Intelの第6〜8世代CoreプロセッサやXeon、Pentium、Celeronプロセッサなどに脆弱性が発見された（Intel、4gamer）。

Intelの最近のCPUには「Intel Management Engine」などの管理機構が搭載されているが、今回の脆弱性はそれらに関するもののようだ。これによって外部からシステムを遠隔操作される可能性があるという（US-CERTの発表）。

Intelは対応として「intel-sa-00086 検出ツール」という使用しているシステムに脆弱性があるかどうかを判断できるツールを公開した。ただ、このツールでは脆弱性があるかどうかの判断のみが可能で、修正にはPCやマザーボードメーカーが提供するファームウェアアップデートが必要だという。

総務省が暗号化されていない公衆無線LANアクセスポイントを規制する方針だと報じられている（産経新聞）。

暗号化されていない公衆無線LANでは、第三者が通信内容を盗み見できる可能性があるといった問題点がある。そのため、今年中に課題をまとめ、来年度に公衆無線LAN事業者向けのガイドラインを改定するという。

なお、産経新聞の記事では「パスワード不要の公衆無線LANアクセスポイントを原則として規制」とされているが、パスワード不要という点が問題なのではなく、暗号化されない無線LANを問題視している模様。

Microsoftは14日、Windows 10 バージョン1511の更新プログラム提供期限を6か月間延長することを明らかにした(Windows for IT Prosの記事、 Neowinの記事、 On MSFTの記事、 Windows Centralの記事)。

バージョン1511は2015年11月に一般リリースされたWindows 10初の大規模アップデートで、10月10日のサポート終了が予定されていた。サポート期間の延長は「サービスとしてのWindows」への移行がまだ完了していない企業に時間的な余裕を提供するためとのことで、Windows 10 EnterpriseとWindows 10 Educationが対象となる。

Windows for IT Prosの記事では2018年4月まで延長とのみ記載されているが、月例更新が提供される第2火曜日の4月10日に最後の更新プログラムが提供されるとみられる。なお、Windowsライフサイクルのファクトシートでは、現在のところ2017年10月10日サポート終了のまま更新されていない。また、バージョン1607(Anniversary Update)のサポート終了は「2018 年 3 月 (仮)」となっている。このままではバージョン1511よりも先にサポートが終了することになるが、今後変更される可能性もある。

GoogleはAndroidの「KRACK」脆弱性を11月のセキュリティパッチで修正しているが、Nexus/PixelデバイスにはKRACK対策を含むパッチが12月まで提供されないそうだ(Ars Technicaの記事)。

10月に公表されたKRACK(Key Reinstallation AttaCK)はWPA2の脆弱性で、偽アクセスポイントを使用してWi-FiクライアントにWPA/WPA2の暗号鍵を再インストールさせることで通信内容の復号が可能になる。wpa_supplicant 2.4以降を使用するバージョンのLinuxへの影響が特に大きいとされ、Androidでは6.0以降のすべてのバージョンにおける影響が大きいとして注意喚起されていた。

GoogleがAndroidのKRACK脆弱性を修正したのはセキュリティパッチレベル2017-11-06だが、11月に提供されるNexus/Pixelデバイス向けのセキュリティパッチはレベル2017-11-05までとなっている。その結果、OEMメーカーがKRACK対策パッチを続々と提供するのに対し、GoogleブランドのすべてのAndroidデバイスは12月まで対策されないことになる。これについてArs Technicaの記事では、KRACK脆弱性のAndroidに対する影響は大したことがないと指摘する。

あるAnonymous Coward 曰く、

岐阜県大垣市で開催された「ロボフェスおおがき2017」で4日午後、菓子を上空から撒いていた小型無人航空機(ドローン)が制御を失って墜落する事故が発生した(NHKニュースの記事、 朝日新聞デジタルの記事、 毎日新聞の記事)。

事故発生時、無人航空機はイベント会場の真上を飛行して菓子をばら撒いていたが、突然機体が傾いて来場者の頭上に墜落し、6人が軽傷を負った。幸いにも被害者は擦り傷程度ということだが、一歩間違えば大惨事になった可能性もある(Twitter投稿動画 [1]、 [2]、 [3]、 [4]、 [5])。

航空法では無人航空機のイベント上空の飛行は禁止されている。イベントで使われた無人航空機による菓子のばら撒きサービス提供元では囲いをして飛行直下に参加者を入れないように、とのただし書きをしていたが、今回の事故では全く守られていなかったようだ。

ちなみに、無人航空機から物を投下することも航空法で禁じられている。航空法(PDF)第132条の2第6には「地上又は水上の人又は物件に危害を与え、又は損傷を及ぼすおそれがないものとして国土交通省令で定める場合を除き」投下禁止とあるが、現時点で省令により投下禁止から除外されるものはなく(PDF)、個別に申請し、許可を得る必要がある。

Googleは8日、ユーザーから多くの不満が寄せられている3種類のWebページリダイレクトについて、来年からGoogle Chromeでブロック開始する計画を明らかにした(Chromium Blogの記事、 VentureBeatの記事、 The Vergeの記事、 Neowinの記事)。

来年1月23日リリース予定のChrome 64では、Webページに埋め込まれたサードパーティーのコンテンツによるリダイレクトをブロックするようになる。iframeからのリダイレクトはユーザーの操作によるものでない限りブロックされ、通知バーにその旨が表示されるとのこと。

