Anonymous Coward曰く、

総務省が2013年に運用を開始した「政府共通プラットフォーム」では、インターネットから遮断された環境を提供する「セキュアゾーン」という機能があるが、この機能が1度も使われることのないまま廃止されていたことが報じられている（NHK、MSN）。

ガチガチにし過ぎて誰も使わないというダメなセキュリティ対策の典型みたいな事例。導入を推進した総務省すら使わなかったというのはちょっと酷い。

報道によると、この機能は2015年度に約18億円の予算を計上して開発がスタート。2017年度に完成した。利用には専用回線でのアクセスが必要で、またデータの入力や修正には担当者が直接設置場所に出向いて作業を行う必要があるといった手間があり敬遠されたようだ。

なお、2016年12月14日の政府官報では、「政府共通プラットフォームにおけるセキュアゾーンの整備に係る作業請負及び機器・ソフトウェア賃貸借の調達」について東京センチュリーリースが20億685万5,294円で落札したとされている。

2020年1月にWindows 7のサポートが終了し、それ以降はセキュリティアップデートなどが提供されなくなるが、Microsoftが10月1日、Windows 7 Professional/Enterpriseを利用している全ユーザーに対し、有料での延長サポートを2023年1月まで提供することを発表した（日経xTECH、Publickey）。

ボリュームライセンス契約を行っている企業に対してはすでにWindows 7の有料延長サポートの提供がアナウンスされていたが（過去記事）、この対象を広げた形になる。なお、サポート料金は毎年値上げされていく予定。

headless曰く、

Mozillaは9月27日にリリースしたFirefox Nightlyで、TLS 1.0/1.1をデフォルトで無効化した（Bug 1579270、Firefox Site Compatibility、Neowin、gHacks）。

無効化はFirefoxの設定（about:config）で「security.tls.version.min」の既定値が「1」（TLS 1.0）から「3」（TLS 1.2）に変更されただけで、TLS 1.0/1.1サポートが削除されたわけではない。SSL Pulseの9月分データではSSL 1.2をサポートするサイトが95.8%に上るものの、影響の大きな変更であることから幅広い確認が呼びかけられている。

主要Webブラウザでは昨年10月、2020年にTLS 1.0/1.1を無効化する計画が発表されており、FirefoxのTLS 1.0/1.1無効化は2020年3月に設定されている。Nightlyでは10月に無効化する計画が発表されていたが、少し繰り上げられたようだ。

現在のFirefox Nightlyの製品バージョンは71.0a1。今後はベータチャンネルのFirefox 71以降でフィードバックを確認しつつ徐々にTLS 1.0/1.1を無効化するユーザーの比率を高めていき、来年3月までにすべての切り替えを完了してリリースチャンネルでの無効化に備える計画だ。来年3月にリリースが予定されているのはFirefox 74だが、無効化をどのように、いつ実施するのかという計画については確定していないようだ。

sudoコマンドで、任意のユーザー権限でのコマンド実行を許可されているユーザーに対し、ルート権限で指定したコマンドを実行できてしまう脆弱性が確認された（sudo公式サイトでの脆弱性報告、サイオスセキュリティブログ）。

この脆弱性は、実行するユーザーを指定するsudoコマンドの「-u」オプションで「-1」もしくは「4294967295」を指定すると、そのユーザーIDではなくルート権限で指定したコマンドを実行できてしまうというもの。

任意のユーザーがルート権限を取得できるわけでは無く、sudoersなどの設定ファイルで「ALL」キーワードを使って任意のユーザー権限でのコマンド実行が許可されたユーザーのみがルート権限を奪取できる。実行できるコマンドが指定されていた場合はそのコマンドのみがルート権限で実行できる対象となる。

また、この際にログにはroot権限ではなく指定したユーザーID（-1もしくは4294967295）で実行されたものとして記録される。こうしたユーザーIDは存在しない為、PAMセッションモジュールも実行されない。

この問題を悪用することで、たとえば「＜ユーザー名＞ = (ALL, !root) ＜コマンド名＞」のようにroot以外のユーザーでsudoコマンドを利用できるように指定されていた場合に、本来は不可能なはずのroot権限でのコマンド実行が可能になってしまう。

1月に延長サポートが終了するWindows 7だが、サポート終了に向けた通知表示がWindows 7 Professionalでも始まったようだ(KB4524752、 BetaNewsの記事、 gHacksの記事、 Softpediaの記事)。

MicrosoftはWindows 7サポート終了に向けた通知を表示する更新プログラムKB4493132の提供を3月に開始したが、その後Windows 7の企業向けエディション(Professional/Enterprise)は配信対象から除外されていた。通知を表示するプログラムはタスクスケジューラに登録されるが、プログラムが起動しても通知が表示されるとは限らないようだ。手元のWindows 7 Home Premium環境ではKB4493132が何度かインストールされていたが、実際に通知が表示されたのは10月18日だった。

先日リリースされた更新プログラムKB4524752はWindows 7 Professionalを対象とし、サポート終了の通知を表示するものだ。ただし、この更新プログラムがインストールされたすべての環境で通知が表示されるわけではなく、ドメインに参加しているデバイスやキオスクモードのデバイス、Windows 10無料アップグレードの通知(GWX)を無効化していたデバイスでは表示されないという。

