あるAnonymous Coward 曰く、

財務省の佐川理財局長が、行政文書の電子データに関する国会答弁で、同局ではPC上のデータについて「短期間で自動的に消去されて復元できないようなシステム」が導入されているために残っていないと答弁したという（日刊ゲンダイ）。

なかなか稀有なシステムが国民の血税で導入されているようだけど、市販ソフトウェアで一定期間が経過したら「消す」、しかも、復旧できないように「消す」ことやってくれるのってあるっけ？　どこぞの国のデータ盗聴系とかなソフトウェア会社とかの製品なんですかね。

パソコン廃棄するときに所定の回数、HDDに書き込みしてデータ潰してくれるソフトはフリーとかオマケとかであるようだけど。HDDの当該セクタをゴシゴシとワイプしてくれるソフトウェアは官庁系には需要ありそうだから、サンデープログラミングでいっちょ作ってみたりなんかしてみるといいのかな。

日刊ゲンダイでは関係者や有識者に対する取材も行っているが、こういったシステムが存在する可能性は低く、単に「適当な答弁でごまかしている」だけであると指摘している。

オープンソースソフトウェアの管理や監査、セキュリティ調査などを手がける米Black Duckによると、オープンソースソフトウェアを採用する企業の多くで、発見された脆弱性を放置したままにしているという問題があるという（Bluck Duckの発表、ITmedia）。

Black Duckは企業が買収などよって取得したソフトウェアのソースコードの監査を請け負っている。その監査過程でオープンソースソフトウェアに関する問題を多数見つけたという。具体的には、2016年に監査を行った1071のアプリケーションのうち96％が何らかの形でオープンソースソフトウェアを使っており、そのうち60％に脆弱性が含まれていたという。特に、金融関連のアプリケーションでは1つのアプリケーション辺り52の脆弱性が存在しており、そのうち60％が高リスクの脆弱性だったという。また、電子商取引関連でも似たような傾向があり、監査したアプリケーションの83％に高リスクの脆弱性があったそうだ。

また、ライセンスに関する問題も多く発見されているという。同社の監査によると、1つのアプリケーションに対し平均147のオープンソースソフトウェアが使われていたそうだが、監査の結果ライセンス衝突が発生していたものは85％にも上ったという。特に多かったのはGPL関連の問題で、75％のアプリケーションがGPL系ライセンスのソフトウェアを利用していたが、そのうちライセンスで問題がなかったのは45％だけだったそうだ。

MicrosoftはIntelとAMDの第7世代プロセッサーを搭載したPCに対し、Windows 7/8.1の更新プログラム提供をブロックし始めたが、これを迂回するパッチをGitHubユーザーが開発したそうだ(GitHub - zeffy/kb4012218-19、 Neowinの記事、 The Registerの記事、 Softpediaの記事)。

開発者のzeffy氏は、Windows Updateにハードウェアのサポート検出機能が追加されたKB4012218の.msuファイルを展開して解析。この機能を含むwuaueng.dllにパッチを当て、ハードウェアのサポート状態を検出する関数の戻り値が常に1(サポートされるCPU)となるように変更したとのこと。GitHubではKB4012218/KB4012219以降の更新プログラムに含まれるwuaueng.dllにパッチを当てることのできるオールインワンスクリプトも公開されている。Microsoftは19日に新たなマンスリーロールアップのプレビュー(KB4015552 / KB4015553)を公開したが、これらにも早速対応している。

ただし、パッチの効果は一時的なものであり、wuaueng.dllが更新されるたびに新しいパッチを適用する必要がある。また、サポート外のデバイスではMicrosoftによる十分なテストが行われないため、更新プログラムの適用により不具合が発生する可能性もある。

GoogleがNexusのヘルプページを更新し、Nexus/Pixel端末に対するセキュリティパッチの提供保証期限を明記した(Nexusヘルプ、 The Vergeの記事、 9to5Googleの記事、 Softpediaの記事)。

これまでヘルプページではAndroidバージョンアップデートの提供期限のみが掲載されており、セキュリティパッチの提供期間は「端末の提供開始から3年間以上」または「Googleストアで最後にその端末が販売された時点から18か月間以上」のいずれか長い方となっていた。

