東海大学の研究者らが行った新たな研究によれば、最大100メートル離れた場所からQRコードに不可視光レーザーを照射することで、偽装QRコードを作成、悪性サイトへの誘導する攻撃が可能であることが分かった。この攻撃は、肉眼では見えないレーザー光を使用し、QRコードを書き換えることにより、悪性サイトへのURLを表示させ誘導するというもの（ITmedia）。 今回の研究では、10～100メートルの距離からレーザーを照射するテストを実施。100メートル距離の実験では、50メートル地点に鏡を設置し、レーザー光を折り返して照射した。使用されたレーザー光の波長は、635nmと785nmの2種類。QRコードを通常通り読み込むとURL1（正規サイト）にアクセスし、攻撃が成功するとURL2（悪性サイト）に誘導される。 実験の結果、635nmと785nmの波長で、10メートル、20メートル、30メートル、40メートルの距離ではURL2が読み込まれた。しかし、50と100メートルの距離では、URL1とURL2が交互に読み込まれたとしている。

すべて読む | セキュリティセクション | テクノロジー | セキュリティ |

関連ストーリー：
短縮URLの乗っ取りに注意 2023年11月15日
新幹線のテーブルにスマホを置くとJR東日本のECサイトが勝手に開く 2023年06月15日
QRコードにレーザーを照射し、任意の時間帯だけ別URLへ誘導するハック 2023年03月28日

大阪市在住の26歳の中国籍の女性が自宅で在留カードとマイナンバーカードを偽造していたとして逮捕された。警視庁による偽造マイナンバーカードの工場の摘発はこれが初めてだという。容疑者は在留カード13枚とマイナンバーカード9枚を偽造した疑いが持たれている。警視庁が押収したパソコンからは約3000件の偽造カードの画像などのデータ等が見つかり、容疑者は出入国管理法違反と有印公文書偽造の疑いがかけられている（NHK、テレ朝news、TBS NEWS DIG）。 容疑者は2023年6月ごろから1日に1万2000円から1万6000円の報酬を得ながら偽造を繰り返していたとされる。自宅からは750枚の偽のICチップが付いた未印刷のカードも発見されたとのこと。警視庁は国際的な犯罪組織が容疑者に偽造させていた可能性もあるとみている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | ニュース |

関連ストーリー：
デジタル庁、新マイナカードへの意見公募開始。新たな呼称も募集 2023年11月30日
マイナ制度は「なりすまし犯罪の温床」。情報システム学会が制度設計に根本的な問題と提言 2023年11月02日
マイナ保険証の利用率は下がり続けている 2023年10月25日
誤りは1069件。点検データの約0.007％。閲覧された事例は5件 2023年08月15日

11月26日にイエメン沖のアデン湾でタンカーがソマリア人と見られる武装勢力によって乗っ取られるという事件があった。その際、アデン湾で海賊対処の任務にあたっている海上自衛隊の護衛艦「あけぼの」と哨戒機が情報収集を実施していたが、その際、米軍から弾道ミサイルが発射されたという情報が寄せられ、護衛艦から18キロ以上離れた海域に落下したとみられることが28日に判明した（NHK）。 NHKの報道によると、護衛艦は発射の情報を受けたあと、速度を最大近くの時速およそ55キロまで上げて現場海域から離脱したとしている。海上自衛隊は「安全上の懸念はない」として、海賊対処任務を継続する方針。イージス艦があれば弾道ミサイルを追尾して迎撃可能だが、これまで海賊対処の任務にイージス艦が派遣されたことは無いという。防衛省はイージス艦は北朝鮮の弾道ミサイルへの対応が主なため、アデン湾への派遣は困難であると述べている。

