iOS 13.3.1以降でVPNを利用する場合に一部の通信がVPNをバイパスしてしまう脆弱性をProtonVPNが公表している(ProtonVPNのブログ記事、 Mac Rumorsの記事、 Bleeping Computerの記事、 BetaNewsの記事)。

問題はVPNへ接続した際にiOSが既存の接続を閉じて再確立せず、そのまま維持してしまうことにより発生する。接続の多くは短時間で閉じられるが、中には数分～数時間にわたりVPNを経由せずに通信が行われることもある。これにより、サーバーとの通信がHTTP接続の場合は通信内容が暗号化されない、攻撃者がiOSデバイスとサーバーのIPアドレスを見ることができる、サーバーがiOSデバイスのIPアドレスを見ることができる、といったリスクが挙げられている。特に市民の監視や権利の侵害が一般的な国の人々はリスクが高いとのこと。

問題を発見したのはProtonVPNのコミュニティーメンバーで、最初にiOS 13.3.1で問題を確認しているが、最新のiOS 13.4でも修正されていないとのこと。ただし、ProtonVPNは脆弱性を昨年発見したとツイートしており、最初に確認されたのはベータ版なのかもしれない。そうであればベンダーに通知後90日日間は脆弱性を開示しないというProtonの開示ポリシーにも一致する。

iOSではVPNアプリ側で既存のネットワーク接続を切断することを認めておらず、ProtonVPN側で対策することはできないという。AppleはVPN常時接続を推奨しているが、モバイルデバイス管理を使用する必要があるため、サードパーティーのVPNアプリは利用できないとのこと。そのため、ProtonVPNでは100%の効果は保証できないとしつつ、VPNサーバー接続後に機内モードをオン・オフするという緩和策を紹介している。

maia曰く、

外務省は25日、世界全体を対象に感染症危険情報をレベル2へ引き上げたが、各国で出入国制限や航空機発着の禁止などが行われており、60以上の国・地域で邦人が出国困難な状況にあるという(時事ドットコムの記事、 共同通信の記事)。

現時点で全数の集計は難しいが、大口ではペルーで約260人、ウズベキスタンで約120人が足止めされているようだ。国際線の停止で旅客だけでなく物資の往来も難しくなっている。こんな時に海外旅行するかなと思うが...

外務省はCOVID-19の感染拡大を受け、別途感染症危険情報を出している国・地域を除く全世界を対象として、レベル1(十分注意してください)の感染症危険情報を出しているが、ペルーやウズベキスタンはそれまで治安に関する危険情報しか出ていなかった。現在、国際線を運航する日本の航空会社は全路線で手数料なしの予約取消を可能にするなど、制限を大幅に緩和(ANA / JAL / スカイマーク / ピーチ)しているが、それでも旅程の変更は容易ではない。ペルーはこの2週間でCOVID-19の感染者数が急激に増加する一方、ウズベキスタンの感染者数は3月28日に100人を超えたところで(WHO - Situation report - 68: PDF)、渡航の是非に関する個人の判断は難しかったと思われる。

Windows 10でプロキシサーバー設定を使用していると、特にVPNを使用している場合にインターネット接続できなくなる問題が発生しているそうだ(リリース情報、 Windows Centralの記事、 Softpediaの記事、 Ghacksの記事)。

この問題はVPNに接続/切断した場合や状態が変更された場合に発生し、通知領域のネットワークアイコンには「制限あり」「インターネットなし」などと表示されるという。また、WinHTTPやWinInetを使用するアプリケーションがインターネットを利用できなくなる可能性もあるとのこと。該当するアプリケーションの例としては、Microsoft Teams/Microsoft Office/Office 365/Outlook/Internet Explorer 11/一部のバージョンのMicrosoft Edgeが挙げられている。

影響を受けるのはバージョン1709以降のWindows 10/Serverで、2月下旬にリリースされた更新プログラム(KB4537816 / KB4537795 / KB4537818 / KB4535996)にバグが導入されている。バグは最近まで認識されていなかったとみられ、3月にリリースされた複数のビルドでも修正されていない。Microsoftは現在修正を進めており、4月初めに定例外の更新プログラムとしてMicrosoft Update Catalogのみで提供する予定だ。なお、問題発生時にデバイスを再起動すれば、一時的に問題は解消するとのことだ。

衛星コンステレーションによるブロードバンドサービス提供を目指すOneWebは3月27日、米連邦破産法11条に基づく再建型の破産を米ニューヨーク南部地区連邦破産裁判所に申立てた(プレスリリース、 GeekWireの記事、 The Vergeの記事、 Neowinの記事)。

