米フォルクスワーゲン (VW) は 8 日、2020 年式 ～ 2023 式の多くの車両で Car-Net Safe & Secure サービスを 5 年間無料化すると発表した (VW の Facebook 投稿、 Ars Technica の記事)。

VW の Car-Net サービスは 2 月、子供を乗せたまま盗まれた VW Atlas の追跡を保安官事務所から要請されたが、試用期間が終了しているとして料金が支払われるまでサービスの有効化を拒否。捜査官がクレジットカード番号を入手して料金を支払い、GPS の位置情報を入手した時には既に子供が発見されていた。VW では追跡拒否が誤りであったことを認め、顧客の安全を重視していると述べていたが、無料化はそれを具体化するものとなる。

Safe & Secure 無料サービスの対象となるのは Car-Net ハードウェア搭載車に限られ、盗難車両追跡機能はガソリン車に限られるという。たとえば、2020 年式の Passat は多くが Car-Net ハードウェアを搭載しておらず、電気自動車の ID.4 は盗難車両追跡に対応しない。無料サービスは米国内限定で、6 月 1 日から有効になる。6 月 1 日時点で有料の Safe & Secure サブスクリプションが残っている場合、終了後に無料サービスが有効化されるとのことだ。

Google は 8 日、Windows 版 Chrome が搭載する望ましくないソフトウェア (UwS) の削除機能「Chrome Cleanup Tool」の廃止を明らかにした (Google Online Security Blog の記事、 The Verge の記事、 9to5Google の記事、 Android Police の記事)。

スラドでは Chrome Cleanup Tool を 2017 年に新機能として紹介しているが、Google によると予期せず変更された設定の復元や UwS を削除できるようにするため、2015 年に導入されたものだという。しかし、ここ数年は UwS に関する Chrome ユーザーからの苦情の減少や、UwS を事前に防ぐ Google セーフブラウジングのような積極的なセキュリティへの移行、拡張機能へ移行する UwS を防ぐための Chrome ウェブストアでのレビュー強化、マルウェアのトレンド変化などもあり、Chrome Cleanup Tool の廃止を決めたという。

Chrome 111 では設定の「リセットとクリーンアップ > パソコンのクリーンアップ (Chrome Cleanup Tool)」が削除されており、「プライバシーとセキュリティ > 安全確認」実行時にも「パソコンのクリーンアップ」が呼び出されなくなっている。定期的なスキャンを実行するコンポーネントも削除されるとのこと。Chrome Cleanup Tool がなくてもユーザーはセーフブラウジングで保護され、セーフブラウジングのオプション (設定 > プライバシーとセキュリティ > セキュリティ) で「保護強化機能」を有効にすることも可能とのことだ。

セキュリティベンダーであるLayerXが公開した2023年のWebブラウザに関するセキュリティレポートによると、企業のWebブラウザの半数以上は設定ミスをしているという。レポートではプロファイルの不適切な使用やパッチ適用ルーチンの不備などが主な設定ミスとして挙げられており、設定を誤ったWebブラウザからデータが盗まれる可能性があるとしている（2023 Browser Security Annual Report、TECH+）。

またサードパーティ製のSaaSアプリの利用やそのアプリでのIDの利用はデータ損失の第一の原因になると警告している。このほか、従来のセキュリティツールは攻撃者が侵入できる経路の半分以上を見逃しており、標的型攻撃が企業侵入の主要因になっていると分析。結果として、脆弱なパスワード、設定ミス、SaaSの脆弱性によってデジタルIDの盗難リスクが高まっており、Webブラウザのリスクのほとんどが、企業のアキレス腱となっているとしている。

中国は現在、Android OSのスマートフォンユーザー数が最も多い国となっている。複数の大学のコンピューター科学者が、静的および動的なコード解析技術を組み合わせて実施したプリインストールされたシステムアプリによって送信されたデータを調査したところ、XiaomiやOnePlus、Oppo Realmeなど中国で人気の高いスマホのメーカーすべてで、ユーザーデータが大量に収集されていることが判明したという（Android OS Privacy Under the Loupe、GIZMODO）。

これらのパッケージが多くが、ユーザーのデバイス (永続的な識別子)、位置情報 (GPS座標、ネットワーク関連の識別子)、ユーザープロファイル (電話番号、アプリの使用状況)、および通話履歴などのプライバシーに関わる情報を、同意や通知なしに多数の第三者ドメインに送信していたとされる。

headless 曰く、

オーストラリアでは政府支給スマートフォンでのTikTok使用禁止措置が省庁ごとに進められているが、専門家からは米国製アプリを含む他のソーシャルメディアアプリにも対象を拡大すべきとの意見が出ているそうだ (The Guardian の記事)。