すべて読む | セキュリティセクション | 軍事 | セキュリティ | 海賊行為 | ニュース |

関連ストーリー：
イエメンのフーシ派が紅海で日本郵船運航の貨物船を拿捕。イスラエルの船舶を拿捕と主張 2023年11月21日
イエメン、海底ケーブルの切断事故によってインターネット接続が大幅に制限される 2020年01月21日

headless 曰く、ニフティが同社をかたるフィッシングメールに注意喚起している (ニフティのお知らせ)。 ニフティをかたるフィッシングメールは主にメールの使用状況や支払い方法変更を促すもので、明らかに言葉遣いが不自然なものから、本物のニフティのメールをコピーしたものまで様々だ。本物の見分け方としては、ウェブメールで差出人名の先頭にニフティのマークがあれば本物だと紹介されている。ただし、このようなフィッシングメールはニフティのシステムを通過してユーザーに届いているので、ユーザーに注意喚起する前にもう少し対策できないものかと思う。 たとえば差出人名が「Nifty ○○」で、プロバイダー他社のドメインの電子メールアドレスから送信されたメールは迷惑メールに振り分けられることもなく、当然のように受信トレイに配信される。個人的にはニフティユーザーでメールを Gmail と Outlook に転送して利用しているが、こういったメッセージを転送先の受信トレイで目にすることはない。 スラドの皆さんはプロバイダーのメールを使用しているだろうか。プロバイダー側のフィッシング対策はいかがだろう。

すべて読む | ITセクション | セキュリティ | spam | ボットネット |

関連ストーリー：
8/10/16進数でIPアドレス表記したフィッシングメール報告、フィルター回避が目的か 2023年11月17日
AI検出ツールではフィッシングメールの4分の3近くを検証できない 2023年10月08日
ChatGPTでランサムウエアを作成できる方法が存在する 2023年04月25日
ソニー銀行などのフィッシングメール増加。バンダイチャンネルのメールがフィッシングを疑われる 2023年02月17日

バラクーダネットワークスジャパンは27日、悪意のあるボットが一般家庭のIPアドレスを利用してセキュリティブロックを回避し、攻撃を行っているとのレポートを発表した（バラクーダネットワークスジャパン発表、ScanNetSecurity）。 レポートによると、悪意あるボットが一般家庭のIPアドレスを使用することでセキュリティブロックを回避し、攻撃を行っていることが明らかになったという。そのIPを割り当てられたユーザーの多くは、悪意のある活動に使用されたとしてIPにレッドフラグが立てられ、GoogleやCloudflareからのCAPTCHAをパスできなくなる状況に陥っているとレポートは指摘している。

すべて読む | セキュリティセクション | セキュリティ | ボットネット | インターネット | ワーム |

関連ストーリー：
「全人類に対する罪 核下水排出」、業務用ルータで脆弱性つかれ画面改ざん被害 2023年09月01日
TP-Link製のWi-Fiルーターなどに脆弱性。ファームウェアの更新を 2023年08月24日
エレコムやロジテック製無線LANルーターで、製品発売時には存在しなかった脆弱性 2023年08月16日
わからない人は絶対に手を出してはいけない『LANケーブル分岐アダプタ』 2023年08月07日

読売新聞の記事によれば、JAXAが夏頃にサイバー攻撃を受け、中枢サーバーに不正アクセスを受けていたことが判明したそうだ。これにより宇宙開発に関する機密情報が閲覧された可能性があるという（読売新聞）。 警察が秋に不正アクセスを察知し、JAXAに通報したことで発覚した。JAXAはそれまで攻撃に気づいていなかったという。関係者によれば、大半の情報が見られる状態だった恐れが強いとしている。非常に深刻な事態だと述べている。JAXAは政府や警察と連携し、情報漏洩の実態解明とネットワークの脆弱性を調査する方針。

すべて読む | セキュリティセクション | セキュリティ | JAXA | 情報漏洩 | ワーム |

関連ストーリー：
中国共産党員の男を書類送検。JAXAらのサイバー攻撃に関与の疑いで 2021年04月21日

headless 曰く、ウイルスに感染したなどと偽の警告画面を表示して連絡させ、サポート名目で金銭をだまし取るテクニカルサポート詐欺(サポート詐欺)の被害が国内で増加しているそうだ (読売新聞の記事、 みんゆうNet の記事、 福島民報の記事、 西日本新聞の記事 [1]、 [2])。 国内での逮捕者は昨年が初とされるが、国民生活センターの集計によれば、本年度は 10 月末時点で相談件数が 3,573 件に上り、過去最多の 2021 年度を超える勢いだという。本年度の被害額は 10 月末時点で約 2 億 4 千万円。過去最高の 2022 年度 (約 5 億 9 千万円) よりも遅いペースだが、警察庁の最新の統計では架空請求詐欺の手口の半数近くを占めるとのこと。 偽サポート料金の支払い手段は電子マネーが主流だが、コンビニなどでの購入は店員の声掛けなど被害防止策が強化されたことを受けて、オンライン購入に移行しているようだ。修理に必要としてインストールさせた遠隔操作ソフトを用い、電子マネー購入時にゼロを追加して高額な支払いを行わせる手口もみられるとのことだ。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ |

