6月28日に発生したGentoo GitHub Organization(組織アカウント)への不正アクセスについて、Gentooが原因や対策をまとめている(Gentoo Wikiの記事、 The Registerの記事、 Neowinの記事)。

原因は攻撃者が組織アカウント管理者のパスワードを入手したことだ。Gentooが収集した証拠によると、あるサイトで公表されたパスワードスキームにより、無関係なWebページのパスワードを容易に推測できるようになっていたとみられるとのこと。

管理者アカウントの制御を取得した攻撃者はGentooの開発者から組織アカウントへのアクセス権限をすべて削除し、リポジトリに不正なコミットを行う。攻撃者はリポジトリに「rm -rf」を追加してユーザーのコンテンツを消去しようとしているが、このコードが実際に実行されることはないとみられる。

GentooではGitHubをミラーとしてのみ使用していたので大きな影響はなかったが、5日にわたってGitHubが使用できなくなり、特に多くの貢献者がプルリクエストを送るのにGitHubを使用しているProxy Maintainersプロジェクトが影響を受けたという。

ただし、攻撃者が開発者のアクセス権限をすべて削除したことから早期に攻撃が発覚し、Gentoo・GitHubともに迅速な対応を行うことができたそうだ。一方、当初の発表ではユーザーが入手したコピーが安全かどうかを確認する方法や、悪意あるコミットが実行されることはないことが明確にされていなかった点などが問題点とされている。

対策としては2要素認証の導入や、GitHubのオーナー権限を持つ人の数を減らすこと、活動していない人をGentooインフラから積極的に退役させること、明確なパスワードポリシーの制定、アカウント監査の強化などを挙げている。

hylom 曰く、

風力・太陽光発電プラントの監視システムをGoogle Cloud Platform(GCP)上で構築・運営していた企業が突然アカウントを一時停止され、システムを運用できなくなるというトラブルが発生したそうだ(Mediumの記事、 The Registerの記事)。

このシステムは、8か国にわたって設置された数百の設備を1か所で24時間/365日監視するという大規模なもので、状況に応じて発電量を調整するといったクリティカルな作業も行っていたという。

しかし、6月28日に全サイトがダウンしているとUptime Robotからの警告があり、Googleからは「potential suspicious activity (潜在的に疑わしい活動)」を検出したので全システムを停止したと知らせる電子メールが届く。その時点で既にクラウド上のアプリケーションやデータベースに接続できない状態になっており、カスタマーサービスチャットや電話連絡もできなかったそうだ。

Googleが検出した疑わしい活動はサービス料金の支払いに関するもので、クレジットカードと政府が発行したクレジットカード名義人の写真入り身分証明書の写真を3営業日以内にアップロードするよう求めていた。そこでシステムの運営担当者がカードの名義人に連絡を取って情報を送信したところ、20分後にはシステムが復帰したそうだ。このときはカード名義人のCFOにすぐに連絡が付いたため数時間のダウンタイムで済んだようだが、情報送付が遅れたらすべてのアプリケーションやデータを削除するとも記載されていたとのこと。

なお、これを報告しているユーザーによれば、AWSではサービスをブロックする前に警告し、ユーザーが事情を説明したり問題を解決したりする猶予を与える、より「人間的な」方法で決済に関する問題を解決するという。こういった問題が解決されない限り、今後新しいプロジェクトをGCPで構築することはないとも述べている。

あるAnonymous Coward曰く、

日本経済新聞の社員男性が別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していたことが明らかになった（読売新聞、朝日新聞、時事通信）。

窃取されたデータは日経新聞社員約3000人の賃金などのデータ。このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。この社員は情報漏えいを理由に6月5日に懲戒解雇されるとともに、警視庁への刑事告訴も行われているとのこと。

この男性はこれ以外にも、日経新聞電子版の読者の個人情報（約34万人分）や日経ヴェリタスの読者情報（約3万6000人分）も持ち出していたという。

分解したPCは情報をコピーした後元に戻していたとのことで、そのため発覚が遅れたようだ。この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

なお、この事件を受けて日経新聞は謝罪記事を公開したが、公開当初は有料会員以外は記事の一部しか読めない「会員限定」の記事となっており、「お詫び記事も有料か」などとの指摘が出ていた（J-CASTニュース）。

あるAnonymous Coward曰く、

Google Chrome 67がリリースされたばかりだが、Chrome 65で修正されたはずの「Download bomb（ダウンロード爆弾」バグが復活したという。Bleeping Computerのテストによると、Firefox、Vilvadi、Opera、Braveなどのブラウザにも影響を与えているとしている。Internet ExplorerとEdgeには影響はない（Bleeping Computer、FOSSBYTES、Appuals、Slashdot）。

