Microsoft が Windows 10 の Internet Explorer 11(IE11)無効化計画を再び変更している (Windows message center、 Windows IT Pro Blog の記事、 The Register の記事、 Ghacks の記事)。

2 月の段階ではスタートメニューやタスクバーの IE11 アイコンなど視覚的参照を 6 月の月例更新で削除する計画が示されていたが、更新プログラムによる視覚的参照の削除は取りやめになった。この変更は顧客からのフィードバックを受けたもので、組織は IE 無効化ポリシーを使用して任意のタイミングで視覚的参照を削除できる。また、現在も引き続き IE11 でのアクセスが可能な例外的シナリオの一部について、今後数か月の間に Microsoft Edge へのリダイレクトを開始するとのこと。

IE11 はサポート終了から間もなく 1 年となり、2 月には恒久的な無効化が行われている。今回の変更はよりよいユーザーエクスペリエンスとモダンブラウザーへの円滑な移行を意図したものだといい、詳細は Windows や Microsoft Edge のリリースノートで案内されるとのことだ。

Windows 11 の「Windows セキュリティ」でローカルセキュリティ機関の保護機能が設定にかかわらず無効であるかのように表示される問題について、Microsoft はいったん解決済みとマークしていたが、現在は再び未解決となっている (Windows 11 バージョン 22H2、既知の問題と通知: 米国版、 日本版、 Neowin の記事)。

この問題は Windows セキュリティで「デバイス セキュリティ > コア分離」の「ローカル セキュリティ機関の保護」に「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」という警告が表示されるものだ。警告はこのオプションがオンになっていても表示され、オンにすると再起動が要求されるが、再起動後も警告と再起動の要求が表示されたままになる。警告は「無視」をクリックすれば非表示化できるが、再起動は要求され続ける。問題が導入されたのは Microsoft Defender ウイルス対策マルウェア対策プラットフォーム バージョン 1.0.2302.21002 で、4 月リリースのバージョン 1.0.2303.27001 で修正された。

しかし、バージョン 1.0.2303.27001 ではインストール後にブルースクリーンエラーの発生や、一部のゲームやアプリの実行時にシステムが再起動するといった問題が確認されたため、提供を取りやめたという。バージョン 1.0.2303.27001 インストール済みの環境で上述の問題が発生した場合、「コア分離」の「Kernel-mode Hardware-enforced Stack Protection (カーネルモードのハードウェア強制スタック保護)」をオフにする必要があるとのことだ。現在のところ、バージョン 1.0.2303.27001の問題は米国版など英語の記事にのみ記載されており、日本版など英語以外の言語の記事にはまだ反映されていない。

VirusTotal は AI が PowerShell スクリプトを分析して自然言語で解説する「Code Insight」を 4 月に発表し、先日対応スクリプト形式の追加を発表しているが、それ以外にも対応するスクリプト形式があるようだ (BleepingComputer の記事、 Ghacks の記事)。

VirusTotal が 12 日に追加を発表した Code Insight の対応スクリプト形式は以下の通り。

• バッチファイル(.BAT)
• Windowsコマンドスクリプト(.CMD)
• シェルスクリプト(.SH)
• VBScriptスクリプト(.VBS)

BleepingComputer の調べによると、AutoHotKey スクリプト (.AHK) や Python スクリプト (.PY) にも対応していることが判明したとのことだ。

CNNの報道によると、「TikTok」の親会社であるバイトダンスの元従業員が、中国共産党が保有する全てのデータに対して「至高のアクセス権」を持つとする告発をしているという。この告発は元従業員がバイトダンスの不当解雇の訴訟を起こす中で行われたという。バイトダンス側はこれを否定、争う構えを見せている（CNN）。

この元従業員は、この至高のアクセス権を使えば米国内のサーバーに保管されたデータにもアクセス可能であるという。TikTokに関しては、米モンタナ州でバイトダンスが州内で事業を行うことを全面的に禁止する法律が成立している。同州のジアンフォルテ知事は17日、一定の条件を満たすアプリのダウンロードを提供することなどを禁止する法案に署名した。実質的にTikTokを禁止する法律は全米の州で初めてとなる。これに対してバイトダンス側は強く反発しており法廷闘争に発展する可能性が高いとしている（NHK、朝日新聞）。

