メルカリのWebブラウザ向けサービスで、CDN（コンテンツデリバリネットワーク）サービス切り替えの際の設定不備によって54,180名の個人情報が流出したことをメルカリが発表した（INTERNET Watch）。

iOS/Androidアプリ版のメルカリは対象外という。流出したのは名前・住所・メールアドレス・電話番号、銀行口座、クレジットカードの下4桁や履歴・設定情報など。6月22日9時14分にWeb版メルカリのパフォーマンス改善のためキャッシュサーバーに切り替えを行ったとき、個人情報が他者から閲覧できる状態になっていたという。

時系列としては14時41分の発覚後15時5分に従来の設定に変更、15時16分メンテナンス状態にして15時36分キャッシュサーバーへのアクセスを遮断・問題解消。15時47分にメンテナンスモード終了、となっている。現在は対応を完了しているという。

また、問題の技術的な詳細も公開されている。これによると、メルカリでは個人情報などを扱うページについても、キャッシュを保持しない設定でCDN経由でのアクセスを行う仕様にしていたという。しかし、CDNの切り替えの際、切り替え前のCDNと切り替え後のCDNの仕様が異なっていたため、「キャッシュを保持しない設定」が無効になり、個人情報に関するページがキャッシュされ、本来表示されるべきではない人に対しそれが表示されてしまったという。

Microsoftは今秋提供予定のWindows 10の大型アップデート「Fall Creators Update」で、SMBv1の無効化を計画しているそうだ（Bleeping Computer、BetaNews）。

既にWindows 10 EnterpriseとWindows Server 2016の内部ビルドではSMBv1が無効化されているとのことだが、MicrosoftのNed Pyle氏によればSMBv1を無効化したビルドがInsider Program参加者へ提供されるのはもう少し先のことになるようだ。計画は初期の検討段階であり、詳細は明らかになっていないが、SMBv1が無効化されるのはFall Creators Updateをクリーンインストールした場合のみで、アップグレードで既存の設定が変更されることはないとのこと。

SMBv1は5月に発生したWannaCryptの感染拡大により、セキュリティの面で注目を集めたが、Microsoftでは5年前からSMBv1の廃止を検討していたという。2014年には期限を示さずに計画を公表しており、Pyle氏は昨年からSMBv1の使用中止を呼び掛けていた。SMBv1無効化の最大の理由はセキュリティだが、既に無効化しても問題ない時期に来ているということもあるようだ。SMBv2はWindows Vista/Server 2008以降で利用できるようになっており、Windows Server 2008が現在サポートされる最も古いWindows OSとなっている。

ソフトバンク・孫正義社長が、株主総会での「訪日外国人向けの無料Wi-Fi充実を」との質問に対し、セキュリティの観点から無料Wi-Fiには問題があると回答、代わりに世界の携帯電話事業者とのデータローミングを進めるべきと答えた（ITmedia）。

確かに不特定多数が利用できる無線LANサービスではセキュリティ問題は発生しやすい。日本人からしたら、日本人が使えずに訪日外国人だけが使える無料Wi-Fiの存在は不公平感も感じる。ローミングなら日本の携帯電話事業者に収益が入ることも要因の1つだろうとは思うが。

欧州議会の市民自由委員会（EP委員会）は、電子通信とプライバシーに関する新規則のドラフト案を発表した。このドラフトでは、欧州連合（EU）市民のプライバシー権を保護するため、すべての通信にエンドツーエンドの暗号化を行うことを推奨している。加えて委員会はバックドアの禁止を勧告している。アメリカやイギリスでは、テロ対策の関係で規制を導入したり、暗号化を弱めようとする動きが強まっている。今回の委員会のドラフト案はこうした流れに反対するものとなっている（Tom's Hardware、（試訳） 欧州連合基本権憲章[PDF]、Slashdot）。

欧州連合基本権憲章7条では「何人も、自己の私的および家庭生活、住居ならびに通信の尊重に対する権利を有する」と規定されており、EP委員会は個人間のコミュニケーションにおけるプライバシー保護も権利の重要な部分であると指摘している。また電子通信はほとんどが個人データであり、昨年制定されたEU一般データ保護規則の観点から見ても守るべきものだと主張している。

LinuxやUNIX系OSにおいて、一般ユーザーが不正に特権を得ることができる「Stack Guard Page Circumvention」と呼ばれる攻撃手法が発見された（Red Hat Customer Portal）。Linuxカーネルやglibc、sudoなどの脆弱性を利用するもので、幅広い影響が出るようだ。

ベースとなっているのは、スタック領域に多量のメモリ割り当てとデータ書き込みを行ってスタック領域を溢れさせることで、ヒープ領域のデータを不正に書き換えられることがあるという問題。Red Hatによると、関連する脆弱性はCVE-2017-1000364（Linuxカーネルのstack guard pageの脆弱性）、CVE-2017-1000366（glibcでLD_LIBRARY_PATHの値に細工をすることでヒープ/スタックの値を操作できる脆弱性）、CVE-2017-1000367（sudo 1.8.20以前の入力バリデーションの不備）という3つとされている。osdn曰く、

