MozillaはFirefoxのサブスクリプション型プレミアムサービスの導入計画を6月に公表していたが、これに関連するとみられるサインアップページがfirstlook.firefox.comサイトで公開(v1、 v2、 v3、 v4)されている(Neowinの記事、 The Vergeの記事、 BetaNewsの記事、 SlashGearの記事)。

v4は広告なしのインターネットを月額4ドル99セントで提供するというもので、提携先のパブリッシャーにはサブスクライバーの閲覧数に応じて月額料金の一部が支払われる。このほか、サブスクライバーにはオーディオ版の記事やデバイス間で同期するブックマークなどが提供されるとのこと。同サイトではv4と同じような内容のページが4月に発見されており、こちらではScrollの広告非表示化サービスを利用することが明記されている。Mozillaでは2月にオンライン広告のエコシステムが壊れているとして他の資金調達モデルを探す計画を示した際、Scrollとの提携を発表していた。

v1～v3はVPNサービス「Firefox Private Network」に関するもので、月額料金が異なる(4.99ドル/9.99ドル/12.99ドル)以外は同じ内容だ。v1～v4いずれもサインアップ用のリンクが用意されているが、クリックすると提供はまだ始まっていないと表示され、アンケートページと電子メールアドレス入力ページへ誘導される。ただし、アンケート回答と電子メールアドレス入力のいずれも必須ではない。v1～v3では電子メールアドレスを入力すれば3か月以内に通知すると表示されるが、v4では電子メールアドレス入力ページの代わりにScrollのWebサイトでサインアップ可能だと表示される。

なお、Mozillaのブログ記事等では特に言及されている様子はなく、これらのページが正式に公開されているものかどうかも不明だ。

あるAnonymous Coward 曰く、

英ISP業界団体ISPA UKは2日、2019年版「インターネットの英雄 (ISPA Internet Hero)」「インターネットの悪漢 (ISPA Internet Villain)」の最終候補各3組を発表した(ニュースリリース)。

「英雄」候補はティム・バーナーズ・リー氏、thinkbroadband編集者のアンドリュー・ファーガソン氏、デジタル・文化・メディア・スポーツ省のオスカー・タップ・スコッティング氏とポール・ブレイカー氏。「悪漢」候補がMozilla、EUの改正著作権指令第13条(最終案では第17条)、ドナルド・トランプ米大統領となっている。

Mozillaのノミネート理由は英国のフィルタリング義務とペアレンタルコントロールを迂回するようなやり方でDNS-over-HTTPS(DoH)を提案・導入し、インターネットの安全基準にダメージを与えているというものだ。

これについてMozillaはISPの業界団体がインターネットを改善する仕組みに対して誤った情報を伝えようとしていることに驚き、落胆したと反論、DNSのプライバシー向上はコンテンツフィルターやペアレンタルコントロールの使用を妨げず、DoHは英市民にセキュリティ面で利益をもたらすと述べたとのこと。ちなみに、英国では年齢認証システムによるオンラインポルノへのアクセス制御が7月15日から義務付けられる予定だったが、欧州委員会の承認が得られていなかったとして6か月間の延期が発表されている。

英雄と悪漢の最終選考結果は7月11日開催のISPA Awardsで発表される。

D-Link Systemsが同社のIPカメラやルーターのセキュリティ欠陥により消費者を危険にさらしたとして米連邦通信委員会(FTC)が訴えていた裁判で2日、両者が和解に達したことが発表された(FTCのプレスリリース、 D-Linkの発表、 Ars Technicaの記事、 The Registerの記事)。

FTCはD-Linkが高度なセキュリティを売りにする一方、IPカメラに推測可能な認証情報をハードコードするなど、既知かつ容易に防止可能なセキュリティ上の欠陥を放置していたとして2017年にD-Linkを提訴していた。和解条件としてはD-Linkが20年間にわたって広範なソフトウェアセキュリティ改善プログラムを実施し、同社上級管理職による証明書を年に1回FTCへ提出すること、第三者によるプログラムの評価報告書を2年に1回、10年間にわたってFTCへ提出することなどが盛り込まれている。

