英国夏時間19日深夜、ロンドン警視庁のWebサイトや公式Twitterアカウントにいたずらとみられる偽のプレスリリースなどが複数投稿された。また、ロンドン警視庁の電子メールアドレスから偽のプレスリリース公開を知らせる電子メールも送信されたという(ロンドン警視庁のプレスリリース、 Metro Newsの記事、 London Evening Standardの記事、 The Next Webの記事)。

当時のプレスリリースやツイートの一部はInternet Archiveにスナップショットが残されているが、偽のプレスリリースは本文がないか、見出しと同じ内容が記載されているだけのものが大半だ。適当にキーを押しただけのようなものもある。

これについてロンドン警視庁では、プレスリリースなどの発行に使用しているオンラインプロバイダーMyNewsDeskのアカウントでセキュリティ上の問題が発生したとみているそうだ。MyNewsDeskを通じて記事を発行するとロンドン警視庁のWebサイトとTwitterアカウントに表示され、電子メールが自動で生成されて送られる仕組みになっている。そのため、ロンドン警視庁のITインフラストラクチャーが「ハック」されたわけではないとのこと。

ロンドン警視庁は問題の発生を謝罪し、今後はMyNewsDeskへのアクセス手配を見直すと述べている。

Financial Timesの記事によると、イスラエルのスパイウェア企業NSO Groupが同社のスマートフォン用スパイウェア「Pegasus」で端末内だけでなくクラウド上のデータも取得可能になったと顧客に説明しているそうだ(9to5Macの記事、 Softpediaの記事、 Mac Rumorsの記事)。

PegasusはNSO Groupのフラッグシップ製品で、ターゲットのスマートフォンからデータを収集するため、各国政府や諜報機関が何年にもわたって愛用しているという。5月にWhatsAppの脆弱性が公表された際、NSO Groupがスパイウェアをインストールするコードを作成したとFinancial Timesが報じていたが、そのスパイウェアがPegasusだった。

クラウド上のデータにアクセスする仕組みとしては、ターゲットのスマートフォンにインストールされたPegasusがiCloudやGoogle Driveなどの認証キーをコピーしてPegasusのサーバーへ送信する。これを使用することで、サーバー側では二要素認証の要求や警告メールの送信が行われることなく、クラウド上のデータを収集できるとのこと。

これについてAmazonやGoogleはユーザーのアカウントが不正にアクセスされた形跡はないと述べており、Microsoftは同社のテクノロジーが最良の保護を提供できるよう常に進化しているとし、デバイスを健康な(最新の)状態に保つようユーザーに促したという。一方、Appleは同社のOSは世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないとFinancial Timesに回答したとのことだ。

Slackは18日、2015年3月に発生したセキュリティインシデントに関連して新たな情報が得られたとして、全アカウントの約1％でパスワードをリセットすることを発表した(The Official Slack Blogの記事、 HackReadの記事、 The Registerの記事、 ZDNetの記事)。

2015年3月のインシデントは、ハッシュされたパスワードを含むSlackユーザーの情報を格納したデータベースが不正にアクセスされ、攻撃者はSlackのWebサイトでログインする際に入力したパスワードを平文で取得するコードを挿入(当時の発表には記載なし)していたというものだ。

今回、報奨金プログラムを通じてSlackの認証情報侵害の可能性が指摘されたが、当初はマルウェア攻撃やパスワードの再利用によるものだと考えられていた。しかし調査を進めた結果、侵害された認証情報の多くが2015年のインシデント発生中にSlackにログインしたアカウントのものだと判明したという。

パスワードリセットの対象となるのは、2015年3月以前に作成されたアカウントであり、それ以来パスワードを変更しておらず、シングルサインオンの使用が必須になっていないアカウントとのこと。ただし、1%といってもSlackのユーザー数は1,000万人にのぼることから、10万人程度が影響を受けるとみられている。

KLMオランダ航空インド支社の公式Twitterアカウント(@KLMIndia)が旅客機の座席の位置による(事故時の)死亡率をトリビアとして投稿し、その後投稿を削除して謝罪した(The Washington Postの記事、 USA TODAYの記事、 The Vergeの記事、 ANI Newsの記事)。

内容としては、Timeの調査によると旅客機の中ほどの座席の死亡率が最も高く、前方の座席がそれよりもやや低いとし、後方3分の1が最も低いというもの。投稿にはハッシュタグ「#Facts」が付けられており、雲の上に浮かぶ座席の上に「Seats at the back of a plane are the safest! (飛行機の後ろの座席が最も安全!)」と書かれた画像が添付されている。

しかし、投稿に対する疑問や批判が相次ぎ、KLM Indiaはおよそ12時間後に投稿を削除。投稿の内容は公表されている事実であり、KLMの意見ではないとしつつ、投稿したこと自体を謝罪している。

