Apple は iOS で標準アプリと OS を別に更新できるようにすべきではないかと 9to5Mac が指摘している (9to5Mac の記事)。

現在の iOS 標準アプリは OS と同時に更新されるため、アプリ単体で更新を提供するよりも時間がかかることになる。軽微なバグなら数日待っても影響は少ないが、深刻なバグは一刻も早く修正したいところだ。実際に Apple は最近発見された Safari 15 の深刻な脆弱性の修正を進めており、既に iOS 15.3 RC に修正が含まれているが、一般提供は数日先になるとみられる。

ちなみに、FingerprintJS が発見したこの脆弱性は IndexedDB API の同一オリジンポリシー違反により、他のタブやウィンドウでアクセスしている Web サイトのデータベース名を他の Web サイトが読み取れるというもの。これによりユーザーがアクセスした Web サイトが特定できるほか、Google アカウントにログインしている場合は Google が生成するユーザーの識別子を知ることもできるという。

iOS とアプリが個別に更新されるようになれば新機能を容易に受け取れるようになるなどユーザー側のメリットは大きいが、逆に iOS を更新する動機は弱まることになる。そのため、Apple が更新の提供方法を変える可能性は低いとみられる。スラドの皆さんのご意見はいかがだろうか。

物流大手フェデックス（FedEx）が米国の連邦航空局（FAA）に、ミサイルを回避するための機器を搭載した貨物機の運航許可を申請しているそうだ。CNNによると、フェデックスが申請しているのは熱追尾型のミサイルに対して、赤外線レーザーを照射することで追尾を妨害するシステムであるという（CNN）。

2003年のDHL貨物便撃墜事件のように民間機が携帯式防空ミサイルの攻撃を受ける事例が増えていることから、民間機への設置を前提としたミサイル防衛システムの開発等が複数の企業によって行われているという。

個人情報保護委員会が個人情報を漏洩してしまったそうだ。個人情報保護委員会はマイナンバーなどの取り扱いについて監視・監督を担う政府機関。各報道によると漏洩したのは募集したパブリックコメントに意見を提出した12人分の氏名や一部所属先などであるという。政府の「e-Gov」上に先の個人情報が含まれたのPDFファイルを掲載してしまったとしている。掲載された期間は1月7日午後1時から午後1時40分までの期間だという。組織名とは裏腹な事態に対してSNS上などで突っ込みが入っていた模様（個人情報保護委員会リリース、個人情報保護委員会Twitter、ITmedia、ハフポスト）。

headless 曰く、

シンガポール通貨監督庁 (MAS) は 17 日、DPT (デジタル支払トークン、いわゆる暗号通貨) の一般向け宣伝をしないよう求めるガイドラインを公開した (メディアリリース、 ガイドライン)。

MAS では以前から DPT の価格が投機的に乱高下するため一般向けではないと警告していたが、シンガポール国内では一部の DPT サービスプロバイダーが広告や ATM 提供を通じてサービスを宣伝しているという。そのためガイドラインでは DPT サービスプロバイダーに対し、DPT 取引のリスクを矮小化しないこと、公共の場所やその他のメディアを通じて DPT サービスを宣伝しないことを要請している。

DPT サービスの宣伝を避けるべき公共の場所は公共交通機関の乗り物や駅、公開イベント会場、放送、サードパーティの Web サイト、ソーシャルメディアプラットフォームなどオンライン・オフラインを問わず、DPT 用の ATM も含まれる。DPT サービスプロバイダーは自社の Web サイトやモバイルアプリ、公式ソーシャルメディアアカウントでサービスを宣伝できるが、ソーシャルメディアインフルエンサーなどの第三者を宣伝に参加させるべきではないとのことだ。

