Microsoftでは他のWebサービスから流出したパスワードによる攻撃に対抗するため、ありがちなパスワードの使用を禁止する措置を取っているそうだ(Active Directory Team Blogの記事、 The Registerの記事、 Softpediaの記事)。

Webサービスから流出したアカウント情報がダークウェブで売買の対象になっていることがたびたび報じられるが、サイバー犯罪者は該当のアカウントを攻撃するだけでなく、多くのユーザーが共通して使うパスワードのリストを作成して別のアカウントへの攻撃にも使用しているという。

Microsoftは多くのユーザーに共通するパスワードのリストを元に、設定を禁止するパスワードを選択しているそうだ。また、Microsoftのアカウントに対する攻撃は1日1,000万件を超えており、ログイン試行に使われたパスワードのリストを使って設定を禁止するパスワードを動的に更新しているとのこと。

こういった措置はすでにMicrosoftアカウントに適用されている。Azure ADでは現在プライベートプレビューの段階だが、今後数か月の間にすべてのAzure ADテナントへロールアウトしていく計画とのことだ。

なお、Ars Technicaの調査によると、ありがちなパスワードの中にも「Pa$$w0rd1」のように設定可能なものがあるようだ。

あるAnonymous Coward 曰く、

近年では偽造クレジットカード対策のためICチップが埋め込まれたカードが多いが、一方で店頭にあるクレジットカード端末においては、まだICチップ非対応のものが少なくない。そのため、経済産業省がクレジットカード端末のICチップ対応を義務付ける法改正を行う方針だという（NHK）。

2020年の東京オリンピックを念頭に、早ければ再来年にも義務化を始める方向だという。

「盗聴器は発見するよりも妨害するほうが早い」という話がラジオライフ.comで紹介されている。そのため、「盗聴妨害機」なるものが販売されているそうだ。

この盗聴妨害機「TB-2000」は、スピーカーから人間の音声帯域をカバーする妨害音を出すことで盗聴を阻止するというデバイス。女性の声および男性の声に適した妨害音を鳴らせるそうだ。

また、壁に直接マイクを当てて隣室の会話を聞く「コンクリートマイク」に特化した妨害音発生器もあるそうだ。この製品「TBX-1000」は、壁に接触させた状態でスイッチを入れることでノイズを発するとともに振動してコンクリート越しでの盗聴を妨害するという。

GoogleがAndroid向けに、パスワードを使用しないユーザー認証機構を提供するそうだ（TechCrunch）。

この機構ではユーザーがスマートフォンに対して行うさまざまな操作に関する情報を取得し、それらから使用者がユーザー本人であるかを推測するという。これは顔認識のように必要なときに情報を取得するのではなく、バックグラウンドでデータ収集機構が常時動作して「信頼スコア」を生成するそうだ。

この機構を利用するためのAPIはすでに開発されており、6月に「初期テスト」が開始されるという。

あるAnonymous Coward 曰く、

中学生がコンピューターウイルスを作成し販売していた事件に関連し、警視庁が東京都在住の26歳男性を逮捕したそうだ（朝日新聞）。

逮捕された男性は芸能ゴシップや薬物情報を扱う会員制情報サイト「激裏情報」のスタッフで、当時中学2年生だった少年が用意したコンピューターウイルス作成ツールの動作を確認したうえで使用方法を教え、少年が他人のPCをウイルスに感染させるの手伝ったとされている。サイトを見た少年が容疑者にTwitterで連絡を取ったのがきっかけのようだ。男は「自分を頼ってきた人の力になりたかった」と容疑を認めているとのこと。

この事件を巡っては販売を行っていた中学生のほか、ウイルスを提供された中高生4人が書類送検されている。

「仕事中は検索を決してオススメしない」という会員制サイト「The Rosebutt Board」から、10万件以上の個人情報が流出したそうだ（GIGAZINE）。

流出したのはユーザー名およびメールアドレス、アクセス元IPアドレスなど。流出した個人情報を検索できる「';--have i been pwned?」というサイトが、同サイトの「anal fisting」フォーラムに関連する10万7000アカウントの情報が流出したと伝えたことから発覚したようだ。

ランサムウェア「TeslaCrypt」のマスターキーがその開発者の手によって公開されたそうだ（ZDNet Japan）。

TeslaCryptに感染するとPC内のファイルを暗号化した上で「身代金」を要求、支払うまでPCのアクセスが制限されるという。セキュリティ企業ESETの研究者らがこのランサムウェアの被害者を装って開発者らに暗号化を解除するためのマスターキーの公開を要求したところ、なんとそれが通ってしまったという。このマスターキーを使って実際に暗号化を解除することにも成功したそうだ。

