サンタンデール銀行が英国の成人を対象に実施したWi-Fiに関する調査によると、52%が暗号化されていないWi-Fiネットワークのセキュリティを懸念する一方で、14%がWi-Fiを無料で拝借しているそうだ(ニュースリリース、 BetaNewsの記事)。

調査は5月から6月にマーケットリサーチ企業Opiniumを通じてオンラインで実施されたもので、英成人の構成比を反映した2,005人が回答したとのこと。英成人の14%は約719万人に相当する。

許可の有無にかかわらず隣人のWi-Fiを拝借している回答者は5%、18歳～34歳では14%にのぼる。また、無料Wi-Fiを提供するカフェやショップに行き、何か注文したり購入したりせずにWi-Fiだけを使う人も5%(18歳～34歳では11%)、3%は初めて見るオープンWi-Fiでも利用するという。

空港や店舗などで提供されるWi-Fiのセキュリティを懸念する52%(ロンドン限定では60%)のうち、17%はソーシャルメディアのチェックやクーポンのダウンロードに必要なら利用すると回答し、19%は仕事でも利用していると回答。さらに、オンラインバンキングなどで暗号化されていないWi-Fiを使用するとの回答も26%(18歳～34歳では49%)にのぼったとのこと。

英国ではこの10年間で携帯電話やブロードバンドへの支払額が24%増加しているそうだ。月間のデータ上限を超えて利用する人は30%、6%はデータ上限を毎月超えるという。そのため毎月の通信料金は、セキュリティを上回る懸念事項になっているようだ。

Windows 10の未公開ビルドやツール、コア部分のソースコードがオンラインに流出したとThe RegisterのChris Williams氏が主張している(The Registerの記事、 The Regisiterのツイート、 The Vergeの記事、 Ars Technicaの記事、 BetaArchiveの声明)。

この件について osdn 曰く、

流出していたのは Shared Source Kit で、ごく一部の開発者にライセンスされているものです。ドライバなど低レベル(つまり高位な権限)で動作する部分のコードも含まれるため、一般には参照できません。データがアップロードされていた BetaArchive からは既に削除されていますが、内部のコードがあればゼロデイ攻撃などが容易になりかねません。実際に2004年の流出は脆弱性の発見に繋がりました。

Williams氏は流出したデータが合計32TBにおよび、圧縮後のサイズが8TBだと述べている。ただし、証拠として示されているのはBetaArchiveのフォーラムに掲載されたリストのスクリーンショットのみだ。サイズの根拠も示されていないが、数字から見て3月24日にBetaArchiveで大量に公開されたWindows 10/Server 2016のベータビルドのことだと思われる。フォーラムでリストアップされているビルドの3分の2弱が未公開ビルドのようだが、あとはWindows Insider 10 Previewとして提供されたビルドだ。アップロード者は数多くのWindows InsiderビルドをMicrosoftから直接ダウンロードしたと述べている。未公開とみられるビルドは既に試用期限の切れた古いものが多く、Redstone 2(Creators Update)ビルドはすべてInsider Previewで提供されたビルドとなっている。

ソースコードが含まれるというShared Source Kitだが、Williams氏は実際に内容を確認していないとみられ、内容の説明も伝聞となっている。Williams氏への情報提供者についても、BetaArchiveで公開されていたファイルの内容を説明したのか、Shared Source Kit一般の話をしたのかは不明だ。なお、MicrosoftはShared Source Initiativeで提供しているソースコードの一部が含まれることを確認したと述べているそうだ。

一方、BetaArchiveではShared Source Kitフォルダーに含まれていたファイルは各100MBのリリースが12件、合計1.2GBであり、コアソースコードとしては小さすぎると述べている。また、3月24日付で大量に公開された未公開ビルドなどはフォーラムメンバーやWindows Insider Programメンバー、Microsoft Connectメンバーなどさまざまなソースから提供を受けたものだという。これらのファイルは公開しても問題ないと考えているが、Microsoftから要請があれば公開を中止するとも述べている。Shared Source Kitについては自主的に削除したもので、Microsoftから削除要請があったわけではないとのことだ。

