Microsoftは16日、6日にリリースしたOffice 2010向け更新プログラム2本の提供中止を発表した(KB4461522、 KB2863821、 Ars Technicaの記事、 BetaNewsの記事)。

KB4461522とKB2863821はいずれも日本の新元号に備えるもので、新元号開始時に正しく元号が表示されるようにOffice 2010の和暦カレンダーを修正する。ただし、実際の新元号を表示するには新元号発表後に提供される更新プログラムが必要となるようだ。

しかし、これらの更新プログラムをインストールすると、Accessやその他のアプリケーションがクラッシュする可能性があるという。そのため、提供を中止しただけでなく、更新プログラムのアンインストールが推奨されている。

トレンドマイクロがユーザーに周知せずに個人情報を収集していた問題を受け、AppleはApp Storeでの同社製アプリの配信を停止している。これに対し10月31日付けでトレンドマイクロが状況を説明する文書を公開した（ITmedia、窓の杜）。

これによると、トレンドマイクロはAppleがアプリケーションによる個人情報収集について厳しい制限を課していることを肯定的に評価するいっぽう、自社による個人情報収集に対しては「一定の履歴データを収集することは、想定しうる被害を最小限にとどめるために当社にとって必要」として正当化しており、これがAppleとの間で「見解の相違」となっているという。

これに対し、セキュリティ研究者の高木浩光氏は「業界の信用を傷つける思想」と批判、抗議するべきと訴えている。

今年1月、単純なパスワードが設定された機器への調査目的の不正アクセスを合法化する動きがあることが話題となったが、今年5月に国立研究開発法人情報通信研究機構（NICT）に対しこういったアクセスを認めるような法改正が行われ、11月1日に施行されたとのこと。これを受けてNICTが国内IPv4アドレスに対するポートスキャンを実施すると発表している（INTERNET Watch）。

ポートスキャン対象ポートはTCPの22番および23番、80番ポートなどとされている。また、ポートが開放されているIPアドレスに対しては返答などのバナー情報を収集するとのこと。まずは11月14日から来年1月末までに事前調査を行う予定で、事前調査ではNICTが利用している次の3つのアドレスからの発信が行われるとのこと。

• 210.150.186.238
• 122.1.4.87
• 122.1.4.88

NASAがSpaceXとBoeingに対し、職場環境の安全性評価を行うそうだ(The Vergeの記事、 Ars Technicaの記事、 GeekWireの記事、 The Washington Postの記事)。

The Washington Postに情報を提供した3名の職員によると、9月にYouTubeのライブ番組に出演したイーロン・マスク氏がカメラの前でマリファナを喫煙したことが評価実施の理由だという。番組の収録されたカリフォルニア州では娯楽用途での大麻利用は合法だが、国レベルでは禁止されている。NASAでは違法薬物のない職場環境実現のため、職員に対して大麻やコカインなど5種の薬物検査を行っている。

NASAは評価実施の理由について回答を避けているが、違法薬物のない環境を含め、職場の安全性がNASAの基準を満たしているかどうかを確認するため、企業文化の評価を民間パートナーに対して実施すると述べているとのことだ。

なお、NASAは21日、米民間宇宙船による国際宇宙ステーション(ISS)へのクルー輸送ミッションについて、SpaceXによる1回目のテストフライト(Demo-1、無人)を2019年1月7日に実施すると発表した。その他のスケジュールに関しては10月の発表から変更されていない。

KAMUI曰く、

TSUTAYAが、アルバイト店員による「Twitter上での脅迫発言」について謝罪している（TSUTAYAによる謝罪文、ニッカンスポーツ、J-CASTニュース）

件のアルバイトは原爆Tシャツなどが騒動になっていた韓国の防弾少年団（BTS）のファンだったらしく、店内で男性客がBTSに否定的な話をしていたのを聞いて「個人情報を取り扱う仕事上、名前から性癖まで暴露可能だ」とツイートしたという。これだけでも大概なのだが、他にも「大学を燃やす」や「大学の講師を殺す」といったツイートも行なっていた。しかも別のツイートでは地震のアルバイト先の店名を出していたそうで、まぁ何というか……頭悪いなぁとしか。

