ディスクユニオンは29日、同社のオンラインショップ「diskunion.net」および「audiounion.jp」で、大規模な顧客データの漏洩した可能性が高いことが発表された。被害規模は最大70万1000万件にも及ぶ可能性がある。漏洩の可能性が高いのは、「diskunion.net」および「audiounion.jp」に登録されたユーザーの氏名、住所、電話/FAX番号、メールアドレス、ログインパスワード、会員番号。決済を外部委託していることから、クレジットカード情報は漏れていないとしている（diskunion.net側の説明、audiounion.jp側の説明、INTERNET Watchslashdot）。

6月24日に第三者からの情報提供を受けて調査を実施したところ、個人情報の漏洩の可能性が高まったという。このことから同日23時にオンラインショップを停止する処置をおこなった。翌25日に外部調査機関への依頼を実施、28日に警察へ被害報告をおこなったとしている。タレコミによれば、ダークウェブ上に70万件超の顧客情報が流出しているとのこと（satoshi ojimaさんのツイート）。

headless 曰く、

英通信規制当局 Ofcom の調べによると、英国の若い世代のインターネットユーザーは有害コンテンツに対して報告やフラグ付けを行う比率が低いそうだ (ニュースリリース、 Online Nation 2022 報告書: PDF、 Neowin の記事)。

全世代では有害コンテンツに対し 77 % が何らかの対応をすると回答しており、「フォロー解除/友達解除/投稿者のブロック」と「報告/フラグボタンのクリック/ジャンクとしてマーク」がそれぞれ 20 % で最も多い。一方、13 ～ 17 歳では前者が 27 % と全体よりも多いのに対し、後者は 14 % にとどまるとのこと。プラットフォームの使用をやめるという回答は 7 % にのぼり、全世代 (3 %) の倍以上となっている。

なお、12 ～ 17 歳で報告機能の存在を知っているのは 3 分の 1 だといい、これが対応に影響している可能性もある。「報告/フラグボタンのクリック/ジャンクとしてマーク」という回答は 13 ～ 24 歳まで拡大しても 17 % であり、このような対応をしない理由としては必要性を感じない (29 %)、効果が期待できない (21 %)、やり方がわからない (12 %) が多かったとのことだ。

イスラエルのMinerva Labsが20日、Adobe Acrobat Readerにはウイルス対策ソフトによるチェックをブロックする処理が組み込まれており、セキュリティ上の問題があるとする指摘をしたことが話題となっている（Minerva Labs、窓の杜、GIGAZINE）。

Acrobat Readerが内部的に利用している「Chromium Embedded Framework」（CEF）には、特定のDLLと競合する問題を回避するためのブロックリストがハードコードされている。指摘によれば、Adobeは2022年3月以降、このブロックリストを独自に拡張し、著名なセキュリティソフトのDLLを大量に追加。セキュリティソフトのDLLインジェクションを無効化している可能性がある。PDFファイルに仕込まれた悪意のあるアクティビティが監視できなくなり、セキュリティ上のリスクが高まることが懸念されるとしている。

話題の尽きない尼崎市のUSBメモリ紛失問題で、実際にUSBメモリを紛失していたのは市から業務を受託した情報システム会社「BIPROG（旧日本ユニシス）」の協力会社ではなく、その協力会社のさらに依託先の企業の社員であったことが分かった。BIPROGと市が交わした契約書では業務を再委託する場合、市の許可を得る必要があったが、この件では協力会社が無許可で再委託をおこなっていたという。BIPROGYは会見で「協力会社から聞き取る中で認識を誤った」と話しているとのこと（日経クロステック、読売新聞、朝日新聞）。

あるAnonymous Coward 曰く、

>尼崎市 → BIPROGY（旧日本ユニシス）に業務委託 → アイフロントに契約違反の業務委託 → さらに別の会社に契約違反の再々委託

という図式であったことが判明したという。多重下請けなIT業界人の多いスラド諸氏には普通のことかもしれないが、世間一般的にはアウトである。

先日、尼崎USBメモリ紛失騒動が大きな話題となったが、MAMORIOは24日、リモートワーク中の置き忘れや紛失の実態調査の結果を公表した。調査は、20~60代の男女200人を対象としたもので6月17~20日の期間、ネット上でおこなわれた（MAMORIOプレスリリース、CNET）。

