メール受信者を殺害するよう依頼されたが、金を払うなら見逃す、と脅迫する詐欺メールをBleeping Computerが入手し、全文を公開している(Bleeping Computerの記事、 HackReadの記事)。

下手な英文で書かれたメール本文は、差出人がターゲットを殺害したり、負傷させたりする仕事をダークウェブで請け負っており、今回のターゲットがメール受信者であるという説明から始まる。代金は4,000ドルだが支払いは仕事の後であり、しばしば殺し屋を消すことになるなど負担が大きいため、受信者が1,200ドルをビットコインで支払うなら殺し屋を送らず、依頼人に関する情報も提供すると述べている。

まだ実際にだまされた人はいないようで、記載されているビットコインアドレスに入金された形跡はないとのことだ。同様の詐欺メールはこれまでにも米国で出回っており、FBIが注意喚起していた。

英サセックス警察は22日、ロンドン・ガトウィック空港にドローンが無許可で侵入した事件について、2名の逮捕を発表した(プレスリリース、 The Registerの記事、 London Evening Standardの記事、 Express.co.ukの記事)。

逮捕されたのは空港に近いクローリーに住む47歳の男性と54歳の女性。男性はラジコン自動車や小型ドローンなどを趣味にしているという。しかし、男性の知人からは事件が発生した時刻に男性とお茶を飲んでいた(ドローンを操作していたはずはない)といった証言が相次いでいるようだ。

ガトウィック空港では19日、無許可のドローンが滑走路に侵入しているのが確認され、同日21時(GMT)に滑走路を閉鎖。21日6時に再開されるまで、閉鎖は1日半近くにおよんだ。

これについて pongchang 曰く、

複数回の目撃情報がありクリスマスを数日後に控える中で数万人の乗客が足止めを余儀なくされている。英当局は、フェンスの周囲で猟銃を構えたり、近隣の屋上で監視をするなど、警察に加え軍隊も投入して操縦者の捜索を急いでいる。ガドウィック空港はハブ機能があるので英国のみならず欧州や世界各地にダイヤの乱れがある。乗客も離陸待機で数時間機内に閉じ込められた末、フライトがキャンセルになるなど混乱が続き、当然ながら預かり荷物の紛失などの混乱も重なっている(FlyTeamニュースの記事、 AFPBB Newsの記事)。

Microsoftは18日、信頼できない実行ファイルを安全に実行できるというWindows Sandboxを発表した(Windows Kernel Internalsの記事、 The Vergeの記事、 BetaNewsの記事、 Neowinの記事)。

Windows Sandboxは軽量のバーチャルマシンがベースになっており、ディスクイメージを動的に生成するため、専用のVHDをダウンロードする必要はない。起動すると仮想デスクトップ画面が表示され、ホストからコピーした実行ファイルをテストできる。テスト終了後にWindows Sandboxを閉じれば、インストール・実行したプログラムファイルおよび関連データはすべて削除される。

Windows Sandboxは19日にファーストリング向けの提供が始まったWindows 10 Insider Preview ビルド18305(19H1)のPro/Enterpriseエディションで利用可能となっている。システム要件としては2コア以上(4コア+HT推奨)のAMD64環境に4GB以上(8GB推奨)のRAM、1GB以上のディスク空き領域(SSD推奨)となっており、BIOSで仮想化機能を有効に設定しておく必要がある。

あるAnonymous Coward曰く、

以前、香港の人気歌手のコンサート会場に設置された顔認識カメラによって逃亡犯が相次いで逮捕されるという話があったが（過去記事）、米人気アーティスト、テイラー・スウィフトのコンサート会場でもセキュリティ目的のためにこのような顔認識カメラの設置が行われていたという（米Rolling Stone）。

2017年5月のマンチェスター・アリーナでの自爆テロ事件以降、テイラー・スウィフトのような大物アーティストが行う規模のライブイベントでは、セキュリティ対策が重要な課題になっているという。

顔認識カメラが設置されたのは5月18日にカリフォルニア州で開催されたコンサート。取得した顔画像は、テイラー・スウィフトの「数百人のストーカー」の情報と照合されていたという。

この顔認識システムを提供したのは米エンターテインメントシステム企業Oak View Groupで、こうしたイベントテロ対策のための専門部隊であるという。テイラー・スウィフトはテロ対策に積極な立場を取っているようで、今年6月に行われた公演でも昨年のマンチェスター・アリーナにおけるテロ事件の被害者に追悼の意を表している。一方で、無断で無差別に顔認証データを収集することについてはさまざまな意見があるようだ（ITmedia、NMEJapan、Slashdot）。

ヨドバシカメラのネット通販サイト「ヨドバシ・ドット・コム」でクレジット決済をする場合、セキュリティコードを間違えても決済が通ってしまうという（ITmedia、Togetterまとめ）。