関連ストーリー：
インド中央調査局、MicrosoftとAmazonになりすます複数の偽コールセンターを閉鎖 2023年10月24日
Microsoft Edge、新しいタブページのニュースフィードで不正広告攻撃が行われていた 2022年09月21日
偽の Microsoft Office 製品パッケージを郵送するテクニカルサポート詐欺 2022年08月21日
iTunesギフトカード詐欺被害者がAppleを訴えた裁判、米連邦地裁は原告の主張の一部を有効と判断 2022年06月18日
「ウィルスに感染しました」など虚偽の警告を出す「サポート詐欺」で初の逮捕 2022年01月20日

LINEヤフーは27日、第三者による不正アクセスにより、ユーザー情報や取引先情報が漏えいした可能性を発表した。個人情報302万569件（うち日本ユーザー129万894件）が含まれている。個人情報の内訳は、LINEユーザーの内部識別子に関する情報などが含まれている（LINEヤフー発表、時事ドットコム、Impress Watch）。 問題の原因は、NAVER Cloudの委託先企業のPCがマルウェア感染し、その企業が旧LINE社のシステムへのネットワーク接続を許可していたことにある。LINEヤフーは10月9日に不正アクセスがあったことを把握。10月27日に外部からの不正アクセスがほぼ確実と判断、被害状況の把握と拡大の抑止の対応を実施し、関係省庁には適宜、状況の報告をしたとしている。 漏えいした情報には口座情報やクレジットカード情報は含まれず、今後、二次被害のリスクがあると評価されたユーザーや取引先に個別に連絡する予定としている。

すべて読む | セキュリティセクション | ニュース | 情報漏洩 |

関連ストーリー：
LINE規約変更で暴力団員の退会相次ぐ 2023年11月02日
LINEヤフープライバシーポリシー変更、どんな情報がどこの国で？ 2023年11月01日
LINEとYahoo! JAPANのアカウント、10月4日から連携可能に 2023年10月04日
Yahoo! JAPAN、検索エンジンをGoogleから変更を検討中と日本経済新聞が報じる 2023年07月04日
LINE傘下のLINE Credit、担当者が誤って個人情報を含むExcelファイルをオープンチャットに投稿 2019年09月24日

不正に改変したウェブページを通じて偽のブラウザーアップデートをダウンロードさせる ClearFake キャンペーンはこれまで Windows ユーザーをターゲットにしていたが、Mac ユーザーを対象にしたものが登場した (Malwarebytes のブログ記事、 9to5Mac の記事)。 Mac 版の ClearFake キャンペーンは Apple SafariやGoogle Chromeの偽アップデートをダウンロードさせるものだ。Safariの偽ダウンロードページに掲載されているアイコンは古いデザインだが、サポートページへのリンクもあり、ダウンロードファイルの説明も本物らしく見える。しかし、ダウンロードした.dmgファイルの内容はAtomic macOS Stealer (AMOS) と呼ばれる情報収集型マルウェア(stealer)だという。 AMOSはパスワードやキーチェーンのほか、さまざまなファイルを収集してサーバーに送信する。今春初めて発見され、9月にはGoogle検索を通じた不正広告キャンペーンで配布されていた。

