6月27日に放映された日本テレビの「世界一受けたい授業」を見た視聴者が、番組内でセキュリティを守るための方法として紹介された「SIMカードロック」を試したところ、入力ミスによりSIMカードロックされてしまう事例が複数発生しているようだ（すまほん、ITmedia）。

SIMカードロックは、端末の再起動時やSIMを別端末に入れ替えたときに、4~8桁のPINコードを入力しないとSIMカード自体にロックがかかり、通話ができなくなる仕組み。端末を紛失したときの予防策として有効な面もあるが、スマートフォンの仕組みなどを理解している上級者向けの仕組みといえる。

SIMカードロックの具体的な仕組みは、すまほんやITmediaの記事を見てほしいが、設定自体が非常に複雑なため、視聴者がやり方を間違えてとロックをかけてしまう事例が多発したようである。端的に言えば、番組内でのリスク説明などが不足していたものと見られている。なお日本テレビは6月30日現在、番組の公式サイトのトップでこの問題についての告知を行っている。

パキスタン国際航空(PIA)は25日、免許の正当性が疑われるパイロットの乗務を停止すると発表した(PIAのツイート[1]、 [2]、 Associated Press Newsの記事、 Aviation International Newsの記事)。

この発表は97人が死亡した5月22日のPIA8303便墜落事故について、航空事故調査委員会(AIIB)の暫定報告書(PDF)が公表されたことを受けたものだ。報告書では8303便の機長と副操縦士に適切な資格と経験があったとしつつ、乗務員の記録や書類の精査が必要だと記載しており、航空相は発表の際にパキスタンのパイロット860人のうち262人は偽の免許証を持っていると述べたそうだ。

PIAによれば、免許証自体は当局が発行したものであり、当局の記録上は正当なものだが、取得にあたって何らかの問題があって調査が行われることになったという。APの記事ではPIAが発表した内容として、乗務停止になるパイロットは150人で、免許を替え玉受験で取得した疑いがあると説明している。

あるAnonymous Coward 曰く、

政府が大学などから国外に技術が流出しないように対策を取る。国から研究費の補助を受けている場合に限定されるが、外国企業からの資金援助を受けている場合、その情報開示を義務づける方針。中国を警戒する米国の経済安全保障政策に合わせる形となる。

現時点では、研究室が政府の補助を受けていても、ほかの国や企業といった組織に関する情報を開示する必要はない。このため、政府が重要と考えている研究であっても、中国などの国外機関の関与があるかどうかは把握できていないという。

東京大学・大学院には、外国人留学生が4000人以上いるとされ、そのうち中国籍は6割を占めているそうだ。人工知能（AI）の開発などでは、中国人留学生が研究を支えているのが現実他という。一方で輸出規制対象となっている技術や製品を持ち出そうとする例もあるという。中には中国軍との関わりがあった人物もいた模様（日経新聞）。

米中央情報局（CIA）が初めて、動画を使った「スパイ」募集活動に乗り出したことが話題になっている。動画は90秒・60秒・15秒のものがあり、ネットフリックスやHuluなどの動画ストリーミングサービスで配信されるとのこと。求人対象は18歳から35歳までだそうだ。

動画はスパイの活動の様子などが描かれ、動画では「CIAでキャリアをスタートさせれば、国のために想像以上のことができる」とCIAの役割や重要性などを説く内容となっている。こうした動画を作成した理由として、CIA広報担当者は「最も優れた才能を獲得するには、旧来型の求人方法だけに頼っているわけにはいかない」と説明している（ロイター、時事通信、テレ東NEWS）。

Twitterである探偵会社の事例集がバズっているようだ。調査手法としてアナログな取材を偽装する方法だけでなく、スパイウェアを仕込んだメールを送りつけたりもするという。またハードウェアタイプのキーロガーを子供のPCに取り付け、ログイン情報やパスワードの入手などもしている。

また業務をサボっていないかを調べるために、タイプ数カウントツールの導入を提案したりとかなりハイテクな感じとなっている（Togetter、相沢京子調査室）。

システムの不具合を理由にサービスを停止していたTISのリモートアクセスサービス「RemoteWorks」が、サービスを終了するとのこと。大規模な不具合の修正が必要になり、対応が難しいとの判断のようだ（日経新聞）。

当初TIは利用者数が急増したために不具合が発生したとしていたが、その後他の利用者のユーザーIDが表示されるという問題が発覚していた。

新型コロナウイルス感染拡大の影響で延期されていたTLSバージョン1.0および1.1（TLS 1.0/1.1）の無効化がついに行われるようだ。Firefoxでは、6月30日公開のFirefox 78でデフォルトでTLS 1.0/1.1の無効化が行われる（MozillaのBugzila、 Firefoxサイト互換性情報）。

