Apple や Google、Microsoft などはパスワードレス化への取り組みを進めているが、Delinea の報告書 The Future of Workplace Passwords: Not Dead, but Evolving によれば米国の IT 意思決定者 300 人の 68% がパスワードは死んでいないと答えたそうだ (ニュースリリース、 BetaNews の記事)。

53% はパスワードが新しい形に進化していくと考えており、パスワードを置き換えるものとしては生体認証 (58%) やその他の多要素認証技術 (46%)、ワンタイムパスワード (37%)、パスキー (35%) が挙げられている。

スラドの皆さんの周辺ではパスワードレス化が進んでいるだろうか。

LINEヤフーは27日、第三者による不正アクセスにより、ユーザー情報や取引先情報が漏えいした可能性を発表した。個人情報302万569件（うち日本ユーザー129万894件）が含まれている。個人情報の内訳は、LINEユーザーの内部識別子に関する情報などが含まれている（LINEヤフー発表、時事ドットコム、Impress Watch）。

問題の原因は、NAVER Cloudの委託先企業のPCがマルウェア感染し、その企業が旧LINE社のシステムへのネットワーク接続を許可していたことにある。LINEヤフーは10月9日に不正アクセスがあったことを把握。10月27日に外部からの不正アクセスがほぼ確実と判断、被害状況の把握と拡大の抑止の対応を実施し、関係省庁には適宜、状況の報告をしたとしている。

漏えいした情報には口座情報やクレジットカード情報は含まれず、今後、二次被害のリスクがあると評価されたユーザーや取引先に個別に連絡する予定としている。

短縮URLサービス利用時に不正サイトへの誘導がおこなわれる事例が増えているそうだ。過去に紹介されているようなQRコードのシール上書きと行った手法ではなく、短縮URLが乗っ取られた可能性が高いという。piyologでこの問題に関する記事がまとめられている（piyolog、Haruhiko Okumuraさんのポスト、shao as a serviceさんのポスト、情報通信工学科さんのポスト）。 この事例の一つであるいなげやは11月9日、一部店舗で掲示していたQRコードにアクセスした際、予期せぬ不正サイトに誘導する広告が表示され、クレジットカード情報が盗まれる被害が発生したと公表した。短縮URLサービス中の広告表示が原因と考えられている（いなげや：ネットスーパー入会案内における注意のお知らせ[PDF]）。

確認された情報によると、QRコードの短縮URLは無料のサードパーティ短縮URLサービス「オンラインツール(onl.jp)」を使用しており、このサービスではGoogle Adsを含む悪質な広告が表示されることが確認された。11月12日には広告の挿入が停止されている。

同様の事案は他の組織でも発生しており、学習院大学も不正なリンク先に転送されるQRコードを大学案内2024に掲載していたことが判明。このほかオートバックスなどでも同様の事例が起きていたとしている。いなげやは短縮URLの利用について再点検を行うことを推奨している（学習院大学リリース、オートバックスセブンリリース[PDF]）。

11月26日にイエメン沖のアデン湾でタンカーがソマリア人と見られる武装勢力によって乗っ取られるという事件があった。その際、アデン湾で海賊対処の任務にあたっている海上自衛隊の護衛艦「あけぼの」と哨戒機が情報収集を実施していたが、その際、米軍から弾道ミサイルが発射されたという情報が寄せられ、護衛艦から18キロ以上離れた海域に落下したとみられることが28日に判明した（NHK）。

NHKの報道によると、護衛艦は発射の情報を受けたあと、速度を最大近くの時速およそ55キロまで上げて現場海域から離脱したとしている。海上自衛隊は「安全上の懸念はない」として、海賊対処任務を継続する方針。イージス艦があれば弾道ミサイルを追尾して迎撃可能だが、これまで海賊対処の任務にイージス艦が派遣されたことは無いという。防衛省はイージス艦は北朝鮮の弾道ミサイルへの対応が主なため、アデン湾への派遣は困難であると述べている。

バラクーダネットワークスジャパンは27日、悪意のあるボットが一般家庭のIPアドレスを利用してセキュリティブロックを回避し、攻撃を行っているとのレポートを発表した（バラクーダネットワークスジャパン発表、ScanNetSecurity）。

レポートによると、悪意あるボットが一般家庭のIPアドレスを使用することでセキュリティブロックを回避し、攻撃を行っていることが明らかになったという。そのIPを割り当てられたユーザーの多くは、悪意のある活動に使用されたとしてIPにレッドフラグが立てられ、GoogleやCloudflareからのCAPTCHAをパスできなくなる状況に陥っているとレポートは指摘している。

