国際線旅客機の多くでは 100 ml を超える液体の機内持ち込みを禁じているが、英空港では 2024 年にも制限を撤廃する計画だという (The Register の記事、 The Times の記事、 Chronicle Live の記事、 Evening Standard の記事)。

液体持ち込み制限は 2006 年にロンドン警視庁が阻止した旅客機爆破テロ計画を受けて導入されたものだ。テロは液体物を用いて旅客機を爆破する計画だったと発表されており、液体だけでなくジェルも制限の対象になっている。ただし、イタリア・ジェノバでは地元特産のソース「ペスト」限定で 100 ml を超えても機内に持ち込むことを認めており、米運輸保安庁 (TSA) はハンドサニタイザー限定で大きな容器での機内持ち込みを認めている。

制限の撤廃は 3D 映像での検査が可能な新型の CT セキュリティスキャナー導入によるもので、乗客は液体物やノート PC などを手荷物から取り出す必要がなくなる。これにより保安検査の所要時間を大幅に短縮できるほか、機内持ち込み用の「トラベルサイズ」容器や袋が不要となるためプラスチックごみの削減につながることも期待される。新型スキャナーはロンドン・ヒースロー空港とガトウィック空港でテストが行われており、年内にアイルランド・シャノン空港に本格導入される予定とのこと。CT スキャナーの導入は米国でも進められている。

NordPass が 2022 年版の流出パスワードトップ 200 を公開している (Top 200 Most Common Password List、 The Register の記事)。

今回のランキングは NordPass がサイバーセキュリティインシデント専門の独立系研究者と協力してまとめたもので、3TB のデータベースを調査したという。各社調査では 10 年以上にわたり「123456」「12345」といったパスワードがトップを占めているが、今回の調査では「password」が約 493 万件で 1 位となった。2 位の「123456」は約 152 万件であり、大きな差がついた。3 位以下は「123456789」「guest」「qwerty」が続く。

日本では昨年「password」が 1 位だったが、今年は「123456」が逆転して 1 位になり、順位が入れ替わった。ただし、「123456」が 1,210 件、「password」が 926 件と流出件数が少なく、ランキングはトップ 50 までになっている。性別を含むデータでは男性の 1 位が「123456」で 2 位が「password」で昨年と順位が入れ替わったのに対し、女性は「mikeym0128」が初登場で 1 位となり、昨年 1 位の「password」が 2 位に後退している。女性のデータではトップ 10 に数字だけのパスワードが少ない(「123456」のみ)のも特徴的だ。性別を含まないデータでは 1 位が「123456」で 2 位が「1234」となっている。先日のストーリーで話題になった「159753qq」はトップ50に含まれていない。

WhatsApp ユーザーのものとされる世界 84 か国、計 4 億 8,700 万件の電話番号データが売りに出されているそうだ (Cybernews の記事、 Neowin の記事)。

電話番号データの販売情報は、ある人物が 11 月 16 日によく知られたハッキングコミュニティに投稿したものだという。件数の最も多いのはエジプト (約 4,482 万件) で、イタリア (約 3,568 万件) と米国 (約 3,232 万件) が続く。数は少ないものの日本の電話番号も約 43 万件含まれている。

この人物は Cybernews に対し、米国のデータセットが 7,000 ドル、英国 (約 1,152 万件) が 2,500 ドル、ドイツ (約 605 万件) が 2,000 ドルだと説明したそうだ。Cybernews は英国 1,097 件分、米国 817 件分のサンプル提供を受け、確かに WhatsApp ユーザーのものであることを確認したとのこと。販売者は入手法について説明しなかったが、Cybernews はスクレイピングによるものだと考えているようだ。

カナダ・グェルフ大学の研究グループが電子機器修理サービスプロバイダーによる個人ファイルの扱いを調べたところ、修理担当者が作業に必要ない個人ファイルにしばしばアクセスしており、修理依頼者が女性の場合は特に多いことが判明したそうだ (U of G News の記事、 Ars Technia の記事、 PCMag の記事、 論文アブストラクト)。

研究グループの調べによると、カナダで利用可能な電子機器修理サービスプロバイダーでは規模の大小にかかわらず、デバイスに顧客が保存した個人データを保護するプライバシーポリシーが用意されていないという。また、Windows 10 のプリインストールされた新品のノート PC を 6 台を購入し、オーディオドライバーを無効化して実際に修理を依頼する実験も行っている

実験では 3 台ずつ男性と女性の所有者という設定で個人ファイルやインターネットサービスのアカウント、ブラウザーの閲覧履歴などのほか、男女にかかわらず露出度の高い女性の写真 (非ヌード) を格納し、これに合わせた性別の実験者が合計 16 の修理サービスプロバイダー (全国規模 4、地域規模 4、地元業者 8) に修理を依頼。Windows のステップ記録ツールと監査ポリシーを用いて修理担当者の操作内容を記録している。なお、実験にあたっては修理担当者のプライバシーにも配慮したとのこと。