ただし、和解によりD-Link側がFTCの主張する違法行為を認めるわけではないとの前提があり、D-Linkでは違法行為に対する同社の責任や、不正なマーケティングは裁判で認定されなかったなどと和解内容を歓迎している。

kmc55曰く、

セブン＆アイ・ホールディングス傘下のセブン・ペイが7月1日より開始したバーコード決済サービス「7pay」で不正利用報告が相次いでいる（Togetterまとめ、Engadget日本版）。

報告されているのは、登録したクレジットカードで勝手にチャージが行われたり、身に覚えのない利用が行われたといったもの。

Engadget日本版の続報やYahoo!ニュースなどで問題点が指摘されているが、セブンアプリからアカウントを作った人は生年月日とメールアドレスの2つさえ合っていれば乗っ取りが可能な模様。

また、パスワードを忘れた場合のフォームに「送付先メールアドレス」がID（メアド）と別に設定可能であり、パスワード再設定が行われても気が付かない仕様のようだ。その後送付先メールアドレスの入力欄は削除されたが、CSSで非表示に設定しているだけであり、CSSを操作することで第三者のメールアドレスに送付することができたという（ITmedia）。

セブン＆アイ・ホールディングスは7月4日に会見を行い、対応として当面の間7payのすべてのチャージ機能および新規登録を停止する方針を示した。ただし新規登録については「近日中の停止」になるという（Business Insider JAPAN）。また、被害額をセブン＆アイ・ホールディングス側が補償することも発表された。

Anonymous Coward曰く、

中国・新疆ウイグル自治区ではウイグル系市民への弾圧や人権侵害が起きていることが伝えられているが、国境を越えて同自治区に入国する旅行者に対し、中国政府がスパイウェアをインストールしていると英ガーディアン紙などが報じている（ガーディアン、MOTHERBOARD、CNET Japan、Slashdot、Gigazine）。

報道によると、検問所ではスマートフォンをロックを解除して渡すように命じられ、返却されたスマホには「蜂采」と呼ばれるスパイウェアがインストールされていたということ。解析の結果、このアプリはカレンダー・通話履歴・連絡先・テキストメッセージ・デバイス情報などを収集するほか、アルカイダやダライ・ラマ14世、果てにはメタルバンドの音楽まで検出しようとしていたという。GitHubには旅行者が持ち帰った蜂采のコピーがアップロードされている。

なお蜂采のインストールが確認されたのはAndroidのみで、iPhoneの場合はロックを解除して渡すように命じられたのち、謎の装置にUSB接続されるとのこと。こちらは何が行われているのかいまだ不明のようだ。

headless曰く、

米上院は6月27日、非デジタルの「レトロ」な技術でエネルギー網へのサイバー攻撃を防ぐという超党派の法案「Securing Energy Infrastructure Act」を可決したそうだ（アンガス・キング上院議員のプレスリリース、S.174、Computingの記事）。

法案ではエネルギー長官に対し、施行後180日以内に国立研究所でコントロールシステム実装に関する2年間のパイロットプログラムを開始するべきだと定めている。パイロットプログラムでは対象となるエネルギー産業の自主参加により、新たな区分のセキュリティ脆弱性を特定すること、アナログおよび非デジタルコントロールシステムや、専用コントロールシステム、物理的な制御を含め、エネルギー産業のコントロールシステムを隔離してサイバー攻撃を防ぐ技術を検討すること、という2点が盛り込まれている。

上院の法案情報では提案したところまでしか記録されていないが、提案者のアンガス・キング上院議員（無所属）は6月28日付のプレスリリースで「上院が法案を昨日可決した」と記している。キング上院議員は2016年にも同名の法案を今回とほぼ同じ顔ぶれの共同提案者とともに提出したが成立には至らず、今年1月に条文の一部を変更して再提案していた。今回は下院でも同じ内容の法案が超党派で1月に提出されている。

東京都が税金未納者に対し、SMSを使った督促を行うことを発表した（J-CASTニュース）。

今までは電話や訪問を行って督促を行っていたが、新たにSMSも活用するという方針だそうだ。これに対し、詐欺に使われる可能性もあるとの指摘が出ている。いっぽう東京都側は、なりすましは絶対にない、「やる、やらないにかかわらず詐欺は発生している」などと主張しているようだ。