すべて読む | アップルセクション | Chrome | セキュリティ | Safari | アップル |

関連ストーリー：
iPhone全モデルと2020年以降のMacからパスワード等を盗み出す方法が発見される 2023年11月02日
Appleの新しいソフトウェアリリース形態「緊急セキュリティ対応」 2023年05月04日
最新版以外の macOS では既知の脆弱性がすべて修正されるとは限らない 2022年10月30日
Microsoft が発見した macOS の脆弱性「Shrootless」 2021年10月31日
3万台近いMacに感染しているが、まだ活動開始していないマルウェア「Silver Sparrow」 2021年02月23日
Appleの公証を受けたマルウェアによるアドウェアキャンペーンが発生 2020年09月03日
Malwarebytes調べ、Macに対する脅威がWindowsに対する脅威を初めて上回る 2020年02月12日
Mac App Store、不正な処理を行っていたアプリについて通報後も1か月放置 2018年09月13日
10年以上にわたり、数百万人から情報をこっそり収集していたMac向けマルウェア 2018年01月17日
偽のSymantecブログを通じてMacのマルウェアが配布される 2017年11月29日
Macを狙うマルウェア、2016年に前年比で744％も増加 2017年04月11日
Mac OS XのKeychainアクセス許可ダイアログを自動でクリックするマルウェア 2015年09月07日
Thunderbolt経由でMacに感染するマルウェア 2015年01月13日
猛威をふるうMacを狙ったマルウェア「iWorm」 2014年10月06日

headless 曰く、Blackwing Intelligence が Windows Hello 指紋認証を用いるノート PC の指紋センサーを調査し、指紋認証の突破に成功したそうだ (Blackwing Intelligence のブログ記事、 The Verge の記事、 Ghacks の記事、 Bleeping Computer の記事)。 Windows Hello 指紋認証ではチップ上に指紋データを確認して認証を行う Match on Chip (MoC) と呼ばれる指紋センサーを用いる。MoC では指紋データがホストに送られることはなく、バイオメトリック情報の盗難を懸念する必要もない。MoC 自体にはセンサーのなりすましを識別する機能が搭載されていないが、指紋センサーのセキュリティを確実にする Secure Device Connection Protocol (SDCP) も用意されている。 Blackwing Intelligence は Microsoft Offensive Research and Security Engineering (MORSE) の依頼を受け、Dell Inspiron 15 と Lenovo ThinkPad T14、Microsoft Surface Pro 8 (指紋センサー搭載タイプカバー) を調査。3 機種はそれぞれ指紋センサーも実装も異なるが、最終的にはなりすましの指紋センサーで認証を突破できたという。なお、SDCP が完全にサポートされ、有効になっていたのは Inspiron 15 のみ。ThinkPad T14 と Surface Pro 8 では SDCP が使用できなかったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | ノートPC | Windows |

関連ストーリー：
Surface Pro X、カメラが使用できなくなる 2023年05月27日
Microsoft アカウント、パスワードレスアカウントとして設定可能に 2021年09月18日
21H2 ビルドの Windows 10 Insider Preview、提供開始 2021年07月18日
Microsoft、プロセッサをIntelとAMDから選べるSurface Laptop 4を発表 2021年04月15日

あるAnonymous Coward 曰く、 朝日新聞の記事によると、11月23日夜、岸田文雄首相が、急遽移動し、首相官邸に近いホテルに宿泊したそうだ。 関係者によると、首相公邸の設備不具合が理由で、詳細は安全上の理由から明らかにできないそうだ。夜になってから首相が急遽移動して、ホテルに泊まるのは極めて異例らしい。

すべて読む | セキュリティセクション | 日本 | セキュリティ | ニュース |

政府が2026年に導入予定の新しいマイナンバーカードの概要が明らかになった。読売新聞の記事によれば、新しいカードでは、ICチップに組み込まれた電子証明書の有効期間が現行の5年から10年に延長される。マイナンバーカードは本人確認手段として広く利用されているため、カードの券面には氏名、生年月日、住所、顔写真が引き続き記載される。ただ、性的少数者への配慮を求める声が出ていることから、性別は記載されない方向で検討されているという（読売新聞）。 非公開の作業部会が21日、中間骨子案をまとめた。政府はパブリックコメントを募り、年内に中間取りまとめを行う予定。電子証明書はオンラインの行政手続きで使用され、更新時は役所などに出向く必要があるが、カードと有効期間を合わせることで更新が1回で済むようになるとしている。

