比較的新しい世代の CPU のみをサポートする Windows 11 だが、Microsoft は ISO ファイルを使用すれば非サポート CPU にもインストールできると述べる一方で、このような環境にはセキュリティパッチやドライバーを含む更新プログラムが提供されない可能性があると述べているそうだ (The Verge の記事 [1]、 [2]、 [3]、 The Register の記事、 Windows Cental の記事)。

Microsoft が Windows 11 正式発表時に公開したシステム要件では Intel の Kaby Lake Refresh (第8世代) 以降および AMD の 第1世代 Zen の一部と Zen+ 以降のみがサポートされ、5 年前の CPU がサポート外となる事態が衝撃を与えた。リストは 8 月 27 日に更新されたが(AMD、Intel)、追加された CPU の大半は新しいものであり、古い CPU で追加されたのは Intel の Kaby Lake (第7世代) Core プロセッサーの一部とSkylake (第6世代) のXeon W プロセッサーにとどまる。AMD の第 1 世代 Zen の追加も検討したが見送ったとのこと。

Windows Insider 向けの提供が 8 月 27 日に再開された「PC正常性チェック」アプリでは、Windows 11 の互換性チェックで CPU のサポート状況も確認できるようになっているが、Windows 11 Insider Preview を ISO イメージでインストールする場合に CPU のチェックは行われていないようだ。Windows 7 ～ 10 でサポートされる CPU のリストでも Intel は Broadwell (第5世代) 以降のみが掲載されており、Windows セットアップが CPU をチェックしているとは思えない。

Microsoft は Windows 11 の要件を満たす PC を使用するメリットとして、信頼性とセキュリティ、互換性の向上を挙げている。その一方で要件を満たさない PC にもインストール可能だと明言し、セキュリティ更新プログラムを提供しないというのもちぐはぐな気がする。Windows 7 / 8.1 を実行する Skylake 搭載 PC は特定メーカー製品を除いて Windows Update が利用できないという話もあったが、実際にはどうだったのだろうか。

Apple の App Store の抜け穴が子供を危険にさらすと Tech Transparency Project (TTP) が指摘している (TTP の記事、 Mac Rumors の記事、 The Guardian の記事)。

TTP では年齢を 14 歳に設定した架空のユーザーの Apple ID を作成し、App Store で「17+」にレーティングされているアプリ 75 本のインストールを試みた。しかし、アプリのインストールが年齢制限でブロックされることはなく、17 歳以上であることの確認ダイアログで「OK」をタップすれば 14 歳でもインストールできてしまったとのこと。

また、Apple ID でのユーザー登録に対応した 37 本のアダルトアプリでは、14 歳の Apple ID でも問題なく登録できてしまったという。初回起動時に年齢確認しないアダルトアプリも多く、いきなりポルノコンテンツが表示されるものもあったそうだ。一方、Facebook アカウントでのユーザー登録に対応した 31 本のアダルトアプリでは、14 歳のFacebookユーザーによる登録は 21 本でブロックされたという。ブロックされなかった 10 本のうち 7 本はアプリ側でブロックされたが、うち 6 本は年齢の再設定が可能だったようだ。

ギャンブルアプリでは法的な問題もあって年齢チェックが厳しくなるが、中には 14 歳の架空のユーザーにプレイや出入金を許可するものがあり、14 歳の架空のユーザーが使用する年齢制限のないアプリに 17+ のカジノアプリの広告が表示されるところも数回確認したとのこと。

Apple はこの調査結果について、ペアレンタルコントロールにより子供がダウンロード可能なアプリを制限できると Mac Romors に述べている。しかし、TTP は今回の調査でペアレンタルコントロールを有効にしていない。TTP ではペアレンタルコントロールを利用する保護者が少ないという 2016 年発表の米調査と 2018 年の英調査を (有効化しなかった理由として) 挙げているが、AppleがiOSのペアレンタルコントロール機能「Screen Time」を発表したのは 2018 年のことだ。

おなじみの高木浩光氏が、総務省がパプコメを募集していた「プラットフォームサービスに関する研究会 中間とりまとめ（案）[PDF]」（以下中間とりまとめ案）についての意見を上げている。中間とりまとめ案では、インターネット上の誹謗中傷への対応を念頭、インターネット上の違法有害情報への対応や利用者情報の取扱いに関して意見公募を行ったもの（高木浩光@自宅の日記）。