埼玉県草加市の14歳の少年が6日、80代の女性から現金をだまし取ろうとした疑いで逮捕された。被害に遭いそうになった女性は特殊詐欺を見破るAI機能がついた装置を電話機に取り付けており、その機能により自動アラートを受けた役所の職員が、すぐに110番通報したという。それにより女性から封筒を受け取ったところで警察が登場。現行犯逮捕されたとしている（テレ朝NEWS、スポニチ）。

このAI機能付きの装置は、NTT東日本などが開発したもので固定電話に取り付けるものだという（特殊詐欺対策サービスの提供について）。端末が音声を録音、リアルタイムで特殊詐欺解析サーバーに転送。AIが言葉を解析して本人や連絡先にメールなどで注意喚起を行う仕組みであるという。NTT東日本によるとこの装置で逮捕まで至ったのは今回が初めてであるそうだ。

昨年12月に埼玉県内の郵便局で、配達員が施錠された郵便受けを勝手に開け、定形外郵便を入れていたというトラブルが起きていたという。NHKの情報提供窓口「ニュースポスト」に投稿されたもので、投稿主の女性は3回同じことが続いたとしている。この郵便受けはダイヤルを回し、数字を合わせることで開閉するタイプだったそうだ（NHK）。

NHKがこの件に関して日本郵便に問い合わせたところ、該当地域を担当する配達員が、荷物が郵便受けに入らない大きさだったことから、施錠されていた郵便受けを勝手に開けて入れていたと話しているという。日本郵便は不適切な行為であると認め、各郵便局に対して再発防止を求めたとしている。

headless 曰く、

英国政府の資金による No Place to Hide がソーシャルメディアメッセージのエンドツーエンド暗号化に反対するキャンペーンを開始した (キャンペーンサイト、 BetaNews の記事、 The Guardian の記事、 動画)。

キャンペーンではエンドツーエンド暗号化に反対するわけではなく、ユーザーのプライバシー保護には賛成だとする一方で、エンドツーエンド暗号化が児童性的捕食者に隠れ場所を与えることを防ぐテクノロジーを開発する必要があると主張する。

そのため、児童性的捕食者が性的な目的で子供に近寄ることや、子供の性的画像の共有や閲覧、捜査当局による検出の回避、といったことを容易にしないテクノロジーが利用可能であることを示さない限り、エンドツーエンド暗号化を実装しないようソーシャルメディア企業に要請している。

キングジムの製品で脆弱性問題があったという。一つはラベルプリンタ「テプラ」（PRO SR5900P・PRO SR-R7900P）。もう一つは同社の提供しているパスワードマネージャー「ミルパス」（PW10・PW20）に脆弱性が存在しているという。テプラでは認証情報の保護が不十分だったとされ、ネットワーク経由でアクセスできる場合、インフラストラクチャモードでアクセスポイントに接続するための認証情報が漏洩するおそれがあるとしている。すでに対策済みのアップデータが公開されている（キングジムリリース、Security NEXT、マイナビニュース）。

ミルパスはIDやパスワードなど最大200件を端末内部に保存して管理するツール。PW10とPW20のファームウェアに機微情報を暗号化していない脆弱性が存在することが判明したとしている。第三者により端末内の保存されたパスワードを窃取されるおそれがあるとしている。これらの製品はサポートを終了しており、キングジムは製品の使用を中止するよう利用者に呼びかけている。また廃棄時はデータをすべて消去することを求めている（パスワードマネージャー「ミルパス」PW10 / PW20 における機微な情報を暗号化していない脆弱性、Security NEXT）。

AMDが提供している「Platform Secure Boot(PSB)」は、同社製CPUの一部を他のシステムで使用できないようにするセキュリティ機能。このPSBがLenovo製PCの一部でデフォルトで有効化されているという。具体的にはLenovoの一般ユーザー向け製品とAMD Ryzen Proの組み合わせで有効化されているそうだ。問題はこのPSBが一度でも設定されてしまうと、そのCPUは設定されたメーカー以外のPCでは動作しなくなる点。このため特定メーカーでしか動作しないベンダーロックされたCPUが中古市場に出回るようになってしまったらしい。ロックさせた製品は外観では見分けが付かないことも問題になっている模様（Serve The Home、Cloudflare、reddit、GIGAZINE）。

