slashdot(security)

昨年、柔道整復師の国家試験で、公益財団法人の元理事ら2人が試験問題を漏洩させていた事件が発覚している。この事件では2022年2月、柔道整復師の国家試験の問題に関する情報を事前に仙台市の専門学校に漏らすなどし、柔道整復師法違反の罪に問われている。1月におこなわれた公判では元理事ら2人は起訴内容を認めているという（TBS NEWS DIG[動画] 、NHK）。 この摘発後、初めての国家試験が今月おこなわれたが、国家試験の合格率が過去最低になっていたことが判明したという。厚労省によると、摘発後に初めて実施された国家試験では合格率が49.6％で、過去最低だった2017年度の58.4%をおよそ9ポイント下回っていたことが判明。合格率が急激に下がったことから、業界関係者は問題漏洩が全国的に広がっていた可能性があると指摘しているという（TBS NEWS DIG）。 あるAnonymous Coward 曰く、漏洩事件に関わった元試験委員の男性が勤務していた「東京柔道整復専門学校」は、新卒の合格率が去年98.6%に上っていましたが、今年は66.9%となり、32ポイントも激減しました。学校の担当者は「漏洩に関与したとされる教員ら5人は国家試験対策の授業をしていたが、摘発後に退職し、授業の質が落ちた」とコメントしています。 凄い反省の弁だ。

すべて読む | セキュリティセクション | 医療 | 教育 | 情報漏洩 |

関連ストーリー：
司法試験の作成担当者が問題を教え子に漏洩、解答が模範的すぎて発覚 2015年09月09日
基本情報技術者試験の修了試験問題が事前に漏洩 2007年07月13日

headless 曰く、Twitter のソースコードの一部が GitHub で公開され、Twitter の DMCA 削除要請によりリポジトリが削除されたそうだ (TorrentFreak の記事、 Ars Technica の記事、 HackRead の記事、 The Guardian の記事)。 TorrentFreak の調べによると、FreeSpeechEnthusiast/PublicSpace リポジトリに Twitter のソースコードの一部とされるものが出現したのは 3 月 24 日 2 時 25 分 (タイムゾーン不明、TorrentFreak は英国の会社が運営) だという。DMCA 削除要請が送られた時刻は不明だが同日 10 時 15 分までに Twitter と GitHub の間で何らかのやり取りがあったとみられ、17 時 12 分にはリポジトリが削除され、その 1 分後にTwitterに通知されたとのこと。 Twitter の DMCA 削除要請によれば、公開されていたのは Twitter のプラットフォームと内部ツールのプロプライエタリなソースコードだという。ソースコードを流出させた人物は不明のようで、Twitter では特定するため裁判所に召喚状の請求 (PDF: [1]、[2])も行っている。 イーロン・マスク氏は 2 月 22 日に Twitter のソースコードを来週公開すると示唆していたが結局公開されず、先日はおすすめツイートのソースコードを 3 月 31 日に公開する計画を示している。

すべて読む | ITセクション | Twitter | 著作権 | IT | 情報漏洩 |

関連ストーリー：
イーロン・マスク、Twitter のオープンソース化を示唆 2023年02月23日
大手ECで使用中の入力フォームプログラムが改ざん、3800件以上のクレカ情報などが流出 2022年10月28日
Bing や Cortana のものとされる約 37 GB のソースコードが流出 2022年03月23日
動画配信のTwitchからサービスの全ソースコードやクリエイターへの支払いリストが流出 2021年10月08日
メルカリで不正アクセスによる情報流出。顧客情報やソースコードなど 2021年05月26日

警視庁は28日、サイバー攻撃における家庭用Wi-Fiルーターの悪用被害に関する注意喚起を行った。それによると、サイバー攻撃事案の捜査の過程で、家庭用Wi-Fiルーターが、サイバー攻撃に悪用される事例が増えていることが判明したそうだ（警視庁リリース、Wi-Fi（無線LAN）ルーターをお使いの方へ、INTERNET Watch）。今回確認された手法は、攻撃者が外部からルーターの機能を不正に操作して有効化するもので、従来からの対策方法である 初期設定で使われている単純なIDやパスワードは変更常に最新のファームウェアを使用サポートが終了したルーターは買い替えを検討 といった方法では対処ができないとしている。このため新たな対策として「見覚えのない設定変更がなされていないか定期的に確認する」ことが必要だとしている。具体的なチェックポイントとしては、 「VPN機能設定」や「DDNS機能設定」、「インターネット（外部）からルーターの管理画面への接続設定」の有効化がされていないかPN機能設定に見覚えのないVPNアカウントが追加されていないか見覚えのない設定があった場合、ルーターの初期化を行い、ファームウェアを最新のものに更新した上、ルーターのパスワードを複雑なものに変更するといった対策が必要だとしている。またメーカーのサポートが終了したルーターは、セキュリティリスクが高まるため、買い替えの検討をするよう求めている。