このうち 2 件のサービスプロバイダー (地域 1、地元 1) では実験者の目の前で修理を終わらせており、別の地元修理業者 2 件では記録したデータが取り出せなかったという。残り 12 件のうち、4 件で修理担当者が「ドキュメント」フォルダーにアクセスしており、5 件で「ピクチャ」フォルダと露出度の高い女性の写真にアクセスしたそうだ。

こういった個人ファイルへのアクセスは修理依頼者が女性の場合に多く、男性の場合はそれぞれ 1 件にとどまる。一方、ブラウザーの閲覧履歴に修理担当者がアクセスしたのは 2 件で、修理依頼者はいずれも男性だった。このほか、2 件では修理担当者が顧客のデータをコピーしており、5 件ではアクセスしたファイルの履歴などを消去したという。

このような状況を消費者も不安に感じているようだ。112 名を対象に実施したアンケート調査では、故障したデバイスを修理しなかった人の 33 % (スマートフォン/タブレット: 79 人中 26 人、PC: 70 人中 23 人)がプライバシーを理由に挙げているとのことだ。

headless 曰く、

フランスの学校では無料の Microsoft Office 365 Education を使用できないとの見解を国民教育・青年省が示している (国民教育・青年省の回答、 The Register の記事、 Siècle Digital の記事)。

この見解は 8 月にフィリップ・ラトンベ下院議員が示した懸念 (PDF) に答える形で出されたものだ。ラトンベ氏は無償提供がダンピングに相当し、競争を阻害する可能性があること、データが米国のサーバーに保存されてデジタル主権が損なわれる可能性があることなどを指摘していた。

国民教育・青年省では、無償のサービスが公共調達の対象にならないと説明。また、デジタル省庁間総局 (DINUM) は Microsoft Office 365 が政府のクラウド中心政策の要件を満たさないとの見解を示しており、政府の政策がEU域から米国へ個人情報を転送する根拠となっていた Privacy Shield を無効と判断した EU 司法裁判所の Schrems II 判決にも合致すること、データ保護当局 (CNIL) が米国にデータを送信しない Office スイートを使用するよう勧告していることなどを挙げ、GDPR に違反する Microsoft や Google のソリューションを展開しないよう要請しているとのこと。

ラトンベ下院議員の質問はもともと国民教育・青年大臣のパプ・エンジャイ氏にあてたものだが、エンジャイ氏も省の見解に同意しているとのことだ。

サンフランシスコ警察（SFPD）が容疑者を殺害するためのロボット配備の許可を市の監督委員会に請願しているという。SFPD側は一般市民や警官の命が失われる危険が差し迫っていると主張している。この提案にはすでに理事会の内外から大きな反発が出ているようだ。SFPDは現在、爆弾処理などに用いる十数台の遠隔操作ロボットを保持している。爆弾処理ユニットには、爆弾処理のために空砲のショットガンが装備されているが、これを実弾に変更すれば当然のことながら攻撃用として転用もできるとのこと（サンフランシスコ警察による方針案[PDF]、Engadget）。

経済産業省の委託事業「コンテンツ緊急電子化事業」特設サイトのドメインが第三者によって取得され、別のウェブサイトが運用されているとして経産省が注意を呼びかけている。運営されているサイトは、元のコンテンツ緊急電子化事業のページをほぼそのままのかたちで復元。その中に別のサイトへのリンクを紛れ込ませるという手法でフィッシングをおこなう手段を用いている模様（経済産業省リリース、INTERNET Watch）。

INTERNET Watchの記事によれば、該当の偽サイトでは更新履歴の最上段にさりげなくリンクを紛れ込ませるという手法が取られているという。また記事中では、当事者である経済産業省が「アクセスしないよう、御注意ください」で済ましているのがあまりにもお粗末だと指摘している。

埼玉大学は21日、GoogleのGmailドメインのタイプミスの結果、メールの転送ミスが起きていたと発表した。本来「@gmail.com」のドメインに送るはずだったメールを、「@gmai.com」のアドレスに約10カ月間自動転送し続けていたという（埼玉大学リリース、ITmedia）。

この誤転送問題は2021年5月6日から22年3月3日まで発生しており、この間4890件のメールを送っていたとしている。一連のメールには、教員の氏名・メールアドレスなどが485件、学生の氏名、学生番号、メールアドレスなどが849件、学外関係者の氏名、メールアドレスなどが788件含まれていたという。

nemui4 曰く、

WHOISによれば、gmai.comのドメインはホンジュラスのドメイン名レジストラを名乗る「BoteroSolutions.com S.A.」が所有している（11月21日時点）。