スタック範囲を他のメモリ領域と衝突させて悪用できる問題は2005年と2010年に示され、対策が取られてきました。しかしセキュリティ企業Qualysが19日、少なくともLinux、OpenBSD、NetBSD、FreeBSD、Solarisのi386とamd64では対策の不備があり、実際に悪用可能か、少なくともPoCが存在することを示しました。（ITmedia）。

数多くの入口からローカル権限上昇攻撃ができた （あるいは理論上可能な道筋がある） そうです。緩和策としてはlimits.conf等でスタックを制限することなどがありますが、完全ではありませんし副作用も大きいです。各ベンダーには既に通知され、順次対策が取られることになっていますので、アップデートの用意をしておくのが最善でしょう。

アドバイザリによれば、Debianでも8.5と8.6、また8.xと9以上の間には脆弱さに大きな違いがあり、最新のものほど効率よく悪用することは難しくなってきているそうです。

しかし現状で最も簡単に悪用できる方法はi386のDebianでEximを使ってローカル権限上昇をすることだ、とQualysは指摘しています。またOpenBSDではatを使って攻撃しようとしたものの、ファイルシステムが遅すぎて、一週間かけてもヒープがスタックに届くほどの数のジョブファイルを作成できなかったそうです。

なお、今回は64bitでもスタックと他領域が近い場合があることも示されましたが、基本的にはメモリ領域が広い方が安全です。

grsecurity/PaXにはスタック・ガードページの大きさを変更できる機能があるので、これを大きくするのは簡単で有効です。またGCCには-fstack-checkというオプションがあり、各4KBページにアクセスすることで、スタックポインタが他領域に行ってしまう前に必ずガードページに当たり、SEGVになってくれるそうです。パフォーマンスに影響はありますが、長期的には良い方法だとQualysは指摘しています。

研究者らが5000以上のAndroidアプリを対象に調査を行ったところ、その7割以上が第三者にプライバシに関わる情報を提供していたという（Forbes JAPAN、The Conversation）。また、15％に当たる750のアプリが5つ以上の第三者にデータを送信しており、また25％のアプリが異なるデバイスをまたいで利用履歴を収集していたという。

これは、スマートフォンのプライバシについて研究するThe Haystack Projectによって明かされたもの。同プロジェクトは「Lumen Privacy Monitor」というAndroidスマートフォン向けのトラフィック分析アプリを公開しており、これを使ってアプリが送信するデータを調べている（昨年公開された論文）。

現在では、多くのサードパーティが分析や広告表示のためのライブラリを提供しており、アプリ開発者はこのライブラリを利用することで簡単にユーザーの情報を収集できるという。これら情報は多くの場合そのライブラリ提供者のサーバーに送信されるため、これらに多くのプライバシに関する情報がユーザーの自覚無しに送られている可能性があることが問題視されている。

日本マクドナルドのシステムにサイバー攻撃が行われ、その影響で国内のマクドナルド店舗でdポイントや楽天スーパーポイント、WAON、iDが利用できない状況になっているという（時事通信、ケータイWatch、日本マクドナルドの発表）。

また、宅配サービス「マックデリバリーサービス」も利用できなくなっているそうだ。ネットワークシステムにマルウェアが感染したとのことだが、詳細は不明。店舗の営業には影響はないとのこと。

先日、Windowsの脆弱性を狙って感染するランサムウェア「WannaCrypt」の流行が報じられたが（過去記事）、米国家安全保障局（NSA）がWannaCryは北朝鮮によるサイバー攻撃であると考えているという（ワシントンポスト、CNET Japan、ハンギョレ、中央日報、Slashdot）。

NSAの分析では、北朝鮮偵察総局が「中間レベルの信憑性（moderate confidence）」でWannaCryに関わっていると見ているという。

WannaCryはNSAが保有していたハッキングツールを北朝鮮と関わりのあるハッカーグループが奪取して制作されたとされる。WannaCryの被害者が支払ったビットコインは合計13万ドル以上相当とのことだが、現金化はされていないともされている。

なおWannaCryについては以前中国が関わっている可能性があるとの報道もあった。

Microsoftは13日、6月の月例更新に合わせ、Windows XPなどサポートが終了した旧OS用の新たなセキュリティ更新プログラムの提供を開始した（MSRC、サポート技術情報4025687、セキュリティアドバイザリ4025685）。

対象はWindows XP/Vista/8/Server 2003。昨今の国家によるサイバー攻撃やエクスプロイトの公開によって悪用のリスクが高まった脆弱性を修正するため、カスタムサポート契約者に提供しているセキュリティ更新プログラムを一般のユーザーにも拡大するものだという。