東京、神奈川、愛知、大阪、福岡など17都府県のコンビニATMで、15日午前5時過ぎから8時前の約2時間半の間に偽造クレジットカードによる大量の不正引き出しが発生した。引き出された総額は約14億4000万円に上るという（読売新聞、東京新聞）。

一部のカードは偽造カードとして検知されATMが回収していたそうだが、回収されたカードは「中国系焼き肉店の顧客カード」ものだったそうだ。また、使われたクレジットカード情報は南アフリカ・スタンダード銀行のもの約1600枚分だったという。行われたのは預金からの引き出しではなく、カード会社から現金を借りる「キャッシング」での引き出しで、各ATMから引き出されたのは限度額の10万円だが、1万4000回以上の取引が行われていたとのこと。

あるAnonymous Coward 曰く、

りそな銀行が印鑑を使用せず、静脈認証を使って口座を開設できるサービスを導入するという。大手銀行としては初めて（朝日新聞、毎日新聞）。

口座開設後はICチップ付きキャッシュカードと静脈認証で窓口での現金引き出しや振り込み等が行えるとのことで、行政への手続上不可欠な場合を除いて印鑑は原則不要になるという。業務全般の見直しも行い、これによって4年間で事務作業を2割減らせるという。

他の大手行も印鑑を使わない方向へ傾きつつあり、ネット銀行ではそもそも印鑑を使用していない。いずれ銀行手続きでは印鑑が不要になるようだ。一般企業では電子印鑑も普及しているが、皆様の周りでは、どのような事例で印鑑が廃止されているだろうか。

あるAnonymous Coward 曰く、

朝日新聞の記者が主要国首脳会議（サミット）開催目前の三重県内の観光旅館で、無線LANルーターの設定が改ざんされた痕跡を発見したそうだ（朝日新聞）。

旅館が提供する無線LANを記者が使用した際、広告表示の挙動に不審を抱いたのがきっかけ。ただ、サミットをねらったものかは不明。

皆様は、出張や観光で泊まった宿泊施設や、外出先で使った無線LANが改ざんされていたり、問題が見つかった経験はあるだろうか。

Microsoftは17日、Windows 7 SP1以降、2016年4月までの更新プログラムをまとめた「便利な更新プログラムのロールアップ」の提供を開始した(TechNet blog — Windows for IT Prosの記事、 KB3125574、 InfoWorldの記事、 Ars Technicaの記事)。

このロールアップにはセキュリティ関連およびセキュリティに関連しない修正プログラムがほぼすべて含まれている。そのため、このロールアップインストール後は5月以降の更新プログラムをインストールするだけでWindows 7 SP1を最新の状態にすることができるという。また、Windows 7 SP1のWIMファイルへの統合にも対応し、Windows Server 2008 R2向けのパッケージも用意されている。

便利な更新プログラムのロールアップを適用するには、Windows 7 SP1に加えて2015年4月のサービススタック更新(KB3020369)を事前にインストールしておく必要がある。また、完全なオプションとして提供されるもので、Windows Update経由で提供されることはなく、Microsoft Updateカタログから個別にダウンロードする必要がある。なお、32ビット版のWindows 7 Professionalで実際に試してみたところ、インストール後に更新プログラムの確認を実行すると54個の更新プログラムが検出された。中には古いものも含まれており、網羅されているというわけではないようだ。

また、Windows 7 SP1/8.1(Windows Server 2008 R2 SP1/2012/2012 R2も含む)向けに、セキュリティにかかわらない更新プログラムをまとめたロールアップパッケージを毎月提供することも同時に発表されている。こちらはMicrosoft Updateカタログだけでなく、Windows UpdateやWSUS、SCCMでも提供されるとのことだ。

政府がサイバー攻撃に対応するため、新組織を設置してホワイトハッカーを採用・育成する方針を固めたという読売新聞の報道が海外メディアでも話題となっているようだ(The Japan Newsの記事、 The Registerの記事、 Softpediaの記事)。

プレスリリースなどは出ていないようだが、仮称「産業サイバーセキュリティ推進機構」とされる新組織は人材育成・事態対処部門と研究部門の2部門体制で、経済産業省の外郭団体として設置する方向だという。ホワイトハッカーを採用・育成するのは人材育成・事態対処部門で、インフラ事業者などへの対応策の提供なども行う。研究部門では最新のサイバーセキュリティ訓練の実施や、大学や研究機関、海外政府機関などと連携し、最新の脅威に対する防衛策を研究する。