すべて読む | セキュリティセクション | 日本 | セキュリティ | 政府 | Digital |

関連ストーリー：
兵庫県養父市、マイナンバーカードを使う公職選挙のスマホ投票の実現を目指す 2023年11月17日
救急隊がマイナ保険証経由で医療情報を読み取り、救命措置などに役立てるシステム導入へ 2023年11月15日
マイナ制度は「なりすまし犯罪の温床」。情報システム学会が制度設計に根本的な問題と提言 2023年11月02日
マイナポイント第2弾、受け取る資格がありながら未申し込みが約2000万人 2023年09月21日
音楽フェスなどでマイナカードを活用した実証実験 2023年09月12日
政府、マイナンバー制度活用で国家資格の事務手続きをデジタル化 2023年12月04日
デジタル庁、新マイナカードへの意見公募開始。新たな呼称も募集 2023年11月30日

headless 曰く、ALPHV/BlackCat として知られるランサムウェアグループが攻撃を実行した企業について、重大なサイバーセキュリティインシデント発生時の開示義務を怠っていると米証券取引委員会 (SEC) に報告したそうだ (DataBreaches.net の記事、 Ghacks の記事)。 ALPHV によれば 11 月 7 日、金融機関向けにデジタルレンディングプラットフォームを提供する MeridianLink を攻撃し、ファイルの暗号化は行わずにファイルを盗み出したという。ALPHV は MeridianLink がその日のうちに攻撃を察知してパッチを当てたと主張している。ALPHV が 15 日までに行った SEC への報告では、重大なサイバーセキュリティインシデント発生後 4 営業日以内に義務付けられている Form 8-K での報告を MeridianLink が行わなかったと主張しているとのこと。 一方、MeridianLink では投資家向けページで 15 日に発表した第 1 報でサイバーセキュリティインシデント発生を報告し、本番環境のプラットフォームへの不正アクセスはなく、業務への影響は最低限だったと説明した。20 日の第 2 報では非特権ユーザーアカウントへの不適切なアクセスを 10 日に確認したこと、攻撃者は同社のネットワークやサーバーなどにはアクセスしておらず、ランサムウェアやマルウェアの侵入もないことなどを追記している。 両者の主張するサイバーセキュリティインシデント判明日は異なっており、MeridianLink の主張する 11 月 10 日であれば、15 日が 4 営業日目となる。ただし、SEC の Form 8-K による報告義務付けルールが発効するのは 12 月 18 日であり、現時点で報告は義務付けられていない。ALPHV が DataBreaches.net に提供した SEC の応答も自動返信によるものであり、ルール違反が確認されたわけではないようだ。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
米証券取引委員会、重大なサイバーセキュリティインシデントの迅速な開示を義務付ける新ルール 2023年07月29日
Sophos の名をかたるランサムウェアが見つかる 2023年07月20日
MSI、ランサムウェアグループに侵入されソースコードを盗難される 2023年04月11日
復号ツール提供条件として被害者に善行を求めるランサムウェア「GoodWill」 2022年05月29日

headless 曰く、NordPass が 2023 年版の流出パスワード トップ 200 を公開している (Top 200 Most Common Passwords、 The Register の記事)。 今回のランキングは外部リサーチャーの協力を得てダークウェブを含むさまざまなソースから抽出した流出パスワードのデータベース 4.3 TB を調査したもので、35 か国分のデータが含まれる。日本のデータは昨年も少なかったが、今年は含まれていないようだ。 昨年のランキングでは何年も1位を維持していた「12345」「123456」といったパスワードを抑えて「password」が 1 位となっていたが、今年は昨年 2 位の「123456」が 1 位に復帰した。「password」は 7 位に後退しており、過去 4 年間のランキング (PDF) に入っていなかった「admin」が 2 位となっている。 パスワードのクラックに要する時間でみると、139 件が 1 秒未満でクラック可能とされる。クラックに時間がかかるパスワードは 173 位の「theworldinyourhand」が数世紀、54 位の「admintelecom」が 23 日、56 位の「123meklozed」が 12 日、151 位の「undefined」が 16 時間となっている。 これらのクラックに時間がかかるパスワードは過去 4 年間のランキングには入っていないものばかりだ。このほか、過去 4 年間のランキングに見られないパスワードとしては、1秒未満でクラック可能な「*」の羅列が (19 位「********」、27 位「******」、52 位「**********」、63 位「*************」) が目立つ。

