USB接続のネットワークアダプターに偽装したデバイスを用い、ユーザーがログイン後にロックされたPCからログイン情報を取得する方法をセキュリティ研究者のRob Fuller氏(mubix)が検証している(Room362の記事、 The Registerの記事、 Softpediaの記事、 Ars Technicaの記事)。

この方法はUSBデバイス上でResponderを実行することでゲートウェイやDHCPサーバー、WPADサーバーなどとして機能させ、PC側から送られてくるログイン情報を保存するというものだ。USBデバイスの中にはドライバーのインストール時にユーザーの操作が必要なものもあるが、USBネットワークアダプターの場合は自動でドライバーがインストールされる。

検証に使用したデバイスはUSB ArmoryとLAN Turtleの2種類。USB ArmoryはUSBフラッシュメモリーサイズのコンピューターで、ネットワークアダプターのほかマスストレージやHIDなどをエミュレートできる。LAN TurtleはUSBネットワークアダプターとして動作するハッキング用デバイスで、Responderのモジュールも標準で組み込まれている。

マレーシアで発見された新種の寄生虫に、米国のバラク・オバマ大統領にちなんだ名前「Baracktrema obamai」が付けられた。発見者で命名者のThomas Platt氏によると、大統領の名前を寄生虫の名前にするのは敬意を表したものであり、侮辱ではないとのこと(論文、 Mashableの記事)。

Baracktrema obamaiはホオジロクロガメやマレーハコガメの肺に寄生する住血吸虫の一種で、共通の特徴を持つUnicaecum ruszkowskiiと比較して数倍細長いという。この住血吸虫は宿主のカメに危害を及ぼすことはないが、人に寄生すると重大な疾患を引き起こす可能性もある。

インディアナ州・セントメリーズカレッジの生物学教授を最近引退したPlatt氏は、引退までに発見した32の新種に自分が非常に尊敬する人の名前を付けてきたそうだ。今回の命名はPlatt氏にとってキャリアの最後を飾るものであり、大統領に対する敬意をささやかに示すものだという。さらに、Baracktrema obamaiにはオバマ大統領を想起させる「長く、細く、鬼のようにクール」という特徴もあるとのことだ。

ちなみに、クモや魚、恐竜、地衣類などさまざまな動植物でオバマ大統領にちなんだ学名が付けられている。

脆弱性問題から使用が非推奨となっているアーカイバ（圧縮ソフト）のLHA（ファイル拡張子は.LZH）だが、国土交通省の入札説明書等の電子的提供ではLHAがまだ使われている模様（「黒翼猫のコンピュータ日記 2nd Edition」ブログ）。

また、それ以外でもLZH形式の圧縮ファイルで入札関連の情報を公開している組織が複数存在するようだ。

印刷通販を行っているグラフィックが「中国籍サーバー」からの不正アクセスを受けて個人情報を流出していたことを発表した（グラフィックの発表）。

流出した個人情報は395件で、流出の疑いがある情報はクレジットカード番号とセキュリティコード、有効期限、同社の会員ID。7月11日に法人向け決済サービスの決済代行会社より指摘を受けて調査を行ったところ、不正アクセスがあったことが判明したという。また、流出した個人情報は特定できていないとのこと。

なお、同社は当初顧客データベース内にカード情報を記録していないとしていたが、その後顧客データベースのログにカード情報が記録される状態になっていたことが判明したという。同社はこれを認識していなかったとのことだが、指摘を受けて修正をおこなったとのこと。

TLS 1.2の後継として検討が進められているTLS 1.3だが、大きな仕様変更が加えられることからその名称を「TLS 2.0」にすることが検討されているようだ（名称変更に関するプルリクエスト）。

なお、TLS 1.3では暗号化方式の変更にとどまらず、ハンドシェイクの改善や性能向上など多数の変更が加えられるようだ。多くの変更が加わっているにも関わらず「TLS 2.0」ではなく「TLS 1.3」として検討が進められていたのは、既存のクライアント/サーバーとの互換性を保つためだったとのこと（IIJ・大津氏による技術解説スライド）。

8月末より、国内の複数サイトに向けDDoS攻撃が行われ、サイトが閲覧できないなどのトラブルが発生した（piyolog）。特に家電量販店大手のヨドバシカメラが攻撃された件についてはIT関連メディアだけでなく一般メディアでも報じられている（産経ニュース、ASCII.jp）。なお、現在では多くのサイトが復旧している。

スラドも9月1日の21日ごろよりDDoS攻撃と思われる大量のトラフィックにより閲覧がしにくい状況となっていた。スラドにおける攻撃および対処に関するタイムラインは以下のとおり。

