無料でSSL/TLS証明書を発行している認証局のLet's Encryptが、ワイルドカード証明書の発行を開始した（公式発表、和訳）。

従来は証明書にすべてのサブドメインを登録する必要があったが、ワイルドカード証明書では1つのドメイン名に属するすべてのサブドメインを1枚の証明書で保護することができるため、大規模なシステムにおいて証明書の管理が容易になる。

ワイルドカード証明書の取得には、ACME v2互換クライアントをインストールして、DNSのTXTレコードを使用した認証を行う必要がある。導入方法などについてはACME v2 とワイルドカード証明書の技術情報が参考になる。

日産レンタカー のパスワードリマインダー機能にセキュリティ上の問題が発覚した（Windows 2000 Blogの記事）。

メールアドレス（ログインID）・カナ氏名・電話番号の3つの情報を入力するだけで、ブラウザ上に生パスワードが表示される動作になっており、表示されたパスワードでログインすることで、不正な予約操作ができる他、漢字氏名・性別・生年月日・郵便番号・住所・運転免免許証番号などのすべての登録個人情報を閲覧できる状態となっていた。

生パスワードを照会可能なだけでも大きな問題であるが、メールアドレスへの確認コードの送信なども要求されなかったことや、メールアドレス・カナ氏名・電話番号は第三者も容易に知り得る情報であることから、危険性が極めて高い問題であったといえる。

なお、パスワードの照会を行っても登録メールアドレスへの通知は行われないため、知らないまま第三者に個人情報が入手される被害が発生していた可能性も考えられる。

この問題は、今月10日に対策され、現在はWebからのパスワード照会機能は停止している。

本日17日に、スラドPC版の全ページがHTTPS(TLS)接続に対応した（HTTPS接続のスラドPC版トップページ）。モバイル版については従来からHTTPS接続に対応していたが、PC版は昨日までHTTPのみで提供されていた。

ログインページや個人情報を入力するページだけでなく、すべてのページをHTTPS接続に対応することは一般に「常時SSL」と呼ばれており、SEOの観点だけでなく、セキュリティリスク低減や、開発・運用の簡素化、安全性や信頼性のアピールなど、多くの点でメリットがあるとされ、最近のトレンドになっている（Web担の記事）。

スラドでも なぜすべての Web サイトが HTTPS を使わないのか ?、Webサイトは常時SSLにすべき？ など、過去に何度も話題になっているが、HTTP/2 などの最新の技術を使う場合に、FirefoxやChromeではHTTPS接続が必須になるなど、HTTPS化の必要性は当時よりも確実に高まっている。

Let's Encryptなど無料で証明書を発行する機関も増え、ASP各社が広告のTLS化に対応するなど、HTTPS化のハードルは下がっている。

まだHTTPを使っているWebサイトオーナーは、これをきっかけにWebサイトの常時HTTPS化を検討してみてはどうだろうか？

Windows 10 Insider Preview Build 14342 において、Wi-Fi センサー（Wi-Fi Sense）機能が削除されたことが 公式発表によって判明した（Krebs on Securityの記事）。

Wi-Fiセンサーは、Outlook.com の連絡先、Skype の連絡先、Facebook の友だちと、Wi-Fiアクセスポイントのパスフレーズ（AESキーなど）を自動的に共有する機能。

Microsoft Japan のセキュリティチーム によると、

共有された相手側はネットワークへの接続パスワードの入力は不要で、パスワードは相手に通知も表示もされません (技術的には、ネットワークを共有した場合、ネットワーク パスワードは暗号化された接続を介して Microsoft サーバー上の暗号化されたファイルに保存されます。その後、連絡先が Wi‑Fi センサーを使っている場合、HTTPS 接続を介して連絡先の PC またはスマートフォンに送信されます)。

とあるが、特定の人物のみとアクセスポイントを共有することはできず、当該SNSのすべての連絡先・友達とWi-Fiアクセスポイントのパスフレーズを共有することになり、技術的には共有相手が非表示のパスフレーズを解読することが可能であることから、セキュリティ上のリスクが生じていた。

ドコモの夏モデル以降のAndroidスマートフォンでは、捜査機関がGPS位置情報を本人通知無しに取得できるようになることが、捜査機関による携帯電話のGPS位置情報取得が一部新機種から本人通知無しにで話題になっていたが、これに加えて、5月19日のドコモ位置情報アプリのアップデート（Ver0C.00.00004）を適用すると、春モデル以前の既存端末であってもユーザーへの通知無しに捜査機関へGPS位置情報が通知可能な状態になることが、ドコモインフォメーションセンターへの問い合わせ結果判明した。また、「連絡先の読み取り」の権限も追加されているようだ。

