slashdot(security)

headless 曰く、やや旧聞であるが、ドイツのデータ保護機関 (DSK) が Microsoft 365 は欧州の一般データ保護規則 (GDPR) に違反するとの報告書を 11 月 25 日に公開したところ、Microsoft が即日反論している (DSK の報告書概要: PDF、 Microsoft のニュース記事、 heise online の記事、 Ghacks の記事)。 報告書では Microsoft が 2022 年 9 月に更新したデータ保護追加契約(DPA)について、いくらかの改善はみられるものの Microsoft がどのような場面で個人データの処理者となるのか明確にされておらず、処理の目的も具体的でないと指摘。また、米国へデータを送信することなく Microsoft 365 を使用することはできず、Schrems II 判決により EU 域内で合法的に使用することが困難であるとし、Microsoft は 2022 年 12 月からEU域内の顧客のデータを原則として EU 域内で保存・処理するようになるが、実施状況は今後評価していく必要があるなどと結論付けている。なお、ジョー・バイデン米大統領は 10 月 7 日に米国と EU 間でのデータ保護の枠組みを作るよう命ずる大統領令に署名しているが、具体的に実施されていないことから報告書では考慮されていない。 一方、Microsoft は顧客データを顧客の所在地域内にとどめる Advanced Data Residencyやデジタル主権ソリューション Microsoft Cloud for Sovereignty、2022 年末までに EU 域内の顧客のデータをすべて EU 域内で保存・処理できるようにする EU Data Boundary を挙げ、Microsoft 365 が GDPR に準拠するだけでなくそれを上回る個人データ保護を提供していると反論する。Microsoft は米国と EU 間のデータ保護の枠組みを支持しており、米国では個人監視に関する法令が改正されて個人情報の保護も改善されている。そのため、2023 年には欧州委員会が GDPR に基づいて適切な判断を下すことを期待しているとのことだ。

すべて読む | セキュリティセクション | セキュリティ | マイクロソフト | EU | クラウド | アメリカ合衆国 | ソフトウェア | 政治 | プライバシ |

関連ストーリー：
フランスの学校では無料のOffice 365 を使用できない 2022年11月26日
イタリアのデータ保護当局も Google Analytics が GDPR に違反すると判断 2022年06月27日
フランスのデータ保護当局、Google Analytics が GDPR に違反すると判断 2022年02月13日
Google Analytics、EU 域内で使用できなくなる可能性 2022年01月17日
欧州司法裁判所、EU・米国間のデータ共有協定取り下げを決定。米国企業に影響か 2020年07月20日

楽天グループは2023年1月17日付で「楽天会員規約」を一部改定するという（「楽天会員規約」改定のお知らせ）。改訂されるのはパスワードに関連する項目で、改定前では、アカウントを利用するためのIDおよびパスワードは、他人に知られることがないよう定期的に変更する等の記載があったものが、改訂後は第三者に推測されにくい複雑なパスワードにする、ログイン状態の端末を第三者に利用させないようにする、第三者の端末を利用してログインした場合には利用後にログアウトする といった内容に変更された。パスワードの定期的な変更はさまざまなサイトで推奨されていたが、2018年に総務省の「国民のための情報セキュリティサイト」の内容が変更され、その必要性がないことが明示されている。内閣サイバーセキュリティセンター（NISC）からも、パスワードを定期変更する必要はない旨が告知されている（インターネットの安全・安心ハンドブック - NISC）。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
freeeが包括的な障害対応訓練。顧客情報漏えいとのツイートがあると問い合わせを想定 2022年11月29日
流出パスワードトップ 200、2022 年版では「password」が 1 位に 2022年11月27日
2K のヘルプデスクに不正アクセス、マルウェアのリンクをプレイヤーに送る 2022年09月24日
総務省、「パスワードの定期的な変更は不要」と方針変更 2018年03月27日

headless 曰く、LastPass は 11 月 30 日、傘下の GoTo と共用しているサードパーティのクラウドストレージが不正アクセスを受けたと発表した (The LastPass Blog の記事、 Neowin の記事、 The Register の記事、 HackRead の記事)。 LastPass は 8 月にも開発環境が不正アクセスの被害にあっているが、開発環境に顧客のデータは含まれず、プロダクション環境とも物理的に分離しているので顧客のデータは安全だと説明していた。今回の不正アクセスは攻撃者が 8 月に入手した情報を用いており、顧客情報の特定の部分へアクセス可能だったとみられるという。ただし、LastPass では顧客のパスワード保管庫のマスターパスワードを保持していないため、パスワードは安全だとの説明を繰り返している。LastPass はクラウドストレージサービスでの通常とは異なる活動を検知後すぐにサイバーセキュリティ企業 Mandiant と協力して調査を開始し、捜査機関に通報したとのことだ。

