Microsoftは17日、Internet Explorer(IE)のゼロデイ脆弱性(CVE-2020-0674)を公表するとともに、回避策を発表した( セキュリティアドバイザリ、 Softpediaの記事)。

CVE-2020-0674はスクリプトエンジン(jscript.dll)がIEでメモリ内のオブジェクトを処理する方法に存在する。この脆弱性を悪用してメモリ破損を引き起こすことで、現在のユーザーのコンテキストで任意コードの実行が可能になるという。既にターゲットを限定した攻撃が確認されており、攻撃者が電子メールなどを通じて特別に細工したWebサイトにアクセスするようターゲットを誘導するといったシナリオが提示されている。

回避策としてはtakeownコマンドでjscript.dllの所有者になり、caclsコマンドでeveryoneのアクセス権を「なし」にするというもの。jscript.dllでは同様の脆弱性が過去にも発見されており、回避策も同様の内容だ。元に戻すにはcaclsコマンドでeveryoneのアクセス権を失効させればいい。Microsoftでは更新プログラムをインストールする前に変更を元に戻しておくことを推奨している。なお、IEはデフォルトでjscript9.dllを使用するため、jscript.dllをスクリプトエンジンとして使用するWebサイト以外は回避策の影響を受けないとのこと。

この脆弱性はWindows 7以降およびWindows Server 2008以降のIE 9～11が影響を受ける。脆弱性の深刻度はクライアント系Windowsで「重大」、サーバー系Windowsで「中」となっている。この脆弱性に対する更新プログラムは月例更新で提供する計画のようだ。

Googleの親会社Alphabetの時価総額が16日、初めて1兆ドルを超えた。17日終値ベースの時価総額は1兆210億ドル(The Guardianの記事、 The Vergeの記事、 CNBCの記事、 Forbesの記事)。

米企業で時価総額が1兆ドルを超えるのはAlphabetが4社目。2018年8月に米企業として初めて1兆ドルを超えたAppleの時価総額は同年11月以降1兆ドルを割り込んでいたが、2019年10月以降は再び1兆ドルを超え、17日終値ベースの時価総額は1兆3,970億ドルとなっている。2018年9月4日に一時的1兆ドルを超えたAmazonの時価総額は同日終値で1兆ドルを割り、以降一度も1兆ドルを超えていない。17日終値ベースの時価総額は9,245億ドル。ただし、12か月以内に再び1兆ドルを超えるとの予想も出ている。Microsoftの時価総額は2019年4月25日に一時1兆ドルを超え、6月には終値ベースでも1兆ドルを超えた。以降は上昇を続けており、17日終値ベースの時価総額は1兆2,750億ドルとなっている。

米企業以外では中国のPetroChina(中国石油天然気)が2007年、一時的に1兆ドルを超えている。現在最も時価総額の高い企業はサウジアラビアのSaudi Aramcoであり、2019年12月にIPOを実施した直後には2兆ドルを超えていた。現在も1兆8,000億ドル(6兆9,000億リヤル)前後で推移しているようだ。

Cooler Masterが昨年発売したサーマルペースト「New MasterGel」シリーズの新容器デザインは、保護者に子供が薬物を使用していないことを説明するのに疲れたからだとソーシャルメディアに投稿して話題になっている(Ars Technicaの記事、 SlashGearの記事、 PCMagの記事、 TechSpotの記事)。

Cooler Masterの従来型サーマルペーストは注射器型の容器に入っているが、New MasterGelシリーズでは注射器のように絞り出す構造はそのままに、平たい容器デザインになっている。従来型ではヘラのようなもので均一に塗り広げるのが難しかったのに対し、新型は絞り口先端も幅広の形になっているので直接均一に薄く塗布することが可能だ。製品情報ページに埋め込まれている昨年9月にYouTubeで公開された動画でも塗布しやすさが前面に押し出されており、1月6日に公開された新しい動画の趣旨も同じだ。新たな説明を投稿した意図は不明だが、話題になったのは間違いないようだ。

Mozilla執行役会長のミッチェル・ベイカー氏は15日、人員削減の通知を内部で出したことを発表した(The Mozilla Blogの記事、 TechCrunchの記事、 Ars Technicaの記事、 The Registerの記事)。

