クラウド型会計・人事サービスを提供するfreeeでは、広報や営業・顧客対応も含めた包括的な障害対応訓練を実施した。昨年も10月に実戦的な訓練を実施していたが、このとき一番きついユーザー対応部分に踏み込めなかったことから、今年のシナリオは全体的な課題に取り組む内容になっているという（ITmedia）。

同社はfreeeには2018年10月にサービスが停止する障害を発生させ混乱したことがあるため、その反省から定期的に全社規模での障害対応訓練を実施している。2022年の演習は、freeeのサービスに含まれるWebフォームが（実際には存在しないが）脆弱性を付かれて改ざんされ、ログインしてきたユーザーIDとパスワードが盗まれてしまったという想定で行った。前回訓練で横道にそれたりした反省から、調査や対応に当たる現場のエンジニアや担当者が、集中を乱されずに作業を進められる方法も実践するといった対応も取られたという。

headless 曰く、

米ニューヨーク州のキャシー・ホークル知事が11月22日、州内で化石燃料を燃やした電力による暗号通貨採掘を2年間にわたって禁ずる州法案に署名し、州法が成立した (Senate Bill S6486D、 The Verge の記事、 Neowin の記事、 The Register の記事)。

米国では大量の電力を消費する暗号通貨の採掘業者が古い火力発電所を買い取って使用することによる環境への影響が懸念されている。州法はこの問題に対応するためのものだ。そのため、対象となるのはプルーフ・オブ・ワーク認証により取引を記録する暗号通貨の採掘となっており、このような暗号通貨を採掘するための火力発電所に排出許可を与えない、または排出許可を更新しないとのことだ。

国立天文台は11月22日、世界最大級の電波望遠鏡「アルマ」がサイバー攻撃を受け、1か月近く科学観測ができない状態が続いていると発表した。現地時間の10月29日に攻撃を受け、望遠鏡の運用や計算に使うシステムに障害が出た。チリにある観測所のWebサイトも影響を受け、停止している。ハードウェア部分や過去の観測データには影響はなかったとしている。チリ合同アルマ観測所の危機管理チームは、年内の観測再開を目指して復旧計画を策定中だとしている（アルマ望遠鏡、読売新聞、ITmedia、産経新聞）。

米国政府は25日、ファーウェイやZTE、ハイクビジョン、ダーファ・テクノロジー、ハイテラの中国企業5社の通信機器や監視カメラについて米国内で販売を事実上禁じたと発表した。これらの子会社や関連会社も禁止対象に含まれる。2021年11月に成立した法律を元に米連邦通信委員会（FCC）が具体的な規制を決めるとしていたがルールが確定して施行されたことになるようだ。FCCは安全性を確保するため、米国内で使える通信機器を認証している。上記の企業は当局の認証を受けられないことから、新ルールの開始により新規の販売が事実上困難になる（Bloomberg、産経新聞、日経新聞）。

国際線旅客機の多くでは 100 ml を超える液体の機内持ち込みを禁じているが、英空港では 2024 年にも制限を撤廃する計画だという (The Register の記事、 The Times の記事、 Chronicle Live の記事、 Evening Standard の記事)。

液体持ち込み制限は 2006 年にロンドン警視庁が阻止した旅客機爆破テロ計画を受けて導入されたものだ。テロは液体物を用いて旅客機を爆破する計画だったと発表されており、液体だけでなくジェルも制限の対象になっている。ただし、イタリア・ジェノバでは地元特産のソース「ペスト」限定で 100 ml を超えても機内に持ち込むことを認めており、米運輸保安庁 (TSA) はハンドサニタイザー限定で大きな容器での機内持ち込みを認めている。

制限の撤廃は 3D 映像での検査が可能な新型の CT セキュリティスキャナー導入によるもので、乗客は液体物やノート PC などを手荷物から取り出す必要がなくなる。これにより保安検査の所要時間を大幅に短縮できるほか、機内持ち込み用の「トラベルサイズ」容器や袋が不要となるためプラスチックごみの削減につながることも期待される。新型スキャナーはロンドン・ヒースロー空港とガトウィック空港でテストが行われており、年内にアイルランド・シャノン空港に本格導入される予定とのこと。CT スキャナーの導入は米国でも進められている。