昨年はウクライナでサイバー攻撃による大規模停電が発生するなど、社会インフラを狙ったサイバー攻撃の脅威が高まっている。米国では軍や情報機関が中心となって最新の脅威の研究や人材育成などを担っているが、日本には主体となる組織が存在しないことから、サイバーセキュリティの観点からみて立ち遅れているとの見方もある。政府では、新組織のカバー範囲として社会インフラ事業者のほか、十分なセキュリティ基準を持たない中小企業が多い防衛産業も含める計画だという。

政府では2020年の東京オリンピック・パラリンピックを見据え、2017年度の予算を確保し、来年の通常国会で関連法案を成立させる方針とのことだ。

5月14日、埼玉県蕨市の地域活動支援施設に対し蕨駅の爆破予告メールを送った男性が威力業務妨害容疑で逮捕された（産経新聞）。

このメールの送信元には容疑者自身の氏名が入力されており、そこから容疑者が浮上したという（【ネタ倉庫】ライトニング・ストレージ）。

オープンソースの高圧縮ファイルアーカイバ―「7-Zip」で、任意コード実行が可能となる2件の脆弱性が発見された(Cisco Talos Blogの記事、 The Registerの記事)。

TALOS-2016-0094 (CVE-2016-2335)はUDFファイルの処理における領域外メモリ参照の脆弱性だ。UDFボリュームでは複数のパーティションマップを保持できるが、7-Zipでは利用可能なパーティションマップオブジェクトの数よりもLong Allocation Descripterから取得した「PartitionRef」フィールドの値が大きいかどうかを確認しない。そのため、Long Allocation Descripterを細工することで領域外メモリ参照を引き起こし、任意のコード実行が可能になるという。

TALOS-2016-0093 (CVE-2016-2334)はHFS+ファイルシステムにzlib圧縮で格納されたファイルの処理におけるヒープオーバーフローの脆弱性だ。HFS+ファイルシステムでzlibを用いて圧縮したファイルを格納するとき、圧縮後のサイズが3,800バイトを超える場合は複数のブロックに分割される。しかし、7-Zipで伸長を行う際、読み込んだブロックを格納する静的サイズのバッファーよりもブロックのサイズが大きいかどうかを確認しない。そのため、バッファーよりも大きくなるように細工したブロックを用いることで、バッファーオーバーフローに続いてヒープ破損を引き起こし、任意のコード実行が可能になるとのこと。

これらの脆弱性は最新版の7-Zip 16.00で修正されており、ユーザーは早期の更新が推奨される。ただし、7-Zipはさまざまな製品で利用されているため、Cisco Talosでは脆弱性を含むライブラリを使用していることにベンダーが気付きにくいといった問題も指摘している。

米国の空港では、保安検査場での長い行列が問題になっている。一部の空港では米運輸保安庁(TSA)に対し、検査の待ち時間を短縮しなければTSA職員による検査をやめ、独自に検査を行うなどとして圧力をかけているという(Consumeristの記事)。

TSAでも保安検査場を担当する職員の増員や、事前登録により検査を迅速化する「TSA Pre✓」の拡大、トレイの回収といったセキュリティにかかわらない保安検査場内での作業について空港や航空会社の協力を求めるといった対策を発表している。米航空会社による業界団体Airlines for Americaは「I Hate the Wait」キャンペーンを実施し、乗客が保安検査場で長蛇の列に遭遇した際にTwitterやInstagramでTSAへ報告することを呼び掛けている。Airlines for Americaに加盟していないデルタ航空では、保安検査場でTSA職員をサポートするスタッフの提供などの協力を発表した(国土安全保障省のニュースリリース、 Airlines for Americaのニュースリリース、 デルタ航空のニュースリリース)。

一方、保安検査の効率低下の原因として、航空会社の責任を指摘する意見もあるようだ。米航空会社の多くが国内路線などで預入手荷物を有料化したことで大きな手荷物を機内持ち込みにする乗客が増え、保安検査に時間がかかるようになったというものだ。TSAの試算によると、預入手荷物が無料の場合と比べ、有料の場合は機内に持ち込まれるキャスター付きスーツケースが27%増加するという。そのため、Richard Blumenthal上院議員とEdward Markey上院議員は航空会社12社に対し、夏の預入手荷物料金を値下げして保安検査場での行列を短くするよう求めているとのことだ(Consumeristの記事)。