すべて読む | ITセクション | セキュリティ | クラウド |

関連ストーリー：
LastPass、8 月の不正アクセスに関する調査の続報を発表 2022年09月20日
LastPass の開発環境に不正アクセス、ユーザーデータは影響なし 2022年08月28日

headless 曰く、Acer は 11 月 24 日、個人向けノート PC 5 機種でセキュアブート設定を変更可能な脆弱性 CVE-2022-4020 が発見されたことを発表した (Acer Community の記事、 ESET のツイート、 HackRead の記事)。 この脆弱性は NVRAM 変数を作成することでセキュアブート設定を変更可能というものだ。変数の値は重要でなく、影響を受けるファームウェアのドライバーは変数の存在のみをチェックするのだという。影響を受けるのは Aspire A315-22 と A115-21、A315-22G、および Extensa EX215-21 と EX215-21G の計 5 機種。Acer では BIOS 更新プログラムの開発を進めており、準備ができ次第 Acer サポートサイトで公開する。 発見者の ESET によれば、脆弱性は DXE ドライバー HQSwSmiDxe に存在し、NVRAM 変数「BootOrderSecureBootDisable」を追加することで、ドライバーがセキュアブートを無効化するとのこと。ESET は Lenovo のノート PC でも同様の脆弱性を発見しているが、「BootOrderSecureBootDisable」は Lenovo の CVE-2022-3431 でセキュアブートを無効化する変数と同じ名前だ。

すべて読む | セキュリティセクション | セキュリティ | バグ | ノートPC |

関連ストーリー：
Lenovo の個人向けノート PC、セキュアブートを無効化可能な脆弱性がまた見つかる 2022年11月13日
Dell の BIOS に脆弱性、129機種が影響を受ける 2021年06月26日
Windows 11はTPM 2.0が必須か。旧式PCにリーク版インストールで関連エラー 2021年06月18日

警察庁と内閣サイバーセキュリティセンターは30日、学術関係者・シンクタンク研究員等を標的としたサイバー攻撃が増加しているとして注意喚起をおこなった。国内の学術関係者、シンクタンク研究員、報道関係者等に対し、「【依頼】インタビュー取材をお願いします」「研究会へのゲスト参加のお願い」「【ご出講依頼】○○勉強会」といった内容の講演依頼や取材依頼等を装ったメールを送り、その過程でマルウェアを実行させるサイバー攻撃が増加しているという（警察庁、標的型サイバー攻撃、不審メールにご注意ください[PDF]、内閣サイバーセキュリティセンター、時事ドットコム）。 具体的には日程や内容の調整に関するやりとりのメールの中で、資料や依頼内容と称したURLリンクが記載されたり、資料・原稿等という名目のファイルが添付されており、これらを踏んだり開いたりするとマルウェアに感染するとしている。 発表によれば、全国の警察が把握したこのような攻撃は2019年以降で数十件に及ぶとされる。安全保障、国際政治、経済、エネルギーなどの専門家を中心に狙われており、マルウエアの種類やメールの文面などから複数の攻撃集団が関与しているとみられるという。国家の関与の有無については現時点では解明中とのこと。

すべて読む | セキュリティセクション | 日本 | 犯罪 | セキュリティ | 政府 |

関連ストーリー：
電波望遠鏡アルマ、サイバー攻撃で先月から全ての観測が停止 2022年11月28日
横浜市を中心に43カ所の信号機でシステム障害、交差点に警察官を派遣 2022年11月15日
赤十字国際委員会、サイバー攻撃を禁ずる赤十字・赤新月・赤水晶のデジタル版エンブレム制定を目指す 2022年11月11日
中国政府、ソフトウェア脆弱性情報を悪用か。Microsoft指摘 2022年11月10日
イーロンマスクがロシア・ウクライナの戦争終結案をツイートし炎上 2022年10月06日

青森県の一部地域で、9月下旬~11月下旬にかけて皮膚の腫れなどを訴えて受診する患者が大幅に増加している。寄生した魚を生で食べると顎口虫が体内に侵入し、皮下を動き回って皮膚が腫れたり、場合によっては目に移動して失明することもあるという。青森県保健衛生課は身体にかゆみや痛みを伴うみみず腫れのような症状がある場合、速やかに医療機関を受診するよう警告している（読売新聞、Web東奥）。 pongchang 曰く、青森県食の安全・安心推進課　安心推進グループによると９月以降皮膚爬行症の患者約１３０名が上北郡内及び八戸市内の医療機関を受診している。顎口虫によるものと考えられ患者の多くはシラウオを加熱せずに食べていたことが判明している。

