セキュリティ企業Preemptが数か月前に発見したというNTLM関連の脆弱性2件を解説している(Preempt Blogの記事、 The Registerの記事、 BetaNewsの記事)。

CVE-2017-8563はドメイン認証でKerberosからNTLM認証へフォールバックした際に特権昇格が発生するというもの。攻撃者は特別に細工したアプリケーションを使い、悪意あるトラフィックをドメインコントローラーに送信することで、この脆弱性を悪用できる。

この問題が発生するのはLDAPがNTLM中継攻撃から保護されないことが原因だという。グループポリシーの「ドメインコントローラー: LDAPサーバー署名必須」で「署名を必要とする」に設定すると、中間者攻撃(MitM)および資格情報中継攻撃から保護されるようになる。この設定ではセッションキーで署名されたLDAPセッション(LDAP署名)か、全体がTLSで暗号化されたLDAPセッション(LDAPS)のいずれにも該当しないセッションをドメインコントローラーが拒否するが、LDAPSの場合は資格情報中継攻撃から保護されないとのこと。

Microsoftではこの問題を確認し、7月の月例更新で修正している。CVE-2017-8563にはSSL/TLSを使用したLDAP認証のセキュリティを強化するレジストリ設定が導入されているが、設定を有効にするにはMicrosoftのサポート記事4034879に従い、レジストリを直接変更する必要がある。

もう1件はリモートデスクトップの制限付き管理モード接続に関するもの。このモードでは接続先マシンに資格情報が送信されないため、接続先が攻撃者の支配下にある場合でも接続元が保護される。そのため、サポートエンジニアが管理者権限でリモートマシンを操作する際などによく使われている。

しかし、このモードではNTLM認証へのダウングレードが認められており、NTLM中継攻撃やパスワードクラックなどが可能になるという。これについてMicrosoftでは既知の問題であるとし、NTLM中継攻撃を避けるための設定を推奨したとのことだ。

中国政府が個人のVPNアクセスを禁止するよう国内通信キャリアに命じたという国外メディアの報道について、そのような通知は出していないと中国情報通信部が否定したそうだ(TorrentFreakの記事、 Bloombergの記事[1]、 [2]、 The Paperの記事)。

Bloombergの記事では中国政府が中国3大キャリアを含む国営通信会社に対し、2月1日までに個人のVPNアクセスをブロックするよう命じたという内容を情報通の話として報じている。記事では1月に出された未認可インターネットサービスに対する規制強化に触れ、GreenVPNが7月1日をもってサービスを終了すると発表したことに言及している。ただし、1月の通知は企業向けに提供されるサービスが対象であり、GreenVPNのような個人向けサービスは対象になっていないとみられる。

情報通信部は報じたメディアを名指ししなかったものの、そのような通知は出しておらず、誤った報道だと澎湃新聞(The Paper)に対して述べたという。また、Blooombergに対しては、1月の通知はビジネスや一般のユーザーに影響するものではなく、VPNなどを必要とする企業は認可された通信会社のサービスを利用すればいいなどと説明したとのことだ。

あるAnonymous Coward 曰く、

英国の病院で67歳女性の 白内障手術を始めようとしたところ、重なり合って塊になった17枚のコンタクトレンズが見つかったそうだ(Optometry Todayの記事)。

検査ではさらに10枚が見つかっており、細菌感染の恐れのため手術は延期された。35年にわたって定期交換型のコンタクトレンズを使用していた女性は、これまでの不快感が高齢やドライアイのせいだと思っていたが、コンタクトレンズを除去したことでずっと快適になったという。

BMJで症例を報告した眼科研修医のRupal Morjaria氏は、手術にかかわった医師の中には20年以上の経験を持つ人もいたが、これほど多数のコンタクトレンズが入ったまま症状に気付かないことがあると考えていた人は誰一人としていなかったことを公表の理由として挙げる。

また、コンタクトレンズの購入が容易になるのに伴って定期検査の重要性が忘れられていることから、症例の公表は注意喚起の意味もあるとのことだ。

Galaxy Note 7の整備済製品として先日韓国で発売されたGalaxy Note FEを早速iFixitが分解し、以前分解したGalaxy Note 7と比較している(iFixitのブログ記事、 分解リポート、 The Vergeの記事、 Neowinの記事)。

iFixitが保有しているGalaxy Note 7は北米バージョンであり、韓国向けのGalaxy Note FEとはアンテナアセンブリーやプロセッサーが異なる。プロセッサーはRAMで覆われているため型番は確認できないが、箱にオクタコアとの記載があるためiFixitではExynos 8890と判断している。なお、北米バージョンの低価格なGalaxy Note 7にはクアッドコアのSnapdragon 820が搭載されている。Galaxy Note FEではSnapdragon 821に置き換えられるとの噂も出ていたが、変更されなかったようだ。

3,500mAhから3,200mAhに変更されたバッテリーは2017年6月20日製造と印字されており、外寸はGalaxy Note 7と比べて微妙に小さくなっている。バッテリーの外寸は個体差があるため別の個体では異なる可能性もあるが、ターゲットサイズ自体が小さくなっているものとみられる。

このほかは接着が強力で分解・修理しにくい点も含めてGalaxy Note 7と同じ。修理しやすさスコアは10点満点中4点となっている。

消費者庁は14日、景品表示法に関連する「打消し表示に関する実態調査報告書」を公表した(公表資料一覧、 概要: PDF、 報告書: PDF)。

広告で訴求点を強調する「強調表示」は事実に反するものでなければ問題になることはないが、強調した内容に例外がある場合には適切な「打消し表示」をしなければ景品表示法上の不当表示になる可能性もある。この調査では打消し表示を含む表示物の収集・分析、分析結果をもとに制作した架空の表示物6点(動画3/Web2/紙面1)を用いて消費者の意識調査を実施。問題となるおそれのある打消し表示の方法や内容、留意点などをまとめている。

すべての媒体に共通して問題となるおそれのある打消し表示の方法としては、文字が小さい、強調表示から離れた位置にある、背景との区別がつきにくいといったもの。動画広告では打消し表示の表示時間が短い、強調表示と別の画面に表示される、強調表示のみ音声等が使われるといったもの、Web表示では1ページ分下にスクロールしなければ見えないといったものが挙げられている。表示内容としては、例外や別条件、追加料金、テスト時の条件といった打消し表示について、消費者が内容を理解できない場合には表示していないのと同じであり、景品表示法上問題となるおそれがあるとのこと。

一方、体験談を用いる広告では「個人の感想です。効果には個人差があります」といった打消し表示に気付いても、「大体の人に効果がある」と認識する人が多い。「個人の感想です。効果を保証するものではありません」という打消し表示の場合でも認識に大きな違いはなかったという。そのため、効果を得られない人が相当数存在する場合に体験談を用いた場合、景品表示法上問題となるおそれがある。

消費者の誤認を招かないようにするためには、商品の効果等に関する調査の内容や体験談と同じような効果が得られた人と得られなかった人の割合などを明瞭に表示すべきだとしている。なお、広告は商品の効果や性能を訴求するものであることから、体験談に対し「効果、効能を表すものではありません」といった打消し表示をすることは意味をなしていないと考えられるとのことだ。