これについて米連邦航空局(FAA)のLynn Lunsford氏はThe Washington Postに対し、座席の位置による死亡リスクは事故の状況によって異なるうえ、事故そのものが少ないことから単純な答えは出せないと述べている。また、FAAのGreg Martin氏は、2009年2月以降死亡事故の発生していない米航空会社の座席ならどの場所でも最も安全だと述べたとのことだ。

headless曰く、

バトルロイヤルゲーム「Apex Legends」ではチート対策の一つとして、検出したチーターやスパマー同士をマッチメイキングしているそうだ（Redditのスレッド、The Next Web、PC Gamer）。

このチート対策は、開発元Respawn Entertainmentのコミュニティーマネージャー、Jay Frechette氏（jayfresh_Respawn）がRedditで更新情報とともに明らかにしたものだ。このほかのチート対策としては、機械学習によりチーターを検出・自動ブロックする行動モデルの開発、特定の地域でリスクの高いアカウントに対する二要素認証の必須化、新しいスパムアカウントを使われる前に特定・ブロックする機能の強化、新しいチートへの対応、パーティーがどのように組まれているかの調査（チーターとパーティーを組んだ場合はチートしていなくてもチーターとみなす）、といったものが挙げられている。Frechette氏はこれまでにもチート対策の状況を報告しているが、具体的な対策を紹介するのは今回が初めてのようだ。

Anonymous Coward曰く、

ソフトバンク傘下の米携帯電話事業者Sprintが、サイバー攻撃を受けて顧客情報を漏洩したことを発表した（ZDNet、The Verge、CNET）。

流出した可能性があるのは顧客の氏名、請求先住所、電話番号、デバイスタイプ、デバイスID、毎月の定期請求額、加入者ID、アカウント番号、アカウント作成日など。漏洩した件数は不明のようだ。この攻撃は、6月22日にSamsungのWebサイトにある新規回線契約ページを経由して行われたという。

事件の3日後の6月25日、同社はハッキングの疑いのあるユーザーのPINコードをリセットし暫定的な対処を行った。今回の攻撃によってアクセスされた情報は「詐欺や個人情報の盗難の重大なリスク」をもたらすものではなかったとも説明している。

taraiok曰く、

FBIはSNSからこれまで以上に情報を収集したいと考えており、そのためにテロリストグループ、国内の脅威、犯罪活動などを監視するのを助ける「早期警戒ツール」の開発を求めているそうだ（Engadget、Slashdot）。

FBIの提出した新たな「提案依頼書（RFP）」によると、FBIはターゲットとなる人物のソーシャルメディアアカウントについて、ユーザーIDやメールアドレス、IPアドレス、電話番号といったすべての個人情報にアクセスできるようなツールを求めているという。さらに、場所を指定しての人物の追跡や指定したキーワードに帯する監視、ソーシャルメディア履歴へのアクセスなども求めているそうだ。

FBIがすべてのプライバシーと市民の自由を遵守すると主張しても、移民に対するSNS監視などの問題がある以上、信じ切れないのも事実だろう。また、トランプ政権では当局が社会保障障害受給者のSNSアカウントを詮索することを許可することも提案している。

ソーシャルメディア上の脅威を監視すること自体は意義がある。しかし、このようなツール権力のある人々によって悪用されれば、市民の自由が侵害される可能性も高まる。

Anonymous Coward曰く、

プログラマー兼エンジニアのDavid Fifield氏が、たった10MBのサイズにも関わらず、展開すると281TBにまで爆発する新しいタイプの「ZIP爆弾」を発表した。

ZIP爆弾は、そのファイル自体は小さいにもかかわらず、展開すると巨大なファイルになるように細工をしたZIPファイルの俗称。小さなファイルを巨大なファイルとして展開させることによりPCのCPU、メモリ、ディスク容量といったリソースを奪うことができる。

通常のZIP爆弾は内側のZIPファイルの中にさらにZIPファイルを作るという再帰的手法で作られているが、それゆえに多くのアンチウイルスソフトで対策されている。Fifield氏が考案した「非再帰的ZIP爆弾」は、再帰のない単一層でより密集したファイルを作成できるのが特徴。

展開後のファイルサイズこそ高効率で作られた再帰的ZIP爆弾にかなわないものの、それでも展開後のサイズを2800万倍に膨らませることができるという。さらに、ZIP64形式を用いることで46MBのファイルを9800万倍の4.5PBにすることも可能だとしている（Vice、GIGAZINE、Slashdot）。

米自治体のランサムウェア被害がたびたび報じられる中、米国市長会議はランサムウェア攻撃者への身代金支払に反対する決議を第87回年次総会で採択した(The Vergeの記事、 SC Mediaの記事)。

