画面には表示されない「ゼロ幅文字」を使ってコピー＆ペーストを検出するという手法があるそうだ（秋元@サイボウズラボ・プログラマー・ブログ、Medium）。

この技術は、非公開の掲示板に投稿された情報が漏れていたという出来事を発端として開発されたという。非公開のサイトにアクセスするためのユーザー名をゼロ幅文字による連続した文字列に変換し、表示するテキストに埋め込むことで、その文字列がコピー＆ペーストされた際にコピーを行ったユーザーアカウントを追跡できるという仕組みだ。この仕組みを導入した結果、流出したテキストから流出させたアカウントを特定できたという。

Intelは2日、Spectre/Meltdown脆弱性に対するマイクロコードアップデート(MCU)提供状況リストの更新版を公開した(Microcode Revision Guidance: PDF、 The Registerの記事)。

更新版では3月版(PDF)で「Planning」または「Pre-Beta」となっていた古い製品に対し、Spectre Variant 2対策を含むMCUをリリースしないことが明らかにされた。MCU提供の対象外となるのは、Nehalemマイクロアーキテクチャー製品の一部(Bloomfield/Bloomfield Xeon/Clarksfield/Gulftown/Jasper Forest)とPenrynマイクロアーキテクチャー製品(Harpertown Xeon/Penryn/Penryn QC/Wolfdale/Wolfdale Xeon/Yorkfield/Yorkfield Xeon)、およびAtom x3シリーズの一部(SoFIA 3GR)となっている。なお、Penrynよりも古い製品は元からリストに含まれていない(AtomはSilvermont以降のみ)。

Intelはこれらの製品にMCUを提供しない理由として、マイクロアーキテクチャーの特性上、現実的なSpectre Variant 2の緩和が難しいこと、システムソフトウェアのサポートが限られていること、製品の多くがクローズドシステムで使われており、攻撃を受ける可能性が低いことを挙げている。

一方、MCU提供対象から外れた製品を除く77製品のうち、75製品のMCUが完成しており、残るCoffee Lake S (6+2) Xeon EとCoffee Lake U43eが製品候補となっている。

ハッキングなどに関する技術情報を提供していたWebサイト「Wizard Bible」が、4月22付で閉鎖した。Wizard Bibleは2003年にスタートしたWebマガジンで、主催のIPUSIRON氏だけでなく、複数のエンジニア・研究者などがセキュリティやハッキングなどに関連する記事を寄稿していた。

同サイトの告知によると、閉鎖の理由一部の記事が「不正指令電磁的記録提供」に該当すると判断され、検察から閉鎖を要求されたという（現在これらの説明は削除済み）。「問題のある記事が投稿された場合、記事の内容を改めたとしても、投稿者のPC内のそのファイルが存在するのでアウト。通報しなければならない」「アンダーグラウンドな内容を含むWizard Bibleを続けることは反省が足りない」などとされたという（eagle0wl氏のブログ）。

また、2017年にフィッシングサイトを開設した高校生が逮捕されるという事案があったが（河北新報）、この高校生がWizard Bibleに寄稿していたという話もあるようだ。

この事件を受けて、セキュリティ研究者の高木浩光氏は「本件は別にしても、不正指令電磁的記録の罪については、このところ妥当性を欠く検挙例の話が聞こえてきており、いよいよ放置できない段階に来た」とコメントしている。

日テレNEWS24で「安全なパスワードの作り方」として安全でないパスワードの作り方を紹介していたことが話題になっている。

紹介されていたのは、「アルファベットの代わりに似ている記号や数字を使う」というもの。「情報提供：トレンドマイクロ」となっているが、昨今ではこのような手法を考慮した総当たり攻撃が行われているため、あまり意味はないという。これに対しセキュリティ研究者の高木浩光氏は正しい「安全で覚えやすい」パスワードのつけ方として、「5万語の語彙の辞書（広辞苑など）をランダムに開いて3つの語を選んで繋げる」を提案している。

2020年度よりマイナンバーカードを健康保険証がわりに利用できるようにすることを厚生労働省が明らかにしたという（時事通信）。

診療報酬の審査業務を行う「社会保険診療報酬支払基金」のシステムを利用し、保険運営者にマイナンバーと保険証番号を紐付けて登録してもらう。医療機関はこのシステムに問い合わせを行なって保険情報を照会できるようにするという。

