パスワードを忘れた? アカウント作成

ログインするとコメント表示数や表示方法をカスタマイズできるのを知っていますか?

15491016 story
情報漏洩

2021 年版流出パスワードトップ 200、 世界では「123456」が 1 位、日本では「password」が 1 位 109

ストーリー by headless
人気 部門より
パスワードマネージャーの NordPass が 2021 年版の人気パスワードトップ 200 を公開している (NordPass の記事HackRead の記事Mashable の記事)。

調査は NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、4 TB のデータベースを調査したという。1 位は各社の調査で 10 年以上にわたってトップを独走している「123456」であり、2 位以下も「123456789」「12345」「qwerty」「password」といった常連ばかりだが、今回の調査では国別・性別のデータもまとめられている。

日本では 85,561,976 件のパスワードが流出しており、日本人 1 人あたり 0.68 件が流出した計算になる。人口 1 人あたりの流出件数はロシア (19.902 件)やチェコ (6.221 件)、フランス (6.025 件)、ドイツ (5.838 件)、米国 (5.158 件)などで多い。

日本のパスワード 1 位は「password」となっており、以下「123456」「123456789」「12345678」「1qaz2wsx」のように世界共通のパスワードが上位を占める。一方で、現地語の単語を使用したパスワードが数多く出現するのが国別データの特徴だ。日本の場合は「sakura (15位)」「takahiro (21位)」「fujitvpass (25位)」「doraemon (28位)」などが上位に入っている。

また、「nekoneko (35位)」「lovelove (38位)」「nikoniko (46位)」「tomotomo (53位)」「hirohiro (54位)」といった2音節を繰り返したパスワードも目立つ。トップ 5 のパスワードが 1 秒以内にクラック可能なのに対し、日本人の名前らしきパスワードの中にはクラックに 3 時間を要するものもあるが、日本に特化したパスワードリストを使用すればクラック時間は短縮されるだろう。

スラドの皆さんが使用しているパスワードは見つかっただろうか。
15490297 story
Chrome

Google、Chrome の Windows 7 サポートをさらに 1 年間延長 13

ストーリー by headless
延長 部門より
Google が Google Chrome の Windows 7 サポートを 1 年間延長すると以前のブログ記事に追記する形で発表している (Google Cloud Blog の記事 [1][2]Softpedia の記事)。

Google は Windows 7 の延長サポート終了直前の昨年 1 月、Microsoft によるサポートが終了してから少なくとも 18 か月、2021 年 7 月 15 日までは Google Chrome で Windows 7 をサポートすると発表した。しかし昨年 11 月には COVID-19 パンデミックにより Windows 10 への移行が遅れたことを踏まえ、少なくとも 2022 年 1 月 15 日までサポート期間を延長すると発表していた。今回の延長により、Windows 7 上の Google Chrome は少なくとも 2023 年 1 月 15 日までセキュリティと安定性に関する更新を受け取ることができるようになる。

なお、Microsoftも Microsoft Edge の Windows 7 / Server 2008 R2 サポート期間を当初は 2021 年 7 月 15 日までとしていたが、その後延長が繰り返されて現在では 2023 年 1月 15 日までとなっている。
15488707 story
ビジネス

ニップン、ランサムウェア被害で決算報告を再延期へ。帳票を手作業で作成中 35

ストーリー by nagazou
修羅場 部門より
7月にランサムウェアによるサイバー攻撃を受け、決算発表を延期していた製粉大手のニップン。そのニップンは12日、さらに2022年3月期第2四半期報告書の提出期限を約2か月半の延長を求める申請を関東財務局に行ったと発表した。同社はランサムウェア被害により、大半のシステムが被害にあい、その後も復旧が難航。現在は財務システムに自動入力されていた帳票を手作業で作成している状況であるという。8月の段階では決算発表を約3カ月延期して11月15日に行う予定であった(ニップンリリース[PDF]Security NEXT市況かぶ全力2階建)。
15488650 story
spam

FBIが脆弱性をつかれ、公式ドメインからフェイクメールが大量に配信 9

ストーリー by nagazou
キティちゃん以外は仕事を選んでるはず 部門より
FBIは14日、米国内の法執行機関や刑事司法機関に提供しているFBIのポータルサービスの設定ミスを悪用され、外部から偽メールが配信されてしまったと発表した。この偽メールはポータルサイト「Law Enforcement Enterprise Portal(LEEP)」の脆弱性によるもので、偽の電子メール送信を一時的に許可する設定ミスから@ic.fbi.govで終わる正規のメールアドレスから発信されたとしている(ITmediaKrebs on SecurityPC Watch)。