すべて読む | セキュリティセクション | ハードウェア | セキュリティ | インターネット |

関連ストーリー：
iOS で VPN 使用時に一部の通信が VPN をバイパスする問題、再び注目される 2022年08月22日
大手メーカーWi-Fiルーター9機種に多数の脆弱性が確認される 2021年12月09日
エレコム、2013年と2017年発売のルーターに脆弱性。対応予定はなく使用中止を求める 2021年07月07日
バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 2021年04月30日
NEC製ルーター「Aterm」シリーズ17機種に複数の脆弱性が報告される 2021年04月12日

東海大学の研究チームは、遠隔からレーザー光をQRコードに当て一時的にだけ偽装QRコードに変える攻撃をすることで、任意のタイミングで悪性サイトへ誘導可能な偽装QRコードを生成する手法を考案したという。QRコードの誤り訂正機能を悪用、レーザー光を照射したときにだけ高確率に悪性サイトへ誘導するように設計されている。この方法を用いればQRコードを撮影しているときに遠くからレーザー光で照射。別の悪意あるサイトへ誘導することが可能になるとしている（ITmedia）。 以前から正規QRコードを外部から書き換える方法に関してはいくつか提案されてきたそうだ。正規QRコード上に偽装QRコードのステッカーを張り付ける方法や、QRコードの特定部位をマジックなどで塗りつぶす方法などが提示されてきた。しかし、こうした方法は継続して偽装QRコードに書き換わってしまうことから、偽装QRコードだと発見されやすい欠点があった。今回の方法は一時的に正規のQRコードを書き換えるため、一部のユーザーにしか悪性サイトに誘導されない。このことから、偽装QRコードだと見抜かれにくい特徴を持つとしている。

すべて読む | セキュリティセクション | セキュリティ | インターネット |

関連ストーリー：
写真の指定部分をQRコード化するWebアプリ 2023年03月24日
「スマホで年賀状」、表面の差出人欄が広告に差し替えられるトラブル 2023年01月05日
カタログギフトにURLをlocalhostで印刷するミス 2022年12月29日
キャッシュレスに課題。手数料負担によりQR決済利用停止やナンバーレスカード使えない事例など 2022年12月23日

ランサムウェア被害が増加しているが、被害に遭った企業がバックアップを用意していたケースでも、被害直前の状況まで復元できたケースは2割に届いていないという。2022年に警察庁への報告があったランサムウェアの被害は、あわせて230件で前年の146件から57.5％増となった。直接的な金銭の要求が確認されたものは54件で、そのうちの50件については暗号通貨、のこる4件については米ドルによる支払いを迫るものだったという（令和４年におけるサイバー空間をめぐる脅威の情勢等について[PDF]、Security NEXT）。 ランサムウェアの感染経路に関して各期企業に聞いたところ102件の有効な回答があった。VPN機器からの侵入が63件で62％、リモートデスクトップからの侵入が19件で19％を占めた。テレワーク等に利用される機器等のぜい弱性等を悪用した侵入が81％と大半を占めているとされる。 復旧に要した期間は131件の有効な回答があり、うち復旧までに１か月以上を要したものが35件。被害に遭ったシステム又は機器のバックアップの取得状況に関しては、139件の有効な回答があり、バックアップがあったとの回答が116件で83％を占めた。そのうちバックアップから被害直前の水準まで復旧出来なかったものは90件で81％だったとしている。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | 統計 |

関連ストーリー：
無償のランサムウェア被害復旧ツールを当局がGithubで公開 2023年02月13日
英 Royal Mail、サイバーインシデントで国外あての物品が発送できなくなる 2023年01月15日
昨年ランサムウェア被害に遭った大阪急性期・総合医療センターが復旧 2023年01月13日
大阪急性期・総合医療センターがランサムウェア感染、31日から診療が停止 2022年11月02日
ランサムウェア攻撃でドイツの新聞印刷システムが停止 2022年10月27日
千葉南房総市の情シスにランサムウェア攻撃、身代金払わねば成績表公開と脅迫 2022年09月02日
全国280の大規模病院でIDとパスワード使い回しが判明。サイバー攻撃被害の一因に 2023年03月31日