国際線旅客機では100mlを超える液体やジェルなどの機内持ち込みが禁じられているが、イタリア・ジェノバでは地元の有名なイタリアンソース「ペスト」に限り、100mlを超えても持ち込み可能になったそうだ(空港のニュース記事、 The Registerの記事、 Consumeristの記事、 Flying Angelsのニュース記事)。

ペストはオリーブオイルとバジル、松の実、ニンニク、チーズ(パルミジャーノとペコリーノ)をすりつぶしたジェノバ特産のソース。クリストフォロコロンボ国際空港(ジェノバ-セストリ空港)では、観光客が滞在中に購入したペストを機内持込手荷物に入れ、保安検査で没収されることが多いという。

このことから着想された「Il pesto è buono(ペストはおいしい)」キャンペーンでは、慈善団体「Flying Angels」に50ユーロセント以上寄付することで500gまでのペストを機内に持ち込むことが可能になる。ペストを持ち込むには寄付時に渡されるステッカーをボトルに貼り、専用のX線検査装置を通せばいい。

6月1日から開始されたキャンペーンでは、20日で500ユーロ以上の寄付が集まり、500本以上のペストが機内持ち込み手荷物として運ばれたとのことだ。

Windows 10のセキュリティ機能とサードパーティー製アンチウイルス(AV)ソフトウェアの関係について、MicrosoftのRob Lefferts氏が解説している(Windows Securityブログの記事、 The Vergeの記事、 On MSFTの記事、 Neowinの記事)。

Kaspersky LabはWindows 10におけるセキュリティソフトウェアの扱いで反競争行為が行われていると主張し、ロシアや欧州の独占禁止当局に訴えている。記事ではKaspersky Labを名指ししてはいないが、同社の主張に答える内容となっている。

MicrosoftではすべてのWindows 10デバイスを常時保護された状態に保つためにWindows DefenderのAV機能を作ったが、Microsoft Virus Initiative(MVI)によるAVベンダーとの協力も怠っていないという。AVパートナーにはWindows Insider Programなどを通じて初期のビルドを提供しており、MVIプログラムを通じて情報を提供している。その結果、Windows 10 Creators Updateのリリース時にはほぼすべてのAVソフトが完全な互換性を実現。Windows 10 PCにインストールされたAVソフトのおよそ95%がWindows 10 Creators Updateと互換性があったとのこと。

更新が必要なバージョンを使用している場合、Windows 10のアップデート完了後に最新版をインストールするようユーザーに知らせる機能もAVソフト専用に作られているという。Windowsのアップデート時に互換性のないバージョンのAVソフトが無効化されるのはこのためであり、互換性や最新版の入手方法などの情報はAVパートナーの協力により実現しているそうだ。

MicrosoftはユーザーによるAVソフトの選択を尊重しており、サードパーティーのAVソフトがWindows 10を保護している限り、Windows Defenderに切り替えられることはないという。Windows Defenderの定期スキャン機能もユーザーが指定しない限り動作することはない。また、AVパートナーとの協力関係は今後も重視していくとのことだ。

ymasa 曰く、

メルカリのWebブラウザ向けサービスで、CDN（コンテンツデリバリネットワーク）サービス切り替えの際の設定不備によって54,180名の個人情報が流出したことをメルカリが発表した（INTERNET Watch）。

iOS/Androidアプリ版のメルカリは対象外という。流出したのは名前・住所・メールアドレス・電話番号、銀行口座、クレジットカードの下4桁や履歴・設定情報など。6月22日9時14分にWeb版メルカリのパフォーマンス改善のためキャッシュサーバーに切り替えを行ったとき、個人情報が他者から閲覧できる状態になっていたという。

時系列としては14時41分の発覚後15時5分に従来の設定に変更、15時16分メンテナンス状態にして15時36分キャッシュサーバーへのアクセスを遮断・問題解消。15時47分にメンテナンスモード終了、となっている。現在は対応を完了しているという。