三井住友カードは16日、同社および提携しているクレジットカードの所有者に郵送したダイレクトメール（DM）に、誤ってクレジットカード番号を印字した状態で送付したと発表した。対象となるのは「AOYAMA VISAカード」「AOYAMA PiTaPaカード」 (VISA)「AOYAMA LiVE MAX VISAカード」「BLUE ROSE CARD」 (VISA)の4券種（三井住友カードリリース、ITmedia）。

DMはシーラーはがきタイプだったが、その表面宛先部にカード番号を印字してしまっていたそうだ。このDMは4月18日と4月20日に利用代金明細書のサービス内容の変更を告知するために発送されたもので、対象件数は29万771件に及ぶ。有効期限やセキュリティコードなどのカード番号以外の情報は記載していないとしている。

英議会の財務特別委員会は17日、暗号通貨についてギャンブルとして規制すべきだとする報告書を公表した。この報告書では、通貨全体の3分の2を占めるBitcoinとEthereumは、通貨や資産による裏付けがないことから価格変動が非常に大きく、投資すれば全額を失う可能性があると指摘しているという（英下院財務委員会報告書、Cointelegraph、ロイター）。

英国では現在、暗号通貨は資金洗浄防止法の適用しか受けていないため、既存の金融資産法と新たな暗号通貨の規制ルール作りを進めている。しかし、こうした暗号通貨への規制策定は、政府が暗号通貨に対して公認したという誤解を消費者に与える恐れがあるため、金融サービスではなくギャンブルとして規制すべきだと訴えているという。

Qrioは8日、2015年に発売を開始したスマートロック「Qrio Smart Lock（Q-SL1）」のサービスを、2023年10月31日に終了すると発表した。サービスが終了すると、新規アカウント登録、新規ログイン、新規ロック登録、新規カギ発行等が行なえなくなる。サーバー通信を必要としない一部の機能（アプリとの接続による解施錠など）については即座に動作しなくなることはないものの、同社はセキュリティ上の補償ができないことから利用の継続を控えるように案内しているそうだ（Qrio Smart Lock（Q-SL1）サービス終了のお知らせ、家電 Watch）。

サービス終了の理由としては、製品の最終出荷より5年が経過したこと、買い切り型商品のためサービスの維持が難しくなったなどとしている。サービス終了のスケジュールとしては、2023年7月31日にiOS・Androidアプリの公開停止、10月31日にサービスの停止となっている。なお、現在販売している後継機種「Qrio Lock(Q-SL2）」のサービスは継続する。Q-SL1のオーナーに関しては別途「Qrio Lock(Q-SL2)」のセール案内を行なう予定だとしている。

headless 曰く、

Microsoft Defender は AV-TEST によるパフォーマンス低評価が先日話題になったが、AV-Comparatives のパフォーマンステストでも低評価が続いている (4 月分テスト結果、 プレスリリース)。

AV-Comparatives のパフォーマンステストはセキュリティ製品の実行によるパフォーマンスへの影響のみを評価するものだ。ファイルコピー・アーカイビング/アンアーカイビング・アプリケーションインストール・アプリケーション実行・ファイルのダウンロード・ウェブサイトのブラウジングという 6 項目のテスト結果による AVC スコアと PC Mark のテスト結果によるスコアを組み合わせてインパクトスコアが算出される。

Microsoft Defender はファイルコピー (1 回目) とアーカイビング・アンアーカイビング、アプリケーションインストールの評価が低い。先日発表された 4 月分のテスト結果では AVC スコア (90 点満点) が 63 点、PC Mark スコア (100 点満点) が 96.8 点。減点分の合計であるインパクトスコアは全 16 製品中唯一 30 点を超える 30.2 点となった。

4 月のテストでは K7 と Panda、Avira、Bitdefender、Kaspersky の 5 製品が AVC スコアで満点を獲得している。PC Mark スコアはセキュリティ製品なしの状態が 100 点のため満点になることはないが、K7・Panda・ESET・Norton の 4 製品が 98 点台を獲得。インパクトスコアは K7 (1.7 点)・Panda (1.8 点)・Avira (2.1 点)・Bitdefender (2.2 点)・Kaspersky (2.5 点) の順となっている。