Windows 11の「Windowsセキュリティ」でローカルセキュリティ機関 (LSA) 保護機能のオン・オフにかかわらず、オフなのでデバイスが脆弱だと警告され続ける問題が発生している (Microsoft Learn の記事、 The Register の記事、 Ghacks の記事、 BetaNews の記事)。 この問題は Windows 11 バージョン 22H2 で「Update for Microsoft Defender ウイルス対策マルウェア対策プラットフォーム — KB5007651 (バージョン 1.0.2302.21002)」のインストール後に発生するという。 バージョン 1.0.2302.21002 をインストールすると、Windows セキュリティの「デバイス セキュリティ > コア分離」の「ローカル セキュリティ機関の保護」に「ローカル セキュリティ機関の保護がオフになっています。デバイスが脆弱である可能性があります。」と警告が表示される。このオプションをオンにすると「この変更を適用するにはデバイスを再起動してください。」と表示されるのだが、再起動後にも警告は消えず、再起動の要求も表示されたままになる。通知も表示されるような説明になっているが、手元の環境では確認できなかった。なお、警告には「無視」というリンクがあり、クリックすることで警告表示を消すこともできるが、再起動要求が消えることはない。 Microsoft によれば再起動後は警告を無視できるとのことだが、実際に保護が有効であるかどうかはイベント ビューアーの「Windows ログ」でイベントID 12 のイベントを確認する必要がある。イベントID 12で「LSASS.exe がレベル 4 で保護されたプロセスとして起動されました。」というイベントが記録されていれば LSA 保護は有効だ。Microsoft は問題の解決に取り組んでいるといい、更新プログラムがリリースされるまではこの状態が続くことになる。

すべて読む | セキュリティセクション | セキュリティ | バグ | 変なモノ | Windows |

関連ストーリー：
Microsoft Defender、誤動作でスタートメニューなどからショートカットを削除 2023年01月15日
Microsoft 曰く、Windows 11 でゲームのパフォーマンスを最適化するオプションはセキュリティ機能の一部無効化 2022年10月10日
Microsoft Defender、個人向けに提供開始 2022年06月21日
Microsoftのマルウェア対策エンジンに12年以上前から存在した脆弱性 2021年02月16日
Windows 10 May 2020 Update、OS再インストール機能の「新たに開始」が呼び出せなくなっていた 2020年06月17日
Windows 10 May 2020 Update、「メモリ整合性」の有効化と特定のディスプレイドライバーの組み合わせでインストールできない問題 2020年05月31日

GitHub が日本時間 24 日 14 時頃、GitHub.com の Git 操作で使用する RSA SSH ホスト鍵を更新したそうだ (The GitHub Blog の記事、 The Register の記事)。 今週 GitHub は RSA SSH 秘密鍵がGitHubの公開リポジトリで短時間見える状態になっていたことを発見し、すぐに修正を行って原因と影響の調査を行ったという。その結果、GitHubのシステムや顧客の情報が不正にアクセスされたのではなく、誤って秘密鍵を公開してしまった結果だと判断したとのこと。秘密鍵が不正に用いられたという証拠もないが、攻撃者がGitHubになりすましたり、ユーザーのGit操作を盗聴する可能性があることから、念のためホスト鍵を更新したとのこと。この変更はRSA鍵を使用してSSHでGit操作をする場合にのみ影響し、GitHub.comへのウェブトラフィックやHTTPSでのGit操作は影響を受けない。 RSA鍵を使用してSSHでGitHub.comにアクセスすると警告が表示されるので、古い鍵を削除して新しい鍵を追加する必要がある。ECDSA鍵やEd25519鍵を使用している場合には影響がなく、特に何も変更する必要はないとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 暗号 | デベロッパー |

関連ストーリー：
無償のランサムウェア被害復旧ツールを当局がGithubで公開 2023年02月13日
GitHubから非公開リポジトリなどのデータが流出 2022年04月22日
米軍が過去8年にわたって収集した大量のインターネット投稿、Amazon S3で誤って公開されていたことが判明 2017年11月22日
Adobeのセキュリティチーム、誤ってPGP秘密鍵をブログで公開 2017年09月24日
Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 2017年02月26日
PGPの32ビット鍵IDが問題に、Linus Torvalds氏などの偽造鍵も確認される 2016年08月23日
オランダ警察、「PGP Blackberry」で使われているPGP暗号化されたメールを解読していた 2016年01月19日

headless 曰く、Google Play で中国のソーシャルショッピングアプリ「拼多多 (Pinduoduo)」が公開停止となっている (Bloomberg の記事、 HackRead の記事、 The Register の記事)。 Google によれば、同アプリの Google Play で提供されていないバージョンでマルウェアが見つかり、調査を進める間、念のために Google Play での公開も停止したのだという。Google Play Protect ではマルウェアを含むバージョンのインストールをブロックしており、インストール済みの場合は削除を促すとのこと。Pingduoduo ではアプリ自体に悪意ある機能が組み込まれているという疑いを否定してGoogle の対応を批判し、同時にブロックされたアプリが複数あるのにもかかわらず Pinduoduo だけを記事で取り上げた Bloomberg も批判しているとのことだ。