すべて読む | セキュリティセクション | セキュリティ | ワーム |

関連ストーリー：
ビル・ゲイツ、目黒寄生虫館来訪 2022年08月23日
家畜用のイベルメクチンを飲むアメリカ人が急増、FDAが「あなたは牛や馬ではない」と警告 2021年08月24日
パッケージの「生」で生食の勘違い。秋鮭を生で食べて食中毒に 2020年11月14日
杉並区立公園でセミを食用目的で大量捕獲しないよう看板が掲示される 2020年09月03日
ゴキブリと共生する新種の線虫、「チュウブダイガク」と命名される 2020年01月22日

クラウド型会計・人事サービスを提供するfreeeでは、広報や営業・顧客対応も含めた包括的な障害対応訓練を実施した。昨年も10月に実戦的な訓練を実施していたが、このとき一番きついユーザー対応部分に踏み込めなかったことから、今年のシナリオは全体的な課題に取り組む内容になっているという（ITmedia）。 同社はfreeeには2018年10月にサービスが停止する障害を発生させ混乱したことがあるため、その反省から定期的に全社規模での障害対応訓練を実施している。2022年の演習は、freeeのサービスに含まれるWebフォームが（実際には存在しないが）脆弱性を付かれて改ざんされ、ログインしてきたユーザーIDとパスワードが盗まれてしまったという想定で行った。前回訓練で横道にそれたりした反省から、調査や対応に当たる現場のエンジニアや担当者が、集中を乱されずに作業を進められる方法も実践するといった対応も取られたという。

すべて読む | セキュリティセクション | セキュリティ |

関連ストーリー：
freeeが実施した障害訓練、従業員はトラウマに 2022年03月22日
クラウド業務サポートのfreeeがAmazonビジネスと購買明細APIで連携。日本では初 2022年01月28日
メールによるパスワード付きファイルの受信禁止広がる。マルウェア拡散防止で 2020年11月20日
楽天、パスワードの定期的な変更を推奨する文言を会員規約から削除へ 2022年12月05日

headless 曰く、米ニューヨーク州のキャシー・ホークル知事が11月22日、州内で化石燃料を燃やした電力による暗号通貨採掘を2年間にわたって禁ずる州法案に署名し、州法が成立した (Senate Bill S6486D、 The Verge の記事、 Neowin の記事、 The Register の記事)。 米国では大量の電力を消費する暗号通貨の採掘業者が古い火力発電所を買い取って使用することによる環境への影響が懸念されている。州法はこの問題に対応するためのものだ。そのため、対象となるのはプルーフ・オブ・ワーク認証により取引を記録する暗号通貨の採掘となっており、このような暗号通貨を採掘するための火力発電所に排出許可を与えない、または排出許可を更新しないとのことだ。

すべて読む | セキュリティセクション | 地球 | 電力 | サイエンス | 暗号 | アメリカ合衆国 | お金 |

関連ストーリー：
仮想通貨マイニングに使ったGPU、業者が中古販売前に水洗い 2022年09月29日
イーサリアムがマイニング不用に仕様変更、GPU暴落説でるもNVIDIAは否定 2022年09月26日
マイニング需要の低下でビデオカードの価格が正常化に向かう 2022年05月18日
Intel、ビットコインマイニングチップ「Blockscale ASIC」を発表 2022年04月08日
ロシアが禁輸制裁を暗号通貨で回避する可能性。ウクライナは規制を求める 2022年03月02日

国立天文台は11月22日、世界最大級の電波望遠鏡「アルマ」がサイバー攻撃を受け、1か月近く科学観測ができない状態が続いていると発表した。現地時間の10月29日に攻撃を受け、望遠鏡の運用や計算に使うシステムに障害が出た。チリにある観測所のWebサイトも影響を受け、停止している。ハードウェア部分や過去の観測データには影響はなかったとしている。チリ合同アルマ観測所の危機管理チームは、年内の観測再開を目指して復旧計画を策定中だとしている（アルマ望遠鏡、読売新聞、ITmedia、産経新聞）。

すべて読む | サイエンスセクション | セキュリティ | サイエンス | 宇宙 |

関連ストーリー：
横浜市を中心に43カ所の信号機でシステム障害、交差点に警察官を派遣 2022年11月15日
赤十字国際委員会、サイバー攻撃を禁ずる赤十字・赤新月・赤水晶のデジタル版エンブレム制定を目指す 2022年11月11日
中国政府、ソフトウェア脆弱性情報を悪用か。Microsoft指摘 2022年11月10日
ウクライナ軍がStarlinkを採用した理由。内閣府資料 2022年10月07日
不正アクセスにより開発中のグランド・セフト・オート6の情報が流出 2022年09月22日
e-Gov、mixiなどで障害。ロシアハッカー集団からのサイバー攻撃が原因か 2022年09月08日
アレシボ天文台の巨大電波望遠鏡、プラットフォーム落下時の動画が公開される 2020年12月05日
学術関係者をターゲットとしたサイバー攻撃が増加。警察庁が注意喚起 2022年12月02日

