あるAnonymous Coward 曰く、

どうも報道規制があるようでよく分からないのだが、少なくとも現行のIntel製CPUに脆弱性があり、カーネルメモリをユーザプロセスやWebページに組み込まれたJavaScriptなど様々なユーザ空間プロセスから読み出せる可能性があるようだ（4chan.org、TechCrunch）。対策としてLinuxカーネルやWindows NT系OSにおいてカーネルメモリ空間へASLRの導入がひっそりと進んでおり、Amazon、Google、Microsoftなどクラウドサービス事業各社は大規模なアップグレードを早いところでは来週にも計画している。

影響される利用形態はVPSにとどまらずデスクトップも含まれるが、対象のハードウェアがIntel Coreシリーズプロセッサやその一部で収まるのか、Core 2 Duoやそれ以前、またVIA Technologiesなど他社へ拡張されるかは不明だ。AMDは自社製品についてそのようなバグの影響を受けないと回答している。Linux Kernelにおいてはこの機能を有効にするフラグは X86_BUG_CPU_INSECURE と名付けられ、AMD製ではないすべてのx86プロセッサで有効になるよう設定されている。有効にすることによる性能低下は最大で35%弱となるようだ。

この脆弱性はGoogleのセキュリティチームProject Zeroによって発見されたもので、3日付けで解説記事が公開されている。昨今の多くのCPUに搭載されている投機的実行機能を悪用するもので、2017年6月にIntelおよびAMD、ARMにこの脆弱性を報告していたとのこと。この脆弱性を突く実証コード（PoC）も開発されている。

Project Zeroの発表では、3種類の脆弱性が提示されている。これに対しAMDは声明を発表、AMDのCPUにおいてこれらのうち1つは影響があるもののソフトウェアやOSの修正で対応できるとし、その場合の性能への影響もほとんどないとしている。また、1つは未検証ながらリスクは0に近く、1つは影響しないとしている。

また、ARMもこれについての情報を公開している。これによると、一部のCortexシリーズプロセッサがこの脆弱性の影響を受けるとのことだが、Linuxにおいてはすでに対応パッチが提供されているという。

Intel CEOのBrian Krzanich氏が2017年第4四半期収支報告で、今年中にSpectre/Meltdown脆弱性を直接的に解決した製品を出荷できると述べている(収支報告のトランスクリプト、 HotHardwareの記事、 Wccftechの記事、 収支報告のMP3: 該当部分は2分30秒あたりから)。

Krzanich氏はIntelにとって最優先事項はセキュリティであり、当面の課題は顧客のインフラストラクチャーを保護するための高品質な緩和策の提供だと説明。さらに、今後の製品ではSpectre/Meltdown脆弱性の直接的な解決策となるシリコンベースの変更を進めており、年内には登場するとのこと。

ただし、Krzanich氏は具体的な製品名や出荷時期については触れていない。PCWorldの記事ではシリコンベースの変更がSpectreとMeltdown両方の問題を解決できるのか、既存製品には適用しないのか、ダイサイズやパフォーマンスにどの程度影響するのかなど、6つの疑問点を挙げている。

ちなみに、Intelの2017年および2017年第4四半期の売上は過去最高を記録したとのことだ。なお、Intelが企業間秘密保持契約(CNDA)付きでOEMに配布したというSpectre/Meltdown脆弱性に関するテクニカルアドバイザリーをLeMagITが入手し、Krzanich氏がIntel株を大量売却した2017年11月29日付であることを報じている。

maia曰く、

1月26日、仮想通貨取引所コインチェックから（盗難時点で）約580億円相当のNEMが不正に引き出された。仮想通過の不正引き出しとしては過去最大となる。

BUSINESS INSIDERの記事によれば、1月26日午前0時2分、10 XEM（XEMはNEMの単位）がNC4に不正に送金された（正確なアドレスは「NC4C6PSUW5CLTDT5SXAGJDQJGZNESKFK5MCN77OG」で、最初の3桁を表記）。午前0時4分からの5分間に1億XEMが計5回NC4に送金された。その後午前8時26分までに更に5回送金され、不正引出しの総額は5億2630万10XEMとなった。また午前2時57分から午前3時59分の間にNC4から別アドレスへ計10回の資金の移動があった（午後11時42分にもNC4から1回資金移動があった）。コインチェックがNEMの異常な減額に気づいたのは午前11時25分で、その後（ビットコイン以外の）取引を停止するなどし、午後11時30分から記者会見を行った。残高が大きく減った場合のアラートはあるが「気付くまで8時間以上かかった」（日経新聞）と記者会見で述べているので、アラートが午前3時頃に出た＝その頃に盗まれたと解釈されたのだろうか。

秘密鍵が盗まれた経緯は不明。さらに問題点として、コインチェックではNEMをホットウォレットに置いていたこと（技術的に困難があったとコインチェックでは説明している）、マルチシグ（鍵の保管も別でないと意味ないが）が導入されていなかった事があげられている（楠正憲氏による解説）。

興味深いことに、犯人のウォレットは既にNEMのMosaic機能によってマーキングされており、各取引所に通知が回っているので、現金化不能になったようだ。また資金移動の自動追跡プログラムも稼働したようだ。

コインチェックは28日、NEMの被害を受けた26万人全員に日本円で補償すると発表した（ブルームバーグの記事）。相場下落の関係で総額は約463億円の見込みのようだが、全額を自己資金で賄うとしている。

長年にわたり英国・ロンドンのエクアドル大使館で保護しているジュリアン・アサンジ氏の問題を解決するため、エクアドル政府はアサンジ氏を帰化させて外交官として登録するという裏技を繰り出したのだが、外交官登録は英政府にあっさり断られてしまったそうだ(エクアドル外務省の発表、 SlashGearの記事、 NPRの記事、 The Registerの記事)。

