インド政府では旧バージョンのWindowsを主なターゲットにするランサムウェアなどによる攻撃の続発を受け、インドのWindowsユーザー全員にWindows 10へのアップグレードを格安で提供するようMicrosoftに要請しているそうだ(Reutersの記事、 On MSFTの記事、 Softpediaの記事)。

インド政府のサイバーセキュリティーコーディネーターを務めるGulshan Rai氏がReutersに語ったところによると、Microsoftは基本的に合意したという。Rai氏は5月に発生したWannaCryptによる攻撃以降、Microsoftと交渉してきたそうだ。今週はNotPetyaによる攻撃で欧州を中心に大きな被害が発生している。一連の攻撃を受けてMicrosoftはWindows XPなどサポートの終了したOSへのセキュリティ更新プログラムを提供しているが、根本的な問題を解決するにはWindows 10へのアップグレードが必要とRai氏は考えているとのこと。

インドでは推計約5,700万台のPCのうち、97%がWindowsを使用していると推計されている。ただし、海賊版も広く使われているようだ。Rai氏によれば、格安でのWindows 10へのアップグレードは1回限りのもので、市販価格の4分の1以下を想定しているという。インドでのWindows 10の価格はHomeが7,999ルピー(約13,700円)、Proが14,999ルピー(約25,700円)とのことだ。

Microsoftからのコメントは出ていないようだが、このような値引き提供をインドで実施すれば、他国からも要請が出てくる可能性もある。インド政府のアップグレード計画は実現するだろうか。

あるAnonymous Coward 曰く、

ネットでの証券売買サービスを手がけるカブドットコム証券のWebサイトがDDoS攻撃を受け、29日9時頃から約36分間にわたってアクセスしづらい状態になっていたとのこと(プレスリリース、 朝日新聞デジタルの記事、日本経済新聞の記事。

同社によると、攻撃検知から約38分後に攻撃のブロックが完了し、Webサイトは復旧したという。

取引システムは攻撃の影響を受けず、情報流出なども発生しなかったとのことだ。同社では事前の管理策を用意していたが、顧客に大きな迷惑をかけたとして謝罪している。

taraiok曰く、

イギリス・ビクトリア警察当局は6月24日、6月6日以降にスピードカメラの記録を元にして通知された交通違反を取り消すと発表した。原因はスピードカメラにWannaCryウイルスが感染していたこと。280台のカメラのうち55台が感染していたようだ（英Yahoo! News、Slashdot）。

カメラはインターネットには接続されていなかったが、メンテナンス業者がUSBスティックをカメラシステムに接続した結果、感染が起きたとしている

この影響で1643枚の違反切符が取り消され、現在システム上で保留中になっている5500枚も取り消される可能性があるという。警察側はカメラが正常であることを確認するまでは違反切符を出さないとしている。ただし280台の固定カメラと赤外線カメラは引き続き稼働を続けており、取り消された違反切符が再発行される可能性もあるとしている。

headless曰く、

先日進水式が行われた英国の最新型空母HMS Queen Elizabethの航空管制室で、Windows XPが使われていることを取材陣が発見したそうだ（Guardian、Register、The Times、Softpedia）。

これについてQueen Elizabethの航空部門を率いる英海軍のMark Deller氏は、同艦で使われている機器は非常に厳格な調達要件のもとに選定されており、（WannaCryptで大きな被害を受けた）英国民保健サービス（NHS）のPCとは違って安全性が高いと説明したという。また、船は今日買ったのではなく20年前に買ったため、当時良いと考えられていたスペックの品が搭載されているが、いつでもアップグレードは可能だとも述べている。ただし、既にアップグレードが行われているとしても、それは公表できないとのこと。

Queen Elizabethでは2年前にもWindows XPマシンが発見されている。当時、海軍の広報担当者はRegisterに対し、運用開始後にWindows XPが使われることはないと説明していた。今回Windows XPが発見されたことについて海軍では、当時の説明と違うわけではなく、運用開始とは実戦に配備される2020年ということだ、との見解を示したそうだ。

サンタンデール銀行が英国の成人を対象に実施したWi-Fiに関する調査によると、52%が暗号化されていないWi-Fiネットワークのセキュリティを懸念する一方で、14%がWi-Fiを無料で拝借しているそうだ(ニュースリリース、 BetaNewsの記事)。