この偽メールは10万人以上に送信されたとしている。偽メール配信を実行したのは「pompompurin」を語る個人。サンリオキャラクターと同名だが無関係。pompompurinはセキュリティジャーナリストのブライアン・クレブス氏を経由してその手口を明らかにしている。その詳細に関してはKrebs on Securityに掲載された。pompompurinはFBIのシステムのひどい脆弱性を指摘するため、ハッキングしたと説明しているとのこと。
15488683 story
ビジネス

IIJが受信もPPAP廃止へ、社外から届くパスワード付きZIPファイルはメール本文のみ受信 98

ストーリー by nagazou
廃止 部門より
IIJは15日、「PPAPに対する当社運用の変更について」とするリリースを出し、自社や自社向けの取引先で利用されているいわゆる「PPAP」を廃止すると発表した。制限がかかるのは2022年1月26日以降のメール。PPAPメールが送信されると、添付されたパスワード付きZIPファイルがフィルターにより削除され、メール本文のみを受信するとしている(IIJリリースITmedia)。

リリースタイトルにあるように自社のビジネス取引関係向けのもので、先日発表された日立のPPAP対応と類似したものとなっている。IIJが提供しているIIJmioのサービス契約者のPPAPメールが弾かれるといった性質のものではない。なお、グループ企業への方針拡大は未定だとしている。今後は顧客や取引先企業と協議しながら、共有ストレージサービスへの移行する方針だとしている。
15485153 story
Windows

Windows 7 拡張セキュリティ更新プログラム、2年目が間もなく終了し、最終年の3年目へ 16

ストーリー by nagazou
さらに延長される可能性はあるのだろうか 部門より
headless 曰く、

Windows 7 / Server 2008 / 2008 R2 の拡張セキュリティ更新 (ESU) プログラム 2 年目が間もなく終了するのに向け、3 年目に向けた準備を進めるよう Microsoft が呼び掛けている (Windows IT Pro Blog の記事Ghacks の記事Softpedia の記事)。

ESU の 2 年目は 2022 年 1 月 11 日に終わり、3 年目は 2022 年 2 月 8 日から 2023 年 1 月 10 日までとなる。Windows Server 2008 / 2008 R2 については Azure 上で使用する場合に限り、ESU 4 年目を追加提供(無料)することが発表されているが、Windows 7 の ESU は利用形態にかかわらず 3 年目が最後となる。

ESU は各年が別の SKU になっており、1 ~ 2 年目を利用している場合でも 3 年目は別途購入してアクティベーションする必要がある。また、3 年目で初めて ESU を利用する場合、1 年目と 2 年目の購入も必要だ。

スラドの皆さんは個人または仕事で Windows 7 を使用しているだろうか。手元には何か確認が必要な場合に備えて 1 つだけ Windows 7 環境が残してあるが、実際に確認が必要なことは何もなく、消してしまってもいいかな、と思っている。

15485163 story
映画

映画007シリーズのMI6の職員はサイバーセキュリティの基本を理解していない 59

ストーリー by nagazou
ヤボな指摘も散見される印象 部門より
スパイ映画の代表の一つである007シリーズだが、劇中に登場するMI6職員たちがサイバーセキュリティの基本をまったく理解していないとする記事が登場している。カスペルスキー公式ブログに掲載されたもので、この記事ではダニエル・クレイグが主演した007シリーズ作品のサイバーセキュリティに関する不合理な部分に関して指摘を行っている。なおネタバレも含んでいるのでご注意(カスペルスキー公式ブログ)。
15483998 story
テクノロジー

Bluetooth機器の40%は製造時の信号のばらつきにより識別できる 20

ストーリー by nagazou
特定しました 部門より
カリフォルニア大学サンディエゴ校の研究によれば、Bluetooth機器の一部に個人を特定されてしまう問題が存在するそうだ(IEEE SpectrumEngadget)。

Bluetooth Low Energy(BLE)を利用しているモバイル機器では、紛失時などの検出のためにビーコンを継続的に送信している。通常はそのビーコンを見分けることは困難だ。しかし、今回の研究によるとBluetooth機器には製造工程の精度の関係でBLE信号にわずかな歪みがあり、それを機器を使って区別できれば、個人の動きを追跡できる可能性があるという。

実際にBluetooth信号を受信できる機器(200米ドル未満)を用いてコーヒーショップ、フードコート、図書館といった公共の場で個々の機器を特定できるか実験したところ、162台のうちの約40%のスマートフォンを群衆の中でも識別できることが判明したそうだ。次の実験では大きな部屋の出口に受信機を置き、1日かけて600を超えるBluetooth信号を観察した。その結果、47%の機器は個別識別が可能であったとしている。
15482946 story
Transmeta