AV-Comparatives のテストでは最高評価の製品に「Advanced+ (☆☆☆)」バッジが付与され、以下「Advanced (☆☆)」バッジと「Standard (☆)」バッジが付与される。4 月分では 10 製品が Advanced+、3 製品が Advanced、Microsoft Defender を含む 2 製品が Standard となった。

11日からAndroid端末に「スマホ用電子証明書搭載サービス」が利用可能となった。このサービスはマイナンバーカードの保有者に対し、マイナンバーカードと同等の機能を搭載可能とするもの。これを受けてヤフオク!が中古スマートフォン出品の際、事前にスマホ用電子証明書の失効手続きを行うよう警告している（Yahoo!、ITmedia）。

曰く、このスマホ用電子証明書は、端末の初期化だけでは削除できず、マイナポータルアプリから失効申請を行う必要がある。マイナカードの電子証明書機能を使っていたスマホをオークションに出品する際には、必ずこの手続きを行うよう呼び掛けている。

なおマイナポータルの説明によると、失効申請をおこなうと48時間以内に削除されるとのこと。スマホ用電子証明書を登録していたスマートフォンが失効時にインターネットに接続されている必要がある点も注意が必要。スマートフォンなどの下取りサービスでは時間制限が設けられているが、基本的に失効手続き後、48時間は手放さない方がいいと思われる。

トヨタ自動車は12日、関連子会社のトヨタコネクティッド（TC）に管理を委託していた顧客データ約215万人分が漏洩した可能性があると発表した。TCのクラウド環境の誤設定により、一部のデータが10年近くネット上で公開状態になっていたとされる。漏れたとみられるのは2012〜23年に契約した顧客の車両番号や位置情報など。いずれも個人が特定できる内容ではないとし、現時点で悪用は確認されていないとしている（トヨタリリース、ロイター、日経新聞、朝日新聞）。

情報漏洩の対象となったのは、ネットで車の位置を把握したり、異常を検知したりするサービス「ティーコネクト」などを2012年1月~今年4月に契約した顧客。車載機（ナビ端末）ごとに割り振られた識別番号と車両一台ずつに割り当てられた識別番号が漏れていた。今年4月の点検で判明し、外部からのアクセスを遮断する処置を実施したとしている。

headless 曰く、

AV-TEST の Windows 版セキュリティ製品テストで Microsoft Defender のパフォーマンス低評価が続いている (AV-TEST のニュース記事、 Neowin の記事、 Ghacks の記事)。

先日発表された 2 月分 (2023 年 1 月 ～ 2 月) のコンシューマー製品テスト結果では 18 製品がテストされ、Microsoft Defender は Protection と Usability で 6 点満点を獲得したものの、Performance のスコアが 5.0 点にとどまる。そのため、トータルスコアで 18 点満点中 17.5 点以上が必要な「TOP PRODUCT」の認定を逃している。

Microsoft Defender の評価を項目別にみると、ファイルコピーの速度低下が特に大きく、業界平均の 5% 低下に対し、1 月は 48%、2 月は 40% 低下している。よく使われるアプリケーション 25 本のインストール速度も業界平均の 15% 低下に対し、1 月は 21%、2 月は 25% 低下と大幅に速度が低下する。6 点満点中5.0 点はそれほど低いスコアではないようにもみえるが、他の製品がすべて 5.5 点以上、うち 10 本が 6 点を獲得している状況から見ると低調といえるだろう。

Microsoft Defender は 2020 年 6 月分 ～ 2022 年 6 月分まで連続で TOP PRODUCT 認定を獲得していたが、2022 年 8 月分以降は 10 点以上の製品に与えられる標準の AV-TEST 認定にとどまる。Performance スコアは 2022 年 8 月分で 4.5 点、以降は 5.0 点となっている。Microsoft Defender はエンドポイントセキュリティ製品のテストでも同様に Performance スコアの低調が続いている。

maia 曰く、

コンビニでマイナカードを利用して住民票や戸籍証明書などを交付する「コンビニ交付サービス」で、別人の証明書が発行される不具合が今年3月以降13件発生していることを受け（NHK）、河野デジタル担当大臣は、システムを運営する「富士通Japan」にコンビニ交付サービスのサービス一時停止を要請した。全国およそ200の自治体が使っていて、停止時期は自治体により異なる見込み。なお役所窓口でのサービスで不具合は起きていない。