Download bombはファイルをダウンロードしてローカルに保存するAPIを悪用したもので、悪意のあるページにアクセスした際に何百から何千ものダウンロードを行わせてブラウザをフリーズさせるとともに、この問題を解決するための「サポート電話番号」を提示、ブラウザのロックを解除するために一定の金額を要求するといった「テクニカルサポート詐欺」などで使われていた（ 過去記事）。

皮肉なことに最新のChrome 67（67.0.3396.87）でこの問題が復活したことで、ブラウザーを最新の状態に保っている人ほど問題を引き起こす可能性があるとしている。

日本マイクロソフトによると、今年6月時点で2020年にWindows 7のサポートが終了することを認知している中小企業は全体の55％にすぎないそうだ（ITmedia、日経新聞）。

同社がメディア向けに行なったWindows 10に関する説明会で明かされたもの。調査は楽天リサーチの協力のもと行われている。なお、2020年にはWindows 7のほか、Windows Server 2008および2008 R2もサポートが終了する。

そのほか、同説明会ではウイルス対策ソフトについても触れられており、Windows標準のセキュリティ機能が十分な性能を持つこと、Microsoft社員はウイルス対策ソフトとしてWindows Defenderを使用しており、他社のウイルス対策ソフトは全く利用していないことなども明かされている。

headless曰く、

Sony Pictures Entertainmentの公式YouTubeアカウントが3日、予告編と間違えて（？）映画本編をYouTubeで無料公開するトラブルが発生したそうだ（TorrentFreak、Ars Technica、The Verge、CBR）。

この映画「Khali the Killer」は引退を決めたイーストロサンゼルスのヒットマンが最後の仕事で難しい選択を迫られるといった内容で、約90分の作品だ。IMDBによると昨年11月にドイツとオランダでDVD/Blu-rayが発売され、今年2月にMammoth Film Festivalで上映されているが、現在まで劇場公開はされておらず、8月31日に米国で劇場公開予定となっている。

しかし、YouTubeで公開された「予告編」のタイトルは「KHALI THE KILLER: OFFICIAL RED BAND TRAILER Now on DVD & Digital」となっていたようだ。動画は6時間ほどで削除されたが、本物の予告編はアップロードされないままだ。

公開から削除までの時間が長すぎることから、実際には間違ったのではなく宣伝ではないかとの見方も出ている。そもそも間違うような場所に映画全編の動画が保存されているのか、8月に本当に劇場公開されるのかなどといった疑問もある。スラドの皆さんはどう思われるだろうか。

Windows 10で使われる、拡張子が「.SettingContent.ms」のファイルには任意のコードを記述できるという危険性があるという。Microsoftはこれを仕様としており、修正される予定はないようだ（マイナビニュース

この拡張子を持つファイルは「設定コンテンツファイル」などと呼ばれ、Explorerから実行することでWindows 10の各種設定画面を呼び出すことができる（利用法の解説記事）。このファイルにはXML形式で各種情報が記述されているのだが、この中の「DeepLink」要素には任意のコードが記述でき、ファイルを実行した際にこのコードが実行される仕組みになっているという。

これを悪用し、ターゲットのPCに何らかの方法で悪意のある処理を行う.SettingContent.msファイルを送り込んで実行させることで、マルウェアに感染させるといったことが可能になるという。

あるAnonymous Coward 曰く、

GoogleはHTTPSプロトコルの採用を促進することで、ウェブ上のセキュリティを強化する方針を打ち出している。これに対し反対する声がSlashdotで紹介されている（Slashdot）。

反対の理由としては、まずGoogleが勝手にWebのルールを決めることに対する反感が挙げられている。それに加えて、Web上にはメンテナンスされていないWebサイトのコンテンツがあり、こういったコンテンツはHTTPに対応できないといったことが挙げられている。そのため、GoogleのHTTP廃止計画が成功すれば、多くの過去のWebサイトのコンテンツにアクセスできなくなる可能性があるとし、Googleの試みは、大量の本を燃やす焚書のようなものだと指摘している。

またSlashdot読者の一人は、HTTPで運用されているの多くは、ユーザーデータを収集したり、ユーザーとのやりとりを提供していないことから、HTTPSを使用しない「リスク」は無関係であると指摘している。

オンラインゲームのチートツールに仮想通貨を採掘（マイニング）するための機能を隠して埋め込んで配布していた兵庫県の男性に対し、仙台地裁が懲役1年、執行猶予3年の判決を下した（河北新報、@niftyニュース）。

被害者がこのツールを自分のPCにダウンロードして実行するとマイニングが実行され、被告がそれによって仮想通貨を得られるようになっていたという。

なお、先日Webサイトに採掘用のスクリプトを埋め込んでWebブラウザに採掘を実行される行為が摘発されたが、今回の案件はこれとは異なるもの。

GentooがGitHubで使用している「gentoo」 organization(組織アカウント)が不正アクセスを受け、リポジトリやページの内容を書き換えられる被害にあったそうだ(Gentooのニュース記事、 Gentooメーリングリストの投稿、 BetaNewsの記事、 The Registerの記事)。

