iOS 13.3.1以降でVPNを利用する場合に一部の通信がVPNをバイパスしてしまう脆弱性をProtonVPNが公表している(ProtonVPNのブログ記事、 Mac Rumorsの記事、 Bleeping Computerの記事、 BetaNewsの記事)。

問題はVPNへ接続した際にiOSが既存の接続を閉じて再確立せず、そのまま維持してしまうことにより発生する。接続の多くは短時間で閉じられるが、中には数分～数時間にわたりVPNを経由せずに通信が行われることもある。これにより、サーバーとの通信がHTTP接続の場合は通信内容が暗号化されない、攻撃者がiOSデバイスとサーバーのIPアドレスを見ることができる、サーバーがiOSデバイスのIPアドレスを見ることができる、といったリスクが挙げられている。特に市民の監視や権利の侵害が一般的な国の人々はリスクが高いとのこと。

問題を発見したのはProtonVPNのコミュニティーメンバーで、最初にiOS 13.3.1で問題を確認しているが、最新のiOS 13.4でも修正されていないとのこと。ただし、ProtonVPNは脆弱性を昨年発見したとツイートしており、最初に確認されたのはベータ版なのかもしれない。そうであればベンダーに通知後90日日間は脆弱性を開示しないというProtonの開示ポリシーにも一致する。

iOSではVPNアプリ側で既存のネットワーク接続を切断することを認めておらず、ProtonVPN側で対策することはできないという。AppleはVPN常時接続を推奨しているが、モバイルデバイス管理を使用する必要があるため、サードパーティーのVPNアプリは利用できないとのこと。そのため、ProtonVPNでは100%の効果は保証できないとしつつ、VPNサーバー接続後に機内モードをオン・オフするという緩和策を紹介している。

Windows 10でプロキシサーバー設定を使用していると、特にVPNを使用している場合にインターネット接続できなくなる問題が発生しているそうだ(リリース情報、 Windows Centralの記事、 Softpediaの記事、 Ghacksの記事)。

この問題はVPNに接続/切断した場合や状態が変更された場合に発生し、通知領域のネットワークアイコンには「制限あり」「インターネットなし」などと表示されるという。また、WinHTTPやWinInetを使用するアプリケーションがインターネットを利用できなくなる可能性もあるとのこと。該当するアプリケーションの例としては、Microsoft Teams/Microsoft Office/Office 365/Outlook/Internet Explorer 11/一部のバージョンのMicrosoft Edgeが挙げられている。

影響を受けるのはバージョン1709以降のWindows 10/Serverで、2月下旬にリリースされた更新プログラム(KB4537816 / KB4537795 / KB4537818 / KB4535996)にバグが導入されている。バグは最近まで認識されていなかったとみられ、3月にリリースされた複数のビルドでも修正されていない。Microsoftは現在修正を進めており、4月初めに定例外の更新プログラムとしてMicrosoft Update Catalogのみで提供する予定だ。なお、問題発生時にデバイスを再起動すれば、一時的に問題は解消するとのことだ。

衛星コンステレーションによるブロードバンドサービス提供を目指すOneWebは3月27日、米連邦破産法11条に基づく再建型の破産を米ニューヨーク南部地区連邦破産裁判所に申立てた(プレスリリース、 GeekWireの記事、 The Vergeの記事、 Neowinの記事)。

年初からOneWebは商用サービス開始までの資金を調達すべく、投資の交渉を行っていたという。しかし、COVID-19の感染拡大に関連した財政的な影響と市場の混乱により、目前だった資金調達は完了しなかったとのこと。GeekWireの情報提供者によれば、OneWebは最大の出資者であるソフトバンクグループからの追加資金援助も受けられなかったそうだ。

OneWebは1週間前に破産の検討が報じられたが、22日には34基の衛星打ち上げを成功させ、衛星の数は74基となっている。既にOneWebは人員を削減しており、再建手続き中の運営資金として担保金を使用可能にすることなどを破産裁判所に請求し、つなぎ融資の交渉も行っているとのことだ。