The Canberra Times の記事によれば 140 近くある連邦政府機関のほぼ半数が政府所有デバイスでの TikTok 使用を禁じているという。アプリを禁止すべきという意見は TikTok に集中しているが、内務省ではサイバーセキュリティ大臣を兼任するクレア・オニール内務大臣の指示を受け、すべてのソーシャルメディアプラットフォームについてセキュリティリスクと政府における正しい利用法を評価しているそうだ。

政府支給端末でのソーシャルメディアアプリ利用について、専門家は TikTok が「悪」で米企業が「善」というような単純な分け方はできないと指摘する。Apple や Google ではアプリの取得できる個人情報を徐々に制限し、ユーザーによるコントロールを強めているが、位置情報を無効にしてもアップロードした写真から GPS データを取得できる。そのため、以前よりは改善されたとはいえ、問題が完全に解決したわけではないとのこと。また、別の専門家は私物デバイスから外部に送られる情報にも注意すべきだと述べている。

問題を根本的に解決するには1本のアプリを禁止するかどうかではなく、オーストラリア人のプライバシーとセキュリティを強化する必要がある。それにはより強力な個人情報保護法やプライバシー教育、エンドツーエンド暗号化の推奨、そして暗号化が小児性愛者だけのものだなどという馬鹿げた考えを終わらせる必要があるとのことだ。

昨年 8 月に発生した LastPass の開発環境への不正アクセスは 11 月の不正アクセスにつながり、攻撃者は顧客のパスワード保管庫のバックアップを保存したクラウドストレージにアクセスしているが、この 2 回目の攻撃は DevOps エンジニアがサードパーティソフトウェアを更新していれば防げた可能性があるようだ (PCMag の記事、 Android Police の記事)。

LastPass は 2 月 27 日に不正アクセスに関する更新情報を公開し、攻撃者が 2 回目の不正アクセスに必要な復号鍵を DevOps エンジニアの自宅 PC への不正アクセスを通じて入手したことを明らかにした。それによると、攻撃者は DevOps エンジニアの自宅 PC でサードパーティのメディアソフトウェアパッケージの脆弱性を利用してキーロガーをインストールし、復号鍵を保存した保管庫のマスターパスワードを入手したのだという。

LastPass はソフトウェアの名称を明らかにしなかったが、Ars Technica が Plex Media Server だという情報を入手。Plex も昨年 8 月にセキュリティ上の問題が確認されてユーザー全員にパスワード変更を要請しているが、それとの関係は不明だった。その後、問題の脆弱性は 2020 年 5 月に修正済みの CVE-2020-5741 であることが判明する。Plex は PCMag に対し、脆弱性はおよそ 75 バージョンも前に修正されていたが、LastPass の従業員がソフトウェアを更新することはなかったなどと語ったとのことだ。

Microsoft は 2 日、Windows 11 Insider Preview ビルド 25309 を Dev チャネルでリリースした (Windows Insider Blog の記事、 Neowin の記事)。

Windows Insider Blog の記事ではアナウンスされていないが、本ビルドでは VBScript がオプション機能としてアンインストール可能になっている。VBScript 機能をアンインストールするには、「設定」の「アプリ>オプション機能」で「VBSCRIPT」を選択して「アンインストール」をクリックすればいい。これにより、VBS ファイルの関連付けは削除され、HTA ファイルの VBScript も機能しなくなる。アンインストール後にオプション機能として再度追加することは可能だ。

VBScript は Internet Explorer (IE) でスクリプティングエンジンの一つとして導入されたが、Microsoft Edge を含めて他のブラウザーではサポートされず、2019 年には IE11 でも無効化された。現在もローカルの Windows Scripting Host スクリプトや HTML アプリケーション (HTA) などで実行可能だが、脆弱性を含む可能性があり、Microsoft では代替がない場合を除き使用を推奨していない。

このほか本ビルドでは、ビルド 25281 で発見された新しい音量ミキサーのロールアウトが始まっている。ただし、現在は一部のデバイスで有効にしてフィードバックを受け付けている段階であり、Dev チャネルの全デバイスで利用可能になるまでには少し時間がかかるようだ。

米バイデン-ハリス政権は 2 日、すべての米国人が安全なデジタルエコシステムのすべての利点を確実に享受できるようにする国家サイバーセキュリティ戦略を発表した (ファクトシート、 The Verge の記事、 Ars Technica の記事、 戦略全文: PDF)。

