セブン＆アイ・ホールディングスが7月30日、傘下の各種サービスで共通利用できる「7iD」利用者の全パスワードを強制的にリセットしたことを発表した（発表PDF、ITmedia）。セキュリティ強化の一環とされているが、なぜパスワードリセットを行ったかの具体的な説明はない。また、あわせてパスワードの設定条件の変更も行ったという。

一方でこれに関連して複数のトラブルが発生しているようだ（Togetterまとめ）。その中でも大きいものとして、パスワードを再設定しようとして誤って新規にアカウントを作成してしまい、7payの残高やクーポンが消えてしまったように見えるという問題が話題となっている。なお、セブン＆アイ・ホールディングスによると残高やバッジ、クーポンなどが消えたということはないという（ITmediaの別記事）。

また、パスワード再設定の際には生年月日と電話番号、IDの入力が必要で、これらを正しく入力するとメールでパスワード再設定メールが届くのだが、このメールが届かないというトラブルも発生している（Togetterまとめ）。セブンネットショッピング時代は生年月日のうち年と月のみが登録されており、この時代にアカウントを作成したユーザーについてはオムニ7への以降後勝手に生年月日のうち日がが「1日」に設定されていたという報告や、登録メールアドレスを変更していたにも関わらず初回登録時のメールアドレスにパスワード再設定メールが送信されていた、といった報告があるようだ。

Anonymous Coward曰く、

米大手金融機関Capital One Financialで、不正アクセスによる大規模な個人情報漏洩事件が発生した。漏洩件数は1億600万件にも上り、大手銀行による情報漏洩事件としては過去最大規模だという（日経新聞、TechCrunch、Bloomberg、Reuters）。

容疑者はすでにFBIに拘束されているとのこと。漏洩したデータは米Amazon Web Services（AWS）のクラウドサービスである「Amazon S3」上に保管されていたものだったという。この容疑者は米Amazon.comの元従業員都のことだが、AWSはAWSのシステムを狙った攻撃やAWSの脆弱性によるものではないと述べている。

先日ヤマト運輸の顧客向けサービス「クロネコメンバーズ」が不正アクセスを受ける事件があった（過去記事）。このサービスでは二段階認証によるセキュリティ強化が行われたものの、携帯端末向けサイトやアプリでは二段階認証を設定していても二段階認証を行わずにログインすることができたという（Togetterまとめ）。

クロネコメンバーズの「よくあるご質問（FAQ）」ページによると、「ヤマト運輸アプリとモバイルサイトからログインした場合は認証番号を求められません」とのことだが、モバイルサイトにPCからアクセスした場合でも2段階認証は求められないようだ。

Microsoft Edge (Spartan)のSmartScreenがアクセス先のフルURLなどに加え、WindowsにログインしたユーザーのSID(セキュリティ識別子)もサーバーに送信していることが発見された( Matt Wall氏のツイート、 Bleeping Computerの記事、 BetaNewsの記事、 Softpediaの記事)。

SmartScreenが送信するアクセス先サイトのURLはハッシュ化されていないものの、プライバシー保護のためSSL接続で暗号化して送信すると以前から説明されている。このほか、OS/ソフトウェアバージョン、ダウンロードしたファイルの情報などを送信することもドキュメントには記載されているが、SIDに関する記載はない。SIDの送信は匿名の統計情報を送信するとの説明にも反する。なお、ChromiumベースのMicrosoft Edgeプレビュー版ではSIDが送信されないとのことだ。

FacebookやInstagramで暗号通貨Libra公式のふりをする偽のアカウントやページ、グループの存在をThe Washington Postが報告し、Facebookが削除したそうだ(The Washington Postの記事、 The Vergeの記事、 The Next Webの記事、 Mashableの記事)。

偽アカウントや偽ページの多くはFacebookのロゴやマーク・ザッカーバーグ氏の写真、Libraの資料画像などを使用しているが、Facebookは自力で発見できなかったようだ。「Libra wallet」というアカウントがスポンサー広告として投稿した動画はザッカーバーグ氏がLibraを紹介する内容で、視聴者にLibraコインの値引きを提案していたという。このような偽情報はTwitterなど他社のプラットフォームにも広がっており、Facebookが自社プラットフォームでも偽情報を自力で食い止められなかったことは、Libraへの信頼を勝ち取ろうとするFacebookを中心とした努力を損なうものとなる。また、Libraに批判的な各国政府や議会に新たな批判材料を与えることになるとみられる。

