米国の有権者約1億9,100万人分の情報を含むデータベースが閲覧用パスワードなども設定されないまま、インターネット上で公開状態になっていたそうだ。誰がデータベースを設置したのかもわかっていないとのこと(DataBreaches.netの記事、 CSO Online - Salted Hashの記事、 The Registerの記事、 BetaNewsの記事)。 このデータベースには有権者のフルネームや性別、住所、生年月日、電話番号、支持政党、人種といった有権者登録時に記入する情報(PDF)に加え、2000年以降の投票履歴や投票の予測スコアも含まれるという。ただし、社会保障番号や運転免許証番号などは含まれていない。有権者データは基本的に公開されているが、用途や提供先などに制限が設けられている州もあり、こういった州の有権者データも含むデータベースはインターネット上での公開が可能なものではないと

来年1月12日でサポート終了となる旧バージョンのInternet Explorer（IE）に対し、Microsoftがカスタムサポートを提供するそうだ（Register、Softpedia）。 1月12日以降、サポート期間中の各OSで利用可能な最新版のIEのみがサポートの対象となる。つまり、IE 8と10はすべてのOSでサポート対象外となり、IE 9はWindows Vistaでのみサポート対象となる。 しかし、中には移行が進んでおらず、1月のサポート終了に間に合わない企業も多いようだ。Microsoftでは技術面やビジネス面での問題によりアップグレードできない企業に対し、Microsoftのアカウントチームかパートナーに連絡することを推奨しているとのことだ。

Twitterが一部のユーザーに対し、「国家の支援を受けた何者か」による攻撃が行われている可能性があると警告したそうだ。Twitterがこうした警告を発するのは初めてという（BBC、CNET Japan、日経ITpro、Slashdot）。 出された警告は、何者かが電話番号や電子メールアドレス、IPアドレスを取得しようと試みている可能性があるというもの。実際にTwitterからこの連絡を受けた複数のTwitterユーザーが明かした。 その1つであるカナダの非営利団体Coldhakは、Twitterから送られたメールのスクリーンショットを公開している。これによると、サイバー攻撃の背後には政府がついている可能性があり、攻撃者は電子メールアドレス、IPアドレス、電話番号などを狙っているという。また、対象のユーザーはごく少数だという。

11月にパリで発生したテロ事件を受け、フランス政府が公衆Wi-FiやTorの規制を検討していると先日報じられた。しかし、マニュエル・バルス首相によれば、そのような計画はないそうだ（Ars Technica、Connexion、Motherboard、MYTF1News）。 報道では公衆Wi-Fiの禁止を警察が要望しているとされているが、そのような要望をバルス首相は聞いていないという。また、インターネットは自由であり、人々のコミュニケーションに重要な役割を果たし、経済効果も期待できるとしている。一方、テロリストに悪用される可能性もあるが、対策としては効果的なものである必要があるとも述べたとのこと。Torの規制についても、特に必要だとは考えていないようだ。

ストーリー by hylom 2015年12月17日 11時05分 俺のものは俺のもの、他人のものは俺のもの、とうまくいくか 部門より 米当局によるネット監視が明らかになって以来、このような監視の是非がたびたび議論になっている。最近では世界的にテロ事件が増加しており、いくつかの政府はテロ組織と戦うために暗号化通信を解読する必要性を主張している。こうした動きの中、FBIはハイテク企業に対し、「暗号化通信の内容を傍受できる機構」を組み込むことを求めているようだ（NETWORKWORLD、Slashdot）。 FBIのJames Comey長官が上院司法委員会で述べたもので、ハイテク企業は当事者のみが暗号化されたデータや通信を復号できるのではなく、法執行機関も暗号化されていない状態で通信にアクセスできるような製品のみを販売するというビジネスモデルに転換すべきで、そしてこのようなセキュリティが弱い

先月、マルウェアを自宅PCに保管していたほか、それをインターネットで販売していたとして札幌市在住の中学2年生（14歳）が不正指令電磁的記録保管容疑で逮捕される事件があったが（過去記事）、この中学生からウイルスを提供されていた中高生4人が書類送検されたと報じられている（NHK）。 中高生はLINEやTwitterを通じて知り合ったとのこと。また、100万円でウイルスを購入した生徒もいたという。 近年は未成年がマルウェア所持や配布で摘発される案件が定期的にニュースになるが、技術的興味でマルウェアを所持するならまだしも、今回の件は金銭目的でウイルスを購入したとのことで擁護はできない。