セキュリティソフトウェアなどを手がけるKasperskyが世界14か国・7000人を対象に調査を行ったところ、33％（日本では34％）の回答者が、退職した職場の共有ファイルや共同作業向けサービス、メールに退職後もアクセスできると答えたそうだ（Kasperskyの発表、Security NEXT）。

プロジェクトや会社に所属している人が抜けるたびにファイル共有や共同作業向けサービスのアクセス権を削除すると回答したのは37％（日本は22％）、定期的にアクセス権を確認・変更していると回答したのは43％（日本は30％）だという。

そのほか、37％（日本は14％）の回答者が社内の機密情報（同僚の給与・ボーナスや口座情報、パスワードなど）を偶然こういったシステム上で見たことがあると答えたという。

情報通信研究機構（NICT）がポートスキャンによる脆弱性調査（NOTICE）を行うことが以前報じられていたが、このポートスキャン実施状況が公表された（総務省の発表）

これによると、調査対象IPアドレス約9000万件のうちID・パスワードが入力可能だったものは約3万1000～4万2000件で、うち147件は容易に推測されるID・パスワードでのログインが可能だったという。

NICTはマルウェアに感染しているIoT機器の特定およびその情報のISPへの通知も行っているが、こちらについては1日あたり112～155件が対象になったという。

東京ディズニーランドや東京ディズニーシー（東京ディズニーリゾート）では、スタッフやアトラクション内のカメラで撮影された写真をオンラインで閲覧・購入できるシステム（オンラインフォト）を提供している。このシステムへのログインには施設内で配布される16桁のアクセスナンバーが記載された「フォトキーカード」が必要となるが、このフォトキーカードに記載されたアクセスナンバーが重複するというトラブルが発生した。その結果、同一のアクセスナンバーが割り当てられた別の顧客の写真を閲覧できる状態になっていたという。（オリエンタルランドの発表、ITmedia）。

フォトキーカードの印刷を請け負っている会社がアクセスナンバーの管理を誤り、一度使用したアクセスナンバーを再度印刷してしまったのが原因とのこと。このトラブルの影響で、一部のフォトキーカードに記載されたアクセスナンバーが無効にされているとのことで、オリエンタルランドは問い合わせ用のサイトへのリンクを同サービストップページで案内している。

Anonymous Coward曰く、

インドはFacebookのチャットアプリ「WhatsApp」がもっとも普及している国だ。そんな中、インド政府は公務員用に専用チャットアプリの構築を検討しているという。背景には外国企業への依存を減らしたいという思惑があるとされる（TechCrunch、Slashdot）。

きっかけは米国がHuaweiに対して行った一連の規制だという。WhatsAppはインド国内では必要不可欠なサービスになっているが、このままFacebookに依存していると、何かあったときにHuaweiのように規制を受け、国内のコミュニケーションに大きな影響を受ける可能性があるとインド政府は考えているようだ。

トランプ政権は中国以外の国に対しても貿易的な圧力を掛けており、インドのその一つ。トランプ政権は5日、インドの保護主義政策を批判して一般特恵関税制度（GSP）を撤廃した（日経新聞）。これを受けてインド政府も米国からの輸入品に対する関税を引き上げている。これもインド政府がFacebook依存を不安視する材料となっている。

フランス政府は今年の4月、公務員専用チャットアプリ「Tchap」を立ち上げている（ITmedia）。インドはこのフランスの政策を参考にしている可能性がある。

Anonymous Coward曰く、

広告配信技術などを手がけるオメガがリリースしている広告配信技術を搭載したスマートフォン向けソフトウェアキーボード（キーボードSDK）を使ったアプリで、ユーザーが入力したキーワードが同社のサーバーに無断で送信されていることが確認されたという（@rioriostのモーメント、Guestのnote）。

オメガ社によると、このキーボードSDKは背景などをカスタマイズできるソフトウェアキーボードを作成するためのSDKで、「オメガ株式会社独自の広告配信技術が搭載されている」という。これによってアプリ作成者は広告配信による利益を得ることが可能。同社は独自に取得したデータを活用した広告配信を行っているとアピールしていた（TechCrunch）。

