KDDI総合研究所は26日、暗号解読コンテスト「Challenges for code-based problems」で、Classic McElieceと呼ばれる次世代暗号の1409次元の暗号を解読し、これまでの世界記録を更新したそうだ。この1409次元の暗号は10の56乗（=100兆×100兆×100兆×100兆）通りの解の候補が存在する。このため、総当たりでは解読に1兆年以上かかるとされてきたが、KDDIは独自の解読アルゴリズムを用いて、2700万の解読処理を同時に実行できる並列コンピューティング環境を構築・活用することにより、29.6時間で解読に成功したとしている（KDDI、ASCII.jp）。

これにより、1409次元の暗号を解読するために必要な計算量が2の63乗であることを実証し、この次元を上回れば暗号の解読が困難という目安である暗号の強度を突き止めたとしている。この成果は、将来の量子コンピューターの台頭に備えた暗号の開発や標準化に向けた貴重な情報になるとしている。

総務省サイバーセキュリティ統括官室は、非常勤のサイバーセキュリティエキスパートを募集中だという。このエキスパートは、同省のサイバーセキュリティ政策の企画・立案に関する助言や情報提供を行い、国内外のサイバーセキュリティ最新動向の分析や情報提供も担当する（総務省、ScanNetSecurity）。

応募資格は、約10年以上のセキュリティ分野の実務経験とサイバーセキュリティ分野の最新技術や動向に関する専門知識を有すること。勤務時間は毎月第2金曜日の午後4時から6時までの2時間で、勤務地は東京都千代田区霞が関。雇用期間は2024年1月1日から12月31日までの採用日から1年を超えない期間。時給は7500円としている。

消費者庁は21日、「ミズノ」と「ワコール」の偽の広告がSNSを中心に拡散し、被害相談が相次いでいるとされるとして注意喚起をおこなった。偽広告には、ワコールのロゴを使用したインナーの広告や、ミズノのロゴを使ったスポーツ用品の広告などがあり、これらの広告をクリックすると偽の販売サイトに誘導される。実際に商品を注文すると本物ではない商品が届くなどの被害が報告されている（消費者庁、日テレNEWS）。

偽広告はInstagramやFacebookなどを通じて拡散されている。消費者庁には2022年4月から2023年10月末までの間に1277件の相談が寄せられているとのこと。消費者庁は価格を強調していないか、不自然な日本語ではないかなどを注意して確認するよう注意を呼びかけている。

警察庁は21日、2024年の通常国会に銃刀法改正案を提出する方針を発表した。この改正案では、インターネット上で銃の製造方法を示し、不法所持を促す投稿を罰則付きで禁止することが盛り込まれている（毎日新聞、日経新聞、共同通信）。

改正案では動画などで銃の製造方法を公開し、不法所持を呼びかけたり、販売するための情報を掲載したりする行為が規制される。罰則は懲役1年前後が検討されている。警察庁はこれまでに、銃などの製造や譲渡に関する投稿をSNS事業者に削除要請する制度を導入しており、これに加えて改正案を通じて対策を強化する予定。

また改正案では、2023年5月に長野県中野市で4人が殺害された事件を受け、発射罪や所持罪の厳罰化が盛り込まれる。人の殺傷を目的とする銃に対する罰則が強化され、その他装薬銃砲なども対象に含まれる。電磁石銃（コイルガン）も所持禁止の対象になる。ネット上で数万~30万円程度で取引されているものを警察庁が調べたところ殺傷能力が確認されたのだという。

headless 曰く、

Sophos X-Ops によると、ホテル業界をターゲットにした「Inhospitality」マルスパムキャンペーンが世界規模で発生しているそうだ (Sophos News の記事、 The Register の記事)。

このマルスパムは宿泊客の苦情や問い合わせなど、ホテル従業員が応答せざるを得ない内容で、より詳細な情報を求めるとマルウェアのリンクを送ってくるという。ペイロードはパスワード付きの ZIP 形式や RAR 形式ファイルで、Google Drive などに保存されている。Sophos では 50 以上の異なるサンプルを入手しているが、マルウェアは主にパスワード窃取型の Redline Stealer や Vidar Stealer などと呼ばれるものとのことだ。

コンビニ店などでプリペイド式の電子マネーを購入させる詐欺の件数が増加しており、警察庁が注意を呼び掛けている。今年1月から11月までの架空請求でプリペイド式の電子マネーを購入させる詐欺の認知件数は3047件、被害額は18億5700万円で件数、被害額ともに過去最悪を更新中とされる（12月22日：令和5年11月の特殊詐欺認知・検挙状況等について、TBS NEWS DIG、NHK、読売新聞）。