河野太郎大臣は9日、オンラインの記者会見で「運用を停止して徹底的に総点検をおこなうよう8日に要請した」と話している（デジタル庁Twitter、日経新聞）。

headless 曰く、

Western Digital は 5 日、3 月に確認されたネットワークセキュリティインシデントで不正アクセス者が顧客の個人情報を含むデータベースを取得していたことが判明したと発表した (プレスリリース、 Neowin の記事、 Ghacks の記事)。

このセキュリティインシデントは同社のシステム多数に権限のない第三者が不正アクセスしたというもので、3 月 26 日に確認され、4 月 2 日に公表されていた。当初は具体的な被害が確認されておらず、外部のセキュリティおよびフォレンジック専門家の協力により調査を進めていることや、念のため同社のシステムやサービスをオフラインにしたことなどの発表のみだった。My Cloud 製品の障害発生もこれに伴うものだったようだ。

不正に取得されたことが判明したのはオンラインストアの顧客情報を含むデータベースで、顧客の名前や請求先・送付先住所、電子メールアドレスや電話番号のほか、パスワードのソルト付きハッシュやクレジットカード番号の一部が暗号化された状態で含まれていたという。同社は影響を受けた顧客に個別連絡しているとのこと。

このほか、同社の情報とされるものが公開されている件については調査を進めており、同社のコンシューマー製品に関連するデジタル署名技術が不正に用いられる可能性については必要に応じて証明書を無効にすることが可能な状態であると説明している。

現在のところ日本向けサイトに本件の記載はないが、オンラインストアはダウンしている。英語版プレスリリースによれば、オンラインストアのアカウントアクセスは 5 月 15 日の週に復旧予定とのことだ。

headless 曰く、

Twitter サークルで共有したツイートがサークル外のユーザーにも見えてしまう問題について、Twitter がセキュリティインシデント発生を認めたそうだ (The Guardian の記事、 Neowin の記事、 BetaNews の記事、 Ghacks の記事)。

Twitter サークルはユーザーが指定したメンバーに限ってツイートを送信し、返信や反応を示すことを可能にする機能だが、4 月にサークル外のユーザーのタイムラインに表示されるといった問題が報告されていた。

Twitter は影響を受けたユーザーに電子メールで連絡を開始しており、サークルを指定して送信したツイートがサークル外ユーザーにも見えてしまう問題をセキュリティチームが確認し、すぐに修正を行ったと説明しているそうだ。これにより、サークルを指定したツイートがサークル外から見えてしまう問題は解消したという。

Twitter ではサービス利用者のプライバシー保護に努めていると述べ、このような問題が発生することによるリスクを理解しているとして遺憾の意を示したとのことだ。

コロナ禍で活躍したカメラ付き顔認識体表温度計だが、最近では中古で安価に出回っているようだ。こうした顔認識体表温度計を中古で買ったところ、その中に体温を測定した人の顔写真が入っていたという話が話題になっているようだ（honeylab's blog、ひろみつ氏のツイート、その2）。

honeylab's blogの記事によると、解析したところ固定IPで立ち上がっているようなので、そこにHTTPしてみたところログイン画面が現れた。ユーザー名にはadminって書かれていたので一般的にデフォルト設定でよく使われるpasswordを入れてみたところログインできたそうだ。そこで日時を設定して検索してみたところ、体温計ったときの顔写真と、体温がずらりと表示されてしまったそう。同サイトの主によると、900件以上のログが入っていたとのこと。

nemui4 曰く、

中古の体温測定器を買ったら過去に撮影された顔写真と体温がズラズラと、この手のは全て消去されずに放流されてるらしい。
搭載OS LINUXとは書いてあるが、画像と体温を保存していること、廃棄の際に画像を消去する方法などは一切記載されてないな。さすが。

マニュアルリンク切れ？
マスクしてるけど顔写真保存されてるとは、この手の機器には断り書きとか無いし全部そうなのかな。