NordPass が 2022 年版の流出パスワードトップ 200 を公開している (Top 200 Most Common Password List、 The Register の記事)。

今回のランキングは NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、3TB のデータベースを調査したという。各社調査では 10 年以上にわたり「123456」「12345」といったパスワードがトップを占めているが、今回の調査では「password」が約 493 万件で 1 位となった。2 位の「123456」は約 152 万件であり、大きな差がついた。3 位以下は「123456789」「guest」「qwerty」が続く。

日本では昨年「password」が 1 位だったが、今年は「123456」が逆転して 1 位になり、順位が入れ替わった。ただし、「123456」が 1,210 件、「password」が 926 件と流出件数が少なく、ランキングはトップ 50 までになっている。性別を含むデータでは男性の 1 位が「123456」で 2 位が「password」で昨年と順位が入れ替わったのに対し、女性は「mikeym0128」が初登場で 1 位となり、昨年 1 位の「password」が 2 位に後退している。女性のデータではトップ 10 に数字だけのパスワードが少ない(「123456」のみ)のも特徴的だ。性別を含まないデータでは 1 位が「123456」で 2 位が「1234」となっている。先日のストーリーで話題になった「159753qq」はトップ50に含まれていない。

WhatsApp ユーザーのものとされる世界 84 か国、計 4 億 8,700 万件の電話番号データが売りに出されているそうだ (Cybernews の記事、 Neowin の記事)。

電話番号データの販売情報は、ある人物が 11 月 16 日によく知られたハッキングコミュニティに投稿したものだという。件数の最も多いのはエジプト (約 4,482 万件) で、イタリア (約 3,568 万件) と米国 (約 3,232 万件) が続く。数は少ないものの日本の電話番号も約 43 万件含まれている。

この人物は Cybernews に対し、米国のデータセットが 7,000 ドル、英国 (約 1,152 万件) が 2,500 ドル、ドイツ (約 605 万件) が 2,000 ドルだと説明したそうだ。Cybernews は英国 1,097 件分、米国 817 件分のサンプル提供を受け、確かに WhatsApp ユーザーのものであることを確認したとのこと。販売者は入手法について説明しなかったが、Cybernews はスクレイピングによるものだと考えているようだ。

カナダ・グェルフ大学の研究グループが電子機器修理サービスプロバイダーによる個人ファイルの扱いを調べたところ、修理担当者が作業に必要ない個人ファイルにしばしばアクセスしており、修理依頼者が女性の場合は特に多いことが判明したそうだ (U of G News の記事、 Ars Technia の記事、 PCMag の記事、 論文アブストラクト)。

研究グループの調べによると、カナダで利用可能な電子機器修理サービスプロバイダーでは規模の大小にかかわらず、デバイスに顧客が保存した個人データを保護するプライバシーポリシーが用意されていないという。また、Windows 10 のプリインストールされた新品のノート PC を 6 台を購入し、オーディオドライバーを無効化して実際に修理を依頼する実験も行っている

実験では 3 台ずつ男性と女性の所有者という設定で個人ファイルやインターネットサービスのアカウント、ブラウザーの閲覧履歴などのほか、男女にかかわらず露出度の高い女性の写真 (非ヌード) を格納し、これに合わせた性別の実験者が合計 16 の修理サービスプロバイダー (全国規模 4、地域規模 4、地元業者 8) に修理を依頼。Windows のステップ記録ツールと監査ポリシーを用いて修理担当者の操作内容を記録している。なお、実験にあたっては修理担当者のプライバシーにも配慮したとのこと。

このうち 2 件のサービスプロバイダー (地域 1、地元 1) では実験者の目の前で修理を終わらせており、別の地元修理業者 2 件では記録したデータが取り出せなかったという。残り 12 件のうち、4 件で修理担当者が「ドキュメント」フォルダーにアクセスしており、5 件で「ピクチャ」フォルダと露出度の高い女性の写真にアクセスしたそうだ。

