無限ループを使ってメッセージを延々と表示させるようなスクリプトが仕込まれたWebページへのリンクをネット掲示板に書き込んだ13歳中学生など3名が補導・家宅捜索された（NHK、サンケイスポーツ）。これに対し批判の声が集まっている（ITmedia、Engadget日本版）。

問題のページはFC2でホスティングされていたページ（http://n41050z.web.fc2.com/burakura.html）とのことでで、現在は削除されている（piyolog）。Webアーカイブに保存されているアーカイブによると、次のようなスクリプトが含まれていたようだ。

for（ ; ; ）{
window.alert（"　∧_∧　ババババ\n（ ・ω・)=つ≡つ\n（っ ≡つ=つ\n`/　　)\n(ノΠＵ\n何回閉じても無駄ですよ～ww\nm9（＾Д＾）プギャー！！\n　byソル (@0_Infinity_)"）
}

海外でもZDNetが問題となったページのWebアーカイブへのURL付きでこの問題を報じるなど注目されている。また、JavaScriptの生みの親であるBrendan Eich氏はこの報道に対し、「Chromeから10年も前に生まれたNetscape 4ですらJavaScriptループをユーザーに止めさせる機能があるのに」とコメントしている。

なおこの件については「ブラウザクラッシャー（ブラクラ）で逮捕・補導」などとも言われているが、問題のWebページはアクセスしてもWebブラウザがクラッシュしたり操作不能になるわけではなく、タブを閉じたりブラウザを終了させるだけで簡単に対処できることから、ブラクラではないとの指摘も出ている。

Microsoftは4月1日からWindows 7 Extended Security Updates(ESU)を販売開始する(Microsoft 365 Blogの記事、 Computerworldの記事)。

Windows 7 ESUはボリュームライセンスでWindows 7 Professional/Enterpriseを利用しているユーザーを対象に、Windows 7の延長サポートが終了する来年1月14日以降も最大3年間、有料でセキュリティアップデートを提供するというものだ。

ESUはデバイス単位で販売され、1年ごとに価格が上昇する。WindowsソフトウェアアシュアランスまたはWindows 10 Enterprise/Educationサブスクリプションのユーザーに対しては値引きがある。Microsoftは価格を公表していないが、Computerworldによれば1年目は50ドル(値引きが適用される場合は25ドル)で毎年倍増していくとのこと。

昨年9月に発表されていた通り、ESUが有効なデバイスでは2023年1月までOffice 365 ProPlusを使い続けることが可能だ。また、Microsoft 365ユーザー向けのWindows Virtual DesktopではESUが2023年1月まで無料提供される。

Windows 7は延長サポート終了まで1年を切っているが、StatCounterのWindowsバージョン別シェアデータでは2月も33.89%となっている。延長サポート終了後も高いシェアを維持して話題になったWindows XPでも、同時期(2013年5月)のシェアは24.85%だった。スラドの皆さんの職場では、ESUの購入を検討しているだろうか。

あるAnonymous Coward曰く、

Webサイトに仮想通貨のマイニング（採掘）を行うスクリプトを設置し、閲覧者の端末で仮想通貨の採掘を実行させたとして不正指令電磁的記録保管罪に問われた男性に対し、横浜地裁が3月27日、無罪を言い渡した（ITmedia、弁護士ドットコムニュース）。

検察側が控訴するかどうかは明らかになっていない。控訴が行われ受理されれば、高裁、最高裁と順に審理に誤りがないか、法に誤りがないか詳細に判断されることになる。

なお、Securty NEXTによると、昨今では多くのセキュリティソフトが仮想通貨の採掘ソフトウェアについて「マルウェアではない」と分類しているという。

すみだセキュリティ勉強会が、しばらく勉強会の開催などの活動を休止するという（勉強会の活動休止のお知らせ）。「昨今の警察の動きがあまりにも不穏で、単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねないため」とのこと。

昨今では延々とメッセージを表示させるWebサイトのURLを貼った中学生らが補導・逮捕されたり、サイトにCoinhiveを設置していたサイト管理者が不正指令電磁的記録取得・保管罪で摘発されたり、「Wizard Bible」管理人がウイルス公開の疑いで略式起訴されるといった事件が発生している。これらはいずれも法的に問題はないと思われていたにもかかわらず警察によって摘発された事案であり、こういった状況では「発表者の方が近隣の神奈川県・埼玉県・千葉県から来られる場合……その発表を元に、各県警により不正指令電磁的記録に関する罪で発表者が逮捕される可能性があります」と懸念している。

あるAnonymous Coward曰く、

43人のフリーランス開発者を対象にWeb登録フォームを作らせるという調査を行ったところ、そのうち26人がパスワードを平文保存していたという論文が発表された（柴田淳氏のTweet）。

この論文では、開発者を次の4グループに分けて依頼を行った。その結果、22歳から68歳の43人の開発者がこの「業務」を請け負ったという。

• 報酬100ユーロ、「パスワードを安全に保存するように」との指示あり
• 報酬200ユーロ、「パスワードを安全に保存するように」との指示あり
• 報酬100ユーロ、「パスワードを安全に保存するように」との指示なし
• 報酬200ユーロ、「パスワードを安全に保存するように」との指示なし

その結果、ハッシュ関数を使って不可逆な形でパスワードを保存したのは17人の開発者のみで、残りの26人は可逆的な暗号化もしくは単純なBase64エンコーディングでパスワードを変換して保存していたという。また、可逆的な暗号化やBase64エンコーディングを使っていた開発者に対しセキュリティ的な問題を指摘したところ、12人がハッシュ関数を利用するように変更を行ったそうだ。

