Microsoft は 4 月 27 日、Windows クライアントのロードマップ更新を発表した (Windows IT Pro Blog の記事、 The Verge の記事、 Neowin の記事、 Ars Technica の記事)。

Windows 10 のサポート終了日は 2025 年 10 月 14 日のまま変更されないが、現在最新のバージョン 22H2 が全エディションで最終バージョンとなる。これに伴い、バージョン 22H2 のサポート期間が変更された。一般提供チャネルでのリリースとなったバージョン 21H2 以降の Windows 10 では Home / Pro / Pro Education / Pro for Workstation の各エディションで 18 か月間、Enterprise / Education / IoT Enterprise の各エディションで 30 か月間の更新プログラム提供が行われていたが、 バージョン 22H2 では全エディションに 2025 年 10 月 14 日までセキュリティ更新プログラムの提供が続けられることになる。LTSC リリースに関しては、リリースごとに指定された期間のサポートが行われるとのこと。なお、日本版のライフサイクルでは現在のところ IoT Enterprise バージョン 22H2 のサポート終了日が 2025 年 5 月 13 日のまま更新されていないが、米国版では更新済みとなっている。

Windows 10 には機能アップデートが今後提供されないため、Mirosoft では機能アップデートが引き続き提供される Windows 11 への移行を推奨している。Windows 10 を使い続ける場合はバージョン 22H2 へのアップグレードが推奨される。また、Windows 11 Enterprise LTSC / IoT Enterprise LTSC を 2024 年下半期に提供開始する計画も示された。Windows 11 LTSC リリースの導入を計画している場合は、一般提供チャネルの Windows 11 バージョン 22H2 でテストすることが推奨されている。

米国防総省の機密文書が流出した問題では、犯行の容疑者としてマサチューセッツ州の空軍州兵が13日にFBIによって逮捕されている（BBC、その2）。

あるAnonymous Coward 曰く、

逮捕されたのはマサチューセッツ州の空軍州兵に所属するジャック・テシェイラ容疑者（21歳）。肩書はcyber defence operations journeymanのthe rank of Airman 1st Class。生涯有効な秘密保持契約を結んでいた一方、最高機密のセキュリティクリアランスを保持していたということで、下っ端IT管理者に不要に大きな権限付けてたらやらかされた的なしょうもない事件かもしれない（日経新聞）。

14日には容疑者はボストンの連邦地方裁判所に初出廷し、スパイ法違反で起訴された。被告は空軍州兵の情報部門に所属していたとされる。今回の情報流出経路とされているオンラインのゲーム・チャットグループのリーダーだったとのこと。

横浜市のコンビニの証明書交付サービス「Fujitsu MICJET コンビニ交付」で3月27日、別人の住民票が発行されるトラブルが発生したそうだ。日経クロステックの報道によると、このサービスを提供しているベンダーの富士通Japanは3月30日、このトラブルに関する原因を発表した。それによると、システムへのアクセス集中により印刷処理の待ちが生じ、印刷イメージファイルのロックが解除され、同時期に交付を申請した別の利用者が当該ファイルを印刷できてしまったという（日経クロステック、その2）。

当該ファイルは申請者しか印刷できないようロックがかかる仕様だが、システムにはタイムアウトの上限が設定されていたため、アクセス集中で処理が遅れた際にタイムアウトとなってロックが解除されたという。同社は対策としてタイムアウトでロックが解除されないようプログラムを改修したとしている。

あるAnonymous Coward 曰く、

情シスの人がカフェでコーヒーを飲んでいたら情報漏洩してるノートPCが目に入って…という情シスの心に来そうなCMでﾜﾛﾀ

サントリーBOSSの公式twitterアカウントが公開した「クラフトボス 甘くないイタリアーノ」の動画が話題になっているようだ（クラフトボス+ボスTwitterアカウント）。

この動画の内容は、情報システム関連の仕事をしている主人公が、PCから離れてカフェでくつろいでいたところ、カフェの中では社内の機密情報丸出しで仕事をし、画面を開いて席を立ってしまったり、カフェで営業をしている人がいたりして「カフェで大事な仕事をするな」とぶち切れ。画面を閉じて回ったり、電話をいさめたりといった行動を取っている。おそらくテレビCM用に作成された動画だと思われるが、まだテレビでは流れてなさそうだ（PR TIMES）。

