TorrentFreakの記事、 r/9animeのスレッド、 r/animepiracyのスレッド)。

9Animeは月間ビジター数が3,900万人を超えるメジャーな海賊版アニメサイト。一方、夏にオープンしたAniMixPlayは急速にトラフィックを増やし、月間アクティブユーザーは140万人程度だという。DDoS攻撃らしい挙動はRedditのr/9animeでユーザーから報告され、9Anime側が事実関係を認めた。ここでは「やり返しただけ」だと説明するにとどまったが、r/animepiracyで立ち上がった別のスレッドで詳細を説明している。

9Animeの説明によると、AniMixPlayは当初から9Animeのコンテンツを大量にスクレイピングし、DDoS攻撃のように9Animeの速度を低下させていたのだという。AniMixPlayからのリクエストに中止を呼びかけるメッセージを表示するようにしたところ、メッセージが表示されないよう別の方法で大量スクレイピングを継続したため、DDoS攻撃用のコードを追加したとのこと。数か月にわたるスクレイピングに対し、数時間のDDoS攻撃は正当だと主張しているが、同意するコメントは少ない。

KAMUI 曰く、

ORICON NEWSの記事によると、休憩室に置かれていた『鬼滅の刃』の単行本が盗まれたとツイートした温泉施設に、全国から単行本が送られているそうだ。

山口県山口市にある日帰り温泉施設の「おんせんの森」では休憩室に2000冊ほどの漫画単行本を置いていたのだが、さる9月25日に『鬼滅の刃』1巻から20巻の20冊が盗難被害に遭った。温泉側では「間違えて持って帰ってしまったのかも」と言うことで警察には届けなかったが、ツイッターでこの件についてつぶやいたところ、全国から単行本が送られてくる事態になった。その数なんと10月8日時点で9セット180冊に達したという。