現在のサイバーセキュリティ防御では個人や中小企業、地方自治体などの負担が大きい。どのように優れたセキュリティソフトウェアでもすべての脆弱性を防ぐことはできないことを認識したうえで、ソフトウェア開発時に適切な注意を怠った者に責任を負わせる必要があるという。ソフトウェアを開発する企業には革新を行う自由が必要なのと同時に、消費者や企業、重要なインフラ提供者への注意義務を果たせなければその責任を負う必要もある。

その責任はエンドユーザーや、商用製品に組み込まれたオープンソースコンポーネントの開発者ではなく、被害を減らすための対策を実施する能力の最も高い利害関係者に移動する必要があるとのこと。これにより、イノベーションとスタートアップ企業や中小企業が市場のリーダーと競うことのできる能力を維持しつつ、市場がより安全なソフトウェアを作り出すようになるとのことだ。

漫画スラムダンクの映画「THE FIRST SLAM DUNK」用に用意されていたLINEスタンプが、準備段階で一部の暴露サイトがURLを公開してしまいツイッターなどで拡散された。その結果、準備段階のまま多くの人の目に触れたとして話題となっている。結局、同映画の公式Twitterが流出したLINEスタンプを本物だと追認するコメントを出している。なおスタンプは全8種類で、配布期間は5月23日までとのこと（THE FIRST SLAM DUNK　LINEスタンプ公式リンク）。流出の経緯などについてはひさろぐ分館の記事が詳しい（スポニチ、ITmedia、ひさろぐ分館）。

このLINEスタンプは、通常検索では検索されないよう設定をしていたとされる。そのため公式の発表段階ではLINEスタンプショップの新着には表示されないなどの問題も起きていたようだ。こうした混乱により、リークサイトや拡散したユーザーのせいで公式が予定していた企画が潰れたかもしれないなどと批判する声も出ている模様。

「Google Chrome」用の拡張機能「Get cookies.txt」が、スパイウェア化したことが話題になっている（Torishimaさんのツイート、窓の杜）。この拡張機能は、ユーザー情報を無断で外部サーバーへ送信していると見られる。このことを報告しているTorishimaさんはTwitterで

今 Chrome に Get cookies.txt という拡張機能を入れている方、”””今すぐ”””アンインストールしてください!!
ページ遷移すると Cookie からアクセスした URL から何からすべて外部サーバーに送られる凶悪スパイウェアになってます 怖過ぎる…

との警告を出している。Chrome Webストアのレビューによれば、少なくとも1か月以上前からスパイウェアに変わっていた模様。この件に関しては窓の杜編集部でもデバイスの情報やCookieなどがPOST送信されていることを確認したとしている。

headless 曰く、

Microsoft が Exchange サーバー上で実行するウイルス対策ソフトウェアのスキャン除外リストを更新し、2 つのフォルダーと 2 つのプロセスをリストから削除している (Microsoft Learn の記事、 Exchange Team Blog の記事、 Neowin の記事、 Softpedia の記事)。

スキャン除外リストから削除されたフォルダーは「ASP.NET Files」と「Inetsrv」、プロセスは「PowerShell.exe」と「w3wp.exe」。これらのフォルダーとプロセスはスキャン対象から除外する必要がなくなったそうだ。

Microsoft では最新のアップデートを適用した Exchange Server 2019 と Microsoft Defender の組み合わせでテストを行い、これらのファイルとプロセスをスキャン対象から除外しなくてもパフォーマンスと安定性に影響しないことを確認したという。

Exchange Server 2013 / 2016 でも問題は発生しないと考えられるが、これらのバージョンでは状況を注視し、問題が発生したら除外対象を元に戻して Microsoft に報告してほしいとのこと。なお、Exchange Server 2013 は 4 月にサポートが終了する。

英国政府が検討中の法案 Online Safety Bill について、通信の暗号化を損なうようなことになるなら英国から撤退すると Signal のメレディス・ウィテカー氏が BBC に語ったそうだ (BBC News の記事、 The Guardian の記事、 Ars Technica の記事)。

英政府は法案がエンドツーエンド暗号化を禁ずるものではないと説明するが、ウィテカー氏は「プライバシーが善人のものだけ」と信じるのは「魔法的な考え方」だと指摘。暗号は全員を保護するか、全員にとって壊れているかのいずれかだと付け加えたという。