Samsung が当初従業員に禁じていた ChatGPT 使用を半導体部門に限って 3 月 11 日に解除したところ、20 日もたたないうちに 3 人の従業員が社内情報を流出させるトラブルが発生したそうだ (The Register の記事、 エコノミストの記事、 The Korea Times の記事)。

2 人の従業員はそれぞれソースコードを送信して ChatGPT にプログラム修正を依頼しており、もう 1 人は会議の文字起こしを送信して議事録作成を依頼していたという。ChatGPT のサービスを提供する OpenAI は ヘルプ記事でシステム改善のため会話の内容を閲覧し、学習にも使用すると説明しており、特定のプロンプトだけを削除することはできないのでセンシティブな情報を送信しないよう求めている。

この問題を受けて Samsung では 1 回の質問で送信できるデータを 1,024 バイトに制限したといい、LG や SK hynix なども ChatGPT を含む AI チャットボット利用を制限してガイドライン策定を急いでいるとのことだ。

Checkmarx の年次アプリケーションセキュリティ報告書「Global Pulse on Application Security」によると、86% の組織が既知の脆弱性を含むコードをデプロイしたことがあるそうだ (Checkmarx のブログ記事、 BetaNews の記事)。

報告書では調査会社 Censuswide を通じて全世界 1,500 人以上の CISO や AppSec 管理者、開発者から収集したデータと、クラウドベースのアプリケーションセキュリティプラットフォーム Checkmarx One のデータをまとめたものだ。既知の脆弱性を含むコードを本番環境にデプロイする頻度に関する設問では、23% が頻繁 (Often) と回答し、45% が時々 (Sometimes)、18% がまれに (Rarely) と回答しており、合計で 86% が脆弱性を含むコードをデプロイしていることになる。なお、わからない(Not sure)という回答も 1% あり、既知の脆弱性を含むコードをデプロイしたことがない (Never) という回答は 13% となる。

既知の脆弱性を含むコードを使用する理由として AppSec 管理者とソフトウェア開発者の 40% 近くが「ビジネスや機能、セキュリティに関連した締め切りに合わせるため」といった時間不足を挙げているという。また、CISO の 3 分の 1 近くは開発者が常時ポリシーに従っているとは限らないと認識しているそうだ。

88% の組織は自ら開発したアプリケーションの脆弱性によるセキュリティ侵害を過去 12 か月間に受けており、AppSec 管理者の 41% がオープンソースソフトウェアのサプライチェーン攻撃、開発者の 40% はクラウドリソースやコード化されたインフラストラクチャ(IaC)、コンテナの誤設定をセキュリティ侵害の原因に挙げているとのことだ。

スラドの皆さんはコードに脆弱性があると知りながら使わざるを得ない場面があるだろうか。

headless 曰く、

自動車関連のサイバーセキュリティ研究者が自分の車を盗まれ、続いて隣人の車も盗まれたことから手法を調査したところ、これまで知られていなかったキーレスシステムのバイパス技術を犯罪者が用いていることが判明したそうだ (Canis CTO Blog の記事、 Ars Technica の記事)。

キーレスシステムに対する既知の攻撃手法としては、暗号化されていない通信を記録・再生するリプレイ攻撃や、車両から離れた場所にあるキーフォブの信号を無線デバイスで中継して操作するリレー攻撃といったものがある。リレー攻撃を緩和する手法としてはキーフォブをファラデーポーチに入れるなど電波を遮断する方法が知られており、数分間静止状態が続くとスリープ状態になるキーフォブを提供するメーカーもある。

研究者が「CAN インジェクション」と呼ぶ新しい攻撃手法は、各種のコントローラーをつなぐ CAN (Controller Area Network) バスに接続したデバイスを用い、スマートキーレシーバーのふりをした偽の「キー確認済み」メッセージを送るものだという。研究者の車は盗まれる前にヘッドライトの結線が外されたり、バンパーが取り外されたりしており、研究者はいたずらだと考えていたが、CAN バスへつながる結線にアクセスしようとしていたものとみられる。

