米政府、スマートフォンの脆弱性放置問題に取り組む？

連邦通信委員会(FCC)と連邦取引委員会(FTC)、携帯セキュリティパッチの提供に関して企業に調査
http://www.theverge.com/2016/5/9/11641124/fcc-ftc-inquiry-mobile-security-patches-google-android
連邦取引委員会、AppleやGoogle、Microsoftその他に携帯セキュリティ対応状況の報告を要請
http://news.softpedia.com/news/ftc-orders-apple-google-microsoft-others-to-reveal-mobile-security-practices-503872.shtml

調査対象はOSメーカー（google、Appleなど）、ハードメーカー（サムスン、LGなど）、通信キャリア（AT&T、ベライゾンなど）と主要領域をカバーしています。特にAndroidはNexusなど一部以外、脆弱性は放置される場合が少なからずあるわけで、少しでもいい方向に向けば……と思わずにはいられません。

SCADA向けのBlaster登場

研究者、SCADA装置を狙う自己拡散するワームを作成
http://news.softpedia.com/news/researchers-create-self-propagating-worm-that-targets-scada-equipment-503860.shtml

ドイツOpenSource Securityの研究者がSCADA（産業制御システム）のコントローラ（PLC）を標的とするワームのPoC（実証用プログラム）を作ったとか。少ないメモリでも動作するようになっているようです。

ニックネーム「PLC-Blaster」はたぶん2003年に全世界で大パニックを起こしたBlaster(MSBlast)ワームにちなんでますよね。

MSBlastとは｜MSブラスト｜Blaster｜ブラスター
http://e-words.jp/w/MSBlast.html

脆弱性を発見した研究者、逮捕される

研究者、選挙サイトのSQLインジェクション脆弱性を発見、報告した後に逮捕
http://news.softpedia.com/news/researcher-arrested-after-finding-and-reporting-sql-injection-on-elections-site-503844.shtml

ヴァンガード・サイバーセキュリティ社のオーナーでセキュリティ研究者のデイヴィッド・レヴィン氏は、フロリダ州リー(Lee)郡の選挙関係のwebサイトにあるSQLインジェクション脆弱性を見つけて、そこに侵入、選挙監督官のアカウントを取得して他のパスワードを取得したとして逮捕されました（保釈済み）。

しかし記事後半では、関係者からのコメントがあり、州の言い分には間違いがあるとしています。ログインできることだけ確認してすぐ抜けたとか。

動画（https://www.youtube.com/watch?v=38rsseDeFYQ）を見る限りでは、SQLインジェクション自動化ツールを使ってデータベースの項目、そしてログインアカウントの内容を抜き出してログインし、2つ（ログイン情報一覧など）のリンクを見る様子だけが出ていますね。ただ、動画の3:55あたりで「選挙部門に連絡する……（We are going to report this to the division of elections...）」と言ってるので、報告前に侵入しちゃっていると思われます（アメリカの関連法は知りませんが）。