LastPass のパスワード保管庫の安全性について、同社がユーザーをミスリードするような説明をしているとライバルの 1Password が批判している (1Password のブログ記事、 9to5Mac の記事、 The Verge の記事)。

LastPass は昨年 2 回の不正アクセスを受け、2 回目の不正アクセスでは攻撃者がユーザーのパスワード保管庫のバックアップをコピー可能な状態にあったことを 12 月に発表した。ただし、パスワード保管庫はパスワードなどを 256-bit AES で暗号化しており、顧客がマスターパスワードを LastPass のベストプラクティスに従って作成していれば復号に数百万年を要すると説明している。

LastPass のマスターパスワード作成に関するベストプラクティスは以下のようなもの。

• 少なくとも 12 文字、長ければ長いほどいい
• 大文字・小文字・数字・記号を使う
• 発音しやすく記憶しやすくする一方で、簡単に推測できないようにする (パスフレーズ)
• 自分だけのユニークなものにする
• 個人情報は絶対に使わない
• 好例: Fidoate!my2woolsox

1Password ではこれに対し。12 文字のパスワードにはおよそ 2⁷² 通りの組み合わせがあるもののクラッキングシステムではパスフレーズのような組み合わせを先に試すため、完全にランダムなパスワードと比べて少ない試行回数でクラックできると指摘。2⁷² という数字が意味を持つのはすべての組み合わせが選ばれる可能性が等しい場合に限られ、人間が作ったパスワードは最初の数十億回の試行に含まれる可能性が高いという。

Twitter から 2021 年にスクレイピングされたとみられる 2 億件以上のユーザーデータがハッキングフォーラムで公開されているが、電子メールアドレスがこのリストに含まれているかどうかHave I Been Pwnedで確認可能になった (BleepingComputer の記事、 The Verge の記事、 Ghacks の記事、 Have I Been Pwned の流出サイト情報、 Troy Hunt 氏のツイート)。

このデータは電子メールアドレスまたは携帯電話番号を送信するとユーザー名などのプロフィール情報を取得可能な Twitter API のバグを利用して収集されたとみられており、電子メールアドレスはそれ以前に別のデータ侵害で流出していたもののようだ。そのため、 Have I Been Pwned には今回の電子メールアドレスの 98 % が以前から登録されていたとのことだ。

さわださんのツイートによると、税務署が同氏と同姓同名の人に対してe-Taxの識別番号と暗証番号を教えてしまったというトラブルがあったそうだ。その相手の方から連絡がきたことで判明したという。曰く、申告の際に税務署に行ったときにさわださんの識別番号とパスワードを教えられたとのこと。名前は同じではあるものの漢字は違う上、住所や生年月日も違うとしている（さわださんのツイート、その2、その3）。

さわださんによれば、教えられた同姓同名の方が暗証番号を変えてしまったため、後でさわださんがログイン出来なくなることを心配して連絡してきたとしている。

nemui4 曰く、

善意の人で良かったケース、他にもあったりして。民間でこの手のサービスだと本人確認はだいたいフルネームと生年月日くらい？

先日、税務署が同姓同名の別人にe-Taxの識別番号等を教える取り違いが起きたばかりだが、島根県安来市でも17日、同姓同名の別人の顔写真を印刷したマイナンバーカードを、1人に交付してしまったことが発表された。同市では撮影した顔写真を共有サーバーに氏名別に保存しているが、フォルダー名が同じだったため、後から保存した1人分の写真データのみが上書きされて残ってしまったというのがトラブルの原因であるそうだ。カードを受け取った人物からの連絡で判明した。誤発効されたカードでは、氏名や住所、生年月日、個人番号は正しく表記されており、顔以外の情報漏えいはなかったという（朝日新聞、読売新聞）。

nemui4 曰く、

税務署に続いてマイナカードで取り違え事案

　市は「チェック体制の強化を図り、再発防止に努める」としている。

「間違えないように確認する」チェック体制ではない事をいのります。
そもそも間違えないシステムか交付前に誤りを見つけて訂正できる仕組みを作るのは難しいかな。

headless 曰く、

Microsoft は日本時間 11 日、Windows 8.1 最後の更新プログラムとなる KB5022352 (月次ロールアップ) および KB5022346 (セキュリティのみの更新プログラム) を提供開始した。

これをもって Windows 8.1 の延長サポートは終了し、テクニカルアシスタンスとソフトウェア更新プログラムが提供されなくなる。Windows 8.1 では有償の拡張セキュリティ更新プログラム (ESU) が提供されないため、デバイスのセキュリティを維持するにはサービス期間内の新しいバージョンの Windows にアップグレードする必要がある。デバイスが新しいバージョンの Windows でサポートされない場合、Microsoft は Windows 11 マシンへの置き換えを推奨している (Microsoft サポートの記事)。なお、Windows Server 2012 / 2012 R2 の延長サポートは 10 月まで、以降 2026 年 10 月まで ESU が提供される。

