あるAnonymous Coward 曰く、

Microsoft Officeではメインストリームサポート期間5年と延長サポート期間5年で10年セキュリティ更新が提供されてきたが、次のOffice 2019では延長サポートが約2年に短縮され、合計約7年になることが発表された(Windows for IT Prosの記事、 PC Watchの記事)。

Office 2019は2018年後半の出荷予定が発表されており、延長サポートは2025年後半までとなる。この延長サポート期間の短縮は、Office 2016の延長サポート期間が2025年10月14日で終了することに合わせたものだという。

Office 2016と2019がほぼ同時期にセキュリティ更新が終わるということは、もしかしてOffice 2019の次が最後のメジャーバージョンアップとなり、Windows 10のようにローリングリリースモデルに移行するのかもしれない。個人的には会社でいまだにOffice 2010を使っているので、最新のリリースを強制されるローリングリリースは歓迎だ。ただし、仮にそうなったとしてもOffice 2019に移行すれば2025年まで使うことになる。最新のOfficeが常に使えるのはずいぶん先となりそうである。

Microsoftによれば、イノベーションが加速する中で古いソフトウェアでは最新のセキュリティ機能や生産性のメリットをユーザーが享受できないため、現代的な更新ペースへの移行は避けられないとのこと。ただし、現行のOfficeについてはサポート期間を変更しないため、Office 2016よりも先に延長サポートが終了しないようにOffice 2019のサポート期間を設定したようだ。なお、Office 2019はサポート期間内のWindows 10 SAC(Semi-Annual Channel、旧CBB)リリースおよびWindows 10 Enterprise LTSC 2018、Windows Serverの次期LTSCリリースでサポートされる。

また、昨年11月にWindows 10 Enterprise/Educationでバージョン1511のサポート期間が6か月延長されているが、以降のバージョンでもEnterprise/Educationエディションに限り、 SACのサポート期間(リリースから18か月)+6か月のサポート期間となることも同時に発表された。

Microsoftは1日、IntelプロセッサーのSpectre/Meltdown脆弱性を修正するマイクロコードアップデートをMicrosoft Updateカタログで提供開始した(Windows Experience Blogの記事、 KB4090007、 Neowinの記事、 The Vergeの記事)。

当初は第6世代Coreプロセッサー Skylake H/Sおよび第6世代Core mプロセッサー Skylake U/Y/Skylake U23eが対象で、CVE-2017-5715(Spectre Variant 2)を修正するマイクロコードアップデートが含まれる。IntelからMicrosoftに提供され次第、追加のマイクロコードアップデートを随時提供する予定だという。現在のところ更新プログラムが対応するWindowsバージョンはWindows 10 バージョン1709(Fall Creators Update)とWindows Server バージョン1709(Server Core)となっているが、サポートされている他のWindowsバージョンについてもMicrosoft Updateカタログ経由で更新プログラムを提供すべく作業を進めているとのことだ。

コンピューターでエラーが見つかったと称してユーザーにプレッシャーをかけ、有料版の購入などを促すクリーナー/最適化アプリについて、Microsoftのセキュリティ製品が「望まれないソフトウェア」として検出・削除するようになるそうだ(Microsoft Secureの記事、 Softpediaの記事)。

Microsoftはマルウェアや望まれないソフトウェアの判定条件を最近改訂し、ユーザーに不安を与えるような形でメッセージを表示して有料サービスなどの購入を促すといった動作を「望まれない動作」に追加している。例としてはエラーを誇張して表示し、修正するには有料版の購入が必要だと主張するもののほか、他の方法では修正できないと示唆するもの、限定した期間内に対応しなければ修正できなくなると説明するものが挙げられている。

Windows Defenderウイルス対策など、Microsoftのセキュリティ製品では、望まれないソフトウェアの条件を満たすソフトウェアを3月1日から検出・削除するようになる。確認が必要なソフトウェアの開発者に対しては、Windows Defender Security Intelligenceポータルからファイルを送信するよう促している。

Webブラウザーに偽の警告画面を表示して電話をかけさせるタイプのテクニカルサポート詐欺では、ユーザーの操作を困難にするためのさまざまな手法が用いられるが、Windows版のGoogle Chromeユーザーが主なターゲットとみられる新たな手法による攻撃をMalwarebytesが報告している(Malwarebytes Labsの記事、 Neowinの記事、 Ars Technicaの記事、 SlashGearの記事)。

この手法では、ウイルスに感染したのでISPがPCをブロックしたといった内容の警告とMicrosoftの偽の電話番号を表示するとともに、大量のファイルダウンロードを実行してCPU使用率を100%まで上昇させ、ウインドウやタブを閉じることができないようにする。ダウンロードするファイルは実体があるわけではなく、Blobオブジェクトを生成し、window.navigator.msSaveOrOpenBlobメソッドで保存するというものだ。これを繰り返すことで大量のファイルダウンロードが実行されることになる。

Googleが7月にリリースを予定しているChrome 68では、すべてのHTTP接続ページで安全性に関する警告が表示されるようになるそうだ(Chromium Blogの記事、 Softpediaの記事、 VentureBeatの記事、 The Registerの記事)。

GoogleはHTTP接続ページで情報アイコンの右側に警告メッセージ「Not Secure」(日本語版では「保護されていません」)を表示する場面を徐々に拡大しており、Chrome 56以降ではパスワード入力フィールドやクレジットカード入力フィールドを含むHTTP接続ページで警告が表示されるようになった。Chrome 62以降ではHTTP接続ページの任意の入力フィールドへの入力を開始すると警告が表示されるようになり、シークレットウィンドウではすべてのHTTP接続ページで警告が表示されるようになっている。

