taraiok 曰く、

Wikileaksが行ったさまざまな機密文書流出については記憶に新しいが、容疑者の確保などには苦戦を強いられているらしい。というのも、政府の公文書を漏らした人物を追求するために使用されるスパイ防止法は米国内で使用される前提であるため、WikiLeaksのような第三国で活動する国際組織を追いかけるのには不備があるからだ（Stanford Journal、本家/.）。

そこでWikiLeaksの該当者を起訴するためにスポットライトが当たったのが著作権法。通常、公的文書の著作権については言及されることはほとんど無い。しかしStanford Journalに掲載された国際法の論文によると、政府の弁護士や法学者らによって研究された結果、組織のいる管轄国内で著作権法を使って訴訟を行えば、これまで難しかった被告の引き渡しにつながる可能性が高い、とまとめられているという。

RainCat 曰く、

Android OS が搭載されたスマートフォンから個人情報を流出させるアプリが問題になったのは、記憶に新しいところと思います。警視庁は、これらのアプリがコンピューターウイルスにあたる疑いが強まったとして、不正指令電磁的記録供用の疑いで関係先の捜査を開始しました（NHKのニュース記事）。

問題のアプリは、インストールするとアドレス帳に登録されていたすべての名前やメールアドレス、電話番号などが無断で外部のサーバーに送信されるというものでした。

捜索を受けた関連会社は、アプリによって流出した個人情報が送られたサーバーへの接続記録があるということです。接続記録があるというだけですので、すべての関連会社がこのアプリに関連しているとは限らないと思われますが、警視庁は押収した資料を分析して、アプリが公開された経緯などについて調べを進めることにしているとのことです。

Android OS あるいは Android 向けアプリの安全性が求められるなか、今回の件が不正なアプリを作成することの抑止力として働いてくれれば、いちユーザーとしては嬉しいです。

Birdhead 曰く、

Flashback問題の記憶もまだ新しいところですが、Safari 5.1.7が登場しました（更新内容）。 Mac版においては「最新のアップデートが適用されていない Flash Player を無効にし、最新バージョンをダウンロードするオプションを表示」という機能が追加されたそうです。

あるAnonymous Coward 曰く、

2ちゃんねるのスレッドで、未使用のB-CASカードを書き換えて、有料放送を無課金で視聴できるカードにするという方法が話題になっているようだ（「カスカ 懐石・研究 3枚目」過去ログ、「カスカ 懐石・研究 4枚目」過去ログ）。

スレッドではいくつかの成功報告が挙げられている。ただ、B-CASカードの製造時期や未使用（BSには使っていない）であるといった動作条件がある模様。

以前タダでBSやCSを視聴できる「Magic B-CAS」カードや同種の「BLACKCAS」と同様、この書き換えを行うと有料放送を登録無しに 2038年まで視聴できるようになるという。BLACKCASに関する技術的な背景はまるも製作所が詳しい。

hiromichi-m 曰く、

FBI が Facebook や Skype に対し、「監視用」のバックドアを作るよう要求しているらしい (CNET の記事、WIRED の記事より) 。

米国には通信事業者に対し監視・盗聴をやりやすくするよう定めた CALEA (Communications Assistance for Law Enforcement Act) というルールがあるそうだが、Web サービスを提供する企業についてはこれは適用範囲外だそうで、FBI は監視・盗聴のやりにくさに不満を抱いているという。

あるAnonymous Coward 曰く、

先日武雄市が図書館の利用カードをTポイントカードに置き換える計画を発表したが、セキュリティ研究家高木浩光氏がこれに対しプライバシ保護の観点から苦言を呈した。これを知った武雄市長が高木氏に対し「公開討論をしましょうよ」と呼びかけた。高木氏は「専門外のことを話すことは許されていません」とこれを断ったのだが、武雄市長側はこれに反発、「上京してあなたの職場にこのblogを持って行きます」「国会議員に働きかけます」との発言を連発、失笑を浴びている（Togetterまとめ）。ちなみに高木氏が所属している産業技術総合研究所（産総研）は非特定独立行政法人であり、その職員は国家公務員ではない。

なお、図書館の利用カードをTポイントカード化する件に関する問題点は高木氏の最新の日記でまとめられている。

eggy 曰く、

ソルトレークシティー国際空港で、コロラド州在住の 10 代の女性が TSA 透視検査を受けたところ、身につけていた糖尿病患者用インスリンポンプが故障してしまうという問題が起きていたとのこと (本家 /. 記事、ABC4.com の記事より) 。

糖尿病患者である Savannah Barry さんは、TSA 職員に医師の診断書を提示したが、通常なら (TSA 職員が手で行う) パットダウン検査となるところが、今回に限っては TSA 透視検査を受けることになってしまったのだという。糖尿病患者の血糖値変化に合わせて 24 時間持続的にインスリンを自動投与するインスリンポンプが停止すれば、糖尿病患者の生命を左右することにもなりかねない。

Barry さんは二度とこうした過ちが起きる事がないよう、TSA 職員に対する研修プログラムの必要性を強く訴えている。

あるAnonymous Coward 曰く、

IPAがソースコードセキュリティ検査ツール「iCodeChecker」なるものを公開している。Cのソースコードをスキャンし、バッファオーバーフローや配列インデックスの検証不備、書式文字列問題といったセキュリティ問題を検出するというものだ。

ただし検出可能なソースコードには制限があり、100ファイル以下、構造体やgotoを使用していない、というものでなければ診断ができない。そのため、（学習用といえども）利用できるケースは相当に制限されそうな感じではある。

