皆さんはWindowsのサポート終了をどこで調べていますか？

公式は、次のページ群が相当するようです。

Microsoft サポート ライフサイクル - Microsoft Support

Windows ライフサイクルのファクト シート - Windows Help

Microsoft 製品のサポート期限一覧 - Windows - Project Group

ちなみに、これらのページでは、QWindows10の延長サポート終了は2025-10-14とされています。

ところで、上の最初のリンクで、Windows10の備考欄には、次のようにあります。

デバイスのハードウェアに互換性がない場合、最新のドライバーが不足している場合、または、OEM (Original Equipment Manufacturer) のサポート期間が終了している場合、デバイスは更新プログラムを受信できないことがあります。

これ、実はWindows8.1のところにはないんです。そして、これが既に実体化しています。

「マイクロソフト、Clover Trail搭載PCの延長サポートのデッドラインを認める」

www.zdnet.com

Clover Trail（Atom Z2760, Z2580, Z2560, Z2520）はWindows8タブレットが大量に出たときのIntel Atomシリーズのプロセッサです。なのでタブレットや2in1タイプなどで用いられています。そのままWindows10にアップグレードした人もいることと思います。

これらの機種で、Creators Update (Windows 10 1703)を適用しようとすると、「Windows 10はこのPCではサポートされていません」と出ます。

当初、Acerのサイトで「ドライバを準備している」という文言があり、単なる時間の問題と安堵していたところに、マイクロソフトからの回答が来ました。

要点のみ。

• Windows 10ではWaaS (Windows as a Service)モデルを採用し、年2回の機能アップデートを行っている。
• 「良いWindows 10体験」のためにハードウェアやドライバなどのサポートが必要な場合がある。
• 今回のClover Trailのケースはまさにそれで、既にIntelのサポートが終了しており、「潜在的な性能への影響」なしにCreators Updateを適用できない。
• Clover Trailに対しては今後もAnniversary Updateを提供する。またセキュリティ更新を2023年1月（Windows8.1の延長サポート終了タイミング）まで提供する。

というわけです。つまり……。

• 自分が使うPCが、ある時から年2回の機能アップデートを受けられなくなる可能性がある
• 常に最新状態をキープしていても、PCによって、機能アップデートの適用状態が数年レベルで異なる可能性がある（例えば、2022年末でも、最新状態のClover Trail機は1607のまま）

年に2回も機能アップデートがあることを考えると、Android以上のフラグメンテーションが起きるかもしれません。重大な機能はそれほど多くはないものの、色々な部分が違うので、ユーザ側としては困惑する場面が今後増えていきそうです。

こんな話題が出ているようで。

media.sairilab.com

末尾にあるように、現在は記載が変わっていますが、実際のパスワードがどうなのかは不明ですね。

誕生日は最大でも366通りしかなく、しかも正しい誕生日を入れているなら調査可能な場合が多いので、認証に使うのは論外です。

しかし、米国でも同様の事態があるのでした。

「『Myspace』は『Yourspace』ではない」

leigh-annegalloway.com

かつてSNSの雄として名をはせたMyspaceは、2016年に3億6000万アカウントの詳細を漏洩していたことが判明しました。そんなこともあって、上記記事の筆者は、Myspaceアカウントを解除するために調べていたところ、アカウント・リカバリ機能があることに気づきました。

この機能は「登録したメールアカウントが使えなくなった場合でもMyspaceアカウントにアクセスできるため」のものですが、ここで必須な情報は次のものです。

• フルネーム
• アカウント名
• アカウントに紐付けられたメールアドレス
• 今アクセス可能なメールアドレス
• 誕生日

ただし、今アクセス可能なメールアドレスは実在チェックをしていません。また、アカウントのメールアドレスと名前はprofileページで分かります。アカウント名は自明ですね。

結局、誕生日だけでアカウントが認証されてしまいます。

筆者は4月にこの件についてMyspaceに指摘しましたが、（自動応答以外）何も返ってきませんでした。その結果がこの公開というわけです。

「Myspaceは、誕生日さえ分かればどんなアカウントでも奪取できる」

www.theverge.com

上記記事のUpdateによれば、（おそらくはこの公開を受けて）Myspaceはアカウント・リカバリのページを削除しました。

「Telegramを使ったSQLインジェクション・スキャナ、ハッキングフォーラムで$500」

www.bleepingcomputer.com

（本来のソース）

「ポケットに入るサイバー兵器」

www.recordedfuture.com

最近ハッキングフォーラムで人気の品が「カチューシャ・スキャナ」。SQLインジェクションと、オープンソースのペネトレーション・テスト用ツールAnarchi Scannerをあわせて、使いやすいWebインタフェースを備えたというものです。

加えて、Telegramメッセンジャーの通信プロトコルをもっており、ユーザ（これを購入して他サイトへの侵入を試みるクラッカー）はスマートフォンのTelegramアプリから簡単に指示を出せる、というわけです（Telegramへの攻撃などはなく、純粋に通信経路として使っている模様）。

現在はこのツールは半額（$250）の機能限定バージョンや、$200/月の月額ホストレンタルも選べるようになっています。

このツールの人気の理由の1つはサポートがしっかりしていることだそうですが、機能面でも大半の処理が自動化されており、脆弱性を自動で調べて、発見次第Webシェルの設置や各種ファイルのアップロード、データベースのダンプ、ログインに必要な情報の収集などもやってくれます（高額なPro版の場合）。また、スキャンの完了時には、ユーザに対して脆弱なサイトの名前やAlexaのWebサイトレーティングなどの情報も送ってくれます。