すべて読む | セキュリティセクション | セキュリティ | 統計 | 情報漏洩 |

関連ストーリー：
隣接したキーを組み合わせたパスワード、欧文キーボード配列別調査結果 2023年07月22日
流出パスワードトップ 200、2022 年版では「password」が 1 位に 2022年11月27日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日

headless 曰く、Electronic Frontier Foundation (EFF) が Amazon.com で販売されていた子供向けタブレット製品を調べたところ、複数の怪しいソフトウェアがプリインストールされていたとして注意喚起している (EFF のブログ記事、 HackRead の記事)。 この製品は Dragon Touch の KidsPad Y88x 10 という子供向け 10 インチタブレットで、既に製品ページは削除されている。7 インチモデルは現在も販売されているが、10 インチモデルの OS が Android 9 Pie なのに対し、7 インチモデルは Android 12 と新しく、プリインストールソフトウェアも異なる可能性がある。Amazon.co.jp でも 7 インチモデルは販売されていたが、こちらは Android 10.0 となっている。 最初に挙げられているのはマルウェア Corejava の痕跡だ。このタブレットには Corejava のディレクトリが存在し、初回起動時に Corejava の C2 サーバーにリクエストが送られたという。ただし、EFF がタブレットを最初に起動した 2023 年 5 月の時点で C2 サーバーは停止しており、現在のところペイロードが送られてくることもない。 また、このタブレットではデバイスを子供向けに変える KIDOZ アプリのプリインストールが売りになっている。KIDOZ アプリは米児童オンラインプライバシー保護法 (COPPA) 認証済みとされているが、プリインストールされているバージョンは古いもので、情報を広告サーバーに送るような古いアプリを含むアプリストア機能が搭載されている。そのため、このバージョンは 5 つのセキュリティベンダーがアドウェアと認識しているが、アプリストア機能の削除された最新バージョンでは 2 ベンダーに減少する。 このほか、過去にマルウェアであったこともある Adups アプリの「クリーンなバージョン」もファームウェア更新ソフトウェアとしてプリインストールされているとのこと。ただし、アプリにはシステムレベルのパーミッションが付与されており、Adups のサーバーから何でもインストールできるため、不安が残る。また、アプリのアンインストールや無効化は容易でなく、デバイスをファクトリーリセットすれば復活するとのことだ。

すべて読む | モバイルセクション | セキュリティ | ハンドヘルド | 教育 | プライバシ |

Apple や Google、Microsoft などはパスワードレス化への取り組みを進めているが、Delinea の報告書 The Future of Workplace Passwords: Not Dead, but Evolving によれば米国の IT 意思決定者 300 人の 68% がパスワードは死んでいないと答えたそうだ (ニュースリリース、 BetaNews の記事)。 53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。 スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
Microsoft Authenticator、怪しいログイン要求で通知のポップアップを抑制 2023年11月09日
1Password、パスワードを不要にする計画 2023年02月12日
AppleとGoogle、Microsoft、パスワードレスサインイン標準のサポート拡大を共同発表 2022年05月08日
Microsoft アカウント、パスワードレスアカウントとして設定可能に 2021年09月18日
Microsoft、SMSや音声通話による多要素認証をやめてアプリベースの多要素認証への移行を推奨 2020年11月13日
米国とカナダでの調査、最近90日以内にパスワードを忘れてパスワードリセットが必要になったとの回答が78％ 2019年12月19日
Microsoft、過去に流出したパスワードを使用するMicrosoftアカウントを多数発見 2019年12月08日
Microsoft曰く、多要素認証を使用すれば自動攻撃の99.9％がブロックできる 2019年08月30日
普及が進むパスワードなし生体認証規格「FIDO」 2018年12月14日
Microsoft、ありがちなパスワードの使用を禁ずることで他社サービスから流出したパスワードによる攻撃に対抗 2016年05月28日