米国政府は25日、ファーウェイやZTE、ハイクビジョン、ダーファ・テクノロジー、ハイテラの中国企業5社の通信機器や監視カメラについて米国内で販売を事実上禁じたと発表した。これらの子会社や関連会社も禁止対象に含まれる。2021年11月に成立した法律を元に米連邦通信委員会（FCC）が具体的な規制を決めるとしていたがルールが確定して施行されたことになるようだ。FCCは安全性を確保するため、米国内で使える通信機器を認証している。上記の企業は当局の認証を受けられないことから、新ルールの開始により新規の販売が事実上困難になる（Bloomberg、産経新聞、日経新聞）。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | 通信 | アメリカ合衆国 | 中国 |

関連ストーリー：
総務省、6Gで特定メーカーの技術に依存しないための国際会議立ち上げへ 2022年01月07日
ファーウェイ製品の禁輸措置は10年前の豪大手通信会社への侵入事件が発端？ Bloomberg調査 2021年12月24日
米ＦＣＣ、華為やＺＴＥなどの通信機器や監視機器を排除する新規則 2021年06月23日

国際線旅客機の多くでは 100 ml を超える液体の機内持ち込みを禁じているが、英空港では 2024 年にも制限を撤廃する計画だという (The Register の記事、 The Times の記事、 Chronicle Live の記事、 Evening Standard の記事)。 液体持ち込み制限は 2006 年にロンドン警視庁が阻止した旅客機爆破テロ計画を受けて導入されたものだ。テロは液体物を用いて旅客機を爆破する計画だったと発表されており、液体だけでなくジェルも制限の対象になっている。ただし、イタリア・ジェノバでは地元特産のソース「ペスト」限定で 100 ml を超えても機内に持ち込むことを認めており、米運輸保安庁 (TSA) はハンドサニタイザー限定で大きな容器での機内持ち込みを認めている。 制限の撤廃は 3D 映像での検査が可能な新型の CT セキュリティスキャナー導入によるもので、乗客は液体物やノート PC などを手荷物から取り出す必要がなくなる。これにより保安検査の所要時間を大幅に短縮できるほか、機内持ち込み用の「トラベルサイズ」容器や袋が不要となるためプラスチックごみの削減につながることも期待される。新型スキャナーはロンドン・ヒースロー空港とガトウィック空港でテストが行われており、年内にアイルランド・シャノン空港に本格導入される予定とのこと。CT スキャナーの導入は米国でも進められている。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 交通 |

関連ストーリー：
アラスカ航空、米航空会社初の電子式手荷物タグ導入へ 2022年07月27日
米TSA、ハンドサニタイザー限定で大きな容器での旅客機客室内持ち込みを認める 2020年03月15日
二酸化塩素を使用する除菌製品クレベリンを旅客機内に持ち込むトラブルが相次ぐ 2020年02月29日
米空港、機内に持ち込まれる電子機器の保安検査強化へ 2017年07月29日
イタリア・ジェノバ、地元特産のソース「ペスト」は100mlを超えても旅客機の機内持ち込みが可能に 2017年06月25日
米運輸保安庁、アメリカン航空と共同で複数の空港の保安検査場に自動化レーンやCTスキャナーを導入する計画 2016年07月10日
米国の空港で保安検査に時間がかかるようになったのは預入手荷物の有料化で機内持ち込みが増えたから？ 2016年05月15日
米TSA、空港の保安検査場で一部の乗客にボディースキャナーでの検査を強制 2015年12月30日
ロサンジェルス国際空港、乗客が猫をX線検査装置に通そうとして大騒ぎに 2015年07月05日
TSA、米国への直行便で電源の入らないガジェットの機内持ち込みを認めない方針 2014年07月12日
TSA、小型ナイフなど機内持ち込み制限物品の緩和計画を中止 2013年06月08日
米空港保安検査、泣いて嫌がる 4 歳の少女にパットダウン 2012年05月01日
100ドル払えばTSA透視型ボディースキャナーをバイパスできる 2012年03月18日
国際線で液体の持ち込みが禁止に 2007年02月28日

