Googleのエンジニア Justin Schuh氏によれば、経験上得られた多数のデータからみて、行儀のいいアンチウイルスと呼べるのはMicrosoft Defender(Windows Defender)だけだという(On MSFTの記事)。

先日、Microsoft以外のアンチウイルス製品は使用すべきではないというRobert O'Callahan氏のブログ記事が話題となった。このO'Callahan氏の発言を誘発したのが、安全なブラウザーを出荷する最大の障害はアンチウイルスなどと指摘したSchuh氏の一連のツイートだ。

Schuh氏の新たな発言は、O'Callahan氏のブログ記事を話題にした一連のツイートからの流れで飛び出したもの。行儀のいい唯一のアンチウイルスなので、ブラウザーメーカーはWindows Defenderに苦情を言わないと述べている。また、Windows Defenderは「第一に害を及ぼさない」というルールを守っている、Chromeのセキュリティメカニズムを壊したことのない唯一の存在、などとも述べている。

先日、「Microsoft以外のウイルス対策ソフトは使うべきではない」、「行儀のいいアンチウイルスはWindows Defenderだけ」といった話題があったが、これに対しセキュリティ企業Kasperskyが反論を行っている（INTERNETCOM）。

Kasperskyはセキュリティに注意している人のデバイスが感染するリスクは高くはないとしつつも、そうでない人々を保護するために重要とし、また同社の製品はMicrosoftのセキュリティソフトと比較しても優れた保護能力があると主張、（少なくともKasperskyの）セキュリティソフトについては導入する意義があると主張している。

オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事、 Google Security Blogの記事、 Phoronixの記事、 Ars Technicaの記事、 論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても2⁶³回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。

headless 曰く、

本日発売された任天堂の新型ゲーム機「Nintendo Switch」のゲームカートリッジは、誤飲防止のため強い苦みが付けてあるそうだ(Kotaku、The Verge、Guardian、インサイド)。

Nintendo Switchのカートリッジの味については、数日前から実際になめてみたゲームジャーナリストなどから激マズだという報告が出ていた。Kotakuの記事ではオレンジの皮を絞ったオイルのような味だが、柑橘系の香りはないものと表現している。

これについて任天堂はKotakuに対し、カートリッジの誤飲を防止するため小さな子供の手の届かないところに置くことを求めるとともに、非常に苦みの強い物質として知られ、誤飲防止剤として使われる安息香酸デナトニウムを添加していることを明らかにしたそうだ。

Twitterなどでは実際に舐めてみた人達による報告も投稿されている（Togetterまとめ）。

あるAnonymous Coward 曰く、

Google Playストアで配信されているVPNアプリのほとんどが信頼できるものではないという研究結果が発表された（juggly.cn、Ars Technica）。

今回発表された研究はオーストラリア連邦科学産業研究機構やカルフォルニア大学バークレー校（UCB）の研究者らによるもので、283のAndroid向けVPNアプリを対象に調査を行ったという。その結果、うち18％は通信トラフィックをまったく暗号化できておらず、16％にはユーザーのWebトラフィックにデータを挿入できる脆弱性があったという。さらに、広告を表示したりユーザーをトラッキングするようなJavaScriptコードを埋め込むアプリも2つあったそうだ。さらに84％のアプリでIPv6ベースのトラフィックデータ漏洩が確認され、66％のアプリはシステム関連のドメイン名データ漏洩をブロックできなかったという。

また、67％のアプリでプライバシ保護機能が謳われていたが、そのうち75％はユーザーの活動をトラッキングするようなサードパーティライブラリを使用しており、また82％のアプリでユーザーアカウントやテキストメッセージのような情報にアクセスするための権限を要求していたという。

そのほか、38％のアプリにマルウェアとして分類されるようなコードが含まれており、SSLで暗号化された通信内容を傍受するためのデジタル証明書をインストールするアプリも4つあったとのこと。

あるAnonymous Coward 曰く、

NTTドコモが昨年末より提供を開始した「dカード プリペイド」で、カード番号を容易に推測できる可能性があることが指摘されている（架空のdカード プリペイドを作成してみよう！（帰納編）、架空のdカード プリペイドを作成してみよう！（演繹編））。

dカード プリペイドは専用Webサイトや対応店舗でチャージすることで、チャージした金額内の支払いが可能なプリペイドカード。NTTドコモの決済サービス「iD」だけでなく、クレジットカードの「Mastercard」加盟店でも利用が可能となっている。