ポップアップブロック機能を迂回する「逆ポップアップ」とも呼ばれる動作もユーザーの不満が多く聞かれるリダイレクトの一つだという。これはリンクをクリックした際にリンク先ページを新しいタブで開き、元のタブでユーザーが望まないコンテンツへのリダイレクトを行うというものだ。3月6日にリリース予定のChrome 65では元のタブのリダイレクトがブロックされるようになり、iframeからのリダイレクトブロックと同様に通知される。

また、1月初めにはユーザーをだまして望まないポップアップウィンドウや新しいタブを開くといった不正行為に対し、Google Safe Browsingと同様の仕組みによるブロッキングも開始するという。対象には再生ボタンやその他のWebページコントロールを装ってクリックさせたり、全面に透明レイヤーを配してすべてのクリックを乗っ取ったりする手法が含まれる。この変更にサイト所有者が備えられるよう、Google Web Toolsに不正行為リポート(Googleアカウントへのログインが必要)を表示する機能も追加されている。報告された不正行為を修正せずに30日以上経過すると、ブロック対象になるとのことだ。

hylom 曰く、

セキュリティ関連サービスを提供するディアイティ（dit）の社員が不正指令電磁的記録（ウイルス）保管容疑で逮捕された（毎日新聞、日経新聞、京都新聞）。

容疑は勤務先のパソコンを使い、ファイル共有ソフト「Share」上に画像や動画、文書ファイルなどを流出させるウイルス3個を保管したというもの。Share利用者がこのファイルをダウンロードするとウイルスに感染するという。また、このPCにはウイルス入りのファイル約2000個が保管されていたという。

ditは実際にShareでファイルが送信可能な状態になっていたことについては認めているものの、同社はファイル流出監視サービスを行っており、それに基づいた取得・保管だという。

Mozillaでは、個人情報流出の発生したWebサイトにFirefoxでアクセスした際、その旨をユーザーに通知する機能の開発を進めているそうだ(Firefox Nightly Newsの記事、 The Registerの記事、 BleepingComputerの記事、 GitHub - BreachAlerts)。

この機能はアカウント情報流出を確認できるWebサイト「Have I been pwned?」のAPIを利用したものだ。現在、Firefox 58/59に拡張機能として追加可能なプロトタイプがGitHubで公開されている。目標としては個人情報流出の被害が最近発生したWebサイトを訪問するユーザーに情報提供し、ユーザーが希望すれば電子メールでの通知サービスも利用可能にすることとなっている。

ただし、プロトタイプではadobe.comやlinkedin.comのように、個人情報流出の発生から時間が経ったWebサイトでも通知が表示されるという。また、電子メールでの通知サービスを利用する場合、電子メールアドレスがHave I been pwned?に送られることになるため、プライバシーの問題が懸念される。このプロジェクトはまだ初期の段階だが、ユーザーのプライバシーに影響を与えずに有益な機能を提供する方法の模索が行われているようだ。

maia 曰く、

米国土安全保障省(DHS)は米運輸保安庁(TSA)による空港の保安検査で武器や爆発物を発見できるかどうかの覆面調査を時々行っているが、最新の調査で約8割が検出されなかったという(Daily Mail Onlineの記事)。

今年の6月下旬にミネアポリス-セントポール国際空港で行われた調査では18個中17個を検出できず、失敗率約94％だったので少しは改善したかもしれない。2015年の覆面調査では70個中67個通過したので失敗率は約96％だった。

ちなみに2015年に米国の空港では銃2,653丁が発見されており、その83％は弾が装填されていたという。

今回の調査結果は非公表であり、ABC Newsが関係者に失敗率は80%程度かと尋ねたところ、「そんなものだ」との回答を得たとのこと。TSAでは空港の保安検査場で発見した武器の数を毎週ブログで公表しており、ほぼ毎週80丁前後の銃が発見されている。50丁を下回る週は少なく、150丁を超える週もある。2016年に保安検査場で発見した銃の数は3,391丁で、83%(2,815丁)が装填されていたとのことだ。

Google PlayにWhatsApp Messengerの偽アプリが複数出現しているようだ(The Registerの記事)。

The Registerが紹介しているのは「Update WhatsApp Messenger」という名称のアプリで、Redditユーザーの調査によると開発者名は正規の開発者と同じ「WhatsApp Inc.」の後ろに「0xC2」「0xA0」の2バイトが付加されていたという。付加された2バイト分は画面上で表示されないので、正規の開発者によるアプリのようにみえる。アプリの内容は基本的に他のアプリの広告を表示するだけのもので、「whatsapp.apk」をダウンロードするコードも含まれていたそうだ。このアプリは既に削除されているが、The Registerによれば100万回以上ダウンロードされていたとのこと。

ただし、偽アプリはこれだけではない。Google Playで「whatsapp」を検索すると、別の「Update WhatsApp Messenger」のほか、「WhatsApp」「WhatsApp Messenger」といった名称のアプリが複数ヒットする。検索結果トップに表示される「WhatsApp Messenger」と2番目の「WhatsApp Wallpaper」は本物のWhatsApp Inc.によるものだが、3位以下は偽開発者によるものだ。