NordPass が 2022 年版の流出パスワードトップ 200 を公開している (Top 200 Most Common Password List、 The Register の記事)。 今回のランキングは NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、3TB のデータベースを調査したという。各社調査では 10 年以上にわたり「123456」「12345」といったパスワードがトップを占めているが、今回の調査では「password」が約 493 万件で 1 位となった。2 位の「123456」は約 152 万件であり、大きな差がついた。3 位以下は「123456789」「guest」「qwerty」が続く。 日本では昨年「password」が 1 位だったが、今年は「123456」が逆転して 1 位になり、順位が入れ替わった。ただし、「123456」が 1,210 件、「password」が 926 件と流出件数が少なく、ランキングはトップ 50 までになっている。性別を含むデータでは男性の 1 位が「123456」で 2 位が「password」で昨年と順位が入れ替わったのに対し、女性は「mikeym0128」が初登場で 1 位となり、昨年 1 位の「password」が 2 位に後退している。女性のデータではトップ 10 に数字だけのパスワードが少ない(「123456」のみ)のも特徴的だ。性別を含まないデータでは 1 位が「123456」で 2 位が「1234」となっている。先日のストーリーで話題になった「159753qq」はトップ50に含まれていない。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | 情報漏洩 |

関連ストーリー：
(自分を含む) 誰かの名前、パスワードに含めたことある？ 2022年11月20日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
2019年の最悪パスワードは1位は今年も「123456」、2位は「qwerty」に。 2019年12月23日
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
2018年パスワードを正しく使用していない人・団体ランキング発表。1位はカニエ・ウェスト、2位は米国防総省 2018年12月14日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
オンラインに流出した電子メールパスワードの半数近くがユーザーの名前を含むという調査結果 2016年12月10日
2014年最も人気のあったパスワード、相変わらず「123456」や「password」がトップに 2015年01月22日
英大手ECサイトの66%が単純なパスワードの使用を許可している 2014年03月15日
Adobeアカウントで最もよく使われていたパスワードは「123456」 2013年11月09日
楽天、パスワードの定期的な変更を推奨する文言を会員規約から削除へ 2022年12月05日

WhatsApp ユーザーのものとされる世界 84 か国、計 4 億 8,700 万件の電話番号データが売りに出されているそうだ (Cybernews の記事、 Neowin の記事)。 電話番号データの販売情報は、ある人物が 11 月 16 日によく知られたハッキングコミュニティに投稿したものだという。件数の最も多いのはエジプト (約 4,482 万件) で、イタリア (約 3,568 万件) と米国 (約 3,232 万件) が続く。数は少ないものの日本の電話番号も約 43 万件含まれている。 この人物は Cybernews に対し、米国のデータセットが 7,000 ドル、英国 (約 1,152 万件) が 2,500 ドル、ドイツ (約 605 万件) が 2,000 ドルだと説明したそうだ。Cybernews は英国 1,097 件分、米国 817 件分のサンプル提供を受け、確かに WhatsApp ユーザーのものであることを確認したとのこと。販売者は入手法について説明しなかったが、Cybernews はスクレイピングによるものだと考えているようだ。

すべて読む | YROセクション | セキュリティ | 携帯電話 | プライバシ |

関連ストーリー：
Twilioのフィッシング攻撃者、Signal ユーザー 1,900 人分の電話番号を取得した可能性 2022年08月19日
サンドラッグで不正アクセス。計1万9057件の個人情報が流出した可能性 2022年07月14日
読売新聞オンラインへの不正アクセス、流出した可能性の高い個人情報は 2,070 件 2022年07月09日
着信転送サービスを悪用した WhatsApp アカウント乗っ取り、日本では大丈夫か 2022年06月05日
WhatsApp、米政府の命令で中国とマカオのユーザーを追跡していた 2022年01月22日
LINE Pay、国内外13万人分のキャンペーン参加情報を誤ってGitHubにアップロード 2021年12月07日
Facebook、過去に流出した世界5億3300万人の個人情報が閲覧可能に。日本からも42万8625人 2021年04月07日
ソフトバンクで6347人の顧客情報流出。ドコモ口座事件などに悪用される 2021年03月04日
PayPay、ブラジルから不正アクセス。加盟店の情報が最大2007万件流出した可能性 2020年12月08日
エクアドルで大規模個人情報流出、流出件数は人口を超える。パスワード未設定で運用したElasticsearchが原因か 2019年09月19日