あるAnonymous Coward 曰く、

Twitterのユーザーアカウントおよびパスワード、電子メールアドレスが含まれると思われる情報が流出しているという（CNET Japan）。

流出した情報は、テキスト共有サイトpastebin.comにて公開されており、カウント名およびパスワードと見られるものが確認できる。この情報を伝えたセキュリティ情報ブログAirdemon.net（キャッシュ）によると、5万5000以上のアカウント情報が漏洩しているとのこと。

ただしTwitterの広報担当によると、このリストには2万件以上の重複があり、またすでに停止されているスパムアカウントや正しくないパスワード情報も多く含まれているとのこと。

また、一部のユーザーについてはパスワードのリセットが行われているとのことだ。該当するユーザーには個別に連絡が行っている模様。

ある Anonymous Coward 曰く、

もしあなたがテロリスト集団を動かしているのなら、自分の書類を暗号化しておくべきでしょう。しかし、オサマ・ビン・ラディンは暗号化していませんでした (本家 /. 記事より) 。

2011 年 5 月にネイビーシールがパキスタンのアジトで彼を殺したときに発見した USB、メモリーカード、HDD などに含まれていたデータのうち 17 の書類がアラビア語から英語に翻訳され米陸軍士官学校の CTC (Combating Terrorism Center) で公開されました。CTC のサイトより両言語の書類がダウンロードできます。

ある Anonymous Coward 曰く、

情報通信研究機構 (NICT) のプレスリリースによると、NICT の MASTAR プロジェクトが使っていたサーバー mastarpj.nict.go.jp が 5 月 1 日に改竄されたようだ (Zone-H.orgによる改竄時のミラー) 。

プレスリリースによれば、他サーバへの侵入および個人情報等のデータ漏洩は確認されていない、とのこと。

Kidzuki_Nihiru 曰く、

PHPをCGIとして使用する場合にリモートからコマンドライン引数を指定してPHP-CGIバイナリーを実行できるという脆弱性(CVE-2012-1823)が発見され、PHP開発チームはPHP 5.3.12とPHP 5.4.2を公開した。しかし、脆弱性が完全には修正されておらず、改めて脆弱性情報データベースにCVE-2012-2311として登録されたとのこと( threatpostの記事、 Die Eindbazenの記事、 Yet Another PHP Security Blogの記事、 徳丸浩氏のブログ記事)。

この脆弱性は2004年から発見されずに存在していたもので、Apache mod_cgiを使用している環境などが影響を受けるという。悪用されるとリモートからローカルディスク上のファイルを実行されたり、DoSを実行されたりする可能性がある。攻撃者がサーバーにファイルをアップロードできる場合、任意のコードを実行可能となる。広く使われているApache+mod_phpやnginx+php-fpmでは影響を受けないとのこと。

暫定的な回避方法については徳丸浩氏のブログやYet Another PHP Security Blogの記事を参照してほしい。Die Eindbazenの記事にはパッチも掲載されている。仕事やプライベートでPHPを利用されている方は急いで確認をしよう。

Symantecの分析によると、マルウェア「Flashback」の目的は広告クリックを乗っ取って収入を得ることだったという(BBC Newsの記事、 Symantec Connect Communityブログの記事、 ITmediaの記事)。

FlashbackはChrome、Firefox、Safariに広告クリックコンポーネントを組み込んで通信内容を監視する。ユーザーがGoogleで特定のキーワードを検索し、広告をクリックするとコントロールサーバーが指定したURLにリダイレクトされ、本来はGoogleが得るべき収入をFlashbackの作者が横取りするという仕組みだ。1クリックあたりの収入は0.8セント。4月上旬には60万台以上のMacがFlashbackに感染していたことが明らかになっており、感染規模が大きいことから1日あたり1万ドル以上の不正収入を得ていたとみられている。

一方、Dr. Webの調査によると、Flashbackのコントロールサーバーは2種類あり、1つが広告クリックのリダイレクト先を指定するためのもの、もう1つはバックドアへのコマンドを発行するためのものだという。後者のコントロールサーバーが正しく応答しない場合、Flashbackは日付から生成した文字列をハッシュタグに指定してTwitterを検索し、メッセージからコントロールサーバーのアドレスを取得する仕組みになっていたとのこと(Dr. Webのニュースリリース)。

原子力安全基盤機構(JNES)は、業務用パソコンが使用者の意図しない外部サイトと通信を行っていたことを発表した(プレスリリース: PDF、 時事ドットコムの記事、 毎日jpの記事)。

5月1日に外部の調査機関からマルウェア感染の可能性を指摘されて調査したところ、5台のパソコンが米国のサーバーと通信を行っていることが判明した。4月11日以降、1回あたり200バイトの情報が約1,000回送信されていたという。同機構は該当サイトとの通信を遮断したが、マルウェアはまだ検知されておらず、感染経路や種類も不明。資料等の流出は確認されていないとのこと。

ある Anonymous Coward 曰く、

CNET Japan の記事などによると、4 月 30 日午後に Apple がアプリ開発者宛てに送信された電子メールによれば、2012 年晩夏にリリースが予定されている新しい OS の Mountain Lion では、アプリケーション開発者に Developer ID での署名を対応を求めており、Gatekeeper という機能によりインストールできるアプリを制限する 3 段階のセキュリティが設けられているそうだ (CNET News の記事)。

アップル公式サイトの Gatekeeper の解説参照。MacPorts のように「他のソフトウェアをインストールするソフトウェア」の場合はどうなるのだろうかとふと思った。さて、Mountain Lion は晩夏登場とのことだがデベロッパーの皆様の準備は間に合うだろうか。