不正アクセスが発生したのは6月28日20時20分(UTC)頃。何者かがgentooアカウントの制御を奪い、リポジトリやページの改変を行ったという。ただし、Gentooのコードは自前のインフラでホストしているものがマスターであり、GitHubはミラーとして使用しているだけなので、大きな被害には至らなかったようだ。また、別のGitHubアカウントでホストしているgentoo-mirrorリポジトリは影響を受けなかったとのこと。

Gentooでは攻撃に使われたメンバーアカウントを既に特定してロックアウトしており、gentoo organizationにすべてのメンバーを再登録したという。gentoo organizationはGitHubサポートにより一時ロックされているが、不正なコミットが行われたリポジトリ「https://github.com/gentoo/gentoo」「https://github.com/gentoo/musl」「https://github.com/gentoo/systemd」は既に復旧済みとのことだ。

taraiok曰く、

スマートホームデバイスは人々の生活を便利にするもののはずだった。しかし現在、意図しない使用方法が発生しつつある。家庭内暴力だ（The New York Times、Slashdot）。

ある女性はエアコンをONにしていたが、そのエアコンはいつの間にかOFFにされていた、ドアベルの音を聞いたにも関わらず玄関先には誰もいなかったなどの現象が起きていたという。また、ある施設ではサーモスタットの温度を100℃に設定されたり、スピーカーから爆発音を鳴らす事例もあったようだ。このように、スマートホームテクノロジーは監視、復讐、制御の手段として使用されるようになってきている。

攻撃者は、スマートホームデバイス用のスマートフォンアプリを使用することでスマートホーム対応機器を遠隔操作して盗み聞きしたり、誰もいなくなったあとに脅迫と混乱に陥れようとする。被害者は女性が多いようだ。スマートホーム危機の多くは男性が設置しており、パスワードなどは設置者が把握している。反対にパートナーはすべてのスマートホーム機器用のアプリケーションを持っていない場合が多いとされる。

2017年の統計によると、米国では2900万の家庭でスマートホーム関連技術が使われているという。利用者は年に31％ずつ増加しているとしている。こうしたスマートホーム技術の悪用は昨年の冬から目立つようになってきたとしている。

taraiok曰く、

著名サイトのドメインによく似たドメインで詐欺や悪意のある行為を行うサイトを立ち上げる、という手法はたびたび話題になるが、最近こういった手法を使った詐欺サイトの被害が増えているという（BBC、Slashdot）。

Farsight Securityによると、すでに銀行、ローンアドバイザー、LegoやHariboなどの詐欺サイトが存在しているという。特に近年ではスマートフォンなどの小さな画面でのインターネット接続が主流になっているため、こうした偽ドメイン詐欺サイトの被害が増えているようだ。

Farsight Securityのレポートによると、1億以上の非英語の文字セットドメイン名を検索したところ、約27％は詐欺師によって作成されていた。こうした偽ドメインには、見えにくい小さな点やマークが追加されることが多い。

また、ここ数か月はPunycodeと呼ばれるコード体系を使用した詐欺ドメインが倍増している。セキュリティ会社のWanderaの創設者Eldar Tuvey氏によれば、彼らはスマートフォンユーザーをターゲットにしているとし、実際、フィッシング詐欺の被害が3倍に増えていることが分かったとしている。

セキュリティソフトを導入しているとFirefoxからGoogleのサービスへのアクセスができなくなる、といった問題が報告されている（ghacks.net）。

問題となっているのはAvastおよびAVGのセキュリティソフト。これらのセキュリティソフトを導入した環境でFirefoxでTLS 1.3を利用しようとすると問題が発生するようだ（MozillaのBugzilla、Avastのフォーラム）。

また、ChromeでもAvastを利用している環境でTLS 1.3接続関連のトラブルが発生することがあるようだ（The Chromium Projectsでの報告）。

お騒がせ発言でたびたび話題になるセキュリティソフトメーカー創業者のジョン・マカフィー氏がTwitterで「毒を盛られた」と公表、治療を受ける様子の写真なども投稿した（GIGAZINE）。

マカフィー氏は自身が創設したセキュリティ企業McAfeeから離れた後さまざまな活動を行っており、最近では独自の仮想通貨の発行を計画していた。マカフィー氏は今回の事件を受けて、復讐するとアピールしているようだ。

6月27日、シマンテックの認証サービスが障害を起こし、その影響でりそな銀行やセブン銀行などのネットバンキングが一部利用できなくなるというトラブルが発生した（日経xTECH 、NHK、セブン銀行の発表）。

りそな銀行は振込時に、セブン銀行は新規の振込先指定時にワンタイムパスワードでの認証が必要となり、ここでシマンテックのサービスが使われていたという。そのため、障害の発生でこれらの操作が行えなくなっていた。