Google は 17 日、Android で使用していないアプリの権限 (アクセス許可) を自動でリセットする機能の対象バージョン拡大を発表した (Android Developers Blog の記事、 The Verge の記事、 Ars Technica の記事、 9to5Google の記事)。

アプリの権限自動リセット機能は Android 11 (API 30) で導入されたもので、制限付きデータへのアクセスや制限付きアクションの実行といった実行時の権限 (危険な権限) が対象だ。通常はユーザーの選択が記憶されるが、数か月間使われなかったアプリは権限がリセットされるため、再び権限のリクエストが必要になる。

対象として追加されるのは Google Play 開発者サービスを使用する Android 6.0 (API 23) 以降のデバイスで、12 月から順次有効化される。自動リセット機能は API 30 以降をターゲットにしたアプリのデフォルトで有効になり、API 23 ～ 29 をターゲットにしたアプリではユーザーが手動で有効化できる。

主にバックグラウンドで動作し、ユーザーの操作を必要としないアプリの開発者は必要に応じて自動リセットの無効化をユーザーにリクエストできるが、リクエストしない場合はコードを変更する必要はない。なお、自動リセットの無効化をリクエストする API は API 30 以降での使用を想定したものであり、デフォルトで自動リセットが無効になる API 23 ～ 29 では不要とのこと。

現在、クロスプラットフォームの自動リセット API は Jetpack Core 1.7.0 ベータライブラリでベータ版として提供されており、10 月には Jetpack Core 1.7.0 の安定版で利用可能になる。12 月にはGoogle Play 開発者サービスを使用する Android 6.0 ～ Android 10 デバイスへ段階的にロールアウトし、2022 年第 1 四半期には全デバイスに導入される見込みだという。自動リセットはデバイスに導入されてから数週間後に開始されるとのことだ。

米証券取引委員会 (SEC) は 14 日、モバイルアプリ関連の調査会社 App Annie および共同設立者で前 CEO 兼会長 Bertrand Schmitt 氏との和解を発表した(プレスリリース、 The Verge の記事、 The Register の記事)。

App Annie はモバイルアプリのパフォーマンスデータを金融取引会社に販売する企業としては最大手の一つで、企業の公式発表に含まれない「alternative data」と呼ばれるデータを販売している。しかし、企業から第三者にデータを開示しない約束でデータ提供を受け、集約・匿名化して統計データに使用すると説明していたにもかかわらず、2014 年 ～ 2018 年半ばにかけて集約も匿名化もしないデータを用いて統計モデルを改変し、より価値あるデータとして販売していたという。

さらに、App Annie は企業が業績発表前に提供したデータを用いて「予測値」を生成し、その予測値を利用して取引することを推奨していたとのこと。そのため、SEC では App Annie と Schmitt 氏を証券詐欺で訴追していた。今回の和解により、App Annie が 1,000 万ドル、Schmitt 氏が 30 万ドルの罰金を支払うほか、Schmitt 氏は今後 3 年間にわたり公開企業で役員を務めることが禁じられる。

Microsoft は 15 日、Microsoft アカウントからパスワードを完全に削除し、パスワードレスアカウントとして設定可能になったことを発表した (Microsoft Security Blog の記事、 ブログ記事抄訳、 Azure Active Directory Identity Blog の記事、 Microsoft サポートの記事)。

パスワードに代わるサインイン方法としてはモバイルデバイス上の Microsoft Authenticator アプリを使用するほか、Windows Hello やセキュリティキー、電話や電子メールで受け取った確認コードが挙げられている。ただし、現在のところ実際にパスワードレスアカウントを利用するには Microsoft Authenticator が必要だ。

パスワードレスアカウントを設定するには Microsoft アカウントにサインインして「セキュリティ→高度なセキュリティオプション」に移動し、「追加のセキュリティ→パスワードレスアカウント」で「有効にする」をクリックする。あとは指示に従って Microsoft Authenticator でサインインできるように設定すればいい。

なお、新規 Microsoft アカウント作成時にパスワードレスを選択することも可能と説明されているが、サインアップ画面でパスワードを入力しないオプションは見当たらなかった。

headless 曰く、

Google は 14 日、Chrome の User Agent (UA) 文字列情報削減に向け、より具体的なスケジュールとオリジントライアルの詳細を発表した (Chromium Blog の記事、 Chrome Developers のブログ記事)。

Google が昨年 1 月に発表した UA 文字列情報削減計画は COVID-19 の影響で 2021 年以降に先送りされていた。Google は 5 月に再開を発表し、7 段階に分けて計画を進める計画を示したが、Chrome 92 で実施する第 1 段階を除き、具体的な実施時期は示されていなかった。