なお、Facebookが提供を予定するLibra用デジタルワレット「Calibra」の公式サイト「calibra.com」についても、6月に偽サイト「calìbra.com」(「i」はアクサングラーブ付き)が出現していたが、現在はホスティング会社にブロックされているようだ。

Anonymous Coward曰く、

「0v1ru$」と名乗るハッカーが7月13日、ロシアの国家諜報機関、ロシア連邦保安庁（FSB）の請負業者SyTechに侵入して7.5TBものデータを奪った。0v1ru$はSyTechのホームページを卑下た笑いをした画像に書き換え、そのスクリーンショットを添えてツイートした（このツイートおよび0v1ru$のアカウントは既に削除されている）。SyTechのサイトは攻撃後、閉鎖されたままとなっている（Fossbytes、BBCロシア、ITmedia、Slashdot）。

FSBはソビエト時代の諜報機関KGBの後継機関であり、米国の連邦捜査局（FBI）と英国の保安局軍情報部第5課（MI5）などと同様の組織だ。彼らの仕事の多くは国内外での電子監視などにある。0v1ru$は別のハッカー集団Digital Revolutionとデータを共有し、Digital Revolutionが複数のメディアにこのデータを提供した。いずれもSyTechがFSBと関連する研究所から請け負ったプロジェクトに関するもので、BBCロシアによるとこれには次のようなものが含まれているという。

• Nautilus：Facebook、LinkedIn、MySpaceなどからデータを収集するために2009年から2010年の間に開始されたプロジェクト
• Nautilus-S：Torユーザーの匿名化を解除するための研究プロジェクト
• Nadezhda：国外のインターネットとのつながりを視覚化、それらを分離できるようにするための計画
• Reward：BitTorrent、Jabber、OpenFT、ED2KなどのP2Pネットワークに侵入、操作を行う
• Mentor：FSBの通信諜報を司る第71330部隊のために開発されたもの。一定のフレーズを含む電子メールアカウントを監視することができる
• Tax-3：連邦税務署にある要人の個人情報を手動で削除する機能を作り出すプロジェクト

ヤマト運輸の顧客向けサービス「クロネコメンバーズ」でリスト型攻撃によるものと思われる不正アクセスが発生した（ヤマト運輸の発表、ITmedia、朝日新聞、INTERNET Watch）。

ヤマト運輸の発表によると7月23日に不正なアクセスが検出され、緊急の措置として発信元IPアドレスからのログインを遮断する措置を取ったという。調査の結果、他社サービスから流出したIDやパスワードを使ってアクセスを試みるリスト型攻撃だったことが分かったそうだ。

不正ログインの試行件数は約3万件で、実際に不正ログインされた件数は3467件とのこと。これにより、同サービスに登録している個人情報が流出した可能性があるという。

不正アクセスされたアカウントについては、パスワードを変更しないとログインできないよう対策を行ったとのこと。また、同社は利用者に対し「定期的なパスワードの変更」を求めるとともに、他サービスや過去に使ったパスワード、容易に推測できるパスワードの使用を控えるよう要請している。

Anonymous Coward曰く、

放火事件により大きな被害を出した京都アニメーションの第1スタジオだが、京都市消防局は市議会で同社の防火対策に消防法令状の問題は無く、また過去に防火・防災に熱心な優良事業所として表彰していたことを報告している（京都新聞、スポニチ、Togetterまとめ）

この事件では、大きな犠牲が出たことから、一部で防火対策の不備を指摘する声があるが、消防は螺旋階段に火災時に煙の広がりを防ぐ防煙垂壁が取りつけられるなど、適切な対策が行われていたと説明。また、同社は防火・防災訓練をきっちりと行っており、2014年には優良事業所の一つとして表彰も受けていたという。報告からは、テロの前には、一般的な防火対策が有効ではないことを伺わせる。