Twitterのイーロン・マスクCEOが、ダイレクトメッセージ（DM）に「エンドツーエンド暗号化」の導入を進めていることを認めたという。アプリ研究者のJane Manchun Wong氏によると、Twitter for Android でこの機能が開発されている兆候が見られるらしい（MacRumors、GetNavi web、Forbes）。

TwitterのDMのセキュリティリスクは以前から指摘されていたが、暗号化されれば、TwitterのDMがSignalやWhatsAppレベルにまでセキュリティを高められるとされる。こうしたTwitterのDMの暗号化は2018年に「秘密の会話」として導入が計画されていたこともあったが実現していなかった。この暗号化はサブスクリプションパッケージ「Twitter Blue」に追加される可能性があるとの報道も出ている。

ExpressVPN の調査によると、米国人の 40 % が自分の苗字がパスワードに含まれると回答したそうだ (ExpressVPN のブログ記事、 HackRead の記事)。

調査はモバイル投票サービス Pollfish を利用し、米国の成人 1,000 名にパスワードの選択について質問したものだという。調査報告書はまだ完成していないようだが、その一部が紹介されている。

パスワードに含められることが最も多い個人情報は誕生日 (43.90 %) で、ペットの名前 (43.80 %) が続く。本人の名前ではファーストネームが 42.30 % で最も多く、ラストネーム (苗字) とミドルネーム (31.60 %) の順になっている。また、子供の名前 (37.50 %) や元パートナーの名前 (26.10 %) といった自分以外の名前も多く使われているが、現パートナーの名前はリストに出現しない。このほか、電話番号 (32.20 %) や社会保障番号 (30.30 %) を使う人も多い。

その結果、5 人に 2 人はパスワードを作るときに自分の名前を少し変えたものを使うと回答し、43 % は自分の愛する人がパスワードを推測できるだろうと回答しているという。平均的な人は 6 サイト/プラットフォームで同じパスワードを使っているとのこと。それでも 81 % は現在のパスワードでセキュリティとプライバシーが十分に守られていると考えているそうだ。

日本人はキーボードの並びをパスワードで使用する人が多いといい、自分の名前をパスワードに含める人は少ないかもしれないが、スラドの皆さんはいかがだろう。なお、世界全体で最も多く使われているパスワードは相変わらず「123456」だが、日本では「159753qq」が最も多いとのことだ。

Mozilla は 17 日、addons.mozilla.org で 11 月 21 日から Manifest V3 (MV3) 拡張機能の受付を開始し、Firefox Nightly でテストできるよう署名すると発表した (Mozilla Add-ons Community Blog の記事、 The Register の記事)。

MV3 拡張機能は来年 1 月 17 日リリースの Firefox 109 で一般に利用可能となり、以降のリリースで段階的に MV3 サポート機能を追加していくが、Firefox は MV2 拡張機能サポートを当面継続する。Mozilla では MV2 から MV3 へのシームレスな移行を目指しており、2023 年末に向けて MV3 のロールアウトを評価して MV2 廃止スケジュールを決めるとのこと。

Firefox の MV3 ではシンプルで統合された API や強化されたセキュリティとプライバシーのメカニズム、よりよいモバイルプラットフォームサポート機能を提供する。Mozilla は他のブラウザーベンダーや開発者コミュニティと協力してブラウザー間の互換性維持に努めるが、以下の 2 点については他社と異なるアプローチになるという。

1. MV3 では Web Request API が非推奨となり、Declarative Net Request (DNR) がブロッキング用に追加される。Firefox の MV3 では互換性のため DNR をサポートするとともに、より柔軟でクリエイティブな処理が可能な Web Request のサポートも継続
2. MV3 ではバックグラウンドスクリプト実行にサービスワーカーを使用するが、Firefox の MV3 では Event Pages の使用を継続する。将来的にはサービスワーカーサポートも追加する計画

headless 曰く、

米企業のふりをしたロシア企業 Pushwoosh のユーザープロファイリングコードを数千本のスマートフォンアプリ (Android / iOS) が使用しており、米陸軍の iOS アプリでも 3 月まで使われていたそうだ (Reuters の記事、 The Register の記事、 9to5Mac の記事)。

同社はロシアでデータ処理も行うソフトウェア企業として登録されており、シベリア・ノボシビルスクに本社があるという。同社の設立者 Max Konev 氏は 9 月に Reuters のインタビューに答え、ロシア人であることを隠したことはないと述べているが、ソーシャルメディアや米国での登録情報によると、カリフォルニアやメリーランド、首都ワシントンなどを本拠とする米企業になっているとのこと。