Chrome 68では現行版のシークレットウィンドウでHTTP接続ページを表示した場合と同様、すべてのHTTP接続ページで「保護されていません」と表示されることになる。

Windowsのリモートデスクトップ機能を改変して販売していたシステム開発販売会社の社長らが商標法違反で逮捕された（時事通信、産経新聞、朝日新聞、FNN）。

報道によると、同社は美容室向けにPCや顧客管理システムを販売しており、その一環でWindowsのリモートアクセス機能を「正規のOSでは規制されている複数台での同時遠隔操作ができるように改変」していたという。

しかし、この改変によってセキュリティが悪化し、海外のサイバー犯罪グループがこれらのPCに不正アクセスを行い、踏み台として使われたという。当局は同社関係者が脆弱性に気付いていながら販売を続けていたとみているようだ。

UNICEF Franceは2日、仮想通貨でシリアの子供たちへの支援資金を調達するキャンペーン「Game Chaingers」を開始し、仮想通貨の採掘参加者を募っている(特設サイト、 UNICEF Franceのツイート、 The Next Webの記事、 キャンペーン動画)。

Game Chaingersは参加者が仮想通貨採掘ソフトウェアClaymoreを実行して仮想通貨Ethereumを採掘し、UNICEFのEthereumワレットに送金するという仕組みだ。ハイスペックなグラフィックカードを使用しているeスポーツコミュニティを主なターゲットにしており、特設サイトでは採掘ランキングなども表示される。

キャンペーンは3月31日まで。採掘参加者200名を目標としており、既に60%以上を達成している。既にEthereumを保有している場合は直接寄付することもできるほか、仮想通貨を使用しない寄付も受け付けている。

Googleは昨年、Symantecやその傘下の認証局が不適切にSSL証明書を発行していたとして、同社の発行した証明書すべてを無効化する計画を明らかにしていた（過去記事）。このスケジュールではChrome 66でSymantecによって発行された証明書が無効化されることになっているが、これに先駆けて、開発者やアーリーアダプタに向けたGoogle Chromeの実験的ビルド「Google Chrome Canary」でSymantecやその傘下であるRapidSSLなどが発行した証明書の無効化が行われたようだ。

bonkure曰く、

Googleさんは、Chromeにおける「Symantec発行の証明書の無効化」を宣言しておりましたが、最近リリースされましたChromeのCanaryのバージョンがめでたく66となり、Googleさんは本気だったことが証明されました。スラドも見事にその毒牙にかかり、Chrome Canaryでスラドのサイトにアクセスすると、「この接続ではプライバシーが保護されません」「it.srad.jpでは、悪意のあるユーザーによって、パスワード、メッセージ、クレジット カードなどの情報が盗まれる可能性があります。「NET::ERR_CERT_AUTHORITY_INVALID」などとなります。

うちにも、本件に該当するRapidSSLの証明書を使用したサイトが多数あり、今後、証明書の入換作業を余儀なくされる事となるのですが、証明書の再発行は無償でしていただくとして、証明書の入換作業のコストはお客様に請求するわけにもいかず、困惑しております。

なお、スラドでは2月6日までにすべての証明書について更新を行っており、現在はこの影響を受けないようになっている。

Facebookの二段階認証に携帯電話番号を登録すると、その番号にFacebookからスパムが送られてくるようになるという報告が出ている(Mashableの記事、 The Vergeの記事、 SlashGearの記事、 報告者のツイート)。

報告者のGabriel Lewis氏によれば、携帯電話を使用する二段階認証を有効にしてから半月あまり経過後、友達の投稿に関する通知がFacebookからSMSで送られてくるようになったという。さらに、このSMSに返信すると、そのままLewis氏のウォールに投稿されたそうだ。同様の問題は他にも報告されており、SMSに返信することで家族や友人を罵ってしまう結果になったという報告もみられる。

Lewis氏はFacebookからのSMS通知にオプトインしていないとのことで、設定自体も無効のままのようだ。米国では電話消費者保護法(TCPA)により、企業が受信者の合意を得ずにSMSを送信することは違法行為となる。今回の件は訴訟という話には至っていないようだが、Facebookが無断で送信するSMSについてはこれまでに複数の訴訟が提起されているとのこと。

FacebookではMashableやThe Vergeに対し、この問題がバグによるものか、意図的なものなのかについては触れず、通知をユーザーが制御できるようにしており、何か改善できる点があるかどうかこの問題を調査していると伝えたという。また、The Vergeに対しては、コードジェネレーターとセキュリティキーを使用すれば、電話番号を登録することなく二段階認証を利用できるとも述べたとのこと。

その後、Facebookの最高セキュリティ責任者 Alex Stamos氏が、この現象はバグであると説明。ユーザーがオプトインしない限りセキュリティと無関係なSMSが送信されないように対策を進めていると述べている。また、SMSへの返信がFacebook投稿になることについては、スマートフォンが広く普及する前には便利な機能だったが、現在ではあまり有用でなくなっているため、近く廃止すべく作業を進めているとのことだ(Stamos氏のFacebook投稿)。

あるAnonymous Coward曰く、

宇宙人から来たメッセージにより、人類のコンピューターがハッキングされてしまうかもしれない。天体物理学者のMichael Hippke氏とJohn Learn氏はそう警告する（CNBC、Slashdot）。

彼らの論文によると、人類の電波望遠鏡が危険なメッセージを拾うかもしれないという。例えば、コンピュータをシャットダウンするウイルス、あるいは宇宙からの脅迫状のようなものだ。もしかしたら、太陽を超新星にして地球を破壊してしまうかもしれない。

天体物理学者たちはまた、地球外生命体がサイバー攻撃を開始することで、彼らの意志（不快感）を表明する可能性があるとしている。