あるAnonymous Coward 曰く、

財務省が、「黒塗りに時間がかかる」と発表を遅らせていた学校法人「森友学園」との交渉記録などに関する文書を23日にWebサイトで公開したが、この「黒塗り」が簡単に外せる状態になっていたことが分かった（NHK）。

この文書が黒塗りが外せる状態で公開されていたのは数時間だが、これを入手したメディアやジャーナリストによってすでに検証が行われている（AERA、ロイター）。黒塗りが外れた状態の書類が出回るのも時間の問題か。

20日から22日にかけてAvastを使用している環境でWindows 10 バージョン1803にアップグレードすると正常に動作しなくなる問題が報告され、Microsoftが該当環境へのバージョン1803の配信を一時停止したそうだ(Avast Forum、 The Registerの記事、 BetaNewsの記事、 Softpediaの記事)。

症状としては、起動時に回復オプションが表示される、ログインすると「ごみ箱」アイコンとタスクバーのみの黒いデスクトップが表示される、といったもののようだ。ログイン時にはデスクトップにアクセスできないといったメッセージが表示されるとのことで、スタートメニューも機能しないとのこと。

Redditのスレッドでは症状が発生する環境の99%でAvastを使用しているとまとめられているが、AVGやMcAfee、Nortonで問題が発生したとの報告もみられる。Microsoft Communityでは 1)回復オプションから以前のバージョンに戻す、2)解決法が提供されるまで待つ、3)ファイルをバックアップしてWindows 10を再インストールする、という対処法が紹介されているが、アンチウイルス関連の記述はない。

Avastは当初、Microsoftと協力して調査しているが両社ともに症状を再現できていないこと、MicrosoftがAvast環境へのバージョン1803配信を一時的に停止したことをフォーラムで報告していた。しかし、その後バージョン1803の最新アップデートとAvast Behavior Shieldとの間で互換性の問題が確認されたとし、更新の提供開始を同スレッドで報告している。バージョン1803の配信が再開されたかどうかについては報告がない。

Avastによれば、タイミングやインターネット接続状況などによっては問題が発生しないこともあるという。既に問題が発生したユーザー向けには、The Computer CellarのWebサイトで解説されている修復手順を紹介している。手順としては黒いデスクトップ画面が表示された状態で、別途用意したWindows 10インストールメディアの「setup.exe」をタスクマネージャーの「新しいタスクの実行」から起動して再度アップグレードするというものだ。この方法ではユーザーファイルが失われることはないとのこと。

Microsoftがバージョン1803(April 2018 Update)のWindows 10/Server向けに、IntelプロセッサーのSpectre Variant 2 脆弱性を修正するマイクロコードアップデートを提供開始した(KB4100347、 Neowinの記事、 On MSFTの記事)。

Microsoftでは既にバージョン1709(Fall Creators Update)向けのマイクロコードアップデート(KB4090007)をMicrosoft Updateカタログで提供しているが、現在のところ第4世代CoreプロセッサーなどHaswell世代以降の対応となっている。一方、KB4100347では第2世代CoreプロセッサーなどSandy Bridge世代以降に対応する。

KB4100347は当初、Windows UpdateとMicrosoft Updateカタログで配信され、自動更新が有効になっていれば自動で適用されると説明されていた。Windows Updateに関する説明はその後削除されたが、さらに更新されて設定アプリの「更新とセキュリティ→Windows Update」で「更新プログラムのチェック」を実行するように指示する内容が追加されている。また、WSUSからもインストールできるようになったとのこと。

maia 曰く、

キーのボタンでエンジンを始動できるスマートキー（インテリジェントキー）の車で、エンジンの停止忘れによる一酸化炭素中毒の死者が2006年以降、米国で少なくとも28人にのぼっているという（CNN）。

エンジンが停止していない場合は警告音を出すとか（メーカーによっては装備済み）、長時間のアイドリングは止めちゃうとか、安全装置の仕組みは色々考えられそうだが、スマート化によって便利になったのかハイリスクになったのか……。

minet 曰く、

Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した(Twitter公式ブログの記事、 ITmedia Newsの記事)。

Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使用された兆候はみられないとのこと。

データストアでは暗号化していてもログに平文で残っているのは、セキュリティあるある事例だ。

Twitterはログに記録された平文パスワードをすべて削除しているが、念のため同じパスワードを使用しているすべてのWebサービスでパスワードを変更することや、強いパスワードを設定すること、2要素認証を有効化すること、パスワードマネージャーを使用してWebサービスごとに異なる強いパスワードを使えるようにすることを推奨している。ちなみに、今年は5月3日がWorld Password Dayだった。

今年1月に明らかになったCPUの脆弱性「Meltdown」や「Spectre」などと同種の脆弱性が新たに見つかったようだ。ドイツのコンピュータ関連メディアであるHeiseが報じたもの（Neowin、GIGAZINE、Intelリリース、Reuters、Slashdot）。

MeltdownやSpectreについてはすでに対策パッチがリリースされるなど、騒動はいったん収束しつつある。しかし、今回発見されたものはSpectreと似たようなメカニズムを使うものであるが、MeltdownやSpectre向けのパッチでは対応できないようだ。

発見された脆弱性は合計で8つあり、すでにCPUメーカーに対しては情報を開示しているという。しかしまだその対策方法は公になっていないため、脆弱性の詳細についてはまだ隠されている。うち4つの脆弱性は「高リスク」、残りの4つは「中程度のリスク」に分類されるという。

今年1月、仮想通貨取引所コインチェックから多額の仮想通貨が不正に引き出される事件が発生した（過去記事）。この事件に関連し、犯人グループによるものと思われるSNSアカウントが、同社社員と約半年前から交流を持っていたことが明らかになった（NHK）。

犯人グループは同社で管理権限を持つユーザーを割り出し、事件発生の約半年前からSNSなどを通じて複数の社員とやり取りを行っていたという。そうして信頼を得た後、ウイルス入りのメールを送信してそれを開かせ、管理権限を奪ったようだ。

Googleは17日、9月リリースのChrome 69でHTTPS接続ページの「保護された通信」という表示を削除する計画を明らかにした(Chromium Blogの記事、 Making HTTP As Non-Secure、 The Vergeの記事、 Ars Technicaの記事)。

ChromeではHTTP接続ページで情報アイコンの右側に「保護されていません」という警告メッセージが表示される場面を徐々に拡大しており、7月リリース予定のChrome 68ではすべてのHTTP接続ページに警告を表示する計画だ。一方、Chromeで閲覧されるHTTPS接続ページの比率が2年前と比べて大幅に増加していることもあり、保護された通信をデフォルト扱いにし、特に表示を行わないことに決めたという。

Chrome 69ではHTTPS接続ページで錠前アイコンのみがグレーで(現在は緑色)表示されるようになり、将来はアイコンも表示されなくなるようだ。この部分には証明書の情報やサイトの設定などを表示する機能が割り当てられているが、これらの機能がどうなるのかについては説明されていない。

また、10月リリースのChrome 70では、HTTP接続ページでユーザーがデータを入力した際に情報アイコンが警告アイコンに変わり、アイコンと「保護されていません」表示が赤色に変化するようになることも同時に発表された。将来はデータ入力の有無にかかわらず、すべてのHTTP接続ページで警告表示にする計画とのことだ。

Yahoo! JAPANがパスワードでのログインを無効化し、SMSやメール経由でのログインのみを有効にする機能の提供を開始した（ヤフーの発表、INTERNET Watch）。

この機能を有効にするとパスワードでのログインが行えなくなり、その代わりログイン時には登録されている電話番号やメールアドレスに毎回SMSやメールで送信される確認番号が必要となる。これにより、流出したメールアドレスとパスワードの組み合わせを使って不正ログインを試みるような攻撃を防ぐことができる。

ヤフーではすでに新規登録ユーザーに対してはパスワードを設定せずにアカウントを登録できる方法を提供しているとのこと。これを既存のユーザーにも広げるものとなる。ただし、この設定はスマートフォンからのみ行えるとのこと。

複数のMicrosoft製品およびそのインストーラにおいて、DLL読み込みに関する脆弱性が発見された（JVN#91151862）。

この脆弱性は、アプリケーションやインストーラの実行時に、それと同一のディレクトリ内に存在する特定のDLLファイルを読み込んでしまうと言うもの。Microsoftはこの問題を認識しているものの、攻撃の実現性は限定的であるため対処は行わないという（Microsoftによる「DLL の植え付けの脆弱性のトリアージ」ドキュメント）。