この調査によるとリモートワーク経験者のおよそ半数の52.2％が、リモートワーク中に業務に関する物品の置き忘れや紛失を経験しているという。紛失事故を会社へ報告した割合は13％ほどで、残りの87％は報告をしていないとしている。紛失を経験した人のうち7.4％が紛失物を発見できなかったとしている。

なお先の騒動の発端となった兵庫県尼崎市は24日、USBメモリ紛失事件に便乗した詐欺に注意するよう警告した。市職員や警察をかたって金銭や個人情報を聞き出す電話やメールなどが懸念されているという。こうした行為は詐欺であり、求めに応じないよう注意喚起をおこなっている（尼崎市リリース、ITmedia）。

Microsoft がサポートドキュメントなどでの告知を開始しているが、Windows 8.1 の延長サポート終了まで 200 日となった (Microsoft のサポート記事、 Microsoft コミュニティでの告知、 Neowin の記事、 ZDNet の記事)。

Windows 8.1 のサポートは 2023 年 1 月 10 日 (日本時間 11 日) の月例更新を最後に終了し、以降は更新プログラムが提供されなくなる。Windows 7 の時とは異なり、拡張セキュリティ更新プログラム (ESU) も提供されない。StatCounter の 5 月分 Windows バージョン別シェアデータで Windows 8.1 は 3.06 % となっており、数千万台の Windows 8.1 マシンが存在する計算になるが、企業ユーザーは大幅に少ないとみられる。

それでも ZDNet によると、7 月には Windows 7 と同様のサポート終了に向けた通知の開始が予定されているそうだ。事実とすれば Windows 7 と比べて大幅に遅い通知開始となる。スラドの皆さんの周囲に Windows 8.1 は残っているだろうか。

6 月 23 日はジョン・マカフィー氏の一周忌にあたるが、遺体は現在もバルセロナで冷凍保存されているそうだ (elDiario.es の記事、 BetaNews の記事、 Reuters の記事、 Sky News の記事)。

米司法省に脱税行為で起訴されたマカフィー氏は 2020 年にスペインで逮捕され、その後暗号通貨関連の詐欺行為でも起訴されていた。しかし、裁判所が米国への身柄引渡を認めた昨年 6 月 23 日に独房で首を吊っているのが見つかり、死亡が確認された。死因は自殺と判断され、今年 2 月 13 日にはカタルーニャ法医学研究所 (IMLCFC) による司法解剖の結果を裁判所が承認した。

しかし遺族はマカフィー氏が自殺などするわけがないと異議を唱えて上訴しており、遺体は現在も司法機関の集中するバルセロナの司法地区 Ciutat de la Justícia で IMLCFC が保管しているとのことだ。

headless 曰く、

米シカゴ市警察 (CPD) は 21 日、対象者を拘束すべき正当な理由がない限り警察官が徒歩 (走って) や自転車で追跡することを禁ずる新ポリシーを発表した (プレスリリース、 新ポリシー、 ABC News の記事、 NPR の記事)。

正当な理由としては、対象者が重罪または A 級軽罪、他人に危害を及ぼす交通違反を実行している (しようとしている・した) 場合、もしくは誰かに危害が及ぶことが明白な逮捕理由となる違法行為を実行している (しようとしている) 場合が挙げられている。警察官との接触を避けたことを理由とする追跡は禁じられる。さらに追跡の安全性への配慮も必要となり、拘束しないことによる脅威が追跡による危険を上回る、と警察官や上司が判断した場合にのみ追跡が認められる。一般市民だけでなく対象者や警察官の安全は追跡開始・継続の判断を行う際に最も配慮すべき点とされている。

このほか、警察官が負傷して安全に追跡できなくなった場合や第三者の負傷者を救護できる人が他にいない場合、現在地が不明な場合や応援を要請する地点を報告できない場合、危機管理・通信室 (OEMC) や他の署員と連絡が取れなくなった場合、署で支給された無線機や火器その他の装備を紛失し、何者かが手にすれば警察官や一般人を危険にさらす可能性がある場合、対象者に追い付いても取り押さえることができないと合理的に考えられる場合には追跡開始や継続が禁じられる。