私が所有している docomo F-02H (2015年冬モデル) で試してみたところ、ドコモアプリ管理 (設定→ドコモのサービス/クラウド→ドコモアプリ管理→アップデート) において、Ver0C.00.00004 が公開されていることが確認できた。なお、Google Play では当該バージョンは現時点では配信されていない ようだ。

無料でSSL/TLS証明書を発行するLet's Encryptが、オープンベータテストを終えて、正式サービスを開始した（公式発表、公式発表の和訳、GIGAZINEの記事）。

2015年9月のベータテスト開始以来、Let's Encryptの証明書発行数は急増しており、380万以上のウェブサイトに対して、170万枚以上のサーバ証明書を発行するに至っている。

Let's Encryptでは、IETF で標準化されているACMEというオープンプロトコルで証明書の発行手続きを完全自動化しており、いくつかのコマンドを実行するだけで簡単に証明書を取得することができる。

ファーストサーバやWordPress.comなど、ホスティングサービスへのLet's Encryptの導入も進んでおり、Webサイトの常時暗号化が一般的になる日もそう遠くないかもしれない。

非公式LINEボット「しりちゃん」の開発者 と れき 氏（共同脆弱性発見者、共に現役高校生）が、LINE の脆弱性を発見し、脆弱性の解説動画を配信 している。

発見されたのは、下記の4種類の脆弱性。

1. PCなどのデバイスからLINEにログインした際、スマートフォンなどのメイン端末から遠隔的にログアウトを実行しても、認証トークンが失効されない
2. タイムラインを非公開に設定しているユーザーにも自分のタイムラインを読み込ませるリクエストが実行可能
3. 自分以外のmidを使用し、自分以外のアカウントに成りすましてタイムラインにコメントをするリクエストが実行可能
4. 自分以外のmidを使用し、グループのメンバーに成りすましてグループノートを閲覧、編集するリクエストが実行可能

これらの脆弱性はLINE・IPAに報告済みであるが、現時点では修正されていない。

Google は2月9日、「インターネット安心デー 2016」を記念して「Google アカウント」のセキュリティ診断を完了したユーザーに対して無料ストレージ容量を2GBプレゼントするキャンペーンを開始した（窓の杜の記事）。

無料ストレージ容量は、Google ドライブ、Gmail、Google フォトなどで利用可能。

キャンペーンの利用方法は セキュリティ診断 を行うだけ。数分程度の作業でストレージ容量を獲得できる。

この機会に、Google アカウントのセキュリティ設定を見直してみてはいかがだろうか。

本日12月4日（アメリカ時間では12月3日）、Let's Encryptの公開ベータプログラムが開始された（公式ブログ記事）（公式ブログ記事の和訳）。

これにより、独自ドメインとWebサーバを持っていれば、誰でも簡単に、正規の証明書を無償で取得できるようになった。

Let's Encryptは非営利団体Internet Security Research Group（ISRG）が運営しているプロジェクトで、Web全体のHTTPS（TLS）化し、安全性を高めることを目的として、SSL/TLSサーバ証明書を無償で発行している。Let's Encryptのサーバ証明書は、アメリカ合衆国大手認証局（CA）のIdenTrust社のルート証明書とクロスルートしているため、全ての主要ブラウザが標準で対応している。

具体的な証明書の取得方法についてはLet's Encrypt の使い方が参考になる。細かなコマンドラインオプションなどを知りたい場合にはLet's Encrypt client documentationを読むことをお勧めしたい。

実際に試してみたところ、CSR（署名リクエスト）の生成といった手動が自動化されており、クライアントのインストールも含めて数分程度の作業で証明書の取得が完了した。

LINE株式会社は、LINE Version 5.3 でメッセージをエンドツーエンドで暗号化する Letter Sealing 機能を実装した（公式ブログの発表）。これにより、悪意のある第三者だけでなく、LINEサーバの管理者でさえも、メッセージの内容を復号することができなくなる。

Letter Sealing 機能は、メッセージをやり取りする個人間で、楕円曲線DH方式（Elliptic Curve Diffie-Hellman）を用いて暗号化鍵を交換し、エンドツーエンド暗号化に用いる256bitの共通鍵を生成する。メッセージの暗号化には強度の高い AES-CBC-256 が用いられている。また、改善防止には、ハッシュ関数でメッセージに対するデジタル署名を取得し、署名値を再度暗号化して転送する方式であるHMACが使われている。なお、技術的な詳細は メッセージの安全性新時代：Letter Sealing で公開されている。

この機能がデフォルトで有効となっているのは現時点では一部のユーザーだけだが、LINEはこの機能を段階的に適用拡大していく考えなようだ。