パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事、 HackRead の記事、 Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。

Google が Google Chrome の Windows 7 サポートを 1 年間延長すると以前のブログ記事に追記する形で発表している (Google Cloud Blog の記事 [1]、 [2]、 Softpedia の記事)。

Google は Windows 7 の延長サポート終了直前の昨年 1 月、Microsoft によるサポートが終了してから少なくとも 18 か月、2021 年 7 月 15 日までは Google Chrome で Windows 7 をサポートすると発表した。しかし昨年 11 月には COVID-19 パンデミックにより Windows 10 への移行が遅れたことを踏まえ、少なくとも 2022 年 1 月 15 日までサポート期間を延長すると発表していた。今回の延長により、Windows 7 上の Google Chrome は少なくとも 2023 年 1 月 15 日までセキュリティと安定性に関する更新を受け取ることができるようになる。

なお、Microsoftも Microsoft Edge の Windows 7 / Server 2008 R2 サポート期間を当初は 2021 年 7 月 15 日までとしていたが、その後延長が繰り返されて現在では 2023 年 1月 15 日までとなっている。

7月にランサムウェアによるサイバー攻撃を受け、決算発表を延期していた製粉大手のニップン。そのニップンは12日、さらに2022年3月期第2四半期報告書の提出期限を約2か月半の延長を求める申請を関東財務局に行ったと発表した。同社はランサムウェア被害により、大半のシステムが被害にあい、その後も復旧が難航。現在は財務システムに自動入力されていた帳票を手作業で作成している状況であるという。8月の段階では決算発表を約3カ月延期して11月15日に行う予定であった（ニップンリリース[PDF]、Security NEXT、市況かぶ全力2階建）。

FBIは14日、米国内の法執行機関や刑事司法機関に提供しているFBIのポータルサービスの設定ミスを悪用され、外部から偽メールが配信されてしまったと発表した。この偽メールはポータルサイト「Law Enforcement Enterprise Portal（LEEP）」の脆弱性によるもので、偽の電子メール送信を一時的に許可する設定ミスから@ic.fbi.govで終わる正規のメールアドレスから発信されたとしている（ITmedia、Krebs on Security、PC Watch）。

この偽メールは10万人以上に送信されたとしている。偽メール配信を実行したのは「pompompurin」を語る個人。サンリオキャラクターと同名だが無関係。pompompurinはセキュリティジャーナリストのブライアン・クレブス氏を経由してその手口を明らかにしている。その詳細に関してはKrebs on Securityに掲載された。pompompurinはFBIのシステムのひどい脆弱性を指摘するため、ハッキングしたと説明しているとのこと。

IIJは15日、「PPAPに対する当社運用の変更について」とするリリースを出し、自社や自社向けの取引先で利用されているいわゆる「PPAP」を廃止すると発表した。制限がかかるのは2022年1月26日以降のメール。PPAPメールが送信されると、添付されたパスワード付きZIPファイルがフィルターにより削除され、メール本文のみを受信するとしている（IIJリリース、ITmedia）。

リリースタイトルにあるように自社のビジネス取引関係向けのもので、先日発表された日立のPPAP対応と類似したものとなっている。IIJが提供しているIIJmioのサービス契約者のPPAPメールが弾かれるといった性質のものではない。なお、グループ企業への方針拡大は未定だとしている。今後は顧客や取引先企業と協議しながら、共有ストレージサービスへの移行する方針だとしている。

headless 曰く、

Windows 7 / Server 2008 / 2008 R2 の拡張セキュリティ更新 (ESU) プログラム 2 年目が間もなく終了するのに向け、3 年目に向けた準備を進めるよう Microsoft が呼び掛けている (Windows IT Pro Blog の記事、 Ghacks の記事、 Softpedia の記事)。

ESU の 2 年目は 2022 年 1 月 11 日に終わり、3 年目は 2022 年 2 月 8 日から 2023 年 1 月 10 日までとなる。Windows Server 2008 / 2008 R2 については Azure 上で使用する場合に限り、ESU 4 年目を追加提供(無料)することが発表されているが、Windows 7 の ESU は利用形態にかかわらず 3 年目が最後となる。

ESU は各年が別の SKU になっており、1 ～ 2 年目を利用している場合でも 3 年目は別途購入してアクティベーションする必要がある。また、3 年目で初めて ESU を利用する場合、1 年目と 2 年目の購入も必要だ。

スラドの皆さんは個人または仕事で Windows 7 を使用しているだろうか。手元には何か確認が必要な場合に備えて 1 つだけ Windows 7 環境が残してあるが、実際に確認が必要なことは何もなく、消してしまってもいいかな、と思っている。

