Symantecおよび傘下の認証局が適切な確認を行わないまま大量にSSL証明書を発行していた問題を受け、これらの認証局が発行した証明書に対するGoogle Chromeでの扱いについて、有効期限の短縮やEV(Extended Validation)ステータスの無効化などをChromiumプロジェクトのBlink開発チームが提案している(Googleグループ投稿、 The Registerの記事、 Softpediaの記事、 Ars Technicaの記事)。

チームでは1月19日からSymantecによる証明書の不正発行について調査を行っていたという。当初、不正に発行された証明書の件数は127件とされていたが、Symantec側の説明は徐々に範囲が拡大されていき、少なくとも3万件が数年にわたって不正に発行されていたことが判明する。2015年に発生したテスト証明書の無断発行に続いて繰り返されたミスと合わせ、チームは過去数年にわたるSymantecの証明書発行ポリシーや業務を信頼できなくなったとのこと。

提案の内容としては、Chrome 61以降でSymantecが新たに発行する証明書の有効期限を9か月以内とすること、今後数リリースのChromeでSymantecが発行した証明書の有効期限を徐々に短縮していき、新たな証明書への置き換えを進めること、Symantecが発行したEV SSL証明書のEVステータスを無効にすることが挙げられている。EVステータスについてはSymantecの信頼が回復するまで無効とするが、少なくとも1年以上先になるとのこと。

提案されているSymantecが発行した証明書の有効期限変更は、6月に安定版のリリースが予定されるChrome 59では33か月。その後の各リリースで6か月ずつ短縮され、10月のChrome 62では15か月となる。Chrome 63では開発版とベータ版で9か月となるが、安定版は年末リリースということもあって15か月とし、安定版ではChrome 64で9か月となる。

チェックイン時間を短縮するためにセルフチェックインを導入する航空会社も増えているが、ブリティッシュ・エアウェイズでは搭乗時間短縮のため、ゲートに顔認識デバイスを導入したそうだ(Consumeristの記事、 Bloomberg Technologyの記事)。

Bloombergの記事によれば、ロンドン・ヒースロー空港では3つの出発ゲートに顔認識デバイスが配備されており、さらに33のゲートにも数か月中に配備する予定だという。乗客はターミナル5の保安検査場に設置されたバイオメトリックデバイスを利用して顔のスキャンと搭乗券を登録する。ゲートではスタッフによる搭乗券や身分証明書などの確認が不要となり、乗客はそのままゲートを通過して搭乗できる。これにより、搭乗の高速化やミスの減少が可能になる。当面は国内線のみで使われるが、いずれは国際線にも拡大する計画とのことだ。

WebブラウザーでAdobe Flashの動作制限が進められる中、米FedEx OfficeのオンラインプリントサービスではFlashが必須となっているようだ。そのため、Flashを有効化してサービスを利用したユーザーに対し、値引きを提供している(The Registerの記事)。

Flashが無効になっているWebブラウザーでプリントサービスのページに移動しようとすると、Flashを有効にしなければ利用できないといった内容のエラーページが表示される。Flashを有効にしてサービスを利用した場合、エラーページに記載されているクーポンコードを使用することで、30ドル以上の注文で5ドルの値引きが受けられるとのこと。このページにはGoogle ChromeとSafariでのFlash有効化手順なども表示されるが、Chrome 57で廃止された「chrome:plugins」ページを使用する手順が記載されており、情報が古いようだ。

なお、Chrome 56以降ではユーザーが許可したサイトでのみFlashの実行を許可するオプションがデフォルトになっているが、自動実行を許可する設定に変更しなければFlashコンテンツを含むページへ移動できない。Windows 10 Creators UpdateのMicrosoft EdgeでもFlashの実行にユーザーの許可が必要となる。サイトごとの自動実行を許可することも可能だが、オプションはFlashコンテンツを含むページでのみ表示されるため、FedEx Officeのサービスを利用できるよう設定するのは簡単ではない。

Microsoftは23日、PC版のWindows 10 Insider Preview ビルド15063をスローリング向けに提供開始した。リリースプレビューリング向けにはまだ提供されていないが、このビルドがRTMになるとの予想も出ているようだ(BetaNewsの記事、 Softpediaの記事、 Neowinの記事、 On MSFTの記事)。

予想の有力な根拠となっているのは、WalkingCat氏が発見した「Windows 10 アップグレードアシスタント」テスト版の実行結果だ。これを15063よりも古いビルドで実行すると、「最新のバージョンは15063です」と表示される。ログを見ると「Built-in known build number」が15063となっている。一方、現在Windows 10のダウンロードページから入手可能なアップグレードアシスタントを実行した場合、「Built-in known build number」は14393(バージョン1607、Anniversary Update)となる。