同氏によれば、現時点のとりまとめ案はEUで今年合意されたeプライバシー規則（案）を参考にして作られている部分があるという。日本の現行案が参考にしているのは、Cookie規制など表面的な扱いに参考にしただけだと指摘している。同氏は日本版ePrivacy立法を目指すのであれば、通信の秘密には機械的処理によって介入されることがあるといった部分を明確にするなど「通信の秘密」概念の再構成まで含めて検討するべきだと指摘している。

headless 曰く、

Microsoft Power Apps ポータルから個人情報を含む計 3,800 万件のレコードが流出した問題について、発見者の UpGuard がそのなりゆきを解説している(UpGuard のブログ記事、 The Verge の記事、 The Register の記事)。

Power Apps は開発者としてのスキルがなくてもビジネスアプリケーションを開発できるローコードアプリ開発ツール。OData (Open Data Protocol) API を使用することでポータルでのレコード公開が可能になるのだが、デフォルト無効の「テーブルのアクセス許可を有効にする」オプションを有効にしなければ匿名かつ認証なしでデータへのアクセスが可能になる。このことは Power Apps のドキュメントにも明記されているが、見過ごされることが多かったようだ。

個人情報が公開状態になっているとして UpGuard が通知したのは (Microsoftを含む) 企業や州政府など合計 47 エンティティにのぼる。UpGuard のアナリストは 5 月 24 日に最初の個人情報が公開状態になっている OData API を発見してオーナーに通知。通知を受けたオーナーは問題を修正した。UpGuard が調査を進めたところ、複数のポータルで OData API を通じた個人情報への匿名アクセスが可能になっていることが判明する。

UpGuard は Microsoft による顧客への通知に期待して MSRC (Microsoft Security Response Center) に脆弱性リポートを送るが、(設定を変更しなければデータが一般公開状態になるのは) 仕様であるとして、問題は解決済みとされてしまう。そのため、UpGuard 自ら各エンティティに通知を送ることになった。Microsoft のポータルで見つかった問題については脆弱性リポートへの返信という形で報告したものの回答はなく、新たな脆弱性リポートを送ったところ、不正利用リポートを送れと言われたそうだ。

Microsoft に脆弱性リポートを送り、あとは任せるという UpGuard の試みは失敗したが、UpGuard が複数のエンティティに最も深刻な複数の問題を報告したのち、Microsoft 側でも顧客の通知を開始したとみられる。また、Microsoft は匿名アクセスが許可されたリストを検出する ポータルチェッカーの提供を開始し、新規作成された Power Apps ポータルではテーブルのアクセス許可がデフォルト有効になっている。なお、現在は英語版のドキュメントに OData フィードを有効化した場合はテーブルのアクセス許可を無効にできないとの説明が追加されている。

愛知県の知多半島周辺でエキノコックス症の原因となる多包条虫の検出が複数見つかっている。多包条虫はイヌやキツネに寄生することから、北海道近辺での発見例が多く、これまで本州での発見例はごく少数だった。愛知県衛生研究所の記事によれば、愛知県での初めての検出は2014年3月とされ、それ以降の2017年から2021年にかけて8例の感染例が分かっているそうだ（まとめまとめ、愛知県衛生研究所）。

このことに関連したツイートをしているnakanetakashiさんによれば、エキノコックスは 多包条虫のイヌ・キツネ体内での寿命は半年以内。しかし、中間宿主である野ねずみなどのげっ歯類の体内では長期に生存することができるという。同氏は知多半島で複数の感染例が長期に渡り見つかっていることから、同地域に住むげっ歯類の間で感染環が成立している恐れがあると指摘する。調査や薬剤散布などの対策をする必要があるほか、飼い犬の放し飼いや拾い食いに注意するよう警告している。

headless 曰く、

Razerのゲーミングマウスやドングルで、ドライバーインストーラーに存在するローカルでの特権昇格の脆弱性が公表された(発見者のツイート、 Neowin の記事、 BetaNews の記事、 Windows Central の記事)。

この問題は、インストール先を選択するフォルダーピッカーから Windows PowerShell が起動できるというもの。インストーラーは SYSTEM の権限で実行されるため、ピッカーから起動した PowerShell も SYSTEM 権限となる。

つまり、標準ユーザーの権限でログインしている攻撃者が SYSTEM 権限を得るには、Razer のマウスやドングルを接続すればいい。Windows Update が自動でドライバーをダウンロードして SYSTEM 権限でインストーラーを実行してくれる。

また、「デスクトップ」などユーザーが自由に変更できるフォルダーをインストール先に指定すれば、サービスバイナリのハイジャックも可能だ。いずれも物理的なアクセスが必要となるが悪用は容易だ。