すべて読む | セキュリティセクション | Google | セキュリティ | Android |

関連ストーリー：
Google Play、ロシアで購入済み有料アプリのダウンロードやアップデートをブロック 2022年05月12日
韓国の法律に合わせて改訂したGoogle Playポリシー、違法状態は解消していないと判断される 2022年04月10日
Google、従来の無償版 G Suite 提供終了へ 2022年01月23日
シャープ製のAndroid TVに公開停止されたradikoアプリがプリインストールされている？ 2021年12月20日
Google Play Commerce、2022年に20億ドル以上の不正な取引を防ぐ 2023年03月26日

加工前のスクリーンショットが復元できてしまう脆弱性が、Windowsの画像編集ツール「Snipping Tool」で見つかっているという。先日取り上げたGoogle Pixelのマークアップツールで編集前の画像が復元できる脆弱性（CVE-2023-21036）に類似した内容だとされている（発見者のDavid Buchanan氏のツイート、PC Watch、GIGAZINE）。 この脆弱性はトリミングや塗りつぶしといった加工を行なったスクリーンショットを、加工前の状態に部分的に復元できてしまうとしている。スクリーンショットに写り込んだクレジットカード番号や住所、その他の見られたくない箇所をSnipping Toolでトリミングしたり、ぼかしたりして投稿することがあるが、編集後の画像から元画像を復元できるこの脆弱性は、非常に深刻なセキュリティリスクをもたらす可能性があるとしている。

すべて読む | ITセクション | セキュリティ | グラフィック | バグ | プライバシ |

関連ストーリー：
Google Pixelのマークアップツールで編集前の画像が復元できる脆弱性、エクスプロイトが公開 2023年03月19日
Google、露骨な表現を含む画像にぼかしをかけるオプションをセーフサーチに追加する計画 2023年02月10日
Amazon、従業員に対してChatGPTと会話しないよう警告 2023年02月01日

サンリオのキャラクター「ポムポムプリン」をユーザー名やアイコンに使用して活動していたハッカーフォーラムのオーナーが米ニューヨーク州ピークスキルの自宅で逮捕されたそうだ (HackRead の記事、 news12 Westchester の記事、 Bloomberg の記事、 The Register の記事、 裁判所文書: PDF)。 このハッカーフォーラム「BreachForums」は閉鎖された Raidforums の代替として開設されたもので、企業やウェブサイトから盗まれたデータベース 1,000 件近くをホストする現在最も活発なハッカーフォーラムだという。昨年中国で流出した 10 億人規模の個人情報や、1 月に米航空会社から流出した米国の飛行禁止リストも同フォーラムで公開されている。pompomprin は 2021 年に fbi.gov ドメインで偽メールが大量送信された事件の実行者としても知られる人物だ。BreachForums では pompomprin の逮捕を受け、他のシステム管理者が新オーナーとして運営を続けていくと発表している。

すべて読む | セキュリティセクション | 犯罪 | セキュリティ | インターネット | 情報漏洩 |

関連ストーリー：
米航空会社のサーバーからテロリストデータベースが流出した可能性 2023年01月25日
中国で10億人規模の個人情報が流出 2022年07月06日
FBIが脆弱性をつかれ、公式ドメインからフェイクメールが大量に配信 2021年11月19日

しんやさんのツイートによると、とあるセキュリティ研修で問:下記のどちらが強力なパスワードですか?　という問題が出たようだ（しんやさんツイート、Togetter）。 1.「w6!j38?pa7J」 2.「CanYouCelebrate?」この問題の正解は「2」。説明によると、1.は確かに複雑ですが覚えにくいです。2.は覚えやすく他人からの推測も困難です。2.を使う方が賢明です。とのことだったようだ。このセキュリティ研修の問題はあちこちの企業で使われているらしく、Twitter上では「全く同じ問題出てみんな間違えてた」とする声が相次いでいた模様。一方で2で正解なのが当然だとする指摘も出ている。その理由としてエクスリさんは 2は字数長い、全角半角記号まで使っている、生体情報的な単語がない、辞書攻撃リストにはあまりない文と固さの条件整っている上で忘れにくいわかりやすさだからなぁと解説している。また1のような複雑過ぎるパスワードは、メモされて画面やキーボードの裏とかに貼られたりする傾向があり、ソーシャルハックに弱いとする指摘もあった。

