あるAnonymous Coward曰く、

11月5日に朝日新聞・新潟総局のTwitterアカウントが乗っ取られていたそうだ。このアカウントは、ビットコイン詐欺の宣伝に利用されたとみられる。朝日新聞は6日、日経xTECHの取材に対して乗っ取り被害を認めている（日経新聞）。

問題となっているビットコイン詐欺は、「送金した金額よりも多い額のビットコインを送り返す」などとうたってビットコインの送金を求めるもの。乗っ取られた朝日新聞のアカウントからは「I sent 1 BTC and got back 10 BTC!」「THANK YOU」「+10BTC」といった書き込みが行われていたようだ。

最近Twitterではアカウントを乗っ取ってビットコイン詐欺関連の広告Tweetを投稿する事件が増えており、6日には米出版社Pantheon Booksのアカウントが乗っ取られ、登録者名を「Elon Musk」に書き換えた上で詐欺Tweetを投稿する事件が発生していた（ITmedia）。乗っ取られた朝日新聞のアカウントは、このPantheon Booksのアカウント宛てのTweetも投稿していた。

あるAnonymous Coward曰く、

特定のCSSアニメーションを使ったWebページをiPhoneのWebブラウザ（Safari）で閲覧すると、iPhoneに高負荷がかかりアプリがクラッシュする（再起動される）という問題が発見された（GIGAZINE）。

この情報を公開していたページ既に非公開にされているが、いやしくもプログラマー名乗る人が「iPhoneでCSSアニメーションさせたら落ちた！サイト作って公開しよう！」って安易な行動に出るのは職業倫理の意識が足りなすぎ。

2016年に、熊本地震で被害にあった動物園からライオンが逃げ出して街中に放たれたというデマがあった（Togetterまとめ）。このデマは街中にライオンがいる写真とともにTwitterに投稿されてその後拡散されたのだが、その後このデマの投稿者は偽計業務妨害の疑いで逮捕されている（産経新聞）。withnewsによると、このデマで使われた写真は南アフリカ・ヨハネスブルグでの映画撮影時に撮られInstagramに投稿されていたものだったそうだ。

なお、ヨハネスブルグというと治安が悪いことが知られるが、それでもライオンが街中を歩くということはないという。このライオンはヨハネスブルクから1時間ほどのサファリパークで飼われていたもので、CMや映画などに出演されるよう訓練されているという。ただ、当初から映画撮影中の一コマだとは気づかず、南アフリカでは街中にライオンがいると勘違いする人もいたそうだ。

ロスコスモスは8日、ソフトウェアエラー発生により使用できなくなっていた国際宇宙ステーション(ISS)ロシア側のメインコンピューターの1台が再起動により回復したことを発表した(プレスリリース、 GeekWireの記事)。

このコンピューターのトラブルをロスコスモスは6日に発表し、再起動で復旧するとの見方を示していた。ロシア側のコンピューターは3台で冗長性を持たせており、残りの2台で運用上の問題はなかったが、プログレス71補給機(16日打ち上げ予定)のドッキングに備えて信頼性を向上させるため、8日の再起動を予定していた。

再起動が行われたのはモスクワ時間8日12時5分(日本時間18時5分)。再起動は成功し、正常な動作が回復したという。その後、ISSが地球を1回半周回する間(約2時間)にテストが行われ、すべての機能に問題がないことを確認したとのことだ。

中国・新華社のニュース番組でAI合成アンカー(ニュースキャスター)がデビューしたそうだ(Mediumの記事、 Xinhuaの記事、 新浪科技の記事、 英語版動画)。

AI合成アンカーは新華社とSogou(搜狗)が共同開発したものだ。中国ではCortanaの妹XiaoIce(小冰)がお天気キャスターになっているが、XiaoIceがアイコンと声だけなのに対し、AI合成アンカーは普通の男性のような外見と声を持つ。これは実際の男性アンカーの映像と声をベースに合成されているためで、中国語版は邱浩氏、英語版はZhang Zhao氏(Zhao, Zhang。漢字表記不明)の「分身」だという。ただし、この件以外の情報は見つけられず、2人の詳細は不明だ。AI合成アンカーは本物のアンカーとは違い、疲れることなくニュースを伝え続けることができると主張している。

ハードウェアベースでデータの暗号化を行う自己暗号化SSDの中には、パスワードを知らない攻撃者がデータを復元できてしまう製品があるというオランダ・ラドバウド大学の研究結果が発表された(ラドバウド大学のニュース記事、 ラドバウド大学によるアドバイザリ: PDF、 論文ドラフト: PDF、 The Registerの記事)。

研究で使われた自己暗号化SSDはCrucial(Micron)のMX100/MX200/MX300(全フォームファクター)とSamsungの840 EVO/850 EVO(SATA)およびT3/T5(USB)。条件次第だったモデルもあるものの、全モデルが2件の脆弱性(CVE-2018-12037/CVE-2018-12038)のいずれか、または両方の影響を受けたという。また、論文でテストされていない製品の中にも脆弱性の影響を受けるものが存在する可能性は高い。