Konev 氏はロシア政府とのつながりはなく、データは米国やドイツに保存しているとも述べており、Reuters は同社によるユーザーデータ不正使用の形跡を見つけられなかったそうだが、ロシア当局からデータの強制提出を命じられる可能性は否定できない。そのため、米陸軍による使用は国家安全保障上のリスクも懸念される。

陸軍は Reuters に対し、問題のアプリがナショナルトレーニングセンター (NTC) で使われていたが、3 月にセキュリティ上の懸念から削除したと述べたという。The Register に対しては、問題のアプリが 2016 年に開発されたもので、無料版の Pushwoosh を使用していたと説明している。また、現在では2016 年当時と比べて規定が厳格化しており、有料版のソフトウェアが利用可能な場合は無料版の使用が禁じられているとのことだ。

米国家安全保障局 (NSA) は 10 日、メモリ安全性の問題に対応するためのガイダンスを公開し、可能な限りメモリ安全なプログラミング言語を使用するよう推奨した (プレスリリース、 The Register の記事、 ガイダンス: PDF)。

Microsoft は 2019 年、過去 12 年間の Microsoft 製品の脆弱性は 70 % がメモリ安全性に起因すると述べており、Google も 2020 年に Chromium の重大な脆弱性の 70 % がメモリ安全性に起因すると述べていた。

広く使われているCやC++などの言語はメモリ管理の自由度が高い一方で、必要なメモリ参照の確認はプログラマーに強く依存する。ソフトウェア解析ツールを使用すればある程度の保護は可能になるが、メモリ安全な言語はそれ自体がメモリ管理の問題の多くに対応可能な保護機能を提供する。そのため、可能な場面ではメモリ安全な言語の使用が推奨されるとのこと。メモリ安全な言語の例としては、C#・Go・Java・Ruby・Rust・Swift が挙げられている。

Lenovo は 8 日、個人向けノート PC でセキュアブートを無効化可能な UEFI (BIOS) の脆弱性 3 件を公表した (セキュリティアドバイザリー、 ESET のツイート、 Neowin の記事、 Ars Technica の記事)。

発見した ESET によれば、3 件はいずれも UEFI の DXE ドライバーに存在する脆弱性で、管理者権限を持つ攻撃者が NVRAM 変数を変更することによりセキュアブート無効化などの設定変更が可能になるという。ESET が 4 月に公表した Lenovo の ノート PC の脆弱性と同様、今回の 3 件も製造プロセスでのみ使用することを目的としたドライバーを製品版に含めてしまったことが原因とのこと。

一方、Lenovo は CVE-2022-3430 を WMI Setup ドライバーの潜在的な脆弱性と説明しており、CVE-2022-3431 と CVE-2022-3432 では製造プロセスで使用するドライバーに潜在的な脆弱性が存在し、誤って無効化されなかったと説明している。

これらのうち CVE-2022-3430 または CVE-2022-3431(または両方)の影響を受けるのは国内未発売モデルを含めて計 54 製品。既に修正版ファームウェアアップデートが提供されており、適用すれば問題は解決する。CVE-2022-3432 は影響を受ける Ideapad Y700-14ISK の開発サポートが終了していることから修正版は提供されないとのことだ。

Android の 2022-11-01 セキュリティパッチレベルでは、PIN ロックした SIM を使用してスクリーンロックをバイパス可能な脆弱性 CVE-2022-20465 が修正されている (9to5Google の記事、 Android Police の記事、 発見者のブログ記事、 Google Git)。

この脆弱性は PIN ロックされた SIM の PUK を入力して PIN を再設定し、端末のロックを解除するとスクリーンロックも解除されてしまうというものだ。攻撃者は PIN ロックした SIM を用意し、スクリーンロック解除失敗によりロックされた端末の SIM と交換する。端末再起動後、SIM の PIN を入力を 3 回間違えると PUK による PIN 変更が可能になるので、PUK を入力して新しい PIN を設定する。脆弱性のある状態ではこの段階でスクリーンロックが解除されるのだという。

発見者は Pixel 6 で脆弱性を確認しているが、AOSP では Android 13 ブランチのほか Android 10 ～ 12L ブランチにも修正がバックポートされており、他の機種やフォークした OS にも影響する可能性がある。Android Police によれば Lineage OS で脆弱性が報告されている一方、GrapheneOS では既に修正済みだという。また、Samsung の端末は影響を受けないという報告もみられるとのこと。手元のシャープ製端末 (Android 12、パッチレベルは 10 月) で試してみたが、PUK を入力して SIM の PIN を再設定するとスクリーンロック画面になった。操作を間違ったのでなければ影響を受けないようだ。