れはさて置き、先の謝罪文では「社員・アルバイトスタッフへの啓蒙教育を通じて、再発防止に努める」旨の内容になっているのだけど、そもそも「アルバイトが顧客の個人情報にフルアクセス可能」ならば、それはTSUTAYAの情報管理体制に問題ありと言えるんでないかぃ？

さくらインターネットが、セキュリティ対策なしにサーバーを放置しているユーザーに対して「お願い」として対策を求めている（INTERNET Watch）。

挙げられている対策は下記のとおり。

• パスワードはすべて適切な強度を満たすように設定してほしい
• なるべく自動アップデートを利用してほしい
• ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール（WAF）を活用すること
• 持続的な運用または終了方法を考えてほしい

背景には、管理者がいなくなってしまったサーバーや、管理者がやる気をなくしてしまったサーバーが運用状態のまま放置されているという問題があるという。こういったサーバーで利用されているソフトウェアで脆弱性が見つかった場合、管理権限が奪われて攻撃の踏み台にされるおそれもある。

ニューヨーク大学とミシガン州立大学の研究グループが機械学習を用い、スマートフォンなどの指紋認証機能で「マスターキー」のように多数の指紋と一致する「DeepMasterPrints」の生成に成功したそうだ(論文: PDF、 The Guardianの記事、 Android Policeの記事、 Motherboardの記事)。

指紋認証デバイスの中でもスマートフォンなどに搭載されるものは操作性の問題で小型に作られており、指紋全体ではなく一部分だけで一致を判定する。指紋の一部分では情報エントロピーが低下するため、別の指の指紋と一致する可能性が高くなる。また認識失敗を防ぐため、エンロール時に複数の指の指紋を登録させるものもあり、さらに誤一致の可能性が高まる。

今回の研究グループ5名のうち3名は昨年、多数のユーザーの指紋に一致する合成指紋「MasterPrints」を生成する研究成果を発表している。ただし、MasterPrintsは指紋テンプレートの細部を変更することで生成するもので、画像は生成されなかったという。一方、DeepMasterPrintsは本物の指紋画像セットを敵対的生成ネットワーク(GAN)に学習させ、潜在変数進化(LVE)を用いて一致する指紋の数を最大にしたもので、外見は普通の指紋画像に似ており、より多くの指紋に一致するとのこと。

先日「Wizard Bible」管理人、ウイルス公開の疑いで略式起訴。問題のプログラムは一般的なサンプルコードという話題があったが、はてな村定点観測所の齊藤氏が、起訴されたIPUSIRON氏から直接聞いたという「検察と争わなかった理由」を明らかにしている。

理由の1つとしてPCが押収されて仕事に支障が出ているというものが報じられていたが、それ以外にも氏の母親が病気療養中であり起訴前に亡くなられていたこと、氏が住む地域のコミュニティにこの話が広まって自身や家族が孤立することを恐れたこと、の2つの理由があったという。

悪用することで本来アクセスできないはずの情報を読み出せるという新たなCPUの脆弱性（CVE-2018-5407）が発見された。この脆弱性はIntel CPUでのHyper-Threadingなどの同時マルチスレッディング（SMT）が影響を受けるとのことで、Intel以外のCPUでも影響を受ける可能性があるようだ（窓の杜、サイオス セキュリティブログ、Phoronix）。

この脆弱性は「PortSmash」と名付けられており、実証コードでは管理者権限なしにOpenSSLの秘密鍵を盗み出すことに成功しているという。この脆弱性はCPUの投機実行機能には依存しないとのことで、先日大きな問題になったMeltdown/Spectre脆弱性などとは無関係だという。この脆弱性についてすでにIntelへの情報提供は行われているようだが、どのような対処が行われるかは不明。とりあえずHyperThreadingなどのSMT機能を無効にすることで対処は可能とのこと。

ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事、 ラドバウド大学によるアドバイザリ: PDF、 論文ドラフト: PDF、 The Registerの記事)。

研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。

CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。