INTERNET Watchが、無線LANルーターのサポート期間について各メーカーに問い合わせた結果を記事にしている。

先日コレガのルーターに脆弱性が見つかったが、サポート対象外ということで修正が行われなかったことを受け、アイ・オー・データ機器とNECプラットフォームズ、エレコム、バッファローの国内4社に製品のサポート期間を問い合わせたもの。

これによると、各社の回答は次のようになっている。

• アイ・オー・データ機器： ハードウェアの保証機関は3年もしくは1年だが、脆弱性に対するサポート期間については明確に設けていない
• NECプラットフォームズ：完売から7年。サポート終了の製品でも脆弱性等の重要度や影響度によって対策を行う可能性はある
• エレコム：サポート期間は定めていない。現状では終息商品含めて全商品対策を行う方針
• バッファロー：サポート期間は定めていない。重大な脆弱性が見つかった場合は販売終了製品も含めて対策版ファームウェアを用意し公開

政府・サイバーセキュリティ戦略本部が「政府機関等の情報セキュリティ対策のための統一基準群の見直し」を行い、その一環として政府機関等の全Webサイト及び電子メールについて、通信の暗号化対応を義務付ける方針を明らかにした（資料PDF、日経新聞）。

昨年12月の日経新聞記事によると、中央省庁のWebサイトの8割弱が暗号化（SSL/TLS）に対応していないという。

headless曰く、

Linuxの「beep」パッケージの脆弱性が先日公表されたのだが、便乗する偽特設ページが出現したり、他の問題も発見されたりした結果、beep不要論まで出る事態となった（Register）。

この脆弱性（CVE-2018-0492）はbeep 1.3.4までに存在し、setuidを設定した場合にローカルでの特権昇格が可能になる競合状態を引き起こすというものだ。偽特設ページはこの脆弱性を「Holey Beep」と名付け、でたらめな内容を織り交ぜた解説のほか、パッチと称するエクスプロイトも公開している。

Debianでは1.3-3+deb7u1（Wheezy）/1.3-3+deb8u1（Jessie）/1.3-4+deb9u1（Stretch）で修正されており、UbuntuでもDebianのパッチが適用されているようだ。しかし、Debianのパッチを適用した状態でも、beepが任意のファイルをrootとして書き込み用に開くことが可能とみられることが報告される。さらに整数オーバーフローの問題も報告された。

これらの問題を受けてoss-secメーリングリストでは、現在はビープ用スピーカーを備えるPCがほとんどない点や、周波数や長さなどの指定はできないものの「printf '\a'」で置き換え可能な点を指摘して、むしろbeepを廃止すべきではないかという意見が投稿されている。

hylom 曰く、

国土交通省は4日、大阪航空局と気象庁大阪管区気象台の廃棄書類約840枚が大阪市内の路上に散乱していたことを明らかにした(毎日新聞の記事、 産経WESTの記事、 日テレNEWS24の記事)。

文書には個人情報が含まれる機密性の高い文書も含まれていたといい、廃棄書類を処理する業者が運搬中に落としたとみられている。本来機密性のある文書は裁断することになっているが、今回の書類は裁断されていなかったという。

報じられた内容を見る限り、業者は機密書類の処理を依頼されたのではなく、単なるゴミとして引き取っていたようだ。

Googleは25日、Gmailの大幅刷新を発表した(The Keywordブログの記事、 Gmailヘルプ、 The Vergeの記事、 The Guardianの記事)。

Web版の新Gmailではメッセージをポイントするだけで操作アイコンが表示されるようになっており、メッセージを開いたり選択したりせずに各種操作が実行できる。添付ファイルもメッセージを開かずに直接表示できるようになっている。新たに追加された「スヌーズ」機能を使用するとメッセージが「スヌーズ中」フォルダーに移動し、指定期間を過ぎると受信トレイに戻る。

また、受信したメッセージの内容に応じて提案される応答候補から選択して返信できる「スマートリプライ」機能や、メッセージの送信相手が印刷や転送、コピーなどをできないようにし、有効期限も設定できる「Confidential」モード、未返信メッセージなどにリマインダーを表示する機能、サイドバーからGoogleカレンダーやKeepなどを表示する機能も追加されている。このほか、リスクの高いメッセージに警告を表示する機能も追加されたとのことだ。