また、問題の技術的な詳細も公開されている。これによると、メルカリでは個人情報などを扱うページについても、キャッシュを保持しない設定でCDN経由でのアクセスを行う仕様にしていたという。しかし、CDNの切り替えの際、切り替え前のCDNと切り替え後のCDNの仕様が異なっていたため、「キャッシュを保持しない設定」が無効になり、個人情報に関するページがキャッシュされ、本来表示されるべきではない人に対しそれが表示されてしまったという。

headless曰く、

Microsoftは今秋提供予定のWindows 10の大型アップデート「Fall Creators Update」で、SMBv1の無効化を計画しているそうだ（Bleeping Computer、BetaNews）。

既にWindows 10 EnterpriseとWindows Server 2016の内部ビルドではSMBv1が無効化されているとのことだが、MicrosoftのNed Pyle氏によればSMBv1を無効化したビルドがInsider Program参加者へ提供されるのはもう少し先のことになるようだ。計画は初期の検討段階であり、詳細は明らかになっていないが、SMBv1が無効化されるのはFall Creators Updateをクリーンインストールした場合のみで、アップグレードで既存の設定が変更されることはないとのこと。

SMBv1は5月に発生したWannaCryptの感染拡大により、セキュリティの面で注目を集めたが、Microsoftでは5年前からSMBv1の廃止を検討していたという。2014年には期限を示さずに計画を公表しており、Pyle氏は昨年からSMBv1の使用中止を呼び掛けていた。SMBv1無効化の最大の理由はセキュリティだが、既に無効化しても問題ない時期に来ているということもあるようだ。SMBv2はWindows Vista/Server 2008以降で利用できるようになっており、Windows Server 2008が現在サポートされる最も古いWindows OSとなっている。

あるAnonymous Coward 曰く、

ソフトバンク・孫正義社長が、株主総会での「訪日外国人向けの無料Wi-Fi充実を」との質問に対し、セキュリティの観点から無料Wi-Fiには問題があると回答、代わりに世界の携帯電話事業者とのデータローミングを進めるべきと答えた（ITmedia）。

確かに不特定多数が利用できる無線LANサービスではセキュリティ問題は発生しやすい。日本人からしたら、日本人が使えずに訪日外国人だけが使える無料Wi-Fiの存在は不公平感も感じる。ローミングなら日本の携帯電話事業者に収益が入ることも要因の1つだろうとは思うが。

taraiok曰く、

欧州議会の市民自由委員会（EP委員会）は、電子通信とプライバシーに関する新規則のドラフト案を発表した。このドラフトでは、欧州連合（EU）市民のプライバシー権を保護するため、すべての通信にエンドツーエンドの暗号化を行うことを推奨している。加えて委員会はバックドアの禁止を勧告している。アメリカやイギリスでは、テロ対策の関係で規制を導入したり、暗号化を弱めようとする動きが強まっている。今回の委員会のドラフト案はこうした流れに反対するものとなっている（Tom's Hardware、（試訳） 欧州連合基本権憲章[PDF]、Slashdot）。

欧州連合基本権憲章7条では「何人も、自己の私的および家庭生活、住居ならびに通信の尊重に対する権利を有する」と規定されており、EP委員会は個人間のコミュニケーションにおけるプライバシー保護も権利の重要な部分であると指摘している。また電子通信はほとんどが個人データであり、昨年制定されたEU一般データ保護規則の観点から見ても守るべきものだと主張している。

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された（Red Hat Customer Portal）。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364（Linuxカーネルのstack guard pageの脆弱性）、CVE-2017-1000366（glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性）、CVE-2017-1000367（sudo 1.8.20以前の入力バリデーションの不備）という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。（ITmedia）。

数多くの入口からローカル権限上昇攻撃ができた （あるいは理論上可能な道筋がある） そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

研究者らが5000以上のAndroidアプリを対象に調査を行ったところ、その7割以上が第三者にプライバシに関わる情報を提供していたという（Forbes JAPAN、The Conversation）。また、15％に当たる750のアプリが5つ以上の第三者にデータを送信しており、また25％のアプリが異なるデバイスをまたいで利用履歴を収集していたという。

これは、スマートフォンのプライバシについて研究するThe Haystack Projectによって明かされたもの。同プロジェクトは「Lumen Privacy Monitor」というAndroidスマートフォン向けのトラフィック分析アプリを公開しており、これを使ってアプリが送信するデータを調べている（昨年公開された論文）。