調査は5月から6月にマーケットリサーチ企業Opiniumを通じてオンラインで実施されたもので、英成人の構成比を反映した2,005人が回答したとのこと。英成人の14%は約719万人に相当する。

許可の有無にかかわらず隣人のWi-Fiを拝借している回答者は5%、18歳～34歳では14%にのぼる。また、無料Wi-Fiを提供するカフェやショップに行き、何か注文したり購入したりせずにWi-Fiだけを使う人も5%(18歳～34歳では11%)、3%は初めて見るオープンWi-Fiでも利用するという。

空港や店舗などで提供されるWi-Fiのセキュリティを懸念する52%(ロンドン限定では60%)のうち、17%はソーシャルメディアのチェックやクーポンのダウンロードに必要なら利用すると回答し、19%は仕事でも利用していると回答。さらに、オンラインバンキングなどで暗号化されていないWi-Fiを使用するとの回答も26%(18歳～34歳では49%)にのぼったとのこと。

英国ではこの10年間で携帯電話やブロードバンドへの支払額が24%増加しているそうだ。月間のデータ上限を超えて利用する人は30%、6%はデータ上限を毎月超えるという。そのため毎月の通信料金は、セキュリティを上回る懸念事項になっているようだ。

Windows 10の未公開ビルドやツール、コア部分のソースコードがオンラインに流出したとThe RegisterのChris Williams氏が主張している(The Registerの記事、 The Regisiterのツイート、 The Vergeの記事、 Ars Technicaの記事、 BetaArchiveの声明)。

この件について osdn 曰く、

流出していたのは Shared Source Kit で、ごく一部の開発者にライセンスされているものです。ドライバなど低レベル(つまり高位な権限)で動作する部分のコードも含まれるため、一般には参照できません。データがアップロードされていた BetaArchive からは既に削除されていますが、内部のコードがあればゼロデイ攻撃などが容易になりかねません。実際に2004年の流出は脆弱性の発見に繋がりました。

Williams氏は流出したデータが合計32TBにおよび、圧縮後のサイズが8TBだと述べている。ただし、証拠として示されているのはBetaArchiveのフォーラムに掲載されたリストのスクリーンショットのみだ。サイズの根拠も示されていないが、数字から見て3月24日にBetaArchiveで大量に公開されたWindows 10/Server 2016のベータビルドのことだと思われる。フォーラムでリストアップされているビルドの3分の2弱が未公開ビルドのようだが、あとはWindows Insider 10 Previewとして提供されたビルドだ。アップロード者は数多くのWindows InsiderビルドをMicrosoftから直接ダウンロードしたと述べている。未公開とみられるビルドは既に試用期限の切れた古いものが多く、Redstone 2(Creators Update)ビルドはすべてInsider Previewで提供されたビルドとなっている。

ソースコードが含まれるというShared Source Kitだが、Williams氏は実際に内容を確認していないとみられ、内容の説明も伝聞となっている。Williams氏への情報提供者についても、BetaArchiveで公開されていたファイルの内容を説明したのか、Shared Source Kit一般の話をしたのかは不明だ。なお、MicrosoftはShared Source Initiativeで提供しているソースコードの一部が含まれることを確認したと述べているそうだ。

一方、BetaArchiveではShared Source Kitフォルダーに含まれていたファイルは各100MBのリリースが12件、合計1.2GBであり、コアソースコードとしては小さすぎると述べている。また、3月24日付で大量に公開された未公開ビルドなどはフォーラムメンバーやWindows Insider Programメンバー、Microsoft Connectメンバーなどさまざまなソースから提供を受けたものだという。これらのファイルは公開しても問題ないと考えているが、Microsoftから要請があれば公開を中止するとも述べている。Shared Source Kitについては自主的に削除したもので、Microsoftから削除要請があったわけではないとのことだ。

国際線旅客機では100mlを超える液体やジェルなどの機内持ち込みが禁じられているが、イタリア・ジェノバでは地元の有名なイタリアンソース「ペスト」に限り、100mlを超えても持ち込み可能になったそうだ(空港のニュース記事、 The Registerの記事、 Consumeristの記事、 Flying Angelsのニュース記事)。

ペストはオリーブオイルとバジル、松の実、ニンニク、チーズ(パルミジャーノとペコリーノ)をすりつぶしたジェノバ特産のソース。クリストフォロコロンボ国際空港(ジェノバ-セストリ空港)では、観光客が滞在中に購入したペストを機内持込手荷物に入れ、保安検査で没収されることが多いという。

