今年1月に発見されたCPUの脆弱性「Meltdown」や「Spectre」では、対策を行うとCPUの演算性能が低下することが知られている（過去記事）。これに対し、米マサチューセッツ工科大学が演算性能の低下無しに脆弱性対策を行う手法を開発したという（PC Watch、TechCrunch）。

この手法はプログラムが別のプログラムによって使用されているキャッシュにアクセスすることを防ぐためにキャッシュメモリの割り当てを制御するもので、OS側の最小限の修正で実現でき、実装が容易で性能の低下もないという。

Googleが8日、Google+の一般向けサービスを終了すると発表した。Google+が消費者の期待に応えるようなサービスでありつづけるには大きなチャレンジが必要であり、その一方でGoogle+はあまり使われていないことからサービス終了を決めたという（AFP、ITmedia）。

また発表によると、GoogleはGoogle+のAPIの一部に不具合があり、ユーザーが一部ユーザーのみが閲覧できるように設定されたプロフィールが、API経由で本来閲覧権限のないユーザーからも閲覧できるようになっていたという。閲覧できたデータはPeaple APIで取得できるものだけとのこと。メッセージや電話番号、そのほかGoogleアカウントに紐付けたデータなどが対象外。この問題は2018年3月に修正されているとのこと。

Googleはこの問題が悪用された形跡はないとしている。この不具合の発表が遅れたのは、当時Facebookの情報流出問題が話題になっており、そのタイミングでの発表はまずいと思ったのが理由のようだ。

Windows 10 バージョン1703(Creators Update) Home/Proエディションのサポートが10月9日で終了した(Windowsライフサイクルのファクトシート、 Computerworldの記事、 Softpediaの記事、 Neowinの記事)。

Windows 10 バージョン1703のHome/Proエディションに対する更新プログラム提供は、9日にリリースされたKB4462937(OSビルド 15063.1387)が最後となる。一方、Enterprise/Educationエディションは2019年10月までバージョン1703のサポートが続く。また、Windows 10 Mobile バージョン1703は2019年6月までサポートされることになっている。

ただし、2016年8月にリリースされたWindows 10 Mobile バージョン1607(Anniversary Update)のサポートも10月9日で終了となっているが、こちらは4月の更新プログラムKB4093119(OSビルド 14393.2189)を最後に更新プログラムは提供されていないようだ。Home/Proエディションではバージョン1607のサポートが4月に終了しており、これに合わせて終了してしまった感じにも見える。

あるAnonymous Coward曰く、

「amusecraft.jp」というドメインに対し第三者が移転申請を行い、うっかり承認してしまってトラブルになったと思われる小さな事件があり、スラド日記でも取り上げられていましたが、この舞台となったバリュードメインで仕様変更が行われました。

従来は「ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、ドメイン移転、指定業者変更申請から10日経過後、自動承認になる」という仕様だったのが、「ドメインロックがかかっていない、かつ、承認メールからの手動承認・手動拒否をしない場合、ドメイン移転、指定業者変更申請から10日目の午前3時頃、自動拒否になる」ように変更がなされました。

事由として「昨今、JPドメイン名におきまして、第三者によると思われる、意図しないドメイン移転、指定業者変更申請が確認できております」とあり、今回の事態（やった本人は自動承認を否定していますが）を受けた対処とみられます。

これにより放置されたドメインの引継ぎが難しくなりましたが、実際必要なのに様々な問題（管理者メアドの実質的消失、業者夜逃げ等）から有効期限切れまでドメインの管理がなされずアダルトやフィッシングサイト行きの展開が多い中、皆様はどう思われますか？

なお、被害者のドメインは.comで取り直した模様。

headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された（Google Security Blog、Microsoft Edge Dev Blog、WebKit公式ブログ、VentureBeat）。

GoogleはChrome 72（2019年1月に安定版リリース見込み）でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81（2020年1月に早期リリース見込み）ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ（Mozilla Security Blogの記事）。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。

朝鮮日報日本語版によると、2000年代に建造された韓国海軍の「KDX-Ⅱ」駆逐艦に搭載されているコンピュータ指揮システムは最悪の場合0.8日に1回の頻度で作動停止しているという。

この「0.8日に1回」というのは駆逐艦「王建」のケースだが、このシステムの2013年の作動停止頻度は21.7日に一回のペースだったとのことで、年々作動停止の間隔が短くなっているようだ。他の駆逐艦についても、平均停止件数は2013年時点で5.3日に1回、今年は1.4日に1回とのことで、全体的にシステム停止が増加している模様。また、KDX-Ⅱの前身となるKDX-Ⅰについても同様にシステム停止が頻繁に発生しているという。