今回発表された計画では、第 2 段階以降を実施する予定の Chrome バージョンが示されている。まず、削減済み UA 文字列によるオリジントライアルを実施する第 2 段階は Chrome 95 ～ Chrome 100 で少なくとも 6 か月間続けられる。Chrome 100 では移行に時間が必要なサイトが従来の UA 文字列を利用可能にする第 3 段階の逆オリジントライアルも始まる。

逆オリジントライアルにオプトインしていないサイトでは、UA 文字列から Chrome バージョン番号を削減する第 4 段階が Chrome 101 で、デスクトップ版の UA 文字列と関連 JavaScript API を削減する第 5 段階が Chrome 107 で、Android 版でも削減が始まる第 6 段階がChrome 110 で開始予定だ。逆オリジントライアルが終了し、すべてのページで UA 文字列と関連 JavaScript API が削減される第 7 段階は Chrome 113 となる。

安定版のリリーススケジュールは Chrome 95 が 2021 年 10 月 19 日、Chrome 100 が 2022 年 3 月 29 日、Chrome 101 が 2022 年 4 月 26 日、Chrome 107 が 2022 年 10 月 18 日、Chrome 110 が 2023 年 2 月 7 日となっており、移行が完了する Chrome 113 は 2023 年 5 月 2 日に設定されている。

headless 曰く、

Xiaomi が米輸出管理規則 (EAR) 対象国・地域でスマートフォンのアクティベーションロックを開始したとの報道に対し、特定の地域を対象にしたものではないと否定したそうだ (Global Times の記事、 XDA-Developers の記事)。

Xiaomi のスマートフォンは EAR の対象となる米国のテクノロジーを含むため、EAR 対象国・地域 (クリミア・キューバ・イラン・北朝鮮・スーダン・シリア) に輸出することはできない。Xiaomi の利用規約 14.2 にもこれら 6 か国・地域への輸出は事前に許可を得る必要があると記載されている。

キューバ在住の Reddit ユーザーが投稿したアクティベーションロック画面の画像によると、「Xiaomi のポリシーはアクティベートしようとした地域での販売を認めていない」「購入店に直接連絡するように」といった説明が表示されている。この画面を見る限りは特定の地域を対象としてアクティベーションロックを実施しているようにしか見えない。

しかし、Xiaomi が Global Times に説明したところによれば、ユーザーのセキュリティや消費者の権利を損なう可能性のある密輸を調査するため、一時的にロックしたのだという。調査は十分な成果を上げており、影響を受けた端末はロック解除可能な状態になっているとのことだ。なお、StatCounter のモバイルベンダー別シェア 8 月分によると、Xiaomi のシェアはキューバで 18.27 %、イランで 15.78 % となっている。

暗号メールサービス ProtonMail では匿名性の高さをセールスポイントの一つにしており、IP アドレスのログを保存しないと説明していたが、これらの記述が公式サイトトップページから最近削除された (ProtonMail のブログ記事、 6日時点のInternet Archive スナップショット、 The Register の記事、 HackRead の記事)。

ProtonMailは先日、フランスで逮捕されたYouth for Climateの環境活動家のIPアドレスなどの情報を警察に渡していたとして批判を浴びた。

スイスにサーバーを置き、スイスの厳しい個人情報保護法でプライバシーが守られるとする ProtonMail だが、スイス当局が犯罪捜査のために情報提出を命じた場合は異議を申し立てる余地がなく、従うしかないのだという。ProtonMail は外国政府に情報を渡すことはないと説明しているが、この件ではフランス警察がユーロポールを通じてスイス当局に依頼したものだそうだ。

ProtonMail はユーザーの IP アドレスをデフォルトで記録しないが、当局から命じられれば記録して提出する必要がある。そのため ProtonMail は IP アドレスのログを記録しないことを含め、サービス自体の匿名性が高いという記述を削除する一方で、匿名性を重視する場合は ProtonMail と Tor を組み合わせて使用するべきだと述べている。

なお、現在のスイスの法律では電子メールと VPN は異なる扱いになるため、ProtonVPN がユーザーデータの記録を強制されることはないという。また、ProtonMail はその厳しいプライバシーにより、捜査対象が環境活動家であることも知らなかったとのことだ。

headless 曰く、

Microsoft Outlook が IDN ホモグラフ攻撃によるフィッシングドメインを正規ドメインと区別しないという 2 件の報告が相次いで公開されている (報告 1、 報告 2、 Ars Technica の記事、 Windows Central の記事)。