なお、死者数は最終的に34人に達したが、事件から4日を経た22日時点でも、いまだ被害者全員の身元特定は完了していないという。しかし「らき☆すた」の武本康弘監督らが安否不明として報じられている（産経新聞、ITmedia）。

セブン＆アイ・ホールディングスが提供しているスマートフォン向けアプリ「オムニ7アプリ」のソースコードがGitHubで一般公開されていた可能性があるとBusiness Insider JAPANが報じている。

記事によると、このソースコードは2015年5～7月頃に公開されたとみられており、その後更新されることなく公開されていたが、2019年7月10日ごろに削除されていたという。

また、削除後もそこからフォークされたコードがGitHub上に残っていたためか、NTT DATA MSEからDMCAに基づく削除申請が出ていたことも確認されている。

このソースコード中には外部IDを使ったログインに必要なトークンなども含まれていたが、このトークンだけでは悪用できないとの指摘もある。

Anonymous Coward曰く、

フィッシング詐欺被害にあったにも関わらず、警察に被害届を受理してもらえないというトラブルが長崎県で発生しているという（長崎新聞）。

報道によれば、この被害者は、届いたSMSが詐欺メッセージであると気付かずにSMS内に記載されていたURLにアクセスし、フィッシングサイトにIDとパスワードを入力、送信した。攻撃者はこの情報を使って別の場所から正規サイトに詐取したIDとパスワードでログインしたという。被害者の携帯電話には正規の二段階認証のためのSMSが送信されたが、被害者はこのSMSに記載されていた認証コードも指示されるままにフィッシングサイトに入力してしまったという。その後攻撃者は被害者本人に成りすまし、通販サイトで10万円分の購入を行った。

ここまでは非常に良くあるパターンのフィッシング詐欺被害であり、詐欺に気づいた被害者はすぐ携帯電話会社に連絡し消費者生活センター、警察に相談するも、警察側は「法律上は不正アクセスを受けた携帯電話会社が被害者になる」と言う理屈で被害届を受理しなかったという。しかし、この不正購入された商品の代金は被害者が支払わなければならない可能性があり、被害金額は泣き寝入りになってしまう可能性があるという。

Anonymous Coward曰く、

Microsoftは、Microsoft Silverlightのサポートを2021年10月12日に終了する。終了にあたり、マイクロソフトは注意喚起のドキュメントを公開した。サポートが終了すると、品質更新プログラムやセキュリティ更新プログラムの提供がなくなる（Microsoftのサポートページ、窓の杜）。

Internet Explorer 11向けは2021年10月12日に、Internet Explorer 10向けは2020年1月31日に終了する。ChromeやFirefox、Mac用ブラウザ向けのサポートはすでに終了している。

Silverlightが必要で新規会員募集中の有料サービスなどもあり（例：みるプラス）、サポート終了前の移行が求められる。

英国夏時間19日深夜、ロンドン警視庁のWebサイトや公式Twitterアカウントにいたずらとみられる偽のプレスリリースなどが複数投稿された。また、ロンドン警視庁の電子メールアドレスから偽のプレスリリース公開を知らせる電子メールも送信されたという(ロンドン警視庁のプレスリリース、 Metro Newsの記事、 London Evening Standardの記事、 The Next Webの記事)。

当時のプレスリリースやツイートの一部はInternet Archiveにスナップショットが残されているが、偽のプレスリリースは本文がないか、見出しと同じ内容が記載されているだけのものが大半だ。適当にキーを押しただけのようなものもある。

これについてロンドン警視庁では、プレスリリースなどの発行に使用しているオンラインプロバイダーMyNewsDeskのアカウントでセキュリティ上の問題が発生したとみているそうだ。MyNewsDeskを通じて記事を発行するとロンドン警視庁のWebサイトとTwitterアカウントに表示され、電子メールが自動で生成されて送られる仕組みになっている。そのため、ロンドン警視庁のITインフラストラクチャーが「ハック」されたわけではないとのこと。