今年は特に「Apple Gift Card」を購入させる手口が多く約2000件、およそ13億円が「Apple Gift Card」の悪用。11月に限っては被害件数、被害額ともに全体の9割を占めているという。パソコン画面に「ウイルスに感染した」などの虚偽の警告を表示させて、見た相手にギフトカードを買いに行かせ、裏面の番号の写真を送らせるなどの手口が目立つとしている。犯行にApple Gift Cardが選ばれる理由については「販売店舗数が多さ」や「だまし取った電子マネーの現金化の容易さ」などが挙げられている。

米法務省は 12 月 19 日、ALPHV/Blackcat ランサムウェアグループの妨害作戦に成功し、世界 500 件以上の被害者を救済可能な復号ツールを作成したと発表した (プレスリリース、 捜査令状、 BleepingComputer の記事 [1]、 [2]、 [3])。

今回の作戦は連邦捜査局 (FBI) に協力する秘密の情報提供者 (CHS) が Blackcatのアフィリエイトとなって内部調査を行い、何らかの方法でアフィリエイトには提供されない復号鍵や Tor の秘密鍵を入手したのだという。FBI は Tor の秘密鍵を用いてサイト URL を差し押さえたが、同じ鍵を持つランサムウェアグループが URL を奪い返し、URL の奪い合いになったとのこと。

URL を奪い返されては作戦の一部が失敗したことにもなるが、ターゲットが救済されたランサムウェアグループにも大きなダメージとなった。アフィリエイトの中には信頼を失ってほかのランサムウェアグループに移る者もあり、Blackcat もほかのランサムウェアグループとカルテルを結ぶべく話し合いを行っているとのことだ。

日本損害保険協会は18日、企業を取り巻くリスクに対する意識・対策実態調査の結果を公開した。調査は、中小企業の経営者と従業員1031名を対象に実施されたもので、中小企業の意識や実際の被害内容、被害額、損害保険への加入状況などが明らかにされた（日本損害保険協会、ScanNetSecurity）。

この調査によれば、中小企業が事業活動を行う上で考えられるリスクの上位には、「自然災害」（50.7％）、「顧客・取引先の廃業等による売上の減少」（38.0％）、「経済環境リスク」（32.4％）が挙げられている。また、「情報の漏えい」（23.9％）や「サイバーリスク」（20.3％）も一定の割合で認識されているが、過去3年間では経済環境リスクを除いて割合が減少している。被害に遭った経験のある企業では、「損害保険への加入」が46.2％と最も多い対策として挙げられている。

実際に何らかのリスクにより被害を受けたことがあるとの回答は27.9％だった。なお被害額が1億円を超えたリスクには、「製造物に関する損害賠償」（8.7％）、「従業員からの損害賠償請求」（8.3％）、「サイバーリスク」（6.3％）などとなっている。

イスラエル国防軍（IDF）は15日、パレスチナ自治区ガザ地区での作戦で、イスラム組織ハマスに連れ去られたイスラエル人の男性人質3人を誤って殺害したと発表した。3人はイスラエルの部隊から数十メートル離れた建物から姿を現した。彼らはシャツを脱いで白旗を振っていたとされている（CNN）。

この際、射殺した3人の人質の声が、軍用犬に取り付けられたカメラに記録されていたことが明らかになった。カメラの映像はイスラエル軍が19日に発見した。カメラを装着されていた犬は戦闘でなくなっていた。イスラエル軍の報道官は、映像の音声を分析した結果、3人の人質の声であることを確認したと述べたが、人質が何を話していたかについては明らかにしていない。

>ソニーのゲーム部門であるインソムニアック・ゲームズから130万以上のファイルが流出したそうだ。ハッカー集団の「リサイダ」がその犯行を公表したという。報道によると1.67TBに及ぶデータを盗み出されたとされ、流出したファイルの中には、「ウルヴァリン」新作の開発工程表や予算、開発状況やリリース予定、10年以内に発売されるタイトルのスケジュールなども含まれていたようだ（Bloomberg、Cyber​​ Daily、GIGAZINE）。

このハッキングは、ランサムウェアグループのリサイダによって12日に発表された。不正に入手したデータを約200万ドル相当のビットコインで競売にかけるとしていたが、19日にそのデータを公開した。米政府によるとこの集団は教育や医療、製造業、情報技術（IT）セクターを標的にしているハッカー集団だとされる。