通知の内容はKB4524752とKB4493132で共通だが、3月のものからは変更されている。現在は「Windows 7のサポート終了は来年、2020年1月となります。」「2020年1月14日以降、マイクロソフトからのWindows 7のセキュリティ更新プログラムや技術サポートは提供されなくなります。移行の準備として、各種ファイルのバックアップをとっておくことをお勧めします。」という内容だ。「詳細を見る」をクリックすると、「Windows 7のサポート終了情報」ページが表示される点は以前と同様だ。

通知は「今後、このメッセージを表示しない」にチェックを入れてウィンドウを閉じれば以降は表示されなくなるが、ITプロフェッショナル向けにはGWX無効化のレジストリ設定も紹介されている。なお、KB4524752をアンインストールしても次の更新プログラムチェックで再インストールされるため、推奨されないとのことだ。

Anonymous Coward曰く、

今年5月、神奈川県警サイバー犯罪捜査課の巡査部長が個人情報を含む捜査資料のコピーを内規に違反して持ち出し、酒を飲んだ後カバンごと紛失していたそうだ。この巡査部長は紛失を報告していなかったが、8月に盗難車からこの資料が見つかって事件が発覚したという（NHK、毎日新聞、産経新聞）。

これだけなら典型的なセキュリティ事故という感じなのだが、紛失したカバンが遺失物として届けられるも資料が抜き取られており、後日盗難車のトランクから発見されたということで、悪用されてしまった可能性がありそうだ。

この捜査資料には事件の供述調書と容疑者が収集していたというクレジットカード情報が含まれていたそうで、供述調書には氏名および住所、親族の氏名などが、クレジットカード情報にはカード番号、住所、氏名、生年月日、電話番号などが含まれていたという。巡査部長は「捜査資料のコピーを持ち出した覚えがなかった」などと述べているとのこと。

Anonymous Coward曰く、

Windowsには、BitLockerという名称の暗号化ツールが付属している。BitLockerはこれまで、ハードウェアベースの暗号化機能を持つというSSD製品に関しては、信頼して暗号化の対象にはしなかった。しかし、9月24日にリリースされたWindows 10「KB4516071」の更新でこの方針が変更された。すべてのSSDは暗号化していない前提であると仮定、デフォルトでBitLockerの適用対象にするようになった。

これに対し、セキュリティ情報を提供しているSwiftOnSecurityは「MicrosoftはSSDメーカーを信頼しなくなった」と説明、こうした方針変更はSSDの暗号化機能に脆弱性があることが昨年11月に発覚したことが原因としている。この脆弱性では、パスワードや秘密鍵を知らなくても暗号化されたストレージの内容を復号できたという研究が発表されている（TomsHardware、TechRadar、Slashdot）。

Googleは1日、Google ChromeでのTLS 1.0/1.1サポート終了に向けた今後の計画を発表した(Chromium Blogの記事、 Neowinの記事、 gHacksの記事)。

主要Webブラウザーでは昨年10月に2020年のTLS 1.0/1.1無効化計画が発表されている。Mozillaはこれに先立ち、先日Firefox NightlyのデフォルトでTLS 1.0/1.1を無効化した。

GoogleはChrome 72でTLS 1.0/1.1を非推奨とし、開発者ツールのコンソールに警告を表示しているが、2020年1月13日にはChrome 79以降でTLS 1.0またはTLS 1.1接続のページに警告メッセージが表示されるようになる。警告メッセージはページ情報アイコンの右側にHTTP接続ページと同様に「保護されていません」と表示されるほか、ページ情報には接続が完全に安全ではないことが記載されるとのこと。

3月に一般リリース予定のChrome 81では、予定通りTLS 1.0/1.1のブロックが始まる。UI要素による警告メッセージは削除され、ページいっぱいに警告メッセージが表示されるようになる。なお、組織で管理しているChromeではポリシー「SSLVersionMin」の値を「tls1.2」にすることで、無効化後の状態を今すぐ確認できる。逆に無効化後はこのポリシーを使用して2021年1月までTLS 1.0またはTLS 1.1を再び有効化できるとのことだ。

9月26日、Amazon.co.jpで他人のアカウントの注文履歴や住所、名前などが表示されるというトラブルが発生したことが報じられていたが（過去記事）、9月28日にこのトラブルは解消されたとのこと（ITmedia）。

原因は「Amazon内での技術的な原因によるもの」とのこと。問い合わせたユーザーには連絡を行っているとのことだが、どの程度の規模で問題が発生したかは依然不明のままだ。

「Windows 10 更新アシスタント」(Windows 10 Update Assistant)にローカルでの特権昇格の脆弱性(CVE-2019-1378)が発見されたそうだ(セキュリティ更新プログラムガイド、 Bleeping Computerの記事、 Softpediaの記事)。

この脆弱性を悪用すると、ローカルの攻撃者がシステム権限で任意のコードを実行可能になるという。ただし、発見者のJimmy Bayne氏がBleeping Computerに語ったところによると、特権昇格はアップデート実行中にコンポーネントを乗っ取ることで実現されるといい、実際の攻撃に使われる可能性は低いようだ。また、更新アシスタントは実行ファイルごとにアップデート先のWindows 10バージョンが決まっているため、対象バージョンへのアップデート完了後は攻撃不可能になるとみられる。

それでも過去に更新アシスタントの実行ファイルをダウンロードしたことがある場合は削除し、実行済みの場合はアンインストールすることが推奨されている。Bleeping ComputerではKB4023814が適用されたWindows 10にも更新アシスタントがインストールされているとして、こちらも削除することを推奨している。なお、現在「Windows 10のダウンロード」ページでダウンロード可能な更新アシスタントは脆弱性が修正されているとのことだ。