北朝鮮に入国する際にはUSBメモリやCD/DVD、携帯電話、タブレット、ノートPCといった電子・マルチメディア機器の検査が行われ、反政府的なものを所持していないかの確認が行われるそうだ（ギズモード、Los Angeles Times、AP）。 北朝鮮政府を批判する内容のものを持つことは犯罪行為。さらに、インターネット閲覧履歴やCookieにポルノや北朝鮮政府にとって致命的となるような禁止されたコンテンツが入っていないかなども検査の対象になっているという。 宗教的活動も禁じられている。過去には布教活動のために入国し、15年の重労働刑にされた人物やトイレに聖書を置いたことにより逮捕された人物もいるという。米国務省は2015年4月15日に北朝鮮への渡航を行わないよう警告を強化したにもかかわらず、米国では北朝鮮への観光客が徐々に増えているという。米旅行代理店によれば訪朝者は2009年頃から増加を始

当然ながら、SSL/TLS の ルート認証局（以下ルートCA）であれば、自身の証明書の秘密鍵を所持しており、内部の秘密鍵にアクセスできる人物が不正行為を行うことが可能です。 勿論、ルートCAは秘密鍵の漏えいを防ぐために多額の資金を費やしており、秘密鍵にアクセスできる人物を最小限にしていますが、大手ルートCAであっても、過去に秘密鍵を漏らしてしまったり不正な証明書を発行してしまったりしたところも存在します。 他社（ルートCA）が秘密鍵を漏らしてしまったことが原因で、アップデータが改ざんされてマルウェアがインストールされてしまったら困るという理由で、既存のルートCAを信頼せずに自社で自社専用の認証局を開設して独自のルート証明書をインストールするというのは、思想としては悪くはないと思います。プレインストールというインターネットを経由しない安全な経路でインストールできているのですから、所謂「オレオ

可聴域よりも高い音をビーコンとして使用することで、複数のデバイスにわたってユーザーを追跡する技術があるそうだ。16日に米連邦取引委員会（FTC）が開催したワークショップで、Center for Democracy & Technology（CDT）がこの技術に関する調査結果の発表を行っている（CDTのブログ、CDTの意見書PDF、Register、Softpedia、Ars Technica）。 現在ではスマートフォンやタブレット、スマートウォッチなど、パソコンだけでなく複数のデバイスを使い分ける人も多い。そのため、接続しているネットワークの情報やログインしているWebサイトの情報などから複数のデバイスにわたってユーザーを追跡する仕組みが求められているようだ。 可聴域外のビーコンを使用してユーザーを追跡する技術はインドのSilverPushが開発したもの。同社のSDKを使用したアプリはテレ

米当局によるネット監視事件を暴露したエドワード・スノーデン氏がThe Interceptのインタビューに答え、個人が自らプライバシーを守る必要性やその方法について語っている。氏によると、広告ブロックソフトウェアの使用については安全性という観点からみればユーザーの権利ではなく義務だという（The Intercept、BetaNews、Register）。 スノーデン氏によれば、広告がアクティブなコンテンツを含む以上、Webブラウザに対する攻撃に使われる可能性があるのでブロックすべきだという。また、無料Wi-FiスポットでWebページに広告を埋め込むプロバイダについても触れ、プロバイダが読者とパブリッシャの関係を尊重しないのであれば、ユーザーは単に広告をブロックする権利を持つだけでなく、自分自身を守る努力をする義務があるとのこと。 平均的なユーザーがプライバシを守るのに必要な点としては、通話や

Baiduの「Moplus」SDKにバックドアが含まれていたことが最近話題になったが、セキュリティ企業のLookoutによると、これ以外にもAndroidを標的とする新種のマルウェアが多くのアプリに埋め込まれていることが判明したそうだ（CNET Japan）。 Google Playから入手した正規のアプリにマルウェアを組み込んで再パッケージ化し、サードパーティーのアプリストアで公開する、という手口が用いられているという。ユーザーがサードパーティーのストアから問題のあるアプリをインストールすると、アプリはルート権限を自動で取得し、デバイスシステム全体へのアクセス権を手に入れるという。またこのマルウェアを削除することはほぼ不可能で、ユーザーはデバイス本体を交換せざるを得なくなるという。 この行為自体がすでにAndroidのセキュリティに穴を開けるものだが、さらにその後は定期的にアプリ内で広告

Javaの「Apache Commons」ライブラリに脆弱性が発見された。この脆弱性により、多くのアプリケーションに影響が発生するという（Slashdot、CNET Japan、ITmedia）。 脆弱性が発見されたはApache Commonsの「Collections」ライブラリで、リモートから任意のコードが実行可能になるという。WebLogicやWebSphere、JBoss、Jenkins、OpenMMSなど多くのアプリケーションに影響が出るとのことで、これら各ソフトウェアに対する実証コードも公開されているという。