すべて読む | セキュリティセクション | セキュリティ | スラッシュバック | 暗号 |

関連ストーリー：
SpyCloud が 2022 年に発見した流出認証情報は 7 億 2,150 万件 2023年03月17日
企業のWebブラウザの半数以上は設定ミス状態。LayerXレポート 2023年03月10日
「サインイン」「ログイン」「ログオン」「ログオフ」の使い分けは必要か 2023年03月08日
LastPass の不正アクセス、エンジニアが自宅 PC のサードパーティソフトウェアを更新していれば防げた可能性 2023年03月05日
奇想天外なパスワード規則のウェブサイトを掲載する『Dumb Password Rules』 2023年02月21日

Google は Pixel の「マークアップ」ツールで発見された脆弱性 (CVE-2023-21036) を 3 月のアップデートで修正したが、これを利用するエクスプロイト「aCropalypse」が公開されている (エクスプロイト作者のブログ記事、 9to5Google の記事、 Android Police の記事、 Simon Aarons 氏のツイート)。 マークアップはスクリーンショット撮影時に表示され、画像のクロップや書き込み・塗りつぶし等を可能にする。CVE-2023-21036 では編集の結果を保存する際にファイルサイズを切り詰めずに新しい画像データを上書きするため、元のデータが一部残されてしまう。具体的な処理を知ることは難しいが、エクスプロイト作者の David Buchanan 氏は Android 10 以降で 2021 年に修正された ParcelFileDescriptor.parseMode のバグとみているようだ。 脆弱性が修正されても既に保存したファイルが更新されるわけではない。このような画像をソーシャルメディアアプリやメッセージングアプリなどで送信する場合、読み取れない元の画像データはメタデータとともに削除されるが、Discord では 1 月までこのような処理が行われていなかったという。そのため、それ以前にアップロードしたスクリーンショットでは、隠したつもりの部分が復元されてしまう可能性がある。 エクスプロイトの作者が過去に使用していた Pixel 3XL のスクリーンショットを Discord からダウンロードして復元処理を行ってみたところ、eBay の確認メールのスクリーンショットから自宅住所全体が復元されたそうだ。なお、復元処理はすべてローカルで行われるとのことだ。

すべて読む | セキュリティセクション | グラフィック | Google | セキュリティ | バグ | 携帯電話 | Android | プライバシ |

関連ストーリー：
明るい肌色優先で話題になった Twitter のアルゴリズム、若さやスリムさも優先されることが明らかに 2021年08月14日
Twitter、画像をクロップせずにタイムライン表示する機能をAndroidとiOSでテスト中 2021年03月13日
Twitter、明るい肌色優先が話題になった画像自動クロップで投稿者の選択肢を増やすなどの改善を計画 2020年10月06日
Twitterの画像自動クロップ表示機能、明るい肌色が優先されると話題に 2020年09月23日
財務省が公開した「森友学園」交渉記録文書、黒塗りが簡単に外せる状態だった 2018年05月29日
オンライン公開された政府文章、Ctrl+Aで「非公開の情報」が読めてしまった 2011年04月22日
米軍の機密情報がコピペで漏れる 2005年05月24日
岩手県が氏名を「非表示」にしただけで個人情報を公開 2002年06月02日
WindowsのSnipping Toolにも脆弱性見つかる 2023年03月23日
Pixel Watch で正確な時刻にアラームが鳴らない問題、時計アプリのアップデートで修正へ 2023年03月21日

日本シノプシスは14日、研究機関「Cybersecurity Research Center（CyRC）」が、企業の合併・買収の際に棚卸しした1703のソフトウェアを対象に匿名化したデータを分析したオープンソース·セキュリティ＆リスク分析レポートに関する説明会を開催した（オープンソース·セキュリティ＆リスク分析レポート、ZDNET Japan、IT Leaders）。 この分析によると、リスク診断を実施した1480のコード中、既知の脆弱性を一つ以上含んでいた割合は84％あったという。これは昨年比で4％の上昇だったそうだ。また、4年以上前のコードを含む割合は89％（こちらは昨年比4％上昇）だった。また、CyRCが2022年中に調査した企業が使用するソフトウェア1703本中、OSS（オープンソースソフトウェア）を含む割合は96％におよび、全コードにOSSが占める割合は76％だった。脆弱性を含むOSSの割合は84％で、ライセンスの競合が見つかったOSSは54％など増加傾向にあるとされる。 日本シノプシスの吉井雅人氏は「OSSを信頼すると同時に検証せよ。OSSのセキュリティはビジネスリスクに直結する。自らの責任でセキュリティを確保すべきだ。SBOM（ソフトウェア部品表）によるコンポーネントの可視化」が重要だと述べていたとのこと。