IDN ホモグラフ攻撃は国際化ドメイン名 (IDN) で利用可能な ASCII 外の文字でラテン文字と似た字形の文字をドメイン名に用い、(なりすましの対象となる) 正規ドメインに偽装するものだ。フォントによっては全く同じ字形で表示されるため、人の目で識別することは困難なこともある。ただし、ソフトウェアが騙されることはないと考えられていた。

しかし 2 件の報告によれば、Outlook ではホモグラフ攻撃によるフィッシングドメインからの電子メールを受信した場合かつ、その正規ドメインで同じユーザー名の連絡先がアドレス帳に登録されている場合、フィッシングメールを既知の正規ドメインから送られたものとして表示するのだという。つまり、アドレス帳に登録されている連絡先の写真などがフィッシングメールに表示されることになる。

Microsoftはいずれの報告に対しても「なりすましが発生する可能性があるにしてもデジタル署名なしに送信者を信頼することはできない」「修正を行えば別の問題を引き起こす可能性が高い」などとし、修正は行わないと回答したという。ただし、8 月 24 日の時点で最新版の Outlook バージョン 16.0.14228.20216 では問題が発生しなくなっていたようだが、Microsoft は修正の有無を回答しなかったとのことだ。

headless 曰く、

昨年 6 月 14 日に上海発台北行きチャイナエアライン 202 便のエアバス A330 型機で発生したインシデントについて、台湾国家運輸安全調査委員会 (TTSB) が最終報告書を公開している (ニュースリリース、 報告書: PDF、 The Register の記事、 The Aviation Herald の記事)。

このインシデントでは A330 が台北松山空港の滑走路に接地した直後、3 台のフライトコントロールプライマリコンピューター (FCPC) がほぼ同時に停止している。これによりグラウンドスポイラーや逆推力装置、オートブレーキがすべて使用できなくなった。問題を認識した機長がマニュアルブレーキを適用。3 秒後には副機長にもマニュアルブレーキを要請して 2 人でブレーキペダルをフルに踏み込み、機体は滑走路終端の 30 フィート手前で停止したとのこと。

FCPC が 3 台ほぼ同時に停止した理由として、TTSB ではコマンド / モニター系統の非同期性が非常に大きくなったことを挙げている。接地時には機体の水平制御が飛行用から地上用に切り替わって非同期性が大きくなるが、これにパイロットのペダル操作が加わって 2 系統の差が閾値を超えてしまったと考えられるという。その結果、FCPC1 が最初に停止し、制御の移動した FCPC2 と FCPC3 も次々に停止したとみられる。エアバスではこの問題に対処するソフトウェア改善を行っている。

headless 曰く、

ドイツ政府は現在欧州委員会が検討しているスマートフォン・タブレットメーカーに対するサポート期間義務付けについて、より長い期間を設定すべく交渉しているそうだ (heise online の記事、 Android Police の記事、 The Next Web の記事、 9to5Google の記事)。

欧州委員会の計画はスマートフォン・タブレットメーカーに 5 年間のセキュリティアップデート提供を義務付け、修理用部品はスマートフォンで 5 年間、タブレットで 6 年間の提供を義務付けるというものだという。一方、ドイツ政府は 7 年間のセキュリティアップデートおよび修理用部品の提供義務付けを求めている。また、欧州委員会案では 5 営業日以内の修理用部品配送を義務付けるが、ドイツ政府ではさらに短くしたいとのこと。

これに対し Apple や Samsung、Huawei などが加盟するテクノロジー企業の業界団体 DigitalEurope では、2 年間の機能アップデートと 3 年間のセキュリティアップデートで十分ではないかとの見方を示しているそうだ。修理用部品についても、ディスプレイとバッテリーのみの義務付けにすべきだという。また、欧州委員会案ではユーザーが交換できない内蔵バッテリーについて、1,000 回の充電サイクル後に新品の 80 % の容量が維持されるよう義務付ける計画だが、DigitalEurope では移行期間は 800 回とするよう提案しているとのことだ。

みずほリサーチ&テクノロジーズ（MHRT）が2016年に起きたシステム障害が原因で、受託先から預かったシステム開発に関連するデータを喪失していたことが分かった。MHRTはみずほフィナンシャルグループ（FG）の子会社でシステムの運用管理を業務にしている（日経新聞）。

日経新聞の報道によれば、受託先の日本カストディ銀行から預かっていた「要件定義書」と呼ばれる文書の電子データを、5年前にMHRTで発生した障害が原因となって喪失していたという。このときも先日のみずほ銀行のシステム障害のようにバックアップも機能しなかったとしている。