発端はオメガのキーボードSDK営業資料がリークされたことで、「競合他社含む全てのアプリ上で起動」「入力・使用アプリ情報を収集・分析可能」との謳い文句から、事実上のキーロガーではないかとの疑惑が持ち上がり、検証が進められていた。

ソースによると、このキーボードライブラリは入力されたキーそのものではなく特定のキーワードと対象のアプリ情報を送信していたようだ。特定のキーワードには数字や英単語が多数含まれているため、結果的にパスワード、クレジットカード番号などの個人情報が収集され得る状態にあったという。

情報の無断送信が行われていたとされているのは、「ANYTYPE」や「moppyキーボード」、「USAVITCHキーボード」、「瞬間日記」、「PUSH!」、「PicoSweet」。これらのアプリでは入力内容（パスワード、クレジットカード番号などの個人情報）の収集は一切行わないとの宣言がされていた。

Medtronicのインスリンポンプで近距離から認証なく無線アクセス可能な脆弱性(CVE-2019-10964)が見つかり、米国ではリコールが行われている(Medtronicのお知らせ、 ICSMA-19-178-01、 The Registerの記事、 SlashGearの記事)。

対象となるMiniMed 508およびMiniMed Paradigmでは無線を使用して血糖値モニターなどに接続する機能が搭載されているが、適切な認証の仕組みが実装されていない。攻撃者は脆弱性を悪用することで、近距離から無線アクセスして設定変更やインスリン投与の制御が可能になる。インスリンが過剰に投与されれば低血糖症、インスリン投与量が不足すれば高血糖症や糖尿病性ケトアシドーシスを引き起こす可能性がある。

米国内で利用する患者および医療関係者に対しては脆弱性のない製品への交換が呼びかけられており、米国外の利用者に対しては各国・地域に合わせた手順を含む通知が送られるとのこと。一部の機種では特定のソフトウェアバージョンにのみ脆弱性が存在するものの、ソフトウェア更新では対応できないようだ。

このほか、すべての利用者に対し、インスリンポンプ及び接続した機器を常に制御下に置くこと、シリアル番号を他人に知らせないこと、ポンプからの通知や警告に注意を払うこと、意図しない投与はすぐキャンセルすること、などの対策が推奨されている。

FireEyeの2019年第1四半期分Email Threat Reportによると、信頼されるクラウドストレージ・ファイル共有サービスを攻撃用ファイルの保存先として利用し、リンクを電子メールに記載する攻撃が急増したそうだ(プレスリリース、 On MSFTの記事、 Bleeping Computerの記事)。

攻撃者はユーザー数が多く信頼されるファイル共有サービスを選択することで、セキュリティソフトウェアによるドメインの信頼性チェックを通過できる。サービスによってはファイルのプレビュー機能を提供するものもあり、攻撃を効率化するだけでなく検出を困難にしているとのこと。このような攻撃で最も多く使われているのはDropboxだが、OneDriveが2018年第4四半期比で数十倍に急増。その結果、WeTransferやGoogle Driveを上回り、Dropboxに次いで攻撃用に使われるサービスとなっている。

Anonymous Coward曰く、

世界各国のIT企業や政府に対しサイバー攻撃を行っていた中国政府の支援を受けたサイバー犯罪集団「APT10」が、富士通やNTTデータに対しても攻撃を行っていたとロイターが報じている（英語版Reutersの詳細記事、ウォール・ストリート・ジャーナル、CNET Japan）。

APT10に対しては昨年末に外務省などが警戒を呼びかけていたが（日経xTECH、ZDNet Japan）、FIREEYEによると米国、ヨーロッパ、日本の建設/エンジニアリング、航空宇宙、通信業界の企業と官公庁が攻撃対象と見られている。

ロイターによると、昨年12月時点で米ヒューレット・パッカード・エンタープライズが攻撃に遭っていたことが判明。その後、今回、富士通やNTTデータ、印タタ・コンサルタンシー・サービシズ、南アのディメンションデータ、米コンピュータ・サイエンス・コーポレーション、DXCテクノロジーにも不正侵入が行われたという。