すべて読む | オープンソースセクション | オープンソース | セキュリティ |

関連ストーリー：
米政権、ソフトウェアの安全への適切な注意義務を怠った者に責任を負わせる国家サイバーセキュリティ戦略 2023年03月04日
もじら組、フォーラムのサービス障害から約2年 2023年02月10日
いかにしてNvidiaはPascalとMaxwell-v2を殺したか 2022年12月02日
Linux Foundation から支援を受けることの是非、FOSS コミュニティで意見が分かれる 2022年11月19日
オープンソースプロジェクトの脆弱性修正にかかる時間が 3 年間で倍以上に増加したとの調査結果 2022年06月23日

headless 曰く、英国のリシ・スナク首相は 13 日、英国政府の新たなセキュリティ組織 National Protective Security Authority (NPSA) を MI5 内に設立すると発表した (プレスリリース、 NPSA の About ページ、 The Register の記事)。 NPSA は Center for the Protection of National Infrastructure (CPNI) が発展したもので、今日の英国が直面する脅威を反映し、国家の重要なインフラにとどまらずより幅広い権限を持つという。NPSA では現在の脅威を反映したガイダンスをセキュリティ知識がない人でもわかりやすく作成し、組織の規模や業種を限定せずにトレーニングなども提供していくとのことだ。

すべて読む | セキュリティセクション | 英国 | セキュリティ | 政府 |

関連ストーリー：
日米安保条約は宇宙空間も適用対象、日米両国が確認 2023年01月13日
ウクライナ政府、民間IT技術者を集めてIT軍を組織 2022年03月08日
NECも不正アクセスによる攻撃を受け情報漏洩 2020年01月31日
英GCHQ、複雑すぎるパスワードの使用中止を推奨 2015年09月22日
SSH通信において低確率ながら一部データが漏えいする可能性 2008年11月18日

headless 曰く、2023 SpyCloud Identity Exposure Report によると、SpyCloud の研究者は 2022 年に流出した認証情報 7 億 2,150 万件を発見したそうだ (ニュースリリース、 Neowin の記事)。 2020 年にマルウェアに感染したデバイスは 2,200 万台が見つかっており、SpyCloud が確認した認証情報 7 億 2,150 万件の半数はボットネットから来たものだという。また、220 億台近いデバイスでは多要素認証のバイパスに利用可能なセッションクッキーが取得可能な状態にあり、14 億人分のフルネームや 3 億 3,200 万件の社会保障番号、6,700 万件のクレジットカード番号などを含む 86 億件の個人を特定可能な情報 (PII) が入手可能だったとのこと。 パスワードの安全性は相変わらず向上しておらず、2022 年にパスワードが流出したユーザーの 72 % が過去に流出したパスワードを再利用しており、話題の人物や出来事、製品等に関連するパスワードの人気も高い。SpyCloudが復元したパスワードのうち 327,000 件以上が歌手テイラー・スウィフトやバッド・バニーに関連する語句を含み、Netflix や Hulu に関連する語句を含むパスワードは 261,000 件以上、英国のエリザベス女王逝去や王室に関連する語句を含むパスワードも 167,000 件以上に上る。 政府関連組織では、昨年 2 件以上のパスワードが流出したユーザーのパスワード再利用率が 61 % に上り、最も多いパスワードは「123456」「12345678」「password」だったそうだ。政府関連組織は企業と比べてマルウェア感染デバイスによるリスクが高く、全世界の政府関連組織から 2022 年に流出した認証情報の 74 % 近くはマルウェアが送り出したものだったとのことだ。