Meta が 16 歳未満の使用するアプリについて、アプリストアが保護者の許可を得てから提供するようにすべきだと主張している (Meta のブログ記事、 The Guardian の記事、 The Register の記事)。 米国では各州がそれぞれ異なる法律を制定してアプリの年齢制限や年齢確認を義務付けており、州によって未成年者の保護範囲が異なる。年齢確認はアプリごとに異なるサインアッププロセスの中で行われ、それぞれ異なるセキュリティやプライバシープラクティスを持つアプリにセンシティブな身分証明書の情報を繰り返し送信する必要がある。 そのため、アプリストアでユーザーの年齢確認を行い、必要に応じて保護者の合意を義務付けることで、保護者の負担やセキュリティ・プライバシー上の不安を減らすことが可能になるというのが Meta の主張だ。これを実現するため、Meta では国レベルでの法制化を行うよう呼び掛けている。 Meta (Facebook と Instagram) は Google (YouTube) や ByteDance (TikTok)、Snap (Snapchat)とともに、欠陥のある設計で未成年者をソーシャルメディア依存に導いたとして30州の学区から訴えられている。被告側は米通信品位法 230 条で免責対象になるなどとして棄却を申し立てたが、カリフォルニア北部地区連邦地裁の Yvonne Gonzalez Rogers 判事が 14 日に申立を却下し、訴訟が継続することになった (Ars Technica の記事)。

すべて読む | セキュリティセクション | セキュリティ | Facebook | IT | プライバシ |

関連ストーリー：
テキサス州当局、ポルノが健康に悪影響を与えるなどの警告をポルノサイトに表示させる 2023年10月15日
日本のTikTokユーザーの平均年齢は「36歳」に上昇 2023年09月15日
米連邦地裁、ポルノサイトに年齢確認を義務付けるテキサス州法に事前差止命令 2023年09月03日
Pornhub、ユタ州からのアクセスをブロック 2023年05月09日
米ユタ州、18 歳未満のソーシャルメディア利用に保護者の許可を必要とする州法が成立 2023年03月25日
米ルイジアナ州、ポルノサイトにユーザーの年齢確認を義務付ける州法が発効 2023年01月04日
英情報通信庁曰く、成人向けビデオ共有プラットフォームは子供を有害コンテンツから守る対策が不十分 2022年10月25日
米ニューヨーク州農業・市場局、缶入りホイップクリーム販売に年齢確認が不要なことを明確化 2022年09月04日
Instagram、16 歳未満のユーザーに対する不適切なコンテンツの表示制限を強化 2022年08月28日
子供をソーシャルメディア依存に導く手法の使用を禁ずる米カリフォルニア州法案、継続審議扱いに 2022年08月14日
Instagram、セルフィ―動画を使用した年齢確認を米国でテスト 2022年06月26日
英国でポルノサイトに年齢確認義務付ける計画、再び 2022年02月10日
Instagram、ユーザーに生年月日入力を義務付けへ 2021年09月01日
App Store での成人向けアプリインストール、14 歳として登録された Apple ID でもブロックされない 2021年08月29日
YouTube、18歳未満の視聴者に不適切なコンテンツを機械学習で検出・年齢制限適用へ 2020年09月25日
Facebook、年齢や性別、郵便番号で広告主が広告表示対象を絞り込めることについて批判を受ける 2019年03月26日

あるAnonymous Coward 曰く、プライバシーに配慮したメールサービスとして知られるTutanotaの名前がTutaと短くなった（Time to celebrate: Tutanota is now Tuta.）。 元の名前のTutanotaはラテン語で、"secure message"の意味だそうだが、電話で話すときにTutanotaといっても通じにくかったり、カジュアルな会話で覚えてもらうのが大変だったりしたそうで、覚えやすい名前にしたというのが変更した理由のようだ。Tutaのドメインはブラジルの人が所有しており、ちょうどブラジル旅行を予定していた人が持ち主とレストランで食事をしながら譲渡契約を結んだそうだ。 Tutaはメールボックス全体を暗号化していることで知られており、Eメール(件名と添付ファイル含む)、カレンダー、アドレス帳がエンドツーエンドで暗号化されている。暗号化されていないデータは、メールアドレスだけとなっている。 とはいえ、今時、対人でメールのやりとりをするのも稀だろうから、どれぐらい意味があるのか、という気もしなくもない。日本からTutaを使う場合、例えば日本のECサイトからの平文メールが、メールサーバーがあるドイツまで送られる間に、その気になれば盗み見されそうである（もちろん双方がTutaのメールアドレスの場合は、暗号化されてTutaも見ることはできない）。 そうなると復号化とドイツまでの距離の分、起動に時間がかかるメールサービスでしかない。そういう意味では、暗号化されたカレンダーの方が価値があるかもしれない。PCとAndroidのF-DroidのTutaアプリを使えば、PCとスマートフォンでカレンダーを共有できる。なお、もちろん、Google Play版もある。