9/1 21:00ごろ

srad.jpおよびosdn.jpへのアクセスが行えなくなっていることを確認

9/1 21:50ごろ

srad.jpおよびosdn.jpで利用しているコロケーションサービスの提供元であるIIJから弊社（OSDN）の担当者に「大量のトラフィックが来て回線設備に問題が発生したため、上位で一時的にトラフィックを止めている」という連絡が入る。この時点では弊社ネットワーク向けのトラフィックがすべて止まった状態になり、巻き添えによってosdn.jpもアクセス不能になる。弊社内でのログ解析によりDDoS攻撃らしき痕跡は確認されたものの、トラフィックは上位で止められているため弊社では対応できず

9/1 23:40ごろ

攻撃が収束したため、IIJによるフィルタがいったん解除される

9/2 0:00ごろ

再度攻撃が行われ、IIJによるフィルタが再度適用される。フィルタが適用される前のネットワーク状況を調査したところ、srad.jpに割り当てられている202.221.179.13に対し、約4.7万のユニークIPアドレスからのDNSの戻りクエリが殺到していることが判明、DNS Ampによる攻撃の可能性が高いと推測される。また、IIJ網内からはsrad.jpにアクセスできることから、IIJ網とインターネットとの境界でトラフィックのフィルタリングを行っていると推測

オンラインストレージサービスを提供するDropboxで、2012年に6800万人のアカウント情報を流出させていたことが明らかになった（INTERNET Watch、MOTHERBOARD、GIGAZINE）。

Dropboxは8月25日にユーザー向けに「2012年半ばから変更していないパスワード」について変更を求めた（過去記事）。この時点ではアカウント流出については触れられていなかったのだが、その後海外メディアがアカウント流出について報道、Dropbox側もこれを認める形となった。流出について伝えたMOTHERBOARDによると、流出したアカウントを含むデータ（4ファイル）は合計で約5GB、68,680,741アカウントの情報が含まれていたという。パスワードはハッシュ化されているが、Dropboxはたびたびパスワードのハッシュ化アルゴリズムを変更しており、一部は現在利用が推奨されないとされているSHA-1が使われているという。

なおDropboxによると、流出したアカウント情報を用いた不正アクセスは検知されていないという。

Windows版Firefoxの今後のバージョンでは、企業の環境でインストールされたルート証明書の扱いが変更されるそうだ(Mike's Musingsの記事、 Softpediaの記事)。

Windows版のFirefoxはWindowsの証明書ストアを使用せず、独自の証明書ストアを使用している。そのため、企業のシステム管理者がプライベートネットワークやアプリケーションで使用するルート証明書をWindowsにインストールした場合、Firefoxからはアクセスできなかった。

この問題を解決するため、Firefoxの今後のバージョンではWindowsの証明書ストアを検索し、信頼されるCAが発行したTLS Webサーバー用の証明書を使用できるようになるという。また、これによりWindows 8.1のMicrosoft Family Safety機能もFirefoxで使用可能となる。

現在この機能はベータ版のFirefox 49でテストが行われている。オプションを有効にするには、about:configで「security.enterprise_roots.enabled」をtrueにセットすればいい。

ジョン・マカフィー氏が自らCEOを務める会社の名前に自分の名前を使用する権利があることの確認を求め、Intelを訴えたそうだ(VentureBeatの記事、 Bloombergの記事)。

マカフィー氏は5月、セキュリティ企業への転換を進めるMGT Capital InvestmentsのCEOへの就任を提案される。MGTは社名をJohn McAfee Global Technologiesに変更する計画を発表していた。これに対し、2010年にMcAfee Inc.を買収したIntelが、「McAfee」の名前を使用することは商標権の侵害になると書面で通知したという。

一方、マカフィー氏とMGTは1991年にMcAfee Inc.の前身であるMcAfee Associatesの資産をMcAfee Associates LPへ売却した際の文書を示し、この際にMcAfeeの名前を使用する権利は譲渡されておらず、マカフィー氏が自分の名前を使用したビジネスを行うことも禁じられていないことを指摘。さらに、Intelは2014年にMcAfee製品の名称をIntel Securityに変更した点も指摘している。John McAfee Global Technologiesという名称が国際的な著名人であるマカフィー氏との結びつきを示すことは明白であり、マカフィー氏にはその権利があると主張しているようだ。

taraiok 曰く、

セキュリティ企業AVGの研究者らが、Windows Updateを模したランサムウェアを発見したそうだ（HotHardWare、Slashdot）。

このランサムウェアは「Fantom」と呼ばれており、Windowsの重要なアップデートのように見せかけたポップアップを表示するという。ユーザーがもしこの表示に従ってアップデートを実行してしまうと、アップデートがインストールされるような画面が表示されるが、その裏ではPC内のファイルを暗号化する処理が実行され、最後に暗号化を解除して欲しければ金を払えという表示を行うという。