バージョンアップデートおよびセキュリティパッチの提供保証期限とモデル名は以下の通り。セキュリティパッチ提供保証期限から1年以上経過したモデルは省略している。

モデル	バージョンアップデート 提供保証期限	セキュリティパッチ 提供保証期限
Pixel、Pixel XL	2018年10月	2019年10月
Nexus 5X、Nexus 6P	2017年9月	2018年9月
Nexus 6、Nexus 9	2016年10月	2017年10月
Nexus 5	2015年10月	2016年10月
Nexus 7 (2013)	2015年7月	2016年8月

なお、バージョンアップデート・セキュリティパッチともにあくまで提供保証期限であり、期限を過ぎてからアップデートが提供されることもある。たとえば、Nexus 6/9のバージョンアップデート提供保証期限は2016年10月までだが、2016年12月にロールアウトしたAndroid 7.1.1の提供対象になっている。

headless 曰く、

Microsoftは11日、Windows 10 Creators Update（バージョン1703）の提供開始を正式にアナウンスした。一方、Windows Vistaは延長サポート期間の終了日を迎えた（Windows Experience Blog、Windows Help — Windows Vistaのサポートは終了しました）。

Windows Vistaは4月の月例更新で提供された複数の更新プログラムを最後に、新たな更新プログラムは提供されなくなる。Microsoft Security EssentialsもWindows Vistaでダウンロードできなくなり、インストール済みの環境には一定期間マルウェアの定義ファイルが提供されるとのこと。

なお、手元の環境に適用可能な更新プログラムをすべて適用してみたが、サポート終了の通知などは特に表示されない。Microsoftのサポートサイトの各ページにWindows Vistaでアクセスすると「Windows Vistaのサポートは終了しました」と表示される程度のようだ。

Windows Vistaの一般リリースは2007年1月30日。当時はWindows XPが圧倒的なシェアを占めていたことなどもあって売れ行きは伸び悩んだ。ただし、Net Applicationsのデータによれば、Windows 7が一般リリースされた2009年10月時点では19.6%のシェアを獲得している。Windows 8/8.1のシェアは2014年11月の合計18.65%がピークとなっており、Windows Vistaのピーク時を上回ることはできなかったようだ。4月1日～11日分のStatCounterのデータを見ると、Windows Vistaの世界シェアは1%未満だが、日本では2%近く、Windows XPと並んでいる。

Creators Updateは1週間前から「Windows 10のダウンロード」ページで入手可能になっていたが、今後はWindows Update経由で順次提供されていく。同日、累積的な更新プログラム（KB4015583）の提供も始まっており、アップグレード後のOSビルドは15063.138になるようだ。KB4015583はCreators Updateビルドを実行しているInsider Program参加者にも提供されるとのこと。

Windows 10では利用者のさまざまな情報がMicrosoftに送信されるようになっており、Windows 10の登場当時からこのことが批判されていたが（過去記事1、過去記事2）、4月11日よりリリースされるWindows 10 Creators Updateでもこの問題は続くようだ（TechCrunch）。

Windows 10のプライバシ関連設定項目としては「位置情報」「音声認識」「診断」「診断データを使用してエクスペリエンスをカスタマイズする」「関連性の高い広告」があり、「診断」以外はオン/オフ、「診断」は「完全」と「基本」の2つから選択できるという（窓の杜、Solomonレビュー[redémarrage]）。

Creators Updateにおけるプライバシ設定については改善されているとの報道もあるのだが、診断はオフには設定できないため、情報を送信できないという設定は行えない。これに対しMicrosoftの担当者は「どのユーザーにも最小限のセキュリティは必要」と主張しているという。

Printable is bad.曰く、

日産レンタカーのパスワードリマインダー機能にセキュリティ上の問題が発覚した（「黒翼猫のコンピュータ日記 2nd Edition」ブログ）。

同サイトではメールアドレス（ログインID）・カナ氏名・電話番号の3つの情報を入力するだけでWebブラウザ上に生パスワードが表示される仕様になっており、表示されたパスワードでログインすることで不正な予約操作ができるほか、漢字氏名・性別・生年月日・郵便番号・住所・運転免免許証番号などの個人情報を閲覧できる状態となっていた。

生パスワードを照会可能なだけでも大きな問題であるが、メールアドレスへの確認コードの送信なども要求されなかったことや、メールアドレス・カナ氏名・電話番号は第三者も容易に知り得る情報であることから、危険性が極めて高い問題であったといえる。