カナダ・グェルフ大学の研究グループが電子機器修理サービスプロバイダーによる個人ファイルの扱いを調べたところ、修理担当者が作業に必要ない個人ファイルにしばしばアクセスしており、修理依頼者が女性の場合は特に多いことが判明したそうだ (U of G News の記事、 Ars Technia の記事、 PCMag の記事、 論文アブストラクト)。 研究グループの調べによると、カナダで利用可能な電子機器修理サービスプロバイダーでは規模の大小にかかわらず、デバイスに顧客が保存した個人データを保護するプライバシーポリシーが用意されていないという。また、Windows 10 のプリインストールされた新品のノート PC を 6 台を購入し、オーディオドライバーを無効化して実際に修理を依頼する実験も行っている 実験では 3 台ずつ男性と女性の所有者という設定で個人ファイルやインターネットサービスのアカウント、ブラウザーの閲覧履歴などのほか、男女にかかわらず露出度の高い女性の写真 (非ヌード) を格納し、これに合わせた性別の実験者が合計 16 の修理サービスプロバイダー (全国規模 4、地域規模 4、地元業者 8) に修理を依頼。Windows のステップ記録ツールと監査ポリシーを用いて修理担当者の操作内容を記録している。なお、実験にあたっては修理担当者のプライバシーにも配慮したとのこと。 このうち 2 件のサービスプロバイダー (地域 1、地元 1) では実験者の目の前で修理を終わらせており、別の地元修理業者 2 件では記録したデータが取り出せなかったという。残り 12 件のうち、4 件で修理担当者が「ドキュメント」フォルダーにアクセスしており、5 件で「ピクチャ」フォルダと露出度の高い女性の写真にアクセスしたそうだ。 こういった個人ファイルへのアクセスは修理依頼者が女性の場合に多く、男性の場合はそれぞれ 1 件にとどまる。一方、ブラウザーの閲覧履歴に修理担当者がアクセスしたのは 2 件で、修理依頼者はいずれも男性だった。このほか、2 件では修理担当者が顧客のデータをコピーしており、5 件ではアクセスしたファイルの履歴などを消去したという。 このような状況を消費者も不安に感じているようだ。112 名を対象に実施したアンケート調査では、故障したデバイスを修理しなかった人の 33 % (スマートフォン/タブレット: 79 人中 26 人、PC: 70 人中 23 人)がプライバシーを理由に挙げているとのことだ。

すべて読む | セキュリティセクション | セキュリティ | YRO | ノートPC | 携帯電話 | ハードウェアハック | プライバシ |

関連ストーリー：
Samsung、修理中のスマートフォンからの個人情報漏洩を防ぐ「修理モード」を発表 2022年07月31日
Google 曰く、ユーザーのアカウント侵害と Google の修理拠点に送られた Pixel スマートフォンは無関係 2021年12月11日
Google の修理拠点に送った Pixel スマートフォンが不正にアクセスされたという 2 件の報告 2021年12月09日
アップルにiPhoneを修理に出した女性、裸の写真とセックス動画を自分のSNSに投稿される 2021年06月09日
富士通などPCメーカー各社、マイナンバーが保存されたPCを修理対象外に 2016年05月25日
故障したPCを修理店に持っていた70歳男性、PC内にあった孫の写真が原因で児童ポルノ所持罪で起訴される 2013年06月07日
英国の粗悪なPC修理業者、おとり取材で実態が暴かれる 2009年07月24日
PC修理時にWebcamの盗撮用アプリケーションを仕込み、逮捕 2008年08月09日
Samsung、商標「SELF REPAIR ASSISTANT」を米国で出願 2022年12月01日

headless 曰く、フランスの学校では無料の Microsoft Office 365 Education を使用できないとの見解を国民教育・青年省が示している (国民教育・青年省の回答、 The Register の記事、 Siècle Digital の記事)。 この見解は 8 月にフィリップ・ラトンベ下院議員が示した懸念 (PDF) に答える形で出されたものだ。ラトンベ氏は無償提供がダンピングに相当し、競争を阻害する可能性があること、データが米国のサーバーに保存されてデジタル主権が損なわれる可能性があることなどを指摘していた。 国民教育・青年省では、無償のサービスが公共調達の対象にならないと説明。また、デジタル省庁間総局 (DINUM) は Microsoft Office 365 が政府のクラウド中心政策の要件を満たさないとの見解を示しており、政府の政策がEU域から米国へ個人情報を転送する根拠となっていた Privacy Shield を無効と判断した EU 司法裁判所の Schrems II 判決にも合致すること、データ保護当局 (CNIL) が米国にデータを送信しない Office スイートを使用するよう勧告していることなどを挙げ、GDPR に違反する Microsoft や Google のソリューションを展開しないよう要請しているとのこと。 ラトンベ下院議員の質問はもともと国民教育・青年大臣のパプ・エンジャイ氏にあてたものだが、エンジャイ氏も省の見解に同意しているとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | マイクロソフト | EU | 政治 | アメリカ合衆国 | プライバシ |