ロンドン警視庁は問題の発生を謝罪し、今後はMyNewsDeskへのアクセス手配を見直すと述べている。

Financial Timesの記事によると、イスラエルのスパイウェア企業NSO Groupが同社のスマートフォン用スパイウェア「Pegasus」で端末内だけでなくクラウド上のデータも取得可能になったと顧客に説明しているそうだ(9to5Macの記事、 Softpediaの記事、 Mac Rumorsの記事)。

PegasusはNSO Groupのフラッグシップ製品で、ターゲットのスマートフォンからデータを収集するため、各国政府や諜報機関が何年にもわたって愛用しているという。5月にWhatsAppの脆弱性が公表された際、NSO Groupがスパイウェアをインストールするコードを作成したとFinancial Timesが報じていたが、そのスパイウェアがPegasusだった。

クラウド上のデータにアクセスする仕組みとしては、ターゲットのスマートフォンにインストールされたPegasusがiCloudやGoogle Driveなどの認証キーをコピーしてPegasusのサーバーへ送信する。これを使用することで、サーバー側では二要素認証の要求や警告メールの送信が行われることなく、クラウド上のデータを収集できるとのこと。

これについてAmazonやGoogleはユーザーのアカウントが不正にアクセスされた形跡はないと述べており、Microsoftは同社のテクノロジーが最良の保護を提供できるよう常に進化しているとし、デバイスを健康な(最新の)状態に保つようユーザーに促したという。一方、Appleは同社のOSは世界で最も安全なコンピューティングプラットフォームだと述べ、ターゲットを絞った攻撃を行なう高価なツールが存在するかもしれないが、幅広い消費者を対象とした攻撃には向いていないとFinancial Timesに回答したとのことだ。

Slackは18日、2015年3月に発生したセキュリティインシデントに関連して新たな情報が得られたとして、全アカウントの約1％でパスワードをリセットすることを発表した(The Official Slack Blogの記事、 HackReadの記事、 The Registerの記事、 ZDNetの記事)。

2015年3月のインシデントは、ハッシュされたパスワードを含むSlackユーザーの情報を格納したデータベースが不正にアクセスされ、攻撃者はSlackのWebサイトでログインする際に入力したパスワードを平文で取得するコードを挿入(当時の発表には記載なし)していたというものだ。

今回、報奨金プログラムを通じてSlackの認証情報侵害の可能性が指摘されたが、当初はマルウェア攻撃やパスワードの再利用によるものだと考えられていた。しかし調査を進めた結果、侵害された認証情報の多くが2015年のインシデント発生中にSlackにログインしたアカウントのものだと判明したという。

パスワードリセットの対象となるのは、2015年3月以前に作成されたアカウントであり、それ以来パスワードを変更しておらず、シングルサインオンの使用が必須になっていないアカウントとのこと。ただし、1%といってもSlackのユーザー数は1,000万人にのぼることから、10万人程度が影響を受けるとみられている。

KLMオランダ航空インド支社の公式Twitterアカウント(@KLMIndia)が旅客機の座席の位置による(事故時の)死亡率をトリビアとして投稿し、その後投稿を削除して謝罪した(The Washington Postの記事、 USA TODAYの記事、 The Vergeの記事、 ANI Newsの記事)。

内容としては、Timeの調査によると旅客機の中ほどの座席の死亡率が最も高く、前方の座席がそれよりもやや低いとし、後方3分の1が最も低いというもの。投稿にはハッシュタグ「#Facts」が付けられており、雲の上に浮かぶ座席の上に「Seats at the back of a plane are the safest! (飛行機の後ろの座席が最も安全!)」と書かれた画像が添付されている。

しかし、投稿に対する疑問や批判が相次ぎ、KLM Indiaはおよそ12時間後に投稿を削除。投稿の内容は公表されている事実であり、KLMの意見ではないとしつつ、投稿したこと自体を謝罪している。

これについて米連邦航空局(FAA)のLynn Lunsford氏はThe Washington Postに対し、座席の位置による死亡リスクは事故の状況によって異なるうえ、事故そのものが少ないことから単純な答えは出せないと述べている。また、FAAのGreg Martin氏は、2009年2月以降死亡事故の発生していない米航空会社の座席ならどの場所でも最も安全だと述べたとのことだ。