あるAnonymous Coward 曰く、

組込屋的にオオッと思ったニュースを一つ
AMDのCPUにはセキュリティ関係の目的で一度書き込んだら消去不能なOTPメモリが搭載されているそうです
自分が明確に意図したつもりは無いのに、勝手にデバイスに消去不能なID設定みたいなことがされるとはちょっと薄気味悪い気もします

FPGAなどのデバイスにはかなり前から同様にセキュリティ用途の再書き込み・消去不能・ユーザー回路／アプリケーションからは読み出し不可能なメモリ／ヒューズが搭載されているのですが、PC用プロセッサでは初耳でした（IntelのCPUはどうなんでしょ？）
通常この種のメモリには普通のCMOSプロセスで製造可能で、書き換え可能とした場合の読み書き保証回数は1000回程度のものが使われています

maia 曰く、

1月13日〜14日にウクライナの政府や枢要な機関に大規模なサイバー攻撃が行われた（ZDNet、ITMedia ）。マイクロソフトの分析によれば、MBR（マスターブートレコード）を上書きして正常に動作できなくさせ、身代金を要求するというもの。但し口座は架空。実際にデータが破壊された場合は復元不能らしい。まあ言うまでもないかもしれないが、ウクライナ政府は、この攻撃の背後にロシア政府がいると非難している（Gigazine ）。ロシアは現在ウクライナ国境近くに大規模な部隊展開を行なっており、ハイブリッド戦争もまあ想定の範囲。悪いことに、今回の攻撃は第1波に過ぎないかもしれない（WIRED）

緊迫しているウクライナ情勢だが、英国と米国は対ロシア向けとしてウクライナに兵器を提供する方針を発表した。ロイターの記事によるとウクライナを訪問している超党派の米上院議員らこうした発言があったという。議員らは「われわれがウクライナ人の命や生活を守るために必要な兵器を提供する」と明言している。最初の兵器提供は17日に供給済みだという。具体的にはジャベリンと呼ばれる対戦車ミサイルやスティンガーミサイル、そして小火器が含まれる可能性がある。英関係者による短期間の訓練も行われているとしている（ロイター）。

情報セキュリティ企業ラックで、元社員の私物HDDが第三者に売却され、社内文書や個人情報が流出しかけるというトラブルが生じていたと報じられている。HDDを購入した人物が善意で同社に通報したため情報の流出はなかったとのこと。このHDDは元社員がビジネス文書等を個人所有のハードディスクに保管、その後HDDをフリーマーケットで売却していたという。中には業務上のビジネス文書約2000件と最大約1000件の個人情報が含まれていたとしている。同社は「情報流出事案」として14日午後、情報流出の経緯と概要についての発表を行っている（ラックの発表、朝日新聞その1、朝日新聞その2）。

あるAnonymous Coward 曰く、

ラック子会社のネットエージェント（現在はラックに吸収合併）がブロードリンクの事件を受けて「意外と難しいデータ消去」と題したブログを公開していたのは何とも皮肉な話である。

米バイデン政権は13日、昨年末にApache Log4j 2で見つかった深刻な脆弱性問題を受け、大手IT企業に加えてGitHubなどオープンソースソフトウェア（OSS）組織のトップを招いてセキュリティ会議を開催したという（ITmedia、ZDNet、Engadget）。

企業から参加したのはAkamai、Amazon、Apache Software Foundation、Apple、Cloudflare、Meta（旧Facebook）、GitHub、Google、IBM、Linux Foundation、Open Source Security Foundation、Microsoft、Oracle、RedHat、VMWareの各社。米政府側からも、科学技術政策局や国防総省、商務省、エネルギー省、国土安全保障省、CISA、国立標準技術研究所、国立科学財団などが参加した。