すべて読む | セキュリティセクション | セキュリティ | 通信 |

関連ストーリー：
オランダ警察、「PGP Blackberry」で使われているPGP暗号化されたメールを解読していた 2016年01月19日
匿名化ツールや暗号化メールを使うと、米当局に通信の傍受を許してしまう可能性がある 2013年06月25日

8月に発覚したプライバシーマーク認証に関連する情報漏洩問題で、日本情報経済社会推進協会（JIPDEC）が13日、問題の続報を発表した。以前の記事の通り、漏洩の原因は、審査員が個人のパソコンで業務を行い、廃棄すべき資料を規則に違反してNASに保存、セキュリティ対策をしていなかったことから起きた（JIPDEC発表、ITmedia、日経クロステック）。 その結果、審査関連資料と審査員の個人情報が少なくとも2020年7月から2023年8月までインターネット上で閲覧可能な状態となっていた。また同期間中に、少なくとも3種類のランサムウエアによる攻撃を受けて暗号化されたファイルがあることも確認されたとのこと。最大888社の事業者の審査関連資料や審査員名簿が漏洩している可能性があるものの、現時点で不正利用の報告はないとしている。JIPDECは個人所有PCでの審査業務を全面禁止し、今後は貸与されたPCのみを利用して審査業務を行い、監視・点検を行う対策を実施するとしている。

すべて読む | セキュリティセクション | セキュリティ | YRO | 情報漏洩 | プライバシ |

関連ストーリー：
プライバシーマークの審査員が審査関連資料を漏洩 2023年08月28日

短縮URLサービス利用時に不正サイトへの誘導がおこなわれる事例が増えているそうだ。過去に紹介されているようなQRコードのシール上書きと行った手法ではなく、短縮URLが乗っ取られた可能性が高いという。piyologでこの問題に関する記事がまとめられている（piyolog、Haruhiko Okumuraさんのポスト、shao as a serviceさんのポスト、情報通信工学科さんのポスト）。 この事例の一つであるいなげやは11月9日、一部店舗で掲示していたQRコードにアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表した。短縮URLサービス中の広告表示が原因と考えられている（いなげや：ネットスーパー入会案内における注意のお知らせ[PDF]）。 確認された情報によると、QRコードの短縮URLは無料のサードパーティ短縮URLサービス「オンラインツール(onl.jp)」を使用しており、このサービスではGoogle Adsを含む悪質な広告が表示されることが確認された。11月12日には広告の挿入が停止されている。 同様の事案は他の組織でも発生しており、学習院大学も不正なリンク先に転送されるQRコードを大学案内2024に掲載していたことが判明。このほかオートバックスなどでも同様の事例が起きていたとしている。いなげやは短縮URLの利用について再点検を行うことを推奨している（学習院大学リリース、オートバックスセブンリリース[PDF]）。

すべて読む | セキュリティセクション | セキュリティ | インターネット | アナウンス |

関連ストーリー：
新幹線のテーブルにスマホを置くとJR東日本のECサイトが勝手に開く 2023年06月15日
QRコードにレーザーを照射し、任意の時間帯だけ別URLへ誘導するハック 2023年03月28日
写真の指定部分をQRコード化するWebアプリ 2023年03月24日
カタログギフトにURLをlocalhostで印刷するミス 2022年12月29日
英携帯キャリアThree、SMSフィッシングへの注意を呼び掛けるフィッシング風SMSを顧客に送る 2020年07月09日
goo.gl終了のお知らせ 2018年04月02日
URL短縮サービスp.tlが終了、888万件以上のアドレスが無効に 2017年09月19日