HTTPSなどの暗号化通信で使われるTLSのバージョン1.0および1.1では脆弱性が発見されており安全ではないとして、2020年中に主要WebブラウザではTLS 1.0/1.1のサポートが廃止される方針だった

Firefoxだけでなく、Google Chromeの次期バージョンであるChrome 84でもTLS 1.0/1.1のサポートが削除される予定（窓の杜）。

headless曰く、

Braveブラウザーの検索ボックスに特定のURLを入力すると、入力補完の候補にアフィリエイトコード入りのURLが提示されることが発覚した（Android Police、The Verge、Softpedia、ブレンダン・アイク氏のツイート）。

最初に問題化したのは暗号通貨取引サイトBinanceのURLを入力したときの動作だ。「bina」ぐらいまで入力するとアフィリエイトコード入りのURLが提示されるが、「binance.com」または「binance.us」まで入力するとアフィリエイトコード入りのURLが第1候補として選択された状態になる。そのため、別の候補を選択しない限り、Enterキーを押すとBraveのアフィリエイトコード入りURLに移動する。付加されるアフィリエイトコードはBinanceの紹介プログラムのもので、紹介者は紹介したユーザーの取引手数料の一部を受け取ることが可能になるという。

Braveは3月にBinanceとの提携を発表し、新規タブページから直接暗号通貨の取引を行える仕組みを導入している。入力候補へのアフィリエイトコード追加はその一環だったようだが、Brave Software CEOのブレンダン・アイク氏は誤った判断だったとして修正を約束している。アイク氏によればサーチエンジンと提携したブラウザーが検索クエリにアフィリエイトコードを含めることにヒントを得たとのことだが、入力したURLに何かを付加するべきではなかったとのこと。

なお、Binanceとは違って第1候補にはならないようだが、Ledgerなどの暗号通貨取引サイトのURLを入力した場合にもアフィリエイトコード入りのURLが提示される。ただし、アイク氏はLedgerの件は知らないと説明し、すべてのアフィリエイトコードを自動補完のデフォルトから削除すると述べている。

ちなみに、Braveの設定画面の「デザイン」（brave://settings/appearance）で「Show Brave suggested sites in autocomplete suggestions」をオフにすれば、未訪問のアフィリエイトコード入りURLは入力候補に表示されなくなる。

ソニーのBluetooth接続ヘッドホンで、第三者がペアリングして外部からヘッドホンを操作できる脆弱性が見つかった。これにより、利用者が意図しない音量変更などの操作が行われる可能性があるという（INTERNET Watch、JVN#67447798）。

すでに問題となっている製品向けにはセキュリティアップデートが提供されている。

Anonymous Coward曰く、

ニンテンドー3DSやWii Uなどのネットワークサービスで利用されている「ニンテンドーネットワークID」に対し不正アクセスがあり、合計で約30万件のアカウントで情報漏洩の可能性があることが分かった（ITmedia、ニュースリリース）。

4月には約16万件のアカウントで情報漏洩の可能性があるとの発表がされていたが、今回調査の結果追加で約14万件のアカウントでも情報漏洩の可能性があることが分かったという。クレジットカード情報の漏洩はないものの、「全体の1％未満」のアカウントで不正な取引が行われた痕跡が見つかったという。

任天堂によると、任天堂以外のサービスから漏洩したIDとパスワードを使ってログインが試行されていたという。なお、任天堂の最新ゲーム機であるNintendo Switchやスマートフォン、PCから任天堂のネットワークサービスを利用する場合、ニンテンドーネットワークIDではなく「ニンテンドーアカウント」を利用するようになっている。以前はニンテンドーネットワークIDを使ったニンテンドーアカウントへのログインも可能だったが、この不正アクセス問題を受けてこの機能は停止されている。

公開後すぐに不具合が発生したために停止され、その後再公開されるもまたすぐ不具合が確認されて再び停止していた厚生労働省の雇用調整助成金オンライン受付システムだが、再停止になった原因はWebブラウザで特定の画面を閲覧中に「戻る」操作を行うと特定の事業者の申請内容を表示するようになっていたためだという（ITmedia、NHK、日経xTECH）。

表示される情報には役員や従業員の氏名、生年月日、給与、法人の口座情報などが含まれていたとのこと。申請書類をダウンロードすることもできたようだ。厚生労働省はテストが不十分だったとしており、また不具合があるとして停止された最初のバージョンでもこの不具合が発生していた可能性が高い。