関連ストーリー：
イタリアのデータ保護当局も Google Analytics が GDPR に違反すると判断 2022年06月27日
英政府、cookie 保存をオプトアウト化する計画 2022年06月19日
Meta、EU 域でサービス提供できなくなる可能性を示唆 2022年02月08日
Google Analytics、EU 域内で使用できなくなる可能性 2022年01月17日
欧州司法裁判所、EU・米国間のデータ共有協定取り下げを決定。米国企業に影響か 2020年07月20日
ドイツ当局、Facebook傘下のWhatsAppアプリに対しドイツでのデータ収集や保管を禁じる命令を下す 2016年10月06日

サンフランシスコ警察（SFPD）が容疑者を殺害するためのロボット配備の許可を市の監督委員会に請願しているという。SFPD側は一般市民や警官の命が失われる危険が差し迫っていると主張している。この提案にはすでに理事会の内外から大きな反発が出ているようだ。SFPDは現在、爆弾処理などに用いる十数台の遠隔操作ロボットを保持している。爆弾処理ユニットには、爆弾処理のために空砲のショットガンが装備されているが、これを実弾に変更すれば当然のことながら攻撃用として転用もできるとのこと（サンフランシスコ警察による方針案[PDF]、Engadget）。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | アメリカ合衆国 | ロボット |

関連ストーリー：
カニのスパイロボット、外装を開け中を見られそっ閉じされる 2022年09月15日
AIを使った殺傷能力を持つ自立型ドローン兵器、世界初の使用報告 2021年06月24日
米国・サンフランシスコでは人間がロボット自動車を攻撃する 2018年03月10日
AI搭載の「ラブドール」がハッキングされ人間を襲う危険性が指摘される 2017年09月29日
不正アクセス可能なプリンターに対し遠隔からメッセージを印刷して警告するハッカー 2017年02月13日

経済産業省の委託事業「コンテンツ緊急電子化事業」特設サイトのドメインが第三者によって取得され、別のウェブサイトが運用されているとして経産省が注意を呼びかけている。運営されているサイトは、元のコンテンツ緊急電子化事業のページをほぼそのままのかたちで復元。その中に別のサイトへのリンクを紛れ込ませるという手法でフィッシングをおこなう手段を用いている模様（経済産業省リリース、INTERNET Watch）。 INTERNET Watchの記事によれば、該当の偽サイトでは更新履歴の最上段にさりげなくリンクを紛れ込ませるという手法が取られているという。また記事中では、当事者である経済産業省が「アクセスしないよう、御注意ください」で済ましているのがあまりにもお粗末だと指摘している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | IT | 政府 |

関連ストーリー：
2022年第3四半期、DHLがフィッシング詐欺で最も名前を使われたブランドに 2022年10月30日
JPCERT/CC、2019年1月からのフィッシングサイトのURLを公開 2022年09月02日
Twilioのフィッシング攻撃者、Signal ユーザー 1,900 人分の電話番号を取得した可能性 2022年08月19日
Twilio、フィッシングで奪われた従業員の認証情報による不正アクセスで顧客の情報が漏洩 2022年08月11日
フィッシング対策協議会の7月次報告書、URL数が6月の約1.8倍に急増 2022年08月09日
DMM、MasterCard決済終了のメール送付でフィッシング詐欺疑惑もたれる 2022年07月21日

埼玉大学は21日、GoogleのGmailドメインのタイプミスの結果、メールの転送ミスが起きていたと発表した。本来「@gmail.com」のドメインに送るはずだったメールを、「@gmai.com」のアドレスに約10カ月間自動転送し続けていたという（埼玉大学リリース、ITmedia）。 この誤転送問題は2021年5月6日から22年3月3日まで発生しており、この間4890件のメールを送っていたとしている。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。 nemui4 曰く、WHOISによれば、gmai.comのドメインはホンジュラスのドメイン名レジストラを名乗る「BoteroSolutions.com S.A.」が所有している（11月21日時点）。

すべて読む | セキュリティセクション | セキュリティ | 変なモノ | 情報漏洩 |

関連ストーリー：
gmailをgmaiと誤入力して新入生135人の個人情報が流出。京都市立芸術大 2021年04月02日
Google Playにある古参アプリ、マルウェアと誤認される。マルウェア化したアプリと同名 2021年02月12日
パスワード付きZIP解凍のため「パスワードが電話で連絡される」運用が始まってしまった件 2020年12月04日