こういった個人ファイルへのアクセスは修理依頼者が女性の場合に多く、男性の場合はそれぞれ 1 件にとどまる。一方、ブラウザーの閲覧履歴に修理担当者がアクセスしたのは 2 件で、修理依頼者はいずれも男性だった。このほか、2 件では修理担当者が顧客のデータをコピーしており、5 件ではアクセスしたファイルの履歴などを消去したという。

このような状況を消費者も不安に感じているようだ。112 名を対象に実施したアンケート調査では、故障したデバイスを修理しなかった人の 33 % (スマートフォン/タブレット: 79 人中 26 人、PC: 70 人中 23 人)がプライバシーを理由に挙げているとのことだ。

headless 曰く、

フランスの学校では無料の Microsoft Office 365 Education を使用できないとの見解を国民教育・青年省が示している (国民教育・青年省の回答、 The Register の記事、 Siècle Digital の記事)。

この見解は 8 月にフィリップ・ラトンベ下院議員が示した懸念 (PDF) に答える形で出されたものだ。ラトンベ氏は無償提供がダンピングに相当し、競争を阻害する可能性があること、データが米国のサーバーに保存されてデジタル主権が損なわれる可能性があることなどを指摘していた。

国民教育・青年省では、無償のサービスが公共調達の対象にならないと説明。また、デジタル省庁間総局 (DINUM) は Microsoft Office 365 が政府のクラウド中心政策の要件を満たさないとの見解を示しており、政府の政策がEU域から米国へ個人情報を転送する根拠となっていた Privacy Shield を無効と判断した EU 司法裁判所の Schrems II 判決にも合致すること、データ保護当局 (CNIL) が米国にデータを送信しない Office スイートを使用するよう勧告していることなどを挙げ、GDPR に違反する Microsoft や Google のソリューションを展開しないよう要請しているとのこと。

ラトンベ下院議員の質問はもともと国民教育・青年大臣のパプ・エンジャイ氏にあてたものだが、エンジャイ氏も省の見解に同意しているとのことだ。

サンフランシスコ警察（SFPD）が容疑者を殺害するためのロボット配備の許可を市の監督委員会に請願しているという。SFPD側は一般市民や警官の命が失われる危険が差し迫っていると主張している。この提案にはすでに理事会の内外から大きな反発が出ているようだ。SFPDは現在、爆弾処理などに用いる十数台の遠隔操作ロボットを保持している。爆弾処理ユニットには、爆弾処理のために空砲のショットガンが装備されているが、これを実弾に変更すれば当然のことながら攻撃用として転用もできるとのこと（サンフランシスコ警察による方針案[PDF]、Engadget）。

経済産業省の委託事業「コンテンツ緊急電子化事業」特設サイトのドメインが第三者によって取得され、別のウェブサイトが運用されているとして経産省が注意を呼びかけている。運営されているサイトは、元のコンテンツ緊急電子化事業のページをほぼそのままのかたちで復元。その中に別のサイトへのリンクを紛れ込ませるという手法でフィッシングをおこなう手段を用いている模様（経済産業省リリース、INTERNET Watch）。

INTERNET Watchの記事によれば、該当の偽サイトでは更新履歴の最上段にさりげなくリンクを紛れ込ませるという手法が取られているという。また記事中では、当事者である経済産業省が「アクセスしないよう、御注意ください」で済ましているのがあまりにもお粗末だと指摘している。

埼玉大学は21日、GoogleのGmailドメインのタイプミスの結果、メールの転送ミスが起きていたと発表した。本来「@gmail.com」のドメインに送るはずだったメールを、「@gmai.com」のアドレスに約10カ月間自動転送し続けていたという（埼玉大学リリース、ITmedia）。

この誤転送問題は2021年5月6日から22年3月3日まで発生しており、この間4890件のメールを送っていたとしている。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。

nemui4 曰く、

WHOISによれば、gmai.comのドメインはホンジュラスのドメイン名レジストラを名乗る「BoteroSolutions.com S.A.」が所有している（11月21日時点）。

