GentooがGitHubで使用している「gentoo」 organization(組織アカウント)が不正アクセスを受け、リポジトリやページの内容を書き換えられる被害にあったそうだ(Gentooのニュース記事、 Gentooメーリングリストの投稿、 BetaNewsの記事、 The Registerの記事)。

不正アクセスが発生したのは6月28日20時20分(UTC)頃。何者かがgentooアカウントの制御を奪い、リポジトリやページの改変を行ったという。ただし、Gentooのコードは自前のインフラでホストしているものがマスターであり、GitHubはミラーとして使用しているだけなので、大きな被害には至らなかったようだ。また、別のGitHubアカウントでホストしているgentoo-mirrorリポジトリは影響を受けなかったとのこと。

Gentooでは攻撃に使われたメンバーアカウントを既に特定してロックアウトしており、gentoo organizationにすべてのメンバーを再登録したという。gentoo organizationはGitHubサポートにより一時ロックされているが、不正なコミットが行われたリポジトリ「https://github.com/gentoo/gentoo」「https://github.com/gentoo/musl」「https://github.com/gentoo/systemd」は既に復旧済みとのことだ。

taraiok曰く、

スマートホームデバイスは人々の生活を便利にするもののはずだった。しかし現在、意図しない使用方法が発生しつつある。家庭内暴力だ（The New York Times、Slashdot）。

ある女性はエアコンをONにしていたが、そのエアコンはいつの間にかOFFにされていた、ドアベルの音を聞いたにも関わらず玄関先には誰もいなかったなどの現象が起きていたという。また、ある施設ではサーモスタットの温度を100℃に設定されたり、スピーカーから爆発音を鳴らす事例もあったようだ。このように、スマートホームテクノロジーは監視、復讐、制御の手段として使用されるようになってきている。

攻撃者は、スマートホームデバイス用のスマートフォンアプリを使用することでスマートホーム対応機器を遠隔操作して盗み聞きしたり、誰もいなくなったあとに脅迫と混乱に陥れようとする。被害者は女性が多いようだ。スマートホーム危機の多くは男性が設置しており、パスワードなどは設置者が把握している。反対にパートナーはすべてのスマートホーム機器用のアプリケーションを持っていない場合が多いとされる。

2017年の統計によると、米国では2900万の家庭でスマートホーム関連技術が使われているという。利用者は年に31％ずつ増加しているとしている。こうしたスマートホーム技術の悪用は昨年の冬から目立つようになってきたとしている。

taraiok曰く、

著名サイトのドメインによく似たドメインで詐欺や悪意のある行為を行うサイトを立ち上げる、という手法はたびたび話題になるが、最近こういった手法を使った詐欺サイトの被害が増えているという（BBC、Slashdot）。

Farsight Securityによると、すでに銀行、ローンアドバイザー、LegoやHariboなどの詐欺サイトが存在しているという。特に近年ではスマートフォンなどの小さな画面でのインターネット接続が主流になっているため、こうした偽ドメイン詐欺サイトの被害が増えているようだ。

Farsight Securityのレポートによると、1億以上の非英語の文字セットドメイン名を検索したところ、約27％は詐欺師によって作成されていた。こうした偽ドメインには、見えにくい小さな点やマークが追加されることが多い。

また、ここ数か月はPunycodeと呼ばれるコード体系を使用した詐欺ドメインが倍増している。セキュリティ会社のWanderaの創設者Eldar Tuvey氏によれば、彼らはスマートフォンユーザーをターゲットにしているとし、実際、フィッシング詐欺の被害が3倍に増えていることが分かったとしている。

セキュリティソフトを導入しているとFirefoxからGoogleのサービスへのアクセスができなくなる、といった問題が報告されている（ghacks.net）。

問題となっているのはAvastおよびAVGのセキュリティソフト。これらのセキュリティソフトを導入した環境でFirefoxでTLS 1.3を利用しようとすると問題が発生するようだ（MozillaのBugzilla、Avastのフォーラム）。

また、ChromeでもAvastを利用している環境でTLS 1.3接続関連のトラブルが発生することがあるようだ（The Chromium Projectsでの報告）。

お騒がせ発言でたびたび話題になるセキュリティソフトメーカー創業者のジョン・マカフィー氏がTwitterで「毒を盛られた」と公表、治療を受ける様子の写真なども投稿した（GIGAZINE）。