流出した情報によると、ソニーは「スパイダーマン3」などマーベル作品に基づく複数のタイトルを10年以内にリリースする計画を立てているほか、2029年までには「ラチェット＆クランク」シリーズの新作も出す予定だと報じられている。ほかにも2035年までに「X-MEN」のゲームを開発・販売するという内容も含まれていたという。

IT導入補助金の事務局のウェブサイトが不正アクセスを受け、IT導入支援事業者約3.8万人の個人情報が漏えいした恐れがあることが判明した。IT導入補助金は、独立行政法人中小企業基盤整備機構が補助金を提供する事業で、不正アクセスを受けたのはTOPPANが実施する「IT導入補助金2023後期」の事業（ IT導入補助金2023（後期事務局）、ネットショップ担当者フォーラム）。

不正アクセスは、IT導入補助金2023後期事務局のウェブサイトで2023年8月1日から発生したとされ、漏えいの恐れのある個人情報は3万8269人分に相当する。漏えいした可能性のある情報には、一部個人情報を含む事業者の登録情報で、ITツール登録担当者の氏名とメールアドレス、実施者・販売者の氏名とメールアドレスも漏えいした可能性がある模様。漏えいの原因は、ウェブサイトで使用されているプログラムの設計不備によるものとしている。

政府は2024年1月に、人工知能（AI）の安全性を確保するための組織を新設する方針を固めた。読売新聞によると岸田首相が近く表明するという。この組織は「AIセーフティーインスティテュート」という名称で、経済産業省所管の情報処理推進機構（IPA）に設置される予定。新組織はAI開発企業が安全性評価に利用する基準の策定やテスト用ソフトの開発を支援し、将来的には第三者認証制度に関わる認定機関になる可能性があるとしている。米国や英国も同様の組織設立を進めており、日米英で連携して安全なAIの確立を目指すとしている（読売新聞）。

国連UNHCR協会の公式Instagramアカウント（@japanforunhcr）が12月16日、悪意ある第三者によって乗っ取られていたことが発覚した。現在、Instagram運営に問い合わせを行い、アカウントの復旧対応を進めているという（国連UNHCR協会、ねとらぼ）。

この乗っ取り被害が判明したのは16日で、その後は国連UNHCR協会はInstagramを通じた投稿やダイレクトメッセージ（DM）を行っていないと述べている。同協会はDMが届いたり、誘導を試みるURLが出回っている場合は、それを開かないように呼びかけている。同協会の運用しているそのほかのSNSアカウント（X、Facebook、LINE、YouTube）には影響は出ていないとしている。

香港城市大学と米ジョージ・メイソン大学に所属する研究者らは、スマートフォンのディスプレイ内指紋センサーから指紋データを盗み出し、3Dプリンタで偽の指紋を作成する攻撃方法を発表したそうだ（ITmedia）。

この攻撃では、盗んだ指紋データをもとに3Dプリンタで造形した偽の指紋を指に貼り付け、その偽の指紋を使って生体認証を騙ることが可能だという。研究ではユーザーがディスプレイ内指紋センサーを押す際に放出される電磁波を専用装置で検出、それをもとに3D指紋ピースを作成したという。

この攻撃は被害者の指紋情報を事前に知らなくても実行可能で、ハードウェアやソフトウェアを侵害する必要もなく、高価な装置も不要。かつ異なる種類のスマートフォンでこの攻撃が実行可能であり、指紋画像を50.3％から75.0％の範囲で復元する能力が示されたとしている。

>

アップルは「iOS 17.3」のベータテスト版に、iPhoneのセキュリティを強化し、窃盗対策のために新機能「Stolen Device Protection（盗難デバイスの保護）」を盛り込んだという。この機能は特に重要な設定を変更する際、1時間後にもう1度「Face ID」または「Touch ID」による認証を求めるもの。窃盗犯がユーザーのパスコードを知った場合でも、Face ID/Touch IDの入力が求められることから、重要な端末データにアクセスできなくなる（CNET、Bloomberg）。

この新機能により、窃盗犯がパスコードを知った場合でも、iPhoneの機能へのアクセスが制限され、持ち主のデジタルデータが保護される。Phoneの個人データへの不正アクセスや電子マネーの盗難を防ぐことができ、端末の内容を消去して転売することも難しくなるとしている。Appleはこれを、来年初めを予定しているiOS 17の次の正式アップデートに含める計画だとしている