ただし、根拠はこれだけであり、今後さらに新たなビルドが出る可能性もある。Windows Insider Programを担当するMicrosoftのDona Sarkar氏は、検討の結果、今週末には新たなビルドを出さないことに決めたとツイートしている。なお、ビルド15063ではInsiderレベルで「リリースプレビュー」が選択できるようになっており、バグ修正のみの新ビルドが頻繁に出ている点からみても、Creators Updateの完成は近づいているようだ。

Creators Updateは4月11日に一般向けリリースと報じられているものの、Microsoftは間もなく提供開始とアナウンスするのみで、リリース日は公式発表されていない。ちなみに、Anniversary Updateは一般向けリリースの1か月以上前にスケジュールが発表されていた。

米司法省は21日、取引先企業を装って米インターネット企業2社をだまし、合計1億ドル以上を送金させていたリトアニア人の男を逮捕したことを発表した(プレスリリース、 The Vergeの記事、 The Next Webの記事、 起訴状: PDF)。

男は被害企業2社と取引のあるアジアのコンピューター製造企業(会社1)と同名の会社をラトビアで設立(会社2)し、会社2の名前でラトビアやキプロスに銀行口座を開設。2013年から2015年にかけて被害企業2社の従業員などに会社1の企業アカウントに見える電子メールアカウントから詐欺メールを送り、製品やサービスの代金を会社2の銀行口座へ入金するよう求めたという。2社は会社1との取引で定期的に数百万ドルを送金していたため、送金詐欺は成功したようだ。男はさらに被害企業を装った偽の文書を作成し、銀行に確認書類として送付していたとのこと。

被害企業の社名は公表されていないが、被害企業のうち1社はインターネット関連のサービスと製品を提供し、米国に本社を置く多国籍のテクノロジー企業、もう1社はオンラインソーシャルメディアとネットワークサービスを提供し、米国に本社を置く多国籍企業とされている。会社1はアジアを拠点とし、1980年代後半に設立されたコンピューターハードウェアの製造業者で、世界中のさまざまなテクノロジー企業へ製品やサービスを提供しており、銀行口座はアジアにあるとのこと。

男は送金詐欺やID窃取各1件、マネーロンダリング3件で訴追されており、最高20年の実刑判決を受ける可能性がある。今回の事件は多額の送金詐欺事件だが、手口は特別新しいものではない。しかし、企業名が公表されていないことで、被害企業について憶測を呼んでいるようだ。

Google Chromeのタブを右クリックすると表示されるコンテキストメニューから「他のタブをすべて閉じる」「右側のタブを閉じる」の削除が検討されているそうだ(Issue 515930、 Softpediaの記事、 Ghacksの記事、 Redditの記事)。

タブのコンテキストメニューからあまり使われていないメニュー項目を削除することは数年前から議論されており、昨年9月には「他のタブをすべて閉じる」「右側のタブを閉じる」に加え、「すべてのタブをブックマークに追加」を削除する方向でまとまりかけていた。しかし、最近になってGhacksやRedditで取り上げられたことから、再び議論が活発化したようだ。

使用率でみると「すべてのタブをブックマークに追加」が0.64%と圧倒的に少ない。次に少ないのは「タブのミュートを解除」(1.41%)だが、これは「タブをミュート」(5.38%)とセットなので除外されている。「他のタブをすべて閉じる」(2.20%)は3番目に少ないが、「右側のタブを閉じる」(6.06%)は「タブをミュート」よりも多い。

ただし、「右側のタブを閉じる」は右から左に書くRTL言語モードでは「左側のタブを閉じる」にしなければ混乱を招くという問題(Issue 558207)があり、修正に手間をかけるよりも削除すべきだという話になっている。また、複数のタブをCTRL+クリックやSHIFT+クリックで選択してからCTRL+Wで閉じればいいので、コンテキストメニューに残す必要はないとの意見も出ている。

同様のコンテキストメニュー項目はMozilla FirefoxやMicrosoft Edgeにも用意されているが、スラドの皆さんは使用しているだろうか。

taraiok曰く、

WebブラウザやOSの脆弱性を狙うハッキングコンテスト「Pwn2Own 2017」で、Edgeブラウザの新たな脆弱性や、仮想マシン内からゲストOSにアクセスする手法などが発見された（PC Watch、TomsHardware、Slashdot）。

昨年の同コンテストでは、EdgeブラウザのセキュリティはIEやSafariよりも優れているもののChromeには及ばないという結果が出ていたが、今年はEdgeブラウザの状況が悪化し、Edgeに対する攻撃は合計で5回成功したという。Edgeに対する賞金額が多かったために狙われたという側面もあるようだが、一方でChromeへの攻撃は一度も成功しなかったという。