スパイ映画の代表の一つである007シリーズだが、劇中に登場するMI6職員たちがサイバーセキュリティの基本をまったく理解していないとする記事が登場している。カスペルスキー公式ブログに掲載されたもので、この記事ではダニエル・クレイグが主演した007シリーズ作品のサイバーセキュリティに関する不合理な部分に関して指摘を行っている。なおネタバレも含んでいるのでご注意（カスペルスキー公式ブログ）。

カリフォルニア大学サンディエゴ校の研究によれば、Bluetooth機器の一部に個人を特定されてしまう問題が存在するそうだ（IEEE Spectrum、Engadget）。

Bluetooth Low Energy（BLE）を利用しているモバイル機器では、紛失時などの検出のためにビーコンを継続的に送信している。通常はそのビーコンを見分けることは困難だ。しかし、今回の研究によるとBluetooth機器には製造工程の精度の関係でBLE信号にわずかな歪みがあり、それを機器を使って区別できれば、個人の動きを追跡できる可能性があるという。

実際にBluetooth信号を受信できる機器（200米ドル未満）を用いてコーヒーショップ、フードコート、図書館といった公共の場で個々の機器を特定できるか実験したところ、162台のうちの約40％のスマートフォンを群衆の中でも識別できることが判明したそうだ。次の実験では大きな部屋の出口に受信機を置き、1日かけて600を超えるBluetooth信号を観察した。その結果、47％の機器は個別識別が可能であったとしている。

Google Pixel 6 / 6 Pro はディスプレイに指紋センサーを内蔵しているが、さまざまな問題が報告されているようだ。

指紋認証の遅さについて Google は強化されたセキュリティアルゴリズムにより時間がかかると説明する一方、Reddit では他の人の指紋で認証されたとの報告もみられる。また、バッテリー切れで電源が落ちた後に再起動すると指紋センサーが機能しなくなり、端末を初期化するしか復旧の方法がないとの報告も出ている。

個人的には1か月ほど前に塩素系漂白剤を素手で触ってしまって以来、主に使用しているシャープとソニーの端末で指紋認証がごくまれにしか通らない状況が続いている。スラドの皆さんはスマートフォンの指紋認証を快適に使用しているだろうか。

GIGAスクール構想で配布されたタブレットなどが原因となって、教育機関でいじめなどが発生している件で、読売新聞が全国74市区を対象に調査を行ったという。この調査によると14市区が同様のトラブルを把握していることが判明したそうだ。さらに四つの自治体はいじめと認知していたとしている。トラブルの多くは以前取り上げた内容と類似したものが多く、アプリを使用した誹謗中傷や友人の端末をフィルタリング解除し、その上で猥褻動画の視聴といったトラブルなどとなっているようだ（読売新聞、全文掲載のYahoo!ニュース記事）。

先の過去記事のときは一部の学校の体制による問題とも取れる内容だったが、この調査によれば全国的な問題となっていることが分かる。タレコミによれば、小学校低学年の場合、アルファベットの入ったパスワードの入力が困難なことから、覚えられない子供のためにパスワードを端末に貼っている教員などもいるとのこと。

katu256 曰く、

また文科省の2020年度問題行動・不登校調査によると、いじめの認知件数は小中高、特別支援学校を合わせて51万7163件と前年比15.6%だが、ネットいじめは5.3%増、特に小学校は32.1%増の1万8870件と急増している。

記事を読む限り、学習端末のトラブルは現場に一任しているようで、関係者の方々は苦労されているだろうと思う。特にパスワードの漏洩などについては、指紋認証の導入で大幅に抑止できるのではと思うが如何だろうか。

スラドには教育関係の職種について方もいる多いと思うので、ご意見をお伺いしたい。また、現場にしかわからない苦労があれば、それも併せて教えてほしい。

あるAnonymous Coward 曰く、

NHKによると、去年から猛威を振るっている「RedLine Stealer（レッドライン・スティーラー）」と呼ばれる情報窃取型のマルウェアに感染した事例の7割は、不正なソフトウェアを利用者自らインストールしたことが原因だという（NHKニュース）。

調査を行ったのは都内の情報セキュリティ会社Armoris（アルモリス）。日本国内の感染例920件余りの情報を解析したところ、不正なソフトウェアのインストールが原因となっていたのが全体の74％で、具体的にはオンラインゲームなどにズルをして勝つためのチートツールが41％、有料のソフトを無料で使えるようにするクラックウェアが31％、パソコンに自動的に表示されるポップアップをクリックしたことによる感染は2％であったという。

headless 曰く、

米連邦捜査局 (FBI) は 4 日、暗号通貨 ATM と QR コードを利用して送金させる詐欺の企みに注意するよう市民に呼び掛けた (FBI の発表、 CoinDesk の記事、 SlashGear の記事、 The Verge の記事)。