今年も「エイプリルフール中止のお知らせ」を目にする季節となったが、COVID-19感染拡大によるイベント自粛が相次ぐ中、実際に中止する企業が増えるかもしれない(9to5Googleの記事、 The Vergeの記事、 Mashableの記事、 Android Policeの記事)。

Microsoftは昨年、CMOのクリス・カポセラ氏がエイプリルフール中止を従業員に呼びかけたと報じられ、実際に中止されたようだ。今年はGoogle CMOのロレイン・トゥーヒル氏が電子メールで同社の管理職にエイプリルフール中止を呼びかけたとBusiness Insiderが報じている。

トゥーヒル氏はBusiness Insiderが入手したという電子メールの中で、普段であればエイプリルフールはGoogleの伝統であり、同社を旧来の企業とは異なる企業にするものを祝う時だと述べたうえで、今年はパンデミックと戦う人々を尊重するため、その伝統を1年間休止すると述べている。すでに中央で集約するエイプリルフール企画は中止しているが、個別のチームによる小さな企画もすべて中止すべきとのこと。

ブランドにエイプリルフール中止を呼びかける記事を前日に掲載していたMashableはGoogleの動きを歓迎し、他のブランドも追随すべきだと述べている。

Googleは3月26日にChromeブラウザーおよびChrome OSのリリースタイムラインを更新し、安定版リリースを見送っていたM81(Chrome 81/Chrome OS 81)を4月7日にリリースする計画を発表した(Chrome Releasesの記事、 リリーススケジュール最新版、 Android Policeの記事)。

GoogleはCOVID-19対応で作業スケジュールの調整が入ったとして、当面はChrome 80/Chrome OS 80の安定性と安全性、信頼性の維持に注力する方針を発表していた。

新たなスケジュールではCanary/Dev/Betaの各チャンネルを今週再開し、M83はDevに移行、M81はBetaで継続する。StableチャンネルではM80のセキュリティおよび重要な修正を来週リリースし、4月7日にはM81をリリースする。M82はすべてのチャンネルでキャンセルとなり、M83にM82の変更点を含めて予定より3週間早くリリースするとのこと。もともとM83は6月9日の安定版リリースが計画されていたが、新スケジュールではChrome 83が5月19日リリース、Chrome OS 83が5月26日リリースとなっている。Chrome 84のリリースも現時点では3週間早い7月14日が設定されている。

Anonymous Coward曰く、

Mozillaが、メディア向けの収益化サービスを提供する「Scroll」とパートナーシップを結んだ（AXIOS、GIGAZINE、Slashdot）。

Scrollは、Webメディアなどに「ユーザーが月額5ドルを支払うことで広告を非表示にできる」仕組みを提供するサービス。Webメディア側には、広告の代わりにユーザーが支払った料金の一部が分配される。これによってWebメディア企業は広告よりも高い収益が期待でき、またユーザーは行動の追跡といったデータ収集から身を守れるとしている。

今回のMozillaとScrollのパートナーシップにより、ScrollはFirefox向けの拡張機能を提供するという。また、パートナーサイトとしてはThe VergeやGIZMODO、BuzzFeedd Newsなどが挙がっている。訪問すればするほどパートナーサイトが得られる分配金の割合は増える仕組みのようだ。なお、当面は米国のみの運用になるとのこと。

Anonymous Coward曰く、

世界保健機関（WHO）の最高情報セキュリティ責任者Flavio Aggio氏は、ハッカーがWHOのシステムに侵入しようとしたことを認めた。しかし、その取り組みは失敗したとも語った。侵入しようとしたハッカーの身元は不明。Aggio氏によれば、新型コロナウイルスへの戦いの中、WHOへのハッキングの試みが急増しているという。