発見された具体的な問題は、JavaScriptエンジンとサンドボックスのロジックバグ、UAF脆弱性とWindowsカーネルでの別のUAFバグを使った攻撃、VMware Workstationの初期化されていないバッファを悪用する攻撃など。特にVMware Workstationの不具合とEdge、Windowsの不具合を組み合わせた攻撃では、仮想マシン上で動作していたEdgeからホストOSへのアクセスが可能になっていたという。この攻撃を成功させたチームは10万5000ドルの賞金を獲得したとのこと。

HTTPS通信を監視するセキュリティ装置の一部で、TLSによる保護が十分ではなく、セキュリティ強度が低下する恐れがあるという（ZDNet Japan、JPCERTによる「HTTPS 通信監視機器によるセキュリティ強度低下の問題」という注意喚起）。

HTTPSではクライアント－サーバー間で暗号化されたデータがやり取りされるため、通常その経路に流れるデータを観測してもその中身を読み取ることはできない。そのため、HTTPS通信を監視する装置を利用する場合、クライアント側に専用の証明書をインストールすることで監視装置が暗号化されたデータを復号して読み取れるようにしておく必要がある。この場合、クライアントは監視装置の信頼性については証明書を用いて検証できるが、監視装置と目的のWebサーバーとの間の通信については、クライアントからはコントロールすることができない。

最近発表された論文によれば、多くの監視機器がWebサーバーの証明書チェーンを正しく検証していないという。そのため、監視機器とWebサーバーの間で中間者攻撃が行われる可能性があるという。

各機関では、ユーザーに監視機器が証明書チェーンを適切に検証しているかどうかや、検証結果に関する警告やエラーをクライアント側にレポートしているかを確認してほしいと呼び掛けている。

あるAnonymous Coward 曰く、

米国で農業用トラクターのハッキングが流行しているそうだ（MOTHERBOARD、PopularMechanics、ギズモード・ジャパン、WIRED、Slashdot）。

米大手農業機械メーカーディア・アンド・カンパニー（ブランド名：ジョン・ディア）では、昨年の10月に制限的なライセンス協定を設定することにより、純正サポート以外のほぼすべての修理や修正を禁止した。このライセンス協定はキーを回すか、専用ソフトウェアを起動した時点で適用される模様。その結果、農家は自分でできそうな調整レベルの修理でさえできなくなったという。

純正サポートを受けるにも、メーカー拠点が遠い場所にあることがあり、また技術費用も高いことも問題になっている。この結果、ウクライナなど東ヨーロッパ諸国でクラックされたジョン・ディア用の海賊版ファームウェアが出回るようになったという。このファームウェアは三つのプログラムから構成されており、エンジンからキャブレターまでいろいろな部分をカスタマイズできるとしている。海賊版ファームウェアは招待制のフォーラムで販売されている模様。

headless 曰く、

Microsoftは中国電子科技集団（CETC）と設立した合弁会社で中国政府専用版のWindows 10を開発していたが、このほど市場投入への準備が整ったそうだ（China Daily、Morningstar、Register、Ars Technica）。

中国政府専用版のWindows 10はコンシューマー向けのアプリやサービスを減らし、中国政府が必要とする管理機能やセキュリティ機能を強化したもの。ソフトウェア自体は1年ほど前に完成していたが、大企業3社でのテストが完了し、市場投入が可能な状態になっているとのこと。

中国では今年、企業向けPC市場が再び成長に転じることが予想されている。政府機関がWindows 10を導入することになれば、私企業でも導入が進むとみられる。

中国政府は米国家安全保障局（NSA）による大量監視プログラムがエドワード・スノーデン氏の内部告発で明らかになって以降、Microsoftの新製品を調達リストから外している。Windows 10が政府の調達リストへ追加されるために必要な審査はこれからだが、CETCの会長は合格する自信があるようだ。

あるAnonymous Coward 曰く、

米国で、てんかん患者に対しTwitterで「激しく点滅する画像」を送りつけ、てんかん発作を起こさせた男が逮捕された（AFP、CBS、New York Times）。

被害を受けたのは、Newsweekの記者Kurt Eichenwald氏。氏のTwitterアカウント宛に届いたダイレクトメッセージを開いたところ、激しく点滅するようなGIFアニメーション画像が表示され、これを見たEichenwald氏はてんかん発作を起こして倒れたという。

