あるAnonymous Coward曰く、

米国防総省は、機密性の高い軍事施設などで、自分の位置を特定される可能性のあるフィットネストラッカーやスマートフォンアプリケーションの使用制限を命じる指令が出された。APが入手したメモによると、スマートウォッチにリンクされているフィットネストラッカーや携帯電話のアプリケーション、その他の電子機器の使用が禁止されるようだ（AP、Engadget Japanese、Slashdot）。

新たな指令では、組織や各部隊のリーダーは、担当地域のセキュリティ脅威に基づいて、各デバイスのGPS機能を使用できるかどうかを判断できるとしている。先のメモでは、各デバイスによる地理的位置情報は、個人情報、場所、ルーチン、国防総省の人員を暴露する結果をもたらし、作戦上のリスクを増大させる可能性があるとしている。

この指令が出た背景には、フィットネスバンドPolarの専用アプリ「Polar Flow」にセキュリティーリスクがあったことが影響しているようだ。この調査では、核兵器を保管している施設に出入りしている人や原子力発電所で働く管理職、北朝鮮の国境付近に駐留する兵士など、およそ6500人の個人情報を取得し、自宅の場所なども特定できたとされている。

あるAnonymous Coward曰く、

無料でSSL/TLS証明書を発行するLet's Encryptが、同プロジェクトのルート証明書がMicrosoftやGoogle、Apple、Mozilla、Oracle、blackberryなどを含む主要メーカーの製品から直接「信頼」されたことを発表した。

無料でHTTPSの利用ができるようになるとあって多くのユーザーからの支持を得ているLet's Encryptではあるが、すべての端末で直接信頼されるためにはさらに5年以上かかるという予想を出している。

Let's Encryptのルート証明書は比較的新しいOSやブラウザ、端末からは直接信頼されているものの、世の中にはそうでない古くからあるシステムも数多く稼働している。これに関しては古いシステム自体がWebエコシステムから退出するのを待つしかなく、これには5年以上かかるとLet's Encryptは見積もっているという（GIGAZINE、BLEEPING CPMPUTER、Slashdot）。

なお、Let's Encryptでは中間証明書が大手認証局IdenTrustによってクロス署名されているため、Let's Encryptのルート証明書を直接信頼していない製品であってもLet's Encryptで発行された証明書はほとんどのケースで信頼されるようになっている。

あるAnonymous Coward曰く、

北海道に拠点を置く北洋銀行（第二地方銀行）では、各種オンラインサービスと連携を図りやすくするため「ほくようID」というものの発行に力を注いでいるようだ。ところがこの「ほくようID」を発行すべくオンラインで手続きを進めると、キャッシュカードの暗証番号を入力しろとの案内が出る。

ほくようIDの「よくあるご質問」ページには「ユーザー登録やパスワード再設定の際に、ご本人確認のため暗証番号の入力をお願いしております。暗号化技術を採用し、セキュリティに十分配慮しておりますので安心してご利用ください。」とある一方、北陽ダイレクトの「よくあるご質問」ページなどでは、「当行から会員番号を除き、パスワード、暗証番号等をお尋ねすることはありません」とある。

はたして一般的な利用者は、ほくようIDの暗証番号入力画面が正規の北洋銀行のWEBサーバーだとどのように認識するのだろう。「ほくようID」の発行サイトを装ったサイトを作れば、口座番号も氏名も生年月日も、さらには暗証番号までも、すんなりと手に入れられてしまうだろう。

フィッシングに注意を促すべき銀行自体が、その手口を理解していないようにも思えるこの事案。あっちはダメでこっちはよいという、ダブルスタンダードを掲げる金融機関のセキュリティポリシーに疑問を感じざるを得ない。

最も第二地方銀行くらいの情報部門にそこまで考えろというのは荷が重いのかもしれないが:p