Twitterのイーロン・マスクCEOが、ダイレクトメッセージ（DM）に「エンドツーエンド暗号化」の導入を進めていることを認めたという。アプリ研究者のJane Manchun Wong氏によると、Twitter for Android でこの機能が開発されている兆候が見られるらしい（MacRumors、GetNavi web、Forbes）。

TwitterのDMのセキュリティリスクは以前から指摘されていたが、暗号化されれば、TwitterのDMがSignalやWhatsAppレベルにまでセキュリティを高められるとされる。こうしたTwitterのDMの暗号化は2018年に「秘密の会話」として導入が計画されていたこともあったが実現していなかった。この暗号化はサブスクリプションパッケージ「Twitter Blue」に追加される可能性があるとの報道も出ている。

ExpressVPN の調査によると、米国人の 40 % が自分の苗字がパスワードに含まれると回答したそうだ (ExpressVPN のブログ記事、 HackRead の記事)。

調査はモバイル投票サービス Pollfish を利用し、米国の成人 1,000 名にパスワードの選択について質問したものだという。調査報告書はまだ完成していないようだが、その一部が紹介されている。

パスワードに含められることが最も多い個人情報は誕生日 (43.90 %) で、ペットの名前 (43.80 %) が続く。本人の名前ではファーストネームが 42.30 % で最も多く、ラストネーム (苗字) とミドルネーム (31.60 %) の順になっている。また、子供の名前 (37.50 %) や元パートナーの名前 (26.10 %) といった自分以外の名前も多く使われているが、現パートナーの名前はリストに出現しない。このほか、電話番号 (32.20 %) や社会保障番号 (30.30 %) を使う人も多い。

その結果、5 人に 2 人はパスワードを作るときに自分の名前を少し変えたものを使うと回答し、43 % は自分の愛する人がパスワードを推測できるだろうと回答しているという。平均的な人は 6 サイト/プラットフォームで同じパスワードを使っているとのこと。それでも 81 % は現在のパスワードでセキュリティとプライバシーが十分に守られていると考えているそうだ。

日本人はキーボードの並びをパスワードで使用する人が多いといい、自分の名前をパスワードに含める人は少ないかもしれないが、スラドの皆さんはいかがだろう。なお、世界全体で最も多く使われているパスワードは相変わらず「123456」だが、日本では「159753qq」が最も多いとのことだ。

Mozilla は 17 日、addons.mozilla.org で 11 月 21 日から Manifest V3 (MV3) 拡張機能の受付を開始し、Firefox Nightly でテストできるよう署名すると発表した (Mozilla Add-ons Community Blog の記事、 The Register の記事)。

MV3 拡張機能は来年 1 月 17 日リリースの Firefox 109 で一般に利用可能となり、以降のリリースで段階的に MV3 サポート機能を追加していくが、Firefox は MV2 拡張機能サポートを当面継続する。Mozilla では MV2 から MV3 へのシームレスな移行を目指しており、2023 年末に向けて MV3 のロールアウトを評価して MV2 廃止スケジュールを決めるとのこと。

Firefox の MV3 ではシンプルで統合された API や強化されたセキュリティとプライバシーのメカニズム、よりよいモバイルプラットフォームサポート機能を提供する。Mozilla は他のブラウザーベンダーや開発者コミュニティと協力してブラウザー間の互換性維持に努めるが、以下の 2 点については他社と異なるアプローチになるという。

1. MV3 では Web Request API が非推奨となり、Declarative Net Request (DNR) がブロッキング用に追加される。Firefox の MV3 では互換性のため DNR をサポートするとともに、より柔軟でクリエイティブな処理が可能な Web Request のサポートも継続
2. MV3 ではバックグラウンドスクリプト実行にサービスワーカーを使用するが、Firefox の MV3 では Event Pages の使用を継続する。将来的にはサービスワーカーサポートも追加する計画