ウィテカー氏はプライベートなメッセージをスキャンするためのバックドアが悪意ある国家の手先に悪用され、犯罪者がシステムにアクセスする道を開くとし、Signal が真にプライベートなコミュニケーション手段を提供するという人々の信頼を損なうよりも撤退する方がいいとのこと。

暗号化が児童虐待者を守るという主張に対しては、ロス・アンダーソン氏の論文(PDF)から「複雑な社会的問題を安価な技術的手段で解決できるという考えはソフトウェアセールスマンが使うセイレーンの誘惑だ」という一節を引用し、虐待の多くが行われる家庭やコミュニティでの抑止に注力すべきだと述べたとのことだ。

Security.org の調べによると、米国のアンチウイルスユーザーの 61.2 % が無料のアンチウイルスソフトウェアを使用しているそうだ (2023 Antivirus Market Annual Report、 BetaNews の記事)。

調査は 2022 年、インターネットを利用して米国在住の成人 1,003 人を対象に行われたもので、参加者は米国人のデモグラフィックに一致するよう調整されている。調査時点で 85 % の参加者がアンチウイルスソフトウェアを使用しており、2021 年の 77 % から増加している。アンチウイルス使用率が低いと感じるかもしれないが、対象デバイスは PC だけでなく携帯電話やタブレットも含まれているためとみられる。

米国人の 75 % 近くがコンピューターにはアンチウイルスが必要だと信じており、アンチウイルスユーザーの 32.4 % が有料ソフトウェアを利用しているという。有料・無料の合計が 100 % にならないので、どちらかわからないという回答が 6.4 % あるためだ。推計で 3,300 万世帯が代金を払ってアンチウイルスソフトウェアを使用しているが、有料ソフトウェアはアンチウイルスだけでなく VPN やパスワードマネージャー、セキュアブラウザーといった追加のセキュリティ機能が利用できるものが多い。回答者の 7 % が 6 か月以内にアンチウイルスソフトウェアを購入したいと回答しており、推計で米国人 1,600 万人に相当するとのこと。

無料ソフトウェアのシェアは Microsoft Defender (39 %) が最も高く、Malwarebytes (14 %) とAvast (13 %)、McAfee (10 %) が 10 % 台で続く。有料ソフトウェアは Norton (29 %) と McAfee (24 %) で半数を超え、他のソフトウェアのシェアは 1 桁またはそれ未満となっている。過去 12 か月間でウイルスの影響を受けたという回答者は全体で 8 %。うち Windows が 8 % で、macOS が 5 %、その他が 4 % となる。Windows は Mac よりもウイルスの影響を受けやすいというイメージもあるが、実際には大差ないようだ。また、有料ソフトウェアユーザーでウイルスの影響を受けたのは 10 % だったのに対し、無料ソフトウェアユーザーは 8 % となっている。

スラドの皆さんは有料のアンチウイルスソフトウェアを使用しているだろうか。有料ソフトウェアが良いよねと思った理由は何だろう。

ウェブサービスで用いられているパスワードの入力規則を集めたウェブサイト「Dumb Password Rules」が話題になっているらしい。このDumb Password Rulesで紹介されている変なパスワード入力規則の例としては、「（パスワードは）7で始まる必要があります」というもの。「大文字2文字以上、小文字2文字以上、数字2文字以上、句読点2文字以上」「aを@、iを!、oを0といったありがちな置換をした単語の使用禁止」といった細かい点にまで指摘したものまで存在するとのこと。いかにとち狂ったパスワードルールが存在しているかが一望できるとのこと。すでにウェブサイトの登録数はすでに300近くに及んでいるそうだ（INTERNET Watch）。

セキュリティ企業のPhylumは、PyPI (Python Package Index)リポジトリに大量の不正なPyPIパッケージが登録されているとの報告を行った。それによると、マルウェアをPython開発者のシステムに感染させる450以上の悪意のあるPyPIパッケージが公開されているという。内容は過去に見つかったものや2022年11月に同社が発見したものと同種の攻撃と分析されているが、今回はそのときの約20倍のPyPIパッケージが公開されているという（Phylum、TECH+）。

このパッケージ群は、ユーザーがWebブラウザにURLを入力する際に犯す打ち間違いを悪用する「タイポスクワッティング」を意図したサイバー攻撃とされる。例えばvyperの場合、一文字削除(yper/vper)や一文字重複(vvyper/vyyper)、二文字の転置(yvper/vpyer)など複数パターンで合計13個のPyPIパッケージが登録されていたことが分かっているとのこと。