なお、パスワードの照会を行っても登録メールアドレスへの通知は行われないため、知らないまま第三者に個人情報が入手される被害が発生していた可能性も考えられる。

この問題は、今月10日に対策され、現在はWebからのパスワード照会機能は停止している。

headless曰く、

釣り餌の「ブドウムシ」として知られるハチノスツヅリガの幼虫が、ポリエチレン（PE）を生分解できることが判明したそうだ（論文、Guardian、Consumerist）。

ハチノスツヅリガの幼虫は蜜蝋を食べて育つため、養蜂の害虫としても知られている。今回の研究は、趣味の養蜂家でもある研究者のFederica Bertocchini氏が、捕獲した幼虫をPE製の袋に入れて部屋に放置したことから始まったという。Bertocchini氏が部屋に戻ると、幼虫は袋から逃げ出しており、袋には多数の穴が開いていたそうだ。スーパーマーケットなどで提供されるPE製の買い物袋と100匹の幼虫を一緒にしておくと、12時間でPEが92mg減少したとのこと。

幼虫が単純に袋をかじっただけという可能性を排除するため、幼虫をすりつぶした溶液をPEフィルムに塗り付けてみたところ、14時間で13%のPEが減少したという。フィルムをフーリエ変換型赤外分光法（FTIR）で分析した結果、溶液を塗り付けたフィルムではPEに加え、エチレングリコールやカルボニル結合の存在を示すスペクトルが得られた。エチレングリコールのシグニチャは、幼虫がかじったPEの穴付近でも確認され、離れた位置では確認されなかったそうだ。また、原子間力顕微鏡（AFM）でフィルムを確認すると、表面の粗さは140%以上増加していたとのこと。

PEは菌類による生分解が知られているが、これには数週間～数か月を要する。PE製品は広く使われており、環境への影響を減らすための新たな分解方法の開発が求められている。ハチノスツヅリガの幼虫自体がPEを生分解できるのか、腸内細菌の酵素の働きによるものかについてはさらなる調査が必要となるが、このように短時間での生分解が可能なことは、バイオテクノロジーでの応用も期待されるとのことだ。

headless 曰く、

The Shadow Brokersを名乗る人物またはグループは、米国家安全保障局（NSA）がサイバー攻撃に使用しているというツールやエクスプロイトを今年に入ってたびたび公開している。14日に公開された「Lost in Translation」にはWindowsのゼロデイ脆弱性を使用するエクスプロイトが含まれる可能性も指摘されたが、Microsoftが調査したところゼロデイは含まれていなかったとのこと（MSRC、SlashGear、Ars Technica）。

公開されたダンプには、Windowsの脆弱性を利用するエクスプロイトが12本含まれる。このうち5本は数年前までに脆弱性が修正されており、3本は現在サポートされる製品には影響しないとのこと。残り4本のうち「EternalBlue」「EternalRomance」「EternalSynergy」はMS17-010、「EternalChampion」はCVE-2017-0146/CVE-2017-0147で、いずれも3月に修正されている。

しかし、3月の修正はあまりにタイミングがよく、セキュリティ情報にはいずれも報告者の名前がないことから、NSAから情報提供を受けたのではないかという見方も出ている。さらにArs Technicaの記事では、MicrosoftがShadow Brokersから秘かに情報を買った、偶然脆弱性を自力で発見した、という2つの可能性も指摘する。ただし、セキュリティ情報では「悪用」が「なし」になっており、NSAやShadow Brokersから情報を得て修正したという見方にも疑問があるとしている。

Shadow Brokersは昨年8月、NSAのサイバー攻撃ツールを入手したとしてオークション形式で売却する考えを示していたが、オークションは成立しなかったようだ。今年に入ってShadow Brokersは引退を表明し、一部のツールを公開した。ただし、データベースの売却はあきらめておらず、その後も部分的な公開を行っている。

なお、Lost in Translationに含まれるのはWindowsを対象としたエクスプロイトだけではない。復号したファイルは複数のGitHubリポジトリで公開されているが、misterch0c氏のリポジトリには簡単な説明付きでエクスプロイトがリストアップされているので、興味のある方は参照してほしい。

先日Samsung Electronicsが発表したスマートフォン新モデル「Galaxy S8」の顔認証機能では、本人でなくとも顔写真を使ってスマートフォンのロック解除ができてしまうという話が出ている（ITmedia）。

Samsung側はこれについて、顔認証によりロック解除は「便利機能」でありセキュリティ機能ではないとし、安全性は劣るとしているとのこと。また、顔認証の登録時には安全性が低い旨が表示されるそうだ。