また、「パスワードを安全に保存するように」との指示を出していた開発者はその過半数がハッシュ関数を使ってパスワードを変換して保存していた一方、その指示がない開発者らはほとんどがパスワードを可逆的な暗号化もしくはBase64で保存していたという。そのほか論文では各開発者が使ったパスワード変換アルゴリズムや作業時間などについてもまとめられている。

Thunderboltではハードウェア同士がソフトウェアを介さずに直接データ転送を行うDMAを使ったデータ転送が可能だが、Thunderbolt経由で接続された機器からDMAを使ってシステムメモリを直接読み書きできてしまうという脆弱性が見つかったことが報じられている。これを悪用し、意図的にデータを盗んだり改変するようなThunderbolt接続のハードウェアを作ることができるようだ（itnews、GIGAZINE、Slashdot）。

この問題は「Thunderclap」と呼ばれている。DMAによるデータ転送を行う場合、通常は許可されたアドレスへのデータ転送以外は行えないよう制限がかけられる。しかし、多くのOSでこの制限をバイパスしてDMAアクセスを可能にする脆弱性が存在するという。

この問題を指摘した研究者らはFPGAを使い、Thunderbolt経由でPCに接続して攻撃を行うデバイスを実際に作成、さまざまなOSで検証を行った。その結果、WindowsやmaOS、Linux、FreeBSD、PC BSDなどでデータの読み取りといった悪意のある操作を実行できたという。

以前、漫画の海賊版配信サイト「漫画村」で仮想通貨を採掘（マイニング）するスクリプトが埋め込まれていたとトレンドマイクロが指摘していたが（過去記事）、トレンドマイクロがTVでの取材時に事実とは異なる実演を行っていた可能性が指摘されている（Togetterまとめ、黒翼猫のコンピュータ日記 2nd Edition）。

漫画村で使われていた採掘スクリプト（Coinhive）の設定では、採掘に使用するCPUリソースを設定するパラメータ「Throttle」が1に設定されていたという。このパラメータはCPUパワーのうちどれだけを採掘に利用するかを設定する物で、「1」だと採掘に使用するCPUリソースを最小限にする設定になるという（トレンドマイクロの翻訳記事）。そのため、この設定でCPU利用率が100％になることはないと指摘されている。

また、問題の取材ではWebブラウザとしてInternet Explorerが使われていたが、CoinhiveはInternet Explorerでは動作しないという。さらに、CPU利用量を示すものとして例示されたグラフも不自然だという。

取材映像ではWebページに外部からスクリプトなどを埋め込めるデバッグツールである「Fiddler」が動いているとの指摘もあり、意図的にCPU使用率を操作しているのではないかとも指摘されている。

昨年5月、複数のMicrosoft製品でDLL読み込みに関する脆弱性が発見されたが、Microsoftはこれに対し「アプリケーション ディレクトリにおけるDLLの植え付けのカテゴリに該当するDLLの植え付けの問題は、多層防御の問題として扱われ、更新プログラムは将来のバージョンについてのみ検討されます」との見解を出していた（Microsoft TechNet、過去記事）。これを受けてJVNが、Windows 7 における DLL 読み込みに関する脆弱性として脆弱性レポートを公表した。

問題の脆弱性は「細工されたDLLファイルが実行ファイルと同一のディレクトリに置かれていた場合、任意のコードを実行される可能性がある」というもの（窓の杜、Security NEXT）。これに対しMicrosoftはWindows 7においてはこの問題を修正する予定はないとしている。Windows 10ではこの脆弱性を緩和する機能が導入されており、脆弱性レポートでは対策方法として「Windows 10へのアップグレード」が挙げられている。

老舗のファイル圧縮・展開ソフト「WinRAR」の脆弱性を悪用するマルウェアが多数登場しているという（SLASH GEAR、ZDNet、Engadget、Slashdot）。

この脆弱性は2月に明らかになったもので、細工を行なった圧縮ファイルをWinRARに処理させることで、任意の場所にファイルを設置できるというもの（Security NEXT、CVE-2018-20250）。すでに修正版がリリースされているが、バージョン5.61以前のすべてのWinRARにこの脆弱性が含まれている。

この脆弱性が公表されて以来、すぐにこれを悪用するマルウェアが登場したとのことで、100種類以上の攻撃例が確認されているという。具体的な攻撃例としては、人気歌手アリアナ・グランデの最新アルバムを違法にコピーし圧縮したRARファイル中にマルウェアを仕込み、WinRARでこのファイルを展開させるとマルウェアがシステムにインストールされるといったものがあるそうだ。

セキュリティソフトウェアを手がけるAvastによると、日本の世帯の29%が1台以上の脆弱なデバイスを保有しているという（Avastの発表）。また、日本の家庭用ルーターの57%が脆弱な状態なのだそうだ。

日本の家庭で使用されているスマートホームデバイスの84%は、パスワードなどの認証が脆弱だったり二要素認証を使用しておらず、また16％がパッチをセキュリティ修正パッチを適用していないという。

脆弱なデバイスとしてはプリンターが42％と最も多く、続いてネットワーク機器（37％）、メディアストリーミング端末（13％）、防犯カメラ（5％）、NAS（1%）が続いている。

この調査は、Avastのセキュリティソフトユーザーが同ソフトに搭載されている「Avast Wi-Fi Inspector」というネットワークスキャン機能を使って収集したデータを元に集計しているという。