あるAnonymous Coward曰く、

GitHub上に「SecLists」という、よくあるパスワードなどをまとめたリポジトリがあるのだが、そこに「Remove my password from lists so hackers won't be able to hack me」（リストから僕のパスワードを削除してください。そうすればハッカーが僕をハッキングすることはなくなるはずだ）というプルリクエストが届き、大いに盛り上がりを見せているらしい（該当のプルリクエスト、GIGAZINE）。

どうやら投稿したassafnativさんのパスワードはdolphinsだったようで、問題のプルリクエストでは一覧からdolphinsだけがせっせと削除されている。これに対して、ほかのユーザーからは総ツッコみが入っており、「全世界が君のパスワードを知った」「12345も消すべきだ」「ファイル名を10_million_password_list_top_1000.txtから999に直してください」など大量のレビューが寄せられている。

果たしてassafnativさんが本気だったのかは定かではないが、案外こういう人はいるのかもしれない。

内閣府と経済産業省で非常勤参与を務めていた斎藤ウィリアム浩幸氏に対し、経歴詐称の疑いが出ている。これに対し斎藤氏はブログで「事実と異なる経歴を語ってしまった」と認め、非常勤参与を辞任している（朝日新聞、産経新聞）。

この問題が注目された発端は山本一郎氏による指摘だった。ここでは斎藤氏が医師免許を取得したと自称しているにも関わらず実際にはその証拠が見つからなかったこと、東京電力福島原子力発電所事故調査委員会で「CTO」という肩書きで働いていたとされているが実施兄はそういった役職は存在しなかったこと、「サイバーセキュリティ専門家」をうたうにも関わらずその発言については正しくないという指摘が相次いでいたことなどが指摘されている。

さらにその続報ではそれ以外の斎藤氏の経歴についても疑問が呈されている。

転売のため人気イベントのチケットを買い占めるのに使われていたボットがターゲットを人気のおもちゃに切り替えているとして、米上院議員のチャック・シューマー氏が小売業界団体に対策を要請している( プレスリリース、 VentureBeatの記事、 Consumer Reportsの記事)。

米国ではシューマー氏らの提案によるBetter Online Ticket Sales Act of 2016(BOTS Act)が昨年成立し、ボットによる大量のチケット購入や転売が禁じられている。しかし、チケット以外の商品には適用されないため、ターゲットを変更したとみられるという。ボットはおもちゃの購入ページが公開される前にURLを推定し、Twitter APIを使用していち早く販売開始を察知する。購入ページではサイズの選択や送付先、決済情報などを瞬時に入力できるため、一般の購入者が入力を完了する前に品切れとなり、eBayやAmazonで数倍以上の価格で購入するしかなくなるとのこと。

ニューヨーク州選出のシューマー氏はボットをクリスマス嫌いのグリンチになぞらえ、「グリンチボットにクリスマスを盗ませたり、ニューヨーカーの財布から金を盗ませたりしてはならない」と述べている。

2015年に開催された内閣府主催のセキュリティ関連イベント「Cyber3 Conference Okinawa 2015」の公式サイトとして使われていたドメイン「cyber3conf-okinawa2015.jp」が失効後に第三者に取得され、出会い系サイトの広告に使われていることが判明した（Securrity Next）。

同ドメインは国内・海外の複数のサイトからリンクされており、コンテンツへの誘導目的でドメインが取得され使われていると思われる。

SplashDataによる2017年の最悪なパスワードランキング「Worst Passwords List」で「123456」が5年連続の1位となっている(プレスリリース、 RAPPLERの記事、 Mac Rumorsの記事、 Neowinの記事)。

SplashDataは2011年以降、その年に流出したパスワードから多くのユーザーが使用しているパスワードをランキングにして公表している。今回のデータは2017年に流出した主に北米と西欧のユーザーのパスワード500万件以上をまとめたもので、3%近くの人が「123456」を使用しており、25位までのパスワードを使用している人が10%近かったそうだ。なお、アダルトサイトと米Yahoo!からの流出分は除外したとのこと。「123456」は2013年に「password」を抜いて1位になって以降、5年連続でトップの座を維持している。「password」も5年連続の2位となった。

EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事、 Ars Technicaの記事)。

EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。

Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。

あるAnonymous Coward 曰く、

一部のモバイルWiFiルーターは、PCにUSB経由で接続して利用した際にPCに直接グローバルIPアドレスを割り当てるという挙動をするそうだ。一部のマルウェアはこれを利用してPCを狙った攻撃を行っているという（徳丸浩のTweet、INTERNET Watch）。

PCに直接グローバルIPアドレスが割り当てられることで、PCの設定によってはインターネットから直接PCの全ポートへのアクセスが可能になるおそれがある。これを利用し、PCにインストールされているソフトウェアの脆弱性を攻撃してマルウェアに感染させるという攻撃が実際に発生しているそうだ。具体的には、IT資産管理ソフト「SKYSEA Client View」の脆弱性が狙われたとの報告があるという。

あるAnonymous Coward 曰く、

日本航空が「偽の請求書が添付された電子メール」にだまされて振り込んでしまう被害に遭ったという（Aviation Wire、朝日新聞）。

偽の請求書の名目は香港で航空機リース料が約3億6000万円、米合衆国で貨物の地上業務委託料が約2400万円で、これにに従って香港の別々の銀行口座に振り込んでしまったという。偽と気が付いた時には、振り込んだ金銭はすでに引き出されていたという。日本の担当者は香港の口座情報を確認していなかった。

セキュリティ企業Sophosによると、近年特定の企業や個人を狙ったマルウェアが増えており、最近のマルウェアの約75％は1つの企業でしか発見されないものになっているという（マイナビニュース）。

こういった傾向は「標的型攻撃」と呼ばれており、攻撃によって企業から情報や金銭を得ることが目的と見られる。日本企業もターゲットとなっており、さまざまな企業や公的機関が狙われているという（読売新聞）。さらにこういったマルウェアは企業が行っているセキュリティ対策をすり抜けられるような対策が取られており、気付かずに感染したPCが使われているケースも少なくないのではないかとみられている。

ユーザーの目につきにくい位置にWebブラウザーのポップアップウィンドウを開き、仮想通貨採掘スクリプトを実行する手法が確認されたそうだ(Malwarebytes Labsの記事、 Ars Technicaの記事、 The Registerの記事、 Windows Centralの記事)。

Webページ閲覧者の合意を得ずに仮想通貨採掘スクリプトを実行する「cryptojacking」や「drive-by cryptomining」などと呼ばれる手法は、サーバーの脆弱性を突いて第三者がスクリプトを埋め込む例が数千件確認されて問題になっている。ただし、マルウェアで仮想通貨を採掘するのとは異なり、仮想通貨採掘スクリプトは別のページに移動したり、ブラウザーを終了したりすれば停止させることができる。

新たに発見された手法は、Windowsのタスクバーに隠れる位置を指定してポップアップウィンドウを開くというものだ。ポップアップウィンドウの存在はタスクバーのボタンで確認でき、タスクバーを半透明にしていれば透けて見える。また、タスクマネージャーでもWebブラウザーのプロセスが残っていることは確認できるが、注意を払っていなければそのままになる可能性もある。演算量を絞ることで気付かれにくいようにする手法も用いられているようだ。なお、動作はGoogle Chrome上で確認されており、別のWebブラウザーでは結果が異なる可能性もある。

無断で行われる仮想通貨採掘には、仮想通貨「Monero」を採掘するCoinhiveのスクリプトが使われることが多いようだ。Coinhiveのスクリプトをブロックする方法は9月にAdblock Plusが紹介しているが、スクリプトを別のサイトでホストし、JQueryやGoogle Analyticsに偽装することでブロックを迂回する手法も確認されている。仮想通貨採掘スクリプトはWeb広告に代わる存在となることも期待されているが、現在のところ悪い話の方が目立っている。