CVE-2018-12037は、自己暗号化SSDにユーザーが設定するパスワードと暗号鍵が結び付けられていないことによる脆弱性だ。そのため、任意のパスワードを受け付けるようSSDのファームウェアを改変することなどにより、データの復元が可能となる。この脆弱性は上述の全モデルが影響を受けるが、840 EVO/850 EVOはATAセキュリティモードに設定され、マスターパスワードのセキュリティレベルが「High」になっている場合のみ影響を受けるとのこと。

MicrosoftがWindowsのトラブルシューティングツール「Sysinternals」ツールのLinuxへの移植を開始したそうだ(MicrosoftのDavid Fowler氏のツイート、 BetaNewsの記事、 Softpediaの記事)。

第一弾の「ProcDump for Linux」はプロセスを監視し、指定した条件に従ってコアダンプを出力するコマンドラインツールだ。現在のところLinuxカーネルバージョン3.5以降が必要となり、Windows版の全機能をサポートしているわけではないとのこと。ソースコードはGitHubで公開されており、ライセンスはMIT Licenseとなっている。

世界200万件以上のWebサイトにトラッキングコードを設置してブラウザーやOSのシェアを集計するStatCounterがサイバー攻撃を受け、暗号通貨取引サイトGate.ioのユーザーをターゲットにするスクリプト改変が行われていたそうだ(WeLiveSecurityの記事、 Gate.ioの発表、 The Registerの記事、 Softpediaの記事)。

改変されたのは「www.statcounter.com/counter/counter.js」というファイルで、悪意あるコードが追加されていたという。悪意あるコードの内容としては、表示中のURLに「myaccount/withdraw/BTC」が含まれている場合、StatCounterと似たドメイン名の「statconuter.com」からビットコインを盗み出すスクリプトを追加するといったものだ。

悪意あるコードはStatCounterのトラッキングコードを使用するサイトに埋め込まれただけでなく、StatCounterのWebサイトにも埋め込まれていたとみられるが、「myaccount/withdraw/BTC」を含まないURLへのアクセス時にユーザーが攻撃を受けることはない。ESETの調べによると、「myaccount/withdraw/BTC」を含むURLがある暗号通貨取引サイトはGate.ioのみだという。そのため、Gate.ioのユーザーをターゲットにした攻撃とみられている。

ESETによれば改変が行われたのは11月3日で、6日にESETから報告を受けたGate.ioはStatCounterの使用を中止した。悪意あるコードは既にcounter.jsから削除されているが、現在のところStatCounterからの発表は特に出ていないようだ。

Microsoftのライセンスサーバーの問題により、Windows 10 Pro/Enterpriseのライセンス認証が無効になるトラブルが8日から一部の環境で発生した(Microsoft Communityの記事、 Neowinの記事、 BetaNewsの記事、 Windows Centralの記事)。

手元のPCの1台(Windows 10 Pro)では特に問題ないように見えたが、設定アプリの「更新とセキュリティ→ライセンス認証」を見ると通常の「Windowsはデジタルライセンスによってライセンス認証されています」という表示が「Windowsはライセンス認証されています」に変わり、これまで存在しなかった「プロダクトID」「プロダクトキー」という項目が追加されていた。さらに、その後しばらくするとライセンス認証が無効になり、トラブルシューティングを実行すると「Windows 10 Homeのデジタルライセンスが見つかりました」と表示されるようになった。

Windows 10 Pro Insider Previewを実行する別のPCでも同様の問題が発生し、トラブルシューティングを実行すると「このデバイスではWindows 10 Pro Insider Previewを実行していますが、Windows 10 Pro Insider Previewのデジタルライセンスが見つかりました」と表示された。試しに指示通り「Windowsのエディションをアップグレード」してみたが、PCが再起動しただけで何も起こらなかった。なお、さらに別のPCでは特に問題は発生しなかった。

その後、9日昼までに最初の1台は再びライセンス認証が可能になった。Windows 10 Pro Insider Previewを実行するPCの方はライセンス認証できないままだったが、午後に再度起動してみたところライセンス認証された状態になっていた。

東部標準時9日午前(日本時間9日深夜～10日未明)の段階で、Microsoft Communityの記事には24時間以内に自動でライセンス認証が復活すると追記された。早く復活させたい場合はトラブルシューティングの実行が推奨されている。ライセンス認証が復活したとのコメントも増えているようだ。スラドの皆さんの環境ではいかがだっただろうか。

あるAnonymous Coward曰く、

Texas Instruments（TI）のBluetooth Low Energy（BLE）チップに脆弱性が見つかった。このチップを採用した無線LANアクセスポイントに対し脆弱性を悪用することで、認証無しにネットワークに侵入できる可能性があるという（ITmedia、GIGAZINE）。