安全性に少しでも疑いがある場合は区域の封鎖や捜査員の増員といった別の方法をとるべきであり、追跡を行わないと判断したことに対して警察官や上司が批判されたり処罰されたりすることはないとのこと。シカゴでは昨春、新ポリシーでは禁じられる追跡の末に追跡対象者を警察官が射殺する事件が 2 件発生している。プレスリリースやポリシーに直接的な言及はないものの、この事件が強く影響しているようだ。

6月23日、兵庫県尼崎市は全市民の住民基本台帳などのデータが入ったUSBメモリを紛失したと発表した。USBメモリの中には住民基本台帳に記載されてる情報のほか、生活保護や児童手当を受けている世帯の口座情報なども保存されていたとされる。発表ではUSBのファイルはパスワードをかけて暗号化処理されていたことから、23日11時時点では漏えいは確認されていないとされている（神戸新聞NEXT、NHK、日経新聞、TBS NEWS DIG）。

ところが尼崎市による記者会見の際、USBメモリに設定されたパスワードの桁数に関して職員がバラしてしまうという大失敗を犯している。ネット上ではその公開された桁数を元に、地名や日付を組み合わせてパスワードを推測する行為などもおこなわれていたようだ（ITmedia）。

この騒動に合わせて、「尼崎のUSB」なるものがメルカリに出品されていたことも報じられている。おそらくイタズラだと思われるが商品の説明では、

先日から尼崎で使用しているUSBメモリです。パスワードを書けたまま忘れてしまい、中を開くことができないのでお譲りします。諸事情により、中のデータはそのままで出品いたしますので、新しく使用したい場合は、お手数ですがそちらで初期化の手順を踏んでください。

といった内容が書かれていた。価格は尼崎市の人口に合わせて45万2600円に設定されていた。なおこの出品は現在削除されているとのこと（FNNプライムオンライン[動画]）。この出品物に関しては、尼崎側が偽物であると判定したとのこと。なお紛失した従業員は当日、居酒屋で酒を飲み泥酔、午後10時半に店を出ると、午前3時ごろまで路上に寝ていたことが新たに報じられている（FNNプライムオンライン）。

追記：尼崎市は24日、紛失したとされていた市はUSBメモリーが発見されたと発表した。市は委託業者から電話連絡があり、鞄とともに発見されたとしている。発見された経緯などについては不明（読売テレビニュース、Yahoo!ニュース）。

headless 曰く、

Snyk が Linux Foundation の協力によりまとめた報告書「State of Open Source Security 2022」によると、オープンソースパッケージの依存関係によりソフトウェアサプライチェーンの複雑さが増し、脆弱性の修正にかかる時間が長くなる傾向がみられるそうだ(プレスリリース、 BetaNews の記事)。

オープンソースパッケージは現代的なアプリケーションで重要な要素となっており、開発者は数多くのオープンソースパッケージをプロジェクトで使用する。プロジェクトごとの直接的な依存関係は平均 80、最も多い JavaScript プロジェクトでは平均 174 まで増加する。依存関係は直接的なものだけでなく、推移的 (間接的) な依存関係もある。推移的依存関係は見えないリスクを生むだけでなく、修正も困難だ。脆弱性全体の 40 % が推移的依存関係で見つかっており、プロジェクトごとの平均的な脆弱性の数 49 に対し、18 ～ 20 が推移的依存関係から発生することになる。

その一方でオープンソースソフトウェア (OSS) の開発・利用に関するセキュリティポリシーを確立している組織は 49 %。組織内の OSS のセキュリティを信頼していないという回答は 41 % にのぼる。ただし、72% は 2022 年末までにある程度以上のセキュリティを確保できると回答しているという。オープンソースプロジェクトで脆弱性が修正されるまでの (平均) 時間は 2018 年の 49 日間から 2021 年には 110 日間まで増加しており、プロプライエタリプロジェクトよりも 18.75 ％ 長い時間を要するとのことだ。

あるAnonymous Coward 曰く、

GIMP for windowsがMicrosoft Storeで公開されたが、これは偽物対策ということのようだ。(公式、窓の杜)

少し前には、CrystalDiskInfo及びCrystalDiskMarkの開発者であるhiyohiyo氏が、Microsoft Storeに登録された偽物への対応を行った一連の流れをTwitter上で報告している。(5/30のツイート、当該スレッド)