年初からOneWebは商用サービス開始までの資金を調達すべく、投資の交渉を行っていたという。しかし、COVID-19の感染拡大に関連した財政的な影響と市場の混乱により、目前だった資金調達は完了しなかったとのこと。GeekWireの情報提供者によれば、OneWebは最大の出資者であるソフトバンクグループからの追加資金援助も受けられなかったそうだ。

OneWebは1週間前に破産の検討が報じられたが、22日には34基の衛星打ち上げを成功させ、衛星の数は74基となっている。既にOneWebは人員を削減しており、再建手続き中の運営資金として担保金を使用可能にすることなどを破産裁判所に請求し、つなぎ融資の交渉も行っているとのことだ。

今年も「エイプリルフール中止のお知らせ」を目にする季節となったが、COVID-19感染拡大によるイベント自粛が相次ぐ中、実際に中止する企業が増えるかもしれない(9to5Googleの記事、 The Vergeの記事、 Mashableの記事、 Android Policeの記事)。

Microsoftは昨年、CMOのクリス・カポセラ氏がエイプリルフール中止を従業員に呼びかけたと報じられ、実際に中止されたようだ。今年はGoogle CMOのロレイン・トゥーヒル氏が電子メールで同社の管理職にエイプリルフール中止を呼びかけたとBusiness Insiderが報じている。

トゥーヒル氏はBusiness Insiderが入手したという電子メールの中で、普段であればエイプリルフールはGoogleの伝統であり、同社を旧来の企業とは異なる企業にするものを祝う時だと述べたうえで、今年はパンデミックと戦う人々を尊重するため、その伝統を1年間休止すると述べている。すでに中央で集約するエイプリルフール企画は中止しているが、個別のチームによる小さな企画もすべて中止すべきとのこと。

ブランドにエイプリルフール中止を呼びかける記事を前日に掲載していたMashableはGoogleの動きを歓迎し、他のブランドも追随すべきだと述べている。

サイバーセキュリティ企業Trustwaveによれば、贈り物を装って攻撃用のUSBデバイスを郵送するという攻撃が確認されたそうだ(SpiderLabs Blogの記事、 BetaNewsの記事)。

問題のUSBデバイスは一見USBメモリーのようだがPCに接続するとUSBキーボードとして認識され、攻撃者が事前に設定したキーストロークを送ることができるという、いわゆる「USB Rubbery Ducky」攻撃用のデバイスだ。マルウェアを格納したUSBメモリーを使用する攻撃と比べ、自動再生設定に依存せず、セキュリティソフトウェアに検出されないといったメリットがある。

このデバイスは米大手量販店Best Buyを装った手紙に同封されており、手紙には長年の愛顧に謝意を示すため50ドルのギフトカードを送ること、ギフトカードで購入可能な対象商品のリストは同梱したUSBメモリーに保存されていることが記載されている。怪しげな手紙を受け取ったTrustwaveの顧客はデバイスをPCに接続せずにTrustwaveへ報告したため、被害にあうことはなかったという。

デバイスをTrustwaveが調査したところ、同じ型番のものがオンラインモールShopeeの台湾版で「虚擬鍵盤」などとして数百円で販売されていることが判明。PCに接続すると2段階のPowerShellコード実行を経てWindows Scripting Host上で実行されるJScriptコード(マルウェア本体)が無限ループにより常駐する。このJScriptコードは2分おきにC&Cサーバーへ接続してコマンド(別のJScriptコード)を待つ。最初の接続時にはPCから収集した情報をC&Cサーバーに送信するコマンドを受け取ったとのこと。

このタイプのUSBデバイスはセキュリティ専門家の間で広く知られており、物理的な侵入テストで会社周辺に落とすといったことも行われるが、実際の攻撃が発覚するのは珍しいとのことだ。

米国では観賞魚用として販売されているリン酸クロロキンをCOVID-19の予防・治療用として内服する人が増加しているそうだ(FDAの更新情報、 Banner Healthのニュースリリース、 SlashGearの記事)。

マラリアや狼瘡、関節リウマチの治療薬として用いられるクロロキンだが、小規模な研究でCOVID-19患者にヒドロキシクロロキンを投与することでウイルスが減少し、抗生物質との組み合わせで効果が高まったという報告が出ている。ドナルド・トランプ大統領がクロロキンやヒドロキシクロロキンの効果に繰り返し言及していることもあり、注目が集まっている。