この問題は、日本カストディ銀行からの指摘で発覚し、MHRT側で調査していたという。その結果、MHRTは消失を認め、データの完全復旧はできないと判断した模様。日本カストディ銀行側は金融庁に報告したとのこと。

KADOKAWAのは9月3日、小説投稿サイト「カクヨム」の偽者が登場しているそうだ。ユーザーのアカウントやパスワードを盗み出すことが目的とみられている。この偽サイト上では、一部の作品がコピーされて掲載されているほか、外観上はかなりそっくりに作られている模様。ただし、作者名などを削除された形で表示されるような変更が行われているとされる（カクヨムからのお知らせ（3日）、同6日リリース、ITmedia）。

KADOKAWA側は関連して3日と6日に分けてリリースを公開している。3日のリリースによれば、コピーサイトが使用していたとみられるIPアドレスからのアクセスを遮断したほか、ホスティング企業に対し、削除要請の手続きを行っているとしている。6日のリリースでは、マルウェアやコンピューターウィルスに感染可能性があるといったコピーサイトにアクセスした場合の問題点などをまとめている。

headless 曰く、

Wi-Fi ホットスポットや Web サーバー、ペイロード実行機能などを実現するチップを組み込んだ USB ケーブル「O.MG Cable」に USB Type-C 版が登場した (Motherboard の記事、 Mac Rumors の記事)。

このケーブルは USB Type-C コネクターのシェル内にチップが組み込まれているが大きさは通常のケーブルと変わらず、通常のケーブルとしても動作する。USB Type-C - Type-C 版 (C-to-C) と USB Type-C - Lightning 版の 2 種類があり、C-to-C では 一方のコネクター (シェルに USB ロゴ入り) にのみチップが組み込まれている。チップの組み込まれた側をホストに接続すると稼働を開始し、Ducky Script によるキーストローク送信などを実行できる。

内蔵機能の動作は Wi-Fi 接続によりリモートからコントロールできるほか、ジオフェンシングにより特定の場所以外で動作を停止させることも可能だ。また、ケーブル外付けタイプのキーボードとホストの接続に使用することで最大 65 万キーストロークを記録可能なキーロガーエディションも用意されている。価格は通常版が 139.99 ドル、キーロガーエディションが 179.99 ドル、USB Type-A / Type-C に対応するプログラマーが 24.99 ドルとなっている。

USB Type-A 版は既に発売されていたが、USB Type-C コネクターはチップを組み込むのに十分なスペースがないから安全だと考える人もいた。開発者のセキュリティリサーチャー MG 氏はそれが間違いであることを証明するために USB Type-C 版を開発したという。USB Type-C 版は Wi-Fi 機能が強化されており、2 km 以上離れた場所からペイロードのトリガーが可能とのことだ。

Appleは 3 日、子供を性的虐待から守る取り組みの強化計画を延期すると発表した(Apple - Child Safety、 The Guardian の記事、 The Verge の記事、 9to5Mac の記事)。

Apple が 8 月初めに発表した計画では、子供が「メッセージ」アプリで性的に露骨な写真を送受信しようとすると警告したり、iCloud 写真へ写真を保存する際に既知の CSAM 画像のハッシュと照合したりといった児童性的虐待素材 (CSAM) の拡散防止を取り組みの中心としていた。

写真のスキャンはデバイス上で行われるが、誤検知や悪用を懸念する声が数多く出ている。そのため Apple では今後数か月かけ、子供を守るための非常に重要な機能をリリースする前にさらなる情報収集と改善を行うとのことだ。

headless 曰く、

米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。

単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。

現在、CISA がバッドプラクティスとしているのは以下 3 件。

1. サポートされないソフトウェアの使用
2. 既知/固定/デフォルトパスワードの使用
3. 単一要素認証の使用

重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス可能な場合は危険度が増すと説明されている。

ゆうちょ銀行は8月27日、クラウドサービスを利用したメモアプリ上の暗証番号等を盗み取る手口の犯罪が多発していることから、注意喚起を促すリリースを出した（ゆうちょ銀行）。

クラウドサービスに、パスワード等の個人情報を保存しないように求めるもので、スマートフォン上のメモ等にパスワードを記録したりしている場合、クラウドサービス上に自動的にバックアップする設定になっていないか確認するよう求めている。なおこうしたクラウド上のデータを読み取られる形で不正利用の被害に遭った場合、ユーザー側の過失と見なされ補償の対象とならない可能性がある模様。