発見者の Jon Hat 氏は Razer に連絡したものの、反応がなかったため脆弱性を公表することにしたという。公表後に Razer から連絡があり、修正を進めていると伝えられたとのことだ。

headless 曰く、

Google Play で見つかった偽の暗号通貨採掘アプリ 8 本について、発見した Trend Micro が解説している (Trend Micro のブログ記事、 Softpedia の記事)。

偽アプリはクラウド上での暗号通貨採掘をうたい、演算能力強化への貢献に応じて暗号通貨を提供するなどとしてユーザーに広告をクリックさせたり、サブスクリプション登録させたりする。アプリ自体が有料のものもあったという。

しかし、実際の暗号通貨採掘機能が搭載されているわけではなく、乱数とカウンターを使用して採掘が行われているかのように表示するだけだ。中には利用規約にゲーム/シミュレーションだと記載しているものもあったそうだ。画面上では暗号通貨がたまっていくようにみえるが、もちろん引き出すことはできない。友人に同アプリをインストールさせるなど、引き出し機能の有効化に必要とされる操作を実行しても有効化されることはない。

既に 8 本すべてが Google Play から削除されているが、Google Play で「cloud mining」を検索すると多数の怪しいアプリがヒットする。Trend Micro では偽アプリの見分け方として、低評価レビューに注目することや、無効な暗号通貨ワレットアドレスを入力してみること (何でも受け付けるなら偽物)、採掘処理中にアプリや端末を再起動してみること (カウンターがリセットされるなら偽物)、引き出し料金が設定されているかどうか確認すること (引き出し無料なら偽物) を挙げている。ただし、本物を見分けることは困難だと思われる。

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は 19 日、ランサムウェア攻撃からセンシティブ情報と個人情報を守るための対策に関するファクトシートを公開した(CISA のツイート、 ファクトシート: PDF、 Softpedia の記事)。

対策は「ランサムウェア攻撃に対する防御」「センシティブ情報と個人情報の保護」「ランサムウェア被害発生時の対応」に大きく分けられている。防御としてはバックアップ作成と維持、サイバー攻撃対応計画の確立、インターネット側からの攻撃の入り口となる脆弱性や誤設定への対策、フィッシングメールのブロックとトレーニング、サイバー衛生の実践といったものが挙げられている。

情報保護としては、どのような情報が保存され、誰がアクセスできるかの把握と物理的セキュリティ・サイバーセキュリティのベストプラクティス適用、サイバー攻撃対応計画にデータ侵害対策を含めることといったものだ。

ランサムウェア被害が発生した場合の対応としては、影響を受けたシステムの特定と隔離、隔離できない場合に限って影響を受けたデバイスの電源を切るなどの被害拡大を防ぐ対策や、情報の収集、影響を受けた人・団体への通知、CISA を含む当局への報告などが挙げられている。なお、CISA ではランサムウェア被害発生時にデータ復元のための身代金を支払うことは推奨していない。

iida 曰く、

X.509 証明書の識別名の OU 属性 (organizationalUnitName: OID 2.5.4.11) の使用停止が CA/Browser Forum で決議された (Ballot SC47v2: Sunset subject:organizationalUnitName、 Baseline Requirement 1.7.9版: PDF、 EV SSL 1.7.7版: PDF)。

2022-09-01 以降に OU 属性のある識別名の証明書を発行してしまうと、証明機関が BR や EV に不適合になってしまい、対応するルート認証局がブラウザや OS などから信頼されなくなる危険性が高まる。ルート証明機関は下位の証明機関に BR や EV へ準拠するようはたらきかけるだろうから、現在 OU の有無や値を使って鍵や証明書を管理している TLS サーバー側の管理者や、それらで認証認可している (たいていは TLS クライアント側の) システムは、対応を迫られることになろう。

またもし 1 年モノの証明書を新規に発行してもらうばあいは、最初から OU なしで発行してもらうほうが更新が楽になろうから、ご検討いただきたい。

The Interceptの記事によると、アフガニスタンを掌握したタリバンは米軍が利用していた生体認証装置を押収したそうた。押収された機器は「HIIDE」と呼ばれるもので、虹彩や指紋・顔で個人を認識し生体認証を行う装置。内蔵データベースもしくは外部のデータベースに接続することで、個人を照合することができるらしい（The Intercept、GIGAZINE）。