Microsoft Store上で公式/非公式の判断がつけばよいのだが、現状ではStore外で公式からの情報を得なければ難しいように思われる。ユーザーとしてどのような点に注意をしているか等、スラド諸氏の意見を求めたい。

徳島県のつるぎ町立半田病院は、2021年10月にランサムウェアに感染し、院内のカルテが閲覧できなくなるなどの被害を受けた。この問題に関して同病院は調査報告書を町議会に提出した。それによれば、感染経路は米Fortinet製のVPN装置経由である可能性が高いという（つるぎ町立半田病院リリース、有識者会議調査報告書[PDF]、日経クロステック）。

過去の同様の事例と同じくVPN装置に脆弱性があり、この問題を放置していた点に加えて、病院内LANも閉域網だから安全だとしてWindowsアップデートに関してもグループポリシーによって実施しない設定になっていたり、電子カルテシステムの導入時に不具合が生じたことから、導入していたウイルス対策ソフトの運用およびパターン更新に関しても実施されていなかったといったいろいろな面で非常に問題のある内容であったようだ。

あるAnonymous Coward 曰く、

「パスワードは最小桁数が 5 桁であったこと、一定回数以上、ログオンに失敗した際に一定時間ログオンを制限するロックアウトの設定は無かったことなど「総当たり攻撃」を容易に行えてしまう状況であった。また、半田病院としてはウイルス対策ソフトを導入していたが、電子カルテシステムの導入時に不具合が生じたため、同セキュリティ対策ソフトは動作させていなかった」

主張(予算が無いし予算を要求できる空気でも無いからベンダーに無料で頼るしか無かったけどそうしてもらえなかった)含めこれは困った事ですね。

headless 曰く、

Microsoft は 16 日、Microsoft Defender の個人向け提供を発表した (Microsoft Security Blog の記事、 製品情報、 Neowin の記事、 Ars Technica の記事)。

Windows 標準の「Windows セキュリティ」ではマルウェア対策に「Microsoft Defender ウイルス対策」を使用しているが、今回提供が始まった Microsoft Defender は別のアプリだ。Microsoft Defender は Windows のほか、Android や iOS、macOS (このリンクのみダウンロードリンクなので注意) デバイスの保護にも対応するクロスデバイスアプリであり、デバイスを一か所で管理可能なユーザーインターフェイスが提供される。日本で Microsoft Defender を使用するには Microsoft 365 Personal のサブスクリプションが必要だ。

あるAnonymous Coward 曰く、

イオンでコンサル契約の元に仕事した際のDX戦略に関する内部資料を、競合企業のセブン＆アイHDでの会議の際に、イオンの社名すらも付いたまま会議資料として出してしまったという。この資料はさらに雑誌「週刊ダイヤモンド」にて『特集 セブン DX敗戦』の中で一般公開もされてしまった。競合他社にそのまま資料を持っていくのは、さすがに杜撰過ぎるだろう…（イオンリリース[PDF]、ITmedia、J-CAST ニュース）。

英内務省は 17 日、プリティ・パテル内務大臣がジュリアン・アサンジ氏の米国への身柄引渡命令に署名したことを明らかにした (ニュースリリース、 The Register の記事、 The Verge の記事、 BBC News の記事)。

2003 年身柄引渡法によれば、内務大臣は身柄引渡を裁判所が認めた人物について、身柄引渡先で死刑になる危険がないこと、要求理由以外の罪を裁かれることがないこと、他の国から身柄引渡または国際刑事裁判所 (ICC) から送致された人物であって、元の国や ICC が合意していること、といった要件を満たす場合に身柄引渡を命ずる必要がある。アサンジ氏は 14 日以内の異議申立が可能だ。

WikiLeaks で数多くの機密文書を公開したアサンジ氏について、米政府は国家安全保障法に違反してスパイや外交官を危険にさらした犯罪者とみなしているが、アサンジ氏の支持者は調査報道ジャーナリストかつ告発者とみなしている。アサンジ氏との間に2人の息子がいるパートナーのステラ・モリス氏は声明で、パテル氏が調査報道ジャーナリズムを犯罪扱いした米国の共犯者として永遠に記憶されるだろうと批判し、今後もアサンジ氏解放に向けた闘いを続ける意思を示している。