会議では国の安全保障システムにも多くのOSSコードが採用されているが、そうした重要なコードのセキュリティを維持する共通の仕組みは存在していない。IT業界と政府が協力して、道路や橋といった社会インフラのように重要なOSSプロジェクトを支援すべきであり、セキュリティ会議ではそうした作業を行う方法に関する意見共有が図られたとしている。

headless 曰く、

多機能を誇る Vivaldi ブラウザーに暗号通貨管理機能を搭載しない理由について、Vivaldi CEO の Jon von Tetzchner 氏が説明している (Vivaldi のブログ記事、 ブログ記事日本語版、 The Register の記事)。

増加する暗号通貨の種類は 8,000 を超え、全世界の法定通貨の種類を大幅に上回る。よくある暗号通貨は創始者が大きな富を得ることを確実にするためのレシピや、合法性を与えるための流通方法、他と差別化するためのストーリーなどを持ち、あまりに変動が大きいために人々は実際に使用する通貨ではなく投資とみなしている。

そのため暗号通貨をよく見ると、通貨のふりをしたマルチ商法に過ぎないことがわかるという。暗号通貨に関するもう一つの懸念はエネルギー消費だが、暗号通貨の幻想は他によい使い道のある大量のエネルギーやハードウェアを使うよう誘惑するよう作られており、平均的な人がそれにつぎ込んだ資金を失うこともしばしばだ。

選択とカスタマイズ性を重視する Vivaldi であり、暗号通貨管理機能の搭載が期待されることも理解できるが、良心に従うなら搭載することはできないとのことだ。

ロシア連邦保安庁 (FSB) は 14 日、モスクワやサンクトペテルブルクなどでサイバー犯罪組織 REvil に対する大規模な捜査を内務省と共同で行ったことを発表した (プレスリリース、 The Verge の記事、 Reuters の記事、 Ars Technica の記事)。

捜査は米当局の要請によるもので、FSB は REvil の全容を把握してメンバー 14 人の住居 25 か所で各国通貨の資金 4 億 2,600 万ルーブル・60 万ドル・50 万ユーロを押収したほか、コンピューターや暗号通貨ワレット、高級車 20 台などを押収したという。逮捕された犯罪組織のメンバーは起訴され、サイバー犯罪に使用するインフラストラクチャーは無力化されたとのことだ。

欧州宇宙機関 (ESA) が超小型人工衛星 OPS-SAT に対するサイバー攻撃のアイディアを募集している (ESA の記事、 The Register の記事、 特設サイト)。

OPS-SAT はフライトコンピューターの性能向上によるミッションコントロール機能などの改善をデモするため 2019 年に打ち上げられた 3U の CubeSat で、現行の ESA の他の宇宙機よりも 10 倍以上高性能なフライトコンピューターを搭載している。強固なセキュリティを誇る OPS-SAT は倫理的ハッカーが安全かつ現実的な環境でスキルをデモするのに最適な空飛ぶプラットフォームだという。

ESA が募集しているのはフランス・パリで 4 月に開催される CYSAT で実施するデモのアイディアで、日本を含む全世界から応募可能だ。締め切りは 2 月 18 日。アイディアは攻撃のシナリオが創造的で現実的かどうか、技術的に 2 か月間で実現可能かどうか、宇宙空間におけるサイバーセキュリティの重要性を誰にでも理解できるよう伝える可能性があるかどうかといった点で審査される。

2 月 25 日にはラウンド 1 として 6 つのアイディアが選定され、選定された各チームは ESA がトラブルシュートとテストのためミッションコントロールに保持している OPS-SAT のコピー「flatsat」を用いてデモの開発とテストを行う。3 月 31 日にはラウンド 2 として CYSAT でデモを行う 3 チームが発表される。3 チームにはパリまでの旅費が全額支給され、4 月 6 日 ～ 7 日の CYSAT で各 6 分間のデモを行うことになる。