米国はアフガニスタン内外の協力者だけでなく、外交努力を支援するアフガニスタン人などからもデータ収集をしてきた。米国大使館や領事館での就職を希望する地元のアフガニスタン人を精査するために使用されたのだという。すぐにデータを参照できるわけではないようだが、そうした個人情報が含まれているHIIDEがタリバン側に渡ってしまったことで、米国や英国などに協力してきたアフガニスタン人を特定するために悪用される危険性があるようだ。

米Mastercardは12日、デビットカードとクレジットカードの磁気ストライプを2024年から段階的に廃止すると発表した。チップカードがすでに広く使用されているヨーロッパなどの地域から先行して行われ、2033年までにチップを搭載したカードに移行する（Mastercardリリース、BBC、CNET）。

BBCによるとすでに英国は2006年にすべてのカード決済をカードを差し込み、4桁の暗証番号を入力する「チップ・アンド・ピン」方式に移行済み。一方で米国では一部の磁器ストライプ・システムが継続して使用されているとされる。リリースでは米国の銀行は、2027年以降は磁気ストライプ付きのチップカードを発行する必要がなくなるとしている。Mastercardも2029年までに、磁気ストライプ付きカードの新規発行を終了する。ただ米国とカナダのプリペイドカードは例外となるという。

headless 曰く、

米国家運輸安全委員会 (NHTSA) 欠陥調査室 (ODI) は 13 日、Tesla 車が緊急車両に衝突した複数の事故に関する正式な調査の開始を発表した (調査概要: PDF、 The Verge の記事、 The Guardian の記事)。

事故は 2018 年 1 月にカリフォルニア州で Tesla Model S が消防車に衝突した事故をはじめ、今年 7 月までに計 11 件発生している。いずれも緊急車両が出動した現場付近をさまざまな構成・モデルの Tesla 車が通りかかり、路上に停止している緊急車両に衝突したというもの。Tesla 車はすべてオートパイロットまたはトラフィックアウェアクルーズコントロールが有効になっていたことが確認されている。

多くの事故が発生したのは日没後の時間帯であり、事故現場では緊急車両が緊急灯を点灯していたほか、発光式矢印版やパイロンの設置などが行われていたという。事故では計 17 名の負傷者と 1 名の死者が出ている。

ODI では 2014 年式 ～ 2021 年式の Model Y / X / S / 3 でオートパイロット (レベル2の先進運転補助機能) の初期評価を開始しており、オートパイロット中にドライバーがすべき操作を監視・強制する方法や技術の評価などを行うとのことだ。

タリバン支配下に入ったアフガニスタンだが、在アフガニスタン日本大使館のSNSアカウントが8月16日に相次いで削除されたと報告されている。削除されたのはTwitterアカウントおよびFacebookアカウントで、公式サイトについては閲覧可能。過去ログなどから関係者に危害が及ぶ可能性を配慮したものとみられている（ねとらぼ）。

朝日新聞によれば、日本人の大使館員12人に関してはアラブ首長国連邦（UAE）のドバイに17日に待避しているという。一方で日本大使館や国際協力機構（JICA）事務所で働いてきたアフガニスタン人のスタッフ等は国外に退避する見通しは立っていないとしている（朝日新聞）。

製粉大手のニップンは8月16日、サイバー攻撃を受けて2021年4~6月期決算を延期した。当初決算は8月5日に発表予定だったが、約3カ月延期して11月15日に行う予定であるとしている（ニップンリリース、ITmedia、NHK）。

同社は7月7日にランサムウェアによるサイバー攻撃を7月7日に受けたという。攻撃はグループ会社を含むサーバのほとんどに対して同時に行われ、バックアップデータを含む大量のデータが暗号化されたとしている。同社は外部専門家に「前例のない規模」と報告を受けたとしている。

ソフトイーサは16日、同社のサービスに海外経由とみられるサイバー攻撃が多発していることから、影響を防ぐための設定の確認および新たなアップデート「Ver 4.37 Build 9758 Beta」の提供を開始した。サイバー攻撃は8月15日の8時40分頃から、海外のクラウドサービスのIPアドレスを発信源にして行われている模様。パスワードに使用されることの多い単語や人名を組み合わせてログインを行う総当たり攻撃と見られている（ソフトイーサリリース、ITmedia）。

リリースによれば、同社のSoftEther VPNとPacketiX VPNの利用者に当てたもので、IPsec 機能 (L2TP/IPsec、EtherIP/IPsec、もしくはL2TPv3/IPsec) を有効にしており、なおかつ事前共有鍵をデフォルト値のままにしている場合は注意が必要だとしている。アップデートとともに、8文字以上の事前共有鍵に変更するよう呼び掛けている。