アサンジ氏はスウェーデンで性的暴行など4件の容疑をかけられ、2010年にロンドンで逮捕された。しかし保釈中の2012年、エクアドルへの政治亡命を求めてエクアドル大使館に入り、そのまま5年半にわたって滞在を続けている。スウェーデンでの容疑は3件が2015年に時効を迎え、残る1件については昨年5月にスウェーデンの検察が捜査をいったん打ち切ると発表しているが、保釈中に逃亡したことから英警察はアサンジ氏が大使館を出るのを待ち構えているという。

スウェーデンの検察は後日アサンジ氏に接触できるようであれば捜査を再開すると述べているが、それ以上にアサンジ氏は米国へ身柄送還されることを懸念しているようだ。アサンジ氏が大使館の外に出れば身柄を拘束される危険があるため、エクアドル外務省ではさまざまな案の中から外交官特権によりアサンジ氏の人権を守るという方法を選択したとのこと。

エクアドル外務省の発表によれば、アサンジ氏は昨年9月16日にエクアドルへの帰化申請をし、12月12日に承認された。しかし、英国での外交官登録については12月21日に却下されたという。一方、英政府では、保釈中に逃亡したアサンジ氏が大使館を出て裁判を受けることが問題解決への道だとし、彼にエクアドルの市民権を与えることが長年にわたる問題を解決する道だなどと主張すべきではないとの声明を出したと報じられている。それでもエクアドル側は他の解決の道を探っているとのことだ。

shesee曰く、

先日、HaswellおよびBroadwell世代のCPUにSpectre Varient.2対策のマクロコードアップデートを適用すると高頻度に予期しない再起動を引き起こすというニュースがあったが（過去記事）、マイクロコードアップデートはほかの世代のIntelのCore iプロセッサでも再起動を引き起こすケースがあるようだ（CNET Japan）。

報道によると、SandyBridgeやIvyBridge、Skaylake、Kaby Lake世代のPCUでも問題が発生するケースがあるという。Coffee LakeのXeonはまだ提供されていないので、Coffee Lakeが対象なのかは不明だが、アーキテクチャはSkylakeの改良版と思われるために対象となる可能性は高いと思われる。

そのためIntelは過去5年のプロセッサに対策を提供するといいつつ、SandyBridge、IvyBridgeにもマイクロコードアップデートを提供するようだ。Intelが問題の起きないマイクロコードを提供できるといいのだが。

三井住友カードがパスコード認証機能付きのクレジットカードを発表した。日経新聞では「電源付きクレカ」などとして紹介されているが、このクレジットカードには入力ボタンや数字を表示するディスプレイ、スイッチが組み込まれている。クレジットカード番号は一部のみが表示されており、正しいパスコードを入力するとクレジットカード番号の残りがディスプレイに表示される仕組み（ITmedia）。

パスコードを入力しないと、磁気ストライプやICチップ機能を使った決済もできないとのこと。これにより、盗難クレジットカードなどによる不正決済を防止できるという。

IoT機器のセキュリティ対策強化に向けて、政府が「単純なパスワード」が設定された機器に対して無断でアクセスを行うことを認める方針だという（共同通信）。

現行の不正アクセス禁止法では、いかなる場合でも他人のID/パスワードを使って無断で機器にアクセスすることは禁じられていた。これに対し、単純なパスワードの場合は認めるなど制限を緩和し、一定のアクセスを認める方向だという。

中国や東アジア地域で、タイガー魔法瓶製品の偽物が多く流通しているという。そのため同社は模倣品対策として、製品に「真贋判定シール」を導入することを発表した。このシールは製品のパッケージなどに貼り付けられており、シールをめくると現れるQRコードをスキャンしてWebサイトにアクセスすることで、製品が正規品かどうかを判定できるという。

同じQRコードが複数回スキャンされるとその旨が表示され注意が促されるほか、登録されていないコードだった場合は不正なものとの警告を出すという仕組み。

インドの原子力潜水艦が昨年2月にハッチの閉め忘れによる浸水事故を起こしていたそうだ。その結果、現在でもこの潜水艦は航行できない状況になっているという（ニューズウィーク日本版）。

この潜水艦はインドが独自に開発したもので、短距離弾道ミサイルや中距離弾道核ミサイルを搭載できるという。

Intel CEOのBrian Krzanich氏が昨年11月、同社の株式を大量に売却していたことが再び話題になっている(V3の記事、 Softpediaの記事、 On MSFTの記事、 Business Insiderの記事)。

Intelの内規では重役や取締役に5年間一定数の株式を保有することが義務付けられており、CEOの場合は25万株だという。Krzanich氏がCEOに就任したのは2013年5月。そのため、2018年5月まで25万株を保有し続ける必要がある。

Krzanich氏は昨年11月29日にストックオプションを行使して得た合計644,135株を売却し、保有していた495,743株のうち合計245,743株を売却している。売却時のIntel株は44.05ドル～44.555ドル、ストックオプションの行使には1株当たり12.985ドル～26.795ドルを支払っているため、手元にちょうど25万株だけ残して2,500万ドル近くを得たことになる。

この件は昨年のうちに報じられていたが、Intelプロセッサーの脆弱性が公表されて同社株は下落しており、この脆弱性をProject ZeroがIntelに伝えたのが昨年6月だったため、脆弱性を知って売却したのではないかと疑惑を呼ぶことになった。ただし、IntelではKrzanich氏による株式の売却は以前から計画されていたもので、脆弱性の報告とは無関係だと述べているとのことだ。