米食品医薬品局(FDA)では認可外使用としてクロロキンをCOVID-19の治療に使用できる可能性を検討している段階だ。しかし、医師が自身や家族、友人のためにCOVID-19の予防や治療目的で虚偽の処方をする例が相次いでクロロキンの品不足が起こり、狼瘡患者などが必要な治療薬を入手できなくなる状況に陥っているという。そのため、医薬品のリン酸クロロキンではなく、観賞魚用の薬品として販売されているリン酸クロロキンを内服する人も増加しているようだ。米非営利ヘルスケアシステムのBanner Healthによると、60代の夫妻がリン酸クロロキンを服用後30分ほどで具合が悪くなり、入院が必要な状態になったという。その後、夫は死亡し、妻は集中治療を受けているとのこと。

FDAではCOVID-19予防用として認可した医薬品は存在せず、COVID-19テストキットは医療機関にのみ提供されているとして、オンラインで販売されている詐欺的商品を購入しないよう注意喚起している。特に動物用や研究用と明記されたクロロキンなどについては人体への安全が確認されていないとして、医療機関で処方されたもの以外は服用しないよう求めている。

LEGO GroupのクラウドソーシングプログラムLEGO Ideasで1990年代のPC用拡張カードのレゴブロック版が提案されている(Windows Centralの記事)。

提案されているのは3dfx Interactiveの3Dアクセラレーターカード「Voodoo 3D」と、Creative Labsのサウンドカード「Sound Blaster Pro 2」の2点。Sound Blaster Pro 2はISAバス接続だ。2点とも最初の60日間で100人のサポーターを集め、365日の提案期間延長を獲得している。Voodoo 3Dは残り416日でサポーター861人、Sound Blaster Pro 2は残り410日でサポーター452人と高い人気を集めており、実際にはいずれも数日で100人を超えたようだ。期間内に1,000人以上のサポーターが集まれば商品化が検討される。

KAMUI 曰く、

コミックマーケット準備会は27日、COVID-19(新型コロナウイルスによる疾病)の感染拡大防止のため、5月2日～5日に予定していたコミックマーケット98の開催を中止すると発表した。

サークル参加者については返金対応となる。なお、冊子版の「コミックマーケット98カタログ」は既に印刷・製本工程に入っているため発売されるが、DVD-ROM版は発売中止。また、次回のコミックマーケット99については冊子版カタログに2020年12月29日～31日と印刷されているが、これについても「改めて告知する」とのことで変更される可能性があるようだ。

コミックマーケット98は東京オリンピック・パラリンピックの開催に伴い、会場の東京ビッグサイトが8月には使用できないため5月に開催期日を変更していた。先日東京オリンピック・パラリンピックの延期が発表されたが、現時点で7月・8月に開催期日を変更することは考えていないという。これにより12月のコミックマーケット99についても会場が利用できるかどうか不透明となっており、COVID-19の感染状況も考慮したうえで改めて告知するとのこと。コミックマーケット準備会では東京オリンピック・パラリンピックの延期にあたり、同人誌即売会など他の会場利用者への配慮を政府や東京都などに求めている。

Googleは3月26日にChromeブラウザーおよびChrome OSのリリースタイムラインを更新し、安定版リリースを見送っていたM81(Chrome 81/Chrome OS 81)を4月7日にリリースする計画を発表した(Chrome Releasesの記事、 リリーススケジュール最新版、 Android Policeの記事)。

GoogleはCOVID-19対応で作業スケジュールの調整が入ったとして、当面はChrome 80/Chrome OS 80の安定性と安全性、信頼性の維持に注力する方針を発表していた。

新たなスケジュールではCanary/Dev/Betaの各チャンネルを今週再開し、M83はDevに移行、M81はBetaで継続する。StableチャンネルではM80のセキュリティおよび重要な修正を来週リリースし、4月7日にはM81をリリースする。M82はすべてのチャンネルでキャンセルとなり、M83にM82の変更点を含めて予定より3週間早くリリースするとのこと。もともとM83は6月9日の安定版リリースが計画されていたが、新スケジュールではChrome 83が5月19日リリース、Chrome OS 83が5月26日リリースとなっている。Chrome 84のリリースも現時点では3週間早い7月14日が設定されている。

病原体拡散シミュレーションゲーム「Plague Inc.」を開発するNdemic Creationsは23日、COVID-19(新型コロナウイルスによる疾病)対策として感染症対策イノベーション連合(CEPI)と世界保健機関(WHO)のCOVID-19 Solidarity Response Fund(COVID-19連帯対応基金)に合計25万ドルを寄付したこととともに、Plague Inc.の新しいプレイモードとしてアウトブレイク阻止モードを開発していることを発表した(Ndemicの発表、 The Vergeの記事、 Neowinの記事)。

Plague Inc.は病原体を拡散させて人類を滅亡させる戦略シミュレーションゲームだが、現実の世界で発生している深刻な問題に対する有益な情報が得られるとして米疾病予防センター(CDC)から高く評価されている。今回の寄付を手配するにあたり、NdemicはWHOやCEPIからプレイヤーがアウトブレイクを阻止できるようなモードの追加を繰り返し要望されていたという。