決議によれば2013年以降、少なくとも170の市・郡・州政府がランサムウェア攻撃を受けており、2019年だけでも既に22件のランサムウェア攻撃が発生しているという。ランサムウェア攻撃は数百万ドルの被害を生み、システムやファイルの復旧には数か月を要する一方、攻撃者に身代金を支払えば地方政府への攻撃継続を助長することになる。身代金支払いを拒否することで攻撃者の動機を失わせ、被害の拡大を防ぐのが決議の目的とのことだ。

財務省が日銀や金融庁とともに、Facebookなどが計画する暗号通貨「Libra」に関する連絡会を設置したそうだ(Reutersの記事、 日本経済新聞の記事、 時事ドットコムの記事)。

Reutersによると連絡会は先週から会合を行っており、規制や金融政策、税などへのLibraの影響に取り組むため、政策の調整を目指すという。17日から開催されるG7財務相・中央銀行総裁会議では議長国のフランスが、資金洗浄から消費者保護まで、Libraのようなデジタル通貨をどのように規制していくかを検討するタスクフォースを立ち上げる計画を明らかにしている。

日経新聞が、スマートフォン向けのセブン-イレブンアプリに脆弱性があると報じている。この脆弱性は第三者がFacebookやLINEなどの外部IDで不正にログインできるというものだという。

日経新聞の報道後、セブン＆アイ・ホールディングスは外部IDでのログインをできないようにしたことを発表した（共同通信）。発表では脆弱性があったかどうかには触れられておらず、「セキュリティ強化に向けた総点検の一環」とのみ書かれている。

なお、セブン-イレブンアプリでのトラブルを受けて、「セブン-イレブンアプリ」やそれを想起させる呼称を使って氏名や生年月日などを不正に入手しようとする不審な電話も報告されているという（セブン＆アイ・ホールディングスの発表）。

headless曰く、

CanonicalのGitHub organization（組織アカウント）が6日に不正アクセスを受け、空のリポジトリを作成されるなどの被害にあったそうだ（The Next Web、iTNews、Ubuntu Securityのツイート）。

Internet Archiveのスナップショットによると、作成されたリポジトリは「CAN_GOT_HAXXD」および「CAN_GOT_HAXXD_1」～「CAN_GOT_HAXXD_10」という名前の計11個。Canonicalは不正アクセスに使われたユーザーのアカウントを削除し、調査を進めているが、ソースコードや個人を特定可能な情報が影響を受けた形跡はないと説明している。また、Ubuntuディストリビューションのビルドと維持に使用するLaunchpadインフラストラクチャーはGitHubから切り離されており、こちらも影響を受けた形跡はないとのことだ。

スマートフォン向け決済アプリ「PayPay」では、ユーザー間でアプリ内のPayPay残高をやり取りできる機能を使ったキャンペーンが展開されているが（PayPayの発表）、これを悪用して残高を持ち逃げする行為が発生しているという（ITmedia）。

このキャンペーンはPayPayを送ったユーザーと受け取ったユーザーの両方に対し、抽選でボーナスポイントが付与されるというもの。1人あたり最大5,000円相当のPayPayを獲得できる可能性があるとされるが、これを悪用し、「送られたPayPayと同額のPayPayを送り返す」と約束しながら実際には送り返さずに受け取ったPayPayを持ち逃げする行為が発生しているという

Twitterなどで面識の無い相手からPayPayの送金を依頼され、それに応じてしまいトラブルが発生する、といったことが発生しているようだ。

富山県砺波市が、イノシシなどの侵入を防ぐための溝とふたを導入した（北日本新聞社、北国新聞、チューリップテレビ）。

幅5メートルのU字溝を3つ並べ、その上を蜂の巣のような網目を持つふたで覆うというもの。動物がこの上を通ろうとすると、動物のひづめがこの網目にはまることになり、これによって動物の侵入を防ぐという。合わせて道沿いには電気柵も設置されているという。

同市般若地区ではイノシシによる農作物への被害が発生しており、その対策としてこの仕組みが導入されたそうだ。設置費用は約200万円とのこと。このような溝を使った動物の侵入防止装置は「テキサスゲート」などと呼ばれている。

headless曰く、

ESETのLukas Stefanko氏によると、4月にGoogle Playから削除された人気ファイルマネージャーアプリ「ES File Explorer」の偽物がGoogle Playに登場していたそうだ（Stefanko氏のツイート、Softpedia）。

偽物は広告を表示するためだけのアプリで、ファイルマネージャーとしては機能しないという。インストールすると本物らしく見せるためかユーザー登録画面を表示する一方で、登録フォームへの入力中にもフルスクリーンの広告を次々に表示するそうだ。少なくとも10日以上は気付かれずに公開されていたとみられ、1万回以上ダウンロードされている。ただし、Stefanko氏が最初にTwitterで指摘してから数時間のうちに削除されたようだ。