この件はMozillaの発表よりも先にTechCrunchが入手した内部メモを元に報じていた。メモによると人員を削減するのはMozilla Corporationの70名ほど。英国とフランスでは法令に従った協議を行っているところで、最終的にはもう少し増える可能性もあるという。Mozillaの広報担当者はThe Registerの問い合わせに対象となる人数を明言しなかったが、現在の従業員数が1,100人よりも少し少なく、Mozillaに残る人数は1,000人よりも少し多いと回答したとのこと。

ブログ記事でベイカー氏はMozillaがインターネットの改善に向けたイノベーションへの投資が必要なことを人員削減の理由に挙げているが、ベイカー氏の名前で出された内部メモではサブスクリプションサービスによる収入など、検索以外の収入が期待していたほど得られなかったと述べている。一方、Mozilla共同設立者で現Brave CEOのブレンダン・アイク氏は、ベイカー氏が高額な報酬を得ながら予算不足で人員削減することを批判している。

Microsoftは1月のセキュリティ更新プログラムで合計14件の脆弱性を修正しているが、このうちCVE-2020-0601には報告者として米国家安全保障局(NSA)が挙げられている(セキュリティ更新プログラムガイド CVE-2020-0601、 Microsoft Security Response Centerのブログ記事、 NSAのアドバイザリー: PDF、 NSAのニュース記事、 SlashGearの記事)。

CVE-2020-0601はWindows 10/Server 2016以降のCryptAPI(Crypt32.dll)が楕円曲線暗号(ECC)証明書を検証する方法に存在するなりすましの脆弱性。攻撃者は本物を装った偽のコードサイニング証明書で悪意ある実行ファイルに署名することで中間者攻撃が可能となり、影響を受けるソフトウェアに接続するユーザーの機密情報を復号できるという。Microsoftは脆弱性の深刻度を2番目に高い「重要」と評価するのに対し、CVSS 3.xスコアは「8.1 High」であり、NSAは「critical」「serious」と表現している。現在のところアクティブな攻撃は確認されていないとのことだが、脆弱性公表後にPoCが開発され、偽の証明書で偽のWebページを正規のWebページに見せかけるデモが何件か行われている。

NSAは発見したソフトウェアの脆弱性のほとんどを公表する一方で、状況によっては公表せず情報収集に使用することを明らかにしている。2017年にハッカーグループShadow Brokerが公開したNSAのエクスプロイト「EternalBlue」はWindowsの脆弱性(CVE-2017-0145)を利用しており、このエクスプロイトを利用したランサムウェアWannaCrypt/WannaCryは世界規模で被害が拡大することになった。なお、Microsoftが修正した脆弱性で、報告者としてNSAが記載されるのは今回が初めてのようだ。

headless曰く、

GoogleがChromeブラウザーでUser Agent文字列（UA）の凍結を計画しているそうだ（Googleグループ、Chrome Platform Status、Windows Central）。

WebブラウザーのUAは「Mozilla/5.0」「KHTML」「like Gecko」といった現在では特に意味のない情報が含まれる一方、ブラウザーバージョンやOSバージョンなどフィンガープリンティングに使われる可能性のある情報も含まれる。モバイル版ChromeではOSビルド番号も含まれていたが、iOS版ではChrome 69、Android版ではChrome 70で削除されている。また、Googleのサービスを含めUAによってブロックされたり、正常に表示されなかったりすることもある。そのため、VivaldiはChromeと同じUAに切り替えており、Chromiumベースの新Microsoft Edgeは接続先に応じてUAを切り替えて別のブラウザに偽装している。

UAの凍結は過去にSafariチームが試みているが、UAに応じたコンテンツのネゴシエーションに代わる方法がなく、一部の変更を取り消したという。Googleでは現在W3Cに提案しているUser-Agent Client Hints（UA-CH）がUA文字列の代替になると考えているそうだ。ChromeのUA凍結計画ではChrome 81で「navigator.userAgent」を非推奨とし、WebサイトがJavaScriptでUAを取得しようとするとコンソールに警告を出力する。Chrome 83ではWebブラウザのバージョンを凍結し、OSバージョンを統合する。9月中旬に安定版リリース予定のChrome 85ではデスクトップOSを示す文字列をデスクトップ版Webブラウザを示す共通のものにし、モバイルOS/デバイスを示す文字列は画面解像度ごとに共通化するとのこと。