今回指摘されているのは、カード番号に一定の法則がある点。そのため、実際に使われている可能性の高いカード番号を推測できるという。また、初回限定デザインではカード決済に必要な名義人や有効期限などの情報も特定が容易だとして注意を促している。

Microsoftは10日、Windows 10およびSurfaceデバイスが米国家安全保障局(NSA)のCommercial Solutions for Classified Program(CSfC)に認定されたことを発表した(Windows For Your Businessの記事、 CSfC — Components List、 Softpediaの記事、 Neowinの記事)。

CSfCは米政府機関が機密情報を扱うのに適した安全な商用製品を認定するプログラム。Windows 10はVPNクライアントおよびSurfaceデバイスのOSとしてリストに掲載されている。Surfaceデバイスでは既にWindows 8.1を搭載したSurface Pro 3が認定済みで、今回Windows 10を搭載したSurface Book/Pro 3/Pro 4が追加されている。モバイルデバイスとしてはAppleのiPhone/iPadシリーズやSamsungのGalaxyシリーズ、LGのGシリーズなどがリストに掲載されているが、デスクトップOSを搭載しているのはSurfaceデバイスのみのようだ。

headless曰く、

Windows 10 Creators Updateでは、「ストア」アプリ以外で入手したアプリのインストールをブロックするオプションが搭載されるかもしれない（MSPoweruser、BetaNews、Windows Central、Softpedia）。

先日ファーストリング向けに提供が開始されたPC版のWindows 10 Insider Previewビルド15042には、アプリのインストール元を制限するオプションがすでに搭載されており、「設定」アプリの「アプリ→アプリと機能→アプリのインストール」で選択できる。

「ストアのアプリのみ許可する」を選択すると、ストア以外で入手したアプリをインストールしようとした際に警告が表示され、インストールはブロックされる。「ストアのアプリを優先するが、任意の場所のアプリを許可する」を選んだ場合、ダイアログボックスで警告が表示されるものの、そのままインストールに進むことが可能だ。デフォルトの「任意の場所のアプリを許可する」ではインストール元が制限されない。

ただし、手元の環境で試した限り、ブロックされるのは一部のアプリのインストーラーのみで、そのままインストールが進められるインストーラーも多かった。ビルド15042の更新情報には記載がないため、このオプションを搭載した理由は不明だが、セキュリティ向上を目的としたものとみられる。

GitHubで「remove password」というキーワードでコミットを検索すると、大量の平文パスワードらしきものを見つけられるという話がHacker Newsで取り上げられている。

Gitでは変更履歴がすべて記録されているので、このようにして検索したコミットの変更点を見ることで削除したパスワードを見ることができてしまう可能性がある。もちろんその後パスワードが変更されたり、パスワードが必要なサービスへのアクセス自体が制限されている可能性もあるため大きな問題になるかどうかはケースバイケースだが、とりあえずバージョン管理しているファイル中のパスワードの扱いには注意が必要だ。

headless 曰く、

Microsoftは14日、2月のセキュリティ更新プログラム提供を延期すると発表した（MSRC、On MSFT、 Ars Technica、Softpedia）。

Microsoftによれば、直前になって発見された一部のユーザーに影響する問題の修正が間に合わなかったため、提供の延期を決めたとのこと。具体的な問題の内容や新たな提供日などについては記載されていない。

Microsoftでは毎月第2週の火曜日（日本時間では水曜日）に更新プログラムを提供しており、月例更新プログラムなどと呼ばれる。Windows 10では累積的な更新プログラムが提供されているが、昨年10月からはWindows 7/8.1/Server 2008 R2/2012/2012 R2でもロールアップモデルに移行した。

ロールアップパッケージに加え、企業向けにはセキュリティ関連のパッチのみを1つの更新プログラムにまとめたものも提供されているが、今月からはInternet Explorerの更新プログラムを分離する計画だった。

また、先日話題になったSMBの脆弱性に対応する更新プログラムも今月の月例更新に含まれる予定とされていた。