スマートフォンの指紋認証、快適に利用できてる? 83

ストーリー by headless
指紋 部門より
Google Pixel 6 / 6 Pro はディスプレイに指紋センサーを内蔵しているが、さまざまな問題が報告されているようだ。

指紋認証の遅さについて Google は強化されたセキュリティアルゴリズムにより時間がかかると説明する一方、Reddit では他の人の指紋で認証されたとの報告もみられる。また、バッテリー切れで電源が落ちた後に再起動すると指紋センサーが機能しなくなり、端末を初期化するしか復旧の方法がないとの報告も出ている。

個人的には1か月ほど前に塩素系漂白剤を素手で触ってしまって以来、主に使用しているシャープとソニーの端末で指紋認証がごくまれにしか通らない状況が続いている。スラドの皆さんはスマートフォンの指紋認証を快適に使用しているだろうか。
15480045 story
教育

学習向けタブレット等を使用してのいじめ、全国の小中学校で増加 89

ストーリー by nagazou
導入前の検証が甘かったのかも 部門より
GIGAスクール構想で配布されたタブレットなどが原因となって、教育機関でいじめなどが発生している件で、読売新聞が全国74市区を対象に調査を行ったという。この調査によると14市区が同様のトラブルを把握していることが判明したそうだ。さらに四つの自治体はいじめと認知していたとしている。トラブルの多くは以前取り上げた内容と類似したものが多く、アプリを使用した誹謗中傷や友人の端末をフィルタリング解除し、その上で猥褻動画の視聴といったトラブルなどとなっているようだ(読売新聞全文掲載のYahoo!ニュース記事)。

先の過去記事のときは一部の学校の体制による問題とも取れる内容だったが、この調査によれば全国的な問題となっていることが分かる。タレコミによれば、小学校低学年の場合、アルファベットの入ったパスワードの入力が困難なことから、覚えられない子供のためにパスワードを端末に貼っている教員などもいるとのこと。

katu256 曰く、

また文科省の2020年度問題行動・不登校調査によると、いじめの認知件数は小中高、特別支援学校を合わせて51万7163件と前年比15.6%だが、ネットいじめは5.3%増、特に小学校は32.1%増の1万8870件と急増している。

記事を読む限り、学習端末のトラブルは現場に一任しているようで、関係者の方々は苦労されているだろうと思う。特にパスワードの漏洩などについては、指紋認証の導入で大幅に抑止できるのではと思うが如何だろうか。

スラドには教育関係の職種について方もいる多いと思うので、ご意見をお伺いしたい。また、現場にしかわからない苦労があれば、それも併せて教えてほしい。

15480053 story
インターネット

情報盗取型マルウェア「RedLine」、国内感染の7割は不正ソフトのインストールが原因 31

ストーリー by nagazou
ズルはダメってこと 部門より
あるAnonymous Coward 曰く、

NHKによると、去年から猛威を振るっている「RedLine Stealer(レッドライン・スティーラー)」と呼ばれる情報窃取型のマルウェアに感染した事例の7割は、不正なソフトウェアを利用者自らインストールしたことが原因だという(NHKニュース)。

調査を行ったのは都内の情報セキュリティ会社Armoris(アルモリス)。日本国内の感染例920件余りの情報を解析したところ、不正なソフトウェアのインストールが原因となっていたのが全体の74%で、具体的にはオンラインゲームなどにズルをして勝つためのチートツールが41%、有料のソフトを無料で使えるようにするクラックウェアが31%、パソコンに自動的に表示されるポップアップをクリックしたことによる感染は2%であったという。

15478954 story
Digital

xIDのマイナンバー法違法問題、12月提供予定の新仕様でも違法状態ではとの指摘 41

ストーリー by nagazou
難しいですね 部門より
マイナンバーカードを利用した認証サービス「xID」は、2021年11月4日午後8時からサービスを一時停止した。以前話題となったように初回登録時にマイナンバー入力を求める仕様がマイナンバー法に違反するとの指摘があったためだ。xIDは2021年12月中旬にxIDアプリの新バージョンを提供しマイナンバーの入力を伴わない仕様に変更されるとする発表を行っている(xIDプレスリリース日経クロステック)。しかし、この新仕様に関してもxIDの本質が広義の個人番号に当たることから、12月以降の新バージョンに関してもマイナンバー法9条に違反している違法なサービスではないかとする声が出ているようだ(なか2656のblog)。