マカフィー氏は自身が創設したセキュリティ企業McAfeeから離れた後さまざまな活動を行っており、最近では独自の仮想通貨の発行を計画していた。マカフィー氏は今回の事件を受けて、復讐するとアピールしているようだ。

6月27日、シマンテックの認証サービスが障害を起こし、その影響でりそな銀行やセブン銀行などのネットバンキングが一部利用できなくなるというトラブルが発生した（日経xTECH 、NHK、セブン銀行の発表）。

りそな銀行は振込時に、セブン銀行は新規の振込先指定時にワンタイムパスワードでの認証が必要となり、ここでシマンテックのサービスが使われていたという。そのため、障害の発生でこれらの操作が行えなくなっていた。

headless曰く、

米国・マサチューセッツ州セーラムの電子タバコ工場で24日夜、29名の労働者が原因不明の呼吸困難や吐き気を訴え、多くの労働者が建物から脱出しようとする騒ぎが発生したそうだ（CBS Boston、CBS News、Mail Online）。

騒ぎが起きたThermal Circuits社の工場では同日午後に塩素ガスの流出事故が発生しているが、これとは無関係とみられている。消防は夜までに流出事故を収拾して引き揚げたものの、1時間半ほど経った午後9時30分ごろに再び通報を受けたという。2回目の通報では危険物処理班も出動して消防とともに調査を行い、建物内で塩素が検出されないことを確認している。

当時、この建物では450～500名の人が働いており、勤務交代直後に症状を訴える人が出てパニックが発生したものとみられる。これについて、消防では「集団ヒステリー」と説明しているそうだ。29名の大半は地元病院で診療を受けて帰宅したが、発作が起きてボストンの病院に搬送された1名を含む数名は入院したとのことだ。

headless曰く、

インドの中央銀行であるインド準備銀行（RBI）は21日、インド国内の商業銀行やホワイトラベルATMを運営するノンバンクなどに対し、Windows XPなどサポートの終了したOSを使用しているATMのOSを2019年6月までにアップグレードするよう勧告した（インド準備銀行の通知、Softpedia、Register）。

RBIではサポートの終了したOSをATMで使い続けることの危険性に懸念を示し、以前から銀行にアドバイザリーを出していた。しかし、なかなか対策が進まないことから、対策のタイムラインを含む勧告を出すことになったようだ。

タイムラインでは2018年9月までに25%以上のATMをサポートされるバージョンのOSにアップグレードするよう求めている。以降、2018年12月までに50%以上、2019年3月までに75%以上となり、2019年6月までにすべてのATMをアップグレードする必要がある。

このほか、BIOSパスワードの設定やUSBポートの無効化、オートラン機能の無効化、最新の更新プログラムの適用、ATM管理機能へのセキュリティ対策などを2018年8月までに、スキミング防止やホワイトリスティングなどの対策を2019年3月までに実施するよう求めている。

創作の世界で現実的でない手法を使うハッカーが描かれることはよくあるが、現在放送中のアニメ「ルパン三世 PART5」に登場するハッカーは現実的に描かれているそうだ（ITmedia）。

たとえば作中で工場のネットワークに侵入した場面では、機械の出荷時に設定されていたデフォルトのユーザー名とパスワードを使ってログイン認証を突破するという現実的な手法を使っているほか、相手の端末をマルウェアに感染させるために「標的型のメール攻撃」を使ったり、SNSを活用したりと、実際にサイバー犯罪で使われているような手法が作中に登場しているという。

また、作中で登場する仮想通貨やアンダーグラウンドネットワークも現実世界のものに近く、セキュリティ研究者も満足して見られる内容だという。

あるAnonymous Coward曰く、

先日、Hacker Houseの共同設立者のMatthew Hickey氏は、「iOSのセキュリティ機能を回避して、パスコードを総当たり攻撃で突破できる脆弱性が発見された」と発表した。iOSには間違ったパスコードが10回入力されると端末のデータをすべて消去する機能があるが、パスコードを短時間で一気に送信することで、データ消去が実行される前にロックを解除できるという内容なのだが、この指摘は正しくないとAppleなどが反論している（iPhone Mania、CNET、Slashdot）。

ほかの研究者などの指摘によると、入力が早すぎる場合入力したデータがセキュリティプロセッサに送信されないことがあり、そのため高速な総当たりによるパスコード突破は現実的には行えないようだ。

あるAnonymous Coward曰く、

OpenBSDがamd64アーキテクチャにおいてIntelプロセッサのHyper-Threading機能をデフォルトで無効にしたそうだ（マイナビ、Bleeping Computer、Slashdot）。