イスラエルのセキュリティ会社Armisの研究者によって発見されたもので、問題のチップは「CC2640」や「CC2650」などで、CiscoやMeraki、Arubaなどが製品に採用しているとのこと。

今回の脆弱性は「BleedingBit」と名付けられており、悪意のあるトラフィックを送りつけることでバッファオーバーフロー攻撃を起こせるというもののようだ。これを採用したベンダー各社はすでにファームウェア更新などで対応しているという。

90曰く、

VirtualBoxに新たな脆弱性が見つかった。この脆弱性を悪用することで、仮想マシン内からホストOSで任意のコードを実行できるという（窓の杜、GitHubで公開された脆弱性に関する情報）。VirtualBox 5.2.20以前が個の問題の影響を受けるという。

この脆弱性はVirtualBoxでデフォルトで選択される「Intel PRO/1000 MT Desktop（82540EM）」仮想ネットワークアダプタに起因するもの。悪用することでホストのring 3権限が取得でき、適当な別の脆弱性と組み合わせることができる。仮想デバイスをPCnetに変更するかNAT以外のモードに切り替えることで回避できる。

興味深いことに、発見者はこの脆弱性を0-dayという形で公開している。背景にはバグ報奨金に関して脆弱性発見者がベンダと共謀して公開を遅らせること、支払い基準が不透明なこと、（HeartbleedやMeltdownのように）名前をつけて大々的に騒ぐことなどへの不満があるようだ。

あるAnonymous Coward曰く、

セキュリティ研究者であるYushi Laing氏と協力者のAlexander Kochkov氏は、Microsoft Edgeブラウザに関する2つの脆弱性を発見した。Yushi Liang氏は、Edgeブラウザへのゼロデイ攻撃の可能性を訴えている。彼らは、SensePostのWadi Fuzzerユーティリティの助けを借りてゼロデイバグを発見したという。Yushi Laing氏は、概念実証としてブラウザから電卓（Windows Calculator）アプリを表示した画像を公開している。

なお、脆弱性の発見者に対して報酬を出す制度があるが、Webブラウザをターゲットにした新しい侵入コードを発見すると高額の報奨金が出るという。Liang氏は、安定して悪用できるコードの開発と完全なサンドボックスエスケープを達成すること、実行権限をSYSTEMにエスカレートする方法を探す目的で研究をしていたとしている（BleepingComputer、ITPro、Slashdot）。

headless曰く、

Lenovoが中国・北京の新キャンパスに無人コンビニエンスストア「Lenovo Lecoo Unmanned Store（聯想来酷無人店）」をオープンしたそうだ（Lenovoの発表、The Verge）。

この店舗では、入り口に設置されたタブレット端末で客の顔を認識し、客が品物を持って店から出ると自動でモバイルペイメントによる決済が行われるという。 無人店舗設置の目的は単なる利便性向上ではなく、顔認識技術をはじめとするさまざまな技術を向上させるパイロットプログラムとしての意味があるとのことだ。なお、あんまんが購入できるかどうかは不明だ。

Net Applicationsによる2018年9月のデスクトップブラウザ市場シェア調査結果によると、Webブラウザ「Opera」の開発者らが手がけるWebブラウザ「Vivaldi」（過去記事）のシェアがInternet Explorer 6に迫っているという（マイナビニュース）。

Vivaldiのシェアは0.11％で、Internet Explorer 6のシェアは0.13％とどちらも非常に小さいが、Vivaldiは着実に利用者を増やしているようだ。

ちなみに同期間のシェアトップはChromeで66.28％、続いてFirefox（9.62％）、Internet Explorer 11（8.29％）となっている。

あるAnonymous Coward曰く、

夏時間が導入されてから100年が経過した。しかし、今では多くの人々が毎年2回、時刻を調整するという行為に疑問を持っている。欧州委員会も今年の8月に夏時間の廃止を提案している。夏時間は第一次世界大戦中にドイツで石炭使用量を減らすことを目的に作られたが、もはや時代遅れのアイデアた。ある調査によると、夏時間の開始時に消費者支出は少し増加するものの、終了時には3.5％低下するという。

現代的な問題もある。病院で最も使用されているとされる電子健康記録ソフトウェアシステム「Epic Systems」は夏時間に対応しておらず、トラブル時には時間を1時間戻すといった作業が強いられるという。しかも毎年繰り返し行われる。カリフォルニア州の集中治療室の看護師によると、夏時間変更時のトラブルで1時間分の電子記録保管が「なくなる」のだという。病院のスタッフは、手書きのチャートノートを作ることで対処しているという。

アメリカ医師会元会長のSteven Stack博士は、病院がこれらのシステムに何百万ドルも費やしていることを考慮すると、もはや容認できない事態だとしている（USA TODAY、PBSONEWS HOUR、Slashdot）。