今回提供される旧OS用の更新プログラムはWindows Updateでインストールすることはできず、ダウンロードセンターまたはMicrosoft Updateカタログから個別にダウンロードしてインストールする必要がある。ダウンロード方法や対象OSについてはサポート技術情報4025687（古いプラットフォームのためのガイダンス）を参照してほしい。

Microsoftでは5月、WannaCryptの被害拡大を受けて旧OS用の更新プログラムを公開しているが、WannaCryptの問題は5月分ですべて修正済みであり、今回提供される更新プログラムはWannaCryptとは無関係とのこと。

なお、今回の決定は現在の脅威を考慮した結果であり、サポート期間の延長や標準サービスポリシーの変更を意味するものではないことをMicrosoftは強調している。

北朝鮮はさまざまなサイバー攻撃活動を行っているとされているが、そういった攻撃に利用されたボットネットインフラをついて米当局が「HIDDEN COBRA」と命名、注意を呼びかけている（ITmedia、US-CERT）。

HIDDEN COBRAによる攻撃は2009年より行われており、さまざまな組織が攻撃を受けているという。手口としては「サポートが終了したMicrosoftのOS」（つまり古いバージョンのWindowsなど）やFlash Playerの脆弱性などを使用するもので、このインフラをベースとしたDDoSツール「DeltaCharlie」やそのほかさまざまな攻撃も行っているという。

京都府警が、振り込み詐欺などの特殊詐欺グループが利用した電話番号に対し、集中的に電話をかけ続けることでその番号の利用を妨害するシステムを開発したという（NHK）。

ある意味サイバー攻撃なわけだが、まだ法的には犯罪者に対し法執行機関がサイバー攻撃を行うことって許されてないんじゃなかったっけ？

奈良市がメールを送る際に「Bcc:」と「To:」を間違え、ほかの登録者のメールアドレスが見えてしまうというトラブルが発生したとのこと（産経新聞）。

問題が発生したのは、同市が実施している健康キャンペーンの参加者に対して送信されたメール。事業に参加していた同課の職員の指摘で発覚した。これにより、メールの受信者が登録者507人の氏名やメールアドレスを確認でき状態になっていたという。その後、削除を要請するおわびのメールを送信したそうだ。

カタールの衛星テレビ局アルジャジーラがサイバー攻撃を受けているという（CNN、アルジャジーラの発表）。

カタールメディアなので例の断交関連か。

攻撃を受けているのはWebサイトおよびデジタルプラットフォームとのこと。カタール関連では、以前国営カタール通信がサイバー攻撃を受けて偽ニュースを流した可能性があるとの話があった（過去記事）。

小型・廉価なボードPCである「Raspberry Pi」をターゲットにしたマルウェアが登場したそうだ（ZDNet Japan、HOT HARDWARE、Slashdot）。

このマルウェアは「Linux.MulDrop.14」と名付けられており、外部からのSSH接続を許可しているRaspberry Piデバイスを狙い、デフォルトのログイン名/パスワードでログインを試みるという。もしログインに成功した場合、パスワードを別の物に変更した後ほかのデバイスを探索するという。

また、感染後に暗号通貨のマイニングを始めるという話もあるようだ。

PowerPointのスライドショー形式ファイルを使い、マルウェアをインストールさせるスパムキャンペーンが5月下旬に発生していたそうだ（TrendLabs Security Intelligence Blog、Dodge This Security、Neowin、Ars Technica）。

使われたファイルは.pps/.ppsxファイルで、直接プレゼンテーション/スライドショーモードで起動する。マクロやVBAなどは使われておらず、ハイパーリンクのmouseoverアクションにPowerShellでマルウェアをダウンロードしてインストールさせる処理が指定されているという。なお、今回のスパムキャンペーンではZusyやOTLARD、Gootkitなどと呼ばれるインターネットバンキングを対象にしたトロイの木馬がインストールされるようになっていたそうだ。

このファイルは明細書のようなタイトルのスパムメールに添付して送付され、被害者がファイルを開くと「Loading...Please wait」というテキストがハイパーリンクとして表示される。あとは被害者がハイパーリンク上にマウスをホバーするだけでアクションが実行される仕組みだ。

PowerPoint 2010以降では保護ビューが既定で有効になっており、ハイパーリンクをホバーした際に外部プログラムの実行をブロックしたというメッセージが表示される。ただし、メッセージ上のボタンで実行の有効化を選択すればブロックは解除されてしまうとのこと。

Trend Microの観測によれば、このスパムキャンペーンはEMEA地域、特に英国、ポーランド、オランダ、スウェーデンの組織が影響を受けたといい、ピーク時の5月25日には1,444件の検出が報告されたそうだ。しかし翌26日には782件に減少し、29日には収束したとのことだ。