ヨドバシカメラ側はこれに対し、「セキュリティコードが間違っていても、他の属性でカード会社と本人利用の確認が取れれば決済できる」という仕様だと説明している。

国税庁からデータ入力を委託されていた業者が、別の業者に無断でこの業務を再委託していたことが明らかになった。契約では再委託が禁止されており、契約違反としてすでに契約は解除されているという（毎日新聞、時事通信）。

11月に行なった定期監査で発覚した。再委託された業務は源泉徴収票などのデータ入力で、少なくとも約55万人分のマイナンバーを含む情報の取り扱いも含まれているという。再委託先からの漏洩は確認されていないという。

入力業務の再委託に関しては、今年3月にも日本年金機構から業務委託を受けていた業者が無断で再委託を行い問題となっていた。

headless曰く、

脱獄済みiOS向けアプリストアCydia Storeがアプリ購入機能の提供を終了したそうだ（Redditでの発表、SlashGear、Softpedia、The Verge）。

CydiaのJay Freeman（saurik）氏によると、現在は誰もアプリを購入しなくなったため、Cydia Storeが赤字を出すだけでなく維持していく意欲も失っており、年末までに閉鎖したいと考えていたという。しかし、修正の困難な脆弱性が報告されたことから、計画を前倒しすることにしたとのこと。より正式な発表は近日中に行われるようだ。

なお、報告された脆弱性はCydiaにログインしているユーザーに購入を強制できるというもので、ログインしなければ影響を受けないという。また、情報流出にかかわる脆弱性ではなく、現時点でユーザー情報の流出などは確認されていないとのことだ。

iOSの脱獄はバージョンごとに難易度が増しており、ユーザーは大幅に減少しているとみられている。Cydiaのリポジトリ機能は当面維持されるが、iOS脱獄の終焉が近づいているとの見方も出ている。

Windows 10ではWindows Update設定画面で「更新プログラムのチェック」ボタンをクリックすると、自動的にはインストールされない優先度の低いアップデートがインストールされるそうだ（マイナビニュース）。そのため、このボタンはクリックしない方が良いとの声も出ている。

Windows Blogsによると、Windowsの月例アップデートにはセキュリティリリースを含む「Bリリース」と、セキュリティリリースを含まない「Cリリース」および「Dリリース」があるという。CリリースおよびDリリースは主に商用ユーザーや「アップデートを探すアドバンスドなユーザー」に向けたもので、必須ではない（優先度の低い）オプションのアップデートとして提供され、「更新プログラムのチェック」をクリックすることでインストールされるという。また、これらリリースでの修正は次の「Bリリース」に組み込まれるとされている。

ただ、マイナビニュースの記事によると、これらリリースは緊急性の低いアップデートを先行リリースするという位置付けのため、不具合に巻き込まれる可能性もあるという。そのため安定した動作を求めるなら「更新プログラムのチェック」はクリックしない方が良いとのアドバイスも出ている。実際、このC/Dリリースをインストールしたことでトラブルが発生したケースもあるようだ。

なおMicrosoftによると、C/Dリリースについても検証済みで実運用レベルという位置付けになっているそうだ。

「20％還元キャンペーン」が話題になったキャッシュレス決済サービスPayPayだが、第三者が不正に入手した他人のクレジットカード番号をPayPayに紐付けて不正利用するという被害が出ているという（情報科学屋さんを目指す人のメモ、ITmedia）。

PayPayアプリでのクレジットカードの登録時にはカード番号および有効期限、セキュリティコードの登録が必要となるが、セキュリティコードを間違えてもロックなどの対応が行われないため、総当たり的な攻撃で不正に登録ができてしまう可能性があるとの指摘がある。あるAnonymous Coward曰く、

セキュリティコードを何度間違えてもロックがかからないということは、カード番号も自動生成で総当たりできるということ。例えばvisaならば前6桁は発行元により固定で、生成するカード番号は残り9桁となる（残り1桁はチェックディジット。ロック機構が無ければこれも無意味）。つまり9×60（有効期限5年×12）×999の約53万回、チェックディジットを含めても530万回の試行で他人のカードが登録できてしまう。

PCや今のスマホでも一日あれば突破できてしまうが、これからどうなるのだろうか。

nemui4曰く、

パスワードマネージャサービスを手がけるSplashdataが、「2018年最も悪いパスワードトップ100」を発表した（100～50位、49～1位）。

トップ50は以下の通り。"!@#$%^&*"って英語キーボードの並び？ 日本の"くぁｚｗｓｘ"みたいなのかな。

• #01 123456
• #02 password
• #03 123456789
• #04 12345678
• #05 12345
• #06 111111
• #07 1234567
• #08 sunshine
• #09 qwerty
• #10 iloveyou

headless曰く、

パスワードマネージャーサービスのDashlaneは12日、パスワードを正しく使用していない人・団体のランキング「Worst Password Offenders」2018年版を発表した（Dashlane Blog、BetaNews）。

ランキング1位はミュージシャンのカニエ・ウェスト。彼はホワイトハウスでトランプ大統領と会談した際、「0」を連打してiPhoneのロックを解除している。この様子を取材に集まっていたTVカメラがとらえ、パスコードが「000000」だと全世界に知られることになった。