この変更は6月19日のコミットで行われたもの。CPUの投機的実行機能にまつわる脆弱性問題に対応するためにデフォルトでハイパースレッディング機能を無効にすると説明している。

taraiok曰く、

合成生物学の急速な発展により、新世代の生物兵器のリスクが高まっているという（The Guardian、Slashdot）。

米国防総省の要請で国立科学アカデミーがまとめた報告書によると、合成生物学の進歩によって有害な細菌をより致命的なものにしたり、一般的な微生物を改変して体内に入った段階で致死毒素を生成する、といったような生物兵器を作り出すことが可能になっているそうだ。

20年以上前、ニューヨークのストーニーブルック大学の遺伝学者Eckard Wimmer氏は、試験管の中でポリオウイルスを再現し、合成生物学のリスクを具体的に示した。今年の初めにはナダと米国の共同研究チームが天然痘の近縁種である馬痘ウイルスを作成した。今日、ほとんどすべての哺乳動物ウイルスのDNAはオンラインで検索でき、ツールと専門知識があれば合成できるという。

NHKが、「QRコードにセキュリティー上の弱点 不正サイトに誘導も」と報じている。神戸大学の研究グループが、QRコードに偽の情報を仕込むことができることを実証したというもの。

この検証を行った神戸大学の森井昌克教授がYahoo!ニュースにて詳細を解説しているが、この問題はQRコードが備えるエラー訂正機能を利用することで、読み取り時に一定の確率で異なる結果が読み取られるようなQRコードを生成できるというもの。この確率はQRコードの生成時に指定できるそうだ。

これを悪用する例としては、たとえばURL情報を格納したQRコードに対し、一定の確率で不正なサイトのURLが読み取られるよう細工をすることで問題の発覚を遅らせたり検証を難しくする、といったものが考えられるという。

また、対策としてはQRコードで読み取ったURLを信用せず、必ずその内容を確認することを提案している。

Googleは19日、Google Playで公開されるアプリのAPKファイルにセキュリティ関連メタデータの追加を始めたことを発表した(Android Developers Blogの記事、 Android Policeの記事、 SlashGearの記事、 The Registerの記事)。

セキュリティ関連メタデータの追加は昨年12月に発表されていたものだ。メタデータはAPK Signing Blockに挿入され、オフラインでAPKファイルを共有する場合にもGoogle Playから正規に入手したものであることが確認できるようになる。

通信コストの高い地域や通信速度の遅い地域では、Google Playから入手したアプリのAPKファイルを他の端末と共有してインストールするといったことが行われているという。メタデータの追加により、APKファイルの信頼性が高まるだけでなく、オフラインでインストールしたアプリもユーザーのGoogle Playライブラリーに追加され、アップデートを受け取ることが可能になる。

メタデータの追加はGoogle Play側で行われるため、開発者やユーザーは特に何もする必要はない。メタデータの追加に伴い、Google Playの最大APKサイズも調整されるとのことだ。

米移民関税執行局(ICE)がメキシコとの国境で2,000人近い不法移民の子供を親から引き離していると報じられたことで、Microsoftが批判にさらされている(Microsoftの声明、 ブラッド・スミス氏のLinkedIn記事、 The Vergeの記事、 Windows Centralの記事)。

Microsoftは1月、ICEによるAzure Governmentの採用を発表し、同社のクラウドが国土と公衆の安全をサポートすることを誇りに思うなどと述べていた。該当部分は18日に一時削除されていたそうだが、Microsoftは削除が手違いだったとしてすぐに復元し、本件に関する声明を別途公開した。

Microsoftは国境で子供を家族から引き離すことに関連する一切のプロジェクトにかかわっておらず、Azureがその用途で使われていることも認識していないと説明する。20年前から同社はテクノロジーを用い、家族と別れ別れになった難民や移民の子供が家族に再会できるよう取り組んでいると述べ、政権には政策変更、議会には子供たちが家族から引き離されないための法律制定を求めている。

これまで米国では不法移民の家族を子供と一緒に拘置することが難しいため、例外として子供がいる場合は拘置せず、出頭命令などに従わなかった場合に成人のみを拘置していた。しかし、4月にセッションズ司法長官が例外を認めないとする政策変更を発表し、5月には不法入国で訴追されれば子供から引き離すことになると述べていた。

なお、ドナルド・トランプ大統領は20日、拘束した不法移民を家族一緒に拘置することなどを盛り込んだ大統領令に署名した。