一方、Windows 7 (Professional および Enterprise) / Server 2008 R2 では同日提供が始まった KB5022338 (月次ロールアップ) およびKB5022339 (セキュリティのみの更新プログラム)をもって ESU の 3 年目が終了 (製品ライフサイクルに関するFAQ — 拡張セキュリティ更新プログラム)。ESU は最大 3 年間となっているため、Windows 7 / Server 2008 R2 の更新プログラム提供も今回で終了となる。こちらも Windows をサービス期間内のバージョンにアップグレードするか、デバイス自体を置き換える必要がある。

米国家安全保障局 (NSA) が IPv6 移行期におけるセキュリティの問題を特定・緩和するためのガイダンスを公開している (プレスリリース、 ガイダンス: PDF、 The Register の記事)。

ガイダンスは国防総省 (DoD) やその他のシステム管理者向けに書かれており、ネットワークが IPv6 を使い始めて間がないこと、それにより成熟した IPv6 構成やツールがないこと、IPv4 を同時使用するデュアルスタックシステムでの運用になること、などによる攻撃面増加に注目した内容になっている。ガイダンスの主なポイントは以下のようなものだ。

• プライバシーの問題がある SLAAC を使わず、DHCPv6 を使用する
• 必要な場合を除いてトンネリングを避ける
• デュアルスタックシステムの IPv6 側に IPv4 と同等または上回るサイバーセキュリティシステムを実装
• 複数の IPv6 アドレスを割り当てたホストがすべてのトラフィックをデフォルトで拒否する設定になっていることを ACL で確認し、すべてのトラフィックを記録することを確実にする
• すべてのネットワーク管理者が IPv6 ネットワーク管理に必要なトレーニングを受ける

このほか、スプリット DNS の使用や IPv6 トラフィックのフィルタリング、デュアルスタックシステムでのネットワークアドレス変換使用回避などが追加の対策として紹介されている。

東京都で90歳女性の殺害が起きるなど被害が広がっている強盗事件で、逮捕された主犯の男が指示に通信アプリ「Telegram」を使っている可能性が指摘されている。グループはSNS上の「闇バイト」募集で実行役を集めているとされ、こうした募集に応じた相手に対しては暗号化技術により匿名性が高いTelegramを用いて連絡を取っていたそうだ（毎日新聞、日刊スポーツ）。

Telegramにはサーバーを通さず、ユーザー間通信でメッセージを送ることができるほか、設定した時間が経過すると、メッセージが消える機能も備わっている。Telegramを用いて指示を出す手法は強盗グループの間では一般的であるとされている。警視庁などの解析によると、今回の事件ではルフィと名乗る人物からTelegram経由で強盗の日時や場所、手順などの指示を受けていたケースが複数確認されたとしている。

情報処理推進機構（IPA）とJPCERT/CCは18日、「Oracle Java SE」に複数の脆弱性が見つかったとして、修正パッチの早期適用を呼び掛けている。脆弱性の発見された対象となる製品は「Oracle Java SE 19.0.1」「Oracle Java SE 17.0.5」「Oracle Java SE 11.0.17」「Oracle Java SE 8 Update 351-perf」「Oracle Java SE 8 Update 351」。Oracleからは17日にパッチの提供がおこなわれている。JPCERT/CCはユーザーに対し、利用している環境に対象となる製品が含まれていないかも確認するよう促している（IPA、JPCERT/CC、Oracle Critical Patch Update Advisory - January 2023、ITmedia）。

昨年10月にサイバー攻撃を受け、電子カルテが閲覧できなくなったことから一時診療を取りやめていた「大阪急性期・総合医療センター」のシステムが復旧したそうだ。同院では外来診療や手術を中止するなどの問題が起きていた。その後、国の支援チームなどが復旧作業に協力。1月4日から全ての診療科の外来で新規患者の受け付けを再開。画像診断や生理検査などに関するシステムも復旧したという。1月11日からは従来どおりの診療体制に戻っているようだ（TBS NEWS DIG）。

Daily Dotなどの報道によると、スイスのハッカー「maia arson crimew」氏は最近、あるセキュリティ保護されていないサーバーを発見したそうだ。このサーバーの中には、米国政府のテロリスト審査用データベースと飛行禁止者リスト、これに関連する何十万人もの個人のIDが含まれていたそうだ（maia blog、Daily Dot）。

maia arson crimew氏によって発見されたこのサーバーは、米航空会社CommuteAirが運営していたものでネット上に公開されたままになっていたという。このサーバーには約1000人のCommuteAirの従業員の個人情報を含む、膨大な量の企業データがあったとしている。

同氏がこのサーバーを分析した結果、「NoFly.csv」という名前のテキストファイルが発見された。これが前述のテロリスト審査用データベースなどだったようだ。このリストには全部で150万件以上の項目があり、名前や生年月日、複数の偽名も含まれていた。中には最近釈放されたロシアの武器商人Viktor Boutを含む著名人が含まれていたとされる。曰く、彼には16もの偽名の候補があったそうだ。ことの経緯に関しては発見者であるmaia arson crimew氏のブログに記載されている。

【修正しました】
米国の国営航空会社としていた部分を「米航空会社」に修正させていただきました[1月27日8時 nagazou]。