ランキング2位は米国防総省。米会計検査院（GAO）が国防総省を監査した際、システムにさまざまな脆弱性が見つかっただけでなく、監査チームが9秒で管理者パスワードを当てたという。さらに、複数の兵器システムのソフトウェアのパスワードがデフォルトのままになっていたとのこと。国防総省は昨年の4位から2ランク上昇している。

3位～10位は以下の通り。

• （3位）暗号通貨所有者： スラドでは昨年末に話題となったが、パスワードを忘れて使用できなくなるというトラブルが相次いでいる
• （4位）Nutella：World Password Dayに投稿したツイート で、パスワードに「Nutella」を設定するよう推奨
• （5位）英法律事務所：上位500社の企業メールアドレスとパスワードの組み合わせが100万件以上ダークウェブに流出。多くは平文で保存されていたという
• （6位）米テキサス州：1,400万人以上の有権者情報を保存したサーバーにパスワードを設定せず、インターネットで公開状態になっていた
• （7位）米ホワイトハウス職員：暗号メールサービスProtonmailのメールアドレスとパスワードをホワイトハウスのメモ用紙にメモし、他の文書と一緒にバス停に置き忘れる
• （8位）Google：YouTubeの放送衛星とYouTube TVの管理者ページに空のユーザー名とパスワードでログインできる状態だったことが見つかる
• （9位）国連：TrelloやJira、Google Docsなどでパスワードを設定せずに非公開情報も含むデータを共有していたため、Googleの検索結果からアクセス可能な状態だった
• （10位）ケンブリッジ大学：Facebookアプリで収集した300万人分以上の個人情報へアクセスするためのパスワードを平文でGitHubに保存していた

あるAnonymous Coward曰く、

寡聞にして知らなかったが、パスワードなしで利用できる生体認証の標準規格「FIDO（Fast IDentity Online、ファイド）」というものがあるらしい。物理的なログインキーや生体認証などを使った認証のための標準規格で、現在さまざまな企業がアライアンスに参加しているという（Engadget Japanese）。

すでにNTTドコモやソフトバンク、Yahoo! JAPANがAndroid版のChromeブラウザでFIDOを使った生体認証によるログインがサポートされているほか、KDDIやLINEも今後サポートを行うという。

Google ChromeやFirefoxもFIDOをサポートしているほか、EdgeやOperaも対応を進めている一方でAppleはFIDOアライアンスに参加していないため動向が不明だが、Safariでサポートが実験的に行われているようだ。

今年10月、中国によって不正チップが埋め込まれたサーバーが米国に納入されているという報道があったが、問題があったと報じられている製品を製造するSuper Microが、第三者による調査結果を公表した。その結果、報じられたような不正なハードウェアの埋め込みは確認できなかったという（CNET Japan、ITmedia）。

マザーボードへの不正チップ埋め込み問題については、Super MicroだけでなくAppleやAmazonもこういった不正行為が確認された事例はないと否定していた（PC Watch）。

あるAnonymous Coward曰く、

12月11日、Firefox 64がリリースされ、以前から予告されていた通りシマンテックの証明書がついに無効になった（リリースノート）。

シマンテックが適切な確認を行わずに大量のSSL/TLS証明書を発行していたという問題に対処するもの（過去記事）。すでにGoogle Chromeではバージョン70からシマンテックが発行したSSL証明書の失効対応が開始されている。

セキュリティソフトウェアを手がけるマカフィーが、「2018年の10大セキュリティ事件ランキング」を発表した（マカフィーのプレスリリース、日経xTECH）。

このランキングは日本国内の経営層や情報システム部門などのビジネスパーソンを対象に行なった「2018年のセキュリティ事件に関する意識調査」に基づき、認知度が高かった事件をまとめたもの。発表されたトップ10は以下の通り。

1. 仮想通貨取引所コインチェック、不正アクセスによって約580億円相当のNEMが引き出される
2. 佐川急便を騙って偽アプリをインストールさせる攻撃が急増
3. 漫画海賊版サイトで仮想通貨採掘スクリプトが見つかる、閲覧者の知らぬ間に端末で採掘が実行される
4. 性的な映像をばらまくと脅して仮想通貨を要求するスパムメール
5. Amazon.co.jpを騙り偽サイトへ誘導するフィッシング攻撃
6. Facebookユーザーの情報流出（プライベートな投稿が全員に公開される可能性のあるFacebookのバグ、1,400万人に影響など）
7. ルーターを狙ったサイバー攻撃（ルーターのDNS設定が改ざんされる被害が相次ぐ、攻撃方法は特定できず、家庭用ルーターを攻撃してAndroid端末に偽アプリをインストールさせる攻撃、ルーターに感染し採掘コードを埋め込むマルウェアが流行、マンションの共有ルータへの感染が疑われる例もなど）
8. JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる
9. Twitter、偽アカウントなどの「ロックされたアカウント」をフォロワーとしてカウントしないよう仕様変更
10. 「セゾンNetアンサー」をかたるフィッシングメール