すべて読む | セキュリティセクション | セキュリティ | 政府 | 情報漏洩 | プライバシ |

関連ストーリー：
パスワードに『,』を含めておくと、流出時の被害確率が下がるかもしれない 2022年10月14日
マルウェアEmotetに盗み出された400万件以上の認証情報、Have I been pwned?で確認可能に 2021年05月01日
米ルイジアナ州地裁、ランサムウェア攻撃を受けて裁判所文書が流出 2020年09月14日
Google Playでダウンロード1億回を超えるアプリにマルウェアが混入 2019年08月30日
マカフィーが2018年10大セキュリティ事件を発表 2018年12月13日
「w6!j38?pa7J」と「CanYouCelebrate?」ではどっちが強力なパスワードか？ 2023年03月20日

ブラジルの電気通信庁（Anatel）がオープンソースのマルチツールデバイス「Flipper Zero」の輸入を差し止めたという。Flipper Zeroは「ギーク向けのポータブル・マルチツール・デバイス」として販売されている製品で、電子回路図やファームウェアがオープンソース化されている（Electronic Frontier Foundation、GIGAZINE）。 Kickstarterでクラウドファンディングで資金調達に成功したFlipper Zeroは、2022年1月から順次注文した人への出荷が開始されていたそうだ。しかし、ブラジルの購入者からは「Flipper Zeroが届かない」という報告が相次いでいたという。Flipper Zeroは、その玩具のような外観に反して、NFC・Bluetooth・赤外線通信など多数の無線通信規格に対応する本格的な性能を備えており、デジタルキーをクローニングしたり、RFIDをエミュレーションしたりできる機能がある。このため第三者が自動車や玄関のスマートロックを解除するといった犯罪に使われることが懸念され、ブラジル当局により差し止められたようだ。

すべて読む | オープンソースセクション | オープンソース | 犯罪 | セキュリティ |

関連ストーリー：
レオパレス21が賃貸物件44万戸に「スマートロック」を採用 2022年01月26日
スマートロックサービス「Qrio」でネットワーク障害。発生から4日が経過 2021年12月01日
アプリで開閉するレンタカーから山奥で締め出し、再検証でも原因は不明 2021年08月13日
玄関ドアのスマートロックにまつわるトラブル。インターホン経由で屋外から解錠へ 2021年08月05日
Googleオフィスで導入されていたIoT錠、従業員によってハックされる 2018年09月06日
4年前にクラファンで募集したボードゲーム完成。総重量18kg 2023年03月24日

headless 曰く、インド政府が主要なスマートフォンOSについて、アップデートの一般リリース前に審査の実施を義務付けることを検討していると報じられている (Neowin の記事、 Reuters の記事)。 Reutersによればインド政府ではスパイや個人情報の不正利用を懸念しており、プリインストールアプリをアンインストール可能にすることを義務付ける計画を進めているという。インドでは中国製アプリを中心に多数のアプリを禁じているが、プリインストールアプリはアンインストール不可のものも多い。新ルールではスマートフォンメーカーにプリインストールアプリのアンインストールオプション提供を義務付け、新モデルはインド規格局が検査を行うことになる。 OSアップデートの審査はプリインストールアプリのアンインストールオプションの義務付け計画とともに検討されているものだが、リリースまでの期間が長くなることを懸念する声も出ているとのこと。実際に現実的な時間で審査できるのだろうか。

すべて読む | アップルセクション | モバイル | セキュリティ | 政治 | 携帯電話 | iOS | Android | プライバシ |

関連ストーリー：
インドでAndroidにPlayストアのみをインストールするオプションをGoogleが認めたとの情報 2023年02月23日
インド政府のアプリ禁止措置、特に中国製アプリを狙っているわけではない 2023年02月17日
インド政府、国産モバイル OS「BharOS」をデモ 2023年01月27日
Google Play、アプリ内課金システムを選択可能なパイロットプログラムを日本などに拡大 2022年09月03日

米フォルクスワーゲン (VW) は 8 日、2020 年式 ～ 2023 式の多くの車両で Car-Net Safe & Secure サービスを 5 年間無料化すると発表した (VW の Facebook 投稿、 Ars Technica の記事)。 VW の Car-Net サービスは 2 月、子供を乗せたまま盗まれた VW Atlas の追跡を保安官事務所から要請されたが、試用期間が終了しているとして料金が支払われるまでサービスの有効化を拒否。捜査官がクレジットカード番号を入手して料金を支払い、GPS の位置情報を入手した時には既に子供が発見されていた。VW では追跡拒否が誤りであったことを認め、顧客の安全を重視していると述べていたが、無料化はそれを具体化するものとなる。 Safe & Secure 無料サービスの対象となるのは Car-Net ハードウェア搭載車に限られ、盗難車両追跡機能はガソリン車に限られるという。たとえば、2020 年式の Passat は多くが Car-Net ハードウェアを搭載しておらず、電気自動車の ID.4 は盗難車両追跡に対応しない。無料サービスは米国内限定で、6 月 1 日から有効になる。6 月 1 日時点で有料の Safe & Secure サブスクリプションが残っている場合、終了後に無料サービスが有効化されるとのことだ。

