最近ではNintendo Switch向け人気ゲーム「スプラトゥーン2」でのチートが増えているほか、Nintendo Switch向けゲームの海賊版などが出回り始めているという噂がある。しかし、安易にこれらに飛びつくと最悪利用した本体で任天堂のネットワークサービスが一切利用できなくなる可能性もあるようだ。

Nintendo Switchには端末毎に認証用のクライアント証明書が埋め込まれており、これを使って不正な行為を行った端末のブロックが行えることがハッカーによる分析で明らかになっている（Ars Technica）。この情報は、Nintendo Switchのハックを試みているSciresMというハッカー集団が公開したもの。これによると、Nintendo Switchでは非常に強固な海賊版対策機構が導入されており、海賊版ソフトウェアの実行を検知できるという。

Switchでは、ゲームプレイ時にオンライン接続を行う際に次のような手順を踏むという。

1. インターネットに接続されているかを確認する
2. 本体固有の認証トークンを取得する（BANされた本体ではこのトークンを取得できない）
3. ニンテンドーアカウントの認証を行う
4. プレイするタイトルごとのアプリケーション認証トークンを取得する

2.の本体固有の認証トークンの取得には、本体内に暗号化されて格納されている秘密鍵データを使用し、このデータは工場出荷時に書き込まれるため改変ができないという。このデータはARMの「TrustZone」という技術を使った、アクセスに特別な手順が必要な領域に格納されている。Switch上で動作する一般のソフトウェアからこのデータにアクセスすることは不可能だという。

また、3.のタイトルごとのアプリケーション認証トークン取得については、ゲームカートリッジからゲームを起動する場合はそのカートリッジ毎にユニークな認証データを、ダウンロード購入したゲームを起動する場合はタイトルIDや本体の情報、ニンテンドーアカウント情報などが含まれる「チケット」データを任天堂のサーバーに送信して認証が行われるという。

最近ではこういった不正防止技術が実際に使われ、海賊版の作成に使われたと見られるゲームカートリッジが無効にされるという例も発生しているという（Nintendo Life）。

hylom 曰く、

風力・太陽光発電プラントの監視システムをGoogle Cloud Platform(GCP)上で構築・運営していた企業が突然アカウントを一時停止され、システムを運用できなくなるというトラブルが発生したそうだ(Mediumの記事、 The Registerの記事)。

このシステムは、8か国にわたって設置された数百の設備を1か所で24時間/365日監視するという大規模なもので、状況に応じて発電量を調整するといったクリティカルな作業も行っていたという。

しかし、6月28日に全サイトがダウンしているとUptime Robotからの警告があり、Googleからは「potential suspicious activity (潜在的に疑わしい活動)」を検出したので全システムを停止したと知らせる電子メールが届く。その時点で既にクラウド上のアプリケーションやデータベースに接続できない状態になっており、カスタマーサービスチャットや電話連絡もできなかったそうだ。

Googleが検出した疑わしい活動はサービス料金の支払いに関するもので、クレジットカードと政府が発行したクレジットカード名義人の写真入り身分証明書の写真を3営業日以内にアップロードするよう求めていた。そこでシステムの運営担当者がカードの名義人に連絡を取って情報を送信したところ、20分後にはシステムが復帰したそうだ。このときはカード名義人のCFOにすぐに連絡が付いたため数時間のダウンタイムで済んだようだが、情報送付が遅れたらすべてのアプリケーションやデータを削除するとも記載されていたとのこと。

なお、これを報告しているユーザーによれば、AWSではサービスをブロックする前に警告し、ユーザーが事情を説明したり問題を解決したりする猶予を与える、より「人間的な」方法で決済に関する問題を解決するという。こういった問題が解決されない限り、今後新しいプロジェクトをGCPで構築することはないとも述べている。

昨年末に 8 万件余の個人情報漏洩インシデントを発生させた大阪大学だが (2017 年 12 月 14 日のスラド記事参照)、その顛末と後始末 (の一部?) と大阪大学が目指すインシデント対応チーム (Computer Security Incident Response Team: CSIRT) の在り方に関する記事が掲載されている (ITmedia 記事前編, 後編) 。

記事によると「CSIRT は疎まれてしまっては機能しない」「信頼関係重要」「構成員の利益を損ねるようなゴリ押しをしない」「一人 CSIRT よくない」「情報リテラシーが高い人に合わせるな」といった文言が並ぶが、理想論に過ぎず脳内にお花畑が咲いているのではないか、迅速な対応が困難なのではという感がある。

スラドをお読みの諸氏におかれましては今まさに CSIRT として働いている・働かされている方もおられるだろうし、インシデント対応に駆り出された経験がある方も少なくないと思う。やらかした組織の後始末としてこの対応はどう感じられるだろうか。

あるAnonymous Coward曰く、

日本経済新聞の社員男性が別部署の社員の業務用PCを分解し、HDDから営業秘密とされていたデータを窃取していたことが明らかになった（読売新聞、朝日新聞、時事通信）。

窃取されたデータは日経新聞社員約3000人の賃金などのデータ。このデータは昨年12月にこの男性によって別の組織に提供され、その組織がこの情報を公開したことで発覚した。この社員は情報漏えいを理由に6月5日に懲戒解雇されるとともに、警視庁への刑事告訴も行われているとのこと。