このことから着想された「Il pesto è buono(ペストはおいしい)」キャンペーンでは、慈善団体「Flying Angels」に50ユーロセント以上寄付することで500gまでのペストを機内に持ち込むことが可能になる。ペストを持ち込むには寄付時に渡されるステッカーをボトルに貼り、専用のX線検査装置を通せばいい。

6月1日から開始されたキャンペーンでは、20日で500ユーロ以上の寄付が集まり、500本以上のペストが機内持ち込み手荷物として運ばれたとのことだ。

Windows 10のセキュリティ機能とサードパーティー製アンチウイルス(AV)ソフトウェアの関係について、MicrosoftのRob Lefferts氏が解説している(Windows Securityブログの記事、 The Vergeの記事、 On MSFTの記事、 Neowinの記事)。

Kaspersky LabはWindows 10におけるセキュリティソフトウェアの扱いで反競争行為が行われていると主張し、ロシアや欧州の独占禁止当局に訴えている。記事ではKaspersky Labを名指ししてはいないが、同社の主張に答える内容となっている。

MicrosoftではすべてのWindows 10デバイスを常時保護された状態に保つためにWindows DefenderのAV機能を作ったが、Microsoft Virus Initiative(MVI)によるAVベンダーとの協力も怠っていないという。AVパートナーにはWindows Insider Programなどを通じて初期のビルドを提供しており、MVIプログラムを通じて情報を提供している。その結果、Windows 10 Creators Updateのリリース時にはほぼすべてのAVソフトが完全な互換性を実現。Windows 10 PCにインストールされたAVソフトのおよそ95%がWindows 10 Creators Updateと互換性があったとのこと。

更新が必要なバージョンを使用している場合、Windows 10のアップデート完了後に最新版をインストールするようユーザーに知らせる機能もAVソフト専用に作られているという。Windowsのアップデート時に互換性のないバージョンのAVソフトが無効化されるのはこのためであり、互換性や最新版の入手方法などの情報はAVパートナーの協力により実現しているそうだ。

MicrosoftはユーザーによるAVソフトの選択を尊重しており、サードパーティーのAVソフトがWindows 10を保護している限り、Windows Defenderに切り替えられることはないという。Windows Defenderの定期スキャン機能もユーザーが指定しない限り動作することはない。また、AVパートナーとの協力関係は今後も重視していくとのことだ。

ymasa 曰く、

メルカリのWebブラウザ向けサービスで、CDN（コンテンツデリバリネットワーク）サービス切り替えの際の設定不備によって54,180名の個人情報が流出したことをメルカリが発表した（INTERNET Watch）。

iOS/Androidアプリ版のメルカリは対象外という。流出したのは名前・住所・メールアドレス・電話番号、銀行口座、クレジットカードの下4桁や履歴・設定情報など。6月22日9時14分にWeb版メルカリのパフォーマンス改善のためキャッシュサーバーに切り替えを行ったとき、個人情報が他者から閲覧できる状態になっていたという。

時系列としては14時41分の発覚後15時5分に従来の設定に変更、15時16分メンテナンス状態にして15時36分キャッシュサーバーへのアクセスを遮断・問題解消。15時47分にメンテナンスモード終了、となっている。現在は対応を完了しているという。

また、問題の技術的な詳細も公開されている。これによると、メルカリでは個人情報などを扱うページについても、キャッシュを保持しない設定でCDN経由でのアクセスを行う仕様にしていたという。しかし、CDNの切り替えの際、切り替え前のCDNと切り替え後のCDNの仕様が異なっていたため、「キャッシュを保持しない設定」が無効になり、個人情報に関するページがキャッシュされ、本来表示されるべきではない人に対しそれが表示されてしまったという。

headless曰く、

Microsoftは今秋提供予定のWindows 10の大型アップデート「Fall Creators Update」で、SMBv1の無効化を計画しているそうだ（Bleeping Computer、BetaNews）。

既にWindows 10 EnterpriseとWindows Server 2016の内部ビルドではSMBv1が無効化されているとのことだが、MicrosoftのNed Pyle氏によればSMBv1を無効化したビルドがInsider Program参加者へ提供されるのはもう少し先のことになるようだ。計画は初期の検討段階であり、詳細は明らかになっていないが、SMBv1が無効化されるのはFall Creators Updateをクリーンインストールした場合のみで、アップグレードで既存の設定が変更されることはないとのこと。