Twitterのイーロン・マスクCEOが、ダイレクトメッセージ（DM）に「エンドツーエンド暗号化」の導入を進めていることを認めたという。アプリ研究者のJane Manchun Wong氏によると、Twitter for Android でこの機能が開発されている兆候が見られるらしい（MacRumors、GetNavi web、Forbes）。 TwitterのDMのセキュリティリスクは以前から指摘されていたが、暗号化されれば、TwitterのDMがSignalやWhatsAppレベルにまでセキュリティを高められるとされる。こうしたTwitterのDMの暗号化は2018年に「秘密の会話」として導入が計画されていたこともあったが実現していなかった。この暗号化はサブスクリプションパッケージ「Twitter Blue」に追加される可能性があるとの報道も出ている。

すべて読む | ITセクション | セキュリティ | Twitter | 暗号 | IT | SNS |

関連ストーリー：
チャット/メッセージングアプリのリンクプレビュー機能に潜む問題 2020年10月30日
VTuberファンコミュニティサイトMeChuで個人情報流出、パスワードはBase64で「暗号化」？ 2019年06月17日
Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表 2019年03月25日
テクノロジー企業にユーザーのセキュリティとプライバシーを強化するよう求めるEFFのキャンペーン 2019年03月03日
インド政府、政府機関に対し暗号化通信などの傍受を認める 2018年12月28日
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す 2018年05月04日
マスク氏、コードレビュー結果で50人を解雇 2022年11月28日
イーロン・マスク曰く「Twitterはどちらかと言えば日本中心だ」 2022年11月24日

ExpressVPN の調査によると、米国人の 40 % が自分の苗字がパスワードに含まれると回答したそうだ (ExpressVPN のブログ記事、 HackRead の記事)。 調査はモバイル投票サービス Pollfish を利用し、米国の成人 1,000 名にパスワードの選択について質問したものだという。調査報告書はまだ完成していないようだが、その一部が紹介されている。 パスワードに含められることが最も多い個人情報は誕生日 (43.90 %) で、ペットの名前 (43.80 %) が続く。本人の名前ではファーストネームが 42.30 % で最も多く、ラストネーム (苗字) とミドルネーム (31.60 %) の順になっている。また、子供の名前 (37.50 %) や元パートナーの名前 (26.10 %) といった自分以外の名前も多く使われているが、現パートナーの名前はリストに出現しない。このほか、電話番号 (32.20 %) や社会保障番号 (30.30 %) を使う人も多い。 その結果、5 人に 2 人はパスワードを作るときに自分の名前を少し変えたものを使うと回答し、43 % は自分の愛する人がパスワードを推測できるだろうと回答しているという。平均的な人は 6 サイト/プラットフォームで同じパスワードを使っているとのこと。それでも 81 % は現在のパスワードでセキュリティとプライバシーが十分に守られていると考えているそうだ。 日本人はキーボードの並びをパスワードで使用する人が多いといい、自分の名前をパスワードに含める人は少ないかもしれないが、スラドの皆さんはいかがだろう。なお、世界全体で最も多く使われているパスワードは相変わらず「123456」だが、日本では「159753qq」が最も多いとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | スラドに聞け！ |

関連ストーリー：
ASCII.jp、「パスワードはo(オー)を０(ゼロ)に置き換えると破られにくい」という記事を掲載 2022年09月01日
本人よりも詐欺師の方が高い「秘密の質問」の正解率 2022年04月26日
英国、IT機器の推測しやすいデフォルトパスワードを禁止する法案を導入 2021年11月30日
2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 2021年11月21日
ハッキング事件の起きたSolarWindsサーバーでは「solarwinds123」というパスワードが使用されていた 2021年03月02日
2020年版パスワードを正しく使用していない人・団体のランキング、1位はTwitter従業員、2位はZoomユーザー 2020年12月05日
米調査、パスワードに「COVID」を含めたことのある人は14％ 2020年10月24日
リバースブルートフォース攻撃で狙われやすい暗証番号は？ RockYouから流出したパスワードから解析 2020年09月17日
最も使用されているパスワードは相も変わらず「123456」。漏洩データからの研究 2020年07月06日
利用サービスで情報漏洩が発生しても、パスワードを変えるユーザーは3分の1程度 2020年06月05日
2019年の最悪パスワードは1位は今年も「123456」、2位は「qwerty」に。 2019年12月23日
英国家サイバーセキュリティセンター、繰り返し使われているパスワード上位10万件のリストを公開 2019年04月27日
2018年・最悪のパスワードトップ50、今年も「123456」がナンバー1に 2018年12月17日
最悪なパスワードランキングで「123456」が5年連続ナンバー1に輝く 2017年12月23日
「最もよく使われているパスワード」、2016年調査でもトップは「123456」 2017年01月19日
Twitterアカウント情報3300万件が流出、もっとも多かったパスワードは「123456」 2016年06月13日
流出パスワードトップ 200、2022 年版では「password」が 1 位に 2022年11月27日