この男性はこれ以外にも、日経新聞電子版の読者の個人情報（約34万人分）や日経ヴェリタスの読者情報（約3万6000人分）も持ち出していたという。

分解したPCは情報をコピーした後元に戻していたとのことで、そのため発覚が遅れたようだ。この男性はサービス残業に不満がありこの情報を外部に漏らしたと主張しているという。

なお、この事件を受けて日経新聞は謝罪記事を公開したが、公開当初は有料会員以外は記事の一部しか読めない「会員限定」の記事となっており、「お詫び記事も有料か」などとの指摘が出ていた（J-CASTニュース）。

あるAnonymous Coward 曰く、

GoogleはHTTPSプロトコルの採用を促進することで、ウェブ上のセキュリティを強化する方針を打ち出している。これに対し反対する声がSlashdotで紹介されている（Slashdot）。

反対の理由としては、まずGoogleが勝手にWebのルールを決めることに対する反感が挙げられている。それに加えて、Web上にはメンテナンスされていないWebサイトのコンテンツがあり、こういったコンテンツはHTTPに対応できないといったことが挙げられている。そのため、GoogleのHTTP廃止計画が成功すれば、多くの過去のWebサイトのコンテンツにアクセスできなくなる可能性があるとし、Googleの試みは、大量の本を燃やす焚書のようなものだと指摘している。

またSlashdot読者の一人は、HTTPで運用されているの多くは、ユーザーデータを収集したり、ユーザーとのやりとりを提供していないことから、HTTPSを使用しない「リスク」は無関係であると指摘している。

オンラインゲームのチートツールに仮想通貨を採掘（マイニング）するための機能を隠して埋め込んで配布していた兵庫県の男性に対し、仙台地裁が懲役1年、執行猶予3年の判決を下した（河北新報、@niftyニュース）。

被害者がこのツールを自分のPCにダウンロードして実行するとマイニングが実行され、被告がそれによって仮想通貨を得られるようになっていたという。

なお、先日Webサイトに採掘用のスクリプトを埋め込んでWebブラウザに採掘を実行される行為が摘発されたが、今回の案件はこれとは異なるもの。

headless曰く、

Googleの次期モバイルOS「Android P」ではWPS（Wi-Fi Protected Setup）のサポートが廃止されるようだ（Android Police）。

Android Pでは5月のDeveloper Preview 2（DP2、API 28）でWifiManagerクラスのWPS関連メソッドやフィールド、WifiManager.WpsCallbackクラス、WpsInfoクラスが非推奨になっており、設定→Wi-FiでもWPSオプションが削除されていたらしい。これらの点はDP2の段階でIssue Trackerに上がっているが、動作変更点としては記載されないままDP4までWPSオプションは復活していない。

Wi-Fi機器間での暗号化設定をPINやボタンで容易に実行できるようにするため策定されたWPS規格だが、PIN認証では総当たり攻撃が可能な脆弱性が発見されている。しかし、WPS規格ではPIN認証が必須となっていることから、新しいルーターの中にはWPS搭載を避ける機種も増えているそうだ。

7月14日、フランス革命記念日(パリ祭)のパレードにフランス軍のサイバー防衛部隊(COMCYBER)が初めて参加したそうだ(La Revue du Digitalの記事、 LCIの記事、 RTLの記事、 The Vergeの記事)。

2017年に発足したCOMCYBERは情報システムの防衛、サイバー攻撃の無力化、サイバー空間での作戦行動などを担う。3,400人以上の隊員のうち、パリのシャンゼリゼ通りで行われたパレードに参加したのは56人。中には一度も行進をしたことがない隊員もいたため、2か月以上にわたる行進の訓練が行われたとのことだ。

headless曰く、

性的暴行を受けた時に警察へ通報する機能を搭載するスマートブラをシンガポールのデータサイエンティスト、スコット・ファン氏が開発したそうだ（South China Morining Post）。

ファン氏の作成したプロトタイプは圧力センサーと心拍センサーを搭載。胸にかかる圧力の増加と心拍数の増加が同時発生した場合に警察へ通報する仕組みだ。任意の連絡先に通知を送ることも可能だという。

スマートウォッチなどのウェアラブルデバイスで同様の通報機能を利用できるものもあるが、ファン氏のスマートブラは着用が一見してわからないため、事前に外されてしまうといった事態を避けることができるとのこと。

ファン氏のスマートブラはプロトタイプでのテストが完了しており、製品化に向けた改良の段階に入っているそうだ。このデバイスは任意のブラジャーに装着可能で、着用時の不快感もないとのことだ。

あるAnonymous Coward曰く、

Google Chrome 67がリリースされたばかりだが、Chrome 65で修正されたはずの「Download bomb（ダウンロード爆弾」バグが復活したという。Bleeping Computerのテストによると、Firefox、Vilvadi、Opera、Braveなどのブラウザにも影響を与えているとしている。Internet ExplorerとEdgeには影響はない（Bleeping Computer、FOSSBYTES、Appuals、Slashdot）。

Download bombはファイルをダウンロードしてローカルに保存するAPIを悪用したもので、悪意のあるページにアクセスした際に何百から何千ものダウンロードを行わせてブラウザをフリーズさせるとともに、この問題を解決するための「サポート電話番号」を提示、ブラウザのロックを解除するために一定の金額を要求するといった「テクニカルサポート詐欺」などで使われていた（ 過去記事）。

皮肉なことに最新のChrome 67（67.0.3396.87）でこの問題が復活したことで、ブラウザーを最新の状態に保っている人ほど問題を引き起こす可能性があるとしている。