UA凍結について、Safariは上述の通り既に実施しているが、MicrosoftやMozillaも支持しているそうだ。ただし、MozillaではFirefoxへのUA-CH実装に消極的なようだ。

昨年Googleは「Privacy Sandbox」の構想を発表した際、サードパーティーのトラッキングcookieをブロックするとフィンガープリンティングなど不透明な手法の利用が進んでプライバシーがかえって低下すると述べていた。また、先日Chromeでのサードパーティーcookie廃止計画を発表した際にも、同様の説明を繰り返している。

流出したIDとパスワードの組み合わせリストを使ってほかのサービスへの不正ログインを狙う攻撃は「リスト型攻撃」と呼ばれるが、これを使ってメールアカウントを奪取し、さらにそのアカウントでやりとりされているメールの内容を自動で分析してネットバンキングや電子決済サービスなどの攻撃対象を自動分類するという攻撃プログラムが確認されたそうだ（NHK）。

問題の攻撃プログラムでは、メール内容から事前に使用しているサービスを特定することで試行数を減らして効率的に攻撃が行える。また、IPアドレスを自動的に変えながら攻撃を行う機能も付いているという。

このプログラムは、昨年5月に無届けで中継サーバーを運用しているとして摘発された中国人業者のサーバーから見つかったとのこと。また、このサーバーからは6500万件にも上るID・パスワードのリストも見つかっているという。

1月15日、MicrosoftがChromiumベースのMicrosoft Edgeを正式リリースした（窓の杜）。

正式版のバージョンは「79.0.309.65」で、Google Chrome 79相当になるとのこと。Windows版のほか、macOS版も正式版となった。Windows Updateでの自動配信が行われるほか、手動でのインストールも行える。ただしプレビュー版を利用している場合の自動更新は行われず、Windowsにおいてはプレビュー版と安定版が共存する環境になるようだ。

ただし、日本においてはWindows Updateによる配信は4月以降になるという。理由は「確定申告の影響」だそうだ。確定申告に必要なe-Taxソフトウェアの推奨環境にChrome系のWebブラウザが入っていないためだと見られている（Engadget日本版）。

日本におけるインターネットの普及に大きく貢献した、慶應大学・環境情報学部の村井純教授が定年を迎え、1月16日に最終講義を行った（朝日新聞）。

村井教授は学術情報ネットワーク「JUNET」の構築やインターネット関連の研究・運用プロジェクトである「WIDEプロジェクト」の設立などで大きな役割を果たし、「日本のインターネットの父」などとも称されることがある。

なお、退任は3月になるとのことで、3月28日には村井純教授 慶應義塾大学SFC退任記念講演会が開催される。

Anonymous Coward曰く、

中国内で取り扱われる年間宅配便取扱個数が600億個を超えたそうだ。これは、世界で取り扱われる宅配便個数のうち半数を占めるという（36Kr Japan、NNA）。2018年からは24％増加しており、また2020年の取扱個数は18％増の740億件に達する見込みだという。

「『13次5カ年計画（2016～2020年）』以来、中国の宅配便取扱個数は毎年100億個増の勢いで増加し、6年連続で米国、日本、欧州など先進経済圏を上回った」そうだ。

なお、中国の郵政事業の売り上げは中国のGDPの1％近くを占めるほどになっているという（AFP）。特にインターネット通販の普及が取扱個数増加に寄与しているようだ。

ハンバーガー店チェーン・モスバーガーを手がけるモスフードサービスが、同店舗で利用できるプリペイドカード「モスカード」で使用されるID番号を二重に発行していたことが明らかになった（日経xTECH）。

これにより、意図せず複数人が1つのカードを共有しているような状況が発生していたという。モスカードのサービスを利用する場合、店頭などで入手できるプラスチック製のカードもしくはスマートフォンアプリが必要だが、プラスチック製カードにすでに印刷されていたID番号を誤ってデジタルカード向けにも提供していしまったのが原因。重複した番号が記載されているカードは9674枚で、うち1286枚が顧客に渡っていたという。