サイバーセキュリティの専門家Alexander Urbelis氏は3月13日、彼が追跡していたハッカーグループがWHO内部の電子メールシステムを模倣した悪意のあるサイトを立ち上げたのを確認した。Urbelis氏は誰が主犯であるかは不明だとしている。しかし別の二人の情報筋によれば、2007年からサイバースパイ活動を行っている「DarkHotel」という高度なハッカーグループの疑いがあると述べている。

WHOのAggioは、ロイターからこの事件について尋ねられると、Urbelis氏が発見したサイトが複数の代理店スタッフからパスワードを盗む目的で使用されていたたことを確認したと回答している。同氏は「明確な数字ではないが、ハッキング目的でWHOを偽装するサイトの数は2倍以上に増えたのではないか」と答えた。

カスペルスキーによるとDarkHotelは、特にコロナウイルスの影響を受けた地域である東アジア、具体的には、中国、北朝鮮、日本、米国などの政府職員や幹部を対象に活動を行っているという。コロナウイルスに関連する治療法や検査、ワクチンに関する情報は貴重で価値が高い。影響を受ける国の情報機関としては情報収集の優先事項に当たるとしている（Reuters、Slashdot）。

Anonymous Coward曰く、

「COVID-18の情報を配信するアプリ」を詐称するマルウェアをダウンロードさせる攻撃が登場しているという（PC Watch、Bleeping Computer、Slashdot）。

この攻撃はまずターゲットのネットワークのルーターを狙い、DNS情報を書き換えてネットワークの利用者が特定のドメインにアクセスした際に詐欺サイトに接続するよう誘導。この詐欺サイトでは、WHO（世界保健機関）を装ってコロナウイルスによる新型肺炎（COVID-10）関連アプリを装ったマルウェアをダウンロードさせるという。このマルウェアは「Oski」と呼ばれるもので、ブラウザやレジストリからユーザーの認証情報などを盗み出す活動を行うそうだ。

日本情報通信研究機構（NICT）日本標準時グループでは公開NTPサーバーでの日本標準時の時刻配信を行なっているが、神戸副局のNTPサーバーではアップデートによってNTP vesion 1への対応が終了しているとのこと。また、小金井のサーバーも更新が予定されているため、NTP version 1利用者に対しversion 2以降への移行が呼びかけられている。

Anonymous Coward曰く、

キーワードと地域で店・施設を検索できる業種別電話帳サービスを提供する「iタウンページ」が、3月25日で「電話番号検索機能」を終了した（iタウンページの発表）。

タウンページなのに電話番号が軽視されるとは。これも時代の流れなのでしょうか？

ただし電話番号検索の終了後もサイト上での電話番号の掲載は続けられているため、GoogleなどのWeb検索を利用すれば電話番号から店・施設を検索することは可能だと思われる。

headless曰く、

Microsoftは23日、Windowsの未修正脆弱性を公表した（ADV200006、Neowin、Ars Technica、The Verge）。

脆弱性はAdobe Type Manager LibraryがAdobe Type 1 PostScriptフォントを扱う方法に存在する2件のリモートコード実行脆弱性で、既にWindows 7をターゲットにした限定的な攻撃が確認されているという。攻撃者は特別に細工したドキュメントをターゲットに開かせたり、エクスプローラーのプレビューウィンドウに表示させたりすることで脆弱性を悪用できる。

脆弱性の影響を受けるのはWindows 7/Server 2008以降すべてのバージョンのWindowsとなっているが、Windows 10およびServer 2016以降では攻撃が成功してもコードはAppContainerサンドボックス内で実行されるため影響は小さい。ただし、Windows 10バージョン1607以前とServer 2016の場合、インストールされたフォントはカーネルモードで処理されるそうだ。

回避策としてはエクスプローラーでの詳細ウィンドウ/プレビューウィンドウや縮小版の非表示、WebClientサービスの無効化、ATMFD.DLLのリネームといったものが挙げられている。この脆弱性を修正する更新プログラムは未公開であり、現時点では今後の月例更新で修正する計画のようだ。ただし、攻撃が確認されている場合は報告から7日間で情報を公開するというポリシーに従い、影響を受けるWindowsバージョンや回避策などを公開したとのこと。