アウトブレイク阻止モードでは疫病の拡大を抑制し、保健システムの強化を行うとともに、トリアージや検疫、感染を防止する社会的な距離の確保、公共サービスの閉鎖といった現実に行われている対策をバランスよく実施する必要がある。NdemicではWHOやWHOの世界規模感染症に対する警戒と対応ネットワーク(GOARN)の専門家らの協力を受けてアウトブレイク阻止モードを開発しており、パンデミック発生中にすべてのプレイヤーへ無料提供する計画とのことだ。

Anonymous Coward曰く、

Mozillaが、メディア向けの収益化サービスを提供する「Scroll」とパートナーシップを結んだ（AXIOS、GIGAZINE、Slashdot）。

Scrollは、Webメディアなどに「ユーザーが月額5ドルを支払うことで広告を非表示にできる」仕組みを提供するサービス。Webメディア側には、広告の代わりにユーザーが支払った料金の一部が分配される。これによってWebメディア企業は広告よりも高い収益が期待でき、またユーザーは行動の追跡といったデータ収集から身を守れるとしている。

今回のMozillaとScrollのパートナーシップにより、ScrollはFirefox向けの拡張機能を提供するという。また、パートナーサイトとしてはThe VergeやGIZMODO、BuzzFeedd Newsなどが挙がっている。訪問すればするほどパートナーサイトが得られる分配金の割合は増える仕組みのようだ。なお、当面は米国のみの運用になるとのこと。

Anonymous Coward曰く、

世界保健機関（WHO）の最高情報セキュリティ責任者Flavio Aggio氏は、ハッカーがWHOのシステムに侵入しようとしたことを認めた。しかし、その取り組みは失敗したとも語った。侵入しようとしたハッカーの身元は不明。Aggio氏によれば、新型コロナウイルスへの戦いの中、WHOへのハッキングの試みが急増しているという。

サイバーセキュリティの専門家Alexander Urbelis氏は3月13日、彼が追跡していたハッカーグループがWHO内部の電子メールシステムを模倣した悪意のあるサイトを立ち上げたのを確認した。Urbelis氏は誰が主犯であるかは不明だとしている。しかし別の二人の情報筋によれば、2007年からサイバースパイ活動を行っている「DarkHotel」という高度なハッカーグループの疑いがあると述べている。

WHOのAggioは、ロイターからこの事件について尋ねられると、Urbelis氏が発見したサイトが複数の代理店スタッフからパスワードを盗む目的で使用されていたたことを確認したと回答している。同氏は「明確な数字ではないが、ハッキング目的でWHOを偽装するサイトの数は2倍以上に増えたのではないか」と答えた。

カスペルスキーによるとDarkHotelは、特にコロナウイルスの影響を受けた地域である東アジア、具体的には、中国、北朝鮮、日本、米国などの政府職員や幹部を対象に活動を行っているという。コロナウイルスに関連する治療法や検査、ワクチンに関する情報は貴重で価値が高い。影響を受ける国の情報機関としては情報収集の優先事項に当たるとしている（Reuters、Slashdot）。

AMDが3月25日、同社の現行および将来のグラフィックス関連製品の一部に関するテストファイルを所有すると主張する人物からコンタクトがあったとの発表を行なった。この人物は何らかの情報でAMDの非公開情報を取得したとみられており、AMDは法執行機関と協力して調査を行なっているという（AUTOMATON、IGN Japan 、Game*Spark、TorentFreak）。

TorrentFreakによると、これらはAMDの「Navi」および「Arden」GPUに関するソースコード。Ardenは年末に発売されるXbox Series Xに搭載される予定のものだ。この情報を所有すると主張する人物は、「買い手がつかなければオンラインですべてを公開する」などと述べており、またこの情報には1億ドルの価値があるなどと述べているようだ。一部のデータはGitHubなどに公開されたようだが、これに対しAMDは「盗まれたもの」としてDMCAに基づく削除申請を行った。

Anonymous Coward曰く、

香川県議会が3月18日に可決したネット・ゲーム依存症対策条例についてのパブリックコメントの原本を閲覧した竹本敏信県議によると「賛成の大半は同じ様式だった。パソコンの文字で『賛成』とだけ書かれ、詳しい意見はなかった」とのこと（朝日新聞）。

パソコンの文字なら書体が同じなのはありがちなことだと思うが、『賛成』と書かれた位置はどうだったのだろうか？　位置まで同じだとすれば、事前に『賛成』と書かれた用紙を配布していた可能性が高そうだ。