暗号解読の国際専門家チームがハッシュ関数「SHA-1」について、廃止を前倒しすることを提言したそうだ（ITmedia、発表資料）。 SHA-1については脆弱性が指摘されており、2016年からSHA-1を利用した証明書の発行を停止し、2017年からは証明書を利用できなくするというスケジュールが提言されていた。しかし研究者らによると、あと数ヶ月もすれば現実的なコストでSHA-1を使った証明書の偽造が可能になるという。そのため、SHA-1の廃止スケジュールを前倒しにすべきだとのことだ。

CEATEC JAPAN 2015で9日、国内に200近くあるIT関連団体を統合し、その健全な発展を目指して政策提言や人材育成などを行っていく「一般社団法人日本IT団体連盟」を年度内に発足することが発表された。しかし、呼びかけ役のCSAJ会長、荻原紀男氏が五輪に向けてボランティアで対応するエンジニアが不足中といった趣旨の発言をしたことから、さっそくエンジニア諸氏の間で悪い意味で注目を集めているようである(ZDNet Japanの記事)。 荻原氏の発言は、 五輪に向けて政府や企業、団体などがサイバー攻撃を受ける可能性があるが、現在のエンジニアは企業などへの対応で忙しい。五輪そのものに対して、ボランティアで対応できるエンジニアが必要で、今後5年間で4万人のエンジニアを育てなくてはいけない。 という、セキュリティ対策を無償でやってくれるエンジニアが足りないとも受け取れるものになっている。記事では

次々と脆弱性の見つかるAndroidだが、Googleが脆弱性を修正したにもかかわらず、端末メーカーやキャリアの都合で放置される端末も多い。英国・ケンブリッジ大学の研究チームでは、脆弱性の修正状況などからメーカーや機種、キャリア別にAndroidの安全性を調査している(論文: PDF、 Softpediaの記事)。 調査対象はAndroidアプリ「Device Analyzer」が収集した20,400台分のデータで、独自に定義したFUMスコアにより評価している。FUMスコアは調査期間中に重大な脆弱性が報告されなかった端末の割合(F: free)、最新バージョンのAndroidがインストールされた端末の割合(U: update)、重大な未修正脆弱性の1日あたり平均(M: mean)から算出されるもので、10点満点となっている。 調査したAndroid端末全体でのFUMスコアは2.87点だが、

Internet Explorer(IE)の旧バージョンは、すべて2016年1月12日でサポートが終了する。引き続きサポートを受けるには、Windowsがサポートする最新版のIEに更新する必要がある(The Registerの記事、 IEBlogの記事、 マイクロソフトサポートライフサイクル[1]、 [2])。 Windows 7 SP1ではIE 8～11をサポートするが、1月12日以降はIE 11のみがテクニカルサポートや更新プログラム提供を受けられる。また、Windows Vistaの場合はIE 9のみがサポート対象となる。Windows 8.1 Update/10は標準でIE 11が搭載されているため問題ない。 Windows 8については1月12日でOS自体のサポートが終了するので、IEのバージョンとは関係なく、引き続きサポートを受けるにはWindows 8.1にアップグレードする

複雑なパスワードはユーザーの負担になるだけでセキュリティー向上にはつながらないとして、パスワードポリシーの緩和とシステム側での対応強化を推奨するガイダンスを英政府通信本部(GCHQ)が発表している。ガイダンスはGCHQの電子通信安全局(CESG)が国家インフラストラクチャー防護センター(CPNI)とともに作成したもの(Password guidance: simplifying your approach、 CESGのブログ記事、 The Independentの記事、 BetaNewsの記事)。 ユーザーの負担を軽減するための措置としては、保護の必要な場面でのみパスワードを使用すること、安全なパスワード管理手段の提供、パスワード変更を強制するのは不正ログインが疑われる場合などに限ること、ユーザー間でのパスワード共有を禁じ、ハードウェアトークンなどによるアクセスコントロール手段の導入を検討

イラク・シリアで活動を続ける武装組織ISIL（イスラム国）はインターネット上でも活発な活動を行っていることで知られているが、一部の兵士が司令部の前で撮った写真をSNS上にアップしてしまい、それを目にした米軍により速やかに空爆されるという珍事が発生していたそうである（Newsweek日本版、CNN.co.jp、Slashdot、AirForceTimes）。 これは米空軍のHawk Carlisle司令官が6月1日の空軍の会合で語ったもの。報道によると、SNSの投稿をチェックしていた軍はある日ISILの司令部とみられる建物をバックに立っている間抜けな兵士の写真を発見。彼らはほかにもSNS上で司令官やISILについて自慢げに吹聴しており、一連の情報により司令部の所在が特定されてしまったという。これを受けて、軍は投稿からわずか22時間後に3発のJDAM（誘導爆弾）を投下、建物全体を吹き飛ばしたと