なお、Microsoftでは公衆衛生上の大きな問題が発生している現状を考慮し、（現在Cリリース/Dリリースとして月2回提供している）セキュリティコンテンツを含まないオプションの更新プログラムの提供を5月以降は一時停止し、セキュリティ修正に注力するとのことだ（Windowsメッセージセンター）。

taraiok曰く、

ホワイトハウスは米国のIT企業に対し、コロナウイルスによる新型肺炎（COVID-19）対処への協力を求めている。その1つとして挙がっているのが、スマートフォンによる人々の追跡調査だ。これは新型コロナウイルス（COVID-19）の爆発的感染拡大を減らすための強力な武器になる可能性がある。しかし、スマートフォンを使って人々を追跡することは、多くのアメリカ人のプライバシーの感覚を損なうことにもなる（WIRED、Slashdot）。

たとえばFacebookは、SNSへの投稿や旅行パターンなどからユーザーの移動パターンを集約して感染の広がりをマッピングするツールを活用している。このツールは2019年にコレラやマラリア対策のために開発された「Disease Prevention Maps（疾病予防マップ）」というもので、すでにCOVID-19予防のために大学や医療非営利団体によって使用されている。Facebookはこのツールについて、個人を追跡に使用されることはなく、データは匿名化され一般的な行動傾向で提示されると主張している。

こうしたIT企業による努力は、プライバシーを重視する人々の考えと衝突する。現在、データを収集して共有することには、COVID-19の拡大防止という説得力のある理由がある。監視は命を救うことにつながる。しかし、どのデータが収集されるのか、誰がそれを使用するのか、そしてどのくらいの期間収集が続くのかについて境界線を引くことはとても難しい。しかも一度収集されたデータは、後で別の目的に使用することも可能だ。

一部のプライバシー専門家は今回の危機が過ぎたら、病気と闘うという名の強化された監視を元に戻すことができるのか疑問に思っている。その先例として懸念されているのが2001年のアメリカ同時多発テロ事件、いわゆる9.11だ。9.11以降に強化された監視能力はAT＆Tによる過剰なインターネット監視などの問題を引き起こしている。ただし、病気の急速な広がりは、個人のプライバシーを守る伝統的な擁護者でさえも、デジタル追跡の潜在的な利点を認める考え方を示しており、専門家の間でも意見が分かれているようだ。

米O'Reillyが、新型コロナウイルスの感染拡大を受け、予定されていたすべての対面型イベントの中止と、こういったイベントを主催する部門の閉鎖を発表した。同社は25年間にわたって対面型イベントの開催を行っていた。

昨今ではコロナ問題によって大型イベントをオンラインで開催する動きが出ているが、O'Reillyはこうした動きについて正しいものだと評価しており、それも部門閉鎖の一因になったと思われる。

Anonymous Coward曰く、

ポルノ動画サイトPornhubが、新型コロナウイルスの感染拡大を受けて、「人と人との距離確保」支援のため同サイトの有料サービスを4月23日まで無料提供することを決めた（ITmedia）。なお、利用にはユーザー名とメールアドレスの登録が必要。

Pornhubに有料サービスなんてあったのか……（ただの違法アップロードがたくさんあるサイトだと思っていた）。

Anonymous Coward曰く、

Safari 13.1では、デフォルトですべてのサードパーティCookieをブロックするよう仕様が変更されているとのこと（Engadget日本版、WebKitの公式ブログ）。

macOS向けのSafari 13.1は3月24日にリリース済み（AppleのSafari 13.1リリース情報ページ）。また、macOSだけでなく同じく3月24日にリリースされたiOS 13.4やiPadOS 13.4上のSafariも同様の変更が加えられているとのこと。