NTT西日本の子会社であるNTTマーケティングアクトProCXで発生した個人情報流出の問題に対応するため、NTTの島田明代表取締役社長は、7日のNTT決算会見でUSBメモリの業務使用を一切禁じる方針を発表した（ケータイ Watch）。

島田社長は会見で事件について謝罪。NTTグループ内では、記録媒体の持ち込み禁止や操作を検知するソフトウェアの導入などルール化はされていたと説明。実際にガバナンスがきちんと効いていなかったこととして、対策として、グループ全体でのルールの確認と見直しを行うことを明らかにした。

さらにUSBメモリーの業務使用に関しては、従来の「業務のなかで基本的には原則使わない」とする方針から、「原則」もなく一切使わないような形にすると説明した。例外的に使用する場合は許可制とする考えを示した。同時に、操作検知の仕組みの徹底と抜き打ち監査も検討していると述べている。

農林水産省は、世界的な穀物不作や紛争による深刻な食料不足時に、国内の生産者に対し、高カロリー作物への転換を指示できる制度を検討する方針を決定した（NHK）。

食料安全保障の有識者会議で示された対応案によれば、極端な食料不足時には政府対策本部を設置し、さつまいもやコメといった高カロリー作物の生産者に対し増産を指示することが考えられている。同時に、野菜などほかの作物の生産者に対しても、高カロリー作物への転換を指示する可能性が検討されている。ただし、指示時には生産効率や栄養バランス、食生活への影響などを考慮する必要があるとしている。異論は出なかったとされ、今後は具体的な制度の検討が進められる予定としている。

政府が2026年に導入予定の新しいマイナンバーカードの概要が明らかになった。読売新聞の記事によれば、新しいカードでは、ICチップに組み込まれた電子証明書の有効期間が現行の5年から10年に延長される。マイナンバーカードは本人確認手段として広く利用されているため、カードの券面には氏名、生年月日、住所、顔写真が引き続き記載される。ただ、性的少数者への配慮を求める声が出ていることから、性別は記載されない方向で検討されているという（読売新聞）。

非公開の作業部会が21日、中間骨子案をまとめた。政府はパブリックコメントを募り、年内に中間取りまとめを行う予定。電子証明書はオンラインの行政手続きで使用され、更新時は役所などに出向く必要があるが、カードと有効期間を合わせることで更新が1回で済むようになるとしている。

転職サイト「doda」で、法人ユーザーが本来閲覧できないはずの個人ユーザーの情報が閲覧可能になっていたことが判明したそうだ。不具合があったのは法人向けサービス「doda Request」機能。この不具合により、2018年8月7日から23年10月31日にかけて、約9万6338人の個人ユーザーの年齢、性別、居住地、学歴、資格、経験業種・職種、年収などが閲覧可能だった上、本来送信できないはずのスカウトメールの送信も可能だったとしている（パーソルキャリアリリース、ITmedia）。

問題は、過去の勤務先から情報を見られないようにするブロック機能の設計に不備があったこと。登録されている企業名の表記と個人ユーザーが登録した直近の勤務先会社名が、特定の条件（全角・半角・大文字・小文字の完全一致）を満たさないとブロック機能が動作しなかったことにある。

運営元のパーソルキャリアは現在、サービス提供を停止し、情報を閲覧された可能性のある個人ユーザーに連絡を取っているとしている。今後の再発防止策として、個人情報・機密情報の保護を強化する方針としている。

headless 曰く、

Huawei と Honor のスマートフォンで、「Google」アプリがマルウェアと誤検知される問題が発生していたそうだ (Stack Daily の記事、 9to5Google の記事、 Reddit のスレッド [1]、 [2]、 Android Community での質問)。

Google アプリはトロイの木馬 TrojanSMS-PA として検知され、アンインストールが推奨されたという。マルウェアの詳細情報では、アプリがひそかに SMS の送信やほかのアプリのダウンロード・インストールを行うほか、有料のアダルトコンテンツに誘導したり、個人情報を盗み出したりすることが検出されたなどという説明がみられる。

Huawei によるとマルウェア検知には Avast のエンジンを使用しており、Google アプリの最近の変更で誤検知が発生したという。そのため、問題の解決に向けて作業を進めているとのことだ。