詐欺の内容としてはギフトカード詐欺などと同様のなりすましによる送金詐欺で、送金手段が暗号通貨 ATM と QR コードの組み合わせに置き換えられたものだ。詐欺師は政府機関や法律事務所、電気・ガス・水道会社などになりすまして未払金を送金するよう要求するほか、ロマンス詐欺的な手法や、宝くじに当選したと偽って手数料を要求するといった手法もあるという。

暗号通貨 ATM は「ATM」と呼ばれているものの実際の ATM とは異なり、暗号通貨の購入や指定ワレットへの入金が可能な機械のようだ。入金先の指定には QR コードを用いる。FBI によれば、 QR コードは COVID-19 パンデミックにより活用が進んでいるが、暗号通貨支払いを通じた悪用も進んでいるとのこと。

FBI では対策として、オンラインでのみ話したことがある人に送金しないことや、取引のある会社を名乗る電話での暗号通貨による支払いなどの要求を信用しないこと、といった一般的な送金詐欺対策にも共通する内容のほか、政府機関などから暗号通貨での支払いのみを受け付けると言われたら注意すること、匿名性が売りの暗号通貨 ATM を避けることなどを挙げている。

あるAnonymous Coward 曰く、

週刊文春が今月報じたところによると、10月中旬ごろから中国のサイトに日本メーカーのアダルトビデオ (AV) の無修正動画が大量流出し、不正に販売される事態が起きているという（文春オンライン, MAG2NEWS）。

報道によると、流出したのは業界最大手のソフト・オン・デマンド (SOD) の作品約50本を始め、プレステージなどの人気メーカーも含め計約120本。過去に関係者がマスターテープを持ち出した事件などもあったが、これほどの本数が流出したことはなく、不正アクセスなどによるものではないかと言われているという。また、動画の中にはタイトルに「仮」と入っているなど編集途中のデータであることを伺わせるものもあったという。

こうした動画は、中国サイトでは1本50～100ドルでダウンロード販売されており、人気トップ女優の作品も多数含まれているとのこと。中国ということでサーバー運営者への削除依頼や法的措置も難しく、また出演者の中には本数が多いことからメーカーが組織的に流したのではないかと疑う声もあるとのことで、今後AV業界で大きな問題になるかもしれない。

ホテルに次のような張り紙が貼ってあったとする「ぽんず」さんのツイートが話題となっている（ぽんずさんのツイート、Togetter）。

エレコム製wifiルーターのご使用はお控えください。 ※全館でのインターネットの使用ができなくなります。

この張り紙になぜ・どうしてという疑問がたくさん出ていたが、Twitter上のコメントではDHCP関係の処理のせいでこうした張り紙が貼られているのではないかとする推測が出ている。その中で最もまとまっているツキコウさんのツイートを引用させていただくと、

一部のルーターで、ホテル側のIPアドレスと重複した物が割り当てられることがあり、ネットワーク制御に不具合が生じる場合があるようです。 ブリッジモードに設定できれば良いのですが、簡易的な物だと非対応の場合もあるので、全面的に禁止にしていると思われます。

とのことだが実際の理由は不明だ。皆さんはどうお考えだろうか

Apple のクレイグ・フェデリギ氏がアプリのサイドローディングを「サイバー犯罪者の一番の友達」などと批判したことについて、9to5Mac が Apple の矛盾を指摘している (9to5Mac の記事)。

フェデリギ氏の発言は Web Summit 2021 の基調講演で飛び出したもの。近年、Apple の App Store による iOS アプリ市場独占に対する圧力が強まっており、アプリストアを経由せずにユーザーが直接アプリをインストールするサイドローディングを可能にすることも要求されている。

フェデリギ氏は iPhone に対するマルウェアなどの攻撃が Android とは比べ物にならないほど少ないと繰り返し、iPhone を強固なセキュリティシステムを備えた家に例えて、法律がそのセキュリティにサイドローディングという大きな穴を開けさせようとしているなどと主張した。

しかし、Mac では常にサイドローディングが可能であり、Apple は「公証」の仕組みを導入して安全なアプリ配布を可能にしている。Apple の公証を受けたマルウェアも発見されているが、Apple は Mac が Windows よりも安全だと主張している。

5 月にフェデリギ氏は Epic Games との裁判で証言し、Mac アプリのマルウェア存在レベルは許容範囲を超えていると述べた。また、Mac を運転に責任が伴う自動車に例える一方で、iOS デバイスは子供が安全に操作できるまったく異なる製品だとも述べている。

9to5Mac の記事では、いろいろなことを言っても最終的な決定はお金が基準になるのだと結論付けている。