このシステムは富士通が約1億円で受注したもので、開発・保守・テストをそれぞれ3社に外注していた。

taraiok曰く、

人気の高いオープンソースプロジェクトの上位54本を分析した結果、セキュリティの脆弱性が1年で2倍に増えていたことが判明した。2018年に報告されたバグは421個であったのに対して、2019年には968個に倍増していたという。RiskSenseの「The Dark Reality of Open Source」レポートによれば、2015年から2020年3月の間で人気オープンソースプロジェクトで2,694個のバグが発見されたとしている（ZDNet、Slashdot）。

Linux、WordPress、Drupalといった超人気プロジェクトに関しては、セキュリティバグがニュースとして報じられるため、このレポート内には含まれていないという。RiskSenseのレポートには、Jenkins、MongoDB、Elasticsearch、Chef、GitLab、Spark、Puppetといった、一般的な知名度は高くないがテクノロジーおよびソフトウェアコミュニティで広く利用されているプロジェクトを対象としている。

今回の調査で同社は、多数のセキュリティバグが公開されてから数週間が経過した後で脆弱性データベースNational Vulnerability Database（NVD）に報告されたことを問題視している。54のプロジェクトで発見されたバグに関しては、NVDに報告されるまでに平均で約54日を必要とした。PostgreSQLではPostgreSQLでは8か月に及ぶ報告の遅れが見られたとしている。こうしたレポートの遅延により、企業が攻撃にさらされたままになっている状況が発生していたとしている。

Anonymous Coward曰く、

神奈川県庁で使われていたHDDを、その処理を請け負った企業の社員がネットオークションなどで転売していた事件で、窃盗の罪に問われていた元社員に対し懲役2年・執行猶予5年の判決が言い渡された（ITmedia、日経新聞）。

求刑は懲役2年だったのでほぼそのままの判決。初犯なので執行猶予もまあそうでしょうねという感じ。

headless曰く、

アカウント情報流出通知サービスHave I been pwned?（HIBP）からの通知メールがIT資産管理ツールGLPIのSQLインジェクション脆弱性を意図せず突き、GLPIを使用している企業のヘルプデスクに登録されていたサポートチケットをすべて上書きするトラブルが発生したそうだ（fyr.io、The Register）。

問題の脆弱性CVE-2020-11032はSQLインジェクション文字列を含むチケットを登録し、addme_assignまたはaddme_observerボタンをクリックするとSQLインジェクションが引き起こされるというものだ。この脆弱性はGLPI 9.4.6で修正されており、問題発生時にはGitHubで既に公開されていた。しかし、この時点ではGLPIプロジェクトのダウンロードページは更新されておらず（5月29日のInternet Archiveスナップショット）、影響を受けたMatt氏の会社では脆弱性のあるGLPI 9.4.5を使用していたそうだ。現在はGLPIプロジェクトのダウンロードページでもGLPI 9.4.6が公開されているものの、あわてて差し替えたのかバージョンの下には9.4.5と同じ日付（18/12/2019）が記載されている。

HIBPからの通知メールには「';--have i been pwned?」というロゴが入っているのだが、画像ではなくテキストであり、これがSQLインジェクションを引き起こしたらしい。Matt氏の会社ではヘルプデスクのサポートアドレスを通知先としてHIBPに登録しており、このアドレスで受信した電子メールは自動でチケットに登録される仕組みになっていたという。そのため、Matt氏がチケットを自分に割り当てたところSQLインジェクションが引き起こされ、登録済み全チケットの説明フィールドの内容が消去されてHIBPロゴの一部に置き換えられてしまったとのこと。

Matt氏は実験を繰り返し、「';-- "」の6文字を入力したフィールドが影響を受けることを確認。ここまで手間をかけたうえでバグを報告しようとGitHubページを訪れたところ、1か月近く前に修正済みだったと知ることになる。チケット自体は前夜にバックアップを取っていたため、失われたデータは少なかったとのことだ。

GMOインターネットのドメイン名取得サービス「お名前.com」が顧客に提供している管理ツール「お名前.com Navi」で、第三者が顧客の情報を改ざんできるという脆弱性が見つかった（お名前.comによる発表）。すでにこの問題は修正されているとのことだが、この脆弱性を悪用された被害が発生している（Piyolog、Shooting!!!）。

現時点でこの脆弱性を使った攻撃を受けたことを報告しているのは、仮想通貨取引所を運営するコインチェックとbitbank（コインチェックの発表、bitbankの発表）。

いずれも不正にドメイン登録情報が書き換えられていたというもので、コインチェックについてはこの影響で2020年5月31日から6月1日までの間、顧客からのメールを第三者が不正に閲覧できる状態になっていたという（コインチェックの最終報告）。bitbankについては、取引所や顧客サポートでは今回問題となったドメインとは別のドメインを使っていたため、実害は発生していないという。