ダークウェブで販売されている CAN インジェクションデバイスはキーをなくしたオーナーや鍵職人のためのデバイスとうたわれているが、5,000 ドルという価格は普通のオーナーが購入して使用する価格ではない。研究者と隣人が盗まれたのはいずれもトヨタ車 (RAV4 とランドクルーザー) だったことからトヨタ (と Lexus) 用の CAN インジェクション攻撃デバイスを購入して実験しているが、他メーカーでも動作は同様とみられるとのこと。なお、トヨタ用のデバイスは JBL の Bluetooth スピーカーを改造して組み込まれており、持ち歩いていても怪しまれにくいように工夫されているとのことだ。

ロシアによるウクライナ侵攻関連の米国防総省の機密文書が流出したことが話題となっている。文書の中にはウクライナの兵器や防空能力、即応態勢などの「弱点」も含まれていたとされる。米国家安全保障会議（NSC）のカービー戦略広報調整官は10日におこなわれた記者会見で、文書の真偽の確認は避けた上で「深刻に受け止めている」と懸念を表明。その上で真相の究明に取り組んでいるとコメントした（NHK、BBC、読売新聞、産経新聞）。

この文書自体は3月頃からTwitterやTelegram上で出回っていたという話もある。またロシアとウクライナの製死者などの損害数に関して改ざんがおこなわれていると行った報告もあり、ロシア政府がプロパガンダのために変更したのではないかという見方もあるそうだ。ただロシアがこの文書を把握していたとは思えない戦闘行動も多数見受けられることから、どういった意図や経緯で流出したのかについてはネット上でも議論百出となっている模様（Yahoo!ニュース個人）。

あるAnonymous Coward 曰く、

誰が流出させたかは不明だが、資料はDiscordから4chan、テレグラムを経て拡散していったとのこと。流出した資料が本物であることが確認されているが、一部は改竄されたものが拡散されているという。報道によれば以下のような内容が含まれているようだ。

* 米政府によるウクライナ戦争における死傷者数の推定。ロシアが18万9500人~22万3000人、ウクライナは12万4500人~13万1000人。
* ウクライナがまもなく始める攻勢に向けて編成した12の旅団で、西側からのどんな装備が提供されているか、いつ準備が整うか。
* ウクライナの防空システムの主力であるS-300の弾薬が5月3日までに底をつくとの分析。
* エジプトがロシアに極秘にロケット弾4万発を供給という情報。
* イスラエルや韓国の政府内での議論などを傍受したと思われる情報。

headless 曰く、

Mozilla が 5 年前に報告していた Firefox 実行時に Windows Defender によるパフォーマンス低下が発生する問題について、Microsoft による修正がようやく行われたそうだ (Bug 1441918、 Ghacks の記事)。

この問題は Firefox を実行していると Windows Defender の CPU 使用率が 30% 程度まで上昇してパフォーマンスが低下するというもので、Microsoft Security Essentials でも発生したという報告もある。一方、問題ないという報告や、しばらくしたら解決したという報告もみられ、手元の環境でも見たことがない問題だ。その後はしばらく放置されていたが、今年 2 月になって新たに問題が報告され、再び議論が活発化。Microsoft による修正が行われ、4 月 4 日リリースの mpengine.dll バージョン 1.1.20200.4 ですべてのユーザーに提供が始まったとのことだ。

ABC-MARTオンラインストアは、不正利用対策のため同社の指定ドメイン以外の会員情報が使えなくなるという施策を打ち出した。利用可能なドメインは著名なプロバイダーやキャリアメールを中心とした50個に限定され、それ以外のメールアドレスを利用しているユーザーは、5月31日までにこれらの50個に変更しないと同ストアや公式アプリへのログイン、ポイント利用、購入履歴の閲覧が不可能になるとしている。ただ利用可能な50個のドメインの中にmailやYahoo!メールといったフリーメールサービスも含まれていることから、方針がよく分からないといった意見がネットでは強いようだ（ABC-MARTオンラインストア、会員登録使用可能ドメイン一覧、INTERNET Watch）。