重複した番号を使っていた顧客については新たなID番号を発行するとともに、2019年6月6日以降の入金については使用の有無を問わず復元し、さらにお詫びとして500円分のポイントを付与する。

Anonymous Coward曰く、

消費者向けエレクトロニクス・サービス関連の展示会CES 2020にて、Intelが小型ベアボーンPC「Next Unit of Computing（NUC）」の新シリーズ「Ghost Canyon NUC」を発表した（ASCII.jp、PC Watch、Engadget日本版）。

Ghost Canyon NUCは筐体サイズを縦横約20cm、高さ約10cmほどに拡大。これによって長さ203mmまでのPC用グラフィックボードが搭載可能となった。また、インテルNUCとして初めてCPUの交換も可能になっており、Core i9-9980HKを搭載も搭載可能だという。

CES 2020ではRazerがこのGhost Canyonを採用した小型ゲーミングデスクトップ「Razer Tomahawk」を発表している。仕様としてはCPUがCore i9、GPUがGeForce RTX 2080、メモリ64GBなど。2020年の前半に発売予定としている。

Anonymous Coward曰く、

「.com」ドメインのレジストリ（管理者）であるVerisignが、ドメイン名などのインターネット資源調整を行なっている団体ICANNに年間400万ドルの寄付を行うことを発表した。寄付は5年間行われ総額は2000万ドルになるという。Verisignの発表によれば、この寄付はICANNコミュニティ向けのセキュリティ関連費用に使われると知っている。しかし、この寄付は.comドメインの価格を引き上げるための根回しに使われたのではないかとも見られている。

実際、ICANNは今年から.comドメイン名の価格を引き上げることに同意した。これによりVerisignは、数年前に導入されていた価格凍結が解除され、年間7％ずつ価格を引き上げることが可能となるという。これは、Verisignに9億9300万ドルの価値をもたらすと推測されている。

ICANNは今回の2000万ドルの寄付の件は、ルートサーバーシステムのガバナンス、DNSセキュリティの脅威の軽減、DNSSEC展開の促進および/または促進を含む、DNSのセキュリティ、安定性、復元力を維持および強化するICANNのイニシアチブをサポートするために使用される」と説明している（The Register、DNN、Yahoo! finance、Slashdot）。

九州電力が、プログラムの不具合に起因するシステム障害によって電気料金の請求遅延や誤請求が発生していることを明らかにした（日経xTECH、九州電力の発表）。

九州電力は2020年4月に発送電事業を分社化する予定で、それに向けたシステム移行を行なっていた。問題が発生しているのは検針データから電気使用量を計算するシステムなどで、システム移行のためのプログラムに不具合があったのが原因だという。テストデータに漏れがあったためにこの不具合を事前に検知することができなかったようだ。

発表によると、これによって電気料金請求書の送付遅延が83870件、太陽光等電力買取分の支払いのお知らせ遅延が21111件発生しているという。さらに、同社顧客向けサイトで電気料金や使用量を照会するサービスについても一部利用できないユーザーが発生しているとのこと。

headless曰く、

Windows 7の延長サポート終了翌日に正式版がリリースされるChromiumベースの新Microsoft Edgeだが、延長サポート終了後もWindows 7をサポートするそうだ（Neowin、Softpedia）。

GoogleはMicrosoftによるサポート終了から少なくとも18か月はGoogle ChromeでWindows 7をサポートする計画を明らかにしている。Microsoftは当初、少なくともGoogle Chromeと同じ期間は新Microsoft EdgeでWindows 7をサポートするとNeowinに声明を出していたそうだが、その後声明から期間に関する部分を削除したとのこと。Neowinでは有料セキュリティアップデートオプションWindows 7 Extended Security Updates（ESU）が提供される3年間、新Microsoft EdgeでWindows 7をサポートするのではないかとの見方を示している。

なお、Vivaldiも少なくともGoogle Chromeと同期間、Windows 7をサポートする方針とのことだ。