現在では、多くのサードパーティが分析や広告表示のためのライブラリを提供しており、アプリ開発者はこのライブラリを利用することで簡単にユーザーの情報を収集できるという。これら情報は多くの場合そのライブラリ提供者のサーバーに送信されるため、これらに多くのプライバシに関する情報がユーザーの自覚無しに送られている可能性があることが問題視されている。

あるAnonymous Coward 曰く、

日本マクドナルドのシステムにサイバー攻撃が行われ、その影響で国内のマクドナルド店舗でdポイントや楽天スーパーポイント、WAON、iDが利用できない状況になっているという（時事通信、ケータイWatch、日本マクドナルドの発表）。

また、宅配サービス「マックデリバリーサービス」も利用できなくなっているそうだ。ネットワークシステムにマルウェアが感染したとのことだが、詳細は不明。店舗の営業には影響はないとのこと。

先日、Windowsの脆弱性を狙って感染するランサムウェア「WannaCrypt」の流行が報じられたが（過去記事）、米国家安全保障局（NSA）がWannaCryは北朝鮮によるサイバー攻撃であると考えているという（ワシントンポスト、CNET Japan、ハンギョレ、中央日報、Slashdot）。

NSAの分析では、北朝鮮偵察総局が「中間レベルの信憑性（moderate confidence）」でWannaCryに関わっていると見ているという。

WannaCryはNSAが保有していたハッキングツールを北朝鮮と関わりのあるハッカーグループが奪取して制作されたとされる。WannaCryの被害者が支払ったビットコインは合計13万ドル以上相当とのことだが、現金化はされていないともされている。

なおWannaCryについては以前中国が関わっている可能性があるとの報道もあった。

headless曰く、

Microsoftは13日、6月の月例更新に合わせ、Windows XPなどサポートが終了した旧OS用の新たなセキュリティ更新プログラムの提供を開始した（MSRC、サポート技術情報4025687、セキュリティアドバイザリ4025685）。

対象はWindows XP/Vista/8/Server 2003。昨今の国家によるサイバー攻撃やエクスプロイトの公開によって悪用のリスクが高まった脆弱性を修正するため、カスタムサポート契約者に提供しているセキュリティ更新プログラムを一般のユーザーにも拡大するものだという。

今回提供される旧OS用の更新プログラムはWindows Updateでインストールすることはできず、ダウンロードセンターまたはMicrosoft Updateカタログから個別にダウンロードしてインストールする必要がある。ダウンロード方法や対象OSについてはサポート技術情報4025687（古いプラットフォームのためのガイダンス）を参照してほしい。

Microsoftでは5月、WannaCryptの被害拡大を受けて旧OS用の更新プログラムを公開しているが、WannaCryptの問題は5月分ですべて修正済みであり、今回提供される更新プログラムはWannaCryptとは無関係とのこと。

なお、今回の決定は現在の脅威を考慮した結果であり、サポート期間の延長や標準サービスポリシーの変更を意味するものではないことをMicrosoftは強調している。

北朝鮮はさまざまなサイバー攻撃活動を行っているとされているが、そういった攻撃に利用されたボットネットインフラをついて米当局が「HIDDEN COBRA」と命名、注意を呼びかけている（ITmedia、US-CERT）。

HIDDEN COBRAによる攻撃は2009年より行われており、さまざまな組織が攻撃を受けているという。手口としては「サポートが終了したMicrosoftのOS」（つまり古いバージョンのWindowsなど）やFlash Playerの脆弱性などを使用するもので、このインフラをベースとしたDDoSツール「DeltaCharlie」やそのほかさまざまな攻撃も行っているという。

あるAnonymous Coward曰く、

京都府警が、振り込み詐欺などの特殊詐欺グループが利用した電話番号に対し、集中的に電話をかけ続けることでその番号の利用を妨害するシステムを開発したという（NHK）。

ある意味サイバー攻撃なわけだが、まだ法的には犯罪者に対し法執行機関がサイバー攻撃を行うことって許されてないんじゃなかったっけ？