その後、このメッセージを送信した29歳の男性が傷害の容疑で逮捕された。このメッセージはEichenwald氏が行ったトランプ大統領批判に対して送られたと見られており、「発作でお前の投稿に対する報いを受けろ」的な文章が添えられていたという。氏はこれ以外にも同様の画像を受け取っており、それらはすべて当局に提供しているとのこと。

headless曰く、

米国・ミネソタ州の地方裁判所が2月、特定の期間に特定の人物名でGoogle画像検索を実行したユーザー全員の情報の取得が可能となる捜査令状を発付していたことが先日判明した（Register、Ars Technica、Consumerist、発見者Tony Webster氏のブログ）。

問題となったのは、何者かが被害者になりすまし、被害者の信用組合口座から別の銀行口座に送金させようとした詐欺事件に関連する捜査。犯人が身分証明書として信用組合に提出した偽造パスポートのコピーには、被害者と同姓同名の人物の写真が使われていたという。

同じ写真はGoogleの画像検索結果に表示される一方、BingやYahoo!の検索結果には表示されないことから、地元イーダイナの警察は写真の入手元をGoogle画像検索と断定。裁判所は検索を実行したユーザーの情報について証拠提出命令を出していたが、Googleが拒否したことから捜査令状が発付されることになったようだ。

令状は被害者名のバリエーション4種（ミドルネーム表記の違いと思われる）のいずれかを2016年12月1日～2017年1月7日の期間に検索したユーザーについて、アカウント情報やIPアドレスなどをGoogleから取得可能な内容になっている。令状はイーダイナで請求されたものだが、対象となるユーザーの所在地はイーダイナに限らないとみられている。

しかし、たまたま被害者や被害者と同姓同名の人物をGoogleで検索した知人など、事件とはまったく無関係なユーザーも令状の対象に含まれることから、不合理な捜索や押収を禁じた合衆国憲法修正第4条に違反するとの指摘もある。Googleは個別の事件についてコメントはできないが、極端に幅広いユーザーに関する情報が請求された場合には常に拒絶していると述べているとのことだ。

米Amazon.comにおいては、偽造品や模造品が多く販売されていることが問題視されている（過去記事）。Amazonは今までも偽造品対策に力を入れるとしているが、効果はあまり見られていなかった。そのため、偽造品排除の新たな仕組みを導入するようだ（ロイター、CNET Japan）。

導入されるのは、「ロゴや知的所有権をAmazonに登録する」システム。登録を行う事で、それらを無断で使用した偽造品への削除要請が行えるようになるという。削除要請はその権利を所有する企業などだけでなく、Amazonで購入するユーザーからも行えるとのこと。Amazon側での自主的な削除も可能なようだ。

headless 曰く、

Googleは21日、次期Android 「O」の最初の開発者向けプレビュー版となるAndroid O Developer Preview 1を公開した（Android Developers Blog、Android O Developer Preview、9to5Google、Neowinの記事）。

Android O Developer Preview 1の主な新機能は、バックグラウンドでの実行制限・位置情報取得頻度の制限をアプリで設定することでバッテリー消費を減少させる機能や、ユーザーによる通知の管理を容易にするNotification Channels、他のアプリに切り替えても動画の視聴を続けられるPicture in Picture（PIP）、デバイスごとに異なる形状のアプリアイコンを表示できるAdaptive Iconsなど。

Developer Preview 1はエミュレーターのほか、Nexus 5X/Nexus 6P/Nexus Player/ Pixel/Pixel XL/Pixel Cで実行できる。Developer Preview 1は開発者専用であり、実機で使用するにはシステムイメージをダウンロードしてデバイスをフラッシュする必要がある。

Android Studio 2.4 CanaryにはAndroid O向けの機能が搭載されており、Android Studio内でプレビュー版のAndroid O SDKをセットアップすればAndroid Oの新機能を使用したアプリを開発できるようになる。また、Support Library 26.0.0 Alpha 1（ページを英語表示に切り替える必要あり）も公開されている。

Developer Preview 1はアルファ版であり、5月にはベータ版のPreview 2が公開される。6月のPreview 3ではAPIが最終版となって公式SDKが公開され、Google Playでのアプリ公開も開始される。7月には最終テスト用のPreview 4が公開され、第3四半期にファイナル版がリリースされる予定とのことだ（Program Overview）。

あるAnonymous Coward 曰く、

GMOインターネットのADSLサービスで行われていた「今なら6か月無料」キャンペーンに対し、消費者庁が景品表示法違反（有利誤認）に当たるとして再発防止を求める措置命令を出した（消費者庁の発表、ITmedia）。

キャンペーン期間として当初は「2015年9月30日まで」としていたにもかかわらず、この期間が過ぎた後には締め切り期日を変更してキャンペーンを続けていた点が問題とされている。毎月1か月ずつキャンペーン期間が延長されており、消費者庁によると2016年2月29日までの延長が確認されているようだ。