なお、Fantomはオープンソースのランサムウェア「EDA2」を元にしており、犯人の助けなしにファイルを復号化する方法はないという。

insiderman 曰く、

無料でマルチドメイン対応のSSL証明書を発行してくれるとして一部で話題になっていた中国の認証局「WoSign」で、サブドメインに紐付けられているサーバーの管理権限があれば、そのメインのドメインに対するSSL証明書も取得できてしまうという問題が明らかになっている。たとえばgithub.ioでは、利用者に対し＜プロジェクト名/ユーザー名＞.github.ioや＜プロジェクト名/ユーザー名＞.github.comというドメインを提供しているが、これを悪用することでgithub.ioやgithub.comに対するSSL証明書も取得できてしまうことになる（GIGAZINE、Schrauger.com、Chinese CA WoSign faces revocation after possibly issuing fake certificates of Github, Microsoft and Alibaba）。

さらにこの問題が明らかになった後も、WoSign側は問題のある証明書に対して適切な対処を行わなかったとして批判されているようだ。これを受けてMozilla開発者らの間でWoSignが発行した証明書の扱いをどうするかが議論されているが、WoSignは中国でも大手の認証局と言うことで、対応に苦慮している模様。

「世界最高レベルのコピープロテクト」として以前話題になった「Denuvo」を採用した新作ゲームの海賊版が、発売後6週間で登場したそうだ（GIGAZINE、TorrentFreak、Ars Technica）。

Denuvoは「絶対クラックできない」というわけではないが、たとえば「Rise of the Tomb Raider」というタイトルではプロテクトが解除された海賊版が登場するまでに発売後193日間がかかっており、海賊版が出始めるまでの時間を稼ぐことには成功している。しかし、今回クラック対象となった「Inside」というゲーム（リリース日は7月7日）については、その約6週間後の8月23日に海賊版が登場する事態になってしまったそうだ。

クラックに掛かる時間が短縮された理由としてゲーム自体のファイルサイズが小さかったことが挙げられているものの、今回海賊版を公開した「CONSPIR4CY」というハッカー集団はDenuvoの解除方法をすでに確立していると見られている。また、実際には2週間ほどでクラックは完了していたが、同じくDenuvoが採用されている大型タイトル「Deus Ex Mankind Divided」が発売されるまで公表を控えていたという話も出ている。

人気のECサイト構築ソフトウェア「EC-CUBE」に関する既知の脆弱性の詳細が発表されたのだが、これに対しEC-CUBEの開発元から公開中止の要請があったという（記事の追記、Togetterまとめ）。

この背景について、ECサイト構築支援を行っているTHANK Uが「EC-CUBE脆弱性情報の公開の是非」として説明を行っているのだが、これによるとサイト構築後に適切な運用を行っていないEC-CUBEユーザーが存在し、修正パッチの適用やアップデートを行っていないサイトが少なからずあるという。そのため、脆弱性の再現手順を公開することはユーザーを危険にさらす可能性があると危惧されている。

ただ、解説されている脆弱性はすべて既知のものであり、JVNなどで情報が公開されている。EC-CUBEはオープンソースなので、詳細は明らかにされていなくても、ソースコードの差分を確認すれば修正された個所から脆弱性の内容を推測できる可能性があるため「脆弱性の再現手順の公開」を防ぐことに意味があるかどうかは不明だ。

Operaには異なるPCや端末間で設定を同期する機能「Opera Sync」が備えられているが、このOpera Syncのユーザー名やパスワードなどの情報が漏洩したと報じられている（TechCrunch、窓の杜）。

詳細については調査中とのことだが、サーバーに対し外部から攻撃が行われての漏洩だという。流出したパスワードは暗号化されていたとのこと。

Operaはこれを受けて、安全のためすべてのOpera Syncアカウントのパスワードをリセットしたとのこと。また、Opera Syncを利用していたユーザーに対しては、Operaに記録させていた各種パスワードをリセットすることを推奨している。

あるAnonymous Coward曰く、

GoogleがGoogleアカウントにおけるOAuth認証について、利便性とセキュリティ強化のために仕様変更を行うことを明らかにした。具体的には、今後数ヶ月内にいわゆる「WebView」など、アプリケーションにWebブラウザの機能を組み込むためのコンポーネントからのOAuthリクエストを受け付けないよう変更するとのこと（Google Developers Blog）。代わりに、端末のWebブラウザ経由で認証を行う手法が推奨されている。

WebViewでのログインでは、アプリ毎にGoogleのログイン画面にアクセスしてアカウント名やパスワードを入力する必要があった。いっぽう、端末のWebブラウザ経由で認証を行うことで、アプリ毎にログインを行う必要がなくなり、一度Webブラウザでログインすればアプリ毎のログインは不要となる（ただし確認画面は表示される）点がメリットだとされている。

WebViewを使ったログインでは、以前から悪意のあるアプリがログイン画面を偽造してアカウント名やパスワードを盗み取る可能性が指摘されていた（OAuthの認証にWebViewを使うのはやめよう）。