あるAnonymous Coward 曰く、

xID社は11月4日付のプレスリリースで12月から提供開始としている新しいxIDも、マイナンバーから「確認要素」を生成することを止めて、マイナンバーカードの電子証明書の「新旧シリアル番号の紐付けサービス」を利用するとしているが、xIDの法的性質が「広義の個人番号」(法2条8項かっこ書き、いわゆる「裏番号」「裏個人番号」)であり、xID社がxIDを法9条の定める税・社会保障・災害対応の3つの利用目的以外に利用しようとしていることに変わりはないので、やはり12月以降のxIDもマイナンバー法9条違反の違法なサービスである。

15479090 story
犯罪

FBI、暗号通貨 ATM と QR コードを利用する詐欺の企みに注意喚起 1

ストーリー by nagazou
注意 部門より
headless 曰く、

米連邦捜査局 (FBI) は 4 日、暗号通貨 ATM と QR コードを利用して送金させる詐欺の企みに注意するよう市民に呼び掛けた (FBI の発表CoinDesk の記事SlashGear の記事The Verge の記事)。

詐欺の内容としてはギフトカード詐欺などと同様のなりすましによる送金詐欺で、送金手段が暗号通貨 ATM と QR コードの組み合わせに置き換えられたものだ。詐欺師は政府機関や法律事務所、電気・ガス・水道会社などになりすまして未払金を送金するよう要求するほか、ロマンス詐欺的な手法や、宝くじに当選したと偽って手数料を要求するといった手法もあるという。

暗号通貨 ATM は「ATM」と呼ばれているものの実際の ATM とは異なり、暗号通貨の購入や指定ワレットへの入金が可能な機械のようだ。入金先の指定には QR コードを用いる。FBI によれば、 QR コードは COVID-19 パンデミックにより活用が進んでいるが、暗号通貨支払いを通じた悪用も進んでいるとのこと。

FBI では対策として、オンラインでのみ話したことがある人に送金しないことや、取引のある会社を名乗る電話での暗号通貨による支払いなどの要求を信用しないこと、といった一般的な送金詐欺対策にも共通する内容のほか、政府機関などから暗号通貨での支払いのみを受け付けると言われたら注意すること、匿名性が売りの暗号通貨 ATM を避けることなどを挙げている。

15477871 story
情報漏洩

AVの無修正動画が中国に大量流出、不正アクセスによる被害か? 73

ストーリー by nagazou
あらあら 部門より
あるAnonymous Coward 曰く、

週刊文春が今月報じたところによると、10月中旬ごろから中国のサイトに日本メーカーのアダルトビデオ (AV) の無修正動画が大量流出し、不正に販売される事態が起きているという(文春オンライン, MAG2NEWS)。

報道によると、流出したのは業界最大手のソフト・オン・デマンド (SOD) の作品約50本を始め、プレステージなどの人気メーカーも含め計約120本。過去に関係者がマスターテープを持ち出した事件などもあったが、これほどの本数が流出したことはなく、不正アクセスなどによるものではないかと言われているという。また、動画の中にはタイトルに「仮」と入っているなど編集途中のデータであることを伺わせるものもあったという。

こうした動画は、中国サイトでは1本50~100ドルでダウンロード販売されており、人気トップ女優の作品も多数含まれているとのこと。中国ということでサーバー運営者への削除依頼や法的措置も難しく、また出演者の中には本数が多いことからメーカーが組織的に流したのではないかと疑う声もあるとのことで、今後AV業界で大きな問題になるかもしれない。

15476744 story
ネットワーク

ホテルが特定メーカーのWi-Fiルーターの使用禁止に。ネットでは理由の推理が行われる 88

ストーリー by nagazou
名指しされるのは珍しい 部門より

ホテルに次のような張り紙が貼ってあったとする「ぽんず」さんのツイートが話題となっている(ぽんずさんのツイートTogetter)。

エレコム製wifiルーターのご使用はお控えください。 ※全館でのインターネットの使用ができなくなります。

この張り紙になぜ・どうしてという疑問がたくさん出ていたが、Twitter上のコメントではDHCP関係の処理のせいでこうした張り紙が貼られているのではないかとする推測が出ている。その中で最もまとまっているツキコウさんのツイートを引用させていただくと、

一部のルーターで、ホテル側のIPアドレスと重複した物が割り当てられることがあり、ネットワーク制御に不具合が生じる場合があるようです。 ブリッジモードに設定できれば良いのですが、簡易的な物だと非対応の場合もあるので、全面的に禁止にしていると思われます。

とのことだが実際の理由は不明だ。皆さんはどうお考えだろうか

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...