SMBv1は5月に発生したWannaCryptの感染拡大により、セキュリティの面で注目を集めたが、Microsoftでは5年前からSMBv1の廃止を検討していたという。2014年には期限を示さずに計画を公表しており、Pyle氏は昨年からSMBv1の使用中止を呼び掛けていた。SMBv1無効化の最大の理由はセキュリティだが、既に無効化しても問題ない時期に来ているということもあるようだ。SMBv2はWindows Vista/Server 2008以降で利用できるようになっており、Windows Server 2008が現在サポートされる最も古いWindows OSとなっている。

あるAnonymous Coward 曰く、

ソフトバンク・孫正義社長が、株主総会での「訪日外国人向けの無料Wi-Fi充実を」との質問に対し、セキュリティの観点から無料Wi-Fiには問題があると回答、代わりに世界の携帯電話事業者とのデータローミングを進めるべきと答えた（ITmedia）。

確かに不特定多数が利用できる無線LANサービスではセキュリティ問題は発生しやすい。日本人からしたら、日本人が使えずに訪日外国人だけが使える無料Wi-Fiの存在は不公平感も感じる。ローミングなら日本の携帯電話事業者に収益が入ることも要因の1つだろうとは思うが。

taraiok曰く、

欧州議会の市民自由委員会（EP委員会）は、電子通信とプライバシーに関する新規則のドラフト案を発表した。このドラフトでは、欧州連合（EU）市民のプライバシー権を保護するため、すべての通信にエンドツーエンドの暗号化を行うことを推奨している。加えて委員会はバックドアの禁止を勧告している。アメリカやイギリスでは、テロ対策の関係で規制を導入したり、暗号化を弱めようとする動きが強まっている。今回の委員会のドラフト案はこうした流れに反対するものとなっている（Tom's Hardware、（試訳） 欧州連合基本権憲章[PDF]、Slashdot）。

欧州連合基本権憲章7条では「何人も、自己の私的および家庭生活、住居ならびに通信の尊重に対する権利を有する」と規定されており、EP委員会は個人間のコミュニケーションにおけるプライバシー保護も権利の重要な部分であると指摘している。また電子通信はほとんどが個人データであり、昨年制定されたEU一般データ保護規則の観点から見ても守るべきものだと主張している。

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された（Red Hat Customer Portal）。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364（Linuxカーネルのstack guard pageの脆弱性）、CVE-2017-1000366（glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性）、CVE-2017-1000367（sudo 1.8.20以前の入力バリデーションの不備）という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。（ITmedia）。

数多くの入口からローカル権限上昇攻撃ができた （あるいは理論上可能な道筋がある） そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

研究者らが5000以上のAndroidアプリを対象に調査を行ったところ、その7割以上が第三者にプライバシに関わる情報を提供していたという（Forbes JAPAN、The Conversation）。また、15％に当たる750のアプリが5つ以上の第三者にデータを送信しており、また25％のアプリが異なるデバイスをまたいで利用履歴を収集していたという。

これは、スマートフォンのプライバシについて研究するThe Haystack Projectによって明かされたもの。同プロジェクトは「Lumen Privacy Monitor」というAndroidスマートフォン向けのトラフィック分析アプリを公開しており、これを使ってアプリが送信するデータを調べている（昨年公開された論文）。

現在では、多くのサードパーティが分析や広告表示のためのライブラリを提供しており、アプリ開発者はこのライブラリを利用することで簡単にユーザーの情報を収集できるという。これら情報は多くの場合そのライブラリ提供者のサーバーに送信されるため、これらに多くのプライバシに関する情報がユーザーの自覚無しに送られている可能性があることが問題視されている。

あるAnonymous Coward 曰く、

日本マクドナルドのシステムにサイバー攻撃が行われ、その影響で国内のマクドナルド店舗でdポイントや楽天スーパーポイント、WAON、iDが利用できない状況になっているという（時事通信、ケータイWatch、日本マクドナルドの発表）。

また、宅配サービス「マックデリバリーサービス」も利用できなくなっているそうだ。ネットワークシステムにマルウェアが感染したとのことだが、詳細は不明。店舗の営業には影響はないとのこと。