なお、システム停止後の再起動には10〜30分ほどが必要になるそうだ。そのため、韓国海軍は2〜3日1回手動でシステムを再起動しているとのこと。

聖教新聞社のECサイト「SOKAオンラインストア」が不正アクセスを受けて改ざんされ、利用者のクレジットカード番号が不正に窃取される事件が発生した（日経xTECH）。セキュリティ研究者の徳丸浩氏によると、ここで使われたのは「新しい手口」だという。

今回の攻撃手法については、サイトの運営を委託されていたトランスコスモスが調査結果を発表している（発表PDF）。これによると、偽のカード決済画面の設置とECサイトのシステムの改ざんが行われており、決済時に偽の決済画面に遷移するようになっていたという。偽の決済画面ではカード情報を入力するとその情報を記録、もしくは攻撃者に送信した上で決済エラーが発生した旨を表示して正規の決済画面に遷移させていたようだ。

昨今ではセキュリティ対策としてカード情報を保持しないことが一部で推奨されているが、こういった「偽の決済画面」を使った手法ではカード情報を保持しなくとも攻撃によって情報漏洩が発生してしまうとし、徳丸氏は『クレジットカード情報「非保持化」では対策できないものであり、今後のクレジットカード情報漏洩事件の主流となる可能性があります。』と述べている。

米NPO・American Consumer Institute（ACI）の調査によると、家庭で使われている無線LANルータの83％で既知の脆弱性が修正されずに放置されているという（ITmedia）。

14メーカー・186台の製品を対象に調査した結果、155台に脆弱性が見つかったという。うち危険度が「クリティカル」の脆弱性は7％、「高」の脆弱性は21％だったという。オープンソースのコードを利用するルーターが増えており、こういった製品は脆弱性が見つかりやすい一方で、脆弱性が発覚しても放置しているメーカーも存在し、それがこのような状況を生んでいるようだ。

英国・ロンドンのエクアドル大使館が、長年保護しているジュリアン・アサンジ氏に対し、11日付で出したとされる大使館内での行動に関する指令書がリークしている(Código Vidrioの記事、 The Gateway Punditの記事、 The Guardianの記事、 The Vergeの記事)。

アサンジ氏は2010年にロンドンで逮捕されたが、保釈中の2012年に政治亡命を求めてエクアドル大使館に入り、現在まで滞在を続けている。大使館の外では保釈中に逃亡したアサンジ氏を逮捕しようと英警察が待ち構えているため、アサンジ氏は大使館外に出ることはできないものの、大使館内では比較的自由に行動できていたようだ。しかし大使館は3月、アサンジ氏がエクアドルと他国の間で外交問題を引き起こすような政治的発言をしないという約束を破ったとして、アサンジ氏のインターネットアクセスをブロックする。また、訪問者をアサンジ氏の弁護団に限定し、警備会社の契約も打ち切ったという。

リークした文書は(PDF)はスペイン語で書かれたもので、全9ページ、規定は32項目におよび、守られない場合はアサンジ氏に対する外交的庇護を打ち切ると明記されている。英訳が添付されるとの記載もみられ、英訳の文書(PDF)も公開されているが、(文書自体が本物だとして)アサンジ氏に渡された英訳と同じものなのか、リークしたスペイン語の文書を英訳したものなのか明確ではない。

規定は訪問者・通信・医療の3つに大きく分けられており、訪問者に関しては事前に書面による承認が必要なことや、訪問者を大使館が記録すること、規定を守らない訪問者は英当局に通報することなどが定められている。通信についてはWi-Fiサービス提供やアサンジ氏が使用できる通信機器、3月にブロックの原因となった外交上の問題を引き起こす発言を控えることなどが記載されている。

headless曰く、

インド・デリーでは国際的なテクニカルサポート詐欺ビジネスを行う偽コールセンターの存在が確認されており、デリー警察のサイバー犯罪対策班は過去1か月間に複数の拠点で計24名を逮捕しているそうだ（The Pioneer、Times of India、NDTV、Neowin）。

偽コールセンターはMicrosoftの正規のテクニカルサポートを偽り、勧誘電話やサーチエンジンの広告、Webブラウザーのポップアップを使用してターゲットに接触。ターゲットのPCでリモートアクセスを有効にさせ、マルウェアが見つかったと信じ込ませる。ターゲットは主に米国の年配者で、実際には存在しない脅威から守るためのサービス料金と称し、最高で月額499ドルを支払わせていたという。

警察はMicrosoft Indiaから多数の偽コールセンターがデリーで運営されているとの通報を受けて捜査を開始し、初動捜査で10か所の偽コールセンターを特定した。捜索による押収物には被害者から受け取ったMicrosoftテクニカルサポート宛の小切手や通話記録などのほか、Microsoftテクニカルサポートのトレーニング用教材も含まれるとのこと。

Times of Indiaの記事によれば、これらの偽コールセンターは個人情報を1件当たり200ルピー（約300円）ほどで購入して勧誘に使用していたといい、警察は個人情報の提供元を追跡しているとのことだ。