すべて読む | ITセクション | モバイル | セキュリティ | インターネット | 交通 |

関連ストーリー：
フォルクスワーゲン、米イリノイ州で子供を乗せたまま盗まれた車両の追跡を料金が支払われるまで拒否 2023年03月02日

Google は 8 日、Windows 版 Chrome が搭載する望ましくないソフトウェア (UwS) の削除機能「Chrome Cleanup Tool」の廃止を明らかにした (Google Online Security Blog の記事、 The Verge の記事、 9to5Google の記事、 Android Police の記事)。 スラドでは Chrome Cleanup Tool を 2017 年に新機能として紹介しているが、Google によると予期せず変更された設定の復元や UwS を削除できるようにするため、2015 年に導入されたものだという。しかし、ここ数年は UwS に関する Chrome ユーザーからの苦情の減少や、UwS を事前に防ぐ Google セーフブラウジングのような積極的なセキュリティへの移行、拡張機能へ移行する UwS を防ぐための Chrome ウェブストアでのレビュー強化、マルウェアのトレンド変化などもあり、Chrome Cleanup Tool の廃止を決めたという。 Chrome 111 では設定の「リセットとクリーンアップ > パソコンのクリーンアップ (Chrome Cleanup Tool)」が削除されており、「プライバシーとセキュリティ > 安全確認」実行時にも「パソコンのクリーンアップ」が呼び出されなくなっている。定期的なスキャンを実行するコンポーネントも削除されるとのこと。Chrome Cleanup Tool がなくてもユーザーはセーフブラウジングで保護され、セーフブラウジングのオプション (設定 > プライバシーとセキュリティ > セキュリティ) で「保護強化機能」を有効にすることも可能とのことだ。

すべて読む | セキュリティセクション | Chrome | セキュリティ | Windows | IT |

関連ストーリー：
CCleaner、Microsoft Store に登場 2022年01月13日
Windows 10、望ましくない可能性のあるアプリケーションを既定でブロックへ 2021年08月05日
CCleanerがFirefox 79の拡張機能データファイルを一部Webキャッシュとして削除する問題 2020年08月08日
Microsoft曰く、CCleanerの特定バージョンのインストーラーは望ましくない可能性のあるアプリ 2020年08月02日
新Microsoft Edge、望ましくない可能性のあるアプリケーションのダウンロードをブロックする機能を追加へ 2020年02月04日
Chromeの「望ましくないソフトウェア」検出機能に対しプライバシ侵害ではないかとの声が出る 2018年04月07日
Google、ユーザーの合意なく個人情報を収集するAndroidアプリで警告を表示する計画 2017年12月06日
Google、Windows版Chromeで強化されたセキュリティ機能を紹介 2017年10月21日

セキュリティベンダーであるLayerXが公開した2023年のWebブラウザに関するセキュリティレポートによると、企業のWebブラウザの半数以上は設定ミスをしているという。レポートではプロファイルの不適切な使用やパッチ適用ルーチンの不備などが主な設定ミスとして挙げられており、設定を誤ったWebブラウザからデータが盗まれる可能性があるとしている（2023 Browser Security Annual Report、TECH+）。 またサードパーティ製のSaaSアプリの利用やそのアプリでのIDの利用はデータ損失の第一の原因になると警告している。このほか、従来のセキュリティツールは攻撃者が侵入できる経路の半分以上を見逃しており、標的型攻撃が企業侵入の主要因になっていると分析。結果として、脆弱なパスワード、設定ミス、SaaSの脆弱性によってデジタルIDの盗難リスクが高まっており、Webブラウザのリスクのほとんどが、企業のアキレス腱となっているとしている。

すべて読む | セキュリティセクション | ビジネス | セキュリティ | インターネット | IT | 情報漏洩 |

関連ストーリー：
米国のアンチウイルスユーザー、61 % は無料ソフトウェアを使用 2023年02月25日
悪意あるPyPIパッケージ発見される、タイポスクワッティング狙いか 2023年02月20日
「アドウェア入りインストーラ」はマルウェアの3倍ダウンロードされている 2016年08月11日
IE6、企業でまだまだ現役 2010年04月29日
「w6!j38?pa7J」と「CanYouCelebrate?」ではどっちが強力なパスワードか？ 2023年03月20日